?

Log in

No account? Create an account

В продолжение темы
bruce_swillis
Ну что же, разбирая техническую сторону дела (что само по себе почти увлекательно, и способствует спокойному отношению к событиям) с помощью всезнающего all выяснено следующее:

1. Представленные в качестве компромата электронные сообщения с вероятностью, равной 100% - вероятность_компроментации_приватногоключа_яху - вероятность_наличия_неизвестных_уязвимостей_DKIM&Yahoo_Webmail (то бишь 99.(9)%) действительно были созданы с помощью вебинтерфейса yahoo в указанное время для указанного адресата, и обработаны почтовой системой yahoo.
2. Результатом "обработки" сообщений почтовой системой yahoo по всей логике должна была бы стать передача сообщения почтовой системе google для адресата. Это конечно в предположении, что в данном случае почтовая система yahoo отработала штатно (наверное тоже ~99.(9)% вероятность).
3. Дальнейшие утверждения о прочтении адресатом и проч. хоть и кажутся на первый взгляд самоочевидными, не базируются на какой-либо фактологической базе - только на предположениях. 

Но! С учетом содержания... если предположить, что письмо действительно было обработано 22 янв. 2010 года, но подготовлено злоумышленником, и по какой-то причине не прочитано адресатом - выходит что злоумышленник либо был провидцем (относительно будущих действий адресата), либо постоянно мониторил реальных отправителя и адресата, прочитав сообщение, вставил в него компромат, сделал новое сообщение, отправил его, и убедился, что адресат его не прочтет! АДЪ! Я скорее поверю, что взломаны RSA ключ, вебморда yahoo или весь интернет.

Прямо напрашивается - если адресат утверждает, что в переписке не состоял, он мог бы скажем, обратиться в google с запросом данных из почтовой системы о сообщении с идентификатором <821365.7205.qm@web28201.mail.ukl.yahoo.com> от 22 янв. 2010.
Кто знает - если живы еще логи, это могло бы ответить на все вопросы.
Адресат - как насчет  такого способа подтверждения своей правоты?

P.S. У меня какое-то странное ощущение на эту тему - ведь именно вебмэйл yahoo таков, что его подпись DKIM может хоть как-то свидетельствовать о существовании письма. Ведись бы переписка с гмейла, хотмейла, яндекса и прочих, или даже через яхушный smtp - не было бы возможности тыкать в подписи полей Received: как какое-то хоть подтверждение подлинности переписки. Как-то это очень уж удачно выглядит. Хотя конечно может быть и совпадением.


О достоверности "подписанной" DKIM почты
bruce_swillis
На самом деле, подпись DKIM удостоверяет _только_, что письмо действительно было обработано определенным почтовым сервером, в данном случае обслуживающим домен yahoo.
(Это конечно верно, только если кто-то кроме яху не располагает его приватным ключом - что вообще-то маловероятно).

Насчет защиты от подделки заголовков и тела письма.
DKIM предназначен для исключения таких модификаций на этапе _между_ отправкой письма исходным сервером и получением-верификацией письма сервером получателя (т.н. man-in-the-middle).
При этом, сообщение (в формате MSG/RFC822), подготовленное отправителем и представленное для обработки почтовому серверу может содержать _любую_ информацию в _теле_ письма (блоке DATA smtp-сессии). Например, заголовки From: и To:, равно как и Date: могут содержать полнейшую галиматью (хотя некоторые почтовые сервера делают rewrite поля From: на основании данных авторизации пользователя, пытаясь избежать подделки обратного адреса).
_Настоящие_ поля From: и To: (из MAIL FROM:<> и RCPT TO:<>) в _теле_ письма фигурируют редко, некоторые серверы добавляют таки их в виде заголовков Envelope-From: и Envelope-To:. Чего в _данном случае_ в теле письма не наблюдается.

Короче, чтобы сделать представленную подделку, делаем вот что:
telnet <яхушный смтп> 25
ehlo
auth plain ....
mail from:<my_account@yahoo.it>
rcpt to:<my_other_account@скажем_на_яндекс.ру>
data
Message-ID: АйДи
Date: _Нужная_МНЕ_дата_
From: _Нужный_мне_человек_ <якобы_его_адрес@yahoo.it>
To: Навальный <navalny@на_гмейле>
...

.

И все.

Лезем в почтовый ящик на _своем_яндексе_, куда только что отправили месседж со _своего_ яху.
Вырезаем все в сообщении, начиная с заголовка DKIM-Signature: (скажем спасибо серверу яху за подтверждение факта отправки и содержимого тела письма).
Добавим в начало будущего фейка по вкусу заголовки Received:, Return-Path:.

Бежим за зарплатой к жуликам и ворам.

UPD:
Да, действительно, описанная схема не применима к серверу yahoo из-за его особенностей с подписыванием заголовков. Изготовить сообщение, которое бы выглядело как отправленное через Веб-интрерфейс, при этом адресованное кому-то иному, нежели указанный в заголовке адресат не представляется возможным описанным методом.
Но это никак не отменяет основного тезиса: "DKIM подтверждает только факт обработки подписанных полей и тела сообщения сервером yahoo. Не больше и не меньше."
Утверждение, что DKIM подтверждает факт доставки сообщения адресату (и тем паче прочтения) - это передергивание.


О вбросах
bruce_swillis
Читаю сейчас ленту ЖЖ, и вижу который по счету высер постоянно торчащего в топе борцуна с Навальным:
http://politrash-ru.livejournal.com/49186.html

Мразь он, конечно, редкостная. И ведет себя по-шакальи - прикрываясь некими "хакерами", "хэллами"... Сам-то вроде не при делах, МОПЕД-де не его, он просто пост пишед.
Ну мы, конечно, дети малые, и никогда бы и не подумали, что политреши с хэллами на одной оперативке задания получают...

Одно забавно - несут пургу о том, что у них-де есть доказательства аутентичного происхождения отдельных "писем"-фальшивок, заботливо вложенных ими же в архив, ранее стянутый со взломанного джимейла Навального.
Среди коих:
1. Скриншотэ Зе Бата ;)
2. Ссылки на "архив TTB, который изменить нивазможна!"
3. Многозначительное кивание на DKIM-signature (сопровождаемое высокомерным - иди учи матчасть...)

Как будто эти выблядки не знают, что среди аудитории ЖЖ дозера и больше "не пальцем деланных", а среди тех, кто разбирается в информационных технологиях, 99.9% известно где видели вашу мерзкую кремлядь.
В общем - кому вы лечите? Ладно б бабкам на базаре...

Короче, для особо одарённых:
Иного способа подтвердить аутентичность электронного сообщения является электронная подпись отправителя (во всех ее разновидностях - хоть PGP, хоть ГОСТ, хоть S-MIME).
При этом, надо располагать не вызывающим сомнений открытым ключом отправителя, извлеченным, например, из другого сообщения,подлинность которого подтверждалась бы отправителем лично.

Все остальное, включая DKIM - не катит. Курите мануалы, если непонятно почему.

P.S. Ни разу за 14 лет в сети еще не написал ничего "на стену". Уф. Партизан со стажем.