Habréのブログでは、当社の製品の開発について話しているだけでなく、通信事業者「Hydra」への請求だけでなく、インフラストラクチャの使用とテクノロジーの使用に関する資料も公開しています。
ドイツのジャーナリストでありハッカーのレイフ・ライゲは、ソフトウェア更新プログラムを整理するための最新のアプローチが深刻な情報セキュリティリスクを伴うという、Ars Technicaの興味深い記事を書きました。 この記事の主な考えをご紹介します。
背景
2014年、ワシントンポストは 、AppleやGoogleのような企業が秘密鍵のようなものを発明する必要があると書きました。これにより、彼らは製品にアクセスし、司法を受けた場合にのみ特別なサービスに保存および転送できますソリューション。」
素材の作者は、そのようなアイデアを提唱するという事実について批判されました-インターネットコミュニティは、政府関係者や特別なサービスのような「正しい」人々だけがそのようなハッキングツールの使用を許可するという事実を引用して、強く反対しました間違った手に渡ることはありません。
問題は、任意のデバイスへのアクセスを開くそのような「ゴールデンキー」が既に存在し、リガを書き込むことです-これらはシステムの更新です。
理論のビット
リガは、ソフトウェアセキュリティチェーンが破損する可能性のある「弱いリンク」の存在について書き、攻撃者が被害者のコンピューターをだまし、提供された悪意のある更新が実際に正当であると「信じさせる」ようにします。 このような「対象を絞った更新攻撃」は、特定の人のシステムへのアクセスを許可します-これは、同じソフトウェアの他のユーザーがそれを知らないことを意味し、ハッカーが長い間気付かれないようにします。
リガは、このタイプの攻撃を実行するための2つの条件を特定します。攻撃者は、被害者のシステムに更新を送信し、信頼できるソースからの更新であることを何らかの方法でシステムに納得させる必要があります。 彼がこれを行うことに成功した場合、彼は違法行為をコミットするための真に無限の可能性を受け取ります。 攻撃者がオペレーティングシステムの特別に生成された更新プログラムをインストールするように仕掛けることができると想像した場合、攻撃者はそれが使用するアプリケーションのデータにアクセスし、すべてのアクセスキーとパスワード、およびすべての暗号化されていないデータを取得することができます。
暗号化システムのバックドアの場合、ハッカーは被害者によって暗号化されたランダムなデータを解読でき、悪意のあるソフトウェアを実行できません。 リガは、彼の意見では、ワシントンポスト素材のアイデアを非難した多くの人々が後者のタイプのバックドアを念頭に置いていたと書いています。
攻撃者の観点から見ると、2つのオプションにはそれぞれ利点があります、とドイツの研究者は書いています。 最初のオプションでは、暗号化されたデータを含むデータを受動的に収集して、さらに復号化できます。 2番目のオプションでは、この状況が発生した場合にのみ攻撃を実行できますが、そのような状況が発生した場合、ハッカーは受信されたが暗号化されたデータにアクセスする場合よりも多くのアクションの範囲を取得します。 この場合、彼はすべてのアプリケーションのデータ、さらにはマイクやカメラなどの接続デバイスのデータも傍受することができます。
起こりうる問題のすべての規模について、多くのソフトウェア開発者は、ごく最近、アップデートの信頼性を何らかの方法で確認することを考えています。 しかし、これを大事にしたほとんどのプロジェクトの場合でさえ、彼らのクリエーターはチェーンに潜在的な弱いリンクを残しているとリガは確信しています。
問題は何ですか
研究者は、ほとんどのオペレーティングシステムの場合に問題が存在すると書いています。 リガのお気に入りのOSはDebianです。 簡単なコマンドで、ユーザーは更新をダウンロードするときに攻撃者がセキュリティチェーンを破ろうとする「弱いリンク」がいくつあるかを知ることができます。
sudo apt-key list | grep pub | wc -l
Rigaシステムの場合、この数は9です。 彼が問題を説明する方法は次のとおりです。
apt-get updateコマンドを実行するたびに、これら9つのキーのいずれかにアクセスし、コンピューターと更新のダウンロード元のサーバーとの間にいる人はだれでも、悪意のあるソフトウェアを送信することができます。ルート権限で。
なぜこれが可能ですか?
リガは、ソフトウェアの設計と開発にかかわる非常に多くの賢い人々がまだこの問題に注意を払っていないという事実は、単に驚くべきことだと書いています。 研究者はこれを「素朴さと自信」が混ざり合って説明しています。 開発者は実際の攻撃でキーを保護できると確信していますが、さまざまな国の政府が単純に自分のキーを使用して必要なアップデートに署名することを強制できるが、ユーザーにとっては悪意があるという事実については考えていませんでした。
Apple対FBI:実際に何が起こっているのか
AppleがiPhoneデータの復号化機能を提供するというFBIの要件をめぐる現在の出来事は、これらの非常に「弱いセキュリティリンク」を心配していたリガのような人々がもはや偏執狂ではなく、問題が実際に存在することを示唆しています。
この話で、最も重要なことは、研究者によると、FBIがAppleに、PINコードを選択するための一定回数の試行後にデータを削除するiPhone機能を無効にする署名付きアップデートを提供するようAppleに要求するという事実です。
Debianのようなシステムでは、このような機能はありません。誰かが暗号化されたハードドライブにアクセスできれば、パスワードに対してブルートフォース攻撃を行う可能性がすべてあります。 ただし、これは一般に短いPINコードの場合よりも困難です。キーボードを備えたコンピューターでは、人々ははるかに複雑で長いパスワードを選択します。 ただし、攻撃者がディスクを復号化せずにコンピューターを「説得」してランダムコードを実行できる場合、キーに簡単にアクセスでき、パスワードの複雑さはまったく役に立たなくなります。
したがって、AppleがFBIが「私たちに製品のバックドアを作成させようとしている」と言ったとき、彼らは実際にインテリジェンスサービスがこれらの製品にすでに存在するバックドアを会社に強制的に使用させようとしているとリガは言った。 研究者は、FBIがAppleにいくつかの追加コードを書くように依頼するという事実もこの場合には役割を果たさないと言います-彼らはいつでもこのために他の開発者を雇うことができます。 Appleができる唯一のことは、FBIにアップデートの署名を提供することです。
これらの非常に「弱いリンク」を本格的なバックドアと見なすべきですか? リガは、多くのセキュリティ専門家はこれに同意しないと書いています。これは、バックドアを考慮するものとして一般に受け入れられている定義ではないためです-結局、そのようなシステム構成は誰にとっても秘密ではありません。 しかし、アップルの場合、会社自体も「バックドア」という言葉を使用して、システムの暗号保護の「弱いリンク」を説明しています。
どういう意味ですか
AppleはFBIとの現在の紛争に勝つかもしれない、とリガは書いている。 しかし、彼らは失う可能性があります。つまり、過去にこの問題で会社が他の誰かに譲歩することができました。 現在FBIのような一部の犯罪者グループが、安全なPINコードと「iPhone」からデータを受信できるようにしたいとしたらどうでしょうか。 そして、この組織がテクノロジーの構造を理解している人々を見つけ、この機会を実現するために「強制」する必要がある攻撃者に説明したらどうでしょうか。 この「ゴールデンキー」にアクセスできる社内の人々は、真に動機付けられた人々もそれを利用したい場合、深刻な危険にさらされる可能性があります。
リガは、AppleとFBIの間の紛争の状況が、更新を送信するために分散インフラストラクチャを使用している人気のあるシステムの開発者にとって警戒すべき電話になることを望んでいます。 その結果、近い将来、このメカニズムの現在の非効率性を排除する必要があると研究者は考えています。上記と同様の攻撃を実行するには、攻撃者は異なる管轄区域の異なる人々によって保存されているいくつかのキーを侵害する必要があります。 DedicのCothorityやDockerのNotaryなど、これを達成するのに役立つプロジェクトがいくつかあります。
新しいソフトウェア配布メカニズムの基本的な要件は、「弱いリンク」(それぞれが重要になる可能性のある攻撃)を取り除くことです。