S3 Ep135: Sysadmin di siang hari, pemeras di malam hari

Tidak ada pemutar audio di bawah? Mendengarkan langsung di Soundcloud.

ANJING.  Pekerjaan di dalam, pengenalan wajah, dan "S" di "IoT" masih berarti "keamanan".

Semua itu, dan banyak lagi, di podcast Naked Security.

[MODEM MUSIK]

Selamat datang di podcast, semuanya.

Saya Doug Aamoth; dia adalah Paul Ducklin.

Paulus, bagaimana kabarmu hari ini?

---

BEBEK.  Baiklah, Doug.

Anda tahu slogan Anda, "Kami akan mengawasinya"?

---

ANJING.  [TERTAWA] Ho, ho, ho!

---

BEBEK.  Sedihnya, ada beberapa hal minggu ini yang telah kami "awasi", dan masih belum berakhir dengan baik.

---

ANJING.  Ya, kami memiliki lineup yang menarik dan non-tradisional minggu ini.

Mari kita membahasnya.

Tapi pertama-tama, kita akan mulai dengan milik kita Minggu ini dalam Sejarah Teknologi segmen.

Minggu ini, pada 19 Mei 1980, Apple III diumumkan.

Itu akan dikirimkan pada November 1980, di mana 14,000 Apple III pertama yang keluar jalur ditarik kembali.

Mesin tersebut akan diperkenalkan kembali pada November 1981.

Singkat cerita, Apple III gagal.

Salah satu pendiri Apple, Steve Wozniak, mengaitkan kegagalan mesin tersebut dengan rancangan orang pemasaran, bukan insinyur.

Aduh!

---

BEBEK.  Aku tidak tahu harus berkata apa tentang itu, Doug. [TAWA]

Saya mencoba untuk tidak menyeringai, sebagai orang yang menganggap dirinya seorang teknolog dan bukan marketroid.

Saya pikir Apple III dimaksudkan untuk terlihat bagus dan terlihat keren, dan dimaksudkan untuk memanfaatkan kesuksesan Apple II.

Tetapi pemahaman saya adalah bahwa Apple III (A) tidak dapat menjalankan semua program Apple II, yang merupakan pukulan kompatibilitas mundur, dan (B) tidak cukup dapat diperluas seperti Apple II.

Saya tidak tahu apakah ini legenda urban atau bukan…

… tetapi saya telah membaca bahwa chip model awal tidak dipasang dengan benar di pabrik, dan bahwa penerima yang melaporkan masalah diminta untuk mengangkat bagian depan komputer dari meja mereka beberapa sentimeter dan membiarkannya jatuh kembali.

[TAWA]

Ini akan membenturkan chip ke tempatnya, seperti seharusnya di tempat pertama.

Yang tampaknya berhasil, tetapi bukan jenis iklan terbaik untuk kualitas produk.

---

ANJING.  Tepat.

Baiklah, mari kita masuk ke cerita pertama kita.

Ini adalah kisah peringatan tentang betapa buruknya ancaman dalam bisa, dan mungkin betapa sulitnya mereka melakukannya juga, Paul.

siapa? Cybercrook mendapat 6 tahun karena menebus majikannya sendiri

---

BEBEK.  Memang benar, Douglas.

Dan jika Anda sedang mencari cerita di telanjangsecurity.sophos.com, itu yang diberi judul, “Whodunnit? Cybercrook mendapat 6 tahun karena menebus majikannya sendiri.

Dan di sana Anda memiliki nyali cerita.

---

ANJING.  Seharusnya tidak tertawa, tapi… [TERTAWA]

---

BEBEK.  Ini agak lucu dan tidak lucu.

Karena jika Anda melihat bagaimana serangan itu terjadi, pada dasarnya adalah:

“Hei, seseorang masuk; kita tidak tahu lubang keamanan apa yang mereka gunakan. Mari beraksi dan mencoba mencari tahu.”

"Oh tidak! Penyerang telah berhasil mendapatkan kekuatan sysadmin!”

"Oh tidak! Mereka telah menyedot gigabyte data rahasia!”

"Oh tidak! Mereka mengacaukan log sistem jadi kami tidak tahu apa yang terjadi!”

"Oh tidak! Sekarang mereka menuntut 50 bitcoin (yang pada saat itu sekitar $2,000,000 AS) untuk menjaga kerahasiaan… jelas kami tidak akan membayar $2 juta sebagai pekerjaan rahasia.”

Dan, bingo, penjahat itu pergi dan melakukan hal tradisional dengan membocorkan data di web gelap, pada dasarnya menghancurkan perusahaan.

Dan, sayangnya, pertanyaan “Whodunnit?” dijawab oleh: Salah satu sysadmin perusahaan itu sendiri.

Bahkan, salah satu orang yang telah direkrut ke dalam tim mencoba mencari dan mengusir penyerang.

Jadi dia benar-benar berpura-pura melawan penyerang ini di siang hari dan menegosiasikan pembayaran pemerasan $2 juta di malam hari.

Dan lebih buruk lagi, Doug, tampaknya, ketika mereka mulai curiga padanya...

… yang mereka lakukan, mari bersikap adil kepada perusahaan.

(Saya tidak akan mengatakan siapa itu; sebut saja mereka Perusahaan-1, seperti yang dilakukan Departemen Kehakiman AS, meskipun identitas mereka cukup terkenal.)

Harta miliknya digeledah, dan ternyata mereka mendapatkan laptop yang kemudian ternyata digunakan untuk melakukan kejahatan tersebut.

Mereka menanyainya, jadi dia melakukan proses "pelanggaran adalah bentuk pertahanan terbaik", dan berpura-pura menjadi pelapor dan menghubungi media dengan alasan alter ego.

Dia memberikan seluruh cerita palsu tentang bagaimana pelanggaran itu terjadi – bahwa itu adalah keamanan yang buruk di Amazon Web Services, atau sesuatu seperti itu.

Jadi tampaknya, dalam banyak hal, jauh lebih buruk daripada sebelumnya, dan harga saham perusahaan anjlok cukup parah.

Itu mungkin tetap turun ketika ada berita bahwa mereka telah dilanggar, tetapi tampaknya dia berusaha keras untuk membuatnya tampak jauh lebih buruk untuk menangkis kecurigaan dari dirinya sendiri.

Yang untungnya tidak berhasil.

Dia * memang * dihukum (ya, dia mengaku bersalah), dan, seperti yang kami katakan di tajuk utama, dia mendapat enam tahun penjara.

Kemudian tiga tahun pembebasan bersyarat, dan dia harus membayar kembali denda sebesar $1,500,000.

---

ANJING.  Anda tidak dapat mengarang hal ini!

Nasihat bagus dalam artikel ini… ada tiga nasihat.

Saya suka yang pertama ini: Memecah dan menaklukkan.

Apa maksudmu dengan itu, paulus?

---

BEBEK.  Yah, tampaknya, dalam hal ini, individu ini memiliki terlalu banyak kekuatan yang terkonsentrasi di tangannya sendiri.

Tampaknya dia mampu membuat setiap bagian kecil dari serangan ini terjadi, termasuk masuk sesudahnya dan mengotak-atik log dan mencoba membuatnya terlihat seolah-olah orang lain di perusahaan melakukannya.

(Jadi, hanya untuk menunjukkan betapa dia orang yang sangat baik – dia memang mencoba dan menjahit rekan kerjanya juga, sehingga mereka mendapat masalah.)

Tetapi jika Anda membuat aktivitas sistem kunci tertentu memerlukan otorisasi dari dua orang, idealnya bahkan dari dua departemen yang berbeda, seperti ketika, katakanlah, sebuah bank menyetujui pergerakan uang dalam jumlah besar, atau ketika tim pengembangan memutuskan, “Mari kita lihat apakah ini kode cukup baik; kita akan meminta orang lain untuk melihatnya secara objektif dan independen”…

… itu membuat lebih sulit bagi orang dalam untuk melakukan semua trik ini.

Karena mereka harus berkolusi dengan orang lain sehingga mereka memerlukan otorisasi bersama selama ini.

---

ANJING.  OK.

Dan sepanjang baris yang sama: Simpan log yang tidak dapat diubah.

Itu bagus.

---

BEBEK.  Ya.

Pendengar dengan ingatan panjang mungkin mengingat drive WORM.

Mereka adalah hal yang cukup pada masa itu: Tulis Sekali, Baca Banyak.

Tentu saja mereka disebut-sebut sangat ideal untuk log sistem, karena Anda dapat menulisnya, tetapi Anda tidak akan pernah bisa *menulis ulang* mereka.

Sekarang, sebenarnya, menurut saya mereka tidak dirancang seperti itu dengan sengaja… [TERTAWA] Saya hanya berpikir belum ada yang tahu bagaimana membuatnya dapat ditulis ulang.

Tapi ternyata teknologi semacam itu sangat bagus untuk menyimpan file log.

Jika Anda ingat CD-R awal, CD-Recordables – Anda dapat menambahkan sesi baru, sehingga Anda dapat merekam, katakanlah, 10 menit musik dan kemudian menambahkan 10 menit musik atau 100MB data lainnya nanti, tetapi Anda tidak bisa kembali dan menulis ulang semuanya.

Jadi, setelah Anda menguncinya, seseorang yang ingin mengotak-atik bukti harus menghancurkan seluruh CD agar tidak terlihat dari rantai bukti, atau merusaknya.

Mereka tidak akan dapat mengambil disk asli itu dan menulis ulang kontennya sehingga tampilannya berbeda.

Dan, tentu saja, ada banyak teknik yang dapat Anda gunakan untuk melakukannya di cloud.

Jika Anda suka, ini adalah sisi lain dari koin “bagi dan taklukkan”.

Apa yang Anda katakan adalah bahwa Anda memiliki banyak sysadmin, banyak tugas sistem, banyak daemon atau proses layanan yang dapat menghasilkan informasi logging, tetapi mereka dikirim ke suatu tempat di mana diperlukan tindakan nyata dan kerja sama untuk membuatnya log pergi atau untuk melihat selain apa mereka ketika mereka awalnya dibuat.

---

ANJING.  Dan yang terakhir tapi tentu tidak kalah pentingnya: Selalu ukur, jangan pernah berasumsi.

---

BEBEK.  Benar.

Sepertinya Perusahaan-1 dalam hal ini memang mengelola setidaknya sebagian dari semua hal ini, pada akhirnya.

Karena orang ini diidentifikasi dan diinterogasi oleh FBI… Saya kira dalam waktu sekitar dua bulan setelah melakukan serangannya.

Dan investigasi tidak terjadi dalam semalam – mereka memerlukan surat perintah untuk penggeledahan, dan mereka membutuhkan kemungkinan penyebab.

Jadi sepertinya mereka melakukan hal yang benar, dan bahwa mereka tidak begitu saja terus mempercayainya hanya karena dia terus mengatakan bahwa dia dapat dipercaya.

Kejahatannya memang keluar begitu saja, seolah-olah.

Jadi, penting bagi Anda untuk tidak menganggap siapa pun tidak perlu dicurigai.

---

ANJING.  Oke, langsung saja.

Pembuat gadget Belkin berada dalam kesulitan, pada dasarnya mengatakan, "Akhir masa pakai berarti akhir dari pembaruan" untuk salah satu colokan pintar yang populer.

Belkin Wemo Smart Plug V2 – buffer overflow yang tidak akan ditambal

---

BEBEK.  Tampaknya tanggapan yang agak buruk dari Belkin.

Tentu saja dari sudut pandang PR, itu tidak memenangkan banyak teman bagi mereka, karena perangkat dalam hal ini adalah salah satu yang disebut colokan pintar.

Anda mendapatkan sakelar berkemampuan Wi-Fi; beberapa dari mereka juga akan mengukur kekuatan dan hal-hal lain seperti itu.

Jadi idenya adalah Anda kemudian dapat memiliki aplikasi, atau antarmuka web, atau sesuatu yang akan menghidupkan dan mematikan stopkontak.

Jadi sedikit ironi bahwa kesalahan ada pada produk yang, jika diretas, dapat menyebabkan seseorang pada dasarnya mem-flash sakelar hidup dan mati yang dapat dicolokkan ke alat.

Saya pikir, jika saya adalah Belkin, saya mungkin akan berkata, "Dengar, kami tidak benar-benar mendukung ini lagi, tetapi dalam kasus ini... ya, kami akan mengeluarkan tambalan."

Dan itu adalah buffer overflow, Doug, polos dan sederhana.

[TERTAWA] Oh, sayang…

Saat Anda menyambungkan perangkat, perangkat tersebut harus memiliki pengenal unik sehingga akan muncul di aplikasi, katakanlah, di ponsel Anda… jika Anda memiliki tiga di antaranya di rumah, Anda tidak ingin semuanya dipanggil Belkin Wemo plug.

Anda ingin pergi dan mengubahnya, dan menempatkan apa yang disebut Belkin sebagai "nama ramah".

Jadi Anda masuk dengan aplikasi telepon Anda, dan Anda mengetikkan nama baru yang Anda inginkan.

Yah, tampaknya ada buffer 68 karakter di aplikasi pada perangkat itu sendiri untuk nama baru Anda… tetapi tidak ada pemeriksaan bahwa Anda tidak memasukkan nama yang lebih panjang dari 68 byte.

Bodohnya, mungkin, orang-orang yang membangun sistem memutuskan bahwa akan cukup baik jika mereka hanya memeriksa berapa panjang nama itu *yang Anda ketikkan di ponsel saat Anda menggunakan aplikasi untuk mengubah nama*: “Kami akan menghindari pengiriman nama yang terlalu panjang sejak awal.”

Dan memang, di aplikasi telepon, tampaknya Anda bahkan tidak dapat memasukkan lebih dari 30 karakter, jadi mereka sangat aman.

Masalah besar!

Bagaimana jika penyerang memutuskan untuk tidak menggunakan aplikasi? [TAWA]

Bagaimana jika mereka menggunakan skrip Python yang mereka tulis sendiri…

---

ANJING.  Hmmmm! [IRONIS] Mengapa mereka melakukan itu?

---

BEBEK.  … yang tidak repot memeriksa batas 30 karakter atau 68 karakter?

Dan itulah yang dilakukan para peneliti ini.

Dan mereka menemukan, karena ada stack buffer overflow, mereka dapat mengontrol alamat pengirim dari sebuah fungsi yang sedang digunakan.

Dengan trial and error yang cukup, mereka mampu menyimpang eksekusi menjadi apa yang dikenal dalam jargon sebagai "shellcode" pilihan mereka sendiri.

Khususnya, mereka dapat menjalankan perintah sistem yang menjalankan wget perintah, yang mengunduh skrip, membuat skrip dapat dieksekusi, dan menjalankannya.

---

ANJING.  Baiklah…

… kami punya beberapa saran di artikel.

Jika Anda memiliki salah satu colokan pintar ini, lihat itu.

Saya kira pertanyaan yang lebih besar di sini adalah, dengan asumsi Belkin menepati janji mereka untuk tidak memperbaikinya… [TERTAWA KERAS]

… pada dasarnya, seberapa sulit perbaikannya, Paul?

Atau apakah PR yang baik hanya menutup lubang ini?

---

BEBEK.  Saya tidak tahu.

Mungkin ada banyak aplikasi lain yang, oh, sayang, mereka harus melakukan perbaikan yang sama.

Jadi mereka mungkin tidak ingin melakukan ini karena takut seseorang akan berkata, "Baiklah, mari kita gali lebih dalam."

---

ANJING.  Lereng yang licin…

---

BEBEK.  Maksudku, itu akan menjadi alasan yang buruk untuk tidak melakukannya.

Saya akan berpikir, mengingat ini sekarang sudah terkenal, dan mengingat sepertinya perbaikan yang cukup mudah…

… cukup (A) kompilasi ulang aplikasi untuk perangkat dengan perlindungan tumpukan diaktifkan, jika memungkinkan, dan (B) setidaknya dalam program perubahan “nama ramah” khusus ini, jangan izinkan nama yang lebih panjang dari 68 karakter!

Sepertinya bukan perbaikan besar.

Meskipun, tentu saja, perbaikan itu harus diberi kode; itu harus ditinjau; itu harus diuji; versi baru harus dibuat dan ditandatangani secara digital.

Itu kemudian harus ditawarkan kepada semua orang, dan banyak orang bahkan tidak menyadari itu tersedia.

Dan bagaimana jika mereka tidak memperbarui?

Alangkah baiknya jika mereka yang mengetahui masalah ini dapat memperoleh perbaikan, tetapi masih harus dilihat apakah Belkin mengharapkan mereka untuk meningkatkan ke produk yang lebih baru.

---

ANJING.  Baiklah, tentang masalah pembaruan …

… kami telah mengawasi, seperti yang kami katakan, pada cerita ini.

Kami telah membicarakannya beberapa kali: Clearview AI.

Baik sekali! Raclage crapuleux! Clearview AI dalam masalah 20% lebih banyak di Prancis

Prancis memiliki perusahaan ini dalam pandangannya untuk pembangkangan berulang kali, dan hampir menggelikan betapa buruknya hal ini.

Jadi, perusahaan ini mengambil foto dari internet dan memetakannya ke manusia masing-masing, dan penegak hukum menggunakan mesin pencari ini, seolah-olah, untuk mencari orang.

Negara lain juga bermasalah dengan ini, tetapi Prancis mengatakan, “Ini adalah PII. Ini adalah informasi pengenal pribadi.”

---

BEBEK.  Ya.

---

ANJING.  "Clearview, tolong berhenti melakukan ini."

Dan Clearview bahkan tidak menanggapi.

Jadi mereka didenda €20 juta, dan mereka terus berjalan…

Dan Prancis berkata, “Oke, kamu tidak bisa melakukan ini. Kami menyuruhmu berhenti, jadi kami akan menjatuhkanmu lebih keras lagi. Kami akan menagih Anda €100,000 setiap hari”… dan mereka memundurkannya hingga mencapai €5,200,000.

Dan Clearview tidak merespons.

Bahkan tidak mengakui bahwa ada masalah.

---

BEBEK.  Sepertinya begitulah yang terjadi, Doug.

Menariknya, dan menurut saya cukup masuk akal dan sangat penting, ketika regulator Prancis memeriksa Clearview AI (pada saat itu mereka memutuskan perusahaan tidak akan bermain bola secara sukarela dan mendenda mereka €20 juta)…

…mereka juga menemukan bahwa perusahaan tidak hanya mengumpulkan apa yang mereka anggap sebagai data biometrik tanpa mendapatkan persetujuan.

Mereka juga mempersulit orang untuk menggunakan hak mereka (A) untuk mengetahui bahwa data mereka telah dikumpulkan dan digunakan secara komersial, dan (B) untuk menghapusnya jika mereka menginginkannya.

Itu adalah hak yang telah diabadikan oleh banyak negara dalam peraturan mereka.

Menurut saya, ini pasti masih dalam undang-undang di Inggris, meskipun kita sekarang berada di luar Uni Eropa, dan itu adalah bagian dari peraturan GDPR yang terkenal di Uni Eropa.

Jika saya tidak ingin Anda menyimpan data saya, maka Anda harus menghapusnya.

Dan ternyata Clearview melakukan hal-hal seperti mengatakan, "Oh, baiklah, jika kami sudah memilikinya lebih dari setahun, terlalu sulit untuk menghapusnya, jadi itu hanya data yang kami kumpulkan dalam setahun terakhir."

---

ANJING.  Aaaaargh. [TERTAWA]

---

BEBEK.  Sehingga, jika Anda tidak menyadarinya, atau Anda baru menyadarinya setelah dua tahun?

Sangat terlambat!

Dan kemudian mereka berkata, "Oh, tidak, Anda hanya boleh meminta dua kali setahun."

Saya pikir, ketika Prancis menyelidiki, mereka juga menemukan bahwa orang-orang di Prancis mengeluh bahwa mereka harus bertanya lagi, dan lagi, dan lagi sebelum mereka berhasil mendorong ingatan Clearview untuk melakukan apa saja.

Jadi siapa yang tahu bagaimana ini akan berakhir, Doug?

---

ANJING.  Ini saat yang tepat untuk mendengar dari beberapa pembaca.

Kami biasanya memberikan komentar minggu ini dari satu pembaca, tetapi Anda bertanya di akhir artikel ini:

Jika Anda adalah {Ratu, Raja, Presiden, Penyihir Tertinggi, Pemimpin Agung, Hakim Ketua, Arbiter Utama, Komisaris Tinggi Privasi}, dan dapat memperbaiki masalah ini dengan {lambaian tongkat Anda, sapuan pena Anda, goyangkan tongkat Anda , trik pikiran Jedi}…

…bagaimana Anda akan menyelesaikan kebuntuan ini?

Dan untuk menarik beberapa kutipan dari komentator kami:

• "Pergi dengan kepala mereka."
• “Hukuman mati perusahaan.”
• “Klasifikasikan mereka sebagai organisasi kriminal.”
• "Petinggi harus dipenjara sampai perusahaan patuh."
• “Deklarasikan pelanggan sebagai rekan konspirator.”
• "Retas basis data dan hapus semuanya."
• “Buat undang-undang baru.”

Dan kemudian James turun dengan: “Saya kentut ke arah umum Anda. Ibumu adalah 'amster, dan ayahmu berbau elderberry. [MONTY PYTHON DAN Cawan Suci KIASAN]

Yang saya pikir mungkin komentar pada artikel yang salah.

Saya pikir ada kutipan Monty Python di "Whodunnit?" artikel.

Tapi, James, terima kasih telah melompat di akhir sana…

---

BEBEK.  [TERTAWA] Seharusnya tidak benar-benar tertawa.

Bukankah salah satu komentator kami mengatakan, “Hei, ajukan Pemberitahuan Merah Interpol? [JAMINAN PENANGKAPAN INTERNASIONAL]

---

ANJING.  Iya nih!

Baiklah, bagus… seperti yang biasa kami lakukan, kami akan mengawasi ini, karena saya jamin ini belum berakhir.

Jika Anda memiliki cerita, komentar, atau pertanyaan menarik yang ingin Anda sampaikan, kami ingin membaca di podcast.

Anda dapat mengirim email ke tips@sophos.com, Anda dapat mengomentari salah satu artikel kami, atau Anda dapat menghubungi kami di sosial: @NakedSecurity.

Itulah acara kami hari ini; terima kasih banyak untuk mendengarkan.

Untuk Paul Ducklin, saya Doug Aamoth, mengingatkan Anda sampai waktu berikutnya untuk…

---

KEDUA.  Tetap aman!

[MODEM MUSIK]