单击并拖动下面的声波以跳到任何一点。你也可以 直接听 在 Soundcloud 上。
与保罗·达克林和切斯特·维斯涅夫斯基一起。
介绍和结尾音乐 伊迪丝·马奇.
你可以听我们的 的SoundCloud, 苹果播客, Google播客, Spotify, 缝 以及任何可以找到好的播客的地方。 或者只是放下 我们的 RSS 提要的 URL 进入你最喜欢的播客。
阅读成绩单
[音乐调制解调器]
鸭。 欢迎大家收听播客。
我不是道格拉斯……我是保罗·达克林。
Doug 正在度假,所以我的好朋友兼同事 Chester Wisniewski 也加入了我们的温哥华办事处。
你好,切特!
切特。 嗨,鸭子。
你好吗?
鸭。 我很好,谢谢。
我们今天在牛津郡下了第一场雨……至少是几个月。
至少我们在地下挖了一些水,因为这里非常非常干燥——非常干燥。
你呢?
切特。 好吧,尽管我没有参加过 Defcon,但我正在从 DEF CON 中恢复过来,我什至不知道这是一件事。
鸭。 [笑] 哦,是的!
切特。 我整个周末都在盯着 Twitter、Twitch 和 Discord 以及所有这些你可以远程伪参与所有庆祝活动的平台。
而且,我不得不说,当你真正在拉斯维加斯时,它会更有趣。
但是考虑到我认识的感染新冠病毒的人已经比我有更多的手指和拇指,我认为我做出了正确的选择,我很高兴整个周末都因过度上网而筋疲力尽。
鸭。 你认为他们真的感染了冠状病毒,还是他们只是回来感觉,我怎么能说……“不舒服”,因为黑帽大会之后是 DEF CON。
切特。 你知道,感冒可能会很糟糕……
鸭。 感冒?! [笑]哦,亲爱的!
切特。 …我非常有信心在这种情况下是 COVID,因为不仅人们在测试,而且对于我熟悉的大多数人来说,COVID 甚至比流感更痛苦。
所以这两者结合起来可能更糟糕,我不得不想。 [笑声]
鸭。 没错!
但是,让我们不要停留在 DEF CON 冠状病毒/CON FLU 问题上……
…让我们将注意力真正转向在 DEF CON 上进行的*谈话*。
这是关于一个 缩放零日 由 Patrick Wardle 撰写,并在 DEF CON 上展示。
而是一系列不幸的错误,包括一个没有得到正确修补的错误,切斯特?
切特。 好吧,Patrick 不是世界上唯一的 macOS 安全研究人员,但他在发现问题方面非常出色。
我最后一次看到 Patrick Wardle 出席是在 Virus Bulletin 会议上,有好几次,每次他都带着 Apple 去学校讨论一些关于签名验证、证书验证等有问题的决定。
我开始感觉到苹果已经在很大程度上塑造了他们围绕其中一些事情的安全态势。
所以现在他正在寻找其他可能犯类似加密错误的供应商,这些错误可能允许恶意软件进入平台。
鸭。 我想在过去,每个人都想,“好吧,只要你有一个 TLS 连接,”或者,“只要你有由*某人*数字签名的东西。”
因此,代码通常不会费心去检查。
但在这种情况下,他们决定检查下载的更新包,以确保它们来自 Zoom。
但他们做得不是很好,不是吗?
而不是调用官方的系统 API,它消失了,而是进行检查,然后基本上返回一个真假……
......他们有点“自己编织”,不是吗?
切特。 是的。
我的意思是,自己编织与加密货币相关的东西总是以痛苦告终。
我记得,在上一个播客中,您谈论的是新的量子安全加密算法,该算法在一小时内在笔记本电脑上被破解。
鸭。 赛克!
切特。 每个人都如此专注于它的量子方面,以至于他们有点 错过了常规的一面,甚至在世界上一些最聪明的数学家和密码学家中,对吧?
因此,很容易犯可能具有毁灭性的错误。
编织你自己的东西是你和我一直在谈论的事情,我想说,近 20 年来,代表 Sophos 以不同的通信格式。
而且我认为我们从未改变过我们的立场,即这是一个糟糕的主意!
鸭。 这里的问题不在于他们决定使用自己的数字签名算法,或者发明自己的椭圆曲线。
只是这样,而不是说,“这是一个文件。 亲爱的操作系统,使用您基于 API 的标准化工具来验证它并返回 True/False,”他们选择实质上排除......
……他们跑了 pkgutil 后台的命令行实用程序,如果您想获得人类可读的、直观的显示谁签署了什么,您可以从命令行执行此操作。
然后他们编写了一个程序,该程序将传递基于文本的输出来决定他们是否想要得到“真”或“假”的答案。
他们拿出了证书链的列表,他们正在寻找“Zoom”,然后是“开发者证书颁发机构”,然后是“Apple Root CA”。
所以,他们会在输出中的任何地方寻找那些字符串*,切斯特!
所以 [LAUGHS] 事实证明,如果你创建了一个名称类似于 Zoom Video Communications Inc Developer ID Certification Authority Apple Root CA.pkg,那么当 pkgutil 将文件名写入其输出,所有三个魔术字符串都会出现!
Zoom 相当无能的解析器会决定,只有在这三个组织以正确的顺序签署它的情况下,才会发生这种情况。
而事实上,这只是您提供的名称。
哦亲爱的!
切特。 这里的问题是导致问题的原因是他们正在做的这种基本的签名检查。
但真正的问题当然是,这意味着任何可以给出该名称的软件包都将*作为 root* 安装在系统上,即使运行更新过程的用户没有特权。
鸭。 这就是整个问题。
因为似乎发生了什么,在 DEF CON 之前,Zoom *确实*修复了这个问题。
他们正确使用 API,并且可靠地验证了他们将要运行的文件的完整性和真实性。
但是在将其移动到 Zoom 编排安装的临时目录时,他们将其保留为全球可写!
因此,目录受到保护,目录中的所有内容都受到保护……*除了最重要的文件*。
所以,猜猜你能做什么?
如果你的时间恰到好处(所谓的 比赛条件),原始用户可以*在*通过其数字身份检查后*更改文件,但*在*之前*它被认真使用。
安装程序正在使用它认为已经过验证的文件,并且确实已经过验证......
…但在验证和使用之间的间隙中被无效。
切特。 是的,正如您在文章中指出的那样,鸭子,这种类型的漏洞,而不仅仅是一个简单的比赛条件,通常被称为 TOCTOU,在我看来,这听起来像是某种加勒比鸟。
但它指的是该缺陷的一个更复杂、更科学的名称,称为 检查时间到使用时间.
所以,TOCTOU……“TOCTOU”!
鸭。 和你一样,我一直认为它是某种非常漂亮的波利尼西亚鹦鹉。
但实际上,就像你说的那样,这是一种丑陋的错误形式,你检查你的事实,但你检查得太早了,当你开始依赖这些事实时,它们已经改变了。
所以 Zoom 修复了它——Patrick Wardle 确实说他向他们表示祝贺……他们在他在 DEF CON 完成论文后的一天内修复了它。
他们在开始验证文件之前正确地锁定了文件的权限。
因此,验证一旦完成,将一直有效,直到安装结束。
问题解决了。
然而,一开始就不应该真的在那里,不是吗?
切特。 如果您是 Mac 用户,您可以检查您的版本号以确保您使用的是固定版本。
修复的版本是 5.11.5 或更高版本——我不知道后续是否有发布。
[笔记。 在录制和发布这一集之间,对 5.11.6 进行了进一步更新。]
鸭。 现在,这并不意味着如果你没有这个补丁,外人就可以闯入你的电脑,但有一个令人讨厌的问题......
......闯入您的网络但只有来宾权限的骗子可以突然提升自己并获得root或系统管理员的超级权力。
这正是勒索软件骗子喜欢做的事情。
他们以低功率进入,然后他们一路向上,直到他们与普通系统管理员处于平等地位。
然后,不幸的是,他们之后可以做的坏事几乎没有限制。
切斯特,让我们继续 下一个错误.
这是一个错误,被称为……嗯,它是 A 和 E 一起写的,这是一个古老的英文字母——它不再用在英文中了,它的字母叫做 灰,但在这种情况下,它应该是 APIC/EPIC。
APIC,因为它影响 APIC, 高级可编程中断控制器,他们认为这是一次 EPIC 泄漏。
切特。 我觉得它很有趣,但让我们从一个事实开始,我认为它并不像它的名字所暗示的那样史诗般。
APIC 肯定参与其中,但我对 EPIC 不太确定!
事情的真相,当你解开这一切时,它是否会影响被称为 SGX 的英特尔 CPU 的一部分,这是……我现在要忘记了…… 软件防护扩展, 我想说?
鸭。 没错!
切特。 好吧,这不是影响新交所的第一个错误。
我没有计算所有这些,但我发现至少有七个以前的实例,所以它在做它设计要做的事情方面并没有很好的记录。
我能在任何地方找到的唯一实际用途是您需要此功能来存储密钥以在 Windows 上播放 UltraHD 蓝光光盘。
而对于不支持 SGX 的芯片,你显然是不能看电影的。
鸭。 具有讽刺意味的是,英特尔现在已经在他们的第 12 代 CPU 中......他们已经停止使用 SGX 来生产所谓的“客户端”芯片。
所以如果你有一台全新的笔记本电脑,你现在得到的芯片——这不适用,因为里面没有 SGX。
似乎他们认为它可能对服务器有用。
切特。 好吧,我认为可以公平地说,英特尔已经将 SGX 的命运从第 12 代 CPU 中撤出。
如果不是因为这就像有人发现的第八种不同的聪明方法来提取秘密……从设计为只保存秘密的东西中提取秘密。
鸭。 是的,这是一个提醒,性能会妨碍您。
因为我的理解是,这种工作方式是从可编程中断控制器 APIC 中获取数据的老式方法基本上是从专门分配给该设备的内存块中读取数据。
用于提取的中断数据的内存块是 4KB……一个内存页大小。
但是没有那么多数据要提取,而且之前的数据——例如,系统缓存中的数据——被写回了。
换句话说,中断处理器在写入它打算传递的字节之前并没有清空它要使用的内存。
因此,有时它会意外地从 CPU 最近访问的内存的任意其他部分传递数据值。
通过控制发生的事情和顺序,研究人员发现他们可以说服本应密封在这些 SGX“飞地”中的 RAM 内容在中断处理过程中作为一种未初始化的内存出现。
因此,请始终提醒您,当您尝试通过使用安全快捷方式来加快速度时,最终可能会遇到各种麻烦。
切特。 如果你要相信这个东西可以保守秘密,它需要大量的审查。
感觉这种 SGX 技术在推出时有点半生不熟。
鸭。 复杂性总是伴随着成本/风险,不是吗?
如果你想,Chester,回到 Apple II、VIC-6502、Commodore 20 中著名的 64 处理器……如果你来自英国,那就是 BBC Micro。
我相信该芯片有大约 4000 个晶体管。
所以它确实是一个精简指令集芯片,或 RISC。
而据我所知,最新的 Apple M2 处理器仅在一个 CPU 中就有 20 亿个(相当于 20,000,000,000 个)晶体管。
因此,您可以看到,当您开始添加诸如中断控制器(可以进入芯片)、安全飞地(嗯,可以进入芯片)、超线程(可以进入芯片)、[SPEEDING UP MANICALLY] 矢量指令(可以进入芯片)、推测执行、指令重新排序、多核......
…所有这些东西,有时事情并不像你想象的那样工作并不奇怪,而且任何人都需要很长时间才能注意到。
切特。 好吧,对找到它的研究人员来说做得很好,因为它肯定是有趣的研究。
如果您想进一步了解它,您的 Naked Security 文章 解释得非常好 对于通常不熟悉 APIC 控制器之类的东西的人。
所以我确实建议人们检查一下,因为它是对非常复杂的事情做出简单决定的意外后果的完美示例。
鸭。 我认为这是一个很好的表达方式。 切斯特。
这也让我们可以自由地转向另一个有争议的问题,那就是美国政府 提供奖励 它说有关 Conti 勒索软件团队的信息“高达 10 万美元”。
现在,他们似乎不知道任何人的真实姓名。
这些人只被称为 Dandis、Professor、Reshaev、Target 和 Tramp。
他们的照片只是剪影……
切特。 是的,当我第一次看到这篇文章时,我以为对罪犯的描述就像吉利根岛上的人一样。
我们有教授和流浪汉……我不太确定这些绰号的去向。
我希望这次尝试比上一次更成功……我的意思是,他们出价 10 万美元收购了另一个团体,那就是 Evil Corp 团体。
据我所知,尚未采取任何逮捕或任何形式的法律行动。 因此,获得 Evil Corp 的 10 万美元可能不足以激励人们转向该组织的肇事者。
所以,希望这个更成功一点。
但是有一张很棒的照片在 Twitter 上甚至在 Naked Security 上引起了很多猜测和讨论,在 你写的帖子,其中一名被指控的肇事者。
我们不知道他是否是运行或运营勒索软件即服务的控制组的成员,或者他是否只是使用该恶意软件的关联公司,并为支付不义之财的佣金做出了贡献受害者。
但是你不能得到更刻板的俄罗斯......我的意思是,我们正在看这个:这家伙的帽子上有一颗红星,我推测他手里拿着一小瓶伏特加,还有巴拉莱卡。
这几乎好得令人难以置信。
鸭。 而且,穿着漂亮的黑客服装,他穿着一件蓬松的夹克,上面套着连帽衫……
......虽然他把连帽衫拿下来了,所以也许这不算数?
切斯特,你认为他们将孔蒂团伙作为目标是因为他们在小偷中有点不光彩吗?
大约一年前,一些附属公司非常生气,声称他们被敲诈了,并且发生了数据泄露,不是吗,其中一个倾销了一大堆操作手册和软件文件?
切特。 你知道,那里有很多碎片。
正如你所指出的——我相信是在 2021 年 XNUMX 月——有人 泄露了他们的操作手册,或他们的“剧本”,正如它所提到的那样。
在入侵乌克兰之后,孔蒂作为一个实体似乎变得非常亲俄,这导致一群参与他们计划的乌克兰人向他们发起攻击,并泄露了一堆关于他们的行动和事情的信息。
所以,那里肯定有东西。
我认为另一个原因,鸭子,只是 大量的伤害 他们造成的。
我的意思是,当我们从快速反应团队撰写文章时,毫无疑问,2021 年造成伤害最多的群体是孔蒂。
没有人真正相信他们已经脱离了地下犯罪。
并不是说他们拿了钱就走了……他们只是演变成新的计划,将自己分成不同的勒索软件组,在社区中扮演的角色与以往不同。
而最近,可能有些人听说了一些针对哥斯达黎加政府的攻击,归咎于孔蒂,而且是在不久之前。
所以我认为这里有几层,其中一层可能是丹迪斯、教授、雷沙耶夫……
…这些人在某种程度上被那些声称知道自己是谁但没有提供值得起诉和定罪的证据的人公开[故意泄露个人数据]。
所以也许这是一个希望,如果价格足够高,他们可能会挺身而出,并打开他们以前的同志。
鸭。 但是,即使他们明天都被逮捕,他们都被指控,他们都被定罪,这也会削弱勒索软件的诉讼程序,不是吗?
但不幸的是,这将是一个*凹痕*,而不是*结束*。
切特。 绝对。
不幸的是,这就是我们现在生活的世界。
我认为我们将继续看到这些罪行以不同的方式演变,并且随着我们越来越擅长保护自己,这有望提供一些缓解。
但是有 25 万美元的潜在赎金,有很多人愿意冒险并继续犯下这些罪行,无论这些特定的犯罪领主是否掌权。
鸭。 是的。
你会想,“哦,好吧,他们永远不会得到 25 万美元。 他们最终可能会接受更少。”
但即使这个数字下降到 250,000 美元。
…正如美国正义奖团队指出的那样:自 2019 年以来,他们声称仅 Conti 帮派(引自 RfJ 网站),他们的勒索软件已被用于针对美国和国际关键基础设施进行 1000 多次勒索软件攻击。
医疗服务、9-1-1 调度中心、镇、市。
他们认为,仅医疗保健和急救人员网络——比如救护车司机、消防队、医院——全球就有 400 多个受到打击,其中美国有 290 个。
所以,如果你将 290 乘以(我在这里使用巨大的空中报价)乘以 250,000 美元的“折扣费”,这应该用于提供医疗保健……
......无论如何,你会得到一个非常大的数字。
切特。 还记得四年前我们发表了一篇 SamSam 的报告 我们惊讶于他们在三年内赚了 6 万美元?
鸭。 这仍然是一大笔钱,切斯特!
嗯,这对我来说……也许你是个高手。 [笑声]
我知道你有一个话题——我们还没有在 Naked Security 上写过这个,但这是你非常感兴趣的东西……
……这就是在网络安全方面不可能有“一环来统治所有人”的事实。
特别是在医疗保健和急救人员等方面,为了提高安全性而可能阻碍的任何事情实际上都可能使服务变得更危险。
你有一个来自美国国立卫生研究院的故事要讲……
切特。 是的,我认为这是一个重要的提醒,我们首先要负责管理风险,而不是最终获得完美安全的结果。
而且我认为很多从业者经常忘记这一点。
我看到很多这样的论点,尤其是在社交媒体中:“完美是好的敌人”,我们之前在播客中也谈到过……
…哪里,“你应该这样做,这是唯一正确的方法。”
我认为这很有趣——这个 关系研究 发生数据泄露的医院与这些数据泄露后的患者结果之间的关系。
从表面上看,这可能没有意义,但让我向您宣读主要发现,我认为这很清楚我们在谈论什么。
主要发现是:
在数据泄露后的三年窗口中,医院的心电图时间增加了 2.7 分钟,30 天急性心肌梗死死亡率增加了 0.36 个百分点。
从本质上讲,我们所说的是,在发生数据泄露之后,医院中死于心脏病发作的人数比以前增加了三分之一,占导致致命结果的患者的百分比。
鸭。 据推测,这意味着如果他们能够将心电图机安装到他们身上并得出结果并更快地做出临床决定,他们可能能够挽救大量死亡的人?
切特。 是的,我认为当您想到一家繁忙的医院时,人们经常会因心脏病发作和中风而住院,因为新的安全协议而死亡的患者中有三分之一是令人担忧的。
美国卫生与公众服务管理局继续表示,他们建议违规医院“仔细评估补救安全措施,以实现更好的数据安全性,而不会对患者的治疗结果产生负面影响。”
而且我认为这真的是我们必须非常谨慎的地方,对吧?
我们都想要更好的信息安全,我希望我的病历在我去医院时保持安全。
我们当然希望确保人们不会访问他们不应该访问的计算机和记录,并且人们不会分配他们不应该使用的可能有害的药物。
另一方面,这是生与死。
虽然这可能不适用于您负责其安全的律师事务所、营销公司或工厂……但我认为这是一个重要的提醒,我们应该如何做安全,没有一刀切的方法。
我们必须评估每种情况,并确保根据我们愿意接受的风险量对其进行调整。
就个人而言,我更愿意接受我的医疗记录被泄露的风险,而不是我死亡的风险,因为有人必须去获取一个双因素代码才能解锁心电图机!
鸭。 好吧,切斯特,你是 1 型糖尿病患者,不是吗?
你有一个神奇的胰岛素泵。
现在,我敢打赌,你不会急于在最新的 Linux 内核发布的那一刻安装它!
切特。 绝对!
我的意思是,这些设备经过了严格的测试……这并不是说它们没有错误,但是当你谈论你的健康并能够管理它时,已知总比未知好。
当然,这些设备中存在软件错误,它们正在变得现代化,包括蓝牙等技术......事情是!
批准这些设备的医疗当局有一个非常非常长的过程。
并且“久经考验”(如之前关于晶体管和处理器的对话中),我们可以理解的简单事物比新的、复杂的事物更受青睐,这些事物更难以弄清楚和发现这些安全漏洞。
我无法想象,如果这个胰岛素泵有周二补丁之类的东西,我会在周二排队成为第一个安装更新的人!
尽管它的所有缺点,我确切地知道它是如何工作的,以及它是如何不工作的。
就你的观点而言,我与它共存得很好……
…设备知道它有责任保持一致,我已经学会了如何利用它来改善我的健康。
任何变化都可能是可怕和破坏性的。
因此,答案并不总是更好、更快、更智能。
有时它是可靠性和信任中的“已知已知”。
鸭。 话虽如此,没有数据泄露也有帮助!
您可以采取一些非常简单的措施来保护您的组织免受数据泄露。
切特。 鸭子,其中一件事是我们没有过去的时间了。
犯罪分子一直在扫描互联网,寻找您可能犯的任何错误,无论是允许太多事情的过时政策,还是暴露的服务在十年前可能完全可以暴露,但现在却很危险暴露在互联网上。
鸭。 “那个时候忘记的RDP。”
切特。 是的,好吧,想到 RDP 不断出现,我很难过,但事实上,在上周的黑帽大会上,我们刚刚发布了一篇论文 写了一篇博客 关于一个组织在几周内遭受三种不同的勒索软件攻击的情况,所有攻击都在同一个组织内部,同时发生。
这不是我们第一次在网络中看到多个攻击者。
我认为这可能是我们第一次在同一个网络中看到*三个*。
鸭。 哦,天哪,它们重叠了吗?
当攻击 B 出现时,他们真的还在处理攻击 A 吗?
切特。 是的,我相信攻击者 B 和攻击者 C 之间存在差距,但 A 和 B 同时进入,大概是通过他们都发现并利用的完全相同的远程访问工具漏洞进入的。
然后,我相信,B 组安装了他们自己的远程访问工具,有点像第二个后门,以防第一个被关闭……
……C 组找到了他们的远程访问工具并进来了。
鸭。 天哪……我们不应该笑,但这有点像错误喜剧。
很容易说,“嗯,在任何管理不善的网络中,你应该知道你的官方远程访问工具是什么,这样任何不是那个工具的东西都应该很明显。”
但是让我问一下我们的听众:如果你负责一个网络,你能不能把你的手放在心上,告诉我你的公司现在有多少电话会议工具?
切特。 是的,绝对。
我们有一个我们今年早些时候写的受害者,我相信我们在调查期间发现了*八种不同的远程访问工具,其中一些在十年前被合法使用,他们只是停止使用它们,但从未删除它们。
以及由多个威胁参与者引入的其他威胁。
所以这当然是值得关注的事情!
鸭。 好吧,切斯特,让我们希望这是一个足够乐观的建议结束,因为我们本周没有时间了。
非常感谢您一如既往地在很短的时间内拿起麦克风。
而且,和往常一样,我只能说:直到下一次……
两个都。 保持安全!
[音乐调制解调器]
