Tényleg Észak-Korea jutott be a Sony szervertermébe? Ha igen, hogyan?

sony-hacked
17
dec
2014
Kategória: Cikkek

Még mindig nem tért magához a Sony a három héttel ezelőtti támadás óta. Viszont amíg ők lábadoznak, ideje nekünk is sorra venni, mi vezetett idáig, hátha tanulunk belőle.

A támadás hátterében az egyik verzió szerint a The Interview című film állhat: Észak-Korea már korábban is megfenyegette a céget, hogy ha az ország diktátoráról tényleg készül egy vígjáték, azt hadüzenetnek veszik, és támadásba lépnek. Ez lehetett a támadás, ami emberéleteket ugyan nem követelt, de épp elég pusztító volt.

theinterview

A másik verzió szerint nem Kim Jong-un emberei állnak az ügy hátterében, amit megerősít Észak-Korea is: egy szóvivő azt nyilatkozta, nem ők állnak a támadás mögött, de egyébként nagyon örülnek neki. Természetesen a Sony is igyekszik ezt a képet erősíteni, valamint a gyanút egy belső emberre terelni: nekik erősíteni kell a megingathatatlan cég képét, amit egy áruló sebzett meg. Mindenesetre a támadás gyanúsan hatékony volt, és szakértők szerint ismerniük kellett a hackereknek a célpont hálózatának topográfiáját, hogy ezt így véghez tudják vinni.

Azért is lehetett Észak-Koreát sejteni a háttérben megbúvó megrendelő mögött, mert a hálózaton talált, Destover névre keresztelt malware nagyon hasonlít a korábban Dél-Korea ellen bevetett károkozóra. Ennek az alapját egyébként egy kereskedelemben is kapható szoftver adja, amivel a Windows-zal működő számítógépek merevlemezéhez férhetünk hozzá alacsony szinten.

Egy károkozót ugyanezzel a digitális aláírással már tavaly is találtak, a Packet Ninjas nevű biztonsági cég csípte el. Ugyanazzal a szerverrel kommunikált az is, mint a Destover: a Thammasat egyetemmel Bangkokban.

A többi már történelem: az csak a kisebbik baj, hogy így a program törölte a hálózatra csatlakozott gépek merevlemezének teljes tartalmát, a nagyobbik, hogy az egyik támadó bevallása szerint több tíz terabjátnyi anyagot sikerült lementeniük, mielőtt ez megtörtént. Ez pedig egy rakás jelszót, a dolgozók legbizalmasabban kezelendő adatait és hasonló érzékeny információt jelent. Az adatok egy részét pedig torrentoldalakon és fájlmegosztókon kezdték el odavetni a népnek. Mihelyt egy torrent elérése megszűnik, máris küldik levélben az újságíróknak a következőt. Öt Sony film került már megosztásra, ezek közül négy premier előtt (Annie, Fury, Still Alice, Mr. Turner, To Write Love On Her Arms).

A cél láthatóan a feltűnés keresése, a nyomásgyakorlás és a Sony dolgozóinak megfélemlítése. Ez is azt igazolja, hogy a támadás csapásmérésként értelmezhető, nem nyereségvágyból követték el.

Fontosabb azonban számunkra, hogy mit tanulhatunk az esetből. Mert ha több százmillió dolláros károkat ilyen könnyedén lehet ejteni, az végképp elgondolkoztathatja azokat, akik a biztonságra másodlagos muszájként gondoltak.

1. Nem teszünk a gépünkre, szerverünkre “Password” könyvtárat, ahol titkosítatlanul tároljuk az összes jelszavunkat. Még a nyugdíjas édesanyám is megértette, hogy egyetlen jelszót sem tárolhat a számítógépen (az, hogy a papírra írva valamilyen egyszerű titkosítást használjon, még nem ment át teljesen, de folyamatban van). A Sonynál ezt tették, fejfájósan primitív módon.

2. Ugyanígy nem tároljuk a 47 ezer dolgozó Social Security számát, fizetését és egyéb érzékeny adatait egy titkosítatlan Excel táblában.

3. A veszély nincs kikerülve azzal, hogy korlátozzuk a hozzáférést a fájlokhoz. Az érzékeny adatokat úgy kell tárolni, hogy egy támadás esetén se legyen nagyon rossz nekünk. Legfeljebb kicsit.

4. Nem teszünk elérhetővé túl sok információt egyetlen hálózaton. Az integrált eszközök jó dolgok, de ha egyetlen támadással mindent elveszíthetünk, az inkább félelmetes. A szegmentációs egyik legegyszerűbb példája a levelezőrendszer: lehet egy szerveren tárolni 80 ezer accountot, vagy 10 szerveren, darabonként 8000-et – mondta el Eric Cole biztonsági szakértó a SANS Institute-tól. Ha egy megsérül, nem az egész céget rántja magával, mint ebben az esetben – tette hozzá.

5. Vizsgáltassuk át a saját hálózatunkat, átvilágítással, külső próbatámadással egy csomó sérülékenység napvilágra kerülhet.

6. A fájlok hozzáférésében az EldoS nevű program segített, ami segített kikerülni a beépített alrendszert. Így a háttértárak tisztára nyalása gyakorlatilag normál rendszerműködésnek tűnhetett. Kérdés, hogy ilyen toolokat tényleg érdemes-e kereskedelmi forgalomban elérhetővé tenni, és az operációs rendszerben mindezt nemhogy sebezhetőségként, hanem lehetőségként kezelni.

Forrás:
www.blogs.wsj.com
www.arstechnica.com
www.businessinsider.com
www.hollywoodreporter.com/
www.hwsw.hu/
www.theverge.com
www.arstechnica.com