S3 Ep135: Sysadmin ziua, extortionist noaptea

Nu există player audio mai jos? Asculta direct pe Soundcloud.

DOUG.  În interiorul locurilor de muncă, recunoașterea facială și „S” în „IoT” încă reprezintă „securitate”.

Toate acestea și multe altele pe podcastul Naked Security.

[MODEM MUZICAL]

Bine ați venit la podcast, toată lumea.

Eu sunt Doug Aamoth; el este Paul Ducklin.

Paul, ce faci azi?

---

RAȚĂ.  Foarte bine, Doug.

Îți cunoști sloganul, „Vom fi cu ochii pe asta”?

---

DOUG.  [Râde] Ho, ho, ho!

---

RAȚĂ.  Din păcate, există câteva lucruri săptămâna aceasta pe care le-am „sunt cu ochii” și încă nu s-au terminat bine.

---

DOUG.  Da, avem o gamă interesantă și netradițională săptămâna aceasta.

Să intrăm în asta.

Dar mai întâi, vom începe cu a noastră Săptămâna aceasta în istoria tehnologiei segment.

Săptămâna aceasta, pe 19 mai 1980, a fost anunțat Apple III.

Va fi livrat în noiembrie 1980, moment în care primele 14,000 de Apple III de pe linie au fost rechemate.

Mașina va fi reintrodusă din nou în noiembrie 1981.

Pe scurt, Apple III a fost un eșec.

Co-fondatorul Apple, Steve Wozniak, a atribuit eșecul mașinii că acesta a fost proiectat de oameni de marketing și nu de ingineri.

Ouch!

---

RAȚĂ.  Nu știu ce să spun la asta, Doug. [RÂSETE]

Încerc să nu zâmbesc, ca persoană care se consideră un tehnolog și nu un marketroid.

Cred că Apple III a fost menit să arate bine și să arate cool și a fost menit să valorifice succesul Apple II.

Dar am înțeles că Apple III (A) nu a putut rula toate programele Apple II, ceea ce a fost un pic o lovitură de compatibilitate cu înapoi și (B) pur și simplu nu a fost suficient de extensibil așa cum era Apple II.

Nu știu dacă aceasta este o legendă urbană sau nu...

… dar am citit că primele modele nu aveau cipurile așezate corect în fabrică și că destinatarilor care raportau probleme li s-a spus să ridice partea din față a computerului de pe birou câțiva centimetri și să-l lase să se prăbușească înapoi.

[RÂSETE]

Acest lucru ar pune jetoanele la locul lor, așa cum ar fi trebuit să fie de la început.

Care se pare că a funcționat, dar nu a fost cel mai bun tip de reclamă pentru calitatea produsului.

---

DOUG.  Exact.

Bine, să intrăm în prima noastră poveste.

Aceasta este o poveste de avertizare despre cât de rău amenințări interioare poate fi, și poate cât de greu pot fi și ei să reușească, Paul.

Cine cunoaște? Cybercrook primește 6 ani pentru răscumpărarea propriului angajator

---

RAȚĂ.  Într-adevăr, este, Douglas.

Și dacă cauți povestea nakedsecurity.sophos.com, este cel care este subtitrat, „Cine cunoaște? Cybercrook primește 6 ani pentru răscumpărarea propriului angajator.”

Și aici aveți curajul poveștii.

---

DOUG.  Nu ar trebui să râd, dar... [RÂDE]

---

RAȚĂ.  Este cam amuzant și neamuzant.

Pentru că dacă te uiți la modul în care s-a desfășurat atacul, practic a fost:

„Hei, cineva a spart; nu știm care a fost gaura de securitate pe care au folosit-o. Să intrăm în acțiune și să încercăm să aflăm.”

"Oh nu! Atacatorii au reușit să obțină puteri de administrator de sistem!”

"Oh nu! Au absorbit gigaocteți de date confidențiale!”

"Oh nu! S-au încurcat cu jurnalele de sistem, așa că nu știm ce se întâmplă!”

"Oh nu! Acum cer 50 de bitcoini (care la acea vreme costau aproximativ 2,000,000 de dolari SUA) pentru a menține lucrurile în liniște... evident că nu vom plăti 2 milioane de dolari ca un loc de muncă în liniște.”

Și, bingo, escroc a mers și a făcut acel lucru tradițional de a scurge datele pe dark web, practic doxxing compania.

Și, din păcate, întrebarea „Whodunnit?” a răspuns: Unul dintre administratorii de sistem ai companiei.

De fapt, unul dintre cei care fuseseră recrutați în echipă pentru a încerca să găsească și să-l expulzeze pe atacator.

Așa că se prefăcea că luptă cu acest atacator ziua și negocia o plată de șantaj de 2 milioane de dolari noaptea.

Și chiar mai rău, Doug, se pare că, atunci când au devenit suspicioși față de el...

… ceea ce au făcut, să fim corecți cu compania.

(Nu am de gând să spun cine a fost; să le numim Compania-1, așa cum a făcut Departamentul de Justiție al SUA, deși identitatea lor este destul de bine cunoscută.)

Proprietatea lui a fost percheziționată și, se pare, au pus mâna pe laptopul care s-a dovedit ulterior a fost folosit pentru a comite crima.

L-au chestionat, așa că a pornit un proces „infracțiunea este cea mai bună formă de apărare” și s-a prefăcut că este un denunțător și a contactat mass-media sub un alter ego.

El a oferit o întreagă poveste falsă despre cum s-a întâmplat încălcarea - că era o securitate slabă pe Amazon Web Services sau ceva de genul acesta.

Așa că a făcut să pară, în multe privințe, mult mai rău decât era, iar prețul acțiunilor companiei a scăzut destul de rău.

S-ar putea să fi scăzut oricum când au existat vești că au fost încălcate, dar cu siguranță se pare că a făcut tot posibilul să pară mult mai rău pentru a abate suspiciunea de la sine.

Ceea ce, din fericire, nu a funcționat.

El *a* fost condamnat (ei bine, a pledat vinovat) și, așa cum am spus în titlu, a primit șase ani de închisoare.

Apoi trei ani de eliberare condiționată și trebuie să plătească o penalitate de 1,500,000 de dolari.

---

DOUG.  Nu poți inventa chestiile astea!

Sfaturi grozave în acest articol... există trei sfaturi.

Imi place primul: Diviza și cuceri.

Ce vrei să spui cu asta, Paul?

---

RAȚĂ.  Ei bine, se pare că, în acest caz, acest individ avea prea multă putere concentrată în propriile mâini.

Se pare că a reușit să facă fiecare parte a acestui atac să se întâmple, inclusiv intrând după aceea și să se încurce cu jurnalele și încercând să pară ca și cum alți oameni din companie au făcut-o.

(Așadar, doar pentru a arăta ce tip teribil de drăguț era – a încercat să-și îmbine și colegii de serviciu, ca să aibă probleme.)

Dar dacă faceți ca anumite activități cheie ale sistemului necesită autorizarea a două persoane, în mod ideal chiar și din două departamente diferite, la fel ca atunci când, să zicem, o bancă aprobă o mișcare mare de bani sau când o echipă de dezvoltare decide: „Să vedem dacă acest lucru. codul este suficient de bun; vom face pe altcineva să se uite la asta în mod obiectiv și independent”…

… asta face mult mai greu pentru un insider singuratic să realizeze toate aceste trucuri.

Pentru că ar trebui să se înțeleagă cu toți ceilalți că ar avea nevoie de co-autorizare de pe parcurs.

---

DOUG.  OK.

Și în același sens: Păstrați jurnalele imuabile.

Este unul bun.

---

RAȚĂ.  Da.

Acei ascultători cu memorie lungă își pot aminti unități WORM.

Erau destul de chestie pe vremea aceea: scrie o dată, citește multe.

Bineînțeles că au fost promovate ca fiind absolut ideale pentru jurnalele de sistem, deoarece le puteți scrie, dar nu le puteți *rescrie* niciodată.

Acum, de fapt, nu cred că au fost concepute așa intenționat... [Râde] Cred că nimeni nu a știut încă cum să le facă reinscriptibile.

Dar se pare că acest tip de tehnologie a fost excelent pentru păstrarea fișierelor jurnal.

Dacă vă amintiți primele CD-R, CD-Recordables – puteți adăuga o nouă sesiune, astfel încât să puteți înregistra, să zicem, 10 minute de muzică și apoi să adăugați alte 10 minute de muzică sau alți 100 MB de date mai târziu, dar nu ați putut du-te înapoi și rescrie totul.

Așa că, odată ce l-ați blocat, cineva care a vrut să se încurce cu dovezile ar trebui fie să distrugă întregul CD, astfel încât să fie vizibil absent din lanțul de probe, fie să-l deterioreze în alt mod.

Nu ar putea să ia acel disc original și să-i rescrie conținutul, astfel încât să apară diferit.

Și, desigur, există tot felul de tehnici prin care poți face asta în cloud.

Dacă doriți, aceasta este cealaltă față a monedei „împărțiți și cuceriți”.

Ceea ce spui este că ai o mulțime de administratori de sistem, o mulțime de sarcini de sistem, o mulțime de procese demon sau de serviciu care pot genera informații de înregistrare, dar sunt trimise undeva unde este nevoie de un act real de voință și cooperare pentru a le face. bustenii dispar sau arata altfel decat ce erau atunci cand au fost creati initial.

---

DOUG.  Și apoi, nu în ultimul rând: Măsurați întotdeauna, nu presupuneți niciodată.

---

RAȚĂ.  Absolut.

Se pare că, în acest caz, Compania-1 a gestionat cel puțin unele dintre aceste lucruri, în cele din urmă.

Pentru că acest tip a fost identificat și chestionat de FBI... Cred că în aproximativ două luni de la atacul său.

Iar investigațiile nu au loc peste noapte – necesită un mandat de percheziție și necesită o cauză probabilă.

Așa că se pare că au făcut ceea ce trebuie și că nu au continuat să aibă încredere în el doar pentru că el a tot spus că este de încredere.

Crimele lui au ieșit la spălat, parcă.

Deci este important să nu considerați pe nimeni ca fiind deasupra bănuielilor.

---

DOUG.  OK, mergi direct.

Producătorul de gadgeturi Belkin este în apă fierbinte, spunând practic: „Sfârșitul vieții înseamnă sfârșitul actualizărilor” pentru una dintre prizele sale inteligente populare.

Belkin Wemo Smart Plug V2 – depășirea tamponului care nu va fi corectată

---

RAȚĂ.  Se pare că a fost un răspuns destul de slab din partea Belkin.

Cu siguranță din punct de vedere PR, nu le-a câștigat mulți prieteni, deoarece dispozitivul în acest caz este unul dintre acele așa-zise mufe inteligente.

Obțineți un comutator compatibil Wi-Fi; unii dintre ei vor măsura și puterea și alte lucruri de genul ăsta.

Deci, ideea este că puteți avea apoi o aplicație sau o interfață web sau ceva care va porni și opri o priză de perete.

Așadar, este puțin o ironie că vina este la un produs care, dacă este spart, ar putea duce la cineva practic să aprindă și să oprească un întrerupător care ar putea avea un aparat conectat la el.

Cred că, dacă aș fi fost Belkin, aș fi spus: „Uite, nu mai susținem asta, dar în acest caz... da, vom scoate un patch”.

Și este o depășire a tamponului, Doug, simplu și simplu.

[Râde] Oh, dragă...

Când conectați dispozitivul, acesta trebuie să aibă un identificator unic, astfel încât să apară în aplicație, de exemplu, pe telefonul dvs.... dacă aveți trei dintre ei în casă, nu doriți să-i suni pe toți Belkin Wemo plug.

Vrei să mergi și să schimbi asta și să pui ceea ce Belkin numește „nume prietenos”.

Și astfel intri cu aplicația pentru telefon și introduci noul nume pe care îl vrei.

Ei bine, se pare că există un buffer de 68 de caractere în aplicația de pe dispozitiv în sine pentru noul tău nume... dar nu există nicio verificare că nu ai introdus un nume mai lung de 68 de octeți.

În mod prostesc, poate, oamenii care au construit sistemul au decis că ar fi suficient de bine dacă pur și simplu ar verifica cât de lung este numele *pe care l-ai tastat în telefon când ai folosit aplicația pentru a schimba numele*: „Vom evita să trimitem nume care sunt prea lungi în primul rând.”

Și într-adevăr, în aplicația pentru telefon, se pare că nici măcar nu poți introduce mai mult de 30 de caractere, așa că sunt extra-super sigure.

Problema mare!

Ce se întâmplă dacă atacatorul decide să nu folosească aplicația? [RÂSETE]

Ce se întâmplă dacă folosesc un script Python pe care l-au scris ei înșiși...

---

DOUG.  Hmmmmm! [IRONIC] De ce ar face asta?

---

RAȚĂ.  … asta nu te deranjează să verifici limita de 30 de caractere sau 68 de caractere?

Și exact asta au făcut acești cercetători.

Și au aflat că, pentru că există o depășire a memoriei tampon de stivă, au putut controla adresa de retur a unei funcții care era folosită.

Cu suficientă încercare și eroare, ei au reușit să devieze execuția în ceea ce este cunoscut în jargon ca „shellcode” la alegerea lor.

În special, ar putea rula o comandă de sistem care rula wget comanda, care a descărcat un script, a făcut scriptul executabil și l-a rulat.

---

DOUG.  OK, bine…

…avem câteva sfaturi în articol.

Dacă aveți una dintre aceste prize inteligente, verifica asta.

Bănuiesc că întrebarea mai mare aici este, presupunând că Belkin își respectă promisiunea de a nu remedia asta... [Râsete tare]

… în principiu, cât de greu este rezolvarea asta, Paul?

Sau ar fi bine PR să astupi pur și simplu această gaură?

---

RAȚĂ.  Ei bine, nu știu.

S-ar putea să existe multe alte aplicații la care, dragă, trebuie să facă același fel de remediere.

Așa că s-ar putea să nu vrea să facă asta de teamă că cineva va spune „Ei bine, hai să săpăm mai adânc”.

---

DOUG.  O pantă alunecoasă…

---

RAȚĂ.  Adică, acesta ar fi un motiv rău să nu o faci.

M-aș fi gândit, având în vedere că acest lucru este acum binecunoscut și având în vedere că pare o remediere destul de ușoară...

… doar (A) recompilați aplicațiile pentru dispozitivul cu protecția stivei activată, dacă este posibil și (B) cel puțin în acest program special de schimbare a „numelui prietenos”, nu permiteți nume mai lungi de 68 de caractere!

Nu pare o remediere majoră.

Deși, desigur, această remediere trebuie să fie codificată; trebuie revizuit; trebuie testat; trebuie creată o nouă versiune și semnată digital.

Apoi trebuie să fie oferit tuturor și mulți oameni nici măcar nu își vor da seama că este disponibil.

Și dacă nu se actualizează?

Ar fi bine dacă cei care sunt conștienți de această problemă ar putea obține o remediere, dar rămâne de văzut dacă Belkin se va aștepta să facă pur și simplu upgrade la un produs mai nou.

---

DOUG.  Bine, pe tema actualizărilor...

… am urmărit, după cum spunem, această poveste.

Am vorbit despre asta de mai multe ori: Clearview AI.

Zut alors! Raclage crapuleux! Clearview AI cu 20% mai multe probleme în Franța

Franța are această companie în vizor pentru sfidări repetate și este aproape de râs cât de rău a ajuns.

Așadar, această companie răzuiește fotografii de pe internet și le mapează pe oamenii lor, iar forțele de ordine folosesc acest motor de căutare, așa cum ar fi, pentru a căuta oameni.

Și alte țări au avut probleme cu acest lucru, dar Franța a spus: „Acesta este PII. Acestea sunt informații de identificare personală.”

---

RAȚĂ.  Da.

---

DOUG.  „Clearview, te rog nu mai faci asta.”

Și Clearview nici măcar nu a răspuns.

Așa că au fost amendați cu 20 de milioane de euro și au continuat…

Și Franța spune: „OK, nu poți face asta. Ți-am spus să te oprești, așa că o să venim și mai greu cu tine. O să vă taxăm cu 100,000 de euro în fiecare zi”... și au retrodatat-o ​​până la punctul în care a ajuns deja la 5,200,000 de euro.

Și Clearview pur și simplu nu răspunde.

Doar că nici măcar nu recunoaștem că există o problemă.

---

RAȚĂ.  Cu siguranță așa pare să se desfășoare, Doug.

Interesant, și în opinia mea destul de rezonabil și foarte important, când autoritățile de reglementare franceze a analizat Clearview AI (la momentul respectiv au decis că compania nu va juca mingea voluntar și i-a amendat cu 20 de milioane de euro)...

…de asemenea, au descoperit că compania nu colecta doar ceea ce ei consideră date biometrice fără a obține consimțământul.

De asemenea, au făcut ca oamenii să își exercite dreptul (A) de a ști că datele lor au fost colectate și sunt utilizate comercial și (B) de a le șterge dacă doresc acest lucru.

Acestea sunt drepturi pe care multe țări le-au consacrat în reglementările lor.

Cu siguranță, cred că este încă în lege în Marea Britanie, chiar dacă acum suntem în afara Uniunii Europene și face parte din binecunoscutul regulament GDPR din Uniunea Europeană.

Dacă nu vreau să-mi păstrezi datele, atunci trebuie să le ștergi.

Și se pare că Clearview făcea lucruri precum: „Oh, ei bine, dacă îl avem de mai mult de un an, este prea greu să îl eliminam, deci sunt doar date pe care le-am colectat în ultimul an”.

---

DOUG.  Aaaaargh. [râde]

---

RAȚĂ.  Deci, dacă nu observi, sau îți dai seama abia după doi ani?

Prea tarziu!

Și apoi au spus: „Oh, nu, ai voie să întrebi doar de două ori pe an”.

Cred că, atunci când francezii au investigat, au descoperit și că oamenii din Franța se plângeau că trebuie să întrebe din nou, și din nou, și din nou, înainte de a reuși să-și pună memoria Clearview să facă ceva.

Deci cine știe cum se va termina asta, Doug?

---

DOUG.  Acesta este un moment bun pentru a auzi de la mai mulți cititori.

De obicei facem comentariul săptămânii de la un cititor, dar ați întrebat la sfârșitul acestui articol:

Dacă ați fi {Regina, Rege, Președinte, Vrăjitor Suprem, Lider glorios, Judecător-șef, Arbitru principal, Înalt Comisar pentru confidențialitate} și ați putea rezolva această problemă cu {undă cu bagheta, mișcarea stiloului, scuturarea sceptrului dvs. , un truc Jedi}...

…cum ați rezolva această problemă?

Și pentru a trage doar câteva citate de la comentatorii noștri:

• „Fă-ți capul”.
• „Pedeapsa cu moartea corporativă”.
• „Clasificați-i drept organizație criminală”.
• „Cele mai înalți ar trebui să fie închiși până când compania se conformează.”
• „Declarați clienții ca fiind co-conspiratori.”
• „Hack baza de date și șterge totul.”
• „Creați legi noi.”

Și apoi James descălecă cu: „Întrepte în direcția ta generală. Mama ta era un amster, iar tatăl tău mirosea a fructe de soc. [MONTY PYTHON ȘI SFÂNTUL GRAAL ALUZIE]

Ceea ce cred că ar putea fi un comentariu la articolul greșit.

Cred că a fost un citat Monty Python în „Whodunnit?” articol.

Dar, James, mulțumesc că ai sărit la sfârșit acolo...

---

RAȚĂ.  [RÂDE] Nu ar trebui să râd cu adevărat.

Unul dintre comentatorii noștri nu a spus: „Hei, aplicați pentru o Notificare roșie a Interpolului? [UN SOI DE MANDAT INTERNAȚIONAL DE ARESTARE]

---

DOUG.  Da!

Ei bine, grozav... așa cum obișnuim să facem, vom fi cu ochii pe asta, pentru că vă asigur că nu sa terminat încă.

Dacă aveți o poveste interesantă, un comentariu sau o întrebare pe care doriți să o trimiteți, ne-ar plăcea să o citim pe podcast.

Puteți trimite un e-mail la tips@sophos.com, puteți comenta oricare dintre articolele noastre sau ne puteți contacta pe social: @NakedSecurity.

Acesta este spectacolul nostru de astăzi; multumesc mult pentru ascultare.

Pentru Paul Ducklin, sunt Doug Aamoth și vă reamintesc până data viitoare să...

---

AMBII.  Rămâi în siguranță!

[MODEM MUZICAL]