APA ARTI ANDA, “TIDAK MEMENUHI BAR UNTUK PELAYANAN KEAMANAN”?
Klik-dan-tarik gelombang suara di bawah untuk melompat ke titik mana pun. Anda juga bisa dengarkan langsung di Soundcloud.
Dengan Doug Aamoth dan Paul Ducklin. Musik intro dan outro oleh Edith Mudge.
Anda dapat mendengarkan kami di SoundCloud, Podcast Apple, Google Podcast, Spotify, Mesin penjahit dan di mana pun podcast bagus ditemukan. Atau jatuhkan saja URL umpan RSS kami ke dalam podcatcher favorit Anda.
BACA TRANSKRIPNYA
ANJING. Pelanggaran yang menakjubkan, enkripsi yang dapat didekripsi, dan tambalan yang berlimpah.
Semua itu lebih banyak lagi di podcast Naked Security.
[MODEM MUSIK]
Selamat datang di podcast, semuanya.
Saya Doug Aamoth; dia adalah Paul Ducklin.
Paul, bagaimana kabarmu hari ini, Pak?
BEBEK. Doug ... saya tahu, karena Anda memberi tahu saya sebelumnya, apa yang akan masuk Minggu ini dalam Sejarah Teknologi, dan itu HEBAT!
ANJING. OK!
Minggu ini, pada tanggal 18 Oktober 1958, sebuah osiloskop dan komputer yang dibuat untuk mensimulasikan hambatan angin dipasangkan dengan pengontrol aluminium khusus, dan permainan Tenis untuk Dua lahir.
Dipamerkan pada pameran tiga hari di Laboratorium Nasional Brookhaven, Tenis untuk Dua terbukti sangat populer, terutama di kalangan siswa sekolah menengah.
Jika Anda mendengarkan ini, Anda harus pergi ke Wikipedia dan mencari "Tenis untuk Dua".
Ada video di sana untuk sesuatu yang dibangun pada tahun 1958…
...Saya pikir Anda akan setuju dengan saya, Paul, itu sangat luar biasa.
BEBEK. Saya akan *senang* memainkannya hari ini!
Dan, seperti Asteroids dan Battle Zone, dan game-game yang dikenang secara khusus di tahun 1980-an…
…karena ini adalah osiloskop: grafik vektor!
Tidak ada pikselasi, tidak ada perbedaan tergantung pada apakah garis berada pada 90 derajat, atau 30 derajat, atau 45 derajat.
Dan umpan balik suara dari relai di pengontrol… luar biasa!
Sulit dipercaya bahwa ini adalah tahun 1958.
Mengingat kembali ke sebelumnya Minggu ini dalam Sejarah Teknologi, itu di puncak revolusi transistor.
Rupanya, setengah komputasi adalah campuran katup termionik (tabung vakum) dan relai.
Dan sirkuit tampilan semuanya berbasis transistor, Doug
Jadi itu tepat di campuran semua teknologi: relay, katup dan transistor, semua dalam satu video game yang inovatif.
ANJING. Sangat keren.
Lihat di Wikipedia: Tenis untuk Dua.
Sekarang mari kita beralih ke cerita pertama kita.
Paul, aku tahu kau sangat mahir menulis puisi yang bagus…
…Saya telah menulis puisi yang sangat pendek untuk memperkenalkan cerita pertama ini, jika Anda mau memanjakan saya.
BEBEK. Jadi itu akan menjadi dua baris, bukan? [TERTAWA]
ANJING. Ini berjalan sedikit seperti ini.
Zoom untuk Mac/Jangan dapatkan dibajak.
[DIAM SANGAT PANJANG]
Akhiri puisi.
BEBEK. Oh maaf!
Saya pikir itu judulnya, dan Anda akan membuat puisi itu sekarang.
ANJING. Jadi, itulah puisinya.
BEBEK. OK.
[TANPA EMOSI] Bagus, Doug.
ANJING. [IRONIS] Terima kasih.
BEBEK. Sajak itu spektakuler!
Tapi tidak semua puisi harus berima….
ANJING. Itu benar.
BEBEK. Kami akan menyebutnya sajak bebas, ya?
ANJING. Oke, silakan.
BEBEK. Sayangnya, ini adalah pintu belakang gratis ke Zoom untuk Mac.
[MERASA BERSALAH] Maaf, itu bukan bagian yang bagus, Doug.
[TERTAWA] Anda menginjak wilayah orang lain, Anda sering kalah…
ANJING. Tidak itu bagus!
Saya mencoba puisi minggu ini; Anda mencoba segues.
Kita harus keluar dari zona nyaman kita sesekali.
BEBEK. Saya berasumsi bahwa ini adalah kode yang dimaksudkan untuk dikompilasi ketika build terakhir selesai, tetapi secara tidak sengaja tertinggal.
Ini hanya untuk versi Zoom untuk Mac, dan telah ditambal, jadi pastikan Anda selalu terbarui.
Pada dasarnya, dalam beberapa keadaan, ketika streaming video akan dimulai atau kamera diaktifkan oleh aplikasi itu sendiri, secara tidak sengaja Anda akan berpikir bahwa Anda mungkin ingin men-debug program.
Karena, hei, mungkin Anda seorang pengembang! [TERTAWA]
Itu tidak seharusnya terjadi di build rilis, jelas.
Dan itu berarti ada port debug TCP yang dibiarkan terbuka di antarmuka jaringan lokal.
Itu berarti bahwa siapa saja yang dapat mengirimkan paket ke port tersebut, yang mungkin merupakan pengguna lain yang terhubung secara lokal, sehingga tidak perlu menjadi administrator atau bahkan Anda… bahkan pengguna tamu, itu sudah cukup.
Jadi, penyerang yang memiliki semacam malware proxy di komputer Anda yang dapat menerima paket dari luar dan menyuntikkannya ke antarmuka lokal pada dasarnya dapat mengeluarkan perintah ke program.
Dan hal-hal umum yang memungkinkan antarmuka debug meliputi: membuang sebagian memori; mengekstrak rahasia; mengubah perilaku program; menyesuaikan pengaturan konfigurasi tanpa melalui antarmuka biasa sehingga pengguna tidak dapat melihatnya; tangkap semua audio tanpa memberi tahu siapa pun, tanpa memunculkan peringatan perekaman; semua hal semacam itu.
Kabar baiknya adalah Zoom menemukannya sendiri, dan mereka menambalnya dengan cukup cepat.
Tapi itu adalah pengingat yang bagus bahwa seperti yang sering kita katakan, [TERTAWA] "Ada banyak kesalahan 'memutar cangkir dan bibir."
ANJING. Baiklah, sangat bagus.
Mari kita tetap di kereta patch, dan berhenti di stasiun berikutnya.
Dan cerita ini… mungkin yang paling menarik dari cerita Patch Tuesday terbaru ini adalah apa yang *tidak* disertakan oleh Microsoft?
BEBEK. Sayangnya, patch yang mungkin diharapkan semua orang – dan kami berspekulasi dalam podcast baru-baru ini, “Yah, sepertinya Microsoft akan membuat kami menunggu satu minggu lagi hingga Patch Tuesday, dan tidak melakukan rilis awal out-of-band” ” adalah dua memori terbaru Exchange zero-days.
Apa yang kemudian dikenal sebagai E00F, atau Tukarkan Double Zero-day Flaw dalam terminologi saya, atau ProxyNotShell karena mungkin agak membingungkan dikenal di Twittersphere.
Jadi itulah cerita besar di Patch Tuesday bulan ini: kedua bug itu secara spektakuler tidak diperbaiki.
Jadi kita tidak tahu kapan itu akan terjadi.
Anda perlu memastikan bahwa Anda telah menerapkan mitigasi apa pun.
Seperti yang saya pikir telah kami katakan sebelumnya, Microsoft terus menemukan bahwa mitigasi sebelumnya yang mereka sarankan… yah, mungkin mereka tidak cukup baik, dan mereka terus mengubah nada dan mengadaptasi ceritanya.
Jadi, jika Anda ragu, Anda dapat kembali ke nakedsecurity.sophos.com, cari frasa ProxyNotShell (semua satu kata), dan kemudian pergi dan baca apa yang harus kita katakan.
Dan Anda juga dapat menautkan ke versi terbaru dari perbaikan Microsoft…
…karena, dari semua yang ada di Patch Tuesday, itu yang paling menarik, seperti yang Anda katakan: karena itu tidak ada.
ANJING. Oke, sekarang kita pindah gigi ke a cerita yang sangat mengecewakan.
Ini adalah tamparan di pergelangan tangan bagi perusahaan besar yang keamanan sibernya sangat buruk sehingga mereka bahkan tidak menyadari bahwa mereka telah dilanggar!
BEBEK. Ya, ini adalah merek yang mungkin akan dikenal kebanyakan orang sebagai SHEIN (“she-in”), ditulis dalam satu kata, semua dalam huruf kapital. (Pada saat pelanggaran, perusahaan itu dikenal sebagai Zoetop.)
Dan itulah yang disebut "fashion cepat".
Anda tahu, mereka menumpuknya tinggi-tinggi dan menjualnya dengan harga murah, dan bukannya tanpa kontroversi tentang dari mana mereka mendapatkan desainnya.
Dan, sebagai pengecer online, Anda mungkin berharap mereka memiliki detail keamanan siber ritel online.
Tapi, seperti yang Anda katakan, mereka tidak melakukannya!
Dan kantor Jaksa Agung Negara Bagian New York di Amerika Serikat memutuskan bahwa mereka tidak senang dengan cara penduduk New York diperlakukan yang termasuk di antara korban pelanggaran ini.
Jadi mereka mengambil tindakan hukum terhadap perusahaan ini… dan itu adalah serangkaian kesalahan, kesalahan, dan akhirnya ditutup-tutupi – singkatnya, Douglas, ketidakjujuran.
Mereka memiliki pelanggaran yang tidak mereka sadari.
Ini, setidaknya di masa lalu, biasanya mengecewakan: perusahaan tidak akan menyadari bahwa mereka telah dilanggar sampai penangan kartu kredit atau bank menghubungi mereka dan berkata, keluhan tentang penipuan dari pelanggan bulan ini.”
“Dan ketika kita melihat kembali apa yang mereka sebut CPP, titik pembelian umum, satu-satunya pedagang yang tampaknya dibeli oleh setiap korban adalah Anda. Kami rasa kebocoran itu berasal dari Anda.”
Dan dalam kasus ini, itu bahkan lebih buruk.
Rupanya pemroses pembayaran lain datang dan berkata, "Oh, omong-omong, kami menemukan sejumlah nomor kartu kredit untuk dijual, ditawarkan sebagai curian dari kalian."
Jadi mereka memiliki bukti yang jelas bahwa telah terjadi pelanggaran dalam jumlah besar, atau pelanggaran sedikit demi sedikit.
ANJING. Jadi tentu saja, ketika perusahaan ini mengetahui hal ini, mereka bergerak cepat untuk memperbaiki situasi, bukan?
BEBEK. Yah, itu tergantung bagaimana kamu… [TERTAWA] Aku tidak seharusnya tertawa, Doug, seperti biasa.
Itu tergantung pada apa yang Anda maksud dengan "memperbaiki".
ANJING. [TERTAWA] Oh, Tuhan!
BEBEK. Jadi sepertinya mereka *memang* menangani masalah itu… memang, ada bagian yang mereka tutupi dengan sangat baik.
Tampaknya.
Tampaknya mereka tiba-tiba memutuskan, “Ups, sebaiknya kita menjadi PCI DSS compliant”.
Jelas mereka tidak, karena mereka tampaknya telah menyimpan log debug yang memiliki rincian kartu kredit dari transaksi yang gagal ... segala sesuatu yang Anda tidak seharusnya menulis ke disk, mereka menulis.
Dan kemudian mereka menyadari itu telah terjadi, tetapi mereka tidak dapat menemukan di mana mereka meninggalkan data itu di jaringan mereka sendiri!
Jadi, jelas mereka tahu bahwa mereka tidak sesuai dengan PCI DSS.
Mereka mulai membuat diri mereka sendiri sesuai dengan PCI DSS, tampaknya, sesuatu yang mereka capai pada tahun 2019. (Pelanggaran terjadi pada tahun 2018.)
Tetapi ketika mereka diberitahu bahwa mereka harus tunduk pada audit, penyelidikan forensik ...
...menurut Jaksa Agung New York, mereka dengan sengaja menghalangi penyidik.
Mereka pada dasarnya mengizinkan penyelidik untuk melihat sistem seperti itu * setelah * mereka memperbaikinya, dan mengelasnya, dan memolesnya, dan mereka berkata, "Oh tidak, Anda tidak dapat melihat cadangannya," yang terdengar agak nakal bagi saya .
ANJING. Uh huh.
BEBEK. Dan juga cara mereka mengungkapkan pelanggaran kepada pelanggan mereka menarik kemarahan yang signifikan dari Negara Bagian New York.
Secara khusus, tampaknya cukup jelas bahwa 39,000,000 detail pengguna dalam beberapa cara telah dipalsukan, termasuk kata sandi dengan hash yang sangat lemah: salt dua digit, dan satu putaran MD5.
Tidak cukup baik pada tahun 1998, apalagi 2018!
Jadi mereka tahu bahwa ada masalah untuk sejumlah besar pengguna ini, tetapi tampaknya mereka hanya mulai menghubungi 6,000,000 pengguna yang benar-benar menggunakan akun mereka dan memesan.
Dan kemudian mereka berkata, "Yah, setidaknya kita sudah menghubungi semua orang itu."
Dan *kemudian* ternyata mereka tidak benar-benar menghubungi semua 6,000,000 juta pengguna!
Mereka baru saja menghubungi enam juta orang yang kebetulan tinggal di Kanada, Amerika Serikat, atau Eropa.
Jadi, jika Anda berasal dari tempat lain di dunia, nasib buruk!
Seperti yang dapat Anda bayangkan, itu tidak cocok dengan pihak berwenang, dengan regulator.
Dan, harus saya akui… saya terkejut, Doug, mereka didenda $1.9 juta.
Yang, untuk perusahaan sebesar itu…
ANJING. Iya nih!
BEBEK. …dan membuat kesalahan yang mengerikan, dan kemudian tidak sepenuhnya sopan dan jujur tentang apa yang telah terjadi, dan ditegur karena berbohong tentang pelanggaran, dengan kata lain, oleh Jaksa Agung New York?
Saya agak membayangkan mereka mungkin mengalami nasib yang lebih serius.
Bahkan mungkin termasuk sesuatu yang tidak bisa dilunasi begitu saja dengan menghasilkan sejumlah uang.
Oh, dan hal lain yang mereka lakukan adalah ketika terlihat jelas bahwa ada pengguna yang kata sandinya berisiko… karena mereka sangat mudah dipecahkan karena fakta bahwa itu adalah garam dua digit, yang berarti Anda dapat membuat 100 kamus yang sudah dihitung sebelumnya. …
ANJING. Apakah itu umum?
Hanya garam dua digit tampaknya sangat rendah!
BEBEK. Tidak, Anda biasanya menginginkan 128 bit (16 byte), atau bahkan 32 byte.
Secara longgar, itu tidak membuat perbedaan signifikan pada kecepatan cracking, karena (tergantung pada ukuran blok hash) Anda hanya menambahkan dua digit tambahan ke dalam campuran.
Jadi komputasi hash sebenarnya tidak memakan waktu lebih lama.
Sejauh tahun 2016, orang yang menggunakan komputer dengan delapan GPU yang menjalankan program "hashcat", saya pikir, dapat melakukan 200 miliar MD5 per detik.
Saat itu! (Jumlah itu sekitar lima atau sepuluh kali lebih tinggi sekarang.)
Jadi sangat, sangat bisa dipecahkan.
Tetapi daripada benar-benar menghubungi orang dan berkata, “Kata sandi Anda berisiko karena kami membocorkan hash, dan itu bukan kata sandi yang sangat bagus, Anda harus mengubahnya”, [TERTAWA] mereka hanya berkata…
…Itu adalah kata-kata yang sangat lemah, bukan?
ANJING. “Kata sandi Anda memiliki tingkat keamanan yang rendah dan mungkin berisiko. Silakan ubah kata sandi masuk Anda. ”
Dan kemudian mereka mengubahnya menjadi, “Kata sandi Anda belum diperbarui selama lebih dari 365 hari. Untuk perlindungan Anda, harap perbarui sekarang. ”
BEBEK. Ya, "Kata sandi Anda memiliki tingkat keamanan yang rendah ..."
ANJING. “KARENA KITA!”
BEBEK. Itu bukan hanya menggurui, bukan?
Itu di atau di luar perbatasan menjadi korban menyalahkan, di mata saya.
Bagaimanapun, ini tampaknya tidak menjadi insentif yang sangat kuat bagi perusahaan yang tidak ingin melakukan hal yang benar.
ANJING. Baiklah, suarakan di komentar, kami ingin mendengar pendapat Anda!
Artikel itu disebut: Merek fashion SHEIN didenda $1.9 Juta karena berbohong tentang pelanggaran data.
Dan ke cerita frustasi lainnya…
..,hari lain, kisah peringatan lain tentang memproses input yang tidak tepercaya!
BEBEK. Aaargh, aku tahu apa yang akan terjadi, Doug.
Itu adalah Teks Apache Commons bug, bukan?
ANJING. Ini!
BEBEK. Untuk memperjelas, itu bukan Server Web Apache.
Apache adalah fondasi perangkat lunak yang memiliki banyak produk dan alat gratis… dan mereka memang sangat berguna, dan mereka adalah sumber terbuka, dan mereka hebat.
Tetapi kami telah memiliki, di bagian Java dari ekosistem mereka (Server Web Apache httpd tidak ditulis dalam Java, jadi mari kita abaikan itu untuk saat ini – jangan mencampuradukkan Apache dengan Apache Web Server)…
…pada tahun lalu, kami memiliki tiga masalah serupa di perpustakaan Java Apache.
Kami punya hina Log4Shell kesalahan di perpustakaan yang disebut Log4J (Logging for Java).
Kemudian kami memiliki bug serupa, apa itu?… Konfigurasi Apache Commons, yang merupakan toolkit untuk mengelola semua jenis file konfigurasi, misalnya file INI dan file XML, semuanya dengan cara yang terstandarisasi.
Dan sekarang di perpustakaan tingkat yang lebih rendah yang disebut Teks Apache Commons.
Bug di dalam hal yang di Jawa umumnya dikenal sebagai "interpolasi string".
Pemrogram dalam bahasa lain... jika Anda menggunakan hal-hal seperti PowerShell atau Bash, Anda akan mengetahuinya sebagai "substitusi string".
Di situlah Anda dapat secara ajaib membuat kalimat penuh karakter menjadi semacam program mini.
Jika Anda pernah menggunakan shell Bash, Anda akan mengetahuinya jika Anda mengetikkan perintah echo USER, itu akan menggemakan, atau mencetak, string USER dan Anda akan melihat, di layar USER.
Tetapi jika Anda menjalankan perintah echo $USER, maka itu tidak berarti menggemakan tanda dolar diikuti oleh USER.
Artinya adalah, "Ganti string ajaib itu dengan nama pengguna yang saat ini masuk, dan cetak itu sebagai gantinya."
Jadi di komputer saya, jika Anda echo USER, Anda mendapatkan USER, tetapi jika Anda echo $USER, Anda mendapatkan kata duck sebagai gantinya.
Dan beberapa substitusi string Java berjalan jauh, jauh, lebih jauh dari itu ... sebagai siapa pun yang menderita kegembiraan memperbaiki Log4Shell selama Natal 2021 akan ingat!
Ada berbagai macam program mini kecil yang pintar yang dapat Anda sematkan di dalam string yang kemudian Anda proses dengan perpustakaan pemrosesan string ini.
Jadi ada satu yang jelas: untuk membaca nama pengguna, Anda menempatkan ${env: (untuk “membaca lingkungan”) user}… Anda menggunakan tanda kurung berlekuk-lekuk.
Ini tanda dolar; kurung berlekuk; beberapa perintah sihir; braket berlekuk-lekuk yang merupakan bagian ajaib.
Dan sayangnya, di perpustakaan ini, ada ketersediaan default perintah ajaib yang tidak terkontrol seperti: ${url:...}, yang memungkinkan Anda mengelabui pustaka pemrosesan string untuk menjangkau internet, mengunduh sesuatu, dan mencetak apa yang didapat dari server web itu alih-alih string ${url:...}.
Jadi meskipun itu bukan injeksi kode, karena ini hanya HTML mentah, itu masih berarti Anda dapat memasukkan segala macam sampah dan hal-hal aneh dan tidak terpercaya yang tidak dapat dipercaya ke dalam file log orang atau halaman web mereka.
Ada ${dns:...}, yang berarti Anda dapat mengelabui server seseorang, yang mungkin merupakan server logika bisnis di dalam jaringan…
…Anda dapat mengelabuinya untuk melakukan pencarian DNS untuk server bernama.
Dan jika Anda memiliki domain itu, sebagai penjahat, maka Anda juga memiliki dan mengoperasikan server DNS yang terkait dengan domain tersebut.
Jadi, ketika pencarian DNS terjadi, coba tebak?
Pencarian itu berakhir *di server Anda*, dan mungkin membantu Anda memetakan bagian dalam jaringan bisnis seseorang… bukan hanya server web mereka, tetapi hal-hal yang lebih dalam di jaringan.
Dan terakhir, dan yang paling mengkhawatirkan, setidaknya dengan versi Java yang lebih lama, ada… [TERTAWA] Anda tahu apa yang akan terjadi di sini, Doug!
Perintah ${script:...}.
"Hei, izinkan saya memberi Anda beberapa JavaScript dan jalankan itu untuk saya."
Dan Anda mungkin berpikir, “Apa?! Tunggu, ini adalah bug di Jawa. Apa hubungannya JavaScript dengan itu?”
Yah, sampai baru-baru ini… dan ingat, banyak bisnis masih menggunakan Java Development Kit versi lama yang masih didukung.
Sampai baru-baru ini, Java… [TERTAWA] (sekali lagi, saya tidak boleh tertawa)… Java Development Kit berisi, di dalamnya, mesin JavaScript yang berfungsi penuh, yang ditulis dalam Java.
Sekarang, tidak ada hubungan antara Java dan JavaScript kecuali empat huruf "Java", tetapi Anda dapat menempatkan ${script:javascript:...}dan jalankan kode pilihan Anda.
Dan, yang mengganggu, salah satu hal yang dapat Anda lakukan di mesin JavaScript di dalam Java runtime adalah memberi tahu mesin JavaScript, "Hei, saya ingin menjalankan hal ini melalui Java."
Jadi Anda bisa membuat Java memanggil *ke* JavaScript, dan JavaScript pada dasarnya memanggil *keluar* ke Java.
Dan kemudian, dari Java, Anda dapat pergi, "Hei, jalankan perintah sistem ini."
Dan jika Anda pergi ke artikel Keamanan Telanjang, Anda akan melihat saya menggunakan perintah tersangka untuk [BERBATUK MENYESAL] pop a calc, Doug!
Kalkulator HP RPN, tentu saja, karena saya melakukan popping kalkulator ...
ANJING. Harus begitu, ya!
BEBEK. …ini adalah HP-10.
Jadi meskipun risikonya tidak sebesar hebat seperti Log4Shell, Anda tidak dapat mengesampingkannya jika Anda menggunakan perpustakaan ini.
Kami memiliki beberapa petunjuk dalam artikel Keamanan Telanjang tentang cara mengetahui apakah Anda memiliki perpustakaan Commons Text… dan Anda mungkin memilikinya, seperti yang dilakukan banyak orang dengan Log4J, tanpa menyadarinya, karena mungkin telah disertakan dengan aplikasi.
Dan kami juga memiliki beberapa kode contoh yang dapat Anda gunakan untuk menguji apakah mitigasi yang Anda lakukan berhasil.
ANJING. Baiklah, pergilah ke Naked Security.
Artikel itu disebut: Lubang berbahaya di Apache Commons Text – seperti Log4Shell lagi.
Dan kami menutup dengan pertanyaan: "Apa yang terjadi ketika pesan terenkripsi hanya agak terenkripsi?"
BEBEK. Ah, Anda mengacu pada apa yang, saya kira, laporan bug resmi yang diajukan oleh peneliti keamanan siber di perusahaan Finlandia WithSecure baru-baru ini…
…tentang enkripsi bawaan yang ditawarkan di Microsoft Office, atau lebih tepatnya, fitur yang disebut Enkripsi Pesan Office 365 atau OME.
Cukup praktis untuk memiliki fitur kecil seperti itu yang ada di dalam aplikasi.
ANJING. Ya, kedengarannya sederhana dan nyaman!
BEBEK. Ya, kecuali… oh, sayang!
Tampaknya alasan untuk ini semua adalah kompatibilitas ke belakang, Doug…
…bahwa Microsoft ingin fitur ini bekerja kembali ke orang-orang yang masih menggunakan Office 2010, yang memiliki kemampuan dekripsi yang agak kuno.
Pada dasarnya, tampaknya proses enkripsi file OME ini menggunakan AES, yang merupakan algoritma enkripsi standar NIST terbaru dan terhebat.
Tapi itu menggunakan AES dalam apa yang disebut mode enkripsi yang salah.
Ini menggunakan apa yang dikenal sebagai ECB, atau buku kode elektronik mode.
Dan itulah cara Anda merujuk ke AES mentah.
AES mengenkripsi 16 byte sekaligus… ngomong-ngomong, AES mengenkripsi 16 byte baik Anda menggunakan AES-128, AES-192, atau AES-256.
Jangan mencampuradukkan ukuran blok dan ukuran kunci – ukuran blok, jumlah byte yang dikocok dan dienkripsi setiap kali Anda memutar pegangan engkol pada mesin kriptografi, selalu 128 bis, atau 16 byte.
Bagaimanapun, dalam mode buku kode elektronik, Anda cukup mengambil 16 byte input, memutar pegangan engkol sekali di bawah kunci enkripsi yang diberikan, dan mengambil output, mentah dan belum diproses.
Dan masalahnya adalah setiap kali Anda mendapatkan input yang sama dalam dokumen yang disejajarkan pada batas 16-byte yang sama…
…Anda mendapatkan data yang sama persis di output.
Jadi, pola dalam input terungkap dalam output, seperti halnya di a Kaisar sandi atau a Vigenre sandi:
Sekarang, itu tidak berarti Anda dapat memecahkan sandi, karena Anda masih berurusan dengan potongan yang lebarnya 128 bit pada suatu waktu.
Masalah dengan mode buku kode elektronik justru muncul karena membocorkan pola dari plaintext ke ciphertext.
Serangan teks biasa yang diketahui dimungkinkan ketika Anda mengetahui bahwa string input tertentu dienkripsi dengan cara tertentu, dan untuk teks berulang dalam dokumen (seperti header atau nama perusahaan), pola tersebut direfleksikan.
Dan meskipun ini dilaporkan sebagai bug ke Microsoft, tampaknya perusahaan telah memutuskan untuk tidak memperbaikinya karena "tidak memenuhi standar" untuk perbaikan keamanan.
Dan sepertinya alasannya adalah, "Kami akan merugikan orang-orang yang masih menggunakan Office 2010."
ANJING. Aduh!
BEBEK. Iya nih!
ANJING. Dan pada catatan itu, kami memiliki komentar pembaca untuk minggu ini pada cerita ini.
Komentar RUU Pembaca Keamanan Telanjang, sebagian:
Ini mengingatkan saya pada 'boks bayi' yang digunakan pemecah kode Bletchley Park selama Perang Dunia Kedua. Nazi sering mengakhiri pesan dengan frasa penutup yang sama, dan dengan demikian pemecah kode dapat bekerja kembali dari rangkaian karakter terenkripsi penutup ini, mengetahui apa yang kemungkinan diwakilinya. Sangat mengecewakan bahwa 80 tahun kemudian, kita tampaknya mengulangi kesalahan yang sama.
BEBEK. 80 tahun!
Ya, memang mengecewakan.
Pemahaman saya adalah bahwa boks lain yang dapat digunakan oleh pemecah kode Sekutu, terutama untuk teks yang dienkripsi Nazi, juga menangani *awal* dokumen.
Saya percaya ini adalah hal untuk laporan cuaca Jerman ... ada format keagamaan yang mereka ikuti untuk memastikan mereka memberikan laporan cuaca dengan tepat.
Dan laporan cuaca, seperti yang dapat Anda bayangkan, selama perang yang melibatkan pemboman udara di malam hari, adalah hal yang sangat penting!
Tampaknya mereka mengikuti pola yang sangat, sangat ketat yang kadang-kadang dapat digunakan sebagai apa yang Anda sebut sedikit "pengendur" kriptografi, atau irisan yang dapat Anda gunakan untuk menerobos di tempat pertama.
Dan itu, seperti yang ditunjukkan Bill… itulah mengapa AES, atau sandi apa pun, dalam mode buku kode elektronik tidak memuaskan untuk mengenkripsi seluruh dokumen!
ANJING. Baiklah, terima kasih telah mengirimkannya, Bill.
Jika Anda memiliki cerita, komentar, atau pertanyaan menarik yang ingin Anda sampaikan, kami ingin membacanya di podcast.
Anda dapat mengirim email ke tips@sophos.com, Anda dapat mengomentari salah satu artikel kami, atau Anda dapat menghubungi kami di sosial: @nakedsecurity.
Itu acara kami untuk hari ini; terima kasih banyak untuk mendengarkan.
Untuk Paul Ducklin, saya Doug Aamoth, mengingatkan Anda sampai waktu berikutnya untuk…
KEDUA. Tetap aman!
- blockchain
- kecerdasan
- dompet cryptocurrency
- pertukaran kripto
- kriptografi
- keamanan cyber
- penjahat cyber
- Keamanan cyber
- Data pelanggaran
- kehilangan data
- Departemen Keamanan Dalam Negeri
- dompet digital
- firewall
- Kaspersky
- malware
- mcafe
- Microsoft
- Keamanan Telanjang
- Podcast Keamanan Telanjang
- BerikutnyaBLOC
- Office
- Patch Selasa
- plato
- plato ai
- Kecerdasan Data Plato
- Permainan Plato
- Data Plato
- permainan plato
- podcast
- pribadi
- VPN
- website security
- zephyrnet.dll
- zoom
![S3 Ep124: Ketika yang disebut aplikasi keamanan menjadi nakal [Audio + Text]](https://platoaistream.net/wp-content/uploads/2023/03/s3-ep124-when-so-called-security-apps-go-rogue-audio-text-360x188.png)
