今すぐ聞く
下の音波をクリックしてドラッグし、任意のポイントにスキップします。 あなたもすることができます 直接聞く Soundcloudで。
ダグ・アーモスとポール・ダックリンと。
イントロとアウトロの音楽 エディスマッジ.
あなたは私たちに聞くことができます Soundcloud, Apple Podcasts, Googleポッドキャスト, Spotifyは, 縫い合わせます そして、その良いポッドキャストが見つかるところならどこでも。 または単にドロップします RSSフィードのURL お気に入りのポッドキャッチャーに。
トランスクリプトを読む
ダグ・アーモス。 ロマンス、詐欺、バグ、ワーム、REvilランサムウェア。
NakedSecurityポッドキャストでそれ以上のことを。
【ミュージックモデム】
皆さん、ポッドキャストへようこそ。
私はダグです。 彼はポールです…
ポール・ダックリン。 よくやった、ダグ…今週は正解です!
ダグ。 それはどうもありがとう! 先週私は混乱しました…
アヒル。 あなたは自分自身を混乱させませんでした。
ダグ。 でも、その間違いを犯すのに65話かかったので、自分自身をとても誇りに思っています。
再び起こるかもしれませんが…
アヒル。 そうです。今日はルート66にいます。
ダグ。 私たちです。
アヒル。 それはかなり大したことです、ダグ。
ダグ。 はい。
そして、ルート66と同じように、今週はたくさんのアトラクションを見ることができます–フルドケット。
アヒル。 【セグエでの笑い】あなたの作品が大好きです!
ダグ。 私たちはショーを始めるのが好きです 楽しい事実.
そして通常、楽しい事実はに関連しています 今週の技術史 セグメント。
しかし、今週はそうではありません。なぜなら、ここはとても寒く、多くの人が冬用の帽子をかぶっていたからです。 私は人々のグループを見て、「帽子の上にあるポンポンは何ですか? それはどこから来ましたか?"
だから私はそれを調べました、そしてなぜいくつかの冬用帽子がそれらのふわふわのポンポンを上に持っているのか疑問に思うなら、どうやら彼らは昔フランスの船乗りが外出中に船の低い天井にぶつからないように頭を保護するために着用していました海。
それらは荒れた海で特に効果的でした。
ですから、帽子の上にポンポンがある場合は、フランス人の船乗りに感謝します。
アヒル。 ああ、それは実際にパディングでしたか?
ダグ。 はい。
地下室と洗濯室の天井がとても低いので、ポンポンの帽子をかぶって歩き回って、頭をかなり叩いたので、それが役立つかどうかを確認します。
アヒル。 マウスマットをダクトテープで留めることもできます…ご存知のとおり、頭の上にダクトテープを貼って、あごの下にダクトテープで留めます。
ダグ。 [笑い]当時彼らがネオプレンを持っていたかどうかはわかりませんが、それは良い考えです。
さて、話しましょう…カバーするストーリーがたくさんあります。
XNUMXつ目:ランサムウェアを事実上終了したとされる REvilランサムウェアクルーの胸像 ロシアで。
[皮肉]私たちが知っているように、ランサムウェアの終わりですよね?
アヒル。 ええと、ロシア連邦保安局であるFSBでさえ、実際には破産しましたが、実際にはそうは言いませんでした。
過去に多くの批判がありました…
…ロシア人は、ドイツ人やフランス人のように、そして多くの国々のように、彼ら自身の市民を引き渡さないと思います。 したがって、それらの国の人々を他の国に対して犯した犯罪で起訴させたい場合は、基本的にその国に必要な証拠を提供する必要があります。
そして、ロシアがそうすることをあまり望んでいないように思われたという多くの批判があります。
この場合、彼らはそうであったように見えます:どうやら、25の番地がさまざまな異なる都市で襲撃されました。
彼らは14人が標的にされていると述べたが、最終的に何人が逮捕されたかについては述べていない。
しかし、いくつかの逮捕がありました。 加えて、20台の高級車が牽引され、犯罪の収益で購入されたようです。 そして、前にも言ったように、最近の平均的な高級車には、エンターテインメントシステム、衛星測位システム、車に組み込まれている電話など、さまざまなフォレンジックデータが含まれている可能性があります。
そして、彼らはルーブル、米ドル、ユーロ、クリプトコインで6,000,000ドルから7,000,000ドルのようなものを手に入れました。
そのため、FSBは、襲撃の結果、「このサイバーギャングは存在しなくなり、その犯罪インフラストラクチャは無力化された」と述べ、達成したことについて非常に強気でした。 だから、それはREvilです。
彼らは、「私たちが知っているように、ランサムウェアの終わりです」とは言いませんでした。明らかにそうではないからです。
REvilが実際に痕跡を残さずに沈んだとしても、XNUMXつの問題があります。[a]REvilが生まれたランサムウェアギャングは他にもたくさんあります。 [b]悲しいことに、ランサムウェアにはほとんど関心がないが、REvilではないにもかかわらず、それでも多くの悪を行うことができる詐欺師が関与する他の種類のサイバー犯罪がたくさんあります。
ダグ。 かしこまりました!
しかし、それでも正しい方向への一歩は?
アヒル。 はい、文句は言えないと思います!
しかし、それはまだすべてです。早期にパッチを適用し、頻繁にパッチを適用します。 警戒を怠らないでください。 治療よりも予防が大切です; ユーザーに投資します。
ダグ。 私たちは私たちの中でより多くのアドバイスを持っています ランサムウェアの状態2021 レポートは、という記事にリンクされています ロシアで逮捕されたとされるREvilランサムウェアの乗組員、FSBは言う nakedsecurity.sophos.comで。
別のバストに沿ってシミーしましょう:700人近くの女性をターゲットにしたロマンス詐欺師が 懲役28ヶ月.
アヒル。 英国家犯罪対策庁が指摘するように、ロマンス詐欺全般に関して、「ロマンス詐欺の被害者だと思っているすべての人に、恥ずかしさや恥ずかしさを感じないように勧めたいのですが、報告してください。それ。"
英国家犯罪対策庁は、誰かが「ねえ、私はこの人に送金したので、今は送金すべきではないと思う」と言わなかった場合、彼らが喜んで送金したと主張した場合、彼らは彼らが詐欺されたとは考えていません、そして私は詐欺が起こっていないと思います。
そして、それがこのようなサイバー犯罪の問題です。
ダグ。 はい、記事には悲痛なコメントがXNUMXつあり、最後にもうXNUMXつの高揚するコメントがあります。
私たちの読者の一人は、彼のお母さんが詐欺に遭っていると思っており、彼女は家族が彼女のことを話そうとしていることにうまく反応していません。 それから、彼らが詐欺師を赤字で捕まえた別の話があります。これは一種の興味深い話でした。
アヒル。 残念ながら、これらの犯罪は人々を心を痛め、困窮させるだけではありません。 彼らはまたあなたの家族の輪に巨大な裂け目を残すことができます。
その男は、「これが彼女の人生の愛であるとは思わないので、私の母は私に話しかけるのをやめました。」と言いました。
私たちが本当にできる唯一のアドバイスは、あなたが詐欺に巻き込まれているかもしれないインクリングさえ持っているなら、それを認めなければならないことはどんなに心が痛むことになるとしても、あなたの友人に「手を見せない」ことです彼らがあなたに警告しようとしているなら、そして家族。
彼らは間違っているかもしれませんが、彼らは非常に、非常に正しい可能性があります…それで彼らに公正な聴聞会を与えてください。
ダグ。 OK、記事にアドバイスがあり、役立つビデオが ロマンス詐欺:何をすべきか?.
友達や家族があなたに警告しようとするなら、彼らの話を聞くことについて話しました。 また、次のようなものもあります。警察に報告することを検討してください。 巻き込まれたとしても自分を責めないでください。 サポートグループを探します。 そして最も重要なのは、それが詐欺だと気づいたらすぐに出て行くことです。
アヒル。 はい、特に、そこでの私のアドバイスは次のとおりです。詐欺師に「ああ、私はあなたを疑うようになり始めています。 自分を証明する最後のチャンスをお届けします。」
彼らが詐欺師である場合、彼らはすでにここまであなたを巻き込んでいることを忘れないでください。
あなたは彼らがあなたが今持っている一つの小さな異議であまりにも多くの問題を抱えていると思いますか?
詐欺だと判断した場合は、彼らに言わないでください。連絡を切り、地元のサポートグループを探してください。
ちなみに、詐欺師とのつながりを断ち切った場合、サポートグループ、法執行機関、または詐欺のお金を取り戻すのを手伝ってくれる会社を代表していると主張する誰かから突然連絡があった場合は、細心の注意を払ってください。
それが古典的な「カウンター詐欺」だからです。
詐欺師は、あなたが本当に詐欺師であると判断したことに気付くと、詐欺師のふりをしようとします。
二度詐欺に遭うケースはたくさんあります。 詐欺から撤退する場合は、実際に知っていて、会うことができ、顔を合わせて信頼できる人だけに対処してください。
オンラインで提供してくる人から助けを借りるだけでなく、詐欺師が戻ってくる可能性があります。
ダグ。 [SAD]素晴らしい。 人間の行動の喜び。
あれは 670人の女性を狙ったロマンス詐欺師が28か月の刑務所に入る nakedsecurity.sophos.comで。
人間のワームからWindowsのワームに移行します。 ワーム可能なWindowsHTTPホール.
ポール、これについて何を知る必要がありますか?
アヒル。 これは2022年までの魅力的なスタートでしたね。 これは、火曜日の今月のパッチで修正された多くのセキュリティバグのXNUMXつでした…
ダグ。 それは大きなものでした!
アヒル。 102個のバグがあったと思います!
しかし、そのうちのXNUMXつは、おそらく「このバグは、誰もが知っているMicrosoft Webサーバーにある」とは言わなかったため、最初はそれほど有害ではなかったようです。
それはちょうどとして記述されました HTTPプロトコルスタックのリモートコード実行の脆弱性、またはCVE-2022-21907。
ですから、あなたは「ああ、それは低レベルのコードのことです。 私はIISを実行していないので、おそらく私には当てはまりません。」
そしてその意味で、それは少し似ていました Log4jで発生した問題、誰もが「私はJavaサーバーを持っていません」と言った。
そして、私たちは言いました:いいえ、それはサーバーについてではありません。 それはJavaで書かれたアプリについてです。
「私はそれらの多くを持っていません…」あなたは確かですか?
「まあ、私はそれらのいくつかを持っていますが、それらの多くはLog4jを実行していません…」よろしいですか?
そして、以前のいくつかのポッドキャストで述べたように、人々がLg4jを探しに行くと、「ゴリー、思ったよりもたくさんある」と気付くでしょう。
ここでの問題は非常に似ています。つまり、HTTP.sysは、*IISを含む*Web要求を受け入れて応答するプログラムが必要な場合にHTTPサービスを提供する低レベルのドライバーです。
実際、IISはこのHTTP.sysの上に実装されていますが、これを使用する可能性のあるアプリケーションは、数十、数百、または数千にすぎません。
パッチを適用していない場合、認識しているかどうかに関係なく、ある種のWebコンソール、Webインターフェイス、または接続可能なWebポートを含むプログラムは、このバグのリスクにさらされる可能性があります。
そして、マイクロソフトがこの特定のパッチのよくある質問リストで「これはワーム可能ですか?」と言ったように、誰もが興奮したのは、誰かがそれを使って自己拡散ウイルスを書くことができるということです…
ダグ。 はい!
アヒル。 彼らは本当にその一言を入れました!
ダグ。 [笑い]「はい。 終止符。」
アヒル。 そして彼らは、「マイクロソフトは、影響を受けるサーバーのパッチ適用を優先することを推奨しています」と述べました。
さて、私の意見では、これはサーバーにのみ影響するという推測につながるため、その表現はやや不幸でした。 サーバー以外のどこでHTTPサービスをリッスンしますか?
もちろん、答えは次のとおりです。最近のプログラムの負荷と負荷は、GUIとしてHTTPを使用し、インターフェイスとして使用していますね。 エンドユーザー向けに設計されたプログラムであっても、多くの場合Webコンソールがあります。
このバグは、Windows自体の低レベルのドライバーの機能であり、パッチを適用する必要があります。
その良いニュースの部分は、このパッチを実行すると、HTTP.sysに依存するすべてのプログラムが、同じ低レベルドライバーに依存しているため、暗黙的にパッチが適用されることだと思います。
ダグ。 さて、何…悪魔の代弁者を演じています。 何らかの理由ですぐにパッチを適用できない場合はどうすればよいですか?
アヒル。 私は自分の限られたテストで機能する修正を思いついた。 とてもシンプルです。
レジストリにアクセスするだけで(Naked Securityにこれを行う方法を示すスクリプトがあります)、HTTPWindowsサービスの「開始コード」と呼ばれるものを値3から変更します。 必要に応じて開始、値4に。
あなたはただ4が意味することを知っている必要があります 無効; 開始できません.
そして、それは本質的にこの問題を修正します。なぜなら、ソフトウェアは実際にこのドライバーを起動できず、したがって実際には何も使用できないため、バグをくすぐることができないからです。
その反面、ソフトウェアはこのHTTPサービスを使用できないため、気付かないうちに管理の一部がWebベースのコンソールまたはWebベースのAPIに依存しているアプリを*持っている*ことが判明した場合…それでもうまくいきません。
したがって、これは永続的な解決策ではありません。 これは単なる回避策です。
最終的には、火曜日のパッチ更新の一部としてこのHTTP.sysファイルを修正する必要があります。
ダグ。 OK、それは ワーム可能なWindowsHTTPホール–知っておくべきこと nakedsecurity.sophos.comで。
さあ、 今週の技術史.
このエピソードでワームについて話すのは20回だけだと思わないでください…今週、1999年99月99日、世界はSkaまたはIwormとしても知られるHAPPYXNUMXワームに紹介されました。 HAPPYXNUMXは、いくつかのアンチウイルスベンダーから、首にかなり大きな痛みがあると報告されました。
アヒル。 私を信じてください、それは陽気に巨大でした。
そして、それはあなたがしぶしぶ好きになるトリックを持っていました、ダグ。
詐欺師はあなたが「Bのこと」と呼ぶものをしました:最高/素晴らしい。
彼らは、つづりの間違いやタイプミスをしたり、悪い英語を書いたりすることを避けました。
彼らは単にテキストを持たないことによってそれらすべての問題を回避しました。
ダグ。 アーグ。
アヒル。 見事にシンプルですね。
ダグ。 ああ!
アヒル。 文字がゼロの場合は、次のことを行う必要があります。 IPSO上、スペルミス、タイプミス、グラム、 エトセトラ.
それは単に到着しました。 それは実行可能ファイルでした。 HAPPY99.EXEと表示されました。 実行すると、小さな花火大会が表示されました。
ダグ。 [ダウンキャスト]はい、確かに。
さて、XNUMXつの深刻なセキュリティ記事が並んでいます。
XNUMXつ目はLinuxについてです フルディスク暗号化のバグ それは修正されました。 しかし、それが修正される前に何が起こったのでしょうか?
アヒル。 通常、Linuxでは、フルディスク暗号化を実行しているときに、電源をオフにした後で誰かがラップトップを盗んだ場合、パスワードを入力しない限り、ディスクはキャベツを細かく刻みます…
…Linuxでは、おそらくLUKSと呼ばれるものを使用しています。 Linuxユニファイドキーのセットアップ。 また、LUKSの管理を支援するために、cryptsetupというプログラムがあります。
残念ながら、フルディスク暗号化は非常に便利であるためによくあることですが、cryptsetupには非常に多くの機能があります。おそらく、必要と思われるよりもはるかに多くの機能があります。
そして、cryptsetupが実行できることのXNUMXつ–オプションはと呼ばれます 再暗号化.
つまり、マスター暗号化キーを復号化するパスワードを変更するだけでなく、実際にはハードドライブ全体を*使用中に*復号化して再暗号化するため、すべてを復号化する必要がなく、リスクがあります。しばらくの間暗号化されていません。
cryptsetupチームが行ったことを除けば、すべてが素晴らしく聞こえます。彼らは、何らかの理由で実際に暗号化を削除したいのと同じように、「誰かがディスクを復号化する必要がある場合は、同じコードを使用できます」と考えました。
または、どういうわけか暗号化されていないディスクを持っていて、暗号化を追加し直したい場合。
そこで彼らは、「まあ、それらは再暗号化の特殊なケースにすぎません。 それで、それらを別々のユーティリティとして書くのではなく、システムをごまかしましょう。」
再感染の「逸脱したケース」としてそれらを実行しましょう…
ダグ。 [笑い]
アヒル。 長い話を短くするために、あなたが使用している場合は 復号化 or 暗号化する 関数ではなく、 再暗号化 関数の場合、cryptsetupは、メタデータ(一時データ)と呼ばれるものを十分に考慮しません。メタデータは、その取得距離を記録します。
したがって、コンピュータにアクセスできる*がパスワードを知らない*誰かがハードディスクを変更して、基本的にシステムをだまして「ああ、私は復号化の最中だったが、途中で壊れた」と思わせることができます。
その人が*再暗号化*しているときにそれを行おうとすると、次のようになります。 誰かがあなたのディスクを改ざんしています:あなたは調査する必要があります!」
ただし、純粋な*復号化*を使用している場合、これらのチェックは行われませんでした。
そのため、あなたが見ていなくても誰かがあなたのコンピュータを手に入れ、それをいじって、あなたが再起動して実際にパスワードを入力すると、ディスクの少なくとも一部が復号化される可能性があります。
そして、気付かないでしょうが、ディスクの少なくともXNUMXつのビットが復号化されることになります。
つまり、フルディスク暗号化に依存して規制当局に「ちなみに、このラップトップが盗まれた場合、ここにプレーンテキストデータがまったくないことを約束できます」と言う場合…
…まあ、あなたは真実を言っていないかもしれません。なぜなら、あなたが気付かないうちに復号化されたデータの小、中、大のチャンクがあるかもしれないからです。
そしてそれはさらに悪化します!
人ができることはこれです:彼らはあなたのディスクのチャンクを解読し、後で戻ってくることができます。 気づかなかった場合、彼らはその復号化されたデータを掘り下げて、完全性が保護されなくなっている可能性があります。 平文です。
彼らはいくつかの狡猾な変更を加える可能性があります。ファイル名を変更したり、閲覧履歴のような断片を見つけた場合は、閲覧履歴を挿入して、本当にいたずら好きのように見せたりすることができます。
その後、バグを逆方向に実行できます。 彼らは、「このようなものを再暗号化する必要があります」と言うことができます。
そして、次に起動してパスワードを入力すると、誤って復号化されたものを*不正に変更して*再暗号化することで、ディスクが「自動的に修復」されます。
ダグ。 Ooooooooooh。
アヒル。 つまり、これは「まあ、それは実際にはバグではありませんね」のように聞こえます。
しかし、それが意味するのは、あなたの最悪の関心を持っている人(たとえば、あなたをガス灯で照らしたい人)が、あなたが見ていないときにあなたのコンピュータにアクセスできれば、*パスワードを見つける必要なしに*できるということです。 、パスワードで暗号化されたディスク上のデータをつなぎ合わせます。
それで彼らはこう言うことができましたパスワードがわかりません。 とにかく、合理的な疑いを超えて、私はパスワードを知らないことを証明することができます。 パスワードで暗号化されている場合は、*あなた*がそれを行っている必要があります。」
ダグ。 はい。
アヒル。 そして、これは小さな抜け穴であり、仮定が必ずしも成り立たないことを意味しました…
…したがって、最新バージョンのcryptsetupプログラムを入手する必要があります。これは、純粋な復号化および純粋な暗号化機能に必要なチェックが追加されるためです。
整合性チェックが追加され、事前にパスワードを実際に知らなくても、誰も復号化または暗号化をトリガーしようとしないようにします。
cryptsetupがある場合、必要なバージョンは 2.4.3 以降。
ダグ。 さて、あなたはそれについてもっと学ぶことができます–記事はNakedSecurityに関するものです。 深刻なセキュリティ:Linuxフルディスク暗号化のバグが修正されました–今すぐパッチを適用.
さて、次の週が経過するリズム、リズムに戻るのは気分がいいです…
…そして今、 Appleのバグ 話します。
アヒル。 [笑い]ダグ、あなたはどこに行くのだろうと思っていました!
はい、これはAppleのバグです。 そして厄介なことに、これはSafariのバグであり、おそらくもっと重要なのはWebKitのバグです。これは、Safariが使用するブラウザエンジンと呼ばれるものです。
ダグ。 [皮肉なことに]それなら、iPad用のFirefoxをダウンロードして、大丈夫だと思います、ポール。 右?
アヒル。 まあ、それが問題です。 macOSではなくiOSまたはiPadOSの場合、AppleはすべてのWebブラウジングアプリでWebKitを使用する必要があります。
したがって、iOSとiPadOSでは、実際には回避策はありません。 さらに重要なことに、「ああ、Firefoxを入手するだけだ」と思ったとしても、このバグからあなたを救うことはできません。
ダグ。 では、実際にここで問題を引き起こすのは何ですか?
アヒル。 これは、 有害と見なされる特徴炎と複雑さ もう一度、ダグ。
ダグ。 何、また?
アヒル。 もう一度、もう一度。
ダグ。 これがテーマになりつつあります!
アヒル。 私たちのリスナーが確かに知っているように、何が呼ばれています ステートフルHTTPデータ –つまり、Webサイトに戻ったときに、Webサイトが戻ってきたことを通知できるように、ブラウザーが記憶していること…
もちろん、これは追跡には適していますが、「大きなフォントを使用するべきか、小さなフォントを使用するべきか」などの場合にも役立ちます。 携帯電話モードにするべきですか、それともデスクトップモードにするべきですか?」 あるWebサイトにアクセスしてから次のWebサイトにアクセスするまでの間に保持したいものすべて。
…伝統的に、それらはと呼ばれるデータオブジェクトによって処理されていました クッキー.
そして、Cookieがなければ、ログインを許可するWebサイトはあり得ませんでした。なぜなら、Webサイトは、「ねえ、これは同じ人が戻ってきた」ということを思い出せないからです。
しかし、Cookieを送信するときは、Webサイトのいずれかのページに接続するたびに、そのページでCookieが必要ない場合でも、Webサイトによって設定されたすべてのCookieを送信する必要があるため、Cookieは非効率的であることがわかります。
したがって、ほとんどのブラウザには、保持できるCookieデータの量に厳しい制限があります。
では、何が起こったと思いますか? ブラウザの人たちが集まってこう言いました Webストレージ、」これは、JavaScriptでアクセスできる大きなCookieのようなものです。 データが必要であることがわかっている場合にのみ、特定のWebページからJavaScriptを使用してWebストレージにアクセスします。
つまり、CookieとWebストレージがありました。 XNUMXつの異なるテクノロジー。 JavaScriptは必要ありませんでした。 XNUMXつはJavaScriptが必要でした。 XNUMXつは、保存できる状態データの量に制限がありました。 もうXNUMXつははるかに柔軟性があり、はるかに大きなオブジェクトを保存できます。
しかし、Webストレージでさえ十分ではありませんでした、ダグ、面白いことに、クラウドを採用すればするほど、ブラウザーがローカルにインストールされたアプリケーションであるかのように動作することが期待されます。
それで、一緒に呼ばれるものが来ました IndexedDB、これは、必要に応じて、XNUMX番目のタイプのCookieです。
私たちは持っている クッキー Webヘッダーに含まれます。 私たちは持っている Webストレージ、これは、JavaScriptがアクセスできる一種の緩い非公式の小さなミニデータベースです。 そして、私たちは持っています IndexedDB、これはブラウザ側のSQLデータベースです。
実際にはSQLを使用しませんが、ドキュメント全体やドキュメントのセット全体など、はるかに大きなデータのチャンクを保存できます。コンテンツ管理システムを使用している場合は、大量の画像を保存できます。クラウドを作成している場合は、大量の画像を保存できます。たとえば、ベースの画像処理プログラム。
少量のデータ用のCookieがあります。 もう少し必要なWebストレージ。 大量の構造化データが必要なIndexedDB。
XNUMXつのことが悪いことをすることができるとき…
ダグ。 [笑い]
アヒル。 …明らかに、XNUMXつのことが[一時停止]よりもうまくいくことができます。
そして問題は、SafariやWebKitには、と呼ばれる特別な関数があるということです。 indexedDB.databases これを呼び出すと、ブラウザで認識されている現在アクティブなすべてのIndexedDBデータベースのリストが表示されます。
ただし、任意のWebページ、任意のタブ、任意のウィンドウ、任意のWebサイトに、データベースの*名前*の完全なリストへのアクセスを提供します。
それは強制します 同一生成元ポリシー つまり、WebサイトXはWebサイトYのIndexedDBデータベースを読み取ることができないため、Webサイトは独自のCookie、独自のWebストレージ、および独自のIndexedDBデータにのみアクセスできます。
しかし、すべてのタブがデータベースの*名前*のリストにアクセスできます。これは、聞こえるほど小さいものですが、一歩遠すぎることがわかります。
これを見つけた研究者として–それはFingerprintJSと呼ばれる会社だからです。 彼らはブラウザの異常を探しに行きます…
…彼らが発見したように、多くの主流のWebサイトは、自分で使用するためにこれらのIndexedDBデータベースのXNUMXつを作成するときに、少しわかりやすい名前を付けます。
彼らはそれを単に呼ぶのではありません blah or db; 彼らはそれがどのサービスに属しているかを示す方法でそれに名前を付けます。
これは、詐欺師に「コンピューター上のすべてのデータからあなたを締め出しましたが、すべてのファイル名のリストをダウンロードさせます」と言っているようなものです。
ダグ。 あはは!
アヒル。 あなたはあなたのファイル名、いわゆるあなたのファイル名にたくさんの秘密があることを想像することができます .
そして、研究者が発見した他のこと–彼らは特にグーグルのためにこれを調べました、しかしこれは実際にはグーグルのせいではありません。 グーグルを非難しない…
…どうやらGoogleはあなたのGoogleユーザーIDをデータベース名として使用しているようです。これはランダムな文字列です。
さて、それはあなたが誰であるかというその一意の識別子をリストできる誰かを教えてくれません。 この機能を悪用しているWebサイトを持っている詐欺師は、「ダグ」がこの特定のXNUMX進文字列で表されていることを知りません。
しかし、「ダグ」が彼らのウェブサイトにアクセスするたびに、たとえ「ダグ」が追跡保護を持っていたとしても、あなたがどこにいたのかを彼らが理解するのを止めようとします…
…まだGoogleにログインしている場合は、*同じGoogleユーザーID*で戻ってきます。
したがって、彼らはあなたが誰であるかを知りませんが、Cookieを設定したり、自分自身の悪意のあることをしたりすることなく、同じ人物が何度も何度も戻ってくることを知っています。
このIndexedDBデータベースリストが一種のスーパークッキーのように機能するかのようです。それが誰であるかはわかりませんが、毎回同じ人物であることは知っています。
それはおそらくあなたが決して与えるつもりはなかった情報です。
そして、それがこのバグが重要である理由です。ブラウザメーカーが長年にわたって人々がいわゆる スーパークッキー –ここで、詐欺師は「HTTPではなくHTTPSを使用してどのWebサイトにアクセスしたことがありますか?」などを使用します。 あなたが誰であるか、「どのフォントをインストールしましたか?」、または「どの画面解像度を使用していますか?」を追跡する方法として。
個々のユーザーとしてあなたをフィンガープリントするために人々が疑わしく使用するすべてのことは、IndexedDBを使用して実行できます。
そして、私たちが以前に何度も嘆いたように、Appleは彼らがこれをいつ修正するのかを言っていません。
しかし、Fingerprint JSが今それについて書いた理由は、WebKitのオープンソースコンポーネントから、Appleプログラマーがこれを見ているように見え、修正される変更の全体の負荷にマージし始めているためです。それ。
ですから、Safari / WebKitのパッチはおそらく間もなく登場します…しかし、Appleはそれが登場することをあなたに伝えることを信じていません。
あなたはそれがそうであると仮定する必要があります。 だからこのスペースを見てください。
ダグ。 OK、それを監視します! あれは 深刻なセキュリティ:AppleSafariがデータベースAPIを介してプライベートデータをリークする–知っておくべきこと、nakedsecurity.sophos.comで。
そして、それはショーのその時です: ああ! 番号! その週の。
Redditユーザーdilgentcockroach700の書き込み…
アヒル。 それは彼または彼女の前に699の勤勉なゴキブリがいることを意味しますか?
ダグ。 知っている! そのユーザー名を保護しようとしていると想像してみてください!
アヒル。 [サポートボットになるふりをする]「あなたが好きかもしれない他のユーザー名…」
ダグ、はい、700:ゴキブリがたくさん。 彼らを殺すのは難しい。
[物語を語る]1980年代に、私は英国の電気通信会社で働いていました。 私が担当していたDigitalEquipmentCorporationのPDP-11は、環境管理された部屋にありました。
ある月曜日の朝、私はコンピューターが完全に死んでいるのを見つけるためにオフィスに着きました。 私はコンピューター室に急いで行き、はしご、ペンキのポット、ペイントブラシ、そしてPDP-11を完全に覆っている巨大なダストシートを見つけました。
(誰もそれらのXNUMXつを見たことがない場合、それはあなたがあなたの台所に置いた冷蔵庫のサイズとほぼ同じです…それは巨大なコンピューターです。)
どうやら、オフィスサービス部門は部屋を装飾する必要があると判断したようですが、誰にもわざわざ言うことはありませんでした。
コンピューターの電源を切り、ダストシートを取り除き、放冷しました。
後で再起動しようとしましたが、機能しませんでした。 結局、米国からDECのエンジニアを呼ぶ必要があり、揚げた内部のほとんどを交換しました。 私のマネージャーは、オフィスサービス部門に予算から数千ポンドの請求書を支払わせました。
それで、想像してみてください–冷蔵庫のサイズの巨大なコンピューター–それがどれほど熱くなるか…
アヒル。 [笑い]
ダグ。 …そして、画家の防水シートをその上に置いて、それがあった部屋をペイントします。
アヒル。 それは世界で最も高価な塗料でした!
ダグ。 うん!
まあ、私は今までに彼らがおそらくそのPDP-11をもう少し洗練されたものに置き換えたと推測しています。
アヒル。 Raspberry Pi Zeroのように、おそらくXNUMX倍強力です。
ダグ。 または携帯電話!
とにかく、あなたが持っているなら ああ! 番号! 送信したい場合は、ポッドキャストで読んでください。
メールできます tips@sophos.com、あなたは私たちの記事のいずれかにコメントすることができます、またはあなたはソーシャルで私たちを打つことができます @nakedsecurity.
それが今日の私たちのショーです–聞いてくれてありがとう。
ポール・ダックリンの場合、私はダグ・アーモスです。
次回まで…
どちらも。 …安全を確保してください!
【ミュージックモデム】
