セキュリティウィーク52-53：暗号化、ヴィンテージJava、gopo-bugバウンティの厚いレイヤーを備えたジュニパーバックドア

その瞬間、木はすでに立っているが、サラダはまだ切り刻まれていないので、今年はセキュリティニュースについて話す最後の時間です。 先週、私はその年の「非標準」の最高のニュースについて報告しましたが、一般的に、残りの時間には何も起こりませんでした。 そうではありませんが、別の物語に値するニュースが1つあります。 12月17日にジュニパーネットワークデバイスのソフトウェアで検出された2つのバックドアは、ルーターおよびホームルーターのバグ、悪用、および不正な構成の長いが目立たないリストに追加される可能性があります。 しかし、後にこの物語には多くのニュアンスがあり、安全なコーディングのトピックだけでなく、暗号化にも触れていることが判明し、特別なサービスの参加のヒントさえ現れました。



一般的に、年の終わりは興味深いことが判明しました。 ジュニパーネットワークスに加えて、さらに2つの人気のあるニュースがセキュリティに近いポリシーのトピックに追加されています。 従来のルール：毎週、 Threatpostニュースサイトの編集委員会が3つの最も重要なニュースを選択し、それに拡張された容赦のないコメントを追加します。 シリーズのすべてのエピソードはタグで見つけることができます。 新年の最初のエピソードは1月8日にリリースされます！



ジュニパーのデバイスで見つかった2つのバックドア：自明ではない、完全に自明ではない

ニュース 。 衝撃的な詳細 。 新たに発見された状況 。 知識ベースジュニパーの記事 。



12月17日に、ジュニパーのWebサイトに、ScreenOSオペレーティングシステム（Netscreenエンタープライズクラスのネットワークファイアウォールを実行する独自のOS）の2つの重大な脆弱性の正常な閉鎖に関するメッセージが表示されます。 これらは、10ギガビット/秒以上の帯域幅を持つチャネルでトラフィックフィルタリング、VPN、DDoS保護を提供するような高性能グランドです。 両方の脆弱性は非常に危険ですが、それぞれ個別に送信データのセキュリティを脅かしています。 したがって、それらは「単純に非自明」と「完全に非自明」に分けることができます。



些細ではない脆弱性







健康な人のログと喫煙者のログ



10の違いを見つけます。 通常のログインと不正なユーザー名の唯一の違いは、2番目のケースでは、ユーザーシステムに代わってエントリが表示されることです。 ハッキングの最良の指標ではありませんが、ジュニパーが正しく指摘しているように、攻撃者はそもそもこれら2行をこするでしょう。 つまり、デバイス管理者が作成しなかったユーザーがログインできるようにするコード内のブックマークについて話している-これは非常に一般的な状況です。 実際、すべてがやや複雑または単純です-これは見方です。 実際、ジュニパーのメッセージには詳細がありませんでした。「2つの穴が見つかりました。パッチがあります、ありがとう。」 脆弱性の危険性を考えると、情報を隠そうとすることを非難することはできません。 問題は、2つのバージョンのコードを「パッチの前後」で比較し、バックドアがどのように機能するかを正確に調べることは、特に問題ではないことです。



この分析は、Rapid7社を含む多くの企業によって行われました。 ソースコードを表示するときにコメントまたはデバッグコードのように見えるように、ユーザー名とパスワードの秘密のペアではなく、エンコードされたパスワードのみについて話していることがわかりました。 一般に、脆弱なファイアウォールが「外部」に表示されている場合、フルアクセス権で簡単にファイアウォールに接続できます。 専門のShodan検索エンジンからのデータが提供されます：合計で、研究の公開時に、彼は外部からSSH経由で接続できる2万6000台のNetScreenデバイス（必ずしも脆弱ではない）を見ました。 バックドアは2013年以降利用可能と思われます-このブックマークが登場したバージョンがリリースされたのはその時でした。



完全に重要な脆弱性

2番目の脆弱性はScreenOSにもう少し長い間存在します-2012年以降、VPNトラフィックを解読することができます。 オープンネットワークを介した部門間の安全な通信にNetScreenコンプレックスを使用している企業にとって、これが何を意味するのかを説明する必要はありません。 会社の最初のメッセージで正しく指摘されているように、この脆弱性が悪用されたかどうかを判断することはできません。 どうして起こったの？ 理解するには、暗号化の問題のジャングルに再び突入する必要があります。 これらの荒野の普通の人は次のようになります。











しかし、私は、有名な暗号作成者であるマシュー・グリーンの投稿に基づいて、今でも試しています。 記事は積極的に始まります。「詳細についてはあまり触れません。」 ええ、私たちはしません。 一番下の行は、ScreenOSがDual_EC_DRBG疑似ランダム生成アルゴリズムを使用していることです。 このアルゴリズムが特定の実装では信頼できないという事実は、量子コンピューティングに耐性のある暗号化アルゴリズムに関するNSAのNSAコミュニケ（uii！）についての話の前半で書きました。 引用します：



「バックドアがあるかどうかは完全にはわかっていませんが、2000年代初頭にNSAはアルゴリズムの標準化を積極的に推進し、2007年にはバックドアの疑いがあり、2013年にスノーデンリークは何らかのプログラムを確認しました意図的に弱められたアルゴリズムを伝播するかどうかに関係なく、ブックマークの導入が存在していました。 「これが特定の暗号に関連していたかどうかは明らかではありませんが、沈殿物は残ります。」



アルゴリズムの堅牢性に関する長年の疑問に応えて、ジュニパーはかつて声明を発表しました 。たとえそうであっても、ScreenOSは影響を受けません。 X.9.31 PRNG。 Matthew Greenによると、このようなコンベヤーは脆弱性に関するすべての質問を本当に取り除きますが、1つの条件があります：攻撃者がDual_EC_DRBGを使用して生成された元のシーケンスにアクセスできない場合。 さらに、シーケンス全体は必要ありません-最初の30バイト程度で十分です。 したがって、パッチの分析とリバースエンジニアリングによって得られた情報は、これがまさに何（アルゴリズムの最初の32バイトの生の出力）が起こるかを示しています！ 32バイトの出力を受信すると、このデータにさらに何が起こるかを予測し、最終的に暗号化されたトラフィックのキーを取得することが可能になります。



マシュー・グリーンは、バックドアの「顧客」について結論を出していませんが、暗号を意図的に弱める危険性のトピックを再び提起しています。 自分だけの抜け穴を残す（ベンダーの知識なしに、または彼の助けを借りて導入することは重要ではありません）誰かがそれを使用できないことを保証することはできません。 Edward Snowdenから受け取ったドキュメントには、Dual_EC_DRBGアルゴリズム、特にバックドアを備えたジュニパーのデバイスが複数回言及されています。



そのようなこと。



オラクルはJavaがまあまあのセキュリティを持っていることを米国貿易委員会に同意

ニュース 。



オラクルは、Java Platform Security Disputeに関して、米国連邦取引委員会と和解しました。 Javaはどこに、FTCはどこにあり、地元の商務省は一般にソフトウェアの脆弱性を心配しているのでしょうか？ はい、心配することはありますが、ここに、1年、 2年 、 3年など、その年のニュースの伝統的な選択があります。 Javaは、クラッカーが最も悪用するソフトウェアのタイトルを求めてAdobe Flashと定期的に競合しており、最近ではFlashが勝ちます（つまり、負けます）-最も頻繁に攻撃されます。 統計によると、2015年には、エクスプロイト攻撃の13％でJavaの脆弱性が使用されましたが、1年前には45％でした。 ほとんどすべてのエクスプロイトパックでは、Javaは使用されなくなりました。 一般的に、すべてがそれほど悪くないように思われますか？



まあ、ニュースはそれについてではありません:) FTCは依然として政府機関であり、急速に変化する脅威の状況に対応していません...すぐにではありません。 議論は、Javaの古いバージョンとOracleの声明についてでした。まあ、会社がユーザー自身を保護するためにユーザーに更新を勧めるときです。 少なくとも2014年8月まで、Javaの更新はユーザーを最後まで「保護」しないように機能しました。場合によっては、Javaの古いバージョンがシステムの腸内のどこかに残り、攻撃を受ける可能性がありました。 この問題は、新しいバージョンをインストールする前に古いバージョンを完全に削除することによってのみ解決されました。 多くの人々は、最近まで「便利な」および「透明な」更新がどのように実装されたかを知っています。 一般的に、会社はユーザーに「より良い」通知をすることに同意しました。











ニュースの重要なニュアンスは、調査中に分析されたOracleの内部通信への送信です。 それから、アップデートの問題は従業員の秘密ではないことが判明しましたが、長い間、会社は彼らと何か有益なことをすることができませんでした。 オラクルの8月のPRの失敗について、CSOが独立系の研究者やクライアントに分解業者を引き継ぐよう勧め、ベンダーはセキュリティ監査自体に対処すると述べたとき、この関連で思い出せざるを得ません。



Facebookは不道徳なバグハンティングで研究者を非難

ニュース 。 研究者ブログ。



セキュリティの専門家であるウェスリー・ワインバーグがInstagramのサーバーインフラストラクチャの脆弱性に関する情報をFacebookに投稿しても、何も悪いことではありません。 彼らは彼のメッセージに応答し、感謝し、彼がバグ報奨金プログラムの一環として2,500ドルを受け取る資格があると言いました。 さらにイベントは非標準的に発展しました：Weinbergは研究を続け、Instagramのほぼすべてを破ることに成功しました-ソースコードとユーザーデータでサーバーに到達したという意味で-Facebookは彼を非倫理的な行動で非難しました。



参加者の証言は互いに矛盾しています。 Weinbergによると、彼は一連の脆弱性を掘り起こし、そのおかげでAmazon S3のInstagram仮想サーバーにアクセスできました。 CSO Facebookのアレックス・スタモスによると 、エントリーポイントはレポートに対するWeinbergのおかげで1つでしたが、さらに先へ進むのは非倫理的でした。従業員やユーザーからサーバーを破壊してデータを盗み、それをセキュリティと呼ぶことはできないと彼らは言います。 激怒したStamosはWeinbergの雇用主であるSynackと呼ばれ、新しいメンバーとドラマをストーリーに追加しました。 ワインバーグ自身は、Facebookが脆弱性に関する情報の公開を遅らせようとしていることをほのめかしました。これは研究者の神聖な権利です。



一般的に、誰がこの物語で正しいのか、誰がそうでないのかを明らかにすることは困難です。 研究者とベンダーの相互作用に関する特定のルールがなく、倫理的コードとしてのこのような非アルゴリズム的タスクは言うまでもないことは明らかです。 そして、これらのルールを考え出すといいでしょう。 第一に、それは業界全体に利益をもたらすでしょう。結局、Instagramは攻撃者がそれを利用する前に最終的に穴を塞いだのです。 第二に、専門家の議員がルールを採用するまで、業界が独自にこれらのルールを考案する方がよい-この状況では、何が起こるかわかりません。



古物：

「ストーン-a、-b、-c、-d」



感染したフロッピーディスクから1/8の確率で起動すると、「Your PC is now Stoned！」というメッセージが画面に表示されます。 指定されたものに加えて、文字列「LEGALISE MARIJUANA！」が含まれます。 「Stone-c」ウイルスは、ハードドライブのMBRに感染すると、ディスクパーティションテーブルを破壊します。その後、コンピューターはフロッピーディスクからのみ起動できます。 10月1日の「Stone-d」は、ハードドライブの情報を破壊します。



Eugene Kaspersky著の本「MS-DOSのコンピューターウイルス」からの引用。 1992年。 97ページ



免責事項：このコラムは、著者の個人的な意見のみを反映しています。 カスペルスキーの位置と一致する場合もあれば、一致しない場合もあります。 ここは幸運です。