Tag Archives: Кристиян Бойков

#НАПЛийкс: улики срещу доказателства

Post Syndicated from Боян Юруков original https://yurukov.net/blog/2019/napleaks-uliki/

Този текст е в отговор на коментар публикуван от Светлин Наков във Facebook и повторен в няколко медии.


… Файлът, който се явява улика срещу набеденият за теча на данни от НАП експерт по компютърна сигурност Кристиян Бойков е фалшифициран!

Хакерите използват Linux, особено истински добрите хакери, няма съмнение за това. Точно както дизайнерите ползват Mac и няма съмнение за това. ZIP архивът, който изтече (minfin_leak.zip) е създаден под Linux (вижте на картинката).

Подпъхнатият по-късно файл .~lock.DEC73_DETAILS.csv# е създаден под Windows, от някой друг, не от този, който е създал архива с експорта на Oracle базата данни на НАП от системата за възстановяване на ДДС.

Най-вероятно Кристиян е набеден за теча на данни …

Еми съжалявам, но оная улика в архива на #НАПЛийкс не е фалшифицирана.

Би могла да бъде, както всяко нещо във въпросния архив, впрочем, но също толкова вероятно е да са свалени и разгледани файловете на win машина, после прехвърлени и архивирани под linux. Вярно е, че тези, които бихме определили като хакери, работят предимно на linux, но малко хора се ограничават до една система или една машина, особено, когато работата им или специфичните инструменти го изискват.

Има добри аргументи защо някой би подхвърлил такава улика предвид какво работи Кристиян, но също толкова вероятно е да се дължи на пропуск – нещо, което дори най-добрите правят, особено когато са твърде самоуверени. Затова твърде категоричните изказвания за този аспект са по-скоро непрофесионални.

Единственото важно в случая е, че този файл не е и не може да бъде доказателство. Той е важна улика, която може да насочи разследването, но като всяка друга намерена в неконтролирана среда и непроследими обстоятелства следва да се постави под въпрос и подкрепи с преки доказателства. Такива биха били скриптове, с които е точил данните, логове от машините да е посещавал тези сайтове или да е минавал през VPN мрежи, от адресите на които има повиквания към НАП, други изтеглени данни, които не са още публични и т.н.

Изглежда ГДБОП ги нямат тези неща и не виждат надежда да намерят. Иначе Кристиян щеше да е още в ареста. Нищо от това не означава всъщност, че не е той – ако е, значи си е прикрил добре следите, въпреки конкретния пропуск. Ако не е той, значи някой определено не го харесва особено. И в двата случая всяко ново изказване на ГДБОП и НАП показва само колко зле са в защитата на информация, поддържането на системите си и такива разследвания.