Podcast Aflevering 4: 14 Januari – Nieuwsoverzicht

(Te) snelle processoren, antivirusgedrag, NAS-achterdeur, wachtwoorden - kunnen we zonder?

In deze vierde editie van de i-to-i podcast, opgenomen op 14 Januari, praat i-to-i consultant Lex Borger je bij over het security nieuws van de afgelopen weken. 

podcast

Weetje van de week

XKCD, de comic strip bekend van het sterke wachtwoord ‘correct horse battery staple’, heeft gedurende de Kerstperiode weer twee mooie komische situaties rond informatiebeveiliging geschetst. De eerste is een prachtige benadering van Meltdown en Spectre voor leken:
XKCD - Meltdown and Spectre

De tweede is een discussie tussen twee stick-figures over de vraag of 2018 een schrikkeljaar is, waarbij het getal ‘2018’ als een te groot getal gezien wordt om in factoren te kunnen ontbinden. Dit is een verwijzing naar een van de elementaire uitgangspunten van het RSA algoritme: je wilt werken met getallen die te groot zijn om in factoren ontbindbaar te zijn. En natuurlijk is 2018 niet groot genoeg.

Maar wel leuk in deze context: 2017 was een priemjaar, het priemjaar daarvoor was 2011 en het volgende priemjaar is pas in 2027. Zo vaak komt het dus niet voor:
XKCD - 2018

(Te) snelle processoren

Er zijn twee kwetsbaarheden gevonden in de moderne processor-optimalisaties. Deze kwetsbaarheden hebben, naar goed gebruik tegenwoordig namen: Meltdown en Spectre. De nieuwswaarde was groot, ook nieuwssites die zich niet richten op security hebben hier uitgebreid over bericht.

Ik wil daar dus niet te veel aan toevoegen. Heel kort gezegd kan software uitvinden wat de waarden zijn in geheugen waar het geen toegang toe heeft, door slim gebruik te maken van de optimalisatie in elke processor om vooruit te werken en geheugen conditioneel wel/niet te lezen. Door puur het tijdverloop in de gaten te houden kan een aanvaller concluderen of geheugen wel of niet gelezen is en daaruit conclusies trekken over de geheugenwaardes die niet toegankelijk zijn.

Vooral voor cloud servers heeft dit een potentieel grote impact, omdat op deze servers tegelijk programma’s worden uitgevoerd van verschillende gebruikers van verschillende websites. De oplossing heeft ook grote impact, want het vergt grotendeels de uitschakeling van de ingebakken optimalisaties. Dit is echter in het geval van Spectre niet eens te doen. Voor Meltdown is inmiddels op vrijwel alle platformen een patch beschikbaar.

NY Times - What You Need to Do Because of Flaws in Computer Chips
Spectre and Meltdown: What you need to know going forward

Antivirusgedrag

De patch van Microsoft tegen Meltdown gaf problemen bij gebruikers van sommige antivirus-scanners. De scanners moeten diep in de Windows-functionaliteit antivirus gedrag kunnen herkennen en stoppen. Dit doen ze niet allemaal op manieren die Microsoft formeel ter beschikking heeft gesteld aan ze. Microsoft’s patch tegen Meltdown veranderde zoveel in de werking van Windows dat PCs dat de antivirus software in combinatie met de Meltdown patch de PC deed vastlopen. Microsoft moest dus met een spoedrepratie komen om dit te voorkomen.

Die reparatie hebben ze op een opvallende manier uitgevoerd. Als de leverancier van een antiviruspakket getest heeft dat de patch prima samenwerkt met zijn pakket, dan verwacht Microsoft dat het antiviruspakket een specifieke registry-key aanmaakt. Microsoft stelt de installatie van alle patches uit tot deze registry-key gevonden wordt. Het idee is dat hiermee voorkomen wordt dat de patch geinstalleerd wordt in een onverenigbare combinatie met een antiviruspakket.

Een grote aanname die Microsoft doet is dat op elke Windows PC een en slechts een antiviruspakket draait, hetzij Windows Defender, hetzij een extern pakket. Doe je het zonder antivirus? Ik ken wat hardliners die daar in geloven… Dan moet je zelf de registry aanpassen. Dat vertrouw ik die hardliners trouwens wel toe. Het is alleen maar hopen dat ze dit bericht van Microsoft snel tot zich nemen. Maar dan heb je diegenen die b.v. vanuit overtuiging of onwetendheid twee antivirusproducten draaien. Zodra een van de producten de registry-key aanmaakt is het nog steeds mogelijk dat het andere product nog niet klaar is voor de patch, terwijl die dan wel geinstalleerd wordt. Of er gaat iets mis bij het aanmaken van de registry-key. Ik kan me voorstellen dat lang niet alle scenario’s die zich nu voor kunnen doen allemaal goed doorgelopen zijn bij Microsoft en de antivirusleveranciers. En ik heb al bij een leverancier gehoord dat ze niet automatisch de registry zullen aanpassen, vanwege het risico dat er ook een ander pakket actief is. Al met al kansen zat dat de PC vastloopt of dat updates niet langer uitgevoerd gaan worden. Ik weet eigenlijk niet wat erger is…

Ik hoop dat Microsoft de bevroren staat van de updates goed en begrijpbaar gaat weergeven in het Windows Control Panel en dat het gebruikers waar het mis gaat op gaat vallen dat er geen updates meer uitgevoerd worden.

Important: Windows security updates released January 3, 2018, and antivirus software
Windows Meltdown-Spectre fix: How to check if your AV is blocking Microsoft patch
NYTimes - Why One Antivirus Program Is Better Than Two

NAS-achterdeur

My Cloud is de merknaam van de NAS-lijn van de harddiskleverancier Western Digital. Van NAS apparatuur wordt tegenwoordig verlangd dat ze ook allerlei cloudfuncties hebben, zodat je via de cloud je content kunt ophalen en zelfs je NAS beheren. Hiervoor zijn natuurlijk beveiligingmaatregelen nodig, waaronder toegangsbeveiliging middels authenticatie via gebruikersnaam en wachtwoord. Je kunt iets vinden van het feit dat dit maar single-factor authenticatie is, maar Western Digital heeft hier ook nog eens een backdoor aan toegevoegd. IT security researchfirma GulfTech heeft deze backdoor gevonden. Het is een vaste gebruikersnaam ‘mydlinkBRionyg’ met wachtwoord ‘abc12345cba’.

Ik vraag me hierbij af: Zo’n backdoor zou natuurlijk gewoon niet moet mogen kunnen. Waarom heeft Western Digital deze aangebracht? Het ‘mydlink’ deel van de gebruikersnaam lijkt te verwijzen naar netwerkleverancier D-Link, die ook een ‘mijn cloud’ dienst heeft en zelf ook NAS apparaten levert. Ik heb hier niets over kunnen vinden, maar gaat het hier om een integratie tussen deze twee persoonlijke cloud omgevingen? Hoe werkt die integratie dan? En is dat dan in samenwerking of is het een eenzijdig initiatief van Western Digital?

En dan de sterkte van het wachtwoord: ‘abc12345cba’ voldoet helemaal niet aan eisen die we aan een sterk wachtwoord stellen. 11 posities is OK, maar minimaal, zeker voor een hard-coded wachtwoord. Alleen kleine letters en cijfers is te weinig entropie. Drie reeksen van opvolgende letters of cijfers is helemaal niet meer van deze tijd, laat staat beginnen met ‘a’ en ‘1’. Dat de derde reeks afloopt in plaats van oploopt maakt het niet echt sterker. In de gebruikersnaam zit tenminste nog een reeks random letters: ‘BRionyg’.

De maker van deze backdoor en het kwaliteitscontrolesysteem van Western Digital laten in ieder geval zien dat zij onvoldoende begrip hebben van web security.

GulfTech - WDMyCloud <= 2.30.165 Multiple Vulnerabilities
Critical Unpatched Flaws Disclosed In Western Digital ‘My Cloud’ Storage Devices
Hardcoded backdoor in 12 Western Digital My Cloud NAS devices
WD My Cloud NAS devices have hard-wired backdoor

Wachtwoorden - nuttig, noodzakelijk of niet nodig?

Ik ben de afgelopen paar jaar bezig geweest met sterke authenticatie. En ik vraag me af in hoeverre het mogelijk is om helemaal van wachtwoorden af te komen. Ik heb hier zelf ideeën over, en werk deze graag volledig uit, zoals ik al eerder onderwerpen als ‘security standaarden’ en ‘blockchain voor beveiligers’ heb uitgewerkt. Daarbij heb ik de security community voor nodig als klankbord. Ik zou graag van jullie horen:

  • In welke scenario’s is een wachtwoord onontkoombaar?
  • In welke scenario’s is een wachtwoord eigenlijk niet meer nodig?
  • Hoeveel wachtwoorden hoort een gebruiker maximaal te kennen?
  • Hoeveel wachtwoorden mag je verlangen dat een gebruiker moet beheren?
  • Welke alternatieven zijn er om wachtwoordgebruik terug te dringen?

Reageren mag, via Twitter graag met hashtag #nomorepasswords

Credits:

  • Muziek: Jahzzar - 1000 Miles (intro) & Chiefs (outtro)
  • Twitterhandles: Lex - @LexBorger, Edwin - @Zandberg2
  • Website: www.i-to-i.nl

Door de site te te blijven gebruiken, gaat u akkoord met het gebruik van cookies. meer informatie

De cookie-instellingen op deze website zijn ingesteld op 'toestaan cookies "om u de beste surfervaring mogelijk. Als u doorgaat met deze website te gebruiken zonder het wijzigen van uw cookie-instellingen of u klikt op "Accepteren" hieronder dan bent u akkoord met deze instellingen.

Sluiten