Бигус VS Гладковский. Почему опубликованные архивы – не дампы
Как известно, есть ложь, большая ложь и статистика. Но еще случается Денис Бигус и его опровержения. Вчера украинский сегмент Facebook стал свидетелем уже второго противостояния самого независимого журналиста планеты и объективной реальности. А поводом к продолжению схватки стало решение Подольского районного суда.
8 июля адвокат Игоря Гладковского (заместитель главы СНБО при Петре Порошенко, в девичестве Свинарчук) Руслан Волынец сообщил о своей победе в суде. Оказалось, что суд принял сторону его клиента в деле против Дениса Бигуса. Последнего обязали опровергнуть данные о причастности истца к коррупции в «Укроборонпроме» как недостоверную информацию.
Давайте оставим обычную критику на потом, а первую часть посвятим экспертной оценке опубликованных файлов? У нас уже есть гуру по кибербезопасности, не верите нам – поверите его доводам.
Вопрос-ответ по дампам
Начнем с предметной критики так называемых дампов. Они ведь (если верить автору) на самом деле не особо отличаются от его архива. Слово предоставляется Александру Галущенко, специалисту в сфере кибербезопасности, любезно согласившемуся дать ответы на вопросы с примерами и выводами. Мы просто так в подобные сферы ныряем – чукча не только писатель.
Вопрос №1. Таки дамп или набор файлов?
Это набор файлов, объединенный некой общей web-страницей. Лично мне не известен метод, с помощью которого можно именно так совершить выгрузку данных. Существует несколько вариантов экспорта чатов. Первый – отправка выбранных чатов по электронной почте с устройства, на котором запущен мессенджер WhatsApp.
На выходе получится текстовый файл, где вместо ссылок на изображения появится надпись: «Без медиафайлов». А картинки, видео и подобные добавки будут прикреплены отдельно. В качестве примера предоставляю фрагмент переписки со своим другом. Выглядит это вот так.
Второй способ – копирование чата с облачного хранилища. Восстановление данных возможно на новое устройство при наличии sim-карты с тем же номером телефона, что и в резервной копии. Таким квестом дело не ограничится: требуется доступ к облаку (чаще всего это Google или Apple).
Ах да, и вот еще.
Способ третий весьма груб. Придется делать копию базы данных с версии WhatsApp, работающей на компьютере. Делается это с помощью установленной программы, а не при работе с web-версией приложения в браузере).
Но тогда все сообщения будут напоминать табличные значения. В них появится лишь текст и ссылки на медиафайлы. Это очень похоже на выгрузку из такой базы, но на самом деле таковой не является. Увы, сейчас под рукой нет такого примера, так как я считаю такое использование опасным: табличные значения не шифруются на жестком диске, из-за чего их можно с легкостью «извлечь».
Вопрос №2. Вероятность подделки
Да, эти «дампы» поддельные. Давайте рассмотрим файлы web-страниц с именами персонажей переписки, а заодно сравним их метаданные.
Следите за руками.
Обращаю внимание, все эти документы были созданы в ночь с 8 на 9 июля. Если бы это была автоматическая выгрузка из дампа (с помощью специализированных программ), время отличалось бы разве что на считанные секунды. А теперь зацените данные архивов, выложенные на сайте:
Некоторые группы страниц действительно показывают одинаковое время создания. Это подтверждает их автоматическую обработку. Однако часть зафиксировала большие временные промежутки, что указывает на их ручное редактирование. Чем больше разрыв по времени, тем больше изменений вносилось на этих страницах.
Настораживает еще одна деталь: название папок с медиафайлами. При выгрузке к названию папки добавляется количество объектов, находящихся в ней (не во всех программах). Но в исследуемом варианте цифры не соответствуют реальности. А в некоторых папках вообще отсутствуют эти данные.
Прости, Денис, но это явно указывает на ручную корректировку имени папок. Либо делалось все быстро и неаккуратно, либо оператор был уставшим. Либо кто-то очень торопился, «и так сойдет». Взяло и не сошло.
Продолжаем исследование «дампов». Открываем одну из папок, выделенных зеленым – сразу же видим несоответствие в указанном количестве файлов. Автоматика в таких случаях не ошибается.
Вопрос №3. Манипуляции с дампами мы определять уже научились. Теперь смотрим, как выглядят реальные дампы, чтобы сравнить с опубликованными файлами.
Извлечение данных из резервной копии на MacOS выглядит так:
Более того, внутри вас ждет вовсе не хит-парад интерфейса.
С малой долей вероятности можно допустить использование метода и программного обеспечения, не известных лично мне. Но эта вероятность составляет не более 5%. Если так – прошу показать, сам попробую пользоваться. Если нет, не помешают объяснения по поводу подлинности слитых архивов.
Мое личное мнение – материалы, представленные на сайте, являются частично измененными. Для полного анализа необходим оригинальный источник информации. Тот самый первоначальный дамп данных. Без него утверждать о подлинности уже нельзя, так как для сравнения есть лишь поправленная вручную версия.
Исходников нет. Держите видео
С качеством дампов, которых на самом деле в сети нет, мы разобрались. А ведь казалось, что все выглядит крайне просто. Сейчас автор проявит хватку и опубликует первоисточники своего расследования. Те самые дампы, по которым он и обвинял чиновника в своем мини-сериале. Ведь это выгоднее Бигусу, чем Гладковскому, если речь идет о защите репутации журналиста. Так проигравший первую инстанцию автор снял бы с себя все вопросы, прибавил головной боли врагу и перевел любую попытку судебного давления в личный пиар как борца с режимом. Собственно, Гадюкин тоже об этом говорил, и не только он.
Но дампы в классическом понимании слова почему-то до сих пор отсутствуют. Зато ответчик пошел по стопам президента и записал ролик, якобы «подорвавший соцсети». Как и в случае с Зеленским, пришлось выделять время и смотреть видео: если гарант обычно пытается удивить всех параличем лицевого нерва, то журналист-разоблачитель принялся демонстрировать плохую растяжку.
Начнем с неудачной шутки, по качеству напоминающей само расследование Бигуса. С самого начала спикер заявляет, что Гладковский-Свинарчук подал «абсолютно наглый иск, в котором требует опровергнуть весь сюжет; в том числе то, что меня зовут Денис Бигус – а это является неоспоримым фактом». Это отрывок с 15 по 42 секунды видео.
Понятное дело, оратор попытался в сарказм, но от судебного решения его это не освободит. Апелляция тоже, она лишь оттянет неизбежное.
А что касается юмора – шутить надо более тонко, что ли.
Are ya winning, son? ФИО автора расследования как-то слабо влияют на предложение вроде «Друзі президента крадуть на оборонці (секретні переписки)». Это, на минуточку, довольно серьезное заявление, от которого шутками не отобьешься. Но если на самом деле выяснится, что проигравшего зовут Олег Капуста, я обязательно соглашусь с его позицией относительно опровержения собственного имени.
Далее Олег Капу… тьфу, Бигус говорит, что за чашечкой кофе нашел сайт с «почти точно такими же дампами» как и у него. Но с поправкой на то, что в этих исходниках нет такого объема информации, каков был в его распоряжении. Хотя вместо дампов аудитории с барского плеча сбрасывают переписки: какие-то скриншоты в виде сайта, созданного в тот же день.
Не надо быть хакером, чтобы потратить пару минут времени на что-то толковое. В нашем случае – воспользоваться бесплатным сервисом, дополняющим полноту картины. Ведь время регистрации домена – 9 июля 2020 года, 06:00. По всей видимости, время указано по Гринвичу (минус три часа от времени по Киеву).
А время публикации грозного видео – 11:39, 9 июля 2020 года. Кажется, кто-то поспешил?
Хорошо, отложим в сторону все совпадения. Просто предположим, что на поиск, анализ, запись соответствующего видео, монтаж, написание подводки к ролику и загрузку в Facebook (и другие соцсети) у команды ушло около часа. Начали в 10:39, выложили все в 11:39. Как раз и покурить успели. Но сайт почему-то появился в сети в 09:02. Судя по всему, автор либо хитрит, либо скромно скрывает свои умения находить только что опубликованные ресурсы без SEO-оптимизации. Ведь получается, что Бигус обнаружил в поиске сайт, которому от роду чуть более часа.
Еще немного – и окажется, что Денис умеет дозвониться на выключенный телефон, используя пульт от кондиционера.
Я не буду критиковать оппонента и решительно отметаю вариант, что ему скинули ссылку на готовый сайт. Человек с кристально чистой репутацией не может так банально лгать. А топовый журналист никогда не продемонстрирует полное незнание принципов работы интернет-ресурсов.
Но на этом проблемы не заканчиваются. После того, как народу сбросили ссылку на «такие же дампы», указанная страница стала работать с перебоями, время от времени выдавая ошибку 403.
По всей видимости, одну единственную страницу сайта то удаляли или редактировали, то возвращали обратно. Или искусственно создавали ажиотаж, время от времени меняя ее статус. В любом случае, версия о том, что сервер не справился с нагрузкой, то есть пережил DDoS атаку, не может быть правдой. В таком случае, сайт выдавал бы ошибки 500, 502, 503, 504 – но никак не 403.
Точно так же дизайн одностраничного сайта не мог «отломиться» в результате большого наплыва пользователей. Сервер – да, но с другими ошибками. Чудеса творятся. На фоне объяснений Галущенко весь спектакль с публикацией данных все больше напоминает попытку впарить аудитории откровенную подделку, прикрываясь слишком частыми совпадениями. Это неуважение к читателям, поскольку такая манипуляция рассчитана разве что на чью-то глупость. Не надо так делать.
Эпилог
Что мы имеем на выходе? Целую вереницу событий и фактов, не очень вызывающих доверие. Пожалуй, увековечим стратегию расследователя здесь.
- Сайт состоящий из одной страниц, которую журналист по странному стечению обстоятельств нашел через час после создания
- Поддельный дамп c модифицированными данными внутри
- Стахановская ночная работа автора дампов.
- Манипуляции и упорный отказ от представления первоначального дампа.
- Жалобы на критиков, которые травят независимую журналистику.
Вот такие пироги. С капустой – но не Олегом, а квашенной.
У самурая нет цели, есть только путь. Мы боремся за объективную информацию.
Поддержите? Кнопки под статьей.