S3 Ep139: A jelszószabályok olyanok, mint az esőzés?

Nincs lent audiolejátszó? Hallgat közvetlenül a Soundcloudon.

DOUG.  Javítási kedd, kiberbűnözés felbukkanása és szórakozás jelszavakkal.

Mindez, és még sok más, a Naked Security podcastban.

[ZENEI MODEM]

Üdvözlünk mindenkit a podcastban.

Doug Aamoth vagyok; ő Paul Ducklin.

Paul, hogy vagy ma?

---

KACSA.  Doug, nem kellene ezt mondanom… hanem mert tudom, mi jön be Ezen a héten a technikatörténetben, mert adtál egy előzetest, nagyon izgatott vagyok!

---

DOUG.  Na jó, akkor kezdjük is!

Ezen a héten, június 15-én, jóval 1949-ben, Jay Forrester, aki a Massachusetts Institute of Technology (MIT) professzora volt, leírta…

---

KACSA.  [GÚNYÚ DRÁMA] Ne mondd ezt úgy, mintha bostoni származnál, és önelégült lennél, Doug? [NEVETÉS]

---

DOUG.  Hé, ez egy gyönyörű campus; Sokszor voltam ott.

---

KACSA.  Ez is egyfajta híres mérnökiskola, nem? [NEvet]

---

DOUG.  Az biztosan!

Jay Forrester felírt egy javaslatot a „magmemóriára” a notebookjába, és később mágneses magmemóriát telepített az MIT Whirlwind számítógépére.

Ez a találmány megbízhatóbbá és gyorsabbá tette a számítógépeket.

A központi memória továbbra is a népszerű választás a számítógépes tároláshoz egészen a félvezetők kifejlesztéséig az 1970-es években.

---

KACSA.  Ez egy fantasztikusan egyszerű ötlet, ha már tudod, hogyan működik.

Apró kis ferrit mágneses magok, mintha egy transzformátor közepébe kerülne… mint egy szuperminiatűr alátét.

Az óramutató járásával megegyező vagy ellentétes irányban mágnesezték őket, ami nullát vagy egyet jelent.

Szó szerint mágneses tároló volt.

És megvolt az a funky tulajdonsága, Douglas, hogy mivel a ferrit lényegében állandó mágnest képez…

…újramágnesezheti, de amikor kikapcsolja az áramot, mágnesezett marad.

Szóval nem illékony volt!

Ha áramkimaradás történt, alapvetően újraindíthatja a számítógépet, és ott folytathatja, ahol abbahagyta.

Elképesztő!

---

DOUG.  Kiemelkedő, igen… ez nagyon klassz.

---

KACSA.  Nyilvánvalóan az MIT eredeti terve az volt, hogy bitenként 0.02 USD jogdíjat számítson fel az ötletért.

El tudod képzelni, milyen drága lenne, mondjuk, egy 64 gigabájtos iPhone memória?

Dollármilliárdokba kerülne! [NEvet]

---

DOUG.  Irreális.

Nos, egy érdekes történelem, de hozzuk fel a mai napig.

Nem is olyan régen… Microsoft Patch Tuesday.

Nincsenek nulladik napok, de akkor is rengeteg javítás, Pál:

A Patch Tuesday 4 kritikus RCE-hibát és egy csomó Office-hibát javít ki

---

KACSA.  Nos, ebben a hónapban nincs nulla nap, ha figyelmen kívül hagyja azt az Edge távoli kódvégrehajtási lyukat, amelyről a múlt héten beszéltünk.

---

DOUG.  Hmmmmmm.

---

KACSA.  Technikailag ez nem része a Patch Keddnek…

…de összesen 26 távoli kódvégrehajtási [RCE] hiba és 17 jogosultságnövelési [EoP] hiba volt.

Ez az a pont, ahol a szélhámosok már benne vannak, de még nem tudnak sokat tenni, így aztán az EoP-hibát használják, hogy szuperképességeket szerezzenek a hálózaton, és sokkal aljasabb dolgokat csináljanak.

A távoli kódvégrehajtási hibák közül négyet a Microsoft „kritikusnak” nevezett, ami azt jelenti, hogy ha Ön azok közé tartozik, akik továbbra is szeretik a javításokat meghatározott sorrendben elvégezni, akkor ezekkel javasoljuk kezdeni.

A jó hír a négy kritikus javítással kapcsolatban, hogy közülük három ugyanahhoz a Windows-komponenshez kapcsolódik.

Amennyire meg tudom állapítani, ez egy csomó kapcsolódó hiba volt, feltehetően az adott komponens valamilyen kódellenőrzése során.

Ez a Windows Messaging Service-re vonatkozik, ha azt a hálózatában használja.

---

DOUG.  És mindannyiunknak megköszöntük a türelmünket a SketchUp bukásával szemben, amiről eddig nem tudtam, hogy létezik.

---

KACSA.  Mint te, Doug, én soha nem használtam ezt a SketchUp nevű programot, amely szerintem egy harmadik féltől származó 3D grafikus program.

Ki tudta, hogy igazán nagyszerű lenne, ha a SketchUp 3D-s képeket Word, Excel, PowerPoint dokumentumaiba dobhatná?

Ahogy el tudja képzelni, egy vadonatúj fájlformátummal az Office-on belül elemezni, értelmezni, feldolgozni, renderelni…

…A Microsoft bevezetett egy hibát, amelyet CVE-2023-33146 néven javítottak.

De ha úgy tetszik, a történet mögött rejtett történet az, hogy 01. június 2023-én a Microsoft bejelentette, hogy:

A SketchUp grafikák beszúrásának lehetősége ideiglenesen le van tiltva a Word, az Excel, a PowerPoint és az Outlook for Windows és Mac rendszerben.

Köszönjük türelmét, miközben azon dolgozunk, hogy biztosítsuk a funkció biztonságát és működőképességét.

Örülök, hogy a Microsoft nagyra értékeli türelmemet, de talán azt kívánom, bárcsak maga a Microsoft lett volna egy kicsit türelmesebb, mielőtt ezt a funkciót bevezette volna az Office-ba.

Bárcsak tették volna oda, *miután* biztonságos volt, ahelyett, hogy megnézték, biztonságos-e, és rájönnének, ahogy mondod (meglepetés! meglepetés!), hogy nem.

---

DOUG.  Nagy.

Maradjunk a türelem témánál.

Azt mondtam, hogy „figyelni fogunk erre”, és reméltem, hogy erre nem kell majd figyelnünk.

De egy kicsit alliterálnunk kell, ahogy a címben tetted.

További MOVEit enyhítések: új javítások jelentek meg a további védelem érdekében, Pál.

További MOVEit enyhítések: új javítások jelentek meg a további védelem érdekében

---

KACSA.  Megint ez a jó öreg MOVEit probléma: a SQL injekciós hiba.

Ez azt jelenti, hogy ha a MOVEit Transfer programot használja, és nem javította azt, akkor a webalapú kezelőfelülethez hozzáférő szélhámosok rossz dolgokra csalhatják a szervert…

…akár egy webshell beágyazása is, amely lehetővé teszi számukra, hogy később betévedjenek, és azt csináljanak, amit akarnak.

Mint tudják, kiadtak egy CVE-t, és a Progress Software, a MOVEit készítői kiadott egy patch-et, hogy megbirkózzanak a vadonban ismert kihasználással.

Most van egy újabb javításuk, hogy megbirkózzanak a hasonló hibákkal, amelyeket tudomásuk szerint a csalók még nem találtak meg (de ha elég alaposan utánanéznének, talán sikerül is).

És bármennyire is furcsán hangzik, amikor azt tapasztalja, hogy a szoftver egy bizonyos része egy bizonyos típusú hibát tartalmaz, nem kell meglepődnie, ha mélyebbre ásva…

…úgy találja, hogy a programozó (vagy a programozói csapat, aki azon dolgozott, amikor az Ön által már ismert hiba bevezetésére került) nagyjából ugyanabban az időben követett el hasonló hibákat.

Nagyon jól sikerült ebben az esetben, azt mondanám, hogy a Progress Software proaktívan próbálta kezelni ezt.

A Progress Software most azt mondta: „Minden Move It ügyfélnek alkalmaznia kell a 09. június 2023-én kiadott új javítást.

---

DOUG.  Rendben, azt hiszem… figyelni fogjuk!

Paul, segíts itt.

2023-ban vagyok, olvasok a Meztelen biztonság címszó valamit a „Mt. Gox.”

Mi történik velem?

Újra áttekintve az előzményeket: az Egyesült Államok DOJ feloldja a Mt. Gox kiberbűnözés vádjait

---

KACSA.  Mt. Gox!

„Magic The Gathering Online Exchange”, Doug, ahogy volt…

---

DOUG.  [NEvet] Természetesen!

---

KACSA.  …ahol cserélhetsz Magic The Gathering kártyákat.

Ezt a domaint eladták, és a hosszú emlékekkel rendelkezők tudják, hogy ez lett a legnépszerűbb és messze a legnagyobb Bitcoin tőzsde a világon.

Egy Japánból érkezett francia emigráns, Mark Karpelès vezette.

Úgy tűnik, minden simán ment egészen addig, amíg 2014-ben egy kriptovaluta porba nem omlott, amikor rájöttek, hogy lazán szólva minden Bitcoinjuk eltűnt.

---

DOUG.  [NEvet] Nem szabad nevetnem!

---

KACSA.  647,000 XNUMX, vagy ilyesmi.

És már akkoriban is körülbelül 800 dollárt értek egy pop, tehát ez félmilliárd dollárnyi „puff” volt.

Érdekes módon akkoriban sok ujj magára a Mt. Gox csapatra mutatott, mondván: "Ó, ez egy belső munka."

Valójában újév napján, azt hiszem, 2015-ben egy Yomiuri Shimbun nevű japán újság közzétett egy cikket, amely így szólt: „Megvizsgáltuk ezt, és a veszteségek 1%-a azzal a kifogással magyarázható. kitaláltam; a többit pedig úgy írjuk, hogy belső munka volt.”

Nos, az általuk közzétett cikk, amely sok drámát okozott, mert elég drámai vád, most 404-es hibát ad [a HTTP-oldal nem található], amikor ma meglátogatja.

---

DOUG.  Nagyon érdekes!

---

KACSA.  Szóval szerintem már nem állnak ki mellette.

És valóban, az Egyesült Államok Igazságügyi Minisztériuma [DOJ] végre, ennyi év múltán, ténylegesen megvádolt két orosz állampolgárt azzal, hogy gyakorlatilag ellopták az összes Bitcoint.

Úgy tűnik tehát, hogy Mark Karpelès legalább részleges felmentést kapott az Egyesült Államok Igazságügyi Minisztériumának jóvoltából, mert az évekkel ezelőtt nagyon határozottan beállították ezt a két orosz figurát ennek a bűncselekménynek a keretébe.

---

DOUG.  Lenyűgöző olvasmány.

Szóval nézd meg a Naked Security oldalon.

Mindössze annyit kell tennie, hogy rákeres, kitalálta: „Mt. Gox”.

Maradjunk a kiberbűnözés témájánál, mivel a Gozi banki rosszindulatú programok egyik fő elkövetője börtönbe került tíz hosszú év után Pál:

A Gozi banki malware „IT-főnöke” több mint 10 év után végül börtönbe került

---

KACSA.  Igen… egy kicsit olyan volt, mint a buszra várni.

Egyszerre érkezett két meghökkentő „hú, ez tíz éve történt, de a végén megkapjuk” történet. [NEVETÉS]

És ezt fontosnak tartottam újra leírni, csak hogy azt mondjam: „Ez az Igazságügyi Minisztérium; nem feledkeztek meg róla.”

Tulajdonképpen. Kolumbiában tartóztatták le.

Azt hiszem, látogatást tett, és a bogotai repülőtéren volt, és azt hiszem, a határőrök azt gondolták: „Ó, ez a név rajta van a figyelőlistán”!

És ezért a kolumbiai tisztviselők úgy gondolták: „Vegyük fel a kapcsolatot az Egyesült Államok Diplomáciai Szolgálatával.”

Azt mondták: „Hé, itt tartunk egy fickót, akinek a neve (nem említem meg a nevét – ez van a cikkben)… régebben érdeklődtél iránta, ami nagyon súlyos, több millió dolláros rosszindulatú programokkal kapcsolatos bűncselekményekkel kapcsolatos. . Érdekel még véletlenül?”

És micsoda meglepetés, Doug, az USA valóban nagyon érdeklődött.

Így kiadták, bíróság elé állt, bűnösnek vallotta magát, és most el is ítélték.

Csak három év börtönt kap, ami enyhe büntetésnek tűnhet, és több mint 3,000,000 XNUMX XNUMX dollárt kell visszaadnia.

Nem tudom, mi történik, ha nem, de azt hiszem, ez csak egy emlékeztető, hogy futva és elrejtőzve a rosszindulatú programokkal kapcsolatos bűnözés elől…

…hát, ha vádat emelnek ellened, és az Egyesült Államok keres téged, akkor nem csak azt mondják: „Ó, ez tíz év, akár hagyhatjuk is.”

És ennek a fickónak a bűnözése az volt, hogy a szakzsargonban „golyóálló házigazdákként” ismert Doug-ot irányította.

Alapvetően ez az, ahol Ön egyfajta internetszolgáltató, de a szokásos internetszolgáltatókkal ellentétben mindent megtesz, hogy mozgó célpont legyen a bűnüldözés, a tiltólisták és a szokásos internetszolgáltatók eltávolítási értesítései felé.

Tehát Ön szolgáltatásokat nyújt, de ha úgy tetszik, folyamatosan mozgatja őket az interneten, hogy a szélhámosok díjat fizessenek Önnek, és tudják, hogy az Ön által számukra tárolt domainek csak tovább működnek. dolgozik, még akkor is, ha a bűnüldöző szervek nyomoznak.

---

DOUG.  Rendben, ismét remek hír.

Paul, a napi történeteink végén egy nagyon nehéz, árnyalt, mégis fontos kérdés a jelszavakról.

Mégpedig állandóan váltogatnunk kell őket, esetleg havonta egyszer?

Vagy kezdésnek bezárni az igazán összetetteket, majd elég jól békén hagyni?

Gondolatok az ütemezett jelszómódosításokról (ne nevezzük ezeket forgatásnak!)

---

KACSA.  Bár úgy hangzik, mint egy régi történet, és valóban olyan, amit már sokszor meglátogattunk, azért írtam fel, mert egy olvasó megkeresett, hogy pontosan erről kérdezzen.

Azt mondta: „Nem akarok belemenni az ütőbe a 2FA-ért; Nem akarok belemenni a jelszókezelőkhöz. Ezek külön kérdések. Csak azt szeretném tudni, hogyan lehet rendezni, ha úgy tetszik, a cégemen belüli két frakció közötti gyepháborút, ahol egyesek azt mondják, hogy helyesen kell megadnunk a jelszavakat, mások pedig csak azt mondják: „Az a hajó kihajózott, túl nehéz. csak arra kényszerítjük az embereket, hogy változtassák meg őket, és ez elég jó lesz."

Szóval úgy gondoltam, hogy érdemes írni róla.

A Naked Security-hez és a közösségi médiához fűzött kommentek számából ítélve még mindig rengeteg IT-csapat birkózik ezzel.

Ha csak arra kényszeríti az embereket, hogy 30 vagy 60 naponta változtassák meg jelszavukat, akkor tényleg számít, hogy olyat választanak, amely kiválóan feltörhető, ha ellopják a hash-t?

Amíg nem választanak password or secret vagy a világ tíz legjobb macskanevének egyike, talán nem baj, ha kényszerítjük őket egy másik, nem túl jó jelszóra, mielőtt a szélhámosok feltörnék?

Talán ez is elég jó?

De három okom van arra, hogy miért nem lehet helyrehozni egy rossz szokást egy másik rossz szokás követésével.

---

DOUG.  Az első a kapun kívül: A jelszavak rendszeres megváltoztatása nem alternatíva az erős jelszavak kiválasztásával és használatával szemben, Paul.

---

KACSA.  Nem!

Lehet, hogy mindkettőt megteszi (és egy percben két okot adok fel, miért gondolom, hogy az emberek rendszeres megváltoztatására kényszerítése újabb problémákkal jár).

De az egyszerű megfigyelés az, hogy a rossz jelszó rendszeres megváltoztatásával nem lesz jobb jelszó.

Ha jobb jelszót szeretne, kezdésként válasszon jobb jelszót!

---

DOUG.  És azt mondod: Ha az embereket arra kényszerítjük, hogy rendszeresen változtassák meg jelszavaikat, az rossz szokásokba ringathatja őket.

---

KACSA.  A hozzászólásokból ítélve sok IT csapatnak pontosan ez a problémája.

Ha azt mondod az embereknek: „Hé, 30 naponta meg kell változtatnod a jelszavadat, és jobb, ha választasz egy jót”, csak annyit tesznek…

… majd választanak egy jót.

Egy hetet töltenek azzal, hogy életük hátralévő részében az emlékezetben maradjanak.

Aztán minden hónapban hozzáadják -01, -02, És így tovább.

Tehát ha a szélhámosok feltörik vagy feltörik az egyik jelszót, és ehhez hasonló mintát látnak, nagyjából ki tudják számítani, mi a jelszava ma, ha ismerik a hat hónappal ezelőtti jelszavát.

Tehát ez az az a pont, ahol a változtatás kényszerítése, amikor az nem szükséges, arra késztetheti az embereket, hogy olyan kiberbiztonsági parancsikonokat használjanak, amelyeket Ön nem szeretne.

---

DOUG.  És ez egy érdekes.

Korábban már beszéltünk erről, de lehet, hogy ez néhány embernek nem jutott eszébe: A jelszómódosítások ütemezése késleltetheti a vészhelyzeti válaszadást.

Mit értesz ez alatt?

---

KACSA.  A lényeg az, hogy ha van egy formalizált, fix ütemezése a jelszócserére, hogy mindenki tudja, hogy amikor eljön a hónap utolsó napja, úgyis kénytelen lesz jelszót változtatni…

…és aztán azt gondolják: „Tudod mit? A hónap 12. napja van, és felkerestem egy olyan webhelyet, amelyről nem vagyok biztos, hogy adathalász oldal lehetett. Nos, két hét múlva úgyis megváltoztatom a jelszavamat, úgyhogy most nem megyek és nem változtatom meg.”

Tehát a jelszavak *rendszeres* megváltoztatásával abba a szokásba kerülhet, hogy néha, amikor ez nagyon-nagyon fontos, nem változtatja meg a jelszavát *gyakran*.

Ha és amikor úgy gondolja, hogy jó oka van a jelszó megváltoztatására, TEGYE EZT MOST!

---

DOUG.  Szeretem!

Rendben, hallgassuk meg az egyik olvasónkat a jelszóval kapcsolatban.

A Naked Security olvasója Philip részben ezt írja:

A jelszavak gyakori megváltoztatása, hogy ne kerüljön veszélybe, olyan, mintha azt gondolnánk, hogy ha elég gyorsan futsz, akkor elkerülheted az esőcseppeket.

Rendben, kikerülöd a mögötted hulló esőcseppeket, de ugyanannyi lesz, ahová mész.

És amikor arra kényszerülnek, hogy rendszeresen módosítsák jelszavaikat, nagyon sok ember egyszerűen hozzáfűz egy számot, amelyet szükség szerint növelhet.

Ahogy mondtad, Paul!

---

KACSA.  A barátod és az enyém, Chester [Wisniewski] mondta néhány évvel ezelőtt, amikor arról beszéltünk jelszómítoszok, „Mindössze annyit kell tenniük [NEVETÉS], hogy kitalálják, mi a szám a végén, csak fel kell lépniük a LinkedIn oldalára. „2017 augusztusában kezdtem ennél a cégnél”… számolja meg az azóta eltelt hónapok számát.”

Ez az a szám, amelyre szükséged van a végén.

Sophos Techknow – A jelszómítoszok felszámolása

---

DOUG.  Pontosan! [NEVETÉS]

---

KACSA.  És az a probléma, hogy amikor megpróbálod ütemezni, vagy algoritmizálni… ez egy szó?

(Valószínűleg nem kellene, de akkor is használni fogom.)

Amikor megpróbálod felfogni a véletlenszerűség, az entrópia és a kiszámíthatatlanság gondolatát, és egy szuperszigorú algoritmusba foglalod, például abba az algoritmusba, amely leírja, hogy a karakterek és a számok hogyan vannak elhelyezve a járműcímkéken, például…

…akkor *kevesebb* véletlenszerűséget kapsz, nem *többet*, és ezzel tisztában kell lenned.

Tehát, ahogy Chester akkoriban mondta, az embereket bármire kényszeríteni, ami egy bizonyos mintába esik, egyszerűen csak rászoktatjuk őket egy rossz szokásra.

És szeretem ezt a kifejezést.

---

DOUG.  Rendben, nagyon köszönöm, hogy elküldted, Philip.

És ha van egy érdekes története, megjegyzése vagy kérdése, amelyet fel szeretne tenni, szívesen olvassuk a podcastban.

Írhat e-mailt a tips@sophos.com címre, megjegyzést írhat bármelyik cikkünkhöz, vagy felkereshet minket a közösségi oldalon: @nakedsecurity.

Ez a mai műsorunk.

Nagyon köszönöm, hogy meghallgattál.

Paul Ducklin számára én Doug Aamoth vagyok, és emlékeztetlek benneteket a következő alkalomig, hogy…

---

MINDKÉT.  Maradjon biztonságban!

[ZENEI MODEM]