S3 Ep143: מקרי מעקב סופר-עוגיות

S3 Ep143: מקרי מעקב סופר-עוגיות

חותמת זמן: 13 ביולי 2023 12:48
S3 Ep143: מעקב אחר עוגיות עוגיות משבש את מודיעין הנתונים של PlatoBlockchain. חיפוש אנכי. איי.
by פול דוקלין

לשיר שיר של SUPERCOOKIES

זוכרים את כלל השקופיות. מה אתה צריך לדעת על Patch Tuesday. עוגיית-על שונאי מעקב. כאשר באגים להגיע בזוגות. אפל מהירה תיקון שהיה צריך מהירה תיקון. User-Agent נחשב מזיק.

אין נגן אודיו למטה? להקשיב ישירות בסאונדקלאוד.

עם דאג אמות ופול דאקלין. מוזיקת ​​אינטרו ואאוטרו מאת אדית מדג'.

אתה יכול להאזין לנו ב Soundcloud, Apple Podcasts, Google Podcasts, Spotify ובכל מקום שבו נמצאים פודקאסטים טובים. או פשוט זרוק את כתובת האתר של הזנת ה-RSS שלנו לתוך הפודקטצ'ר האהוב עליך.

קרא את התמליל

DOUG.  תיקון חירום של אפל, מחשבי תאורת גז, ולמה אני לא יכול להמשיך להשתמש ב-WINDOWS 7?

כל זה, ועוד, בפודקאסט הביטחון העירום.

[מודם מוזיקלי]

ברוכים הבאים לפודקאסט, כולם.

אני דאג אמות'; הוא פול דאקלין.

פול, מה שלומך?

ברווז.  ובכן, אני קצת נבהל, דאג.

היית מאוד דרמטי לגבי הצורך להמשיך להשתמש ב-Windows 7!

DOUG.  ובכן, כמו הרבה אנשים, אני כועס על זה (בדיחה!), ונדבר על זה עוד מעט.

אבל קודם כל, חשוב מאוד השבוע בהיסטוריה הטכנולוגית מגזר.

11 ביולי 1976 סימן את ההתנשפות האחרונה עבור כלי חישוב מתמטי שהיה נפוץ פעם.

אני, כמובן, מתייחס לכלל השקופיות.

הדגם האחרון שיוצר בארה"ב, דגם Keuffel & Esser 4081-3, הוצג בפני מכון סמיתסוניאן, מסמן את סופו של עידן מתמטי...

… עידן שהתיישן על ידי מחשבים ומחשבונים כמו האהוב על פול, ה-HP-35.

אז, פול, אני מאמין שיש לך דם על הידיים, אדוני.

ברווז.  מעולם לא היה לי HP-35.

ראשית, הייתי צעיר מדי, ושנית, הם היו 395 דולר כל אחד כשהם נכנסו.

DOUG.  [צוחק] וואו!

ברווז.  אז לקח עוד שנתיים עד שהמחירים קרסו, כשחוק מור נכנס לתוקף.

ואז אנשים לא רצו להשתמש בכללי שקופיות יותר.

אבא שלי נתן לי את הישן שלו, ואני הערכתי את הדבר הזה כי זה היה נהדר...

...ואני אגיד לך מה חוק שקופיות מלמד אותך, כי כשאתה משתמש בו לכפל, אתה בעצם ממירה את שני המספרים שאתה רוצה להכפיל למספרים בין 1 ל-10, ואז אתה מכפיל אותם יחד.

ואז אתה צריך לחשב לאן הנקודה העשרונית הולכת.

אם חילקתם מספר אחד ב-100 והכפלתם את השני ב-1000 כדי להגיע לטווח, אז בסך הכל עליכם להוסיף אפס אחד, כדי להכפיל ב-10, בסוף.

אז זו הייתה דרך נפלאה ללמד את עצמך אם התשובות שקיבלת מהמחשבון האלקטרוני שלך, שבו הקלדת מספרים ארוכים כמו 7,000,000,000...

...אם באמת קיבלת את סדר הגודל, המעריך, נכון.

כללי שקופיות והמקבילה המודפסת שלהם, טבלאות יומן, לימדו אותך הרבה על איך לנהל סדרי גודל בראש שלך, ולא לקבל תוצאות מזויפות בקלות רבה מדי.

DOUG.  מעולם לא השתמשתי באחד, אבל זה נשמע מאוד מרגש ממה שתיארת זה עתה.

בואו נמשיך את ההתרגשות.

בשבוע שעבר, פיירפוקס שוחרר גרסת 115:

Firefox 115 יצא, אומר שלום למשתמשים בגרסאות ישנות יותר של Windows ו-Mac

הם כללו הערה שהייתי רוצה לקרוא, ואני מצטט:

בינואר 2023 סיימה מיקרוסופט את התמיכה ב-Windows 7 ו-Windows 8.

כתוצאה מכך, זוהי הגרסה האחרונה של Firefox שמשתמשים במערכות הפעלה אלה יקבלו.

ואני מרגיש שבכל פעם שאחד מההערות האלה מצורף למהדורה הסופית, אנשים יוצאים ואומרים, "למה אני לא יכול להמשיך להשתמש ב-Windows 7?"

אפילו היה לנו מגיב שאמר ש-Windows XP זה בסדר גמור.

אז מה היית אומר לאנשים האלה, פול, שלא רוצים להמשיך מגרסאות מערכת ההפעלה שהם אוהבים?

ברווז.  הדרך הטובה ביותר עבורי לנסח זאת, דאג, היא לקרוא בחזרה את מה שלדעתי אמרו המגיבים המושכלים יותר במאמר שלנו.

אלכס פייר כותב:

זה לא קשור רק למה *אתה* רוצה, אלא על איך אפשר להשתמש ולנצל אותך, ובתמורה לפגוע באחרים.

ופול רו אמר באופן סאטירי למדי:

מדוע אנשים עדיין מריצים את Windows 7, או XP לצורך העניין?

אם הסיבה היא שמערכות הפעלה חדשות יותר גרועות, למה לא להשתמש ב-Windows 2000?

לעזאזל, NT 4 היה כל כך מדהים שהוא קיבל שש ערכות שירות!

DOUG.  [צוחק] 2000 *היה* מדהים, אבל.

ברווז.  לא הכל קשור אליך.

זה קשור לעובדה שהמערכת שלך כוללת באגים, שנוכלים כבר יודעים לנצל, שלעולם, לעולם לא יתוקנו.

אז התשובה היא שלפעמים אתה פשוט צריך לשחרר, דאג.

DOUG.  "עדיף לאהוב ולאבד מאשר לא לאהוב בכלל", כמו שאומרים.

בואו נישאר בנושא של מיקרוסופט.

תיקון יום שלישי, פול, נותן בשפע.

מיקרוסופט מתקנת ארבעה ימים אפס, סוף סוף נוקטת בפעולה נגד מנהלי התקנים של ליבת תוכנות פשיעה

ברווז.  כן, המספר הגדול הרגיל של באגים תוקן.

החדשות הגדולות מתוך זה, הדברים שאתה צריך לזכור (ויש שני מאמרים שאתה יכול go ו להתייעץ ב-news.sophos.com אם אתה רוצה לדעת את הפרטים העגומים)...

בעיה אחת היא שארבעה מהחרקים האלה נמצאים בחורים הפראיים, אפס יום, שכבר מנוצלים.

שניים מהם הם עוקפי אבטחה, ועד כמה שזה נשמע טריוויאלי, הם כנראה קשורים ללחיצה על כתובות אתרים או פתיחת דברים במיילים שבהם בדרך כלל היית מקבל אזהרה האומרת, "האם אתה באמת בטוח שאתה רוצה לעשות את זה?"

מה שאם לא כן עלול לעצור לא מעט אנשים לעשות טעות לא רצויה.

ויש שני חורים של גובה הרשאות (EoP) קבועים.

ולמרות שהעלאת הרשאות בדרך כלל נתפסת כפחותה מביצוע קוד מרחוק, שם נוכלים משתמשים בבאג כדי לפרוץ פנימה מלכתחילה, הבעיה עם EoP קשורה לנוכלים שכבר "מסתובבים עם כוונה" ברשת שלך .

זה כאילו הם מסוגלים לשדרג את עצמם מאורחים בלובי של מלון לפורץ סופר סודי ושקט שלפתע ובאופן קסם יש לו גישה לכל החדרים במלון.

אז בהחלט כדאי להיזהר מהם.

ויש ייעוץ אבטחה מיוחד של מיקרוסופט...

... ובכן, יש כמה מהם; זה שאני רוצה להסב את תשומת לבך אליו הוא ADV23001, שבעצם זה מיקרוסופט אומרת, "היי, תזכרו כשחוקרים של Sophos דיווחו לנו שהם מצאו המון רוטקיטרי מתרחש עם מנהלי התקנים של ליבה חתומים שאפילו Windows עכשווי היה פשוט לטעון כי הם אושרו לשימוש?"

אני חושב שבסופו של דבר היו הרבה יותר מ-100 נהגים חתומים כאלה.

החדשות הגדולות בייעוץ זה הן שכל החודשים האלה לאחר מכן, מיקרוסופט סוף סוף אמרה, "בסדר, אנחנו הולכים לעצור את טעינת הדרייברים האלה ונתחיל לחסום אותם באופן אוטומטי."

[אירוני] שאני מניח שהוא די גדול מהם, באמת, כשלפחות חלק מהמנהלי התקנים הללו היו חתומים על ידי מיקרוסופט עצמה, כחלק מתוכנית איכות החומרה שלהם. [צוחק]

אם אתה רוצה למצוא את הסיפור מאחורי הסיפור, כמו שאמרתי, פשוט פנה אל news.sophos.com וחפש את "נהגים

מיקרוסופט מבטלת מנהלי התקנים זדוניים ב-Patch Tuesday Culling

DOUG.  מעולה.

בסדר, הסיפור הבא הזה... אני מסוקרנת מהכותרת הזו מכל כך הרבה סיבות: Rowhammer חוזר להאיר את המחשב שלך.

אבטחה רצינית: Rowhammer חוזר להאיר את המחשב שלך

פול, ספר לי על...

[ללחן ה-"SLEDGEHAMMER" של פיטר גבריאל] ספר לי על...

שניהם.  [שר] רוהאמר!

DOUG.  [צוחק] הצלחתי!

ברווז.  קדימה, עכשיו אתה צריך לעשות את הריף.

DOUG.  [מסנתז סינתזה] דולי-דו דה דו, דו דו דו.

ברווז.  [מתרשם] טוב מאוד, דאג!

DOUG.  תודה רבה לך.

ברווז.  מי שלא זוכר את זה מהעבר: "Rowhammer" הוא שם הז'רגון שמזכיר לנו שהקבלים, שבהם פיסות זיכרון (אחד ואפס) מאוחסנות ב-DRAM מודרני, או שבבי זיכרון גישה אקראית דינמיים, כל כך קרובים. יַחַד…

כשאתה כותב לאחד מהם (אתה למעשה צריך לקרוא ולכתוב את הקבלים בשורות בכל פעם, ובכך "rowhammer"), כשאתה עושה את זה, בגלל שקראת את השורה, פיקת את הקבלים.

גם אם כל מה שעשית הוא להסתכל על הזיכרון, אתה צריך לכתוב בחזרה את התוכן הישן, או שהוא יאבד לנצח.

כשאתה עושה את זה, מכיוון שהקבלים האלה כל כך זעירים וכל כך קרובים זה לזה, יש סיכוי זעיר שקבלים באחת מהשורות השכנות או בשתיהן עלולים להפוך את ערכם.

עכשיו, זה נקרא DRAM כי הוא לא מחזיק את הטעינה שלו ללא הגבלת זמן, כמו זיכרון RAM סטטי או זיכרון פלאש (עם זיכרון פלאש אתה יכול אפילו לכבות את החשמל והוא יזכור מה היה שם).

אבל עם DRAM, אחרי כעשירית השנייה, בעצם, המטענים בכל אותם קבלים קטנים יתפוגגו.

אז הם צריכים שכתוב כל הזמן.

ואם תשכתבו מחדש סופר-מהיר, תוכלו למעשה לגרום לחלקים בזיכרון הקרוב להתהפך.

היסטורית, הסיבה שזו הייתה בעיה היא שאם אתה יכול לשחק עם יישור זיכרון, למרות שאתה לא יכול לחזות אילו ביטים הולכים להתהפך, *אולי* תוכל להתעסק בדברים כמו מדדי זיכרון, טבלאות דפים, או נתונים בתוך הקרנל.

גם אם כל מה שאתה עושה זה לקרוא מהזיכרון כי יש לך גישה בלתי מוסמכת לזיכרון הזה מחוץ לקרנל.

ובזה התקפות רוהאמר עד היום נטו להתמקד בו.

עכשיו, מה שעשו החוקרים האלה מאוניברסיטת קליפורניה בדייויס זה שהם הבינו, "ובכן, אני תוהה אם דפוסי ה-Bit Flip, פסאודורנדומליים ככל שיהיו, עקביים עבור ספקים שונים של שבבים?"

שזה סוג של/סוג של נשמע כמו "עוגיית סופר", לא?

משהו שיזהה את המחשב שלך בפעם הבאה.

ואכן, החוקרים הלכו אפילו רחוק יותר ומצאו ששבבים בודדים... או מודולי זיכרון (בדרך כלל יש עליהם כמה שבבי DRAM), רכיבי DIMM, מודולי זיכרון מוטבעים כפולים שתוכלו להצמיד לחריצים במחשב השולחני שלכם, למשל, וכן בחלק מהמחשבים הניידים.

הם גילו שלמעשה, ניתן להמיר את דפוסי ה-Bit Flip למעין סריקת קשתית, או משהו כזה, כדי שיוכלו לזהות את רכיבי ה-DIMM מאוחר יותר על ידי ביצוע מתקפת rowhammering שוב.

במילים אחרות, אתה יכול לנקות את עוגיות הדפדפן שלך, אתה יכול לשנות את רשימת האפליקציות שהתקנת, אתה יכול לשנות את שם המשתמש שלך, אתה יכול להתקין מחדש מערכת הפעלה חדשה לגמרי, אבל שבבי הזיכרון, בתיאוריה, יעניקו לך רָחוֹק.

ובמקרה הזה, הרעיון הוא: עוגיות-על.

מאוד מעניין, ושווה קריאה.

DOUG.  זה מגניב!

דבר נוסף על כתיבת חדשות, פול: אתה כותב חדשות טובות, והרעיון הוא להתחבר לקורא מיד.

אז, במשפט הראשון של המאמר הבא הזה אתה אומר: "גם אם לא שמעת על פרויקט Ghostscript המכובד, ייתכן מאוד שהשתמשת בו בלי לדעת."

מסקרן אותי, כי הכותרת היא: באג Ghostscript יכול לאפשר למסמכים סוררים להריץ פקודות מערכת.

באג Ghostscript יכול לאפשר למסמכים סוררים להריץ פקודות מערכת

ספר לי עוד!

ברווז.  ובכן, Ghostscript הוא יישום חינמי וקוד פתוח של שפות PostScript ו-PDF של Adobe.

(אם לא שמעתם על PostScript, ובכן, PDF הוא סוג של "PostScript Next Generation".)

זו דרך לתאר כיצד ליצור עמוד מודפס, או עמוד על מסך מחשב, מבלי לומר למכשיר אילו פיקסלים להפעיל.

אז אתה אומר, "צייר כאן ריבוע; צייר משולש כאן; השתמש בגופן היפה הזה."

זוהי שפת תכנות בפני עצמה שנותנת לך שליטה בלתי תלויה במכשיר בדברים כמו מדפסות ומסכים.

ו-Ghostscript הוא, כפי שאמרתי, כלי חינמי וקוד פתוח לעשות בדיוק את זה.

ויש עוד הרבה מוצרי קוד פתוח שמשתמשים בדיוק בכלי הזה כדרך לייבא דברים כמו קבצי EPS (Encapsulated PostScript), כמו שאתה עשוי לקבל מחברת עיצוב.

אז אולי יש לך Ghostscript מבלי שתבין זאת - זו הבעיה המרכזית.

וזה היה באג קטן אבל ממש מעצבן.

מסתבר שמסמך נוכל יכול לומר דברים כמו, "אני רוצה ליצור פלט כלשהו, ​​ואני רוצה לשים אותו בשם קובץ XYZ."

אבל אם תכניס, בתחילת שם הקובץ, %pipe%, ולאחר מכן * שם הקובץ...

...שם הקובץ הופך לשם של פקודה להפעלה שתעבד את הפלט של Ghostscript במה שנקרא "צינור".

זה אולי נשמע כמו סיפור ארוך לבאג בודד, אבל החלק החשוב בסיפור הזה הוא שלאחר תיקון הבעיה: "אוי, לא! עלינו להיות זהירים אם שם הקובץ מתחיל בתווים %pipe%, כי זה בעצם אומר שזו פקודה, לא שם קובץ."

זה עלול להיות מסוכן, כי זה עלול לגרום לביצוע קוד מרחוק.

אז הם תיקנו את הבאג הזה ואז מישהו הבין, "אתה יודע מה, באגים לרוב הולכים בזוגות או בקבוצות."

או שגיאות קידוד דומות במקום אחר באותו סיביות קוד, או יותר מדרך אחת להפעיל את הבאג המקורי.

ואז מישהו בצוות Ghostscript Script הבין, "אתה יודע מה, גם נתנו להם להקליד | [סרגל אנכי, כלומר תו ה-"pipe"] שם הפקודה החלל גם כן, אז אנחנו צריכים לבדוק גם את זה."

אז היה תיקון, ואחריו תיקון-לתיקון.

וזה לא בהכרח סימן לרעה מצד צוות התכנות.

זה למעשה סימן שלא סתם עשו את כמות העבודה המינימלית, חתמו עליה, והשאירו אתכם לסבול מהבאג השני ולחכות עד שהוא יימצא בטבע.

DOUG.  ושלא תחשוב שסיימנו לדבר על באגים, ילד, יש לנו מעשה בשבילך!

תיקון חירום של אפל יצא, ולאחר מכן לא הופיע, ואז אפל סוג של/סוג של הערה על זה, מה שאומר שלמעלה זה למטה ושמאל זה ימין, פול.

דחוף! אפל מתקנת חור אפס יום קריטי באייפון, אייפד ומחשבי מק

ברווז.  כן, זו קצת קומדיה של טעויות.

אני כמעט, אבל לא ממש, מרחם על אפל בעניין הזה...

...אבל בגלל ההתעקשות שלהם להגיד כמה שפחות (כשהם לא אומרים כלום), עדיין לא ברור של מי זו אשמתו.

אבל הסיפור הולך ככה: "אוי לא! יש 0-יום בספארי, ב-WebKit (מנוע הדפדפן שבו נעשה שימוש בכל דפדפן באייפון שלך ובספארי ב-Mac), ונוכלים/ספקי תוכנות ריגול/מישהו כנראה משתמש בזה לרוע גדול."

במילים אחרות, "הסתכל ולהיות-pwned", או "drive-by installation", או "אפס קליק", או איך שלא תרצו לקרוא לזה.

אז לאפל, כידוע, יש כעת מערכת Rapid Security Response (לפחות עבור iOS, iPadOS ו-macOS העדכניים ביותר) שבה הם לא צריכים ליצור שדרוג מערכת מלא, עם מספר גרסה חדש לגמרי שלעולם לא תוכל לשדרג לאחור מ, בכל פעם שיש 0-יום.

לפיכך, תגובות אבטחה מהירות.

אלה הדברים שאם הם לא עובדים, אתה יכול להסיר אותם לאחר מכן.

הדבר השני הוא שהם בדרך כלל ממש זעירים.

גדול!

הבעיה היא... נראה שבגלל שהעדכונים האלה לא מקבלים מספר גרסה חדש, אפל הייתה צריכה למצוא דרך לציין שכבר התקנת את Rapid Security Response.

אז מה שהם עושים זה שאתה לוקח את מספר הגרסה שלך, כמו iOS 16.5.1, והם מוסיפים אחריו תו רווח ואז (a).

והמילה ברחוב היא שאתרי אינטרנט מסוימים (אני לא אתן שם כי זה הכל שמועה)...

...כשהם בחנו את User-Agent מחרוזת בספארי, הכוללת את (a) רק לשם השלמות, אמר: "וווווווו! מה (a) עושה במספר גרסה?"

אז, חלק מהמשתמשים דיווחו על כמה בעיות, וככל הנראה אפל משך העדכון.

אפל מוציאה בשקט את עדכון האפס-יום האחרון שלה - מה עכשיו?

ואז, אחרי המון בלבול, ועוד כתבה על אבטחה עירומה, ואף אחד לא ממש ידע מה קורה... [צחוק]

... אפל סוף סוף פרסמה את HT21387, עלון אבטחה שהם הפיקו לפני שהם באמת היו מוכנים את התיקון, מה שהם בדרך כלל לא עושים.

אבל זה היה כמעט יותר גרוע מלומר כלום, כי הם אמרו, "בגלל הבעיה הזו, תגובה אבטחה מהירה (b) יהיה זמין בקרוב כדי לטפל בבעיה זו."

וזה הכל. [צחוק]

הם לא ממש אומרים מה הבעיה.

הם לא אומרים אם זה קשור User-Agent מחרוזות כי אם כן, אולי הבעיה היא יותר באתר בקצה השני מאשר עם אפל עצמם?

אבל אפל לא אומרת.

אז אנחנו לא יודעים אם זו אשמתם, אשמת שרת האינטרנט או שניהם.

והם פשוט אומרים "בקרוב", דאג.

DOUG.  זה זמן טוב להעלות את שאלת הקורא שלנו.

בסיפור זה של אפל, הקורא JP שואל:

מדוע אתרי אינטרנט צריכים לבדוק את הדפדפן שלך כל כך הרבה?

זה חטטני מדי ומסתמך על דרכים ישנות לעשות דברים.

מה אתה אומר על זה, פול?

ברווז.  תהיתי בעצמי בדיוק השאלה הזו, והלכתי לחפש, "עם מה אתה אמור לעשות User-Agent מחרוזות?"

נראה שזו בעיה מתמשכת עבור אתרים שבהם הם מנסים להיות סופר חכמים.

אז הלכתי ל-MDN (מה שהיה פעם, אני חושב, רשת המפתחים של מוזילה, אבל זה עכשיו אתר קהילה), שהוא אחד המשאבים הטובים ביותר אם אתה תוהה, "מה לגבי כותרות HTTP? מה לגבי HTML? מה לגבי JavaScript? מה עם CSS? איך כל זה מסתדר?"

והעצה שלהם, בפשטות, היא, "בבקשה, כולם, תפסיקו להסתכל על User-Agent חוּט. אתה רק עושה מוט לגב שלך וחבורה של מורכבות לכל השאר."

אז למה אתרים מסתכלים User-Agent?

[WRY] אני מניח כי הם יכולים. [צחוק]

כשאתה יוצר אתר אינטרנט, שאל את עצמך, "למה אני יורד לחור הארנב הזה שיש לי דרך אחרת להגיב על סמך איזה קטע מוזר של מחרוזת אי שם ב User-Agent? "

נסו לחשוב מעבר לזה, והחיים יהיו פשוטים יותר לכולנו.

DOUG.  בסדר, מאוד פילוסופי!

תודה לך, JP, ששלחת את זה.

אם יש לכם סיפור מעניין, תגובה או שאלה שתרצו לשלוח, נשמח לקרוא אותם בפודקאסט.

אתה יכול לשלוח דוא"ל ל-tips@sophos.com, להגיב על כל אחד מהמאמרים שלנו, או להתקשר אלינו ברשת החברתית: @nakedsecurity.

זו ההופעה שלנו להיום; תודה רבה על ההקשבה.

עבור פול דאקלין, אני דאג אמות', ומזכיר לך: עד הפעם הבאה...

שניהם.  הישאר בטוח!

[מודם מוזיקלי]

בול זמן:

עוד מ ביטחון עירום