S3 Ep143: Szupercookie-felügyeleti trükkök

Nincs lent audiolejátszó? Hallgat közvetlenül a Soundcloudon.

DOUG.  Vészhelyzeti Apple javítás, számítógépek gázvilágítása, és MIÉRT NEM HASZNÁLHATOM TOVÁBBRA A WINDOWS 7-ET?

Mindez, és még sok más, a Naked Security podcastban.

[ZENEI MODEM]

Üdvözlünk mindenkit a podcastban.

Doug Aamoth vagyok; ő Paul Ducklin.

Paul, hogy vagy?

---

KACSA.  Nos, egy kicsit meg vagyok ijedve, Doug.

Nagyon drámai volt a Windows 7 használatának szükségességével kapcsolatban!

---

DOUG.  Nos, mint sokan, én is mérges vagyok rá (vicc!), és erről majd egy kicsit beszélünk.

De először is egy nagyon fontos Ezen a héten a technikatörténetben szegmensben.

11. július 1976-e jelentette az utolsó gázadást egy valaha elterjedt matematikai számítási eszköz előtt.

Természetesen a csúsztatási szabályra gondolok.

Az Egyesült Államokban gyártott utolsó modellt, a Keuffel & Esser 4081-3-at bemutatták a Smithsonian Institutionnak, ami egy matematikai korszak végét jelzi…

…egy korszak, amelyet a számítógépek és számológépek, például Paul kedvence, a HP-35 elavulttá tettek.

Szóval, Paul, azt hiszem, vér van a kezein, uram.

---

KACSA.  Soha nem volt HP-35-öm.

Először is túl fiatal voltam, másodszor pedig egyenként 395 dollár volt, amikor beléptek.

---

DOUG.  [NEvet] Hűha!

---

KACSA.  Tehát még néhány évbe telt, amíg az árak összeomlottak, ahogy Moore törvénye beindult.

És akkor az emberek nem akarták többé diaszabályokat használni.

Apám nekem adta a régit, és nagyra értékeltem azt, mert nagyszerű volt…

…és elmondom, mit tanít a diaszabály, mert amikor szorzásra használja, akkor a két szorozni kívánt számot 1 és 10 közötti számokká alakítja, majd összeszorozza őket.

Aztán ki kell derítened, hogy hol van a tizedesvessző.

Ha az egyik számot elosztotta 100-zal, a másikat pedig 1000-rel, hogy a tartományba kerüljön, akkor összességében hozzá kell adni egy nullát, hogy 10-zel szorozzon, a végén.

Fantasztikus módszer volt tehát arra, hogy megtanítsd magad, vajon az elektronikus számológépedből kapott válaszokat, ahol hosszú számokat írtál be, például 7,000,000,000 XNUMX XNUMX XNUMX…

…hogy valóban megvan-e a nagyságrend, a kitevő, igaz.

A diaszabályok és nyomtatott megfelelőik, a naplótáblázatok sok mindent megtanítottak arra vonatkozóan, hogyan kell nagyságrendekkel a fejedben kezelni, és ne fogadd el túl könnyen a hamis eredményeket.

---

DOUG.  Soha nem használtam, de nagyon izgalmasan hangzik az imént leírtak alapján.

Folytassuk az izgalmat.

Múlt héten Firefox felszabaduló változat 115:

Megjelent a Firefox 115 – búcsúzik a régebbi Windows és Mac verziók felhasználóitól

Mellékeltek egy megjegyzést, amit el szeretnék olvasni, és idézem:

2023 januárjában a Microsoft megszüntette a Windows 7 és a Windows 8 támogatását.

Ennek következtében ez a Firefox utolsó verziója, amelyet az adott operációs rendszert használó felhasználók kapnak.

És úgy érzem, hogy valahányszor ezek a megjegyzések egy végső kiadáshoz kerülnek, az emberek előjönnek és azt mondják: „Miért nem tudom továbbra is használni a Windows 7-et?”

Még egy kommentelőnk is azt mondta, hogy a Windows XP rendben van.

Szóval mit mondanál ezeknek az embereknek, Paul, akik nem akarnak továbblépni az operációs rendszer általuk kedvelt verziókról?

---

KACSA.  Úgy fogalmazhatok meg a legjobban, Doug, ha visszaolvasom, mit mondtak a cikkünkhöz jobban tájékozott hozzászólók.

Alex Fair írja:

Nem csak arról van szó, hogy mit akarsz, hanem arról is, hogyan lehetne kihasználni és kizsákmányolni, és így kárt okozni másoknak.

Paul Roux pedig meglehetősen szatirikusan mondta:

Miért használnak még mindig Windows 7-et vagy XP-t?

Ha az ok az, hogy az újabb operációs rendszerek rosszak, miért ne használna Windows 2000-et?

A fenébe, az NT 4 olyan fantasztikus volt, hogy HAT szervizcsomagot kapott!

---

DOUG.  [NEVETÉS] 2000 *de fantasztikus volt*.

---

KACSA.  Nem minden rólad szól.

Arról van szó, hogy a rendszered olyan hibákat tartalmaz, amelyeket a csalók már tudják, hogyan kell kihasználni, és amelyeket soha, de soha nem fognak javítani.

Szóval a válasz az, hogy néha egyszerűen el kell engedned, Doug.

---

DOUG.  „Jobb szeretni és elveszíteni, mint soha nem szeretni” – mondják.

Maradjunk a Microsoft témánál.

folt kedd, Pál, bőségesen ad.

A Microsoft négy nulla napot foltoz, végre fellép a krimisztikus kernel-illesztőprogramok ellen

---

KACSA.  Igen, a szokásos nagyszámú hiba javítva.

A nagy hír ebből, a dolgok, amelyekre emlékezned kell (és van két cikk, amit megtehetsz go és a konzultál a news.sophos.com oldalon, ha tudni szeretné a véres részleteket)…

Az egyik probléma az, hogy ezek közül a hibák közül négy a vadon élő, nulladik napi, már kihasznált lyukakban található.

Ezek közül kettő biztonsági kitérő, és bármilyen triviálisnak is hangzik, nyilvánvalóan az URL-ekre való kattintáshoz vagy az olyan e-mailekben lévő dolgok megnyitásához kapcsolódnak, amelyekben általában a következő figyelmeztetést kapja: „Valóban biztos, hogy ezt akarja?”

Ami egyébként jó néhány embert megakadályozhat abban, hogy nemkívánatos hibát kövessen el.

Két kiváltságemelkedési (EoP) lyuk van rögzítve.

És bár az Elevation of Privilege rendszerint kisebbnek tekintik, mint a távoli kódvégrehajtást, ahol a szélhámosok eleve a hibát használják a behatoláshoz, az EoP problémája a csalókhoz kapcsolódik, akik már „szándékosan ácsorognak” a hálózaton. .

Mintha a szálloda halljában lévő vendégből szupertitkos, hallgatag betörővé válhatnának, aki hirtelen és varázsütésre bejut a szálloda összes szobájába.

Szóval ezekre mindenképpen érdemes odafigyelni.

És van egy speciális Microsoft biztonsági figyelmeztetés…

…hát, több is van belőlük; Amire szeretném felhívni a figyelmet, az az ADV23001, ami lényegében a Microsoft azt mondja: „Hé, emlékezzünk rá, amikor a Sophos kutatói arról számoltak be nekünk, hogy egy csomó rootkittery-t találtak aláírt kernel-illesztőprogramokkal, amelyeket még a kortárs Windows is megtenne. betölteni, mert jóváhagyták a használatra?”

Azt hiszem, a végén jóval több mint 100 ilyen aláírt driver volt.

A jó hír ebben a tanácsban az, hogy ennyi hónap múlva a Microsoft végre kijelentette: "Rendben, leállítjuk az illesztőprogramok betöltését, és automatikusan blokkoljuk őket."

[IRÓNIKUS] Ami szerintem elég nagy, valóban, amikor ezeknek az illesztőprogramoknak legalább egy részét maga a Microsoft írta alá, hardverminőségi programjuk részeként. [NEvet]

Ha meg szeretné találni a történet mögött meghúzódó történetet, mint mondtam, egyszerűen lépjen a news.sophos.com oldalra, és keressen rá a „illesztőprogramok".

A Microsoft visszavonja a rosszindulatú illesztőprogramokat a Patch Tuesday Culling-ban

---

DOUG.  Kiváló.

Rendben, ez a következő történet… Több okból is érdekel ez a cím: A Rowhammer visszatér, hogy meggyújtsa a számítógépet.

Komoly biztonság: A Rowhammer újra begyújtja számítógépét

Paul, mesélj…

[GÁBRIEL PÉTER „SZÁNKALÁCS” DALLAMARA] Mesélj…

---

MINDKÉT.  [ÉNEK] Rowhammer!

---

DOUG.  [NEVETÉS] Sikerült!

---

KACSA.  Folytasd, most meg kell csinálnod a riffet.

---

DOUG.  [EGY SZINTETIZÁTOR SZINTÉZISE] Doodly-doo da doo, doo do doo.

---

KACSA.  [LENYÚJTOTT] Nagyon jó, Doug!

---

DOUG.  Köszönöm.

---

KACSA.  Akik nem emlékeznek erre a múltból: „Rowhammer” a szakzsargon név, amely arra emlékeztet bennünket, hogy a kondenzátorok, ahol a memória bitjei (egyesek és nullák) a modern DRAM-ban vagy dinamikus véletlen hozzáférésű memóriachipekben vannak tárolva, olyan közel vannak. együtt…

Amikor az egyikre ír (valójában sorokban kell olvasnia és írnia a kondenzátorokat, tehát „sorkalapács”), amikor ezt teszi, mert elolvasta a sort, lemerítette a kondenzátorokat.

Még ha csak az emlékbe néz, vissza kell írnia a régi tartalmat, különben örökre elveszik.

Ha ezt teszi, mivel ezek a kondenzátorok olyan kicsik és olyan közel vannak egymáshoz, kicsi az esélye annak, hogy az egyik vagy mindkét szomszédos sorban lévő kondenzátorok értéke megváltozik.

Most DRAM-nak hívják, mert nem tartja a töltését a végtelenségig, mint a statikus RAM vagy a flash memória (flashmemóriával akár ki is kapcsolhatod, és emlékezni fog, mi volt ott).

De a DRAM-mal körülbelül egy tizedmásodperc után a töltések az összes kis kondenzátorban eloszlanak.

Tehát állandóan újra kell írniuk.

És ha szupergyorsan ír át, akkor a közeli memóriában lévő biteket átfordíthatja.

Történelmileg ez az oka annak, hogy ez az oka annak, hogy ha tudsz játszani a memória igazításával, bár nem tudod megjósolni, hogy mely bitek fognak átfordulni, *lehet*, hogy belekeveredsz olyan dolgokba, mint a memóriaindexek, oldaltáblázatok, vagy a kernelen belüli adatok.

Még akkor is, ha csak a memóriából olvas, mert kiváltságtalan hozzáférése van ehhez a memóriához a kernelen kívül.

És ez az, amire a rowhammer támadások a mai napig általában összpontosítottak.

Nos, a Davis-i Kaliforniai Egyetem kutatói arra jutottak, hogy kitalálták: „Nos, kíváncsi vagyok, vajon a bit-flip minták, akármilyen álvéletlenek is, konzisztensek-e a különböző chipgyártók esetében?”

Ami valahogy úgy hangzik, mint egy „szupersüti”, nem?

Valami, ami legközelebb azonosítja a számítógépét.

És valóban, a kutatók még tovább mentek, és azt találták, hogy az egyes chipek… vagy memóriamodulok (általában több DRAM chip van rajtuk), DIMM-ek, dupla beépített memóriamodulok, amelyeket például az asztali számítógép nyílásaiba csíptethet, és egyes laptopokban.

Azt találták, hogy a bit-flip mintákat egyfajta írisz-letapogatássá, vagy valami ehhez hasonlóvá lehet alakítani, hogy később felismerjék a DIMM-eket azáltal, hogy ismét végrehajtják a rowhammering támadást.

Más szavakkal, törölheti a böngésző cookie-jait, módosíthatja a telepített alkalmazások listáját, megváltoztathatja a felhasználónevét, újratelepíthet egy vadonatúj operációs rendszert, de elméletileg a memória chipek biztosítják el.

És ebben az esetben az ötlet a következő: szuper sütik.

Nagyon érdekes, érdemes elolvasni.

---

DOUG.  Menő!

Még egy dolog a hírírással kapcsolatban, Paul: jó híríró vagy, és az ötlet az, hogy azonnal lekötjük az olvasót.

Tehát a következő cikk első mondatában azt mondod: "Még ha nem is hallottál a tiszteletreméltó Ghostscript projektről, akkor is használhattad anélkül, hogy tudtad volna."

Kíváncsi vagyok, mert a cím: A Ghostscript-hiba lehetővé teheti a rosszindulatú dokumentumok rendszerparancsok futtatását.

A Ghostscript-hiba lehetővé teheti a rosszindulatú dokumentumok rendszerparancsok futtatását

Mondj többet!

---

KACSA.  Nos, a Ghostscript az Adobe PostScript és PDF nyelveinek ingyenes és nyílt forráskódú megvalósítása.

(Ha még nem hallott a PostScriptről, a PDF egyfajta „PostScript Next Generation”.)

Ez egy módja annak, hogy leírja, hogyan hozhat létre nyomtatott oldalt vagy egy oldalt a számítógép képernyőjén anélkül, hogy megmondaná az eszköznek, hogy mely képpontokat kapcsolja be.

Tehát azt mondod: „Húzz ide négyzetet; rajzoljon itt háromszöget; használja ezt a gyönyörű betűtípust."

Ez egy önálló programozási nyelv, amely eszközfüggetlen vezérlést biztosít olyan dolgokhoz, mint a nyomtatók és a képernyők.

A Ghostscript pedig, amint mondtam, egy ingyenes és nyílt forráskódú eszköz, amely pontosan ezt teszi.

És számos más nyílt forráskódú termék is pontosan ezt az eszközt használja olyan dolgok importálására, mint például az EPS (Encapsulated PostScript) fájlok, amelyeket egy tervező cégtől kaphat.

Tehát előfordulhat, hogy anélkül is rendelkezik Ghostscripttel, hogy észrevenné – ez a fő probléma.

És ez egy kicsi, de nagyon bosszantó hiba volt.

Kiderült, hogy egy rosszindulatú dokumentum kimondhatja például: "Szeretnék létrehozni valami kimenetet, és XYZ fájlnévbe szeretném helyezni."

De ha a fájlnév elejére teszed, %pipe%, és *majd* a fájlnév…

…ez a fájlnév lesz a futtatandó parancs neve, amely a Ghostscript kimenetét az úgynevezett „csővezetékben” dolgozza fel.

Lehet, hogy ez egyetlen hiba esetében hosszú történetnek tűnik, de ennek a történetnek az a fontos része, hogy a probléma kijavítása után: „Ó, nem! Vigyáznunk kell, ha a fájlnév karakterekkel kezdődik %pipe%, mert ez valójában azt jelenti, hogy ez egy parancs, nem pedig egy fájlnév.”

Ez veszélyes lehet, mert távoli kódfuttatást okozhat.

Így befoltozták a hibát, majd valaki rájött: „Tudod mit, a hibák gyakran párban vagy csoportosan mennek.”

Vagy hasonló kódolási hibák máshol ugyanabban a kódrészletben, vagy az eredeti hiba kiváltásának több módja.

És ekkor valaki a Ghostscript Script csapatából rájött: „Tudod mit, mi is hagytuk, hogy gépeljenek | [függőleges sáv, azaz a „pipe” karakter] szóköz-parancs neve is, tehát ezt is ellenőriznünk kell.”

Tehát volt egy patch, majd egy patch-to-the-patch.

És ez nem feltétlenül a rosszindulat jele a programozó csapat részéről.

Ez valójában annak a jele, hogy nem csak a minimális mennyiségű munkát végezték el, hanem aláírják, és hagyják, hogy szenvedjen a másik dögtől, és várja meg, amíg megtalálják a vadonban.

---

DOUG.  És nehogy azt hidd, hogy befejeztük a bogarakról való beszélgetést, fiam, van egy doozie-nk a számodra!

Vészhelyzeti Apple javítás alakult, és akkor fel nem merült, majd az Apple hozzászólt hozzá, ami azt jelenti, hogy fel az le, a bal pedig jobb, Paul.

Sürgős! Az Apple kijavítja a kritikus nulladik napi lyukat az iPhone, iPad és Mac számítógépeken

---

KACSA.  Igen, ez egy kicsit a hibák komédiája.

Szinte, de nem egészen sajnálom az Apple-t ezen…

…de mivel ragaszkodnak ahhoz, hogy a lehető legkevesebbet mondják (amikor egyáltalán nem mondanak semmit), még mindig nem világos, hogy kinek a hibája.

De a történet így hangzik: „Ó, ne! Van egy 0 nap a Safariban, a WebKitben (az iPhone minden egyes böngészőjében és a Mac gépen a Safariban használt böngészőmotor), és a szélhámosok/kémprogram-szállítók/valaki ezt láthatóan nagy gonoszságra használja.”

Más szavakkal: „nézd meg és légy pwned”, vagy „drive-by install”, vagy „nulla-kattintásos fertőzés”, vagy ahogy akarod.

Tehát, mint tudják, az Apple most már rendelkezik ezzel a Rapid Security Response rendszerrel (legalábbis a legújabb iOS, iPadOS és macOS esetében), ahol nem kell teljes rendszerfrissítést készíteniük, egy teljesen új verziószámmal, amelyet soha nem tud visszamenni. -tól, minden alkalommal, amikor van egy 0 nap.

Így gyors biztonsági válaszok.

Ezek azok a dolgok, amelyek, ha nem működnek, utólag eltávolíthatod őket.

A másik dolog az, hogy általában nagyon kicsik.

Nagy!

A probléma az… úgy tűnik, hogy mivel ezek a frissítések nem kapnak új verziószámot, az Apple-nek meg kellett találnia a módját annak jelzésére, hogy Ön már telepítette a Rapid Security Response-t.

Tehát azt csinálják, hogy elveszik a verziószámát, például az iOS 16.5.1-et, és hozzáadnak egy szóköz karaktert, majd (a).

És az utcán az a hír járja, hogy egyes weboldalak (nem nevezem meg őket, mert mindez csak pletyka)…

…amikor megvizsgálták a User-Agent karakterlánc a Safariban, amely tartalmazza a (a) csak a teljesség kedvéért így szólt: „Húúúúú! Mi az (a) verziószámban csinálod?”

Tehát egyes felhasználók problémákról számoltak be, és nyilvánvalóan az Apple húzta a frissítés.

Az Apple csendben előveszi legújabb nulladik napi frissítését – mi van most?

Aztán egy csomó zűrzavar, és egy újabb cikk a meztelen biztonságról, és senki sem tudta, mi folyik itt… [NEVETÉS]

…Az Apple végre közzétette a HT21387-et, egy biztonsági közleményt, amelyet még azelőtt készítettek, hogy valóban készen lett volna a javítás, amit általában nem tesznek meg.

De ez szinte rosszabb volt, mintha nem mondtak semmit, mert azt mondták: „A probléma miatt a Rapid Security Response (b) hamarosan elérhető lesz a probléma megoldásához."

És ez az. [NEVETÉS]

Nem igazán mondják meg, mi a probléma.

Nem mondják, hogy ez múlik-e User-Agent karakterláncok, mert ha igen, akkor lehet, hogy a probléma inkább a másik oldalon van, mint magukkal az Apple-lel?

De az Apple nem mondja.

Tehát nem tudjuk, hogy ez az ő hibájuk, a webszerver vagy mindkettő hibája.

És csak azt mondják, hogy „hamarosan”, Doug.

---

DOUG.  Itt az alkalom, hogy feltegyük olvasói kérdésünket.

Az Apple-sztori kapcsán JP olvasó megkérdezi:

Miért kell a webhelyeknek annyira ellenőrizniük a böngészőt?

Túl gusztustalan, és a dolgok régi módjaira támaszkodik.

Mit szólsz ehhez, Paul?

---

KACSA.  Magam is ezen a kérdésen töprengtem, és utánanéztem: „Mihez kezdesz User-Agent húrok?”

Úgy tűnik, hogy ez egy kicsit állandó probléma azoknál a webhelyeknél, ahol szuperügyesek akarnak lenni.

Így hát elmentem az MDN-hez (azt hiszem, ami régen volt, Mozilla fejlesztői hálózat, de ez már közösségi oldal), amely az egyik legjobb forrás, ha kíváncsi: „Mi a helyzet a HTTP-fejlécekkel? Mi a helyzet a HTML-el? Mi a helyzet a JavaScript-el? Mi a helyzet a CSS-szel? Hogyan fér össze ez az egész?”

A tanácsuk pedig egészen egyszerűen a következő: „Kérem, mindenki, ne nézze tovább a User-Agent húr. Csak egy botot készítesz a saját hátadnak, és egy csomó bonyolultságot a többieknek."

Tehát miért nézik a webhelyek User-Agent?

[WRY] Gondolom, mert megtehetik. [NEVETÉS]

Amikor webhelyet hoz létre, kérdezze meg magát: „Miért megyek bele ebbe a nyúlüregbe, hogy más módon válaszolok valami furcsa zsinór miatt valahol User-Agent? "

Próbálj meg ezen túl gondolkodni, és az élet egyszerűbb lesz mindannyiunk számára.

---

DOUG.  Rendben, nagyon filozofikus!

Köszönöm, JP, hogy elküldted.

Ha van egy érdekes története, megjegyzése vagy kérdése, amelyet fel szeretne tenni, azt szívesen olvassuk a podcastban.

Írhat e-mailt a tips@sophos.com címre, megjegyzést írhat bármelyik cikkünkhöz, vagy felkereshet minket a közösségi oldalon: @nakedsecurity.

Ez a mai műsorunk; köszönöm szépen, hogy meghallgattál.

Paul Ducklin számára Doug Aamoth vagyok, emlékeztetve: a következő alkalomig…

---

MINDKÉT.  Maradjon biztonságban!

[ZENEI MODEM]