Mircosoft Esplorado kaj Disvolvado Centro en Israelo

Mircosoft Esplorado kaj Disvolvado Centro en Israelo estas unu el la plej grandaj ejoj de Microsoft ekster Redmond. Tie gastas multaj projektoj; ekzemple, Forefront Threat Management Gateway kaj la aŭdvidludilo Zune estis disvolvitaj ĉi tie.

Mi laboris pri projekto, kiu komence estis disvolvita kiel parto de Microsoft Forefront Threat Management Gateway, sed poste estis translokita el parto de Windows Defender. Ĝi estis integrita en la retsubsistemo de Windows 7.

Laborsperto

  • Komencis en 2009, finis en 2010.
  • Pozicio: Studento-Programisto.

Kiel membro de la teamo GAPA, mi respondecis pri monitorado de ĉiuj BitTorrent-datumtransigoj en la mondo. Mi kontrolis la SQL-servilon, kiu registris la eksterajn kaj internajn IP-adresojn de la semanto (seed), de la kunuzanto (peer), la nomon de la transdonita dosiero, la tempomarkojn kaj eĉ ekzemplerojn de la dosiero. Se oni posedus ĉi tiuj informoj, preni juran agon kontraŭ tiujn kiuj dividis kopirajtitan enhavon, estus infanludo.

Miaj Atingoj

Mi laboris en la grupo, kiu disvolvis la Ĝenerala aplikaĵo-nivelo protokolo analizilo. Esence, ni analizis la tutan enirantan kaj elirantan trafikon, parsis la pakaĵojn, kontrolis la datumojn interne, aplikis ŝablonon, kaj en kazo de pozitiva kongruo, la kodo plenumis la taskon specifitan en la ŝablono. La tasko povis esti ajna: tute faligi la pakaĵon, ŝanĝi la kaplinion (ekzemple, redirekti ĝin al la sekureca teamo), ŝanĝi la ŝarĝon (ekzemple, anstataŭigi vortojn en teksta mesaĝo), registri la pakaĵon en dosiero por sendi ĝin poste al antivirus-analizo, elekti sekvajn pakaĵojn por kapti la tutan konversacion, ktp. Ni povis ŝanĝi la QoS de la pakaĵoj, permesante fulmrapidan retumadon, sed igante aŭdajn aŭ videajn alvokojn malstabilaj pro malbona konekta kvalito. Ni povis malebligi elŝutojn de specifaj dosieroj aŭ malaktivigi ĉiujn dosiertransigojn. Ni povis analizi mesaĝojn en tujmesaĝiloj, kaj se la vortoj „estro” kaj „idioto” aperis en la sama mesaĝo, ni povis plusendi la tutan konversacion al la menciita estro. Ne ekzistas limoj al tio, kion oni povas fari kiam oni laboras ene de la operaciumo ĉe la nivelo de la reta subsistemo.

Mi dividis la ĉambron kun Kira Radinsky, fama israela komputikisto kaj kunfondinto de ekfirmao en la areo de antaŭdira datumminado.

La ĉefa tasko, kompreneble, estis prevento de malware. Ni povis haltigi Blaster antaŭ ol ĝi havis ajnan ŝancon infekti la operaciumon. Fakte, mia teamo haltigis la SMB2-pakaĵon de morto en la dua tago post ĝia malkovro. (Tamen, la disvastigo de la riparo per Windows Update prenis iom da tempo).

Unu el la iloj, kiujn mi kreis, estis programo por kompari du dosierojn de Difinoj de Windows Defender. Dosiero de Difinoj de Windows Defender estas ĉifrita, kaj la ĉifra algoritmo estas sekreto, ĉar alikaze hakisto povus igi sian servilon ŝajni kiel Windows Update-servilo, alŝuti tie ŝanĝitan dosieron de Difinoj de Windows Defender, kaj kun la kapabloj de la ilo GAPA, kiun mi priskribis supre, hakisto povus esence aliri ĉiujn datumojn de la nekonscia viktimo kaj uzi ilin por damaĝi la viktimon. (Imagu akiri aliron al nudaj fotoj de dungito, senditaj en privata konversacio, kaj poste ĉantaĝi tiun dungiton). Pro tio, mi ne havis aliron al la ĉifra algoritmo. Tamen, mi sukcesis akiri la liston de eroj inkluzivitaj en la dosiero de Difinoj kaj provizi belan tabelon, kiu montras kiuj eroj estas ĉeestaj en ambaŭ dosieroj kaj kiuj estas nur en unu el ili.

Kira Radinsky bezonis virusojn por testi siajn modifojn de la antiviruso. Ŝi bezonis infektitan testan komputilon. Kie oni rapide trovas multajn komputilvirusojn? Kompreneble, en retejoj kun ŝlosilo-generiloj kaj en pornaĵo retejoj por plenkreskuloj. Nun imagu la scenon: nia estro eniras la ĉambron, vidas Kira retumas en pornaĵo retejoj, ŝokiĝas; ŝi klarigas, ke tio estas por laborceloj, kaj li foriras ŝokita. Ahh, la oraj tagoj de nia pasinteco!.. 🙂

Mi analizis la DNS-protokolon kaj kreis regulon, kiu malhelpis misuzon de pakaĵoj por preteriri sekurecajn limigojn. La DNS-pakaĵoj estas uzataj por determini la IP-adreson de reteĵo laŭ ĝia nomo. Tamen, en la DNS-demandoj kaj DNS-respondoj ekzistas kampo por aldoni komentojn. Aldonante speciale konstruitajn petojn en la komentkampo de DNS-pakaĵoj kaj specifante DNS-servilon, kiu subtenas analizon de tiuj petoj, kaj aldonante petitan informon en la komentkampo de DNS-respondoj, malbonintenca uzanto povus transdoni ajnajn datumojn, inkluzive de aliro al malpermesitaj retejoj kaj transdonado de malpermesitaj informoj ene kaj ekster protektita reto. Kompreneble, tio postulas, ke la DNS-servilo estu situanta ekster la protektita reto, sed la fajroŝirmiloj de protektitaj retoj malofte kontrolas DNS-pakaĵojn, ĉar supozatas, ke ili ne enhavas komentojn.

Mi ankaŭ dokumentis la heredan kodon, uzante belajn UML-diagramojn.

Post unu jaro de mia laboro ĉe Microsoft, ĉi tiu projekto estis finfine translokigita el la departemento de Forefront TMG Server al la departemento de Windows Defender, kaj nia tuta laboro estis transdonita al Redmond. La grupo en la Israela R&D-centro estis malfondita. Iuj el miaj kolegoj translokiĝis al Usono por labori pri MS Office por Windows Mobile, iuj aliĝis al aliaj projektoj, kaj mi decidis foriri.