Microsoft kontra SVR. Miért legyen a nyílt forráskód a norma

Diego Germán González

6 perc

Microsoft vs SVR

Tom Clancy regény lehetett a NetForce sorozatból, de ez egy könyv írta Brad Smith, a Microsoft elnöke, tisztelegve saját maga és vállalata előtt. Mindegy, ha valaki olvas a sorok között (legalábbis a kivonat amelyhez egy portál férhetett hozzá), és elválasztja a háton végzett öntapogatásokat és a botokat a versenyzőkhöz, ami maradt, az nagyon érdekes és tanulságos. És szerény véleményem szerint minta az ingyenes és nyílt forráskódú szoftvermodell előnyeiből.

Karakterek

Minden kémregénynek szüksége van egy "rosszfiúra", és ebben az esetben nincs kevesebb, mint az SVR, az egyik szervezet, amely a Szovjetunió összeomlása után a KGB utódja lett. Az SVR foglalkozik az Orosz Föderáció határain kívül végzett összes hírszerzési feladattal. Az "ártatlan áldozat" a SolarWinds volt, amely hálózatkezelő szoftvereket fejleszt.Nagyvállalatok, kritikus infrastruktúra -kezelők és amerikai kormányzati szervek használják. Természetesen szükségünk van egy hősre. Ebben az esetben saját maguk szerint a Microsoft Threat Intelligence Department.

Hogyan is lehetne másképp, egy hacker történetben a "rossz" és a "jó" alias. Az SVR ittrium (ittrium). A Microsoftnál a periódusos rendszer kevésbé gyakori elemeit használják a lehetséges fenyegetések forrásainak kódnévként. A fenyegetettségi osztály az MSTIC angol rövidítése miatt, bár belsőleg misztikusnak (misztikusnak) ejtik a hangzásbeli hasonlóság miatt. A továbbiakban a kényelem kedvéért ezeket a kifejezéseket fogom használni.

Microsoft kontra SVR. A tények

30. november 2020 -án a FireEye, az Egyesült Államok egyik fő számítógépbiztonsági vállalata felfedezi, hogy biztonsági sérülést szenvedett saját szerverein. Mivel ők maguk nem tudták megjavítani (sajnálom, de nem tudom megállni a "kovács háza, fakés" mondását), úgy döntöttek, hogy a Microsoft szakembereitől kérnek segítséget. Mivel az MSTIC az ittrium nyomdokaiba lépett, ésAzonnal gyanakodtak az oroszokra, ezt a diagnózist később a hivatalos amerikai titkosszolgálatok is megerősítették.

A napok során kiderült, hogy a támadások világszerte érzékeny számítógépes hálózatokat céloznak meg, beleértve magát a Microsoftot is. Lapértesülések szerint egyértelműen az Egyesült Államok kormánya volt a támadás fő célpontja, a Pénzügyminisztérium, a Külügyminisztérium, a Kereskedelmi Minisztérium, az Energiaügyi Minisztérium és a Pentagon egyes részei az érintett szervezetek tucatjainak listájára kerültek. Ide tartoznak más technológiai cégek, kormányzati vállalkozók, agytrösztök és egyetem. A támadások nem csak az Egyesült Államok ellen irányultak, mivel Kanadát, az Egyesült Királyságot, Belgiumot, Spanyolországot, Izraelt és az Egyesült Arab Emírségeket érintették. Néhány esetben a hálózatba való behatolás több hónapig tartott.

Az eredet

Az egész az Orion nevű hálózatkezelő szoftverrel kezdődött, és a SolarWinds nevű cég fejlesztette ki. Több mint 38000 XNUMX vállalati ügyféllel magas szintű, a támadóknak csak rosszindulatú programokat kellett beszúrniuk egy frissítésbe.

A telepítés után a rosszindulatú program a technikailag parancs- és vezérlőszerverhez (C2) csatlakozik. A C2 e szerverÚgy lett programozva, hogy olyan feladatokat adjon a csatlakoztatott számítógépnek, mint a fájlok átvitelének lehetősége, parancsok végrehajtása, a gép újraindítása és a rendszerszolgáltatások letiltása. Más szóval, a Yttrium -ügynökök teljes hozzáférést kaptak azok hálózatához, akik telepítették az Orion programfrissítést.

A következőkben szó szerinti bekezdést idézek Smith cikkéből

Nem tartott sokáig, mire rájöttünk

a technikai csapatmunka fontossága az iparágban és a kormányzattal
az Egyesült Államokból. A SolarWinds, a FireEye és a Microsoft mérnökei azonnal együttműködni kezdtek. A FireEye és a Microsoft csapata jól ismerte egymást, de a SolarWinds egy kisebb vállalat volt, amely komoly válsággal szembesült, és a csapatoknak gyorsan meg kellett építeniük a bizalmat, ha eredményesek akarnak lenni.
A SolarWinds mérnökei megosztották frissítésük forráskódját a másik két vállalat biztonsági csapataival,
amely feltárta magának a rosszindulatú programnak a forráskódját. Az amerikai kormány technikai csoportjai gyorsan akcióba lendültek, különösen a Nemzetbiztonsági Ügynökségnél (NSA) és a Belbiztonsági Minisztérium Kiberbiztonsági és Infrastruktúrabiztonsági Ügynökségén (CISA).

A fénypontok az enyémek. Ez a csapatmunka és a forráskód megosztása. Nem hangzik ez neked?

A hátsó ajtó kinyitása után, a rosszindulatú program két hétig inaktív volt, ne hozzon létre hálózati naplóbejegyzéseket, amelyek figyelmeztetik a rendszergazdákat. PEz idő alatt információkat küldött arról a hálózatról, amely megfertőzött egy parancs- és vezérlőszervert. hogy a támadók a GoDaddy tárhelyszolgáltatóval rendelkeztek.

Ha a tartalom érdekes volt az Yttrium számára, a támadók beléptek a hátsó ajtón, és további kódot telepítettek a támadott szerverre, hogy csatlakozzanak egy második parancs- és vezérlőszerverhez. Ezt a második szervert, amely minden áldozat számára egyedi, hogy segítsen elkerülni az észlelést, egy második adatközpontban regisztrálták és üzemeltették, gyakran az Amazon Web Services (AWS) felhőben.

Microsoft kontra SVR. A morál

Ha érdekli, hogy hősünk hogyan adta meg a gonosztevőknek járó esedékességet, az első bekezdésekben megtalálhatók a forrásokra mutató linkek. Rögtön belevágok, hogy miért írok erről egy Linux blogon. A Microsoft szembesítése az SVR -rel szemlélteti annak fontosságát, hogy a kód rendelkezésre álljon az elemzéshez, és hogy a tudás kollektív.

Igaz, ahogy egy tekintélyes számítógépes biztonsági szakember emlékeztetett rám ma reggel, hogy haszontalan a kód megnyitása, ha senki nem veszi a fáradtságot annak elemzésére. A Heartbleed -ügy bizonyítja. De, foglaljuk össze újra. 38000 XNUMX csúcskategóriás ügyfél regisztrált saját szoftverre. Közülük többen telepítettek egy rosszindulatú program frissítést, amely érzékeny információkat tett közzé, és átadta az irányítást a kritikus infrastruktúra ellenséges elemeinek. A felelős társaság a kódot csak akkor bocsátotta a szakemberek rendelkezésére, amikor a vízzel a nyakában volt. Ha a kritikus infrastruktúrához szükséges szoftvergyártókra és érzékeny ügyfelekre volt szükség Szoftverének kiadása nyílt licencekkel, mivel egy rezidens kódellenőr (vagy egy külső ügynökség, amely többen dolgozik) esetén a támadások, például a SolarWinds kockázata sokkal alacsonyabb lenne.


Hagyja megjegyzését

E-mail címed nem kerül nyilvánosságra. Kötelező mezők vannak jelölve *

*

*

  1. Az adatokért felelős: AB Internet Networks 2008 SL
  2. Az adatok célja: A SPAM ellenőrzése, a megjegyzések kezelése.
  3. Legitimáció: Az Ön beleegyezése
  4. Az adatok közlése: Az adatokat csak jogi kötelezettség alapján továbbítjuk harmadik felekkel.
  5. Adattárolás: Az Occentus Networks (EU) által üzemeltetett adatbázis
  6. Jogok: Bármikor korlátozhatja, helyreállíthatja és törölheti adatait.

  1.   Diego Vallejo helyőrző kép dijo
    ezelőtt 3 év

    Nem olyan régen az M $ mindenkit, aki ingyenes szoftvert használt, kommunistákkal vádolta, mint a McCarthyism legrosszabb esetben.

    Válasz Diego Vallejo-nak