データ侵害 – 尻尾の刺し傷
下の音波をクリックしてドラッグし、任意のポイントにスキップします。 あなたもすることができます 直接聞く Soundcloudで。
ダグ・アーモスとポール・ダックリンと。 イントロとアウトロの音楽 エディスマッジ.
あなたは私たちに聞くことができます Soundcloud, Apple Podcasts, Googleポッドキャスト, Spotifyは, 縫い合わせます そして、その良いポッドキャストが見つかるところならどこでも。 または単にドロップします RSSフィードのURL お気に入りのポッドキャッチャーに。
トランスクリプトを読む
ダグ。 SIM スワッピング、ゼロデイ、[劇的な声] Ping of DEATH、そして LastPass … 再び。
NakedSecurityポッドキャストのすべてとそれ以上。
【ミュージックモデム】
みなさん、ポッドキャストへようこそ。
私はダグ・アモスです。
いつものように、私と一緒にいるのはポール・ダックリンです。
ポール、どうしますか?
アヒル。 よかったね、ダグ。
あのイントロにハイドラマチックなサウンドを入れてくださって、嬉しいです!
ダグ。 さて、[ドゥームメタルのうなり声]「Ping of DEATH」と言わずに、どうやって「Ping of Death」と言うのでしょうか?
【優しい声】「死のピン」としか言えない。
あなたはそれを少しパンチしなければなりません…
アヒル。 そうだと思います。
それは書面で異なります - あなたは何を持っていますか?
太字と斜体。
私は通常のテキストを使用しましたが、大文字を使用したので役に立ちました。
ダグ。 はい、「死」という言葉を太字にしてイタリック体にすると思いますので、[再びドゥーム メタル]「The Ping of DEATH」とします。
アヒル。 そして多色使い!
次回はそうします、ダグ。
ダグ。 古いものを壊す タグを HTML に追加して、少し点滅させますか? [笑う]
アヒル。 ダグ、一瞬、あなたがその言葉を使うのではないかと心配しました [笑] .
ダグ。 [笑い] 私たちはここで古いものが大好きです!
そして、それは私たちの 今週の技術史 セグメント – 聞いたことがなかったので、これに興奮していますが、偶然見つけました.
今週、04 年 2001 月 XNUMX 日、Goner ワームは、Love Bug ウイルスに次ぐペースでインターネットを荒らしました。
Goner は Microsoft Outlook を介して拡散し、疑いを持たない被害者に対して、実行されると楽しいスクリーン セーバーが提供されると約束しました。
アヒル。 ゴーナー…
最後にペンタゴンに言及したポップアップがあったので、その名前が付けられたと思いますか?
しかし、それは駄洒落のつもりでした – それは「Penta/Gone」でした.
これは確かに、Windows スクリーンセーバーが単なる実行可能プログラムであることを人々に思い出させるワームでした。
だから、あなたが特別に探していたなら .EXE ファイル、まあ、それらはでラップすることができます .SCR (スクリーンセーバー) ファイルも同様です。
ファイル名だけに頼っていると、簡単にだまされる可能性があります。
悲しいことに、多くの人がそうでした。
ダグ。 よし、オールドスクールからニュースクールへ。
LastPass について話しているのです。侵害がありました。 侵害自体はひどいものではありませんでした。 しかし、その侵害が別の侵害につながっています。
それとも、これは元の侵害の継続に過ぎないのでしょうか?
アヒル。 はい、LastPass は基本的に前回の侵害 (2022 年 XNUMX 月だったと思います) のフォローアップとしてそれについて書いていますね。
当時私たちが言ったように、LastPass にとっては非常に恥ずかしい外観でした。
しかし、侵害が進むにつれ、PR、マーケティング、そして (おそらく) 知的財産部門にとってはさらに悪化したと思われます。なぜなら、詐欺師が持ち去った主なものは、開発システムのソース コードだったように思われるからです。
そして、LastPass はすぐに人々を安心させました…
第一に、彼らの調査によると、彼らがそこにいる間、詐欺師は後で実際のコードに浸透する可能性のある不正な変更を行うことができませんでした。
次に、開発システムにアクセスしても、実際のコードがビルドされる本番システムにはアクセスできません。
そして XNUMX 番目に、暗号化されたパスワード ボールトが盗まれたようには見えなかったため、暗号化されたパスワードのクラウド ストレージにはアクセスされなかったと言うことができました。
また、アクセスされたとしても、パスワードを知るのはあなただけです。なぜなら、復号化 (ポッドキャストで話したときにあなたが「重労働」と呼んだもの) は、実際にはデバイスのメモリ内で行われるためです。LastPass はあなたのパスワード。
そして XNUMX 番目に、私たちの知る限りでは、その侵害の結果、開発環境にあったものの一部が同じ結果をもたらしたということです。前のロットから盗まれたデータ、誰が知っていますか?
これにより、彼らはクラウド サービスに侵入することができました。そこでは、まだ明らかに知られていない顧客データのセットが盗まれました。
侵害が発生した後、実際に何がアクセスされたのかを突き止めるには時間がかかる可能性があるため、彼らはまだよくわかっていないと思います。
ですから、これはオリジナルの違反の B 面のようなものであると言っても過言ではありません。
ダグ。 わかりました。LastPass の顧客である場合は、会社のセキュリティ インシデント レポートを監視することをお勧めします。
この話はまだまだ発展途上なので見守っていきたいと思います。
ポールと私のように、生計を立てるためにサイバー犯罪と戦っているのであれば、Uber の侵害から学べる優れた教訓がいくつかあります。
これは、ポールが LastPass の記事の最後に埋め込んだチェスター ウィスニエフスキーのポッドキャスト エピソード (「ミニソード」) です。
その面で学ぶことはたくさんあります!
アヒル。 あなたが言うように、それは素晴らしい耳です。なぜなら、それはアメリカでは「実用的なアドバイス」または「あなたが使えるニュース」として知られているからです。
ダグ。 [笑い]素晴らしい。
実際には使えないニュースといえば、Apple は一般的にセキュリティ更新について口を閉ざしています…そしてセキュリティ更新がありました:
アヒル。 ああ、ダグ、それはあなたの最高の XNUMX つです.私はそのセグエが好きです.
ダグ。 [笑] ありがとうございます。 どうもありがとうございます。
アヒル。 はい、これには驚きました。
「まじめに聞こえるから、アップデートを入手しよう」と思いました。
そして、「Naked Security の読者のためにやらせてください」と自分に言い聞かせました。
もし私がそれをして副作用がなければ、少なくとも他の人に言うことができるからです。 だから、あなたにもそれができるかもしれません。」
Apple からセキュリティ アドバイザリ メールを受け取っていなかったにもかかわらず、利用可能な iOS 16.1.2 アップデートがあることに突然気付きました。
メールが来ない!?
それは奇妙です..だから私はに行きました HT201222 Apple がセキュリティ速報用に持っているポータル ページには、iOS 16.1.2 がありました。
ダグ、「詳細はすぐに続きます」とは何と言っていますか?
ダグ。 そして、彼らはすぐに続きましたか?
アヒル。 ええと、それは XNUMX 週間以上前のことで、まだそこにいません。
では、「すぐに」というのは、数時間、数日、数週間、または数か月を意味するのでしょうか?
現時点では、数週間のようです。
そして、いつものように Apple の場合と同様に、他のオペレーティング システムとは何の関係もありません。
彼らは忘れられましたか?
彼らはアップデートを必要としませんか?
彼らも更新が必要でしたが、まだ準備ができていませんか?
それらはサポート対象外になりましたか?
しかし、私が見出しで述べたように、Apple にとってはいつもよりもさらに口を閉ざしているように見え、必ずしも世界で最も役立つものではありませんでした。
ダグ。 OK、非常に良い... まだいくつかの質問がありますが、それが次の話につながります。
とても興味深い質問です!
サービスにサインアップして XNUMX 要素認証を強制すると、「テキスト メッセージで通知を受け取りますか、それとも認証アプリを使用しますか?」と表示されることがあります。
この話は、携帯電話を使わないように注意するための話です。たとえ少し面倒でも、認証アプリを使用してください。
これは非常に興味深い話です。
アヒル。 だ、ダグ!
携帯電話を紛失したり、何度も間違った PIN を入力して SIM カードからロックアウトされたりしたことがある場合は、携帯電話ショップに行くことができることを知っているでしょう…
…そして通常、彼らは ID か何かを尋ねてきます。あなたは「ねえ、新しい SIM カードが必要です」と言います。
そして、彼らはあなたのためにそれを生成します.
携帯電話に入れると、ビンゴ!… 古い番号が入っています。
つまり、詐欺師が SIM カード (つまり、あなたの SIM カード) を「紛失」または「破損」したことを携帯電話会社に納得させるのと同じ演習を行うことができれば、そのカードは、彼らに渡された、または送られた、または何らかの方法で与えられました...
…そして、それを自分の電話に差し込むと、SMS XNUMX 要素認証コードを取得し始め、*そして* 電話が機能しなくなります。
それは悪いニュースです。
この記事の良いニュースは、これが逮捕されたチャップのケースであるということです.
彼は米国で 18 か月間刑務所に送られました。
彼は、多くの共犯者と共に、または、司法省の言葉を借りれば、 スキーム参加者… [笑う]
…彼らは 20 人の特定の被害者の暗号通貨を手に入れました。
ダグ。 ウーフ!
アヒル。 それで彼は有罪を認め、実刑判決を受け、すぐに没収することに同意した…金額は[注意深く読んで]983,010.72ドルだった…ただそれをすぐに没収するために。
それで、おそらく、彼はそれを横たわっていたのでしょう。
また、彼には 20 万ドル以上を返金する何らかの法的義務があるようです。
ダグ。 皆さん、頑張ってください! 幸運を。
彼の他の[ボーカルイタリック体] スキーム参加者 そこで問題が発生する可能性があります。 [笑う]
アヒル。 はい、彼らも協力を拒否したらどうなるかわかりません。
たとえば、彼らが彼を干して乾かしたら、どうなりますか?
しかし、この記事では、(使用する 2FA 以外の方法で) セキュリティを強化する方法について、いくつかのヒントとアドバイスを提供しています。
だから行ってそれを読んでください…少しでも役に立ちます。
ダグ。 さて、「ちょっとしたこと」といえば…
…これも興味深い話でした。 ping リモートコード実行をトリガーするために使用できます。
アヒル。 [セグエがまた好き] Doug さん、よくなったと思います!
ダグ。 [笑] 今日は順調に進んでいます…
アヒル。 アップルから[ドゥームボーカルの弱い試み]Ping of DEATHまで!
はい、これは興味深いバグでした。
私はそれが実際に多くの人々に大きな害を及ぼすとは思いませんし、*パッチ*が適用されているので、修正は簡単です。
しかし、FreeBSD にはすばらしい記事があります。 セキュリティ勧告...
…そしてそれは面白いものであり、私自身がそう言うなら、依存していたかもしれない現在の世代のプログラマーにとって非常に有益な物語です。 低レベルのネットワーク パケットを処理していますか? 考えなくていいよ…」
ここには、学ぶべき素晴らしい教訓がいくつかあります。
ping ユーティリティは、誰もが知っているネットワーク ツールの XNUMX つであり、その名前は SONAR に由来します。
あなたは行く [映画の潜水艦の音を立てる] ping、そしてエコーが反対側のサーバーから戻ってきます。
これは、インターネット制御メッセージ プロトコルである ICMP と呼ばれるものを使用して、インターネット プロトコル (IP) に組み込まれている機能です。
これは特別な低レベル プロトコルであり、おそらく人々が慣れ親しんでいる UDP や TCP よりもはるかに低く、まさにこのようなことのために設計されています。 Web サーバーが動作していませんか?」
「ICMP Echo」と呼ばれる、送信できる特別な種類のパケットがあります。
つまり、この小さな小さなパケットに短いメッセージを入れて送信すると (メッセージは好きなものでかまいません)、まったく同じメッセージが返されます。
これは、「メッセージが返されない場合は、ネットワークまたはサーバー全体がダウンしている」という基本的な言い方であり、コンピューターに何らかのソフトウェアの問題があるということではありません。
SONAR との類推により、これらのエコー要求を送信するプログラムは… [一時停止] 音響効果を行うつもりです、ダグ… [再び偽の潜水艦映画ノイズ] ping. [笑い]
そしてアイデアは、あなたが行く、言うことです、 ping -c3 (つまり、XNUMX回チェックすることを意味します) nakedsecurity.sophos.com.
今すぐ実行できます。サイトをホストしている WordPress サーバーから XNUMX 秒間隔で XNUMX つの応答が返されるはずです。
そして、サイトは生きていると言っています。
Web サーバーが稼働していることを示しているわけではありません。 WordPress が稼働していることを示しているわけではありません。 Naked Security が実際に読み取り可能であることを示しているわけではありません。
ただし、少なくともサーバーが表示され、サーバーがあなたに到達できることを確認します.
そして、その控えめな ping 応答が FreeBSD をつまずかせる可能性があると誰が考えたでしょうか。 ping 不正なサーバーがブービートラップされた「はい、私は生きています」というメッセージを送り返すことができるような方法でプログラムし、理論上 (理論上のみ; 実際にこれを行った人はいないと思います) でリモートコード実行をトリガーできます。あなたのコンピュータ。
ダグ。 はい、それは素晴らしいことです。 それは素晴らしい部分です。
たとえそれが概念実証であっても、それはとても小さなことです!
アヒル。 ping プログラム自体が IP パケット全体を取得し、それを XNUMX つの部分に分割することになっています。
通常、カーネルがこれを処理するので、データ部分だけが表示されます。
しかし、あなたが呼ばれるものを扱っているとき 生ソケット、返されるのはインターネット プロトコル ヘッダーで、「ねえ、これらのバイトはこれこれのサーバーから来ました」というだけです。
そして、返されるパケットの後半部分である「ICMP Echo Reply」と呼ばれるものを受け取ります。
これらのパケットは通常 100 バイト程度です。IPv4 の場合、最初の 20 バイトは IP ヘッダーで、残りは何であってもエコー応答です。
これには、「これは Echo Reply です」と言う数バイトがあり、その後、送信された元のメッセージが戻ってきます。
そして、ダグ、あなたがそれを手に入れたら、それを分割するのは当然のことです…
…20 バイト長の IP ヘッダーと残り。
問題がどこにあると思いますか?
ダグ。 教えてよ!
アヒル。 問題は、IP ヘッダーの長さが *ほとんど常に* 20 バイトであることです。実際、そうでないものを見たことがないと思います。
最初のバイトは 20 進数であるため、長さが XNUMX バイトであることがわかります。 0x45.
「4」は IPv4 を意味し、「5」は…「ああ、ヘッダーの長さを示すためにそれを使用します。」
その数値 5 に 4 を掛けると (32 ビット値の場合)、20 バイトになります。
…そしてこれは、おそらく全世界で見られる IP ヘッダーの XNUMX シグマに相当するサイズです、ダグ。 [笑い]
しかし、それらは 60 バイトまで*できます*。
入れたら 0x4F 0x45、つまり、ヘッダーに 0xF (または 15 進数で 4) × 60 = XNUMX バイトがあることを示します。
そして、FreeBSD コードは単純にそのヘッダーを取得し、20 バイトのサイズのスタック上のバッファーにコピーしました。
シンプルで昔ながらのスタック バッファ オーバーフロー。
これは、由緒あるタイプのバグを含む、由緒あるネットワーク トラブルシューティング ツールのケースです。 (まあ、もうありません。)
したがって、プログラミングをしていて、長い間誰も考えたことのないような低レベルのものに対処しなければならない場合、「ああ、常に 20 バイトになるだろう」という通念に従ってはいけません。 これ以上大きなものは見られません。」
いつかあなたがそうするかもしれないからです。
そしてその日が来たら、詐欺師が故意に作ったので、意図的にそこにあるかもしれません。
つまり、いつものように、悪魔はプログラミングの詳細にあります、ダグ。
ダグ。 わかりました、非常に興味深いです。 素晴らしい話。
そして、Chrome に関するこの最終話で、コードの主題に固執します。
もう 2022 つのゼロデイにより、XNUMX 年の合計は XNUMX 回になりました。
アヒル。 [正式な音声、録音のように聞こえる] 「9 番。9 番。9 番、9 番」ダグラス。
ダグ。 [笑] オノ・ヨーコですか?
アヒル。 これは1日あたり 革命9 ビートルズの「ホワイト・アルバム」より。
ヨーコがその曲でリフしているのが聞こえます。 サウンドスケープ、彼らはそれを呼んだと思いますが、どうやら冒頭で誰かが何度も「9番、9番」と言っている部分は、実際、彼らが転がっているのを見つけたテストテープでした.
ダグ。 ああ、とてもかっこいい。
アヒル。 EMI エンジニアが「これは EMI テスト テープの 9 番です」などと言っていますが [笑い]、どうやら誰の声だったのかさえわからないようです。
Chrome とは関係ありません、ダグ。
しかし、先日誰かが Facebook にコメントしたことを考えると、「あのポールの男はビートルズに見え始めている」… [疑問] 私は少し奇妙に感じました.
ダグ。 [笑い] はい、どうやってそれを受け取ることになっていますか?
アヒル。 …「ナンバーナイン」で外食できると思った。
Doug さん、今のところ今年で XNUMX 回目のゼロデイです。
これは 2022 つのバグ修正であり、バグは CVE 4282-XNUMX として識別されます。
Microsoft Edge は Chromium オープンソース コアを使用しているため、これにも脆弱性があり、数日後、Microsoft は Edge の更新をフォローアップしました。
したがって、これは Chrome と Edge の両方の問題です。
これらのブラウザーは自動的に更新されるはずですが、念のために確認することをお勧めします。
バージョン番号は Mac、Linux、および Chrome 上の Windows で異なり、Edge でも異なるため、ここではバージョン番号を読み上げません。
Apple と同様に、Google もこの問題について少し口を閉ざしている。
彼らの脅威ハンティング チームの XNUMX つによって発見されたと私は信じています。
したがって、Google は通常、バグ修正に関して「オープン性」について多くのことを述べていますが、実際に発生したインシデントを調査しているときにそれを見つけたので、おそらくそれを把握しておきたいと考えていると思います。
このような場合、どのように機能するかを全員に正確に説明する前に、もう少し深く掘り下げる時間が必要な理由がわかります。
ダグ。 素晴らしい…そして、おそらく多くの人が考えている質問である読者の質問があります.
Cassandra は次のように質問しています。 それとも、バグでいっぱいの「継ぎ目」にぶつかったのでしょうか? それとも、Chromium は通常よりもバグの多い新しいコードを発行していますか? それとも何か他のことが起こっていますか?」
アヒル。 はい、それは実際には素晴らしい質問です。残念ながら、少しおかしな方法でしか答えることができませんでした、ダグ。
Cassandra が A)、B)、C) の選択肢を与えたので、私は言いました。 D) 上記のすべて。
特定の種類のバグがコードに現れた場合、同じプログラマーがソフトウェアの他の場所で同様のバグを作成した可能性があると想定するのが妥当であることはわかっています。
あるいは、同じ会社の他のプログラマーが、当時一般に受け入れられていた知識や標準的な慣行と考えられていたものを使用していた可能性があり、それに倣った可能性もあります。
良い例は、Log4J を振り返ってみると、問題にパッチを当てるための修正があったということです。
で、調べてみると「実は他にも似たような失敗をしている所があるんです」。
それで修正のための修正があり、それから修正のための修正がありました。
もちろん、新しいコードを追加すると、その新しいコードに固有のバグが発生し、機能が追加されたために発生する可能性があるという問題もあります。
そのため、Chrome を含む多くのブラウザーには、好みに応じて使い続けることができる「少し古い」バージョンがあります。
そして、これらの「古い」リリースには、新しい機能はありませんが、関連するすべてのセキュリティ修正が含まれているという考えです。
したがって、新機能について保守的になりたい場合は、そうすることができます。
しかし、製品に新機能を追加すると、新機能に伴って新しいバグが発生することがあります。
たとえば、iPhone のアップデートがあり、iOS 15 や iOS 16 のアップデートがある場合などに、それがわかります。
それから、バグリストを見ると、iOS 16 だけに当てはまるバグがいくつかあります。
そして、「こんにちは、これは以前には存在しなかったコードのバグに違いない」と考えます。
そうですね、その可能性はあります。
そして、進行中の他のことは良いと考えられると思います。
XNUMX つ目は、特にブラウザーのようなものについては、ブラウザー メーカーが完全な再構築を非常に迅速に行うことで、はるかに優れていると私が思うことです。
ダグ。 面白い。
アヒル。 もう XNUMX つの変更点は、以前は、多くのベンダーにとって、月単位のスケジュールでしかリリースされなかったとしても、パッチをまったく適用してもらうのは非常に困難であったと主張できたということです。それらには複数のゼロデイ修正が含まれていました。
おそらくそれは、自動更新を受け入れるだけでなく、実際に迅速な自動更新を*期待*する可能性がますます高まっているという事実への対応でもあると思います.
ですから、これにはいくつかの良いことが読み取れると思います。
Google が単一のゼロデイ フィックスをほぼ瞬時にプッシュできるという事実だけでなく、人々がそれを喜んで受け入れ、要求することさえあります。
だから私は、「うわー、年にXNUMXつのゼロ日が個別に修正された!」という問題を見るのが好きです…
…私はそれを、「グラスが半分空で、底の小さな穴から排出される」というよりも、「グラスが半分満たされ、満たされる」と考えるのが好きです。 [笑い]
それが私の意見です。
ダグ。 わかりました、とても良いです。
ご質問ありがとうございます、カサンドラ。
投稿したい興味深いストーリー、コメント、質問がある場合は、ポッドキャストで読んでください。
tips@sophos.com に電子メールを送信するか、ソフォスの記事にコメントするか、ソーシャル (@NakedSecurity) でご連絡ください。
それが今日の私たちのショーです。 聞いてくれてありがとう。
Paul Ducklin は Doug Aamoth です。念のために言っておきますが、次回までは…
どちらも。 安全を確保してください!
【ミュージックモデム】
