아래에 오디오 플레이어가 없습니까? 듣다 직접 사운드클라우드에서.

더그.  블루투스 트래커, 귀찮은 부트킷, 취업 안 하는 방법.

Naked Security 팟캐스트에서 이 모든 것.

[뮤지컬 모뎀]

팟캐스트에 오신 것을 환영합니다.

저는 Doug Aamoth입니다.

그는 폴 더클린...

Tech History에서 이 정보를 즐겨보세요.

이번 주, 11년 1979월 XNUMX일, 세계는 스프레드시트 재계산을 자동화하는 프로그램인 VisiCalc 또는 Visible Calculator를 처음으로 보게 되었습니다.

Harvard MBA 후보자 Daniel Bricklin과 프로그래머 Robert Frankston의 발명품인 VisiCalc는 Apple II를 실행 가능한 비즈니스 기계로 효과적으로 전환시켰고 첫 해에 100,000개 이상을 판매했습니다.

오리.  대단해, 더그.

전산화된 스프레드시트를 처음 보았을 때를 기억합니다.

저는 일을 하고 있지 않았습니다... 저는 그저 어린아이였고 제가 이것에 대해 읽은 바에 따르면 그것은 단지 미화된 전체 화면 계산기였습니다.

그러나 이 모든 종속성을 포함하여 모든 것을 다시 실행할 수 있는 계산기라는 것을 깨달았을 때 더 현대적인 용어를 사용하면 "마음이 날아갔다", Doug였습니다.

더그.  컴퓨팅 초기에 매우 중요한 응용 프로그램입니다.

첫 번째 이야기에 들어갈 때 응용 프로그램에 집중합시다.

Paul, 내가 애플리케이션 보안 분야에서 일자리를 찾고 있다면 내가 할 수 있는 최선의 방법은 인기 있는 애플리케이션 공급망을 독살하는 것입니다.

그게 맞습니까?

PHP Packagist 공급망이 "구직 중인" 해커에 의해 중독됨

오리.  예, 그러면 패키지를 설명하는 JSON 파일을 수정할 수 있고 "이것은 QR 코드를 만드는 데 도움이 되는 패키지입니다"라고 말하는 대신 예를 들어 "Pwned by me. 애플리케이션 보안 분야에서 일자리를 찾고 있습니다.”

[웃음]

그리고 누가 당신을 고용하기 위해 서두르지 않겠습니까, Doug?

더그.  네!

오리.  그러나 슬프게도 공급망이 가장 약한 고리만큼만 강하다는 사실을 다시 한 번 상기시켜 줍니다.

그리고 이러한 연결이 완전히 자동으로 결정되고 충족되도록 허용하는 경우 이와 같은 방식으로 쉽게 연결될 수 있습니다.

공격자… 그를 그렇게 부르자.

(정말 해킹이었나요? 그랬던 것 같아요.)

그들은 단순히 GitHub에 새 리포지토리를 만들고 합법적인 프로젝트를 복사한 다음 "Hey, I want a job, guys" 메시지를 넣었습니다.

그런 다음 그들은 PHP Packagist로 이동하여 링크를 전환하여 “아니요, GitHub의 실제 위치로 이동하지 마십시오. 가짜 장소로 가십시오.”

그래서 훨씬 더 나빴을 수 있습니다.

물론 그렇게 하는 사람은... 패키지를 설명하는 JSON 파일을 수정할 수 있다면 키로거, 백도어, 데이터 도용자, 맬웨어 설치 맬웨어 등을 포함하도록 패키지에 있는 코드를 수정할 수 있습니다. .

더그.  자, 여기서 가장 해킹된 부분은 오래된 비활성 계정의 일부 사용자 이름과 암호를 추측한 다음 복제한 패키지로 트래픽을 리디렉션한 것 같습니다. 맞습니까?

오리.  옳은.

그는 GitHub 계정을 해킹할 필요가 없었습니다.

그는 사람들이 좋아하고 사용하는 것 같지만 개발자가 필요하지 않거나 한동안 귀찮게 하고 싶어하는 패키지, 로그인하지 않은 패키지, 아마도 암호를 변경하지 않았거나 어떤 종류의 추가도 추가하지 않은 패키지를 찾았습니다. 지난 몇 년 동안 2FA.

그리고 그것이 실제로 그가 들어간 방법입니다.

그리고 나는 당신이 어디로 가고 있는지 알고 있다고 생각합니다, Doug. 왜냐하면 그것이 당신이 좋아하는 종류의 팁으로 잘 연결되기 때문입니다.

더그.  정확하게!

몇 가지 팁이 있습니다… 기사로 이동하여 모든 팁을 읽을 수 있지만 제가 가장 좋아하는 것부터 시작하여 몇 가지 팁을 강조하겠습니다. 이러지 마

오리.  네, 왜 그것이 당신에게 직업을 가져다주지 못하는지 우리가 살펴보았다고 생각합니다.

[웃음]

이 사건은… 당신을 감옥에 보내기에는 충분하지 않을 수도 있지만, 미국과 영국에서는 각각의 컴퓨터 사기 및 오용법에 따라 위법 행위가 될 것입니다. 그렇지 않습니까?

다른 사람의 계정에 무단으로 로그인하여 만지작거리는 행위.

더그.  그런 다음 약간 더 확실한 조언이 있습니다. 정확성을 검토하지 않고 공급망 업데이트를 맹목적으로 수락하지 마십시오.

그거 좋네.

오리.  예.

그런 것들 중 하나죠. “이봐, 얘들아, 암호 관리자를 사용해봐. 2FA를 켭니다”?

암호의 날에 겪었던 것처럼… 작동하기 때문에 이러한 사항을 말해야 합니다. 유용합니다. 그들은 중요합니다.

미래가 우리를 어디로 데려가든 우리는 현재에 살아야 합니다.

그리고 그것은 모두가 알고 있는 것 중 하나입니다. 하지만 때때로 우리 모두는 네이키드에서 그랬던 것처럼 크고 굵은 글씨로 상기시킬 필요가 있습니다.
보안 기사.

더그.  좋아, 아주 좋아.

우리의 다음 이야기... 나는 우리가 마지막으로 이것에 대해 이야기했을 때 "우리는 이것을 계속 주시할 것"이라고 말했습니다.

그리고 업데이트가 있습니다.

이것은 MSI 마더보드 위반에 관한 것입니다. 유출된 보안 키.

무슨 일이야, 폴?

MSI 침해에서 유출된 저수준 마더보드 보안 키, 연구원 주장

오리.  글쎄, 당신이 일반 청취자라면 이것을 기억할 것입니다.

Money Message라는 거리 이름을 사용하는 랜섬웨어 크루가 다크 웹 사이트에 "우리는 MicroStar International을 위반했습니다"라는 메모를 올린 것이 불과 한 달 전이었습니다. 잘 알려진 마더보드 제조업체인 MSI는 조정 가능한 마더보드로 게이머들에게 매우 인기가 있습니다.

“우리는 소스 코드, 개발 도구 및 개인 키를 포함하여 그들의 물건을 해킹했습니다. 타이머가 만료되면 훔친 데이터를 게시할 것입니다.”라고 그들은 말했습니다.

며칠 전에 다시 가보니 타이머가 만료된지 한 달이 넘었지만 여전히 "타이머가 만료되면 훔친 데이터를 게시합니다."라고 표시됩니다.

그래서 그들은 아직 그것을 출판할 기회가 없었습니다.

그러나 Binarly라는 회사의 연구원들은 실제로 데이터 사본을 가지고 있다고 주장했습니다. 유출되었다는 것입니다.

그리고 그들이 그것을 조사했을 때, 그들은 그 데이터에 묻혀 있는 많은 양의 개인 키를 발견했습니다.

불행하게도, 그들이 찾은 것이 정확하다면, 그것은 꽤 절충적인 재료의 혼합입니다.

Intel Boot Guard라고 하는 키에는 XNUMX개의 키가 있는 것 같습니다.

이제 이들은 Intel의 키가 아닙니다. 분명히 해야 할 것은 OEM 또는 마더보드 제조업체의 키로, 승인되지 않은 펌웨어 업데이트에 대해 런타임 시 마더보드를 잠그는 데 사용되는 키입니다.

27개의 펌웨어 이미지 서명 키.

이것이 마더보드 제조업체가 다운로드용으로 제공하는 새 펌웨어 이미지에 서명하는 데 사용할 수 있는 개인 키이므로 사용자는 그것이 올바른 것인지, 실제로 그들에게서 온 것인지 확인할 수 있습니다.

그리고 그들이 Intel OEM 디버깅 키라고 부르는 하나의 키.

다시 말하지만, 그것은 인텔의 키가 아닙니다... 인텔이 마더보드 제어 하드웨어에서 제공하는 기능에 사용되는 키입니다. 이 키는 시스템이 부팅되는 동안 디버거를 사용하여 시스템에 침입할 수 있는지 여부를 결정합니다.

그리고 분명히 가능한 가장 낮은 수준에서 디버거를 사용할 수 있다면 보안 저장소에만 있어야 하는 데이터를 읽고 일반적으로 서명이 필요한 코드를 만지작거리는 것과 같은 작업을 수행할 수 있습니다.

원하는 경우 “새 펌웨어에 서명하고 싶지 않습니다. 기존 펌웨어를 실행하고 싶지만 고정할 수 있기를 원합니다. 그것으로 바이올린; 기억을 엿보다.”

그리고 인텔이 이러한 디버깅 인증 키에 대한 자체 문서에서 거의 풍자적으로 언급한 것처럼 다음과 같습니다. "마더보드 제조업체는 개인 키를 다른 사람과 공유하지 않을 것으로 가정합니다."

요컨대, 개인 키입니다. 여러분… 힌트는 이름에 있습니다.

[웃음]

불행하게도 이 경우 마더보드에 있어야 하는 보호 장치 주변에서 약간의 최종 실행을 수행하는 데 사용할 수 있는 다른 서명 키와 함께 그 중 적어도 하나가 유출된 것으로 보입니다. 활용하고 싶은 분들을 위해.

그리고 기사에서 말했듯이 우리가 실제로 줄 수 있는 유일한 조언은 다음과 같습니다. 조심하세요, 여러분.

더그.  굵게 표시되어 있습니다!

오리.  정말이지, 더그.

펌웨어 업데이트를 받을 수 있는 위치에 대해 최대한 주의를 기울이십시오.

그래서 실제로 우리가 말했듯이 "여러분, 조심하세요."

물론 이는 MSI 마더보드 고객에게 적용됩니다. 업데이트를 받는 위치에 주의하십시오. 어쨌든 그렇게 하시길 바랍니다.

그리고 마더보드 제조업체이든 아니든 암호화 키를 관리해야 하는 사람이라면 인텔이 우리 모두에게 상기시켰듯이 개인 키이기 때문에 조심해야 합니다.

더그.  좋아, 좋아.

나는 "그것을 계속 주시하자"고 말할 것입니다… 나는 이것이 아직 완전히 끝나지 않았다는 느낌이 듭니다.

준 관련 이야기에서 Microsoft는 부트킷 제로데이 수정에 신중한 접근 방식을 취하고 있습니다.

업데이트는 대체로 자동으로 이루어지기 때문에 걱정할 필요가 없습니다.

이것은, 그들은 시간을 보내고 있습니다.

Bootkit 제로데이 픽스 – 이것은 Microsoft의 가장 신중한 패치입니까?

오리.  그들은 더글라스입니다.

이제 이것은 마더보드 펌웨어 업데이트 키 해지 문제만큼 심각하거나 심각하지 않습니다. 보안 부팅에 대해 이야기하고 있기 때문입니다. 보안 부팅이 켜져 있을 때 악성 소프트웨어가 실행되는 것을 방지하기 위해 Microsoft가 마련한 프로세스입니다. 하드 디스크에 있는 Extensible Firmware Interface 시작 파티션인 EFI라고 합니다.

따라서 시스템에 "안녕하세요, 보안 버그가 있어서 이 특정 모듈을 차단 목록에 추가하고 싶습니다." 또는 "이 보안 키를 사용 중지하고 싶습니다."라고 말한 다음 문제가 발생하여 컴퓨터가 이겼습니다. 부팅하지…

…Microsoft의 상황에서 일어날 수 있는 최악의 상황은 “알아요. XNUMX개월 전에 만든 복구 CD에 손을 뻗어 꽂을게요. 이런, 부팅이 안 돼요!”

현재 취소된 이전 코드가 포함되어 있을 수 있기 때문입니다.

따라서 실행되지 않는 마더보드에 펌웨어를 태운 것만큼 나쁘지는 않지만 특히 컴퓨터가 한 대뿐이거나 집에서 작업하는 경우에는 매우 불편합니다.

“오, 새 부트로더를 설치했습니다. 이전 실행 권한을 취소했습니다. 이제 XNUMX~XNUMX주 후에 내 컴퓨터에 문제가 발생하므로 몇 달 전에 만든 USB 스틱을 가져와야 합니다.”

플러그를 꽂으면… 글쎄요, 온라인에 접속해서 Microsoft에서 복구 이미지를 다운로드하겠습니다. 그들이 복구 이미지를 업데이트했으면 합니다. 이런, 컴퓨터가 부팅되지 않는데 어떻게 온라인에 접속할 수 있죠?”

따라서 세상의 끝이 아닙니다. 모든 것이 끔찍하게 잘못되더라도 여전히 복구할 수 있습니다.

하지만 마이크로소프트가 여기에서 한 것은 그들이 매우 부드럽고, 느리고 부드러운 접근 방식을 취하기로 결정했기 때문에 아무도 그런 상황에 처하지 않도록…

...업데이트를 완료했지만 복구 디스크, ISO, 부팅 가능한 USB를 아직 업데이트하지 못하고 문제가 발생합니다.

불행히도 그것은 사람들이 업데이트를 수행하는 매우 서투르고 복잡한 방법을 강요한다는 것을 의미합니다.

더그.  네, XNUMX단계 과정입니다.

XNUMX단계는 업데이트를 가져와서 설치하는 것입니다. 이 시점에서 컴퓨터는 새 부팅 코드를 사용하지만 여전히 이전의 악용 가능한 코드를 허용합니다.

오리.  따라서 명확하게 말하면 여전히 본질적으로 취약합니다.

더그.  예.

오리.  당신은 패치를 받았지만 당신의 마음에 최악의 관심을 가진 누군가에 의해 "패치가 되지 않은" 사람이 될 수도 있습니다.

그러나 당신은 XNUMX단계를 할 준비가 되어 있습니다.

더그.  예.

따라서 첫 번째 부분은 합리적으로 간단합니다.

XNUMX단계, 그런 다음 모든 ISO, USB 키 및 복구 이미지로 구운 모든 DVD를 패치합니다.

오리.  안타깝게도 Naked Security 기사에 지침을 넣을 수 있었으면 좋았을 텐데, 원하는 각 종류의 복구 시스템에 대해 17가지 방법이 있기 때문에 Microsoft의 공식 지침으로 이동해야 합니다.

그 모든 것을 보충하는 것은 사소한 운동이 아닙니다.

더그.  따라서 이 시점에서 컴퓨터가 업데이트되었지만 이전 버그가 있는 코드를 계속 허용하고 복구 장치와 이미지가 업데이트됩니다.

이제 XNUMX단계: 수동으로 수행해야 하는 버그가 있는 코드를 취소하려고 합니다.

오리.  예, 약간의 레지스트리 혼란이 있으며 이를 수행하는 데 관련된 명령줄 항목이 있습니다.

이제 이론적으로 XNUMX단계와 XNUMX단계를 한 번에 수행할 수 있으며 Microsoft는 이를 자동화할 수 있습니다.

새 부팅 코드를 설치할 수 있습니다. 그들은 시스템에 "이전 코드가 더 이상 실행되는 것을 원하지 않습니다"라고 말한 다음 "때때로(너무 오래 두지 마십시오) 가서 XNUMX단계를 수행하십시오."라고 말할 수 있습니다.

그러나 우리 모두는 [웃음] 백업과 같은 작업을 수행해야 하는 명확하고 시급한 필요가 없을 때 어떤 일이 발생하는지 알고 있습니다.

그래서 그들이 하려고 하는 것은 아마도 가장 편리하지 않은 순서로 이러한 일을 하도록 하는 것입니다. 이 패치를 적용한 후 XNUMX주, XNUMX개월 후.

그것은 마이크로소프트가 그들 자신의 등을 위해 약간의 막대를 만들었다는 것을 의미하지만, 나는 그것을 하는 것이 꽤 좋은 방법이라고 생각합니다. 왜냐하면 이것을 정말로 잠그고 싶어하는 사람들은 이제 그것을 하는 잘 정의된 방법을 가지고 있기 때문입니다.

더그.  마이크로소프트는 “좋아요, 지금 할 수는 있지만(일종의 번거로운 과정입니다), 우리는 훨씬 더 능률적인 과정을 위해 노력하고 있으며 2024월 안에 나오기를 희망합니다. 그러다가 내년 초인 XNUMX년에 이 일을 안 했다면 강제로 업데이트할 예정이고, 이에 취약한 모든 기계를 자동으로 업데이트할 것”이라고 말했다.

오리.  그들은 "지금 우리는 모두의 이익을 위해 '당신은 이 취소를 영구적으로 설치하고 있습니다. 무슨 일이 있어도 오십시오'라고 말하기 전에 적어도 XNUMX개월의 시간을 줄 생각입니다."라고 말합니다.

더그.  좋아요.

그리고 이제 우리의 마지막 이야기: Apple과 Google은 Bluetooth 추적기의 표준을 설정하기 위해 힘을 합치고 있습니다.

히든태그로 추적? Apple과 Google이 연합하여 안전 및 보안 표준을 제안합니다…

오리.  예.

우리는 Naked Security와 팟캐스트에서 AirTag에 대해 꽤 여러 번 이야기했습니다.

당신이 그것들을 좋아하든 싫어하든, 그들은 꽤 인기가 있는 것 같고, 애플만이 그것들을 만드는 유일한 회사는 아닙니다.

Apple 전화나 Google 전화가 있는 경우 네트워크 전체를 "차용"할 수 있습니다. 원하는 경우 자원 봉사자가 "음, 이 태그를 봤어요. 그것이 누구의 소유인지는 모르겠지만, 진짜 소유자가 찾아보고 그들이 그것을 잃어버렸기 때문에 그것이 목격되었는지 확인할 수 있도록 데이터베이스에 집으로 전화하는 것입니다.”

태그는 매우 편리합니다. 따라서 모든 사람이 따를 수 있는 몇 가지 표준이 있으면 매우 유용하다고 인정되는 이러한 제품을 계속 사용할 수 있지만 일부 반대론자들이 스토커의 낙원이 되지는 않을 것입니다. 주장하는 것 같나요?

흥미로운 딜레마죠?

그들의 삶의 한 부분에서 그들은 분명히 항상 같은 장치로 나타나지 않도록 절대적으로 조심해야 합니다.

그러나 그들이 당신에게서 멀어질 때(그리고 누군가가 당신의 차에 몰래 하나를 집어넣거나 당신의 배낭에 집어넣을 수도 있다), 그것은 실제로 당신에게 "그래, 나는 *가 아닌 같은 태그다. * 너의 것, 그것은 지난 몇 시간 동안 너와 함께 있었다.”

따라서 소위 스토킹 방지 보호 기능을 구현하기 위해 때때로 그들은 매우 비밀스러워야 하고 다른 때에는 훨씬 더 개방적이어야 합니다.

더그.  좋습니다. 이것은 초안일 뿐이며 XNUMX월 초에 나왔습니다.

XNUMX개월간의 의견과 피드백이 있으므로 시간이 지남에 따라 엄청나게 바뀔 수 있지만 좋은 첫 시작입니다.

이 기사에 대한 많은 의견이 있습니다. Wilbur는 다음과 같이 썼습니다.

저는 Bluetooth 장치를 사용하지 않으므로 iDevices에서 Bluetooth를 꺼두어 배터리를 절약합니다. 또한 레스토랑에서 두 테이블 떨어진 사람들에게 발견되는 것을 원하지 않습니다. 이러한 모든 추적 방지 체계는 피해자가 소유하고 있는 활성 독점 Bluetooth 장치에 의존합니다. 나는 그것이 중대한 결점이라고 생각합니다. 사람들이 필요하지 않거나 원하지 않는 장치를 구매하도록 요구하거나 원하지 않는 방식으로 기존 장치를 작동하도록 강요합니다.

당신은 무엇을 말합니까, 폴?

오리.  글쎄, 당신은 그것에 동의하지 않을 수 있습니다.

Wilbur가 후속 논평에서 계속해서 말하듯이 그는 실제로 추적당하는 것에 대해 별로 걱정하지 않습니다. 그는 이러한 제품이 정말 인기가 있고 블루투스에 의존하여 사용자에게 속하지 않은 이러한 태그 중 하나가 사용자를 추적하고 있다는 사실을 거의 압도하는 아이러니가 있다는 사실을 의식하고 있습니다.

...처음부터 시스템을 선택해야 합니다.

더그.  정확히! [웃음]

오리.  그리고 블루투스를 켜고 "알았어, 앱을 실행할게."

그래서 Wilbur가 옳습니다.

블루투스에 의존하는 이런 트래커를 잡으려면 블루투스 수신기가 있어야 한다는 일종의 아이러니가 있다.

내 대답은 "글쎄요, 기술적인 재미를 좋아한다면 기회일 수도 있습니다..."였습니다.

Raspberry Pi Zero(실제로 판매용 제품을 찾을 수 있는 경우 [LAUGHS])를 구입하고 자신만의 태그 추적 장치를 프로젝트로 구축할 수 있습니다.

시스템이 독점적이지만 작동 방식과 동일한 트래커가 당신을 고수하고 있음을 어떻게 확인할 수 있는지가 상당히 명확하기 때문입니다.

그러나 추적기가 이러한 규칙을 따르는 경우에만 작동합니다.

그것은 어려운 아이러니입니다. "음, 판도라의 항아리가 열렸습니다."라고 주장할 수 있을 것 같습니다.

이러한 추적 태그는 인기가 있습니다. 그들은 사라지지 않을 것입니다. 그들은 매우 편리합니다; 그들은 유용한 서비스를 제공합니다.

그러나 이러한 표준이 존재하지 않으면 Bluetooth를 켰는지 여부에 관계없이 추적할 수 없습니다.

그래서 아마도 그것이 Wilbur의 의견을 보는 방법일까요?

더그.  보내주셔서 감사합니다, Wilbur.

제출하고 싶은 흥미로운 이야기, 의견 또는 질문이 있으면 팟캐스트에서 읽어보시기 바랍니다.

Tips@sophos.com으로 이메일을 보내거나, 우리 기사 중 하나에 댓글을 달거나, @nakedsecurity 소셜에서 연락할 수 있습니다.

그것이 오늘의 쇼입니다. 들어주셔서 대단히 감사합니다.

Paul Ducklin의 경우, 저는 Doug Aamoth라고 합니다. 다음 시간까지...

양자 모두.  보안 유지.

[뮤지컬 모뎀]