برچسب: امنیت

خلاصه مدیریتی:‌ بازم من چند ساعتی از کامپیوترم فاصله گرفتم و جهان به دست نااهلان افتاد! یک مشکل امنیتی توی لینوکس‌ نشون داده شده که می‌تونه باید ارتقای دسترسی افرادی بشه که روی یک سرور اکانت دارن، به اسم مشکل امنیتی می‌گن «گاو کثیف» یا درست‌تر از اون Dirty Cow. راه حل؟ آپدیت کردن لینوکستون به طور صد در صد این مشکل رو حل می‌کنه.

اسم از کجا اومده و این باگ چه می‌کنه

اسم رسمی این مشکل امنیتی هست CVE-2016-5195 ولی از اونجایی که ماجرا مرتبط می‌شه به یک وضعیت رقابتی در شیوه هندل شدن copy on write (یا همون COW) در کرنل لینوکس، بهش گاو کثیف می‌گیم. این شرایط رقابتی باعث می‌شه یک کاربر معمولی بتونه به بخش‌هایی از حافظه که قرار بود غیرقابل نوشتن باشه دسترسی رایت پیدا کنه و در نتیجه بتونه دسترسی خودش رو افزایش بده باگ رو در باگزیلای ردهت ببینین.

آیا لینوکس من هم این مشکل رو داره

بله. تمام لینوکس‌هایی که‌ آپدیت نشده باشن این مشکل رو دارن. هر لینوکسی باید به شکل مطلق و به سرعت آپدیت بشه. در صورتی که کرنل‌های شما قدیمی‌تر از این کرنل‌ها هستن، شما هم این باگ رو دارین:

3.16.36-1+deb8u2 for Debian 8
3.2.82-1 for Debian 7
4.7.8-1 for Debian unstable
4.8.0-26.28 for Ubuntu 16.10
4.4.0-45.66 for Ubuntu 16.04 LTS
3.13.0-100.147 for Ubuntu 14.04 LTS
3.2.0-113.155 for Ubuntu 12.04 LTS

چجوری حلش کنم؟

به سادگی. در هر توزیع مرسوم لینوکس که هستین، یک آپدیت و بعد لود کردن کرنل جدید (ریبوت) میتونه شما رو در مقابل این باگ حفاظت کنه.

کی این رو کشف کرده و آیا لینوکس ناامنه؟

این باگ توسط فیل اوستر کشف و گزارش شده. لینوکس در این لحظه از این نظر ناامن نیست چون یک آپدیت مشکل رو حل می‌کنه. لینوکس قبل از این آپدیت از این نظر ناامن بوده. هر سیستم عاملی در هر لحظه به دلایل مختلف ناامن است و فقط نکته اینه که این ناامنی‌ها در چه لحظه ای گزارش می‌شن و در چه لحظه ای حل می‌شن. خوبی لینوکس اینه که این چنین مشکلاتی رو تقریبا در زمان گزارش حل می‌کنن و با یک آپدیت همه در مقابلش مصون می‌شن ولی تا وقتی از نرم افزار استفاده می‌کنیم، شاهد چنین چیزهایی در تمام سیستم عامل‌ها خواهیم بود.

اطلاعات بیشتر رو از کجا به دست بیارم

اینجا

و آپدیت یادتون نره!

خبر چند وقت پیش رو حتما یادتونه. یک آیفون که باید آنلاک می‌شد تا در مورد یک جنایت اطلاعاتی به دست بیاد و اپل که درخواست دولت رو برای کمک رد کرد و گفت همکاری نمی کنه چون به اینکار امنیت مشتریانش رو به خطر می‌ندازه و در نهایت اف بی آی که ۱.۳ میلیون دلار خرج کرد تا یک گروه اینکار رو براش بکنن. حالا یک محقق امنیت در دانشگاه کمبریج راه بسیار ارزانتری رو برای باز کردن این قفل نشون داده؛ راهی با هزینه حدود ۱۰۰ دلار و با استفاده از وسایل موجود در بازار!

سرگئی سکورباگاتوو توی این مقاله‌اش جزییات باز کردن لاک آیفون رو تشریح کرده. روشی که می‌تونست به اف بی آی کمک کنه که با هزینه‌ای بسیار کم رمز آیفون ۵سی رو باز کنن.

این تکنیک که نند میرورینگ (NAND Mirroring)‌ نام داره قبلا هم به اف بی آی معرفی شده بود ولی اونها باور نکرده بودن که واقعا بشه باهاش رمز رو پیدا کرد و مدیر اف بی آی صریحا گفته بود که «این روش کار نمی‌کنه». نند میرورینگ نیازی به مکانیزم چندان پیشرفته‌ای نداره و به گفته نویسنده مقاله، وسایل مورد نیازش رو می‌شه از بازار خرید. توی تست سکورباگاتوو نشون می‌ده که چطوری یک آیفون ۵سی با آی او اس ۹.۳ روش در حال اجرا است رو باز می‌کنه و با جدا کردن حافظه نند از مدار تلفن،‌ اطلاعات اون رو روی یک مدار آزمایشگاهی کپی می‌کنه و اینکار چطور به سادگی قابل انجام در گوشی‌های مختلف است.

در مرحله دوم این محقق با اجرای یک برنامه روی دیتای به دست اومده، سعی می‌کنه پسورد رو حدس بزنه. روش بروت فورس (حدس زدن کور پسوردها) تونست در حدود ۲۰ ساعت پسورد چهار رقمی رو به دست بیاره و با محاسبه‌ای مشابه برای به دست آوردن یک پسورد ۶ رقمی، به حداکثر حدود ۳ هفته زمان نیاز بود. بخشی از مقاله می‌گه:

این اولین نمونه عمومی از پروسه میرور سخت افزاری برای آیفون ۵سی است. هر مهاجمی می‌تواند با دانش کافی فنی، این پروسه را تکرار کند.

هنوز اف بی آی (که ۱.۳ میلیون دلار از مالیات مردم رو صرف این رمز شکستن کرده بود)‌ و اپل هیچکدوم در مورد این مقاله و نمایش نظری ندادن و گفته می‌شه که این مکانیزم روی آیفون ۵ اس و تمام آیفون‌های ۶ که نند مشابه استفاده می‌کنند هم کار می‌کنه. در ضمن اجرای اون با حافظه‌های نند آیفون‌های دیگه نباید مشکل خاصی داشته باشه.

منبع

چندین نفر از دوستان من از هاست ایران ایمیلی به این شکل گرفتن:

من تقریبا سه سال پیش یکبار از هاست ایران استفاده کردم و شرکت‌ها معمولا وقتی بعد از سه سال با این استرس پسوردها رو عوض می کنن که به شکلی جدی از امنیت پسوردهای قبلی‌شون مطمئن نباشن، مثلا در موردی مثل هک اخیر دراپ باکس. حالا اشکال اینجاست که من منی دونم اون پسورد که در هاست ایران استفاده کرده بودم رو همه جا باید عوض کنم یا نه. باید ۱- بگن که مشکلشون در چه حدی بوده که اینجوری ایمیل زدن و ۲- من باید بتونم بفهمم پسوردم در اون زمان چی بوده که جای دیگه استفاده اش نکنم.

حالا مستقل از اینکه واقعا چه اتفاقی افتاده و این تجربه بد که هاست ایران با من شفاف نبوده، اشکال اختصاص دادن پسورد جدید این شکلی به آدم‌ها اینه که من که نمی‌تونم این پسورد رو حفظ کنم و مجبورم جایی اونو بنویسم (حداقل اینکه کپی اش کنم). این انتخاب خوبی نیست. این روزها می گن داشتن یک پسورد غیرقابل حفظ کردن فقط برای کسایی مناسبه که از یک برنامه خوب مدیریت پسورد استفاده می کنن. این ترکیب رندم به هیچ دردی نمی خوره چون من نمی تونم یادش بگیرم و باید برم عوضش کنم سریعا!

و وقتی می گم «باید عوضش کنم» مشکل بعدی خودنمایی می کنه: هیچ شرکت درست و حسابی هیچ وقت نباید پسوردهاش رو به شکل متنی ذخیره کنه، منتقل کنه، دست به دست کنه یا توی ایمیل برای کسی بفرسته. اگر به پشت این مکانیزم نگاه کنیم، جایی برنامه ای عبارتی اتفاقی تولید کرده که هم به عنوان پسورد من ذخیره شده هم ایمیل شده! در واقع یعنی کلی سیستم میانی الان پسورد من رو دیدن و بهش دست زدن (: مکانیزم صحیح باید این می بود که ایمیلی برای من بیاد که توش بگه «به دلایل فلان و فلان که صادقانه بهتون می گیم لطفا پسوردتون رو از طریق لینک زیر تغییر بدین» و اگر می‌خواستن دیگه مثل این مورد جوری رفتار کنن انگار پسوردهای قبلی جایی روی اینترنت آپلود شده، می‌شد بگن «لطفا با مراجعه به این لینک پسورد جدید رو ست کنین. در صورتی که اینکار انجام نشه، در اولین لاگین بعدی باید احراز هویت بشین و پسورد ست بشه». در این پروسه درست می‌بود که پسورد قبلی من هم ازم خواسته بشه تا هم یک لایه اطمینان بیشتری در احراز هویت ایجاد بشه و هم من بدونم پسوردی که اینجا بوده چی بوده؛ شوخی نیست؛ اون پسورد و ایمیل الان از نظر من امن نیستن.

اوه.. و بعد از اینکه روی لینکی که داده بودن کلیک کردم و یوزر نیم پسوردی که با من (و بقیه اینترنت و سیستم‌های داخلی شون شر شده بود) بود رو وارد کردم، این صفحه اومد:

و مطمئن شدم که هاست ایران در برخورد با این شرایط، از سطح انتظارم پایینتر بوده.

این هفته یک خبر توی دنیای امنیت خیلی پر و سر و صدا بود:

دراپ باکس توی یک ایمیل به آدم‌ها اعلام کرد که اگر پسوردشون به ۲۰۱۲ برمی‌گرده، لازمه اون رو ریست کنن.

سایت مادربرد اعلام کرده بود که در جوامع رد و بدل دیتابیس فایلی به اندازه ۵ گیگابایت قابل خرید است که تایید شده اکانت و پسوردهای هش شده ۶۸ میلیون و ۶۸۰ هزار و ۷۴۱ کاربر دراپ باکس از سال ۲۰۱۲ است.

در مورد امنیت و اصل مساله زیاد حرف زده شده؛ حالا درست یا غلط ولی نکته جالب اینجاست که:

۱- خود دراپ باکس به یوزرها ایمیل زده و مساله رو اعلام کرده
۲- در جواب خبرنگارهای مختلف پاسخگو بوده، مثلا وقتی آرس ازش پرسیده چند اکانت این مشکل رو داشتن گفته بیشتر از ۶۰ میلیون اکانت.

سوال جالب اینه که «چرا پاسخگویی؟». آیا دراپ باکس نمی‌تونست مثل دوستان بگه «هیچ مشکلی هم نیست» یا اصولا سایتی که مشکل رو اعلام کرده رو فیلتر کنه؟ یا با مشت بزنه تو دهن خبرنگار یا .. ؟

مساله اینه که هر کس اگر به خودش فکر کنه و فقط خودش رو در نظر بگیره، در لحظه دوست داره «کار بد» رو بکنه چون در اون لحظه به نظر می‌رسه از شرایط سخت نجاتش می‌ده یا براش منفعت داره. ولی جامعه بالغ جامعه ای است که درک می کنه اگر همه شروع کنن به کردن «کار بد» (مثلا خفه کردن منتقد)، در نهایت جامعه بسیار بدتری ساخته می شه که توش دزدی‌های میلیاردی و رشوه و رانت و فساد فقط وسیله گروکشی قدرت‌مندها از یکدیگه است و خبر یکی دو روز آدم‌ها. چنین جامعه ای چیزی نیست که آدم سالم بخواد توش زندگی کنه و اکثریت توش سعی می کنن مهاجرت کنن یه جای دیگه.

اگر دراپ باکس فکر می کنه باید پاسخگو باشه یا اگر اف.بی.آی. فکر می کنه لازمه در مورد اینکه احتمالا هکرهای روسی به دیتابیس رای دهنده‌های آمریکایی دسترسی پیدا کردن اطلاعیه بده و موارد مشابه دلیلش اینه که اون جوامع درک می‌کنن اگر قراره پیشرفت کنن باید شفافیت داشته باشن و اگر قراره دروغ نشنون باید خودشون هم دروغ نگن.

راستش این بحث خیلی مفصله و می شه کلی مثال زد که دیگه اینجا جاش نیست ولی فشرده‌اش اینه:

سعی می کنن به ما یاد بدن که رفتار بد، اشکالش اینه که خدا دوستش نداره و خب می بینیم که جامعه ما به کجا رسیده. در یک جامعه سالم و در جوامع پیشرفته اما درک کردن که رفتار بد به این دلیل ناشایست است که اگر من انجامش بدم، دیگران هم تشوق می شن به انجامش و در نتیجه وقتی همه رفتار بد رو انجام بدن جامعه دیگه به پیش نمی ره و به ضرر همگی تموم می شه. مثل خودرویی که قراره هلش بدیم و اگر هر کس با خودش فکر کنه «خب من هل ندم که خسته نشم» اصولا اون خودرو حرکت نخواهد کرد و هیچ کس به مقصودش نخواهد رسید.

اگر دراپ باکس اخبار هک رو منتشر می کنه و اگر دولت آمریکا خبر می ده که روس ها به زیرساخت‌های هاش دسترسی پیدا کردن، دلیلش اینه که نمی خوان فردا شهردارشون زمین بدزده یا نماینده شون با مشت بزنه تو صورت یکی یا قرار بشه دزدی هزار میلیاردی کش پیدا نکنه. در واقع پایه اخلاق باید جامعه و توافق عمومی روی اخلاقی باشه که قوانین رو می سازن و درک اینکه اگر من کمی سختی بکشم، کلیت پیشرفت خواهد کرد و من سختی کشیده در کلیت پیشرفته وضع خیلی بهتری دارم از من سودجو در کلیت عقب مونده.

هفته گذشته یک خبر عجیب داشت. گروه دی شدو بروکرز اعلام کردن که بخشی از «تسلیحات سایبری» سازمان سازمان امنیت ملی آمریکا رو به دست آوردن که بخشی از اونها هنوز هم روی زیرساخت‌های مهم اینترنت کار می کنن و اونها رو به خریداری که تا فلان تاریخ بشیترین بیت‌کوین رو براشون بفرسته می‌فروشن یا در اقدامی عجیبتر اگر ۱ میلیون بیت‌کوین بگیرن، اطلاعات رو عمومی منتشر خواهند کرد.

این شیوه عجیب اعلام و فروش و انگلیسی دست و پا شکسته اطلاعیه اصلی، شک‌های زیادی درست کرد. در واقع اگر شما ۱۰۰۰ بیت کوین به این گروه هکری می‌دادین و یکی دیگه ۱۵۰۰ تا، دومی برنده می‌شد و فایل‌ها رو می‌گرفت و شما کل پول رو از دست می‌دادین! از اونطرف ۱ میلیون بیت‌کوین درخواست شده، یعنی تقریبا ۶ درصد کل بیت‌کوین‌های در حال گردش در کل جهان. بررسی حساب‌های اعلام شده نشون می‌ده که تا به حال رقم واریزی بیشتر از ۲۰ بیت‌کوین هم نبوده. اما وضع احتمالا تغییر خواهد کرد.

اینترسپت جمعه مطلبی رو منتشر کرده که طبق اسناد اسنودن تایید می‌کنه که ابزارهای نشون داده شده به احتمال خیلی زیاد واقعا بخشی از ابزارها و تسلیحات سایبری ان اس ای هستن. حداقل اسامی ابزارهایی مثل اکسترابیکن، اپیک بنانا و جت پیلو چیزهایی هستن که قبلا ازشون حرف زده شده و امکان حمله‌های موفق به برخی ابزارهای سیسکو رو دارن. همچنین در همین هفته سیسکو هم اشکال رو پذیرفته و تقریبا همه می‌تونیم مطمئن باشیم که ابزارها واقعا مربوط به ان اس ای هستن.

برای خوندن اینکه دقیقا اکسپلویت کشف شده چیه دنبال CVE-2016-6366 بگردین ولی نکته اصلی اینه که این زیرو دی خطرناک دست ان اس ای بوده بدون اینکه در موردش به سیسکو اطلاع داده بشه. همین اتفاق از طرف فایروال فورتینت که ایرانی‌ها هم ازش زیاد استفاده می‌کنن افتاده. فورتینت اعلام کرده یک مشکل امنیتی با درجه خطر بالا نسخه‌های قدیمی‌تر فایروال‌هاش رو تهدید می‌کنه. این باگ در بافر پارسر کوکی‌‌ای است که روی برد قرار گرفته و اجازه می‌ده یک حمله کننده بتونه با فرستادن یک درخواست HTTP دستکاری شده، کنترل دستگاه رو در دست بگیره. به احتمال زیاد در زمانی خیلی کوتاه اخبار مشابهی از جونیپر هم خواهیم شنید.

فعلا اینکه این گروه هکری به کجا وابسته است مشخص نیست اما چیزی که بسیار جالب شده، افشای دسترسی‌های گسترده ان اس ای به تجهیزات زیرساخت اینترنت و داشتن تسلیحات مبتنی بر زیرودی‌هایی است که نه فقط برای همگان اعلام نمی‌شن، که حتی به کارخونه سازنده هم خبر داده نشدن.

[منبع اصلی]

از دیروز که رویترز خبری با عنوان دسترسی هکرها به اکانت‌های تلگرام داخل ایران منتشر کرده و به عبارت «مشخص شدن شماره تلفن ۱۵ میلیون ایرانی» اشاره کرده، کلی جا هیجان زده هستن و خبرهایی با عنوان «هک پونزده میلیون اکانت تلگرام» می‌زنن اما در واقع اتفاق خاص یا جدیدی در جریان نیست.

خبر رویترز به دو مساله اشاره می‌کنه:

1. اکانت چند نفر خاص «هک» شده. احتمالا با تکنیکی که اصولا در کشورهایی مثل ما برای حکومت کاملا راحت و شدنی است. فرض کنین شما یک گوشی جدید خریدین و می‌خواین تلگرام رو روش فعال کنین. در این حالت درخواست می دین به تلگرام و یک اسمس برای شما می‌یاد که یک کد توشه که اگر اونو وارد کنین، تلگرام جدید فعال می شه و کپی همه مسیج های شما می ره توش. حالا فرض کنین من به شرکت مخابرات بگم اگر فلان اسمس برای فلانی اومد اسمس رو بهش نرسون و متنش رو بده به من (: به همین سادگی می تونم یک تلگرام که نصب کردم رو متصل کنم به اکانت شما. این مساله در مورد هر روش لاگین مبتنی بر اسمس صادقه و عجیب هم نیست. در واقع اون‌هایی که اینها رو درست می کنن ایده شون اینه که کسانی که دنبال سرقت هویت افراد هستن، به کل سیستم اینترنت و سیستم مخابراتی و اسمس‌های مردم دسترسی ندارن.
2. در قسمت دیگه مقاله اشاره شده که شماره تلفن و آی دی حدود ۱۵ میلیون ایرانی کشف شده. روشش بازم ساده است: یک شماره تلفن اتفاقی به کانتکت های خودتون اضافه کنین و بعد نگاه کنین تو لیست دوستان شما در تلگرام اسم و عکس اون آدم چیه و چه شکلیه. حالا فرض کنین یک کامپیوتر همینجوری پشت هم شماره تلفن اضافه کنه و چک کنه که آیا در کانتکت‌های تلگرام تغییری حاصل شده یا نه یا یک مرحله کارش رو راحتتر کنه و بررسی کنه که فلان شماره آیا در تلگرام اکانتی برمی‌گردونه یا نه و از این طریق فهرست تلفن (و در نتیجه اسم آدم) و اکانت‌های تلگرام رو به دست بیارن.

به همین سادگی و سر راستی. بخش بسیار عظیمی از اینترنت و پروتکل‌هاش با این فرض طراحی شدن که گردانندگان اینترنت آدم های صادقی هستن. این هک تلگرام درست مثل وضعیتی است که کشوری اعلام کنه تنها یک مرجع دولتی برای خرید قفل وجود داره و بعد خبر ببینین که «نفوذکنندگان تونستن وارد خونه فلانی بشن» (:

درسته که این خبرهای «هک» هیچ ربطی به پروتکل امنیت تلگرام نداره و چت‌های امن و غیره در این مورد افشا نشده ولی در کل برای افرادی مثل ما بهتره ایده شون این باشه که اگر توی یک کشور فقط اجازه دارین از دولت قفل بخرین، بهتره اصولا در این مورد که خونه تون امن است و قفلتون محکمه و اینها اصولا اعتقادی نداشته باشین و راحت زندگی کنین با این ایده که هر کس هر وقت خواست تو خونه سرک می کشه دیگه. البته در حالتی که نخواین کلا در خونه رو جوش بدین و راحت بشین (:

مرتبط
– قفل ها و اعتماد