Microsoft contre SVR. Pourquoi l'open source devrait être la norme

Diego Germán González

Minutes 6

Microsoft contre SVR

Cela aurait pu être un roman de Tom Clancy de la série NetForce, mais c'est un livre écrit par le président de Microsoft Brad Smith en hommage à lui-même et à son entreprise. Quoi qu'il en soit, si l'on lit entre les lignes (au moins dans l'extrait auquel un portail avait accès) et sépare les auto tapes dans le dos et les bâtons aux concurrents, ce qui reste est très intéressant et instructif. Et, à mon humble avis, un échantillon des avantages du logiciel libre et du modèle open source.

Les personnages

Chaque roman d'espionnage a besoin d'un "méchant" et, dans ce cas, nous n'avons rien de moins que le SVR, l'une des organisations qui ont succédé au KGB après l'effondrement de l'URSS. Le SVR s'occupe de toutes les tâches de renseignement effectuées en dehors des frontières de la Fédération de Russie. La "victime innocente" était SolarWinds, une entreprise qui développe des logiciels de gestion de réseau.Il est utilisé par les grandes entreprises, les gestionnaires d'infrastructures critiques et les agences gouvernementales américaines. Bien sûr, nous avons besoin d'un héros. Dans ce cas, selon eux, il s'agit du Threat Intelligence Department de Microsoft.

Comment pourrait-il en être autrement, dans une histoire de hacker, le « mauvais » et le « bon » ont un alias. Le SVR est l'Yttrium (Yttrium). Chez Microsoft, ils utilisent les éléments les moins courants du tableau périodique comme nom de code pour les sources possibles de menaces. Le département Threat Intelligence est le MSTIC pour son acronyme en anglais, bien qu'en interne ils le prononcent mystique (mystic) pour la similitude phonétique. Ci-après, pour des raisons de commodité, j'utiliserai ces termes.

Microsoft contre SVR. Les faits

Le 30 novembre 2020, FireEye, l'une des principales sociétés de sécurité informatique aux États-Unis, découvre qu'elle a subi une faille de sécurité sur ses propres serveurs. Comme ils n'ont pas pu le réparer eux-mêmes (je suis désolé, mais je ne peux pas m'empêcher de dire la "maison du forgeron, couteau en bois"), ils ont décidé de demander de l'aide aux spécialistes de Microsoft. Depuis que le MSTIC a suivi les traces d'Yttrium, etIls se sont immédiatement méfiés des Russes, un diagnostic confirmé par la suite par les services de renseignement officiels américains.

Au fil des jours, les attaques se sont avérées viser des réseaux informatiques sensibles dans le monde entier, y compris Microsoft lui-même. Selon les médias, le gouvernement des États-Unis était clairement la cible principale de l'attaque, avec le département du Trésor, le département d'État, le département du commerce, le département de l'énergie et des dizaines d'organisations touchées sur la liste des victimes. Il s'agit notamment d'autres entreprises technologiques, d'entrepreneurs gouvernementaux, de groupes de réflexion et d'une université. Les attaques n'étaient pas seulement dirigées contre les États-Unis, car elles touchaient le Canada, le Royaume-Uni, la Belgique, l'Espagne, Israël et les Émirats arabes unis. Dans certains cas, les pénétrations dans le réseau ont duré plusieurs mois.

Origine

Tout a commencé avec un logiciel de gestion de réseau appelé Orion et développé par une société appelée SolarWinds. Avec plus de 38000 XNUMX entreprises clientes de haut niveau, les attaquants n'avaient qu'à insérer des logiciels malveillants dans une mise à jour.

Une fois installé, le malware s'est connecté à ce que l'on appelle techniquement un serveur de commande et de contrôle (C2). Le serveur C2 eIl a été programmé pour donner à l'ordinateur connecté des tâches telles que la possibilité de transférer des fichiers, d'exécuter des commandes, de redémarrer une machine et de désactiver les services système. En d'autres termes, les agents Yttrium ont eu un accès complet au réseau de ceux qui avaient installé la mise à jour du programme Orion.

Ensuite, je vais citer un paragraphe textuel de l'article de Smith

Il ne nous a pas fallu longtemps pour comprendre

l'importance du travail d'équipe technique dans l'ensemble de l'industrie et avec le gouvernement
des États-Unis. Les ingénieurs de SolarWinds, FireEye et Microsoft ont immédiatement commencé à travailler ensemble. Les équipes FireEye et Microsoft se connaissaient bien, mais SolarWinds était une petite entreprise confrontée à une crise majeure, et les équipes devaient rapidement établir la confiance pour être efficaces.
Les ingénieurs de SolarWinds ont partagé le code source de leur mise à jour avec les équipes de sécurité des deux autres sociétés,
qui a révélé le code source du malware lui-même. Les équipes techniques du gouvernement américain se sont rapidement mobilisées, notamment au sein de la National Security Agency (NSA) et de la Cybersecurity and Infrastructure Security Agency (CISA) du Department of Homeland Security.

Les points forts sont les miens. Celui du travail d'équipe et du partage du code source, cela ne vous semble-t-il pas quelque chose ?

Après avoir ouvert la porte arrière, le malware est resté inactif pendant deux semaines, pour éviter de créer des entrées de journal réseau qui alertent les administrateurs. PPendant cette période, il a envoyé des informations sur le réseau qui avait infecté un serveur de commande et de contrôle. que les attaquants avaient avec le fournisseur d'hébergement GoDaddy.

Si le contenu était intéressant pour Yttrium, les attaquants sont entrés par la porte dérobée et ont installé un code supplémentaire sur le serveur attaqué pour se connecter à un deuxième serveur de commande et de contrôle. Ce deuxième serveur, unique à chaque victime pour aider à échapper à la détection, était enregistré et hébergé dans un deuxième centre de données, souvent dans le cloud Amazon Web Services (AWS).

Microsoft contre SVR. La morale

Si vous souhaitez savoir comment nos héros ont donné à leurs méchants ce qu'ils méritent, dans les premiers paragraphes, vous avez les liens vers les sources. Je vais expliquer pourquoi j'écris à ce sujet sur un blog Linux. La confrontation de Microsoft avec le SVR démontre l'importance que le code soit disponible pour être analysé, et que la connaissance est collective.

Il est vrai, comme me l'a rappelé ce matin un prestigieux spécialiste de la sécurité informatique, qu'il est inutile que le code soit ouvert si personne ne prend la peine de l'analyser. Il y a l'affaire Heartbleed pour le prouver. Mais, récapitulons. 38000 XNUMX clients haut de gamme ont souscrit un logiciel propriétaire. Plusieurs d'entre eux ont installé une mise à jour de logiciels malveillants qui exposait des informations sensibles et donnait le contrôle aux éléments hostiles de l'infrastructure critique. L'entreprise responsable Il n'a rendu le code accessible aux spécialistes que lorsqu'il était avec de l'eau autour du cou. Si des fournisseurs de logiciels pour les infrastructures critiques et les clients sensibles étaient requis Libérer votre logiciel avec des licences ouvertes, car avoir un auditeur de code résident (ou une agence externe travaillant pour plusieurs) le risque d'attaques comme SolarWinds serait beaucoup plus faible.


Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont marqués avec *

*

*

  1. Responsable des données : AB Internet Networks 2008 SL
  2. Finalité des données: Contrôle du SPAM, gestion des commentaires.
  3. Légitimation: votre consentement
  4. Communication des données: Les données ne seront pas communiquées à des tiers sauf obligation légale.
  5. Stockage des données: base de données hébergée par Occentus Networks (EU)
  6. Droits: à tout moment, vous pouvez limiter, récupérer et supprimer vos informations.

  1.   Image de balise Diego Vallejo dit
    il ya 3 ans.

    Il n'y a pas si longtemps, M$ accusait tous ceux qui utilisaient des logiciels libres de communistes, comme dans le pire des maccarthysmes.

    Réponse à Diego Vallejo