S3 Ep139: Kas paroolireeglid on nagu läbi vihma jooksmine?

S3 Ep139: Kas paroolireeglid on nagu läbi vihma jooksmine?

Ajatempel: 15. juuni 2023 kell 12
S3 Ep139: kas paroolireeglid on nagu läbi vihma jooksmine? PlatoBlockchaini andmete luure. Vertikaalne otsing. Ai.
by Paul Ducklin

ÄRGE TUDU HALBA HARJUMU HARJUMUKS

Magnetilise südamiku mälu. Patch teisipäev ja SketchUpi segadusi. Rohkem MOVEiti leevendusi. Goxi mägi tagasi uudistes. Gozi pahavara kurjategija lõpuks vangistati. Kas paroolireeglid on sarnased läbi vihma jooksmas?

Kas allpool pole helipleierit? Kuulake otse Soundcloudis.

Koos Doug Aamothi ja Paul Duckliniga. Intro ja outro muusika autor Edith Mudge.

Saate meid kuulata Soundcloud, Apple Podcastid, Google Podcastid, Spotify, Stitcher ja kõikjal, kus leidub häid taskuhäälingusaateid. Või lihtsalt loobuge Meie RSS-kanali URL oma lemmik taskupüüdjasse.

LUGEGE TRAKTI

DOUG.  Patch Teisipäev, küberkuritegevuse tulek ja lõbus paroolidega.

Kõik see ja palju muud – Naked Security taskuhäälingusaates.

[MUUSIKAMODEEM]

Tere tulemast podcasti, kõik.

Mina olen Doug Aamoth; ta on Paul Ducklin.

Paul, kuidas sul täna läheb?

PART.  Doug, ma ei peaks seda ütlema, vaid sellepärast, et ma tean, mis toimub See nädal tehnikaajaloos, kuna andsite mulle eelvaate, olen väga põnevil!

DOUG.  Olgu, asume kohe asja juurde!

Sel nädalal, 15. juunil, 1949. aastal, kirjutas Jay Forrester, kes oli Massachusettsi Tehnoloogiainstituudi ehk MIT-i professor…

PART.  [NALJADRAAMA] Ärge öelge seda nii, nagu oleksite Bostonist ja olete selle üle ülbe, Doug? [NAER]

DOUG.  Hei, see on ilus ülikoolilinnak; Olen seal mitu korda käinud.

PART.  See on ka omamoodi kuulus insenerikool, kas pole? [NAERAB]

DOUG.  Kindlasti on!

Jay Forrester kirjutas oma sülearvutisse üles ettepaneku tuumamälu kohta ja paigaldas hiljem MIT-i Whirlwindi arvutisse magnetmälu.

See leiutis muutis arvutid töökindlamaks ja kiiremaks.

Tuummälu jäi populaarseks valikuks arvutite salvestamiseks kuni pooljuhtide väljatöötamiseni 1970. aastatel.

PART.  See on fantastiliselt lihtne idee, kui tead, kuidas see töötab.

Väikesed väikesed ferriidist magnetsüdamikud, nagu trafo keskpunktis... nagu superminiatuursed seibid.

Need olid magnetiseeritud kas päri- või vastupäeva, mis tähendab nulli või ühte.

See oli sõna otseses mõttes magnetsalvestus.

Ja sellel oli funky omadus, Douglas, et kuna ferriit moodustab põhiliselt püsimagneti…

…saate seda uuesti magnetiseerida, aga kui toite välja lülitate, jääb see magnetiseerituks.

Nii et see oli muutumatu!

Kui teil oli voolukatkestus, võite põhimõtteliselt arvuti taaskäivitada ja jätkata sealt, kus pooleli jäite.

Amazing!

DOUG.  Silmapaistev, jah… see on tõesti lahe.

PART.  Ilmselt oli MIT-i esialgne plaan võtta selle idee eest tasu 0.02 USA dollarit biti kohta.

Kas kujutate ette, kui kalliks see teeks näiteks 64 gigabaidise iPhone'i mälu?

See oleks miljardites dollarites! [NAERAB]

DOUG.  Ebareaalne

Noh, huvitav ajalugu, aga toome selle tänapäevani.

Mitte liiga kaua aega tagasi… Microsofti plaastri teisipäeval.

Ei mingeid nullpäevi, aga siiski palju parandusi, Paul:

Patch Tuesday parandab 4 kriitilist RCE-viga ja hunniku Office'i auke

PART.  Noh, sel kuul pole nullpäevi, kui ignoreerite seda Edge'i kaugkoodi täitmise auku, millest eelmisel nädalal rääkisime.

DOUG.  Hmmmmmm.

PART.  Tehniliselt pole see plaastri teisipäeva osa…

…aga kokku oli 26 koodi kaugkäitamise [RCE] viga ja 17 privileegide [EoP] viga.

See on koht, kus kelmid on juba sees, kuid nad ei saa veel palju teha, nii et nad kasutavad EoP-viga teie võrku supervõimete hankimiseks ja teevad palju jõhkramaid asju.

Neli neist koodide kaugkäitamise veast nimetas Microsoft "kriitiliseks", mis tähendab, et kui olete üks neist inimestest, kellele meeldib endiselt teha oma paigad kindlas järjekorras, soovitame teil alustada nendest.

Hea uudis nelja kriitilise paiga kohta on see, et kolm neist on seotud sama Windowsi komponendiga.

Niipalju kui ma aru saan, oli see hunnik seotud vigu, mis leiti arvatavasti selle komponendi koodi läbivaatamise käigus.

Mis on seotud Windowsi sõnumiteenusega, kui juhtute seda oma võrgus kasutama.

DOUG.  Ja meid kõiki on ühiselt tänatud kannatlikkuse eest SketchUpi katastroofiga, mille olemasolust ma seni ei teadnud.

PART.  Nagu sina, Doug, pole ma kunagi kasutanud seda programmi nimega SketchUp, mis minu arvates on kolmanda osapoole 3D-graafikaprogramm.

Kes teadis, et oleks tõesti tore, kui saaksite SketchUpi 3D-pilte oma Wordi, Exceli või PowerPointi dokumentidesse pukseerida?

Nagu võite ette kujutada, uhiuue failivorminguga Office'is sõelumiseks, tõlgendamiseks, töötlemiseks ja renderdamiseks…

…Microsoft tutvustas vea, mis parandati kui CVE-2023-33146.

Kuid kui soovite, on varjatud lugu loo taga see, et 01. juunil 2023 teatas Microsoft, et:

SketchUpi graafika sisestamise võimalus on Wordis, Excelis, PowerPointis ja Outlookis Windowsi ja Maci jaoks ajutiselt keelatud.

Täname teie kannatlikkust selle funktsiooni turvalisuse ja funktsionaalsuse tagamiseks.

Mul on hea meel, et Microsoft hindab minu kannatlikkust, kuid võib-olla soovin, et Microsoft oleks enne selle funktsiooni Office'is kasutuselevõttu veidi kannatlikum olnud.

Soovin, et nad oleksid selle sinna pannud *pärast* pärast seda, kui see oli turvaline, selle asemel, et näha, kas see on turvaline, ja avastamaks, nagu te ütlete (üllatus! üllatus!), et see pole nii.

DOUG.  Hea.

Jäägem kannatlikkuse teema juurde.

Ma ütlesin, et me hoiame sellel silma peal ja lootsin, et meil pole vaja sellel silma peal hoida.

Kuid me peame natuke allitereerima, nagu te tegite pealkirjas.

Veel MOVEiti leevendusi: täiendavaks kaitseks avaldati uued plaastrid, Paul.

Veel MOVEiti leevendusi: täiendavaks kaitseks avaldati uued plaastrid

PART.  See on jälle see vana hea MOVEiti probleem: SQL-i sisestamise viga.

See tähendab, et kui kasutate programmi MOVEit Transfer ja te pole seda parandanud, võivad veebipõhisele esiotsale ligi pääsevad kelmid teie serverit halba tegema meelitada...

...kuni veebishelli manustamiseni, mis võimaldab neil hiljem sisse tiirutada ja teha, mida tahavad.

Nagu teate, anti välja CVE ja MOVEiti tegijad Progress Software panid välja plaastri teadaoleva looduses esineva ärakasutamise vastu.

Nüüd on neil veel üks plaaster välja pandud, et tegeleda sarnaste vigadega, mida nende teada pole kelmid veel leidnud (aga kui nad piisavalt hoolikalt uuriksid, siis võib-olla).

Ja nii imelik kui see ka ei kõla, kui avastate, et teie tarkvara teatud osas on teatud tüüpi viga, ei tohiks te olla üllatunud, kui süvenedes…

…te avastate, et programmeerija (või programmeerimismeeskond, kes selle kallal töötas sel ajal, kui viga, millest te juba teada saite), tegi umbes samal ajal sarnaseid vigu.

Ma ütleksin, et antud juhul on Progress Software'ile nii hästi tehtud, et ta üritas sellega ennetavalt tegeleda.

Progress Software ütles just: "Kõik Move It kliendid peavad rakendama uue plaastri, mis avaldati 09. juunil 2023.

DOUG.  OK, ma arvan, et me… hoiame sellel silma peal!

Paul, aita mind siit välja.

Olen aastal 2023, loen a Alasti turvalisuse pealkiri midagi "Mt. Gox."

Mis minuga toimub?

Ajalugu uuesti läbi vaadatud: USA DOJ avas Mt. Goxi küberkuritegevuse süüdistused

PART.  Goxi mägi!

"Magic The Gathering Online Exchange", Doug, nagu see oli…

DOUG.  [NAERAB] Muidugi!

PART.  … kus saaksite Magic The Gatheringi kaarte vahetada.

See domeen müüdi maha ja need, kellel on pikad mälestused, teavad, et sellest sai planeedi kõige populaarsem ja ülekaalukalt suurim Bitcoini börs.

Seda juhtis Jaapanist lahkunud prantslane Mark Karpelès.

Ilmselt kulges kõik lihtsalt, kuni see 2014. aastal krüptovaluutatolmu sisse paiskus, kui nad taipasid, et lahtiselt öeldes olid kõik nende Bitcoinid kadunud.

DOUG.  [NAERAB] Ma ei peaks naerma!

PART.  647,000 XNUMX või midagi sellist.

Ja isegi siis olid need juba väärt umbes 800 dollarit pop, nii et see oli poole miljardi USA dollari väärtuses "pahv".

Huvitaval kombel näitasid paljud sõrmed tol ajal Mt. Goxi meeskonna enda poole, öeldes: "Oh, see peab olema sisetöö."

Ja tegelikult, uusaastapäeval, ma arvan, et 2015. aastal avaldas Jaapani ajaleht nimega Yomiuri Shimbun artikli, milles öeldi: "Oleme seda uurinud ja 1% kahjudest on seletatav vabandusega, mida nad avaldasid. olen välja mõelnud; Ülejäänud osas jätkame salvestusega, öeldes, et see oli sisetöö.

Nende avaldatud artikkel, mis tekitas palju draamat, kuna see on üsna dramaatiline süüdistus, annab nüüd 404 vea [HTTP-lehte ei leitud], kui seda täna külastate.

DOUG.  Väga huvitav!

PART.  Nii et ma arvan, et nad ei seisa enam selle juures.

Ja tõepoolest, Ameerika Ühendriikide justiitsministeerium [DOJ] on lõpuks, kõik need aastad hiljem, tegelikult esitanud kahele Venemaa kodanikule süüdistuse kõigi Bitcoinide varguses.

Seega kõlab küll nii, et Mark Karpelès on saanud USA justiitsministeeriumi loal vähemalt osalise vabastamise, sest nad on need kaks venelast väga kindlalt kõik need aastad tagasi selle kuriteo raamidesse pannud.

DOUG.  See on põnev lugemine.

Nii et vaadake seda alasti turvalisusest.

Kõik, mida peate tegema, on otsida, arvasite ära: "Mt. Gox”.

Jäägem küberkuritegevuse teema juurde, kuna üks peamisi rikkujaid Gozi panganduse pahavara taga on sattus vanglasse pärast kümmet pikka aastat ütles Paul:

Gozi panganduse pahavara "IT juht" mõisteti pärast enam kui 10 aastat lõpuks vangi

PART.  Jah... see oli natuke nagu bussi ootamine.

Kaks jahmatavat “vau, see juhtus kümme aastat tagasi, aga me saame ta lõpuks kätte” -lugu saabusid korraga. [NAER]

Ja see on minu arvates oluline uuesti üles kirjutada, et lihtsalt öelda: „See on justiitsministeerium; nad ei unustanud teda."

Tegelikult. Ta arreteeriti Colombias.

Ma usun, et ta käis külas ja oli Bogotá lennujaamas ning piiriametnikud arvasid vist: "Oh, see nimi on jälgimisnimekirjas"!

Ja ilmselt arvasid Colombia ametnikud: "Võtkem ühendust USA diplomaatilise teenistusega."

Nad ütlesid: "Hei, me hoiame siin meest, kelle nimi on (ma ei maini tema nime – see on artiklis kirjas). Te tundsite varem temast huvitatud väga tõsiste mitme miljoni dollari suuruse pahavarakuritegude kohta. . Kas olete juhuslikult endiselt huvitatud?"

Ja milline üllatus, Doug, USA oli tõesti väga huvitatud.

Niisiis anti ta välja, astus kohtu ette, tunnistas end süüdi ja nüüd on ta süüdi mõistetud.

Ta saab ainult kolm aastat vangistust, mis võib tunduda kerge karistusena, ja ta peab tagastama rohkem kui 3,000,000 XNUMX XNUMX dollarit.

Ma ei tea, mis juhtub, kui ta seda ei tee, aga ma arvan, et see on lihtsalt meeldetuletus, et jooksmine ja pahavaraga seotud kuritegevuse eest peitmine…

…noh, kui teie vastu esitatakse süüdistused ja USA otsib teid, ei ütle nad lihtsalt: "Ah, sellest on kümme aastat, me võiksime selle ka ära jätta."

Ja selle mehe kuritegelikkus oli ajada seda, mida žargoonis tuntakse kui "kuulikindlaid võõrustajaid", Dougi.

Põhimõtteliselt on see koht, kus te olete omamoodi Interneti-teenuse pakkuja, kuid erinevalt tavalisest Interneti-teenuse pakkujast püüate olla õiguskaitseorganite, blokeerimisnimekirjade ja tavaliste Interneti-teenuse pakkujate eemaldamisteatiste liikuv sihtmärk.

Seega pakute teenuseid, kuid soovi korral hoiate neid Internetis ringi liikumas, nii et kelmid maksavad teile tasu ja nad teavad, et domeenid, mida nende jaoks hostite, jätkavad tööta, isegi kui õiguskaitseorganid teid jälitavad.

DOUG.  Hea küll, jälle hea uudis.

Paul, kui me oma päevaseid lugusid lõpetame, olete maadelnud väga raske, nüansirikka, kuid samas oluline küsimus paroolide kohta.

Nimelt, kas peaksime neid pidevalt rotatsiooni korras vahetama, võib-olla kord kuus?

Või lukustada alustuseks tõeliselt keerulised ja seejärel piisavalt hästi rahule jätta?

Mõtted ajastatud paroolimuutuste kohta (ärge nimetage neid pööramiseks!)

PART.  Kuigi see kõlab nagu vana lugu ja tõepoolest oleme seda varem korduvalt külastanud, kirjutasin selle üles seetõttu, et üks lugeja võttis minuga ühendust, et küsida selle asja kohta.

Ta ütles: "Ma ei taha minna kurikale 2FA jaoks; Ma ei taha minna paroolihalduritesse. Need on eraldi teemad. Ma tahan lihtsalt teada, kuidas lahendada, kui soovite, minu ettevõtte kahe fraktsiooni vaheline murusõda, kus mõned inimesed ütlevad, et peame paroolid õigesti sisestama, ja teised lihtsalt ütlevad: "See paat sõitis, see on liiga raske. me lihtsalt sunnime inimesi neid muutma ja see on piisavalt hea."

Nii et ma arvasin, et tegelikult tasub sellest kirjutada.

Otsustades alasti turvalisuse ja sotsiaalmeedia kommentaaride arvu järgi, maadlevad paljud IT-meeskonnad endiselt sellega.

Kui sunnite inimesi lihtsalt iga 30 või 60 päeva tagant oma paroole muutma, kas on tõesti vahet, kas nad valivad parooli, mis on nende räsi varguse korral väga purustatav?

Kuni nad ei vali password or secret või üks maailma kümnest populaarseimast kassinimest, võib-olla on okei, kui me sunnime neid vahetama selle mõne muu mitte eriti hea parooli vastu, enne kui kelmid jõuavad selle lahti murda?

Võib-olla on see lihtsalt piisavalt hea?

Kuid mul on kolm põhjust, miks te ei saa halba harjumust parandada, järgides lihtsalt teist halba harjumust.

DOUG.  Esimene väravast väljas: Paroolide regulaarne muutmine ei ole alternatiiv tugevate paroolide valimisele ja kasutamisele, Paul

PART.  Ei!

Võite teha mõlemat (ja ma annan teile minuti jooksul kaks põhjust, miks arvan, et inimeste sundimisel neid regulaarselt vahetama on veel üks probleem).

Kuid lihtne tähelepanek on see, et halva parooli korrapärane muutmine ei muuda seda paremaks.

Kui soovite paremat parooli, valige alustuseks parem parool!

DOUG.  Ja sa ütled: Kui sundida inimesi regulaarselt oma paroole muutma, võib see uinutada nad halbadesse harjumustesse.

PART.  Kommentaaride põhjal otsustades on paljudel IT-meeskondadel just see probleem.

Kui ütlete inimestele: "Hei, peate oma parooli iga 30 päeva tagant muutma ja parem vali hea", teevad nad ainult...

… nad valivad hea.

Nad veedavad nädala ja jätavad selle kogu eluks meelde.

Ja siis iga kuu nad lisavad -01, -02, ja nii edasi.

Nii et kui kelmid murravad või rikuvad mõne parooli ja nad näevad sellist mustrit, saavad nad peaaegu välja selgitada, mis on teie tänane parool, kui nad teavad teie kuue kuu tagust parooli.

Seetõttu võib muudatuste sundimine, kui see pole vajalik, viia inimesed kasutama küberturvalisuse otseteid, mida te ei soovi, et nad teeksid.

DOUG.  Ja see on huvitav.

Oleme sellest varem rääkinud, kuid mõned inimesed ei pruugi sellele mõeldagi. Parooli muutmise ajastamine võib hädaolukorras reageerimist edasi lükata.

Mida sa selle all mõtled?

PART.  Asi on selles, et kui teil on parooli muutmiseks ametlik ja fikseeritud ajakava, et kõik teaksid, et kui selle kuu viimane päev saabub, on nad niikuinii sunnitud oma parooli muutma...

…ja siis nad mõtlevad: "Tead mida? On kuu 12. päev ja ma läksin veebisaidile, mille osas ma pole kindel, et see võis olla andmepüügisait. Noh, ma vahetan oma parooli niikuinii kahe nädala pärast, nii et ma ei lähe seda praegu vahetama.

Seega, muutes oma paroole *regulaarselt*, võib teil tekkida harjumus, kus mõnikord, kui see on tõesti väga oluline, ei muuda te oma parooli *piisavalt* sageli.

Kui arvate, et parooli muutmiseks on hea põhjus, TEGE SEDA KOHE!

DOUG.  Ma armastan seda!

Olgu, kuulame ühe meie lugeja paroolitüki kohta.

Alasti turvalisuse lugeja Philip kirjutab osaliselt:

Paroolide sagedane muutmine, et mitte ohtu sattuda, on nagu mõtlemine, et piisavalt kiiresti joostes saate kõigist vihmapiiskadest kõrvale hiilida.

OK, te väldid teie selja taha langevate vihmapiiskade eest, kuid neid on sama palju, kuhu lähete.

Ja kui nad on sunnitud oma paroole regulaarselt muutma, lisavad väga paljud inimesed lihtsalt numbri, mida nad saavad vastavalt vajadusele suurendada.

Nagu sa ütlesid, Paul!

PART.  Teie sõber ja minu sõber Chester [Wisniewski] ütlesid paar aastat tagasi, kui me sellest rääkisime paroolimüüdid, „Kõik, mida nad peavad tegema [NAERAB], et teada saada, mis number lõpus on, on minna teie LinkedIni lehele. "Alustasin selles ettevõttes augustis 2017" … loendage sellest ajast möödunud kuude arvu.

See on number, mida vajate lõpus.

Sophos Techknow – paroolimüütide purustamine

DOUG.  Täpselt nii! [NAER]

PART.  Ja probleem tekib selles, et kui proovite ajastada või algoritmida… kas see on sõna?

(Tõenäoliselt ei tohiks see olla, aga ma kasutan seda ikkagi.)

Kui proovite võtta juhuslikkuse, entroopia ja ettearvamatuse ideed ja siduda see mõne ülirange algoritmiga, näiteks algoritmiga, mis kirjeldab, kuidas märgid ja numbrid on paigutatud sõiduki siltidele, näiteks ...

…siis tekib *vähem* juhuslikkus, mitte *rohkem*, ja sa pead sellest teadlik olema.

Seega on inimeste sundimine tegema kõike, mis paneb nad teatud mustrisse langema, nagu Chester tollal ütles, lihtsalt halva harjumuse harjumuse tekitamine.

Ja mulle meeldib see väljendusviis.

DOUG.  Olgu, tänan teid väga selle saatmise eest, Philip.

Ja kui teil on huvitav lugu, kommentaar või küsimus, mida soovite esitada, loeksime seda hea meelega taskuhäälingusaates.

Võite saata e-posti aadressil tips@sophos.com, kommenteerida mõnda meie artiklit või võtta ühendust suhtlusvõrgustikuga: @nakedsecurity.

See on meie tänane saade.

Suur tänu kuulamast.

Paul Ducklini jaoks olen mina Doug Aamoth, tuletan teile kuni järgmise korrani meelde, et…

MÕlemad.  Ole turvaline!

[MUUSIKAMODEEM]

Ajatempel:

Veel alates Alasti turvalisus