S3 Ep135:白天是系统管理员,晚上是敲诈勒索者

S3 Ep135:白天是系统管理员,晚上是敲诈勒索者

时间戳:18年2023月2日下午48:XNUMX
源节点: 2662163
by

内部攻击(PERP 被捕的地方)

下面没有音频播放器? 听 直接 在 Soundcloud 上。

与道格·阿莫斯和保罗·达克林。 前奏和后奏音乐 伊迪丝·马奇.

你可以听我们的 的SoundCloud, 苹果播客, Google播客, Spotify, 以及任何可以找到好的播客的地方。 或者只是放下 我们的 RSS 提要的 URL 进入你最喜欢的播客。

阅读成绩单

道格。  内部工作、面部识别和“物联网”中的“S”仍然代表“安全”。

所有这些,以及更多,都在 Naked Security 播客上。

[音乐调制解调器]

欢迎大家收听播客。

我是道格·阿莫斯; 他是保罗·达克林。

保罗,你今天好吗?

鸭。  很好,道格。

您知道您的标语“我们会密切关注”吗?

道格。  [笑声] 吼吼吼!

鸭。  可悲的是,本周有几件事我们一直在“关注”,但它们仍然没有好的结局。

道格。  是的,本周我们有一种有趣且非传统的阵容。

让我们开始吧。

但首先,我们将从我们的 科技史上的本周 分割。

本周,即 19 年 1980 月 XNUMX 日,Apple III 发布。

它将于 1980 年 14,000 月发货,当时召回了首批下线的 XNUMX 台 Apple III。

该机器将在 1981 年 XNUMX 月再次引入。

长话短说,Apple III 失败了。

Apple 联合创始人史蒂夫·沃兹尼亚克 (Steve Wozniak) 将该机器的失败归因于它是由营销人员而非工程师设计的。

哎哟!

鸭。  我不知道该说什么,道格。 [笑声]

作为一个认为自己是技术专家而不是市场机器人的人,我尽量不傻笑。

我认为 Apple III 的本意是为了好看和酷,它是为了利用 Apple II 的成功。

但我的理解是 Apple III (A) 无法运行所有 Apple II 程序,这对向后兼容性造成了一点影响,并且 (B) 只是不像 Apple II 那样具有足够的可扩展性。

不知道是不是都市传说……

……但我读到过,早期型号的芯片在出厂时没有正确安装,报告问题的接收者被告知将电脑前面板抬离办公桌几厘米,然后让它回弹。

[笑声]

这会将筹码撞到位,就像它们本来应该放在第一位一样。

这显然奏效了,但并不是产品质量的最佳广告。

道格。  没错。

好吧,让我们进入第一个故事。

这是一个关于有多糟糕的警示故事 内部威胁 可能,也许他们也很难实现,保罗。

谁不知道? Cyber​​crook 因赎回自己的雇主而获刑 6 年

鸭。  的确如此,道格拉斯。

如果你正在寻找关于 裸安全sophos.com,这是标题中的那个, “谁不知道? Cyber​​crook 因赎回自己的雇主而获刑 6 年。”

这就是故事的核心。

道格。  不应该笑,但是……[笑]

鸭。  这有点好笑也不好笑。

因为如果你看看攻击是如何展开的,它基本上是:

“嘿,有人闯入了; 我们不知道他们使用的安全漏洞是什么。 让我们立即采取行动,尝试找出答案。”

“不好了! 攻击者已经设法获得了系统管理员的权力!”

“不好了! 他们吸收了数 GB 的机密数据!”

“不好了! 他们弄乱了系统日志,所以我们不知道发生了什么!”

“不好了! 现在他们要求 50 个比特币(当时大约是 2,000,000 万美元)来​​保持安静……显然我们不会支付 2 万美元作为保密工作。”

而且,宾果游戏,骗子去做了传统的事情,将数据泄露到暗网上,基本上是对公司进行人肉搜索。

而且,不幸的是,问题“Whodunnit?” 回答者:公司自己的系统管理员之一。

事实上,其中一名被选入团队试图找到并驱逐袭击者的人。

因此,他实际上是在假装白天与攻击者作战,并在晚上谈判 2 万美元的勒索付款。

更糟糕的是,道格,当他们开始怀疑他时……

......他们做了,让我们对公司公平。

(我不想说是谁;我们称他们为 Company-1,就像美国司法部那样,尽管他们的身份众所周知。)

他的财产被搜查,显然他们找到了笔记本电脑,后来证明是用来犯罪的。

他们审问他,于是他走上了“进攻是最好的防守”的程序,冒充举报人,以化名联系媒体。

他给出了一个关于违规行为如何发生的完全错误的故事——亚马逊网络服务的安全性很差,或者类似的事情。

因此,从很多方面来看,它看起来比实际情况要糟糕得多,公司的股价也大幅下跌。

当有消息称它们被破坏时,它可能无论如何都会下降,但显然他似乎特意使它看起来更糟,以转移对他自己的怀疑。

幸运的是,这没有用。

他*确实*被定罪(好吧,他认罪了),而且就像我们在标题中所说的那样,他被判入狱六年。

然后是三年的假释期,他还必须偿还 1,500,000 万美元的罚款。

道格。  你不能把这个东西编起来!

这篇文章中的好建议……有三条建议。

我喜欢第一个: 分而治之。

你这是什么意思,保罗?

鸭。  嗯,看来,在这种情况下,这个人是将太多的权力集中在了自己的手中。

似乎他能够使这次攻击的每一小部分都发生,包括事后进入并弄乱日志并试图让它看起来好像公司中的其他人所做的一样。

(所以,只是为了表明他是一个非常好的人——他确实也试图缝合他的同事,所以他们会惹上麻烦。)

但是,如果你让某些关键系统活动需要两个人的授权,最好是来自两个不同的部门,就像银行正在批准大笔资金流动时,或者当开发团队正在决定时,“让我们看看这是否代码足够好; 我们会让其他人客观独立地看待它”……

......这确实让一个孤独的内部人士更难实现所有这些技巧。

因为他们必须与其他人勾结,他们需要一路上的共同授权。

道格。  确定。

沿着同样的路线: 保留不可变的日志。

那是一个很好的。

鸭。  是的。

那些记忆力好的听众可能会想起 WORM 驱动器。

它们在当时非常流行:一次编写,多次阅读。

当然,它们被吹捧为绝对理想的系统日志,因为您可以写入它们,但您永远不能*重写*它们。

现在,事实上,我不认为它们是故意这样设计的……[笑]我只是认为还没有人知道如何让它们可重写。

但事实证明,这种技术非常适合保存日志文件。

如果您还记得早期的 CD-R、CD-Recordable——您可以添加一个新的会话,这样您就可以录制 10 分钟的音乐,然后再添加 10 分钟的音乐或 100MB 的数据,但您不能回去重写整个事情。

因此,一旦您将其锁定,想要破坏证据的人要么必须销毁整张 CD,使其明显不在证据链中,要么以其他方式损坏它。

他们将无法拿走原始磁盘并重写其内容以使其显示不同。

当然,您可以通过各种技术在云中做到这一点。

如果您愿意,这就是“分而治之”硬币的另一面。

你的意思是你有很多系统管理员、很多系统任务、很多可以生成日志信息的守护进程或服务进程,但是它们被发送到某个地方,需要真正的意志和合作才能做出这些日志消失或看起来不同于最初创建时的样子。

道格。  最后但同样重要的是: 永远衡量,永远不要假设。

鸭。  绝对。

看起来 Company-1 在这种情况下最终确实至少管理了所有这些事情中的一部分。

因为这个家伙被 FBI 认出并审问了……我想在他发动袭击后大约两个月内。

调查不会在一夜之间发生——他们需要搜查令,并且需要合理的原因。

所以看起来他们确实做了正确的事,而且他们并没有仅仅因为他一直说他值得信赖就盲目地继续信任他。

可以说,他的重罪确实暴露无遗。

因此,重要的是您不要认为任何人都无可怀疑。

道格。  好的,继续前进。

小工具制造商贝尔金 (Belkin) 陷入困境,基本上是在说,其一款广受欢迎的智能插头“停产意味着更新结束”。

Belkin Wemo Smart Plug V2——无法修复的缓冲区溢出问题

鸭。  贝尔金似乎确实做出了相当糟糕的回应。

当然,从公关的角度来看,它并没有为他们赢得很多朋友,因为这种情况下的设备是所谓的智能插头之一。

你得到一个支持 Wi-Fi 的开关; 其中一些还将测量功率和其他类似的东西。

所以这个想法是你可以拥有一个应用程序,或者一个网络界面,或者可以打开和关闭墙上插座的东西。

因此,具有讽刺意味的是,故障出在产品中,如果被黑客入侵,可能会导致某人基本上打开和关闭可能插入设备的开关。

我想,如果我是贝尔金,我可能会说,“看,我们不再真正支持这个了,但在这种情况下……是的,我们会推出一个补丁。”

这是缓冲区溢出,Doug,简单明了。

[笑]哦,亲爱的......

当你插入设备时,它需要有一个唯一的标识符,以便它会显示在应用程序中,比如,在你的手机上……如果你家里有三个,你不希望它们都被调用 Belkin Wemo plug.

您想去改变它,并使用 Belkin 所说的“友好名称”。

所以你进入你的手机应用程序,然后输入你想要的新名字。

好吧,设备本身的应用程序中似乎有一个 68 字符的缓冲区用于您的新名称……但是没有检查您输入的名称是否超过 68 字节。

也许愚蠢的是,构建该系统的人认为,如果他们只是检查名字的长度就足够了*你在使用应用程序更改名字时输入手机*:“我们将避免发送首先是太长的名字。”

事实上,在手机应用程序中,显然你甚至不能输入超过 30 个字符,所以它们非常安全。

大问题!

如果攻击者决定不使用该应用程序怎么办? [笑声]

如果他们使用自己编写的 Python 脚本怎么办……

道格。  嗯嗯! [讽刺]他们为什么要那样做?

鸭。  …不检查 30 个字符或 68 个字符的限制吗?

而这正是这些研究人员所做的。

他们发现,因为存在堆栈缓冲区溢出,他们可以控制正在使用的函数的返回地址。

经过足够多的反复试验,他们能够将执行偏离到他们自己选择的行话中称为“shellcode”的地方。

值得注意的是,他们可以运行一个系统命令来运行 wget 命令,下载脚本,使脚本可执行,然后运行它。

道格。  好吧好吧…

......我们在文章中得到了一些建议。

如果你有这些智能插头之一, 检查出.

我想这里更大的问题是,假设 Belkin 兑现了他们不解决这个问题的承诺……[大笑]

......基本上,这有多难解决,保罗?

或者只是堵住这个洞会是很好的公关吗?

鸭。  好吧,我不知道。

可能还有许多其他应用程序,哦,亲爱的,他们必须对它们进行相同类型的修复。

所以他们可能只是不想这样做,因为害怕有人会说,“好吧,让我们深入挖掘。”

道格。  一个湿滑的斜坡…

鸭。  我的意思是,那将是一个不这样做的糟糕理由。

我本以为,鉴于这现在是众所周知的,并且它似乎是一个足够简单的修复......

…只需 (A) 如果可能,在启用堆栈保护的情况下为设备重新编译应用程序,并且 (B) 至少在这个特定的“友好名称”更改程序中,不允许名称超过 68 个字符!

这似乎不是一个主要的修复。

当然,尽管必须对该修复程序进行编码; 必须对其进行审查; 它必须经过测试; 必须构建新版本并进行数字签名。

然后它必须提供给每个人,很多人甚至不会意识到它是可用的。

如果他们不更新怎么办?

如果那些意识到这个问题的人能够得到修复,那就太好了,但贝尔金是否希望他们简单地升级到更新的产品还有待观察。

道格。  好的,关于更新的主题......

......正如我们所说,我们一直在关注这个故事。

我们已经多次讨论过它:Clearview AI。

Zut alors! Raclage crapuleux! Clearview AI 在法国的麻烦增加了 20%

法国将这家公司盯上了,因为它一再反抗,而且情况变得如此糟糕几乎是可笑的。

所以,这家公司从互联网上抓取照片并将它们映射到各自的人身上,执法部门使用这个搜索引擎来查找人。

其他国家也遇到过这方面的问题,但法国表示,“这是 PII。 这是个人身份信息。”

鸭。  是的。

道格。  “Clearview,请停止这样做。”

而 Clearview 甚至没有回应。

所以他们被罚款 20 万欧元,他们只是继续……

法国说,“好吧,你不能这样做。 我们告诉过你停下来,所以我们会更加严厉地对待你。 我们将每天向您收取 100,000 欧元”……他们将其回溯到已经高达 5,200,000 欧元的地步。

而 Clearview 只是没有回应。

它甚至不承认存在问题。

鸭。  道格,事情的发展肯定是这样的。

有趣的是,在我看来相当合理且非常重要的是,当法国监管机构调查 Clearview AI 时(当时他们决定该公司不会自愿参与并罚款 20 万欧元)......

......他们还发现,该公司不仅仅是在未经同意的情况下收集他们认为的生物识别数据。

他们还让人们难以置信地、不必要地、非法地难以行使他们的权利 (A) 知道他们的数据已被收集并被用于商业用途,以及 (B) 如果他们愿意,可以将其删除。

这些是许多国家已在其法规中规定的权利。

我认为,这当然仍然在英国的法律中,尽管我们现在不在欧盟范围内,而且它是欧盟众所周知的 GDPR 法规的一部分。

如果我不想让你保留我的数据,那么你必须删除它。

显然 Clearview 正在做这样的事情:“哦,好吧,如果我们已经拥有它超过一年,就很难删除它,所以它只是我们在去年收集的数据。”

道格。  啊啊啊啊[笑]

鸭。  那么,如果你没有注意到,或者你只在两年后才意识到?

为时已晚!

然后他们说,“哦,不,你一年只能问两次。”

我认为,当法国人进行调查时,他们还发现法国人抱怨说,他们不得不一遍又一遍地询问,然后才能设法让 Clearview 的记忆开始做任何事情。

那么谁知道这将如何结束,道格?

道格。  现在是听取几位读者意见的好时机。

我们通常会从一位读者那里获得每周评论,但您在本文末尾提出了以下问题:

如果您是{女王、国王、总统、最高巫师、光荣领袖、首席法官、首席仲裁者、隐私高级专员},并且可以{挥动您的魔杖、挥动您的笔、挥动您的权杖来解决这个问题, 一个绝地思维技巧}...

……你会如何解决这个僵局?

并从我们的评论者那里引用一些话:

  • “砍掉他们的头。”
  • “公司死刑。”
  • “将他们归类为犯罪组织。”
  • “在公司遵守之前,上级应该被关进监狱。”
  • “宣布客户是同谋。”
  • “破解数据库并删除所有内容。”
  • “制定新的法律。”

然后詹姆斯下马说:“我朝你的大方向放屁。 你妈妈是个‘amster,你爸爸闻起来有接骨木浆果的味道。” [MONTY PYTHON 和圣杯 典故]

我认为这可能是对错误文章的评论。

我认为“Whodunnit?”中有 Monty Python 引用。 文章。

但是,James,谢谢你最后跳进来……

鸭。  [笑] 真的不应该笑。

我们的一位评论者不是说,“嘿,申请国际刑警组织的红色通缉令? [一种国际逮捕令]

道格。  没错!

好吧,太好了……正如我们惯常做的那样,我们会密切关注这一点,因为我可以向你保证这还没有结束。

如果您想提交有趣的故事、评论或问题,我们很乐意在播客上阅读。

您可以发送电子邮件至tips@sophos.com,您可以评论我们的任何一篇文章,或者您可以在社交媒体上联系我们:@NakedSecurity。

这就是我们今天的节目; 非常感谢您的收听。

对于 Paul Ducklin,我是 Doug Aamoth,提醒您下次……

两个都。  保持安全!

[音乐调制解调器]

时间戳记:

更多来自 裸体安全