NGHE NÈ
Nhấp và kéo vào các sóng âm thanh bên dưới để chuyển đến bất kỳ điểm nào. Bạn cũng có thể nghe trực tiếp trên Soundcloud.
Với Doug Aamoth và Paul Ducklin.
Nhạc giới thiệu và kết thúc bởi Edith Mudge.
Bạn có thể lắng nghe chúng tôi trên Soundcloud, Podcast của Apple, Google Podcasts, Spotify, người may quần áo và bất cứ nơi nào tìm thấy podcast tốt. Hoặc chỉ cần thả URL của nguồn cấp dữ liệu RSS của chúng tôi vào podcatcher yêu thích của bạn.
ĐỌC BẢNG BIỂU
CHÓ AAMOTH. Lãng mạn, lừa đảo, lỗi, sâu và ransomware REvil.
Tất cả điều đó và hơn thế nữa trên Naked Security Podcast.
[CHẾ ĐỘ ÂM NHẠC]
Chào mừng mọi người đến với podcast.
Tôi là Doug; anh ấy là Paul…
VỊT VỊT PAUL. Làm tốt lắm, Doug… đúng cách trong tuần này!
CHÓ. Tại sao, cảm ơn bạn! Tuần trước, tôi đã nhầm lẫn…
VỊT. Bạn đã không nhầm lẫn với chính mình.
CHÓ. Nhưng phải mất 65 tập phim tôi mới mắc phải sai lầm đó, vì vậy tôi khá tự hào về bản thân.
Nó có thể xảy ra một lần nữa, nhưng…
VỊT. Đúng vậy: hôm nay chúng ta đang đi trên đường 66!
CHÓ. Chúng tôi là.
VỊT. Đó là một vấn đề khá lớn, Doug.
CHÓ. Vâng.
Và cũng giống như Tuyến đường 66, chúng ta có rất nhiều điểm hấp dẫn để xem trong tuần này - một bảng đầy đủ.
VỊT. [LAUGHS AT SEGUE] Tôi yêu công việc của bạn!
CHÓ. Chúng tôi muốn bắt đầu chương trình với một Sự thật thú vị.
Và thông thường sự thật thú vị liên quan đến Tuần này trong Lịch sử Công nghệ phân khúc.
Tuy nhiên, không phải tuần này, vì ở đây rất lạnh và rất nhiều người đã đội mũ mùa đông. Tôi đang nhìn vào một nhóm người và tôi nghĩ, “Những quả bom pơ-mu trên đỉnh mũ là gì vậy? Thứ đó đã đến từ đâu?"
Vì vậy, tôi đã tìm kiếm nó, và nếu bạn có bao giờ thắc mắc tại sao một số chiếc mũ mùa đông lại có những hạt pom-pom mịn đó trên đầu, rõ ràng chúng đã được các thủy thủ Pháp đội vào ngày xưa để bảo vệ đầu của họ khỏi va đập vào trần thấp của tàu khi ra khơi biển.
Chúng đặc biệt hiệu quả ở những vùng nước biển động.
Vì vậy, nếu bạn có một miếng pom-pom trên đỉnh mũ của bạn, bạn có một thủy thủ người Pháp để cảm ơn vì nó.
VỊT. Ồ, vậy nó thực sự là đệm?
CHÓ. Vâng.
Tôi có trần nhà rất thấp trong tầng hầm và phòng giặt là của chúng tôi, vì vậy có lẽ tôi sẽ đội một chiếc mũ pom-pom và đi bộ xung quanh xem nó có giúp ích gì không, vì tôi hơi va đầu vào đầu.
VỊT. Bạn có thể chỉ cần dán băng keo một tấm lót chuột… bạn biết đấy, hãy đặt nó lên đỉnh đầu và dán băng keo dưới cằm.
CHÓ. [LAUGHS] Tôi không biết liệu những ngày đó họ có dùng neoprene trở lại hay không, nhưng đó là một ý kiến hay.
Chà, hãy nói về… chúng ta có rất nhiều câu chuyện để kể.
Điều đầu tiên: chúng tôi đã chấm dứt hiệu quả ransomware với bức tượng bán thân của phi hành đoàn ransomware REvil ở Nga.
[SARCASTIC] Ngày tàn của ransomware như chúng ta vẫn biết, phải không?
VỊT. Chà, ngay cả Cục An ninh Liên bang Nga, FSB, cũng không thực sự nói điều đó, mặc dù họ thực sự đã phá sản.
Đã có rất nhiều lời chỉ trích trong quá khứ…
… Người Nga, tôi nghĩ, cũng giống như người Đức và người Pháp, và nhiều quốc gia khác, không dẫn độ công dân của họ. Vì vậy, nếu bạn muốn người dân ở các quốc gia đó bị truy tố vì những tội ác mà họ đã gây ra chống lại quốc gia khác, về cơ bản bạn phải cung cấp cho quốc gia đó bằng chứng cần thiết.
Và có rất nhiều lời chỉ trích rằng Nga dường như không sẵn sàng làm điều đó.
Trong trường hợp này, có vẻ như chúng đã xảy ra: rõ ràng, 25 địa chỉ đường phố đã bị đột kích ở nhiều thành phố khác nhau.
Họ đề cập đến 14 người đang bị nhắm mục tiêu, mặc dù họ không cho biết cuối cùng có bao nhiêu người trong số họ bị bắt.
Nhưng có một số vụ bắt giữ; cộng với 20 chiếc ô tô lạ mắt được kéo đi, dường như được mua bằng số tiền phạm tội. Và như chúng tôi đã nói trước đây, có thể có một loạt dữ liệu pháp y trong một chiếc xe hơi ưa thích bình thường ngày nay, về hệ thống giải trí, vệ tinh, điện thoại được tích hợp trong xe và tất cả những thứ tương tự.
Và họ đã nhận được những thứ như $ 6,000,000 đến $ 7,000,000 bằng rúp, đô la Mỹ, euro và tiền điện tử.
Vì vậy, FSB khá lạc quan về những gì họ đã đạt được, tuyên bố rằng, do kết quả của cuộc đột kích, "băng nhóm mạng này không còn tồn tại và cơ sở hạ tầng tội phạm của nó đã bị vô hiệu hóa." Vì vậy, đó là REvil.
Họ không nói, "Đó là sự kết thúc của ransomware như chúng ta đã biết", bởi vì rõ ràng là không phải vậy.
Có hai vấn đề, ngay cả khi REvil thực sự đã chìm nghỉm không chút dấu vết: [a] Có rất nhiều băng đảng ransomware khác nơi REvil xuất thân; và [b], thật đáng buồn, có rất nhiều loại tội phạm mạng khác liên quan đến những kẻ gian không hề quan tâm đến ransomware, nhưng vẫn có khả năng làm nhiều điều xấu xa, mặc dù chúng không phải là REvil.
CHÓ. Vâng thưa ngài!
Nhưng dù sao thì một bước đi đúng hướng?
VỊT. Vâng, tôi không nghĩ chúng ta có thể phàn nàn!
Nhưng tất cả vẫn chỉ là: vá sớm, vá thường xuyên; đừng để mất cảnh giác; Phòng bệnh hơn chữa bệnh; và đầu tư vào người dùng của bạn.
CHÓ. Chúng tôi có nhiều lời khuyên hơn trong Trạng thái của Ransomware 2021 báo cáo, được liên kết đến trong bài báo có tên FSB cho biết phi hành đoàn của REvil Ransomware bị cáo buộc đã phá sản ở Nga trên nakedsecurity.sophos.com.
Hãy bắt đầu ngay với một vụ phá sản khác: một kẻ lừa đảo lãng mạn nhắm mục tiêu đến gần 700 phụ nữ đã bị bắt 28 tháng tù giam.
VỊT. Như Cơ quan Tội phạm Quốc gia của Vương quốc Anh đã chỉ ra, đối với các trò gian lận tình ái nói chung, họ nói: “Chúng tôi muốn khuyến khích tất cả những ai nghĩ rằng họ đã từng là nạn nhân của trò lừa đảo tình cảm đừng cảm thấy xấu hổ hoặc xấu hổ, nhưng hãy báo cáo nó."
Cơ quan Tội phạm Quốc gia không thể đưa ra trường hợp ai đó không nói với họ, "Này, tôi đã gửi tiền cho người này và bây giờ tôi nghĩ rằng tôi không nên làm thế", bởi vì nếu họ khăng khăng rằng họ đã tự nguyện gửi tiền, và họ không cho rằng họ đã bị lừa dối, thì tôi đoán là gian lận đã không xảy ra.
Và đó là vấn đề với tội phạm mạng như thế này.
CHÓ. Vâng, chúng tôi có một nhận xét đau lòng về bài báo và một nhận xét nâng cao khác ở cuối bài báo.
Một trong những độc giả của chúng tôi nghĩ rằng mẹ của anh ấy đang bị lừa đảo, và cô ấy không phản ứng tốt với việc gia đình cố gắng ngăn cản cô ấy; và sau đó chúng ta có một câu chuyện khác, nơi họ bắt được một kẻ lừa đảo tay đỏ, đó là một câu chuyện thú vị.
VỊT. Thật không may, những tội ác này không chỉ khiến người ta tan nát và nghèo khổ. Họ cũng có thể khiến bạn rạn nứt tình cảm trong gia đình.
Anh chàng đó nói, "Mẹ tôi bỏ nói chuyện với tôi vì tôi không tin đây là tình yêu của cuộc đời bà."
Lời khuyên duy nhất mà chúng tôi thực sự có thể đưa ra là nếu bạn thậm chí còn nghi ngờ rằng bạn có thể đang lừa đảo, bất kể bạn có đau lòng đến mức nào cũng phải thừa nhận điều đó, đừng "nhúng tay" vào bạn bè của bạn. và gia đình nếu họ đang cố gắng cảnh báo bạn.
Họ có thể sai, nhưng họ rất, rất có thể đúng… vì vậy hãy cho họ một buổi điều trần công bằng.
CHÓ. Được rồi, chúng tôi có lời khuyên trong bài viết và một video hữu ích có tên Lừa đảo lãng mạn: Làm gì?.
Chúng tôi đã nói về việc lắng nghe bạn bè và gia đình của bạn nếu họ cố gắng cảnh báo bạn; chúng tôi cũng có những việc như: xem xét việc trình báo với cảnh sát; đừng tự trách bản thân nếu bạn bị cuốn vào; tìm kiếm một nhóm hỗ trợ; và quan trọng nhất, hãy thoát ra ngay khi bạn nhận ra đó là một trò lừa đảo.
VỊT. Vâng, lời khuyên của tôi ở đó, rất đặc biệt, là: đừng nói với kẻ lừa đảo, “Ồ, tôi bắt đầu nghi ngờ bạn. Tôi sẽ cho bạn một cơ hội cuối cùng để chứng tỏ bản thân. "
Hãy nhớ rằng, nếu họ là một kẻ lừa đảo, họ đã khiến bạn bị cuốn vào chuyện này.
Bạn có nghĩ rằng họ sẽ gặp quá nhiều khó khăn với một chút phản đối nhỏ mà bạn đang đưa ra bây giờ?
Nếu bạn đã quyết định đó là một trò lừa đảo, đừng nói với họ - chỉ cần cắt liên lạc và sau đó đi tìm một nhóm hỗ trợ địa phương.
Và, nhân tiện, hãy hết sức cẩn thận, nếu bạn ngắt kết nối với những kẻ lừa đảo, nếu bạn bất ngờ được liên hệ bởi một người nào đó tự xưng là đại diện cho một nhóm hỗ trợ hoặc cơ quan thực thi pháp luật hoặc một công ty có thể giúp bạn lấy lại số tiền đã bị lừa.
Bởi vì đó là "phản lừa đảo" cổ điển.
Khi những kẻ lừa đảo nhận ra bạn thực sự đã quyết định rằng họ là những kẻ lừa đảo, thì chúng sẽ cố gắng đóng giả là những kẻ phản bội!
Có rất nhiều trường hợp người bị lừa đảo hai lần. Nếu bạn định rút tiền từ một vụ lừa đảo, chỉ giao dịch với những người bạn thực sự biết và có thể gặp, và bạn có thể tin tưởng trực tiếp.
Đừng chỉ nhận sự trợ giúp từ bất kỳ ai cung cấp dịch vụ trực tuyến - đó có thể là những kẻ lừa đảo quay trở lại.
CHÓ. [SAD] Tuyệt vời. Những niềm vui của đối nhân xử thế.
Đó là Kẻ lừa đảo tình cảm nhắm vào 670 phụ nữ bị 28 tháng tù trên nakedsecurity.sophos.com.
Chúng tôi chuyển từ sâu của con người sang sâu Windows: a lỗ hổng HTTP của Windows có thể sâu.
Chúng ta cần biết gì về điều này, Paul?
VỊT. Đây là một khởi đầu hấp dẫn cho năm 2022, phải không? Đó là một trong nhiều lỗi bảo mật được sửa trong bản vá thứ Ba của tháng này…
CHÓ. Đó là một điều lớn!
VỊT. Tôi nghĩ rằng có 102 lỗi!
Nhưng một trong số chúng có vẻ không quá nguy hại lúc đầu, có lẽ vì nó không nói, "Lỗi này nằm trong máy chủ web của Microsoft mà mọi người đều biết."
Nó chỉ được mô tả là Lỗ hổng thực thi mã từ xa ngăn xếp giao thức HTTP, hoặc CVE-2022-21907.
Vì vậy, bạn sẽ nghĩ, “Ồ, đó là một thứ mã cấp thấp; có lẽ không áp dụng cho tôi, bởi vì tôi không chạy IIS. ”
Và theo nghĩa đó, nó giống như một chút sự cố chúng tôi gặp phải với Log4j, nơi mọi người nói, "Tôi không có bất kỳ máy chủ Java nào."
Và chúng tôi đã nói: không, không phải về máy chủ; đó là về các ứng dụng được viết bằng Java.
“Tôi không có nhiều thứ đó…” Bạn có chắc không?
“Chà, tôi có một số trong số chúng, nhưng không nhiều trong số chúng chạy Log4j…” Bạn có chắc không?
Và sau đó, như chúng tôi đã nói trên một vài podcast trước đây, khi mọi người tìm kiếm Lg4j, họ sẽ thấy, “Golly, có rất nhiều thứ hơn tôi nghĩ.”
Vấn đề ở đây rất giống, cụ thể là HTTP.sys là trình điều khiển cấp thấp cung cấp các dịch vụ HTTP khi bạn cần một chương trình chấp nhận và trả lời các yêu cầu web, * bao gồm cả IIS *.
Trên thực tế, IIS được triển khai trên HTTP.sys này, nhưng nó chỉ là một trong hàng chục, hàng trăm hoặc hàng nghìn ứng dụng bạn có thể sử dụng thứ này.
Bất kỳ chương trình nào bạn có, cho dù bạn có nhận ra hay không, có chứa một số loại bảng điều khiển web hoặc giao diện web, hoặc cổng web mà bạn có thể kết nối, đều có thể có nguy cơ mắc lỗi này nếu bạn chưa vá.
Và điều khiến mọi người phấn khích là, như Microsoft đã nói trong danh sách Câu hỏi thường gặp của họ cho bản vá cụ thể này, “Liệu cái này có thể sâu được không?”, Nghĩa là ai đó có thể sử dụng nó để viết một loại vi-rút tự lây lan…
CHÓ. Có!
VỊT. Họ thực sự chỉ đặt một từ đó!
CHÓ. [LAUGHS] “Vâng. Dấu chấm."
VỊT. Và họ nói, "Microsoft khuyên bạn nên ưu tiên vá các máy chủ bị ảnh hưởng."
Bây giờ, ý kiến của tôi là cách diễn đạt đó hơi đáng tiếc, bởi vì nó khiến bạn suy luận rằng điều này chỉ ảnh hưởng đến máy chủ. Bạn sẽ có dịch vụ HTTP lắng nghe ở đâu khác hơn là trên máy chủ?
Tất nhiên, câu trả lời là: tải và tải các chương trình ngày nay sử dụng HTTP làm GUI, làm giao diện của chúng, phải không? Nhiều người có bảng điều khiển web, ngay cả khi chúng là các chương trình được thiết kế cho người dùng cuối.
Lỗi là một chức năng của trình điều khiển cấp thấp trong chính Windows và đó là những gì cần được vá.
Tôi đoán phần tin tốt là, khi bạn đã thực hiện xong bản vá này, mọi chương trình phụ thuộc vào HTTP.sys đều được vá ngầm cùng với nó vì chúng đều dựa trên cùng một trình điều khiển cấp thấp.
CHÓ. Được rồi, cái gì… đóng vai người biện hộ cho Devil. Tôi nên làm gì nếu vì lý do nào đó không thể vá ngay?
VỊT. Tôi đã đưa ra một bản sửa lỗi có hiệu quả trong thử nghiệm hạn chế của tôi. Rất đơn giản.
Bạn chỉ cần vào sổ đăng ký của mình (chúng tôi có một tập lệnh trên Naked Security hướng dẫn bạn cách thực hiện việc này) và bạn thay đổi thứ được gọi là “mã bắt đầu” cho dịch vụ HTTP Windows từ giá trị 3, có nghĩa là bắt đầu khi cần thiết, đến giá trị 4.
Bạn chỉ cần biết rằng 4 nghĩa là tàn tật; không thể bắt đầu.
Và điều đó về cơ bản khắc phục được sự cố này, bởi vì không có phần mềm nào thực sự có thể kích hoạt trình điều khiển này, do đó không có gì thực sự có thể sử dụng nó, do đó lỗi không thể được kiểm soát.
Mặt trái của điều đó là không phần mềm nào có thể sử dụng dịch vụ HTTP này, vì vậy nếu hóa ra bạn * làm * có một ứng dụng mà bạn không nhận ra, một phần quản trị của nó dựa vào bảng điều khiển dựa trên web hoặc API dựa trên web… thì điều đó cũng sẽ không hoạt động.
Vì vậy, đây không phải là một giải pháp lâu dài; nó chỉ là một cách giải quyết.
Cuối cùng, bạn cần sửa tệp HTTP.sys này như một phần của bản cập nhật Bản vá thứ ba.
CHÓ. OK, đó là Lỗ hổng HTTP của Windows Wormable - những điều bạn cần biết trên nakedsecurity.sophos.com.
Bây giờ, đã đến lúc Tuần này trong Lịch sử Công nghệ.
Đừng để bạn nghĩ rằng chúng ta sẽ chỉ nói về giun một lần trong tập này… tuần này, vào ngày 20 tháng 1999 năm 99, thế giới đã được biết đến loài giun HAPPY99, còn được gọi là Ska hoặc Iworm. HAPPYXNUMX đã được một số nhà cung cấp phần mềm chống vi-rút báo cáo là một cơn đau khá lớn ở cổ.
VỊT. Tin tôi đi, nó rất lớn.
Và nó có một mẹo mà bạn sẽ bất đắc dĩ như thế, Doug.
Những kẻ lừa đảo đã làm những gì bạn gọi là “điều B”: tốt nhất / tuyệt vời.
Họ tránh mắc lỗi chính tả, lỗi chính tả hoặc viết tiếng Anh không tốt.
Họ đã tránh tất cả những vấn đề đó chỉ đơn giản là không có văn bản.
CHÓ. Aaargh.
VỊT. Thật đơn giản, phải không?
CHÓ. Ơi!
VỊT. Nếu bạn không có ký tự nào, thì bạn phải, thực tế, không mắc lỗi chính tả, lỗi chính tả, ngữ pháp, vân vân.
Nó chỉ đơn giản là đến; nó là một tệp thực thi; nó nói HAPPY99.EXE; và nếu bạn chạy nó, nó sẽ cho bạn thấy một màn pháo hoa nhỏ.
CHÓ. [DOWNCAST] Đúng vậy.
Được rồi, chúng tôi có hai bài báo về An ninh nghiêm trọng sắp xếp.
Đầu tiên là về Linux lỗi mã hóa toàn bộ ổ đĩa điều đó đã được sửa. Nhưng điều gì đã xảy ra trước khi nó được sửa?
VỊT. Thông thường, trên Linux, khi bạn thực hiện mã hóa toàn bộ đĩa - đó là công cụ đảm bảo rằng nếu ai đó đánh cắp máy tính xách tay của bạn sau khi nó tắt nguồn, đĩa sẽ chỉ là bắp cải vụn trừ khi bạn nhập mật khẩu…
… Trên Linux, có thể bạn đang sử dụng một thứ gọi là LUKS, Thiết lập khóa hợp nhất Linux. Và để giúp bạn quản lý LUKS, có một chương trình gọi là cryptsetup.
Thật không may, như thường xuyên xảy ra với mã hóa toàn bộ đĩa vì nó rất hữu ích, cryptsetup có rất nhiều tính năng - có thể nhiều hơn những gì bạn tưởng tượng mà bạn cần.
Và một trong những điều mà cryptsetup có thể làm - tùy chọn được gọi là mã hóa lại.
Điều đó có nghĩa là thay vì chỉ thay đổi mật khẩu giải mã khóa mã hóa chính, nó thực sự giải mã và mã hóa lại toàn bộ ổ cứng của bạn * trong khi bạn đang sử dụng nó *, vì vậy bạn không cần phải giải mã toàn bộ và có nguy cơ gặp phải. nó không được mã hóa trong một thời gian.
Tất cả đều có vẻ tuyệt vời, ngoại trừ những gì nhóm thiết lập mã hóa đã làm là: họ hình dung, “Này, chúng tôi có thể sử dụng cùng một mã nếu ai đó cần giải mã đĩa”, giống như họ thực sự muốn xóa mã hóa vì một lý do nào đó.
Hoặc nếu họ có một đĩa mà bằng cách nào đó chưa bao giờ được mã hóa và bây giờ họ muốn thêm lại mã hóa.
Vì vậy, họ nghĩ, “Chà, đó chỉ là những trường hợp đặc biệt của mã hóa lại. Vì vậy, hãy giả mạo hệ thống thay vì viết chúng dưới dạng các tiện ích riêng biệt. "
Hãy cứ coi chúng là “trường hợp lệch lạc” của sự tái nhiễm…
CHÓ. [LỪA DỐI]
VỊT. Để cắt ngắn một câu chuyện dài, hóa ra là nếu bạn đang sử dụng giải mã or mã hóa các chức năng, thay vì mã hóa lại thì cryptsetup không quan tâm đầy đủ đến những gì bạn có thể gọi là siêu dữ liệu - dữ liệu tạm thời - ghi lại quãng đường mà nó đi được.
Vì vậy, ai đó có quyền truy cập vào máy tính của bạn * nhưng không biết mật khẩu của bạn * có thể sửa đổi đĩa cứng của bạn và về cơ bản đánh lừa hệ thống nghĩ rằng, "Ồ, tôi đang giải mã, nhưng nó đã bị hỏng giữa chừng."
Nếu bạn cố gắng làm điều đó khi người đó đang * mã hóa lại *, nó sẽ phát ra thông báo “Uh oh! Ai đó đã giả mạo đĩa của bạn: bạn cần phải điều tra! ”.
Nhưng những kiểm tra đó, nếu bạn đang sử dụng * giải mã * thuần túy, đã không được thực hiện.
Vì vậy, ai đó có thể lấy máy tính của bạn trong khi bạn không tìm kiếm, thao tác với nó, sau đó khi bạn khởi động lại và thực sự nhập mật khẩu của mình, ít nhất một số phần của đĩa có thể được giải mã.
Và bạn sẽ không nhận ra, nhưng bạn sẽ kết thúc với ít nhất một phần nhỏ đĩa của bạn được giải mã.
Có nghĩa là nếu bạn đang dựa vào mã hóa toàn bộ ổ đĩa để nói với cơ quan quản lý, “Nhân tiện, nếu máy tính xách tay này bị đánh cắp, tôi có thể hứa với bạn rằng không có dữ liệu văn bản rõ ràng nào ở đây cả”…
… Tốt, bạn có thể không nói sự thật, bởi vì có thể có một phần nhỏ, trung bình hoặc lớn dữ liệu * đã * được giải mã mà bạn không nhận ra.
Và nó trở nên tồi tệ hơn!
Những gì một người có thể làm là: họ có thể giải mã một đoạn đĩa của bạn và sau đó quay lại sau. Nếu bạn không nhận thấy, họ có thể đào xung quanh dữ liệu đã giải mã đó, dữ liệu không còn được bảo vệ toàn vẹn nữa; nó chỉ là văn bản rõ ràng.
Họ có thể thực hiện một số sửa đổi xảo quyệt: có thể họ có thể thay đổi tên tệp hoặc, nếu họ có thể tìm thấy các đoạn của thứ gì đó giống lịch sử duyệt web của bạn, họ có thể chèn lịch sử duyệt web khiến bạn thực sự trông giống như một người rất nghịch ngợm.
Sau đó, họ có thể chạy lỗi ngược lại! Họ có thể nói, "Bạn cần mã hóa lại nội dung này."
Và lần sau khi bạn khởi động và nhập mật khẩu, đĩa của bạn sẽ "tự chữa lành" bằng cách mã hóa lại nội dung đã vô tình được giải mã, nhưng * với những thay đổi trái phép trong đó *.
CHÓ. Ôi.
VỊT. Vì vậy, điều này nghe giống như, "Chà, đó không thực sự là một lỗi, phải không?"
Nhưng điều đó có nghĩa là ai đó trong lòng bạn có sở thích tồi tệ nhất (giả sử ai đó muốn chọc tức bạn), nếu họ có quyền truy cập vào máy tính của bạn khi bạn không nhìn, họ có thể * mà không cần phải tìm mật khẩu của bạn * , kết nối bạn với dữ liệu trên đĩa được mã hóa bằng mật khẩu của bạn.
Vì vậy, họ có thể nói, “Làm thế nào mà tôi có thể làm được điều đó? Tôi không biết mật khẩu. Tôi có thể chứng minh rằng tôi không biết mật khẩu, ngoài sự nghi ngờ hợp lý, bằng mọi giá. Nếu nó được mã hóa bằng mật khẩu của bạn, thì chắc chắn * bạn * đã làm được. ”
CHÓ. Vâng.
VỊT. Và đây là một lỗ hổng nhỏ có nghĩa là giả định đó không nhất thiết phải giữ…
… Và do đó bạn nên tải phiên bản mới nhất của chương trình cryptsetup, bởi vì nó bổ sung các kiểm tra mà lẽ ra phải có trong các hàm giải mã thuần túy và mã hóa thuần túy.
Nó bổ sung các kiểm tra tính toàn vẹn để đảm bảo rằng không ai cố gắng kích hoạt giải mã hoặc mã hóa mà không thực sự biết trước mật khẩu.
Nếu bạn có cryptsetup, phiên bản bạn muốn là 2.4.3 hoặc sau đó.
CHÓ. Được rồi, bạn có thể tìm hiểu thêm về điều đó - bài viết trên Naked Security tại Bảo mật nghiêm trọng: Đã sửa lỗi mã hóa toàn đĩa Linux - bản vá ngay.
Chà, thật tuyệt khi trở lại với nhịp điệu, nhịp độ, khi một tuần nữa sẽ trôi qua…
… Và bây giờ chúng ta có một Lỗi của Apple nói về.
VỊT. [LAUGHS] Tôi đang băn khoăn không biết bạn sẽ đi đâu với thứ đó, Doug!
Vâng, đây là một lỗi của Apple. Và thật khó chịu, đó là một lỗi trong Safari, hoặc có lẽ quan trọng hơn, trong WebKit, cái mà bạn có thể gọi là công cụ trình duyệt mà Safari sử dụng.
CHÓ. [IRONICALLY] Sau đó, tôi tin rằng tôi sẽ tải xuống Firefox cho iPad của mình và tôi sẽ ổn thôi, Paul. Đúng?
VỊT. Chà, đó là vấn đề. Nếu đó không phải là macOS mà là iOS hoặc iPadOS, Apple yêu cầu tất cả các ứng dụng duyệt web phải sử dụng WebKit.
Vì vậy, trong iOS và iPadOS, bạn không thực sự có giải pháp thay thế. Hoặc quan trọng hơn, nếu bạn nghĩ, “Ồ, tôi sẽ vào và tải Firefox,” nó sẽ không giúp bạn thoát khỏi lỗi này.
CHÓ. Vì vậy, những gì thực sự gây ra vấn đề ở đây?
VỊT. Đó là Viêm đặc điểm và sự phức tạp được coi là có hại một lần nữa, Doug.
CHÓ. Gì nửa?
VỊT. Một lần nữa, một lần nữa.
CHÓ. Đây đang trở thành một chủ đề!
VỊT. Như thính giả của chúng tôi chắc chắn sẽ biết, những gì được gọi là dữ liệu HTTP trạng thái - nói cách khác, những thứ mà trình duyệt của bạn ghi nhớ để khi bạn quay lại một trang web, trang web có thể cho biết rằng bạn đang quay lại…
Rõ ràng, điều đó tốt cho việc theo dõi, nhưng nó cũng tốt cho những thứ như, “Tôi nên sử dụng phông chữ lớn hay phông chữ nhỏ? Tôi nên ở chế độ điện thoại di động hay chế độ máy tính để bàn? ” Tất cả những thứ mà bạn muốn giữ lại giữa lần truy cập trang web này và lần tiếp theo.
… Theo truyền thống, chúng được xử lý bởi các đối tượng dữ liệu được gọi là bánh quy.
Và nếu không có cookie, chúng tôi không bao giờ có thể có các trang web cho phép bạn đăng nhập, bởi vì trang web sẽ không thể nhớ, "Này, đây là cùng một người quay lại."
Nhưng hóa ra cookie không hiệu quả, bởi vì khi bạn gửi cookie, bạn phải gửi tất cả cookie do một trang web thiết lập, mỗi khi bạn kết nối bất kỳ trang nào trên trang web, ngay cả khi trang đó không cần chúng.
Và do đó, hầu hết các trình duyệt đều có giới hạn nghiêm ngặt về lượng dữ liệu cookie mà bạn có thể có.
Vì vậy, hãy đoán xem điều gì đã xảy ra? Mọi người trên trình duyệt đã họp lại với nhau và họ nói, "Này, hãy có một thứ gọi là lưu trữ web, ”Giống như các cookie lớn mà bạn có thể truy cập bằng JavaScript. Bạn chỉ truy cập lưu trữ web bằng JavaScript từ một trang web cụ thể, khi bạn biết mình cần dữ liệu.
Vì vậy, bạn đã có cookie và lưu trữ web; hai công nghệ khác nhau. Một không yêu cầu JavaScript; một cái đã yêu cầu JavaScript. Một bị hạn chế về lượng dữ liệu trạng thái mà nó có thể lưu; cái kia linh hoạt hơn nhiều và cho phép bạn lưu các đối tượng lớn hơn nhiều.
Nhưng ngay cả lưu trữ web cũng không đủ tốt, Doug, bởi vì điều buồn cười là dường như chúng ta càng sử dụng đám mây, chúng ta càng mong đợi trình duyệt của mình hoạt động như thể nó là một ứng dụng được cài đặt cục bộ.
Vì vậy, cùng với một thứ gọi là Lập chỉ mục, tức là, nếu bạn thích, loại cookie THỨ BA.
Chúng tôi đã có bánh quy xuất hiện trong các tiêu đề web; chúng tôi đã có lưu trữ web, là một loại cơ sở dữ liệu nhỏ không chính thức, lỏng lẻo mà JavaScript có thể truy cập; và chúng tôi đã có Lập chỉ mục, đây gần như là một cơ sở dữ liệu SQL phía trình duyệt.
Nó không thực sự sử dụng SQL, nhưng nó cho phép bạn lưu trữ các khối dữ liệu lớn hơn nhiều - chẳng hạn như toàn bộ tài liệu hoặc toàn bộ tài liệu, Nếu bạn đang sử dụng hệ thống quản lý nội dung hoặc hình ảnh lớn, nếu bạn đang viết một đám mây chẳng hạn như chương trình xử lý hình ảnh dựa trên.
Bạn có cookie cho một lượng nhỏ dữ liệu; lưu trữ web nơi bạn cần nhiều hơn một chút; và IndexedDB nơi bạn muốn có lượng dữ liệu có cấu trúc đáng kể.
Bởi vì khi hai thứ có thể làm điều gì đó tồi tệ…
CHÓ. [LỪA DỐI]
VỊT. … Rõ ràng có ba điều có thể làm [PAUSES] tốt hơn.
Và vấn đề là - nó thực sự rất nhỏ - trên Safari hoặc trên WebKit, có một chức năng đặc biệt được gọi là indexedDB.databases mà, khi bạn gọi nó, cung cấp cho bạn danh sách tất cả các cơ sở dữ liệu IndexedDB hiện đang hoạt động mà trình duyệt biết.
Nhưng nó cung cấp cho bất kỳ trang web nào, bất kỳ tab nào, bất kỳ cửa sổ nào, bất kỳ trang web nào, quyền truy cập vào danh sách đầy đủ các cơ sở dữ liệu * tên *.
Nó thực thi Chính sách xuất xứ giống nhau điều đó nói rằng trang web X không thể đọc cơ sở dữ liệu IndexedDB của trang web Y, vì vậy một trang web chỉ có thể truy cập cookie của chính nó, bộ nhớ web của chính nó và dữ liệu IndexedDB của chính nó.
Nhưng tất cả các tab đều có thể truy cập danh sách cơ sở dữ liệu * tên *, nghe có vẻ rất nhỏ, hóa ra là một bước quá xa.
Bởi vì như các nhà nghiên cứu đã tìm ra điều này - đó là một công ty có tên là Fingerprint JS; họ tìm kiếm những điểm bất thường của trình duyệt…
… Như họ đã phát hiện ra, rất nhiều trang web chính thống, khi họ tạo một trong những cơ sở dữ liệu IndexedDB này để sử dụng cho riêng mình, hãy đặt cho nó một cái tên mang tính kể chuyện.
Họ không chỉ gọi nó blah or db; họ sẽ đặt tên cho nó theo cách cho biết nó thuộc về dịch vụ nào.
Điều này giống như nói với kẻ gian, "Tôi đã khóa bạn khỏi tất cả dữ liệu trên máy tính của tôi, nhưng tôi * sẽ * cho phép bạn tải xuống danh sách tất cả các tên tệp của tôi."
CHÓ. À há!
VỊT. Bạn có thể tưởng tượng rằng có rất nhiều bí mật trong tên tệp của bạn, trong cái gọi là siêu dữ liệu.
Và điều khác mà các nhà nghiên cứu đã phát hiện ra - họ đặc biệt xem xét vấn đề này cho Google, nhưng đây không thực sự là lỗi của Google; không đổ lỗi cho Google…
… Dường như Google sử dụng ID người dùng Google của bạn làm tên cơ sở dữ liệu, là một số chuỗi ký tự ngẫu nhiên.
Bây giờ, điều đó không nói cho ai đó biết ai có thể liệt kê số nhận dạng duy nhất đó * bạn * là ai. Kẻ gian có trang web lạm dụng chức năng này sẽ không biết rằng “Doug” được biểu thị bằng chuỗi thập lục phân cụ thể này.
Nhưng mỗi khi “Doug” truy cập trang web của họ, ngay cả khi “Doug” có tính năng bảo vệ theo dõi trên đó sẽ cố gắng ngăn họ tìm ra bạn đã ở đâu…
… Bạn sẽ quay lại * với cùng một ID người dùng Google * nếu bạn vẫn đăng nhập vào Google.
Vì vậy, họ sẽ không biết bạn là ai, nhưng họ sẽ biết rằng đó là cùng một người quay lại nhiều lần - mà không cần thiết lập bất kỳ cookie nào hoặc làm bất cứ điều gì khuất tất của họ.
Dường như danh sách cơ sở dữ liệu IndexedDB này có thể hoạt động giống như một loại siêu tân binh: Tôi không biết đó là ai, nhưng tôi biết lần nào cũng là một người.
Đó là thông tin mà bạn có thể không bao giờ có ý định đưa ra.
Và đó là lý do tại sao lỗi này rất quan trọng, xem xét nỗ lực mà các nhà sản xuất trình duyệt trong nhiều năm đã bỏ ra để loại bỏ tất cả những phản bội mà mọi người có thể làm với cái gọi là siêu tân binh - đó là nơi kẻ gian sử dụng những thứ như "bạn đã truy cập trang web nào bằng HTTPS thay vì HTTP?" như một cách để theo dõi bạn là ai hoặc “bạn đã cài đặt phông chữ nào?” hoặc “bạn đang sử dụng độ phân giải màn hình nào?”
Tất cả những thứ mà mọi người sẽ sử dụng một cách đáng ngờ để thử và lấy dấu vân tay của bạn với tư cách là một người dùng cá nhân đều có thể được thực hiện với IndexedDB.
Và như chúng tôi đã than thở nhiều lần trước đây, Apple không cho biết khi nào họ sẽ sửa lỗi này.
Nhưng lý do mà Fingerprint JS viết về nó bây giờ là họ có thể thấy, từ các thành phần mã nguồn mở trong WebKit, rằng các lập trình viên của Apple dường như đang xem xét điều này và họ đang bắt đầu hợp nhất trong một loạt các thay đổi để khắc phục. nó.
Vì vậy, có thể sắp có một bản vá cho Safari / WebKit… nhưng Apple không tin khi nói với bạn rằng nó sắp ra mắt.
Bạn chỉ cần giả định rằng nó là như vậy. Vì vậy, hãy quan sát không gian này.
CHÓ. OK, chúng tôi sẽ theo dõi điều đó! Đó là Bảo mật nghiêm trọng: Apple Safari rò rỉ dữ liệu cá nhân qua API cơ sở dữ liệu - những điều bạn cần biết, trên nakedsecurity.sophos.com.
Và đó là thời điểm của chương trình: Ồ! Không! trong tuần.
Người dùng Reddit dilgentcockroach700 viết…
VỊT. Điều đó có nghĩa là có 699 con gián siêng năng trước anh ta hoặc cô ta?
CHÓ. Tôi biết! Hãy tưởng tượng cố gắng bảo mật tên người dùng đó!
VỊT. [ƯU ĐÃI ĐỂ ĐƯỢC HỖ TRỢ BOT] “Những tên người dùng khác mà bạn có thể thích…”
DOUG, Yes, 700: rất nhiều gián; chúng khó bị giết.
[KỂ CHUYỆN] Quay lại những năm 1980, tôi đang làm việc cho một công ty viễn thông ở Anh. Chúng tôi có một Công ty Cổ phần Thiết bị Kỹ thuật số PDP-11 do tôi phụ trách, được đặt trong một phòng được kiểm soát về môi trường.
Một buổi sáng thứ Hai, tôi đến văn phòng thì thấy máy tính đã chết hẳn. Tôi lao vào phòng máy tính để tìm những chiếc thang, chậu sơn, chổi sơn và một tấm bìa cứng khổng lồ che phủ hoàn toàn chiếc PDP-11, thứ mà lúc này đã quá nóng, nó gần như phát sáng.
(Nếu không ai từng nhìn thấy một trong số những thứ đó, thì nó có kích thước bằng một chiếc tủ lạnh mà bạn đặt trong nhà bếp của mình… đó là một chiếc máy tính khổng lồ.)
Rõ ràng là Bộ phận Dịch vụ Văn phòng đã quyết định căn phòng cần trang trí, nhưng không buồn nói với ai.
Tôi tắt nguồn máy tính, lấy tấm chắn bụi ra và để máy nguội.
Sau đó, tôi đã cố gắng khởi động lại nó nhưng nó không hoạt động. Kết thúc là việc phải gọi các kỹ sư DEC từ Mỹ và thay thế hầu hết các bộ phận bên trong đã chiên. Người quản lý của tôi đã yêu cầu Bộ phận Dịch vụ Văn phòng thanh toán hóa đơn vài nghìn bảng Anh ngoài ngân sách của họ.
Vì vậy, hãy tưởng tượng - một chiếc máy tính khổng lồ có kích thước bằng một chiếc tủ lạnh - nó sẽ nóng đến mức nào…
VỊT. [LỪA DỐI]
CHÓ. … Và sau đó phủ một tấm bạt của họa sĩ lên đó để sơn căn phòng mà nó đang ở.
VỊT. Đó là loại sơn đắt nhất thế giới!
CHÓ. Uh hả!
Chà, tôi đoán rằng bây giờ có lẽ họ đã thay thế PDP-11 đó bằng một thứ gì đó mảnh mai hơn một chút.
VỊT. Có lẽ mạnh hơn gấp XNUMX lần, giống như Raspberry Pi Zero.
CHÓ. Hoặc một chiếc điện thoại di động!
Dù sao, nếu bạn có một Ồ! Không! bạn muốn gửi, chúng tôi muốn đọc nó trên podcast.
Bạn có thể gửi email tips@sophos.com, bạn có thể nhận xét về bất kỳ bài viết nào của chúng tôi hoặc bạn có thể đánh giá chúng tôi trên mạng xã hội @nakedsecurity.
Đó là chương trình của chúng tôi cho ngày hôm nay - cảm ơn rất nhiều vì đã lắng nghe.
Đối với Paul Ducklin, tôi là Doug Aamoth, đang nhắc bạn…
Cho đến lần sau…
CẢ HAI. … Giữ an toàn!
[CHẾ ĐỘ ÂM NHẠC]
