21:07
20/4/2010

O technicznych szczegółach ataku na Google pisaliśmy w styczniu. Dziś dysponujemy nowszymi informacjami, które ujawniają co oprócz kilkunastu kont GMailowych wpadło w ręce włamywaczy.

Gaia

Gaia to nazwa Google’owego projektu single-sign-on, odpowiedzialnego za logowanie i ochronę dostępu do wszystkich usług świadczonych przez Google. Dzięki Gai, internauta nie musi się logować do każdego z serwisów Google’a osobno, wystarczy, że hasło poda tylko raz.

Jak pisze NYT, włamywacze najprawdopodobniej nie uzyskali dostępu do samych haseł użytkowników, ale jest szansa, mając dostęp do źródeł Gai mogą znaleźć lukę, o istnieniu której nie wiedzą sami inżynierowie Google’a. Atakujący podobno doskonale wiedzieli kto pracuje przy rozwoju Gai i to właśnie tych pracowników Google’a atakowali jako pierwszych.

Jak przebiegał atak?

Atak rozpoczął się od rozmowy na komunikatorze (MSN). Pierwszym celem był pracownik chińskiego oddziału Google, który podczas rozmowy kliknął na podesłany mu link, prowadzący do “złośliwej” strony. Exploit zaszyty w kodzie strony zaatakował przeglądarkę IE i pozwolił atakującemu na przejęcie kontroli nad komputerem pracownika Google, co w konsekwencji umożliwiło włamywaczowi dostęp do intranetu (zwanego przez Googlersów jako Moma).

Zastanów się, co trzymasz w chmurze Google’a…

Sporo osób pochwala otwartość, z jaką Google mówiło o ataku, zaraz po incydencie — ale akurat opisywane przez nas powyżej informacje nie pochodzą od Google’a, a od anonimowej osoby pomagającej firmie przy analizie ataku. Ciekawe zatem, co jeszcze trzymane jest w tajemnicy…

Warto również podkreślić, że oprócz Google’a, ofiarą atakujących padło co najmniej kilkanaście innych firm — a te raczej się nie wypowiadają na tematy związane z przełamaniem ich zabezpieczeń. Nie wiadomo więc w posiadanie jakich jeszcze informacji weszli włamywacze…

Przeczytaj także:



41 komentarzy

Dodaj komentarz
  1. “Pierwszym celem był pracownik chińskiego oddziału Google, który podczas rozmowy kliknął na podesłany mu link, prowadzący do “złośliwej” strony. Exploit zaszyty w kodzie strony zaatakował przeglądarkę IE”

    Szczyt głupoty …

    • @DFI: tak sądzisz? Podaj do publicznej wiadomości swój e-mail/IM/etc, i zobaczymy, czy któremuś z czytelników Niebezpiecznika nie uda się nakłonić Cię do kliknięcia w link w przeciągu najbliższego miesiąca — co Ty na to? ;-)

  2. Mówię o IE :) Wiadomo każdy może zostać nakłoniony do kliknięcia w link. Ale używanie IE :( Chociaż teraz tak myślę może miał 7/8 a mi od razu kojarzy się IE 6 :) Ale i tak bym nie eksperymentował z IE

  3. No tak, moze nakloniasz, ale na pewno nie odpali sie IE.

    • Zachowujecie się tak, jakby tylko IE był podatny na RCE… :>

  4. Zwolnić go z pracy! Nie korzystał z Chrome! ;)

  5. Wg mnie źle by było, gdyby wszyscy pracownicy Google używali tylko i wyłącznie Chrome i nie sprawdzali wyświetlania na innych przeglądarkach. Na takie coś mógł sobie pozwolić Microsoft z IE, jak królował na rynku. W każdym innym przypadku było by to co najmniej zuchwałe posunięcie.

  6. Nie dziwi mnie, że IE, bo o gustach się nie dyskutuje, ale że pracownik Google’a i IE… :)

  7. IE można uzasadnić (por. komentarz guzika) ale MSN?! W obliczu Google Talka? To jak nóż w plecy… ;-)

  8. http://www.imagefrog.net/out.php/i79306_DSC00015.JPG
    Surfuj Bezpiecznie xD

  9. @Mateusz Krzywicki. Świetna fota. Dzisiaj taką samą widziałem w Warszawie na Czerniakowskiej. Nawet przez chwilkę miałem zamiar zatrzymać samochód żeby zrobić zdjęcie, ale … godziny szczytu…. :)

  10. Tak krytykujecie za to ukrywanie danych o włamaniach a wg. mnie, w niektórych przypadkach, jest to słuszna strategia. Jeżeli ktoś się bawi teorią prawdopodobieństwa to czasem można dojść do tego, że już samo dowiedzenie się o powodzeniu czyjegoś ataku zwiększa znacząco szanse kolejnego napastnika na ponowienie tego wyczynu.

  11. @Mateusz Krzywicki:
    “Tam sięgaj, gdzie wzrok nie sięga” (reklama po prawej)

  12. @ludzie odnoszący się do używania IE: czy nie jest tak, że wiele komunikatorów, a MSN szczególne olewa ustawienia domyślnej przeglądarki systemu i linki otwiera właśnie w IE?

  13. A czy Gaia to nie był czasem projekt, który pozwalał korzystać z mechanizmu SSO, ale nie tyle użytkownikom (Ci mają przecież Google Account) co pracownikom Google.

    Nie wiem na ile dobrze pamiętam i na ile dużo plotek w tym było, ale coś mam wrażenie, że właśnie Gaia miała pozwalać osobom (w domyśle: uprawnionym pracownikom Google) uzyskiwać dostęp do kont użytkowników Google.

    A jeśli chodzi o IE – to tak jak wspomniał już ktoś w komentarzach… Nie tylko IE ma dziury (jeśli chodzi o ilość to są przeglądarki inne wiodące w tym prym) i to, że ktoś wykorzystał podatność IE – wcale nie mówi o tym, że już wszyscy powinni o IE myślec w kontekście “niebezpieczna”. Całkiem ciekawie opisał to kiedyś Paweł (http://wampir.mroczna-zaloga.org/archives/800-nie-uzywasz-internet-explorer-no-i-co-z-tego.html)

    A kampania bilboardowa z IE… Hmmm… Też mnie ostatnio zaskakuje (ciężko powiedzieć w którą stronę bardziej). W wolnej chwili muszę podejść do kolegów z działu C&O i dopytać o jej szczegóły…

  14. Niefajna sprawa. W takiej sytuacji czlowiek jest zadowolony, ze nie korzysta z uslug google ;) nie zmienia to jednak powagi sytuacji i impaktu, jaki ona niesie. Swoja droga polityka bezpieczenstwa google wydaje sie byc watpliwa. Zdaje sobie sprawe z tego, ze – jak to zwykle bywa – zawiodl czynnik ludzki, jednak nie zmienia to faktu …
    Paradoksalnie firma, ktora znana jest z okresowych kontrowersji wokol polityki bezpieczenstwa informacji wzgledem klientow sama pada ofiara bledu bezpieczenstwa …o ironio!

  15. Wyciek kodu systemu Gaia może Google tylko pomóc. Takie przymusowe przekształcenie go w otwartoźródłowy sprawi, że większa ilość testerów będzie badać ten kod pod kątem istniejących błędów i ewentualnych tylnych wejść. Dzięki temu Google zyska na szczelności systemu, zamiast tracić.

  16. Jestem za przeglądarkami w sandboxach. Nowy system Joanny Rutkowskiej może dużo zmienić w tej kwestii.

  17. Microsoft przeprowadza kampanię, ponieważ w wyniku wprowadzenia ekranu wyboru przeglądarki ludzie się dowiedzieli, że istnieje coś więcej niż IE. Skutek oczywisty, czyli IE mi się nie podoba, więc spróbujmy czegoś nowego. ;) Spadek musiał być całkiem mocny, skoro firma zza wielkiej wody wytoczyła ciężkie działa…. a pomyśleć, że kiedyś konkurencja była tylko ignorowana.

  18. @MK – technicznie rzecz ujmujac to zestaw maszyn wirtualnych, a nie zwirtualizowana instancja samaej przegladarki, jednak zgodze sie z toba – to moze byc przelom.

  19. Osobiście nie jestem fanem paranoicznego podejścia do wirtualizacji, ale przeglądarka web i powiązane z nią programy (Java, Flash, program do PDF, wszelkiego rodzaju komunikatory, itp) należą do grupy, której nie powinno się zanadto ufać. Tu sandboxing może pomóc, ale nawet wtedy pozostaje ryzyko wpłynięcia na wydzielone programy. Prędzej, czy później pewnie powstanie jakiś “standard” obsługi niepewnych aplikacji.

  20. “Atak rozpoczął się od rozmowy na komunikatorze (MSN). Pierwszym celem był pracownik chińskiego oddziału Google, który podczas rozmowy kliknął na podesłany mu link, prowadzący do “złośliwej” strony. Exploit zaszyty w kodzie strony zaatakował przeglądarkę IE”

  21. siet… zapyziałe skróty klawiszowe – nie zdążyłem skomentować cytowanego fragmentu ;P

    MSN?? IE ?!?! Czy oni w tym google upadli na głowe? Czemu nie używają CHROME ? :)

  22. Patrząc na sposób rekrutacji google trafiają tam “sami geniusze”. Zatem jak wytłumaczyć fakt, że inżynier googla, kliknął w link od nieznajomego i co więcej otworzył go w IE?

  23. Myślę, że dlatego, ponieważ nad IE administrator ma większą kontrolę. Może zmieniać globalne policy jak i kiedy mu się tylko spodoba. Żadna inna przeglądarka nie posiada takiego mechanizmu (z tego co wiem, a niedawno był na ten temat test chyba w Hakin9 czy innym podobnym czasopiśmie).

  24. “ale akurat opisywane przez nas powyżej informacje nie pochodzą od Google’a, a od anonimowej osoby pomagającej firmie przy analizie ataku.” IMO ktoś sobie _zażartował_ po prostu. Ale ja się nie znam ;-).

  25. Tinyurl to zuo.
    “[…]mając dostęp do źródeł Gai mogą znaleźć lukę, o istnieniu której nie wiedzą sami inżynierowie Google’a.” Security through obscurity wiecznie żywy.

  26. “Atak rozpoczął się od rozmowy na komunikatorze (MSN). Pierwszym celem był pracownik chińskiego oddziału Google, który podczas rozmowy kliknął na podesłany mu link, prowadzący do “złośliwej” strony. Exploit zaszyty w kodzie strony zaatakował przeglądarkę IE i pozwolił atakującemu na przejęcie kontroli nad komputerem pracownika Google, co w konsekwencji umożliwiło włamywaczowi dostęp do intranetu (zwanego przez Googlersów jako Moma). ”

    Przepraszam, ale nie wierzę. Niemożliwe, żeby tak złamane były procedury bezpieczeństwa.
    trywializując trochę:
    Maszyna ma jednocześnie dostęp do Internetu i źródeł Gai to raz,
    Dziurawe oprogramowanie na tej maszynie to dwa,
    I pracownik, który pracuje nad tajnym projektem i klika co mu podsyłają to trzy.

    Spekulując: Być może Google samo wypuściło nieoficjalnie taką informację, żeby choć częściowo obciążyć producenta konkurencyjnych rozwiązań.

    Żeby ustrzec się ewentualnych zarzutów nie jestem fanbojem MS – wręcz przeciwnie, ale przedstawiona wersja wydarzeń wydaje się mało wiarygodna.

    Za to skuteczna, jeśli patrzeć na cześć komentarzy.

    p.s.

    Reklama “serwuj bezpiecznie” też mnie rozśmieszyła :)

  27. @progreso:
    “że inżynier googla, kliknął w link od nieznajomego i co więcej otworzył go w IE?”.
    przed atakiem zostal przeprowadzony gruntowny rekonesans — ten kto linka przeslal, pracowal wczesniej nad tym, zeby nie byc kompletnie “nieznajomym”.
    przed dobrze przeprowadzonym spear phishingiem z uzyciem 0dayow praktycznie nie jestes w stanie sie obronic…

  28. zgadzam się z jurkiem ogórkiem, nie zdziwił bym się gdyby na celowniku była konkretna osoba/osoby, a nie oprogramowanie. Akurat się tak złożyło, że facet używał IE. W przypadku innej przeglądarki został by użyty odpowiedni 0day.

  29. […] wśród pracowników. Warto wspomnieć, że to właśnie za pomoca phishingu utorowano sobie drogę wewnętrznych systemów Google, podczas ostatniego ataku na tą […]

  30. […] słowa padły na konferencji RSA Conference 2010, gdzie Ira uznał atak na Google za “śmiechu warty”. Według niego, Chińczycy nie muszą atakować w skomplikowany […]

  31. […] słowa padły na konferencji RSA Conference 2010, gdzie Ira uznał atak na Google za “śmiechu warty”. Według niego, Chińczycy nie muszą atakować w skomplikowany […]

  32. […] wnioski po atakach na firmę na początku roku, kiedy to najprawdopodobniej chińscy włamywacze uzyskali dostęp do kodu źródłowego kilku ważnych projektów […]

  33. […] To co, czekamy na kolejne aurora attacks? […]

  34. […] helikopterem, Manning przekazał Wikileaks także dane dotyczące śledztwa rządu U.S.A w sprawie ataków na Google oraz ponad 200 000 tajnych depeszy […]

  35. @dariusz
    To nie przypadek, że chodziło akurat o IE. Jak pisał jurek ogórek, koleś prawdopodobnie zdobywał zaufanie tej osoby przez dłuższy czas. To jakiego systemu używał i jakiej przeglądarki prawdopodobnie wyhaczył podsyłając inny link z bardzo prostym i ogólnie dostępnym skryptem.
    A to czy IE, FF, Opera, Chrome, Safari to tak w gruncie rzeczy jeden kit – wszędzie znajdzie się jakiś błąd lub obejście zabezpieczeń – wszystko jest kwestią popularności i zainteresowania wśród grup chcących zrobić kuku.
    Chcesz mieć w 99% bezpieczny komputer? – Nie podłączaj internetu i wymontuj wszystkie napędy i usb (1% na nową technologię przesyłania wirusów monitorem.). Natomiast człowiek nie narażony na ataki to taki, który tego komputera nie ma (nie mówię ofc o reszcie podmiotów świadczących dla tego człowieka usługi – czyt. np. banki).

  36. […] w serwisach internetowych często zdarzają się tym największym i kojarzonym z działką IT Security (por. udane ataki na Google). Błędy XSS, którymi ostatnio wszyscy tak mocno się ekscytują, […]

  37. […] 21:08 W NYT jest też coś o ostatnich atakach na Google — ponoć zlecił je chiński rząd: China’s Politburo directed the intrusion into […]

  38. […] rządowych hackerów (a dokładnie komórkę działającą pod nazwą Elderwood) m.in. na Google, Adobe, RSA, Junipera i znanych wojskowych kontraktorów, m.in Lockheed Martin i Northrop Grumman. […]

  39. A propo pierwszej wypowiedzi. Co stawiasz?

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: