Πέμπτη 30 Ιανουαρίου 2014

Η κλοπή ενός λογαριασμού στο twitter αξίας $50.000


Ο Naoki Hiroshima είναι ένας από τους παλιούς χρήστες του twitter. Τόσο παλιός που είχε καταφέρει και είχε γραφτεί με ένα username το οποίο περιείχε μόνο ένα γράμμα: το γράμμα Ν. Διάφοροι προσπάθησαν να αποκτήσουν τον λογαριασμό του, είτε προσφέροντάς του χρήματα—μέχρι και $50.000—είτε χρησιμοποιώντας κακόβουλες μεθόδους. Πρόσφατα κάποιος από την δεύτερη κατηγορία κατάφερε τελικά να του κλέψει τον λογαριασμό. Πως το κατάφερε όμως αυτό;

Ο Hiroshima χρησιμοποιούσε ως διεύθυνση email ένα domain όνομα το οποίο είχε καταχώρηση μόνος του από την υπηρεσία GoDaddy. Πως λειτουργεί ένα τέτοιο email; Ας υποθέσουμε πως το email του Hiroshima ήταν naoki@example.com (το email αυτό είναι φανταστικό και δεν υπάρχει). Για να φτάσει έναν mail σε αυτή την διεύθυνση, πρέπει πρώτα να μάθουμε που βρίσκεται (δηλ. την IP δεύθυνση) ο mail server που εξυπηρετεί το example.com. Για να το μάθουμε αυτό χρησιμοποιούμε το σύστημα DNS, ένα σύστημα το οποίο μεταφράζει ονόματα domains (όπως το example.com) σε IP διευθύνσεις. Πώς όμως το DNS ξέρει που βρίσκεται αυτό το domain; Αυτό που συμβαίνει είναι πως το GoDaddy έχει ενημερώσει το DNS σύστημα με την διεύθυνση ενός server o οποίος ξέρει να απαντάει στο που είναι αυτό το domain. Αυτός ο server είναι ο domain server για το example.com. Άρα για να μάθουμε την IP διεύθυνση που αντιστοιχεί στο example.com ρωτάμε το DNS σύστημα, αυτό μας επιστρέφει τον domain server και ο τελευταίος μας λέει την IP διεύθυνση που χρειαζόμαστε.

Ο χρήστης λοιπόν που έκλεψε τον λογαριασμό του Hiroshima στο twitter το κατάφερε ως εξής. Αρχικά τηλεφώνησε στο PayPal, και προσποιούμενος πως είναι ένας μηχανικός της εταιρείας κατάφερε και έμαθα τα τελευταία 4 ψηφία της πιστωτικής κάρτας του Hiroshima. Στην συνέχεια τηλεφώνησε στην GoDaddy. Η GoDaddy επιτρέπει στους χρήστες να αλλάξουν τον κωδικό τους μέσω τηλεφώνου, αρκεί να ξέρουν τα 6 τελευταία ψηφία της πιστωτική κάρτας που έχουν χρησιμοποιήσει για την αγορά του domain ονόματος. Ο χρήστης αυτός λοιπόν προσποιήθηκε τον Hirosima, και γνωρίζοντας τα 4 τελευταία ψηφία της πιστωτικής του κάρτας μάντεψε τα άλλα 2. Είχε πλέον λοιπόν τους κωδικούς του Hirosima στο GoDaddy. Στην συνέχεια άλλαξε τις ρυθμίσεις του domain ονόματος του Hiroshima και όρισε ως domain server ένα μηχάνημα το οποίο έλεγχε αυτός. Τα πράγματα ήταν πλέον πανεύκολα, ο κακόβουλος χρήστης μπορούσε να παίρνει όλα τα mails που Hiroshima. Το επόμενο βήμα ήταν απλά να κάνει ένα reset τον κωδικό του Hiroshima στο twitter. Η αλλαγή όμως του domain server δεν εφαρμόζεται αμέσως. Ο Hiroshima στο ενδιάμεσο αντιλήφθηκε πως  κάτι είχε συμβεί με το GoDaddy και πρόλαβε και άλλαξε την email διεύθυνση του στο twitter. Δεν πρόλαβε όμως να κάνει το ίδιο και με το facebook. O κακόβουλος χρήστης πλέον έλεγχε το facebook του Hiroshima και τον λογαριασμό του στο GoDaddy. Επικοινώνησε λοιπόν με τον Hiroshima και του ζήτησε να απελευθερώσει το username N για να πάρει πίσω τους κωδικούς του, και έτσι και έγινε.

Ο Hiroshima δεν θα είχε πέσει θύμα αυτής της επίθεσης αν είχε χρησιμοποιήσει ως email στο twitter κάποιο email που παρέχει μια μεγάλη εταιρεία π.χ. gmail. Ο πραγματικά όμως αδύναμος κρίκος σε αυτή την ιστορία ήταν οι υπάλληλοι του PayPal και της GoDaddy, και αυτό που πρέπει να κρατήσουμε είναι πως δεν πρέπει να υποτιμάμε ποτέ τον ανθρώπινο παράγοντα.
Αναρτήθηκε από στις Δεν υπάρχουν σχόλια:
Ετικέτες ,

Δευτέρα 20 Ιανουαρίου 2014

Από το έξυπνο σπίτι στο... πονηρό σπίτι

Πριν λίγο καιρό μιλούσαμε για το κενό ασφαλείας που βρέθηκε σε μια έξυπνη λεκάνη. Το κενό αυτό, στην χειρότερη περίπτωση, δημιουργούσε κάποιες δυσάρεστες καταστάσεις στους ιδιοκτήτες της επίμαχης λεκάνης. Τα πράγματα όμως δυστυχώς από τότε έχουν σοβαρέψει.

Στις 16 Ιανουαρίου, η εταιρεία Proofprint εξέδωσε μια περίεργη ανακοίνωση1. Η ανακοίνωση αποκάλυπτε την ύπαρξη ενός κακόβουλου δικτύου το οποίο την περίοδο 23 Δεκεμβρίου και 6 Ιανουαρίου έστειλε πάνω από 750.000 spam μηνύματα, με στόχο απλούς χρήστες αλλά και επιχειρήσεις. Το περίεργο με αυτό το δίκτυο ήταν πως αποτελούνταν κατά 25% από συσκευές όπως οικιακοί routers, media centers, έξυπνες τηλεοράσεις και τουλάχιστον ένα... ψυγείο.

Οι έξυπνες συσκευές έχουν γίνει πλέον ένας από τους αγαπημένους στόχους ασφαλείας. Ένας από τους λόγους είναι πως στο λογισμικό τους δεν υπάρχει η έννοια της διαστρωμάτωσης των δικαιωμάτων, έτσι συνήθως  ένα κενό ασφαλείας δίνει πλήρη πρόσβαση σε όλες τις λειτουργίες της συσκευής.

Το καλοκαίρι του 2013 στο συνέδριο Blackhat, δυο ερευνητές ασφαλείας, ο Josh Yavor και ο Aaron Grataffiori έδειξαν πώς μια Samsung Smart TV μπορεί να χρησιμοποιηθεί ως εργαλείο παρακολούθησης2. Η επίθεση τους ήταν πάρα πολύ απλή: η εφαρμογή για το skype (που είχε αναπτύξει η Samsung) δεν διάβαζε σωστά τα μηνύματα που έβαζαν οι χρήστες στο status τους, έτσι κάποιος μπορούσε να βάλει σαν status κώδικα javascript, ο οποίος εκτελούνταν από οποιαδήποτε τηλεόραση τύχαινε να έχει τον εν λόγω χρήστη στις επαφές του skype. Ο κώδικα αυτός javascript κατέβαζε ένα αρχείο, το οποίο άνοιγε την ενσωματωμένη κάμερα και μικρόφωνο της τηλεόρασης και μετέδιδε την εικόνα και τον ήχο σε κάποιον τρίτο.
H παρουσίαση των Yavor και Grataffior στο Blackhat 2013

Φαίνεται λοιπόν πως όσο πιο έξυπνο γίνεται το σπίτι μας, τόσο πιο πολλοί οι κίνδυνοι για την διαδικτυακή μας ασφάλεια.

Παραπομπές

  1. Proofpoint, "Proofpoint Uncovers Internet of Things (IoT) Cyberattack", 16 Ιαν. 2014, [online] Τελευταία πρόσβαση 20 Ιαν. 2014
  2. J. Yavor, A. Grataffior"The Outer Limits: Hacking the Samsung Smart TV", Black Hat 2013
Αναρτήθηκε από στις Δεν υπάρχουν σχόλια:
Ετικέτες

Δευτέρα 6 Ιανουαρίου 2014

Η (όχι και τόσο τυχαία) ιστορία μιας γεννήτριας τυχαίων αριθμών

Σχεδόν κάθε αλγόριθμος κρυπτογράφησης και σχεδόν κάθε πρωτόκολλο ασφαλείας περιλαμβάνει ένα απλό βήμα "επιλέγουμε έναν τυχαίο αριθμό". Αυτό το βήμα όσο απλό και αν ακούγεται έχει αποτελέσει την Αχίλλειο φτέρνα πολλών συστημάτων και ο λόγος είναι απλός: είναι πολύ δύσκολο να παράγουμε πραγματικά τυχαίους αριθμούς.

Το 2005 ο αμερικάνικος οργανισμός πιστοποίησης NIST  δημοσίευσε μια σειρά από αλγόριθμους δημιουργίας τυχαίων αριθμών. Ένας από αυτούς, ο αλγόριθμος με την ονομασία Dual Elliptic Curve Deterministic Random Bit Generator (Dual_EC_DRBG), προξένησε πολλές εντυπώσεις. Ο αλγόριθμος αυτός βασίζεται στις ελλειπτικές καμπύλες και είχε δημιουργηθεί μερικά χρόνια πριν μετά από συνεργασία του NIST και της εθνικής υπηρεσίας ασφαλείας (NSA). Ο Dual_EC_DRBG είναι ιδιαίτερα αργός, η δημοσίευση του δεν συμπεριλάμβανε κάποια απόδειξη για την ασφάλεια του (δηλ. ότι οι αριθμοί που παράγει είναι πραγματικά τυχαίοι) και για την περιγραφή του είχαν χρησιμοποιηθεί κάποια "περίεργα" μαθηματικά.

To 2006 δυο ξεχωριστές εργασίες, η μία1 από τον καθηγητή του τμήματος μαθηματικών του Νορβηγικού πανεπιστημίου NTΝU Kristian Gjøsteen και η άλλη2 των καθηγητών του τμήματος μαθηματικών του Ολλανδικού TU Eindhoven Berry Schoenmakers και Andrey Sidorenko έδειξαν πως οι αριθμοί που παράγει ο Dual_EC_DRBG δεν είναι απολύτως τυχαίοι, για την ακρίβεια δεδομένου ενός αριθμού, κάποιος μπορεί να προβλέψει τον επόμενο με πιθανότητα 0,1%. Μπορεί η πιθανότητα αυτή να φαίνεται πολύ μικρή, δεν είναι όμως μια αποδεκτή τιμή: ακόμη και μια τόσο μικρή πιθανότητα μπορεί να οδηγήσει στην κατάρρευση ενός συστήματος ασφαλείας. Οι δύο αυτές εργασίες δημιούργησαν τις πρώτες υποψίες ότι κάτι δεν πάει καλά με τον Dual_EC_DRBG.

Το 2007 οι ερευνητές της Microsoft Dan Shumow και Niels Ferguso με μια ανεπίσημη παρουσίαση3 τους στο συνέδριο Crypto 2007 τάραξαν για τα καλά τα νερά. Αυτό που έδειξαν ήταν ότι ο Dual_EC_DRBG είχε πιθανώς μια καλά κρυμμένη πίσω πόρτα. Ο Dual_EC_DRBG βασίζεται σε κάποιες μεταβλητές με προκαθορισμένες τιμές. Οι τιμές που έχουν επιλεχθεί για αυτές τις μεταβλητές δεν έχουν (ακόμη και σήμερα) ποτέ δικαιολογηθεί. Οι 2 ερευνητές έδειξαν λοιπόν πως αυτές οι μεταβλητές μπορούν να συσχετισθούν με ένα μικρό σύνολο από μυστικούς αριθμούς (μυστικοί με την έννοια πως είναι υπολογιστικά ανέφικτο να βρεθούν). Αν κάποιος γνωρίζει αυτό το σύνολο των μυστικών αριθμών μπορεί παρατηρώντας ελάχιστα αποτελέσματα του Dual_EC_DRBG να υπολογίσει εύκολα όλα τα επόμενα αποτελέσματα. Το ερώτημα είναι ποιος θα μπορούσε να ξέρει αυτό το σύνολο των μυστικών αριθμών; Η απάντηση είναι αυτοί που επέλεξαν τις προεπιλεγμένες τιμές για τις μεταβλητές που χρησιμοποιεί ο Dual_EC_DRBG, δηλαδή η NSA!

Παρ' όλες αυτές τις ανακαλύψεις, ο Dual_EC_DRBG περιλαμβάνεται—μυστηριωδώς—στους αλγορίθμους που υποστηρίζει η πιο διαδεδομένη βιβλιοθήκη κρυπτογραφίας: το OpenSSL.

Πριν μερικές μέρες,όλες οι υποψίες επιβεβαιώθηκαν όταν το Reuteurs αποκάλυψε4 πως η NSA δωροδόκησε με $10 εκατομμύρια έναν κολοσσό στον χώρο της ασφάλειας, την εταιρεία RSA, για  να χρησιμοποιεί ως προεπιλογή τον αλγόριθμο Dual_EC_DRBG στο δημοφιλές προϊόν της BSAFE. Η αποκάλυψη αυτή έγινε λίγους μήνες πριν από ένα από τα μεγαλύτερα συνέδρια ασφαλείας που διοργανώνεται από την εν λόγω εταιρεία, το RSA Conference, οδηγώντας πολλούς να ακυρώσουν την συμμετοχή τους, ακόμη και τις παρουσιάσεις τους.

Παραπομπές

  1. K. Gjøsteen, "Comments on Dual-EC-DRBG/NIST SP 800-90", 2005, [Online], τελευταία πρόσβαση 7 Ιαν. 2014
  2. B. Schoenmakers, A. Sidorenko, Cryptanalysis of the Dual Elliptic Curve Pseudorandom Generator", 2006, [Online], τελευταία πρόσβαση 7 Ιαν. 2014
  3. D. Shumow, Ν. Ferguson, "On the Possibility of a Back Door in the NIST SP800-90 Dual Ec Prng", Crypto 2007, 2007, [Online], τελευταία πρόσβαση 7 Ιαν. 2014
  4. J. Menn, "Exclusive: Secret contract tied NSA and security industry pioneer", Reuteurs, 20 Δεκ. 2013 [Online], τελευταία πρόσβαση 7 Ιαν. 2014


Αναρτήθηκε από στις Δεν υπάρχουν σχόλια:
Ετικέτες , ,
Εγγραφή σε: Αναρτήσεις (Atom)