Microsoft v. SVR. لماذا يجب أن يكون المصدر المفتوح هو القاعدة

Diego Germán González

6 دقيقة

مايكروسوفت مقابل SVR

كان من الممكن أن تكون رواية توم كلانسي من سلسلة NetForce ، لكن انه كتاب كتبه رئيس مايكروسوفت براد سميث تكريما له ولشركته. على أي حال ، إذا قرأ المرء بين السطور (على الأقل في مستخلص التي يمكن للبوابة الوصول إليها) ويفصل بين الربتات الذاتية على الظهر والعصي للمنافسين ، ما تبقى هو ممتع للغاية ومفيد. وفي رأيي المتواضع ، عينة من مزايا نموذج البرمجيات الحرة ومفتوحة المصدر.

الشخصيات

كل رواية تجسس تحتاج إلى "رجل شرير" وفي هذه الحالة ليس لدينا ما هو أقل من SVR ، إحدى المنظمات التي خلفت الكي جي بي بعد انهيار الاتحاد السوفيتي. يتعامل جهاز SVR مع جميع المهام الاستخبارية التي يتم تنفيذها خارج حدود الاتحاد الروسي. كانت "الضحية البريئة" هي شركة SolarWinds ، وهي شركة تطور برامج إدارة الشبكات.يتم استخدامه من قبل الشركات الكبيرة ومديري البنية التحتية الحيوية والوكالات الحكومية الأمريكية. بالطبع ، نحن بحاجة إلى بطل. في هذه الحالة ، وفقًا لأنفسهم ، فإن هذا هو قسم استخبارات التهديدات في Microsoft.

كيف يمكن أن يكون الأمر بخلاف ذلك ، في قصة المخترقين ، يكون لكل من "السيئ" و "الجيد" اسم مستعار. SVR هو الإيتريوم (الإيتريوم). في Microsoft ، يستخدمون العناصر الأقل شيوعًا في الجدول الدوري كاسم رمزي لمصادر التهديدات المحتملة. قسم استخبارات التهديدات هو MSTIC لاختصاره في اللغة الإنجليزية ، على الرغم من أنهم ينطقونه داخليًا بالصوفي (الصوفي) للتشابه الصوتي. فيما يلي ، للراحة ، سأستخدم هذه الشروط.

Microsoft v. SVR. الحقائق

في 30 نوفمبر 2020 ، اكتشفت FireEye ، إحدى شركات أمن الكمبيوتر الرائدة في الولايات المتحدة ، أنها تعرضت لخرق أمني في خوادمها الخاصة. نظرًا لأنهم لم يتمكنوا من حلها بأنفسهم (أنا آسف ، لكن لا يمكنني التوقف عن قول "منزل الحداد ، سكين خشبي") قرروا طلب المساعدة من متخصصي Microsoft. منذ أن كان MSTIC يسير على خطى Yttrium ، وكانوا على الفور يشتبهون في الروس ، وأكد التشخيص لاحقًا من قبل أجهزة المخابرات الأمريكية الرسمية.

مع مرور الأيام ، تبين أن الهجمات تستهدف شبكات الكمبيوتر الحساسة في جميع أنحاء العالم ، بما في ذلك شركة Microsoft نفسها. وبحسب تقارير صحفية ، فمن الواضح أن حكومة الولايات المتحدة كانت الهدف الرئيسي للهجوم ، مع وزارة الخزانة ووزارة الخارجية ووزارة التجارة ووزارة الطاقة وأجزاء من البنتاغون.وضم عشرات المنظمات المتضررة إلى قائمة الضحايا. وتشمل هذه الشركات التقنية الأخرى والمقاولين الحكوميين ومراكز الفكر والجامعة. لم تكن الهجمات موجهة فقط ضد الولايات المتحدة لأنها أثرت على كندا والمملكة المتحدة وبلجيكا وإسبانيا وإسرائيل والإمارات العربية المتحدة. في بعض الحالات ، استمرت عمليات الاختراق في الشبكة لعدة أشهر.

الأصل

بدأ كل شيء ببرنامج إدارة شبكة يسمى Orion وطورته شركة تسمى SolarWinds. مع أكثر من 38000 عميل من الشركات على مستوى عالٍ ، كان على المهاجمين فقط إدخال البرامج الضارة في التحديث.

بمجرد التثبيت ، يتم توصيل البرامج الضارة بما يُعرف تقنيًا بخادم الأوامر والتحكم (C2). خادم C2 الإلكترونيتمت برمجته لإعطاء مهام الكمبيوتر المتصل مثل القدرة على نقل الملفات وتنفيذ الأوامر وإعادة تشغيل الجهاز وتعطيل خدمات النظام. بمعنى آخر ، حصل عملاء Yttrium على وصول كامل إلى شبكة أولئك الذين قاموا بتثبيت تحديث برنامج Orion.

بعد ذلك ، سأقتبس فقرة حرفية من مقالة سميث

لم يستغرق الأمر وقتًا طويلاً حتى ندرك ذلك

أهمية العمل الجماعي الفني عبر الصناعة ومع الحكومة
من الولايات المتحدة. بدأ المهندسون من SolarWinds و FireEye و Microsoft العمل معًا على الفور. كان فريقا FireEye و Microsoft يعرفان بعضهما البعض جيدًا ، لكن SolarWinds كانت شركة أصغر تواجه أزمة كبيرة ، وكان على الفرق بناء الثقة بسرعة إذا أرادت أن تكون فعالة.
شارك مهندسو SolarWinds الكود المصدري لتحديثهم مع فرق الأمن في الشركتين الأخريين ،
والتي كشفت عن الكود المصدري للبرنامج الضار نفسه. سرعان ما انطلقت الفرق الفنية من الحكومة الأمريكية إلى العمل ، لا سيما في وكالة الأمن القومي (NSA) ووكالة الأمن السيبراني وأمن البنية التحتية (CISA) التابعة لوزارة الأمن الداخلي.

النقاط البارزة هي ملكي. هذا العمل الجماعي ومشاركة شفرة المصدر. ألا يبدو هذا شيئًا لك؟

بعد فتح الباب الخلفي ، كانت البرامج الضارة غير نشطة لمدة أسبوعين ، لتجنب إنشاء إدخالات سجل الشبكة التي من شأنها تنبيه المسؤولين. صخلال هذه الفترة ، أرسل معلومات حول الشبكة التي أصابت خادم القيادة والتحكم. التي استخدمها المهاجمون مع مزود استضافة GoDaddy.

إذا كان المحتوى مثيرًا للاهتمام لـ Yttrium ، دخل المهاجمون من الباب الخلفي وقاموا بتثبيت كود إضافي على الخادم المهاجم للاتصال بخادم القيادة والسيطرة الثاني. تم تسجيل هذا الخادم الثاني ، وهو فريد لكل ضحية للمساعدة في تجنب الاكتشاف ، واستضافته في مركز بيانات ثانٍ ، غالبًا في سحابة Amazon Web Services (AWS).

Microsoft v. SVR. الروح المعنوية

إذا كنت مهتمًا بمعرفة كيف قدم أبطالنا لأشرارهم ما يستحقونه ، في الفقرات الأولى لديك روابط بالمصادر. سأنتقل مباشرة إلى سبب الكتابة عن هذا في مدونة Linux. توضح مواجهة Microsoft مع SVR أهمية توفر الشفرة للتحليل ، وأن المعرفة جماعية.

صحيح ، كما ذكرني اختصاصي مرموق في أمن الكمبيوتر هذا الصباح ، أنه من غير المجدي أن يكون الكود مفتوحًا إذا لم يتحمل أحد عناء تحليله. هناك قضية Heartbleed لإثبات ذلك. لكن دعنا نلخص. اشترك 38000 عميل متطور في البرامج الاحتكارية. قام العديد منهم بتثبيت تحديث للبرامج الضارة كشف عن معلومات حساسة ومنح السيطرة على العناصر المعادية للبنية التحتية الحيوية. الشركة المسؤولة لقد جعل الكود متاحًا للمتخصصين فقط عندما كان الماء حول رقبته. إذا كانت هناك حاجة لبائعي البرامج للبنية التحتية الهامة والعملاء الحساسين إصدار برنامجك بتراخيص مفتوحة ، نظرًا لوجود مدقق رمز مقيم (أو وكالة خارجية تعمل لعدة أشخاص) ، فإن مخاطر الهجمات مثل SolarWinds ستكون أقل بكثير.


اترك تعليقك

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها ب *

*

*

  1. المسؤول عن البيانات: AB Internet Networks 2008 SL
  2. الغرض من البيانات: التحكم في الرسائل الاقتحامية ، وإدارة التعليقات.
  3. الشرعية: موافقتك
  4. توصيل البيانات: لن يتم إرسال البيانات إلى أطراف ثالثة إلا بموجب التزام قانوني.
  5. تخزين البيانات: قاعدة البيانات التي تستضيفها شركة Occentus Networks (الاتحاد الأوروبي)
  6. الحقوق: يمكنك في أي وقت تقييد معلوماتك واستعادتها وحذفها.

  1.   صورة Diego Vallejo قال
    منذ سنوات 3

    منذ وقت ليس ببعيد ، اتهم M $ كل من يستخدم البرمجيات المجانية للشيوعيين ، كما في أسوأ مكارثية.

    الرد على Diego Vallejo