S3 Odc.135: Sysadmin za dnia, szantażysta nocą

S3 Odc.135: Sysadmin za dnia, szantażysta nocą

Znacznik czasu: 18 maja 2023 2:48
Węzeł źródłowy: 2662163
by

ATAK WEWNĘTRZNY (GDZIE ZOSTAŁ ZŁAPANY PERP)

Nie ma odtwarzacza audio poniżej? Słuchać bezpośrednio na Soundcloudzie.

Z Dougiem Aamothem i Paulem Ducklinem. Muzyka intro i outro autorstwa Edyta Mudge.

Możesz nas posłuchać SoundCloud, Podcasty Apple, Podcasty Google, Spotify, Stitcher i wszędzie tam, gdzie można znaleźć dobre podcasty. Lub po prostu upuść URL naszego kanału RSS do swojego ulubionego podcatchera.

PRZECZYTAJ TRANSKRYPTU

DOUG.  Prace wewnętrzne, rozpoznawanie twarzy i „S” w „IoT” nadal oznacza „bezpieczeństwo”.

Wszystko to i wiele więcej w podkaście Naked Security.

[MOM MUZYCZNY]

Witam wszystkich w podkaście.

Jestem Doug Aamoth; to jest Paul Ducklin.

Paul, jak się masz dzisiaj?

KACZKA.  Bardzo dobrze, Doug.

Znasz swoje powiedzonko: „Będziemy mieć na to oko”?

DOUG.  [ŚMIECH] Ho, ho, ho!

KACZKA.  Niestety, jest kilka rzeczy w tym tygodniu, na które „mieliśmy oko” i nadal nie skończyły się one dobrze.

DOUG.  Tak, mamy w tym tygodniu ciekawy i nietradycyjny skład.

Przejdźmy do tego.

Ale najpierw zaczniemy od naszego W tym tygodniu w historii technologii Segment.

W tym tygodniu, 19 maja 1980 roku, ogłoszono Apple III.

Miał zostać wysłany w listopadzie 1980 r., Kiedy to wycofano z linii 14,000 XNUMX pierwszych Apple III.

Maszyna zostanie ponownie wprowadzona w listopadzie 1981 roku.

Krótko mówiąc, Apple III był klapą.

Współzałożyciel Apple, Steve Wozniak, przypisał awarię maszyny zaprojektowaniu jej przez marketingowców, a nie inżynierów.

Ała!

KACZKA.  Nie wiem, co na to powiedzieć, Doug. [ŚMIECH]

Staram się nie uśmiechać, jako osoba, która uważa się za technologa, a nie marketroida.

Myślę, że Apple III miał wyglądać dobrze i fajnie, i miał wykorzystać sukces Apple II.

Ale rozumiem, że Apple III (A) nie mógł uruchomić wszystkich programów Apple II, co było trochę ciosem w kompatybilność wsteczną, a (B) po prostu nie był wystarczająco rozszerzalny, jak Apple II.

Nie wiem, czy to miejska legenda, czy nie…

…ale czytałem, że wczesne modele nie miały prawidłowo osadzonych chipów w fabryce, a odbiorcom, którzy zgłaszali problemy, kazano podnieść przód komputera z biurka o kilka centymetrów i pozwolić mu się rozbić.

[ŚMIECH]

To spowodowałoby, że żetony znalazłyby się na miejscu, tak jak powinny.

Co najwyraźniej zadziałało, ale nie było najlepszą reklamą jakości produktu.

DOUG.  Dokładnie.

Dobra, przejdźmy do naszej pierwszej historii.

To przestroga o tym, jak źle zagrożenia wewnętrzne mogą być, i być może jak trudne mogą być również do ściągnięcia, Paul.

kto? Cyberprzestępca dostaje 6 lat za okup za własnego pracodawcę

KACZKA.  Rzeczywiście tak jest, Douglasie.

A jeśli szukasz historii na nagasecurity.sophos.com, to ten z napisami, „Kto? Cyberprzestępca dostaje 6 lat za okup za własnego pracodawcę.”

I tu masz odwagę tej historii.

DOUG.  Nie powinienem się śmiać, ale… [ŚMIECH]

KACZKA.  To trochę śmieszne i nieśmieszne.

Ponieważ jeśli spojrzysz na przebieg ataku, wyglądało to zasadniczo tak:

„Hej, ktoś się włamał; nie wiemy, z jakiej luki w zabezpieczeniach korzystali. Wkroczmy do akcji i spróbujmy się dowiedzieć”.

"O nie! Atakującym udało się zdobyć uprawnienia administratora systemu!”

"O nie! Wyssali gigabajty poufnych danych!”

"O nie! Namieszali w dziennikach systemowych, więc nie wiemy, co się dzieje!

"O nie! Teraz żądają 50 bitcoinów (co w tamtym czasie wynosiło około 2,000,000 2 XNUMX USD), aby zachować spokój… oczywiście nie zamierzamy płacić XNUMX milionów dolarów za cichą pracę.

I bingo, oszust poszedł i zrobił tę tradycyjną rzecz polegającą na wycieku danych do ciemnej sieci, w zasadzie doxxując firmę.

I niestety pytanie „Whodunnit?” odpowiedział: Jeden z administratorów systemu firmy.

Właściwie to jedna z osób, które zostały powołane do zespołu, by spróbować znaleźć i wypędzić napastnika.

Więc dosłownie udawał, że walczy z tym napastnikiem za dnia i negocjował szantaż w wysokości 2 milionów dolarów w nocy.

A co gorsza, Doug, wygląda na to, że kiedy stali się wobec niego podejrzliwi…

…co zrobili, bądźmy uczciwi wobec firmy.

(Nie powiem, kto to był; nazwijmy ich Kompanią-1, tak jak Departament Sprawiedliwości Stanów Zjednoczonych, chociaż ich tożsamość jest dość dobrze znana).

Jego własność została przeszukana i najwyraźniej przejęli laptopa, który, jak się później okazało, został użyty do popełnienia przestępstwa.

Przesłuchali go, więc przeszedł proces „atak jest najlepszą formą obrony”, udawał demaskatora i kontaktował się z mediami pod jakimś alter ego.

Opowiedział całą fałszywą historię o tym, jak doszło do naruszenia – że było to słabe bezpieczeństwo w Amazon Web Services lub coś w tym rodzaju.

Sprawiło to, że pod wieloma względami wyglądało to znacznie gorzej niż było w rzeczywistości, a cena akcji spółki spadła dość mocno.

I tak mogło spaść, gdy pojawiły się wieści, że zostały naruszone, ale z pewnością wydaje się, że zrobił wszystko, co w jego mocy, aby wyglądało to znacznie gorzej, aby odwrócić od siebie podejrzenia.

Co na szczęście nie zadziałało.

On * rzeczywiście * został skazany (cóż, przyznał się do winy) i, jak powiedzieliśmy w nagłówku, dostał sześć lat więzienia.

Potem trzy lata warunkowego zwolnienia i musi spłacić karę w wysokości 1,500,000 XNUMX XNUMX dolarów.

DOUG.  Nie możesz tego zmyślać!

Świetna rada w tym artykule… są trzy rady.

Uwielbiam to pierwsze: Dziel i rządź.

Co przez to rozumiesz, Pawle?

KACZKA.  Cóż, wygląda na to, że w tym przypadku ten osobnik miał zbyt dużą władzę skupioną w swoich rękach.

Wygląda na to, że był w stanie przeprowadzić każdą najmniejszą część tego ataku, w tym wejście później i majstrowanie w dziennikach oraz staranie się, aby wyglądało to tak, jakby zrobili to inni ludzie w firmie.

(Więc, żeby pokazać, jakim był strasznie miłym facetem – próbował też zszywać swoich współpracowników, żeby wpadli w kłopoty.)

Ale jeśli pewne kluczowe działania systemowe wymagają autoryzacji dwóch osób, najlepiej nawet z dwóch różnych działów, tak jak wtedy, gdy, powiedzmy, bank zatwierdza duży ruch pieniężny lub gdy zespół programistów podejmuje decyzję: „Zobaczmy, czy to kod jest wystarczająco dobry; poprosimy kogoś innego, aby spojrzał na to obiektywnie i niezależnie”…

… to sprawia, że ​​samotnemu wtajemniczonemu o wiele trudniej jest wykonać wszystkie te sztuczki.

Ponieważ musieliby zmówić się ze wszystkimi innymi, że po drodze będą potrzebować współautoryzacji.

DOUG.  OK.

I w tym samym stylu: Zachowaj niezmienne dzienniki.

To jest dobre.

KACZKA.  Tak.

Słuchacze z długą pamięcią mogą pamiętać napędy WORM.

W tamtych czasach były one całkiem popularne: napisz raz, przeczytaj wiele.

Oczywiście były reklamowane jako absolutnie idealne do dzienników systemowych, ponieważ można do nich pisać, ale nigdy nie można ich *przepisywać*.

Właściwie nie sądzę, żeby zostały zaprojektowane w ten sposób celowo… [ŚMIECH] Po prostu myślę, że nikt jeszcze nie wiedział, jak sprawić, by można je było przepisać.

Ale okazuje się, że ten rodzaj technologii był doskonały do ​​przechowywania plików dziennika.

Jeśli pamiętasz wczesne CD-R, CD-Recordables – mogłeś dodać nową sesję, aby nagrać, powiedzmy, 10 minut muzyki, a potem dodać kolejne 10 minut muzyki lub kolejne 100 MB danych później, ale nie mogłeś wróć i napisz wszystko od nowa.

Tak więc, kiedy już to zamkniesz, ktoś, kto chce zadzierać z dowodami, musiałby albo zniszczyć całą płytę CD, aby była wyraźnie nieobecna w łańcuchu dowodowym, albo w inny sposób ją uszkodzić.

Nie byliby w stanie wziąć tego oryginalnego dysku i przepisać jego zawartości, aby wyglądała inaczej.

I oczywiście istnieje wiele technik, dzięki którym możesz to zrobić w chmurze.

Jeśli chcesz, to jest druga strona medalu „dziel i rządź”.

Mówisz, że masz wielu administratorów systemu, wiele zadań systemowych, wiele demonów lub procesów usługowych, które mogą generować informacje logowania, ale są one wysyłane gdzieś, gdzie wymaga prawdziwego aktu woli i współpracy, aby te dzienniki znikają lub wyglądają inaczej niż w momencie ich pierwotnego utworzenia.

DOUG.  A potem ostatnie, ale z pewnością nie mniej ważne: Zawsze mierz, nigdy nie zakładaj.

KACZKA.  Absolutnie.

Wygląda na to, że Firma-1 w tym przypadku ostatecznie zarządzała przynajmniej niektórymi z tych wszystkich rzeczy.

Ponieważ ten facet został zidentyfikowany i przesłuchany przez FBI… Myślę, że w ciągu około dwóch miesięcy od ataku.

A dochodzenia nie odbywają się z dnia na dzień – wymagają nakazu przeszukania i wymagają prawdopodobnej przyczyny.

Wygląda więc na to, że postąpili słusznie i nie ślepo mu ufali tylko dlatego, że powtarzał, że jest godny zaufania.

Jego zbrodnie rzeczywiście wyszły w praniu.

Dlatego ważne jest, aby nikogo nie uważać za osobę niepodejrzaną.

DOUG.  OK, ruszamy dalej.

Producent gadżetów Belkin jest w gorącej wodzie, mówiąc w zasadzie: „Koniec życia oznacza koniec aktualizacji” dla jednej ze swoich popularnych inteligentnych wtyczek.

Belkin Wemo Smart Plug V2 – przepełnienie bufora, które nie zostanie załatane

KACZKA.  Wydaje się, że była to raczej słaba odpowiedź Belkina.

Z PR-owego punktu widzenia na pewno nie przysporzyło im to wielu przyjaciół, bo urządzenie w tym przypadku należy do tzw. inteligentnych wtyczek.

Otrzymujesz przełącznik obsługujący Wi-Fi; niektóre z nich będą również mierzyć moc i inne tego typu rzeczy.

Pomysł polega na tym, że możesz mieć aplikację, interfejs sieciowy lub coś, co włącza i wyłącza gniazdko ścienne.

To trochę ironia, że ​​​​wada dotyczy produktu, który w przypadku zhakowania może doprowadzić do tego, że ktoś w zasadzie włączy i wyłączy przełącznik, który może podłączyć do niego urządzenie.

Myślę, że gdybym był Belkinem, mógłbym powiedzieć: „Słuchaj, tak naprawdę już tego nie wspieramy, ale w tym przypadku… tak, wypchniemy łatkę”.

I to jest przepełnienie bufora, Doug, jasne i proste.

[ŚMIECH] Och, kochanie…

Po podłączeniu urządzenie musi mieć unikalny identyfikator, aby pojawiło się w aplikacji, powiedzmy, na telefonie… jeśli masz w domu trzy z nich, nie chcesz, aby wszystkie nazywały się Belkin Wemo plug.

Chcesz to zmienić i nadać temu, co Belkin nazywa „przyjazną nazwą”.

I tak wchodzisz z aplikacją na telefon i wpisujesz nową nazwę, którą chcesz.

Cóż, wygląda na to, że w samej aplikacji na urządzeniu znajduje się 68-znakowy bufor na twoje nowe imię… ale nie ma sprawdzenia, czy nie wpiszesz nazwy dłuższej niż 68 bajtów.

Być może głupio, ludzie, którzy zbudowali system, uznali, że wystarczyłoby, gdyby po prostu sprawdzili, jak długa jest nazwa *, którą wpisałeś w telefonie, kiedy używałeś aplikacji do zmiany nazwy*: „Unikniemy wysyłania Przede wszystkim zbyt długie nazwy”.

I rzeczywiście, w aplikacji na telefon najwyraźniej nie można nawet wprowadzić więcej niż 30 znaków, więc są one wyjątkowo super bezpieczne.

Wielki problem!

Co się stanie, jeśli atakujący zdecyduje się nie korzystać z aplikacji? [ŚMIECH]

Co jeśli użyją skryptu Pythona, który sami napisali…

DOUG.  Hmmm! [IRONIA] Dlaczego mieliby to robić?

KACZKA.  …to nie przeszkadza w sprawdzaniu limitu 30 lub 68 znaków?

I to właśnie zrobili ci badacze.

I odkryli, że ponieważ występuje przepełnienie bufora stosu, mogą kontrolować adres zwrotny używanej funkcji.

Przy wystarczającej liczbie prób i błędów byli w stanie zmienić wykonanie na to, co w żargonie jest znane jako „shellcode” według własnego wyboru.

Warto zauważyć, że mogli uruchomić polecenie systemowe, które uruchomiło plik wget polecenie, które pobrało skrypt, uczyniło skrypt wykonywalnym i uruchomiło go.

DOUG.  dobra, cóż…

…mamy kilka porad w artykule.

Jeśli masz jedną z tych inteligentnych wtyczek, Sprawdź to.

Myślę, że większym pytaniem jest tutaj, zakładając, że Belkin dotrzyma obietnicy, że tego nie naprawi… [GŁOŚNY ŚMIECH]

…w zasadzie, jak trudna jest to naprawa, Paul?

A może dobrym PRem byłoby po prostu zatkanie tej dziury?

KACZKA.  Cóż, nie wiem.

Może istnieć wiele innych aplikacji, które, och, kochanie, muszą zrobić ten sam rodzaj naprawy.

Więc mogą po prostu nie chcieć tego robić z obawy, że ktoś powie: „Cóż, kopmy głębiej”.

DOUG.  Śliskie zbocze…

KACZKA.  To byłby zły powód, żeby tego nie robić.

Pomyślałbym, biorąc pod uwagę, że jest to teraz dobrze znane i biorąc pod uwagę, że wydaje się to dość łatwą naprawą…

…po prostu (A) ponownie skompiluj aplikacje dla urządzenia z włączoną ochroną stosu, jeśli to możliwe, i (B) przynajmniej w tym konkretnym programie do zmiany „przyjaznej nazwy” nie zezwalaj na nazwy dłuższe niż 68 znaków!

Nie wygląda to na poważną poprawkę.

Chociaż oczywiście ta poprawka musi być zakodowana; musi zostać poddany przeglądowi; trzeba to przetestować; nowa wersja musi zostać zbudowana i podpisana cyfrowo.

Następnie musi być oferowany wszystkim, a wielu ludzi nawet nie zdaje sobie sprawy, że jest dostępny.

A co jeśli się nie aktualizują?

Byłoby miło, gdyby ci, którzy są świadomi tego problemu, mogli uzyskać poprawkę, ale okaże się, czy Belkin będzie oczekiwał od nich po prostu aktualizacji do nowszego produktu.

DOUG.  Dobra, w temacie aktualizacji…

…mamy oko, jak mówimy, na tę historię.

Rozmawialiśmy o tym kilka razy: Clearview AI.

Zut alors! Raclage crauleux! Clearview AI ma o 20% więcej kłopotów we Francji

Francja ma tę firmę na celowniku, jeśli chodzi o powtarzające się nieposłuszeństwo, i to prawie śmieszne, jak źle się to potoczyło.

Tak więc ta firma usuwa zdjęcia z Internetu i mapuje je do odpowiednich osób, a organy ścigania używają tej wyszukiwarki do wyszukiwania osób.

Inne kraje też miały z tym problemy, ale Francja powiedziała: „To jest PII. To są dane osobowe”.

KACZKA.  Tak.

DOUG.  „Clearview, proszę, przestań to robić”.

A Clearview nawet nie odpowiedział.

Dostali więc grzywnę w wysokości 20 milionów euro i po prostu grali dalej…

A Francja mówi: „OK, nie możesz tego zrobić. Kazaliśmy ci przestać, więc jeszcze bardziej cię dopadniemy. Zamierzamy pobierać od Ciebie 100,000 5,200,000 € każdego dnia”… i przesunęli to do tego stopnia, że ​​wynosi już do XNUMX XNUMX XNUMX €.

A Clearview po prostu nie odpowiada.

To po prostu nieuznawanie, że jest problem.

KACZKA.  Z pewnością tak to wygląda, Doug.

Co ciekawe, i moim zdaniem całkiem rozsądnie i bardzo ważne, kiedy francuski regulator przyjrzał się Clearview AI (wtedy zdecydowali, że firma nie będzie grać w piłkę dobrowolnie i ukarali ich grzywną w wysokości 20 milionów euro)…

…odkryli również, że firma nie tylko gromadziła to, co uważają za dane biometryczne, bez uzyskania zgody.

Niewiarygodnie, niepotrzebnie i niezgodnie z prawem utrudniali ludziom korzystanie z ich prawa (A) do informacji, że ich dane zostały zebrane i są wykorzystywane komercyjnie oraz (B) do ich usunięcia, jeśli sobie tego życzą.

Są to prawa, które wiele krajów zapisało w swoich przepisach.

Myślę, że z pewnością nadal jest to zgodne z prawem w Wielkiej Brytanii, mimo że jesteśmy teraz poza Unią Europejską i jest częścią dobrze znanego rozporządzenia RODO w Unii Europejskiej.

Jeśli nie chcę, abyś przechowywał moje dane, musisz je usunąć.

I najwyraźniej Clearview robił takie rzeczy, jak mówienie: „Och, cóż, jeśli mamy go od ponad roku, zbyt trudno jest go usunąć, więc są to tylko dane, które zebraliśmy w ciągu ostatniego roku”.

DOUG.  Aaaargh. [ŚMIECH]

KACZKA.  Czyli jeśli nie zauważysz, czy zorientujesz się dopiero po dwóch latach?

Za późno!

A potem mówili: „O nie, wolno ci pytać tylko dwa razy w roku”.

Myślę, że kiedy Francuzi prowadzili śledztwo, odkryli również, że ludzie we Francji narzekali, że muszą pytać w kółko, w kółko, w kółko, zanim udało im się pobudzić pamięć Clearview do zrobienia czegokolwiek.

Więc kto wie, jak to się skończy, Doug?

DOUG.  To dobry moment na wysłuchanie kilku czytelników.

Zwykle publikujemy nasz komentarz tygodnia od jednego czytelnika, ale na końcu tego artykułu zapytałeś:

Jeśli byłeś {Królową, Królem, Prezydentem, Najwyższym Czarodziejem, Chwalebnym Przywódcą, Sędzią Głównym, Głównym Arbitrem, Wysokim Komisarzem ds. Prywatności} i mógłbyś rozwiązać ten problem {machnięciem różdżki, pociągnięciem pióra, potrząśnięciem berłem , umysłowa sztuczka Jedi}…

…jak rozwiązałbyś ten konflikt?

I po prostu wyciągnąć kilka cytatów z naszych komentatorów:

  • „Precz z głowami”.
  • „Korporacyjna kara śmierci”.
  • „Klasyfikuj ich jako organizację przestępczą”.
  • „Przełożeni powinni być więzieni, dopóki firma się nie zastosuje”.
  • „Oznacz klientów współspiskowcami”.
  • „Zhakuj bazę danych i usuń wszystko”.
  • „Tworzyć nowe prawa”.

A potem James zsiada z: „Pierdzę w twoim ogólnym kierunku. Twoja matka była amsterką, a twój ojciec pachniał jagodami czarnego bzu. [MONTY PYTHON I ŚWIĘTY GRAAL ALUZJA]

Co moim zdaniem może być komentarzem do niewłaściwego artykułu.

Myślę, że w „Whodunnit?” był cytat Monty Pythona? artykuł.

Ale, James, dziękuję, że wskoczyłeś na koniec…

KACZKA.  [ŚMIECH] Nie powinienem się śmiać.

Czy jeden z naszych komentatorów nie powiedział: „Hej, złóż wniosek o czerwone powiadomienie Interpolu? [ROZWÓJ MIĘDZYNARODOWY NAKAZ ARESZTOWANIA]

DOUG.  Tak!

Cóż, świetnie… tak jak zwykle, będziemy tego pilnować, bo zapewniam, że to jeszcze nie koniec.

Jeśli masz ciekawą historię, komentarz lub pytanie, które chciałbyś przesłać, chętnie przeczytamy w podkaście.

Możesz wysłać e-maila na adres tips@sophos.com, skomentować dowolny z naszych artykułów lub napisać do nas w serwisie społecznościowym: @NakedSecurity.

To nasz dzisiejszy program; dziękuję bardzo za wysłuchanie.

Dla Paula Ducklina jestem Doug Aamoth i przypominam do następnego razu…

OBIE.  Bądź bezpieczny!

[MOM MUZYCZNY]

Znak czasu:

Więcej z Nagie bezpieczeństwo