Kolosální bezpečnostní chyba v Office 365. Skutečně za něco takového chcete ještě platit?

Koncem minulého týdne byla zveřejněna kritická bezpečnostní chyba. Postihovala všechny, kdož používají cloudovou službu Office 365 od Microsoftu a útočník se tak mohl dostat ke všem dokumentům, souborům uloženým na OneDrive a mailům. Chyba se mohla týkat i Vás.

Prostor pro Váš odkaz

Záleží, jaké všechny služby využíváte. Podle webu Office 365 se jedná o něco přes 150 společností, ale může jich být mnohem více. Od těch nejmenších až po velké jako Intel, IBM, British Telecom, British Airways, Cisco, Vodafone atd. Veškeré dokumenty a informace byly díky velmi primitivní chybě dostupné komukoliv, kdo chybu objevil před jejím ohlášením zmíněnými výzkumníky (v tuto chvíli je již opravena).

Chyba se týkala implementace SAML 2.0 protokolu Microsoftem na službě Office 365. SAML sám o sobě není zranitelný a jedná se o velice jednoduchý a bezpečný způsob ověření uživatelů vůči službám či serverům, které nejsou pod Vaší kontrolou a kterým nedůvěřujete natolik, abyste jim svěřili databázi přihlašovacích údajů. Stačí sestavit federaci se službou v Internetu a uživatelé se budou autentizovat jen vůči důvěryhodnému internímu serveru, který se serveru v internetu zaručí, že se jedná o uživatele XYZ. Zjednodušeně řečeno SAML takto funguje.

Takto vypadá typická federace se službami Microsoftu.

Federace se službami Microsoftu

Když se útočník chtěl dostat k Vašim souborům, tak stačilo mít vlastní federaci s Office 365 a vytvořit uživatele (jméno a e-mailová adresa) ve své databázi. Pro názornost použijeme obrázky z odkazovaného článku.

Vaše databáze uživatelů společnosti someorg-victim.com
Databáze uživatelů společnosti someorg-victim.com

Databáze útočníka obsahující i Vaše uživatele (heslo je samozřejmě jiné)
Databáze útočníka obsahující i vaše uživatele (heslo je samozřejmě jiné)

Stačilo tedy navštívit portál Office 365 se SAML ověřením, zadat, že jste uživatel ze společnosti someorg-attacker, tím se ověření svěřilo Vaší databázi, ale vůči ní se pak přihlásíte jako uživatel s e-mailovou adresou @someorg-victim. Díky nedostatečnému ověřování vstupních dat tím máte kompletní přístup ke všem souborům jako uživatel společnosti someorg-victim.com. Jen více takových cloudových služeb se všemi daty na jednom místě…

Zdroj: ROOT.CZ
 

Komentář redakce

Důrazně doporučujeme nepoužívat žádné cloudové služby vyjma těch nutných, webhostingových. Riskujete tím jejich kompromitaci či přímo ztrátu! Používáním cloudů dobrovolně odevzdáváte své soukromí do rukou třetích osob. Pokud však z nějakého důvodu cloud používat musíte (např. nutí-li Vás nevzděla(tel)ný zaměstnavatel), pak za to alespoň neplaťte. Kromě placeného Office 365 použijte např. bezplatný Google Docs (Drive), anebo pokud vůbec nemusíte cloudovat, pak naprosto nejideálnějším a nejspolehlivějším řešením je svobodný (bezplatný) kancelářský balík LibreOffice, jenž používá i naše redakce a který můžeme jen doporučit. No a jako e-mailové řešení neméně spolehlivý a rovněž naprosto bezplatný a otevřený klient Mozilla Thunderbird.

Kolega Michal Mauser doplňuje odkaz na Open365: plnohodnotný balík LibreOffice na webu, jenž může, nebo bude moci, posloužit jako plnohodnotná náhrada proprietárního, komerčního a evidentně i nebezpečného Office 365.

Martin Mojmír

po absolvování základní školy, středního odborného učiliště hotelového provozu a gymnázia se zaměřením na IT a jazyky studoval dále psychologii a speciální pedagogiku. Věnuje se ICT, datové analýze, datové žurnalistice, futurologii, sociologii a ekologii. Prosazuje a popularizuje koncept zdrojové ekonomiky co by udržitelného socioekonomického modelu. Kromě duchdoby.cz provozuje např. dále také projekty jinemedium.cz, mojeretence.cz nebo fórum ETIQ.CZ, z.s. Vlivem nešťastných okolností je Martin od r. 2023 invalidou.

20 Komentáře
Inline Feedbacks
Zobrazit všechny komentáře
Petr
Petr
7 roky před

Bylo by vhodné upřesnit, že to Libre office je zatím použitelné jako náhrada za „domácí“ využití cloudu, ale pro nasazení do firmy jak se píše v odkazovaném článku to ještě není.

Prostě když si někdo společně napíše pozvolna nějakých pár řádků, tak asi ok, ale jinak jde o „slepenec“ jak píše autor v odkaze.

Stejně má dnes produkční firma (nemyslím nevýrobní segmenty kde jsou jiné požadavky na efektivitu práce a výkonnost) na výběr ? – Na linuxu chybí většina specializovaných aplikací, bohužel všichni jedou a fungují v MS office (nikomu se při práci nechce řešit ještě problémy s případnou kompatibilitou vyměňovaných podkladů – hlavně tabulky, to je základ), jen proto, že Linux (resp. výrobce spec. aplikací ) prostě povětšinou nenabízí pohodový přechod a adekvátní aplikace (to co je většinou v Linuxu dnes, je tak na domácí hraní ne pro maximální výkon) a těch „pár tisíc“ za licenci office, win to raději firma rozpráší do svých cen produktů, než se komplikovaně „pokoušet“ pracovat pod Linuxem. Prostě ve světě komerce není na nějaké pokusy místo !.

A to i přesto, že Linux je jinak sám o sobě téměř bezproblémový systém i pro toho kdo jej moc nezná.

Prostě dokud nepřijde někdo s komplexním řešením přechodu na Linux a klidně i placeným, ty firmy si to dovolí stejně jako nákup SW od MS, ale jen pokud budou vědět, že u toho nebudou zaměstnanci měsíce jen laborovat, zjišťovat atd., ale prostě vezmou nástroje a  bez sáhodlouhého vzdělávání prostě budou produkovat v jiném systému. A bude ten přechod a práce v novém opravdu s minimem problémů. Pak teprve nebude problém pro výrobní firmu přejít kompletně pod křídla open source řešení, kde nebudou jejich data vlastnit USA firmy skrze TTIP.

Prostě pro firmy nebude problém se přizpůsobit a migrovat, ale musí být adekvátní nabídka (tzn. hlavně stejně výkonné nástroje) a provozní parametry.

Je otázka proč toto vlastně nechtějí IT firmy řešit skrze open source a Linux ?

Petr
Petr
7 roky před
Reaguje uživateli  Martin Mojmír

Ano je to přesně o tom co na tom děláte, pokud složité výpočty, kalkulace tak jste někde jinde než na obvyklé psaní. Je tabulka a tabulka, ve výrobě jsou tabulky, které evidují veškerou činnost provozu (tisíce řádků a množství sloupců, ano v mnoha firmách se to mastí pořád v tabulkách (ty umí každý ovládat) než v DTB) a různé výpočtové věci. Všichni začínali toto tvořit v MS jelikož ještě nějaký rok zpět OO nebyl pro tuto práci použitelný z mnoha důvodů.

Vy jste ve svém open source blokováni patenty, známkami ? Asi jsme se špatně pochopili. Nechť stejná linuxová komunita co vytvořila xxx stovek dalo by se říci nadbytečných distribucí, raději naprogramuje pár pořádných aplikací pro výrobu CAD, CAM a další podpůrné nástroje na organizaci, možná i účetnictví apod. a přechod bude raz dva, když to bude plně funkční nebude to padat apod., a administraci zvládne obyčejný člověk, ne linux maník přikovaný 12h denně k příkazové řádce.

Přeci není možné aby bylo tolik patentů, aby se nedalo navrhnout něco nového, co tím zatíženo nebude. Vždyť ono to open source stejně navrhují asi ti samí lidé, kteří za těžké prachy programují ty placené programy, a proto si mohou dovolit být velkosrdeční a nějakou tu hodinu práce či peněz dát na open source projekty.

Průser této doby je obecně plýtvání . Víte kolik existuje např. jen firem které vyvíjí např. ty CAD/CAM aplikace ? to jsou stovky a více firem.

Stovky subjektů, kteří se snaží furt defacto o jedno a to samé, každý s jinými výsledky. Když by to šlo sdíleně,tak tato grupa vytvoří během chvilky něco, co odstaví jakoukoliv soutěž o výsluní mimo hru. Jenže je to stejné jako s těmi distribucemi, ono je sice pěkné, že je na výběr, ale proboha proč desítky či stovky variant stejného ?
Ono je to stejné jako se změnou systému, prostě každý raději bouchá v práci 12h (aby mohl žít) než aby společně dali dokupy kousek času v počtu velkého počtu lidí na stejnou věc a dostanou a vyrobí mnohem více.

Když jsem přecházel z WIN na LIN, tak jsem hledal náhrady programů z WIN. Na 10 planých pokusů o nějaké fungování (alespoň na úrovni základních věcí ve win) vyšel jen jeden dobře (obrazně přeháním ale moc od pravdy daleko nejsem), který neházel hned na startu chyby a taky poskytl alespoň základní funkcionalitu, což oproti funkcionalitě programů (free) z win prostředí, ale bylo stále výkonnostně a funkčně o ničem.

Neříkám, že to je švanda, ale říkám, že je hledat jiné cesty.

Petr
Petr
7 roky před
Reaguje uživateli  Martin Mojmír

to co jste potvrdil v posledním odstavci je celý problém proč to rozhodující (aktivní síla společnosti) prostě na LIN přejít nemůže a do doby dokud to nebude ani nepřejde. A přitom by to nemuselo být počátku ani zdarma, klidně za stejnou cenu jako komerční, ale prostě na čistém open source základě.

Prostě když jde sdílet dnes kde co, tak proč by nemohl vzniknout projekt,kde by tvůrci SW nebyli zaslepeni vidinou rychlého zbohatnutí, ale dostali by zaplaceno za svou práci od skupiny lidí/firem, které by se na takový obecný produkční systém prostě složili a poslali MS a apod. prostě do háje.

Pokud ale píšete, že jsme ve stavu, kdy vlastně někdo drží tu zhovadilost zvanou patent a na lidské prdnutí či kliknutí myší apod., tak jaké je pak reálné východisko, když to tedy nejde dnes obejít ?? asi potom žádné….

Pro mě je komunita Linuxových programátorů stejná „banda ovcí“ (samozřejmě paušalizuji), která stejně plýtvá energií jako současný systém, protože namísto aby vytvořili max. 3, ale perfektně vyladěné a se vším potřebným SW vybavené a konkurence schopné systémy proti MS, tak si každý jede solo svou distribuci v domnění jak moc dobře neudělali. Prostě nulové uvědomění podstaty boje proti současnému zrůdnému systému a nejen patentů bohužel i u této komunity. Ale co naplat, stejně to z většiny programují lidi, co mají hlavní příjmy a jsou živeni z těch komerčních uzavřených SW. Málokdo z těch opravdu přínosných to dělá jen pro svůj dobrý pocit, pokud nemá jistotu jiné obživy v pozadí. To je realita a fakt a nikdo to moc neokecá.

Kdyby tomu bylo jinak, tak už dávno existují různé skupiny programátorů, které by pomáhaly s rozjetím systému TZM, Volník, ER apod.. a pak by byly i prostředky na cokoliv jiného k vytvoření. Ale jak je vidět nic takového resp. nikdo takový zde není. tedy nic jsem zatím nepostřehl…

Petr
Petr
7 roky před
Reaguje uživateli  Martin Mojmír

Díky za ohlas, pracuji v jedné osobě jako projektant, rozpočtář, stavbyvedoucí, i manuálně pracující a bohužel musím i jako obchodník (ale toto jen kvůli obživě a s velkým odstupem), ale naštěstí v segmentu kde ještě není tak šílený přetlak nabídky nad poptávkou, takže člověk nemusí používat procesy, které se mi tak štítí všude kolem .

Lituji lidi v oborech kde je to naopak, protože když se člověk řádně zamyslí nad obvyklými mantrami jako že to konkurenční prostředí nutí firmy zlepšovat své služby na max, nutí dělat efektivně, tak je to jen zástupný blud pro opravdu choré a nevzdělané mozky, které to i v dnešní době tvrdí.

Nic jiného to neprodukuje než likvidaci lidí a vývoj jakékoliv technologie a práce ? ten by se dal dělat v bezpeněžní společnosti 100x rychleji a efektivněji a jen by to znásobovalo celkový synergický efekt všeho kolem.

V takové společnosti by víra (náboženství) obecně prostě vymizela. Je to jeden z dalších manipulativních uměle vytvořených prvků a defacto příčina všeho zla dnes ve světě. Naopak ve světě bezpeněžním nebude nutné aby lidi věřili něčemu virtuálnímu, když jim stačí věřit ve své ruce, schopnosti, vzdělání.

Pravda je taková, že patenty přímo tlumí skutečný vývoj, navíc je to dnes a co je zarážející hlídáno i samotnými státem placenými vysokými školami apod. a je to takový další trezor proti osvobození lidí čistě technologickou cestou od manipulace jinými >> psychopaty.

Dalo by se říci, že postupy a možnosti jak získat peníze dobře shrnul tento fajn pozitivní člověk někde od tohoto času 21:10, ale doporučuji poslechnout celé:
https://youtu.be/xsB7LlPZ72o?t=1271

Vaše další články by mohly jít směrem analýzy, jak prostřelit tu hradbu peněz.
Je tam totiž xx zajímavých faktů, které si neuvědomuje žádná alternativní aktivita a organizace, ale všichni by rádi kdyby jim posílali tolik peněz jako p. L. Malý svým „ovcím“ z bývalého LMC, kde se dostal k těm stovkám milionů.

Nebo i pár korun ve velkém počtu, ale nikdo si neuvědomuje, že takových „žádajících“ je doslova „plná prdel“ internetu a jen pár jich tu pomoc prostě dostane. Prostě jednoduchá matematika zde selhává u všech…bohužel.

Už cca 5 let jim Malý posílá 1 mil. kč a výsledek jeho aktivit ? Jsou to jeho peníze, ale takto vyhazovat peníze, když už je dává na takové věci, které mají pomoci ???

Píšete : „Východisko je v široké veřejnosti, kdy vše záleží zejména na ní“
No to je krásné, ale když znáte psychologii, mentalitu dnešní spolenčnosti, a jako zástupce TZM i pravé příčiny stavu dnešní společnosti, tak víte, že tu širokou veřejnost je nutné k aktivitě vybudit, že ona sama prostě nemá na to aby se zvedla a začla se vzdělávat, zjišťovat spolupracovat. Toto je holý fakt, se kterým se strašně málo pracuje a ještě méně vymýšlí řešení.

A tady by klidně pomohl takový malý seriál na toto téma.

Petr
Petr
7 roky před
Reaguje uživateli  Martin Mojmír

Jo IPv4 adresa v městských komunitních sítích je často sdílená, takže je to možné a vyjadřování ? to bych nebral jako vodítko, to je celkem běžný a trefný obrat tady u nás.

A navíc nechápu proč Vás pálí to s kým řešíte fakta a ne názory. Jestli Vám ten člověk něco špatného udělal, tak asi možná je důvod. Ale asi bych to tak neviděl, když jste se zde dokázal s ním takto fakticky bavit na daná témata a ještě to sám potvrdil, že to je přínosné.

Vůbec to neřešte. Chcete-li řešit podstatnější témata, nemusíte k tomu někoho skenovat jakou má IP, jestli to není někdo z Vašich dřívějších kolegů apod.. Divím se tomu co Vás k tomuto „šťourání“ vede, když sám na druhou stranu píšete o lidech programujících Windows apod. jací to nejsou křiváci, ohledně potřeby skenovat jejich obsah na cloud.

Faktický dotaz ! – jaký to má vztah jestli to psal on či já vzhledem k tématům a jejich dosavadní faktické úrovni diskuse ?. Pokud Vám tyto některé termíny vadí, stačí napsat jestli bych se jich zdržel, ale co jsem četl ve Vašich článcích zde, tak to je ještě slabá káva.

Víte pane tato doba není o egu (o vlastním jménu a asi „vystavování se“ na netu na obdiv) jak jste o něm psal, ale o síle která se ukrývá a spí v anonymní skupině lidí, kteří mohou něco pochopit a poté zrealizovat.

Ano je to ta kritická skupina lidí, kteří budou moci společně něco zrealizovat a většina z nich nebude o to stát, aby se někde kvůli tomu museli jakkoliv vystavovat, měl byste to brát jako samozřejmost u jiných. Ale oni Vám to upírat nebudou, nemají proč, nemají to zapotřebí

K čemu Vám bude dobré znát jméno, tvář v době kdy se do spolupráce zapojí tisíce lidí, k tomu tam bude 20 takových lidí se stejným jménem, nedej bože i místem působení ?. Pak budete doslova v prdeli, když si budete hrát na to, abyste se zajímal s kým na něčem pracujete namísto na čem pracujete a jaké jsou výsledky pro celou komunitu či danou věc.

Podle čeho a hlavně proč se budete namísto společné práce a výsledku zajímat o to jestli to produkuje pepa, franta či kdokoliv jiný ? K čemu Vám to je dobré ?. Nečekal bych, že zrovna představitel i TZM hnutí má tato zcela nesmyslné potřeby k řešení. Myslel jsem, že lidé z této skupiny jsou už v uvědomění mnohem dále než zbytek populace, ale to jsem se asi seknul…to byl z mé strany fakt jen dosud nepotvrzený názor, který bohužel je možné nyní prohlásit za fakt, ale s opačnou hodnotou…

škoda…