Microsoft против SVR. Почему открытый исходный код должен быть нормой

Это мог бы быть роман Тома Клэнси из серии NetForce, но это книга написано президентом Microsoft Брэдом Смитом в честь себя и своей компании. Во всяком случае, если читать между строк (хотя бы в экстракт к которому у портала был доступ) и отделяет пики на спине и палочки от конкурентов, то, что осталось, очень интересно и поучительно. И, по моему скромному мнению, образец преимуществ бесплатного программного обеспечения и модели с открытым исходным кодом.

Символы

Каждому шпионскому роману нужен «плохой парень», и в данном случае у нас есть не что иное, как SVR, одна из организаций, пришедших на смену КГБ после распада СССР. СВР занимается всеми разведывательными задачами, выполняемыми за пределами границы Российской Федерации. «Невинной жертвой» стала компания SolarWinds, разрабатывающая программное обеспечение для управления сетью.Он используется крупными корпорациями, менеджерами критической инфраструктуры и правительственными учреждениями США. Конечно, нам нужен герой. В данном случае, по их словам, это отдел аналитики угроз Microsoft.

Как могло быть иначе, в хакерской истории у «плохого» и «хорошего» есть псевдонимы. SVR - это иттрий (иттрий). В Microsoft в качестве кодового названия возможных источников угроз используются менее распространенные элементы периодической таблицы. Департамент анализа угроз - MSTIC для его аббревиатуры на английском языке, хотя внутри они произносят его mystic (мистический) из-за фонетического сходства. В дальнейшем для удобства я буду использовать эти термины.

Microsoft против SVR. Факты

30 ноября 2020 года FireEye, одна из ведущих компаний в области компьютерной безопасности в США, обнаруживает, что на ее серверах возникла брешь в безопасности. Поскольку сами решить эту проблему не смогли (извините, но я не могу перестать говорить «дом кузнеца, деревянный нож»), они решили обратиться за помощью к специалистам Microsoft. Поскольку MSTIC пошла по стопам Иттрия, иОни сразу же с подозрением отнеслись к русским, диагноз позже подтвердили официальные спецслужбы США.

С течением времени выяснилось, что атаки нацелены на уязвимые компьютерные сети по всему миру, включая саму Microsoft. Согласно газетным сообщениям, правительство Соединенных Штатов явно было главной целью атаки, а министерство финансов, государственный департамент, министерство торговли, министерство энергетики и некоторые подразделения Пентагона были внесены в список жертв. К ним относятся другие технологические компании, государственные подрядчики, аналитические центры и университет. Атаки были направлены не только на США, но и на Канаду, Великобританию, Бельгию, Испанию, Израиль и Объединенные Арабские Эмираты. В некоторых случаях проникновения в сеть длились несколько месяцев.

Происхождение

Все началось с программного обеспечения для управления сетью Orion, разработанного компанией SolarWinds. С более чем 38000 корпоративных клиентов На высоком уровне злоумышленникам достаточно было вставить вредоносное ПО в обновление.

После установки вредоносная программа подключилась к так называемому серверу управления и контроля (C2). Сервер C2 eОн был запрограммирован так, чтобы давать подключенному компьютеру такие задачи, как возможность передавать файлы, выполнять команды, перезагружать машину и отключать системные службы. Другими словами, агенты Yttrium получили полный доступ к сети тех, кто установил обновление программы Orion.

Далее я процитирую дословный абзац из статьи Смита.

Нам не потребовалось много времени, чтобы понять

важность технической совместной работы в отрасли и с правительством

из Соединенных Штатов. Инженеры из SolarWinds, FireEye и Microsoft сразу же начали совместную работу. Команды FireEye и Microsoft хорошо знали друг друга, но SolarWinds была небольшой компанией, столкнувшейся с серьезным кризисом, и командам нужно было быстро завоевать доверие, чтобы они были эффективными.

Инженеры SolarWinds поделились исходным кодом своего обновления с группами безопасности двух других компаний,

который раскрыл исходный код самой вредоносной программы. Технические группы правительства США быстро начали действовать, особенно в Агентстве национальной безопасности (АНБ) и Агентстве кибербезопасности и безопасности инфраструктуры (CISA) Министерства внутренней безопасности.

Основные моменты - мои. Работа в команде и совместное использование исходного кода. Тебе это не кажется чем-то особенным?

Открыв заднюю дверь, зловред был неактивен две недели, чтобы избежать создания записей сетевого журнала, которые будут предупреждать администраторов. пВ течение этого периода он отправлял информацию о сети, которая заразила управляющий сервер. что злоумышленники получили от хостинг-провайдера GoDaddy.

Если контент был интересен Иттриуму, злоумышленники проникли через черный ход и установили на атакованном сервере дополнительный код для подключения ко второму серверу управления и контроля.. Этот второй сервер, уникальный для каждой жертвы и помогающий избежать обнаружения, был зарегистрирован и размещен во втором центре обработки данных, часто в облаке Amazon Web Services (AWS).

Microsoft против SVR. Моральный дух

Если вам интересно узнать, как наши герои отдали своим злодеям то, чего они заслуживают, в первых абзацах вы найдете ссылки на источники. Я сразу перейду к тому, почему я пишу об этом в блоге о Linux. Противостояние Microsoft с SVR демонстрирует важность доступности кода для анализа и того, что знания носят коллективный характер.

Это правда, как напомнил мне сегодня утром авторитетный специалист по компьютерной безопасности, что бесполезно открывать код, если никто не потрудится его проанализировать. Это доказывает дело Heartbleed. Но, подведем итоги. 38000 высокопроизводительных клиентов подписались на проприетарное программное обеспечение. Некоторые из них установили обновление вредоносного ПО, которое раскрыло конфиденциальную информацию и предоставило контроль враждебным элементам критически важной инфраструктуры. Ответственная компания он сделал код доступным специалистам, только когда он был с водой на шее. Если потребуются поставщики программного обеспечения для критически важной инфраструктуры и чувствительные клиенты Выпуск вашего программного обеспечения с открытыми лицензиями, поскольку наличие резидента-аудитора кода (или внешнего агентства, работающего на нескольких), риск атак, подобных SolarWinds, будет намного ниже.