S3 Ep125: Quando o hardware de segurança apresenta falhas de segurança [Áudio + Texto]

S3 Ep125: Quando o hardware de segurança apresenta falhas de segurança [Áudio + Texto]

Registro de data e hora: 9 de março de 2023, 1:58
S3 Ep125: Quando o hardware de segurança apresenta falhas de segurança [Áudio + Texto] PlatoBlockchain Data Intelligence. Pesquisa vertical. Ai.
by Paul Ducklin

VOCÊ PRECISA TER ESSE CHIP! MESMO QUE TENHA BUGS!

Memórias de Michelangelo (o vírus, não o artista). Erros de vazamento de dados em TPM 2.0. ransomware busto, ransomware avisoe conselhos anti-ransomware.

Nenhum reprodutor de áudio abaixo? Ouvir diretamente no Soundcloud.

Com Doug Aamoth e Paul Ducklin. Música de introdução e final de Edith Mudge.

Você pode nos ouvir em Soundcloud, Podcasts da Apple, Google Podcasts, Spotify, Costureiro e em qualquer lugar que bons podcasts sejam encontrados. Ou simplesmente solte o URL do nosso feed RSS em seu podcatcher favorito.

LEIA A TRANSCRIÇÃO

DOUG.   Ransomware, mais ransomware e vulnerabilidades de TPM.

Tudo isso e muito mais no podcast Naked Security.

[MODEM MUSICAL]

Bem-vindos ao podcast, pessoal.

Eu sou Doug Aamoth; ele é Paul Ducklin.

Paulo, como você está hoje?

PATO.   Neve e granizo, Doug.

Então foi uma viagem fria para o estúdio.

Estou usando aspas no ar... não para “passeio”, para “estúdio”.

Não é bem um estúdio, mas é o *meu* estúdio!

Um pequeno espaço secreto no Sophos HQ para gravar o podcast.

E está lindo e quentinho aqui, Doug!

DOUG.   Tudo bem, se alguém estiver ouvindo… pare para um tour; Paul ficará feliz em lhe mostrar o local.

E eu estou tão animado para Esta semana na história da tecnologia, Paulo.

Esta semana, em 06 de março de 1992, o vírus inativo do setor de inicialização Michelangelo ganhou vida, substituindo setores dos discos rígidos de suas vítimas.

Certamente isso significava o fim do mundo para computadores em todos os lugares, já que a mídia tropeçou em si mesma para alertar as pessoas sobre a destruição iminente?

No entanto, de acordo com o relatório da conferência Virus Bulletin de 1994, e cito:

Paul Ducklin, um orador enérgico e divertido, acredita firmemente que, de muitas maneiras, o esforço para educar feito tanto pelas empresas quanto pela mídia falhou seu alvo..

Paul, você estava lá, cara!

PATO.   Eu estava, Doug.

Ironicamente, 6 de março foi o único dia em que Michelangelo não era um vírus.

Todos os outros dias, simplesmente se espalhou como fogo.

Mas em 06 de março, foi: “Aha! É dia de carga!

E em um disco rígido, ele percorreria as primeiras 256 trilhas, as primeiras 4 cabeças, 17 setores por trilha… naquela hora.

Portanto, levaria cerca de 8.5 MBytes do seu disco rígido.

Ele não apenas consumiu muitos dados, mas também arruinou coisas como as tabelas de alocação de arquivos.

Assim, você poderia recuperar alguns dados, mas era um esforço enorme e incerto para cada dispositivo que você queria tentar recuperar.

Dá tanto trabalho para o segundo computador quanto deu para o primeiro, para o terceiro computador como deu para o segundo... muito, muito difícil de automatizar.

Felizmente, como você disse, foi muito divulgado na mídia.

Na verdade, meu entendimento é que o vírus foi analisado pela primeira vez pelo falecido Roger Riordan, um famoso pesquisador de antivírus australiano na década de 1990, e ele realmente o encontrou em fevereiro de 1991.

E ele estava conversando com um amigo dele, creio eu, sobre isso, e seu amigo disse: “Oh, 6 de março, é meu aniversário. Você sabia que também é o aniversário de Michelangelo?

Porque eu acho que as pessoas que nasceram no dia 6 de março podem saber disso…

Claro, era um nome tão moderno e legal… e um ano depois, quando teve a chance de se espalhar e, como você diz, muitas vezes permanece adormecido, foi quando voltou.

Não atingiu milhões de computadores, como a mídia parecia temer, e como o falecido John McAfee gostava de dizer, mas isso é um consolo para quem foi atingido, porque você praticamente perdeu tudo.

Não exatamente tudo, mas custaria uma pequena fortuna para recuperar parte dele ... provavelmente de forma incompleta, provavelmente não confiável.

E o ruim disso era porque se espalhava em disquetes; e porque se espalhou no setor de botas; e porque naquela época quase todo computador inicializava a partir da unidade de disquete se simplesmente houvesse um disco nele; e porque mesmo disquetes em branco tinham um setor de inicialização e qualquer código lá seria executado, mesmo que tudo levasse a uma mensagem do tipo “Disco sem sistema ou erro de disco, substitua e tente novamente”…

... então já era tarde demais.

Portanto, se você deixou um disco na unidade por engano, quando ligou na manhã seguinte, quando viu a mensagem "Disco sem sistema ou erro de disco" e pensou: "Ah, vou abrir o disquete e reinicie a inicialização a partir do disco rígido”…

…a essa altura, o vírus já estava em seu disco rígido e se espalharia para todos os disquetes que você tivesse.

Portanto, mesmo que você tivesse o vírus e o removesse, se não usasse todo o estoque corporativo de disquetes, haveria uma Maria Tifóide por aí que poderia reintroduzi-lo a qualquer momento.

DOUG.   Há uma história fascinante.

Que bom que você estava lá para ajudar a limpá-lo um pouco!

E vamos limpar mais uma coisinha.

Este Trusted Platform Module… às vezes controverso.

O que acontece quando o código necessário para proteger sua máquina é ele mesmo vulnerável, Paulo?

Segurança séria: vulnerabilidades do TPM 2.0 – seus dados superseguros estão em risco?

PATO.   Se você quiser entender toda essa coisa de TPM, o que parece uma ótima ideia, certo ... há essa pequena placa filha que você conecta a um pequeno slot em sua placa-mãe (ou talvez seja pré-embutida), e tem um pequeno chip coprocessador especial que apenas faz esse material criptográfico básico.

Modo de segurança; assinaturas digitais; armazenamento forte para chaves criptográficas... portanto, não é inerentemente uma má ideia.

O problema é que você imaginaria que, por ser um dispositivo tão pequeno e ter apenas esse código central, certamente é muito fácil desmontá-lo e torná-lo simples?

Bem, apenas as especificações para o Trusted Platform Module, ou TPM… eles têm coletivamente: 306 páginas, 177 páginas, 432 páginas, 498 páginas, 146 páginas e o grande bad boy no final, a “Parte Quatro: Rotinas de Suporte – Code”, onde estão os bugs, 1009 páginas PDF, Doug.

DOUG.   [RISOS] apenas uma leitura leve!

PATO.   [Suspira] Apenas uma leitura leve.

Então, há muito trabalho. e muito lugar para insetos.

E os mais recentes... bem, há alguns que foram anotados nas últimas errata, mas dois deles realmente obtiveram números CVE.

Há CVE-2023-1017 e CVE-2023-1018.

E, infelizmente, são bugs, vulnerabilidades, que podem ser ativados (ou alcançados) por comandos que um programa normal do espaço do usuário pode usar, como algo que um administrador de sistema ou você mesmo pode executar, apenas para solicitar que o TPM faça algo seguro para você.

Então você pode fazer coisas como, diga: “Ei, vá e me dê alguns números aleatórios. Vá e construa-me uma chave criptográfica. Vá embora e verifique esta assinatura digital.”

E é bom se isso for feito em um pequeno processador separado que não pode ser manipulado pela CPU ou pelo sistema operacional – é uma ótima ideia.

Mas o problema é que no código do modo de usuário que diz: “Aqui está o comando que estou apresentando a você”…

…infelizmente, desvendando os parâmetros que são passados ​​para executar a função que você deseja – se você enganar a maneira como esses parâmetros são entregues ao TPM, poderá induzi-lo a ler memória extra (um estouro de leitura de buffer) ou pior, sobrescrever coisas que pertencem ao próximo cara, por assim dizer.

É difícil ver como esses bugs podem ser explorados para coisas como execução de código no TPM (mas, como já dissemos muitas vezes, “nunca diga nunca”).

Mas certamente está claro que quando você está lidando com algo que, como você disse no início, “você precisa disso para tornar seu computador mais seguro. É tudo uma questão de correção criptográfica”…

…a ideia de algo vazar até mesmo dois bytes dos preciosos dados secretos de outra pessoa que ninguém no mundo deveria saber?

A ideia de um vazamento de dados, muito menos um estouro de gravação de buffer em um módulo como esse, é realmente bastante preocupante.

Então é isso que você precisa corrigir.

E, infelizmente, o documento da errata não diz: “Aqui estão os bugs; é assim que você os conserta.”

Há apenas uma descrição dos bugs e uma descrição de como você deve alterar seu código.

Portanto, presumivelmente, todos farão isso à sua maneira e, em seguida, essas alterações serão filtradas de volta para a implementação de referência central.

A boa notícia é que existe uma implementação de TPM baseada em software [libtpms] para pessoas que executam máquinas virtuais... eles já deram uma olhada e criaram algumas correções, então isso é um bom lugar para começar.

DOUG.   Adorável.

Enquanto isso, verifique com seus fornecedores de hardware e veja se eles têm alguma atualização para você.

PATO.   Sim.

DOUG.   Vamos seguir em frente… para os primeiros dias do ransomware, que eram repletos de extorsão, e então as coisas ficaram mais complicadas com a “extorsão dupla”.

E um monte de gente acaba de ser preso em um esquema de dupla extorsão, o que é uma boa notícia!

Suspeitos do ransomware DoppelPaymer são presos na Alemanha e na Ucrânia

PATO.   Sim, esta é uma gangue de ransomware conhecida como DoppelPaymer. (“Doppel” significa duplo em alemão.)

Portanto, a ideia é um golpe duplo.

É onde eles embaralham todos os seus arquivos e dizem: “Vendemos a você a chave de descriptografia. E, a propósito, caso você ache que seus backups servirão, ou caso esteja pensando em nos dizer para sumir e não nos pagar o dinheiro, saiba que também roubamos todos os seus arquivos primeiro. ”

“Portanto, se você não pagar e *poder* descriptografar sozinho e *poder* salvar seu negócio… vamos vazar seus dados.”

A boa notícia neste caso é que alguns suspeitos foram interrogados e presos, e muitos aparelhos eletrônicos foram apreendidos.

Portanto, mesmo que isso seja, digamos, um consolo frio para as pessoas que sofreram ataques DoppelPaymer no passado, isso significa pelo menos que a aplicação da lei não desiste simplesmente quando as gangues cibernéticas parecem abaixar a cabeça.

Aparentemente, eles receberam até US$ 40 milhões em pagamentos de chantagem apenas nos Estados Unidos.

E eles notoriamente foram atrás do Hospital Universitário de Düsseldorf, na Alemanha.

Se houver um ponto baixo no ransomware…

DOUG.   Falando Sério!

PATO.   …não que seja bom que alguém seja atingido, mas a ideia de que você realmente destrói um hospital, particularmente um hospital universitário?

Eu acho que é o mais baixo dos baixos, não é?

DOUG.   E nós temos alguns conselhos.

Só porque esses suspeitos foram presos: Não disque sua proteção.

PATO.   Não, de fato, a Europol admite, em suas palavras: “De acordo com relatos, a Doppelpaymer desde então rebatizou [como uma gangue de ransomware] chamada 'Grief'”.

Então o problema é que, quando você prende algumas pessoas em uma gangue cibernética, talvez não encontre todos os servidores…

…se você tomar os servidores, você não pode necessariamente trabalhar de trás para frente para os indivíduos.

Faz uma diferença, mas não significa que o ransomware acabou.

DOUG.   E nesse ponto: Não se fixe apenas no ransomware.

PATO.   De fato!

Acho que gangues como a DoppelPaymer deixam isso bem claro, não é?

No momento em que eles vêm para embaralhar seus arquivos, eles já os roubaram.

Então, quando você realmente pega a parte do ransomware, eles já fizeram N outros elementos da cibercriminalidade: a invasão; o olhar ao redor; provavelmente abrindo alguns backdoors para que possam voltar mais tarde ou vender acesso para o próximo cara; e assim por diante.

DOUG.   O que se encaixa no próximo conselho: Não espere que os alertas de ameaças caiam em seu painel.

Talvez seja mais fácil falar do que fazer, dependendo da maturidade da organização.

Mas há ajuda disponível!

PATO.   [RISOS] Achei que você ia mencionar Detecção e Resposta Gerenciada Sophos por um momento, Doug.

DOUG.   Eu estava tentando não vendê-lo.

Mas podemos ajudar!

Há alguma ajuda lá fora; nos informe.

PATO.   Falando vagamente, quanto mais cedo você chegar lá; quanto mais cedo você perceber; quanto mais proativa for sua segurança preventiva...

…o menos provável é que qualquer bandido consiga chegar até um ataque de ransomware.

E isso só pode ser uma coisa boa.

DOUG.   E por último mas não menos importante: Sem julgamento, mas não pague se puder evitá-lo.

PATO.   Sim, acho que temos o dever de dizer isso.

Porque pagar financia a próxima onda de crimes cibernéticos, grande momento, com certeza.

E em segundo lugar, você pode não receber o que pagou.

DOUG.   Bem, vamos passar de uma empresa criminosa para outra.

E é isso que acontece quando uma empresa criminosa usa todas as Ferramenta, técnica e procedimento no livro!

Feds alertam sobre o ataque de ransomware Royal que abrange toda a gama de TTPs

PATO.   Isso é da CISA - os EUA Agência de segurança cibernética e segurança de infraestrutura.

E neste caso, no boletim AA23 (que é deste ano) traço 061A-for-alpha, eles estão falando sobre uma gangue chamada Royal ransomware.

Real com R maiúsculo, Doug.

O ruim dessa quadrilha é que suas ferramentas, técnicas e procedimentos parecem estar “à altura e incluindo o que for necessário para o ataque atual”.

Eles pintam com um pincel bem largo, mas também atacam com uma pá bem funda, se é que você me entende.

Essa é a má notícia.

A boa notícia é que há muito o que aprender e, se você levar tudo a sério, terá prevenção e proteção abrangentes não apenas contra ataques de ransomware, mas também contra o que você mencionou no segmento Doppelpaymer anteriormente: “Não Não se concentre apenas no ransomware.”

Preocupe-se com todas as outras coisas que levam a isso: keylogging; roubo de dados; implantação de backdoor; roubo de senha.

DOUG.   Tudo bem, Paul, vamos resumir algumas das conclusões do conselho da CISA, começando com: Esses bandidos invadem usando métodos testados e confiáveis.

PATO.   Eles fazem!

As estatísticas da CISA sugerem que essa gangue em particular usa o bom e velho phishing, que teve sucesso em 2/3 dos ataques.

Quando isso não funciona bem, eles procuram coisas não corrigidas.

Além disso, em 1/6 dos casos, eles ainda conseguem entrar usando RDP… os bons e velhos ataques RDP.

Porque eles só precisam de um servidor que você esqueceu.

E também, a propósito, a CISA relatou que, uma vez dentro, mesmo que não tenham entrado usando o RDP, parece que ainda estão descobrindo que muitas empresas têm uma política bastante mais liberal sobre o acesso ao RDP * dentro* de sua rede.

[RISOS] Quem precisa de scripts complicados do PowerShell onde você pode simplesmente se conectar ao computador de outra pessoa e verificá-lo em sua própria tela?

DOUG.   Uma vez dentro, os criminosos tentam evitar programas que podem obviamente aparecer como malware.

Isso também é conhecido como “viver da terra”.

PATO.   Eles não estão apenas dizendo: “Bem, vamos usar o programa PsExec da Microsoft Sysinternal e vamos usar este script PowerShell popular em particular.

Eles têm inúmeras ferramentas para fazer várias coisas diferentes que são bastante úteis, desde ferramentas que descobrem números de IP até ferramentas que impedem que os computadores parem de dormir.

Todas as ferramentas que um administrador de sistemas bem informado pode muito bem ter e usar regularmente.

E, falando vagamente, há apenas um pedaço de malware puro que esses bandidos trazem, e é isso que faz a confusão final.

A propósito, não se esqueça de que, se você for um criminoso ransomware, nem precisa trazer seu próprio kit de ferramentas de criptografia.

Você poderia, se quisesse, usar um programa como, digamos, WinZip ou 7-Zip, que inclui um recurso para “Criar um arquivo, mover os arquivos” (o que significa excluí-los depois de colocá-los no arquivo), “e criptografá-los com uma senha.”

Contanto que os bandidos sejam as únicas pessoas que saibam a senha, eles ainda podem se oferecer para vendê-la de volta para você…

DOUG.   E só para adicionar um pouco de sal à ferida: Antes de embaralhar os arquivos, os invasores tentam complicar seu caminho para a recuperação.

PATO.   Quem sabe se eles criaram novas contas secretas de administrador?

Servidores com bugs instalados deliberadamente?

Patches removidos deliberadamente para que eles saibam uma maneira de voltar na próxima vez?

Deixou os keyloggers para trás, onde eles serão ativados em algum momento futuro e farão com que seus problemas comecem de novo?

E eles estão fazendo isso porque é muito vantajoso para eles que, ao se recuperar de um ataque de ransomware, você não se recupere completamente.

DOUG.   Tudo bem, temos alguns links úteis na parte inferior do artigo.

Um link que o levará a aprender mais sobre Detecção e Resposta Gerenciada Sophos [MDR], e outro que te leva ao Manual do adversário ativo, que é uma peça montada por nosso próprio John Shier.

Algumas dicas e insights que você pode usar para reforçar melhor sua proteção.

Conheça seu inimigo! Saiba como os adversários do cibercrime entram…

PATO.   Isso é como uma meta-versão do relatório CISA “Royal ransomware”.

São casos em que a vítima não percebeu que os invasores estavam em sua rede até que fosse tarde demais, então ligou para o Sophos Rapid Response e disse: “Nossa, achamos que fomos atingidos por ransomware… mas o que mais aconteceu? ”

E foi isso que realmente descobrimos, na vida real, em uma ampla gama de ataques de bandidos muitas vezes não relacionados.

Portanto, dá a você uma ideia muito ampla da variedade de TTPs (ferramentas, técnicas e procedimentos) dos quais você precisa estar ciente e contra os quais pode se defender.

Porque a boa notícia é que, ao forçar os bandidos a usar todas essas técnicas separadas, para que nenhuma delas dispare um alarme maciço por conta própria…

…você se dá uma chance de encontrá-los cedo, se você [A] souber onde procurar e [B] puder encontrar tempo para fazê-lo.

DOUG.   Muito bom.

E temos um comentário de leitor sobre este artigo.

O leitor do Naked Security, Andy, pergunta:

Como os pacotes Sophos Endpoint Protection se comparam a esse tipo de ataque?

Eu vi em primeira mão o quão boa é a proteção contra ransomware de arquivos, mas se ela for desativada antes do início da criptografia, estamos contando com a proteção contra adulterações, eu acho, na maior parte?

PATO.   Bem, espero que não!

Eu espero que um cliente do Sophos Protection não vá apenas, “Bem, vamos executar apenas a pequena parte do produto que existe para protegê-lo como o tipo de salão Last Chance... o que chamamos de CryptoGuard.

Esse é o módulo que diz: “Ei, alguém ou alguma coisa está tentando embaralhar um grande número de arquivos de uma forma que pode ser um programa genuíno, mas simplesmente não parece certo”.

Portanto, mesmo que seja legítimo, provavelmente vai atrapalhar as coisas, mas é quase certo que alguém está tentando prejudicar você.

DOUG.   Sim, o CryptoGuard é como um capacete que você usa enquanto voa sobre o guidão da sua bicicleta.

As coisas ficaram muito sérias se o CryptoGuard está entrando em ação!

PATO.   A maioria dos produtos, incluindo o Sophos hoje em dia, tem um elemento de proteção contra adulterações que tenta ir um passo além, de modo que até mesmo um administrador tem que passar por obstáculos para desligar certas partes do produto.

Isso torna mais difícil fazê-lo e mais difícil de automatizar, desligá-lo para todos.

Mas você tem que pensar nisso…

Se cibercriminosos entrarem em sua rede e eles realmente tiverem “equivalência de administrador de sistema” em sua rede; se eles conseguiram obter efetivamente os mesmos poderes que seus administradores de sistema normais têm (e esse é o verdadeiro objetivo deles; é isso que eles realmente querem)…

Dado que os administradores de sistema que executam um produto como o da Sophos podem configurar, desconfigurar e definir as configurações do ambiente…

…então se os bandidos *são* administradores de sistema, é como se eles já tivessem vencido.

E é por isso que você precisa encontrá-los com antecedência!

Então, tornamos isso o mais difícil possível e fornecemos o máximo de camadas de proteção possível, na esperança de tentar impedir isso antes mesmo de acontecer.

E enquanto estamos falando sobre isso, Doug (não quero que isso soe como um schpiel de vendas, mas é apenas um recurso do nosso software que eu gosto bastante)…

Temos o que chamo de componente “adversário adversário ativo”!

Em outras palavras, se detectarmos um comportamento em sua rede que sugere fortemente coisas, por exemplo, que seus administradores de sistema não fariam ou não fariam dessa maneira…

…”adversário adversário ativo” diz: “Sabe de uma coisa? No momento, vamos aumentar a proteção para níveis mais altos do que você normalmente toleraria.”

E esse é um ótimo recurso porque significa que, se bandidos entrarem em sua rede e começarem a tentar fazer coisas desagradáveis, você não precisa esperar até perceber e *então* decidir: "Que mostradores devemos mudar?"

Doug, essa foi uma resposta bastante longa para uma pergunta aparentemente simples.

Mas deixe-me ler o que escrevi em minha resposta ao comentário sobre Naked Security:

Nosso objetivo é estar atento o tempo todo e intervir o mais cedo, de forma automática, segura e decisiva possível – para todos os tipos de ataque cibernético, não apenas ransomware.

DOUG.   Tudo bem, bem dito!

Muito obrigado, Andy, por enviar isso.

Se você tiver uma história, comentário ou pergunta interessante que gostaria de enviar, adoraríamos lê-la no podcast.

Você pode enviar um e-mail para tips@sophos.com, pode comentar sobre qualquer um de nossos artigos ou pode nos encontrar nas redes sociais: @NakedSecurity.

Esse é o nosso show de hoje; muito obrigado por ouvir.

Para Paul Ducklin, sou Doug Aamoth, lembrando você. Até a próxima, para…

AMBAS.   Fique seguro!

[MODEM MUSICAL]

Carimbo de hora:

Mais de Segurança nua