Security for all - #19 - 9 августа 2018

Невидимый секрет - Алгоритм Диффи-Хеллмана

Сегодня

Chrome начал помечать HTTP сайты как незащищенные; Android приложения зараженные малварью для Windows; похищены данные пользователей Reddit; обновление безопасности для принтеров HP; зараженные роутеры Mikrotik используются для майнинга; уязвимость в CMS Drupal.

Основная тема - алгоритм Диффи-Хеллмана.

Вспомогательные темы

Соль. В криптографии под этим термином понимается дополнительная строка, которая передается функции хеширования вместе с паролем. Это делается для защиты от перебора и сокрытия одинаковых паролей. Если пароли нескольких пользователей одинаковые, то без дополнительной строки при хешировании значение получится одинаковым. Если же добавить соль, то на выходе значения получатся разные, и сразу не будет понятно, что пароль использовался один и тот же.

Новости

Chrome начал помечать HTTP сайты как незащищенные

Использование протокола HTTPS становится все более распространенным, и мы идем к тому, что этот протокол станет нормой, а исключением, в свою очередь, станет протокол HTTP. Пользователи должны считать, что по-умолчанию сайт безопасен, и получать предупреждение, если это не так. Но не наоборот.

Браузеры поддерживают этот тренд. В конце 2017 года браузер Chrome стал помечать сайты, открытые через HTTP, как небезопасные в режиме инкогнито. В обычном режиме он помечал их небезопасными только если пользователь начинал вводить данные.

В 68-й версии браузера HTTP сайты помечаются как небезопасные сразу же при открытии.

В сентябре этого года в 69-й версии планируется убрать слово “Защищено” из адресной строки рядом с замком, а после и сам замок.

В 70-й - браузер будет дополнительно визуально выделять, что сайт не защищен при вводе пользователем данных. Это дополнительное выделение впоследствии станет нормой.

https://scotthelme.co.uk/chrome-to-the-future/

Android приложения зараженные малварью для Windows

Любопытная информация пришла от исследователей из Palo Alto Networks. В Google Play они выявили 145 приложений, которые заражены исполняемыми файлами под Windows. Да, вы не ослышались.

Исполняемые Windows файлы в Android приложении. Естественно, вреда операционной системе Android такий файлы принести не могут. Но если такое приложений распаковать в Windows, то по ошибке вредонос вполне может быть запущен.

Как предполагают исследователи, зараженные приложения появляются из-за того, что заражены машины разработчиков. Окружение для сборки нужно держать в чистоте, иначе есть шанс, не желая того, приложить руку к распространению вредоносных приложений.

https://www.grahamcluley.com/android-apps-infected-windows-malware/ https://researchcenter.paloaltonetworks.com/2018/07/unit42-hidden-devil-development-life-cycle-google-play-apps-infected-windows-executable-files/

Похищены данные пользователей Reddit

Reddit сообщает, что в период с 14 по 18 июня злоумышленник получил доступ к некоторым серверам компании и некоторым пользовательским данным. Среди этих данных присутствуют email адреса части пользователей и бэкап базы данных за 2007 год, который содержит соленые хеши паролей.

В компании выяснили, что атакующий скомпрометировал аккаунты нескольких сотрудников от облачных сервисов и хостинга исходного кода. Все основные сервисы были защищены двухфакторной аутентификацией на основе SMS. Но такая защита не настолько хороша, как рассчитывала компания, и атакующий, используя перехват SMS, получил доступ к инфраструктуре. Reddit собирается полностью переключиться на двухфакторную аутентификацию с использованием аппаратных токенов.

https://threatpost.ru/reddit-is-leaking-two-years-data/27519/ https://latesthackingnews.com/2018/08/02/reddit-security-breach-user-data-stolen/

Обновление безопасности для принтеров HP

Компания HP выпустила обновление прошивки для принтеров серии InkJet. В этом обновлении были исправлены две уязвимости, которые позволяли выполнить произвольный код на уязвимом принтере. Для этого нужно было послать на печать специально сформированный файл.

Недавно HP при партнерстве Bugcrowd запустила закрытую bug bounty программу для принтеров. Награда за уязвимость может достигать $10,000. Возможно следом подтянутся другие компании.

https://www.theregister.co.uk/2018/08/03/hp_printer_malware/

Зараженные роутеры Mikrotik используются для майнинга

Исследователи обнаружили в нескольких странах взломанные роутеры MikroTik, которые использовались для майнинга криптовалюты. Для получения несанкционированного доступа к устройствам была использована уязвимость, исправленная еще в апреле. Она позволяет злоумышленнику получить административный доступ к любому непропатченному роутеру MikroTik.

Получив доступ к роутеру злоумышленники создали версию страницы для отображения различных ошибок и встроили в нее вредоносный скрипт. Таким образом, когда пользователь получает какую-либо ошибку, ему отдается вредоносная страница с майнером. По подсчетам исследователей скомпрометированными оказались сотни тысяч устройств.

Данная новость очередной показатель того, насколько быстро применяются обновления. При этом роутеры MikroTik обычно используются IT персоналом небольших компаний или энтузиастами. Если у вас вдруг используется роутер данной фирмы, не забудьте его обновить.

https://thehackernews.com/2018/08/mikrotik-router-hacking.html

Уязвимость в CMS Drupal

Пришло время обновлений и для сайтов на открытой CMS Drupal. В новой версии исправлена уязвимость, позволяющая атакующему захватить контроль над сайтом. Уязвимость находится в стороннем компоненте под названием Symfony HttpFoundation, который используется в базовой части Drupal. Уязвимыми являются версии Drupal до 8.5.6.

Проблема связана с поддержкой устаревших особенностей протокола HTTP, которые позволяют переписать в запросе путь с помощью заголовков X-Original-URL или X-Rewrite-URL. Подобная проблема была найдена и во фреймворке Zend. Пока уязвимость не стали эксплуатировать, стоит обновиться.

https://thehackernews.com/2018/08/symfony-drupal-hack.html

Диффи-Хеллман

Сегодня я хотел бы вернуться к теме шифрования. Как вы помните, а может быть и не помните, для передачи больших объемов данных используется симметричное шифрование. Симметричным оно называется потому, что и шифрование и расшифровывание выполняются с помощью одного и того же ключа.

Алиса, Боб и Ева

Допустим есть Алиса и Боб. Они хотят обмениваться друг с другом сообщениями. Но злое правительство их страны запретило мессенджеры с шифрованием, поэтому их сообщения может подсмотреть Ева. Понятно, что нужно шифровать передаваемые сообщения. Но чтобы это сделать, нужно выбрать ключ шифрования, который будут знать только они и никто другой. Проблема состоит в том, что просто передать ключ в сообщении нельзя, потому что его увидит также и Ева.

Один из вариантов - встретиться, выбрать ключ, а потом использовать его для безопасной передачи данных. Но такой вариант не совсем удобен. А иногда и почти невозможен.

Необратимость

На помощь приходит алгоритм Диффи-Хеллмана. Он опирается на математические операции, которые очень трудно обратить. Другими словами, если имеется два компонента, то провести вычисление и получить результат легко. А зная результат и один из компонентов, получить второй компонент сложно.

Ассоциативность

Другая особенность используемых алгоритмом операций состоит в том, что нет разницы, в какой последовательности применяются операции. Можно сначала провести операцию над первым и вторым компонентом, а потом над результатом операции и третьим компонентом. А можно сначала провести операцию над вторым и третьим элементом, а потом над результатом и первым элементом. В математике это свойство называется ассоциативность. Например, операция сложения чисел является ассоциативной.

Ральф Меркл (Ralph Merkle) и Уитфилд Диффи (Whitfield Diffie) и Мартин Хеллман (Martin Hellman)

Упрощенно алгоритм выглядит следующим образом.

  1. Алиса и Боб выбирают общий компонент. Назовем его О. Он не является секретом и его можно передавать в открытом виде.

  2. Алиса и Боб выбирают каждый для себя секретный компонент. Пусть у Алисы он будет называться А, а у Боба - Б.

  3. Далее каждый из них производит вычисление над общим компонентом и своим секретом. Результат посылается собеседнику.Он также не является секретом. Из-за использования необратимой операции, даже зная результат и общий компонент, вычислить секретный компонент невозможно за разумное время.

  4. На последнем этапе каждый из собеседников производит вычисления над своим секретом и полученным от собеседника результатом.

В итоге каждая из сторон имеет результат вычислений, в которых были задействованы оба секрета А и Б и общий компонент О. При этом в открытом виде ни один из секретов не передавался. Передавались общий компонент и результаты промежуточных вычислений. Поэтому у Евы нет возможности вычислить конечный общий секрет и расшифровать зашифрованные сообщения.

Заключение

Как видите ничего сверхъестественного. На самом деле, конечно, алгоритм немного сложнее. Но обобщив и опустив некоторые детали можно разобраться практически со всем. Главное найти правильный подход.

На сегодня все. Ставьте перед собой цели и достигайте их. До следующей недели.