Entrenar esta mentalidad internamente en Windows ya ha valido la pena. Además de ayudar a mitigar Spectre y EternalBlue (el equipo solo puede comentar qué hicieron exactamente en ambos casos), obtuvieron algunas victorias importantes que ayudaron no solo a Microsoft, sino a toda la industria.
La parte superior de la lista de Weston es detener un ataque de phishing utilizado por el notorio grupo ruso de piratas informáticos Fancy Bear, que Microsoft llama Strontium, mediante la consolidación de Win32k, un controlador del kernel de Windows y un saco de boxeo popular entre los piratas informáticos.
«En la mayoría de los ataques de navegador, primero tiene que comprometer lo que se llama el entorno limitado del navegador, y luego necesita una forma de salir de ese entorno limitado para hacer lo que los atacantes quieren hacer, robo de información o acceso persistente a la máquina», dice Weston. . «Resulta que esta superficie de núcleo ancho y muy antigua es el lugar perfecto para hacerlo».
Al atacar esta superficie a través de los ojos de un oponente, el equipo encontró técnicas no reveladas previamente para explotarla durante un ataque. Lo que, a su vez, significó que Microsoft pudo enviar una actualización que bloqueó esos mismos esfuerzos en la Edición de aniversario de Windows 10 en el otoño de 2016. La Actualización de creadores de Windows 10, lanzada seis meses después, tomó aún más medidas para detectar vulnerabilidades del kernel.
Es una victoria significativa, y una que podría no haber llegado tan rápido si Microsoft hubiera confiado en métodos más tradicionales de detección de vulnerabilidades.
«Lo que tiende a ser es encontrar los problemas que están un poco más allá de los límites en términos de vulnerabilidad de seguridad, que pueden no ser evidentes de inmediato o directamente buscables, que se pueden encontrar desde un ‘escaneo de vulnerabilidad’ técnico», dice Lint de Arxan. Después de todo, solo puede buscar problemas que ya conoce. Un equipo rojo encuentra los que no puedes encontrar.
Quedarse sin reloj
Los miembros del equipo rojo no tienen una cuota específica; priorizarán los objetivos en función de cosas como lo que han visto explotar a los piratas informáticos en la naturaleza o qué características son relativamente no probadas y sensibles.
«Queremos imitar el tipo de cosas que hemos visto en la naturaleza y luego llevarlo al siguiente nivel», dice Rabet. “La gente estaba haciendo algo hace unos años; ¿Adónde van después? Y estamos tratando de ir en esa dirección.
Al mismo tiempo, el equipo debe ser selectivo. “Los insectos siempre estarán ahí”, dice Zabrocki. «No podemos corregir todos los errores del mundo», especialmente con un producto tan grande, complejo y cambiante como Windows. Es mejor centrarse en soluciones más amplias como la detección de anomalías del kernel, que puede ayudar a prevenir una gran cantidad de problemas.
Y resolver un problema por completo a veces ni siquiera es el objetivo. Cada vez que Windows Red Team inicia un proyecto, también inicia un reloj.
“El propósito del temporizador es brindarnos un análisis de costo objetivo de lo que se necesita para piratear algo”, dice Weston. «Un costo medio de principio a fin para atacar algo le da una etiqueta económica a un compromiso que podemos aumentar con el tiempo, lo que creemos que es una buena medida objetiva». En otras palabras, cuanto más tiempo y dinero cueste ejecutar un hack, menos probable será que un atacante lo persiga. Weston entrega trofeos en forma de computadora para hallazgos particularmente interesantes.
El equipo rojo no lanza parches, por supuesto, lo que puede generar frustración si encuentran lo que consideran una vulnerabilidad urgente que termina sin parchearse a tiempo. “Mucho depende de los mecanismos internos dentro de la empresa. Es un gran negocio. Hay mucha gente por ahí que quiere opinar sobre cómo hacemos las cosas”, dice un miembro anónimo del equipo, que lamenta que Microsoft a veces pueda tardar meses en resolver lo que los investigadores de seguridad internos y externos consideran problemas graves.
Bawa ayuda a establecer estas prioridades, que utiliza la actividad de Red Team como un «barómetro interno» de la efectividad de los productos de detección de puntos finales de Microsoft, particularmente contra ataques que nunca antes habían visto. «Realmente se trata de poder ver su negocio como un modelo de lo que podríamos esperar de un negocio pico fuera de Microsoft».
Windows siempre será un objetivo popular para los piratas informáticos, y el equipo de Weston es solo una parte de los esfuerzos de Microsoft para protegerlo. Pero dada la sofisticación de los piratas informáticos, ya sean naciones o sindicatos criminales, es al menos reconfortante saber que hay un equipo en Redmond que sigue el ritmo de los malos e incluso se mantiene a la cabeza.
Más historias geniales de MagiaDigital