Aşağıda müzik çalar yok mu? Dinlemek direkt olarak Soundcloud'da.

DOUG.  Firefox güncellemeleri, başka Etkileyici Adı Olan Hatave SEC ifşa talep ediyor.

Hepsi ve daha fazlası Naked Security podcast'inde.

[MÜZİKAL MODEM]

Podcast'e hoş geldiniz millet.

Ben Doug Aamoth'um; o Paul Ducklin'dir.

Paul, umarım benimle gurur duyarsın... Bisiklet meraklısı olduğunu biliyorum.

Dün, iki tekerlekli bir vagonda küçük ama ağır olmayan bir çocuğu bisikletin arkasına çekerken, kabaca 10km olduğuna inandığım 16 Amerikan mili boyunca bisiklet sürdüm.

Ve hikayeyi anlatmak için hala hayattayım.

Bu bisiklete binmek için uzun bir yol mu, Paul?

ÖRDEK.  [GÜLER] Gerçekten ne kadar ileri gitmen gerektiğine bağlı.

Mesela gerçekten 1200 metre gitmek zorunda kalsanız ve kaybolsanız... [GÜLER]

Bisiklete binme hevesim çok yüksek, ancak bu, kasıtlı olarak ihtiyaç duyduğumdan daha uzağa sürdüğüm anlamına gelmiyor, çünkü bu benim dolaşmanın birincil yolu.

Ama 10 mil tamam.

Amerikan milinin ve İngiliz milinin aslında aynı olduğunu biliyor muydunuz?

DOUG.  Bunu bilmek güzel!

ÖRDEK.  Ve sanırım Kanada, Güney Afrika, Avustralya, Amerika Birleşik Devletleri ve Birleşik Krallık dahil olmak üzere bir grup ülkenin bir araya gelip bir "uluslararası inç" üzerinde standartlaştırma konusunda anlaştıkları 1959'dan beri.

Bence İmparatorluk inç'i çok, çok biraz daha küçüldü ve Amerikan inç'i çok, çok biraz daha uzadı, sonuç olarak inç (ve dolayısıyla avlu, ayak ve mil)…

…hepsi metre cinsinden tanımlanır.

Bir inç tam olarak 25.4 mm'dir

Tek ihtiyacınız olan üç önemli rakam.

DOUG.  Büyüleyici!

Büyüleyici demişken, bizim için zamanı Teknoloji Tarihinde Bu Hafta segmenti.

Bu hafta, 01 Ağustos 1981'de MTV olarak da bilinen Müzik Televizyonu, Amerikan kablo ve uydu televizyon paketlerinin bir parçası olarak canlı yayına girdi ve halkı müzik videolarıyla tanıştırdı.

İlki [ŞARKI SÖYLÜYOR, GERÇEKTEN OLDUKÇA İYİ] The Buggles'ın “Video Killed the Radio Star” şarkısını çaldı.

O zamanlar için uygun, ironik olsa da günümüzde MTV artık nadiren müzik videoları oynatıyor ve hiçbir şekilde yeni müzik videoları oynatmıyor, Paul.

ÖRDEK.  Evet, ne kadar ironik, değil mi, kablo TV (yani yerin altından evinize giren teller vardı) radyo (veya kablosuz) yıldızını öldürdü ve şimdi sanki kablo TV gibi görünüyor, MTV… bu tür bir şey ortadan kalktı çünkü herkesin kablosuz olarak çalışan mobil ağları var.

Ne olursa olsun gelir, Douglas.

DOUG.  Pekala, hadi bu Firefox güncellemeleri hakkında konuşalım.

28 günlük bir döngüde oldukları için bu ay iki kat Firefox güncellemesi alıyoruz:

Firefox, bu ay yayınlanan iki sürümün ilkinde bir dizi kusuru düzeltti

Bu ilk turda sıfır gün yok, ancak bazı öğretilebilir anlar var.

Makalenizde bunların belki yarısını listeledik ve benim için gerçekten öne çıkan bir tanesi: Potansiyel izinler, tıklama hırsızlığı yoluyla atlama isteğinde bulunur.

ÖRDEK.  Evet, yine eski tıklama hırsızlığı.

Bu terimi seviyorum çünkü ne olduğunu hemen hemen açıklıyor.

Bir düğmeye veya masum bir bağlantıya tıkladığınızı düşünerek bir yere tıklarsınız, ancak ekranın fare imlecinizin altında gösterdiğinden açıkça belli olmayan bir şeyin olmasına istemeden izin vermiş olursunuz.

Buradaki sorun, bazı durumlarda, örneğin Firefox'tan bir izinler iletişim kutusu açılmak üzereyken, "Bu web sitesinin kameranızı kullanmasına gerçekten izin vermek istediğinizden emin misiniz? konumunuza erişiminiz var mı? mikrofonunu kullan?”…

…evet, size sorulmasını istediğiniz tüm o şeyler.

Görünüşe göre, tarayıcıyı yetişmek için mücadele ettiği bir performans noktasına (yine performansa karşı güvenliğe) getirebilirseniz, izinler açılır penceresinin görünümünü geciktirebilirsiniz.

Ancak, açılır pencerenin görüneceği yerde bir düğme bulundurarak ve kullanıcıyı tıklamaya ikna ederek, tıklamayı çekebilirsiniz, ancak tıklama, henüz tam olarak görmediğiniz izinler iletişim kutusuna gönderilir.

İsterseniz bir tür görsel yarış durumu.

DOUG.  Tamam ve diğeri şuydu: Ekran dışı tuval, kaynaklar arası kısıtlamaları atlamış olabilir.

Bir web sayfasının, farklı bir siteden başka bir sayfada görüntülenen resimlere göz atabileceğini söylemeye devam ediyorsunuz.

ÖRDEK.  Bunun olmaması gerekiyordu, değil mi?

DOUG.  Hayır!

ÖRDEK.  Bunun için jargon terimi “aynı kaynak politikası” dır.

X web sitesini çalıştırıyorsanız ve bana bir sürü çerez ayarlayan bir sürü JavaScript gönderirseniz, o zaman tüm bunlar tarayıcıda depolanır.

Ancak yalnızca X sitesinden başka JavaScript bu verileri geri okuyabilir.

Bir sekmede X sitesine ve diğer sekmede Y sitesine göz atıyor olmanız, diğerinin ne yaptığına bakmalarına izin vermez ve tarayıcının tüm bunları ayrı tutması gerekir.

Açıkçası bu oldukça önemli.

Ve burada öyle görünüyor ki, anladığım kadarıyla, henüz görüntülenmeyen bir sayfayı oluşturuyorsanız...

…ekran dışı bir tuval, isterseniz sanal bir web sayfası oluşturduğunuz ve sonra gelecekte bir noktada "Şu anda onu görüntülemeye hazırım" dediğiniz ve tombala, sayfanın tamamı bir kere.

Sorun, nihai olarak kullanıcıya hiçbir zaman gösterilmese bile, görünmez bir şekilde oluşturduğunuz öğelerin yanlışlıkla veri sızdırmadığından emin olmaya çalışmakla ortaya çıkar.

Bunu fark ettiler veya sorumlu bir şekilde ifşa edildi ve yamalandı.

Ve bence bu ikisi, sözde "Yüksek" düzey güvenlik açıklarına dahil edildi.

Mozilla'nın geleneksel "Bulanıklaştırma ve otomatik teknikler aracılığıyla pek çok hata bulduk; istismar edilip edilemeyeceklerini öğrenmek için onları incelemedik, ancak yeterince çabalayan birinin bunu yapabileceğini varsaymaya hazırız.”

Bu, ikimizin de çok sevdiği bir itiraf Doug… çünkü potansiyel böcekler, kimsenin onlardan nasıl yararlanılacağını asla çözemeyeceğinden emin olsan bile, ortadan kaldırmaya değer.

Çünkü siber güvenlikte asla asla dememek işe yarar!

DOUG.  Pekala, Firefox 116'yı veya genişletilmiş bir sürüm kullanıyorsanız 115.1'i arıyorsunuz.

Thunderbird'de aynı.

Ve devam edelim… oh, adamım!

Paul, bu çok heyecan verici!

Geçen haftaki çift BWAIN'den sonra yeni bir BWAIN'imiz var: Etkileyici Adı Olan Bir Hata.

Bu denir Çarpışma+Güç:

"Collide+Power" saldırısında performans ve güvenlik bir kez daha çatışıyor

ÖRDEK.  [GÜLER] Evet, içinde artı işareti olan bir isim seçmeleri ilginç değil mi?

DOUG.  Evet, bu söylemeyi zorlaştırıyor.

ÖRDEK.  Alan adınızda artı işareti olamaz, bu nedenle alan adı collidepower.com.

DOUG.  Pekala, araştırmacıların kendilerinden okumama izin verin ve alıntı yapıyorum:

Sorunun kökü, dahili bellek sistemi gibi paylaşılan CPU bileşenlerinin saldırgan verilerini ve diğer herhangi bir uygulamadan gelen verileri birleştirerek güç tüketiminde birleşik bir sızıntı sinyali oluşturmasıdır.

Böylece saldırgan, kendi verilerini bilerek, diğer uygulamalarda kullanılan kesin veri değerlerini belirleyebilir.

ÖRDEK.  [GÜLÜŞLER] Evet, ne hakkında konuştuklarını zaten biliyorsan bu çok mantıklı!

Bunu düz İngilizce olarak denemek ve açıklamak için (umarım bunu doğru anlamışımdır)…

Bu, daha önce bahsettiğimiz performansa karşı güvenlik sorunlarına kadar gider. geçen haftanın podcast'i Bununla zenci hata (bu arada, çok daha ciddi):

Zenbleed: CPU performansı arayışı parolalarınızı nasıl riske atabilir?

CPU'nun daha sonra gidip almasına gerek kalmaması için CPU'nun içinde tutulan ("önbelleğe alınmış" bunun teknik terimidir) bir sürü veri vardır.

Yani, gerçekten yönetemeyeceğiniz bir sürü dahili şey var; CPU sizin için onunla ilgilenir.

Ve bu saldırının kalbi böyle bir şeye gidiyor gibi görünüyor…

Saldırganın yaptığı, çeşitli bellek konumlarına, dahili önbellek depolama biriminin bu bellek konumlarını hatırladığı bir şekilde erişmektir, böylece hızlı bir şekilde yeniden kullanılırlarsa RAM'den tekrar okumak zorunda kalmaz.

Saldırgan bir şekilde bu önbellek değerlerini bilinen bit kalıplarıyla, bilinen veri değerleriyle doldurur.

Ve sonra, kurban *onların* sık kullandığı bir belleğe sahipse (örneğin, bir şifre çözme anahtarındaki baytlar), değerlerinin CPU tarafından birdenbire saldırganların değerlerinden birinin yeniden kullanılma olasılığı daha yüksek olduğuna karar verilirse, saldırganın değerini o dahili süper hızlı önbellek konumundan dışarı atar ve yeni değeri, kurbanın değerini oraya koyar.

Ve bu araştırmacıların keşfettiği şey (ve saldırı teoride kulağa ne kadar gerçekçi gelse de pratikte bu, keşfedilmesi oldukça şaşırtıcı bir şey)…

Önbellekteki eski değer ile yeni değer arasındaki farklı bit sayısı *önbellek güncelleme işlemini gerçekleştirmek için gereken güç miktarını değiştirir*.

Bu nedenle, CPU'nun güç tüketimini yeterince kesin olarak ölçebilirseniz, CPU'nun sizi ilgilendirmediğini düşündüğü dahili, gizli, başka türlü görünmez önbelleğe hangi veri değerlerinin yazıldığı hakkında çıkarımlarda bulunabilirsiniz.

Oldukça merak uyandırıcı, Doug!

DOUG.  Üstün.

Tamam, bazı azaltmalar var.

Bu bölüm şöyle başlıyor: "Her şeyden önce endişelenmenize gerek yok" ama aynı zamanda neredeyse tüm CPU'lar etkileniyor.

ÖRDEK.  Evet, bu ilginç, değil mi?

“Her şeyden önce” (normal metin) diyorsen” (italik olarak) “endişelenmene gerek yok" (kalın harflerle). [GÜLER]

Yani, temel olarak, kimse size bununla saldırmayacak, ancak belki de CPU tasarımcıları gelecekte bunun bir yolu varsa bunu düşünmek isterler. [GÜLER]

Bunu söylemenin ilginç bir yolu olduğunu düşündüm.

DOUG.  Tamam, hafifletme temelde hyperthreading'i kapatmak içindir.

Bu böyle mi çalışıyor?

ÖRDEK.  Hyperthreading, görebildiğim kadarıyla bunu çok daha kötü hale getiriyor.

Hyperthreading'in bir güvenlik sorunu olduğunu zaten biliyoruz çünkü daha önce buna bağlı çok sayıda güvenlik açığı vardı.

Sekiz çekirdekli bir CPU'nun 16 çekirdeğe sahipmiş gibi davrandığı, ancak aslında çipin ayrı parçalarında olmadıkları yer burasıdır.

Aslında bunlar, güvenlik nedeniyle belki de iyi bir fikir olandan daha fazla elektronik, daha fazla transistör, daha fazla kapasitör paylaşan bir tür sözde çekirdek çiftleridir.

Eski güzel OpenBSD'yi çalıştırıyorsanız, hyperthreading'in hafifletmelerle güvence altına alınmasının çok zor olduğuna karar verdiklerini düşünüyorum; sadece kapatabilir.

Azaltmaların gerektirdiği performans isabetlerini aldığınız zaman, buna sahip olmayabilirsiniz.

yani bence hyperthreading'i kapatma sizi bu saldırıya karşı büyük ölçüde bağışıklayacaktır.

Yapabileceğiniz ikinci şey, yazarların kalın harflerle söylediği gibi: Merak etme. [Gülüşmeler]

DOUG.  Bu harika bir hafifletme! [GÜLER]

ÖRDEK.   Harika bir parça var (Bunu okumam gerekecek, Doug)…

Araştırmacıların kendilerinin herhangi bir güvenilir bilgi elde etmek için sistemden saatte 10 bit ile 100 bit arasında veri hızları aldıklarını keşfettikleri çok şey var.

En azından Intel CPU'ların buna karşı yardımcı olacağını düşündüğüm bir hafifletmeye sahip olduğuna inanıyorum.

Bu da bizi MSR'lere, geçen hafta Zenbleed ile konuştuğumuz modele özgü kayıtlara geri getiriyor, burada açabileceğiniz sihirli bir parça vardı ve "Riskli şeyleri yapma" diyordu.

olarak ayarlayabileceğiniz bir özellik var. RAPL filtreleme, ve RAPL kısaltmasıdır çalışan ortalama güç limiti.

Güç yönetimi amaçlarıyla bir CPU'nun nasıl performans gösterdiğini görmek isteyen programlar tarafından kullanılır, böylece sunucu odasına girip ana kart üzerinde küçük bir sonda bulunan bir kabloya bir güç monitörü takmanıza gerek kalmaz. [GÜLER]

Aslında CPU'nun size ne kadar güç kullandığını söylemesini sağlayabilirsiniz.

Intel en azından RAPL filtreleme adı verilen ve kasıtlı olarak titreme veya hataya neden olan bu moda sahiptir.

Böylece, ortalama olarak doğru olan, ancak her bir okumanın yanlış olduğu yerlerde sonuçlar elde edeceksiniz.

DOUG.  Şimdi dikkatimizi bu yeni SEC anlaşmasına çevirelim.

Güvenlik ve Borsa Komisyonu, siber güvenlik ihlalleri için dört günlük ifşa limitleri talep ediyor:

SEC, siber güvenlik ihlalleri için dört günlük ifşa limiti talep ediyor

Ancak (A) bir saldırının rapor edilecek kadar ciddi olup olmadığına siz karar verirsiniz ve (B) bir şeyin rapor edilecek kadar önemli olduğuna karar verene kadar dört günlük sınır başlamaz, Paul.

Yani, iyi bir ilk başlangıç, ama belki de istediğimiz kadar agresif değil?

ÖRDEK.  Buradaki değerlendirmene katılıyorum, Doug.

İlk baktığımda kulağa harika geliyordu: "Hey, bir veri ihlali veya siber güvenlik sorununuz varsa bu dört günlük ifşa hakkınız var."

Ama sonra, "Maddi bir sorun olarak değerlendirilmesi gerekiyor" ile ilgili bir parça vardı, yasal bir terim, aslında ilk etapta ifşa etmeye değer olacak kadar önemli olduğu anlamına geliyor.

Ve sonra o kısma geldim (ve SEC tarafından yapılan çok uzun bir basın açıklaması değil), şöyle dedi: "Bunu gerçekten bildirmeniz gerektiğine karar verir vermez, o zaman hala dört gününüz var. bildirmek için.”

Şimdi, yasal olarak, bunun tam olarak böyle olmayacağını hayal ediyorum. Doug

Belki de makalede biraz sert davranıyoruz?

DOUG.  Birkaç farklı tür olduğunu söyleyerek fidye yazılımı saldırılarına odaklanıyorsunuz, o yüzden bunun hakkında konuşalım… bunun bildirmeniz gereken maddi bir saldırı olup olmadığını belirlemede önemlidir.

Peki ne tür bir fidye yazılımına bakıyoruz?

ÖRDEK.  Evet, sadece açıklamak için bunun önemli bir parçası olduğunu düşündüm.

SEC'e parmakla işaret etmek istemem ama bu, henüz pek çok ülkede veya hiçbir ülkede yıkanmamış gibi görünen bir şey…

…sadece bir fidye yazılımı saldırısına maruz kalmanın önemli bir veri ihlali olması için kaçınılmaz olarak yeterli olup olmadığı.

Bu SEC belgesi aslında “R-kelimesinden” hiç bahsetmiyor.

Fidye yazılımına özgü şeylerden söz edilmiyor.

Ve fidye yazılımı bir sorun, değil mi?

Makalede, hala yaygın olarak kullandığımız "ransomware" kelimesinin artık tam olarak doğru bir kelime olmadığını belirtmek istedim, değil mi?

Buna muhtemelen "şantaj yazılımı" veya sadece "siber şantaj" demeliyiz.

Üç ana fidye yazılımı saldırısı türü belirledim.

A Tipi, dolandırıcıların verilerinizi çalmadığı, yalnızca verilerinizi yerinde karıştırdıkları yerdir.

Yani tek bir şey yüklemeleri gerekmiyor.

Hepsini size şifre çözme anahtarını sağlayacak şekilde karıştırırlar, ancak kötü bir şeylerin döndüğünü gösteren bir işaret olarak ağınızdan ayrılan tek bir bayt veri görmezsiniz.

Ardından, dolandırıcıların gittiği bir B Tipi fidye yazılımı saldırısı var, “Biliyor musun, tüm dosyalara yazıp bunu yaparken yakalanma riskini almayacağız. Tüm verileri çalacağız ve verilerinizi geri almak için para ödemek yerine sessizliğimizin bedelini ödüyorsunuz."

Ve sonra, elbette, C Tipi fidye yazılımı saldırısı var ve bu da: "Hem A hem de B."

Dolandırıcıların verilerinizi çaldığı yer burasıdır *ve* karıştırırlar ve "Hey, başınızı belaya sokacak bir şey değilse, diğeridir."

Ve hukuk mesleğinin önemlilik olarak adlandırdığına inandığım şeyin nerede olduğunu bilmek güzel olurdu (başka bir deyişle, belirli bir düzenlemenin yasal önemi veya yasal ilgisi)…

…fidye yazılımı saldırıları durumunda bunun devreye girdiği yer.

DOUG.  Bu, Haftanın Yorumcusu Adam'ı bu hikayeye dahil etmek için iyi bir zaman.

Adam, çeşitli fidye yazılımı saldırıları hakkındaki düşüncelerini aktarıyor.

Yani, basit bir fidye yazılımı saldırısı olan, dosyaları kilitledikleri ve kilidinin açılması için bir fidye notu bıraktıkları A Tipi ile başlayarak...

Adem diyor ki:

Bir şirket fidye yazılımı tarafından saldırıya uğrarsa, kapsamlı bir araştırmadan sonra veri hırsızlığına dair hiçbir kanıt bulamazsa ve fidyeyi ödemeden verilerini kurtarırsa, o zaman "Hayır [ifşa gerekli]" deme eğilimindeyim.

ÖRDEK.  Yeterince şey yaptın mı?

DOUG.  Evet.

ÖRDEK.  Bunu tam olarak engellemediniz, ancak ikinci en iyi şeyi yaptınız, bu nedenle yatırımcılarınıza söylemenize gerek yok….

İronik olan şu ki, Doug, bunu bir şirket olarak yapsaydın, yatırımcılarına "Hey, tahmin et ne oldu? Herkes gibi biz de bir fidye saldırısı yaşadık ama para ödemeden, dolandırıcılara bulaşmadan ve veri kaybetmeden kurtulduk. Bu yüzden mükemmel olmasak da bir sonraki en iyi şeydik.”

Ve kanun bunu yapmak zorunda olmadığınızı söylese bile, bunu gönüllü olarak açıklamanız aslında çok fazla ağırlık taşıyabilir.

DOUG.  Ve sonra, şantaj açısı olan B Tipi için Adam şöyle diyor:

Bu zor bir durum.

Teorik olarak, "Evet" derdim.

Ancak bu muhtemelen pek çok ifşaya ve ticari itibarın zedelenmesine yol açacaktır.

Yani, ortaya çıkıp “Bakın, fidye yazılımı bizi vurdu; kötü bir şey olduğunu düşünmüyoruz; dolandırıcılara sessiz kalmaları için para ödedik; ve fasulyeleri dökmeyeceklerine güveniyoruz” tabiri caizse…

…bu zor bir durum yaratır, çünkü bu bir şirketin itibarına zarar verebilir, ancak ifşa etmeselerdi kimse bilemezdi.

ÖRDEK.  Ve görüyorum ki Adam, "Dört gününüz var ve en fazla dört gününüz var... dört günün başlaması gerektiğini düşündüğünüz andan itibaren."

Bunu da mırıldandı değil mi?

Dedi ki:

Bazı şirketler, maddi bir etki olup olmadığına karar vermeyi büyük ölçüde geciktirmek için muhtemelen taktikler benimseyecektir.

Yani, bunun nasıl sonuçlanacağını tam olarak bilmiyoruz ve eminim SEC de tam olarak bilmiyor.

Şirketleri meydana gelen her küçük BT aksaklığını ifşa etmeye ve hepimizi bir karmaşaya gömmeye zorlamadan, hepimizin bilmemiz gerekenleri öğrendiğimizden emin olmak için doğru miktarda bürokrasinin ne olduğunu anlamaları birkaç test senaryosu alabilir. evrak yükü.

Bu da esasen ihlal yorgunluğuna yol açar, değil mi?

Çok da önemli olmayan çok fazla kötü haberiniz varsa, hemen üzerinize çöküyor...

…bir şekilde, "bunu gerçekten duymam gerekiyor muydu?"

Zaman gösterecek Douglas.

DOUG.  Evet, zor!

Ve bunu her zaman söylediğimi biliyorum, ama buna göz kulak olacağız çünkü bunun gelişmesini izlemek büyüleyici olacak.

Bu yorumu gönderdiğiniz için teşekkürler Adam.

ÖRDEK.  Evet kesinlikle!

DOUG.  Göndermek istediğiniz ilginç bir hikayeniz, yorumunuz veya sorunuz varsa, podcast'te okumaktan memnuniyet duyarız.

Tips@sophos.com adresine e-posta gönderebilir, makalelerimizden herhangi biri hakkında yorum yapabilir veya sosyal medyadan bize ulaşabilirsiniz: @nakedsecurity.

Bugünkü programımız bu; dinlediğiniz için çok teşekkürler.

Paul Ducklin için, ben Doug Aamoth, bir dahaki sefere kadar size hatırlatıyorum…

HER İKİSİ DE.  Güvende kalın.

[MÜZİKAL MODEM]