На днях стало известно, что эксперты из университета Индианы обнаружили следы обмена данными между серверами компании кандидата в президенты США от Республиканской партии Дональда Трампа и российского «Альфа-банка». Многие российские издания сообщили, что речь идет о переписке. По просьбе The Insider Владимир Иванов, технический директор компании Leakreporter, специализирующейся на контроле утечек данных, проанализировал исходные данные, о которых говорили американские исследователи.
Во-первых, из исходных данных нельзя сделать вывод, что с серверов российского банка обращались к серверу Трампа. Доступные журналы относятся к системе DNS, отвечающей за преобразование символьного имени сервера (например www.[подставьте сюда удобное].ru) в IP адрес. Соответственно, на основании этих журналов можно только заключить, что сервер банка пытался выяснить IP адрес сервера mail1.trump-email.com. Имеющиеся записи относятся к периоду с начала мая по конец сентября.
Я не уверен, что именно имели ввиду под нерегулярностью авторы статьи. Я построил график частоты обращений к DNS по дням (график 1) и по часам (график 2).
На графике 1 видно, что примерно до 24 июня число обращений к DNS находится в промежутке от 0 до 10. Потом, примерно в течение месяца, - в промежутке от 35 до 60, потом происходит скачок и еще одна стабилизация в районе 125 обращений в сутки.
На графике 2 видно, что не наблюдается закономерности между временем суток и количеством обращений к DNS. Я не считаю, что такое распределение запросов может подтвердить непосредственное участие людей.
С учетом того, что среди рассматриваемых запросов есть только запросы на преобразование имени в адрес и никаких других (например, нет запросов типа MX, предназначенных для выяснения почтового сервера, ответственного за домен), я склонен считать, на этот сервер никакой почты в рассматриваемый промежуток времени не отправлялось - ни из Альфа-банка, ни из любого другого места. Вполне вероятно, что этот сервер сам рассылал письма и в процессе приема письма сервер-получатель отправлял DNS запрос на преобразование имени отправителя в адрес. Эта техника является одной из базовых в системах защиты от спама.
В пользу этой версии говорит еще и то, что сегмент сети, где расположен «сервер Трампа» принадлежит компании Listrak, занимающейся маркетинговыми почтовыми рассылками. Забавно, что сервер mail1.trump-email.com расположен на IP адресе 66.216.133.29, а на соседнем адресе (66.216.133.29) расположен сервер с именем mail1.denihan-email.com. Denihan - это управляющая компания нескольких пафосных отелей. Чуть дальше (66.216.133.36) расположен серверmail1.mjh-email.com, который, вероятно, относится к компании Meyer Jabara Hotels, управляющей, например, несколькими гостиницами Marriott. Я плохо знаю, какими бизнесами владеет Трамп, но насколько мне известно, у него есть отели.