編輯 | 伊風(fēng)

出品 | 51CTO技術(shù)棧（微信號：blog51cto）

前微軟員工安德魯怒斥微軟。

整個故事揭示了在科技巨頭如何被企業(yè)的眼前利益所蒙蔽，一次次地?zé)o視安全漏洞，最終走到無可挽回的局面，導(dǎo)致美國遭遇了"世界上有史以來規(guī)模最大、最復(fù)雜的黑客攻擊"。

2016年，安德魯·哈里斯發(fā)現(xiàn)了一個允許黑客潛入敏感計算機(jī)網(wǎng)絡(luò)的漏洞，并在隨后的幾年里不斷向公司高層發(fā)出警告，卻屢屢遭到微軟高層的忽視。

這一疏忽最終被俄羅斯黑客發(fā)現(xiàn)并順利入侵，這就是臭名昭著的SolarWinds事件，這次黑客行動影響了包括美國國家核安全局和國立衛(wèi)生研究院在內(nèi)的關(guān)鍵聯(lián)邦機(jī)構(gòu)。

安德魯?shù)膱猿峙c微軟的冷漠形成鮮明對比，在資本盲目逐利的驅(qū)使之下，安全問題只能退居其次。

這個故事不僅是對個人勇氣的頌揚(yáng)，更是對整個科技行業(yè)安全文化的深刻反思。

1.安全天才進(jìn)入“捉鬼敢死隊”

在進(jìn)入微軟之前，安德魯曾有著近七年在國防部的工作經(jīng)驗(yàn)。作為名副其實(shí)的安全天才，這份offer是他在大學(xué)時代就提前獲得的。

作為紐約佩斯大學(xué)的大二學(xué)生，他寫了一篇題為 "如何破解有線等效協(xié)議"（How to Hack the Wired Equivalent Protocol"）的白皮書，這是一個網(wǎng)絡(luò)安全標(biāo)準(zhǔn)，幫助其獲得了一項(xiàng)享有盛譽(yù)的國防部獎學(xué)金，政府用這筆錢來招募網(wǎng)絡(luò)安全專家。

安德魯說，國家安全局支付了他三年的學(xué)費(fèi)，包括軟件工程碩士學(xué)位，作為交換，他承諾至少為政府工作那么長時間。

在職業(yè)生涯的早期，他幫助領(lǐng)導(dǎo)了國防部保護(hù)個人設(shè)備的努力。他成為了一個被稱為身份和訪問管理的小眾領(lǐng)域的專家，確保人們的登錄方式。

與 NSA 和 NIST 合作開發(fā) SCAP、安全內(nèi)容自動化協(xié)議（即 CVE、CVSS）。將這些新興標(biāo)準(zhǔn)與可信計算組（TCG）的其他標(biāo)準(zhǔn)整合到整個國防部的現(xiàn)有能力/服務(wù)中。

圖片

隨著歲月的流逝，安德魯開始對笨重的官僚機(jī)構(gòu)感到沮喪，并渴望科技行業(yè)的創(chuàng)新。他覺得他可以在私營企業(yè)中產(chǎn)生更大的影響——企業(yè)設(shè)計了政府使用的大部分軟件。   

2014年3月，他以網(wǎng)絡(luò)安全架構(gòu)師的職位加入微軟。

在微軟，他被分配到一個名為“捉鬼敢死隊”的秘密單位（就像：“你會打電話給誰？”），該單位響應(yīng)和處理公司最敏感、保密度最高的客戶遇到的黑客攻擊問題，最重要的客戶便是聯(lián)邦政府。

作為這個團(tuán)隊的成員，安德魯首先調(diào)查了對科技公司令人困惑的攻擊，即使在微軟內(nèi)部換角色后，他仍然對此著迷。

最終，他確認(rèn)了Active Directory Federation Services中的漏洞，AD FS是一個允許用戶單次登錄即可訪問他們所需的幾乎所有資源的產(chǎn)品。他發(fā)現(xiàn)的問題在于應(yīng)用程序在用戶登錄時如何使用名為SAML（安全斷言標(biāo)記語言）的計算機(jī)語言進(jìn)行用戶認(rèn)證。

而要修復(fù)這個漏洞，需要對AD FS中SAML的處理方式進(jìn)行修改和加強(qiáng)，以確保安全認(rèn)證過程的完整性和安全性。

2.心系政府訂單，微軟開啟裝瞎模式

在調(diào)查初期，安德魯感到困惑重重。

這些困惑來自兩個層面：首先，它涉及到公司的云服務(wù)——一個虛擬倉庫，通常包含組織的最敏感數(shù)據(jù)。其次，攻擊者以一種幾乎沒有留下痕跡的方式完成了這一行動。

他回到自己的家庭辦公室進(jìn)行“模擬攻防演練”，對可能受到威脅的各種軟件產(chǎn)品進(jìn)行壓力測試。   

起初，他專注于一個微軟應(yīng)用程序，該程序確保用戶有權(quán)登錄基于云的程序，相當(dāng)于一個官員在邊境檢查護(hù)照。

經(jīng)過幾個月的研究，他在那里發(fā)現(xiàn)了一些嚴(yán)重的問題。

這個產(chǎn)品被數(shù)百萬人用來登錄他們的工作計算機(jī)，其中包含了一個漏洞，可能允許攻擊者偽裝成合法員工，翻查受攻擊者“皇冠上的寶石”——國家安全機(jī)密、公司知識產(chǎn)權(quán)、令人尷尬的個人電子郵件——所有這些都不會因?yàn)橛|發(fā)警報而被發(fā)現(xiàn)。

對于曾在國防部工作了將近七年的安德魯來說，這是一個安全噩夢。任何使用該軟件的人都暴露了，無論他們使用的是微軟還是亞馬遜等其他云服務(wù)提供商。但安德魯最擔(dān)心的是聯(lián)邦政府以及他的發(fā)現(xiàn)對國家安全的影響。他向同事們標(biāo)記了這個問題。

他們的看法不同，安德魯說。聯(lián)邦政府正準(zhǔn)備在云計算上進(jìn)行大規(guī)模投資，而微軟正迫不及待地獲得這筆業(yè)務(wù)。

安德魯回憶說，承認(rèn)這個安全漏洞可能會危及公司的機(jī)會。財務(wù)后果是巨大的。微軟不僅可能失去一項(xiàng)數(shù)十億美元的交易，還可能失去主導(dǎo)云計算市場的競賽。

安德魯說，他多年來一直懇求公司解決產(chǎn)品中的漏洞，這是ProPublica的一項(xiàng)調(diào)查發(fā)現(xiàn)的。但在每一個轉(zhuǎn)折點(diǎn)上，微軟都對他的警告置之不理，告訴他他們會在長期替代方案上工作——同時讓全球的云服務(wù)容易受到攻擊。

3.解決無果，安德魯失望出走

安德魯確信早晚有人會知道如何利用這個漏洞。

在獲得不到微軟高層的任何幫助之下，他想出了一個臨時解決方案。但這需要客戶關(guān)閉微軟最方便和最受歡迎的功能之一：用單一登錄就能訪問幾乎所有在工作上使用的程序。

他急忙向公司一些最敏感的客戶發(fā)出威脅警告，并親自監(jiān)督了紐約警察局的修復(fù)工作。由于對微軟的不作為感到沮喪，他于2020年8月離開了公司。

在自己的領(lǐng)英主頁，安德魯這樣寫道：“這是苦樂參半的一天，因?yàn)榻裉焓俏以?Microsoft 的最后一天?！?/p>

“我不會用世界上的任何東西來交換我的經(jīng)歷：從咨詢財富 100 強(qiáng)和 SLG/DoD/IC 機(jī)構(gòu)的 CISO，到響應(yīng)事件，再到撰寫如何使用 NIST 響應(yīng)網(wǎng)絡(luò)安全事件的書籍。然后向美國眾議院通報情況，尤其是向白宮和五角大樓提供建議。最終，我能夠影響網(wǎng)絡(luò)產(chǎn)品，專注于產(chǎn)品集成，同時將事件響應(yīng)者放在工作首位。這是多么美妙的旅程！”

圖片

4.SolarWinds風(fēng)暴來襲

幾個月后，安德魯?shù)膿?dān)憂變成了現(xiàn)實(shí)。

攻擊始于 2020 年初，黑客秘密入侵 SolarWinds 系統(tǒng)，并在 Orion 軟件更新中添加惡意代碼。

這些更新在 2020 年 3 月至 6 月間發(fā)送給 SolarWinds 的客戶。該攻擊數(shù)月未被發(fā)現(xiàn)，第一份報告直到 2020 年 12 月才出現(xiàn)。

美國官員證實(shí)了有關(guān)俄羅斯黑客團(tuán)隊發(fā)起SolarWinds攻擊的報道，這是美國歷史上最大的網(wǎng)絡(luò)攻擊之一。此次攻擊影響了約 18,000 名 SolarWinds 客戶，其中包括許多知名組織，如微軟、英特爾、思科以及國土安全部、財政部和五角大樓等政府機(jī)構(gòu)。

黑客利用哈里斯識別的漏洞實(shí)施入侵，從 Microsoft Office 365 等云服務(wù)中竊取敏感數(shù)據(jù)和電子郵件，其中包括美國國家核安全局（負(fù)責(zé)維護(hù)美國的核武器庫存）和當(dāng)時正在從事COVID-19研究和疫苗分發(fā)的美國國立衛(wèi)生研究院在內(nèi)的多個聯(lián)邦機(jī)構(gòu)中吸取敏感數(shù)據(jù)。

俄羅斯人還利用這個弱點(diǎn)破壞了財政部數(shù)十個電子郵件賬戶，包括其最高級別官員的賬戶。一位聯(lián)邦官員將這次違規(guī)描述為“為長期情報收集而設(shè)計的間諜活動”。

哈里斯的敘述在這里首次被講述，并得到了前同事和同事的采訪以及社交媒體帖子的支持，顛覆了公眾對SolarWinds黑客攻擊的普遍理解。

這次攻擊給 SolarWinds 造成了巨大的經(jīng)濟(jì)損失，其股價在 2020 年 12 月下跌了 35%。此后，SolarWinds 采取措施改進(jìn)其網(wǎng)絡(luò)安全措施，并聘請專家?guī)椭緩墓糁谢謴?fù)過來。

不過，從黑客攻擊浮出水面的那一刻起，微軟一直堅稱自己無罪。微軟總裁布拉德·史密斯在2021年向國會保證，“在SolarWinds中，沒有任何微軟產(chǎn)品或服務(wù)的漏洞被利用”。

5.畸形的安全文化

哈里斯說他們從未得到過機(jī)會。

“這些決定不是基于什么對微軟的客戶最有利，而是基于什么對微軟最有利，”哈里斯說，他現(xiàn)在為與微軟競爭的網(wǎng)絡(luò)安全公司CrowdStrike工作。

去年8月份，安德魯升任公司的CTO，負(fù)責(zé)全球的安全工作。

圖片

微軟拒絕讓史密斯（微軟公司的總裁兼首席法務(wù)官Brad Smith）和其他高級官員為這個故事接受采訪，但它沒有質(zhì)疑ProPublica（新聞機(jī)構(gòu)）的發(fā)現(xiàn)。

相反，公司對書面問題發(fā)表了聲明?！氨Ｗo(hù)客戶始終是我們的首要任務(wù)，”一位發(fā)言人說?！拔覀兊陌踩憫?yīng)團(tuán)隊認(rèn)真對待所有安全問題，并給予每個案例應(yīng)有的盡職調(diào)查，以及與工程和安全合作伙伴進(jìn)行交叉確認(rèn)。我們對這個問題的評估經(jīng)過了多次審查，并與行業(yè)共識一致?！?/p>

ProPublica的調(diào)查是在五角大樓尋求擴(kuò)大使用微軟產(chǎn)品的同時進(jìn)行的——這一舉措在一系列針對政府的網(wǎng)絡(luò)攻擊中引起了聯(lián)邦立法者的關(guān)注。

史密斯將于周四在眾議院國土安全委員會作證，該委員會正在審查去年其他國家發(fā)起的黑客違規(guī)行為。攻擊者利用微軟的安全漏洞獲得了訪問美國高級官員電子郵件的權(quán)限。在調(diào)查這次攻擊時，聯(lián)邦網(wǎng)絡(luò)安全審查委員會發(fā)現(xiàn)微軟的“安全文化不足，需要徹底改革”。   

新聞?wù){(diào)查為科技巨頭畸形的安全文化增添了新的細(xì)節(jié)，呈現(xiàn)了一個令人不安的視角——這些掌握了客戶數(shù)據(jù)和隱私的龐然大物，是如何處理其產(chǎn)品無處不在的安全性問題的。

同時，這個故事還提供了關(guān)鍵的洞察，了解科技巨頭對利潤的無限追求如何阻礙了安全決策的有效實(shí)施，尤其是在最有利可圖的云市場領(lǐng)域。

“這是整個行業(yè)問題的一部分，”曾在微軟擔(dān)任哈里斯老板之一、現(xiàn)在在網(wǎng)絡(luò)安全公司Zero Networks工作的尼克·迪科拉說。上市公司“受股價支配，而不是始終為客戶做正確的事情。資本主義的現(xiàn)實(shí)就是這樣。你永遠(yuǎn)不會在上市公司中改變這一點(diǎn)，因?yàn)闅w根結(jié)底，他們希望股東價值上升。”

參考鏈接：

1.https://www.propublica.org/article/microsoft-solarwinds-golden-saml-data-breach-russian-hackers

2.https://www.businessinsider.com/solarwinds-hack-explained-government-agencies-cyber-security-2020-12