14 februari 2007
Elke week doen de berichten over nieuwe beveiligingsproblemen de ronde. We hebben er deze keer een paar verzameld. Zo blijken de recente versies van Internet Explorer en Firefox vatbaar te zijn voor een kwetsbaarheid die het mogelijk maakt dat de bestanden op de harddrive bekend kunnen worden aan een aanvaller. Nou is die aanval wel afhankelijk van een vrij specifieke medewerking van het slachtoffer, dus wellicht dat het met deze dreiging meevalt…. Daarnaast is het hek van de dam, daar waar het gaat om de nieuwe DVD-formaten. Hebben wij afgelopen week al over een inbreuk op het beveiligingsmechanisme gesproken, ook deze week brengt weer nieuwe berichten over verdere afbraak van de beveiliging AACS. En tenslotte blijkt uit recent onderzoek dat de meeste websites niet direct gebouwd zijn om aanvallen tegen te houden: het blijkt dat slechts negen procent van de websites dusdanig gebouwd zijn dat ze gevrijwaard zijn van kwetsbaarheden.
Het probleem dat in de browsers IE en Firefox optreedt is in essentie al een jaar geleden ontdekt. De kern is dat de focus op een element tussen de onKeyDown- en onKeyUp-events naar een ander element verplaatst kan worden. Als een aanvaller de focus kan verleggen en daaraan het control type 'file' meegeeft kan hij een bestand van de harde schijf naar een server laten versturen. Het slachtoffer moet echter wel zover gebracht worden om alle karakters van de bestandsnaam in te typen. De aanvaller kan het bestand vervolgens in boot.ini lezen. Volgens Michal Zalewski, de ontdekker van het probleem, is dit wel omslachtig, maar volgens hem kan gebruik gemaakt worden van sites met tekstspelletjes om het probleem uit te buiten. Met de bestaande kwetsbaarheid kunnen bijvoorbeeld cookies gepikt worden uit de Temporary Internet Files-directory, zodat er op sites ingelogd kan worden onder het account van het slachtoffer. Probleem 2: een persoon die schuilgaat achter de naam Arnezami claimt op het Doom9-forum (hetzelfde forum waar de vorige inbreuk bekend gemaakt werd) de volgende stap in het kraken van HD-content. Hij ontwikkelde een eenvoudiger methode dan collega Muslix64 om de encryptiesleutels eenvoudiger te bemachtigen. Niet dat de AACS-beveiliging nu niet meer bestaat, maar voor de titels die uit zijn is dat wel zo. AACS heeft er op gerekend dat dit kon gebeuren. In de specificatie is ingebouwd dat de sleutel die Arnezami in handen kreeg, voor nieuwe releases kan worden ingetrokken. Echter is dit wederom een stap vooruit: Muslix64's methode moest voor iedere titel herhaald worden. Het verkrijgen van de masterkey is echter andere koek, hoewel dat een klus is die DVD Jon beweert dit jaar te zullen klaren. Kort gezegd komt de methode van Arnezami op het volgende neer: in AACS is sprake van een mediakey, die met behulp van specifieke hardwaresleutels door afspeelapparatuur wordt opgebouwd. Deze informatie is op verschillende plaatsen van de DVD verstopt. De content wordt versleuteld met de titelsleutel, die wordt versleuteld met de zogenaamde Volume Unique Key (Kvu), die Muslix64 gebruikte. Arnezami's methode leverde de 'processing key' op, waarmee de Kvu's voor iedere titel kunnen worden samengesteld. Ondanks alle sleutels en encryptielagen is de kraak illustratief van het fundamentele probleem van DRM: de sleutel, hoewel versleuteld, moet zich een keer in het geheugen openbaren om de content te decrypten. Probleem 3: beveiligingsbedrijf Acunetix heeft de beveiliging van websites onderzocht. Zeven van de tien sites lopen een risico, zo claimt het bedrijf. Slechts negen procent van de onderzochte sites bevat geen bekende zwakheden. De helft van de 3200 sites is vatbaar voor SQL- injection-aanvallen, zo toonde de Web Vulnerability Scanner van Acunetix aan. Dit programma, dat vorig jaar januari werd geïntroduceerd, vond verder in 42 procent van de gevallen problemen met de gebruikte scripts. Verder slaagde de software van het bedrijf erin van diverse sites source code boven water te krijgen. Ook sites die bestandenlijsten weggaven, werden als 'niet in orde' aangemerkt. Het bedrijf benadrukt dat een flink aantal sites een 'extreem grote kans' loopt om gehackt te worden. Acunetix haalde 210.000 fouten en foutjes in de onderzochte websites boven tafel. Of de situatie werkelijk zo erg is ? Dat is de vraag: het bedrijf wil natuurlijk ook graag zijn software verkopen. Desalniettemin: reden voor zorg geeft het wel, ook al zijn de resultaten wat naar boven afgerond.