S3 Ep143: Supercookie-Überwachungs-Spielereien

S3 Ep143: Supercookie-Überwachungs-Spielereien

Zeitstempel: 13. Juli 2023, 12:48 Uhr
S3 Ep143: Supercookie-Überwachungs-Spielereien mit PlatoBlockchain Data Intelligence. Vertikale Suche. Ai.
by Paul Ducklin

SINGEN SIE EIN LIED VON SUPERCOOKIES

Erinnerung an den Rechenschieber. Was du wissen müssen, über Patch Tuesday. Superkeks Überwachungs-Spielereien. Wenn Bugs kommen paarweise an. Apple ist schnell Flicken Das brauchte eine schnelle Flicken. User-Agent gilt als schädlich.

Kein Audioplayer unten? Hören Direkt auf Soundcloud.

Mit Doug Aamoth und Paul Ducklin. Intro- und Outro-Musik von Edith Mudge.

Ihr könnt uns auf hören Soundcloud, Apple Podcasts, Google Podcasts, Spotify und überall, wo gute Podcasts zu finden sind. Oder lass es einfach fallen URL unseres RSS-Feeds in Ihren Lieblings-Podcatcher.

LESEN SIE DAS TRANSKRIPT

DOUG.  Ein Notfall-Apple-Patch, Gaslighting-Computer und WARUM KANN ICH WINDOWS 7 NICHT WEITER VERWENDEN?

All das und mehr im Naked Security-Podcast.

[MUSIKMODEM]

Willkommen zum Podcast, alle zusammen.

Ich bin Doug Aamoth; er ist Paul Ducklin.

Paul, wie geht es dir?

ENTE.  Nun, ich bin ein bisschen erschrocken, Doug.

Sie haben die Notwendigkeit, weiterhin Windows 7 zu verwenden, sehr deutlich zum Ausdruck gebracht!

DOUG.  Nun ja, wie viele Leute bin ich darüber wütend (Witz!), und darüber reden wir gleich.

Aber zuerst ein sehr wichtiges Diese Woche in der Technologiegeschichte Segment.

Der 11. Juli 1976 markierte den letzten Atemzug für ein einst weit verbreitetes mathematisches Berechnungswerkzeug.

Ich beziehe mich natürlich auf den Rechenschieber.

Das letzte produzierte US-Modell, ein Keuffel & Esser 4081-3, wurde der Smithsonian Institution übergeben und markierte damit das Ende einer mathematischen Ära …

…eine Ära, die durch Computer und Taschenrechner wie Pauls Lieblingsrechner, den HP-35, überholt wurde.

Also, Paul, ich glaube, Sie haben Blut an Ihren Händen, Sir.

ENTE.  Ich habe nie einen HP-35 besessen.

Erstens war ich viel zu jung und zweitens kostete das Stück 395 Dollar, als sie hereinkamen.

DOUG.  [LACHT] Wow!

ENTE.  Es dauerte also noch ein paar Jahre, bis die Preise abstürzten, als Moores Gesetz zum Tragen kam.

Und dann wollten die Leute keine Rechenschieber mehr verwenden.

Mein Vater hat mir sein altes geschenkt, und ich habe das Ding sehr geschätzt, weil es großartig war …

…und ich sage Ihnen, was Sie mit einem Rechenschieber lernen, denn wenn Sie ihn zur Multiplikation verwenden, wandeln Sie im Grunde die beiden Zahlen, die Sie multiplizieren möchten, in Zahlen zwischen 1 und 10 um und multiplizieren sie dann miteinander.

Und dann müssen Sie herausfinden, wo der Dezimalpunkt hinkommt.

Wenn Sie eine Zahl durch 100 dividieren und die andere mit 1000 multiplizieren, um sie in den Bereich zu bringen, müssen Sie am Ende insgesamt eine Null hinzufügen, um mit 10 zu multiplizieren.

Es war also eine fantastische Möglichkeit, sich selbst beizubringen, ob die Antworten, die Sie mit Ihrem elektronischen Taschenrechner erhalten haben, in den Sie lange Zahlen wie 7,000,000,000 eingegeben haben …

…ob Sie tatsächlich die Größenordnung, den Exponenten, richtig verstanden haben.

Rechenschieber und ihr gedrucktes Äquivalent, Protokolltabellen, haben Ihnen viel darüber beigebracht, wie Sie Größenordnungen im Kopf verwalten und nicht so leicht falsche Ergebnisse akzeptieren.

DOUG.  Ich habe noch nie eines verwendet, aber nach dem, was Sie gerade beschrieben haben, klingt es sehr aufregend.

Lasst uns die Aufregung aufrechterhalten.

Letzte Woche, Firefox freigegeben Version 115:

Firefox 115 ist draußen und verabschiedet sich von Benutzern älterer Windows- und Mac-Versionen

Sie enthielten eine Notiz, die ich gerne lesen würde, und ich zitiere:

Im Januar 2023 hat Microsoft den Support für Windows 7 und Windows 8 eingestellt.

Daher ist dies die letzte Version von Firefox, die Benutzer dieser Betriebssysteme erhalten.

Und ich habe das Gefühl, dass jedes Mal, wenn eine dieser Notizen an eine endgültige Version angehängt wird, die Leute fragen: „Warum kann ich Windows 7 nicht weiterhin verwenden?“

Wir hatten sogar einen Kommentator, der sagte, dass Windows XP völlig in Ordnung sei.

Was würden Sie also diesen Leuten sagen, Paul, die nicht von den Betriebssystemversionen abweichen wollen, die sie lieben?

ENTE.  Der beste Weg für mich, es auszudrücken, Doug, ist, noch einmal zu lesen, was meiner Meinung nach die besser informierten Kommentatoren zu unserem Artikel gesagt haben.

Alex Fair schreibt:

Es geht nicht nur darum, was *Sie* wollen, sondern auch darum, wie Sie missbraucht und ausgebeutet werden und dadurch anderen schaden könnten.

Und Paul Roux sagte eher satirisch:

Warum verwenden die Leute immer noch Windows 7 oder XP?

Wenn der Grund darin liegt, dass neuere Betriebssysteme schlecht sind, warum nicht Windows 2000 verwenden?

Verdammt, NT 4 war so großartig, dass es SECHS Service Packs erhielt!

DOUG.  [LACHT] 2000 *war* allerdings großartig.

ENTE.  Es geht nicht nur um dich.

Es geht um die Tatsache, dass Ihr System Fehler enthält, die Betrüger bereits auszunutzen wissen und die niemals gepatcht werden.

Die Antwort ist also, dass man manchmal einfach loslassen muss, Doug.

DOUG.  „Es ist besser, geliebt und verloren zu haben, als nie geliebt zu haben“, heißt es.

Bleiben wir beim Thema Microsoft.

Patch Tuesday, Paul, gibt großzügig.

Microsoft patcht vier Zero-Days und geht endlich gegen Crimeware-Kernel-Treiber vor

ENTE.  Ja, die übliche große Anzahl an Fehlern wurde behoben.

Die große Neuigkeit dabei: die Dinge, die Sie sich merken müssen (und es gibt zwei Artikel, die Sie lesen können). go und konsultieren auf news.sophos.com, wenn Sie die blutigen Details erfahren möchten)….

Ein Problem besteht darin, dass sich vier dieser Bugs in der Wildnis befinden, Zero-Day-Lücken, die bereits ausgenutzt werden.

Bei zwei davon handelt es sich um Sicherheitsumgehungen, und so trivial das auch klingen mag, sie beziehen sich offenbar auf das Klicken auf URLs oder das Öffnen von Inhalten in E-Mails, bei denen Sie normalerweise eine Warnung erhalten würden: „Sind Sie wirklich sicher, dass Sie das tun möchten?“

Das könnte sonst so manchen Menschen davon abhalten, einen ungewollten Fehler zu begehen.

Außerdem wurden zwei EoP-Lücken (Elevation-of-Privilege) behoben.

Und obwohl Elevation of Privilege in der Regel als geringer angesehen wird als Remote Code Execution, bei der Kriminelle den Fehler überhaupt nutzen, um einzubrechen, hat das Problem mit EoP mit Kriminellen zu tun, die bereits „mit Absicht“ in Ihrem Netzwerk herumlungern .

Es ist, als könnten sie sich von einem Gast in einer Hotellobby zu einem äußerst geheimnisvollen, stillen Einbrecher entwickeln, der plötzlich und auf magische Weise Zugang zu allen Zimmern des Hotels hat.

Es lohnt sich also auf jeden Fall, darauf zu achten.

Und es gibt einen speziellen Microsoft-Sicherheitshinweis…

… nun ja, davon gibt es mehrere; Derjenige, auf den ich Ihre Aufmerksamkeit lenken möchte, ist ADV23001, was im Wesentlichen bedeutet, dass Microsoft sagt: „Hey, erinnern Sie sich, als Sophos-Forscher uns berichteten, dass sie eine ganze Menge Rootkittery mit signierten Kernel-Treibern gefunden hatten, die selbst modernes Windows einfach nicht finden würde.“ Ladung, weil sie für den Einsatz zugelassen sind?“

Ich glaube, am Ende waren es weit über 100 solcher unterschriebenen Fahrer.

Die tolle Neuigkeit in diesem Hinweis ist, dass Microsoft all diese Monate später endlich gesagt hat: „Okay, wir werden das Laden dieser Treiber stoppen und beginnen, sie automatisch zu blockieren.“

[IRONISCH] Was meiner Meinung nach ziemlich groß ist, wenn man bedenkt, dass zumindest einige dieser Treiber tatsächlich von Microsoft selbst signiert wurden, als Teil ihres Hardware-Qualitätsprogramms. [LACHT]

Wenn Sie, wie gesagt, die Geschichte hinter der Geschichte finden möchten, gehen Sie einfach zu news.sophos.com und suchen Sie nach „Treiber".

Microsoft widerruft bösartige Treiber im Patch Tuesday Culling

DOUG.  Excellent.

Okay, die nächste Geschichte ... Diese Überschrift fasziniert mich aus so vielen Gründen: Rowhammer kehrt zurück, um Ihren Computer mit Gas anzuzünden.

Ernsthafte Sicherheit: Rowhammer kehrt zurück, um Ihren Computer mit Gas zu beleuchten

Paul, erzähl mir von ...

[Zur Melodie von Peter Gabriels „Vorschlaghammer“] Erzähl mir von…

BEIDE.  [SINGT] Rowhammer!

DOUG.  [LACHT] Hat es geschafft!

ENTE.  Mach weiter, jetzt musst du das Riff machen.

DOUG.  [Synthesiert einen Synthesizer] Doodly-doo da doo, doo do doo.

ENTE.  [BEEINDRUCKT] Sehr gut, Doug!

DOUG.  Danke.

ENTE.  Wer sich nicht aus der Vergangenheit daran erinnert: „Rowhammer“ ist der umgangssprachliche Name, der uns daran erinnert, dass die Kondensatoren, in denen Speicherbits (Einsen und Nullen) in modernen DRAMs oder dynamischen Direktzugriffsspeicherchips gespeichert sind, so nah beieinander liegen zusammen…

Wenn Sie auf einen von ihnen schreiben (tatsächlich müssen Sie die Kondensatoren zeilenweise lesen und schreiben, daher „Rowhammer“), haben Sie die Kondensatoren entladen, weil Sie die Zeile gelesen haben.

Selbst wenn Sie sich nur den Speicher angesehen haben, müssen Sie die alten Inhalte zurückschreiben, sonst sind sie für immer verloren.

Wenn Sie das tun, besteht eine geringe Chance, dass die Kondensatoren in einer oder beiden benachbarten Reihen ihren Wert umkehren, weil diese Kondensatoren so klein und so nah beieinander sind.

Jetzt heißt es DRAM, weil es seine Ladung nicht auf unbestimmte Zeit behält, wie statisches RAM oder Flash-Speicher (bei Flash-Speicher können Sie sogar den Strom ausschalten und es merkt sich, was da war).

Aber bei DRAM sind nach etwa einer Zehntelsekunde im Grunde die Ladungen in all diesen kleinen Kondensatoren verschwunden.

Daher müssen sie ständig neu geschrieben werden.

Und wenn Sie superschnell umschreiben, können Sie tatsächlich Bits im nahegelegenen Speicher umdrehen.

Historisch gesehen war dies ein Problem, weil Sie, wenn Sie mit der Speicherausrichtung experimentieren können, auch wenn Sie nicht vorhersagen können, welche Bits umgedreht werden, *möglicherweise* in der Lage sind, mit Dingen wie Speicherindizes, Seitentabellen usw. herumzuspielen. oder Daten innerhalb des Kernels.

Auch wenn Sie nur aus dem Speicher lesen, weil Sie außerhalb des Kernels unprivilegierten Zugriff auf diesen Speicher haben.

Und das ist es, worauf sich Rowhammer-Angriffe bisher eher konzentrierten.

Nun haben diese Forscher von der University of California in Davis herausgefunden: „Nun, ich frage mich, ob die Bit-Flip-Muster, so pseudozufällig sie auch sind, für verschiedene Chipanbieter konsistent sind?“

Was klingt irgendwie nach einem „Supercookie“, nicht wahr?

Etwas, das Ihren Computer beim nächsten Mal identifiziert.

Und tatsächlich gingen die Forscher sogar noch weiter und stellten fest, dass einzelne Chips … oder Speichermodule (in der Regel sind darauf mehrere DRAM-Chips), DIMMs, Double-Inline-Speichermodule, die Sie beispielsweise in die Steckplätze Ihres Desktop-Computers einstecken können, und in einigen Laptops.

Sie fanden heraus, dass die Bit-Flip-Muster tatsächlich in eine Art Iris-Scan oder etwas Ähnliches umgewandelt werden konnten, sodass sie die DIMMs später erkennen konnten, indem sie den Rowhammering-Angriff erneut durchführten.

Mit anderen Worten: Sie können Ihre Browser-Cookies löschen, Sie können die Liste der von Ihnen installierten Anwendungen ändern, Sie können Ihren Benutzernamen ändern, Sie können ein brandneues Betriebssystem neu installieren, aber die Speicherchips geben Ihnen theoretisch alles zurück weg.

Und in diesem Fall ist die Idee: Supercookies.

Sehr interessant und eine Lektüre wert.

DOUG.  Es ist cool!

Noch etwas zum Schreiben von Nachrichten, Paul: Du bist ein guter Nachrichtenschreiber und die Idee besteht darin, den Leser sofort in den Bann zu ziehen.

Im ersten Satz dieses nächsten Artikels sagen Sie also: „Auch wenn Sie noch nie von dem ehrwürdigen Ghostscript-Projekt gehört haben, haben Sie es möglicherweise ohne es zu wissen genutzt.“

Ich bin neugierig, denn die Überschrift lautet: Der Ghostscript-Fehler könnte dazu führen, dass betrügerische Dokumente Systembefehle ausführen.

Der Ghostscript-Fehler könnte dazu führen, dass betrügerische Dokumente Systembefehle ausführen

Erzähl mir mehr!

ENTE.  Nun, Ghostscript ist eine kostenlose und Open-Source-Implementierung der PostScript- und PDF-Sprachen von Adobe.

(Wenn Sie noch nie von PostScript gehört haben: PDF ist sozusagen „PostScript Next Generation“.)

Auf diese Weise wird beschrieben, wie eine gedruckte Seite oder eine Seite auf einem Computerbildschirm erstellt wird, ohne dem Gerät mitzuteilen, welche Pixel aktiviert werden sollen.

Sie sagen also: „Zeichnen Sie hier ein Quadrat; Zeichne hier ein Dreieck; Benutze diese schöne Schriftart.“

Es handelt sich um eine eigenständige Programmiersprache, die Ihnen eine geräteunabhängige Steuerung von Dingen wie Druckern und Bildschirmen ermöglicht.

Und Ghostscript ist, wie gesagt, ein kostenloses Open-Source-Tool, das genau das ermöglicht.

Und es gibt zahlreiche andere Open-Source-Produkte, die genau dieses Tool verwenden, um Dinge wie EPS-Dateien (Encapsulated PostScript), wie Sie sie beispielsweise von einer Designfirma erhalten, zu importieren.

Es kann also sein, dass Sie Ghostscript haben, ohne es zu merken – das ist das Hauptproblem.

Und das war ein kleiner, aber wirklich ärgerlicher Fehler.

Es stellt sich heraus, dass ein betrügerisches Dokument Dinge sagen kann wie: „Ich möchte eine Ausgabe erstellen und diese in einen Dateinamen XYZ einfügen.“

Aber wenn Sie am Anfang des Dateinamens Folgendes einfügen: %pipe%, und *dann* der Dateiname…

…dieser Dateiname wird zum Namen eines auszuführenden Befehls, der die Ausgabe von Ghostscript in einer sogenannten „Pipeline“ verarbeitet.

Das hört sich vielleicht nach einer langen Geschichte für einen einzelnen Fehler an, aber der wichtige Teil dieser Geschichte ist, dass nach der Behebung dieses Problems: „Oh nein! Wir müssen vorsichtig sein, wenn der Dateiname mit den Zeichen beginnt %pipe%, denn das bedeutet tatsächlich, dass es sich um einen Befehl und nicht um einen Dateinamen handelt.“

Das könnte gefährlich sein, da es zur Remote-Codeausführung führen könnte.

Also haben sie diesen Fehler behoben und dann wurde jemandem klar: „Weißt du was, Fehler treten oft paarweise oder in Gruppen auf.“

Entweder liegen ähnliche Codierungsfehler an anderer Stelle im selben Code vor, oder es gibt mehr als eine Möglichkeit, den ursprünglichen Fehler auszulösen.

Und da wurde jemandem im Ghostscript Script-Team klar: „Wissen Sie was, wir lassen sie auch tippen | [vertikaler Strich, also das „Pipe“-Zeichen] Leerzeichen-Befehlsname, daher müssen wir auch darauf achten.“

Es gab also einen Patch, gefolgt von einem Patch-to-the-Patch.

Und das ist nicht unbedingt ein Zeichen von Schlechtigkeit seitens des Programmierteams.

Es ist tatsächlich ein Zeichen dafür, dass sie nicht nur das Minimum an Arbeit geleistet, es abgemeldet und Sie mit dem anderen Käfer herumquälen und warten lassen, bis er in freier Wildbahn gefunden wurde.

DOUG.  Und damit Sie nicht glauben, dass wir mit dem Reden über Käfer fertig sind, haben wir noch einen Leckerbissen für Sie!

Ein Notfall-Apple-Patch entstanden, und dann nicht aufgetaucht, und dann hat Apple es irgendwie kommentiert, was bedeutet, dass oben unten und links rechts ist, Paul.

Dringend! Apple behebt kritische Zero-Day-Lücke in iPhones, iPads und Macs

ENTE.  Ja, es ist eine Art Irrtumskomödie.

Fast, aber nicht ganz, tut mir Apple in dieser Hinsicht leid …

…aber weil sie darauf bestehen, so wenig wie möglich zu sagen (wenn sie überhaupt nichts sagen), ist es immer noch nicht ganz klar, wessen Schuld es ist.

Aber die Geschichte geht so: „Oh nein! Es gibt einen 0-Day in Safari, in WebKit (der Browser-Engine, die in jedem einzelnen Browser auf Ihrem iPhone und in Safari auf Ihrem Mac verwendet wird) und Gauner/Spyware-Anbieter/irgendjemand nutzt dies offenbar für großes Übel.“

Mit anderen Worten: „Look-and-be-pwned“ oder „Drive-by-Install“ oder „Zero-Click-Infektion“ oder wie auch immer Sie es nennen möchten.

Wie Sie wissen, verfügt Apple jetzt über dieses Rapid Security Response-System (zumindest für die neuesten iOS-, iPadOS- und macOS-Versionen), bei dem kein vollständiges System-Upgrade erstellt werden muss, mit einer völlig neuen Versionsnummer, die Sie niemals herunterstufen können von, jedes Mal gibt es einen 0-Tag.

Daher schnelle Sicherheitsreaktionen.

Dies sind die Dinge, die Sie nachträglich entfernen können, wenn sie nicht funktionieren.

Die andere Sache ist, dass sie im Allgemeinen sehr klein sind.

Groß!

Das Problem ist … da diese Updates anscheinend keine neue Versionsnummer erhalten, musste Apple eine Möglichkeit finden, anzuzeigen, dass Sie Rapid Security Response bereits installiert haben.

Was sie also tun, ist, dass Sie Ihre Versionsnummer nehmen, z. B. iOS 16.5.1, und danach ein Leerzeichen hinzufügen und dann (a).

Und auf der Straße heißt es, dass einige Websites (ich werde sie nicht beim Namen nennen, weil das alles Hörensagen ist)…

… als sie das untersuchten User-Agent Zeichenfolge in Safari, die die enthält (a) Nur der Vollständigkeit halber sagte ich: „Whoooooa! Was ist (a) eine Versionsnummer eingeben?“

Einige Benutzer meldeten also einige Probleme, offenbar auch Apple zog das Update.

Apple zieht stillschweigend sein neuestes Zero-Day-Update zurück – was nun?

Und dann, nach einer ganzen Menge Verwirrung und einem weiteren Artikel über Naked Security, und niemand wusste so recht, was los war … [GELACHT]

…Apple hat schließlich HT21387 veröffentlicht, ein Sicherheitsbulletin, das sie erstellt haben, bevor sie den Patch tatsächlich fertig hatten, was sie normalerweise nicht tun.

Aber es war fast schlimmer, als nichts zu sagen, denn sie sagten: „Aufgrund dieses Problems, schnelle Sicherheitsreaktion.“ (b) wird in Kürze verfügbar sein, um dieses Problem zu beheben.“

Und das ist es. [LACHEN]

Sie sagen nicht ganz, worum es geht.

Sie sagen nicht, ob es daran liegt User-Agent Zeichenfolgen, denn wenn ja, liegt das Problem möglicherweise eher bei der Website am anderen Ende als bei Apple selbst?

Aber Apple sagt es nicht.

Wir wissen also nicht, ob es ihre Schuld, die des Webservers oder beides ist.

Und sie sagen einfach „bald“, Doug.

DOUG.  Dies ist ein guter Zeitpunkt, unsere Leserfrage zu stellen.

Zu dieser Apple-Geschichte fragt Leser JP:

Warum müssen Websites Ihren Browser so oft überprüfen?

Es ist zu schnüffelig und verlässt sich auf alte Vorgehensweisen.

Was sagst du dazu, Paul?

ENTE.  Genau diese Frage stellte ich mir selbst und suchte: „Womit sollst du anfangen?“ User-Agent Saiten?“

Es scheint ein beständiges Problem für Websites zu sein, bei denen versucht wird, äußerst clever zu sein.

Also ging ich zu MDN (was früher, glaube ich, war, Mozilla-Entwickler-Netzwerk, aber es ist jetzt eine Community-Site), was eine der besten Ressourcen ist, wenn Sie sich fragen: „Was ist mit HTTP-Headern?“ Was ist mit HTML? Was ist mit JavaScript? Was ist mit CSS? Wie passt das alles zusammen?“

Und ihr Rat lautet ganz einfach: „Bitte alle, hört auf, auf das zu schauen User-Agent Zeichenfolge. Du bastelst nur eine Rute für deinen eigenen Rücken und eine Menge Komplexität für alle anderen.“

Warum schauen sich Websites also an User-Agent?

[WRY] Ich denke, weil sie es können. [LACHEN]

Wenn Sie eine Website erstellen, fragen Sie sich: „Warum gehe ich in dieses Kaninchenloch hinein, in dem ich eine andere Art zu reagieren habe, die auf einer seltsamen Zeichenfolge irgendwo darin basiert?“ User-Agent? "

Versuchen Sie, darüber hinauszudenken, dann wird das Leben für uns alle einfacher.

DOUG.  Okay, sehr philosophisch!

Vielen Dank, JP, für die Einsendung.

Wenn Sie eine interessante Geschichte, einen Kommentar oder eine Frage haben, die Sie einreichen möchten, würden wir sie gerne im Podcast lesen.

Sie können eine E-Mail an Tips@sophos.com senden, einen unserer Artikel kommentieren oder uns in den sozialen Netzwerken kontaktieren: @nakedsecurity.

Das ist unsere Show für heute; vielen dank fürs zuhören.

Für Paul Ducklin bin ich Doug Aamoth und erinnere Sie daran: Bis zum nächsten Mal …

BEIDE.  Bleib sicher!

[MUSIKMODEM]

Zeitstempel:

Mehr von Nackte Sicherheit