DDoSecretsがTeleMessageから410GBのヒープダンプをハッキングし公開!
引用元:https://news.ycombinator.com/item?id=44036647
え、つまり彼らのサーバーの一つに、サーバーの heap dump を公開する /heapdump エンドポイントがあったってこと? この騒動、もう手に負えないね。このグループは何も”公開”してないけどね。記者向けに申請フォームでアクセス提供してるだけだよ。410GB の heap dumps って方が headline になるから、実際のメッセージコンテンツがどれだけあるかは言ってないし。
信頼されててセキュアで(しかも無料)な software を Co-opt して、あらゆる面で劣化させてるのを想像できる?
しかも金取って?!
会社と user どっちが embarrassed か分からないな。
なんで会社が embarrassed なんだ? user (つまり high level U.S. officials)が due diligence を全くしてないじゃん。もちろん private company は一番簡単で安い route を取るよ。マズくなったら shut down して spin up するだけでしょ。
これ Israeli による intentional intelligence gathering って speculate する人もいるけど、それも plausible だね。
> Some speculate this was intentional intelligence gathering by the Israelis which is plausible too.
これがどういう意味? もし彼らが gathering データしてたんなら、なんで public download を add するの? surely the Israeli officials は foreign powers に access させたくないはずだよね?
Per Hanlon’s razor, これは incompetence 以外の何物でもないと思うな。
> The users (i.e. high level U.S. officials) did no due diligence.
でも、なんで彼らがそんなことするの? 彼らの job じゃないじゃん。彼らには massive な IT staff が support してるんだよ。“High level U.S. officials” はただの executives。 pointy-haired bosses の上の pointy-haired boss だよ。
Fortune 500 company だって dedicated IT staff for execs がいるんだ。
これらの人たちは自分の MDM-controlled device に app 一つ install できないんだぜ、それが今や low-level IT decisions までするのを expected されてるって話になってる? Pete Hegseth が rotating backup tapes について lack of thoughts なのを next week 調べることになるんだろうな。
これがなぜ Signal が third-party apps (または forks)が彼らの service に connect するのを so opposed なのかって理由だよ。
Signal が the secure app っていう branding を keep したいなら、全ての Signal users が actually using a secure version of Signal であることを make sure する必要がある。
もし an insecure fork (like this one)が too popular になると、 most groups には at least one member using it が出てきて、 then the security is gone.
Java app を持ってて、 all of the JMX endpoints を over HTTP で mistakenly exposed しちゃった感じだね。デフォルト設定じゃないし、 likely done out of carelessness だな。
the razor の both sides の room があるね。 heapdumpz は maliciously そこにあったけど、 incompetently made globally accessible だったのかもしれない。
From the Wired article: ”The archive server is programmed in Java and is built using Spring Boot, an open source framework for creating Java applications. Spring Boot includes a set of features called Actuator that helps developers monitor and debug their applications. One of these features is the heap dump endpoint,”
だから the heapdumps が available だったのは a Spring Boot feature ってことで、 it does not appear to be malicious だね。
てかさ、FTXで有名なSBFは元々Jane Stにいたから、当然バリバリの金融プロだったわけ。だから、昔の勤務先だけで能力を判断するのは危ないんだよね。
Wiredの記事によるとね、これSpring Bootのバージョンによってはミスじゃなかったかもよ。バージョン1.5より前は、Spring Boot Actuatorの /heapdump エンドポイントは認証なしで誰でもアクセスできる公開設定がデフォルトだったんだって。
公平に見てさ、FTXは利益が出た破産だったって話もあるしね [1]。だから、Goldman SachsとかJP Morganとかの普通のアラムナイに騙されるよりは、Jane Street出身者に騙される方がまだマシなんじゃないの [1] https://www.bloomberg.com/news/articles/2024-05-15/ftx-bankr…
賢い人が陥りがちな問題はさ、ある分野でマジで賢いってことが、他の全部に応用できるって思っちゃうことなんだよね。AppSecが得意だからって、ネットワーキングとかウェブサーバーの運用も得意とは限らないわけ。
アプリへの変更は、メッセージのアーカイブが法律で義務付けられてたから、関係者全員が意図的にやったことだよ。
それさ、AppleがiMessageのクライアントアプリを閉鎖した時の理由と同じだよね。今回のリークを見ると、彼らの懸念は正しかったってことになるみたい。
それ、国全体をひとくくりにするのは良くないよ。元Mossadの人で、テック企業で実際に実装したいと思ってる人がどれだけいると思う? 「アメリカのソフトウェア会社って全部一流で、元NSAの人とかばっかりなんでしょ?」みたいなもんじゃん?
正直さ、なんで諜報機関出身の人たちがエンジニアリングに特に長けてると思うのか、よくわかんないんだけど。
これさ、対策でファイアウォール建てても、Docker Composeが親切にポート開けちゃう、みたいなのを想像してみて。セキュリティは層で考えるべきなんだよね。
それがなんで公平なの? あれはAIへの投資による運だよ。ただの運。
俺、Spring Bootのヒープダンプ機能作った本人なんだ。みんなセキュリティ設定ミスったり無視したりしてるっぽい。改善のためにこのPR(リンク略)出したんだよ。昔は“sensitive”で明示的に有効にしないとだったけど、今は“shutdown”だけ“restricted”になっちゃったんだ。今回のPRで、みんなが設定ミスってもデフォルトでヒープダンプが晒されないようにするつもり。
まあね、でもあんな無能で危ないやり方する必要なかったでしょ。
もしヒープダンプがメモリの全コピーなら、“数千のヒープダンプ”ってもっと410GBよりでかくなるんじゃないの?ざっくり計算してみると:
410GB÷1000個=1個あたり410MB?
410GB÷2000個=1個あたり205MB?
この機能はちゃんと有効化しないとダメなんだ。デフォルトでも間違ってもオンにはならないよ。
>実際のメッセージコンテンツの量より、410GBのヒープダンプの方がインパクトあるから量をごまかしてるって指摘、これ大事。
最近こういう大量ダンプ見たけど、OSのキャッシュとかログばっかで中身なかったよ。ヒープダンプのサイズ減らすの簡単なのにやってないのは変だけど、実は512GBを整理して410GBになった可能性もあるし、わかんないな。
それはプロトコルの問題って感じじゃないな。単一実装だと、仕様無視したのに問題起きないバグとかにつながるのってよくあることだもん。
あの人たちの大量のITスタッフは、安全にやり取りする方法を用意してるのに、わざと無視してんだろ。証拠に残らないように、後で裁判にならないようにさ。
まだ分かんないけどさ、この人たちって自分たちが気に入らない科学者とか専門家を公然と攻撃してるじゃん。だから、IT専門家のアドバイスなんて無視してたとしても驚かないな。
TeleMessageのCEOのLinkedInプロフィールがひどいAIが書いたみたいなんだって。内容は”戦略的革新と通信ソリューション推進への揺るぎないコミットメント”とか”倫理基準と共同成功を評価する文化”とか”実績に基づいて結果を出し効率的に問題を解決”とか”通信分野で卓越した評判”とか、最後に”2024年のSmarshによる買収はチームと私のリーダーシップの証”って書いてある。全部ビジネス用語の羅列でAI感満載だね。
十分に進化した人間が書いたLinkedIn言葉は、ビジネス流行語で話すように指示された、かろうじて意味の通じるchatgpt 3.5と区別つかないんだよ。
ハハハ、全く同じこと考えてたよ!10年前にこれを読んでたら”うわ、この人履歴書作りうまいな、簡潔でエレガントだ”って思っただろうね。でも今やみんなこの超凝縮されたLinkedIn言葉を使うから、すごく痛々しくて意味不明になっちゃった。
もっとコメントを表示(1)
磨きすぎた言葉、抽象的な言い回し、具体性より一般論に終始してる感じだね。
”俺、CEOです。うちはSaaSです。俺、CEOです。”って感じかな。
そんなひどく言わないであげなよ、”うちは通信会社だ”ってどこかで付け加えてたでしょ。
最初のTeleMessageの情報公開から何週間も経つのに… Signal Foundationは何かニュースに反応した? 彼らはオープンソースのサードパーティクライアントを非難したり、相互運用プロジェクトで”Signal”の名前を使う人を商標侵害で訴えるって脅したりしてるじゃん。一方で、防衛請負業者が同じことしてるのに全く何も言わないんだよな。
Signal Foundationが何も言わないのは、政権の報復を恐れてじっとしてるか、それか中心人物だったMoxieが役員を辞めて姿を消したから。今Signal Foundationが何を代表してるのかちょっと分かりにくいね。
Signalは何も悪くないと思うよ。何か言っても、スケープゴート探してる人たちから批判されるだけだし。この問題は完全にTelemessageと、それを使っちゃった人たちのせいだよ。
そういえばSignalのFOSSフォークが中止させられたの覚えてる?How is Molly doing these days?自分でホストできる代替サーバーってあるの?
Whittakerがインタビューで話してたの思い出した。主流メディアがSignalを”安全じゃないメッセンジャー”って呼び続けてたことに文句言ってたんだよ。実際はそれが問題じゃなかったのにね。そのインタビューが見つからないんだけど。多分Signalは何もできなかっただろうね、だってTeleMessageがアプリを”Signal”じゃなくて”SGNL”って呼ばなかったのはそのためだろうから。
moxie vs fdroidの件は俺もイライラするけど、これはそれ以上の問題だ。長年USの援助で儲けてきた海外のエリートがUS大統領を牛耳ってる話で、みんな無能だと思うのは間違い。他の政権が未知の海外ソフトを使ったら無能と思うはず。なぜこの裏切り者のピエロたちは許されるの?
>もし他の政権が、聞いたこともない海外の会社の電話とか通信ソフトを使ってたら、ただの無能だと思う?
元の記事で面白かったのは、USがTeleMessageを2023年2月から使ってたってこと。もしそれが本当なら、この選択には2つの政権が関わってるってことになるね。
その通りだけど、前の政権がその改造されたクライアントで戦術計画を話し合ってたとは思えないな。
自分の名前を守るのは全く問題ないよ。Firefoxのフォークは作っていいけど、Firefoxって呼んだりMozillaのブランドを使っちゃダメ。VS Codeのオープンソース部分をフォークしていいけど、そう呼んだりMicrosoftのブランドを使っちゃダメ。オープンソースライセンスに従えば自由だけど、名前やブランドの権利はないんだ。Linuxみたいに、Linux foundationから許可を得る必要があるんだよ。
それはここでの問題と違うよ。VSCodeやFireFoxは誤った例えだ。たとえ名前を変えても、Signalは非公式クライアントのサーバー接続を禁じてるんだ。公式見解では、Signalユーザーとチャットできるクライアントのフォークや配布は許されてない。MozillaはLibreWolfビルドでもVPNやRelayみたいなサービスを使わせてくれるけどね。
二つ前のコメントは不満を二つ書いてたよね、一つはクライアントについて、もう一つはSignalがSignalの名前を使ってる人たちを追い詰めてることについて。俺のコメントはその二つ目だけについてだったんだよ(だからああいう風に始まってるんだ)。
Signalのフォーク版がどんなにひどくても、少なくとも合法だった。やばいのは、この会社がクラック版WhatsAppも売ってたってこと。
これは全然話が違う… しかもみんなそれを買ってたんだ! 実際の企業や政府がこんなクソみたいなのを買ってたなんて、マジありえないね
https://smarsh.my.salesforce.com/sfc/p/#30000001FgxH/a/Pb000…
それがなんで違法なの? Beeperの件だと、DOJは独自プロトコルのサードパーティ製メッセンジャーを禁止しようとする企業に同情的じゃなかったよね [0] — WhatsAppは違うの?
WhatsAppアーカイバーは、見た感じユーザーのWhatsAppインストールにパッチを当てるみたいだね。セキュリティ的に悪夢なのは確かだろうけど、違法だとは思わないな。
https://techcrunch.com/2024/03/21/doj-calls-out-apple-for-br…
彼らは実際、Metaのブランディング付きで再構築されたクライアントバイナリを配布してるんだよ。
それはソフトウェアのライセンス(オープンソースじゃないのはほぼ確実)とMetaの商標の両方を明らかに侵害してる。
自社ブランディングで互換性のあるアプリを提供するのとは訳が違うんだ。
> しかもみんなそれを買ってたんだ! 実際の企業や政府がこんなクソみたいなのを買ってたなんて、マジありえないね
余談だけど、Wall StreetではGlobal RelayとTeleMessageがコンプライアンス目的の通信アーカイブで主要なプレイヤーなんだよ。
その前はWall Streetはyahoo messengerで動いてたんだ!
新しいyahooのブランドオーナーたちがその価値を理解してなくて、若いユーザーが足りないからって理由でシャットダウンしちゃったせいで止まっただけなんだよ。
俺の仕事ではもっと重要度が低いことやってるけど、それでも外部企業による年2回のペネトレーションテストがあるんだ。
一体どうしたらこんなレベルの無能さが合法でいられるんだ?
だって、ソフトウェアエンジニアリングってエンジニアリングとして真剣に捉えられてないからだよ。
例えば、どんな責任があるっていうの?
違法じゃなかったとは思わないな。
どうやらSOC2認証も偽造してたみたいだし。
’Heapdump’って言葉は15年前にAndroidアプリのデバッグで覚えたやつだよ.Javaプロセスのメモリのスナップショットで,中身は平文が入ってる.面白いのは,なんでそのヒープがオープンなHTTPエンドポイントで手に入ったかって点だね.クライアントコードにハードコードされてたか,リクエストを見たんだろうな.これだけだとバックエンドやメッセージの保存方法についてどう知ったのか分からないんだけど,何か見落としてるかな?
監視用のエンドポイントはSpringBootのデフォルトで,あんまり変更されないんだ.だからAPIのパスが分かれば,ヒープダンプのエンドポイントのパスも分かるってことさ.
それはただの /actuator/heapdump だよ.見つけるの難しくないし.最近のバージョンだとデフォルトでオフだけど,前はデフォルトで有効だったんだ.
本番で認証なしの/heapdumpエンドポイントを晒すなんて初心者すぎ.特に政府の機密通信扱ってるサービスならね.MD5ハッシュとかJSPみたいな古い技術があるのも,セキュリティがずさんなのを示してる.今回の件は,多層防御と定期的なチェックが絶対必要な理由を示す,まさに教科書みたいな例だよ.
JSPを悪く言うなよ.今はJakarta Server Pagesって名前でJakarta EEの一部だし,ちゃんと更新してたら古い技術じゃないんだ.人気が落ちただけさ.それに,今どきのNext.jsとか使ったって,ダメなコード書けば認証なしのエンドポイントを晒しちゃうことはできるんだからね.
これ,議員がend−to−end暗号化を禁止したりバックドア仕込もうとしたりする時に,こういうセキュリティのずさんさがあるから必要ないって反論するのに使える良い例だね.
記事のタイトルは完全に間違いで,嘘っぱち流してるって批判されるべきだよ.”公開した”んじゃなくて”研究者向け”なだけだろ.これって”注目浴びたいからタイトルの情報歪めました”って言ってるようなもんだぞ.
DDoSecretsは機密情報だからジャーナリストや研究者とだけ共有してるらしいけど,俺は今回はもっと痛い漏洩が必要だと思うんだ.だって独裁者とかはハッキングされても痛くないし,ちゃんと国民が失敗に怒るべきだから.それに,ジャーナリストとかも政府にすぐ黙らされちゃうし,抑圧が広がるだけだよ.普通の企業の失敗なら責任ある開示でいいけど,独裁を止めるためなら手加減なしで行くべきだ.相手がルール守らないならこっちも守らなくていい.
もっとコメントを表示(2)
ジャーナリストを”黙らせる”なんて必要ないんだよ.だってさ,多くの人はSNSの匿名アカウントとか,フォローしてる政治インフルエンサーからしか本当のことは来ないって騙されてるんだもん.どんな情報がリークされても”フェイクニュースだ”って一蹴されちゃって,十分な数の投票者がそれを信じちゃうんだからさ.
ジャーナリストが”政府を監視する役割”なんて,gullibleな人向けのおとぎ話だよ.だからいちいち黙らせる必要なんてないのさ.まあ,例外的なすごいジャーナリストには敬意を表するけどね.
リークを”フェイクニュース”って片付けられても有権者は信じるし、メディアとか科学界への信頼が失われたのも、彼らが政治的なウソばっかついてるから当然だよ。
国民がリーダーに怒るべきって考えは危ないよ。”Americaを救うためにAmerica人を痛めつける必要がある”って”ひどい暴力”に繋がる思考回路。人を傷つけて自分たちが傷ついてることに気づかせようとするのは、ほぼ間違いだね。
これもマジで危険な考え方だよ。”Americaを救うために、行われてる”ひどい暴力”の真実を嘘で隠す必要がある”って考え。人が傷ついてるのに気づかせないように嘘つくのは、ほぼ絶対ダメ。
それってaccelerationismの説明だね。倫理的にはかなり微妙だけど、歴史的には革命を起こすのに効果があるってされてる。
クソみたいな悪いことでも結構うまくいくもんなんだ。みんな悪が好きだからじゃなく、それが一番効果的だからやるんだよ。嘘とかプロパガンダとか大勢を撃つとかも、革命を促すにはすごい有効だけど、それが良いアイデアって意味じゃない。
マジメに考えれば、政府の情報のほぼ全部は国民には何も困ることなく公開できるのは明らかだよ。現役の軍事作戦とかスパイ活動、システムアクセス方法(パスワードとか)くらいが例外かな。他は大体大丈夫。政治家は恥ずかしいだろうけど、安全なんだよ。
恐喝とか迫害とか恥(不倫とか難民のこと、病気とか)のリスクも考えなきゃ。大抵の場合、市民には秘密を守ったり嘘ついたりする権利があるんだ。
市民?うん、そう。政治家が仕事以外で好きなように連絡するのも?うん、それもそう。でも政治家が仕事中は?ダメ!彼らの仕事の通信は全部公開できるべきだし、そしたら人類も国民も今よりずっと安全になるはずだよ。軍事とかインテリジェンスは別だけどさ。
政府の通信漏洩には、無関係な市民や職員のセンシティブな情報(兵士、患者など)が含まれる可能性があると思う。特に議員のチャットは。公開自体は否定しないけど、関係ない人の名前とか個人情報はredactしてほしい。ただし、当局が編集済みを偽造だと言う可能性もあるから、検証可能なままの方が良いかもね。
今回の件はTrump adminのテキスト漏洩の話で、国民への”ひどい暴力”とは全然違うって文脈を理解することが大事だと思う。片方は良いかもしれないけど、暴力は悪い。
ただし、WikiLeaksみたいに無関係な人の情報が流出しちゃうのは心配だね。
正直、ただゴシップが見たいだけなんだけどさ。
その引用文、市民が他人に痛みを与えるって意味じゃないよ。なんか変な読み方だね。ダメなリーダーを投票で追放しようって言ってるだけだよ。他になんか選択肢あると思う?
もし、人を傷つけるのを止めるために人を傷つけてるんだとしたら…?
> 関係国の市民はリーダーがちゃんと仕事しないことに怒るべきだし、それは行動に結果が伴う時だけ起こるだろうね。
でもその結果ってリーダーには響かないだろうな。ログにどんな情報(内部告発者、エージェントとか)があるかわからないし。もしオープンに漏洩したら、彼らは死んじゃうかもね。
超同意。AusのCabinet Leaksを思い出したよ(https://www.abc.net.au/news/2018-01-31/cabinet-files-reveal-…)。国営放送が2つだけ報道して残りは政府に返したんだけど、これで政治の方向性が変わっただろうな。公開すべき情報がいっぱいあったはず。今回の件も多分同じだよ。どの政党とかじゃなくて、国民はもっと情報を持つべきだと思うな。
USで政府の通信に外部チャンネル使うのって法律違反じゃないの? Clintonの時のスキャンダルってこれ全体のことだったっけ? 間違ってたら教えて。
驚いたことに、そのアプリ政府の承認済みアプリリストに入ってるんだって。スキャンダルなのは、そこで何話してるかってことだよね。普通は超安全なチャンネルで話すような、めっちゃ機密性の高い情報だよ。
俺の理解だと、最近追加されたばかりで、もうこれなんだよね。これは「政策変更が最も恥ずかしい結果を招いた」記録的な短期間じゃないかな。たった数ヶ月だよ!
記事によると:「TeleMessageは少なくとも2023年2月から連邦政府に使われてる」だって。それが承認されてたかは知らないけど。
これって承認済みソフトリスト(ホワイトリスト)の落とし穴だよね。不正行為とか職権乱用って、正規の配布元じゃなくて、内部の”ソフトウェアストア”とかで提供される、完全にスパイウェアみたいなソフトバージョンを含みうるからさ。
そのアプリは規制を守るために存在してる、ってのが俺の理解だったんだけど。
