S3 Ep93: Безпека офісу, витрати на порушення та неквапливі виправлення [Аудіо + текст]

Натисніть і перетягніть звукові хвилі нижче, щоб перейти до будь-якої точки. Ви також можете слухати безпосередньо на Soundcloud.

ДУГ.  Штрафи за порушення даних.

Макроси.

І неквапливі виправлення помилок… усе це та багато іншого в Naked Security Podcast.

[МУЗИЧНИЙ МОДЕМ]

Ласкаво просимо в подкаст, усі.

Я Дуг Аамот, а він Пол Даклін.

Павло, як справи?

---

КАЧКА.  Я дуже добре, Дугласе.

Не те, щоб ти колись був незграбним… але це був надзвичайно оптимістичний вступ, Дуг!

Я припускаю, що у вас дуже відмінно Цікавий факт/технічна порада підходжу.

---

ДУГ.  Це правда… дякую за перехід! [СМІХ]

Давайте поговоримо про Цей тиждень з історії технологій.

Цього тижня, у 1963 році, Syncom 2, що є скороченням від Synchronous Communications Satellite, було запущено на геосинхронну орбіту, сприяючи першому супутниковому телефонному дзвінку та одній із перших супутникових телепередач.

Syncom 2 також використовувався NASA для тестування голосу, телетайпу та факсу.

Syncom 1 стартував кількома місяцями раніше і також вийшов на орбіту, але збій електроніки зробив його непрацездатним.

Чи можете ви уявити, як відправити туди Syncom 1 і сказати: «О, хтось забув правильно встановити оперативну пам’ять?»

---

КАЧКА.  Я вважаю, що корисне навантаження було всього 25 кг!

Я бачив фотографію Syncom 2, і вона виглядає як гігантський космічний об’єкт із науково-фантастичного фільму 1950-х…

…але, очевидно, його діаметр був лише 71 см.

Це дуже, дуже крихітний… що таке 71 см? Трохи більше 2 футів?

І він міг підтримувати один телефонний дзвінок – дуже низька потужність – тому це був лише експеримент.

---

ДУГ.  Ми говорили про макрос Office функція безпеки що люди просили більшу частину 20 років.

Microsoft увімкнула його, а потім люди прокоментували, що їм це не подобається.

Тож Microsoft вимкнула його, але сказала: «Він колись повернеться».

І тепер він повернувся – це було швидко!

---

КАЧКА.  Це було.

Коли ми востаннє говорили про це в подкасті, Даг, я був дуже оптимістичний: «Так, він повернеться, але це займе деякий час».

Я думав, що, можливо, це буде свого роду пасхальне яйце 2023 року – буквальне пасхальне яйце, знаєте, десь навесні Північної півкулі.

Я уявляв собі: «Це не минуть тижні; це, мабуть, пройдуть місяці».

І скільки це було? Пару тижнів!

---

ДУГ.  
Так.

---

КАЧКА.  Тож 20 років, щоб увімкнути його, 20 тижнів, щоб вимкнути, а потім лише кілька тижнів, щоб увімкнути знову.

Отже, добре для Microsoft!

Але якби тільки, Дуг, вони зробили це в 1998 році... це більше, ніж більшу частину 20 років, це краще, ніж 20 років.

Якби вони зробили це, скажімо, за день до появи вірусу Melissa, це було б дуже зручно, щоб макроси, які надходять через Інтернет, не запускалися б, якщо ви цього не дуже хотіли.

Хоча я думаю, що в ті часи це не було б повністю вимкнено.

Напевно була б кнопка [Allow anyway].

І головне, що цього більше немає [Allow anyway] кнопки.

Отже, це не те, що він попереджає вас: «Це погана ідея. Хочеш підняти себе на нашій петарді [Yes/Yes]? "

Це просто: «Вибачте, макрос надійшов через Інтернет. Ви не можете цього робити».

---

ДУГ.  Чи змінила корпорація Майкрософт щось суттєво від сьогодні до 20 днів тому, коли їм довелося вимкнути це?

---

КАЧКА.  Наскільки я розумію, Дуг, головне, що вони зробили – просто прочитавши це в тому, що вони написали – це те, що вони виконали свою обіцянку, що вони більш чітко задокументують: як це працювало, чому це працювало, і найголовніше, що ви можете зробити з це якщо ви справді хочете мати нелокальні сервери або сервери, які не належать до локальної мережі, які ви розглядаєте як локальні.

Тому що люди кажуть: «О, ну, я маленький бізнесмен, я використовую SharePoint, OneDrive, якусь хмарну службу, тож у мене є якесь доменне ім’я, яке було видано мені… але для мене це локальний сервер, і це мій надійний корпоративний репозиторій».

І тому Microsoft тепер має досить пристойну документацію, яка говорить: «Ось як ви можете повідомити своїм користувачам, що певний зовнішній сервер слід розглядати як надійний».

Хоча це *це* по суті виняток, а виключення в кібербезпеці можуть бути небезпечними, наприклад люди зі своїм антивірусом кажуть: «Гей, це набагато швидше, якщо я виключаю C: диск. [СМІХ] Хто знав?»

Тож вам потрібно бути обережним, але це означає, що у вас є остаточний список із зазначенням: «Це сервери, яким я справді довіряю, і я сприймаю їх як місце, куди люди можуть звернутися, щоб отримати офіційний робочий вміст».

І це дуже відрізняється від того, щоб просто покладатися на те, що люди не натискають [Oh, go on then, she'll be right] щоразу, коли вони отримують макрос з будь-якої точки Інтернету.

Те, що Microsoft зробила, це те, що вони вийшли і підготували документ, який досить легко читати і який дає кілька способів сказати вашій компанії: «Цьому ми довіряємо, а цьому — ні».

Отже, це трохи більш формальний спосіб зробити це, ніж просто покладатися на те, що люди не натиснуть потрібну кнопку в невідповідний момент.

---

ДУГ.  Добре, у статті, яку ви можете знайти на Naked Security, є посилання на ці два документи.

Це називається: Безпека макросів Office: функція «увімкнути-вимкнути-знову» тепер ЗНОВУ УВІМКНЕНА.

Ура!

А потім переходимо до чогось не дуже веселого: у 2021 році у T-Mobile стався великий витік даних, і тепер їм наказано заробити 500 мільйонів доларів, що, після оплати адвокатів, становить близько 25 доларів на жертву.

---

КАЧКА.  Так, і здається, що півмільярда доларів (вау, це велика сума!) умовно поділено на дві частини.

Є 350,000,000 XNUMX XNUMX доларів США, які є частиною колективного позову, який ви маєте в США… у Великобританії їх немає.

Наскільки я розумію, колективний позов — це те, що будь-хто може приєднатися і сказати: «О, так, я клієнт».

Ідея полягає в тому… якщо ви подасте позов і отримаєте лише 40, 50 або 100 доларів, тоді буде надто ризиковано подавати позов самостійно, тому ви об’єднаєтеся, «Влада для людей».

І юристи переслідують велику компанію від імені потенційно мільйонів людей.

Отже, це 350,000,000 XNUMX XNUMX доларів за це.

На жаль, є так багато позивачів, що лише 25 доларів на людину, після того, як ви витягнете (ковток!) 30% з цього... 105 мільйонів ваших доларів США підуть до юристів.

Решта йде реальним людям, які були клієнтами T-Mobile.

Але це показує, що витік даних не має нульових наслідків.

І незалежно від того, чи подобаються вам групові позови, чи ні, існує відчуття, що люди дійсно отримують травми, коли їхні дані зламують, навіть якщо немає очевидного зв’язку між зломом і крадіжкою їх особистих даних.

А ще 150,000,000 XNUMX XNUMX доларів.

Я не зовсім розумію, як це працює в правовій системі США, але я розумію, що це, по суті, зобов’язання T-Mobile USA витратити ці гроші на кібербезпеку, тоді як інакше вони б цього не зробили.

І якби вони заздалегідь розглядали кібербезпеку як цінність, а не як вартість!

Якби вони інвестували 150,000,000 350,000,000 XNUMX доларів наперед, вони, ймовірно, могли б заощадити XNUMX XNUMX XNUMX доларів… тому що вони все одно зараз витрачають обидві ці суми грошей.

---

ДУГ.  Тож це, мабуть, краща частина результату: вони змушені витрачати гроші на підвищення рівня безпеки.

25 доларів на людину – це чудово, як би там не було, але цільові гроші, виділені на покращення безпеки, мабуть, хороша річ, щоб вийти з поганої ситуації.

---

КАЧКА.  Я б так сказав, тому що це завжди проблема, коли ви отримуєте великий штраф такого роду, чи не так, за те, що ви не виконуєте належним чином кібербезпеку?

Це гроші, які зараз не можуть бути витрачені на кібербезпеку, тому що вони пішли в інше місце.

Гадаю, зворотна сторона цього полягає в тому, що ви не можете просто сказати: «Ну, зачекайте, доки у вас виникне втеча даних, і тоді буде великий штраф, але ви все одно можете витратити їх на кібербезпеку», тому що це майже запрошуючи людей відкладати, поки вони не будуть змушені це зробити.

Отже, я розумію, що є частина пряника і частина батога.

Разом півмільярда доларів!

І для всіх людей, які люблять казати: «О, ну, для багатомільярдної компанії це дурна зміна»…

У самому справі?

Звучить як багато грошей для мене!

Я припускаю, що якщо ви акціонер, ви, ймовірно, маєте інше бачення того, наскільки мінливими є 500 мільйонів доларів.

Це нагадування про те, що порушення даних — це не те, від чого ви страждаєте, про що ви повідомляєте, і на вас кричать, і вам надсилають неприємні звіти, але це вам нічого не коштує.

І, як я вже сказав, і я знаю, що, працюючи в компанії з кібербезпеки, я б сказав це, але я говорю це, тому що я думаю, що це правда, а не просто тому, що я маю щось вам продати…

Вам справді потрібно думати про кібербезпеку як про *цінність*, тому що клієнти все частіше очікують знайти це як частину того, що вони вважають за пакет.

Моє ставлення до цього полягає в тому, що я, ймовірно, не приєднався б до колективного позову, але я б дуже наполегливо розглянув можливість перевести свій бізнес в інше місце, як інший спосіб довести свою думку.

---

ДУГ.  Ну, ми будемо стежити за цим.

Тобто: T-Mobile відшкодує 500 мільйонів доларів через витік даних у 2021 році, на nakedsecurity.sophos.com.

І ми переходимо безпосередньо до виправлення Apple a помилка браузера нульового дня про який ми говорили під час конкурсу Pwn2Own.

Отже, патч трохи відстає, але ми не знаємо, наскільки поганим він був насправді з боку Apple.

---

КАЧКА.  Насправді було виправлено дві помилки, пов’язані з браузером, в останній серії оновлень Apple, які традиційно для Apple схожі на Microsoft Patch Tuesday, оскільки охоплюють усі можливі пристрої Apple: tvOS, watchOS, iOS, iPadOS, macOS тощо. .

Але, на відміну від оновленого вівторка, вони приходять, коли їм захочеться… і я думаю, що це було насправді у четвер, якщо я пам’ятаю, тож навіть не у вівторок, воно щойно прибуло.

Тепер Apple виправляє Safari в оновленні операційної системи для всіх підтримуваних операційних систем, окрім попередньої та попередніх версій macOS, де насправді потрібно отримати *два* оновлення: одне для ОС і одне для Safari.

Отже, Safari переходить до версії 15.6.

І що цікаво, це не лише той нульовий день Pwn2Own, коли Mozilla знаменито виправила еквівалентну помилку у Firefox протягом двох днів після того, як дізналася про це в Pwn2Own…

Якщо ви пам’ятаєте, той самий хлопець, Манфред Пол, німецький хакер, придбав Firefox за 100,000 50,000 доларів США, а Safari – за XNUMX XNUMX доларів.

Mozilla виправила свою помилку або помилки протягом двох днів, якщо ви пам’ятаєте.

Але Apple знадобилося кілька місяців, щоб отримати свій!

Звичайно, це було розкрито відповідально, тому ми не знаємо, наскільки ймовірно, що хтось інший знайде це.

Але інша помилка, яку було виправлено в Safari, була, очевидно, тією ж вадою, що з’явилася, як той нульовий день у Chrome, про який ми говорили в подкасті нещодавно, я думаю, це було пару тижнів тому.

Ця помилка, яку виявила охоронна компанія, яка досліджувала підозрілу поведінку, про яку їм повідомив клієнт.

Як іноді трапляється з керованим реагуванням на загрози… ви дивитеся навколо, бачите всі симптоми та побічні ефекти того, що робили шахраї, і думаєте: «З чого це почалося?»

І іноді стає очевидним: «О, вони ввійшли, тому що у вас був дурний пароль, або вони ввійшли, тому що ви забули виправити цей, той чи інший сервер».

Іноді вам не вдається це зрозуміти, але вам може пощастити і ви натрапите на щось схоже на дивну веб-сторінку: «Боже, я знайшов нульовий день у веб-переглядачі!»

І тоді можна припустити, що це заволоділа або дуже спеціальна група кібершахраїв, або одна з тих так званих компаній із законним шпигунським програмним забезпеченням – люди, які займаються державним перехопленням, знайшли це, і вони використовують це цілеспрямовано .

Це був нульовий день у Chrome, і Chrome це виправив.

Виявилося, що та сама помилка, здається, була в WebKit – коді Apple – і вони знадобилися ще два тижні, щоб її виправити, і не сказали, що працюють над цим.

Отже, придумайте.

Але це робить цей патч для Apple не менш важливим, ніж будь-який інший, про який ми говорили.

І я знаю, що ми завжди говоримо: «Не зволікайте/Зробіть це сьогодні».

Але в цьому випадку є одна помилка, яку, як ми знаємо, хтось уже знайшов, оскільки вони продемонстрували, що вона працює на 100% на Pwn2Own два місяці тому; і є ще одна помилка, яка пов’язана з кодом, який Google виправив у Chrome, оскільки хтось виявив, що він використовується для цілей стеження в дикій природі.

---

ДУГ.  Цікаво, як ви описали процес, за допомогою якого Pwn2Own показує фактичне змагання, але вони вживають заходів, щоб фактично не показати, як працюють атаки, поки триває процес відповідального розкриття інформації.

---

КАЧКА.  Так, це дуже забавно, якщо ви подивіться відео Манфреда Пауля, який запускає Firefox.

Очевидно, він був дуже впевнений, що все, що він зібрав, спрацює.

Отже, камера спрямована на його обличчя та обличчя судді, а потім ви бачите, як коментатор ніби схиляє голову та каже: «Нас, люди».

І є маленький таймер – у нього 30 хвилин.

«Всі готові?»

Так, вони готові… і все, що ви бачите, це два екрани, один для сервера та клієнт.

А потім ви бачите, як суддя каже: «Добре, вперед!»

Таймер починає зворотний відлік, і Манфред Пол натискає кнопку – очевидно, у нього трохи [Do it now] кнопка у вікні браузера…

…а потім ви бачите, як усі кивають, коли таймер переходить до 7 секунд!

Тож ви знаєте, що це спрацювало – ви можете просто побачити на їхніх обличчях.

Чесно кажучи, у цьому випадку Apple не поспішає, ви повинні прийти на Pwn2Own підготовленими.

Ви повинні надати повну інформацію, тому ми не знаємо, скільки часу знадобилося Манфреду Полю, щоб здійснити атаку.

Він міг працювати над цим місяцями, і в такому випадку сказав би: «Apple мала виправити це за два дні»…

…ну, можливо, вони могли, але, можливо, вони відчували, що їм це не потрібно, з огляду на складність.

І, можливо, вони хотіли переконатися під час тестування, що виправлення працюватиме добре.

У будь-якому випадку, хоча Pwn2Own має трансляцію відео в прямому ефірі, це не повинно давати достатньо підказок, щоб хтось зрозумів щось про фактичну вразливість.

---

ДУГ.  У нас є деякі інструкції щодо Як оновити ваші iPhone, iPad і Mac на сайті.

І завершуємо шоу а два пакети помилок Firefox.

---

КАЧКА.  Так, і хороша новина полягає в тому, що для останньої версії Firefox є загалом вісім номерів CVE, але два з них є номерами CVE, які охоплюють усі помилки, про які ви можете сказати: «Їм, ймовірно, можна скористатися, і ми» у будь-якому випадку виправити їх масово, не вдаючись у деталі з’ясування того, як ви можете їх використовувати».

Отже, це речі, які виявляються автоматично, наприклад, за допомогою фаззингу або автоматизованих інструментів, які шукають уразливості, які вам доведеться чекати роками, щоб випадково знайти.

Інші шість помилок… жодна з них не має навіть високого рейтингу.

Усі вони середнього або нижчого рівня, що є гарною новиною.

Два з них, на мою думку, варто розглянути окремо, і ми написали їх на Naked Security, оскільки це захоплююча частина розуміння того, які ризики безпеки, пов’язані з помилками, можуть існувати в браузерах.

Це не просто: «О, кухарі можуть запускати довільний код і імплантувати зловмисне програмне забезпечення».

Є дві помилки, які потенційно дозволяють зловмисникам змусити вас натиснути щось, що виглядає безпечнішим, ніж воно є.

І один із них, мабуть, старий добрий clickjacking, де ви клацаєте об’єкт X, але насправді ви активуєте об’єкт Y.

Розташування миші на екрані та те місце, яке *на думку* браузера, може бути обманом розбіжне.

Отже, ви рухаєте мишею та клацаєте… але насправді клацання реєструється в іншому місці на екрані.

Ви бачите, як це може бути дуже небезпечно!

Це не гарантує віддаленого виконання коду, але ви можете собі уявити: рекламному шахраю це сподобається, чи не так?

Вони спонукають вас натиснути «Ні, я точно хочу відмовитися», і насправді ви накопичуватимете кліки зі словами: «Так, я дійсно хочу переглянути це оголошення».

Це також означає, що для таких речей, як фішингові атаки та підроблені завантаження, ви можете зробити завантаження легальним, тоді як насправді людина натискає щось, про що вона не розуміє.

А інша помилка стосується старих добрих файлів посилань LNK у Windows, тож це помилка Firefox лише для Windows – вона не впливає на інші продукти.

Ідея полягає в тому, що якщо ви відкриєте локальне посилання, яке, здається, веде до файлу посилання Windows…

… пам’ятайте, що файл посилання є ярликом Windows, тому він сам по собі є проблемою безпеки.

Тому що файл посилання — це маленький файл, який каже, коли людина натискає його: «Насправді, не відкривайте посилання. Відкрийте файл або мережеве розташування, указане за посиланням. О, до речі, якою піктограмою ви б хотіли, щоб відображалося посилання?»

Тож у вас може бути файл посилання із піктограмою, яка, скажімо, виглядає як PDF.

Але коли ви натискаєте, він фактично запускає EXE.

І в цьому випадку ви можете піти ще далі.

Ви можете мати файл посилання, який, як ви «знаєте», є локальним, тому він відкриє локальний файл.

Але коли ви натискаєте посилання, воно фактично запускає підключення до мережі.

Звичайно, щоразу, коли є мережеве з’єднання з веб-переглядача – навіть якщо нічого справді небезпечного не відбувається з тим, що повертається, як-от віддалене виконання коду – кожне вихідне з’єднання видає інформацію, можливо, навіть включаючи файли cookie, про поточний сеанс; про ваш браузер; про вас; про ваше розташування в мережі.

Ви можете бачити, що з обома цими помилками це чудове нагадування про те, що дуже важливо, щоб ваш браузер показував вам чисту правду про те, що відбувається, коли ви клацаєте будь-яку точку екрана.

Дуже важливо, щоб він давав вам точне й корисне відтворення того, що станеться далі, наприклад: «Ви підете за межі сайту. Ви перейдете за цим посиланням, на яке б не натиснули, якби ми зробили це очевидним».

Тому важливо, щоб браузер давав вам принаймні спосіб зрозуміти, куди ви йдете далі.

У будь-якому випадку, вони були виправлені, тому, якщо ви отримаєте оновлення, ви не будете під загрозою!

---

ДУГ.  Відмінно.

Добре, це називається: Помірне щомісячне оновлення безпеки від Firefox, але все одно оновлюйте.

Я знайшов це більш ніж м'яко цікавим, особливо Підробка позиції миші за допомогою CSS-перетворень.

---

КАЧКА.  Так, тут багато можливостей для пустощів!

---

ДУГ.  Гаразд, у цьому ключі, у нас є читач, який взявся за це.

Голий слухач Security Podcast Ніхто не пише наступне… Мені подобається цей:

Привіт.

Мені дуже подобається шоу, і я чув майже кожен епізод з самого початку. Я працюю в охороні, але зараз, у своєму особистому житті, я доглядаю за сім’єю з домашньою сигналізацією.

---

КАЧКА.  Коли я почав читати цей електронний лист, я подумав: «О, я знаю, що відбувається! Кожного разу, коли кіт гуляє, спрацьовує сигналізація. І тепер він стикається з такою проблемою: «Чи вимикаю я охорону, навіть якщо мені сказали цього не робити?» Але це набагато гірше!»

---

ДУГ.  Це навіть *краще* ніж це. [СМІХ]

Він пише:

Числа, які відповідають їхньому коду, стираються, тоді як усі неправильні числа явно не змінюються.

Тому легко здогадатися, які цифри в коді.

Я думав сказати їм, що настав час змінити їхній код, але потім я помітив, що код тривоги також написаний на аркуші паперу, приклеєному поряд із будильником.

Тож про діру в безпеці, яку я знайшов, явно не варто їм згадувати.

[СМІХ]

Не треба сміятися!

Не пишіть свій код безпеки поруч із панеллю охоронної сигналізації!

Ніхто, дякую, що написали це.

Я б радив порадити їм змінити код, а папірець з кодом викинути.

---

КАЧКА.  Так.

І, насправді, якщо вони це зроблять, ви можете стверджувати, що тоді клавіатура буде як гарна приманка.

---

ДУГ.  Так, саме так!

---

КАЧКА.  Тому що кухарі продовжуватимуть пробувати всі перестановки неправильного коду.

І якщо буде локаут на десять проб чи щось таке…

---

ДУГ.  Що ж, якщо у вас є цікава історія, коментар або запитання, яке ви хотіли б надіслати, ми будемо раді прочитати це в подкасті.

Ви можете надіслати нам електронний лист на tips@sophos.com, ви можете прокоментувати будь-яку з наших статей і ви можете зв’язатися з нами в соціальних мережах: @NakedSecurity.

Це наше шоу на сьогодні.

Дуже дякую за те, що ви послухали.

Для Пола Дакліна я Даг Аамот, нагадую вам до наступного разу…

---

ОБИМ.  Будьте в безпеці!

[МУЗИЧНИЙ МОДЕМ]