Microsoft v. SVR. Por que o código aberto deve ser a norma

Diego Germán González

Minutos 6

Microsoft vs. SVR

Pode ter sido um romance de Tom Clancy da série NetForce, mas é um livro escrito pelo presidente da Microsoft, Brad Smith, em homenagem a ele e sua empresa. De qualquer forma, se alguém ler nas entrelinhas (pelo menos em o extrato ao qual um portal tinha acesso) e separa os tapinhas nas costas dos próprios e os paus dos concorrentes, o que resta é muito interessante e instrutivo. E, na minha humilde opinião, uma amostra das vantagens do software livre e do modelo de código aberto.

As personagens

Todo romance de espionagem precisa de um "cara mau" e, neste caso, não temos nada menos do que o SVR, uma das organizações que sucederam a KGB após o colapso da URSS. O SVR lida com todas as tarefas de inteligência realizadas fora da fronteira da Federação Russa. A "vítima inocente" foi a SolarWinds, uma empresa que desenvolve software de gerenciamento de rede.É usado por grandes corporações, gerentes de infraestrutura crítica e agências governamentais dos Estados Unidos. Claro, precisamos de um herói. Neste caso, segundo eles, é o Departamento de Inteligência de Ameaças da Microsoft.

Como poderia ser diferente, em uma história de hacker, o "mau" e o "bom" têm um apelido. O SVR é ítrio (ítrio). Na Microsoft, eles usam os elementos menos comuns da tabela periódica como um nome de código para possíveis fontes de ameaças. O Departamento de Inteligência de Ameaças é MSTIC por sua sigla em inglês, embora internamente o pronunciem místico (místico) pela semelhança fonética. Doravante, por conveniência, usarei esses termos.

Microsoft v. SVR. Os fatos

Em 30 de novembro de 2020, a FireEye, uma das empresas líderes em segurança de computador nos Estados Unidos, descobre que sofreu uma violação de segurança em seus próprios servidores. Como não conseguiram resolver sozinhos (desculpa, mas não consigo parar de dizer a "casa do ferreiro, faca de madeira") resolveram pedir ajuda aos especialistas da Microsoft. Desde MSTIC tem seguido os passos do ítrio, eEles suspeitaram imediatamente dos russos, diagnóstico posteriormente confirmado pelos serviços oficiais de inteligência dos Estados Unidos.

Com o passar dos dias, descobriu-se que os ataques tinham como alvo redes de computadores sensíveis em todo o mundo, incluindo a própria Microsoft. De acordo com relatos da mídia, o governo dos Estados Unidos foi claramente o principal alvo do ataque, com o Departamento do Tesouro, o Departamento de Estado, o Departamento de Comércio, o Departamento de Energia e partes do Pentágono, dezenas de organizações afetadas na lista de vítimas. Isso inclui outras empresas de tecnologia, contratantes do governo, grupos de reflexão e uma universidade. Os ataques não foram dirigidos apenas contra os Estados Unidos, mas afetaram Canadá, Reino Unido, Bélgica, Espanha, Israel e Emirados Árabes Unidos. Em alguns casos, as penetrações na rede duraram vários meses.

Origem

Tudo começou com um software de gerenciamento de rede chamado Orion e desenvolvido por uma empresa chamada SolarWinds. Com mais de 38000 clientes corporativos de alto nível, os invasores precisavam apenas inserir um malware em uma atualização.

Depois de instalado, o malware se conectava ao que é tecnicamente conhecido como servidor de comando e controle (C2). O servidor C2 eEle foi programado para fornecer tarefas ao computador conectado, como a capacidade de transferir arquivos, executar comandos, reinicializar uma máquina e desativar serviços do sistema. Em outras palavras, os agentes Yttrium tiveram acesso total à rede de quem instalou a atualização do programa Orion.

Em seguida, vou citar um parágrafo literal do artigo de Smith

Não demorou muito para percebermos

a importância do trabalho em equipe técnico em toda a indústria e com o governo
dos Estados Unidos. Os engenheiros da SolarWinds, FireEye e Microsoft começaram a trabalhar juntos imediatamente. As equipes da FireEye e da Microsoft se conheciam bem, mas a SolarWinds era uma empresa menor que enfrentava uma grande crise e as equipes precisavam criar confiança rapidamente para serem eficazes.
Os engenheiros da SolarWinds compartilharam o código-fonte de sua atualização com as equipes de segurança das outras duas empresas,
que revelou o código-fonte do próprio malware. As equipes técnicas do governo dos Estados Unidos entraram em ação rapidamente, especialmente na National Security Agency (NSA) e na Cybersecurity and Infrastructure Security Agency (CISA) do Departamento de Segurança Interna.

Os destaques são meus. Trabalho em equipe e compartilhamento do código-fonte. Não parece algo para você?

Depois de abrir a porta dos fundos, o malware ficou inativo por duas semanas, para evitar a criação de entradas de log de rede que alertarão os administradores. PDurante esse período, ele enviou informações sobre a rede que havia infectado um servidor de comando e controle. que os invasores tiveram com o provedor de hospedagem GoDaddy.

Se o conteúdo fosse interessante para o ítrio, invasores entraram pela porta dos fundos e instalaram código adicional no servidor atacado para se conectar a um segundo servidor de comando e controle. Esse segundo servidor, exclusivo para cada vítima para ajudar a evitar a detecção, foi registrado e hospedado em um segundo data center, geralmente na nuvem Amazon Web Services (AWS).

Microsoft v. SVR. A moral

Se você está interessado em saber como nossos heróis deram aos seus vilões o que eles merecem, nos primeiros parágrafos você tem os links para as fontes. Vou pular direto para o motivo de escrever sobre isso em um blog sobre Linux. O confronto da Microsoft com o SVR demonstra a importância do código estar disponível para análise e que o conhecimento é coletivo.

É verdade, como me lembrou esta manhã um prestigioso especialista em segurança informática, que é inútil que o código seja aberto se ninguém se der ao trabalho de o analisar. Há o caso Heartbleed para provar isso. Mas, vamos recapitular. 38000 clientes high-end se inscreveram para software proprietário. Vários deles instalaram uma atualização de malware que expôs informações confidenciais e deu controle a elementos hostis da infraestrutura crítica. A empresa responsável Ele só disponibilizou o código para especialistas quando estava com a água em volta do pescoço. Se fornecedores de software para infraestrutura crítica e clientes confidenciais fossem necessários Lançar seu software com licenças abertas, já que ter um auditor de código residente (ou uma agência externa trabalhando para vários) o risco de ataques como o SolarWinds seria muito menor.


Deixe um comentário

Seu endereço de email não será publicado. Campos obrigatórios são marcados com *

*

*

  1. Responsável pelos dados: AB Internet Networks 2008 SL
  2. Finalidade dos dados: Controle de SPAM, gerenciamento de comentários.
  3. Legitimação: Seu consentimento
  4. Comunicação de dados: Os dados não serão comunicados a terceiros, exceto por obrigação legal.
  5. Armazenamento de dados: banco de dados hospedado pela Occentus Networks (UE)
  6. Direitos: A qualquer momento você pode limitar, recuperar e excluir suas informações.

  1.   Imagem de placeholder de Diego Vallejo dito
    atrás Anos 3

    Não faz muito tempo, M $ acusou todos que usavam software livre de comunistas, como no pior do macartismo.

    Resposta a Diego Vallejo