Geen audiospeler hieronder? Luisteren direct op Soundcloud.

DOUG.  Bluetooth-trackers, lastige bootkits en hoe je geen baan krijgt.

Dat alles, en meer, op de Naked Security-podcast.

[MUZIEK MODEM]

Welkom bij de podcast, allemaal.

Ik ben Doug Aamoth.

Hij is Paul Ducklin...

Geniet van deze lekkernij uit Tech History.

Deze week, op 11 mei 1979, zag de wereld voor het eerst VisiCalc, of Visible Calculator, een programma dat de herberekening van spreadsheets automatiseerde.

Het geesteskind van Harvard MBA-kandidaat Daniel Bricklin en programmeur Robert Frankston, VisiCalc veranderde de Apple II in feite in een levensvatbare zakelijke machine en verkocht in het eerste jaar meer dan 100,000 exemplaren.

EEND.  Ongelofelijk, Doug.

Ik herinner me de eerste keer dat ik een computergestuurde spreadsheet zag.

Ik was niet aan het werk... Ik was nog maar een kind, en het klonk voor mij, van wat ik hierover had gelezen, dat het gewoon een veredelde, schermvullende rekenmachine was.

Maar toen ik me realiseerde dat het een rekenmachine was die alles opnieuw kon doen, inclusief al deze afhankelijkheden, was het, om een ​​misschien meer eigentijdse term te gebruiken, "verbijsterd", Doug.

DOUG.  Een zeer belangrijke toepassing in de begintijd van computers.

Laten we het bij toepassingen houden terwijl we aan ons eerste verhaal beginnen.

Paul, als ik op zoek ben naar een baan in applicatiebeveiliging, denk ik dat ik het beste een populaire applicatieketen kan vergiftigen.

Is dat juist?

PHP Packagist supply chain vergiftigd door hacker "op zoek naar een baan"

EEND.  Ja, want dan zou je het JSON-bestand kunnen aanpassen dat het pakket beschrijft, en in plaats van bijvoorbeeld te zeggen: "Dit is een pakket om je te helpen bij het maken van QR-codes", kun je zeggen: "Pwned by me. Ik ben op zoek naar een baan in Application Security.”

[GELACH]

En wie zou je niet haasten om je in dienst te nemen, Doug?

DOUG.  Ja!

EEND.  Maar het is helaas weer een herinnering dat de toeleveringsketen zo sterk is als de zwakste schakel.

En als je toestaat dat die koppelingen volledig automatisch worden bepaald en bevredigd, kun je gemakkelijk door zoiets als dit in de war raken.

De aanvaller... laten we hem zo noemen.

(Was het echt een hack? Ik veronderstel van wel.)

Ze creëerden gewoon nieuwe repositories op GitHub, kopieerden legitieme projecten erin en plaatsten het bericht "Hé, ik wil een baan, jongens".

Toen gingen ze naar PHP Packagist en veranderden de links om te zeggen: “Oh nee, ga niet naar de echte plek op GitHub. Ga naar de nepplaats.

Het had dus veel erger gekund.

Want, natuurlijk, iedereen die dat doet... als ze het JSON-bestand kunnen aanpassen dat het pakket beschrijft, dan kunnen ze de code in het pakket aanpassen om zaken als keyloggers, backdoors, data-stealers, malware-installerende malware, enzovoort op te nemen .

DOUG.  OK, dus het klinkt alsof het meest hackende deel hiervan is dat hij enkele gebruikersnamen en wachtwoorden raadde voor enkele oude inactieve accounts, en vervolgens het verkeer omleidde naar deze pakketten die hij had gekloond, toch?

EEND.  Correct.

Hij hoefde GitHub-accounts niet te hacken.

Hij ging gewoon voor pakketten die mensen leuk lijken te vinden en gebruiken, maar waarvan de ontwikkelaars ze al een tijdje niet nodig hebben of willen gebruiken, niet hebben ingelogd, waarschijnlijk hun wachtwoord niet hebben gewijzigd of enige vorm van toevoeging hebben gedaan. 2FA in de afgelopen jaren.

En zo kwam hij inderdaad binnen.

En ik denk dat ik weet waar je naartoe wilt, Doug, want dat leidt mooi naar het soort tips dat je leuk vindt.

DOUG.  Precies!

Er zijn verschillende tips... je kunt naar het artikel gaan om ze allemaal te lezen, maar we zullen er een paar uitlichten, te beginnen met mijn favoriet: Doe dit niet.

EEND.  Ja, ik denk dat we hebben doorgenomen waarom je er geen baan mee krijgt.

[GELACH]

Deze zaak... het is misschien niet genoeg om je in de gevangenis te laten belanden, maar ik zou zeker zeggen dat het in de VS en het VK een overtreding zou zijn onder onze respectievelijke wetten op computerfraude en -misbruik, nietwaar?

Zonder toestemming inloggen op het account van iemand anders en met dingen rommelen.

DOUG.  En dan misschien een iets tastbaarder advies: Accepteer niet blindelings updates van de toeleveringsketen zonder ze op juistheid te controleren.

Dat is een goeie.

EEND.  Ja.

Het is een van die dingen, nietwaar, zoals: “Hé jongens, gebruik een wachtwoordbeheerder; zet 2FA aan”?

Zoals we op Password Day hebben doorgenomen... we moeten die dingen zeggen omdat ze werken: ze zijn nuttig; zij zijn belangrijk.

Waar de toekomst ons ook naartoe brengt, we moeten in het heden leven.

En het is een van die dingen die iedereen weet... maar soms moeten we er gewoon allemaal aan herinnerd worden, in grote, vetgedrukte letters, zoals we deden in de Naked
Beveiliging artikel.

DOUG.  Oké, heel goed.

Ons volgende verhaal... Ik geloof echt dat de laatste keer dat we hierover spraken, ik zei, en ik citeer: "We zullen dit in de gaten houden."

En we hebben een update.

Dit gaat over de inbreuk op het MSI-moederbord; die beveiligingssleutels die zijn gelekt.

Wat is hier aan de hand, Paul?

Beveiligingssleutels van het moederbord op laag niveau gelekt bij MSI-inbreuk, beweren onderzoekers

EEND.  Nou, je herinnert je dit misschien, als je een regelmatige luisteraar bent.

Het is iets meer dan een maand geleden, nietwaar, dat een ransomwareploeg met de straatnaam Money Message op hun dark web-site een briefje plaatste om te zeggen: "We hebben MicroStar International geschonden", beter bekend als MSI, de bekende fabrikant van moederborden, erg populair bij gamers vanwege hun aanpasbare moederborden.

“We hebben hun spullen gehackt, inclusief broncode, ontwikkeltools en privésleutels. We zullen gestolen gegevens publiceren wanneer de timer afloopt”, zeiden ze.

Ik ging een paar dagen geleden terug en de timer is meer dan een maand geleden verlopen, maar er staat nog steeds: "We zullen gestolen gegevens publiceren wanneer de timer afloopt."

Ze zijn er dus nog niet helemaal aan toegekomen om het te publiceren.

Maar onderzoekers van een bedrijf genaamd Binarly beweerden dat ze daadwerkelijk kopieën van de gegevens hadden; dat het gelekt is.

En toen ze het doornamen, vonden ze een hele lading privésleutels begraven in die gegevens.

Helaas, als wat ze hebben gevonden correct is, is het nogal een eclectische mix van dingen.

Blijkbaar zijn er vier sleutels voor wat Intel Boot Guard wordt genoemd.

Dit zijn geen sleutels van Intel, voor alle duidelijkheid: het zijn OEM- of moederbordfabrikanten, sleutels die worden gebruikt om te proberen het moederbord tijdens runtime te vergrendelen tegen ongeautoriseerde firmware-updates.

27 ondertekeningssleutels voor firmware-afbeeldingen.

Dit zijn dus de privésleutels die een moederbordfabrikant zou kunnen gebruiken om een ​​nieuwe firmware-image te ondertekenen die ze je geven om te downloaden, zodat je zeker weet dat het de juiste is en echt van hen afkomstig is.

En een sleutel die ze een Intel OEM-foutopsporingssleutel noemden.

Nogmaals, dat is geen sleutel van Intel… het is een sleutel die wordt gebruikt voor een functie die Intel biedt in zijn moederbordbesturingshardware die beslist of je al dan niet in het systeem mag inbreken terwijl het aan het opstarten is, met een debugger.

En natuurlijk, als je met een debugger op het laagst mogelijke niveau kunt beginnen, dan kun je dingen doen zoals het uitlezen van gegevens die zich alleen in een veilige opslag zouden moeten bevinden en het spelen met code die normaal gesproken zou moeten worden ondertekend.

Het is, als je wilt, een Access All Areas-kaart die je omhoog moet houden waarop staat: “Ik wil geen nieuwe firmware ondertekenen. Ik wil de bestaande firmware gebruiken, maar ik wil deze kunnen bevriezen; speel ermee; snuffel in het geheugen.

En, zoals Intel wrang verklaart, bijna satirisch, in zijn eigen documentatie voor deze autorisatiesleutels voor foutopsporing: "Er wordt aangenomen dat de fabrikant van het moederbord zijn privésleutels niet met andere mensen zal delen."

Kortom, het is een PRIVÉ-sleutel, mensen... de hint zit in de naam.

[GELACH]

Helaas lijkt het er in dit geval op dat er minstens één is uitgelekt, samen met een aantal andere ondertekeningssleutels die kunnen worden gebruikt om een ​​eindje rond de beveiligingen te lopen die er op je moederbord zouden moeten zitten. voor wie er gebruik van wil maken.

En, zoals ik al zei in het artikel, het enige advies dat we echt kunnen geven is: Wees voorzichtig, mensen.

DOUG.  Het is vetgedrukt!

EEND.  Dat is het inderdaad, Doug.

Probeer zo voorzichtig mogelijk te zijn over waar u firmware-updates vandaan haalt.

Dus inderdaad, zoals we al zeiden: "Wees voorzichtig, mensen."

En dat geldt natuurlijk voor MSI-moederbordklanten: wees voorzichtig met waar je die updates vandaan haalt, en ik hoop dat je dat toch doet.

En als u iemand bent die voor cryptografische sleutels moet zorgen, of u nu een moederbordfabrikant bent of niet, wees dan voorzichtig, want, zoals Intel ons allemaal heeft herinnerd, het is een PRIVÉ-sleutel.

DOUG.  Oké, geweldig.

Ik ga zeggen: “Laten we dat in de gaten houden”… Ik heb het gevoel dat dit nog niet helemaal voorbij is.

Microsoft, in een semi-gerelateerd verhaal, neemt een voorzichtige benadering van een bootkit zero-day fix.

Dit was best interessant om te zien, omdat updates over het algemeen automatisch zijn en je je er geen zorgen over hoeft te maken.

Met deze nemen ze de tijd.

Bootkit zero-day fix – is dit de meest voorzichtige patch van Microsoft ooit?

EEND.  Dat zijn ze, Douglas.

Dit is niet zo ernstig of zo ernstig als een probleem met het intrekken van de firmware-updatesleutel van het moederbord, omdat we het hebben over Secure Boot – het proces dat Microsoft heeft ingevoerd om te voorkomen dat frauduleuze software opraakt wanneer Secure Boot is ingeschakeld. van wat de EFI wordt genoemd, de opstartpartitie van de Extensible Firmware Interface op uw harde schijf.

Dus als u tegen uw systeem zegt: "Hé, ik wil deze specifieke module op de blokkeerlijst plaatsen, omdat er een beveiligingsfout in zit", of: "Ik wil deze beveiligingssleutel buiten gebruik stellen", en dan gebeurt er iets ergs en uw computer won niet opstarten...

… met de Microsoft-situatie is het ergste dat kan gebeuren dat je zegt: 'Ik weet het. Ik zal die herstel-cd pakken die ik drie maanden geleden heb gemaakt, en ik zal hem aansluiten. O jee, die wil niet opstarten!

Want daar staat waarschijnlijk de oude code in die nu is ingetrokken.

Het is dus niet zo erg als dat er firmware op het moederbord is gebrand die niet werkt, maar het is wel erg onhandig, vooral als je maar één computer hebt of als je vanuit huis werkt.

Je doet de update, “Oh, ik heb een nieuwe bootloader geïnstalleerd; Ik heb de toestemming voor het uitvoeren van de oude ingetrokken. Nu heeft mijn computer drie of vier weken later problemen, dus pak ik die USB-stick die ik een paar maanden geleden heb gemaakt.”

Je plugt hem in… “Oh nee, ik kan niets doen! Nou, ik weet het, ik ga online en download een herstelimage van Microsoft. Hopelijk hebben ze hun herstelafbeeldingen bijgewerkt. O jee, hoe kom ik online, want mijn computer start niet op?”

Het is dus niet het einde van de wereld: je kunt nog steeds herstellen, zelfs als het allemaal vreselijk misgaat.

Maar ik denk dat wat Microsoft hier heeft gedaan, is dat ze hebben besloten om een ​​heel zacht-zachte, langzame-en-zachtaardige aanpak te volgen, zodat niemand in die situatie terechtkomt...

…waar ze de update hebben gedaan, maar ze zijn er nog niet helemaal aan toegekomen om hun herstelschijven, hun ISO's, hun opstartbare USB's bij te werken, en dan komen ze in de problemen.

Helaas betekent dat mensen dwingen tot een zeer onhandige en gecompliceerde manier om de update uit te voeren.

DOUG.  OK, het is een proces in drie stappen.

Stap één is om de update op te halen en te installeren, waarna uw computer de nieuwe opstartcode zal gebruiken, maar nog steeds de oude misbruikbare code zal accepteren.

EEND.  Dus, voor de duidelijkheid, je bent nog steeds in wezen kwetsbaar.

DOUG.  Ja.

EEND.  Je hebt de patch, maar je kunt ook 'unpatched' worden door iemand die het ergste met je voor heeft.

Maar je bent klaar voor stap twee.

DOUG.  Ja.

Het eerste deel is dus redelijk eenvoudig.

Stap twee, je gaat dan al je ISO's en USB-sleutels patchen, en alle dvd's die je hebt gebrand met je herstelimages.

EEND.  Helaas had ik graag gezien dat we instructies in het Naked Security-artikel hadden kunnen plaatsen, maar je moet naar de officiële instructies van Microsoft gaan, want er zijn 17 verschillende manieren om dit te doen voor elk soort herstelsysteem dat je wilt.

Het is geen triviale oefening om die allemaal aan te vullen.

DOUG.  Dus op dit punt wordt uw computer bijgewerkt, maar accepteert nog steeds de oude buggy-code, en uw herstelapparaten en afbeeldingen worden bijgewerkt.

Stap drie: u wilt de buggycode intrekken, wat u handmatig moet doen.

EEND.  Ja, er is een beetje registergerommel en commandoregeldingen die daarbij betrokken zijn.

Nu zou je in theorie stap één en stap drie in één keer kunnen doen, en Microsoft had dat kunnen automatiseren.

Ze hadden de nieuwe opstartcode kunnen installeren; ze hadden tegen het systeem kunnen zeggen: "We willen niet dat de oude code meer wordt uitgevoerd", en dan tegen jou zeggen: "Op een gegeven moment (laat het niet te lang liggen), ga en doe stap twee."

Maar we weten allemaal wat er gebeurt [LACHT] als er geen duidelijke en dringende noodzaak is om bijvoorbeeld een back-up te maken, waar je het uitstelt, en je stelt het uit, en je stelt het uit...

Dus wat ze proberen te doen, is om je deze dingen te laten doen in wat misschien de minst handige volgorde is, maar de volgorde die het minst waarschijnlijk je neus uit je voegen haalt als er drie dagen iets misgaat met je computer, drie weken, drie maanden nadat u deze pleister heeft aangebracht.

Hoewel dat betekent dat Microsoft een beetje een stok voor hun eigen rug heeft gemaakt, denk ik dat het een behoorlijk goede manier is om het te doen, omdat mensen die dit echt op slot willen doen, nu een goed gedefinieerde manier hebben om het te doen.

DOUG.  Het siert Microsoft dat ze zeggen: “OK, je zou dit nu kunnen doen (het is nogal een omslachtig proces), maar we werken aan een veel meer gestroomlijnd proces dat we in juli hopen uit te brengen. En dan begin volgend jaar, in 2024, als je dit niet hebt gedaan, gaan we geforceerd updaten, automatisch alle machines updaten die hiervoor vatbaar zijn.

EEND.  Ze zeggen: "Op dit moment denken we erover om je ten minste zes maanden de tijd te geven voordat we, voor het algemeen belang, zeggen: 'Je krijgt deze intrekking permanent geïnstalleerd, wat er ook gebeurt'."

DOUG.  OK.

En nu ons laatste verhaal: Apple en Google bundelen hun krachten om standaarden voor Bluetooth-trackers vast te stellen.

Bijgehouden door verborgen tags? Apple en Google verenigen zich om veiligheids- en beveiligingsnormen voor te stellen...

EEND.  Ja.

We hebben het al een paar keer over AirTags gehad, nietwaar, op Naked Security en in de podcast.

Of je er nu van houdt of een hekel aan hebt, ze lijken behoorlijk populair te zijn, en Apple is niet het enige bedrijf dat ze maakt.

Als je een Apple-telefoon of een Google-telefoon hebt, kan deze het netwerk als geheel 'lenen', als je wilt, zodat vrijwilligers kunnen zeggen: 'Nou, ik heb deze tag gezien. Ik heb geen idee van wie het is, maar ik noem het gewoon thuis in de database, zodat de echte eigenaar kan opzoeken of het is gezien sinds ze het uit het oog zijn verloren.

Tags zijn erg handig... dus zou het niet mooi zijn als er enkele normen waren die iedereen zou kunnen volgen, waardoor we deze weliswaar zeer nuttige producten zouden kunnen blijven gebruiken, maar niet dat ze het paradijs voor stalkers zouden zijn dat sommige van de nee-zeggers lijken te beweren?

Het is een interessant dilemma, nietwaar?

In een bepaald deel van hun leven moeten ze absoluut oppassen dat ze niet de hele tijd als duidelijk hetzelfde apparaat verschijnen.

Maar als ze van je weggaan (en misschien heeft iemand er een in je auto geslopen of in je rugzak gestoken), moet het je eigenlijk vrij duidelijk maken dat: "Ja, ik ben dezelfde tag die * niet is * de jouwe, die is de afgelopen paar uur bij je geweest.

Dus soms moeten ze behoorlijk geheimzinnig zijn, en op andere momenten moeten ze veel opener zijn om deze zogenaamde anti-stalkingbeveiligingen te implementeren.

DOUG.  OK, het is belangrijk om naar voren te brengen dat dit slechts een concept is en dat het begin mei uitkwam.

Er zijn zes maanden commentaar en feedback, dus dit kan in de loop van de tijd enorm veranderen, maar het is een goed begin.

We hebben veel opmerkingen over het artikel, waaronder deze van Wilbur, die schrijft:

Ik gebruik geen Bluetooth-gadgets, dus laat ik Bluetooth op mijn iDevices uitgeschakeld om de batterij te sparen. Bovendien wil ik niet ontdekt worden door mensen twee tafels verderop in een restaurant. Al deze trackingpreventieprogramma's zijn afhankelijk van het feit dat slachtoffers actieve, eigen Bluetooth-apparaten in hun bezit hebben. Dat vind ik een grote tekortkoming. Het vereist dat mensen apparaten kopen die ze anders misschien niet nodig hebben of willen, of het dwingt hen om bestaande apparaten te bedienen op een manier die ze misschien niet wensen.

Wat zeg je ervan, Paul?

EEND.  Nou, daar kan je het eigenlijk niet mee oneens zijn.

Zoals Wilbur in een volgend commentaar verder zegt, maakt hij zich eigenlijk niet zo'n zorgen om gevolgd te worden; hij is zich gewoon bewust van het feit dat er een bijna verpletterende ironie bestaat dat, omdat deze producten erg populair zijn en ze afhankelijk zijn van Bluetooth om te weten dat je wordt gevolgd door een van deze tags die niet van jou is...

... je moet je in de eerste plaats aanmelden voor het systeem.

DOUG.  Precies! [LACHT]

EEND.  En je moet Bluetooth hebben ingeschakeld en zeggen: "Oké, ik ga de app uitvoeren."

Wilbur heeft dus gelijk.

Er is een soort ironie die zegt dat als je deze trackers die afhankelijk zijn van Bluetooth wilt vangen, je zelf een Bluetooth-ontvanger moet hebben.

Mijn antwoord was: "Nou, misschien is het een kans, als je van een beetje technisch plezier houdt..."

Koop een Raspberry Pi Zero ([LACHT] als je er een te koop kunt vinden), en je zou je eigen tag-tracking-apparaat als een project kunnen bouwen.

Omdat, hoewel de systemen bedrijfseigen zijn, het vrij duidelijk is hoe ze werken en hoe u kunt bepalen dat dezelfde tracker bij u blijft.

Maar dat zou alleen werken als de tracker deze regels volgt.

Dat is een moeilijke ironie, en ik veronderstel dat je zou kunnen zeggen: "Nou, de pot van Pandora is geopend."

Deze trackingtags zijn populair; ze gaan niet weg; ze zijn best handig; ze bieden wel een nuttige service.

Maar als deze standaarden niet zouden bestaan, zouden ze sowieso niet traceerbaar zijn, of je nu Bluetooth had ingeschakeld of niet.

Dus misschien is dat de manier om naar de opmerking van Wilbur te kijken?

DOUG.  Bedankt, Wilbur, voor het insturen.

En als je een interessant verhaal, opmerking of vraag hebt die je wilt indienen, lezen we dat graag in de podcast.

Je kunt een e-mail sturen naar tips@sophos.com, reageren op een van onze artikelen of je kunt ons bereiken op social: @nakedsecurity.

Dat is onze show voor vandaag; heel erg bedankt voor het luisteren.

Voor Paul Ducklin, ik ben Doug Aamoth, ik herinner je eraan, tot de volgende keer, om...

BEIDE.  Blijf veilig.

[MUZIEK MODEM]