S3 Ep105: VA REPARA! Eșecul criptografic MS Office care „nu este un defect de securitate” [Audio + Text] PlatoBlockchain Data Intelligence. Căutare verticală. Ai.

S3 Ep105: VA REPARA! Eșecul criptografic MS Office care „nu este un defect de securitate” [Audio + Text]

Marca temporală: 20 octombrie 2022 12:54

by
Paul Ducklin

CE VĂ ADMINI, „NU ÎNTÂLNEȘTE BARUL PENTRU SERVICE DE SECURITATE”?

Faceți clic și trageți pe undele sonore de mai jos pentru a trece la orice punct. Poti de asemenea asculta direct pe Soundcloud.

Cu Doug Aamoth și Paul Ducklin. Muzică intro și outro de Edith Mudge.

Ne puteți asculta pe SoundCloud, Podcast-uri Apple, Podcast-uri Google, Spotify, stitcher și oriunde se găsesc podcasturi bune. Sau pur și simplu aruncați URL-ul fluxului nostru RSS în podcatcher-ul tău preferat.

CITIȚI TRANSCRIPTUL

DOUG.  Încălcări uluitoare, criptare decriptabilă și patch-uri din belșug.

Toate acestea mai multe pe podcastul Naked Security.

[MODEM MUZICAL]

Bine ați venit la podcast, toată lumea.

Eu sunt Doug Aamoth; el este Paul Ducklin.

Paul, ce faci azi, domnule?

RAȚĂ.  Doug... știu, pentru că mi-ai spus dinainte, ce se întâmplă Săptămâna aceasta în istoria tehnologiei, și este grozav!

DOUG.  BINE!

Săptămâna aceasta, pe 18 octombrie 1958, un osciloscop și un computer construit pentru a simula rezistența vântului au fost asociate cu controlere personalizate din aluminiu, iar jocul Tenis pentru doi a fost nascut.

Prezentat la o expoziție de trei zile la Brookhaven National Laboratory, Tenis for Two s-a dovedit a fi extrem de popular, mai ales în rândul elevilor de liceu.

Dacă ascultați asta, trebuie să mergeți la Wikipedia și să căutați „Tenis for Two”.

Există un videoclip acolo pentru ceva care a fost construit în 1958...

…Cred că vei fi de acord cu mine, Paul, a fost destul de incredibil.

RAȚĂ.  Mi-ar plăcea* să-l joc astăzi!

Și, cum ar fi Asteroids și Battle Zone, și acele jocuri special amintite din anii 1980...

…pentru că este un osciloscop: grafică vectorială!

Fără pixelare, fără diferențe, în funcție de faptul că o linie este la 90 de grade, la 30 de grade sau la 45 de grade.

Și feedback-ul sonor de la releele din controlere... este grozav!

Este de necrezut că acesta a fost 1958.

Revenind la un precedent Săptămâna aceasta în istoria tehnologiei, a fost la vârful revoluției tranzistorului.

Aparent, jumătatea de calcul a fost un amestec de supape termoionice (tuburi de vid) și relee.

Și circuitele de afișare erau toate bazate pe tranzistori, Doug

Așadar, a fost chiar la combinația tuturor tehnologiilor: relee, supape și tranzistori, toate într-un singur joc video revoluționar.

DOUG.  Foarte tare.

Verificați-l pe Wikipedia: Tenis pentru doi.

Acum să trecem la prima noastră poveste.

Paul, știu că ești foarte abil în a scrie o poezie grozavă...

…Am scris o poezie foarte scurtă pentru a prezenta această primă poveste, dacă mă răsfățați.

RAȚĂ.  Deci vor fi două rânduri, nu-i așa? [râde]

DOUG.  Merge cam asa ceva.

Zoom pentru Mac/Nu primiți Hijacked.

[tăcere foarte lungă]

Poezie de sfârșit.

RAȚĂ.  Îmi pare rău!

Am crezut că acesta este titlul și că acum o să faci poezia.

DOUG.  Deci asta e poezia.

RAȚĂ.  OK.

[Fără emoție] Minunat, Doug.

DOUG.  [IRONIC] Mulțumesc.

RAȚĂ.  Rima a fost spectaculoasă!

Dar nu toate poeziile trebuie să rimeze...

DOUG.  Este adevărat.

RAȚĂ.  Îl vom numi doar vers liber, nu-i așa?

DOUG.  Bine, te rog.

RAȚĂ.  Din păcate, aceasta a fost o ușă din spate gratuită în Zoom pentru Mac.

Îmi pare rău, nu a fost o continuare foarte bună, Doug.

[RÂDE] Călci pe gazonul altcuiva, adesea rămâi scurt...

DOUG.  Nu, e bine!

Am încercat poezii săptămâna aceasta; încerci secvențe.

Trebuie să ieșim din zonele noastre de confort din când în când.

RAȚĂ.  Presupun că acesta a fost un cod care trebuia să fie compilat când s-a terminat construcția finală, dar a fost lăsat accidental.

Este doar pentru versiunea Zoom pentru Mac și a fost corectat, așa că asigurați-vă că sunteți la zi.

Practic, în anumite circumstanțe, atunci când un flux video ar începe sau camera a fost activată de aplicația însăși, s-ar crede din neatenție că ați dori să depanați programul.

Pentru că, hei, poate ai fost dezvoltator! [râde]

Acest lucru nu ar trebui să se întâmple în versiunile de lansare, evident.

Și asta însemna că a rămas deschis un port de depanare TCP pe interfața de rețea locală.

Asta însemna că oricine ar putea trece pachete în acel port, care ar putea fi, probabil, orice alt utilizator conectat local, deci nu ar fi nevoie să fie un administrator sau chiar tu... chiar și un utilizator invitat, asta ar fi suficient.

Deci, un atacator care avea un fel de malware proxy pe computerul dvs. care ar putea primi pachete din exterior și să le injecteze în interfața locală ar putea, practic, să emită comenzi în curajul programului.

Iar lucrurile tipice pe care le permit interfețele de depanare includ: descărcarea de memorie; extrage secrete; modificarea comportamentului programului; ajustați setările de configurare fără a trece prin interfața obișnuită, astfel încât utilizatorul să nu o poată vedea; captați tot sunetul fără a spune nimănui, fără să apară avertismentul de înregistrare; toate chestiile astea.

Vestea bună este că Zoom l-a găsit singur și l-au corectat destul de repede.

Dar este o reamintire grozavă că, așa cum spunem atât de des, [râde] „Sunt multe alunecări între ceașcă și buză”.

DOUG.  În regulă, foarte bine.

Să rămânem la bordul trenului de petice și să tragem în următoarea stație.

Și această poveste... poate cea mai interesantă parte a acestei povești a celui mai recent Patch Tuesday a fost ce Microsoft *nu* a inclus?

RAȚĂ.  Din păcate, patch-urile la care probabil se așteptau toată lumea – și am speculat într-un podcast recent: „Ei bine, se pare că Microsoft ne va face să așteptăm încă o săptămână până la Patch Tuesday și să nu facem o lansare timpurie în afara grupului. ” sunt acele două zile zero de la schimb de memorie recentă.

Ceea ce a devenit cunoscut sub numele de E00F, sau Schimb defect dublu de zi zero în terminologia mea, sau ProxyNotShell așa cum este probabil cunoscut în mod oarecum confuz în sfera Twitter.

Deci asta a fost marea poveste din Patch Tuesday din această lună: acele două erori spectaculos nu au fost remediate.

Și deci nu știm când se va întâmpla asta.

Trebuie să vă asigurați că ați aplicat orice atenuare.

După cum cred că am mai spus, Microsoft a continuat să constate că atenuările anterioare pe care le-au sugerat... ei bine, poate că nu au fost destul de bune și au continuat să-și schimbe tonul și să adapteze povestea.

Deci, dacă aveți îndoieli, puteți reveni la nakedsecurity.sophos.com, căutați expresia ProxyNotShell (tot un cuvânt), apoi du-te și citește ce avem de spus.

Și puteți, de asemenea, să vă conectați la cea mai recentă versiune a remedierii Microsoft...

… pentru că, dintre toate lucrurile din Patch Tuesday, acesta a fost cel mai interesant, după cum spuneți: pentru că nu era acolo.

DOUG.  OK, acum să schimbăm vitezele la a poveste foarte frustranta.

Aceasta este o palmă pentru o companie mare a cărei securitate cibernetică este atât de proastă încât nici măcar nu a observat că au fost încălcate!

RAȚĂ.  Da, acesta este un brand pe care majoritatea oamenilor îl vor cunoaște probabil ca SHEIN („she-in”), scris ca un singur cuvânt, totul cu majuscule. (La momentul încălcării, compania era cunoscută ca Zoetop.)

Și sunt ceea ce se numește „modă rapidă”.

Știi, ei îl îngrămădesc și îl vând ieftin, și nu fără controverse despre de unde își iau modelele.

Și, în calitate de comerciant cu amănuntul online, probabil că v-ați aștepta să aibă detaliile de securitate cibernetică a vânzării cu amănuntul online jos.

Dar, după cum spuneți, nu au făcut-o!

Iar biroul procurorului general al statului New York din SUA a decis că nu este mulțumit de modul în care au fost tratați rezidenții din New York care se numărau printre victimele acestei încălcări.

Așa că au luat acțiuni legale împotriva acestei companii... și a fost o litanie absolută de gafe, greșeli și în cele din urmă mușamalizări – într-un cuvânt, Douglas, necinste.

Au avut această breșă pe care nu au observat-o.

Acest lucru, cel puțin în trecut, obișnuia să fie dezamăgitor de obișnuit: companiile nu și-au dat seama că au fost încălcate până când un administrator de card de credit sau o bancă le-a contactat și le-a spus: „Știi ce, am avut foarte multe de plângeri cu privire la fraudă din partea clienților în această lună.”

„Și când ne-am uitat înapoi la ceea ce ei numesc CPP, punct comun de cumpărare, singurul comerciant de la care fiecare victimă pare să fi cumpărat ceva ești tu. Considerăm că scurgerea a venit de la tine.”

Și în acest caz, a fost și mai rău.

Se pare că un alt procesator de plăți a venit și a spus: „Oh, apropo, am găsit o serie întreagă de numere de card de credit de vânzare, oferite ca furate de la voi, băieți.”

Deci aveau dovezi clare că a existat fie o breșă în vrac, fie o încălcare pe rând.

DOUG.  Deci, cu siguranță, când această companie a fost conștientă de acest lucru, s-a mișcat rapid pentru a remedia situația, nu?

RAȚĂ.  Ei bine, asta depinde de modul în care... [Râde] Nu ar trebui să râd, Doug, ca întotdeauna.

Asta depinde de ceea ce vrei să spui prin „rectificare”.

DOUG.  [Râde] Oh, Doamne!

RAȚĂ.  Deci, se pare că *au* tratat problema... într-adevăr, au existat părți din ea pe care le-au acoperit foarte bine.

Aparent.

Se pare că s-au hotărât brusc: „Ui, ar fi bine să devenim conform PCI DSS”.

În mod clar, nu erau, pentru că se pare că păstrau jurnalele de depanare care aveau detalii ale cardului de credit ale tranzacțiilor eșuate... tot ceea ce nu trebuia să scrieți pe disc, scriau ei.

Și apoi și-au dat seama că s-a întâmplat, dar nu au putut găsi unde au lăsat acele date în propria lor rețea!

Deci, evident că știau că nu sunt conforme cu PCI DSS.

S-au apucat să se conformeze PCI DSS, aparent, lucru pe care l-au realizat până în 2019. (Încălcarea a avut loc în 2018.)

Dar când li s-a spus că trebuie să se supună unui audit, unei anchete criminalistice...

… conform procurorului general din New York, ei au ieșit destul de deliberat în calea anchetatorului.

Practic, le-au permis anchetatorilor să vadă sistemul așa cum era *după ce* l-au reparat, l-au sudat și l-au șlefuit și au spus: „Oh, nu, nu poți vedea copiile de rezervă”, ceea ce mi se pare destul de obraznic. .

DOUG.  Uh-huh.

RAȚĂ.  Și, de asemenea, modul în care au dezvăluit încălcarea clienților lor a stârnit furie semnificativă din statul New York.

În special, se pare că era destul de evident că 39,000,000 de detalii ale utilizatorilor au fost într-un fel eliminate, inclusiv parole cu hashing foarte slab: o sare din două cifre și o rundă de MD5.

Nu destul de bun în 1998, darămite în 2018!

Așa că știau că există o problemă pentru acest număr mare de utilizatori, dar se pare că s-au apucat să-i contacteze pe cei 6,000,000 dintre acei utilizatori care le-au folosit efectiv conturile și au făcut comenzi.

Și apoi au spus: „Ei bine, cel puțin i-am contactat pe toți acești oameni”.

Și *apoi* s-a dovedit că de fapt nu i-au contactat pe toți cei 6,000,000 de milioane de utilizatori!

Tocmai i-au contactat pe cei din cele șase milioane care se întâmplă să trăiască în Canada, Statele Unite sau Europa.

Deci, dacă ești din altă parte a lumii, ghinion!

După cum vă puteți imagina, asta nu a mers bine cu autoritățile, cu autoritatea de reglementare.

Și, trebuie să recunosc... spre surprinderea mea, Doug, au fost amendați cu 1.9 milioane de dolari.

Ceea ce, pentru o companie atât de mare...

DOUG.  Da!

RAȚĂ.  … și a făcut greșeli atât de flagrante și apoi a nu fi pe deplin decent și sincer cu privire la ceea ce s-a întâmplat și a fost reproșat că a mințit despre încălcarea, în aceste cuvinte, de către procurorul general din New York?

Îmi cam imaginam că ar fi putut suferi o soartă mai serioasă.

Poate chiar inclusiv ceva care nu ar putea fi plătit doar venind cu niște bani.

A, și celălalt lucru pe care l-au făcut a fost că atunci când era evident că existau utilizatori ale căror parole erau în pericol... pentru că erau profund crackabile datorită faptului că era o sare de două cifre, ceea ce înseamnă că puteai construi 100 de dicționare precalculate. …

DOUG.  Este obișnuit?

Doar o sare din două cifre pare cu adevărat scăzută!

RAȚĂ.  Nu, ați dori de obicei 128 de biți (16 octeți) sau chiar 32 de biți.

Vorbind vag, oricum nu face o diferență semnificativă pentru viteza de cracare, deoarece (în funcție de dimensiunea blocului de hash) adăugați doar două cifre suplimentare în amestec.

Deci, nici măcar nu este ca și cum calcularea efectivă a hashurilor durează mai mult.

Încă din 2016, oamenii care foloseau computere cu opt GPU-uri care rulează programul „hashcat”, cred, ar putea face 200 de miliarde de MD5 pe secundă.

Pe atunci! (Această sumă este cam de cinci sau zece ori mai mare acum.)

Deci foarte, foarte eminamente crackabil.

Dar, în loc să contactați oamenii și să spuneți: „Parola dvs. este în pericol pentru că am scurs hash-ul și nu a fost una foarte bună, ar trebui să o schimbați”, [Râsete] ei tocmai au spus...

… au fost cuvinte foarte nebunești, nu-i așa?

DOUG.  „Parola dumneavoastră are un nivel de securitate scăzut și poate fi expusă riscului. Vă rugăm să vă schimbați parola de conectare.”

Și apoi l-au schimbat în „Parola dvs. nu a fost actualizată de mai mult de 365 de zile. Pentru protecția dumneavoastră, vă rugăm să îl actualizați acum.”

RAȚĂ.  Da, „Parola dumneavoastră are un nivel de securitate scăzut…”

DOUG.  "DIN CA NOI!"

RAȚĂ.  Asta nu este doar patronism, nu-i așa?

În ochii mei, asta e la graniță sau peste graniță în blamarea victimelor.

Oricum, acest lucru nu mi s-a părut a fi un stimulent foarte puternic pentru companiile care nu vor să facă ceea ce trebuie.

DOUG.  Bine, sunați în comentarii, am dori să auzim ce părere aveți!

Acest articol se numește: Brandul de modă SHEIN a amendat cu 1.9 milioane de dolari pentru că a mințit despre încălcarea datelor.

Și la o altă poveste frustrantă...

..,în altă zi, o altă poveste de avertizare despre procesarea intrărilor nesigure!

RAȚĂ.  Aaargh, știu ce va fi, Doug.

Asta este Apache Commons Text bug, nu-i așa?

DOUG.  Este!

RAȚĂ.  Pentru a fi clar, acesta nu este Apache Web Server.

Apache este o fundație de software care are o serie întreagă de produse și instrumente gratuite... și sunt într-adevăr foarte utile și sunt open source și sunt grozave.

Dar am avut, în partea Java a ecosistemului lor (Serverul Web Apache httpd nu este scris în Java, așa că să ignorăm asta deocamdată - nu amestecați Apache cu Apache Web Server)...

… în ultimul an, am avut trei probleme similare în bibliotecile Java Apache.

Am avut infam Log4shell. bug în așa-numita bibliotecă Log4J (Logging for Java).

Apoi am avut o eroare similară, ce a fost?... Configurație Apache Commons, care este un set de instrumente pentru gestionarea tot felul de fișiere de configurare, să spunem fișiere INI și fișiere XML, toate într-un mod standardizat.

Și acum într-o bibliotecă de nivel inferior numită Apache Commons Text.

Bug-ul în lucrul care în Java este în general cunoscut sub numele de „interpolare de șiruri”.

Programatori în alte limbi... dacă utilizați lucruri precum PowerShell sau Bash, îl veți cunoaște drept „substituție de șiruri”.

Acolo poți face ca o propoziție plină de caractere să se transforme într-un fel de mini-program.

Dacă ați folosit vreodată shell-ul Bash, veți ști că dacă introduceți comanda echo USER, va ecou sau va tipări șirul USER si vei vedea, pe ecran UTILIZATOR.

Dar dacă rulați comanda echo $USER, atunci asta nu înseamnă ecou un semn dolar urmat de USER.

Ceea ce înseamnă: „Înlocuiește acel șir magic cu numele utilizatorului conectat în prezent și imprimă-l în schimb.”

Deci pe computerul meu, dacă tu echo USER, primesti USER, dar daca tu echo $USER, înțelegi cuvântul duck in schimb.

Și unele dintre substituțiile șirurilor Java merg mult, mult, mult mai departe decât atât... ca oricine care a suferit bucuria de a remedierea Log4Shell de Crăciun 2021 își va aminti!

Există tot felul de mini-programe inteligente pe care le puteți încorpora în șiruri pe care apoi le procesați cu această bibliotecă de procesare a șirurilor.

Așa că există cel evident: pentru a citi numele de utilizator, puneți ${env: (pentru „citește mediul”) user}… folosești paranteze ondulate.

Este semnul dolarului; suport ondulat; vreo comandă magică; paranteză ondulată care este partea magică.

Și, din păcate, în această bibliotecă, a existat disponibilitate implicită necontrolată a comenzilor magice precum: ${url:...}, ceea ce vă permite să păcăliți biblioteca de procesare a șirurilor pentru a ajunge la internet, a descărca ceva și a imprima ceea ce primește înapoi de la acel server web în loc de șirul ${url:...}.

Așa că, deși nu este chiar o injecție de cod, deoarece este doar HTML brut, înseamnă totuși că poți pune tot felul de gunoi și lucruri ciudate și minunate de neîncredere în fișierele jurnal ale oamenilor sau în paginile lor web.

E ${dns:...}, ceea ce înseamnă că poți păcăli serverul cuiva, care ar putea fi un server logic de afaceri în interiorul rețelei...

… îl poți păcăli să facă o căutare DNS pentru un server numit.

Și dacă dețineți acel domeniu, ca escroc, atunci dețineți și operați și serverul DNS care se referă la acel domeniu.

Deci, când apare căutarea DNS, ghiciți ce?

Această căutare se termină *la serverul dvs.* și vă poate ajuta să identificați interiorul rețelei de afaceri a cuiva... nu doar serverul lor web, ci și lucruri mai adânci în rețea.

Și, în sfârșit, și cel mai îngrijorător, cel puțin cu versiunile mai vechi de Java, a existat... [Râde] știi ce urmează aici, Doug!

Comanda ${script:...}.

„Hei, permiteți-mi să vă ofer niște JavaScript și vă rog să-l rulez pentru mine.”

Și probabil te gândești: „Ce?! Stai, acesta este o eroare în Java. Ce legătură are JavaScript cu asta?”

Ei bine, până relativ recent... și nu uitați, multe companii încă folosesc versiuni mai vechi, încă acceptate, ale Java Development Kit.

Până de curând, Java... [RÂDE] (din nou, nu ar trebui să râd)... Kitul de dezvoltare Java conținea, în sine, un motor JavaScript complet, funcțional, scris în Java.

Acum, nu există nicio relație între Java și JavaScript, cu excepția celor patru litere „Java”, dar ați putea pune ${script:javascript:...}și rulați codul la alegere.

Și, în mod enervant, unul dintre lucrurile pe care le puteți face în motorul JavaScript în timpul de execuție Java este să îi spuneți motorului JavaScript: „Hei, vreau să rulez chestia asta prin Java.”

Deci, puteți face ca Java să apeleze *în* JavaScript și, în esență, JavaScript să apeleze *out* în Java.

Și apoi, din Java, puteți merge, „Hei, rulați această comandă de sistem”.

Și dacă mergi la articolul Naked Security, mă vei vedea folosind o comandă suspectă pentru a [TUȘTE SCUZAȚI] să fac un calcul, Doug!

Un calculator HP RPN, desigur, pentru că eu fac calculatorul să apară...

DOUG.  Trebuie să fie, da!

RAȚĂ.  … acesta este un HP-10.

Deci, deși riscul nu este ca grozav ca Log4Shell, nu o poți exclude cu adevărat dacă folosești această bibliotecă.

Avem câteva instrucțiuni în articolul Naked Security despre cum să aflați dacă aveți biblioteca Commons Text... și s-ar putea să o aveți, așa cum au făcut mulți oameni cu Log4J, fără să-și dea seama, deoarece este posibil să fi venit împreună cu o aplicație.

Și avem, de asemenea, un exemplu de cod pe care îl puteți folosi pentru a testa dacă măsurile de atenuare pe care le-ați pus în aplicare au funcționat.

DOUG.  În regulă, mergi la Naked Security.

Acest articol se numește: O gaură periculoasă în Apache Commons Text – ca Log4Shell din nou.

Și încheiem cu o întrebare: „Ce se întâmplă când mesajele criptate sunt doar oarecum criptate?”

RAȚĂ.  Ah, vă referiți la ceea ce a fost, cred, un raport oficial de eroare depus recent de cercetătorii în securitate cibernetică de la compania finlandeză WithSecure...

…despre criptarea încorporată care este oferită în Microsoft Office sau, mai precis, o caracteristică numită Office 365 Message Encryption sau OME.

Este destul de util să aveți o mică funcție ca aceea încorporată în aplicație.

DOUG.  Da, sună simplu și convenabil!

RAȚĂ.  Da, cu excepția... o, dragă!

Se pare că motivul pentru acest lucru se datorează în totalitate compatibilității cu înapoi, Doug...

… că Microsoft dorește ca această funcție să funcționeze până la oamenii care încă folosesc Office 2010, care are abilități de decriptare destul de vechi încorporate în el.

Practic, se pare că acest proces OME de criptare a fișierului folosește AES, care este cel mai recent și mai bun algoritm de criptare standardizat de NIST.

Dar folosește AES în așa-numitul mod de criptare greșit.

Folosește ceea ce este cunoscut sub numele de BCE sau cartea electronică de coduri Mod.

Și acesta este pur și simplu modul în care vă referiți la AES brut.

AES criptează 16 octeți odată... apropo, criptează 16 octeți indiferent dacă utilizați AES-128, AES-192 sau AES-256.

Nu amestecați dimensiunea blocului și dimensiunea cheii - dimensiunea blocului, numărul de octeți care sunt agitați și criptați de fiecare dată când rotiți maneta motorului criptografic, este întotdeauna de 128 bis sau 16 octeți.

Oricum, în modul carte de coduri electronice, pur și simplu luați 16 octeți de intrare, rotiți maneta o dată sub o anumită cheie de criptare și luați rezultatul, brut și nereprocesat.

Și problema este că de fiecare dată când obțineți aceeași intrare într-un document aliniat la aceeași limită de 16 octeți...

... obții exact aceleași date în ieșire.

Deci, modelele din intrare sunt dezvăluite în ieșire, la fel cum sunt în a Cezar cifr sau a Vigenère cifru:

Acum, asta nu înseamnă că poți sparge cifrul, pentru că mai ai de-a face cu bucăți care au o lățime de 128 de biți la un moment dat.

Problema cu modul carte de coduri electronice apare tocmai pentru că scurge modele din textul simplu în textul cifrat.

Atacurile cu text simplu sunt posibile atunci când știți că un anumit șir de intrare criptează într-un anumit mod, iar pentru textul repetat dintr-un document (cum ar fi un antet sau un nume de companie), acele modele sunt reflectate.

Și deși acest lucru a fost raportat la Microsoft ca o eroare, se pare că compania a decis că nu o va remedia, deoarece „nu îndeplinește bara” pentru o remediere de securitate.

Și se pare că motivul este: „Ei bine, am face un deserviciu persoanelor care încă folosesc Office 2010.”

DOUG.  Uf!

RAȚĂ.  Da!

DOUG.  Și în această notă, avem un comentariu al cititorului pentru această săptămână despre această poveste.

Naked Security Reader Bill comentează, în parte:

Acest lucru îmi amintește de „pătuțurile” pe care le-au folosit codificatorii din Bletchley Park în timpul celui de-al Doilea Război Mondial. Naziștii încheiau adesea mesajele cu aceeași frază de închidere și, astfel, spărcătorii de coduri puteau reveni din acest set de închidere de caractere criptate, știind ce reprezintă probabil. Este dezamăgitor că 80 de ani mai târziu, parcă repetăm ​​aceleași greșeli.

RAȚĂ.  80 ani!

Da, chiar este dezamăgitor.

Înțeleg că și alte patuturi pe care le-ar putea folosi spărgătorii de coduri aliați, în special pentru textele criptate de naziști, s-au ocupat și de *începutul* documentului.

Cred că acesta a fost un lucru pentru rapoartele meteo germane... a existat un format religios pe care l-au urmat pentru a se asigura că au dat rapoartele meteo exact.

Iar rapoartele meteo, după cum vă puteți imagina, în timpul unui război care implică bombardamente aeriene noaptea, au fost lucruri cu adevărat importante!

Se pare că acestea au urmat un tipar foarte, foarte strict care ar putea, uneori, să fie folosit ca ceea ce ați putea numi un pic de „loosener” criptografic sau o pană pe care ați putea folosi pentru a sparge în primul rând.

Și asta, așa cum subliniază Bill... tocmai de aceea AES, sau orice cifră, în modul electronic codebook nu este satisfăcător pentru criptarea documentelor întregi!

DOUG.  Bine, mulțumesc că ai trimis asta, Bill.

Dacă aveți o poveste, un comentariu sau o întrebare interesantă pe care doriți să o trimiteți, ne-ar plăcea să o citim pe podcast.

Puteți trimite un e-mail la tips@sophos.com, puteți comenta oricare dintre articolele noastre sau ne puteți contacta pe social: @nakedsecurity.

Acesta este spectacolul nostru de astăzi; multumesc mult pentru ascultare.

Pentru Paul Ducklin, sunt Doug Aamoth și vă reamintesc până data viitoare să...

AMBII.  Rămâi în siguranță!

Timestamp-ul:

Mai mult de la Securitate goală