Този текст е в отговор на коментар публикуван от Светлин Наков във Facebook и повторен в няколко медии.
… Файлът, който се явява улика срещу набеденият за теча на данни от НАП експерт по компютърна сигурност Кристиян Бойков е фалшифициран!
Хакерите използват Linux, особено истински добрите хакери, няма съмнение за това. Точно както дизайнерите ползват Mac и няма съмнение за това. ZIP архивът, който изтече (minfin_leak.zip) е създаден под Linux (вижте на картинката).
Подпъхнатият по-късно файл .~lock.DEC73_DETAILS.csv# е създаден под Windows, от някой друг, не от този, който е създал архива с експорта на Oracle базата данни на НАП от системата за възстановяване на ДДС.
Най-вероятно Кристиян е набеден за теча на данни …
Еми съжалявам, но оная улика в архива на #НАПЛийкс не е фалшифицирана.
Би могла да бъде, както всяко нещо във въпросния архив, впрочем, но също толкова вероятно е да са свалени и разгледани файловете на win машина, после прехвърлени и архивирани под linux. Вярно е, че тези, които бихме определили като хакери, работят предимно на linux, но малко хора се ограничават до една система или една машина, особено, когато работата им или специфичните инструменти го изискват.
Има добри аргументи защо някой би подхвърлил такава улика предвид какво работи Кристиян, но също толкова вероятно е да се дължи на пропуск – нещо, което дори най-добрите правят, особено когато са твърде самоуверени. Затова твърде категоричните изказвания за този аспект са по-скоро непрофесионални.
Единственото важно в случая е, че този файл не е и не може да бъде доказателство. Той е важна улика, която може да насочи разследването, но като всяка друга намерена в неконтролирана среда и непроследими обстоятелства следва да се постави под въпрос и подкрепи с преки доказателства. Такива биха били скриптове, с които е точил данните, логове от машините да е посещавал тези сайтове или да е минавал през VPN мрежи, от адресите на които има повиквания към НАП, други изтеглени данни, които не са още публични и т.н.
Изглежда ГДБОП ги нямат тези неща и не виждат надежда да намерят. Иначе Кристиян щеше да е още в ареста. Нищо от това не означава всъщност, че не е той – ако е, значи си е прикрил добре следите, въпреки конкретния пропуск. Ако не е той, значи някой определено не го харесва особено. И в двата случая всяко ново изказване на ГДБОП и НАП показва само колко зле са в защитата на информация, поддържането на системите си и такива разследвания.
Чак пък да си пишеш името още от старта… програмистите знаят кое как да почват…
Въпросът е ако не е той следвателно ГДБОП имат практика да създават фалшиви улики за PR цели, което е по-голям скандал и от изтеклата информация.
Ако наистина е добавен файла с цел да се натопи момчето, това няма нищо общо ГДБОП. Файлът си беше там в изтеклия архив преди който и да е в администрацията да разбере, че НАП са хакнати. Би означавало обаче, че истинският хакер е почти сигурно българин и то най-вероятно се подвизава в същите форуми като арестувания. Това ограничава доста кръга на заподозрените.
Колко GB беше zip файла?
Малко – 1 и нещо.
Възможно е хакерът да не е потребител на онзи форум. А просто случайно да е разбрал за Кристиян от „Господари на ефира“ и да е проучил какво потребителско име ползва по форумите.
Кристиян е идеалната жертва за натопяване – преди това е хаквал държавна институция, знае му се потребителското име в хакерски форум.
Сайтът на НАП току-що падна. Часът е 17:15 на 22.07.2019г. Бях се зачел в една от новините им и когато реших да прочета за започващия одит, сайтът се срина.
@Спас. Работи си сега. Явно е било за кратко. Пуснаха обаче новина, че спират някои услуги. Временно било. Да видим. https://nap.bg/news?id=3999
Бояне, Бояне – да не ти пука кой какво пише, щом не застава с името си.
Аман от анонимни експерти, опитващи се да формират(манипулират) обществено мнение.
Я да ги питаме отворковците от държавната адмистрация, колко и какви SIEM ситеми ползват.
От 2000г. им обяснявам „що е то SIEM и има ли място у нас“
По един доста сериозен проект за инвентаризация на ИТ в държавната администрация – приключил на скоро, им предлагах при инвентаризацията да се иползва агент, който да мине одобрение от агенцията по киберсигурност и да се сложи – на всяка една машина в ДА. Освен за инвентаризация, трябваше да прави проверки и събира данни в областта на сигурността, превенция на заболяванията свързани с работата на бюро с компютър, наблюдение на действията на потребителите и анализ.
Да ама не. Не ИСКАТ!!!
Да се хванем ли на бас, че Кристиян сам си е създал „уличаващият“ го файл, сам си го е качил и сам се е докладвал анонимно и в следващият момент ще се окаже, че съдейства(и е съдействал) на прокуратурата от самото начало.
Колкото и пари да ти плаща шефа ти(а той не винаги плаща за подобен тип работа) в един момент вземаш да се притесняваш в много аспекти.
Как така никой не коментира как за 24 часа „декриптираха“ всичката „уличаваща“ информация…верно масата читатели и слушатели са лаици, но чак пък толкова…
@Ясен Арсов – анонимни, анонимни, но едни фракции се активизират за по-малко. Особено в сегашния контекст това горе си е притеснително като атака.
@Иво – без доказателства всичко това са си спекулации. Никой с акъла си не би се инкриминирал така. Пропуски стават, също както е възможно да не е криптирал всичките си машини като хората. Аз до онзи ден имах една, която не беше криптирана.
След като видях history-то на “хакера”, а именно как пише 100-Тина пъти:
cd imenapapka
touch ….
cd ..
cd imenapapka2
touch …
И така нататък…. вместо едно елементарно:
find . -exec touch -a -m -t 198911100130.09 * {} \;
Става ясно колко е “хакер” 🙂
А относно доводите на защитника Наков…. смях.
На тоя “хакер” и Виндовс не му е за даване….. и вече няма спор, че са го хванали от простотията му.
Това видимо е извадка от .bash_history файла му. Не е непременно отражение на възможностите му. Особено когато започваш да се ровиш в нов масив от данни. Отделно, че анализът на данни е доста различен набор от знания и опит от това да можеш да експлоатираш слабости на чужди системи.
Не съм съгласен, че ти трябват кой знае какви знания за един елементарен find & exec. Смятам, че неползването му в случая не е оправдано, и говори само и единствено за незнание.
Смяната на датите на съответните файлове (или извършването на много повторяеми действия в конзолата) не е работа с масив от данни, а елементарна операция. А какво, ако имаше 1 милион папки? Или няколко хиляди? Трябва да ги touch-ва цял месец ако ще работи по своя начин 🙂
Хлапето няма основни познания по Линукс и начина на работа с него.
А знанията му се свеждат до ползване на Kali Linux (и подобни), и готовите му инструменти – metasploit, sqlmap и т.н. Последното го знам от първа ръка 🙂 /негов съученик от Търговската/.
Не е кой знае каква философия да сканираш даден ресурс, използвайки готови инструменти…
И не, не е хакер. Още от самото начало твърдях, че е script kiddie. То за това и го хаванаха толкова бързо, и по такъв балъшки начин… и като погледнем и какво са открили в компютъра му – или се е мсилил за недосегаем, или е много тъп и наивен… а вероятно е и двете.
Шефовете му не искам да ги коментирам – да знаеш, че ГДБОП на 100% ще се върнат в офиса, и да не си изтриеш записите от камерите и да не премахнеш улики….
Не мога да съдя за знанията му по няколко реда от bash_history. Явно са достатъчни, за да изтегли данните, но това не е непременно много. Иначе не съм сигурен, че повечето от нас са обмисляли кризисни планове за заличаване на данни. До скоро не бях криптирал дори всичките си дискове.
Много полезна статия и поздравления за прекрасния Блог !