Mogao je to biti roman Toma Clancyja iz serije NetForce, ali to je knjiga napisao Microsoft predsjednik Brad Smith u čast sebi i svojoj tvrtki. U svakom slučaju, ako se čita između redaka (barem u ekstrakt na koji je portal imao pristup) i odvaja samostalne udarce po leđima i štapove od natjecatelja, ono što ostaje vrlo je zanimljivo i poučno. I, po mom skromnom mišljenju, uzorak prednosti besplatnog i otvorenog softverskog modela.
Likovi
Svaki špijunski roman treba "lošeg momka" i, u ovom slučaju nemamo ništa manje od SVR -a, jedna od organizacija koja je naslijedila KGB nakon raspada SSSR -a. SVR se bavi svim obavještajnim zadaćama koje se izvode izvan granice Ruske Federacije. "Nevina žrtva" bila je SolarWinds, tvrtka koja razvija softver za upravljanje mrežom.Koriste ga velike korporacije, menadžeri kritične infrastrukture i američke vladine agencije. Naravno, trebamo heroja. U ovom slučaju, prema njihovim riječima, radi se o Microsoftovom Odjelu za obavještavanje o prijetnjama.
Kako je moglo biti drugačije, u hakerskoj priči, "loše" i "dobro" imaju pseudonim. SVR je itrij (itrij). U Microsoftu koriste manje uobičajene elemente periodnog sustava kao kodni naziv za moguće izvore prijetnji. Obavještajni odjel za prijetnje je MSTIC za akronim na engleskom jeziku, iako ga iznutra proglašavaju mističnim (mističnim) zbog fonetske sličnosti. U daljnjem tekstu, radi praktičnosti, koristit ću ove izraze.
Microsoft protiv SVR -a. Činjenice
30. studenoga 2020. FireEye, jedna od glavnih tvrtki za računalnu sigurnost u SAD -u, otkriva da je pretrpjela sigurnosnu povredu na vlastitim poslužiteljima. Kako to nisu mogli sami popraviti (žao mi je, ali ne mogu prestati govoriti "kovačeva kuća, drveni nož"), odlučili su zatražiti pomoć od Microsoftovih stručnjaka. Budući da je MSTIC krenuo stopama itrija, iOdmah su bili sumnjičavi prema Rusima, dijagnozu su kasnije potvrdile službene američke obavještajne službe.
Kako su dani prolazili, utvrđeno je da napadi ciljaju osjetljive računalne mreže diljem svijeta, uključujući i sam Microsoft. Prema medijskim izvješćima, Vlada Sjedinjenih Država očito je bila glavna meta napada, s Ministarstvom financija, State Departmanom, Ministarstvom trgovine, Odjelom za energetiku i dijelovima Pentagona. Na popisu žrtava nalazi se na desetke pogođenih organizacija. To uključuje druge tehnološke tvrtke, vladine izvođače, istraživačke centre i sveučilište. Napadi nisu bili usmjereni samo protiv Sjedinjenih Država jer su zahvatili Kanadu, Ujedinjeno Kraljevstvo, Belgiju, Španjolsku, Izrael i Ujedinjene Arapske Emirate. U nekim slučajevima prodor u mrežu trajao je nekoliko mjeseci.
Podrijetlo
Sve je započelo softverom za upravljanje mrežom pod nazivom Orion, a razvila ga je tvrtka SolarWinds. S više od 38000 korporativnih klijenata na visokoj razini, napadači su morali samo umetnuti zlonamjerni softver u ažuriranje.
Jednom instaliran, zlonamjerni softver povezan je s onim što je tehnički poznato kao poslužitelj za naredbe i upravljanje (C2). Poslužitelj C2 eProgramirano je tako da spojenom računalu daje zadatke, poput mogućnosti prijenosa datoteka, izvršavanja naredbi, ponovnog pokretanja stroja i onemogućavanja usluga sustava. Drugim riječima, agenti Yttriuma dobili su potpuni pristup mreži onih koji su instalirali ažuriranje programa Orion.
Zatim ću citirati doslovni odlomak iz Smithovog članka
Nije nam trebalo puno vremena da to shvatimo
važnost tehničkog timskog rada u cijeloj industriji i s vladomiz Ujedinjenih Država. Inženjeri iz SolarWindsa, FireEyea i Microsofta odmah su počeli surađivati. Timovi FireEyea i Microsofta dobro su se poznavali, ali SolarWinds je bila manja tvrtka koja se suočila s velikom krizom, a timovi su morali brzo izgraditi povjerenje da bi bili učinkoviti.Inženjeri SolarWindsa podijelili su izvorni kod ažuriranja sa sigurnosnim timovima druge dvije tvrtke,koji je otkrio izvorni kod samog zlonamjernog softvera. Tehnički timovi iz američke vlade brzo su krenuli u akciju, posebno u Agenciji za nacionalnu sigurnost (NSA) i Agenciji za kibernetičku sigurnost i sigurnost infrastrukture (CISA) Ministarstva unutarnje sigurnosti.
Izdvajamo moje. Timski rad i dijeljenje izvornog koda. Ne zvuči li vam to kao nešto?
Nakon otvaranja stražnjih vrata, zlonamjerni softver bio je neaktivan dva tjedna, kako bi se izbjeglo stvaranje zapisa mrežnog dnevnika koji će upozoriti administratore. PU tom je razdoblju poslao informacije o mreži koja je zarazila poslužitelja za naredbe i kontrolu. koje su napadači imali s pružateljem usluga hostinga GoDaddy.
Ako je sadržaj bio zanimljiv Yttriumu, napadači su ušli na stražnja vrata i instalirali dodatni kod na napadnuti poslužitelj za povezivanje s drugim poslužiteljem za naredbe i upravljanje. Ovaj drugi poslužitelj, jedinstven za svaku žrtvu kako bi izbjegao otkrivanje, registriran je i hostiran u drugom podatkovnom centru, često u oblaku Amazon Web Services (AWS).
Microsoft protiv SVR -a. Moral
Ako vas zanima kako su naši heroji dali svojim zlikovcima ono što zaslužuju, u prvim odlomcima imate veze na izvore. Idem odmah na to zašto o ovome pišem na Linux blogu. Microsoftov sukob protiv SVR -a pokazuje važnost toga da je kôd dostupan za analizu i da je znanje kolektivno.
Istina je, kako me jutros podsjetio ugledni stručnjak za računalnu sigurnost, da je beskorisno da kôd bude otvoren ako se nitko ne potrudi analizirati ga. Postoji slučaj Heartbleed koji to dokazuje. No, rezimirajmo. 38000 vrhunskih klijenata prijavilo se za vlasnički softver. Nekoliko ih je instaliralo ažuriranje zlonamjernog softvera koje je otkrilo osjetljive podatke i dalo kontrolu neprijateljskim elementima kritične infrastrukture. Odgovorno poduzeće šifru je stavio na raspolaganje stručnjacima tek kad je bio s vodom oko vrata. Ako su bili potrebni dobavljači softvera za kritičnu infrastrukturu i osjetljivi korisnici Objavljivanjem vašeg softvera s otvorenim licencama, budući da imate stalnog revizora koda (ili vanjsku agenciju koja radi za nekoliko), rizik od napada poput SolarWindsa bio bi mnogo manji.
Ne tako davno, M $ je optužio sve koji su koristili besplatni softver komunista, kao u najgorem slučaju makartizma.