Microsoft v. SVR. Varför öppen källkod bör vara normen

Diego Germán González

6 minuter

Microsoft vs SVR

Det kunde ha varit en Tom Clancy -roman från NetForce -serien, men det är en bok skriven av Microsofts president Brad Smith för att hylla sig själv och hans företag. Hur som helst, om man läser mellan raderna (åtminstone i extraktet till vilken en portal hade tillgång) och separerar självklapparna på baksidan och pinnarna till konkurrenterna, det som återstår är mycket intressant och lärorikt. Och, enligt min ödmjuka åsikt, ett urval av fördelarna med fri programvara och öppen källkodsmodell.

Tecken

Varje spionroman behöver en "bad guy" och i det här fallet har vi inget mindre än SVR, en av de organisationer som efterträdde KGB efter Sovjetunionens kollaps. SVR behandlar alla underrättelseuppgifter som utförs utanför Ryska federationens gräns. Det "oskyldiga offret" var SolarWinds, ett företag som utvecklar mjukvara för nätverkshantering.Det används av stora företag, kritiska infrastrukturförvaltare och amerikanska myndigheter. Naturligtvis behöver vi en hjälte. I det här fallet är det enligt dem själva Microsofts Threat Intelligence Department.

Hur kan det annars vara, i en hackarhistoria har de "dåliga" och "goda" ett alias. SVR är Yttrium (Yttrium). På Microsoft använder de de mindre vanliga elementen i det periodiska systemet som ett kodnamn för möjliga hotkällor. Threat Intelligence Department är MSTIC för sin förkortning på engelska, även om de internt uttalar det mystiskt (mystiskt) för den fonetiska likheten. I det följande kommer jag att använda dessa villkor för enkelhets skull.

Microsoft v. SVR. Fakta

Den 30 november 2020 upptäcker FireEye, ett av de viktigaste datasäkerhetsföretagen i USA, att det har drabbats av ett säkerhetsbrott i sina egna servrar. Eftersom de inte kunde fixa det själva (jag är ledsen, men jag kan inte sluta säga "smedens hus, träkniv") bestämde de sig för att be Microsofts specialister om hjälp. Eftersom MSTIC hade följt i Yttriums fotspår, ochDe var omedelbart misstänksamma mot ryssarna, en diagnos som senare bekräftades av de officiella amerikanska underrättelsetjänsterna.

När dagarna gick, befanns attackerna riktas mot känsliga datanätverk runt om i världen, inklusive Microsoft själv. Enligt medierapporter var USA: s regering helt klart huvudmålet för attacken, med finansdepartementet, utrikesdepartementet, handelsdepartementet, energidepartementet och delar av Pentagon. Dussintals berörda organisationer på listan över offer. Dessa inkluderar andra teknikföretag, statliga entreprenörer, tankesmedjor och ett universitet. Attackerna riktades inte bara mot USA eftersom de påverkade Kanada, Storbritannien, Belgien, Spanien, Israel och Förenade Arabemiraten. I några av fallen varade penetrationerna i nätverket i flera månader.

Ursprunget

Allt började med nätverkshanteringsprogramvara som heter Orion och utvecklades av ett företag som heter SolarWinds. Med mer än 38000 XNUMX företagskunder på hög nivå behövde angriparna bara infoga en skadlig kod i en uppdatering.

När den har installerats kopplas skadlig programvara till det som tekniskt kallas en kommando- och kontrollserver (C2). C2 e -servernDen var programmerad för att ge den anslutna datorn uppgifter som möjligheten att överföra filer, köra kommandon, starta om en maskin och inaktivera systemtjänster. Med andra ord fick Yttrium -agenterna full tillgång till nätverket för dem som hade installerat Orion -programuppdateringen.

Därefter kommer jag att citera ett ordagrant stycke från Smiths artikel

Det tog inte lång tid för oss att inse

vikten av tekniskt lagarbete i branschen och med regeringen
från USA. Ingenjörer från SolarWinds, FireEye och Microsoft började samarbeta direkt. Teamet FireEye och Microsoft kände varandra väl, men SolarWinds var ett mindre företag som stod inför en stor kris, och lagen fick snabbt bygga upp förtroende för att de skulle vara effektiva.
SolarWinds ingenjörer delade källkoden för sin uppdatering med säkerhetsteamen i de andra två företagen,
som avslöjade källkoden för själva skadlig programvara. Tekniska team från den amerikanska regeringen kom snabbt till handling, särskilt vid National Security Agency (NSA) och Cybersecurity and Infrastructure Security Agency (CISA) vid Department of Homeland Security.

Höjdpunkterna är mina. Det med lagarbete och dela källkoden. Låter det inte som något för dig?

Efter att ha öppnat bakdörren, skadlig programvara var inaktiv i två veckor, för att undvika att skapa nätverksloggposter som varnar administratörer. PUnder denna period skickade den information om nätverket som hade infekterat en kommando- och kontrollserver. som angriparna hade med GoDaddy -värdleverantören.

Om innehållet var intressant för Yttrium, angripare gick in genom bakdörren och installerade ytterligare kod på den attackerade servern för att ansluta till en andra kommando- och kontrollserver. Denna andra server, unik för varje offer för att undvika upptäckt, registrerades och var värd i ett andra datacenter, ofta i Amazon Web Services (AWS) moln.

Microsoft v. SVR. Moralen

Om du är intresserad av att veta hur våra hjältar gav sina skurkar vad de förtjänar, har du i de första styckena länkar till källorna. Jag ska hoppa direkt till varför jag skriver om detta på en Linux -blogg. Microsofts konfrontation med SVR visar vikten av att koden är tillgänglig för analys och att kunskapen är kollektiv.

Det är sant, som en prestigefylld datorsäkerhetsspecialist påminde mig i morse, att det är värdelöst att koden är öppen om ingen bryr sig om att analysera den. Det finns Heartbleed -fallet som bevisar det. Men, låt oss sammanfatta. 38000 XNUMX avancerade kunder registrerade sig för egenutvecklad programvara. Flera av dem installerade en uppdatering av skadlig programvara som avslöjade känslig information och gav kontroll över fientliga delar av kritisk infrastruktur. Det ansvariga företaget Han gjorde koden endast tillgänglig för specialister när han var med vattnet runt halsen. Om det krävdes mjukvaruleverantörer för kritisk infrastruktur och känsliga kunder Att släppa din programvara med öppna licenser eftersom risken för attacker som SolarWinds skulle vara mycket lägre eftersom det finns en granskare för inhemsk kod (eller en extern byrå som arbetar för flera).


Lämna din kommentar

Din e-postadress kommer inte att publiceras. Obligatoriska fält är markerade med *

*

*

  1. Ansvarig för data: AB Internet Networks 2008 SL
  2. Syftet med uppgifterna: Kontrollera skräppost, kommentarhantering.
  3. Legitimering: Ditt samtycke
  4. Kommunikation av uppgifterna: Uppgifterna kommer inte att kommuniceras till tredje part förutom enligt laglig skyldighet.
  5. Datalagring: databas värd för Occentus Networks (EU)
  6. Rättigheter: När som helst kan du begränsa, återställa och radera din information.

  1.   Platshållarbild för Diego Vallejo sade
    sedan 3 år

    För inte så länge sedan anklagade M $ alla som använde gratis programvara från kommunister, som i det värsta av McCarthyism.

    Svar till Diego Vallejo