Microsoft contra l'SVR. Per què el codi obert hauria de ser la norma

Diego Germán González

6 minuts

Microsoft contra l'SVR

Podria haver estat una novel·la de Tom Clancy de la sèrie NetForce, però és un llibre escrit pel president de Microsoft Brad Smith en homenatge a si mateix ia la seva empresa. De tota manera, si un llegeix entre línies (al menys en l'extracte a què va tenir accés un portal) i separa les acte copets a l'esquena i els pals als competidors, el que queda és molt interessant i instructiu. I, en la meva humil opinió, una mostra dels avantatges d'el model de programari lliure i de codi obert.

els personatges

Tota novel·la d'espionatge, necessita un «dolent» i, en aquest cas tenim ni més ni menys que a l'SVR, una de les organitzacions que van succeir a l'KGB després de el col·lapse de la URSS. El SVR s'ocupa de totes les tasques d'intel·ligència desenvolupades fora de la frontera de la Federació Russa. La «víctima innocent» va ser SolarWinds, empresa que desenvolupa un programari per a administració de redes utilitzat per grans empreses, administradors d'infraestructures crítiques i agències de govern nord-americà. Per descomptat, necessitem un heroi. En aquest cas, segons ells mateixos, és el Departament d'Intel·ligència de Amenaces de Microsoft.

Com no podia ser d'altra manera, en una història de hackers, el «dolent» i el «bo» tenen un àlies. L'SVR és Yttrium (Itri). A Microsoft utilitzen els elements menys comuns de la taula periòdica com a nom clau per als possibles orígens d'amenaces. El Departament d'Intel·ligència de Amenaces és MSTIC per les sigles en anglès, encara que internament ho pronuncien mystic (místic) per la similitud fonètica. D'ara endavant, per comoditat vaig a utilitzar aquests termes.

Microsoft contra SVR. els fets

El 30 de novembre de 2020 FireEye, una de les principals empreses de seguretat informàtica dels EUA, descobreix que havia patit una bretxa de seguretat en els seus propis servidors. Com eren incapaços de solucionar-per si mateixos (Ho sento, però no puc deixar de dir el de «a casa de ferrer, ganivet de pal») van decidir demanar ajuda als especialistes de Microsoft. Com des MSTIC venien seguint els passos de Yttrium, inseguida van sospitar dels russos, diagnòstic posteriorment confirmada pels serveis d'intel·ligència oficials d'USA.

Amb el córrer dels dies, es va comprovar que els atacs estaven dirigits a xarxes informàtiques sensibles a tot el món incloent a la mateixa Microsoft. D'acord a transcendits periodístics, el govern d'Estats Units era clarament el principal objectiu de l'atac, amb el Departament de el Tresor, el Departament d'Estat, el Departament de Comerç, el Departament d'Energia i parts de l'Pentàgon Per la seva banda, des de Redmond van agregar a la llista de víctimes dotzenes d'organitzacions afectades. Entre elles s'expliquen altres empreses tecnològiques, contractistes governamentals, grups de reflexió i una universitat. Els atacs no només es van dirigir contra els Estats Units ja que hi va haver afectats al Canadà, el Regne Unit, Bèlgica, Espanya, Israel i els Emirats Àrabs Units. En alguns dels casos, les penetracions a la xarxa es van perllongar durant diversos mesos.

l'origen

Tot va començar amb un programari de maneig de xarxes anomenat Orion i desenvolupat per una empresa anomenada SolarWinds. Amb més de 38000 clients corporatius d'alt nivell, els atacants només van haver de inserir un malware en una actualització.

Un cop instal·lat, el malware es connectava al que tècnicament es coneix com un servidor de comandament i control (C2). El servidor C2 istava programat per donar a l'ordinador connectat tasques com la capacitat de transferir arxius, executar comandaments, reiniciar una màquina i desactivar els serveis de sistema. En altres paraules els agents de Yttrium aconseguien un accés total a la xarxa dels que havien instal·lat l'actualització de el programa Orion.

A continuació els citaré un paràgraf textual de l'article de Smith

No triguem a adonar-nos

la importància de la feina tècnic en equip en tota la indústria i amb el govern
d'Estats Units. Els enginyers de SolarWinds, FireEye i Microsoft van començar a treballar junts immediatament. Els equips de FireEye i Microsoft es coneixien bé, però SolarWinds era una empresa més petita que s'enfrontava a una gran crisi, i els equips havien de crear confiança ràpidament si volien ser eficaços.
Els enginyers de SolarWinds van compartir el codi font de la seva actualització amb els equips de seguretat de les altres dues empreses,
el que va revelar el codi font de l'propi malware. Els equips tècnics de govern nord-americà van entrar ràpidament en acció, especialment en l'Agència de Seguretat Nacional (NSA) ia l'Agència de Ciberseguretat i Seguretat de les Infraestructures (CISA) de el Departament de Seguretat Nacional.

Els ressaltats són meus. Això de treball en equip i compartir el codi font ¿No els sona d'alguna cosa?

Després d'obrir la porta del darrere, el malware romania inactiu durant dues setmanes, per evitar crear entrades de registre de xarxa que alertessin als administradors. Prostit aquest lapse, enviava informació sobre la xarxa que havia infectat a un servidor de comandament i control que els atacants havien amb el proveïdor de hosting GoDaddy.

Si el contingut resultava interessant per Yttrium, els atacants entraven a través de la porta del darrere i instal·laven codi addicional en el servidor atacat per connectar-se a un segon servidor de comandament i control. Aquest segon servidor, únic per a cada víctima per ajudar a evadir la detecció, estava registrat i allotjat en un segon centre de dades, sovint en el núvol d'Amazon Web Services (AWS).

Microsoft contra l'SVR. la moralitat

Si estan interessats en saber com els nostres herois van donar el seu merescut als dolents, en els primers paràgrafs tenen els enllaços a les fonts. Vaig a passar directament a l'motiu pel qual escric sobre això en un bloc sobre Linux. L'enfrontament de Microsoft contra l'SVR demostra la importància que el codi estigui disponible per a ser analitzat, i que el coneixement sigui col·lectiu.

És cert, com em va recordar aquest matí un prestigiós especialista en el tema seguretat informàtica, que de res serveix que el codi sigui obert si ningú es pren el treball de analitzar-lo. Hi ha el cas heartbleed per demostrar-ho. Però, recapitulem. 38000 clients d'alt nivell van contractar un programari privatiu. Diversos d'ells van instal·lar una actualització amb malware que va exposar informació sensible i va donar control a elements hostils d'infraestructura crítica. L'empresa responsable només va posar el codi a disposició dels especialistes quan estava amb l'aigua a coll. Si s'exigís als proveïdors de programari per a infraestructura crítica i clients sensibles alliberar el seu programari amb llicències obertes, ia aquests tenir un auditor de codi resident (o una agència externa que treballi per a diversos) el risc d'atacs com SolarWinds seria molt menor.


Deixa el teu comentari

La seva adreça de correu electrònic no es publicarà. Els camps obligatoris estan marcats amb *

*

*

  1. Responsable de les dades: AB Internet Networks 2008 SL
  2. Finalitat de les dades: Controlar l'SPAM, gestió de comentaris.
  3. Legitimació: El teu consentiment
  4. Comunicació de les dades: No es comunicaran les dades a tercers excepte per obligació legal.
  5. Emmagatzematge de les dades: Base de dades allotjada en Occentus Networks (UE)
  6. Drets: En qualsevol moment pots limitar, recuperar i esborrar la teva informació.

  1.   Diego Vallejo va dir
    fa 3 anys

    No fa tant M $ acusava de comunistes a tot el que fes servir programari lliure, com en el pitjor de McCartisme.

    Respondre a Diego Vallejo