Πριν μήνες, η Microsoft "έχασε" ένα κρυπτογραφικό κλειδί που υπέπεσε στα χέρια κινέζων hacker οι οποίοι με τη σειρά τους,
εισήλθαν δημιουργώντας νέους πιστοποιημένους χρήστες σε 25 οργανισμούς (πολλούς από αυτούς κρατικούς) με προφανή
αποτελέσματα. Η είδηση τότε είχε πέσει (νομίζω) στα ψιλά, αν και μόνο ψιλή δεν ήταν.
Βγήκε (τελικά) η συγκυρία γεγονότων βάση των οποίων υποκλαπεί το κλειδί.
- Ένα από τα συστήματα της ms που παράγουν τα κλειδιά για γνήσιους consumer χρήστες κράσαρε
- Το crash dump, που κανονικά ΔΕΝ πρέπει να περιέχει ευαίσθητα στοιχεία, είχε το
private key επειδή απλά έτυχε να είναι στη μνήμη
- Το σύστημα που κατέρρευσε σηκώθηκε, αλλά το crash dump αντιγράφτηκε σε ένα
debugging περιβάλλον για "έλεγχο". Αυτό συνέβη το 2021 (!!)
- Το debugging περιβάλλον δεν αντιλήφθηκε ότι κάτι private υπάρχει στο dump
- Οι κινέζοι είχαν χακάρει (malware) κάποιο προγραμματιστή και έτυχε να βρουν το dump
στον Η/Υ του και τελικά το private key
Ακόμη χειρότερα
Πως χακάρεις 25 οργανισμούς με ένα private key που παράγει κλειδιά μόνο για consumers ?
- Είχαν ΑΛΛΟΥ ένα bug όπου το API ελέγχου πρόσβασης δεχόταν consumer keys αν δεν
έβρισκε enterprise keys ?
Αυτό ονομάζεται "Death by a 1000 papercuts" δηλαδή μια συγκυρία μικρο-λαθών που οδηγούν
σε κατάρρευση - παρά μιας μεγάλης τρύπας που κάποιος εκμεταλλεύτηκε.
Πηγή
Εμφάνιση 1-5 από 5
-
31-12-23, 20:32 Πως (τελικά) υπέκλεψαν οι Κινέζοι hackers ένα (από τα) κρυπτογραφικά κλειδιά της Microsoft #1
-
03-01-24, 17:28 Απάντηση: Πως (τελικά) υπέκλεψαν οι Κινέζοι hackers ένα (από τα) κρυπτογραφικά κλειδιά της Microsoft #2
πολλε συγκυριες παυουν να ειναι απλε συγκυριες, ε?
-
03-01-24, 17:43 Απάντηση: Πως (τελικά) υπέκλεψαν οι Κινέζοι hackers ένα (από τα) κρυπτογραφικά κλειδιά της Microsoft #3
Σε τόσο μεγάλης κλίμακας και περίπλοκα συστήματα είναι απίθανο να μην υπάρχει μία αλληλουχία γεγονότων που μπορούν να οδηγήσουν σε κατάρρευση της ασφάλειας. Οπότε, θα πρέπει να θεωρείται εξ' αρχής δεδομένη η πιθανότατα υποκλοπής και ολα μέχρι την τελική υπηρεσία να σχεδιάζονται με αυτο το δεδομένο.
-
03-01-24, 21:37 Απάντηση: Πως (τελικά) υπέκλεψαν οι Κινέζοι hackers ένα (από τα) κρυπτογραφικά κλειδιά της Microsoft #4
Μια μικρη εταιρια λογισμικου ειναι η microsoft, ας μην ειμαστε τοσο αυστηροι μαζι τους.
-
05-01-24, 00:23 Απάντηση: Πως (τελικά) υπέκλεψαν οι Κινέζοι hackers ένα (από τα) κρυπτογραφικά κλειδιά της Microsoft #5
Δεν μας είπαν ποιες είναι οι 25 αυτές εταιρείες όμως.. να ξέρουμε τι μας περιμένει δλδ...
There's no substitute for experience
CorollaClub
Bookmarks