Πως (τελικά) υπέκλεψαν οι Κινέζοι hackers ένα (από τα) κρυπτογραφικά κλειδιά της Microsoft

[zardoz]

Πριν μήνες, η Microsoft "έχασε" ένα κρυπτογραφικό κλειδί που υπέπεσε στα χέρια κινέζων hacker οι οποίοι με τη σειρά τους,
εισήλθαν δημιουργώντας νέους πιστοποιημένους χρήστες σε 25 οργανισμούς (πολλούς από αυτούς κρατικούς) με προφανή
αποτελέσματα. Η είδηση τότε είχε πέσει (νομίζω) στα ψιλά, αν και μόνο ψιλή δεν ήταν.

Βγήκε (τελικά) η συγκυρία γεγονότων βάση των οποίων υποκλαπεί το κλειδί.

- Ένα από τα συστήματα της ms που παράγουν τα κλειδιά για γνήσιους consumer χρήστες κράσαρε

- Το crash dump, που κανονικά ΔΕΝ πρέπει να περιέχει ευαίσθητα στοιχεία, είχε το
private key επειδή απλά έτυχε να είναι στη μνήμη

- Το σύστημα που κατέρρευσε σηκώθηκε, αλλά το crash dump αντιγράφτηκε σε ένα
debugging περιβάλλον για "έλεγχο". Αυτό συνέβη το 2021 (!!)

- Το debugging περιβάλλον δεν αντιλήφθηκε ότι κάτι private υπάρχει στο dump

- Οι κινέζοι είχαν χακάρει (malware) κάποιο προγραμματιστή και έτυχε να βρουν το dump
στον Η/Υ του και τελικά το private key

Ακόμη χειρότερα

Πως χακάρεις 25 οργανισμούς με ένα private key που παράγει κλειδιά μόνο για consumers ?

- Είχαν ΑΛΛΟΥ ένα bug όπου το API ελέγχου πρόσβασης δεχόταν consumer keys αν δεν
έβρισκε enterprise keys ?

Αυτό ονομάζεται "Death by a 1000 papercuts" δηλαδή μια συγκυρία μικρο-λαθών που οδηγούν
σε κατάρρευση - παρά μιας μεγάλης τρύπας που κάποιος εκμεταλλεύτηκε.

Πηγή

[verylife78]

πολλε συγκυριες παυουν να ειναι απλε συγκυριες, ε?

[dkgr_ser]

Σε τόσο μεγάλης κλίμακας και περίπλοκα συστήματα είναι απίθανο να μην υπάρχει μία αλληλουχία γεγονότων που μπορούν να οδηγήσουν σε κατάρρευση της ασφάλειας. Οπότε, θα πρέπει να θεωρείται εξ' αρχής δεδομένη η πιθανότατα υποκλοπής και ολα μέχρι την τελική υπηρεσία να σχεδιάζονται με αυτο το δεδομένο.

[famous-walker]

Μια μικρη εταιρια λογισμικου ειναι η microsoft, ας μην ειμαστε τοσο αυστηροι μαζι τους.

[BlueChris]

Δεν μας είπαν ποιες είναι οι 25 αυτές εταιρείες όμως.. να ξέρουμε τι μας περιμένει δλδ...