S3 Ep135: Сисадмин днем, вымогатель ночью

S3 Ep135: Сисадмин днем, вымогатель ночью

Отметка времени: 18 мая 2023 г., 2:48
Исходный узел: 2662163
by

ИНСАЙДЕРСКАЯ АТАКА (ГДЕ ПРЕСТУПЛЕН ПОЛУЧИЛСЯ)

Нет аудиоплеера ниже? Слушать непосредственно на Саундклауд.

С Дугом Аамотом и Полом Даклином. Интро и аутро музыка Эдит Мадж.

Вы можете слушать нас на Soundcloud, Подкасты Apple, Подкасты Google, Spotify, Брошюровщик и везде, где есть хорошие подкасты. Или просто скинь URL нашего RSS-канала в свой любимый подкэтчер.

ПРОЧИТАЙТЕ СТЕНОКРИФИК

ДУГ.  Внутренние рабочие места, распознавание лиц и буква «S» в «IoT» по-прежнему означает «безопасность».

Все это и многое другое в подкасте Naked Security.

[МУЗЫКАЛЬНЫЙ МОДЕМ]

Добро пожаловать в подкаст, все.

Я Дуг Аамот; он Пол Даклин.

Павел, как дела сегодня?

УТКА.  Очень хорошо, Дуг.

Вы знаете вашу крылатую фразу: «Мы будем следить за этим»?

ДУГ.  [СМЕЕТСЯ] Хо-хо-хо!

УТКА.  К сожалению, на этой неделе было несколько вещей, за которыми мы «следили», и они все еще не закончились хорошо.

ДУГ.  Да, у нас довольно интересный и нетрадиционный состав на этой неделе.

Давайте углубимся в это.

Но сначала мы начнем с нашего Эта неделя в истории технологий сегмент.

На этой неделе, 19 мая 1980 года, был анонсирован Apple III.

Он будет отправлен в ноябре 1980 года, когда были отозваны первые 14,000 XNUMX выпущенных Apple III.

Машина будет снова представлена ​​​​в ноябре 1981 года.

Короче говоря, Apple III потерпел фиаско.

Соучредитель Apple Стив Возняк объяснил неудачу машины тем, что ее разработали маркетологи, а не инженеры.

Ой!

УТКА.  Я не знаю, что на это сказать, Даг. [СМЕХ]

Я стараюсь не ухмыляться, как человек, считающий себя технологом, а не маркетоидом.

Я думаю, что Apple III должен был хорошо выглядеть и выглядеть круто, и он должен был извлечь выгоду из успеха Apple II.

Но я так понимаю, что Apple III (A) не мог запускать все программы Apple II, что было своего рода ударом по обратной совместимости, и (B) просто не был достаточно расширяемым, как Apple II.

Не знаю, городская ли это легенда или нет…

… но я читал, что в ранних моделях чипы не были должным образом установлены на заводе, и что получателям, которые сообщали о проблемах, было приказано приподнять переднюю часть компьютера над столом на несколько сантиметров и дать ему откинуться назад.

[СМЕХ]

Это поставило бы фишки на место, как они должны были быть в первую очередь.

Что, по-видимому, сработало, но не было лучшей рекламой качества продукта.

ДУГ.  В точку.

Хорошо, давайте приступим к нашей первой истории.

Это поучительная история о том, как плохо внутренние угрозы может быть, и, возможно, насколько трудно их осуществить, Пол.

Чёрт возьми? Cybercrook получил 6 лет за выкуп своего работодателя

УТКА.  Это действительно так, Дуглас.

И если вы ищете историю о nakedsecurity.sophos.com, это тот, который подписан, «Какого черта? Cybercrook получил 6 лет за выкуп своего работодателя».

Вот вам и суть истории.

ДУГ.  Не должен смеяться, но… [СМЕЕТСЯ]

УТКА.  Это как-то смешно и не смешно.

Потому что, если вы посмотрите на то, как разворачивалась атака, в основном это было:

«Эй, кто-то взломал; мы не знаем, какую дыру в безопасности они использовали. Давайте приступим к делу и попытаемся выяснить это».

"О, нет! Злоумышленникам удалось получить полномочия системного администратора!»

"О, нет! Они высосали гигабайты конфиденциальных данных!»

"О, нет! Они испортили системные журналы, так что мы не знаем, что происходит!»

"О, нет! Теперь они требуют 50 биткойнов (что в то время составляло около 2,000,000 2 XNUMX долларов США), чтобы все было тихо… очевидно, мы не собираемся платить XNUMX миллиона долларов за молчание».

И, бинго, мошенник пошел и сделал традиционную утечку данных в темную сеть, по сути, докксируя компанию.

И, к сожалению, вопрос «Куда?» ответил: Один из собственных системных администраторов компании.

На самом деле, один из тех, кого призвали в команду, чтобы попытаться найти и изгнать нападавшего.

Таким образом, он буквально притворялся, что сражается с этим нападавшим днем, а ночью договаривался о выплате шантажа в размере 2 миллионов долларов.

И что еще хуже, Даг, кажется, когда они стали его подозревать...

…что они и сделали, давайте будем честными по отношению к компании.

(Я не буду говорить, кто это был; назовем их Компания-1, как это сделало Министерство юстиции США, хотя их личность достаточно известна.)

Его имущество было обыскано, и, по-видимому, они завладели ноутбуком, который, как позже выяснилось, использовался для совершения преступления.

Они допросили его, поэтому он пошел на процесс «нападение — лучшая форма защиты», притворился разоблачителем и связался со СМИ под каким-то альтер-эго.

Он выдал целую ложную историю о том, как произошла утечка — что это была плохая безопасность Amazon Web Services или что-то в этом роде.

Таким образом, во многих отношениях все выглядело намного хуже, чем было на самом деле, и цена акций компании сильно упала.

В любом случае, это могло бы упасть, когда появились новости о том, что они были взломаны, но определенно кажется, что он изо всех сил старался сделать все намного хуже, чтобы отвести от себя подозрения.

Что, к счастью, не сработало.

Его *действительно* осудили (ну, он признал себя виновным), и, как мы сказали в заголовке, он получил шесть лет тюрьмы.

Затем три года условно-досрочного освобождения, и он должен выплатить штраф в размере 1,500,000 XNUMX XNUMX долларов.

ДУГ.  Вы не можете сделать это!

Отличный совет в этой статье… есть три совета.

Мне нравится этот первый: Разделяй и властвуй.

Что ты хочешь этим сказать, Пол?

УТКА.  Что ж, похоже, что в данном случае этот человек сосредоточил в своих руках слишком много власти.

Похоже, что он смог организовать каждую мельчайшую часть этой атаки, включая последующее проникновение, возню с логами и попытку сделать так, чтобы это выглядело так, как будто это сделали другие люди в компании.

(Итак, просто чтобы показать, какой он ужасно хороший парень — он пытался зашить и своих коллег, чтобы они попали в беду.)

Но если вы сделаете так, чтобы некоторые ключевые действия в системе требовали авторизации двух человек, в идеале даже из двух разных отделов, как, например, когда банк одобряет движение крупной суммы денег или когда команда разработчиков решает: «Давайте посмотрим, будет ли это код достаточно хорош; мы заставим кого-то другого взглянуть на это объективно и независимо»…

…из-за этого одинокому инсайдеру гораздо труднее провернуть все эти уловки.

Потому что им придется вступить в сговор со всеми остальными, что им потребуется совместное разрешение на этом пути.

ДУГ.  ОК.

И в том же духе: Храните неизменяемые журналы.

Этот подходит.

УТКА.  Да.

Те слушатели, у которых долгая память, могут вспомнить приводы WORM.

Когда-то они были очень популярны: «Напиши один раз, прочитай много».

Конечно, они рекламировались как абсолютно идеальные для системных журналов, потому что вы можете писать в них, но вы никогда не сможете их *переписать*.

На самом деле, я не думаю, что они были специально разработаны таким образом… [СМЕЕТСЯ] Я просто думаю, что никто еще не знал, как сделать их перезаписываемыми.

Но оказалось, что такая технология отлично подходила для хранения лог-файлов.

Если вы помните ранние CD-R, CD-Recordables — вы могли добавить новую сессию, чтобы вы могли записать, скажем, 10 минут музыки, а затем добавить еще 10 минут музыки или еще 100 МБ данных позже, но вы не могли вернуться и переписать все это.

Итак, как только вы его заблокируете, кто-то, кто захочет возиться с уликами, должен будет либо уничтожить весь компакт-диск, чтобы он явно отсутствовал в цепочке улик, либо иным образом повредить его.

Они не смогли бы взять этот оригинальный диск и переписать его содержимое, чтобы оно выглядело по-другому.

И, конечно же, есть всевозможные методы, с помощью которых вы можете сделать это в облаке.

Если хотите, это обратная сторона медали «разделяй и властвуй».

Вы говорите, что у вас есть много системных администраторов, много системных задач, множество демонов или служебных процессов, которые могут генерировать информацию журналов, но они отправляются куда-то, где требуется настоящий акт воли и сотрудничество, чтобы сделать эти журналы исчезают или выглядят иначе, чем при первоначальном создании.

ДУГ.  И, наконец, последнее, но не менее важное: Всегда измеряйте, никогда не предполагайте.

УТКА.  Абсолютно.

Похоже, что Компания-1 в этом случае действительно управляла, по крайней мере, некоторыми из всех этих вещей, в конечном счете.

Потому что этот парень был опознан и допрошен ФБР… Думаю, в течение примерно двух месяцев после его нападения.

И расследование не происходит в одночасье — для обыска требуется ордер и достаточная причина.

Так что похоже, что они поступили правильно, и что они не просто слепо продолжали доверять ему только потому, что он продолжал говорить, что заслуживает доверия.

Его преступления, так сказать, вышли из тени.

Поэтому важно, чтобы вы никого не считали вне подозрений.

ДУГ.  Ладно, двигаемся дальше.

Производитель гаджетов Belkin находится в затруднительном положении, по сути, говоря: «Конец срока службы означает конец обновлений» для одной из его популярных умных розеток.

Belkin Wemo Smart Plug V2 — переполнение буфера, которое не будет исправлено

УТКА.  Кажется, это был довольно плохой ответ Белкина.

Конечно, с точки зрения PR, это не принесло им много друзей, потому что устройство в данном случае является одной из так называемых умных розеток.

Вы получаете переключатель с поддержкой Wi-Fi; некоторые из них также будут измерять мощность и тому подобное.

Итак, идея в том, что у вас может быть приложение, или веб-интерфейс, или что-то, что будет включать и выключать настенную розетку.

Так что есть небольшая ирония в том, что ошибка заключается в продукте, который, если его взломать, может привести к тому, что кто-то, по сути, включит и выключит выключатель, к которому может быть подключено устройство.

Я думаю, если бы я был Белкиным, я бы сказал: «Послушайте, мы больше не поддерживаем это, но в этом случае… да, мы выпустим патч».

Даг, это просто переполнение буфера.

[СМЕЕТСЯ] О, дорогой…

Когда вы подключаете устройство, оно должно иметь уникальный идентификатор, чтобы оно отображалось в приложении, скажем, на вашем телефоне… если у вас дома трое таких устройств, вы не хотите, чтобы им всем звонили. Belkin Wemo plug.

Вы хотите пойти и изменить это и поставить то, что Белкин называет «дружеским именем».

Итак, вы входите в приложение для телефона и вводите новое имя, которое хотите.

Ну, похоже, в приложении на самом устройстве есть 68-символьный буфер для вашего нового имени… но нет проверки, что вы не вводите имя длиннее 68 байт.

Возможно, по глупости люди, создавшие систему, решили, что будет достаточно, если они просто проверят длину имени *которое вы набрали в телефоне, когда использовали приложение для смены имени*: «Мы не будем отправлять слишком длинные имена».

И действительно, в приложении для телефона, по-видимому, вы даже не можете ввести более 30 символов, так что они сверх-супербезопасны.

Большая проблема!

Что, если злоумышленник решит не использовать приложение? [СМЕХ]

Что, если они используют скрипт Python, который написали сами…

ДУГ.  Хммммм! [IRONIC] Зачем им это делать?

УТКА.  …что не мешает проверить ограничение в 30 или 68 символов?

Именно это и сделали эти исследователи.

И они обнаружили, что из-за переполнения буфера стека они могут контролировать адрес возврата используемой функции.

После достаточного количества проб и ошибок они смогли отклониться от выполнения к тому, что на жаргоне известно как «шеллкод» по своему выбору.

Примечательно, что они могли запустить системную команду, которая запускала wget команда, которая загружала скрипт, делала его исполняемым и запускала.

ДУГ.  Ладно, хорошо…

…у нас есть несколько советов в статье.

Если у вас есть одна из этих умных розеток, Проверь это.

Думаю, главный вопрос здесь в том, что Белкин выполнит свое обещание не исправлять это… [ГРОМКИЙ СМЕХ]

…в общем, насколько сложно это исправить, Пол?

Или было бы хорошим пиаром просто заткнуть эту дыру?

УТКА.  Ну не знаю.

Может быть много других приложений, которые, о боже, они должны сделать такое же исправление.

Так что они могут просто не хотеть этого делать, опасаясь, что кто-то скажет: «Ну, давайте копнем глубже».

ДУГ.  Скользкий склон…

УТКА.  Я имею в виду, что это была бы плохая причина, чтобы не делать этого.

Я бы подумал, учитывая, что это теперь хорошо известно, и учитывая, что это кажется достаточно простым решением…

… просто (A) перекомпилируйте приложения для устройства с включенной защитой стека, если это возможно, и (B) по крайней мере в этой конкретной программе изменения «дружественных имен» не допускайте имен длиннее 68 символов!

Это не похоже на серьезное исправление.

Хотя, конечно, это исправление должно быть закодировано; это должно быть рассмотрено; это должно быть проверено; новая версия должна быть построена и подписана цифровой подписью.

Тогда это должно быть предложено всем, и многие люди даже не осознают, что это доступно.

А если они не обновляются?

Было бы неплохо, если бы те, кто знает об этой проблеме, могли получить исправление, но еще неизвестно, будет ли Belkin ожидать, что они просто обновятся до более нового продукта.

ДУГ.  Ладно, по поводу обновлений…

…мы, как говорится, следим за этой историей.

Мы говорили об этом несколько раз: Clearview AI.

Зут алорс! Раклаж крапулё! Clearview AI создает на 20 % больше проблем во Франции

Франция держит эту компанию на прицеле за постоянное неповиновение, и почти смехотворно, насколько все плохо.

Итак, эта компания собирает фотографии из Интернета и сопоставляет их с соответствующими людьми, а правоохранительные органы используют эту поисковую систему как бы для поиска людей.

У других стран тоже были проблемы с этим, но Франция заявила: «Это PII. Это личная информация».

УТКА.  Да.

ДУГ.  «Клирвью, пожалуйста, прекратите это делать».

И Клирвью даже не ответил.

Так что их оштрафовали на 20 миллионов евро, и они просто продолжали…

И Франция говорит: «Хорошо, вы не можете этого сделать. Мы сказали тебе остановиться, поэтому мы собираемся напасть на тебя еще сильнее. Мы будем взимать с вас 100,000 5,200,000 евро каждый день »… и они задним числом дошли до XNUMX XNUMX XNUMX евро.

И Clearview просто не отвечает.

Это просто не признание того, что есть проблема.

УТКА.  Похоже, именно так все и происходит, Дуг.

Интересно, и, на мой взгляд, вполне разумно и очень важно, когда французский регулятор изучил Clearview AI (в то время они решили, что компания не собирается играть в мяч добровольно, и оштрафовали их на 20 миллионов евро)…

…они также обнаружили, что компания не просто собирала то, что они считают биометрическими данными, без получения согласия.

Они также невероятно, бесполезно и незаконно усложнили людям возможность (А) знать, что их данные были собраны и используются в коммерческих целях, и (Б) удалить их, если они того пожелают.

Это права, которые многие страны закрепили в своих правилах.

Я думаю, что это, безусловно, все еще в законе Великобритании, даже несмотря на то, что мы сейчас находимся за пределами Европейского Союза, и это часть хорошо известного регламента GDPR в Европейском Союзе.

Если я не хочу, чтобы вы сохранили мои данные, вам придется их удалить.

И, очевидно, Clearview делала что-то вроде того, что говорила: «Ну, если он у нас уже больше года, его слишком сложно удалить, так что это только данные, которые мы собрали за последний год».

ДУГ.  Аааааааааааааааааааааааааааааааааа [СМЕЕТСЯ]

УТКА.  Так что, если не заметишь, или только через два года осознаешь?

Слишком поздно!

А потом они говорили: «О, нет, тебе разрешено спрашивать только два раза в год».

Я думаю, когда французы провели расследование, они также обнаружили, что люди во Франции жаловались, что им приходилось спрашивать снова, и снова, и снова, прежде чем им удавалось заставить память Клирвью вообще что-то делать.

Так кто знает, чем это закончится, Даг?

ДУГ.  Это хорошее время, чтобы услышать от нескольких читателей.

Обычно мы делаем наш комментарий недели от одного читателя, но вы спросили в конце этой статьи:

Если бы вы были {королевой, королем, президентом, верховным волшебником, славным лидером, главным судьей, главным арбитром, верховным комиссаром по вопросам конфиденциальности} и могли бы решить эту проблему {взмахом палочки, росчерком пера, взмахом скипетра , трюк джедая}…

… как бы вы разрешили это противостояние?

И просто выдернуть несколько цитат из наших комментаторов:

  • «Отрубить им головы».
  • «Корпоративная смертная казнь».
  • «Классифицировать их как преступную организацию».
  • «Высшее руководство должно быть заключено в тюрьму до тех пор, пока компания не подчинится».
  • «Объявить клиентов сообщниками».
  • «Взломать базу данных и удалить все».
  • «Создавайте новые законы».

А затем Джеймс спешивается со словами: «Я пержу в твоем направлении. Твоя мать была амстрой, а от твоего отца пахло бузиной. [МОНТИ ПАЙТОН И СВЯТОЙ ГРААЛЬ АЛЛЮЗИЯ]

Что, я думаю, может быть комментарием к неправильной статье.

Я думаю, что в «Whodunnit?» была цитата из Монти Пайтона. статья.

Но, Джеймс, спасибо, что вмешался в конце…

УТКА.  [СМЕЕТСЯ] Не стоит смеяться.

Разве один из наших комментаторов не сказал: «Эй, подать заявку на получение красного уведомления Интерпола? [ЧТО-ТО МЕЖДУНАРОДНЫЙ ОРДЕР НА АРЕСТ]

ДУГ.  Да!

Что ж, отлично… как мы обычно делаем, мы будем следить за этим, потому что я могу заверить вас, что это еще не конец.

Если у вас есть интересная история, комментарий или вопрос, которые вы хотели бы отправить, мы будем рады прочитать в подкасте.

Вы можете написать на почту tip@sophos.com, прокомментировать любую из наших статей или связаться с нами в социальных сетях: @NakedSecurity.

Это наше шоу на сегодня; большое спасибо, что выслушали.

Для Пола Даклина я Дуг Аамот, напоминаю вам до следующего раза…

ОБА.  Оставайтесь в безопасности!

[МУЗЫКАЛЬНЫЙ МОДЕМ]

Отметка времени:

Больше от Голая Безопасность