S3 Aflevering 139: Zijn wachtwoordregels net zoiets als door de regen rennen?

S3 Aflevering 139: Zijn wachtwoordregels net zoiets als door de regen rennen?

Tijdstempel: 15 juni 2023 12:43 uur
S3 aflevering 139: Zijn wachtwoordregels hetzelfde als rennen door de regen? PlatoBlockchain-gegevensintelligentie. Verticaal zoeken. Ai.
by Paul Ducklin

KRIJG NIET IN DE GEWOONTE VAN EEN SLECHTE GEWOONTE

Magnetisch kerngeheugen. Patch Tuesday en SketchUp-shenanigans. Meer MOVEit-beperkingen. Berg Gox terug in het nieuws. Gozi malware crimineel eindelijk opgesloten. Zijn wachtwoordregels zoals rennen door regen?

Geen audiospeler hieronder? Luisteren direct op Soundcloud.

Met Doug Aamoth en Paul Ducklin. Intro en outro muziek door Edith Mudge.

Je kunt naar ons luisteren op Soundcloud, Apple Podcasts, Google Podcasts, Spotify, stikster en overal waar goede podcasts te vinden zijn. Of laat de URL van onze RSS-feed in je favoriete podcatcher.

LEES DE TRANSCRIPT

DOUG.  Patch dinsdag, cybercriminaliteit en plezier met wachtwoorden.

Dat alles, en meer, op de Naked Security-podcast.

[MUZIEK MODEM]

Welkom bij de podcast, allemaal.

Ik ben Doug Aamoth; hij is Paul Ducklin.

Paul, hoe gaat het vandaag?

EEND.  Doug, ik zou dit niet moeten zeggen... maar omdat ik weet wat er binnenkomt Deze week in de technische geschiedenis, omdat je me een voorproefje hebt gegeven, ben ik erg enthousiast!

DOUG.  Goed, goed, laten we er meteen aan beginnen!

Deze week, op 15 juni, lang geleden in 1949, schreef Jay Forrester, die professor was aan het Massachusetts Institute of Technology, of MIT,...

EEND.  [MOCK DRAMA] Zeg dat niet alsof je uit Boston komt en je bent er helemaal zelfvoldaan over, Doug? [GELACH]

DOUG.  Hรฉ, het is een prachtige campus; Ik ben er vaak geweest.

EEND.  Het is ook een soort beroemde technische school, nietwaar? [LACHT]

DOUG.  Het is zeker!

Jay Forrester schreef een voorstel voor 'kerngeheugen' in zijn notitieboekje en zou later magnetisch kerngeheugen installeren op de Whirlwind-computer van MIT.

Deze uitvinding maakte computers betrouwbaarder en sneller.

Kerngeheugen bleef de populaire keuze voor computeropslag tot de ontwikkeling van halfgeleiders in de jaren zeventig.

EEND.  Het is een fantastisch eenvoudig idee als je eenmaal weet hoe het werkt.

Kleine magnetische kernen van ferriet, alsof je in het midden van een transformator zou komen ... als superminiatuurringen.

Ze waren gemagnetiseerd, met de klok mee of tegen de klok in, om nul of รฉรฉn aan te duiden.

Het was letterlijk magnetische opslag.

En het had de funky eigenschap, Douglas, dat omdat ferriet in wezen een permanente magneet vormt...

โ€ฆje kunt hem opnieuw magnetiseren, maar als je de stroom uitschakelt, blijft hij gemagnetiseerd.

Het was dus niet vluchtig!

Als de stroom uitvalt, kunt u in principe de computer opnieuw opstarten en verder gaan waar u gebleven was.

Geweldig!

DOUG.  Uitstekend, jaโ€ฆ dat is echt cool.

EEND.  Blijkbaar was het oorspronkelijke plan van MIT om een โ€‹โ€‹royalty van US $ 0.02 per bit in rekening te brengen voor het idee.

Kun je je voorstellen hoe duur dat bijvoorbeeld een iPhone-geheugen van 64 gigabyte zou maken?

Het zou in de miljarden dollars lopen! [LACHT]

DOUG.  Unreal.

Wel, wat interessante geschiedenis, maar laten we het naar de moderne tijd brengen.

Niet zo lang geleden... Microsoft Patch dinsdag.

Geen nuldagen, maar toch tal van correcties, Paulus:

Patch Tuesday lost 4 kritieke RCE-bugs en een aantal Office-gaten op

EEND.  Nou, geen zero-days deze maand als je dat Edge-gat voor het uitvoeren van externe code negeert waar we het vorige week over hadden.

DOUG.  Hmmmmmm.

EEND.  Technisch gezien maakt dat geen deel uit van Patch Tuesday...

โ€ฆmaar er waren in totaal 26 bugs voor het uitvoeren van externe code [RCE] en 17 bugs met misbruik van bevoegdheden [EoP].

Dat is waar boeven al in zitten, maar ze kunnen nog niet veel doen, dus gebruiken ze de EoP-bug om superkrachten op je netwerk te krijgen en veel meer gemene dingen te doen.

Vier van die bugs voor het uitvoeren van externe code werden door Microsoft "Critical" genoemd, wat betekent dat als u een van die mensen bent die uw patches nog steeds graag in een specifieke volgorde uitvoert, we u aanraden om daarmee te beginnen.

Het goede nieuws over de vier kritieke patches is dat er drie betrekking hebben op dezelfde Windows-component.

Voor zover ik kan zien, waren het een aantal gerelateerde bugs, vermoedelijk gevonden tijdens een soort codereview van dat onderdeel.

Dat heeft betrekking op de Windows Messaging-service, als u die toevallig in uw netwerk gebruikt.

DOUG.  En we zijn allemaal collectief bedankt voor ons geduld met het SketchUp-debacle, waarvan ik tot nu toe niet wist dat het bestond.

EEND.  Net als jij, Doug, heb ik nooit dit programma genaamd SketchUp gebruikt, waarvan ik geloof dat het een grafisch 3D-programma van derden is.

Wie had gedacht dat het echt geweldig zou zijn om SketchUp 3D-afbeeldingen in uw Word-, Excel- en PowerPoint-documenten te kunnen plaatsen?

Zoals u zich kunt voorstellen, met een gloednieuw bestandsformaat om te ontleden, te interpreteren, te verwerken, weer te geven in Office...

โ€ฆMicrosoft heeft een bug geรฏntroduceerd die is opgelost als CVE-2023-33146.

Maar het verborgen verhaal achter het verhaal, als je wilt, is dat Microsoft op 01 juni 2023 aankondigde dat:

De mogelijkheid om SketchUp-afbeeldingen in te voegen is tijdelijk uitgeschakeld in Word, Excel, PowerPoint en Outlook voor Windows en Mac.

We stellen uw geduld op prijs terwijl we werken om de veiligheid en functionaliteit van deze functie te waarborgen.

Ik ben blij dat Microsoft mijn geduld op prijs stelt, maar ik zou misschien willen dat Microsoft zelf wat meer geduld had gehad voordat ze deze functie รผberhaupt in Office introduceerden.

Ik wou dat ze het daar hadden geplaatst *nadat* het veilig was, in plaats van het erin te stoppen om te zien of het veilig was en erachter te komen, zoals je zegt (verrassing! verrassing!), dat het niet zo was.

DOUG.  Grote.

Laten we bij het onderwerp geduld blijven.

Ik zei dat we "dit in de gaten zouden houden", en ik hoopte dat we dit niet in de gaten hoefden te houden.

Maar we moeten een beetje allitereren, zoals je deed in de kop.

Meer MOVEit-beperkingen: nieuwe patches gepubliceerd voor verdere bescherming, Paulus.

Meer MOVEit-beperkingen: nieuwe patches gepubliceerd voor verdere bescherming

EEND.  Het is weer dat goede oude MOVEit-probleem: de Fout in SQL-injectie.

Dat betekent dat als je het MOVEit Transfer-programma gebruikt en je hebt het niet gepatcht, boeven die toegang hebben tot de webgebaseerde front-end je server kunnen misleiden om slechte dingen te doen...

... tot en met het inbedden van een webshell waarin ze later kunnen ronddwalen en doen wat ze willen.

Zoals u weet, is er een CVE uitgegeven en heeft Progress Software, de makers van MOVEit, een patch uitgebracht om de bekende exploit in het wild aan te pakken.

Ze hebben nu nog een patch uit om gelijkaardige bugs aan te pakken die, voor zover ze weten, de boeven nog niet hebben gevonden (maar als ze goed genoeg zoeken, zouden ze dat wel kunnen).

En, hoe raar dat ook klinkt, als je merkt dat een bepaald onderdeel van je software een bug van een bepaald soort bevat, zou je niet verbaasd moeten zijn als, als je dieper graaft...

... je merkt dat de programmeur (of het programmeerteam dat eraan werkte op het moment dat de bug die je al kent werd geรฏntroduceerd) rond dezelfde tijd soortgelijke fouten beging.

Dus goed gedaan in dit geval, zou ik willen zeggen, aan Progress Software voor het proberen hier proactief mee om te gaan.

Progress Software zei net, โ€œAlle klanten van Move It moeten de nieuwe patch toepassen die op 09 juni 2023 is uitgebracht.

DOUG.  OK, ik denk dat we dat in de gaten gaan houden!

Paul, help me hier.

Ik ben in het jaar 2023, lees in een Naakte beveiligingskop iets over โ€œMt. Gox."

Wat gebeurt er met mij?

De geschiedenis opnieuw bekeken: het Amerikaanse ministerie van Justitie onthult de aanklachten tegen Mt. Gox voor cybercriminaliteit

EEND.  Berg Gox!

โ€œMagic The Gathering Online Exchangeโ€, Doug, zoals het wasโ€ฆ

DOUG.  [LACHT] Natuurlijk!

EEND.  โ€ฆwaar je Magic The Gathering-kaarten kunt ruilen.

Dat domein is verkocht en degenen met een lang geheugen zullen weten dat het de meest populaire en verreweg de grootste Bitcoin-uitwisseling ter wereld is geworden.

Het werd gerund door een Franse expat, Mark Karpelรจs, uit Japan.

Het ging blijkbaar allemaal van een leien dakje, totdat het in 2014 implodeerde in een wolk van cryptocurrency-stof, toen ze zich realiseerden dat, losjes gesproken, al hun Bitcoins waren verdwenen.

DOUG.  [LACHT] Ik mag niet lachen!

EEND.  647,000 van hen, of zoiets.

En zelfs toen waren ze al ongeveer $ 800 per stuk waard, dus dat was een half miljard dollar aan "puff".

Intrigerend genoeg wezen destijds veel vingers naar het Mt. Gox-team zelf en zeiden: "Oh, dit moet een inside job zijn."

En in feite, op nieuwjaarsdag, denk ik dat het in 2015 was, publiceerde een Japanse krant genaamd Yomiuri Shimbun een artikel waarin stond: โ€œWe hebben dit onderzocht en 1% van de verliezen kan worden verklaard door het excuus dat ze hebben bedacht; voor de rest zeggen we on the record dat het een inside job was.โ€

Dat artikel dat ze publiceerden, dat veel drama veroorzaakte omdat het nogal een dramatische beschuldiging is, geeft nu een 404-fout [HTTP-pagina niet gevonden] als je het vandaag bezoekt.

DOUG.  Heel interessant!

EEND.  Dus volgens mij staan โ€‹โ€‹ze er niet meer achter.

En inderdaad, het ministerie van Justitie [DOJ] in de Verenigde Staten heeft eindelijk, eindelijk, al die jaren later, twee Russische staatsburgers aangeklaagd voor het stelen van alle Bitcoins.

Het klinkt dus alsof Mark Karpelรจs op zijn minst een gedeeltelijke vrijstelling heeft gekregen, met dank aan het Amerikaanse ministerie van Justitie, omdat ze deze twee Russische kerels al die jaren geleden zeer zeker in het kader van deze misdaad hebben geplaatst.

DOUG.  Het is fascinerend om te lezen.

Dus bekijk het op Naked Security.

Het enige wat je hoeft te doen is zoeken naar, je raadt het al, "Mt. Gox".

Laten we het even hebben over cybercriminaliteit, aangezien dit een van de belangrijkste boosdoeners achter de Gozi-bankmalware is belandde in de gevangenis na tien lange jaren, Paul:

Gozi banking malware "IT-chef" eindelijk gevangen gezet na meer dan 10 jaar

EEND.  Jaโ€ฆ het was een beetje zoals wachten op de bus.

Twee verbazingwekkende "wauw, dit is tien jaar geleden gebeurd, maar we krijgen hem uiteindelijk wel" verhalen kwamen tegelijk binnen. [GELACH]

En deze, dacht ik, was belangrijk om opnieuw op te schrijven, gewoon om te zeggen: โ€œDit is het ministerie van Justitie; ze zijn hem niet vergeten.โ€

Eigenlijk. Hij werd gearresteerd in Colombia.

Ik geloof dat hij een bezoek bracht, en hij was op het vliegveld van Bogotรก, en ik denk dat de grensbeambten dachten: "Oh, die naam staat op een wachtlijst"!

En dus dachten de Colombiaanse functionarissen blijkbaar: "Laten we contact opnemen met de Amerikaanse diplomatieke dienst."

Ze zeiden: 'Hรฉ, we hebben hier een kerel vast met de naam van (ik zal zijn naam niet noemen - het staat in het artikel). Heb je toevallig nog steeds interesse?โ€

En wat een verrassing, Doug, de VS was inderdaad erg geรฏnteresseerd.

Dus hij werd uitgeleverd, kwam voor de rechter, pleitte schuldig en hij is nu veroordeeld.

Hij krijgt slechts drie jaar gevangenisstraf, wat misschien een lichte straf lijkt, en hij moet meer dan $ 3,000,000 inleveren.

Ik weet niet wat er gebeurt als hij dat niet doet, maar ik denk dat het slechts een herinnering is dat door weg te rennen en je te verbergen voor malware-gerelateerde criminaliteit...

... nou, als er aanklachten tegen je zijn en de VS naar je op zoek zijn, zeggen ze niet zomaar: "Ah, het is tien jaar, we kunnen er net zo goed mee stoppen."

En de criminaliteit van deze man was het runnen van wat in het jargon bekend staat als "bulletproof hosts", Doug.

Dat is eigenlijk waar je een soort ISP bent, maar in tegenstelling tot een gewone ISP, doe je er alles aan om een โ€‹โ€‹bewegend doelwit te zijn voor wetshandhavers, blokkeerlijsten en verwijderingsverzoeken van reguliere ISP's.

Dus je levert diensten, maar je laat ze, als je wilt, overal en onderweg op het internet rondslingeren, zodat oplichters je een vergoeding betalen, en ze weten dat de domeinen die je voor hen host gewoon blijven werken, zelfs als de politie achter je aan zit.

DOUG.  Okรฉ, weer geweldig nieuws.

Paul, je hebt, terwijl we onze verhalen van vandaag afronden, geworsteld met een zeer moeilijke, genuanceerde, maar toch belangrijke vraag over wachtwoorden.

Moeten we ze namelijk constant wisselen, misschien een keer per maand?

Of om te beginnen echt complexe insluiten en dan goed genoeg met rust laten?

Gedachten over geplande wachtwoordwijzigingen (noem ze geen rotaties!)

EEND.  Hoewel het klinkt als een soort oud verhaal, en het is inderdaad een verhaal dat we al vele malen eerder hebben bezocht, is de reden dat ik het opschreef dat een lezer contact met me opnam om hiernaar te vragen.

Hij zei: โ€œIk wil niet aan slag gaan voor 2FA; Ik wil niet ingaan op wachtwoordbeheerders. Dat zijn aparte zaken. Ik wil gewoon weten hoe ik, als je wilt, de territoriumoorlog tussen twee facties binnen mijn bedrijf kunt oplossen, waarbij sommige mensen zeggen dat we wachtwoorden correct moeten gebruiken, en anderen alleen maar zeggen: 'Die boot is gevaren, het is te moeilijk, we zullen mensen gewoon dwingen ze te veranderen en dat is goed genoeg'.

Dus ik dacht dat het de moeite waard was om erover te schrijven.

Afgaande op het aantal reacties op Naked Security en op sociale media worstelen veel IT-teams hier nog mee.

Als je mensen gewoon dwingt hun wachtwoord elke 30 dagen of 60 dagen te wijzigen, maakt het dan echt uit of ze een wachtwoord kiezen dat bij uitstek te kraken is als hun hasj wordt gestolen?

Zolang ze maar niet kiezen password or secret of een van de tien beste kattennamen ter wereld, is het misschien okรฉ als we ze dwingen om het te veranderen in een ander niet erg goed wachtwoord voordat de boeven het kunnen kraken?

Misschien is dat net goed genoeg?

Maar ik heb drie redenen waarom je een slechte gewoonte niet kunt oplossen door gewoon een andere slechte gewoonte te volgen.

DOUG.  De eerste uit de poort: Het regelmatig wijzigen van wachtwoorden is geen alternatief voor het kiezen en gebruiken van sterke wachtwoorden, Paul.

EEND.  Nee!

Je zou ervoor kunnen kiezen om beide te doen (en ik zal je zo meteen twee redenen geven waarom ik denk dat het dwingen van mensen om ze regelmatig te veranderen nog een reeks problemen met zich meebrengt).

Maar de simpele observatie is dat het regelmatig wijzigen van een slecht wachtwoord het nog geen beter wachtwoord maakt.

Als je een beter wachtwoord wilt, kies dan een beter wachtwoord om mee te beginnen!

DOUG.  En je zegt: Mensen dwingen hun wachtwoord routinematig te wijzigen, kan hen in slaap sussen met slechte gewoonten.

EEND.  Afgaande op de commentaren is dit precies het probleem dat veel IT-teams hebben.

Als je tegen mensen zegt: "Hรฉ, je moet je wachtwoord elke 30 dagen wijzigen, en je kunt maar beter een goed wachtwoord kiezen", dan is alles wat ze doen...

โ€ฆze zullen een goede kiezen.

Ze zullen het een week lang in hun geheugen bewaren voor de rest van hun leven.

En dan voegen ze er elke maand aan toe -01, -02, Enzovoort.

Dus als de boeven een van de wachtwoorden kraken of compromitteren, en ze een dergelijk patroon zien, kunnen ze vrij goed achterhalen wat uw wachtwoord vandaag is als ze uw wachtwoord van zes maanden geleden kennen.

Dus dat is waar het forceren van verandering wanneer het niet nodig is, ertoe kan leiden dat mensen cyberbeveiligingssnelkoppelingen nemen die u niet wilt dat ze doen.

DOUG.  En dit is een interessante.

We hebben hier eerder over gesproken, maar het is iets waar sommige mensen misschien niet aan hebben gedacht: Het plannen van wachtwoordwijzigingen kan noodhulp vertragen.

Wat bedoel je daarmee?

EEND.  Het punt is dat als je een geformaliseerd, vast schema hebt voor wachtwoordwijzigingen, zodat iedereen weet dat wanneer de laatste dag van deze maand aanbreekt, ze toch gedwongen zullen worden hun wachtwoord te wijzigen...

โ€ฆen dan denken ze: โ€œWeet je wat? Het is de 12e van de maand en ik ging naar een website waarvan ik niet zeker weet of die een phishing-site zou kunnen zijn. Nou, ik ga mijn wachtwoord sowieso over twee weken veranderen, dus ik ga het nu niet veranderen.

Dus door uw wachtwoorden *regelmatig* te wijzigen, kunt u in de gewoonte terechtkomen dat u soms, wanneer het echt heel belangrijk is, uw wachtwoord niet *vaak* genoeg verandert.

Als en wanneer u denkt dat er een goede reden is om uw wachtwoord te wijzigen, DOE HET NU!

DOUG.  Ik hou ervan!

Okรฉ, laat een van onze lezers iets horen over het wachtwoord.

Naked Security-lezer Philip schrijft onder meer:

Het vaak wijzigen van uw wachtwoorden om niet gecompromitteerd te raken, is hetzelfde als denken dat als u snel genoeg rent, u alle regendruppels kunt ontwijken.

OK, je ontwijkt de regendruppels die achter je vallen, maar er zullen er net zoveel zijn waar je heen gaat.

En, gedwongen om regelmatig hun wachtwoord te veranderen, zal een zeer groot aantal mensen gewoon een nummer toevoegen dat ze naar behoefte kunnen verhogen.

Zoals je al zei, Paul!

EEND.  Je vriend en de mijne, zeiden Chester [Wisniewski], een paar jaar geleden toen we het over hadden wachtwoord mythen, โ€œAlles wat ze hoeven te doen [LACHT], om erachter te komen wat het nummer aan het einde is, is naar je LinkedIn-pagina te gaan. 'Begonnen bij dit bedrijf in augustus 2017'โ€ฆ tel het aantal maanden sindsdien.โ€

Dat is het nummer dat je aan het einde nodig hebt.

Sophos Techknow - Wachtwoordmythes doorbreken

DOUG.  Precies! [GELACH]

EEND.  En het probleem is dat wanneer je probeert te plannen of te algoritmen... is dat een woord?

(Het zou waarschijnlijk niet zo moeten zijn, maar ik zal het toch gebruiken.)

Wanneer je het idee van willekeur, entropie en onvoorspelbaarheid probeert te nemen en het in een of ander superstreng algoritme samenvoegt, zoals het algoritme dat beschrijft hoe de karakters en cijfers op voertuiglabels zijn ingedeeld, bijvoorbeeld...

โ€ฆdan krijg je *minder* willekeur, niet *meer*, en daar moet je je bewust van zijn.

Dus mensen dwingen om iets te doen waardoor ze in een patroon vervallen, is, zoals Chester destijds zei, ze gewoon een slechte gewoonte aanleren.

En ik hou van die manier om het te zeggen.

DOUG.  Okรฉ, heel erg bedankt voor het insturen, Philip.

En als je een interessant verhaal, opmerking of vraag hebt die je wilt indienen, lezen we die graag in de podcast.

U kunt een e-mail sturen naar tips@sophos.com, commentaar geven op een van onze artikelen of contact met ons opnemen op social media: @nakedsecurity.

Dat is onze show voor vandaag.

Heel erg bedankt voor het luisteren.

Voor Paul Ducklin, ik ben Doug Aamoth, ik herinner je eraan, tot de volgende keer, om...

BEIDE.  Blijf veilig!

[MUZIEK MODEM]

Tijdstempel:

Meer van Naakte beveiliging