S3 Ep135: Sysadmin om dagen, utpresser om natten

S3 Ep135: Sysadmin om dagen, utpresser om natten

Tidsstempel: 18. mai 2023 2:48
Kilde node: 2662163
by

ET INSIDERANgrep (DER PERPEN BLE FANGET)

Ingen lydspiller under? Lytte direkte på Soundcloud.

Med Doug Aamoth og Paul Ducklin. Intro- og outromusikk av Edith Mudge.

Du kan lytte til oss på Soundcloud, Apple Podcasts, Google Podcasts, Spotify, Stitcher og hvor som helst hvor du finner gode podcaster. Eller bare dropp URL til RSS-feeden vår inn i din favoritt podcatcher.

LES TRANSKRIPTET

DOUG.  Innsidejobber, ansiktsgjenkjenning og "S" i "IoT" står fortsatt for "sikkerhet".

Alt det, og mer, på Naked Security-podcasten.

[MUSIKK MODEM]

Velkommen til podcasten, alle sammen.

Jeg er Doug Aamoth; han er Paul Ducklin.

Paul, hvordan har du det i dag?

AND.  Veldig bra, Doug.

Du kjenner slagordet ditt, "Vi holder øye med det"?

DOUG.  [LETER] Ho, ho, ho!

AND.  Dessverre er det flere ting denne uken som vi har "holdt øye med", og de har fortsatt ikke endt bra.

DOUG.  Ja, vi har et interessant og utradisjonelt utvalg denne uken.

La oss gå inn i det.

Men først starter vi med vår Denne uken i teknisk historie segment.

Denne uken, den 19. mai 1980, ble Apple III annonsert.

Den skulle sendes i november 1980, da de første 14,000 XNUMX Apple III-ene fra linjen ble tilbakekalt.

Maskinen ville bli introdusert igjen i november 1981.

Lang historie kort, Apple III var en flopp.

Apples medgründer Steve Wozniak tilskrev maskinens feil at den ble designet av markedsføringsfolk i stedet for ingeniører.

Au!

AND.  Jeg vet ikke hva jeg skal si til det, Doug. [LATTER]

Jeg prøver å ikke smile, som en person som anser seg selv som en teknolog og ikke en marketroid.

Jeg tror Apple III var ment å se bra ut og se kul ut, og det var ment å utnytte suksessen til Apple II.

Men min forståelse er at Apple III (A) ikke kunne kjøre alle Apple II-programmer, noe som var litt av et bakoverkompatibilitetsslag, og (B) var bare ikke utvidbart nok som Apple II var.

Jeg vet ikke om dette er en urban legende eller ikke...

…men jeg har lest at de tidlige modellene ikke hadde brikkene riktig plassert på fabrikken, og at mottakere som rapporterte problemer ble bedt om å løfte fronten av datamaskinen fra skrivebordet noen centimeter og la den krasje tilbake.

[LATTER]

Dette ville slå sjetongene på plass, som de burde vært i utgangspunktet.

Som tilsynelatende fungerte, men ikke var den beste typen reklame for kvaliteten på produktet.

DOUG.  Akkurat.

Ok, la oss komme inn på vår første historie.

Dette er en advarende historie om hvor ille innvendige trusler kan være, og kanskje hvor vanskelig de kan være å få tak i også, Paul.

Hvem vet? Cybercrook får 6 år for å løse ut sin egen arbeidsgiver

AND.  Det er det faktisk, Douglas.

Og hvis du leter etter historien nakedsecurity.sophos.com, det er den som er underteksten, «Hvem? Cybercrook får 6 år for å ha løst sin egen arbeidsgiver.»

Og der har du magen til historien.

DOUG.  Burde ikke le, men … [LETER]

AND.  Det er litt morsomt og lite morsomt.

For hvis du ser på hvordan angrepet utviklet seg, var det i bunn og grunn:

«Hei, noen har brutt seg inn; vi vet ikke hva sikkerhetshullet var som de brukte. La oss gå i gang og prøve å finne ut av det.»

"Å nei! Angriperne har klart å få sysadmin-krefter!»

"Å nei! De har sugd opp gigabyte med konfidensiell data!»

"Å nei! De har rotet med systemloggene, så vi vet ikke hva som skjer!»

"Å nei! Nå krever de 50 bitcoins (som på det tidspunktet var omtrent 2,000,000 2 XNUMX USD) for å holde ting stille ... åpenbart kommer vi ikke til å betale XNUMX millioner dollar som en stille jobb.

Og, bingo, skurken gikk og gjorde den tradisjonelle tingen med å lekke data på det mørke nettet, i utgangspunktet doxxing selskapet.

Og dessverre spørsmålet "Hvem?" ble besvart av: En av selskapets egne sysadmins.

Faktisk en av personene som ble trukket inn i teamet for å prøve å finne og utvise angriperen.

Så han lot bokstavelig talt som han kjempet mot denne angriperen om dagen og forhandlet om en utpressingsbetaling på 2 millioner dollar om natten.

Og enda verre, Doug, ser det ut til at når de ble mistenksomme mot ham...

...som de gjorde, la oss være rettferdige mot selskapet.

(Jeg skal ikke si hvem det var; la oss kalle dem Company-1, slik det amerikanske justisdepartementet gjorde, selv om identiteten deres er ganske godt kjent.)

Eiendommen hans ble ransaket, og tilsynelatende fikk de tak i den bærbare datamaskinen som senere viste seg å ha blitt brukt til å utføre forbrytelsen.

De avhørte ham, så han gikk på en "lovbrudd er den beste formen for forsvar"-prosess, og lot som han var en varsler og kontaktet media under et eller annet alter ego.

Han ga en hel falsk historie om hvordan bruddet hadde skjedd - at det var dårlig sikkerhet på Amazon Web Services, eller noe sånt.

Så det fikk det til å virke, på mange måter, mye verre enn det var, og selskapets aksjekurs falt ganske kraftig.

Det kan ha falt uansett når det kom nyheter om at de var blitt brutt, men det ser absolutt ut til at han gjorde alt for å få det til å virke mye verre for å avlede mistanken fra seg selv.

Noe som heldigvis ikke fungerte.

Han *ble* dømt (vel, han erkjente straffskyld), og som vi sa i overskriften, fikk han seks års fengsel.

Deretter tre års prøveløslatelse, og han må betale tilbake en bot på $1,500,000.

DOUG.  Du kan ikke finne på dette!

Gode ​​råd i denne artikkelen ... det er tre råd.

Jeg elsker denne første: Splitt og hersk.

Hva mener du med det, Paul?

AND.  Vel, det ser ut til at denne personen i dette tilfellet hadde for mye makt konsentrert i sine egne hender.

Det ser ut til at han var i stand til å få hver eneste lille del av dette angrepet til å skje, inkludert å gå inn etterpå og rote med loggene og prøve å få det til å se ut som om andre personer i selskapet gjorde det.

(Så, bare for å vise hvilken forferdelig hyggelig fyr han var – han prøvde å sy sammen kollegene sine også, så de skulle få problemer.)

Men hvis du gjør at visse nøkkelsystemaktiviteter krever autorisasjon av to personer, ideelt sett til og med fra to forskjellige avdelinger, akkurat som når for eksempel en bank godkjenner en stor pengebevegelse, eller når et utviklingsteam bestemmer seg, "La oss se om dette koden er god nok; vi får noen andre til å se på det objektivt og uavhengig”...

…det gjør det mye vanskeligere for en ensom innsider å utføre alle disse triksene.

Fordi de må samarbeide med alle andre som de trenger samautorisasjon fra underveis.

DOUG.  OK.

Og på samme måte: Hold uforanderlige logger.

Den var god.

AND.  Ja.

De lytterne med lange minner kan huske WORM-stasjoner.

De var ganske tingen den gang: Skriv en gang, les mange.

Selvfølgelig ble de utpekt som helt ideelle for systemlogger, fordi du kan skrive til dem, men du kan aldri *omskrive* dem.

Nå, faktisk, tror jeg ikke at de ble designet på den måten med vilje … [LATER] Jeg tror bare ingen visste hvordan de skulle gjøres omskrivbare ennå.

Men det viser seg at den typen teknologi var utmerket for å holde loggfiler.

Hvis du husker tidlige CD-R-er, CD-Recordables – kan du legge til en ny økt, slik at du kan spille inn for eksempel 10 minutter med musikk og deretter legge til ytterligere 10 minutter med musikk eller ytterligere 100 MB data senere, men du kunne ikke gå tilbake og omskriv hele greia.

Så, når du først hadde låst den inne, ville noen som ville rote med bevisene enten måtte ødelegge hele CDen slik at den ville være synlig fraværende i beviskjeden, eller på annen måte skade den.

De ville ikke være i stand til å ta den originale disken og skrive om innholdet slik at det dukket opp annerledes.

Og selvfølgelig er det alle slags teknikker som du kan gjøre det med i skyen.

Hvis du vil, er dette den andre siden av "del og hersk"-mynten.

Det du sier er at du har mange systemadministratorer, mange systemoppgaver, mange demoner eller tjenesteprosesser som kan generere logginformasjon, men de blir sendt et sted hvor det kreves en reell handling av vilje og samarbeid for å gjøre disse logger forsvinner eller ser annerledes ut enn de var da de opprinnelig ble opprettet.

DOUG.  Og så sist, men absolutt ikke minst: Mål alltid, anta aldri.

AND.  Absolutt.

Det ser ut som om Company-1 i dette tilfellet klarte i det minste noen av alle disse tingene til slutt.

Fordi denne karen ble identifisert og avhørt av FBI... tror jeg innen to måneder etter angrepet hans.

Og undersøkelser skjer ikke over natten – de krever en arrestordre for ransakingen, og de krever sannsynlig årsak.

Så det ser ut som om de gjorde det rette, og at de ikke bare blindt fortsatte å stole på ham bare fordi han fortsatte å si at han var til å stole på.

Forbrytelsene hans kom så å si ut i vasken.

Så det er viktig at du ikke anser noen som over mistanke.

DOUG.  OK, går rett videre.

Gadgetprodusenten Belkin er i varmt vann, og sier i utgangspunktet: "Slutt på livet betyr slutten på oppdateringer" for en av sine populære smartplugger.

Belkin Wemo Smart Plug V2 – bufferoverløpet som ikke vil bli lappet

AND.  Det ser ut til å ha vært en ganske dårlig respons fra Belkin.

Fra et PR-synspunkt har det ikke gitt dem mange venner, fordi enheten i dette tilfellet er en av de såkalte smartpluggene.

Du får en Wi-Fi-aktivert bryter; noen av dem vil også måle kraft og andre slike ting.

Så ideen er at du da kan ha en app, eller et nettgrensesnitt, eller noe som slår en stikkontakt på og av.

Så det er litt av en ironi at feilen er i et produkt som, hvis hacket, kan føre til at noen i utgangspunktet blinker en bryter av og på som kan ha et apparat koblet til.

Jeg tror, ​​hvis jeg var Belkin, ville jeg kanskje ha gått, "Se, vi støtter egentlig ikke dette lenger, men i dette tilfellet ... ja, vi vil skyve ut en patch."

Og det er et bufferoverløp, Doug, enkelt og greit.

[LETER] Å, kjære …

Når du kobler til enheten, må den ha en unik identifikator slik at den vises i appen, for eksempel på telefonen din ... hvis du har tre av dem i huset ditt, vil du ikke at alle skal ringes opp Belkin Wemo plug.

Du vil gå og endre det, og sette det Belkin kaller et "vennlig navn".

Og så går du inn med telefonappen din, og du skriver inn det nye navnet du vil ha.

Vel, det ser ut til at det er en 68-tegns buffer i appen på selve enheten for det nye navnet ditt ... men det er ingen sjekk for at du ikke legger inn et navn som er lengre enn 68 byte.

Dumt nok, kanskje folk som bygde systemet bestemte seg for at det ville være bra nok om de bare sjekket hvor lenge navnet var *som du skrev inn på telefonen når du brukte appen til å endre navnet*: «Vi slipper å sende navn som er for lange i utgangspunktet."

Og faktisk, i telefonappen kan du tilsynelatende ikke engang legge inn mer enn 30 tegn, så de er ekstra supersikre.

Stort problem!

Hva om angriperen bestemmer seg for ikke å bruke appen? [LATTER]

Hva om de bruker et Python-skript som de skrev selv...

DOUG.  Hmmmmmm! [IRONISK] Hvorfor skulle de gjøre det?

AND.  …som ikke gidder å se etter grensen på 30 eller 68 tegn?

Og det var akkurat det disse forskerne gjorde.

Og de fant ut, fordi det er en stabelbufferoverflyt, kunne de kontrollere returadressen til en funksjon som ble brukt.

Med nok prøving og feiling, var de i stand til å avvike utførelse til det som i sjargongen er kjent som "skallkode" etter eget valg.

Spesielt kunne de kjøre en systemkommando som kjørte wget kommando, som lastet ned et skript, gjorde skriptet kjørbart og kjørte det.

DOUG.  Ok vel…

…vi har noen råd i artikkelen.

Hvis du har en av disse smarte pluggene, sjekk det ut.

Jeg antar at det større spørsmålet her er, forutsatt at Belkin følger løftet sitt om å ikke fikse dette ... [HØYT LATTER]

…i grunnen, hvor vanskelig er dette å fikse, Paul?

Eller ville det være god PR å bare plugge dette hullet?

AND.  Vel, jeg vet ikke.

Det kan være mange andre apper som, å kjære, de må gjøre den samme typen reparasjoner.

Så de vil kanskje ikke gjøre dette av frykt for at noen skal si: "Vel, la oss grave dypere."

DOUG.  En glatt bakke...

AND.  Jeg mener, det ville være en dårlig grunn til å ikke gjøre det.

Jeg ville ha trodd, gitt at dette nå er velkjent, og gitt at det virker som en enkel nok løsning ...

…bare (A) kompiler appene på nytt for enheten med stabelbeskyttelse slått på, hvis mulig, og (B) i det minste i dette spesielle programmet for endring av «vennlig navn», ikke tillat navn som er lengre enn 68 tegn!

Det virker ikke som en stor løsning.

Selv om den rettelsen selvfølgelig må kodes; det må gjennomgås; det må testes; en ny versjon må bygges og signeres digitalt.

Det må da tilbys til alle, og mange mennesker vil ikke engang skjønne at det er tilgjengelig.

Og hva om de ikke oppdaterer?

Det ville vært fint om de som er klar over dette problemet kunne få en løsning, men det gjenstår å se om Belkin forventer at de bare oppgraderer til et nyere produkt.

DOUG.  Greit, angående oppdateringer...

…vi har holdt øye med denne historien, som vi sier.

Vi har snakket om det flere ganger: Clearview AI.

Altså! Raclage crapuleux! Clearview AI har 20 % flere problemer i Frankrike

Frankrike har dette selskapet i kikkerten for gjentatt trass, og det er nesten latterlig hvor ille dette har blitt.

Så, dette selskapet skraper bilder av internett og kartlegger dem til sine respektive mennesker, og rettshåndhevelse bruker denne søkemotoren, som det var, for å slå opp folk.

Andre land har også hatt problemer med dette, men Frankrike har sagt: «Dette er PII. Dette er personlig identifiserbar informasjon."

AND.  Ja.

DOUG.  "Clearview, vær så snill å slutte å gjøre dette."

Og Clearview svarte ikke engang.

Så de fikk en bot på 20 millioner euro, og de fortsatte bare...

Og Frankrike sier: «OK, du kan ikke gjøre dette. Vi ba deg slutte, så vi kommer til å gå enda hardere ned på deg. Vi kommer til å belaste deg €100,000 5,200,000 hver dag"... og de tilbakedaterte det til det punktet at det allerede er opp til €XNUMX XNUMX XNUMX.

Og Clearview svarer bare ikke.

Det er bare ikke engang å erkjenne at det er et problem.

AND.  Det ser absolutt ut til å være hvordan det utspiller seg, Doug.

Interessant nok, og etter min mening ganske rimelig og veldig viktig, da den franske regulatoren undersøkte Clearview AI (den gangen de bestemte at selskapet ikke skulle spille ball frivillig og bøtelagt dem 20 millioner euro)...

… de fant også ut at selskapet ikke bare samlet inn det de anser som biometriske data uten å få samtykke.

De gjorde det også utrolig, unødvendig og ulovlig vanskelig for folk å utøve sin rett (A) til å vite at dataene deres er samlet inn og blir brukt kommersielt, og (B) å få dem slettet hvis de ønsker det.

Dette er rettigheter som mange land har nedfelt i sine forskrifter.

Det er absolutt, tror jeg, fortsatt i loven i Storbritannia, selv om vi nå er utenfor EU, og det er en del av den velkjente GDPR-forskriften i EU.

Hvis jeg ikke vil at du skal beholde dataene mine, må du slette dem.

Og tydeligvis gjorde Clearview ting som å si: "Å, vel, hvis vi har hatt det i mer enn et år, er det for vanskelig å fjerne det, så det er bare data vi har samlet inn det siste året."

DOUG.  Aaaaargh. [LETER]

AND.  Så det, hvis du ikke merker det, eller du først skjønner det etter to år?

For sent!

Og så sa de: "Å, nei, du har bare lov til å spørre to ganger i året."

Jeg tror, ​​da franskmennene undersøkte, fant de også ut at folk i Frankrike klaget over at de måtte spørre igjen, og igjen, og igjen før de klarte å jogge Clearviews hukommelse til å gjøre noe i det hele tatt.

Så hvem vet hvordan dette vil ende, Doug?

DOUG.  Dette er et godt tidspunkt å høre fra flere lesere.

Vi gjør vanligvis ukens kommentar fra én leser, men du spurte på slutten av denne artikkelen:

Hvis du var {Dronning, Konge, President, Supreme Wizard, Glorious Leader, Chief Judge, Lead Arbiter, High Commissioner of Privacy}, og kunne fikse dette problemet med {wave of your wand, strøk med pennen, rist på septeret ditt , et Jedi-tanketriks}...

…hvordan ville du løst denne striden?

Og for å bare trekke noen sitater fra våre kommentatorer:

  • "Ut med hodet."
  • "Bedriftsdødsstraff."
  • "Klassifiser dem som en kriminell organisasjon."
  • "Høyere bør fengsles inntil selskapet følger det."
  • "Erklære kunder som medsammensvorne."
  • "Hack databasen og slett alt."
  • "Lag nye lover."

Og så stiger James av med: «Jeg fiser i din generelle retning. Moren din var en «amster», og faren din luktet hyllebær.» [MONTY PYTHON OG DEN HELLIGE GRAL ANVISNING]

Som jeg tror kan være en kommentar til feil artikkel.

Jeg tror det var et Monty Python-sitat i «Whodunnit?» artikkel.

Men, James, takk for at du hoppet inn på slutten der...

AND.  [LETER] Burde egentlig ikke le.

Sa ikke en av våre kommentatorer: «Hei, søk om en Interpol Red Notice? [EN SLAGS INTERNASJONAL ARRESTERING]

DOUG.  Ja!

Vel, flott … som vi pleier å gjøre, vil vi holde et øye med dette, fordi jeg kan forsikre deg om at dette ikke er over ennå.

Hvis du har en interessant historie, kommentar eller spørsmål du vil sende inn, vil vi gjerne lese på podcasten.

Du kan sende en e-post til tips@sophos.com, du kan kommentere en av artiklene våre, eller du kan kontakte oss på sosiale medier: @NakedSecurity.

Det er showet vårt for i dag; tusen takk for at du lyttet.

For Paul Ducklin, jeg er Doug Aamoth, og minner deg på til neste gang om å...

BÅDE.  Hold deg trygg!

[MUSIKK MODEM]

Tidstempel:

Mer fra Naken sikkerhet