S3 Ep135: Sysadmin på dagen, utpressare på natten

S3 Ep135: Sysadmin på dagen, utpressare på natten

Tidsstämpel: 18 maj 2023 2:48
Källnod: 2662163
by

ETT INSIDATANK (DÄR PERSONEN FÅNGDES)

Ingen ljudspelare nedan? Lyssna direkt på Soundcloud.

Med Doug Aamoth och Paul Ducklin. Intro och outro musik av Edith Mudge.

Du kan lyssna på oss på soundcloud, Apple Podcasts, Google Podcasts, Spotify, häft och överallt där bra poddar finns. Eller bara släpp URL till vårt RSS-flöde till din favoritpodcatcher.

LÄS TRANSKRIPTET

DOUG.  Insidejobb, ansiktsigenkänning och "S" i "IoT" står fortfarande för "säkerhet".

Allt det och mer i podden Naked Security.

[MUSIKALT MODEM]

Välkommen till podden, alla.

Jag är Doug Aamoth; han är Paul Ducklin.

Paul, hur mår du idag?

ANKA.  Mycket bra, Doug.

Du vet ditt slagord, "Vi kommer att hålla ett öga på det"?

DOUG.  [SKratt] Ho, ho, ho!

ANKA.  Tyvärr finns det flera saker den här veckan som vi har "hållit ett öga på", och de har fortfarande inte slutat bra.

DOUG.  Ja, vi har en ganska intressant och otraditionell laguppställning den här veckan.

Låt oss komma in på det.

Men först ska vi börja med vår Denna vecka i teknisk historia segmentet.

Den här veckan, den 19 maj 1980, tillkännagavs Apple III.

Den skulle skickas i november 1980, då de första 14,000 XNUMX Apple III:arna från linjen återkallades.

Maskinen skulle återinföras igen i november 1981.

Lång historia kort, Apple III var en flopp.

Apples medgrundare Steve Wozniak tillskrev maskinens misslyckande till att den designades av marknadsförare istället för ingenjörer.

Ouch!

ANKA.  Jag vet inte vad jag ska säga till det, Doug. [SKRATT]

Jag försöker att inte le, som en person som anser sig vara en teknolog och inte en marketroid.

Jag tror att Apple III var tänkt att se bra ut och se cool ut, och det var tänkt att dra nytta av Apple II:s framgångar.

Men jag förstår att Apple III (A) inte kunde köra alla Apple II-program, vilket var lite av ett bakåtkompatibilitetsslag, och (B) var helt enkelt inte tillräckligt utbyggbart som Apple II var.

Jag vet inte om detta är en urban legend eller inte...

…men jag har läst att de tidiga modellerna inte hade sina chips ordentligt på plats i fabriken, och att mottagare som rapporterade problem blev tillsagda att lyfta framsidan av datorn från sitt skrivbord några centimeter och låta den krascha tillbaka.

[SKRATT]

Detta skulle slå chipsen på plats, som de borde ha varit i första hand.

Vilket tydligen fungerade, men inte var den bästa typen av reklam för produktens kvalitet.

DOUG.  Exakt.

Okej, låt oss gå in på vår första berättelse.

Det här är en varnande berättelse om hur illa det är inre hot kan vara, och kanske hur svåra de kan vara att klara av också, Paul.

Vem dunnit? Cybercrook får 6 år för att ha lösen sin egen arbetsgivare

ANKA.  Det är det verkligen, Douglas.

Och om du letar efter berättelsen på nakedsecurity.sophos.com, det är den som är textad, "Vem inte? Cybercrook får sex år för att ha lösen sin egen arbetsgivare.”

Och där har du magkänslan i historien.

DOUG.  Borde inte skratta, men... [SKratt]

ANKA.  Det är lite roligt och olustigt.

För om du tittar på hur attacken utvecklades så var det i princip:

”Hej, någon har brutit sig in; vi vet inte vad säkerhetshålet var som de använde. Låt oss börja agera och försöka ta reda på det.”

"Å nej! Angriparna har lyckats få sysadmin-befogenheter!”

"Å nej! De har sugit upp gigabyte med konfidentiell data!”

"Å nej! De har bråkat med systemloggarna så vi vet inte vad som händer!”

"Å nej! Nu kräver de 50 bitcoins (vilket vid den tidpunkten var cirka 2,000,000 2 XNUMX USD) för att hålla saker tyst ... uppenbarligen kommer vi inte att betala XNUMX miljoner USD som ett tyst jobb."

Och bingo, skurken gick och gjorde det där traditionella med att läcka data på den mörka webben, i princip doxxade företaget.

Och tyvärr frågan "Whodunnit?" besvarades av: En av företagets egna sysadmins.

Faktum är att en av personerna som hade tagits in i laget för att försöka hitta och utvisa angriparen.

Så han låtsades bokstavligen bekämpa den här angriparen på dagen och förhandlade fram en utpressningsbetalning på 2 miljoner dollar på natten.

Och ännu värre, Doug, det verkar som att när de blev misstänksamma mot honom...

...vilket de gjorde, låt oss vara rättvisa mot företaget.

(Jag tänker inte säga vem det var; låt oss kalla dem Company-1, som det amerikanska justitiedepartementet gjorde, även om deras identitet är ganska välkänd.)

Hans egendom genomsöktes och uppenbarligen fick de tag i den bärbara datorn som senare visade sig ha använts för att utföra brottet.

De ifrågasatte honom, så han gick på en "förseelse är den bästa formen av försvar"-process och låtsades vara en whistleblower och kontaktade media under något alter ego.

Han gav en hel falsk historia om hur intrånget hade skett – att det var dålig säkerhet på Amazon Web Services, eller något liknande.

Så det gjorde att det på många sätt verkade mycket värre än det var, och bolagets aktiekurs föll ganska illa.

Det kan ha sjunkit ändå när det kom nyheter om att de hade brutits, men det verkar verkligen som att han gjorde allt för att få det att verka mycket värre för att avleda misstankar från sig själv.

Vilket som tur är inte fungerade.

Han *blev* dömd (nåja, han erkände sig skyldig), och, som vi sa i rubriken, fick han sex års fängelse.

Sedan tre års villkorlig frigivning, och han måste betala tillbaka en straffavgift på $1,500,000 XNUMX XNUMX.

DOUG.  Du kan inte hitta på sånt här!

Bra råd i den här artikeln ... det finns tre råd.

Jag älskar den här första: Söndra och erövra.

Vad menar du med det, Paul?

ANKA.  Tja, det verkar som om den här individen i det här fallet hade för mycket makt koncentrerad i sina egna händer.

Det verkar som att han kunde få varje liten del av denna attack att hända, inklusive att gå in efteråt och bråka med loggarna och försöka få det att se ut som om andra personer i företaget gjorde det.

(Så, bara för att visa vilken fruktansvärt trevlig kille han var – han försökte sy ihop sina kollegor också, så att de skulle hamna i trubbel.)

Men om du gör att vissa viktiga systemaktiviteter kräver auktorisation av två personer, helst till och med från två olika avdelningar, precis som när t.ex. en bank godkänner en stor pengarörelse, eller när ett utvecklingsteam bestämmer, "Låt oss se om detta koden är tillräckligt bra; vi får någon annan att se på det objektivt och oberoende”...

…det gör det mycket svårare för en ensam insider att göra alla dessa knep.

Eftersom de skulle behöva samarbeta med alla andra som de skulle behöva medauktorisation från på vägen.

DOUG.  OK.

Och i samma riktning: Håll oföränderliga loggar.

Den var bra.

ANKA.  Ja.

De lyssnare med långa minnen kan komma ihåg WORM-enheter.

De var riktigt grejen förr i tiden: Skriv en gång, läs många.

Naturligtvis utsågs de som absolut idealiska för systemloggar, eftersom du kan skriva till dem, men du kan aldrig *skriva om* dem.

Nu tror jag faktiskt inte att de designades på det sättet med avsikt... [SKratt] Jag tror bara att ingen visste hur man gör dem omskrivbara ännu.

Men det visar sig att den typen av teknik var utmärkt för att hålla loggfiler.

Om du kommer ihåg tidiga CD-R-skivor, CD-Recordables – du kan lägga till en ny session, så att du kan spela in till exempel 10 minuter musik och sedan lägga till ytterligare 10 minuter musik eller ytterligare 100 MB data senare, men du kunde inte gå tillbaka och skriv om det hela.

Så när du väl hade låst in den, skulle någon som ville bråka med bevisen antingen behöva förstöra hela CD:n så att den skulle vara synligt frånvarande i beviskedjan, eller på annat sätt skada den.

De skulle inte kunna ta den ursprungliga disken och skriva om dess innehåll så att det visade sig annorlunda.

Och, naturligtvis, det finns alla möjliga tekniker med vilka du kan göra det i molnet.

Om du vill är detta den andra sidan av "dela och härska"-myntet.

Det du säger är att du har massor av systemadministratörer, massor av systemuppgifter, massor av demoner eller tjänsteprocesser som kan generera loggningsinformation, men de skickas någonstans där det krävs en verklig handling av vilja och samarbete för att göra dessa loggar försvinner eller ser annorlunda ut än vad de var när de ursprungligen skapades.

DOUG.  Och så sist men absolut inte minst: Mät alltid, anta aldrig.

ANKA.  Absolut.

Det ser ut som om Company-1 i det här fallet klarade åtminstone några av alla dessa saker till slut.

Eftersom den här killen identifierades och ifrågasattes av FBI... tror jag inom ungefär två månader efter att han gjorde sin attack.

Och undersökningar sker inte över en natt – de kräver en order för husrannsakan och de kräver trolig orsak.

Så det verkar som om de gjorde det rätta, och att de inte bara blint fortsatte lita på honom bara för att han hela tiden sa att han var pålitlig.

Hans brott kom så att säga ut i tvätten.

Så det är viktigt att du inte anser att någon är ovanför misstanke.

DOUG.  Okej, går rätt framåt.

Gadgettillverkaren Belkin är i varmt vatten och säger i princip: "Slutet på livet betyder slutet på uppdateringar" för en av sina populära smarta pluggar.

Belkin Wemo Smart Plug V2 – buffertspillet som inte kommer att korrigeras

ANKA.  Det verkar ha varit ett ganska dåligt svar från Belkin.

Förvisso ur PR-synpunkt har den inte fått dem många vänner, eftersom enheten i det här fallet är en av de så kallade smarta pluggarna.

Du får en Wi-Fi-aktiverad switch; några av dem kommer också att mäta kraft och andra saker som det.

Så tanken är att du sedan kan ha en app, eller ett webbgränssnitt, eller något som slår på och av ett vägguttag.

Så det är lite av en ironi att felet ligger i en produkt som, om den hackas, kan leda till att någon i princip blinkar en strömbrytare på och av som kan ha en apparat inkopplad i den.

Jag tror, ​​om jag var Belkin, skulle jag kanske ha sagt, "Titta, vi stöder inte det här längre, men i det här fallet... ja, vi kommer att skjuta ut en patch."

Och det är ett buffertspill, Doug, helt enkelt.

[skrattar] Åh, kära...

När du ansluter enheten måste den ha en unik identifierare så att den visas i appen, t.ex. på din telefon... om du har tre av dem i ditt hus vill du inte att alla ska ringas upp Belkin Wemo plug.

Du vill gå och ändra på det och sätta vad Belkin kallar ett "vänligt namn".

Och så går du in med din telefonapp och skriver in det nya namnet du vill ha.

Tja, det verkar som att det finns en buffert på 68 tecken i appen på själva enheten för ditt nya namn... men det finns ingen kontroll att du inte anger ett namn som är längre än 68 byte.

Dumt nog kanske de som byggde systemet bestämde sig för att det skulle vara bra nog om de helt enkelt kollade hur länge namnet var *som du skrev in i din telefon när du använde appen för att ändra namnet*: "Vi undviker att skicka namn som är för långa i första hand."

Och faktiskt, i telefonappen kan du tydligen inte ens lägga in mer än 30 tecken, så de är extra supersäkra.

Stort problem!

Vad händer om angriparen bestämmer sig för att inte använda appen? [SKRATT]

Tänk om de använder ett Python-skript som de skrivit själva...

DOUG.  Hmmmmmm! [IRONISK] Varför skulle de göra det?

ANKA.  …det bryr sig inte om att kontrollera gränsen på 30 eller 68 tecken?

Och det är precis vad dessa forskare gjorde.

Och de fick reda på, eftersom det finns ett stackbuffertspill, kunde de kontrollera returadressen för en funktion som användes.

Med tillräckligt många försök och misstag kunde de avvika exekveringen till vad som i jargongen kallas "skalkod" efter eget val.

Framför allt kunde de köra ett systemkommando som körde wget kommando, som laddade ner ett skript, gjorde skriptet körbart och körde det.

DOUG.  Okej, tja...

…vi har några råd i artikeln.

Om du har en av dessa smarta pluggar, titta på det där.

Jag antar att den större frågan här är, förutsatt att Belkin följer sitt löfte att inte fixa det här... [HÖGT SKATT]

… i grund och botten, hur svårt är det här att fixa, Paul?

Eller skulle det vara bra PR att bara täppa till det här hålet?

ANKA.  Jag vet inte.

Det kan finnas många andra appar som de måste fixa på samma sätt.

Så de kanske helt enkelt inte vill göra det här av rädsla för att någon ska säga, "Tja, låt oss gräva djupare."

DOUG.  En hal backe...

ANKA.  Jag menar, det skulle vara en dålig anledning att inte göra det.

Jag skulle ha trott, med tanke på att detta nu är välkänt, och med tanke på att det verkar vara en tillräckligt enkel lösning...

…bara (A) kompilera om apparna för enheten med stackskydd aktiverat, om möjligt, och (B) åtminstone i det här speciella programmet för att ändra "vänligt namn", tillåt inte namn som är längre än 68 tecken!

Det verkar inte som en större fix.

Även om den fixen såklart måste kodas; det måste ses över; det måste testas; en ny version måste byggas och signeras digitalt.

Det måste då erbjudas till alla, och många människor kommer inte ens att inse att det är tillgängligt.

Och vad händer om de inte uppdaterar?

Det skulle vara trevligt om de som är medvetna om detta problem kunde få en lösning, men det återstår att se om Belkin förväntar sig att de helt enkelt ska uppgradera till en nyare produkt.

DOUG.  Okej, angående uppdateringar...

...vi har hållit ett öga, som vi säger, på den här historien.

Vi har pratat om det flera gånger: Clearview AI.

Zut allors! Raclage crapuleux! Clearview AI har 20 % mer problem i Frankrike

Frankrike har det här företaget i sikte för upprepade trots, och det är nästan skrattretande hur illa det har blivit.

Så, det här företaget skrapar bort foton från internet och kartlägger dem till sina respektive människor, och brottsbekämpande myndigheter använder den här sökmotorn, så att säga, för att leta upp människor.

Andra länder har också haft problem med detta, men Frankrike har sagt: "Detta är PII. Detta är personligt identifierbar information."

ANKA.  Ja.

DOUG.  "Clearview, snälla sluta med det här."

Och Clearview svarade inte ens.

Så de fick böter på 20 miljoner euro, och de fortsatte bara...

Och Frankrike säger, "OK, du kan inte göra det här. Vi sa åt dig att sluta, så vi kommer att gå ner ännu hårdare mot dig. Vi kommer att debitera dig €100,000 5,200,000 varje dag”... och de backdaterade det till den grad att det redan är uppe i €XNUMX XNUMX XNUMX.

Och Clearview svarar helt enkelt inte.

Det är bara inte ens att erkänna att det finns ett problem.

ANKA.  Det verkar verkligen vara så det utvecklas, Doug.

Intressant nog, och enligt min mening ganska rimligt och mycket viktigt, när den franska tillsynsmyndigheten tittade på Clearview AI (vid den tidpunkten de beslutade att företaget inte skulle spela boll frivilligt och bötfällde dem med 20 miljoner euro)...

...de upptäckte också att företaget inte bara samlade in vad de anser vara biometrisk data utan att få medgivande.

De gjorde det också otroligt, och onödigt och olagligt svårt för människor att utöva sin rätt (A) att veta att deras data har samlats in och används kommersiellt, och (B) att få den raderad om de så önskar.

Det är rättigheter som många länder har inskrivit i sina regler.

Det är förvisso, tror jag, fortfarande i lagen i Storbritannien, även om vi nu är utanför EU, och det är en del av den välkända GDPR-förordningen i Europeiska Unionen.

Om jag inte vill att du ska behålla min data måste du radera den.

Och tydligen gjorde Clearview saker som att säga: "Åh, ja, om vi har haft det i mer än ett år är det för svårt att ta bort det, så det är bara data vi har samlat in under det senaste året."

DOUG.  Aaaaargh. [SKratt]

ANKA.  Så det, om du inte märker det, eller inser du först efter två år?

För sent!

Och då sa de, "Åh, nej, du får bara fråga två gånger om året."

Jag tror, ​​när fransmännen undersökte, fann de också att folk i Frankrike klagade över att de var tvungna att fråga om, och om och om igen, innan de lyckades få Clearviews minne att göra någonting alls.

Så vem vet hur det här kommer att sluta, Doug?

DOUG.  Det här är ett bra tillfälle att höra från flera läsare.

Vi brukar göra vår kommentar från en läsare, men du frågade i slutet av den här artikeln:

Om du var {Queen, King, President, Supreme Wizard, Glorious Leader, Chief Judge, Lead Arbiter, High Commissioner of Privacy} och kunde fixa det här problemet med en {vifta med din trollstav, drag med din penna, skaka med din spira , ett Jedi-tänk}...

…hur skulle du lösa detta avstånd?

Och för att bara dra några citat från våra kommentatorer:

  • "Av med deras huvud."
  • "Företagsdödsstraff."
  • "Klassificera dem som en kriminell organisation."
  • "Högerstående bör fängslas tills företaget följer efter."
  • "Förklara kunder som medkonspiratorer."
  • "Hacka databasen och ta bort allt."
  • "Skapa nya lagar."

Och sedan stiger James av med: ”Jag fisar i din allmänna riktning. Din mamma var en "amster", och din far luktade fläder." [MONTY PYTHON OCH DEN HELIGA GRALEN ALLUSION]

Vilket jag tror kan vara en kommentar till fel artikel.

Jag tror att det fanns ett Monty Python-citat i "Whodunnit?" artikel.

Men, James, tack för att du hoppade in i slutet där...

ANKA.  [SKRATTAR] Borde inte riktigt skratta.

Sa inte en av våra kommentatorer, "Hej, ansök om ett rött meddelande från Interpol? [EN SLAG AV INTERNATIONELL ARRESTERING]

DOUG.  Ja!

Tja, bra... som vi brukar göra kommer vi att hålla ett öga på detta, för jag kan försäkra er att det här inte är över än.

Om du har en intressant berättelse, kommentar eller fråga som du vill skicka in, läser vi gärna på podden.

Du kan skicka e-post till tips@sophos.com, du kan kommentera någon av våra artiklar, eller så kan du kontakta oss på sociala: @NakedSecurity.

Det är vår show för idag; tack så mycket för att du lyssnade.

För Paul Ducklin, jag heter Doug Aamoth, påminner dig tills nästa gång att...

BÅDE.  Håll dig säker!

[MUSIKALT MODEM]

Tidsstämpel:

Mer från Naken säkerhet