Microsoft κατά SVR. Γιατί ο ανοιχτός κώδικας πρέπει να είναι ο κανόνας

Θα μπορούσε να ήταν ένα μυθιστόρημα του Tom Clancy από τη σειρά NetForce, αλλά ειναι ενα βιβλιο γραμμένο από τον πρόεδρο της Microsoft, Μπραντ Σμιθ, για να τιμήσει τον εαυτό του και την εταιρεία του. Τέλος πάντων, αν κάποιος διαβάσει μεταξύ των γραμμών (τουλάχιστον στο το εκχύλισμα στο οποίο είχε πρόσβαση μια πύλη) και διαχωρίζει τα αυτοκόλλητα στην πλάτη και τα μπαστούνια στους ανταγωνιστές, αυτό που απομένει είναι πολύ ενδιαφέρον και διδακτικό. Και, κατά την ταπεινή μου γνώμη, ένα δείγμα των πλεονεκτημάτων του δωρεάν λογισμικού και του μοντέλου ανοιχτού κώδικα.

Χαρακτήρες

Κάθε κατασκοπευτικό μυθιστόρημα χρειάζεται έναν "κακό" και, σε αυτή την περίπτωση δεν έχουμε τίποτα λιγότερο από το SVR, μία από τις οργανώσεις που διαδέχθηκαν την KGB μετά την κατάρρευση της ΕΣΣΔ. Το SVR ασχολείται με όλα τα καθήκοντα πληροφοριών που εκτελούνται εκτός των συνόρων της Ρωσικής Ομοσπονδίας. Το «αθώο θύμα» ήταν η SolarWinds, μια εταιρεία που αναπτύσσει λογισμικό διαχείρισης δικτύου.Χρησιμοποιείται από μεγάλες εταιρείες, διαχειριστές κρίσιμης υποδομής και κυβερνητικές υπηρεσίες των ΗΠΑ. Φυσικά, χρειαζόμαστε έναν ήρωα. Σε αυτή την περίπτωση, σύμφωνα με τους ίδιους, πρόκειται για το Τμήμα Νοημοσύνης Απειλών της Microsoft.

Πώς θα μπορούσε να είναι διαφορετικά, σε μια ιστορία χάκερ, το «κακό» και το «καλό» έχουν ψευδώνυμο. Το SVR είναι Yttrium (tτριο). Στη Microsoft, χρησιμοποιούν τα λιγότερο κοινά στοιχεία του περιοδικού πίνακα ως κωδικό όνομα για πιθανές πηγές απειλών. Το Τμήμα Πληροφοριών Απειλών είναι MSTIC για το ακρωνύμιο του στα αγγλικά, αν και εσωτερικά το προφέρουν μυστικιστικό (μυστικιστικό) για τη φωνητική ομοιότητα. Στο εξής, για διευκόλυνση, θα χρησιμοποιήσω αυτούς τους όρους.

Microsoft κατά SVR. Τα γεγονότα

Στις 30 Νοεμβρίου 2020, η FireEye, μία από τις κορυφαίες εταιρείες ασφάλειας υπολογιστών στις ΗΠΑ, ανακαλύπτει ότι υπέστη παραβίαση ασφαλείας στους διακομιστές της. Δεδομένου ότι δεν μπόρεσαν να το λύσουν μόνοι τους (λυπάμαι, αλλά δεν μπορώ να σταματήσω να λέω "το σπίτι του σιδηρουργού, ξύλινο μαχαίρι") αποφάσισαν να ζητήσουν βοήθεια από τους ειδικούς της Microsoft. Δεδομένου ότι η MSTIC ακολουθούσε τα βήματα του tτριουμ καιImmediatelyταν αμέσως ύποπτοι για τους Ρώσους, μια διάγνωση που επιβεβαιώθηκε αργότερα από τις επίσημες υπηρεσίες πληροφοριών των ΗΠΑ.

Καθώς περνούσαν οι μέρες, διαπιστώθηκε ότι οι επιθέσεις στοχεύουν σε ευαίσθητα δίκτυα υπολογιστών σε όλο τον κόσμο, συμπεριλαμβανομένης της ίδιας της Microsoft. Σύμφωνα με δημοσιεύματα των μέσων ενημέρωσης, η κυβέρνηση των Ηνωμένων Πολιτειών ήταν σαφώς ο κύριος στόχος της επίθεσης, με το Υπουργείο Οικονομικών, το Στέιτ Ντιπάρτμεντ, το Υπουργείο Εμπορίου, το Τμήμα Ενέργειας και τμήματα του Πενταγώνου, στον κατάλογο θυμάτων δεκάδων οργανώσεων που επλήγησαν. Αυτές περιλαμβάνουν άλλες εταιρείες τεχνολογίας, κυβερνητικούς εργολάβους, think tank και ένα πανεπιστήμιο. Οι επιθέσεις δεν στρέφονταν μόνο κατά των Ηνωμένων Πολιτειών καθώς επηρέασαν τον Καναδά, το Ηνωμένο Βασίλειο, το Βέλγιο, την Ισπανία, το Ισραήλ και τα Ηνωμένα Αραβικά Εμιράτα. Σε ορισμένες περιπτώσεις, οι διεισδύσεις στο δίκτυο διήρκεσαν αρκετούς μήνες.

Η προέλευση

Όλα ξεκίνησαν με το λογισμικό διαχείρισης δικτύου που ονομάζεται Orion και αναπτύχθηκε από μια εταιρεία που ονομάζεται SolarWinds. Με περισσότερους από 38000 εταιρικούς πελάτες υψηλού επιπέδου, οι επιτιθέμενοι έπρεπε μόνο να εισάγουν κακόβουλο λογισμικό σε μια ενημέρωση.

Μόλις εγκατασταθεί, το κακόβουλο λογισμικό συνδέεται με αυτό που είναι τεχνικά γνωστό ως διακομιστής εντολών και ελέγχου (C2). Ο διακομιστής C2 eΠρογραμματίστηκε για να δώσει στους συνδεδεμένους υπολογιστές εργασίες, όπως τη δυνατότητα μεταφοράς αρχείων, εκτέλεσης εντολών, επανεκκίνησης ενός μηχανήματος και απενεργοποίησης των υπηρεσιών συστήματος. Με άλλα λόγια, οι πράκτορες του Yttrium είχαν πλήρη πρόσβαση στο δίκτυο όσων είχαν εγκαταστήσει την ενημέρωση του προγράμματος Orion.

Στη συνέχεια θα παραθέσω μια κατά λέξη παράγραφο από το άρθρο του Smith

Δεν άργησε να το καταλάβουμε

τη σημασία της τεχνικής ομαδικής εργασίας σε ολόκληρη τη βιομηχανία και με την κυβέρνηση

από τις Ηνωμένες Πολιτείες. Μηχανικοί από τους SolarWinds, FireEye και Microsoft άρχισαν να συνεργάζονται αμέσως. Οι ομάδες FireEye και Microsoft γνωρίζονταν καλά μεταξύ τους, αλλά η SolarWinds ήταν μια μικρότερη εταιρεία που αντιμετώπιζε μια μεγάλη κρίση και οι ομάδες έπρεπε να χτίσουν γρήγορα εμπιστοσύνη για να είναι αποτελεσματικές.

Οι μηχανικοί της SolarWinds μοιράστηκαν τον πηγαίο κώδικα της ενημέρωσής τους με τις ομάδες ασφαλείας των άλλων δύο εταιρειών,

που αποκάλυψε τον πηγαίο κώδικα του ίδιου του κακόβουλου λογισμικού. Οι τεχνικές ομάδες της αμερικανικής κυβέρνησης ξεκίνησαν γρήγορα σε δράση, ειδικά στην Υπηρεσία Εθνικής Ασφάλειας (NSA) και στον Οργανισμό Ασφάλειας Κυβερνοασφάλειας και Υποδομής (CISA) του Υπουργείου Εσωτερικής Ασφάλειας.

Τα κυριότερα είναι δικά μου. Αυτό της ομαδικής εργασίας και της κοινής χρήσης του πηγαίου κώδικα. Δεν σας φαίνεται κάτι τέτοιο;

Αφού ανοίξετε την πίσω πόρτα, το κακόβουλο λογισμικό ήταν ανενεργό για δύο εβδομάδες, για να αποφύγετε τη δημιουργία καταχωρήσεων καταγραφής δικτύου που θα ειδοποιούν τους διαχειριστές. ΠΚατά τη διάρκεια αυτής της περιόδου, έστειλε πληροφορίες σχετικά με το δίκτυο που είχε μολύνει έναν διακομιστή εντολών και ελέγχου. που είχαν οι επιτιθέμενοι με τον πάροχο φιλοξενίας GoDaddy.

Εάν το περιεχόμενο ήταν ενδιαφέρον για το Yttrium, οι εισβολείς μπήκαν από την πίσω πόρτα και εγκατέστησαν επιπλέον κώδικα στον διακομιστή που δέχτηκε επίθεση για να συνδεθούν με έναν δεύτερο διακομιστή εντολών και ελέγχουΤο Αυτός ο δεύτερος διακομιστής, μοναδικός σε κάθε θύμα για να αποφύγει τον εντοπισμό, καταχωρήθηκε και φιλοξενήθηκε σε ένα δεύτερο κέντρο δεδομένων, συχνά στο cloud του Amazon Web Services (AWS).

Microsoft κατά SVR. Το ηθικό

Εάν ενδιαφέρεστε να μάθετε πώς οι ήρωές μας έδωσαν στους κακούς τους αυτό που τους αξίζει, στις πρώτες παραγράφους έχετε τους συνδέσμους προς τις πηγές. Θα πάω κατευθείαν στο γιατί γράφω για αυτό σε ένα blog Linux. Η αντιπαράθεση της Microsoft ενάντια στο SVR καταδεικνύει τη σημασία του διαθέσιμου προς ανάλυση κώδικα και ότι η γνώση είναι συλλογική.

Είναι αλήθεια, όπως μου υπενθύμισε ένας έγκριτος ειδικός στον τομέα της ασφάλειας υπολογιστών σήμερα το πρωί, ότι είναι άχρηστο να είναι ανοιχτός ο κώδικας, αν κανείς δεν κάνει τον κόπο να τον αναλύσει. Υπάρχει η υπόθεση Heartbleed για να το αποδείξει. Αλλά, ας επαναλάβουμε. 38000 πελάτες υψηλού επιπέδου εγγράφηκαν για ιδιόκτητο λογισμικό. Αρκετοί από αυτούς εγκατέστησαν μια ενημέρωση κακόβουλου λογισμικού που εξέθεσε ευαίσθητες πληροφορίες και έδωσε έλεγχο σε εχθρικά στοιχεία κρίσιμης υποδομής. Η υπεύθυνη εταιρεία έκανε διαθέσιμο τον κωδικό στους ειδικούς μόνο όταν ήταν με το νερό στο λαιμό τουΤο Εάν απαιτούνταν προμηθευτές λογισμικού για κρίσιμες υποδομές και ευαίσθητους πελάτες Απελευθερώνοντας το λογισμικό σας με ανοικτές άδειες, αφού έχοντας έναν ελεγκτή κωδικών (ή έναν εξωτερικό οργανισμό που εργάζεται για πολλούς), ο κίνδυνος επιθέσεων όπως το SolarWinds θα είναι πολύ χαμηλότερος.