See võis olla Tom Clancy romaan NetForce'i seeriast, kuid see on raamat kirjutas Microsofti president Brad Smith, austades ennast ja oma ettevõtet. Igatahes, kui lugeda ridade vahelt (vähemalt sisse ekstrakt millele portaalil oli juurdepääs) ja eraldab seljapatsutused ja konkurentide pulgad, mis jääb, on väga huvitav ja õpetlik. Ja minu tagasihoidliku arvamuse kohaselt näidis tasuta ja avatud lähtekoodiga tarkvaramudeli eelistest.
Tegelased
Iga spiooniromaan vajab "paha meest" ja sel juhul pole meil midagi muud kui SVR, üks organisatsioonidest, kes pärast NSVL kokkuvarisemist KGB järglaseks said. SVR tegeleb kõigi luureülesannetega, mida täidetakse väljaspool Vene Föderatsiooni piiri. "Süütu ohver" oli võrguhaldustarkvara arendav ettevõte SolarWinds.Seda kasutavad suured ettevõtted, elutähtsate infrastruktuuride haldajad ja USA valitsusasutused. Loomulikult vajame kangelast. Sel juhul on see nende sõnul Microsofti ohuteabe osakond.
Kuidas saaks teisiti olla, häkkeriloos on "halbadel" ja "headel" varjunimi. SVR on ütrium (ütrium). Microsoftis kasutavad nad võimalike ohuallikate koodinimena perioodilise tabeli vähem levinud elemente. Ohtude luureosakond on MSTIC ingliskeelse lühendi tõttu, kuigi sisemiselt hääldavad nad seda foneetilise sarnasuse tõttu müstiliseks (müstiliseks). Edaspidi kasutan mugavuse huvides neid termineid.
Microsoft versus SVR. Faktid
30. novembril 2020 avastab USA üks peamisi arvutiturbeettevõtteid FireEye, et tal on oma serverites turvarikkumine. Kuna nad ei suutnud seda ise parandada (vabandust, aga ma ei saa öelda „sepikoda, puidust nuga“), otsustasid nad Microsofti spetsialistidelt abi küsida. Kuna MSTIC oli käinud ütriumil, jaNad kahtlustasid venelasi kohe, diagnoosi kinnitasid hiljem USA ametlikud luureteenistused.
Päevade möödudes leiti, et rünnakud on suunatud tundlikele arvutivõrkudele kogu maailmas, sealhulgas Microsoftile endale. Ajalehtede andmetel oli rünnaku peamine sihtmärk selgelt Ameerika Ühendriikide valitsus, kusjuures rahandusministeerium, välisministeerium, kaubandusministeerium, energeetikaministeerium ja mõned Pentagoni osad kandsid ohvrite nimekirja kümneid mõjutatud organisatsioone. Nende hulka kuuluvad muud tehnoloogiaettevõtted, valitsusettevõtjad, mõttekodad ja ülikool. Rünnakud ei olnud suunatud ainult Ameerika Ühendriikide vastu, kuna need mõjutasid Kanadat, Ühendkuningriiki, Belgiat, Hispaaniat, Iisraeli ja Araabia Ühendemiraate. Mõnel juhul kestis võrku tungimine mitu kuud.
Päritolu
Kõik sai alguse võrguhaldustarkvarast nimega Orion ja selle töötas välja ettevõte SolarWinds. Rohkem kui 38000 XNUMX ärikliendiga kõrgel tasemel, pidid ründajad värskendusse ainult pahavara sisestama.
Pärast installimist ühendati pahavara tehniliselt tuntud käsu- ja juhtimisserveriga (C2). C2 e serverSee oli programmeeritud andma ühendatud arvutile selliseid ülesandeid nagu failide edastamine, käskude täitmine, masina taaskäivitamine ja süsteemiteenuste keelamine. Teisisõnu, ütriumiagendid said täieliku juurdepääsu Orioni programmi värskenduse installinud inimeste võrgule.
Järgnevalt tsiteerin Smithi artiklist sõnasõnalist lõiku
Ei läinud kaua aega, kui saime aru
tehnilise meeskonnatöö tähtsust kogu tööstuses ja valitsusegaAmeerika Ühendriikidest. SolarWindsi, FireEye ja Microsofti insenerid alustasid kohe koostööd. FireEye ja Microsofti meeskonnad tundsid teineteist hästi, kuid SolarWinds oli väiksem ettevõte, mis seisis silmitsi suure kriisiga ning meeskonnad pidid tõhususe nimel kiiresti usaldust looma.SolarWindsi insenerid jagasid oma värskenduse lähtekoodi kahe teise ettevõtte turvameeskondadega,mis paljastas pahavara enda lähtekoodi. USA valitsuse tehnilised meeskonnad asusid kiiresti tegutsema, eriti riikliku julgeolekuagentuuri (NSA) ning sisejulgeolekuministeeriumi küberturvalisuse ja infrastruktuuri turvalisuse agentuuri (CISA) juures.
Tipphetked on minu omad. See on meeskonnatöö ja lähtekoodi jagamine. Kas see ei tundu teile midagi?
Pärast tagaukse avamist, pahavara oli passiivne kaks nädalat, vältida võrgupäevikukirjete loomist, mis teavitavad administraatoreid. PSelle aja jooksul saatis ta teavet võrgu kohta, mis oli nakatanud käsu- ja juhtimisserveri. mida ründajatel oli GoDaddy hostiteenuse pakkujaga.
Kui sisu oli ütriumile huvitav, ründajad sisenesid tagauksest ja paigaldasid rünnatud serverisse täiendava koodi, et luua ühendus teise käsu- ja juhtimisserveriga. See teine server, mis on igale ohvrile ainulaadne, et aidata avastamist vältida, registreeriti ja majutati teises andmekeskuses, sageli Amazon Web Services (AWS) pilves.
Microsoft versus SVR. Moraal
Kui olete huvitatud sellest, kuidas meie kangelased andsid oma kurikaeltele selle, mida nad väärivad, on teil esimestes lõikudes lingid allikatele. Ma hüppan kohe selle juurde, miks ma sellest Linuxi ajaveebis kirjutan. Microsofti vastasseis SVR -i vastu näitab, kui oluline on kood olla analüüsimiseks kättesaadav ja teadmised on kollektiivsed.
Tõsi, nagu maineka arvutiturbe spetsialist mulle täna hommikul meenutas, on kasutu, kui kood on avatud, kui keegi ei võta vaevaks seda analüüsida. Selle tõestuseks on Heartbleedi juhtum. Aga teeme kokkuvõtte. 38000 XNUMX tipptasemel klienti registreerus patenteeritud tarkvara kasutamiseks. Mitmed neist installisid pahavaravärskenduse, mis paljastas tundlikku teavet ja andis kontrolli kriitilise infrastruktuuri vaenulike elementide üle. Vastutav ettevõte ta tegi koodi spetsialistidele kättesaadavaks alles siis, kui oli vesi kaelas. Kui oleks vaja tarkvara pakkujaid kriitilise infrastruktuuri ja tundlike klientide jaoks Tarkvara väljaandmine avatud litsentsidega, kuna resideeriva koodiaudiitori (või mitme agentuuri heaks töötava välise agentuuri) omamise korral on selliste rünnakute nagu SolarWinds oht palju väiksem.
Mitte nii kaua aega tagasi süüdistas M $ kõiki, kes kasutasid tasuta tarkvara, kommuniste, nagu halvimas McCarthyismis.