Aşağıda müzik çalar yok mu? Dinlemek direkt olarak Soundcloud'da.

DOUG.  El ile düzeltme eki, iki çeşit Microsoft sıfır günü ve "O dosyaya dikkat et, Eugene."

Hepsi ve daha fazlası Naked Security podcast'inde.

[MÜZİKAL MODEM]

Podcast'e hoş geldiniz millet.

Ben Doug Aamoth'um; o Paul Ducklin'dir.

Paul, bugün nasılsın?

ÖRDEK.  ima mı yapıyordun Pembe Floyd?

DOUG.  *O* Pink Floyd, Evet!

ÖRDEK.  Sanırım başlangıçta bu adla biliniyorlardı.

DOUG.  Gerçekten?

ÖRDEK.  "The" harfini düşürdüler çünkü sanırım araya girdi.

Pembe Floyd.

DOUG.  Bu eğlenceli bir gerçek!

Ve şansın sahip olacağı gibi, daha fazlasına sahibim Eğlenceli gerçekler senin için…

Gösteriye başladığımızı biliyorsun Teknoloji Tarihinde Bu Hafta, ve bugün iki ferimiz var.

Bu hafta, 17 Temmuz 2002'de Apple, internet tabanlı takvim paylaşımı ve birden çok takvimi yönetme yeteneği sunan takvim yazılımı "iCal"ı kullanıma sundu.

"17 TEMMUZ", uygulamanın simgesinde belirgin bir şekilde yer aldı ve bu, 17 Temmuz'un 2014'te kurulan Dünya Emoji Günü olmasına bile yol açtı.

Oldukça basamaklı bir etki, Paul!

ÖRDEK.  Rağmen. iPhone'unuzda simgenin bugünün tarihine dönüştüğünü fark edeceksiniz, çünkü bu çok kullanışlıdır.

Ve diğer hizmet sağlayıcıların farklı tarihler seçmiş olabileceğini veya seçmeyebileceğini fark edeceksiniz, çünkü gerçekten de "neden rekabetinizi kopyalayasınız".

DOUG.  Tamam, hadi konuya girelim.

İlk hikayemizden bahsedeceğiz.

Bu Zimbra ve maceralarla ilgili. siteler arası komut dosyası oluşturma.

Eski güzel XSS, Paul:

Zimbra Collaboration Suite uyarısı: Bu 0-gününü hemen şimdi (el ile) yamalayın!

ÖRDEK.  Evet.

Bu, esasen, sunucunun kendisine girmeden hileli JavaScript'i dahil etmek için bir web sitesini hackleyebileceğiniz yerdir.

Siteyi, örneğin, yazdığınız arama teriminden sadece bahsetmeyen, yanıtında içerik dahil etmesi için kandıran bir eylem gerçekleştirirsiniz veya o siteye bir bağlantı oluşturursunuz. My Search Term, ancak orada olmaması gereken ek metinler içerir, örneğin My search <script> rogue JavaScript </script>.

Başka bir deyişle, bir siteyi, adres çubuğunda kendi URL'si olan ve içinde güvenilmeyen JavaScript içeren içeriği göstermesi için kandırırsınız.

Ve bu, sinsice enjekte ettiğiniz JavaScript'in aslında o site tarafından ayarlanan tüm tanımlama bilgilerine erişimi olduğu anlamına gelir.

Böylece onları çalabilir; kişisel verileri çalabilir; ve daha da önemlisi, dolandırıcıların bir dahaki sefere geri dönmesine izin vermek için muhtemelen kimlik doğrulama belirteçlerini ve bunun gibi şeyleri çalabilir.

DOUG.  Tamam, peki Zimbra bu durumda ne yaptı?

ÖRDEK.  İyi haber şu ki hızlı tepki verdiler çünkü tabii ki sıfır gündü.

Crooks bunu zaten kullanıyordu.

Bu yüzden aslında biraz alışılmadık bir yaklaşım benimsediler, “Yama geliyor. Onu çok yakında alacaksın.”

Ama oldukça düşünceli bir şekilde dediler ki, "Er ya da geç harekete geçmek isteyebileceğinizi anlıyoruz."

Şimdi, ne yazık ki, bu, tüm posta kutusu düğümlerinizdeki ürün dağıtımındaki bir dosyadaki bir kod satırını yamalamak için kendi komut dizinizi yazmanız anlamına geliyor.

Ama bu çok küçük ve basit bir düzeltme.

Ve elbette, tek satır olduğu için, sorunlara neden olması durumunda dosyayı eski haline kolayca değiştirebilirsiniz.

Dolandırıcıların önüne geçmek için can atıyorsanız, bunu tam sürümün düşmesini beklemeden yapabilirsiniz...

DOUG.  Ve aynı zamanda ne büyük bir başarı duygusu!

Kollarımızı sıvayıp böyle bir şeyi elle yamamayalı uzun zaman oldu.

Bir cumartesi sabahı lavaboyu tamir etmek gibi… sonrasında kendinizi iyi hissedersiniz.

Yani ben bir Zimbra kullanıcısı olsaydım, sadece elime almayı sevdiğim için bu konunun üzerinden atlardım... [GÜLER]

ÖRDEK.  Lavaboya yama yapmanın aksine, dar dolaplarda gezinmek ve tüm mülkünüzü su basması riski yoktu.

Düzeltme açık ve iyi tanımlanmıştı.

Bir dosyada bir satır kod değişti.

DOUG.  Pekala, eğer bir programcıysam bunun gibi siteler arası komut dosyası çalıştırmayı önlemek için atabileceğim bazı adımlar nelerdir?

ÖRDEK.  Bu hatanın güzel yanı, Doug, siteler arası komut dizisinde dikkat etmeniz gereken türden şeyler için neredeyse bir belge görevi görmesi.

Yama, yalnızca bir dize alan ve bu dizeyi kullanıcının tarayıcısında diğer uçta görünecek bir web formunun içinde kullanan bir sunucu tarafı bileşeni olduğunu gösteriyor.

Ve programın *şimdi* ne yaptığını görebilirsiniz (bu özel yazılım Java ile yazılmıştır)… bir işlev çağırır escapeXML()Bu, isterseniz, görüntülemek istediğiniz bir metin dizesini almanın ve orada tarayıcıyı kandırabilecek sihirli XML veya HTML karakterleri olmadığından emin olmanın Tek Gerçek Yoludur.

Özellikle: daha az (<); büyük (>); işareti (&); çift ​​alıntı ("); veya kesme işareti olarak da bilinen tek alıntı (').

Bunlar, uzun biçimli, güvenli HTML kodlarına dönüştürülür.

Standart Çıplak Güvenlik klişemizi kullanabilirsem, Doug: Girişlerinizi sterilize edin işin özü burada.

DOUG.  Oooh, bunu seviyorum!

Harika. konusuna geçelim Pink Floyd, belli ki… tüm şovu bekliyorduk.

Pink Floyd siber güvenlik araştırmacısı olsaydı, "" adında bir hit şarkı yazmış olabileceklerini hayal etmek eğlenceli.O dosyaya dikkat et, Eugene.” yerine Paul. [Pink Floyd ünlü bir şarkı yaptı. Baltaya dikkat et, Eugene.]

Google Virus Total, ürkütücü e-posta adreslerinin listesini sızdırıyor

ÖRDEK.  Gerçekten.

"Bu dosyaya dikkat edin", bazen bir çevrimiçi hizmete bir dosya yüklediğinizde, yanlış olanı seçerseniz, dosyayı örneğin güvenli depolama için yüklemek yerine yeniden dağıtabileceğinizi hatırlatır.

Neyse ki, bu durumda çok fazla zarar verilmedi, ancak bu, Google'ın Virus Total hizmetinde olan bir şeydi.

Dinleyiciler muhtemelen Virus Total'in çok popüler bir hizmet olduğunu bileceklerdir; burada, ya bunun kötü amaçlı yazılım olduğunu bildiğiniz ve birçok farklı ürünün ona ne ad verdiğini bilmek istediğiniz (böylece tehdit günlüklerinizde ne arayacağınızı bilirsiniz) ya da "Belki de örneği güvenli bir şekilde, olabildiğince çok satıcıya, mümkün olan en kısa sürede ulaştırmak istiyorum" diye düşündüğünüz bir dosyanız varsa...

…sonra Virus Total'e yüklersiniz.

Dosyanın düzinelerce siber güvenlik şirketine neredeyse anında sunulması amaçlanıyor.

Bu, onu dünyaya yayınlamakla veya sızdıran bir çevrimiçi bulut depolama kovasına yüklemekle tam olarak aynı şey değil, ancak hizmet **, bu dosyayı diğer insanlarla paylaşmayı amaçlıyor.

Ve ne yazık ki, Virus Total içindeki bir çalışanın, müşteri e-posta adreslerinin bir listesini içeren dahili bir dosyayı yanlışlıkla Virus Total portalına yüklediği ve kullanmaları gereken portala yüklemediği anlaşılıyor.

Şimdi, bu hikayeyi yazmanın gerçek sebebi bu Doug.

Gülmeden önce; parmakla göstermeden önce; “Ne düşünüyorlardı?” demeden önce…

..durun ve kendinize bu soruyu sorun.

"Hiç yanlışlıkla yanlış kişiye e-posta gönderdim mi?" [GÜLÜYOR]

Bu retorik bir soru. [DAHA FAZLA GÜLER]

Hepimiz yaptık…

DOUG.  Bu retorik!

ÖRDEK.  …bazılarımız birden fazla kez. [Kahkahalar]

Ve bunu daha önce yaptıysanız, yanlışlıkla yanlış *sunucuya* dosya yükleyip benzer bir hata yapmayacağınızı garanti eden nedir?

Bardakla dudak arasında pek çok sürçme olduğunu hatırlatıyor Douglas.

DOUG.  Pekala, buradaki iyi insanlar için bazı ipuçlarımız var, diyebilirim ki, muhtemelen en popüler olmayan tavsiyelerimizden biri: Gerçekte kullanmadığınız zamanlarda çevrimiçi hesaplardan çıkış yapın.

ÖRDEK.  Evet.

Şimdi, ironik bir şekilde, bu, bu durumda yardımcı olmayabilir, çünkü, tahmin edebileceğiniz gibi, Virus Total, herkesin dosya *yükleyebilmesi* için özel olarak tasarlanmıştır (çünkü bunlar, herkesin iyiliği için, onları görmesi gereken kişilerle hızlı bir şekilde paylaşılmak içindir), ancak yalnızca güvenilir müşteriler bir şeyler *indirebilir* (çünkü yüklemelerin genellikle kötü amaçlı yazılım içerdiği varsayılır, bu nedenle bu dosyaların herhangi biri tarafından kullanılabilir olması amaçlanmamıştır).

Ancak, muhtemelen her zaman oturum açmış durumda kaldığınız sitelerin sayısını düşündüğünüzde, bu, doğru dosyayı alıp yanlış yere yükleme olasılığınızı artırır.

Bir siteye giriş yapmadıysanız ve yanlışlıkla oraya bir dosya yüklemeye çalışırsanız, bir giriş istemi alırsınız...

...ve kendinizi kendinizden koruyacaksınız!

Bu fevkalade basit bir çözüm, ama sizin de dediğiniz gibi, mütevazi bir şekilde elverişsiz olduğu için aynı zamanda aşırı derecede popüler değil. [Kahkahalar]

DOUG.  Evet!

ÖRDEK.  Ancak bazen takım için bir tane almanız gerekir.

DOUG.  Tüm sorumluluğu son kullanıcılara kaydırmamak için: BT ekibindeyseniz, hangi kullanıcıların kime ne tür dosyalar gönderebileceğini kontrol etmeyi düşünün.

ÖRDEK.  Ne yazık ki, bu tür bir engelleme popüler değil, madeni paranın diğer yüzü, insanların kullanmadıklarında hesaplardan çıkış yapmayı sevmemelerinin nedenini isterseniz.

BT gelip “Biliyor musun, siber güvenlik uç nokta ürünümüzün Veri Kaybını Önleme [DLP] parçalarını açacağız” dediğinde…

…insanlar, “Eh, bu uygunsuz. Ya yoluna çıkarsa? Ya iş akışıma müdahale ederse? Ya benim için bir güçlük yaratırsa? Bundan hoşlanmadım!

Yani, birçok II
T departmanları, potansiyel olarak bu tür iş akışına müdahale etmekten biraz çekinebilir.

Ama Doug, makalede de söylediğim gibi, BT ile pazarlık yaparak ilk seferinde dışarı çıkmayan bir dosyayı göndermek için her zaman ikinci bir şansınız olacak, ancak hiç gitmemesi gereken bir dosyayı göndermeyi geri alma şansınız asla olmayacak.

DOUG.  [GÜLER] Kesinlikle!

Pekala, iyi ipuçları var.

nen son hikaye, ama kesinlikle en az değil.

Paul, sana hatırlatmama gerek yok ama başkalarına hatırlatmalıyız...

…uygulamalı kriptografi zordur, güvenlik segmentasyonu zordur ve tehdit avcılığı zordur.

Peki tüm bunların Microsoft ile ne ilgisi var?

Microsoft, Fırtına sezonunu vurdu - iki yarı sıfır günün hikayesi

ÖRDEK.  Son zamanlarda medyada Microsoft ve müşterilerinin Storm olarak bilinen bir siber suç grubu tarafından teslim edildiği, saldırıya uğradığı, soruşturulduğu ve saldırıya uğradığı hakkında pek çok haber var.

Ve bu hikayenin bir kısmı, Exchange işlerinde bu haydutlara sahip olan yaklaşık 25 kuruluşla ilgili.

Onlar bir nevi sıfır gün.

Şimdi Microsoft, olanlar hakkında oldukça dolu ve oldukça açık bir rapor yayınladı, çünkü Microsoft'un en az iki hatası olduğu açık.

Hikayeyi anlatma biçimleri size tehdit avcılığı ve işler ters gittiğinde tehdide yanıt verme hakkında çok şey öğretebilir.

DOUG.  Tamam, görünüşe göre Storm Outlook Web Access [OWA] aracılığıyla bir grup gasp edilmiş kimlik doğrulama belirteci kullanarak girmiş gibi görünüyor;

Sağ?

ÖRDEK.  Kesinlikle, Doug.

Bu tür bir şey olduğunda, bu açıkça endişe verici çünkü dolandırıcıların güçlü kimlik doğrulama aşamasını (kullanıcı adınızı yazmanız, şifrenizi yazmanız ve ardından bir 2FA kodu yapmanız gereken kısım; veya Yubikey'inizi göstermeniz gereken kısım; veya akıllı kartınızı kaydırmanız gereken kısım)…

…böyle bir şey olduğunda bariz varsayım, diğer uçtaki kişinin bir veya daha fazla kullanıcısının bilgisayarında kötü amaçlı yazılım olduğudur.

Kötü amaçlı yazılımlar şifrelenmeden önce tarayıcı içeriği gibi şeylere göz atma şansı yakalar, bu da kimlik doğrulama belirteçlerini sızdırabileceği ve daha sonra kötüye kullanılabilecekleri dolandırıcılara gönderebileceği anlamına gelir.

Microsoft, raporlarında bunun ilk varsayımları olduğunu kabul ediyor.

Ve eğer doğruysa, sorunlu çünkü bu, Microsoft ve o 25 kişinin tehdit avı yapmak için ortalıkta koşturması gerektiği anlamına geliyor.

Ama açıklama *bu değilse*, o zaman kendinin ve diğerlerinin zamanını boşa harcamamak için bunu erkenden anlamak önemlidir.

Sonra Microsoft, "Aslında dolandırıcılar temelde kendi kimlik doğrulama belirteçlerini basıyor gibi görünüyor, bu da sözde güvenli Azure Active Directory belirteç imzalama anahtarlarımızdan birini çalmış olmaları gerektiğini gösteriyor."

Bu endişe verici!

*Sonra* Microsoft şunu fark etti: "Bu belirteçler aslında yalnızca gerçekten MSA veya Microsoft hesapları olarak adlandırılan tüketici hesapları için kullanılması gereken bir imzalama anahtarı tarafından dijital olarak imzalanmış."

Başka bir deyişle, bir kimlik doğrulama belirteci oluşturmak için kullanılacak türden bir imzalama anahtarı, diyelim ki siz veya ben kişisel Outlook.com hizmetimize giriş yapıyor olsaydık.

Oh hayır!

Aklındaki saldırı için işe yaramaması gereken imzalı bir kimlik doğrulama belirtecini alıp sonra içeri girip insanların kurumsal e-postalarını karıştırmanın mümkün olduğu anlamına gelen başka bir hata daha var.

Yani, kulağa çok kötü geliyor, tabii ki öyle.

Ama bir artısı var…

…ve bu, bunun işe yaramaması gerektiği ve MSA belirteçlerinin evin kurumsal Azure Active Directory tarafında çalışmaması gerektiği ve bunun tersi olduğu için Microsoft'ta hiç kimsenin bir belirteci diğer oyun alanında kullanmak için kod yazma zahmetine girmemiş olması ironiktir.

Bu, tüm bu haydut jetonların göze çarptığı anlamına geliyordu.

Bu nedenle, Microsoft'un tehdit avcılığı için en azından dev, görünür bir kırmızı bayrak vardı.

Neyse ki sorunu çözmek, bulut tarafında bir sorun olduğu için, sizin ve benim acele edip sistemlerimize yama yapmamıza gerek olmadığı anlamına geliyor.

Temel olarak çözüm şudur: güvenliği ihlal edilmiş imzalama anahtarını reddedin, böylece artık çalışmaz ve hazır gelmişken, bir tüketici imzalama anahtarının Exchange dünyasının kurumsal tarafında geçerli olmasına izin veren hatayı düzeltelim.

Bu bir nevi "Sonu iyi biten her şey iyidir."

Ancak dediğim gibi, tehdit avcılığının genellikle ilk başta düşündüğünüzden çok daha fazla iş gerektirdiğini büyük bir hatırlatmadır.

Ve Microsoft'un raporunu okursanız, bunun için ne kadar emek harcandığını tahmin edebilirsiniz.

DOUG.  Peki, her şeyi yakalamak adına, bir okuyucumuzdan dinleyelim. Haftanın Yorumu.

Bunu on yılın büyük bir kısmında yaptıktan sonra size ilk elden söyleyebilirim ve eminim Paul bunu binlerce ve binlerce makalede yaptıktan sonra size ilk elden söyleyebilir…

…yazım hataları, bir teknoloji blog yazarı için bir yaşam biçimidir ve eğer şanslıysanız, bazen o kadar iyi bir yazım hatasıyla karşılaşırsınız ki, onu düzeltmek istemezsiniz.

Bu Microsoft makalesinde durum böyledir.

Okuyucu Dave, Paul'den yazarken alıntı yapıyor "Bu, birinin gerçekten şarkı söyleyen bir şirkete [sic] anahtarını sıkıştırdığını gösteriyor gibiydi."

Dave daha sonra "Singing key rock" diyerek alıntıyı takip ediyor.

Kesinlikle! [Kahkahalar]

ÖRDEK.  Evet, bunun bir kelime oyunu olduğunu anlamam biraz zaman aldı... ama evet, "şarkı söyleme anahtarı." [GÜLER]

Ordu kampına bir kasa saksafon atarsanız ne elde edersiniz?

DOUG.  [GÜLER]

ÖRDEK.  [MÜMKÜN OLDUĞU KADAR KURU] A bemol majör.

DOUG.  [Kahkaha ve inleme birlikte] Pekala, çok iyi.

Dave, bunu işaret ettiğin için teşekkürler.

Ve şarkı söyleme tuşlarının harika olduğu konusunda hemfikiriz; imzalama anahtarları daha az.

İletmek istediğiniz ilginç bir hikayeniz, yorumunuz veya sorunuz varsa, podcast'te okumayı çok isteriz.

Tips@sophos.com adresine e-posta gönderebilir, makalelerimizden herhangi biri hakkında yorum yapabilir veya sosyal medyadan bize ulaşabilirsiniz: @nakedsecurity.

Bugünkü programımız bu; dinlediğiniz için çok teşekkürler.

Paul Ducklin için, ben Doug Aamoth, bir dahaki sefere kadar size şunu hatırlatıyorum...

HER İKİSİ DE.  Güvende kalın!

[MÜZİKAL MODEM]