S3 Ep139: Er adgangskoderegler som at løbe gennem regn?

Ingen lydafspiller nedenfor? Hør efter direkte på Soundcloud.

DOUG.  Patch Tuesday, cyberkriminalitet og sjov med adgangskoder.

Alt det, og mere, på Naked Security-podcasten.

[MUSIK MODEM]

Velkommen til podcasten, alle sammen.

Jeg er Doug Aamoth; han er Paul Ducklin.

Paul, hvordan har du det i dag?

---

AND.  Doug, jeg burde ikke sige dette... men fordi jeg ved, hvad der kommer ind Denne uge i teknisk historie, fordi du gav mig en forhåndsvisning, er jeg meget spændt!

---

DOUG.  Okay, lad os komme lige til det!

Denne uge, den 15. juni, helt tilbage i 1949, skrev Jay Forrester, som var professor ved Massachusetts Institute of Technology, eller MIT, ned...

---

AND.  [MOCK DRAMA] Sig det ikke, som om du er fra Boston, og du er glad for det, Doug? [LATTER]

---

DOUG.  Hej, det er en smuk campus; Jeg har været der mange gange.

---

AND.  Det er også en slags berømt ingeniørskole, ikke? [griner]

---

DOUG.  Helt sikkert!

Jay Forrester skrev et forslag om "kernehukommelse" ned i sin notesbog og ville senere installere magnetisk kernehukommelse på MIT's Whirlwind-computer.

Denne opfindelse gjorde computere mere pålidelige og hurtigere.

Kernehukommelse forblev det populære valg til computerlagring indtil udviklingen af ​​halvledere i 1970'erne.

---

AND.  Det er en fantastisk simpel idé, når du først ved, hvordan det fungerer.

Små små ferritmagnetiske kerner, som du ville få i midten af ​​en transformer... som superminiatureskiver.

De blev magnetiseret, enten med eller mod uret, til at betyde nul eller én.

Det var bogstaveligt talt magnetisk opbevaring.

Og det havde den funky egenskab, Douglas, at fordi ferrit i det væsentlige danner en permanent magnet...

…du kan remagnetisere den, men når du slukker for strømmen, forbliver den magnetiseret.

Så det var ikke-flygtigt!

Hvis du havde et strømsvigt, kunne du stort set genstarte computeren og fortsætte, hvor du slap.

Fantastiske!

---

DOUG.  Enestående, ja... det er virkelig fedt.

---

AND.  Tilsyneladende var MIT's oprindelige plan at opkræve en royalty på 0.02 USD pr. bit på ideen.

Kan du forestille dig, hvor dyrt det ville gøre for eksempel en 64 gigabyte iPhone-hukommelse?

Det ville være i milliarder af dollars! [griner]

---

DOUG.  Uvirkelig.

Nå, noget interessant historie, men lad os bringe det op til nutiden.

For ikke så længe siden... Microsoft Patch Tuesday.

Ingen nul-dage, men alligevel masser af rettelser, Paul:

Patch Tuesday retter 4 kritiske RCE-fejl og en masse Office-huller

---

AND.  Nå, ingen nul-dage i denne måned, hvis du ignorerer det Edge fjernkodeudførelseshul, som vi talte om i sidste uge.

---

DOUG.  Hmmmmmm.

---

AND.  Teknisk set er det ikke en del af Patch Tuesday...

…men der var 26 fjernudførelse af kode [RCE] fejl i alt, og 17 elevation-of-privilege [EoP] fejl.

Det er der, skurke allerede er inde, men de kan ikke gøre meget endnu, så de bruger så EoP-fejlen til at få superkræfter på dit netværk og gøre meget mere modbydelige ting.

Fire af disse fejl til fjernudførelse af kode blev døbt "Kritisk" af Microsoft, hvilket betyder, at hvis du er en af ​​dem, der stadig kan lide at lave dine patches i en bestemt rækkefølge, er det dem, vi foreslår, at du starter med.

Den gode nyhed om de fire kritiske patches er, at tre af dem vedrører den samme Windows-komponent.

Så vidt jeg kan se, var det en masse relaterede fejl, formodentlig fundet under en form for kodegennemgang af den komponent.

Hvilket vedrører Windows Messaging Service, hvis du tilfældigvis bruger det i dit netværk.

---

DOUG.  Og vi er alle sammen blevet takket for vores tålmodighed med SketchUp-debaklet, som jeg ikke vidste eksisterede før nu.

---

AND.  Ligesom dig, Doug, har jeg aldrig brugt dette program kaldet SketchUp, som jeg tror er et tredjeparts 3D-grafikprogram.

Hvem vidste, at det ville være rigtig godt at kunne slippe SketchUp 3D-billeder ind i dine Word-, Excel-, PowerPoint-dokumenter?

Som du kan forestille dig, med et helt nyt filformat til at parse, fortolke, behandle, gengive inde i Office...

...Microsoft introducerede en fejl, der blev rettet som CVE-2023-33146.

Men den skjulte historie-bag-historien, hvis du vil, er, at Microsoft den 01. juni 2023 annoncerede, at:

Muligheden for at indsætte SketchUp-grafik er midlertidigt deaktiveret i Word, Excel, PowerPoint og Outlook til Windows og Mac.

Vi sætter pris på din tålmodighed, mens vi arbejder på at sikre sikkerheden og funktionaliteten af ​​denne funktion.

Jeg er glad for, at Microsoft sætter pris på min tålmodighed, men jeg ville måske ønske, at Microsoft selv havde været lidt mere tålmodig, før de introducerede denne funktion i Office i første omgang.

Jeg ville ønske, de havde lagt det derind *efter*, at det var sikkert, i stedet for at sætte det ind for at se, om det var sikkert og finde ud af, som du siger (overraskelse! overraskelse!), at det ikke var det.

---

DOUG.  Alle tiders.

Lad os holde os til emnet tålmodighed.

Jeg sagde, at vi ville "holde øje med det her", og jeg håbede, at vi ikke behøvede at holde øje med det her.

Men vi er nødt til at alliterere lidt, som du gjorde i overskriften.

Flere MOVEit-reduktioner: nye patches udgivet for yderligere beskyttelse, Paul.

Flere MOVEit-reduktioner: nye patches udgivet for yderligere beskyttelse

---

AND.  Det er det gode gamle MOVEit-problem igen: SQL-injektionsfejl.

Det betyder, at hvis du bruger MOVEit Transfer-programmet, og du ikke har lappet det, så kan skurke, der kan få adgang til den webbaserede frontend, narre din server til at gøre dårlige ting...

…op til og med indlejring af en webshell, der lader dem vandre ind senere og gøre, hvad de vil.

Som du ved, blev der udstedt en CVE, og Progress Software, skaberne af MOVEit, udgav en patch for at håndtere den kendte udnyttelse i naturen.

De har nu en anden patch ude for at håndtere lignende fejl, som skurkene, så vidt de ved, ikke har fundet endnu (men hvis de kiggede godt nok, kunne de måske).

Og hvor mærkeligt det end lyder, når du opdager, at en bestemt del af din software har en fejl af en bestemt art, bør du ikke blive overrasket, hvis du graver dybere...

...du opdager, at programmøren (eller programmeringsteamet, der arbejdede på det på det tidspunkt, hvor den fejl, du allerede kender til, blev introduceret) begik lignende fejl omkring samme tid.

Så godt gået i dette tilfælde, vil jeg sige, til Progress Software for at forsøge at håndtere dette proaktivt.

Progress Software sagde lige, "Alle Move It-kunder skal anvende den nye patch, der blev udgivet den 09. juni 2023.

---

DOUG.  OK, jeg tror, ​​vi skal … holde øje med det!

Paul, hjælp mig her.

Jeg er i år 2023 og læser i en Nøgen sikkerhed overskrift noget om "Mt. Gox."

Hvad sker der med mig?

Historien revideret: US DOJ afviser Mt. Gox anklager om cyberkriminalitet

---

AND.  Mt. Gox!

"Magic The Gathering Online Exchange", Doug, som det var...

---

DOUG.  [GLAT] Selvfølgelig!

---

AND.  …hvor du kunne bytte Magic The Gathering-kort.

Det domæne blev solgt, og dem med lange hukommelser vil vide, at det blev til den mest populære og langt den største Bitcoin-børs på planeten.

Det blev drevet af en fransk udstationeret, Mark Karpelès, fra Japan.

Det hele gik tilsyneladende svømmende, indtil det imploderede i et pust af kryptovalutestøv i 2014, da de indså, at løst sagt alle deres Bitcoins var forsvundet.

---

DOUG.  Jeg burde ikke grine!

---

AND.  647,000 af dem, eller noget.

Og selv dengang var de allerede omkring 800 dollar værd, så det var en "pust" for en halv milliard amerikanske dollars.

Spændende nok pegede mange fingre på Mt. Gox-holdet selv på det tidspunkt og sagde: "Åh, det her må være et internt job."

Og faktisk, på nytårsdag, tror jeg, det var i 2015, en japansk avis ved navn Yomiuri Shimbun faktisk publicerede en artikel, der sagde: "Vi har undersøgt dette, og 1 % af tabene kan forklares med undskyldningen, de har fundet på; for resten, siger vi, at det var et internt job."

Nu, den artikel, som de publicerede, som forårsagede en masse drama, fordi det er en ganske dramatisk anklage, giver nu en 404-fejl [HTTP-side ikke fundet], når du besøger den i dag.

---

DOUG.  Meget interessant!

---

AND.  Så jeg tror ikke, de står ved det længere.

Og faktisk har Justitsministeriet [DOJ] i USA endelig, omsider, alle disse år senere, faktisk anklaget to russiske statsborgere for dybest set at have stjålet alle Bitcoins.

Så det lyder som om, at Mark Karpelès i det mindste har fået en delvis fritagelse, takket være det amerikanske justitsministerium, fordi de helt sikkert har sat disse to russiske fyre i rammen for denne forbrydelse for alle de år siden.

---

DOUG.  Det er en fascinerende læsning.

Så tjek det ud på Naked Security.

Alt du skal gøre er at søge efter, du gættede rigtigt, "Mt. Gox”.

Lad os blive ved emnet cyberkriminalitet, da en af ​​hovedforbryderne bag Gozi-bankmalwaren har landede i fængsel efter ti lange år, Paul:

Gozi bank malware "IT-chef" endelig fængslet efter mere end 10 år

---

AND.  Ja... det var lidt ligesom at vente på bussen.

To forbløffende "wow, dette skete for ti år siden, men vi får ham til sidst"-historier ankom på én gang. [LATTER]

Og denne, syntes jeg, var vigtig at skrive op igen, bare for at sige: "Dette er justitsministeriet; de glemte ham ikke."

Rent faktisk. Han blev arresteret i Colombia.

Jeg tror, ​​han aflagde et besøg, og han var i Bogotá Lufthavn, og jeg gætter på, at grænsemyndighederne tænkte: "Åh, det navn er på en overvågningsliste"!

Og så tilsyneladende tænkte de colombianske embedsmænd: "Lad os kontakte den amerikanske diplomatiske tjeneste."

De sagde: "Hej, vi holder en fyr her ved navn (jeg vil ikke nævne hans navn - det står i artiklen). Du plejede at være interesseret i ham, i forbindelse med meget alvorlige multimillion-dollar malware-forbrydelser . Er du tilfældigvis stadig interesseret?”

Og hvilken overraskelse, Doug, USA var virkelig meget interesseret.

Så han blev udleveret, stillet for retten, erkendte sig skyldig, og han er nu blevet dømt.

Han får kun tre års fængsel, hvilket kan virke som en let dom, og han skal aflevere mere end $3,000,000 tilbage.

Jeg ved ikke, hvad der sker, hvis han ikke gør det, men det er vel bare en påmindelse om, at ved at løbe og gemme sig fra malware-relateret kriminalitet...

…nå, hvis der er anklager mod dig, og USA leder efter dig, siger de ikke bare: "Åh, det er ti år, vi kan lige så godt lade være."

Og denne fyrs kriminalitet kørte, hvad der i jargonen er kendt som "skudsikre værter", Doug.

Det er dybest set, hvor du er en slags internetudbyder, men i modsætning til en almindelig internetudbyder, går du ud af din måde at være et bevægende mål for retshåndhævelse, til blokeringslister og til fjernelsesmeddelelser fra almindelige internetudbydere.

Så du leverer tjenester, men du beholder dem, hvis du vil, skiftende rundt og på farten på internettet, så skurke betaler dig et gebyr, og de ved, at de domæner, du hoster for dem, bare fortsætter arbejder, selvom retshåndhævelsen er efter dig.

---

DOUG.  Okay, gode nyheder igen.

Paul, du har, mens vi runder vores historier for dagen, kæmpet med en meget vanskelig, nuanceret, men alligevel vigtigt spørgsmål om adgangskoder.

Skal vi nemlig skifte dem konstant på rotation, måske en gang om måneden?

Eller låse virkelig komplekse ind til at starte med, og så lade godt nok være i fred?

Tanker om planlagte adgangskodeændringer (kald dem ikke rotationer!)

---

AND.  Selvom det lyder som en slags gammel historie, og det faktisk er en, vi har besøgt mange gange før, er grunden til, at jeg skrev den, at en læser kontaktede mig for at spørge om netop dette.

Han sagde, "Jeg ønsker ikke at gå i bat for 2FA; Jeg ønsker ikke at gå i bat for password managers. Det er separate problemer. Jeg vil bare vide, hvordan man kan afgøre, hvis du vil, græstørv-krigen mellem to fraktioner inde i mit firma, hvor nogle mennesker siger, at vi skal lave adgangskoder ordentligt, og andre bare siger: 'Den båd sejlede, det er for svært, vi vil bare tvinge folk til at ændre dem, og det vil være godt nok."

Så jeg tænkte, at det faktisk var værd at skrive om det.

At dømme efter antallet af kommentarer på Naked Security og på sociale medier, kæmper masser af it-teams stadig med dette.

Hvis du bare tvinger folk til at ændre deres adgangskoder hver 30. dag eller hver 60. dag, betyder det så virkelig noget, om de vælger en, der i høj grad kan knækkes, hvis deres hash bliver stjålet?

Så længe de ikke vælger password or secret eller et af de ti bedste kattenavne i verden, måske er det OK, hvis vi tvinger dem til at ændre det til et andet ikke-særligt godt kodeord, før skurkene ville være i stand til at knække det?

Måske er det bare godt nok?

Men jeg har tre grunde til, at du ikke kan rette op på en dårlig vane ved blot at følge en anden dårlig vane.

---

DOUG.  Den første ud af porten: At skifte adgangskoder regelmæssigt er ikke et alternativ til at vælge og bruge stærke, Paul.

---

AND.  Nej!

Du kan vælge at gøre begge dele (og jeg vil give dig to grunde på et øjeblik, hvorfor jeg tror, ​​at det at tvinge folk til at ændre dem regelmæssigt har et andet sæt problemer).

Men den enkle iagttagelse er, at regelmæssigt at ændre en dårlig adgangskode ikke gør den til en bedre adgangskode.

Hvis du vil have en bedre adgangskode, skal du vælge en bedre adgangskode til at starte med!

---

DOUG.  Og du siger: At tvinge folk til at ændre deres adgangskoder rutinemæssigt kan indvagte dem til dårlige vaner.

---

AND.  At dømme efter kommentarerne er det netop det problem, som mange it-teams har.

Hvis du siger til folk: "Hey, du skal ændre din adgangskode hver 30. dag, og du må hellere vælge en god", skal de bare gøre...

... de vil vælge en god.

De vil bruge en uge på at forpligte det til hukommelsen resten af ​​deres liv.

Og så tilføjer de hver måned -01, -02, og så videre.

Så hvis skurkene knækker eller kompromitterer et af adgangskoderne, og de ser sådan et mønster, kan de stort set finde ud af, hvad dit kodeord er i dag, hvis de kender dit kodeord for seks måneder siden.

Så det er her, at tvinge forandringer, når det ikke er nødvendigt, kan få folk til at tage cybersikkerhedsgenveje, som du ikke ønsker, de skal gøre.

---

DOUG.  Og det her er interessant.

Vi har talt om dette før, men det er noget, som nogle mennesker måske ikke har tænkt på: Planlægning af adgangskodeændringer kan forsinke nødreaktioner.

Hvad mener du med det?

---

AND.  Pointen er, at hvis du har en formaliseret, fast tidsplan for adgangskodeændringer, så alle ved, at når den sidste dag i denne måned nærmer sig, vil de alligevel blive tvunget til at ændre deres adgangskode...

…og så tænker de: "Ved du hvad? Det er den 12. i måneden, og jeg gik til et websted, jeg ikke er sikker på, der kunne have været et phishing-sted. Nå, jeg vil alligevel ændre mit kodeord om to uger, så jeg vil ikke gå og ændre det nu.”

Så ved at ændre dine adgangskoder *regelmæssigt*, kan du ende med den vane, at du nogle gange, når det er virkelig, virkelig vigtigt, ikke ændrer dit kodeord *hyppigt* nok.

Hvis og når du synes, der er en god grund til at ændre dit kodeord, så GØR DET NU!

---

DOUG.  Jeg elsker det!

Okay, lad os høre fra en af ​​vores læsere om adgangskoden.

Nøgen sikkerhedslæser Philip skriver til dels:

At ændre dine adgangskoder ofte for ikke at blive kompromitteret er som at tænke, at hvis du løber hurtigt nok, kan du undvige alle regndråberne.

OK, du undgår regndråberne, der falder bag dig, men der vil være lige så mange, hvor du skal hen.

Og tvunget til regelmæssigt at ændre deres adgangskoder, vil et meget stort antal mennesker blot tilføje et tal, som de kan øge efter behov.

Som du sagde, Paul!

---

AND.  Din ven og min, sagde Chester [Wisniewski] for et par år siden, da vi talte om password myter, "Alt, de behøver at gøre [GRNER], for at finde ud af, hvad tallet er i slutningen, er at gå til din LinkedIn-side. 'Begyndte hos denne virksomhed i august 2017'... tæl antallet af måneder siden da.

Det er det nummer, du skal bruge til sidst.

Sophos Techknow – aflivning af adgangskodemyter

---

DOUG.  Nemlig! [LATTER]

---

AND.  Og problemet kommer, at når du prøver at planlægge, eller algoritmerer... er det et ord?

(Det burde det nok ikke være, men jeg bruger det alligevel.)

Når du forsøger at tage ideen om tilfældighed og entropi og uforudsigelighed og samle den ind i en superstreng algoritme, som f.eks.

…så ender du med *mindre* tilfældighed, ikke *mere*, og det skal du være opmærksom på.

Så at tvinge folk til at gøre noget, der får dem til at falde ind i et mønster, er, som Chester sagde på det tidspunkt, simpelthen at få dem til at vane med en dårlig vane.

Og jeg elsker den måde at udtrykke det på.

---

DOUG.  Okay, mange tak for at sende det ind, Philip.

Og hvis du har en interessant historie, kommentar eller spørgsmål, du gerne vil indsende, vil vi meget gerne læse den på podcasten.

Du kan sende en e-mail til tips@sophos.com, kommentere på en af ​​vores artikler eller slå os op på socialt: @nakedsecurity.

Det er vores show for i dag.

Mange tak fordi du lyttede.

For Paul Ducklin er jeg Doug Aamoth, og minder dig om, indtil næste gang, at...

---

BEGGE.  Hold dig sikker!

[MUSIK MODEM]