ماذا تقصد ، "لا تفي بمعايير خدمات الأمن"؟
انقر واسحب على الموجات الصوتية أدناه للتخطي إلى أي نقطة. يمكنك أيضا استمع مباشرة على Soundcloud.
مع دوج آموث وبول دوكلين. موسيقى مقدمة وخاتمة بواسطة إديث مودج.
يمكنك الاستماع إلينا على SoundCloud لل, Apple Podcasts, Google Podcasts, سبوتيفي, الخياطة وفي أي مكان توجد فيه ملفات بودكاست جيدة. أو قم بإسقاط ملف عنوان URL لخلاصة RSS الخاصة بنا في podcatcher المفضل لديك.
اقرأ النص
دوغ. الخروقات المذهلة والتشفير القابل للفك ووفرة التصحيحات.
كل ذلك أكثر على بودكاست Naked Security.
[مودم موسيقي]
مرحبا بكم في البودكاست ، الجميع.
أنا دوغ عاموث. هو بول دوكلين.
كيف حالك اليوم يا سيدي؟
بطة. دوغ ... أعلم ، لأنك أخبرتني مقدمًا ، ما الذي سيأتي هذا الأسبوع في تاريخ التكنولوجيا، وهذا رائع!
دوغ. OK!
في هذا الأسبوع ، في 18 أكتوبر 1958 ، تم إقران راسم الذبذبات وجهاز كمبيوتر مصمم لمحاكاة مقاومة الرياح بوحدات تحكم مخصصة من الألومنيوم ، واللعبة التنس لاثنين ولدت.
تم عرض لعبة التنس لشخصين في معرض لمدة ثلاثة أيام في مختبر Brookhaven الوطني ، وقد أثبتت شعبيتها للغاية ، خاصة مع طلاب المدارس الثانوية.
إذا كنت تستمع إلى هذا ، يجب أن تذهب إلى ويكيبيديا وتبحث عن "Tennis for Two".
يوجد فيديو هناك لشيء تم بناؤه عام 1958 ...
... أعتقد أنك ستوافقني الرأي بول ، لقد كان أمرًا لا يصدق.
بطة. أود * أحب * أن ألعبها اليوم!
ومثل Asteroids و Battle Zone ، وتلك الألعاب التي تم تذكرها بشكل خاص في الثمانينيات ...
... لأنه راسم ذبذبات: رسومات متجهة!
لا بيكسل ، لا توجد فروق اعتمادًا على ما إذا كان الخط عند 90 درجة ، أو 30 درجة ، أو 45 درجة.
والتغذية المرتدة الصوتية من المرحلات في وحدات التحكم ... إنها رائعة!
إنه أمر لا يصدق أن هذا كان عام 1958.
العودة إلى السابق هذا الأسبوع في تاريخ التكنولوجيا، كان على أعتاب ثورة الترانزستور.
على ما يبدو ، كان النصف الحسابي عبارة عن خليط من الصمامات الحرارية (الأنابيب المفرغة) والمرحلات.
وكانت جميع دوائر العرض تعتمد على الترانزستور ، دوغ
لذلك كان مناسبًا في مزيج من جميع التقنيات: المرحلات والصمامات والترانزستورات ، كل ذلك في لعبة فيديو واحدة رائدة.
دوغ. رائع جدا.
تحقق من ذلك على ويكيبيديا: التنس لاثنين.
الآن دعنا ننتقل إلى قصتنا الأولى.
بول ، أعلم أنك بارع جدًا في كتابة قصيدة رائعة ...
... لقد كتبت قصيدة قصيرة جدًا لتقديم هذه القصة الأولى ، إذا كنت ستنغمس في ذلك.
بطة. إذن سيكون هذا سطرين ، أليس كذلك؟ [يضحك]
دوغ. يذهب قليلا مثل هذا.
تكبير لنظام التشغيل Mac / لا تحصل على مخطوفة.
[صمت طويل جدًا]
قصيدة النهاية.
بطة. آسف!
اعتقدت أن هذا هو العنوان ، وأنك ستكتب القصيدة الآن.
دوغ. إذن ، هذه هي القصيدة.
بطة. حسنا.
[بدون عاطفة] جميل ، دوغ.
دوغ. [ساخرة] شكرا لك.
بطة. كانت القافية مذهلة!
ولكن ليس كل القصائد يجب أن تكون قافية….
دوغ. هذا صحيح.
بطة. سنسميها آية مجانية ، أليس كذلك؟
دوغ. حسنًا ، من فضلك.
بطة. لسوء الحظ ، كان هذا بمثابة باب خلفي مجاني في Zoom لنظام التشغيل Mac.
[الشعور بالذنب] عذرًا ، لم يكن هذا مقطعًا جيدًا ، دوغ.
[يضحك] إنك تخطو على أرض شخص آخر ، وغالبًا ما تفشل ...
دوغ. لا ، هذا جيد!
كنت أجرب القصائد هذا الأسبوع. كنت تحاول الخروج من المقاطع.
علينا الخروج من مناطق الراحة لدينا بين الحين والآخر.
بطة. أفترض أن هذا كان رمزًا كان من المفترض أن يتم تجميعه عند الانتهاء من الإنشاء النهائي ، ولكن تم تركه بالصدفة.
إنه مخصص فقط لإصدار Zoom for Mac ، وقد تم تصحيحه ، لذا تأكد من تحديثك.
في الأساس ، في بعض الظروف ، عندما يبدأ دفق الفيديو أو يتم تنشيط الكاميرا بواسطة التطبيق نفسه ، قد يعتقد عن غير قصد أنك قد ترغب في تصحيح أخطاء البرنامج.
لأنه ، مهلا ، ربما كنت مطورًا! [يضحك]
هذا ليس من المفترض أن يحدث في إصدارات الإصدارات ، من الواضح.
وهذا يعني أنه كان هناك منفذ تصحيح أخطاء TCP ترك مفتوحًا على واجهة الشبكة المحلية.
هذا يعني أن أي شخص يمكنه تمرير الحزم إلى هذا المنفذ ، والذي من المفترض أن يكون أي مستخدم آخر متصل محليًا ، لذلك لن يحتاج إلى أن يكون مسؤولاً أو حتى أنت ... حتى مستخدم ضيف ، سيكون ذلك كافيًا.
لذلك ، يمكن للمهاجم الذي لديه نوع من البرامج الضارة للوكيل على جهاز الكمبيوتر الخاص بك والذي يمكنه تلقي حزم من الخارج وحقنها في الواجهة المحلية أن يصدر أوامر بشكل أساسي إلى أحشاء البرنامج.
والأشياء النموذجية التي تسمح بها واجهات التصحيح تشمل: تفريغ بعض الذاكرة؛ استخراج الأسرار تغيير سلوك البرنامج ؛ ضبط إعدادات التكوين دون المرور بالواجهة المعتادة حتى لا يتمكن المستخدم من رؤيتها ؛ التقاط جميع الأصوات دون إخبار أي شخص ، دون ظهور تحذير من التسجيل ؛ كل هذا النوع من الأشياء.
والخبر السار هو أن Zoom وجده بنفسه ، وقاموا بتصحيحه بسرعة كبيرة.
لكنه تذكير رائع أنه كما نقول كثيرًا ، [يضحك] "هناك الكثير من الانزلاق" ضع الكأس والشفاه. "
دوغ. حسنًا ، جيد جدًا.
دعونا نبقى على متن قطار التصحيح ، ونسحب إلى المحطة التالية.
وهذه القصة ... ربما كان الجزء الأكثر إثارة للاهتمام في هذه القصة من أحدث إصدار من الثلاثاء الباتش ما لم تقم به Microsoft *?
بطة. لسوء الحظ ، فإن التصحيحات التي كان يتوقعها الجميع على الأرجح - وتوقعنا في بودكاست حديثًا ، "حسنًا ، يبدو أن Microsoft ستجعلنا ننتظر أسبوعًا آخر حتى يوم الثلاثاء ، ولن نصدر إصدارًا مبكرًا" "هما يومان من أيام Exchange في الذاكرة الحديثة.
ما أصبح يعرف باسم E00F ، أو استبدال خطأ Zero-day المضاعف في المصطلحات الخاصة بي ، أو ProxyNotShell لأنه ربما يكون معروفًا بشكل محير إلى حد ما في Twittersphere.
كانت هذه هي القصة الكبيرة في Patch Tuesday لهذا الشهر: لم يتم إصلاح هذين الخطأين بشكل مذهل.
ولذا فإننا لا نعرف متى سيحدث ذلك.
تحتاج إلى التأكد من أنك قمت بتطبيق أي عوامل تخفيف.
كما أظن أننا قلنا من قبل ، استمرت Microsoft في العثور على وسائل التخفيف السابقة التي اقترحتها ... حسنًا ، ربما لم تكن جيدة بما يكفي ، واستمروا في تغيير لحنهم وتكييف القصة.
لذلك ، إذا كنت في شك ، يمكنك العودة إلى nakedsecurity.sophos.com ، وابحث عن العبارة ProxyNotShell (كل كلمة واحدة) ، ثم اذهب واقرأ ما يجب أن نقوله.
ويمكنك أيضًا الارتباط بأحدث إصدار من المعالجة من Microsoft ...
... لأنه ، من بين كل الأشياء في Patch Tuesday ، كان هذا هو الأكثر إثارة للاهتمام ، كما تقول: لأنه لم يكن موجودًا.
دوغ. حسنًا ، دعنا الآن نحول التروس إلى ملف قصة محبطة للغاية.
هذه صفعة على معصم شركة كبيرة يكون أمنها السيبراني سيئًا لدرجة أنهم لم يلاحظوا حتى أنه تم اختراقها!
بطة. نعم ، هذه علامة تجارية ربما يعرفها معظم الناس باسم SHEIN ("she-in") ، مكتوبة ككلمة واحدة ، وكلها بأحرف كبيرة. (في وقت حدوث الخرق ، كانت الشركة تُعرف باسم Zoetop.)
وهم ما يسمى "الموضة السريعة".
كما تعلم ، يكدسونها ويبيعونها بثمن بخس ، ولا يخلو من الجدل حول من أين يحصلون على تصاميمهم.
وباعتبارك بائع تجزئة عبر الإنترنت ، ربما تتوقع أن يكون لديهم تفاصيل الأمن السيبراني للبيع بالتجزئة عبر الإنترنت.
لكن ، كما قلت ، لم يفعلوا!
وقرر مكتب المدعي العام لولاية نيويورك بالولايات المتحدة الأمريكية أنه غير سعيد بالطريقة التي عومل بها سكان نيويورك الذين كانوا من بين ضحايا هذا الانتهاك.
لذلك اتخذوا إجراءات قانونية ضد هذه الشركة ... وكانت سلسلة مطلقة من الأخطاء الفادحة والتستر في النهاية - باختصار ، دوغلاس ، خداع.
كان لديهم هذا الخرق الذي لم يلاحظوه.
كان هذا ، على الأقل في الماضي ، شائعًا بشكل مخيب للآمال: لن تدرك الشركات أنه تم اختراقها حتى يتصل بها معالج بطاقة الائتمان أو البنك ويقول ، "أتعلم ، لقد كان لدينا الكثير من الشكاوى حول الاحتيال من العملاء هذا الشهر ".
"وعندما نظرنا إلى ما يسمونه CPP ، فإن نقطة الشراء المشتركة، التاجر الوحيد الذي يبدو أن كل ضحية قد اشترى منه شيئًا هو أنت. نعتقد أن التسريب جاء منك ".
وفي هذه الحالة ، كان الأمر أسوأ.
على ما يبدو جاء معالج دفع آخر وقال ، "أوه ، بالمناسبة ، وجدنا شريحة كاملة من أرقام بطاقات الائتمان للبيع ، معروضة على أنها مسروقة منكم يا رفاق."
لذلك كان لديهم دليل واضح على وجود خرق جماعي أو خرق شيئًا فشيئًا.
دوغ. بالتأكيد ، عندما علمت هذه الشركة بهذا ، تحركوا بسرعة لتصحيح الوضع ، أليس كذلك؟
بطة. حسنًا ، هذا يعتمد على كيفية ... [ضحك] لا يجب أن أضحك ، دوغ ، كما هو الحال دائمًا.
هذا يعتمد على ما تعنيه ب "تصحيح".
دوغ. [ضحك] يا إلهي!
بطة. لذا يبدو أنهم تعاملوا مع المشكلة ... في الواقع ، كانت هناك أجزاء منها قاموا بالتغطية جيدًا.
على ما يبدو.
يبدو أنهم قرروا فجأة ، "عفوًا ، من الأفضل أن نصبح متوافقين مع PCI DSS".
من الواضح أنهم لم يكونوا كذلك ، لأنهم على ما يبدو كانوا يحتفظون بسجلات تصحيح الأخطاء التي تحتوي على تفاصيل بطاقة الائتمان للمعاملات الفاشلة ... كل ما لا يفترض بك كتابته على القرص ، كانوا يكتبونه.
ثم أدركوا أن هذا قد حدث ، لكنهم لم يتمكنوا من العثور على المكان الذي تركوا فيه تلك البيانات في شبكتهم الخاصة!
لذلك ، من الواضح أنهم كانوا يعلمون أنهم لم يكونوا متوافقين مع PCI DSS.
لقد شرعوا في جعل أنفسهم متوافقين مع PCI DSS ، على ما يبدو ، وهو شيء حققوه بحلول عام 2019. (حدث الاختراق في عام 2018.)
ولكن عندما قيل لهم إن عليهم الخضوع للتدقيق ، تحقيق الطب الشرعي ...
... وفقًا للمدعي العام في نيويورك ، لقد أوقفوا عن عمد طريق المحقق.
لقد سمحوا للمحققين في الأساس برؤية النظام كما كان * بعد * قاموا بإصلاحه ولحموه وصقله ، وقالوا ، "أوه لا ، لا يمكنك رؤية النسخ الاحتياطية" ، الأمر الذي يبدو شقيًا إلى حد ما بالنسبة لي .
دوغ. هاه.
بطة. وأثارت الطريقة التي كشفوا بها عن الانتهاك لعملائهم غضبًا كبيرًا من ولاية نيويورك.
على وجه الخصوص ، يبدو أنه كان من الواضح تمامًا أن 39,000,000 من تفاصيل المستخدمين قد تم اختزالها بطريقة ما ، بما في ذلك كلمات المرور ذات التجزئة الضعيفة جدًا: ملح مكون من رقمين ، وجولة واحدة من MD5.
ليست جيدة بما يكفي في عام 1998 ، ناهيك عن 2018!
لذلك عرفوا أن هناك مشكلة لهذا العدد الكبير من المستخدمين ، لكن من الواضح أنهم قرروا فقط الاتصال بـ 6,000,000،XNUMX،XNUMX من هؤلاء المستخدمين الذين استخدموا بالفعل حساباتهم وقدموا طلبات.
ثم قالوا ، "حسنًا ، لقد اتصلنا على الأقل بكل هؤلاء الأشخاص."
* ثم * اتضح أنهم لم يتصلوا بالفعل بجميع 6,000,000 مليون مستخدم!
لقد اتصلوا للتو بأولئك الستة ملايين الذين صادف أنهم يعيشون في كندا أو الولايات المتحدة أو أوروبا.
لذا ، إذا كنت من أي مكان آخر في العالم ، فسوء الحظ!
كما يمكنك أن تتخيل ، فإن ذلك لم يكن جيدًا مع السلطات ، مع المنظم.
ويجب أن أعترف ... لدهشتي ، دوج ، تم تغريمهم 1.9 مليون دولار.
والتي ، بالنسبة لشركة بهذا الحجم ...
دوغ. نعم!
بطة. ... وارتكاب أخطاء فادحة ، ومن ثم عدم التحلي بالصدق والاحترام بشأن ما حدث ، والتهجم على الكذب بشأن الانتهاك ، بهذه الكلمات ، من قبل المدعي العام لنيويورك؟
كنت أتخيل نوعًا ما أنهم ربما عانوا من مصير أكثر خطورة.
ربما حتى تضمين شيء لا يمكن دفعه بمجرد الحصول على بعض المال.
أوه ، والشيء الآخر الذي فعلوه هو أنه عندما كان من الواضح أن هناك مستخدمين كانت كلمات مرورهم معرضة للخطر ... لأنها كانت قابلة للاختراق بشدة نظرًا لحقيقة أنها كانت عبارة عن ملح من رقمين ، مما يعني أنه يمكنك إنشاء 100 من القواميس المحسوبة مسبقًا ...
دوغ. هل هذا شائع؟
يبدو الملح المكون من رقمين منخفضًا حقًا!
بطة. لا ، قد تحتاج عادةً إلى 128 بت (16 بايت) ، أو حتى 32 بايت.
بشكل فضفاض ، لا يحدث فرقًا كبيرًا في سرعة التكسير على أي حال ، لأنك (اعتمادًا على حجم كتلة التجزئة) تضيف رقمين إضافيين فقط في المزيج.
لذلك لا يبدو الأمر كما لو أن الحوسبة الفعلية للتجزئة تستغرق وقتًا أطول.
منذ عام 2016 ، كان بإمكان الأشخاص الذين يستخدمون أجهزة كمبيوتر من ثماني وحدات معالجة رسومات تعمل ببرنامج "hashcat" ، على ما أعتقد ، عمل 200 مليار MD5s في الثانية.
في ذلك الوقت! (هذا المبلغ أعلى بخمس أو عشرة أضعاف الآن).
لذلك يمكن تصدعها بشكل بارز للغاية.
ولكن بدلاً من الاتصال بالناس فعليًا والقول ، "كلمة مرورك معرضة للخطر لأننا سربنا التجزئة ، ولم تكن جيدة جدًا ، يجب عليك تغييرها" ، [ضحك] لقد قالوا للتو ...
... كانت كلمات لطيفة للغاية ، أليس كذلك؟
دوغ. "كلمة مرورك ذات مستوى أمان منخفض وربما تكون معرضة للخطر. يرجى تغيير كلمة مرور تسجيل الدخول الخاصة بك. "
ثم قاموا بتغييرها إلى "لم يتم تحديث كلمة مرورك لأكثر من 365 يومًا. لحمايتك ، يرجى تحديثها الآن. "
بطة. نعم ، "مستوى أمان كلمة مرورك منخفض ..."
دوغ. "بسببنا!"
بطة. هذا ليس مجرد رعاية ، أليس كذلك؟
هذا عند الحدود أو فوقها إلى إلقاء اللوم على الضحية ، في عيني.
على أي حال ، لا يبدو لي هذا حافزًا قويًا جدًا للشركات التي لا تريد أن تفعل الشيء الصحيح.
دوغ. حسنًا ، صوت في التعليقات ، نود أن نسمع رأيك!
هذا المقال يسمى: فرضت العلامة التجارية للأزياء SHEIN غرامة قدرها 1.9 مليون دولار على الكذب بشأن خرق البيانات.
وننتقل إلى قصة أخرى محبطة ...
.. ، يوم آخر ، حكاية أخرى تحذيرية حول معالجة المدخلات غير الموثوق بها!
بطة. أعرغ ، أعرف ما سيكون عليه ذلك ، دوغ.
هذا هو نص Apache Commons علة ، أليس كذلك؟
دوغ. أنه!
بطة. فقط للتوضيح ، هذا ليس خادم ويب Apache.
Apache هي مؤسسة برمجية لديها مجموعة كاملة من المنتجات والأدوات المجانية ... وهي مفيدة جدًا بالفعل ، وهي مفتوحة المصدر ورائعة.
لكن لدينا ، في جزء Java من نظامهم البيئي (خادم الويب Apache httpd غير مكتوب بلغة Java ، لذلك دعونا نتجاهل ذلك في الوقت الحالي - لا تخلط بين Apache وخادم الويب Apache) ...
... في العام الماضي ، واجهنا ثلاث مشكلات مماثلة في مكتبات Java في Apache.
كان لدينا سيء السمعة Log4Shell علة في ما يسمى بمكتبة Log4J (Logging for Java).
ثم كان لدينا خطأ مشابه ، ما هو؟ ... تكوين Apache Commons، وهي عبارة عن مجموعة أدوات لإدارة جميع أنواع ملفات التكوين ، مثل ملفات INI وملفات XML ، كل ذلك بطريقة موحدة.
والآن في مكتبة ذات مستوى أدنى تسمى نص Apache Commons.
الخطأ في الشيء الذي في Java يُعرف عمومًا باسم "سلسلة الاستيفاء".
مبرمجون بلغات أخرى ... إذا كنت تستخدم أشياء مثل PowerShell أو Bash ، فستعرفها على أنها "استبدال سلسلة".
حيث يمكنك بطريقة سحرية تحويل جملة مليئة بالشخصيات إلى نوع من البرامج المصغرة.
إذا سبق لك استخدام Bash shell ، فستعرف أنه إذا قمت بكتابة الأمر echo USER، سوف يردد ، أو يطبع ، السلسلة USER وسترى ، على الشاشة USER.
ولكن إذا قمت بتشغيل الأمر echo $USER، إذن هذا لا يعني صدى علامة الدولار متبوعة بـ USER.
ما يعنيه هو ، "استبدل هذه السلسلة السحرية باسم المستخدم المسجل حاليًا ، واطبعه بدلاً من ذلك."
لذلك على جهاز الكمبيوتر الخاص بي ، إذا كنت echo USER، لقد حصلت USERلكن اذا انت echo $USER، تحصل على الكلمة duck بدلا من ذلك.
وتذهب بعض بدائل سلسلة Java إلى أبعد من ذلك بكثير ... مثل أي شخص عانى من بهجة تحديد Log4Shell خلال عيد الميلاد عام 2021 سوف نتذكر!
هناك كل أنواع البرامج الصغيرة الذكية التي يمكنك تضمينها داخل السلاسل التي تقوم بمعالجتها بعد ذلك باستخدام مكتبة معالجة السلاسل هذه.
لذلك هناك واحد واضح: لقراءة اسم المستخدم ، وضعت ${env: (لـ "اقرأ البيئة") user}… كنت تستخدم أقواس متعرجة.
انها علامة الدولار. قوس متعرج بعض الأوامر السحرية قوس متعرج هذا هو الجزء السحري.
ولسوء الحظ ، في هذه المكتبة ، كان هناك توفر افتراضي غير متحكم فيه للأوامر السحرية مثل: ${url:...}، والذي يسمح لك بخداع مكتبة معالجة السلسلة للوصول إلى الإنترنت وتنزيل شيء ما وطباعة ما يتم إرجاعه من خادم الويب هذا بدلاً من السلسلة ${url:...}.
لذلك ، على الرغم من أن هذا ليس حقناً بالشفرة ، لأنه مجرد HTML خام ، إلا أنه لا يزال يعني أنه يمكنك وضع كل أنواع القمامة والأشياء الغريبة والرائعة غير الموثوق بها في ملفات سجلات الأشخاص أو صفحات الويب الخاصة بهم.
هناك ${dns:...}، مما يعني أنه يمكنك خداع خادم شخص ما ، والذي قد يكون خادم منطق الأعمال داخل الشبكة ...
... يمكنك خداعها لإجراء بحث DNS عن خادم مسمى.
وإذا كنت تمتلك هذا المجال ، بصفتك محتالًا ، فأنت أيضًا تمتلك وتدير خادم DNS المرتبط بهذا المجال.
لذا ، عندما يحدث بحث DNS ، خمن ماذا؟
ينتهي هذا البحث * في الخادم * الخاص بك ، وقد يساعدك على تحديد الأجزاء الداخلية لشبكة أعمال شخص ما ... ليس فقط خادم الويب الخاص به ، ولكن الأشياء الأعمق في الشبكة.
وأخيرًا ، والأكثر إثارة للقلق ، على الأقل مع الإصدارات القديمة من Java ، كان هناك ... [ضحك] أنت تعرف ما سيأتي هنا ، دوغ!
الامر ${script:...}.
"مرحبًا ، دعني أقدم لك بعض جافا سكريبت وأرجو تشغيل ذلك من أجلي."
وربما تفكر ، "ماذا ؟! انتظر ، هذا خطأ في جافا. ما علاقة JavaScript به؟ "
حسنًا ، حتى وقت قريب نسبيًا ... وتذكر ، لا تزال العديد من الشركات تستخدم إصدارات أقدم وما زالت مدعومة من Java Development Kit.
حتى وقت قريب ، Java ... [ضحك] (مرة أخرى ، لا يجب أن أضحك) ... احتوت مجموعة تطوير Java ، داخل نفسها ، على محرك JavaScript كامل ، يعمل ، مكتوب بلغة Java.
الآن ، لا توجد علاقة بين Java و JavaScript باستثناء الأحرف الأربعة "Java" ، ولكن يمكنك وضعها ${script:javascript:...}وتشغيل الكود الذي تختاره.
ومن المزعج أن أحد الأشياء التي يمكنك القيام بها في محرك JavaScript داخل وقت تشغيل Java هو إخبار محرك JavaScript ، "مرحبًا ، أريد تشغيل هذا الشيء عبر Java."
لذلك يمكنك جعل Java تستدعي * في * JavaScript ، وجافا سكريبت بشكل أساسي لاستدعاء * out * في Java.
وبعد ذلك ، من Java ، يمكنك الانتقال ، "مرحبًا ، قم بتشغيل أمر النظام هذا."
وإذا ذهبت إلى مقالة Naked Security ، فستراني باستخدام أمر مشبوه [COUGHS APOLOGETICALLY] لموسيقى البوب a calc ، دوغ!
آلة حاسبة HP RPN ، بالطبع ، لأنها تقوم بفرقعة الآلة الحاسبة ...
دوغ. يجب أن يكون ، نعم!
بطة. ... هذا هو HP-10.
لذلك على الرغم من أن الخطر ليس كذلك عظيم مثل Log4Shell، لا يمكنك استبعاد ذلك حقًا إذا كنت تستخدم هذه المكتبة.
لدينا بعض الإرشادات في مقالة Naked Security حول كيفية معرفة ما إذا كان لديك مكتبة نصوص Commons ... وقد تكون لديك ، كما فعل الكثير من الأشخاص مع Log4J ، دون أن يدركوا ذلك ، لأنه ربما يكون مصاحبًا لأحد التطبيقات.
ولدينا أيضًا بعض نماذج التعليمات البرمجية التي يمكنك استخدامها لاختبار ما إذا كانت أي عوامل تخفيف قمت بوضعها موضع التنفيذ قد نجحت أم لا.
دوغ. حسنًا ، توجه إلى Naked Security.
هذا المقال يسمى: ثقب خطير في نص Apache Commons - مثل Log4Shell مرة أخرى.
ونختتم بسؤال: "ماذا يحدث عندما تكون الرسائل المشفرة مشفرة نوعًا ما فقط؟"
بطة. آه ، أنت تشير إلى ما كان ، على ما أعتقد ، تقرير خطأ رسمي قدمه باحثو الأمن السيبراني في الشركة الفنلندية WithSecure مؤخرًا ...
... حول التشفير المضمن الذي يتم تقديمه في Microsoft Office ، أو بشكل أكثر دقة ، ميزة تسمى Office 365 Message Encryption أو OME.
من السهل جدًا امتلاك ميزة صغيرة مثل تلك المضمنة في التطبيق.
دوغ. نعم ، يبدو الأمر بسيطًا ومريحًا!
بطة. نعم ، ماعدا ... يا عزيزي!
يبدو أن السبب في ذلك كله يرجع إلى التوافق مع الإصدارات السابقة ، دوغ ...
... أن Microsoft تريد أن تعمل هذه الميزة على طول الطريق إلى الأشخاص الذين ما زالوا يستخدمون Office 2010 ، والذي يحتوي على قدرات فك تشفير المدرسة القديمة المضمنة فيه.
في الأساس ، يبدو أن عملية OME لتشفير الملف تستخدم AES ، وهي أحدث وأكبر خوارزمية تشفير قياسية من NIST.
لكنه يستخدم AES في وضع التشفير الخاطئ المزعوم.
يستخدم ما يعرف باسم ECB أو كتاب الكتروني واسطة.
وهذه ببساطة هي الطريقة التي تشير بها إلى AES الخام.
تقوم AES بتشفير 16 بايت في المرة الواحدة ... بالمناسبة ، تقوم بتشفير 16 بايت سواء كنت تستخدم AES-128 أو AES-192 أو AES-256.
لا تخلط بين حجم الكتلة وحجم المفتاح - حجم الكتلة ، وعدد البايتات التي يتم تحريكها وتشفيرها في كل مرة تقوم فيها بتشغيل مقبض الكرنك على محرك التشفير ، هو دائمًا 128 مكرر ، أو 16 بايت.
على أي حال ، في وضع الكود الإلكتروني ، يمكنك ببساطة أن تأخذ 16 بايتًا من الإدخال ، وتحول مقبض الكرنك مرة واحدة تحت مفتاح تشفير معين ، وتأخذ الإخراج ، الخام وغير المعالج.
والمشكلة في ذلك هي أنه في كل مرة تحصل فيها على نفس الإدخال في مستند يتم محاذاته عند نفس حد 16 بايت ...
... تحصل بالضبط على نفس البيانات في الإخراج.
لذلك ، يتم الكشف عن الأنماط في الإدخال في الإخراج ، تمامًا كما هو الحال في ملف قيصر شفرات أو أ فيجينير الشفرة:
الآن ، هذا لا يعني أنه يمكنك كسر الشفرة ، لأنك ما زلت تتعامل مع أجزاء بعرض 128 بت في المرة الواحدة.
تنشأ مشكلة وضع كتاب الشفرة الإلكتروني على وجه التحديد لأنها تتسرب من الأنماط من النص العادي إلى النص المشفر.
يمكن أن تكون هجمات النص العادي المعروفة ممكنة عندما تعلم أن سلسلة إدخال معينة تشفر بطريقة معينة ، وبالنسبة للنص المتكرر في المستند (مثل العنوان أو اسم الشركة) ، تنعكس هذه الأنماط.
وعلى الرغم من أنه تم الإبلاغ عن هذا على أنه خطأ لشركة Microsoft ، إلا أن الشركة قررت على ما يبدو أنها لن تصلحها لأنها "لا تفي بالمعايير" لإصلاح الأمان.
ويبدو أن السبب هو ، "حسنًا ، سنقوم بإيذاء الأشخاص الذين ما زالوا يستخدمون Office 2010."
دوغ. اوف!
بطة. نعم!
دوغ. وعلى هذه الملاحظة ، لدينا تعليق من القراء لهذا الأسبوع على هذه القصة.
تعليقات Naked Security Reader Bill ، جزئيًا:
يذكرني هذا بـ "أسرة الأطفال" التي استخدمها فاصل الرموز في Bletchley Park خلال الحرب العالمية الثانية. غالبًا ما أنهى النازيون الرسائل بنفس العبارة الختامية ، وبالتالي يمكن أن تعمل أدوات فك الشفرات مرة أخرى من هذه المجموعة الختامية من الأحرف المشفرة ، مع العلم بما يمثلونه على الأرجح. إنه لأمر مخيب للآمال أنه بعد 80 عامًا ، يبدو أننا نكرر نفس الأخطاء.
بطة. 80 سنوات!
نعم ، إنه أمر مخيب للآمال بالفعل.
ما أفهمه هو أن أسرة الأطفال الأخرى التي يمكن أن تستخدمها أجهزة فك الشفرات الحلفاء ، خاصة للنصوص المشفرة بالنازية ، تعاملت أيضًا مع * بداية * المستند.
أعتقد أن هذا كان شيئًا بالنسبة لتقارير الطقس الألمانية ... كان هناك تنسيق ديني اتبعته للتأكد من أنها أعطت تقارير الطقس بالضبط.
وتقارير الطقس ، كما يمكنك أن تتخيل ، أثناء الحرب التي تضمنت قصفًا جويًا ليلا ، كانت بالفعل أمورًا مهمة!
يبدو أن هؤلاء اتبعوا نمطًا صارمًا للغاية يمكن ، في بعض الأحيان ، استخدامه على أنه ما يمكن أن تسميه قليلاً من "مفكك" التشفير ، أو إسفين يمكنك استخدامه للاختراق في المقام الأول.
وهذا ، كما يشير بيل ... هذا هو بالضبط السبب في أن AES ، أو أي تشفير ، في وضع الكود الإلكتروني غير مُرضٍ لتشفير المستندات بأكملها!
دوغ. حسنًا ، شكرًا لك على إرسال ذلك يا بيل.
إذا كانت لديك قصة مثيرة للاهتمام أو تعليق أو سؤال ترغب في إرساله ، فنحن نحب قراءته في البودكاست.
يمكنك إرسال بريد إلكتروني إلى tips@sophos.com ، أو التعليق على أي من مقالاتنا ، أو يمكنك التواصل معنا على مواقع التواصل الاجتماعي:nakedsecurity.
هذا هو عرضنا لهذا اليوم. شكرا جزيلا على الاستماع.
بالنسبة لبول دوكلين ، أنا دوج آموث ، أذكرك حتى المرة القادمة بـ ...
على حد سواء. كن آمنا!
- سلسلة كتلة
- عملة عبقرية
- محافظ cryptocurrency
- cryptoexchange
- التشفير
- الأمن الإلكتروني
- مجرمو الإنترنت
- الأمن السيبراني
- البيانات الاختراق
- فقدان البيانات
- وزارة الأمن الداخلي
- محافظ رقمية
- جدار الحماية
- Kaspersky
- البرمجيات الخبيثة
- مكافي
- مایکروسافت
- الأمن عارية
- بودكاست الأمن العاري
- NexBLOC
- Office
- التصحيح الثلاثاء
- أفلاطون
- أفلاطون ع
- الذكاء افلاطون البيانات
- لعبة أفلاطون
- أفلاطون داتا
- بلاتوغمينغ
- بودكاست
- خصوصية
- VPN
- أمن الانترنت
- زفيرنت
- زوم
![S3 Ep118: احزر كلمة المرور الخاصة بك؟ لا داعي إذا كانت مسروقة بالفعل! [صوت + نص]](https://platoaistream.net/wp-content/uploads/2023/01/s3-ep118-guess-your-password-no-need-if-its-stolen-already-audio-text-360x188.png)
![الموسم 3 الحلقة 122: توقف عن وصف كل خرق بأنه "متطور"! [صوت + نص]](https://platoaistream.net/wp-content/uploads/2023/02/s3-ep122-stop-calling-every-breach-sophisticated-audio-text-360x174.png)
