編輯 | 伊風(fēng)

出品 | 51CTO技術(shù)棧（微信號(hào)：blog51cto）

前微軟員工安德魯怒斥微軟。

整個(gè)故事揭示了在科技巨頭如何被企業(yè)的眼前利益所蒙蔽，一次次地?zé)o視安全漏洞，最終走到無可挽回的局面，導(dǎo)致美國(guó)遭遇了"世界上有史以來規(guī)模最大、最復(fù)雜的黑客攻擊"。

2016年，安德魯·哈里斯發(fā)現(xiàn)了一個(gè)允許黑客潛入敏感計(jì)算機(jī)網(wǎng)絡(luò)的漏洞，并在隨后的幾年里不斷向公司高層發(fā)出警告，卻屢屢遭到微軟高層的忽視。

這一疏忽最終被俄羅斯黑客發(fā)現(xiàn)并順利入侵，這就是臭名昭著的SolarWinds事件，這次黑客行動(dòng)影響了包括美國(guó)國(guó)家核安全局和國(guó)立衛(wèi)生研究院在內(nèi)的關(guān)鍵聯(lián)邦機(jī)構(gòu)。

安德魯?shù)膱?jiān)持與微軟的冷漠形成鮮明對(duì)比，在資本盲目逐利的驅(qū)使之下，安全問題只能退居其次。

這個(gè)故事不僅是對(duì)個(gè)人勇氣的頌揚(yáng)，更是對(duì)整個(gè)科技行業(yè)安全文化的深刻反思。

1.安全天才進(jìn)入“捉鬼敢死隊(duì)”

在進(jìn)入微軟之前，安德魯曾有著近七年在國(guó)防部的工作經(jīng)驗(yàn)。作為名副其實(shí)的安全天才，這份offer是他在大學(xué)時(shí)代就提前獲得的。

作為紐約佩斯大學(xué)的大二學(xué)生，他寫了一篇題為 "如何破解有線等效協(xié)議"（How to Hack the Wired Equivalent Protocol"）的白皮書，這是一個(gè)網(wǎng)絡(luò)安全標(biāo)準(zhǔn)，幫助其獲得了一項(xiàng)享有盛譽(yù)的國(guó)防部獎(jiǎng)學(xué)金，政府用這筆錢來招募網(wǎng)絡(luò)安全專家。

安德魯說，國(guó)家安全局支付了他三年的學(xué)費(fèi)，包括軟件工程碩士學(xué)位，作為交換，他承諾至少為政府工作那么長(zhǎng)時(shí)間。

在職業(yè)生涯的早期，他幫助領(lǐng)導(dǎo)了國(guó)防部保護(hù)個(gè)人設(shè)備的努力。他成為了一個(gè)被稱為身份和訪問管理的小眾領(lǐng)域的專家，確保人們的登錄方式。

與 NSA 和 NIST 合作開發(fā) SCAP、安全內(nèi)容自動(dòng)化協(xié)議（即 CVE、CVSS）。將這些新興標(biāo)準(zhǔn)與可信計(jì)算組（TCG）的其他標(biāo)準(zhǔn)整合到整個(gè)國(guó)防部的現(xiàn)有能力/服務(wù)中。

圖片

隨著歲月的流逝，安德魯開始對(duì)笨重的官僚機(jī)構(gòu)感到沮喪，并渴望科技行業(yè)的創(chuàng)新。他覺得他可以在私營(yíng)企業(yè)中產(chǎn)生更大的影響——企業(yè)設(shè)計(jì)了政府使用的大部分軟件。   

2014年3月，他以網(wǎng)絡(luò)安全架構(gòu)師的職位加入微軟。

在微軟，他被分配到一個(gè)名為“捉鬼敢死隊(duì)”的秘密單位（就像：“你會(huì)打電話給誰(shuí)？”），該單位響應(yīng)和處理公司最敏感、保密度最高的客戶遇到的黑客攻擊問題，最重要的客戶便是聯(lián)邦政府。

作為這個(gè)團(tuán)隊(duì)的成員，安德魯首先調(diào)查了對(duì)科技公司令人困惑的攻擊，即使在微軟內(nèi)部換角色后，他仍然對(duì)此著迷。

最終，他確認(rèn)了Active Directory Federation Services中的漏洞，AD FS是一個(gè)允許用戶單次登錄即可訪問他們所需的幾乎所有資源的產(chǎn)品。他發(fā)現(xiàn)的問題在于應(yīng)用程序在用戶登錄時(shí)如何使用名為SAML（安全斷言標(biāo)記語(yǔ)言）的計(jì)算機(jī)語(yǔ)言進(jìn)行用戶認(rèn)證。

而要修復(fù)這個(gè)漏洞，需要對(duì)AD FS中SAML的處理方式進(jìn)行修改和加強(qiáng)，以確保安全認(rèn)證過程的完整性和安全性。

2.心系政府訂單，微軟開啟裝瞎模式

在調(diào)查初期，安德魯感到困惑重重。

這些困惑來自兩個(gè)層面：首先，它涉及到公司的云服務(wù)——一個(gè)虛擬倉(cāng)庫(kù)，通常包含組織的最敏感數(shù)據(jù)。其次，攻擊者以一種幾乎沒有留下痕跡的方式完成了這一行動(dòng)。

他回到自己的家庭辦公室進(jìn)行“模擬攻防演練”，對(duì)可能受到威脅的各種軟件產(chǎn)品進(jìn)行壓力測(cè)試。   

起初，他專注于一個(gè)微軟應(yīng)用程序，該程序確保用戶有權(quán)登錄基于云的程序，相當(dāng)于一個(gè)官員在邊境檢查護(hù)照。

經(jīng)過幾個(gè)月的研究，他在那里發(fā)現(xiàn)了一些嚴(yán)重的問題。

這個(gè)產(chǎn)品被數(shù)百萬人用來登錄他們的工作計(jì)算機(jī)，其中包含了一個(gè)漏洞，可能允許攻擊者偽裝成合法員工，翻查受攻擊者“皇冠上的寶石”——國(guó)家安全機(jī)密、公司知識(shí)產(chǎn)權(quán)、令人尷尬的個(gè)人電子郵件——所有這些都不會(huì)因?yàn)橛|發(fā)警報(bào)而被發(fā)現(xiàn)。

對(duì)于曾在國(guó)防部工作了將近七年的安德魯來說，這是一個(gè)安全噩夢(mèng)。任何使用該軟件的人都暴露了，無論他們使用的是微軟還是亞馬遜等其他云服務(wù)提供商。但安德魯最擔(dān)心的是聯(lián)邦政府以及他的發(fā)現(xiàn)對(duì)國(guó)家安全的影響。他向同事們標(biāo)記了這個(gè)問題。

他們的看法不同，安德魯說。聯(lián)邦政府正準(zhǔn)備在云計(jì)算上進(jìn)行大規(guī)模投資，而微軟正迫不及待地獲得這筆業(yè)務(wù)。

安德魯回憶說，承認(rèn)這個(gè)安全漏洞可能會(huì)危及公司的機(jī)會(huì)。財(cái)務(wù)后果是巨大的。微軟不僅可能失去一項(xiàng)數(shù)十億美元的交易，還可能失去主導(dǎo)云計(jì)算市場(chǎng)的競(jìng)賽。

安德魯說，他多年來一直懇求公司解決產(chǎn)品中的漏洞，這是ProPublica的一項(xiàng)調(diào)查發(fā)現(xiàn)的。但在每一個(gè)轉(zhuǎn)折點(diǎn)上，微軟都對(duì)他的警告置之不理，告訴他他們會(huì)在長(zhǎng)期替代方案上工作——同時(shí)讓全球的云服務(wù)容易受到攻擊。

3.解決無果，安德魯失望出走

安德魯確信早晚有人會(huì)知道如何利用這個(gè)漏洞。

在獲得不到微軟高層的任何幫助之下，他想出了一個(gè)臨時(shí)解決方案。但這需要客戶關(guān)閉微軟最方便和最受歡迎的功能之一：用單一登錄就能訪問幾乎所有在工作上使用的程序。

他急忙向公司一些最敏感的客戶發(fā)出威脅警告，并親自監(jiān)督了紐約警察局的修復(fù)工作。由于對(duì)微軟的不作為感到沮喪，他于2020年8月離開了公司。

在自己的領(lǐng)英主頁(yè)，安德魯這樣寫道：“這是苦樂參半的一天，因?yàn)榻裉焓俏以?Microsoft 的最后一天。”

“我不會(huì)用世界上的任何東西來交換我的經(jīng)歷：從咨詢財(cái)富 100 強(qiáng)和 SLG/DoD/IC 機(jī)構(gòu)的 CISO，到響應(yīng)事件，再到撰寫如何使用 NIST 響應(yīng)網(wǎng)絡(luò)安全事件的書籍。然后向美國(guó)眾議院通報(bào)情況，尤其是向白宮和五角大樓提供建議。最終，我能夠影響網(wǎng)絡(luò)產(chǎn)品，專注于產(chǎn)品集成，同時(shí)將事件響應(yīng)者放在工作首位。這是多么美妙的旅程！”

圖片

4.SolarWinds風(fēng)暴來襲

幾個(gè)月后，安德魯?shù)膿?dān)憂變成了現(xiàn)實(shí)。

攻擊始于 2020 年初，黑客秘密入侵 SolarWinds 系統(tǒng)，并在 Orion 軟件更新中添加惡意代碼。

這些更新在 2020 年 3 月至 6 月間發(fā)送給 SolarWinds 的客戶。該攻擊數(shù)月未被發(fā)現(xiàn)，第一份報(bào)告直到 2020 年 12 月才出現(xiàn)。

美國(guó)官員證實(shí)了有關(guān)俄羅斯黑客團(tuán)隊(duì)發(fā)起SolarWinds攻擊的報(bào)道，這是美國(guó)歷史上最大的網(wǎng)絡(luò)攻擊之一。此次攻擊影響了約 18,000 名 SolarWinds 客戶，其中包括許多知名組織，如微軟、英特爾、思科以及國(guó)土安全部、財(cái)政部和五角大樓等政府機(jī)構(gòu)。

黑客利用哈里斯識(shí)別的漏洞實(shí)施入侵，從 Microsoft Office 365 等云服務(wù)中竊取敏感數(shù)據(jù)和電子郵件，其中包括美國(guó)國(guó)家核安全局（負(fù)責(zé)維護(hù)美國(guó)的核武器庫(kù)存）和當(dāng)時(shí)正在從事COVID-19研究和疫苗分發(fā)的美國(guó)國(guó)立衛(wèi)生研究院在內(nèi)的多個(gè)聯(lián)邦機(jī)構(gòu)中吸取敏感數(shù)據(jù)。

俄羅斯人還利用這個(gè)弱點(diǎn)破壞了財(cái)政部數(shù)十個(gè)電子郵件賬戶，包括其最高級(jí)別官員的賬戶。一位聯(lián)邦官員將這次違規(guī)描述為“為長(zhǎng)期情報(bào)收集而設(shè)計(jì)的間諜活動(dòng)”。

哈里斯的敘述在這里首次被講述，并得到了前同事和同事的采訪以及社交媒體帖子的支持，顛覆了公眾對(duì)SolarWinds黑客攻擊的普遍理解。

這次攻擊給 SolarWinds 造成了巨大的經(jīng)濟(jì)損失，其股價(jià)在 2020 年 12 月下跌了 35%。此后，SolarWinds 采取措施改進(jìn)其網(wǎng)絡(luò)安全措施，并聘請(qǐng)專家?guī)椭緩墓糁谢謴?fù)過來。

不過，從黑客攻擊浮出水面的那一刻起，微軟一直堅(jiān)稱自己無罪。微軟總裁布拉德·史密斯在2021年向國(guó)會(huì)保證，“在SolarWinds中，沒有任何微軟產(chǎn)品或服務(wù)的漏洞被利用”。

5.畸形的安全文化

哈里斯說他們從未得到過機(jī)會(huì)。

“這些決定不是基于什么對(duì)微軟的客戶最有利，而是基于什么對(duì)微軟最有利，”哈里斯說，他現(xiàn)在為與微軟競(jìng)爭(zhēng)的網(wǎng)絡(luò)安全公司CrowdStrike工作。

去年8月份，安德魯升任公司的CTO，負(fù)責(zé)全球的安全工作。

圖片

微軟拒絕讓史密斯（微軟公司的總裁兼首席法務(wù)官Brad Smith）和其他高級(jí)官員為這個(gè)故事接受采訪，但它沒有質(zhì)疑ProPublica（新聞機(jī)構(gòu)）的發(fā)現(xiàn)。

相反，公司對(duì)書面問題發(fā)表了聲明。“保護(hù)客戶始終是我們的首要任務(wù)，”一位發(fā)言人說?！拔覀兊陌踩憫?yīng)團(tuán)隊(duì)認(rèn)真對(duì)待所有安全問題，并給予每個(gè)案例應(yīng)有的盡職調(diào)查，以及與工程和安全合作伙伴進(jìn)行交叉確認(rèn)。我們對(duì)這個(gè)問題的評(píng)估經(jīng)過了多次審查，并與行業(yè)共識(shí)一致?！?/p>

ProPublica的調(diào)查是在五角大樓尋求擴(kuò)大使用微軟產(chǎn)品的同時(shí)進(jìn)行的——這一舉措在一系列針對(duì)政府的網(wǎng)絡(luò)攻擊中引起了聯(lián)邦立法者的關(guān)注。

史密斯將于周四在眾議院國(guó)土安全委員會(huì)作證，該委員會(huì)正在審查去年其他國(guó)家發(fā)起的黑客違規(guī)行為。攻擊者利用微軟的安全漏洞獲得了訪問美國(guó)高級(jí)官員電子郵件的權(quán)限。在調(diào)查這次攻擊時(shí)，聯(lián)邦網(wǎng)絡(luò)安全審查委員會(huì)發(fā)現(xiàn)微軟的“安全文化不足，需要徹底改革”。   

新聞?wù){(diào)查為科技巨頭畸形的安全文化增添了新的細(xì)節(jié)，呈現(xiàn)了一個(gè)令人不安的視角——這些掌握了客戶數(shù)據(jù)和隱私的龐然大物，是如何處理其產(chǎn)品無處不在的安全性問題的。

同時(shí)，這個(gè)故事還提供了關(guān)鍵的洞察，了解科技巨頭對(duì)利潤(rùn)的無限追求如何阻礙了安全決策的有效實(shí)施，尤其是在最有利可圖的云市場(chǎng)領(lǐng)域。

“這是整個(gè)行業(yè)問題的一部分，”曾在微軟擔(dān)任哈里斯老板之一、現(xiàn)在在網(wǎng)絡(luò)安全公司Zero Networks工作的尼克·迪科拉說。上市公司“受股價(jià)支配，而不是始終為客戶做正確的事情。資本主義的現(xiàn)實(shí)就是這樣。你永遠(yuǎn)不會(huì)在上市公司中改變這一點(diǎn)，因?yàn)闅w根結(jié)底，他們希望股東價(jià)值上升?！?/p>

參考鏈接：

1.https://www.propublica.org/article/microsoft-solarwinds-golden-saml-data-breach-russian-hackers

2.https://www.businessinsider.com/solarwinds-hack-explained-government-agencies-cyber-security-2020-12