HÖR JETZT ZU
Klicken und ziehen Sie auf die unten stehenden Schallwellen, um zu einem beliebigen Punkt zu springen. Du kannst auch direkt zuhören auf Soundcloud.
Mit Doug Aamoth und Paul Ducklin.
Intro- und Outro-Musik von Edith Mudge.
Ihr könnt uns auf hören Soundcloud, Apple Podcasts, Google Podcasts, Spotify, Stitcher und überall, wo gute Podcasts zu finden sind. Oder lass es einfach fallen URL unseres RSS-Feeds in Ihren Lieblings-Podcatcher.
LESEN SIE DAS TRANSKRIPT
DOUG AAMOTH. Romantik, Betrug, Bugs, Würmer und REvil-Ransomware.
All das und mehr im Naked Security Podcast.
[MUSIKMODEM]
Willkommen zum Podcast, alle zusammen.
Ich bin Doug; Er ist Paulus …
PAUL DUCKLIN. Gut gemacht, Doug… genau diese Woche!
DOUG. Warum Danke! Letzte Woche bin ich durcheinander gekommen…
ENTE. Du hast dich nicht verwirrt.
DOUG. Aber ich brauchte 65 Folgen, um diesen Fehler zu machen, also bin ich ziemlich stolz auf mich.
Es könnte wieder passieren, aber…
ENTE. Richtig: Wir sind heute auf der Route 66!
DOUG. Wir sind.
ENTE. Das ist eine ziemlich große Sache, Doug.
DOUG. Ja.
Und genau wie Route 66 haben wir diese Woche viele Attraktionen zu sehen – ein voller Terminkalender.
ENTE. [LACHT ÜBER SEGUE] Ich liebe deine Arbeit!
DOUG. Wir beginnen die Show gerne mit a Fun Fact.
Und normalerweise hängt die lustige Tatsache mit der zusammen Diese Woche in der Technologiegeschichte Segment.
Allerdings nicht diese Woche, denn hier war es sehr kalt und viele Leute trugen Wintermützen. Ich sah eine Gruppe von Leuten an und dachte: „Was sind das für Bommeln oben auf den Hüten? Woher kommt das?"
Also habe ich nachgeschlagen, und wenn Sie sich jemals fragen, warum manche Wintermützen diese flauschigen Bommeln haben, wurden sie anscheinend früher von französischen Seeleuten getragen, um ihre Köpfe davor zu schützen, gegen die niedrigen Decken von Schiffen zu schlagen, während sie unterwegs waren Meer.
Sie waren besonders effektiv in rauen Gewässern.
Wenn Sie also einen Bommel auf Ihrem Hut haben, haben Sie es einem französischen Seemann zu verdanken.
ENTE. Oh, es war also tatsächlich Polsterung?
DOUG. Ja.
Ich habe eine sehr niedrige Decke in unserem Keller und in der Waschküche, also werde ich vielleicht eine Bommelmütze aufsetzen und herumlaufen und sehen, ob es hilft, weil ich mir ziemlich oft den Kopf gestoßen habe.
ENTE. Du könntest einfach ein Mauspad mit Klebeband kleben … du weißt schon, lege es auf deinen Kopf und klebe es unter dein Kinn.
DOUG. [LACHT] Ich weiß nicht, ob es damals Neopren gab, aber es ist eine gute Idee.
Nun, lass uns darüber reden … wir haben eine Menge Geschichten zu erzählen.
Die erste: Wir haben Ransomware mit der angeblichen Ransomware effektiv beendet Büste der REvil-Ransomware-Crew in Russland.
[SARCASTISCH] Das ist das Ende von Ransomware, wie wir sie kennen, richtig?
ENTE. Nun, selbst das Bundessicherheitsbüro Russlands, das FSB, hat das nicht wirklich gesagt, obwohl sie tatsächlich eine Verhaftung vorgenommen haben.
In der Vergangenheit gab es viel Kritik …
… Russen, glaube ich, wie die Deutschen und Franzosen und eine ganze Menge Länder, liefern ihre eigenen Bürger nicht aus. Wenn Sie also wollen, dass Menschen in diesen Ländern wegen Verbrechen, die sie gegen ein anderes Land begangen haben, strafrechtlich verfolgt werden, müssen Sie dem Land im Grunde die Beweise liefern, die es braucht.
Und es gibt viel Kritik, dass Russland dazu nicht sehr bereit zu sein schien.
In diesem Fall sieht es so aus: Anscheinend wurden 25 Straßenadressen in verschiedenen Städten durchsucht.
Sie erwähnten 14 Personen, die ins Visier genommen wurden, obwohl sie nicht sagen, wie viele von ihnen letztendlich festgenommen wurden.
Aber es gab einige Verhaftungen; plus 20 abgeschleppte schicke Autos, anscheinend mit dem Erlös aus Verbrechen gekauft. Und wie wir bereits gesagt haben, gibt es heutzutage wahrscheinlich eine Menge forensischer Daten in einem durchschnittlichen schicken Auto, in Bezug auf das Unterhaltungssystem, das Navi, die in das Auto eingebauten Telefone und all diese Sachen.
Und sie bekamen etwa 6,000,000 bis 7,000,000 Dollar in Rubel, US-Dollar, Euro und Kryptocoins.
Daher war der FSB ziemlich optimistisch in Bezug auf das, was er erreicht hatte, und erklärte, dass als Ergebnis der Razzia „diese Cybergang aufhörte zu existieren und ihre kriminelle Infrastruktur neutralisiert wurde“. Also, das ist REvil.
Sie sagten nicht: „Das ist das Ende von Ransomware, wie wir sie kennen“, weil das offensichtlich nicht der Fall ist.
Es gibt zwei Probleme, auch wenn REvil jetzt wirklich spurlos verschwunden ist: [a] Es gibt viele andere Ransomware-Gangs, von denen REvil stammt; und [b] leider gibt es viele andere Arten von Cyberkriminalität, an denen Gauner beteiligt sind, die wenig Interesse an Ransomware haben, aber dennoch in der Lage sind, viel Böses zu tun, obwohl sie nicht REvil sind.
DOUG. Jawohl!
Aber trotzdem ein Schritt in die richtige Richtung?
ENTE. Ja, ich glaube nicht, dass wir uns beschweren können!
Aber es geht immer noch darum: früh patchen, oft patchen; Lassen Sie Ihre Wache nicht nach; Vorbeugung ist besser als Heilung; und investieren Sie in Ihre Benutzer.
DOUG. In unserem finden Sie weitere Tipps Stand der Ransomware 2021 Bericht, der im genannten Artikel verlinkt ist REvil Ransomware-Crew angeblich in Russland gesprengt, sagt FSB auf nakedsecurity.sophos.com.
Lassen Sie uns direkt zu einer anderen Büste hangeln: ein Romantik-Betrüger, der fast 700 Frauen ins Visier genommen hat 28 Monate Gefängnis.
ENTE. Wie die National Crime Agency des Vereinigten Königreichs in Bezug auf Liebesbetrug im Allgemeinen feststellt, sagen sie: „Wir möchten alle diejenigen, die denken, dass sie Opfer von Liebesbetrug geworden sind, ermutigen, sich nicht zu schämen oder zu schämen, aber bitte melden es."
Die National Crime Agency kann keinen Fall vorbringen, in dem ihnen jemand nicht gesagt hat: „Hey, ich habe dieser Person Geld geschickt und ich denke jetzt, dass ich das nicht hätte tun sollen“, denn wenn sie darauf bestehen, dass sie das Geld freiwillig geschickt haben, und sie denken nicht, dass sie betrogen wurden, dann schätze ich, dass kein Betrug stattgefunden hat.
Und das ist das Problem bei einer Cyberkriminalität wie dieser.
DOUG. Ja, wir haben einen herzzerreißenden Kommentar zu dem Artikel und einen weiteren erhebenden Kommentar ganz am Ende.
Einer unserer Leser glaubt, dass seine Mutter betrogen wird, und sie reagiert nicht gut darauf, dass ihre Familie versucht, ihr das auszureden; und dann haben wir noch eine, wo sie einen Betrüger auf frischer Tat ertappt haben, was eine ziemlich interessante Geschichte war.
ENTE. Leider hinterlassen diese Verbrechen nicht nur Menschen mit gebrochenem Herzen und Mittellosigkeit. Sie können auch einen riesigen Riss in Ihrem Familienkreis hinterlassen.
Dieser Typ sagte: „Meine Mutter hat aufgehört, mit mir zu reden, weil ich nicht glaube, dass das die Liebe ihres Lebens ist.“
Der einzige Rat, den wir wirklich geben können, ist, dass, wenn Sie auch nur eine Ahnung haben, dass Sie in einen Betrug verwickelt sein könnten, egal wie herzzerreißend es sein wird, das zugeben zu müssen, Sie Ihren Freunden nicht die Hand zeigen und Familie, wenn sie versuchen, Sie zu warnen.
Sie könnten falsch liegen, aber sie könnten sehr, sehr gut Recht haben … also höre ihnen fair zu.
DOUG. OK, wir haben Tipps im Artikel und ein hilfreiches Video genannt Liebesbetrug: Was tun?.
Wir haben darüber gesprochen, auf Ihre Freunde und Familie zu hören, wenn sie versuchen, Sie zu warnen; Wir haben auch Dinge wie: Erwägen Sie, es der Polizei zu melden; machen Sie sich keine Vorwürfe, wenn Sie hineingezogen werden; suchen Sie nach einer Selbsthilfegruppe; und am wichtigsten, steigen Sie aus, sobald Sie erkennen, dass es sich um einen Betrug handelt.
ENTE. Ja, mein Rat dort lautet ganz besonders: Sagen Sie dem Betrüger nicht: „Oh, ich fange an, Sie zu verdächtigen. Ich gebe dir eine letzte Chance, dich zu beweisen.“
Denken Sie daran, wenn es sich um einen Betrüger handelt, haben sie Sie bereits so weit hereingeholt.
Glaubst du, sie werden zu viel Ärger mit einem kleinen Einwand haben, den du jetzt vorbringst?
Wenn Sie entschieden haben, dass es sich um einen Betrug handelt, sagen Sie es ihnen nicht – brechen Sie einfach den Kontakt ab und suchen Sie dann nach einer lokalen Selbsthilfegruppe.
Übrigens, seien Sie sehr vorsichtig, wenn Sie die Verbindung zu den Betrügern abbrechen, wenn Sie plötzlich von jemandem kontaktiert werden, der behauptet, eine Selbsthilfegruppe, eine Strafverfolgungsbehörde oder ein Unternehmen zu vertreten, das Ihnen helfen kann, Ihr betrogenes Geld zurückzubekommen.
Denn das ist der klassische „Counter-Scam“.
Wenn die Gauner erkennen, dass Sie wirklich entschieden haben, dass sie Betrüger sind, dann kommen sie herein und versuchen, sich als Antibetrüger auszugeben!
Es gibt zahlreiche Fälle, in denen Menschen zweimal betrogen wurden. Wenn Sie sich von einem Betrug zurückziehen wollen, arbeiten Sie nur mit Leuten zusammen, die Sie wirklich kennen und treffen können und denen Sie von Angesicht zu Angesicht vertrauen können.
Nehmen Sie nicht einfach Hilfe von jemandem an, der es online anbietet – es könnten die Betrüger sein, die zurückkommen.
DOUG. [TRAURIG] Wunderbar. Die Freuden des menschlichen Verhaltens.
Dh Romance-Betrüger, der 670 Frauen ins Visier genommen hat, bekommt 28 Monate Gefängnis auf nakedsecurity.sophos.com.
Wir wechseln von menschlichen Würmern zu Windows-Würmern: a Wurmfähige Windows HTTP-Lücke.
Was müssen wir darüber wissen, Paul?
ENTE. Das war ein faszinierender Start ins Jahr 2022, oder? Es war einer der vielen Sicherheitsfehler, die am Dienstag mit dem Patch dieses Monats behoben wurden …
DOUG. Das war ein großer!
ENTE. Ich glaube, es waren 102 Fehler!
Aber einer von ihnen schien zunächst nicht allzu schädlich zu sein, vielleicht weil er nicht sagte: „Dieser Fehler ist im Microsoft-Webserver, den jeder kennt.“
Es wurde nur so beschrieben Schwachstelle bezüglich Remotecodeausführung im HTTP-Protokollstapeloder CVE-2022-21907.
Sie denken also: „Oh, das ist so ein Low-Level-Code-Ding; trifft wahrscheinlich nicht auf mich zu, weil ich IIS nicht ausführe.“
Und in diesem Sinne war es ein bisschen wie die Probleme hatten wir mit Log4j, wo alle sagten: „Ich habe keine Java-Server.“
Und wir sagten: Nein, es geht nicht um Server; Es geht um Apps, die in Java geschrieben sind.
„Ich habe nicht viele davon …“ Bist du sicher?
„Nun, ich habe einige von ihnen, aber nicht viele von ihnen führen Log4j aus …“ Sind Sie sicher?
Und dann, wie wir in einigen früheren Podcasts gesagt haben, wenn die Leute nach Lg4j gesucht haben, haben sie festgestellt: „Meine Güte, es gibt viel mehr davon, als ich dachte.“
Das Problem hier ist sehr ähnlich, nämlich dass HTTP.sys ein Low-Level-Treiber ist, der HTTP-Dienste bereitstellt, wenn Sie ein Programm benötigen, das Webanforderungen akzeptiert und beantwortet, *einschließlich IIS*.
Tatsächlich wird IIS auf dieser HTTP.sys implementiert, aber es ist nur eine von Dutzenden oder Hunderten oder Tausenden von Anwendungen, die Sie haben könnten, die dieses Ding verwenden könnten.
Jedes Programm, das Sie haben, ob Sie es erkennen oder nicht, das eine Art Webkonsole, Webschnittstelle oder Webport enthält, mit dem Sie sich verbinden können, könnte von diesem Fehler bedroht sein, wenn Sie es nicht gepatcht haben.
Und was alle begeistert hat, ist, wie Microsoft in seiner Liste der häufig gestellten Fragen für diesen speziellen Patch sagte: „Ist das wurmfähig?“, was bedeutet, dass jemand es verwenden könnte, um einen sich selbst verbreitenden Virus zu schreiben …
DOUG. Ja!
ENTE. Sie haben wirklich nur dieses eine Wort gesagt!
DOUG. [LACHT] „Ja. Punkt."
ENTE. Und sie sagten: „Microsoft empfiehlt, das Patchen betroffener Server zu priorisieren.“
Nun, ich bin der Meinung, dass die Formulierung etwas unglücklich war, weil Sie daraus schließen können, dass dies nur Server betrifft. Wo sonst würde ein HTTP-Dienst lauschen als auf einem Server?
Die Antwort lautet natürlich: Viele, viele Programme verwenden heutzutage HTTP als ihre GUI, als ihre Schnittstelle, nicht wahr? Viele haben eine Webkonsole, auch wenn es sich um Programme handelt, die für Endbenutzer entwickelt wurden.
Der Fehler ist eine Funktion eines Low-Level-Treibers in Windows selbst, und das muss gepatcht werden.
Ich schätze, die gute Nachricht dabei ist, dass jedes Programm, das von HTTP.sys abhängt, implizit mitgepatcht wird, sobald Sie diesen Patch durchgeführt haben, weil sie alle auf denselben Low-Level-Treiber angewiesen sind.
DOUG. Okay, was … Devil's Advocate spielen. Was soll ich tun, wenn ich aus irgendeinem Grund nicht sofort patchen kann?
ENTE. Ich habe eine Lösung gefunden, die in meinen begrenzten Tests funktioniert hat. Sehr einfach.
Sie gehen einfach in Ihre Registrierung (wir haben ein Skript auf Naked Security, das Ihnen zeigt, wie das geht) und ändern den sogenannten „Startcode“ für den HTTP-Windows-Dienst von dem Wert 3, was bedeutet bei Bedarf starten, auf den Wert 4.
Man muss nur wissen, dass 4 bedeutet deaktiviert; kann nicht starten.
Und das behebt dieses Problem im Wesentlichen, da keine Software diesen Treiber tatsächlich starten kann, daher kann nichts ihn tatsächlich verwenden, daher kann der Fehler nicht gekitzelt werden.
Die Kehrseite davon ist, dass keine Software diesen HTTP-Dienst verwenden kann. Wenn sich also herausstellt, dass Sie *eine* App haben, bei der, ohne dass Sie es merken, ein Teil ihrer Verwaltung auf einer webbasierten Konsole oder einer webbasierten API beruht … dann geht das auch nicht.
Das ist also keine dauerhafte Lösung; Es ist nur eine Problemumgehung.
Sie müssen diese HTTP.sys-Datei letztendlich als Teil des Patch Tuesday-Updates reparieren.
DOUG. Okay, das ist Wormable Windows HTTP-Lücke – was Sie wissen müssen auf nakedsecurity.sophos.com.
Jetzt ist es Zeit für Diese Woche in der Technologiegeschichte.
Damit Sie nicht glauben, dass wir in dieser Folge nur einmal über Würmer sprechen würden … diese Woche, am 20. Januar 1999, wurde der Welt der HAPPY99-Wurm vorgestellt, der auch als Ska oder Iworm bekannt ist. HAPPY99 wurde von mehreren Antiviren-Anbietern als ziemlich lästig gemeldet.
ENTE. Glauben Sie mir, es war riesig.
Und es hatte einen Trick, den Sie widerwillig mögen werden, Doug.
Die Gauner haben das gemacht, was man das „B-Ding“ nennt: am besten/brillant.
Sie vermieden es, Rechtschreib- oder Tippfehler zu machen oder schlechtes Englisch zu schreiben.
Sie haben all diese Probleme vermieden, indem sie einfach keinen Text hatten.
DOUG. Aaargh.
ENTE. Genial einfach, oder?
DOUG. Arrrrgh!
ENTE. Wenn Sie null Zeichen haben, müssen Sie ipso facto, haben keine Rechtschreibfehler, Tippfehler, Grammos, und so weiter.
Es kam einfach an; es war eine ausführbare Datei; es sagte HAPPY99.EXE; und wenn Sie es laufen ließen, zeigte es Ihnen ein kleines Feuerwerk.
DOUG. [DOWNCAST] Ja, in der Tat.
In Ordnung, nun, wir haben zwei ernsthafte Sicherheitsartikel in einer Reihe.
Die erste handelt von einem Linux Fehler bei der vollständigen Festplattenverschlüsselung das wurde behoben. Aber was geschah, bevor es repariert wurde?
ENTE. Wenn Sie unter Linux eine vollständige Festplattenverschlüsselung durchführen, ist dies normalerweise das Zeug, das sicherstellt, dass, wenn jemand Ihren Laptop stiehlt, sobald er ausgeschaltet ist, die Festplatte nur geschredderter Kohl ist, es sei denn, Sie geben ein Passwort ein …
…unter Linux verwenden Sie wahrscheinlich ein Ding namens LUKS, Linux Unified Key-Setup. Und um Ihnen bei der Verwaltung von LUKS zu helfen, gibt es ein Programm namens cryptsetup.
Leider hat cryptsetup, wie so oft bei Festplattenverschlüsselung, weil es so nützlich ist, eine Menge Funktionen – wahrscheinlich viel mehr, als Sie sich jemals vorstellen würden, dass Sie es brauchen würden.
Und eines der Dinge, die cryptsetup tun kann – die Option wird aufgerufen neu verschlüsseln.
Das bedeutet, dass, anstatt nur das Passwort zu ändern, das den Hauptverschlüsselungsschlüssel entschlüsselt, tatsächlich Ihre gesamte Festplatte entschlüsselt und neu verschlüsselt wird, *während Sie sie verwenden*, sodass Sie nicht das Ganze entschlüsseln müssen und riskieren, es zu haben es unverschlüsselt für eine Weile.
Das klingt alles fantastisch, außer dass das cryptsetup-Team Folgendes getan hat: Sie dachten: „Hey, wir könnten denselben Code verwenden, wenn jemand die Festplatte entschlüsseln muss“, als wollten sie die Verschlüsselung aus irgendeinem Grund tatsächlich entfernen.
Oder wenn sie eine Festplatte haben, die irgendwie nie verschlüsselt war, und jetzt die Verschlüsselung wieder hinzufügen möchten.
Also dachten sie: „Nun, das sind nur Sonderfälle der Neuverschlüsselung. Lassen Sie uns also das System verfälschen, anstatt sie als separate Dienstprogramme zu schreiben.“
Betrachten wir sie einfach als „abweichende Fälle“ von Reinfektionen…
DOUG. [Lacht]
ENTE. Um es kurz zu machen, es stellt sich heraus, dass, wenn Sie verwenden entschlüsseln or verschlüsseln Funktionen, anstatt die neu verschlüsseln Funktion, dann kümmert sich cryptsetup nicht ausreichend um die sogenannten Metadaten – die temporären Daten – die aufzeichnen, wie weit es gekommen ist.
Jemand, der Zugriff auf Ihren Computer hat * aber Ihr Passwort nicht kennt *, kann Ihre Festplatte modifizieren und das System im Grunde dazu bringen, zu denken: "Oh, ich war mitten in der Entschlüsselung, aber es ist auf halbem Weg abgebrochen."
Wenn Sie dies versuchen würden, während die Person *neuverschlüsselt*, würde es lauten: „Oh oh! Jemand hat Ihre Festplatte manipuliert: Sie müssen nachforschen!“.
Aber diese Überprüfungen, wenn Sie das reine *decrypt* verwendet haben, wurden nicht durchgeführt.
So könnte jemand Ihren Computer stehlen, während Sie nicht hinsehen, daran herumhantieren, und wenn Sie dann neu starten und tatsächlich Ihr Passwort eingeben, könnte zumindest ein Teil der Festplatte entschlüsselt werden.
Und Sie würden es nicht merken, aber Sie würden am Ende mindestens ein kleines Stück Ihrer Festplatte entschlüsseln.
Das heißt, wenn Sie sich auf die vollständige Festplattenverschlüsselung verlassen, um der Aufsichtsbehörde zu sagen: „Übrigens, wenn dieser Laptop gestohlen wird, kann ich Ihnen versprechen, dass hier überhaupt keine Klartextdaten vorhanden sind“ …
… Nun, Sie sagen vielleicht nicht die Wahrheit, denn es könnte einen kleinen, mittleren oder großen Datenblock geben, der *entschlüsselt* wurde, ohne dass Sie es merkten.
Und es kommt noch schlimmer!
Was eine Person tun könnte, ist Folgendes: Sie könnte einen Teil Ihrer Festplatte entschlüsseln und später wiederkommen. Wenn Sie es nicht bemerkt haben, könnten sie in diesen entschlüsselten Daten herumgraben, die nicht mehr integritätsgeschützt sind; es ist nur Klartext.
Sie könnten einige schlaue Modifikationen vornehmen: Vielleicht könnten sie einen Dateinamen ändern, oder, wenn sie Fragmente von etwas finden könnten, das wie Ihr Browserverlauf aussah, könnten sie einen Browserverlauf einfügen, der Sie tatsächlich wie eine sehr ungezogene Person aussehen lässt.
Dann könnten sie den Fehler rückwärts laufen lassen! Sie könnten sagen: „Du musst dieses Zeug neu verschlüsseln.“
Und wenn Sie das nächste Mal booten und Ihr Passwort eingeben, würde sich Ihre Disc „selbst heilen“, indem sie das versehentlich entschlüsselte Material neu verschlüsselt, aber * mit nicht autorisierten Änderungen darin *.
DOUG. Ooooooooh.
ENTE. Das klingt also wie: "Nun, das ist nicht wirklich ein Fehler, oder?"
Aber was es bedeutet, ist, dass jemand, dem Ihre schlimmsten Interessen am Herzen liegen (z. B. jemand, der Sie anzünden will), wenn er Zugriff auf Ihren Computer hat, wenn Sie nicht hinschauen, er könnte, *ohne jemals Ihr Passwort finden zu müssen* , fügen Sie Daten auf Ihrer Festplatte zusammen, die mit Ihrem Passwort verschlüsselt sind.
So konnten sie sagen: „Wie um alles in der Welt hätte ich das tun können? Ich kenne das Passwort nicht. Ich kann jedenfalls zweifelsfrei beweisen, dass ich das Passwort nicht kenne. Wenn es mit Ihrem Passwort verschlüsselt ist, nun ja, dann müssen Sie es getan haben.“
DOUG. Ja.
ENTE. Und das war eine kleine Lücke, die bedeutete, dass diese Annahme nicht unbedingt zutraf …
…und deshalb sollten Sie sich die neueste Version des cryptsetup-Programms besorgen, da es die Überprüfungen hinzufügt, die in den reinen Entschlüsselungs- und reinen Verschlüsselungsfunktionen enthalten sein sollten.
Es fügt Integritätsprüfungen hinzu, die sicherstellen, dass niemand versucht, eine Entschlüsselung oder Verschlüsselung auszulösen, ohne das Passwort im Voraus tatsächlich zu kennen.
Wenn Sie cryptsetup haben, ist die gewünschte Version 2.4.3 oder höher.
DOUG. In Ordnung, Sie können mehr darüber erfahren – den Artikel über Naked Security finden Sie unter Ernste Sicherheit: Linux-Fehler bei der Festplattenverschlüsselung behoben – jetzt patchen.
Nun, es fühlt sich gut an, wieder in einen Rhythmus, eine Kadenz zu kommen, wo eine weitere Woche vergeht …
… und wir haben jetzt eine Apple-Bug um darüber zu sprechen.
ENTE. [LACHT] Ich habe mich gefragt, worauf du damit hinaus willst, Doug!
Ja, das ist ein Apple-Bug. Und ärgerlicherweise ist es ein Fehler in Safari oder, was noch wichtiger ist, in WebKit, so könnte man die von Safari verwendete Browser-Engine nennen.
DOUG. [IRONISCH] Dann glaube ich, ich werde einfach Firefox für mein iPad herunterladen und es wird mir gut gehen, Paul. Rechts?
ENTE. Nun, das ist das Problem. Wenn es nicht macOS, sondern iOS oder iPadOS ist, verlangt Apple, dass alle Webbrowser-Apps WebKit verwenden.
In iOS und iPadOS haben Sie also nicht wirklich eine Problemumgehung. Oder was noch wichtiger ist, wenn Sie denken: „Oh, ich werde einfach Firefox holen“, wird Sie das nicht vor diesem Fehler bewahren.
DOUG. Was also verursacht hier eigentlich das Problem?
ENTE. Featureitis und Komplexität gelten als schädlich noch einmal, Doug.
DOUG. Was nochmal?
ENTE. Wieder wieder.
DOUG. Das wird zum Thema!
ENTE. Wie unsere Zuhörer sicher wissen werden, was heißt Stateful HTTP-Daten – mit anderen Worten, Dinge, die sich Ihr Browser merkt, sodass die Website erkennen kann, dass Sie es sind, wenn Sie zu einer Website zurückkehren…
Das ist natürlich gut für das Tracking, aber auch für Dinge wie „Soll ich die großen oder die kleinen Schriftarten verwenden? Soll ich mich im Handy- oder im Desktop-Modus befinden?“ All diese Dinge, die Sie zwischen einem Website-Besuch und dem nächsten behalten möchten.
…traditionell wurden diese von Datenobjekten namens behandelt Cookies.
Und ohne Cookies hätten wir niemals Websites haben können, auf denen Sie sich anmelden konnten, da sich die Website nicht merken könnte: „Hey, das ist dieselbe Person, die zurückkommt.“
Aber es stellt sich heraus, dass Cookies ineffizient sind, denn wenn Sie Cookies senden, müssen Sie jedes Mal, wenn Sie eine Seite auf der Website aufrufen, alle jemals von einer Website gesetzten Cookies senden, selbst wenn diese Seite sie nicht benötigt.
Aus diesem Grund haben die meisten Browser eine strenge Begrenzung, wie viele Cookie-Daten Sie haben können.
Also raten Sie mal, was passiert ist? Die Browser-Leute kamen zusammen und sagten: „Hey, lass uns etwas anrufen Webspeicher“, was wie große Cookies ist, auf die Sie mit JavaScript zugreifen können. Sie greifen mit JavaScript nur von einer bestimmten Webseite auf den Webspeicher zu, wenn Sie wissen, dass Sie die Daten benötigen.
Sie hatten also Cookies und Webspeicher; zwei unterschiedliche Technologien. Man benötigte kein JavaScript; man benötigte JavaScript. Einer war begrenzt, wie viele Zustandsdaten gespeichert werden konnten; der andere war viel flexibler und ließ Sie viel größere Objekte speichern.
Aber selbst Webspeicher war nicht gut genug, Doug, denn das Lustige scheint zu sein, dass je mehr wir die Cloud annehmen, desto mehr erwarten wir, dass sich unser Browser so verhält, als wäre er eine lokal installierte Anwendung.
Also kam ein Ding namens indexedDB, das ist, wenn Sie so wollen, eine DRITTE Art von Cookies.
Wir haben Cookies die in die Web-Header gehen; wir haben Webspeicher, eine Art lockere, informelle kleine Mini-Datenbank, auf die JavaScript zugreifen kann; und wir haben indexedDB, die fast, aber nicht ganz eine browserseitige SQL-Datenbank ist.
Es verwendet nicht wirklich SQL, aber es ermöglicht Ihnen das Speichern viel größerer Datenblöcke – wie ganze Dokumente oder ganze Sätze von Dokumenten, wenn Sie ein Content-Management-System verwenden, oder riesige Bilder, wenn Sie eine Cloud schreiben -basiertes Bildverarbeitungsprogramm zum Beispiel.
Sie haben Cookies für kleine Datenmengen; Webspeicher, wo Sie etwas mehr brauchen; und IndexedDB, wo Sie erhebliche Mengen an strukturierten Daten benötigen.
Denn wenn zwei Dinge etwas schlecht machen können …
DOUG. [Lacht]
ENTE. … drei Dinge können es anscheinend noch besser [PAUSE] machen.
Und das Problem ist – es ist wirklich winzig – dass es auf Safari oder auf WebKit eine spezielle Funktion gibt, die aufgerufen wird indexedDB.databases Wenn Sie es aufrufen, erhalten Sie eine Liste aller derzeit aktiven IndexedDB-Datenbanken, die dem Browser bekannt sind.
Aber es gibt jeder Webseite, jedem Tab, jedem Fenster, jeder Website Zugriff auf die vollständige Liste der *Namen* der Datenbank.
Es erzwingt die Gleiche Herkunftsrichtlinie Das besagt, dass Website X die IndexedDB-Datenbanken von Website Y nicht lesen kann, sodass eine Website nur auf ihr eigenes Cookie, ihren eigenen Webspeicher und ihre eigenen IndexedDB-Daten zugreifen kann.
Aber alle Registerkarten können auf die Liste der *Namen* der Datenbank zugreifen, was sich, so winzig es auch klingen mag, als ein Schritt zu weit herausstellt.
Denn wie die Forscher, die das gefunden haben – es ist eine Firma namens Fingerprint JS; Sie suchen nach Browser-Anomalien …
…wie sie feststellten, geben viele Mainstream-Websites, wenn sie eine dieser IndexedDB-Datenbanken für den eigenen Gebrauch erstellen, ihr einen etwas verräterischen Namen.
Sie nennen es nicht nur blah or db; Sie benennen es so, dass es angibt, zu welchem Dienst es gehört.
Das ist, als würde man einem Gauner sagen: „Ich habe Sie von allen Daten auf meinem Computer ausgeschlossen, aber ich *werde* Ihnen erlauben, eine Liste aller meiner Dateinamen herunterzuladen.“
DOUG. Ah ha!
ENTE. Sie können sich vorstellen, dass in Ihren Dateinamen, in Ihren sog Metadaten.
Und die andere Sache, die die Forscher herausfanden – sie haben das speziell für Google untersucht, aber das ist nicht wirklich die Schuld von Google; Google nicht beschuldigen…
…anscheinend verwendet Google Ihre Google-Benutzer-ID als Datenbanknamen, bei dem es sich um eine zufällige Zeichenfolge handelt.
Nun, das sagt niemandem, der diese eindeutige Kennung auflisten kann, nicht, *wer* Sie sind. Ein Gauner mit einer Website, die diese Funktion missbraucht, wird nicht wissen, dass „Doug“ durch diese bestimmte hexadezimale Zeichenfolge dargestellt wird.
Aber jedes Mal, wenn „Doug“ ihre Website besucht, selbst wenn „Doug“ einen Tracking-Schutz aktiviert hat, der versucht, sie daran zu hindern, herauszufinden, wo Sie gewesen sind …
…kommen Sie *mit derselben Google-Benutzer-ID* zurück, wenn Sie noch bei Google angemeldet sind.
Sie werden also nicht wissen, wer Sie sind, aber sie werden wissen, dass es dieselbe Person ist, die immer und immer wieder zurückkommt – ohne Cookies zu setzen oder selbst etwas Hinterhältiges zu tun.
Es ist fast so, als ob diese IndexedDB-Datenbankliste wie eine Art Supercookie fungieren könnte: Ich weiß nicht, wer es ist, aber ich weiß, dass es jedes Mal dieselbe Person ist.
Das sind Informationen, die Sie wahrscheinlich nie preisgeben wollten.
Und deshalb ist dieser Fehler wichtig, wenn man bedenkt, welche Anstrengungen die Browser-Hersteller im Laufe der Jahre unternommen haben, um all diesen Verrat zu eliminieren, den die Leute mit sogenannten Supercookies – hier verwenden Gauner Dinge wie „Welche Websites haben Sie mit HTTPS statt HTTP besucht?“ B. um zu verfolgen, wer Sie sind, oder „Welche Schriftarten haben Sie installiert?“ oder „Welche Bildschirmauflösung verwenden Sie?“.
All diese Dinge, die Leute zweifelhaft verwenden würden, um zu versuchen, Sie als einzelnen Benutzer zu erfassen, können mit IndexedDB durchgeführt werden.
Und wie wir schon oft beklagt haben, sagt Apple nicht, wann sie das beheben werden.
Aber der Grund, warum Fingerprint JS jetzt darüber geschrieben hat, ist, dass sie anhand der Open-Source-Komponenten in WebKit sehen können, dass Apple-Programmierer sich dies anzuschauen scheinen, und sie beginnen, eine ganze Menge Änderungen einzufügen, die das Problem beheben werden es.
Es wird also wahrscheinlich bald einen Patch für Safari/WebKit geben … aber Apple glaubt nicht daran, Ihnen mitzuteilen, dass er kommt.
Man muss nur davon ausgehen, dass es so ist. Beobachten Sie also diesen Raum.
DOUG. Okay, wir behalten das im Auge! Das ist Ernsthafte Sicherheit: Apple Safari gibt private Daten über die Datenbank-API preis – was Sie wissen müssen, auf nakedsecurity.sophos.com.
Und es ist diese Zeit der Show: die Oh! Nein! der Woche.
Reddit-Benutzer dilgentcockroach700 schreibt…
ENTE. Bedeutet das, dass vor ihm oder ihr 699 fleißige Kakerlaken liegen?
DOUG. Ich kenne! Stellen Sie sich vor, Sie versuchen, diesen Benutzernamen zu sichern!
ENTE. [GIBT VOR, EIN SUPPORT-BOT ZU SEIN] „Andere Benutzernamen, die Ihnen gefallen könnten …“
DOUG, ja, 700: viele Kakerlaken; sie sind schwer zu töten.
[DIE GESCHICHTE ERZÄHLEN] In den 1980er Jahren arbeitete ich für ein Telekommunikationsunternehmen in Großbritannien. Wir hatten einen PDP-11 der Digital Equipment Corporation, für den ich verantwortlich war und der sich in einem klimatisierten Raum befand.
Eines Montagmorgens kam ich ins Büro und stellte fest, dass der Computer komplett tot war. Ich eilte in den Computerraum und fand Leitern, Farbtöpfe, Pinsel und eine riesige Staubschutzfolie, die den PDP-11 vollständig bedeckte, der inzwischen so heiß war, dass er fast glühte.
(Wenn noch nie jemand so etwas gesehen hat, es ist ungefähr so groß wie ein Kühlschrank, den Sie in Ihre Küche stellen ... es ist ein riesiger Computer.)
Anscheinend hatte die Bürodienstleistungsabteilung entschieden, dass der Raum dekoriert werden musste, aber sich nicht die Mühe gemacht, es jemandem zu sagen.
Ich schaltete den Computer aus, entfernte die Staubschutzfolie und ließ ihn abkühlen.
Später versuchte ich, es neu zu starten, aber es würde nicht funktionieren. Am Ende musste ich DEC-Ingenieure aus den USA hinzuziehen und die meisten der gebratenen Einbauten ersetzen. Mein Vorgesetzter ließ die Bürodienstleistungsabteilung die Rechnung in Höhe von mehreren tausend Pfund aus ihrem Budget bezahlen.
Stellen Sie sich also vor – ein riesiger Computer in der Größe eines Kühlschranks – wie heiß das werden würde …
ENTE. [Lacht]
DOUG. …und dann eine Malerplane darüber zu legen, um den Raum zu streichen, in dem es sich befand.
ENTE. Das war die teuerste Farbe der Welt!
DOUG. Ähm!
Nun, ich vermute, dass sie diesen PDP-11 inzwischen wahrscheinlich durch etwas schlankeres ersetzt haben.
ENTE. Wahrscheinlich zehnmal stärker, wie ein Raspberry Pi Zero.
DOUG. Oder ein Handy!
Jedenfalls, wenn Sie eine haben Oh! Nein! Sie einreichen möchten, wir würden es gerne im Podcast lesen.
Sie können eine E-Mail senden tips@sophos.com, Sie können jeden unserer Artikel kommentieren oder uns in den sozialen Netzwerken besuchen @nakedsecurity.
Das ist unsere Show für heute – vielen Dank fürs Zuhören.
Für Paul Ducklin bin ich Doug Aamoth und erinnere Sie daran …
Bis zum nächsten Mal…
BEIDE. … bleiben Sie sicher!
[MUSIKMODEM]
