تغني لنا أغنية الأمن السيبراني
لماذا يوضح تطبيق التقويم الخاص بجهاز Mac أنه 17 يوليو. واحد التصحيحسطر واحد ملف واحد. احذر من ذلك {فأس ، ملف}يوجين. موسم العاصفة لمايكروسوفت. عندما تجعلك الأخطاء المطبعية تغني من أجل الفرح.
لا يوجد مشغل صوت أدناه؟ يستمع مباشرة على Soundcloud.
مع دوج آموث وبول دوكلين. موسيقى مقدمة وخاتمة بواسطة إديث مودج.
يمكنك الاستماع إلينا على SoundCloud لل, Apple Podcasts, Google Podcasts, سبوتيفي وفي أي مكان توجد فيه ملفات بودكاست جيدة. أو قم بإسقاط ملف عنوان URL لخلاصة RSS الخاصة بنا في podcatcher المفضل لديك.
اقرأ النص
دوغ. الترقيع يدويًا ، يومين من نوع Microsoft / Sorta صفر أيام ، و "حذر مع هذا الملف ، يوجين."
كل ذلك وأكثر على بودكاست Naked Security.
[مودم موسيقي]
مرحبا بكم في البودكاست ، الجميع.
أنا دوغ عاموث. هو بول دوكلين.
كيف حالك اليوم يا بول؟
بطة. هل كنت تلمح إلى بينك فلويد?
دوغ. *ال* بينك فلويدنعم
بطة. هذا هو الاسم الذي عرفوا به في الأصل ، على ما أعتقد.
دوغ. أوه، حقا؟
بطة. لقد أسقطوا "The" لأنني أعتقد أنها أعاقت الطريق.
بينك فلويد.
دوغ. هذه حقيقة ممتعة!
ولحسن الحظ ، لدي المزيد حقائق ممتعة لك…
أنت تعلم أننا نبدأ العرض مع هذا الأسبوع في تاريخ التكنولوجيا، ولدينا اليوم فرعين.
في هذا الأسبوع ، في 17 يوليو 2002 ، طرحت شركة Apple برنامج "iCal": برنامج تقويم يتميز بمشاركة التقويم عبر الإنترنت والقدرة على إدارة تقويمات متعددة.
برز "17 يوليو" بشكل بارز على أيقونة التطبيق ، والتي أدت حتى 17 يوليو إلى اليوم العالمي للرموز التعبيرية ، والذي تم تأسيسه في عام 2014.
إنه تأثير متتالي تمامًا ، بول!
بطة. بالرغم من. على جهاز iPhone الخاص بك ، ستلاحظ أن الرمز يتغير إلى تاريخ اليوم ، لأن هذا مفيد جدًا.
وستلاحظ أن مزودي الخدمة الآخرين ربما اختاروا أو لم يختاروا تواريخ مختلفة ، لأن "لماذا تنسخ منافسيك" ، في الواقع.
دوغ. حسنًا ، دعنا ندخله.
سنتحدث عن قصتنا الأولى.
هذا عن Zimbra والمغامرات في البرمجة عبر المواقع.
XSS القديم الجيد ، بول:
تحذير Zimbra Collaboration Suite: تصحيح هذا اليوم 0 الآن (يدويًا)!
بطة. نعم.
هذا هو المكان الذي يمكنك فيه بشكل أساسي اختراق موقع ويب لتضمين JavaScript محتال دون اقتحام الخادم نفسه.
تقوم ببعض الإجراءات ، أو تنشئ رابطًا ما إلى ذلك الموقع ، يخدع الموقع لتضمين محتوى في رده لا يذكر فقط ، على سبيل المثال ، مصطلح البحث الذي كتبته ، مثل My Search Term، ولكنها تتضمن نصًا إضافيًا لا ينبغي أن يكون موجودًا ، مثل My search <script> rogue JavaScript </script>.
بمعنى آخر ، تقوم بخداع موقع ما لعرض محتوى ، بعنوان URL الخاص به في شريط العناوين ، والذي يحتوي على JavaScript غير موثوق به.
وهذا يعني أن جافا سكريبت الذي قمت بحقنه بشكل خفي لديه حق الوصول إلى جميع ملفات تعريف الارتباط التي تم تعيينها بواسطة هذا الموقع.
حتى تسرقهم. يمكنه سرقة البيانات الشخصية ؛ والأهم من ذلك ، أنه من المحتمل أن يسرق رموز المصادقة وأشياء من هذا القبيل للسماح للمحتالين بالعودة في المرة القادمة.
دوغ. حسنًا ، ما الذي فعلته Zimbra في هذه الحالة؟
بطة. حسنًا ، الخبر السار هو أنهم استجابوا بسرعة لأنه ، بالطبع ، كان يوم الصفر.
كان المحتالون يستخدمونه بالفعل.
لذلك اتخذوا في الواقع نهجًا غير معتاد قليلًا بالقول ، "لدينا التصحيح قادم. ستحصل عليه قريبًا إلى حد ما ".
لكنهم قالوا بشكل مدروس ، "نتفهم أنك قد ترغب في اتخاذ إجراء عاجلاً وليس آجلاً."
الآن ، لسوء الحظ ، هذا يعني كتابة برنامج نصي خاص بك للذهاب وإصلاح سطر واحد من التعليمات البرمجية في ملف واحد في توزيع المنتج على جميع عقد صندوق البريد الخاص بك.
لكنه حل صغير جدًا وبسيط.
وبالطبع ، نظرًا لأنه سطر واحد ، يمكنك بسهولة تغيير الملف إلى ما كان عليه إذا تسبب في حدوث مشكلات.
إذا كنت حريصًا ميتًا على المضي قدمًا في المحتالين ، فيمكنك فعل ذلك دون انتظار الإفراج الكامل ...
دوغ. ويا له من شعور بالإنجاز أيضًا!
لقد مرت فترة منذ أن تمكنا من أن نشمر عن سواعدنا ونقوم بتصحيح شيء مثل هذا يدويًا.
إنه مثل إصلاح الحوض في صباح يوم السبت ... ستشعر بالراحة بعد ذلك.
لذا إذا كنت من مستخدمي Zimbra ، فسأقفز فوق كل هذا فقط لأنني أحب أن أحصل على يدي ... [ضحك]
بطة. وعلى عكس ترقيع الحوض ، لم يكن هناك زحف في الخزائن الضيقة ، ولم يكن هناك خطر في إغراق ممتلكاتك بالكامل.
كان الإصلاح واضحًا ومحددًا جيدًا.
تم تغيير سطر واحد من التعليمات البرمجية في ملف واحد.
دوغ. حسنًا ، إذا كنت مبرمجًا ، فما هي بعض الخطوات التي يمكنني اتخاذها لتجنب البرمجة النصية عبر المواقع مثل هذا؟
بطة. حسنًا ، الشيء الجميل في هذا الخطأ ، دوغ ، هو أنه يعمل تقريبًا كتوثيق لنوع الأشياء التي تحتاج إلى البحث عنها في البرمجة النصية عبر المواقع.
يُظهر التصحيح أن هناك مكونًا من جانب الخادم كان ببساطة يأخذ سلسلة ويستخدم تلك السلسلة داخل نموذج ويب سيظهر في الطرف الآخر ، في متصفح المستخدم.
ويمكنك أن ترى أن ما يفعله البرنامج * الآن * (هذا البرنامج المحدد مكتوب بلغة Java) ... يستدعي وظيفة escapeXML()، وهي ، إذا أردت ، الطريقة الصحيحة الوحيدة لأخذ سلسلة نصية تريد عرضها والتأكد من عدم وجود أحرف XML أو HTML سحرية يمكن أن تخدع المتصفح.
على وجه الخصوص: أقل من (<) ؛ أكثر من (>) ؛ علامة العطف (&) ؛ اقتباس مزدوج (") ؛ أو اقتباس مفرد ، يُعرف أيضًا باسم الفاصلة العليا (').
يتم تحويلها إلى رموز HTML طويلة وآمنة.
إذا كان بإمكاني استخدام كليشيه Naked Security القياسي ، دوغ: عقم مدخلاتك هو بيت القصيد هنا.
دوغ. ووه ، أنا أحب ذلك!
عظيم. دعنا ننتقل إلى بينك فلويد، من الواضح ... أننا كنا ننتظر كل هذا العرض.
إذا كانت بينك فلويد باحثة في مجال الأمن السيبراني ، فمن الممتع تخيل أنهم كتبوا أغنية ناجحة بعنوان "كن حذرا مع هذا الملف ، يوجين"بدلا من ذلك ، بول. [اشتهرت بينك فلويد بأغنية تسمى احذر من هذا الفأس ، يوجين.]
Google Virus إجمالي قائمة التسريبات لعناوين البريد الإلكتروني المخيفة
بطة. في الواقع.
"احذر مع هذا الملف" هو تذكير بأنه في بعض الأحيان ، عندما تقوم بتحميل ملف إلى خدمة عبر الإنترنت ، إذا اخترت الملف الخاطئ ، فقد ينتهي بك الأمر إلى إعادة توزيع الملف بدلاً من تحميله للتخزين الآمن على سبيل المثال.
لحسن الحظ ، لم يحدث ضرر كبير في هذه الحالة ، ولكن هذا شيء حدث في خدمة Virus Total من Google.
من المحتمل أن يعرف المستمعون أن Virus Total هي خدمة شائعة جدًا حيث ، إذا كان لديك ملف تعرف أنه برنامج ضار وترغب في معرفة ما تسميه الكثير من المنتجات المختلفة (حتى تعرف ما الذي تبحث عنه في سجلات التهديدات الخاصة بك) ، أو إذا كنت تعتقد ، "ربما أرغب في الحصول على العينة بأمان إلى أكبر عدد ممكن من البائعين ، في أسرع وقت ممكن" ...
... ثم تقوم بالتحميل إلى Virus Total.
من المفترض أن يتم توفير الملف لعشرات من شركات الأمن السيبراني على الفور تقريبًا.
هذا ليس تمامًا مثل بثه إلى العالم ، أو تحميله إلى حاوية تخزين سحابية عبر الإنترنت متسربة ، ولكن الخدمة * تهدف * إلى مشاركة هذا الملف مع أشخاص آخرين.
ولسوء الحظ ، يبدو أن موظفًا داخل Virus Total حمّل بطريق الخطأ ملفًا داخليًا كان عبارة عن قائمة عناوين البريد الإلكتروني للعملاء إلى بوابة Virus Total ، وليس إلى أي بوابة كان من المفترض أن يستخدمها.
الآن ، السبب الحقيقي لكتابة هذه القصة ، دوج ، هو هذا.
قبل أن تضحك قبل أن تشير بأصابعك ؛ قبل أن تقول ، "بماذا كانوا يفكرون؟" ...
.. توقف واسأل نفسك هذا السؤال.
"هل سبق لي أن أرسلت بريدًا إلكترونيًا إلى الشخص الخطأ عن طريق الخطأ؟" [ضحك]
هذا سؤال بلاغي. [المزيد من الضحك]
لقد فعلناها جميعًا ...
دوغ. إنها بلاغية!
بطة. ... البعض منا أكثر من مرة. [ضحك]
وإذا كنت قد فعلت ذلك من قبل ، فما الذي يضمن أنك لن تقوم بتحميل ملف إلى الخادم * الخاطئ عن طريق الخطأ ، مما يؤدي إلى ارتكاب نوع مماثل من الخطأ؟
إنه تذكير بأن هناك الكثير من الانزلاق ، دوغلاس ، بين الكأس والشفة.
دوغ. حسنًا ، لدينا بعض النصائح للأشخاص الطيبين هنا ، بدءًا ، كما يمكنني القول ، بإحدى أكثر النصائح التي لا تحظى بشعبية: قم بتسجيل الخروج من الحسابات عبر الإنترنت عندما لا تستخدمها بالفعل.
بطة. نعم.
الآن ، من سخرية القدر ، ربما لم يساعد ذلك في هذه الحالة لأنه ، كما يمكنك أن تتخيل ، تم تصميم Virus Total خصيصًا بحيث يمكن لأي شخص * تحميل * الملفات (لأنه من المفترض أن يتم مشاركتها من أجل الصالح العام للجميع ، بسرعة ، للأشخاص الذين يحتاجون إلى رؤيتها) ، ولكن يمكن للعملاء الموثوق بهم فقط * تنزيل * الأشياء (لأن الافتراض هو أن التحميلات غالبًا ما تحتوي على برامج ضارة فقط ، لذلك ليس من المفترض أن تكون متاحة لأي شخص).
ولكن عندما تفكر في عدد المواقع التي من المحتمل أن تظل مسجلاً الدخول إليها طوال الوقت ، فهذا يزيد من احتمالية أنك ستأخذ الملف الصحيح وتحميله إلى المكان الخطأ.
إذا لم تقم بتسجيل الدخول إلى موقع ما وحاولت تحميل ملف هناك عن طريق الخطأ ، فستتلقى مطالبة تسجيل الدخول ...
… وسوف تحميك من نفسك!
إنه حل بسيط بشكل خيالي ، ولكن كما قلت ، فهو أيضًا لا يحظى بشعبية بشكل شنيع لأنه غير مريح إلى حد ما. [ضحك]
دوغ. نعم!
بطة. ومع ذلك ، في بعض الأحيان ، عليك أن تأخذ واحدة للفريق.
دوغ. عدم نقل كل العبء إلى المستخدمين النهائيين: إذا كنت عضوًا في فريق تكنولوجيا المعلومات ، ففكر في وضع ضوابط على المستخدمين الذين يمكنهم إرسال أنواع الملفات إلى من.
بطة. لسوء الحظ ، هذا النوع من الحظر لا يحظى بشعبية ، إذا كنت تحب سبب الجانب الآخر من العملة لماذا لا يحب الناس تسجيل الخروج من الحسابات عندما لا يستخدمونها.
عندما تأتي تكنولوجيا المعلومات وتقول ، "أنت تعرف ماذا ، سنقوم بتشغيل أجزاء منع فقدان البيانات [DLP] من منتج نقطة نهاية الأمن السيبراني لدينا" ...
... يذهب الناس ، "حسنًا ، هذا غير مريح. ماذا لو كان يعيق الطريق؟ ماذا لو كان يتعارض مع سير العمل الخاص بي؟ ماذا لو تسبب لي في متاعب؟ أنا لا أحب ذلك!"
لذلك ، الكثير من II
قد ينتهي الأمر بإدارات T إلى البقاء خجولة قليلاً من التدخل المحتمل في سير العمل من هذا القبيل.
لكن ، دوغ ، كما قلت في المقال ، ستحصل دائمًا على فرصة ثانية لإرسال ملف لن يتم طرحه في المرة الأولى ، من خلال التفاوض مع قسم تكنولوجيا المعلومات ، لكنك لن تحصل أبدًا على فرصة لإلغاء إرسال ملف لم يكن من المفترض أن يخرج على الإطلاق.
دوغ. [يضحك] بالضبط!
حسنا ، نصائح جيدة هناك.
الأهداف و القصة الأخيرة، ولكن بالتأكيد ليس آخرا.
بول ، ليس علي أن أذكرك ، لكن يجب أن نذكر الآخرين ...
... التشفير المطبق صعب ، والتجزئة الأمنية صعبة ، والبحث عن التهديدات صعب.
إذن ما علاقة كل هذا بـ Microsoft؟
بطة. حسنًا ، كان هناك الكثير من الأخبار في وسائل الإعلام مؤخرًا عن Microsoft وعملائها الذين تم تسليمهم وضربهم والتحقيق معهم واختراقهم من قبل مجموعة جرائم الإنترنت المعروفة باسم Storm.
وجزء واحد من هذه القصة يدور حول 25 منظمة لديها هؤلاء المحتالين داخل أعمالهم في Exchange.
إنها نوع من الصفر أيام.
الآن ، نشرت Microsoft تقريرًا كاملاً وصريحًا إلى حد ما حول ما حدث ، لأنه من الواضح أنه كان هناك خطأين فادحين على الأقل من قبل Microsoft.
يمكن للطريقة التي يروون بها القصة أن تعلمك الكثير عن مطاردة التهديدات ، وحول الاستجابة للتهديدات عندما تسوء الأمور.
دوغ. حسنًا ، يبدو أن Storm دخلت عبر Outlook Web Access [OWA] باستخدام مجموعة من رموز المصادقة المغتصبة ، والتي تشبه بشكل أساسي ملف تعريف الارتباط المؤقت الذي تقدمه والذي يقول ، "لقد قام هذا الشخص بتسجيل الدخول بالفعل ، إنه شرعي ، دعه يدخل."
حق؟
بطة. بالضبط ، دوغ.
عندما يحدث هذا النوع من الأشياء ، والذي من الواضح أنه مقلق لأنه يسمح للمحتالين بتجاوز مرحلة المصادقة القوية (الجزء الذي يتعين عليك فيه كتابة اسم المستخدم الخاص بك ، واكتب كلمة المرور الخاصة بك ، ثم قم بعمل رمز 2FA ؛ أو حيث يتعين عليك تقديم Yubikey الخاص بك ؛ أو يجب عليك تمرير بطاقتك الذكية) ...
... الافتراض الواضح ، عندما يحدث شيء من هذا القبيل ، هو أن الشخص الموجود على الطرف الآخر لديه برامج ضارة على جهاز أو أكثر من أجهزة الكمبيوتر الخاصة بمستخدميه.
تحصل البرامج الضارة على فرصة لإلقاء نظرة خاطفة على أشياء مثل محتوى المتصفح قبل أن يتم تشفيره ، مما يعني أنه يمكنها استخراج رموز المصادقة وإرسالها إلى المحتالين حيث يمكن إساءة استخدامها لاحقًا.
اعترفت شركة مايكروسوفت في تقريرها أن هذا كان افتراضها الأول.
وإذا كان هذا صحيحًا ، فهو يمثل مشكلة لأنه يعني أنه يتعين على Microsoft وهؤلاء 25 شخصًا الركض في كل مكان لمحاولة البحث عن التهديدات.
ولكن إذا لم يكن هذا هو التفسير ، فمن المهم معرفة ذلك مبكرًا ، حتى لا تضيع وقتك ووقت الآخرين.
ثم أدركت Microsoft ، "في الواقع يبدو الأمر كما لو أن المحتالين يقومون بشكل أساسي بسك رموز المصادقة الخاصة بهم ، مما يشير إلى أنه لا بد أنهم سرقوا أحد مفاتيح توقيع الرمز المميز لـ Azure Active Directory المفترض أنها آمنة."
حسنًا ، هذا مقلق!
* بعد ذلك * أدركت Microsoft ، "يبدو أن هذه الرموز المميزة موقعة رقميًا على ما يبدو من خلال مفتاح توقيع يُفترض حقًا استخدامه فقط لحسابات المستهلكين ، أو ما يسمى MSAs ، أو حسابات Microsoft."
بعبارة أخرى ، نوع مفتاح التوقيع الذي سيتم استخدامه لإنشاء رمز مصادقة مميز ، على سبيل المثال ، إذا كنت أنت أو أنا تسجّل الدخول إلى خدمة Outlook.com الشخصية الخاصة بنا.
أوه لا!
هناك خطأ آخر يعني أنه من الممكن استخدام رمز مصادقة موقّع لا يُفترض أن يعمل من أجل الهجوم الذي يدور في أذهانهم ، ثم الدخول والتلاعب بالبريد الإلكتروني للشركات.
لذا ، كل هذا يبدو سيئًا للغاية ، وهو بالطبع كذلك.
لكن هناك جانب إيجابي ...
... وهذه هي المفارقة أنه لأنه لم يكن من المفترض أن يعمل هذا ، لأنه لا يُفترض أن تعمل رموز MSA على جانب Azure Active Directory الخاص بالشركة ، والعكس بالعكس ، لم يزعج أحد في Microsoft أبدًا بكتابة رمز لاستخدام رمز مميز في ساحة اللعب الأخرى.
مما يعني أن كل هذه الرموز المارقة بارزة.
لذلك كان هناك على الأقل علم أحمر عملاق مرئي لرصد تهديدات مايكروسوفت.
إن إصلاح المشكلة ، لحسن الحظ ، نظرًا لكونها مشكلة في الجانب السحابي ، يعني أنك لست بحاجة إلى التسرع في الخروج وإصلاح أنظمتنا.
الحل في الأساس هو: التنصل من مفتاح التوقيع الذي تم اختراقه ، لذلك لم يعد يعمل ، وبينما نحن بصدد ذلك ، دعنا نصلح هذا الخطأ الذي يسمح لمفتاح توقيع المستهلك بأن يكون صالحًا من جانب الشركة في عالم Exchange.
إنه نوع من "كل شيء ينتهي بخير."
ولكن كما قلت ، إنه تذكير كبير بأن صيد التهديدات غالبًا ما ينطوي على الكثير من العمل أكثر مما تعتقد في البداية.
وإذا قرأت تقرير Microsoft ، يمكنك أن تتخيل مقدار العمل المبذول في هذا.
دوغ. حسنًا ، بروح التقاط كل شيء ، دعنا نسمع من أحد قرائنا في تعليق الاسبوع.
يمكنني أن أخبرك مباشرة بعد القيام بذلك في الجزء الأفضل من عشر سنوات ، وأنا متأكد من أن بول يمكنه إخبارك مباشرة بعد القيام بذلك في آلاف وآلاف من المقالات ...
... الأخطاء المطبعية هي طريقة حياة لمدون تقني ، وإذا كنت محظوظًا ، في بعض الأحيان ينتهي بك الأمر بخطأ إملائي جيد لدرجة أنك لا ترغب في إصلاحه.
هذا هو الحال مع مقال مايكروسوفت هذا.
القارئ ديف يقتبس بول كما يكتب "والذي يبدو أنه يشير إلى أن شخصًا ما قد قرص بالفعل مفتاح شركة تغني [كذا]."
يتابع ديف بعد ذلك الاقتباس بقوله: "Singing Keys Rock".
بالضبط! [ضحك]
بطة. نعم ، لقد استغرق الأمر بعض الوقت لأدرك أن هذا تلاعب ... لكن نعم ، "مفتاح الغناء". [يضحك]
ماذا تحصل إذا قمت بإلقاء صندوق من الساكسفون في معسكر للجيش؟
دوغ. [يضحك]
بطة. [كما هو ممكن الجافة] A- شقة رئيسية.
دوغ. [مزيج من الضحك والحزن] حسنًا ، جيد جدًا.
ديف ، شكرًا لك على الإشارة إلى ذلك.
ونحن نتفق على أن غناء المفاتيح صخرة ؛ مفاتيح التوقيع أقل من ذلك.
إذا كانت لديك قصة مثيرة للاهتمام أو تعليق أو سؤال ترغب في إرساله ، فنحن نحب قراءته في البودكاست.
يمكنك إرسال بريد إلكتروني إلى tips@sophos.com ، أو التعليق على أي من مقالاتنا ، أو يمكنك التواصل معنا على مواقع التواصل الاجتماعي:nakedsecurity.
هذا هو عرضنا لهذا اليوم. شكرا جزيلا على الاستماع.
بالنسبة لبول دوكلين ، أنا دوج آموث ، أذكرك ، حتى المرة القادمة ، بـ ...
على حد سواء. كن آمنا!
[مودم موسيقي]
- محتوى مدعوم من تحسين محركات البحث وتوزيع العلاقات العامة. تضخيم اليوم.
- PlatoData.Network Vertical Generative Ai. تمكين نفسك. الوصول هنا.
- أفلاطونايستريم. ذكاء Web3. تضخيم المعرفة. الوصول هنا.
- أفلاطون السيارات / المركبات الكهربائية ، كربون، كلينتك ، الطاقة، بيئة، شمسي، إدارة المخلفات. الوصول هنا.
- BlockOffsets. تحديث ملكية الأوفست البيئية. الوصول هنا.
- المصدر https://nakedsecurity.sophos.com/2023/07/20/s3-ep144-when-threat-hunting-goes-down-a-rabbit-hole/
