S3 Ep135: Sysadmin om dagen, afpresser om natten

Ingen lydafspiller nedenfor? Hør efter direkte på Soundcloud.

DOUG.  Inside jobs, ansigtsgenkendelse og "S" i "IoT" står stadig for "sikkerhed".

Alt det, og mere, på Naked Security-podcasten.

[MUSIK MODEM]

Velkommen til podcasten, alle sammen.

Jeg er Doug Aamoth; han er Paul Ducklin.

Paul, hvordan har du det i dag?

---

AND.  Godt, Doug.

Kender du din slagord: "Det holder vi øje med"?

---

DOUG.  [GRNER] Ho, ho, ho!

---

AND.  Desværre er der flere ting i denne uge, som vi har "holdt øje med", og de er stadig ikke endt godt.

---

DOUG.  Ja, vi har en slags interessant og utraditionel lineup i denne uge.

Lad os komme ind på det.

Men først vil vi starte med vores Denne uge i teknisk historie segment.

I denne uge, den 19. maj 1980, blev Apple III annonceret.

Den ville blive sendt i november 1980, hvorefter de første 14,000 Apple III'er fra linjen blev tilbagekaldt.

Maskinen ville blive genindført igen i november 1981.

Lang historie kort, Apple III var et flop.

Apples medstifter Steve Wozniak tilskrev maskinens fejl, at den var designet af marketingfolk i stedet for ingeniører.

Av!

---

AND.  Jeg ved ikke, hvad jeg skal sige til det, Doug. [LATTER]

Jeg prøver ikke at grine, som en person, der betragter sig selv som en teknolog og ikke en marketroid.

Jeg tror, ​​at Apple III skulle se godt ud og se cool ud, og det var meningen, at den skulle udnytte Apple II's succes.

Men min forståelse er, at Apple III (A) ikke kunne køre alle Apple II-programmer, hvilket var lidt af et bagudkompatibilitetsslag, og (B) bare ikke kunne udvides nok, som Apple II var.

Jeg ved ikke, om dette er en urban legende eller ej...

…men jeg har læst, at de tidlige modeller ikke havde deres chips ordentligt siddende på fabrikken, og at modtagere, der rapporterede problemer, blev bedt om at løfte fronten af ​​computeren fra deres skrivebord et par centimeter og lade den styrte tilbage.

[LATTER]

Dette ville slå chipsene på plads, som de burde have været i første omgang.

Hvilket tilsyneladende virkede, men ikke var den bedste form for reklame for produktets kvalitet.

---

DOUG.  Præcis.

Okay, lad os komme ind i vores første historie.

Dette er en advarende fortælling om, hvor slemt indvendige trusler kan være, og måske hvor svære de også kan være at klare, Paul.

Hvem ved? Cybercrook får 6 år for at løskøbe sin egen arbejdsgiver

---

AND.  Det er det faktisk, Douglas.

Og hvis du leder efter historien på nakedsecurity.sophos.com, det er den, der er undertekster, "Hvem ikke? Cybercrook får 6 år for at løskøbe sin egen arbejdsgiver."

Og der har du historiens mod.

---

DOUG.  Burde ikke grine, men... [GRNER]

---

AND.  Det er lidt sjovt og usjovt.

For hvis man ser på, hvordan angrebet udviklede sig, var det dybest set:

“Hej, nogen er brudt ind; vi ved ikke, hvad sikkerhedshullet var, som de brugte. Lad os gå i gang og prøve at finde ud af det.”

"Åh nej! Angriberne har formået at få sysadmin-beføjelser!"

"Åh nej! De har suget gigabyte af fortrolige data til sig!”

"Åh nej! De har rodet med systemloggene, så vi ved ikke, hvad der sker!”

"Åh nej! Nu kræver de 50 bitcoins (som på det tidspunkt var omkring 2,000,000 dollars i USA) for at holde tingene stille... selvfølgelig kommer vi ikke til at betale 2 millioner dollars som et stille job."

Og bingo, skurken gik og gjorde den traditionelle ting med at lække dataene på det mørke web, og dybest set doxxede virksomheden.

Og desværre spørgsmålet "Whodunnit?" blev besvaret af: En af virksomhedens egne sysadmins.

Faktisk en af ​​de personer, der var blevet udnævnt til holdet for at prøve at finde og udvise angriberen.

Så han lod bogstaveligt talt som om han kæmpede mod denne angriber om dagen og forhandlede om en afpresningsbetaling på 2 millioner dollars om natten.

Og endnu værre, Doug, ser det ud til, at da de blev mistænksomme over for ham...

…hvilket de gjorde, lad os være retfærdige over for virksomheden.

(Jeg vil ikke sige, hvem det var; lad os kalde dem Company-1, ligesom det amerikanske justitsministerium gjorde, selvom deres identitet er ret velkendt.)

Hans ejendom blev ransaget, og tilsyneladende fik de fat i den bærbare computer, der senere viste sig at blive brugt til at udføre forbrydelsen.

De afhørte ham, så han gik på en "forseelse er den bedste form for forsvar"-proces og udgav sig for at være en whistleblower og kontaktede medierne under et eller andet alter ego.

Han gav en hel falsk historie om, hvordan bruddet var sket - at det var dårlig sikkerhed på Amazon Web Services eller sådan noget.

Så det fik det på mange måder til at virke meget værre, end det var, og selskabets aktiekurs tumlede ret voldsomt.

Det kunne være faldet alligevel, da der var nyheder om, at de var blevet brudt, men det ser bestemt ud til, at han gik ud af hans måde at få det til at virke meget værre for at aflede mistanken fra sig selv.

Hvilket heldigvis ikke virkede.

Han *blev* dømt (nå, han erkendte sig skyldig), og som vi sagde i overskriften, fik han seks års fængsel.

Derefter tre års prøveløsladelse, og han skal betale en bøde på $1,500,000 tilbage.

---

DOUG.  Du kan ikke finde på det her!

Gode ​​råd i denne artikel ... der er tre råd.

Jeg elsker denne første: Opdel og erobre.

Hvad mener du med det, Paul?

---

AND.  Nå, det ser ud til, at denne person i dette tilfælde havde for meget magt koncentreret i sine egne hænder.

Det lader til, at han var i stand til at få hver lille del af dette angreb til at ske, inklusive at gå ind bagefter og rode med logfilerne og prøve at få det til at se ud som om andre mennesker i virksomheden gjorde det.

(Så bare for at vise, hvilken frygtelig sød fyr han var – han prøvede også at sy sine kolleger sammen, så de ville komme i problemer.)

Men hvis du gør, at visse nøglesystemaktiviteter kræver autorisation af to personer, ideelt set endda fra to forskellige afdelinger, ligesom når f.eks. en bank godkender en stor pengebevægelse, eller når et udviklingsteam beslutter, "Lad os se, om dette koden er god nok; vi får en anden til at se objektivt og uafhængigt på det”...

…det gør det meget sværere for en ensom insider at udføre alle disse tricks.

Fordi de ville være nødt til at samarbejde med alle andre, som de ville have brug for samautorisation fra undervejs.

---

DOUG.  OK.

Og i samme retning: Hold uforanderlige logfiler.

Det er en god en.

---

AND.  Ja.

De lyttere med lange hukommelser kan huske WORM-drev.

De var noget af det dengang: Skriv én gang, læs mange.

Selvfølgelig blev de udråbt som absolut ideelle til systemlogfiler, fordi du kan skrive til dem, men du kan aldrig *omskrive* dem.

Nu tror jeg faktisk ikke, at de er designet på den måde med vilje... [griner] Jeg tror bare, at ingen vidste, hvordan man gjorde dem omskrivbare endnu.

Men det viser sig, at den slags teknologi var fremragende til at opbevare logfiler.

Hvis du husker tidlige CD-R'er, CD-Recordables - du kan tilføje en ny session, så du kan optage f.eks. 10 minutters musik og derefter tilføje yderligere 10 minutters musik eller yderligere 100 MB data senere, men du kunne ikke gå tilbage og omskriv det hele.

Så når først du havde låst den inde, ville nogen, der ville rode med beviserne, enten skulle ødelægge hele cd'en, så den ville være synligt fraværende i kæden af ​​beviser, eller på anden måde beskadige den.

De ville ikke være i stand til at tage den originale disk og omskrive dens indhold, så det viste sig anderledes.

Og selvfølgelig er der alle mulige teknikker, hvormed du kan gøre det i skyen.

Hvis du vil, er dette den anden side af "del og hersk"-mønten.

Det du siger er, at du har masser af sysadmins, masser af systemopgaver, masser af dæmoner eller serviceprocesser, der kan generere logningsoplysninger, men de bliver sendt et sted hen, hvor det kræver en reel handling af vilje og samarbejde for at gøre dem logs forsvinder eller ser anderledes ud, end de var, da de oprindeligt blev oprettet.

---

DOUG.  Og så sidst men bestemt ikke mindst: Mål altid, antag aldrig.

---

AND.  Absolut.

Det ser ud til, at Company-1 i dette tilfælde klarede i det mindste nogle af alle disse ting i sidste ende.

Fordi denne fyr blev identificeret og afhørt af FBI... tror jeg inden for omkring to måneder efter at have udført sit angreb.

Og undersøgelser sker ikke fra den ene dag til den anden – de kræver en kendelse til ransagningen, og de kræver en sandsynlig årsag.

Så det ser ud til, at de gjorde det rigtige, og at de ikke bare blindt fortsatte med at stole på ham, bare fordi han blev ved med at sige, at han var troværdig.

Hans forbrydelser kom så at sige ud i vasken.

Så det er vigtigt, at du ikke betragter nogen som værende hævet over mistanke.

---

DOUG.  Okay, gå videre.

Gadget-producenten Belkin er i varmt vand og siger grundlæggende: "End-of-life means end of updates" for et af dets populære smarte stik.

Belkin Wemo Smart Plug V2 – bufferoverløbet, der ikke vil blive rettet

---

AND.  Det ser ud til at have været et ret dårligt svar fra Belkin.

Ud fra et PR-synspunkt har det bestemt ikke vundet dem mange venner, fordi enheden i dette tilfælde er et af de såkaldte smarte stik.

Du får en Wi-Fi aktiveret switch; nogle af dem vil også måle strøm og lignende ting.

Så ideen er, at du så kan have en app eller en webgrænseflade eller noget, der tænder og slukker for en stikkontakt.

Så det er lidt af en ironi, at fejlen ligger i et produkt, der, hvis det bliver hacket, kan føre til, at nogen dybest set blinker en kontakt til og fra, der kan have et apparat tilsluttet.

Jeg tror, ​​at hvis jeg var Belkin, ville jeg måske have gået, "Se, vi støtter ikke rigtigt det her længere, men i dette tilfælde... ja, vi skubber et plaster ud."

Og det er et bufferoverløb, Doug, helt enkelt.

[griner] Åh, kære...

Når du tilslutter enheden, skal den have en unik identifikator, så den vises i appen, f.eks. på din telefon ... hvis du har tre af dem i dit hus, vil du ikke have dem alle kaldet Belkin Wemo plug.

Du vil gå hen og ændre det, og sætte det, Belkin kalder et "venligt navn".

Og så går du ind med din telefonapp, og du indtaster det nye navn, du ønsker.

Nå, det ser ud til, at der er en buffer på 68 tegn i appen på selve enheden til dit nye navn... men der er ingen kontrol for, at du ikke indsætter et navn, der er længere end 68 bytes.

Tåbeligt nok besluttede de mennesker, der byggede systemet,, at det ville være godt nok, hvis de blot tjekkede, hvor længe navnet var *, som du indtastede på din telefon, da du brugte appen til at ændre navnet*: "Vi undgår at sende navne, der er for lange i første omgang."

Og så sandelig, i telefonappen kan du tilsyneladende ikke engang indsætte mere end 30 tegn, så de er ekstra-supersikre.

Stort problem!

Hvad hvis angriberen beslutter sig for ikke at bruge appen? [LATTER]

Hvad hvis de bruger et Python-script, som de selv har skrevet...

---

DOUG.  Hmmmmmm! [IRONISK] Hvorfor skulle de gøre det?

---

AND.  …det ikke gider at tjekke for grænsen på 30 eller 68 tegn?

Og det er præcis, hvad disse forskere gjorde.

Og de fandt ud af, at fordi der er et stackbufferoverløb, kunne de kontrollere returadressen for en funktion, der blev brugt.

Med nok trial and error var de i stand til at afvige eksekveringen til det, der i jargonen er kendt som "shellcode" efter eget valg.

Især kunne de køre en systemkommando, som kørte wget kommando, som downloadede et script, gjorde scriptet eksekverbart og kørte det.

---

DOUG.  OK, tja…

...vi har nogle råd i artiklen.

Hvis du har et af disse smarte stik, tjek det ud.

Jeg gætter på, at det større spørgsmål her er, forudsat at Belkin følger deres løfte om ikke at rette op på dette... [HØJ LATER]

… i bund og grund, hvor svært er det her, Paul?

Eller ville det være god PR bare at lukke dette hul?

---

AND.  Jeg ved det ikke.

Der kan være mange andre apps, som, åh, kære, de skal lave den samme slags rettelser til.

Så de vil måske bare ikke gøre dette af frygt for, at nogen vil sige: "Nå, lad os grave dybere."

---

DOUG.  En glat bakke…

---

AND.  Jeg mener, det ville være en dårlig grund til ikke at gøre det.

Jeg ville have troet, i betragtning af at dette nu er velkendt, og i betragtning af at det virker som en nem nok løsning...

… bare (A) genkompilere apps til enheden med stakbeskyttelse slået til, hvis det er muligt, og (B) i det mindste i dette særlige program til ændring af "venligt navn", tillad ikke navne på mere end 68 tegn!

Det virker ikke som en større løsning.

Selvom den rettelse selvfølgelig skal kodes; det skal gennemgås; det skal testes; en ny version skal bygges og signeres digitalt.

Det skal så tilbydes til alle, og mange mennesker vil ikke engang indse, at det er tilgængeligt.

Og hvad hvis de ikke opdaterer?

Det ville være rart, hvis dem, der er opmærksomme på dette problem, kunne få en løsning, men det er stadig uvist, om Belkin forventer, at de blot opgraderer til et nyere produkt.

---

DOUG.  Okay, angående opdateringer...

…vi har holdt øje, som vi siger, med denne historie.

Vi har talt om det flere gange: Clearview AI.

Zut alors! Raclage crapuleux! Clearview AI i 20 % flere problemer i Frankrig

Frankrig har dette firma i kikkerten for gentagne trodser, og det er næsten til grin, hvor slemt det er blevet.

Så dette firma skraber billeder af internettet og kortlægger dem til deres respektive mennesker, og retshåndhævelsen bruger sådan set denne søgemaskine til at slå folk op.

Andre lande har også haft problemer med dette, men Frankrig har sagt: "Dette er PII. Dette er personligt identificerbare oplysninger."

---

AND.  Ja.

---

DOUG.  "Clearview, lad venligst være med at gøre dette."

Og Clearview svarede ikke engang.

Så de fik en bøde på 20 millioner euro, og de fortsatte bare...

Og Frankrig siger: "OK, du kan ikke gøre det her. Vi bad dig stoppe, så vi kommer til at gå endnu hårdere ned på dig. Vi vil debitere dig €100,000 hver dag”... og de tilbagedaterede det til det punkt, at det allerede er oppe på €5,200,000.

Og Clearview svarer bare ikke.

Det er bare ikke engang at anerkende, at der er et problem.

---

AND.  Det ser bestemt ud til at være sådan, det udvikler sig, Doug.

Interessant nok, og efter min mening ganske rimeligt og meget vigtigt, da den franske regulator undersøgte Clearview AI (på det tidspunkt besluttede de, at virksomheden ikke ville spille bold frivilligt og idømte dem en bøde på 20 millioner euro)...

…de fandt også ud af, at virksomheden ikke kun indsamlede, hvad de betragter som biometriske data uden at få samtykke.

De gjorde det også utroligt, unødvendigt og ulovligt vanskeligt for folk at udøve deres ret (A) til at vide, at deres data er blevet indsamlet og bliver brugt kommercielt, og (B) at få dem slettet, hvis de ønsker det.

Det er rettigheder, som mange lande har nedfældet i deres regler.

Det er bestemt, tror jeg, stadig i loven i Storbritannien, selvom vi nu er uden for EU, og det er en del af den velkendte GDPR-forordning i EU.

Hvis jeg ikke vil have dig til at beholde mine data, så skal du slette dem.

Og tilsyneladende gjorde Clearview ting som at sige: "Åh, jamen, hvis vi har haft det i mere end et år, er det for svært at fjerne det, så det er kun data, vi har indsamlet inden for det sidste år."

---

DOUG.  Aaaaargh. [griner]

---

AND.  Så det, hvis du ikke bemærker det, eller du først indser det efter to år?

For sent!

Og så sagde de: "Åh nej, du må kun spørge to gange om året."

Jeg tror, ​​da franskmændene undersøgte, at de også fandt ud af, at folk i Frankrig klagede over, at de skulle spørge igen, og igen og igen, før det lykkedes dem at få Clearviews hukommelse til at gøre noget overhovedet.

Så hvem ved, hvordan det ender, Doug?

---

DOUG.  Det er et godt tidspunkt at høre fra flere læsere.

Vi laver normalt vores kommentar fra en læser, men du spurgte i slutningen af ​​denne artikel:

Hvis du var {Queen, King, President, Supreme Wizard, Glorious Leader, Chief Judge, Lead Arbiter, High Commissioner of Privacy}, og kunne løse dette problem med en {bølge af tryllestaven, strøg med din pen, ryst med dit scepter , et Jedi-mind-trick}...

…hvordan ville du løse denne uoverensstemmelse?

Og for lige at trække nogle citater fra vores kommentatorer:

• "Af med hovedet."
• "Virksomhedsdødsstraf."
• "Klassificer dem som en kriminel organisation."
• "Højere bør fængsles, indtil virksomheden overholder det."
• "Erklære kunder for at være medsammensvorne."
• "Hack databasen og slet alt."
• "Opret nye love."

Og så stiger James af med: "Jeg prutter i din generelle retning. Din mor var en 'amster', og din far duftede af hyldebær. [MONTY PYTHON OG DEN HELLIGE GRAL ANVISNING]

Hvilket jeg tror kan være en kommentar til den forkerte artikel.

Jeg tror, ​​der var et Monty Python-citat i "Whodunnit?" artikel.

Men, James, tak fordi du hoppede ind til sidst...

---

AND.  [GRNER] Burde ikke rigtig grine.

Sagde en af ​​vores kommentatorer ikke: "Hej, ansøg om en Interpol Red Notice? [EN SLAGS INTERNATIONAL ARRESTERINGSGARANT]

---

DOUG.  Ja!

Godt... som vi plejer at gøre, vil vi holde øje med dette, for jeg kan forsikre dig om, at det ikke er slut endnu.

Hvis du har en interessant historie, kommentar eller spørgsmål, du gerne vil indsende, vil vi meget gerne læse på podcasten.

Du kan sende en e-mail til tips@sophos.com, du kan kommentere på en af ​​vores artikler, eller du kan kontakte os på socialt: @NakedSecurity.

Det er vores show for i dag; mange tak fordi du lyttede.

For Paul Ducklin er jeg Doug Aamoth, og minder dig om, indtil næste gang...

---

BEGGE.  Hold dig sikker!

[MUSIK MODEM]