![シーズン 3 Ep94: この種の暗号 (グラフ)、および別の種類の暗号 (通貨!) [オーディオ + テキスト] PlatoBlockchain データ インテリジェンス。 垂直検索。 あい。](https://platoblockchain.com/wp-content/uploads/2022/08/s3-ep94-200000000.png "シーズン 3 Ep94: この種の暗号 (グラフィティ)、および別の種類の暗号 (通貨!) [オーディオ + テキスト]")
下の音波をクリックしてドラッグし、任意のポイントにスキップします。 あなたもすることができます 直接聞く Soundcloudで。
ダグ・アーモスとポール・ダックリンと。
イントロとアウトロの音楽 エディスマッジ.
あなたは私たちに聞くことができます Soundcloud, Apple Podcasts, Googleポッドキャスト, Spotifyは, 縫い合わせます そして、その良いポッドキャストが見つかるところならどこでも。 または単にドロップします RSSフィードのURL お気に入りのポッドキャッチャーに。
トランスクリプトを読む
ダグ。 A 重大な Samba のバグ、さらに別の 暗号の盗難, システム管理者の日おめでとう.
NakedSecurityポッドキャストでそれ以上のことを。
【ミュージックモデム】
皆さん、ポッドキャストへようこそ。
私はダグ・アモスです。
いつものように、ポール・ダックリンが一緒にいます… ポール、今日はどうしますか?
アヒル。 すばらしい、ありがとう、ダグラス。
ダグ。 技術の歴史からショーを始めたいと思います。
今週はポール、1858年にさかのぼります!
1858 年の今週、最初の大西洋横断電信ケーブルが完成しました。
それはアメリカの商人 Cyrus Westfield が先導し、ケーブルはニューファンドランドのトリニティ湾からアイルランドのバレンシアまで、幅約 2000 マイル、深さ 2 マイル以上でした。
これは XNUMX 回目の試みで、残念なことに、ケーブルは約 XNUMX か月しか機能しませんでした。
しかし、当時のジェームズ・ブキャナン大統領とビクトリア女王が挨拶を交換するのに十分長く機能しました。
アヒル。 はい、私はそれがあったと信じています。 [笑い]
1858!
神は何を作ったのですか。、ダグ! [史上初の電報メッセージで送られた言葉]
ダグ。 [笑い] 細工されたものといえば、 重大な Samba のバグ それ以来パッチが適用されています。
私は決して専門家ではありませんが、このバグにより、誰でもドメイン管理者になれる可能性があります…それは悪いことです。
アヒル。 ええと、Doug さん、それはまずいですね。
ダグ。 そこに行きます!
アヒル。 Samba … 明確にするために、始める前に、必要なバージョンを見てみましょう。
4.16 フレーバーを使用している場合は、4.16.4 以降が必要です。 4.15 を使用している場合は、4.15.9 以降が必要です。 4.14 を使用している場合は、4.14.14 以降が必要です。
これらのバグ修正により、CVE 番号 (正式な指定子) を取得するのに十分深刻であると見なされた合計 XNUMX つの異なるバグにパッチが適用されました。
目立ったのは、 CVE-2022-32744.
バグのタイトルがすべてを物語っています。 Samba Active Directory ユーザーは、任意のユーザーのパスワード変更要求を偽造できます。
ダグ。 はい、それは悪いですね。
アヒル。 そのため、セキュリティ アドバイザリの完全なバグ レポートのように、変更ログにはかなりおとなしい方法で次のように記載されています。
「ユーザーが管理者アカウントのパスワードを変更して、ドメインを完全に制御できるようになる可能性があります。 ユーザーのアカウントへのアクセスを拒否することで、機密性と完全性が完全に失われる可能性があり、可用性も失われる可能性があります。」
そして、おそらくご存じのとおり、コンピュータ セキュリティのいわゆる「聖なる三位一体」(エア クォート)は、可用性、機密性、完全性です。
XNUMXつだけではなく、すべてを持っている必要があります。
そう、 整合性 つまり、あなたが気付かないうちに誰もあなたのものに侵入して台無しにすることはできません.
商品在庫 あなたはいつでも自分のものを手に入れることができると言います-彼らはあなたが望むときにあなたがそれを手に入れるのを妨げることはできません.
秘密 許可されている場合を除き、彼らはそれを見ることができないことを意味します。
これらのいずれか、またはいずれか XNUMX つだけでは、あまり役に立ちません。
つまり、これは本当に XNUMX 連勝でした、ダグ!
そして厄介なことに、Unix コンピュータを Windows ドメインに接続しようとしている場合だけでなく、Windows コンピュータが使用する Active Directory ドメインを設定しようとしている場合に使用する可能性があるのは、Samba のまさにその部分です。 Linux または Unix コンピューターの束。
ダグ。 それはすべてのボックスをすべて間違った方法でチェックしています!
しかし、パッチ アウトがあります。私たちは常に「パッチは早めに、パッチは頻繁に」と言っています。
なんらかの理由ですぐにパッチを適用できない場合に人々が使用できる何らかの回避策はありますか?
アヒル。 ええと、私の理解では、このバグはパスワード認証サービスと呼ばれる kpasswd.
基本的に、そのサービスが行うことは、パスワード変更要求を探し、ある種の信頼できる当事者によって署名または承認されていることを確認することです。
残念なことに、一連のエラー状態が続くと、その信頼できるパーティに自分自身が含まれる可能性があります。
だから、それは一種のようなものです 自分のパスポートを印刷する 必要に応じて、バグ。
パスポートを作成する必要があります。それは自国の政府が発行した本物のパスポートでも、自宅のインクジェット プリンターで作成したパスポートでもかまいません。どちらも合格です。 [笑い]
秘訣は、Samba を使用する際にこのパスワード認証サービスに実際に依存していなければ、それを防ぐことができるということです。 kpasswd 実行中のサービス。
もちろん、実際に Samba システム全体に依存して Active Directory の認証とパスワードの変更を提供している場合、この回避策によってシステムが壊れてしまいます。
したがって、もちろん、最善の防御策は、バグを単に「回避」するのではなく、バグを「削除」するパッチです。
ダグ。 非常に良い。
また、ご購読はいつでも停止することが可能です についてもっと読む それは、nakedscurity.sophos.com のサイトにあります。
そして、一年で最も素晴らしい時期に向かいます!
お祝いしたばかり システム管理者の日、ポール、そして私はここでオチを電報しません…しかしあなたは持っていました かなりの書き込み.
アヒル。 ええと、年に一度、IT 部門に行って、この隠れたバックグラウンド作業をすべて行ったすべての人に笑顔を向けてほしいと頼むのは、言い過ぎではありません…
… コンピューター、サーバー、クラウド サービス、ラップトップ、電話、ネットワーク スイッチ [ダグ 笑い]、DSL 接続、Wi-Fi キットを [ますます速く] 維持するためです。良好な動作順序。
利用可能! 機密! 一年中誠実に満ちています!
S である XNUMX 月の最後の金曜日にそれをしなかった場合ys管理者感謝デー、それなら、今日行ってみませんか?
たとえそれを実行したとしても、XNUMX 年中毎日システム管理者に感謝できないということはありません。
XNUMX月だけにする必要はないよ、ダグ。
ダグ。 いい視点ね!
アヒル。 だからここで何をすべきか、ダグ。
これを「詩」または「一節」と呼ぶことにします…厳密にはドッゲレルだと思いますが [笑い]、シェークスピアのソネットのすべての喜びと暖かさを備えているふりをします。
それはソネットではありませんが、そうしなければなりません。
ダグ。 パーフェクト。
アヒル。 ほら、ダグ。
マウスの電池が切れている場合 または Web カメラのライトが光らない場合 パスワードを思い出せない場合 またはメールが表示されない場合 USB ドライブを紛失した場合 またはミーティングが開始されない場合ヒストグラムを作成する または素敵な円グラフを描く 誤って [削除] を押した場合 またはディスクをフォーマットした場合 バックアップを作成するつもりだったが、リスクを冒しただけである場合 犯人が明らかであり、責任があなたに戻っていることを知っている場合 しないでください希望を捨てて落胆する やるべきことはあとXNUMXつ! チョコレート、ワイン、歓声、笑顔を手に入れて、「素晴らしいシステム管理者の日をお祈りするために立ち寄ったところです!」と言うときは、それを意味します。
ダグ。 [拍手] 本当にいい! あなたの最高の XNUMX つ !
アヒル。 システム管理者が行っていることの多くは目に見えず、うまく確実に行うことは驚くほど困難です…
…そして、あることを修正して別のことを壊すことなく行うこと。
その笑顔は彼らに最もふさわしいものです、ダグ。
ダグ。 最低!
アヒル。 ですから、世界中のすべてのシステム管理者の皆様、先週の金曜日を楽しんでいただけたでしょうか。
十分な笑顔が得られなかった場合は、今すぐ取得してください。
ダグ。 ハッピー システム管理者の日、皆さん、そして その詩を読んで、これは素晴らしい…サイトにあります。
よし、あまり良くない話に移ろう。 メモリ管理ミスのバグ GnuTLS で。
アヒル。 はい、これは Naked Security について書く価値があると思いました。なぜなら、人々はオープンソースの暗号化について考えるとき、OpenSSL を思い浮かべる傾向があるからです。
(A) それは誰もが聞いたことのあるものであり、(B) バグに関しておそらく近年最も有名になったものであるためです。 ハートブリード.
当時 (XNUMX 年前のことです) その場にいなかったとしても、OpenSSL の一種のデータ漏洩およびメモリ漏洩バグである Heartbleed について聞いたことがあるでしょう。
それは何年も前からコードに含まれていましたが、誰も気づきませんでした。
そして、誰かがそれに気づき、彼らはそれに派手な名前を付け、バグにロゴを付け、バグにウェブサイトを与え、それからこの大規模なPRを作成しました.
ダグ。 [笑い] それがあなたがそれが本物であることを知る方法です…
アヒル。 彼らはそれを発見したという事実に注目を集めたかったので、彼らはそれをやっていました、そして彼らはその事実を非常に誇りに思っていました.
逆に言えば、人々が外に出て、他の方法ではできなかったかもしれないこのバグを修正したということです...なぜなら、それは単なるバグだからです。
それほど劇的ではないように見えますが、リモートでコードが実行されるわけではありません。 そのため、彼らはすぐに私のウェブサイトなどをすべて乗っ取ってしまうことはできません。
しかし、それが OpenSSL を一般的な名前にしたのは、必ずしも正当な理由があるからではありません。
ただし、OpenSSL だけでなく、多くのオープン ソースの暗号化ライブラリが存在します。そのうちの少なくとも XNUMX つは、聞いたことがない場合でも、驚くほど広く使用されています。
の略である NSS があります。 ネットワーク セキュリティ サービス、Mozilla 独自の暗号化ライブラリです。
これは、特定の Mozilla プロジェクトとは別にダウンロードして使用できますが、特に Firefox と Thunderbird では、そこですべての暗号化を行っていることがわかります。これらは OpenSSL を使用していません。
そして、そこに GnuTLSは、GNU プロジェクトのオープンソース ライブラリであり、基本的に、必要に応じて、OpenSSL の競合相手または代替手段であり、驚くほど多くの OpenSSL によって (認識されていなくても) 使用されています。ソースプロジェクトと製品…
…コードを含め、使用しているプラットフォームが何であれ、おそらくシステムに搭載されているものです。
つまり、次のようなものがあります。 メンコーダー; GnuPGP (GNU 鍵管理ツール); QEMU、Rdesktop; 前のバグで話したばかりの Samba。 多くの人が Web ダウンロードに使用する Wget。 Wireshark のネットワーク スニッフィング ツール。 ズリブ。
暗号化ライブラリを必要とするツールは山ほどあり、OpenSSL の代わりに GnuTLS を使用するか、またはプルしたサブパッケージのサプライ チェーンの問題に応じて、GnuTLS を使用することを決定しました。の。
プロジェクトの一部で暗号化に GnuTLS を使用し、一部で OpenSSL を使用しているプロジェクトがあり、どちらかを選択するのが難しい場合があります。
したがって、良くも悪くも、両方に行き着きます。
残念ながら、GnuTLS (必要なバージョンは 3.7.7 以降) には、 ダブルフリー… TLS 証明書の検証を行うコードのまさにその部分で、信じようと信じまいと。
つまり、これまでの暗号化ライブラリで見られたような皮肉なことに、暗号化された送信に TLS を使用しているが、相手側の検証を気にしないコード…「証明書の検証、誰がそれを必要とするのか?」というコードです。
これは一般的に非常に悪い考えであり、セキュリティの観点からはかなりみすぼらしいものと見なされています... しかし、それを行うコードは、バグのあるコードを呼び出さないため、このバグに対して脆弱ではありません。
残念ながら、*正しい*ことを行おうとしているコードは、不正な証明書によってだまされる可能性があります。
そして、簡単に説明すると、 ダブルフリー は、オペレーティング システムまたはシステムに「ちょっとメモリをくれ。 一時的にメモリが必要です。 この場合、このすべての証明書データを取得しました。一時的に保存して検証し、完了したらメモリを返して、プログラムの別の部分で使用できるようにします。 」
あなたが C プログラマーなら、関数に精通しているでしょう。 malloc()、「メモリ割り当て」の略、および free()、それは「それを返す」です。
そして、私たちは、と呼ばれるタイプのバグがあることを知っています 使用-後フリー、データを返す場所ですが、とにかくそのメモリブロックを使用し続け、それをあきらめたことを忘れています.
しかし、ダブルフリーは少し異なります。メモリを返す場所であり、それを再び使用することを忠実に避けますが、後の段階で、「ちょっと待ってください。確かにそれを渡さなかったに違いありません。記憶はまだ戻っていません。 念のため返したほうがいいよ」
そして、オペレーティング システムに「OK、このメモリをもう一度解放してください」と指示します。
したがって、*プログラムの他の部分が実際に依存している可能性がある*データを解放するための正当な要求であるかのように見えます。
ご想像のとおり、悪いことが起こる可能性があります。つまり、プログラムの XNUMX つの部分が同時に同じメモリ チャンクに無意識のうちに依存している可能性があるからです。
幸いなことに、このバグに対して有効なエクスプロイトが見つかったとは思えないため、パッチを適用すれば、単に攻撃者に追いつくのではなく、攻撃者に先んじることができます。
しかし、もちろん、悪いニュースは、このようなバグ修正が公開されると、たいていは、悪用するために何ができるかを迅速に理解することを期待して、それらを見に行き、何が悪かったのかを分析しようとする多くの人々がいるということです.パッチを当てるのが遅かったすべての人々に対するバグ。
言い換えれば、遅らせないでください。 今日それをしてください。
ダグ。 わかりました、GnuTLS の最新バージョンは 3.7.7 です…更新してください。
また、ご購読はいつでも停止することが可能です それについてもっと読む サイトに。
アヒル。 ああ、Doug さん、どうやらこのバグは GnuTLS 3.6.0 で導入されたようです。
ダグ。 [OK]をクリックします。
アヒル。 したがって、理論的には、それより前のバージョンを使用している場合、このバグの影響を受けません…
…しかし、「まだ更新する必要はない」という言い訳にしないでください。
3.6.0 と 3.7.6 の間の他のすべてのセキュリティ問題について、出てきた他のすべての更新を飛び越えたほうがよいかもしれません。
したがって、あなたがこのバグの範疇に入らないという事実を、何もしないことの言い訳にしないでください。
それをきっかけに、現在に至る…というのが私のアドバイスです。
ダグ。 OK!
今週の最後の話: 別の暗号強盗について話しています。
今回、 わずか$ 200万とはいえ、ポール。
これは、私たちが話した他のいくつかのものと比較して、チャンプの変更です.
アヒル。 ダグ、これは言いたくありませんが、これを書いた理由の 200 つは、それを見て、「ああ、たったの XNUMX 億か?」と思ったからです。 それはかなり小さなことです…私は何を考えていますか!?」 [笑い]
200億ドル、基本的には…まあ、「トイレを降りる」のではなく、「銀行の金庫室から」。
このサービス Nomad は、Illusory Systems Incorporated という名前の会社からのものです。
確かに、セキュリティの観点からすると、「幻想」という言葉はおそらく正しい種類の比喩であることに同意していただけると思います。
これは、基本的に、と呼ばれる専門用語にあることを行うことができるサービスです。 ブリッジ.
基本的に、ある暗号通貨を別の暗号通貨と積極的に取引しています。
つまり、自分の仮想通貨を他の多くの人々と一緒に巨大なバケツに入れます…そして、これらすべての派手な「分散型金融」の自動化されたスマートコントラクトを行うことができます。
ビットコインをイーサに交換したり、イーサをモネロに交換したり、何でもできます。
残念なことに、最近のコードの更新中に、おそらく Samba で話したバグで Samba 関係者が行ったのと同じ種類の穴に陥ったようです。
基本的には 自分のパスポートを印刷する、または 独自のトランザクションを承認する 彼らが導入したバグ。
コードには、256 ビットの暗号化ハッシュである暗号化ハッシュが検証されるはずのポイントがあります。これは、承認された承認者以外の誰も思い付かない可能性があります。
ただし、たまたま値ゼロを使用した場合は、muster に合格します。
基本的に、他の誰かの既存のトランザクションを受け取り、受信者の名前を自分の名前に書き換えて (「Hey, pay *my* cryptocurrency wallet」)、トランザクションをリプレイするだけです。
そして、システムは「OK」になります。
正しい形式でデータを取得する必要があるだけです。それが私の理解です。
そして、合格するトランザクションを作成する最も簡単な方法は、他の誰かの事前に完了した既存のトランザクションを取得し、それを再生しますが、名前またはアカウント番号を取り消して、自分のトランザクションを入力することです。
だから、暗号通貨アナリストとして @samczsun Twitterで言いました, 「攻撃者はこれを悪用してトランザクションをコピー アンド ペーストし、熱狂的な自由奔放な状態で橋を急速に消耗させました。」
言い換えれば、ゼロの暗証番号を入力すれば、誰の銀行カードも受け入れる ATM からお金を引き出すことに、人々は夢中になったのです。
そして、ATM が空になるまでではなく、ATM は基本的に銀行の金庫室の側面に直接接続されており、お金は単純に流れ出していました。
ダグ。 ああああ!
アヒル。 あなたが言うように、どうやら彼らはほんの短期間で最大 200 億ドルを失ったようです。
まあ。
ダグ。 さて、いくつかアドバイスがありますが、それはかなり簡単です…
アヒル。 あなたが実際にできる唯一のアドバイスは、「この分散型金融革命に参加することを急いではいけない」ということです。
前に述べたように、この「オンライン取引」に参加する場合は必ず確認してください。 私たちに暗号通貨を貸してください。私たちはあなたに利息を支払います。 数秒で行動できるように、自分のものをホットウォレットに入れます。 スマート コントラクトのシーン全体に入ります。 代替不可能なトークン [NFTs] を購入する」 – そのすべて…
…マーケットプレイスが自分に合っていると判断した場合は、目を閉じたままではなく、目を大きく開いて入ってください。
単純な理由は、このような場合、詐欺師が銀行の ATM の「一部」を空にすることができるとは限らないからです。
この場合、第一に、彼らはほとんどすべてを流出させたように見えます.第二に、従来の銀行とは異なり、実際の銀行が破綻した場合に享受できる規制上の保護はありません.
分散型金融の場合、それが分散型であり、新しく、クールで、あなたが急いで取り組みたいものであるという全体的な考え方…
…それは、これらの煩わしい規制保護が *ない* ということです。
あなたは可能性があり、おそらくそうするかもしれません.
逆に言えば、分散型金融や「Web 3.0 の新しいスーパートレーディング Web サイト」の崩壊で物を失った場合は、「おい、心配しないで。 規制がないにもかかわらず、お金を取り戻すことができる専門会社があります。 あなたがする必要があるのは、会社 X、個人 Y、またはソーシャル メディア アカウント Z に連絡することだけです。」
なぜなら、この種の災害が発生するたびに、二次的な詐欺師がすぐに駆けつけて、お金を取り戻すための「方法を見つける」ことを提案するからです。
詐欺師が多数出没していますので、十分にご注意ください。
お金を失った場合は、悪いお金の後に良いお金を投げる(または、良いお金の後に悪いお金を投げるなど、どのような方法であっても)道を踏み外さないでください。
ダグ。 OK、あなたはそれについてもっと読むことができます: 暗号通貨の「トークンスワッパー」Nomad がコーディングの失敗で 200 億ドルを失う.
そして、この話について読者の XNUMX 人から聞いた場合、匿名のコメント投稿者が書いています。
「驚くべきことは、オンラインのスタートアップがそもそも失うものが多かったということです。 200,000ドル、想像できます。 しかし、200億ドルは信じられないようです。」
そして、私たちはその質問にある程度答えたと思いますが、200億ドルを手に入れるために、このお金はどこから来ているのでしょうか?
アヒル。 答えられません、ダグ。
ダグ。 いいえ。
アヒル。 世界が以前よりも信じやすくなっているということでしょうか。
暗号通貨コミュニティで不正に得た利益が非常に多いということですか?
そのため、実際に自分のお金を投入したわけではなく、公正ではなく不正な手段で大量の暗号通貨を手に入れた人がいます. (ランサムウェアの支払いは通常、暗号通貨で行われることはわかっていますよね?)
おかしなお金のように… 「お金」を失っている人は、前もって現金を入れていなかったのでしょうか?
それは、人々が「いや、いや、*これ*がそれを行う方法だ。 私たちは、昔ながらの、あいまいで、高度に規制された金融機関のやり方を打ち破る必要があります。 ザ・マンから抜け出さなければならない」?
わかりませんが、200 億ドルはもう大金ではないのではないでしょうか、ダグ?
ダグ。 [笑]もちろん!
アヒル。 目を丸くして入ってくる人ばかりだと思います。
彼らは、「私はこのリスクを冒す準備ができています。なぜなら、それはとてもクールだからです.」
問題は、200 ドルまたは 2000 ドルを失うことになり、それを失う余裕がある場合、それは XNUMX つのことです。
しかし、2000 ドルを手に入れて、次のように考えたとします。 20,000ドルで参加するべきでしょうか?」 そして、あなたはこう思います。 200,000万円で参加した方がいいでしょうか? 多分私はすべてに入るべきですか?
では、本当に気をつけたほうがいいと思います!
まさに、クレジット カードに何か問題が発生し、電話して異議を申し立てただけの場合のように、規制による保護があると感じるかもしれないという理由からです。 「OK」、そして彼らは請求額から52.23ドルを超えます…
…この場合、それは起こりません。
52 ドルになる可能性は低く、おそらくそれ以上になるでしょう。
だから気をつけてね、みんな!
ダグ。 気をつけてね。
わかりました、コメントありがとうございます。
また、投稿したい興味深いストーリー、コメント、質問がある場合は、ポッドキャストで読んでください。
メールできます tips@sophos.com; あなたは私たちの記事のいずれかにコメントすることができます。 あなたはソーシャルで私たちを襲うことができます: @NakedSecurity.
それが今日の私たちのショーです–聞いてくれてありがとう。
ポール・ダックリンの場合、私はダグ・アーモスです。次回まで…
どちらも。 安全を確保してください!
【ミュージックモデム】
![S3 Ep92: Log4Shell4Ever、旅行のヒント、詐欺 [オーディオ + テキスト] PlatoBlockchain Data Intelligence. 垂直検索。 あい。](https://platoblockchain.com/wp-content/uploads/2022/07/ns-s3-ep92-1200-300x156.jpg "S3 Ep92:Log4Shell4Ever、旅行のヒント、および猥褻さ[オーディオ+テキスト]")
![S3 Ep102.5: 「ProxyNotShell」Exchange のバグ – 専門家が [音声 + テキスト] PlatoBlockchain Data Intelligence を話します。 垂直検索。 あい。](https://platoblockchain.com/wp-content/uploads/2022/10/pnc-1200-360x188.png "S3 Ep102.5: 「ProxyNotShell」取引所のバグ – 専門家が語る [オーディオ + テキスト]")
