Ciddi Güvenlik: Microsoft Office 365, zayıf şifreleme nedeniyle saldırıya uğradı

Şu anda buna ne diyeceğimizden tam olarak emin değiliz, bu yüzden başlıkta hibrit adıyla bahsettik. Microsoft Office 365.

(Microsoft'un kelime işlem, elektronik tablo, sunum ve işbirliği uygulamaları için toplu isim olarak "Ofis" adı, öldürüldü önümüzdeki bir veya iki ay içinde basitçe “Microsoft 365” olmak için.)

İnsanların bireysel uygulama adlarını kullanmaya devam edeceğinden eminiz (Word, Excel, PowerPoint ve arkadaşlar) ve süitin takma adı Office uzun yıllar boyunca, yazılıma yeni başlayanlar muhtemelen onu şu şekilde bileceklerdir: 365, her yerde bulunan Microsoft önekini bıraktıktan sonra.

Bildiğiniz gibi, Office bağımsız uygulamaları (gerçekten yerel olarak yüklediğiniz uygulamalar, böylece öğeleriniz üzerinde çalışmak için çevrimiçi olmanız gerekmez), kayıtlı belgeleri şifrelemek için kendi seçeneklerini içerir.

Bunun, daha sonra bu dosyalardan herhangi birini kazara veya tasarımla, onları almaması gereken biriyle paylaşmanız durumunda ekstra bir güvenlik katmanı eklemesi gerekiyordu - bu, ekleri e-posta yoluyla paylaşırken yanlışlıkla yapılması şaşırtıcı derecede kolay bir şey.

Alıcıya dosyanın kilidini açmak için ihtiyaç duydukları şifreyi de vermedikçe, onlar için çok fazla parçalanmış lahana var.

Elbette şifreyi e-postanın gövdesine eklerseniz hiçbir şey kazanmazsınız, ancak şifreyi farklı bir kanal aracılığıyla paylaşma konusunda biraz bile dikkatli olursanız, sahtekarlara karşı kendinize ekstra güvenlik ve güvenlik satın almış olursunuz. , meraklılar ve beceriksizler gizli içeriğe kolay erişim sağlıyor.

Spot ışığı altında OME

Ya sen?

Göre Araştırmacılar Fin siber güvenlik şirketi WithSecure'da verileriniz, makul bir şekilde beklediğinizden çok daha az korumadan yararlanıyor olabilir.

Testçilerin kullandığı özellik, şu şekilde adlandırdıkları şeydir. Office 365 İleti Şifrelemeya da OME kısaca.

Temel Office, üzgünüm, 365 ürününün iş için kullandığımız Linux'ta yerel olarak çalışmamasının basit nedeni nedeniyle deneylerini burada yeniden oluşturmadık. Office araçlarının web tabanlı sürümleri, tam uygulamalarla aynı özellik kümesine sahip değildir, bu nedenle elde edebileceğimiz sonuçların çoğu Office, ah, 365 iş kullanıcılarının Word, Excel, Outlook'u nasıl yapılandırdığıyla uyumlu olması olası değildir. ve Windows dizüstü bilgisayarlarındaki arkadaşlar.

Araştırmacıların tanımladığı gibi:

Bu özellik, kuruluşların kuruluşunuzun içindeki ve dışındaki kişiler arasında güvenli bir şekilde şifreli e-posta iletileri gönderip almasına izin vermek için tanıtılır.

Ama şunu da belirtiyorlar:

Maalesef OME mesajları, güvenli olmayan Elektronik Kod Defteri (ECB) çalışma modunda şifrelenir.

ECB açıkladı

Açıklamak için.

Birçok şifreleme algoritması, özellikle Gelişmiş Şifreleme Standardı veya OME'nin kullandığı AES olarak bilinenler blok şifreleri, tek tek bitleri veya baytları sırayla işlemek yerine, büyük veri yığınlarını tek seferde karıştırır.

Genel olarak konuşursak, bunun hem verimliliğe hem de güvenliğe yardımcı olması gerekiyor, çünkü şifre, algoritmayı çalıştıran kriptografik krank kolunun her dönüşünde karıştırmak-kıymak-parçalamak-ve-sıvılaştırmak için daha fazla girdi verisine sahiptir ve her dönüş sizi daha ileriye götürür. şifrelemek istediğiniz veriler aracılığıyla.

Örneğin, çekirdek AES algoritması bir seferde 16 giriş düz metin baytı (128 bit) tüketir ve bu verileri bir şifreleme anahtarı altında karıştırarak 16 şifreli şifreli çıktı baytı üretir.

(Karıştırmayın blok boyutu ile anahtar boyutu – AES şifreleme anahtarları, tahmin edilme olasılığının ne kadar düşük olduğuna bağlı olarak 128 bit, 192 bit veya 256 bit uzunluğunda olabilir, ancak üç anahtar boyutunun tümü, algoritma her "harekete geçirildiğinde" 128 bitlik bloklarda çalışır.)

Bunun anlamı, bir AES anahtarı seçerseniz (uzunluğundan bağımsız olarak) ve ardından AES şifresini doğrudan bir veri yığını üzerinde kullanırsanız…

…sonra aynı girdi yığınını her aldığınızda, aynı çıktı yığınını alırsınız.

Gerçekten devasa bir kod kitabı gibi

Bu doğrudan çalışma moduna bu nedenle denir. ECBiçin kısa elektronik kod kitabı, çünkü bu, şifreleme ve şifre çözme için bir arama tablosu olarak kullanılabilecek muazzam bir kod kitabına sahip olmak gibidir.

(Gerçek hayatta tam bir “kod kitabı” asla oluşturulamaz çünkü 2 koddan oluşan bir veritabanını saklamanız gerekir.¹²⁸ 16 baytlık girişler her olası anahtar için.)

Ne yazık ki, özellikle bilgisayar formatlı verilerde, kullanılan dosya formatı sayesinde belirli veri parçalarının tekrarlanması çoğu zaman kaçınılmazdır.

Örneğin, veri bölümlerini rutin olarak dolduran ve böylece 512 baytlık sınırlarda (diske yazarken ortak bir sektör boyutu) veya 4096 baytlık sınırlarda (bellek ayrılırken ortak bir ayırma birimi boyutu) hizalanacak dosyalar genellikle şu şekilde dosyalar üretir: sıfır baytlık uzun çalıştırmalar.

Benzer şekilde, her sayfada üstbilgi ve altbilgi gibi çok sayıda standart metin içeren veya tam şirket adının tekrar tekrar geçtiği metin belgeleri de bol miktarda tekrar içerecektir.

AES-ECB şifreleme sürecinde tekrarlanan bir düz metin öbeği 16 baytlık bir sınırda sıraya girdiğinde, bu nedenle şifreli çıktıda ortaya çıkacaktır. tam olarak aynı şifreli metin olarak.

Dolayısıyla, şifreli metin dosyasının şifresini resmi olarak çözemeseniz bile, girdideki kalıpların (biliyor olabileceğiniz veya çıkarım yapabileceğiniz) gerçeği sayesinde, ondan anında, güvenliği bozucu çıkarımlar yapabilirsiniz. veya tahmin etmek için) çıktıda korunur.

İşte, yaklaşık dokuz yıl önce Adobe'nin kullanıcılarının şifrelerini "hash" etmek için artık kötü şöhretli ECB modu şifrelemesinin neden kullanıldığını açıkladığımız bir makaleye dayanan bir örnek. İyi bir fikir değil:

Girdideki düz beyaz piksellerin çıktıda nasıl güvenilir bir şekilde tekrar eden bir desen oluşturduğuna ve mavi kısımların bir şekilde düzenli kaldığına ve böylece orijinal verinin yapısının açık olduğuna dikkat edin.

Bu örnekte, orijinal dosyadaki her piksel tam olarak 4 bayt kaplar, bu nedenle giriş verilerinde soldan sağa 4 piksel çalıştırma 16 bayt uzunluğundadır ve bu, her 16 baytlık AES şifreleme bloğuyla tam olarak hizalanır, böylece vurgulanır. “ECB etkisi”.

---

Eşleşen şifreli metin desenleri

Daha da kötüsü, aynı anahtarla şifrelendiğini bildiğiniz iki belgeniz varsa ve bunlardan birinin düz metnine sahipseniz, o zaman şifreli metne bakabilirsiniz. yapamaz şifresini çözün ve bölümlerini, belirlediğiniz şifreli metindeki kalıplarla eşleştirmeye çalışın. yapabilmek şifresini çöz.

Zaten şifresi çözülmüş bir biçimde elinizde varsa, ilk belgenin "şifresini çözmek" için anahtara ihtiyacınız olmadığını unutmayın; bu, şaşırtıcı olmayan bir şekilde, bilinen düz metin saldırısı.

Kendisi gizli veri olmayan, görünüşte masum metinlerden yalnızca birkaç eşleşme olsa bile, bir saldırganın bu şekilde elde edebileceği bilgi, fikri mülkiyet casusları, sosyal mühendisler, adli tıp araştırmacıları ve daha fazlası için bir altın madeni olabilir.

Örneğin, bir belgenin ayrıntılarının ne anlama geldiği hakkında hiçbir fikriniz olmasa bile, bilinen düz metin parçalarını birden çok dosyada eşleştirerek, görünüşte rastgele bir belge koleksiyonunu belirleyebilirsiniz:

• Hepsi aynı alıcıya gönderildi, Her birinin başında ortak bir selamlama varsa.
• Aynı projeye bakın, sürekli ortaya çıkan benzersiz bir tanımlayıcı metin dizesi varsa.
• Aynı güvenlik sınıflandırmasına sahip, Eğer diğerlerinden daha "gizli" olduğu açıkça anlaşılan şeylere odaklanmaya meraklıysanız.

Ne yapalım?

ECB modunu kullanmayın!

Bir blok şifre kullanıyorsanız, bir blok şifre çalışma modu ki:

• IV veya başlatma vektörü olarak bilinenleri içerir, her mesaj için rastgele ve benzersiz bir şekilde seçilir.
• Kasıtlı olarak şifreleme sürecini düzenler böylece tekrarlanan girdiler her seferinde farklı çıkıyor.

AES kullanıyorsanız, muhtemelen bu günlerde seçmek istediğiniz mod AES-GCM Anahtar aynı kalsa bile her seferinde farklı bir şifreleme veri akışı oluşturmak için bir IV kullanan (Galois Sayaç Modu), aynı zamanda Mesaj Kimlik Doğrulama Kodu (MAC) veya kriptografik sağlama toplamı, verileri karıştırırken veya çözerken aynı anda.

AES-GCM, yalnızca tekrarlanan şifreli metin kalıplarından kaçınmanız anlamına gelmez, aynı zamanda her zaman, şifresini çözdüğünüz verilerin yol boyunca kurcalanıp kurcalanmadığını size söyleyecek bir "sağlama toplamı" ile sonuçlanmanız anlamına gelir.

Şifreli metnin gerçekte ne anlama geldiğini bilmeyen bir dolandırıcının yine de, ne tür bir yanlış çıktıyla sonuçlanacağını bilmeden (veya umursamadan) kesin olmayan bir şifre çözmeye güvenmeniz için sizi kandırabileceğini unutmayın.

Şifre çözme işlemi sırasında aynı anahtara ve IV'e dayalı olarak hesaplanan bir MAC, aldığınız şifreli metnin geçerli olduğundan emin olmanıza ve dolayısıyla diğer uca orijinal olarak yerleştirilen şifreyi neredeyse kesinlikle çözdüğünüzden emin olmanıza yardımcı olacaktır.

Alternatif olarak, özel bir kesintisiz şifreleme Bu, bir kerede 16 baytı (veya blok boyutu ne olursa olsun) işlemek zorunda kalmadan verileri şifrelemenize olanak tanıyan sözde rastgele bayt bayt anahtar akışı üretir.

AES-GCM, esasen AES'i bir akış şifresine dönüştürür ve MAC biçiminde kimlik doğrulaması ekler, ancak özellikle bu şekilde çalışmak üzere tasarlanmış özel bir akış şifresi arıyorsanız, Daniel Bernstein'ın önerdiğini öneririz. ChaCha20-Poli1305 (Poly1305 parçası MAC'dir), bölümünde ayrıntılı olarak açıklandığı gibi RFC 8439.

Aşağıda, AES-128-GCM ve ChaCha20-Poly1305 (MAC kodlarını burada attık) kullanarak elde ettiklerimizi, 95,040 RGBA bayt (piksel başına 330 baytta 72×4) içeren bir “görüntü” ile birlikte gösterdik. Linux çekirdeği sözde rastgele oluşturucu.

Verilerin yapılandırılmamış görünmesinin gerçekten rastgele olduğu anlamına gelmediğini unutmayın; ancak rastgele görünmüyorsa ve şifrelenmiş olduğunu iddia ediyorsa, geride bir yapı kaldığını ve şifrelemenin şüphelenmek:

Sonra ne olur?

WithSecure'a göre, Microsoft, görünüşe göre Office 2010 ile geriye dönük uyumluluk nedenleriyle bu “güvenlik açığını” düzeltmeyi planlamıyor…

Office'in (2010) eski sürümleri AES 128 ECB gerektirir ve Office belgeleri, Office uygulamaları tarafından bu şekilde korunmaya devam eder.

…ve…

[WithSecure araştırmacılarının] raporu, güvenlik hizmeti için çıtayı karşılamadığı gibi bir ihlal olarak da değerlendirilmedi. Hiçbir kod değişikliği yapılmadı ve bu nedenle bu rapor için CVE yayınlanmadı.

Kısacası, şu anda OME'ye güveniyorsanız, hassas mesajlar için verilerinizi bu mesajları oluşturan uygulamalardan bağımsız olarak şifreleyen ve böylece dahili şifrelemeden bağımsız çalışan bir üçüncü taraf şifreleme aracıyla değiştirmeyi düşünebilirsiniz. Office aralığındaki kod.

Bu şekilde, Office 2010'da yerleşik olarak bulunan eski tarz şifre çözme koduna geri dönmek zorunda kalmadan modern bir şifreleme ve modern bir şifreleme işlemi modu seçebilirsiniz.

---

MAKALEDEKİ GÖRSELLERİ NASIL YAPIYORUZ Temizlenmiş SOPHOS logosunu en üstteki görüntüden kırpıp, 330 piksellik mavi sınırı kaldırarak ve PNG formatında kaydederek kendiniz oluşturabileceğiniz sop2.png ile başlayın.  Resmin boyutu 330x72 piksel olmalıdır.
 ImageMagick'i kullanarak RGBA'ya dönüştürün: $ Convert sop330.png sop.rgba Çıktı 330x72 piksel x 4 bayt/piksel = 95,040 bayttır.
 === Lua ve LuaOSSL kütüphanesini kullanarak şifreleyin (Python'un OpenSSL bağlantısı çok benzerdir): -- verileri yükleyin > fdat = misc.filetostr('sop.rgba') > fdat:len() 95040 -- şifre nesneleri oluşturun > aes = openssl.cipher.new('AES-128-ECB') > gcm = openssl.cipher.new('AES-128-GCM') > cha = openssl.cipher.new('ChaCha20-Poly1305') -- şifreleri ve IV'leri başlatın -- AES-128-ECB'nin 128 bitlik bir şifreye ihtiyacı vardır, ancak IV'e gerek yoktur -- AES-128-GCM'nin 128 bitlik bir şifreye ve 12 baytlık bir IV'e ihtiyacı vardır -- ChaCha20'nin 256 bitlik bir şifreye ihtiyacı vardır ve 12 baytlık bir IV > aes:encrypt('THEPASSWORDIS123') > gcm:encrypt('THEPASSWORDIS123','andkrokeutiv') > cha:encrypt('THEPASSWORDIS123THEPASSWORDIS123','qlxmtosh476g') -- dosya verilerini üç şifreyle şifreleyin > aesout = aes:final(fdat) > gcmout = gcm:final(fdat) > chaout = cha:final(fdat) -- bir akış şifresi bayt bayt çıktı üretir, -- dolayısıyla şifreli metin düz metinle aynı uzunlukta olmalıdır > gcmout:len() 95040 > chaout:len() 95040 -- burada GCM ve Poly1305'in MAC kodlarını kullanmayacağız, -- ancak her şifre 128 bitlik (16 bayt) bir "sağlama toplamı" üretir - - şifre çözme tamamlandıktan sonra kimlik doğrulaması yapmak için kullanılır, -- giriş şifreli metninin bozulduğunu veya saldırıya uğradığını tespit etmek için kullanılır -- (MAC anahtara bağlıdır, bu nedenle saldırgan onu taklit edemez) > base.hex(gcm:getTag( 16)) a70f204605cd5bd18c9e4da36cbc9e74 > base.hex(cha:getTag(16)) a55b97d5e9f3cb9a3be2fa4f040b56ef -- doğrudan /dev/random'dan bir 95040 "görüntü" oluşturun > rndout = misc.filetostr('/dev/random',#fdat) -- hepsini kaydedin - AES-ECB -- blok şifre çıktısını gereken tam görüntü uzunluğuna kadar kesin olarak kestiğimizi unutmayın, çünkü -- ECB'nin giriş boyutunu blok boyutuyla eşleştirmek için dolguya ihtiyacı var > misc.strtofile(aesout:sub(1) ,#fdat),'aes.rgba') > misc.strtofile(gcmout,'gcm.rgba') > misc.strtofile(chaout,'cha.rgba') > misc.strtofile(rndout,'rnd.rgba') === Dosyaları normal bir resim görüntüleyiciye yüklemek için, bunları kayıpsız bir şekilde PNG formatına dönüştürmeniz gerekebilir: $ Convert -length 8 -size 330x72 aes.rgba aes.png $ Convert -length 8 -size 330x72 gcm.rgba gcm.png $ dönüştürme -derinlik 8 -boyut 330x72 cha.rgba cha.png $ dönüştürme -derinlik 8 -boyut 330x72 rnd.rgba rnd.png === Şifreleme işleminin her RGBA pikselindeki dört baytın tamamını karıştırdığı göz önüne alındığında, ortaya çıkan sonuç görüntünün değişken şeffaflığı vardır (A = alfa, şeffaflığın kısaltması).
 Resim görüntüleyiciniz bu tür bir resmi, kafa karıştırıcı bir şekilde resmin bir parçası gibi görünen ancak aslında öyle olmayan bir dama tahtası arka planıyla görüntülemeye karar verebilir.  Bu nedenle, şifrelenmiş dosyaların daha kolay görüntülenmesini sağlamak amacıyla orijinal görüntüdeki Sophos mavisini arka plan olarak kullandık.  Bu nedenle genel mavi renk tonu görüntü verilerinin bir parçası değildir.