S3 Ep135: Amministratore di sistema di giorno, estorsore di notte

S3 Ep135: Amministratore di sistema di giorno, estorsore di notte

Timestamp: 18 maggio 2023 2:48
Nodo di origine: 2662163
by

UN ATTACCO INTERNO (DOVE IL PERP È STATO PRESO)

Nessun lettore audio sotto? Ascoltare direttamente su Soundcloud.

Con Doug Aamoth e Paul Ducklin. Musica introduttiva e finale di Edith Mudge.

Puoi ascoltarci su Soundcloud, Podcast Apple, Google Podcast, Spotify, Stitcher e ovunque si trovino buoni podcast. O semplicemente rilascia il URL del nostro feed RSS nel tuo podcatcher preferito.

LEGGI LA TRASCRIZIONE

DOUG.  Lavori interni, riconoscimento facciale e la "S" in "IoT" sta ancora per "sicurezza".

Tutto questo e molto altro sul podcast Naked Security.

[MODE MUSICALE]

Benvenuti nel podcast, a tutti.

Sono Doug Aamoth; lui è Paul Ducklin.

Paolo, come stai oggi?

ANATRA.  Molto bene, Doug.

Conosci il tuo slogan, "Lo terremo d'occhio"?

DOUG.  [Ridendo] Oh, oh, oh!

ANATRA.  Purtroppo, ci sono diverse cose questa settimana che abbiamo "tenuto d'occhio", e non sono ancora finite bene.

DOUG.  Sì, questa settimana abbiamo una formazione interessante e non tradizionale.

Entriamoci dentro.

Ma prima, inizieremo con il nostro Questa settimana nella storia della tecnologia segmento.

Questa settimana, il 19 maggio 1980, è stato annunciato l'Apple III.

Sarebbe stato spedito nel novembre 1980, momento in cui i primi 14,000 Apple III fuori linea furono richiamati.

La macchina sarebbe stata reintrodotta nuovamente nel novembre 1981.

Per farla breve, l'Apple III è stato un flop.

Il co-fondatore di Apple Steve Wozniak ha attribuito il fallimento della macchina al fatto che è stata progettata da addetti al marketing anziché da ingegneri.

Ouch!

ANATRA.  Non so cosa rispondere, Doug. [RISATA]

Sto cercando di non sorridere, come una persona che si considera un tecnologo e non un marketroid.

Penso che l'Apple III doveva avere un bell'aspetto e avere un bell'aspetto, e doveva capitalizzare il successo dell'Apple II.

Ma la mia comprensione è che l'Apple III (A) non poteva eseguire tutti i programmi Apple II, il che è stato un po' un duro colpo per la compatibilità con le versioni precedenti, e (B) semplicemente non era abbastanza espandibile come lo era l'Apple II.

Non so se sia una leggenda metropolitana o meno...

…ma ho letto che i primi modelli non avevano i chip installati correttamente in fabbrica e che ai destinatari che segnalavano problemi veniva detto di sollevare di qualche centimetro la parte anteriore del computer dalla scrivania e lasciarlo schiantare all'indietro.

[RISATA]

Questo sbatterebbe le fiches in posizione, come avrebbero dovuto essere in primo luogo.

Che apparentemente ha funzionato, ma non era il miglior tipo di pubblicità per la qualità del prodotto.

DOUG.  Esattamente.

Va bene, entriamo nella nostra prima storia.

Questo è un ammonimento su quanto male minacce interne possono essere, e forse anche quanto possono essere difficili da realizzare, Paul.

Chi è? Cybercrook ottiene 6 anni per aver riscattato il proprio datore di lavoro

ANATRA.  In effetti lo è, Douglas.

E se stai cercando la storia su baresecurity.sophos.com, è quello con la didascalia, “Chi mai? Cybercrook ottiene 6 anni per aver riscattato il suo stesso datore di lavoro.

E qui hai il coraggio della storia.

DOUG.  Non dovrei ridere, ma... [RIDE]

ANATRA.  È un po 'divertente e poco divertente.

Perché se guardi a come si è svolto l'attacco, è stato fondamentalmente:

“Ehi, qualcuno è entrato; non sappiamo quale fosse il buco di sicurezza che hanno usato. Entriamo in azione e proviamo a scoprirlo.

"Oh no! Gli aggressori sono riusciti a ottenere i poteri di amministratore di sistema!”

"Oh no! Hanno risucchiato gigabyte di dati riservati!”

"Oh no! Hanno incasinato i registri di sistema, quindi non sappiamo cosa sta succedendo!

"Oh no! Ora chiedono 50 bitcoin (che all'epoca erano circa $ 2,000,000 USA) per mantenere le cose tranquille... ovviamente non pagheremo $ 2 milioni come lavoro segreto.

E, bingo, il truffatore è andato e ha fatto quella cosa tradizionale di far trapelare i dati sul dark web, praticamente doxxando l'azienda.

E, sfortunatamente, la domanda "Whodunnit?" ha risposto: Uno degli amministratori di sistema dell'azienda.

In effetti, una delle persone che erano state arruolate nella squadra per cercare di trovare ed espellere l'aggressore.

Quindi stava letteralmente fingendo di combattere questo aggressore di giorno e negoziando un pagamento di ricatto di $ 2 milioni di notte.

E ancora peggio, Doug, sembra che, quando si sono insospettiti di lui...

… cosa che hanno fatto, siamo onesti con l'azienda.

(Non ho intenzione di dire chi fosse; chiamiamoli Company-1, come ha fatto il Dipartimento di Giustizia degli Stati Uniti, anche se la loro identità è abbastanza nota.)

La sua proprietà è stata perquisita e apparentemente si sono impossessati del laptop che in seguito si è scoperto essere stato utilizzato per commettere il crimine.

Lo hanno interrogato, quindi ha intrapreso un processo "l'offesa è la migliore forma di difesa", ha finto di essere un informatore e ha contattato i media sotto qualche alter ego.

Ha fornito una storia completamente falsa su come era avvenuta la violazione: che si trattava di scarsa sicurezza su Amazon Web Services o qualcosa del genere.

Quindi sembrava, per molti versi, molto peggio di quello che era, e il prezzo delle azioni della società è crollato piuttosto male.

Potrebbe essere caduto comunque quando c'era la notizia che erano stati violati, ma sembra certamente che abbia fatto di tutto per far sembrare le cose molto peggiori per distogliere i sospetti da se stesso.

Che, fortunatamente, non ha funzionato.

* È stato * condannato (beh, si è dichiarato colpevole) e, come abbiamo detto nel titolo, ha avuto sei anni di prigione.

Poi tre anni di libertà vigilata e deve rimborsare una penale di 1,500,000 dollari.

DOUG.  Non puoi inventare questa roba!

Ottimo consiglio in questo articolo... ci sono tre consigli.

Adoro questo primo: Dividere e conquistare.

Cosa intendi con questo, Paolo?

ANATRA.  Bene, sembra che, in questo caso, questo individuo avesse troppo potere concentrato nelle sue mani.

Sembra che sia stato in grado di far accadere ogni piccola parte di questo attacco, incluso entrare in seguito e fare confusione con i registri e cercare di far sembrare che lo abbiano fatto altre persone dell'azienda.

(Quindi, solo per mostrare che tipo terribilmente simpatico fosse - ha provato a ricucire anche i suoi colleghi, così si sarebbero messi nei guai.)

Ma se fai in modo che alcune attività chiave del sistema richiedano l'autorizzazione di due persone, idealmente anche di due dipartimenti diversi, proprio come quando, diciamo, una banca sta approvando un grosso movimento di denaro, o quando un team di sviluppo sta decidendo: "Vediamo se questo il codice è abbastanza buono; faremo in modo che qualcun altro lo esamini in modo obiettivo e indipendente”…

… questo rende molto più difficile per un insider solitario tirare fuori tutti questi trucchi.

Perché dovrebbero colludere con tutti gli altri che avrebbero bisogno di co-autorizzazione lungo la strada.

DOUG.  OK.

E sulla stessa linea: Mantieni registri immutabili.

Bella questa.

ANATRA.  Sì.

Gli ascoltatori con la memoria lunga potrebbero ricordare i dischi WORM.

Erano piuttosto la cosa in passato: scrivi una volta, leggi molti.

Ovviamente sono stati pubblicizzati come assolutamente ideali per i log di sistema, perché puoi scriverci sopra, ma non puoi mai *riscriverli*.

Ora, in effetti, non credo che siano stati progettati in quel modo apposta... [RISATA] Penso solo che nessuno sapesse ancora come renderli riscrivibili.

Ma si scopre che quel tipo di tecnologia era eccellente per conservare i file di registro.

Se ricordi i primi CD-R, CD registrabili, potevi aggiungere una nuova sessione, quindi registrare, diciamo, 10 minuti di musica e poi aggiungere altri 10 minuti di musica o altri 100 MB di dati in seguito, ma non potevi torna indietro e riscrivi tutto.

Quindi, una volta che l'hai chiuso dentro, qualcuno che volesse incasinare le prove dovrebbe o distruggere l'intero CD in modo che sia visibilmente assente dalla catena di prove, o danneggiarlo in altro modo.

Non sarebbero in grado di prendere quel disco originale e riscriverne il contenuto in modo che si presentasse in modo diverso.

E, naturalmente, ci sono tutti i tipi di tecniche con cui puoi farlo nel cloud.

Se volete, questa è l'altra faccia della medaglia del “divide et impera”.

Quello che stai dicendo è che hai molti amministratori di sistema, molte attività di sistema, molti demoni o processi di servizio che possono generare informazioni di registrazione, ma vengono inviati da qualche parte dove ci vuole un vero atto di volontà e cooperazione per farli i log scompaiono o assumono un aspetto diverso da quello che erano quando sono stati originariamente creati.

DOUG.  E poi ultimo ma certamente non meno importante: Misurare sempre, mai dare per scontato.

ANATRA.  Assolutamente.

Sembra che la Compagnia 1 in questo caso abbia gestito almeno alcune di tutte queste cose, alla fine.

Perché questo tizio è stato identificato e interrogato dall'FBI... credo circa due mesi dopo il suo attacco.

E le indagini non avvengono dall'oggi al domani: richiedono un mandato per la perquisizione e richiedono una causa probabile.

Quindi sembra che abbiano fatto la cosa giusta e che non abbiano continuato a fidarsi ciecamente di lui solo perché continuava a dire che era degno di fiducia.

I suoi reati sono usciti con il bucato, per così dire.

Quindi è importante che tu non consideri nessuno al di sopra di ogni sospetto.

DOUG.  Ok, vado avanti.

Il produttore di gadget Belkin è nell'acqua calda, in pratica dicendo: "Fine del ciclo di vita significa fine degli aggiornamenti" per una delle sue famose prese intelligenti.

Belkin Wemo Smart Plug V2: l'overflow del buffer che non verrà corretto

ANATRA.  Sembra che sia stata una risposta piuttosto scarsa da parte di Belkin.

Sicuramente dal punto di vista delle pubbliche relazioni non ha guadagnato loro molti amici, perché il dispositivo in questo caso è uno di quelli cosiddetti smart plug.

Ottieni un interruttore abilitato Wi-Fi; alcuni di loro misureranno anche il potere e altre cose del genere.

Quindi l'idea è che puoi quindi avere un'app, o un'interfaccia web, o qualcosa che accende e spegne una presa a muro.

Quindi è un po' ironico che l'errore sia in un prodotto che, se violato, potrebbe portare qualcuno ad accendere e spegnere un interruttore a cui potrebbe essere collegato un dispositivo.

Penso che, se fossi stato Belkin, avrei potuto dire: "Guarda, non lo supportiamo più, ma in questo caso... sì, rilasceremo una patch".

Ed è un buffer overflow, Doug, chiaro e semplice.

[RISATA] Oh, caro...

Quando colleghi il dispositivo, deve avere un identificatore univoco in modo che venga visualizzato nell'app, ad esempio, sul tuo telefono... se ne hai tre in casa, non vuoi che vengano chiamati tutti Belkin Wemo plug.

Vuoi andare a cambiarlo e mettere quello che Belkin chiama un "nome amichevole".

E così entri con l'app del tuo telefono e digiti il ​​nuovo nome che desideri.

Bene, sembra che ci sia un buffer di 68 caratteri nell'app sul dispositivo stesso per il tuo nuovo nome... ma non c'è nessun controllo che tu non inserisca un nome più lungo di 68 byte.

Stupidamente, forse, le persone che hanno creato il sistema hanno deciso che sarebbe stato sufficiente controllare quanto fosse lungo il nome *che hai digitato sul tuo telefono quando hai usato l'app per cambiare il nome*: "Eviteremo di inviare nomi che sono troppo lunghi in primo luogo.

E in effetti, nell'app del telefono, a quanto pare non puoi nemmeno inserire più di 30 caratteri, quindi sono estremamente sicuri.

Grande problema!

Cosa succede se l'attaccante decide di non utilizzare l'app? [RISATA]

E se usano uno script Python che hanno scritto loro stessi...

DOUG.  Hmmmm! [IRONICO] Perché dovrebbero farlo?

ANATRA.  …questo non si preoccupa di controllare il limite di 30 o 68 caratteri?

Ed è esattamente quello che hanno fatto questi ricercatori.

E hanno scoperto che, poiché c'è un overflow del buffer dello stack, potevano controllare l'indirizzo di ritorno di una funzione che veniva utilizzata.

Con un numero sufficiente di tentativi ed errori, sono stati in grado di deviare l'esecuzione in quello che in gergo è noto come "shellcode" di loro scelta.

In particolare, potevano eseguire un comando di sistema che eseguiva il file wget comando, che scaricava uno script, lo rendeva eseguibile e lo eseguiva.

DOUG.  Ok bene…

…abbiamo qualche consiglio nell'articolo.

Se hai una di queste prese intelligenti, controllalo.

Immagino che la domanda più grande qui sia, supponendo che Belkin mantenga la promessa di non risolvere questo problema... [RISATE FORTI]

…in pratica, quanto è difficile risolvere questo problema, Paul?

O sarebbe un buon PR tappare questo buco?

ANATRA.  Beh, non lo so.

Potrebbero esserci molte altre app a cui, oh, caro, devono fare lo stesso tipo di correzione.

Quindi potrebbero semplicemente non volerlo fare per paura che qualcuno dica: "Bene, scaviamo più a fondo".

DOUG.  Un pendio scivoloso…

ANATRA.  Voglio dire, sarebbe una cattiva ragione per non farlo.

Avrei pensato, visto che ormai è risaputo, e visto che sembra una soluzione abbastanza facile...

…basta (A) ricompilare le app per il dispositivo con la protezione dello stack attivata, se possibile, e (B) almeno in questo particolare programma di modifica del “nome descrittivo”, non consentire nomi più lunghi di 68 caratteri!

Non sembra una soluzione importante.

Sebbene, ovviamente, quella correzione debba essere codificata; deve essere rivisto; deve essere testato; una nuova versione deve essere costruita e firmata digitalmente.

Quindi deve essere offerto a tutti e molte persone non si accorgeranno nemmeno che è disponibile.

E se non si aggiornano?

Sarebbe bello se coloro che sono a conoscenza di questo problema potessero ottenere una soluzione, ma resta da vedere se Belkin si aspetterà che si aggiornino semplicemente a un prodotto più recente.

DOUG.  Va bene, a proposito di aggiornamenti...

…abbiamo tenuto d'occhio, come diciamo, questa storia.

Ne abbiamo parlato diverse volte: Clearview AI.

Zut alors! Raclage crapuleux! Clearview AI nel 20% di problemi in più in Francia

La Francia ha questa compagnia nel mirino per ripetute sfide, ed è quasi ridicolo quanto sia andata male.

Quindi, questa azienda cancella le foto da Internet e le mappa ai rispettivi umani, e le forze dell'ordine usano questo motore di ricerca, per così dire, per cercare le persone.

Anche altri paesi hanno avuto problemi con questo, ma la Francia ha detto: “Questo è PII. Si tratta di informazioni di identificazione personale.

ANATRA.  Sì.

DOUG.  "Clearview, per favore smettila di farlo."

E Clearview non ha nemmeno risposto.

Quindi sono stati multati di 20 milioni di euro e hanno continuato ad andare avanti...

E la Francia sta dicendo: “OK, non puoi farlo. Ti abbiamo detto di smetterla, quindi ci attaccheremo ancora di più con te. Ti addebiteremo 100,000 euro al giorno”… e l'hanno retrodatato al punto che è già fino a 5,200,000 euro.

E Clearview semplicemente non risponde.

Non è nemmeno riconoscere che c'è un problema.

ANATRA.  Sembra proprio che stia andando così, Doug.

È interessante, e secondo me abbastanza ragionevole e molto importante, quando l'autorità di regolamentazione francese ha esaminato Clearview AI (all'epoca ha deciso che la società non avrebbe giocato volontariamente e li ha multati di 20 milioni di euro)...

…hanno anche scoperto che l'azienda non si limitava a raccogliere quelli che considera dati biometrici senza ottenere il consenso.

Stavano anche rendendo incredibilmente, inutilmente e illegalmente difficile per le persone esercitare il loro diritto (A) di sapere che i loro dati sono stati raccolti e vengono utilizzati commercialmente e (B) di farli cancellare se lo desiderano.

Questi sono diritti che molti paesi hanno sancito nei loro regolamenti.

È certamente, penso, ancora nella legge nel Regno Unito, anche se ora siamo fuori dall'Unione Europea, e fa parte del ben noto regolamento GDPR nell'Unione Europea.

Se non voglio che tu conservi i miei dati, allora devi cancellarli.

E apparentemente Clearview stava facendo cose come dire: "Oh, beh, se ce l'abbiamo da più di un anno, è troppo difficile rimuoverlo, quindi sono solo i dati che abbiamo raccolto nell'ultimo anno".

DOUG.  Aaaaargh. [RIDE]

ANATRA.  Quindi, se non te ne accorgi, o te ne accorgi solo dopo due anni?

Troppo tardi!

E poi dicevano: "Oh, no, puoi chiedere solo due volte all'anno".

Penso che, quando i francesi hanno indagato, hanno anche scoperto che le persone in Francia si lamentavano del fatto che dovevano chiedere ancora e ancora e ancora prima di riuscire a stimolare la memoria di Clearview a fare qualcosa.

Quindi chissà come andrà a finire, Doug?

DOUG.  Questo è un buon momento per ascoltare diversi lettori.

Di solito facciamo il nostro commento della settimana da un lettore, ma alla fine di questo articolo hai chiesto:

Se tu fossi {regina, re, presidente, mago supremo, leader glorioso, giudice capo, capo arbitro, alto commissario per la privacy} e potessi risolvere questo problema con un {agita della tua bacchetta, tratto della tua penna, scossa del tuo scettro , un trucco mentale Jedi}...

…come risolveresti questo stallo?

E per estrarre solo alcune citazioni dai nostri commentatori:

  • "Fuori di testa."
  • "Pena di morte aziendale".
  • "Classificali come un'organizzazione criminale".
  • "I superiori dovrebbero essere incarcerati fino a quando la società non si adegua".
  • "Dichiara che i clienti sono complici".
  • "Hackera il database ed elimina tutto."
  • "Crea nuove leggi".

E poi James smonta con: “Scoreggio nella tua direzione generale. Tua madre era un 'amster e tuo padre odorava di bacche di sambuco. [MONTY PYTHON E IL SACRO GRAAL ALLUSIONE]

Che penso potrebbe essere un commento sull'articolo sbagliato.

Penso che ci fosse una citazione dei Monty Python in "Whodunnit?" articolo.

Ma, James, grazie per essere intervenuto alla fine...

ANATRA.  [RIDE] Non dovrei davvero ridere.

Uno dei nostri commentatori non ha detto: “Ehi, richiedi un avviso rosso dell'Interpol? [UNA SORTA DI MANDATO D'ARRESTO INTERNAZIONALE]

DOUG.  Sì!

Bene, bene... come siamo soliti fare, lo terremo d'occhio, perché posso assicurarvi che non è ancora finita.

Se hai una storia, un commento o una domanda interessante che vorresti inviare, ci piacerebbe leggere sul podcast.

Puoi inviare un'e-mail a tips@sophos.com, commentare uno qualsiasi dei nostri articoli o contattarci sui social: @NakedSecurity.

Questo è il nostro spettacolo per oggi; grazie mille per l'ascolto.

Per Paul Ducklin, sono Doug Aamoth, e ti ricordo fino alla prossima volta di...

TUTTI E DUE.  Stai al sicuro!

[MODE MUSICALE]

Timestamp:

Di più da Sicurezza nuda