S3 Ep139: Sind Passwortregeln so, als würden wir durch den Regen laufen?

S3 Ep139: Sind Passwortregeln so, als würden wir durch den Regen laufen?

Zeitstempel: 15. Juni 2023, 12:43 Uhr
S3 Ep139: Sind Passwortregeln so, als würden wir durch den Regen laufen? PlatoBlockchain Data Intelligence. Vertikale Suche. Ai.
by Paul Ducklin

Gewöhnen Sie sich keine schlechte Gewohnheit an

Magnetkernspeicher. Patch Tuesday und SketchUp-Spielereien. Mehr MOVEit-Abhilfemaßnahmen. Berg Gox Zurück In den Nachrichten. Gozi Malware-Krimineller endlich eingesperrt. Sind Passwortregeln wie durch den Regen laufen?

Kein Audioplayer unten? Hören Direkt auf Soundcloud.

Mit Doug Aamoth und Paul Ducklin. Intro- und Outro-Musik von Edith Mudge.

Ihr könnt uns auf hören Soundcloud, Apple Podcasts, Google Podcasts, Spotify, Stitcher und überall, wo gute Podcasts zu finden sind. Oder lass es einfach fallen URL unseres RSS-Feeds in Ihren Lieblings-Podcatcher.

LESEN SIE DAS TRANSKRIPT

DOUG.  Patch-Dienstag, Gegenmaßnahmen gegen Cyberkriminalität und Spaß mit Passwörtern.

All das und mehr im Naked Security-Podcast.

[MUSIKMODEM]

Willkommen zum Podcast, alle zusammen.

Ich bin Doug Aamoth; er ist Paul Ducklin.

Paul, wie geht es dir heute?

ENTE.  Doug, ich sollte das nicht sagen ... aber weil ich weiß, was auf mich zukommt Diese Woche in der Technologiegeschichte, weil du mir eine Vorschau gegeben hast, bin ich sehr gespannt!

DOUG.  Also gut, lasst uns gleich loslegen!

Diese Woche, am 15. Juni, im Jahr 1949, schrieb Jay Forrester, Professor am Massachusetts Institute of Technology (MIT), Folgendes:

ENTE.  [MOCK DRAMA] Sagen Sie das nicht so, als ob Sie aus Boston wären und ganz selbstgefällig wären, Doug? [LACHEN]

DOUG.  Hey, es ist ein wunderschöner Campus; Ich war schon oft dort.

ENTE.  Es ist auch eine Art berühmte Ingenieursschule, nicht wahr? [LACHT]

DOUG.  Es ist sicher!

Jay Forrester schrieb einen Vorschlag für einen „Kernspeicher“ in sein Notizbuch und installierte später einen Magnetkernspeicher auf dem Whirlwind-Computer des MIT.

Diese Erfindung machte Computer zuverlässiger und schneller.

Bis zur Entwicklung von Halbleitern in den 1970er Jahren blieb der Kernspeicher die beliebte Wahl für Computerspeicher.

ENTE.  Es ist eine fantastisch einfache Idee, wenn man erst einmal weiß, wie sie funktioniert.

Winzige kleine Ferrit-Magnetkerne, wie man sie in der Mitte eines Transformators findet … wie Superminiatur-Unterlegscheiben.

Sie wurden entweder im oder gegen den Uhrzeigersinn magnetisiert, was Null oder Eins bedeutete.

Es handelte sich im wahrsten Sinne des Wortes um eine magnetische Speicherung.

Und es hatte die seltsame Eigenschaft, Douglas, dass Ferrit im Wesentlichen einen Permanentmagneten bildet …

…Sie können es ummagnetisieren, aber wenn Sie den Strom ausschalten, bleibt es magnetisiert.

Es war also nichtflüchtig!

Wenn Sie einen Stromausfall hatten, können Sie den Computer grundsätzlich neu starten und dort weitermachen, wo Sie aufgehört haben.

Erstaunlich!

DOUG.  Hervorragend, ja... das ist wirklich cool.

ENTE.  Offenbar bestand der ursprüngliche Plan des MIT darin, für die Idee eine Lizenzgebühr von 0.02 US-Dollar pro Bit zu erheben.

Können Sie sich vorstellen, wie teuer das beispielsweise einen 64-Gigabyte-iPhone-Speicher machen würde?

Es würde in Milliardenhöhe gehen! [LACHT]

DOUG.  Unreal.

Nun ja, eine interessante Geschichte, aber lassen Sie uns sie auf die heutige Zeit übertragen.

Vor nicht allzu langer Zeit … Microsoft Patch Tuesday.

Keine Zero-Days, aber trotzdem jede Menge Korrekturen,Paul:

Patch Tuesday behebt vier kritische RCE-Fehler und eine Reihe von Office-Lücken

ENTE.  Nun, diesen Monat gibt es keine Zero-Days, wenn Sie die Lücke bei der Ausführung von Remote-Code in Edge außer Acht lassen, über die wir letzte Woche gesprochen haben.

DOUG.  Hmmmmmm.

ENTE.  Technisch gesehen ist das nicht Teil des Patch-Dienstags …

…aber es gab insgesamt 26 RCE-Fehler (Remote Code Execution) und 17 EoP-Fehler (Elevation of Privilege).

Da sind die Gauner bereits im Spiel, können aber noch nicht viel tun, also nutzen sie dann den EoP-Bug, um Superkräfte in Ihr Netzwerk einzuschleusen und noch viel heimtückischere Dinge zu tun.

Vier dieser Fehler bei der Remotecodeausführung wurden von Microsoft als „kritisch“ eingestuft. Wenn Sie also zu den Leuten gehören, die ihre Patches immer noch gerne in einer bestimmten Reihenfolge durchführen, empfehlen wir Ihnen, mit diesen zu beginnen.

Die gute Nachricht zu den vier kritischen Patches ist, dass sich drei davon auf dieselbe Windows-Komponente beziehen.

Soweit ich das beurteilen kann, handelte es sich um eine Reihe verwandter Fehler, die vermutlich bei einer Codeüberprüfung dieser Komponente gefunden wurden.

Dies bezieht sich auf den Windows Messaging-Dienst, falls Sie diesen in Ihrem Netzwerk verwenden.

DOUG.  Und uns allen wurde gemeinsam für unsere Geduld im Zusammenhang mit dem SketchUp-Debakel gedankt, von dessen Existenz ich bisher nichts wusste.

ENTE.  Wie Sie, Doug, habe ich noch nie dieses Programm namens SketchUp verwendet, bei dem es sich meiner Meinung nach um ein 3D-Grafikprogramm eines Drittanbieters handelt.

Wer hätte gedacht, dass es wirklich großartig wäre, SketchUp-3D-Bilder in Ihre Word-, Excel- und PowerPoint-Dokumente einfügen zu können?

Wie Sie sich vorstellen können, mit einem brandneuen Dateiformat zum Analysieren, Interpretieren, Verarbeiten und Rendern in Office ...

…Microsoft hat einen Fehler eingeführt, der als CVE-2023-33146 behoben wurde.

Aber die verborgene Geschichte hinter der Geschichte ist, wenn Sie so wollen, dass Microsoft am 01. Juni 2023 Folgendes bekannt gab:

Die Möglichkeit, SketchUp-Grafiken einzufügen, wurde in Word, Excel, PowerPoint und Outlook für Windows und Mac vorübergehend deaktiviert.

Wir bedanken uns für Ihre Geduld, während wir daran arbeiten, die Sicherheit und Funktionalität dieser Funktion zu gewährleisten.

Ich bin froh, dass Microsoft meine Geduld zu schätzen weiß, aber ich wünschte vielleicht, dass Microsoft selbst etwas geduldiger gewesen wäre, bevor es diese Funktion überhaupt in Office eingeführt hätte.

Ich wünschte, sie hätten es dort hineingelegt, *nachdem* es sicher war, anstatt es hineinzulegen, um zu sehen, ob es sicher war, und dann, wie Sie sagen (Überraschung! Überraschung!), herauszufinden, dass dies nicht der Fall war.

DOUG.  Groß.

Bleiben wir beim Thema Geduld.

Ich sagte, wir würden „ein Auge darauf behalten“, und ich hoffte, dass wir das nicht im Auge behalten müssten.

Aber wir müssen ein wenig alliterieren, wie Sie es in der Überschrift getan haben.

Weitere MOVEit-Abhilfemaßnahmen: Neue Patches für weiteren Schutz veröffentlicht, Paulus.

Weitere MOVEit-Abhilfemaßnahmen: Neue Patches für weiteren Schutz veröffentlicht

ENTE.  Es ist wieder das gute alte MOVEit-Problem: das SQL-Injection-Fehler.

Das heißt, wenn Sie das MOVEit Transfer-Programm verwenden und es nicht gepatcht haben, können Betrüger, die auf das webbasierte Frontend zugreifen können, Ihren Server dazu verleiten, böse Dinge zu tun …

…bis hin zur Einbettung einer Webshell, die es ihnen ermöglicht, später hineinzuschnuppern und zu tun, was sie wollen.

Wie Sie wissen, wurde ein CVE herausgegeben, und Progress Software, der Hersteller von MOVEit, hat einen Patch veröffentlicht, um den bekannten Exploit zu beheben.

Sie haben jetzt einen weiteren Patch herausgebracht, um ähnliche Fehler zu beheben, die die Gauner ihres Wissens noch nicht gefunden haben (aber wenn sie genau hinschauten, könnten sie es vielleicht tun).

Und so seltsam das auch klingen mag: Wenn Sie feststellen, dass ein bestimmter Teil Ihrer Software einen Fehler einer bestimmten Art aufweist, sollten Sie sich nicht wundern, wenn Sie genauer hinschauen …

…Sie stellen fest, dass der Programmierer (oder das Programmierteam, das zu dem Zeitpunkt, als der Ihnen bereits bekannte Fehler auftrat, daran gearbeitet hat) ungefähr zur gleichen Zeit ähnliche Fehler begangen hat.

In diesem Fall möchte ich sagen, dass Progress Software versucht hat, proaktiv damit umzugehen.

Progress Software hat gerade gesagt: „Alle Move It-Kunden müssen den neuen Patch anwenden, der am 09. Juni 2023 veröffentlicht wurde.

DOUG.  OK, ich schätze, wir werden das im Auge behalten!

Paul, hilf mir hier raus.

Ich bin im Jahr 2023 und lese in einem Schlagzeile „Nackte Sicherheit“. etwas über „Mt. Gox.“

Was passiert mit mir?

Geschichte neu aufgelegt: US-Justizministerium hebt Anklage wegen Cyberkriminalität gegen Mt. Gox auf

ENTE.  Mt. Gox!

„Magic The Gathering Online Exchange“, Doug, wie es war…

DOUG.  [LACHT] Natürlich!

ENTE.  …wo man Magic The Gathering-Karten tauschen kann.

Diese Domain wurde verkauft, und diejenigen mit langer Erinnerung werden wissen, dass sie sich zur beliebtesten und bei weitem größten Bitcoin-Börse der Welt entwickelt hat.

Es wurde von einem französischen Expatriate, Mark Karpelès, aus Japan geleitet.

Anscheinend lief alles gut, bis es 2014 in einer Wolke aus Kryptowährungsstaub implodierte, als ihnen klar wurde, dass grob gesagt alle ihre Bitcoins verschwunden waren.

DOUG.  [LACHT] Ich sollte nicht lachen!

ENTE.  647,000 davon oder so.

Und schon damals waren sie etwa 800 US-Dollar pro Stück wert, das war also ein „Puff“ im Wert von einer halben Milliarde US-Dollar.

Interessanterweise zeigten damals viele mit dem Finger auf das Mt. Gox-Team selbst und sagten: „Oh, das muss ein Insider-Job sein.“

Und tatsächlich veröffentlichte eine japanische Zeitung namens Yomiuri Shimbun am Neujahrstag, glaube ich, im Jahr 2015 tatsächlich einen Artikel, in dem es hieß: „Wir haben das untersucht, und 1 % der Verluste können durch die Ausrede erklärt werden, die sie haben.“ habe mir etwas ausgedacht; Im Übrigen geben wir zu Protokoll, dass es sich um einen Insider-Job handelte.“

Nun, der von ihnen veröffentlichte Artikel, der viel Aufsehen erregte, weil es sich um eine ziemlich dramatische Anschuldigung handelte, gibt heute beim Aufrufen einen 404-Fehler [HTTP-Seite nicht gefunden] aus.

DOUG.  Sehr interessant!

ENTE.  Daher glaube ich nicht, dass sie noch dazu stehen.

Und tatsächlich hat das US-Justizministerium (DOJ) all diese Jahre später endlich zwei russische Staatsangehörige angeklagt, im Grunde genommen alle Bitcoins gestohlen zu haben.

Es hört sich also so an, als hätte Mark Karpelès mit freundlicher Genehmigung des US-Justizministeriums zumindest eine teilweise Entlastung erhalten, weil diese beiden Russen vor all den Jahren ganz eindeutig für dieses Verbrechen verantwortlich gemacht wurden.

DOUG.  Es ist eine faszinierende Lektüre.

Schauen Sie es sich also bei Naked Security an.

Alles, was Sie tun müssen, ist nach „Mt. Gox“.

Bleiben wir beim Thema Cyberkriminalität, denn einer der Haupttäter hinter der Gozi-Banking-Malware ist landete im Gefängnis Nach zehn langen Jahren, Paul:

Gozi-Banking-Malware-„IT-Chef“ endlich nach mehr als 10 Jahren inhaftiert

ENTE.  Ja… es war ein bisschen so, als würde man auf den Bus warten.

Zwei erstaunliche „Wow, das ist schon vor zehn Jahren passiert, aber am Ende kriegen wir ihn“-Geschichten trafen auf einmal ein. [LACHEN]

Und ich dachte, es wäre wichtig, dies noch einmal zu schreiben, nur um zu sagen: „Dies ist das Justizministerium; Sie haben ihn nicht vergessen.“

Eigentlich. Er wurde in Kolumbien festgenommen.

Ich glaube, er hat uns besucht, und er war am Flughafen Bogotá, und ich schätze, die Grenzbeamten dachten: „Oh, dieser Name steht auf einer Beobachtungsliste“!

Und so dachten die kolumbianischen Beamten offenbar: „Kontaktieren wir den diplomatischen Dienst der USA.“

Sie sagten: „Hey, wir halten hier einen Kerl mit Namen fest (ich werde seinen Namen nicht erwähnen – er steht im Artikel). Früher haben Sie sich für ihn interessiert, weil er mit sehr schweren Malware-Verbrechen im Wert von mehreren Millionen Dollar zu tun hat.“ . Bist du zufällig immer noch interessiert?“

Und was für eine Überraschung, Doug, die USA waren tatsächlich sehr interessiert.

Also wurde er ausgeliefert, vor Gericht gestellt, bekannte sich schuldig und wurde nun verurteilt.

Ihm drohen nur drei Jahre Gefängnis, was wie eine leichte Strafe erscheinen mag, und er muss mehr als 3,000,000 Dollar zurückzahlen.

Ich weiß nicht, was passiert, wenn er es nicht tut, aber ich denke, es ist nur eine Erinnerung daran, dass er wegläuft und sich vor Malware-Kriminalität versteckt …

… nun, wenn gegen Sie Anklage erhoben wird und die USA nach Ihnen suchen, sagen sie nicht einfach: „Ah, es sind zehn Jahre, wir können es genauso gut lassen.“

Und die Kriminalität dieses Kerls bestand darin, das zu betreiben, was im Fachjargon als „kugelsichere Gastgeber“ bekannt ist, Doug.

Das ist im Grunde genommen eine Art ISP, aber im Gegensatz zu einem normalen ISP geben Sie sich alle Mühe, ein bewegliches Ziel für Strafverfolgungsbehörden, Sperrlisten und Deaktivierungsmitteilungen von regulären ISPs zu sein.

Sie bieten also Dienste an, lassen diese aber, wenn Sie so wollen, im Internet herumlaufen und bewegen, sodass Betrüger Ihnen eine Gebühr zahlen und sie wissen, dass die Domains, die Sie für sie hosten, einfach weiterbestehen arbeiten, auch wenn die Strafverfolgungsbehörden hinter Ihnen her sind.

DOUG.  Alles klar, wieder tolle Neuigkeiten.

Paul, du hast dich, während wir unsere Geschichten für diesen Tag abrunden, mit einer sehr schwierigen, nuancierten Situation auseinandergesetzt wichtige Frage über Passwörter.

Sollten wir sie nämlich ständig wechseln, vielleicht einmal im Monat?

Oder sich zunächst auf wirklich komplexe Dinge einlassen und sie dann gut genug in Ruhe lassen?

Gedanken zu geplanten Passwortänderungen (nennen Sie sie nicht Rotationen!)

ENTE.  Obwohl es wie eine alte Geschichte klingt und wir sie tatsächlich schon oft besucht haben, habe ich sie aufgeschrieben, weil mich ein Leser kontaktiert hat, um nach genau dieser Sache zu fragen.

Er sagte: „Ich möchte nicht für 2FA spielen; Ich möchte nicht auf Passwort-Manager eingehen. Das sind getrennte Themen. Ich möchte nur wissen, wie ich, wenn Sie so wollen, den Revierkampf zwischen zwei Fraktionen in meinem Unternehmen beilegen kann, bei dem einige Leute sagen, wir müssen Passwörter richtig machen, und andere nur sagen: „Das Boot ist gesegelt, es ist zu schwer, Wir werden die Leute einfach dazu zwingen, sie zu ändern, und das wird genügen.‘“

Deshalb dachte ich, dass es sich tatsächlich lohnt, darüber zu schreiben.

Gemessen an der Anzahl der Kommentare auf Naked Security und in den sozialen Medien ringen viele IT-Teams immer noch mit diesem Problem.

Wenn man die Leute nur dazu zwingt, ihre Passwörter alle 30 oder 60 Tage zu ändern, spielt es dann wirklich eine Rolle, ob sie eines wählen, das sich hervorragend knacken lässt, wenn ihr Hash gestohlen wird?

Solange sie sich nicht entscheiden password or secret oder einer der Top-Ten-Katzennamen der Welt, ist es vielleicht in Ordnung, wenn wir sie zwingen, ihn in ein anderes, nicht sehr gutes Passwort zu ändern, bevor die Gauner es knacken können?

Vielleicht ist das gerade gut genug?

Aber ich habe drei Gründe, warum man eine schlechte Angewohnheit nicht dadurch beseitigen kann, dass man einfach einer anderen schlechten Angewohnheit folgt.

DOUG.  Der erste aus dem Tor: Das regelmäßige Ändern von Passwörtern ist keine Alternative zur Auswahl und Verwendung sicherer Passwörter. Paul.

ENTE.  Nein!

Sie könnten sich dafür entscheiden, beides zu tun (und ich werde Ihnen gleich zwei Gründe nennen, warum ich denke, dass es eine Reihe weiterer Probleme mit sich bringt, Menschen zu zwingen, sie regelmäßig zu ändern).

Aber die einfache Beobachtung ist, dass das regelmäßige Ändern eines schlechten Passworts es nicht zu einem besseren Passwort macht.

Wenn Sie ein besseres Passwort wünschen, wählen Sie zunächst ein besseres Passwort!

DOUG.  Und du sagst: Menschen dazu zu zwingen, ihre Passwörter regelmäßig zu ändern, kann dazu führen, dass sie sich schlechte Gewohnheiten aneignen.

ENTE.  Den Kommentaren nach zu urteilen, ist dies genau das Problem, das viele IT-Teams haben.

Wenn Sie den Leuten sagen: „Hey, Sie müssen Ihr Passwort alle 30 Tage ändern, und wählen Sie am besten ein gutes aus“, werden sie nur …

…sie werden ein gutes auswählen.

Sie werden eine Woche damit verbringen, es für den Rest ihres Lebens in Erinnerung zu behalten.

Und dann werden sie jeden Monat hinzugefügt -01, -02, Und so weiter.

Wenn die Betrüger also eines der Passwörter knacken oder kompromittieren und ein solches Muster erkennen, können sie ziemlich genau herausfinden, wie Ihr heutiges Passwort lautet, wenn sie Ihr Passwort von vor sechs Monaten kennen.

Das Erzwingen von Änderungen, wenn diese nicht notwendig sind, kann also dazu führen, dass Menschen Abkürzungen in der Cybersicherheit nehmen, die Sie nicht möchten.

DOUG.  Und das ist interessant.

Darüber haben wir schon einmal gesprochen, aber es ist etwas, woran einige Leute vielleicht noch nicht gedacht haben: Das Planen von Passwortänderungen kann die Notfallreaktion verzögern.

Was meinst du damit?

ENTE.  Der Punkt ist, dass Sie einen formalisierten, festen Zeitplan für Passwortänderungen haben, sodass jeder weiß, dass er am letzten Tag dieses Monats ohnehin gezwungen sein wird, sein Passwort zu ändern …

… und dann denken sie: „Weißt du was? Es ist der 12. des Monats und ich bin auf eine Website gegangen, bei der ich mir nicht sicher bin, ob es sich dabei um eine Phishing-Website handeln könnte. Nun, ich werde mein Passwort sowieso in zwei Wochen ändern, also werde ich es jetzt nicht ändern.“

Wenn Sie also Ihre Passwörter *regelmäßig* ändern, können Sie sich angewöhnen, dass Sie Ihr Passwort manchmal, wenn es wirklich, wirklich wichtig ist, nicht *häufig* genug ändern.

Wenn Sie der Meinung sind, dass es einen guten Grund gibt, Ihr Passwort zu ändern, TUN SIE ES JETZT!

DOUG.  Ich liebe es!

Okay, lassen Sie uns von einem unserer Leser etwas zum Thema Passwort hören.

Naked-Security-Leser Philip schreibt unter anderem:

Wenn Sie Ihre Passwörter häufig ändern, um nicht kompromittiert zu werden, ist das so, als würden Sie denken, dass Sie allen Regentropfen ausweichen können, wenn Sie schnell genug laufen.

Okay, Sie werden den Regentropfen ausweichen, die hinter Ihnen fallen, aber dort, wo Sie hingehen, werden es genauso viele sein.

Und da viele Menschen gezwungen sind, ihre Passwörter regelmäßig zu ändern, hängen sie einfach eine Zahl an, die sie nach Bedarf erhöhen können.

Wie du schon sagtest, Paul!

ENTE.  Dein und meiner Freund, sagte Chester [Wisniewski] vor ein paar Jahren, als wir darüber sprachen Passwort-Mythen„Alles, was sie tun müssen [LACHT], um herauszufinden, wie die Zahl am Ende lautet, ist, auf Ihre LinkedIn-Seite zu gehen. „Habe im August 2017 bei diesem Unternehmen angefangen“… zählen Sie die Monate seitdem.“

Das ist die Zahl, die Sie am Ende benötigen.

Sophos Techknow – Entlarvung von Passwort-Mythen

DOUG.  Exakt! [LACHEN]

ENTE.  Und das Problem besteht darin, dass, wenn man versucht, einen Zeitplan zu erstellen oder einen Algorithmus zu erstellen … ist das ein Wort?

(Das sollte wahrscheinlich nicht sein, aber ich werde es trotzdem verwenden.)

Wenn Sie versuchen, die Idee von Zufälligkeit, Entropie und Unvorhersehbarkeit in einen superstrikten Algorithmus einzubinden, wie zum Beispiel den Algorithmus, der beschreibt, wie die Zeichen und Zahlen auf Fahrzeuganhängern angeordnet sind …

…dann haben Sie am Ende *weniger* Zufälligkeit, nicht *mehr*, und dessen müssen Sie sich bewusst sein.

Menschen zu etwas zu zwingen, das dazu führt, dass sie in ein Muster verfallen, bedeutet, wie Chester damals sagte, einfach, ihnen eine schlechte Angewohnheit anzueignen.

Und ich liebe diese Art, es auszudrücken.

DOUG.  Okay, vielen Dank für die Einsendung, Philip.

Und wenn Sie eine interessante Geschichte, einen Kommentar oder eine Frage einreichen möchten, würden wir diese gerne im Podcast lesen.

Sie können eine E-Mail an Tips@sophos.com senden, einen unserer Artikel kommentieren oder uns in den sozialen Netzwerken kontaktieren: @nakedsecurity.

Das ist unsere Show für heute.

Vielen Dank fürs Zuhören.

Für Paul Ducklin bin ich Doug Aamoth und erinnere Sie bis zum nächsten Mal daran, …

BEIDE.  Bleib sicher!

[MUSIKMODEM]

Zeitstempel:

Mehr von Nackte Sicherheit