9:49
23/12/2014

Kilka dni temu Barack Obama, podczas konferencji prasowej poruszył temat włamania do Sony Pictures i oświadczył (na bazie raportu FBI), że za atakami stoi Korea Północna, a Stany Zjednoczone odpowiedzą na ataki “proporcjonalny sposób”. Wczoraj wieczorem Korea Północna znikła z internetu — czy to właśnie ta “proporcjonalna” odpowiedź, o której myślał prezydent USA?

Skala dziecinna, źródło nieznane.

Skala dziecinna, źródło nieznane.

TL;DR:
1. “Internet” Korei Północnej jest mały i podpięty przez jeden router — przeciętny gimnazjalista jest w stanie go zDDoS-ować
2. Nie wiadomo kto dokonał ataku (tu: DDoS, an nie klasycznego “włamania”). Mógł to być każdy, ale pewnie większość będzie wytykać palcem USA, bo w niedawnym wywiadzie Barack Obama o ataki na Sony Pictures oskarżył Koreę Północną i zasugerował “odwet”.
3. Pomimo oficjalnego stanowiska USA, że za atakami na Sony stoi reżim Kim Dzon Una, to jednak dalej brak twardych dowodów i wiele wskazuje na to, że ktoś mógł nieźle strollować dwa kraje (USA i Koreę) do walki między sobą.

Phishing, który wywołał wojnę?

Na początek należy podkreślić, że nie wszyscy zgadzają się z tym, że za atakami na Sony Pictures stoi Korea Północna — szeroko opisywaliśmy możliwe hipotezy w naszym przedwczorajszym artykule, por. Kto odpowiada za atak na Sony?.

Jeśli więc za sparaliżowaniem połączenia Korei Północnej z internetem stoją oficjalne działania Stanów Zjednoczonych, to możemy mieć pierwszy w historii przypadek “cyberwojny”, którą wywołał phishing — bo najprawdopodobniej atak na infrastrukturę Sony Pictures zaczął się od wysłania e-maila wyłudzającego dane dostępowe lub infekującego złośliwym oprogramowaniem. I co więcej, nie jest pewne, że e-mail ten w ogóle został wysłany przez Koreę Północną

Korea Północna i jej internet

Pierwsze problemy z dostępem do internetu w Korei Północnej i w ogóle z widzialnością podsieci Korei Północnej zgłaszano już w piątek. Oto jak wyglądały przerwy w widzialności koreańskich podsieci:

Widzialność podsieci Korei Północnej od strony globalnego internetu

Widzialność podsieci Korei Północnej od strony globalnego internetu

Mimo iż internet w Korei Północnej nie jest dla mas (dostęp do niego mają elity i wojsko), a sama infrastruktura nie jest bardzo rozbudowana, to problemy z dostępem do internetu w zdarzały się z rzadka. Administruje nią narodowy operator Star Joint Venture i prawie całość przestrzeni adresowej jest osiągalna przez łącze z Chin (z limitem zapewne do 10Gbps), co znacznie ułatwia atak, bo wystarczy zalać ruchem ten jeden router brzegowy.

I dokładnie to zrobiono, gdyż przyczyną niewidzialności Korei Północnej w internecie były ataki DDoS i to stosunkowo nieskomplikowane oraz małej mocy. Ruch odnotowany przez Arbor zdradza, że chodziło o NTP i SSDP Amplification o mocy do zaledwie 6Gbps.

Co ciekawe, jeszcze przed atakami pojawiały się plotki, jakoby USA miało prosić Chiny o pomoc w atakach na Koreę Północną — ale Chiny ponoć nie odpowiedziały na tę prośbę.

Pamiętajmy też, że DDoS to jedna z najbardziej prymitywnych form ataku. DDoSować może każdy, kto dysponuje ok. 10 dolarami i wykupi odpowiednią usługę “stress testów” na podziemnym forum. DDoS to nie włamanie, przy jego pomocy nie da się wykraść danych. Innymi słowy, do Sony Pictures się włamano, a Koreę tylko z DDoS-owano.

Jak to pięknie podsumował jeden czytelników Wykopu:

Napisać, że Korea Północna została właśnie całkowicie odcięta od interentu, to jak przy awarii metra w Warszawie napisać “Nie działa metro w całej Polsce!”

Kto może stać za sparaliżowaniem internetu w Korei Północnej?

Możliwości jest kilka…

  • Anonimowi. Już w piątek na Twitterze pod hashtagiem #OpRIPNK zaczęły się pojawiać deklaracje “Anonimowych” (czyżby zachęconych przemówieniem Baracka Obamy) w sprawie ataków na Koreę Północną. Wiarygodność gróźb jednak należy ocenić jako niskie i propagandowe — chociaż niektórzy z sympatyków Anonimowych rzeczywiście dysponują botnetami mogącymi prowadzić uciążliwe ataki DDoS. Część różnych grup, np. Lizard Squad już przyznaje się, że to one stały za atakami.

    Niektórzy już przyznają się do ataków

    Niektórzy już przyznają się do ataków

  • Internauci (nie)zdrowo interesujący się bezpieczeństwem. Na Reddicie w sobotę pojawił się wątek “skany IP przestrzeni adresowej Korei Północnej“, w ramach którego kilkanaście osób crowdsourcingowo zaczęło analizować styk Korei Północnej z internetem. Podano zakresy adresów IP do skanów (175.45.176.0/22, 210.52.109.0/24, 77.94.35.0/24, ) i namierzano adresy IP odpowiedzialne za infrastrukturę krytyczną.
  • Chiny. Ponieważ dostęp do świata Korea ma przez Chiny, być może poprosiła o rekonfigurację połączenia (np. wprowadzenie filtrów) aby przygotować się na ew. ataki w ramach wzrastającego napięcia. Podczas prac “coś poszło nie tak”. Oczywiście Chiny mogły tak po prostu, same z siebie, odciąć Koreę Północną od internetu, ale wydaje się to małoprawdopodobne.
  • Stany Zjednoczone. Hipoteza ciekawa, bo oficjalne stanowisko USA to obwinianie Korei Północnej za ataki na Sony Pictures, a Barack Obama zapowiedział nawet odwet. Znajdą się jednak ci, którzy powiedzą, że byłoby to zbyt oczywiste, jak i ci którzy stwierdzą, że z punktu widzenia USA właśnie teraz jest najlepszy moment na atak, bo można się go łatwo wyprzeć mówiąc: “to nie my, nie jesteśmy tak głupi, żeby atakować od razu po zapowiedzi ataku, ktoś nas wrabia”. Warto jednak wspomnieć, że jeśli atak miałby być działaniem oficjalnym, to NSA i odpowiednie komórki FBI prowadzą działania raczej związane z exploitacją a nie paraliżem sieci. I przede wszystkim starają się robić to po cichu – bo tylko tak przeprowadzona operacja gwarantuje długi dostęp do przejętych zasobów, a co za tym idzie możliwość stałego monitoringu ruchów “wroga”.
    Jedno jest jednak pewne, Barack Obama chyba trochę się zagalopował i na pewno będzie się musiał ze swoich słów tłumaczyć — albo iść w zapartę, zagoniając konflikt.
  • Usterka sprzętowa. Przypadki chodzą po krajach. Być może właśnie w weekend kabel łączący Koreę Północną z China Telecom uległ przypadkowemu uszkodzeniu? Koparki przecinają światłowody… ;)
  • Szatan.

Zniknięcie kraju z internetu wcale go całkowicie nie paraliżuje

Na koniec dodajmy, że zniknięcie kraju z globalnego internetu nie oznacza jego paraliżu. Wewnętrzna sieć Korei Północnej może być routowalna niezależnie od routera brzegowego i dalej poszczególne węzły sieci mogą się ze sobą komunikować bez przeszkód, nie mają tylko “wyjścia na zewnątrz”. Przykładowo, Egipt i Syria znikały z internetu wielokrotnie w trakcie tzw. “wiosny ludów”.

Dodatkowo warto nadmienić, że infrastruktura krytyczna ma łącza zapasowe (czy to przez satelitę, czy przez tzw. dial-up), a więc o ile nieplanowane “odcięcie” od internetu może być kłopotliwe, to na pewno nie powinno żadnego kraju rozłożyć na łopatki. Oczywiście, do takich scenariuszy warto się zawsze przygotowywać — czy Krea Północna odrobiła tę lekcję? Tego nie wiemy.

Przeczytaj także:

43 komentarzy

Dodaj komentarz
  1. Dlatego tez, wielkie hakery, zanim coś zrobicie, pomyślcie dwa razy. Oba maaa czuwa :)

  2. Artykuł ciekawy, jednak widać, że pisany późną porą.. Poprawcie te literówki, szczególnie na końcu artykułu. Pozdrawiam.

  3. Dlaczego ostanią opcją jest szatan? Powinien być chyba Bóg ;-).

    PS: Nie wykluczałbym NSA, bo może właśnie to była tylko zasłona dymna…

    • Bo to ja zrobiłem.

  4. Wg Snowdena Syria nie odcięła się od Internetu tylko NSA hackując router brzegowy popełniło błąd i go zbrickowali.
    Polecam wywiad: http://www.wired.com/2014/08/edward-snowden/

    • To chyba zależy który raz ;)

    • W wywiadzie jest wprost mowa o 2012 r.

    • Czy nikt tego nie widzi, że Snowden czy Assagne to podwójni agenci?

    • @sss
      Assagne, bo ma widzimisie i pewnie jakas “homofobie”, siedzi ostatnie 1,5 roku w ambasadzie,[ czyt. areszcie dmowym ]
      a Snowden pojechal na wycieczke do Rosji, zawadzajac o HonKong i pare innych dziwnych miejsc przy okazji wystawiajac martwe slady do paru innych
      chlopie, za duzo Jamesa Bonda sie naoogladales i za duzo filmikow szpiegowskich, zycie jest prostsze

  5. W oficjalnym komunikacie w KRLD pewnie będzie nie, że “hackerzy odcięli nas od internetu”, tylko że “Ukochany towarzysz Kim zezłoszczony na Sony, sam osobiście odciął wszystkich imperialistów od jedynego, słusznego, Koreańskiego Internetu”.

  6. A może to najlepsza w historii promocja filmu? I za jakiś czas ujawni się jakaś agencja i wcale nie bezpieczeństwa, a PR ;)

  7. Nie znam się na bezpieczeństwie IT a niebezpiecznik czytam dla przyjemności i żeby się właśnie czegoś dowiedzieć..
    Zastanawia mnie jedna kwestia. Czy Polskę w taki sposób dałoby się zablokować? I czy w Polsce działają jakieś wieksze grupy hackerów coś jak Anonimowi?

    • Na oba pytania odpowiedź to zdecydowane TAK. Tyle że u nas byłoby ciężej zablokować internet bo w przeciwieństwie to Korei Płn. mamy więcej dojść niż tylko jedno. Ale oczywiście dla chcącego nic trudnego.

    • Raczej nie w ten sposób – infrasturktura jest zbyt rozbudowana. Prędzej przez zaprzestanie rozgłaszania BGP ale trzeba wziąć pod uwagę, że “nasz internet” nie jest tak zcentralizowany i pod kontrolą władz jak w Egipcie czy Syrii.

    • @ Mateusz
      A internet w KRLd jest scentralizowany i kontrolowany przez władzę na skalę niespotykaną chyba nigdzie indziej. Jak widać nawet zbytnio nie rozwinięto tam infrastruktury sieciowej, bo nie wzięto pod uwagę dostępności sieci dla ogółu ludności. Dla porównania w ChRL internet tez jest cenzurowany, ale jednak zwykli Chińczycy mają dostęp do sieci, choć oczywiście znajdującej się pod kontrola władz na skalę dyzo większą niż w EU czy USA. O ile wiem nawet w Pjongjangu (Phenian to zła polska transkrypcja, która utrwaliła się w PRL) zdarzają się częste przerwy w dostawie prądu, a jak wiadomo w słabo rozwiniętych krajach najbardziej rozwinięta jest stolica i ewentualnie region stołeczny (w sumie tak jest też w większości krajów bez względu na ich poziom rozwoju oprócz tych, w których stolica nie jest największym i tym samym głównym miastem).

  8. Chyba w ramach sojuszu z NATO / USA cała Polska odłączyła się od Internetu.
    W pokojowym proteście przeciw militarystycznej polityce KRLD.
    Albo KTOŚ przykręcił kurek od Internetu.
    No takie mam wrażenie.
    :-)

  9. Kilku kolesiów odcięto od Internetu i zaraz wielka afera. Przeciętny Kim nawet tego nie zauważył.

    • Przeciętny Północny Koreańczyk nawet nie wie, o co ta afera bo po pierwsze nie zna świata, jaki my znamy (docierają szczątki informacji w postaci przemycanych materiałów, radioodbiorników rozrzucanych z balonów a od pewnego czasu także pendrivów), po drugie boi się szukać prawdy, bo grozi za to uwięzienie w obozie koncentracyjnym wraz z rodziną (a w obozie nieopisane tortury i śmierć) a po trzecie jest to społeczeństwo zindoktrynowane, choć wiatr zmian dotrze i tam. Być może Kim powoli zdaje sobie z tego sprawę, bo przecież słyszał o otwarciu się Kupy na stosunki z USA (akurat elita rządząca ma pełny dostęp do sieci, zresztą zapewne tak samo jest w Chinach).

  10. Jeżeli to nie Korea zaatakowała Sony, to prawdziwy sprawca ma teraz niezły ubaw.

  11. Okej, ale jaka jest wiarygodność danych z tej fajnej mapki serwowanej przez witrynę http://www.digitalattackmap.com, przecież to w istocie może być miraż, podkolorowana ręcznie farbkami plakatowymi wirtualna rzeczywistość, a przecież nie będę organizować ataku DDOS, żeby go po pół godzinie zobaczyć na mapce ?
    Może jest inny niezależny miernik, żeby sobie zrobić małe porównanie ?
    Albo dostęp do danych źródłowych od operatorów.

  12. Jakiś Chińczyk potknął się o kabel z internetem dla Korei i wyrwał go z gniazdka.

  13. A może to Sony zrobiło odwet?

  14. A może po prostu ktoś ukradł kabel, jak u mnie w gminie? ;)

  15. Jako, że film o dyktatorze ma być jednak wyświetlany, należy zasugerować kolejną hipotezę ataku: Najlepsza promocja filmu EVER połączona z wprowadzeniem zmian na lepsze w firmie. :D

  16. Ciekawe, że Szanowna redakcja nie wzięła pod uwagę jeszcze jednej opcji – Korea odcina się sama, bo boi się inwigilacji ze strony USA – FBI + NSA…

    • Periodycznie? Co kilka godzin? Kierujac w siebie 6Gbps ruchu na DNS?

    • Mniej prawdopodobne albo zlecili takie działanie, żeby pokazać, że to nie oni :)

  17. A gdzie jest Mieszkam w Korei Płn. Co robić, jak żyć?

  18. Ja widze inne opcje.

    Albo to Rosja wraz z Chinami postanowili wrobic USA wykorzystując zapowiedź Barracka Obamy, albo to Usa testuje swoich hakerów wyszkolonych w pentagonie, który stworzył własną zamknięta sieć przypominajacą internet.

  19. Tylko jedno podejrzenie o działanie PR-owe? Paranoicy szukają spisków, dorabiają ideologię a tymczasem Sony ogłosiło, że premiera filmu, o który rzekomo chodziło rzekomym hakerom (tytułu nie podaję aby uniknąć kryptoreklamy) jednak się odbędzie. Coś tam było – ktoś coś zhakował dla zabawy, albo próbował wyciągnąć kasę, a może nie było – może firma sama wypuściła coś do sieci? a skutkiem tego czegoś było ogromne zainteresowanie mediów… Czy straty z wycieku były większe niż wartość darmowej reklamy we wszystkich mediach zachodniego świata? Tego nie wiemy. Może faktycznie za ataki na Sony stoi… Sony?

    Inna możliwość – całkowicie pomijana przez media, to wojna korporacyjna. Może jakaś inna korporacja w ten sposób próbowała zawalczyć o pozycję na rynku?

    • Biorąc pod uwagę że to nie pierwszy atak na różne odłamy Sony, jeśli Sony samo by wypuściło te dane które wyciekły to już by to nawet nie był PRowy strzał w stopę, tylko PRowe odcięcie sobie głowy

    • Nie jesteśmy w stanie tego ocenić nie znając faktycznych kwot – czyli strat wynikłych z wycieków i wartości nagłośnienia tego w mediach. A tym korporacja raczej się nie pochwali.

      Jak dla mnie obie wersje pozostają prawdopodobne.

  20. A nikt nie pomyślał, że to Ruscy? Im zależy, na silniejszym konflikcie między USA, a innymi krajami. Nie zdziwiłbym się, gdyby to oni stali zarówno za atakami na Koreę, jak i Sony Pictures, a rządy obu państw zagrały według przewidywań.

    • a niepomyślałeś że korea północna podobnie jak Chiny to sojusznik Rosji?
      Za atakiem zarówno na serwery SONY jak i koreę stoi USA.
      SONY to konkurent – MS a konsole tego drugiego dość słabo się ostatnio sprzedawały.

    • Twierdzenie, że Rosji bardziej zależy na konfliktowaniu jakiegoś konkurencyjnego mocarstwa ze światem niż konkurencyjnym mocarstwom jest bezzasadne. Bez trudu dostrzec można na światowej arenie innego gracza, który całkiem śmiało wkracza w tradycyjne strefy wpływów konkurencji.

      Mam nadzieję, że podobieństwo nicka uczestnika dyskusji zabierającego głos powyżej jest przypadkowe i że nikt nie pomyli kto jest kto.

  21. A Obama, wbrew opinii wielu ekspertów, uparcie twierdzi, że to Korea Pn. Kolejna wojna to dla amerykanów niezły biznes, a lobby militarne w Stanach ma duże wpływy w rządzie. Cel Obamy jest jasny. Ciekaw jestem reakcji hakerów na decyzję Sony…

    • Zbyt słabo powiedziane, nie wpływy jakiegoś lobby decydują o militarnych zapędach USA tylko aktywność militarna jest podstawą gospodarki tego kraju – i niekoniecznie chodzi o przemysł zbrojeniowy (choć ten ma z tego oczywiście ogromne zyski), może raczej o pax-americana i wynikające z tego korzyści?

  22. Według mnie to Rosja powinna podpisać sojusz ze wszystkimi krajami arabskimi i założyć coś na wzór UE. Rosja gwarantowałaby tym państwom bezpieczeństwo w zamian za wymianę handlową, technologiczną, ropę naftową itd.
    USA nie odważyłaby się zaatakować żadnego z krajów arabskich i wszyscy byli by zadowoleni.
    Jeżeli PUTIN nic nie będzie robił to jego potęga zakończy się i to niebawem.
    Na świecie powinna obowiązywać równowaga -jeżeli USA stanie monopolistą to napewno to do niczego dobrego niedoprowadzi. Człowiek stanie się cyferką jak praca w Amazonie, nie wspominając o totalnej inwigilacji.

    • I to właśnie jest to co Putin robi – buduje “unię euro-azjatycką”. Kraje arabskie są na razie zbytnio zdominowane przez “zachód” ale taka np. Wenezuela (największe zasoby ropy na świecie) jest całkiem otwarta na propozycje współpracy. Poza tym USA “strzela sobie w kolano” ciągłymi próbami destabilizacji krajów arabskich (arabska wiosna, “państwo islamskie”, itp.) w celu utrzymania kontroli. A kraje azjatyckie (zwłaszcza Azja Wschodnia) są obecnie bezsprzecznym liderem jeśli chodzi o produkcję (tu znów “zachód” strzelił “samobója” eksportując znaczącą część produkcji do Trzeciego Świata).

      Generalnie stale trwa walka o hegemonię na świecie, chociaż jak na razie USA utrzymują pozycje lidera. Walka ta jest głównym powodem coraz bardziej widocznego konfliktu pomiędzy “zachodem” i Rosją – “zachód” stara się zdominować rosyjski kapitał, strona rosyjska stara się grać chociażby jako równorzędny partner. A tym, którzy wierzą medialnej propagandzie o “złej Rosji” proponuję zapoznać się z poczynaniami władz “państw zachodnich” w kwestii kontroli opozycji “pozasystemowej”. Faktycznie póki co na “zachodzie” dominują socjotechniki a nie pałka ale gdy te zawodzą żaden “zachodni” rząd nie waha się użyć starych sprawdzonych metod siłowych. Nie ma żadnej jakościowej różnicy pomiędzy stronami, obie bezwzględnie dążą do swych celów nie zważając na nic.

  23. […] oglądać poprzez streaming wprost ze strony konferencji (Lizard Squad na szczęście w tym czasie DDoS-uje tylko Koreę Północną i serwery PSN oraz Xboksa –dop. […]

  24. […] to dobrze o rzetelności FBI i kolejny raz budzi uzasadnione podejrzenia, że być może ich teorie dotyczące tego, ze za atakiem stoi Korea Północna, są równie […]

  25. […] się zresztą nie tylko NSA. Przy okazji ataków na Sony dowiedzieliśmy się o północnokoreańskiej armii komputerowych włamywaczy. Swoje jednostki mają też Chiny i Rosja, chociaż na temat rosyjskiej, wojskowej jednostki […]

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.