0:00:00.310,0:00:04.830
Translated by Mikko Heikkinen (ITKST56 course assignment at JYU.FI)

0:00:05.372,0:00:13.612
[Musiikkia]

0:00:14.212,0:00:18.212
OK. Seuraavaksi puhuu Timo Longin,

0:00:19.402,0:00:22.212
joka tunnetaan myös nimellä Timo Login.

0:00:22.324,0:00:27.264
Hän tietoturvakonsultti ja tutkija. Hän tulee puhumaan uudesta tekniikasta

0:00:27.578,0:00:29.778
nimeltään SMTP Smuggling,

0:00:29.943,0:00:32.343
jolla voidaan väärentää sähköposteja

0:00:32.426,0:00:34.276
ja hyväksikäyttää eräitä eniten käytettyjä palveluita internetissä.

0:00:34.317,0:00:37.207
Kiitos. Annetaan Timolle applodit.

0:00:37.641,0:00:41.641
[Applodeja]

0:00:43.181,0:00:45.111
Kiitos esittelystä.

0:00:45.111,0:00:49.811
Ensinnäkin, pulskat pahoittelut omasta ja SEC Consult:n puolesta

0:00:49.811,0:00:53.801
tämän katastrofaalisen haavoittuvuuden julkaisemisesta.

0:00:54.784,0:01:00.734
Erityisesti pahoittelut Wietselle ja Viktorille korjausten jälkikorjauksesta

0:01:01.328,0:01:05.418
sekä kaikille järjestelmävalvojille ympäri maailman,

0:01:05.701,0:01:08.721
jotka ovat joutuneet asentamaan korjauksia joululoman aikana.

0:01:09.070,0:01:11.790
Ja lisäksi, joka tapauksessa,

0:01:12.284,0:01:16.284
suuret kiitokset Wietselle ja Viktorille

0:01:16.342,0:01:20.072
heidän sitoutumisestaan.

0:01:20.094,0:01:22.344
Ja lisäksi suuret kiitokset yhteisölle

0:01:22.391,0:01:25.373
tämän ongelman viemisestä julkaisujärjestelmiin ja niin edelleen.

0:01:25.563,0:01:27.843
Ja kaikille... Okei...

0:01:28.332,0:01:32.882
[Applodeja]

0:01:35.495,0:01:37.175
Ja kaikille niille,

0:01:37.307,0:01:39.277
joilla ei ole mitään hajua tästä.

0:01:39.349,0:01:41.729
Joten minäpä autan teidät samalle sivulle.

0:01:41.835,0:01:43.845
Noin vuosi sitten olin juuri

0:01:43.876,0:01:46.756
lopettanut tutkimukseni DNS:n parissa.

0:01:46.804,0:01:49.274
ja etsin uutta tutkimuskohdetta,

0:01:49.414,0:01:52.328
kun löysin todennäköisesti helpoimman

0:01:52.423,0:01:54.543
tavan hakkeroida yrityksen

0:01:54.672,0:01:56.772
ja kaikki tämä vain yhdellä

0:01:56.823,0:01:59.053
yksinkertaisella Google-haulla.

0:01:59.053,0:02:01.073
[Yleisön naurua]

0:02:01.211,0:02:03.921
Ja tämä saattaa kuulostaa tyhmälle,

0:02:04.025,0:02:06.275
mutta tämä johdatti minut suuntaan,

0:02:06.295,0:02:09.405
jonka jo tiesin, mutta en ollut ymmärtänyt.

0:02:09.517,0:02:12.637
Ja se on, että tietojen kalastelu on edelleen

0:02:12.656,0:02:15.566
numero 1 ensipääsyvektori yritykseen

0:02:15.645,0:02:17.535
ja sitten minulla välähti:

0:02:17.622,0:02:19.472
Miksen tutkisi SMTP:tä,

0:02:19.556,0:02:21.236
simple mail transfer protocol:aa

0:02:21.330,0:02:23.714
jota käytetään miljardien sähköpostien

0:02:23.757,0:02:26.235
lähettämiseen joka päivä ympäri maailman

0:02:26.315,0:02:28.375
kuten on tehty viimeisen 40 vuoden ajan.

0:02:28.410,0:02:30.780
Joten matkani eteni DNS:stä SMTP:hen

0:02:30.780,0:02:32.760
ja tänään esittelen uuden

0:02:32.773,0:02:34.963
SMTP Smuggling -tekniikan

0:02:35.009,0:02:37.389
sähköpostien väärentämiseksi.

0:02:37.471,0:02:39.771
Kuka olenkaan? OIen Timo Longin

0:02:39.832,0:02:41.674
ja työskentelen tietoturvakonsulttina

0:02:41.674,0:02:43.375
SEC Consult -yhtiössä ja

0:02:43.375,0:02:45.245
päivisin teen penetraatiotestausta

0:02:45.245,0:02:47.535
ja öisin teen haavoittuvuustutkimusta.

0:02:47.565,0:02:50.485
Ja viimeisen kolmen vuoden aikana olen

0:02:50.533,0:02:53.369
tutkinut paljon DNS-haavoittuvuuksia.

0:02:53.369,0:02:56.049
Ja olen julkaissut paljon blogikirjoituksia ja työkaluja.

0:02:56.257,0:02:59.007
Ja minun täytyi siirtyä eteenpäin.

0:02:59.207,0:03:03.207
Edellisen kerran, kun joku SEC Consult:sta puhui CCC:ssä...

0:03:05.093,0:03:06.913
se oli... dildoista.

0:03:07.393,0:03:08.883
[Yleisön naurua]

0:03:09.121,0:03:12.091
Ja tiedän, että joudun tuottamaan osalle

0:03:12.184,0:03:13.644
teistä pettymyksen,

0:03:13.644,0:03:15.390
mutta tämä esitys ei kerro

0:03:15.390,0:03:17.510
ihmiseen penetroitumisesta.

9:59:59.000,9:59:59.000
Esitys kertoo tunkeutumisesta SMTP-protokollan muurien läpi.

9:59:59.000,9:59:59.000
Joten nähdäksemme miten tämä toimii

9:59:59.000,9:59:59.000
on meidän ensin ymmärrettävä

9:59:59.000,9:59:59.000
miten sähköpostien lähetys yleensäkin toimii.

9:59:59.000,9:59:59.000
Joten tässä meillä on melko yksinkertainen sähköposti-infrastuktuuri.

9:59:59.000,9:59:59.000
Meillä on sähköpostikäyttäjäagentti,

9:59:59.000,9:59:59.000
kuten Thunderbird, ja Thunderbird haluaa lähettää sähköpostin

9:59:59.000,9:59:59.000
esimerkiksi käyttäjänä user@outlook.com.

9:59:59.000,9:59:59.000
Joten jos haluamme lähettää sähköpostin tällä tavalla

9:59:59.000,9:59:59.000
meidän täytyy ensin tunnistautua

9:59:59.000,9:59:59.000
Outlook mail transfer agentille tai

9:59:59.000,9:59:59.000
ulospäin menevälle SMTP palvelimelle.

9:59:59.000,9:59:59.000
Ja kun olemme tunnistautuneet,

9:59:59.000,9:59:59.000
voimme lähettää sähköpostin käyttäjänä user@outlook.com.

9:59:59.000,9:59:59.000
Ja vain käyttäjänä user@outlook.com.

9:59:59.000,9:59:59.000
Tämän jälkeen viesti siirretään vastaanottajan

9:59:59.000,9:59:59.000
SMTP-palvelimelle ja tämä palvelin

9:59:59.000,9:59:59.000
tarkistaa viestin aitouden.

9:59:59.000,9:59:59.000
Ja kaikkein yleisen tapa tehdä tämä on SPF.

9:59:59.000,9:59:59.000
Vastaanottava SMTP-palvelin saa SPF-tietueen

9:59:59.000,9:59:59.000
DNS-palvelun kautta outlook.com osoitteelle.

9:59:59.000,9:59:59.000
Ja tarkistaa sen jälkeen, että tämä IP-osoite

9:59:59.000,9:59:59.000
ja IP-alue on sallittu lähettää sähköpostiviestejä

9:59:59.000,9:59:59.000
outlook.com osoitteelle.

9:59:59.000,9:59:59.000
Tässä tapauksessa todellinen Outlook SMTP-palvelin

9:59:59.000,9:59:59.000
tai ulospäin lähtevä SMTP-palvelin lähetti viestin,

9:59:59.000,9:59:59.000
vastaanottava SMTP-palvelin

9:59:59.000,9:59:59.000
hyväksyy viestin.

9:59:59.000,9:59:59.000
Ja nyt luonnollisesti tässä on erittäin

9:59:59.000,9:59:59.000
mielenkiintoinen kysymys.

9:59:59.000,9:59:59.000
Ja kysymys on: onko hyökkääjän mahdollista

9:59:59.000,9:59:59.000
lähettää sähköpostiviesti

9:59:59.000,9:59:59.000
esimerkiksi osoitteesta admin@outlook.com tai

9:59:59.000,9:59:59.000
väärennetystä sähköpostiosoitteesta?

9:59:59.000,9:59:59.000
Tätä me selvitämme tänään

9:59:59.000,9:59:59.000
ja se on enemmän tai vähemmän

9:59:59.000,9:59:59.000
tämän tutkimuksen tavoitteista.

9:59:59.000,9:59:59.000
En tiedä oletteko huomanneet,

9:59:59.000,9:59:59.000
mutta näiden palvelimien värit

9:59:59.000,9:59:59.000
muistuttavat minusta Paavo Pesusieneä

9:59:59.000,9:59:59.000
ja Patrik Tähtöstä.

9:59:59.000,9:59:59.000
Ja sen vuoksi kutsumme niitä niiksi.

9:59:59.000,9:59:59.000
Tutkimuksen yleinen tavoite ja

9:59:59.000,9:59:59.000
tutkimuksen peruste oli löytää

9:59:59.000,9:59:59.000
tapa väärentää sähköposteja.

9:59:59.000,9:59:59.000
Ja ajattelin, että miksi en ottaisi haavoittuvuuksia

9:59:59.000,9:59:59.000
muista tekstipohjaisista protokollista,

9:59:59.000,9:59:59.000
kuten HTTP:stä, ja soveltaisi niitä SMTP:hen.

9:59:59.000,9:59:59.000
Ja oli yksi HTTP haavoittuvuus, joka sopi kuvaan

9:59:59.000,9:59:59.000
ja se oli HTTP-pyynnön käpelöinti.

9:59:59.000,9:59:59.000
Tässä meillä on taas Paavo ja Patrik,

9:59:59.000,9:59:59.000
mutta tällä kertaa HTTP-maailmassa.

9:59:59.000,9:59:59.000
Joten, mitä tässä tapahuu? Paavo Pesusieni saa [br]POST-tyyppisen pyynnön internetin yli

9:59:59.000,9:59:59.000
Mielenkiintoista tässä pyynnössä on se, [br]että siinä on kaksi otsikkoa

9:59:59.000,9:59:59.000
kuinka käsitellä POST-pyynnön data.

9:59:59.000,9:59:59.000
Siinä on Content-Length -otsikko, jonka arvona [br]43 tavua.

9:59:59.000,9:59:59.000
Ja siinä on myös Transfer-Encoding -otsikko.

9:59:59.000,9:59:59.000
Nyt Paavo Pesusienen täytyy päättää,[br]miten käsittelen pyynnön ja Paavo päättää

9:59:59.000,9:59:59.000
käyttää Content-Length otsikkoa, koska se on[br]43 tavua.

9:59:59.000,9:59:59.000
Joten kaikki punaisella kehystetty data[br]on välitetty Patrikille.

9:59:59.000,9:59:59.000
Patrikilla ei ole mitään hajua mitä tehdä - pitäisikö[br]minun tulkita Content-Lenth otsikkoa vai

9:59:59.000,9:59:59.000
Transfer-Encoding -otsikko? Patrik päättää[br]tulkita Transfer-Encoding otsikkoa ja

9:59:59.000,9:59:59.000
nyt meillä on eriävät tulkinnat:

9:59:59.000,9:59:59.000
Paavo Pesusieni käyttää Content-Length -otsikkoa[br]ja Patrik Tähtönen käyttää Transfer-Encoding -otsikkoa.

9:59:59.000,9:59:59.000
Ja koska Transfer-Encoding on määritetty "chunked" ("paloiteltu") ja[br]ja ensimmäinen pala on 0,

9:59:59.000,9:59:59.000
on loput Paavo Pesusienen lähettämästä datasta [br]tulkittu toiseksi pyynnöksi.

9:59:59.000,9:59:59.000
Itse asiassa tämä tarkoittaa, että Paavo näkee[br]yhden pyynnön ja Patrik kaksi pyyntöä.

9:59:59.000,9:59:59.000
Ja toinen pyyntö voidaan kohdistaa mielivaltaiseen[br]resurssipolkuun, kuten "Admin",

9:59:59.000,9:59:59.000
joka tässä esimerkissä on avoin vain sisäisesti[br]palvelimella.

9:59:59.000,9:59:59.000