《安全周报》33期:无锁的门、存在漏洞的微软以及反汇编带来的烦恼

欢迎来到本期的《安全周报》。在首期《安全周报》中,我们介绍了有关自动开锁汽车、安卓长期存在的Stage Fright漏洞攻击以及我们将不再受到网络监视(事实上情况依然存在)的新闻故事。 在本篇博文中,两条看上去毫不相关的新闻却有着一个共同点:时而由磁阻引起的漏洞可以采取现有安全措施予以解决。第三个新闻故事并不完全与网络安全有关,而是更多关注业内各方关系的特殊案例。这三个新闻故事可以说是趣味横生、各有特色。 我想再提一下我们《安全周报》的编辑原则:Threatpost编者每周会精选三个在当周最吸引眼球的新闻故事,而我则会加上自己的辛辣点评。你可以在这里找到这些系列的所有事件背景。 黑客入侵酒店房门 Threatpost新闻故事。 人们总是说科学与艺术之间有着一条难以跨越的鸿沟,同时这两个领域的专家们也难以相互理解。还有一个根深蒂固的说法是人文主义知识分子无法变成一名科学家或工程师。 但这一传统观念却被一名受过正规音乐训练的音乐家John Wiegand打破。在上世纪30年代,他既是一名钢琴演奏家同时也是儿童合唱团的指挥,直到他对设计音频放大器产生了浓厚的兴趣。到了上世纪40年代,他专心致力于那个时代的新奇事物–磁带录音的研究。而到了1974年(当时已62岁),他终于有了重大发现。 这项发明被称为”韦根传感器”,磁钴铁和钒合金丝在经过适当处理后会发生变化,从而在软内芯周围形成硬外壳。外磁场可轻易磁化外壳并抵抗退磁,即使外磁场退回到零时也同样如此—这一特性被称为”更大的矫顽力”。软丝填充的行为则完全不同:直到外壳完全填充磁化后,软丝才会填充磁化。 一旦合金丝完全磁化,内芯则最终能够收集它自己一部分的磁化,同时内芯和外壳进行磁极转换。这一转换会产生巨大电压,可用于各种传感和监视应用,在现实生活中完全可以有效利用这一效应,比如:酒店房卡。 与现代感应卡不同的是,”1″和”0″的数字并非记录在芯片内,而是在特别布线的直接序列内。这样的密钥既无法重编程序,其基本设计方案也与现代感应交通卡或银行支付卡大相径庭,但与磁条卡却十分相似–只是后者更加安全可靠一些。 那我们是否就能淘汰感应卡呢?目前还为时尚早。韦根不仅将他发现的效应命名为”韦根效应”,同时也用自己的名字命名了一种目前来看早已过时的数据交换协议。这一通讯协议的各个方面都做得相当糟糕。首先,该通讯协议从未制定过任何适当的标准,而且有许多不同的格式。 其次,原卡的ID只有16位,因此可设置的卡号组合有限。第三,这些感应卡采用了电丝设计,且发明时间早于我们学会如何将”微型计算机”植入信用卡内的时间,因而限制了密钥长度(仅37位),但读卡时的安全可靠性却远远高于后来拥有更长密钥的感应卡。 就在刚刚落幕的黑帽大会上,研究专家Eric Evenchick和Mark Baseggio展示了他们用来拦截授权过程中(未加密)密钥序列的黑客装置。最有趣的细节是:由于信息是在数据从读卡器传输到门禁控制系统过程中遭窃取(也就是历史上韦根协议使用的环境),因而与卡本身毫无关系。 这个微型装置被称为BLEkey –其外形极小,需要嵌入读卡器内(比如:酒店客房门)才能起作用。研究专家们展示了整个过程只需几秒钟时间即可完成。之后一切就变得很简单。我们只需读取密钥,然后等房客离开后打开房门。或者我们根本不用等。或者我们根本就不用开门。如果将这一技术细节形象地描绘成”房门和读卡器/无线通讯之间对话”的话,可能就像这样: “谁在那儿?” “是我。” “请进吧!” 整个过程的确就是如此,只是当中有些细微差别。好吧,通常来说,并非所有的门禁系统都容易受到这样的攻击。即使是那些在这方面存漏洞的门禁系统,也可以受到安全保护而无需彻底更换。根据研究专家的说法,读卡器原本就内置有防范此类黑客入侵的安全保护措施,只是这些安全功能通常禁用。 有些甚至能支持公开监控设备协议,允许你对传输的密钥序列进行加密。这些”功能”并未被使用–我将不断反复强调的是– 制造商之所以忽视安全措施完全是为了降低成本和方便生产。 这里有一个2009年有关这一问题的研究,并附有技术细节。显然门卡(非读卡器)内的漏洞早在1992年就已发现,之后相关专家建议门卡应进行反汇编或使用X光检查。出于这一目的,比如必须将门卡从持卡人处取走。目前的解决方案则是硬币大小的微型装置。这正是我所称之为的科技进步! 微软与Immunity公司。微软公司与Windows Server Update Services之间纷繁复杂的故事。

欢迎来到本期的《安全周报》。在首期《安全周报》中,我们介绍了有关自动开锁汽车、安卓长期存在的Stage Fright漏洞攻击以及我们将不再受到网络监视(事实上情况依然存在)的新闻故事。

在本篇博文中,两条看上去毫不相关的新闻却有着一个共同点:时而由磁阻引起的漏洞可以采取现有安全措施予以解决。第三个新闻故事并不完全与网络安全有关,而是更多关注业内各方关系的特殊案例。这三个新闻故事可以说是趣味横生、各有特色。

我想再提一下我们《安全周报》的编辑原则:Threatpost编者每周会精选三个在当周最吸引眼球的新闻故事,而我则会加上自己的辛辣点评。你可以在这里找到这些系列的所有事件背景。

黑客入侵酒店房门

Threatpost新闻故事。

人们总是说科学与艺术之间有着一条难以跨越的鸿沟,同时这两个领域的专家们也难以相互理解。还有一个根深蒂固的说法是人文主义知识分子无法变成一名科学家或工程师。

但这一传统观念却被一名受过正规音乐训练的音乐家John Wiegand打破。在上世纪30年代,他既是一名钢琴演奏家同时也是儿童合唱团的指挥,直到他对设计音频放大器产生了浓厚的兴趣。到了上世纪40年代,他专心致力于那个时代的新奇事物–磁带录音的研究。而到了1974年(当时已62岁),他终于有了重大发现。

这项发明被称为”韦根传感器”,磁钴铁和钒合金丝在经过适当处理后会发生变化,从而在软内芯周围形成硬外壳。外磁场可轻易磁化外壳并抵抗退磁,即使外磁场退回到零时也同样如此—这一特性被称为”更大的矫顽力”。软丝填充的行为则完全不同:直到外壳完全填充磁化后,软丝才会填充磁化。

一旦合金丝完全磁化,内芯则最终能够收集它自己一部分的磁化,同时内芯和外壳进行磁极转换。这一转换会产生巨大电压,可用于各种传感和监视应用,在现实生活中完全可以有效利用这一效应,比如:酒店房卡。

与现代感应卡不同的是,”1″和”0″的数字并非记录在芯片内,而是在特别布线的直接序列内。这样的密钥既无法重编程序,其基本设计方案也与现代感应交通卡或银行支付卡大相径庭,但与磁条卡却十分相似–只是后者更加安全可靠一些。

那我们是否就能淘汰感应卡呢?目前还为时尚早。韦根不仅将他发现的效应命名为”韦根效应”,同时也用自己的名字命名了一种目前来看早已过时的数据交换协议。这一通讯协议的各个方面都做得相当糟糕。首先,该通讯协议从未制定过任何适当的标准,而且有许多不同的格式。

其次,原卡的ID只有16位,因此可设置的卡号组合有限。第三,这些感应卡采用了电丝设计,且发明时间早于我们学会如何将”微型计算机”植入信用卡内的时间,因而限制了密钥长度(仅37位),但读卡时的安全可靠性却远远高于后来拥有更长密钥的感应卡。

就在刚刚落幕的黑帽大会上,研究专家Eric EvenchickMark Baseggio展示了他们用来拦截授权过程中(未加密)密钥序列的黑客装置。最有趣的细节是:由于信息是在数据从读卡器传输到门禁控制系统过程中遭窃取(也就是历史上韦根协议使用的环境),因而与卡本身毫无关系。

这个微型装置被称为BLEkey –其外形极小,需要嵌入读卡器内(比如:酒店客房门)才能起作用。研究专家们展示了整个过程只需几秒钟时间即可完成。之后一切就变得很简单。我们只需读取密钥,然后等房客离开后打开房门。或者我们根本不用等。或者我们根本就不用开门。如果将这一技术细节形象地描绘成”房门和读卡器/无线通讯之间对话”的话,可能就像这样:

“谁在那儿?”

“是我。”

“请进吧!”

整个过程的确就是如此,只是当中有些细微差别。好吧,通常来说,并非所有的门禁系统都容易受到这样的攻击。即使是那些在这方面存漏洞的门禁系统,也可以受到安全保护而无需彻底更换。根据研究专家的说法,读卡器原本就内置有防范此类黑客入侵的安全保护措施,只是这些安全功能通常禁用。

有些甚至能支持公开监控设备协议,允许你对传输的密钥序列进行加密。这些”功能”并未被使用–我将不断反复强调的是– 制造商之所以忽视安全措施完全是为了降低成本和方便生产。

这里有一个2009年有关这一问题的研究,并附有技术细节。显然门卡(非读卡器)内的漏洞早在1992年就已发现,之后相关专家建议门卡应进行反汇编或使用X光检查。出于这一目的,比如必须将门卡从持卡人处取走。目前的解决方案则是硬币大小的微型装置。这正是我所称之为的科技进步!

微软与Immunity公司。微软公司与Windows Server Update Services之间纷繁复杂的故事。

Threatpost新闻故事。原研究专家白皮书

Windows Server Update Services允许大型公司通过内部服务器的方式(代替外部来源)集中安装计算机更新。同时这也是一个相当可靠且足够安全的系统。首先所有更新必须都由微软签名。其次,各公司的更新服务器与供应商服务器之间的通讯都采用SSL加密。

同时这也是一个相当简单的系统。各公司的服务器只需接收XML文件格式的更新列表,里面明确说明了下载的内容、哪里下载以及下载的方法。事实上最初的交互都是以纯文本形式进行。这样的说法并不完全正确。因为通讯必须加密并且在部署WSUS时,强烈建议管理员启用加密。但事实上却默认禁用。

由于替换”指令”并非易事,因此这并没有什么可怕的,但如果网络攻击者有能力拦截流量(例如:采用中间人攻击方法)的话,那完全有可能替换成功。研究专家Paul Stone和Alex Chapman发现通过替换指令,就能在更新系统上执行任意的高权限代码。微软依旧会检查数字证书,但却会接受任何公司的证书。比如,你可以从SysInternals工具包中偷偷使用PsExec工具,借助这一工具你可以启动任何程序。

为什么会出现这种情况呢?问题的关键在于当部署WSUS时无法自动启用SSL加密,因为你需要生成一个证书。正如这些研究专家在这个案例中所提到的,微软除了尽快催促微软启用SSL加密以外别无他法。因此,这似乎是个漏洞,但其实根本就是人为的原因。因此没有任何解决措施。除了责难管理员外,其他人没有任何过错。

卡巴斯基实验室发现间谍软件Flame将Windows Update作为传染病毒的工具,只是使用方法有所不同:假冒的代理服务器会拦截发往微软服务器的请求,而已交付的响应文件则稍有不同,尽管其中一些文件的确经供应商签名。

逆向工程带来的烦恼

Threatpost新闻故事。原博文的作者是Oracle的首席安全官(可通过Google搜索到这篇文章—互联网可以保存任何稍纵即逝的内容)。

上述所提到黑帽大会上的两个演示相互之间确有关系,原因是这些研究的作者–安全专家–在其他人开发的某些技术或产品中发现了漏洞。他们将自己的发现成果公诸于众,并在BLEKey微型装置的演示中还介绍了整个代码以及可免费获取的硬件。通常来说,这是与外部世界进行IT安全互动的标准方式,但并非每个人都喜欢这样的方式。

就我个人而言,我不太喜欢评论他人的事情,因此我只能说这是一个非常敏感话题。分析他人的代码是否妥当呢?到底哪方面是正确的?我该如何披露漏洞信息才不至于伤害他人?发现漏洞是否能得到报酬?法律限制、刑法和业内不成文法–这些都会有影响。

甲骨文首席安全官Mary Ann Davidson最近在其博客上发表的一篇博文在业内一时激起了千层浪。文章的标题是”No, You Really Can’t”(《不,这样不行》),其中将矛头直指公司客户(而非针对整个行业),批评他们将在供应商产品内发现的漏洞信息送回甲骨文。

在这篇于2015年8月10日在Oracle博客上发表的文章中,很多段落都值得引用,但只有一个中心观点:客户可以了解软件漏洞,但绝不能进行逆向工程,否则就违反了许可证协议,同时这一行为也是错误的。

我采摘了其中的一段:

客户不得自行分析代码,以了解公司是否有能力防止扫描工具所发现的攻击(很可能是子虚乌有)。客户也不得自行编写修复问题的补丁—只能使用由供应商提供的补丁。客户使用工具做静态分析(需执行源代码)绝对是违反了许可证协议。

公众的反应像这样:

https://twitter.com/nicboul/status/631183093580341248

或像这样:

甚至像这样:

总而言之,这篇博文发布不到一天即迅速被撤销,原因是文章”不能代表甲骨文[官方]对待客户和合作的理念”(但已在互联网上广泛传播)。我们都知道Oracle开发了Java,但其中存在大量漏洞且很容易被利用。就在三年前,我们花费了总共1年的时间统计了Java中发现的漏洞,其数量竟达160个

在理想状态下,软件供应商会不遗余力地发现和修复软件中存在的所有漏洞,但问题是我们都生活在现实世界中。因为现实中并没有明文规定软件供应商必须这么做,而有时这些软件供应商常常遵循的是”蜜蜂对待蜂蜜”的原则?

还是让我们再听听另一方的声音。

就在上周,黑猫大会创始人Jeff Moss就”软件供应商是否应对代码中的漏洞负责“发表了自己的观点。他表示现在是时候让那些对客户没有尽到任何责任公司的产品取消EULA(用户最终许可协议)。这一言论相当有趣,可以说与提倡”禁止反汇编程序”不相上下。目前只能明确一件事:如果用户(公司和个人)、供应商和研究人员能相互理解的话,就不会存在这些”振臂高呼”的言论和在微博上的互相攻击。

本周还有哪些新闻?

在黑猫大会上还演示了如何黑客入侵Square读卡器—该装置通过连接智能手机就能向外卖送餐员在线付款。但前提是将读卡器插入智能手机内。

在联想笔记本电脑(并非所有,只是其中一些)中又发现了供应商的rootkit恶意软件之前的新闻故事

老话新提

“Small”恶意软件系列

在文件加载入内存时,标准的常驻型病毒被加入到了后缀名为”.com”的文件内(除了最初写入的Small-114、-118和-122)。大多数该系列病毒使用POPA和PUSHA of 80×86处理器的命令。Small-132和-149则会错误地病毒感染某些文件。这些文件由不同的作者编写。显然,Small系列病毒最初可能为了比赛成为最短MS-DOS常驻病毒而编写。但它依然只能决定”奖金池”的大小。

https://media.kasperskydaily.com/wp-content/uploads/sites/97/2020/07/03201941/infosec-digest-32-book1.jpg

引述自于1992年出版的《MS-DOS中的计算机病毒》第45页,该书作者是尤金·卡巴斯基

免责声明:本文仅代表作者的个人意见。可能与卡巴斯基实验室的立场相符,也可能相反。听天由命吧。

互联网并不如表面看上去的那般美好

对于父母时常挂在嘴边的:”现在的孩子真是无药可救了。” 你一定不会感到高兴吧?就算你是家族有史以来最自律的孩子,我敢打赌你或多或少也曾从父母口中听到过这样的话。父母们之所以会有这样的抱怨,是因为现在的孩子常常毫无限度地使用父母的信用卡购买手机游戏的内置物品,或者从那些安装了木马病毒或其他恶意软件的不安全网站随意下载游戏或应用程序。 还是让我们直入主题:幼稚和天真并不是互联网的生存法则。一旦对在线安全知识有了一定了解,你就不会再将互联网想象成一个充满各种美好事物的”世外桃源”。互联网真实了反应了我们的现实世界,里面既有好人也有坏人。里面根本不存在”天使”,但却有许多不法分子潜伏在这个”法律难以管束”的地方,隐藏自己的真实身份从事各种不法活动,从而为自己谋利。 说了那么多,我们的目的并不是想要吓唬你或让你也在网上伪装自己。而是想让你自己和你的父母在互联网上多留一份心,尤其是他们通常忽视在线安全的情况下。可惜的是,有太多的家长对于基本的互联网安全准则熟视无睹,使用最薄弱的密码并常常落入众所周知的网络钓鱼圈套。但在网络安全方面你完全可以比父母做得更好,也完全可以教给他们一些基本的在线安全常识。 牢记:互联网上的每个人都可能在撒谎 你应该向父母解释这样的道理: 并不是每一个互联网用户都使用自己真实的身份。”厉害的程序员”很可能只是不会做作业的孩子。而”附近学校的女孩子”可能只是生活在遥远国度的一个满脸胡渣的无聊男人。Instagram个人主页内放有各种极具吸引力照片的”大人物”,很可能只是来自新墨西哥州El Armpito的失败者,他唯一擅长的就是从Google图片中搜索各种绚丽照片。 同样的情况也适用于网站。记住并不是每一个网站都安全可靠。有些网站出于某些原因会故意放一些虚假信息在上面。因此尽量通过多个信息来源核实事实,最好是知名且安全可靠的网站。一旦你觉得网站可疑,确保及时告知家长。 每个家庭都需要有个人能担负起网络安全重任。而你完全能成为那样的人。

提示