Microsoft v. SVR. Proč by měl být standardem open source

Mohl to být román Toma Clancyho ze série NetForce, ale to je kniha napsal prezident Microsoft Brad Smith na počest sobě a své společnosti. Každopádně pokud někdo čte mezi řádky (alespoň v extrakt ke kterému měl portál přístup) a odděluje vlastní poplácání po zádech a klacky od soutěžících, to, co zbývá, je velmi zajímavé a poučné. A podle mého skromného názoru ukázka výhod svobodného softwaru a open source modelu.

Znaky

Každý špionážní román potřebuje „padoucha“ a v tomto případě nemáme nic menšího než SVR, jedna z organizací, které následovaly KGB po rozpadu SSSR. SVR se zabývá všemi zpravodajskými úkoly prováděnými mimo hranice Ruské federace. „Nevinnou obětí“ byla společnost SolarWinds, která vyvíjí software pro správu sítě.Používají ho velké korporace, správci kritické infrastruktury a vládní agentury USA. Samozřejmě potřebujeme hrdinu. V tomto případě je to podle nich oddělení Microsoft pro informace o hrozbách.

Jak by to mohlo být jinak, v hackerském příběhu mají „špatný“ a „dobrý“ alias. SVR je yttrium (yttrium). V Microsoftu používají méně obvyklé prvky periodické tabulky jako kódový název pro možné zdroje hrozeb. Oddělení zpravodajských hrozeb je MSTIC pro jeho zkratku v angličtině, ačkoli interně jej pro fonetickou podobnost vyslovují mysticky (mysticky). Dále budu pro pohodlí používat tyto podmínky.

Microsoft v. SVR. Fakta

30. listopadu 2020 FireEye, jedna z předních společností zabývajících se počítačovou bezpečností v USA, zjišťuje, že došlo k narušení zabezpečení na vlastních serverech. Jelikož to sami nedokázali vyřešit (omlouvám se, ale nemohu přestat říkat „dům kováře, dřevěný nůž“), rozhodli se požádat o pomoc specialisty Microsoftu. Jelikož MSTIC kráčel ve šlépějích Yttria, aOkamžitě jim to bylo vůči Rusům podezřelé, diagnózu později potvrdily oficiální americké zpravodajské služby.

Jak dny plynuly, bylo zjištěno, že útoky byly zaměřeny na citlivé počítačové sítě po celém světě, včetně samotného Microsoftu. Podle zpráv z médií byla hlavním cílem útoku jednoznačně vláda Spojených států, přičemž ministerstvo financí, ministerstvo zahraničí, ministerstvo obchodu, ministerstvo energetiky a části Pentagonu uvedly na seznam obětí desítky postižených organizací. Patří sem další technologické společnosti, vládní dodavatelé, think tanky a univerzita. Útoky nebyly zaměřeny pouze proti Spojeným státům, protože postihly Kanadu, Spojené království, Belgii, Španělsko, Izrael a Spojené arabské emiráty. V některých případech průniky do sítě trvaly několik měsíců.

Původ

Všechno to začalo softwarem pro správu sítě s názvem Orion a vyvinutým společností SolarWinds. S více než 38000 XNUMX firemními klienty na vysoké úrovni museli útočníci do aktualizace vložit pouze malware.

Jakmile je malware nainstalován, připojí se k technicky známému serveru jako příkaz a řízení (C2). Server C2 eByl naprogramován tak, aby poskytoval připojenému počítači úkoly, jako je schopnost přenášet soubory, spouštět příkazy, restartovat počítač a deaktivovat systémové služby. Jinými slovy, agenti Yttrium získali plný přístup k síti těch, kteří si nainstalovali aktualizaci programu Orion.

Dále budu citovat doslovný odstavec ze Smithova článku

Netrvalo dlouho a uvědomili jsme si to

důležitost technické týmové práce napříč průmyslem a vládou

ze Spojených států. Inženýři ze společností SolarWinds, FireEye a Microsoft začali okamžitě spolupracovat. Týmy FireEye a Microsoft se dobře znaly, ale SolarWinds byla menší společnost, která čelí velké krizi, a aby byly týmy efektivní, musely si rychle vybudovat důvěru.

Inženýři SolarWinds sdíleli zdrojový kód své aktualizace s bezpečnostními týmy ostatních dvou společností,

který odhalil zdrojový kód samotného malwaru. Technické týmy z americké vlády rychle vyrazily do akce, zejména u Národní bezpečnostní agentury (NSA) a Agentury pro bezpečnost kybernetické bezpečnosti a infrastruktury (CISA) ministerstva pro vnitřní bezpečnost.

Hlavní body jsou moje. Týmová práce a sdílení zdrojového kódu. Nezní vám to jako něco?

Po otevření zadních dveří malware byl neaktivní po dobu dvou týdnů, aby se zabránilo vytváření záznamů síťového protokolu, které upozorní správce. PBěhem tohoto období odeslal informace o síti, která infikovala příkazový a řídicí server. které měli útočníci s poskytovatelem hostingu GoDaddy.

Pokud byl obsah pro Yttrium zajímavý, útočníci vstoupili zadními dveřmi a nainstalovali další kód na napadený server, aby se připojili k druhému příkazovému a řídicímu serveru. Tento druhý server, jedinečný pro každou oběť, aby pomohl vyhnout se detekci, byl zaregistrován a hostován ve druhém datovém centru, často v cloudu Amazon Web Services (AWS).

Microsoft v. SVR. Morálka

Pokud vás zajímá, jak naši hrdinové dali svým padouchům to, co si zaslouží, v prvních odstavcích máte odkazy na zdroje. Přejdu rovnou k tomu, proč o tom píšu na blogu o Linuxu. Konfrontace společnosti Microsoft se SVR ukazuje, že je důležité, aby byl kód k dispozici k analýze a aby znalosti byly kolektivní.

Je pravda, jak mi dnes ráno připomenul prestižní specialista na počítačovou bezpečnost, že je zbytečné kód otevírat, pokud si s jeho analýzou nikdo nedává práci. Dokazuje to případ Heartbleed. Ale pojďme si to zrekapitulovat. K proprietárnímu softwaru se přihlásilo 38000 XNUMX špičkových zákazníků. Několik z nich nainstalovalo aktualizaci malwaru, která odhalila citlivé informace a poskytla kontrolu nad nepřátelskými prvky kritické infrastruktury. Odpovědná společnost Kód zpřístupnil odborníkům, jen když byl s vodou na krku. Pokud byli požadováni dodavatelé softwaru pro kritickou infrastrukturu a citliví zákazníci Uvolnění softwaru s otevřenými licencemi, protože mít rezidentního auditora kódu (nebo externí agenturu pracující pro několik), riziko útoků, jako je SolarWinds, by bylo mnohem nižší.