Lahko bi bil to roman Toma Clancyja iz serije NetForce, vendar to je knjiga napisal predsednik Microsofta Brad Smith v poklon sebi in svojemu podjetju. Kakorkoli, če se bere med vrsticami (vsaj v izvleček do katerega je imel dostop dostop) in ločuje samopodobe po hrbtu in palice do tekmovalcev, kar ostane, je zelo zanimivo in poučno. In po mojem skromnem mnenju vzorec prednosti brezplačne programske opreme in odprtokodnega modela.
Znaki
Vsak vohunski roman potrebuje "slabega fanta" in v tem primeru nimamo nič manj kot SVR, ena od organizacij, ki je po razpadu ZSSR nasledila KGB. SVR obravnava vse obveščevalne naloge, ki se izvajajo zunaj meje Ruske federacije. "Nedolžna žrtev" je bilo podjetje SolarWinds, ki razvija programsko opremo za upravljanje omrežij.Uporabljajo ga velike korporacije, upravljavci kritične infrastrukture in ameriške vladne agencije. Seveda potrebujemo junaka. V tem primeru je po njihovem mnenju Microsoftov oddelek za obveščanje o grožnjah.
Kako bi lahko bilo drugače, v hekerski zgodbi imata "slaba" in "dobra" vzdevek. SVR je itrij (itrij). Pri Microsoftu uporabljajo manj pogoste elemente periodnega sistema kot kodno ime za možne vire groženj. Oddelek za obveščanje o grožnjah je MSTIC za njegovo kratico v angleščini, čeprav jo notranje razglasijo za mistično (mistično) zaradi fonetične podobnosti. V nadaljevanju bom za udobje uporabljal te izraze.
Microsoft proti SVR. Dejstva
30. novembra 2020 FireEye, eno od glavnih podjetij za računalniško varnost v ZDA, odkrije, da je utrpel kršitev varnosti v svojih strežnikih. Ker tega sami niso mogli popraviti (žal mi je, a ne morem nehati govoriti o »kovačevi hiši, leseni nož«), so se odločili, da za pomoč poprosijo Microsoftove strokovnjake. Ker je MSTIC sledil stopinjam itrija inTakoj so bili sumljivi do Rusov, diagnozo so pozneje potrdile uradne ameriške obveščevalne službe.
Skozi dneve je bilo ugotovljeno, da so bili napadi namenjeni občutljivim računalniškim omrežjem po vsem svetu, vključno s samim Microsoftom. Po poročanju časnikov je bila očitno glavna tarča napada vlada Združenih držav Amerike, ministrstvo za finance, State Department, Ministrstvo za trgovino, Ministrstvo za energijo in deli Pentagona. Na seznam žrtev je na desetine prizadetih organizacij. Sem spadajo druga tehnološka podjetja, vladni izvajalci, raziskovalni centri in univerza. Napadi niso bili usmerjeni samo proti ZDA, saj so prizadeli Kanado, Združeno kraljestvo, Belgijo, Španijo, Izrael in Združene arabske emirate. V nekaterih primerih je prodor v omrežje trajal več mesecev.
Poreklo
Vse se je začelo s programsko opremo za upravljanje omrežja Orion, ki jo je razvilo podjetje SolarWinds. Z več kot 38000 poslovnimi strankami Na visoki ravni so morali napadalci v posodobitev vstaviti samo zlonamerno programsko opremo.
Ko je zlonamerna programska oprema nameščena, je povezana s strežnikom za ukaze in nadzor (C2). Strežnik C2 eProgramiran je bil tako, da povezanemu računalniku daje naloge, kot so prenos datotek, izvajanje ukazov, ponovni zagon računalnika in onemogočanje sistemskih storitev. Z drugimi besedami, agenti Yttrium so imeli popoln dostop do omrežja tistih, ki so namestili posodobitev programa Orion.
Nato bom citiral dobesedni odstavek iz Smithovega članka
Ni trajalo dolgo, da smo se tega zavedli
pomen tehničnega timskega dela v industriji in z vladoiz Združenih držav. Inženirji iz SolarWinds, FireEye in Microsoft so takoj začeli sodelovati. Ekipi FireEye in Microsoft sta se dobro poznali, vendar je bilo SolarWinds manjše podjetje, ki se sooča z veliko krizo, zato so morale ekipe, da bi bile učinkovite, hitro zgraditi zaupanje.Inženirji SolarWindsa so izvorno kodo svoje posodobitve delili z varnostnimi skupinami drugih dveh podjetij,ki je razkrila izvorno kodo same zlonamerne programske opreme. Tehnične ekipe ameriške vlade so hitro začele ukrepati, zlasti pri Agenciji za nacionalno varnost (NSA) in Agenciji za kibernetsko varnost in varnost infrastrukture (CISA) pri Ministrstvu za domovinsko varnost.
Vrhunci so moji. To je skupinsko delo in deljenje izvorne kode. Se vam to ne sliši?
Ko odprete zadnja vrata, zlonamerna programska oprema ni bila aktivna dva tedna, da se izognete ustvarjanju vnosov v omrežni dnevnik, ki bodo skrbnike opozorili. PV tem obdobju je poslal podatke o omrežju, ki je okužilo ukazni in nadzorni strežnik. ki so jih imeli napadalci pri ponudniku gostovanja GoDaddy.
Če bi bila vsebina zanimiva za Yttrium, napadalci so vstopili skozi zadnja vrata in na napadel strežnik namestili dodatno kodo za povezavo z drugim strežnikom za ukaze in nadzor. Ta drugi strežnik, edinstven za vsako žrtev, da bi se izognil odkrivanju, je bil registriran in gostil v drugem podatkovnem centru, pogosto v oblaku Amazon Web Services (AWS).
Microsoft proti SVR. Morala
Če vas zanima, kako so naši junaki svojim zlikovcem dali, kar si zaslužijo, imate v prvih odstavkih povezave do virov. Takoj bom skočil na to, zakaj o tem pišem na blogu Linux. Microsoftovo soočenje s SVR dokazuje, kako pomembno je, da je koda na voljo za analizo in da je znanje skupno.
Res je, kot me je danes zjutraj spomnil ugledni strokovnjak za računalniško varnost, da je koda odprta, če jo nihče ne analizira, je neuporabna. Obstaja dokaz Heartbleed, ki to dokazuje. No, povzemimo. Za lastniško programsko opremo se je prijavilo 38000 vrhunskih odjemalcev. Več jih je namestilo posodobitev zlonamerne programske opreme, ki je razkrila občutljive podatke in dala nadzor sovražnim elementom kritične infrastrukture. Odgovorno podjetje kodo je dal na voljo le strokovnjakom, ko je bil z vodo okoli vratu. Če bi bili potrebni prodajalci programske opreme za kritično infrastrukturo in občutljive stranke Ob izdaji vaše programske opreme z odprtimi licencami, saj bi imeli revizor kode rezidenta (ali zunanja agencija, ki dela za več), tveganje za napade, kot je SolarWinds, veliko manjše.
Ne tako dolgo nazaj je M $ obtožil vse, ki so uporabljali brezplačno programsko opremo, komunistov, kot v najslabšem primeru makartizma.