El equipo de seguridad MORSE adopta un enfoque proactivo para encontrar errores
Cuando se trata de un tema complejo como la seguridad informática, no existen respuestas sencillas. A medida que los efectos de la piratería van desde lo que nos irrita a nivel personal, como las ventanas emergentes interminables en la pantalla de su computadora, hasta un nivel global a gran escala, como los cortes de gasolina que paralizaron la costa este en 2021, tiene sentido que no exista un enfoque único para atacar el problema.
Se necesita más de un ángulo para manejar lo que se ha convertido en un aspecto cada vez más importante del desarrollo tecnológico. Muchas organizaciones solo se enfocan en parchear los problemas después de que ocurren. Pero Microsoft toma una dirección holística en sus medidas de seguridad, en el que se cubre todo el espectro con un equipo que trabaja para detener las vulnerabilidades incluso antes de que aparezcan, para eliminar las fallas de código antes de que lleguen a su computadora y a los teclados intrusos de los piratas informáticos de todo el mundo. Para el equipo de seguridad, se piensa: nunca es un si sucede, sino cuándo surgirá un problema.
“Es un juego perenne del gato y el ratón”, dijo Justin Campbell, líder principal de ingeniería de software de seguridad de Microsoft Security. “Las cosas evolucionan. Windows no está estancado. Hay cosas nuevas añadidas, nuevas consideraciones, nuevas tecnologías y nuevos procedimientos investigados. No se trata solo de seguridad, sino de cómo construimos nuestro software. Todavía hay código de hace 30 años que se considera de la misma manera que los nuevos artículos que enviamos hoy. Es un espectro tremendo”.
Campbell lidera un nuevo equipo de seguridad global compuesto por más de 60 miembros llamado Microsoft Offensive Research & Security Engineering (MORSE), que adopta un enfoque triple para asegurar el código dentro del sistema operativo. Los equipos rojo, azul y verde, cada uno con un papel diferente que desempeñar, ayudan a MORSE a combatir de manera agresiva las amenazas de seguridad, reparar el código roto y evitar que ocurran problemas.
El trabajo superpuesto realizado por el trío de equipos ayuda a desarrollar nueva tecnología que beneficia a cada lado, desde la identificación de posibles puntos débiles en el código hasta la creación de nuevas herramientas para las últimas amenazas y el fortalecimiento de las capacidades de seguridad que tienen efectos a corto y largo plazo.
Muchos términos de ciberseguridad tienen sus raíces en simulaciones por computadora, videojuegos, ejercicios militares y simuladores en tiempo real que muchos de los expertos han estudiado para aprender los trucos del oficio. Entonces, los equipos rojos intentan identificar una ruta de ataque para violar las defensas de seguridad de las organizaciones a través de estrategias de ataque del mundo real. Los equipos azules intentan defender esos ataques y evitar que el equipo rojo rompa las defensas existentes. Los equipos verdes ayudan a mitigar los problemas de seguridad sistémicos de alto riesgo y los solucionan a escala al incorporar aprendizajes y herramientas de los equipos rojo y azul.
Otros equipos de seguridad de la industria se enfocan de manera principal en problemas de seguridad de equipos rojos, pero MORSE es una combinación de los tres equipos que trabajan de manera continua para encontrar y corregir vulnerabilidades antes que los atacantes.
“No somos solo un equipo rojo donde entramos y encontramos errores”, dijo Campbell. “No solo esperamos a que una entidad externa nos diga que hay un error. Tenemos un grupo que es el equilibrio adecuado de autosuficiencia para identificar problemas, reaccionar y luego realizar inversiones en el producto. No se trata de la cacería tradicional de errores”.
Más importante aún, el grupo no está interesado en mantener sus hallazgos solo para Microsoft. La comunidad de hackers está comprometida a compartir investigaciones y resultados para hacer un mejor producto para que todos lo usen.
“Nuestro objetivo es hacer que cada persona que escribe código sea mejor”, dijo Campbell.
Un excelente ejemplo de cómo funciona el equipo y el daño que puede ayudar a prevenir fue un problema relacionado con la implementación de Microsoft de la versión 1.3 de Transport Layer Security (TLS). TLS es un protocolo diseñado para proporcionar una comunicación segura a través de redes que no son de confianza y se utiliza en varias aplicaciones, sobre todo en la capa de seguridad de una dirección de sitio web HTTPS. Parte de lo que hace el equipo de MORSE es volver a explorar el código antiguo que se creó antes de que la revisión de seguridad fuera un componente integral del ciclo de vida del desarrollo de software. En este caso, el equipo de MORSE revisó la actualización antes de su lanzamiento y descubrió una falla de ejecución remota de código que habría permitido a los piratas informáticos acceder a las máquinas de los usuarios.
“Habría sido tan malo como parece”, dijo Mitch Adair, líder principal de seguridad de Cloud Security. “TLS se usa para asegurar todos los productos de servicio que usa Microsoft. Pero en el proceso de revisión del código, descubrimos esto y pudimos arreglarlo”.
Microsoft también ha permitido a los desarrolladores unirse al proceso de mantener su código seguro, a través del lanzamiento de OneFuzz, un marco de prueba para Azure. Las pruebas en Fuzz son un método muy eficaz para aumentar la seguridad y la fiabilidad del código nativo. Crea un circuito de retroalimentación de eventos aleatorios para aumentar las posibilidades de encontrar errores imprevistos. Es un paso más allá de las pruebas estáticas tradicionales que los desarrolladores utilizan para encontrar y corregir errores conocidos.
Por lo general, las pruebas de Fuzz han sido un mal necesario para los desarrolladores, ya que son parte del ciclo de vida del desarrollo, pero son complicadas de ejecutar de manera efectiva. OneFuzz cambia el descubrimiento de vulnerabilidades a una etapa más temprana del ciclo de vida del desarrollo y, al mismo tiempo, libera a los equipos de ingeniería de seguridad para que realicen un trabajo proactivo. Y, como otro ejemplo de cómo el equipo de MORSE adopta un enfoque global, el trabajo del equipo para hacer que una herramienta de programa interna procese más rápido permitirá que OneFuzz ejecute más pruebas.
“Estamos comprometidos en ayudar a los desarrolladores a lograr que suceda lo correcto y ayudarlos a mejorar sus resultados”, dijo Campbell. “OneFuzz les ayuda a encontrar errores por su cuenta”.
Entonces, ¿tienen que pensar como un hacker para derrotar a uno? Uno de los elementos clave en la contratación de miembros de seguridad para MORSE es encontrar candidatos que tengan el conjunto de habilidades y la disposición para enfrentar los desafíos que surgen a diario en el panorama de ciberseguridad en constante evolución. Los miembros del equipo tienen una variedad de antecedentes, y esa diversidad conduce a diversas formas de abordar y resolver problemas de seguridad.
Para el ingeniero de software de seguridad Toshi Piazza, su trabajo con Microsoft se siente como una extensión natural del pasatiempo que adquirió en el Instituto Politécnico Rensselaer, donde formó parte del equipo de seguridad RPI de la escuela, donde participó en competencias de hackeo del tipo «capturar la bandera».
“El equipo no tiene ideas afines, pero creo que todos tenemos un nivel de curiosidad natural”, dijo Piazza. “Ya tenemos esta mentalidad y se refleja en nuestro trabajo diario. Nos ponemos nuestras gorras de hacker y nos concentramos en temas específicos. Eso no es algo malo. En general, encuentro esto muy interesante”.
La diversión parece una forma extraña de describir un trabajo en el que un error podría afectar a millones de usuarios en todo el mundo, pero los miembros de MORSE dicen que la combinación del desafío y el beneficio de ayudar a los clientes vale la pena.
“Las personas que están en esta industria, que juegan eventos de capturar la bandera y se unen a torneos, lo hacen debido a la naturaleza súper analítica, la partida de ajedrez de ida y vuelta”, dijo Adair. “Lo primero es ‘Baby’s First Exploit’, ¿y cómo supero eso? ¿Podría tomar 10 minutos o tres días? Luego avanza hacia cosas que se vuelven cada vez más difíciles: mitigaciones que las personas defensivas han desarrollado durante los últimos 20-30 años. Es ese deseo constante de aprender y abrirse camino a través de algo que es emocionante”.
Y si el equipo de MORSE no recibe los elogios que merece por frustrar algunos problemas que podrían ser catastróficos, bueno, todo eso es parte del plan. “La gente no se entera de nuestros éxitos porque, en virtud de tener éxito, no llegamos a las noticias”, dijo Piazza. “Eso es justo lo que queremos”.