S3 Ep146: その違反について教えてください! (あなたがしたい場合は。)

S3 Ep146: その違反について教えてください! (あなたがしたい場合は。)

タイムスタンプ:3年2023月1日56:XNUMX
S3 Ep146: その違反について教えてください! (必要に応じて。) PlatoBlockchain データ インテリジェンス。垂直検索。あい。
by ポール・ダックリン

奇妙だが真実

下にオーディオプレーヤーがありませんか? 聞く 直接に Soundcloudで。

ダグ・アーモスとポール・ダックリンと。 イントロとアウトロの音楽 エディスマッジ.

あなたは私たちに聞くことができます Soundcloud, Apple Podcasts, Googleポッドキャスト, Spotifyは そして、その良いポッドキャストが見つかるところならどこでも。 または単にドロップします RSSフィードのURL お気に入りのポッドキャッチャーに。

トランスクリプトを読む

ダグ。  Firefox のアップデート、もう XNUMX つ 印象的な名前のバグ、そしてSECは開示を要求しています。

NakedSecurityポッドキャストのすべてとそれ以上。

【ミュージックモデム】

皆さん、ポッドキャストへようこそ。

私は Doug Aamoth です。 彼はポール・ダックリンです。

ポール、私のことを誇りに思ってほしいです…私はあなたが自転車愛好家であることを知っています。

昨日、私は二輪馬車で小さいけれど重くはない子供を自転車の後ろに引きながら、10アメリカマイル(約16キロだと思う)を自転車に乗りました。

そして私はその物語を語るためにまだ生きています。

自転車に乗るのは遠いですか、ポール?

アヒル。  [笑い] 本当にどこまで行く必要があったかによります。

たとえば、実際に1200メートルのところに行かなければならなかったのに、道に迷ってしまったとしたら…(笑)

私のサイクリングに対する熱意は非常に高いですが、サイクリングが主な移動手段であるため、意図的に必要以上に遠くまで自転車に乗るというわけではありません。

でも10マイルなら大丈夫ですよ。

アメリカのマイルとイギリスのマイルは、実は同じものであることをご存知ですか?

ダグ。  それは知って良いです!

アヒル。  そして、カナダ、南アフリカ、オーストラリア、米国、英国を含む多くの国が集まり、「国際インチ」を標準化することに同意した 1959 年以来です。

インペリアルインチは非常にわずかに小さくなり、アメリカインチは非常にわずかに長くなり、その結果、インチ(つまりヤード、フィート、マイル)が長くなったと思います...

…それらはすべてメートルの観点から定義されています。

25.4インチは正確にXNUMXmmです

必要なのは有効数字 XNUMX 桁だけです。

ダグ。  魅力的!

さて、魅力的といえば、次は私たちの時間です。 今週の技術史 セグメント。

今週、01 年 1981 月 XNUMX 日、MTV としても知られるミュージック テレビがアメリカのケーブルおよび衛星テレビ パッケージの一部として放送され、一般にミュージック ビデオを紹介しました。

最初に演奏されたのは、[SINGS, RATHER WELL IN FACT] バグルスの「Video Killed the Radio Star」です。

MTV がミュージック ビデオをほとんど放映しなくなり、新しいミュージック ビデオもまったく放映しない今では皮肉なことですが、当時としてはぴ​​ったりだと思います、ポール。

アヒル。  そうです、皮肉なことですよね、ケーブル TV (言い換えれば、家に電線を地中に這わせていたテレビ) がラジオ (または無線) のスターを殺し、今ではケーブル TV があるかのように見えます。 MTV…誰もがワイヤレスで動作するモバイルネットワークを持っているため、それは一種の消滅でした。

回ってきたものは回ってくる、ダグラス。

ダグ。  さて、それでは、Firefox のアップデートについて話しましょう。

今月は Firefox のアップデートが 28 日周期なので XNUMX 回行われます。

Firefox、今月リリースされた XNUMX つのリリースのうちの最初のリリースで大量の欠陥を修正

この最初のラウンドではゼロデイはありませんでしたが、いくつかの教えられる瞬間がありました。

あなたの記事ではそのうちの半分をリストしましたが、私にとって特に印象に残ったものは次のとおりです。 クリックジャッキングによる潜在的な権限リクエストのバイパス。

アヒル。  はい、また古き良きクリックジャッキングです。

私はこの用語がそれが何であるかをよく説明しているので気に入っています。

ボタンや無害なリンクをクリックしていると思ってどこかをクリックすると、マウス カーソルの下に表示されている画面からは明らかではない何かが起こることを誤って許可していることになります。

ここでの問題は、ある状況下で、たとえば Firefox から許可ダイアログがポップアップ表示されようとしていたときに、「この Web サイトにカメラを使用させてもよろしいですか?」ということのようです。 あなたの位置情報にアクセスできますか? マイクを使いますか?」

…確かに、あなたが尋ねられたいことはすべてです。

どうやら、ブラウザを追いつくのが難しいパフォーマンス ポイント (ここでもパフォーマンスとセキュリティ) に到達させることができれば、権限ポップアップの表示を遅らせることができるようです。

しかし、ポップアップが表示される場所にボタンを配置し、ユーザーがクリックするように誘導すると、クリックを引き付けることができますが、そのクリックは、まだよく見ていない権限ダイアログに送信されてしまいます。

言うなれば、視覚的な競合状態の一種です。

ダグ。  さて、もう XNUMX つは次のとおりです。 オフスクリーン キャンバスはクロスオリジン制限を回避する可能性があります。

あなたはさらに、ある Web ページで、別のサイトの別のページに表示されている画像を覗くことができると言いました。

アヒル。  そんなはずはないですよね?

ダグ。  違う!

アヒル。  それを専門用語で言うと「同一起源ポリシー」です。

あなたが Web サイト X を実行していて、大量の Cookie を設定する大量の JavaScript を私に送信すると、そのすべてがブラウザに保存されます。

ただし、サイト X からのさらなる JavaScript のみがそのデータを読み取ることができます。

あるタブでサイト X を閲覧し、もう XNUMX つのタブでサイト Y を閲覧しているという事実は、他のタブが何をしているかを覗くことを許さず、ブラウザはそれらすべてを区別することになっています。

それは明らかにかなり重要です。

そして、私が理解している限りでは、まだ表示されていないページをレンダリングしていたと思われます...

…オフスクリーン キャンバス。必要に応じて仮想 Web ページを作成し、将来のある時点で「今、それを表示する準備ができました」と言うと、ビンゴでページがすべて表示されます。一度。

問題は、たとえ最終的にユーザーに表示されないとしても、目に見えないようにレンダリングしているものが不注意でデータを漏洩しないようにしようとするときに発生します。

彼らはそれを発見したか、責任を持って公開し、パッチを当てました。

そして、これら XNUMX つは、いわゆる「高」レベルの脆弱性に含まれていたと思います。

Mozilla の伝統的な例外を除いて、他のほとんどは「中程度」でした。「ファジングと自動化技術を通じて大量のバグを発見しました。 私たちは、それらが悪用される可能性があるかどうかを調べるためにそれらを調査しませんでしたが、十分に努力した誰かが悪用できる可能性があると想定しています。」

それは、私たち二人ともとても気に入っている告白です、ダグ…なぜなら、たとえそれを悪用する方法を誰も見つけ出すことは決してないだろうと心の中で確信していても、潜在的なバグは潰す価値があるからです。

なぜなら、サイバーセキュリティにおいては、決して言わないのが得策だからです。

ダグ。  わかりました。Firefox 116 をお探しですか、拡張リリースをお使いの場合は 115.1 をお探しですか。

サンダーバードも同様です。

そして次に進みましょう…ああ、おい!

ポール、これはエキサイティングですね!

先週のダブル BWAIN に続き、新しい BWAIN が登場しました。印象的な名前のバグです。

これはと呼ばれます 衝突+パワー:

「Collide+Power」攻撃でパフォーマンスとセキュリティが再び衝突

アヒル。  [笑い] はい、プラス記号が入った名前を選んだのは興味深いですね。

ダグ。  はい、それは言うのが難しいです。

アヒル。  ドメイン名にプラス記号を含めることはできないため、ドメイン名は次のようになります。 collidepower.com.

ダグ。  さて、研究者自身の話を読んでみましょう。引用します。

問題の根本は、内部メモリ システムなどの共有 CPU コンポーネントが攻撃者のデータと他のアプリケーションからのデータを組み合わせ、その結果、消費電力に複合的なリーク信号が発生することです。

したがって、攻撃者は自分自身のデータを知っているため、他のアプリケーションで使用される正確なデータ値を特定できます。

アヒル。  [笑い] はい、彼らが何を言っているのかをすでに知っているなら、それは非常に理にかなっています!

これをわかりやすい英語で説明してみると(正しく理解できればいいのですが)…

これは、以前に説明したパフォーマンスとセキュリティの問題につながります。 先週のポッドキャスト それと ゼンブリード バグ (ちなみに、これははるかに深刻です):

Zenbleed: CPU パフォーマンスの追求がパスワードを危険にさらす可能性

CPU 内には大量のデータが保存されるため (「キャッシュ」は専門用語です)、後で CPU がデータを取りに行く必要がありません。

つまり、実際には管理できない内部的なものが山ほどあります。 CPU が代わりに処理してくれます。

そして今回の攻撃の核心はこんな感じのようです…

攻撃者が行うことは、内部キャッシュ ストレージがそれらのメモリの場所を記憶するような方法で、さまざまなメモリの場所にアクセスすることです。そのため、メモリがすぐに再利用された場合に、再び RAM から読み出す必要がなくなります。

したがって、攻撃者は何らかの方法で、既知のビット パターン、既知のデータ値で満たされたこれらのキャッシュ値を取得します。

そして、被害者が頻繁に使用するメモリ (たとえば、復号化キーのバイト) を持っている場合、その値が攻撃者の値よりも再利用される可能性が高いと CPU によって突然判断された場合、内部の超高速キャッシュの場所から攻撃者の値を追い出し、そこに新しい値、つまり被害者の値を置きます。

そして、これらの研究者が発見したこと(そして理論的に攻撃が聞こえ、実際に行われていると考えられる限り、これは発見するのは非常に驚くべきことです)…

キャッシュ内の古い値と新しい値の間で異なるビット数によって、*キャッシュ更新操作の実行に必要な電力量が変わります*。

したがって、CPU の消費電力を十分に正確に測定できれば、CPU が関係ないと考えていた、CPU 内の非表示のキャッシュ メモリにどのデータ値が書き込まれたのかを推測することができます。

とても興味深いですね、ダグ!

ダグ。  未解決の。

OK、いくつかの緩和策があります。

このセクションでは、「まず第一に、心配する必要はありません」と始まりますが、ほぼすべての CPU も影響を受けます。

アヒル。  はい、それは興味深いですね。

「まず第一に」と書かれています(通常のテキスト)貴社" (イタリック体で) "心配する必要はありません" (大胆に)。 [笑い]

したがって、基本的に、これで攻撃する人は誰もいませんが、おそらく CPU 設計者は、これを回避する方法があれば、将来的にこれについて検討したいと考えています。 [笑い]

面白い言い方だと思いました。

ダグ。  OK、緩和策は基本的にハイパースレッディングをオフにすることです。

それはどのように機能しますか?

アヒル。  私の知る限り、ハイパースレッディングはこれをさらに悪化させます。

ハイパースレッディングに依存する脆弱性がこれまでに多数存在したため、ハイパースレッディングがセキュリティ上の問題であることはすでにわかっています。

ここでは、たとえば 16 コアの CPU が XNUMX コアを備えているように見せかけますが、実際にはそれらはチップの別個の部分にあるわけではありません。

これらは実際には、セキュリティ上の理由からおそらく良い考えよりも多くの電子機器、より多くのトランジスタ、より多くのコンデンサを共有する一種の疑似コアのペアです。

古き良き OpenBSD を実行している場合、ハイパースレッディングを緩和策で保護するのは非常に難しいと判断したと思います。 それをオフにすることもできます。

緩和策に必要なパフォーマンスへの影響が発生するまでには、影響を受けないほうが良いでしょう。

だから私はこう思います ハイパースレッディングをオフにする この攻撃に対して大きな免疫が得られます。

XNUMX 番目にできることは、著者が太字で述べているように、次のとおりです。 心配しないでください. [笑い]

ダグ。  素晴らしい緩和策ですね! [笑い]

アヒル。   素晴らしい部分があります (これを読み上げなければなりません、ダグ)…

研究者自身が、何らかの信頼できる情報を取得するには、システムから 10 時間あたり 100 ビットから XNUMX ビットの間のデータ レートを取得する必要があることを発見しました。

少なくとも Intel CPU には、これを防ぐのに役立つ緩和策があると思います。

そして、これは私たちを MSR に戻します。先週 Zenbleed で話したモデル固有のレジスターには、「危険なことはしないでください」という魔法のビットがあり、それをオンにすることができます。

という設定できる機能があります RAPLフィルタリング、RAPL はの略です。 移動平均電力制限.

これは、電源管理の目的で CPU のパフォーマンスを確認したいプログラムによって使用されるため、サーバー ルームに侵入して、マザーボード上の小さなプローブを備えた電源モニターを配線に接続する必要はありません。 [笑い]

実際に、CPU が使用している電力量を知ることができます。

Intel には少なくとも RAPL フィルタリングと呼ばれるこのモードがあり、これにより意図的にジッターやエラーが発生します。

そのため、平均して正確な結果が得られますが、個々の測定値が異なる場合があります。

ダグ。  次に、この新しい SEC 取引に注目してみましょう。

安全保障取引委員会は、サイバーセキュリティ侵害について XNUMX 日間の公開制限を要求しています。

SEC、サイバーセキュリティ侵害に対してXNUMX日間の開示制限を要求

しかし、(A) 攻撃が報告するほど深刻であるかどうかは自分で決めることができ、(B) 何かが報告するほど重要であると判断するまでは XNUMX 日間の制限は始まりません、ポール。

最初のスタートはうまくいきましたが、おそらく私たちが望むほど積極的ではないでしょうか?

アヒル。  私もあなたの評価に同意します、ダグ。

最初にこれを見たとき、「データ侵害やサイバーセキュリティの問題が発生した場合、XNUMX 日間以内に情報を開示できるようになりました。」と素晴らしく聞こえました。

しかし、「そうですね、それは重大な問題であると考えられる必要があります」という話もありました。これは、そもそも開示する価値があるほど実際に重要であることを意味する法律用語です。

そして、私は次のような部分にたどり着きました(これは SEC によるそれほど長いプレスリリースではありません)。それを報告するために。」

さて、法的には、それは完全には機能しないと思います。 ダグ

もしかしたら、この記事では少し厳しいことを言っているでしょうか?

ダグ。  あなたはランサムウェア攻撃にズームインし、いくつかの異なる種類があるのでそれについて話しましょう…これが報告する必要がある重大な攻撃であるかどうかを判断する上で重要です。

それでは、どのような種類のランサムウェアが注目されているのでしょうか?

アヒル。  はい、説明しておきますが、これは重要な部分だと思いました。

SEC を非難するわけではありませんが、これは多くの国やどの国でもまだ表面化していないようです…

…ランサムウェア攻撃を受けるだけで重大なデータ侵害となるのは必然かどうか。

この SEC 文書では、実際には「R ワード」についてはまったく言及されていません。

ランサムウェア固有のものについては言及されていません。

ランサムウェアも問題ですよね。

この記事では、私たちが今でも広く使用している「ランサムウェア」という言葉は、もはや適切な言葉ではないということを明確にしたかったのです。

おそらくこれを「恐喝ウェア」、あるいは単に「サイバー恐喝」と呼ぶべきでしょう。

私はランサムウェア攻撃の主なタイプを XNUMX つ特定しています。

タイプ A では、犯罪者がデータを盗むのではなく、その場でデータをスクランブルするだけです。

したがって、何もアップロードする必要はありません。

彼らは復号キーを提供できるようにすべてをスクランブルしますが、何か悪いことが起こっているという証拠としてネットワークからデータが流出することは XNUMX バイトもありません。

次に、タイプ B ランサムウェア攻撃があり、詐欺師はこう言います。 私たちはすべてのデータを盗むだけであり、あなたはデータを取り戻すためにお金を支払う代わりに、私たちの沈黙に対してお金を払っていることになります。」

そしてもちろん、タイプ C ランサムウェア攻撃もあります。つまり、「A と B の両方」です。

そこは、犯罪者があなたのデータを盗み、*そして*データをスクランブルして、「おい、それがあなたを苦境に陥らせるのは、一つのことではないとしたら、もう一つのことだ」と言うのです。

そして、法曹界がどこを重要性と呼ぶのか(つまり、特定の規制に対する法的重要性または法的関連性)を知ることができれば幸いです…

…それがランサムウェア攻撃の場合に起こります。

ダグ。  さて、この話について今週のコメンテーターであるアダムを連れてくる良い機会です。

アダムは、さまざまな種類のランサムウェア攻撃について考えを述べています。

それでは、タイプ A から始めます。これは単純なランサムウェア攻撃で、ファイルをロックし、ロックを解除するための身代金メモを残します。

アダム 言います:

企業がランサムウェアの被害に遭い、徹底した調査の結果データ流出の証拠が見つからず、身代金を支払わずにデータを回復できたとしたら、私は「(開示は)必要ない」と言いたくなるでしょう。

アヒル。  十分にやり遂げましたか?

ダグ。  はい。

アヒル。  完全に阻止できたわけではありませんが、次善の策を講じたので、投資家に伝える必要はありません…。

皮肉なことに、ダグ、あなたが会社としてそれを行っていたら、投資家にこう言いたくなるかもしれません。 私たちも他の皆さんと同じようにランサムウェア攻撃に遭いましたが、お金を支払うことなく、犯罪者と関わることなく、データを失うことなく、この攻撃から抜け出すことができました。 だから、たとえ私たちが完璧ではなかったとしても、私たちは次善の者でした。」

そして、たとえ法律でその必要がないと規定されていたとしても、自発的にそれを開示することは実際には非常に重要な意味を持つかもしれません。

ダグ。  そして、タイプ B である脅迫の角度について、アダムは次のように言います。

それは難しい状況だ。

理論的には、私は「はい」と言うでしょう。

しかし、それは多くの情報開示と企業の評判の低下につながる可能性が高い。

つまり、たくさんの企業が「ランサムウェアに見舞われました。 私たちは何も悪いことが起こったとは思っていません。 私たちは犯罪者たちを黙らせるために金を払った。 そして私たちは、彼らが豆をこぼさないだろうと信じています。」いわば…

…それは、企業の評判を傷つける可能性があるため、厄介な状況を生み出しますが、企業がそれを開示していなければ、誰も知りませんでした。

アヒル。  そして、アダムもあなたや私と同じように、この仕事について「あなたの時間は XNUMX 日、そして XNUMX 日を超えてはいけません… XNUMX 日間が始まるべきだと思った瞬間から」と感じていたようです。

彼もそうつぶやいていましたね。

彼は言った:

一部の企業は、重大な影響があるかどうかの判断を大幅に遅らせる戦術を採用する可能性がある。

したがって、これがどのように展開するかは私たちにもよくわかりませんし、SEC もよくわかっていないはずです。

企業が、これまでに起こった小さなITの不具合をすべて開示して私たち全員を埋没させることを強制せずに、私たち全員が知る必要があることを確実に学べるようにするために、官僚主義の適切な量を見極めるには、いくつかのテストケースが必要になるかもしれません。書類仕事の負荷。

これは本質的に違反疲労につながりますね。

それほど重要ではない悪いニュースがたくさんある場合は、ただ洗い流すだけです...

…どういうわけか、「それについて本当に聞く必要がありましたか?」というさまざまな疑問の中で、本当に重要なことを見逃しがちです。

時間が経てばわかるだろう、ダグラス。

ダグ。  はい、難しいです!

これをいつも言っているのはわかっていますが、この展開を見るのは興味深いので、私たちはこれに注目していきます。

それでは、アダム、コメントを送ってくれてありがとう。

アヒル。  はい、確かに!

ダグ。  興味深いストーリー、コメント、質問がある場合は、ポッドキャストでぜひお読みください。

ヒント@sophos.comに電子メールを送信するか、当社の記事のいずれかにコメントするか、またはソーシャルで私たちに連絡することができます:@nakedsecurity。

それが今日の私たちのショーです。 聞いてくれてありがとう。

ポール・ダックリンの場合、私はダグ・アーモスです。次回まで…

どちらも。  安全を確保してください。

【ミュージックモデム】

タイムスタンプ:

より多くの 裸のセキュリティ