Strona używa cookies (ciasteczek). Dowiedz się więcej o celu ich używania i zmianach ustawień. Korzystając ze strony wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.    X

You know nothin', John McAfee!

Legenda antywirusów, John McAfee, przemówiła: to nie Korea włamała się do Sony Pictures. Ale czy to prawda? Zastanówmy się nad tym wspólnie. Poprzednio skupiłem się na aspekcie społecznym włamania do Sony. Tym razem chciałbym się skupić na tym co najbardziej medialne: przypisaniu winy.

Rewelacje ujawnione przez FBI czynią Koreę Północną wiodącym podejrzanym w sprawie włamania. FBI podało trzy przyczyny, które skłaniają agencję do takich wniosków.

Analiza malware z komputerów Sony Pictures

Ta informacja nie pojawia się zbyt często w doniesieniach prasowych (bo i nie jest najciekawsza), ale finalnym krokiem włamania było sukcesywne usuwanie danych z komputerów pracowników. Hakerzy wykorzystywali do tego celu umieszczony na komputerach firmowych malware, który po analizie wydaje się być zbliżony do Trojan.Jokra. To Jokra w 2013 roku siała spustoszenie w komputerach sektora prywatnego Korei Południowej. FBI podaje:

there were similarities in specific lines of code, encryption algorithms, data deletion methods, and compromised networks

Szczerze mówiąc nie wiem co autorzy mieli na myśli pisząc o podobieństwach w naruszonych przez malware sieciach. Mogę jedynie zgadywać, że to silnie zredagowana informacja o tym jakiego typu usługi i protokoły sieciowe zostały nadgryzione. Całość, niestety, to słaby wyznacznik podobieństwa. Fragmenty szkodliwego oprogramowania są bowiem używane ponownie (PDF) w konstrukcji nowych.

Biorąc pod uwagę sposób, w jaki działają twórcy złośliwego oprogramowania, nic nie stoi na przeszkodzie, by użyć ponownie fragmenty programu nawet bez dostępu do jego kodu źródłowego. Należy też pamiętać, że podziemny rynek dziur w oprogramowaniu oferuje z każdą z nich przykładowy kod, a kupców na poszczególne exploity może być wielu. Ot, piękno wolnego rynku.

Podobieństwo pliku binarnego szczególnie w przypadku szkodliwego oprogramowania nie jest silnym dowodem. Gdybyśmy na przykład wierzyli, że Stuxnet (PDF) został stworzony przez jednostki rządowe Ameryki i/lub Izraela w celu zagrożenia programowi atomowemu Iranu, to czy bardzo podobny do niego Duqu (PDF) także został stworzony przez rząd? Kto był celem tym razem? Nawet jeśli istnieje spore prawdopodobieństwo, że Stuxnet i Duqu wyszły spod rąk podobnej grupy ludzi, to nie znaczy to wcale, że zleceniodawca w obu przypadkach był ten sam. Podobnie jest w przypadku Jokra/Sony.

Podobieństwo wykorzystanej infrastruktury

Jako drugie uzasadnienie dla swoich wniosków FBI podaje podobieństwo do wcześniejszych ataków przypisywanych Północnej Korei.

significant overlap between the infrastructure used in this attack and other malicious cyber activity the U.S. government has previously linked directly to North Korea

Rząd Korei Północnej nie może wyżywić swoich obywateli, ale to nie znaczy wcale, że nie może dzierżawić infrastruktury do kontroli i ataku. Istnieje wiele komercyjnych organizacji spełniających najdziwniejsze potrzeby twórców złośliwego oprogramowania. Chciałoby się dodać: istnieje wiele szemranych organizacji tego typu w Rosji i Chinach, ale pewnie złudna jest nadzieja, że proceder taki jest geograficznie ograniczony.

Oczywiście Korea Północna operuje także spoza swojego kraju. m.in. z Chin i Rosji którym udało się przypisać część ruchu związanego z atakiem (był też ruch z Polski). Ale takie działania rządowych hakerów otwierają jeszcze jeden, znacznie mniej prawdopodobny (ale nie niemożliwy) scenariusz: być może Korea Północna sama oferuje podobne usługi outsourcingowe.

Istnieje też całkiem ciekawa możliwość, chichot losu w zasadzie, wedle której atak rzeczywiście dokonany został (przynajmniej częściowo) przy użyciu północnokoreańskiej infrastruktury, ale bez współudziału właścicieli. Atakuje się znacznie łatwiej, niż broni. Zdolności ofensywne Jednoski 121 nie wykluczają wcale problemów z utrzymaniem własnego systemu w ryzach.

Podobieństwo do zeszłorocznych ataków

W zasadzie jest to wyłącznie przekształcenie pierwszego argumentu FBI. To stosunkowo jasne, że podobne narzędzia wykorzystuje się w podobny sposób.

tools used in the SPE attack have similarities to a cyber attack in March of last year against South Korean banks

Przypuszczam, że zbliżony wniosek można byłoby wysnuć analizując dowolny inny atak na podmiot komercyjny, jeśli celem było wydobycie informacji i zaburzenie działania organizacji. Cel podobny, powierzchnia wyeksponowana na atak zbliżona, oczekiwania zbliżone, efekt zależy głównie od ogarniability atakowanych. Co zbliża nas do tego, o czym tak naprawdę chciałem napisać.

W takim razie kto za tym stoi?

Rozczaruję Was: nie wiem! ;) Ale bliżej mojej opinii na temat źródła ataku tej wyrażonej przez Johna McAfee, niż zaprezentowanej przez FBI (tak chętnie i bezrefleksyjnie powtarzanej przez media). Powodów jest wiele, ale najbardziej rażący jest dla mnie aspekt kulturowy włamania.

Każdy kto czytał noty prasowe Korei Północnej wie jak wygląda retoryka azjatyckiego karła: My Lud, podła cywilizacja (tfu!) Zachodu, Ukochany Wódz. Dla Korei Północnej czas zatrzymał się kilkadziesiąt lat temu: propaganda w publikowanych materiałach jest prymitywna, oczywista i nieświeża.

Włamanie do Sony Pictures wiązało się z drobną wojną podjazdową na PR w Internecie. To coś, czego Korea Północna nigdy nie robiła. I coś do czego, uważam, nie jest zdolna. Szczególnie trudno przychodzi mi wyobrażenie sobie spotkania na szczycie w Korei Północnej, na którym podjęto decyzję o trolowaniu FBI. Albo o użyciu szkieletu jako "maskotki" ataku.

Co nie mniej istotne: pierwsze komunikaty od włamywaczy pisane były nowoczesnym angielskim przeplatanym internetowym slangiem. Dopiero kiedy metka "made in DPRK" przywarła do ataku, w informacjach od włamywaczy pojawiły się dziwaczne błędy gramatyczne i przeinaczone słowa. Nie jest też jasne, czy atrybucja była działaniem napastników, czy mediów. Przynajmniej jedno źródło podaje, że to nie media (jak się często słyszy) jako pierwsze doniosły o powiązaniu włamania z Koreą Północną.

Należy sobie zdawać sprawę także z tego, że sposób w jaki kaleczony jest język obcy związane jest całkowicie z charakterystyką języka ojczystego kaleczącego. Pomylony przeze mnie szyk zdania po angielsku wynika wprost z tego, jak skonstruowane jest zdanie w języku polskim. Dla użytkownika języka malgaskiego czas przeszły i przyszły mogą się mieszać, bo dla niego przeszłość to coś z przodu. Ale Polak takiego błędu raczej nie popełni, prędzej zamieni miejscami podmiot i orzeczenie. Inną jeszcze klasę błędów popełni osoba władająca biegle językiem koreańskim.

Ale to, co przedstawili włamywacze można w najlepszym przypadku scharakteryzować jako usilną próbę łapania języka "po koreańsku" przez kogoś, kto nie ma o języku koreańskim najmniejszej nawet wiedzy. Losowo pomylone słowa i błędny czas zdania to nie są potknięcia kogoś, kto posługuje się językiem koreańskim. No i co się stało z autorem poprzednich tekstów: Kim postanowił się go pozbyć? ;P

A co na to eksperci?

Eksperci skupiają się na aspektach technicznych. I słusznie, w końcu od tego są. Bruce Schneier początkowo opisał kilka możliwych, około-koreańskich scenariuszy, ale z czasem skłaniał się ku robocie kogoś z wewnątrz. Bardzo ciekawy wydaje się argument, że dane pobrano z prędkością USB 2.0, co wskazywałoby na fizyczny dostęp do siedziby Sony.

Innego zdania jest Brian Krebs, który dostrzega podobieństwo do wcześniejszych ataków reżimu Kim Dzong Una. Po tej stronie debaty zaczyna się też mówić o scenariuszu, w którym Korea zatrudniła kogoś do dokonania ataku.

Bezprecedensowe wydaje się to, że Korea Północna chce pomóc w schwytaniu sprawców i odcina się od ataku - jest to reakcja zupełnie nietypowa dla nich. Tymczasem bez względu na to kto jest winny, Stany nakładają sankcje na Koreę Północną i jej dyplomatów (w końcu każdy pretekst jest dobry), a internetowy odwet chwilowo zaburzył dostęp do sieci w Korei Północnej (nie bardziej pewnie niż lokalna cenzura, ale mimo wszystko).

Bez względu na to "kto zawinił?", warto zdać sobie sprawę z jednej rzeczy: ochrona systemów komputerowych techniką wielkiego muru z drutem kolczastym nie wystarcza. Programy antywirusowe i firewalle nie są dostatecznym zabezpieczeniem. Monitorowanie aktywności sieci i edukacja pracowników są niezbędne, jeśli chcemy zminimalizować straty. Pozostaje więc mieć nadzieję, że Sony Pictures (i inne firmy) odrobiły wreszcie tę lekcję i nie będą narażały swoich pracowników i klientów na niebezpieczeństwa w imię skromnych oszczędności.

To drugi i zarazem ostatni artykuł na temat włamania do Sony Pictures. Zabierałem się za niego długo, bo potrzebowałem pretekstu do wznowienia tematu. Dal go John. Mam nadzieję, że oczywiste nawiązanie do GoT jest oczywiste. ;) 

internet bezpieczeństwo

Komentarze

0 nowych
O4i   11 #1 18.01.2015 14:29

Prawdopodobnie pomagał ktoś z wewnątrz, ale dużo prościej jest podzielić świat na tych dobrych i złych i wskazać złą Koreę jako winowajce.

Ryan   15 #2 18.01.2015 17:08

@O4i: Osobiście nie wierzę w teorię o kimś z Sony pomagającym świadomie - trzeba mieć bardzo skromne pojęcie o konsekwencjach własnych czynów, gigantyczny uraz do pracodawcy, albo problemy emocjonalne, żeby czegoś takiego się dopuścić. :)

xomo_pl   20 #3 18.01.2015 17:46

@Ryan: nie wykluczone, że to był po prostu pomysł Sony (lub jakiegoś menedżera z Sony Pictures) na marketing kiepskiego filmu o wodzu KRLD...

Ryan   15 #4 18.01.2015 17:49

@xomo_pl: To jest całkowicie nieprawdopodobne: nie wyciekasz wszystkich danych i wewnętrznych brudów, żeby sprzedać film. Gdyby to była prawda (a jestem absolutnie pewien, że nie jest), to straciłbym jakąkolwiek wiarę w ludzkość. ;)

xomo_pl   20 #6 18.01.2015 18:34

@Ryan: wtopili w ten badziewny film tyle $, że wszystko jest możliwe... może jakiś menedżer niższego szczebla wpadł na ten jakże 'genialny' pomysł i zrobił darmową reklamę filmu, którego nikt by nie chciał obejrzeć gdyby nie otoczka związana z rzekomym atakiem

Ryan   15 #7 18.01.2015 18:57

@xomo_pl: 40 milionów (z haczykiem) to nie jest szczególnie dużo. Roczny dochód Sony jest 25x większy, a The Interview miało niezłe opinie wśród krytyków jeszcze przed tym całym zamieszaniem. Jeśli zwracają się komedie Sandlera, to i to miało pewny zwrot. ;)

xomo_pl   20 #8 18.01.2015 19:09

@Ryan: przy obecnej kondycji Sony (co prawda każdy dział jest niezależny ale jednak całość przędzie raczej słabo) każdy milion jest nawagę złota :D

O4i   11 #9 18.01.2015 19:10

@Ryan: Czyli jak najbardziej czynniki bardzo prawdopodobne u pracowników wielkiej międzynarodowej korporacji.

Ryan   15 #10 18.01.2015 19:24

@xomo_pl: Poszczególne firmy-córki rozliczają się niezależnie. Kasa, jaką zarobi/zaoszczędzi Sony Pictures nie wpłynie w żaden sposób na wyniki Sony Corporation czy Sony Computer Entertainment.

Ryan   15 #11 18.01.2015 19:27

@O4i: Nie demonizowałbym aż tak dużych korporacji. W ogólności mają często niewłaściwą (z punktu widzenia społeczeństwa) motywację, ale w szczególności jedna osoba w żadnej firmie nie wyrządziła nigdy takich szkód. Wiesz, wyciekły takie rzeczy jak numery opieki społecznej *wszystkich* pracowników. Robiąc coś takiego pracownik naraziłby i siebie na poważne straty.

xomo_pl   20 #12 18.01.2015 19:30

@Ryan: tak ale dla Sony teraz ważna jest kondycja każdego z działów - to co będzie tracić poleci pod młotek - chodzą już plotki o tym, że następne w kolejce są działy mobile i TV do sprzedania... więc stąd może być parcie w każdym dziale by jak najmniej tracić/ zyskać jak najwięcej żeby nie zostać sprzedanym.
O ile w to, że szefostwo Sony/ Sony Pictures by poszło na taki "marketing" nie wierzę tak właśnie to, że jakiś pionek w dziale wpadł na to już jestem skłonny uwierzyć - zapewne boją się o robotę więc są skłonni kombinować ;)

Ryan   15 #13 18.01.2015 19:35

@xomo_pl: Napiszę to jeszcze raz: wyniki Sony Pictures w żaden sposób nie wpływają na kondycję Sony Corp (tych od elektroniki) czy Sony Mobile Communications (niegdysiejsze Sony Ericsson). Jeśli dla firmy-matki skończył się czas inwestowania np. w elektronikę, to zrestrukturyzuje i/lub sprzeda część/całość oddziału. Nie istnieje mechanizm, który pozwoliłby uratować ich kosztem innej firmy-córki. To tak nie działa, na żadnym poziomie: finansowym czy prawnym. To nawet nie byłby mądry sposób na robienie biznesu. Prawdopodobieństwo, że wyciek to jakiś plan kogoś na górze nie jest bliski zeru. Wynosi dokładnie ZERO.

O4i   11 #14 18.01.2015 19:39

@Ryan: Jeden sfrustrowany pracownik przekupiony przez kogoś zewnątrz, podpina niepozorny pendrive. To chyba wcale nie jest taki nierealny scenariusz? Przecież nie trudno kogoś znaleźć skoro firma zatrudnia masę pracowników.

Ryan   15 #15 18.01.2015 19:46

@O4i: Chcę wierzyć, że nawet przy ~20k zatrudnionych jest to bardzo nieprawdopodobne. Pracowałem w corpo zatrudniającym (w tamtych czasach) jakieś 90-95k ludzi. Część z nich w takich miejscach jak Chiny, Indie czy Włochy (hue, hue, zbędny przytyk pod adresem biednych makaroniarzy) i tego typu sytuacje nie miały miejsca. Albo inaczej: nawet jeśli miały miejsce (bo może miały), to nie niosły za sobą takich konsekwencji.

Ale wiesz, taki scenariusz wcale nie działa na korzyść Sony. Gdyby to się okazało prawdą, to znaczyłoby, że IT firmy jest masywnie niedofinansowane lub wymagania wobec nich tworzył ktoś skrajnie niekompetentny. Ale to zahacza bardziej o treść mojego poprzedniego wpisu o złych priorytetach i wciąż nie wynika ze złośliwości (pracownika czy grupy ludzi), a z głupoty.

Tak już bardziej ogólnie: ja naprawdę jestem przekonany, że większość problemów na świecie bierze się z głupoty, a nie ze złośliwości. ;)

  #16 18.01.2015 20:04

pewnie za niedługo Sony zostanie kupione przez jakieś amerykańską firmę

IrasDeeJay   6 #17 18.01.2015 20:07

W piątek właśnie w lokalnym radio słyszałem właśnie akcje o aresztowaniu gościa, który zamieszany jest w ataki na Sony i Microsoft które miały miejsce w święta.
Zobaczcie np to http://www.bbc.co.uk/news/technology-30849172

Ryan   15 #18 18.01.2015 20:08

@IrasDeeJay: To zupełnie inna sprawa - chodzi o DDoS na serwery gier Sony i MS. :)

O4i   11 #19 18.01.2015 20:09

@Ryan: Ja właśnie gdzieś słyszałem, że budżet Sony na bezpieczeństwo IT był dość ograniczony, ale mimo wszystko dość trudno wyobrazić sobie tego typu atak bez pomocy kogoś z wewnątrz. Jedno jest pewne, to nie była marketingowa zagrywka Sony, ta teoria nie ma żadnego sensu.

  #20 18.01.2015 20:11

To na pewno nie była taka nietypowa promocja arcydzieła. Sony nie odważyłoby się fingować tak spraw, by Obama się nad tym kłaniał. Bzdura. Możliwy jest jednak scenariusz w którym w grę wchodzi, np. kret robiący zlecenie z zewnątrz i robota wywiadowcza. W ten sposób wiele intryg tego świata przebiegało i to mogłoby właśnie być genezą obecnego stanowiska USA w sprawie.

  #21 18.01.2015 20:13

Trzecie pytanie prawa rzymskiego dotyczącego dowodzenia przestępstwa: jaki miał w tym interes? TWC dało pretekst do zaatakowania Iraku, "broni masowego rażenia" do tej pory tam nie znaleziono. Trzeba poczekać, co zostanie wymyślone jako odwet i będzie (prawie) wszystko jasne.

@Ryan
Bardzo dobrze merytorycznie piszesz, a że przy tym ładną polszczyzną, to brawa na stojąco Ci przysługują!

Ryan   15 #22 18.01.2015 20:14

@O4i: M.in. ja pisałem poprzednio o kosztach. Szef bezpieczeństwa nie mówił, że budżet jest ograniczony, tylko że ocena ryzyka skłania do oszczędności (bo koszty włamania to marny milion martwych prezydentów). To plucie w twarz swoim pracownikom, bo ignoruje ich osobisty koszt w następstwie włamania tego typu.

xomo_pl   20 #23 18.01.2015 21:13

@Ryan: "Nie istnieje mechanizm, który pozwoliłby uratować ich kosztem innej firmy-córki. "

tak ale jak pracownicy niższego szczebla widząc, że nie jako od ich decyzji zależy to czy za pół roku/rok nie wylecą wszyscy to może prowadzić to do takich sytuacji, że zrobią wszystko byle przynieść jakiś zysk aby "centrala" patrzyła na nich łaskawiej.... poświęcenie GB danych wydaje się być niczym jeśli uzyska się w ten sposób darmową reklamę na cały świat czegoś co skończyło z kiepskimi notami ale właśnie przez hałas wokół przyniosło jakiś tam zysk z tego co pamiętam

StarterX4   10 #24 18.01.2015 21:37

Kim Dzong Un to gość, nie sądzę by to on kazał się włamywać do Sony :P

Ryan   15 #25 18.01.2015 21:38

@xomo_pl: Jak na tym miałby zarobić/stracić ktoś inny, niż Sony Pictures? Przepraszam, że to piszę, ale ta teoria jest naprawdę bardzo, bardzo głupia. :(

  #26 18.01.2015 22:43

Jesteś wszechwiedzącym i najmądrzejszym człowiekiem na świecie? Pewnie kochasz USA.Teoria xomo_pl wcale nie jest głupia. Boga wymyślił człowiek.

IrasDeeJay   6 #27 18.01.2015 23:37

@Ryan: O kurde, ale off top :P ;)

foreste   14 #28 19.01.2015 01:05

@Ryan: Wracaj na fotel redaktora dp albo na cza próbny analiza skoku poziomu portalu ;D

  #29 19.01.2015 02:07

@xomo_pl: To ciekawe, że los całej wytwórni (a kilku, bo Sony Pictures to tylko marka - nie mów o tym nikomu!) miałby zależeć od jednego filmu. Gratuluję :) Jednakże zróbmy jeden krok do tyłu, aby nabrać nieco dystansu. Koncern, który ma przychody na poziomie 8 miliardów $ rocznie i zysku operacyjnym 0,5 miliarda siłą rzeczy nie jest zależny od jednej produkcji. Seria wtop, jasne.

Swoją drogą kiepsko posądzić "The Interview" o kiepskie noty. IMDB: Metascore 52/100, wśród odwiedzających portal to już 7,1/10. Na Google Play też przeważają noty pozytywne.

Ryan   15 #30 19.01.2015 08:42

@tomick: Bo to niezły film jest. :) Jasne, jeśli ktoś nie lubi komedii bez przyrostka "romantyczna", to nie spodoba mu się. Ale daleko tutaj to naprawdę złych komedii. ;]

Ryan   15 #31 19.01.2015 08:43

@foreste: Dzięki, ale ja lubię moją obecną pracę. ;]

xomo_pl   20 #32 19.01.2015 14:23

@tomick: nie śledziłem przyznaję ocen "The Interview" na bieżąco.... początkowo oceny były głównie kiepskie.

BTW: gdzie ja wspominam, że los miałby zależeć od jednego filmu? pisałem tylko, że wtopa za wtopą może spowodować, że wytwórnia pójdzie pod młotek jak inne działy Sony i jakiś tam szeregowy pracownik mógł stwierdzić, że jakoś "muszą ten film rozreklamować" co w sumie się udało. Z tym, że to nadal tylko teza i nic więcej ;)

@Ryan "Jak na tym miałby zarobić/stracić ktoś inny, niż Sony Pictures? "
?

co do filmu to fakt, zły nie jest i nawet da się obejrzeć...

  #33 19.01.2015 16:19

A na końcu wyjdzie że to wszystko to był po prostu kolejny mistrzowski trolling userów 4chana :D

kopczyk   3 #35 19.01.2015 23:23

Już pisałem wcześniej, ale ja osobiście uważam, że to rząd USA stoi za tym atakiem na Sony. To jest prosty manewr jak zacząć przymiarki do zwiększenia swoich wpływów koło Chin, bo przypomnijmy Chiny są teraz największą gospodarką Świata i zjadają USA.

Druedain   13 #36 20.01.2015 14:05

@Ryan: Chyba ostatnio nabrałeś cierpliwości do komentujących :P .

Ryan   15 #37 20.01.2015 14:48

@Druedain: Coś innego ma miejsce. Ale nie powiem publicznie co. ;)

Druedain   13 #38 20.01.2015 15:06

@Ryan: Bądź wola Twoja.
Edit: Już wiem, ZBIERASZ ODZNAKI!!!111

Co do Sony, coś na pewno obstawiasz. Internetowych trolli, znudzonych wycieraniem sosu w przepocone podkoszulki? Zemsta pracownika (-ów)? Inicjatywa konkurentów biznesowych?

Autor edytował komentarz.
Ryan   15 #39 20.01.2015 17:20

@Druedain: @tomick Ci powiedział!