S3 Ep135: päeval Sysadmin, öösel väljapressija

S3 Ep135: päeval Sysadmin, öösel väljapressija

Ajatempel: 18. mai 2023 2:48
Allikasõlm: 2662163
by

SISERÜND (KUS PERPE PÕHTI)

Kas allpool pole helipleierit? Kuulake otse Soundcloudis.

Koos Doug Aamothi ja Paul Duckliniga. Intro ja outro muusika autor Edith Mudge.

Saate meid kuulata Soundcloud, Apple Podcastid, Google Podcastid, Spotify, Stitcher ja kõikjal, kus leidub häid taskuhäälingusaateid. Või lihtsalt loobuge Meie RSS-kanali URL oma lemmik taskupüüdjasse.

LUGEGE TRAKTI

DOUG.  Töökohtade sees, näotuvastus ja "S" asjade Internetis tähistavad endiselt "turvalisust".

Kõik see ja palju muud – Naked Security taskuhäälingusaates.

[MUUSIKAMODEEM]

Tere tulemast podcasti, kõik.

Mina olen Doug Aamoth; ta on Paul Ducklin.

Paul, kuidas sul täna läheb?

PART.  Väga hästi, Doug.

Kas teate oma lööklauset: "Me hoiame sellel silma peal"?

DOUG.  [NAERAB] Ho, ho, ho!

PART.  Kahjuks on sel nädalal mitu asja, millel oleme silma peal hoidnud ja need pole ikka veel hästi lõppenud.

DOUG.  Jah, meil on sel nädalal omamoodi huvitav ja ebatraditsiooniline koosseis.

Läheme sellesse.

Kuid kõigepealt alustame oma See nädal tehnikaajaloos segment.

Sel nädalal, 19. mail 1980, kuulutati välja Apple III.

See tarniti novembris 1980, siis kutsuti tagasi esimesed 14,000 XNUMX Apple III-d.

Masin võetakse uuesti kasutusele 1981. aasta novembris.

Lühidalt öeldes oli Apple III flopp.

Apple'i kaasasutaja Steve Wozniak põhjendas masina ebaõnnestumist sellega, et selle disainisid inseneride asemel turundusinimesed.

Ouch!

PART.  Ma ei tea, mida sellele öelda, Doug. [NAER]

Püüan mitte muigada, kui inimene, kes peab end tehnoloogiks, mitte turumeheks.

Ma arvan, et Apple III pidi hea ja lahe välja nägema ning selle eesmärk oli ära kasutada Apple II edu.

Kuid ma saan aru, et Apple III (A) ei suutnud käivitada kõiki Apple II programme, mis oli veidi tagasiühilduvuse löök, ja (B) ei olnud lihtsalt piisavalt laiendatav nagu Apple II.

Ma ei tea, kas see on linnalegend või mitte…

…aga ma olen lugenud, et varajaste mudelite kiibid ei olnud tehases korralikult paigas ja probleemidest teatanud adressaatidel kästi tõsta arvuti esiosa mõne sentimeetri võrra laualt ja lasta sellel tagasi kukkuda.

[Naer]

See lööks laastud paika, nagu nad oleksid pidanud olema.

Mis ilmselt töötas, kuid ei olnud toote kvaliteedi jaoks parim reklaam.

DOUG.  Täpselt.

Olgu, asume oma esimese loo juurde.

See on hoiatav lugu selle kohta, kui halb sisemised ähvardused Paul.

Kes ei tea? Cybercrook saab oma tööandja lunastamise eest kuus aastat vangistust

PART.  Tõepoolest on, Douglas.

Ja kui otsite lugu edasi nakedsecurity.sophos.com, see on pealdis, "Kes ei tea? Cybercrook saab oma tööandja lunastamise eest kuus aastat.

Ja siin on teil loo julgus.

DOUG.  Ei tohiks naerda, aga… [NAERAB]

PART.  See on omamoodi naljakas ja naljakas.

Sest kui vaadata, kuidas rünnak arenes, oli see põhimõtteliselt:

"Hei, keegi on sisse murtud; me ei tea, mis turvaauk oli, mida nad kasutasid. Hakkame tegutsema ja proovime teada saada. ”

"Oh ei! Ründajatel on õnnestunud saada süsteemiadministraatori volitused!

"Oh ei! Nad on ära imenud gigabaite konfidentsiaalseid andmeid!

"Oh ei! Nad on süsteemi logidega segamini ajanud, nii et me ei tea, mis toimub!

"Oh ei! Nüüd nõuavad nad 50 bitcoini (mis tol ajal oli umbes 2,000,000 2 XNUMX USA dollarit), et asjad vaikida... ilmselgelt ei maksa me vaikiva tööna XNUMX miljonit dollarit.

Ja bingo, kelm läks ja tegi selle traditsioonilise toimingu – lekitas andmed tumedasse veebi, mis põhimõtteliselt hävitas ettevõtte.

Ja kahjuks küsimus "Whodunnit?" vastas: Üks ettevõtte enda süsteemiadministraatoreid.

Tegelikult üks neist, kes võeti meeskonda, et püüda ründajat leida ja välja saata.

Seega teeskles ta sõna otseses mõttes, et võitleb selle ründajaga päeval ja pidas öösel läbirääkimisi 2 miljoni dollari suuruse väljapressimise üle.

Ja mis veelgi hullem, Doug, tundub, et kui nad hakkasid temas kahtlustama…

…mida nad tegid, olgem ettevõtte suhtes ausad.

(Ma ei ütle, kes see oli; nimetagem neid ettevõtteks 1, nagu USA justiitsministeerium tegi, kuigi nende isik on üsna hästi teada.)

Tema vara otsiti läbi ja ilmselt saadi kätte sülearvuti, mida hiljem selgus, et seda kuriteo sooritamiseks kasutati.

Nad küsitlesid teda, nii et ta alustas protsessi "Süütegu on parim kaitsevorm" ja esines vilepuhujana ning võttis meediaga ühendust mingi alter ego all.

Ta esitas täieliku vale loo selle kohta, kuidas rikkumine juhtus – et see oli Amazon Web Servicesi kehv turvalisus või midagi sellist.

Nii et see paistis paljuski palju hullem, kui see oli, ja ettevõtte aktsia hind langes üsna rängalt.

See võis niikuinii langeda, kui oli uudis, et neid on rikutud, kuid kindlasti näib, et ta tegi kõik endast oleneva, et muuta see palju hullemaks, et kahtlust endalt kõrvale juhtida.

Mis õnneks ei toiminud.

Ta mõisteti süüdi (noh, ta tunnistas end süüdi) ja nagu me pealkirjas ütlesime, sai ta kuus aastat vangistust.

Seejärel kolm aastat tingimisi vabastamist ja ta peab tagasi maksma 1,500,000 XNUMX XNUMX dollari suuruse trahvi.

DOUG.  Te ei saa seda asja välja mõelda!

Selles artiklis on suurepärane nõuanne… siin on kolm nõuannet.

Mulle meeldib see esimene: Jagage ja vallutage.

Mida sa sellega mõtled, Paul?

PART.  Tundub, et antud juhul oli sellel inimesel liiga palju jõudu koondunud tema enda kätte.

Näib, et ta suutis selle rünnaku iga väiksema osa teoks teha, sealhulgas pärast seda sisse minna ja palkidega segi ajada ning püüda jätta muljet, nagu oleksid seda teinud teised seltskonna inimesed.

(Niisiis, et näidata, kui kohutavalt tore tüüp ta oli – ta proovis ka oma töökaaslaseid kokku õmmelda, et nad hätta jääksid.)

Kui aga panna teatud süsteemi võtmetoimingud nõudma kahe inimese volitust, ideaalis isegi kahest erinevast osakonnast, nagu näiteks siis, kui pank kiidab heaks suure rahaliigutuse või kui arendusmeeskond otsustab: „Vaatame, kas kood on piisavalt hea; paneme kellegi teise seda objektiivselt ja sõltumatult vaatama ”…

…see teeb üksiku siseringi jaoks kõigi nende trikkide tegemise palju raskemaks.

Sest nad peaksid kõigi teistega kokku leppima, et neil oleks teelt vaja kaasvolitust.

DOUG.  OK.

Ja samal joonel: Hoidke muutumatuid palke.

See on hea.

PART.  Jah.

Pika mäluga kuulajad võivad meenutada WORM-draive.

Need olid omal ajal üsna populaarsed: kirjuta üks kord, loe palju.

Muidugi peeti neid süsteemilogide jaoks täiesti ideaalseteks, sest neile saab kirjutada, kuid neid ei saa kunagi *ümber kirjutada.

Tegelikult ma ei usu, et need olid sihilikult loodud… [NAERAB] Ma lihtsalt arvan, et keegi ei teadnud, kuidas neid veel uuesti kirjutatavaks muuta.

Kuid selgub, et selline tehnoloogia oli suurepärane logifailide hoidmiseks.

Kui mäletate varasemaid CD-R-sid, salvestatavaid CD-sid, võite lisada uue seansi, nii et saate salvestada näiteks 10 minutit muusikat ja lisada hiljem veel 10 minutit muusikat või veel 100 MB andmeid, kuid te ei saanud seda teha. mine tagasi ja kirjuta kogu asi ümber.

Seega, kui olete selle lukustanud, peaks keegi, kes soovib tõenditega segamini ajada, kas hävitama kogu CD, et see tõendite ahelast nähtavalt puuduks, või kahjustama seda muul viisil.

Nad ei saaks seda algset ketast võtta ja selle sisu ümber kirjutada, nii et see ilmus teisiti.

Ja loomulikult on olemas igasuguseid tehnikaid, mille abil saate seda pilves teha.

Kui soovite, on see "jaga ja valluta" mündi teine ​​pool.

See, mida te ütlete, on see, et teil on palju süsteemiadministraatoreid, palju süsteemiülesandeid, palju deemoneid või teenuseprotsesse, mis võivad logiteavet genereerida, kuid need saadetakse kuhugi, kus nende loomiseks on vaja tõelist tahet ja koostööd. palgid lähevad ära või näevad välja teistsugused kui need, mis nad olid algse loomise ajal.

DOUG.  Ja siis lõpuks, kuid kindlasti mitte vähem tähtsana: Mõõtke alati, ärge kunagi eeldage.

PART.  Absoluutselt.

Näib, et ettevõte-1 sai sel juhul lõpuks hakkama vähemalt mõnega neist asjadest.

Kuna FBI tuvastas selle mehe ja küsitles seda... Ma arvan, et umbes kahe kuu jooksul pärast rünnakut.

Ja juurdlused ei toimu üleöö – selleks on vaja läbiotsimiseks korraldust ja tõenäolist põhjust.

Seega tundub, et nad tegid õiget asja ja nad ei usaldanud teda pimesi lihtsalt sellepärast, et ta ütles, et on usaldusväärne.

Tema kuriteod tulid välja nagu pesus.

Seega on oluline, et te ei peaks kedagi kahtlustatavana.

DOUG.  OK, liigume edasi.

Vidinate tootja Belkin on kuumas vees, öeldes põhimõtteliselt ühe populaarse nutipistiku kohta, et "eluea lõpp tähendab värskenduste lõppu".

Belkin Wemo Smart Plug V2 – puhvri ületäitumine, mida ei parandata

PART.  Tundub, et see oli Belkini üsna kehv vastus.

Suhtekorralduse seisukohalt pole see neile kindlasti palju sõpru võitnud, sest antud juhul on seade üks nn nutipistikutest.

Saate Wi-Fi-toega lüliti; mõned neist mõõdavad ka võimsust ja muud taolist.

Nii et idee on selles, et teil võib olla rakendus või veebiliides või midagi, mis lülitab seinakontakti sisse ja välja.

Seega on pisut iroonia, et viga on tootes, mille häkkimine võib viia selleni, et keegi vilgutab põhimõtteliselt sisse ja välja lülitit, mille külge võib olla ühendatud seade.

Ma arvan, et kui ma oleksin Belkin, oleksin võib-olla öelnud: "Vaata, me ei toeta seda enam, aga sel juhul... jah, me lükkame plaastri välja."

Ja see on puhvri ülevool, Doug, lihtne ja lihtne.

[NAERAB] Oh, kallis…

Kui ühendate seadme vooluvõrku, peab sellel olema kordumatu identifikaator, et see kuvataks rakenduses, näiteks teie telefonis… kui teil on neid kodus kolm, siis te ei soovi, et neile kõigile helistataks. Belkin Wemo plug.

Sa tahad minna ja seda muuta ning panna Belkini jaoks sõbralik nimi.

Nii sisenete oma telefonirakendusega ja sisestate uue soovitud nime.

Tundub, et teie uue nime jaoks on seadmes endas rakenduses 68-kohaline puhver, kuid pole kontrolli, kas te ei sisesta nime, mis on pikem kui 68 baiti.

Võib-olla rumal on, et süsteemi ehitajad otsustasid, et oleks piisavalt hea, kui nad lihtsalt kontrolliksid, kui pikk on nimi *mille sisestasite oma telefoni, kui kasutasite nime muutmiseks rakendust*: "Me väldime saatmist esiteks liiga pikad nimed.

Ja tõepoolest, telefonirakenduses ei saa te ilmselt isegi sisestada rohkem kui 30 tähemärki, nii et need on eriti turvalised.

Suur probleem!

Mis saab siis, kui ründaja otsustab rakendust mitte kasutada? [NAER]

Mis siis, kui nad kasutavad Pythoni skripti, mille nad ise kirjutasid…

DOUG.  Hmmmmm! [IROONILINE] Miks nad seda teeksid?

PART.  …see ei sega 30- või 68-märgilise piirangu kontrollimist?

Ja see on täpselt see, mida need teadlased tegid.

Ja nad avastasid, et kuna seal on pinupuhvri ületäitumine, saavad nad juhtida kasutatava funktsiooni tagastusaadressi.

Piisava katse-eksituse tulemusel suutsid nad täitmise kõrvale kalduda sellesse, mida žargoonis nimetatakse nende enda valitud shellkoodiks.

Eelkõige said nad käivitada süsteemikäsu, mis käivitas wget käsk, mis laadis skripti alla, muutis skripti käivitatavaks ja käivitas selle.

DOUG.  OK, noh…

…meil on artiklis mõned nõuanded.

Kui teil on üks neist nutipistikutest, kontrollige seda.

Ma arvan, et suurem küsimus on siin, eeldades, et Belkin täidab nende lubaduse seda mitte parandada… [VALJU NAER]

... põhimõtteliselt, kui raske see parandus on, Paul?

Või oleks hea PR see auk lihtsalt kinni toppida?

PART.  No ma ei tea.

Võib olla palju muid rakendusi, mida, oh, kallis, nad peavad samamoodi parandama.

Nii et nad ei pruugi seda teha, kartes, et keegi ütleb: "Noh, kaevame sügavamale."

DOUG.  Libe kallak…

PART.  See oleks halb põhjus seda mitte teha.

Ma oleksin arvanud, et see on nüüd hästi teada ja et see tundub piisavalt lihtne lahendus…

...lihtsalt (A) kompileerige võimaluse korral sisse lülitatud virnakaitsega seadme rakendused ja (B) vähemalt selles konkreetses "sõbraliku nime" muutmise programmis ärge lubage nimesid, mis on pikemad kui 68 tähemärki!

See ei tundu olevat oluline parandus.

Kuigi loomulikult peab see parandus olema kodeeritud; see tuleb üle vaadata; seda tuleb katsetada; tuleb ehitada uus versioon ja see digitaalselt allkirjastada.

Seejärel tuleb seda kõigile pakkuda ja paljud inimesed ei saa isegi aru, et see on saadaval.

Ja mis siis, kui neid ei värskendata?

Oleks tore, kui need, kes on sellest probleemist teadlikud, saaksid lahenduse, kuid tuleb näha, kas Belkin eeldab, et nad lähevad lihtsalt uuemale tootele üle.

DOUG.  Olgu, värskenduste teemal…

…oleme sellel lool, nagu me ütleme, silma peal hoidnud.

Oleme sellest mitu korda rääkinud: Clearview AI.

Zut alors! Raclage crapuleux! Clearview AI on Prantsusmaal 20% rohkem hädas

Prantsusmaal on see ettevõte korduva trotsi tõttu silmitsi ja on peaaegu naeruväärne, kui halvaks see on läinud.

Seega kraabib see ettevõte fotod Internetist välja ja kaardistab need vastavate inimestega ning õiguskaitseorganid kasutavad seda otsingumootorit inimeste otsimiseks.

Ka teistel riikidel on sellega probleeme olnud, kuid Prantsusmaa on öelnud: „See on PII. See on isikut tuvastav teave."

PART.  Jah.

DOUG.  "Clearview, palun lõpetage see."

Ja Clearview isegi ei vastanud.

Nii et neile määrati 20 miljonit eurot trahvi ja nad lihtsalt jätkasid…

Ja Prantsusmaa ütleb: "OK, te ei saa seda teha. Me käskisime sul lõpetada, nii et me hakkame sulle veelgi rohkem alla andma. Võtame teilt iga päev 100,000 5,200,000 eurot”… ja nad ajasid selle tagasi nii kaugele, et see on juba kuni XNUMX XNUMX XNUMX eurot.

Ja Clearview lihtsalt ei reageeri.

See lihtsalt ei tunnista probleemi olemasolu.

PART.  Kindlasti näib see nii olevat, Doug.

Huvitav ja minu arvates üsna mõistlik ja väga oluline, kui Prantsusmaa reguleeriv asutus uuris Clearview AI-d (sel ajal, kui nad otsustasid, et ettevõte ei kavatse vabatahtlikult palli mängida ja määras neile 20 miljoni euro suuruse trahvi)…

… nad leidsid ka, et ettevõte ei kogunud mitte ainult neid, mida nad peavad biomeetrilisi andmeid, ilma nõusolekuta.

Samuti muutsid nad inimeste jaoks uskumatult, asjatult ja ebaseaduslikult keeruliseks kasutada oma õigust (A) teada, et nende andmeid on kogutud ja neid kasutatakse ärilisel eesmärgil, ja (B) lasta need soovi korral kustutada.

Need on õigused, mille paljud riigid on oma määrustes sätestanud.

Ma arvan, et see on kindlasti Ühendkuningriigi seadustes, kuigi me oleme praegu väljaspool Euroopa Liitu, ja see on osa Euroopa Liidus tuntud GDPR-määrusest.

Kui ma ei taha, et te mu andmeid säilitaksite, peate need kustutama.

Ja ilmselt tegi Clearview asju, nagu ütles: "Oh, kui meil on see olnud rohkem kui aasta, on seda liiga raske eemaldada, nii et need on ainult andmed, mille oleme kogunud viimase aasta jooksul."

DOUG.  Aaaaargh. [NAERAB]

PART.  Nii et kui te ei märka või mõistate alles kahe aasta pärast?

Liiga hilja!

Ja siis nad ütlesid: "Oh, ei, teil on lubatud ainult kaks korda aastas küsida."

Ma arvan, et kui prantslased uurisid, avastasid nad ka, et inimesed Prantsusmaal kaebasid, et nad pidid ikka ja jälle küsima, enne kui neil õnnestus Clearviewi mäluga midagi teha.

Kes teab, kuidas see lõpeb, Doug?

DOUG.  See on hea aeg kuulda mitme lugeja kohta.

Tavaliselt anname nädala kommentaari ühelt lugejalt, kuid te küsisite selle artikli lõpus:

Kui te oleksite {kuninganna, kuningas, president, kõrgeim võlur, kuulsusrikas juht, peakohtunik, juhtiv vahekohtunik, privaatsuse ülemvolinik} ja saaksite selle probleemi lahendada {kepikepiga lainetusega, pastaka tõmbega, valitsuskepi raputusega , Jedi mõttetrikk}…

…kuidas lahendaksite selle vastuolu?

Ja lihtsalt mõned tsitaadid meie kommenteerijatelt:

  • "Oma peaga ära."
  • "Ettevõtte surmanuhtlus."
  • "Kvalifitseerige need kuritegelikuks organisatsiooniks."
  • "Kõrgemad töötajad tuleks vangi panna, kuni ettevõte seda täidab."
  • "Kuulutage kliendid kaasvandemeesteks."
  • "Häki andmebaasi ja kustuta kõik."
  • "Loo uued seadused."

Ja siis tuleb James seljast maha ja ütles: "Ma peerusin teie üldises suunas. Su ema oli amster ja su isa lõhnas leedrimarjade järele. [MONTY PYTHON JA PÜHA GRAAAL ALLUSION]

See võib minu arvates olla kommentaar vale artikli kohta.

Arvan, et raamatus "Whodunnit?" oli Monty Pythoni tsitaat. artiklit.

Aga, James, aitäh, et hüppasite sinna lõppu…

PART.  [NAERAB] Ei tohiks tegelikult naerda.

Kas üks meie kommenteerijatest ei öelnud: "Hei, taotlege Interpoli punast teatist? [OMA RAHVUSVAHELINE VAHISTAMISMÄÄRUS]

DOUG.  Jah!

Noh, suurepärane… nagu meil kombeks on, hoiame sellel silma peal, sest võin teile kinnitada, et see pole veel lõppenud.

Kui teil on huvitav lugu, kommentaar või küsimus, mida soovite esitada, loeksime hea meelega taskuhäälingusaadet.

Võite saata e-posti aadressil tips@sophos.com, kommenteerida mõnda meie artiklit või anda meile suhtlusvõrgustik: @NakedSecurity.

See on meie tänane saade; tänan teid väga kuulamast.

Paul Ducklini jaoks olen mina Doug Aamoth, tuletan teile kuni järgmise korrani meelde, et…

MÕlemad.  Ole turvaline!

[MUUSIKAMODEEM]

Ajatempel:

Veel alates Alasti turvalisus