Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Bug in Slack liet kwaadwillenden gebruikersaccounts overnemen

Door , 24 reacties

Slack, een populair medium voor het delen van informatie binnen organisaties en bedrijven, kampte met een bug waardoor gebruikersaccounts overgenomen konden worden. Kwaadwillenden konden zo toegang krijgen tot alle kanalen waar het account lid van was.

Frans Rosén, beveiligingsonderzoeker bij het bedrijf Detectify, ontdekte de bug vorige maand en stelde Slack ervan op de hoogte. Inmiddels is de kwetsbaarheid gerepareerd en zijn de eigenschappen ervan publiekelijk gemaakt. Uit het rapport blijkt dat kwaadwillenden hiermee andermans account konden overnemen en zo toegang konden krijgen tot alle content waar die persoon voor gemachtigd is.

De kwetsbaarheid zat in de manier waarop verschillende systemen van Slack met elkaar communiceren, en dan met name in de implementatie van PostMessage, aldus de ontdekker van de bug. Rosén maakte een exploit door een webpagina op te zetten waarmee authenticatietokens van Slack-gebruikers ontfutseld konden worden. Met deze xoxs-tokens konden kwaadwillenden vervolgens doen alsof zij de eigenaar van dat account waren. Omdat Slack veel gebruikt wordt voor het delen van informatie binnen organisaties en bedrijven, hadden hierdoor mogelijk bedrijfsgeheimen gestolen kunnen worden.

Een woordvoerder van Slack liet weten aan Wired dat het de bug na ontvangst van het rapport van Rosén binnen vijf uur had gerepareerd. Uit de logs is niet gebleken dat er misbruik is gemaakt van de kwetsbaarheid.

Bauke Schievink

Admin Mobile / Nieuwsposter

Reacties (24)

Wijzig sortering
Als er binnen 90 dagen geen patch is, dan maken ze inderdaad hun vindingen puliekelijk (bron: https://en.wikipedia.org/wiki/Project_Zero_(Google)).
Wat op zich nog steeds discutabel is. Als ik weet dat jouw sloten niet zo goed meer zijn, en jij doet er niets aan zal iedereen het toch uitermate vreemd vinden als ik in een krantenadvertentie ga zeggen dat jouw sloten gammel zijn....
Dat is dan ook een hele verkeerde analogie.....
Als ik weet dat Axa sloten gammel zijn en ik maak dat in een artikel bekend zullen de klante van Axa daar heel erg blij mee zijn..... Axa mischien niet zo maar wat is er belangrijker?
Om eerlijk te zijn, zijn beide analogien verkeerd. Het zit namelijk zo:

Als ik een fout in Axa sloten vind, dit meld ik aan Axa en na 90 dagen is Axa nog niet met een oplossing gekomen, dan meld ik het aan de mens dat Axa sloten gammel zijn.

Het is nog steeds een discutabel project, maar gezien de vele lekken die de laatste tijd misbruikt worden, is het wel eens goed dat veel fabrikanten achter hun hielen aangezeten worden.
Ik zou er zelf niet blij van worden hoor, ik kan namelijk niet zo 1 2 3 ergens anders een ander slot vandaan halen en zal dus een tijdje met een slot rondrijden waarvan iedereen weet dat je het met een klein tikje op de zijkant los kan krijgen. In dat geval ben ik veel kwetsbaarder dan dat ik hiervoor was.
Dit zijn dus ook typisch situaties waarin geen 'goed' is maar alleen maar variaties op 'slecht'.
In de software wereld is zo'n beetje onderling afgesproken om de fabrikant 90 dagen te geven de boel te fixen en dan de klanten in te lichten. Perfect is het niet, maar dat is geen enkel alternatief.
Je hebt nl. geen idee hoeveel kwaadwillenden op de hoogte zijn van het probleem met het slot.
Is niemand dat, dan zou niet vertellen het meest ideale zijn. Weten alle fietsendieven het dan is 90 dagen rijkelijk lang.
In mijn ogen hangt het af van het probleem. Een bug in de kernel is wel even iets moeilijker op te lossen dan een bug in een bv paint. Mochten ze die fixen moet het eerst weer uitgebreid getest worden wat mocht dat niet goed gedaan worden grotere problemen kan geven dan de eerste bug. Een bug binnen paint zal minder groot zijn en indien dat niet het geval is kun je dat altijd nog uitschakelen.
Toch is 90 maanden best lang, en om te voorkomen dat er wellus/nietus spelletjes komen tussen de onderzoekers en de fabrikant is er nu een redelijk gemiddelde gekozen.
Wat jij wilt zal in de praktijk niet werken: fabrikanten eisen nu al te vaak meer oplostijd dan redelijk is.

Het is geen perfecte wereld en er is hier geen perfecte oplossing.
Dat doet Google ook, als er binnen een redelijke termijn gereageerd wordt. Alleen als een bug lang ongepatched blijft maakt Google hem pas openbaar.
In veel gevallen is dat al na 90 dagen, wat voor sommige van die bugs in bijv. kritieke componenten van een kernel veel te weinig is.
Gebruikers hebben ook recht om te weten als er een ernstige bug in hun systeem zit, dan kunnen ze daar rekening mee houden.
Dat is ook precies de reden waarom Google een termijn aanhoudt van 90 dagen, zoals uitgelegd in de link van de reactie waar je op reageert. ;)
Nee, het recht om te weten dat er een ernstige bug is, is niet het zelfde als alle details op straat gooien, inclusief hoe de bug misbruikt kan worden!

Dat is namelijk wat google doet, ze hadden ook kunnen zeggen, "Er zit een bug in en Microsoft heeft het nog niet opgelost" ipv "hier heb je alle details om er een virus voor te maken"
Natuurlijk heeft de tactiek van Google twee kanten. Jij schetst de ene kant. De andere kant is, dat Google bedrijven hiermee onder druk wil zetten om beveiliging voor de verandering eens hoog op de (development) agenda te gaan zetten. Je wilt niet weten hoeveel bedrijven nog best laconiek zijn als het gaat om beveiliging. Alsof ze nog niet beseffen dat daarmee ook bedrijven kunnen omvallen, omdat het vertrouwen dan helemaal weg is. Mooi voorbeeld daarvan is Diginotar. En zoals altijd met beveiliging; die is zo sterk als de zwakste schakel in het geheel, maar dat kwartje lijkt nog niet overal te vallen, helaas.

Het is (imo) mede dankzij Chrome dat langzaamaan HTTPS op webpagina's wordt geforceerd. Ik hoop dan ook heel erg, dat uiteindelijk HTTP alleen wordt toegestaan voor lokale (LAN) verbindingen. In HTTP/2 wordt versleuteling zelfs benodigd door de browsers, wat naar mijn idee ook een goede vooruitgang is.

Door dingen te forceren, kun je dus ook een betere beveiliging afdwingen en dat is voor de eindgebruiker alleen maar beter. Het is daarom ook belangrijk, dat anderen dat ook doen.

Adobe's Flash is dan wel een gatenkaas, maar Adobe is bijvoorbeeld wl snel met het uitgeven van een update die de gevonden beveiligingsproblemen oplost. Waarom zou een bedrijf als Microsoft (wat toch ook voldoende developers in dienst heeft zou je zeggen) dat dan ook niet kunnen? Microsoft is groot zat om snel een dergelijke patch f work-around uit te geven. Negentig dagen is echt ruim daarvoor, zeker als je eerst met een work-around komt, zodat in elk geval de brand voorlopig geblust is, dan heb je daarna meer tijd om de brandhaard aan te pakken en het definitief op te lossen, dunkt me.

[Reactie gewijzigd door CH4OS op 5 maart 2017 13:54]

Microsoft is gevult met vele capabele programmeurs. Soms zijn dingen niet zo makkelijk op te lossen bij iets zo complex als een OS. Vergeet ook niet dat het in de beste interesse is van Microsoft zelf om al die bugs op te lossen en dat ze daar wel degelijk mee bezig zijn. Daarom vind ik een beetje dat Google misbruik maakt van hun positie wanneer er een bug ontdekt is. Want openbaar maken hoe je actief een bug kan misbruiken is gewoon aanzet tot criminaliteit
Ik snap dat het best complex kan zijn om op te lossen, maar binnen 90 dagen nadat Google Project Zero iets gevonden heeft, moet het echt wel mogelijk zijn om een work-around te vinden, zodat de klanten in elk geval voor nu geholpen zijn en niet zo gauw last kunnen krijgen van een hack of virus bijvoorbeeld.

En ja, het is dan ook voor criminaliteit interessant, maar op deze manier probeert Google gewoon bedrijven onder druk te zetten, zo simpel is het. Dan kun je beter hebben dat een bedrijf als Google met haar Project Zero een dergelijke bug vindt, dan dat een crimineel dat doet, de bug niet meldt en vervolgens gaat zitten uitbuiten tot in den treure. ;)

[Reactie gewijzigd door CH4OS op 5 maart 2017 14:35]

Microsoft is gevult met vele capabele programmeurs
Ze hebben ongeveer 43.000 engineers in dienst, wat betekent dat ze in die 90 dagen die Google aanhoudt (90/7*5*8*43000) 22 miljoen manuren in het fixen van de bug kan steken.
Juist daarom zou een bedrijf als MS een kritieke bug in 90 dagen op moeten kunnen lossen.
En hoe moet je staven of wat (in het geval van jouw voorbeeld) Google meld ook de waarheid is? En of de betreffende bug ook voor jou relevant is?
Daar heb je meer informatie voor nodig dan alleen een "er is een bug gevonden"
Juist bij kritieke componenten is het belangrijk dat er snel een patch komt, of dat het risico bekent wordt bij gebruikers.
Verschil is wel dat, aldus slack, de kwetsbaarheid binnen 5 uur was opgelost in plaats van 90 dagen.
Vijf uur, vijf dagen, vijf weken. Het maakt niet uit, als het maar binnen 90 dagen is.
Anders wordt het openbaar gemaakt.
Ja en daarom was ik, net als jij, tegen zijn standpunt
Wat erg als dat je overkomt en iedereen toegang heeft tot iemands account en is snel weer gerepareerd!

Op dit item kan niet meer gereageerd worden.


Nintendo Switch Google Pixel XL 2 LG W7 Samsung Galaxy S8 Google Pixel 2 Sony Bravia A1 OLED Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*