S3 Ep146: Kerro meille tästä rikkomuksesta! (Jos haluat.)

Eikö alla ole audiosoitinta? Kuunnella suoraan Soundcloudissa.

---

DOUG.  Firefox-päivitykset, toinen Bugi vaikuttavalla nimellä, ja SEC vaatii paljastamista.

Kaikki tämä ja paljon muuta Naked Security -podcastissa.

[MUSIIKKIMODEEMI]

Tervetuloa podcastiin kaikki.

Olen Doug Aamoth; hän on Paul Ducklin.

Paul, toivon, että olet ylpeä minusta… Tiedän, että olet pyöräilyn harrastaja.

Ajoin eilen pyörällä 10 amerikkalaista mailia, mikä on mielestäni noin 16 km, kun vedin pientä mutta ei raskasta lasta pyörän takana kaksipyöräisissä vaunuissa.

Ja olen edelleen elossa kertoakseni tarinan.

Onko se pitkä matka pyörällä, Paul?

---

ANKKA.  [NAURA] Se riippuu siitä, kuinka pitkälle sinun todella piti mennä.

Kuten, jos se olisi todella 1200 metriä, joka sinun piti mennä ja eksyisit… [NAurua]

Pyöräilyinnostukseni on erittäin korkea, mutta se ei tarkoita, että ajaisin tarkoituksella pidemmälle kuin tarvitsen, koska se on ensisijainen tapani liikkua.

Mutta 10 mailia riittää.

Tiesitkö, että Amerikan mailit ja Ison-Britannian mailit ovat itse asiassa identtisiä?

---

DOUG.  Se on hyvä tietää!

---

ANKKA.  Ja on ollut vuodesta 1959, jolloin joukko maita, mukaan lukien mielestäni Kanada, Etelä-Afrikka, Australia, Yhdysvallat ja Iso-Britannia, kokoontuivat yhteen ja sopivat standardoimisesta "kansainvälisellä tuumalla".

Luulen, että keisarillinen tuuma pieneni hyvin, hyvin hieman ja amerikkalainen tuuma piteni hyvin, hyvin hieman pidemmäksi, minkä seurauksena tuuma (ja siten piha, jalka ja maili)…

…ne kaikki määritellään metreinä.

Yksi tuuma on täsmälleen 25.4 mm

Kolme merkittävää numeroa riittää.

---

DOUG.  Kiehtova!

No, puhuttaessa kiehtovasta, on meidän aikamme Tämä viikko tekniikan historiassa segmentti.

Tällä viikolla, 01. elokuuta 1981, Music Television, joka tunnetaan myös nimellä MTV, aloitti suoran lähetyksen osana amerikkalaista kaapeli- ja satelliittitelevisiopakettia ja esitteli yleisölle musiikkivideoita.

Ensimmäinen soitti The Bugglesin "Video Killed the Radio Star".

Paul.

---

ANKKA.  Kyllä, on ironista, eikö olekin, että kaapeli-tv (eli missä johdot kulkivat maan alla taloosi) tappoi radio- (tai langattoman) tähden, ja nyt näyttää siltä, ​​​​että kaapeli-tv MTV… sellainen kuoli, koska kaikilla on langattomasti toimivat mobiiliverkot.

Se mitä tapahtuu, tulee ympäriinsä, Douglas.

---

DOUG.  Selvä, no, puhutaanpa näistä Firefox-päivityksistä.

Saamme kaksinkertaisen annoksen Firefox-päivityksiä tässä kuussa, koska ne ovat 28 päivän syklissä:

Firefox korjaa joukon puutteita ensimmäisessä kahdesta tämän kuun julkaisusta

Ei nollapäiviä tällä ensimmäisellä kierroksella, mutta joitain opetettavia hetkiä.

Olemme listanneet artikkelissasi ehkä puolet näistä, ja yksi, joka todella jäi mieleeni, oli: Mahdolliset luvat pyytävät ohitusta clickjackingin kautta.

---

ANKKA.  Kyllä, vanha kunnon napsautus taas.

Pidän tästä termistä, koska se kuvaa melko hyvin sitä, mitä se on.

Napsautat jotain ja luulet napsauttavasi painiketta tai viatonta linkkiä, mutta annat vahingossa luvan tapahtua jotain, mikä ei käy ilmi siitä, mitä näyttö näyttää hiiren osoittimen alla.

Ongelma tässä näyttää olevan se, että joissain olosuhteissa, kun lupaikkuna oli ponnahduttamassa esiin esimerkiksi Firefoxista, sano: "Oletko todella varma, että haluat antaa tämän verkkosivuston käyttää kameraasi? onko pääsy sijaintiisi? käytä mikrofoniasi?"…

…kaikki ne asiat, joita haluat kysyä.

Ilmeisesti, jos saisit selaimen suorituskykypisteeseen (jälleen suorituskyky vs. tietoturva), jossa sillä oli vaikeuksia pysyä perässä, voisit viivyttää lupaponnahdusikkunoiden ilmestymistä.

Mutta jos sinulla on painike paikassa, jossa ponnahdusikkuna ilmestyy, ja houkuttelet käyttäjän napsauttamaan sitä, voit houkutella klikkauksen, mutta napsautus lähetetään sitten lupaikkunaan, jota et ollut vielä nähnyt.

Eräänlainen visuaalinen kilpailutilanne, jos haluat.

---

DOUG.  OK, ja toinen oli: Näytön ulkopuolella oleva kangas olisi voinut ohittaa eri alkuperärajoitukset.

Sanot edelleen, että yksi web-sivu voi kurkistaa kuvia, jotka näytetään toisella sivulla eri sivustolta.

---

ANKKA.  Eihän sen pitäisi tapahtua, eihän?

---

DOUG.  Ei!

---

ANKKA.  Jargon termi tälle on "saman alkuperän politiikka".

Jos käytät verkkosivustoa X ja lähetät minulle joukon JavaScriptiä, joka asettaa koko joukon evästeitä, kaikki se tallennetaan selaimeen.

Mutta vain sivuston X lisä JavaScript voi lukea nämä tiedot takaisin.

Se, että selaat sivustoa X yhdellä välilehdellä ja sivustoa Y toisella välilehdellä, ei anna heidän nähdä, mitä toinen tekee, ja selaimen oletetaan pitävän kaikki nämä asiat erillään.

Se on ilmeisesti aika tärkeää.

Ja tässä näyttää siltä, ​​että ymmärtääkseni jos hahmontaisit sivua, jota ei vielä näytetty…

…näytön ulkopuolinen kangas, jossa luot, jos haluat, virtuaalisen verkkosivun ja sitten jossain vaiheessa sanot: "Tällä hetkellä olen valmis näyttämään sen", ja bingo, sivu näkyy kokonaan kerran.

Ongelma johtuu siitä, että yrität varmistaa, että näkymättömästi renderöimäsi tavarat eivät vahingossa vuoda tietoja, vaikka niitä ei koskaan näytetä käyttäjälle.

He huomasivat sen, tai se julkistettiin vastuullisesti, ja se korjattiin.

Ja nämä kaksi, mielestäni, sisältyivät niin kutsuttuihin "korkean" tason haavoittuvuuksiin.

Suurin osa muista oli ”Moderate”, paitsi Mozillan perinteinen, ”Löysimme paljon bugeja fuzzingin ja automatisoitujen tekniikoiden avulla; emme tutkineet heitä saadaksemme selville, voidaanko heitä lainkaan hyödyntää, mutta olemme valmiita olettamaan, että joku, joka yritti tarpeeksi, voisi tehdä niin."

Se on tunnustus, josta me molemmat pidämme niin paljon, Doug… koska mahdolliset viat kannattaa poistaa, vaikka olisit varma sydämessäsi, ettei kukaan koskaan keksi, kuinka niitä voidaan hyödyntää.

Koska kyberturvallisuudessa ei kannata koskaan sanoa ei koskaan!

---

DOUG.  Selvä, etsit Firefox 116:ta tai jos käytät laajennettua versiota, 115.1.

Sama Thunderbirdin kanssa.

Ja siirrytään… oi, mies!

Paul, tämä on jännittävää!

Meillä on uusi BWAIN viime viikon kaksois-BWAINin jälkeen: bugi, jolla on vaikuttava nimi.

Tätä kutsutaan Törmäys+voima:

Suorituskyky ja turvallisuus törmäävät jälleen "Collide+Power" -hyökkäyksessä

---

ANKKA.  [NAURAA] Kyllä, se on kiehtovaa, eikö olekin, että he valitsivat nimen, jossa on plusmerkki?

---

DOUG.  Kyllä, siitä on vaikea sanoa.

---

ANKKA.  Verkkotunnuksessasi ei voi olla plusmerkkiä, joten verkkotunnus on collidepower.com.

---

DOUG.  Selvä, luen itse tutkijoilta ja lainaan:

Ongelman syy on se, että jaetut CPU-komponentit, kuten sisäinen muistijärjestelmä, yhdistävät hyökkääjän tiedot ja tiedot mistä tahansa muusta sovelluksesta, mikä johtaa yhdistettyyn vuotosignaaliin virrankulutuksessa.

Näin ollen hyökkääjä tuntee omat tietonsa ja voi määrittää tarkat tietoarvot, joita käytetään muissa sovelluksissa.

---

ANKKA.  [NAURA] Kyllä, siinä on paljon järkeä, jos tiedät jo, mistä he puhuvat!

Yritän selittää tämän selkeällä englanniksi (toivottavasti ymmärsin tämän oikein)…

Tämä rajoittuu suorituskyvyn ja turvallisuuden välisiin ongelmiin, joista olemme aiemmin puhuneet, mukaan lukien viime viikon podcast tuon kanssa Zenbleed bugi (joka on muuten paljon vakavampi):

Zenbleed: Kuinka suorittimen suorituskyvyn etsiminen voi vaarantaa salasanasi

Prosessorin sisällä säilytetään valtava määrä dataa ("välimuisti" on sen tekninen termi), jotta suorittimen ei tarvitse hakea sitä myöhemmin.

Joten siellä on paljon sisäisiä asioita, joita et todellakaan pääse hallitsemaan; CPU huolehtii siitä puolestasi.

Ja tämän hyökkäyksen sydän näyttää menevän suunnilleen näin…

Hyökkääjä käyttää useita muistipaikkoja siten, että sisäinen välimuisti muistaa ne muistipaikat, joten sen ei tarvitse lukea niitä uudelleen RAM-muistista, jos niitä käytetään nopeasti uudelleen.

Joten hyökkääjä saa jotenkin nämä välimuistin arvot täytetyiksi tunnetuilla bittimalleilla, tunnetuilla data-arvoilla.

Ja sitten, jos uhrilla on muistia, jota *he* käyttää usein (esimerkiksi salauksenpurkuavaimen tavut), jos CPU yhtäkkiä arvioi niiden arvon olevan todennäköisemmin uudelleenkäytettävissä kuin yhden hyökkääjän arvoista, se potkii hyökkääjän arvon ulos sisäisestä erittäin nopeasta välimuistipaikasta ja asettaa uuden arvon, uhrin arvon, sinne.

Ja se, mitä nämä tutkijat löysivät (ja sikäli kuin hyökkäys kuulostaa teoriassa ja käytännössä on, tämä on hämmästyttävä asia löytää)…

Välimuistin vanhan arvon ja uuden arvon välillä eroavien bittien määrä *muuttaa välimuistin päivitystoiminnon suorittamiseen tarvittavan tehon määrää*.

Näin ollen, jos pystyt mittaamaan prosessorin virrankulutuksen riittävän tarkasti, voit tehdä johtopäätöksiä siitä, mitkä data-arvot ovat joutuneet kirjoitettua prosessorin sisäiseen, piilotettuun, muutoin näkymättömään välimuistiin, joka ei CPU:n mielestä ollut sinun asiasi.

Todella kiehtovaa, Doug!

---

DOUG.  Erinomainen.

Ok, lievennyksiä on.

Tämä osio alkaa: "Ensinnäkin sinun ei tarvitse huolehtia", mutta se vaikuttaa myös lähes kaikkiin prosessoreihin.

---

ANKKA.  Kyllä, se on mielenkiintoista, eikö olekin?

Siinä lukee "ensinkin" (normaali teksti) "te" (kursiivilla) "ei tarvitse huolehtia" (lihavoituna). [NAurua]

Eli periaatteessa kukaan ei hyökkää kimppuun tällä, mutta ehkä prosessorisuunnittelijat haluavat miettiä tätä tulevaisuudessa, jos se on mitenkään mahdollista. [NAurua]

Minusta se oli mielenkiintoinen tapa ilmaista se.

---

DOUG.  OK, joten lievennys on pohjimmiltaan poistamalla hypersäikeistys käytöstä.

Onko se näin?

---

ANKKA.  Hyperthreading pahentaa tätä paljon, sikäli kuin näen.

Tiedämme jo, että hypersäikeistys on tietoturvaongelma, koska siihen on aiemmin liittynyt useita haavoittuvuuksia.

Siellä esimerkiksi kahdeksan ytimen prosessori teeskentelee olevansa 16 ydintä, mutta itse asiassa ne eivät ole sirun eri osissa.

Ne ovat itse asiassa eräänlaisia ​​pseudoytimiä, joissa on enemmän elektroniikkaa, enemmän transistoreita, enemmän kondensaattoreita kuin mikä on ehkä hyvä idea turvallisuussyistä.

Jos käytät vanhaa hyvää OpenBSD:tä, luulen, että he päättivät, että hypersäikeistystä on liian vaikea turvata lievennyksellä; voisi yhtä hyvin sammuttaa sen.

Siihen mennessä, kun olet saavuttanut lieventämistoimien edellyttämät suorituskykyhitit, sinulla voi yhtä hyvin olla, ettei sitä ole.

Joten luulen niin hypersäikeyden poistaminen käytöstä immunisoi sinut suuresti tätä hyökkäystä vastaan.

Toinen asia, jonka voit tehdä, on, kuten kirjoittajat sanovat lihavoituna: Älä huoli. [NAURU]

---

DOUG.  Se on hieno lievennys! [NAurua]

---

ANKKA.   Siinä on paljon (minun täytyy lukea tämä, Doug)…

On hieno tapa, jossa tutkijat itse havaitsivat, että saadakseen kaikenlaista luotettavaa tietoa he saivat järjestelmästä tiedonsiirtonopeudet 10-100 bittiä tunnissa.

Uskon, että ainakin Intel-suorittimissa on lievennys, jonka uskon auttavan tätä vastaan.

Ja tämä tuo meidät takaisin MSR:iin, niihin mallikohtaisiin rekistereihin, joista puhuimme viime viikolla Zenbleedin kanssa, ja joissa oli taikapala, jonka voit ottaa käyttöön ja joka sanoi: "Älä tee vaarallisia asioita."

On ominaisuus, jonka voit asettaa kutsumaan RAPL-suodatus, ja RAPL on lyhenne sanoista keskimääräinen tehoraja.

Sitä käyttävät ohjelmat, jotka haluavat nähdä CPU:n suorituskyvyn virranhallintatarkoituksiin, joten sinun ei tarvitse murtautua palvelinhuoneeseen ja laittaa tehonäyttöä johtoon, jossa on pieni anturi emolevyllä. [NAurua]

Voit itse saada CPU:n kertomaan, kuinka paljon virtaa se käyttää.

Intelillä on ainakin tämä RAPL-suodatustila, joka aiheuttaa tietoisesti värinää tai virheitä.

Joten saat tuloksia, jotka ovat keskimäärin tarkkoja, mutta joissa jokainen yksittäinen lukema on poissa.

---

DOUG.  Kiinnitämme nyt huomiomme tähän uuteen SEC-sopimukseen.

Security and Exchange Commission vaatii neljän päivän tiedonantorajoituksia kyberturvallisuusrikkomuksille:

SEC vaatii neljän päivän tiedonantorajaa kyberturvallisuusrikkomuksille

Mutta (A) sinun on päätettävä, onko hyökkäys tarpeeksi vakava raportoitavaksi, ja (B) neljän päivän raja ei ala ennen kuin päätät, että jokin on tarpeeksi tärkeää raportoitavaksi, Paul.

Joten hyvä ensimmäinen aloitus, mutta ei ehkä niin aggressiivinen kuin haluaisimme?

---

ANKKA.  Olen samaa mieltä arviostasi, Doug.

Se kuulosti hyvältä, kun katsoin sitä ensimmäisen kerran: "Hei, sinulla on tämä neljän päivän ilmoitus, jos sinulla on tietomurto tai kyberturvallisuusongelma."

Mutta sitten puhuttiin "No, sitä on pidettävä aineellisena ongelmana", juridinen termi, joka tarkoittaa, että sillä on itse asiassa tarpeeksi merkitystä ollakseen paljastamisen arvoinen.

Ja sitten päädyin siihen pisteeseen (ja se ei ole kovin pitkä SEC:n lehdistötiedote), jossa sanottiin: "Heti kun olet päättänyt, että sinun todella pitäisi ilmoittaa tästä, sinulla on vielä neljä päivää aikaa. ilmoittamaan siitä."

Nyt kuvittelen, että laillisesti se ei toimi aivan näin. Doug

Ehkä olemme hieman tiukkoja artikkelissa?

---

DOUG.  Lähennät kiristysohjelmahyökkäyksiä sanomalla, että niitä on useita eri tyyppejä, joten puhutaanpa siitä… se on tärkeää määritettäessä, onko kyseessä aineellinen hyökkäys, josta sinun on ilmoitettava.

Millaista kiristysohjelmaa tarkastelemme?

---

ANKKA.  Kyllä, vain selittääkseni, ajattelin sen olevan tärkeä osa tätä.

En tarkoita sormella SEC:tä, mutta tämä on jotain, mikä ei näytä vielä tulleen pesuun monissa tai missään maassa…

…riittääkö pelkkä kiristysohjelmahyökkäyksen kärsiminen väistämättä olevan merkittävä tietomurto.

Tämä SEC-asiakirja ei itse asiassa mainitse "R-sanaa" ollenkaan.

Kiristysohjelmakohtaisista asioista ei mainita mitään.

Ja lunnasohjelmat ovat ongelma, eikö niin?

Artikkelissa halusin tehdä selväksi, että sana "lunnasohjelmat", jota käytämme edelleen laajalti, ei ole enää oikea sana, eihän?

Meidän pitäisi luultavasti kutsua sitä "kiristysohjelmaksi" tai vain "verkkokiristukseksi".

Tunnistan kolme päätyyppiä kiristysohjelmahyökkäykset.

Tyyppi A on paikka, jossa huijarit eivät varasta tietojasi, he vain voivat sekoittaa tietojasi paikan päällä.

Joten heidän ei tarvitse ladata yhtä asiaa.

He sekoittavat kaiken niin, että he voivat tarjota sinulle salauksenpurkuavaimen, mutta et näe verkosta lähtevää datatavua merkkinä siitä, että jotain pahaa on meneillään.

Sitten on tyypin B kiristysohjelmahyökkäys, jossa roistot sanovat: "Tiedätkö mitä, emme aio ottaa riskiä, ​​että kirjoitamme kaikkiin tiedostoihin, jäämme siitä kiinni. Aiomme vain varastaa kaikki tiedot, ja sen sijaan, että maksaisit rahaa saadaksesi tietosi takaisin, maksat hiljaisuudestamme.

Ja sitten tietysti C-tyypin kiristysohjelmahyökkäys, ja se on: "Sekä A että B."

Siellä huijarit varastavat tietosi *ja* sekoittavat niitä ja sanovat: "Hei, jos yksi asia ei saa sinut vaikeuksiin, se on toinen."

Ja olisi kiva tietää, missä se, mitä lakimiesammatti uskoakseni kutsuu olennaisuudeksi (toisin sanoen oikeudellinen merkitys tai oikeudellinen relevanssi tietyn asetuksen kannalta)…

…missä se käynnistyy, jos kyseessä on kiristysohjelmahyökkäys.

---

DOUG.  No, nyt on hyvä aika tuoda viikon kommentoijamme Adam tähän tarinaan.

Adam kertoo ajatuksensa erilaisista kiristysohjelmien hyökkäyksistä.

Joten, alkaen tyypistä A, jossa se on vain suoraviivainen kiristysohjelmahyökkäys, jossa tiedostot lukitaan ja lunnaat jätetään lukitsematta...

Adam sanoo:

Jos yritys joutuu kiristysohjelmien kohteeksi, se ei löytänyt todisteita tietojen suodattamisesta perusteellisen tutkimuksen jälkeen ja sai tietonsa takaisin maksamatta lunnaita, olisin taipuvainen sanomaan: "Ei [paljastusta vaadita]."

---

ANKKA.  Oletko tehnyt tarpeeksi?

---

DOUG.  Kyllä.

---

ANKKA.  Et aivan estänyt sitä, mutta teit toiseksi parhaan asian, joten sinun ei tarvitse kertoa sijoittajillesi….

Ironista on, Doug, jos olisit tehnyt niin yrityksenä, saatat haluta kertoa sijoittajillesi: "Hei, arvaa mitä? Meillä oli kiristysohjelmahyökkäys kuten kaikki muutkin, mutta selvisimme siitä maksamatta rahoja, olematta tekemisissä roistojen kanssa ja menettämättä mitään tietoja. Joten vaikka emme olleet täydellisiä, olimme toiseksi paras asia.

Ja sen ilmaiseminen vapaaehtoisesti saattaa olla todella tärkeää, vaikka laki sanoisi, ettei sinun tarvitse.

---

DOUG.  Ja sitten tyypin B, kiristyskulman osalta Adam sanoo:

Se on hankala tilanne.

Teoriassa sanoisin: "Kyllä".

Mutta se johtaa todennäköisesti paljon paljastuksia ja vahingoittaa yrityksen mainetta.

Joten jos sinulla on joukko yrityksiä, jotka tulevat ulos ja sanovat: "Katso, me olemme joutuneet lunnasohjelmiin; uskomme, että mitään pahaa ei tapahtunut; maksoimme roistoille heidän hiljaisuudestaan; ja luotamme siihen, että he eivät vuoda papuja", niin sanotusti…

…se luo hankalan tilanteen, koska se voi vahingoittaa yrityksen mainetta, mutta jos he eivät olisi paljastaneet sitä, kukaan ei tietäisi.

---

ANKKA.  Ja näen, että Adam tunsi samalla tavalla kuin teillä molemmilla, "sinulla on neljä päivää ja enintään neljä päivää… siitä hetkestä, jolloin luulet, että neljän päivän pitäisi alkaa."

Hän jyrisi myös sitä, eikö niin?

Hän sanoi:

Jotkut yritykset todennäköisesti ottavat käyttöön taktiikoita, jotka viivästyttävät suuresti päätöksentekoa, onko sillä merkittävää vaikutusta.

Emme siis tiedä, miten tämä tulee käymään, ja olen varma, että SEC ei myöskään tiedä.

Saattaa kestää pari testitapausta, ennen kuin he päättävät, mikä on oikea määrä byrokratiaa varmistaakseen, että me kaikki opimme sen, mitä meidän on tiedettävä ilman, että yritykset pakottavat paljastamaan jokaista pientä IT-häiriötä, joka koskaan tapahtuu ja hautaa meidät kaikki paperitöitä.

Mikä pohjimmiltaan johtaa rikkoutumiseen, eikö niin?

Jos sinulla on niin paljon huonoja uutisia, jotka eivät ole hirveän tärkeitä, vain huuhtelet sinut…

…on jotenkin helppo jättää väliin ne todella tärkeät asiat, jotka ovat "pitäiskö minun todella kuulla siitä?"

Aika näyttää, Douglas.

---

DOUG.  Kyllä, hankalaa!

Ja tiedän sanovani tämän koko ajan, mutta pidämme tätä silmällä, koska on kiehtovaa seurata tämän kehittymistä.

Joten kiitos, Adam, että lähetit kommentin.

---

ANKKA.  Todellakin!

---

DOUG.  Jos sinulla on mielenkiintoinen tarina, kommentti tai kysymys, jonka haluat lähettää, luemme mielellämme podcastista.

Voit lähettää sähköpostia tips@sophos.com, voit kommentoida mitä tahansa artikkeleistamme tai voit lyödä meitä sosiaalisessa mediassa: @nakedsecurity.

Se on tämän päivän esitys; kiitos paljon kuuntelusta.

Paul Ducklinille olen Doug Aamoth, joka muistuttaa sinua seuraavaan kertaan asti…

---

Molemmat.  Pysy turvassa.

[MUSIIKKIMODEEMI]