Transkrypcja i źródła
Próżnoś e-maila się spodziewał
Nie dam ci kodu ani hasła
Gmailem nie wyślę poufnego mesga
Bo to mezalians byłby dla RSA.
Witam w 15. pod względem numeracji odcinku cyklicznej audycji random:press. W ten deszczowy, czerwcowy wieczór posłuchamy sobie o:
- atakach inwigilacyjnych wymierzonych w popularne przeglądarki,
- firewallu nftables,
- systemie kontroli wersji Git,
- antywirusowej poradzie Samsunga,
- dwuskładnikowym uwierzytelnianiu Google’a,
- trybie poufnym Gmaila i reakcji serwisu ProtonMail.
Zanim zaczniemy zgłębiać przygotowane tematy warto dodać, że od tygodnia materiały zgrupowane w kanale random:stream (czyli m.in. random:press) dostępne są w nowym nośniku, a mianowicie w usłudze Google Podcasts. Odnośnik subskrypcyjny można odnaleźć wśród ikonek umieszczonych pod odtwarzaczem – po prawej stronie w kierunku jazdy. :-) Zapraszam też do subskrybowania kanału RSS – zarówno podcastu, jak i całej witryny randomseed.pl, a tych, którzy lubią sieci społecznościowe do odwiedzenia strony na Facebooku.
No więc zaczynamy z cotygodniową porcją bugów, podatności i ciekawostek.
2.10
„JavaScript Template Attacks: Automatically Inferring Host Information for Targeted Exploits”, NDSS Symposium
Grupa badaczy bezpieczeństwa z Uniwersytetu w Grazu na sympozjum NDSS pochwaliła się skutecznymi atakami wymierzonymi w – uwaga: Firefoksa, Chrome’a, Edge’a i mobilnego Tor Browsera. Znalezione podatności pozwoliły na ujawnienie m.in. systemu operacyjnego, architektury procesora, modeli wtyczek mających zapewniać prywatność, a także wersji browsera.
Naukowcy opracowali zestaw zautomatyzowanych testów, których celem jest wykrywanie subtelnych różnic w zachowaniu przeglądarek – różnic wynikających ze środowisk operacyjnych, w jakich są one uruchamiane. Przypomina to trochę znane narzędzia sieciowe, takie jak np. nmap, które dokonują tzw. fingerprintingu zdalnej stacji, sondując parametry pakietów sieciowych i na tej podstawie ustalając z jakim stosem TCP/IP mają do czynienia.
Metoda polega tu na skorzystaniu z silnika JavaScript i uruchomieniu zestawu operacji, których rezultaty różnią się między systemami operacyjnymi, wersjami przeglądarek i użytkowanymi plug-inami zwiększającymi prywatność. Na podstawie próbnych danych tworzone są bazy, zwane przez badaczy szablonami, które następnie używane są do tego, aby porównywać z nimi rezultaty próbkowania. Analizowana jest m.in. struktura obiektów w modelu DOM, włączając ich typy, obecne w implementacji JavaScriptu metody związane z właściwościami obiektów, łańcuchy prototypowania (coś jak hierarchia klas w językach zorientowanych typowo obiektowo), a nawet prędkości parsowania dla danych różnych rodzajów.
W starciu z zaproponowaną metodyką ataków najlepiej poradził sobie Tor Browser, którego celem jest integracja z siecią anonimizującą Tor i maksymalna ochrona tożsamościowej prywatności użytkownika. Jednak nawet tu znaleziono słabe punkty. Jednym z nich jest np. domyślny rozmiar okna przeglądarki. Poza tym, bazujący na Firefoksie Tor Browser różni się od niego ponad 3 tysiącami domślnych wartości pewnych właściwości obiektów dostępnych w JavaScripcie.
Warto zastanowić się, w jaki sposób tego rodzaju ataki mogą szkodzić użytkownikom? Po pierwsze mogą ułatwiać ich śledzenie przez odgadywanie, czy dany użytkownik powraca do serwisu – szczególnie tam, gdzie nie ma zbyt dużej puli odwiedzających. W tym kontekście ataki template’owe będą osłabiały mechanizmy oddzielające tożsamość od działań użytkownika w sieci. Przypominają nieco pod tym względem mechanizm zwany Supercookies, który wykorzystywał różne mechanizmy, aby w jakiś sposób nakłonić przeglądarkę do zapamiętania unikatowej wartości śledzącej, którą potem – gdy użytkownik ponownie odwiedza witrynę – można odczytać.
Jeszcze taka ciekawostka: poza wspomnianymi właściwościami środowiskowymi metody zaproponowane przez badaczy umożliwiają sprawdzenie, czy użytkownik korzysta z tzw. prywatnego trybu przeglądania – to dla tych, którzy chcieliby wykrywać, czy użytkownik ma interes w urkrywaniu swych działań podczas wchodzenia na stronę.
Poza identyfikacją specyficznych, powracających użytowników i danymi statystycznymi ataki tego typu mogą być też użyte przez potencjalnych intruzów do znajdowania punktów wejścia, a to dlatego, że pozwalają na wykrywanie wersji systemu operacyjnego, popularnych wtyczek będących w użyciu i architektury CPU. Takie techniczne informacje przydają się napastnikom w fazie rekosesansu.
6.10
„Nftables. Nowy firewall Linuksa”, random:seed
W serwisie random:seed pojawił się zrewitalizowany, czyli przeredagowany troszeczkę artykuł traktujący o nowej zaporze sieciowej systemu Linux. Nowej może nie tak bardzo, bo oficjalnie włączonej do źródeł kernela około roku 2014. Jest to materiał, który w roku 2015 opublikowałem na łamach serwisu BAD[SECTOR] i wtedy wszystko wskazywało na to, że nftables w ciągu kilku lat zastąpi iptables. Tak się jednak nie stało, a z różnych powodów administratorzy systemów i sieci, którzy mają do czynienia z GNU/Linuksem woleli pozostać przy znanym, chociaż mniej wydajnym mechanizmie.
Mimo wszystko warto sprawdzić na własnej skórze, czyli we własnym środowisku testowym, co potrafi nftables i jak się z tym firewallem „rozmawia”. Jest tu większa elastyczność, ponieważ reguły nie są już na sztywno strukturalizowane w znanych łańcuchach, ale wewnętrznie są mikro-programami realizowanymi przez umieszczoną w kernelu maszynę wirtualną. Również sama składnia wyrażeń, z którymi mamy do czynienia w działającej w przestrzeni użytkownika aplikacji sterującej, jest ciekawa i przypomina niektóre języki programowania. Mamy tam kilka dobrze znanych struktur danych (takich jak np. słowniki, mapy czy zbiory), a integracji z podsystemem Netfilter dokonuje się z użyciem tzw. podpięć, co przypomina trochę programowanie bazujące na zdarzeniach.
Osobiście trochę żałuję, że nftables nie upowszechnia się tak szybko, jak tego oczekiwano, a niewidzialne łzy rozczarowania kapią mi w wyobrażony talerz pocieszycielskich pierogów.
8.04
„System kontroli wersji Git, cz. 2. Wstęp do użytkowania”, random:seed
I kolejna autopromocja. W zeszłym tygodniu opublikowałem w serwisie random:seed kolejny odcinek poświęcony systemowi kontroli wersji Git. Wbrew brzmieniu nie chodzi o subkulturę więzienną, ale o coś bardzo przydatnego dla programistów, którzy chcą zapanować nad zmianami wprowadzanymi w swych bazach kodu źródłowego.
W drugiej części tutoriala dotykam praktycznych spraw, takich jak tworzenie repozytorium czy zatwierdzanie i wycofywanie zmian; omawiam też tzw. specyfikatory, dzięki którym można określać, o które konkretnie wydania nam chodzi, gdy narzędzia Git oczekują ich podania.
Zainteresowanych odsyłam do odsyłacza hipertekstowego, umieszczonego w transkrypcji tego odcinka.
8.52
„Samsung’s security reminder makes the case for not owning a Samsung smart TV”, The Verge
Niecodzienne wieści od Samsunga. W serwisie The Verge, w artykle zatytułowanym „Samsung’s security reminder makes the case for not owning a Samsung smart TV” możemy przeczytać, że firma ostrzegła użytkowników inteligentnych telewizorów, iż powinni od czasu do czasu dokonywać skanowania antywirusowego odbiorników, aby zapobiegać atakom. Informację taką wyłapali na Twitterze redaktorzy wspomnianego serwisu, a tweet pochodził z amerykańskiego oddziału pomocy technicznej Samsunga.
Autorów publikacji zastanawia, kto wpadł na taki rewelacyjny pomysł, ponieważ statystycznie użytkownicy telewizorów mają problemy nawet z włączaniem i wyłączaniem podstawowych funkcji, takich jak np. wygładzanie obrazu. Pada też pytanie, czy nie lepiej byłoby takie skanowanie przeprowadzać automatycznie.
W dalszej części materiału autor spekuluje, że mogło chodzić o jakieś zagrożenie. Nowe telewizory mają często wbudowane mikrofony, a w ich pamięciach można znaleźć np. dane kart płatniczych używanych do opłacania usług wideo na żądanie.
Warto wspomnieć, że 2 lata temu serwis WikiLeaks donosił o oprogramowaniu amerykańskiego wywiadu, nazwanemu Zawodzący Anioł, które mogło zamienić inteligentny telewizor Samsunga w urządzenie podsłuchowe.
10.19
„Google turns Android phones into 2FA keys for iOS login”, ITPro
Serwis ITPro podaje, że Google uśmiecha się do użytkowników swoich usług, którzy korzystają z apple’owego iOS-a. Chodzi tu o użytkujących iPhone’y czy iPady, aby logować się do serwisów Google’a. Uśmiech polega na tym, że tacy usługobiorcy mogą już korzystać z osobnych urządzeń z Androidem, żeby autoryzować się w procesie dwuskładnikowego uwierzytelniania.
Dwuskładnikowe uwierzytelnianie działa w ten sposób, że poza zapamiętanym sekretem, np. hasłem, użytkownik musi również udowodnić podczas autoryzowania się w usłudze, że jest w posiadaniu drugiego składnika, czegoś, co ma. Tym składnikiem może być kartka z kodami jednorazowego użytku, sprzętowy token, numer telefonu, na który wysłany zostanie SMS, czy właśnie odpowiednia aplikacja generująca kody lub otrzymująca jednorazowe komunikaty i wysyłająca potwierdzenia.
W tym konkretnym zastosowaniu urządzenie z Androidem będzie dodatkowo komunikowało się z systemem (np. komputera z uruchomioną przeglądarką) z użyciem protokołu Bluetooth. Po „wymianie uprzejmości” ze smartfonem, komputer wyśle odpowiednio poświadczony składnik autoryzujący do usługi, a użytkownik będzie mógł się zalogować.
11.46
„NSA Starts Contributing Low-Level Code to UEFI BIOS Alternative”, Tom’s Hardware
W serwisie Tom’s Hardware przeczytamy o tym, że amerykańska Agencja Bezpieczeństwa Narodowego (NSA) zaczęła organizować pracujących w niej programistów, których zadaniem będzie przyłączenie się do projektu Coreboot.
Coreboot, znany wcześniej pod nazwą LinuxBIOS, to projekt stworzenia oprogramowania układowego dla komputerów PC, który jest wolnym oprogramowaniem. Użytkownik może więc instalować go w dowolnym celu na dowolnych komputerach, analizować jak działa, pobierać i modyfikować kod źródłowy, a także dzielić się zmodyfikowaną bądź niezmodyfikowaną wersją z innymi, pod warunkiem zachowania tych samych warunków licencyjnych i informacji o autorstwie.
Informacja o tym, że agencja rządowa będzie rozwijała projekt może budzić sensację, jednak NSA już wcześniej pomagała w rozwijaniu popularnych projektów wolnego i otwartego oprogramowania. Przykładem może być tu SELinux, czyli moduł bezpieczeństwa dla kernela Linux. Oczywiście można obawiać się, że ukrytym celem jest instalowanie backdoorów, ale tak samo możnaby powiedzieć o dziesiątkach agencji z całego świata, które bez rozgłosu mogłyby „instalować” programistów w tego typu projektach.
Programistom oddelegowanym do wolnej implementacji podstawowego systemu wejścia-wyjścia życzę przejrzystego kodu i jak najmniej bugów.
13.25
„Gmail confidential mode is not secure or private”, ProtonMail
W blogu serwisu ProtonMail – szwajcarskiego dostawcy usług poczty elektronicznej, w których kładzie się nacisk na prywatność użytkowników i ich korespondencji – znajdziemy przestrogę dla każdego, kto wierzy w zachowanie prywatności przy korzystaniu z tak zwanego trybu poufnego (ang. confidential mode) w Gmailu.
Około rok temu Google wprowadził w Gmailu poufny tryb korespondowania, polegający na tym, że wiadomości mają ustaloną przez nadawcę ważność. Po upływie ustalonego czasu wysłana tak korespondencja jest bezpowrotnie usuwana. Poza tym nadawca może zabezpieczyć e-maila kodem, który Google wyśle mu w wiadomości SMS, aby umożliwić odczytanie. Mechanizmy te działają również wtedy, gdy odbiorca korzysta z innego dostawcy skrzynek poczty elektronicznej niż Google – w takich przypadkach zamiast wiadomości zobaczy odnośnik hipertekstowy, który go „zaprowadzi” do wiadomości prezentowanej na stronie WWW.
Zdaniem konkurencji z ProtonMaila tryb poufny w Gmailu to tylko zabieg marketingowy, który w dodatku wprowadza użytkowników w błąd obiecując poufność. W opublikowanej notce zwraca się uwagę na to, że tylko szyfrowanie end-to-end może zapewnić prywatną komunikację, a nie dobra wola i oświadczenie dostawcy usług, że skasuje dane, gdy użytkownik tego zechce i nikomu ich nie pokaże. Nawet e-maile z ustawioną opcją utraty ważności nadal pozostają w folderze Wysłane nadawcy, gdzie Google może je odczytywać, gdy tylko zechce.
Ludzie z Protona zwracają również uwagę na to, że wysyłanie e-maili zabezpieczanych kodem SMS jeszcze bardziej zmniejsza prywatność, ponieważ do Google’a przesyłany jest przez nadawcę numer telefonu obiorcy.
Wpis kończy się prezentacją możliwości ProtonMaila w porównaniu do usługi Gmail, a ja na tym kończę dzisiejszy odcinek.
Mam nadzieję, że weekend przebiega (lub przebiegał) miło, a przy okazji: w serwisie Netflix ukazał się nowy sezon serialu „Dark” – polecam każdemu, kto lubi produkcje o przenoszeniu w czasie i kręcą go filmy zawierające sporą dozę tajemnicy odkrywanej wraz z bohaterami podczas poznawania ich historii.
A custodianem dzisiejszego odcinka jest Adam Ch.