Лична страница на Веселин Колев

[Към каталога на техническите бележки]

"Fishing" практики на Унинет

Публикувана на: 14 септември 2008 г.

 

Съдържание:

  1. Увод

  2. Описание на "стръвта"

  3. Анализ на "стръвта"

  4. Изводи

 

1. Увод

Тази бележка има за цел да запознае читателите с изключително некоректната "fishing" практика на организацията Унинет, олицетворявана от нейния създадел Илия Базлянков. Бележката е маркирана като техническа, доколкото в нея има описание на начина, по който опита за "fishing" е разкрит и е предназначена най-вече за обучаемите в направление "Мрежи и комуникации" на УИЦ на Софийския Университет "Св. Климент Охридски".

На български език и в конкретния контекст, "fishing" следва да се преведе като "риболов" (на наивни ползватели на Мрежата). Целта е чрез писмо ("стръв"), да се извърши провокация, при която потребителя (в ролята на риба) да се "улови на въдицата" (за примера по-долу се цели медиен скандал).

 

2. Описание на "стръвта"

На 14 септември тази година до автора на статията е изпратено следното електронно писмо (виж изображението):

Писмо използвано за стръв

Целта на представянето на писмото като изображение е да се види преди всичко заглавната част на писмото и полетата иденфициращи изпращача така, както те биват показвани в графичния пощенски клиент Mozilla Thunderbird. Въпреки това, с цел улесняване на незрящите читатели, по-долу е публикуван и текста на писмото във вид удобен за прочит с всеки текстови браузър:

Date: Sun, 14 Sep 2008 01:02:46 +0300
From: Zora <info@zora.me>
Sender: iliya@voden.eu
Subject: Няколко въпроса за бюлетин "Зора"

Уважаеми г-н Колев,

Казвам се Калин Николов и съм редактор в Интернет изданието "Зора",
което предстои да започне официално работа от 22 септември.

Смятаме в първия брой да има и статия за българските Интернет домейни
и ще сме ви благодарни, ако отговорите на няколко кратки въпроса:

1. Защо според вас в България няма ICANN акредитирани регистратори?

2. Разбрах, че вие сте консултант на РегистърБГ. Защо според вас се
забавиха с пускането на регистратори за .bg? По най-новите правила на
сайта им , от 30 април догодина ще започнат да предоставят
спецификации за достъп по протокола RRP. Удачен избор ли е според вас,
при положение, че в момента регистрите преминават към EPP?

3. Какво мислите за т.нар. "домейни на кирилица"? Трябва ли според вас
България да се натиска да бъде от първите държави? Ако сте прочели
писмото на Пламен Вачков до ICANN ще ви направи неприятното
впечатление, че може да се преразкаже с изречението "В Русия това, в
Русия онова - и при нас е така и затова искаме .бг".
Трябва ли според вас РегистърБГ да получи правата върху зоната .бг,
или те да бъдат дадени на друга организация?
 Предполагам, че за това ще се натиска Вени Марковски, а в Интернет
при търсене излиза и още един потенциален кандидат - сдружение с
нестопанска цел УНИНЕТ.

С уважение,
Калин Николов
Бюлетин "Зора"

 

3. Анализ на "стръвта"

Нека първо бъде анализирана визуалната информация относно подателя на писмото, т.е. това, което пощенския клиент изписва в заглавната му част. За конкретния случай визуалното поле "From" има стойността "Zora <info@zora.me>". Тази информация обаче е задаваема от изпращача. Следователно по нея трудно може да се идентифицира реалния подател (виж по-долу и анализа на "header" записите на писмото). Казано с други думи, изпращача може да зададе произволна информация, като стойност на полето "From". Това е възприето като стандартна възможност от RFC 822: 4.4.1, RFC 1123: 5.2.15-16, 5.3.7 и RFC 1036 2.1.1. Интересното обаче е наличието на полето "Sender". Това поле и неговата стойност, се попълват от доставчика на SMTP услугата, т.е. от този, който е разрешил RELAY политика на своя SMTP сървър, спрямо дадения потребител. Това става съгласно RFC 822: 4.4.2, RFC 1123: 5.2.15-16, 5.3.7 и RFC 1036. Ако се разгледа внимателно "header" частта на писмото, се установява, че е използвана за изпащане пощенската система на Google. Google с цел борба със SPAM, въвеждат в изходящите от техните пощенски сървъри, идентификатора на този, който изпраща писмото. В конкретния случай, в полето "Sender" стои потребителя с адрес "iliya@voden.eu". Ето и частта от писмото, която съдържа тази информация ("header" записи на писмото):

Return-Path: <iliya@voden.eu>
...
Received: by 10.143.13.16 with SMTP id q16mr2031615wfi.326.1221343366426;
        Sat, 13 Sep 2008 15:02:46 -0700 (PDT)
Received: by 10.142.194.17 with HTTP; Sat, 13 Sep 2008 15:02:46 -0700 (PDT)
Message-ID: <ee285cfc0809131502h1047271amb52703aef570bbcb@mail.gmail.com>
Date: Sun, 14 Sep 2008 01:02:46 +0300
From: Zora <info@zora.me>
Sender: iliya@voden.eu
...

Хронологично, това са първите съмнения в хода на анализа, че зад писмото стои лицето Илия Базлянков. Ето и информацията за регистранта на домейна voden.eu:

 

Информация за регистранта на домейна voden.eu

 

Разбира се, следва да бъде намерена и друга информация, на база на които да се направи заключение, че с голяма вероятност зад подобна "fishing" акция стои точно Илия Базлянков. Такава може да бъде намерена ако се провери къде отива цялата електронна поща за домейна zora.me и тази за voden.eu (в добавка и тази за регистрансткия пощенски адрес на домейна voden.eu, който е bg8.eu).

Цялата входяща електронна поща за домейна zora.eu се събира от сървър за поща, разположен върху хоста zora.eu с IP адрес 83.148.104.38:

$ dig -t mx voden.eu
;; QUESTION SECTION:
;zora.me.                       IN      MX

;; ANSWER SECTION:
zora.me.                8080    IN      MX      0 zora.me.

;; AUTHORITY SECTION:
zora.me.                23342   IN      NS      ns56.icndns.net.
zora.me.                23342   IN      NS      ns55.icndns.net.

;; ADDITIONAL SECTION:
zora.me.                8080    IN      A       83.148.104.38
ns56.icndns.net.        148208  IN      A       80.72.87.19
ns55.icndns.net.        148208  IN      A       80.72.87.18

 

Що се касае до входящата електронна поща за домейна voden.eu (същото е положението за домейна bg8.eu), тя се обслужва от Google:

$ dig -t mx voden.eu
;; ANSWER SECTION:
voden.eu.               14400   IN      MX      10 ASPMX5.GOOGLEMAIL.COM.
voden.eu.               14400   IN      MX      1 ASPMX.L.GOOGLE.COM.
voden.eu.               14400   IN      MX      5 ALT2.ASPMX.L.GOOGLE.COM.

;; AUTHORITY SECTION:
voden.eu.               22846   IN      NS      ns34.icndns.net.
voden.eu.               22846   IN      NS      ns33.icndns.net.

;; ADDITIONAL SECTION:
ns34.icndns.net.        109246  IN      A       83.148.125.162
ns33.icndns.net.        109246  IN      A       83.148.125.161

Последната информация не е за учудване и тя е само една обратна връзка в подкрепа на хипотезата кой е изпращача на писмото. Ако се направи поглед назад и се разгледа описанието на заглавната част на писмото, ще се види, че Google са поставили идентификатор на изпращача (iliya@voden.eu). Това обяснява и защо е сложено полето "Sender". То е сложено, защото клиентския профил на домейна voden.eu (обслужван от Google), е изпратено електронно писмо с поле "From" имащо стойност на потребител от друг домейн (необслужван от Google).

Нужно е да се отбележи, че всички проекти на лицето Илия Базлянков са домуващи върху системите на доставчика на хостинг услуги ICN. Върху сървърите за имена на ICN са и всички зони на домейни за посочените по-горе домейни. Това е една от най-насочващите следи. Всъщност показателна е следната справка:

http://www.jabse.com/sitesonip.php?ip=%AB%9B%A1%9B%AC%A0%A0%9B%A3%9C%A1%9D%B0

Списъкът е дълъг и няма да бъде цитиран, но там са други проекти на лицето Илия Базлянков като tilix. Там е разбира се и zora.eu. Отделно, HTTP услугите на uninet.bg и voden.eu домуват на друга машина в ICN, с IP адрес 83.148.125.165.

Но може би най-директна връзка между Илия Базлянков, Унинет и zora.me, дава ето тази тема във форума "BG Development" (да се отбележи датата на пускане на темата - 13 септември 2008 г., а анализираното тук писмо е от следващия ден):

http://forums.bgdev.org/index.php?s=a71014dbfe107258046fea5f9a825255&showtopic=26060&st=0&#entry189313

За да не бъде изгубена тази информация поради изтриването й от форума (волно или неволно), в тази бележка е поместена и "снимка" на форумната публикация, в която Базлянков търси дизайнер на лого за страницата на zora.me:

 

Базлянков и публикацията му по повод логото на zora.me

 

 

4. Изводи

Изпратеното писмо е опит за подвеждане и е с фалшив подател. Целта е получателя на писмото да бъде въведен в интриги и скандали, свързани с изключително долнопробно вестникарско издание.

На база на горния анализ, може да се каже, че писмото, изпратено на пръв поглед от "Калин Николов", всъщност е написано от самия Илия Базлянков. Не само горния анализ сочи това. На база на изказвания на самия Базлянков по форуми и на живо, може да се направи доста бърз анализ на словореда и често използваните думи и да се сравнят с тези в писмото. Всъщност веднага прави впечатление ниското ниво на изказа, специфично характерно за Базлянков. Например, изпозва се често "натискане". Всъщност, проява на изключителна наглост е да пишеш от името на друг човек, с цел извършване на провокация и въвличане в интриги. Пример за смайваща наглост е последното изречение. От него човек остава с впечатление, че питащия едва ли не случайно в Google е попаднал на сдружението Унинет. Много интересно е как той не е знаел за съществуването му до този момент, след като самия той е основния двигател на сдружението. Интересно е как така случайно е разбрал от Google за сдружението Унинет, след като лично председателя му моли по форуми за изработката на лого на zora.me.

Авторът на тази бележка, като участник в различни форуми, не един път е наблюдавал как лицето Илия Базлянков е провокирал по форуми, като е влизал и се е идентифицирал като различни лица с цел раздухване на спорове и предизвикване на скандали. Едни от пресните примери са дискусиите в интернет-дневника http://yovko.net. Другото, което не е за учудване е, че лицето Илия Базлянков проявява своята политическа ориентация, болезнено русофилство и пещерен американизъм, при искане за получаване на операторски права над услуги, които би следвало да са политически свободни и да се извършват в името на цялото интернет общество. В това отношение не е никак учудващо ясно изразеното му пристрастие към вестник "Зора", чието съдържание не може да бъде четено от нормално мислещ човек. Аргументациите на Базлянков, базирани на някакви съмнителни практики на страни цензуриращи интернет съдържанието като Русия, Китай, Сирия и др., са много далеч от разбиранията на човек, който би действал безпристрастно и в обществена полза, ако бъде избран за регистър на именен ресурс (в случая домейн от първо ниво) и то в страна на ЕС. Нещо повече, човек изразяващ симпатии към такива практики не заслужава да бъде нищо повече от обикновен потребител. Няма никакви основания за операторски права.

На база на цялото поведение на Илия Базлянков и сдружение Унинет, авторът на тази бележка счита за свой дълг, да информира българското интернет общество и международните организации, от които зависи делегирането на именни ресурси, че този човек няма нито едно качество за регистър, а това касае и управляваното от него сдружение. Не може някой с претенции да бъде регистър, да пада до ниво, при което да търси разпри и интриги чрез измамни писма (тук са спестени други изяви на това лице и сдружението му, които са още по-фрапиращи), по възможно най-долен начин (може би характерен за дописниците на "Зора").

 

Този документ е с OpenPGP подписано съдържание
[информация] [електронен подпис][TimeStamp]

Creative Commons - Признание 2.5 Valid CSS! Valid XHTML 1.0 Strict