Maaaring ito ay isang nobelang Tom Clancy mula sa serye ng NetForce, ngunit libro ito isinulat ni Microsoft President Brad Smith bilang pagkilala sa kanyang sarili at sa kanyang kumpanya. Gayunpaman, kung may magbasa sa pagitan ng mga linya (hindi bababa sa ang katas kung saan ang isang portal ay may access) at pinaghihiwalay ang sarili na mga pat sa likod at ang mga stick sa mga kakumpitensya, kung ano ang nananatili ay napaka-kawili-wili at nakapagturo. At, sa aking mapagpakumbabang opinyon, isang sample ng mga pakinabang ng libre at bukas na modelo ng software ng mapagkukunan.
Tauhan
Ang bawat nobelang ispiya ay nangangailangan ng isang "masamang tao" at, sa kasong ito wala kaming mas mababa sa SVR, isa sa mga samahang nagtagumpay sa KGB matapos ang pagbagsak ng USSR. Ang SVR ay nakikipag-usap sa lahat ng mga gawain sa katalinuhan na isinagawa sa labas ng hangganan ng Russian Federation. Ang "inosenteng biktima" ay ang SolarWinds, isang kumpanya na bumubuo ng software sa pamamahala ng network.Ginagamit ito ng malalaking mga korporasyon, kritikal na mga tagapamahala ng imprastraktura, at mga ahensya ng gobyerno ng US. Siyempre, kailangan natin ng bayani. Sa kasong ito, ayon sa kanilang sarili, ito ay ang Kagawaran ng Banta ng Intelligence ng Microsoft.
Paano ito magiging kung hindi man, sa isang kwentong hacker, ang "masama" at ang "mabuting" ay mayroong isang alias. Ang SVR ay Yttrium (Yttrium). Sa Microsoft, ginagamit nila ang hindi gaanong karaniwang mga elemento ng periodic table bilang isang code name para sa mga posibleng mapagkukunan ng pagbabanta. Ang Threat Intelligence Department ay MSTIC para sa acronym nito sa English, bagaman sa panloob binibigkas nila ito ng mistiko (mistiko) para sa pagkakatulad ng ponetika. Pagkatapos nito, para sa kaginhawaan, gagamitin ko ang mga term na ito.
Microsoft v. SVR. Ang mga katotohanan
Noong Nobyembre 30, 2020, natuklasan ng FireEye, isa sa mga nangungunang kumpanya ng seguridad ng computer sa US, na dumanas ito ng paglabag sa seguridad sa sarili nitong mga server. Dahil hindi nila nagawang ayusin ito mismo (Humihingi ako ng paumanhin, ngunit hindi ko mapigilang sabihin ang "bahay ng panday, kahoy na kutsilyo") nagpasya silang humingi ng tulong sa mga dalubhasa sa Microsoft. Dahil ang MSTIC ay sumusunod sa mga yapak ng Yttrium, atAgad silang naghinala sa mga Ruso, isang diagnosis na kinumpirma ng opisyal ng US intelligence services.
Sa paglipas ng mga araw, natagpuan ang mga pag-atake na nagta-target ng mga sensitibong network ng computer sa buong mundo, kabilang ang Microsoft mismo. Ayon sa mga ulat sa pahayagan, malinaw na ang gobyerno ng Estados Unidos ang pangunahing target ng pag-atake, kasama ang Kagawaran ng Treasury, Kagawaran ng Estado, Kagawaran ng Komersyo, Kagawaran ng Enerhiya at mga bahagi ng Pentagon. Dose-dosenang mga apektadong organisasyon sa listahan ng mga biktima. Kabilang dito ang iba pang mga kumpanya ng teknolohiya, mga kontratista ng gobyerno, mga tanke ng pag-iisip at isang unibersidad. Ang mga pag-atake ay hindi lamang laban sa Estados Unidos dahil naapektuhan nito ang Canada, United Kingdom, Belgium, Spain, Israel at United Arab Emirates. Sa ilan sa mga kaso, ang pagtagos sa network ay tumagal ng ilang buwan.
Ang pinagmulan
Nagsimula ang lahat sa network management software na tinatawag na Orion at binuo ng isang kumpanya na tinatawag na SolarWinds. Na may higit sa 38000 mga kliyente sa korporasyon mataas na antas, kinailangan lamang na magsingit ng malware sa isang pag-update.
Kapag na-install na, nakakonekta ang malware sa kung ano ang kilala sa teknikal bilang isang command at control (C2) server. Ang C2 e serverIto ay na-program upang bigyan ang mga nakakonektang mga gawain sa computer tulad ng kakayahang maglipat ng mga file, magpatupad ng mga utos, i-reboot ang isang makina, at huwag paganahin ang mga serbisyo ng system. Sa madaling salita, ang mga ahente ng Yttrium ay nakakuha ng ganap na pag-access sa network ng mga na-install ang pag-update ng programa ng Orion.
Susunod na sususukin ko ang isang talata ng pagbibigkas mula sa artikulo ni Smith
Hindi nagtagal upang mapagtanto namin
ang kahalagahan ng pagtutulungan ng panteknikal sa buong industriya at sa gobyernomula sa Estados Unidos. Ang mga inhinyero mula sa SolarWinds, FireEye, at Microsoft ay nagsimulang magtulungan kaagad. Ang mga koponan ng FireEye at Microsoft ay kilalang kilala ang bawat isa, ngunit ang SolarWinds ay isang maliit na kumpanya na nakaharap sa isang pangunahing krisis, at ang mga koponan ay dapat na mabilis na bumuo ng tiwala kung sila ay magiging epektibo.Ibinahagi ng mga inhinyero ng SolarWinds ang source code ng kanilang pag-update sa mga pangkat ng seguridad ng iba pang dalawang kumpanya,na nagsiwalat ng source code ng mismong malware. Ang mga teknikal na pangkat mula sa gobyerno ng Estados Unidos ay mabilis na kumilos, lalo na sa National Security Agency (NSA) at Cybersecurity and Infrastructure Security Agency (CISA) ng Department of Homeland Security.
Akin ang mga highlight. Iyon ng pagtutulungan ng magkakasama at pagbabahagi ng source code. Hindi ba parang sa iyo iyan?
Pagkabukas ng pinto sa likuran, ang malware ay hindi aktibo sa loob ng dalawang linggo, upang maiwasan ang paglikha ng mga entry sa log ng network na aabiso sa mga administrator. PSa panahong ito, nagpadala ito ng impormasyon tungkol sa network na nahawahan sa isang command at control server. na ang mga umaatake ay mayroong sa provider ng hosting ng GoDaddy.
Kung ang nilalaman ay kagiliw-giliw sa Yttrium, ang mga magsasalakay ay pumasok sa pintuan sa likuran at nag-install ng karagdagang code sa sinalakay na server upang kumonekta sa isang pangalawang utos at control server. Ang pangalawang server na ito, natatangi sa bawat biktima upang makatulong na makaiwas sa pagtuklas, ay nakarehistro at naka-host sa isang pangalawang data center, madalas sa cloud ng Amazon Web Services (AWS).
Microsoft v. SVR. Ang moral
Kung interesado kang malaman kung paano binigay ng aming mga bayani sa kanilang mga kontrabida ang kanilang nararapat, sa mga unang talata mayroon kang mga link sa mga mapagkukunan. Pupunta ako sa kung bakit ako nagsusulat tungkol dito sa isang Linux blog. Ang paghaharap ng Microsoft laban sa SVR ay nagpapakita ng kahalagahan ng magagamit na code upang masuri, at ang kaalaman ay sama-sama.
Ito ay totoo, tulad ng isang prestihiyosong espesyalista sa seguridad ng kompyuter na nagpapaalala sa akin kaninang umaga, na walang silbi para sa code na maging bukas kung walang nagkakaproblema upang pag-aralan ito. Mayroong kaso na Heartbleed upang patunayan ito. Ngunit, ulitin natin. 38000 mga kliyente ng high-end ang nag-sign up para sa pagmamay-ari na software. Marami sa kanila ang nag-install ng pag-update ng malware na naglantad ng sensitibong impormasyon at nagbigay ng kontrol sa pagalit na mga elemento ng kritikal na imprastraktura. Ang responsableng kumpanya ginawa lamang niya ang code na magagamit sa mga espesyalista kapag kasama niya ang tubig sa kanyang leeg. Kung ang mga vendor ng software para sa kritikal na imprastraktura at sensitibong mga customer ay kinakailangan Ang paglabas ng iyong software na may bukas na mga lisensya, dahil ang pagkakaroon ng isang resident code auditor (o isang panlabas na ahensya na nagtatrabaho para sa maraming) ang panganib ng mga pag-atake tulad ng SolarWinds ay magiging mas mababa.
Hindi pa matagal na ang nakalipas, inakusahan ng M $ ang lahat na gumagamit ng libreng software ng mga komunista, tulad ng pinakapangit sa McCarthyism.