<html><head><meta http-equiv="Content-Type" content="text/html charset=windows-1252"></head><body style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space;" class="">Senator Ron Wyden: &nbsp;"Does the NSA collect any type of data at all on millions or hundreds of millions of Americans?”<div class="">Director of National Intelligence James R. Clapper: “No, sir.”</div><div class="">Wyden: “It does not?”</div><div class="">Clapper: "Not wittingly. There are cases where they could inadvertently, perhaps, collect, but not wittingly.”</div><div class=""><br class=""><div><blockquote type="cite" class=""><div class="">On Jan 6, 2017, at 4:35 PM, Egele, Manuel &lt;<a href="mailto:megele@bu.edu" class="">megele@bu.edu</a>&gt; wrote:</div><br class="Apple-interchange-newline"><div class="">

<meta http-equiv="Content-Type" content="text/html; charset=Windows-1252" class="">

<div class="">
Sure and north Korea hacked Sony according to FBI director Comey. I guess that stance moved to, the north Koreans hired the Chinese to do it. The IC does not have a history of caring about "the truth".<br class="">
<br class="">
Cheers<br class="">
Manuel<br class="">
<br class="">
<div class="gmail_quote">On January 6, 2017 10:23:36 PM GMT+01:00, Ethan Heilman &lt;<a href="mailto:eth3rs@gmail.com" class="">eth3rs@gmail.com</a>&gt; wrote:
<blockquote class="gmail_quote" style="margin: 0pt 0pt 0pt 0.8ex; border-left: 1px solid rgb(204, 204, 204); padding-left: 1ex;">
<div dir="ltr" class="">&gt;<span style="font-size:12.8px" class="">In my (completely unsolicited) opinion, this is why there is no value making</span>
<div style="font-size:12.8px" class="">assessments such as these public; they should be provided (with evidence) only</div>
<div style="font-size:12.8px" class="">to those with sufficient clearance to see and critique them.<br class="">
<br class="">
I agree that this isn't primary evidence. However I would posit that&nbsp;the value of this assessment is as a signal that the US IC actually believes Russia is behind it. As you said:<br class="">
<br class="">
&gt;<span style="font-size:12.8px" class="">If you trust the analyses of the FBI, CIA, and NSA, then this is certainly a strong</span>
<div style="font-size:12.8px" class="">statement;</div>
<br class="">
If it turns out Russia was not behind it, such assessments would embarrass the people in charge of the US IC and so such a signal assures me that at least the DNI believes it.<br class="">
<br class="">
</div>
</div>
<div class="gmail_extra"><br class="">
<div class="gmail_quote">On Fri, Jan 6 , 2017 at 4:11 PM, Ari Trachtenberg <span dir="ltr" class="">
&lt;<a href="mailto:trachten@bu.edu" target="_blank" class="">trachten@bu.edu</a>&gt;</span> wrote:<br class="">
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<div style="word-wrap:break-word" class="">This is very interesting as a political piece, but it gives no technical evidence
<div class="">whatsoever (I suspect this is on purpose, to protect “methods and sources”).</div>
<div class=""><br class="">
</div>
<div class="">If you trust the analyses of the FBI, CIA, and NSA, then this is certainly a strong</div>
<div class="">statement; if you don’t trust the analyses, this does nothing to support the</div>
<div class="">public proclamations.</div>
<div class=""><br class="">
</div>
<div class="">In my (completely unsolicited) opinion, this is why there is no value making</div>
<div class="">assessments such as these public; they should be provided (with evidence) only</div>
<div class="">to those with sufficient clearance to see and critique them.</div>
<div class=""><br class="">
</div>
<div class="">best,</div>
<div class=""><span class="m_-3276308064309720419Apple-tab-span" style="white-space:pre-wrap"></span>-Ari</div>
<div class=""><br class="">
</div>
<div class=""><br class="">
<div class="">
<div class="">
<blockquote type="cite" class=""><span class="">
<div class="">On Jan 6, 2017, at 3:49 PM, Ethan Heilman &lt;<a href="mailto:eth3rs@gmail.com" target="_blank" class="">eth3rs@gmail.com</a>&gt; wrote:</div>
<br class="m_-3276308064309720419Apple-interchange-newline">
</span>
<div class="">
<div class=""><span class="">
<div dir="ltr" class="">New DNI report on Russian intentions in hacking DNC:<br class="">
<a href="https://www.dni.gov/files/documents/ICA_2017_01.pdf" target="_blank" class="">https://www.dni.gov/files/<wbr class="">documents/ICA_2017_01.pdf</a><br class="">
<br class="">
'Background to “Assessing Russian Activities and Intentions in Recent US Elections”: The Analytic Process and Cyber Incident Attribution'</div>
</span>
<div class="">
<div class="h5">
<div class="gmail_extra"><br class="">
<div class="gmail_quote">On Wed, Jan 4, 2017 at 2:54 PM, Ari Trachtenberg <span dir="ltr" class="">
&lt;<a href="mailto:trachten@bu.edu" target="_blank" class="">trachten@bu.edu</a>&gt;</span> wrote:<br class="">
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
This just goes to show that ... well, people are corruptible, and academics<br class="">
no less than anyone else.&nbsp; Complete transparency is no panacea either<br class="">
(witness the complete uselessness of "privacy notices", or the major<br class="">
vulnerabilities with open-source software).<br class="">
<br class="">
Seeing as we're developing a cynicism toward a benevolent monarchy,<br class="">
perhaps a system of checks and balances will solve all our problems ;-)<br class="">
<span class="m_-3276308064309720419HOEnZb m_-3276308064309720419im"><br class="">
&gt; On Jan 4, 2017, at 1:51 PM, Egele, Manuel &lt;<a href="mailto:megele@bu.edu" target="_blank" class="">megele@bu.edu</a>&gt; wrote:<br class="">
&gt;<br class="">
&gt; On Wed, 2017-01-04 at 13:48 -0500, Ethan Heilman wrote:<br class="">
</span><span class="m_-3276308064309720419HOEnZb m_-3276308064309720419im">&gt;&gt; The Silk road case was also not without problems. For instance the two<br class="">
&gt;&gt; DEA agents in the Silk Road investigation that stole Bitcoins, ran an<br class="">
&gt;&gt; extortion racket, sold investigation details to potential suspects and<br class="">
&gt;&gt; altered evidence. US federal investigation bodies don't have a great<br class="">
&gt;&gt; reputation --see FBI collaboration with Boston organised crime and DEA<br class="">
&gt;&gt; employees selling confidential informant identities to drug cartels.<br class="">
&gt;<br class="">
</span><span class="m_-3276308064309720419HOEnZb m_-3276308064309720419im">&gt; Sure, but that was purely on the Law Enforcement side. The case with<br class="">
&gt; CMU-CERT was different as the let's call it malice, originated from the<br class="">
&gt; "academic" side of the partnership. You (or at least I as a responsible<br class="">
&gt; researcher) simply don't go, break TOR and then don't tell anyone about<br class="">
&gt; it.<br class="">
&gt;<br class="">
&gt; cheers,<br class="">
&gt; --manuel<br class="">
&gt;<br class="">
</span>
<div class="m_-3276308064309720419HOEnZb">
<div class="m_-3276308064309720419h5">&gt;&gt; On Wed, Jan 4, 2017 at 1:12 PM, Manuel Egele &lt;<a href="mailto:megele@bu.edu" target="_blank" class="">megele@bu.edu</a>&gt; wrote:<br class="">
&gt;&gt;&nbsp; &nbsp; &nbsp; &nbsp; On Wed, 2017-01-04 at 08:11 -0800, Hristo Stoyanov wrote:<br class="">
&gt;&gt;&gt; Here's ESET claims they've acquired XAgent source<br class="">
&gt;&gt;&gt; code:<br class="">
&gt;&gt;&nbsp; &nbsp; &nbsp; &nbsp; <a href="http://www.welivesecurity.com/wp-content/uploads/2016/10/eset-sednit-part-2.pdf" rel="noreferrer" target="_blank" class="">
http://www.welivesecurity.com/<wbr class="">wp-content/uploads/2016/10/ese<wbr class="">t-sednit-part-2.pdf</a> (described on the ESET website here:
<a href="https://www.eset.com/us/about/newsroom/press-releases/dissection-of-sednit-espionage-group/" rel="noreferrer" target="_blank" class="">
https://www.eset.com/us/about/<wbr class="">newsroom/press-releases/dissec<wbr class="">tion-of-sednit-espionage-<wbr class="">group/</a>)<br class="">
&gt;&gt;&gt; Here's another claim of a third party also having the XAgent<br class="">
&gt;&gt;&nbsp; &nbsp; &nbsp; &nbsp; source<br class="">
&gt;&gt;&gt; code:<br class="">
&gt;&gt;&nbsp; &nbsp; &nbsp; &nbsp; <a href="https://medium.com/@jeffreycarr/the-gru-ukraine-artillery-hack-that-may-never-have-happened-820960bbb02d" rel="noreferrer" target="_blank" class="">
https://medium.com/@jeffreycar<wbr class="">r/the-gru-ukraine-artillery-<wbr class="">hack-that-may-never-have-<wbr class="">happened-820960bbb02d</a> (this article references the ESET report in the first link). Kinda shaky, I heard it from a friend of a friend of my aunt type of evidence,
 admittedly.<br class="">
&gt;&gt;&gt;<br class="">
&gt;&gt;&gt;<br class="">
&gt;&gt;&gt; This can be post-factum attempt to get plausible deniability<br class="">
&gt;&gt;&nbsp; &nbsp; &nbsp; &nbsp; or it<br class="">
&gt;&gt;&gt; could be someone had XAgent that wasnt APT28. Can't tell<br class="">
&gt;&gt;&nbsp; &nbsp; &nbsp; &nbsp; between<br class="">
&gt;&gt;&gt; confirmation bias and circumstantial evidence here.<br class="">
&gt;&gt;&gt;<br class="">
&gt;&gt;&gt;<br class="">
&gt;&gt;&gt; Another thing that I'm missing is how exactly are APT28 as<br class="">
&gt;&gt;&nbsp; &nbsp; &nbsp; &nbsp; users of<br class="">
&gt;&gt;&gt; xagent and this PHP malware tied together. What detail links<br class="">
&gt;&gt;&nbsp; &nbsp; &nbsp; &nbsp; the two?<br class="">
&gt;&gt;&gt;<br class="">
&gt;&gt;&gt;<br class="">
&gt;&gt;&gt; As for an open and transparent organization that attempts to<br class="">
&gt;&gt;&nbsp; &nbsp; &nbsp; &nbsp; build<br class="">
&gt;&gt;&gt; good cases by acquiring the kind of evidence Ari listed - a<br class="">
&gt;&gt;&nbsp; &nbsp; &nbsp; &nbsp; lot of<br class="">
&gt;&gt;&gt; this seems to require some legal capabilities usually<br class="">
&gt;&gt;&nbsp; &nbsp; &nbsp; &nbsp; afforded to<br class="">
&gt;&gt;&gt; government agencies (hack back, gather court admissable<br class="">
&gt;&gt;&nbsp; &nbsp; &nbsp; &nbsp; evidence). The<br class="">
&gt;&gt;&gt; kind of thing that FBI is supposed to do. Perhaps some form<br class="">
&gt;&gt;&nbsp; &nbsp; &nbsp; &nbsp; of<br class="">
&gt;&gt;&gt; partnership between FBI and academia would be productive.<br class="">
&gt;&gt;&nbsp; &nbsp; &nbsp; &nbsp; They dealt<br class="">
&gt;&gt;&gt; very successfully with Silk road, after all.<br class="">
&gt;&gt;<br class="">
&gt;&gt;&nbsp; &nbsp; &nbsp; &nbsp; I particularly agree with the last paragraph. Also, I'm not<br class="">
&gt;&gt;&nbsp; &nbsp; &nbsp; &nbsp; sure that<br class="">
&gt;&gt;&nbsp; &nbsp; &nbsp; &nbsp; modeling sth along the lines of CMU-CERT with respect to the<br class="">
&gt;&gt;&nbsp; &nbsp; &nbsp; &nbsp; security<br class="">
&gt;&gt;&nbsp; &nbsp; &nbsp; &nbsp; community is a good citizen model --- just look at the fallout<br class="">
&gt;&gt;&nbsp; &nbsp; &nbsp; &nbsp; that<br class="">
&gt;&gt;&nbsp; &nbsp; &nbsp; &nbsp; CMU-CERT's deanonymying TOR exercise produced.<br class="">
&gt;&gt;<br class="">
&gt;&gt;&nbsp; &nbsp; &nbsp; &nbsp; cheers,<br class="">
&gt;&gt;&nbsp; &nbsp; &nbsp; &nbsp; --manuel<br class="">
&gt;&gt;<br class="">
&gt;&gt;&gt; Hristo<br class="">
&gt;&gt;&gt;<br class="">
&gt;&gt;&gt; 2017-01-04 7:13 GMT-08:00 Ari Trachtenberg<br class="">
&gt;&gt;&nbsp; &nbsp; &nbsp; &nbsp; &lt;<a href="mailto:trachten@bu.edu" target="_blank" class="">trachten@bu.edu</a>&gt;:<br class="">
&gt;&gt;&gt;&nbsp; &nbsp; &nbsp; &nbsp; Sounds like a perfect role for academia (maybe<br class="">
&gt;&gt;&nbsp; &nbsp; &nbsp; &nbsp; patterned after<br class="">
&gt;&gt;&gt;&nbsp; &nbsp; &nbsp; &nbsp; CMU's CERT here at BU).&nbsp; The biggest problem is, of<br class="">
&gt;&gt;&nbsp; &nbsp; &nbsp; &nbsp; course,<br class="">
&gt;&gt;&gt;&nbsp; &nbsp; &nbsp; &nbsp; with<br class="">
&gt;&gt;&gt;&nbsp; &nbsp; &nbsp; &nbsp; getting reliable data ... perhaps it is possible to<br class="">
&gt;&gt;&nbsp; &nbsp; &nbsp; &nbsp; cull data<br class="">
&gt;&gt;&gt;&nbsp; &nbsp; &nbsp; &nbsp; from everybody<br class="">
&gt;&gt;&gt;&nbsp; &nbsp; &nbsp; &nbsp; and use statistical tests to fish for bias.<br class="">
&gt;&gt;&gt;<br class="">
&gt;&gt;&gt;&nbsp; &nbsp; &nbsp; &nbsp; Regarding Hristo's question ... I think that the key<br class="">
&gt;&gt;&nbsp; &nbsp; &nbsp; &nbsp; word is<br class="">
&gt;&gt;&gt;&nbsp; &nbsp; &nbsp; &nbsp; evidence,<br class="">
&gt;&gt;&gt;&nbsp; &nbsp; &nbsp; &nbsp; since most things can be faked with enough effort.<br class="">
&gt;&gt;&nbsp; &nbsp; &nbsp; &nbsp; Evidence<br class="">
&gt;&gt;&gt;&nbsp; &nbsp; &nbsp; &nbsp; could<br class="">
&gt;&gt;&gt;&nbsp; &nbsp; &nbsp; &nbsp; include:<br class="">
&gt;&gt;&gt;&nbsp; &nbsp; &nbsp; &nbsp; * use, structure, and style reuse of attributed code<br class="">
&gt;&gt;&nbsp; &nbsp; &nbsp; &nbsp; or<br class="">
&gt;&gt;&gt;&nbsp; &nbsp; &nbsp; &nbsp; vulnerabilities,<br class="">
&gt;&gt;&gt;&nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; ideally those that are private<br class="">
&gt;&gt;&gt;&nbsp; &nbsp; &nbsp; &nbsp; * IP addresses<br class="">
&gt;&gt;&gt;&nbsp; &nbsp; &nbsp; &nbsp; * cryptographic keys<br class="">
&gt;&gt;&gt;&nbsp; &nbsp; &nbsp; &nbsp; * pictures of hackers and geolocation (as with the<br class="">
&gt;&gt;&nbsp; &nbsp; &nbsp; &nbsp; Chinese<br class="">
&gt;&gt;&gt;&nbsp; &nbsp; &nbsp; &nbsp; hackers not so long ago)<br class="">
&gt;&gt;&gt;&nbsp; &nbsp; &nbsp; &nbsp; * hack back data<br class="">
&gt;&gt;&gt;<br class="">
&gt;&gt;&gt;&nbsp; &nbsp; &nbsp; &nbsp; best,<br class="">
&gt;&gt;&gt;&nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; -Ari<br class="">
&gt;&gt;&gt;<br class="">
&gt;&gt;&gt;&gt; On Jan 4, 2017, at 9:03 AM, Ethan Heilman<br class="">
&gt;&gt;&nbsp; &nbsp; &nbsp; &nbsp; &lt;<a href="mailto:eth3rs@gmail.com" target="_blank" class="">eth3rs@gmail.com</a>&gt;<br class="">
&gt;&gt;&gt;&nbsp; &nbsp; &nbsp; &nbsp; wrote:<br class="">
&gt;&gt;&gt;&gt;<br class="">
&gt;&gt;&gt;&gt; I worry that this wordfence report makes it look<br class="">
&gt;&gt;&nbsp; &nbsp; &nbsp; &nbsp; like only<br class="">
&gt;&gt;&gt;&nbsp; &nbsp; &nbsp; &nbsp; that php<br class="">
&gt;&gt;&gt;&gt; malware was used and that there is no additional<br class="">
&gt;&gt;&nbsp; &nbsp; &nbsp; &nbsp; evidence.<br class="">
&gt;&gt;&gt;&gt;<br class="">
&gt;&gt;&gt;&gt; However my understanding is that DNC hackers used<br class="">
&gt;&gt;&nbsp; &nbsp; &nbsp; &nbsp; several<br class="">
&gt;&gt;&gt;&nbsp; &nbsp; &nbsp; &nbsp; forms of<br class="">
&gt;&gt;&gt;&gt; persistence including XAgent (according to the<br class="">
&gt;&gt;&nbsp; &nbsp; &nbsp; &nbsp; crowdstrike).<br class="">
&gt;&gt;&gt;&nbsp; &nbsp; &nbsp; &nbsp; I was<br class="">
&gt;&gt;&gt;&gt; unable to find any evidence that XAgent was<br class="">
&gt;&gt;&nbsp; &nbsp; &nbsp; &nbsp; available for<br class="">
&gt;&gt;&gt;&nbsp; &nbsp; &nbsp; &nbsp; use by<br class="">
&gt;&gt;&gt;&gt; anyone other than SEDNIT/APT28. I would love to<br class="">
&gt;&gt;&nbsp; &nbsp; &nbsp; &nbsp; see a report<br class="">
&gt;&gt;&gt;&nbsp; &nbsp; &nbsp; &nbsp; on the<br class="">
&gt;&gt;&gt;&gt; windows variant of the XAgent used in the DNC<br class="">
&gt;&gt;&nbsp; &nbsp; &nbsp; &nbsp; hack.<br class="">
&gt;&gt;&gt;&gt;<br class="">
&gt;&gt;&gt;&gt;&gt; I believe (correct me if I'm wrong), there is no<br class="">
&gt;&gt;&nbsp; &nbsp; &nbsp; &nbsp; other data<br class="">
&gt;&gt;&gt;&nbsp; &nbsp; &nbsp; &nbsp; available from the USG. Only (very) pointed<br class="">
&gt;&gt;&nbsp; &nbsp; &nbsp; &nbsp; accusations<br class="">
&gt;&gt;&gt;&nbsp; &nbsp; &nbsp; &nbsp; against a certain country.<br class="">
&gt;&gt;&gt;&gt;<br class="">
&gt;&gt;&gt;&gt; Not sure why the DHS/FBI report goes out of its<br class="">
&gt;&gt;&nbsp; &nbsp; &nbsp; &nbsp; way to<br class="">
&gt;&gt;&gt;&nbsp; &nbsp; &nbsp; &nbsp; present so<br class="">
&gt;&gt;&gt;&gt; little evidence. Was the crowdstrike report<br class="">
&gt;&gt;&nbsp; &nbsp; &nbsp; &nbsp; incorrect? Did<br class="">
&gt;&gt;&gt;&nbsp; &nbsp; &nbsp; &nbsp; they not<br class="">
&gt;&gt;&gt;&gt; want to step on crowdstrikes toes? Is this the<br class="">
&gt;&gt;&nbsp; &nbsp; &nbsp; &nbsp; result of<br class="">
&gt;&gt;&gt;&nbsp; &nbsp; &nbsp; &nbsp; over zealous<br class="">
&gt;&gt;&gt;&gt; secrecy?<br class="">
&gt;&gt;&gt;&gt;<br class="">
&gt;&gt;&gt;&gt; This issue highlights a critical need for neutral<br class="">
&gt;&gt;&nbsp; &nbsp; &nbsp; &nbsp; ICT<br class="">
&gt;&gt;&gt;&nbsp; &nbsp; &nbsp; &nbsp; investigative<br class="">
&gt;&gt;&gt;&gt; bodies that operate not as intelligence agencies<br class="">
&gt;&gt;&nbsp; &nbsp; &nbsp; &nbsp; but instead<br class="">
&gt;&gt;&gt;&nbsp; &nbsp; &nbsp; &nbsp; work to<br class="">
&gt;&gt;&gt;&gt; build public cases and publish evidence in a<br class="">
&gt;&gt;&nbsp; &nbsp; &nbsp; &nbsp; trustworthy<br class="">
&gt;&gt;&gt;&nbsp; &nbsp; &nbsp; &nbsp; open manner.<br class="">
&gt;&gt;&gt;&gt; This should be the role of the FBI, but clearly<br class="">
&gt;&gt;&nbsp; &nbsp; &nbsp; &nbsp; something<br class="">
&gt;&gt;&gt;&nbsp; &nbsp; &nbsp; &nbsp; went wrong<br class="">
&gt;&gt;&gt;&gt; here. Currently private companies like Crowdspike<br class="">
&gt;&gt;&nbsp; &nbsp; &nbsp; &nbsp; and<br class="">
&gt;&gt;&gt;&nbsp; &nbsp; &nbsp; &nbsp; Fireeye fill<br class="">
&gt;&gt;&gt;&gt; this role but since they are hired and paid by an<br class="">
&gt;&gt;&nbsp; &nbsp; &nbsp; &nbsp; interested<br class="">
&gt;&gt;&gt;&nbsp; &nbsp; &nbsp; &nbsp; party<br class="">
&gt;&gt;&gt;&gt; they are often viewed with skepticism.<br class="">
&gt;&gt;&gt;&gt;<br class="">
&gt;&gt;&gt;&gt;<br class="">
&gt;&gt;&gt;&gt; On Wed, Jan 4, 2017 at 2:47 AM, Hristo Stoyanov<br class="">
&gt;&gt;&gt;&nbsp; &nbsp; &nbsp; &nbsp; &lt;<a href="mailto:htstoyanov@gmail.com" target="_blank" class="">htstoyanov@gmail.com</a>&gt; wrote:<br class="">
&gt;&gt;&gt;&gt;&gt; Here's some actual details based on the csv and<br class="">
&gt;&gt;&nbsp; &nbsp; &nbsp; &nbsp; xml<br class="">
&gt;&gt;&gt;&nbsp; &nbsp; &nbsp; &nbsp; published alongside the<br class="">
&gt;&gt;&gt;&gt;&gt; written report:<br class="">
&gt;&gt;&gt;&gt;&gt;<br class="">
&gt;&gt;&gt;<br class="">
&gt;&gt;&nbsp; &nbsp; &nbsp; &nbsp; &nbsp;<a href="https://www.wordfence.com/blog/2016/12/russia-malware-ip-hack/" rel="noreferrer" target="_blank" class="">https://www.wordfence.com/blo<wbr class="">g/2016/12/russia-malware-ip-<wbr class="">hack/</a><br class="">
&gt;&gt;&gt;&gt;&gt;<br class="">
&gt;&gt;&gt;&gt;&gt; Conclusions: old freely available malware,<br class="">
&gt;&gt;&nbsp; &nbsp; &nbsp; &nbsp; incredibly wide<br class="">
&gt;&gt;&gt;&nbsp; &nbsp; &nbsp; &nbsp; variety of<br class="">
&gt;&gt;&gt;&gt;&gt; countries making up the IP addresses given as a<br class="">
&gt;&gt;&nbsp; &nbsp; &nbsp; &nbsp; source of<br class="">
&gt;&gt;&gt;&nbsp; &nbsp; &nbsp; &nbsp; the attack. Hence,<br class="">
&gt;&gt;&gt;&gt;&gt; that data is as evidence-free as the written<br class="">
&gt;&gt;&nbsp; &nbsp; &nbsp; &nbsp; report. I<br class="">
&gt;&gt;&gt;&nbsp; &nbsp; &nbsp; &nbsp; believe (correct me<br class="">
&gt;&gt;&gt;&gt;&gt; if I'm wrong), there is no other data available<br class="">
&gt;&gt;&nbsp; &nbsp; &nbsp; &nbsp; from the<br class="">
&gt;&gt;&gt;&nbsp; &nbsp; &nbsp; &nbsp; USG. Only (very)<br class="">
&gt;&gt;&gt;&gt;&gt; pointed accusations against a certain country.<br class="">
&gt;&gt;&gt;&gt;&gt;<br class="">
&gt;&gt;&gt;&gt;&gt; However, what would be good technical details<br class="">
&gt;&gt;&nbsp; &nbsp; &nbsp; &nbsp; that show<br class="">
&gt;&gt;&gt;&nbsp; &nbsp; &nbsp; &nbsp; attribution? Russian<br class="">
&gt;&gt;&gt;&gt;&gt; documents/emails that order/discuss/report on the<br class="">
&gt;&gt;&nbsp; &nbsp; &nbsp; &nbsp; attack<br class="">
&gt;&gt;&gt;&nbsp; &nbsp; &nbsp; &nbsp; (perhaps with some<br class="">
&gt;&gt;&gt;&gt;&gt; signatures :)) would definitely cut it. What<br class="">
&gt;&gt;&nbsp; &nbsp; &nbsp; &nbsp; else?<br class="">
&gt;&gt;&gt;&gt;&gt;<br class="">
&gt;&gt;&gt;&gt;&gt; - Hristo<br class="">
&gt;&gt;&gt;&gt;&gt;<br class="">
&gt;&gt;&gt;&gt;&gt; 2017-01-03 13:10 GMT-08:00 Ari Trachtenberg<br class="">
&gt;&gt;&gt;&nbsp; &nbsp; &nbsp; &nbsp; &lt;<a href="mailto:trachten@bu.edu" target="_blank" class="">trachten@bu.edu</a>&gt;:<br class="">
&gt;&gt;&gt;&gt;&gt;&gt;<br class="">
&gt;&gt;&gt;&gt;&gt;&gt; Yes, the crowdstrike report is much more<br class="">
&gt;&gt;&nbsp; &nbsp; &nbsp; &nbsp; interesting, but,<br class="">
&gt;&gt;&gt;&nbsp; &nbsp; &nbsp; &nbsp; at this point,<br class="">
&gt;&gt;&gt;&gt;&gt;&gt; rather dated.<br class="">
&gt;&gt;&gt;&gt;&gt;&gt; What it doesn't include is evidence of<br class="">
&gt;&gt;&nbsp; &nbsp; &nbsp; &nbsp; attribution to the<br class="">
&gt;&gt;&gt;&nbsp; &nbsp; &nbsp; &nbsp; Russian<br class="">
&gt;&gt;&gt;&gt;&gt;&gt; government (just<br class="">
&gt;&gt;&gt;&gt;&gt;&gt; some suggestive information about the slickness<br class="">
&gt;&gt;&nbsp; &nbsp; &nbsp; &nbsp; of the<br class="">
&gt;&gt;&gt;&nbsp; &nbsp; &nbsp; &nbsp; attack and a belief<br class="">
&gt;&gt;&gt;&gt;&gt;&gt; of<br class="">
&gt;&gt;&gt;&gt;&gt;&gt; some link).&nbsp; Has anyone seen public technical<br class="">
&gt;&gt;&nbsp; &nbsp; &nbsp; &nbsp; details in<br class="">
&gt;&gt;&gt;&nbsp; &nbsp; &nbsp; &nbsp; this realm?<br class="">
&gt;&gt;&gt;&gt;&gt;&gt;<br class="">
&gt;&gt;&gt;&gt;&gt;&gt; best,<br class="">
&gt;&gt;&gt;&gt;&gt;&gt;&nbsp; &nbsp; &nbsp; &nbsp;-Ari<br class="">
&gt;&gt;&gt;&gt;&gt;&gt;<br class="">
&gt;&gt;&gt;&gt;&gt;&gt;&gt; On Jan 3, 2017, at 2:32 PM, Ethan Heilman<br class="">
&gt;&gt;&gt;&nbsp; &nbsp; &nbsp; &nbsp; &lt;<a href="mailto:eth3rs@gmail.com" target="_blank" class="">eth3rs@gmail.com</a>&gt; wrote:<br class="">
&gt;&gt;&gt;&gt;&gt;&gt;&gt;<br class="">
&gt;&gt;&gt;&gt;&gt;&gt;&gt; With the exception of the attribution of<br class="">
&gt;&gt;&nbsp; &nbsp; &nbsp; &nbsp; individual<br class="">
&gt;&gt;&gt;&nbsp; &nbsp; &nbsp; &nbsp; hackers the<br class="">
&gt;&gt;&gt;&gt;&gt;&gt;&gt; DHS/FBI report is almost entirely detail free.<br class="">
&gt;&gt;&nbsp; &nbsp; &nbsp; &nbsp; The<br class="">
&gt;&gt;&gt;&nbsp; &nbsp; &nbsp; &nbsp; crowdstrike report<br class="">
&gt;&gt;&gt;&gt;&gt;&gt;&gt; provides many of the missing details:<br class="">
&gt;&gt;&gt;&gt;&gt;&gt;&gt;<br class="">
&gt;&gt;&gt;&gt;&gt;&gt;&gt;<br class="">
&gt;&gt;&gt;<br class="">
&gt;&gt;&nbsp; &nbsp; &nbsp; &nbsp; &nbsp;<a href="https://www.crowdstrike.com/blog/bears-midst-intrusion-democratic-national-committee/" rel="noreferrer" target="_blank" class="">https://www.crowdstrike.com/b<wbr class="">log/bears-midst-intrusion-demo<wbr class="">cratic-national-committee/</a><br class="">
&gt;&gt;&gt;&gt;&gt;&gt;&gt;<br class="">
&gt;&gt;&gt;&gt;&gt;&gt;&gt; One interesting tidbit in DHS/FBI report was<br class="">
&gt;&gt;&nbsp; &nbsp; &nbsp; &nbsp; that it<br class="">
&gt;&gt;&gt;&nbsp; &nbsp; &nbsp; &nbsp; blame Slavik of<br class="">
&gt;&gt;&gt;&gt;&gt;&gt;&gt; Zeus Gameover fame.<br class="">
&gt;&gt;&gt;&gt;&gt;&gt;&gt;<br class="">
&gt;&gt;&gt;&gt;&gt;&gt;&gt; On Tue, Jan 3, 2017 at 2:08 PM, Ari<br class="">
&gt;&gt;&nbsp; &nbsp; &nbsp; &nbsp; Trachtenberg<br class="">
&gt;&gt;&gt;&nbsp; &nbsp; &nbsp; &nbsp; &lt;<a href="mailto:trachten@bu.edu" target="_blank" class="">trachten@bu.edu</a>&gt;<br class="">
&gt;&gt;&gt;&gt;&gt;&gt;&gt; wrote:<br class="">
&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt; Somehow I'm missing the description ... I just<br class="">
&gt;&gt;&nbsp; &nbsp; &nbsp; &nbsp; see<br class="">
&gt;&gt;&gt;&nbsp; &nbsp; &nbsp; &nbsp; generic malware<br class="">
&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt; information on a popular web shell tool and<br class="">
&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt; generic mitigation strategies.&nbsp; If anything,<br class="">
&gt;&gt;&nbsp; &nbsp; &nbsp; &nbsp; the<br class="">
&gt;&gt;&gt;&nbsp; &nbsp; &nbsp; &nbsp; suggests a *lack* of<br class="">
&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt; an<br class="">
&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt; actual smoking gun.<br class="">
&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt;<br class="">
&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt; best,<br class="">
&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt; -Ari<br class="">
&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt;<br class="">
&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt; On Dec 29, 2016, at 5:56 PM, Scheffler, Sarah,<br class="">
&gt;&gt;&nbsp; &nbsp; &nbsp; &nbsp; Ann<br class="">
&gt;&gt;&gt;&nbsp; &nbsp; &nbsp; &nbsp; &lt;<a href="mailto:sscheff@bu.edu" target="_blank" class="">sscheff@bu.edu</a>&gt;<br class="">
&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt; wrote:<br class="">
&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt;<br class="">
&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt; This is a joint report written by DHS and the<br class="">
&gt;&gt;&nbsp; &nbsp; &nbsp; &nbsp; FBI, and<br class="">
&gt;&gt;&gt;&nbsp; &nbsp; &nbsp; &nbsp; it's the first<br class="">
&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt; actual<br class="">
&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt; decent description I've found of the Russian<br class="">
&gt;&gt;&nbsp; &nbsp; &nbsp; &nbsp; hacking<br class="">
&gt;&gt;&gt;&nbsp; &nbsp; &nbsp; &nbsp; that's been all<br class="">
&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt; over<br class="">
&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt; the news, and I figured y'all might be<br class="">
&gt;&gt;&nbsp; &nbsp; &nbsp; &nbsp; interested in<br class="">
&gt;&gt;&gt;&nbsp; &nbsp; &nbsp; &nbsp; reading it:<br class="">
&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt;<br class="">
&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt;<br class="">
&gt;&gt;&gt;<br class="">
&gt;&gt;&nbsp; &nbsp; &nbsp; &nbsp; &nbsp;<a href="http://www.nytimes.com/interactive/2016/12/29/us/politics/document-Report-on-Russian-Hacking.html" rel="noreferrer" target="_blank" class="">http://www.nytimes.com/intera<wbr class="">ctive/2016/12/29/us/politics/<wbr class="">document-Report-on-Russian-<wbr class="">Hacking.html</a><br class="">
&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt;<br class="">
&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt; Happy last-two-and-a-half-days-of-20<wbr class="">16,<br class="">
&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt; Sarah<br class="">
&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt;<br class="">
&gt;&gt;&nbsp; &nbsp; &nbsp; &nbsp; ______________________________<wbr class="">_________________<br class="">
&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt; Busec mailing list<br class="">
&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt; <a href="mailto:Busec@cs.bu.edu" target="_blank" class="">Busec@cs.bu.edu</a><br class="">
&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt;<br class="">
&gt;&gt;&nbsp; &nbsp; &nbsp; &nbsp; <a href="http://cs-mailman.bu.edu/mailman/listinfo/busec" rel="noreferrer" target="_blank" class="">
http://cs-mailman.bu.edu/mailm<wbr class="">an/listinfo/busec</a><br class="">
&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt;<br class="">
&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt;<br class="">
&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt; —<br class="">
&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt; Prof. Ari Trachtenberg<br class="">
&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt; Electrical and Computer Engineering<br class="">
&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt; Boston University<br class="">
&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt; <a href="mailto:trachten@bu.edu" target="_blank" class="">trachten@bu.edu</a><br class="">
&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt;<br class="">
&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt;<br class="">
&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt;<br class="">
&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt;<br class="">
&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt;<br class="">
&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt;<br class="">
&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt;<br class="">
&gt;&gt;&nbsp; &nbsp; &nbsp; &nbsp; ______________________________<wbr class="">_________________<br class="">
&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt; Busec mailing list<br class="">
&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt; <a href="mailto:Busec@cs.bu.edu" target="_blank" class="">Busec@cs.bu.edu</a><br class="">
&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt;<br class="">
&gt;&gt;&nbsp; &nbsp; &nbsp; &nbsp; <a href="http://cs-mailman.bu.edu/mailman/listinfo/busec" rel="noreferrer" target="_blank" class="">
http://cs-mailman.bu.edu/mailm<wbr class="">an/listinfo/busec</a><br class="">
&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt;<br class="">
&gt;&gt;&gt;&gt;&gt;&gt;<br class="">
&gt;&gt;&gt;&gt;&gt;&gt; —<br class="">
&gt;&gt;&gt;&gt;&gt;&gt; Prof. Ari Trachtenberg<br class="">
&gt;&gt;&gt;&gt;&gt;&gt; Electrical and Computer Engineering<br class="">
&gt;&gt;&gt;&gt;&gt;&gt; Boston University<br class="">
&gt;&gt;&gt;&gt;&gt;&gt; <a href="mailto:trachten@bu.edu" target="_blank" class="">trachten@bu.edu</a><br class="">
&gt;&gt;&gt;&gt;&gt;&gt;<br class="">
&gt;&gt;&gt;&gt;&gt;&gt;<br class="">
&gt;&gt;&gt;&gt;&gt;&gt;<br class="">
&gt;&gt;&gt;&gt;&gt;&gt;<br class="">
&gt;&gt;&gt;&gt;&gt;&gt;<br class="">
&gt;&gt;&gt;&gt;&gt;&gt;<br class="">
&gt;&gt;&gt;&gt;&gt;&gt; ______________________________<wbr class="">_________________<br class="">
&gt;&gt;&gt;&gt;&gt;&gt; Busec mailing list<br class="">
&gt;&gt;&gt;&gt;&gt;&gt; <a href="mailto:Busec@cs.bu.edu" target="_blank" class="">Busec@cs.bu.edu</a><br class="">
&gt;&gt;&gt;&gt;&gt;&gt; <a href="http://cs-mailman.bu.edu/mailman/listinfo/busec" rel="noreferrer" target="_blank" class="">
http://cs-mailman.bu.edu/mailm<wbr class="">an/listinfo/busec</a><br class="">
&gt;&gt;&gt;&gt;&gt;&gt;<br class="">
&gt;&gt;&gt;&gt;&gt;<br class="">
&gt;&gt;&gt;<br class="">
&gt;&gt;&gt;&nbsp; &nbsp; &nbsp; &nbsp; —<br class="">
&gt;&gt;&gt;&nbsp; &nbsp; &nbsp; &nbsp; Prof. Ari Trachtenberg<br class="">
&gt;&gt;&gt;&nbsp; &nbsp; &nbsp; &nbsp; Electrical and Computer Engineering<br class="">
&gt;&gt;&gt;&nbsp; &nbsp; &nbsp; &nbsp; Boston University<br class="">
&gt;&gt;&gt;&nbsp; &nbsp; &nbsp; &nbsp; <a href="mailto:trachten@bu.edu" target="_blank" class="">trachten@bu.edu</a><br class="">
&gt;&gt;&gt;<br class="">
&gt;&gt;&gt;<br class="">
&gt;&gt;&gt;<br class="">
&gt;&gt;&gt;<br class="">
&gt;&gt;&gt;<br class="">
&gt;&gt;&gt;<br class="">
&gt;&gt;&gt;<br class="">
&gt;&gt;&gt;<br class="">
&gt;&gt;&gt; ______________________________<wbr class="">_________________<br class="">
&gt;&gt;&gt; Busec mailing list<br class="">
&gt;&gt;&gt; <a href="mailto:Busec@cs.bu.edu" target="_blank" class="">Busec@cs.bu.edu</a><br class="">
&gt;&gt;&gt; <a href="http://cs-mailman.bu.edu/mailman/listinfo/busec" rel="noreferrer" target="_blank" class="">
http://cs-mailman.bu.edu/mailm<wbr class="">an/listinfo/busec</a><br class="">
&gt;&gt;<br class="">
&gt;&gt;<br class="">
&gt;&gt;&nbsp; &nbsp; &nbsp; &nbsp; ______________________________<wbr class="">_________________<br class="">
&gt;&gt;&nbsp; &nbsp; &nbsp; &nbsp; Busec mailing list<br class="">
&gt;&gt;&nbsp; &nbsp; &nbsp; &nbsp; <a href="mailto:Busec@cs.bu.edu" target="_blank" class="">Busec@cs.bu.edu</a><br class="">
&gt;&gt;&nbsp; &nbsp; &nbsp; &nbsp; <a href="http://cs-mailman.bu.edu/mailman/listinfo/busec" rel="noreferrer" target="_blank" class="">
http://cs-mailman.bu.edu/mailm<wbr class="">an/listinfo/busec</a><br class="">
&gt;&gt;<br class="">
&gt;&gt;<br class="">
&gt;&gt;<br class="">
&gt;<br class="">
&gt;<br class="">
&gt; ______________________________<wbr class="">_________________<br class="">
&gt; Busec mailing list<br class="">
&gt; <a href="mailto:Busec@cs.bu.edu" target="_blank" class="">Busec@cs.bu.edu</a><br class="">
&gt; <a href="http://cs-mailman.bu.edu/mailman/listinfo/busec" rel="noreferrer" target="_blank" class="">
http://cs-mailman.bu.edu/mailm<wbr class="">an/listinfo/busec</a><br class="">
<br class="">
—<br class="">
Prof. Ari Trachtenberg<br class="">
Electrical and Computer Engineering<br class="">
Boston University<br class="">
<a href="mailto:trachten@bu.edu" target="_blank" class="">trachten@bu.edu</a><br class="">
<br class="">
<br class="">
<br class="">
<br class="">
<br class="">
</div>
</div>
</blockquote>
</div>
<br class="">
</div>
</div>
</div>
</div>
</div>
</blockquote>
</div>
<br class="">
<div class=""><span class="m_-3276308064309720419Apple-style-span" style="border-collapse:separate;font-variant-ligatures:normal;font-variant-numeric:normal;font-variant-alternates:normal;font-variant-east-asian:normal;line-height:normal;border-spacing:0px"><span class="m_-3276308064309720419Apple-style-span" style="border-collapse: separate; font-family: Helvetica; font-style: normal; font-variant-ligatures: normal; font-variant-position: normal; font-variant-caps: normal; font-variant-numeric: normal; font-variant-alternates: normal; font-variant-east-asian: normal; font-weight: normal; letter-spacing: normal; line-height: normal; text-align: -webkit-auto; text-indent: 0px; text-transform: none; white-space: normal; word-spacing: 0px;">
<div style="word-wrap:break-word" class=""><span class="m_-3276308064309720419Apple-style-span" style="border-collapse: separate; font-family: Helvetica; font-style: normal; font-variant-ligatures: normal; font-variant-position: normal; font-variant-caps: normal; font-variant-numeric: normal; font-variant-alternates: normal; font-variant-east-asian: normal; font-weight: normal; letter-spacing: normal; line-height: normal; text-align: -webkit-auto; text-indent: 0px; text-transform: none; white-space: normal; word-spacing: 0px;">
<div style="word-wrap:break-word" class=""><span class="m_-3276308064309720419Apple-style-span" style="border-collapse: separate; font-family: Helvetica; font-style: normal; font-variant-ligatures: normal; font-variant-position: normal; font-variant-caps: normal; font-variant-numeric: normal; font-variant-alternates: normal; font-variant-east-asian: normal; font-weight: normal; letter-spacing: normal; line-height: normal; text-align: -webkit-auto; text-indent: 0px; text-transform: none; white-space: normal; word-spacing: 0px;">
<div style="word-wrap:break-word" class=""><span class="m_-3276308064309720419Apple-style-span" style="border-collapse: separate; font-family: Helvetica; font-style: normal; font-variant-ligatures: normal; font-variant-position: normal; font-variant-caps: normal; font-variant-numeric: normal; font-variant-alternates: normal; font-variant-east-asian: normal; font-weight: normal; letter-spacing: normal; line-height: normal; text-indent: 0px; text-transform: none; white-space: normal; word-spacing: 0px;">
<div style="word-wrap:break-word" class="">---</div>
<div style="word-wrap:break-word" class="">Prof. Ari Trachtenberg &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp;ECE, Boston&nbsp;University<br class="">
<a href="mailto:trachten@bu.edu" target="_blank" class="">trachten@bu.edu</a>&nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp;&nbsp;<a href="http://people.bu.edu/trachten" target="_blank" class="">http://people.bu.edu/<wbr class="">trachten</a></div>
</span></div>
</span></div>
</span></div>
</span></span></div>
<br class="">
</div>
</div>
</div>
</blockquote>
</div>
<br class="">
</div>
</blockquote>
</div>
<br class="">
-- <br class="">
Sent from my Android device with K-9 Mail. Please excuse my brevity.
</div>

</div></blockquote></div><br class="">
<br class=""></div></body></html>