More Data on Attributing the Sony Attack
Theo: https://www.schneier.com/blog/archives/2014/12/more_data_on_at.html
Bài được đưa lên Internet ngày: 31/12/2014
Lời người dịch: Vụ đột kích vào hãng Sony thời gian qua có nhiều giả thiết được đưa ra. Bài viết này cho chúng ta biết những phân tích của Bruce Schneier về các khả năng đó. “Trên thực tế, những gì chúng ta có là một tập hợp duy nhất các bằng chứng đã bị kéo ra thành 3 phần riêng rẽ, mỗi phần đang được trích dẫn như là bằng chứng mà phần khác là minh chứng rõ ràng về sự liên quan của Bắc Triều Tiên. Ngay khi bạn không tin một trong số các mẩu bằng chứng đó, thì toàn bộ các con bài sẽ đổ nhào”. Xem thêm: Bruce Schneier nói về an toàn.
Một bài phân tích dấu thời gian trong vài tài liệu bị rò rỉ chỉ ra rằng chúng đã được tải về với tốc độc USB 2.0 - điều ngụ ý một người bên trong.
Điều tra của Gotnews.com của chúng tôi trong dữ liệu đã từng được “các tin tặc” phát hành chỉ ra rằng ai đó ở Sony đã sao chép 182 GB ít nhất vào tối ngày 21 - chính là ngày mà lãnh đạo Sony Picturer về truyền thông tập đoàn, Charles Sipkins, công khai từ chức khỏi công việc 600.000 USD. Điều này có thể là một sự trùng khớp nhưng có lẽ không phải thế. Khách hàng cũ của Sipkin từng là NewsCorp và Sipkins từng chính thức bị chồng của Pascal sa thải vì bị phóng viên Hollywood sỉ nhục.
2 ngày sau một quả bom phần mềm độc hại đã xảy ra.
Chúng tôi để lại vài kết luận về sự cố phần mềm độc hại đó:
“Các tin tặc” đã thực hiện rò rỉ này về mặt vật lý ở một máy trạm trong mạng LAN của Sony. Hãy nhớ là an toàn nội bộ của Sony là cứng ở bên ngoài mềm ở trung tâm và vì thế sẽ không khó cho một người bên trong làm hại Sony bằng việc tải về tư liệu theo cách y hệt Bradley Manning hoặc Edward Snowden đã làm trong các bài viết tương ứng về họ.
Nếu “các tin tặc” đã có rồi các bản sao, thì có khả năng chúng đã làm một bản sao cục bộ vào tối ngày 21 để chuẩn bị xuất bản chúng như một đường liên kết trong các màn hình của phần mềm độc hại đó vào ngày 24.
Các thư điện tử được CEO Michael Lynton của Sony phát hành đi ngược về ngày 21/11/2014. Lynton đã có được yêu cầu tiền từ thư điện tử của "God'sApstls" vào ngày 21 lúc 12:44pm.
Các bằng chứng khác cũng ngụ ý người bên trong:
Làm việc trong tiên đề rằng nó có thể lấy một người bên trong với tri thức chi tiết về các hệ thống của Sony để có được sự truy cập và dịch chuyển rộng trong mạng để thâm nhập có chọn lựa các dữ liệu nhạy cảm nhất, các nhà nghiên cứu từ Norse Corporation đang tập trung vào nhóm này dựa vào một phần các tài liệu các nguồn nhân sự rò rỉ, bao gồm cả các dữ liệu về một loạt các sa thải ở Sony đã diễn ra trong mùa xuân 2014.
Các nhà nghiên cứu đã lần vết các hoạt động của cựu nhân viên trong các diễn đàn thế giới ngầm nơi mà các cá nhân ở Mỹ, châu Âu và châu Á có thể đã giao tiếp trước về cuộc tấn công.
Các nhà điều tra tin tưởng nhân viên hoặc các nhân viên cũ bất bình có thể đã tham gia các lực lượng với các hoạt động đột nhập ủng hộ tính riêng tư, những người từ lâu đã ghét quan điểm chống lại tính riêng tư của Sony, để thâm nhập vào các mạng của hãng này.
Tôi nghi ngờ về lý thuyết người bên trong. Nó đòi hỏi chúng ta mặc nhận sự tồn tại của một người duy nhất mà có cả tri thức của người bên trong và kỹ năng đột nhập cần thiết. Và vì tôi không tin rằng tri thức của người bên trong từng được yêu cầu, dường như không có khả năng là các tin tặc đã có nó. Nhưng các kết quả đó chỉ theo hướng đó.
Việc trỏ vào một hướng khác hoàn toàn, một phân tích ngôn ngữ các lỗi chính tả trong các giao tiếp truyền thông của các tin tặc ngụ ý rằng họ là những người nói tiếng Nga:
Tập đoàn Taia Global đã xem xét bằng chứng được viết ra được các tin tặc để lại trong một nỗ lực để xác định có tính khoa học quốc tịch qua Nhận diện Ngôn ngữ Mẹ đẻ - NLI (Native Language Identification). Chúng tôi đã kiểm thử các tiếng Triều Tiên, Trung Quốc Mandarin, Nga và Đức bằng việc sử dụng một phân tích có sự can thiệp của L1. Các kết quả sơ bộ ban đầu của chúng tôi chỉ ra rằng những kẻ tấn công Sony có khả năng nhất là người Nga, có khả năng nhưng có lẽ không phải Triều Tiên và chắc chắn không phải Trung Quốc Mandarin hoặc Đức.
FBI vẫn qui cho Bắc Triều Tiên:
FBI nói hôm thứ hai nó ủng hộ đánh giá của nó, bổ sung thêm rằng bằng chứng khôgn ủng hộ bất kỳ giải thích nào khác.
“FBI đã kết luận chính phủ Bắc Triều Tiên có trách nhiệm về sự ăn cắp và phá hủy dữ liệu trong mạng của Sony Picture Entertainment. Sự quy kết cho Bắc Triều Tiên dựa vào tình báo từ FBI, cộng đồng tình báo Mỹ, Bộ An ninh Nội địa - DHS, các đối tác ngước ngoài và khu vực tư nhân”, một nữ phát ngôn viên nói trong một tuyên bố. “Không có thông tin đáng tin cậy để chỉ ra rằng bất kỳ cá nhân nào khác có trách nhiệm về sự cố không gian mạng này”.
Dù bây giờ có việc nghĩ rằng Bắc Triều Tiên đã thuê các tin tặc bên ngoài:
Các nhà điều tra Mỹ tin tưởng rằng Bắc Triều Tiên có khả năng đã thuê các tin tặc từ bên ngoài nước này để giúp cho cuộc tấn công không gian mạng ồ ạt tháng trước chống lại Sony Pictures, một quan chức gần gũi với cuộc điều tra nói hôm thứ hai.
Vì Bắc Triều Tiên thiếu khả năng tự mình tiến hành vài yếu tố của chiến dịch tinh vi phức tạp, quan chức này nói, các nhà điều tra của Mỹ đang xem xét khả năng là Bình Nhưỡng “đã thuê ngoài” vài công việc không gian mạng.
Điều này là nhảm nhí. Bắc Triều Tiên đã có các khả năng không gian mạng tấn công nhiều năm qua. Và nó có sự hỗ trợ tăng cường từ Trung Quốc.
Hơn nữa, nhiều chuyên gia an toàn không tin rằng đó là Bắc Triều Tiên. Marc Rogers cũng không chọn bằng chứng của FBI.
Vì thế trong kết luận, KHÔNG CÓ GÌ ở đây là trực tiếp ngụ ý Bắc Triều Tiên cả. Trên thực tế, những gì chúng ta có là một tập hợp duy nhất các bằng chứng đã bị kéo ra thành 3 phần riêng rẽ, mỗi phần đang được trích dẫn như là bằng chứng mà phần khác là minh chứng rõ ràng về sự liên quan của Bắc Triều Tiên. Ngay khi bạn không tin một trong số các mẩu bằng chứng đó, thì toàn bộ các con bài sẽ đổ nhào.
Như, như tôi đã viết đầu tháng này:
Nói vậy, thông cáo báo chí của FBI nói rằng kết luận của phòng này chỉ dựa “một phần” vào các manh mối đó. Điều này để lại mở khả năng chính phủ đó đã phân loại bằng chứng rằng Bắc Triều Tiên đứng đằng sau cuộc tấn công đó. NSA đã và đang cố săm soi các giao tiếp truyền thông của chính phủ Bắc Triều Tiên kể từ Cuộc chiến tranh Triều Tiên, và là hợp lý để giả thiết rằng các nhà phân tích của nó là khá sâu sắc. Cơ quan đó có thể có tình báo về việc lên kế hoạch qui trình cho sự đột nhập. Nó có lẽ, có các cuộc gọi điện thoại đang thảo luận về dự án, các báo cáo tình trạng hàng tuần bằng PowerPoint, hoặc thậm chí việc ký kế hoạch của Kim Jong Un.
Mặc khác, có thể không. Tôi có thể đã viết thứ gì đó y hệt về các vũ khí chương trình hủy diệt hàng loạt của Iraq trước cuộc xâm lược 2003 vào nước này, và chúng ta tất cả đều biết chính phủ đã sai như thế nào về điều đó.
Tôi cũng đã viết rằng việc lừa gạt về điều này là một chiến lược thông minh cho chính phủ Mỹ:
... từ quan điểm ngoại giao, là một chiến lược khôn ngoan cho Mỹ để quá tin tưởng trong việc qui kết cho các cuộc tấn công không gian mạng. Ngoài chính trị của cuộc tấn công đặc biệt này, lợi ích dài hạn của Mỹ là để làm thối chí các quốc gia khác khỏi tham gia vào các hành vi tương tự. Nếu chính phủ Bắc Triều Tiên tiếp tục từ chối sự liên can của nó, bất kể là đúng hay không, và những kẻ tấn công thực sự đã đi vào thế giới ngầm, thì quyết định của Mỹ với các sức mạnh tuyệt đối về sự qui kết phục vụ như một cảnh báo cho những người khác mà rằng họ sẽ bị bắt nếu họ cố làm thứ gì đó giống như thế này.
Tất nhiên, chiến lược này hoàn toàn bắn trả nếu những kẻ tấn công có thể chắc chắn chỉ ra không phải là từ Bắc Triều Tiên. Hãy theo dõi để biết thêm.
An analysis of the timestamps on some of the leaked documents shows that they were downloaded at USB 2.0 speeds -- which implies an insider.
Our Gotnews.com investigation into the data that has been released by the "hackers" shows that someone at Sony was copying 182GB at minimum the night of the 21st -- the very same day that Sony Pictures' head of corporate communications, Charles Sipkins, publicly resigned from a $600,000 job. This could be a coincidence but it seems unlikely. Sipkins's former client was NewsCorp and Sipkins was officially fired by Pascal's husband over a snub by the Hollywood Reporter.
Two days later a malware bomb occurred.
We are left with several conclusions about the malware incident:
The "hackers" did this leak physically at a Sony LAN workstation. Remember Sony's internal security is hard on the outside squishy in the center and so it wouldn't be difficult for an insider to harm Sony by downloading the material in much the same way Bradley Manning or Edward Snowden did at their respective posts.
If the "hackers" already had copies, then it's possible they made a local copy the night of the 21st to prepare for publishing them as a link in the malware screens on the 24th.
Sony CEO Michael Lynton's released emails go up to November 21, 2014. Lynton got the "God'sApstls" email demand for money on the 21st at 12:44pm.
Other evidence implies insiders as well:
Working on the premise that it would take an insider with detailed knowledge of the Sony systems in order to gain access and navigate the breadth of the network to selectively exfiltrate the most sensitive of data, researchers from Norse Corporation are focusing on this group based in part on leaked human resources documents that included data on a series of layoffs at Sony that took place in the Spring of 2014.
The researchers tracked the activities of the ex-employee on underground forums where individuals in the U.S., Europe and Asia may have communicated prior to the attack.
The investigators believe the disgruntled former employee or employees may have joined forces with pro-piracy hacktivists, who have long resented the Sony's anti-piracy stance, to infiltrate the company's networks.
I have been skeptical of the insider theory. It requires us to postulate the existence of a single person who has both insider knowledge and the requisite hacking skill. And since I don't believe that insider knowledge was required, it seemed unlikely that the hackers had it. But these results point in that direction.
Pointing in a completely different direction, a linguistic analysis of the grammatical errors in the hacker communications implies that they are Russian speakers:
Taia Global, Inc. has examined the written evidence left by the attackers in an attempt to scientifically determine nationality through Native Language Identification (NLI). We tested for Korean, Mandarin Chinese, Russian, and German using an analysis of L1 interference. Our preliminary results show that Sony's attackers were most likely Russian, possibly but not likely Korean and definitely not Mandarin Chinese or German.
The FBI still blames North Korea:
The FBI said Monday it was standing behind its assessment, adding that evidence doesn't support any other explanations.
"The FBI has concluded the government of North Korea is responsible for the theft and destruction of data on the network of Sony Pictures Entertainment. Attribution to North Korea is based on intelligence from the FBI, the U.S. intelligence community, DHS, foreign partners and the private sector," a spokeswoman said in a statement. "There is no credible information to indicate that any other individual is responsible for this cyber incident."
Although it is now thinking that the North Koreans hired outside hackers:
U.S. investigators believe that North Korea likely hired hackers from outside the country to help with last month's massive cyberattack against Sony Pictures, an official close to the investigation said on Monday.
As North Korea lacks the capability to conduct some elements of the sophisticated campaign by itself, the official said, U.S. investigators are looking at the possibility that Pyongyang "contracted out" some of the cyber work.
Even so, lots of security experts don't believe that it's North Korea. Marc Rogers picks the FBI's evidence apart pretty well.
So in conclusion, there is NOTHING here that directly implicates the North Koreans. In fact, what we have is one single set of evidence that has been stretched out into 3 separate sections, each section being cited as evidence that the other section is clear proof of North Korean involvement. As soon as you discredit one of these pieces of evidence, the whole house of cards will come tumbling down.
But, as I wrote earlier this month:
Tellingly, the FBI's press release says that the bureau's conclusion is only based "in part" on these clues. This leaves open the possibility that the government has classified evidence that North Korea is behind the attack. The NSA has been trying to eavesdrop on North Korea's government communications since the Korean War, and it's reasonable to assume that its analysts are in pretty deep. The agency might have intelligence on the planning process for the hack. It might, say, have phone calls discussing the project, weekly PowerPoint status reports, or even Kim Jong Un's sign-off on the plan.
On the other hand, maybe not. I could have written the same thing about Iraq's weapons of mass destruction program in the run-up to the 2003 invasion of that country, and we all know how wrong the government was about that.
I also wrote that bluffing about this is a smart strategy for the US government:
...from a diplomatic perspective, it's a smart strategy for the US to be overconfident in assigning blame for the cyberattacks. Beyond the politics of this particular attack, the long-term US interest is to discourage other nations from engaging in similar behavior. If the North Korean government continues denying its involvement, no matter what the truth is, and the real attackers have gone underground, then the US decision to claim omnipotent powers of attribution serves as a warning to others that they will get caught if they try something like this.
Of course, this strategy completely backfires if the attackers can be definitely shown to be not from North Korea. Stay tuned for more.
Dịch: Lê Trung Nghĩa
Ý kiến bạn đọc
Những tin mới hơn
Những tin cũ hơn
Blog này được chuyển đổi từ http://blog.yahoo.com/letrungnghia trên Yahoo Blog sang sử dụng NukeViet sau khi Yahoo Blog đóng cửa tại Việt Nam ngày 17/01/2013.Kể từ ngày 07/02/2013, thông tin trên Blog được cập nhật tiếp tục trở lại với sự hỗ trợ kỹ thuật và đặt chỗ hosting của nhóm phát triển...