SNITT GENOM CYBERSÄKERHETSNYHETER HYPE
Med Paul Ducklin och Chester Wisniewski
Intro och outro musik av Edith Mudge.
Klicka och dra på ljudvågorna nedan för att hoppa till valfri punkt. Du kan också lyssna direkt på Soundcloud.
Du kan lyssna på oss på soundcloud, Apple Podcasts, Google Podcasts, Spotify, häft och överallt där bra poddar finns. Eller bara släpp URL till vårt RSS-flöde till din favoritpodcatcher.
LÄS TRANSKRIPTET
[MUSIKALT MODEM]
ANKA. Hej allihopa.
Välkommen till ännu ett avsnitt av podcasten Naked Security.
Jag heter Paul Ducklin, och jag har sällskap av min vän och kollega Chester Wisniewski från Vancouver.
Hej, Chet!
CHET. Hej Anka.
Skönt att vara tillbaka på podden.
ANKA. Tyvärr är anledningen till att du är tillbaka på just den här att Doug och hans familj har fått den fruktade lurgy...
..de har ett coronavirusutbrott i sitt hushåll.
Tack så mycket för att du steg upp med mycket kort varsel, bokstavligen i eftermiddag: "Chet, kan du hoppa in?"
Så låt oss gå direkt till dagens första ämne, vilket är något som du och jag diskuterade delvis i minipodcastavsnitt vi gjorde förra veckan, och det är frågan om Uber-intrånget, Rockstar-brottet och den här mystiska cyberbrottsgruppen känd som LAPSUS$.
Var är vi nu med denna pågående saga?
CHET. Tja, jag tror att svaret är att vi inte vet, men det har säkert funnits saker som jag kommer att säga har uppfattats vara utvecklingar, vilket är...
…Jag har inte hört talas om några ytterligare hacks efter Rockstar Games-hacket eller Take-Two Interactive-hacket som inträffade för drygt en vecka sedan, vid tidpunkten för denna inspelning.
En minderårig person i Storbritannien greps, och några personer har dragit några streckade linjer som säger att han är en typ av nyckeln till LAPSUS$-gruppen, och att den personen är fängslad av den brittiska polisen.
Men eftersom de är minderåriga är jag inte säker på att vi egentligen vet mycket om någonting.
ANKA. Ja, det var många slutsatser som drogs till!
Vissa av dem kan vara rimliga, men jag såg många artiklar som talade som om fakta hade fastställts när de inte hade gjort det.
Personen som greps var en 17-åring från Oxfordshire i England, och det är exakt samma ålder och plats för den person som greps i mars och som påstås ha koppling till LAPSUS$.
Men vi vet fortfarande inte om det ligger någon sanning i det, eftersom den huvudsakliga källan för att placera en LAPSUS$-person i Oxfordshire är någon annan okänd cyberkriminell som de hamnade i och som doxxade dem online:
Så jag tror att vi måste vara, som du säger, väldigt försiktiga med att påstå som fakta saker som mycket väl kan vara sant men kanske inte är sant...
...och faktiskt inte påverkar de försiktighetsåtgärder du bör vidta ändå.
CHET. Nej, och vi ska prata om det här igen i en av de andra berättelserna om en minut.
Men när värmen ökar efter en av dessa stora attacker, går folk många gånger till marken oavsett om någon har arresterats eller inte.
Och det såg vi verkligen förut – jag tror att vi i den andra podden nämnde Lulzsec-hackinggruppen som var ganska känd för tio år eller så sedan för att ha gjort liknande… "stunthack", skulle jag kalla dem – bara saker för att genera företag och publicera en massa information om dem offentligt, även om de kanske inte hade för avsikt att utpressa dem eller göra något annat brott för att få någon ekonomisk fördel för sig själva.
Flera gånger, olika medlemmar i den gruppen... en medlem skulle arresteras, men det var uppenbarligen, tror jag, till slut fem eller sex olika medlemmar i den gruppen, och de skulle alla sluta hacka under några veckor.
För naturligtvis var polisen plötsligt väldigt intresserad.
Så detta är inte ovanligt.
Faktum är att alla dessa organisationer har fallit under för social ingenjörskonst på något sätt, med undantag... Jag kommer inte säga med "undantaget" för, återigen, vi vet inte - vi förstår inte riktigt hur de kom in i Rockstar-spel.
Men jag tror att det här är ett tillfälle att gå tillbaka och granska hur och var du använder multifaktorautentisering [MFA] och kanske att vrida upp ratten ett snäpp för hur du kan ha distribuerat det.
När det gäller Uber använde de ett push-aviseringssystem som visar en prompt på din telefon som säger: "Någon försöker ansluta till vår portal. Vill du tillåta eller blockera?”
Och det är så enkelt som att bara trycka på den stora gröna knappen som säger [Allow].
Det låter som att de i det här fallet tröttade ut någon till att bli så irriterad efter att ha fått 700 av dessa uppmaningar på sin telefon att de precis sa [Allow] för att få det att sluta hända.
Jag skrev ett stycke på Sophos News-bloggen där jag diskuterade några av de olika lärdomarna som kan tas från Ubers förfall, och vad Uber skulle kunna implementera för att förhindra att samma saker inträffar igen:
ANKA. Tyvärr tror jag att anledningen till att många företag väljer att "ja, du behöver inte ange en sexsiffrig kod, du trycker bara på knappen" är att det är det enda sättet att de skulle kunna göra anställda villiga tillräckligt för att vilja göra 2FA överhuvudtaget.
Vilket verkar lite synd...
CHET. Nåväl, sättet vi ber dig att göra det idag slår jävligt bra att bära en RSA-token på din nyckelring som vi brukade göra tidigare.
ANKA. En för varje konto! [skrattar]
CHET. Ja, jag saknar inte att bära den lilla foben på min nyckelring. [skrattar]
Jag tror att jag har en här någonstans där det står "Död fladdermus" på skärmen, men de stavade inte "död" med ett A.
Det var dEdbAt.
ANKA. Ja, det är bara sexsiffrigt, eller hur?
CHET. Exakt. [skrattar]
Men saker och ting har förbättrats, och det finns många mycket sofistikerade multifaktorverktyg där ute nu.
Jag rekommenderar alltid att du använder FIDO-tokens när det är möjligt.
Men utanför det, även i mjukvarusystem, kan dessa saker designas för att fungera på olika sätt för olika applikationer.
Ibland kanske du bara behöver klicka [OK] eftersom det inte är något superkänsligt.
Men när du gör det känsliga, kanske du måste ange en kod.
Och ibland går koden i webbläsaren, eller ibland går koden in i din telefon.
Men alltsammans... Jag har aldrig ägnat mer än 10 sekunder åt att tillåta mig själv att gå in i något när multifaktor har dykt upp, och jag kan avsätta 10 sekunder för säkerheten och säkerheten för inte bara mitt företags data, utan för våra anställda och våra kunder data.
ANKA. Kunde inte hålla med mer, Chester!
Vår nästa berättelse gäller ett mycket stort telebolag i Australien som heter Optus:
Nu blev de hackade.
Det var inte ett 2FA-hack – det var kanske vad man kan kalla "lägre hängande frukt".
Men i bakgrunden var det en hel del sken när polisen blev inblandad, eller hur?
Så... berätta vad som hände där, så vitt du vet.
CHET. Exakt – jag läser inte in det här på något detaljerat sätt, eftersom vi inte är inblandade i attacken.
ANKA. Och jag tror att de fortfarande undersöker, uppenbarligen, eller hur?
För det var, vad, miljontals skivor?
CHET. Ja.
Jag vet inte det exakta antalet poster som stals, men det påverkade över 9 miljoner kunder, enligt Optus.
Och det kan bero på att de inte är helt säkra på vilken kundinformation som kan ha nåtts.
Och det var känsliga uppgifter, tyvärr.
Det inkluderade namn, adresser, e-postadresser, födelsedatum och identitetshandlingar, vilket förmodligen är passnummer och/eller körkort utfärdade av Australien.
Så det är ganska bra för någon som vill göra identitetsstöld – det är inte en bra situation.
Råden till offren som får en anmälan från Optus är att om de hade använt sitt pass borde de byta ut det.
Det är ingen billig sak att göra!
Och tyvärr, i det här fallet, påstås förövaren ha fått data genom att använda en oautentiserad API-slutpunkt, vilket i huvudsak betyder ett programmatiskt gränssnitt mot internet som inte ens krävde ett lösenord...
…ett gränssnitt som gjorde det möjligt för honom att seriellt gå igenom alla kundregister och ladda ner och ta bort all denna data.
ANKA. Så det är som jag går till example.com/userrecord/000001 och jag får något och jag tänker, "Åh, det är intressant."
Och så går jag, -2, -3, -4, 5, -6... och där är de alla.
CHET. Absolut.
Och vi diskuterade, som förberedelse för podcasten, hur denna typ av eko i det förflutna, när en hacker känd som Weev hade gjort en liknande attack mot AT&T under lanseringen av den ursprungliga iPhonen, och räknade upp många kändisars personliga information från ett AT&T API slutpunkt.
Tydligen lär vi oss inte alltid, och vi gör samma misstag igen...
ANKA. Eftersom Weev berömt, eller ökänt, åtalades för det och dömdes och gick i fängelse...
...och så var det upphävde vid överklagande, eller hur?
Jag tror att domstolen bildade uppfattningen att även om han kan ha brutit mot lagens anda, tror jag att det ansågs att han faktiskt inte hade gjort något som verkligen innebar någon form av digital "brott och inträde".
CHET. Tja, den exakta lagen i USA, den Lag för datorbedrägeri och missbruk, är mycket specifik om det faktum att du bryter mot den lagen när du överskrider din behörighet eller om du har obehörig åtkomst till ett system.
Och det är svårt att säga att det är otillåtet när det är vidöppet för världen!
ANKA. Nu förstår jag i Optus-fallet att den person som ska ha fått uppgifterna verkade ha uttryckt intresse av att sälja den...
…åtminstone tills den australiska federala polisen [AFP] slog in.
Är det rätt?
CHET. Ja. Han hade skrivit ett inlägg på ett mörktmarknadsforum och erbjöd skivorna, som han hävdade gällde 11.2 miljoner offer, och erbjöd dem till försäljning för 1,000,000 XNUMX XNUMX dollar.
Tja, jag borde säga en miljon icke-riktiga dollar... 1 miljon värda Monero.
Uppenbarligen är Monero en sekretesstoken som ofta används av brottslingar för att undvika att bli identifierade när du betalar lösensumman eller gör ett köp från dem.
Inom 72 timmar, när AFP började utreda och gjorde ett offentligt uttalande, verkar han ha dragit tillbaka sitt erbjudande att sälja uppgifterna.
Så kanske har han gått till marken, som jag sa i förra historien, i hopp om att kanske inte AFP hittar honom.
Men jag misstänker att vilka digitala kaksmulor han än lämnat efter sig, så är AFP hett på spåren.
ANKA. Så om vi ignorerar data som är borta och kriminaliteten eller på annat sätt för att komma åt den, vad är moralen i historien för människor som tillhandahåller RESTful API:er, webbaserade åtkomst-API:er, till kunddata?
CHET. Tja, jag är ingen programmeringsexpert, men det verkar som om viss autentisering är på sin plats... [SKRATT]
…för att säkerställa att människor bara får tillgång till sina egna kundregister om det finns en anledning till att det är offentligt tillgängligt.
Utöver det verkar det som om ett betydande antal skivor stals innan något märktes.
Och inte annorlunda än att vi borde övervaka, till exempel, hastighetsbegränsningar för vår egen autentisering mot våra VPN:er eller våra webbappar för att säkerställa att någon inte gör en brute-force attack mot våra autentiseringstjänster...
…du skulle hoppas att när du väl sökte efter en miljon poster genom en tjänst som verkar vara utformad för att du ska kunna slå upp en, kanske det är på sin plats med en viss övervakning!
ANKA. Absolut.
Det är en läxa som vi alla kunde ha lärt oss från långt tillbaka i Chelsea Manning-hacket, är det inte där hon kopierade, vad var det?
30 års kablar från utrikesdepartementet kopierade till en CD... med hörlurar på, låtsas som att det var en musik-CD?
CHET. Britney Spears, om jag minns.
ANKA. Det var väl skrivet på CD:n?
CHET. Ja. [SKratt]
ANKA. Så det gav en anledning till varför det var en omskrivbar CD: "Ja, jag satte bara musik på den."
Och inte vid något tillfälle ringde någon varningsklocka.
Du kan föreställa dig, kanske, om du kopierade den första månadens data, ja, det kan vara okej.
Ett år, ett decennium kanske?
Men 30 år?
Man skulle hoppas att brandvarnaren då skulle ringa riktigt högt.
CHET. Ja.
"Oauktoriserade säkerhetskopior", kan man kalla dem, antar jag.
ANKA. Ja…
…och det här är naturligtvis ett stort problem i dagens ransomware, eller hur, där många skurkar exfiltrerar data i förväg för att ge dem extra utpressning?
Så när du kommer tillbaka och säger, "Jag behöver inte din dekrypteringsnyckel, jag har säkerhetskopior," säger de, "Ja, men vi har dina data, så vi kommer att spilla det om du inte ger oss pengarna."
I teorin skulle du hoppas att det skulle vara möjligt att upptäcka det faktum att all din data säkerhetskopierades men inte följde den vanliga molnsäkerhetskopieringsproceduren som du använder.
Det är lätt att säga det... men det är sånt du måste se upp med.
CHET. Det kom en rapport den här veckan som faktiskt, eftersom bandbredden har blivit så produktiv, krypterar en av lösensummagrupperna inte längre.
De tar bort all din data från ditt nätverk, precis som utpressningsgrupperna har gjort ett tag, men sedan torkar de dina system istället för att kryptera den och säger: "Nej, nej, nej, vi ger dig data tillbaka när du betalar."
ANKA. Det är "Exmatter", är det inte?
CHET. Ja.
ANKA. ”Varför bry sig om all komplexiteten med elliptisk kurvkryptografi och AES?
Det finns så mycket bandbredd där ute att istället för att [skratta]... åh, kära, jag borde inte skratta... istället för att säga, "Betala oss pengarna så skickar vi dig den 16-byte dekrypteringsnyckeln", är det "Skicka oss pengarna och vi ger dig filerna tillbaka."
CHET. Det understryker återigen hur vi behöver leta efter verktygen och beteendet hos någon som gör skadliga saker i vårt nätverk, eftersom de kan vara auktoriserade att göra vissa saker (som Chelsea Manning), eller så kan de vara avsiktligt öppna, oautentiserade saker som gör ha något syfte.
Men vi måste hålla utkik efter beteendet hos deras övergrepp, för vi kan inte bara se efter krypteringen.
Vi kan inte bara se efter att någon gissar lösenord.
Vi måste se upp för dessa större aktiviteter, dessa mönster, som indikerar att något skadligt inträffar.
ANKA. Absolut.
Som jag tror du sa i minisod som vi gjorde räcker det inte längre att bara vänta på att varningar dyker upp på din instrumentpanel för att säga att något dåligt har hänt.
Du måste vara medveten om vilken typ av beteenden som pågår i ditt nätverk som kanske ännu inte är skadliga, men som ändå är ett gott tecken på att något dåligt är på väg att hända, eftersom förebyggande, som alltid, är mycket bättre än bota:
Chester, jag skulle vilja gå vidare till en annan sak – den historien är något jag skrev på Naked Security idag, helt enkelt för att jag själv hade blivit förvirrad.
Mitt nyhetsflöde surrade av berättelser om att WhatsApp hade en nolldag:
Men när jag tittade på alla berättelser verkade de alla ha en gemensam primär källa, vilket var en ganska generisk säkerhetsrådgivning från WhatsApp själv som gick tillbaka till början av månaden.
Den tydliga och nuvarande faran som nyhetsrubrikerna fick mig att tro...
…visade sig inte alls vara sant så vitt jag kunde se.
Berätta vad som hände där.
CHET. Du säger "Zero-day."
Jag säger: "Visa mig offren. Var är de?" [SKRATT]
ANKA. Tja, ibland kanske du inte kan avslöja det, eller hur?
CHET. Tja, i så fall skulle du berätta det för oss!
Det är en normal praxis i branschen för att avslöja sårbarheter.
Du kommer ofta att se, på Patch Tuesday, Microsoft göra ett uttalande som, "Denna sårbarhet är känd för att ha utnyttjats i det vilda", vilket betyder att någon där ute kom på detta fel, började attackera det, sedan fick vi reda på det och gick tillbaka och fixade det.
*Det är* en nolldag.
Att hitta ett mjukvarufel som inte utnyttjas, eller det finns inga bevis har någonsin utnyttjats, och att proaktivt åtgärda det kallas "God ingenjörssed", och det är något som nästan all programvara gör.
Faktum är att jag minns att du nämnde den senaste Firefox-uppdateringen som proaktivt fixar många sårbarheter som Mozilla-teamet lyckligtvis dokumenterar och rapporterar offentligt – så vi vet att de har åtgärdats trots att ingen där ute var känd för att någonsin attackera dem.
ANKA. Jag tror att det är viktigt att vi håller tillbaka ordet "nolldagar" för att indikera hur tydlig och närvarande en fara är.
Och att kalla allt för en nolldag eftersom det kan orsaka fjärrkörning av kod förlorar effekten av vad jag tycker är en mycket användbar term.
Skulle du hålla med det?
CHET. Absolut.
Det är inte för att minska vikten av att tillämpa dessa uppdateringar, naturligtvis - när du ser "fjärrkörning av kod", kan någon nu gå tillbaka och ta reda på hur man attackerar dessa buggar och de människor som inte har uppdaterat sin app.
Så det är fortfarande en brådskande sak att se till att du får uppdateringen.
Men på grund av karaktären av en nolldag, förtjänar den verkligen sin egen mandatperiod.
ANKA. Ja.
Att försöka göra nolldagshistorier av saker som är intressanta och viktiga men som inte nödvändigtvis är en tydlig och närvarande fara är bara förvirrande.
Särskilt om fixen faktiskt kom ut en månad innan och du presenterar den som en berättelse som om "det här händer just nu".
Alla som går till sin iPhone eller sin Android kommer att säga: "Jag har ett versionsnummer långt före det. Vad händer här?"
Förvirring hjälper inte när det gäller att försöka göra rätt i cybersäkerhet.
CHET. Och om du hittar ett säkerhetsfel som kan vara en noll-dag, vänligen rapportera det, särskilt om det finns ett bugg-bounty-program som erbjuds av organisationen som utvecklar programvaran.
Jag såg i eftermiddags att någon under helgen upptäckte en sårbarhet i OpenSea, som är en plattform för handel med icke-fungibla tokens eller NFTs... som jag inte kan rekommendera till någon, men någon hittade en oparpad sårbarhet som var kritisk i deras systemet under helgen, rapporterade det och fick en 100,000 XNUMX $ bugglön idag.
Så det är värt att vara etisk och lämna in dessa saker när du upptäcker dem, för att förhindra att de förvandlas till en nolldag när någon annan hittar dem.
ANKA. Absolut.
Du skyddar dig själv, du skyddar alla andra, du gör det rätta av leverantören... men genom ansvarsfull avslöjande tillhandahåller du det där "mini-Sword of Damocles" som innebär att oetiska leverantörer, som tidigare kan ha sopat felrapporter under matta, kan inte göra det eftersom de vet att de kommer att bli outed till slut.
Så de kan faktiskt lika gärna göra något åt det nu.
Chester, låt oss gå vidare till vårt sista ämne för den här veckan, och det är frågan om vad som händer med data på enheter när du inte riktigt vill ha dem längre.
Och berättelsen jag hänvisar till är böterna på 35,000,000 2016 XNUMX dollar som utfärdades till Morgan Stanley för en incident som går ända tillbaka till XNUMX:
Det finns flera aspekter av berättelsen ... det är fascinerande läsning, faktiskt, hur det hela utvecklades och hur lång tid som dessa data levde på och svävade runt på okända platser på internet.
Men huvuddelen av historien är att de hade... Jag tror att det var ungefär 4900 hårddiskar, inklusive diskar som kommer från RAID-arrayer, serverdiskar med klientdata på.
"Vi vill inte ha dessa längre, så vi skickar iväg dem till ett företag som torkar dem och sedan säljer dem, så vi får lite pengar tillbaka."
Och i slutändan kan företaget ha torkat några av dem, men några av dem skickade de bara till försäljning på en auktionssajt utan att torka dem alls.
Vi fortsätter att göra samma gamla misstag!
CHET. Ja.
Den allra första HIPAA-överträdelsen, tror jag, som hittades i USA – sjukvårdslagstiftningen om att skydda patientinformation – gällde högar av hårddiskar i en garderob som var okrypterade.
Och det är nyckelordet för att börja processen för vad man ska göra åt det här, eller hur?
Det finns inte en disk i världen som inte borde vara fulldiskkrypterad vid det här laget.
Varje iPhone har varit det så länge jag kan minnas.
De flesta Androider har varit det så länge jag kan minnas, såvida du inte fortfarande plockar upp kinesiska brännartelefoner med Android 4 på dem.
Och stationära datorer krypteras tyvärr inte tillräckligt ofta.
Men de borde inte vara annorlunda än de där serverhårddiskarna, de där RAID-arrayerna.
Allt bör vara krypterat till att börja med, för att göra det första steget i processen svårt, för att inte säga omöjligt...
…följt av förstörelse av den enheten om och när den når slutet av sin livslängd.
ANKA. För mig är en av de viktigaste sakerna i den här Morgan Stanley-berättelsen att fem år efter att det här började... det började 2016, och i juni förra året köptes fortfarande skivor från den auktionssajten som hade hamnat i det stora okända tillbaka av Morgan Stanley.
De var fortfarande avtorkade, okrypterade (uppenbarligen), fungerade bra och med all data intakt.
Till skillnad från cyklar som slängs i kanalen, eller trädgårdsavfall som du lägger i kompostbehållaren, kan data på hårddiskar inte förfalla, möjligen under mycket lång tid.
Så om du är osäker, gnugga ut det helt, va?
CHET. Ja, ganska mycket.
Tyvärr är det så det är.
Jag gillar att se saker återanvändas så mycket som möjligt för att minska vårt e-avfall.
Men datalagring är inte en av de saker där vi har råd att ta den chansen...
ANKA. Det kan vara en riktig datasparare, inte bara för dig, utan för din arbetsgivare, och dina kunder och tillsynsmyndigheten.
Chester, tack så mycket för att du steg upp igen med mycket, väldigt, kort varsel.
Tack så mycket för att du delar med dig av dina insikter, särskilt din titt på den där Optus-berättelsen.
Och som vanligt tills nästa gång...
BÅDE. Håll dig säker.
[MUSIKALT MODEM]
