S3 Ep139: Ovatko salasanasäännöt kuin juoksemista sateen läpi?

Eikö alla ole audiosoitinta? Kuunnella suoraan Soundcloudissa.

DOUG.  Korjaustiistai, kyberrikollisuus ja hauskanpito salasanojen parissa.

Kaikki tämä ja paljon muuta Naked Security -podcastissa.

[MUSIIKKIMODEEMI]

Tervetuloa podcastiin kaikki.

Olen Doug Aamoth; hän on Paul Ducklin.

Paul, miten voit tänään?

---

ANKKA.  Doug, minun ei pitäisi sanoa tätä… vaan koska tiedän mitä on tulossa Tämä viikko tekniikan historiassa, koska annoit minulle esikatselun, olen erittäin innoissani!

---

DOUG.  No niin, mennään heti asiaan!

Tällä viikolla, 15. kesäkuuta, vuonna 1949, Jay Forrester, joka oli professori Massachusetts Institute of Technologyssa eli MIT:ssä, kirjoitti…

---

ANKKA.  [ILMADRAAMA] Älä sano sitä niin kuin olisit Bostonista ja olet siitä omahyväinen, Doug? [NAURU]

---

DOUG.  Hei, se on kaunis kampus; Olen ollut siellä monta kertaa.

---

ANKKA.  Se on myös eräänlainen kuuluisa insinöörikoulu, eikö vain? [NAurua]

---

DOUG.  Se todellakin on!

Jay Forrester kirjoitti muistikirjaansa ehdotuksen "ydinmuistista" ja asensi myöhemmin magneettisen ydinmuistin MIT:n Whirlwind-tietokoneeseen.

Tämä keksintö teki tietokoneista luotettavampia ja nopeampia.

Ydinmuisti oli suosittu valinta tietokoneiden tallentamiseen aina puolijohteiden kehittämiseen asti 1970-luvulla.

---

ANKKA.  Se on uskomattoman yksinkertainen idea, kun tiedät, miten se toimii.

Pienet pienet ferriittimagneettiset ytimet, kuten muuntajan keskelle… kuin superpienilevyt.

Ne magnetisoitiin joko myötä- tai vastapäivään tarkoittaen nollaa tai yhtä.

Se oli kirjaimellisesti magneettisäilytys.

Ja siinä oli hieno ominaisuus, Douglas, että koska ferriitti muodostaa pohjimmiltaan kestomagneetin…

…voit magnetoida sen uudelleen, mutta kun sammutat virran, se pysyy magnetoituna.

Joten se oli epävakaa!

Jos sinulla oli sähkökatkos, voit periaatteessa käynnistää tietokoneen uudelleen ja jatkaa siitä, mihin jäit.

Hämmästyttävä!

---

DOUG.  Erinomaista, kyllä… se on todella siistiä.

---

ANKKA.  Ilmeisesti MIT:n alkuperäinen suunnitelma oli veloittaa 0.02 dollarin rojalti ajatuksesta.

Voitko kuvitella, kuinka kallista se tekisi esimerkiksi 64 gigatavun iPhone-muistista?

Se olisi miljardeja dollareita! [NAurua]

---

DOUG.  Epätodellinen.

No, mielenkiintoista historiaa, mutta tuodaanpa se nykypäivään.

Ei liian kauan sitten… Microsoft Patch Tuesday.

Ei nollapäiviä, mutta silti paljon korjauksia, Paul:

Patch Tuesday korjaa 4 kriittistä RCE-virhettä ja joukon Office-aukkoja

---

ANKKA.  No, ei nollapäiviä tässä kuussa, jos jätät huomioimatta sen Edgen etäkoodin suoritusaukon, josta puhuimme viime viikolla.

---

DOUG.  Hmmmmmm.

---

ANKKA.  Teknisesti se ei ole osa Patch Tiistaita…

…mutta oli yhteensä 26 etäkoodin suorittamisvirhettä [RCE] ja 17 käyttöoikeuskorotusvirhettä [EoP].

Siellä roistot ovat jo mukana, mutta he eivät voi vielä tehdä paljoa, joten he käyttävät EoP-virhettä saadakseen verkkoosi supervoimia ja tehdäkseen paljon ällöttävämpiä asioita.

Neljä näistä koodin etäsuoritusvirheistä on nimennyt Microsoftin "kriittisiksi", mikä tarkoittaa, että jos olet yksi niistä ihmisistä, jotka edelleen haluavat tehdä korjaustiedostoja tietyssä järjestyksessä, suosittelemme, että aloitat niistä.

Hyvä uutinen neljästä kriittisestä korjaustiedostosta on, että kolme niistä liittyy samaan Windows-komponenttiin.

Sikäli kuin voin ymmärtää, se oli joukko asiaan liittyviä bugeja, jotka ilmeisesti löydettiin jonkin kyseisen komponentin kooditarkistuksen aikana.

Tämä liittyy Windows Messaging Serviceen, jos käytät sitä verkossasi.

---

DOUG.  Ja meitä kaikkia on kollektiivisesti kiitetty kärsivällisyydestämme SketchUp-kriisin kanssa, jonka olemassaolosta en tiennyt tähän asti.

---

ANKKA.  Kuten sinä, Doug, en ole koskaan käyttänyt tätä SketchUp-nimistä ohjelmaa, jonka uskon olevan kolmannen osapuolen 3D-grafiikkaohjelma.

Kuka tiesi, että olisi todella hienoa pudottaa SketchUp 3D -kuvia Word-, Excel- tai PowerPoint-asiakirjoihin?

Kuten voitte kuvitella, upouudella tiedostomuodolla jäsentää, tulkita, käsitellä, renderöidä Officessa…

…Microsoft esitteli virheen, joka korjattiin nimellä CVE-2023-33146.

Mutta tarinan takana oleva piilotettu tarina, jos haluat, on se, että Microsoft ilmoitti 01. kesäkuuta 2023, että:

Mahdollisuus lisätä SketchUp-grafiikkaa on väliaikaisesti poistettu käytöstä Wordissa, Excelissä, PowerPointissa ja Outlook for Windowsissa ja Macissa.

Arvostamme kärsivällisyyttäsi, kun pyrimme varmistamaan tämän ominaisuuden turvallisuuden ja toimivuuden.

Olen iloinen, että Microsoft arvostaa kärsivällisyyttäni, mutta ehkä toivon, että Microsoft itse olisi ollut hieman kärsivällisempi ennen tämän ominaisuuden käyttöönottoa Officessa.

Toivon, että he olisivat laittaneet sen sinne *sen jälkeen*, kun se oli turvassa, sen sijaan, että he olisivat laittaneet sen sisään nähdäkseen, onko se turvassa ja saadakseen selville, kuten sanot (yllätys! yllätys!), ettei se ollutkaan.

---

DOUG.  Suuri.

Pysytään kärsivällisyydessä.

Sanoin, että "pitäisimme tätä silmällä", ja toivoin, ettei meidän tarvitsisi pitää tätä silmällä.

Mutta meidän on alliteroitava vähän, kuten teit otsikossa.

Lisää MOVEit-rajoituksia: uusia korjaustiedostoja julkaistu lisäsuojaa varten, Paul.

Lisää MOVEit-rajoituksia: uusia korjaustiedostoja julkaistu lisäsuojaa varten

---

ANKKA.  Se on taas se vanha hyvä MOVEit-ongelma: SQL-injektiovirhe.

Tämä tarkoittaa, että jos käytät MOVEit Transfer -ohjelmaa, etkä ole korjannut sitä, verkkopohjaiseen käyttöliittymään pääsevät huijarit voivat huijata palvelimesi tekemään pahoja asioita...

…mukaan lukien verkkokuoren upottaminen, jonka avulla he voivat vaeltaa sisään myöhemmin ja tehdä mitä haluavat.

Kuten tiedätte, CVE julkaistiin ja Progress Software, MOVEitin valmistajat, julkaisivat korjaustiedoston käsitelläkseen tunnettua hyväksikäyttöä luonnossa.

Heillä on nyt toinen korjaustiedosto käsitelläkseen samanlaisia ​​bugeja, joita heidän tiedossansa roistot eivät ole vielä löytäneet (mutta jos he katsoivat tarpeeksi tarkasti, he saattavat).

Ja niin oudolta kuin se kuulostaakin, kun huomaat, että ohjelmistosi tietyssä osassa on tietynlainen bugi, sinun ei pitäisi olla yllättynyt, jos kaivaa syvemmälle…

…huomatat, että ohjelmoija (tai ohjelmointitiimi, joka työskenteli sen parissa silloin, kun jo tietämäsi bugi otettiin käyttöön) teki samanlaisia ​​virheitä suunnilleen samaan aikaan.

Hyvin tehty tässä tapauksessa, sanoisin, että Progress Software on yrittänyt käsitellä tätä ennakoivasti.

Progress Software sanoi juuri, "Kaikkien Move It -asiakkaiden tulee asentaa uusi korjaustiedosto, joka julkaistiin 09.

---

DOUG.  Okei, me kai… pidämme sitä silmällä!

Paul, auta minua täältä.

Olen vuonna 2023 ja luen a Naked Security -otsikko jotain aiheesta "Mt. Gox."

Mitä minulle tapahtuu?

Historia tarkasteltu uudelleen: US DOJ avaa Mt. Goxin kyberrikossyytteet

---

ANKKA.  Mt. Gox!

"Magic The Gathering Online Exchange", Doug, sellaisena kuin se oli…

---

DOUG.  [NAURA] Tietysti!

---

ANKKA.  …jossa voit vaihtaa Magic The Gathering -kortteja.

Tämä verkkotunnus myytiin, ja pitkät muistit tietävät, että siitä tuli planeetan suosituin ja ylivoimaisesti suurin Bitcoin-pörssi.

Sitä johti ranskalainen ulkomaalainen Mark Karpelès Japanista.

Kaikki sujui ilmeisesti, kunnes se törmäsi kryptovaluuttapölyyn vuonna 2014, jolloin he huomasivat, että löyhästi sanottuna kaikki heidän Bitcoininsa olivat kadonneet.

---

DOUG.  [NAURA] Minun ei pitäisi nauraa!

---

ANKKA.  Niitä 647,000 XNUMX tai jotain.

Ja silloinkin ne maksoivat jo noin 800 dollaria poppia kohti, eli se oli puolen miljardin dollarin arvoinen "puffi".

Kiehtovaa kyllä, monet sormet osoittivat itse Mt. Gox -tiimiä sanoen: "Voi, tämän täytyy olla sisätyötä."

Ja itse asiassa, uudenvuodenpäivänä, luulen, että vuonna 2015 japanilainen sanomalehti nimeltä Yomiuri Shimbun julkaisi artikkelin, jossa sanottiin: "Olemme tutkineet tätä, ja 1 % tappioista voidaan selittää heidän tekosyyllä. olen keksinyt; Muilta osin jatkamme kirjaa sanomalla, että se oli sisätyötä."

Nyt heidän julkaisemansa artikkeli, joka aiheutti paljon draamaa, koska se on melko dramaattinen syytös, antaa nyt 404-virheen [HTTP-sivua ei löydy], kun vierailet siinä tänään.

---

DOUG.  Todella mielenkiintoista!

---

ANKKA.  Joten en usko, että he seisovat enää sen takana.

Ja todellakin, Yhdysvaltojen oikeusministeriö [DOJ] on vihdoin, viimein, kaikki nämä vuodet myöhemmin, todella syyttänyt kahta Venäjän kansalaista periaatteessa kaikkien Bitcoinien varastamisesta.

Joten kuulostaa siltä, ​​​​että Mark Karpelès on saanut ainakin osittaisen vapautuksen Yhdysvaltain oikeusministeriön ansiosta, koska he ovat aivan varmasti laittaneet nämä kaksi venäläistä miestä tämän rikoksen kehykseen kaikki ne vuodet sitten.

---

DOUG.  Se on kiehtova luku.

Joten tarkista se Naked Securitysta.

Sinun tarvitsee vain etsiä, arvasit sen: "Mt. Gox”.

Pysytään kyberrikollisuuden aiheessa, sillä yksi Gozi-pankkihaittaohjelman takana olevista päärikoksista on tehnyt joutui vankilaan kymmenen pitkän vuoden jälkeen Paul:

Gozi-pankkihaittaohjelma "IT-päällikkö" tuomittiin lopulta vankilaan yli 10 vuoden jälkeen

---

ANKKA.  Kyllä… se oli vähän kuin odottaisi bussia.

Kaksi hämmästyttävää "vau, tämä tapahtui kymmenen vuotta sitten, mutta saamme hänet lopulta" -tarinaa saapui kerralla. [NAURU]

Ja tämä, ajattelin, oli tärkeää kirjoittaa uudelleen, vain sanoakseni: "Tämä on oikeusministeriö; he eivät unohtaneet häntä."

Itse asiassa. Hänet pidätettiin Kolumbiassa.

Uskon, että hän vieraili, ja hän oli Bogotán lentokentällä, ja luultavasti rajaviranomaiset ajattelivat: "Voi, tuo nimi on tarkkailulistalla"!

Ja niin ilmeisesti Kolumbian viranomaiset ajattelivat: "Otetaan yhteyttä Yhdysvaltain diplomaattipalveluun."

He sanoivat: "Hei, pidämme täällä kaveria, jonka nimi on (en mainitse hänen nimeään - t on artikkelissa). Olit ennen kiinnostunut hänestä erittäin vakavista useiden miljoonien dollarien haittaohjelmarikoksista. . Oletko edelleen kiinnostunut, sattumalta?"

Ja mikä yllätys, Doug, Yhdysvallat oli todella kiinnostunut.

Joten hänet luovutettiin, hän joutui oikeuteen, myönsi syyllisyytensä, ja hänet on nyt tuomittu.

Hän saa vain kolme vuotta vankeutta, mikä saattaa tuntua kevyeltä tuomiolta, ja hänen on palautettava yli 3,000,000 XNUMX XNUMX dollaria.

En tiedä mitä tapahtuu, jos hän ei, mutta kai se on vain muistutus siitä, että juoksemalla ja piiloutumalla haittaohjelmiin liittyviltä rikollisilta…

…no, jos sinua vastaan ​​on syytteitä ja Yhdysvallat etsii sinua, he eivät vain sano: "Ah, siitä on kymmenen vuotta, voimme yhtä hyvin jättää sen."

Ja tämän kaverin rikollisuus oli "luodinkestävänä isännänä" tunnetun ammattikieltä, Doug.

Siellä olet periaatteessa eräänlainen Internet-palveluntarjoaja, mutta toisin kuin tavallinen Internet-palveluntarjoaja, pyrit olemaan liikkuva kohde lainvalvontaviranomaisille, estolistoille ja tavallisten Internet-palveluntarjoajien poistoilmoituksille.

Joten tarjoat palveluita, mutta pidät ne, jos haluat, liikkuvana ja liikkeellä Internetissä, jotta roistot maksavat sinulle maksun ja he tietävät, että verkkotunnukset, joita isännöit heille, jatkavat vain työskentelevät, vaikka lainvalvontaviranomaiset ovat perässäsi.

---

DOUG.  Selvä, hienoja uutisia taas.

Paul, sinä olet, kun päivitämme tämän päivän tarinoitamme, kamppaillut hyvin vaikean, vivahteikkaan, mutta kuitenkin tärkeä kysymys salasanoista.

Pitäisikö niitä nimittäin vaihtaa jatkuvasti vuorokaudessa, ehkä kerran kuukaudessa?

Tai lukita todella monimutkaisia ​​aluksia ja jättää sitten tarpeeksi rauhaan?

Ajatuksia ajoitetuista salasanan vaihdoista (älkää kutsuko niitä rotaatioiksi!)

---

ANKKA.  Vaikka se kuulostaa eräänlaiselta vanhalta tarinalta, ja todellakin se on sellainen, jossa olemme vierailleet monta kertaa aiemmin, syy, miksi kirjoitin sen, on se, että eräs lukija otti minuun yhteyttä kysyäkseen juuri tästä asiasta.

Hän sanoi: "En halua mennä 2FA:n mailaksi; En halua mennä salasanojen hallintaan. Nämä ovat erillisiä asioita. Haluan vain tietää, kuinka ratkaista, jos haluat, kahden yritykseni ryhmittymän välisen turpeen sodan, jossa jotkut ihmiset sanovat, että meidän täytyy tehdä salasanat oikein, ja toiset vain sanovat: "Se vene purjehti, se on liian vaikeaa. me vain pakotamme ihmiset muuttamaan niitä ja se on tarpeeksi hyvä."

Joten ajattelin, että siitä kannattaa kirjoittaa.

Naked Securityn ja sosiaalisen median kommenttien määrästä päätellen monet IT-tiimit kamppailevat edelleen tämän kanssa.

Jos pakotat ihmiset vaihtamaan salasanansa 30 päivän tai 60 päivän välein, onko sillä todella väliä, jos he valitsevat sellaisen, joka on erittäin murtavissa, jos heidän hajautusnsa varastetaan?

Niin kauan kuin he eivät valitse password or secret tai yksi maailman kymmenen suosituimman kissan nimestä, ehkä on ok, jos pakotamme heidät vaihtamaan se toiseen ei-erittäin hyvään salasanaan ennen kuin roistot pystyvät murtamaan sen?

Ehkä se on vain tarpeeksi hyvä?

Mutta minulla on kolme syytä, miksi et voi korjata huonoa tapaa noudattamalla vain toista huonoa tapaa.

---

DOUG.  Ensimmäinen portista ulos: Salasanojen säännöllinen vaihtaminen ei ole vaihtoehto vahvojen salasanojen valitsemiselle ja käyttämiselle, Paul.

---

ANKKA.  Ei!

Voit halutessasi tehdä molemmat (ja annan sinulle hetkessä kaksi syytä, miksi uskon, että ihmisten pakottaminen vaihtamaan niitä säännöllisesti aiheuttaa muita ongelmia).

Mutta yksinkertainen havainto on, että huonon salasanan säännöllinen vaihtaminen ei tee siitä parempaa salasanaa.

Jos haluat paremman salasanan, valitse aluksi parempi salasana!

---

DOUG.  Ja sinä sanot: Ihmisten pakottaminen vaihtamaan salasanansa rutiininomaisesti voi tuudittaa heidät huonoihin tapoihin.

---

ANKKA.  Kommenteista päätellen tämä on juuri se ongelma, joka monilla IT-tiimeillä on.

Jos sanot ihmisille: "Hei, sinun on vaihdettava salasanasi 30 päivän välein ja sinun on parasta valita hyvä", he tekevät vain...

…he valitsevat hyvän.

He viettävät viikon sitoen sen muistiin loppuelämänsä ajaksi.

Ja sitten niitä lisätään joka kuukausi -01, -02, Ja niin edelleen.

Joten jos roistot murtavat tai vaarantavat jonkin salasanan ja he näkevät tällaisen kuvion, he voivat melkein selvittää, mikä salasanasi on tänään, jos he tietävät salasanasi kuuden kuukauden takaa.

Siksi muutoksen pakottaminen silloin, kun se ei ole välttämätöntä, voi saada ihmiset käyttämään kyberturvallisuuden pikakuvakkeita, joita et halua heidän tekevän.

---

DOUG.  Ja tämä on mielenkiintoinen.

Olemme puhuneet tästä aiemmin, mutta jotkut eivät ehkä ole ajatelleet sitä: Salasanan vaihtamisen ajoittaminen voi viivästyttää hätätoimia.

Mitä tarkoitat tuolla?

---

ANKKA.  Asia on siinä, että jos sinulla on virallinen, kiinteä aikataulu salasanan vaihdoille, jotta kaikki tietävät, että kun tämän kuun viimeinen päivä koittaa, heidän on joka tapauksessa pakko vaihtaa salasana...

…ja sitten he ajattelevat: "Tiedätkö mitä? On kuun 12. päivä, ja menin verkkosivustolle, josta en ole varma, se olisi voinut olla tietojenkalastelusivusto. No, aion vaihtaa salasanani joka tapauksessa kahden viikon kuluttua, joten en mene vaihtamaan sitä nyt."

Joten jos vaihdat salasanojasi *säännöllisin väliajoin*, saatat päätyä tapaan, jossa joskus, kun se on todella, todella tärkeää, et vaihda salasanaasi *usein* tarpeeksi.

Jos ja kun uskot, että salasanasi vaihtamiseen on hyvä syy, TEE SE NYT!

---

DOUG.  Rakastan sitä!

Selvä, kuunnellaanpa yhdeltä lukijamme salasanasta.

Naked Security -lukija Philip kirjoittaa osittain:

Salasanojen vaihtaminen usein, jotta et joutuisi vaaraan, on kuin ajattelisi, että jos juoksee tarpeeksi nopeasti, voit väistää kaikki sadepisarat.

OK, väistät takanasi putoavia sadepisaroita, mutta niitä on yhtä monta minne olet menossa.

Ja jouduttuaan vaihtamaan salasanansa säännöllisesti, hyvin suuri joukko ihmisiä vain lisää numeron, jota he voivat lisätä tarpeen mukaan.

Kuten sanoit, Paul!

---

ANKKA.  Ystäväsi ja minun Chester [Wisniewski] sanoivat muutama vuosi sitten, kun puhuimme salasanan myyttejä, Heidän tarvitsee vain mennä LinkedIn-sivullesi saadakseen selville, mikä numero lopussa on. "Aloitti tässä yrityksessä elokuussa 2017"… laske kuinka monta kuukautta on kulunut siitä lähtien."

Se on numero, jonka tarvitset lopussa.

Sophos Techknow – salasanomyyttien murtaminen

---

DOUG.  Tarkalleen! [NAURU]

---

ANKKA.  Ja ongelma tulee siitä, että kun yrität aikatauluttaa tai algoritmoida… onko se sana?

(Ei luultavasti pitäisi olla, mutta käytän sitä silti.)

Kun yrität ottaa ajatuksen satunnaisuudesta, entropiasta ja arvaamattomuudesta ja yhdistää sen johonkin supertiukkoon algoritmiin, kuten algoritmiin, joka kuvaa, kuinka merkit ja numerot asetetaan esimerkiksi ajoneuvojen tunnisteille…

… silloin saat *vähemmän* satunnaisuutta, ei *enemmän*, ja sinun on oltava tietoinen siitä.

Joten ihmisten pakottaminen tekemään mitä tahansa, mikä saa heidät lankeamaan tiettyyn kaavaan, on, kuten Chester tuolloin sanoi, vain saada heidät tottumaan huonoon tapaan.

Ja rakastan sitä tapaa ilmaista se.

---

DOUG.  Selvä, kiitos paljon lähettämisestäsi, Philip.

Ja jos sinulla on mielenkiintoinen tarina, kommentti tai kysymys, jonka haluat lähettää, luemme sen mielellämme podcastista.

Voit lähettää sähköpostia tips@sophos.com, kommentoida mitä tahansa artikkeleistamme tai ottaa meihin yhteyttä sosiaalisessa mediassa: @nakedsecurity.

Se on tämän päivän esitys.

Kiitos paljon kuuntelusta.

Paul Ducklinille olen Doug Aamoth, joka muistuttaa sinua seuraavaan kertaan asti…

---

Molemmat.  Pysy turvassa!

[MUSIIKKIMODEEMI]