Zephyrnet-logo

S3 Aflevering 135: Sysadmin overdag, afperser 's nachts

Datum:

EEN INSIDER-AANVAL (WAAR DE PERP WERD GEVANGEN)

Geen audiospeler hieronder? Luisteren direct op Soundcloud.

Met Doug Aamoth en Paul Ducklin. Intro en outro muziek door Edith Mudge.

Je kunt naar ons luisteren op Soundcloud, Apple Podcasts, Google Podcasts, Spotify, stikster en overal waar goede podcasts te vinden zijn. Of laat de URL van onze RSS-feed in je favoriete podcatcher.


LEES DE TRANSCRIPT

DOUG.  Inside jobs, gezichtsherkenning en de "S" in "IoT" staat nog steeds voor "beveiliging".

Dat alles, en meer, op de Naked Security-podcast.

[MUZIEK MODEM]

Welkom bij de podcast, allemaal.

Ik ben Doug Aamoth; hij is Paul Ducklin.

Paul, hoe gaat het vandaag?


EEND.  Heel goed, Doug.

Kent u uw slagzin: "Dat houden we in de gaten"?


DOUG.  [LACHEND] Ho, ho, ho!


EEND.  Helaas zijn er deze week verschillende dingen die we "in de gaten houden", en die zijn nog steeds niet goed afgelopen.


DOUG.  Ja, we hebben deze week een soort interessante en niet-traditionele line-up.

Laten we erop ingaan.

Maar eerst beginnen we met onze Deze week in de technische geschiedenis segment.

Deze week, op 19 mei 1980, werd de Apple III aangekondigd.

Het zou in november 1980 worden verzonden, waarna de eerste 14,000 Apple III's van de lijn werden teruggeroepen.

De machine zou in november 1981 opnieuw worden geïntroduceerd.

Om een ​​lang verhaal kort te maken, de Apple III was een flop.

Mede-oprichter van Apple, Steve Wozniak, schreef het falen van de machine toe aan het feit dat het werd ontworpen door marketingmensen in plaats van door ingenieurs.

Ouch!


EEND.  Ik weet niet wat ik daarop moet zeggen, Doug. [GELACH]

Ik probeer niet te grijnzen, als iemand die zichzelf als een technoloog beschouwt en niet als een marketroid.

Ik denk dat de Apple III bedoeld was om er goed uit te zien en er cool uit te zien, en hij was bedoeld om te profiteren van het succes van de Apple II.

Maar ik heb begrepen dat de Apple III (A) niet alle Apple II-programma's kon uitvoeren, wat een beetje een achterwaartse compatibiliteitsslag was, en (B) gewoon niet genoeg uitbreidbaar was zoals de Apple II.

Ik weet niet of dit een stadslegende is of niet...

... maar ik heb gelezen dat de chips van de vroege modellen in de fabriek niet goed waren geplaatst en dat ontvangers die problemen meldden, werd verteld om de voorkant van de computer een paar centimeter van hun bureau te tillen en hem terug te laten vallen.

[GELACH]

Dit zou de chips op hun plaats slaan, zoals ze in de eerste plaats hadden moeten zijn.

Dat werkte blijkbaar wel, maar was niet de beste reclame voor de kwaliteit van het product.


DOUG.  Precies.

Oké, laten we beginnen met ons eerste verhaal.

Dit is een waarschuwend verhaal over hoe slecht interne bedreigingen kan zijn, en misschien ook hoe moeilijk ze kunnen zijn om voor elkaar te krijgen, Paul.

Wie weet? Cybercrook krijgt 6 jaar voor het loskopen van zijn eigen werkgever


EEND.  Dat is het inderdaad, Douglas.

En als je op zoek bent naar het verhaal op Nakedsecurity.sophos.com, het is degene met het bijschrift, “Wie weet het? Cybercrook krijgt 6 jaar voor het loskopen van zijn eigen werkgever.”

En daar heb je het lef van het verhaal.


DOUG.  Zou niet moeten lachen, maar... [LACHT]


EEND.  Het is een beetje grappig en niet grappig.

Want als je kijkt naar hoe de aanval zich ontvouwde, was het eigenlijk:

“Hé, er is ingebroken; we weten niet wat het beveiligingslek was dat ze gebruikten. Laten we in actie komen en proberen het uit te zoeken.”

"Oh nee! De aanvallers zijn erin geslaagd om sysadmin-bevoegdheden te bemachtigen!”

"Oh nee! Ze hebben gigabytes aan vertrouwelijke gegevens opgezogen!”

"Oh nee! Ze hebben geknoeid met de systeemlogboeken, dus we weten niet wat er aan de hand is!”

"Oh nee! Nu eisen ze 50 bitcoins (wat destijds ongeveer $ 2,000,000 US was) om de zaken stil te houden... uiteraard gaan we geen $ 2 miljoen betalen als een zwijgplicht.'

En, bingo, de boef ging en deed dat traditionele ding van het lekken van de gegevens op het dark web, in feite het bedrijf doxxen.

En, helaas, de vraag "Whodunnit?" werd beantwoord door: Een van de eigen systeembeheerders van het bedrijf.

In feite een van de mensen die in het team waren opgeroepen om te proberen de aanvaller te vinden en te verdrijven.

Dus deed hij letterlijk alsof hij overdag tegen deze aanvaller vocht en 's nachts onderhandelde over een chantagebetaling van $ 2 miljoen.

En nog erger, Doug, het lijkt erop dat, toen ze hem wantrouwden...

... wat ze deden, laten we eerlijk zijn tegenover het bedrijf.

(Ik ga niet zeggen wie het was; laten we ze Company-1 noemen, zoals het Amerikaanse ministerie van Justitie deed, hoewel hun identiteit vrij goed bekend is.)

Zijn eigendommen werden doorzocht en blijkbaar kregen ze de laptop in handen die later bleek te zijn gebruikt om de misdaad te plegen.

Ze ondervroegen hem, dus ging hij door met een proces van "belediging is de beste vorm van verdediging", deed zich voor als klokkenluider en nam contact op met de media onder een of ander alter ego.

Hij gaf een heel vals verhaal over hoe de inbreuk was gebeurd - dat het een slechte beveiliging was op Amazon Web Services, of iets dergelijks.

Dus het leek in veel opzichten veel erger dan het was, en de aandelenkoers van het bedrijf kelderde behoorlijk.

Het zou hoe dan ook zijn gedaald toen er nieuws was dat ze waren geschonden, maar het lijkt er zeker op dat hij zijn uiterste best deed om het veel erger te laten lijken om de verdenking van hemzelf af te leiden.

Wat gelukkig niet lukte.

Hij *werd* veroordeeld (nou ja, hij pleitte schuldig), en, zoals we al zeiden in de kop, kreeg hij zes jaar gevangenisstraf.

Dan drie jaar voorwaardelijk en hij moet een boete van 1,500,000 dollar terugbetalen.


DOUG.  Je kunt dit niet verzinnen!

Geweldig advies in dit artikel ... er zijn drie adviezen.

Ik hou van deze eerste: Verdeel en heers.

Wat bedoel je daarmee, Paulus?


EEND.  Welnu, het lijkt erop dat deze persoon in dit geval te veel macht in eigen handen had.

Het lijkt erop dat hij in staat was om elk klein onderdeel van deze aanval te laten gebeuren, inclusief naderhand naar binnen gaan en knoeien met de logboeken en proberen het te laten lijken alsof andere mensen in het bedrijf het hebben gedaan.

(Dus, gewoon om te laten zien wat een vreselijk aardige kerel hij was - hij probeerde ook zijn collega's te hechten, zodat ze in de problemen zouden komen.)

Maar als je voor bepaalde belangrijke systeemactiviteiten de autorisatie van twee mensen nodig hebt, idealiter zelfs van twee verschillende afdelingen, net zoals wanneer bijvoorbeeld een bank een grote geldtransactie goedkeurt, of wanneer een ontwikkelingsteam besluit: "Laten we eens kijken of dit code is goed genoeg; we laten iemand anders er objectief en onafhankelijk naar kijken”…

…dat maakt het veel moeilijker voor een eenzame insider om al deze trucs uit te voeren.

Omdat ze met alle anderen zouden moeten samenspannen dat ze onderweg mede-autorisatie nodig zouden hebben.


DOUG.  OK.

En in dezelfde lijn: Houd onveranderlijke logboeken bij.

Dat is een goeie.


EEND.  Ja.

Die luisteraars met een lang geheugen herinneren zich misschien WORM-drives.

Vroeger waren ze nogal wat: Write Once, Read Many.

Natuurlijk werden ze aangeprezen als absoluut ideaal voor systeemlogboeken, omdat je ernaar kunt schrijven, maar je kunt ze nooit *herschrijven*.

Nu, in feite denk ik niet dat ze met opzet zo zijn ontworpen... [LACHT] Ik denk gewoon dat niemand wist hoe ze al herschrijfbaar moesten worden gemaakt.

Maar het bleek dat dit soort technologie uitstekend geschikt was om logbestanden bij te houden.

Als je je vroege cd-r's, cd-recordables herinnert, zou je een nieuwe sessie kunnen toevoegen, zodat je bijvoorbeeld 10 minuten muziek kunt opnemen en later nog eens 10 minuten muziek of nog eens 100 MB aan gegevens kunt toevoegen, maar dat kon niet ga terug en herschrijf het hele ding.

Dus als je het eenmaal had ingesloten, zou iemand die met het bewijsmateriaal wilde knoeien, ofwel de hele cd moeten vernietigen zodat deze zichtbaar afwezig zou zijn in de bewijsketen, of hem op een andere manier beschadigen.

Ze zouden niet in staat zijn om die originele schijf te pakken en de inhoud ervan te herschrijven, zodat het er anders uit zou zien.

En natuurlijk zijn er allerlei technieken waarmee je dat in de cloud kunt doen.

Als je wilt, is dit de andere kant van de "verdeel en heers"-munt.

Wat je zegt is dat je veel systeembeheerders hebt, veel systeemtaken, veel daemon- of serviceprocessen die logboekinformatie kunnen genereren, maar ze worden ergens heen gestuurd waar het een echte wilsdaad en samenwerking vereist om die te maken logs verdwijnen of zien er anders uit dan ze waren toen ze oorspronkelijk werden gemaakt.


DOUG.  En dan last but zeker not least: Altijd meten, nooit aannemen.


EEND.  Absoluut.

Het lijkt erop dat Company-1 in dit geval in ieder geval een deel van al deze dingen uiteindelijk heeft beheerd.

Omdat deze kerel werd geïdentificeerd en ondervraagd door de FBI... Ik denk ongeveer twee maanden na zijn aanval.

En onderzoeken gebeuren niet van de ene op de andere dag - ze hebben een huiszoekingsbevel nodig en ze hebben een waarschijnlijke reden nodig.

Het lijkt er dus op dat ze het juiste hebben gedaan, en dat ze hem niet blindelings bleven vertrouwen alleen maar omdat hij bleef zeggen dat hij betrouwbaar was.

Zijn misdrijven kwamen er als het ware uit in de was.

Het is dus belangrijk dat u niemand als bovenverdacht beschouwt.


DOUG.  OK, ga gewoon door.

Gadgetmaker Belkin zit in de problemen en zegt in feite: "End-of-life betekent einde van updates" voor een van zijn populaire slimme stekkers.

Belkin Wemo Smart Plug V2 – de bufferoverloop die niet gepatcht kan worden


EEND.  Het lijkt een nogal slechte reactie van Belkin te zijn geweest.

Zeker vanuit PR-oogpunt heeft het ze niet veel vrienden opgeleverd, want het apparaat is in dit geval zo'n zogenaamde slimme stekker.

U krijgt een schakelaar met Wi-Fi; sommigen van hen zullen ook het vermogen meten en andere dergelijke dingen.

Dus het idee is dat je dan een app kunt hebben, of een webinterface, of iets dat een stopcontact aan en uit zet.

Het is dus een beetje ironisch dat de fout in een product zit dat, als het wordt gehackt, ertoe kan leiden dat iemand in feite een schakelaar aan en uit laat knipperen waarop een apparaat kan zijn aangesloten.

Ik denk dat als ik Belkin was geweest, ik had kunnen zeggen: "Kijk, we ondersteunen dit niet echt meer, maar in dit geval... ja, we zullen een patch uitbrengen."

En het is een bufferoverloop, Doug, duidelijk en simpel.

[LACHT] Oh, schat...

Wanneer u het apparaat aansluit, moet het een unieke identificatiecode hebben zodat het in de app wordt weergegeven, bijvoorbeeld op uw telefoon... als u er drie in uw huis heeft, wilt u niet dat ze allemaal worden gebeld Belkin Wemo plug.

U wilt dat gaan veranderen en wat Belkin een "vriendelijke naam" noemt, noemen.

En dus ga je naar binnen met je telefoon-app en typ je de nieuwe naam die je wilt.

Nou, het lijkt erop dat er een buffer van 68 tekens in de app op het apparaat zelf zit voor je nieuwe naam... maar er is geen controle dat je geen naam invoert die langer is dan 68 bytes.

Dwaas misschien, besloten de mensen die het systeem bouwden dat het goed genoeg zou zijn als ze gewoon zouden controleren hoe lang de naam was *die je in je telefoon hebt getypt toen je de app gebruikte om de naam te wijzigen*: "We zullen vermijden om namen die in de eerste plaats te lang zijn.”

En inderdaad, in de telefoon-app kun je blijkbaar niet eens meer dan 30 tekens invoeren, dus ze zijn extra superveilig.

Groot probleem!

Wat als de aanvaller besluit de app niet te gebruiken? [GELACH]

Wat als ze een Python-script gebruiken dat ze zelf hebben geschreven…


DOUG.  Hmmmm! [IRONIC] Waarom zouden ze dat doen?


EEND.  ...die niet de moeite neemt om te controleren op de limiet van 30 of 68 tekens?

En dat is precies wat deze onderzoekers deden.

En ze ontdekten, omdat er een stackbufferoverloop is, dat ze het retouradres konden controleren van een functie die werd gebruikt.

Met voldoende vallen en opstaan ​​waren ze in staat om de uitvoering af te wijken naar wat in het jargon bekend staat als "shellcode" van hun eigen keuze.

Ze konden met name een systeemopdracht uitvoeren die de wget commando, dat een script downloadde, het uitvoerbaar maakte en het uitvoerde.


DOUG.  OK goed…

…we hebben wat advies in het artikel.

Als je een van deze slimme stekkers hebt, moet je dat zien.

Ik denk dat de grotere vraag hier is, ervan uitgaande dat Belkin hun belofte nakomt om dit niet op te lossen... [LUID GElach]

... eigenlijk, hoe moeilijk is dit om een ​​oplossing te vinden, Paul?

Of zou het een goede PR zijn om dit gat gewoon te dichten?


EEND.  Nou, ik weet het niet.

Er kunnen veel andere apps zijn waaraan ze, oh jee, dezelfde soort reparatie moeten uitvoeren.

Dus misschien willen ze dit gewoon niet doen uit angst dat iemand zal zeggen: "Nou, laten we dieper graven."


DOUG.  Een hellend vlak…


EEND.  Ik bedoel, dat zou een slechte reden zijn om het niet te doen.

Ik zou hebben gedacht, gezien het feit dat dit nu bekend is, en gezien het feit dat het een gemakkelijke oplossing lijkt ...

…gewoon (A) de apps voor het apparaat opnieuw compileren met ingeschakelde stapelbeveiliging, indien mogelijk, en (B) tenminste in dit specifieke "vriendelijke naam"-veranderende programma, geen namen toestaan ​​die langer zijn dan 68 tekens!

Het lijkt geen grote oplossing.

Hoewel die fix natuurlijk moet worden gecodeerd; het moet worden herzien; het moet getest worden; er moet een nieuwe versie gebouwd en digitaal ondertekend worden.

Het moet dan aan iedereen worden aangeboden, en veel mensen zullen niet eens beseffen dat het beschikbaar is.

En wat als ze niet updaten?

Het zou mooi zijn als degenen die op de hoogte zijn van dit probleem een ​​oplossing zouden kunnen krijgen, maar het valt nog te bezien of Belkin van hen verwacht dat ze gewoon upgraden naar een nieuwer product.


DOUG.  Oké, over updates gesproken...

… we hebben, zoals we zeggen, dit verhaal in de gaten gehouden.

We hebben het er al vaker over gehad: Clearview AI.

Zut alors! Raclage crapuleux! Clearview AI in 20% meer problemen in Frankrijk

Frankrijk heeft dit bedrijf in het vizier voor herhaald verzet, en het is bijna lachwekkend hoe erg dit is geworden.

Dus dit bedrijf schraapt foto's van internet en koppelt ze aan hun respectieve mensen, en de politie gebruikt deze zoekmachine als het ware om mensen op te zoeken.

Andere landen hebben hier ook problemen mee gehad, maar Frankrijk heeft gezegd: “Dit is PII. Dit is persoonlijk identificeerbare informatie.”


EEND.  Ja.


DOUG.  "Clearview, stop hier alsjeblieft mee."

En Clearview reageerde niet eens.

Dus kregen ze een boete van € 20 miljoen, en ze gingen maar door…

En Frankrijk zegt: “Oké, je kunt dit niet doen. We zeiden dat je moest stoppen, dus we gaan je nog harder aanpakken. We gaan u elke dag € 100,000 in rekening brengen "... en ze hebben het teruggezet tot het punt dat het al € 5,200,000 is.

En Clearview reageert gewoon niet.

Het is gewoon niet eens erkennen dat er een probleem is.


EEND.  Dat lijkt zeker te zijn hoe het zich ontvouwt, Doug.

Interessant, en naar mijn mening heel redelijk en heel belangrijk, toen de Franse toezichthouder Clearview AI onderzocht (op het moment dat ze besloten dat het bedrijf niet vrijwillig mee zou doen en ze een boete van € 20 miljoen oplegden)...

…ze ontdekten ook dat het bedrijf niet zomaar biometrische gegevens verzamelde zonder daarvoor toestemming te vragen.

Ze maakten het mensen ook ongelooflijk, onnodig en onwettig moeilijk om gebruik te maken van hun recht (A) om te weten dat hun gegevens zijn verzameld en commercieel worden gebruikt, en (B) om ze te laten verwijderen als ze dat willen.

Dat zijn rechten die veel landen hebben vastgelegd in hun regelgeving.

Het staat zeker, denk ik, nog steeds in de wet in het VK, ook al bevinden we ons nu buiten de Europese Unie, en het maakt deel uit van de bekende AVG-regelgeving in de Europese Unie.

Als ik niet wil dat je mijn gegevens bewaart, dan moet je ze verwijderen.

En blijkbaar deed Clearview dingen als zeggen: "Ach, als we het al meer dan een jaar hebben, is het te moeilijk om het te verwijderen, dus het zijn alleen gegevens die we in het afgelopen jaar hebben verzameld."


DOUG.  Aaaargh. [LACHT]


EEND.  Zodat, als je het niet merkt, of pas na twee jaar beseft?

Te laat!

En toen zeiden ze: "Oh nee, je mag het maar twee keer per jaar vragen."

Ik denk dat toen de Fransen onderzoek deden, ze ook ontdekten dat mensen in Frankrijk klaagden dat ze keer op keer moesten vragen voordat ze erin slaagden Clearviews geheugen op te frissen om ook maar iets te doen.

Dus wie weet hoe dit zal eindigen, Doug?


DOUG.  Dit is een goed moment om van verschillende lezers te horen.

We doen meestal ons commentaar van de week van één lezer, maar je vroeg het aan het einde van dit artikel:

Als u {Koningin, Koning, President, Opperste Tovenaar, Glorieuze Leider, Opperrechter, Hoofdscheidsrechter, Hoge Commissaris voor Privacy} was en dit probleem zou kunnen oplossen met een {zwaai met uw toverstok, streek met uw pen, schud met uw scepter , een Jedi-geestentruc}...

…hoe zou u deze patstelling oplossen?

En om een ​​paar citaten uit onze commentatoren te halen:

  • "Weg met hun hoofd."
  • "Corporate doodstraf."
  • "Classificeer ze als een criminele organisatie."
  • "Hogere mensen moeten gevangen worden gezet totdat het bedrijf hieraan voldoet."
  • "Verklaar klanten tot mede-samenzweerders."
  • "Hack de database en verwijder alles."
  • "Maak nieuwe wetten."

En dan stijgt James af met: “Ik laat een scheet in jouw algemene richting. Je moeder was een amster en je vader rook naar vlierbessen. [MONTY PYTHON EN DE HEILIGE GRAAL TOELICHTING]

Wat volgens mij een opmerking op het verkeerde artikel zou kunnen zijn.

Ik denk dat er een citaat van Monty Python was in de "Whodunnit?" artikel.

Maar, James, bedankt dat je er aan het eind in bent gesprongen...


EEND.  [LACHT] Moet niet echt lachen.

Zei een van onze commentatoren niet: 'Hé, een Interpol Red Notice aanvragen? [EEN SOORT INTERNATIONAAL ARRESTATIEBEVEL]


DOUG.  Ja!

Nou, geweldig… zoals we gewend zijn, houden we dit in de gaten, want ik kan je verzekeren dat dit nog niet voorbij is.

Als je een interessant verhaal, opmerking of vraag hebt die je wilt indienen, lezen we die graag in de podcast.

U kunt een e-mail sturen naar tips@sophos.com, reageren op een van onze artikelen of u kunt ons bereiken op social: @NakedSecurity.

Dat was onze show voor vandaag; heel erg bedankt voor het luisteren.

Voor Paul Ducklin, ik ben Doug Aamoth, ik herinner je eraan tot de volgende keer om...


BEIDE.  Blijf veilig!

[MUZIEK MODEM]


spot_img

Laatste intelligentie

spot_img