S3 Ep135: 낮에는 시스템 관리자, 밤에는 강탈자

S3 Ep135: 낮에는 시스템 관리자, 밤에는 강탈자

타임 스탬프 : 18 년 2023 월 2 일 오후 48:XNUMX
소스 노드 : 2662163
by

내부자 공격(범인이 잡힌 곳)

아래에 오디오 플레이어가 없습니까? 듣다 직접 사운드클라우드에서.

Doug Aamoth와 Paul Ducklin과 함께. 인트로 및 아웃트로 음악 에디스 머지.

당신은 우리를들을 수 있습니다 사운드 클라우드, Apple Podcasts, Google 포드 캐스트, 스포티 파이, 스티 그리고 좋은 팟캐스트가 있는 곳이면 어디든지. 아니면 그냥 버리세요 RSS 피드의 URL 좋아하는 팟캐쳐에.

대본 읽기

더그.  내부 작업, 안면 인식 및 "IoT"의 "S"는 여전히 "보안"을 나타냅니다.

Naked Security 팟캐스트에서 이 모든 것.

[뮤지컬 모뎀]

팟캐스트에 오신 것을 환영합니다.

저는 Doug Aamoth입니다. 그는 폴 더클린이다.

폴, 오늘은 어때?

오리.  좋아, 더그.

당신은 당신의 캐치프레이즈, “우리는 그것을 주시할 것입니다”를 알고 있습니까?

더그.  [웃음] 호, 호, 호!

오리.  슬프게도, 이번 ​​주에 우리가 "주시하고 있는" 몇 가지 사항이 있으며, 여전히 잘 끝나지 않았습니다.

더그.  예, 이번 주에는 일종의 흥미롭고 비전통적인 라인업이 있습니다.

들어가 보자.

그러나 먼저 우리는 이번 주 기술 역사 세그먼트.

이번 주, 19년 1980월 XNUMX일에 Apple III가 발표되었습니다.

그것은 1980년 14,000월에 출하될 예정이었고, 그 시점에서 처음 XNUMX대의 Apple III가 리콜되었습니다.

이 기계는 1981년 XNUMX월에 다시 도입될 것입니다.

간단히 말해서 Apple III는 실패작이었습니다.

Apple의 공동 창업자인 Steve Wozniak은 기계의 실패 원인을 엔지니어가 아닌 마케팅 담당자가 설계했기 때문이라고 말했습니다.

아야!

오리.  뭐라고 해야할지 모르겠어, 더그. [웃음]

나는 자신을 마켓로이드가 아닌 기술자라고 생각하는 사람으로서 웃지 않으려고 노력하고 있습니다.

내 생각에 Apple III는 멋져 보이고 멋져 보이기 위한 것이었고 Apple II의 성공을 활용하기 위한 것이었습니다.

그러나 내 이해로는 Apple III (A)는 모든 Apple II 프로그램을 실행할 수 없었으며 이는 이전 버전과의 호환성에 약간의 타격을 주었고 (B) Apple II처럼 충분히 확장할 수 없었습니다.

도시전설인지 아닌지는 모르겠지만...

…하지만 나는 초기 모델이 공장에서 칩을 제대로 장착하지 못했고 문제를 보고하는 수령인이 책상에서 컴퓨터 전면을 몇 센티미터 들어 올려서 다시 충돌시키라는 지시를 받았다는 것을 읽었습니다.

[웃음]

이렇게 하면 칩이 처음에 있어야 했던 것처럼 제자리에 박히게 됩니다.

분명히 효과가 있었지만 제품 품질에 대한 최고의 광고는 아니 었습니다.

더그.  그렇지.

자, 첫 번째 이야기로 들어가 봅시다.

이것은 얼마나 나쁜지에 대한 경고 이야기입니다. 내부 위협 할 수 있고 아마도 그들이 성공하기가 얼마나 어려울 수 있는지, Paul.

누가? Cybercrook은 자신의 고용주를 몸값으로 6년형을 받습니다.

오리.  정말이지, 더글라스.

그리고 당신이 이야기를 찾고 있다면 네이키드시큐리티.소포스.com, 자막이 있는 것입니다. “누구? Cybercrook은 자신의 고용주에게 몸값을 지불한 대가로 6년형을 받습니다.”

그리고 거기에 이야기의 배짱이 있습니다.

더그.  웃으면 안되지만... [웃음]

오리.  그것은 일종의 재미 있고 재미 있지 않습니다.

공격이 전개된 방식을 보면 기본적으로 다음과 같기 때문입니다.

“이봐, 누가 침입했어. 우리는 그들이 사용한 보안 구멍이 무엇인지 모릅니다. 행동에 나서서 알아보도록 합시다.”

"안 돼! 공격자는 시스템 관리자 권한을 획득했습니다!”

"안 돼! 그들은 기가바이트의 기밀 데이터를 빨아들였습니다!”

"안 돼! 그들은 시스템 로그를 엉망으로 만들었기 때문에 우리는 무슨 일이 일어나고 있는지 모릅니다!”

"안 돼! 이제 그들은 상황을 조용히 유지하기 위해 50개의 비트코인(당시 미화 약 $2,000,000)을 요구하고 있습니다. 분명히 우리는 입막음 작업으로 $2백만을 지불하지 않을 것입니다.”

그리고 빙고, 사기꾼은 다크 웹에서 데이터를 유출하는 전통적인 방식을 사용하여 기본적으로 회사 신상 털기를 했습니다.

그리고 불행히도 "Whodunnit? "라는 질문이 있습니다. 답변: 회사 자체 시스템 관리자 중 한 명.

사실, 공격자를 찾아서 추방하기 위해 팀에 징집된 사람들 중 한 명입니다.

그래서 그는 문자 그대로 낮에는 이 공격자와 싸우는 척하고 밤에는 2만 달러의 협박 지불을 협상했습니다.

설상가상으로, 더그, 사람들이 그를 의심하게 되었을 때...

...그들이 한 일을 회사에 공평하게 합시다.

(누군지는 밝히지 않겠습니다. 그들의 신원은 잘 알려져 있지만 미국 법무부에서 그랬던 것처럼 Company-1이라고 부르겠습니다.)

그의 재산을 수색했고 나중에 범죄에 사용된 것으로 밝혀진 노트북을 압수한 것으로 보입니다.

심문을 받자 그는 '범죄가 최선의 방어' 과정을 거쳐 내부고발자 행세를 하고 분신으로 언론과 접촉했다.

그는 위반이 어떻게 발생했는지에 대해 완전히 잘못된 이야기를 했습니다. Amazon Web Services의 보안이 취약하거나 그와 유사한 것이었습니다.

그래서 그것은 여러 면에서 실제보다 훨씬 더 나빠 보이게 만들었고 회사의 주가는 상당히 심하게 떨어졌습니다.

그들이 위반했다는 소식이 있었을 때 어쨌든 떨어졌을 수도 있지만 확실히 그는 의심을 피하기 위해 훨씬 더 나쁘게 보이도록 자신의 길을 나간 것 같습니다.

다행히도 작동하지 않았습니다.

그는 *확실히* 유죄 판결을 받았고(그는 유죄를 인정했습니다) 헤드라인에서 말했듯이 XNUMX년형을 선고받았습니다.

그런 다음 1,500,000년 가석방을 받고 $XNUMX의 벌금을 갚아야 합니다.

더그.  이 물건을 만들 수 없습니다!

이 기사에는 훌륭한 조언이 있습니다. 세 가지 조언이 있습니다.

나는 이것이 첫 번째 것을 좋아합니다. 나누고 정복하십시오.

그게 무슨 뜻이야, 폴?

오리.  글쎄요, 이 경우 이 개인은 너무 많은 권력을 자신의 손에 집중시킨 것 같습니다.

그는 나중에 들어가서 로그를 엉망으로 만들고 회사의 다른 사람들이 한 것처럼 보이도록 시도하는 것을 포함하여 이 공격의 모든 작은 부분이 발생하도록 할 수 있었던 것 같습니다.

(그래서, 그가 얼마나 좋은 녀석인지 보여주기 위해 – 그는 동료들에게도 꿰매려고 했고, 그래서 그들이 곤경에 빠지게 했습니다.)

그러나 특정 핵심 시스템 활동에 두 사람, 이상적으로는 서로 다른 두 부서의 승인이 필요하도록 만드는 경우, 예를 들어 은행이 대규모 자금 이동을 승인하거나 개발 팀이 다음과 같이 결정할 때와 같습니다. 코드는 충분합니다. 우리는 다른 사람이 그것을 객관적이고 독립적으로 보도록 할 것입니다.”…

...그것은 고독한 내부자가 이러한 모든 트릭을 수행하는 것을 훨씬 더 어렵게 만듭니다.

그 과정에서 공동 승인이 필요하다고 다른 모든 사람들과 결탁해야 하기 때문입니다.

더그.  좋아요.

그리고 같은 맥락에서: 변경할 수 없는 로그를 유지합니다.

그거 좋네.

오리.  예.

메모리가 긴 청취자는 WORM 드라이브를 기억할 수 있습니다.

한 번 쓰고 많이 읽으십시오.

물론 기록할 수는 있지만 절대 *재기록*할 수는 없기 때문에 시스템 로그에 절대적으로 이상적이라고 선전했습니다.

자, 사실 저는 그들이 의도적으로 그런 식으로 설계되었다고 생각하지 않습니다... [LAUGHS] 아직 아무도 그것들을 다시 쓸 수 있게 만드는 방법을 몰랐다고 생각합니다.

하지만 그런 종류의 기술이 로그 파일을 보관하는 데 탁월하다는 것이 밝혀졌습니다.

초기 CD-R, CD-Recordables를 기억한다면 새 세션을 추가하여 예를 들어 10분의 음악을 녹음한 다음 나중에 10분의 음악을 추가하거나 100MB의 데이터를 추가할 수 있지만 돌아가서 전체를 다시 작성하십시오.

따라서 일단 잠그면 증거를 엉망으로 만들고자 하는 사람은 전체 CD를 파괴하여 증거 체인에서 눈에 띄게 제거하거나 손상시켜야 합니다.

그들은 원본 디스크를 가져 와서 내용을 다시 작성하여 다르게 표시되도록 할 수 없습니다.

물론 클라우드에서 이를 수행할 수 있는 모든 종류의 기술이 있습니다.

원한다면 이것은 "분할 정복" 동전의 다른 면입니다.

당신이 말하는 것은 로깅 정보를 생성할 수 있는 많은 시스템 관리자, 많은 시스템 작업, 많은 데몬 또는 서비스 프로세스가 있지만 이러한 정보를 만들기 위해 실제 의지와 협력이 필요한 곳으로 전송된다는 것입니다. 로그가 사라지거나 원래 생성되었을 때와 다르게 보입니다.

더그.  그리고 마지막으로 중요한 것은 다음과 같습니다. 항상 측정하고 가정하지 마십시오.

오리.  전혀.

이 경우 Company-1은 궁극적으로 이러한 모든 것 중 적어도 일부를 관리한 것으로 보입니다.

FBI가 이 녀석을 확인하고 심문했기 때문에… 공격을 시작한 지 약 XNUMX개월 이내에 생각합니다.

그리고 조사는 하룻밤 사이에 이루어지지 않습니다. 수색 영장이 필요하고 상당한 이유가 필요합니다.

따라서 그들이 옳은 일을 한 것처럼 보이며 그가 계속 신뢰할 수 있다고 말했기 때문에 맹목적으로 그를 계속 신뢰하지 않은 것 같습니다.

그의 중죄는 그대로 드러났습니다.

따라서 누구도 의심의 대상이 아니라고 생각하지 않는 것이 중요합니다.

더그.  알겠습니다. 바로 이동합니다.

가제트 제조업체인 Belkin은 기본적으로 인기 있는 스마트 플러그 중 하나에 대해 "수명 종료는 업데이트 종료를 의미합니다"라고 말하면서 뜨거운 물에 빠져 있습니다.

Belkin Wemo Smart Plug V2 – 패치되지 않는 버퍼 오버플로

오리.  Belkin의 반응이 좋지 않은 것 같습니다.

확실히 PR 관점에서 볼 때 많은 친구를 사귀지 못했습니다. 이 경우 장치는 소위 스마트 플러그 중 하나이기 때문입니다.

Wi-Fi 지원 스위치가 제공됩니다. 그들 중 일부는 전력 및 이와 유사한 다른 것들을 측정할 것입니다.

따라서 아이디어는 앱, 웹 인터페이스 또는 벽면 콘센트를 켜고 끌 수 있는 무언가를 가질 수 있다는 것입니다.

따라서 결함이 제품에 있다는 것은 약간의 아이러니입니다. 해킹을 당하면 누군가 기본적으로 기기를 연결할 수 있는 스위치를 켜고 끌 수 있습니다.

제가 Belkin이라면 "저희는 더 이상 지원하지 않지만 이 경우에는... 네, 패치를 내놓겠습니다."

그리고 그것은 버퍼 오버플로입니다, Doug, 평범하고 단순합니다.

[웃음] 오 이런...

기기를 연결할 때 앱, 예를 들어 휴대전화에 표시되도록 고유한 식별자가 있어야 합니다. Belkin Wemo plug.

가서 그것을 바꾸고 Belkin이 "친숙한 이름"이라고 부르는 것을 넣고 싶을 것입니다.

그래서 전화 앱으로 들어가서 원하는 새 이름을 입력합니다.

음, 장치 자체의 앱에 새 이름에 대한 68자 버퍼가 있는 것 같습니다. 하지만 68바이트보다 긴 이름을 입력하지 않는지 확인할 수 없습니다.

어리석게도 아마도 시스템을 구축한 사람들은 이름을 변경하기 위해 앱을 사용할 때 *휴대폰에 입력한 이름의 길이만 확인하면 충분하다고 판단했을 것입니다. 애초에 너무 긴 이름.”

그리고 실제로 전화 앱에서는 30자 이상을 입력할 수 없으므로 매우 안전합니다.

큰 문제!

공격자가 앱을 사용하지 않기로 결정하면 어떻게 됩니까? [웃음]

그들이 직접 작성한 파이썬 스크립트를 사용한다면…

더그.  흠! [IRONIC] 그들은 왜 그럴까요?

오리.  ...30자 또는 68자 제한을 확인하지 않아도 되나요?

이것이 바로 이 연구자들이 한 일입니다.

그리고 그들은 스택 버퍼 오버플로가 있기 때문에 사용 중인 함수의 반환 주소를 제어할 수 있다는 것을 알아냈습니다.

시행착오를 충분히 겪으면서 전문 용어로 알려진 "쉘코드"로 실행을 전환할 수 있었습니다.

특히, 그들은 다음을 실행하는 시스템 명령을 실행할 수 있습니다. wget 스크립트를 다운로드하고 스크립트를 실행 가능하게 만들고 실행했습니다.

더그.  좋아, 음…

… 기사에서 몇 가지 조언을 얻었습니다.

이 스마트 플러그 중 하나가 있으면 확인 해봐.

여기서 더 큰 질문은 Belkin이 이 문제를 해결하지 않겠다는 약속을 지킨다고 가정할 때입니다. [크게 웃음]

… 기본적으로, 이 문제를 해결하기가 얼마나 어려운가요, Paul?

아니면 그냥 이 구멍을 막는 것이 좋은 홍보일까요?

오리.  글쎄요.

같은 종류의 수정 작업을 수행해야 하는 다른 많은 앱이 있을 수 있습니다.

그래서 그들은 누군가가 "글쎄, 더 깊이 파고들자"라고 말할까봐 두려워서 이것을 하고 싶어하지 않을 수도 있습니다.

더그.  미끄러운 경사…

오리.  내 말은, 그것은 그것을 하지 않는 나쁜 이유가 될 것입니다.

나는 이것이 현재 잘 알려져 있고 충분히 쉽게 고칠 수 있다고 생각했을 것입니다…

... 가능하면 (A) 스택 보호가 켜진 장치용 앱을 다시 컴파일하고 (B) 적어도 이 "친숙한 이름" 변경 프로그램에서는 68자보다 긴 이름을 허용하지 마십시오!

주요 수정 사항은 아닌 것 같습니다.

물론 수정 사항을 코딩해야 합니다. 검토해야 합니다. 테스트를 거쳐야 합니다. 새 버전을 빌드하고 디지털 서명해야 합니다.

그런 다음 모든 사람에게 제공되어야 하며 많은 사람들은 그것이 사용 가능하다는 사실조차 깨닫지 못할 것입니다.

업데이트하지 않으면 어떻게 됩니까?

이 문제를 알고 있는 사람들이 문제를 해결할 수 있다면 좋겠지만 Belkin이 단순히 새 제품으로 업그레이드하기를 기대할지 여부는 여전히 남아 있습니다.

더그.  알겠습니다. 업데이트 주제에 대해…

...우리는 이 이야기를 주시하고 있습니다.

우리는 Clearview AI에 대해 여러 번 이야기했습니다.

괜찮아! 라클라주 크라풀! 프랑스에서 Clearview AI가 20% 더 많은 문제 발생

프랑스는 이 회사를 반복적인 반항의 대상으로 삼고 있으며 이것이 얼마나 악화되었는지는 거의 우스꽝스럽습니다.

그래서 이 회사는 인터넷에서 사진을 긁어내어 각각의 사람과 매핑하고 법 집행 기관은 이 검색 엔진을 사용하여 사람을 찾습니다.

다른 나라들도 이것에 문제가 있었지만 프랑스는 “이것은 PII입니다. 이것은 개인 식별 정보입니다.”

오리.  예.

더그.  "클리어뷰, 제발 그만해."

그리고 Clearview는 응답조차 하지 않았습니다.

그래서 그들은 20만 유로의 벌금을 물었고, 그들은 계속해서...

그리고 프랑스는 이렇게 말하고 있습니다. “좋아요, 이건 할 수 없어요. 그만하라고 했으니 더 세게 내리겠다. 우리는 당신에게 매일 €100,000를 청구할 것입니다.”…

그리고 Clearview는 응답하지 않습니다.

문제가 있다는 사실조차 인정하지 않는 것입니다.

오리.  확실히 그렇게 전개되고 있는 것 같군요, 더그.

흥미롭게도, 제 생각에는 상당히 합리적이고 매우 중요하게도, 프랑스 규제 당국이 Clearview AI를 조사했을 때(당시 그들은 회사가 자발적으로 플레이하지 않을 것이라고 결정하고 20만 유로의 벌금을 부과했습니다)…

… 그들은 또한 회사가 동의 없이 생체 인식 데이터라고 생각하는 것을 수집하는 것이 아니라는 사실을 발견했습니다.

그들은 또한 사람들이 (A) 자신의 데이터가 수집되어 상업적으로 사용되고 있음을 알 권리와 (B) 원하는 경우 데이터를 삭제할 권리를 행사하는 것을 믿을 수 없을 정도로, 불필요하게, 불법적으로 어렵게 만들고 있었습니다.

이는 많은 국가에서 규정에 명시한 권리입니다.

우리가 현재 유럽 연합 밖에 있고 유럽 연합에서 잘 알려진 GDPR 규정의 일부이지만 영국에서는 여전히 법에 속한다고 생각합니다.

내 데이터를 유지하지 않으려면 데이터를 삭제해야 합니다.

그리고 분명히 Clearview는 "아, 글쎄, 우리가 XNUMX년 이상 가지고 있었다면 제거하기가 너무 어렵기 때문에 지난 XNUMX년 동안 수집한 데이터일 뿐입니다."

더그.  아아아아. [웃음]

오리.  그래서, 만약 당신이 눈치채지 못한다면, 아니면 XNUMX년 후에야 깨닫게 될까요?

너무 늦었어!

그리고 그들은 "오, 아니오, XNUMX년에 두 번만 요청할 수 있습니다."라고 말했습니다.

제 생각에 프랑스인들이 조사를 했을 때 그들은 프랑스 사람들이 Clearview의 기억을 되살려 무엇인가를 하기 전에 계속해서 물어봐야 한다고 불평하고 있다는 것을 발견했습니다.

그래서 이것이 어떻게 끝날지 누가 압니까, Doug?

더그.  여러 독자들의 의견을 들을 수 있는 좋은 시간입니다.

우리는 보통 한 명의 독자로부터 금주의 논평을 하지만 이 기사의 끝에서 다음과 같이 질문했습니다.

당신이 {여왕, 왕, 대통령, 최고 마법사, 영광스러운 지도자, 수석 판사, 수석 중재자, 프라이버시 고등 판무관}이고 {지팡이 흔들기, 펜 휘젓기, 홀 흔들기로 이 문제를 해결할 수 있다면 , 제다이 마인드 트릭}…

...이 대치 상황을 어떻게 해결하시겠습니까?

댓글 작성자의 인용문을 인용하면 다음과 같습니다.

  • "그들의 머리와 떨어져."
  • “기업 사형.”
  • “범죄조직으로 분류하라.”
  • “상사는 회사가 따를 때까지 투옥되어야 합니다.”
  • "고객을 공모자로 선언하십시오."
  • "데이터베이스를 해킹하고 모든 것을 삭제하십시오."
  • "새로운 법을 만드십시오."

그런 다음 James는 다음과 같이 내립니다. “나는 당신의 일반적인 방향으로 방귀를 뀌었습니다. 당신의 어머니는 '암스터'였고, 당신의 아버지는 엘더베리 냄새가 났습니다." [몬티 파이톤과 성배 암시]

잘못된 기사에 대한 댓글 일 수 있다고 생각합니다.

"Whodunnit?"에 Monty Python 인용문이 있었던 것 같습니다. 기사.

하지만 제임스, 마지막에 뛰어줘서 고마워요…

오리.  [웃음] 정말 웃으면 안됩니다.

댓글 작성자 중 한 명이 “이봐, Interpol Red Notice를 신청해? [일종의 국제 체포 영장]

더그.  네!

글쎄요... 우리가 자주 하는 일이지만 계속 주시할 것입니다. 왜냐하면 이것이 아직 끝나지 않았다고 확신할 수 있기 때문입니다.

제출하고 싶은 흥미로운 이야기, 의견 또는 질문이 있는 경우 팟캐스트에서 읽고 싶습니다.

귀하는 Tips@sophos.com으로 이메일을 보내거나, 당사 기사에 댓글을 달거나, @NakedSecurity 소셜에서 연락할 수 있습니다.

이것이 오늘의 쇼입니다. 들어주셔서 대단히 감사합니다.

Paul Ducklin에게 저는 Doug Aamoth라고 합니다. 다음 시간까지...

양자 모두.  보안 유지!

[뮤지컬 모뎀]

타임 스탬프 :

더보기 노출 된 보안