S3 Odc.139: Czy zasady dotyczące haseł przypominają bieganie w deszczu?

Nie ma odtwarzacza audio poniżej? Słuchać bezpośrednio na Soundcloudzie.

DOUG.  Wtorek z łatką, nadejście cyberprzestępczości i zabawa z hasłami.

Wszystko to i wiele więcej w podkaście Naked Security.

[MOM MUZYCZNY]

Witam wszystkich w podkaście.

Jestem Doug Aamoth; to jest Paul Ducklin.

Paul, jak się masz dzisiaj?

---

KACZKA.  Doug, nie powinienem tego mówić… ale dlatego, że wiem, co się zbliża W tym tygodniu w historii technologii, ponieważ dałeś mi podgląd, jestem bardzo podekscytowany!

---

DOUG.  No dobrze, przejdźmy od razu do rzeczy!

W tym tygodniu, 15 czerwca 1949 roku, Jay Forrester, profesor w Massachusetts Institute of Technology (MIT), zapisał…

---

KACZKA.  [DRAMATYCZNY DRAMA] Nie mów tak, jakbyś był z Bostonu i wszyscy byli z tego zadowoleni, Doug? [ŚMIECH]

---

DOUG.  Hej, to piękny kampus; Byłem tam wiele razy.

---

KACZKA.  To też swego rodzaju słynna szkoła inżynierska, prawda? [ŚMIECH]

---

DOUG.  To pewne!

Jay Forrester zapisał w swoim notatniku propozycję „pamięci rdzeniowej”, a później zainstalował pamięć z rdzeniem magnetycznym w komputerze Whirlwind należącym do MIT.

Dzięki temu wynalazkowi komputery stały się bardziej niezawodne i szybsze.

Pamięć rdzeniowa pozostawała popularnym wyborem do przechowywania danych w komputerach aż do wynalezienia półprzewodników w latach 1970. XX wieku.

---

KACZKA.  To fantastycznie prosty pomysł, jeśli wiesz, jak to działa.

Malutkie ferrytowe rdzenie magnetyczne, takie jak w środku transformatora… jak superminiaturowe podkładki.

Były namagnesowane, zgodnie z ruchem wskazówek zegara lub przeciwnie do ruchu wskazówek zegara, co oznaczało zero lub jeden.

Dosłownie był to magazyn magnetyczny.

I miało to tę dziwną cechę, Douglasie, że ponieważ ferryt zasadniczo tworzy magnes trwały…

…można go ponownie namagnesować, ale po wyłączeniu zasilania pozostaje namagnesowany.

Więc to było nieulotne!

W przypadku awarii zasilania można w zasadzie ponownie uruchomić komputer i kontynuować od miejsca, w którym przerwano.

Niesamowity!

---

DOUG.  Znakomite, tak… to naprawdę fajne.

---

KACZKA.  Najwyraźniej pierwotny plan MIT zakładał pobieranie od pomysłu opłaty licencyjnej w wysokości 0.02 dolara za bit.

Czy możesz sobie wyobrazić, jak kosztowna byłaby, powiedzmy, 64-gigabajtowa pamięć iPhone'a?

To byłoby w miliardach dolarów! [ŚMIECH]

---

DOUG.  Nierealny.

No cóż, ciekawa historia, ale przenieśmy ją do czasów współczesnych.

Nie tak dawno temu… Wtorek z łatką Microsoft.

Żadnych dni zerowych, ale jednak mnóstwo poprawek, Paweł:

Patch Tuesday naprawia 4 krytyczne błędy RCE i kilka dziur w pakiecie Office

---

KACZKA.  Cóż, w tym miesiącu nie będzie dni zerowych, jeśli zignorujesz lukę w zdalnym wykonywaniu kodu Edge, o której mówiliśmy w zeszłym tygodniu.

---

DOUG.  Hmmmmmm.

---

KACZKA.  Technicznie rzecz biorąc, nie jest to częścią wtorkowej łatki…

…ale łącznie było 26 błędów zdalnego wykonania kodu [RCE] i 17 błędów związanych z podniesieniem uprawnień [EoP].

W tym miejscu oszuści już wkroczyli, ale nie mogą jeszcze wiele zrobić, więc wykorzystują błąd EoP, aby zdobyć supermoce w Twojej sieci i robić znacznie bardziej podłe rzeczy.

Cztery z tych błędów zdalnego wykonania kodu zostały przez firmę Microsoft nazwane „krytycznymi”, co oznacza, że ​​jeśli należysz do osób, które nadal lubią wprowadzać poprawki w określonej kolejności, to od nich sugerujemy zacząć.

Dobra wiadomość dotycząca czterech krytycznych poprawek jest taka, że ​​trzy z nich dotyczą tego samego komponentu systemu Windows.

O ile wiem, było to kilka powiązanych błędów, prawdopodobnie znalezionych podczas przeglądu kodu tego komponentu.

Co odnosi się do usługi Windows Messaging Service, jeśli używasz jej w swojej sieci.

---

DOUG.  Podziękowano nam wszystkim za cierpliwość związaną z porażką SketchUp, o której istnieniu nie miałem pojęcia aż dotąd.

---

KACZKA.  Podobnie jak Ty, Doug, nigdy nie korzystałem z programu o nazwie SketchUp, który moim zdaniem jest programem do grafiki 3D innej firmy.

Kto by pomyślał, że wspaniale byłoby móc umieszczać obrazy 3D programu SketchUp w dokumentach programów Word, Excel i PowerPoint?

Jak możesz sobie wyobrazić, dzięki zupełnie nowemu formatowi plików do analizowania, interpretowania, przetwarzania i renderowania w pakiecie Office…

…Microsoft wprowadził błąd, który został naprawiony jako CVE-2023-33146.

Ale ukryta historia, jeśli wolisz, jest taka, że ​​01 czerwca 2023 r. Microsoft ogłosił, że:

Możliwość wstawiania grafiki SketchUp została tymczasowo wyłączona w programach Word, Excel, PowerPoint i Outlook dla systemów Windows i Mac.

Dziękujemy za cierpliwość podczas pracy nad zapewnieniem bezpieczeństwa i funkcjonalności tej funkcji.

Cieszę się, że Microsoft docenia moją cierpliwość, ale być może żałuję, że sam Microsoft nie okazał się nieco bardziej cierpliwy, zanim w ogóle wprowadził tę funkcję do pakietu Office.

Szkoda, że ​​nie umieścili go tam *po* tym, że był bezpieczny, zamiast włożyć go, żeby sprawdzić, czy jest bezpieczny i dowiedzieć się, jak mówisz (niespodzianka! Niespodzianka!), że tak nie było.

---

DOUG.  Świetny.

Pozostańmy przy temacie cierpliwości.

Powiedziałem, że „będziemy się temu przyglądać” i miałem nadzieję, że nie będziemy musieli tego pilnować.

Musimy jednak trochę aliterować, tak jak to zrobiłeś w nagłówku.

Więcej środków łagodzących MOVEit: opublikowano nowe łatki w celu dalszej ochrony, Paweł.

Więcej środków łagodzących MOVEit: opublikowano nowe łatki w celu dalszej ochrony

---

KACZKA.  To znowu ten stary, dobry problem z MOVEit: plik Błąd wstrzykiwania SQL.

Oznacza to, że jeśli używasz programu MOVEit Transfer i nie załatałeś go, oszuści, którzy mają dostęp do interfejsu internetowego, mogą oszukać Twój serwer i zrobić złe rzeczy…

…łącznie z osadzeniem webshella, który pozwoli im później wejść i robić, co im się podoba.

Jak wiecie, wydano CVE, a Progress Software, twórcy MOVEit, opublikowali łatkę rozwiązującą znany exploit na wolności.

Mają teraz kolejną łatkę, która rozwiązuje podobne błędy, których, o ile im wiadomo, oszuści jeszcze nie znaleźli (ale gdyby szukali wystarczająco uważnie, mogliby to zrobić).

I choć brzmi to dziwnie, kiedy odkryjesz, że konkretna część twojego oprogramowania ma błąd określonego rodzaju, nie powinieneś być zaskoczony, jeśli kopiesz głębiej…

…odkrywasz, że programista (lub zespół programistów, który nad nim pracował w czasie, gdy pojawił się błąd, o którym już wiesz) popełnił podobne błędy mniej więcej w tym samym czasie.

Powiedziałbym, że w tym przypadku gratuluję firmie Progress Software za próbę proaktywnego poradzenia sobie z tym problemem.

Oprogramowanie Progress właśnie powiedziało, „Wszyscy klienci Move It muszą zastosować nową łatkę wydaną 09 czerwca 2023 r.

---

DOUG.  OK, myślę, że… będziemy na to zwracać uwagę!

Paweł, pomóż mi.

Jestem w roku 2023, czytam w Nagłówek „Naked Security”. coś o „Mt. Goxa.

Co się ze mną dzieje?

Historia od nowa: Departament Sprawiedliwości Stanów Zjednoczonych ujawnia zarzuty dotyczące cyberprzestępczości na górze Gox

---

KACZKA.  Góra Gox!

„Magic The Gathering Online Exchange”, Doug, jak to było…

---

DOUG.  [Śmieje się] Oczywiście!

---

KACZKA.  …gdzie możesz wymienić karty Magic The Gathering.

Domena ta została sprzedana, a ci, którzy pamiętają ją długo, będą wiedzieć, że stała się najpopularniejszą i zdecydowanie największą giełdą Bitcoinów na świecie.

Prowadził ją francuski emigrant z Japonii, Mark Karpelès.

Najwyraźniej wszystko szło gładko, dopóki nie eksplodowało w obłoku kryptowalutowego pyłu w 2014 r., kiedy zdali sobie sprawę, że, luźno mówiąc, wszystkie ich Bitcoiny zniknęły.

---

DOUG.  [Śmieje się] Nie powinienem się śmiać!

---

KACZKA.  647,000 XNUMX z nich, czy jakoś tak.

A już wtedy były one warte około 800 dolarów za sztukę, co oznaczało „puff” warty pół miliarda dolarów amerykańskich.

Co ciekawe, w tamtym czasie wiele palców wskazywało na sam zespół Mt.Gox, mówiąc: „Och, to musi być robota od wewnątrz”.

I rzeczywiście, myślę, że w Nowy Rok 2015 japońska gazeta Yomiuri Shimbun opublikowała artykuł, w którym napisano: „Przyjrzeliśmy się temu i 1% strat można wytłumaczyć wymówką, którą wymyśliłem; co do reszty, nieoficjalnie twierdzimy, że była to robota wewnętrzna”.

Opublikowany przez nich artykuł, który wywołał wiele dramatu, ponieważ jest dość dramatycznym oskarżeniem, teraz podczas odwiedzania go dzisiaj wyświetla błąd 404 [nie znaleziono strony HTTP].

---

DOUG.  Bardzo interesujące!

---

KACZKA.  Więc nie sądzę, że już tego nie wytrzymają.

I rzeczywiście, Departament Sprawiedliwości Stanów Zjednoczonych w końcu, po tylu latach, oskarżył dwóch obywateli Rosji o zasadniczą kradzież wszystkich Bitcoinów.

Wygląda więc na to, że Mark Karpelès został przynajmniej częściowo uniewinniony dzięki uprzejmości Departamentu Sprawiedliwości Stanów Zjednoczonych, ponieważ to on z pewnością wciągnął tych dwóch Rosjan w winę za tę zbrodnię wiele lat temu.

---

DOUG.  To fascynująca lektura.

Sprawdź to w Naked Security.

Wszystko, co musisz zrobić, to poszukać, jak się domyślasz, „Mt. Goxa”.

Pozostańmy w temacie cyberprzestępczości, gdyż jest to jeden z głównych sprawców szkodliwego oprogramowania bankowego Gozi wylądował w więzieniu po dziesięciu długich latach Paul:

„Szef IT” złośliwego oprogramowania bankowego Gozi ostatecznie trafił do więzienia po ponad 10 latach

---

KACZKA.  Tak… to było trochę jak oczekiwanie na autobus.

Dwie zdumiewające historie typu „wow, to wydarzyło się dziesięć lat temu, ale w końcu go dopadniemy” pojawiły się natychmiast. [ŚMIECH]

Pomyślałem, że warto napisać to jeszcze raz, żeby powiedzieć: „To jest Departament Sprawiedliwości; nie zapomnieli o nim.”

Faktycznie. Został aresztowany w Kolumbii.

Wydaje mi się, że złożył wizytę i był na lotnisku w Bogocie, i myślę, że funkcjonariusze graniczni pomyśleli: „Och, to nazwisko jest na liście obserwacyjnej”!

I najwyraźniej kolumbijscy urzędnicy pomyśleli: „Skontaktujmy się ze służbą dyplomatyczną USA”.

Powiedzieli: „Hej, mamy tu gościa o nazwisku (nie wspomnę jego nazwiska – jest w artykule). Kiedyś się nim interesowałeś, w związku z bardzo poważnymi, wielomilionowymi przestępstwami związanymi z złośliwym oprogramowaniem . Czy przypadkiem nadal jesteś zainteresowany?”

I, co za niespodzianka, Doug, Stany Zjednoczone rzeczywiście były bardzo zainteresowane.

Dokonał więc ekstradycji, stanął przed sądem, przyznał się do winy i został skazany.

Dostanie tylko trzy lata więzienia, co może wydawać się lekkim wyrokiem, i musi oddać ponad 3,000,000 miliony dolarów.

Nie wiem, co się stanie, jeśli tego nie zrobi, ale myślę, że to tylko przypomnienie, że uciekając i ukrywając się przed przestępczością związaną ze złośliwym oprogramowaniem…

… cóż, jeśli postawiono ci zarzuty i Stany Zjednoczone cię szukają, nie tylko powiedzą: „Ach, to dziesięć lat, równie dobrze możemy to zostawić”.

A przestępczość tego faceta opierała się na tzw. „kuloodpornych gospodarzach”, Doug.

Zasadniczo w tym przypadku jesteś kimś w rodzaju dostawcy usług internetowych, ale w przeciwieństwie do zwykłego dostawcy usług internetowych robisz wszystko, co w Twojej mocy, aby być ruchomym celem organów ścigania, umieszczanych na listach zablokowanych i żądań usunięcia danych od zwykłych dostawców usług internetowych.

Zatem świadczysz usługi, ale jeśli chcesz, utrzymujesz je w ruchu, przemieszczając się w Internecie, dzięki czemu oszuści zapłacą Ci opłatę i będą wiedzieć, że domeny, które dla nich hostujesz, będą po prostu nadal działać pracy, nawet jeśli ścigają cię organy ścigania.

---

DOUG.  Dobra, znowu świetna wiadomość.

Paul, kiedy kończymy nasze dzisiejsze historie, zmagasz się z bardzo trudnym, pełnym niuansów, a jednak ważne pytanie o hasłach.

Mianowicie, czy powinniśmy je zmieniać stale, na zmianę, może raz na miesiąc?

A może na początek zamknij naprawdę skomplikowane, a potem zostaw je w spokoju?

Myśli o zaplanowanych zmianach haseł (nie nazywaj ich rotacjami!)

---

KACZKA.  Chociaż brzmi to jak stara historia i rzeczywiście odwiedzaliśmy ją już wiele razy, powodem, dla którego to napisałem, jest to, że skontaktował się ze mną czytelnik, aby zapytać o tę właśnie rzecz.

Powiedział: „Nie chcę grać w 2FA; Nie chcę zagłębiać się w menedżery haseł. To są odrębne kwestie. Chcę tylko wiedzieć, jak rozstrzygnąć, jeśli wolisz, wojnę o wpływy między dwiema frakcjami w mojej firmie, podczas której niektórzy ludzie mówią, że musimy poprawnie tworzyć hasła, a inni po prostu mówią: „Ta łódź odpłynęła, to zbyt trudne”. po prostu zmusimy ludzi, aby je zmienili i to wystarczy”.

Pomyślałem więc, że naprawdę warto o tym napisać.

Sądząc po liczbie komentarzy na temat Naked Security i w mediach społecznościowych, wiele zespołów IT wciąż się z tym boryka.

Jeśli po prostu zmusisz ludzi do zmiany hasła co 30 lub 60 dni, czy naprawdę ma znaczenie, czy wybiorą takie, które będzie wyjątkowo łatwe do złamania, jeśli ich skrót zostanie skradziony?

Pod warunkiem, że nie wybiorą password or secret lub jedno z dziesięciu najpopularniejszych imion kotów na świecie, może będzie w porządku, jeśli zmusimy je do zmiany hasła na inne, niezbyt dobre hasło, zanim oszustom uda się je złamać?

Może to wystarczy?

Ale mam trzy powody, dla których nie możesz naprawić złego nawyku, po prostu podążając za innym złym nawykiem.

---

DOUG.  Pierwszy za bramą: Regularna zmiana haseł nie jest alternatywą dla wybierania i używania silnych, Paul.

---

KACZKA.  Nie!

Możesz wybrać jedno i drugie (za chwilę podam dwa powody, dla których uważam, że zmuszanie ludzi do regularnej zmiany powoduje kolejny zestaw problemów).

Ale prosta obserwacja jest taka, że ​​regularna zmiana złego hasła nie czyni go lepszym hasłem.

Jeśli chcesz lepszego hasła, wybierz lepsze hasło na początek!

---

DOUG.  I Ty powiesz: Zmuszanie ludzi do rutynowej zmiany haseł może uśpić ich złe nawyki.

---

KACZKA.  Sądząc po komentarzach, jest to dokładnie problem, z którym boryka się wiele zespołów IT.

Jeśli powiesz ludziom: „Hej, musisz zmieniać hasło co 30 dni i lepiej wybierz dobre”, powiedzą tylko…

…wybiorą dobrego.

Spędzą tydzień, zapamiętując to do końca życia.

A potem co miesiąc będą dodawać -01, -02I tak dalej.

Jeśli więc oszuści złamią lub złamią jedno z haseł i zobaczą taki wzór, będą w stanie w dużym stopniu ustalić, jakie jest Twoje hasło dzisiaj, jeśli znają Twoje hasło sprzed sześciu miesięcy.

Dlatego właśnie wymuszanie zmian, gdy nie są one konieczne, może skłonić ludzi do korzystania ze skrótów w zakresie cyberbezpieczeństwa, których nie chcesz.

---

DOUG.  I to jest interesujące.

Mówiliśmy o tym już wcześniej, ale jest to coś, o czym niektórzy mogli nie pomyśleć: Zaplanowanie zmiany hasła może opóźnić reakcję awaryjną.

Co przez to rozumiesz?

---

KACZKA.  Rzecz w tym, że jeśli masz sformalizowany, ustalony harmonogram zmiany haseł, tak aby każdy wiedział, że kiedy nadejdzie ostatni dzień tego miesiąca, i tak będzie zmuszony zmienić hasło…

…a potem myślą: „Wiesz co? Jest 12 dzień miesiąca i wszedłem na stronę internetową, co do której nie jestem pewien, czy mogła to być witryna phishingowa. Cóż, i tak mam zamiar zmienić hasło za dwa tygodnie, więc nie będę go zmieniać teraz.”

Tak więc, zmieniając swoje hasła *regularnie*, możesz wpaść w nawyk, że czasami, gdy jest to naprawdę ważne, nie zmieniasz hasła *często* wystarczająco.

Jeśli uważasz, że istnieje dobry powód, aby zmienić hasło, ZRÓB TO TERAZ!

---

DOUG.  Kocham to!

W porządku, wysłuchajmy opinii jednego z naszych czytelników na temat hasła.

Czytelnik Naked Security, Philip, pisze częściowo:

Częsta zmiana hasła, aby nie zostać naruszona, przypomina myślenie, że jeśli będziesz biegać wystarczająco szybko, unikniesz wszystkich kropel deszczu.

OK, unikniesz kropel deszczu spadających za tobą, ale będzie ich tyle samo, gdzie pójdziesz.

Zmuszona do regularnej zmiany haseł bardzo duża liczba osób po prostu doda liczbę, którą będzie mogła zwiększyć w razie potrzeby.

Tak jak mówiłeś Paweł!

---

KACZKA.  Twój przyjaciel i mój przyjaciel, Chester [Wiśniewski], powiedział kilka lat temu, kiedy rozmawialiśmy mity dotyczące haseł„Jedyne, co muszą zrobić [Śmieje się], aby dowiedzieć się, jaka jest liczba na końcu, to przejść do Twojej strony na LinkedIn. „Zacząłem pracę w tej firmie w sierpniu 2017 r.”… policz, ile miesięcy minęło od tego czasu.”

To jest numer, którego potrzebujesz na końcu.

Sophos Techknow – obalanie mitów dotyczących haseł

---

DOUG.  Dokładnie! [ŚMIECH]

---

KACZKA.  Problem polega na tym, że kiedy próbujesz zaplanować lub zastosować algorytm… czy to jest takie słowo?

(Prawdopodobnie nie powinno tak być, ale i tak go użyję.)

Kiedy próbujesz wziąć pomysł losowości, entropii i nieprzewidywalności i powiązać go z jakimś bardzo ścisłym algorytmem, na przykład algorytmem opisującym sposób ułożenia znaków i liczb na tabliczkach pojazdów…

…wtedy otrzymasz *mniej* losowości, a nie *więcej* i musisz być tego świadomy.

Zatem zmuszanie ludzi do robienia czegokolwiek, co powoduje, że popadają w jakiś schemat, jest, jak powiedział wówczas Chester, po prostu wyrobieniem w nich złego nawyku.

I podoba mi się ten sposób stawiania tego.

---

DOUG.  Dobrze, dziękuję bardzo za przesłanie tego, Philip.

A jeśli masz ciekawą historię, komentarz lub pytanie, które chcesz przesłać, chętnie przeczytamy je w podcaście.

Możesz wysłać e-mail na adres tips@sophos.com, skomentować jeden z naszych artykułów lub skontaktować się z nami w serwisie społecznościowym: @nakedsecurity.

To nasz program na dzisiaj.

Bardzo dziękuję za wysłuchanie.

Dla Paula Ducklina jestem Doug Aamoth i przypominam, aż do następnego razu…

---

OBIE.  Bądź bezpieczny!

[MOM MUZYCZNY]