S3 Ep135: Sysadmin päivällä, kiristäjä yöllä

S3 Ep135: Sysadmin päivällä, kiristäjä yöllä

Aikaleima: 18. toukokuuta 2023 2
Lähdesolmu: 2662163
by

SISÄPIIRIHÖYKKÄ (JOSSA HENKILÖSTÖ JÄTIIN)

Eikö alla ole audiosoitinta? Kuunnella suoraan Soundcloudissa.

Doug Aamothin ja Paul Ducklinin kanssa. Intro ja outro musiikki Edith Mudge.

Voit kuunnella meitä Soundcloud, Apple Podcastit, Google Podcastit, Spotify, nitoja ja kaikkialla, missä hyviä podcasteja löytyy. Tai pudota vain RSS-syötteemme URL-osoite suosikki podcatcheriisi.

LUE OTTARKASTUS

DOUG.  Työpaikkojen sisällä, kasvojentunnistus ja "S" IoT:ssä tarkoittavat edelleen "turvallisuutta".

Kaikki tämä ja paljon muuta Naked Security -podcastissa.

[MUSIIKKIMODEEMI]

Tervetuloa podcastiin kaikki.

Olen Doug Aamoth; hän on Paul Ducklin.

Paul, miten voit tänään?

ANKKA.  Hyvin, Doug.

Tiedätkö sanalauseesi: "Pidämme sitä silmällä"?

DOUG.  [NAURA] Ho, ho, ho!

ANKKA.  Valitettavasti tällä viikolla on useita asioita, joita olemme "pitäneet silmällä", eivätkä ne ole vieläkään päättyneet hyvin.

DOUG.  Kyllä, meillä on tällä viikolla mielenkiintoinen ja epäperinteinen kokoonpano.

Mennään siihen.

Mutta ensin aloitamme omasta Tämä viikko tekniikan historiassa segmentti.

Tällä viikolla, 19. toukokuuta 1980, Apple III julkistettiin.

Se toimitettiin marraskuussa 1980, jolloin ensimmäiset 14,000 XNUMX Apple III:ta vedettiin takaisin.

Kone otettiin uudelleen käyttöön marraskuussa 1981.

Lyhyesti sanottuna Apple III oli floppi.

Applen perustaja Steve Wozniak selitti koneen epäonnistumisen siksi, että sen suunnittelivat markkinoijat insinöörien sijaan.

Auts!

ANKKA.  En tiedä mitä sanoa siihen, Doug. [NAURU]

Yritän olla virnistelemättä ihmisenä, joka pitää itseään teknologina eikä markkinamiehenä.

Mielestäni Apple III:n oli tarkoitus näyttää hyvältä ja näyttää siistiltä, ​​ja sen oli tarkoitus hyödyntää Apple II:n menestystä.

Ymmärtääkseni Apple III (A) ei voinut ajaa kaikkia Apple II -ohjelmia, mikä oli hieman taaksepäin yhteensopivuuden isku, ja (B) ei vain ollut tarpeeksi laajennettavissa kuten Apple II.

En tiedä onko tämä urbaani legenda vai ei...

…mutta olen lukenut, että varhaisissa malleissa ei ollut siruja kunnolla paikallaan tehtaalla ja että vastaanottajia, jotka ilmoittivat ongelmista, käskettiin nostamaan tietokoneen etuosa pöydältä muutaman sentin verran ja antaa sen kaatua takaisin.

[NAURU]

Tämä loksahtaisi sirut paikoilleen, kuten niiden olisi alun perin pitänyt olla.

Mikä ilmeisesti toimi, mutta ei ollut paras mainos tuotteen laadulle.

DOUG.  Aivan.

Selvä, mennään ensimmäiseen tarinaamme.

Tämä on varoittava tarina siitä, kuinka paha sisäisiä uhkauksia voi olla, ja kenties kuinka vaikeaa niitä voi olla, Paul.

Kuka ei tiedä? Cybercrook saa kuusi vuotta oman työnantajansa lunastamisesta

ANKKA.  Todellakin, Douglas.

Ja jos etsit tarinaa nakedsecurity.sophos.com, se on kuvateksti, "Kuka ei? Cybercrook saa kuusi vuotta oman työnantajansa lunastamisesta.

Ja siinä sinulla on tarinan rohkeutta.

DOUG.  Ei pitäisi nauraa, mutta… [NAURAA]

ANKKA.  Se on tavallaan hassua ja hassua.

Koska jos katsot kuinka hyökkäys eteni, se oli periaatteessa:

"Hei, joku on murtautunut sisään; emme tiedä mitä turva-aukkoa he käyttivät. Ryhdytään toimiin ja yritetään ottaa selvää."

"Voi ei! Hyökkääjät ovat onnistuneet saamaan järjestelmänvalvojan valtuudet!”

"Voi ei! He ovat imeneet gigatavuja luottamuksellisia tietoja!”

"Voi ei! He ovat sotkeneet järjestelmän lokit, joten emme tiedä mitä tapahtuu!

"Voi ei! Nyt he vaativat 50 bitcoinia (joka tuolloin oli noin 2,000,000 2 XNUMX Yhdysvaltain dollaria) pitääkseen asiat hiljaa… emme tietenkään aio maksaa XNUMX miljoonaa dollaria hiljaisena työnä.”

Ja bingo, roisto meni ja teki sen perinteisen teon, vuotaen dataa pimeään verkkoon, periaatteessa tuhoten yrityksen.

Ja valitettavasti kysymys "Whodunnit?" vastasi: Yksi yrityksen omista järjestelmänvalvojista.

Itse asiassa yksi ihmisistä, jotka oli kutsuttu joukkueeseen yrittämään löytää ja karkottaa hyökkääjän.

Joten hän kirjaimellisesti teeskenteli taistelevansa tätä hyökkääjää vastaan ​​päivällä ja neuvottelevansa 2 miljoonan dollarin kiristysmaksusta yöllä.

Ja mikä vielä pahempaa, Doug, näyttää siltä, ​​että kun he alkoivat epäillä häntä…

…mitä he tekivät, olkaamme rehellisiä yhtiötä kohtaan.

(En aio kertoa kuka se oli; sanotaanpa heitä Company-1:ksi, kuten Yhdysvaltain oikeusministeriö teki, vaikka heidän henkilöllisyytensä on melko hyvin tiedossa.)

Hänen omaisuuttaan etsittiin, ja ilmeisesti he saivat haltuunsa kannettavan tietokoneen, jota myöhemmin kävi ilmi, että sitä käytettiin rikokseen.

He kuulustelivat häntä, joten hän ryhtyi "rikos on paras puolustusmuoto" -prosessiin, teeskenteli ilmiantajana ja otti yhteyttä mediaan jonkin alter egon alaisena.

Hän kertoi valheellisen tarinan siitä, kuinka tietomurto oli tapahtunut – että kyseessä oli Amazon Web Services -palvelun huono tietoturva tai jotain vastaavaa.

Joten se sai sen näyttämään monella tapaa paljon pahemmalta kuin se oli, ja yhtiön osakekurssi romahti melko pahasti.

Se olisi saattanut pudota joka tapauksessa, kun oli uutisia, että heitä oli rikottu, mutta varmasti näyttää siltä, ​​​​että hän teki kaikkensa saadakseen sen näyttämään paljon pahemmalta karkottaakseen epäilyksen itsestään.

Mikä ei onneksi toiminut.

Hänet *tosi* tuomittiin (no, hän myönsi syyllisyytensä), ja kuten otsikossa sanoimme, hän sai kuusi vuotta vankeutta.

Sitten kolme vuotta ehdonalaiseen vapauteen, ja hänen on maksettava takaisin 1,500,000 XNUMX XNUMX dollarin sakko.

DOUG.  Et voi keksiä näitä juttuja!

Tässä artikkelissa on hyviä neuvoja… neuvoja on kolme.

Rakastan tätä ensimmäistä: Jaa ja valloita.

Mitä tarkoitat sillä, Paul?

ANKKA.  No, näyttää siltä, ​​että tässä tapauksessa tällä yksilöllä oli liian paljon valtaa keskittynyt omiin käsiinsä.

Näyttää siltä, ​​​​että hän onnistui saamaan tämän hyökkäyksen jokaisen pienen osan tapahtumaan, mukaan lukien sen, että meni sisään jälkeenpäin ja sekaisi lokien kanssa ja yritti saada näyttämään siltä, ​​​​että muut ihmiset yrityksessä tekivät sen.

(Joten vain osoittaakseen, kuinka hirveän mukava kaveri hän oli – hän yritti ommella myös työtoverinsa, jotta he joutuivat vaikeuksiin.)

Mutta jos tietyt keskeiset järjestelmän toiminnot vaativat kahden henkilön valtuutuksen, mieluiten jopa kahdelta eri osastolta, aivan kuten esimerkiksi silloin, kun pankki hyväksyy suuren rahaliikkeen tai kun kehitystiimi päättää: ”Katsotaan, onko tämä koodi on tarpeeksi hyvä; saamme jonkun muun tarkastelemaan sitä objektiivisesti ja itsenäisesti”…

…se vaikeuttaa yksinäisen sisäpiiriläisen omaksumista kaikista näistä temppuista.

Koska heidän olisi sovittava kaikkien muiden kanssa, että he tarvitsisivat yhteisvaltuutuksen matkan varrelta.

DOUG.  OK.

Ja samoilla linjoilla: Pidä muuttumattomia lokeja.

Tuo on hyvä.

ANKKA.  Kyllä.

Ne kuuntelijat, joilla on pitkä muisti, saattavat muistaa WORM-asemia.

Ne olivat aikamoisia aikoinaan: Kirjoita kerran, lue monta.

Tietenkin niitä mainostettiin ehdottoman ihanteellisiksi järjestelmälokeiksi, koska niihin voi kirjoittaa, mutta niitä ei voi koskaan *kirjoittaa uudelleen*.

Itse asiassa en usko, että ne on suunniteltu tarkoituksella sellaisiksi… [NAURA] Luulen vain, että kukaan ei tiennyt vielä, kuinka tehdä niistä uudelleenkirjoitettavia.

Mutta kävi ilmi, että tällainen tekniikka oli erinomainen lokitiedostojen säilyttämiseen.

Jos muistat aikaisemmat CD-R-levyt, CD-tallennuslevyt – voit lisätä uuden istunnon, jolloin voit nauhoittaa esimerkiksi 10 minuuttia musiikkia ja lisätä sitten vielä 10 minuuttia musiikkia tai toiset 100 Mt dataa myöhemmin, mutta et voinut mene takaisin ja kirjoita koko juttu uudelleen.

Joten kun olet lukinnut sen, jonkun, joka halusi sotkea todisteita, oli joko tuhottava koko CD, jotta se olisi näkyvästi poissa todisteiden ketjusta, tai vahingoittaa sitä muuten.

He eivät pystyisi ottamaan alkuperäistä levyä ja kirjoittamaan sen sisältöä uudelleen, jotta se näkyisi eri tavalla.

Ja tietysti on olemassa kaikenlaisia ​​tekniikoita, joilla voit tehdä sen pilvessä.

Jos haluat, tämä on "hajaa ja hallitse" -kolikon toinen puoli.

Tarkoitat, että sinulla on paljon järjestelmänvalvojia, paljon järjestelmätehtäviä, paljon demoneja tai palveluprosesseja, jotka voivat tuottaa lokitietoja, mutta ne lähetetään jonnekin, missä tarvitaan todellista tahtoa ja yhteistyötä. lokit menevät pois tai näyttävät muilta kuin ne olivat alun perin luodessaan.

DOUG.  Ja sitten viimeisenä muttei vähäisimpänä: Mittaa aina, älä koskaan oleta.

ANKKA.  Ehdottomasti.

Näyttää siltä, ​​että Yritys-1 tässä tapauksessa onnistui lopulta ainakin osan kaikista näistä asioista.

Koska FBI tunnisti ja kuulusteli tämän kaverin... Luulen, että noin kahden kuukauden sisällä hyökkäyksestään.

Ja tutkimukset eivät tapahdu yhdessä yössä – ne vaativat etsintäluvan ja todennäköisen syyn.

Joten näyttää siltä, ​​​​että he tekivät oikein, eivätkä he vain sokeasti jatkaneet luottamista häneen vain siksi, että hän sanoi olevansa luotettava.

Hänen rikoksensa tulivat ilmi pesussa.

Joten on tärkeää, että et pidä ketään epäilyksen yläpuolella.

DOUG.  OK, eteenpäin.

Gadget-valmistaja Belkin on kuumassa vedessä sanoen periaatteessa: "Elämän loppu tarkoittaa päivitysten loppua" yhdelle sen suosituista älypistokkeista.

Belkin Wemo Smart Plug V2 – puskurin ylivuoto, jota ei korjata

ANKKA.  Se näyttää olleen melko huono vastaus Belkiniltä.

PR-näkökulmasta katsottuna se ei tietenkään ole saanut heille paljoa ystäviä, koska laite on tässä tapauksessa yksi niistä niin sanotuista älypistokkeista.

Saat Wi-Fi-kytkimen; jotkut niistä mittaavat myös tehoa ja muita vastaavia asioita.

Joten idea on, että sinulla voi olla sitten sovellus tai verkkokäyttöliittymä tai jotain, joka kytkee pistorasia päälle ja pois.

Joten on vähän ironista, että vika on tuotteessa, joka voi hakkeroituna johtaa siihen, että joku periaatteessa vilkkuu kytkintä päälle ja pois, jolloin siihen voi olla kytketty laite.

Luulen, että jos olisin Belkin, olisin voinut sanoa: "Katso, emme todellakaan tue tätä enää, mutta tässä tapauksessa… kyllä, me työnnämme paikan."

Ja se on puskurin ylivuoto, Doug, selkeää ja yksinkertaista.

[NAURA] Voi rakas…

Kun kytket laitteen pistorasiaan, sillä on oltava yksilöllinen tunniste, jotta se näkyy sovelluksessa, esimerkiksi puhelimessasi… jos sinulla on niitä kolme kotonasi, et halua, että niitä kaikkia kutsutaan Belkin Wemo plug.

Haluat muuttaa sen ja laittaa sen, mitä Belkin kutsuu "ystävälliseksi nimeksi".

Joten menet sisään puhelinsovelluksellasi ja kirjoitat uuden nimen, jonka haluat.

No, näyttää siltä, ​​että sovelluksessa itse laitteessa on 68 merkin puskuri uudelle nimellesi… mutta ei ole olemassa tarkistusta, ettet laita yli 68 tavua pitkää nimeä.

Ehkä typerästi järjestelmän rakentajat päättivät, että olisi tarpeeksi hyvä, jos he vain tarkistavat, kuinka pitkä nimi oli *jonka kirjoitit puhelimeesi, kun käytit sovellusta nimen vaihtamiseen*: "Vältämme lähettämistä nimet, jotka ovat alun perin liian pitkiä."

Ja todellakin, puhelinsovelluksessa et ilmeisesti voi edes kirjoittaa yli 30 merkkiä, joten ne ovat erittäin turvallisia.

Iso ongelma!

Entä jos hyökkääjä päättää olla käyttämättä sovellusta? [NAURU]

Mitä jos he käyttävät itse kirjoittamaansa Python-skriptiä…

DOUG.  Hmmmmm! [IRONISTA] Miksi he tekisivät niin?

ANKKA.  …se ei haittaa 30 tai 68 merkin rajoitusten tarkistamista?

Ja juuri niin nämä tutkijat tekivät.

Ja he huomasivat, että koska siellä oli pinopuskurin ylivuoto, he pystyivät hallitsemaan käytetyn funktion paluuosoitetta.

Riittävän yrityksen ja erehdyksen avulla he pystyivät poikkeamaan suorituksesta sellaiseen, joka tunnetaan ammattikielessä heidän valitsemansa "shellcodena".

Erityisesti he pystyivät suorittamaan järjestelmäkomennon, joka suoritti wget komento, joka latasi skriptin, teki siitä suoritettavan ja suoritti sen.

DOUG.  OK, no…

…artikkelissa on neuvoja.

Jos sinulla on jokin näistä älypistokkeista, tarkista se.

Luulen, että isompi kysymys tässä on, jos oletetaan, että Belkin noudattaa heidän lupauksensa olla korjaamatta tätä… [ÄYVÄNÄ NAurua]

…pohjimmiltaan, kuinka vaikea korjata tämä on, Paul?

Vai olisiko hyvä PR vain tukkia tämä reikä?

ANKKA.  No, en tiedä.

Saattaa olla monia muita sovelluksia, jotka, voi rakas, niiden täytyy tehdä samanlainen korjaus.

Joten he eivät ehkä halua tehdä tätä peläten, että joku sanoo: "No, kaivataan syvemmälle."

DOUG.  Liukas rinne…

ANKKA.  Tarkoitan, että se olisi huono syy olla tekemättä sitä.

Olisin ajatellut, koska tämä on nyt hyvin tiedossa ja koska se näyttää riittävän helpolta korjaukselta…

…vain (A) käännä sovellukset uudelleen laitteelle, jossa pinosuojaus on käytössä, jos mahdollista, ja (B) ainakin tässä nimenomaisessa "ystävällisen nimen" muutosohjelmassa, älä salli yli 68 merkkiä pitkiä nimiä!

Ei vaikuta isolta korjaukselta.

Vaikka tämä korjaus on tietysti koodattava; se on tarkistettava; se on testattava; uusi versio on rakennettava ja allekirjoitettava digitaalisesti.

Sitten sitä on tarjottava kaikille, eivätkä monet ihmiset edes tajua sen olevan saatavilla.

Entä jos ne eivät päivity?

Olisi hienoa, jos tästä ongelmasta tietävät saisivat korjauksen, mutta jää nähtäväksi, odottaako Belkin heidän yksinkertaisesti päivittävän uudempaan tuotteeseen.

DOUG.  Selvä, päivitysten aiheeseen liittyen…

…olemme pitäneet silmällä, kuten sanomme, tätä tarinaa.

Olemme puhuneet siitä useita kertoja: Clearview AI.

Zut alors! Raclage crapuleux! Clearview AI 20 % enemmän ongelmia Ranskassa

Ranskalla on tämä yritys näkyvissä toistuvien uhmausten vuoksi, ja on melkein naurettavaa, kuinka huonoksi se on mennyt.

Joten tämä yritys kaapii valokuvia Internetistä ja kartoittaa ne vastaaviin ihmisiin, ja lainvalvontaviranomaiset käyttävät tätä hakukonetta ihmisten etsimiseen.

Muillakin mailla on ollut ongelmia tämän kanssa, mutta Ranska on sanonut: "Tämä on henkilökohtainen tieto. Nämä ovat henkilökohtaisia ​​tunnistetietoja."

ANKKA.  Kyllä.

DOUG.  "Clearview, lopeta tämä."

Eikä Clearview edes vastannut.

Joten he saivat 20 miljoonan euron sakot, ja he vain jatkoivat…

Ja Ranska sanoo: "OK, et voi tehdä tätä. Pyysimme sinua lopettamaan, joten alamme sinua vielä kovemmin. Veloitamme sinulta 100,000 5,200,000 € joka päivä”… ja he ajoittivat sen siihen pisteeseen, että se on jo XNUMX XNUMX XNUMX €.

Ja Clearview ei vain vastaa.

Se ei vain edes tunnusta ongelman olemassaoloa.

ANKKA.  Näin se varmasti näyttää menevän, Doug.

Mielenkiintoista ja mielestäni varsin järkevää ja erittäin tärkeää, kun ranskalainen sääntelijä tutki Clearview AI:tä (silloin kun he päättivät, että yritys ei aio pelata palloa vapaaehtoisesti ja määräsi heille 20 miljoonan euron sakot)…

…he myös havaitsivat, että yritys ei vain kerännyt heidän pitämäänsä biometrisiä tietoja ilman suostumusta.

He tekivät myös uskomattoman, tarpeettoman ja laittoman vaikeaksi ihmisten käyttää oikeuttaan (A) tietää, että heidän tietojaan on kerätty ja niitä käytetään kaupallisesti, ja (B) saada ne poistetuksi, jos he niin haluavat.

Nämä ovat oikeuksia, jotka monet maat ovat sisällyttäneet asetuksiinsa.

Luulen, että se on varmasti edelleen laissa Isossa-Britanniassa, vaikka olemme nyt Euroopan unionin ulkopuolella, ja se on osa tunnettua GDPR-asetusta Euroopan unionissa.

Jos en halua sinun säilyttävän tietojani, sinun on poistettava ne.

Ja ilmeisesti Clearview teki asioita, kuten sanoi: "No, jos meillä on ollut se yli vuoden, sen poistaminen on liian vaikeaa, joten se on vain dataa, jonka olemme keränneet viimeisen vuoden aikana."

DOUG.  Aaaaargh. [NAurua]

ANKKA.  Eli jos et huomaa tai huomaat vasta kahden vuoden kuluttua?

Liian myöhään!

Ja sitten he sanoivat: "Voi ei, saa kysyä vain kahdesti vuodessa."

Luulen, että kun ranskalaiset tutkivat asiaa, he havaitsivat myös, että ihmiset Ranskassa valittivat, että heidän piti kysyä yhä uudelleen ja uudelleen, ennen kuin he onnistuivat saamaan Clearview'n muistin tekemään mitään.

Joten kuka tietää, miten tämä päättyy, Doug?

DOUG.  Nyt on hyvä hetki kuulla useiden lukijoiden mielipiteitä.

Kirjoitamme yleensä viikon kommenttimme yhdeltä lukijalta, mutta kysyit tämän artikkelin lopussa:

Jos olisit {kuningatar, kuningas, presidentti, korkein velho, kunniakas johtaja, päätuomari, päätuomari, tietosuojavaltuutettu} ja voisit korjata tämän ongelman {sauvan aallon, kynän lyönnillä, valtikkasi ravistelulla , jedien ajatustemppu}…

…miten ratkaisisit tämän erimielisyyden?

Ja muutama lainaus kommentoijiltamme:

  • "Pois päänsä kanssa."
  • "Yritysten kuolemanrangaistus."
  • "Luokittele heidät rikollisjärjestöiksi."
  • "Korkeammat työntekijät pitäisi saada vankilaan, kunnes yritys täyttää vaatimukset."
  • "Julistaa asiakkaat salaliittolaisiksi."
  • "Hakkeroi tietokanta ja poista kaikki."
  • "Luo uusia lakeja."

Ja sitten James poistuu selästä sanoen: "Pieruun yleiseen suuntaan. Äitisi oli amsteri, ja isäsi haisi seljanmarjoilta. [MONTY PYTHON JA PYHÄ GRAALI VIITTAUS]

Se voi mielestäni olla kommentti väärään artikkeliin.

Luulen, että artikkelissa "Whodunnit?" oli Monty Python -lainaus. artikla.

Mutta, James, kiitos, että hyppäsit siihen loppuun…

ANKKA.  [NAURA] Ei todellakaan pitäisi nauraa.

Eikö yksi kommentoijistamme sanonut: "Hei, hae Interpolin punaista ilmoitusta? [ERINOMAINEN KANSAINVÄLINEN PIDÄTYSLUOMUS]

DOUG.  Kyllä!

No, hienoa… kuten meillä on tapana tehdä, pidämme tätä silmällä, koska voin vakuuttaa, että tämä ei ole vielä ohi.

Jos sinulla on mielenkiintoinen tarina, kommentti tai kysymys, jonka haluat lähettää, luemme mielellämme podcastista.

Voit lähettää sähköpostia tips@sophos.com, voit kommentoida mitä tahansa artikkeleistamme tai voit ottaa meihin yhteyttä sosiaalisessa mediassa: @NakedSecurity.

Se on tämän päivän esitys; kiitos paljon kuuntelusta.

Paul Ducklinille olen Doug Aamoth, joka muistuttaa sinua seuraavaan kertaan asti…

Molemmat.  Pysy turvassa!

[MUSIIKKIMODEEMI]

Aikaleima:

Lisää aiheesta Naked Security