НАРУШЕНИЕ ДАННЫХ – ЖАЛО В ХВОСТ
Нажмите и перетащите звуковые волны ниже, чтобы перейти к любой точке. Вы также можете слушать прямо на Саундклауд.
С Дугом Аамотом и Полом Даклином. Интро и аутро музыка Эдит Мадж.
Вы можете слушать нас на Soundcloud, Подкасты Apple, Подкасты Google, Spotify, Брошюровщик и везде, где есть хорошие подкасты. Или просто скинь URL нашего RSS-канала в свой любимый подкэтчер.
ПРОЧИТАЙТЕ СТЕНОКРИФИК
ДУГ. Замена SIM-карты, нулевые дни, [драматический голос] Ping of DEATH и LastPass… снова.
Все это и многое другое в подкасте Naked Security.
[МУЗЫКАЛЬНЫЙ МОДЕМ]
Приветствую всех на подкасте.
Я Дуг Аамот.
Со мной, как всегда, Пол Даклин.
Павел, как дела?
УТКА. Очень хорошо, Дуг.
Вы добавили драматизма в это вступление, я рад видеть!
ДУГ. Ну, как сказать «Ping of Death», не сказав [дум-металлический рык] «Ping of DEATH»?
Ты не можешь просто сказать [нежным голосом] «Пинг смерти».
Придется немного помучиться…
УТКА. Я так полагаю.
В письменной форме все по-другому – что у вас есть?
Жирный и курсив.
Я просто использовал обычный текст, но использовал заглавные буквы, что помогает.
ДУГ. Да, думаю, я бы выделил жирным шрифтом и курсивом слово «death», так что [снова дум-метал] «The Ping of DEATH».
УТКА. И используйте несколько цветов!
Я сделаю это в следующий раз, Даг.
ДУГ. Вырваться из старого тег в HTML, заставить его немного мигать? [СМЕЕТСЯ]
УТКА. Даг, на мгновение я забеспокоился, что ты собираешься использовать это слово [СМЕЕТСЯ] .
ДУГ. [СМЕЕТСЯ] Мы здесь любим старые вещи!
И это прекрасно сочетается с нашим Эта неделя в истории технологий сегмент - я в восторге от этого, потому что я не слышал о нем, но наткнулся на него.
На этой неделе, 04 декабря 2001 года, червь Goner рыскал по Интернету со скоростью, уступающей только вирусу Love Bug.
Гонер распространялся через Microsoft Outlook и обещал ничего не подозревающим жертвам забавную заставку после казни.
УТКА. Гонер…
Я думаю, он получил такое название, потому что в конце было всплывающее окно, не так ли, в котором упоминался Пентагон?
Но это должно было быть каламбуром — это было «Penta/Gone».
Это определенно был червь, который напомнил людям, что на самом деле заставки Windows — это просто исполняемые программы.
Итак, если вы искали специально для .EXE файлы, ну, они могли быть завернуты в .SCR (скринсейвер) файлы, а также.
Если бы вы полагались только на имена файлов, вас легко можно было бы обмануть.
И многие были, к сожалению.
ДУГ. Хорошо, мы перейдем от старой школы к новой школе.
Речь идет о LastPass: произошел взлом; сама брешь не была ужасной; но это нарушение теперь привело к другому нарушению.
А может быть, это просто продолжение первоначальной бреши?
LastPass признает утечку данных клиентов, вызванную предыдущим взломом
УТКА. Да, LastPass написал об этом, по сути, как продолжение предыдущего нарушения, которое, я думаю, произошло в августе 2022 года, не так ли?
И, как мы сказали в то время, это был очень смущающий вид для LastPass.
Но по мере взломов это, вероятно, было хуже для их PR, маркетинга и (я думаю) для их отделов интеллектуальной собственности, потому что, похоже, главное, что украли мошенники, был исходный код из их системы разработки.
И LastPass быстро успокоил людей…
Во-первых, их расследования показали, что, пока они были там, мошенники не могли внести какие-либо несанкционированные изменения, которые впоследствии могли проникнуть в реальный код.
Во-вторых, доступ к системе разработки не дает вам доступа к производственной системе, где фактически создается код.
И в-третьих, они смогли сказать, что, похоже, никакие зашифрованные хранилища паролей не были украдены, поэтому к облачному хранилищу ваших зашифрованных паролей не было доступа.
И даже если бы к нему был доступ, то пароль знали бы только вы, потому что расшифровка (то, что вы назвали «тяжелой работой», когда мы говорили об этом в подкасте) на самом деле выполняется в памяти на ваших устройствах — LastPass никогда не видит ваши пароль.
И затем, в-четвертых, они сказали, насколько мы можем судить, в результате этой бреши часть того, что было в среде разработки, теперь дала то ли ту же…, то ли совсем другую нагрузку мошенникам, купившим украденные данные предыдущего лота, кто знает?
Это позволило им проникнуть в какой-то облачный сервис, где был украден некий пока, по-видимому, неизвестный набор данных о клиентах.
Я не думаю, что они еще точно знают, потому что может потребоваться некоторое время, чтобы выяснить, к чему на самом деле был получен доступ после того, как произошла утечка.
Поэтому я думаю, будет справедливо сказать, что это своего рода сторона B первоначального взлома.
ДУГ. Хорошо, мы предлагаем, если вы являетесь клиентом LastPass, следить за отчетом об инцидентах безопасности компании.
Мы будем следить за этой историей, так как она все еще развивается.
И если вы, как Пол и я, зарабатываете на жизнь борьбой с киберпреступностью, из взлома Uber можно извлечь несколько отличных уроков.
Итак, это эпизод подкаста — «мини-эпизод» — с Честером Вишневски, который Пол вставил в конец статьи LastPass:
S3, эпизод 100.5: нарушение Uber — говорит эксперт [аудио + текст]
Многому можно научиться на этом фронте!
УТКА. Как вы сказали, приятно слушать, потому что, я думаю, это то, что известно в Америке как «действующий совет» или «новость, которую вы можете использовать».
ДУГ. [СМЕЕТСЯ] Замечательно.
Говоря о новостях, которые вы не можете использовать, Apple, как правило, хранит молчание о своих обновлениях безопасности… и было обновление безопасности:
Apple выпускает обновление безопасности для iOS, которое молчит больше, чем когда-либо
УТКА. О, Дуг, это одна из твоих лучших работ... Мне нравится этот переход.
ДУГ. [СМЕЕТСЯ] Спасибо; большое тебе спасибо.
УТКА. Да, это меня удивило.
Я подумал: «Хорошо, я возьму обновление, потому что оно звучит серьезно».
И я назвал себе причину: «Позвольте мне сделать это для читателей Naked Security».
Потому что, если я это делаю и побочных эффектов нет, то я могу хотя бы сказать другим людям: «Послушайте, я просто сделал это вслепую, и мне не было причинено никакого вреда. Так что, возможно, ты тоже сможешь это сделать».
Я только что внезапно заметил, что доступно обновление iOS 16.1.2, хотя у меня не было электронного письма с рекомендациями по безопасности от Apple.
Электронной почты нет?!
Это странно.. поэтому я пошел в HT201222 страница портала Apple для бюллетеней безопасности, и вот она: iOS 16.1.2.
И что там сказано, Даг, "Подробности скоро последуют"?
ДУГ. И вскоре ли они последовали?
УТКА. Ну, это было больше недели назад, а их еще нет.
Итак, мы говорим «скоро», имея в виду часы, дни, недели или месяцы?
На данный момент это похоже на недели.
И, как всегда в случае с Apple, нет никаких указаний на то, что они могут быть связаны с какими-либо другими операционными системами.
Их забыли?
Им обновление не нужно?
Им тоже нужно было обновление, но оно просто еще не готово?
Они были исключены из поддержки?
Но это действительно казалось, как я сказал в заголовке, даже более молчаливым, чем обычно для Apple, и не обязательно самой полезной вещью в мире.
ДУГ. Хорошо, очень хорошо… еще несколько вопросов, которые подводят нас к нашей следующей истории.
Очень интересный вопрос!
Иногда, когда вы регистрируетесь в службе, и она применяет двухфакторную аутентификацию, она говорит: «Вы хотите получать уведомления с помощью текстового сообщения или вы хотите использовать приложение для аутентификации?»
И эта история — предостерегающая история, чтобы не использовать свой телефон — используйте приложение для аутентификации, даже если оно немного более громоздкое.
Это очень интересная история:
УТКА. Это Даг!
Если вы когда-либо теряли мобильный телефон или блокировали свою SIM-карту, слишком много раз неправильно вводя PIN-код, вы знаете, что можете пойти в магазин мобильных телефонов…
… и обычно они спрашивают удостоверение личности или что-то в этом роде, и вы говорите: «Эй, мне нужна новая SIM-карта».
И они создадут его для вас.
Когда ты вставляешь его в свой телефон, бинго!… на нем твой старый номер.
Это означает, что если мошенник может выполнить то же упражнение, что и вы, чтобы убедить компанию мобильной связи в том, что они «потеряли» или «сломали» свою SIM-карту (т.е. *вашу SIM-карту*), и они могут получить та карточка то ли вручалась, то ли посылалась, то ли как-то давалась им...
…затем, когда они подключают его к своему телефону, они начинают получать ваши SMS-коды двухфакторной аутентификации, *и* ваш телефон перестает работать.
Это плохие новости.
Хорошая новость в этой статье заключается в том, что это был случай с парнем, которого за это арестовали.
Его отправили в тюрьму в США на 18 месяцев.
Он с кучей сообщников – или, говоря словами Минюста, Участники схемы… [СМЕЕТСЯ]
… они скрылись с криптовалютой одной конкретной жертвы, по-видимому, на сумму 20 миллионов долларов, если вы не возражаете.
ДУГ. Уф!
УТКА. Поэтому он согласился признать себя виновным, получить тюремный срок и немедленно лишиться… сумма была [внимательно читает] 983,010.72 XNUMX доллара… просто чтобы лишиться этого сразу.
Так что, по-видимому, это у него завалялось.
И у него, по-видимому, также есть какое-то юридическое обязательство вернуть более 20 миллионов долларов.
ДУГ. Всем удачи в этом! Удачи.
Его другой [голосовой курсив] Участники схемы может вызвать некоторые проблемы там! [СМЕЕТСЯ]
УТКА. Да я не знаю, что будет, если они тоже откажутся сотрудничать.
Например, если они просто повесят его сушиться, что произойдет?
Но у нас есть несколько советов и несколько советов о том, как усилить безопасность (не только с помощью двухфакторной аутентификации, которую вы используете) в статье.
Так что иди и прочитай это… каждая мелочь помогает.
ДУГ. Хорошо, говоря о «маленьких битах»…
…это была еще одна захватывающая история о том, как скромный ping может использоваться для запуска удаленного выполнения кода:
Пинг смерти! FreeBSD исправляет аварийную ошибку в сетевом инструменте
УТКА. [Снова нравится продолжение] Я думаю, ты стал лучше, Дуг!
ДУГ. [СМЕЕТСЯ] Я сегодня в ударе…
УТКА. От Apple до [слабой попытки дум-вокала] Ping of DEATH!
Да, это был интригующий баг.
Я не думаю, что это на самом деле причинит много вреда многим людям, и оно *исправлено*, так что это легко исправить.
Но во FreeBSD есть отличная статья обеспечение безопасности...
… и это делает занимательную и, если я так скажу, очень познавательную историю для нынешнего поколения программистов, которые, возможно, полагались на «Сторонние библиотеки просто сделают это за меня». Работа с сетевыми пакетами низкого уровня? Мне никогда не приходится думать об этом…»
Здесь можно извлечь несколько замечательных уроков.
Ассоциация ping Утилита, которая является единственным сетевым инструментом, о котором почти все знают, получила свое название от SONAR.
Вы идете [издает шум подводной лодки] ping, а затем эхо возвращается с сервера на другом конце.
И это функция, встроенная в Интернет-протокол, IP, с использованием вещи, называемой ICMP, которая является Интернет-протоколом управляющих сообщений.
Это специальный низкоуровневый протокол, намного более низкий, чем UDP или TCP, к которому люди, вероятно, привыкли, и который в значительной степени предназначен именно для таких вещей: «Вы вообще живы на другом конце, прежде чем я буду беспокоиться о том, почему ваш веб-сервер не работает?»
Существует особый вид пакетов, который вы можете отправить, который называется «ICMP Echo».
Итак, вы отправляете этот крошечный пакетик с коротким сообщением внутри (сообщение может быть любым, что вам нравится), и оно просто отправляет вам то же самое сообщение.
Это просто простой способ сказать: «Если это сообщение не возвращается, либо сеть, либо весь сервер не работает», а не что на компьютере возникла какая-то проблема с программным обеспечением.
По аналогии с SONAR, программа, которая отправляет эти эхо-запросы, называется… [пауза] Я собираюсь сделать звуковой эффект, Даг… [снова искусственный шум фильма о подводной лодке] ping. [СМЕХ]
И идея в том, что вы идете, говорите, ping -c3 (это означает проверить три раза) nakedsecurity.sophos.com.
Вы можете сделать это прямо сейчас, и вы должны получить три ответа с интервалом в одну секунду от серверов WordPress, на которых размещен наш сайт.
И это говорит о том, что сайт жив.
Это не говорит вам, что веб-сервер работает; это не говорит вам, что WordPress работает; это не говорит о том, что Naked Security действительно доступен для чтения.
Но это как минимум подтверждает, что вы видите сервер, и сервер может связаться с вами.
И кто бы мог подумать, что этот скромный ответ ping может сбить с толку FreeBSD. ping программировать таким образом, чтобы мошеннический сервер мог отправить обратно заминированное сообщение «Да, я жив», которое могло бы теоретически (только теоретически; я не думаю, что кто-то делал это на практике) запускать удаленное выполнение кода на твой компьютер.
ДУГ. Да, это удивительно; это удивительная часть.
Даже если это доказательство концепции, это такая маленькая штучка!
УТКА. Ассоциация ping программа сама возвращает весь IP-пакет, и она должна разделить его на две части.
Обычно ядро справится с этим за вас, так что вы увидите только часть данных.
Но когда вы имеете дело с тем, что называется сырые сокеты, вы получите заголовок интернет-протокола, который просто говорит: «Эй, эти байты пришли с такого-то сервера».
И затем вы получаете вещь, называемую «ICMP Echo Reply», которая представляет собой вторую половину пакета, который вы возвращаете.
Так вот, эти пакеты, как правило, составляют всего около 100 байтов, и если это IPv4, первые 20 байтов — это заголовок IP, а остальные, какими бы они ни были, — это эхо-ответ.
У него есть несколько байтов, чтобы сказать: «Это эхо-ответ», а затем возвращается исходное сообщение, которое было отправлено.
Итак, самое очевидное, что нужно сделать, Даг, когда вы его получите, это разделить его на...
… IP-заголовок длиной 20 байт и все остальное.
Угадайте, где проблема?
ДУГ. Скажи!
УТКА. Проблема в том, что заголовки IP *почти всегда* имеют длину 20 байтов — на самом деле, я не думаю, что когда-либо видел другой заголовок.
И вы можете сказать, что они имеют длину 20 байтов, потому что первый байт будет шестнадцатеричным. 0x45.
«4» означает IPv4, а «5»… «О, мы будем использовать это, чтобы сказать, какой длины заголовок».
Вы берете это число 5 и умножаете его на 4 (для 32-битных значений), и вы получаете 20 байтов.
… и это размер, вероятно, шести сигм IP-заголовков, которые вы когда-либо увидите во всем мире, Дуг. [СМЕХ]
Но они *могут* доходить до 60 байт.
Если вы положите 0x4F вместо 0x45, что говорит о том, что в заголовке 0xF (или 15 в десятичной системе счисления) × 4 = 60 байт.
И код FreeBSD просто взял этот заголовок и скопировал его в буфер стека размером 20 байт.
Простое переполнение буфера стека старой школы.
Это случай уважаемого инструмента устранения неполадок в сети с почтенным типом ошибки. (Ну, не больше.)
Итак, когда вы программируете и вам приходится иметь дело с низкоуровневыми вещами, о которых никто не думал целую вечность, не просто следуйте общепринятой мудрости, которая говорит: «О, это всегда будет 20 байт; вы никогда не увидите ничего большего».
Потому что однажды ты сможешь.
И когда этот день наступит, он может быть там преднамеренно, потому что мошенник сделал это намеренно.
Так что дьявол, как всегда, кроется в деталях программирования, Дуг.
ДУГ. Хорошо, очень интересно; отличная история.
И мы остановимся на теме кода в этой последней истории о Chrome.
Еще один нулевой день, в результате которого общее количество за 2022 год увеличилось до девяти раз:
Номер девять! Chrome исправляет еще один нулевой день 2022 года, Edge тоже исправляет
УТКА. [Официальный голос, похожий на запись] «Номер 9. Номер 9. Номер 9, номер 9», Дуглас.
ДУГ. [СМЕЕТСЯ] Это Йоко Оно?
УТКА. Это Революция 9 из «Белого альбома» Битлз.
Слышно, как Йоко припевает в этой песне. саундскейп, я полагаю, они так и называют — но, очевидно, тот фрагмент в начале, где кто-то повторяет «Номер 9, номер 9» снова и снова, на самом деле был тестовой лентой, которую они нашли повсюду.
ДУГ. Ах, очень круто.
УТКА. Инженер EMI говорит что-то вроде: «Это тестовая лента EMI номер 9» [СМЕХ], и, видимо, я даже не думаю, что кто-то знает, чей это был голос.
Это не имеет *ничего* общего с Chrome, Даг.
Но учитывая, что на днях кто-то прокомментировал в Facebook: «Этот парень, Пол, начинает выглядеть как Битлз»… [насмешливо], что мне показалось немного странным.
ДУГ. [СМЕЕТСЯ] Да, как вы это воспримете?
УТКА. … Я подумал, что могу поужинать в ресторане «Номер 9».
Кажется, это уже девятый нулевой день в году, Дуг.
И это исправление одной ошибки, идентифицированной как CVE 2022-4282.
Поскольку Microsoft Edge использует ядро Chromium с открытым исходным кодом, он тоже был уязвим, и через пару дней Microsoft выпустила обновление для Edge.
Так что это проблема как Chrome, так и Edge.
Хотя эти браузеры должны обновляться сами, я все равно рекомендую проверить — мы покажем вам, как это сделать в статье — на всякий случай.
Я не буду здесь зачитывать номера версий, потому что они разные для Mac, Linux и Windows в Chrome, и они снова разные для Edge.
Как и Apple, Google немного молчит об этом.
Я верю, что его нашла одна из их команды по поиску угроз.
Так что я предполагаю, что они обнаружили это во время расследования инцидента, который произошел в дикой природе, и поэтому они, вероятно, хотят держать это в секрете, хотя Google обычно много говорит об «открытости», когда дело доходит до исправления ошибок.
Вы можете понять, почему в таком случае вам может понадобиться немного времени, чтобы копнуть немного глубже, прежде чем вы расскажете всем, как именно это работает.
ДУГ. Отлично… и у нас есть вопрос читателя, над которым, вероятно, задумываются многие люди.
Кассандра спрашивает: «Искателям ошибок просто повезло найти ошибки? Или они наткнулись на «шов», полный ошибок? Или Chromium выдает новый код, который содержит больше ошибок, чем обычно? Или что-то еще происходит?»
УТКА. Да, на самом деле это отличный вопрос, и я боюсь, что смогу ответить на него лишь слегка шутливо, Даг.
Поскольку Кассандра предложила варианты A), B) и C), я сказал: «Ну, может быть, это D) Все вышеперечисленное.
Мы знаем, что когда в коде появляется ошибка определенного вида, разумно предположить, что тот же программист мог допустить аналогичные ошибки в другом месте программы.
Или другие программисты в той же компании, возможно, использовали то, что в то время считалось общепринятым или стандартной практикой, и могли последовать их примеру.
И отличный пример. Если вы оглянетесь назад на Log4J… там было исправление для устранения проблемы.
А потом, когда они пошли искать, «О, на самом деле, есть и другие места, где были допущены подобные ошибки».
Так что был фикс на фикс, а потом был фикс на фикс на фикс, насколько я помню.
Конечно, существует также проблема, заключающаяся в том, что когда вы добавляете новый код, вы можете получить ошибки, которые уникальны для этого нового кода и возникают из-за добавления функций.
И именно поэтому многие браузеры, включая Chrome, имеют «немного более старую» версию, которую вы можете использовать.
И идея в том, что эти «старые» выпуски… в них нет ни одной новой функции, но есть все соответствующие исправления безопасности.
Так что, если вы хотите быть консервативным в отношении новых функций, вы можете быть таковым.
Но мы точно знаем, что иногда, когда вы добавляете новые функции в продукт, вместе с новыми функциями появляются новые ошибки.
И вы можете сказать это, например, когда есть обновление, скажем, для вашего iPhone, и вы получаете обновления, скажем, для iOS 15 и iOS 16.
Затем, когда вы посмотрите на списки ошибок, вы увидите несколько ошибок, которые применимы только к iOS 16.
И вы думаете: «Привет, это должно быть ошибки в коде, которых раньше не было».
Так что да, это возможно.
И я думаю, что другие вещи, которые происходят, можно считать хорошими.
Во-первых, я думаю, что, особенно в отношении таких вещей, как браузеры, производители браузеров становятся намного лучше в плане полных перестроений очень, очень быстро.
ДУГ. Интересно.
УТКА. И я думаю, что еще одна вещь, которая изменилась, это то, что в прошлом вы могли утверждать, что для многих поставщиков… было довольно сложно заставить людей применять исправления вообще, даже когда они выходили только по ежемесячному графику, и даже если в них было несколько исправлений нулевого дня.
Думаю, может быть, это и есть ответ на то, что все больше и больше из нас все чаще и чаще не просто принимают, а фактически *ожидают* автоматическое обновление, которое действительно оперативное.
Итак, я думаю, что вы можете прочитать некоторые хорошие вещи в этом.
Дело не только в том, что Google может почти мгновенно выпустить единственное исправление нулевого дня, но и в том, что люди готовы это принять и даже потребовать.
Так что мне нравится видеть этот выпуск «Вау, девять нулевых дней в году фиксируются индивидуально!»…
…Мне нравится думать об этом больше как о «стакане наполовину наполненном и наполненном», чем о «стакане наполовину пустом и стекающем через маленькое отверстие в дне». [СМЕХ]
Это мое мнение.
ДУГ. Хорошо, очень хорошо.
Спасибо за вопрос, Кассандра.
Если у вас есть интересная история, комментарий или вопрос, который вы хотели бы отправить, мы будем рады прочитать его в подкасте.
Вы можете написать на почту tip@sophos.com, прокомментировать любую из наших статей или связаться с нами в социальных сетях: @NakedSecurity.
Это наше шоу на сегодня; большое спасибо, что выслушали.
Для Пола Даклина я Дуг Аамот, напоминаю вам: до следующего раза…
ОБА. Оставайтесь в безопасности!
[МУЗЫКАЛЬНЫЙ МОДЕМ]
- Apple
- блокчейн
- Chrome
- Coingenius
- кошельки с криптовалютами
- cryptoexchange
- информационная безопасность
- киберпреступности
- киберпреступники
- Информационная безопасность
- Департамент внутренней безопасности
- цифровые кошельки
- Edge
- Эксплуатировать
- брандмауэр
- взлом
- iOS
- Kaspersky
- Закон и порядок
- вредоносных программ
- Mcafee
- Microsoft
- Голая Безопасность
- Голый Подкаст Безопасности
- НексБЛОК
- Платон
- Платон Ай
- Платон Интеллектуальные данные
- Платон игра
- ПлатонДанные
- платогейминг
- Подкаст
- политикой конфиденциальности.
- VPN
- уязвимость
- безопасности веб-сайтов
- зефирнет
![S3 Ep121: Вас могут взломать, а затем привлечь к ответственности за это? [Аудио + текст]](https://platoaistream.com/wp-content/uploads/2023/02/s3-ep121-can-you-get-hacked-and-then-prosecuted-for-it-audio-text-300x156.png)
