S3 Ep135 : Administrateur système le jour, extorqueur la nuit

S3 Ep135 : Administrateur système le jour, extorqueur la nuit

Horodatage: 18 mai 2023 2:48
Nœud source: 2662163
by

UNE ATTAQUE D'INITIÉS (OÙ LE PERP A ÉTÉ PRIS)

Pas de lecteur audio ci-dessous ? Écouter directement sur Soundcloud.

Avec Doug Aamoth et Paul Ducklin. Musique d'intro et d'outro par Edith Mud.

Vous pouvez nous écouter sur Soundcloud, Podcasts Apple, Podcasts Google, Spotify, piqueur et partout où l'on trouve de bons podcasts. Ou déposez simplement le URL de notre flux RSS dans votre podcatcher préféré.

LIRE LA TRANSCRIPTION

DOUG.  Les emplois internes, la reconnaissance faciale et le « S » dans « IoT » signifient toujours « sécurité ».

Tout cela, et plus encore, sur le podcast Naked Security.

[MODÈME MUSICAL]

Bienvenue sur le podcast, tout le monde.

Je suis Doug Aamoth ; c'est Paul Ducklin.

Paul, comment vas-tu aujourd'hui ?

CANARD.  Très bien, Doug.

Vous connaissez votre slogan, "Nous garderons un œil là-dessus" ?

DOUG.  [RIRE] Ho, ho, ho !

CANARD.  Malheureusement, il y a plusieurs choses cette semaine sur lesquelles nous avons «gardé un œil», et elles ne se sont toujours pas bien terminées.

DOUG.  Oui, nous avons une sorte de programmation intéressante et non traditionnelle cette semaine.

Allons-y.

Mais d'abord, nous allons commencer par notre Cette semaine dans l'histoire de la technologie segment.

Cette semaine, le 19 mai 1980, l'Apple III a été annoncé.

Il serait expédié en novembre 1980, date à laquelle les 14,000 XNUMX premiers Apple III hors ligne ont été rappelés.

La machine sera réintroduite en novembre 1981.

Pour faire court, l'Apple III était un flop.

Le co-fondateur d'Apple, Steve Wozniak, a attribué l'échec de la machine au fait qu'elle a été conçue par des spécialistes du marketing plutôt que par des ingénieurs.

Aie!

CANARD.  Je ne sais pas quoi répondre à ça, Doug. [RIRE]

J'essaie de ne pas sourire en coin, en tant que personne qui se considère comme un technologue et non comme un marchand.

Je pense que l'Apple III était censé être beau et cool, et qu'il était censé capitaliser sur le succès de l'Apple II.

Mais je crois comprendre que l'Apple III (A) ne pouvait pas exécuter tous les programmes Apple II, ce qui était un peu un coup de rétrocompatibilité, et (B) n'était tout simplement pas assez extensible comme l'était l'Apple II.

Je ne sais pas si c'est une légende urbaine ou pas...

… mais j'ai lu que les premiers modèles n'avaient pas leurs puces correctement installées dans l'usine, et que les destinataires qui signalaient des problèmes devaient soulever l'avant de l'ordinateur de leur bureau de quelques centimètres et le laisser retomber.

[RIRE]

Cela mettrait les jetons en place, comme ils auraient dû l'être en premier lieu.

Ce qui a apparemment fonctionné, mais n'était pas le meilleur type de publicité pour la qualité du produit.

DOUG.  Exactement.

Très bien, entrons dans notre première histoire.

Ceci est un récit édifiant sur la gravité menaces internes peuvent être, et peut-être aussi à quel point ils peuvent être difficiles à réaliser, Paul.

Whodunnit? Cybercriminel écope de 6 ans pour avoir rançonné son propre employeur

CANARD.  C'est vrai, Douglas.

Et si vous cherchez l'histoire sur nudesecurity.sophos.com, c'est celui qui est légendé, "                        ? Cybercrook écope de 6 ans pour avoir rançonné son propre employeur.

Et là vous avez les tripes de l'histoire.

DOUG.  Je ne devrais pas rire, mais… [RIRES]

CANARD.  C'est un peu drôle et pas drôle.

Parce que si vous regardez comment l'attaque s'est déroulée, c'était essentiellement :

« Hé, quelqu'un est cambriolé ; nous ne savons pas quelle était la faille de sécurité qu'ils ont utilisée. Passons à l'action et essayons de le découvrir.

"Oh non! Les attaquants ont réussi à obtenir des pouvoirs d'administrateur système !

"Oh non! Ils ont aspiré des gigaoctets de données confidentielles !

"Oh non! Ils ont dérangé les journaux système, nous ne savons donc pas ce qui se passe !"

"Oh non! Maintenant, ils exigent 50 bitcoins (ce qui à l'époque était d'environ 2,000,000 2 XNUMX $ US) pour garder les choses tranquilles… évidemment, nous n'allons pas payer XNUMX millions de dollars pour un travail silencieux.

Et, bingo, l'escroc est allé faire cette chose traditionnelle de divulguer les données sur le dark web, en gros doxxing l'entreprise.

Et, malheureusement, la question "Whodunnit?" a reçu la réponse de : l'un des administrateurs système de l'entreprise.

En fait, l'une des personnes qui avait été enrôlée dans l'équipe pour essayer de trouver et d'expulser l'agresseur.

Il faisait donc littéralement semblant de combattre cet attaquant le jour et négociait un paiement de chantage de 2 millions de dollars la nuit.

Et pire encore, Doug, il semblerait que, lorsqu'ils se sont méfiés de lui…

… ce qu'ils ont fait, soyons justes envers l'entreprise.

(Je ne vais pas dire de qui il s'agissait ; appelons-les Company-1, comme l'a fait le ministère américain de la Justice, bien que leur identité soit assez connue.)

Sa propriété a été fouillée et, apparemment, ils ont mis la main sur l'ordinateur portable qui s'est avéré plus tard avoir été utilisé pour commettre le crime.

Ils l'ont interrogé, alors il s'est engagé dans une procédure «l'infraction est la meilleure forme de défense», a prétendu être un lanceur d'alerte et a contacté les médias sous un alter ego.

Il a raconté toute une fausse histoire sur la façon dont la violation s'était produite – qu'il s'agissait d'une mauvaise sécurité sur Amazon Web Services, ou quelque chose comme ça.

Cela a donc semblé, à bien des égards, bien pire qu'il ne l'était, et le cours de l'action de la société a chuté assez gravement.

Il a peut-être chuté de toute façon quand on a appris qu'ils avaient été piratés, mais il semble certainement qu'il ait fait tout son possible pour que cela paraisse bien pire afin de détourner les soupçons de lui-même.

Ce qui, heureusement, n'a pas fonctionné.

Il * a * été condamné (enfin, il a plaidé coupable) et, comme nous l'avons dit dans le titre, il a été condamné à six ans de prison.

Puis trois ans de libération conditionnelle, et il doit rembourser une amende de 1,500,000 XNUMX XNUMX $.

DOUG.  Vous ne pouvez pas inventer ce genre de choses !

De bons conseils dans cet article… il y a trois conseils.

J'adore ce premier : Diviser et conquérir.

Que veux-tu dire par là, Paul ?

CANARD.  Eh bien, il semble que, dans ce cas, cet individu avait trop de pouvoir concentré entre ses propres mains.

Il semble qu'il ait été capable de faire en sorte que chaque petite partie de cette attaque se produise, y compris d'entrer par la suite et de jouer avec les journaux et d'essayer de donner l'impression que d'autres personnes de l'entreprise l'ont fait.

(Donc, juste pour montrer à quel point il était terriblement gentil - il a également essayé de recoudre ses collègues, pour qu'ils aient des ennuis.)

Mais si vous faites en sorte que certaines activités clés du système nécessitent l'autorisation de deux personnes, idéalement même de deux départements différents, comme lorsque, disons, une banque approuve un gros mouvement d'argent, ou lorsqu'une équipe de développement décide : « Voyons si cela le code est assez bon; nous demanderons à quelqu'un d'autre de l'examiner de manière objective et indépendante »…

… cela rend beaucoup plus difficile pour un initié solitaire de réussir toutes ces astuces.

Parce qu'ils devraient s'entendre avec tout le monde pour avoir besoin d'une co-autorisation en cours de route.

DOUG.  D'ACCORD.

Et dans le même sens : Conservez des journaux immuables.

C'en est une bonne.

CANARD.  Oui.

Les auditeurs avec de longues mémoires peuvent se souvenir des lecteurs WORM.

Ils étaient tout à fait à la mode à l'époque : écrire une fois, lire plusieurs.

Bien sûr, ils ont été présentés comme absolument idéaux pour les journaux système, car vous pouvez y écrire, mais vous ne pouvez jamais les *réécrire*.

Maintenant, en fait, je ne pense pas qu'ils aient été conçus de cette façon exprès… [RIRES] Je pense juste que personne ne savait encore comment les rendre réinscriptibles.

Mais il s'avère que ce type de technologie était excellent pour conserver les fichiers journaux.

Si vous vous souvenez des premiers CD-R, CD-Recordables - vous pouvez ajouter une nouvelle session, de sorte que vous puissiez enregistrer, disons, 10 minutes de musique, puis ajouter encore 10 minutes de musique ou 100 Mo de données supplémentaires plus tard, mais vous ne pouviez pas revenir en arrière et réécrire le tout.

Donc, une fois que vous l'aviez enfermé, quelqu'un qui voulait jouer avec les preuves devrait soit détruire le CD entier pour qu'il soit visiblement absent de la chaîne de preuves, soit l'endommager d'une autre manière.

Ils ne pourraient pas prendre ce disque original et réécrire son contenu pour qu'il apparaisse différemment.

Et, bien sûr, il existe toutes sortes de techniques grâce auxquelles vous pouvez le faire dans le cloud.

Si vous voulez, c'est l'autre face de la médaille « diviser pour mieux régner ».

Ce que vous dites, c'est que vous avez beaucoup d'administrateurs système, beaucoup de tâches système, beaucoup de processus démons ou de service qui peuvent générer des informations de journalisation, mais ils sont envoyés quelque part où il faut un véritable acte de volonté et de coopération pour faire ces les journaux disparaissent ou ne ressemblent plus à ce qu'ils étaient lorsqu'ils ont été créés à l'origine.

DOUG.  Et puis le dernier mais certainement pas le moindre : Mesurez toujours, ne présumez jamais.

CANARD.  Absolument.

Il semble que la Compagnie-1 dans ce cas ait géré au moins une partie de toutes ces choses, en fin de compte.

Parce que ce type a été identifié et interrogé par le FBI… Je pense dans les deux mois environ après avoir fait son attaque.

Et les enquêtes ne se font pas du jour au lendemain – elles nécessitent un mandat pour la perquisition et elles nécessitent un motif probable.

Il semble donc qu'ils aient fait ce qu'il fallait et qu'ils n'aient pas simplement continué aveuglément à lui faire confiance simplement parce qu'il n'arrêtait pas de dire qu'il était digne de confiance.

Ses crimes sont sortis dans le lavage, pour ainsi dire.

Il est donc important que vous ne considériez personne comme étant au-dessus de tout soupçon.

DOUG.  OK, allons de l'avant.

Le fabricant de gadgets Belkin est dans l'eau chaude, disant en gros: "La fin de vie signifie la fin des mises à jour" pour l'une de ses prises intelligentes populaires.

Belkin Wemo Smart Plug V2 – le débordement de tampon qui ne sera pas patché

CANARD.  Cela semble avoir été une réponse plutôt médiocre de Belkin.

Certes, du point de vue des relations publiques, cela ne leur a pas valu beaucoup d'amis, car l'appareil dans ce cas est l'une de ces prises dites intelligentes.

Vous obtenez un commutateur compatible Wi-Fi; certains d'entre eux mesureront également la puissance et d'autres choses comme ça.

L'idée est donc que vous pouvez alors avoir une application, ou une interface Web, ou quelque chose qui allumera et éteindra une prise murale.

Il est donc un peu ironique que la faute se trouve dans un produit qui, s'il est piraté, pourrait amener quelqu'un à faire clignoter un interrupteur qui pourrait avoir un appareil branché dessus.

Je pense que si j'étais Belkin, j'aurais peut-être dit: «Écoutez, nous ne soutenons plus vraiment cela, mais dans ce cas… oui, nous allons publier un correctif.»

Et c'est un débordement de tampon, Doug, purement et simplement.

[RIRES] Oh, mon Dieu…

Lorsque vous branchez l'appareil, il doit avoir un identifiant unique pour qu'il s'affiche dans l'application, par exemple, sur votre téléphone… si vous en avez trois dans votre maison, vous ne voulez pas qu'ils soient tous appelés. Belkin Wemo plug.

Vous voulez changer cela et mettre ce que Belkin appelle un « nom convivial ».

Et donc vous entrez avec votre application téléphonique et vous tapez le nouveau nom que vous voulez.

Eh bien, il semble qu'il y ait un tampon de 68 caractères dans l'application sur l'appareil lui-même pour votre nouveau nom... mais rien ne vérifie que vous ne mettez pas un nom de plus de 68 octets.

Bêtement, peut-être, les personnes qui ont construit le système ont décidé qu'il suffirait de vérifier simplement la longueur du nom *que vous avez tapé dans votre téléphone lorsque vous avez utilisé l'application pour changer le nom* : "Nous éviterons d'envoyer des noms qui sont trop longs en premier lieu.

Et en effet, dans l'application pour téléphone, apparemment, vous ne pouvez même pas mettre plus de 30 caractères, ils sont donc extrêmement sûrs.

Gros problème!

Que se passe-t-il si l'attaquant décide de ne pas utiliser l'application ? [RIRE]

Et s'ils utilisent un script Python qu'ils ont écrit eux-mêmes…

DOUG.  Hummmmm ! [IRONIQUE] Pourquoi feraient-ils ça ?

CANARD.  …cela ne dérange pas de vérifier la limite de 30 ou 68 caractères ?

Et c'est exactement ce que ces chercheurs ont fait.

Et ils ont découvert, parce qu'il y avait un débordement de tampon de pile, qu'ils pouvaient contrôler l'adresse de retour d'une fonction qui était utilisée.

Avec suffisamment d'essais et d'erreurs, ils ont pu dévier l'exécution vers ce que l'on appelle dans le jargon le "shellcode" de leur choix.

Notamment, ils pouvaient exécuter une commande système qui exécutait le wget commande, qui téléchargeait un script, rendait le script exécutable et l'exécutait.

DOUG.  OK bien…

… nous avons quelques conseils dans l'article.

Si vous possédez l'une de ces prises intelligentes, Vérifiez cela.

Je suppose que la plus grande question ici est, en supposant que Belkin respecte sa promesse de ne pas résoudre ce problème… [LOUD LAUGHTER]

… En gros, à quel point est-ce difficile, Paul ?

Ou serait-ce une bonne communication de simplement boucher ce trou ?

CANARD.  Eh bien, je ne sais pas.

Il pourrait y avoir beaucoup d'autres applications auxquelles, oh, mon Dieu, elles doivent faire le même genre de correctif.

Donc, ils pourraient tout simplement ne pas vouloir le faire de peur que quelqu'un dise: «Eh bien, creusons plus profondément.»

DOUG.  Une pente glissante…

CANARD.  Je veux dire, ce serait une mauvaise raison de ne pas le faire.

J'aurais pensé, étant donné que c'est maintenant bien connu, et étant donné que cela semble être une solution assez facile…

…juste (A) recompilez les applications pour l'appareil avec la protection de la pile activée, si possible, et (B) au moins dans ce programme de changement de « nom convivial » particulier, n'autorisez pas les noms de plus de 68 caractères !

Cela ne semble pas être une solution majeure.

Bien que, bien sûr, ce correctif doive être codé; il doit être revu; il doit être testé; une nouvelle version doit être construite et signée numériquement.

Il doit alors être offert à tout le monde, et beaucoup de gens ne se rendront même pas compte qu'il est disponible.

Et s'ils ne se mettent pas à jour ?

Ce serait bien si ceux qui sont au courant de ce problème pouvaient obtenir un correctif, mais il reste à voir si Belkin s'attendra à ce qu'ils passent simplement à un produit plus récent.

DOUG.  Bon, au sujet des mises à jour…

… nous avons gardé un œil, comme on dit, sur cette histoire.

Nous en avons parlé plusieurs fois : Clearview AI.

Zut alors ! Raclage crapuleux ! Clearview AI en difficulté 20% de plus en France

La France a cette entreprise en ligne de mire pour un défi répété, et il est presque risible de voir à quel point cela a mal tourné.

Ainsi, cette société récupère des photos sur Internet et les associe à leurs humains respectifs, et les forces de l'ordre utilisent ce moteur de recherche, pour ainsi dire, pour rechercher des personnes.

D'autres pays ont également eu des problèmes avec cela, mais la France a déclaré: «C'est PII. Il s'agit d'informations personnellement identifiables.

CANARD.  Oui.

DOUG.  "Clearview, s'il te plait arrête de faire ça."

Et Clearview n'a même pas répondu.

Ils ont donc été condamnés à une amende de 20 millions d'euros, et ils ont continué...

Et la France dit : « OK, vous ne pouvez pas faire ça. On t'a dit d'arrêter, alors on va t'attaquer encore plus fort. Nous allons vous facturer 100,000 5,200,000 € tous les jours »… et ils l'ont antidaté au point que c'est déjà jusqu'à XNUMX XNUMX XNUMX €.

Et Clearview ne répond tout simplement pas.

Il ne s'agit même pas de reconnaître qu'il y a un problème.

CANARD.  Cela semble certainement être la façon dont cela se déroule, Doug.

Fait intéressant, et à mon avis tout à fait raisonnable et très important, lorsque le régulateur français s'est penché sur Clearview AI (à l'époque, ils ont décidé que l'entreprise n'allait pas jouer au ballon volontairement et leur ont infligé une amende de 20 millions d'euros)…

… ils ont également constaté que l'entreprise ne se contentait pas de collecter ce qu'ils considéraient comme des données biométriques sans obtenir le consentement.

Ils rendaient également incroyablement, inutilement et illégalement difficile pour les personnes d'exercer leur droit (A) de savoir que leurs données ont été collectées et sont utilisées à des fins commerciales, et (B) de les faire supprimer si elles le souhaitent.

Ce sont des droits que de nombreux pays ont inscrits dans leurs réglementations.

C'est certainement, je pense, toujours dans la loi au Royaume-Uni, même si nous sommes maintenant en dehors de l'Union européenne, et cela fait partie du règlement GDPR bien connu dans l'Union européenne.

Si je ne veux pas que vous conserviez mes données, vous devez les supprimer.

Et apparemment, Clearview faisait des choses comme dire: "Oh, eh bien, si nous l'avons depuis plus d'un an, il est trop difficile de le supprimer, donc ce ne sont que des données que nous avons collectées au cours de la dernière année."

DOUG.  Aaaaargh. [DES RIRES]

CANARD.  Donc, si vous ne vous en rendez pas compte ou si vous ne vous en rendez compte qu'au bout de deux ans ?

Trop tard!

Et puis ils ont dit : « Oh, non, tu n'as le droit de demander que deux fois par an.

Je pense que lorsque les Français ont enquêté, ils ont également découvert que les Français se plaignaient de devoir demander encore et encore et encore avant de réussir à rafraîchir la mémoire de Clearview pour qu'il fasse quoi que ce soit.

Alors qui sait comment ça va finir, Doug ?

DOUG.  C'est un bon moment pour entendre plusieurs lecteurs.

Nous faisons habituellement notre commentaire de la semaine d'un lecteur, mais vous avez demandé à la fin de cet article :

Si vous étiez {Queen, King, President, Supreme Wizard, Glorious Leader, Chief Judge, Lead Arbiter, High Commissioner of Privacy}, et que vous pouviez régler ce problème d'un {vaguement de votre baguette, coup de plume, secousse de votre sceptre , un tour de passe-passe Jedi}…

… comment résoudriez-vous cette impasse ?

Et pour tirer quelques citations de nos commentateurs :

  • "Enlevez leur têtes."
  • "Peine de mort corporative".
  • "Classez-les comme une organisation criminelle."
  • "Les supérieurs devraient être emprisonnés jusqu'à ce que l'entreprise se conforme."
  • "Déclarez que les clients sont des co-conspirateurs."
  • "Hackez la base de données et supprimez tout."
  • "Créer de nouvelles lois."

Et puis James met pied à terre avec : « Je pète dans ton sens général. Ta mère était une 'amster, et ton père sentait le sureau. [MONTY PYTHON ET LE SAINT GRAAL ALLUSION]

Ce qui, je pense, pourrait être un commentaire sur le mauvais article.

Je pense qu'il y avait une citation de Monty Python dans le "Whodunnit?" article.

Mais, James, merci d'être intervenu à la fin...

CANARD.  [RIRES] Je ne devrais pas vraiment rire.

L'un de nos commentateurs n'a-t-il pas dit : « Hé, demandez une notice rouge d'Interpol ? [UNE SORTE DE MANDAT D'ARRÊT INTERNATIONAL]

DOUG.  Oui!

Eh bien, super… comme nous avons l'habitude de le faire, nous garderons un œil là-dessus, car je peux vous assurer que ce n'est pas encore fini.

Si vous avez une histoire intéressante, un commentaire ou une question que vous aimeriez soumettre, nous serions ravis de lire sur le podcast.

Vous pouvez envoyer un e-mail à tips@sophos.com, commenter n'importe lequel de nos articles ou nous contacter sur les réseaux sociaux : @NakedSecurity.

C'est notre émission d'aujourd'hui; Merci beaucoup d'avoir écouté.

Pour Paul Ducklin, je suis Doug Aamoth, je vous rappelle jusqu'à la prochaine fois pour…

TOUS LES DEUX.  Restez en sécurité!

[MODÈME MUSICAL]

Horodatage:

Plus de Sécurité nue