joi, martie 28, 2024

Sony si politica strutului

Ne-am obișnuit să aflăm din când în când despre câte o multinațională că ajunge victima unui atac cibernetic; lucrurile acestea sunt aproape la fel de comune ca și contrabanda cu țigări sau evaziunea fiscală.  Totuși, ceea ce i s-a întâmplat firmei Sony la sfarșitul lunii trecute depășește limitele obișnuitului.

În acea zi, angajații au pornit computerul și au fost întâmpinați de un ecran care începea cu “Hacked by #GOP”.  În afară de faptul că asta arată că atacatorii au avut acces  la Active Directory și au putut forța schimbarea screen-ului prin Group Policy, mai înțelegem de aici că după ce au transferat 40 Gb de date confidențiale ( atacatorii susțin că au copiat peste 100 Tb) a trebuit ca tot ei să îi anunțe pe cei de la Sony de eveniment.

Sony are o istorie de astfel de evenimente și probabil va deveni un caz de manual despre cum nu trebuie să te comporți în domeniul securității.

În cazul precedentului eveniment major, din 2011, Sony au aplicat politica struțului. După vreo săptămână de eforturi, probabil conștienți că nu pot controla atacul fără oprirea sistemelor, au recunoscut că au fost victima unui atac.

Evenimentul de acum dovedește că nu au învățat mai nimic din greșeli. Nu îmi amintesc să fi auzit până acum de o companie al cărui control să fie preluat în așa măsură și care să fie incapabilă să detecteze un atacator care probabil că s-a “plimbat” ceva vreme prin rețeaua lor.  Pentru că printre altele, vedem din datele publicate de atacatori că aceștia  au avut acces  inclusiv la documentația sistemului informatic, cu fișiere conținând parolele echipamentelor în clar, arhitectura rețelei, conturi de acces etc.

Printre datele publicate de atacatori sunt și unele care mi s-au părut amuzante, de exemplu spreadsheet-uri cu salariile a mii de angajajați ( în vremurile noastre, când cel mai banal site de trei pagini are o bază de date, managerii de la Sony își urmăresc salariații în Excel) , bineînțeles câteva filme care astfel vor avea premiera nu într-o sală de cinema ci pe siturile de torente, alte tabele Excel cu  angajați concediați și cât costă concedierea lor și altele.   Inclusiv sala de gimnastică a fost închisă, pentru că se pare că sistemul de acces era integrat ( și probabil unii hackeri ar fi putut veni să tragă de fiare).

Suspiciunile se îndreaptă spre atacatori din Coreea de Nord, bazate mai întâi pe faptul că se pare că malware-ul folosit fusese compilat pe un computer configurat cu setul de caractere coreene, iar pe de altă parte Sony are în lucru un film care e considerat de liderul nord-coreean drept un afront personal. ( Totuși, nu cred că infrastructura Internet nord-coreeană poate transporta  100 Tb de date, deci probabil ar putea fi vorba mai degrabă de hackeri angajati de guvern, dacă nu cumva investigatorii sunt pe o pistă falsă)

Dincolo însă de vinovați și de motivele lor, imaginea pe care o vedem este a unei firme cu un mod de lucru mai degrabă primitiv: fișiere de parole în clar, tabele excel copiate de pe un calculator pe altul, lipsă de proceduri.

Numai că îndrăznesc să cred că această stare de fapt e mai degrabă regula decât o excepție. Publicitatea dusă la absurd se străduiește să înfățișeze securitatea informatică drept “de nepătruns”. Așa că nu vor accepta în ruptul capului să recunoască un astfel de eveniment atunci când s-a produs. Bineînțeles, când nu recunoști tu, o să te forțeze hackerul să recunoști, și asta s-a și întâmplat.

Pe de altă parte, de multe ori securitatea, așa cum este promovată de producătorii de soluții, mai degrabă protejează sistemul de accesul legitim la resurse decât de cel ilicit. Așa că angajații găsesc soluții alternative: decăt să tasteze o parolă de mai multe ori, preferă să copieze fișierul cu pricina pe desktop-ul propriu. Decât să se conecteze la ERP și să genereze un raport, îl exportă în Excel. Decât să memoreze o parolă dificilă, o scriu pe o hârtiuță sau într-un fișier.  E ușor să îi învinovățești, dar pe de altă parte ei au la rândul lor de lucru, au termene de respectat, proiecte de terminat și n-o să le stea împotrivă un computer.

Nici modelele de securitate pe care le propunem noi poate că nu sunt cele mai fericite. E nevoie de multă muncă pentru a obține un oarecare echilibru între eficiență și securitate, și, ceea ce e mai rău, este că e o investiție pe care un manager nu prea are cum să o verifice. Poate doar să afle, precum Sony, pe propria piele că politica  în domeniul IT a fost greșită.

Distribuie acest articol

24 COMENTARII

  1. Printre datele publicate de atacatori sunt și unele care mi s-au părut amuzante, de exemplu spreadsheet-uri cu salariile a mii de angajajați ( în vremurile noastre, când cel mai banal site de trei pagini are o bază de date, managerii de la Sony își urmăresc salariații în Excel)

    Cred că săriți la concluzii… în primul rănd câteva detalii: (1) Sony chiar folosește sisteme și aplicații integrate de date… nu este niciun secret că sunt clienți SAP pe platformă Oracle (în Europa au migrat pe platfomă IBM DB2 acum vreo doi ani). Prin urmare, evidența salarială a angajațiilor (sau ce se numește în SUA payroll) nu este ținută în document MS Excel. Documentul publicat de hackeri este cel mai probabil un raport. (2) GOP – Guardians of Peace – este grupul de hackeri care revendică ultimul cyber-attack. Meționez că resursele informatice Sony au mai fost atacate în trecut, acesta nu este primul eveniment de acest gen. (3) Atacul a fost îndreptat precis împotriva Sony Pictures, o subsidiară a companiei părinte Sony. Sony Pictures Entertainment (pentru că acesta este numele oficial) se ocupă cu producerea de filme pentru marele ecran și de televiziune, jocuri, soluții portabile, distribuție digitală și video la cerere. Compania se află în Culver City, California (un orășel imbricat în zona metro Los Angeles) și operează la locația unde odinioară a funcționat Columbia Pictures. (4) Iată mesajul transmis de cei de la GOP, cum a fost publicat de revista „Variety”:

    http://variety.com/2014/film/news/hackers-threaten-sony-employees-in-new-email-your-family-will-be-in-danger-1201372230/

    • 1. Sunt convins ca Sony foloseste aplicatii integrate, dar tot e amuzant: daca exporti un document in excel exporti unul pentru departamentul tau, de 10 sau 300 de oameni, deja pentru 7000 exista tool-uri in aplicatie ( sau ar trebui sa existe) , nu lucrezi pe Excel.

      2. Daca cititi cu atentie vedeti ca am facut referire la atacul din 2011, din care se pare ca nu au invatat nimic. Au mai fost de atunci atacuri de mai mica intensitate, dar cel de atunci ca si cel de acum au fost majore.
      3. Multumesc pentru completari, pentru curiosi exista documentatie bogata pe Internet.

      • Ca unul care s-a mai ocupat de implementari ERP va pot asigura ca (aproape) fiecare utilizator dintr-o firma doreste rapoarte cu alt continut si/sau prezentate in alt format. Recunosc, nu este greu ca acestea sa fie implementate in SAP (de exemplu) numai ca… costa, deci clientul foloseste cu „succesuri” facilitatea de export in Excel, de unde le prelucreaza dupa placul inimii.

      • 1. Răspunsul este „depinde”. Sony folosește aplicația de reporting SAP BW (Business Warehouse). GUI-ul în acest caz este de fapt un MS Excel macro (Business Explorer) care exportă informația și o formatează în format spreadsheet (.xls or .xlsx) pe stația de lucru a utilizatorului. Aplicația este deschisă celor autorizați iar unii dintre aceștia pot fi chiar executivii din zona Human Resource, Finance, Accounting, etc. – spre exemplu un VP – care pot avea nevoie de un raport de ansamblu, pe întreaga organizație. Cu ușurință se pot atinge 7,000 de înregistrări per document.

  2. Asemenea „cazuri de manual” sunt mai dese decât s-ar crede. Nici Orange și nici Siemens nu stau mai bine în materie de securitate, singura diferență e că la ei nu și-a propus nimeni să preia controlul. Iar asta nu a ținut doar de hazard, ci de o minimă responsabilitate: e de preferat să-ți iei tot timpul de-acolo ce-ți trebuie, decât să-i faci de râs în fața lumii întregi și să nu mai ai acces acolo fiindcă i-ai obligat să schimbe sistemul :P

    • … sau poate ca unii si-au propus sa preia controlul si au reusit, doar ca obiectivul lor e sa îi spioneze si nu sa-i faca de râs, ca în cazul de față. Nu poți ști niciodată, tocmai asta e frumusețea situației :)

      • Se pare că povestea e mai complicată și nu ne-ați spus-o până la capăt. Miza atacului pare să fie împiedicarea difuzării filmului „The Interview” realizat de Sony Pictures despre asasinarea lui Kim Jong Un, iar dacă e implicat statul nord coreean, cam totul se schimbă.

  3. Nu este neobişnuit să se exporte rapoarte în Excel, chiar la un număr mult mai mare de înregistrări.
    Am avut colaboratori care exportau interogări în Excel şi pentru jumătate de milion de înregistrări, utilizând foaia de calcul tabelor doar pentru reexport în CSV, pentru joburi VDP.

    • Nu este neobisnuit; se pare ca batrana foaie de calcul nu si-a spus ultimul cuvant cu toate tool-urile si cuburile noastre :) Din punctul de vedere al administratorului este oarecum anormal, dar trebuie sa recunoastem ca de obicei utilizatorul are si el dreptatea lui si ca uneori cadem in cursa progresului de dragul progresului.

  4. „Evenimentul de acum dovedește că nu au învățat mai nimic din greșeli”

    Ce era sa invete? Ati auzit de ceva despre o scadere (chiar si modica) a numarului de utilizatori fericiti sa incredinteze firmei Sony numere de cont sau alte date, in urma precedentului atac? Daca era o lectie de tras de acolo, e ca utilizatorii sunt mai habarnisti decat Sony vizavi de probleme de securiatate, deci Sony nu avea motive sa schimbe ceva. De data asta insa, n-au mai fost furate datele utlizatorilor, ci chiar si datele companiei. Poate asta sa-i doara putin si sa provoace cateva schimbari.

    Ce e mai grav, e Sony nu e deloc un caz special: http://arstechnica.com/security/2014/12/sites-certified-as-secure-often-morevulnerable-to-hacking-scientists-find/

  5. La firmele japoneze Excelul este folosit la orice, de la tabele la evidente personal, specificatii tehnice, scheme electrice etc.
    Sunt probabil cu 20 de ani in urma ca si tooluri fata de ce se foloseste in Europa, asa ca nu ma mira deloc ca n-au facut nimic chiar daca au mai fost atacati …
    Interesanta concluzia dar ce poti sa faci daca rezistenta la schimbare e atat de mare ?

  6. Dar nu inteleg: eu stiam ca si fisierele excel pot fi parolate, incriptate. Stiu gresit? Nu sunt informatician, deci e posibil s gresesc.

    • Au si ele un fel de criptare, asa, mai mult pentru nea Vasile , insa hackerii ni le-au livrat necriptate, in tot cazul :) Eu doar ma minunam ca in vremea sculelor de raportare on-line, oamenii sunt fideli batranului excel , de fapt batranului spreadsheet de pe la inceputurile erei PC-ului.

      • Știu că în România poate părea șocant, dar în UK nu ai nevoie decât de Excel ca să-ți ții contabilitatea la firmă, nu-ți trebuie nimic mai mult. Există zeci de alte soft-uri, unele gratuite, altele pe bani, dar Excel-ul e suficient. Și până la 6.5 mil.lire pe an nici măcar nu-ți trebuie contabil, ăsta e pragul care desparte firmele mari de cele ”mici” :)

  7. Motivul pentru care multe institutii nu reusesc sa fie ‘up to date’ cu tehnologia e inertia personalului, rezistenta la schimbare. Asta si apropos de excel. In institutiile din Ro. am remarcat ca toata lumea foloseste Word chiar si pentru a scrie o nota de trei vorbe… pentru ca asa au invatat si asta-i tot ce stiu. N-au auzit de un simplu text editor. Un alt exemplu sunt cele cateva orase din Spania sau Germania care pentru a economisi bani au incercat sa converteasca computerele aparatului de stat local de la Windows la Linux care pe langa ca e gratis nu necesita upgradarea hardware-uli la fieecare noua versiune de sistem de operare. Nu au reusit desi economiile erau imense, tot din cauza inertiei functionarilor.

    • Unii au reusit, vedeti articolul meu mai vechi despre primaria Munchen. Pe de alta parte inertia mai are si o cauza pe care, desi as fi „de cealalta parte”, nu vreau sa o ascund: de obicei facilitatile suplimentare aduc si complicatii in folosire. Utilizatorii au un sistem care functioneaza, nu le produce probleme majore, nu sunt motivati sa invete un sistem nou, mai complicat si mai lent ( oricat de mult au progresat aplicatiile web-based, din motive diverse sunt mai greoaie decat cele desktop). Si la care mai trebuie eventual sa bati si o parola in plus de fiecare data cand accesezi ( chestie care evident ca poate fi evitata, dar am vazut foarte putine locuri unde chiar se implementeaza single sign-on)
      Pot sa va spun ca am lucrat destula vreme la o firma destul de mare dupa standardele romanesti ( cateva sute de angajati) si m-am chinuit destul de mult sa implementez un sistem in care utilizatorul sa nu tasteze de n ori aceeasi parola sau, mai rau, parole diferite; a trebuit sa modific aplicatii proprietar scrise in Java ( bine ca erau in ceva ce se putea modifica), sa scriu plugin-uri… si in final tot m-am dat batut la aplicatia de contabilitate :) Si asta plecand de la o solutie clasica de Active Directory, care e cvasi standard industrial.

  8. Cel mai usor de purtat aceasta discutie e plecand de la certitudinea ca securitatea IT completa nu exista.

    Paradoxal, motivele pentru care IT-ul nu este [suficient de] sigur sunt tot de ordin economic: e mai ieftin sa faci ceva rezonabil de sigur, dar care uneori o mai da in bara, decat sa te fortezi sa faci ceva super-sigur, dar mai putin eficient/viabil dpdv economic. Si payment processor-ii accepta un anumit de % de frauda din totalul tranzactiilor, dar prioritatea lor #1 ramane simplitatea si viteza tranzactiei, fiindca de acolo le vin $$$$.

    Revenind la securitatea IT, pentru cineva care gandeste business ecuatia arata astfel:

    1. sistemul FARA componenta IT. Sigur dpdv al securitatii informatice, dar incet si ineficient.

    2. sistemul CU componenta IT. Expus riscurilor, dar deobicei foarte eficient.

    3. sistemul CU componenta IT, insotit de componenta IT Security. Mai scump, mai putin simplu de utilizat si administrat, si cu toate acestea tot nu poate garanta 100% certitudine impotriva hackerilor.

    Aici intervine risk managementul. Arta consta in a obtine un sistem suficient de sigur, cu costuri cat mai mici (utilizare, administrare, solutii conexe implementate).

    Privindu-i pe japonezi, de ce ne-am astepta sa trateze diferit intruziunile informatice decat incidentul de la Fukushima? In ambele cazuri au incercat sa ascunda cauzele reale ale incidentelor respective. Asta e cultura lor, si cu ea au reusit sa supravietuiasca multor vicisitudini de-a lungul timpului.

    P.S. ITistii ar face bine sa gandeasca uneori si „in afara cutiei”. In mod surprinzator, exista si useri care NU vor totdeauna sa faca totul „mai simplu”, „cu mai putine click-uri”, ci depind ptr. buna lor functionare de o rutina dobandita in timp. Vezi exemplul cu Start Menu :)

  9. Foarte instructive si interesante articolele scrise de dv., domnule Badici. Cand intru pe site, primul lucru la care ma uit, este daca a aparut un articol de Badici.

LĂSAȚI UN MESAJ

Vă rugăm să introduceți comentariul dvs.!
Introduceți aici numele dvs.

Autor

Mihai Badici
Mihai Badici
Absolvent al Facultății de Electronică si Telecomunicații București ( 1991) Administrator de sistem cu peste zece ani de experiență cu specializari in sisteme de stocare si securitatea datelor. De asemenea a absolvit in 1996 Facultatea de Litere la Universitatea Bucuresti. In prezent, consultant IT independent, colaboreaza pe mai multe proiecte legate de infrastructura de date.

Sprijiniți proiectul Contributors.ro

Pagini

Carti noi

 

Cu acest volum, Mirel Bănică revine la mai vechile sale preocupări și teme de cercetare legate de relația dintre religie și modernitate, de înțelegerea și descrierea modului în care societatea românească se raportează la religie, în special la ortodoxie. Ideea sa călăuzitoare este că prin monahismul românesc de după 1990 putem înțelege mai bine fenomenul religios contemporan, în măsura în care monahismul constituie o ilustrare exemplară a tensiunii dintre creștinism și lumea actuală, precum și a permanentei reconfigurări a raportului de putere dintre ele.
Poarta de acces aleasă pentru a pătrunde în lumea mănăstirilor o reprezintă ceea ce denumim generic „economia monastică”. Autorul vizitează astfel cu precădere mănăstirile românești care s-au remarcat prin produsele lor medicinale, alimentare, cosmetice, textile... Cumpara cartea de aici

Carti noi

În ciuda repetatelor avertismente venite de la Casa Albă, invazia Ucrainei de către Rusia a șocat întreaga comunitate internațională. De ce a declanșat Putin războiul – și de ce s-a derulat acesta în modalități neimaginabile până acum? Ucrainenii au reușit să țină piept unei forte militare superioare, Occidentul s-a unit, în vreme ce Rusia a devenit tot mai izolată în lume.
Cartea de față relatează istoria exhaustivă a acestui conflict – originile, evoluția și consecințele deja evidente – sau posibile în viitor – ale acestuia. Cumpara volumul de aici

 

Carti

După ce cucerește cea de-a Doua Romă, inima Imperiului Bizantin, în 1453, Mahomed II își adaugă titlul de cezar: otomanii se consideră de-acum descendenții Romei. În imperiul lor, toleranța religioasă era o realitate cu mult înainte ca Occidentul să fi învățat această lecție. Amanunte aici

 
„Chiar dacă războiul va mai dura, soarta lui este decisă. E greu de imaginat vreun scenariu plauzibil în care Rusia iese învingătoare. Sunt tot mai multe semne că sfârşitul regimului Putin se apropie. Am putea asista însă la un proces îndelungat, cu convulsii majore, care să modifice radical evoluţiile istorice în spaţiul eurasiatic. În centrul acestor evoluţii, rămâne Rusia, o ţară uriaşă, cu un regim hibrid, între autoritarism electoral şi dictatură autentică. În ultimele luni, în Rusia a avut loc o pierdere uriaşă de capital uman. 
Cumpara cartea

 

 

Esential HotNews

contributors.ro

Contributors.ro este intr-o permanenta cautare de autori care pot da valoare adaugata dezbaterii publice. Semnaturile noi sunt binevenite cata vreme respecta regulile de baza ale site-ului. Incurajam dezbaterea relaxata, bazata pe forta argumentelor.
Contact: editor[at]contributors.ro