S3, odc. 143: Shenanigany nadzorujące superciasteczka

Nie ma odtwarzacza audio poniżej? Słuchać bezpośrednio na Soundcloudzie.

DOUG.  Awaryjna łatka Apple, zapalanie komputerów i DLACZEGO NIE MOGĘ DALEJ KORZYSTAĆ Z WINDOWS 7?

Wszystko to i wiele więcej w podkaście Naked Security.

[MOM MUZYCZNY]

Witam wszystkich w podkaście.

Jestem Doug Aamoth; to jest Paul Ducklin.

Paul, jak się masz?

---

KACZKA.  Cóż, jestem trochę zaskoczony, Doug.

Bardzo dramatycznie mówiłeś o potrzebie dalszego korzystania z systemu Windows 7!

---

DOUG.  Cóż, jak wielu ludzi, jestem z tego powodu wściekły (żart!) i porozmawiamy o tym za chwilę.

Ale najpierw bardzo ważne W tym tygodniu w historii technologii Segment.

11 lipca 1976 r. był ostatnim tchnieniem dla niegdyś powszechnego narzędzia do obliczeń matematycznych.

Mam oczywiście na myśli suwak logarytmiczny.

Ostateczny model wyprodukowany w USA, Keuffel & Esser 4081-3, został przedstawiony Smithsonian Institution, wyznaczając koniec ery matematycznej…

…epoce, która stała się przestarzała dzięki komputerom i kalkulatorom, takim jak ulubiony przez Paula HP-35.

Więc, Paul, wierzę, że masz krew na rękach, Sir.

---

KACZKA.  Nigdy nie miałem HP-35.

Po pierwsze, byłem o wiele za młody, a po drugie, kiedy przybyli, każdy z nich kosztował 395 dolarów.

---

DOUG.  [ŚMIECH] Wow!

---

KACZKA.  Tak więc minęło jeszcze kilka lat, zanim ceny spadły, gdy zaczęło obowiązywać prawo Moore'a.

A potem ludzie nie chcieli już używać suwaków logarytmicznych.

Mój tata dał mi swój stary i bardzo go ceniłem, ponieważ był świetny…

… i powiem ci, czego uczy cię suwak logarytmiczny, ponieważ kiedy używasz go do mnożenia, zasadniczo konwertujesz dwie liczby, które chcesz pomnożyć, na liczby od 1 do 10, a następnie mnożysz je razem.

A potem musisz ustalić, gdzie znajduje się przecinek dziesiętny.

Jeśli podzieliłeś jedną liczbę przez 100 i pomnożyłeś drugą przez 1000, aby uzyskać zakres, to ogólnie musisz dodać jedno zero, aby pomnożyć przez 10, na końcu.

Był to więc fantastyczny sposób na nauczenie się, czy odpowiedzi otrzymane z kalkulatora elektronicznego, w którym wpisujesz długie liczby, takie jak 7,000,000,000 XNUMX XNUMX XNUMX…

… czy rzeczywiście masz rząd wielkości, wykładnik, prawda.

Suwaki logarytmiczne i ich drukowany odpowiednik, tabele dzienników, nauczyły cię wiele o tym, jak zarządzać rzędami wielkości w głowie i nie akceptować zbyt łatwo fałszywych wyników.

---

DOUG.  Nigdy go nie używałem, ale brzmi bardzo ekscytująco z tego, co właśnie opisałeś.

Kontynuujmy emocje.

Firefox w zeszłym tygodniu wydany wersja 115:

Wyszedł Firefox 115, żegna się z użytkownikami starszych wersji Windowsa i Maca

Zawierały notatkę, którą chciałbym przeczytać, cytuję:

W styczniu 2023 roku Microsoft zakończył wsparcie dla Windows 7 i Windows 8.

W rezultacie jest to ostatnia wersja Firefoksa, jaką otrzymają użytkownicy tych systemów operacyjnych.

I czuję, że za każdym razem, gdy jedna z tych notatek jest dołączana do ostatecznej wersji, ludzie wychodzą i mówią: „Dlaczego nie mogę dalej używać systemu Windows 7?”

Mieliśmy nawet komentatora, który powiedział, że Windows XP jest w porządku.

Więc co byś powiedział tym ludziom, Paul, którzy nie chcą rezygnować z wersji systemu operacyjnego, którą kochają?

---

KACZKA.  Najlepszym sposobem, aby to ująć, Doug, jest przeczytanie tego, co moim zdaniem powiedzieli lepiej poinformowani komentatorzy naszego artykułu.

Alex Fair pisze:

Nie chodzi tylko o to, czego *ty* chcesz, ale o to, jak możesz zostać wykorzystany i wykorzystany, a w konsekwencji zaszkodzić innym.

A Paul Roux raczej satyrycznie powiedział:

Dlaczego ludzie wciąż korzystają z systemu Windows 7 lub XP?

Jeśli powodem jest to, że nowsze systemy operacyjne są złe, dlaczego nie skorzystać z systemu Windows 2000?

Do diabła, NT 4 był tak niesamowity, że otrzymał SZEŚĆ pakietów serwisowych!

---

DOUG.  [ŚMIECH] Rok 2000 *był* jednak niesamowity.

---

KACZKA.  Nie chodzi tylko o ciebie.

Chodzi o to, że twój system zawiera błędy, które oszuści już wiedzą, jak wykorzystać, które nigdy, przenigdy nie zostaną załatane.

Więc odpowiedź jest taka, że ​​czasami po prostu musisz odpuścić, Doug.

---

DOUG.  „Lepiej kochać i stracić, niż nigdy nie kochać” – mówią.

Pozostańmy w temacie Microsoftu.

Patch wtorek, Paweł, daje obficie.

Microsoft łata cztery dni zerowe, w końcu podejmuje działania przeciwko sterownikom jądra crimeware

---

KACZKA.  Tak, jak zwykle duża liczba naprawionych błędów.

Najważniejsze wiadomości z tego, rzeczy, o których musisz pamiętać (a są dwa artykuły, które możesz go i konsultować na news.sophos.com, jeśli chcesz poznać krwawe szczegóły)….

Jednym z problemów jest to, że cztery z tych błędów znajdują się w dzikich, już wykorzystywanych dziurach dnia zerowego.

Dwa z nich to obejścia zabezpieczeń i choć brzmi to trywialnie, najwyraźniej odnoszą się do klikania adresów URL lub otwierania treści w wiadomościach e-mail, w których normalnie otrzymasz ostrzeżenie: „Czy naprawdę chcesz to zrobić?”

Co w przeciwnym razie mogłoby powstrzymać sporo osób przed popełnieniem niechcianego błędu.

Naprawiono też dwa otwory Elevation-of-Privilege (EoP).

I chociaż Elevation of Privilege jest zwykle postrzegane jako mniejsze niż zdalne wykonanie kodu, gdzie oszuści wykorzystują błąd, aby się włamać, problem z EoP ma związek z oszustami, którzy już „włóczą się z zamiarem” w twojej sieci .

To tak, jakby mogli zmienić się z gościa w hotelowym lobby w bardzo tajemniczego, cichego włamywacza, który nagle i magicznie ma dostęp do wszystkich pokoi w hotelu.

Więc zdecydowanie warto na nie uważać.

Jest też specjalny poradnik bezpieczeństwa firmy Microsoft…

…no, jest ich kilka; ten, na który chcę zwrócić twoją uwagę, to ADV23001, który w zasadzie mówi Microsoft: „Hej, pamiętaj, kiedy badacze Sophos poinformowali nas, że odkryli całą masę rootkitterów z podpisanymi sterownikami jądra, które nawet współczesny system Windows po prostu ładować, ponieważ zostały dopuszczone do użytku?”

Myślę, że ostatecznie było grubo ponad 100 takich podpisanych kierowców.

Wspaniałą wiadomością w tym poradniku jest to, że po tych wszystkich miesiącach Microsoft w końcu powiedział: „OK, zatrzymamy ładowanie tych sterowników i zaczniemy je automatycznie blokować”.

[IRONIA] Co, jak przypuszczam, jest dość duże, naprawdę, skoro przynajmniej niektóre z tych sterowników zostały faktycznie podpisane przez sam Microsoft, jako część ich programu jakości sprzętu. [ŚMIECH]

Jeśli chcesz poznać historię kryjącą się za historią, tak jak powiedziałem, po prostu wejdź na news.sophos.com i wyszukaj „sterowniki".

Microsoft usuwa złośliwe sterowniki w ramach usuwania poprawek we wtorek

---

DOUG.  Doskonałe.

Dobra, następna historia… Intryguje mnie ten nagłówek z wielu powodów: Rowhammer powraca, by zapalić twój komputer.

Poważne zabezpieczenia: Rowhammer powraca, by rozświetlić twój komputer

Paweł opowiedz mi o...

[NA METODĘ „SLEDGEHAMMER” PIOTRA GABRIELA] Opowiedz mi o…

---

OBIE.  [ŚPIEW] Rowhammer!

---

DOUG.  [ŚMIECH] Udało się!

---

KACZKA.  No dalej, teraz musisz zrobić riff.

---

DOUG.  [SYNTEZA SYNTEZATORA] Doodly-doo da doo, doo do doo.

---

KACZKA.  [WRAŻONO] Bardzo dobrze, Doug!

---

DOUG.  Dziękuję Ci.

---

KACZKA.  Ci, którzy nie pamiętają tego z przeszłości: „Rowhammer” to żargonowa nazwa, która przypomina nam, że kondensatory, w których bity pamięci (jedynki i zera) są przechowywane w nowoczesnych DRAM-ach, czyli dynamicznych układach pamięci o swobodnym dostępie, są tak blisko razem…

Kiedy piszesz do jednego z nich (właściwie musisz odczytywać i zapisywać kondensatory w rzędach naraz, stąd „rower młot”), kiedy to robisz, ponieważ odczytałeś wiersz, rozładowałeś kondensatory.

Nawet jeśli wszystko, co zrobiłeś, to zajrzyj do pamięci, musisz spisać stare treści, inaczej zostaną utracone na zawsze.

Kiedy to zrobisz, ponieważ te kondensatory są tak małe i tak blisko siebie, istnieje niewielka szansa, że ​​​​kondensatory w jednym lub obu sąsiednich rzędach mogą odwrócić swoją wartość.

Teraz nazywa się to DRAM, ponieważ nie utrzymuje ładunku w nieskończoność, jak statyczna pamięć RAM lub pamięć flash (z pamięcią flash można nawet wyłączyć zasilanie i zapamięta, co tam było).

Ale w przypadku pamięci DRAM po około jednej dziesiątej sekundy ładunki we wszystkich tych małych kondensatorach zostaną rozproszone.

Dlatego cały czas wymagają przepisywania.

A jeśli przepiszesz bardzo szybko, możesz sprawić, że bity w pobliskiej pamięci będą odwracane.

Historycznie przyczyną tego problemu było to, że jeśli potrafisz bawić się wyrównaniem pamięci, nawet jeśli nie możesz przewidzieć, które bity zostaną odwrócone, *możesz* być w stanie zadzierać z takimi rzeczami, jak indeksy pamięci, tablice stron, lub danych wewnątrz jądra.

Nawet jeśli wszystko, co robisz, to czytanie z pamięci, ponieważ masz nieuprzywilejowany dostęp do tej pamięci poza jądrem.

I na tym skupiały się dotychczasowe ataki młotem wioślarskim.

Naukowcy z Uniwersytetu Kalifornijskiego w Davis doszli do wniosku: „Zastanawiam się, czy wzorce przerzucania bitów, tak pseudolosowe, są spójne dla różnych producentów chipów?”

Co brzmi trochę jak „superciasteczko”, prawda?

Coś, co następnym razem zidentyfikuje twój komputer.

I rzeczywiście, badacze posunęli się jeszcze dalej i odkryli, że pojedyncze układy… lub moduły pamięci (zwykle mają na sobie kilka układów DRAM), moduły DIMM, moduły pamięci typu double inline, które można na przykład wpiąć w gniazda w komputerze stacjonarnym i w niektórych laptopach.

Odkryli, że w rzeczywistości wzorce przerzucania bitów można przekształcić w coś w rodzaju skanu tęczówki lub czegoś w tym rodzaju, aby mogli później rozpoznać moduły DIMM, wykonując ponownie atak młota udarowego.

Innymi słowy, możesz wyczyścić pliki cookie przeglądarki, możesz zmienić listę zainstalowanych aplikacji, możesz zmienić swoją nazwę użytkownika, możesz ponownie zainstalować zupełnie nowy system operacyjny, ale układy pamięci teoretycznie dadzą ci z dala.

I w tym przypadku pomysł jest taki: superciasteczka.

Bardzo ciekawa, warta przeczytania.

---

DOUG.  To jest super!

Kolejna rzecz dotycząca pisania wiadomości, Paul: jesteś dobrym autorem wiadomości, a chodzi o to, aby od razu wciągnąć czytelnika.

Tak więc w pierwszym zdaniu tego następnego artykułu mówisz: „Nawet jeśli nie słyszałeś o czcigodnym projekcie Ghostscript, równie dobrze mogłeś go używać, nie wiedząc o tym”.

Jestem zaintrygowany, ponieważ nagłówek brzmi: Błąd Ghostscript może pozwolić nieuczciwym dokumentom na uruchamianie poleceń systemowych.

Błąd Ghostscript może pozwolić nieuczciwym dokumentom na uruchamianie poleceń systemowych

Powiedz mi więcej!

---

KACZKA.  Cóż, Ghostscript to darmowa i otwarta implementacja języków Adobe PostScript i PDF.

(Jeśli nie słyszałeś o PostScript, cóż, PDF jest czymś w rodzaju „PostScript nowej generacji”.)

Jest to sposób na opisanie, jak utworzyć wydrukowaną stronę lub stronę na ekranie komputera bez informowania urządzenia, które piksele mają się włączyć.

Więc mówisz: „Narysuj tutaj kwadrat; narysuj tutaj trójkąt; użyj tej pięknej czcionki”.

Jest to język programowania sam w sobie, który zapewnia niezależną od urządzenia kontrolę nad takimi rzeczami, jak drukarki i ekrany.

A Ghostscript jest, jak powiedziałem, darmowym narzędziem typu open source, które właśnie to robi.

Istnieje wiele innych produktów typu open source, które wykorzystują dokładnie to narzędzie jako sposób importowania plików takich jak pliki EPS (Encapsulated PostScript), które można uzyskać od firmy projektowej.

Więc możesz mieć Ghostscript, nie zdając sobie z tego sprawy – to jest kluczowy problem.

I to był mały, ale bardzo irytujący błąd.

Okazuje się, że nieuczciwy dokument może mówić na przykład: „Chcę utworzyć dane wyjściowe i umieścić je w pliku o nazwie XYZ”.

Ale jeśli umieścisz na początku nazwy pliku, %pipe%, a następnie *nazwa pliku…

… ta nazwa pliku staje się nazwą polecenia do uruchomienia, które będzie przetwarzać dane wyjściowe Ghostscript w tak zwanym „potoku”.

Może to brzmieć jak długa historia dla pojedynczego błędu, ale ważną częścią tej historii jest to, że po naprawieniu tego problemu: „O nie! Musimy uważać, jeśli nazwa pliku zaczyna się od znaków %pipe%, ponieważ w rzeczywistości oznacza to polecenie, a nie nazwę pliku”.

Może to być niebezpieczne, ponieważ może spowodować zdalne wykonanie kodu.

Załatali więc ten błąd, a potem ktoś zdał sobie sprawę: „Wiesz co, błędy często występują parami lub grupami”.

Albo podobne błędy w kodowaniu gdzie indziej w tym samym fragmencie kodu, albo więcej niż jeden sposób wywołania pierwotnego błędu.

I wtedy ktoś z zespołu Ghostscript Script zdał sobie sprawę: „Wiesz co, pozwalamy im również pisać | [pionowa kreska, tj. znak „pipe”] również spacją, więc musimy to również sprawdzić.”

Więc była łatka, po której następowała łatka po łatce.

I niekoniecznie jest to oznaką zła ze strony zespołu programistycznego.

W rzeczywistości jest to znak, że nie wykonali minimalnej ilości pracy, nie podpisali tego i zostawili cię, abyś cierpiał z innym błędem i czekał, aż zostanie znaleziony na wolności.

---

DOUG.  I żebyście nie myśleli, że skończyliśmy mówić o robakach, chłopcze, mamy dla ciebie durnia!

Awaryjna łatka Apple wyłonił, A następnie nie pojawił się, a potem Apple w pewnym sensie skomentował to, co oznacza, że ​​góra to dół, a lewa to prawa, Paul.

Pilny! Apple naprawia krytyczną dziurę dnia zerowego w iPhone'ach, iPadach i komputerach Mac

---

KACZKA.  Tak, to trochę komedia pomyłek.

Prawie, ale nie całkiem, współczuję Apple w tym przypadku…

… ale z powodu ich nalegania, by mówić jak najmniej (kiedy w ogóle nic nie mówią), nadal nie jest jasne, czyja to wina.

Ale historia wygląda tak: „O nie! W Safari, w WebKit jest dzień 0 (silnik przeglądarki, który jest używany w każdej przeglądarce na twoim iPhonie i w Safari na twoim Macu), a oszuści/sprzedawcy oprogramowania szpiegującego/ktoś najwyraźniej używa tego do wielkiego zła.

Innymi słowy, „poszukaj i daj się przekonać”, „instalacja samochodowa”, „infekcja bez kliknięcia” lub jakkolwiek chcesz to nazwać.

Więc Apple, jak wiecie, ma teraz ten system Rapid Security Response (przynajmniej dla najnowszych iOS, iPadOS i macOS), w którym nie muszą tworzyć pełnej aktualizacji systemu, z zupełnie nowym numerem wersji, którego nigdy nie można obniżyć od, za każdym razem, gdy jest dzień 0.

Tak więc szybkie reakcje bezpieczeństwa.

Są to rzeczy, które, jeśli nie działają, możesz je później usunąć.

Inna sprawa, że ​​generalnie są bardzo małe.

Świetny!

Problem polega na tym, że… wydaje się, że ponieważ te aktualizacje nie otrzymują nowego numeru wersji, Apple musiało znaleźć sposób na zaznaczenie, że już zainstalowałeś Rapid Security Response.

Więc to, co robią, to bierzesz swój numer wersji, na przykład iOS 16.5.1, i dodają po nim znak spacji, a następnie (a).

A na ulicy krążą pogłoski, że niektóre strony internetowe (nie wymienię ich nazw, bo to wszystko plotki)…

…kiedy badali User-Agent string w Safari, który obejmuje (a) tylko dla kompletności, poszedł: „Whoooooa! co jest (a) robi w numerze wersji?”

Tak więc niektórzy użytkownicy zgłaszali pewne problemy i najwyraźniej Apple ciągnięty aktualizacja.

Apple po cichu pobiera najnowszą aktualizację zero-day – co teraz?

A potem, po całym zamieszaniu i kolejnym artykule w Naked Security, i nikt do końca nie wiedział, co się dzieje… [ŚMIECH]

…Apple w końcu opublikowało HT21387, biuletyn bezpieczeństwa, który wyprodukowali, zanim faktycznie mieli gotową łatkę, czego zwykle nie robią.

Ale to było prawie gorsze niż milczenie, ponieważ powiedzieli: „Z powodu tego problemu, Szybka reakcja bezpieczeństwa (b) wkrótce będzie dostępny, aby rozwiązać ten problem”.

I to wszystko. [ŚMIECH]

Nie do końca mówią, o co chodzi.

Nie mówią, czy o to chodzi User-Agent strings, ponieważ jeśli tak, to może problem dotyczy bardziej strony internetowej po drugiej stronie niż samego Apple?

Ale Apple nie mówi.

Nie wiemy więc, czy to ich wina, wina serwera WWW, czy jedno i drugie.

A oni po prostu mówią „wkrótce”, Doug.

---

DOUG.  To dobry moment, aby zadać pytanie naszego czytelnika.

W tej historii Apple czytelnik JP pyta:

Dlaczego strony internetowe tak bardzo muszą sprawdzać Twoją przeglądarkę?

Jest zbyt wścibski i opiera się na starych sposobach robienia rzeczy.

Co ty na to, Pawle?

---

KACZKA.  Sam zadawałem sobie to pytanie i zacząłem szukać: „Co masz zrobić User-Agent smyczki?"

Wydaje się, że jest to odwieczny problem dla stron internetowych, na których starają się być super sprytni.

Więc poszedłem do MDN (co kiedyś było, jak sądzę, Mozilla Developer Network, ale teraz jest to witryna społecznościowa), która jest jednym z najlepszych zasobów, jeśli zastanawiasz się: „A co z nagłówkami HTTP? A co z HTMLem? A co z JavaScriptem? A co z CSSem? Jak to wszystko do siebie pasuje?”

A ich rada, po prostu, brzmi: „Proszę wszystkich, przestańcie patrzeć na User-Agent strunowy. Po prostu robisz wędkę na własne plecy i trochę złożoności dla wszystkich innych. ”

Dlaczego więc strony patrzą na User-Agent?

[WRY] Chyba dlatego, że mogą. [ŚMIECH]

Kiedy tworzysz stronę internetową, zadaj sobie pytanie: „Dlaczego wpadam w tę króliczą norę, mając inny sposób reagowania na podstawie jakiegoś dziwnego fragmentu łańcucha gdzieś w User-Agent? "

Spróbuj pomyśleć ponad to, a życie stanie się prostsze dla nas wszystkich.

---

DOUG.  Dobra, bardzo filozoficznie!

Dziękuję, JP, za przesłanie tego.

Jeśli masz ciekawą historię, komentarz lub pytanie, które chciałbyś przesłać, chętnie przeczytamy o tym w podkaście.

Możesz wysłać e-mail na adres tips@sophos.com, skomentować jeden z naszych artykułów lub skontaktować się z nami w serwisie społecznościowym: @nakedsecurity.

To nasz program na dzisiaj; bardzo dziękuję za wysłuchanie.

Dla Paula Ducklina jestem Doug Aamoth i przypominam: do następnego razu…

---

OBIE.  Bądź bezpieczny!

[MOM MUZYCZNY]