S3 Aflevering 143: Supercookie-surveillance-shenanigans

S3 Aflevering 143: Supercookie-surveillance-shenanigans

Tijdstempel: 13 juli 2023 12:48 uur
S3 aflevering 143: Supercookie-surveillance-shenanigans PlatoBlockchain Data Intelligence. Verticaal zoeken. Ai.
by Paul Ducklin

ZING EEN LIED VAN SUPERCOOKIES

De rekenliniaal onthouden. Wat jij te weten over Patch dinsdag. Superkoekje bewakingstrucs. Wanneer bugs komen in paren aan. Apple is snel stuk dat had een stroomversnelling nodig stuk. User-Agent beschouwd als schadelijk.

Geen audiospeler hieronder? Luisteren direct op Soundcloud.

Met Doug Aamoth en Paul Ducklin. Intro en outro muziek door Edith Mudge.

Je kunt naar ons luisteren op Soundcloud, Apple Podcasts, Google Podcasts, Spotify en overal waar goede podcasts te vinden zijn. Of laat de URL van onze RSS-feed in je favoriete podcatcher.

LEES DE TRANSCRIPT

DOUG.  Een Apple-noodpatch, gaslighting-computers en WAAROM KAN IK WINDOWS 7 NIET BLIJVEN GEBRUIKEN?

Dat alles, en meer, op de Naked Security-podcast.

[MUZIEK MODEM]

Welkom bij de podcast, allemaal.

Ik ben Doug Aamoth; hij is Paul Ducklin.

Paulus, hoe gaat het met je?

EEND.  Ik ben een beetje geschrokken, Doug.

Je was erg dramatisch over de noodzaak om Windows 7 te blijven gebruiken!

DOUG.  Nou, zoals veel mensen ben ik er boos over (grap!), en daar zullen we het zo over hebben.

Maar eerst een heel belangrijk Deze week in de technische geschiedenis segment.

11 juli 1976 markeerde de laatste adem voor een eens zo gewoon wiskundig rekenhulpmiddel.

Ik doel natuurlijk op de rekenliniaal.

Het uiteindelijk geproduceerde Amerikaanse model, een Keuffel & Esser 4081-3, werd gepresenteerd aan het Smithsonian Institution, waarmee het einde van een wiskundig tijdperk werd gemarkeerd...

…een tijdperk dat achterhaald is door computers en rekenmachines zoals Paul's favoriet, de HP-35.

Dus, Paul, ik geloof dat u bloed aan uw handen hebt, meneer.

EEND.  Ik heb nooit een HP-35 gehad.

Ten eerste was ik veel te jong en ten tweede waren ze $ 395 per stuk toen ze binnenkwamen.

DOUG.  [LACHT] Wauw!

EEND.  Dus het duurde nog een paar jaar voordat de prijzen crashten, toen de wet van Moore in werking trad.

En toen wilden mensen geen rekenlinialen meer gebruiken.

Mijn vader gaf me zijn oude, en ik koesterde dat ding omdat het geweldig was...

…en ik zal je vertellen wat een rekenliniaal je leert, want als je het gebruikt voor vermenigvuldigen, converteer je in feite de twee getallen die je wilt vermenigvuldigen naar getallen tussen 1 en 10, en dan vermenigvuldig je ze met elkaar.

En dan moet je uitzoeken waar de komma komt.

Als je een getal hebt gedeeld door 100 en het andere getal hebt vermenigvuldigd met 1000 om ze binnen bereik te krijgen, dan moet je aan het eind een nul toevoegen om te vermenigvuldigen met 10.

Het was dus een fantastische manier om jezelf te leren of de antwoorden die je kreeg van je elektronische rekenmachine, waar je lange getallen als 7,000,000,000 intypte...

... of je de orde van grootte, de exponent, goed had.

Rekenlinialen en hun gedrukte equivalent, logboektabellen, hebben je veel geleerd over hoe je ordes van grootte in je hoofd kunt beheren en niet te gemakkelijk valse resultaten kunt accepteren.

DOUG.  Ik heb er nog nooit een gebruikt, maar het klinkt erg opwindend uit wat je net hebt beschreven.

Laten we de spanning erin houden.

Vorige week, Firefox uitgebracht versie 115:

Firefox 115 is uit, neemt afscheid van gebruikers van oudere Windows- en Mac-versies

Ze bevatten een notitie die ik graag zou willen lezen, en ik citeer:

In januari 2023 beëindigde Microsoft de ondersteuning voor Windows 7 en Windows 8.

Als gevolg hiervan is dit de laatste versie van Firefox die gebruikers op die besturingssystemen zullen ontvangen.

En ik heb het gevoel dat elke keer dat een van deze notities wordt toegevoegd aan een definitieve release, mensen naar buiten komen en zeggen: "Waarom kan ik Windows 7 niet blijven gebruiken?"

We hadden zelfs een commentator die zei dat Windows XP prima is.

Dus wat zou je zeggen tegen deze mensen, Paul, die niet verder willen met de besturingssysteemversies waar ze van houden?

EEND.  De beste manier voor mij om het te zeggen, Doug, is om terug te lezen wat volgens mij de beter geïnformeerde commentatoren op ons artikel zeiden.

Alex Fair schrijft:

Het gaat niet alleen om wat *jij* wilt, maar ook om hoe je gebruikt en uitgebuit zou kunnen worden, en op zijn beurt anderen schade zou kunnen berokkenen.

En Paul Roux zei nogal satirisch:

Waarom gebruiken mensen nog steeds Windows 7 of XP?

Als de reden is dat nieuwere besturingssystemen slecht zijn, waarom zou u dan niet Windows 2000 gebruiken?

Heck, NT 4 was zo geweldig dat het ZES servicepacks ontving!

DOUG.  [LACHT] 2000 *was* echter geweldig.

EEND.  Het gaat niet alleen om jou.

Het gaat erom dat je systeem bugs bevat, waarvan criminelen al weten hoe ze die moeten uitbuiten, die nooit, maar dan ook nooit gepatcht zullen worden.

Dus het antwoord is dat je soms gewoon moet loslaten, Doug.

DOUG.  "Het is beter te hebben liefgehad en verloren dan nooit te hebben liefgehad", zoals ze zeggen.

Laten we bij het onderwerp Microsoft blijven.

Patch Tuesday, Paul, geeft rijkelijk.

Microsoft patcht vier zero-days, onderneemt eindelijk actie tegen crimeware-kerneldrivers

EEND.  Ja, het gebruikelijke grote aantal bugs is verholpen.

Het grote nieuws hieruit, de dingen die je moet onthouden (en er zijn twee artikelen die je kunt go en raadplegen op news.sophos.com als je de bloederige details wilt weten)….

Een probleem is dat vier van deze bugs zich in de wilde, zero-day, reeds uitgebuite holes bevinden.

Twee daarvan zijn beveiligingsomzeilingen, en hoe triviaal dat ook klinkt, ze hebben blijkbaar betrekking op het klikken op URL's of het openen van dingen in e-mails waar je normaal gesproken een waarschuwing krijgt met de tekst: "Weet je echt zeker dat je dit wilt doen?"

Wat anders zou kunnen voorkomen dat heel wat mensen een ongewenste fout maken.

En er zijn twee Elevation-of-Privilege (EoP) gaten gefixeerd.

En hoewel Elevation of Privilege meestal wordt neergekeken als minder dan Remote Code Execution, waar boeven de bug in de eerste plaats gebruiken om in te breken, heeft het probleem met EoP te maken met boeven die al "met opzet rondhangen" in uw netwerk .

Het is alsof ze zichzelf kunnen opwaarderen van een gast in een hotellobby tot een supergeheimzinnige, stille inbreker die plotseling en op magische wijze toegang heeft tot alle kamers in het hotel.

Dus die zijn zeker de moeite waard om op te letten.

En er is een speciaal Microsoft-beveiligingsadvies...

… nou ja, er zijn er meerdere; degene waar ik je aandacht op wil vestigen is ADV23001, wat in feite Microsoft zegt: "Hé, weet je nog toen Sophos-onderzoekers ons rapporteerden dat ze een hele hoop rootkittery hadden gevonden met ondertekende kernelstuurprogramma's die zelfs hedendaagse Windows gewoon laden omdat ze zijn goedgekeurd voor gebruik?”

Ik denk dat er uiteindelijk meer dan 100 van dergelijke ondertekende coureurs waren.

Het goede nieuws in dit advies is dat Microsoft al die maanden later eindelijk heeft gezegd: "OK, we gaan voorkomen dat die stuurprogramma's worden geladen en beginnen ze automatisch te blokkeren."

[IRONIC] Wat volgens mij behoorlijk groot is, eigenlijk, terwijl ten minste enkele van die stuurprogramma's daadwerkelijk door Microsoft zelf zijn ondertekend, als onderdeel van hun hardwarekwaliteitsprogramma. [LACHT]

Als je het verhaal achter het verhaal wilt vinden, zoals ik al zei, ga dan gewoon naar news.sophos.com en zoek naar "chauffeurs'.

Microsoft trekt schadelijke stuurprogramma's in tijdens Patch Tuesday Culling

DOUG.  Uitstekend.

Oké, dit volgende verhaal... Ik ben om zoveel redenen geïntrigeerd door deze kop: Rowhammer keert terug om je computer in het zonnetje te zetten.

Serieuze beveiliging: Rowhammer keert terug om je computer in het zonnetje te zetten

Paul, vertel me over...

[OP DE WIJZE VAN PETER GABRIEL'S "SLEDGEHAMMER"] Vertel eens over...

BEIDE.  [ZINGEND] Rowhammer!

DOUG.  [LACHT] Genageld!

EEND.  Ga door, nu moet je de riff doen.

DOUG.  [EEN SYNTHESISER SYNTHESIS MAKEN] Doodly-doo da doo, doo do doo.

EEND.  [INDRUK] Heel goed, Doug!

DOUG.  Dank je.

EEND.  Degenen die zich dit niet herinneren uit het verleden: "Rowhammer" is de jargonnaam die ons eraan herinnert dat de condensatoren, waar stukjes geheugen (enen en nullen) zijn opgeslagen in moderne DRAM, of dynamische RAM-chips, zo dichtbij zijn samen…

Als je naar een van hen schrijft (je moet de condensatoren eigenlijk in rijen tegelijk lezen en schrijven, dus "rowhammer"), als je dat doet, omdat je de rij hebt gelezen, heb je de condensatoren ontladen.

Zelfs als je alleen maar naar het geheugen hebt gekeken, moet je de oude inhoud terugschrijven, anders zijn ze voor altijd verloren.

Als je dat doet, omdat die condensatoren zo klein zijn en zo dicht bij elkaar staan, is er een kleine kans dat condensatoren in een of beide naburige rijen hun waarde omdraaien.

Nu wordt het DRAM genoemd omdat het zijn lading niet voor onbepaalde tijd vasthoudt, zoals statisch RAM of flashgeheugen (met flashgeheugen kun je zelfs de stroom uitschakelen en het onthoudt wat er was).

Maar met DRAM zijn in principe na ongeveer een tiende van een seconde de ladingen in al die kleine condensatoren verdwenen.

Ze moeten dus de hele tijd worden herschreven.

En als je supersnel herschrijft, kun je zelfs bits in het nabije geheugen omdraaien.

Historisch gezien is de reden dat dit een probleem is geweest, dat als je kunt spelen met geheugenuitlijning, ook al kun je niet voorspellen welke bits gaan omdraaien, je *misschien* kunt knoeien met zaken als geheugenindexen, paginatabellen, of gegevens in de kernel.

Zelfs als je alleen maar uit het geheugen leest, omdat je niet-geprivilegieerde toegang hebt tot dat geheugen buiten de kernel.

En dat is waar rowhammer-aanvallen tot nu toe op gericht waren.

Wat deze onderzoekers van de University of California in Davis deden, was dat ze dachten: "Nou, ik vraag me af of de bit-flip-patronen, hoe pseudo-willekeurig ze ook zijn, consistent zijn voor verschillende leveranciers van chips?"

Wat klinkt een beetje als een "supercookie", nietwaar?

Iets dat uw computer de volgende keer identificeert.

En inderdaad, de onderzoekers gingen zelfs nog verder en ontdekten dat individuele chips... of geheugenmodules (ze hebben meestal meerdere DRAM-chips erop), DIMM's, dubbele inline geheugenmodules die je bijvoorbeeld in de sleuven van je desktopcomputer kunt klemmen, en bij sommige laptops.

Ze ontdekten dat de bit-flip-patronen in feite konden worden omgezet in een soort irisscan, of iets dergelijks, zodat ze de DIMM's later konden herkennen door de rowhammering-aanval opnieuw uit te voeren.

Met andere woorden, u kunt uw browsercookies wissen, u kunt de lijst met geïnstalleerde applicaties wijzigen, u kunt uw gebruikersnaam wijzigen, u kunt een gloednieuw besturingssysteem opnieuw installeren, maar de geheugenchips geven u in theorie weg.

En in dit geval is het idee: superkoekjes.

Heel interessant, en zeker de moeite waard om te lezen.

DOUG.  Het is cool!

Nog iets over het schrijven van nieuws, Paul: je bent een goede nieuwsschrijver en het idee is om de lezer meteen te boeien.

Dus in de eerste zin van dit volgende artikel zeg je: "Zelfs als je nog nooit van het eerbiedwaardige Ghostscript-project hebt gehoord, heb je het misschien wel gebruikt zonder het te weten."

Ik ben geïntrigeerd, want de kop is: Ghostscript-bug kan ervoor zorgen dat frauduleuze documenten systeemopdrachten kunnen uitvoeren.

Ghostscript-bug kan ervoor zorgen dat frauduleuze documenten systeemopdrachten kunnen uitvoeren

Vertel me meer!

EEND.  Welnu, Ghostscript is een gratis en open source-implementatie van Adobe's PostScript- en PDF-talen.

(Als je nog nooit van PostScript hebt gehoord, PDF is een soort "PostScript Next Generation".)

Het is een manier om te beschrijven hoe je een afgedrukte pagina of een pagina op een computerscherm maakt, zonder het apparaat te vertellen welke pixels het moet inschakelen.

Dus je zegt: “Teken hier een vierkant; teken hier een driehoek; gebruik dit prachtige lettertype.”

Het is een op zichzelf staande programmeertaal die u apparaatonafhankelijke controle geeft over zaken als printers en schermen.

En Ghostscript is, zoals ik al zei, een gratis en open source tool om precies dat te doen.

En er zijn tal van andere open source-producten die precies deze tool gebruiken als een manier om zaken als EPS-bestanden (Encapsulated PostScript) te importeren, zoals je zou kunnen krijgen van een ontwerpbureau.

Dus misschien heb je Ghostscript zonder het te beseffen - dat is het belangrijkste probleem.

En dit was een kleine maar erg vervelende bug.

Het blijkt dat een malafide document dingen kan zeggen als: "Ik wil wat uitvoer maken en ik wil het in een bestandsnaam XYZ plaatsen."

Maar als je aan het begin van de bestandsnaam zet, %pipe%, en *dan* de bestandsnaam...

...die bestandsnaam wordt de naam van een uit te voeren commando dat de uitvoer van Ghostscript verwerkt in wat een "pijplijn" wordt genoemd.

Dat klinkt misschien als een lang verhaal voor een enkele bug, maar het belangrijkste deel van dit verhaal is dat na het oplossen van dat probleem: “Oh, nee! We moeten voorzichtig zijn als de bestandsnaam begint met de tekens %pipe%, want dat betekent eigenlijk dat het een commando is, geen bestandsnaam.”

Dat kan gevaarlijk zijn, omdat het de uitvoering van externe code kan veroorzaken.

Dus ze hebben die bug gepatcht en toen besefte iemand: "Weet je wat, bugs gaan vaak in paren of in groepen."

Ofwel vergelijkbare coderingsfouten elders in hetzelfde stuk code, of meer dan één manier om de oorspronkelijke bug te activeren.

En toen besefte iemand in het Ghostscript Script-team: “Weet je wat, we lieten ze ook typen | [verticale balk, dat wil zeggen het "pijp"-teken] ook de naam van het spatie-commando, dus daar moeten we ook op controleren."

Dus er was een patch, gevolgd door een patch-to-the-patch.

En dat is niet noodzakelijkerwijs een teken van slechtheid van het programmeerteam.

Het is eigenlijk een teken dat ze niet alleen de minimale hoeveelheid werk hebben gedaan, het aftekenen en je laten lijden met de andere bug en wachten tot deze in het wild is gevonden.

DOUG.  En opdat je niet denkt dat we klaar zijn met praten over bugs, jongen, we hebben een doozie voor je!

Een Apple-patch voor noodgevallen voortgekomen, En vervolgens niet opgekomen, en toen gaf Apple er min of meer commentaar op, wat betekent dat boven beneden is en links rechts, Paul.

Dringend! Apple repareert een kritiek zero-day-gat in iPhones, iPads en Macs

EEND.  Ja, het is een beetje een komedie van fouten.

Ik heb bijna, maar niet helemaal, medelijden met Apple in deze...

…maar omdat ze erop aandringen zo min mogelijk te zeggen (terwijl ze helemaal niets zeggen), is het nog steeds niet helemaal duidelijk wiens schuld het is.

Maar het verhaal gaat als volgt: “Oh nee! Er is een 0-dag in Safari, in WebKit (de browser-engine die wordt gebruikt in elke browser op je iPhone en in Safari op je Mac), en boeven/spywareverkopers/iemand gebruiken dit blijkbaar voor groot kwaad.'

Met andere woorden, "look-and-be-pwned", of "drive-by install", of "zero-click infectie", of hoe je het ook wilt noemen.

Dus Apple heeft, zoals je weet, nu dit Rapid Security Response-systeem (althans voor de nieuwste iOS, iPadOS en macOS) waar ze geen volledige systeemupgrade hoeven te maken, met een heel nieuw versienummer dat je nooit kunt downgraden vanaf, telkens als er een 0-dag is.

Snelle beveiligingsreacties dus.

Dit zijn de dingen die je, als ze niet werken, achteraf kunt verwijderen.

Het andere is dat ze over het algemeen erg klein zijn.

Geweldig!

Het probleem is... het lijkt erop dat, omdat deze updates geen nieuw versienummer krijgen, Apple een manier moest vinden om aan te geven dat je de Rapid Security Response al had geïnstalleerd.

Dus wat ze doen, is dat je je versienummer neemt, zoals iOS 16.5.1, en ze voegen er een spatie achter toe en dan (a).

En het gerucht gaat dat sommige websites (ik zal ze niet noemen omdat dit allemaal van horen zeggen is)...

...toen ze de User-Agent tekenreeks in Safari, inclusief de (a) voor de volledigheid, ging: “Whoooooa! Wat is (a) doen in een versienummer?”

Dus sommige gebruikers meldden wat problemen, en Apple blijkbaar getrokken de update.

Apple haalt stilletjes zijn laatste zero-day update uit - wat nu?

En toen, na een hoop verwarring, en nog een artikel over Naked Security, en niemand die precies wist wat er aan de hand was... [GELACH]

…Apple heeft eindelijk HT21387 gepubliceerd, een beveiligingsbulletin dat ze hebben geproduceerd voordat ze de patch daadwerkelijk klaar hadden, wat ze normaal gesproken niet doen.

Maar het was bijna erger dan niets zeggen, want ze zeiden: “Vanwege dit probleem, Rapid Security Response (b) zal binnenkort beschikbaar zijn om dit probleem aan te pakken.”

En dat is het. [GELACH]

Ze zeggen niet helemaal wat het probleem is.

Ze zeggen er niet bij of het er aan ligt User-Agent strings omdat, zo ja, het probleem misschien meer bij de website aan de andere kant ligt dan bij Apple zelf?

Maar Apple zegt niets.

We weten dus niet of het hun fout is, de fout van de webserver of beiden.

En ze zeggen gewoon "binnenkort", Doug.

DOUG.  Dit is een goed moment om onze lezersvraag in te dienen.

Over dit Apple-verhaal vraagt ​​lezer JP:

Waarom moeten websites uw browser zo vaak inspecteren?

Het is te snoopy en vertrouwt op oude manieren om dingen te doen.

Wat zeg je daarvan, Paul?

EEND.  Ik vroeg me die vraag zelf af, en ik ging op zoek naar: 'Wat moet je ermee doen? User-Agent snaren?”

Het lijkt een beetje een eeuwigdurend probleem te zijn voor websites waar ze superslim proberen te zijn.

Dus ging ik naar MDN (wat vroeger was, denk ik, Mozilla Developer Network, maar het is nu een community-site), wat een van de beste bronnen is als je je afvraagt: “Hoe zit het met HTTP-headers? Hoe zit het met HTML? Hoe zit het met JavaScript? Hoe zit het met CSS? Hoe past dit allemaal bij elkaar?”

En hun advies is simpelweg: “Alsjeblieft, iedereen, stop met kijken naar de User-Agent snaar. Je maakt gewoon een hengel voor je eigen rug en een heleboel complexiteit voor alle anderen.

Dus waarom kijken sites naar User-Agent?

[WRY] Ik denk omdat ze dat kunnen. [GELACH]

Wanneer je een website aan het maken bent, vraag jezelf dan af: "Waarom ga ik in dit konijnenhol om een ​​andere manier van reageren te hebben op basis van een of ander vreemd stukje touw ergens in de wereld?" User-Agent? "

Probeer verder te denken dan dat, en het leven zal voor ons allemaal eenvoudiger zijn.

DOUG.  Oké, heel filosofisch!

Bedankt, JP, voor het insturen.

Als je een interessant verhaal, opmerking of vraag hebt die je wilt indienen, lezen we die graag in de podcast.

U kunt een e-mail sturen naar tips@sophos.com, commentaar geven op een van onze artikelen of contact met ons opnemen op social media: @nakedsecurity.

Dat is onze show voor vandaag; heel erg bedankt voor het luisteren.

Voor Paul Ducklin, ik ben Doug Aamoth, ik herinner je eraan: tot de volgende keer...

BEIDE.  Blijf veilig!

[MUZIEK MODEM]

Tijdstempel:

Meer van Naakte beveiliging