यह आपके विचार से कठिन है
नीचे कोई ऑडियो प्लेयर नहीं है? सुनना सीधे साउंडक्लाउड पर।
डग आमोथ और पॉल डकलिन के साथ। इंट्रो और आउट्रो म्यूजिक by एडिथ मुडगे.
आप हमें इस पर सुन सकते हैं Soundcloud, ऐप्पल पॉडकास्ट्स, Google पॉडकास्ट, Spotify, सीनेवाली मशीन और कहीं भी अच्छे पॉडकास्ट मिल जाते हैं। या बस छोड़ दें हमारे आरएसएस फ़ीड का यूआरएल अपने पसंदीदा पॉडकैचर में।
प्रतिलेख पढ़ें
डौग पासवर्ड प्रबंधक दरारें, लॉगिन बग, और क्वीन एलिजाबेथ I बनाम मैरी क्वीन ऑफ़ स्कॉट्स ... बिल्कुल!
वह सब, और बहुत कुछ, नग्न सुरक्षा पॉडकास्ट पर।
[संगीत मोडेम]
पॉडकास्ट में आपका स्वागत है, सब लोग।
मैं डौग आमोत हूँ; वह पॉल डकलिन है।
पॉल, आप कैसे हैं?
बत्तख। वाह!
16वीं शताब्दी की सूचना प्रौद्योगिकी स्कलडगरी, नेकेड सिक्योरिटी पॉडकास्ट, डगलस से मिलती है।
मैं इंतजार नहीं कर सकता!
डौग जाहिर है, हां... हम उस पर जल्द ही पहुंचेंगे।
लेकिन पहले, हमेशा की तरह, टेक इतिहास के इस सप्ताह में, 28 मई 1987 को, ऑनलाइन सेवा प्रदाता CompuServe ने ग्राफ़िक्स इंटरचेंज फ़ॉर्मेट, या GIF [HARD G] नामक एक छोटी सी चीज़ जारी की।
यह CompuServe के एक इंजीनियर स्वर्गीय स्टीव विल्हाइट द्वारा विकसित किया गया था (जो, वैसे, इसे ऊपर और नीचे "जिफ" कहा गया था) सीमित बैंडविड्थ और प्रारंभिक कंप्यूटर नेटवर्क की भंडारण क्षमताओं पर रंगीन छवियों का समर्थन करने के साधन के रूप में विकसित किया गया था।
प्रारंभिक संस्करण, GIF 87a, अधिकतम 256 रंगों का समर्थन करता है; सरल एनिमेशन प्रदर्शित करने की क्षमता और विभिन्न कंप्यूटर सिस्टम में इसके व्यापक समर्थन के कारण इसने तेजी से लोकप्रियता हासिल की।
धन्यवाद, मिस्टर विल्हाइट।
बत्तख। और इसने हमें क्या छोड़ा है, डगलस?
वेब एनिमेशन, और इस बात पर विवाद कि क्या शब्द का उच्चारण "ग्राफिक्स" [हार्ड जी] या "जिराफिक्स" [सॉफ्ट जी] है।
डौग बिल्कुल। [हंसते हैं]
बत्तख। मैं इसे "giff" [हार्ड जी] नहीं कह सकता।
डौग वही!
चलिए उस पर मुहर लगाते हैं, और अपनी रोमांचक कहानी की ओर बढ़ते हैं...
…क्वीन एलिजाबेथ I, स्कॉट्स की मैरी क्वीन और एक आदमी के बारे में दोनों तरफ खेल रहा है रैनसमवेयर बदमाश और उसके नियोक्ता पॉल के बीच।
रैंसमवेयर की दास्तां: द मिटएम अटैक जिसमें वास्तव में बीच में एक आदमी था
बत्तख। [हंसते हैं] चलिए कहानी के अंत से शुरू करते हैं।
मूल रूप से, यह इंग्लैंड में ऑक्सफ़ोर्डशायर की एक प्रौद्योगिकी कंपनी के खिलाफ रैनसमवेयर हमला था।
(यह वाली नहीं... यह ऑक्सफोर्ड की एक कंपनी थी, एबिंगडन-ऑन-टेम्स से नदी के 15 किमी ऊपर, जहां सोफोस स्थित है।)
रैंसमवेयर की चपेट में आने के बाद, जैसा कि आप कल्पना कर सकते हैं, अपने डेटा को वापस पाने के लिए बिटकॉइन का भुगतान करने की मांग की।
और, उस कहानी की तरह हमारे पास एक था कुछ हफ़्ते पहले, उनकी अपनी रक्षात्मक टीम में से एक, जिसे इससे निपटने में मदद करनी थी, ने सोचा, "मैं एक एमआईटीएम चलाने जा रहा हूं", एक मैन-इन-द-मिडिल हमला।
मुझे पता है कि, लैंगिक भाषा से बचने के लिए और इस तथ्य को प्रतिबिंबित करने के लिए कि यह हमेशा एक व्यक्ति नहीं होता है (यह अक्सर बीच में एक कंप्यूटर होता है) ...
... नग्न सुरक्षा पर, अब मैं "मैनिपुलेटर-इन-द-मिडिल" लिखता हूं।
लेकिन यह सचमुच बीच का आदमी था।
सीधे शब्दों में कहें, डग, वह अपने नियोक्ता को घर से ईमेल करना शुरू करने में कामयाब रहा, एक प्रकार के टाइपोस्क्वाट ईमेल खाते का उपयोग करके जो बदमाश के ईमेल पते की तरह था।
उसने धागे को हाईजैक कर लिया, और ऐतिहासिक ईमेल ट्रेस में बिटकॉइन पता बदल दिया, क्योंकि उसके पास वरिष्ठ अधिकारियों के ईमेल खातों तक पहुंच थी ...
... और वह मूल रूप से एक बीच के आदमी के रूप में बातचीत करना शुरू कर दिया।
तो, आप कल्पना करते हैं कि वह अब बदमाश के साथ व्यक्तिगत रूप से बातचीत कर रहा है, और फिर वह उस बातचीत को अपने नियोक्ता को सौंप रहा है।
हम नहीं जानते कि क्या वह पूरे इनाम के साथ भाग जाने की उम्मीद कर रहा था और फिर बस अपने नियोक्ता से कहता है, "अरे, अनुमान लगाओ, बदमाशों ने हमें धोखा दिया", या क्या वह अपने अंत में बदमाशों से बातचीत करना चाहता था, और दूसरे छोर पर उसका नियोक्ता।
क्योंकि वह कंपनी के अंदर भय और आतंक को बढ़ाने के लिए सही/गलत बातें बोलना जानता था।
इसलिए, उनका लक्ष्य मूल रूप से रैंसमवेयर भुगतान को हाईजैक करना था।
खैर, डौग, यह सब थोड़ा नाशपाती के आकार का हो गया क्योंकि, दुर्भाग्य से उसके लिए और सौभाग्य से उसके नियोक्ता और कानून प्रवर्तन के लिए, कंपनी ने भुगतान नहीं करने का फैसला किया।
डौग [हंसते हैं] हम्मम्म!
बत्तख। इसलिए उसके पास चोरी करने और फिर कट-एंड-रन करने के लिए कोई बिटकॉइन नहीं था।
इसके अलावा, ऐसा लगता है कि उसने अपने निशानों को बहुत अच्छी तरह से नहीं छुपाया, और ईमेल लॉग्स तक उसकी गैरकानूनी पहुंच तब धुल गई।
वह स्पष्ट रूप से जानता था कि पुलिस उसके पीछे पड़ रही थी, क्योंकि उसने घर पर अपने कंप्यूटर और फोन से दुष्ट डेटा मिटाने की कोशिश की थी।
लेकिन उन्हें जब्त कर लिया गया और डेटा बरामद कर लिया गया।
किसी तरह मामला पांच साल तक खिंचता रहा, और अंत में, जैसे ही वह परीक्षण के लिए जाने वाला था, उसने स्पष्ट रूप से फैसला किया कि उसके पास खड़े होने के लिए वास्तव में एक पैर नहीं था और उसने दोषी होने का अनुरोध किया।
तो, यह लो, डौग।
एक शाब्दिक मैन-इन-द-बीच हमला!
डौग ठीक है, तो यह सब ठीक है और 2023 में अच्छा है …
…लेकिन हमें ले लो 1580 के दशक में वापस, पॉल.
मैरी, स्कॉट्स की रानी और महारानी एलिजाबेथ प्रथम के बारे में क्या?
बत्तख। ठीक है, ईमानदार होने के लिए, मैंने सोचा कि उन सभी वर्षों में वापस जाकर एक आदमी के मध्य हमले को समझाने का यह एक शानदार तरीका था।
क्योंकि, प्रसिद्ध रूप से, महारानी एलिजाबेथ और उनकी चचेरी बहन मैरी, स्कॉट्स की रानी धार्मिक और राजनीतिक दुश्मन थीं।
एलिजाबेथ इंग्लैंड की रानी थी; मैरी सिंहासन की दावेदार थी।
इसलिए, मैरी को प्रभावी रूप से हाउस अरेस्ट के तहत हिरासत में लिया गया था।
मैरी कुछ विलासिता में रह रही थी, लेकिन एक महल तक ही सीमित थी, और वास्तव में अपने चचेरे भाई के खिलाफ साजिश रच रही थी, लेकिन वे इसे साबित नहीं कर सके।
और मैरी महल में पहुंचाए जाने वाले बीयर बैरल के पुंजों में भरकर संदेश भेज रही थी और प्राप्त कर रही थी।
जाहिरा तौर पर, इस मामले में, बीच का आदमी एक आज्ञाकारी बीयर आपूर्तिकर्ता था जो मैरी के मिलने से पहले संदेशों को हटा देगा, ताकि उन्हें कॉपी किया जा सके।
और वह प्रतिस्थापन संदेशों को सम्मिलित करेगा, मैरी के सिफर के साथ एन्क्रिप्ट किया गया, सूक्ष्म परिवर्तनों के साथ, जो शिथिल रूप से बोल रहा था, अंततः मैरी को जितना संभव हो उससे अधिक लिखने के लिए राजी किया।
इसलिए उसने न केवल अन्य षड्यंत्रकारियों के नाम बताए, बल्कि यह भी संकेत दिया कि उसने महारानी एलिजाबेथ की हत्या की साजिश को मंजूरी दी है।
वे तब कठिन समय थे ... और इंग्लैंड में निश्चित रूप से उन दिनों मृत्युदंड था, और मैरी पर मुकदमा चलाया गया और उन्हें मार दिया गया।
डौग ठीक है, इसलिए सुनने वाले किसी भी व्यक्ति के लिए, इस पॉडकास्ट के लिए एलीवेटर पिच है, "साइबर सुरक्षा समाचार और सलाह, और इतिहास का थोड़ा छिड़काव"।
वर्तमान दिन में हमारे बीच-बीच में वापस।
हमने इस बारे में बात की एक और अंदरूनी खतरा अभी कुछ समय पहले ऐसा ही हुआ है।
तो यह देखना दिलचस्प होगा कि क्या यह एक पैटर्न है, या यह सिर्फ एक संयोग है।
लेकिन हमने कुछ ऐसी चीजों के बारे में बात की है जो आप इस प्रकार के हमलों से खुद को बचाने के लिए कर सकते हैं, तो आइए जल्दी से उन पर दोबारा गौर करें।
के साथ शुरू: विभाजन और जीत, जिसका मूल रूप से अर्थ है, "कंपनी में एक व्यक्ति को हर चीज तक असीमित पहुंच न दें," पॉल।
बत्तख। हां.
डौग और फिर हमारे पास है: अपरिवर्तनीय लॉग रखें, जो ऐसा लग रहा था कि इस मामले में हुआ है, है ना?
बत्तख। हां.
ऐसा लगता है कि इस मामले में साक्ष्य का एक प्रमुख तत्व यह तथ्य था कि वह वरिष्ठ अधिकारियों के ईमेल में खुदाई कर रहा था और उन्हें बदल रहा था, और वह उसे छिपाने में असमर्थ था।
तो आप कल्पना करते हैं, अन्य सबूतों के बिना भी, तथ्य यह है कि वह ईमेल के साथ गड़बड़ कर रहा था जो विशेष रूप से रैनसमवेयर वार्ताओं और बिटकॉइन पते से संबंधित अतिरिक्त-सुपर संदिग्ध होगा।
डौग ठीक है, अंत में: हमेशा मापें, कभी न मानें।
बत्तख। वास्तव में!
डौग अंतत: अच्छे लोगों की जीत हुई... पांच साल लग गए, लेकिन हमने कर दिखाया।
चलिए अपनी अगली कहानी की ओर बढ़ते हैं।
वेब सुरक्षा कंपनी को ऐप-बिल्डिंग टूलकिट में लॉगिन बग का पता चलता है।
बग को जल्दी और पारदर्शी तरीके से ठीक किया गया है, तो यह अच्छा है... लेकिन कुछ है कहानी के लिए और अधिकबेशक, पॉल।
गंभीर सुरक्षा: सत्यापन महत्वपूर्ण है - OAUTH लॉगिन बग की जाँच करना
बत्तख। हां.
यह एक वेब कोडिंग सुरक्षा विश्लेषण कंपनी है (मुझे उम्मीद है कि मैंने वहां सही शब्दावली चुनी है) जिसे SALT कहा जाता है, और उन्हें एक्सपो नामक ऐप-बिल्डिंग टूलकिट में प्रमाणीकरण भेद्यता मिली।
और, उनके दिल को आशीर्वाद दें, एक्सपो OAUTH नामक चीज़ का समर्थन करें प्राधिकरण खोलें प्रणाली।
यह उस प्रकार की प्रणाली है जिसका उपयोग तब किया जाता है जब आप किसी वेबसाइट पर जाते हैं जिसने निर्णय लिया है, "आप जानते हैं कि, हम अपने लिए पासवर्ड सुरक्षा कैसे करें सीखने की कोशिश करने की परेशानी नहीं चाहते हैं। हम क्या करने जा रहे हैं, हम कहने जा रहे हैं, 'Google से लॉगिन करें, Facebook से लॉगिन करें'," ऐसा ही कुछ।
और विचार यह है कि, शिथिल रूप से बोलते हुए, आप फेसबुक, या Google, या जो भी मुख्यधारा की सेवा है, से संपर्क करें और आप कहें, "अरे, मैं देना चाहता हूं example.com
एक्स करने की अनुमति।"
तो, फेसबुक, या Google, या जो कुछ भी, आपको प्रमाणित करता है और फिर कहता है, "ठीक है, यह एक जादुई कोड है जो आप दूसरे छोर को दे सकते हैं जो कहता है, 'हमने आपको चेक आउट कर दिया है; आपने हमारे साथ प्रमाणित किया है, और यह आपका प्रमाणीकरण टोकन है।"
फिर, दूसरा छोर स्वतंत्र रूप से फेसबुक, या Google, या जो कुछ भी यह सुनिश्चित करने के लिए जांच कर सकता है कि वह टोकन आपकी ओर से जारी किया गया था।
तो इसका मतलब यह है कि आपको कभी भी साइट को कोई पासवर्ड सौंपने की आवश्यकता नहीं है... आप चाहें तो अपने लिए वास्तविक प्रमाणीकरण भाग करने के लिए Facebook या Google का सह-चयन कर सकते हैं।
यह एक अच्छा विचार है यदि आप एक बुटीक वेबसाइट हैं और आप सोचते हैं, "मैं अपनी खुद की क्रिप्टोग्राफी बुनने वाला नहीं हूं।"
तो, यह OAUTH में बग नहीं है।
यह सिर्फ एक निरीक्षण है; कुछ ऐसा जिसे एक्सपो के OAUTH प्रक्रिया के कार्यान्वयन में भुला दिया गया था।
और, ढीले ढंग से बोलना, डौग, यह इस तरह से चलता है।
एक्सपो कोड एक विशाल यूआरएल बनाता है जिसमें फेसबुक के साथ प्रमाणीकरण के लिए आवश्यक सभी पैरामीटर शामिल होते हैं, और फिर यह तय करते हैं कि अंतिम मैजिक एक्सेस टोकन कहां भेजा जाना चाहिए।
इसलिए, सिद्धांत रूप में, यदि आपने अपना स्वयं का URL बनाया है या आप URL को संशोधित करने में सक्षम थे, तो आप उस स्थान को बदल सकते हैं जहाँ यह मैजिक ऑथेंटिकेशन टोकन अंततः भेजा गया था।
लेकिन आप उपयोगकर्ता को धोखा देने में सक्षम नहीं होंगे, क्योंकि एक संवाद प्रकट होता है जो कहता है, "एप्लिकेशन पर URL-here
आपसे आपके Facebook खाते में साइन इन करने के लिए कह रहा है. क्या आप इस पर पूरा भरोसा करते हैं और इसे ऐसा करने देना चाहते हैं? हां या नहीं?"
हालाँकि, जब फेसबुक, या Google, या जो भी हो, से प्राधिकरण कोड प्राप्त करने और इसे "वापसी URL" पर पास करने की बात आई, तो एक्सपो कोड यह जाँच नहीं करेगा कि आपने वास्तव में क्लिक किया था Yes
अनुमोदन संवाद पर।
यदि आपने सक्रिय रूप से संवाद देखा और क्लिक किया No
, तो आप हमले को होने से रोकेंगे।
लेकिन, अनिवार्य रूप से, यह "विफल खुला"।
यदि आपने कभी संवाद नहीं देखा, तो आपको यह भी पता नहीं चलेगा कि क्लिक करने के लिए कुछ था और आपने कुछ भी नहीं किया, और फिर हमलावरों ने अगली यूआरएल विज़िट को और अधिक जावास्क्रिप्ट के साथ स्वयं ही ट्रिगर किया ...
…तो सिस्टम काम करेगा।
और इसके काम करने का कारण यह है कि मैजिक "रिटर्न URL", वह स्थान जहां सुपर-सीक्रेट ऑथराइजेशन कोड भेजा जाना था, एक्सपो के लिए एक वेब कुकी में सेट किया गया था ताकि बाद में आपके द्वारा क्लिक करने से पहले इसका उपयोग किया जा सके। Yes
डायलॉग पर*.
बाद में, उस "वापसी यूआरएल" कुकी का अस्तित्व अनिवार्य रूप से लिया गया था, यदि आप चाहें, सबूत के तौर पर आपने संवाद देखा होगा, और आपने आगे बढ़ने का फैसला किया होगा।
जबकि असल में ऐसा नहीं था.
तो यह एक बड़ी स्लिप 'ट्विक्सट कप और लिप, डगलस थी।
डौग ठीक है, हमारे पास कुछ सुझाव हैं, जो निम्न से शुरू होते हैं: जब इस बग की रिपोर्ट करने और खुलासा करने की बात आई, तो यह पाठ्यपुस्तक का मामला था।
यह लगभग ठीक है कि आपको इसे कैसे करना चाहिए, पॉल।
सब कुछ ठीक वैसे ही काम करता है जैसे इसे करना चाहिए, इसलिए यह एक बेहतरीन उदाहरण है कि इसे सर्वोत्तम तरीके से कैसे किया जाए।
बत्तख। और यही एक मुख्य कारण है कि मैं इसे नग्न सुरक्षा पर क्यों लिखना चाहता था।
SALT, जिन लोगों को बग मिला...
..उन्होंने इसे पाया; उन्होंने इसे जिम्मेदारी से प्रकट किया; उन्होंने एक्सपो के साथ काम किया, जिन्होंने इसे घंटों के भीतर ठीक कर दिया।
इसलिए, भले ही यह एक बग था, भले ही यह एक कोडिंग गलती थी, इसने SALT को यह कहते हुए प्रेरित किया, "आप जानते हैं कि, एक्सपो के लोगों के साथ काम करना एक परम आनंद था।"
फिर, SALT एक CVE प्राप्त करने के बारे में चला गया, और जाने के बजाय, "अरे, अब बग ठीक हो गया है, इसलिए दो दिन बाद हम इसके बारे में एक बड़ा पीआर स्पलैश कर सकते हैं," फिर भी वे तीन महीने आगे की तारीख निर्धारित करते हैं जब वे वास्तव में लिखेंगे अपने निष्कर्षों को ऊपर उठाएं और अपनी बहुत ही शैक्षिक रिपोर्ट लिखें।
तत्काल पीआर उद्देश्यों के लिए इसे बाहर निकालने के बजाय, यदि वे अंतिम समय में स्कूप हो गए, तो उन्होंने न केवल जिम्मेदारी से इसकी सूचना दी, ताकि बदमाशों के मिलने से पहले इसे ठीक किया जा सके (और इसका कोई सबूत नहीं है कि किसी ने इस भेद्यता का दुरुपयोग किया था), वे तब भी एक्सपो को वहां जाने और अपने ग्राहकों के साथ संवाद करने के लिए थोड़ी सी छूट दी।
डौग और फिर बेशक, हमने इसके बारे में थोड़ी बात की: सुनिश्चित करें कि आपकी प्रमाणीकरण जांच विफल हो गई है.
सुनिश्चित करें कि अगर कोई इसे अनदेखा करता है या रद्द करता है तो यह केवल काम नहीं करता है।
लेकिन यहाँ बड़ा मुद्दा यह है: यह कभी न मानें कि आपका अपना क्लाइंट साइड कोड सत्यापन प्रक्रिया को नियंत्रित करेगा।
बत्तख। यदि आपने इस OAUTH प्रक्रिया के माध्यम से आपको ले जाने के लिए एक्सपो द्वारा प्रदान किए गए जावास्क्रिप्ट कोड की सटीक प्रक्रिया का पालन किया होता, तो आप ठीक होते।
लेकिन अगर आप उनके कोड से बचते हैं और वास्तव में अपने खुद के जावास्क्रिप्ट के साथ लिंक ट्रिगर करते हैं, जिसमें पॉपअप को बायपास या रद्द करना शामिल है, तो आप जीत गए।
आपके क्लाइंट कोड को बायपास करना पहली बात है जिसके बारे में एक हमलावर सोचने वाला है।
डौग ठीक है, अंतिम लेकिन कम से कम नहीं: जब आप सक्रिय रूप से उनका उपयोग नहीं कर रहे हों तो वेब खातों से लॉग आउट करें।
यह अच्छी सलाह है।
बत्तख। हम इसे हर समय नग्न सुरक्षा पॉडकास्ट पर कहते हैं, और हमारे पास है कई साल.
यह अलोकप्रिय सलाह है, क्योंकि यह बल्कि असुविधाजनक है, उसी तरह जैसे लोगों को यह बताना, "अरे, बाहर निकलने पर सभी कुकीज़ को साफ़ करने के लिए अपने ब्राउज़र को क्यों सेट नहीं करना चाहिए?"
यदि आप इसके बारे में सोचते हैं, तो इस विशेष मामले में... मान लें कि लॉगिन आपके Facebook खाते के माध्यम से हो रहा था; फेसबुक के माध्यम से OAUTH।
यदि आप फेसबुक से लॉग आउट हो गए थे, तो एक हमलावर ने चाहे जो भी जावास्क्रिप्ट विश्वासघाती प्रयास किया हो (एक्सपो पॉपअप और उस सभी सामान को मारना), फेसबुक के साथ प्रमाणीकरण प्रक्रिया सफल नहीं होगी क्योंकि फेसबुक जाएगा, "अरे, यह व्यक्ति मुझे उन्हें प्रमाणित करने के लिए कह रहे हैं। वे वर्तमान में लॉग इन नहीं हैं।"
तो आप हमेशा और अपरिहार्य रूप से उस बिंदु पर फेसबुक लॉगिन पॉप अप देखेंगे: "आपको अभी लॉग इन करने की आवश्यकता है।"
और वह छल को तुरंत दूर कर देगा।
डौग ठीक है बहुत अच्छा।
और हमारी दिन की आखिरी कहानी: घबराएं नहीं, लेकिन जाहिर तौर पर ओपन-सोर्स पासवर्ड मैनेजर कीपास के लिए मास्टर पासवर्ड को क्रैक करने का एक तरीका है।
लेकिन, फिर से, घबराएं नहीं, क्योंकि यह एक बहुत अधिक जटिल जितना लगता है, पॉल।
आपको वास्तव में किसी की मशीन पर नियंत्रण रखना होगा।
गंभीर सुरक्षा: वह कीपास "मास्टर पासवर्ड क्रैक", और हम इससे क्या सीख सकते हैं
बत्तख। तुम करो।
यदि आप इसे ट्रैक करना चाहते हैं, तो यह CVE-2023-32784 है।
यह एक आकर्षक बग है, और मैंने एक तरह का लिखा है प्रसिद्ध रचना इसके बारे में नग्न सुरक्षा पर शैली लेख, हकदार: वह कीपास 'मास्टर पासवर्ड क्रैक' और हम इससे क्या सीख सकते हैं।
इसलिए मैं उस लेख को खराब नहीं करूंगा, जो सी-टाइप मेमोरी एलोकेशन, स्क्रिप्टिंग लैंग्वेज-टाइप मेमोरी एलोकेशन, और अंत में C# या .NET मैनेज्ड स्ट्रिंग्स... सिस्टम द्वारा मैनेज्ड मेमोरी एलोकेशन में जाता है।
मैं केवल वर्णन करूंगा कि इस मामले में शोधकर्ता ने क्या खोजा।
उन्होंने क्या किया है ... वे KeePass कोड और KeePass मेमोरी डंप में देख रहे थे, इस बात के सबूत के लिए कि मास्टर पासवर्ड को मेमोरी में खोजना कितना आसान हो सकता है, भले ही अस्थायी रूप से।
क्या होगा अगर यह मिनट, घंटे या दिन बाद हो?
क्या होगा यदि मास्टर पासवर्ड अभी भी डिस्क पर आपकी स्वैप फ़ाइल में हो सकता है, भले ही आपने अपने कंप्यूटर को रीबूट कर दिया हो?
इसलिए मैंने कीपास की स्थापना की, और मैंने खुद को एक 16-वर्ण, पूर्ण-अपरकेस पासवर्ड दिया ताकि अगर मुझे यह स्मृति में मिले तो इसे पहचानना आसान हो।
और, देखो और निहारना, किसी भी बिंदु पर मुझे कभी भी अपना मास्टर पासवर्ड स्मृति में पड़ा हुआ नहीं मिला: ASCII स्ट्रिंग के रूप में नहीं; Windows वाइडचर (UTF-16)) स्ट्रिंग के रूप में नहीं।
महान!
लेकिन इस शोधकर्ता ने देखा कि जब आप कीपास में अपना पासवर्ड टाइप करते हैं, तो यह प्रदर्शित होता है... मैं इसे "यूनिकोड ब्लॉब कैरेक्टर" कहूंगा, बस आपको यह दिखाने के लिए कि हां, आपने एक कुंजी दबाई थी, और इसलिए आपको दिखाने के लिए आपने कितने वर्ण टाइप किए हैं।
इसलिए, जब आप अपने पासवर्ड में टाइप करते हैं, तो आप स्ट्रिंग ब्लॉब [●], ब्लॉब-ब्लॉब [●●], ब्लॉब-ब्लॉब-ब्लॉब [●●●] देखते हैं, और मेरे मामले में, 16 ब्लब्स तक सब कुछ दिखाई देता है।
ठीक है, उन बूँद तारों को ऐसा नहीं लगता कि वे एक सुरक्षा जोखिम होंगे, इसलिए हो सकता है कि उन्हें "प्रबंधित स्ट्रिंग्स" के रूप में प्रबंधित करने के लिए .NET रनटाइम पर छोड़ दिया जा रहा हो, जहां वे बाद में मेमोरी में पड़े रह सकते हैं ...
…और सफाई न कराएं क्योंकि, "अरे, वे तो बस बूँदें हैं।"
यह पता चला है कि यदि आप KeePass का मेमोरी डंप करते हैं, जो आपको 250MB का सामान देता है, और आप ब्लॉब-ब्लॉब, ब्लॉब-ब्लॉब-ब्लॉब, और इसी तरह (किसी भी संख्या में ब्लॉब्स) की तलाश में जाते हैं, तो वहाँ है मेमोरी डंप का एक हिस्सा जहां आप दो बूँद देखेंगे, फिर तीन बूँद, फिर चार बूँद, फिर पाँच बूँद ... और मेरे मामले में, सभी तरह से 16 बूँदें।
और फिर यदि आप चाहें तो आपको "गलती से होने वाले बूँद पात्रों" का यह यादृच्छिक संग्रह मिल जाएगा।
दूसरे शब्दों में, केवल उन ब्लॉब स्ट्रिंग्स की तलाश करना, भले ही वे आपका वास्तविक पासवर्ड न दें, आपके पासवर्ड की लंबाई को लीक कर देगा।
हालाँकि, यह और भी दिलचस्प हो जाता है, क्योंकि इस शोधकर्ता ने जो सोचा वह यह है, "क्या होगा यदि मेमोरी में उन ब्लॉब स्ट्रिंग्स के पास का डेटा किसी तरह से आपके द्वारा पासवर्ड में टाइप किए गए अलग-अलग वर्णों से बंधा हो?"
तो, क्या होगा यदि आप मेमोरी डंप फ़ाइल के माध्यम से जाते हैं, और केवल दो ब्लॉब्स, तीन ब्लॉब्स/चार ब्लॉब्स, और अधिक खोजने के बजाय ...
…आप ब्लब्स की एक स्ट्रिंग की खोज करते हैं जिसके बाद एक वर्ण होता है जो आपको लगता है कि पासवर्ड में है?
इसलिए, मेरे मामले में, मैं सिर्फ अक्षर A से Z तक खोज रहा था, क्योंकि मुझे पता था कि पासवर्ड में यही है।
मैं ब्लब्स की किसी भी स्ट्रिंग की खोज कर रहा हूं, उसके बाद एक एएससीआईआई चरित्र।
लगता है क्या हुआ, डौग?
मुझे अपने पासवर्ड के तीसरे अक्षर के बाद दो ब्लब्स मिलते हैं; मेरे पासवर्ड के चौथे अक्षर के बाद तीन बूँदें; मेरे पासवर्ड में 15वें वर्ण के तुरंत बाद 16 ब्लब्स तक।
डौग हाँ, इस लेख में यह एक जंगली दृश्य है!
मैं साथ चल रहा था ... यह थोड़ा तकनीकी हो रहा था, और अचानक मैं देखता हूं, "वाह! यह एक पासवर्ड जैसा दिखता है!
बत्तख। यह मूल रूप से ऐसा है जैसे कि आपके पासवर्ड के अलग-अलग अक्षर स्मृति के माध्यम से उदारतापूर्वक बिखरे हुए हैं, लेकिन वे जो ASCII वर्णों का प्रतिनिधित्व करते हैं जो वास्तव में आपके पासवर्ड का हिस्सा थे जैसे आपने इसे टाइप किया था ...
...ऐसा लगता है कि उनके साथ ल्यूमिनसेंट डाई जुड़ी हुई है।
तो, ब्लब्स के ये तार अनजाने में आपके पासवर्ड में वर्णों को फ़्लैग करने के लिए एक टैगिंग तंत्र के रूप में कार्य करते हैं।
और, वास्तव में, कहानी का नैतिक यह है कि चीजें स्मृति में उन तरीकों से लीक हो सकती हैं जिनकी आपने कभी उम्मीद नहीं की थी, और यहां तक कि एक अच्छी तरह से सूचित कोड समीक्षक भी ध्यान नहीं दे सकता।
तो यह एक आकर्षक पठन है, और यह एक महान अनुस्मारक है कि सुरक्षित कोड लिखना आपके विचार से कहीं अधिक कठिन हो सकता है।
और इससे भी महत्वपूर्ण बात, समीक्षा करना, और गुणवत्ता-सुनिश्चित करना, और सुरक्षित कोड का परीक्षण करना अभी भी कठिन हो सकता है ...
... क्योंकि आपको अपने सिर के आगे, पीछे, और किनारों पर आँखें रखनी होंगी, और आपको वास्तव में एक हमलावर की तरह सोचना होगा और हर जगह आप कर सकते हैं लीक से हटकर रहस्यों की तलाश करने की कोशिश करनी होगी।
डौग ठीक है, इसे बाहर की जाँच, यह makedsecurity.sophos.com पर है।
और, जैसे ही सूरज हमारे शो पर सेट होना शुरू होता है, यह हमारे पाठकों में से एक को सुनने का समय है।
पिछले पॉडकास्ट पर (यह मेरी पसंदीदा टिप्पणियों में से एक है, पॉल), नग्न सुरक्षा श्रोता चांग टिप्पणी:
वहाँ। मैं इसे पूरा कर दिया है। लगभग दो वर्षों के द्वि घातुमान सुनने के बाद, मैंने नग्न सुरक्षा पॉडकास्ट के सभी एपिसोड सुनना समाप्त कर दिया। मैं सब फंस गया हूँ।
मैंने शुरुआत से ही इसका आनंद लिया, लंबे समय तक चलने वाले चेट चैट के साथ; फिर ब्रिटेन के चालक दल के लिए; "ओह तेरी! इट्स किम” अगला था; फिर मैं अंत में आज के "तकनीकी इतिहास में इस सप्ताह" पर पहुंच गया।
कमाल की राइड!
धन्यवाद, चांग!
मैं विश्वास नहीं कर सकता कि आपने सभी एपिसोड बिंज किए हैं, लेकिन हम सभी करते हैं (मुझे आशा है कि मैं बारी से बाहर नहीं बोल रहा हूं) इसकी बहुत सराहना करते हैं।
बत्तख। वास्तव में, डौग!
यह जानकर अच्छा लगता है कि न केवल लोग सुन रहे हैं, बल्कि यह भी कि वे पॉडकास्ट को उपयोगी पा रहे हैं, और यह उन्हें साइबर सुरक्षा के बारे में अधिक जानने में मदद कर रहा है, और अपने खेल को बेहतर बनाने में मदद कर रहा है, भले ही यह थोड़ा सा ही क्यों न हो।
क्योंकि मुझे लगता है, जैसा कि मैंने पहले भी कई बार कहा है, अगर हम सभी अपने साइबर सुरक्षा खेल को थोड़ा सा ऊपर उठाएं, तो हम बदमाशों को दूर रखने के लिए एक या दो कंपनियों, एक या दो संगठनों, एक या दो व्यक्तियों ने बड़ी मात्रा में प्रयास किया, लेकिन हममें से बाकी लोग पीछे रह गए।
डौग ठीक ठीक!
खैर, एक बार फिर बहुत बहुत धन्यवाद, चांग, इसे भेजने के लिए।
हम वास्तव में इसकी बहुत सराहना करते हैं।
और अगर आपके पास कोई दिलचस्प कहानी, टिप्पणी या सवाल है जिसे आप सबमिट करना चाहते हैं, तो हम इसे पॉडकास्ट पर पढ़ना पसंद करते हैं।
आप tips@sophos.com पर ईमेल कर सकते हैं, आप हमारे किसी भी लेख पर टिप्पणी कर सकते हैं, या आप हमें सामाजिक: @nakedsecurity पर संपर्क कर सकते हैं।
आज के लिए यही हमारा शो है; सुनने के लिए बहुत बहुत धन्यवाद।
पॉल डकलिन के लिए, मैं डौग आमोथ हूं, अगली बार तक, आपको याद दिला रहा हूं ...
दोनों को। सुरक्षित रहें!
[संगीत मोडेम]
- एसईओ संचालित सामग्री और पीआर वितरण। आज ही प्रवर्धित हो जाओ।
- प्लेटोआईस्ट्रीम। Web3 डेटा इंटेलिजेंस। ज्ञान प्रवर्धित। यहां पहुंचें।
- मिंटिंग द फ्यूचर डब्ल्यू एड्रिएन एशले। यहां पहुंचें।
- PREIPO® के साथ PRE-IPO कंपनियों में शेयर खरीदें और बेचें। यहां पहुंचें।
- स्रोत: https://nakedsecurity.sophos.com/2023/06/01/s3-ep137-16th-century-crypto-skullduggery/
- :हैस
- :है
- :नहीं
- :कहाँ
- $यूपी
- 10
- 15% तक
- 28
- a
- क्षमता
- योग्य
- About
- इसके बारे में
- पूर्ण
- बिल्कुल
- पहुँच
- लेखा
- अकौन्टस(लेखा)
- के पार
- अधिनियम
- सक्रिय रूप से
- वास्तविक
- वास्तव में
- पता
- पतों
- सलाह
- बाद
- फिर
- के खिलाफ
- पूर्व
- आगे
- सब
- आवंटन
- ठीक है
- भी
- हमेशा
- am
- राशि
- an
- विश्लेषण
- और
- एनिमेशन
- कोई
- किसी
- कहीं भी
- अनुप्रयोग
- Apple
- सराहना
- अनुमोदन
- अनुमोदित
- हैं
- चारों ओर
- गिरफ्तारी
- लेख
- लेख
- AS
- At
- आक्रमण
- आक्रमण
- ऑडियो
- प्रमाणित
- प्रमाणीकृत
- प्रमाणित करता है
- प्रमाणीकरण
- लेखक
- अनुमति
- से बचने
- बचा
- दूर
- वापस
- बैंडविड्थ
- बैरल
- आधारित
- मूल रूप से
- खाड़ी
- BE
- क्योंकि
- किया गया
- बीयर
- से पहले
- शुरू
- पीछे
- जा रहा है
- मानना
- नीचे
- BEST
- के बीच
- बड़ा
- बड़ा
- बिट
- Bitcoin
- बिटकॉइन का पता
- के छात्रों
- इनाम
- ब्राउज़र
- दोष
- कीड़े
- लेकिन
- by
- कॉल
- बुलाया
- आया
- कर सकते हैं
- क्षमता
- मामला
- पकड़ा
- सदी
- निश्चित रूप से
- चांग
- परिवर्तन
- बदल
- परिवर्तन
- बदलना
- चरित्र
- अक्षर
- चेक
- जाँच
- जाँचता
- बीजलेख
- स्पष्ट
- क्लिक करें
- ग्राहक
- समापन
- कोड
- कोडन
- संयोग
- संग्रह
- COM
- टिप्पणी
- टिप्पणियाँ
- संवाद
- कंपनियों
- कंपनी
- आज्ञाकारी
- कंप्यूटर
- कंप्यूटर्स
- संपर्क करें
- नियंत्रण
- विवाद
- कुकी
- कुकीज़
- पुलिस
- सका
- पाठ्यक्रम
- दरार
- फटा
- बनाता है
- बदमाश
- क्रिप्टो
- क्रिप्टोग्राफी
- कप
- वर्तमान
- वर्तमान में
- ग्राहक
- सीवीई
- साइबर सुरक्षा
- तिथि
- तारीख
- दिन
- दिन
- सौदा
- मौत
- का फैसला किया
- निर्णय लेने से
- बचाव
- दिया गया
- मांग
- वर्णन
- हिरासत में लिया
- विकसित
- बातचीत
- बातचीत
- डीआईडी
- Умереть
- विभिन्न
- का खुलासा
- की खोज
- डिस्प्ले
- do
- नहीं करता है
- किया
- dont
- नीचे
- बूंद
- दो
- फेंकना
- शीघ्र
- आसान
- शैक्षिक
- प्रभावी रूप से
- प्रयास
- तत्व
- एलिवेटर पिच
- ईमेल
- ईमेल
- एन्क्रिप्टेड
- समाप्त
- दुश्मनों
- प्रवर्तन
- इंजीनियर
- इंगलैंड
- हकदार
- एपिसोड
- अनिवार्य
- और भी
- अंत में
- कभी
- सब कुछ
- सबूत
- ठीक ठीक
- जांच
- उदाहरण
- उत्तेजक
- मार डाला
- निकास
- अपेक्षित
- समझा
- प्रदर्शनी
- आंखें
- फेसबुक
- तथ्य
- असफल
- प्रसिद्धि से
- आकर्षक
- पसंदीदा
- डर
- लगा
- पट्टिका
- अंतिम
- अंत में
- खोज
- खोज
- निष्कर्ष
- पाता
- अंत
- प्रथम
- तय
- पीछा किया
- निम्नलिखित
- के लिए
- भूल
- प्रारूप
- भाग्यवश
- पाया
- चार
- चौथा
- से
- सामने
- पूरी तरह से
- प्राप्त की
- खेल
- मिल
- मिल रहा
- विशाल
- gif
- देना
- देता है
- Go
- लक्ष्य
- चला जाता है
- जा
- अच्छा
- गूगल
- ग्राफ़िक्स
- महान
- दोषी
- था
- हाथ
- होना
- हुआ
- हो रहा है
- कठिन
- है
- he
- सिर
- सुनना
- मदद
- उसे
- यहाँ उत्पन्न करें
- छिपाना
- डाका डालना
- उसे
- उसके
- ऐतिहासिक
- इतिहास
- मारो
- होम
- आशा
- उम्मीद कर रहा
- घंटे
- मकान
- कैसे
- How To
- HTTPS
- विशाल
- i
- मैं करता हूँ
- विचार
- if
- छवियों
- कल्पना करना
- तत्काल
- तुरंत
- अडिग
- कार्यान्वयन
- in
- शामिल
- सहित
- बढ़ना
- स्वतंत्र रूप से
- संकेत दिया
- व्यक्ति
- व्यक्तिगत रूप से
- व्यक्तियों
- करें-
- सूचना प्रौद्योगिकी
- प्रारंभिक
- अंदरूनी सूत्र
- बजाय
- दिलचस्प
- में
- मुद्दा
- जारी किए गए
- IT
- आईटी इस
- जावास्क्रिप्ट
- केवल
- रखना
- कुंजी
- बुनी
- जानना
- भाषा
- पिछली बार
- देर से
- बाद में
- कानून
- कानून प्रवर्तन
- रिसाव
- जानें
- कम से कम
- नेतृत्व
- बाएं
- लंबाई
- पसंद
- सीमित
- लिंक
- श्रोता
- सुनना
- थोड़ा
- जीवित
- लॉग इन
- लॉग इन
- लॉग इन
- लंबा
- देखा
- देख
- लग रहा है
- लॉट
- मोहब्बत
- विलासिता
- मशीन
- जादू
- मुख्य
- मुख्य धारा
- बनाना
- आदमी
- प्रबंधन
- कामयाब
- प्रबंधक
- बहुत
- मास्टर
- बात
- अधिकतम
- मई..
- साधन
- माप
- तंत्र
- की बैठक
- याद
- संदेश
- मध्यम
- हो सकता है
- मिनट
- मिनट
- गलती
- MITM
- संशोधित
- महीने
- नैतिक
- अधिक
- चाल
- mr
- बहुत
- संगीत
- संगीत
- चाहिए
- my
- नग्न सुरक्षा
- नग्न सुरक्षा पॉडकास्ट
- नामों
- निकट
- आवश्यकता
- जरूरत
- वार्ता
- जाल
- नेटवर्क
- कभी नहीँ
- फिर भी
- समाचार
- अगला
- अच्छा
- नहीं
- कुछ नहीं
- सूचना..
- अभी
- संख्या
- OAuth
- of
- बंद
- अक्सर
- on
- ONE
- लोगों
- ऑनलाइन
- केवल
- खुला स्रोत
- or
- संगठनों
- अन्य
- हमारी
- आप
- आउट
- के ऊपर
- निगरानी
- अपना
- ऑक्सफोर्ड
- आतंक
- पैरामीटर
- भाग
- विशेष
- पासिंग
- पासवर्ड
- पासवर्ड मैनेजर
- पैटर्न
- पॉल
- वेतन
- भुगतान
- स्टाफ़
- अनुमति
- व्यक्ति
- राजी
- फोन
- उठाया
- पिच
- जगह
- प्लेटो
- प्लेटो डेटा इंटेलिजेंस
- प्लेटोडाटा
- खिलाड़ी
- खुशी
- पॉडकास्ट
- पॉडकास्ट
- बिन्दु
- राजनीतिक
- पॉप
- लोकप्रियता
- संभव
- पोस्ट
- pr
- वर्तमान
- दबाना
- को रोकने के
- पिछला
- शायद
- प्रक्रिया
- स्पष्ट
- प्रमाण
- रक्षा करना
- साबित करना
- बशर्ते
- प्रदाता
- प्रयोजनों
- रखना
- डालता है
- क्वीन एलिज़ाबेथ
- प्रश्न
- जल्दी से
- बिना सोचे समझे
- Ransomware
- रैंसमवेयर अटैक
- बल्कि
- पहुँचे
- पढ़ना
- पाठकों
- वास्तव में
- कारण
- कारण
- प्राप्त
- पहचानना
- प्रतिबिंबित
- सम्बंधित
- रिहा
- हटाना
- प्रतिस्थापन
- रिपोर्ट
- की सूचना दी
- रिपोर्टिंग
- प्रतिनिधित्व
- शोधकर्ता
- बाकी
- की समीक्षा
- सही
- जोखिम
- आरएसएस
- रन
- दौड़ना
- कहा
- नमक
- वही
- कहना
- कहावत
- कहते हैं
- बिखरे
- Search
- खोज
- सुरक्षित
- सुरक्षा
- देखना
- लगता है
- लगता है
- देखा
- जब्त
- भेजना
- वरिष्ठ
- भेजा
- सेवा
- सेवा प्रदाता
- सेट
- वह
- कुछ ही समय
- चाहिए
- दिखाना
- पक्ष
- साइड्स
- हस्ताक्षर
- सरल
- केवल
- So
- सोशल मीडिया
- नरम
- कुछ
- कोई
- कुछ
- Soundcloud
- बोल रहा हूँ
- विशेष रूप से
- Spotify
- स्टैंड
- प्रारंभ
- शुरू
- शुरुआत में
- रहना
- कदम
- स्टीव
- फिर भी
- भंडारण
- कहानी
- तार
- अंदाज
- प्रस्तुत
- सफल
- अचानक
- रवि
- समर्थन
- समर्थित
- माना
- संदेहजनक
- विनिमय
- प्रणाली
- सिस्टम
- लेना
- लिया
- टीम
- तकनीक
- तकनीकी
- टेक्नोलॉजी
- कहना
- शब्दावली
- परीक्षण
- पाठयपुस्तक
- से
- धन्यवाद
- धन्यवाद
- कि
- RSI
- यूके
- लेकिन हाल ही
- उन
- अपने
- फिर
- सिद्धांत
- वहाँ।
- इसलिये
- इन
- वे
- बात
- चीज़ें
- सोचना
- तीसरा
- इसका
- इस सप्ताह
- उन
- हालांकि?
- विचार
- तीन
- सिंहासन
- यहाँ
- बंधा होना
- पहर
- बार
- सुझावों
- सेवा मेरे
- आज
- टोकन
- भी
- ले गया
- टूलकिट
- ऊपर का
- शीर्ष 10
- ट्रैक
- पारदर्शी रूप से
- परीक्षण
- कोशिश
- शुरू हो रहा
- ट्रस्ट
- कोशिश
- मोड़
- बदल जाता है
- दो
- टाइप
- प्रकार
- Uk
- असमर्थ
- के अंतर्गत
- दुर्भाग्य से
- यूनिकोड
- जब तक
- यूआरएल
- us
- उपयोग
- प्रयुक्त
- उपयोगकर्ता
- का उपयोग
- सत्यापन
- संस्करण
- बनाम
- बहुत
- के माध्यम से
- भेंट
- महत्वपूर्ण
- भेद्यता
- करना चाहते हैं
- जरूरत है
- था
- मार्ग..
- तरीके
- we
- वेब
- वेबसाइट
- सप्ताह
- सप्ताह
- कुंआ
- चला गया
- थे
- क्या
- जो कुछ
- कब
- या
- कौन कौन से
- कौन
- क्यों
- बड़े पैमाने पर
- जंगली
- मर्जी
- खिड़कियां
- पोंछ
- साथ में
- अंदर
- बिना
- जीत लिया
- शब्द
- शब्द
- काम
- काम किया
- काम कर रहे
- होगा
- देना होगा
- लिखना
- लिख रहे हैं
- X
- साल
- हाँ
- अभी तक
- इसलिए आप
- आपका
- स्वयं
- जेफिरनेट