S3 Ep139: Apakah aturan kata sandi seperti berlari menembus hujan?

S3 Ep139: Apakah aturan kata sandi seperti berlari menembus hujan?

Stempel Waktu: 15 Juni 2023 12
S3 Ep139: Apakah aturan kata sandi seperti berlari menembus hujan? Kecerdasan Data PlatoBlockchain. Pencarian Vertikal. Ai.
by Paul Bebek

JANGAN MEMBUAT KEBIASAAN BURUK

Memori inti magnetik. Patch Selasa dan kejahatan SketchUp. Lagi mitigasi MOVEit. Gunung Gox kembali dalam berita. Gozi penjahat malware dipenjara akhirnya. Apakah aturan kata sandi seperti berlari menembus hujan?

Tidak ada pemutar audio di bawah? Mendengarkan langsung di Soundcloud.

Dengan Doug Aamoth dan Paul Ducklin. Musik intro dan outro oleh Edith Mudge.

Anda dapat mendengarkan kami di SoundCloud, Podcast Apple, Google Podcast, Spotify, Mesin penjahit dan di mana pun podcast bagus ditemukan. Atau jatuhkan saja URL umpan RSS kami ke dalam podcatcher favorit Anda.

BACA TRANSKRIPNYA

ANJING.  Patch Tuesday, pembalasan kejahatan dunia maya, dan bersenang-senang dengan kata sandi.

Semua itu, dan banyak lagi, di podcast Naked Security.

[MODEM MUSIK]

Selamat datang di podcast, semuanya.

Saya Doug Aamoth; dia adalah Paul Ducklin.

Paulus, bagaimana kabarmu hari ini?

BEBEK.  Doug, aku seharusnya tidak mengatakan ini... tapi karena aku tahu apa yang akan terjadi Minggu ini dalam Sejarah Teknologi, karena Anda memberi saya pratinjau, saya sangat senang!

ANJING.  Baiklah, mari kita langsung saja!

Minggu ini, pada tanggal 15 Juni, jauh di tahun 1949, Jay Forrester, seorang Profesor di Massachusetts Institute of Technology, atau MIT, menulis…

BEBEK.  [MOCK DRAMA] Jangan katakan itu seperti kamu dari Boston dan kamu semua puas dengan itu, Doug? [TAWA]

ANJING.  Hei, ini kampus yang indah; Saya pernah ke sana berkali-kali.

BEBEK.  Ini semacam sekolah teknik terkenal juga, bukan? [TERTAWA]

ANJING.  Pastilah itu!

Jay Forrester menulis proposal untuk "memori inti" di buku catatannya, dan kemudian memasang memori inti magnetik di komputer Whirlwind MIT.

Penemuan ini membuat komputer lebih andal dan lebih cepat.

Memori inti tetap menjadi pilihan populer untuk penyimpanan komputer hingga pengembangan semikonduktor pada tahun 1970-an.

BEBEK.  Ini adalah ide yang sangat sederhana setelah Anda tahu cara kerjanya.

Inti magnet ferit kecil, seperti yang Anda dapatkan di tengah trafo… seperti mesin cuci super mini.

Mereka magnet, baik searah jarum jam atau berlawanan arah jarum jam, berarti nol atau satu.

Itu benar-benar adalah penyimpanan magnetik.

Dan itu memiliki fitur yang funky, Douglas, karena ferit pada dasarnya membentuk magnet permanen…

… Anda dapat memagnetisasinya kembali, tetapi saat Anda mematikan daya, magnet tetap termagnetisasi.

Jadi itu tidak mudah menguap!

Jika Anda mengalami kegagalan daya, pada dasarnya Anda dapat me-restart komputer dan melanjutkan di mana Anda tinggalkan.

Amazing!

ANJING.  Luar biasa, ya… keren banget.

BEBEK.  Rupanya, rencana awal MIT adalah membebankan royalti sebesar US$0.02 per bit untuk ide tersebut.

Bisakah Anda bayangkan betapa mahalnya, katakanlah, memori iPhone 64 gigabyte?

Itu akan menjadi miliaran dolar! [TERTAWA]

ANJING.  Tidak nyata

Nah, beberapa sejarah yang menarik, tapi mari kita bawa ke zaman modern.

Belum lama ini… Microsoft Patch Selasa.

Tidak ada nol hari, tapi tetap saja banyak perbaikan, Paulus:

Patch Tuesday memperbaiki 4 bug RCE kritis, dan banyak lubang Office

BEBEK.  Nah, tidak ada nol hari bulan ini jika Anda mengabaikan lubang eksekusi kode jarak jauh Edge yang kita bicarakan minggu lalu.

ANJING.  Hmmmmmm.

BEBEK.  Secara teknis, itu bukan bagian dari Patch Tuesday…

…tetapi ada total 26 bug eksekusi kode jarak jauh [RCE], dan 17 bug elevasi-of-privilege [EoP].

Di situlah penjahat sudah masuk, tetapi mereka belum bisa berbuat banyak, jadi mereka kemudian menggunakan bug EoP untuk mendapatkan kekuatan super di jaringan Anda, dan melakukan lebih banyak hal pengecut.

Empat dari bug eksekusi kode jarak jauh itu dijuluki "Kritis" oleh Microsoft, artinya jika Anda adalah salah satu dari orang-orang yang masih suka melakukan tambalan dalam urutan tertentu, itulah yang kami sarankan untuk Anda mulai.

Kabar baik tentang empat tambalan penting adalah bahwa tiga di antaranya berhubungan dengan komponen Windows yang sama.

Sejauh yang saya tahu, itu adalah sekumpulan bug terkait, mungkin ditemukan selama semacam tinjauan kode dari komponen itu.

Yang berhubungan dengan Layanan Pesan Windows, jika Anda menggunakannya di jaringan Anda.

ANJING.  Dan kami semua secara kolektif berterima kasih atas kesabaran kami dengan bencana SketchUp, yang saya tidak tahu ada sampai sekarang.

BEBEK.  Seperti Anda, Doug, saya tidak pernah menggunakan program bernama SketchUp ini, yang menurut saya adalah program grafik 3D pihak ketiga.

Siapa yang tahu bahwa akan sangat bagus untuk dapat memasukkan gambar 3D SketchUp ke dalam dokumen Word, Excel, PowerPoint Anda?

Seperti yang dapat Anda bayangkan, dengan format file baru untuk diurai, ditafsirkan, diproses, dirender di dalam Office…

…Microsoft memperkenalkan bug yang diperbaiki sebagai CVE-2023-33146.

Tapi cerita tersembunyi di balik cerita, jika Anda mau, adalah bahwa pada 01 Juni 2023, Microsoft mengumumkan bahwa:

Kemampuan untuk menyisipkan grafik SketchUp untuk sementara dinonaktifkan di Word, Excel, PowerPoint, dan Outlook untuk Windows dan Mac.

Kami menghargai kesabaran Anda selama kami bekerja untuk memastikan keamanan dan fungsionalitas fitur ini.

Saya senang Microsoft menghargai kesabaran saya, tetapi saya mungkin berharap Microsoft sendiri sedikit lebih sabar sebelum memperkenalkan fitur ini ke Office sejak awal.

Saya berharap mereka telah meletakkannya di sana * setelah * itu aman, daripada memasukkannya untuk melihat apakah itu aman dan mencari tahu, seperti yang Anda katakan (kejutan! Kejutan!), Ternyata tidak.

ANJING.  Besar.

Mari kita tetap pada subjek kesabaran.

Saya mengatakan bahwa kami akan "mengawasi ini", dan saya berharap kami tidak perlu mengawasi ini.

Tapi kita harus sedikit mengulang, seperti yang Anda lakukan di tajuk utama.

Lebih banyak mitigasi MOVEit: tambalan baru diterbitkan untuk perlindungan lebih lanjut, Paulus.

Lebih banyak mitigasi MOVEit: tambalan baru diterbitkan untuk perlindungan lebih lanjut

BEBEK.  Ini masalah MOVEit lama yang bagus lagi: itu bug injeksi SQL.

Itu berarti bahwa jika Anda menggunakan program Transfer MOVEit, dan Anda belum menambalnya, maka penjahat yang dapat mengakses ujung depan berbasis web dapat mengelabui server Anda untuk melakukan hal-hal buruk…

…hingga dan termasuk menyematkan webshell yang akan membuat mereka masuk nanti dan melakukan apa pun yang mereka inginkan.

Seperti yang Anda ketahui, ada CVE yang dikeluarkan, dan Progress Software, pembuat MOVEit, mengeluarkan tambalan untuk menangani eksploit yang diketahui di alam liar.

Mereka sekarang memiliki tambalan lain untuk menangani bug serupa yang, sejauh yang mereka tahu, belum ditemukan oleh para penjahat (tetapi jika mereka mencari cukup keras, mereka mungkin).

Dan, seaneh kedengarannya, ketika Anda menemukan bahwa bagian tertentu dari perangkat lunak Anda memiliki bug jenis tertentu, Anda tidak perlu heran jika, ketika Anda menggali lebih dalam…

… Anda menemukan bahwa programmer (atau tim pemrograman yang mengerjakannya pada saat bug yang sudah Anda ketahui diperkenalkan) melakukan kesalahan serupa pada waktu yang hampir bersamaan.

Dilakukan dengan sangat baik dalam hal ini, menurut saya, untuk Progress Software karena mencoba menangani ini secara proaktif.

Progress Software baru saja berkata, “Semua pelanggan Move It harus menerapkan patch baru yang dirilis pada 09 Juni 2023.

ANJING.  OK, saya kira kita akan… awasi itu!

Paul, bantu aku di sini.

Saya di tahun 2023, membaca di a Judul Keamanan Telanjang sesuatu tentang “Gunung. Astaga.”

Apa yang terjadi padaku?

Sejarah ditinjau kembali: DOJ AS membuka segel tuduhan kejahatan dunia maya Mt. Gox

BEBEK.  Gunung Gox!

“Magic The Gathering Online Exchange”, Doug, seperti…

ANJING.  [TERTAWA] Tentu saja!

BEBEK.  …di mana Anda dapat menukar kartu Magic The Gathering.

Domain itu terjual, dan mereka yang memiliki ingatan panjang akan tahu bahwa itu berubah menjadi pertukaran Bitcoin yang paling populer, dan sejauh ini terbesar di planet ini.

Itu dijalankan oleh seorang ekspatriat Prancis, Mark Karpelès, dari Jepang.

Semuanya berjalan dengan lancar, tampaknya, sampai meledak dalam kepulan debu cryptocurrency pada tahun 2014, ketika mereka menyadari bahwa, secara umum, semua Bitcoin mereka telah menghilang.

ANJING.  [TERTAWA] Seharusnya aku tidak tertawa!

BEBEK.  647,000 dari mereka, atau sesuatu.

Dan bahkan saat itu, mereka sudah bernilai sekitar $800 per pop, jadi itu adalah "kepulan" senilai setengah miliar dolar AS.

Menariknya, pada saat itu, banyak yang menunjuk ke tim Mt.Gox itu sendiri, berkata, "Oh, ini pasti pekerjaan orang dalam."

Dan faktanya, pada Hari Tahun Baru, menurut saya, pada tahun 2015, sebuah surat kabar Jepang bernama Yomiuri Shimbun benar-benar menerbitkan sebuah artikel yang mengatakan, “Kami telah menyelidiki hal ini, dan 1% kerugian dapat dijelaskan dengan alasan mereka telah datang dengan; selebihnya, kami akan mencatat dengan mengatakan bahwa itu adalah pekerjaan orang dalam.

Sekarang, artikel yang mereka terbitkan, yang menimbulkan banyak drama karena tuduhan yang cukup dramatis, sekarang memberikan kesalahan 404 [Halaman HTTP tidak ditemukan] saat Anda mengunjunginya hari ini.

ANJING.  Sangat menarik!

BEBEK.  Jadi saya tidak berpikir mereka mendukungnya lagi.

Dan, memang, Departemen Kehakiman [DOJ] di Amerika Serikat akhirnya, pada akhirnya, bertahun-tahun kemudian, benar-benar mendakwa dua warga negara Rusia karena pada dasarnya mencuri semua Bitcoin.

Jadi sepertinya Mark Karpelès setidaknya mendapat pembebasan sebagian, atas izin dari Departemen Kehakiman AS, karena mereka telah menempatkan dua orang Rusia ini dalam kerangka kejahatan ini bertahun-tahun yang lalu.

ANJING.  Ini bacaan yang menarik.

Jadi periksa di Naked Security.

Yang harus Anda lakukan adalah mencari, Anda dapat menebaknya, “Mt. Astaga”.

Mari kita tetap membahas masalah kejahatan dunia maya, sebagai salah satu pelanggar utama di balik malware perbankan Gozi mendarat di penjara setelah sepuluh tahun yang panjang, Paul:

Malware perbankan Gozi "kepala TI" akhirnya dipenjara setelah lebih dari 10 tahun

BEBEK.  Ya… itu seperti menunggu bus.

Dua cerita menakjubkan “wow, ini terjadi sepuluh tahun yang lalu, tapi pada akhirnya kita akan mendapatkannya” cerita tiba sekaligus. [TAWA]

Dan yang ini, menurut saya, penting untuk ditulis lagi, hanya untuk mengatakan, “Ini adalah Departemen Kehakiman; mereka tidak melupakan dia.”

Sebenarnya. Dia ditangkap di Kolombia.

Saya percaya dia berkunjung, dan dia berada di Bandara Bogotá, dan saya kira petugas perbatasan berpikir, “Oh, nama itu ada dalam daftar pantauan”!

Dan rupanya para pejabat Kolombia berpikir, "Mari kita hubungi Layanan Diplomatik AS."

Mereka berkata, “Hei, kami menahan seorang pria di sini dengan nama (saya tidak akan menyebutkan namanya - itu ada di artikel) .. Anda dulu tertarik padanya, berkaitan dengan kejahatan malware bernilai jutaan dolar yang sangat serius . Apakah Anda masih tertarik, kebetulan?

Dan, sungguh mengejutkan, Doug, AS memang sangat tertarik.

Jadi, dia diekstradisi, diadili, mengaku bersalah, dan sekarang dia telah dijatuhi hukuman.

Dia hanya akan mendapatkan tiga tahun penjara, yang mungkin tampak seperti hukuman ringan, dan dia harus mengembalikan lebih dari $3,000,000.

Saya tidak tahu apa yang terjadi jika dia tidak melakukannya, tapi saya kira itu hanya pengingat bahwa dengan berlari dan bersembunyi dari kriminalitas terkait malware…

… yah, jika ada tuduhan terhadap Anda dan AS mencari Anda, mereka tidak hanya berkata, “Ah, ini sepuluh tahun, sebaiknya kita tinggalkan saja.”

Dan kriminalitas orang ini menjalankan apa yang dikenal dalam jargon sebagai "host antipeluru", Doug.

Itu pada dasarnya di mana Anda semacam ISP, tetapi tidak seperti ISP biasa, Anda berusaha keras untuk menjadi target yang bergerak ke penegakan hukum, ke daftar blokir, dan untuk menghapus pemberitahuan dari ISP biasa.

Jadi, Anda menyediakan layanan, tetapi Anda menyimpannya, jika Anda suka, berpindah-pindah dan bergerak di internet, sehingga penjahat membayar Anda biaya, dan mereka tahu bahwa domain yang Anda hosting untuk mereka akan terus berjalan. bekerja, bahkan jika penegakan hukum mengejar Anda.

ANJING.  Baiklah, berita besar lagi.

Paul, Anda telah, saat kami melengkapi cerita kami untuk hari ini, bergulat dengan nuansa yang sangat sulit pertanyaan penting tentang kata sandi.

Yakni, haruskah kita mengubahnya terus-menerus secara bergiliran, mungkin sebulan sekali?

Atau kunci yang sangat rumit untuk memulai, dan kemudian tinggalkan dengan cukup baik?

Pikiran tentang perubahan kata sandi terjadwal (jangan sebut itu rotasi!)

BEBEK.  Meskipun kedengarannya seperti cerita lama, dan memang itu adalah salah satu yang telah kami kunjungi berkali-kali sebelumnya, alasan saya menulisnya adalah karena seorang pembaca menghubungi saya untuk menanyakan hal ini.

Dia berkata, “Saya tidak ingin menjadi kelelawar untuk 2FA; Saya tidak ingin membahas tentang pengelola kata sandi. Itu adalah masalah yang terpisah. Saya hanya ingin tahu bagaimana menyelesaikan, jika Anda suka, perang wilayah antara dua faksi di dalam perusahaan saya, di mana beberapa orang mengatakan kami perlu membuat kata sandi dengan benar, dan yang lain hanya mengatakan, 'Perahu itu berlayar, terlalu sulit, kami hanya akan memaksa orang untuk mengubahnya dan itu sudah cukup'.”

Jadi saya pikir itu benar-benar layak untuk ditulis tentang itu.

Dilihat dari banyaknya komentar di Naked Security, dan di media sosial, banyak tim IT yang masih bergumul dengan hal ini.

Jika Anda hanya memaksa orang untuk mengubah kata sandi mereka setiap 30 hari atau 60 hari, apakah penting jika mereka memilih kata sandi yang sangat mudah dipecahkan jika hash mereka dicuri?

Selama mereka tidak memilih password or secret atau salah satu dari Sepuluh Nama Kucing Teratas di dunia, mungkin tidak apa-apa jika kita memaksa mereka untuk mengubahnya menjadi kata sandi lain yang tidak terlalu bagus sebelum penjahat dapat memecahkannya?

Mungkin itu cukup baik?

Tapi saya punya tiga alasan mengapa Anda tidak bisa memperbaiki kebiasaan buruk hanya dengan mengikuti kebiasaan buruk lainnya.

ANJING.  Yang pertama keluar dari gerbang: Mengubah kata sandi secara teratur bukanlah alternatif untuk memilih dan menggunakan kata sandi yang kuat, Paul.

BEBEK.  Tidak!

Anda mungkin memilih untuk melakukan keduanya (dan saya akan memberi Anda dua alasan sebentar lagi mengapa menurut saya memaksa orang untuk mengubahnya secara teratur memiliki masalah lain).

Tetapi pengamatan sederhananya adalah bahwa mengubah kata sandi yang buruk secara teratur tidak menjadikannya kata sandi yang lebih baik.

Jika Anda menginginkan kata sandi yang lebih baik, pilih kata sandi yang lebih baik untuk memulai!

ANJING.  Dan kamu bilang: Memaksa orang untuk mengubah kata sandi mereka secara rutin dapat membuai mereka ke dalam kebiasaan buruk.

BEBEK.  Dilihat dari komentarnya, inilah masalah yang dialami banyak tim TI.

Jika Anda memberi tahu orang-orang, "Hei, Anda harus mengubah kata sandi Anda setiap 30 hari, dan sebaiknya Anda memilih kata sandi yang bagus," yang akan mereka lakukan hanyalah…

…mereka akan memilih yang bagus.

Mereka akan menghabiskan satu minggu mengingatnya selama sisa hidup mereka.

Dan kemudian setiap bulan mereka akan menambahkan -01, -02, Dan sebagainya.

Jadi jika penjahat memecahkan atau menyusupi salah satu kata sandi, dan mereka melihat pola seperti itu, mereka dapat mengetahui kata sandi Anda hari ini jika mereka mengetahui kata sandi Anda dari enam bulan yang lalu.

Jadi di situlah memaksa perubahan ketika tidak diperlukan dapat membuat orang mengambil jalan pintas keamanan siber yang Anda tidak ingin mereka lakukan.

ANJING.  Dan ini yang menarik.

Kami telah membicarakan hal ini sebelumnya, tetapi ini adalah sesuatu yang mungkin tidak terpikirkan oleh sebagian orang: Menjadwalkan perubahan kata sandi dapat menunda tanggapan darurat.

Bagaimana apanya?

BEBEK.  Intinya adalah jika Anda memiliki jadwal formal dan tetap untuk perubahan kata sandi sehingga semua orang tahu bahwa ketika hari terakhir bulan ini tiba, mereka akan dipaksa untuk mengubah kata sandi mereka…

… dan kemudian mereka berpikir, “Kamu tahu? Ini tanggal 12 bulan itu, dan saya membuka situs web yang saya tidak yakin apakah itu situs phishing. Yah, saya akan mengubah kata sandi saya dalam dua minggu, jadi saya tidak akan pergi dan mengubahnya sekarang.

Jadi, dengan mengubah kata sandi Anda *secara teratur*, Anda mungkin berakhir dengan kebiasaan di mana kadang-kadang, ketika itu benar-benar penting, Anda tidak cukup sering mengubah kata sandi Anda.

Jika dan ketika Anda berpikir ada alasan yang baik untuk mengubah kata sandi Anda, LAKUKAN SEKARANG!

ANJING.  Aku menyukainya!

Baiklah, mari kita dengar dari salah satu pembaca kami tentang kata sandi.

Pembaca Naked Security, Philip menulis, sebagian:

Sering mengganti kata sandi agar tidak disusupi adalah seperti berpikir bahwa jika Anda berlari cukup cepat, Anda dapat menghindari semua tetesan air hujan.

Oke, Anda akan menghindari tetesan air hujan yang jatuh di belakang Anda, tetapi akan ada banyak tempat yang Anda tuju.

Dan, terpaksa mengubah kata sandi mereka secara teratur, sejumlah besar orang hanya akan menambahkan nomor yang dapat mereka tambahkan sesuai kebutuhan.

Seperti yang Anda katakan, Paulus!

BEBEK.  Teman Anda dan saya, kata Chester [Wisniewski], beberapa tahun yang lalu ketika kita sedang membicarakannya mitos kata sandi, “Yang perlu mereka lakukan [TERTAWA], untuk mengetahui berapa nomornya di akhir, adalah membuka halaman LinkedIn Anda. 'Dimulai di perusahaan ini pada Agustus 2017'… hitung jumlah bulan sejak saat itu.”

Itulah nomor yang Anda butuhkan pada akhirnya.

Sophos Techknow – Menghilangkan Mitos Kata Sandi

ANJING.  Tepat! [TAWA]

BEBEK.  Dan masalahnya muncul ketika Anda mencoba dan menjadwalkan, atau membuat algoritme… apakah itu sebuah kata?

(Mungkin seharusnya tidak, tapi saya akan tetap menggunakannya.)

Ketika Anda mencoba dan mengambil ide tentang keacakan, dan entropi, dan ketidakpastian, dan menggabungkannya ke dalam beberapa algoritme super ketat, seperti algoritme yang menjelaskan bagaimana karakter dan angka diletakkan pada label kendaraan, misalnya…

…maka Anda berakhir dengan *lebih sedikit* keacakan, bukan *lebih*, dan Anda perlu menyadarinya.

Jadi, memaksa orang untuk melakukan apa pun yang menyebabkan mereka jatuh ke dalam suatu pola, seperti yang dikatakan Chester pada saat itu, hanya membuat mereka terbiasa dengan kebiasaan buruk.

Dan saya suka cara mengatakannya.

ANJING.  Baiklah, terima kasih banyak telah mengirimkannya, Philip.

Dan jika Anda memiliki cerita, komentar, atau pertanyaan menarik yang ingin Anda kirimkan, kami akan senang membacanya di podcast.

Anda dapat mengirim email ke tips@sophos.com, mengomentari salah satu artikel kami, atau menghubungi kami di media sosial: @nakedsecurity.

Itu acara kami hari ini.

Terima kasih banyak untuk mendengarkan.

Untuk Paul Ducklin, saya Doug Aamoth, mengingatkan Anda, sampai waktu berikutnya, untuk…

KEDUA.  Tetap aman!

[MODEM MUSIK]

Stempel Waktu:

Lebih dari Keamanan Telanjang