Steeds meer goedgeïnformeerde mensen uit de IT-wereld en vooral de hackersgemeenschap noemen de claim dat Noord-Korea Sony Pictures hackte “lachwekkend”. Ondanks het feit dat de FBI en ook president Obama beweren dat het land achter de cyberaanval zit die de filmmaatschappij uiteindelijk noopte om The Interview, de film waarin Kim Jong Un belachelijk wordt gemaakt, niet uit te brengen, is daar geen greintje bewijs van. Waarom liegen ze? Wat dacht je van 861 miljard?
Het is een mooi verhaal en op zich een schitterend scenario voor een film die makkelijk uit de Hollywoodfabriek zou kunnen komen: stoute dictator is boos omdat er een film op de wereld gaat worden losgelaten die eens goed met hem lacht en waar hij zichzelf op absurde manier ziet in sterven. Dus doet hij beroep op zijn boosaardige leger van hackers om de filmmaatschappij ten gronde te richten. Hij laat de privégegevens van de werknemers stelen en vijf films die nog niet uitgebracht zijn. En als ze de film toch ergens laten zien, dan zal zijn hoog getraind en uiterst geheim leger terroristen dat door de jaren in de Westerse wereld is geïnfiltreerd, zonder genade toeslaan.
Een ander scenario
Hier is een ander scenario: een groepering hackers, opererend en gefinancierd binnen en door een structuur van georganiseerde misdaad, besluit een groot bedrijf te blackmailen. Het stuurt een bericht naar de top van dat bedrijf, waarin het een grote som geld eist, en als die niet wordt betaald, zal het bedrijf gehackt worden. Het bedrijf besluit hier niet op in te gaan. En wordt gehackt. Om te laten zien dat het menens is, gooien de hackers vijf onuitgebrachte films die ze konden stelen uit de database op het internet. Tegelijk sturen ze een nieuwe waarschuwing: betalen, of we doen dit:
“We have a plan to release emails and privacy of the Sony Pictures employees. If you don’t want your privacy to be released, tell us your name and business title to take off your data. The sooner SPE accept our demands, the better, of course. The farther time goes by, the worse state SPE will be put into and we will have Sony go bankrupt in the end.”
Ondertussen zijn er een aantal artikels verschenen die speculeren dat het misschien één van de films, The Interview, is die oorzaak van de hack is. Het is een twist die de hackers wel grappig vinden. Ze besluiten vanaf dan hun communicatie te ondertekenen met North-Korean Hacking Team.
Amy, die haar mails niet opent
Dat is meer dan genoeg bewijs blijkbaar om de hele wereld te doen geloven dat Noord-Korea achter de cyberaanval en hack zit. Voor alle duidelijkheid, scenario twee is hetgeen dat wellicht het dichtst de feiten benadert. Er waren, voor de aanval, verschillende mails naar Sony Pictures en dat zijn traditionele blackmail e-mails: betaal ons of we hacken. De hackers stuurden er zelfs eentje rechtstreeks naar de mailbox van Amy Pascal, de CEO van Sony Pictures, die, oh ironie, blijkbaar haar mails niet leest, want uit het eerste onderzoek van de FBI blijkt dat ze dat bericht niet opende.
10 december: “Geen enkele aanwijzing dat Noord-Korea …”
De conclusie van dat eerste onderzoek, op 10 december, bijna drie weken nadat Sony-execs een eerste keer waren bedreigd, is trouwens dat “er geen enkele aanwijzing of reden is om te denken dat Noord-Korea achter deze daad zit”.
Ondertussen had ook Mandiant, het bedrijf dat de internetbeveiliging doet voor Sony Pictures, en zich daar rijkelijk voor laat betalen, van zich laten horen. Het noemde de aanval “unprecedented” (zonder voorgaande), “undetectable” (onopspoorbaar) and “unparalleled” (nog nooit gezien). “The bottom line is that this was an unparalleled and well planned crime, carried out by an organized group, for which neither [Sony Pictures Entertainment] nor other companies could have been fully prepared”, luidde het. Toen onafhankelijk veiligheidsexperts dat lazen, vielen ze van hun stoel van het lachen.
Mandiant is interessant
Mandiant is interessant. Het is een bedrijf uit Virginia, en het werkt met een pak Amerikaanse overheidsinstanties, onder meer de NSA, die het al verschillende contracten gaf. Het is ook het bedrijf dat een ophefmakend rapport de wereld instuurde dat “voor eens en altijd bewijst” dat de Chinezen op georganiseerde manier systematisch Amerikaanse bedrijven hacken en bespioneren. Het impliceerde dat het Chinese leger daar achter zat, het rapport beweerde zelfs het gebouw te hebben gevonden van waaruit het allemaal gebeurde. Het werd breed uitgesmeerd in de media. Achteraf bleek het allemaal een broodje aap te zijn – een rapport met “critical analytic flaws”, iets wat uiteraard niet de grote media haalde.
Het huzarenstukje dat er geen was
Ook Mandiants verhaal over de zogezegde aanval van Noord-Korea op Sony Pictures zit vol gaten. De “undetectable malware” die de hackers hadden gebruikt is al een paar jaar in circulatie zeggen onafhankelijke veiligheidsexperten. Bovendien: zo’n huzarenstukje was het allemaal niet om het netwerk van Sony te kraken. Nogal wat werknemers, all the way to the top, bleken de paswoorden gewoon in Microsoft Word-files op digitale post-its op hun desktop te bewaren.
Niemand in de internetbeveiligingswereld snapt ook hoe de diefstal van de data – een immense hoeveelheid – onopgemerkt kon blijven. “Even if they couldn’t detect the malware, they should have detected the unusual activity. You don’t steal such a large amount of data without raising some red flags — the question is, was anyone watching. This wasn’t a smash-and-grab-type attack that was pulled off quickly, the attackers had clearly been at it for some time.”
Was anyone watching?
De key hier is: “was anyone watching”. Wellicht niet. Zowel Mandiant als Sony Pictures “fucked up”, daar zijn zowat alle independent security experts het over eens. De hackers, zo weten we nu, zaten wekenlang in het netwerk van Sony.
De tools die de hackers gebruikten zijn volgens Dan Tentler van AtenLabs “purchasable” en ze worden vooral gebruikt door hackers die door de georganiseerde misdaad worden gefinancierd. Vergeet dus de fantastische verhalen over een legertje Noord-Koreaanse hackers, opgeleid door Chinese en Russische experts, die vanuit een luxe-hotel op de meest ingenieuze manieren onze instanties en bedrijven aanvallen.
“Ze hebben één ISP voor het hele land”
Anonymous, het notoire hackerscollectief, moet gewoon lachen met de suggestie dat Noord-Korea achter de aanvallen zit. “Kijk gewoon even naar hun capaciteit. Ze hebben één ISP voor het hele land. That kind of information flowing at one time would have shut down North Korean internet completely.” Bovendien zou het perfect detecteerbaar geweest zijn, vertellen ook anderen.
Iemand van Sony zelf?
DEFCON-organisator en CloudFlare-researcher Marc Rodgers, een hacker met een reputatie overigens, heeft in een blog tien redenen gegeven waarom het zeker niet Noord-Korea is dat achter de hacks zit. Volgens hem is het allemaal nog simpeler, en zit er gewoon een ontevreden of ex-personeelslid van Sony achter. “It’s clear from the hard-coded paths and passwords in the malware that whoever wrote it had extensive knowledge of Sony’s internal architecture and access to key passwords”, zegt hij. Bovendien is er die ene mail, die Sony-werknemers die dat willen de kans geeft om te ontsnappen aan de hack. “Zoiets doet alleen een ex-collega die nog soft spots heeft voor de mensen op de werkvloer.”
Misschien is het een combinatie van twee: die (ex-)werknemer die werkt met de internetmaffia. Rodgers maakt ook brandhout van het nieuwe FBI-rapport, dat dus wel de schuld op Noord-Korea steekt. Dat rapport toont volgens hem “a fundamental misunderstanding of how the internet works and in particular how hackers operate.”
Bewijs dat er geen is
Hij wordt bijgetreden door Kim Zetter van Wired (“It appears to be an attempt at extortion, not an expression of political outrage or a threat of war”). Jake Goldsmith (prof Rechten aan Harvard en security expert) zegt: ““The “evidence” is of the most conclusory nature — it is really just unconfirmed statements by the United States Government”. Peter W. Singer, één van de meest vooraanstaande experts in de wereld wat betreft cybersecurity zegt dat het bewijs tegen Noord-Korea “puur contextueel is” en “nooit overeind zou blijven in een rechtzaal”.
Maar waarom liegen?
Dat het verhaal dat Noord-Korea Sony Pictures hackte niet klopt, lijkt duidelijk. Nu is de vraag uiteraard waarom zowel Sony Pictures, de FBI als het Witte Huis dat dan wel beweert. Voor Sony is het een verhaal van enerzijds z’n gezicht te redden – PR-gewijs is het beter gerold te zijn door een boosaardig regime in plaats van een ontevreden werknemer of een stel doordeweekse cybercriminelen. Het verdoezelt ook het feit dat de internetveiligheid van het bedrijf langs geen kanten deugde, wat mogelijk interessant kan zijn als er ooit rechtzaken komen.
De FBI? Eigenlijk mogen we daar niet verrast zijn. De FBI heeft een track-record van liegen, iets wat het achteraf, als het uitkomt, altijd verdedigt door te zeggen dat het nodig was voor de veiligheid van het land. We hebben het hier over een organisatie die nog niet zolang geleden haar agenten zich liet uitgeven voor journalisten van Associated Press om valse informatie de wereld in te sturen. Een organisatie die ook een brief stuurde naar Martin Luther King, waarin gewoon gesuggereerd werd dat die beter zelfmoord zou plegen want dat ze zijn seksleven eventjes in het openbaar zouden gooien, zoals de New York Times op 11 november nog onthulde.
De inzet voor Obama? 861 miljard
En Obama? Nou, we willen graag geloven dat hij anders is dan zijn voorganger, een voorganger die ook eventjes in de slag ging met journalisten om een verzonnen verhaal van chemische wapens in Irak te kunnen gebruiken om een oorlog te starten. Een verhaal, dat brachten we vorige week nog, dat nog steeds meer dan 30 procent van de mensen ook echt geloven.
Maar net vorige week tekende diezelfde Obama het defensiebudget af van de VS voor volgend jaar. 861 miljard. Dat lees je goed. 861 miljard. Of de VS draait er op minder dan een dag door wat België in een heel jaar spendeert. De Daily Beast noemde het “Obama’s kerstcadeau aan wapenmakers -en handelaars”. De trieste waarheid is dat je geen 861 miljard per jaar uitgeeft of kan uitgeven als politicus aan een oorlogsmachine als je geen of niet genoeg vijanden hebt.