2010年4月26日月曜日

グーグル Gaiaに侵入される

グーグルがガイアに侵入されたようだ。
 12月にGoogleに対して仕掛けられたサイバー攻撃で、世界中のユーザー
がGoogleのWebサービスにアクセスするために使っているパスワード
システムに侵入があった。NYTが、この件の調査を直接知る人物の発言と
して伝えている。

シングルサインオンシステムのコードネームは「Gaia」。
Gaia侵入により、攻撃者がGoogleも知らない弱点を見つけた可能性が低い
ながらも出てきたと言う。

侵入者は、Gaiaに侵入して、複数のサービスにウィルスを仕込むことが
できた可能性があると言う。

疑いのある会社は24社以上。
ある会社に関しては、侵入の証拠をたどると2年前から見つかった。
Gaiaのソースコードを見つけるために、高度な技術を使用した
(ハッシュコードにアクセス?)と言う。
盗まれたソースコードをWeb-hosting会社のRackspaceに保存。
Momaに成りすまして、従業員情報を取得した可能性もあるとのこと。

Gaia侵入と、中国からのGmailアカウント攻撃が、現在の資料だけでは、
関連したものかどうかは不明。
Momaに成りすまして、Gmailパスワードを不正に取得しようとしたので
あれば、理解できる。

グーグルのソフトウェア開発に携わった会社が、経費削減で、中国の
会社に委託し、開発したソフトウェアの一部が故意または偶発的に
バックドアとなって、侵入口を解放。そこから、Gaiaのソースコード
を盗み、Gaiaの関係者を探し出して接触。取り込んで、利用したと
言うのが、日本の船舶関係の開発会社、英国の航空関係の開発会社や
アリコ等で発生したと思われる似た手法。
欧米の場合は、セキュリティホールを狙い、短期間で実行することが
多いから、特殊な場合を除いて、2年も時間をかけることは少ないと
思う。現実はもっと巧妙だと思う。

グーグル攻撃 軍関係校が発信か
アリコ 窃盗犯起訴せず売却へ
F35 設計情報流出

---基幹システムも被害か グーグルへのサイバー攻撃---
2010.4.20 18:47
http://sankei.jp.msn.com/world/china/100420/chn1004201848008-n1.htm

 米紙ニューヨーク・タイムズ(電子版)は19日、インターネット検索大手グーグルの利用者のパスワードを管理する基幹システムが昨年12月に攻撃され、被害を受けていたと報じた。同社は今年1月、中国政府の関与が疑われるサイバー攻撃を昨年12月に受けたと発表している。
 同社は提供している電子メールサービス「Gメール」のパスワードについては盗まれるなどの被害は受けていないと説明してきた。被害の詳細は不明だが、攻撃が事実とすれば、予想以上に深刻な内容だった可能性がある。
 グーグルは同紙へのコメントを拒否している。
 同紙によると、攻撃は約2日間行われ、パスワードを管理する「ガイア」というソフトが外部から侵入を受けた。即座に防御措置が施されたが、グーグルも気付いていないシステム上の弱点をハッカーが見破った可能性は否定できないという。(共同)


---「Googleへのサイバー攻撃、パスワードシステムに侵入」の報道---
2010年04月20日 17時27分 更新 [ニューヨーク 20日 ロイター]
http://www.itmedia.co.jp/enterprise/articles/1004/20/news065.html

 12月にGoogleを襲ったサイバー攻撃で、攻撃者はGoogleの「シングルサインオン」システムに侵入したと報じられている。(ロイター)
 12月にGoogleに対して仕掛けられたサイバー攻撃で、世界中のユーザーがGoogleのWebサービスにアクセスするために使っているパスワードシステムに侵入があった。New York Times(NYT)が、この件の調査を直接知る人物の発言として伝えている。
 このシステムは、ユーザーがパスワードで1度ログインするだけで、電子メールやビジネスアプリケーションなど各種サービスを利用できるというもの。固く守られたこのシステムをGoogleは重要と考えていると、NYTは4月20日版で報じている。
 このシステムは「Gaia」(ギリシャ神話の大地の女神の名前)というコードネームで、今も「シングルサインオン」という名前で使われている。 Googleがこのシステムについて公の場で説明したのは、4年前の技術カンファレンスで一度きりだという。
 侵入者はGmailユーザーのパスワードを盗まなかったようだ。Googleはすぐにセキュリティを強化したとNYTは報じている。
 だが同紙によると、この侵入により、攻撃者がGoogleも知らない弱点を見つけた可能性が低いながらも出てきたと、独立系のコンピュータ専門家は語っている。
 Googleは1月12日にサイバー攻撃を受けたことを明らかにし、自社のWebサイトで「当社の企業インフラに中国から非常に高度なターゲット型攻撃を受け、知的財産を盗まれた」のを検出した」と報告した。
 同社は、攻撃は中国の人権活動家を標的としたもののようだとし、不正アクセスがあったのは2件のGmailアカウントだけのようだと説明している。
 「最初にブログで公表したこと以上のコメントはしない」とGoogleの広報担当ジェイ・ナンカロウ氏は4月19日夜に語った。「この問題についての声明は変わっていない」
 Googleはサーバー攻撃を公表した際に、中国語版サイトGoogle.cnでの検索結果の検閲をやめることを表明した。
 同社は3月にGoogle.cn を閉鎖し、検閲のない香港版のサイトにユーザーを転送し始めた。この決定は、中米間の緊張が高まる中で下された。


---Cyberattack on Google Said to Hit Password System---
By JOHN MARKOFF
Published: April 19, 2010
http://www.nytimes.com/2010/04/20/technology/20google.html?src=busln

Ever since Google disclosed in January that Internet intruders had stolen information from its computers, the exact nature and extent of the theft has been a closely guarded company secret. But a person with direct knowledge of the investigation now says that the losses included one of Google’s crown jewels, a password system that controls access by millions of users worldwide to almost all of the company’s Web services, including e-mail and business applications.

The program, code named Gaia for the Greek goddess of the earth, was attacked in a lightning raid taking less than two days last December, the person said. Described publicly only once at a technical conference four years ago, the software is intended to enable users and employees to sign in with their password just once to operate a range of services.

The intruders do not appear to have stolen passwords of Gmail users, and the company quickly started making significant changes to the security of its networks after the intrusions. But the theft leaves open the possibility, however faint, that the intruders may find weaknesses that Google might not even be aware of, independent computer experts said.

The new details seem likely to increase the debate about the security and privacy of vast computing systems such as Google’s that now centralize the personal information of millions of individuals and businesses. Because vast amounts of digital information are stored in a cluster of computers, popularly referred to as “cloud” computing, a single breach can lead to disastrous losses.

The theft began with an instant message sent to a Google employee in China who was using Microsoft’s Messenger program, according to the person with knowledge of the internal inquiry, who spoke on the condition that he not be identified.

By clicking on a link and connecting to a “poisoned” Web site, the employee inadvertently permitted the intruders to gain access to his (or her) personal computer and then to the computers of a critical group of software developers at Google’s headquarters in Mountain View, Calif. Ultimately, the intruders were able to gain control of a software repository used by the development team.

The details surrounding the theft of the software have been a closely guarded secret by the company. Google first publicly disclosed the theft in a Jan. 12 posting on the company’s Web site, which stated that the company was changing its policy toward China in the wake of the theft of unidentified “intellectual property” and the apparent compromise of the e-mail accounts of two human rights advocates in China.

The accusations became a significant source of tension between the United States and China, leading Secretary of State Hillary Rodham Clinton to urge China to conduct a “transparent” inquiry into the attack. In March, after difficult discussions with the Chinese government, Google said it would move its mainland Chinese-language Web site and begin rerouting search queries to its Hong Kong-based site.

Company executives on Monday declined to comment about the new details of the case, saying they had dealt with the security issues raised by the theft of the company’s intellectual property in their initial statement in January.

Google executives have also said privately that the company had been far more transparent about the intrusions than any of the more than two dozen other companies that were compromised, the vast majority of which have not acknowledged the attacks.

Google continues to use the Gaia system, now known as Single Sign-On. Hours after announcing the intrusions, Google said it would activate a new layer of encryption for Gmail service. The company also tightened the security of its data centers and further secured the communications links between its services and the computers of its users.

Several technical experts said that because Google had quickly learned of the theft of the software, it was unclear what the consequences of the theft had been. One of the most alarming possibilities is that the attackers might have intended to insert a Trojan horse - a secret back door - into the Gaia program and install it in dozens of Google’s global data centers to establish clandestine entry points. But the independent security specialists emphasized that such an undertaking would have been remarkably difficult, particularly because Google’s security specialists had been alerted to the theft of the program.

However, having access to the original programmer’s instructions, or source code, could also provide technically skilled hackers with knowledge about subtle security vulnerabilities in the Gaia code that may have eluded Google’s engineers.

“If you can get to the software repository where the bugs are housed before they are patched, that’s the pot of gold at the end of the rainbow,” said George Kurtz, chief technology officer for McAfee Inc., a software security company that was one of the companies that analyzed the illicit software used in the intrusions at Google and at other companies last year.

Rodney Joffe, a vice president at Neustar, a developer of Internet infrastructure services, said, “It’s obviously a real issue if you can understand how the system works.” Understanding the algorithms on which the software is based might be of great value to an attacker looking for weak points in the system, he said.

When Google first announced the thefts, the company said it had evidence that the intrusions had come from China. The attacks have been traced to computers at two campuses in China, but investigators acknowledge that the true origin may have been concealed, a quintessential problem of cyberattacks.

Several people involved in the investigation of break-ins at more than two dozen other technology firms said that while there were similarities between the attacks on the companies, there were also significant differences, like the use of different types of software in intrusions. At one high-profile Silicon Valley company, investigators found evidence of intrusions going back more than two years, according to the person involved in Google’s inquiry.

In Google’s case, the intruders seemed to have precise intelligence about the names of the Gaia software developers, and they first tried to access their work computers and then used a set of sophisticated techniques to gain access to the repositories where the source code for the program was stored.

They then transferred the stolen software to computers owned by Rackspace, a Texas company that offers Web-hosting services, which had no knowledge of the transaction. It is not known where the software was sent from there. The intruders had access to an internal Google corporate directory known as Moma, which holds information about the work activities of each Google employee, and they may have used it to find specific employees.

0 コメント: