S3 Ep135: Gündüz Sysadmin, gece gaspçı

S3 Ep135: Gündüz Sysadmin, gece gaspçı

Zaman Damgası: 18 Mayıs 2023 2:48
Kaynak Düğüm: 2662163
by

İÇERİDEN BİR SALDIRI (Suçlunun Yakalandığı Yer)

Aşağıda müzik çalar yok mu? Dinlemek direkt olarak Soundcloud'da.

Doug Aamoth ve Paul Ducklin ile. Giriş ve çıkış müziği Edith Çamur.

adresinden bizi dinleyebilirsiniz. Soundcloud, Apple Podcast'leri, Google Podcast'ler, Spotify, dikiş ve iyi podcast'lerin bulunduğu her yerde. Ya da sadece bırak RSS beslememizin URL'si en sevdiğiniz podcatcher'a girin.

TRANSKRİPTİ OKUYUN

DOUG.  Dahili işler, yüz tanıma ve “IoT”deki “S” hala “güvenlik” anlamına geliyor.

Hepsi ve daha fazlası Naked Security podcast'inde.

[MÜZİKAL MODEM]

Podcast'e hoş geldiniz millet.

Ben Doug Aamoth'um; o Paul Ducklin'dir.

Paul, bugün nasılsın?

ÖRDEK.  Çok iyi, Doug.

“Buna göz kulak olacağız” sloganını biliyor musun?

DOUG.  [GÜLER] Ho, ho, ho!

ÖRDEK.  Ne yazık ki, bu hafta "göz kulak olduğumuz" birkaç şey var ve bunların sonu hala iyi bitmedi.

DOUG.  Evet, bu hafta biraz ilginç ve geleneksel olmayan bir kadromuz var.

Hadi içine girelim.

Ama önce, kendimizle başlayacağız. Teknoloji Tarihinde Bu Hafta segmenti.

Bu hafta, 19 Mayıs 1980'de Apple III duyuruldu.

Kasım 1980'de gönderilecekti ve bu noktada, hattan çıkan ilk 14,000 Apple III geri çağrıldı.

Makine, Kasım 1981'de yeniden piyasaya sürülecekti.

Uzun lafın kısası, Apple III bir fiyaskoydu.

Apple'ın kurucu ortağı Steve Wozniak, makinenin başarısızlığını mühendisler yerine pazarlamacılar tarafından tasarlanmış olmasına bağladı.

Ah!

ÖRDEK.  Buna ne diyeceğimi bilmiyorum, Doug. [Kahkahalar]

Kendini bir marketroid değil, bir teknoloji uzmanı olarak gören biri olarak sırıtmamaya çalışıyorum.

Apple III'ün iyi ve havalı görünmesi ve Apple II'nin başarısından yararlanmak için yapıldığını düşünüyorum.

Ama benim anladığım şu ki, Apple III (A) tüm Apple II programlarını çalıştıramadı, bu biraz geriye dönük uyumluluk açısından bir darbe oldu ve (B) Apple II gibi yeterince genişletilebilir değildi.

Bu bir şehir efsanesi mi değil mi bilmiyorum…

…fakat ilk modellerin çiplerinin fabrikada düzgün yerleştirilmediğini ve sorun bildiren alıcılara bilgisayarın ön tarafını masalarından birkaç santimetre kaldırıp geri çarpmasına izin vermelerinin söylendiğini okudum.

[GÜLÜYOR]

Bu, çipleri ilk etapta olması gerektiği gibi yerine oturtacaktı.

Görünüşe göre işe yaradı, ancak ürünün kalitesi için en iyi reklam türü değildi.

DOUG.  Kesinlikle.

Pekala, ilk hikayemize geçelim.

Bu ne kadar kötü olduğuna dair uyarıcı bir hikaye içeriden tehditler olabilir ve belki de üstesinden gelmeleri ne kadar zor olabilir, Paul.

Kim bilir? Cybercrook, kendi işverenine fidye vermekten 6 yıl hapis cezası aldı

ÖRDEK.  Gerçekten öyle, Douglas.

Ve eğer hikayeyi arıyorsanız çıplakgüvenlik.sophos.com, altyazılı olan, Kim bilir? Cybercrook, kendi işverenine fidye vermekten 6 yıl hapis cezası alıyor.”

Ve işte hikayenin cesaretine sahipsiniz.

DOUG.  Gülmemeliyim ama... [GÜLER]

ÖRDEK.  Bu biraz komik ve komik değil.

Çünkü saldırının nasıl geliştiğine bakarsanız, temelde şöyleydi:

“Hey, biri zorla girmiş; kullandıkları güvenlik deliğinin ne olduğunu bilmiyoruz. Harekete geçelim ve deneyelim ve öğrenelim.”

"Oh hayır! Saldırganlar sysadmin yetkilerini ele geçirmeyi başardılar!”

"Oh hayır! Gigabaytlarca gizli veriyi emdiler!”

"Oh hayır! Sistem kayıtlarını karıştırdılar, bu yüzden neler olduğunu bilmiyoruz!"

"Oh hayır! Şimdi işleri sessiz tutmak için 50 bitcoin (o zamanlar yaklaşık 2,000,000 ABD dolarıydı) talep ediyorlar… Açıkçası, sessiz bir iş olarak 2 milyon dolar ödemeyeceğiz.

Ve bingo, dolandırıcı gitti ve o geleneksel şeyi yaptı, verileri karanlık ağda sızdırdı, temelde şirkete bilgi verdi.

Ve ne yazık ki, "Kimin bildiği?" Yanıtlayan: Şirketin kendi sistem yöneticilerinden biri.

Aslında, saldırganı bulup kovmak için takıma alınan insanlardan biri.

Yani, gündüzleri bu saldırganla savaşıyormuş gibi yapıyor ve geceleri 2 milyon dolarlık bir şantaj ödemesi için pazarlık yapıyordu.

Ve daha da kötüsü, Doug, öyle görünüyor ki, ondan şüphelenmeye başladıklarında...

…ki yaptılar, hadi şirkete karşı adil olalım.

(Kim olduğunu söylemeyeceğim; ABD Adalet Bakanlığı'nın yaptığı gibi, kimlikleri oldukça iyi bilinmesine rağmen, onlara Şirket-1 diyelim.)

Mülkü arandı ve görünüşe göre daha sonra suç işlemek için kullanıldığı ortaya çıkan dizüstü bilgisayarı ele geçirdiler.

Onu sorguladılar, bu yüzden "saldırı en iyi savunma şeklidir" sürecine girdi ve bir muhbir gibi davrandı ve bir başka benlik altında medyayla temasa geçti.

İhlalin nasıl gerçekleştiğine dair tamamen yanlış bir hikaye anlattı - Amazon Web Hizmetlerinde zayıf güvenlik ya da buna benzer bir şey.

Bu yüzden birçok yönden durumu olduğundan çok daha kötü gösterdi ve şirketin hisse fiyatı oldukça kötü bir şekilde düştü.

İhlal edildiğine dair haberler geldiğinde yine de düşebilirdi, ancak şüpheyi kendisinden uzaklaştırmak için durumu çok daha kötü göstermek için elinden geleni yaptığı kesin.

Neyse ki işe yaramadı.

O *hüküm giydi* (yani suçunu kabul etti) ve başlıkta da söylediğimiz gibi altı yıl hapis cezasına çarptırıldı.

Sonra üç yıl şartlı tahliye ve 1,500,000 dolarlık bir cezayı geri ödemesi gerekiyor.

DOUG.  Bu şeyleri uyduramazsın!

Bu yazıda harika bir tavsiye… üç tane tavsiye var.

İlkini seviyorum: Böl ve fethet.

Bununla ne demek istiyorsun, Paul?

ÖRDEK.  Görünüşe göre, bu durumda, bu kişinin gücü kendi ellerinde çok fazla toplanmış.

Görünüşe göre bu saldırının her küçük parçasını gerçekleştirmeyi başardı, sonradan içeri girip günlükleri karıştırmak ve bunu şirketteki diğer insanlar yapmış gibi göstermeye çalışmak da dahil.

(Yani, sadece ne kadar iyi bir adam olduğunu göstermek için - iş arkadaşlarına da dikiş atmaya çalıştı, böylece başları belaya girdi.)

Ancak, örneğin bir bankanın büyük bir para hareketini onaylaması veya bir geliştirme ekibinin "Bakalım, bunun olup olmayacağına karar vermesi" gibi, belirli kilit sistem etkinliklerinin, ideal olarak iki farklı departmandan olmak üzere iki kişinin yetkilendirmesini gerektirmesini sağlarsanız, kod yeterince iyi; nesnel ve bağımsız bir şekilde bakmasını sağlayacağız”…

… bu, içeriden yalnız birinin tüm bu hileleri gerçekleştirmesini çok daha zorlaştırıyor.

Çünkü yol boyunca ortak yetkilendirmeye ihtiyaç duyacakları konusunda diğer herkesle gizli anlaşma yapmak zorunda kalacaklardı.

DOUG.  Tamam.

Ve aynı satırlarda: Değişmez günlükleri tutun.

Bu iyi bir tanesi.

ÖRDEK.  Evet.

Hafızası uzun olan dinleyiciler WORM sürücülerini hatırlayabilir.

O günlerde oldukça popülerdi: Bir Kez Yazın, Çok Okuyun.

Elbette sistem günlükleri için kesinlikle ideal olarak lanse edildiler, çünkü onlara yazabilirsiniz ama onları asla *yeniden yazamazsınız*.

Şimdi, aslında, kasıtlı olarak bu şekilde tasarlandıklarını düşünmüyorum… [GÜLER] Sadece kimsenin onları nasıl yeniden yazılabilir hale getireceğini henüz bilmediğini düşünüyorum.

Ancak, bu tür bir teknolojinin günlük dosyalarını tutmak için mükemmel olduğu ortaya çıktı.

Eski CD-R'leri, CD-Kaydedilebilirleri hatırlarsanız yeni bir oturum ekleyebilirsiniz, böylece örneğin 10 dakikalık müzik kaydedebilir ve daha sonra 10 dakikalık müzik veya 100 MB daha veri ekleyebilirsiniz, ancak bunu yapamazsınız. geri dön ve her şeyi yeniden yaz.

Yani, bir kez onu kilitledikten sonra, kanıtlarla uğraşmak isteyen birinin ya tüm CD'yi yok etmesi gerekecek, böylece kanıt zincirinde görünür bir şekilde yok olacak ya da başka bir şekilde CD'ye zarar verecekti.

O orijinal diski alıp içeriğini yeniden yazamayacaklar, böylece farklı görünecekti.

Ve tabii ki bunu bulutta yapabileceğiniz her türlü teknik var.

İsterseniz, bu “böl ve fethet” madalyonunun diğer yüzü.

Demek istediğiniz, çok sayıda sistem yöneticiniz, çok sayıda sistem göreviniz, çok sayıda arka plan programı veya günlük bilgisi oluşturabilecek hizmet süreciniz olduğu, ancak bunlar gerçek bir irade eylemi ve bunları yapmak için işbirliği gerektiren bir yere gönderiliyor. günlükler kaybolur veya orijinal olarak oluşturulduklarından farklı görünür.

DOUG.  Ve son olarak ama kesinlikle en az değil: Daima ölçün, asla varsaymayın.

ÖRDEK.  Kesinlikle.

Görünüşe göre, bu durumda Şirket-1, nihayetinde tüm bunların en azından bir kısmını başardı.

Çünkü bu adam FBI tarafından teşhis edilip sorgulandı... Sanırım saldırısını yaptıktan sonraki iki ay içinde.

Ve soruşturmalar bir gecede olmaz - arama için izin belgesi ve olası neden gerektirirler.

Görünüşe göre doğru şeyi yapmışlar ve sırf güvenilir olduğunu söyleyip duruyor diye körü körüne ona güvenmeye devam etmemişler.

Suçları olduğu gibi yıkamada ortaya çıktı.

Bu nedenle, kimseyi şüpheli olarak görmemeniz önemlidir.

DOUG.  Tamam, ilerliyoruz.

Gadget üreticisi Belkin, popüler akıllı fişlerinden biri için temelde "Kullanım ömrünün sonu, güncellemelerin sonu demektir" diyerek kızgın suda.

Belkin Wemo Smart Plug V2 – yamalanmayacak arabellek taşması

ÖRDEK.  Görünüşe göre Belkin'den oldukça zayıf bir yanıt geldi.

Kesinlikle bir PR bakış açısıyla, onlara pek fazla arkadaş kazandırmadı, çünkü bu durumda cihaz sözde akıllı prizlerden biri.

Wi-Fi özellikli bir anahtar alırsınız; bazıları ayrıca gücü ve bunun gibi diğer şeyleri ölçecek.

Yani fikir şu ki, o zaman bir uygulamaya veya bir web arayüzüne veya bir duvar prizini açıp kapatacak bir şeye sahip olabilirsiniz.

Bu nedenle, hatanın bir üründe olması ve saldırıya uğraması durumunda birinin temelde bir anahtarı açıp kapatmasına ve buna bir cihazın takılı olmasına neden olabilmesi biraz ironik.

Sanırım, Belkin olsaydım, "Bak, artık bunu gerçekten desteklemiyoruz, ama bu durumda... evet, bir yama çıkarırız" diyebilirdim.

Ve bu bir tampon taşması, Doug, sade ve basit.

[GÜLER] Ah canım…

Cihazı prize taktığınızda, uygulamada, örneğin telefonunuzda görünmesi için benzersiz bir tanımlayıcıya sahip olması gerekir… evinizde üç tane varsa, hepsinin aranmasını istemezsiniz Belkin Wemo plug.

Gidip bunu değiştirmek ve Belkin'in "dostça isim" dediği şeyi koymak istiyorsunuz.

Ve böylece telefon uygulamanıza girersiniz ve istediğiniz yeni adı yazarsınız.

Görünüşe göre cihazın kendisindeki uygulamada yeni adınız için 68 karakterlik bir arabellek var… ancak 68 bayttan uzun bir ad girmediğinize dair bir kontrol yok.

Belki de aptalca bir şekilde, sistemi oluşturan kişiler, adı değiştirmek için uygulamayı kullandığınızda telefonunuza *yazdığınız adın ne kadar uzun olduğunu kontrol etmenin yeterli olacağına karar verdiler*: "Göndermekten kaçınacağız. ilk etapta çok uzun isimler.

Ve gerçekten de, telefon uygulamasında, görünüşe göre 30'dan fazla karakter bile koyamıyorsunuz, bu yüzden ekstra süper güvenli oluyorlar.

Büyük sorun!

Saldırgan uygulamayı kullanmamaya karar verirse ne olur? [Kahkahalar]

Ya kendi yazdıkları bir Python betiği kullanırlarsa…

DOUG.  Hmmmmm! [İRONİK] Bunu neden yapsınlar?

ÖRDEK.  …bu, 30 karakterlik veya 68 karakterlik sınırı kontrol etmeyi zahmet etmiyor mu?

Ve bu araştırmacıların yaptığı da tam olarak buydu.

Ve bir yığın arabelleği taşması olduğu için, kullanılmakta olan bir işlevin dönüş adresini kontrol edebileceklerini öğrendiler.

Yeterince deneme yanılma ile, yürütmeyi kendi seçtikleri jargonda "kabuk kodu" olarak bilinen şeye saptırabildiler.

Özellikle, çalıştıran bir sistem komutu çalıştırabilirlerdi. wget komut dosyasını indiren, komut dosyasını yürütülebilir hale getiren ve çalıştıran komut.

DOUG.  Tamam iyi…

…makalede bazı tavsiyelerimiz var.

Bu akıllı prizlerden birine sahipseniz, kontrol et.

Sanırım buradaki daha büyük soru, Belkin'in bunu düzeltmeme sözünü yerine getirdiğini varsayarsak... [GÜLER YÜZLÜ KAHKAHA]

…temel olarak, bu ne kadar zor bir düzeltme, Paul?

Yoksa bu deliği tıkamak iyi bir PR olur mu?

ÖRDEK.  Bilmiyorum.

Ah canım, aynı türden bir düzeltme yapmak zorunda oldukları başka birçok uygulama olabilir.

Bu yüzden, birisinin "Eh, daha derine inelim" demesinden korktukları için bunu yapmak istemeyebilirler.

DOUG.  Kaygan bir yokuş…

ÖRDEK.  Yani, bunu yapmamak için kötü bir sebep olurdu.

Bunun artık iyi bilindiğini ve yeterince kolay bir düzeltme gibi göründüğünü düşünürsek, düşünürdüm…

…yalnızca (A) mümkünse yığın koruması açık cihaz için uygulamaları yeniden derleyin ve (B) en azından bu özel "kolay ad" değiştirme programında, 68 karakterden uzun adlara izin vermeyin!

Önemli bir düzeltme gibi görünmüyor.

Elbette bu düzeltmenin kodlanması gerekmesine rağmen; gözden geçirilmelidir; test edilmelidir; yeni bir sürüm oluşturulmalı ve dijital olarak imzalanmalıdır.

O zaman herkese sunulması gerekir ve pek çok insan onun mevcut olduğunun farkına bile varmaz.

Ya güncelleme yapmazlarsa?

Bu sorunun farkında olanların bir çözüm bulması güzel olurdu, ancak Belkin'in onlardan daha yeni bir ürüne geçmelerini bekleyip beklemeyeceği henüz belli değil.

DOUG.  Pekala, güncellemeler konusunda…

...dediğimiz gibi, bu hikayeye göz kulak oluyoruz.

Bunun hakkında birkaç kez konuştuk: Clearview AI.

Tanrı aşkına! Raclage Crapuleux! Clearview AI, Fransa'da %20 daha fazla belada

Fransa, tekrar tekrar meydan okumak için bu şirketi hedef alıyor ve bunun bu kadar kötüye gitmesi neredeyse gülünç.

Yani, bu şirket fotoğrafları internetten sıyırıyor ve onları kendi insanlarıyla eşleştiriyor ve kolluk kuvvetleri, insanları aramak için bu arama motorunu kullanıyor.

Diğer ülkeler de bununla ilgili sorunlar yaşadı, ancak Fransa, “Bu PII. Bu kişisel olarak tanımlanabilir bilgidir.”

ÖRDEK.  Evet.

DOUG.  "Clearview, lütfen bunu yapmayı bırak."

Ve Clearview yanıt bile vermedi.

Böylece 20 milyon € para cezasına çarptırıldılar ve devam ettiler…

Ve Fransa, “Tamam, bunu yapamazsınız. Size durmanızı söyledik, bu yüzden üzerinize daha da sert geleceğiz. Sizden her gün 100,000 € tahsil edeceğiz”… ve onlar bunu şimdiden 5,200,000 €'ya kadar geri tarihlendirdiler.

Ve Clearview yanıt vermiyor.

Bir sorun olduğunu kabul bile etmiyor.

ÖRDEK.  Olaylar kesinlikle böyle gelişiyor, Doug.

İlginç bir şekilde ve bence oldukça makul ve çok önemli bir şekilde, Fransız düzenleyici Clearview AI'yı incelediğinde (şirketin gönüllü olarak top oynamayacağına karar verdikleri ve onlara 20 milyon Euro para cezası verdiği sırada)…

…Ayrıca, şirketin sadece biyometrik veri olarak kabul ettikleri şeyleri izin almadan toplamadığını da gördüler.

Ayrıca, insanların (A) verilerinin toplandığını ve ticari olarak kullanıldığını bilme ve (B) isterlerse sildirme haklarını kullanmalarını inanılmaz, gereksiz ve hukuka aykırı bir şekilde zorlaştırıyorlardı.

Bunlar, birçok ülkenin kendi düzenlemelerinde kutsal saydığı haklardır.

Şu anda Avrupa Birliği'nin dışında olmamıza ve Avrupa Birliği'ndeki iyi bilinen GDPR düzenlemesinin bir parçası olmasına rağmen, kesinlikle Birleşik Krallık'ta hala yasalarda olduğunu düşünüyorum.

Verilerimi saklamanı istemiyorsam, o zaman onu silmen gerekir.

Ve görünüşe göre Clearview, "Oh, peki, bir yıldan fazla bir süredir bizdeyse, onu kaldırmak çok zor, bu yüzden yalnızca geçen yıl içinde topladığımız veriler" gibi şeyler yapıyordu.

DOUG.  Aaaaargh. [GÜLER]

ÖRDEK.  Yani fark etmeseniz mi yoksa iki sene sonra mı farkedersiniz?

Çok geç!

Ve sonra, "Ah, hayır, yılda sadece iki kez sormanıza izin verilir" diyorlardı.

Sanırım, Fransızlar araştırdıklarında, Fransa'daki insanların Clearview'in hafızasını herhangi bir şey yapmaya zorlamadan önce tekrar tekrar sormak zorunda kaldıklarından şikayet ettiklerini de keşfettiler.

Bunun nasıl biteceğini kim bilebilir, Doug?

DOUG.  Bu, birkaç okuyucudan haber almak için iyi bir zaman.

Haftanın yorumunu genellikle bir okuyucudan yaparız, ancak bu makalenin sonunda sormuşsunuz:

{Kraliçe, Kral, Başkan, Yüce Sihirbaz, Şanlı Lider, Baş Yargıç, Baş Hakem, Gizlilik Yüksek Komiseri} olsaydınız ve bu sorunu bir {asanızı sallayarak, kaleminizi sallayarak, asanızı sallayarak) çözebilseydiniz , bir Jedi akıl oyunu}…

…bu açmazı nasıl çözersiniz?

Ve yorumcularımızdan bazı alıntılar almak için:

  • "Kafalarını uçurmak."
  • "Kurumsal ölüm cezası."
  • "Onları bir suç örgütü olarak sınıflandırın."
  • "Şirket buna uyana kadar üst düzey yöneticiler hapse atılmalı."
  • "Müşterileri işbirlikçi olarak ilan edin."
  • "Veritabanını hackleyin ve her şeyi silin."
  • "Yeni yasalar çıkar."

Ve sonra James atından iniyor: "Sizin genel yönünüze osuruyorum. Annen bir 'amster'dı ve baban mürver üzümü kokuyordu. [MONTY PYTHON VE KUTSAL KADEH İMALAT]

Bence yanlış makaleye yorum yapılmış olabilir.

Sanırım "Whodunnit?" de bir Monty Python alıntısı vardı. madde.

Ama James, en sonunda atladığın için teşekkürler...

ÖRDEK.  [GÜLER] Gerçekten gülmemeliyim.

Yorumcularımızdan biri “Hey, Interpol Kırmızı Bülteni için başvuruda bulunun” demedi mi? [BİR TÜR ULUSLARARASI TUTUKLAMA EMRİ]

DOUG.  Evet!

Pekala, harika... alışkın olmadığımız gibi, buna göz kulak olacağız çünkü sizi temin ederim ki bu henüz bitmedi.

İletmek istediğiniz ilginç bir hikayeniz, yorumunuz veya sorunuz varsa, podcast'te okumak isteriz.

Tips@sophos.com adresine e-posta gönderebilir, makalelerimizden herhangi biri hakkında yorum yapabilir veya sosyal medyadan bize ulaşabilirsiniz: @NakedSecurity.

Bugünkü programımız bu kadar; dinlediğiniz için çok teşekkür ederim.

Paul Ducklin için, ben Doug Aamoth, bir dahaki sefere kadar size hatırlatıyorum…

HER İKİSİ DE.  Güvende kalın!

[MÜZİKAL MODEM]

Zaman Damgası:

Den fazla Çıplak Güvenlik