bardóczi ákos @post.r

Igen, jól olvasod, ennyire ügyesen sikerült implementálni a kétlépcsős hitelesítést és valószínűtlen, hogy elsőként vettem észre.

Nem clickbait, azzal kapcsolatban meg mindenkit megnyugtatok, hogy nem arról fogok írni már megint, hogy miért necc az, hogy egy Google/Gmail-heroinista világban élünk.

Aki bekapcsolta a Google Accountján ennek a remek, überbiztonságos rendszernek a beállításai közt a kétlépcsős hitelesítést annak ugye ún. alkalmazásjelszavakat kell létrehoznia, ha például levelezőklienssel is használná a Gmail-t, mivel értelemszerűen a kliensprogram nem tudja pár percenként elvégezni a 2-FA-t magától.

Elvben az alkalmazásjelszavakban pont az a szép, hogy nem kell a felhasználónak fejben tartania, így egyszer kell kopipésztelni a megfelelő helyre és kész, kilopni legfeljebb egy hülyén programozott alkalmazásból lehet, amiben meg lett adva.

Na már most normális ésszel az ember azt gondolná, hogy abban az esetben, ha a felhasználó a 2-FA-t kikapcsolja, akkor az összes alkalmazásjelszó semmissé válik, így például a levelezőkliesen keresztül a levelek csak a fő jelszó beírásával lesznek elérhetőek. Van egy nagyon szar hírem a Google fanoknak: a korábban létrehozott alkalmazásjelszavak nemhogy érvényüket vesztenék, hanem továbbra biztosítják a hozzáférést a fiók adott szolgáltatásához, legalábbis az IMAP4 esetén biztos, Google Drive és a többi esetén valószínűleg, a hasonló  azonosítási séma miatt. Nem, nem ideig-óráig működik, egy érintett fiók több, mint egy hónapja elérhető az elvben már nem létező alkalmazásjelszó használatával úgy - most figyelj! - hogy a fiók fő jelszava is meg lett változtatva. Még az is full mindegy, hogy OAuth2-vel vagy sima, ugyan titkosított csatornán átküldött jelszóval jelentkezik fel a kukkoló alkalmazás!

Mit jelent ez a gyakorlatban? Tételezzük fel, hogy a támadó a célpont gépéhez ül, amíg nincs ott, majd generál egy alkalmazásjelszót olyan névvel, ami még akkor sem lesz feltűnő, ha a Google kényszeríti az érintett felhasználót a security checkup végigjátszására, az app password leírása lehet mondjuk "Gmail", "Mail", "iPhone" vagy hasonló, a megtámadott felhasználónak miért lenne gyanus? A támadó az alkalmazásjelszót feljegyzi. Az alkalmazásjelszóval a támadó belép egy levelezőklienssel, majd IMAP4-en keresztül tokkal-vonóval olvashatja a célpont postafiókjának tartalmát. A Google vagy küld figyelmeztetést az érintett felhasználónak, hogy bejelentkezett valaki mondjuk egy japán VPN-en keresztül, ami igencsak anomáliaszerű, ha a felhasználó sosem használ VPN-t és korábban még csak nem is járt Japánban. Viszont vegyük észre, hogy éppen azért, mert levelezésről van szó, a támadó ezt a levelet simán tudja törölni, mielőtt a felhasználó el tudná olvasni a biztonsági figyelmeztetést!

Tehát ha a felhasználó valamilyen okból kikapcsolja a 2-FA-t, de előtte nem vonja vissza az alkalmazásjelszavak érvényességét, teljesen logikusan arra gondolva, hogy azok ilyen módon érvényüket vesztik, valójában erről szó sincs. Egy korábban beállítva maradt fiókhoz a levelezőprogram úgy fér hozzá máig, hogy az érintett fiókon a 2-FA-t 2018. február elején ki lett kapcsolva, a fő jelszó pedig át lett írva!

A támadó vagy úgy felejtett alkalmazás csak akkor veszti el a hozzáférést az érintett postafiókjához, ha az érintett fiók tulajdonosa ismét bekapcsolja a 2-FA-t, egyébként meg gusztus szerint úgy tesztelheti a hibát, rosszabb esetben pedig kukkolhat, ahogy csak akar.

Az abnormális működést 2018. március 5-én, azaz ma 10:13-kor sikerült reprodukálni egy teszt fiókkal, ugyan nem csináltam sem TCPdumpot, sem HAR-t, mert jobb dolgom is van, aki ráér, annak szabad a pálya.

Hogy ez most bug vagy kényelmi feature,  na, azt nem tudom, ahogy azt sem teszteltem, hogy a Google mára kőkeményen fizetős, vállalati verziója, a G Suite is érintett-e benne, de valószínűleg igen.

Legegyszerűbb bugfix: ne használd azt a szart, legfeljebb spamszűrésre, azaz olyan beállítással, hogy a beérkező leveleket azonnal forwardolja is normális helyre és végleg törölje.

Áldásos lenne, ha ahelyett, hogy a felhasználók leginkább veszélyeztetett néhány ezrelékét nem riogatnák azzal, hogy kormányzati támadást észleltek, ezért változtassanak jelszót és költözzenek le a pincébe, bármiféle indoklás nélkül, hogy miből következtetett erre a rendszer.

Valamint a felhasználók ugyanezen veszélyeztetett csoportjára nem akarnák rátukmálni pusztán a biztonságérzetet növelő, de legalább jó drága baromságokat az Advanced Protection Program keretében, hanem a mezei Gmail-fiók úgy működne, ahogy az amúgy logikusan elvárható. Az én, eredetileg még googlemail.com végződéssel, 2004-2005. körül USA-ból kapott meghívóval létrehozott fiókom pedig csak azért is marad amolyan bóvli kis emlékként.

Ha már ezerrel pörög a #bejutási pam-pam, gondoltam írok röviden arról, hogy én hogyan mentem be egyszer egy védett intézménybe pisztollyal, igaz, gázpisztollyal, full véletlenül, úgy, hogy a mágneskapu is jelzett, ráadásul a táskámból még ki is kellett szedni, ami benne volt, de még akkor sem vettem észre.

Az eléggé világos, hogy reptereken, szerverhotelekben, bíróságokon, na meg hasonló helyeken nem örülnek annyira neki, ha valaki felfegyverkezve érkezik, ami érthető is.

Még évekkel ezelőtt, ha jól emlékszem az egyik Bolyai-díj átadásra siettem, kicsit késve, ahol akkor még többek közt Köztársasági Őrezred védte a rendezvényt, ennek megfelelően mindenkit mágneskapun tereltek keresztül, ha pedig a vendég minden fémtárgyat kipakolt a tálcára, anélkül ment át a kapun, de még mindig besípolt, akkor nézték meg a kézi detektorral, hogy mi lehet a riasztás oka. Egyrészt késésben voltam, teljesen új volt számomra a biztonsági ellenőrzések világa, ráadásul kisegyetemistaként anno még minden zsebembe volt valami fém bizbasz, számológép, tollak, kulcs, mobil, tartalékmobil, miegymás. A sietség, na meg a szokatlan helyzet miatt annyira zavarban voltam, hogy vagy háromszor küldtek keresztül a mágneskapun, mire kiderült, hogy a riasztást egy számológép gombeleme okozta, amit annyira nem volt egyszerű megtalálni, amibe alaposan bejátszott, hogy nem kicsit izgultam az első ilyen szituációban. A biztonsági kamera felvételéből alighanem seperc alatt lehetett volna Benny Hillbe illő jelenetet forgatni.

Jónéhány évvel később nem egy rendezvényre, hanem egy védett közintézménybe kellett mennem, ahol szintén volt mágneskapu, ezen kívül egy csomagokat átvilágító röntgen is, amivel az érkezők táskáját világították át. Ekkora persze már jónéhány mágneskapun átmentem életemben, szóval a legnagyobb természetességgel ballagtam keresztül és tettem a táskámat abba a kosárba, ami keresztül ment a röntgen előtti szalagon. A táskámra besípol a masina, mire mondta a biztonsági őr, hogy úgy látja, hogy nagy pengéjű kés van a táskámban. Nagyot néztem, mondtam is, hogy kizárt dolog, majd kinyitottam a táskámat és kiderült, a táskámban lévő, alumínium borítású  gyógyszereket voltak benne, legalább 3-4 levél, így azokat valóban nagy pengéjű késnek lehetett nézni a monitoron. Miután végeztem, a legnagyobb természetességgel mentem kifelé, ahol már nem világítottak át. Aztán otthon, este esett le, hogy számomra megmagyarázhatatlan okból a táskámban maradt egy gázstukker, amit amúgy az életbe nem használtam, talán csak egy alkalommal, amikor kipróbáltam vaktölténnyel, hogy működik-e. Faja! De hogyhogy nem vette észre az őr? Úgy, hogy a kisméretű gázpisztoly a táskám egyik belső zsebében volt, mivel benne felejtettem, így még amikor a táskám tartalmát mutattam akkor sem vette észre, hiszen eszembe sem jutott a belső zsebet kinyitni, viszont az alumínium borítással forgalomba hozott gyógyszerlevelek körülbelül 45 fokba elfordulva pont kiárnyékolták akkor, amikor a röntgengépen keresztül ment a batyum. Ha akkor lebukok, lehetett volna magyarázkodni, hogy miért akarnék gyakorlatilag felfegyverkezve menni olyan helyre, ahova finoman fogalmazva nem ildomos.

Nem tudom, hogy melyik volt életem legbravúrosabb bejutása, de ez azért eléggé adta az ívet. Megjegyzem, teljesen idióta dolog gázpisztolyt hurcolászni, mivel ha valami szaki ki akar nyírni, az ellen aligha véd, ugyanakkor ellenőriztetni és engedélyeztetni is kell abban az esetben, ha valaki nem csak megvásárolta, de hordaná is azt. Ezzel szemben különféle önvédelmi technikák nem is igényelnek túl sok gyakorlást, ezen kívül a gázsprayhez nincs is szükség engedélyre, ugyan a reptéren a gázpisztolyhoz hasonlóan azt is külön táskában lehet csak szállítani, különálló poggyászként, na meg nem jelent körülbelül fél kiló többletterhet sem.

Hogyan fordulhatott elő mégis ilyen? Az őr kimondottan késre hivatkozott, ennek megfelelően én amikor megláttam a gyógyszert a táskámban, onnantól kezdve eszembe sem jutott, hogy más fém is lehet a táskában, ami fegyvernek látszódhat. Hiába, az ember tudat már csak ilyen.

Szolgálati közlemény: nyáron is képes voltam durván behavazódni, de ennél már csak tematikusabb téma lesz a blogon hamarosan, big data, keresés, vattacukor-törökméz. A sablonnal meg nem tudom, hogy mi a jó ég van, hogy hirtelen minden középre igazítódott, de kellően ki vagyok merülve ahhoz, hogy most ne nézzem meg.

Nem tudom, hogy ki emlékszik még arra a 2012. őszén napvilágot látott sebezhetőségre, amikor valaki szimplán a felhasználó email-címének ismeretében felül tudta írni az áldozat jelszavát és az új jelszóval be tudott lépni. 

A régi sebezhetőség lényege az volt, hogy ha valaki az elfelejtett jelszóra klikkelt, majd kért egy jelszóhelyreállító tokent emailen, kapott egy 6 számjegyű számot, amit csak meg kellett adni a Facebook jelszóhelyreállító oldalán, majd ha helyes volt a számsor, máris az új jelszót lehetett megadni és azzal belépni. Az „apró” probléma csak az volt, hogy bárki kérhette bárki más nevében a jelszóhelyreállítást, a Facebook semmilyen módon nem korlátozta azt, hogy a helyes számsor ismerete nélkül mennyiszer lehet hibás számsort megadni, azaz valószínűségi alapon átlagosan félmillió, de maximálisan egymillió ismétléses permutáció végigpróbálgatásával [a 000000-999999 tartományban] véletlenül is meg lehetett találni az új jelszó beállításához szükséges számsort, miután valaki egy fiók jelszavának helyreállítását kérte. Márpedig egy fél-egymillió lehetőséget végigpróbálgatni automatizáltan nem olyan nagy manőver. A hibát, a bejelentést követően a Facebook nagyon gyorsan javította. 

Javította, a főoldalon. Viszont a Facebook felületének béta verziójában bennmaradt egészen mostanáig. Anand Prakash indiai kutató véletlenül vette észre, hogy a hiba a bétában és a mobil bétában továbbra is elérhető, a bejelentésért pedig a Facebook ki is csengette neki a bug bounty keretében a 15000 USD-t, ugyan nem lennék meglepve, ha kiderülne, hogy korábban más már a feketepiacon is árulta.  

A mai napon felkerült proof-of-concept videóban látható, ahogyan a Burp suite segítségével egyesével újraküldi a kéréseket a jelszóhelyreállító oldalnak, mire az egy idő után el nem fogadja a brute force, azaz nyers erővel megtalált számsort a béta felület és fel nem ajánlja új jelszó beállítását. Elég erős így majdnem négy év után újra látni ugyanazt a hibát. 

Azt hiszem, hogy ha ez a hét így folytatódik tovább, már péntekre végkimerülésig röhögöm magam.

A 444.hu nemrég közölte, hogy a Fidesz nekiállt kozmetikázni a fél internetet,  Schmitt Pál nemdoktor még mindig azt gondolja magáról, hogy doktor, velem pedig tegnap történt egy igencsak sírvaröhögős dolog, ami nyelvészül fogalmazva "a bizonyossággal határos valószínűséggel"  mutatja, hogy a legjobb sztorikat tényleg az élet írja. Igen, ha "popszakmáról" van szó, akkor is.

Történt ugyanis, hogy olyan helyre kellett mennem, ahova nagyon nem ajánlott bevinni dobókést, vállról indítható rakétát, kézigránátot illetve úgy semmit, ami veszélyesebb egy fogpiszkálónál. Ennek megfelelően a szóban forgó épület bejáratánál, ahogy azt a policy megköveteli, még a mágneskapu előtt kihámoztam a zsebeimből az összes aprót, mobilt, diktafont és egyéb fémtárgyat, a táskám pedig szépen átgurult a röntgenszalagon. Mivel tudtam, hogy hova megyek, ezért eleve nem is vittem magammal a 9 mm-es csúzlim. A bejáratnál a masina mégis besípolt, a biztonsági személyzet egyik tagja pedig mondta, hogy kés van a táskámban, mire mondtam, hogy biztos, hogy nincs, de átkotorhatja, ha szeretné. Nem kotorta át, inkább még egyszer átgurították a szkenneren, majd megállapították, hogy mégsincs benne kés, alighanem a tolltartómban összeálló tollakat nézhették annak. Aztán  amikor végeztem, kifelé menet jutott eszembe, hogy a csúzli otthon van ugyan, de a táskám belső zsebében  bent felejtettem egy teljes tárnyi töltényt. Na ekkor kezdtem el magamban fohászkodni Sevillai Szent Izidorhoz, az informatikusok védőszentjéhez, hogy kifelé nehogy megállítsanak, mert azt már kínosabb lett volna kimagyarázni, mint egy rotyogós fingot egy diplomáciai állófogadáson.

Végül nem volt semmi dráma és mentem ebédelni, közben pedig azon agyaltam, hogy a táskámban lévő tonnányi papír vagy a laptopom árnyékolta ki a para tárgyát, ha meg a töltényeket nézte tolltartónak a biztonsági személyzet, akkor vajon minek nézhette a tolltartómat?

Minden kedves ismerősöm lenyugodhat, még szabadlábon vagyok, ha pedig már szóba került ennyi epic fail, hallgassuk meg Shakira Loca című örök klasszikus plagizált,  ámde annál dallamosabb számát, amivel kapcsolatban a magyar sajtó is beszámolt róla, hogy a számot eredetileg Ramon Arias Vasquez Loca con su tíguere címmel szerezte még évekkel korábban. A New York-i bíróság pedig jogerősen kimondta, hogy a Sony, mint kiadó megsértette az eredeti szerző szellemi tulajdonhoz való jogát, ugyan nem igazán hámozható ki, hogy ez konkrétan a művésznő részéről mennyire volt tudatos.

Ha valakit érdekel, hogy milyen baromira körülményes a bíróság előtt egy full egyszerűnek tűnő plágiumügyet bizonyítani, a 40 oldalas PDF-et innen töltheti le.

Ami a bírósági dokumentumot illeti, tényleg nem én loptam ki :)



Az illusztrációként szolgáló kép forrása: http://www.lexisnexis.com/legalnewsroom/litigation/b/litigation-blog/archive/2012/04/06/safe-harbor-ruling-vacated-in-1-billion-youtube-copyright-case.aspx