You know nothin', John McAfee!
Legenda antywirusów, John McAfee, przemówiła : to nie Korea włamała się do Sony Pictures. Ale czy to prawda? Zastanówmy się nad tym wspólnie. Poprzednio skupiłem się na aspekcie społecznym włamania do Sony. Tym razem chciałbym się skupić na tym co najbardziej medialne: przypisaniu winy.
Rewelacje ujawnione przez FBI czynią Koreę Północną wiodącym podejrzanym w sprawie włamania. FBI podało trzy przyczyny, które skłaniają agencję do takich wniosków.
Analiza malware z komputerów Sony Pictures
Ta informacja nie pojawia się zbyt często w doniesieniach prasowych (bo i nie jest najciekawsza), ale finalnym krokiem włamania było sukcesywne usuwanie danych z komputerów pracowników. Hakerzy wykorzystywali do tego celu umieszczony na komputerach firmowych malware, który po analizie wydaje się być zbliżony do Trojan.Jokra. To Jokra w 2013 roku siała spustoszenie w komputerach sektora prywatnego Korei Południowej. FBI podaje:
there were similarities in specific lines of code, encryption algorithms, data deletion methods, and compromised networks
Szczerze mówiąc nie wiem co autorzy mieli na myśli pisząc o podobieństwach w naruszonych przez malware sieciach. Mogę jedynie zgadywać, że to silnie zredagowana informacja o tym jakiego typu usługi i protokoły sieciowe zostały nadgryzione. Całość, niestety, to słaby wyznacznik podobieństwa. Fragmenty szkodliwego oprogramowania są bowiem używane ponownie (PDF) w konstrukcji nowych.
Biorąc pod uwagę sposób, w jaki działają twórcy złośliwego oprogramowania, nic nie stoi na przeszkodzie, by użyć ponownie fragmenty programu nawet bez dostępu do jego kodu źródłowego. Należy też pamiętać, że podziemny rynek dziur w oprogramowaniu oferuje z każdą z nich przykładowy kod, a kupców na poszczególne exploity może być wielu. Ot, piękno wolnego rynku.
Podobieństwo pliku binarnego szczególnie w przypadku szkodliwego oprogramowania nie jest silnym dowodem. Gdybyśmy na przykład wierzyli, że Stuxnet (PDF) został stworzony przez jednostki rządowe Ameryki i/lub Izraela w celu zagrożenia programowi atomowemu Iranu, to czy bardzo podobny do niego Duqu (PDF) także został stworzony przez rząd? Kto był celem tym razem? Nawet jeśli istnieje spore prawdopodobieństwo, że Stuxnet i Duqu wyszły spod rąk podobnej grupy ludzi, to nie znaczy to wcale, że zleceniodawca w obu przypadkach był ten sam. Podobnie jest w przypadku Jokra/Sony.
Podobieństwo wykorzystanej infrastruktury
Jako drugie uzasadnienie dla swoich wniosków FBI podaje podobieństwo do wcześniejszych ataków przypisywanych Północnej Korei.
significant overlap between the infrastructure used in this attack and other malicious cyber activity the U.S. government has previously linked directly to North Korea
Rząd Korei Północnej nie może wyżywić swoich obywateli, ale to nie znaczy wcale, że nie może dzierżawić infrastruktury do kontroli i ataku. Istnieje wiele komercyjnych organizacji spełniających najdziwniejsze potrzeby twórców złośliwego oprogramowania. Chciałoby się dodać: istnieje wiele szemranych organizacji tego typu w Rosji i Chinach, ale pewnie złudna jest nadzieja, że proceder taki jest geograficznie ograniczony.
Oczywiście Korea Północna operuje także spoza swojego kraju. m.in. z Chin i Rosji którym udało się przypisać część ruchu związanego z atakiem (był też ruch z Polski). Ale takie działania rządowych hakerów otwierają jeszcze jeden, znacznie mniej prawdopodobny (ale nie niemożliwy) scenariusz: być może Korea Północna sama oferuje podobne usługi outsourcingowe.
Istnieje też całkiem ciekawa możliwość, chichot losu w zasadzie, wedle której atak rzeczywiście dokonany został (przynajmniej częściowo) przy użyciu północnokoreańskiej infrastruktury, ale bez współudziału właścicieli. Atakuje się znacznie łatwiej, niż broni. Zdolności ofensywne Jednoski 121 nie wykluczają wcale problemów z utrzymaniem własnego systemu w ryzach.
Podobieństwo do zeszłorocznych ataków
W zasadzie jest to wyłącznie przekształcenie pierwszego argumentu FBI. To stosunkowo jasne, że podobne narzędzia wykorzystuje się w podobny sposób.
tools used in the SPE attack have similarities to a cyber attack in March of last year against South Korean banks
Przypuszczam, że zbliżony wniosek można byłoby wysnuć analizując dowolny inny atak na podmiot komercyjny, jeśli celem było wydobycie informacji i zaburzenie działania organizacji. Cel podobny, powierzchnia wyeksponowana na atak zbliżona, oczekiwania zbliżone, efekt zależy głównie od ogarniability atakowanych. Co zbliża nas do tego, o czym tak naprawdę chciałem napisać.
W takim razie kto za tym stoi?
Rozczaruję Was: nie wiem! ;) Ale bliżej mojej opinii na temat źródła ataku tej wyrażonej przez Johna McAfee, niż zaprezentowanej przez FBI (tak chętnie i bezrefleksyjnie powtarzanej przez media ). Powodów jest wiele, ale najbardziej rażący jest dla mnie aspekt kulturowy włamania.
Każdy kto czytał noty prasowe Korei Północnej wie jak wygląda retoryka azjatyckiego karła: My Lud, podła cywilizacja (tfu!) Zachodu, Ukochany Wódz. Dla Korei Północnej czas zatrzymał się kilkadziesiąt lat temu: propaganda w publikowanych materiałach jest prymitywna, oczywista i nieświeża.
Włamanie do Sony Pictures wiązało się z drobną wojną podjazdową na PR w Internecie. To coś, czego Korea Północna nigdy nie robiła. I coś do czego, uważam, nie jest zdolna. Szczególnie trudno przychodzi mi wyobrażenie sobie spotkania na szczycie w Korei Północnej, na którym podjęto decyzję o trolowaniu FBI. Albo o użyciu szkieletu jako "maskotki" ataku.
Co nie mniej istotne: pierwsze komunikaty od włamywaczy pisane były nowoczesnym angielskim przeplatanym internetowym slangiem. Dopiero kiedy metka "made in DPRK" przywarła do ataku, w informacjach od włamywaczy pojawiły się dziwaczne błędy gramatyczne i przeinaczone słowa. Nie jest też jasne, czy atrybucja była działaniem napastników, czy mediów. Przynajmniej jedno źródło podaje, że to nie media (jak się często słyszy) jako pierwsze doniosły o powiązaniu włamania z Koreą Północną.
Należy sobie zdawać sprawę także z tego, że sposób w jaki kaleczony jest język obcy związane jest całkowicie z charakterystyką języka ojczystego kaleczącego. Pomylony przeze mnie szyk zdania po angielsku wynika wprost z tego, jak skonstruowane jest zdanie w języku polskim. Dla użytkownika języka malgaskiego czas przeszły i przyszły mogą się mieszać, bo dla niego przeszłość to coś z przodu. Ale Polak takiego błędu raczej nie popełni, prędzej zamieni miejscami podmiot i orzeczenie. Inną jeszcze klasę błędów popełni osoba władająca biegle językiem koreańskim.
Ale to, co przedstawili włamywacze można w najlepszym przypadku scharakteryzować jako usilną próbę łapania języka "po koreańsku" przez kogoś, kto nie ma o języku koreańskim najmniejszej nawet wiedzy. Losowo pomylone słowa i błędny czas zdania to nie są potknięcia kogoś, kto posługuje się językiem koreańskim. No i co się stało z autorem poprzednich tekstów: Kim postanowił się go pozbyć? ;P
A co na to eksperci?
Eksperci skupiają się na aspektach technicznych. I słusznie, w końcu od tego są. Bruce Schneier początkowo opisał kilka możliwych, około-koreańskich scenariuszy, ale z czasem skłaniał się ku robocie kogoś z wewnątrz. Bardzo ciekawy wydaje się argument, że dane pobrano z prędkością USB 2.0, co wskazywałoby na fizyczny dostęp do siedziby Sony.
Innego zdania jest Brian Krebs, który dostrzega podobieństwo do wcześniejszych ataków reżimu Kim Dzong Una. Po tej stronie debaty zaczyna się też mówić o scenariuszu, w którym Korea zatrudniła kogoś do dokonania ataku.
Bezprecedensowe wydaje się to, że Korea Północna chce pomóc w schwytaniu sprawców i odcina się od ataku - jest to reakcja zupełnie nietypowa dla nich. Tymczasem bez względu na to kto jest winny, Stany nakładają sankcje na Koreę Północną i jej dyplomatów (w końcu każdy pretekst jest dobry), a internetowy odwet chwilowo zaburzył dostęp do sieci w Korei Północnej (nie bardziej pewnie niż lokalna cenzura, ale mimo wszystko).
Bez względu na to "kto zawinił?", warto zdać sobie sprawę z jednej rzeczy: ochrona systemów komputerowych techniką wielkiego muru z drutem kolczastym nie wystarcza. Programy antywirusowe i firewalle nie są dostatecznym zabezpieczeniem. Monitorowanie aktywności sieci i edukacja pracowników są niezbędne, jeśli chcemy zminimalizować straty. Pozostaje więc mieć nadzieję, że Sony Pictures (i inne firmy) odrobiły wreszcie tę lekcję i nie będą narażały swoich pracowników i klientów na niebezpieczeństwa w imię skromnych oszczędności.
To drugi i zarazem ostatni artykuł na temat włamania do Sony Pictures. Zabierałem się za niego długo, bo potrzebowałem pretekstu do wznowienia tematu. Dal go John. Mam nadzieję, że oczywiste nawiązanie do GoT jest oczywiste. ;)