S3 Ep139: האם חוקי סיסמה הם כמו ריצה בגשם?

S3 Ep139: האם חוקי סיסמה הם כמו ריצה בגשם?

חותמת זמן: 15 ביוני 2023 12:43
S3 Ep139: האם חוקי סיסמה הם כמו ריצה בגשם? PlatoBlockchain Data Intelligence. חיפוש אנכי. איי.
by פול דוקלין

אל תכנס להרגל של הרגל רע

זיכרון ליבה מגנטית. תיקון יום שלישי ושטויות של SketchUp. יותר מיכון MOVEit. הר גוקס בחזרה בחדשות. גוזי פושע תוכנות זדוניות סוף סוף כלוא. האם חוקי סיסמה כמו לרוץ בגשם?

אין נגן אודיו למטה? להקשיב ישירות בסאונדקלאוד.

עם דאג אמות ופול דאקלין. מוזיקת ​​אינטרו ואאוטרו מאת אדית מדג'.

אתה יכול להאזין לנו ב Soundcloud, Apple Podcasts, Google Podcasts, Spotify, Stitcher ובכל מקום שבו נמצאים פודקאסטים טובים. או פשוט זרוק את כתובת האתר של הזנת ה-RSS שלנו לתוך הפודקטצ'ר האהוב עליך.

קרא את התמליל

DOUG.  תיקון יום שלישי, התמודדות עם פשעי סייבר וכיף עם סיסמאות.

כל זה, ועוד, בפודקאסט הביטחון העירום.

[מודם מוזיקלי]

ברוכים הבאים לפודקאסט, כולם.

אני דאג אמות'; הוא פול דאקלין.

פול, מה שלומך היום?

ברווז.  דאג, אני לא צריך להגיד את זה... אלא בגלל שאני יודע מה נכנס השבוע בהיסטוריה הטכנולוגית, בגלל שנתת לי תצוגה מקדימה, אני מאוד מתרגש!

DOUG.  בסדר, ובכן, בוא ניגש לזה!

השבוע, ב-15 ביוני, כבר ב-1949, ג'יי פורסטר, שהיה פרופסור במכון הטכנולוגי של מסצ'וסטס, או MIT, כתב...

ברווז.  [MOCK DRAMA] אל תגיד את זה כאילו אתה מבוסטון וכולם זחוחים לגבי זה, דאג? [צחוק]

DOUG.  היי, זה קמפוס יפהפה; הייתי שם הרבה פעמים.

ברווז.  זה גם סוג של בית ספר מפורסם להנדסה, לא? [צוחק]

DOUG.  זה בטוח שכן!

ג'יי פורסטר רשם הצעה ל"זיכרון ליבה" במחברת שלו, ובהמשך יתקין זיכרון ליבה מגנטי במחשב Whirlwind של MIT.

המצאה זו הפכה את המחשבים לאמינים ומהירים יותר.

זיכרון הליבה נשאר הבחירה הפופולרית לאחסון מחשבים עד לפיתוח המוליכים למחצה בשנות ה-1970.

ברווז.  זה רעיון פשוט להפליא ברגע שאתה יודע איך זה עובד.

ליבות מגנטיות פריט קטנות, כמו שהיית מקבל במרכזו של שנאי... כמו מנקי כביסה סופר-מיניאטוריים.

הם היו ממוגנטים, בכיוון השעון או נגד כיוון השעון, כלומר אפס או אחד.

זה ממש היה אחסון מגנטי.

והייתה לו את התכונה הפופולרית, דאגלס, שבגלל שפריט יוצר בעצם מגנט קבוע...

...אתה יכול למגנט אותו מחדש, אבל כאשר אתה מכבה את המתח, הוא נשאר ממוגנט.

אז זה היה לא נדיף!

אם הייתה לך הפסקת חשמל, אתה יכול בעצם להפעיל מחדש את המחשב ולהמשיך מאיפה שהפסקת.

מדהים!

DOUG.  יוצא מן הכלל, כן... זה ממש מגניב.

ברווז.  ככל הנראה, התוכנית המקורית של MIT הייתה לגבות תמלוגים של 0.02 דולר ארה"ב לביט על הרעיון.

האם אתה יכול לתאר לעצמך כמה יקר זה יעלה, נגיד, זיכרון אייפון של 64 גיגה-בייט?

זה יהיה במיליארדי דולרים! [צוחק]

DOUG.  לא אמיתי.

ובכן, קצת היסטוריה מעניינת, אבל בואו נביא אותה לימינו המודרניים.

לא מזמן... Microsoft Patch Tuesday.

אין אפס-ימים, אבל בכל זאת הרבה תיקונים, פול:

Patch Tuesday מתקן 4 באגים קריטיים של RCE, וחבורה של חורים ב-Office

ברווז.  ובכן, אין אפס ימים החודש אם תתעלמו מהחור הזה בביצוע קוד מרחוק של Edge שעליו דיברנו בשבוע שעבר.

DOUG.  המממממ.

ברווז.  טכנית, זה לא חלק מ-Patch Tuesday...

...אבל היו 26 באגים של ביצוע קוד מרחוק [RCE] בסך הכל, ו-17 באגים של העלאת הרשאות [EoP].

זה המקום שבו נוכלים כבר נמצאים, אבל הם עדיין לא יכולים לעשות הרבה, אז הם משתמשים בבאג EoP כדי להשיג כוחות על ברשת שלך, ולעשות דברים הרבה יותר מגעילים.

ארבעה מאותם באגים של ביצוע קוד מרחוק כונו "קריטיים" על ידי מיקרוסופט, כלומר, אם אתה אחד מאותם אנשים שעדיין אוהבים לעשות את התיקונים שלך בסדר מסוים, אלה הם אלה שאנו מציעים לך להתחיל איתם.

החדשות הטובות לגבי ארבעת התיקונים הקריטיים הן ששלושה מהם מתייחסים לאותו רכיב Windows.

עד כמה שאני יכול להבין, זה היה חבורה של באגים קשורים, כנראה שנמצאו במהלך איזושהי סקירת קוד של הרכיב הזה.

מה שקשור לשירות ההודעות של Windows, אם במקרה אתה משתמש בזה ברשת שלך.

DOUG.  ולכולנו הודו ביחד על הסבלנות שלנו עם תקלת SketchUp, שלא ידעתי שקיימת עד עכשיו.

ברווז.  כמוך, דאג, מעולם לא השתמשתי בתוכנה הזו שנקראת SketchUp, שלדעתי היא תוכנת גרפיקה תלת מימדית של צד שלישי.

מי ידע שזה יהיה ממש נהדר להיות מסוגל לשחרר תמונות SketchUp 3D למסמכי Word, Excel, PowerPoint שלך?

כפי שאתה יכול לדמיין, עם פורמט קובץ חדש לגמרי לניתוח, לפרש, לעבד, לעיבוד בתוך Office...

...מיקרוסופט הציגה באג שתוקן כ-CVE-2023-33146.

אבל הסיפור החבוי מאחורי הסיפור, אם תרצה, הוא שב-01 ביוני 2023, מיקרוסופט הודיעה כי:

היכולת להכניס גרפיקה של SketchUp הושבתה זמנית ב-Word, Excel, PowerPoint ו-Outlook עבור Windows ו-Mac.

אנו מעריכים את סבלנותך בזמן שאנו פועלים להבטיח את האבטחה והפונקציונליות של תכונה זו.

אני שמח שמיקרוסופט מעריכה את הסבלנות שלי, אבל אולי הייתי רוצה שמיקרוסופט עצמה הייתה קצת יותר סבלנית לפני שהציגה את התכונה הזו ל-Office מלכתחילה.

הלוואי והיו מכניסים אותו לשם *אחרי* שהוא היה מאובטח, במקום להכניס אותו כדי לראות אם הוא מאובטח ולגלות, כמו שאתה אומר (הפתעה! הפתעה!), שזה לא היה.

DOUG.  גדול.

בואו נישאר בנושא של סבלנות.

אמרתי שאנחנו "נשים עין על זה", וקיוויתי שלא נצטרך לפקוח עין על זה.

אבל אנחנו חייבים להסתיר קצת, כפי שעשית בכותרת.

עוד הקלות ב-MOVEit: תיקונים חדשים שפורסמו להגנה נוספת, פול.

עוד הקלות ב-MOVEit: תיקונים חדשים שפורסמו להגנה נוספת

ברווז.  זו שוב הבעיה הישנה והטובה של MOVEit: ה באג הזרקת SQL.

זה אומר שאם אתה משתמש בתוכנת MOVEit Transfer, ולא תיקנת אותה, נוכלים שיכולים לגשת לחזית מבוססת האינטרנט יכולים להערים על השרת שלך לעשות דברים רעים...

...עד וכולל הטמעת webshell שתאפשר להם לשוטט מאוחר יותר ולעשות מה שהם רוצים.

כידוע, הוצאה CVE, ו-Progress Software, יצרניות MOVEit, הוציאו תיקון כדי להתמודד עם הניצול הידוע בטבע.

כעת יש להם תיקון נוסף להתמודד עם באגים דומים שככל שהם יודעים, הנוכלים עדיין לא מצאו (אבל אם הם יחפשו מספיק טוב, אולי הם עשויים).

ועד כמה שזה נשמע מוזר, כשאתה מגלה שבחלק מסוים של התוכנה שלך יש באג מסוג מסוים, אתה לא צריך להיות מופתע אם, כשאתה חופר לעומק...

...אתה מגלה שהמתכנת (או צוות התכנות שעבד עליו בזמן שהבאג שאתה כבר יודע עליו הוצג) ביצע שגיאות דומות בערך באותו זמן.

אז כל הכבוד במקרה הזה, הייתי אומר, ל-Progress Software שניסתה להתמודד עם זה באופן יזום.

תוכנת פרוגרס אמרה בדיוק, "כל לקוחות Move It חייבים להחיל את התיקון החדש ששוחרר ב-09 ביוני 2023.

DOUG.  בסדר, אני מניח ש... נשמור על זה!

פול, עזור לי כאן.

אני בשנת 2023, קורא בעוד א כותרת אבטחה עירומה משהו על "הר. גוקס."

מה קורה לי?

היסטוריה חוזרת: משרד המשפטים האמריקני מבטל את האשמות בפשעי סייבר של הר גוקס

ברווז.  הר גוקס!

"Magic The Gathering Online Exchange", דאג, כפי שהיה...

DOUG.  [צוחק] כמובן!

ברווז.  ...שם תוכל לסחור בקלפי Magic The Gathering.

הדומיין הזה נמכר, ובעלי זכרונות ארוכים ידעו שהוא הפך לבורסת הביטקוין הפופולרית ביותר, וללא ספק הגדולה ביותר, על פני כדור הארץ.

הוא נוהל על ידי גולה צרפתי, מארק קרפלס, שיצא מיפן.

הכל התנהל כשורה, ככל הנראה, עד שהתפרץ בנשיפה של אבק מטבעות קריפטוגרפיים ב-2014, כשהבינו שבאופן רופף, כל הביטקוינים שלהם נעלמו.

DOUG.  [צוחק] אני לא צריך לצחוק!

ברווז.  647,000 מהם, או משהו.

וגם אז, הם כבר היו שווים כ-800 דולר לפופ, כך שזה היה "שאיפה" בשווי של חצי מיליארד דולר.

באופן מסקרן, בזמנו, הרבה אצבעות הפנו לעבר צוות הר גוקס עצמו, ואמרו, "הו, זו חייבת להיות עבודה פנימית".

ולמעשה, ביום השנה החדשה, אני חושב שזה היה, בשנת 2015, עיתון יפני בשם Yomiuri Shimbun למעשה פרסם מאמר שאמר: "בדקנו את זה, ו-1% מההפסדים יכולים להיות מוסברים בתירוץ שהם המצאתי; לכל השאר, אנחנו מתעדכנים ואומרים שזו הייתה עבודה פנימית".

עכשיו, המאמר הזה שהם פרסמו, שגרם להרבה דרמה כי זו האשמה די דרמטית, נותן כעת שגיאת 404 [דף HTTP לא נמצא] כשאתה מבקר בו היום.

DOUG.  מעניין מאוד!

ברווז.  אז אני לא חושב שהם עומדים בזה יותר.

ואכן, משרד המשפטים [DOJ] בארצות הברית סוף סוף, סוף סוף, כל השנים לאחר מכן, האשים למעשה שני אזרחים רוסים בגניבת כל הביטקוין.

אז זה נשמע כאילו מארק קרפלס קיבל פטור חלקי לפחות, באדיבות משרד המשפטים האמריקני, כי הם בהחלט שמו את שני הרוסים הללו במסגרת הפשע הזה לפני כל השנים הללו.

DOUG.  זה קריאה מרתקת.

אז בדוק את זה ב-Naked Security.

כל מה שאתה צריך לעשות הוא לחפש, ניחשתם נכון, "הר. גוקס".

בואו נישאר בנושא פשעי סייבר, שכן אחד העבריינים העיקריים מאחורי תוכנת הזדונית הבנקאית של Gozi נחת בכלא אחרי עשר שנים ארוכות, פול:

תוכנת זדונית בנקאית של Gozi "מנהלת IT" נכלאה לבסוף לאחר יותר מעשר שנים

ברווז.  כן... זה היה קצת כמו לחכות לאוטובוס.

שני סיפורי "וואו, זה קרה לפני עשר שנים, אבל בסוף נשיג אותו" הגיעו בבת אחת. [צחוק]

ואת זה, חשבתי, חשוב לכתוב שוב, רק כדי לומר, "זה משרד המשפטים; הם לא שכחו אותו."

בעצם. הוא נעצר בקולומביה.

אני מאמין שהוא ביקר, והוא היה בשדה התעופה של בוגוטה, ואני מניח שפקידי הגבול חשבו, "הו, השם הזה ברשימת מעקב"!

וכך כנראה הפקידים הקולומביאנים חשבו, "בואו ניצור קשר עם השירות הדיפלומטי האמריקני."

הם אמרו, "היי, אנחנו מחזיקים כאן בחור בשם (לא אזכיר את שמו - זה בכתבה). פעם התעניינת בו, בהתייחס לפשעי תוכנות זדוניות חמורות מאוד של מיליוני דולרים . אתה עדיין מתעניין, במקרה?"

ומה הפתעה, דאג, ארה"ב התעניינה מאוד.

אז הוא הוסגר, עמד בפני בית משפט, הודה באשמה, ועכשיו הוא נידון.

הוא יקבל רק שלוש שנות מאסר, מה שעשוי להיראות כמו עונש קל, והוא צריך להחזיר יותר מ-3,000,000 דולר.

אני לא יודע מה יקרה אם הוא לא יעשה זאת, אבל אני מניח שזו רק תזכורת שעל ידי ריצה והסתתרות מפשע הקשורות לתוכנות זדוניות...

ובכן, אם יש אישומים נגדך וארה"ב מחפשת אותך, הם לא פשוט אומרים, "אה, עברו עשר שנים, אולי כדאי שנעזוב את זה."

והפשיעה של הבחור הזה ניהלה את מה שמכונה בעגה "מארחים חסיני כדורים", דאג.

זה בעצם המקום שבו אתה סוג של ספק שירותי אינטרנט, אבל בניגוד לספק אינטרנט רגיל, אתה יוצא מגדרו כדי להיות יעד נע לאכיפת החוק, לרשימות חסימה ולהודעות הסרה מספקיות אינטרנט רגילות.

אז, אתה מספק שירותים, אבל אתה שומר אותם, אם תרצה, בתנועה ובתנועה באינטרנט, כך שהנוכלים ישלמו לך עמלה, והם יודעים שהדומיינים שאתה מארח עבורם פשוט יימשכו. עובד, גם אם אכיפת החוק רודף אחריך.

DOUG.  בסדר, שוב חדשות נהדרות.

פול, אתה, בעודנו מסיימים את הסיפורים שלנו להיום, התמודדת עם נושא קשה מאוד, בעל ניואנסים, אך שאלה חשובה לגבי סיסמאות.

כלומר, האם עלינו לשנות אותם כל הזמן ברוטציה, אולי פעם בחודש?

או לנעול מורכבות ממש מלכתחילה, ואז לעזוב מספיק טוב?

מחשבות על שינויי סיסמה מתוזמנים (אל תקראו להם סיבובים!)

ברווז.  למרות שזה נשמע כמו סוג של סיפור ישן, ואכן זה אחד שביקרנו בו פעמים רבות בעבר, הסיבה שכתבתי אותו היא שקורא פנה אלי כדי לשאול על הדבר הזה בדיוק.

הוא אמר, "אני לא רוצה להיכנס ל-2FA; אני לא רוצה להיכנס ל-bat עבור מנהלי סיסמאות. אלו נושאים נפרדים. אני רק רוצה לדעת איך ליישב, אם תרצה, את מלחמת הדשא בין שני פלגים בתוך החברה שלי, שבה יש אנשים שאומרים שאנחנו צריכים לעשות סיסמאות כמו שצריך, ואחרים פשוט אומרים, 'הסירה הזו הפליגה, זה קשה מדי, אנחנו פשוט נאלץ אנשים לשנות אותם וזה יהיה מספיק טוב'".

אז חשבתי שבאמת שווה לכתוב על זה.

אם לשפוט לפי מספר התגובות ב-Naked Security ובמדיה החברתית, הרבה צוותי IT עדיין נאבקים בזה.

אם פשוט תכריח אנשים לשנות את הסיסמאות שלהם כל 30 יום או 60 יום, האם זה באמת משנה אם הם בוחרים באחת שאפשר לפיצוח במיוחד אם ה-hash שלהם ייגנב?

כל עוד הם לא בוחרים password or secret או אחד מעשרת שמות החתולים המובילים בעולם, אולי זה בסדר אם נכריח אותם לשנות אותה לסיסמה אחרת לא מאוד טובה לפני שהנוכלים יצליחו לפצח אותה?

אולי זה פשוט מספיק טוב?

אבל יש לי שלוש סיבות מדוע אינך יכול לתקן הרגל רע על ידי ביצוע הרגל רע אחר.

DOUG.  הראשון שיצא מהשער: שינוי סיסמאות באופן קבוע אינו חלופה לבחירה ושימוש בסיסמאות חזקות, פול

ברווז.  לא!

אתה יכול לבחור לעשות את שניהם (ואני אתן לך שתי סיבות תוך דקה מדוע אני חושב שלכריח אנשים לשנות אותם באופן קבוע יש עוד סדרה של בעיות).

אבל ההערה הפשוטה היא ששינוי סיסמה גרועה באופן קבוע לא הופך אותה לסיסמה טובה יותר.

אם אתה רוצה סיסמה טובה יותר, בחר סיסמה טובה יותר מלכתחילה!

DOUG.  ואתה אומר: אילוץ אנשים לשנות את הסיסמאות שלהם באופן שגרתי עלול להרגיע אותם להרגלים רעים.

ברווז.  אם לשפוט לפי ההערות, זו בדיוק הבעיה שיש להרבה צוותי IT.

אם אתה אומר לאנשים, "היי, אתה צריך לשנות את הסיסמה שלך כל 30 יום, וכדאי שתבחר סיסמה טובה", כל מה שהם יעשו זה...

... הם יבחרו אחד טוב.

הם יקדישו שבוע למסור את זה לזיכרון למשך שארית חייהם.

ואז כל חודש הם יוסיפו -01, -02, וכן הלאה.

אז אם הנוכלים אכן מפצחים או מתפשרים על אחת מהסיסמאות, והם רואים דפוס כזה, הם יכולים כמעט להבין מהי הסיסמה שלך היום אם הם יודעים את הסיסמה שלך מלפני שישה חודשים.

אז זה המקום שבו אילוץ שינוי כאשר זה לא הכרחי יכול להוביל אנשים לנקוט קיצורי אבטחת סייבר שאתה לא רוצה שהם יעשו.

DOUG.  וזה מעניין.

דיברנו על זה בעבר, אבל זה משהו שחלק מהאנשים אולי לא חשבו עליו: תזמון שינויי סיסמה עלול לעכב תגובות חירום.

למה אתה מתכוון?

ברווז.  הנקודה היא שאם יש לך לוח זמנים רשמי וקבוע לשינויי סיסמאות, כך שכולם ידעו שכשהיום האחרון של החודש יגיע, הם ייאלצו לשנות את הסיסמה שלהם בכל מקרה...

...ואז הם חושבים, "אתה יודע מה? זה ה-12 לחודש, והלכתי לאתר שאני לא בטוח לגביו שיכול היה להיות אתר דיוג. ובכן, בכל מקרה אני הולך לשנות את הסיסמה שלי בעוד שבועיים, אז אני לא אלך לשנות אותה עכשיו."

לכן, על ידי שינוי הסיסמאות שלך *באופן קבוע*, אתה עלול להגיע להרגל שלפעמים, כשזה ממש ממש חשוב, אתה לא מחליף את הסיסמה *תדירות* מספיק.

אם וכאשר אתה חושב שיש סיבה טובה לשנות את הסיסמה שלך, עשה זאת עכשיו!

DOUG.  אני אוהב את זה!

בסדר, בוא נשמע מאחד הקוראים שלנו על קטע הסיסמה.

קורא אבטחה עירום פיליפ כותב, בין השאר:

שינוי הסיסמאות שלך לעתים קרובות כדי לא להתפשר זה כמו לחשוב שאם אתה רץ מספיק מהר, אתה יכול להתחמק מכל טיפות הגשם.

בסדר, אתה תתחמק מטיפות הגשם שירדו מאחוריך, אבל יהיו לא פחות הרבה לאן שאתה הולך.

ומכריחים אותם לשנות באופן קבוע את הסיסמאות שלהם, מספר גדול מאוד של אנשים פשוט יצרפו מספר שהם יכולים להגדיל כנדרש.

כמו שאמרת, פול!

ברווז.  חבר שלך ושלי, צ'סטר [וויסנייבסקי] אמר, לפני כמה שנים כשדיברנו על מיתוסים של סיסמאות, "כל מה שהם צריכים לעשות [צוחק], כדי להבין מה המספר בסוף, זה ללכת לדף הלינקדאין שלך. 'התחיל בחברה זו באוגוסט 2017'... ספר את מספר החודשים מאז".

זה המספר שאתה צריך בסוף.

Sophos Techknow - הפסקת מיתוסי סיסמאות

DOUG.  בְּדִיוּק! [צחוק]

ברווז.  והבעיה באה שכאשר אתה מנסה לתזמן, או לבצע אלגוריתם... האם זו מילה?

(כנראה שזה לא צריך להיות, אבל אני אשתמש בזה בכל מקרה.)

כשאתה מנסה לקחת את הרעיון של אקראיות, אנטרופיה וחוסר חיזוי, ולכלס אותו לאיזה אלגוריתם סופר קפדני, כמו האלגוריתם שמתאר כיצד התווים והמספרים מונחים על תגי הרכב, למשל...

...אז אתה מסיים עם *פחות* אקראיות, לא *יותר*, ואתה צריך להיות מודע לכך.

לכן, להכריח אנשים לעשות כל דבר שגורם להם ליפול לדפוס זה, כפי שצ'סטר אמר בזמנו, פשוט להכניס אותם להרגל של הרגל רע.

ואני אוהב את הדרך הזו לנסח את זה.

DOUG.  בסדר, תודה רבה ששלחת את זה, פיליפ.

ואם יש לכם סיפור מעניין, תגובה או שאלה שתרצו לשלוח, נשמח לקרוא אותם בפודקאסט.

אתה יכול לשלוח דוא"ל ל-tips@sophos.com, להגיב על כל אחד מהמאמרים שלנו, או להתקשר אלינו ברשת החברתית: @nakedsecurity.

זו ההופעה שלנו להיום.

תודה רבה על ההקשבה.

עבור פול דאקלין, אני דאג אמות', ומזכיר לך, עד הפעם הבאה...

שניהם.  הישאר בטוח!

[מודם מוזיקלי]

בול זמן:

עוד מ ביטחון עירום