Microsoft v. SVR. De ce open source ar trebui să fie norma

Diego Germán González

Minute 6

Microsoft vs. SVR

Ar fi putut fi un roman Tom Clancy din seria NetForce, dar este o carte scris de președintele Microsoft, Brad Smith, ca omagiu adus lui însuși și companiei sale. Oricum, dacă se citește între rânduri (cel puțin în extractul la care a avut acces un portal) și separă paturile auto de pe spate și stick-urile de concurenți, ceea ce rămâne este foarte interesant și instructiv. Și, în umila mea părere, un eșantion al avantajelor software-ului gratuit și modelului open source.

Personaje

Fiecare roman de spionaj are nevoie de un „tip rău” și, în acest caz, nu avem nimic mai puțin decât SVR, una dintre organizațiile care au succedat KGB-ului după prăbușirea URSS. SVR se ocupă de toate sarcinile de informații desfășurate în afara graniței Federației Ruse. „Victima nevinovată” a fost SolarWinds, o companie care dezvoltă software de gestionare a rețelei.Este folosit de corporații mari, administratori de infrastructură critici și agenții guvernamentale din SUA. Desigur, avem nevoie de un erou. În acest caz, potrivit lor, este departamentul de informații despre amenințări al Microsoft.

Cum nu ar putea fi altfel, într-o poveste despre hacker, „răul” și „cel bun” au un alias. SVR este itriu (itriu). La Microsoft, utilizează elementele mai puțin frecvente ale tabelului periodic ca nume de cod pentru posibile surse de amenințări. Departamentul de informații despre amenințări este MSTIC pentru acronimul său în engleză, deși intern o pronunță mistic (mistic) pentru asemănarea fonetică. În continuare, pentru comoditate, voi folosi acești termeni.

Microsoft v. SVR. Faptele

La 30 noiembrie 2020, FireEye, una dintre principalele companii de securitate a computerelor din SUA, descoperă că a suferit o încălcare a securității în propriile sale servere. Deoarece nu au reușit să o rezolve singuri (îmi pare rău, dar nu mă pot opri să spun „casa fierarului, cuțitul de lemn”), au decis să solicite ajutor specialiștilor Microsoft. De când MSTIC a urmat pe urmele Yttrium șiAu fost imediat suspicioși față de ruși, un diagnostic confirmat ulterior de serviciile oficiale de informații americane.

Pe măsură ce au trecut zilele, s-a constatat că atacurile vizează rețele de calculatoare sensibile din întreaga lume, inclusiv Microsoft în sine. Conform rapoartelor mass-media, guvernul Statelor Unite a fost în mod clar principala țintă a atacului, cu Departamentul Trezoreriei, Departamentul de Stat, Departamentul Comerț, Departamentul Energie și părți ale Pentagonului.zeci de organizații afectate pe lista victimelor. Acestea includ alte companii de tehnologie, contractori guvernamentali, grupuri de reflecție și o universitate. Atacurile nu au fost îndreptate numai împotriva Statelor Unite, deoarece au afectat Canada, Regatul Unit, Belgia, Spania, Israel și Emiratele Arabe Unite. În unele cazuri, penetrările în rețea au durat câteva luni.

Originea

Totul a început cu un software de gestionare a rețelei numit Orion și dezvoltat de o companie numită SolarWinds. Cu peste 38000 de clienți corporativi la nivel înalt, atacatorii trebuiau să introducă doar un malware într-o actualizare.

Odată instalat, malware-ul s-a conectat la ceea ce este cunoscut tehnic ca server de comandă și control (C2). Serverul C2 eA fost programat pentru a oferi sarcini computerului conectat, cum ar fi posibilitatea de a transfera fișiere, de a executa comenzi, de a reporni o mașină și de a dezactiva serviciile de sistem. Cu alte cuvinte, agenții Yttrium au obținut acces complet la rețeaua celor care au instalat actualizarea programului Orion.

În continuare, voi cita un paragraf textual din articolul lui Smith

Nu a durat mult să ne dăm seama

importanța muncii în echipă tehnică în întreaga industrie și cu guvernul
din Statele Unite. Inginerii de la SolarWinds, FireEye și Microsoft au început să lucreze împreună imediat. Echipele FireEye și Microsoft se cunoșteau bine, dar SolarWinds era o companie mai mică care se confrunta cu o criză majoră, iar echipele trebuiau să-și construiască rapid încrederea, dacă vor fi eficiente.
Inginerii SolarWinds au împărtășit codul sursă al actualizării lor cu echipele de securitate ale celorlalte două companii,
care a dezvăluit codul sursă al malware-ului în sine. Echipele tehnice din guvernul SUA au început rapid să acționeze, în special la Agenția Națională de Securitate (NSA) și Agenția pentru Securitate Cibernetică și Infrastructură (CISA) a Departamentului pentru Securitate Internă.

Cele mai importante sunt ale mele. Lucrul în echipă și partajarea codului sursă. Nu ți se pare ceva?

După deschiderea ușii din spate, malware-ul a fost inactiv timp de două săptămâni, pentru a evita crearea intrărilor de jurnal de rețea care îi vor alerta pe administratori. PÎn această perioadă, a trimis informații despre rețeaua care a infectat un server de comandă și control. pe care atacatorii l-au avut cu furnizorul de găzduire GoDaddy.

Dacă conținutul a fost interesant pentru Yttrium, atacatorii au intrat pe ușa din spate și au instalat cod suplimentar pe serverul atacat pentru a se conecta la un al doilea server de comandă și control. Acest al doilea server, unic fiecărei victime pentru a ajuta la evitarea detectării, a fost înregistrat și găzduit într-un al doilea centru de date, adesea în cloud Amazon Web Services (AWS).

Microsoft v. SVR. Moralul

Dacă sunteți interesat să știți cum au dat eroii noștri ticăloșilor lor ceea ce merită, în primele paragrafe aveți link-uri către surse. Voi sări direct la motivul pentru care scriu despre asta pe un blog Linux. Confruntarea Microsoft cu SVR demonstrează importanța ca codul să fie disponibil pentru a fi analizat și că cunoștințele sunt colective.

Este adevărat, așa cum mi-a amintit un prestigios specialist în securitatea computerelor în această dimineață, că este inutil ca codul să fie deschis dacă nimeni nu se apucă să-l analizeze. Există cazul Heartbleed pentru a demonstra acest lucru. Dar, să recapitulăm. 38000 de clienți de ultimă generație s-au înscris pentru software proprietar. Mai mulți dintre ei au instalat o actualizare malware care a expus informații sensibile și a dat control elementelor ostile ale infrastructurii critice. Compania responsabilă El a pus codul la dispoziția specialiștilor doar atunci când era cu apa la gât. Dacă ar fi necesari furnizori de software pentru infrastructura critică și clienți sensibili Lansarea software-ului dvs. cu licențe deschise, deoarece un auditor de cod rezident (sau o agenție externă care lucrează pentru mai mulți) riscul de atacuri precum SolarWinds ar fi mult mai mic.


Lasă comentariul tău

Adresa ta de email nu va fi publicată. Câmpurile obligatorii sunt marcate cu *

*

*

  1. Responsabil pentru date: AB Internet Networks 2008 SL
  2. Scopul datelor: Control SPAM, gestionarea comentariilor.
  3. Legitimare: consimțământul dvs.
  4. Comunicarea datelor: datele nu vor fi comunicate terților decât prin obligație legală.
  5. Stocarea datelor: bază de date găzduită de Occentus Networks (UE)
  6. Drepturi: în orice moment vă puteți limita, recupera și șterge informațiile.

  1.   Imaginea de substituent a lui Diego Vallejo el a spus
    hace Ani 3

    Nu cu mult timp în urmă, M $ a acuzat pe toți cei care au folosit software-ul liber al comuniștilor, ca în cel mai rău McCarthyism.

    Răspunde lui Diego Vallejo