S3 Ep135: Сисадмін вдень, здирник вночі

Нижче немає аудіоплеєра? Слухай безпосередньо на Soundcloud.

ДУГ.  Внутрішні робочі місця, розпізнавання обличчя та «S» у «IoT» як і раніше означає «безпека».

Все це та багато іншого в подкасті Naked Security.

[МУЗИЧНИЙ МОДЕМ]

Ласкаво просимо в подкаст, усі.

Я Дуг Аамот; він Пол Даклін.

Павле, як ти сьогодні?

---

КАЧКА.  Дуже добре, Дуг.

Ви знаєте свою крилату фразу: «Ми будемо стежити за цим»?

---

ДУГ.  [СМІЄТЬСЯ] Хо, хо, хо!

---

КАЧКА.  На жаль, цього тижня ми «стежили за кількома речами», але вони все ще не закінчилися добре.

---

ДУГ.  Так, цього тижня у нас цікавий і нетрадиційний склад.

Давайте займемося цим.

Але спочатку ми почнемо з нашого Цей тиждень з історії технологій сегмент.

Цього тижня, 19 травня 1980 року, було анонсовано Apple III.

Він надійшов у листопаді 1980 року, коли було відкликано перші 14,000 XNUMX Apple III з виробництва.

Машина знову буде представлена ​​в листопаді 1981 року.

Коротше кажучи, Apple III став провалом.

Співзасновник Apple Стів Возняк пояснив невдачу машини тим, що її розробили маркетологи, а не інженери.

Ой!

---

КАЧКА.  Я не знаю, що на це сказати, Дуг. [СМІХ]

Намагаюся не посміхатися, як людина, яка вважає себе технологом, а не маркетоїдом.

Я вважаю, що Apple III мав виглядати добре та круто, і він мав на меті отримати вигоду від успіху Apple II.

Але я розумію, що Apple III (A) не міг запускати всі програми Apple II, що було певним ударом по зворотній сумісності, і (B) просто не було достатньо розширюваним, як Apple II.

Не знаю, міська це легенда чи ні…

…але я читав, що в перших моделях мікросхеми не були встановлені належним чином на заводі, і що одержувачам, які повідомляли про проблеми, було сказано підняти передню частину комп’ютера над своїм столом на кілька сантиметрів і дати йому впасти назад.

[СМІХ]

Це поставило б мікросхеми на місце, як вони мали бути спочатку.

Що, очевидно, спрацювало, але не було найкращою рекламою щодо якості продукту.

---

ДУГ.  Саме так.

Гаразд, перейдемо до нашої першої історії.

Це застереження про те, як погано внутрішні загрози може бути, і, можливо, наскільки важко їх також може зробити, Поле.

Хто ні? Кібершахрай отримує 6 років за викуп власного роботодавця

---

КАЧКА.  Дійсно, Дугласе.

І якщо ви шукаєте історію на nakedsecurity.sophos.com, це той, який має підпис, “Whodunnit? Кібершахрай отримує 6 років за викуп власного роботодавця».

І ось вам суть історії.

---

ДУГ.  Не варто сміятися, але… [СМІЄТЬСЯ]

---

КАЧКА.  Це якось смішно і не смішно.

Тому що якщо ви подивіться на те, як розгорталася атака, це було в основному:

«Гей, хтось увірвався; ми не знаємо, яку діру в безпеці вони використали. Давайте приступимо до дії і спробуємо з’ясувати це».

"О ні! Зловмисникам вдалося отримати повноваження системного адміністратора!»

"О ні! Вони висмоктали гігабайти конфіденційних даних!»

"О ні! Вони возилися з системними журналами, тому ми не знаємо, що відбувається!»

"О ні! Тепер вони вимагають 50 біткойнів (що на той час становило приблизно 2,000,000 2 XNUMX доларів США), щоб все було тихо… очевидно, що ми не збираємося платити XNUMX мільйони доларів за тишу».

І, бінго, шахрай пішов і зробив традиційний витік даних у темну мережу, по суті, доксінг компанії.

І, на жаль, питання «Whodunnit?» відповів: один із власних системних адміністраторів компанії.

Насправді, один із людей, яких призвали в команду, щоб спробувати знайти та вигнати нападника.

Тож він буквально вдавав, що бореться з цим нападником удень, а вночі домовлявся про виплату шантажу в розмірі 2 мільйонів доларів.

І ще гірше, Дуг, здається, коли вони запідозрили його…

…що вони й зробили, давайте будемо чесними щодо компанії.

(Я не збираюся говорити, хто це був; давайте назвемо їх Компанія-1, як це зробило Міністерство юстиції США, хоча їх особи досить добре відомі.)

Його власність обшукали, і, очевидно, вони заволоділи ноутбуком, який пізніше виявилося, що використовувався для скоєння злочину.

Вони допитали його, тож він пішов на процес «злочин — найкращий спосіб захисту», прикинувся інформатором і зв’язався зі ЗМІ під якимось іншим его.

Він розповів цілу неправдиву історію про те, як стався злам — що це була низька безпека веб-служб Amazon або щось подібне.

Таким чином, у багатьох відношеннях все здавалося набагато гіршим, ніж було, і ціна акцій компанії дуже сильно впала.

Це все одно могло впасти, коли з’явилася новина про те, що їх було зламано, але, звичайно, здається, що він зробив усе можливе, щоб зробити все набагато гіршим, щоб відвести від себе підозри.

Що, на щастя, не спрацювало.

Його *справді* засудили (ну, він визнав себе винним), і, як ми сказали в заголовку, він отримав шість років в'язниці.

Потім три роки умовно-дострокового звільнення, і він повинен повернути штраф у розмірі 1,500,000 XNUMX XNUMX доларів.

---

ДУГ.  Ви не можете це вигадати!

Чудова порада в цій статті… є три поради.

Мені подобається цей перший: Розділяй і володарюй.

Що ти маєш на увазі, Поле?

---

КАЧКА.  Що ж, справді здається, що в цьому випадку ця особа мала надто багато влади в своїх руках.

Здається, він зміг зробити кожну дрібницю цієї атаки, включно з тим, щоб зайти згодом і возитися з журналами та намагатися зробити так, ніби це зробили інші люди в компанії.

(Отже, щоб показати, яким він був страшенно добрим хлопцем – він також намагався зашити своїх колег, щоб вони потрапили в халепу.)

Але якщо ви робите, щоб певні ключові дії в системі вимагали авторизації двох людей, в ідеалі навіть з двох різних відділів, як, скажімо, коли банк схвалює великий рух грошей, або коли команда розробників вирішує: «Давайте подивимося, чи це код досить хороший; ми змусимо когось іншого поглянути на це об’єктивно та незалежно»…

… це значно ускладнює самотньому інсайдеру виконувати всі ці трюки.

Тому що їм доведеться вступити в змову з усіма іншими, від яких їм знадобиться співавторизація.

---

ДУГ.  ОК.

І в тому ж ключі: Зберігайте незмінні журнали.

Це добре.

---

КАЧКА.  Так.

Ті слухачі з довгою пам'яттю можуть згадати диски WORM.

У той час вони були справжньою справою: напиши один раз, прочитай багато.

Звичайно, їх рекламували як абсолютно ідеальні для системних журналів, тому що ви можете писати в них, але ви ніколи не можете *переписати* їх.

Насправді я не думаю, що вони були створені таким чином навмисно... [СМІЄТЬСЯ] Я просто думаю, що ніхто ще не знав, як зробити їх перезаписуваними.

Але виявилося, що така технологія чудово підходить для зберігання журналів.

Якщо ви пам’ятаєте ранні CD-R, CD-Recordables – ви можете додати новий сеанс, щоб ви могли записати, скажімо, 10 хвилин музики, а потім додати ще 10 хвилин музики або ще 100 МБ даних пізніше, але ви не могли поверніться і перепишіть усе.

Тож, як тільки ви замкнули його, хтось, хто хотів би зіпсувати докази, повинен був або знищити весь компакт-диск, щоб він був помітно відсутній у ланцюжку доказів, або іншим чином пошкодити його.

Вони не змогли б взяти цей оригінальний диск і переписати його вміст, щоб він виглядав інакше.

І, звісно, ​​існують різноманітні методи, за допомогою яких ви можете це зробити в хмарі.

Якщо хочете, це інший бік медалі «розділяй і володарюй».

Ви маєте на увазі, що у вас є багато системних адміністраторів, багато системних завдань, багато демонов або службових процесів, які можуть генерувати інформацію журналу, але вони надсилаються кудись, де потрібна справжня воля та співпраця, щоб зробити це журнали зникають або виглядають інакше, ніж вони були на момент їх створення.

---

ДУГ.  І останнє, але не менш важливе: Завжди вимірювайте, ніколи не припускайте.

---

КАЧКА.  Абсолютно

Схоже, що компанія-1 в цьому випадку справді впоралася принаймні з усіма цими справами.

Тому що цей хлопець був ідентифікований і допитаний ФБР... Я думаю, приблизно через два місяці після його нападу.

А розслідування не відбувається відразу – воно потребує ордера на обшук і ймовірних причин.

Отже, схоже, що вони вчинили правильно, і що вони не просто сліпо довіряли йому лише тому, що він постійно казав, що заслуговує довіри.

Його кримінальні злочини, так би мовити, вийшли нанівець.

Тому важливо, щоб ви не вважали нікого поза підозрою.

---

ДУГ.  Гаразд, рухаємося далі.

Виробник гаджетів Belkin перебуває в гарячій воді, по суті кажучи: «Закінчення терміну експлуатації означає кінець оновлень» для одного з його популярних розумних розеток.

Belkin Wemo Smart Plug V2 – переповнення буфера, яке не виправляється

---

КАЧКА.  Здається, це була досить погана відповідь Бєлкіна.

Звичайно, з точки зору піару, це не принесло їм багато друзів, тому що пристрій у цьому випадку є одним із тих так званих розумних розеток.

Ви отримуєте перемикач із підтримкою Wi-Fi; деякі з них також вимірюватимуть потужність тощо.

Отже, ідея полягає в тому, що ви можете мати програму, або веб-інтерфейс, або щось, що вмикатиме та вимикатиме настінну розетку.

Тож це трохи іронія, що помилка полягає в продукті, який, якщо зламати, може призвести до того, що хтось просто вмикає та вимикає перемикач, який може мати прилад, підключений до нього.

Думаю, якби я був Бєлкіним, я б сказав: «Слухай, ми більше не підтримуємо це, але в цьому випадку… так, ми випустимо патч».

І це переповнення буфера, Дуг, просто і просто.

[СМІЄТЬСЯ] О, дорогий...

Коли ви підключаєте пристрій, він повинен мати унікальний ідентифікатор, щоб він відображався в додатку, скажімо, на вашому телефоні… якщо у вас є три з них у вашому домі, ви не хочете, щоб вони всі дзвонили Belkin Wemo plug.

Ви хочете піти і змінити це, і додати те, що Бєлкін називає «дружнім ім’ям».

Отже, ви входите в програму для телефону та вводите нове ім’я, яке хочете.

Здається, у програмі на самому пристрої є буфер із 68 символів для вашого нового імені… але немає перевірки, що ви не вводите ім’я довше за 68 байтів.

Можливо, безглуздо люди, які розробили систему, вирішили, що було б достатньо, якщо б вони просто перевірили, скільки часу було ім’я *, яке ви вводили на телефоні, коли використовували програму для зміни імені*: «Ми уникатимемо надсилання імена, які надто довгі.

І справді, в додатку для телефону, мабуть, ви навіть не можете ввести більше ніж 30 символів, тому вони надзвичайно безпечні.

Велика проблема!

Що робити, якщо зловмисник вирішить не використовувати додаток? [СМІХ]

Що, якщо вони використовують сценарій Python, який вони написали самі…

---

ДУГ.  Хмммм! [ІРОНІЧНО] Навіщо їм це робити?

---

КАЧКА.  …що не завадить перевірити обмеження в 30 або 68 символів?

І це саме те, що ці дослідники зробили.

І вони виявили, що через переповнення буфера стека вони можуть контролювати адресу повернення функції, яка використовувалася.

За допомогою достатньої кількості проб і помилок вони змогли змінити виконання на те, що на жаргоні називається «шеллкодом» за власним вибором.

Зокрема, вони могли запустити системну команду, яка запускала wget команда, яка завантажила сценарій, зробила його виконуваним і запустила його.

---

ДУГ.  Добре, добре...

…у статті є кілька порад.

Якщо у вас є одна з цих розумних розеток, перевірте це.

Гадаю, головне питання полягає в тому, що Белкін виконає свою обіцянку не виправляти це... [ГУЧНИЙ сміх]

…наскільки важко це виправити, Пол?

Або було б гарним піаром просто закрити цю дірку?

---

КАЧКА.  Ну я не знаю.

Може бути багато інших додатків, які, о, дорогий, вони повинні зробити те саме виправлення.

Тож вони можуть просто не захотіти цього робити, боячись, що хтось скаже: «Ну, давайте копнемо глибше».

---

ДУГ.  Слизький схил…

---

КАЧКА.  Я маю на увазі, що це була б погана причина не робити цього.

Я б подумав, враховуючи, що це тепер добре відомо, і враховуючи, що це здається досить легким виправленням...

…просто (A) перекомпілюйте програми для пристрою з увімкненим захистом стека, якщо це можливо, і (B) принаймні в цій конкретній програмі зміни «дружнього імені» не дозволяйте імена, довші за 68 символів!

Це не здається серйозним виправленням.

Хоча, звичайно, це виправлення має бути закодовано; його необхідно переглянути; його необхідно перевірити; необхідно створити нову версію та підписати її цифровим підписом.

Тоді це потрібно пропонувати всім, і багато людей навіть не усвідомлюють, що це доступно.

А якщо вони не оновляться?

Було б чудово, якби ті, хто знає про цю проблему, могли отримати виправлення, але ще невідомо, чи очікуватиме Belkin від них простого оновлення до новішого продукту.

---

ДУГ.  Гаразд, щодо оновлень…

…ми стежили, як ми говоримо, за цією історією.

Ми говорили про це кілька разів: Clearview AI.

Zut alors! Raclage crapuleux! Clearview AI має на 20% більше проблем у Франції

Франція прицілила цю компанію через неодноразовий непокору, і це майже смішно, наскільки погано це сталося.

Отже, ця компанія збирає фотографії з Інтернету та прив’язує їх до відповідних людей, а правоохоронні органи використовують цю пошукову систему, так би мовити, для пошуку людей.

Інші країни також мали проблеми з цим, але Франція сказала: «Це ідентифікаційна інформація. Це особиста інформація».

---

КАЧКА.  Так.

---

ДУГ.  «Clearview, будь ласка, припини це робити».

А Clearview навіть не відповів.

Тож їх оштрафували на 20 мільйонів євро, і вони продовжували…

І Франція каже: «Добре, ви не можете цього робити. Ми сказали тобі зупинитись, тож ми будемо на вас ще суворіше. Ми будемо стягувати з вас 100,000 5,200,000 євро щодня»… і вони заднім числом довели до XNUMX XNUMX XNUMX євро.

А Clearview просто не відповідає.

Це просто не визнання того, що є проблема.

---

КАЧКА.  Здається, саме так все і розгортається, Дуг.

Цікаво, і, на мій погляд, цілком обґрунтовано та дуже важливо, коли французький регулятор перевірив Clearview AI (тоді вони вирішили, що компанія не збирається грати добровільно, і оштрафували їх на 20 мільйонів євро)…

…вони також виявили, що компанія не просто збирала те, що вони вважають біометричними даними, без отримання згоди.

Вони також неймовірно, без потреби та незаконно ускладнювали людям реалізацію свого права (A) знати, що їхні дані були зібрані та використовуються в комерційних цілях, і (B) видаляти їх, якщо вони того бажають.

Це права, які багато країн закріпили у своїх нормативних актах.

Звичайно, я думаю, це все ще в законодавстві Великобританії, хоча ми зараз за межами Європейського Союзу, і це частина добре відомого регламенту GDPR в Європейському Союзі.

Якщо я не хочу, щоб ви зберігали мої дані, ви повинні їх видалити.

І, очевидно, Clearview робив щось на зразок того, що казав: «О, добре, якщо ми маємо це більше року, видалити його надто важко, тому це лише дані, які ми зібрали протягом останнього року».

---

ДУГ.  Ааааааа. [СМІЄТЬСЯ]

---

КАЧКА.  Так що, якщо ти не помічаєш, чи тільки через два роки усвідомлюєш?

Запізно!

А потім вони сказали: «О, ні, вам дозволено запитувати лише двічі на рік».

Я думаю, коли французи проводили розслідування, вони також виявили, що люди у Франції скаржилися на те, що їм доводилося питати знову, і знову, і знову, перш ніж їм вдалося змусити Клірв’ю щось зробити.

Тож хто знає, чим це закінчиться, Дуг?

---

ДУГ.  Це гарний час почути від кількох читачів.

Зазвичай ми робимо коментар тижня від одного читача, але в кінці цієї статті ви запитали:

Якби ви були {Королевою, Королем, Президентом, Вищим Чарівником, Славетним Лідером, Головним Суддею, Головним Арбітром, Верховним Комісаром з питань конфіденційності} і могли б вирішити цю проблему {махом вашої палички, розчерком вашого пера, похитуванням вашого скіпетра , розумовий трюк джедая}…

…як би ви вирішили це протистояння?

І наведу кілька цитат наших коментаторів:

• «Геть голови».
• «Корпоративна смертна кара».
• «Класифікувати їх як злочинну організацію».
• «Вищих осіб слід ув’язнити, доки компанія не виконає».
• «Оголосити клієнтів співучасниками змови».
• «Зламайте базу даних і видаліть усе».
• «Створіть нові закони».

А потім Джеймс спішується з коня: «Я пукаю у вашому загальному напрямку. Твоя мама була амстером, а батько пахнув бузиною». [МОНТІ ПАЙТОН І СВЯТИЙ ГРААЛЬ АЛЮЗІЯ]

Що, на мою думку, може бути коментарем до неправильної статті.

Я думаю, що в «Whodunnit?» була цитата Монті Пайтона. стаття.

Але, Джеймсе, дякую тобі за те, що заскочив наприкінці...

---

КАЧКА.  [СМІЄТЬСЯ] Насправді не варто сміятися.

Хіба один із наших коментаторів не сказав: «Гей, подайте заявку на червоне повідомлення Інтерполу? [ВИДАТИ МІЖНАРОДНИЙ ОРДЕР НА АРЕШТ]

---

ДУГ.  Так!

Ну, чудово… як ми зазвичай робимо, ми стежитимемо за цим, тому що я можу вас запевнити, що це ще не закінчилося.

Якщо у вас є цікава історія, коментар або запитання, яке ви хотіли б надіслати, ми будемо раді прочитати їх у подкасті.

Ви можете надіслати нам електронний лист на tips@sophos.com, ви можете прокоментувати будь-яку з наших статей або зв’язатися з нами в соціальних мережах: @NakedSecurity.

Це наше шоу на сьогодні; дуже дякую, що вислухали.

Для Пола Дакліна я Дуг Аамот, нагадую вам до наступного разу…

---

ОБИМ.  Будьте в безпеці!

[МУЗИЧНИЙ МОДЕМ]