Microsoft v. SVR. Mengapa open source harus menjadi norma

Diego Germán González

6 menit

Microsoft vs. SVR

Itu bisa saja novel Tom Clancy dari seri NetForce, tapi itu sebuah buku ditulis oleh Presiden Microsoft Brad Smith sebagai penghormatan kepada dirinya dan perusahaannya. Bagaimanapun, jika seseorang membaca yang tersirat (setidaknya dalam ekstrak di mana portal memiliki akses) dan memisahkan tepukan diri di belakang dan tongkat ke pesaing, apa yang tersisa sangat menarik dan instruktif. Dan, menurut pendapat saya, contoh keuntungan dari model perangkat lunak sumber terbuka dan gratis.

Karakter

Setiap novel mata-mata membutuhkan "orang jahat" dan, dalam hal ini kita tidak memiliki apa-apa selain SVR, salah satu organisasi yang menggantikan KGB setelah runtuhnya Uni Soviet. SVR menangani semua tugas intelijen yang dilakukan di luar perbatasan Federasi Rusia. "Korban yang tidak bersalah" adalah SolarWinds, sebuah perusahaan yang mengembangkan perangkat lunak manajemen jaringan.Ini digunakan oleh perusahaan besar, manajer infrastruktur penting, dan lembaga pemerintah AS. Tentu saja, kita membutuhkan seorang pahlawan. Dalam hal ini, menurut mereka sendiri, itu adalah Departemen Intelijen Ancaman Microsoft.

Bagaimana bisa sebaliknya, dalam cerita hacker, "buruk" dan "baik" memiliki alias. SVR adalah Yttrium (Yttrium). Di Microsoft, mereka menggunakan elemen tabel periodik yang kurang umum sebagai nama kode untuk kemungkinan sumber ancaman. Departemen Intelijen Ancaman adalah MSTIC untuk akronimnya dalam bahasa Inggris, meskipun secara internal mereka mengucapkannya mistik (mistis) untuk kesamaan fonetik. Selanjutnya, untuk kenyamanan, saya akan menggunakan istilah-istilah ini.

Microsoft v. SVR. Fakta

Pada tanggal 30 November 2020, FireEye, salah satu perusahaan keamanan komputer terkemuka di AS, menemukan bahwa mereka telah mengalami pelanggaran keamanan di servernya sendiri. Karena mereka tidak dapat menyelesaikannya sendiri (maaf, tetapi saya tidak dapat berhenti mengatakan "rumah pandai besi, pisau kayu"), mereka memutuskan untuk meminta bantuan spesialis Microsoft. Karena MSTIC telah mengikuti jejak Yttrium, danMereka segera curiga terhadap Rusia, diagnosis kemudian dikonfirmasi oleh dinas intelijen resmi AS.

Seiring berjalannya waktu, serangan itu ditemukan menargetkan jaringan komputer sensitif di seluruh dunia, termasuk Microsoft sendiri. Menurut laporan media, pemerintah Amerika Serikat jelas menjadi target utama serangan itu, dengan Departemen Keuangan, Departemen Luar Negeri, Departemen Perdagangan, Departemen Energi dan bagian dari Pentagon, puluhan organisasi yang terkena dampak ke daftar korban. Ini termasuk perusahaan teknologi lain, kontraktor pemerintah, lembaga think tank, dan universitas. Serangan itu tidak hanya ditujukan terhadap Amerika Serikat karena mereka mempengaruhi Kanada, Inggris, Belgia, Spanyol, Israel dan Uni Emirat Arab. Dalam beberapa kasus, penetrasi ke dalam jaringan berlangsung selama beberapa bulan.

Asalnya

Semuanya dimulai dengan perangkat lunak manajemen jaringan yang disebut Orion dan dikembangkan oleh perusahaan bernama SolarWinds. Dengan lebih dari 38000 klien korporat tingkat tinggi, penyerang hanya perlu memasukkan malware dalam pembaruan.

Setelah terinstal, malware terhubung ke apa yang secara teknis dikenal sebagai server perintah dan kontrol (C2). Server C2 eItu diprogram untuk memberikan tugas-tugas komputer yang terhubung seperti kemampuan untuk mentransfer file, menjalankan perintah, mem-boot ulang mesin, dan menonaktifkan layanan sistem. Dengan kata lain, agen Yttrium mendapatkan akses penuh ke jaringan mereka yang telah menginstal pembaruan program Orion.

Selanjutnya saya akan mengutip paragraf kata demi kata dari artikel Smith

Tidak butuh waktu lama bagi kita untuk menyadari

pentingnya kerja tim teknis di seluruh industri dan dengan pemerintah
dari Amerika Serikat. Insinyur dari SolarWinds, FireEye, dan Microsoft segera mulai bekerja bersama. Tim FireEye dan Microsoft saling mengenal dengan baik, tetapi SolarWinds adalah perusahaan kecil yang menghadapi krisis besar, dan tim harus segera membangun kepercayaan jika ingin efektif.
Insinyur SolarWinds membagikan kode sumber pembaruan mereka dengan tim keamanan dari dua perusahaan lainnya,
yang mengungkapkan kode sumber malware itu sendiri. Tim teknis dari pemerintah AS dengan cepat beraksi, terutama di National Security Agency (NSA) dan Cybersecurity and Infrastructure Security Agency (CISA) dari Departemen Keamanan Dalam Negeri.

Sorotan adalah milikku. Itu kerja sama tim dan berbagi kode sumber Bukankah itu terdengar seperti sesuatu bagi Anda?

Setelah membuka pintu belakang, malware tidak aktif selama dua minggu, untuk menghindari pembuatan entri log jaringan yang akan mengingatkan administrator. PSelama periode ini, ia mengirim informasi tentang jaringan yang telah menginfeksi server perintah dan kontrol. yang dimiliki penyerang dengan penyedia hosting GoDaddy.

Jika kontennya menarik bagi Yttrium, penyerang masuk melalui pintu belakang dan memasang kode tambahan di server yang diserang untuk terhubung ke server perintah dan kontrol kedua. Server kedua ini, unik bagi setiap korban untuk membantu menghindari deteksi, telah didaftarkan dan dihosting di pusat data kedua, sering kali di cloud Amazon Web Services (AWS).

Microsoft v. SVR. moralnya

Jika Anda tertarik untuk mengetahui bagaimana pahlawan kita memberi penjahat mereka apa yang pantas mereka dapatkan, di paragraf pertama Anda memiliki tautan ke sumbernya. Saya akan langsung membahas mengapa saya menulis tentang ini di blog Linux. Konfrontasi Microsoft dengan SVR menunjukkan pentingnya kode yang tersedia untuk dianalisis, dan bahwa pengetahuan bersifat kolektif.

Memang benar, seperti yang diingatkan oleh pakar keamanan komputer prestisius pagi ini, bahwa tidak ada gunanya membuka kode jika tidak ada yang repot-repot menganalisisnya. Ada kasus Heartbleed untuk membuktikannya. Tapi, mari kita rekap. 38000 pelanggan kelas atas mendaftar untuk perangkat lunak berpemilik. Beberapa dari mereka menginstal pembaruan malware yang mengekspos informasi sensitif dan memberikan kontrol ke elemen infrastruktur penting yang tidak bersahabat. Perusahaan yang bertanggung jawab Dia hanya membuat kode tersedia untuk spesialis ketika dia dengan air di lehernya. Jika vendor perangkat lunak untuk infrastruktur kritis dan pelanggan sensitif diperlukan Melepaskan perangkat lunak Anda dengan lisensi terbuka, karena memiliki auditor kode tetap (atau agen eksternal yang bekerja untuk beberapa) risiko serangan seperti SolarWinds akan jauh lebih rendah.


tinggalkan Komentar Anda

Alamat email Anda tidak akan dipublikasikan. Bidang yang harus diisi ditandai dengan *

*

*

  1. Bertanggung jawab atas data: AB Internet Networks 2008 SL
  2. Tujuan data: Mengontrol SPAM, manajemen komentar.
  3. Legitimasi: Persetujuan Anda
  4. Komunikasi data: Data tidak akan dikomunikasikan kepada pihak ketiga kecuali dengan kewajiban hukum.
  5. Penyimpanan data: Basis data dihosting oleh Occentus Networks (UE)
  6. Hak: Anda dapat membatasi, memulihkan, dan menghapus informasi Anda kapan saja.

  1.   Gambar placeholder Diego Vallejo dijo
    dahulu 3 tahun

    Belum lama ini, M $ menuduh semua orang yang menggunakan perangkat lunak bebas komunis, seperti dalam McCarthyisme terburuk.

    Balas ke Diego Vallejo