ВИТІВ ДАНИХ – ЖАЛО В ХВІСТІ
Натисніть і перетягніть звукові хвилі нижче, щоб перейти до будь-якої точки. Ви також можете слухати безпосередньо на Soundcloud.
З Дугом Амотом і Полом Дакліном. Вступна та кінцева музика Едіт Мадж.
Ви можете послухати нас на Soundcloud, Apple Podcasts, Підкасти Google, Spotify, брошюровщик і скрізь, де можна знайти хороші подкасти. Або просто скиньте URL-адреса нашого каналу RSS у ваш улюблений подкечер.
ПРОЧИТАЙТЕ СКРИПТ
ДУГ. Заміна SIM-карти, нульові дні, [драматичний голос] Ping DEATH і LastPass… знову.
Все це та багато іншого в подкасті Naked Security.
[МУЗИЧНИЙ МОДЕМ]
Вітаємо всіх у подкасті.
Я Дуг Аамот.
Зі мною, як завжди, Пол Даклін.
Павло, як справи?
КАЧКА. Дуже добре, Дуг.
Мені приємно, що ви додаєте цьому вступу високий драматичний звук!
ДУГ. Ну, а як сказати «Ping of Death», не сказавши [дум-метал гарчання] «Ping of DEATH»?
Ви не можете просто сказати [ніжним голосом] «Пінг смерті».
Треба трохи вдарити…
КАЧКА. Я теж так думаю.
На письмі інакше – що у вас?
Жирний і курсив.
Я використав звичайний текст, але використовував великі літери, що допомагає.
ДУГ. Так, я думаю, що я б виділив слово «смерть» жирним і курсивом, тому [знову дум-метал] «The Ping of DEATH».
КАЧКА. І використовуйте кілька кольорів!
Я зроблю це наступного разу, Дуг.
ДУГ. Розірвати старе тег у HTML, змусити його трохи блимати? [СМІЄТЬСЯ]
КАЧКА. Даг, на мить я хвилювався, що ти збираєшся використовувати це слово [СМІЄТЬСЯ] .
ДУГ. [СМІЄТЬСЯ] Ми тут любимо старі речі!
І це чудово узгоджується з нашим Цей тиждень з історії технологій сегмент – я в захваті від цього, тому що я не чув про нього, але випадково натрапив на нього.
Цього тижня, 04 грудня 2001 року, хробак Goner пограбував Інтернет зі швидкістю, яка поступалася лише вірусу Love Bug.
Гонер поширив через Microsoft Outlook і пообіцяв нічого не підозрюючим жертвам веселу заставку під час виконання.
КАЧКА. Гонер…
Я думаю, що він отримав таку назву, тому що в кінці було спливаюче вікно, чи не так, у якому згадувався Пентагон?
Але це мав бути каламбур – це було «Penta/Gone».
Безумовно, це був черв’як, який нагадав людям, що насправді заставки Windows — це лише виконувані програми.
Отже, якщо ви спеціально шукали .EXE файли, добре, їх можна було б загорнути в .SCR (заставки), а також файли.
Якби ви покладалися лише на імена файлів, вас легко могли б обдурити.
І багато людей були, на жаль.
ДУГ. Гаразд, ми переходимо від старої школи до нової школи.
Ми говоримо про LastPass: було порушення; сам злом не був страшним; але це порушення тепер призвело до іншого порушення.
А може, це лише продовження початкового порушення?
LastPass визнає порушення даних клієнтів через попередні порушення
КАЧКА. Так, LastPass написав про це, по суті, як продовження попереднього порушення, яке, я думаю, сталося в серпні 2022 року, чи не так?
І, як ми вже говорили тоді, LastPass виглядав дуже незручно.
Але що стосується порушень, це, мабуть, було гірше для їхніх відділів PR, маркетингу та (я думаю) для їхніх відділів інтелектуальної власності, тому що, здається, головне, що шахраї позбулися, це вихідний код із їхньої системи розробки.
І LastPass швидко заспокоїв людей…
По-перше, їхні дослідження показали, що, поки вони були там, шахраї не змогли внести жодних неавторизованих змін, які згодом могли б проникнути в справжній код.
По-друге, доступ до системи розробки не дає вам доступу до робочої системи, де будується фактичний код.
І по-третє, вони змогли сказати, що здавалося, що зашифровані сховища паролів не були викрадені, тому доступ до хмарного сховища ваших зашифрованих паролів не було.
І навіть якби до нього був доступ, лише ви б знали пароль, оскільки дешифрування (те, що ви назвали «важким підняттям», коли ми говорили про це в подкасті) насправді виконується в пам’яті ваших пристроїв – LastPass ніколи не бачить ваш пароль.
А потім, по-четверте, вони сказали, наскільки ми можемо судити, що в результаті цього порушення деякі речі, які були в середовищі розробки, тепер дали те саме… або, можливо, зовсім інше навантаження шахраїв, які купили вкрадені дані з попередньої партії, хто знає?
Це дозволило їм потрапити в якийсь хмарний сервіс, де було викрадено деякий, очевидно, ще невідомий набір даних клієнтів.
Я не думаю, що вони ще точно знають, тому що може знадобитися деякий час, щоб з’ясувати, до чого насправді вдалося отримати доступ після того, як сталося порушення.
Тож я вважаю справедливим сказати, що це свого роду сторона B початкового порушення.
ДУГ. Гаразд, ми пропонуємо, якщо ви клієнт LastPass, стежити за звітом про інцидент безпеки компанії.
Ми будемо стежити за цією історією, оскільки вона все ще розвивається.
І якщо ви, як Пол і я, боретеся з кіберзлочинністю, заробляючи на життя, є кілька чудових уроків, які можна винести зі злому Uber.
Отже, це епізод подкасту – «мінізод» – із Честером Вишневським, який Пол вставив у кінці статті LastPass:
S3 Ep100.5: Порушення Uber – говорить експерт [Аудіо + текст]
Багато чого навчитися на цьому фронті!
КАЧКА. Як ви сказали, це чудово послухати, тому що, я вважаю, це те, що в Америці відомо як «дієві поради» або «новини, якими ви можете скористатися».
ДУГ. [СМІЄТЬСЯ] Чудово.
Говорячи про новини, якими-насправді не можна-користуватись, Apple, як правило, небагатослівна щодо своїх оновлень безпеки… і було оновлення безпеки:
Apple випускає оновлення системи безпеки iOS, яке є більш стриманим, ніж будь-коли
КАЧКА. О, Дуг, це один із твоїх найкращих… Мені подобається ця передача.
ДУГ. [СМІЄТЬСЯ] Дякую; дуже тобі дякую.
КАЧКА. Так, це мене здивувало.
Я подумав: «Ну, я візьму оновлення, тому що це звучить серйозно».
І я назвав собі причину: «Дозвольте мені зробити це для читачів Naked Security».
Тому що, якщо я роблю це і не буде жодних побічних ефектів, тоді я можу принаймні сказати іншим людям: «Дивіться, я просто зробив це наосліп, і мені не завдано шкоди. Тож, можливо, ви також зможете це зробити».
Я щойно раптом помітив, що доступне оновлення iOS 16.1.2, хоча я не отримав електронного листа з рекомендаціями щодо безпеки від Apple.
Нема електронної пошти?!
Це дивно.. тому я пішов до HT201222 сторінка порталу, яку Apple має для своїх бюлетенів безпеки, і ось вона: iOS 16.1.2.
І що там написано, Дуг, «подробиці будуть незабаром»?
ДУГ. І чи скоро вони пішли?
КАЧКА. Ну, це було більше тижня тому, а їх ще немає.
Тож ми говоримо «незабаром», тобто години, дні, тижні чи місяці?
На даний момент це схоже на тижні.
І, як завжди з Apple, немає жодних ознак, пов’язаних з іншими операційними системами.
Чи їх забули?
Їм не потрібне оновлення?
Їм також знадобилося оновлення, але воно ще не готове?
Вони були виключені з підтримки?
Але, як я вже сказав у заголовку, це здавалося навіть більш небагатослівним, ніж зазвичай для Apple, і не обов’язково найкориснішим у світі.
ДУГ. Гаразд, дуже добре… ще є запитання, які підводять нас до нашої наступної історії.
Дуже цікаве питання!
Іноді, коли ви реєструєтеся в службі, і вона забезпечує двофакторну автентифікацію, з’являється повідомлення: «Ви хочете отримувати сповіщення за допомогою текстового повідомлення чи хочете використовувати програму автентифікації?»
І ця історія є попередженням про те, щоб не користуватися телефоном – використовуйте програму автентифікації, навіть якщо вона трохи громіздкіша.
Це дуже цікава історія:
КАЧКА. Це так, Дуг!
Якщо ви коли-небудь втрачали мобільний телефон або блокували доступ до своєї SIM-картки, вводячи неправильний PIN-код забагато разів, ви знатимете, що можете піти в магазин мобільних телефонів…
…і зазвичай вони запитують посвідчення особи чи щось подібне, а ти кажеш: «Привіт, мені потрібна нова SIM-карта».
І вони створять для вас.
Коли ви кладете його в телефон, бінго!… на ньому ваш старий номер.
Отже, це означає, що якщо шахрай може виконати ту саму вправу, що й ви, щоб переконати компанію мобільного зв’язку, що він «загубив» або «зламав» свою SIM-карту (тобто *вашу SIM-карту*), і вони можуть отримати ця картка або передана, або надіслана, або дана їм якимось чином...
…потім, коли вони підключають його до свого телефону, вони починають отримувати ваші SMS-коди двофакторної автентифікації *і* ваш телефон перестає працювати.
Це погана новина.
Хороша новина в цій статті полягає в тому, що це був випадок хлопця, якого схопили за це.
Його відправили у в'язницю в США на 18 місяців.
Він із купою спільників – або, за словами Міністерства юстиції, Учасники схеми… [СМІЄТЬСЯ]
…вони втекли з криптовалютою однієї конкретної жертви, очевидно, на суму 20 мільйонів доларів, якщо ви не заперечуєте.
ДУГ. Уф!
КАЧКА. Тож він погодився визнати себе винним, прийняти тюремне ув’язнення та негайно втратити… суму становила [уважно читає] 983,010.72 XNUMX доларів… просто втратити це одразу.
Тож, мабуть, у нього це валялося.
І він, очевидно, також має певне юридичне зобов’язання повернути понад 20 мільйонів доларів.
ДУГ. Удачі всім! Удачі.
Його інший [вокальний курсив] Учасники схеми може спричинити певні проблеми! [СМІЄТЬСЯ]
КАЧКА. Так, я не знаю, що буде, якщо вони також відмовляться співпрацювати.
Мовляв, якщо вони просто вивісять його сушитися, що станеться?
Але в цій статті ми знайшли кілька підказок і порад про те, як посилити безпеку (не лише 2FA, яку ви використовуєте).
Тож ідіть і прочитайте це… кожна дрібниця допомагає.
ДУГ. Гаразд, говорячи про «дрібниці»…
…це була ще одна захоплююча історія, яка скромна ping можна використовувати для ініціювання віддаленого виконання коду:
Пінг смерті! FreeBSD виправляє аварійну помилку в мережевому інструменті
КАЧКА. [Знову подобається продовження] Я думаю, що ти став кращим, Дуг!
ДУГ. [СМІЄТЬСЯ] Сьогодні я в розвазі…
КАЧКА. Від Apple до [слабкої спроби дум-вокалу] Ping of DEATH!
Так, це була інтригуюча помилка.
Я не думаю, що це справді завдасть багатьом людям великої шкоди, і це *виправлено*, тому виправити це легко.
Але у FreeBSD є чудовий опис консультування з питань безпеки...
…і це робить цікаву та, якщо я так скажу, дуже інформативну історію для нинішнього покоління програмістів, які, можливо, покладалися на «Сторонні бібліотеки просто зроблять це за мене». Маєте справу з мережевими пакетами низького рівня? Мені ніколи не доводиться про це думати…»
Тут можна вивчити кілька чудових уроків.
Команда ping утиліта, яка є єдиним мережевим інструментом, про який знають практично всі, отримала свою назву від SONAR.
Ти йдеш [видає шум підводного човна фільму] ping, а потім відлуння повертається від сервера на іншому кінці.
І це функція, яка вбудована в Інтернет-протокол, IP, за допомогою речі під назвою ICMP, який є Інтернет-протоколом контрольних повідомлень.
Це особливий низькорівневий протокол, набагато нижчий за UDP або TCP, до якого люди, ймовірно, звикли, і він майже розроблений саме для таких речей: «Ти справді живий на іншому кінці, перш ніж я почну хвилюватися про те, чому ваш веб-сервер не працює?»
Є спеціальний тип пакету, який можна надіслати під назвою «ICMP Echo».
Отже, ви надсилаєте цей маленький пакет із коротким повідомленням (повідомлення може бути будь-яким завгодно), і він просто надсилає те саме повідомлення вам назад.
Це просто простий спосіб сказати: «Якщо це повідомлення не повертається, мережа або весь сервер не працюють», а не те, що на комп’ютері виникла проблема з програмним забезпеченням.
За аналогією з SONAR, програма, яка надсилає ці ехо-запити, називається… [пауза] Я збираюся створити звуковий ефект, Дуг… [знову фальшивий шум фільму про підводний човен] ping. [СМІХ]
І ідея полягає в тому, що ти йдеш, скажеш, ping -c3 (це означає перевірити тричі) nakedsecurity.sophos.com.
Ви можете зробити це прямо зараз, і ви повинні отримати три відповіді з інтервалом в одну секунду від серверів WordPress, на яких розміщено наш сайт.
І це говорить про те, що сайт живий.
Це не означає, що веб-сервер працює; це не означає, що WordPress працює; це не означає, що Naked Security дійсно доступний для читання.
Але це принаймні підтверджує, що ви можете бачити сервер, і сервер може зв’язатися з вами.
І хто б міг подумати, що ця скромна відповідь на ping може підвести FreeBSD ping запрограмувати таким чином, щоб шахрайський сервер міг надіслати назад повідомлення «Так, я живий», яке могло б теоретично (тільки теоретично; я не думаю, що хтось робив це на практиці) викликати віддалене виконання коду на ваш комп'ютер.
ДУГ. Так, це дивно; це дивовижна частина.
Навіть якщо це підтвердження концепції, це така маленька дрібниця!
КАЧКА. Команда ping сама програма отримує весь IP-пакет назад і має розділити його на дві частини.
Зазвичай ядро впорається з цим за вас, тому ви бачите лише частину даних.
Але коли маєш справу, що називається необроблені розетки, що ви отримуєте назад, це заголовок Інтернет-протоколу, який просто говорить: «Гей, ці байти надійшли з такого-то сервера».
А потім ви отримуєте так звану «ICMP Echo Reply», яка є другою половиною пакета, який ви отримуєте.
Тепер ці пакети зазвичай мають лише 100 байтів або близько того, і якщо це IPv4, перші 20 байтів – це IP-заголовок, а решта, якою б вона не була, – це ехо-відповідь.
У ньому є кілька байтів, щоб сказати: «Це ехо-відповідь», а потім оригінальне повідомлення, яке вийшло, повертається.
Отже, очевидно, що потрібно зробити, Дуг, коли ти це отримаєш, це розділити це на...
… IP-заголовок, який має 20 байт, і решта.
Вгадайте, де проблема?
ДУГ. Розкажіть!
КАЧКА. Проблема в тому, що IP-заголовки *майже завжди* мають довжину 20 байтів – насправді, я не думаю, що я коли-небудь бачив такий, який би не був.
І ви можете сказати, що вони мають довжину 20 байтів, оскільки перший байт буде шістнадцятковим 0x45.
«4» означає IPv4, а «5»… «О, ми використаємо це, щоб визначити довжину заголовка».
Ви берете це число 5 і множите його на 4 (для 32-бітних значень), і отримуєте 20 байт.
…і це, мабуть, розмір IP-заголовків розміром у шість сигм, які ви коли-небудь побачите в усьому світі, Дуг. [СМІХ]
Але вони *можуть* досягати 60 байт.
Якщо поставити 0x4F замість 0x45, який говорить про наявність 0xF (або 15 у десятковій системі) × 4 = 60 байтів у заголовку.
І код FreeBSD просто взяв цей заголовок і скопіював його в буфер у стеку розміром 20 байт.
Просте, старовинне переповнення буфера стека.
Це випадок поважного інструменту для усунення несправностей мережі з поважним типом помилки в ньому. (Ну, більше ні.)
Отже, коли ви програмуєте і вам доводиться мати справу з низькорівневими речами, про які ніхто насправді не думав протягом багатьох років, не просто дотримуйтеся прийнятої мудрості, яка говорить: «О, це завжди буде 20 байтів; ти ніколи не побачиш нічого більшого».
Тому що одного дня ви можете.
І коли цей день настане, це може бути там навмисно, тому що шахрай зробив це навмисно.
Отже, диявол, як завжди, криється в деталях програмування, Дуг.
ДУГ. Добре, дуже цікаво; чудова історія.
І ми зупинимося на темі коду в цій останній історії про Chrome.
Ще один нульовий день, завдяки якому загальна кількість у 2022 році зросла до дев’яти:
Номер дев'ять! Chrome виправляє ще один нульовий день 2022 року, Edge також виправлено
КАЧКА. [Офіційний голос, схожий на запис] «Номер 9. Номер 9. Номер 9, номер 9», Дуглас.
ДУГ. [СМІЄТЬСЯ] Це Йоко Оно?
КАЧКА. Це Революція 9 з «Білого альбому» Бітлз.
Можна почути, як Йоко риффує в цій пісні – це звуковий ландшафт, я вважаю, що вони це називають – але, мабуть, фрагмент на початку, де хтось повторює «Номер 9, номер 9» знову і знову, насправді це була тестова стрічка, яку вони знайшли.
ДУГ. О, дуже круто.
КАЧКА. Інженер EMI каже щось на кшталт: «Це тестова стрічка EMI номер 9» [СМІХ], і, очевидно, я навіть не думаю, що хтось знає, чий це був голос.
Це не має *нічого* спільного з Chrome, Дуг.
Але враховуючи те, що днями хтось прокоментував у Facebook: «Цей хлопець Пол починає виглядати як бітл»… [загадка], що мені здалося трохи дивним.
ДУГ. [СМІЄТЬСЯ] Так, як ти маєш це сприйняти?
КАЧКА. …Я подумав, що можу пообідати на «Номер 9».
Здається, це вже дев'ятий нульовий день року, Дуг.
І це виправлення однієї помилки, яка ідентифікована як CVE 2022-4282.
Оскільки Microsoft Edge використовує ядро Chromium з відкритим вихідним кодом, воно також було вразливим, і через пару днів Microsoft випустила оновлення для Edge.
Отже, це проблема як Chrome, так і Edge.
Хоча ці веб-переглядачі повинні оновлюватися самі, я рекомендую все одно перевірити – ми покажемо вам, як це зробити в статті – про всяк випадок.
Я не буду зачитувати тут номери версій, тому що вони відрізняються для Mac, Linux і Windows у Chrome, і вони також відрізняються для Edge.
Як і Apple, Google трохи мовчить про це.
На мою думку, його знайшла одна з їхніх груп пошуку загроз.
Тож я припускаю, що вони знайшли це під час розслідування інциденту, який стався в дикій природі, і тому вони, ймовірно, хочуть тримати його під капелюхом, хоча Google зазвичай може багато сказати про «відкритість», коли йдеться про виправлення помилок.
Ви розумієте, чому в такому випадку вам може знадобитися трохи часу, щоб копнути трохи глибше, перш ніж розповідати всім, як саме це працює.
ДУГ. Чудово… і у нас є запитання читача, про яке, ймовірно, замислюється багато людей.
Кассандра запитує: «Чи шукачам жуків просто щастить у пошуку жуків? Або вони зайшли по швах, повні помилок? Або Chromium видає новий код, який має більше помилок, ніж зазвичай? Або щось інше відбувається?»
КАЧКА. Так, насправді це чудове запитання, і, боюся, я міг би відповісти на нього лише трохи жартівливо, Дуг.
Оскільки Кассандра дала варіанти A), B) і C), я сказав: «Ну, можливо, це так Г) Усе перераховане."
Ми знаємо, що коли в коді з’являється помилка певного типу, то розумно припустити, що той самий програміст міг зробити подібні помилки в іншому місці програмного забезпечення.
Або інші програмісти в тій самій компанії, можливо, використовували те, що вважалося прийнятою мудрістю або стандартною практикою в той час, і, можливо, наслідували їхній приклад.
І чудовим прикладом є те, що якщо ви поглянете назад на Log4J... там було виправлення, щоб виправити проблему.
А потім, коли вони пішли шукати, «О, справді, є й інші місця, де були зроблені подібні помилки».
Тож було виправлення для виправлення, а потім було виправлення для виправлення для виправлення, якщо я пам’ятаю.
Існує, звичайно, також проблема, коли ви додаєте новий код, ви можете отримати помилки, які є унікальними для цього нового коду та виникають через додавання функцій.
І тому багато браузерів, у тому числі Chrome, мають, якщо хочете, «трохи старішу» версію, яку ви можете використовувати.
Ідея полягає в тому, що ці «старіші» випуски… вони не мають жодної нової функції, але мають усі відповідні виправлення безпеки.
Отже, якщо ви хочете бути консервативними щодо нових функцій, ви можете бути.
Але ми точно знаємо, що іноді, коли ви впроваджуєте нові функції в продукт, разом із новими функціями з’являються нові помилки.
І ви можете сказати про це, наприклад, коли є оновлення, скажімо, для вашого iPhone, і ви отримуєте оновлення, скажімо, для iOS 15 та iOS 16.
Потім, коли ви подивіться на списки помилок, ви знайдете кілька помилок, які стосуються лише iOS 16.
І ви думаєте: «Привіт, це мабуть помилки в коді, яких раніше не було».
Отже, так, це можливість.
І я думаю, що інші речі, які відбуваються, можна вважати хорошими.
По-перше, я вважаю, що, особливо для таких речей, як браузери, виробники веб-переглядачів стають набагато кращими у справі швидкого повного перебудови.
ДУГ. Цікаво.
КАЧКА. І я думаю, що інша річ, яка змінилася, полягає в тому, що раніше можна було стверджувати, що для багатьох постачальників... було досить важко змусити людей взагалі застосовувати виправлення, навіть якщо вони виходили лише за місячним графіком, і навіть якщо у них було кілька виправлень нульового дня.
Я думаю, що, можливо, це також відповідь на той факт, що все більше і більше з нас дедалі частіше не просто погодяться, а фактично *очікують* автоматичного оновлення, яке є дійсно швидким.
Отже, я думаю, ви можете прочитати в цьому щось хороше.
Справа не тільки в тому, що Google може майже миттєво надати єдине виправлення нульового дня, але й у тому, що люди готові це прийняти і навіть вимагати.
Тож мені подобається бачити цю проблему: «Ого, дев’ять нульових днів у році вирішуються окремо!»…
… Мені більше подобається думати про це як про «стакан наполовину наповнений і наповнюється», ніж «стакан наполовину порожній і стікає через маленький отвір у дні». [СМІХ]
Це моя думка.
ДУГ. Добре, дуже добре.
Дякую за запитання, Кассандра.
Якщо у вас є цікава історія, коментар або запитання, яке ви хотіли б надіслати, ми будемо раді прочитати це в подкасті.
Ви можете надіслати нам електронний лист на tips@sophos.com, ви можете прокоментувати будь-яку з наших статей або зв’язатися з нами в соціальних мережах: @NakedSecurity.
Це наше шоу на сьогодні; дуже дякую, що вислухали.
Для Пола Дакліна я Даг Аамот, нагадую: до наступного разу…
ОБИМ. Будьте в безпеці!
[МУЗИЧНИЙ МОДЕМ]
- Apple
- blockchain
- Chrome
- coingenius
- крипто-валютні кошельки
- криптообмін
- кібер-безпеки
- кіберзлочинності
- кіберзлочинці
- Кібербезпека
- управління внутрішньої безпеки
- цифрові гаманці
- край
- Експлуатувати
- брандмауер
- злом
- iOS
- Kaspersky
- Закон і порядок
- шкідливих програм
- Макафі
- Microsoft
- Гола безпека
- Голий подкаст безпеки
- NexBLOC
- plato
- платон ai
- Інформація про дані Платона
- Гра Платон
- PlatoData
- platogaming
- Подкаст
- недоторканність приватного життя
- VPN
- вразливість
- безпеки веб-сайтів
- зефірнет
![S3 Ep121: Чи можуть вас зламати, а потім переслідувати за це? [Аудіо + текст]](https://platoaistream.com/wp-content/uploads/2023/02/s3-ep121-can-you-get-hacked-and-then-prosecuted-for-it-audio-text-300x156.png)
