S3 Ep135: Sysadmin ביום, סוחט בלילה

אין נגן אודיו למטה? להקשיב ישירות בסאונדקלאוד.

DOUG.  עבודות פנימיות, זיהוי פנים וה-S ב-"IoT" עדיין מייצג "ביטחון".

כל זה, ועוד, בפודקאסט הביטחון העירום.

[מודם מוזיקלי]

ברוכים הבאים לפודקאסט, כולם.

אני דאג אמות'; הוא פול דאקלין.

פול, מה שלומך היום?

---

ברווז.  טוב מאוד, דאג.

אתה מכיר את המשפט שלך, "אנחנו נפקח על זה"?

---

DOUG.  [צוחק] הו, הו, הו!

---

ברווז.  למרבה הצער, יש כמה דברים השבוע ש"שמרנו עליהם עין", והם עדיין לא הסתיימו בטוב.

---

DOUG.  כן, יש לנו סדרה מעניינת ולא מסורתית השבוע.

בואו ניכנס לזה.

אבל קודם כל, נתחיל עם שלנו השבוע בהיסטוריה הטכנולוגית מגזר.

השבוע, ב-19 במאי 1980, הוכרז ה-Apple III.

זה יישלח בנובמבר 1980, ואז 14,000 Apple III הראשונים מהקו נזכרו.

המכונה תוצג שוב בנובמבר 1981.

בקיצור, ה-Apple III היה פלופ.

מייסד שותף של אפל, סטיב ווזניאק, ייחס את כישלון המכונה לכך שהיא תוכננה על ידי אנשי שיווק במקום מהנדסים.

אאוץ!

---

ברווז.  אני לא יודע מה להגיד על זה, דאג. [צחוק]

אני מנסה לא לגחך, כאדם שמחשיב את עצמו כטכנולוג ולא מרקטרואיד.

אני חושב שה-Apple III נועד להיראות טוב ולהיראות מגניב, והוא נועד לנצל את ההצלחה של Apple II.

אבל ההבנה שלי היא שה-Apple III (A) לא הצליח להריץ את כל התוכניות של Apple II, וזה היה קצת מכת תאימות לאחור, ו-(B) פשוט לא היה ניתן להרחבה מספיק כמו Apple II.

אני לא יודע אם זו אגדה אורבנית או לא...

...אבל קראתי שהשבבים המוקדמים לא הושבו כראוי במפעל, ושלנמענים שדיווחו על בעיות נאמר להרים את החלק הקדמי של המחשב מהשולחן שלהם כמה סנטימטרים ולתת לו לקרוס לאחור.

[צחוק]

זה ידפוק את הצ'יפס למקומם, כמו שהם היו צריכים להיות מלכתחילה.

מה שכנראה כן עבד, אבל לא היה סוג הפרסום הטוב ביותר עבור איכות המוצר.

---

DOUG.  בדיוק.

בסדר, בואו ניכנס לסיפור הראשון שלנו.

זהו סיפור אזהרה לגבי כמה רע איומים פנימיים יכול להיות, ואולי גם כמה קשה הם יכולים להצליח, פול.

מי יודע? סייברקרוק מקבל 6 שנים על פדיון המעסיק שלו

---

ברווז.  אכן כך, דאגלס.

ואם אתה מחפש את הסיפור על nakedsecurity.sophos.com, זה הכתובית, "מה זה? סייברקרוק מקבל 6 שנים על פדיון המעסיק שלו".

והנה יש לך את האומץ של הסיפור.

---

DOUG.  לא צריך לצחוק, אבל... [צוחק]

---

ברווז.  זה די מצחיק ולא מצחיק.

כי אם אתה מסתכל על איך התפתחה המתקפה, זה היה בעצם:

"היי, מישהו פרץ פנימה; אנחנו לא יודעים מה היה חור האבטחה שבו השתמשו. בואו נפרוץ לפעולה וננסה לגלות”.

"אוי לא! התוקפים הצליחו לקבל סמכויות של מנהל מערכת!"

"אוי לא! הם שאבו ג'יגה-בייט של נתונים חסויים!"

"אוי לא! הם התעסקו עם יומני המערכת אז אנחנו לא יודעים מה קורה!"

"אוי לא! כעת הם דורשים 50 ביטקוין (שבאותה תקופה היו בערך 2,000,000 דולר ארה"ב) כדי לשמור על שקט... ברור שלא נשלם 2 מיליון דולר כעבודת שקט".

ובינגו, הנוכל הלך ועשה את הדבר המסורתי הזה של הדלפת הנתונים על הרשת האפלה, בעצם עשה את החברה.

ולמרבה הצער, השאלה "Whodunnit?" נענה על ידי: אחד ממנהלי המערכת של החברה עצמה.

למעשה, אחד האנשים שגויסו לצוות כדי לנסות למצוא ולגרש את התוקף.

אז הוא ממש העמיד פנים שהוא נלחם בתוקף הזה ביום וניהל משא ומתן על תשלום סחיטה של ​​2 מיליון דולר בלילה.

ועוד יותר גרוע, דאג, נראה שכשהם חשדו בו...

...מה שהם עשו, בואו נהיה הוגנים כלפי החברה.

(אני לא מתכוון לומר מי זה היה; בואו נקרא להם חברה-1, כמו שעשה משרד המשפטים האמריקאי, למרות שזהותם די ידועה).

נערך חיפוש ברכושו, וככל הנראה הם תפסו את המחשב הנייד שלאחר מכן התברר ששימש לביצוע הפשע.

הם חקרו אותו, אז הוא המשיך בתהליך של "עבירה היא צורת ההגנה הטובה ביותר", והעמיד פנים שהוא מלשיין ופנה לתקשורת תחת איזה אלטר אגו.

הוא מסר סיפור שקרי שלם על איך קרתה הפרצה - שזו הייתה אבטחה לקויה בשירותי האינטרנט של אמזון, או משהו כזה.

אז זה גרם לזה להיראות, במובנים רבים, הרבה יותר גרוע ממה שהיה, ומחיר המניה של החברה צנח בצורה רעה למדי.

זה אולי ירד בכל מקרה כשהיו חדשות שהם נפרצו, אבל בהחלט נראה שהוא יצא מגדרו כדי שזה ייראה הרבה יותר גרוע כדי להסיט את החשד מעצמו.

מה שלמרבה המזל לא עבד.

הוא *כן* הורשע (טוב, הוא הודה באשמה), וכמו שאמרנו בכותרת, הוא קיבל שש שנות מאסר.

לאחר מכן שלוש שנות מאסר על תנאי, והוא צריך להחזיר קנס של 1,500,000 דולר.

---

DOUG.  אתה לא יכול להמציא את הדברים האלה!

עצה מצוינת במאמר זה... יש שלוש עצות.

אני אוהב את הראשון הזה: הפרד ומשול.

למה אתה מתכוון בזה, פול?

---

ברווז.  ובכן, נראה שבמקרה הזה, לאדם הזה היה יותר מדי כוח מרוכז בידיו שלו.

נראה שהוא הצליח לגרום לכל חלק קטן בהתקפה הזו לקרות, כולל להיכנס לאחר מכן ולהתעסק ביומנים ולנסות לגרום לזה להיראות כאילו אנשים אחרים בחברה עשו זאת.

(אז, רק כדי להראות איזה בחור נורא נחמד הוא היה - הוא כן ניסה לתפור גם את עמיתיו לעבודה, כדי שהם יסתבכו בצרות.)

אבל אם אתה גורם לפעילויות מערכת מפתח מסוימות דורשות אישור של שני אנשים, באופן אידיאלי אפילו משתי מחלקות שונות, בדיוק כמו כאשר, נגיד, בנק מאשר תנועת כסף גדולה, או כאשר צוות פיתוח מחליט, "בוא נראה אם ​​זה הקוד מספיק טוב; נשיג מישהו אחר להסתכל על זה בצורה אובייקטיבית ועצמאית"...

...זה מקשה הרבה יותר על מקורב בודד להוציא את כל הטריקים האלה.

כי הם יצטרכו לשתף פעולה עם כולם שהם יצטרכו אישור משותף לאורך הדרך.

---

DOUG.  אישור.

ובאותם קווים: שמור יומנים בלתי ניתנים לשינוי.

זה אחד טוב.

---

ברווז.  כן.

אותם מאזינים עם זכרונות ארוכים עשויים להיזכר בכונני WORM.

הם היו העניין של פעם: כתוב פעם אחת, קרא הרבה.

כמובן שהם הוגדרו כאידיאליים לחלוטין עבור יומני מערכת, כי אתה יכול לכתוב להם, אבל אתה אף פעם לא יכול *לכתוב* אותם.

עכשיו, למעשה, אני לא חושב שהם עוצבו כך בכוונה... [צוחק] אני פשוט חושב שאף אחד עדיין לא ידע איך לעשות אותם ניתנים לכתיבה מחדש.

אבל מסתבר שטכנולוגיה כזו הייתה מצוינת לשמירת קובצי יומן.

אם אתה זוכר תקליטורי CD-R מוקדמים, CD-Recordables - אתה יכול להוסיף הפעלה חדשה, כך שתוכל להקליט, למשל, 10 דקות של מוזיקה ואז להוסיף עוד 10 דקות של מוזיקה או עוד 100MB של נתונים מאוחר יותר, אבל לא הצלחת תחזור ותכתוב את כל העניין.

אז, ברגע שנעלתם אותו, מישהו שרוצה להתעסק עם הראיות יצטרך להשמיד את התקליטור כולו כדי שהוא ייעדר בעליל משרשרת הראיות, או לפגוע בו בדרך אחרת.

הם לא יוכלו לקחת את הדיסק המקורי הזה ולשכתב את התוכן שלו כך שהוא הופיע אחרת.

וכמובן, יש כל מיני טכניקות שבאמצעותן אתה יכול לעשות זאת בענן.

אם תרצו, זה הצד השני של מטבע ה"הפרד וכבוש".

מה שאתה אומר זה שיש לך הרבה מנהלי מערכת, הרבה משימות מערכת, הרבה דמונים או תהליכי שירות שיכולים ליצור מידע רישום, אבל הם נשלחים למקום שבו נדרש מעשה אמיתי של רצון ושיתוף פעולה כדי ליצור אותם. יומנים נעלמים או להיראות אחרת ממה שהם היו כשהם נוצרו במקור.

---

DOUG.  ואז אחרון חביב בהחלט: תמיד למדוד, לעולם לא להניח.

---

ברווז.  בהחלט.

נראה כאילו חברה-1 במקרה הזה הצליחה בסופו של דבר לפחות חלק מכל הדברים האלה.

מכיוון שהבחור הזה זוהה ונחקר על ידי ה-FBI... אני חושב שתוך כחודשיים לאחר ביצוע ההתקפה שלו.

וחקירות לא מתרחשות בן לילה - הן דורשות צו לחיפוש, והן דורשות סיבה סבירה.

אז זה נראה כאילו הם אכן עשו את הדבר הנכון, ושהם לא פשוט המשיכו לסמוך עליו באופן עיוור רק בגלל שהוא כל הזמן אמר שהוא אמין.

עבירותיו אכן יצאו בכביסה, כביכול.

אז חשוב שלא תחשיב אף אחד כעל חשש.

---

DOUG.  בסדר, ממשיכים הלאה.

יצרנית הגאדג'טים בלקין נמצאת במים חמים, ואומרת בעצם, "סוף חיים פירושו סוף עדכונים" עבור אחד התקעים החכמים הפופולריים שלה.

Belkin Wemo Smart Plug V2 - הצפת המאגר שלא יתוקן

---

ברווז.  נראה שזו הייתה תגובה גרועה למדי מבלקין.

בוודאי מנקודת מבט של יחסי ציבור, זה לא זיכה אותם בחברים רבים, כי המכשיר במקרה הזה הוא אחד מאותם תקעים חכמים שנקראים.

אתה מקבל מתג מאופשר Wi-Fi; חלקם גם ימדוד כוח ועוד דברים כאלה.

אז הרעיון הוא שאחר כך תוכל לקבל אפליקציה, או ממשק אינטרנט, או משהו שיפעיל ותכבה שקע בקיר.

אז זו קצת אירוניה שהתקלה היא במוצר שאם נפרץ, יכול להוביל למישהו בעצם להבהב מתג להפעלה ולכיבוי שעלול להיות מחובר אליו מכשיר.

אני חושב שאם הייתי בלקין, יכול להיות שהייתי אומר, "תראה, אנחנו כבר לא ממש תומכים בזה, אבל במקרה הזה... כן, נדחוף תיקון."

וזה הצפת חוצץ, דאג, פשוט ופשוט.

[צוחק] הו, יקירי...

כאשר אתה מחבר את המכשיר, הוא צריך להיות בעל מזהה ייחודי כדי שהוא יופיע באפליקציה, נניח, בטלפון שלך... אם יש לך שלושה מהם בבית, אתה לא רוצה לקרוא לכולם Belkin Wemo plug.

אתה רוצה ללכת ולשנות את זה, ולשים את מה שבלקין מכנה "שם ידידותי".

וכך אתה נכנס עם אפליקציית הטלפון שלך, ומקליד את השם החדש שאתה רוצה.

ובכן, נראה שיש מאגר של 68 תווים באפליקציה במכשיר עצמו עבור השם החדש שלך... אבל אין בדיקה שלא מכניסים שם ארוך מ-68 בתים.

אולי בטיפשות האנשים שבנו את המערכת החליטו שזה יהיה מספיק טוב אם הם פשוט יבדקו כמה זמן השם *שהקלדת בטלפון שלך כשהשתמשת באפליקציה כדי לשנות את השם*: "נמנע מלשלוח שמות ארוכים מדי מלכתחילה."

ואכן, באפליקציית הטלפון, כנראה שאתה אפילו לא יכול להכניס יותר מ-30 תווים, אז הם סופר בטוחים במיוחד.

בעיה גדולה!

מה אם התוקף יחליט לא להשתמש באפליקציה? [צחוק]

מה אם הם משתמשים בסקריפט של Python שהם כתבו בעצמם...

---

DOUG.  הממממ! [אירוני] למה שהם יעשו את זה?

---

ברווז.  ...זה לא מפריע לבדוק את המגבלה של 30 תווים או 68 תווים?

וזה בדיוק מה שהחוקרים האלה עשו.

והם גילו, בגלל שיש הצפת מאגר מחסנית, הם יכולים לשלוט בכתובת ההחזרה של פונקציה שהייתה בשימוש.

עם מספיק ניסוי וטעייה, הם הצליחו לסטות את הביצוע למה שמכונה בז'רגון "קוד מעטפת" לבחירתם.

יש לציין שהם יכלו להריץ פקודת מערכת שהריצה את wget הפקודה, שהורידה סקריפט, הפכה את הסקריפט לניתנת להפעלה והפעילה אותו.

---

DOUG.  בסדר, טוב…

...יש לנו כמה עצות במאמר.

אם יש לך אחד מהתקעים החכמים האלה, תבדוק את זה.

אני מניח שהשאלה הגדולה יותר כאן היא, בהנחה שבלקין מקיים את ההבטחה שלהם לא לתקן את זה... [צחוק רם]

...בעצם, כמה קשה לתקן את זה, פול?

או שזה יהיה יחסי ציבור טובים פשוט לסתום את החור הזה?

---

ברווז.  ובכן, אני לא יודע.

יכול להיות שיש הרבה אפליקציות אחרות, חביבי, עליהן לבצע את אותו סוג של תיקון.

אז אולי הם פשוט לא ירצו לעשות את זה מחשש שמישהו יאמר, "טוב, בוא נחפור עמוק יותר."

---

DOUG.  מדרון חלקלק…

---

ברווז.  זאת אומרת, זו תהיה סיבה רעה לא לעשות את זה.

הייתי חושב, בהתחשב בכך שזה ידוע כעת, ובהתחשב בכך שזה נראה כמו תיקון קל מספיק...

...פשוט (א) הידור מחדש של האפליקציות עבור המכשיר עם הגנת מחסנית מופעלת, במידת האפשר, ו-(ב) לפחות בתוכנית הספציפית הזו לשינוי "שם ידידותי", אל תאפשר שמות של יותר מ-68 תווים!

זה לא נראה כמו תיקון גדול.

אם כי, כמובן, התיקון הזה חייב להיות מקודד; יש לסקור אותו; זה חייב להיבדק; יש לבנות גרסה חדשה ולחתום עליה דיגיטלית.

אז צריך להציע את זה לכולם, והרבה אנשים אפילו לא יבינו שזה זמין.

ומה אם הם לא מתעדכנים?

זה יהיה נחמד אם מי שמודע לבעיה הזו יוכל לקבל תיקון, אבל נותר לראות אם בלקין יצפה שהם פשוט ישדרגו למוצר חדש יותר.

---

DOUG.  בסדר, בנושא העדכונים...

...שמרנו עין, כפי שאנו אומרים, על הסיפור הזה.

דיברנו על זה כמה פעמים: Clearview AI.

זוט אלאורס! Raclage crapuleux! Clearview AI בצרות ב-20% יותר בצרפת

לצרפת יש את החברה הזו על הכוונת של התרסה חוזרת ונשנית, וזה כמעט מגוחך עד כמה זה נהיה גרוע.

אז, החברה הזו מגרדת תמונות מהאינטרנט וממפה אותן לבני האדם שלהן, ורשויות אכיפת החוק משתמשות במנוע החיפוש הזה, כביכול, כדי לחפש אנשים.

גם למדינות אחרות היו בעיות עם זה, אבל צרפת אמרה, "זהו PII. זהו מידע אישי מזהה".

---

ברווז.  כן.

---

DOUG.  "קלירוויו, בבקשה תפסיק לעשות את זה."

וקלירוויו אפילו לא הגיב.

אז הם קיבלו קנס של 20 מיליון אירו, והם פשוט המשיכו ללכת...

וצרפת אומרת, "בסדר, אתה לא יכול לעשות את זה. אמרנו לך להפסיק, אז אנחנו הולכים לרדת עליך עוד יותר חזק. אנחנו הולכים לגבות מכם 100,000 יורו כל יום"... והם עדכנו את זה עד לנקודה שזה כבר עד 5,200,000 יורו.

וקלירוויו פשוט לא מגיב.

זה פשוט אפילו לא להכיר בכך שיש בעיה.

---

ברווז.  זה בהחלט נראה איך זה מתפתח, דאג.

מעניין, ולדעתי באופן סביר וחשוב מאוד, כשהרגולטור הצרפתי בדק את Clearview AI (באותו זמן הם החליטו שהחברה לא מתכוונת לשחק בכדור מרצון וקנס אותם ב-20 מיליון אירו)...

...הם גם גילו שהחברה לא רק אספה את מה שהם רואים בנתונים ביומטריים מבלי לקבל הסכמה.

הם גם הקשו על אנשים בצורה יוצאת דופן, מיותרת ובלתי חוקית לממש את זכותם (א') לדעת שהנתונים שלהם נאספו ונעשה בהם שימוש מסחרי, ו-ב') למחוק אותם אם הם רוצים בכך.

אלו זכויות שמדינות רבות עגנו בתקנות שלהן.

זה בהחלט, אני חושב, עדיין בחוק בבריטניה, למרות שאנחנו כעת מחוץ לאיחוד האירופי, וזה חלק מתקנת ה-GDPR הידועה באיחוד האירופי.

אם אני לא רוצה שתשמור את הנתונים שלי, אז אתה צריך למחוק אותם.

וכנראה שקלירוויו עשתה דברים כמו לומר, "אה, טוב, אם יש לנו את זה יותר משנה, זה קשה מדי להסיר את זה, אז זה רק נתונים שאספנו במהלך השנה האחרונה."

---

DOUG.  אהה. [צוחק]

---

ברווז.  אז אם אתה לא שם לב, או שאתה מבין רק אחרי שנתיים?

מאוחר מידי!

ואז הם אמרו, "אה, לא, מותר לך לשאול רק פעמיים בשנה."

אני חושב שכשהצרפתים חקרו, הם גם גילו שאנשים בצרפת התלוננו שהם צריכים לשאול שוב ושוב ושוב לפני שהם הצליחו להניע את הזיכרון של קלרוויו לעשות משהו בכלל.

אז מי יודע איך זה ייגמר, דאג?

---

DOUG.  זה זמן טוב לשמוע מכמה קוראים.

בדרך כלל אנחנו עושים את תגובת השבוע שלנו מקורא אחד, אבל שאלתם בסוף המאמר הזה:

אם היית {מלכה, מלך, נשיא, קוסם עליון, מנהיג מפואר, שופט ראשי, בורר ראשי, הנציב העליון לפרטיות}, והיית יכול לתקן את הבעיה עם {הינף שרביט שלך, מכת עט, רעד של השרביט שלך , תעלול מחשבתי של ג'די}...

...איך הייתם פותרים את ההפרעה הזו?

ורק כדי לשלוף כמה ציטוטים מהמגיבים שלנו:

• "עזוב עם הראש שלהם."
• "עונש מוות תאגידי".
• "סווג אותם כארגון פשע."
• "יש לכלוא גורמים גבוהים עד שהחברה תציית".
• "הכריז על לקוחות כקושרים".
• "פרוץ את מסד הנתונים ומחק הכל."
• "צור חוקים חדשים."

ואז ג'יימס יורד עם: "אני מפליץ לכיוון הכללי שלך. אמא שלך הייתה אמסטר, ואביך הריח סמבוק." [MONTY PYTHON והגביע הקדוש רֶמֶז]

מה שלדעתי עשוי להיות הערה למאמר הלא נכון.

אני חושב שהיה ציטוט של מונטי פייתון ב"Wodunnit?" מאמר.

אבל, ג'יימס, תודה שקפצת שם בסוף...

---

ברווז.  [צוחק] לא באמת צריך לצחוק.

האם אחד המגיבים שלנו לא אמר, "היי, הגש בקשה להודעה אדומה של האינטרפול? [מעין צו מעצר בינלאומי]

---

DOUG.  כן!

ובכן, נהדר... כמו שאנחנו נוהגים לעשות, אנחנו נשגיח על זה, כי אני יכול להבטיח לך שזה עדיין לא נגמר.

אם יש לך סיפור מעניין, הערה או שאלה שתרצה לשלוח, נשמח לקרוא בפודקאסט.

אתה יכול לשלוח דוא"ל ל-tips@sophos.com, אתה יכול להגיב על כל אחד מהמאמרים שלנו, או שאתה יכול לפנות אלינו בחברתית: @NakedSecurity.

זו ההופעה שלנו להיום; תודה רבה על ההקשבה.

עבור פול דאקלין, אני דאג אמות', מזכיר לך עד הפעם הבאה...

---

שניהם.  הישאר בטוח!

[מודם מוזיקלי]