Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Microsoft wypuszcza projekt Freta. Automatyczna analiza pamięci wirtualek w poszukiwaniu znanego i nieznanego malware. Nazwa projektu na cześć Marii Curie-Skłodowskiej
Zacznijmy od ciekawego spostrzeżenia, na które wskazuje Microsoft w opisie swojego projektu. Druga Wojna Światowa. Gdzie bardziej zabezpieczać samoloty? Tam gdzie wykryto najwięcej śladów po kulach, prawda?
No więc niekoniecznie. Ślady po kulach liczone były po powrocie samolotów do bazy. Czyli… nie było tam informacji o samolotach, które zostały strącone. Zaproponowano więc dodatkowy pancerz tam gdzie śladów po kulach nie było (w badanej próbce). Np. na silniki. Co to ma wspólnego z bezpieczeństwem IT? Microsoft pisze tak:
When attackers obtain a model of our sensors and design a way to evade these sensors, we receive no reports of cyberattacks.
Czyli atakujący nauczy się jak wykrywamy ataki, będzie stosował metody obchodzenia. Nasze sensory nie odnotują więc ataków, nie ma co raportować, można przydzielić sobie premię, … aaa czekaj. No właśnie, coś tu się nie zgadza.
Obecnie ogromna część śladów po kulach to mało zaawansowani atakujący (są też średnio-zaawansowani, którzy mogą skorzystać np. z projektów typu Frankenstein), którzy też nie są w stanie poczynić wielkich zniszczeń. Tych bardziej zaawansowanych często nie widać (do czasu).
Projektując system Microsoft starał się właśnie zapewnić możliwie maksymalnie dużą wykrywalność (również zaawansowanego) malware z niemal niemożliwością wykrycia sensora przez samo złośliwe oprogramowanie.
Teraz ciekawostka, projekt na razie wspiera tylko Linuksa (wspieranych jest ~4 000 kerneli!). Po uploadzie obrazu następuje analiza pamięci i mamy dostęp do takich danych jak: działające procesy, otwarte pliki, połączenia sieciowe, info o potencjalnych rootkitach, etc:
Co dalej? Microsoft ma przetestowane robienie snapshotów (w dużej skali typu 10k maszyn per firma), które mogą dostarczać dane do Frety. Ta udostępnia dalej API (informacje z analizy).
Project Freta’s second component for achieving trusted sensing is a sensor built for Azure that allows operators to migrate the volatile memory of live virtual machines to an offline analysis environment without disrupting execution. Completed in the winter of 2019, this sensor capability is currently only available to Microsoft researchers and is not fielded to any of our commercial clouds—executive briefings and demos are available. This sensor, coupled with the Freta analysis environment, demonstrates a path to cheap, automated memory forensic audits of large enterprises (10,000+ VMs).
Czyli mamy automatyczny monitoring całej swojej infrastruktury w Cloudzie pod względem czegoś brzydkiego w pamięci naszych serwerów. Do tego automatyczne, wstępne raportowanie, a całość niewykrywalna dla intruzów. Wygląda ciekawie, choć pewnie niektórzy nie chcieliby żeby Microsoft grzebał im po pamięci serwerów (tak czy siak może grzebać?).
Na koniec – projekt Freta, został nazwany na cześć Marii Curie-Skłodowskiej (urodzonej na ulicy Freta w Warszawie); Microsoft wprawdzie nazywa ją Marią Curie, ale ktoś może poprosi ich o mały update z tagiem #polishscientistsmatter ;-)
–Michał Sajdak
Skoro #polishscientistsmatter, to może Skłodowska-Curie, a nie Curie-Skłodowska? Obie formy są poprawne, ale…
https://bookowska.pl/curie-sklodowska-czy-sklodowska-curie/
#metodamalychkrokow :-)
Obie wersje nie są poprawne, ponieważ pierwszy człon to nazwisko panieńskie, a drugie po mężu.
Maria Curie Skłodowska, to Maria, która urodziła się jako Curie, a wyszła za Skłodowskiego.
I radzę nie przytaczać mundrości francuskich, bo u nich też tak jest, tylko czasami naciągają teorie do swoich potrzeb, podobnie jak Niemcy twierdząc, że Kopernik to wieli NIEMIECKI astonom.
Maria Salomea Skłodowska-Curie – polska fizyk i chemik, dwukrotna laureatka Nagrody Nobla. W 1891 Maria Skłodowska wyjechała z Królestwa Polskiego do Paryża, by podjąć studia na Sorbonie; następnie rozwinęła tam swoją karierę naukową. Była prekursorką nowej gałęzi chemii – radiochemii. Wikipedia
Bug zgłoszony niech się tłumaczą :)
https://github.com/MicrosoftDocs/feedback/issues/2950#issuecomment-658714400
Super, że zgłosiłeś ten bug – dzięki!
Jest jeszcze jeden błąd. Nie nazywała się Marie, tylko Maria i tego należy się trzymać.
Przykład poprawnego imienia: podpis wykuty w rzeźbie w CERN-ie.
https://upload.wikimedia.org/wikipedia/commons/d/d4/CERN%2C_Marie_Curie%2C_Ginebra%2C_Suiza%2C_2015_19.JPG
Podobno to była nudziara jakąś odklejona od rzeczywistości i mało kto rozumiał o czym mówi
Jak Ty ;)
I pewnie dlatego ma dwa Noble, jako jedyny człowiek na świecie i to w dwóch kategoriach.
Do dziś 98% ludzi nie rozumie ani E=mc2 ani teorii względności.
Zaraz, zaraz. Microsoft wypuszcza narzędzie wyłącznie dla Linuksów? I nigdzie nie dzwoni żaden alarm?
Coś czuje, że wrócą czasy kodu polimorficznego
Przecież analizujesz zachowanie się kodu a nie kod – poliformicznosć nic nie daje w sandboxie poz utrudnianiem analizy
Nudziara? Jak rozmawiają dwie osoby i jedna z nich reprezentuje znacznie niższy poziom intelektualny od drugiej to faktycznie ta osoba może odnieść takie wrażenie.
A czym się rożni szukanie malware w wirtualnych od szukania czegokolwiek innego np. danych projektowych czy tajnych dokumentów?