More
Data on Attributing the Sony Attack
Bài
được đưa lên Internet ngày: 31/12/2014
Lời
người dịch: Vụ đột kích vào hãng Sony thời gian qua có
nhiều giả thiết được đưa ra. Bài viết này cho chúng
ta biết những phân tích của Bruce Schneier về các khả
năng đó. “Trên thực tế,
những gì chúng ta có là một tập hợp duy nhất các bằng
chứng đã bị kéo ra thành 3 phần riêng rẽ, mỗi phần
đang được trích dẫn như là bằng chứng mà phần khác
là minh chứng rõ ràng về sự liên quan của Bắc Triều
Tiên. Ngay khi bạn không tin một trong số các mẩu bằng
chứng đó, thì toàn bộ các con bài sẽ đổ nhào”.
Xem thêm: Bruce
Schneier nói về an toàn.
Một
bài phân
tích dấu thời gian trong vài tài liệu bị rò rỉ chỉ
ra rằng chúng đã được tải về với tốc độc USB 2.0
- điều ngụ ý một người bên trong.
Điều tra của Gotnews.com của chúng tôi trong dữ liệu đã
từng được “các tin tặc” phát hành chỉ ra rằng ai
đó ở Sony đã sao chép 182 GB ít nhất vào tối ngày 21 -
chính là ngày mà lãnh đạo Sony Picturer về truyền thông
tập đoàn, Charles Sipkins, công khai từ chức khỏi công
việc 600.000 USD. Điều này có thể là một sự trùng khớp
nhưng có lẽ không phải thế. Khách hàng cũ của Sipkin
từng là NewsCorp và Sipkins từng chính thức bị chồng của
Pascal sa thải vì bị phóng viên Hollywood sỉ nhục.
2 ngày sau một quả bom phần mềm độc hại đã xảy ra.
Chúng tôi để lại vài kết luận về sự cố phần mềm
độc hại đó:
- “Các tin tặc” đã thực hiện rò rỉ này về mặt vật lý ở một máy trạm trong mạng LAN của Sony. Hãy nhớ là an toàn nội bộ của Sony là cứng ở bên ngoài mềm ở trung tâm và vì thế sẽ không khó cho một người bên trong làm hại Sony bằng việc tải về tư liệu theo cách y hệt Bradley Manning hoặc Edward Snowden đã làm trong các bài viết tương ứng về họ.
- Nếu “các tin tặc” đã có rồi các bản sao, thì có khả năng chúng đã làm một bản sao cục bộ vào tối ngày 21 để chuẩn bị xuất bản chúng như một đường liên kết trong các màn hình của phần mềm độc hại đó vào ngày 24.
Các thư điện tử được CEO Michael Lynton của Sony phát
hành đi ngược về ngày 21/11/2014. Lynton đã có được
yêu cầu tiền từ thư điện tử của "God'sApstls"
vào ngày 21 lúc 12:44pm.
Các
bằng
chứng khác cũng ngụ ý người bên trong:
Làm việc trong tiên đề rằng nó có thể lấy một người
bên trong với tri thức chi tiết về các hệ thống của
Sony để có được sự truy cập và dịch chuyển rộng
trong mạng để thâm nhập có chọn lựa các dữ liệu
nhạy cảm nhất, các nhà nghiên cứu từ Norse Corporation
đang tập trung vào nhóm này dựa vào một phần các tài
liệu các nguồn nhân sự rò rỉ, bao gồm cả các dữ
liệu về một loạt các sa thải ở Sony đã diễn ra trong
mùa xuân 2014.
Các nhà nghiên cứu đã lần vết các hoạt động của
cựu nhân viên trong các diễn đàn thế giới ngầm nơi mà
các cá nhân ở Mỹ, châu Âu và châu Á có thể đã giao
tiếp trước về cuộc tấn công.
Các nhà điều tra tin tưởng nhân viên hoặc các nhân viên
cũ bất bình có thể đã tham gia các lực lượng với các
hoạt động đột nhập ủng hộ tính riêng tư, những
người từ lâu đã ghét quan điểm chống lại tính riêng
tư của Sony, để thâm nhập vào các mạng của hãng này.
Tôi
nghi ngờ về lý thuyết người bên trong. Nó đòi hỏi
chúng ta mặc nhận sự tồn tại của một người duy nhất
mà có cả tri thức của người bên trong và kỹ năng đột
nhập cần thiết. Và vì tôi không tin rằng tri thức của
người bên trong từng được yêu cầu, dường như không
có khả năng là các tin tặc đã có nó. Nhưng các kết
quả đó chỉ theo hướng đó.
Việc
trỏ vào một hướng khác hoàn toàn, một phân tích ngôn
ngữ các lỗi chính tả trong các giao tiếp truyền thông
của các tin tặc ngụ
ý rằng họ là những người nói tiếng Nga:
Tập đoàn Taia Global đã xem xét bằng chứng được viết
ra được các tin tặc để lại trong một nỗ lực để
xác định có tính khoa học quốc tịch qua Nhận diện
Ngôn ngữ Mẹ đẻ - NLI (Native Language Identification). Chúng
tôi đã kiểm thử các tiếng Triều Tiên, Trung Quốc
Mandarin, Nga và Đức bằng việc sử dụng một phân tích
có sự can thiệp của L1. Các kết quả sơ bộ ban đầu
của chúng tôi chỉ ra rằng những kẻ tấn công Sony có
khả năng nhất là người Nga, có khả năng nhưng có lẽ
không phải Triều Tiên và chắc chắn không phải Trung
Quốc Mandarin hoặc Đức.
FBI
vẫn qui
cho Bắc Triều Tiên:
FBI nói hôm thứ hai nó ủng hộ đánh giá của nó, bổ
sung thêm rằng bằng chứng khôgn ủng hộ bất kỳ giải
thích nào khác.
“FBI đã kết luận chính phủ Bắc Triều Tiên có trách
nhiệm về sự ăn cắp và phá hủy dữ liệu trong mạng
của Sony Picture Entertainment. Sự quy kết cho Bắc Triều
Tiên dựa vào tình báo từ FBI, cộng đồng tình báo Mỹ,
Bộ An ninh Nội địa - DHS, các đối tác ngước ngoài và
khu vực tư nhân”, một nữ phát ngôn viên nói trong một
tuyên bố. “Không có thông tin đáng tin cậy để chỉ ra
rằng bất kỳ cá nhân nào khác có trách nhiệm về sự
cố không gian mạng này”.
Dù
bây giờ có
việc nghĩ rằng Bắc Triều Tiên đã thuê các tin tặc
bên ngoài:
Các nhà điều tra Mỹ tin tưởng rằng Bắc Triều Tiên có
khả năng đã thuê các tin tặc từ bên ngoài nước này
để giúp cho cuộc tấn công không gian mạng ồ ạt tháng
trước chống lại Sony Pictures, một quan chức gần gũi
với cuộc điều tra nói hôm thứ hai.
Vì Bắc Triều Tiên thiếu khả năng tự mình tiến hành
vài yếu tố của chiến dịch tinh vi phức tạp, quan chức
này nói, các nhà điều tra của Mỹ đang xem xét khả năng
là Bình Nhưỡng “đã thuê ngoài” vài công việc không
gian mạng.
Điều
này là nhảm nhí. Bắc Triều Tiên đã có các
khả năng không
gian mạng tấn
công nhiều năm qua. Và nó có sự hỗ
trợ tăng cường từ Trung Quốc.
Hơn
nữa, nhiều chuyên gia an toàn không tin rằng đó là Bắc
Triều Tiên. Marc Rogers cũng không
chọn bằng chứng của FBI.
Vì thế trong kết luận, KHÔNG CÓ GÌ ở
đây là trực tiếp ngụ ý Bắc
Triều Tiên cả. Trên thực tế,
những gì chúng ta có là một tập hợp duy nhất các bằng
chứng đã bị kéo ra thành 3 phần riêng rẽ, mỗi phần
đang được trích dẫn như là bằng chứng mà phần khác
là minh chứng rõ ràng về sự liên quan của Bắc Triều
Tiên. Ngay khi bạn không tin một trong số các mẩu bằng
chứng đó, thì toàn bộ các con bài sẽ đổ nhào.
Như,
như tôi đã
viết đầu tháng này:
Nói vậy, thông
cáo báo chí của FBI nói rằng kết luận của phòng
này chỉ dựa “một phần” vào các manh mối đó. Điều
này để lại mở khả năng chính phủ đó đã phân loại
bằng chứng rằng Bắc Triều Tiên đứng đằng sau cuộc
tấn công đó. NSA đã và đang cố săm soi các giao tiếp
truyền thông của chính phủ Bắc Triều Tiên kể từ Cuộc
chiến tranh Triều Tiên, và là hợp lý để giả thiết
rằng các nhà phân tích của nó là khá sâu sắc. Cơ quan
đó có thể có tình báo về việc lên kế hoạch qui trình
cho sự đột nhập. Nó có lẽ, có các cuộc gọi điện
thoại đang thảo luận về dự án, các báo cáo tình trạng
hàng tuần bằng PowerPoint, hoặc thậm chí việc ký kế
hoạch của Kim Jong Un.
Mặc khác, có thể không. Tôi có thể đã viết thứ gì
đó y hệt về các vũ khí chương trình hủy diệt hàng
loạt của Iraq trước cuộc xâm lược 2003 vào nước này,
và chúng ta tất cả đều biết chính phủ đã sai như thế
nào về điều đó.
Tôi
cũng đã
viết rằng việc lừa gạt về điều này là một
chiến lược thông minh cho chính phủ Mỹ:
... từ quan điểm ngoại giao, là một chiến lược khôn
ngoan cho Mỹ để quá tin tưởng trong việc qui kết cho các
cuộc tấn công không gian mạng. Ngoài chính trị của cuộc
tấn công đặc biệt này, lợi ích dài hạn của Mỹ là
để làm thối chí các quốc gia khác khỏi tham gia vào các
hành vi tương tự. Nếu chính phủ Bắc Triều Tiên tiếp
tục từ chối sự liên can của nó, bất kể là đúng hay
không, và những kẻ tấn công thực sự đã đi vào thế
giới ngầm, thì quyết định của Mỹ với các sức mạnh
tuyệt đối về sự qui kết phục vụ như một cảnh báo
cho những người khác mà rằng họ sẽ bị bắt nếu họ
cố làm thứ gì đó giống như thế này.
Tất
nhiên, chiến lược này hoàn toàn bắn trả nếu những kẻ
tấn công có thể chắc chắn chỉ ra không phải là từ
Bắc Triều Tiên. Hãy theo dõi để biết thêm.
An
analysis
of the timestamps on some of the leaked documents shows that they
were downloaded at USB 2.0 speeds -- which implies an insider.
Our Gotnews.com investigation into
the data that has been released by the "hackers" shows that
someone at Sony was copying 182GB at minimum the night of the 21st --
the very same day that Sony Pictures' head of corporate
communications, Charles Sipkins, publicly resigned from a $600,000
job. This could be a coincidence but it seems unlikely. Sipkins's
former client was NewsCorp and Sipkins was officially fired by
Pascal's husband over a snub by the Hollywood Reporter.
Two days later a malware bomb
occurred.
We are left with several
conclusions about the malware incident:
- The "hackers" did this leak physically at a Sony LAN workstation. Remember Sony's internal security is hard on the outside squishy in the center and so it wouldn't be difficult for an insider to harm Sony by downloading the material in much the same way Bradley Manning or Edward Snowden did at their respective posts.
- If the "hackers" already had copies, then it's possible they made a local copy the night of the 21st to prepare for publishing them as a link in the malware screens on the 24th.
Sony CEO Michael Lynton's released
emails go up to November 21, 2014. Lynton got the "God'sApstls"
email demand for money on the 21st at 12:44pm.
Other
evidence implies insiders as well:
Working on the premise that it
would take an insider with detailed knowledge of the Sony systems in
order to gain access and navigate the breadth of the network to
selectively exfiltrate the most sensitive of data, researchers from
Norse Corporation are focusing on this group based in part on leaked
human resources documents that included data on a series of layoffs
at Sony that took place in the Spring of 2014.
The researchers tracked the
activities of the ex-employee on underground forums where individuals
in the U.S., Europe and Asia may have communicated prior to the
attack.
The investigators believe the
disgruntled former employee or employees may have joined forces with
pro-piracy hacktivists, who have long resented the Sony's anti-piracy
stance, to infiltrate the company's networks.
I
have been skeptical of the insider theory. It requires us to
postulate the existence of a single person who has both insider
knowledge and the requisite hacking skill. And since I don't believe
that insider knowledge was required, it seemed unlikely that the
hackers had it. But these results point in that direction.
Pointing
in a completely different direction, a linguistic analysis of the
grammatical errors in the hacker communications implies
that they are Russian speakers:
Taia Global, Inc. has examined the
written evidence left by the attackers in an attempt to
scientifically determine nationality through Native Language
Identification (NLI). We tested for Korean, Mandarin Chinese,
Russian, and German using an analysis of L1 interference. Our
preliminary results show that Sony's attackers were most likely
Russian, possibly but not likely Korean and definitely not Mandarin
Chinese or German.
The
FBI still blames
North Korea:
The FBI said Monday it was standing
behind its assessment, adding that evidence doesn't support any other
explanations.
"The FBI has concluded the
government of North Korea is responsible for the theft and
destruction of data on the network of Sony Pictures Entertainment.
Attribution to North Korea is based on intelligence from the FBI, the
U.S. intelligence community, DHS, foreign partners and the private
sector," a spokeswoman said in a statement. "There is no
credible information to indicate that any other individual is
responsible for this cyber incident."
Although
it is now thinking
that the North Koreans hired outside hackers:
U.S. investigators believe that
North Korea likely hired hackers from outside the country to help
with last month's massive cyberattack against Sony Pictures, an
official close to the investigation said on Monday.
As North Korea lacks the capability
to conduct some elements of the sophisticated campaign by itself, the
official said, U.S. investigators are looking at the possibility that
Pyongyang "contracted out" some of the cyber work.
Even
so, lots of security experts don't believe that it's North Korea.
Marc Rogers picks
the FBI's evidence apart pretty well.
So in conclusion, there is NOTHING
here that directly implicates the North Koreans. In fact, what we
have is one single set of evidence that has been stretched out into 3
separate sections, each section being cited as evidence that the
other section is clear proof of North Korean involvement. As soon as
you discredit one of these pieces of evidence, the whole house of
cards will come tumbling down.
But,
as I wrote
earlier this month:
Tellingly, the FBI's press
release says that the bureau's conclusion is only based "in
part" on these clues. This leaves open the possibility that the
government has classified evidence that North Korea is behind the
attack. The NSA has been trying to eavesdrop on North Korea's
government communications since the Korean War, and it's reasonable
to assume that its analysts are in pretty deep. The agency might have
intelligence on the planning process for the hack. It might, say,
have phone calls discussing the project, weekly PowerPoint status
reports, or even Kim Jong Un's sign-off on the plan.
On the other hand, maybe not. I
could have written the same thing about Iraq's weapons of mass
destruction program in the run-up to the 2003 invasion of that
country, and we all know how wrong the government was about that.
I
also wrote
that bluffing about this is a smart strategy for the US government:
...from a diplomatic perspective,
it's a smart strategy for the US to be overconfident in assigning
blame for the cyberattacks. Beyond the politics of this particular
attack, the long-term US interest is to discourage other nations from
engaging in similar behavior. If the North Korean government
continues denying its involvement, no matter what the truth is, and
the real attackers have gone underground, then the US decision to
claim omnipotent powers of attribution serves as a warning to others
that they will get caught if they try something like this.
Of
course, this strategy completely backfires if the attackers can be
definitely shown to be not from North Korea. Stay tuned for more.
Dịch:
Lê Trung Nghĩa
Không có nhận xét nào:
Đăng nhận xét
Lưu ý: Chỉ thành viên của blog này mới được đăng nhận xét.