S3 Ep135: Sysadmin nappal, zsaroló éjjel

S3 Ep135: Sysadmin nappal, zsaroló éjjel

Időbélyeg: 18. május 2023. 2:48
Forrás csomópont: 2662163
by

EGY bennfentes TÁMADÁS (AHOL ELFOGADTAK A SZÁRMAZÓT)

Nincs lent audiolejátszó? Hallgat közvetlenül a Soundcloudon.

Doug Aamoth-tal és Paul Ducklinnal. Intro és outro zene szerzője Edith Mudge.

Tovább hallgathatsz minket Soundcloudon, Apple Podcastok, Google Podcastok, Spotify, Fűzőgép és bárhol, ahol jó podcastok találhatók. Vagy csak dobd le a RSS hírfolyamunk URL-je a kedvenc podcatcheredbe.

OLVASSA EL AZ ÍRÁST

DOUG.  A munkahelyeken belül, az arcfelismerés és az „S” az „IoT”-ben továbbra is a „security”-t jelenti.

Mindez, és még sok más, a Naked Security podcastban.

[ZENEI MODEM]

Üdvözlünk mindenkit a podcastban.

Doug Aamoth vagyok; ő Paul Ducklin.

Paul, hogy vagy ma?

KACSA.  Nagyon jól, Doug.

Ismered a jelmondatodat: „Figyelni fogunk rá”?

DOUG.  [NEVETÉS] Ho, ho, ho!

KACSA.  Sajnos ezen a héten több olyan dolog is van, amire „figyeltünk”, és még mindig nem lett jó a vége.

DOUG.  Igen, ezen a héten egy érdekes és nem hagyományos felállásunk van.

Menjünk bele.

De először kezdjük a sajátunkkal Ezen a héten a technikatörténetben szegmensben.

Ezen a héten, 19. május 1980-én jelentették be az Apple III-at.

1980 novemberében szállítják ki, ekkor hívták vissza az első 14,000 XNUMX Apple III-at.

A gépet 1981 novemberében mutatják be újra.

Röviden, az Apple III bukott volt.

Az Apple társalapítója, Steve Wozniak a gép kudarcát annak tulajdonította, hogy mérnökök helyett marketingesek tervezték.

Jaj!

KACSA.  Nem tudom, mit mondjak erre, Doug. [NEVETÉS]

Megpróbálok nem pofázni, mint magát technológusnak és nem piacvezetőnek tartó ember.

Úgy gondolom, hogy az Apple III-nak az volt a célja, hogy jól nézzen ki, és jól nézzen ki, és az Apple II sikerét akarta kihasználni.

De úgy tudom, hogy az Apple III (A) nem tudta futtatni az összes Apple II programot, ami egy kicsit visszafelé kompatibilitási csapás volt, és (B) egyszerűen nem volt elég bővíthető, mint az Apple II.

Nem tudom, hogy ez városi legenda-e vagy sem…

…de azt olvastam, hogy a korai modellek chipjeit nem helyezték el megfelelően a gyárban, és a problémákat jelző címzetteknek azt mondták, hogy emeljék fel a számítógép elejét néhány centiméterrel az asztalukról, és hagyják, hogy visszazuhanjon.

[NEVETÉS]

Ez a forgácsokat a helyükre ütné, ahogyan az első helyen kellett volna.

Ami látszólag működött, de nem volt a legjobb reklám a termék minőségét illetően.

DOUG.  Pontosan.

Rendben, menjünk bele az első történetünkbe.

Ez egy figyelmeztető mese arról, hogy milyen rossz belső fenyegetések lehet, és talán milyen nehéz is lehet őket kihozni, Paul.

Ki mit gondol? Cybercrook 6 évet kap azért, mert váltságdíjat fizetett saját munkaadójától

KACSA.  Valóban az, Douglas.

És ha a történetet keresed nakedsecurity.sophos.com, ez a felirat, „Ki nem? Cybercrook hat évet kap azért, mert váltságdíjat fizetett saját munkaadójától.”

És megvan a bátorság a történethez.

DOUG.  Nem szabad nevetni, de… [NEvet]

KACSA.  Ez egyfajta vicces és vicces.

Mert ha megnézzük, hogyan bontakozott ki a támadás, alapvetően ez volt:

„Hé, valaki betört; nem tudjuk, mi volt az a biztonsági rés, amit használtak. Lépjünk akcióba, és próbáljuk meg kideríteni.”

"Óh ne! A támadóknak sikerült rendszergazdai jogokat szerezniük!”

"Óh ne! Gigabájtnyi bizalmas adatot szívtak fel!”

"Óh ne! Elrontották a rendszernaplókat, így nem tudjuk, mi történik!”

"Óh ne! Most 50 bitcoint követelnek (ami akkoriban körülbelül 2,000,000 2 XNUMX USD volt), hogy elhallgattassák a dolgokat… nyilvánvalóan nem fogunk XNUMX millió dollárt fizetni csendes munkaként.”

És bingó, a szélhámos elment, és megtette azt a hagyományos dolgot, hogy kiszivárogtatta az adatokat a sötét weben, lényegében elbizonytalanította a céget.

És sajnos a kérdés: "Kinek?" válaszolta: A cég egyik saját rendszergazdája.

Valójában az egyik ember, akit besoroztak a csapatba, hogy megpróbálják megtalálni és kiutasítani a támadót.

Tehát a szó szoros értelmében úgy tett, mintha nappal harcolna a támadóval, éjjel pedig 2 millió dolláros zsarolásról tárgyalna.

És ami még rosszabb, Doug, úgy tűnik, hogy amikor gyanakodtak rá…

…amit meg is tettek, legyünk igazságosak a céggel szemben.

(Nem fogom megmondani, hogy ki volt, nevezzük őket Company-1-nek, ahogy az Egyesült Államok Igazságügyi Minisztériuma tette, bár a személyazonosságuk elég jól ismert.)

Ingatlanát átkutatták, és a jelek szerint a kezükbe került a laptop, amelyről később kiderült, hogy a bűncselekményhez használták.

Kihallgatták, ezért „a támadás a védekezés legjobb formája” eljárásba kezdett, bejelentőnek adta ki magát, és valamilyen alteregó alatt felvette a kapcsolatot a médiával.

Teljesen hamis történetet adott arról, hogyan történt a jogsértés – hogy rossz volt az Amazon Web Services biztonsága, vagy valami hasonló.

Így sok szempontból sokkal rosszabbnak tűnt, mint amilyen volt, és a cég részvényeinek árfolyama meglehetősen csúnyán zuhant.

Mindenesetre leeshetett volna, amikor arról szóltak a hírek, hogy megsértették őket, de minden bizonnyal úgy tűnik, mindent megtett, hogy sokkal rosszabbnak tűnjön, hogy elterelje magáról a gyanút.

Ami szerencsére nem sikerült.

Elítélték (jó, bűnösnek vallotta magát), és ahogy a címben is mondtuk, hat év börtönt kapott.

Aztán három év feltételes szabadság, és vissza kell fizetnie 1,500,000 XNUMX XNUMX dollár büntetést.

DOUG.  Ezt nem lehet kitalálni!

Remek tanács ebben a cikkben… három tanács található.

Imádom ezt az elsőt: Oszd meg és uralkodj.

Mit akarsz ezzel mondani, Paul?

KACSA.  Nos, úgy tűnik, hogy ebben az esetben ennek az egyénnek túl sok hatalma volt a saját kezében.

Úgy tűnik, képes volt ennek a támadásnak minden apró részét megtörténni, beleértve azt is, hogy utána bement, és a naplókkal rontott, és megpróbálta úgy nézni, mintha a társaságban más emberek csinálták volna.

(Tehát, hogy megmutassa, milyen borzasztóan kedves fickó – megpróbálta a munkatársait is összevarrni, hogy bajba kerüljenek.)

De ha bizonyos kulcsfontosságú rendszertevékenységekhez két ember engedélyére van szükség, ideális esetben akár két különböző részlegről, mint például amikor egy bank nagy pénzmozgást hagy jóvá, vagy amikor egy fejlesztőcsapat úgy dönt: „Nézzük meg, hogy ez a kód elég jó; ráveszünk valakit arra, hogy tárgyilagosan és függetlenül nézze meg”…

…ez sokkal nehezebbé teszi egy magányos bennfentes számára, hogy bemutassa ezeket a trükköket.

Mert össze kell egyezniük mindenkivel, hogy útközben közös felhatalmazásra van szükségük.

DOUG.  OK.

És ugyanezen a vonalon: Tartsa megváltoztathatatlan naplókat.

Az egy jó.

KACSA.  Igen.

A hosszú emlékekkel rendelkező hallgatók felidézhetik a WORM meghajtókat.

Régen nagyon jók voltak: Írj egyszer, olvass sokat.

Természetesen rendszernaplókhoz abszolút ideálisnak hirdették, mert írhatsz rájuk, de soha nem *írhatod át*.

Valójában nem hiszem, hogy szándékosan így tervezték volna… [NEvet] Csak azt hiszem, hogy még senki sem tudta, hogyan lehet újraírhatóvá tenni őket.

De kiderült, hogy ez a fajta technológia kiválóan alkalmas naplófájlok tárolására.

Ha emlékszik a korai CD-R-ekre, felvehető CD-kre – hozzáadhat egy új munkamenetet, így mondjuk 10 perc zenét rögzíthet, majd később hozzáadhat további 10 perc zenét vagy további 100 MB adatot, de nem tehette. menj vissza és írd át az egészet.

Tehát, ha egyszer bezártad, valakinek, aki össze akart keverni a bizonyítékokkal, vagy meg kell semmisítenie az egész CD-t, hogy láthatóan kimaradjon a bizonyítékok láncolatából, vagy más módon megsérülnie kell.

Nem tudták elvenni azt az eredeti lemezt és átírni a tartalmát, így az másképp jelenik meg.

És természetesen mindenféle technika létezik, amellyel ezt megteheti a felhőben.

Ha úgy tetszik, ez az „oszd meg és uralkodj” érme másik oldala.

Azt akarod mondani, hogy sok rendszergazdád, sok rendszerfeladatod, sok démonod vagy szolgáltatási folyamatod van, amelyek naplózási információkat generálhatnak, de elküldik őket valahova, ahol valódi akarat és együttműködés kell ezek létrehozásához. a rönkök eltűnnek, vagy máshogy néznek ki, mint amilyenek az eredeti létrehozásukkor voltak.

DOUG.  És végül, de nem utolsósorban: Mindig mérj, soha ne feltételezz.

KACSA.  Teljesen.

Úgy tűnik, hogy ebben az esetben az 1-es vállalat végül ezekből a dolgokból legalább néhányat kezelt.

Mert ezt a fickót az FBI azonosította és kihallgatta... Azt hiszem, körülbelül két hónapon belül a támadása után.

És a nyomozás nem megy egyik napról a másikra – a házkutatáshoz parancs kell, és valószínű ok szükséges.

Úgy tűnik tehát, hogy helyesen cselekedtek, és nem csak vakon bíztak benne, csak azért, mert azt mondta, hogy megbízható.

A bűnei a mosás során derültek ki.

Ezért fontos, hogy senkit ne tartson gyanún felül állónak.

DOUG.  OK, haladjunk tovább.

A szerkentyűgyártó Belkin forró vízben van, és alapvetően azt mondja: „Az élettartam vége a frissítések végét jelenti” az egyik népszerű intelligens csatlakozójához.

Belkin Wemo Smart Plug V2 – a puffer túlcsordulása, amely nem lesz javítva

KACSA.  Úgy tűnik, ez meglehetősen rossz válasz volt Belkintől.

PR-szempontból persze nem sok barátot szerzett, mert a készülék jelen esetben az úgynevezett okos csatlakozók közé tartozik.

Kapsz egy Wi-Fi-kompatibilis kapcsolót; némelyikük mérni fogja a teljesítményt és más hasonló dolgokat is.

Tehát az ötlet az, hogy ezután rendelkezhet egy alkalmazással vagy webes felülettel, vagy valamivel, ami be- és kikapcsolja a fali konnektort.

Kicsit iróniás tehát, hogy a hiba egy olyan termékben van, amit ha feltörnek, akkor valaki alapvetően be- és kikapcsolja a kapcsolót, amibe esetleg egy készülék csatlakozik.

Azt hiszem, Belkin helyében azt mondanám: „Nézd, mi már nem támogatjuk ezt, de ebben az esetben… igen, kinyomunk egy foltot.”

És ez egy puffer túlcsordulás, Doug, egyszerű és egyszerű.

[NEvet] Ó, kedves…

Amikor csatlakoztatja az eszközt, egyedi azonosítóval kell rendelkeznie, hogy megjelenjen az alkalmazásban, mondjuk a telefonon… ha három ilyen van a házban, akkor nem szeretné, hogy mindet felhívják. Belkin Wemo plug.

Meg akarja változtatni ezt, és fel kell tenni azt, amit Belkin „barátságos névnek” hív.

Tehát belép a telefonos alkalmazással, és beírja a kívánt új nevet.

Nos, úgy tűnik, hogy magán az eszközön van egy 68 karakteres puffer az alkalmazásban az új névhez… de nincs ellenőrzés, hogy ne írjon be 68 bájtnál hosszabb nevet.

Talán ostoba módon a rendszert építő emberek úgy döntöttek, elég jó, ha egyszerűen megnézik, hogy milyen hosszú a név *amelyet beírt a telefonjába, amikor az alkalmazást használta a név megváltoztatására*: „Kerüljük a küldést. eleve túl hosszú nevek.”

És valóban, a telefonos alkalmazásban láthatóan nem is lehet 30 karakternél többet beírni, tehát rendkívül biztonságosak.

Nagy probléma!

Mi a teendő, ha a támadó úgy dönt, hogy nem használja az alkalmazást? [NEVETÉS]

Mi van, ha saját maguk által írt Python-szkriptet használnak…

DOUG.  Hááát! [IRONIKUS] Miért tennék ezt?

KACSA.  …ez nem zavarja a 30 vagy 68 karakteres korlát ellenőrzését?

És pontosan ezt tették ezek a kutatók.

És rájöttek, hogy mivel van egy verempuffer túlcsordulás, szabályozni tudják egy éppen használt függvény visszatérési címét.

Elegendő próbálkozással és hibával képesek voltak a végrehajtást a szakzsargonban saját választásuk szerint „shellcode”-nak nevezni.

Nevezetesen, futtathattak egy rendszerparancsot, amely a wget parancsot, amely letöltött egy szkriptet, futtathatóvá tette és lefuttatta.

DOUG.  Jól van…

…van néhány tanács a cikkben.

Ha rendelkezik ezen intelligens csatlakozók egyikével, Nézd meg azt.

Azt hiszem, itt az a nagyobb kérdés, ha feltételezzük, hogy Belkin betartja azt az ígéretüket, hogy nem javítják ezt… [HANGOS nevetés]

...alapvetően mennyire nehéz ez a megoldás, Paul?

Vagy jó PR lenne betömni ezt a lyukat?

KACSA.  Hát nem tudom.

Lehet, hogy sok más alkalmazás is létezik, amelyet ugyanígy kell megjavítani.

Szóval lehet, hogy nem akarják ezt megtenni, mert attól tartanak, hogy valaki azt mondja: „Nos, ássunk mélyebbre.”

DOUG.  Csúszós lejtő…

KACSA.  Úgy értem, ez rossz ok lenne arra, hogy ne tegye meg.

Gondoltam volna, tekintve, hogy ez mára jól ismert, és mivel elég egyszerű megoldásnak tűnik…

…csak (A) fordítsa újra az alkalmazásokat a bekapcsolt veremvédelemmel rendelkező eszközhöz, ha lehetséges, és (B) legalább ebben a „barátságos név” megváltoztató programban ne engedélyezzen 68 karakternél hosszabb neveket!

Nem tűnik jelentős javításnak.

Bár természetesen ezt a javítást kódolni kell; felül kell vizsgálni; tesztelni kell; új verziót kell készíteni és digitálisan aláírni.

Ezután mindenkinek fel kell ajánlani, és sokan észre sem veszik, hogy elérhető.

És mi van, ha nem frissítik?

Jó lenne, ha azok, akik ismerik ezt a problémát, kapnának egy javítást, de az még várat magára, hogy a Belkin elvárja-e tőlük, hogy egyszerűen frissítsenek egy újabb termékre.

DOUG.  Rendben, a frissítésekkel kapcsolatban…

…amint mondjuk, figyelemmel kísértük ezt a történetet.

Már többször beszéltünk róla: Clearview AI.

Zut alors! Raclage crapuleux! A Clearview AI 20%-kal nagyobb bajban van Franciaországban

Franciaország szem előtt tartja ezt a céget, mert ismételten dacol, és szinte nevetséges, hogy ez mennyire rosszra fordult.

Tehát ez a cég lekaparja a fényképeket az internetről, és leképezi őket a megfelelő embereikre, a bűnüldöző pedig mintegy ezt a keresőt használja az emberek megkeresésére.

Más országoknak is voltak problémái ezzel, de Franciaország azt mondta: „Ez személyazonosító adat. Ez egy személyazonosításra alkalmas információ."

KACSA.  Igen.

DOUG.  "Clearview, kérlek, hagyd abba ezt."

Clearview pedig nem is válaszolt.

Így 20 millió eurós bírságot kaptak, és csak folytatták…

És Franciaország azt mondja: „Rendben, ezt nem teheti meg. Azt mondtuk, hogy hagyd abba, így még jobban le fogunk szállni rád. Minden nap 100,000 5,200,000 eurót fogunk felszámítani öntől”… és olyannyira visszadátumozták, hogy az már eléri az XNUMX XNUMX XNUMX eurót.

És Clearview egyszerűen nem válaszol.

Csak még azt sem veszi tudomásul, hogy van probléma.

KACSA.  Úgy tűnik, minden bizonnyal így bontakozik ki, Doug.

Érdekes, és véleményem szerint teljesen ésszerűen és nagyon fontos, amikor a francia szabályozó megvizsgálta a Clearview AI-t (akkor úgy döntöttek, hogy a cég nem fog önként labdázni, és 20 millió eurós bírságot szabtak ki rájuk)…

…arra is rájöttek, hogy a vállalat nem csak az általuk biometrikusnak tekintett adatokat gyűjti beleegyezés nélkül.

Ezenkívül hihetetlenül, szükségtelenül és jogellenesen megnehezítették az emberek számára, hogy éljenek azzal a jogukkal, hogy (A) tudják, hogy adataikat összegyűjtötték és kereskedelmi céllal használják fel, valamint (B) hogy töröljék azokat, ha úgy kívánják.

Ezek olyan jogok, amelyeket sok ország rögzít a rendeleteiben.

Azt hiszem, ez minden bizonnyal még mindig benne van a törvényben az Egyesült Királyságban, annak ellenére, hogy most az Európai Unión kívül vagyunk, és része az Európai Unió jól ismert GDPR-szabályozásának.

Ha nem akarom, hogy megtartsa az adataimat, akkor törölnie kell azokat.

És láthatóan Clearview olyan dolgokat csinált, mint például: „Ó, hát, ha már több mint egy éve megvan, túl nehéz eltávolítani, ezért csak az elmúlt évben gyűjtött adatokról van szó.”

DOUG.  Aaaaargh. [NEvet]

KACSA.  Szóval, ha nem veszed észre, vagy csak két év után veszed észre?

Túl késő!

Aztán azt mondták: "Ó, nem, évente csak kétszer szabad kérdezni."

Azt hiszem, amikor a franciák nyomozást folytattak, azt is megállapították, hogy Franciaországban az emberek arról panaszkodnak, hogy újra és újra és újra meg kell kérdezniük, mielőtt Clearview memóriáját egyáltalán nem csinálták volna.

Szóval ki tudja, mi lesz ennek a vége, Doug?

DOUG.  Jó alkalom arra, hogy több olvasót is hallgasson.

Általában egy olvasótól tesszük meg a heti megjegyzésünket, de Ön a cikk végén megkérdezte:

Ha Ön {királynő, király, elnök, legfelsőbb varázsló, dicsőséges vezető, főbíró, vezető döntőbíró, adatvédelmi főbiztos} lenne, és meg tudná oldani ezt a problémát egy {pálcád legyintésével, tollvonással, jogar rázásával , egy Jedi elmetrükk}…

…hogyan oldanád meg ezt a kiállást?

És hogy csak idézzünk kommentelőinktől:

  • – Le a fejükkel.
  • "Vállalati halálbüntetés."
  • "Minősítsd őket bűnszervezetként."
  • "A magasabb beosztásúakat börtönbe kell zárni, amíg a cég eleget nem tesz."
  • "Nyilvánítsa az ügyfeleket összeesküvőknek."
  • "Feltörd fel az adatbázist, és törölj mindent."
  • – Hozzunk létre új törvényeket.

Aztán James leszáll a lóról: „Fingom az általános irányzatodban. Anyád amszter volt, apád pedig bodza illatú volt. [MONTY PYTHON ÉS A SZENT GRÁL CÉLZÁS]

Ez szerintem egy rossz cikkhez fűzött megjegyzés lehet.

Azt hiszem, volt egy Monty Python-idézet a „Whodunnit?”-ban. cikk.

De James, köszönöm, hogy beugrott a végére…

KACSA.  [NEVETÉS] Nem igazán szabad nevetni.

Egyik kommentelőnk nem azt mondta: „Hé, kérjen Interpol Red Notice-t? [EGY NEMZETKÖZI ELFOGYASZTÁSI PARANCS]

DOUG.  Igen!

Nos, nagyszerű… ahogy megszoktuk, folyamatosan figyelni fogjuk ezt, mert biztosíthatom, hogy ennek még nincs vége.

Ha van egy érdekes története, megjegyzése vagy kérdése, amelyet fel szeretne tenni, szívesen olvassuk a podcastban.

Írhat e-mailt a tips@sophos.com címre, kommentálhatja bármelyik cikkünket, vagy felkereshet minket a közösségi oldalon: @NakedSecurity.

Ez a mai műsorunk; köszönöm szépen, hogy meghallgattál.

Paul Ducklin számára Doug Aamoth vagyok, és emlékeztetem Önt a következő alkalomig, hogy…

MINDKÉT.  Maradjon biztonságban!

[ZENEI MODEM]

Időbélyeg:

Még több Meztelen biztonság