ТОП-3 скандальных слива почт кандидатов в народные депутаты
Материал подготовлен совместно с техническим директором компании Hacken Матюхиным Андреем
Предвыборная гонка в самом разгаре, митинги, акции, провокации. Все чаще в СМИ мелькают фамилии кандидатов в народные депутаты, наряду со звонким "Скандал".
Не всегда оппонирующие стороны выбирают честные и порядочные методы, зачастую в ход идут черный PR, а особо "знающие" не стесняются пользоваться, так называемым "конфиденциалом" или данными, полученными из е-почт. В таком случае, страдают не только сами политики, но и их приближенные: помощники, секретари, близкие родственники, доверенные лица. Те, кто наиболее уязвим и обладает определенным объемом информации.
Однако, в подобного рода данных и скандалах, порой сложно отличить правду от вымысла, поэтому, предлагаю пристально присмотреться к ТОП 3 политических скандалов, вызвавших общественный резонанс ввиду полученных и опубликованных конфиденциальных данных и немножко разобраться.
Имя кандидата в народные депутаты по 169 одномандатному округу г. Харьков Александра Куницкого громко прогремело не только на город, в котором он баллотируется, но и на всю страну. Практически каждый обсуждал факт наличия у него гражданства Израиля и Украины.
С чего все началось? С публикации в средствах массовой информации копии заграничного паспорта гражданина Израиля - Александра Куницкого. Она стала основанием для обращения кандидата в народные депутаты Петриченко в Центризбирком с заявлением об отмене регистрации кандидата в народные депутаты Куницкого.
ЦИК исследовав факты, установил, что Куницкий отсутствовал в стране 264 дня, чем нарушил ценз оселости. Поясняя свое длительное отсутствие, Куницкий подал в ЦИК приказы 1+1 Продакшин и ГО "Елита Нации" о командировках в Румынию и Венгрию.
Однако, в дальнейшем были опубликованы документы, которые могут свидетельствовать о подделке Куницким документов, поданных в ЦИК.
В данном случае, жертвой хакерской атаки очевидно стало доверенное лицо кандидата в народные депутаты Куницкого - Александр Курцев. С личной почты были опубликованы материалы, те же приказы, которые были поданы в ЦИК с одной лишь разницей, изначально их должны были подписывать не ГО "Елита Нации" и 1+1 Продакшин, а сам Куницкий, как частное лицо-предприниматель.
Приказ и сопоставление свойств файла
Анализ свойств файла показывает, что создавались документы в 2019 г. Тарасом Гуменюк, юристом ЮК "Перемежко и партнеры", в то время, как они датированы 2015 годом, что может свидетельствовать о подделке документов, поданных в ЦИК.
Почти полтора миллиона жителей Украины имели удовольствие лицезреть "Свадьбу года" - журналистское расследование Секретных материалов 1+1. В распоряжение журналистов попала флешка с материалами е-почты Михаила Гладковского на которой находились в том числе и материалы, по свадебным затратам, а также, данные якобы о том что он, как и его брат Игорь, был куратором мошеннических схем Укроборонпрома. Журналисты заявили, что именно через Михаила Гладковского проходило обсуждение Укроборонпрома о создании боевых роботов, а также письма, которые приходили на имя Министра обороны Украины того времени.
В июле 2019 Александр Дубинский опубликовал в своем блоге на Youtube расследование относительно кандидата в народные депутаты, самовыдвиженца Сергея Рыбалка, прикрепив дампы почт. Наличие дампа почты в оригинальном формате позволяет провести их первичный анализ на подлинность.
| Значение хеш функций для контроля целостности исследуемых файлов: § Важные.mbox Hash (SHA256): 4678FD8E6B857DBA66952B22DC0F915B482AEC512FC0A6E635265A12194A9782 § Входящие.mbox Hash (SHA256): 17BDA4ADAE5D74CB16AF4734D6327EF96FAA3F725D7D4EF7A8D35D04DE6209A9 § Отправленные.mbox Hash (SHA256): B9E5EBFB0D9ACF80C441F10E0EC80E00C264AA4B6A22D7BADC8B836D1A08E233 § Помеченные.mbox Hash (SHA256): 4A2A6600DC8BCC53FAAB2F61554B7318326042ED79DC36A217D9E763E53FD61C |
Формат базы данных исследуемой почтовой переписки mbox[1]. В mbox (RFC[2] 4155) формате сообщения хранятся в файлах, напрямую доступных пользователям, в оригинальном формате Internet Message (RFC 2822). Исследуемая база содержит полный набор e-mail метаданных.
Из практики компьютерной криминалистики основным доказательством в расследованиях на базе электронной почты является метаданные или заголовки электронной почты. Заголовок электронного письма содержит значительное количество информации об электронном письме. На следующем рисунке показан образец заголовка из исследуемой базы отправленного от [email protected] к [email protected]
| X-Priority: 3 (Normal) X-GM-THRID: 1632950527570071934 X-Gmail-Labels: =?iso-8859-5?Q?_=BE=E2=DF=E0=D0=D2=DB=D5=DD=DD=EB=D5?= X-Originating-Ip: 82.144.200.89; For="82.144.200.89" Received: from [email protected] by frv52.fwdcdn.com; Mon, 27 May 2019 16:43:55 +0300 X-Reply-Action: reply In-Reply-To: <[email protected]> References: <[email protected]> <[email protected]> <[email protected]> <[email protected]> <CA++sRq2H5Ww_4i+vBuDWnh-R+opUqngAs4nze6qAVMFHsoO+fg@mail.gmail.com> <[email protected]> <CAEo9AZyxaHLFz=vuQ9DM+k7XTFEVjrcxc0rDaOn_5TFH+ZB4ZA@mail.gmail.com> <[email protected]> <[email protected]> <[email protected]> <[email protected]> <[email protected]> <[email protected]> <[email protected]> <[email protected]> <[email protected]> <[email protected]> <[email protected]> <[email protected]> <[email protected]> <[email protected]> <[email protected]> <[email protected]> <[email protected]> <[email protected]> <[email protected]> <[email protected]> <[email protected]> <[email protected]> <[email protected]> <[email protected]> <[email protected]> X-New-Users: 0 X-Mailer: mail.ukr.net 5.0 MIME-Version: 1.0 Message-ID: <[email protected]> Content-Type: multipart/alternative; boundary="------------040006040108010806020300" Cc: [email protected], [email protected] Return-Path: [email protected] From: =?iso-8859-5?Q?=BE=DB=EC=D3=D0_=B2=D4=DE=D2=D5=DD=DA=DE?= <[email protected]> Date: Mon, 27 May 2019 16:43:55 +0300 Subject: =?iso-8859-5?Q?Re[2]:_BioEcoLinks:_=E0=D0=E1=E5=DE=D6=D4=D5=DD=D8=D5_=E3=E1=E2=D0=D2=D0_=D8_=D4=D0=DD=DD=EB=E5_=D2_=A4=B4=C0=BF=BE=C3?= |
| Заголовок | Пояснение |
| X-Originating-Ip: 82.144.200.89; For="82.144.200.89" | Исходный IP-адрес отправителя, подключающегося к HTTP-интерфейсу почтовой службы |
| Received: from [email protected] by frv52.fwdcdn.com; Mon, 27 May 2019 16:43:55 +0300 | Этот заголовок описывает дату и время получения письма почтовым сервером обслуживающим отправителя |
| X-Mailer: mail.ukr.net 5.0 | Этот заголовок устанавливается отправляющей программой и описывает почтовый клиент отправителя |
| Message-ID: <[email protected]> | Уникальный идентификатор письма |
| Content-Type: multipart/alternative; boundary="------------040006040108010806020300" | Этот заголовок указывает тип содержимого сообщения |
| Адрес получателя | |
| Адрес(а) находящиеся в копии для получения | |
| Return-Path: [email protected] | Адрес электронной почты, отправитель хотел бы, чтобы получатели использовали для ответов. |
| Date: Mon, 27 May 2019 16:43:55 +0300 | Дата в время отправления письма отправителем |
| X-Originating-Ip и X-Mailer являются своеобразными отпечатками указывающих на отправителя. | |
Как резюме: общее количество в базе данных почтовой переписки составляет 4655 писем отправленных, или полученных в период c 17 мая 2013 года по 27 мая 2019 года. Исследуемая база содержит множественные артефакты в виде: копий паспортов, свидетельств о браке, деклараций, идентификационных номеров и другой информации личного характера, которая указывает на ее аутентичность.
Подводя итог, стоит отметить, что конфиденциальные данные из е-почт могут и используются не только в черном PR, но, порой и для давления в уголовной плоскости. И несмотря на то, что в нашей стране возникает проблема с использованием данных с е-почт как доказательств в уголовном процессе, американская система правосудия уже давно знает множество случаев, в которых почтовая переписка являлась доказательством:
- Enron
- Knox vs. State of Indiana
- Harley vs. McCoach
- Nardinelli et al. vs. Chevron
- Adelyn Lee vs. Oracle Corporation
