S3 Ep102: Sortarea faptelor din ficțiune în știrile înfățișate de securitate cibernetică [Audio + Transcriere]

Faceți clic și trageți pe undele sonore de mai jos pentru a trece la orice punct. Poti de asemenea asculta direct pe Soundcloud.

[MODEM MUZICAL]

RAȚĂ.  Bună tuturor.

Bun venit la un alt episod din podcastul Naked Security.

Sunt Paul Ducklin și mi se alătură prietenul și colegul meu Chester Wisniewski din Vancouver.

Bună, Chet!

---

CHET.  Salut Duck.

Bine să revin pe podcast.

---

RAȚĂ.  Din nefericire, motivul pentru care te-ai întors la acesta este că Doug și familia lui au avut temutul lurgie...

..au un focar de coronavirus în gospodăria lor.

Îți mulțumesc foarte mult pentru că ai intervenit într-un prea scurt timp, literalmente în această după-amiază: „Chet, poți sări?”

Așa că haideți să trecem direct la primul subiect al zilei, care este ceva despre care noi și dvs. am discutat parțial în episod mini-podcast am făcut-o săptămâna trecută și aceasta este problema încălcării Uber, a încălcării Rockstar și a acestui grup misterios de criminalitate cibernetică cunoscut sub numele de LAPSUS$.

Unde suntem acum cu această saga în desfășurare?

---

CHET.  Ei bine, cred că răspunsul este că nu știm, dar cu siguranță au existat lucruri despre care voi spune că au fost percepute ca fiind evoluții, adică...

…Nu am auzit de alte hack-uri după hack-ul Rockstar Games sau hack-ul Take-Two Interactive care a avut loc cu puțin peste o săptămână în urmă, la momentul acestei înregistrări.

O persoană minoră din Regatul Unit a fost arestată, iar unii oameni au tras niște linii punctate spunând că el este un fel de pivot al grupului LAPSUS$ și că acea persoană este reținută de poliția britanică.

Dar pentru că sunt minori, nu sunt sigur că știm prea multe despre ceva.

---

RAȚĂ.  Da, au fost o mulțime de concluzii la care au sărit!

Unele dintre ele pot fi rezonabile, dar am văzut o mulțime de articole care vorbeau ca și cum faptele ar fi fost stabilite atunci când nu.

Persoana care a fost arestată era un tânăr de 17 ani din Oxfordshire, în Anglia, și este exact aceeași vârstă și locație cu persoana care a fost arestată în martie, care ar fi fost legată de LAPSUS$.

Dar încă nu știm dacă există vreun adevăr în asta, pentru că sursa principală pentru plasarea unei persoane LAPSUS$ în Oxfordshire este un alt criminal cibernetic necunoscut cu care s-au certat și care i-a doxat online:

Așa că cred că trebuie să fim, așa cum spuneți, foarte atenți să pretindem ca fapte lucruri care ar putea fi adevărate, dar s-ar putea să nu fie adevărate...

… și, de fapt, nu afectează cu adevărat măsurile de precauție pe care ar trebui să le iei oricum.

---

CHET.  Nu, și vom vorbi despre asta din nou într-una dintre celelalte povești într-un minut.

Dar când căldura crește după unul dintre aceste mari atacuri, de multe ori oamenii merg la pământ, indiferent dacă cineva a fost arestat sau nu.

Și cu siguranță am văzut că înainte – cred că în celălalt podcast am menționat grupul de hacking Lulzsec, care era destul de faimos în urmă cu zece ani și ceva pentru că făcea asemenea... „stunt hack”, le-aș numi – doar lucruri pentru a face de rușine companiile și a publica un o grămadă de informații despre ei în mod public, chiar dacă poate nu intenționau să-i stoarce sau să comită vreo altă infracțiune pentru a câștiga vreun avantaj financiar pentru ei înșiși.

De câteva ori, diferiți membri ai acelui grup... un membru ar fi arestat, dar în mod clar, cred că, în cele din urmă, au fost cinci sau șase membri diferiți ai acelui grup și toți s-ar opri din piratare pentru câteva săptămâni.

Pentru că, desigur, poliția a fost brusc foarte interesată.

Deci acest lucru nu este neobișnuit.

Adevărul este că toate aceste organizații au cedat ingineriei sociale într-un fel, cu excepția... Nu voi spune cu „excepție” pentru că, din nou, nu știm - nu înțelegem cu adevărat cum au ajuns. Jocuri Rockstar.

Dar cred că aceasta este o oportunitate de a reveni și de a revizui cum și unde utilizați autentificarea multi-factor [MFA] și, poate, să ridicați un nivel mai sus asupra modului în care ați fi implementat-o.

În cazul Uber, ei foloseau un sistem de notificare push care afișează o solicitare pe telefonul tău care spune: „Cineva încearcă să se conecteze la portalul nostru. Doriți să permiteți sau să blocați?”

Și este la fel de simplu ca doar să apeși pe butonul mare verde care spune [Allow].

Se pare că, în acest caz, au obosit pe cineva să se enerveze atât de mult după ce au primit 700 dintre aceste solicitări pe telefon, încât tocmai au spus [Allow] ca să nu se mai întâmple.

Am scris un articol pe blogul Sophos News în care discutăm câteva dintre lecțiile diferite care pot fi luate din eșecul Uber și ce ar putea Uber să implementeze pentru a preveni ca aceleași lucruri să se repete:

---

RAȚĂ.  Din păcate, cred că motivul pentru care multe companii optează pentru asta, „Ei bine, nu trebuie să introduceți un cod din șase cifre, trebuie doar să atingeți butonul” este că acesta este singurul mod în care ar putea face angajații dornici suficient să vrei să faci 2FA.

Ceea ce pare puțin păcat...

---

CHET.  Ei bine, felul în care îți cerem să o faci azi bate dracu de a purta un jeton RSA pe breloc, așa cum obișnuiam să facem înainte.

---

RAȚĂ.  Unul pentru fiecare cont! [râde]

---

CHET.  Da, nu-mi lipsește să port micuțul fob pe breloul meu. [râde]

Cred că am unul pe aici pe undeva pe care scrie „Liliac mort” pe ecran, dar nu au scris „mort” cu A.

A fost dEdbAt...

---

RAȚĂ.  Da, sunt doar șase cifre, nu?

---

CHET.  Exact. [râde]

Dar lucrurile s-au îmbunătățit și există acum o mulțime de instrumente multifactoriale foarte sofisticate.

Recomand întotdeauna folosirea jetoanelor FIDO ori de câte ori este posibil.

Dar în afara asta, chiar și în sistemele software, aceste lucruri pot fi proiectate să funcționeze în moduri diferite pentru diferite aplicații.

Uneori, poate trebuie doar să faceți clic [OK] pentru că nu este ceva super-sensibil.

Dar atunci când faci lucrul sensibil, poate că trebuie să introduci un cod.

Și uneori codul intră în browser sau uneori codul intră în telefon.

Dar toate acestea... Nu mi-am petrecut niciodată mai mult de 10 secunde autorizându-mă să intru în ceva când a apărut multifactor și pot rezerva 10 secunde pentru siguranța și securitatea nu doar a datelor companiei mele, ci și a angajaților noștri și a clienților noștri date.

---

RAȚĂ.  Nu aș putea fi mai de acord, Chester!

Următoarea noastră poveste se referă la o companie de telecomunicații foarte mare din Australia numită Optus:

Acum, au fost sparți.

Acesta nu a fost un hack 2FA – a fost probabil ceea ce ați putea numi „fructul de jos”.

Dar în fundal, au existat o mulțime de șmecherie când s-au implicat forțele de ordine, nu-i așa?

Deci... spune-ne ce s-a întâmplat acolo, din câte știi.

---

CHET.  Exact – nu sunt citit în detaliu despre asta, pentru că nu suntem implicați în atac.

---

RAȚĂ.  Și cred că încă investighează, evident, nu-i așa?

Pentru că au fost, ce, milioane de înregistrări?

---

CHET.  Da.

Nu știu numărul exact de înregistrări care au fost furate, dar a afectat peste 9 milioane de clienți, potrivit Optus.

Și asta s-ar putea datora faptului că nu sunt foarte siguri ce informații despre clienți ar fi putut fi accesate.

Și erau date sensibile, din păcate.

Include nume, adrese, adrese de e-mail, date de naștere și documente de identitate, care sunt probabil numere de pașapoarte și/sau permise de conducere eliberate de Australia.

Așadar, acesta este un tezaur destul de bun pentru cineva care caută să comită furtul de identitate – nu este o situație bună.

Sfatul pentru victimele care primesc o notificare de la Optus este că, dacă și-au folosit pașaportul, ar trebui să-l înlocuiască.

Nu este un lucru ieftin de făcut!

Și, din păcate, în acest caz, se presupune că făptuitorul a obținut datele utilizând un punct final API neautentificat, ceea ce înseamnă, în esență, o interfață programatică cu care se confruntă internetul care nu necesita nici măcar o parolă...

… o interfață care i-a permis să parcurgă în serie toate înregistrările clienților și să descarce și să sifoneze toate acele date.

---

RAȚĂ.  Așa că așa merg example.com/user­record/000001 și primesc ceva și mă gândesc: „Oh, asta e interesant”.

Și apoi merg, -2, -3, -4, 5, -6... și iată-i pe toți.

---

CHET.  Absolut.

Și discutam, în pregătirea podcastului, cum acest gen de ecou a trecutului, când un hacker cunoscut sub numele de Weev a făcut un atac similar împotriva AT&T în timpul lansării iPhone-ului original, enumerând informațiile personale ale multor celebrități dintr-un API AT&T. punct final.

Aparent, nu învățăm întotdeauna lecții și facem din nou aceleași greșeli...

---

RAȚĂ.  Pentru că Weev, celebru sau infam, a fost acuzat pentru asta și condamnat și a intrat la închisoare...

… și atunci a fost răsturnat în apel, nu-i așa?

Cred că instanța s-a format de părere că, deși s-ar putea să fi încălcat spiritul legii, cred că s-a simțit că de fapt nu a făcut nimic care să implice cu adevărat vreun fel de „efracție și intrare” digitală.

---

CHET.  Ei bine, legea exactă din Statele Unite, Legea privind fraudele și abuzurile pe calculator, este foarte specific cu privire la faptul că încălcați acea lege atunci când vă depășiți autoritatea sau aveți acces neautorizat la un sistem.

Și este greu de spus că este neautorizat când este larg deschis către lume!

---

RAȚĂ.  Acum înțelegerea mea în cazul Optus este că persoana care se presupune că a primit datele părea să-și fi exprimat interesul să le vândă...

… cel puțin până când Poliția Federală Australiană [AFP] a intervenit.

Este corect?

---

CHET.  Da. El a postat pe un forum de piață întunecată oferind înregistrările, despre care a susținut că erau pentru 11.2 milioane de victime, oferindu-le spre vânzare pentru 1,000,000 de dolari.

Ei bine, ar trebui să spun un milion de dolari nu reali... în valoare de 1 milion de Monero.

În mod evident, Monero este un simbol de confidențialitate care este folosit în mod obișnuit de infractori pentru a evita să fie identificat atunci când plătiți răscumpărarea sau faceți o achiziție de la ei.

În 72 de ore, când AFP a început ancheta și a făcut o declarație publică, el pare să fi renunțat la oferta de vânzare a datelor.

Așa că poate că s-a dus la pământ, așa cum am spus în povestea anterioară, în speranța că poate AFP nu-l va găsi.

Dar bănuiesc că orice firimituri digitale de prăjituri pe care le-a lăsat în urmă, AFP este fierbinte pe urmă.

---

RAȚĂ.  Deci, dacă ignorăm datele care au dispărut și criminalitatea sau altfel accesarea acestora, care este morala poveștii pentru oamenii care furnizează API-uri RESTful, API-uri de acces bazate pe web, datelor clienților?

---

CHET.  Ei bine, nu sunt un expert în programare, dar se pare că o autentificare este în regulă... [Râsete]

… pentru a se asigura că oamenii își accesează propria evidență a clienților numai dacă există un motiv pentru ca aceasta să fie accesibilă publicului.

În plus, s-ar părea că un număr semnificativ de înregistrări au fost furate înainte de a fi observat ceva.

Și nu este diferit decât ar trebui să monitorizăm, să zicem, limitarea ratei pentru propria noastră autentificare împotriva VPN-urilor noastre sau a aplicațiilor noastre web pentru a ne asigura că cineva nu face un atac cu forță brută împotriva serviciilor noastre de autentificare...

… ați spera că, odată ce ați interogat un milion de înregistrări printr-un serviciu care pare a fi conceput pentru ca dvs. să căutați unul, poate că este necesară o monitorizare!

---

RAȚĂ.  Absolut.

Aceasta este o lecție pe care am fi putut-o învăța cu toții din trecut în hack-ul lui Chelsea Manning, nu-i așa, unde a copiat ea, ce a fost?

30 de ani de cabluri ale Departamentului de Stat copiate pe un CD... cu căștile puse, pretinzând că este un CD cu muzică?

---

CHET.  Britney Spears, dacă îmi amintesc.

---

RAȚĂ.  Ei bine, asta a fost scris pe CD, nu-i așa?

---

CHET.  Da. [râde]

---

RAȚĂ.  Așa că a dat un motiv pentru care era un CD reinscriptibil: „Ei bine, am pus muzică pe el.”

Și în niciun moment nu a sunat niciun semnal de alarmă.

Vă puteți imagina, poate, dacă ați copiat datele în valoare de prima lună, ei bine, ar putea fi în regulă.

Un an, un deceniu poate?

Dar 30 de ani?

Ai spera că până atunci alarma de fum va suna foarte tare.

---

CHET.  Da.

„Copii de rezervă neautorizate”, le-ați putea numi, cred.

---

RAȚĂ.  Da…

… și aceasta este, desigur, o problemă uriașă în ransomware-ul modern, nu-i așa, în cazul în care mulți escroci exfiltrează date în avans pentru a le oferi un efect suplimentar de șantaj?

Deci, când te întorci și spui: „Nu am nevoie de cheia ta de decriptare, am copii de rezervă”, ei spun: „Da, dar avem datele tale, așa că le vom distribui dacă nu ne dai banii."

În teorie, ai spera că ar fi posibil să observi faptul că toate datele tale au fost făcute copii de rezervă, dar nu au urmat procedura obișnuită de backup în cloud pe care o folosești.

Este ușor să spui asta... dar este genul de lucru la care trebuie să fii atent.

---

CHET.  A existat un raport în această săptămână că, de fapt, pe măsură ce lățimea de bandă a devenit atât de prolifică, unul dintre grupurile de răscumpărare nu mai criptează.

Îți scot toate datele din rețea, la fel cum au făcut grupurile de extorcare de timp, dar apoi îți șterg sistemele în loc să le cripteze și spun: „Nu, nu, nu, îți vom da datele înapoi când plătiți.”

---

RAȚĂ.  Acesta este „Exmatter”, nu-i așa?

---

CHET.  Da.

---

RAȚĂ. „De ce să vă deranjați cu toată complexitatea criptografiei cu curbe eliptice și AES?

Există atât de multă lățime de bandă acolo încât în ​​loc să [RâD]... o, dragă, nu ar trebui să râd... în loc să spun: „Plătește-ne banii și îți vom trimite cheia de decriptare de 16 octeți”, este „Trimite-ne banii și îți vom da dosarele înapoi.”

---

CHET.  Subliniază din nou modul în care trebuie să căutăm instrumentele și comportamentele cuiva care face lucruri rău intenționate în rețeaua noastră, deoarece poate fi autorizat să facă unele lucruri (cum ar fi Chelsea Manning) sau poate fi intenționat deschis, lucruri neautentificate care nu au vreun scop.

Dar trebuie să fim atenți la comportamentul abuzului lor, pentru că nu putem urmări doar criptarea.

Nu putem doar să urmărim dacă cineva ghiceste parola.

Trebuie să fim atenți la aceste activități mai mari, aceste tipare, care indică ceva rău intenționat.

---

RAȚĂ.  Absolut.

După cum cred că ai spus în minisodul ceea ce am făcut, nu mai este suficient să așteptați să apară alerte pe tabloul de bord pentru a spune că s-a întâmplat ceva rău.

Trebuie să fii conștient de tipul de comportamente care au loc în rețeaua ta care ar putea să nu fie încă rău intenționate, dar totuși sunt un semn bun că ceva rău este pe cale să se întâmple, pentru că, ca întotdeauna, prevenirea este mult mai bună decât vindeca:

Chester, aș dori să trec la un alt articol – acea poveste este ceva ce am scris-o astăzi pe Naked Security, pur și simplu pentru că eu însumi m-am încurcat.

Fluxul meu de știri a fost plin de povești despre WhatsApp care are o zi zero:

Cu toate acestea, când m-am uitat în toate poveștile, toate păreau să aibă o sursă primară comună, care a fost un aviz de securitate destul de generic de la WhatsApp însuși, de la începutul lunii.

Pericolul clar și prezent pe care titlurile știrilor m-au făcut să-l cred...

… s-a dovedit a nu fi deloc adevărat din câte am putut vedea.

Spune-ne ce s-a întâmplat acolo.

---

CHET.  Tu spui: „Zero-day”.

Eu spun: „Arată-mi victimele. Unde sunt ei?" [RÂSETE]

---

RAȚĂ.  Ei bine, uneori s-ar putea să nu poți dezvălui asta, nu?

---

CHET.  Ei bine, în acest caz, ne-ați spune asta!

Aceasta este o practică normală în industrie pentru dezvăluirea vulnerabilităților.

Veți vedea frecvent, în Patch Tuesday, Microsoft făcând o declarație de genul: „Se știe că această vulnerabilitate a fost exploatată în sălbăticie”, adică cineva și-a dat seama de acest defect, a început să-l atace, apoi am aflat și am plecat. înapoi și l-am reparat.

*Asta* este o zi zero.

Găsirea unui defect software care nu este exploatat sau nu există nicio dovadă că nu a fost vreodată exploatată și remedierea acestuia în mod proactiv se numește „Bună practică de inginerie”, și este ceva ce face aproape toate programele.

De fapt, îmi amintesc că ați menționat recenta actualizare a Firefox care a remediat în mod proactiv o mulțime de vulnerabilități pe care, din fericire, echipa Mozilla le documentează și le raportează public – așa că știm că au fost remediate, în ciuda faptului că nimeni nu le-ar fi atacat vreodată.

---

RAȚĂ.  Cred că este important să reținem cuvântul „zi zero” pentru a indica cât de clar și de prezent este un pericol.

Și numirea totul zero-day, deoarece ar putea provoca execuția de cod de la distanță, pierde efectul a ceea ce cred că este un termen foarte util.

Ați fi de acord cu asta?

---

CHET.  Absolut.

Asta nu trebuie să scadă importanța aplicării acestor actualizări, desigur – de fiecare dată când vedeți „execuția codului de la distanță”, cineva poate să se întoarcă acum și să descopere cum să atace acele erori și persoanele care nu și-au actualizat aplicația.

Deci, este încă un lucru urgent să vă asigurați că obțineți actualizarea.

Dar, din cauza naturii unei zile zero, chiar merită propriul termen.

---

RAȚĂ.  Da.

Încercarea de a face povești de zi zero din lucruri interesante și importante, dar nu neapărat un pericol clar și prezent, este pur și simplu confuz.

Mai ales dacă remedierea a apărut cu o lună înainte și o prezentați ca pe o poveste ca și cum „acest lucru se întâmplă chiar acum”.

Oricine va merge la iPhone sau Android va spune: „Am un număr de versiune cu mult înainte. Ce se intampla aici?"

Confuzia nu ajută când vine vorba de încercarea de a face ceea ce trebuie în domeniul securității cibernetice.

---

CHET.  Și dacă găsiți o defecțiune de securitate care ar putea fi o zi zero, vă rugăm să o raportați, mai ales dacă există un program de recompensă pentru erori oferit de organizația care dezvoltă software-ul.

Am văzut, în această după-amiază, cineva în weekend a descoperit o vulnerabilitate în OpenSea, care este o platformă de tranzacționare cu jetoane nefungibile sau NFT-uri... pe care nu o pot recomanda nimănui, dar cineva a găsit o vulnerabilitate nepatchată care era critică în sistem în weekend, l-a raportat și a primit astăzi o recompensă pentru erori de 100,000 USD.

Așa că merită să fii etic și să predai aceste lucruri atunci când le descoperi, pentru a preveni să se transforme într-o zi zero când altcineva le găsește.

---

RAȚĂ.  Absolut.

Te protejezi pe tine însuți, îi protejezi pe toți ceilalți, faci ceea ce trebuie de către vânzător... totuși, printr-o dezvăluire responsabilă, oferi acea „mini-sabie a lui Damocles”, ceea ce înseamnă că vânzătorii lipsiți de etică, care în trecut ar fi putut să măture rapoartele de erori sub covor, nu pot face asta pentru că știu că vor ieși în sfârșit.

Deci ar putea la fel de bine să facă ceva în acest sens acum.

Chester, haideți să trecem la ultimul nostru subiect pentru săptămâna aceasta și aceasta este problema ce se întâmplă cu datele de pe dispozitive când nu le mai doriți cu adevărat.

Și povestea la care mă refer este amenda de 35,000,000 de dolari care i-a fost acordată lui Morgan Stanley pentru un incident care a avut loc până în 2016:

Există mai multe aspecte ale poveștii... este o lectură fascinantă, de fapt, felul în care s-a desfășurat totul și durata de timp în care aceste date au trăit, plutind în locuri necunoscute de pe internet.

Dar partea principală a poveștii este că aveau... Cred că erau ceva de genul 4900 de hard disk-uri, inclusiv discuri care ieșeau din matrice RAID, discuri de server cu date despre client.

„Nu le mai vrem, așa că le vom trimite unei companii care le va șterge și apoi le va vinde, așa că vom primi niște bani înapoi.”

Și în cele din urmă, compania poate să le fi șters pe unele dintre ele, dar pe unele dintre ele tocmai le-au trimis la vânzare pe un site de licitații fără a le șterge deloc.

Continuăm să facem aceleași greșeli vechi!

---

CHET.  Da.

Prima încălcare a HIPAA, cred, care a fost găsită în Statele Unite – legislația în domeniul sănătății privind protecția informațiilor despre pacienți – a fost pentru stive de hard disk-uri dintr-un dulap de îngrijire care nu erau criptate.

Și acesta este cuvântul cheie pentru a începe procesul de a face în privința asta, nu?

Nu există un disc în lume care să nu fie criptat complet în acest moment.

Fiecare iPhone a fost de când îmi amintesc.

Majoritatea tuturor Android-urilor au fost de când îmi amintesc, cu excepția cazului în care încă iei telefoane chinezești cu Android 4 pe ele.

Și computerele desktop, din păcate, nu sunt criptate suficient de frecvent.

Dar ele nu ar trebui să fie diferite de acele hard disk-uri ale serverului, acele matrice RAID.

Totul ar trebui să fie criptat pentru început, pentru a face primul pas în proces dificil, dacă nu imposibil...

… urmată de distrugerea acelui dispozitiv dacă și când ajunge la sfârșitul duratei de viață utilă.

---

RAȚĂ.  Pentru mine, unul dintre lucrurile cheie în această poveste cu Morgan Stanley este că la cinci ani după ce a început... a început în 2016, iar în iunie anul trecut, discuri de la acel site de licitații care au intrat în marele necunoscut încă erau cumpărate înapoi de către Morgan Stanley.

Erau încă neșterse, necriptate (evident), funcționau bine și cu toate datele intacte.

Spre deosebire de bicicletele care sunt aruncate în canal sau deșeurile de grădină pe care le puneți în coșul de compost, este posibil ca datele de pe hard disk să nu se degradeze, posibil pentru o perioadă foarte lungă de timp.

Deci, dacă aveți îndoieli, ștergeți-l complet, nu?

---

CHET.  Da, cam mult.

Din păcate, așa stau lucrurile.

Îmi place să văd că lucrurile sunt reutilizate cât mai mult posibil pentru a reduce deșeurile noastre electronice.

Dar stocarea datelor nu este unul dintre acele lucruri în care ne putem permite să luăm această șansă...

---

RAȚĂ.  Ar putea fi un adevărat economisitor de date, nu doar pentru dvs., ci și pentru angajatorul dvs. și clienții dvs. și autoritatea de reglementare.

Chester, îți mulțumesc foarte mult pentru că te-ai anunțat din nou într-un termen foarte, foarte, scurt.

Vă mulțumim foarte mult pentru că ne-ați împărtășit cunoștințele dvs., în special privirea dvs. asupra acestei povești Optus.

Și, ca de obicei, până data viitoare...

---

AMBII.  Rămâi în siguranță.

[MODEM MUZICAL]