Fórum Root.cz
Hlavní témata => Server => Téma založeno: FKoudelka 26. 04. 2021, 17:56:54
-
Čepiga s Miškinem se do Vrbětic objednali e-mailem, který byl podle policejní expertizy zbaven všech metadat. To znemožňuje určit, odkud přesně byl odeslán.
Má někdo představu jak ? Nedovedu si představit, co by na to řekl přijímací server ...
-
Přijímající server potřebuje znát akorát obálkového odesílatele a adresáta. Přičemž odesílatel může být podvržený, pokud se nekontroluje DKIM nebo SPF.
Metadaty se nejspíš myslí různé X- hlavičky přidávané poštovními klienty a servery po cestě, hlavičky Received – tj. pravděpodobně ten e-mail ručně poslali přímo na cílový server, nebo přes nějakého jednoho anonymizačního prostředníka, který např. zatajil IP adresu původního klienta.
-
Čepiga s Miškinem se do Vrbětic objednali e-mailem, který byl podle policejní expertizy zbaven všech metadat. To znemožňuje určit, odkud přesně byl odeslán.
Má někdo představu jak ? Nedovedu si představit, co by na to řekl přijímací server ...
Asi tím chce novinář naznačit, že to obsahovalo čistý plaintext/ořezaný html a ne kompletní Microsoftí bordel, nejlépo v podobě .docx přílohy, kterej obsahuje spoustu pro vyšetřování potřebného bordelu, včetně komu ten word patří.
Jasně že alespoň z jakého IP to přišlo (to doplňuje cílový server) a nutné (envelope from/to, a hlavička mailu tam asi bude.) taky.
-
Přijímající server potřebuje znát akorát obálkového odesílatele a adresáta. Přičemž odesílatel může být podvržený, pokud se nekontroluje DKIM nebo SPF.
Metadaty se nejspíš myslí různé X- hlavičky přidávané poštovními klienty a servery po cestě, hlavičky Received – tj. pravděpodobně ten e-mail ručně poslali přímo na cílový server, nebo přes nějakého jednoho anonymizačního prostředníka, který např. zatajil IP adresu původního klienta.
Nojo asi spíš použili IP prostředníka , aspoň jeden Received tam musí být vidět nehledě na logy spojení. Tohle se na straně odesilatele vymazat nedá. Ošidit DNS a SPF check, to už umí i spammeři, natož GRU.
-
Nojo asi spíš použili IP prostředníka , aspoň jeden Received tam musí být vidět nehledě na logy spojení.
Ano, ale ten jeden Received tam vložil až server příjemce. Případně více, pokud to u příjemce putuje přes víc serverů. Tedy při odeslání ten e-mail neměl žádná metadata. V přijatém e-mailu pak máte z metadat jenom datum a čas přijetí a IP adresu, odkud byl e-mail předán cílovému serveru.
-
V Postfixu není problém nastavit, aby průchozí e-maily osekal o "nedůležité" hlavičky.
Např. https://www.srv24x7.com/postfix-remove-received-header/ (nezkoušel jsem)
-
Skor mi to pripomina scenar ktory som uz mnohokrat videl, ked zamestnanec chcel argumentovat mailom ktory odosielatel nikdy nenapisal. Mail bol zrejme napisany na mieste a presunuty do prijatej posty.
Mali by tam byt minimalne metadata cieloveho mta. Ak tam nie su, tak mail bol vytvoreny rucne a na server nahrany cez imap. Ip servrov cez ktore by mal mail putovat tam nie su, je dost komplikovane upravit logy mail serverov po ceste...
-
Skor mi to pripomina scenar ktory som uz mnohokrat videl, ked zamestnanec chcel argumentovat mailom ktory odosielatel nikdy nenapisal. Mail bol zrejme napisany na mieste a presunuty do prijatej posty.
Mali by tam byt minimalne metadata cieloveho mta. Ak tam nie su, tak mail bol vytvoreny rucne a na server nahrany cez imap. Ip servrov cez ktore by mal mail putovat tam nie su, je dost komplikovane upravit logy mail serverov po ceste...
Otázkou je, zda mohl být ten email takový podvrhl... Což v případě, že by to tak čirou náhodou bylo, přináší spoustu dalších otázek...
-
IMHO hledáte složitosti, kde nejsou. Nejpravděpodobnější varianta je, že to byl úplně normální mail, kde si jen odesílatel dal pozor, aby tam nebylo nic prozrazujícího (tzn. poslaný třeba někde z freemailu) a novinář (nebo policajt?), kterej tomu nerozumí, to "přebásnil".
-
IMHO hledáte složitosti, kde nejsou. Nejpravděpodobnější varianta je, že to byl úplně normální mail, kde si jen odesílatel dal pozor, aby tam nebylo nic prozrazujícího (tzn. poslaný třeba někde z freemailu) a novinář (nebo policajt?), kterej tomu nerozumí, to "přebásnil".
Myslite ze ak poslete mail z freemailu, tak nie je mozne zistit z acces logov ip adresu browseru v ktorom bol ten freemail otvoreny?
-
Myslite ze ak poslete mail z freemailu, tak nie je mozne zistit z acces logov ip adresu browseru v ktorom bol ten freemail otvoreny?
Access logy po takové době nemusí být dostupné. Ale freemaily obvykle IP adresu klienta dávají rovnou do hlaviček e-mailu.
Nemyslím si ale, že to byl e-mail poslaný z nějakého freemailu. Ona by asi žádost o návěštěvu muničního skladu poslaná z freemailu vypadala dost podezřele.
-
Myslite ze ak poslete mail z freemailu, tak nie je mozne zistit z acces logov ip adresu browseru v ktorom bol ten freemail otvoreny?
Access logy po takové době nemusí být dostupné. Ale freemaily obvykle IP adresu klienta dávají rovnou do hlaviček e-mailu.
Nemyslím si ale, že to byl e-mail poslaný z nějakého freemailu. Ona by asi žádost o návěštěvu muničního skladu poslaná z freemailu vypadala dost podezřele.
Tie access logy, pripadne iny sposob identifikacie klienta by mali byt dostupne. Podla smernic EU musi byt elektronicka komunikacia zalohovana, teraz z hlavy neviem kolko rokov.
Ten najpouzivanejsi freemail tu ip do hlavicky nedava, je tam len ip webserveru.
S ostatnym suhlasim.
-
Tie access logy, pripadne iny sposob identifikacie klienta by mali byt dostupne. Podla smernic EU musi byt elektronicka komunikacia zalohovana, teraz z hlavy neviem kolko rokov.
Otázka je, zda by GRU používala zrovna freemail spadající pod jurisdikci EU.
-
Skor mi to pripomina scenar ktory som uz mnohokrat videl, ked zamestnanec chcel argumentovat mailom ktory odosielatel nikdy nenapisal. Mail bol zrejme napisany na mieste a presunuty do prijatej posty.
Mali by tam byt minimalne metadata cieloveho mta. Ak tam nie su, tak mail bol vytvoreny rucne a na server nahrany cez imap. Ip servrov cez ktore by mal mail putovat tam nie su, je dost komplikovane upravit logy mail serverov po ceste...
Vida, zkusim telnet na smtp.
-
IMHO hledáte složitosti, kde nejsou. Nejpravděpodobnější varianta je, že to byl úplně normální mail, kde si jen odesílatel dal pozor, aby tam nebylo nic prozrazujícího (tzn. poslaný třeba někde z freemailu) a novinář (nebo policajt?), kterej tomu nerozumí, to "přebásnil".
No asi přebásnil, ale stejně mne zajímá technická stránka věci.
-
Tie access logy, pripadne iny sposob identifikacie klienta by mali byt dostupne. Podla smernic EU musi byt elektronicka komunikacia zalohovana, teraz z hlavy neviem kolko rokov.
Otázka je, zda by GRU používala zrovna freemail spadající pod jurisdikci EU.
Freemail sa moze vylucit uplne, podla toho co sa pise tak sa vydavali za inspektorov imex group, teda sa da predpokladat ze odosielatel by mal byt z domeny tej firmy.
-
Skor mi to pripomina scenar ktory som uz mnohokrat videl, ked zamestnanec chcel argumentovat mailom ktory odosielatel nikdy nenapisal. Mail bol zrejme napisany na mieste a presunuty do prijatej posty.
Mali by tam byt minimalne metadata cieloveho mta. Ak tam nie su, tak mail bol vytvoreny rucne a na server nahrany cez imap. Ip servrov cez ktore by mal mail putovat tam nie su, je dost komplikovane upravit logy mail serverov po ceste...
Vida, zkusim telnet na smtp.
Ja by som to videl ma jednoduchsi scenar, mail sam sebe, export spravy do suboru, edit, import spravy zo suboru... a ak je klient pripojeny cez imap tak tu upravenu spravu nasynchronizuje na server, div sa svete bez metadat s kade ten mail prisiel...
-
"co sa pise tak sa vydavali za inspektorov imex group, teda sa da predpokladat ze odosielatel by mal byt z domeny tej firmy."
Jestli jsem dobře pochopil, tak se nevydávali přímo za inspektory IMEX Group, ale za jejich zákazníky za Tádžikistánu a Moldávie.
Viz např.
https://www.irozhlas.cz/zpravy-domov/agenti-gru-bellingcat-vrbetice-vybuch-skladu_2104220910_mpa (https://www.irozhlas.cz/zpravy-domov/agenti-gru-bellingcat-vrbetice-vybuch-skladu_2104220910_mpa)
"Otázka je, zda by GRU používala zrovna freemail spadající pod jurisdikci EU."
Jestli to byl Tádžický email, tak rozhodně nespadá a pro českou BISku jsou logy (jestli vůbec existují) nedostupné.
"Nemyslím si ale, že to byl e-mail poslaný z nějakého freemailu. Ona by asi žádost o návěštěvu muničního skladu poslaná z freemailu vypadala dost podezřele."
Nevím, jestli má AČR (která vydává povolení) přehled o Tádžických freemailech, takže by si to IMHO klidně risknout mohli. Nicméně úplně stejně či spíše pravděpodobněji - v tom máš asi pravdu - to mohl být dočasný vlastní mailserver na nějaké dočasné VPSce, kde zároveň běžely nějaké fake webstránky té firmy, za kterou se vydávali.
-
Jestli jsem dobře pochopil, tak se nevydávali přímo za inspektory IMEX Group, ale za jejich zákazníky za Tádžikistánu a Moldávie.
V tom clanku, ktory odkazujete sa pise ze imex group tvrdi ze na prehliadku neprisli. Cize ako som si myslel tak tam sami nakracat nemohli. Tak ako si nemyslim ze by imex group zobrala na exkurziu do municaku niekoho kto sa vydava za ich zakaznika. Mne osobne by ani nenapadlo vziat niekoho, kto mi tvrdi ze je moj zakaznik a nepoznam ho, na exkurz do firmy kde pracujem.
Btw, je niekde nejaka zmienka o tommaili starsia ako 2-3 mesiace? Nikde som nic take nenasiel. Preco sa objavil 6 rokov stary mail az teraz.
-
Ja by som to videl ma jednoduchsi scenar, mail sam sebe, export spravy do suboru, edit, import spravy zo suboru...
Proč tak složitě? Zen e-mail prostě rovnou od začátku vytvořím. Formát e-mailu je velmi jednoduchý textový formát.
a ak je klient pripojeny cez imap tak tu upravenu spravu nasynchronizuje na server, div sa svete bez metadat s kade ten mail prisiel...
Přístupové údaje k cílovému IMAP serveru (pokud vůbec provozují IMAP) asi ti agenti neměli.
Btw, je niekde nejaka zmienka o tommaili starsia ako 2-3 mesiace? Nikde som nic take nenasiel. Preco sa objavil 6 rokov stary mail az teraz.
Protože až teď si to spojili a začali pravděpodobně pátrat po tom, co tam ti dva vlastně dělali. Ten e-mail byl uváděn jako věc, na kterou se přišlo až teď při novém vyšetřování.
-
Skor mi to pripomina scenar ktory som uz mnohokrat videl, ked zamestnanec chcel argumentovat mailom ktory odosielatel nikdy nenapisal. Mail bol zrejme napisany na mieste a presunuty do prijatej posty.
Mali by tam byt minimalne metadata cieloveho mta. Ak tam nie su, tak mail bol vytvoreny rucne a na server nahrany cez imap. Ip servrov cez ktore by mal mail putovat tam nie su, je dost komplikovane upravit logy mail serverov po ceste...
Vida, zkusim telnet na smtp.
Ja by som to videl ma jednoduchsi scenar, mail sam sebe, export spravy do suboru, edit, import spravy zo suboru... a ak je klient pripojeny cez imap tak tu upravenu spravu nasynchronizuje na server, div sa svete bez metadat s kade ten mail prisiel...
IMAP může posílat zprávy ? Myslel jsem, že jen přijímat …
-
Skor mi to pripomina scenar ktory som uz mnohokrat videl, ked zamestnanec chcel argumentovat mailom ktory odosielatel nikdy nenapisal. Mail bol zrejme napisany na mieste a presunuty do prijatej posty.
Mali by tam byt minimalne metadata cieloveho mta. Ak tam nie su, tak mail bol vytvoreny rucne a na server nahrany cez imap. Ip servrov cez ktore by mal mail putovat tam nie su, je dost komplikovane upravit logy mail serverov po ceste...
Vida, zkusim telnet na smtp.
V hlavičce zprávy je i tak vidět v IP klienta v Received:
-
Přístupové údaje k cílovému IMAP serveru (pokud vůbec provozují IMAP) asi ti agenti neměli.
Njn, najjednoduchsia moznost je ta najpravdepodobnejsia. Napriklad snaha o zakrytie nejakeho pruseru. Je to jednoduchsie vysvetlenie ako komplikovany bombovy atentat. Naco by sa snazili posielat nejaky mail ked sa tam ako sa pise dostali aj bez neho. Ako nech by robili cokolvek, tak nejake metadata by tam byt museli, je dine ak by ten mail neprivestoval ale bol vytvoreny.
-
IMAP může posílat zprávy ? Myslel jsem, že jen přijímat …
Nie spravy posielat nemoze, na to je SMTP, ale IMAP vie synchronizovat mailboxy, nie len vzdialeny do lokalneho ale aj naopak
-
Napriklad snaha o zakrytie nejakeho pruseru.
Připadá mi, že odpálením skladu munice by akorát z malého průšvihu udělali velký.
-
Njn, najjednoduchsia moznost je ta najpravdepodobnejsia.
No právě.
Napriklad snaha o zakrytie nejakeho pruseru. Je to jednoduchsie vysvetlenie ako komplikovany bombovy atentat.
Ne, to není.
Naco by sa snazili posielat nejaky mail ked sa tam ako sa pise dostali aj bez neho.
Oni nejdřív poslali ten e-mail, teprve pak se tam dostali. Možná s etam dostali i díky tomu e-mailu. A nebo prostě plánovali víc různých variant, jak se tam dostat. Myslíte, že když plánují takovouhle akci, chtějí pak skončit na nějakém vrátném jenom proto, že neposlali předem e-mail?
Ako nech by robili cokolvek, tak nejake metadata by tam byt museli
Nikdo také netvrdí, že tam žádná metadata nebyla. Každému, kdo se v doručování e-mailů alespoň trochu vyzná, je jasné, že když odstraníte všechna metadata e-mailu a e-mail doručíte na cílový server, ten hned nějaká metadata přidá. Takže „byla odstraněna metadata“ neznamená, že v přijatém e-mailu žádná metadata nejsou.
-
Njn, najjednoduchsia moznost je ta najpravdepodobnejsia.
No právě.
Napriklad snaha o zakrytie nejakeho pruseru. Je to jednoduchsie vysvetlenie ako komplikovany bombovy atentat.
Ne, to není.
Naco by sa snazili posielat nejaky mail ked sa tam ako sa pise dostali aj bez neho.
Oni nejdřív poslali ten e-mail, teprve pak se tam dostali. Možná s etam dostali i díky tomu e-mailu. A nebo prostě plánovali víc různých variant, jak se tam dostat. Myslíte, že když plánují takovouhle akci, chtějí pak skončit na nějakém vrátném jenom proto, že neposlali předem e-mail?
Ako nech by robili cokolvek, tak nejake metadata by tam byt museli
Nikdo také netvrdí, že tam žádná metadata nebyla. Každému, kdo se v doručování e-mailů alespoň trochu vyzná, je jasné, že když odstraníte všechna metadata e-mailu a e-mail doručíte na cílový server, ten hned nějaká metadata přidá. Takže „byla odstraněna metadata“ neznamená, že v přijatém e-mailu žádná metadata nejsou.
Ten myslienkovy tok ma ale minimalne dve podmienky:
- Vinnikom su ti dvaja typci z GRU. Preco su vinnici dokazeme nejako neskor. Napriek tomu nebudeme pochybovat ze vybuch nesposobila manipulacia s vybusninami.
- Mail najake metadata ma, ale chybaju mu ip adresy servrov cez ktore prechadzal aj s casovymi peciatkami kedy cez ne prechadzal. Napriek tomu nebudeme pochybovat ze mail dorazil skor ako doslo k vybuchu.
-
Ale spat k topicu.
Je este jedna moznost preco nie su metadata. Mail bol vytlaceny. Za tych sest rokov bol mailbox x krat precisteny. A tak maju len kus papiera ktory samozrejme metadata nenesie...
-
Čepiga s Miškinem se do Vrbětic objednali e-mailem, který byl podle policejní expertizy zbaven všech metadat. To znemožňuje určit, odkud přesně byl odeslán.
Má někdo představu jak ? Nedovedu si představit, co by na to řekl přijímací server ...
Ale spat k povodnej otazke. Mame mail bez metadat. Nebudeme riesit aky mail, moze to byt hocijaky. Mame niekolko moznosti.- mail bol normalne doruceny cez mta na mda. Metadata niekto zmazal. To by ten mail zmazal rovno cely. Vratane tela. Preto je tento bod podla mna velmi nepravdepodobny.
- mail bol rucne vytvoreny lokalne a mozno nasynchronyzovany cez imap na server. Nebude mat ziadne metadata
- existuje len vytlacena verzia. Ziadne metadata.
ma niekto este nejaky napad ako dostaneme mail bez metadat? Ci len SJW kecy?
-
Rád bych ten e-mail viděl... ;)
-
Mame mail bez metadat.
Nemáme. Máme e-mail, ze kterého byla (před odesláním) odstraněna metadata. Z čehož ovšem nijak neplyne, že tam po přijetí nějaká metadata nejsou. On totiž může do e-mailu přidat metadata i přijímající server – a obvykle to dělá.
Ja len nerad verim nepravdepodobnym scenarom.
Zatím je nejpravděpodobnější scénář to, že jste sám to (už tak velmi obecné) vyjádření Policie překroutil.
Mail najake metadata ma, ale chybaju mu ip adresy servrov cez ktore prechadzal aj s casovymi peciatkami kedy cez ne prechadzal. Napriek tomu nebudeme pochybovat ze mail dorazil skor ako doslo k vybuchu.
To, kdy mail dorazil, se dá snadno získat ze záznamů cílového serveru. Jeden takový záznam je například v každém přijatém e-mailu, protože přijímající server do e-mailu zapíše hlavičku: „Dne toho a toho v čase tom a tom jsem přijal e-mail od klienta s IP adresou tou a tou.“
-
Zajímavé co se dá všechno vyvařit z jedné holé věty, novinářské zkratky, v tiskové zprávě :-)
Já osobně bych jí rozuměl tak jako už někteří přede mnou - tj. že v emailu byla jen naprosto minimální (meta)data nezbytná k jeho doručení (např. žádná metadata o programu a systému ze kterého byl odeslán která tam člověk běžně najde, takové ty `X-` věci) a byl doručen přímo na cílový server (nehopkal přes server(y) internetového providera atp.) z nějaké pofidérní IP adresy. To je čemu bych já osobně řekl "email bez metadat".
Konspirační teoretici co nevěří klamstvám a hledají nejjednodušší vysvětlení ovšem vědí že byly zfalšované i ty letenky, půjčování aut, data od mobilních operátorů, fotky na fejsbůku, doklady o ubytování… co by mohlo být jednoduššího? A kromě toho si ti dva notoričtí obchodníci s krmivem pro kočky a jejich přátelé vyjeli na otočku z Moskvy na Valašsko prohlédnout známou dřevěnou zvoničku ve Vrběticích... a teď jsou SJW (opravdu social justice warriors?, nemělo to být NWO?) neprávem vláčeni blátem.
-
Osobně si myslím, že protože se jedná především o politickou záležitost, nemá smysl snažit se zjistit, co se stalo. Je zde mnoho takových, co mají zájem na tom, aby to byla pravda, a jiných se zájmem opačným. A informace jsou vždy zprostředkované. Občané, kteří uvěří, se pak stanou jen užitečnými blbci, kteří šíří někomu pohodlný názor. Nakonec se za pár let ukáže, že bylo všechno jinak. Kolikrát jsme to už viděli? (Bez ohledu na výsledek ale ČR pokakala, že si nepočkala na ukončení vyšetřování, to je diletantství.)
Zajímavé je to pouze z technického hlediska: Co když to bylo jinak - e-mail byl zbaven metadat, ale ve smyslu těch užitečných, takže se nedal zjistit původ. Dám příklad: Přes Tor si založím kdekoliv na světě e-mailovou schránku a z ní pak dopis pošlu. Taková metadata jsou k prdu.
-
Technicky je to jistě zajímavé. Na BBC píšou toto:
Another clue, the BBC has learnt, was the email used to request the men's visit to the arms depot. It was traced to a user in Russia rather than Tajikistan and when entered in a Skype directory linked to a username "Andrey O".
Mimochodem, prohlížíte někdy hlavičky přijatých mailů?
Když byla řeč o těch dvou cestovatelích, vzpomněl jsem si na tuto scénku z Vrchní prchni:
https://www.youtube.com/watch?v=JRsyQcIm1jk
Málokdy v životě máme přímou viditelnost na "pravdu", většinou si musíme vystačit jen s "odrazy".
-
Téma bylo rozděleno, původní offtopic část je v samostatném vlákně (https://forum.root.cz/index.php?topic=24651). Prosím, pokračujte v technické diskusi k původnímu tématu.
-
Téma bylo rozděleno, původní offtopic část je v samostatném vlákně (https://forum.root.cz/index.php?topic=24651). Prosím, pokračujte v technické diskusi k původnímu tématu.
Diky