أسبوع الأمن 15: نقاط الضعف الحقيقية والتقليدية

في يوم الخميس ، 2 أبريل ، شاركت صحيفة The Guardian أرقامها الرائعة على منصة مؤتمرات الويب الخاصة بـ Zoom: زاد عدد الزيارات بنسبة 535٪. بالتأكيد كان Zoom أفضل من قدرة المنافسين على الاستفادة من الوضع ، والحصول على نمو إن لم يكن بالمال ، ثم بالتحديد في الشعبية وعدد المستخدمين. كان سبب هذا النجاح هو التسويق الفعال (على سبيل المثال ، توفر خيار تعريفة مجانية) بدلاً من بعض المزايا التقنية. كل شيء سيكون على ما يرام إذا لم يكن من أجل العنوان المميز لنفس المقالة في الجارديان: "Zoom is malware".

دعنا نحصل عليها مباشرة: Zoom ليست برامج ضارة. ليست هذه هي المرة الأولى التي تجذب فيها الشركات انتباه المتخصصين في أمن المعلومات في أعقاب الضجيج ، ولكن مناقشة الأسبوع الماضي حول عيوب Zoom كانت الترفيه الرئيسي للحزب بأكمله. باختصار: تشفير الزوم قابل للتداول ، لكنه ليس قويًا بما يكفي ، وبالتأكيد لا يمكن وصفه بأنه طرف إلى طرف. تم اكتشاف زوج من الثغرات الخطيرة ومجموعة من نقاط الضعف التافهة في البرنامج. تثير بعض ميزات الخدمة أسئلة تتعلق بالخصوصية - البيانات التي تمر عبر خادم في الصين وتتكامل مع LinkedIn. لا شيء فظيع ، ولكن يتضح مرة أخرى أن أمان الخدمة الرقمية لا يزال ليس مفتاح نجاحها.

لنبدأ المراجعة بمقالة كذبة نيسان (وليس كوميديا)Editions Vice: تتحدث عن خطأ يؤدي إلى تسرب جهات الاتصال ، وهو بشكل عام ، كما يحدث غالبًا ، ميزة. في البداية ، ركزت Zoom وأية وسيلة أخرى لإجراء المؤتمرات عن بعد بشكل صارم على الشركات: لم يتوقع أحد أن تبدأ حفلات الكاريوكي عبر الإنترنت. لدى Zoom كيان يسمى دليل الشركة: بمجرد أن تقوم بالتسجيل باستخدام بريد العمل ، فإن جميع جهات الاتصال على نفس المجال تكون مرئية تلقائيًا. إذا كنت تستخدم البريد الشخصي ، يمكنك الوصول إلى عدد كبير من المستخدمين العاديين ، ويكون اسمك الكامل وعنوانك البريدي متاحًا لهم. بالنسبة لخدمات البريد الشائعة مثل GMail أو Yahoo ، لا يعمل هذا ، ولكن إذا تم إعداد بريدك الشخصي ، على سبيل المثال ، على نطاق موفر إنترنت محلي ، فسترى عدة مئات من "الزملاء" في قائمة جهات الاتصال.

نذهب أبعد من ذلك. في العدد الأخير ، أبلغنا أن Zoom كان يرسل القياس عن بعد للمستخدم إلى Facebook ، ولكن ، تحت ضغط من الجمهور ، توقف عن القيام بذلك. في 31 مارس ، تمت مقاضاة Zoom في الولايات المتحدة لانتهاكها قانون خصوصية بيانات كاليفورنيا الذي تم تبنيه مؤخرًا. يُزعم أن الخدمة لم تُخطر المستخدمين بكيفية معالجتها وأين تُرسل المعلومات.

في 2 أبريل ، ذكرت صحيفة نيويورك تايمزأن الفيسبوك لم يقتصر على ذلك. كان لدى Zoom أيضًا تكامل مع LinkedIn ، مما سمح لمنظمي المكالمة الجماعية (مع حزمة LinkedIn Sales Navigator المدفوعة) بالعثور تلقائيًا على ملفات تعريف المتصلين على LinkedIn عن طريق العنوان البريدي. يبدو الأمر مخيفًا ، ولكنه في الواقع أداة تسويق تقليدية ، مناسبة عند العمل في Zoom كمدير مبيعات مع عملاء الشركة. عند عقد ندوات جماعية على الإنترنت ، يبدو هذا حقًا بمثابة انتهاك لمعايير الخصوصية: لا يعرف تقريبًا أي من الملايين من مستخدمي Zoom الجدد عن هذه الميزات. ومع ذلك ، نادرًا ما ندرك حجم التنميط في أي خدمات رقمية ، حتى لو تم وصفه بالتفصيل في اتفاقية ترخيص المستخدم النهائي. تمت إزالة الميزة على الفور من الخدمة.

أسوأ من ذلك. 30 مارس ، يكتب المتخصص الأمني ​​المعروف باتريك واردل مقالًابالاسم المميز "في كلمة Zoom ، فإن الحرف B يدور حول الأمن". اكتشف اثنين من نقاط الضعف الخطيرة إلى حد ما في عميل Zoom لنظام MacOS. تسمح طريقة تثبيت العميل غير القياسية للمستخدم المحلي ذي الإعاقة بالحصول على امتيازات الجذر. وفقًا للباحث ، يستخدم Zoom واجهة AuthorizationExecuteWithPrivileges API ، التي لم تعد موصى بها للاستخدام ، لتقليل إدخال المستخدم أثناء التثبيت. ونتيجة لذلك ، لم يتم التحقق من الملف القابل للتنفيذ (المثبت) الذي تم تشغيله بحقوق المستخدم الفائق ، ويمكن استبداله بسهولة بأي رمز آخر. كانت الثغرة الثانية ناتجة أيضًا عن التحايل على الممارسات القياسية لكتابة برنامج آمن لنظام التشغيل MacOS X في عميل Zoom ، وكانت النتيجة إمكانية التقاط الصور والصوت من كاميرا ويب وميكروفون. مرة أخرى ، المقدمةأن الكمبيوتر ضحيةتعرض بالفعل للخطر. "إذا تم اختراق جهاز الكمبيوتر الخاص بك ، فيمكنك القيام بأي شيء عليه." كلا الثغرات الأمنية مغلقة في 2 أبريل.

في كل منشور من هذا القبيل ، يتذكر Zoom الخطايا السابقة: خادم الويب الذي تم تثبيته على macOS مع العميل ولم يتم حذفه أثناء إلغاء التثبيت (كان على Apple إصدار تصحيح لإجبار الخادم على الحذف ، لأنه ضعيف بشكل طبيعي) ، وإدراج الويب - الكاميرات الافتراضية عند الاتصال بمؤتمر ويب ، مع آلية تم اكتشافها لاحقًا لجذب المستخدم. تم حل المشاكل منذ فترة طويلة ، لكنها أصبحت مناسبة لبيانات مثل "Zoom دائمًا ما كان كل شيء سيئًا مع الخصوصية".

يُبلغ موقع BleepingComputer عن ثغرات أمنية في عميل Zoom لنظام التشغيل Windows. يمكن للمستخدمين تبادل الروابط في محادثة الخدمة ، ومن المتوقع أن يجعل عميل Zoom الروابط قابلة للنقر ، بما في ذلك روابط لمجلدات الشبكة أو حتى الملفات المحلية ، ما يسمى UNC. نظريًا ، يمكنك تخيل موقف يتم فيه إرسال رابط إلى خادم ملفات عام للدردشة. عند النقر فوقه ، الخادم بالإعدادات الافتراضية ، سيتلقى Windows اسم مستخدم وتجزئة كلمة المرور الخاصة به.

يمكنك الذهاب إلى أبعد من ذلك وتخيل موقف يؤدي فيه الارتباط إلى تنفيذ التعليمات البرمجية على جهاز الكمبيوتر الخاص بالمستخدم. من الناحية العملية ، يكون الهجوم ممكنًا في الظروف الحالية غير القياسية لـ Zoom نفسها: عندما تكون هناك مكالمات جماعية عامة ذات أمان ضعيف التكوين وجمهور غير مفهوم.

دعنا ننتقل إلى المدفعية الثقيلة. وقد نشرت CitizenLab ومفصل الأمن تكبير التقرير . يصف "السمات" الذاتية للخدمة: التطور في الصين ، على الرغم من أن الشركة أمريكية ؛ إرسال البيانات إلى الخوادم الصينية حتى عندما لا يكون المشتركون هناك (أدرك Zoom لاحقًا أن هذا خطأ فني ). لكن الموضوع الرئيسي للدراسة هو تشفير التفاوض ، الذي لطالما أطلق عليه Zoom من البداية إلى النهاية. أولاً ، إنها ليست شاملة تمامًا ، حيث يتم إنشاء المفاتيح على خوادم Zoom. ثانيًا ، بدلاً من خوارزمية التشفير AES-256 المحددة أصلاً في الوثائق ، يتم استخدام AES-128 في وضع ECB .

إن طريقة التشفير الأبسط هذه ، مقارنةً بطريقة التشفير القديمة للكتاب ، تحافظ على أنماط البيانات غير المشفرة الأصلية. من الأفضل توضيح ذلك في التغريدة أعلاه أو في الصورة من ويكيبيديا أدناه: على الرغم من تشفير البيانات ، حتى بدون فك التشفير ، يمكنك الحصول على فكرة عن محتويات دفق الفيديو.

بشكل عام ، من الواضح لماذا لا يحب خبراء الأمان Zoom: هنا سيكون لديك سلوك مشكوك فيه على كمبيوتر المستخدم في الماضي (خادم ويب غير قابل للحذف على أجهزة كمبيوتر Apple) ، ونقص المعلومات الواضحة حول استخدام البيانات الشخصية ، والدفاعات غير الكاملة مع المضللة وصف. الشكوى الرئيسية: خصوصية المستخدم ليست الأولوية الرئيسية لمطوري Zoom ، ولكنها في مكان ما في نهاية المائة الأولى من "قائمة المهام". لم يتم العثور على أي شيء فظيع حقًا (مثل نقل البيانات بدون تشفير).

عند مناقشة كل هذه "الدراسات" ، يتم تقديم الحجج ضد نهج "الآن سوف نعرضها" ، وهو هستيري قليلاً. هناك طرق قياسية للباحثين المستقلين للتفاعل مع البائع ، وأخلاقيات الكشف عن معلومات الضعف. لماذا في حالة الوباء الفيروسي (وليس الكمبيوتر) يجب القيام به بشكل مختلف؟ ربما ، على العكس من ذلك ، يجدر زيادة وقت الانتظار لرد فعل البائع؟ لأنه ، بصراحة ، أي مقدم خدمة رقمية قلق الآن بشكل أساسي من أن الخوادم تتحمل تدفق المستخدمين. أخيرًا ، لم يغير أحد اكتشافات الأسبوع الماضي الموقف من Zoom والخدمات المماثلة. بالنسبة لحفلة الكاريوكي ، فهي رائعة لمحادثات الشركات أيضًا ، على الرغم من أنه من المفيد تدريب الموظفين على معايير السلامة الأساسية. حسنًا ، على سبيل المثال ، قم بتنزيل العميل من الموقع الرسمي ، وليس من أي مكان.للمفاوضات الحساسة بشأن المسائل السرية ، تحتاج إلى البحث عن خدمة (أو رفع خدمتك) مع تدقيق أمني إلزامي ، وليس النقر على الرابط الأول في بحث Google.

بالمناسبة ، تبين أن رد فعل البائع كان أكثر من كافٍ: في 1 أبريل ، أعلنت الشركة أنها ستعلق تطوير وظائف جديدة لمدة ثلاثة أشهر وستتعامل بشكل وثيق مع إصلاح الأخطاء والأمن.

ماذا حدث

لخص المنشور Threatpost نتائج مسح على الموقع حول الخصوصية في جائحة. 25٪ من المستجيبين على استعداد لإعطاء الأولوية للصحة على حساب الخصوصية (على سبيل المثال ، لمشاركة البيانات الطبية). وهذا بين الجمهور الذي يعتبر تقليديًا حساسًا لأي محاولات للبيانات الشخصية.

نقاط الضعف في متصفحات Firefox و Chrome مغلقة . قام فايرفوكس بتصحيح مشاكل خطيرة مع التنفيذ المحتمل للرمز التعسفي ، والتي يتم استخدامها بنشاط في الهجمات الحقيقية.

تم دمج شركات الإنترنت التمثيلية (Akamai و AWS و Cloudflare و Facebook)باسم تحسين أمان حركة مرور الشبكة وتصحيح عيوب بروتوكول توجيه BGP ، والتي أدت في السابق بشكل متكرر إلى "اختطاف حركة المرور" - إعادة توجيه حزم البيانات من خلال بوابة شبكة عشوائية ، عن طريق الخطأ أو حتى عن قصد.

تم اكتشاف خطأ جديد في البرنامج المساعد لـ WordPress ، Rank Math SEO-optimizer. يمكنك تعيين أي مستخدم مسجل على الموقع كمسؤول عن بُعد ، أو سحب الحقوق من مسؤول حقيقي. أرسلت

وكالة مراقبة الطيران الأمريكية (FAA) توجيهًا يطالب شركات الطيران بإعادة ضبط أنظمة التحكم للطائرة بوينج 787 مرة واحدة على الأقل كل 51 يومًا. السبب ، على الأرجح ، هو نفسه كما هو الحال في حالات أخرى مماثلة في مجال الطيران وليس فقط: تجاوز عداد الوقت.