S3 Ep105: WONTFIX! Thư mật mã MS Office “không phải là một lỗ hổng bảo mật” [Âm thanh + Văn bản]

Nhấp và kéo vào các sóng âm thanh bên dưới để chuyển đến bất kỳ điểm nào. Bạn cũng có thể nghe trực tiếp trên Soundcloud.

CHÓ.  Các vi phạm ngoạn mục, mã hóa có thể giải mã và các bản vá rất nhiều.

Tất cả những điều đó khác trên podcast Naked Security.

[CHẾ ĐỘ ÂM NHẠC]

Chào mừng mọi người đến với podcast.

Tôi là Doug Aamoth; anh ấy là Paul Ducklin.

Paul, hôm nay bạn thế nào?

---

VỊT.  Doug… Tôi biết, vì bạn đã nói trước với tôi, điều gì sẽ xảy ra Tuần này trong Lịch sử Công nghệ, và thật TUYỆT VỜI!

---

CHÓ.  OK!

Tuần này, vào ngày 18 tháng 1958 năm XNUMX, một máy hiện sóng và một máy tính được chế tạo để mô phỏng sức cản của gió đã được ghép nối với bộ điều khiển nhôm tùy chỉnh, và trò chơi Quần vợt cho hai người được sinh ra.

Được giới thiệu trong một cuộc triển lãm kéo dài ba ngày tại Phòng thí nghiệm Quốc gia Brookhaven, Tennis for Two đã được chứng minh là cực kỳ phổ biến, đặc biệt là với học sinh trung học.

Nếu bạn đang nghe điều này, bạn phải vào Wikipedia và tra cứu "Tennis for Two".

Ở đó có một video về thứ gì đó được xây dựng vào năm 1958…

… Tôi nghĩ bạn sẽ đồng ý với tôi, Paul, điều đó thật khó tin.

---

VỊT.  Tôi rất muốn * thích * chơi nó hôm nay!

Và, như Tiểu hành tinh và Khu chiến đấu, và những trò chơi được ghi nhớ đặc biệt vào những năm 1980…

… Bởi vì nó là một máy hiện sóng: đồ họa vector!

Không có pixellation, không có sự khác biệt tùy thuộc vào việc một đường nằm ở 90 độ, hay 30 độ, hoặc 45 độ.

Và phản hồi âm thanh từ các rơ le trong bộ điều khiển… thật tuyệt!

Thật không thể tin được rằng đây là năm 1958.

Làm hại trở lại trước đó Tuần này trong Lịch sử Công nghệ, đó là đỉnh cao của cuộc cách mạng bóng bán dẫn.

Rõ ràng, một nửa tính toán là một hỗn hợp của van nhiệt điện (ống chân không) và rơ le.

Và mạch hiển thị đều dựa trên bóng bán dẫn, Doug

Vì vậy, nó đã đúng ở sự kết hợp của tất cả các công nghệ: rơ le, van và bóng bán dẫn, tất cả trong một trò chơi điện tử đột phá.

---

CHÓ.  Rất tuyệt.

Kiểm tra nó trên Wikipedia: Quần vợt cho hai người.

Bây giờ chúng ta hãy chuyển sang câu chuyện đầu tiên của chúng ta.

Paul, tôi biết bạn rất thành thạo trong việc viết một bài thơ hay…

… Tôi đã viết một bài thơ rất ngắn để giới thiệu câu chuyện đầu tiên này, nếu bạn thích tôi.

---

VỊT.  Vì vậy, đó sẽ là hai dòng, phải không? [LỪA ĐẢO]

---

CHÓ.  Nó có một chút gì đó giống như thế này.

Thu phóng cho Mac / Không nhận bị tấn công.

[RẤT LẠM DỤNG]

Kết thúc bài thơ.

---

VỊT.  Oh, xin lỗi!

Tôi nghĩ đó là tiêu đề, và bạn sẽ làm bài thơ ngay bây giờ.

---

CHÓ.  Vì vậy, đó là bài thơ.

---

VỊT.  OK.

[KHÔNG CÓ CẢM XÚC] Đáng yêu, Doug.

---

CHÓ.  [IRONIC] Cảm ơn bạn.

---

VỊT.  Bài đồng dao thật ngoạn mục!

Nhưng không phải bài thơ nào cũng phải có vần….

---

CHÓ.  Đung.

---

VỊT.  Chúng ta sẽ chỉ gọi nó là câu thơ tự do, phải không?

---

CHÓ.  Vâng làm ơn.

---

VỊT.  Thật không may, đây là một cửa hậu miễn phí vào Zoom cho Mac.

[CẢM ƠN] Xin lỗi, đó không phải là một người giỏi lắm, Doug.

[LAUGHS] Bạn giẫm lên phần sân của người khác, bạn thường đi hụt…

---

CHÓ.  Không đâu, nó rất tốt!

Tôi đã thử làm các bài thơ trong tuần này; bạn đang thử segues.

Thỉnh thoảng chúng ta phải thoát ra khỏi vùng an toàn của mình.

---

VỊT.  Tôi giả định rằng đây là mã được biên dịch ra khi quá trình xây dựng cuối cùng được hoàn thành, nhưng vô tình bị bỏ sót.

Nó chỉ dành cho phiên bản Zoom dành cho Mac và nó đã được vá, vì vậy hãy đảm bảo rằng bạn đã cập nhật.

Về cơ bản, trong một số trường hợp, khi một luồng video bắt đầu hoặc máy ảnh được kích hoạt bởi chính ứng dụng, nó sẽ vô tình nghĩ rằng bạn có thể muốn gỡ lỗi chương trình.

Bởi vì, này, có thể bạn là một nhà phát triển! [LỪA ĐẢO]

Rõ ràng là điều đó sẽ không xảy ra trong các phiên bản phát hành.

Và điều đó có nghĩa là có một cổng gỡ lỗi TCP được mở trên giao diện mạng cục bộ.

Điều đó có nghĩa là bất kỳ ai có thể chuyển các gói vào cổng đó, có thể là bất kỳ người dùng nào khác được kết nối cục bộ, vì vậy không cần phải là quản trị viên hoặc thậm chí bạn… thậm chí là người dùng khách, như vậy là đủ.

Vì vậy, kẻ tấn công có một số loại phần mềm độc hại proxy trên máy tính của bạn có thể nhận các gói tin từ bên ngoài và đưa chúng vào giao diện cục bộ về cơ bản có thể ra lệnh cho ruột của chương trình.

Và những thứ điển hình mà giao diện gỡ lỗi cho phép bao gồm: kết xuất một số bộ nhớ; bóc tách bí mật; thay đổi hành vi của chương trình; điều chỉnh cài đặt cấu hình mà không thông qua giao diện thông thường nên người dùng không thể nhìn thấy nó; ghi lại tất cả âm thanh mà không nói với bất kỳ ai, mà không xuất hiện cảnh báo ghi âm; tất cả những thứ đó.

Tin tốt là Zoom đã tự tìm thấy nó và họ đã vá nó khá nhanh chóng.

Nhưng đó là một lời nhắc nhở tuyệt vời rằng như chúng tôi vẫn thường nói, [LAUGHS] “Có nhiều vết trượt giữa cốc và môi.”

---

CHÓ.  Được rồi, rất tốt.

Hãy để chúng tôi ở lại trên chuyến tàu vá, và vào ga tiếp theo.

Và câu chuyện này… có lẽ phần thú vị nhất của câu chuyện này của Bản vá thứ ba gần đây nhất là những gì Microsoft * không * bao gồm?

---

VỊT.  Thật không may, các bản vá mà mọi người có lẽ đang mong đợi - và chúng tôi đã suy đoán trong một podcast gần đây, "Chà, có vẻ như Microsoft sẽ bắt chúng tôi đợi thêm một tuần nữa cho đến Bản vá thứ Ba và không thực hiện" bản phát hành sớm " ”Là hai Exchange zero-days của bộ nhớ gần đây.

Cái được gọi là E00F, hoặc Trao đổi Double Zero-day Flaw theo thuật ngữ của tôi, hoặc ProxyKhông Vỏ vì nó có lẽ hơi khó hiểu trong Twittersphere.

Vì vậy, đó là câu chuyện lớn trong Bản vá thứ ba của tháng này: hai lỗi đó đã không được sửa một cách ngoạn mục.

Và vì vậy chúng tôi không biết khi nào điều đó sẽ xảy ra.

Bạn cần đảm bảo rằng bạn đã áp dụng mọi biện pháp giảm nhẹ.

Như tôi nghĩ chúng tôi đã nói trước đây, Microsoft tiếp tục nhận thấy rằng các biện pháp giảm nhẹ trước đây mà họ đề xuất… tốt, có lẽ chúng chưa đủ tốt, và họ tiếp tục thay đổi giai điệu của mình và điều chỉnh câu chuyện.

Vì vậy, nếu bạn nghi ngờ, bạn có thể quay lại nakedsecurity.sophos.com, tìm kiếm cụm từ ProxyKhông Vỏ (tất cả một từ), và sau đó đi và đọc những gì chúng ta phải nói.

Và bạn cũng có thể liên kết đến phiên bản khắc phục mới nhất của Microsoft…

… Bởi vì, trong số tất cả những thứ trong Bản vá thứ ba, đó là điều thú vị nhất, như bạn nói: bởi vì nó không có ở đó.

---

CHÓ.  OK, bây giờ chúng ta hãy chuyển bánh răng sang câu chuyện rất bực bội.

Đây là một cái tát vào cổ tay đối với một công ty lớn có an ninh mạng tồi tệ đến mức họ thậm chí không nhận thấy rằng họ đã bị vi phạm!

---

VỊT.  Vâng, đây là thương hiệu mà hầu hết mọi người có thể sẽ biết đến với cái tên SHEIN (“she-in”), được viết bằng một từ, tất cả đều viết hoa. (Vào thời điểm xảy ra vi phạm, công ty được gọi là Zoetop.)

Và chúng được gọi là “thời trang nhanh”.

Bạn biết đấy, họ chất đống cao và bán rẻ, và không phải không có tranh cãi về việc họ lấy thiết kế của mình từ đâu.

Và, là một nhà bán lẻ trực tuyến, có lẽ bạn sẽ mong đợi họ có thông tin chi tiết về an ninh mạng bán lẻ trực tuyến.

Nhưng, như bạn nói, họ đã không làm như vậy!

Và văn phòng Bộ trưởng Tư pháp của Bang New York, Hoa Kỳ đã quyết định rằng họ không hài lòng với cách mà cư dân New York đã được đối xử, những người là nạn nhân của vụ vi phạm này.

Vì vậy, họ đã khởi kiện công ty này… và đó hoàn toàn là những sai lầm, sai lầm và cuối cùng là sự che đậy - nói cách khác, Douglas, không trung thực.

Họ đã có vi phạm này mà họ không nhận thấy.

Điều này, ít nhất là trong quá khứ, đã từng là phổ biến một cách đáng thất vọng: các công ty sẽ không nhận ra rằng họ đã bị vi phạm cho đến khi một người xử lý thẻ tín dụng hoặc một ngân hàng liên hệ với họ và nói, “Bạn biết không, chúng tôi đã có rất nhiều khiếu nại về hành vi gian lận từ khách hàng trong tháng này. "

“Và khi chúng tôi nhìn lại cái mà họ gọi là CPP, điểm chung của việc mua hàng, một thương gia duy nhất mà mọi nạn nhân dường như đã mua một thứ gì đó từ đó là bạn. Chúng tôi cho rằng sự rò rỉ đến từ bạn. "

Và trong trường hợp này, nó thậm chí còn tồi tệ hơn.

Rõ ràng là một bộ xử lý thanh toán khác đến và nói, "Ồ, nhân tiện, chúng tôi đã tìm thấy toàn bộ số thẻ tín dụng để bán, được cung cấp như là bị đánh cắp từ các bạn."

Vì vậy, họ có bằng chứng rõ ràng rằng đã có vi phạm hàng loạt, hoặc vi phạm từng chút một.

---

CHÓ.  Vì vậy, chắc chắn khi công ty biết được điều này, họ đã nhanh chóng vào cuộc để chấn chỉnh tình hình đúng không?

---

VỊT.  Chà, điều đó phụ thuộc vào cách bạn ... [LỜI NÓI] Tôi không nên cười, Doug, như mọi khi.

Điều đó phụ thuộc vào những gì bạn có nghĩa là "sửa chữa".

---

CHÓ.  Ôi trời!

---

VỊT.  Vì vậy, có vẻ như họ đã * đã * giải quyết vấn đề… thực sự, có những phần của nó mà họ đã che đậy rất tốt.

Rõ ràng.

Có vẻ như họ đột nhiên quyết định, "Rất tiếc, chúng tôi tốt hơn nên tuân thủ PCI DSS".

Rõ ràng là họ đã không làm vậy, bởi vì họ rõ ràng đang giữ nhật ký gỡ lỗi có chi tiết thẻ tín dụng của các giao dịch không thành công… mọi thứ mà bạn không được phép ghi vào đĩa, họ đang ghi.

Và sau đó họ nhận ra điều đó đã xảy ra, nhưng họ không thể tìm thấy nơi họ để dữ liệu đó trong mạng của chính họ!

Vì vậy, rõ ràng họ biết rằng họ không tuân thủ PCI DSS.

Họ bắt đầu tự làm cho mình tuân thủ PCI DSS, rõ ràng là điều mà họ đã đạt được vào năm 2019. (Vi phạm đã xảy ra vào năm 2018)

Nhưng khi họ được thông báo rằng họ phải nộp một cuộc kiểm toán, một cuộc điều tra pháp y…

… Theo Bộ trưởng Tư pháp New York, họ đã cố tình cản đường điều tra viên.

Về cơ bản, họ cho phép các nhà điều tra xem hệ thống như ban đầu * sau khi * họ sửa nó, hàn nó và đánh bóng nó, và họ nói, "Ồ không, bạn không thể xem các bản sao lưu", điều này nghe có vẻ khá nghịch ngợm đối với tôi. .

---

CHÓ.  Ờ-huh.

---

VỊT.  Và cũng cách họ tiết lộ vi phạm cho khách hàng của mình đã thu hút sự phẫn nộ đáng kể từ Bang New York.

Đặc biệt, có vẻ như khá rõ ràng rằng 39,000,000 thông tin chi tiết của người dùng theo một cách nào đó đã được tạo ra bằng cách nào đó, bao gồm cả mật khẩu được băm rất yếu: một muối hai chữ số và một vòng MD5.

Năm 1998 chưa đủ tốt chứ đừng nói đến năm 2018!

Vì vậy, họ biết rằng có một vấn đề đối với số lượng lớn người dùng này, nhưng dường như họ chỉ đặt vấn đề liên hệ với 6,000,000 trong số những người dùng đã thực sự sử dụng tài khoản của họ và đặt hàng.

Và sau đó họ nói, "Chà, ít nhất chúng tôi đã liên lạc với tất cả những người đó."

Và * sau đó * hóa ra là họ đã không thực sự liên hệ với tất cả 6,000,000 triệu người dùng!

Họ vừa liên lạc với những người trong số sáu triệu người tình cờ sống ở Canada, Hoa Kỳ hoặc Châu Âu.

Vì vậy, nếu bạn đến từ bất kỳ nơi nào khác trên thế giới, hên xui!

Như bạn có thể tưởng tượng, điều đó đã không diễn ra tốt đẹp với các nhà chức trách, với cơ quan quản lý.

Và, tôi phải thừa nhận rằng… thật ngạc nhiên, Doug, họ đã bị phạt 1.9 triệu đô la.

Mà, đối với một công ty lớn…

---

CHÓ.  Có!

---

VỊT.  … Và phạm sai lầm nghiêm trọng, và sau đó không hoàn toàn đàng hoàng và trung thực về những gì đã xảy ra, và bị Tổng chưởng lý New York xử lý vì nói dối về vi phạm, nói cách đó?

Tôi đã tưởng tượng rằng họ có thể phải chịu một số phận nghiêm trọng hơn.

Có lẽ thậm chí bao gồm một cái gì đó không thể được trả hết bằng cách kiếm một số tiền.

Ồ, và điều khác mà họ đã làm là khi rõ ràng rằng có những người dùng có mật khẩu gặp rủi ro… vì chúng có thể bẻ khóa sâu do thực tế là muối hai chữ số, có nghĩa là bạn có thể xây dựng 100 từ điển được tính toán trước …

---

CHÓ.  Đó có phải là phổ biến không?

Chỉ một muối hai chữ số có vẻ thực sự thấp!

---

VỊT.  Không, bạn thường muốn 128 bit (16 byte), hoặc thậm chí 32 byte.

Nói một cách dễ hiểu, dù sao nó cũng không tạo ra sự khác biệt đáng kể đối với tốc độ bẻ khóa, bởi vì (tùy thuộc vào kích thước khối của băm) bạn chỉ thêm hai chữ số bổ sung vào hỗn hợp.

Vì vậy, nó không phải là mặc dù quá trình tính toán thực tế của các hàm băm mất nhiều thời gian hơn.

Từ năm 2016 trở lại đây, những người sử dụng máy tính tám GPU chạy chương trình “hashcat”, tôi nghĩ, có thể thực hiện 200 tỷ MD5 mỗi giây.

Trở lại sau đó! (Số tiền đó cao gấp năm hoặc mười lần bây giờ.)

Vì vậy, rất, rất đặc biệt có thể bẻ khóa.

Nhưng thay vì thực sự liên hệ với mọi người và nói, “Mật khẩu của bạn đang gặp rủi ro vì chúng tôi đã làm rò rỉ hàm băm và nó không phải là mật khẩu tốt, bạn nên thay đổi nó”, [LAUGHTER] họ vừa nói…

… Chúng là những từ ngữ rất nặng nề, phải không?

---

CHÓ.  “Mật khẩu của bạn có mức độ bảo mật thấp và có thể gặp rủi ro. Vui lòng thay đổi mật khẩu đăng nhập của bạn ”.

Và sau đó họ đổi thành, “Mật khẩu của bạn đã không được cập nhật trong hơn 365 ngày. Để bảo vệ bạn, vui lòng cập nhật nó ngay bây giờ. ”

---

VỊT.  Có, “Mật khẩu của bạn có mức độ bảo mật thấp…”

---

CHÓ.  "VÌ CHÚNG TÔI!"

---

VỊT.  Đó không chỉ là sự bảo trợ, phải không?

Đó là tại hoặc vượt quá biên giới thành đổ lỗi cho nạn nhân, trong mắt tôi.

Dù sao, đối với tôi, điều này dường như không phải là một động lực mạnh mẽ đối với những công ty không muốn làm điều đúng đắn.

---

CHÓ.  Được rồi, hãy tắt âm thanh trong phần bình luận, chúng tôi muốn biết suy nghĩ của bạn!

Bài báo đó có tên: Thương hiệu thời trang SHEIN bị phạt 1.9 triệu đô la vì nói dối về vi phạm dữ liệu.

Và tiếp tục một câu chuyện khó chịu khác…

.., một ngày khác, một câu chuyện cảnh báo khác về việc xử lý đầu vào không đáng tin cậy!

---

VỊT.  Aaargh, tôi biết điều đó sẽ như thế nào, Doug.

Đó là Văn bản Apache Commons lỗi, phải không?

---

CHÓ.  Nó là!

---

VỊT.  Nói rõ hơn, đó không phải là Máy chủ Web Apache.

Apache là một nền tảng phần mềm có rất nhiều sản phẩm và công cụ miễn phí… và chúng thực sự rất hữu ích, chúng là mã nguồn mở và chúng rất tuyệt.

Nhưng chúng tôi đã có, trong phần Java của hệ sinh thái của họ (Máy chủ Web Apache httpd không được viết bằng Java, vì vậy chúng ta hãy bỏ qua điều đó ngay bây giờ - đừng trộn Apache với Apache Web Server)…

… Trong năm ngoái, chúng tôi đã gặp ba vấn đề tương tự trong các thư viện Java của Apache.

Chúng tôi đã có ô nhục Nhật ký4Shell lỗi trong cái gọi là thư viện Log4J (Ghi nhật ký cho Java).

Sau đó, chúng tôi đã gặp một lỗi tương tự, đó là gì?… Cấu hình Apache Commons, là một bộ công cụ để quản lý tất cả các loại tệp cấu hình, chẳng hạn như tệp INI và tệp XML, tất cả đều theo cách chuẩn hóa.

Và bây giờ trong một thư viện cấp thấp hơn được gọi là Văn bản Apache Commons.

Lỗi trong thứ mà trong Java thường được gọi là "nội suy chuỗi".

Lập trình viên ở các ngôn ngữ khác… nếu bạn sử dụng những thứ như PowerShell hoặc Bash, bạn sẽ biết nó là “sự thay thế chuỗi”.

Đó là nơi bạn có thể biến một câu đầy ký tự thành một loại chương trình nhỏ một cách kỳ diệu.

Nếu bạn đã từng sử dụng Bash shell, bạn sẽ biết rằng nếu bạn gõ lệnh echo USER, nó sẽ lặp lại hoặc in ra, chuỗi USER và bạn sẽ thấy trên màn hình USER.

Nhưng nếu bạn chạy lệnh echo $USER, thì điều đó không có nghĩa là lặp lại một ký hiệu đô la theo sau là USER.

Ý nghĩa của nó là, "Thay thế chuỗi ma thuật đó bằng tên của người dùng hiện đang đăng nhập và in nó thay thế."

Vì vậy, trên máy tính của tôi, nếu bạn echo USER, bạn lấy USER, nhưng nếu bạn echo $USER, bạn nhận được từ duck thay thế.

Và một số sự thay thế chuỗi Java còn đi xa hơn thế nữa ... như bất kỳ ai từng trải qua niềm vui sửa Log4Shell qua giáng sinh năm 2021 sẽ nhớ!

Có tất cả các loại chương trình nhỏ thông minh mà bạn có thể nhúng vào bên trong các chuỗi mà sau đó bạn xử lý bằng thư viện xử lý chuỗi này.

Vì vậy, có một điều hiển nhiên: để đọc tên người dùng, bạn đặt ${env: (đối với "đọc môi trường") user}… Bạn sử dụng dấu ngoặc vuông.

Đó là ký hiệu đô la; dấu ngoặc vuông; một số lệnh ma thuật; dấu ngoặc vuông đó là phần kỳ diệu.

Và thật không may, trong thư viện này, có sẵn các lệnh ma thuật mặc định không kiểm soát được như: ${url:...}, cho phép bạn lừa thư viện xử lý chuỗi tiếp cận trên internet, tải xuống nội dung nào đó và in ra những gì nó nhận được từ máy chủ web đó thay vì chuỗi ${url:...}.

Vì vậy, mặc dù đó không phải là việc chèn mã hoàn toàn, vì nó chỉ là HTML thô, nó vẫn có nghĩa là bạn có thể đưa tất cả các loại rác và những thứ kỳ lạ và không đáng tin cậy vào tệp nhật ký của mọi người hoặc trang web của họ.

có ${dns:...}, có nghĩa là bạn có thể lừa máy chủ của ai đó, đó có thể là máy chủ logic nghiệp vụ bên trong mạng…

… Bạn có thể lừa nó thực hiện tra cứu DNS cho một máy chủ được đặt tên.

Và nếu bạn sở hữu miền đó, với tư cách là kẻ gian, thì bạn cũng sở hữu và vận hành máy chủ DNS liên quan đến miền đó.

Vì vậy, khi quá trình tra cứu DNS xảy ra, hãy đoán xem?

Việc tra cứu đó kết thúc * tại máy chủ của bạn * và có thể giúp bạn vạch ra các phần bên trong mạng kinh doanh của ai đó… không chỉ máy chủ web của họ mà còn là những thứ sâu hơn trong mạng.

Và cuối cùng, và đáng lo ngại nhất, ít nhất là với các phiên bản Java cũ hơn, đã có… [LAUGHS] bạn biết điều gì sẽ xảy ra ở đây, Doug!

Lệnh ${script:...}.

“Này, hãy để tôi cung cấp cho bạn một số JavaScript và vui lòng chạy nó cho tôi.”

Và có lẽ bạn đang nghĩ, “Cái gì ?! Chờ đã, đây là một lỗi trong Java. JavaScript có liên quan gì đến nó? ”

Chà, cho đến tương đối gần đây… và hãy nhớ rằng, nhiều doanh nghiệp vẫn sử dụng các phiên bản cũ hơn, vẫn được hỗ trợ của Bộ công cụ phát triển Java.

Cho đến gần đây, Java… [LAUGHS] (một lần nữa, tôi không nên cười)… Bộ công cụ phát triển Java, bên trong chính nó, một công cụ JavaScript hoạt động đầy đủ, được viết bằng Java.

Bây giờ, không có mối quan hệ nào giữa Java và JavaScript ngoại trừ bốn chữ cái “Java”, nhưng bạn có thể đặt ${script:javascript:...}và chạy mã bạn chọn.

Và, thật khó chịu, một trong những điều bạn có thể làm trong công cụ JavaScript bên trong thời gian chạy Java là nói với công cụ JavaScript, "Này, tôi muốn chạy thứ này qua Java."

Vì vậy, bạn có thể sử dụng Java để gọi * thành * JavaScript và về cơ bản JavaScript để gọi * ra * thành Java.

Và sau đó, từ Java, bạn có thể nói, "Này, chạy lệnh hệ thống này."

Và nếu bạn xem bài viết về Bảo mật khỏa thân, bạn sẽ thấy tôi đang sử dụng một lệnh đáng ngờ để [COUGHS APOLOGETICALLY] bật một calc, Doug!

Tất nhiên, một máy tính HP RPN, bởi vì tôi đang thực hiện việc máy tính xuất hiện…

---

CHÓ.  Nó phải được, vâng!

---

VỊT.  … Cái này là HP-10.

Vì vậy, mặc dù rủi ro không bằng tuyệt vời như Log4Shell, bạn thực sự không thể loại trừ nó nếu bạn sử dụng thư viện này.

Chúng tôi có một số hướng dẫn trong bài viết Naked Security về cách tìm xem bạn có thư viện Commons Text hay không… và bạn có thể có nó, giống như nhiều người đã làm với Log4J, mà không nhận ra, vì nó có thể đi kèm với một ứng dụng.

Và chúng tôi cũng có một số mã mẫu ở đó mà bạn có thể sử dụng để kiểm tra xem liệu bất kỳ biện pháp giảm nhẹ nào bạn đã đưa ra có hoạt động hay không.

---

CHÓ.  Được rồi, đến Naked Security.

Bài báo đó có tên: Lỗ hổng nguy hiểm trong Apache Commons Text - giống như Log4Shell một lần nữa.

Và chúng tôi kết thúc bằng một câu hỏi: "Điều gì sẽ xảy ra khi các tin nhắn được mã hóa chỉ được mã hóa kinda-sorta?"

---

VỊT.  À, tôi đoán là bạn đang đề cập đến cái mà là một báo cáo lỗi chính thức do các nhà nghiên cứu an ninh mạng tại công ty WithSecure của Phần Lan đệ trình gần đây…

… Về mã hóa tích hợp được cung cấp trong Microsoft Office, hay chính xác hơn, một tính năng được gọi là Mã hóa tin nhắn Office 365 hoặc OME.

Khá tiện lợi khi có một tính năng nhỏ như vậy được tích hợp vào ứng dụng.

---

CHÓ.  Vâng, nó nghe có vẻ đơn giản và tiện lợi!

---

VỊT.  Có, ngoại trừ… oh, thân yêu!

Có vẻ như lý do cho điều này là do khả năng tương thích ngược, Doug…

… Rằng Microsoft muốn tính năng này hoạt động trở lại tất cả những người vẫn đang sử dụng Office 2010, có khả năng giải mã kiểu cũ được tích hợp sẵn trong đó.

Về cơ bản, có vẻ như quá trình mã hóa tệp OME này sử dụng AES, đây là thuật toán mã hóa tiêu chuẩn hóa NIST mới nhất và tốt nhất.

Nhưng nó sử dụng AES trong cái gọi là chế độ mã hóa sai.

Nó sử dụng cái được gọi là ECB, hoặc sổ mã điện tử chế độ.

Và đó chỉ đơn giản là cách mà bạn đề cập đến AES thô.

AES mã hóa 16 byte một lúc… nhân tiện, nó mã hóa 16 byte cho dù bạn sử dụng AES-128, AES-192 hay AES-256.

Không trộn lẫn kích thước khối và kích thước khóa - kích thước khối, số byte được trộn và mã hóa mỗi khi bạn xoay tay quay trên công cụ mật mã, luôn là 128 bis hoặc 16 byte.

Dù sao, ở chế độ sổ mã điện tử, bạn chỉ cần lấy 16 byte đầu vào, xoay tay quay một lần theo một khóa mã hóa nhất định và lấy đầu ra, thô và chưa xử lý.

Và vấn đề với điều đó là mỗi khi bạn nhận được cùng một đầu vào trong một tài liệu được căn chỉnh ở cùng một ranh giới 16 byte…

… Bạn nhận được chính xác cùng một dữ liệu trong đầu ra.

Vì vậy, các mẫu trong đầu vào được tiết lộ trong đầu ra, giống như chúng ở trong Caesar mật mã hoặc một Vigenère mật mã:

Bây giờ, điều đó không có nghĩa là bạn có thể bẻ khóa mật mã, bởi vì bạn vẫn đang xử lý các khối có chiều rộng 128 bit tại một thời điểm.

Vấn đề với chế độ sổ mã điện tử phát sinh chính vì nó làm rò rỉ các mẫu từ bản rõ sang bản mã.

Các cuộc tấn công văn bản rõ đã biết có thể xảy ra khi bạn biết rằng một chuỗi đầu vào cụ thể mã hóa theo một cách nhất định và đối với văn bản lặp lại trong tài liệu (như tiêu đề hoặc tên công ty), những mẫu đó được phản ánh.

Và mặc dù đây đã được báo cáo là một lỗi cho Microsoft, nhưng rõ ràng công ty đã quyết định sẽ không sửa nó vì nó "không đáp ứng được tiêu chuẩn" cho một bản sửa lỗi bảo mật.

Và có vẻ như lý do là, "Chà, chúng tôi sẽ làm hại những người vẫn đang sử dụng Office 2010."

---

CHÓ.  Ôi!

---

VỊT.  Có!

---

CHÓ.  Và trên ghi chú đó, chúng tôi có một bình luận của độc giả cho câu chuyện này trong tuần này.

Một phần nhận xét của Naked Security Reader Bill:

Điều này làm tôi nhớ đến 'cũi' mà những người thợ phá mã ở Công viên Bletchley đã sử dụng trong Chiến tranh thế giới thứ hai. Đức Quốc xã thường kết thúc các tin nhắn bằng cùng một cụm từ đóng, và do đó, những kẻ phá mã có thể làm việc trở lại từ tập hợp các ký tự được mã hóa đóng này, biết chúng có khả năng đại diện cho điều gì. Thật đáng thất vọng là 80 năm sau, chúng ta dường như đang lặp lại những sai lầm tương tự.

---

VỊT.  80 năm!

Vâng, nó thực sự đáng thất vọng.

Sự hiểu biết của tôi là những chiếc cũi khác mà những kẻ phá mã của Đồng minh có thể sử dụng, đặc biệt là đối với các văn bản do Đức Quốc xã quy định, cũng xử lý phần * đầu * của tài liệu.

Tôi tin rằng đây là một điều đối với các bản tin thời tiết của Đức… có một định dạng tôn giáo mà họ tuân theo để đảm bảo rằng họ đưa ra các bản tin thời tiết chính xác.

Và các bản tin thời tiết, như bạn có thể tưởng tượng, trong một cuộc chiến liên quan đến ném bom trên không vào ban đêm, là những thứ thực sự quan trọng!

Có vẻ như những thứ đó tuân theo một mô hình rất, rất nghiêm ngặt mà đôi khi có thể được sử dụng như một thứ mà bạn có thể gọi là một chút "nới lỏng" mật mã, hoặc một cái nêm mà bạn có thể sử dụng để đột nhập ngay từ đầu.

Và điều đó, như Bill đã chỉ ra… đó chính là lý do tại sao AES, hoặc bất kỳ mật mã nào, ở chế độ sổ mã điện tử không phù hợp để mã hóa toàn bộ tài liệu!

---

CHÓ.  Được rồi, cảm ơn bạn đã gửi nó, Bill.

Nếu bạn có một câu chuyện, nhận xét hoặc câu hỏi thú vị mà bạn muốn gửi, chúng tôi rất muốn đọc nó trên podcast.

Bạn có thể gửi email tới tips@sophos.com, bạn có thể nhận xét về bất kỳ bài viết nào của chúng tôi hoặc bạn có thể đánh giá chúng tôi trên mạng xã hội: @nakedsecurity.

Đó là chương trình của chúng tôi cho ngày hôm nay; cảm ơn rất nhiều vì đã lắng nghe

Đối với Paul Ducklin, tôi là Doug Aamoth, sẽ nhắc bạn cho đến lần sau hãy…

---

CẢ HAI.  Giữ an toàn!