「セキュリティ サービスの基準を満たしていない」とはどういう意味ですか?
下の音波をクリックしてドラッグし、任意のポイントにスキップします。 あなたもすることができます 直接聞く Soundcloudで。
ダグ・アーモスとポール・ダックリンと。 イントロとアウトロの音楽 エディスマッジ.
あなたは私たちに聞くことができます Soundcloud, Apple Podcasts, Googleポッドキャスト, Spotifyは, 縫い合わせます そして、その良いポッドキャストが見つかるところならどこでも。 または単にドロップします RSSフィードのURL お気に入りのポッドキャッチャーに。
トランスクリプトを読む
ダグ。 息をのむような侵害、解読可能な暗号化、豊富なパッチ。
NakedSecurityポッドキャストでさらに詳しく。
【ミュージックモデム】
皆さん、ポッドキャストへようこそ。
私は Doug Aamoth です。 彼はポール・ダックリンです。
ポール、今日の調子はどう?
アヒル。 ダグ…知ってるよ、前もって言ってたから、入ってくるものは 今週の技術史、そしてそれは素晴らしいです!
ダグ。 OK!
今週、18 年 1958 月 XNUMX 日、風の抵抗をシミュレートするために構築されたオシロスコープとコンピューターがカスタム アルミニウム コントローラーとペアになり、ゲームが 2人用テニス 生まれました。
ブルックヘブン国立研究所での XNUMX 日間の展示会で披露された XNUMX 人用テニスは、特に高校生の間で非常に人気がありました。
これを聞いているなら、ウィキペディアに行って「Tennis for Two」を調べてください。
1958年に建てられたもののビデオがあります…
…ポール、あなたも同意してくれると思います。
アヒル。 私は今日それをプレイしたいと思います!
そして、Asteroids や Battle Zone のように、1980 年代の特別に記憶に残っているゲームも…
…オシロスコープだから:ベクトルグラフィック!
ラインが 90 度か 30 度か 45 度かによるピクセル化や違いはありません。
そして、コントローラーのリレーからの音のフィードバック…素晴らしいです!
これが1958年とは信じられない。
以前にさかのぼる 今週の技術史、それはトランジスタ革命の頂点にありました。
どうやら、計算上の半分は、熱電子バルブ (真空管) とリレーの混合物でした。
ディスプレイ回路はすべてトランジスタベースでした、Doug
そのため、リレー、バルブ、トランジスタなど、すべてのテクノロジーが XNUMX つの画期的なビデオ ゲームに組み込まれていました。
ダグ。 とてもかっこいい。
ウィキペディアで確認してください。 2人用テニス.
それでは、最初の話に移りましょう。
ポール、私はあなたが素晴らしい詩を書くのがとても上手であることを知っています…
…この最初の物語を紹介するためにとても短い詩を書きました。
アヒル。 では、XNUMX行になりますよね? [笑う]
ダグ。 こんな感じで少し進みます。
Zoom for Mac/わからない ハイジャックされた.
[非常に長い沈黙]
終わりの詩.
アヒル。 ああ、申し訳ありません!
それがタイトルで、あなたが今詩をやろうとしていると思いました。
ダグ。 というわけで、その詩です。
アヒル。 [OK]をクリックします。
[感情なし] かわいい、ダグ。
ダグ。 [皮肉] ありがとう。
アヒル。 韻は壮観でした!
しかし、すべての詩が韻を踏む必要があるわけではありません…。
ダグ。 それは本当だ。
アヒル。 それを自由詩と呼びましょうか。
ダグ。 はい、お願いします。
アヒル。 残念ながら、これは Mac 用 Zoom への無料のバックドアでした。
[FEELING GUILTY] 申し訳ありませんが、それはあまり良いセグエではありませんでした、ダグ。
[笑い] あなたは他人の芝生を踏みにじり、しばしば不足する…
ダグ。 いいえ、いいですよ!
今週は詩を試していました。 あなたはセグエを試しています。
私たちは時々、コンフォートゾーンから抜け出さなければなりません。
アヒル。 これは、最終的なビルドが完了したときにコンパイルされることを意図したコードでしたが、誤って取り残されていたと思います.
これは Zoom for Mac バージョン専用で、パッチが適用されているため、最新の状態であることを確認してください。
基本的に、状況によっては、ビデオ ストリームが開始されたり、カメラがアプリ自体によって起動されたりしたときに、プログラムをデバッグする必要があると思われることがあります。
もしかしたら、あなたは開発者だったのかもしれません。 [笑う]
明らかに、これはリリース ビルドでは発生しないはずです。
つまり、ローカル ネットワーク インターフェイスで TCP デバッグ ポートが開いたままになっていました。
つまり、そのポートにパケットを渡すことができる人は誰でも、おそらく他のローカル接続ユーザーである可能性があるため、管理者である必要はなく、ゲストユーザーでさえも必要ありません.
そのため、外部からパケットを受信してローカル インターフェイスに挿入できる何らかのプロキシ マルウェアをコンピューターに搭載した攻撃者は、基本的に、プログラムの根幹にコマンドを発行することができます。
また、デバッグ インターフェイスで許可される典型的なものには、次のようなものがあります。メモリをダンプします。 秘密を抽出します。 プログラムの動作を変更します。 ユーザーが見えないように、通常のインターフェイスを介さずに構成設定を調整します。 誰にも言わずに、録音警告をポップアップ表示せずに、すべてのオーディオをキャプチャします。 そのようなものすべて。
良いニュースは、Zoom が自分で見つけて、すぐにパッチを当てたことです。
しかし、私たちがよく言うように、[笑い]「カップと唇の間に多くのスリップがあります」ということを思い出させてくれます。
ダグ。 大丈夫、とても良い。
パッチトレインに乗ったままで、次の駅に向かいましょう。
そして、この話…おそらく、最新のパッチチューズデーのこの話の最も興味深い部分は、 マイクロソフトが「含まれていない」もの?
アヒル。 残念なことに、パッチはおそらく誰もが期待していたものであり、最近のポッドキャストで次のように推測しました。 」は、最近のメモリのこれら XNUMX つの Exchange ゼロデイです。
E00Fとして知られるようになったもの、または ダブルゼロデイ欠陥を交換 私の用語では、または プロキシノットシェル おそらく、Twitter 界ではやや紛らわしいことで知られているためです。
以上が今月のパッチ チューズデーの大きな話題でした。これら XNUMX つのバグは見事に修正されませんでした。
そして、それがいつ起こるかわかりません。
緩和策を適用したことを確認する必要があります。
前にも言ったと思いますが、Microsoft は、彼らが提案した以前の軽減策が十分ではないことに気付き続けました。
疑問がある場合は、nakedsecurity.sophos.com に戻って次のフレーズを検索してください。 プロキシノットシェル (すべて一言)そして、私たちが言わなければならないことを読んでください.
また、Microsoft の修復の最新バージョンにリンクすることもできます…
…なぜなら、パッチ チューズデーのすべてのことの中で、あなたが言うように、それが最も興味深いものだったからです: そこになかったからです.
ダグ。 よし、次はギアをシフトしよう 非常に腹立たしい話.
これは、サイバーセキュリティが非常に悪いため、侵害されたことにさえ気付かなかった大企業にとって、手首に平手打ちです!
アヒル。 はい、これはおそらくほとんどの人がSHEIN(「シーイン」)として知っているブランドで、すべて大文字で書かれています。 (侵害の時点で、会社は Zoetop として知られていました。)
そしてそれらは「ファストファッション」と呼ばれるものです。
ご存知のように、彼らはそれを高く積み上げて安く販売しており、どこからデザインを入手したかについて論争がないわけではありません。
そして、オンライン小売業者として、オンライン小売業者のサイバーセキュリティの詳細が十分に理解されていないことを期待するでしょう.
しかし、あなたが言うように、彼らはそうしませんでした!
また、米国ニューヨーク州司法長官事務所は、この情報漏えいの被害者の XNUMX 人であるニューヨーク市民の扱いに満足していないと判断しました。
それで彼らはこの会社に対して法的措置を取りました…そしてそれは大失敗、間違い、そして最終的には隠蔽の連続でした-一言で言えば、ダグラス、不誠実でした.
彼らは気付かなかったこの違反を持っていました。
これは、少なくとも過去には、残念なことに一般的でした。企業は、クレジット カードの担当者または銀行から連絡があり、今月の顧客からの詐欺に関する苦情の数。」
「そして、彼らが CPP と呼んでいるものを振り返ってみると、 共通購入ポイント、すべての被害者が何かを購入したと思われる唯一の商人はあなたです。 リークはあなたから来たと考えています。」
そしてこの場合、それはさらに悪いことでした。
どうやら別の支払い処理業者がやって来て、「ところで、あなたたちから盗んだものとして提供された、販売されているクレジットカード番号の全トランシェを見つけました」と言いました。
そのため、大量の違反、または少しずつの違反のいずれかがあったという明確な証拠がありました。
ダグ。 確かに、この会社がこれを知ったとき、彼らは状況を修正するために迅速に動いたね?
アヒル。 まあ、それはあなた次第ですが… [笑] いつものように、私は笑うべきではありません、ダグ。
それは、「修正」の意味によって異なります。
ダグ。 [笑う] なんてこった!
アヒル。 それで、彼らは問題に*対処した*ように見えます…実際、彼らは本当にうまく隠蔽した部分がありました。
どうやら。
ふと、「うーん、PCI DSSに準拠したほうがいいな」と判断されたようです。
明らかにそうではありませんでした。なぜなら、失敗したトランザクションのクレジット カードの詳細を含むデバッグ ログを保持していたからです。
そして、彼らはそれが起こったことに気付きましたが、彼ら自身のネットワークのどこにそのデータを残したのかを見つけることができませんでした!
したがって、彼らは明らかに PCI DSS に準拠していないことを知っていました。
彼らは、2019 年までに PCI DSS 準拠を達成したようです (侵害は 2018 年に発生しました)。
しかし、彼らが監査、法医学的調査に提出しなければならないと言われたとき…
…ニューヨーク司法長官によると、彼らはかなり意図的に捜査官の邪魔をしました。
彼らは基本的に、システムを修理し、溶接し、磨き上げた*後*に、調査員にシステムをそのまま見せました。 .
ダグ。 うん。
アヒル。 また、彼らが侵害を顧客に開示した方法は、ニューヨーク州から大きな怒りを引き起こしました.
特に、39,000,000 人のユーザーの詳細が、非常に弱くハッシュ化されたパスワード (5 桁のソルトと XNUMX ラウンドの MDXNUMX) を含め、何らかの方法で盗まれたことは明らかでした。
1998年どころか2018年もダメ!
そのため、この多数のユーザーに問題があることはわかっていましたが、実際にアカウントを使用して注文した 6,000,000 万人のユーザーにのみ連絡を取り始めたようです。
そして彼らは、「まあ、少なくとも私たちはそれらすべての人々に連絡を取りました」と言いました。
そして、*その後*、実際には 6,000,000 億人のすべてのユーザーに連絡していないことが判明しました!
彼らは、たまたまカナダ、米国、またはヨーロッパに住んでいた XNUMX 万人の人々に連絡を取ったところだったのです。
だから、もしあなたが世界の他の場所から来たのなら、運が悪い!
ご想像のとおり、それは当局や規制当局にとってうまくいきませんでした。
そして、認めざるを得ません…驚いたことに、ダグ、彼らは 1.9 万ドルの罰金を科されました。
これは、その大きな会社にとって…
ダグ。 はい!
アヒル。 …そしてひどい過ちを犯し、何が起こったのかについて完全にまともで正直ではなく、違反について嘘をついたことで、ニューヨークの司法長官から非難されましたか?
私は彼らがもっと深刻な運命をたどったかもしれないと想像していました.
おそらく、いくらかのお金を考え出すだけでは完済できない何かを含めることさえあります.
ああ、そして彼らが行ったもう 100 つのことは、パスワードが危険にさらされているユーザーがいることが明らかになったときです…XNUMX 桁のソルトであるという事実のために、彼らは非常に解読可能でした。つまり、XNUMX 個の事前計算された辞書を構築できるということです。 …
ダグ。 それは一般的ですか?
XNUMX桁の塩分だけでも本当に低いようです!
アヒル。 いいえ、通常は 128 ビット (16 バイト) または 32 バイトが必要です。
大まかに言えば、(ハッシュのブロックサイズにもよりますが) XNUMX 桁しか追加されていないため、クラッキング速度に大きな違いはありません。
したがって、ハッシュの実際の計算にこれ以上時間がかかるわけではありません。
2016 年までさかのぼると、「hashcat」プログラムを実行する 200 つの GPU のコンピューターを使用している人々は、5 秒間に XNUMX 億回の MDXNUMX を実行できたと思います。
あの頃! (その量は今のXNUMX倍からXNUMX倍くらいです。)
とても、非常に非常にひび割れやすいです。
しかし、実際に人々に連絡して、「あなたのパスワードは危険にさらされています。ハッシュが漏洩したためです。あまり良いものではありませんでした。変更する必要があります」と言うのではなく、[笑い] 彼らはただ言いました…
…とてもイタズラな言葉でしたね。
ダグ。 「あなたのパスワードはセキュリティ レベルが低く、危険にさらされている可能性があります。 ログインパスワードを変更してください。」
その後、「あなたのパスワードは 365 日以上更新されていません。 あなたの保護のために、今すぐ更新してください。」
アヒル。 はい、「あなたのパスワードはセキュリティレベルが低いです...」
ダグ。 「私たちのせいで!」
アヒル。 ひいきにするだけじゃないですよね?
私の目には、それは被害者非難への境界線にあるか、境界線を越えています。
とにかく、これは、正しいことをしたくない企業にとって非常に強いインセンティブにはならないように思えました。
ダグ。 よし、コメントで聞いてください。あなたの意見を聞きたいです!
その記事は呼ばれます: ファッション ブランドの SHEIN は、データ侵害について嘘をついたとして 1.9 万ドルの罰金を科されました。.
そしてもうひとつの腹立たしい話へ…
..、別の日、信頼されていない入力の処理に関する別の警告の話!
アヒル。 ああ、それがどうなるか分かってるよ、ダグ。
それです。 ApacheCommonsテキスト バグですね。
ダグ。 そうです!
アヒル。 明確にするために、これは Apache Web サーバーではありません。
Apache はソフトウェア基盤であり、多数の製品と無料ツールを備えています。それらは実に便利で、オープン ソースであり、素晴らしいものです。
しかし、彼らのエコシステムの Java 部分 (Apache Web Server httpd は Java で書かれていないので、今は無視しましょう - Apache と Apache Web Server を混同しないでください)…
…昨年、Apache の Java ライブラリで XNUMX つの同様の問題が発生しました。
私たちは持っていました 悪名高いです ログ4シェル バグ いわゆる Log4J (Logging for Java) ライブラリに含まれています。
その後、同様のバグがありましたが、それは何ですか?... Apache コモンズの設定は、あらゆる種類の構成ファイル (INI ファイルや XML ファイルなど) をすべて標準化された方法で管理するためのツールキットです。
そして今、さらに下位レベルのライブラリで ApacheCommonsテキスト.
Java で一般的に「文字列補間」と呼ばれるもののバグ。
他の言語のプログラマー... PowerShell や Bash などを使用している場合は、「文字列置換」として認識されます。
文字でいっぱいの文章を魔法のように一種のミニプログラムに変えることができる場所です。
Bash シェルを使用したことがある場合は、次のコマンドを入力するとわかるでしょう。 echo USER、文字列をエコーまたは出力します USER 画面に USER が表示されます。
しかし、コマンドを実行すると echo $USERの場合、ドル記号の後に USER が続くという意味ではありません。
それが意味するのは、「その魔法の文字列を現在ログインしているユーザーの名前に置き換え、代わりにそれを出力する」ということです。
だから私のコンピュータで、もしあなたが echo USER、あなたは得る USER、 しかし、もしあなたが echo $USER、あなたは言葉を得る duck を代わりにお使いください。
そして、Java 文字列の置換のいくつかは、それよりもはるかに、はるかに、はるかに進んでいます。 Log4Shell の修正 2021年のクリスマスを思い出してください!
この文字列処理ライブラリで処理する文字列内に埋め込むことができる、あらゆる種類の巧妙な小さなミニプログラムがあります。
明らかなものがあります: ユーザー名を読み取るには、次のように入力します ${env: (「環境を読む」ため) user}… 波括弧を使用します。
ドル記号です。 波括弧; いくつかの魔法のコマンド; 魔法の部分であるくねくねしたブラケット。
残念ながら、このライブラリでは、次のような魔法のコマンドのデフォルトの可用性が制御されていませんでした。 ${url:...}これにより、文字列処理ライブラリをだましてインターネットにアクセスさせ、何かをダウンロードさせ、文字列の代わりにその Web サーバーから返されたものを出力させることができます。 ${url:...}.
これは完全なコード インジェクションではありませんが、生の HTML であるため、あらゆる種類の不要なものや奇妙ですばらしい信頼できない情報を、ユーザーのログ ファイルや Web ページに挿入できることを意味します。
あり ${dns:...}、つまり、ネットワーク内のビジネスロジックサーバーである可能性のある誰かのサーバーをだますことができます…
…それをだまして、名前付きサーバーの DNS ルックアップを実行させることができます。
そして、そのドメインを詐欺師として所有している場合は、そのドメインに関連する DNS サーバーも所有して運用していることになります。
では、DNS ルックアップが発生すると、どうなるでしょうか?
そのルックアップは *あなたのサーバー* で終了し、誰かのビジネス ネットワークの内部をマップするのに役立つかもしれません…彼らの Web サーバーだけでなく、ネットワークのより深いところにあるものです。
そして最後に、そして最も心配なことに、少なくとも古いバージョンの Java では… [笑い] 何が来るか知っているでしょう、ダグ!
コマンド ${script:...}.
「ねえ、JavaScript を提供して、親切に実行させてください。」
そして、あなたはおそらく考えているでしょう。 待ってください、これは Java のバグです。 JavaScript はそれと何の関係があるのですか?」
そうですね、比較的最近まで…覚えておいてください。多くの企業は、まだサポートされている古いバージョンの Java Development Kit をまだ使用しています。
最近まで、Java は… [笑う] (繰り返しますが、笑うべきではありません)… Java 開発キットには、Java で書かれた、完全に機能する JavaScript エンジンが含まれていました。
さて、Java と JavaScript の間には「Java」という XNUMX 文字を除いて何の関係もありませんが、 ${script:javascript:...}選択したコードを実行します。
そして厄介なことに、Java ランタイム内の JavaScript エンジンで実行できることの XNUMX つは、JavaScript エンジンに「これを Java 経由で実行したい」と伝えることです。
したがって、Java で JavaScript に *into* を呼び出すことができ、JavaScript は本質的に Java に *out* を呼び出すことができます。
そして、Java から「ねえ、このシステム コマンドを実行してください」と言うことができます。
また、Naked Security の記事にアクセスすると、疑わしいコマンドを使用して [申し訳ありませんが咳を] Calc をポップしているのを目にするでしょう、Doug!
もちろん、HP RPN 電卓です。なぜなら、電卓をポッピングしているからです…
ダグ。 それは、そうでなければなりません!
アヒル。 …これは HP-10 です。
したがって、リスクはそれほどではありませんが Log4Shellとして素晴らしい、このライブラリを使用する場合、それを完全に除外することはできません。
Naked Security の記事で、Commons Text ライブラリを持っているかどうかを調べる方法について説明しています。多くの人が Log4J で行ったように、アプリに付属している可能性があるため、気付かないうちに持っている可能性があります。
また、導入した軽減策が機能しているかどうかをテストするために使用できるサンプル コードも用意されています。
ダグ。 よし、Naked Security に向かいましょう。
その記事は呼ばれます: Apache Commons Text の危険な穴 – Log4Shell のようなもの.
最後に、「暗号化されたメッセージが暗号化されているだけだとどうなりますか?」という質問で締めくくります。
アヒル。 ああ、それはおそらく、フィンランドの企業 WithSecure のサイバーセキュリティ研究者が最近提出した公式のバグ レポートのことでした…
…Microsoft Office で提供される組み込みの暗号化、またはより正確には Office 365 Message Encryption または OME と呼ばれる機能について。
このような機能がアプリに組み込まれていると非常に便利です。
ダグ。 はい、シンプルで便利ですね。
アヒル。 はい、例外は…ああ、親愛なる!
この理由はすべて下位互換性にあるようです、ダグ…
…Microsoft は、この機能が Office 2010 をまだ使用している人々にまでさかのぼって機能することを望んでいます。Office XNUMX には、かなり古い学校の復号化機能が組み込まれています。
基本的に、ファイルを暗号化するこの OME プロセスは、最新かつ最高の NIST 標準化された暗号化アルゴリズムである AES を使用しているようです。
しかし、それは間違ったいわゆる暗号化モードで AES を使用しています。
ECB として知られているものを使用します。 電子コードブック モード。
そして、それは単に生の AES を参照する方法です。
AES は一度に 16 バイトを暗号化します…ちなみに、AES-16、AES-128、または AES-192 のいずれを使用しても、256 バイトを暗号化します。
ブロック サイズとキー サイズを混同しないでください。ブロック サイズ、つまり暗号化エンジンのクランク ハンドルを回すたびに生成されて暗号化されるバイト数は、常に 128 bis、つまり 16 バイトです。
とにかく、電子コードブック モードでは、単純に 16 バイトの入力を取得し、特定の暗号化キーの下でクランク ハンドルを XNUMX 回回転させて、生の再処理されていない出力を取得します。
そして問題は、文書内で同じ入力を取得するたびに、同じ 16 バイト境界に位置合わせされることです…
…出力でまったく同じデータが得られます。
したがって、入力のパターンは出力で明らかになります。 シーザー 暗号または ヴィジュネル 暗号:
一度に 128 ビット幅のチャンクを扱っているため、暗号を解読できるわけではありません。
電子コード ブック モードの問題は、平文から暗号文にパターンが漏洩するために発生します。
特定の入力文字列が特定の方法で暗号化されていることがわかっている場合、既知の平文攻撃が可能であり、ドキュメント内で繰り返されるテキスト (ヘッダーや会社名など) については、それらのパターンが反映されます。
これはバグとして Microsoft に報告されましたが、同社はセキュリティ修正の「基準を満たしていない」ため、修正しないことを決定したようです。
その理由は、「まあ、まだ Office 2010 を使用している人々に不利益を与えることになるからです」と思われます。
ダグ。 ウーフ!
アヒル。 はい!
ダグ。 その点について、今週のこの話についての読者のコメントがあります。
Naked Security リーダー Bill のコメントの一部:
これは、ブレッチリー・パークの暗号解読者が第二次世界大戦中に使用した「ベビーベッド」を思い出させます。 ナチスはメッセージを同じ締めくくりのフレーズで締めくくることが多かったため、暗号解読者は暗号化された文字のこの締めくくりのセットから、それらが何を表している可能性があるかを知って、元に戻すことができました。 80年経った今、同じ過ちを繰り返しているように見えるのは残念です。
アヒル。 80年!
はい、本当に残念です。
私の理解では、連合軍のコード ブレーカーが特にナチスの暗号化されたテキストに対して使用できる他のクリブも、文書の「始まり」を扱っていたということです。
私はこれがドイツの天気予報のためのものだったと信じています...天気予報を正確に伝えるために彼らが従った宗教的な形式がありました.
そして、ご想像のとおり、夜間の空爆を伴う戦争では、天気予報は非常に重要でした。
それらは非常に厳密なパターンに従っているようで、場合によっては、暗号の「ルーズナー」と呼ばれるもの、またはそもそも侵入するために使用できるくさびとして使用される可能性があります。
Bill が指摘しているように、これこそまさに、電子コードブック モードの AES やその他の暗号がドキュメント全体の暗号化に満足できない理由です!
ダグ。 よし、送ってくれてありがとう、ビル。
投稿したい興味深いストーリー、コメント、質問がある場合は、ポッドキャストで読んでください。
ヒント@sophos.comに電子メールを送信するか、当社の記事のいずれかにコメントするか、またはソーシャルで私たちに連絡することができます:@nakedsecurity。
それが今日の私たちのショーです。 聞いてくれてありがとう。
ポール・ダックリンの場合、私はダグ・アーモスです。次回まで…
どちらも。 安全を確保してください!
![S3 Ep117: そうではなかった暗号通貨の危機 (そして Win 7 とは永遠の別れ) [オーディオ + テキスト]](https://platoaistream.net/wp-content/uploads/2023/01/s3-ep117-the-crypto-crisis-that-wasnt-and-farewell-forever-to-win-7-audio-text-360x188.png)