Криптографы не верят в причастность Северной Кореи к хакерской атаке на Sony

Теперь, когда скандальную комедию The Interview от студии Sony можно посмотреть онлайн с помощью Google Play и других сервисов, многие отмечают это как жест неповиновения по отношению к Северной Корее и угрозе диктатуры. Якобы причиной взлома Sony ранее в этом месяце послужили политические амбиции Ким Чен Ына. Но можно ли утверждать наверняка, что Северная Корея была организатором этой атаки? Ряд видных аналитиков по безопасности в этом не уверены. Споров о фактическом виновнике после обнародования взломанных электронных писем от Sony была масса — пока ФБР не сказала, что существуют убедительные доказательства того , что Северная Корея участвовала во взломе.  Но эксперты по безопасности, такие как знаменитый криптограф  Брюс Шнайер и Марк Роджерс — аналитик по вопросам безопасности сети доставки контента Cloudflare — говорят, что они не видят убедительности в доказательствах ФБР, причем сразу по нескольким пунктам. Вот они: Повторное использование подобного кода: по словам ФБР, одна из причин, почему ко взлому считают причастной Северную Корею — это использование фрагментов кода , которые были использованы в других кибер-атаках или попытках взлома, в которых было доказано участие этой страны.
«Технический анализ вредоносных программ, используемых в этой атаке показал ссылки на другие вредоносные программы, которые  по данным ФБР ранее разработаны северокорейскими специалистами. Например, существует наличие общих черт в конкретных строках кода, алгоритмах шифрования, методах удаления данных и взломе сетей», — сообщило ФБР.
Но Роджерс говорит, что это на самом деле не доказательство — код о котором говорит ФБР, по его мнению известен как Shamoon, он утек в Сеть и широко распространился — и теперь доступен для любого киберпреступника. Поэтому он не может однозначно связать взлом Sony с Северной Кореей. Шнайер, между тем, заявил, что повторное использование кода на самом деле довольно веский аргумент в пользу того, что это НЕ работа правительства Северной Кореи — хотя северокорейский режим мог активизироваться позже , чтобы воспользоваться взломом для целей пиара.

Использование известных IP адресов: другой основной элемент доказательств ФБР  в причастности Северной Кореи — тот факт, что некоторые конкретные IP-адреса или домены были «жестко зашиты» в программном обеспечении, используемом в хакерской атаке. И эти адреса были использованы в предыдущих атаках, проведенных Северной Кореей. Но Роджерс считает такое заявление наивным. Только от того, что система с определенными IP-адресами использовалась для кибер-преступления, это не означает, что она всегда будет ассоциироваться с преступлениями, говорит он . Многие IP-адреса являются динамическими, то есть они являются частью пула, откуда интернет-провайдеры берут их и назначают в случайном порядке (больше технических деталей — здесь ). Связи с фильмом: Роджерс и Шнайер, как и остальные, отметили, что связь между фильмом Интервью и самой хакерской атакой была сделано только ПОСЛЕ того, как электронные письма сотрудников Sony были опубликованы — и теория в основном развивалась в средствах массовой информации — сам фильм не был упомянут хакерами в их общении с Sony до тех пор, пока это не стало медиа-историей. Оба аналитики полагают, что хакеры, возможно, обыграли эту «связь» для «лулзов». Роджерс отмечает, что использование паролей и других функций безопасности предполагает участие как минимум одного сотрудника Sony — настоящего или бывшего -так как взлом основывался на отличном знании внутренних систем и процедур компании.  Шнайер, Роджерс и ряд других экспертов также отметили, что ФБР безусловно может иметь секретную информацию, которую бюро не может обнародовать, чтобы окончательно связать Северную Корею со взломом. Но они также указывают на то, что правительство США в свое время утверждало о существовании доказательств наличия у иракского диктатора Саддама Хусейна «оружия массового уничтожения», что оказалось неправдой. Ссылка на источник