Aşağıda müzik çalar yok mu? Dinlemek direkt olarak Soundcloud'da.

DOUG.  Bluetooth izleyicileri, can sıkıcı bootkit'ler ve nasıl iş bulamayacağınız.

Hepsi ve daha fazlası Naked Security podcast'inde.

[MÜZİKAL MODEM]

Podcast'e hoş geldiniz millet.

Ben Doug Aamoth.

O Paul Ducklin…

Tech History'den bu başlığın keyfini çıkarın.

Bu hafta, 11 Mayıs 1979'da dünya, elektronik tabloların yeniden hesaplanmasını otomatikleştiren bir program olan VisiCalc veya Visible Calculator'a ilk kez baktı.

Harvard MBA adayı Daniel Bricklin ve programcı Robert Frankston'ın buluşu olan VisiCalc, Apple II'yi etkili bir şekilde geçerli bir iş makinesine dönüştürdü ve ilk yılda 100,000'den fazla kopya satmaya devam etti.

ÖRDEK.  İnanılmaz, Doug.

Bilgisayarlı bir elektronik tablo gördüğüm ilk zamanı hatırlıyorum.

İşte değildim… Ben sadece bir çocuktum ve bu konuda okuduklarımdan bana öyle geldi ki, bu sadece yüceltilmiş, tam ekran bir hesap makinesiydi.

Ancak tüm bu bağımlılıklar da dahil olmak üzere her şeyi yeniden yapabilen bir hesap makinesi olduğunu fark ettiğimde, bu, belki daha çağdaş bir terim kullanmak gerekirse, "Akıldan çıkmış", Doug oldu.

DOUG.  Bilgi işlemin ilk günlerinde çok önemli bir uygulama.

İlk hikayemize girerken uygulamalara bağlı kalalım.

Paul, eğer uygulama güvenliğinde bir iş arıyorsam, yapabileceğim en iyi şeyin popüler bir uygulama tedarik zincirini zehirlemek olduğunu düşünüyorum.

Bu doğru mu?

PHP Packagist tedarik zinciri, "iş arayan" hacker tarafından zehirlendi

ÖRDEK.  Evet, çünkü o zaman paketi açıklayan JSON dosyasını değiştirebilir ve “Bu, QR kodları oluşturmanıza yardımcı olacak bir pakettir” demek yerine, örneğin, “Benim tarafımdan yazılmıştır. Uygulama Güvenliğinde bir iş arıyorum.”

[GÜLÜYOR]

Kim seni işe almak için acele etmez, Doug?

DOUG.  Evet!

ÖRDEK.  Ancak ne yazık ki tedarik zincirinin ancak en zayıf halkası kadar güçlü olduğunu bir kez daha hatırlatıyor.

Ve bu bağlantıların tamamen otomatik olarak kararlaştırılmasına ve tatmin edilmesine izin veriyorsanız, bunun gibi bir şeyle kolayca dikiş atabilirsiniz.

Saldırgan… hadi ona öyle diyelim.

(Gerçekten bir hack miydi? Sanırım öyleydi.)

Basitçe GitHub'da yeni depolar oluşturdular, meşru projeleri kopyaladılar ve "Hey, ben bir iş istiyorum arkadaşlar" mesajını koydular.

Sonra PHP Packagist'e gittiler ve bağlantıları değiştirerek, "Ah, hayır, GitHub'daki gerçek yere gitme. Sahte yere git.

Yani çok daha kötü olabilirdi.

Çünkü, elbette, bunu yapan herhangi biri… eğer paketi tanımlayan JSON dosyasını değiştirebilirlerse, o zaman paketteki kodu tuş kaydediciler, arka kapılar, veri çalıcılar, kötü amaçlı yazılım yükleyen kötü amaçlı yazılımlar vb. içerecek şekilde değiştirebilirler. .

DOUG.  Tamam, görünüşe göre işin en saçma yanı, bazı eski etkin olmayan hesaplar için bazı kullanıcı adlarını ve şifreleri tahmin etmesi ve ardından trafiği klonladığı bu paketlere yönlendirmesi, değil mi?

ÖRDEK.  Doğru.

GitHub hesaplarına girmesine gerek yoktu.

İnsanların beğendiği ve kullandığı görünen, ancak geliştiricilerin bir süredir ihtiyaç duymadığı veya bunlarla uğraşmak istemediği, oturum açmadığı, muhtemelen şifrelerini değiştirmediği veya herhangi bir tür eklemediği paketlere yöneldi. Son yıllarda 2FA.

Ve bu gerçekten de içeri nasıl girdiğiydi.

Ve sanırım nereye gittiğini biliyorum, Doug, çünkü bu seni hoşlandığın türden ipuçlarına güzel bir şekilde yönlendiriyor.

DOUG.  Kesinlikle!

Birkaç ipucu var… hepsini okumak için makaleye gidebilirsiniz, ancak en sevdiğimden başlayarak birkaçını vurgulayacağız: Bunu yapma.

ÖRDEK.  Evet, sanırım sana neden bir iş bulmayacağını anlattık.

[GÜLÜYOR]

Bu dava… sizi hapse atmak için yeterli olmayabilir, ama kesinlikle söyleyebilirim ki, ABD ve Birleşik Krallık'ta bu, ilgili Bilgisayar Dolandırıcılığı ve Kötüye Kullanım Yasalarımıza göre bir suçtur, değil mi?

Başkasının hesabına izinsiz giriş yapmak ve bir şeylerle oynamak.

DOUG.  Ve sonra belki biraz daha somut bir tavsiye: Tedarik zinciri güncellemelerini doğruluğunu gözden geçirmeden körü körüne kabul etmeyin.

Bu iyi bir tanesi.

ÖRDEK.  Evet.

Bu o şeylerden biri, değil mi, “Hey çocuklar, bir parola yöneticisi kullanın; 2FA'yı açın ”?

Parola Günü'nde yaşadığımız gibi... İşe yaradıkları için bunları söylemeliyiz: yararlıdırlar; Onlar önemlidir.

Gelecek bizi nereye götürürse götürsün, şimdiyi yaşamalıyız.

Ve bu herkesin bildiği şeylerden biri… ama bazen hepimize, Çıplak'ta yaptığımız gibi, büyük, kalın harflerle hatırlatılması gerekiyor.
Güvenlik makalesi.

DOUG.  Tamam, çok iyi.

Sıradaki hikayemiz... Sanırım bundan son bahsettiğimizde, "Buna göz kulak olacağız" dedim ve alıntı yaptım.

Ve bir güncellememiz var.

Bu, MSI anakart ihlali ile ilgili; sızan güvenlik anahtarları.

Burada neler oluyor, Paul?

Araştırmacılar, MSI ihlalinde düşük seviyeli anakart güvenlik anahtarlarının sızdırıldığını iddia ediyor

ÖRDEK.  Düzenli bir dinleyiciyseniz bunu hatırlayabilirsiniz.

Bir aydan biraz daha uzun bir süre önceydi, öyle değil mi, Money Message sokak adıyla dolaşan bir fidye yazılımı ekibi, karanlık web sitelerine, daha iyi bilinen adıyla “MicroStar International'ı ihlal ettik” diyen bir not koydu. Tanınmış anakart üreticisi MSI, ayarlanabilir anakartlarıyla oyuncular arasında çok popüler.

"Kaynak kodu, geliştirme araçları ve özel anahtarlar dahil olmak üzere her şeyi hackledik. Zamanlayıcı süresi dolduğunda çalınan verileri yayınlayacağız” dediler.

Birkaç gün önce geri döndüm ve zamanlayıcının süresi bir aydan fazla bir süre önce doldu, ancak yine de "Zamanlayıcının süresi dolduğunda çalınan verileri yayınlayacağız" diyor.

Yani henüz yayınlamayı tam olarak başaramadılar.

Ancak Binarly adlı bir şirketteki araştırmacılar, aslında verilerin kopyalarına sahip olduklarını iddia ettiler; sızdırılmış olmasıdır.

Ve onu incelediklerinde, bu verilere gömülmüş bir sürü özel anahtar buldular.

Ne yazık ki, buldukları şey doğruysa, oldukça eklektik bir malzeme karışımı.

Görünüşe göre, Intel Önyükleme Koruması denen şey için dört anahtar var.

Şimdi, bunlar Intel'in anahtarları değil, açıklığa kavuşturmak için: OEM veya anakart üreticilerinin, çalışma zamanında anakartı yetkisiz üretici yazılımı güncellemelerine karşı kilitlemek için kullanılan anahtarlardır.

27 aygıt yazılımı görüntü imzalama anahtarı.

Yani bunlar, bir anakart üreticisinin indirmeniz için size verdikleri yeni bir üretici yazılımı görüntüsünü imzalamak için kullanabileceği özel anahtarlardır, böylece bunun doğru olduğundan ve gerçekten onlardan geldiğinden emin olabilirsiniz.

Ve Intel OEM hata ayıklama anahtarı olarak adlandırdıkları bir anahtar.

Şimdi, yine, bu Intel'den bir anahtar değil… bu, Intel'in anakart kontrol donanımında sağladığı ve sistem önyüklenirken bir hata ayıklayıcı ile sisteme girmenize izin verilip verilmeyeceğine karar veren bir özellik için kullanılan bir anahtardır.

Ve tabii ki, mümkün olan en düşük seviyede bir hata ayıklayıcıya hemen girebilirseniz, yalnızca güvenli depolamada olması gereken verileri okumak ve normalde imzalanması gereken kodlarla oynamak gibi şeyler yapabilirsiniz.

İsterseniz, tutmanız gereken, “Yeni aygıt yazılımı imzalamak istemiyorum” yazan bir Tüm Alanlara Erişim kartıdır. Mevcut üretici yazılımını çalıştırmak istiyorum ama onu dondurabilmek istiyorum; onunla oyna; hafızayı gözetlemek.”

Ve Intel'in bu hata ayıklama yetkilendirme anahtarları için kendi belgelerinde neredeyse hicivli bir şekilde alaycı bir şekilde belirttiği gibi: "Anakart üreticisinin özel anahtarlarını başka kişilerle paylaşmayacağı varsayılmıştır."

Kısacası, bu bir ÖZEL anahtardır millet… ipucu adındadır.

[GÜLÜYOR]

Ne yazık ki, bu durumda, ana kartınızda olması gereken korumaların etrafından biraz uçmak için kullanılabilecek bir dizi başka imza anahtarıyla birlikte bunlardan en az biri sızdırılmış gibi görünüyor. yararlanmak isteyenler için.

Ve makalede de söylediğim gibi, gerçekten verebileceğimiz tek tavsiye şudur: Orada dikkatli olun millet.

DOUG.  Kalın yazılmış!

ÖRDEK.  Gerçekten öyle, Doug.

Üretici yazılımı güncellemelerini nereden aldığınız konusunda mümkün olduğunca dikkatli olmaya çalışın.

Yani, gerçekten de dediğimiz gibi, "Dışarıda dikkatli olun millet."

Ve bu, elbette, MSI anakart müşterileri için geçerlidir: sadece bu güncellemeleri nereden aldığınıza dikkat edin, umarım yine de yapıyorsunuzdur.

Anakart üreticisi olsanız da olmasanız da, kriptografik anahtarlarla ilgilenmesi gereken biriyseniz, dikkatli olun çünkü Intel'in hepimize hatırlattığı gibi, bu bir ÖZEL anahtardır.

DOUG.  Pekala, harika.

“Gözümüz üzerinde olsun” diyeceğim… Daha bitmemiş gibi bir his var içimde.

Microsoft, yarı ilgili bir hikayede, sıfır gün önyükleme seti düzeltmesine temkinli bir yaklaşım izliyor.

Bunu görmek ilginçti, çünkü güncellemeler genel olarak otomatiktir ve bu konuda gerçekten endişelenmenize gerek yoktur.

Bu, zamanlarını alıyorlar.

Bootkit sıfır gün düzeltmesi – bu Microsoft'un şimdiye kadarki en ihtiyatlı yaması mı?

ÖRDEK.  Onlar, Douglas.

Şimdi, bu bir anakart üretici yazılımı güncelleme anahtarı iptali sorunu kadar ciddi veya ciddi değil, çünkü Güvenli Önyüklemeden bahsediyoruz - Microsoft'un Güvenli Önyükleme açıldığında, hileli yazılımların çalışmasını önlemek için uyguladığı süreç sabit diskinizdeki Genişletilebilir Ürün Yazılımı Arabirimi başlangıç ​​bölümü olan EFI adı verilen bölümün.

Dolayısıyla, sisteminize "Hey, içinde bir güvenlik hatası olduğu için bu modülü blok listesine almak istiyorum" veya "Bu güvenlik anahtarını kullanımdan kaldırmak istiyorum" derseniz ve sonra kötü bir şey olur ve bilgisayarınız kazanır önyükleme…

…Microsoft durumunda olabilecek en kötü şey, “Biliyorum. Üç ay önce yaptığım kurtarma CD'sine uzanacağım ve fişe takacağım. Ah canım, bu açılmıyor!

Çünkü bu muhtemelen artık yürürlükten kaldırılmış olan eski kodu içeriyor.

Bu nedenle, çalışmayan anakarta bellenim yazılması kadar kötü değil, ancak özellikle yalnızca bir bilgisayarınız varsa veya evden çalışıyorsanız, son derece sakıncalıdır.

Güncellemeyi yaparsınız, “Ah, yeni bir önyükleyici kurdum; Eskisinin çalışması için izni iptal ettim. Şimdi bilgisayarım üç ya da dört hafta boyunca sorun çıkardı, bu yüzden birkaç ay önce yaptığım USB belleği alacağım.”

Fişi prize takıyorsunuz… “Oh hayır, hiçbir şey yapamam! Biliyorum, çevrimiçi olacağım ve Microsoft'tan bir kurtarma görüntüsü indireceğim. Umarım kurtarma resimlerini güncellemişlerdir. Ah canım, bilgisayarım açılmıyor diye nasıl internete gireceğim?”

Yani, dünyanın sonu değil: Her şey korkunç derecede ters gitse bile yine de iyileşebilirsin.

Ama bence Microsoft'un burada yaptığı şey, çok yumuşak, yavaş ve nazik bir yaklaşım benimsemeye karar vermeleri, böylece kimse bu duruma düşmesin…

…güncellemeyi yaptıkları yerde, ancak kurtarma disklerini, ISO'larını, önyüklenebilir USB'lerini henüz güncellemeyi tam olarak başaramadılar ve sonra başları belaya girdi.

Ne yazık ki, bu, insanları güncelleme yapmak için çok beceriksiz ve karmaşık bir yola zorlamak anlamına geliyor.

DOUG.  Tamam, bu üç aşamalı bir süreç.

Birinci Adım, güncellemeyi alıp yüklemektir; bu noktada bilgisayarınız yeni önyükleme kodunu kullanacak, ancak eski kötüye kullanılabilir kodu kabul etmeye devam edecektir.

ÖRDEK.  Açık olmak gerekirse, hala esasen savunmasızsınız.

DOUG.  Evet.

ÖRDEK.  Yamayı aldınız, ancak aynı zamanda sizin en kötü çıkarlarınızı düşünen biri tarafından da "yamayı kaldırabilirsiniz".

Ama İkinci Adım için hazırsınız.

DOUG.  Evet.

Yani ilk kısım oldukça basittir.

İkinci Adım, daha sonra gidip tüm ISO'larınızı, USB anahtarlarınızı ve kurtarma görüntülerinizle yazdığınız tüm DVD'leri yamalarsınız.

ÖRDEK.  Ne yazık ki, keşke Naked Security makalesine talimatlar koyabilseydik, ancak Microsoft'un resmi talimatlarına gitmeniz gerekiyor çünkü istediğiniz her tür kurtarma sistemi için bunu yapmanın 17 farklı yolu var.

Bunların hepsini yenilemek önemsiz bir egzersiz değil.

DOUG.  Yani, bu noktada, bilgisayarınız güncellenir, ancak yine de eski buggy kodunu kabul eder ve kurtarma cihazlarınız ve görüntüleriniz güncellenir.

Şimdi, Üçüncü Adım: manuel olarak yapmanız gereken buggy kodunu iptal etmek istiyorsunuz.

ÖRDEK.  Evet, biraz kayıt defteri karmaşası ve bunu yaparken komut satırı işleri var.

Şimdi, teorik olarak, Adım Bir ve Adım Üç'ü tek seferde yapabilirsiniz ve Microsoft bunu otomatik hale getirebilirdi.

Yeni açılış kodunu yükleyebilirlerdi; sisteme “Artık eski kodun çalışmasını istemiyoruz” diyebilir ve sonra size “Bir ara (çok uzun bırakmayın), gidip İkinci Adımı yapın” diyebilirlerdi.

Ama yedekleme gibi bir şey yapmak için açık ve acil bir ihtiyaç olmadığında, onu ertelediğinizde ve ertelediğinizde ve ertelediğinizde ne olduğunu hepimiz biliyoruz [GÜLER]…

Yani, yapmaya çalıştıkları şey, bu şeyleri belki de en uygun olmayan sırayla yapmanızı sağlamak, ancak üç gün boyunca bilgisayarınızda bir şeyler ters giderse burnunuzu yerinden oynatma olasılığı en düşük olan sırayla, bu yamayı uyguladıktan üç hafta, üç ay sonra.

Bu, Microsoft'un kendi sırtları için bir çeşit çubuk yaptığı anlamına gelse de, bunu yapmanın oldukça iyi bir yolu olduğunu düşünüyorum çünkü bunu gerçekten kilitlemek isteyen insanlar artık bunu yapmanın iyi tanımlanmış bir yoluna sahipler.

DOUG.  Microsoft'un kredisine göre, “Tamam, bunu şimdi yapabilirsiniz (bu biraz hantal bir süreç), ancak Temmuz zaman diliminde çıkarmayı umduğumuz çok daha modern bir süreç üzerinde çalışıyoruz. Ve gelecek yılın başlarında, 2024'te, bunu yapmadıysanız, buna duyarlı tüm makineleri zorla, otomatik olarak güncelleyeceğiz."

ÖRDEK.  Diyorlar ki, "Şu anda, herkesin iyiliği için, 'Bu iptali kalıcı olarak yaptırıyorsunuz, ne olursa olsun' demeden önce size en az altı ay süre vermeyi düşünüyoruz."

DOUG.  Tamam.

Ve şimdi son hikayemiz: Apple ve Google, Bluetooth izleyiciler için standartlar belirlemek üzere güçlerini birleştiriyor.

Gizli etiketlerle mi izleniyor? Apple ve Google, güvenlik ve güvenlik standartları önermek için birleşiyor…

ÖRDEK.  Evet.

Naked Security'de ve podcast'te AirTag'lerden epeyce bahsettik, değil mi?

Onları sevseniz de nefret etseniz de oldukça popüler görünüyorlar ve onları yapan tek şirket Apple değil.

Bir Apple telefonunuz veya bir Google telefonunuz varsa, gönüllülerin "Pekala, bu etiketi gördüm. Kime ait olduğu hakkında hiçbir fikrim yok, ancak gerçek sahibi bakıp izini kaybettikleri için görülüp görülmediğini görsün diye onu veri tabanına çağırıyorum.

Etiketler çok kullanışlı… Bu yüzden, herkesin izleyebileceği, bu çok yararlı olduğu kabul edilen ürünleri kullanmaya devam etmemizi sağlayacak bazı standartlar olsa güzel olmaz mıydı? iddia görünüyor?

İlginç bir ikilem, değil mi?

Hayatlarının bir bölümünde, her zaman aynı cihaz gibi görünmemek konusunda kesinlikle dikkatli olmaları gerekir.

Ama sizden uzaklaştıklarında (ve belki birisi arabanıza gizlice bir tanesini sokmuş ya da sırt çantanıza sıkıştırmış olabilir), "Evet, *olmayan etiketin aynısıyım" demenin aslında sizin için oldukça net olması gerekir. * seninki, son birkaç saattir seninleydi.”

Bu nedenle, bu sözde iz sürmeye karşı korumaları uygulamak için bazen oldukça ketum olmaları ve diğer zamanlarda çok daha açık olmaları gerekir.

DOUG.  Tamam, bunun sadece bir taslak olduğunu ve Mayıs ayı başlarında çıktığını belirtmek önemlidir.

Altı aylık yorum ve geri bildirim var, bu yüzden bu zaman içinde çok büyük ölçüde değişebilir, ancak bu iyi bir ilk başlangıç.

Makale hakkında pek çok yorumumuz var, buna Wilbur'dan gelen de dahil:

Herhangi bir Bluetooth aygıtı kullanmıyorum, bu nedenle pil tasarrufu için iDevices'imde Bluetooth'u kapalı tutuyorum. Artı, bir restoranda iki masa ötedeki insanlar tarafından keşfedilmek istemiyorum. Tüm bu izleme önleme programları, mağdurların ellerinde aktif, tescilli Bluetooth cihazlarına sahip olmasına dayanır. Bunu büyük bir kusur olarak görüyorum. İnsanların başka türlü ihtiyaç duymayacakları veya istemeyecekleri cihazları satın almalarını gerektirir veya mevcut cihazları istemeyecekleri bir şekilde çalıştırmaya zorlar.

Ne dersin Paul?

ÖRDEK.  Buna gerçekten katılmamak mümkün değil.

Wilbur'un sonraki bir yorumunda söylemeye devam ettiği gibi, aslında izlenmekten çok endişelenmiyor; bu ürünler gerçekten popüler olduğu ve size ait olmayan bu etiketlerden biri tarafından takip edildiğinizi bilmek için Bluetooth'a güvendikleri için...

…ilk etapta sisteme dahil olmanız gerekiyor.

DOUG.  Kesinlikle! [GÜLER]

ÖRDEK.  Ve Bluetooth'u açmanız ve "Tamam, uygulamayı çalıştıracağım" demeniz gerekir.

Yani Wilbur haklı.

Bluetooth'a dayanan bu izleyicileri yakalamak istiyorsanız, kendinize bir Bluetooth alıcınız olması gerektiğini söyleyen bir tür ironi var.

Cevabım, "Biraz teknik eğlenceyi seviyorsanız, belki bu bir fırsattır..." oldu.

Bir Raspberry Pi Zero alın (satılık bir tane bulabilirseniz [GÜLÜŞLER]) ve bir proje olarak kendi etiket izleme cihazınızı oluşturabilirsiniz.

Çünkü her ne kadar sistemler tescilli olsa da nasıl çalıştıkları ve aynı izleyicinin üzerinize takılıp takılmadığını nasıl belirleyebileceğiniz oldukça açık.

Ancak bu, yalnızca izleyici bu kurallara uyarsa işe yarar.

Bu zor bir ironi ve sanırım "Pandora'nın Kavanozu açıldı" diye tartışabilirsiniz.

Bu izleme etiketleri popülerdir; onlar gitmeyecekler; oldukça kullanışlıdırlar; faydalı bir hizmet sunuyorlar.

Ancak bu standartlar olmasaydı, Bluetooth açık olsa da olmasa da izlenemezlerdi.

Yani, belki de Wilbur'un yorumuna bakmanın yolu budur?

DOUG.  Gönderdiğin için teşekkürler Wilbur.

Ve göndermek istediğiniz ilginç bir hikayeniz, yorumunuz veya sorunuz varsa, podcast'te okumaktan memnuniyet duyarız.

Tips@sophos.com adresine e-posta gönderebilir, makalelerimizden herhangi biri hakkında yorum yapabilir veya sosyal medyadan bize ulaşabilirsiniz: @nakedsecurity.

Bugünkü programımız bu; dinlediğiniz için çok teşekkürler.

Paul Ducklin için, ben Doug Aamoth, bir dahaki sefere kadar size şunu hatırlatıyorum...

HER İKİSİ DE.  Güvende kalın.

[MÜZİKAL MODEM]