5億件以上のアカウントに影響を与えるYahooのセキュリティ違反:なぜ彼らはそれが「国家による」ものであると信じるのでしょうか?
5億件を超えるYahooアカウントに関連する 個人情報が盗まれたことが最近開示されました 。
ヤフーの情報セキュリティ最高責任者であるボブ・ロードは、情報はヤフー が「国家が後援した俳優であると信じている」 ことによってYahooのコンピューターから盗まれたと述べています。
まず、「状態」とは?
第二に、彼らはどのように知るのでしょうか?
ボーナス:なぜ彼は「俳優」という言葉を使うのですか?
ヤフーが攻撃が国家支援であったと主張することは、それが国家支援であった、または彼ら自身がそれがそうであったと信じていることさえ意味しない。彼らがこれを主張する理由は、両極端の間のどこかにある。
- Yahooは完全に無能で脆弱でした。泥棒が母親の地下室で働いていた15歳だったことを世界に認めようとする方法はありません。そのため、彼らのせいではないように見せるために、攻撃者を非常に危険で有能であると描写しています。 「国家支援」が意味するもの.
- Yahooは実際には非常に有能でしたが、攻撃者は非常に高度な方法(0日、計算コストの高い暗号解読など)を使用したので、攻撃者は多くのリソースを持つ誰かによって後援される必要があると信じることは実際に理にかなっています-すなわち状態-それを引っ張ることができるように。
Michealが彼の回答で述べているように、Stuxnetは#2の例でした。その時 コモド は彼らが外国の州によってハッキングされたと主張しましたが、それは実際には21歳のイラン人学生が#1の例でした。
この規模でYahooがどこに落ちるかは誰もが推測している。
状態について:#1の場合、状態はまったくありません。 #2の場合、州が関与しているのではないかと疑うためだけに、どのような州であるかを知る必要はありません。ここで重要なのは、「スポンサー付きの状態」は「リソースを大量に持っている人」のコードにすぎないということです。
まず、「状態」とは?
人々が「国家主導」と言うとき、彼らは国民国家または政府主導の攻撃を指しています。州が後援する攻撃は、スクリプトキディにはない資金、トレーニング、およびリソースを備えているため、通常、攻撃者の能力の極限と見なされます。
第二に、彼らはどのように知るのでしょうか?
誰かが攻撃を国家主導であると信じていると言う場合、それはさまざまな理由が考えられます。攻撃パターンは、LulzSec、Lizard Squadなどの既知のグループと一致しないか、ゼロデイ脆弱性である可能性があります。 Stuxnetは、国家主導の攻撃の一例です。複数のゼロデイ脆弱性を使用していました。
おまけ:なぜ彼は「俳優」という言葉を使うのですか?
情報セキュリティでは、アクターはアクションを実行する人物です。この使用法の一般的な例は、「悪い俳優」または「良い俳優」です。悪い行為者とは、システムやデータに危害を加えようと意図的に行動する人物です。
国が後援する俳優は、政府のために行動している誰かまたはグループです。
まず、 "高度な攻撃"の攻撃は、大規模な侵害を認めている企業幹部(および政府機関の責任者)が今日打ちのめした最も一般的な攻撃の1つであることを覚えておくことは良いことだと思います。時々、違反が実際にどのように発生したかについてのさらなる事実が明らかになると、攻撃者は本当にその方法が巧妙であることが判明します。しかし、非常に頻繁に、それがnotであることが判明します。したがって、Yahoo!の「国民国家」のコメントは、この標準手順のPR戦略と調査の確かな製品との興味深いバリエーションを取るべきかどうか疑問に思うかもしれないので、これがそうであるかどうかについての懐疑論から始めることは必ずしも間違いではありません。この段階での国家国家の活動。
(もちろん、ハッキングされた組織が「高度な攻撃者」のポイントを使って行っている影響は、組織が何が起こったのかを阻止することを合理的に期待できなかったということです。「高度な」ため、ほとんどありません。 Yahooの「国民国家」のコメントも同様に、このような方法でバックパス機能を提供することを意図しているのではないかと疑います。
それでも... Yahooの声明couldは、いくつかの本当の根拠があることがわかりました。そのため、攻撃が「国民国家の攻撃者」によるものかどうかを判断するための調査がどのように始まるのか、そしてそれが実際に何を意味するのかについて話すことは確かに有用です。
質問への回答を開始するには:調査担当者がハッキングに関連する証拠を調べ、国民国家の主体(情報機関、ほとんどが)であるか国民国家にリンクしている人物であるかについていくつかの結論を導き出すことができるあらゆる種類の方法があります。 (政府が秘密裏にサポートを提供する民間のサイバー「民兵」のように)。
考えられるあらゆる種類の犯罪や紛争の調査と同様に、検討される1つの要因は動機です。サイバー攻撃では、攻撃者が攻撃から金銭的利益を得るための明白で簡単な方法を持っていないかどうか、国家国家の俳優または国家国家に関連する組織がそれを阻止する理由があったかどうかを調べることは、ある程度の意味があります。特に、米国政府、米国の利益、または主要な米国企業に対して行われる攻撃について話しているとき、あるグループは、非常に活発な活動をしている4人の持続的な米国の敵のうちの1人にグループが接続しているかどうかにすぐにシフトし始めます。ロシア、中国、北朝鮮、イランなど、政府や国家に関連する攻撃的なサイバーユニットが関与している可能性があります。
考慮すべきもう1つの要素は、攻撃者が攻撃を行う方法を実行するために、攻撃者がどれほど「高度」である必要があるかということです。彼らが使用したツール、戦術、および手順。そして特に攻撃において、情報セキュリティコミュニティでこれまで広く使用されていなかったツール、戦術、手順を使用したかどうか。真に高度な攻撃でよく使用される新しい攻撃方法と資産を開発または購入するには、リソースが必要です。たくさんのリソース。 (お金、熟練者へのアクセスなど)
さて、そのようなリソースが最も多く、他の組織に対して大量の情報収集を行う強い動機、および攻撃を実施する上で(まあ、すべての意図および目的に関して)効果的な法的免責を有する組織は何ですか?政府。政府はそうします。したがって、実際にいくつかの高度な機能を必要とする攻撃を見ると、多くの人は国民国家の俳優に目を向ける傾向があります
もちろん、問題はall技術的に高度な攻撃が国家国家の攻撃者によって行われていないことです。遠く、遠くから。その当然の結果として、ハッカーが国家国家のユニットで働くことは、最先端の攻撃を必要としない十分に防御されていないターゲットに対して完全に一般的で平凡な方法を非常に頻繁に使用します。それらの圧倒的多数です。)
これにより、攻撃は国家国家の俳優または国家国家にリンクされたグループに起因する3番目の、そして多くの場合はるかに信頼性の高い要因につながります。実際の電子インフラストラクチャと攻撃者が使用したソフトウェアについての手掛かりが集まりました。
端的に言えば、人々は時々怠惰で不注意であり、ずさんな間違いを犯します。その中に国家国家のハッカー。そして、それらはそのイベントを他の攻撃にリンクする1つの攻撃の間に手がかりを残します。責任のある当事者がすでに知られているか、強く疑われている攻撃を含みます。
方法彼らは怠惰になりますか?まあ、他の方法の中で...
攻撃を開始するサーバー、コマンドアンドコントロールサーバー、ハッキングされたデータを外部に漏出するサーバー、プロキシサーバー、および異なるターゲット間の攻撃者インフラストラクチャの他の要素を再利用します。理想的には、実行する攻撃ごとに異なるインフラストラクチャを使用する必要があります。しかし、それはやっかいなことで、再利用し続けるのは簡単です。これにより、中国のハッカーが、連邦政府のEdison侵入検知システムで悪意のあるものとしてすでに知られているコマンドアンドコントロールサーバーを再利用したときに、OPMハッキングが最初に米国政府によって検出されました。
- 彼らは賢明なよりも頻繁に異なる攻撃間でマルウェアや他のツールを再利用します。 (確かに、これは回避するのが難しいものでなければなりません。何百、何千、またはそれ以上のターゲットごとに、すべてのマルウェア、エクスプロイト、攻撃ツール、メソッドなどの完全に新しいバージョンを開発または購入するためのリソースを誰も持っていません攻撃者は後を追う。)
- 彼らはむやみに公開すべきではないツールを不必要に残し、誰かが見つけてしまいます。 (エヘン、 あなたを見ている、NSA 。)
そして、間違いなく、他の無数の方法で。
要するに、彼らは研究者が見つけた手がかりを意図せずに残します。