S3 Ep139: Er passordregler som å løpe gjennom regn?

S3 Ep139: Er passordregler som å løpe gjennom regn?

Tidsstempel: 15. juni 2023 12:43
S3 Ep139: Er passordregler som å løpe gjennom regn? PlatoBlockchain Data Intelligence. Vertikalt søk. Ai.
by Paul Ducklin

IKKE KOM I TIL VANEN MED EN DÅRLIG VANE

Magnetisk kjerneminne. Patch tirsdag og SketchUp-galskap. Mer MOVEit-reduksjoner. Mt. Gox tilbake på nyhetene. Gozi malware kriminell endelig fengslet. Er passordregler som løper gjennom regn?

Ingen lydspiller under? Lytte direkte på Soundcloud.

Med Doug Aamoth og Paul Ducklin. Intro- og outromusikk av Edith Mudge.

Du kan lytte til oss på Soundcloud, Apple Podcasts, Google Podcasts, Spotify, Stitcher og hvor som helst hvor du finner gode podcaster. Eller bare dropp URL til RSS-feeden vår inn i din favoritt podcatcher.

LES TRANSKRIPTET

DOUG.  Patch Tuesday, cyberkriminalitet og moro med passord.

Alt det, og mer, på Naked Security-podcasten.

[MUSIKK MODEM]

Velkommen til podcasten, alle sammen.

Jeg er Doug Aamoth; han er Paul Ducklin.

Paul, hvordan har du det i dag?

AND.  Doug, jeg burde ikke si dette... men fordi jeg vet hva som kommer inn Denne uken i teknisk historie, fordi du ga meg en forhåndsvisning, er jeg veldig spent!

DOUG.  Ok, vel, la oss komme rett til det!

Denne uken, den 15. juni, helt tilbake i 1949, skrev Jay Forrester, som var professor ved Massachusetts Institute of Technology, eller MIT, ned...

AND.  [MOCK DRAMA] Ikke si det som om du er fra Boston og du er helt selvtilfreds med det, Doug? [LATTER]

DOUG.  Hei, det er en vakker campus; Jeg har vært der mange ganger.

AND.  Det er en slags kjent ingeniørskole også, er det ikke? [LETER]

DOUG.  Det er sikkert!

Jay Forrester skrev ned et forslag om "kjerneminne" i notatboken sin, og ville senere installere magnetisk kjerneminne på MITs Whirlwind-datamaskin.

Denne oppfinnelsen gjorde datamaskiner mer pålitelige og raskere.

Kjerneminne forble det populære valget for datamaskinlagring frem til utviklingen av halvledere på 1970-tallet.

AND.  Det er en fantastisk enkel idé når du først vet hvordan det fungerer.

Små, magnetiske ferrittkjerner, som du får i midten av en transformator ... som superminiatyrskiver.

De ble magnetisert, enten med eller mot klokken, for å bety null eller én.

Det var bokstavelig talt magnetisk lagring.

Og den hadde den funky egenskapen, Douglas, at fordi ferritt i hovedsak danner en permanent magnet ...

…du kan remagnetisere den, men når du slår av strømmen, forblir den magnetisert.

Så det var ikke-flyktig!

Hvis du hadde et strømbrudd, kunne du i utgangspunktet starte datamaskinen på nytt og fortsette der du slapp.

Amazing!

DOUG.  Enestående, ja... det er veldig kult.

AND.  Tilsynelatende var MITs opprinnelige plan å kreve en royalty på 0.02 USD per bit på ideen.

Kan du forestille deg hvor dyrt det ville gjøre, for eksempel, et 64 gigabyte iPhone-minne?

Det ville være i milliarder av dollar! [LETER]

DOUG.  Uvirkelig.

Vel, noe interessant historie, men la oss ta det opp til i dag.

Ikke så lenge siden... Microsoft Patch Tuesday.

Ingen null-dager, men likevel mange reparasjoner, Paul:

Patch Tuesday fikser 4 kritiske RCE-feil og en haug med Office-hull

AND.  Vel, ingen null-dager denne måneden hvis du ignorerer Edge ekstern kodeutførelseshull som vi snakket om forrige uke.

DOUG.  Hmmmmmm.

AND.  Teknisk sett er det ikke en del av Patch Tuesday...

…men det var totalt 26 [RCE]-feil for ekstern kjøring av kode, og 17 [EoP]-feil.

Det er der skurkene allerede er inne, men de kan ikke gjøre så mye ennå, så de bruker EoP-feilen til å få superkrefter på nettverket ditt, og gjøre mye mer skumle ting.

Fire av disse feilene for ekstern kjøring av kode ble kalt "Kritisk" av Microsoft, noe som betyr at hvis du er en av dem som fortsatt liker å gjøre oppdateringene dine i en bestemt rekkefølge, er det de vi foreslår at du starter med.

Den gode nyheten om de fire kritiske oppdateringene er at tre av dem er relatert til den samme Windows-komponenten.

Så vidt jeg kan skjønne, var det en haug med relaterte feil, antagelig funnet under en slags kodegjennomgang av den komponenten.

Som er relatert til Windows Messaging Service, hvis du tilfeldigvis bruker den i nettverket ditt.

DOUG.  Og vi har alle blitt takket kollektivt for vår tålmodighet med SketchUp-debakelen, som jeg ikke visste eksisterte før nå.

AND.  Som deg, Doug, har jeg aldri brukt dette programmet som heter SketchUp, som jeg tror er et tredjeparts 3D-grafikkprogram.

Hvem visste at det ville være virkelig flott å kunne slippe SketchUp 3D-bilder inn i Word, Excel, PowerPoint-dokumenter?

Som du kan forestille deg, med et helt nytt filformat for å analysere, tolke, behandle, gjengi inne i Office...

...Microsoft introduserte en feil som ble fikset som CVE-2023-33146.

Men den skjulte historien-bak-historien, hvis du vil, er at den 01. juni 2023 kunngjorde Microsoft at:

Muligheten til å sette inn SketchUp-grafikk er midlertidig deaktivert i Word, Excel, PowerPoint og Outlook for Windows og Mac.

Vi setter pris på din tålmodighet mens vi jobber for å sikre sikkerheten og funksjonaliteten til denne funksjonen.

Jeg er glad for at Microsoft setter pris på tålmodigheten min, men jeg skulle kanskje ønske at Microsoft selv hadde vært litt mer tålmodig før de introduserte denne funksjonen i Office i utgangspunktet.

Jeg skulle ønske de hadde lagt den inn der *etter* at den var sikker, i stedet for å sette den inn for å se om den var sikker og finne ut, som du sier (overraskelse! overraskelse!), at den ikke var det.

DOUG.  Flott.

La oss holde oss til emnet tålmodighet.

Jeg sa at vi ville "holde et øye med dette", og jeg håpet at vi ikke skulle trenge å holde et øye med dette.

Men vi må alliterere litt, som du gjorde i overskriften.

Flere MOVEit-reduksjoner: nye oppdateringer publisert for ytterligere beskyttelse, Paul.

Flere MOVEit-reduksjoner: nye oppdateringer publisert for ytterligere beskyttelse

AND.  Det er det gode gamle MOVEit-problemet igjen: det SQL-injeksjonsfeil.

Det betyr at hvis du bruker MOVEit Transfer-programmet, og du ikke har lappet det, kan skurker som kan få tilgang til den nettbaserte grensesnittet lure serveren din til å gjøre dårlige ting...

…til og med å bygge inn et webshell som lar dem vandre inn senere og gjøre hva de vil.

Som du vet, ble det utstedt en CVE, og Progress Software, skaperne av MOVEit, la ut en patch for å håndtere den kjente utnyttelsen i naturen.

De har nå en annen oppdatering for å håndtere lignende feil som, så vidt de vet, skurkene ikke har funnet ennå (men hvis de leter godt nok, kan de kanskje).

Og, så rart det enn høres ut, når du oppdager at en bestemt del av programvaren din har en feil av en bestemt type, bør du ikke bli overrasket om, når du graver dypere...

...du oppdager at programmereren (eller programmeringsteamet som jobbet med det på det tidspunktet da feilen du allerede vet om ble introdusert) begikk lignende feil omtrent samtidig.

Så godt gjort i dette tilfellet, vil jeg si, til Progress Software for å prøve å håndtere dette proaktivt.

Progress Software sa nettopp, "Alle Move It-kunder må bruke den nye oppdateringen som ble utgitt 09. juni 2023.

DOUG.  OK, jeg antar at vi skal … holde et øye med det!

Paul, hjelp meg her.

Jeg er i år 2023 og leser i en Naken Security-overskrift noe om "Mt. Gox."

Hva skjer med meg?

Historien revidert: US DOJ avviser Mt. Gox anklager om nettkriminalitet

AND.  Mt. Gox!

"Magic The Gathering Online Exchange", Doug, som det var ...

DOUG.  [LETER] Selvfølgelig!

AND.  …hvor du kan bytte Magic The Gathering-kort.

Det domenet ble solgt, og de med lange minner vil vite at det ble den mest populære, og desidert største, Bitcoin-børsen på planeten.

Det ble drevet av en fransk utvandrer, Mark Karpelès, fra Japan.

Det hele gikk tilsynelatende svømmende helt til det imploderte i et pust av kryptovaluta-støv i 2014, da de skjønte at, løst sagt, alle Bitcoinene deres hadde forsvunnet.

DOUG.  [LETER] Jeg burde ikke le!

AND.  647,000 XNUMX av dem, eller noe.

Og selv den gang var de allerede verdt rundt 800 dollar per pop, så det var en "puff" verdt for en halv milliard amerikanske dollar.

Interessant nok pekte mange fingre på Mt. Gox-teamet selv på den tiden og sa: "Å, dette må være en intern jobb."

Og faktisk, på nyttårsdag, tror jeg det var i 2015, en japansk avis kalt Yomiuri Shimbun publiserte faktisk en artikkel som sa: "Vi har sett på dette, og 1% av tapene kan forklares med unnskyldningen de har kommet opp med; for resten, vi går på posten og sier at det var en intern jobb.»

Nå, den artikkelen som de publiserte, som forårsaket mye drama fordi det er en ganske dramatisk anklage, gir nå en 404-feil [HTTP-side ikke funnet] når du besøker den i dag.

DOUG.  Veldig interessant!

AND.  Så jeg tror ikke de står ved det lenger.

Og faktisk har Justisdepartementet [DOJ] i USA endelig, omsider, alle disse årene senere, faktisk anklaget to russiske statsborgere for å ha stjålet alle Bitcoins.

Så det høres ut som om Mark Karpelès i det minste har fått en delvis fritakelse, med tillatelse fra det amerikanske justisdepartementet, fordi de absolutt har satt disse to russiske karene i rammen for denne forbrytelsen for alle disse årene siden.

DOUG.  Det er fascinerende lesning.

Så sjekk det ut på Naked Security.

Alt du trenger å gjøre er å søke etter, du gjettet riktig, "Mt. Gox".

La oss holde oss på temaet nettkriminalitet, ettersom en av hovedforbryterne bak Gozi-bankmalwaren har landet i fengsel etter ti lange år, Paul:

Gozi bank malware "IT-sjef" endelig fengslet etter mer enn 10 år

AND.  Ja... det var litt som å vente på bussen.

To forbløffende "wow, dette skjedde for ti år siden, men vi får ham til slutt"-historier kom med en gang. [LATTER]

Og denne, tenkte jeg, var viktig å skrive opp igjen, bare for å si: «Dette er justisdepartementet; de glemte ham ikke.»

Faktisk. Han ble arrestert i Colombia.

Jeg tror han var på besøk, og han var på flyplassen i Bogotá, og jeg antar at grensetjenestemennene tenkte: "Å, det navnet er på en overvåkningsliste"!

Og så tilsynelatende tenkte de colombianske tjenestemennene: "La oss kontakte den amerikanske diplomatiske tjenesten."

De sa: «Hei, vi holder en kar her ved navn (jeg vil ikke nevne navnet hans – det står i artikkelen). . Er du fortsatt interessert, tilfeldigvis?"

Og for en overraskelse, Doug, USA var virkelig veldig interessert.

Så han ble utlevert, stilt overfor retten, erkjente straffskyld, og han er nå dømt.

Han vil bare få tre års fengsel, noe som kan virke som en lett dom, og han må levere tilbake mer enn $3,000,000.

Jeg vet ikke hva som skjer hvis han ikke gjør det, men jeg antar at det bare er en påminnelse om at ved å løpe og gjemme seg fra skadelig programvarerelatert kriminalitet...

…vel, hvis det er anklager mot deg og USA leter etter deg, sier de ikke bare: "Ah, det er ti år, vi kan like gjerne la det være."

Og denne fyrens kriminalitet drev det som i sjargongen kalles "skuddsikre verter", Doug.

Det er i utgangspunktet der du er en slags ISP, men i motsetning til en vanlig ISP, går du ut av veien for å være et bevegelig mål for rettshåndhevelse, til blokkeringslister og for fjerningsmeldinger fra vanlige ISPer.

Så du leverer tjenester, men du beholder dem, hvis du vil, flytte rundt og på farten på internett, slik at skurkene betaler deg en avgift, og de vet at domenene du er vert for dem, bare vil fortsette arbeider, selv om rettshåndhevelse er ute etter deg.

DOUG.  Greit, gode nyheter igjen.

Paul, du har, mens vi runder av historiene våre for dagen, slitt med en veldig vanskelig, nyansert, men likevel viktig spørsmål om passord.

Nemlig, bør vi skifte dem hele tiden på rotasjon, kanskje en gang i måneden?

Eller låse inn virkelig komplekse til å begynne med, og deretter la godt nok være i fred?

Tanker om planlagte passordendringer (ikke kall dem rotasjoner!)

AND.  Selv om det høres ut som en slags gammel historie, og faktisk er en som vi har besøkt mange ganger før, er grunnen til at jeg skrev den opp at en leser kontaktet meg for å spørre om nettopp dette.

Han sa: «Jeg vil ikke gå inn i balltre for 2FA; Jeg vil ikke gå inn i bat for passordbehandlere. Det er separate saker. Jeg vil bare vite hvordan jeg skal løse, hvis du vil, torvkrigen mellom to fraksjoner i selskapet mitt, der noen sier at vi må gjøre passord ordentlig, og andre bare sier: 'Den båten seilte, det er for vanskelig, vi vil bare tvinge folk til å endre dem, og det vil være bra nok."

Så jeg tenkte at det faktisk var verdt å skrive om det.

Å dømme etter antall kommentarer på Naked Security, og på sosiale medier, sliter fortsatt mange IT-team med dette.

Hvis du bare tvinger folk til å endre passord hver 30. eller 60. dag, spiller det egentlig noen rolle om de velger et som er svært knekkerbart hvis hasjen deres blir stjålet?

Så lenge de ikke velger password or secret eller et av de ti beste kattenavnene i verden, kanskje det er OK hvis vi tvinger dem til å endre det til et annet ikke-svært-godt passord før skurkene ville være i stand til å knekke det?

Kanskje det bare er bra nok?

Men jeg har tre grunner til at du ikke kan fikse en dårlig vane ved å bare følge en annen dårlig vane.

DOUG.  Den første ut av porten: Å endre passord regelmessig er ikke et alternativ til å velge og bruke sterke, Paul.

AND.  Nei!

Du kan velge å gjøre begge deler (og jeg skal gi deg to grunner i løpet av et minutt til hvorfor jeg tror det har et annet sett med problemer å tvinge folk til å endre dem regelmessig).

Men den enkle observasjonen er at å endre et dårlig passord regelmessig ikke gjør det til et bedre passord.

Hvis du vil ha et bedre passord, velg et bedre passord til å begynne med!

DOUG.  Og du sier: Å tvinge folk til å endre passordene sine rutinemessig kan lure dem inn i dårlige vaner.

AND.  Etter kommentarene å dømme, er dette akkurat problemet som mange IT-team har.

Hvis du forteller folk: «Hei, du må endre passordet ditt hver 30. dag, og du bør velge et godt passord», er alt de vil gjøre...

… de velger en god en.

De vil bruke en uke på å forplikte det til minnet for resten av livet.

Og så legger de til hver måned -01, -02, Og så videre.

Så hvis skurkene knekker eller kompromitterer et av passordene, og de ser et slikt mønster, kan de stort sett finne ut hva passordet ditt er i dag hvis de kjenner passordet ditt for seks måneder siden.

Så det er der å tvinge frem endring når det ikke er nødvendig kan føre til at folk tar cybersikkerhetssnarveier som du ikke vil at de skal gjøre.

DOUG.  Og dette er en interessant en.

Vi har snakket om dette før, men det er noe noen kanskje ikke har tenkt på: Planlegging av passordendringer kan forsinke nødreaksjoner.

Hva mener du med det?

AND.  Poenget er at hvis du har en formalisert, fast tidsplan for passordendringer, slik at alle vet at når den siste dagen i denne måneden kommer, kommer de til å bli tvunget til å endre passordet sitt uansett...

…og så tenker de: «Vet du hva? Det er den 12. i måneden, og jeg gikk til et nettsted jeg ikke er sikker på, som kunne ha vært en nettfiskingside. Vel, jeg kommer til å endre passordet mitt om to uker uansett, så jeg vil ikke gå og endre det nå.»

Så, ved å endre passordene dine *regelmessig*, kan du ende opp med en vane at du noen ganger, når det er veldig, veldig viktig, ikke endrer passordet *ofte* nok.

Hvis og når du mener det er en god grunn til å endre passordet ditt, GJØR DET NÅ!

DOUG.  Jeg elsker det!

Greit, la oss høre fra en av våre lesere om passordet.

Naken Security-leser Philip skriver delvis:

Å bytte passord ofte for ikke å bli kompromittert er som å tenke at hvis du løper fort nok, kan du unngå alle regndråpene.

OK, du unngår regndråpene som faller bak deg, men det vil være like mange dit du skal.

Og, tvunget til å endre passordene sine regelmessig, vil et veldig stort antall mennesker ganske enkelt legge til et tall de kan øke etter behov.

Som du sa, Paul!

AND.  Din venn og min, sa Chester [Wisniewski] for noen år siden da vi snakket om passordmyter, "Alt de trenger å gjøre [LETER], for å finne ut hva tallet er på slutten, er å gå til LinkedIn-siden din. 'Begynte i dette selskapet i august 2017'... tell antall måneder siden da.»

Det er nummeret du trenger på slutten.

Sophos Techknow – Busting passordmyter

DOUG.  Nøyaktig! [LATTER]

AND.  Og problemet kommer at når du prøver å planlegge, eller algoritmer... er det et ord?

(Det burde det nok ikke være, men jeg bruker det likevel.)

Når du prøver å ta ideen om tilfeldighet, entropi og uforutsigbarhet, og samle den inn i en superstreng algoritme, som algoritmen som beskriver hvordan tegnene og tallene er lagt ut på kjøretøymerker, for eksempel...

…da ender du opp med *mindre* tilfeldighet, ikke *mer*, og du må være klar over det.

Så, å tvinge folk til å gjøre noe som får dem til å falle inn i et mønster er, som Chester sa den gang, ganske enkelt å få dem til å vane med en dårlig vane.

Og jeg elsker den måten å si det på.

DOUG.  Ok, tusen takk for at du sendte det inn, Philip.

Og hvis du har en interessant historie, kommentar eller spørsmål du vil sende inn, vil vi gjerne lese den på podcasten.

Du kan sende en e-post til tips@sophos.com, kommentere en av artiklene våre eller kontakte oss på sosiale medier: @nakedsecurity.

Det er showet vårt for i dag.

Tusen takk for at du lyttet.

For Paul Ducklin, jeg er Doug Aamoth, og minner deg på, inntil neste gang, om å...

BÅDE.  Hold deg trygg!

[MUSIKK MODEM]

Tidstempel:

Mer fra Naken sikkerhet