S3 Ep105: WONTFIX! Το cryptofail του MS Office που "δεν αποτελεί ελάττωμα ασφαλείας" [Ήχος + Κείμενο]

Κάντε κλικ και σύρετε στα ηχητικά κύματα παρακάτω για να μεταβείτε σε οποιοδήποτε σημείο. Μπορείτε επίσης να ακούστε απευθείας στο Soundcloud.

ΖΥΜΗ.  Παραβιάσεις που κόβουν την ανάσα, κρυπτογράφηση με δυνατότητα αποκρυπτογράφησης και άφθονα μπαλώματα.

Όλα αυτά περισσότερα στο podcast του Naked Security.

[ΜΟΥΣΙΚΟ ΜΟΝΤΕΜ]

Καλώς ήρθατε στο podcast, όλοι.

Είμαι ο Doug Aamoth. είναι ο Paul Ducklin.

Paul, πώς τα πάτε σήμερα, κύριε;

---

ΠΑΠΙΑ.  Νταγκ… το ξέρω, γιατί μου είπες εκ των προτέρων, τι έρχεται Αυτή η εβδομάδα στην ιστορία της τεχνολογίας, και είναι ΤΕΛΕΙΟ!

---

ΖΥΜΗ.  OK!

Αυτή την εβδομάδα, στις 18 Οκτωβρίου 1958, ένας παλμογράφος και ένας υπολογιστής που κατασκευάστηκαν για την προσομοίωση της αντίστασης στον αέρα συνδυάστηκαν με προσαρμοσμένους ελεγκτές αλουμινίου και το παιχνίδι Τένις για δύο γεννήθηκε.

Το Tennis for Two αποδείχθηκε εξαιρετικά δημοφιλές σε μια τριήμερη έκθεση στο Εθνικό Εργαστήριο Brookhaven.

Αν το ακούτε αυτό, πρέπει να μεταβείτε στη Wikipedia και να αναζητήσετε το "Tennis for Two".

Υπάρχει ένα βίντεο εκεί για κάτι που χτίστηκε το 1958…

…Νομίζω ότι θα συμφωνήσεις μαζί μου, Paul, ήταν πολύ απίστευτο.

---

ΠΑΠΙΑ.  Θα ήθελα *θα ήθελα* να το παίξω σήμερα!

Και, όπως το Asteroids και το Battle Zone, και αυτά τα ιδιαίτερα αξιομνημόνευτα παιχνίδια της δεκαετίας του 1980…

…γιατί είναι παλμογράφος: διανυσματικά γραφικά!

Χωρίς pixellation, χωρίς διαφορές ανάλογα με το αν μια γραμμή είναι στις 90 μοίρες, ή 30 μοίρες ή 45 μοίρες.

Και η ανάδραση ήχου από τα ρελέ στα χειριστήρια… είναι υπέροχο!

Είναι απίστευτο ότι αυτό ήταν το 1958.

Επιστροφή σε ένα προηγούμενο Αυτή η εβδομάδα στην ιστορία της τεχνολογίας, ήταν στην κορυφή της επανάστασης των τρανζίστορ.

Προφανώς, το υπολογιστικό μισό ήταν ένα μείγμα θερμιονικών βαλβίδων (σωλήνες κενού) και ηλεκτρονόμων.

Και όλα τα κυκλώματα της οθόνης βασίζονταν σε τρανζίστορ, Νταγκ

Οπότε ήταν σωστός ο συνδυασμός όλων των τεχνολογιών: ρελέ, βαλβίδες και τρανζίστορ, όλα σε ένα πρωτοποριακό βιντεοπαιχνίδι.

---

ΖΥΜΗ.  Πολύ κουλ.

Δείτε το στη Wikipedia: Τένις για δύο.

Τώρα ας περάσουμε στην πρώτη μας ιστορία.

Παύλο, ξέρω ότι είσαι πολύ ικανός στο να γράφεις ένα υπέροχο ποίημα…

…Έγραψα ένα πολύ σύντομο ποίημα για να εισαγάγω αυτήν την πρώτη ιστορία, αν μου αρέσεις.

---

ΠΑΠΙΑ.  Άρα θα είναι δύο γραμμές τότε, έτσι δεν είναι; [ΓΕΛΙΑ]

---

ΖΥΜΗ.  Πάει λίγο κάπως έτσι.

Ζουμ για Mac/Don't get ομηρία.

[ΠΟΛΥ ΜΕΓΑΛΗ ΣΙΩΠΗ]

Τέλος ποίημα.

---

ΠΑΠΙΑ.  Λυπάμαι!

Νόμιζα ότι αυτός ήταν ο τίτλος και ότι θα κάνατε το ποίημα τώρα.

---

ΖΥΜΗ.  Λοιπόν, αυτό είναι το ποίημα.

---

ΠΑΠΙΑ.  Εντάξει.

[ΧΩΡΙΣ ΣΥΝΑΙΣΘΗΜΑ] Υπέροχο, Νταγκ.

---

ΖΥΜΗ.  [IRONIC] Ευχαριστώ.

---

ΠΑΠΙΑ.  Η ομοιοκαταληξία ήταν εντυπωσιακή!

Αλλά δεν χρειάζεται όλα τα ποιήματα να έχουν ομοιοκαταληξία….

---

ΖΥΜΗ.  Αυτό είναι αλήθεια.

---

ΠΑΠΙΑ.  Θα το πούμε απλώς ελεύθερο στίχο, σωστά;

---

ΖΥΜΗ.  Εντάξει παρακαλώ.

---

ΠΑΠΙΑ.  Δυστυχώς, αυτή ήταν μια δωρεάν κερκόπορτα στο Zoom για Mac.

[ΑΙΣΘΑΝΟΝΤΑΣ ΕΝΟΧΕΣ] Συγγνώμη, δεν ήταν πολύ καλό σεγκ, Νταγκ.

[ΓΕΛΙΑ] Πατάς στο χλοοτάπητα κάποιου άλλου, συχνά κοντεύεις…

---

ΖΥΜΗ.  Όχι, είναι καλό!

Δοκίμαζα ποιήματα αυτή την εβδομάδα. δοκιμάζεις segues.

Πρέπει να βγαίνουμε από τις ζώνες άνεσής μας κάθε τόσο.

---

ΠΑΠΙΑ.  Υποθέτω ότι αυτός ήταν κώδικας που προοριζόταν να μεταγλωττιστεί όταν ολοκληρώθηκε η τελική κατασκευή, αλλά έμεινε κατά λάθος.

Είναι μόνο για την έκδοση Zoom για Mac και έχει διορθωθεί, οπότε βεβαιωθείτε ότι είστε ενημερωμένοι.

Βασικά, υπό ορισμένες συνθήκες, όταν ξεκινούσε μια ροή βίντεο ή η κάμερα ενεργοποιούνταν από την ίδια την εφαρμογή, θα σκεφτόταν άθελά σας ότι μπορεί να θέλετε να διορθώσετε το πρόγραμμα.

Γιατί, ρε, ίσως ήσουν προγραμματιστής! [ΓΕΛΙΑ]

Αυτό δεν υποτίθεται ότι συμβαίνει στις εκδόσεις εκδόσεων, προφανώς.

Και αυτό σήμαινε ότι υπήρχε μια θύρα εντοπισμού σφαλμάτων TCP ανοιχτή στη διεπαφή τοπικού δικτύου.

Αυτό σήμαινε ότι οποιοσδήποτε μπορούσε να περάσει πακέτα σε αυτήν τη θύρα, η οποία θα μπορούσε να είναι πιθανώς οποιοσδήποτε άλλος τοπικά συνδεδεμένος χρήστης, επομένως δεν θα χρειαζόταν να είναι διαχειριστής ή ακόμα και εσείς… ακόμα και επισκέπτης χρήστης, αυτό θα ήταν αρκετό.

Έτσι, ένας εισβολέας που είχε κάποιου είδους κακόβουλο λογισμικό διακομιστή μεσολάβησης στον υπολογιστή σας που μπορούσε να λάβει πακέτα από έξω και να τα εισάγει στην τοπική διεπαφή θα μπορούσε βασικά να εκδώσει εντολές στα έντερα του προγράμματος.

Και τα τυπικά πράγματα που επιτρέπουν οι διεπαφές εντοπισμού σφαλμάτων περιλαμβάνουν: απόρριψη λίγης μνήμης. απόσπασμα μυστικά? αλλαγή της συμπεριφοράς του προγράμματος. προσαρμόστε τις ρυθμίσεις διαμόρφωσης χωρίς να περάσετε από τη συνηθισμένη διεπαφή, ώστε ο χρήστης να μην μπορεί να τη δει. καταγράψτε όλο τον ήχο χωρίς να το πείτε σε κανέναν, χωρίς να εμφανιστεί η προειδοποίηση εγγραφής. όλα αυτά τα πράγματα.

Τα καλά νέα είναι ότι το Zoom το βρήκε μόνο του και το διόρθωσαν αρκετά γρήγορα.

Αλλά είναι μια μεγάλη υπενθύμιση ότι, όπως λέμε τόσο συχνά, [ΓΕΛΙΑ] «Υπάρχουν πολλά ολίσθημα «να ανακατεύουμε το φλιτζάνι και το χείλος».

---

ΖΥΜΗ.  Εντάξει, πολύ καλό.

Ας μείνουμε στο μπαλωμένο τρένο και ας πάμε στον επόμενο σταθμό.

Και αυτή η ιστορία… ίσως το πιο ενδιαφέρον μέρος αυτής της ιστορίας της πιο πρόσφατης Patch Tuesday ήταν τι η Microsoft *δεν* συμπεριέλαβε?

---

ΠΑΠΙΑ.  Δυστυχώς, τα patches που όλοι περίμεναν πιθανότατα – και εικάσαμε σε ένα πρόσφατο podcast, «Λοιπόν, φαίνεται ότι η Microsoft θα μας κάνει να περιμένουμε άλλη μια εβδομάδα μέχρι την Τρίτη Patch και να μην κάνουμε μια «πρώιμη κυκλοφορία» εκτός ζώνης ” είναι αυτές οι δύο ημέρες ανταλλαγής μηδενικών ημερών πρόσφατης μνήμης.

Αυτό που έγινε γνωστό ως E00F, ή Ανταλλαγή Double Zero-day Flaw κατά την ορολογία μου, ή ProxyNotShell όπως είναι ίσως κάπως μπερδεμένα γνωστό στη σφαίρα του Twitter.

Αυτή ήταν λοιπόν η μεγάλη ιστορία στο Patch Tuesday αυτού του μήνα: αυτά τα δύο σφάλματα εντυπωσιακά δεν διορθώθηκαν.

Και έτσι δεν ξέρουμε πότε θα συμβεί αυτό.

Πρέπει να βεβαιωθείτε ότι έχετε εφαρμόσει τυχόν μετριασμούς.

Όπως νομίζω ότι έχουμε ξαναπεί, η Microsoft συνέχιζε να ανακαλύπτει ότι οι προηγούμενες μετριασμούς που πρότειναν… καλά, ίσως δεν ήταν αρκετά καλοί, και συνέχισαν να αλλάζουν τη μελωδία τους και να προσαρμόζουν την ιστορία.

Έτσι, εάν έχετε αμφιβολίες, μπορείτε να επιστρέψετε στο nakedsecurity.sophos.com, να αναζητήσετε τη φράση ProxyNotShell (όλα μια λέξη), και μετά πηγαίνετε και διαβάστε τι έχουμε να πούμε.

Και μπορείτε επίσης να συνδεθείτε με την πιο πρόσφατη έκδοση της αποκατάστασης της Microsoft…

…επειδή, από όλα τα πράγματα στο Patch Tuesday, αυτό ήταν το πιο ενδιαφέρον, όπως λέτε: επειδή δεν ήταν εκεί.

---

ΖΥΜΗ.  Εντάξει, ας αλλάξουμε τώρα ταχύτητες στο α πολύ απογοητευτική ιστορία.

Αυτό είναι ένα χαστούκι στον καρπό για μια μεγάλη εταιρεία της οποίας η ασφάλεια στον κυβερνοχώρο είναι τόσο κακή που δεν κατάλαβαν καν ότι είχαν παραβιαστεί!

---

ΠΑΠΙΑ.  Ναι, αυτή είναι μια επωνυμία που οι περισσότεροι θα γνωρίζουν πιθανώς ως SHEIN («she-in»), γραμμένη ως μία λέξη, όλα με κεφαλαία. (Την στιγμή της παραβίασης, η εταιρεία ήταν γνωστή ως Zoetop.)

Και είναι αυτό που λέγεται «γρήγορη μόδα».

Ξέρετε, το στοιβάζουν ψηλά και το πουλάνε φτηνά, και όχι χωρίς διαμάχη για το από πού παίρνουν τα σχέδιά τους.

Και, ως διαδικτυακός έμπορος λιανικής, θα περίμενες ίσως ότι είχαν κατεβάσει τις λεπτομέρειες της διαδικτυακής λιανικής ασφάλειας στον κυβερνοχώρο.

Αλλά, όπως λέτε, δεν το έκαναν!

Και το γραφείο του Γενικού Εισαγγελέα της Πολιτείας της Νέας Υόρκης στις ΗΠΑ αποφάσισε ότι δεν ήταν ευχαριστημένο με τον τρόπο που αντιμετωπίστηκαν οι κάτοικοι της Νέας Υόρκης που ήταν μεταξύ των θυμάτων αυτής της παραβίασης.

Έτσι κινήθηκαν νομικά εναντίον αυτής της εταιρείας… και ήταν μια απόλυτη λιτανεία από γκάφες, λάθη και τελικά συγκαλύψεις – με μια λέξη, Ντάγκλας, ανεντιμότητα.

Είχαν αυτή την παραβίαση που δεν παρατήρησαν.

Αυτό, τουλάχιστον στο παρελθόν, ήταν απογοητευτικά συνηθισμένο: οι εταιρείες δεν θα συνειδητοποιούσαν ότι είχαν παραβιαστεί έως ότου ένας υπεύθυνος χειρισμού πιστωτικών καρτών ή μια τράπεζα επικοινωνούσε μαζί τους και έλεγε: «Ξέρετε τι, είχαμε πάρα πολλά καταγγελιών για απάτη από πελάτες αυτόν τον μήνα».

«Και όταν κοιτάξαμε πίσω σε αυτό που αποκαλούν CPP, το κοινό σημείο αγοράς, ο ένας και μοναδικός έμπορος από τον οποίο κάθε θύμα φαίνεται να έχει αγοράσει κάτι είστε εσείς. Πιστεύουμε ότι η διαρροή προήλθε από εσάς."

Και σε αυτή την περίπτωση, ήταν ακόμη χειρότερα.

Προφανώς ήρθε ένας άλλος επεξεργαστής πληρωμών και είπε: «Ωχ, παρεμπιπτόντως, βρήκαμε μια ολόκληρη δόση από αριθμούς πιστωτικών καρτών προς πώληση, που προσφέρονταν ως κλεμμένα από εσάς παιδιά».

Είχαν λοιπόν σαφείς αποδείξεις ότι είχε γίνει είτε μαζική παραβίαση είτε παραβίαση σπιθαμή προς σπιθαμή.

---

ΖΥΜΗ.  Έτσι σίγουρα, όταν αυτή η εταιρεία ενημερώθηκε για αυτό, κινήθηκαν γρήγορα για να διορθώσουν την κατάσταση, σωστά;

---

ΠΑΠΙΑ.  Λοιπόν, αυτό εξαρτάται από το πώς… [ΓΕΛΙΑ] Δεν πρέπει να γελάω, Νταγκ, όπως πάντα.

Αυτό εξαρτάται από το τι εννοείτε με το "διόρθωση".

---

ΖΥΜΗ.  [ΓΕΛΙΑ] Ω, Θεέ μου!

---

ΠΑΠΙΑ.  Φαίνεται λοιπόν ότι *αντιμετώπισαν* το πρόβλημα… πράγματι, υπήρχαν σημεία του που κάλυψαν πολύ καλά.

Προφανώς.

Φαίνεται ότι ξαφνικά αποφάσισαν, "Ουπς, καλύτερα να γίνουμε συμβατοί με το PCI DSS".

Προφανώς δεν ήταν, γιατί προφανώς διατηρούσαν αρχεία καταγραφής εντοπισμού σφαλμάτων που είχαν στοιχεία πιστωτικής κάρτας για αποτυχημένες συναλλαγές… όλα όσα δεν έπρεπε να γράψετε στο δίσκο, έγραφαν.

Και τότε κατάλαβαν ότι είχε συμβεί, αλλά δεν μπορούσαν να βρουν πού άφησαν αυτά τα δεδομένα στο δικό τους δίκτυο!

Έτσι, προφανώς ήξεραν ότι δεν ήταν συμβατοί με το PCI DSS.

Ξεκίνησαν να κάνουν τους εαυτούς τους συμβατούς με το PCI DSS, προφανώς, κάτι που πέτυχαν μέχρι το 2019. (Η παραβίαση συνέβη το 2018.)

Αλλά όταν τους είπαν ότι έπρεπε να υποβληθούν σε έλεγχο, μια ιατροδικαστική έρευνα…

…σύμφωνα με τον Γενικό Εισαγγελέα της Νέας Υόρκης, μπήκαν εσκεμμένα εμπόδιο στον ανακριτή.

Βασικά επέτρεψαν στους ερευνητές να δουν το σύστημα όπως ήταν *αφού* το διόρθωσαν, το συγκόλλησαν και το γυάλισαν, και είπαν, "Ω, όχι, δεν μπορείτε να δείτε τα αντίγραφα ασφαλείας", κάτι που μου ακούγεται μάλλον άτακτο .

---

ΖΥΜΗ.  Ωχ.

---

ΠΑΠΙΑ.  Και επίσης ο τρόπος με τον οποίο αποκάλυψαν την παραβίαση στους πελάτες τους προκάλεσε σημαντική οργή από την Πολιτεία της Νέας Υόρκης.

Συγκεκριμένα, φαίνεται ότι ήταν προφανές ότι τα στοιχεία 39,000,000 χρηστών είχαν διαγραφεί με κάποιο τρόπο, συμπεριλαμβανομένων των πολύ ασθενώς κατακερματισμένων κωδικών πρόσβασης: ένα διψήφιο αλάτι και ένα γύρο MD5.

Όχι αρκετά καλό το 1998, πόσο μάλλον το 2018!

Έτσι ήξεραν ότι υπήρχε πρόβλημα για αυτόν τον μεγάλο αριθμό χρηστών, αλλά προφανώς άρχισαν να επικοινωνούν μόνο με τους 6,000,000 από αυτούς τους χρήστες που είχαν πραγματικά χρησιμοποιήσει τους λογαριασμούς τους και είχαν κάνει παραγγελίες.

Και μετά είπαν, «Λοιπόν, τουλάχιστον επικοινωνήσαμε με όλους αυτούς τους ανθρώπους».

Και *τότε* αποδείχθηκε ότι στην πραγματικότητα δεν είχαν επικοινωνήσει και με τους 6,000,000 εκατομμύρια χρήστες!

Μόλις είχαν έρθει σε επαφή με εκείνους από τα έξι εκατομμύρια που έτυχε να ζήσουν στον Καναδά, τις Ηνωμένες Πολιτείες ή την Ευρώπη.

Έτσι, αν είστε από οπουδήποτε αλλού στον κόσμο, κακή τύχη!

Όπως μπορείτε να φανταστείτε, αυτό δεν πήγε καλά με τις αρχές, τη ρυθμιστική αρχή.

Και, πρέπει να ομολογήσω… προς έκπληξή μου, Νταγκ, τους επιβλήθηκε πρόστιμο 1.9 εκατομμυρίων δολαρίων.

Κάτι που για μια τόσο μεγάλη εταιρεία…

---

ΖΥΜΗ.  Ναι!

---

ΠΑΠΙΑ.  …και να κάνεις λάθη τόσο κατάφωρα, και μετά να μην είσαι απολύτως αξιοπρεπής και ειλικρινής για ό,τι είχε συμβεί, και να επιδοκιμαστείς επειδή είπες ψέματα για την παραβίαση, με αυτά τα λόγια, από τον Γενικό Εισαγγελέα της Νέας Υόρκης;

Κάπως φανταζόμουν ότι μπορεί να είχαν μια πιο σοβαρή μοίρα.

Ίσως ακόμη και να συμπεριλάβει κάτι που δεν θα μπορούσε απλώς να εξοφληθεί με το να βρει κάποια χρήματα.

Α, και το άλλο πράγμα που έκαναν είναι ότι όταν ήταν προφανές ότι υπήρχαν χρήστες των οποίων οι κωδικοί πρόσβασης κινδύνευαν… επειδή ήταν βαθιά σπασμένοι λόγω του γεγονότος ότι ήταν διψήφιο αλάτι, που σημαίνει ότι θα μπορούσατε να δημιουργήσετε 100 προυπολογισμένα λεξικά …

---

ΖΥΜΗ.  Είναι κοινό;

Μόνο ένα διψήφιο αλάτι φαίνεται πολύ χαμηλό!

---

ΠΑΠΙΑ.  Όχι, συνήθως θα θέλατε 128 bit (16 byte) ή ακόμα και 32 byte.

Χαλαρά μιλώντας, ούτως ή άλλως δεν έχει σημαντική διαφορά στην ταχύτητα σπασίματος, επειδή (ανάλογα με το μέγεθος του μπλοκ του κατακερματισμού) προσθέτετε μόνο δύο επιπλέον ψηφία στο μείγμα.

Έτσι, δεν είναι καν σαν να χρειάζεται περισσότερος ο πραγματικός υπολογισμός των κατακερματισμών.

Από το 2016, οι άνθρωποι που χρησιμοποιούν υπολογιστές οκτώ GPU που εκτελούσαν το πρόγραμμα "hashcat", νομίζω ότι μπορούσαν να κάνουν 200 δισεκατομμύρια MD5 το δευτερόλεπτο.

Τότε! (Αυτό το ποσό είναι περίπου πέντε ή δέκα φορές υψηλότερο τώρα.)

Τόσο πολύ, πολύ εξαιρετικά σπάσιμο.

Αλλά αντί να επικοινωνήσετε πραγματικά με τους ανθρώπους και να πείτε, «Ο κωδικός πρόσβασής σας κινδυνεύει επειδή διαρρεύσαμε τον κατακερματισμό και δεν ήταν πολύ καλός, θα πρέπει να τον αλλάξετε», [ΓΕΛΙΑ] απλώς είπαν…

…ήταν πολύ νυφικά λόγια, έτσι δεν είναι;

---

ΖΥΜΗ.  «Ο κωδικός πρόσβασής σας έχει χαμηλό επίπεδο ασφάλειας και ίσως διατρέχει κίνδυνο. Αλλάξτε τον κωδικό πρόσβασής σας."

Και μετά το άλλαξαν σε «Ο κωδικός πρόσβασής σας δεν έχει ενημερωθεί για περισσότερες από 365 ημέρες. Για την προστασία σας, ενημερώστε το τώρα."

---

ΠΑΠΙΑ.  Ναι, "Ο κωδικός πρόσβασής σας έχει χαμηλό επίπεδο ασφαλείας..."

---

ΖΥΜΗ.  «ΛΟΓΩ ΕΜΑΣ!»

---

ΠΑΠΙΑ.  Αυτό δεν είναι απλώς πατρονάρισμα, έτσι δεν είναι;

Αυτό είναι στα σύνορα ή πέρα ​​από τα σύνορα για να κατηγορεί το θύμα, στα μάτια μου.

Τέλος πάντων, αυτό δεν μου φάνηκε πολύ ισχυρό κίνητρο για εταιρείες που δεν θέλουν να κάνουν το σωστό.

---

ΖΥΜΗ.  Εντάξει, ήχος στα σχόλια, θα θέλαμε να ακούσουμε τη γνώμη σας!

Το άρθρο αυτό ονομάζεται: Η μάρκα μόδας SHEIN επέβαλε πρόστιμο 1.9 εκατομμυρίων δολαρίων για ψέματα για παραβίαση δεδομένων.

Και πάμε σε μια άλλη απογοητευτική ιστορία…

.., μια άλλη μέρα, άλλη μια προειδοποιητική ιστορία σχετικά με την επεξεργασία μη αξιόπιστων δεδομένων!

---

ΠΑΠΙΑ.  Άαργκ, ξέρω τι θα γίνει, Νταγκ.

Αυτό είναι το Κείμενο Apache Commons bug, έτσι δεν είναι;

---

ΖΥΜΗ.  Είναι!

---

ΠΑΠΙΑ.  Για να είμαστε ξεκάθαροι, αυτός δεν είναι ο διακομιστής Web Apache.

Το Apache είναι ένα ίδρυμα λογισμικού που έχει μια ολόκληρη σειρά προϊόντων και δωρεάν εργαλεία… και είναι πράγματι πολύ χρήσιμα, είναι ανοιχτού κώδικα και είναι υπέροχα.

Αλλά είχαμε, στο Java μέρος του οικοσυστήματος τους (τον Apache Web Server httpd δεν είναι γραμμένο σε Java, οπότε ας το αγνοήσουμε προς το παρόν – μην ανακατεύετε τον Apache με τον διακομιστή Web Apache)…

…τον τελευταίο χρόνο, είχαμε τρία παρόμοια προβλήματα στις βιβλιοθήκες Java του Apache.

Είχαμε το κακόφημος Log4Shell έντομο στη λεγόμενη βιβλιοθήκη Log4J (Logging for Java).

Τότε είχαμε ένα παρόμοιο σφάλμα, ποιο ήταν αυτό;… Διαμόρφωση Apache Commons, το οποίο είναι μια εργαλειοθήκη για τη διαχείριση όλων των ειδών αρχείων διαμόρφωσης, ας πούμε αρχείων INI και αρχείων XML, όλα με τυποποιημένο τρόπο.

Και τώρα σε μια βιβλιοθήκη ακόμη χαμηλότερου επιπέδου που ονομάζεται Κείμενο Apache Commons.

Το σφάλμα στο πράγμα που στην Java είναι γενικά γνωστό ως "παρέμβαση συμβολοσειρών".

Προγραμματιστές σε άλλες γλώσσες… αν χρησιμοποιείτε πράγματα όπως το PowerShell ή το Bash, θα το γνωρίζετε ως «αντικατάσταση συμβολοσειράς».

Εκεί μπορείς να κάνεις μαγικά μια πρόταση γεμάτη χαρακτήρες να μετατραπεί σε ένα είδος μίνι προγράμματος.

Εάν έχετε χρησιμοποιήσει ποτέ το κέλυφος Bash, θα το γνωρίζετε αν πληκτρολογήσετε την εντολή echo USER, θα ηχεί ή θα εκτυπώσει τη συμβολοσειρά USER και θα δείτε, στην οθόνη USER.

Αλλά αν εκτελέσετε την εντολή echo $USER, τότε αυτό δεν σημαίνει ότι το σύμβολο του δολαρίου ακολουθείται από USER.

Αυτό που σημαίνει είναι, "Αντικαταστήστε αυτήν τη μαγική συμβολοσειρά με το όνομα του τρέχοντος συνδεδεμένου χρήστη και εκτυπώστε την."

Έτσι στον υπολογιστή μου, αν εσείς echo USER, παίρνετε USER, αλλά αν εσύ echo $USER, καταλαβαίνετε τη λέξη duck Αντιθέτως.

Και μερικές από τις αντικαταστάσεις χορδών Java προχωρούν πολύ, πολύ, πολύ πιο μακριά από αυτό… όπως οποιοσδήποτε υπέφερε τη χαρά του επιδιόρθωση Log4Shell τα Χριστούγεννα του 2021 θα θυμούνται!

Υπάρχουν όλα τα είδη έξυπνων μικροπρογραμμάτων που μπορείτε να ενσωματώσετε μέσα σε συμβολοσειρές που στη συνέχεια επεξεργάζεστε με αυτήν τη βιβλιοθήκη επεξεργασίας συμβολοσειρών.

Υπάρχει λοιπόν το προφανές: για να διαβάσετε το όνομα χρήστη, βάζετε ${env: (για «διαβάστε το περιβάλλον») user}… χρησιμοποιείτε αγκύλες.

Είναι σύμβολο του δολαρίου. στριφογυριστός βραχίονας? κάποια μαγική εντολή? στριμμένο στήριγμα που είναι το μαγικό μέρος.

Και δυστυχώς, σε αυτήν τη βιβλιοθήκη, υπήρχε ανεξέλεγκτη προεπιλεγμένη διαθεσιμότητα μαγικών εντολών όπως: ${url:...}, το οποίο σας επιτρέπει να εξαπατήσετε τη βιβλιοθήκη επεξεργασίας συμβολοσειρών για να επικοινωνήσετε με το Διαδίκτυο, να κατεβάσετε κάτι και να εκτυπώσετε ό,τι λαμβάνει από αυτόν τον διακομιστή ιστού αντί για τη συμβολοσειρά ${url:...}.

Έτσι, παρόλο που αυτό δεν είναι εντελώς έγχυση κώδικα, επειδή είναι απλώς ακατέργαστο HTML, εξακολουθεί να σημαίνει ότι μπορείτε να βάλετε κάθε λογής σκουπίδια και περίεργα και υπέροχα αναξιόπιστα πράγματα στα αρχεία καταγραφής των ανθρώπων ή στις ιστοσελίδες τους.

Δεν υπάρχει ${dns:...}, που σημαίνει ότι μπορείτε να ξεγελάσετε τον διακομιστή κάποιου, ο οποίος μπορεί να είναι ένας διακομιστής επιχειρηματικής λογικής μέσα στο δίκτυο…

…μπορείτε να το ξεγελάσετε για να κάνετε μια αναζήτηση DNS για έναν επώνυμο διακομιστή.

Και αν είστε κάτοχος αυτού του τομέα, ως απατεώνας, τότε είστε κάτοχος και χειρισμός του διακομιστή DNS που σχετίζεται με αυτόν τον τομέα.

Λοιπόν, όταν γίνει η αναζήτηση DNS, μαντέψτε τι;

Αυτή η αναζήτηση τελειώνει *στον διακομιστή σας* και μπορεί να σας βοηθήσει να χαρτογραφήσετε τα εσωτερικά του επιχειρηματικού δικτύου κάποιου… όχι μόνο τον διακομιστή ιστού του, αλλά πράγματα πιο βαθιά στο δίκτυο.

Και τέλος, και το πιο ανησυχητικό, τουλάχιστον με παλαιότερες εκδόσεις Java, υπήρχε… [ΓΕΛΙΑ] ξέρεις τι έρχεται εδώ, Νταγκ!

Η εντολή ${script:...}.

"Γεια, επιτρέψτε μου να σας δώσω κάποια JavaScript και να την εκτελέσετε ευγενικά για μένα."

Και μάλλον σκέφτεστε, «Τι;! Υπομονή, αυτό είναι ένα σφάλμα στην Java. Τι σχέση έχει το JavaScript;»

Λοιπόν, μέχρι συγκριτικά πρόσφατα… και θυμηθείτε, πολλές επιχειρήσεις εξακολουθούν να χρησιμοποιούν παλαιότερες, υποστηριζόμενες ακόμα εκδόσεις του Java Development Kit.

Μέχρι πρόσφατα, η Java… [ΓΕΛΙΑ] (και πάλι, δεν πρέπει να γελάσω)… το Java Development Kit περιείχε, μέσα του, μια πλήρη, λειτουργική μηχανή JavaScript, γραμμένη σε Java.

Τώρα, δεν υπάρχει καμία σχέση μεταξύ Java και JavaScript εκτός από τα τέσσερα γράμματα "Java", αλλά θα μπορούσατε να βάλετε ${script:javascript:...}και εκτελέστε τον κωδικό της επιλογής σας.

Και, ενοχλητικά, ένα από τα πράγματα που μπορείτε να κάνετε στη μηχανή JavaScript εντός του χρόνου εκτέλεσης Java είναι να πείτε στη μηχανή JavaScript, "Γεια, θέλω να εκτελέσω αυτό το πράγμα μέσω Java".

Έτσι, μπορείτε να κάνετε JavaScript να καλεί *into* JavaScript και JavaScript ουσιαστικά να καλεί *out* σε Java.

Και στη συνέχεια, από την Java, μπορείτε να πείτε, "Γεια, εκτελέστε αυτήν την εντολή συστήματος".

Και αν πάτε στο άρθρο της Γυμνής Ασφάλειας, θα με δείτε να χρησιμοποιώ μια ύποπτη εντολή για να [ΒΗΧΕΙ ΑΠΟΛΟΓΗΤΙΚΑ] να κάνω calc, Doug!

Μια αριθμομηχανή HP RPN, φυσικά, επειδή είναι εγώ που κάνω την αριθμομηχανή να σκάει…

---

ΖΥΜΗ.  Πρέπει να είναι, ναι!

---

ΠΑΠΙΑ.  …αυτό είναι ένα HP-10.

Έτσι, αν και ο κίνδυνος δεν είναι τόσο υπέροχο ως Log4Shell, δεν μπορείτε πραγματικά να το αποκλείσετε εάν χρησιμοποιείτε αυτήν τη βιβλιοθήκη.

Έχουμε μερικές οδηγίες στο άρθρο Naked Security για το πώς μπορείτε να μάθετε αν έχετε τη βιβλιοθήκη κειμένου Commons… και μπορεί να την έχετε, όπως πολλοί άνθρωποι με το Log4J, χωρίς να το καταλάβουν, επειδή μπορεί να συνοδεύεται από μια εφαρμογή.

Και έχουμε επίσης ένα δείγμα κώδικα εκεί που μπορείτε να χρησιμοποιήσετε για να ελέγξετε εάν τυχόν μετριασμούς που έχετε θέσει έχουν λειτουργήσει.

---

ΖΥΜΗ.  Εντάξει, κατευθυνθείτε στη Γυμνή Ασφάλεια.

Το άρθρο αυτό ονομάζεται: Επικίνδυνη τρύπα στο Apache Commons Text – όπως το Log4Shell ξανά.

Και ολοκληρώνουμε με μια ερώτηση: "Τι συμβαίνει όταν τα κρυπτογραφημένα μηνύματα είναι μόνο κάπως κρυπτογραφημένα;"

---

ΠΑΠΙΑ.  Α, αναφέρεστε σε αυτό που ήταν, υποθέτω, μια επίσημη αναφορά σφάλματος που κατατέθηκε πρόσφατα από ερευνητές κυβερνοασφάλειας στη φινλανδική εταιρεία WithSecure…

…σχετικά με την ενσωματωμένη κρυπτογράφηση που προσφέρεται στο Microsoft Office, ή πιο συγκεκριμένα, μια δυνατότητα που ονομάζεται Κρυπτογράφηση μηνυμάτων Office 365 ή OME.

Είναι πολύ βολικό να έχετε ένα μικρό χαρακτηριστικό όπως αυτό ενσωματωμένο στην εφαρμογή.

---

ΖΥΜΗ.  Ναι, ακούγεται απλό και βολικό!

---

ΠΑΠΙΑ.  Ναι, εκτός από… ω, αγαπητέ!

Φαίνεται ότι ο λόγος για αυτό οφείλεται στη συμβατότητα προς τα πίσω, Νταγκ…

…ότι η Microsoft θέλει αυτή η δυνατότητα να λειτουργεί μέχρι το τέλος σε άτομα που εξακολουθούν να χρησιμοποιούν το Office 2010, το οποίο έχει ενσωματωμένες δυνατότητες αποκρυπτογράφησης μάλλον παλιάς σχολής.

Βασικά, φαίνεται ότι αυτή η διαδικασία OME κρυπτογράφησης του αρχείου χρησιμοποιεί AES, που είναι ο πιο πρόσφατος και καλύτερος αλγόριθμος κρυπτογράφησης τυποποιημένος από το NIST.

Αλλά χρησιμοποιεί το AES σε λάθος αποκαλούμενη λειτουργία κρυπτογράφησης.

Χρησιμοποιεί αυτό που είναι γνωστό ως ΕΚΤ ή ηλεκτρονικό βιβλίο κωδικών τρόπος.

Και αυτός είναι απλώς ο τρόπος που αναφέρεστε στο ακατέργαστο AES.

Το AES κρυπτογραφεί 16 byte κάθε φορά… παρεμπιπτόντως, κρυπτογραφεί 16 byte είτε χρησιμοποιείτε AES-128, AES-192 ή AES-256.

Μην ανακατεύετε το μέγεθος του μπλοκ και το μέγεθος του κλειδιού – το μέγεθος του μπλοκ, ο αριθμός των byte που αναδεύονται και κρυπτογραφούνται κάθε φορά που περιστρέφετε τη λαβή του στρόφαλου στον κρυπτογραφικό κινητήρα, είναι πάντα 128 bis ή 16 byte.

Εν πάση περιπτώσει, στη λειτουργία ηλεκτρονικού βιβλίου κωδικών, λαμβάνετε απλώς 16 byte εισόδου, περιστρέφετε τη λαβή του στρόφαλου μία φορά κάτω από ένα δεδομένο κλειδί κρυπτογράφησης και παίρνετε την έξοδο, ακατέργαστη και μη επεξεργασμένη.

Και το πρόβλημα με αυτό είναι ότι κάθε φορά που λαμβάνετε την ίδια είσοδο σε ένα έγγραφο ευθυγραμμισμένο στο ίδιο όριο 16 byte…

…παίρνετε ακριβώς τα ίδια δεδομένα στην έξοδο.

Έτσι, τα μοτίβα στην είσοδο αποκαλύπτονται στην έξοδο, όπως ακριβώς είναι στο α Καίσαρας κρυπτογράφηση ή α Vigenère κρυπτογράφημα:

Τώρα, αυτό δεν σημαίνει ότι μπορείτε να σπάσετε τον κρυπτογράφηση, επειδή εξακολουθείτε να έχετε να κάνετε με κομμάτια που έχουν πλάτος 128 bit κάθε φορά.

Το πρόβλημα με τη λειτουργία ηλεκτρονικού βιβλίου κωδικών προκύπτει ακριβώς επειδή διαρρέει μοτίβα από το απλό κείμενο στο κρυπτογραφημένο κείμενο.

Οι επιθέσεις γνωστού απλού κειμένου είναι δυνατές όταν γνωρίζετε ότι μια συγκεκριμένη συμβολοσειρά εισόδου κρυπτογραφεί με συγκεκριμένο τρόπο και για επαναλαμβανόμενο κείμενο σε ένα έγγραφο (όπως μια κεφαλίδα ή ένα όνομα εταιρείας), αυτά τα μοτίβα αντικατοπτρίζονται.

Και παρόλο που αυτό αναφέρθηκε ως σφάλμα στη Microsoft, προφανώς η εταιρεία αποφάσισε ότι δεν πρόκειται να το διορθώσει επειδή "δεν πληροί τη γραμμή" για μια επιδιόρθωση ασφαλείας.

Και φαίνεται ότι ο λόγος είναι, "Λοιπόν, θα κάνουμε κακό σε άτομα που εξακολουθούν να χρησιμοποιούν το Office 2010."

---

ΖΥΜΗ.  Ουφ!

---

ΠΑΠΙΑ.  Ναι!

---

ΖΥΜΗ.  Και σε αυτό το σημείωμα, έχουμε ένα σχόλιο αναγνώστη για αυτήν την εβδομάδα για αυτήν την ιστορία.

Ο Naked Security Reader Bill σχολιάζει, εν μέρει:

Αυτό μου θυμίζει τις «κούνιες» που χρησιμοποιούσαν οι κωδικοθραύστες του Bletchley Park κατά τη διάρκεια του Β' Παγκοσμίου Πολέμου. Οι Ναζί συχνά τελείωναν τα μηνύματα με την ίδια φράση κλεισίματος, και έτσι οι κωδικοθραύστες μπορούσαν να επανέλθουν από αυτό το τελικό σύνολο κρυπτογραφημένων χαρακτήρων, γνωρίζοντας τι πιθανόν αντιπροσώπευαν. Είναι απογοητευτικό το γεγονός ότι 80 χρόνια μετά, φαίνεται να επαναλαμβάνουμε τα ίδια λάθη.

---

ΠΑΠΙΑ.  80 χρόνια!

Ναι, είναι όντως απογοητευτικό.

Καταλαβαίνω ότι άλλες κούνιες που θα μπορούσαν να χρησιμοποιήσουν οι συμμαχικοί κωδικοποιητές, ιδιαίτερα για κείμενα κρυπτογραφημένα από τους Ναζί, ασχολήθηκαν επίσης με την *αρχή* του εγγράφου.

Πιστεύω ότι αυτό ήταν ένα θέμα για τα γερμανικά δελτία καιρού… υπήρχε μια θρησκευτική μορφή που ακολούθησαν για να βεβαιωθούν ότι έδιναν ακριβώς τα δελτία καιρού.

Και τα δελτία καιρού, όπως μπορείτε να φανταστείτε, κατά τη διάρκεια ενός πολέμου που περιλαμβάνει αεροπορικούς βομβαρδισμούς τη νύχτα, ήταν πραγματικά σημαντικά πράγματα!

Φαίνεται ότι αυτά ακολούθησαν ένα πολύ, πολύ αυστηρό μοτίβο που θα μπορούσε, περιστασιακά, να χρησιμοποιηθεί ως αυτό που θα μπορούσατε να αποκαλέσετε ως ένα κρυπτογραφικό «χαλαρώσιμο» ή μια σφήνα που θα μπορούσατε να χρησιμοποιήσετε για να εισβάλετε στην πρώτη θέση.

Και αυτό, όπως επισημαίνει ο Bill… αυτός ακριβώς είναι ο λόγος που το AES, ή οποιοδήποτε cipher, σε λειτουργία ηλεκτρονικού βιβλίου κωδικών δεν είναι ικανοποιητικό για την κρυπτογράφηση ολόκληρων εγγράφων!

---

ΖΥΜΗ.  Εντάξει, σε ευχαριστώ που το έστειλες, Μπιλ.

Εάν έχετε μια ενδιαφέρουσα ιστορία, σχόλιο ή ερώτηση που θέλετε να υποβάλετε, θα θέλαμε να τη διαβάσουμε στο podcast.

Μπορείτε να στείλετε email στο tips@sophos.com, να σχολιάσετε οποιοδήποτε από τα άρθρα μας ή να μας ενημερώσετε στα social: @nakedsecurity.

Αυτή είναι η εκπομπή μας για σήμερα. ευχαριστώ πολύ για την ακρόαση.

Για τον Paul Ducklin, είμαι ο Doug Aamoth, σας υπενθυμίζω μέχρι την επόμενη φορά να…

---

ΚΑΙ ΤΑ ΔΥΟ.  Μείνετε ασφαλείς!