Il est difficile de prouver un négatif.
Alors, comment prouver un positif? Dans ce cas: comment prouver une attaque de l'extérieur? En règle générale, plusieurs systèmes sont en place pour surveiller différentes formes d'attaques, de violations ou d'accès. Il peut s'agir de pare-feu, de systèmes de détection d'intrusion, de SIEM et de divers systèmes de surveillance et de journalisation. Dans les réseaux actuels, chaque composant dispose d'une forme de surveillance ou permet une surveillance via des outils tiers tels que Check_MK.
Ainsi, chaque étape du processus - de la frontière du réseau d'entreprise à la machine qui contenait les informations précieuses elle-même - est sous une forme ou une autre surveillée. Ces journaux sont, en fonction du réseau et des politiques de l'entreprise, régulièrement analysés. Les systèmes d'analyse peuvent faire la distinction entre le trafic ou le comportement attendu et inattendu. Le comportement non / attendu est par exemple l'accès aux fichiers.
Les fichiers journaux internes sont généralement considérés comme des données confidentielles, donc l'accès aux fichiers est probablement également surveillé. Si quelqu'un qui ne fait pas partie d'un certain groupe d'utilisateurs essaie de copier / accéder à un fichier journal interne, cela aurait probablement été consigné comme un comportement inattendu ou même interdit. Si un éventuel adversaire était capable de se faire passer pour quelqu'un avec les droits d'accès à ce fichier, il aurait également été enregistré, mais en tant que comportement attendu.
En théorie, il est possible qu'un attaquant soit capable de surmonter tous les contrôles de sécurité, exploiter les vulnérabilités 0day, ne laisser aucune trace dans chaque journal sur chaque composant, l'IDS, le SIEM et ainsi de suite, copier le fichier journal interne et le faire passer en contrebande à l'extérieur, mais c'est très peu probable.
Je suppose , qu'après la découverte du fichier journal, tous ces journaux ont été soigneusement analysés pour essayer de prouver s'il y avait eu une attaque de l'extérieur. Les analystes n'ont trouvé aucune donnée suspecte et ont donc conclu que avec une certitude quasi absolue il n'y avait pas eu d'attaque de l'extérieur. Et c'est en fait ce que vous voyez dans le communiqué de presse de Twitter (voir le commentaire de Florin Coada). Encore une fois, je suppose: le communiqué de presse de GitHub avait un langage plus strict pour arrêter les spéculations si il y avait un hack. (Cela n'a pas vraiment fonctionné.;)
Bien sûr, il est également possible que Twitter et GitHub n'aient pas de tels contrôles de sécurité en place, mais j'espère vraiment que non.