Microsoft v. SVR. Hvorfor åpen kildekode bør være normen

Diego Germán González

6 minutter

Microsoft vs. SVR

Det kunne ha vært en Tom Clancy -roman fra NetForce -serien, men det er en bok skrevet av Microsofts president Brad Smith som en hyllest til seg selv og hans selskap. Uansett, hvis man leser mellom linjene (minst i ekstraktet som en portal hadde tilgang til) og skiller selv klappene på ryggen og pinnene til konkurrentene, det som gjenstår er veldig interessant og lærerikt. Og, etter min ydmyke mening, et utvalg av fordelene med gratis programvare og åpen kildekode -modell.

Tegn

Hver spionroman trenger en "bad guy", og i dette tilfellet har vi intet mindre enn SVR, en av organisasjonene som etterfulgte KGB etter Sovjetunionens sammenbrudd. SVR behandler alle etterretningsoppgaver som utføres utenfor grensen til Den russiske føderasjonen. Det "uskyldige offeret" var SolarWinds, et selskap som utvikler programvare for nettverksadministrasjon.Den brukes av store selskaper, kritiske infrastrukturforvaltere og amerikanske myndigheter. Selvfølgelig trenger vi en helt. I dette tilfellet, ifølge dem selv, er det Microsofts Threat Intelligence Department.

Hvordan kan det være annerledes, i en hackerhistorie har de "dårlige" og "gode" et alias. SVR er Yttrium (Yttrium). Hos Microsoft bruker de de mindre vanlige elementene i det periodiske systemet som et kodenavn for mulige kilder til trusler. Threat Intelligence Department er MSTIC for dets akronym på engelsk, selv om de internt uttaler det mystisk (mystisk) for den fonetiske likheten. I det følgende vil jeg for enkelhets skyld bruke disse vilkårene.

Microsoft v. SVR. Faktaene

30. november 2020 oppdager FireEye, et av de ledende datasikkerhetsselskapene i USA, at det hadde hatt et sikkerhetsbrudd på sine egne servere. Siden de ikke klarte å fikse det selv (beklager, men jeg kan ikke slutte å si "smedens hus, trekniv") bestemte de seg for å be Microsofts spesialister om hjelp. Siden MSTIC hadde fulgt i fotsporene til Yttrium, ogDe ble umiddelbart mistenksom overfor russerne, en diagnose som senere ble bekreftet av de offisielle amerikanske etterretningstjenestene.

Etter hvert som dagene gikk, ble det funnet at angrepene var rettet mot sensitive datanettverk rundt om i verden, inkludert Microsoft selv. Ifølge medieoppslag var USAs regjering klart hovedmålet for angrepet, med finansdepartementet, utenriksdepartementet, handelsdepartementet, energidepartementet og deler av Pentagon. Dusinvis av berørte organisasjoner på listen over ofre. Disse inkluderer andre teknologiselskaper, offentlige entreprenører, tenketanker og et universitet. Angrepene var ikke bare rettet mot USA da de påvirket Canada, Storbritannia, Belgia, Spania, Israel og De forente arabiske emirater. I noen av tilfellene varte penetrasjoner i nettverket i flere måneder.

Opprinnelse

Det hele startet med nettverksadministrasjonsprogramvare kalt Orion og utviklet av et selskap som heter SolarWinds. Med mer enn 38000 XNUMX bedriftskunder på høyt nivå, måtte angriperne bare sette inn skadelig programvare i en oppdatering.

Når den er installert, koblet skadelig programvare til det som teknisk kalles en kommando og kontroll (C2) server. C2 e -serverenDen var programmert til å gi de tilkoblede datamaskinoppgavene, for eksempel muligheten til å overføre filer, utføre kommandoer, starte en maskin på nytt og deaktivere systemtjenester. Med andre ord fikk Yttrium -agentene full tilgang til nettverket til de som hadde installert Orion -programoppdateringen.

Deretter skal jeg sitere et ordrett avsnitt fra Smiths artikkel

Det tok ikke lang tid før vi skjønte det

viktigheten av teknisk teamarbeid på tvers av industrien og med myndighetene
fra de forente stater. Ingeniører fra SolarWinds, FireEye og Microsoft begynte å jobbe sammen umiddelbart. Teamene FireEye og Microsoft kjente hverandre godt, men SolarWinds var et mindre selskap som sto overfor en stor krise, og teamene måtte raskt bygge tillit for å være effektive.
SolarWinds ingeniører delte kildekoden til oppdateringen med sikkerhetsteamene til de to andre selskapene,
som avslørte kildekoden til selve skadelig programvare. Tekniske team fra den amerikanske regjeringen kom raskt i aksjon, spesielt ved National Security Agency (NSA) og Cybersecurity and Infrastructure Security Agency (CISA) ved Department of Homeland Security.

Høydepunktene er mine. Det med teamarbeid og deling av kildekoden. Høres ikke det ut som noe for deg?

Etter å ha åpnet bakdøren, skadelig programvare var inaktiv i to uker, for å unngå å opprette nettverksloggoppføringer som vil varsle administratorer. PI løpet av denne perioden sendte den informasjon om nettverket som hadde infisert en kommando- og kontrollserver. som angriperne hadde med GoDaddy -hostingleverandøren.

Hvis innholdet var interessant for Yttrium, angriperne kom inn gjennom bakdøren og installerte tilleggskode på den angrepne serveren for å koble til en andre kommando- og kontrollserver. Denne andre serveren, unik for hvert offer for å unngå å bli oppdaget, ble registrert og hostet i et andre datasenter, ofte i Amazon Web Services (AWS) -skyen.

Microsoft v. SVR. Moralen

Hvis du er interessert i å vite hvordan våre helter ga skurkene sine det de fortjener, har du i de første avsnittene lenker til kildene. Jeg skal hoppe rett til hvorfor jeg skriver om dette på en Linux -blogg. Microsofts konfrontasjon med SVR demonstrerer viktigheten av at koden er tilgjengelig for analyse, og at kunnskapen er kollektiv.

Det er sant, som en prestisjetung datasikkerhetsspesialist minnet meg på i morges, at det er ubrukelig at koden er åpen hvis ingen tar seg bryet med å analysere den. Det er Heartbleed -saken som beviser det. Men, la oss oppsummere. 38000 XNUMX avanserte kunder registrerte seg for proprietær programvare. Flere av dem installerte en malwareoppdatering som avslørte sensitiv informasjon og ga kontroll over fiendtlige elementer i kritisk infrastruktur. Det ansvarlige selskapet Han gjorde koden kun tilgjengelig for spesialister da han var med vannet rundt halsen. Hvis det var nødvendig med programvareleverandører for kritisk infrastruktur og sensitive kunder Å frigjøre programvaren din med åpne lisenser, siden risikoen for angrep som SolarWinds ville være mye lavere hvis du har en innholdsrevisor (eller et eksternt byrå som jobber for flere).


Legg igjen kommentaren

Din e-postadresse vil ikke bli publisert. Obligatoriske felt er merket med *

*

*

  1. Ansvarlig for dataene: AB Internet Networks 2008 SL
  2. Formålet med dataene: Kontroller SPAM, kommentaradministrasjon.
  3. Legitimering: Ditt samtykke
  4. Kommunikasjon av dataene: Dataene vil ikke bli kommunisert til tredjeparter bortsett fra ved juridisk forpliktelse.
  5. Datalagring: Database vert for Occentus Networks (EU)
  6. Rettigheter: Når som helst kan du begrense, gjenopprette og slette informasjonen din.

  1.   Diego Vallejo plassholderbilde sa
    hace 3 år

    For ikke så lenge siden anklaget M $ alle som brukte gratis programvare som kommunister, som i det verste av McCartism.

    Svar til Diego Vallejo