S3 Ep135: Systemadministrator bei Tag, Erpresser bei Nacht

S3 Ep135: Systemadministrator bei Tag, Erpresser bei Nacht

Zeitstempel: 18. Mai 2023 2:48 Uhr
Quellknoten: 2662163
by

EIN INSIDER-ANGRIFF (WO DER TÄTER GEFANGEN WURDE)

Kein Audioplayer unten? Hören Direkt auf Soundcloud.

Mit Doug Aamoth und Paul Ducklin. Intro- und Outro-Musik von Edith Mudge.

Ihr könnt uns auf hören Soundcloud, Apple Podcasts, Google Podcasts, Spotify, Stitcher und überall, wo gute Podcasts zu finden sind. Oder lass es einfach fallen URL unseres RSS-Feeds in Ihren Lieblings-Podcatcher.

LESEN SIE DAS TRANSKRIPT

DOUG.  Inside Jobs, Gesichtserkennung und das „S“ in „IoT“ steht immer noch für „Sicherheit“.

All das und mehr im Naked Security-Podcast.

[MUSIKMODEM]

Willkommen zum Podcast, alle zusammen.

Ich bin Doug Aamoth; er ist Paul Ducklin.

Paul, wie geht es dir heute?

ENTE.  Sehr gut, Doug.

Kennen Sie Ihren Slogan „Wir behalten das im Auge“?

DOUG.  [LACHEN] Ho, ho, ho!

ENTE.  Leider gibt es diese Woche einige Dinge, die wir „im Auge behalten“ und die noch immer nicht gut ausgegangen sind.

DOUG.  Ja, wir haben diese Woche eine interessante und nicht-traditionelle Aufstellung.

Kommen wir zur Sache.

Aber zuerst beginnen wir mit unserem Diese Woche in der Technologiegeschichte Segment.

Diese Woche, am 19. Mai 1980, wurde der Apple III angekündigt.

Die Auslieferung erfolgte im November 1980, woraufhin die ersten 14,000 vom Band gelaufenen Apple IIIs zurückgerufen wurden.

Die Maschine wurde im November 1981 wieder eingeführt.

Um es kurz zu machen: Der Apple III war ein Flop.

Apple-Mitbegründer Steve Wozniak führte das Scheitern der Maschine darauf zurück, dass sie von Marketingleuten und nicht von Ingenieuren entwickelt wurde.

Autsch!

ENTE.  Ich weiß nicht, was ich dazu sagen soll, Doug. [LACHEN]

Ich versuche, nicht zu grinsen, da ich ein Mensch bin, der sich selbst für einen Technologen und nicht für einen Marketroiden hält.

Ich denke, der Apple III sollte gut und cool aussehen und vom Erfolg des Apple II profitieren.

Aber ich verstehe, dass der Apple III (A) nicht alle Apple II-Programme ausführen konnte, was ein kleiner Rückschlag für die Abwärtskompatibilität war, und (B) einfach nicht erweiterbar genug war wie der Apple II.

Ich weiß nicht, ob das eine urbane Legende ist oder nicht ...

…aber ich habe gelesen, dass die Chips der frühen Modelle im Werk nicht richtig eingesetzt waren und dass Empfänger, die Probleme meldeten, angewiesen wurden, die Vorderseite des Computers ein paar Zentimeter vom Schreibtisch abzuheben und ihn zurückfallen zu lassen.

[LACHEN]

Dadurch würden die Chips an ihrem Platz einrasten, so wie sie eigentlich hätten sein sollen.

Was offenbar funktionierte, aber nicht die beste Werbung für die Qualität des Produkts war.

DOUG.  Genau.

Also gut, kommen wir zu unserer ersten Geschichte.

Dies ist eine warnende Geschichte darüber, wie schlimm es ist Insider-Drohungen sein kann, und vielleicht auch, wie schwierig es sein kann, sie durchzuziehen, Paul.

Whodunnit? Cybercrook bekommt 6 Jahre Haft, weil er seinen eigenen Arbeitgeber freigekauft hat

ENTE.  Das ist es tatsächlich, Douglas.

Und wenn Sie auf der Suche nach der Geschichte sind nakedsecurity.sophos.com, es ist das mit der Überschrift: „Was zum Teufel? Cybercrook bekommt 6 Jahre Haft, weil er seinen eigenen Arbeitgeber freigekauft hat.“

Und da haben Sie den Kern der Geschichte.

DOUG.  Sollte nicht lachen, aber... [LACHT]

ENTE.  Es ist irgendwie lustig und unlustig.

Denn wenn man sich den Verlauf des Angriffs anschaut, sieht es im Grunde so aus:

„Hey, da ist jemand eingebrochen; Wir wissen nicht, welche Sicherheitslücke sie ausgenutzt haben. Lasst uns in Aktion treten und versuchen, es herauszufinden.“

"Ach nein! Den Angreifern ist es gelungen, Systemadministratorrechte zu erlangen!“

"Ach nein! Sie haben Gigabyte an vertraulichen Daten aufgesaugt!“

"Ach nein! Sie haben die Systemprotokolle durcheinander gebracht, sodass wir nicht wissen, was los ist!“

"Ach nein! Jetzt verlangen sie 50 Bitcoins (was damals etwa 2,000,000 US-Dollar entsprach), um die Sache geheim zu halten … offensichtlich werden wir nicht 2 Millionen US-Dollar als Geheimdienst zahlen.“

Und, bingo, der Betrüger hat die traditionelle Sache gemacht, die Daten im Darknet preiszugeben und damit im Grunde das Unternehmen zu betrügen.

Und leider stellt sich die Frage „Whodunnit?“ nicht. wurde beantwortet von: Einer der unternehmenseigenen Systemadministratoren.

Tatsächlich einer der Leute, die in das Team eingezogen wurden, um zu versuchen, den Angreifer zu finden und auszuweisen.

Er tat also im wahrsten Sinne des Wortes so, als würde er tagsüber gegen diesen Angreifer kämpfen und nachts eine Erpressungszahlung in Höhe von 2 Millionen US-Dollar aushandeln.

Und noch schlimmer, Doug, es scheint, als sie ihm gegenüber misstrauisch wurden ...

…was sie getan haben, seien wir dem Unternehmen gegenüber fair.

(Ich werde nicht sagen, wer es war; nennen wir sie Company-1, wie es das US-Justizministerium getan hat, obwohl ihre Identität ziemlich bekannt ist.)

Sein Eigentum wurde durchsucht und offenbar beschlagnahmten sie den Laptop, von dem sich später herausstellte, dass er für die Tat verwendet wurde.

Sie befragten ihn, also leitete er ein „Angriff ist die beste Form der Verteidigung“-Verfahren ein, gab sich als Whistleblower aus und nahm unter einem Alter Ego Kontakt zu den Medien auf.

Er erzählte eine völlig falsche Geschichte darüber, wie es zu dem Verstoß gekommen sei – dass es sich um schlechte Sicherheit bei Amazon Web Services oder etwas Ähnliches gehandelt habe.

Es schien also in vielerlei Hinsicht viel schlimmer zu sein, als es war, und der Aktienkurs des Unternehmens stürzte ziemlich stark ab.

Es könnte sowieso gefallen sein, als es die Nachricht gab, dass sie gehackt worden waren, aber es scheint, dass er sich wirklich Mühe gegeben hat, es noch schlimmer erscheinen zu lassen, um den Verdacht von sich selbst abzulenken.

Was zum Glück nicht funktionierte.

Er wurde tatsächlich verurteilt (naja, er bekannte sich schuldig) und bekam, wie wir in der Überschrift sagten, sechs Jahre Gefängnis.

Dann drei Jahre Bewährung, und er muss eine Strafe von 1,500,000 Dollar zurückzahlen.

DOUG.  Du kannst dieses Zeug nicht erfinden!

Toller Rat in diesem Artikel … es gibt drei Ratschläge.

Ich liebe dieses erste: Teilen und erobern.

Was meinst du damit, Paul?

ENTE.  Nun, es scheint, dass diese Person in diesem Fall zu viel Macht in ihren eigenen Händen konzentriert hatte.

Es scheint, dass er in der Lage war, jeden noch so kleinen Teil dieses Angriffs umzusetzen, einschließlich des anschließenden Eindringens in die Protokolle und des Versuchs, es so aussehen zu lassen, als ob andere Leute im Unternehmen es getan hätten.

(Um zu zeigen, was für ein schrecklich netter Kerl er war – er hat auch versucht, seine Kollegen zu verarschen, damit sie in Schwierigkeiten geraten.)

Wenn Sie jedoch dafür sorgen, dass für bestimmte wichtige Systemaktivitäten die Autorisierung von zwei Personen erforderlich ist, idealerweise sogar aus zwei verschiedenen Abteilungen, beispielsweise wenn eine Bank eine große Geldbewegung genehmigt oder wenn ein Entwicklungsteam entscheidet: „Mal sehen, ob das so ist.“ Code ist gut genug; wir beauftragen jemand anderen, die Sache objektiv und unabhängig zu betrachten“…

…das macht es für einen einzelnen Insider viel schwieriger, all diese Tricks durchzuziehen.

Denn sie müssten sich mit allen anderen absprechen, von denen sie unterwegs eine Mitautorisierung benötigen würden.

DOUG.  OK.

Und in die gleiche Richtung: Führen Sie unveränderliche Protokolle.

Das ist gut so.

ENTE.  Ja.

Hörer mit langem Gedächtnis erinnern sich vielleicht an WORM-Laufwerke.

Damals hieß es: „Write Once, Read Many“.

Natürlich wurden sie als absolut ideal für Systemprotokolle angepriesen, da man zwar in sie schreiben, sie aber nie *umschreiben* kann.

Tatsächlich glaube ich nicht, dass sie absichtlich so entworfen wurden ... [LACHT] Ich glaube nur, dass noch niemand wusste, wie man sie wiederbeschreibbar macht.

Aber es stellte sich heraus, dass sich diese Art von Technologie hervorragend für die Speicherung von Protokolldateien eignete.

Wenn Sie sich an frühe CD-Rs und CD-Recordables erinnern, könnten Sie eine neue Sitzung hinzufügen, also beispielsweise 10 Minuten Musik aufnehmen und später weitere 10 Minuten Musik oder weitere 100 MB Daten hinzufügen, aber das ging nicht Gehen Sie zurück und schreiben Sie das Ganze neu.

Sobald Sie es also eingesperrt hatten, musste jemand, der sich mit den Beweisen herumschlagen wollte, entweder die gesamte CD zerstören, sodass sie in der Beweiskette sichtbar fehlte, oder sie auf andere Weise beschädigen.

Sie wären nicht in der Lage, die Originaldiskette zu nehmen und ihren Inhalt so umzuschreiben, dass er anders angezeigt würde.

Und natürlich gibt es alle möglichen Techniken, mit denen Sie dies in der Cloud tun können.

Wenn Sie so wollen, ist dies die andere Seite der „Teile und herrsche“-Medaille.

Was Sie sagen ist, dass Sie viele Systemadministratoren, viele Systemaufgaben, viele Daemon- oder Dienstprozesse haben, die Protokollierungsinformationen generieren können, diese aber an einen Ort geschickt werden, an dem es eines echten Willensakts und einer echten Zusammenarbeit bedarf, um diese zu erstellen Protokolle verschwinden oder sehen anders aus als bei ihrer ursprünglichen Erstellung.

DOUG.  Und zu guter Letzt: Messen Sie immer, gehen Sie niemals davon aus.

ENTE.  Unbedingt.

Es sieht so aus, als ob Unternehmen-1 in diesem Fall letztendlich zumindest einige dieser Dinge geschafft hat.

Weil dieser Kerl vom FBI identifiziert und befragt wurde … Ich glaube, innerhalb von etwa zwei Monaten nach seinem Angriff.

Und Ermittlungen finden nicht über Nacht statt – sie erfordern einen Durchsuchungsbefehl und einen wahrscheinlichen Grund.

Es sieht also so aus, als hätten sie das Richtige getan und ihm nicht einfach weiterhin blind vertraut, nur weil er immer wieder sagte, er sei vertrauenswürdig.

Seine Verbrechen kamen sozusagen in der Schwebe ans Licht.

Deshalb ist es wichtig, dass Sie niemanden als über jeden Verdacht erhaben betrachten.

DOUG.  Okay, ich mache weiter.

Der Gadget-Hersteller Belkin ist in Schwierigkeiten und sagt im Grunde: „Lebensende bedeutet Ende der Updates“ für einen seiner beliebten Smart Plugs.

Belkin Wemo Smart Plug V2 – der Pufferüberlauf, der nicht gepatcht werden kann

ENTE.  Es scheint eine eher dürftige Reaktion von Belkin gewesen zu sein.

Aus PR-Sicht hat es ihnen sicherlich nicht viele Freunde eingebracht, denn in diesem Fall handelt es sich bei dem Gerät um einen dieser sogenannten Smart Plugs.

Sie erhalten einen Wi-Fi-fähigen Switch; Einige von ihnen messen auch die Leistung und ähnliches.

Die Idee ist also, dass Sie dann eine App oder ein Webinterface oder etwas haben können, das eine Steckdose ein- und ausschaltet.

Es ist also ein wenig ironisch, dass der Fehler bei einem Produkt liegt, das, wenn es gehackt wird, dazu führen könnte, dass jemand einen Schalter ein- und ausschaltet, an den möglicherweise ein Gerät angeschlossen ist.

Ich denke, wenn ich Belkin wäre, hätte ich vielleicht gesagt: „Sehen Sie, wir unterstützen das nicht mehr wirklich, aber in diesem Fall … ja, wir werden einen Patch herausbringen.“

Und es ist schlicht und einfach ein Pufferüberlauf, Doug.

[LACHT] Oh mein Gott…

Wenn Sie das Gerät anschließen, muss es über eine eindeutige Kennung verfügen, damit es in der App, beispielsweise auf Ihrem Telefon, angezeigt wird. Wenn Sie drei davon in Ihrem Haus haben, möchten Sie nicht, dass sie alle angerufen werden Belkin Wemo plug.

Sie möchten das ändern und einen „freundlichen Namen“ verwenden, wie Belkin es nennt.

Und so rufen Sie Ihre Telefon-App auf und geben den gewünschten neuen Namen ein.

Nun, es scheint, dass in der App auf dem Gerät selbst ein 68-Zeichen-Puffer für Ihren neuen Namen vorhanden ist. Es gibt jedoch keine Überprüfung, ob Sie keinen Namen eingeben, der länger als 68 Byte ist.

Dummerweise haben die Leute, die das System entwickelt haben, vielleicht entschieden, dass es gut genug wäre, wenn sie einfach überprüfen würden, wie lang der Name war, *den Sie in Ihr Telefon eingegeben haben, als Sie die App zum Ändern des Namens verwendet haben*: „Wir vermeiden das Senden.“ Namen, die von vornherein zu lang sind.“

Und tatsächlich kann man in der Telefon-App anscheinend nicht einmal mehr als 30 Zeichen eingeben, sie sind also besonders sicher.

Großes Problem!

Was passiert, wenn der Angreifer beschließt, die App nicht zu nutzen? [LACHEN]

Was wäre, wenn sie ein Python-Skript verwenden würden, das sie selbst geschrieben hätten?

DOUG.  Hmmmmm! [IRONISCH] Warum sollten sie das tun?

ENTE.  …dass die Prüfung auf die Beschränkung auf 30 oder 68 Zeichen nicht stört?

Und genau das haben diese Forscher getan.

Und sie fanden heraus, dass sie aufgrund eines Stapelpufferüberlaufs die Rücksprungadresse einer verwendeten Funktion steuern konnten.

Mit genügend Versuch und Irrtum gelang es ihnen, die Ausführung in das umzuwandeln, was im Fachjargon als „Shellcode“ ihrer Wahl bekannt ist.

Insbesondere konnten sie einen Systembefehl ausführen, der das ausführte wget Befehl, der ein Skript herunterlud, das Skript ausführbar machte und es ausführte.

DOUG.  OK gut…

…wir haben einige Ratschläge im Artikel.

Wenn Sie einen dieser intelligenten Stecker haben, Schau dir das an.

Ich denke, die größere Frage hier ist, vorausgesetzt, Belkin hält sein Versprechen, das Problem nicht zu beheben … [LAUTES LACHEN]

…wie schwer ist das im Grunde zu lösen, Paul?

Oder wäre es gute PR, dieses Loch einfach zu stopfen?

ENTE.  Nun, ich weiß es nicht.

Möglicherweise gibt es noch viele andere Apps, bei denen, oh je, die gleiche Art von Problem behoben werden muss.

Vielleicht wollen sie das einfach nicht tun, weil sie befürchten, dass jemand sagt: „Lass uns mal tiefer graben.“

DOUG.  Ein rutschiger Abhang…

ENTE.  Ich meine, das wäre ein schlechter Grund, es nicht zu tun.

Das hätte ich gedacht, wenn man bedenkt, dass dies inzwischen bekannt ist und es eine relativ einfache Lösung zu sein scheint …

… kompilieren Sie einfach (A) die Apps für das Gerät neu, wenn möglich mit aktiviertem Stapelschutz, und (B) lassen Sie zumindest in diesem speziellen Programm zum Ändern „freundlicher Namen“ keine Namen zu, die länger als 68 Zeichen sind!

Es scheint keine große Lösung zu sein.

Obwohl dieser Fix natürlich codiert werden muss; es muss überprüft werden; es muss getestet werden; Es muss eine neue Version erstellt und digital signiert werden.

Dann muss es jedem angeboten werden, und viele Leute merken gar nicht, dass es verfügbar ist.

Und was ist, wenn sie nicht aktualisiert werden?

Es wäre schön, wenn diejenigen, die dieses Problem kennen, eine Lösung finden könnten, aber es bleibt abzuwarten, ob Belkin von ihnen erwartet, dass sie einfach auf ein neueres Produkt upgraden.

DOUG.  Okay, zum Thema Updates…

…wir haben diese Geschichte, wie wir sagen, im Auge behalten.

Wir haben schon mehrfach darüber gesprochen: Clearview AI.

Zut alors! Raclage crapuleux! Clearview AI hat in Frankreich 20 % mehr Probleme

Frankreich hat dieses Unternehmen wegen wiederholter Missachtung im Visier, und es ist fast lächerlich, wie schlimm es geworden ist.

Also sammelt dieses Unternehmen Fotos aus dem Internet und ordnet sie den jeweiligen Personen zu, und die Strafverfolgungsbehörden nutzen diese Suchmaschine sozusagen, um nach Personen zu suchen.

Auch andere Länder hatten damit Probleme, aber Frankreich sagte: „Das ist PII.“ Dabei handelt es sich um personenbezogene Daten.“

ENTE.  Ja.

DOUG.  „Clearview, bitte hör auf damit.“

Und Clearview antwortete nicht einmal.

Also bekamen sie eine Geldstrafe von 20 Millionen Euro und machten einfach weiter …

Und Frankreich sagt: „OK, das können Sie nicht tun.“ Wir haben dir gesagt, du sollst aufhören, also werden wir noch härter gegen dich vorgehen. Wir werden Ihnen jeden Tag 100,000 € in Rechnung stellen“ … und sie haben es so weit zurückdatiert, dass es bereits 5,200,000 € sind.

Und Clearview reagiert einfach nicht.

Es bedeutet einfach nicht einmal anzuerkennen, dass es ein Problem gibt.

ENTE.  So scheint es auf jeden Fall zu laufen, Doug.

Interessanterweise und meiner Meinung nach ganz vernünftig und sehr wichtig, als die französische Aufsichtsbehörde sich mit Clearview AI befasste (damals entschieden sie, dass das Unternehmen nicht freiwillig mitspielen würde, und verhängten eine Geldstrafe von 20 Millionen Euro) …

…Sie stellten außerdem fest, dass das Unternehmen nicht nur die ihrer Meinung nach biometrischen Daten sammelte, ohne eine Einwilligung einzuholen.

Außerdem machten sie es den Menschen unglaublich, unnötig und rechtswidrig schwer, ihr Recht auszuüben, (A) zu erfahren, dass ihre Daten erfasst und kommerziell genutzt werden, und (B) sie auf Wunsch löschen zu lassen.

Das sind Rechte, die viele Länder in ihren Vorschriften verankert haben.

Ich denke, es ist sicherlich immer noch im Vereinigten Königreich gesetzlich verankert, auch wenn wir uns jetzt außerhalb der Europäischen Union befinden, und es ist Teil der bekannten DSGVO-Verordnung in der Europäischen Union.

Wenn ich nicht möchte, dass Sie meine Daten behalten, müssen Sie sie löschen.

Und offenbar hat Clearview beispielsweise gesagt: „Na ja, wenn wir es schon seit mehr als einem Jahr haben, ist es zu schwer, es zu entfernen, also handelt es sich nur um Daten, die wir im letzten Jahr gesammelt haben.“

DOUG.  Aaaaargh. [LACHT]

ENTE.  Also, wenn Sie es nicht bemerken oder es erst nach zwei Jahren bemerken?

Zu spät!

Und dann sagten sie: „Oh nein, du darfst nur zweimal im Jahr fragen.“

Ich glaube, als die Franzosen nachforschten, stellten sie auch fest, dass sich die Leute in Frankreich darüber beschwerten, dass sie immer und immer wieder fragen mussten, bevor sie es schafften, Clearviews Gedächtnis dazu zu bringen, überhaupt etwas zu tun.

Wer weiß also, wie das enden wird, Doug?

DOUG.  Dies ist ein guter Zeitpunkt, um von mehreren Lesern zu hören.

Normalerweise schreiben wir unseren Kommentar der Woche von einem Leser, aber Sie haben am Ende dieses Artikels gefragt:

Wenn Sie {Königin, König, Präsident, Oberster Zauberer, Glorreicher Anführer, Oberster Richter, Hauptschiedsrichter, Hochkommissar für Privatsphäre} wären und dieses Problem mit einer {Welle Ihres Zauberstabs, einem Federstrich, einem Schütteln Ihres Zepters lösen könnten , ein Jedi-Gedankentrick}…

…wie würden Sie diese Pattsituation lösen?

Und um nur einige Zitate unserer Kommentatoren zu nennen:

  • „Ab mit den Köpfen.“
  • „Unternehmens-Todesstrafe.“
  • „Klassifizieren Sie sie als kriminelle Vereinigung.“
  • „Vorgesetzte sollten inhaftiert werden, bis das Unternehmen sich daran hält.“
  • „Kunden zu Mitverschwörern erklären.“
  • „Hacken Sie die Datenbank und löschen Sie alles.“
  • „Schaffen Sie neue Gesetze.“

Und dann steigt James ab und sagt: „Ich furze in deine allgemeine Richtung.“ Deine Mutter war eine ‚Amster‘ und dein Vater roch nach Holunderbeeren.“ [MONTY PYTHON UND DER HEILIGE GRAL ANSPIELUNG]

Was meiner Meinung nach ein Kommentar zum falschen Artikel sein könnte.

Ich glaube, es gab ein Monty-Python-Zitat im „Whodunnit?“ Artikel.

Aber, James, vielen Dank, dass du am Ende eingesprungen bist …

ENTE.  [LACHT] Eigentlich sollte man nicht lachen.

Hat nicht einer unserer Kommentatoren gesagt: „Hey, beantragen Sie eine Interpol Red Notice?“ [Eine Art internationaler Haftbefehl]

DOUG.  Ja!

Nun, großartig ... wie wir es gewohnt sind, werden wir dies im Auge behalten, denn ich kann Ihnen versichern, dass es noch nicht vorbei ist.

Wenn Sie eine interessante Geschichte, einen Kommentar oder eine Frage haben, die Sie einreichen möchten, würden wir uns freuen, im Podcast zu lesen.

Sie können eine E-Mail an tips@sophos.com senden, einen unserer Artikel kommentieren oder uns in den sozialen Netzwerken kontaktieren: @NakedSecurity.

Das ist unsere Show für heute; Vielen Dank fürs Zuhören.

Für Paul Ducklin bin ich Doug Aamoth und erinnere Sie bis zum nächsten Mal an …

BEIDE.  Bleib sicher!

[MUSIKMODEM]

Zeitstempel:

Mehr von Nackte Sicherheit