Ne-am obișnuit să aflăm din când în când despre câte o multinațională că ajunge victima unui atac cibernetic; lucrurile acestea sunt aproape la fel de comune ca și contrabanda cu țigări sau evaziunea fiscală. Totuși, ceea ce i s-a întâmplat firmei Sony la sfarșitul lunii trecute depășește limitele obișnuitului.
În acea zi, angajații au pornit computerul și au fost întâmpinați de un ecran care începea cu “Hacked by #GOP”. În afară de faptul că asta arată că atacatorii au avut acces la Active Directory și au putut forța schimbarea screen-ului prin Group Policy, mai înțelegem de aici că după ce au transferat 40 Gb de date confidențiale ( atacatorii susțin că au copiat peste 100 Tb) a trebuit ca tot ei să îi anunțe pe cei de la Sony de eveniment.
Sony are o istorie de astfel de evenimente și probabil va deveni un caz de manual despre cum nu trebuie să te comporți în domeniul securității.
În cazul precedentului eveniment major, din 2011, Sony au aplicat politica struțului. După vreo săptămână de eforturi, probabil conștienți că nu pot controla atacul fără oprirea sistemelor, au recunoscut că au fost victima unui atac.
Evenimentul de acum dovedește că nu au învățat mai nimic din greșeli. Nu îmi amintesc să fi auzit până acum de o companie al cărui control să fie preluat în așa măsură și care să fie incapabilă să detecteze un atacator care probabil că s-a “plimbat” ceva vreme prin rețeaua lor. Pentru că printre altele, vedem din datele publicate de atacatori că aceștia au avut acces inclusiv la documentația sistemului informatic, cu fișiere conținând parolele echipamentelor în clar, arhitectura rețelei, conturi de acces etc.
Printre datele publicate de atacatori sunt și unele care mi s-au părut amuzante, de exemplu spreadsheet-uri cu salariile a mii de angajajați ( în vremurile noastre, când cel mai banal site de trei pagini are o bază de date, managerii de la Sony își urmăresc salariații în Excel) , bineînțeles câteva filme care astfel vor avea premiera nu într-o sală de cinema ci pe siturile de torente, alte tabele Excel cu angajați concediați și cât costă concedierea lor și altele. Inclusiv sala de gimnastică a fost închisă, pentru că se pare că sistemul de acces era integrat ( și probabil unii hackeri ar fi putut veni să tragă de fiare).
Suspiciunile se îndreaptă spre atacatori din Coreea de Nord, bazate mai întâi pe faptul că se pare că malware-ul folosit fusese compilat pe un computer configurat cu setul de caractere coreene, iar pe de altă parte Sony are în lucru un film care e considerat de liderul nord-coreean drept un afront personal. ( Totuși, nu cred că infrastructura Internet nord-coreeană poate transporta 100 Tb de date, deci probabil ar putea fi vorba mai degrabă de hackeri angajati de guvern, dacă nu cumva investigatorii sunt pe o pistă falsă)
Dincolo însă de vinovați și de motivele lor, imaginea pe care o vedem este a unei firme cu un mod de lucru mai degrabă primitiv: fișiere de parole în clar, tabele excel copiate de pe un calculator pe altul, lipsă de proceduri.
Numai că îndrăznesc să cred că această stare de fapt e mai degrabă regula decât o excepție. Publicitatea dusă la absurd se străduiește să înfățișeze securitatea informatică drept “de nepătruns”. Așa că nu vor accepta în ruptul capului să recunoască un astfel de eveniment atunci când s-a produs. Bineînțeles, când nu recunoști tu, o să te forțeze hackerul să recunoști, și asta s-a și întâmplat.
Pe de altă parte, de multe ori securitatea, așa cum este promovată de producătorii de soluții, mai degrabă protejează sistemul de accesul legitim la resurse decât de cel ilicit. Așa că angajații găsesc soluții alternative: decăt să tasteze o parolă de mai multe ori, preferă să copieze fișierul cu pricina pe desktop-ul propriu. Decât să se conecteze la ERP și să genereze un raport, îl exportă în Excel. Decât să memoreze o parolă dificilă, o scriu pe o hârtiuță sau într-un fișier. E ușor să îi învinovățești, dar pe de altă parte ei au la rândul lor de lucru, au termene de respectat, proiecte de terminat și n-o să le stea împotrivă un computer.
Nici modelele de securitate pe care le propunem noi poate că nu sunt cele mai fericite. E nevoie de multă muncă pentru a obține un oarecare echilibru între eficiență și securitate, și, ceea ce e mai rău, este că e o investiție pe care un manager nu prea are cum să o verifice. Poate doar să afle, precum Sony, pe propria piele că politica în domeniul IT a fost greșită.
Printre datele publicate de atacatori sunt și unele care mi s-au părut amuzante, de exemplu spreadsheet-uri cu salariile a mii de angajajați ( în vremurile noastre, când cel mai banal site de trei pagini are o bază de date, managerii de la Sony își urmăresc salariații în Excel)
Cred că săriți la concluzii… în primul rănd câteva detalii: (1) Sony chiar folosește sisteme și aplicații integrate de date… nu este niciun secret că sunt clienți SAP pe platformă Oracle (în Europa au migrat pe platfomă IBM DB2 acum vreo doi ani). Prin urmare, evidența salarială a angajațiilor (sau ce se numește în SUA payroll) nu este ținută în document MS Excel. Documentul publicat de hackeri este cel mai probabil un raport. (2) GOP – Guardians of Peace – este grupul de hackeri care revendică ultimul cyber-attack. Meționez că resursele informatice Sony au mai fost atacate în trecut, acesta nu este primul eveniment de acest gen. (3) Atacul a fost îndreptat precis împotriva Sony Pictures, o subsidiară a companiei părinte Sony. Sony Pictures Entertainment (pentru că acesta este numele oficial) se ocupă cu producerea de filme pentru marele ecran și de televiziune, jocuri, soluții portabile, distribuție digitală și video la cerere. Compania se află în Culver City, California (un orășel imbricat în zona metro Los Angeles) și operează la locația unde odinioară a funcționat Columbia Pictures. (4) Iată mesajul transmis de cei de la GOP, cum a fost publicat de revista „Variety”:
http://variety.com/2014/film/news/hackers-threaten-sony-employees-in-new-email-your-family-will-be-in-danger-1201372230/
1. Sunt convins ca Sony foloseste aplicatii integrate, dar tot e amuzant: daca exporti un document in excel exporti unul pentru departamentul tau, de 10 sau 300 de oameni, deja pentru 7000 exista tool-uri in aplicatie ( sau ar trebui sa existe) , nu lucrezi pe Excel.
2. Daca cititi cu atentie vedeti ca am facut referire la atacul din 2011, din care se pare ca nu au invatat nimic. Au mai fost de atunci atacuri de mai mica intensitate, dar cel de atunci ca si cel de acum au fost majore.
3. Multumesc pentru completari, pentru curiosi exista documentatie bogata pe Internet.
Ca unul care s-a mai ocupat de implementari ERP va pot asigura ca (aproape) fiecare utilizator dintr-o firma doreste rapoarte cu alt continut si/sau prezentate in alt format. Recunosc, nu este greu ca acestea sa fie implementate in SAP (de exemplu) numai ca… costa, deci clientul foloseste cu „succesuri” facilitatea de export in Excel, de unde le prelucreaza dupa placul inimii.
1. Răspunsul este „depinde”. Sony folosește aplicația de reporting SAP BW (Business Warehouse). GUI-ul în acest caz este de fapt un MS Excel macro (Business Explorer) care exportă informația și o formatează în format spreadsheet (.xls or .xlsx) pe stația de lucru a utilizatorului. Aplicația este deschisă celor autorizați iar unii dintre aceștia pot fi chiar executivii din zona Human Resource, Finance, Accounting, etc. – spre exemplu un VP – care pot avea nevoie de un raport de ansamblu, pe întreaga organizație. Cu ușurință se pot atinge 7,000 de înregistrări per document.
Asemenea „cazuri de manual” sunt mai dese decât s-ar crede. Nici Orange și nici Siemens nu stau mai bine în materie de securitate, singura diferență e că la ei nu și-a propus nimeni să preia controlul. Iar asta nu a ținut doar de hazard, ci de o minimă responsabilitate: e de preferat să-ți iei tot timpul de-acolo ce-ți trebuie, decât să-i faci de râs în fața lumii întregi și să nu mai ai acces acolo fiindcă i-ai obligat să schimbe sistemul :P
… sau poate ca unii si-au propus sa preia controlul si au reusit, doar ca obiectivul lor e sa îi spioneze si nu sa-i faca de râs, ca în cazul de față. Nu poți ști niciodată, tocmai asta e frumusețea situației :)
Se pare că povestea e mai complicată și nu ne-ați spus-o până la capăt. Miza atacului pare să fie împiedicarea difuzării filmului „The Interview” realizat de Sony Pictures despre asasinarea lui Kim Jong Un, iar dacă e implicat statul nord coreean, cam totul se schimbă.
Nu este neobişnuit să se exporte rapoarte în Excel, chiar la un număr mult mai mare de înregistrări.
Am avut colaboratori care exportau interogări în Excel şi pentru jumătate de milion de înregistrări, utilizând foaia de calcul tabelor doar pentru reexport în CSV, pentru joburi VDP.
Nu este neobisnuit; se pare ca batrana foaie de calcul nu si-a spus ultimul cuvant cu toate tool-urile si cuburile noastre :) Din punctul de vedere al administratorului este oarecum anormal, dar trebuie sa recunoastem ca de obicei utilizatorul are si el dreptatea lui si ca uneori cadem in cursa progresului de dragul progresului.
„Evenimentul de acum dovedește că nu au învățat mai nimic din greșeli”
Ce era sa invete? Ati auzit de ceva despre o scadere (chiar si modica) a numarului de utilizatori fericiti sa incredinteze firmei Sony numere de cont sau alte date, in urma precedentului atac? Daca era o lectie de tras de acolo, e ca utilizatorii sunt mai habarnisti decat Sony vizavi de probleme de securiatate, deci Sony nu avea motive sa schimbe ceva. De data asta insa, n-au mai fost furate datele utlizatorilor, ci chiar si datele companiei. Poate asta sa-i doara putin si sa provoace cateva schimbari.
Ce e mai grav, e Sony nu e deloc un caz special: http://arstechnica.com/security/2014/12/sites-certified-as-secure-often-morevulnerable-to-hacking-scientists-find/
De unde vestita „dilema a security: „Stiu ca sunt paranoic, dar oare sunt suficient de paranoic?” :)
„Dacă tu nu esti paranoic asta nu înseamnă că ei nu te urmăresc”.
Cu toata stima… acest articol si discutile generate sunt pe profilul Contributores?
Habar n-am care e profilul Contributors, eu le trimit si ei le publica :)
Nice touch :)
La firmele japoneze Excelul este folosit la orice, de la tabele la evidente personal, specificatii tehnice, scheme electrice etc.
Sunt probabil cu 20 de ani in urma ca si tooluri fata de ce se foloseste in Europa, asa ca nu ma mira deloc ca n-au facut nimic chiar daca au mai fost atacati …
Interesanta concluzia dar ce poti sa faci daca rezistenta la schimbare e atat de mare ?
Dar nu inteleg: eu stiam ca si fisierele excel pot fi parolate, incriptate. Stiu gresit? Nu sunt informatician, deci e posibil s gresesc.
Au si ele un fel de criptare, asa, mai mult pentru nea Vasile , insa hackerii ni le-au livrat necriptate, in tot cazul :) Eu doar ma minunam ca in vremea sculelor de raportare on-line, oamenii sunt fideli batranului excel , de fapt batranului spreadsheet de pe la inceputurile erei PC-ului.
Știu că în România poate părea șocant, dar în UK nu ai nevoie decât de Excel ca să-ți ții contabilitatea la firmă, nu-ți trebuie nimic mai mult. Există zeci de alte soft-uri, unele gratuite, altele pe bani, dar Excel-ul e suficient. Și până la 6.5 mil.lire pe an nici măcar nu-ți trebuie contabil, ăsta e pragul care desparte firmele mari de cele ”mici” :)
Motivul pentru care multe institutii nu reusesc sa fie ‘up to date’ cu tehnologia e inertia personalului, rezistenta la schimbare. Asta si apropos de excel. In institutiile din Ro. am remarcat ca toata lumea foloseste Word chiar si pentru a scrie o nota de trei vorbe… pentru ca asa au invatat si asta-i tot ce stiu. N-au auzit de un simplu text editor. Un alt exemplu sunt cele cateva orase din Spania sau Germania care pentru a economisi bani au incercat sa converteasca computerele aparatului de stat local de la Windows la Linux care pe langa ca e gratis nu necesita upgradarea hardware-uli la fieecare noua versiune de sistem de operare. Nu au reusit desi economiile erau imense, tot din cauza inertiei functionarilor.
Unii au reusit, vedeti articolul meu mai vechi despre primaria Munchen. Pe de alta parte inertia mai are si o cauza pe care, desi as fi „de cealalta parte”, nu vreau sa o ascund: de obicei facilitatile suplimentare aduc si complicatii in folosire. Utilizatorii au un sistem care functioneaza, nu le produce probleme majore, nu sunt motivati sa invete un sistem nou, mai complicat si mai lent ( oricat de mult au progresat aplicatiile web-based, din motive diverse sunt mai greoaie decat cele desktop). Si la care mai trebuie eventual sa bati si o parola in plus de fiecare data cand accesezi ( chestie care evident ca poate fi evitata, dar am vazut foarte putine locuri unde chiar se implementeaza single sign-on)
Pot sa va spun ca am lucrat destula vreme la o firma destul de mare dupa standardele romanesti ( cateva sute de angajati) si m-am chinuit destul de mult sa implementez un sistem in care utilizatorul sa nu tasteze de n ori aceeasi parola sau, mai rau, parole diferite; a trebuit sa modific aplicatii proprietar scrise in Java ( bine ca erau in ceva ce se putea modifica), sa scriu plugin-uri… si in final tot m-am dat batut la aplicatia de contabilitate :) Si asta plecand de la o solutie clasica de Active Directory, care e cvasi standard industrial.
Ati punctat bine: „..facilitatile suplimentare aduc si complicatii in folosire” :).
Cel mai usor de purtat aceasta discutie e plecand de la certitudinea ca securitatea IT completa nu exista.
Paradoxal, motivele pentru care IT-ul nu este [suficient de] sigur sunt tot de ordin economic: e mai ieftin sa faci ceva rezonabil de sigur, dar care uneori o mai da in bara, decat sa te fortezi sa faci ceva super-sigur, dar mai putin eficient/viabil dpdv economic. Si payment processor-ii accepta un anumit de % de frauda din totalul tranzactiilor, dar prioritatea lor #1 ramane simplitatea si viteza tranzactiei, fiindca de acolo le vin $$$$.
Revenind la securitatea IT, pentru cineva care gandeste business ecuatia arata astfel:
1. sistemul FARA componenta IT. Sigur dpdv al securitatii informatice, dar incet si ineficient.
2. sistemul CU componenta IT. Expus riscurilor, dar deobicei foarte eficient.
3. sistemul CU componenta IT, insotit de componenta IT Security. Mai scump, mai putin simplu de utilizat si administrat, si cu toate acestea tot nu poate garanta 100% certitudine impotriva hackerilor.
Aici intervine risk managementul. Arta consta in a obtine un sistem suficient de sigur, cu costuri cat mai mici (utilizare, administrare, solutii conexe implementate).
Privindu-i pe japonezi, de ce ne-am astepta sa trateze diferit intruziunile informatice decat incidentul de la Fukushima? In ambele cazuri au incercat sa ascunda cauzele reale ale incidentelor respective. Asta e cultura lor, si cu ea au reusit sa supravietuiasca multor vicisitudini de-a lungul timpului.
P.S. ITistii ar face bine sa gandeasca uneori si „in afara cutiei”. In mod surprinzator, exista si useri care NU vor totdeauna sa faca totul „mai simplu”, „cu mai putine click-uri”, ci depind ptr. buna lor functionare de o rutina dobandita in timp. Vezi exemplul cu Start Menu :)
Foarte instructive si interesante articolele scrise de dv., domnule Badici. Cand intru pe site, primul lucru la care ma uit, este daca a aparut un articol de Badici.