هفته گذشته یک شرکت خریداری آسیب پذیری به نام Zerodium یک آسیب پذیری 0 روزه Tor را به عموم مردم در یک شیرجه پنهان PR نشان داد. همانطور که می دانید، 0 روز ها اشکالات امنیتی هستند که کشف شده اند اما هنوز به توسعه دهندگان مسئول پچ شدن نرسیده اند. 0 روز اعلام شده توسط Zerodium برای نسخه قدیمی (7.x) مرورگر Tor بود و در برابر آخرین نسخه بی فایده است. Zerodium سوءاستفاده خود را به عنوان دور زدن امنیت امنیتی "امنیت" Tor / NoScript "توصیف کرد که برای تمام جاوا اسکریپت ها طراحی شده است. سوءاستفاده باید همراه با جاوا اسکریپت خرابکارانه باشد که هویت کاربر را تخریب کند تا بتواند موثر باشد. Chuouki Bekrar، مدیر عامل شرکت Zerodium در بیانیه ای که در هفته گذشته منتشر شد، اظهار داشت: "این سوءاستفاده از Tor Browser توسط Zerodium چند ماه پیش به عنوان یک روز صفر به دست آمد و با مشتریان دولت ما به اشتراک گذاشته شد." البته این یک وحشت ناخواسته برای کسانی است که بر روی مرورگر Tor به منظور حفظ حریم خصوصی در برابر رژیم های سرکوبگر متکی به این واقعیت است که برای مدت زمان زیادی آنها را در معرض خطر قرار دادند.
با این وجود ما در اینجا هستیم، این در واقع وضعیت جهان است: جایی که سازمانهای شیک محققان با مبالغ هنگفتی پول میپردازند و سپس آسیب پذیری های کشف شده خود را به مشتریان دولتی برای مقابله با شهروندانشان تبدیل می کنند. با توجه به وب سایت Zerodium، مشتریان آنها "به طور عمده سازمان های دولتی … و همچنین شرکت های بزرگ از بخش های دفاع، فن آوری و مالی" است. Zerodium خود را در پرداخت های خود بالا می برند و در وب سایت خود می گویند: "ما بزرگترین وظایف را پرداخت می کنیم، نه مسائل و مشکلات". این مدل به شدت از برنامه های فریب خوراکی معمولی مانند HackerOne یا Bugcrowd متفاوت است، که آسیب پذیری های آن ها را مستقیما به توسعه دهندگان ارائه می دهد تا بلافاصله آنها را بشکند. برنامه های متعارف نیز به طور معمول کمتر به محقق امنیتی ارائه آسیب پذیری می پردازند.
چه مدت کاربران Tor Browser بدون نیاز به ریسک قرار می گیرند؟ قطعات پازل پیچیده نیست. در 13 سپتامبر سال 2017، وب سایت Zerodium یک فریب زمان محدود را اعلام کرد: بین 13 سپتامبر 2017 و 30 نوامبر 2017، آنها برای آسیب پذیری Tor Browser به مبلغ 1،000،000 دلار پرداخت می کنند. بله شما آن را درست خواندید. یک میلیون دلار. برای قرار دادن این دیدگاه، بر روی صفحه Tor Project HackerOne، توسعه دهندگان مرورگر Tor به مبلغ 4000 دلار برای آسیب پذیری های شدید ارائه می دهند و تنها از زمان انتشار برنامه فریب اشکالات خود در تاریخ 20 ژوئیه 2017 مبلغ 7100 دلار پرداخت کرده اند. نمی تواند با توانایی های مالی دولت ها رقابت کند. اعلام Zerodium همچنین مشخص کرد که پرداخت هزینه بالاتر برای یک بهره برداری کاملا کاربردی، دور زدن امنیت امنیتی "امنیت" Tor / NoScript که جاوا اسکریپت را مسدود می کند، پاداش می دهد. این دقیقا همان چیزی است که اتفاق افتاد. یکی از محققان امنیتی این آسیب پذیری را پیدا کرده است، یک بهره برداری را توسعه داده و به Zerodium فروخته است. اگر چه Zerodium در آن زمان نتیجه نتایج آسیب پذیری مرورگر Tor خود را نشان نداد، Bekrar هفته گذشته به ZDNet نشان داد که در طول و پس از پیشنهاد فضایی محدود، آنها بسیاری از سوء استفاده Tor را که مورد نیاز خود را برآورده می کردند، به دست آوردند. این بدان معنی است که سازمان های دولتی این مرورگر Tor را بعدها پس از شروع فریب زمان محدود در تاریخ 13 سپتامبر 2017 به کار گرفتند. Tor Browser 8.0، که Bekrar اعلام کرد آسیب پذیری آن را تحت تاثیر قرار نمی دهد، در تاریخ 5 سپتامبر 2018 منتشر شد – فقط 5 روز قبل از این که Zerodium در روز 10 سپتامبر 2018 Tor Browser را به عموم منتشر کرد. این به این معنی است که تقریبا یک سال، کاربران Tor Browser تلاش کردند خود را از رژیم های سرکوبگر محافظت کنند بدون اینکه به خطر بیفتند. اگر محقق امنیتی که مرورگر Tor را به Zerodium فروخته بود به جای آن به توسعه دهندگان مرورگر تور مراجعه کرد، احتمالا آن ها یک پاداش به مراتب کوچکتر را دریافت می کردند، اما برای جهان خوب عمل می کردند.
اطلاعیه: ما پیشنهاد یک میلیون دلار آمریکا (1،000،000 دلار) برای کمک به مرورگر Tor # 0day سوء استفاده می کند. جزئیات در: https://t.co/2Vz6RqTnBQ
– Zerodium (@ Zerodium) 13 سپتامبر 2017
البته ممکن است که برخی از سازمان های جاسوسی دولتی آسیب پذیری Tor Browser را به تنهایی و به تنهایی کشف کنند. آن را قبل از اینکه Zerodium شروع به مخفیانه آن را می دانست. Giorgio Maone، توسعه دهنده توسعه افزونه NoScript همراه با Tor Browser، به ZDNet گفت که این اشکال در NoScript 5.0.4 معرفی شد که در 11 می 2017 منتشر شد. اگر سازمانهای جاسوسی یا هر کسی دیگر این مشکل را قبل از Zerodium به دست آوردند، ممکن است کاربران در آن زمان ریسک داشته باشند.
برنامه های فریب حقوقی قانونی باید به گونه ای عمل کنند که وقتی آسیب پذیری ها توسط محققین امنیتی کشف شوند، به برنامه نویسان گزارش داده می شود و در اسرع وقت به آنها آسیب می رساند. اما با توجه به ویژگی های Zerodium در این صحنه، محققان امنیتی با استفاده از پول های بزرگ به فروش می رسانند تا سوء استفاده های خود را به شرکت های خرید آسیب پذیر برای مشتریان نخبگان خود بفروشند. اشکالات امنیتی که توسط این سازمانها خریداری می شوند عمدتا به توسعه دهندگان مناسب ارسال نمی شوند و تلاش می کنند تا آنها را از نصب ناپدید شوند. با آسیب پذیری هایی که نمی توان آنها را پاک کرد، مشتریان دولتی می توانند به طور مخفیانه از سوء استفاده ها در برابر اهداف خود بهره مند شوند.
Zerodium تنها شرکت خرید آسیب پذیری نیست که از دولت تامین شود. به طور گسترده ای شناخته شده است که پیمانکاران عمده دفاعی مانند Northrop Grumman، General Dynamics و Raytheon نیز سوء استفاده از نهادهای دولتی را به فروش می رسانند. احتمالا دیگران وجود دارد. با چنین شرکت های قدرتمند که مخفیانه سوء استفاده های روزانه را به فروش می رسانند، حفظ حریم خصوصی یک مبارزه سخت برای کسانی است که در رژیم های سرکوبگر زندگی می کنند.
شرکت های خریداری آسیب پذیری و نهادهای دولتی عموما رفتار خود را با ذکر موارد استفاده از جمله مواردی مانند تهدید تروریسم یا استثمار جنسی توجیه می کنند. از کودکان این به نفع مردم است. با این حال، تعداد روزافزون مردم با هزینه دولت برای دادن چنین قدرت مواجه می شوند.
درباره جیمز گالاچر
جیمز گالاچر یک هنجار اخالقی، نوازنده و متفکر انحرافی فلسفی است. او یک تستر نفوذ با تجربه است، ارائه مشاوره شبیه سازی دشمن برای سازمان ها در سراسر ایالات متحده آمریکا جیمز به تازگی تکمیل 10 ماه زندگی اشباح در یک اتوبوس مدرسه تبدیل شده با خانواده اش، هک کردن به شبکه از بیابان. VPN Service "title =" VPN Service "/> خدمات VPN" /> سرویس VPN خدماتی "title =" سرویس VPN "/>
احراز هویت – چرا با انواع خاصی از 2fa مضطرب می شوند اگر آنها می توانند به راحتی کنار گذاشته شوند؟
بله، TOTP و HOTP (علاوه بر ایمیل، اس ام اس و غیره) برای این آسیب پذیرند. چرا از آن ها استفاده می کنیم؟ از آنجا که آنها آسان برای پیاده سازی، و آنها انجام ارائه برخی از حفاظت. تا زمانی که اکثریت مردم از هر نوع عامل دوم استفاده نمی کنند ، فیشر بیشتر کاربران را هدف قرار می دهد، زیرا فیشینگ MitM (بحث انگیز) تلاش بیشتری می کند.
من این را قبلا گفتم و من آن را دوباره می گویم، زمانی که اکثر مردم برای استفاده از 2FA خود برای حساب های مهم خود شروع کرده اند، این نوع فیشینگ MitM بسیار شایع خواهد بود. راه برای جلوگیری از این U2F یا webauthn است، که هر دو از رمزنگاری کلید عمومی برای تأیید هویت به سرور استفاده می کنند و با مرورگر ارتباط برقرار می کنند تا مطمئن شوند که نام دامنه ای که بازدید کرده اید، با دامنه ای که کلید آن را ثبت کرده اید، مطابقت دارد.
If شما می خواهید یک وبلاگ طولانی تر و (به نظر من) پست وبلاگ کمتر متعلق به این موضوع را ببینید، من این پست وبلاگ Evilginx 2 را حذف کرده ام و به نظر می رسد همه چیز را به خوبی پوشش می دهد (و حتی در مورد اینکه چگونه دامنه های فیشینگ می توانند از اسکنرهایی که سعی می کنند جلوگیری کنند برای جلوگیری از آنها).
برنامه وب – اگر رجیسترهای غیرقابل اعتماد از طرف سرور کنار گذاشته شوند، اگر از طریق document.createTextNode به داخل سند وارد شوند؟
Webapp چت. مشتریان (یعنی مرورگرهای وب) پیام هایی را به سرور ارسال می کنند که سرور آن را به تمام مشتریان مرتبط متصل می کند. کد مشتری به نظر می رسد مانند:
اجازه دهید p = document.createTextNode ('p')
p.appendChild (document.createTextNode (پیام))
document.getElementById ('chatbox') appendChild (p)
از کجا پیام رشته دریافت شده از سرور است
مشکل در اینجا این است که به شدت توصیه میشود که داده های غیر قابل اطمینان سرور را ضدعفونی کنید تا قبل از قرار دادن آن درون سند با حذف شخصیت های خاص <، > ، ، و غیره) و جایگزینی آنها با نهادهای HTML مناسب است. به من گفته شد کد بالا برای XSS آسیب پذیر است اگر این ، ، ، ، ، ، کاراکترهای ویژه verbatim را نمایش می دهد و را نمی بینند و آنها را به صورت HTML می بینند. بنابراین ضدعفونی کردن سرور، تغییر کاراکترهای فوق به موجودات HTML باعث خواهد شد که مشتریان، نه شخصیت هایی که انسان ها قرار دارند
به این ترتیب من اعتقاد ندارم که چنین اعتبار لازم است و درست نیست زمانی که document.createTextNode () استفاده می شود.
با این حال، به من گفته شد که همیشه لازم است برای رفع نواقص سرور رشته ها. به من گفته شد که فرار از این صفات سرور همیشه ضروری است. در این صورت، من قصد داشتم از استفاده از document.createTextNode () استفاده نکنم و به جای آن از innerHTML استفاده کنم؟ این به نظر من عجیب و غریب به نظر می رسد زیرا من همیشه فکر innerHTML را به عنوان یکی از حداقل ویژگی های امنیتی جاوا اسکریپت می دانم که نباید با محتوای نامعتبر استفاده شود.
جاوا اسکریپت – کدام شخصیت ها باید فرار کنند یا جایگزین شوند تا حملات تماس تلفنی xss jsonp جلوگیری شود؟
به نظر می رسد که شما از چارچوب ارائه دهنده خدمات پرسیدید، در این صورت پاسخ ساده است:
به عنوان ارائه دهنده خدمات، شما نمی توانید از XSS در برابر همه محافظت کنید، و شما نیز ممکن نیست
به خاطر داشته باشید، من معمولا در "دفاع در عمق" بزرگ و قرار دادن در دیوارهای امنیتی در هر مرحله از راه است. با این حال من فکر می کنم این به معنای واقعی کلمه یکی از مکان هایی است که نگرانی شما در مورد آن نگران کننده نیست. دو دلیل وجود دارد:
1. با استفاده عادی، مشتری اجرای کامل کنترل درخواست را دارد، و بنابراین هیچ دلیلی برای انتظار بارهای بارز مانند این وجود ندارد
در مورد این واقعا نمی توان گفت خیلی بیشتر است، زیرا این چیزی نیست که شما در مورد آن نگران هستید. اما فقط بگو با صدای بلند: مشتری خود را ارائه تماس تلفنی JSONP، و بنابراین اگر آنها را انتخاب کنید از شما درخواست بازگشت جاوا اسکریپت واقعی، پس از آن است که دلیل زیادی برای شما وجود دارد که آنها را متوقف کند (به خصوص از آنجا که انجام این کار خواهد بود احمقانه و متاسفم که هر کسی زحمت میکشد) تنها زمانی که کسی ممکن است درخواست "خطرناک" را از سرور خود درخواست کند، این است که اگر مشتری از راه دور نقص XSS داشته باشد و جاوا اسکریپت مخرب سیستم خود را گرفته است. با این حال، اگر چنین اتفاقی بیفتد:
2. جاوا اسکریپت مخرب دارای کنترل کامل بر روی سرویس گیرنده از راه دور است و نیازی به اجرای جاوا اسکریپت دلخواه را ندارد
که به همان اندازه ساده است: اگر مهاجم یک حمله XSS را علیه یک مشتری با استفاده از سرویس خود مدیریت کرده باشد، لازم نیست جاوا اسکریپت مخرب را به callback تزریق می کند. آنها فقط می توانند روش Callback را در سرویس گیرنده محلی خود جایگزین کنند. در واقع، این بسیار ساده تر است. به عنوان یک نتیجه، به معنای واقعی کلمه هیچ دلیلی وجود ندارد که چرا کسی به دنبال استفاده از خدمات شما به عنوان یک نقطه پایانی تزریق XSS به مشتری از راه دور است. برای قرار دادن آن به سادگی:
اگر یک مهاجم یک حمله XSS علیه یک مشتری را با استفاده از سرویس خود مدیریت کرده است، پس از آن آنها قبلا برنده شده اند و هیچ دلیلی برای انتقال بارهای XSS به سرویس شما نیستند. این فقط بازتاب صفحه ای است که قبلا گرفته شده است.
من فکر می کنم ممکن است برخی از توسعه دهندگان وجود داشته باشد که با برخی از طرح های دیوانه (خطرناک) مطرح شده اند که در آن، ورودی کاربر در سایت آنها برای ساختن پاسخ فراخوان JSONP منتقل می شود به سرویس شما، و آن را به ضعف آسیب پذیری XSS درجه اول می شود. با این حال، هیچ دلیلی عملی وجود ندارد که چرا کسی هرگز چنین چیزی را انجام دهد (با استفاده از بسیاری از این نوع خدمات خودم، شما باید از راه خود برای راه اندازی چیزهایی که خطرناک است)، تا آنجا که من فکر می کنم ارزش صرف وقت خود را صرف تلاش برای محافظت از کاربران خود را از آن سطح silliness. شما بیشتر احتمال دارد به طور تصادفی عوارض جانبی منفی را به کاربران معمولی خود اضافه کنید تا از کسی محافظت کنید تا سطح برنامه ریزی ضعیف که لازم باشد برای این حفاظت در پایان شما انجام شود.
محاسبات قابل اعتماد – با TPM مقادیر اولیه PCR با مقادیر "خوب" تخمینی می شوند؟
من سعی می کنم بیشتر درباره ماژول پلتفرم بوت / اعتماد قابل اطمینان یاد بگیرم و در مورد مقادیر پیکربندی پلتفورم که اندازه گیری یک پیکربندی خوب است که توسط یک کلید قفل شده از دسترسی در تراشه TPM امضا شده است، درک می کنم.
درک این است که چگونه این حالت اولیه "خوب" در مقادیر PCR تعیین می شود. آیا یک مورد از امضای امضا اجازه می دهد تا فروشنده BIOS یا نگهدارنده بوت لودر / هسته امضاء یک آزادی و اندازه گیری های آن را داشته باشد یا اینکه در هنگام بارگزاری اولین دستگاه یک رکورد ثبت شده است؟
همچنین چگونه این PCR ها پر شده و اگر شخصی ارتقاء هسته را شناسایی کند، آیا مجدد آن مجددا امضاء می شود، آیا PCR ها باید تنظیم مجدد شوند و تنظیمات خوب دوباره تنظیم شوند؟
متاسفم که در درک های من در اینجا حفره هایی وجود دارد، در حال تلاش برای دست زدن به موضوع بسیار پیچیده است.
