S3 Ep135: Sysadmin de dia, extorsionário de noite

S3 Ep135: Sysadmin de dia, extorsionário de noite

Carimbo de data / hora: 18 de maio de 2023 2h
Nó Fonte: 2662163
by

UM ATAQUE INTERNO (ONDE O PESSOAL FOI PEGADO)

Nenhum reprodutor de áudio abaixo? Ouvir diretamente no Soundcloud.

Com Doug Aamoth e Paul Ducklin. Música de introdução e final de Edith Mudge.

Você pode nos ouvir em Soundcloud, Podcasts da Apple, Google Podcasts, Spotify, Costureiro e em qualquer lugar que bons podcasts sejam encontrados. Ou simplesmente solte o URL do nosso feed RSS em seu podcatcher favorito.

LEIA A TRANSCRIÇÃO

DOUG.  Trabalhos internos, reconhecimento facial e o “S” em “IoT” ainda significam “segurança”.

Tudo isso e muito mais no podcast Naked Security.

[MODEM MUSICAL]

Bem-vindos ao podcast, pessoal.

Eu sou Doug Aamoth; ele é Paul Ducklin.

Paulo, como você está hoje?

PATO.  Muito bem, Doug.

Você conhece sua frase de efeito: “Vamos ficar de olho nisso”?

DOUG.  [Risos] Ho, ho, ho!

PATO.  Infelizmente, há várias coisas esta semana que estivemos “de olho” e ainda não terminaram bem.

DOUG.  Sim, temos uma programação interessante e não tradicional esta semana.

Vamos entrar nisso.

Mas primeiro, vamos começar com o nosso Esta semana na história da tecnologia segmento.

Esta semana, em 19 de maio de 1980, o Apple III foi anunciado.

Ele seria lançado em novembro de 1980, quando os primeiros 14,000 Apple IIIs fora da linha foram recolhidos.

A máquina seria reintroduzida novamente em novembro de 1981.

Para encurtar a história, o Apple III foi um fracasso.

O cofundador da Apple, Steve Wozniak, atribuiu o fracasso da máquina ao fato de ela ter sido projetada pelo pessoal de marketing em vez de engenheiros.

Ouch!

PATO.  Não sei o que dizer sobre isso, Doug. [RISADA]

Estou tentando não sorrir, como uma pessoa que se considera um tecnólogo e não um marketeiro.

Acho que o Apple III foi feito para ter uma boa aparência e ser legal, e foi feito para capitalizar o sucesso do Apple II.

Mas, pelo que entendi, o Apple III (A) não podia executar todos os programas do Apple II, o que foi um golpe de compatibilidade com versões anteriores, e (B) simplesmente não era expansível o suficiente como o Apple II.

Não sei se isso é uma lenda urbana ou não…

…mas eu li que os primeiros modelos não tinham seus chips encaixados corretamente na fábrica, e que os destinatários que estavam relatando problemas foram instruídos a levantar a frente do computador de sua mesa alguns centímetros e deixá-la cair de volta.

[RISO]

Isso colocaria os chips no lugar, como deveriam ter sido em primeiro lugar.

O que aparentemente funcionou, mas não foi o melhor tipo de anúncio para a qualidade do produto.

DOUG.  Exatamente.

Tudo bem, vamos entrar em nossa primeira história.

Este é um conto de advertência sobre o quão ruim ameaças internas pode ser, e talvez o quão difícil eles podem ser de conseguir também, Paul.

Quem é? Cybercrook pega 6 anos por resgatar seu próprio empregador

PATO.  É verdade, Douglas.

E se você está procurando a história em nudesecurity.sophos.com, é o que está legendado, “Quem é? Cybercrook recebe 6 anos por resgatar seu próprio empregador.

E aí você tem a coragem da história.

DOUG.  Não deveria rir, mas... [RISOS]

PATO.  É meio engraçado e sem graça.

Porque se você olhar como o ataque se desenrolou, foi basicamente:

“Ei, alguém invadiu; não sabemos qual foi a falha de segurança que eles usaram. Vamos entrar em ação e tentar descobrir.”

"Oh não! Os invasores conseguiram obter poderes de administrador de sistema!”

"Oh não! Eles sugaram gigabytes de dados confidenciais!”

"Oh não! Eles mexeram nos logs do sistema, então não sabemos o que está acontecendo!”

"Oh não! Agora eles estão exigindo 50 bitcoins (que na época eram cerca de US$ 2,000,000) para manter as coisas quietas…

E, bingo, o bandido foi e fez aquela coisa tradicional de vazar os dados na dark web, basicamente doxxing da empresa.

E, infelizmente, a pergunta "Whodunnit?" foi respondido por: Um dos administradores de sistemas da própria empresa.

Na verdade, uma das pessoas que foi convocada para a equipe para tentar encontrar e expulsar o atacante.

Então, ele estava literalmente fingindo lutar contra esse invasor durante o dia e negociando um pagamento de chantagem de $ 2 milhões à noite.

E pior ainda, Doug, parece que, quando começaram a suspeitar dele...

…o que eles fizeram, sejamos justos com a empresa.

(Não vou dizer quem foi; vamos chamá-los de Company-1, como fez o Departamento de Justiça dos EUA, embora sua identidade seja bem conhecida.)

Sua propriedade foi revistada e, aparentemente, eles pegaram o laptop que mais tarde foi usado para cometer o crime.

Eles o questionaram, então ele entrou em um processo de “ofensa é a melhor forma de defesa”, fingiu ser um denunciante e contatou a mídia por meio de algum alter ego.

Ele deu toda uma história falsa sobre como a violação havia acontecido – que era uma segurança ruim no Amazon Web Services ou algo assim.

Isso fez com que parecesse, em muitos aspectos, muito pior do que era, e o preço das ações da empresa despencou bastante.

Pode ter caído de qualquer maneira quando houve notícias de que eles foram violados, mas certamente parece que ele se esforçou para fazer parecer muito pior, a fim de desviar as suspeitas de si mesmo.

O que, felizmente, não funcionou.

Ele * foi * condenado (bem, ele se declarou culpado) e, como dissemos na manchete, ele pegou seis anos de prisão.

Em seguida, três anos de liberdade condicional e ele terá que pagar uma multa de $ 1,500,000.

DOUG.  Você não pode inventar essas coisas!

Grandes conselhos neste artigo... existem três conselhos.

Eu amo esse primeiro: Dividir e conquistar.

O que você quer dizer com isso, Paulo?

PATO.  Bem, parece que, neste caso, esse indivíduo tinha muito poder concentrado em suas próprias mãos.

Parece que ele foi capaz de fazer cada pequena parte desse ataque acontecer, incluindo entrar depois e mexer nos logs e tentar fazer parecer que outras pessoas na empresa o fizeram.

(Então, só para mostrar que cara muito legal ele era - ele tentou costurar seus colegas de trabalho também, para que eles se metessem em problemas.)

Mas se você fizer com que certas atividades-chave do sistema exijam a autorização de duas pessoas, idealmente até mesmo de dois departamentos diferentes, como quando, digamos, um banco está aprovando uma grande movimentação de dinheiro ou quando uma equipe de desenvolvimento está decidindo: "Vamos ver se isso o código é bom o suficiente; vamos conseguir que outra pessoa olhe de forma objetiva e independente”…

… isso torna muito mais difícil para um insider solitário realizar todos esses truques.

Porque eles teriam que conspirar com todos os outros que precisariam de co-autorização ao longo do caminho.

DOUG.  OK.

E na mesma linha: Mantenha logs imutáveis.

Essa é boa.

PATO.  Sim.

Aqueles ouvintes com memória longa podem se lembrar das unidades WORM.

Eles eram a coisa certa naquela época: Escreva uma vez, leia muitos.

É claro que eles foram considerados absolutamente ideais para logs do sistema, porque você pode escrever neles, mas nunca pode *reescrevê-los*.

Agora, na verdade, não acho que eles foram projetados dessa forma de propósito… [RISOS] Só acho que ninguém sabia como torná-los regraváveis ​​ainda.

Mas acontece que esse tipo de tecnologia era excelente para manter arquivos de log.

Se você se lembra dos primeiros CD-Rs, CD-graváveis ​​- você pode adicionar uma nova sessão, para gravar, digamos, 10 minutos de música e depois adicionar outros 10 minutos de música ou outros 100 MB de dados mais tarde, mas não voltar e reescrever a coisa toda.

Então, uma vez que você o trancou, alguém que quisesse mexer com as evidências teria que destruir o CD inteiro para que ficasse visivelmente ausente da cadeia de evidências ou danificá-lo de outra forma.

Eles não seriam capazes de pegar o disco original e reescrever seu conteúdo para que aparecesse de forma diferente.

E, claro, existem todos os tipos de técnicas pelas quais você pode fazer isso na nuvem.

Se preferir, este é o outro lado da moeda “dividir para conquistar”.

O que você está dizendo é que você tem muitos administradores de sistema, muitas tarefas de sistema, muitos daemon ou processos de serviço que podem gerar informações de registro, mas eles são enviados para algum lugar onde é preciso um ato real de vontade e cooperação para fazer isso logs desaparecerem ou parecerem diferentes do que eram quando foram originalmente criados.

DOUG.  E por último, mas certamente não menos importante: Meça sempre, nunca assuma.

PATO.  Absolutamente.

Parece que a Empresa-1, neste caso, conseguiu pelo menos algumas de todas essas coisas, em última análise.

Porque esse sujeito foi identificado e interrogado pelo FBI... Acho que cerca de dois meses depois de fazer o ataque.

E as investigações não acontecem da noite para o dia – elas exigem um mandado de busca e uma causa provável.

Portanto, parece que eles fizeram a coisa certa e não continuaram confiando cegamente nele só porque ele dizia que era confiável.

Seus crimes vieram à tona, por assim dizer.

Portanto, é importante que você não considere ninguém acima de qualquer suspeita.

DOUG.  OK, seguindo em frente.

A fabricante de gadgets Belkin está em maus lençóis, basicamente dizendo: “O fim da vida útil significa o fim das atualizações” para um de seus populares plugues inteligentes.

Belkin Wemo Smart Plug V2 - o estouro de buffer que não será corrigido

PATO.  Parece ter sido uma resposta bastante pobre de Belkin.

Certamente, do ponto de vista de relações públicas, não conquistou muitos amigos, porque o dispositivo neste caso é um daqueles chamados plugues inteligentes.

Você obtém um switch habilitado para Wi-Fi; alguns deles também medirão o poder e outras coisas assim.

Portanto, a ideia é que você possa ter um aplicativo, uma interface da Web ou algo que ligue e desligue uma tomada.

Portanto, é um pouco irônico que a falha esteja em um produto que, se hackeado, pode levar alguém basicamente a ligar e desligar um interruptor que pode ter um aparelho conectado a ele.

Acho que, se eu fosse a Belkin, poderia ter dito: "Olha, não estamos mais apoiando isso, mas neste caso ... sim, vamos lançar um patch."

E é um estouro de buffer, Doug, puro e simples.

[Risos] Oh, querido…

Quando você conecta o aparelho, ele precisa ter um identificador único para que apareça no app, digamos, no seu celular... se você tem três em casa, não quer que todos sejam chamados Belkin Wemo plug.

Você quer mudar isso e colocar o que Belkin chama de “nome amigável”.

E então você entra com o aplicativo do telefone e digita o novo nome que deseja.

Bem, parece que há um buffer de 68 caracteres no aplicativo no próprio dispositivo para o seu novo nome… mas não há como verificar se você não colocou um nome com mais de 68 bytes.

Tolamente, talvez, as pessoas que construíram o sistema decidiram que seria bom o suficiente se eles simplesmente verificassem quanto tempo era o nome *que você digitou em seu telefone quando usou o aplicativo para mudar o nome*: “Evitaremos enviar nomes que são muito longos em primeiro lugar.

E, de fato, no aplicativo de telefone, aparentemente você não pode nem mesmo colocar mais de 30 caracteres, então eles estão sendo extremamente superseguros.

Grande problema!

E se o invasor decidir não usar o aplicativo? [RISADA]

E se eles usarem um script Python que eles mesmos escreveram…

DOUG.  Hummm! [IRONIC] Por que eles fariam isso?

PATO.  …que não se preocupe em verificar o limite de 30 ou 68 caracteres?

E foi exatamente isso que esses pesquisadores fizeram.

E eles descobriram, porque há um estouro de buffer de pilha, eles poderiam controlar o endereço de retorno de uma função que estava sendo usada.

Com bastante tentativa e erro, eles foram capazes de desviar a execução para o que é conhecido no jargão como “shellcode” de sua própria escolha.

Notavelmente, eles podiam executar um comando do sistema que executava o wget comando, que baixava um script, tornava o script executável e o executava.

DOUG.  OK, bem…

…temos alguns conselhos no artigo.

Se você tiver um desses plugues inteligentes, dê uma olhada.

Acho que a grande questão aqui é, presumindo que a Belkin cumpra sua promessa de não consertar isso... [RISOS ALTOS]

…basicamente, quão difícil é consertar isso, Paul?

Ou seria bom PR apenas tapar esse buraco?

PATO.  Bem, eu não sei.

Pode haver muitos outros aplicativos que, oh, querido, eles precisam fazer o mesmo tipo de correção.

Então, eles podem simplesmente não querer fazer isso por medo de que alguém diga: “Bem, vamos cavar mais fundo”.

DOUG.  Uma ladeira escorregadia…

PATO.  Quero dizer, isso seria um péssimo motivo para não fazê-lo.

Eu teria pensado, já que isso agora é bem conhecido e parece uma solução fácil o suficiente…

…apenas (A) recompile os aplicativos para o dispositivo com proteção de pilha ativada, se possível, e (B) pelo menos neste programa de alteração de “nome amigável” específico, não permita nomes com mais de 68 caracteres!

Não parece uma grande correção.

Embora, é claro, essa correção tenha que ser codificada; tem que ser revisto; tem que ser testado; uma nova versão deve ser criada e assinada digitalmente.

Ele então tem que ser oferecido a todos, e muita gente nem vai perceber que está disponível.

E se eles não atualizarem?

Seria bom se aqueles que estão cientes desse problema pudessem consertar, mas resta saber se a Belkin esperará que eles simplesmente atualizem para um produto mais novo.

DOUG.  Bom, falando em atualizações...

…estamos de olho, como dizemos, nessa história.

Já falamos sobre isso várias vezes: Clearview AI.

Muito bem! Raclagem crapuleux! Clearview AI com 20% mais problemas na França

A França tem essa empresa em vista para o desafio repetido, e é quase ridículo o quão ruim isso ficou.

Então, essa empresa extrai fotos da internet e as mapeia para seus respectivos humanos, e a aplicação da lei usa esse mecanismo de busca, por assim dizer, para procurar pessoas.

Outros países também tiveram problemas com isso, mas a França disse: “Isso é PII. Esta é uma informação de identificação pessoal.”

PATO.  Sim.

DOUG.  “Clearview, por favor, pare de fazer isso.”

E Clearview nem respondeu.

Então eles foram multados em 20 milhões de euros e continuaram…

E a França está dizendo: “OK, você não pode fazer isso. Nós dissemos para você parar, então vamos cair ainda mais forte em você. Vamos cobrar-te 100,000€ todos os dias”… e retrocederam ao ponto de já estar nos 5,200,000€.

E Clearview simplesmente não está respondendo.

É simplesmente não reconhecer que há um problema.

PATO.  Isso certamente parece ser o desenrolar das coisas, Doug.

Curiosamente, e na minha opinião bastante razoável e muito importante, quando o regulador francês examinou a Clearview AI (na época eles decidiram que a empresa não iria jogar bola voluntariamente e os multou em € 20 milhões)…

…eles também descobriram que a empresa não estava apenas coletando o que eles consideram dados biométricos sem obter consentimento.

Eles também estavam tornando incrivelmente, desnecessariamente e ilegalmente difícil para as pessoas exercerem seu direito (A) de saber que seus dados foram coletados e estão sendo usados ​​comercialmente e (B) de excluí-los, se assim o desejarem.

Esses são direitos que muitos países consagraram em seus regulamentos.

Certamente, eu acho, ainda está na lei no Reino Unido, embora agora estejamos fora da União Europeia, e faz parte do conhecido regulamento GDPR na União Europeia.

Se eu não quiser que você mantenha meus dados, você deve excluí-los.

E, aparentemente, Clearview estava fazendo coisas como dizer: “Bem, se o tivermos por mais de um ano, é muito difícil removê-lo, então são apenas dados que coletamos no ano passado”.

DOUG.  Aaaaargh. [RISOS]

PATO.  Então, se você não percebe, ou só percebe depois de dois anos?

Muito tarde!

E então eles estavam dizendo: “Oh, não, você só pode perguntar duas vezes por ano.”

Eu acho que, quando os franceses investigaram, eles também descobriram que as pessoas na França estavam reclamando que tinham que perguntar várias vezes antes de conseguirem incitar a memória de Clearview a fazer qualquer coisa.

Quem sabe como isso vai acabar, Doug?

DOUG.  Este é um bom momento para ouvir vários leitores.

Normalmente fazemos nosso comentário da semana de um leitor, mas você perguntou no final deste artigo:

Se você fosse {Rainha, Rei, Presidente, Mago Supremo, Líder Glorioso, Juiz Chefe, Árbitro Líder, Alto Comissário de Privacidade}, e pudesse resolver esse problema com um {aceno de sua varinha, toque de sua caneta, sacudir de seu cetro , um truque mental Jedi}…

…como você resolveria esse impasse?

E apenas para extrair algumas citações de nossos comentaristas:

  • “Cortem suas cabeças.”
  • “Pena de morte corporativa.”
  • “Classifique-os como uma organização criminosa.”
  • “Os superiores devem ser presos até que a empresa cumpra.”
  • “Declare que os clientes são co-conspiradores.”
  • “Hackear o banco de dados e deletar tudo.”
  • “Criar novas leis.”

E então James desmonta com: “Eu peido em sua direção geral. Sua mãe era um 'amster, e seu pai cheirava a sabugueiro. [MONTY PYTHON E O SANTO GRAAL ALUSÃO]

O que eu acho que pode ser um comentário no artigo errado.

Acho que havia uma citação de Monty Python no “Whodunnit?” artigo.

Mas, James, obrigado por pular lá no final...

PATO.  [RISOS] Na verdade não deveria rir.

Um de nossos comentaristas não disse: “Ei, inscreva-se para um Aviso Vermelho da Interpol? [UMA ESPÉCIE DE MANDADO DE PRISÃO INTERNACIONAL]

DOUG.  Sim!

Bom, ótimo… como costumamos fazer, vamos ficar de olho nisso, porque posso garantir que ainda não acabou.

Se você tiver uma história, comentário ou pergunta interessante que gostaria de enviar, adoraríamos ler no podcast.

Você pode enviar um e-mail para tips@sophos.com, comentar em qualquer um de nossos artigos ou entrar em contato conosco nas redes sociais: @NakedSecurity.

Esse é o nosso show de hoje; Muito obrigado por ouvir.

Para Paul Ducklin, sou Doug Aamoth, lembrando você até a próxima…

AMBAS.  Fique seguro!

[MODEM MUSICAL]

Carimbo de hora:

Mais de Segurança nua