Security By Default: gop

Finalmente "GOP" está materializando su amenaza. Ya han liberado hasta en cinco ocasiones decenas de gigas de información de Sony Pictures, Entre estos datos hay ficheros como por ejemplo "Apascal.ost" con un tamaño de 3.78Gb y que contiene el correo electrónico profesional y personal, hasta el 23 de Noviembre de 2014, de Amy Pascal, la Co-Chairman de SPE y Chairman de SPEMPG

Al poco tiempo de que Guardians of Peace efectuara la amenaza se filtraron varias películas en Internet, como "Fury", "Annie", "Mr Turner" y "Still Alice", algo que tampoco es tan anormal teniendo en cuenta que sus estrenos estaban próximos. Después de esto se han publicado en páginas de descargas directas ficheros internos de la compañía tal y como advirtieron.

La primera publicación se realizó el 1 de diciembre, mediante un anuncio en pastebin.com. Publicaron 26Gb con 33.000 ficheros que contienen datos personales de empleados, contraseñas en texto claro y salarios entre otras cosas.

Sony confirmó que los ficheros son auténticos.

La segunda ocasión fue dos días después, el 3 de diciembre, 1.18Gb de información y dos ficheros: "bonus.rar" y "list.rar", ambos con datos mucho más sensibles como certificados de servidores y unas quinientas contraseñas para administrar los sistemas y sus aplicaciones y bases de datos en texto claro.

Uno de los ficheros con contraseñas.

El día 4 de diciembre, se empieza a señalar (fuente re/code) como culpable a Corea del Norte, ya que Sony Pictures estrena una película: "The interview" que es considerada como terrorismo por el gobierno norcoreano. Esta noticia coincide con la alerta por el FBI de un malware que coincide con lo ocurrido en Sony.

La tercera publicación ocurre el 5 de diciembre con otro comunicado y más enlaces en pastebin. 22 ficheros y 100Gb de datos financieros como forecasts, cierres de año, presupuestos, contratos, incidentes...

Tercer comunicado en pastebin.

Ese mismo día, un investigador avisa por Twitter de que el FBI le ha ido a buscar a casa por descargarse el contenido publicado.

Toc-Toc

Mientras tanto Los Angeles Times publica una noticia sobre un correo que han recibido los empleados de SPE y que les solicita que se desvinculen de la compañía o ellos y sus familias estarán en peligro.

Bloomberg especula que la primera filtración se hizo desde un hotel en Tailandia.

Torrent servido desde Tailandia

El 8 de diciembre vuelven las filtraciones, la cuarta con 4 ficheros que suman 2.8Gb y otra comunicación distinta con un mensaje que menciona los motivos del ataque y la película "The Interview", aunque se desconoce si es o no real.

En esta última filtración se encuentran los ficheros de correo de Amy Pascal (Apascal1.ost) con más de 5.000 correos distintos y otro fichero aun desconocido (moskos.ost)

Actualmente se siguen analizando ficheros y el malware que se ha utlizado por las compañías antivirus, así que próximamente tendremos más información.

Aunque ya han pasado 3 años desde la guerra que mantuvo Sony con Geohot, Lulzsec y centenares de anonymous, parece que le siguen apareciendo cadáveres en los armarios. En este caso, uno realmente grande, ya que según informó "el amigo de un empleado" de la compañía, los trabajadores veían una imagen en pantalla con una terrible amenaza.

Mediante una nota en Reddit se da a conocer lo que parece una escandalosa intrusión en la compañía Sony Pictures Entertainment realizada por un grupo autodenominado #GOP o "Guardians of Peace" y en la que reclaman que se cumplan sus requisitos o publicarán sus secretos. Como prueba, publican dos ficheros, "list1.txt" y "list2.txt", con la información que han robado.

Aun no se conocen muchos más detalles, salvo que a los empleados se les ha solicitado apagar sus equipos, desactivar la wifi de sus móviles y, a algunos de ellos, volver a casa.

Si el listado de ficheros es real (y lo parece), Sony Pictures tendrá un problema muy muy serio, ya que contiene miles de archivos que, por el nombre, parecen muy comprometedores. Personalmente me parece imposible que esta cantidad de información vea la luz, si lo hace, seguro que supone el cierre de la compañía.

Imagen de #GOP

También se ha visto en Twitter alguna cuenta hackeada.

Cuenta de twitter comprometida

Como decía, en los listados de archivos hay cosas muy interesantes y ahora voy a poner unos cuantos ejemplos que me han llamado la atención. A tener en cuenta que en total hay más de 37.937.159 de ficheros y que muchos de ellos llevan el día, mes y el año en el título, por lo que parece que son realmente actuales, por ejemplo:

list2.txt:LBL_2014-11-27_LBL BLACK FRIDAY PROMO_v1.xlsb
list1.txt:Bill Backup 2014-11-01.xls
list1.txt:Closer - Icarus Prods tolling 2014-11-20.pdf

Como sé que os gustan los detalles y aquí no estamos para repetir lo que se lee en todas partes, vamos a ver un poco de sangre.

Sony y su preocupación por la piratería (pequeño ejemplo):

list1.txt:Netflix Is Killing BitTorrent in The US _ TorrentFreak.pdf
list1.txt:Torrent Spy Damages List.xls
list1.txt:Article- Hollywood Studios Fuming Over BitTorrent, Cinedigm 'Deal With the Devil'-TheWrap-4-24-13.doc
list1.txt:Article-File-Sharers Will Not Be Held Liable For Piracy, Russia Says-Torrentfreak-4-8-13.doc
list1.txt:Article- Operator of Germany's Torrent.to Gets Prison Sentence Amid Piracy Crackdown-THR-5-6-13.doc
list1.txt:Article-France Set To Dump 3 Strikes Anti-Piracy Law But Automated Fines Will Live On-TorrentFreak-5-14-13.doc
list1.txt:MASTER TORRENT STATS SHEET_021712.xlsx
list1.txt:extratorrent.021910.vs.doc
list1.txt:torrenthandler.040910.vs.doc
list1.txt:CONF-BitTorrentDistAgmt.doc
list1.txt:15_RE_ Sony Classics on torrent sites.pdf
list1.txt:TORRENT INCIDENT DEC 2011.docx
list1.txt:Training-bittorrent.ppt
list1.txt:DMCA 10.22.07 extratorrent - SPC.pdf
list1.txt:Korea torrent site action - Sony Pictures title list.xlsx
list1.txt:Torrentz titles - MS.xlsx
list1.txt:6.25.13 BitTorrent litigation MPA call notes.docx
list1.txt:DMCA 10.22.07 extratorrent - SPC.doc
list1.txt:TorrentIncident_121311_A.docx
list1.txt:BitTorrent Issues 07.17.06.doc
list1.txt:Sony-BitTorrent ODRL Distribution Agreement (OD2) HOLD ON THIS VERSION.doc
list1.txt:LokiTorrent Settlement Agr-02-08-05.pdf
list1.txt:BitTorrent ODRL Distribution Agreement (5.12.06).doc
list1.txt:The Pirate Bay - The galaxy's most resilient bittorrent site.pdf
list1.txt:CPII & TSP Verifications - TorrentSpy.pdf
list1.txt:TorrentSpy Stats Study (Sony Titles).xls
list1.txt:TorrentSpy Decl. - SPE 11.29.pdf
list1.txt:MTORRENTEMIP-TV.DOC
list1.txt:BitTorrent-Garfield-2-09-05.DOC
list1.txt:Torrentspy Pleadings.doc
list1.txt:Torrentspy Discovery.doc
list1.txt:TorrentSpy_Parker_POC_TriStar_012809.pdf
list1.txt:Bittorrent Blocking Meeting.pptx
list1.txt:Bittorrent-Emule Report -2012-02-21 thru 2012-02-27.pdf
list1.txt:Bittorrent Report - 2012-04-15 thru 2012-05-15.xlsx
list1.txt:torrentz 3.13 vs.doc
list1.txt:torrentreactor 7 15 vs.doc
list1.txt:torrentreactor net 11 19 vs.doc
list1.txt:02.06 torrentmatrix.vs.doc

Aunque como siempre... Luego pasa lo que pasa (una muestra de lo que hay):

list2.txt:vmware3_keygen.zip
list2.txt:keygen.exe
list2.txt:Final_Draft_7.0.0.40_Keygen.zip
list2.txt:Writers.Cafe.v1.20.WinALL.Incl.Keygen-ViRiLiTY.zip
list2.txt:Corel Draw X5 with Keygen.lnk
list2.txt:Keygen.exe

Unos cuantos de los centenares de ficheros de documentación compartida con SGAE:

list1.txt:Complete SGAE list from ACCESS Tables 20110624.xlsx
list1.txt:sgae-pc-mar09-sony.xlsx
list1.txt:SPAIN - SGAE.docx
list1.txt:Copy of sgae-bo-dec09-sony.xlsx
list1.txt:es-sgae-catalogue November 2010-sony.xlsx
list1.txt:SGAE Access query.docx
list1.txt:sgae-rl-jun10-sony-FINAL-sent 11-18-2010.xlsx

Documentos de seguridad (pequeña muestra):

list1.txt:IT Production Security Guidelines MPP v 1_32.docx

list1.txt:Susan Email - Fw_ Security Penetration Test - 11-17-06.pdf
list1.txt:Penetration Test I.pdf
list1.txt:Onapsis NDA for SAP Penetration Test 2-1-2012.pdf
list1.txt:Sony Pictures Physical Penetration Test.xls
list1.txt:Japan penetration testing SPE results.xls

list1.txt:DDoS 2010 notes.docx
list1.txt:DDoS 2010.docx
list1.txt:DDOSS_Audit_10112006.xls
list1.txt:Akamai Kona-DDOS Quote 10-23-2012.docx
list1.txt:Web Application Penetration Test.doc
list1.txt:Penetration Test Request Form- SISC.doc
list2.txt:SPE - SAP Penetration Testing - Technical.zip

list1.txt:Access Info for Web App Vuln Zip Files - from PenTester 4-26-2010.docx
list1.txt:IT Production Security Guidelines v 1_41 12 21 11.pdf
list1.txt:RSIG SECURITY - PO 1273.pdf
list1.txt:Weekly Audit and Security Log Review for Solaris - 1-5-07.pdf
list1.txt:Aaron Email - Network Security - Document Request - 9-25-06.pdf
list1.txt:Counterpoint - Data Protection  Information Security Rider 7-11-2013 (2).docx

list1.txt:VM - Bash_Exploit - CVE_2014_7169.xlsx
list1.txt:VM - Bash_Exploit - CVE_2014_7169 v1.xlsx
list1.txt:VM - Bash_Exploit - CVE_2014_7169 - Rajesh.xlsx
list1.txt:VM - Bash_Exploit - CVE_2014_7169 - Sept 30 Status.xlsx

list1.txt:cve-2014-0160 v2.xlsx

list1.txt:McAfee Internet Anti-virus.doc

list1.txt:McAfee AV Renewal.pdf

list2.txt:McAfeeHIP_ClientSetup.exe

list1.txt:SPE Corporate Firewall Interfaces - 7-7-06.pdf
list1.txt:EIS - GNS ExtranetFirewall_Policy-041508.doclist1.txt:CHG0047105  DBB WAN Firewall Rules_final (20120213).xlsx

Ejemplos de archivos de contraseñas:

list1.txt:Login and Passwords.xlsx
list1.txt:passwords.doc

list3.txt:GTS Intel Keepass Access Certification Review - 04232014.xlsx

list2.txt:DavidNelson.kdbx
list3.txt:GNS.kdbx
list1.txt:Copy of FY10 Salary Planning - password - manson08.xls
list1.txt:Digital User Name and passwords.xls
list1.txt:FTP passwords col.xls
list1.txt:FTP passwords phil.xls

list1.txt:DAAF Passwords.doc
list1.txt:UserNames&Passwords.xls
list1.txt:ResearchPasswords.xls
list1.txt:UserNames&Passwords.xls

list1.txt:ZetaMail Master Password List.doc
list1.txt:ZetaMail Master Password List.doc
list1.txt:Forgot password.doc
list1.txt:territoriespassword.xlsx
list1.txt:group password list.xls
list1.txt:2-Copper2.0_ChangePassword.ppt
list1.txt:Covenant MS pages passwords.doc
list1.txt:Username_Passwords_Intern.doc

list1.txt:PASSWORD PALABRA SECRETA NISSAN.xlsx

list1.txt:Online Passwords.xls

list1.txt:Passwords.xlsx
list1.txt:Passwords_110408.xls
list1.txt:Passwords.xls
list1.txt:Digital User Name and passwords.xls

list1.txt:PwC 2007 Report_PASSWORD_pwcemc60.pdf
list1.txt:FTP passwords malaysia.xls
list1.txt:FTP passwords thailand.xls
list1.txt:FTP passwords indonesia.xls
list1.txt:FTP passwords CTHE Hong Kong.xls
list1.txt:FTP passwords thailand pacific.xls

Hacking, como todo lo anterior, lista no completa:

list1.txt:psp hackers.xls
list1.txt:PlayStation Hacking Suit.docx
list1.txt:credit card hacking.doc
list1.txt:hacking_exposed_linux_3rd_edition.pdf
list1.txt:Hacking_The_Next_Generation.pdf

Documentación sobre el cifrado:

list1.txt:FY08 Budget DMI Asset Encryption v2.xls
list1.txt:FY10 GISP Encryption Strategy Budget.xls
list1.txt:Inventory-encryption SPE full.xls
list1.txt:Inventory-encryption SPE Other.xls
list1.txt:Inventory-encryption SPE HR.xls

list1.txt:080128 Laptop Encryption CBA.xls

list1.txt:McAfee_Encrypted_USB_1_1_User_Guide.pdf

list1.txt:IDM Responsible Party DRM - Email Encrypt - 7-Zip Inquiry.docx

list1.txt:081120 Laptop Encryption - PGP Technical Installation Guide v3.doc

list1.txt:Encrypted Satellite Rider - Italy.docx

list2.txt:reports_encrypted5254.zip
list2.txt:reports_encrypted3529.zip

Código fuente (solo en .class hay 204.000 ficheros)

list2.txt:Java2SecurityManager.class
list2.txt:SecurityBO.class
list2.txt:EncryptService.class
list2.txt:EncryptServiceImpl.class
list2.txt:StringToEncryptedStringMigrator.class
list2.txt:APEUserHasPassword.class
list2.txt:NewUserPasswordGenerator.class
list2.txt:ARBPasswordManagementVisibilityCondition.class

Contratos de confidencialidad (NDA), en las que por ejemplo sale el nombre de un periodista del mundo de los videojuegos. Espero que el contrato sea porque tiene los juegos antes de tiempo y no por el tipo de críticas :-)

list1.txt:Geoff Keighley Non Disclosure Agreement - SPT FINAL.pdf
list1.txt:Anne Cox release form non disclosure agreement.pdf
list1.txt:Karen Payne release form? non disclosure agreement.pdf
list1.txt:Geoff Payne release form? non disclosure agreement.pdf
list1.txt:Anne Cox release form? non disclosure agreement.pdf
list1.txt:Maura Gallagher release form? non disclosure agreement.pdf
list1.txt:Jay Tomlinson release form? non disclosure agreement.pdf

list1.txt:Non Disclosure Agreement B.Zamzow.pdf

Porno, como no podría ser der otra manera.

list2.txt:vanessahudgens_nude_03.jpg
list2.txt:vanessahudgens_nude.jpg
list2.txt:vanessahudgens_nude_04.jpg
list2.txt:Felicia Goldstein Susan Rudow Nudelman Elaine Trapasso .jpg
list2.txt:Felicia Goldstein Susan Rudow Nudelman Sandra Brauer Udasco Elaine Trapasso.jpg
list2.txt:big_pic_nude copy.jpg
list2.txt:big_pic_nude copy.jpg
list1.txt:Youporn Materials Release.pdf
list2.txt:30 MINUTES OR LESS SPIKE FINAL-PORN.mov
list2.txt:30min-SP-2-Porn 7-27.mov

Tambien es curioso ver cookies de usuario, lo que tal vez sirva a los investigadores para saber que PCs se han comprometido, aunque podría ser un simple backup:

list2.txt:amilano@www.espn.go[1].txt
list2.txt:esitaras@www.eshop.msn[2].txt
list2.txt:esitaras@www.eshop[1].txt
list2.txt:esitaras@www.essential-oil[1].txt
list2.txt:mccallahan@www.eslcafe[1].txt
list2.txt:mccallahan@www.eslemployment[1].txt

Podría continuar y continuar, el listado es para no terminar, SQLs, scripts, ficheros con la cadena "confidential", "private", claves privadas..., pero seguro que poco a poco otros blogs también muestran otras cosas.