S3 Ep139: Le regole per le password sono come correre sotto la pioggia?

Nessun lettore audio sotto? Ascoltare direttamente su Soundcloud.

DOUG.  Patch Tuesday, punizione per il crimine informatico e divertimento con le password.

Tutto questo e molto altro sul podcast Naked Security.

[MODE MUSICALE]

Benvenuti nel podcast, a tutti.

Sono Doug Aamoth; lui è Paul Ducklin.

Paolo, come stai oggi?

---

ANATRA.  Doug, non dovrei dirlo... ma perché so cosa succederà Questa settimana nella storia della tecnologia, perché mi hai dato un'anteprima, sono molto emozionato!

---

DOUG.  Bene, bene, mettiamoci subito al lavoro!

Questa settimana, il 15 giugno, nel lontano 1949, Jay Forrester, professore al Massachusetts Institute of Technology, o MIT, scrisse...

---

ANATRA.  [FUMETTO DRAMMATICO] Non dirlo come se fossi di Boston e ne sei tutto compiaciuto, Doug? [RISATA]

---

DOUG.  Ehi, è un bellissimo campus; Ci sono stato molte volte.

---

ANATRA.  È anche una specie di famosa scuola di ingegneria, vero? [RIDE]

---

DOUG.  Lo è di sicuro!

Jay Forrester ha scritto una proposta per la "memoria di base" nel suo taccuino e in seguito avrebbe installato la memoria di base magnetica sul computer Whirlwind del MIT.

Questa invenzione ha reso i computer più affidabili e più veloci.

La memoria centrale è rimasta la scelta popolare per l'archiviazione dei computer fino allo sviluppo dei semiconduttori negli anni '1970.

---

ANATRA.  È un'idea straordinariamente semplice una volta che sai come funziona.

Piccolissimi nuclei magnetici di ferrite, come quelli che si trovano al centro di un trasformatore... come rondelle superminiaturizzate.

Erano magnetizzati, in senso orario o antiorario, per indicare zero o uno.

Era letteralmente una memoria magnetica.

E aveva la caratteristica funky, Douglas, che poiché la ferrite forma essenzialmente un magnete permanente...

…puoi rimagnetizzarlo, ma quando spegni l'alimentazione, rimane magnetizzato.

Quindi era non volatile!

Se hai avuto un'interruzione di corrente, potresti praticamente riavviare il computer e continuare da dove avevi interrotto.

Incredibile!

---

DOUG.  Eccezionale, sì ... è davvero fantastico.

---

ANATRA.  Apparentemente, il piano originale del MIT era di addebitare una royalty di US $ 0.02 per bit sull'idea.

Riesci a immaginare quanto sarebbe costoso, diciamo, una memoria per iPhone da 64 gigabyte?

Sarebbe in miliardi di dollari! [RIDE]

---

DOUG.  Irreale.

Beh, un po' di storia interessante, ma portiamola ai giorni nostri.

Non molto tempo fa... Microsoft Patch Tuesday.

Nessun giorno zero, ma comunque un sacco di correzioni, Paolo:

Patch Tuesday corregge 4 bug RCE critici e una serie di buchi di Office

---

ANATRA.  Bene, niente zero-day questo mese se ignori quel buco di esecuzione del codice remoto Edge di cui abbiamo parlato la scorsa settimana.

---

DOUG.  Mmmmm.

---

ANATRA.  Tecnicamente, non fa parte del Patch Tuesday...

… ma c'erano 26 bug di esecuzione di codice remoto [RCE] in totale e 17 bug di elevazione dei privilegi [EoP].

È lì che sono già entrati i truffatori, ma non possono ancora fare molto, quindi usano il bug EoP per ottenere superpoteri sulla tua rete e fare cose molto più vili.

Quattro di questi bug di esecuzione di codice remoto sono stati soprannominati "Critici" da Microsoft, il che significa che se sei una di quelle persone a cui piace ancora fare le tue patch in un ordine specifico, quelli sono quelli con cui ti suggeriamo di iniziare.

La buona notizia delle quattro patch critiche è che tre di esse si riferiscono allo stesso componente di Windows.

Per quanto ne so, si trattava di una serie di bug correlati, presumibilmente trovati durante una sorta di revisione del codice di quel componente.

Che si riferisce al servizio di messaggistica di Windows, se ti capita di usarlo nella tua rete.

---

DOUG.  E siamo stati tutti collettivamente ringraziati per la nostra pazienza con la debacle di SketchUp, che fino ad ora non sapevo esistesse.

---

ANATRA.  Come te, Doug, non ho mai usato questo programma chiamato SketchUp, che credo sia un programma di grafica 3D di terze parti.

Chi sapeva che sarebbe stato davvero fantastico poter inserire immagini 3D di SketchUp nei tuoi documenti Word, Excel, PowerPoint?

Come puoi immaginare, con un nuovissimo formato di file da analizzare, interpretare, elaborare, rendere all'interno di Office...

…Microsoft ha introdotto un bug che è stato corretto come CVE-2023-33146.

Ma la storia nascosta dietro la storia, se volete, è che il 01° giugno 2023 Microsoft ha annunciato che:

La possibilità di inserire elementi grafici di SketchUp è stata temporaneamente disabilitata in Word, Excel, PowerPoint e Outlook per Windows e Mac.

Apprezziamo la tua pazienza mentre lavoriamo per garantire la sicurezza e la funzionalità di questa funzione.

Sono lieto che Microsoft apprezzi la mia pazienza, ma forse vorrei che la stessa Microsoft fosse stata un po' più paziente prima di introdurre questa funzionalità in Office.

Vorrei che l'avessero messo lì *dopo* che era sicuro, piuttosto che metterlo dentro per vedere se era sicuro e scoprire, come dici tu (sorpresa! sorpresa!), che non lo era.

---

DOUG.  Grande.

Rimaniamo sull'argomento della pazienza.

Ho detto che avremmo "tenuto d'occhio questo", e ho sperato che non avremmo avuto bisogno di tenerlo d'occhio.

Ma dobbiamo allitterare un po', come hai fatto nel titolo.

Più mitigazioni MOVEit: nuove patch pubblicate per ulteriore protezione, Paolo.

Più mitigazioni MOVEit: nuove patch pubblicate per ulteriore protezione

---

ANATRA.  È di nuovo quel buon vecchio problema di MOVEit: il Errore di iniezione SQL.

Ciò significa che se stai utilizzando il programma MOVEit Transfer e non l'hai patchato, i truffatori che possono accedere al front-end basato sul web possono indurre il tuo server a fare cose cattive...

… fino all'incorporamento di una webshell che li lascerà entrare in seguito e fare quello che vogliono.

Come sapete, è stato rilasciato un CVE e Progress Software, i creatori di MOVEit, ha rilasciato una patch per gestire il noto exploit in circolazione.

Ora hanno un'altra patch per affrontare bug simili che, per quanto ne sanno, i truffatori non hanno ancora trovato (ma se guardassero bene, potrebbero farlo).

E, per quanto strano possa sembrare, quando scopri che una particolare parte del tuo software ha un bug di un tipo particolare, non dovresti essere sorpreso se, quando scavi più a fondo...

... scopri che il programmatore (o il team di programmazione che ci ha lavorato nel momento in cui è stato introdotto il bug che già conosci) ha commesso errori simili nello stesso periodo.

Così ben fatto in questo caso, direi, a Progress Software per aver cercato di affrontare la cosa in modo proattivo.

Progress Software ha appena detto, “Tutti i clienti Move It devono applicare la nuova patch rilasciata il 09 giugno 2023.

---

DOUG.  OK, immagino che... lo terremo d'occhio!

Paul, aiutami qui.

Sono nell'anno 2023, leggo in a Titolo Naked Security qualcosa su “Mt. Vaix.

Cosa mi sta succedendo?

Storia rivisitata: il Dipartimento di Giustizia degli Stati Uniti svela le accuse di criminalità informatica di Mt. Gox

---

ANATRA.  Monte Gox!

"Magic The Gathering Online Exchange", Doug, com'era...

---

DOUG.  [RISATA] Certo!

---

ANATRA.  …dove puoi scambiare le carte di Magic The Gathering.

Quel dominio è stato venduto e chi ha una lunga memoria saprà che si è trasformato nello scambio di Bitcoin più popolare e di gran lunga il più grande del pianeta.

Era gestito da un espatriato francese, Mark Karpelès, fuori dal Giappone.

Tutto stava andando a gonfie vele, a quanto pare, fino a quando non è imploso in uno sbuffo di polvere di criptovaluta nel 2014, quando si sono resi conto che, in parole povere, tutti i loro Bitcoin erano scomparsi.

---

DOUG.  [RIDE] Non dovrei ridere!

---

ANATRA.  647,000 di loro, o qualcosa del genere.

E anche allora, valevano già circa 800 dollari l'uno, quindi il "puff" valeva mezzo miliardo di dollari USA.

Curiosamente, all'epoca, molte dita puntarono contro lo stesso team di Mt. Gox, dicendo: "Oh, questo deve essere un lavoro interno".

E infatti, il giorno di capodanno, penso che sia stato, nel 2015, un giornale giapponese chiamato Yomiuri Shimbun ha effettivamente pubblicato un articolo che diceva: "Abbiamo esaminato questo aspetto e l'1% delle perdite può essere spiegato con la scusa che ho inventato; per il resto, andremo a verbale dicendo che è stato un lavoro interno.

Ora, quell'articolo che hanno pubblicato, che ha causato molto dramma perché è un'accusa piuttosto drammatica, ora dà un errore 404 [pagina HTTP non trovata] quando lo visiti oggi.

---

DOUG.  Molto interessante!

---

ANATRA.  Quindi non credo che lo sostengano più.

E, in effetti, il Dipartimento di Giustizia [DOJ] negli Stati Uniti ha finalmente, finalmente, tutti questi anni dopo, ha effettivamente accusato due cittadini russi di aver praticamente rubato tutti i Bitcoin.

Quindi sembra che Mark Karpelès abbia ottenuto almeno un esonero parziale, per gentile concessione del Dipartimento di Giustizia degli Stati Uniti, perché hanno decisamente messo questi due tizi russi nella cornice di questo crimine tanti anni fa.

---

DOUG.  È una lettura affascinante.

Quindi dai un'occhiata su Naked Security.

Tutto quello che devi fare è cercare, hai indovinato, “Mt. Vaix”.

Rimaniamo in tema di criminalità informatica, come ha fatto uno dei principali trasgressori del malware bancario Gozi finito in carcere dopo dieci lunghi anni, Paolo:

Il "capo IT" del malware bancario Gozi è stato finalmente incarcerato dopo oltre 10 anni

---

ANATRA.  Sì... è stato un po' come aspettare l'autobus.

Sono arrivate subito due sorprendenti storie del tipo "wow, questo è successo dieci anni fa, ma alla fine lo prenderemo". [RISATA]

E questo, ho pensato, era importante scrivere di nuovo, solo per dire: “Questo è il Dipartimento di Giustizia; non si sono dimenticati di lui.

In realtà. È stato arrestato in Colombia.

Credo che abbia fatto visita, ed era all'aeroporto di Bogotá, e immagino che i funzionari di frontiera abbiano pensato: "Oh, quel nome è su una lista di controllo"!

E così apparentemente i funzionari colombiani hanno pensato: "Contattiamo il servizio diplomatico degli Stati Uniti".

Hanno detto: "Ehi, stiamo trattenendo un tizio qui di nome (non menzionerò il suo nome - c'è nell'articolo) .. eri interessato a lui, in relazione a crimini di malware multimilionari molto gravi . Sei ancora interessato, per caso?"

E, che sorpresa, Doug, gli Stati Uniti erano davvero molto interessati.

Quindi, è stato estradato, ha affrontato il tribunale, si è dichiarato colpevole e ora è stato condannato.

Avrà solo tre anni di prigione, che possono sembrare una condanna leggera, e dovrà restituire più di $ 3,000,000.

Non so cosa succede se non lo fa, ma immagino sia solo un promemoria che scappando e nascondendosi dalla criminalità legata al malware...

… beh, se ci sono accuse contro di te e gli Stati Uniti ti stanno cercando, non si limitano a dire: “Ah, sono passati dieci anni, tanto vale lasciar perdere”.

E la criminalità di questo tizio era quella di gestire quelli che in gergo vengono definiti “host antiproiettile”, Doug.

Questo è fondamentalmente dove sei una specie di ISP, ma a differenza di un normale ISP, fai di tutto per essere un bersaglio mobile per le forze dell'ordine, per le liste di blocco e per gli avvisi di rimozione dai normali ISP.

Quindi, fornisci servizi, ma li mantieni, se vuoi, spostati e in movimento su Internet, in modo che i truffatori ti paghino una quota e sappiano che i domini che stai ospitando per loro continueranno a funzionare lavorando, anche se le forze dell'ordine ti stanno cercando.

---

DOUG.  Va bene, di nuovo grandi notizie.

Paul, mentre completiamo le nostre storie per la giornata, hai affrontato un problema molto difficile, ricco di sfumature, eppure domanda importante sulle password.

Vale a dire, dovremmo cambiarli costantemente a rotazione, forse una volta al mese?

O bloccare quelli davvero complessi per cominciare, e poi lasciarli abbastanza bene da soli?

Considerazioni sulle modifiche pianificate della password (non chiamatele rotazioni!)

---

ANATRA.  Anche se suona come una sorta di vecchia storia, e in effetti è quella che abbiamo visitato molte volte prima, il motivo per cui l'ho scritta è che un lettore mi ha contattato per chiedere proprio questa cosa.

Ha detto: “Non voglio andare in battuta per 2FA; Non voglio entrare in bat per i gestori di password. Queste sono questioni separate. Voglio solo sapere come risolvere, se vuoi, la guerra per il territorio tra due fazioni all'interno della mia azienda, dove alcune persone dicono che dobbiamo fare le password correttamente, e altri dicono solo: "Quella barca è salpata, è troppo difficile, costringeremo le persone a cambiarle e questo sarà abbastanza buono'".

Quindi ho pensato che valesse davvero la pena scriverne.

A giudicare dal numero di commenti su Naked Security e sui social media, molti team IT stanno ancora lottando con questo.

Se costringi le persone a cambiare le loro password ogni 30 o 60 giorni, ha davvero importanza se ne scelgono una che sia eminentemente craccabile se il loro hash viene rubato?

Sempre che non scelgano password or secret o uno dei migliori dieci nomi di gatti nel mondo, forse va bene se li costringiamo a cambiarlo con un'altra password non molto buona prima che i truffatori possano decifrarla?

Forse è abbastanza buono?

Ma ho tre motivi per cui non puoi correggere una cattiva abitudine semplicemente seguendo un'altra cattiva abitudine.

---

DOUG.  Il primo uscito dal cancello: La modifica regolare delle password non è un'alternativa alla scelta e all'utilizzo di password complesse, Paolo.

---

ANATRA.  No!

Potresti scegliere di fare entrambe le cose (e tra un minuto ti fornirò due ragioni per cui penso che costringere le persone a cambiarle regolarmente abbia un'altra serie di problemi).

Ma la semplice osservazione è che cambiare regolarmente una password errata non la rende una password migliore.

Se vuoi una password migliore, scegli una password migliore per iniziare!

---

DOUG.  E tu dici: Costringere le persone a cambiare regolarmente le proprie password può cullarle in cattive abitudini.

---

ANATRA.  A giudicare dai commenti, questo è esattamente il problema che hanno molti team IT.

Se dici alle persone: "Ehi, devi cambiare la tua password ogni 30 giorni, ed è meglio che tu ne scelga una buona", tutto quello che faranno è...

… ne sceglieranno uno buono.

Passeranno una settimana a memorizzarlo per il resto della loro vita.

E poi ogni mese aggiungeranno -01, -02, E così via.

Quindi, se i truffatori craccano o compromettono una delle password e vedono uno schema del genere, possono praticamente capire qual è la tua password oggi se conoscono la tua password di sei mesi fa.

Quindi è qui che forzare il cambiamento quando non è necessario può portare le persone a prendere scorciatoie per la sicurezza informatica che non vuoi che facciano.

---

DOUG.  E questo è interessante.

Ne abbiamo già parlato prima, ma è qualcosa a cui alcune persone potrebbero non aver pensato: La pianificazione delle modifiche alla password può ritardare le risposte di emergenza.

Che cosa vuoi dire con questo?

---

ANATRA.  Il punto è che se hai un programma fisso e formalizzato per le modifiche della password in modo che tutti sappiano che quando arriva l'ultimo giorno di questo mese, saranno comunque costretti a cambiare la loro password...

…e poi pensano: “Sai una cosa? È il 12 del mese e sono andato su un sito Web di cui non sono sicuro che potrebbe essere un sito di phishing. Bene, cambierò comunque la mia password tra due settimane, quindi non andrò a cambiarla ora.

Quindi, cambiando le tue password *regolarmente*, potresti finire con l'abitudine in cui a volte, quando è davvero, davvero importante, non cambi la tua password *frequentemente* abbastanza.

Se e quando pensi che ci sia un buon motivo per cambiare la tua password, FALLO ADESSO!

---

DOUG.  Lo adoro!

Bene, sentiamo uno dei nostri lettori sul pezzo della password.

Il lettore di Naked Security Philip scrive, in parte:

Cambiare spesso le password per non essere compromessi è come pensare che se corri abbastanza veloce puoi schivare tutte le gocce di pioggia.

OK, schiverai le gocce di pioggia che cadono dietro di te, ma ce ne saranno altrettante dove stai andando.

E, costretti a cambiare regolarmente le proprie password, un numero molto elevato di persone aggiungerà semplicemente un numero che possono incrementare come richiesto.

Come hai detto tu, Paolo!

---

ANATRA.  Il tuo amico e il mio, Chester [Wisniewski] ha detto, alcuni anni fa, quando stavamo parlando miti sulle password, “Tutto quello che devono fare [LAUGHS], per capire qual è il numero alla fine, è andare alla tua pagina LinkedIn. 'Iniziato in questa azienda nell'agosto 2017'... conta il numero di mesi trascorsi da allora."

Questo è il numero che ti serve alla fine.

Sophos Techknow – Sfatare i miti sulle password

---

DOUG.  Esattamente! [RISATA]

---

ANATRA.  E il problema arriva che quando provi a programmare o algoritmizzare... è una parola?

(Probabilmente non dovrebbe esserlo, ma lo userò comunque.)

Quando cerchi di prendere l'idea di casualità, di entropia e di imprevedibilità e di racchiuderla in un algoritmo super rigido, come l'algoritmo che descrive come i caratteri e i numeri sono disposti sulle targhette dei veicoli, per esempio...

…poi ti ritroverai con *meno* casualità, non *più*, e devi esserne consapevole.

Quindi, costringere le persone a fare qualsiasi cosa che le faccia cadere in uno schema è, come disse Chester all'epoca, semplicemente abituarle a una cattiva abitudine.

E mi piace quel modo di metterlo.

---

DOUG.  Va bene, grazie mille per avermelo inviato, Philip.

E se hai una storia, un commento o una domanda interessante che vorresti sottoporre, ci piacerebbe leggerlo sul podcast.

Puoi inviare un'e-mail a tips@sophos.com, commentare uno qualsiasi dei nostri articoli o contattarci sui social: @nakedsecurity.

Questo è il nostro spettacolo per oggi.

Grazie mille per l'ascolto.

Per Paul Ducklin, sono Doug Aamoth, per ricordarti, alla prossima volta, di...

---

TUTTI E DUE.  Stai al sicuro!

[MODE MUSICALE]