Tag Archives: μπάλωμα

Microsoft κενά ασφαλείας και NSA κενά λογικής…

microsoft-nsa
Η επίσημη είδηση:
Η NSA ενημέρωσε την Microsoft για πολύ κρίσιμο κενό ασφαλείας στα Windows 10 (και σε Windows Server 2016).

Κενό ασφαλείας που υπάρχει/υπήρχε στο crypt32.dll και (από τα πολύ γενικά και αόριστα που αναφέρει η εταιρία-εταίρος των υπηρεσιών ασφαλείας) επηρέαζει τα πιστοποιητικά ασφαλείας και την κρυπτογράφηση «τυφλώνοντας» το λειτουργικό όσον αφορά την πιστοποίηση χρηστών και προγραμμάτων,αφού αυτός που έκανε χρήση της μπορούσε να πλαστογραφήσει τα στοιχεία που λάμβανε/αντάλλασε ο υπολογιστής αποκτώντας -προφανώς- πρόσβαση εκεί που κανονικά μόνο πιστοποιημένοι χρήστες και προγράμματα μπορούσαν.

Ένας τρίτος λοιπόν μπορούσε να εκμεταλλευτεί την ευπάθεια χρησιμοποιώντας ένα πλαστογραφημένο πιστοποιητικό για να υπογράψει ένα κακόβουλο εκτελέσιμο αρχείο/πρόγραμμα κάνοντας το να φαίνεται πως προέρχεται από αξιόπιστη και νόμιμη πηγή.

Ο χρήστης του pc δεν είχε κανέναν τρόπο να γνωρίζει πως το εκτελέσιμο ήταν κακόβουλο,επειδή η ψηφιακή υπογραφή φαινόταν γνήσια.

Ο κακός της υπόθεσης μπορούσε επίσης να εκτελέσει man-in-the-middle επιθέσεις,τον πιο κοινότοπο ίσως τρόπο υποκλοπής όπου κάποιος μπαίνει ανάμεσα σε δυο μέρη που επικοινωνούν και καταγράφει οτιδήποτε πληροφορία ανταλλάσσεται,αφού μπορούσε να παρέμβει στην ανταλλαγή των κλειδιών κρυπτογράφησης.

πηγή: https://www.engadget.com/2020/01/14/microsoft-patching-flaw-found-by-nsa/

Το μπάλωμα (patch) περιέχεται στο πακέτο ενημερώσεων ασφαλείας CVE-2020-0601 και καλό είναι να τσεκάρετε αν έχει εγκατασταθεί.

Οδηγίες για το πως να δείτε αν έχετε τις τελευταίες ενημερώσεις ασφαλείας καθώς κι αν τρέχετε την τελευταία έκδοση Windows 10 (ώστε να λαμβάνετε τις μηνιαίες ενημερώσεις) στον παρακάτω σύνδεσμο.
(Και καλή τύχη αφού τα λειτουργικά της εταιρείας είναι –διαχρονικά– διάσημα για τις προβληματικές ενημερώσεις τους που μπορεί να ξεκινήσουν και να δείχνουν πως κατεβαίνουν ή εγκαθίστανται αλλά να μην τελειώνουν με τίποτα ή να λύνουν ένα πρόβλημα και να δημιουργούν τρία)
https://support.microsoft.com/el-gr/help/4027667/windows-10-update

Προσοχή!
(Για τους κατόχους Windows 7 δεν έχει γίνει η παραμικρή αναφορά όχι γιατί δεν έχουν το παραπάνω συστατικό (κατά 99% το έχουν) αλλά διότι η υποστήριξη τους έληξε οριστικά στις 14/1/2020.
Όσοι λοιπόν παραμένουν στη Microsoft και δεν έχουν «μετακομίσει» στα Windows 10,δεν λαμβάνουν πλέον ενημερώσεις ασφαλείας και ρισκάρουν αφάνταστα να γίνουν εύκολος στόχος.
Σαν πάπιες που κάθονται αμέριμνες και κλωσάνε τα αβγά τους ενώ παντού γύρω τους σαρώνουν τον χώρο αμέτρητοι οπλισμένοι κυνηγοί.
Οπότε αν τους την πέσουν για παράδειγμα τίποτα Ρώσοι,Ρουμάνοι black hackers μπορεί να πει κάποιος πως πήγαιναν γυρεύοντας).

Αυτή ήταν η επίσημη είδηση και η επίσημη ενημέρωση όπως κυκλοφόρησε από την Microsoft.
Η πλέον πιθανή πραγματικότητα;

Οι Κινέζοι ή οι Ρώσοι (οι και οι δυο) ανακάλυψαν το κενό ασφαλείας που είχε σχεδιάσει η Microsoft ειδικά για την NSA και η δεύτερη έκανε την δήθεν ανακάλυψη ώστε να κλείσει και μην το εκμεταλλευτούν και οι άλλοι.Που σύμφωνα με το αμαρτωλό παρελθόν της συγκεκριμένης εταιρείας δεν φαντάζει καθόλου απίθανο.

Ποιος έχει ξεχάσει για παράδειγμα την αποκάλυψη πως είχε δώσει στην NSA πλήρη πρόσβαση στο Skype (https://www.theguardian.com/world/2013/jul/11/microsoft-nsa-collaboration-user-data) ή τα email με τις μηνιαίες αποδείξεις πληρωμής που λάμβανε από τις υπηρεσίες ασφαλείας για την απασχόληση του προσωπικού της στην συγκέντρωση/μεταβίβαση των δεδομένων των χρηστών του λειτουργικού της.Ή αποσπάσματα από την άδεια χρήσης του λειτουργικού της όπως το παρακάτω:

<<…We will access, disclose and preserve personal data, including your content (such as the content of your emails, other private communications or files in private folders), when we have a good faith belief that doing so is necessary to protect our customers or enforce the terms governing the use of the services…>>

Κάτι από τα παραπάνω που δεν μπορεί να συμβεί στο Linux όχι γιατί είναι ανώτερο λειτουργικό.(Είναι αλλά δεν έχει να κάνει με αυτό.)Ούτε γιατί οι δημιουργοί του ή οι εταιρείες που το εκμεταλλεύονται εμπορικά είναι ηθικά στοιχεία.Δεν παίζει κανένα ρόλο αν είναι.

Δεν μπορεί να συμβεί κάτι από τα παραπάνω λόγω σχεδιασμού του λειτουργικού.
Για τον απλούστατο λόγο πως είναι ανοιχτό μέχρι το κέντρο του πυρήνα του.

Ανοιχτό στο να το ελέγξει ο καθένας,οπότε και 10 δις δολάρια να δώσουν για παράδειγμα στον Linus Torvalds ώστε να δημιουργήσει μια παρόμοια τρύπα ασφαλείας αυτός δεν μπορεί να τα πάρει γιατί δεν μπορεί να εξασφαλίσει πως θα παραμείνει κρυφή ούτε για μια μέρα.

Το πρωί μπορεί να την σχεδιάσει και να την περάσει σε μια ενημέρωση και το απόγευμα της ίδιας μέρας,ένα 16χρονο σπασικλάκι στη νήσο του Μαν,που πήγε για Σαβατοκύριακο στο σπίτι του παππού και της γιαγιάς αλλά αποκλείστηκε από τον καιρό και δεν μπορεί να πάρει το φέρι για να πάει στο πατρικό του να αποφασίσει να περάσει την ώρα του σκαλίζοντας,να την ανακαλύψει και να σημάνει συναγερμό στους χιλιάδες -ανά τον κόσμο- προγραμματιστές που συνεισφέρουν στην ανάπτυξη του με αποτέλεσμα η NSA να πάρει από τα….τρία το μακρύτερο.

Κάτι (η πρόταση και η απάντηση) που συνέβη όπως αποκάλυψε με μια επική απάντηση ο ίδιος ο Torvalds όταν ρωτήθηκε από δημοσιογράφους σε μια συνδιάσκεψη του Linux Foundation στην Νέα Ορλεάνη.*

Κάθε φορά λοιπόν που ακούγεται κάτι τέτοιο θυμίζει σε όλους πως δεν έχει να κάνει με την ανθρώπινη φύση.
Δεν έχει να κάνει με πλευρές και καλούς ή κακούς.
Δεν έχει να κάνει με το ότι όσοι βρίσκονται στην Microsoft είναι διαβολικά άτομα.
Γιατί δεν είναι!

Έχει να κάνει με τον τρόπο που είναι σχεδιασμένο το λειτουργικό της (Windows).
Σχεδιασμός που την δένει με τις υπηρεσίες ασφαλείας και την καθιστά αναξιόπιστη όσον αφορά την δυνατότητα της να σεβαστεί θεμελιώδη ανθρώπινα δικαιώματα αφού δεν μπορεί να της προσφέρει την δυνατότητα να ισχυριστεί (όπως αυτοί στο Linux) πως αν κάνουν μαϊμουνιά μπορεί να τους τσακώσει ο αποκλεισμένος στη νήσο Μαν πιτσιρικάς.

Ο σχεδιασμός του είναι που καθιστά αδύνατη την παραμονή στην ηθική πλευρά.
Το κλειδωμένο δημιούργημα τους είναι που ξεκλειδώνει την ανηθικότητα και ρίχνει τις άμυνες τους και μαζί και την άμυνα των Windows σε σκοτεινές προτάσεις από τις κυβερνητικές υπηρεσίες των ΗΠΑ που θέλουν μερική ή και πλήρη πρόσβαση σε κάθε pc που τρέχει το λειτουργικό της.

Γιατί στα δύσκολα ο κάθε άνθρωπος είναι τόσο ανήθικος όσο του επιτρέπουν οι καταστάσεις και η….»κατάσταση» των Windows επιτρέπει στους υπεύθυνους της εταιρείας (ή σε όσους ασχολούνται με την ανάπτυξη του) να κλειδώσουν τις ηθικές αναστολές τους πολύ βαθιά.

Όσο βαθιά μπορεί να κρύβουν και κενά ασφαλείας σαν το τελευταίο…

Υ.Γ.
*Θέμα που παρουσιάζω στο παρακάτω παλιότερο άρθρο:
https://365meres.wordpress.com/2013/12/01/anoixto_vs_kleisto_leitourgiko_kai_yp_asfaleias/

#Βάλε_Linux

Update της Apple κρασάρει συσκευές με iOS 9.3

apple-ios 9.3 bug
Σε λίγο θα καταντήσει συνήθεια που έγινε λατρεία!
Θα αρχίσουν να γελάνε μέχρι και οι χρήστες Windows

Δεν πάει πολύς καιρός που ένα update έκανε τούβλα τις συσκευές της Apple
Προτού λοιπόν σταματήσουν να τρίζουν τα κόκαλα του αείμνηστου Steve Jobs, νέο bug της ανανεωμένης έκδοσης του iOS 9.3 δημιουργεί προβλήματα.
πηγή:
A lame iOS 9.3 bug is freezing and crashing devices when links are tapped

Έκδοση του iOS 9.3 που έγινε διαθέσιμη την προηγούμενη εβδομάδα, στις 21 Μαρτίου.
Οπότε, όσοι έχουν συσκευές της συγκεκριμένης εταιρείας με το iOS 9.3 -κυρίως αυτοί με την σειρά 6 των iPhone– καλό θα ήταν να αποφύγουν για λίγες μέρες να εγκαταστήσουν την ανανεωμένη του έκδοση και πιθανές ενημερώσεις της, καθώς ένα bug τα κάνει να παγώνουν ή να κρασάρουν.

Συνήθως όποτε επιχειρούν να κλικάρουν κάποιο link στον Safari ή όποτε χρησιμοποιούν την εφαρμογή για email.

Αυτό τουλάχιστον αναφέρουν οι χρήστες στο επίσημο φόρουμ της που έχει πάρει φωτιά.
https://discussions.apple.com/thread/7505840?start=0&tstart=0

Για την ώρα στην Apple δεν έχουν βρει την αιτία που δημιουργεί αυτό το πρόβλημα.
Όπως πάντως αναφέραν οι ίδιοι (26/3), σε μερικές μέρες θα κυκλοφορήσουν ένα προσωρινό μπάλωμα (patch) για τον Safari που θα απενεργοποιεί την Javascript.

Προφανώς θα σταματήσουν (ή έχουν σταματήσει ήδη την ώρα που το διαβάζετε) και την διάθεση του ανανεωμένου iOS 9.3 αλλά καλό είναι να το ελέγξετε και να λάβετε τα μέτρα σας για να παραμείνει λειτουργική η συσκευή σας , μέχρι να διορθώσουν σε όλη του την έκταση την όποια αστοχία έχουν δημιουργήσει.

Πριν καιρό είχε κυκλοφορήσει για την Microsoft η παρακάτω χιουμοριστική ρήση…
Ελπίζω να μην βάλθηκαν να την υιοθετήσουν και στo δαγκωμένο μήλο…
The day Microsoft makes something that doesn’t suck                                                            is probably the day they start making vacuum cleaners.                                                                                                                         -Ernst Jan Plugge