"Бред сивої кобили" - Кріс Касперски про експертизу Гриша-Полтішка

Наша взаимовыгодная связь https://banwar.org/

Або глава 2 захоплюючого оповідання, в якій читач дізнається, як чорне стало білим буквально. За якихось 50 000 USD.

На аркушах 190-196 Том 2 Протокол огляду предметів (документів) від 29-06-2011 року, на аркуші 192 і 194 відповідно зазначено, що ноутбуки Lenovo, вилучені у Артимович І.А. були упаковані в поліетиленові пакети білого кольору і опечатані облаткою з відбитком печатки "Федеральної служби безпеки Російської Федерації Слідче Управління друк для довідок 3". Однак, в постанові про призначення судово-технічної експертизи від 02.09.2011 року (Том 3, листи 208-210) на аркуші зазначено:
Пункт 4. Надати в розпорядження експерта
- Ноутбуки Lenovo ...., Упаковані в паперові пакети чорного кольору, опечатані облаткою з відбитком печатки "Федеральна служба безпеки Слідче управління ФСБ Росії Для довідок 3", скріплені підписами понятих;
З висновку експерта (Том 3, аркуші справи 215-222) на аркуші 216, пункт 2 зазначено, що на дослідження 26.09.2011 надійшов ноутбук ...., Упакований в пакет чорного кольору з полімерного матеріалу, опечатаний облаткою з відбитком печатки "Федеральна служба безпеки слідче управління ФСБ Росії Для довідок 3 ", і пункт 3, ноутбук ... .., так само упакований в пакет чорного кольору з полімерного матеріалу, опечатаний облаткою з відбитком печатки" Федеральна служба безпеки слідче управління ФСБ Росії Для довідок 3 ".

Ось так, навмисне не придумаєш, БІЛІ поліетиленові пакети перетворилися в ФСБ в ЧОРНІ полімерні (втім можливо паперові, а може паперово-полімерні).

Вище - це ремарка на твердження одного геніального мережевого троля з форуму RSDN, що "він ненавидить коли будь-яка вірьмейкерская шваль робить з чорного біле". Повністю з ним солідарні.

Отже. Я спеціально для об'єктивності не став розповідати, що спочатку навіть Тушинський суд послав цю експертизу куди подалі. Коли ж на захист експертизи грудьми став Прокурор і запросив блаженного Григорія Ануфрієва, суд в результаті відклав рішення по експертизі, а саме залишити її в доказах або прибрати, на вирок.

Я б так само міг сказати, що в кулуарах інтернету ходили чутки про якийсь експерта Гришке-Полтішке, мовляв робить він будь-які експертизи для андеграунду російського інтернету: спамерів, дитячих порнографів. 50 косарів зелених щоб упороть будь-якого конкурента!
Але це були тільки чутки, і підтвердити це прямо ми б не могли.
Але. Невідомий контакт надіслав анонімно нам скріншот:

Що людина з таким ніком (Гришка-Полтішок) дійсно існував. Скріншот цей з закритого кримінального форуму (редакції форум відомий), де дана людина пропонував послуги зі створення липових експертиз.

Але що ж все таки сталося на форумах при публікації першого розділу? Нас тут же кинулися: цензурувати .

На Хабре пост видалили, але пізніше пост все таки відновили - спасибі добрим людям! На 4ех форумах топіки потерли. На RSDNe кинулися терти пости - там зникло половина обговорення! Про RSDN пізніше ...

Повний список ресурсів, де було викладено обговорення:
http://habrahabr.ru/post/168501/
http://nnm.ru/blogs/dmitryart/kak-ekspert-iz-laboratorii-kasperskogo-delal-ekspertizu-po-ugolovnomu-delu-o-ddose-sayta-assista-2/
http://www.programmersforum.ru/showthread.php?t=227091
http://www.cyberforum.ru/dump/thread779914.html#post4097502
http://www.ru-coding.com/talk/subj.php?pid=34050#p34050
http://forum.ru-board.com/topic.cgi?forum=33&topic=13594
http://forum.searchengines.ru/showthread.php?p=11402637#post11402637
http://forum.antichat.ru/showthread.php?p=3417733#post3417733
http://forum.vingrad.ru/forum/act-ST/f-193/t-361873/unread-1.html
http://forum.codeby.net/topic50220.html
http://iforum.pro/raznoe-7/eksperty-iz-kasperskogo-1275.html#post7150
http://phpforum.ru/index.php?act=ST&f=22&t=71275
http://www.hardforum.ru/t107706/#post716532
http://www.rsdn.ru/forum/flame/5060866.1
http://forum.ixbt.com/topic.cgi?id=15:70737
http://www.sql.ru/forum/actualthread.aspx?bid=16&tid=1003097&pg=-1
http://sysadmins.ru/post10887666.html#10887666
http://forum.yurclub.ru/index.php?showtopic=346336
http://virusinfo.info/forumdisplay.php?f=62
http://forum.xakep.ru/m_2717893/tm.htm
http://www.anti-malware.ru/forum/index.php?showtopic=25018&mode=threaded&pid=166599
http://d3scene.ru/fleim/47282-oh-tyzh-bleat-leprozoriya-kasperskogo.html
Для прикладу почитайте то кількість тільки юридичних помилок, саме тому об'єктивну ЗАРАДИ я не став їх спочатку викладати, що знайшли експерти саме з юридичної сторони від початку: висновок фахівців .

Коротко тези з ув'язнення:
1. Експертові не оголошені права і не взято підписку про нерозголошення.
2. ЗАТ Лабораторія Касперського не є законним судово-експертною установою.
3. Експертиза призначена "запитом", замість "постанови" - грубе порушення.
4. Не вказані відомості про освіту і досвід експерта.
5. Не роз'яснена методика дослідження.
6. Не вказані наукові роботи обгрунтовують методику.
7. Вихід за межу компетенції, експерт не може підміняти суд і визнавати програму шкідливою.
8. Неналежне опис об'єктів дослідження (не сфотографував об'єкти наприклад).
9. Невірні неіснуючі серійні номери об'єктів дослідження.
10. Не вказані окремо параметри носіїв інформації (НЖМД).
11. Не вказані підписи понятих і слідчих на упаковці об'єктів дослідження.
12. Різночитання в тексті печаток ФСБ скріплюють одні і ті ж об'єкти дослідження.
13. Відсутність методики копіювання інформації з НЖМД для дослідження.
14. Несанкціоноване наслідком копіювання інформації з НЖМД для дослідження.
15. Яскраве невідповідність опису файлу crypted.exe власне самому сайту Касперського (згідно з яким сам по собі файл не є небезпечним).
16. Правильно відповівши на питання 6 і 7 з приводу неможливо установки авторства експерт в порушення закону не вказав причини по якому не можливий відповідь (знову ж до методів дослідження яскравий факт підробки)

У доповненні до цих 16 пунктам адвокати захисту так само вказали на принципово неможливе використання експертизи Касперського, як компанії явно зацікавленою в результаті, оскільки по-перше саме ця компанія відображала ДДОС атаку, і ця ж компанія за матеріалами справи власне єдиний свідок в особі іншого співробітника, хто взагалі можливо (лише) особисто бачив "технічно" сам злочин. Потерпілі та інші свідки у справі особисто нічого не бачили і давали свідчення зі слів.

А от технічні порушення, а не формальні, тепер уже ми зібрали з вашою допомогою в інтернеті. За що всім величезне спасибі. Причому коментарі продовжують надходити. Деякі з них досить яскраві. Як, наприклад, неіснуючий IdaPro 6.0 від компанії Datarescue яким користувався експерт (з версії 5.0 IdaPro був проданий компанії Hex-Rays).
З усіх юридичних формальних порушень хочу виділити одне окремо. Саме воно має повне значення по суті. А ви, дорогі читачі, люди в більшості - технічні, тому запам'ятовуйте, можливо, в майбутньому стане в нагоді:
У висновку експерта від 17.11.2011г. не вказано жодної наукової роботи, в якій була б описана обрана експертом методика, що виключає можливість відтворення ходу дослідження, перевірки його результатів і достовірності зроблених висновків, як це вимагається згідно із ст. 204 КПК РФ, ст.ст. 8,16,25 ФЗ ГСЕД;
Ні, шановний читачу, експерт аж ніяк не ідіот, що не вказав методики. І не ідіот, що не вказав відповідей чому неможливо встановити авторство. І не ідіот, що навіть на пряме запитання, як саме йому провести порівняння, відправив читати "Отче Наш", Зовсім ні. Навпаки він цілком правильно промовчав цей момент. Йдучи в сторону при кожному що наводить питанні - експерт усвідомлено намагався приховати факт фальсифікації. Ми то адже знаємо, вже, що таким способом (порівняння бінарного файлу в дизассемблера IdaPro, і вихідного коду) неможливо довести що цей бінарний файл отримано з цих вихідних кодів.

На форумах розгорівся неабиякий флейм. Програмісти аргументовано говорили, що метод "священного IdaPro" - цілковита брехня. Хтось намагався тупо троль .

А ось що написав з цього приводу дуже відомий в усьому світі експерт по реверс ІНЖЕНІРІНГ Кріс Касперски на форумі RSDN (На Кріса Касперски пафосно посилався сам блаженний Григорій в своєму виступі, як на деякого авторитету, що особливо тепер смішно):

Кріс Касперски - один з найвідоміших в Росії і за кордоном фахівців в області комп'ютерної сек'юріті. З-під його пера вийшли такі книги, як "Техніка і філософія хакерських атак", "Спосіб мислення дизассемблера IDA", "Техніка мережних атак" і багато багато інших. У тому числі перекладені на 9 мов. Також його статті, присвячені низкорівневому системного програмування, можна знайти в багатьох журналах.

ось цитата з тексту за посиланням:

... якщо Ви відкриєте Ida Pro ... Вона може відновлювати і найменування функцій, вона відновлює всі бібліотеки, системні. Більш того, є додаткові модулі, які можна писати і самому, які навіть і в вихідні коди частина можуть повернути.

вам не здається, що це марення сивої кобили? ida - pro - чорний ящик. відновити імена функцій вона може тільки якщо це бібліотечні функції або імена функцій з тих чи інших причин присутні в бінарники. однак, подібність імен функцій ні про що не говорить, тому що потрібно довести, що це унікальні імена і вони не належать жодній іншій програмі, а присутні тільки в уже згадуваному бінарники.
про вихідні коди це маячня в квадраті. компіляція це перетворення А, а декомпіляція це перетворення Б. між А і Б немає нічого спільного. декомпіляція не є процес зворотний компіляції.

а класна у вас кольорова гамма в иде! але ви поскіпалі цитату "експерта", який говорив, що Іда _восстанавлівает_ імена функцій. очевидно, відновлює вона через FLIRT. там якісь ще плагіни згадувалися - хз що там "експерт" скачав з тирнета. є і такі плаги, які відновлюють імена криптографічних функцій з тією чи іншою ймовірністю вгадати або промазати.
нормальний експерт оголошує методики аналізу. але цей "експерт" про їх існування навіть не підозрює. відберіть у його йду, дайте йому грип. тоді експертний висновок про родинні зв'язки між exe і сорци будується на збігу текстових рядків, серед яких, можливо, є і унікальні.
на наведеному вами фрагменті видно шлях до. pdb файлу, який, вай-вай, за унікальний прокатує тільки в судах, де вирок виноситься ще до початку засідання.
'Botnet' це дуже слабкий аргумент. практично кожен другий хацкер дасть таку назву директорії.

Та не спроста побігли видаляти відповіді на форумі RSDN. Адже сам Кріс Касперски назвав таку експертизу "маренням сивої кобили".
У той же час шанована людина Flint_ta написав на форумі хакер :
Частково логіку, щоб окремі функції зрозуміти можна. Однак, з того що написав Матросов:

Складність полягає в точному отриманні адреси процедури, яка буде викликана. Статичний аналіз не дає інформації про те, куди буде вказувати регістр ЕАХ. Для того щоб отримати адресу, потрібно з'ясувати, де створюється об'єкт зазначеного типу, а це відбувається безпосередньо в процесі виконання, і саме тоді инициализируется покажчик на таблицю віртуальних методів

можна зробити висновок що в цьому лістингу нихера незрозуміло куди передається управління при виконанні функції. Мова і версію компілятора успішно визначає сама Іда, в ній реалізована технологія flirt, яка пізнає стандартні функції мов високого рівня. Даний бот - ядерний руткит і стовідсотково зрозуміти що він робить переглядаючи лише лістинг неможливо.

Тепер, дорогий читачу, повернемося до блаженного Гришке. Ви думаєте, він просто так "описав" у даті підписки про роз'яснення йому прав і обов'язків. Звичайно, ні. У разі чого, ця "описка" зняла б з нього всю відповідальність. А зараз блаженний Григорій сам загнав себе в кут, заявивши на засіданні під протокол і аудіозапис - що він дійсно описав. Тим самим блаженний Григорій наблизив до себе відповідальність за ст. 307 КК РФ .

А ось як це сталося.

У серпні 2011 року в мережу витекли логи листування між спамерами Дмитром Ступіно (SaintD) і Ігорем Гусєвим (Desp) а так само їх сотнями партнерів частина з яких вже успішно сидить в далеких країнах. Велика частина цих партнерів всесвітньо відомі кібер-злочинці.

Сам Ігор Гусєв охрещений пресою - спамер номер 1 в світі, що власне не заважало йому починати кар'єру продажем дитячого порно, лоліт, і бути співвласником-соадміном головного форуму дитячих порнографів darkmasters.info , І він же був власником найбільшого спамерського ресурсу в світі - spamdot.biz.
Згідно експертам, в тому числі і ненависному Кребсу, саме закриття Спаміта Гусєва призвело до падіння спаму в світі в рази, а то й в двоє і головне вперше в історії результат зберігається донині.

Повертаючись до витекла листування між Гусєвим і Ступіно (це листування стала об'єктом наукового вивчення аж цілих 3ех університетів в США оскільки корелювала пост в пост з даними витекла бази Главмед / Спаміта за 4 роки). Нагадаємо один з найвідоміших у світі експертів у світі з кіберзлочинності Брайн Кребс (до речі, ми до Кребсу ставимося негативно, тим більше він син со-засновника ПРО США) опублікував статтю: Pharma Wars: Paying for Prosecution , В якій Гусєв каже своєму спільнику Ступіну що ... експертиза саме на нашу Кримінального Делу коштувала 50 тис американських рублів:

Гусєв: по Дімі (бладшему братові Артимович, який і є Енгель) щосили розслідування йде :)
Гусєв: завдання - кримінальну справу порушити. так що він сам себе нехай тренується в жопу ебать, не так нудно в сизо буде
Гусєв: 2 до з хзмедіі в китай - це моє. Потрібно ще буде дослати на зп + подвійний бонус Міші. Ще я віддав вже 50к справу Енгеля (20к - експертизи, 30к - прискорити збудження уд).
Самі лог файли листування лог1 , лог2 .

Та чи ця експертиза, яку робив пан блаженний Григорій Ануфрієв? І він чи Гришка-Полтішок?
Чи всі експертизи у нього стоять 50 і тому у нього таке забавне прізвисько? Чи йому особисто ці 50 перепали, або посередникам, або шахраям навколо Гусєва - ми звичайно не знаємо.

Виходячи з того кошмару в коментарях рунета, що справила Гришина експертиза, розумно припустити що у всякому разі саме за неї пан Гусєв платив 50 тис $.
Тепер то Гришка-Полтішок увійде світову історію розслідування кіберзлочинів і отримає свою статтю в ... вікіпедії.

Можливо звичайно і немає, але вже зараз ми точно можемо відзначити, що для компанії Касперського участі в "замовному на весь світ" УД з проплаченою експертизою вкрай погано позначиться для репутації.

Так мало того, що це швидше за все та експертиза. Ще одним цвяхом у кришку - ми кладемо в справу тисячу п'ятьдесят-один смс з погрозами віддати вихідний код! Впевнені - в суді вміють читати СМС.

Дорогий читач, найважливіше, цією статтею ми даємо зрозуміти, що експертиза була навмисним фабрикатом, а не помилкою або неписьменністю експерта. Це важливо. З тієї самої причини, що експерт свідомо уникав будь-якого розкриття методики експертизи, прикриваючись розумним виразом "reverse engineering" (зворотна розробка). У той час як відповіді на поставлені питання слідства досягаються тільки шляхом аналізу вихідного коду, який не має ніякого відношення до реверс ІНЖЕНІРІНГ (Р.І. досліджує готову програму, а не її програмний код). У той же час експерт свідомо ще й намагався обійти опису функціоналу програми скачав оперативниками, оскільки і такий "руткіт" не є кримінально караною програмою по законодавству РФ. Але експерт йде далі і намагається прив'язати руткит шляхом статичного аналізу функцій і їх назв в бінарному файлі (готової програми) і вихідних кодах, що в даному випадку, взагалі, неможливо: назви - це та інформація, яка втрачається при компіляції, а місце розташування частини функцій неможливо визначити без запуску програми (дослідження Есет, коментар Flint_ta).

Звичайно ж, ми б могли показати Вам, дорогий читачу, які інші цікаві речі відбувалися з упаковками ноутбуків і дисків, а так само їх серійними номерами по шляху проходження з Наслідки ФСБ в Лабораторію Касперського. Це окрема ржака. Але, можливо, на даний момент ці документи є засекреченими, і робити цього в даний момент ми не можемо.

Нагадаю, що Генеральна Прокуратура взяла тайм-аут на роздуми через нестиковок в датах і номерах всіх оперативних матеріалів переданих з Центру Інформаційної Безпеки ФСБ в Слідче Управління ФСБ: http://www.regnum.ru/news/economy/1617098.html

Дорогий читач, у нас є ще багато веселого і класного по експертизам. Чекайте нових публікацій. Кому-то надалі це ще допоможе, що-б ось такі шайтани НЕ Шайтаном!