S3 Ep143: Supercookie-overvåkingsskikkelser

S3 Ep143: Supercookie-overvåkingsskikkelser

Tidsstempel: 13. juli 2023 12:48
S3 Ep143: Supercookie-overvåkingsskikkelse for PlatoBlockchain Data Intelligence. Vertikalt søk. Ai.
by Paul Ducklin

SYNG EN SANG MED SUPERCOOKIES

Husker skyveregelen. Hva du trenger å vite om Patch Tuesday. Supercookie overvåkingsvansker. Når feil kommer i par. Apple er rask patch som trengte en rask patch. User-Agent anses som skadelig.

Ingen lydspiller under? Lytte direkte på Soundcloud.

Med Doug Aamoth og Paul Ducklin. Intro- og outromusikk av Edith Mudge.

Du kan lytte til oss på Soundcloud, Apple Podcasts, Google Podcasts, Spotify og hvor som helst hvor du finner gode podcaster. Eller bare dropp URL til RSS-feeden vår inn i din favoritt podcatcher.

LES TRANSKRIPTET

DOUG.  En Apple-nødoppdatering, gassbelysningsdatamaskiner og HVORFOR KAN JEG IKKE FORTSETTE BRUKE WINDOWS 7?

Alt det, og mer, på Naked Security-podcasten.

[MUSIKK MODEM]

Velkommen til podcasten, alle sammen.

Jeg er Doug Aamoth; han er Paul Ducklin.

Paul, hvordan har du det?

AND.  Vel, jeg er litt skremt, Doug.

Du var veldig dramatisk om behovet for å fortsette å bruke Windows 7!

DOUG.  Vel, som mange mennesker er jeg sint for det (spøk!), og vi skal snakke om det om litt.

Men først en veldig viktig Denne uken i teknisk historie segment.

11. juli 1976 markerte det siste gisp for et en gang vanlig matematisk beregningsverktøy.

Jeg sikter selvfølgelig til lysbilderegelen.

Den endelige amerikanske modellen som ble produsert, en Keuffel & Esser 4081-3, ble presentert for Smithsonian Institution, og markerte slutten på en matematisk æra ...

…en epoke gjort foreldet av datamaskiner og kalkulatorer som Pauls favoritt, HP-35.

Så, Paul, jeg tror du har blod på hendene, sir.

AND.  Jeg har aldri eid en HP-35.

For det første var jeg altfor ung, og for det andre kostet de 395 dollar hver da de kom inn.

DOUG.  [LATER] Wow!

AND.  Så det tok ytterligere et par år før prisene krasjet, da Moores lov startet.

Og så ville folk ikke bruke lysbilderegler lenger.

Faren min ga meg den gamle, og jeg verdsatte den tingen fordi den var flott...

…og jeg skal fortelle deg hva en lysbilderegel lærer deg, for når du bruker den til multiplikasjon, konverterer du i utgangspunktet de to tallene du vil multiplisere til tall mellom 1 og 10, og deretter multipliserer du dem sammen.

Og så må du finne ut hvor desimaltegnet går.

Hvis du deler ett tall med 100 og multipliserer det andre med 1000 for å få dem innenfor rekkevidde, må du totalt sett legge til en null, for å multiplisere med 10, på slutten.

Så det var en fantastisk måte å lære deg selv om svarene du fikk fra den elektroniske kalkulatoren din, der du skrev inn lange tall som 7,000,000,000...

...om du faktisk hadde størrelsesorden, eksponenten, riktig.

Lysbilderegler og deres utskrevne ekvivalent, loggtabeller, lærte deg mye om hvordan du administrerer størrelsesordener i hodet ditt, og ikke aksepterer falske resultater for lett.

DOUG.  Jeg har aldri brukt en, men det høres veldig spennende ut fra det du nettopp beskrev.

La oss holde spenningen oppe.

Forrige uke, Firefox utgitt versjon 115:

Firefox 115 er ute, sier farvel til brukere av eldre Windows- og Mac-versjoner

De inkluderte et notat som jeg ønsker å lese, og jeg siterer:

I januar 2023 avsluttet Microsoft støtten for Windows 7 og Windows 8.

Som en konsekvens er dette den siste versjonen av Firefox som brukere på disse operativsystemene vil motta.

Og jeg føler at hver gang en av disse notatene blir lagt til en endelig utgivelse, kommer folk ut og sier: "Hvorfor kan jeg ikke fortsette å bruke Windows 7?"

Vi hadde til og med en kommentator som sa at Windows XP er helt greit.

Så hva vil du si til disse menneskene, Paul, som ikke ønsker å gå videre fra operativsystemversjoner de elsker?

AND.  Den beste måten for meg å si det på, Doug, er å lese tilbake det jeg anser som de bedre informerte kommentatorene på artikkelen vår sa.

Alex Fair skriver:

Det handler ikke bare om hva *du* ønsker, men om hvordan du kan bli brukt og utnyttet, og i sin tur skade andre.

Og Paul Roux sa ganske satirisk:

Hvorfor kjører folk fortsatt Windows 7 eller XP for den saks skyld?

Hvis årsaken er at nyere operativsystemer er dårlige, hvorfor ikke bruke Windows 2000?

Pokker, NT 4 var så fantastisk at den mottok Seks servicepakker!

DOUG.  [LETER] 2000 *var* kjempebra.

AND.  Det handler ikke bare om deg.

Det handler om det faktum at systemet ditt inneholder feil, som skurker allerede vet hvordan de skal utnytte, som aldri, aldri vil bli korrigert.

Så svaret er at noen ganger må du bare gi slipp, Doug.

DOUG.  "Det er bedre å ha elsket og mistet enn å aldri ha elsket i det hele tatt," som de sier.

La oss holde oss til emnet Microsoft.

Patch tirsdag, Paul, gir rikelig.

Microsoft retter fire null-dager, tar endelig grep mot kriminalitets-kjernedrivere

AND.  Ja, det vanlige store antallet feil fikset.

Den store nyheten ut av dette, tingene du trenger å huske (og det er to artikler du kan go og konsultere på news.sophos.com hvis du vil vite de blodige detaljene)...

Et problem er at fire av disse insektene er i naturen, null-dagers, allerede utnyttet hull.

To av dem er sikkerhetsomkjøringer, og så trivielt som det høres ut, relaterer de seg tilsynelatende til å klikke på URL-er eller åpne ting i e-poster der du vanligvis får en advarsel som sier: "Er du virkelig sikker på at du vil gjøre dette?"

Noe som ellers kan stoppe ganske mange mennesker fra å gjøre en uønsket feil.

Og det er to Elevation-of-Privilege (EoP) hull fikset.

Og selv om Elevation of Privilege vanligvis blir sett på som mindre enn Remote Code Execution, der skurker bruker feilen til å bryte seg inn i utgangspunktet, har problemet med EoP å gjøre med skurker som allerede «slynger med hensikt» i nettverket ditt .

Det er som om de klarer å oppgradere seg selv fra å være gjest i en hotellobby til en superhemmelighetsfull, taus innbruddstyv som plutselig og på magisk vis har tilgang til alle rommene på hotellet.

Så de er absolutt verdt å passe på.

Og det er en spesiell Microsoft-sikkerhetsrådgivning...

…vel, det er flere av dem; den jeg vil trekke oppmerksomheten din til er ADV23001, som i utgangspunktet er Microsoft som sier: «Hei, husk da Sophos-forskere rapporterte til oss at de hadde funnet en hel mengde rootkittery på gang med signerte kjernedrivere som til og med moderne Windows bare ville laste fordi de var godkjent for bruk?»

Jeg tror det til slutt var godt over 100 slike signerte sjåfører.

Den gode nyheten i dette rådet er at alle disse månedene senere har Microsoft endelig sagt: "OK, vi skal stoppe disse driverne fra å lastes inn og begynne å blokkere dem automatisk."

[IRONISK] Som jeg antar er ganske stor av dem, egentlig, når i det minste noen av disse driverne faktisk ble signert av Microsoft selv, som en del av deres maskinvarekvalitetsprogram. [LETER]

Hvis du vil finne historien bak historien, som jeg sa, er det bare å gå til news.sophos.com og søke etter "drivere".

Microsoft tilbakekaller ondsinnede drivere i Patch Tuesday Culling

DOUG.  Utmerket.

Ok, denne neste historien ... jeg er fascinert av denne overskriften av så mange grunner: Rowhammer går tilbake for å gassbelyse datamaskinen din.

Seriøs sikkerhet: Rowhammer vender tilbake for å gassbelyse datamaskinen din

Paul, fortell meg om...

[TIL SLANGE AV PETER GABRIEL'S "SLEDGEHAMMER"] Fortell meg om...

BÅDE.  [SINGER] Rohammer!

DOUG.  [LAUGGER] Klarte det!

AND.  Fortsett, nå må du gjøre riffet.

DOUG.  [SYNTESERER EN SYNTESISør] Doodly-doo da doo, doo do doo.

AND.  [IMPONERT] Veldig bra, Doug!

DOUG.  Takk skal du ha.

AND.  De som ikke husker dette fra fortiden: "Rowhammer" er sjargongnavnet som minner oss om at kondensatorene, der minnebiter (enere og nuller) er lagret i moderne DRAM, eller dynamiske minnebrikker med tilfeldig tilgang, er så nærme sammen…

Når du skriver til en av dem (du må faktisk lese og skrive kondensatorene i rader om gangen, altså "rohammer"), når du gjør det, fordi du har lest raden, har du utladet kondensatorene.

Selv om alt du har gjort er å se på minnet, må du skrive tilbake det gamle innholdet, ellers er det tapt for alltid.

Når du gjør det, fordi disse kondensatorene er så små og så tett sammen, er det en liten sjanse for at kondensatorer i en eller begge av naboradene kan snu verdien.

Nå kalles det DRAM fordi det ikke holder på ladningen på ubestemt tid, som statisk RAM eller flash-minne (med flash-minne kan du til og med slå av strømmen og den vil huske hva som var der).

Men med DRAM, etter omtrent en tiendedel av et sekund, vil i utgangspunktet ladningene i alle de små kondensatorene ha forsvunnet.

Så de trenger omskriving hele tiden.

Og hvis du skriver om superraskt, kan du faktisk få biter i minnet til å snu.

Historisk sett er grunnen til at dette har vært et problem at hvis du kan leke med minnejustering, selv om du ikke kan forutsi hvilke biter som kommer til å snu, kan du *kanskje* rote med ting som minneindekser, sidetabeller, eller data inne i kjernen.

Selv om alt du gjør er å lese fra minnet fordi du har uprivilegert tilgang til det minnet utenfor kjernen.

Og det er det radhammerangrep til dags dato har hatt en tendens til å fokusere på.

Nå, det disse forskerne fra University of California i Davis gjorde, er at de skjønte, "Vel, jeg lurer på om bit-flip-mønstrene, så pseudotilfeldige som de er, er konsistente for forskjellige leverandører av chips?"

Det høres liksom ut som en "supercookie", er det ikke?

Noe som identifiserer datamaskinen din neste gang.

Og faktisk gikk forskerne enda lenger og fant ut at individuelle brikker ... eller minnemoduler (de har vanligvis flere DRAM-brikker på seg), DIMM-er, doble inline-minnemoduler som du kan klippe inn i sporene på din stasjonære datamaskin, for eksempel, og i noen bærbare datamaskiner.

De fant ut at bit-flip-mønstrene faktisk kunne konverteres til en slags irisskanning, eller noe sånt, slik at de kunne gjenkjenne DIMM-ene senere ved å gjøre radhammerangrepet igjen.

Med andre ord, du kan slette informasjonskapslene i nettleseren, du kan endre listen over applikasjoner du har installert, du kan endre brukernavnet ditt, du kan installere et helt nytt operativsystem på nytt, men minnebrikkene vil i teorien gi deg borte.

Og i dette tilfellet er ideen: superkaker.

Veldig interessant, og vel verdt å lese.

DOUG.  Det er kult!

En annen ting med å skrive nyheter, Paul: du er en god nyhetsskribent, og ideen er å hekte leseren med en gang.

Så i den første setningen av denne neste artikkelen sier du: "Selv om du ikke har hørt om det ærverdige Ghostscript-prosjektet, kan du godt ha brukt det uten å vite det."

Jeg er fascinert, for overskriften er: Ghostscript-feil kan tillate falske dokumenter å kjøre systemkommandoer.

Ghostscript-feil kan tillate falske dokumenter å kjøre systemkommandoer

Fortell meg mer!

AND.  Vel, Ghostscript er en gratis og åpen kildekodeimplementering av Adobes PostScript- og PDF-språk.

(Hvis du ikke har hørt om PostScript, vel, PDF er en slags "PostScript Next Generation".)

Det er en måte å beskrive hvordan du lager en trykt side, eller en side på en dataskjerm, uten å fortelle enheten hvilke piksler som skal slås på.

Så du sier: «Tegn firkant her; tegne trekant her; bruk denne vakre skriften."

Det er et programmeringsspråk i seg selv som gir deg enhetsuavhengig kontroll over ting som skrivere og skjermer.

Og Ghostscript er, som jeg sa, et gratis og åpen kildekodeverktøy for å gjøre nettopp det.

Og det er mange andre åpen kildekode-produkter som bruker akkurat dette verktøyet som en måte å importere ting som EPS (Encapsulated PostScript)-filer på, som du kan få fra et designfirma.

Så du kan ha Ghostscript uten å være klar over det – det er hovedproblemet.

Og dette var en liten, men veldig irriterende feil.

Det viser seg at et useriøst dokument kan si ting som: "Jeg vil lage noe utdata, og jeg vil legge det i et filnavn XYZ."

Men hvis du setter i begynnelsen av filnavnet, %pipe%, og *deretter* filnavnet...

...det filnavnet blir navnet på en kommando som skal kjøres som vil behandle utdataene fra Ghostscript i det som kalles en "pipeline".

Det høres kanskje ut som en lang historie for en enkelt feil, men den viktige delen av denne historien er at etter å ha løst det problemet: «Å, nei! Vi må være forsiktige hvis filnavnet starter med tegnene %pipe%, fordi det faktisk betyr at det er en kommando, ikke et filnavn."

Det kan være farlig, fordi det kan føre til ekstern kjøring av kode.

Så de lappet feilen, og så skjønte noen: "Vet du hva, insekter går ofte i par eller i grupper."

Enten lignende kodefeil andre steder i samme kodebit, eller mer enn én måte å utløse den opprinnelige feilen på.

Og det var da noen i Ghostscript Script-teamet skjønte: «Vet du hva, vi lar dem også skrive | [vertical bar, dvs. "pipe"-tegnet] space-command name også, så vi må se etter det også.

Så det var en patch, etterfulgt av en patch-to-the-patch.

Og det er ikke nødvendigvis et tegn på dårligdom fra programmeringsteamets side.

Det er faktisk et tegn på at de ikke bare gjorde minimumsarbeidet, kvitterte det og lot deg lide med den andre feilen og vente til den ble funnet i naturen.

DOUG.  Og for at du ikke skal tro at vi er ferdige med å snakke om insekter, gutt, har vi en doozie til deg!

En Apple nødlapp dukket, Og deretter uoppstått, og så kommenterte Apple på en måte det, noe som betyr at opp er ned og venstre er høyre, Paul.

Som haster! Apple fikser kritiske null-dagers hull i iPhone, iPad og Mac

AND.  Ja, det er litt av en komedie av feil.

Jeg synes nesten, men ikke helt, synd på Apple på denne...

…men på grunn av deres insistering på å si så lite som mulig (når de ikke sier noe i det hele tatt), er det fortsatt ikke klart hvem sin feil det er.

Men historien går slik: «Å nei! Det er en 0-dag i Safari, i WebKit (nettlesermotoren som brukes i hver enkelt nettleser på iPhone og i Safari på Mac), og svindlere/spyware-leverandører/noen bruker tilsynelatende dette for stor ondskap.»

Med andre ord, "se-og-bli-pwned", eller "drive-by install", eller "null-klikk-infeksjon", eller hva du vil kalle det.

Så Apple, som du vet, har nå dette Rapid Security Response-systemet (i det minste for de nyeste iOS, iPadOS og macOS) der de ikke trenger å lage en full systemoppgradering, med et helt nytt versjonsnummer som du aldri kan nedgradere fra, hver gang det er en 0-dag.

Dermed raske sikkerhetsresponser.

Dette er de tingene som, hvis de ikke fungerer, kan du fjerne dem etterpå.

Den andre tingen er at de generelt er veldig små.

Flott!

Problemet er ... det ser ut til at fordi disse oppdateringene ikke får et nytt versjonsnummer, måtte Apple finne en måte å angi at du allerede hadde installert Rapid Security Response.

Så det de gjør er at du tar versjonsnummeret ditt, for eksempel iOS 16.5.1, og de legger til et mellomrom etter det og deretter (a).

Og ordet på gaten er at noen nettsteder (jeg vil ikke nevne dem fordi alt dette er høresier)...

… da de undersøkte User-Agent streng i Safari, som inkluderer (a) bare for fullstendighetens skyld, sa: «Whoooooa! Hva er (a) gjør i et versjonsnummer?"

Så noen brukere rapporterte noen problemer, og Apple tilsynelatende trukket oppdateringen.

Apple henter stille sin siste nulldagersoppdatering – hva nå?

Og så, etter en hel mengde forvirring, og enda en artikkel om Naked Security, og ingen helt visste hva som foregikk... [LATER]

…Apple publiserte endelig HT21387, en sikkerhetsbulletin som de produserte før de faktisk hadde oppdateringen klar, noe de vanligvis ikke gjør.

Men det var nesten verre enn å ikke si noe, fordi de sa: "På grunn av dette problemet, rask sikkerhetsrespons (b) vil snart være tilgjengelig for å løse dette problemet."

Og det er det. [LATTER]

De sier ikke helt hva problemet er.

De sier ikke om det er ned til User-Agent strenger fordi, i så fall, er problemet kanskje mer med nettsiden i den andre enden enn med Apple selv?

Men Apple sier ikke det.

Så vi vet ikke om det er deres feil, webserverens feil, eller begge deler.

Og de sier bare "snart", Doug.

DOUG.  Dette er et godt tidspunkt å bringe inn leserspørsmålet vårt.

På denne Apple-historien spør leser JP:

Hvorfor trenger nettsteder å inspisere nettleseren din så mye?

Den er for snopet og er avhengig av gamle måter å gjøre ting på.

Hva sier du til det, Paul?

AND.  Jeg lurte på akkurat det spørsmålet selv, og jeg lette etter: «Hva skal du gjøre med User-Agent strenger?"

Det ser ut til å være litt av et evigvarende problem for nettsteder der de prøver å være superflinke.

Så jeg gikk til MDN (det pleide å være, tror jeg, Mozilla Developer Network, men det er nå et fellesskapsnettsted), som er en av de beste ressursene hvis du lurer på «Hva med HTTP-hoder? Hva med HTML? Hva med JavaScript? Hva med CSS? Hvordan henger dette sammen?"

Og deres råd er ganske enkelt: "Vær så snill, alle sammen, slutt å se på User-Agent streng. Du lager bare en stang for din egen rygg og en haug med kompleksitet for alle andre.»

Så hvorfor ser nettsteder på User-Agent?

[WRY] Jeg antar fordi de kan. [LATTER]

Når du lager et nettsted, spør deg selv: "Hvorfor går jeg ned i dette kaninhullet for å ha en annen måte å svare på basert på en merkelig bit av en streng et sted i User-Agent? "

Prøv og tenk utover det, og livet blir enklere for oss alle.

DOUG.  Ok, veldig filosofisk!

Takk, JP, for at du sendte det inn.

Hvis du har en interessant historie, kommentar eller spørsmål du vil sende inn, vil vi gjerne lese den på podcasten.

Du kan sende en e-post til tips@sophos.com, kommentere en av artiklene våre eller kontakte oss på sosiale medier: @nakedsecurity.

Det er showet vårt for i dag; tusen takk for at du lyttet.

For Paul Ducklin er jeg Doug Aamoth, og minner deg på: Til neste gang …

BÅDE.  Hold deg trygg!

[MUSIKK MODEM]

Tidstempel:

Mer fra Naken sikkerhet