Криптографы не верят в причастность Северной Кореи к хакерской атаке на Sony

Теперь, когда скандальную комедию The Interview от студии Sony можно посмотреть онлайн с помощью Google Play и других сервисов, многие отмечают это как жест неповиновения по отношению к Северной Корее и угрозе диктатуры. Якобы причиной взлома Sony ранее в этом месяце послужили политические амбиции Ким Чен Ына. Но можно ли утверждать наверняка, что Северная Корея была организатором этой атаки? Ряд видных аналитиков по безопасности в этом не уверены.

Споров о фактическом виновнике после обнародования взломанных электронных писем от Sony была масса — пока ФБР не сказала, что существуют убедительные доказательства того , что Северная Корея участвовала во взломе.

Но эксперты по безопасности, такие как знаменитый криптограф Брюс Шнайер и Марк Роджерс — аналитик по вопросам безопасности сети доставки контента Cloudflare — говорят, что они не видят убедительности в доказательствах ФБР, причем сразу по нескольким пунктам. Вот они:

Повторное использование подобного кода: по словам ФБР, одна из причин, почему ко взлому считают причастной Северную Корею — это использование фрагментов кода, которые были использованы в других кибер-атаках или попытках взлома, в которых было доказано участие этой страны.

«Технический анализ вредоносных программ, используемых в этой атаке показал ссылки на другие вредоносные программы, которые  по данным ФБР ранее разработаны северокорейскими специалистами. Например, существует наличие общих черт в конкретных строках кода, алгоритмах шифрования, методах удаления данных и взломе сетей», — сообщило ФБР.

Но Роджерс говорит, что это на самом деле не доказательство — код о котором говорит ФБР, по его мнению известен как Shamoon, он утек в Сеть и широко распространился — и теперь доступен для любого киберпреступника. Поэтому он не может однозначно связать взлом Sony с Северной Кореей. Шнайер, между тем, заявил, что повторное использование кода на самом деле довольно веский аргумент в пользу того, что это НЕ работа правительства Северной Кореи — хотя северокорейский режим мог активизироваться позже , чтобы воспользоваться взломом для целей пиара.

Использование известных IP адресов: другой основной элемент доказательств ФБР  в причастности Северной Кореи — тот факт, что некоторые конкретные IP-адреса или домены были «жестко зашиты» в программном обеспечении, используемом в хакерской атаке. И эти адреса были использованы в предыдущих атаках, проведенных Северной Кореей.

Но Роджерс считает такое заявление наивным. Только от того, что система с определенными IP-адресами использовалась для кибер-преступления, это не означает, что она всегда будет ассоциироваться с преступлениями, говорит он . Многие IP-адреса являются динамическими, то есть они являются частью пула, откуда интернет-провайдеры берут их и назначают в случайном порядке (больше технических деталей — здесь).

Связи с фильмом: Роджерс и Шнайер, как и остальные, отметили, что связь между фильмом Интервью и самой хакерской атакой была сделано только ПОСЛЕ того, как электронные письма сотрудников Sony были опубликованы — и теория в основном развивалась в средствах массовой информации — сам фильм не был упомянут хакерами в их общении с Sony до тех пор, пока это не стало медиа-историей. Оба аналитики полагают, что хакеры, возможно, обыграли эту «связь» для «лулзов».

Роджерс отмечает, что использование паролей и других функций безопасности предполагает участие как минимум одного сотрудника Sony — настоящего или бывшего -так как взлом основывался на отличном знании внутренних систем и процедур компании.

Шнайер, Роджерс и ряд других экспертов также отметили, что ФБР безусловно может иметь секретную информацию, которую бюро не может обнародовать, чтобы окончательно связать Северную Корею со взломом.