S3 Ep135: Sysadmin podnevi, izsiljevalec ponoči

Ni zvočnega predvajalnika spodaj? poslušaj neposredno na Soundcloudu.

DOUG.  Notranja delovna mesta, prepoznavanje obraza in »S« v »IoT« še vedno pomeni »varnost«.

Vse to in še več v podcastu Naked Security.

[GLASBENI MODEM]

Dobrodošli v podcastu, vsi.

Jaz sem Doug Aamoth; on je Paul Ducklin.

Paul, kako si danes?

---

RACA.  Zelo dobro, Doug.

Poznate vaš stavek: "Na to bomo pazili"?

---

DOUG.  [SMEH] Ho, ho, ho!

---

RACA.  Na žalost je ta teden več stvari, na katere smo "pazili", pa se še vedno niso dobro končale.

---

DOUG.  Da, ta teden imamo zanimivo in netradicionalno postavo.

Vstopimo v to.

Toda najprej bomo začeli z našim Ta teden v zgodovini tehnologije segmenta.

Ta teden, 19. maja 1980, je bil najavljen Apple III.

Dobavljen bo novembra 1980, ko je bilo odpoklicanih prvih 14,000 Applov III iz proizvodnje.

Stroj bi ponovno predstavil novembra 1981.

Skratka, Apple III je bil polom.

Soustanovitelj Appla Steve Wozniak je neuspeh stroja pripisal temu, da so ga zasnovali marketinški ljudje namesto inženirji.

Joj!

---

RACA.  Ne vem, kaj naj rečem na to, Doug. [SMEH]

Poskušam se ne nasmehniti, kot človek, ki se ima za tehnologa in ne za marketroida.

Mislim, da je bil Apple III mišljen, da izgleda dobro in kul, in da je bil namenjen izkoriščanju uspeha Apple II.

Vendar razumem, da Apple III (A) ni mogel zagnati vseh programov Apple II, kar je bil udarec za združljivost nazaj, in (B) preprosto ni bil dovolj razširljiv, kot je bil Apple II.

Ne vem, ali je to urbana legenda ali ne…

... vendar sem prebral, da prvi modeli niso imeli svojih čipov pravilno nameščenih v tovarni in da je bilo prejemnikom, ki so poročali o težavah, rečeno, naj sprednji del računalnika dvignejo s svoje mize za nekaj centimetrov in pustijo, da se zruši nazaj.

[SMEH]

To bi žetone udarilo na svoje mesto, kot bi morali biti na prvem mestu.

Kar je očitno res delovalo, vendar ni bilo najboljša reklama za kakovost izdelka.

---

DOUG.  Točno tako.

V redu, pojdimo k naši prvi zgodbi.

To je opozorilna zgodba o tem, kako slabo je notranje grožnje lahko, in morda tudi kako težko jih je lahko izpeljati, Paul.

Whodunnit? Cybercrook dobi 6 let, ker je odkupil lastnega delodajalca

---

RACA.  Res je, Douglas.

In če iščete zgodbo naprej nakedsecurity.sophos.com, to je tisti, ki je pod naslovom, »Whodunnit? Cybercrook dobi 6 let, ker je odkupil lastnega delodajalca.

In tu je bistvo zgodbe.

---

DOUG.  Ne bi se smejal, ampak ... [SMEH]

---

RACA.  Nekako je smešno in nesmešno.

Ker če pogledate, kako se je napad odvijal, je bilo v bistvu:

»Hej, nekdo je vlomil; ne vemo, kakšno varnostno luknjo so uporabili. Poženemo se v akcijo in poskusimo ugotoviti.”

»Oh, ne! Napadalcem je uspelo pridobiti pooblastila sistemskega skrbnika!«

»Oh, ne! Posrkali so gigabajte zaupnih podatkov!«

»Oh, ne! Zamočili so se v sistemske dnevnike, tako da ne vemo, kaj se dogaja!«

»Oh, ne! Zdaj zahtevajo 50 bitcoinov (kar je takrat znašalo približno 2,000,000 ameriških dolarjev), da bodo stvari zamolčane ... očitno ne bomo plačali 2 milijonov dolarjev za tiho službo.«

In, bingo, prevarant je šel in izvedel tisto tradicionalno stvar odkrivanja podatkov na temnem spletu, v bistvu doxxing podjetja.

In, na žalost, vprašanje "Whodunnit?" je odgovoril: Eden od lastnih sistemskih skrbnikov podjetja.

Pravzaprav eden od ljudi, ki so bili vpoklicani v ekipo, da bi poskušali najti in izgnati napadalca.

Tako se je dobesedno pretvarjal, da se podnevi bori s tem napadalcem, ponoči pa se je pogajal za 2 milijona dolarjev izsiljevalskega plačila.

In še huje, Doug, zdi se, da ko so postali sumljivi do njega ...

... kar so tudi storili, bodimo pošteni do podjetja.

(Ne bom povedal, kdo je bil; poimenujmo jih Company-1, kot je to storilo ministrstvo za pravosodje ZDA, čeprav je njihova identiteta precej znana.)

Preiskali so njegovo lastnino in očitno so dobili prenosni računalnik, za katerega se je pozneje izkazalo, da je bil uporabljen za zločin.

Zaslišali so ga, zato je šel v postopek "prekršek je najboljša obramba" in se pretvarjal, da je žvižgač, ter pod nekim alter egom stopil v stik z mediji.

Podal je celotno lažno zgodbo o tem, kako je prišlo do kršitve – da je šlo za slabo varnost Amazonovih spletnih storitev ali kaj podobnega.

Tako se je v mnogih pogledih zdelo veliko slabše, kot je bilo, in cena delnice podjetja je precej padla.

Morda bi vseeno padlo, ko so bile objavljene novice, da so bili vdrti, vsekakor pa se zdi, da se je zelo potrudil, da je bilo videti veliko hujše, da bi od sebe odvrnil sum.

Kar pa se na srečo ni obneslo.

Bil je obsojen (no, priznal je krivdo) in, kot smo rekli v naslovu, je dobil šest let zapora.

Nato tri leta pogojne kazni in vrniti mora kazen v višini 1,500,000 dolarjev.

---

DOUG.  Tega si ne moreš izmisliti!

Odličen nasvet v tem članku ... obstajajo trije nasveti.

Všeč mi je ta prvi: Razdeli in osvoji.

Kaj misliš s tem, Paul?

---

RACA.  No, zdi se, da je imel v tem primeru ta posameznik preveč moči skoncentrirane v svojih rokah.

Zdi se, da je bil sposoben izvesti vsak najmanjši del tega napada, vključno s tem, da je vstopil pozneje in se poigraval z dnevniki ter poskušal prikazati, kot da so to storili drugi ljudje v podjetju.

(Torej, samo da bi pokazal, kako zelo prijazen fant je bil – poskušal je zašiti tudi svoje sodelavce, tako da so zašli v težave.)

Toda če naredite, da nekatere ključne sistemske dejavnosti zahtevajo pooblastilo dveh ljudi, v idealnem primeru celo iz dveh različnih oddelkov, tako kot takrat, ko na primer banka odobri velik denarni pretok ali ko se razvojna ekipa odloči: »Poglejmo, ali je to koda je dovolj dobra; pridobili bomo nekoga drugega, ki bo na to pogledal objektivno in neodvisno«…

…zaradi tega je za osamljenega poznavalca veliko težje izvesti vse te trike.

Ker bi se morali dogovoriti z vsemi ostalimi, od katerih bi na poti potrebovali sooblastitev.

---

DOUG.  OK.

In v istem smislu: Hranite nespremenljive dnevnike.

To je dobro.

---

RACA.  Da.

Tisti poslušalci z dolgim ​​spominom se lahko spomnijo pogonov WORM.

Nekoč so bili prava stvar: enkrat napiši, večkrat preberi.

Seveda so bili oglaševani kot absolutno idealni za sistemske dnevnike, saj lahko pišete vanje, ne morete pa jih nikoli *prepisati*.

Pravzaprav mislim, da niso bili tako zasnovani namenoma … [SMEH] Samo mislim, da še nihče ni vedel, kako jih narediti prepisljive.

Vendar se je izkazalo, da je bila ta vrsta tehnologije odlična za shranjevanje dnevniških datotek.

Če se spomnite zgodnjih CD-R-jev, zapisljivih CD-jev – lahko dodate novo sejo, tako da lahko posnamete, recimo, 10 minut glasbe in nato dodate še 10 minut glasbe ali dodatnih 100 MB podatkov pozneje, vendar niste mogli pojdi nazaj in prepiši celotno stvar.

Torej, ko bi ga enkrat zaklenili, bi moral nekdo, ki bi se želel zaplesti z dokazi, bodisi uničiti celoten CD, tako da bi bil vidno odsoten iz verige dokazov, ali pa ga kako drugače poškodovati.

Ne bi mogli vzeti tega originalnega diska in prepisati njegove vsebine, da bi se prikazala drugače.

In seveda obstajajo različne tehnike, s katerimi lahko to storite v oblaku.

Če želite, je to druga plat kovanca "deli in vladaj".

Pravite, da imate veliko sistemskih skrbnikov, veliko sistemskih opravil, veliko demonov ali servisnih procesov, ki lahko ustvarijo podatke za beleženje, vendar so poslani nekam, kjer je potrebno resnično dejanje volje in sodelovanja, da jih naredite dnevniki izginejo ali izgledajo drugače od tistega, kar so bili, ko so bili prvotno ustvarjeni.

---

DOUG.  In potem nenazadnje: Vedno meri, nikoli domnevaj.

---

RACA.  Absolutno.

Videti je, kot da je Company-1 v tem primeru na koncu upravljala vsaj nekatere od vseh teh stvari.

Ker je FBI identificiral in zaslišal tega fanta... Mislim, da v približno dveh mesecih po napadu.

In preiskave se ne zgodijo čez noč – zahtevajo nalog za preiskavo in zahtevajo verjeten vzrok.

Videti je torej, da so naredili prav in da mu niso kar slepo zaupali samo zato, ker je ves čas govoril, da je vreden zaupanja.

Njegovi zločini so tako rekoč prišli ven med pranjem.

Zato je pomembno, da nikogar ne smatrate za nič sumljivega.

---

DOUG.  OK, nadaljujem.

Proizvajalec pripomočkov Belkin je v vroči vodi, saj v bistvu pravi: "Konec življenjske dobe pomeni konec posodobitev" za enega od njegovih priljubljenih pametnih vtičev.

Belkin Wemo Smart Plug V2 – prelivanje medpomnilnika, ki ga ni mogoče popraviti

---

RACA.  Zdi se, da je bil Belkin precej slab odziv.

Z vidika piara zagotovo ni pridobil veliko prijateljev, saj je naprava v tem primeru eden tistih tako imenovanih pametnih vtičev.

Dobite stikalo za Wi-Fi; nekateri bodo tudi merili moč in podobno.

Torej ideja je, da lahko imate aplikacijo ali spletni vmesnik ali nekaj, kar bo vklopilo in izklopilo stensko vtičnico.

Zato je nekoliko ironično, da je napaka v izdelku, ki bi lahko, če bi ga vdrli, povzročilo, da bi nekdo v bistvu vklopil in izklopil stikalo, na katerega bi lahko bil priključen aparat.

Mislim, da bi, če bi bil Belkin, morda rekel: "Poglejte, tega v resnici ne podpiramo več, toda v tem primeru ... da, izdali bomo popravek."

In to je prelivanje medpomnilnika, Doug, preprosto in preprosto.

[SMEH] Oh, dragi ...

Ko napravo priključite, mora imeti edinstven identifikator, da se bo prikazala v aplikaciji, na primer v vašem telefonu ... če jih imate tri doma, ne želite, da jih kličejo vsi Belkin Wemo plug.

Želite iti in to spremeniti ter dati, kar Belkin imenuje "prijazno ime".

In tako vstopite v aplikacijo za telefon in vnesete novo ime, ki ga želite.

No, zdi se, da je v aplikaciji na sami napravi medpomnilnik z 68 znaki za vaše novo ime ... vendar ni nobenega preverjanja, da ne vnesete imena, daljšega od 68 bajtov.

Morda so se ljudje, ki so zgradili sistem, po neumnosti odločili, da bi bilo dovolj dobro, če bi preprosto preverili, kako dolgo je ime *ki ste ga vtipkali v telefon, ko ste uporabili aplikacijo za spremembo imena*: »Izognili se bomo pošiljanju imena, ki so že predolga."

In res, v telefonski aplikaciji očitno ne morete vnesti več kot 30 znakov, zato so zelo super varni.

Velik problem!

Kaj pa, če se napadalec odloči, da ne bo uporabljal aplikacije? [SMEH]

Kaj pa, če uporabijo skript Python, ki so ga napisali sami ...

---

DOUG.  Hmmmmm! [IRONIČNO] Zakaj bi to storili?

---

RACA.  ... ki ne moti preverjanja omejitve 30 ali 68 znakov?

In točno to so storili ti raziskovalci.

In ugotovili so, da lahko nadzorujejo povratni naslov funkcije, ki je bila uporabljena, ker obstaja prelivanje medpomnilnika sklada.

Z dovolj poskusov in napak jim je po lastni izbiri uspelo preusmeriti izvedbo v tisto, kar je v žargonu znano kot »shellcode«.

Predvsem so lahko zagnali sistemski ukaz, ki je zagnal wget ukaz, ki je prenesel skript, naredil skript izvršljiv in ga zagnal.

---

DOUG.  V redu, no ...

…v članku imamo nekaj nasvetov.

Če imate enega od teh pametnih vtičev, preverite to.

Predvidevam, da je večje vprašanje tukaj ob predpostavki, da bo Belkin izpolnil svojo obljubo, da tega ne bo popravil ... [GLASEN SMEH]

… v bistvu, kako težko je to popraviti, Paul?

Ali pa bi bil dober PR, če bi samo zamašili to luknjo?

---

RACA.  No, ne vem.

Morda obstaja veliko drugih aplikacij, za katere, oh, dragi, morajo opraviti enake popravke.

Zato tega morda preprosto nočejo storiti iz strahu, da bo nekdo rekel: "No, poglejmo globlje."

---

DOUG.  Spolzko pobočje…

---

RACA.  Mislim, to bi bil slab razlog, da tega ne narediš.

Glede na to, da je to zdaj dobro znano, in glede na to, da se zdi dovolj preprosta rešitev, bi si mislil ...

...samo (A) znova prevedite aplikacije za napravo z vklopljeno zaščito sklada, če je mogoče, in (B) vsaj v tem posebnem programu za spreminjanje »prijaznega imena« ne dovolite imen, daljših od 68 znakov!

Ne zdi se, da bi bil večji popravek.

Čeprav je seveda treba ta popravek kodirati; treba ga je pregledati; treba ga je preizkusiti; zgraditi je treba novo različico in jo digitalno podpisati.

Nato ga je treba ponuditi vsakomur in veliko ljudi se sploh ne bo zavedalo, da je na voljo.

In kaj, če se ne posodobijo?

Bilo bi lepo, če bi tisti, ki se zavedajo te težave, dobili popravek, vendar je treba še videti, ali bo Belkin pričakoval, da bodo preprosto nadgradili na novejši izdelek.

---

DOUG.  V redu, glede posodobitev ...

... to zgodbo smo, kot pravimo, budno spremljali.

O tem smo že večkrat govorili: Clearview AI.

Zut alors! Raclage crapuleux! Clearview AI v 20 % večjih težavah v Franciji

Francija ima to podjetje na vidiku zaradi ponavljajočega se kljubovanja in skoraj smešno je, kako slabo je postalo.

Torej to podjetje postrga fotografije z interneta in jih preslika na svoje ljudi, organi kazenskega pregona pa uporabijo ta iskalnik tako rekoč za iskanje ljudi.

Tudi druge države so imele s tem težave, vendar je Francija dejala: »To je PII. To so podatki, ki omogočajo osebno identifikacijo.«

---

RACA.  Da.

---

DOUG.  "Clearview, prosim nehaj s tem."

In Clearview se sploh ni odzval.

Tako so dobili globo v višini 20 milijonov evrov in nadaljevali so ...

In France pravi: »V redu, tega ne moreš storiti. Rekli smo ti, da nehaj, zato te bomo še bolj strmoglavili. Vsak dan vam bomo zaračunali 100,000 €«… in to so datirali za nazaj do te mere, da je že do 5,200,000 €.

In Clearview se preprosto ne odziva.

Samo ne priznava, da obstaja težava.

---

RACA.  Vsekakor se zdi, da se bo tako odvijalo, Doug.

Zanimivo in po mojem mnenju precej razumno in zelo pomembno, ko je francoski regulator preučil Clearview AI (takrat so se odločili, da podjetje ne bo prostovoljno igralo žoge in jih oglobili z 20 milijoni evrov) ...

...ugotovili so tudi, da podjetje ni samo zbiralo tistih, za katere menijo, biometričnih podatkov, ne da bi pridobilo soglasje.

Prav tako so ljudem neverjetno, po nepotrebnem in nezakonito oteževali uveljavljanje njihove pravice (A), da vedo, da so bili njihovi podatki zbrani in komercialno uporabljeni, in (B), da jih izbrišejo, če tako želijo.

To so pravice, ki jih imajo mnoge države zapisane v svojih predpisih.

Mislim, da je to še vedno v zakonodaji v Združenem kraljestvu, čeprav smo zdaj zunaj Evropske unije, in je del dobro znane uredbe GDPR v Evropski uniji.

Če ne želim, da obdržiš moje podatke, jih moraš izbrisati.

In očitno je Clearview delal stvari, kot je rekel: "Oh, no, če ga imamo več kot eno leto, ga je pretežko odstraniti, zato so to samo podatki, ki smo jih zbrali v zadnjem letu."

---

DOUG.  Aaaaargh. [SMEH]

---

RACA.  Torej, če ne opaziš ali se zaveš šele po dveh letih?

Prepozno!

In potem so rekli: "Oh, ne, dovoljeno vam je vprašati samo dvakrat na leto."

Mislim, da so Francozi pri preiskavi tudi ugotovili, da so se ljudje v Franciji pritoževali, da morajo spraševati vedno znova in znova, preden so uspeli prebuditi Clearviewov spomin, da je sploh kaj naredil.

Torej, kdo ve, kako se bo to končalo, Doug?

---

DOUG.  To je pravi čas, da slišimo več bralcev.

Običajno komentiramo en bralec, vendar ste na koncu tega članka vprašali:

Če bi bili {kraljica, kralj, predsednik, vrhovni čarovnik, veličastni vodja, glavni sodnik, glavni razsodnik, visoki komisar za zasebnost} in bi lahko to težavo rešili z {mahom vaše palice, potezo vašega peresa, stresanjem vašega žezla , Jedi miselni trik}…

… kako bi rešili ta zastoj?

In samo nekaj citatov naših komentatorjev:

• "Z glavami stran."
• "Smrtna kazen podjetij."
• "Razvrsti jih kot kriminalno združbo."
• "Višje uslužbence je treba zapreti, dokler podjetje ne izpolni zahtev."
• "Stranke razglasite za sozarotnike."
• "Vdremi v bazo podatkov in izbriši vse."
• "Ustvarite nove zakone."

In potem James razjaha z: »Prdcem v tvojo splošno smer. Tvoja mama je bila amster, oče pa je dišal po bezgu.« [MONTY PYTHON IN SVETI GRAL ALUZIJA]

Kar mislim, da bi lahko bil komentar na napačen članek.

Mislim, da je bil citat Montyja Pythona v "Whodunnit?" Članek.

Ampak, James, hvala, ker si vskočil na koncu ...

---

RACA.  [SMEH] Res se ne bi smel.

Mar ni eden od naših komentatorjev rekel: »Hej, zaprosi za Interpolovo rdečo razpisnico? [NEKAKŠEN MEDNARODNI NALOG ZA PRIJETJE]

---

DOUG.  Da!

No, super ... kot običajno, bomo to spremljali, ker vam lahko zagotovim, da še ni konec.

Če imate zanimivo zgodbo, komentar ali vprašanje, ki bi ga radi poslali, bomo z veseljem prebrali v podcastu.

Lahko pošljete e-poštno sporočilo na tips@sophos.com, lahko komentirate katerega koli od naših člankov ali pa nas kontaktirate na socialnem omrežju: @NakedSecurity.

To je naša današnja predstava; najlepša hvala za posluh.

Za Paula Ducklina sem Doug Aamoth, opominjam vas do naslednjič, da…

---

OBOJE.  Bodite varni!

[GLASBENI MODEM]