12:58
15/1/2010

Google nie zdradziło zbyt wiele informacji odnośnie niedawnego włamania do ich sieci, za którym najprawdopodobniej stoją Chińczycy. Firma opublikowała tylko enigmatyczny post na blogu, mówiący o “skomplikowanym ataku” na “swoją infrastrukturę“. Wpis poświęcony był w 80% problemowi praw człowieka, a nie temu, co najbardziej zainteresowałoby naszych czytelników, czyli technicznym aspektom włamania. Na szczęście, inne firmy, które uczestniczyły razem z Google w śledztwie, zdradziły trochę więcej szczegółów, jak doszło do ataku i dlaczego się powiódł. Zapraszamy zatem do zapoznania się z najbardziej szczegółowym i dokładnym opisem tego, jak włamano się do Google, jaki znajdziecie w polskim Internecie.

0day w Internet Explorerze powodem ataku?

Firma McAfee twierdzi, że podczas ostatnich ataków na Google i Adobe (oraz ok. 30 innych firm), crackerzy wykorzystali wcześniej nieznaną, a obecnie niezałataną (0day FTW!) dziurę w przeglądarce Internet Explorer pozwalającą na zdalne wykonanie kodu. McAfee ostrzega, że luka występuje we wszystkich najnowszych systemach Microsoftu, także w Windows7.

Dziura w IE to nie jedyny 0day, który został wykorzystany podczas ostatnich ataków. Crackerzy skorzystali ze “skomplikowanych” scenariuszy ataków social-engineering.
— George Kurtz, McAfee

McAfee twierdzi, że pracownicy Google i reszty zaatakowanych firm otrzymali wiadomość wyglądającą na pochodzącą z zaufanego źródła. McAfee niestety nie wspomina (dlaczego?), jakim kanałem komunikacji owa wiadomość dotarła do użytkownika; czy była to wiadomość na komunikatorze, czy w webowym kliencie pocztowym, ani czy zawierała załączniki czy po prostu linki… W każdym razie, owa wiadomość prowadziła do instalacji backdoora, który dawał atakującemu pełną kontrolę nad komputerem zaatakowanego pracownika. Washingotn Post uważa, że chodziło o e-mail z załącznikiem.

Microsoft informuje o dziurze 0day w IE

Microsoft opublikował wczoraj wieczorem oświadczenie informujące o nieznanych dotąd błędach bezpieczeństwa we wszystkich wersjach Internet Explorera. Firma wspomina, że włączenie Data Execution Prevention i Protected Mode w IE obniża ryzyko ataku. Microsoft wypuści łatki najszybciej jak będzie to możliwe – najprawdopodobniej poza cyklem Microsoft Patch Tuesday.

Aktualizacja 16.01.2010:
Exploit na Internet Explorera wyciekł do sieci. Opisujemy go w szczegółach, prezentując video obrazujące jego działanie. Aby zobaczyć wpis poświęcony exploitowi, kliknij tutaj.

0day w Adobe Acrobat powodem ataku?

Firma iDefence z kolei donosi, że namierzyła serwery Command & Control, które używane były do sterowania atakiem. Raport iDefence, na podstawie zebranych danych, wskazuje chiński rząd jako zleceniodawcę ataku. W raporcie znajdziemy także informację, że crackerzy wykorzystali w ataku m.in. z dziury w Adobe Readerze. Z tą opinią zgadza się Mikko Hyppönen z F-Secure, a Kurtz z McAfee zaprzecza tym doniesieniom, mówiąc, że podczas badania ataku nie natkneli się oni na żaden ślad 0day’a w Adobe Readerze…

Operacja Aurora

McAfee nadał atakowi kryptonim “Aurora“, ponieważ taką nazwę znalazła w badanym złośliwym oprogramowaniu. SecurityFocus z kolei zauważa, że słowo “Aurora” już raz wystąpiło jako kryptonim operacji związanej z cyberprzestępczością. W 2007 tak nazywał się test sprawdzający podatność systemów elektrowni w U.S.A.

Lista firm, które ucierpiały w ataku

Washington Post dotarł do szerszej listy firm, które również zaatakowano. W nawiasie wypowiedzi rzeczników poszczególnych firm dotyczące ataku:

  • Google (declined to provide details on what exactly the attackers took and whether it included any information about super-secret search engine technology that drives the company’s profits)
  • Adobe (no evidence to indicate that any sensitive information has been compromised),
  • Yahoo (no comment),
  • Symantec (we are providing appropriate protection to our customers),
  • Northrop Grumman (no comment),
  • Dow Chemical (no reason to believe that the safety, security and intellectual property of our operations are in jeopardy)

Do ataku na swoją sieć przyznał się także Juniper Systems, nie zdradzając jednak szczegółów (as with any investigation of this nature, Juniper does not disclose details).

Dlaczego Google twierdzi, że crackerzy wykradli tylko “tematy” e-maili?

Skoro włamywaczom udało się przełamać zabezpieczenia i dostać na prywatne komputery pracowników Google, to dlaczego nie wyciągnęli większej ilości dancych, niż tylko tematy i daty wiadomości e-mail? Jak podaje Macworld, chodzi najprawdopodobniej o to, że włamywacze uzyskali za sprawą swojego backdoora dostęp do specjalnego, niepublicznego interface’u, jaki Google udostępnia służbom bezpieczeństwa m.in. z U.S.A. Interface limituje dostęp do treści e-maila, ale zgodnie z amerykańskim prawem nie poddaje restrykcji takich danych, które uważa się za “bardziej” jawne (widoczne na kopercie). W przypadku przesyłania e-maila chodzi m.in. o adresy i temat.

MacWorld dodaje również, że Google uzyskało informację o 30 innych firmach, które zostały zaatakowane z serwera, na który chińscy crackerzy przesyłali wykradane dane.

Google dalej cenzuruje wyniki w Chinach

Czasem mam wrażenie, że sporo osób nie potrafi czytać ze zrozumieniem. Sporo tekstów napisanych na podstawie pierwszego oświadczenia Google twierdziło, że firma ta już przestała cenzurować wyniki wyszukiwania, podczas gdy Google pisało wyłącznie o takim zamiarze i rozmowach z chińskim rządem, które mają w przyszłości ten zamiar uczynić rzeczywistością …albo śmiercią firmy w Chinach.

Blogoscoped wprost zapytał Google, czy przestali już cenzurować wyniki i otrzymał następującą informację:

we are continuing to operate Google.cn in compliance with Chinese law. Over the next few weeks we will be discussing with the Chinese government the basis on which we could operate an unfiltered search engine within the law, if at all

A więc Google dalej cenzuruje wyniki swojej wyszukiwarki w Chinach. Mam nadzieję, że to rozwiewa wątpliwości niektórych z naszych czytelników i kilku polskich dziennikarzy oraz blogerów, troche przedwcześnie chwalących Google za zdjęcie cenzury ;)

Podsumowanie

Atak, którego celem stało się Google, pod kątem technicznym niczym szczególnie nowym czy zaawansowanym. Od dawna wykorzystuje się 0day’e. Od dawna wykorzystuje się social engineering nakłaniający do kliknięcia w linki. Trojany, phishing czy drive-by-download to nie są nowe rzeczy! Technika i możliwości przeprowadzenia takiego ataku od dawna czekały na pierwszego chętnego… i założę się, że atak na Google to nie pierwszy przykład takiego zgrabnego połączenia dostępnych crackerom technik. Jest to jednak na pewno największe skoordynowane włamanie, do którego przynajmniej jedna firma zdecydowała się przyznać publicznie (brawo Google!). Zastanawiam się, czy gdyby Google przemilczało sprawę, to którakolwiek z 30 innych firm wspomniałaby o tym incydencie…?

fot. PAP

Trochę irytuje mnie natomiast sposób, w jaki Google poinformowało o całej sprawie. Brak technicznych szczegółów i używanie ogólnikowych zwrotów “a highly sophisticated and targeted attack”, “our corporate infrastructure”, “theft of intellectual property” prezentuje w moim odczuciu postawę “wiem, ale nie powiem”. Dlaczego Google nie ujawniło szczegółów dotyczących ataku? Inne firmy (McAfee, iDefence, Adobe, Microsoft) wyraziły się bardziej technicznie… Jeśli decydujemy się na powiedzenie A, powiedzmy też B!

Podobnie Google postąpiło z cenzurowaniem, stawiając ultimatum Chinom: albo nie cenzurujemy już wyników albo zwijamy oddział. Ale cenzury Google jeszcze nie zniosło i dopiero zamierza prowadzić rozmowy na ten temat. Wiele osób może odnieść wrażenie, że post Google’a był pewnego rodzaju wołaniem o wsparcie (“chcemy walczyć o wolność słowa w Chinach, pomóżcie nam, zróbmy szum w mediach”). Niepotrzebnie, moim zdaniem, bo Google w tej sprawie i tak ma za sobą zdecydowaną większość internautów.

No cóż, może to po prostu tylko ja nie mogę oprzeć się wrażeniu, że korzystając z włamania, Google chce choć trochę poprawić swój image z “Google, które staje się drugim Microsoftem, bo inwigilacja i cenzura” na “Google, które może było trochę złe, ale przemyślało sprawę i już nie będzie złe”. Życzę im tego z całego serca i jak to ktoś dowcipnie podsumował, “cieszę się, że to właśnie taka firma czyta moją pocztę” ;-)

Aktualizacja 12.04.2010
Warto przeczytać o analizie kodu exploita i o tym, co w nim znaleziono.

Przeczytaj także:



49 komentarzy

Dodaj komentarz
  1. Głowy nie dam, ale kiedy kilka dni temu pierwszy raz przeczytałem o zdjęciu cenzury dość odruchowo wklepałem google.cn i w grafice wyszukałem “tiananmen”. Dzisiaj zdjęcia są z całą pewnością kolorowe i po prostu śliczne, ale na 90% widziałem wtedy słynne dziś zdjęcia prawdziwego chińskiego hardkora i czterech czołgów.

    • I jesteście pewni, że wpisaliście “tiananmen” poprawnie? :)

  2. Sebastian > tak masz rację też wtedy na google.cn widziałem czołgi na placu teraz już jest bardziej kolorowo “cenzurowo”

  3. @Sebastian, dokładnie — chyba jeszcze wczoraj wyświetlał się czołg. Teraz wyniki są ocenzurowane.

  4. @PK
    https://niebezpiecznik.pl/post/chiny-odpowiedzialy-na-zarzuty-google komentarz “BTM 2010.01.14 14:41” i linki w nim zawarte. Z nich korzystałem i jak wół widać zdjęcia (mogę zrobić prt scr, bo widzę je także i teraz (cache albo moze wlasnie odpowiednie zapytanie).

  5. Hmm, ciekawe dlaczego pracownicy Google (przynajmniej niektórzy) nie używają Chrom’a? :)

  6. Marcin: ok, ale tam szukacie “Tiananmen Massacre” a nie samego “Tiananmen”. Porównajcie sobie wyniki pomiędzy Tiananmenn na google.cn i na google.pl. Co do tego, ze przy zapytaniu Tiananmen Massacre costam gdziestam pobocznie widac i jakies nieocenzurowane zdjecie wpadnie, to bardziej obstawialbym, ze po prostu nie wszystko wyfiltrowano — zakladam, ze cenzura to staly proces i pewnie jesli ktos zglosi poszczegolne zdjecie, to i ono wyleci. Ergo, Google dalej cenzuruje Chiny.

  7. “A więc Google dalej cenzuruje wyniki swojej wyszukiwarki w Chinach. Mam nadzieję, że to rozwiewa wątpliwości niektórych z naszych czytelników i kilku polskich dziennikarzy oraz blogerów, troche przedwcześnie chwalących Google za zdjęcie cenzury ;)”

    “we are continuing to operate Google.cn in compliance with Chinese law”

    Tam na miejscu są zatrudnieni ludzie. Fajnie jest “stawiać się” chińskiej władzy, gdy się nie podlega jej jurysdykcji. Gdyby Google nagle przestało dotrzymywać warunków, na których działa w Chinach, zapewne ucierpieliby jego chińscy pracownicy.

  8. A ja proponuje przeczytać z czego słynie i co tworzy mało znana firma Northrop Grumman. Atak na google – pod względem siły rażenia danych – to przy tym pikuś :)

  9. @PK: Zgadza się, ale dalsze eksperymenty zrobiłem po puszczeniu komentarza :)

    Przy okazji. Wpisując “tiananmen” google.cn podpowiada nam “tiananmen square massacre in 1989” :) Ciekawe czy tak też było do tej pory…

  10. ciekawe, że Northrop Grumman również jest na liście – google, google a nikt nie pomyśli, że może to jest zasłona dymna?

  11. To w Google używają IE do pracy? Sądziłem, że gdzie jak gdzie, ale tam to mają więcej oleju w głowie.

  12. […] Aktualizacja 15.01.2010: – Pojawiły się nowe, szczegółowe informacje dotyczące tego jak doszło do włamania. Opisaliśmy je krok po kroku w tekście Techniczne szczegóły ataku na Google. […]

  13. […] (CVE-2010-0249). Jeśli ktoś ma ochotę poczytać na ten temat, może zrobić to na przykład tu: Techniczne szczegóły ataku na Google. Ja tylko jeszcze raz chciałem podkreślić, że napisanie absolutnie bezpiecznej przeglądarki […]

  14. Podobno pod Vistą/7 ta dziura w IE nie działa. Czy to prawda? Czy ktoś to może zweryfikować?

  15. Na chińskich googlach są jakieś zdjęcia ‘hardkora’, ale milion razy mniej, niż na polskich.
    http://img.mesjasz.net/tiananmen.png
    http://img.mesjasz.net/tiananmen_massacre.png

    Tak gadamy na Chińczyków, a niedługo w Polsce będzie tak samo. Nikogo nie zdziwi ‘Podana fraza – spieprzaj dziadu / p2p / kasyno / innezłerzeczy – nie została odnaleziona.’

  16. @Jurgi, używanie IE nie ma nic do posiadania rozsądku. IE niestety – dobrze integruje się z microsoftowymi aplikacjami (sharepoint, ms project itd itd), i jest dobrze zarządzalny przez AD.
    Dodatkowo developerzy googla, muszą – testować aplikacje swoje na niestety bardzo popularnej przeglądarce jaką jest IE.

  17. Podejrzewam, że wystarczyło, aby korzystali z klienta pocztowego, który do wyświetlania wiadomości używa slinika Internet Explorera.

  18. @Darek i @Jurgi
    A kto powiedział, że używają IE lub też nie używają Chrome?
    Przy tym ataku nie ma znaczenia jaka przeglądarka jest użytkowana.

    Dodatkowo każdy dobry webmaster ma zainstalowany zestaw najpopularniejszych przeglądarek, aby swoje wypociny testować pod względem kompatybilności.

  19. Szukane wyrażenie “en.wikipedia.org/wiki/Tiananmen_Square_protests_of_1989”.
    Dla google.cn wyników 0.
    Dla google.com wyników około 6910.

    :-(

  20. Jestem pewien, że pierwszego dnia w którym notka się pojawiła, wyniki w google.cn nie były cenzurowane. Poza tym notka z bloga google ewidentnie mówi o tym, że google zaprzestaje cenzury, pisząc nawet o tym, że to nie jest wina załogi google.cn, itp.

    • @Damian: Nie Damian, nie masz racji — notka nie mówiła “ewidentnie o tym ze google zaprzestaje cenzury”, ale że ma taki zamiar. Wspomniałem już raz o tym, że niektórzy chyba nie zrozumieli angielskiego… — Ty powinieneś, patrząc na Twój host…

  21. […] już wspominaliśmy w tekście opisującym techniczne szczegóły ataku na Google, chińcy crackerzy wykorzystali w ataku exploit na przeglądarkę Intenet Explorer. I mimo, że ich […]

  22. Ja tylko zwrócę uwagę na określenie kodu, który spowodował to zamieszanie – Aurora. Po więcej odwołuję do historii, która lubi się powtarzać. Wnioski, interpretacje niech każdy wyciągnie sobie sam.

  23. @Marti — testowanie własnych aplikacji pod IE, a używanie go do surfowania to jednak co innego.

  24. nieraz tak bywa , ze piraci są górą, ale wiec co zrobimy zabezpieczamy się

  25. […] mi się, że 2010 rok nie zaczął się dobrze dla Microsoftu. Najpierw największy skoordynowany atak w historii internetu umożliwiony dzięli 0day’owi w IE, teraz kolejny 0day, obecny w każdym […]

  26. […] załatał w Internet Explorerze błąd, za pomocą którego chińczykom udało się włamać do Google. Przy okazji na jaw wyszło, że o błędzie wiedział od prawie pół […]

  27. […] o czym my wiemy od dawna, a co do mainstreamowych mediów zaczęło docierać dopiero po ostatnim głośnym ataku na Google. Rządy każdego z państw mają swoich “zaufanych” cyberprzestępców, których […]

  28. […] przez redaktora Teraz My atak zapewne miał przypominać niedawny atak na Google. Tylko że atak na Google był “odrobinę” bardziej skomplikowany… ale OK, […]

  29. W tej chwili już nawet przy użyciu hasła “Tiananmen Massacre” google.cz nie pokazuje żadnego zdjęcia ‘hardkora’.

  30. […] dowcipnie dodaje “drżyjcie Chińscy decydenci”, odnosząc się do niedawnego ataku na Google i słów Erica Schmita, że jeśli “masz coś do ukrycia, może w ogóle nie powinieneś był […]

  31. […] technicznych szczegółach ataku na Google pisaliśmy w styczniu. Dziś dysponujemy nowszymi informacjami, które ujawniają co oprócz kilkunastu kont GMailowych […]

  32. […] Warto dodać, że Embargo na produkowany w Chinach sprzęt zostało nałożone w tydzień po cyberataku na jedną z indyjskich instytucji rządowych. Indyjska prasa twierdzi, że za atak pochodził z Chin. Przypomnijmy, że kilka tygodni temu Chiny zostały oskarżone o cyberataki przez Google. […]

  33. […] Tego typu wewnętrzne testy phishingowe są standardową praktyką podczas szkoleń Security Awareness, pomagających podnieść świadomość bezpieczeństwa wśród pracowników. Warto wspomnieć, że to właśnie za pomoca phishingu utorowano sobie drogę wewnętrznych systemów Google, podczas ostatniego ataku na tą firmę. […]

  34. […] na to, że Google wyciągnęło wnioski po atakach na firmę na początku roku, kiedy to najprawdopodobniej chińscy włamywacze uzyskali dostęp do […]

  35. […] do serwerowni oraz przede wszystkim użytkowników odpornych na nowy buzzword tego roku, czyli Advanced Persistent Threats :> 1100100 lat! Aha, mamy dla was […]

  36. A ja ciagle uważam,że to nie google był w centrum ataku…Aurora, Northrop Grumman to jest bardzo zastanawiajace… może tu jednak chodzilo o “black project ” Northrop Grumman,a google to była przykrywka żeby nie bylo afery w USA?.. Poprostu te wymienione slowa nie dają mi spokojnie myslec jedynie o google. Dodam,ze mam na mysli jeszcze TR3B oraz SR75…

  37. […] czyli atakami najprawdopodobniej Chińczyków na kilkanaście znanych, amerykańskich firm (m.in. Google). RSA z kolei konsekwentnie odmawia dalszych komentarzy, jednak w e-mailu do klientów RSA zawiera […]

  38. […] na to, że Google wyciągnęło wiele wniosków z udanego ataku na swoją infrastrukturę (por. Operacja Aurora — techniczne szczegóły ataku na Google). Firma udostępniła ciekawe narzędzie do obsługi incydentów […]

  39. […] bo wiadomo Chiny to silny stereotyp samych komputerowych włamywaczy. I w dodatku dużo ich i Google uciskali… Tak więc wyniki badań zespołu Skorobogatova dają spore pole do popisu dla miłośników […]

  40. […] włamanie do Google sprzed 2 lat? Okazuje się, że osoby, które za nim stoją ciągle, bez żadnych przeszkód […]

  41. […] w przeprowadzaniu ataków spear-phishing, czyli mocno spersonalizowanych prób phishingu. Ofiarą tego typu ataku Google już raz padło. Problem dotknął też RSA i kilku innych dużych firm — ale trzeba lojalnie podkreślić, […]

  42. […] bronią zastąpią handlarze exploitami? Już teraz można powiedzieć, że 0day jest równie skuteczny jak precyzyjnie wycelowany w serce wroga nabój. A mimo wszystko mniej […]

  43. […] Firma ujawniła wtedy, że włamywaczami są najprawdopodobniej Chińczycy, do ataku wykorzystano 0day’a na Internet Explorera oraz technikę spear phishing, a oprócz Google ofiarą działań włamywaczy padło jeszcze 30 innych dużych amerykańskich […]

  44. […] Symantec przygotował ciekawą anlizę działań hackerskiej grupy Hidden Lynx, która ma być bardziej “rozwinięta” niż znana z głośnych ataków grupa APT1/Comment Crew. Hidden Lynx korzysta z exploitów 0day, a za swój cel obrali sobie m.in. amerykańskich podwykonawców z sektora rządowego, w tym dostawców oprogramowania do tych firm, m.in. firmę Bit9,. Hidden Lynx korzystaki także z trojana używanego przez ludzi, którzy zaatakowali Google. […]

  45. […] ataków za którymi z dużą dozą prawdopodobieństwa stoją Chińczyc warto wspomnieć atak na Google i kilkanaście innych firm i włamanie do wojskowego kontraktora, Lockheed Martina, które było możliwe dzięki […]

  46. […] kontekście powyższego, bardzo interesujące jest to, co miało miejsce w trakcie operacji Aurora — ataków (rzekomo) Chińczyków na infrastrukturę m.in. Google. Pracownicy Google, po odkryciu, że wykradziono im dane i przeanalizowaniu gdzie atakujący je […]

  47. […] zespołami w NSA. Kasperksi zauważa, że jeden z trojanów korzystał z exploita pochodzącego z operacji Aurora, czyli ataku na Google z 2009. Za atakiem miały stać Chiny, a ich exploit korzystał z 0day’a. Według Kasperskiego, NSA […]

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: