Могао је то бити роман Тома Цланција из НетФорце серије, али то је књига написао председник Мицрософта Брад Смитх у част себи и својој компанији. У сваком случају, ако се чита између редова (барем у екстракт на који је портал имао приступ) и одваја тапкање по леђима и штапове од такмичара, оно што остаје је веома занимљиво и поучно. И, по мом скромном мишљењу, узорак предности бесплатног софтвера и модела отвореног кода.
Карактери
Сваком шпијунском роману је потребан „лош момак“ и, у овом случају немамо ништа мање од СВР -а, једна од организација која је наследила КГБ након распада СССР -а. СВР се бави свим обавештајним задацима који се изводе ван границе Руске Федерације. "Невина жртва" била је СоларВиндс, компанија која развија софтвер за управљање мрежом.Користе га велике корпорације, менаџери критичне инфраструктуре и америчке владине агенције. Наравно, потребан нам је херој. У овом случају, према њима, ради се о Мицрософтовом Одељењу за обавештавање о претњама.
Како би могло бити другачије, у хакерској причи, "лоши" и "добри" имају псеудоним. СВР је итријум (итријум). У Мицрософту користе мање уобичајене елементе периодног система као кодно име за могуће изворе претњи. Обавештајни одсек за претње је МСТИЦ за његову скраћеницу на енглеском, иако је интерно проглашавају мистичном (мистичном) због фонетске сличности. У даљем тексту, ради практичности, користићу ове термине.
Мицрософт против СВР -а. Чињенице
30. новембра 2020. ФиреЕие, једна од главних компанија за рачунарску безбедност у САД -у, открива да је претрпела повреду безбедности на својим серверима. Како нису могли сами то поправити (жао ми је, али не могу престати говорити "ковачева кућа, дрвени нож"), одлучили су затражити помоћ од Мицрософтових стручњака. Пошто је МСТИЦ кренуо стопама итријума, иОдмах су били сумњичави према Русима, дијагнозу коју су касније потврдиле званичне обавештајне службе САД.
Како су дани пролазили, утврђено је да напади циљају осетљиве рачунарске мреже широм света, укључујући и сам Мицрософт. Према извештајима медија, Влада Сједињених Држава је очигледно била главна мета напада, са Министарством финансија, Стејт департментом, Министарством трговине, Одељењем за енергетику и деловима Пентагона. На списку жртава налази се на десетине погођених организација. Ово укључује друге технолошке компаније, владине извођаче, истраживачке центре и универзитет. Напади нису били усмјерени само против Сједињених Држава јер су погодили Канаду, Уједињено Краљевство, Белгију, Шпанију, Израел и Уједињене Арапске Емирате. У неким случајевима продор у мрежу трајао је неколико месеци.
Порекло
Све је почело са софтвером за управљање мрежом под називом Орион, а развила га је компанија под називом СоларВиндс. Са више од 38000 корпоративних клијената на високом нивоу, нападачи су морали само да убаце злонамерни софтвер у ажурирање.
Једном инсталиран, злонамерни софтвер повезан је са оним што је технички познато као сервер за команду и контролу (Ц2). Ц2 е серверПрограмиран је тако да повеже рачунарске задатке, попут могућности преноса датотека, извршавања наредби, поновног покретања машине и онемогућавања системских услуга. Другим речима, агенти Иттриум -а добили су пун приступ мрежи оних који су инсталирали ажурирање програма Орион.
Затим ћу цитирати дословни одломак из Смитховог чланка
Није нам требало много времена да то схватимо
важност техничког тимског рада широм индустрије и са владомиз Сједињених Америчких Држава. Инжењери из СоларВиндса, ФиреЕиеа и Мицрософта одмах су почели да раде заједно. Тимови ФиреЕие -а и Мицрософт -а добро су се познавали, али СоларВиндс је била мања компанија која се суочила са великом кризом, па су тимови морали брзо изградити поверење да би били ефикасни.Инжењери СоларВиндса поделили су изворни код свог ажурирања са безбедносним тимовима друге две компаније,који је открио изворни код самог злонамерног софтвера. Технички тимови из америчке владе брзо су кренули у акцију, посебно у Агенцији за националну безбедност (НСА) и Агенцији за кибернетичку безбедност и безбедност инфраструктуре (ЦИСА), Одељења за унутрашњу безбедност.
Истакнуте ствари су моје. Тимски рад и дељење изворног кода. Зар вам то не звучи као нешто?
Након отварања задњих врата, злонамерни софтвер је био неактиван две недеље, како би се избегло стварање уноса мрежног дневника који ће упозорити администраторе. ПТоком овог периода, он је слао информације о мрежи која је инфицирала сервер за команду и контролу. које су нападачи имали код ГоДадди хостинг провајдера.
Ако је садржај био интересантан за Итриј, нападачи су ушли на задња врата и инсталирали додатни код на нападнути сервер да би се повезали са другим сервером за команду и контролу. Овај други сервер, јединствен за сваку жртву како би избегао откривање, регистрован је и хостован у другом податковном центру, често у облаку Амазон Веб Сервицес (АВС).
Мицрософт против СВР -а. Морал
Ако вас занима како су наши хероји дали својим зликовцима оно што заслужују, у првим параграфима имате везе до извора. Прећи ћу директно на то зашто о овоме пишем на Линук блогу. Суочавање Мицрософта са СВР -ом показује важност кода који је доступан за анализу и да је знање колективно.
Истина је, како ме је јутрос подсетио угледни специјалиста за рачунарску безбедност, да је бескорисно да код буде отворен ако се нико не потруди да га анализира. Постоји случај Хеартблеед који то доказује. Али, резимирајмо. 38000 врхунских купаца пријавило се за власнички софтвер. Неколико њих је инсталирало ажурирање злонамерног софтвера које је открило осетљиве информације и дало контролу непријатељским елементима критичне инфраструктуре. Одговорно предузеће Шифру је ставио на располагање специјалистима само док је био са водом око врата. Ако су били потребни добављачи софтвера за критичну инфраструктуру и осетљиви купци Објављивањем вашег софтвера са отвореним лиценцама, пошто би постојао ревизор кода (или спољна агенција која ради за неколико), ризик од напада попут СоларВиндса био би много мањи.
Не тако давно, М $ је оптужио све који су користили бесплатни софтвер комуниста, као у најгорем случају макартизма.