Zephyrnet-logo

S3 Ep66: Cybercriminaliteit, wormbare Windows en de crisis van featuritis [Podcast + Transcript]

Datum:

LUISTER NU

Klik en sleep op de onderstaande geluidsgolven om naar een willekeurig punt te gaan. Je kan ook luister direct op Soundcloud.

Met Doug Aamoth en Paul Ducklin.

Intro en outro muziek door Edith Mudge.

Je kunt naar ons luisteren op Soundcloud, Apple Podcasts, Google Podcasts, Spotify, stikster en overal waar goede podcasts te vinden zijn. Of laat de URL van onze RSS-feed in je favoriete podcatcher.

LEES DE TRANSCRIPT


DOUG AAMOT. Romantiek, oplichting, bugs, wormen en REvil ransomware.

Dat alles en meer op de Naked Security Podcast.

[MUZIEK MODEM]

Welkom bij de podcast, allemaal.

Ik ben Doug; hij is Paulus...


PAUL EENDJE. Goed gedaan, Doug... deze week helemaal goed!


DOUG. Waarom zou ik jou bedanken! Vorige week was ik in de war...


EEND. Je hebt jezelf niet in verwarring gebracht.


DOUG. Maar het kostte me 65 afleveringen om die fout te maken, dus ik ben best trots op mezelf.

Het kan weer gebeuren, maar...


EEND. Dat klopt: we zitten vandaag op Route 66!


DOUG. Wij zijn.


EEND. Dat is nogal wat, Doug.


DOUG. Ja.

En net als Route 66 hebben we deze week veel attracties om naar te kijken - een volle rol.


EEND. [LACHT OM SEGUE] Ik hou van je werk!


DOUG. We beginnen de show graag met een Leuk weetje.

En meestal is het leuke feit gerelateerd aan de Deze week in de technische geschiedenis segment.

Deze week echter niet, want het is hier erg koud geweest en veel mensen hebben wintermutsen op. Ik keek naar een groep mensen en ik dacht: "Wat zijn die pompons op de bovenkant van de hoeden? Waar kwam dat vandaan?"

Dus ik heb het opgezocht, en als je je ooit afvraagt ​​waarom sommige wintermutsen van die pluizige pom-poms bovenop hebben, blijkbaar werden ze vroeger door Franse zeelieden gedragen om hun hoofd te beschermen tegen stoten tegen de lage plafonds van schepen terwijl ze zee.

Ze waren vooral effectief in ruw water.

Dus als je een pompon op je hoed hebt, dan heb je dat aan een Franse zeeman te danken.


EEND. Oh, dus het was eigenlijk opvulling?


DOUG. Ja.

Ik heb een heel laag plafond in onze kelder en wasruimte, dus misschien ga ik een pomponmuts opzetten en rondlopen om te kijken of het helpt, want ik stootte mijn hoofd behoorlijk.


EEND. Je kunt gewoon een muismat met ducttape afplakken... je weet wel, die op je hoofd leggen en die onder je kin met ducttape maken.


DOUG. [LACHT] Ik weet niet of ze in die tijd neopreen hadden, maar het is een goed idee.

Nou, laten we het hebben over... we hebben veel verhalen te vertellen.

De eerste: we hebben ransomware effectief beëindigd met de vermeende buste van de REvil ransomware-crew in Rusland.

[SARCASTISCH] Het is het einde van ransomware zoals we die kennen, toch?


EEND. Zelfs het Federale Veiligheidsbureau van Rusland, de FSB, heeft dat niet echt gezegd, hoewel ze wel degelijk een arrestatie hebben verricht.

Er is in het verleden veel kritiek geweest...

...Russen, denk ik, net als de Duitsers en Fransen, en een hele hoop landen, leveren hun eigen burgers niet uit. Dus als je mensen in die landen wilt laten vervolgen voor misdaden die ze tegen een ander land hebben begaan, moet je het land in principe het benodigde bewijs leveren.

En er is veel kritiek dat Rusland niet erg bereid leek om dat te doen.

In dit geval lijkt het erop dat ze dat waren: blijkbaar werden 25 straatadressen in verschillende steden overvallen.

Ze noemden 14 mensen die het doelwit waren, hoewel ze niet zeggen hoeveel van hen uiteindelijk werden gearresteerd.

Maar er waren enkele arrestaties; plus 20 luxe auto's weggesleept, blijkbaar gekocht met de opbrengsten van misdaad. En zoals we eerder hebben gezegd, zit er tegenwoordig waarschijnlijk een heleboel forensische gegevens in de gemiddelde luxe auto, in termen van het entertainmentsysteem, navigatiesysteem, telefoons die in de auto zijn ingebouwd en al dat soort dingen.

En ze kregen iets van $ 6,000,000 tot $ 7,000,000 aan roebels, Amerikaanse dollars, euro's en cryptomunten.

De FSB was dus behoorlijk optimistisch over wat ze had bereikt en verklaarde dat als gevolg van de inval "deze cyberbende ophield te bestaan ​​en haar criminele infrastructuur werd geneutraliseerd." Dus dat is REvil.

Ze zeiden niet: "Het is het einde van ransomware zoals we die kennen", want dat is het duidelijk niet.

Er zijn twee problemen, zelfs als REvil nu echt spoorloos is gezonken: [a] er zijn tal van andere ransomware-bendes waar REvil vandaan kwam; en [b], helaas zijn er tal van andere soorten cybercriminaliteit waarbij criminelen betrokken zijn die weinig interesse hebben in ransomware, maar toch in staat zijn om veel kwaad te doen, zij het dat ze geen REvil zijn.


DOUG. Ja meneer!

Maar toch een stap in de goede richting?


EEND. Ja, ik denk niet dat we mogen klagen!

Maar het gaat nog steeds om: vroeg patchen, vaak patchen; wees niet op uw hoede; voorkomen is beter dan genezen; en investeer in uw gebruikers.


DOUG. We hebben meer advies in onze Staat van Ransomware 2021 rapport, waarnaar wordt gelinkt in het artikel genaamd REvil Ransomware-crew naar verluidt opgepakt in Rusland, zegt FSB op nakedsecurity.sophos.com.

Laten we gewoon doorschuiven naar een andere buste: een romantische oplichter die zich op bijna 700 vrouwen richtte, heeft gekregen 28 maanden gevangenisstraf.


EEND. Zoals de National Crime Agency van het VK opmerkt, zeggen ze met betrekking tot romantiekzwendel in het algemeen: "We willen iedereen die denkt het slachtoffer te zijn van romantiekfraude aanmoedigen om zich niet te schamen of te schamen, maar meldt u alstublieft het."

De National Crime Agency kan geen zaak maken waarin iemand hen niet heeft verteld: "Hé, ik heb geld naar deze persoon gestuurd en ik denk nu dat ik dat niet had moeten doen", want als ze erop staan ​​dat ze het geld vrijwillig hebben gestuurd, en ze niet van mening zijn dat ze zijn opgelicht, dan denk ik dat er geen fraude heeft plaatsgevonden.

En dat is het probleem met een cybercriminaliteit als deze.


DOUG. Ja, we hebben een hartverscheurende opmerking over het artikel en nog een opbeurende opmerking helemaal aan het einde.

Een van onze lezers denkt dat zijn moeder wordt opgelicht, en ze reageert niet goed op haar familie die haar probeert om te praten; en dan hebben we er nog een waar ze een oplichter op heterdaad hebben betrapt, wat best een interessant verhaal was.


EEND. Helaas laten deze misdaden mensen niet alleen met een gebroken hart en berooid achter. Ze kunnen je ook achterlaten met een gigantische kloof in je familiekring.

Die man zei: "Mijn moeder praat niet meer met me omdat ik niet geloof dat dit de liefde van haar leven is."

Het enige advies dat we echt kunnen geven, is dat als je ook maar een vermoeden hebt dat je misschien oplichterij bent, hoe hartverscheurend het ook zal zijn om dat toe te geven, niet "de hand laten zien" aan je vrienden en familie als ze je proberen te waarschuwen.

Ze kunnen het bij het verkeerde eind hebben, maar ze kunnen heel, heel goed gelijk hebben... dus geef ze een eerlijk gehoor.


DOUG. OK, we hebben advies in het artikel en een handige video genaamd Romantiek oplichting: wat te doen?.

We hadden het over luisteren naar je vrienden en familie als ze je proberen te waarschuwen; we hebben ook dingen als: overweeg aangifte te doen bij de politie; geef jezelf niet de schuld als je wordt binnengehaald; zoek een steungroep; en vooral, ga weg zodra je je realiseert dat het oplichterij is.


EEND. Ja, mijn advies daar, heel bijzonder, is: zeg niet tegen de oplichter: 'O, ik begin je te verdenken. Ik geef je nog een laatste kans om jezelf te bewijzen."

Onthoud dat als ze een oplichter zijn, ze je al zover hebben binnengehaald.

Denk je dat ze te veel moeite zullen hebben met één klein bezwaar dat je nu brengt?

Als je hebt besloten dat het oplichterij is, vertel het hen dan niet - verbreek gewoon het contact en ga dan op zoek naar een lokale steungroep.

En, tussen haakjes, wees heel voorzichtig als je de verbinding met de oplichters verbreekt, als je plotseling wordt gecontacteerd door iemand die beweert een steungroep te vertegenwoordigen, of wetshandhaving, of een bedrijf dat je kan helpen om je opgelichte geld terug te krijgen.

Want dat is de klassieke “tegenoplichting”.

Wanneer de boeven zich realiseren dat je echt hebt besloten dat ze oplichters zijn, komen ze binnen en proberen ze zich voor te doen als de anti-oplichters!

Er zijn talloze gevallen waarin mensen tweemaal worden opgelicht. Als je je wilt terugtrekken uit een oplichterij, ga dan alleen om met mensen die je echt kent en kunt ontmoeten, en die je persoonlijk kunt vertrouwen.

Vraag niet alleen hulp van iemand die het online aanbiedt - het kunnen de oplichters zijn die terugkomen.


DOUG. [SAD] Prachtig. De geneugten van menselijk gedrag.

Dat Romantiek oplichter die zich richtte op 670 vrouwen krijgt 28 maanden cel op nakedsecurity.sophos.com.

We verschuiven van menselijke wormen naar Windows-wormen: a wormbaar Windows HTTP-gat.

Wat moeten we hiervan weten, Paul?


EEND. Dit was een fascinerend begin van 2022, nietwaar? Het was een van de vele beveiligingsbugs die dinsdag in de patch van deze maand zijn opgelost...


DOUG. Dat was een grote!


EEND. Ik denk dat er 102 bugs waren!

Maar een van hen leek in eerste instantie niet al te schadelijk, misschien omdat er niet stond: "Deze bug zit in de Microsoft-webserver die iedereen kent."

Het werd net beschreven als: Kwetsbaarheid voor uitvoering van externe code in HTTP-protocolstack, of CVE-2022-21907.

Dus je denkt een beetje: "Oh, het is een code-ding op een laag niveau; waarschijnlijk niet op mij van toepassing, omdat ik geen IIS gebruik.”

En in die zin leek het een beetje op de... problemen die we hadden met Log4j, waar iedereen zei: "Ik heb geen Java-servers."

En we zeiden: nee, het gaat niet om servers; het gaat om apps die in Java zijn geschreven.

'Ik heb er niet veel van...' Weet je het zeker?

"Nou, ik heb er wel een paar, maar niet veel van hen draaien Log4j..." Weet je het zeker?

En dan, zoals we in een paar eerdere podcasts hebben gezegd, als mensen op zoek gingen naar Lg4j, zouden ze vinden: "Golly, er is veel meer dan ik dacht."

Het probleem hier is vergelijkbaar, namelijk dat HTTP.sys een low-level driver is die HTTP-services levert voor wanneer je een programma nodig hebt dat webverzoeken accepteert en beantwoordt, *inclusief IIS*.

In feite is IIS geïmplementeerd bovenop deze HTTP.sys, maar het is slechts een van de tientallen, of honderden, of duizenden applicaties die je zou kunnen hebben die dit ding zouden kunnen gebruiken.

Elk programma dat je hebt, of je het je realiseert of niet, dat een soort webconsole bevat, of webinterface, of webpoort waarmee je verbinding kunt maken, kan het risico lopen op deze bug als je niet hebt gepatcht.

En wat iedereen enthousiast maakte, is, zoals Microsoft zei in hun lijst met veelgestelde vragen voor deze specifieke patch: "Is dit wormbaar?", wat inhoudt dat iemand het kan gebruiken om een ​​zichzelf verspreidend virus te schrijven...


DOUG. Ja!


EEND. Ze hebben echt net dat ene woord gezegd!


DOUG. [LACHT] “Ja. Punt."


EEND. En ze zeiden: "Microsoft raadt aan om prioriteit te geven aan het patchen van getroffen servers."

Nu ben ik van mening dat de bewoording daarvan enigszins ongelukkig was, omdat het je ertoe brengt te concluderen dat dit alleen van invloed is op servers. Waar anders zou je een HTTP-service hebben die luistert dan op een server?

Het antwoord is natuurlijk: heel veel programma's gebruiken tegenwoordig HTTP als hun GUI, als hun interface, nietwaar? Velen hebben een webconsole, zelfs als het programma's zijn die zijn ontworpen voor een eindgebruiker.

De bug is een functie van een low-level driver in Windows zelf, en dat is wat gepatcht moet worden.

Ik denk dat het goede nieuws daarvan is dat als je deze patch eenmaal hebt uitgevoerd, elk programma dat afhankelijk is van HTTP.sys er impliciet mee wordt gepatcht, omdat ze allemaal op dezelfde low-level driver vertrouwen.


DOUG. Oké, wat... advocaat van de duivel spelen. Wat moet ik doen als ik om de een of andere reden niet meteen kan patchen?


EEND. Ik kwam met een oplossing die werkte in mijn beperkte testen. Erg makkelijk.

Je gaat gewoon naar je register (we hebben een script op Naked Security dat je laat zien hoe je dit moet doen), en je verandert wat de "startcode" wordt genoemd voor de HTTP Windows-service van de waarde 3, wat betekent starten wanneer nodig, tot de waarde 4.

Je moet gewoon weten dat 4 betekent gehandicapt; kan niet beginnen.

En dat lost in wezen dit probleem op, omdat geen enkele software dit stuurprogramma kan starten, daarom kan niets het daadwerkelijk gebruiken, daarom kan de bug niet worden gekieteld.

De keerzijde daarvan is dat geen enkele software deze HTTP-service kan gebruiken, dus als blijkt dat je *wel* een app hebt waarvan, zonder dat je het door hebt, een deel van het beheer ervan afhankelijk is van een webgebaseerde console of een webgebaseerde API... dan gaat dat ook niet.

Dit is dus geen permanente oplossing; het is gewoon een oplossing.

U moet dit HTTP.sys-bestand uiteindelijk repareren als onderdeel van de Patch Tuesday-update.


DOUG. OK, dat is Wormbaar Windows HTTP-gat – wat u moet weten op nakedsecurity.sophos.com.

Nu is het tijd voor Deze week in de technische geschiedenis.

Opdat je zou denken dat we het in deze aflevering maar één keer over wormen zouden hebben... deze week, op 20 januari 1999, maakte de wereld kennis met de HAPPY99-worm, ook wel bekend als Ska of Iworm. HAPPY99 werd door verschillende antivirusleveranciers gemeld als een behoorlijk grote pijn in de nek.


EEND. Geloof me, het was enorm groot.

En het had een truc die je met tegenzin leuk zult vinden, Doug.

De boeven deden wat je het "B-ding" noemt: best/briljant.

Ze vermeden het maken van spelfouten of typefouten of het schrijven van slecht Engels.

Ze vermeden al die problemen door simpelweg geen tekst te hebben.


DOUG. Aargh.


EEND. Briljant eenvoudig, niet?


DOUG. Aarrrgh!


EEND. Als je nul tekens hebt, moet je, ipso facto, geen spelfouten, typefouten, grammatica's, et cetera.

Het is gewoon aangekomen; het was een uitvoerbaar bestand; er stond HAPPY99.EXE; en als je het deed, liet het je een klein vuurwerk zien.


DOUG. [DOWNCAST] Ja, inderdaad.

Oké, we hebben twee Serious Security-artikelen op een rij.

De eerste gaat over een Linux volledige schijfversleutelingsfout dat is opgelost. Maar wat gebeurde er voordat het werd opgelost?


EEND. Meestal, op Linux, wanneer je volledige schijfversleuteling uitvoert - dat is het spul dat ervoor zorgt dat als iemand je laptop steelt zodra deze is uitgeschakeld, de schijf gewoon versnipperd is, tenzij je een wachtwoord invoert ...

... onder Linux gebruik je waarschijnlijk iets dat LUKS heet, Linux Unified Key-configuratie. En om u te helpen bij het beheren van LUKS, is er een programma genaamd cryptsetup.

Helaas, zoals vaak gebeurt met volledige schijfversleuteling omdat het zo handig is, heeft cryptsetup ontzettend veel functies - waarschijnlijk veel meer dan je ooit zou denken dat je nodig had.

En een van de dingen die cryptsetup kan doen – de optie heet opnieuw versleutelen.

Wat het betekent is dat in plaats van alleen het wachtwoord te wijzigen dat de hoofdcoderingssleutel decodeert, het in feite uw hele harde schijf decodeert en opnieuw codeert * terwijl u hem gebruikt *, zodat u niet het hele ding hoeft te decoderen en het risico loopt dat u het is een tijdje niet versleuteld.

Het klinkt allemaal fantastisch, behalve dat wat het cryptsetup-team deed: ze dachten: "Hé, we kunnen dezelfde code gebruiken als iemand de schijf moet decoderen", alsof ze de codering om de een of andere reden willen verwijderen.

Of als ze een schijf hebben die op de een of andere manier nooit is versleuteld en nu willen ze versleuteling weer toevoegen.

Dus ze dachten: "Nou, dat zijn slechts speciale gevallen van opnieuw versleutelen. Dus laten we het systeem verknoeien in plaats van ze als afzonderlijke hulpprogramma's te schrijven."

Laten we ze gewoon doen als "afwijkende gevallen" van herinfectie ...


DOUG. [LACH]


EEND. Om een ​​lang verhaal kort te maken, het blijkt dat als je decoderen or encrypt functies, in plaats van de opnieuw versleutelen functie, dan besteedt cryptsetup niet voldoende aandacht aan wat je de metadata zou kunnen noemen – de tijdelijke data – die registreert hoe ver het is gekomen.

Dus iemand die toegang heeft tot uw computer *maar uw wachtwoord niet kent* kan uw harde schijf wijzigen en het systeem in feite laten denken: "Oh, ik was bezig met het decoderen, maar het brak halverwege."

Als je dat zou proberen terwijl de persoon *opnieuw codeerde*, zou het gaan: "Uh oh! Iemand heeft met je schijf geknoeid: je moet het onderzoeken!”.

Maar die controles, als je de pure *decrypt* gebruikte, werden niet gedaan.

Dus iemand zou je computer kunnen pakken terwijl je niet keek, ermee aan het spelen zijn, en als je dan opnieuw opstart en je wachtwoord invoert, kan in ieder geval een deel van de schijf worden gedecodeerd.

En je zou het niet beseffen, maar je zou eindigen met ten minste één klein stukje van je schijf gedecodeerd.

Wat betekent dat als u vertrouwt op volledige schijfversleuteling om tegen de regelgever te zeggen: "Trouwens, als deze laptop wordt gestolen, kan ik u beloven dat hier helemaal geen platte tekstgegevens zijn" ...

... nou, je vertelt misschien niet de waarheid, want er kan een klein, middelgroot of groot stuk gegevens zijn dat *wel* is gedecodeerd zonder dat je het door hebt.

En het wordt nog erger!

Wat een persoon zou kunnen doen is dit: ze kunnen een stuk van je schijf decoderen en later terugkomen. Als je het nog niet gemerkt hebt, zouden ze in die gedecodeerde gegevens kunnen graven, die niet langer integriteitsbeveiligd zijn; het is gewoon platte tekst.

Ze zouden sluwe wijzigingen kunnen aanbrengen: misschien zouden ze een bestandsnaam kunnen veranderen, of, als ze fragmenten zouden kunnen vinden van iets dat op je browsegeschiedenis leek, ze zouden een browsegeschiedenis kunnen invoegen waardoor je eruitzag als een heel ondeugend persoon.

Dan zouden ze de bug achteruit kunnen draaien! Ze zouden kunnen zeggen: "Je moet dit spul opnieuw versleutelen."

En de volgende keer dat u opstartte en uw wachtwoord invoerde, zou uw schijf "zichzelf genezen" door de dingen die per ongeluk waren gedecodeerd, maar *met ongeautoriseerde wijzigingen erin* opnieuw te versleutelen.


DOUG. Ooooooooh.


EEND. Dus dit klinkt als: "Nou, dat is niet echt een bug, toch?"

Maar wat het betekent is dat iemand met het slechtste belang in het hart (bijvoorbeeld iemand die je wil gaslighten), als ze toegang hebben tot je computer wanneer je niet kijkt, ze dat kunnen * zonder ooit je wachtwoord te hoeven vinden * , plak je gegevens op je schijf die versleuteld zijn met je wachtwoord.

Dus ze konden zeggen: "Hoe had ik dat in vredesnaam kunnen doen? Ik weet het wachtwoord niet. Ik kan bewijzen dat ik het wachtwoord niet ken, in ieder geval buiten redelijke twijfel. Als het is versleuteld met je wachtwoord, nou, dan *je* moet het gedaan hebben."


DOUG. Ja.


EEND. En dit was een kleine maas in de wet die betekende dat die veronderstelling niet noodzakelijkerwijs opging...

...en daarom zou je de nieuwste versie van het cryptsetup-programma moeten hebben, omdat het de controles toevoegt die in de functies pure decrypt en pure encrypt hadden moeten zitten.

Het voegt integriteitscontroles toe die ervoor zorgen dat niemand decodering of codering probeert te activeren zonder het wachtwoord van tevoren te kennen.

Als je cryptsetup hebt, is de versie die je wilt: 2.4.3 of later.


DOUG. Oké, daar kun je meer over leren - het artikel staat over Naked Security op Ernstige beveiliging: Linux-fout in volledige schijfversleuteling opgelost - nu patchen.

Nou, het voelt goed om weer in een ritme te komen, een cadans, waar weer een week voorbij gaat...

…en we hebben nu een Apple-bug te praten over.


EEND. [LACHT] Ik vroeg me af waar je daarmee heen wilde, Doug!

Ja, dit is een Apple-bug. En irritant genoeg is het een bug in Safari, of misschien nog belangrijker, in WebKit, wat je de browser-engine zou kunnen noemen die Safari gebruikt.


DOUG. [IRONISCH] Dan geloof ik dat ik Firefox voor mijn iPad ga downloaden en dan komt het wel goed, Paul. Rechts?


EEND. Nou, dat is het probleem. Als het geen macOS is, maar eerder iOS of iPadOS, vereist Apple dat alle webbrowser-apps WebKit gebruiken.

Dus in iOS en iPadOS heb je niet echt een oplossing. Of nog belangrijker, als je denkt: "Oh, ik ga gewoon Firefox downloaden", zal het je niet van deze bug redden.


DOUG. Dus wat veroorzaakt hier eigenlijk het probleem?


EEND. Het is Featureitis en complexiteit als schadelijk beschouwd nog een keer, Doug.


DOUG. Wat alweer?


EEND. Nogmaals, nogmaals.


DOUG. Dit wordt een thema!


EEND. Zoals onze luisteraars zeker zullen weten, wat heet stateful HTTP-gegevens – met andere woorden, dingen die uw browser onthoudt, zodat wanneer u teruggaat naar een website, de website kan vertellen dat u het bent die terugkomt...

Dat is natuurlijk goed voor het bijhouden, maar het is ook goed voor zaken als: 'Moet ik de grote of de kleine lettertypen gebruiken? Moet ik me in de mobiele-telefoonmodus of in de desktopmodus bevinden?” Al die dingen die u wilt behouden tussen het ene websitebezoek en het volgende.

...traditioneel werden deze afgehandeld door data-objecten genaamd cookies.

En zonder cookies hadden we nooit websites gehad waarop je kon inloggen, omdat de website niet zou kunnen onthouden: "Hé, dit is dezelfde persoon die terugkomt."

Maar het blijkt dat cookies inefficiënt zijn, want wanneer u cookies verzendt, moet u alle cookies verzenden die ooit door een website zijn ingesteld, elke keer dat u een pagina op de website verbindt, zelfs als die pagina ze niet nodig heeft.

En daarom hebben de meeste browsers een strikte limiet voor hoeveel cookiegegevens je zou kunnen hebben.

Dus raad eens wat er gebeurde? De browsermensen kwamen bij elkaar en zeiden: "Hé, laten we een ding noemen" webopslag”, dat is als grote cookies waartoe u toegang hebt met JavaScript. U krijgt alleen toegang tot webopslag met JavaScript vanaf een bepaalde webpagina, wanneer u weet dat u de gegevens nodig heeft.

Dus je had cookies en webopslag; twee verschillende technologieën. Eén ervan had geen JavaScript nodig; men had JavaScript nodig. Een daarvan was beperkt in hoeveel staatsgegevens het kon besparen; de andere was veel flexibeler en liet je veel grotere objecten opslaan.

Maar zelfs webopslag was niet goed genoeg, Doug, want het grappige lijkt te zijn dat hoe meer we de cloud omarmen, hoe meer we verwachten dat onze browser zich gedraagt ​​alsof het een lokaal geïnstalleerde applicatie is.

Dus, er kwam een ​​ding genaamd GeïndexeerdDB, wat, zo u wilt, een DERDE type cookie is.

Wij hebben cookies die in de webheaders komen; wij hebben webopslag, wat een soort losse, informele kleine minidatabase is waartoe JavaScript toegang heeft; en we hebben GeïndexeerdDB, wat een bijna-maar-niet-helemaal een browser-side SQL-database is.

Het maakt eigenlijk geen gebruik van SQL, maar het laat je veel grotere hoeveelheden gegevens opslaan, zoals hele documenten of hele sets documenten. Als je een contentmanagementsysteem gebruikt, of enorme afbeeldingen, als je een cloud schrijft -gebaseerd beeldverwerkingsprogramma, bijvoorbeeld.

Je hebt cookies voor kleine hoeveelheden data; webopslag waar je wat meer nodig hebt; en IndexedDB waar u aanzienlijke hoeveelheden gestructureerde gegevens wilt.

Want als twee dingen iets slecht kunnen doen...


DOUG. [LACH]


EEND. …drie dingen kunnen het blijkbaar zelfs [PAUZES] beter doen.

En het probleem is – het is heel klein – dat er in Safari, of op WebKit, een speciale functie is genaamd indexedDB.databases dat, wanneer u het aanroept, u ​​een lijst geeft van alle momenteel actieve IndexedDB-databases die bekend zijn bij de browser.

Maar het geeft elke webpagina, elk tabblad, elk venster, elke website toegang tot de volledige lijst met database *namen*.

Het dwingt de Hetzelfde oorsprongsbeleid die zegt dat website X de IndexedDB-databases van website Y niet kan lezen, dus een website heeft alleen toegang tot zijn eigen cookie, zijn eigen webopslag en zijn eigen IndexedDB-gegevens.

Maar alle tabbladen hebben toegang tot de lijst met database *namen*, wat, hoe klein het ook klinkt, een stap te ver blijkt te zijn.

Omdat, zoals de onderzoekers die dit vonden, het een bedrijf is dat Fingerprint JS heet; ze gaan op zoek naar browserafwijkingen...

... zoals ze ontdekten, geven veel reguliere websites, wanneer ze een van deze IndexedDB-databases voor eigen gebruik maken, het een beetje een veelbetekenende naam.

Ze noemen het niet zomaar blah or db; ze noemen het op een manier die aangeeft tot welke service het behoort.

Dit is hetzelfde als tegen een oplichter zeggen: "Ik heb je uitgesloten van alle gegevens op mijn computer, maar ik *zal* je een lijst met al mijn bestandsnamen laten downloaden."


DOUG. Ha ha!


EEND. Je kunt je voorstellen dat er veel geheimen zijn in je bestandsnamen, in je zogenaamde metadata.

En het andere dat de onderzoekers ontdekten, is dat ze dit vooral voor Google hebben onderzocht, maar dit is niet echt de schuld van Google; Google niet de schuld geven...

... blijkbaar gebruikt Google uw Google-gebruikers-ID als databasenaam, wat een willekeurige reeks tekens is.

Dat zegt nog niet iemand die die unieke identifier *wie* je bent kan noemen. Een oplichter met een website die deze functie misbruikt, weet niet dat "Doug" wordt vertegenwoordigd door deze specifieke hexadecimale tekenreeks.

Maar elke keer dat "Doug" hun website bezoekt, zelfs als "Doug" trackingbeveiliging heeft die probeert te voorkomen dat ze erachter komen waar je bent geweest ...

... kom je terug *met dezelfde Google-gebruikers-ID* als je nog steeds bent aangemeld bij Google.

Ze zullen dus niet weten wie je bent, maar ze zullen weten dat het dezelfde persoon is die keer op keer terugkomt - zonder cookies te plaatsen of iets slinks te doen.

Het is bijna alsof deze IndexedDB-databaselijst kan werken als een soort supercookie: ik weet niet wie het is, maar ik weet wel dat het elke keer dezelfde persoon is.

Dat is informatie die u waarschijnlijk nooit van plan was te geven.

En daarom is deze bug belangrijk, gezien de moeite die browsermakers in de loop der jaren hebben gestoken in het elimineren van al dit verraad dat mensen zouden kunnen doen met zogenaamde superkoekjes - dat is waar oplichters dingen gebruiken als "welke websites heb je bezocht met HTTPS in plaats van HTTP?" als een manier om bij te houden wie u bent, of "welke lettertypen heeft u geïnstalleerd?", of "welke schermresolutie gebruikt u?"

Al die dingen die mensen dubieus zouden gebruiken om te proberen u als individuele gebruiker te vingerafdrukken, kunnen worden gedaan met IndexedDB.

En zoals we al zo vaak hebben geklaagd, zegt Apple niet wanneer ze dit gaan oplossen.

Maar de reden dat Fingerprint JS er nu over schreef, is dat ze aan de open source-componenten in WebKit kunnen zien dat Apple-programmeurs hiernaar lijken te kijken, en ze beginnen samen te smelten in een hele reeks veranderingen die zullen worden opgelost het.

Er komt dus waarschijnlijk binnenkort een patch voor Safari/WebKit... maar Apple gelooft niet in het vertellen dat die eraan komt.

Je moet er maar vanuit gaan dat het zo is. Dus let op deze ruimte.


DOUG. Oké, dat houden we in de gaten! Dat is Ernstige beveiliging: Apple Safari lekt privégegevens via database-API - wat u moet weten, op nakedsecurity.sophos.com.

En het is die tijd van de show: de Oh! Nee! van de week.

Reddit-gebruiker dilgentcockroach700 schrijft ...


EEND. Betekent dit dat er 699 ijverige kakkerlakken voor hem of haar zijn?


DOUG. Ik weet! Stel je voor dat je die gebruikersnaam probeert te beveiligen!


EEND. [DOEN ALSOF EEN ONDERSTEUNENDE BOT TE ZIJN] "Andere gebruikersnamen die je misschien leuk vindt..."

DOUG, Ja, 700: veel kakkerlakken; ze zijn moeilijk te doden.

[VERHAAL HET VERHAAL] In de jaren tachtig werkte ik voor een telecombedrijf in het Verenigd Koninkrijk. We hadden een Digital Equipment Corporation PDP-1980 waar ik de leiding over had, die zich in een omgevingskamer bevond.

Op een maandagochtend kwam ik op kantoor en ontdekte dat de computer helemaal dood was. Ik rende de computerruimte in en vond ladders, potten met verf, penselen en een gigantische stofdoek die de PDP-11 volledig bedekte, die inmiddels zo heet was dat hij bijna gloeide.

(Als niemand er ooit een heeft gezien, is het ongeveer zo groot als een koelkast die je in je keuken zet ... het is een gigantische computer.)

Blijkbaar had de afdeling Office Services besloten dat de kamer versierd moest worden, maar nam ze niet de moeite om het aan iemand te vertellen.

Ik zette de stroom naar de computer uit, verwijderde het stofblad en liet het afkoelen.

Later probeerde ik het opnieuw op te starten, maar het werkte niet. Uiteindelijk moesten we DEC-ingenieurs uit de VS inschakelen en de meeste gefrituurde internals vervangen. Mijn manager zorgde ervoor dat de afdeling Office Services de rekening van enkele duizenden ponden uit hun budget betaalde.

Dus stel je voor - een gigantische computer zo groot als een koelkast - hoe heet dat zou worden...


EEND. [LACH]


DOUG. ...en er een schilderszeil overheen leggen om de kamer waarin het zich bevond te schilderen.


EEND. Dat was de duurste verf ter wereld!


DOUG. Uh Huh!

Nou, ik gok dat ze die PDP-11 inmiddels waarschijnlijk hebben vervangen door iets slankers.


EEND. Waarschijnlijk tien keer krachtiger, zoals een Raspberry Pi Zero.


DOUG. Of een mobiel!

Hoe dan ook, als je een Oh! Nee! je wilt indienen, lezen we het graag in de podcast.

U kunt ons mailen op tips@sophos.com, je kunt reageren op een van onze artikelen, of je kunt ons bereiken op social @nakedsecurity.

Dat is onze show voor vandaag – heel erg bedankt voor het luisteren.

Voor Paul Ducklin, ik ben Doug Aamoth, ik herinner je eraan...

Tot de volgende keer…


BEIDE. ... blijf veilig!

[MUZIEK MODEM]


Bron: https://nakedsecurity.sophos.com/2022/01/20/661378/

spot_img

Laatste intelligentie

spot_img