S3 Ep135: Sysadmin در روز، اخاذی در شب

پخش کننده صوتی زیر نیست؟ گوش بده مستقیما در Soundcloud

دوغ.  درون مشاغل، تشخیص چهره و S در «IoT» همچنان مخفف «امنیت» است.

همه اینها و بیشتر در پادکست Naked Security.

[مودم موزیکال]

به پادکست خوش آمدید، همه.

من داگ آموت هستم. او پل داکلین است.

پل، امروز چطوری؟

---

اردک.  خیلی خوب، داگ

آیا عبارت جذاب خود را می دانید، "ما مراقب آن خواهیم بود"؟

---

دوغ.  [با خنده] هو، هو، هو!

---

اردک.  متأسفانه، چندین چیز در این هفته وجود دارد که ما "مراقب آنها" بوده ایم، و آنها هنوز به خوبی به پایان نرسیده اند.

---

دوغ.  بله، ما این هفته یک ترکیب جالب و غیر سنتی داریم.

بیایید وارد آن شویم.

اما ابتدا، ما از خود شروع می کنیم این هفته در تاریخ فناوری بخش.

این هفته، در 19 می 1980، اپل III معرفی شد.

این دستگاه در نوامبر 1980 ارسال می‌شود و در آن زمان 14,000 دستگاه اپل III از خط تولید فراخوان داده شد.

این دستگاه دوباره در نوامبر 1981 معرفی شد.

در خلاصه داستان، Apple III یک شکست بود.

استیو وزنیاک، بنیانگذار اپل، شکست این دستگاه را به طراحی آن توسط افراد بازاریابی به جای مهندسان نسبت داد.

آخ!

---

اردک.  نمی دانم به آن چه بگویم، داگ. [خنده]

من سعی می کنم به عنوان فردی که خود را یک تکنولوژیست و نه یک بازاریاب می داند، پوزخند نزنم.

من فکر می‌کنم که Apple III قرار بود خوب و جذاب به نظر برسد، و قرار بود از موفقیت Apple II استفاده کند.

اما درک من این است که Apple III (A) نمی‌توانست همه برنامه‌های Apple II را اجرا کند، که این یک ضربه سازگاری به عقب بود، و (B) مانند Apple II به اندازه کافی قابل ارتقا نبود.

نمی دانم این یک افسانه شهری است یا نه…

اما من خوانده‌ام که مدل‌های اولیه تراشه‌هایشان را به درستی در کارخانه قرار نمی‌دادند، و به گیرندگانی که مشکلاتی را گزارش می‌کردند گفته شد که جلوی رایانه را چند سانتی‌متر از روی میز خود بلند کرده و اجازه دهند به عقب برگردد.

[خنده]

این کار تراشه ها را در جای خود قرار می دهد، همانطور که باید در وهله اول می بود.

که ظاهراً جواب داد، اما بهترین نوع تبلیغ برای کیفیت محصول نبود.

---

دوغ.  دقیقا.

خوب، بیایید وارد اولین داستان خود شویم.

این یک داستان هشدار دهنده در مورد اینکه چقدر بد است تهدیدات داخلی می تواند، و شاید چقدر دشوار است که آنها را از دست بدهند، پل.

چه کسی؟ سایبرکروک به دلیل باج دادن به کارفرمای خود 6 سال زندان محکوم می شود

---

اردک.  در واقع همینطور است، داگلاس.

و اگر به دنبال داستان هستید nadsecurity.sophos.com، این همان چیزی است که عنوان شده است، "Whodunnit؟ سایبرکروک به خاطر باج دادن به کارفرمای خود 6 سال زندان محکوم می شود.

و در آنجا جرات داستان را دارید.

---

دوغ.  نباید بخندم، اما… [با خنده]

---

اردک.  به نوعی خنده دار و غیر خنده دار است.

زیرا اگر به چگونگی وقوع حمله نگاه کنید، اساساً این بود:

«هی، کسی وارد شده است. ما نمی دانیم حفره امنیتی که آنها استفاده کردند چه بود. بیایید دست به کار شویم و تلاش کنیم تا بفهمیم.»

"وای نه! مهاجمان موفق شده اند قدرت های sysadmin را بدست آورند!

"وای نه! آنها گیگا بایت داده های محرمانه را مکیده اند!»

"وای نه! آنها لاگ های سیستم را به هم ریخته اند، بنابراین ما نمی دانیم چه خبر است!»

"وای نه! اکنون آنها 50 بیت کوین (که در آن زمان حدود 2,000,000،2،XNUMX دلار آمریکا بود) طلب می کنند تا همه چیز را ساکت نگه دارند ... بدیهی است که ما قرار نیست XNUMX میلیون دلار به عنوان یک شغل خاموش بپردازیم.

و، یکنوع بازی شبیه لوتو، کلاهبردار رفت و آن کار سنتی را انجام داد، یعنی افشای اطلاعات در وب تاریک، که اساساً شرکت را به اشتراک گذاشت.

و متاسفانه سوال "Whodunnit؟" توسط یکی از سیسادمین های خود شرکت پاسخ داده شد.

در واقع، یکی از افرادی که به تیم دعوت شده بود تا مهاجم را پیدا و اخراج کند.

بنابراین او به معنای واقعی کلمه وانمود می کرد که با این مهاجم در روز مبارزه می کند و در مورد پرداخت باج خواهی 2 میلیون دلاری در شب مذاکره می کرد.

و بدتر از آن، داگ، به نظر می رسد که وقتی به او مشکوک شدند…

... کاری که آنها انجام دادند، بیایید با شرکت منصف باشیم.

(نمی‌خواهم بگویم چه کسی بود؛ بیایید آنها را شرکت-1 بنامیم، مانند وزارت دادگستری ایالات متحده، اگرچه هویت آنها کاملاً شناخته شده است.)

اموال وی مورد تفتیش قرار گرفت و ظاهراً لپ تاپی را که بعداً مشخص شد برای جنایت استفاده شده بود، به دست آوردند.

آنها او را مورد بازجویی قرار دادند، بنابراین او به روند "تخلف بهترین شکل دفاع است" رفت، و وانمود کرد که یک افشاگر است و تحت نوعی تغییر خود با رسانه ها تماس گرفت.

او یک داستان کاملاً نادرست در مورد چگونگی رخ دادن رخنه ارائه کرد - اینکه امنیت ضعیف در خدمات وب آمازون یا چیزی شبیه به آن بود.

بنابراین، از بسیاری جهات، بسیار بدتر از آنچه بود به نظر می رسید و قیمت سهام شرکت به شدت سقوط کرد.

به هر حال ممکن بود زمانی که اخباری مبنی بر نفوذ به آنها منتشر شده بود، کاهش پیدا کند، اما مطمئناً به نظر می رسد که او از راه خود دست به کار شده تا آن را بسیار بدتر به نظر برساند تا شک را از خود منحرف کند.

که خوشبختانه جواب نداد.

او *محکوم شد (خب، او به گناه خود اعتراف کرد)، و همانطور که در تیتر گفتیم، شش سال زندان گرفت.

سپس سه سال آزادی مشروط، و او باید 1,500,000 دلار جریمه بپردازد.

---

دوغ.  شما نمی توانید این چیزها را بسازید!

توصیه های عالی در این مقاله ... سه توصیه وجود دارد.

من عاشق این اولی هستم: تفرقه بینداز و حکومت کن.

منظورت از آن چیست، پل؟

---

اردک.  خب، به نظر می رسد که در این مورد، این فرد قدرت زیادی در دستان خود متمرکز کرده بود.

به نظر می‌رسد که او می‌توانست هر بخش کوچکی از این حمله را انجام دهد، از جمله وارد شدن بعد از آن و به هم ریختن لاگ‌ها و تلاش برای اینکه به نظر برسد که افراد دیگر در شرکت این کار را انجام داده‌اند.

(بنابراین، فقط برای اینکه نشان دهد که او چه پسر فوق‌العاده خوبی بود - او سعی کرد همکارانش را نیز بخیه بزند، تا آنها به مشکل برسند.)

اما اگر کاری کنید که برخی از فعالیت‌های کلیدی سیستم نیاز به مجوز دو نفر دارند، در حالت ایده‌آل، حتی از دو بخش مختلف، درست مانند زمانی که، مثلاً، یک بانک در حال تصویب یک حرکت پولی بزرگ است، یا زمانی که یک تیم توسعه تصمیم می‌گیرد، «بیایید ببینیم آیا این کد به اندازه کافی خوب است. ما شخص دیگری را وادار خواهیم کرد که به طور عینی و مستقل به آن نگاه کند.»

... این کار را برای یک خودی تنها سخت تر می کند تا تمام این ترفندها را انجام دهد.

زیرا آنها باید با دیگران تبانی کنند که در طول مسیر به مجوز مشترک نیاز دارند.

---

دوغ.  OK را بزنید.

و در همین راستا: گزارش های تغییرناپذیر را نگه دارید.

این یکی خوب است.

---

اردک.  بله.

شنوندگانی که حافظه طولانی دارند ممکن است درایوهای WORM را به خاطر بیاورند.

آن روزها کاملاً همان چیزی بودند: یک بار بنویس، زیاد بخوان.

البته آنها به عنوان کاملا ایده آل برای گزارش های سیستم تبلیغ می شوند، زیرا می توانید برای آنها بنویسید، اما هرگز نمی توانید آنها را *بازنویسی* کنید.

حالا، در واقع، من فکر نمی‌کنم که آنها عمداً به این شکل طراحی شده باشند... [می‌خندد] من فقط فکر می‌کنم هنوز کسی نمی‌دانست چگونه آنها را بازنویسی کند.

اما معلوم شد که این نوع فناوری برای نگهداری فایل‌های گزارش عالی بود.

اگر CD-R های اولیه، CD-Recordable ها را به خاطر دارید - می توانید یک جلسه جدید اضافه کنید، بنابراین می توانید مثلاً 10 دقیقه موسیقی ضبط کنید و سپس 10 دقیقه دیگر موسیقی یا 100 مگابایت دیگر داده بعدا اضافه کنید، اما نمی توانید این کار را انجام دهید. برگرد و همه چیز را دوباره بنویس.

بنابراین، هنگامی که آن را قفل می‌کنید، کسی که می‌خواهد با شواهد دست به گریبان شود، باید یا باید کل سی‌دی را از بین ببرد تا به‌طور مشهودی در زنجیره شواهد وجود نداشته باشد، یا در غیر این صورت به آن آسیب برساند.

آنها نمی توانند آن دیسک اصلی را بگیرند و محتوای آن را بازنویسی کنند، بنابراین به شکل دیگری نشان داده شد.

و البته، انواع تکنیک‌هایی وجود دارد که می‌توانید این کار را در فضای ابری انجام دهید.

اگر دوست دارید، این روی دیگر سکه «تفرقه بینداز و حکومت کن» است.

چیزی که شما می گویید این است که شما تعداد زیادی sysadmin، وظایف سیستمی، بسیاری از دیمون ها یا فرآیندهای خدماتی دارید که می توانند اطلاعات ورود به سیستم را تولید کنند، اما آنها به جایی فرستاده می شوند که نیاز به اراده و همکاری واقعی برای ایجاد این اطلاعات است. سیاهههای مربوط از بین می روند یا به غیر از آنچه در زمان ایجاد اولیه بودند به نظر می رسند.

---

دوغ.  و سپس آخرین اما نه کم اهمیت ترین: همیشه اندازه بگیرید، هرگز فرض نکنید.

---

اردک.  کاملا.

به نظر می رسد که شرکت-1 در این مورد حداقل برخی از این موارد را در نهایت مدیریت کرده است.

چون این مرد توسط اف‌بی‌آی شناسایی و مورد بازجویی قرار گرفت... فکر می‌کنم حدود دو ماه پس از انجام حمله‌اش.

و تحقیقات یک شبه انجام نمی شود - آنها به یک حکم برای جستجو نیاز دارند و به علت احتمالی نیاز دارند.

بنابراین به نظر می‌رسد که آنها کار درست را انجام داده‌اند، و فقط به این دلیل که او مدام می‌گفت قابل اعتماد است، کورکورانه به او اعتماد نکردند.

جنایات او در شستشو ظاهر شد.

بنابراین مهم است که هیچ کس را فراتر از ظن ندانید.

---

دوغ.  خوب، درست در حال حرکت است.

سازنده گجت Belkin در آب داغ است و اساساً برای یکی از دوشاخه های هوشمند محبوب خود می گوید: "پایان عمر به معنای پایان به روز رسانی است".

Belkin Wemo Smart Plug V2 – سرریز بافری که وصله نمی شود

---

اردک.  به نظر می رسد که این پاسخ نسبتا ضعیفی از سوی بلکین بوده است.

مطمئناً از دیدگاه روابط عمومی، دوستان زیادی برای آنها پیدا نکرده است، زیرا دستگاه در این مورد یکی از آن دوشاخه های به اصطلاح هوشمند است.

شما یک سوئیچ فعال Wi-Fi دریافت می کنید. برخی از آنها نیز قدرت و موارد دیگر را اندازه گیری می کنند.

بنابراین ایده این است که شما می توانید یک برنامه، یا یک رابط وب یا چیزی که سوکت دیواری را روشن و خاموش می کند داشته باشید.

بنابراین کمی طعنه آمیز است که خطا در محصولی است که در صورت هک شدن، ممکن است منجر به این شود که کسی اساساً یک سوئیچ را روشن و خاموش کند که ممکن است یک دستگاه به آن وصل شود.

فکر می‌کنم، اگر من جای بلکین بودم، ممکن بود می‌گفتم: «ببین، ما واقعاً دیگر از این حمایت نمی‌کنیم، اما در این مورد… بله، ما یک پچ را حذف می‌کنیم.»

و این یک سرریز بافر است، داگ، ساده و ساده.

[می خندد] اوه عزیزم…

وقتی دستگاه را وصل می‌کنید، باید یک شناسه منحصربه‌فرد داشته باشد تا در برنامه نمایش داده شود، مثلاً، در تلفن شما… اگر سه تا از آن‌ها را در خانه خود دارید، نمی‌خواهید همه آنها تماس بگیرند. Belkin Wemo plug.

شما می خواهید بروید و آن را تغییر دهید، و چیزی را که بلکین «نامی دوستانه» می نامد قرار دهید.

و بنابراین با برنامه تلفن خود وارد می شوید و نام جدیدی را که می خواهید تایپ می کنید.

خوب، به نظر می رسد که یک بافر 68 کاراکتری در برنامه روی خود دستگاه برای نام جدید شما وجود دارد ... اما هیچ بررسی وجود ندارد که نامی بیش از 68 بایت قرار ندهید.

احمقانه، شاید، افرادی که سیستم را ساخته اند، به این نتیجه رسیده اند که اگر به سادگی بررسی کنند که چه مدت نامی را در گوشی خود تایپ کرده اید * زمانی که از برنامه برای تغییر نام استفاده می کنید*، به اندازه کافی خوب است: "ما از ارسال خودداری می کنیم. نام هایی که در وهله اول خیلی طولانی هستند.»

و در واقع، در برنامه تلفن، ظاهراً حتی نمی توانید بیش از 30 کاراکتر وارد کنید، بنابراین آنها فوق العاده ایمن هستند.

مشکل بزرگ!

اگر مهاجم تصمیم بگیرد از برنامه استفاده نکند چه؟ [خنده]

اگر از یک اسکریپت پایتون که خودشان نوشته اند استفاده کنند چه می شود...

---

دوغ.  هوممم! [آخر] چرا آنها این کار را می کنند؟

---

اردک.  ... که برای بررسی محدودیت 30 کاراکتری یا 68 کاراکتری زحمتی ندارد؟

و این دقیقاً همان کاری است که این محققان انجام دادند.

و آنها متوجه شدند، چون سرریز بافر پشته ای وجود دارد، می توانند آدرس برگشتی تابعی را که استفاده می شد کنترل کنند.

با آزمون و خطای کافی، آنها توانستند اجرا را به چیزی که در اصطلاح اصطلاحی به‌عنوان «شل کد» به انتخاب خودشان شناخته می‌شود، منحرف کنند.

قابل ذکر است، آنها می توانند یک فرمان سیستمی را اجرا کنند که اجرا می شود wget دستور، که یک اسکریپت را دانلود می کند، اسکریپت را قابل اجرا می کند و آن را اجرا می کند.

---

دوغ.  باشه خب…

ما در مقاله توصیه هایی داریم.

اگر یکی از این دوشاخه های هوشمند را دارید، بررسی کنید.

من حدس می‌زنم سوال بزرگ‌تر اینجاست، با فرض اینکه بلکین به قول‌شان عمل کند که این مشکل را حل نکند... [خنده بلند]

... اساساً، پل؟

یا اینکه فقط این سوراخ را وصل کنیم روابط عمومی خوبی خواهد بود؟

---

اردک.  خوب، من نمی دانم.

ممکن است بسیاری از برنامه های دیگر وجود داشته باشد که، اوه، عزیز، آنها باید همان نوع تعمیر را انجام دهند.

بنابراین ممکن است از ترس اینکه کسی بخواهد این کار را انجام ندهند، "خب، بیایید عمیق تر بگردیم."

---

دوغ.  یک سراشیبی لغزنده…

---

اردک.  منظورم این است که دلیل بدی برای انجام ندادن آن خواهد بود.

من فکر می کردم، با توجه به اینکه این اکنون به خوبی شناخته شده است، و با توجه به اینکه به نظر می رسد یک راه حل به اندازه کافی آسان است…

...فقط (الف) برنامه‌ها را برای دستگاهی که محافظت پشته‌ای روشن است، در صورت امکان دوباره کامپایل کنید، و (ب) حداقل در این برنامه خاص تغییر «نام دوستانه»، اجازه ندهید نام‌هایی بیش از 68 کاراکتر داشته باشند!

به نظر نمی رسد یک اصلاح اساسی باشد.

اگرچه، البته، این اصلاح باید کدگذاری شود. باید بررسی شود؛ باید آزمایش شود؛ یک نسخه جدید باید ساخته شود و به صورت دیجیتال امضا شود.

سپس باید به همه ارائه شود، و بسیاری از مردم حتی متوجه در دسترس بودن آن نخواهند شد.

و اگر به روز نشوند چه؟

خوب است اگر کسانی که از این مشکل آگاه هستند بتوانند رفع کنند، اما باید دید که آیا بلکین از آنها انتظار دارد که به سادگی به یک محصول جدیدتر ارتقا دهند.

---

دوغ.  خوب، در مورد به روز رسانی…

... ما به قول خودمان این داستان را زیر نظر داشتیم.

ما چندین بار در مورد آن صحبت کرده ایم: Clearview AI.

زوت آلورس! Raclage crapuleux! Clearview AI 20 درصد بیشتر در فرانسه مشکل دارد

فرانسه این شرکت را برای سرپیچی های مکرر در نظر دارد، و این که چقدر بد شده است تقریبا خنده دار است.

بنابراین، این شرکت عکس‌ها را از اینترنت پاک می‌کند و آنها را به انسان مربوطه خود نقشه می‌کشد و مجریان قانون از این موتور جستجو برای جستجوی افراد استفاده می‌کنند.

کشورهای دیگر نیز در این زمینه مشکل داشته اند، اما فرانسه گفته است: «این PII است. این اطلاعات شخصی قابل شناسایی است.»

---

اردک.  بله.

---

دوغ.  "کلیرویو، لطفا این کار را متوقف کنید."

و Clearview حتی پاسخی نداد.

بنابراین آنها 20 میلیون یورو جریمه شدند و به راه خود ادامه دادند…

و فرانسه می‌گوید: «باشه، شما نمی‌توانید این کار را انجام دهید. ما به شما گفتیم که دست بردارید، بنابراین ما سخت تر از این به شما برخورد خواهیم کرد. ما هر روز 100,000 یورو از شما دریافت خواهیم کرد”... و آنها آن را به عقب برگرداندند تا جایی که در حال حاضر به 5,200,000 یورو رسیده است.

و Clearview فقط پاسخ نمی دهد.

این فقط حتی قبول نکردن این است که مشکلی وجود دارد.

---

اردک.  مطمئناً به نظر می رسد که چگونه است، داگ.

جالب است، و به نظر من کاملاً منطقی و بسیار مهم است، زمانی که رگولاتور فرانسوی به هوش مصنوعی Clearview نگاه کرد (در آن زمان تصمیم گرفتند که شرکت به طور داوطلبانه توپ بازی نمی کند و آنها را 20 میلیون یورو جریمه کرد)…

آنها همچنین دریافتند که این شرکت فقط داده‌های بیومتریک را بدون کسب رضایت جمع‌آوری نمی‌کند.

آنها همچنین استفاده از حق خود (الف) را برای مردم دشوار می کردند که بدانند داده های آنها جمع آوری شده و به صورت تجاری استفاده می شود، و (ب) در صورت تمایل آنها را حذف کنند.

اینها حقوقی هستند که بسیاری از کشورها در مقررات خود قید کرده اند.

مطمئناً، به نظر من، هنوز در قوانین بریتانیا وجود دارد، حتی اگر ما اکنون خارج از اتحادیه اروپا هستیم، و بخشی از مقررات شناخته شده GDPR در اتحادیه اروپا است.

اگر نمی‌خواهم اطلاعات من را حفظ کنید، باید آن را حذف کنید.

و ظاهراً Clearview کارهایی مانند این را انجام می‌داد که «اوه، خوب، اگر ما آن را بیش از یک سال داشته باشیم، حذف آن بسیار سخت است، بنابراین این تنها داده‌هایی است که در سال گذشته جمع‌آوری کرده‌ایم».

---

دوغ.  آآآرغ. [می خندد]

---

اردک.  به طوری که اگر متوجه نشدید یا فقط بعد از دو سال متوجه شدید؟

خیلی دیر!

و سپس آنها می گفتند، "اوه، نه، شما فقط دو بار در سال اجازه دارید بپرسید."

فکر می‌کنم، وقتی فرانسوی‌ها تحقیق کردند، متوجه شدند که مردم فرانسه شکایت می‌کردند که باید بارها و بارها و بارها سوال کنند قبل از اینکه بتوانند حافظه کلیرویو را برای انجام هر کاری تضعیف کنند.

پس چه کسی می داند که این چگونه پایان خواهد یافت، داگ؟

---

دوغ.  این زمان خوبی برای شنیدن نظرات چندین خواننده است.

ما معمولا نظر هفته را از یک خواننده انجام می دهیم، اما شما در پایان این مقاله پرسیدید:

اگر {ملکه، پادشاه، رئیس جمهور، جادوگر عالی، رهبر باشکوه، رئیس قاضی، داور اصلی، کمیساریای عالی حریم خصوصی} بودید و می توانستید با {موج عصا، ضربه قلم، تکان دادن عصای خود، این مشکل را برطرف کنید. یک ترفند ذهن جدی}…

... چگونه این بن بست را حل می کنید؟

و فقط چند نقل قول از نظر دهندگان ما را بنویسیم:

• "با سرشان بروند."
• "مجازات اعدام شرکتی."
• آنها را به عنوان یک سازمان جنایی طبقه بندی کنید.
• "مقامات بالاتر باید تا زمانی که شرکت رعایت کند زندانی شوند."
• "مشتریان را به عنوان شریک توطئه اعلام کنید."
• "دیتابیس را هک کنید و همه چیز را پاک کنید."
• "قوانین جدید ایجاد کنید."

و سپس جیمز از اسب پیاده می‌شود و می‌گوید: «من در جهت کلی شما گوز می‌زنم. مادرت یک آمستر بود و پدرت بوی سنجد می داد. [مونتی پایتون و جام مقدس کنایه]

که به نظر من ممکن است نظری در مورد مقاله اشتباه باشد.

فکر می کنم یک نقل قول مونتی پایتون در "Whodunnit؟" وجود داشت. مقاله.

اما، جیمز، متشکرم که در پایان وارد شدی…

---

اردک.  [می خندد] واقعاً نباید بخندید.

آیا یکی از نظر دهندگان ما نگفت: «هی، برای اعلامیه قرمز اینترپل اقدام کن؟ [نوعی حکم بازداشت بین المللی]

---

دوغ.  بله!

خوب، عالی است... همانطور که ما عادت داریم این کار را انجام دهیم، زیرا می توانم به شما اطمینان دهم که این هنوز تمام نشده است.

اگر داستان، نظر یا سوال جالبی دارید که می‌خواهید ارسال کنید، مایلیم در پادکست بخوانید.

می‌توانید به tips@sophos.com ایمیل بزنید، می‌توانید در مورد هر یک از مقاله‌های ما نظر دهید، یا می‌توانید در شبکه‌های اجتماعی با ما تماس بگیرید: @NakedSecurity.

این نمایش امروز ماست. خیلی ممنون که گوش دادید

برای پل داکلین، من داگ آموت هستم، تا دفعه بعد به شما یادآوری می کنم که…

---

هر دو.  ایمن بمان

[مودم موزیکال]