《安全周报》33期：无锁的门、存在漏洞的微软以及反汇编带来的烦恼

欢迎来到本期的《安全周报》。在首期《安全周报》中，我们介绍了有关自动开锁汽车、安卓长期存在的Stage Fright漏洞攻击以及我们将不再受到网络监视（事实上情况依然存在）的新闻故事。

在本篇博文中，两条看上去毫不相关的新闻却有着一个共同点：时而由磁阻引起的漏洞可以采取现有安全措施予以解决。第三个新闻故事并不完全与网络安全有关，而是更多关注业内各方关系的特殊案例。这三个新闻故事可以说是趣味横生、各有特色。

我想再提一下我们《安全周报》的编辑原则：Threatpost编者每周会精选三个在当周最吸引眼球的新闻故事，而我则会加上自己的辛辣点评。你可以在这里找到这些系列的所有事件背景。

黑客入侵酒店房门

Threatpost新闻故事。

人们总是说科学与艺术之间有着一条难以跨越的鸿沟，同时这两个领域的专家们也难以相互理解。还有一个根深蒂固的说法是人文主义知识分子无法变成一名科学家或工程师。

但这一传统观念却被一名受过正规音乐训练的音乐家John Wiegand打破。在上世纪30年代，他既是一名钢琴演奏家同时也是儿童合唱团的指挥，直到他对设计音频放大器产生了浓厚的兴趣。到了上世纪40年代，他专心致力于那个时代的新奇事物–磁带录音的研究。而到了1974年（当时已62岁），他终于有了重大发现。

这项发明被称为”韦根传感器”，磁钴铁和钒合金丝在经过适当处理后会发生变化，从而在软内芯周围形成硬外壳。外磁场可轻易磁化外壳并抵抗退磁，即使外磁场退回到零时也同样如此—这一特性被称为”更大的矫顽力”。软丝填充的行为则完全不同：直到外壳完全填充磁化后，软丝才会填充磁化。

一旦合金丝完全磁化，内芯则最终能够收集它自己一部分的磁化，同时内芯和外壳进行磁极转换。这一转换会产生巨大电压，可用于各种传感和监视应用，在现实生活中完全可以有效利用这一效应，比如：酒店房卡。

与现代感应卡不同的是，”1″和”0″的数字并非记录在芯片内，而是在特别布线的直接序列内。这样的密钥既无法重编程序，其基本设计方案也与现代感应交通卡或银行支付卡大相径庭，但与磁条卡却十分相似–只是后者更加安全可靠一些。

那我们是否就能淘汰感应卡呢？目前还为时尚早。韦根不仅将他发现的效应命名为”韦根效应”，同时也用自己的名字命名了一种目前来看早已过时的数据交换协议。这一通讯协议的各个方面都做得相当糟糕。首先，该通讯协议从未制定过任何适当的标准，而且有许多不同的格式。

#Security Week 33: Doors without locks, invulnerable #Microsoft, #disassembler and pain

Tweet

其次，原卡的ID只有16位，因此可设置的卡号组合有限。第三，这些感应卡采用了电丝设计，且发明时间早于我们学会如何将”微型计算机”植入信用卡内的时间，因而限制了密钥长度（仅37位），但读卡时的安全可靠性却远远高于后来拥有更长密钥的感应卡。

就在刚刚落幕的黑帽大会上，研究专家Eric Evenchick和Mark Baseggio展示了他们用来拦截授权过程中（未加密）密钥序列的黑客装置。最有趣的细节是：由于信息是在数据从读卡器传输到门禁控制系统过程中遭窃取（也就是历史上韦根协议使用的环境），因而与卡本身毫无关系。

这个微型装置被称为BLEkey –其外形极小，需要嵌入读卡器内（比如：酒店客房门）才能起作用。研究专家们展示了整个过程只需几秒钟时间即可完成。之后一切就变得很简单。我们只需读取密钥，然后等房客离开后打开房门。或者我们根本不用等。或者我们根本就不用开门。如果将这一技术细节形象地描绘成”房门和读卡器/无线通讯之间对话”的话，可能就像这样：

“谁在那儿？”

“是我。”

“请进吧！”

Final talk run through! pic.twitter.com/TQB472izkO

— Eric Evenchick (@ericevenchick) August 6, 2015

整个过程的确就是如此，只是当中有些细微差别。好吧，通常来说，并非所有的门禁系统都容易受到这样的攻击。即使是那些在这方面存漏洞的门禁系统，也可以受到安全保护而无需彻底更换。根据研究专家的说法，读卡器原本就内置有防范此类黑客入侵的安全保护措施，只是这些安全功能通常禁用。

有些甚至能支持公开监控设备协议，允许你对传输的密钥序列进行加密。这些”功能”并未被使用–我将不断反复强调的是– 制造商之所以忽视安全措施完全是为了降低成本和方便生产。

这里有一个2009年有关这一问题的研究，并附有技术细节。显然门卡（非读卡器）内的漏洞早在1992年就已发现，之后相关专家建议门卡应进行反汇编或使用X光检查。出于这一目的，比如必须将门卡从持卡人处取走。目前的解决方案则是硬币大小的微型装置。这正是我所称之为的科技进步！

微软与Immunity公司。微软公司与Windows Server Update Services之间纷繁复杂的故事。

Threatpost新闻故事。原研究专家白皮书。

Windows Server Update Services允许大型公司通过内部服务器的方式（代替外部来源）集中安装计算机更新。同时这也是一个相当可靠且足够安全的系统。首先所有更新必须都由微软签名。其次，各公司的更新服务器与供应商服务器之间的通讯都采用SSL加密。

同时这也是一个相当简单的系统。各公司的服务器只需接收XML文件格式的更新列表，里面明确说明了下载的内容、哪里下载以及下载的方法。事实上最初的交互都是以纯文本形式进行。这样的说法并不完全正确。因为通讯必须加密并且在部署WSUS时，强烈建议管理员启用加密。但事实上却默认禁用。

由于替换”指令”并非易事，因此这并没有什么可怕的，但如果网络攻击者有能力拦截流量（例如：采用中间人攻击方法）的话，那完全有可能替换成功。研究专家Paul Stone和Alex Chapman发现通过替换指令，就能在更新系统上执行任意的高权限代码。微软依旧会检查数字证书，但却会接受任何公司的证书。比如，你可以从SysInternals工具包中偷偷使用PsExec工具，借助这一工具你可以启动任何程序。

为什么会出现这种情况呢？问题的关键在于当部署WSUS时无法自动启用SSL加密，因为你需要生成一个证书。正如这些研究专家在这个案例中所提到的，微软除了尽快催促微软启用SSL加密以外别无他法。因此，这似乎是个漏洞，但其实根本就是人为的原因。因此没有任何解决措施。除了责难管理员外，其他人没有任何过错。

One of our weaker advertising campaigns for Windows: pic.twitter.com/Fon5IvBFnP

— Mark Russinovich (@markrussinovich) August 12, 2015

卡巴斯基实验室发现间谍软件Flame将Windows Update作为传染病毒的工具，只是使用方法有所不同：假冒的代理服务器会拦截发往微软服务器的请求，而已交付的响应文件则稍有不同，尽管其中一些文件的确经供应商签名。

逆向工程带来的烦恼

Threatpost新闻故事。原博文的作者是Oracle的首席安全官（可通过Google搜索到这篇文章—互联网可以保存任何稍纵即逝的内容）。

上述所提到黑帽大会上的两个演示相互之间确有关系，原因是这些研究的作者–安全专家–在其他人开发的某些技术或产品中发现了漏洞。他们将自己的发现成果公诸于众，并在BLEKey微型装置的演示中还介绍了整个代码以及可免费获取的硬件。通常来说，这是与外部世界进行IT安全互动的标准方式，但并非每个人都喜欢这样的方式。

就我个人而言，我不太喜欢评论他人的事情，因此我只能说这是一个非常敏感话题。分析他人的代码是否妥当呢？到底哪方面是正确的？我该如何披露漏洞信息才不至于伤害他人？发现漏洞是否能得到报酬？法律限制、刑法和业内不成文法–这些都会有影响。

甲骨文首席安全官Mary Ann Davidson最近在其博客上发表的一篇博文在业内一时激起了千层浪。文章的标题是”No, You Really Can’t”（《不，这样不行》），其中将矛头直指公司客户（而非针对整个行业），批评他们将在供应商产品内发现的漏洞信息送回甲骨文。

在这篇于2015年8月10日在Oracle博客上发表的文章中，很多段落都值得引用，但只有一个中心观点：客户可以了解软件漏洞，但绝不能进行逆向工程，否则就违反了许可证协议，同时这一行为也是错误的。

我采摘了其中的一段：

客户不得自行分析代码，以了解公司是否有能力防止扫描工具所发现的攻击（很可能是子虚乌有）。客户也不得自行编写修复问题的补丁—只能使用由供应商提供的补丁。客户使用工具做静态分析（需执行源代码）绝对是违反了许可证协议。

公众的反应像这样：

One does not simply walk into Oracle source code. #oraclefanfic

— Nicolas J. Bouliane (@nicboul) August 11, 2015

或像这样：

Adobe, Microsoft Push Patches, Oracle Drops Drama http://t.co/XN4Tpb9RXw #oraclefanfic

— briankrebs (@briankrebs) August 12, 2015

甚至像这样：

Don't look for vulns. Fuck bug bounties. We won't even credit you. https://t.co/VgCrjGYx1j An @oracle love letter to the security community.

— Morgan Marquis-Boire (@headhntr) August 11, 2015

总而言之，这篇博文发布不到一天即迅速被撤销，原因是文章”不能代表甲骨文[官方]对待客户和合作的理念”（但已在互联网上广泛传播）。我们都知道Oracle开发了Java，但其中存在大量漏洞且很容易被利用。就在三年前，我们花费了总共1年的时间统计了Java中发现的漏洞，其数量竟达160个！

在理想状态下，软件供应商会不遗余力地发现和修复软件中存在的所有漏洞，但问题是我们都生活在现实世界中。因为现实中并没有明文规定软件供应商必须这么做，而有时这些软件供应商常常遵循的是”蜜蜂对待蜂蜜”的原则？

还是让我们再听听另一方的声音。

就在上周，黑猫大会创始人Jeff Moss就”软件供应商是否应对代码中的漏洞负责“发表了自己的观点。他表示现在是时候让那些对客户没有尽到任何责任公司的产品取消EULA（用户最终许可协议）。这一言论相当有趣，可以说与提倡”禁止反汇编程序”不相上下。目前只能明确一件事：如果用户（公司和个人）、供应商和研究人员能相互理解的话，就不会存在这些”振臂高呼”的言论和在微博上的互相攻击。

本周还有哪些新闻？

在黑猫大会上还演示了如何黑客入侵Square读卡器—该装置通过连接智能手机就能向外卖送餐员在线付款。但前提是将读卡器插入智能手机内。

在联想笔记本电脑（并非所有，只是其中一些）中又发现了供应商的rootkit恶意软件。之前的新闻故事。

老话新提

“Small”恶意软件系列

在文件加载入内存时，标准的常驻型病毒被加入到了后缀名为”.com”的文件内（除了最初写入的Small-114、-118和-122）。大多数该系列病毒使用POPA和PUSHA of 80×86处理器的命令。Small-132和-149则会错误地病毒感染某些文件。这些文件由不同的作者编写。显然，Small系列病毒最初可能为了比赛成为最短MS-DOS常驻病毒而编写。但它依然只能决定”奖金池”的大小。

https://media.kasperskydaily.com/wp-content/uploads/sites/97/2020/07/03201941/infosec-digest-32-book1.jpg

引述自于1992年出版的《MS-DOS中的计算机病毒》第45页，该书作者是尤金·卡巴斯基

免责声明：本文仅代表作者的个人意见。可能与卡巴斯基实验室的立场相符，也可能相反。听天由命吧。