S3 Ep143: Mișcări de supraveghere cu supercookie

Nu există player audio mai jos? Asculta direct pe Soundcloud.

DOUG.  Un patch Apple de urgență, computere cu gaz și DE CE NU POT CONTINUA UTILIZA WINDOWS 7?

Toate acestea și multe altele pe podcastul Naked Security.

[MODEM MUZICAL]

Bine ați venit la podcast, toată lumea.

Eu sunt Doug Aamoth; el este Paul Ducklin.

Paul, ce faci?

---

RAȚĂ.  Ei bine, sunt puțin surprins, Doug.

Ai fost foarte dramatic cu privire la necesitatea de a continua să folosești Windows 7!

---

DOUG.  Ei bine, la fel ca mulți oameni, sunt supărat din cauza asta (glumă!), și despre asta vom vorbi puțin.

Dar mai întâi, un lucru foarte important Săptămâna aceasta în istoria tehnologiei segment.

11 iulie 1976 a marcat ultima suflare pentru un instrument obișnuit de calcul matematic.

Mă refer, desigur, la regula de calcul.

Ultimul model american produs, un Keuffel & Esser 4081-3, a fost prezentat Instituției Smithsonian, marcând sfârșitul unei ere matematice...

… o epocă învechită de computere și calculatoare, cum ar fi preferatul lui Paul, HP-35.

Deci, Paul, cred că aveți sânge pe mâini, domnule.

---

RAȚĂ.  Nu am avut niciodată un HP-35.

În primul rând, eram mult prea tânăr, iar în al doilea rând, ei costau 395 de dolari fiecare când au intrat.

---

DOUG.  [RÂDE] Uau!

---

RAȚĂ.  Așa că a durat încă câțiva ani pentru ca prețurile să se prăbușească, pe măsură ce Legea lui Moore a intervenit.

Și atunci oamenii nu au mai vrut să folosească reguli de calcul.

Tatăl meu mi-a dat cel vechi și l-am prețuit pentru că era grozav...

…și vă voi spune ce vă învață o regulă de calcul, pentru că atunci când o folosiți pentru înmulțire, practic convertiți cele două numere pe care doriți să le înmulțiți în numere între 1 și 10, apoi le înmulțiți împreună.

Și apoi trebuie să aflați unde merge punctul zecimal.

Dacă ai împărțit un număr la 100 și l-ai înmulțit pe celălalt cu 1000 pentru a-l obține în interval, atunci în general trebuie să adaugi un zero, pentru a înmulți cu 10, la sfârșit.

Așa că a fost un mod fantastic de a te învăța dacă răspunsurile pe care le-ai primit de la calculatorul tău electronic, unde ai tastat numere lungi, cum ar fi 7,000,000,000...

…fie că ai avut de fapt ordinul de mărime, exponentul, corect.

Regulile de calcul și echivalentul lor tipărit, tabelele de jurnal, v-au învățat multe despre cum să gestionați ordinele de mărime în cap și să nu acceptați prea ușor rezultatele false.

---

DOUG.  Nu am folosit niciodată unul, dar sună foarte interesant din ceea ce tocmai ai descris.

Să menținem entuziasmul.

Săptămâna trecută, Firefox eliberat Versiune 115:

Firefox 115 a ieșit și își ia rămas bun de la utilizatorii versiunilor mai vechi de Windows și Mac

Au inclus o notă pe care aș dori să o citesc și citez:

În ianuarie 2023, Microsoft a încetat suportul pentru Windows 7 și Windows 8.

În consecință, aceasta este ultima versiune de Firefox pe care o vor primi utilizatorii de pe acele sisteme de operare.

Și simt că de fiecare dată când una dintre aceste note este atașată la o versiune finală, oamenii ies și spun: „De ce nu pot continua să folosesc Windows 7?”

Am avut chiar și un comentator care spunea că Windows XP este bine.

Deci, ce le-ai spune acestor oameni, Paul, care nu vor să treacă de la versiunile de sistem de operare pe care le iubesc?

---

RAȚĂ.  Cel mai bun mod pentru mine să o spun, Doug, este să citesc înapoi ceea ce consider că au spus comentatorii mai bine informați la articolul nostru.

Alex Fair scrie:

Nu este vorba doar despre ceea ce *ți* dorești, ci despre cum ai putea fi folosit și exploatat și, la rândul său, să faci rău altora.

Și Paul Roux a spus mai degrabă satiric:

De ce oamenii încă mai rulează Windows 7 sau XP?

Dacă motivul este că sistemele de operare mai noi sunt proaste, de ce să nu folosiți Windows 2000?

La naiba, NT 4 a fost atât de minunat încât a primit șase pachete de servicii!

---

DOUG.  [RÂDE] 2000 *a fost* grozav, totuși.

---

RAȚĂ.  Nu este totul despre tine.

Este vorba despre faptul că sistemul tău include bug-uri, pe care escrocii știu deja să le exploateze, care nu vor fi remediate niciodată.

Așa că răspunsul este că uneori trebuie pur și simplu să renunți, Doug.

---

DOUG.  „Este mai bine să fi iubit și să fi pierdut decât să nu fi iubit deloc”, după cum se spune.

Să rămânem la subiectul Microsoft.

Patch marți, Paul, dă din belșug.

Microsoft corectează patru zile zero, în cele din urmă ia măsuri împotriva driverelor de kernel criminalware

---

RAȚĂ.  Da, numărul mare obișnuit de erori a fost remediat.

Vestea cea mare din asta, lucrurile pe care trebuie să le amintiți (și există două articole pe care le puteți go și consulta pe news.sophos.com dacă doriți să aflați detaliile sângeroase)...

O problemă este că patru dintre aceste bug-uri se află în găuri sălbatice, de zi zero, deja exploatate.

Două dintre ele sunt ocoliri de securitate și, oricât de banal sună, se pare că se referă la clicul pe adrese URL sau la deschiderea de chestii în e-mailuri în care, în mod normal, ai primi un avertisment care spune: „Sunteți cu adevărat sigur că doriți să faceți asta?”

Ceea ce altfel ar putea împiedica mulți oameni să facă o greșeală nedorită.

Și există două găuri de Elevation-of-Privilege (EoP) fixate.

Și, deși Elevation of Privilege este de obicei privită ca fiind mai mică decât Remote Code Execution, unde escrocii folosesc bug-ul pentru a pătrunde în primul rând, problema cu EoP are de-a face cu escrocii care deja „pătrunesc cu intenție” în rețeaua ta. .

Este ca și cum ar fi capabili să treacă de la a fi oaspeți în holul unui hotel la un hoț super-secret și tăcut, care dintr-o dată și magic are acces la toate camerele hotelului.

Deci cu siguranță merită să fii atent.

Și există un aviz special de securitate Microsoft...

… ei bine, sunt mai multe dintre ele; cel asupra căruia vreau să vă atrag atenția este ADV23001, care în esență este Microsoft care spune: „Hei, amintiți-vă când cercetătorii Sophos ne-au raportat că au descoperit o mulțime de rootkittery care se desfășoară cu drivere de kernel semnate pe care chiar și Windows-ul contemporan le-ar face. încărcați pentru că au fost aprobate pentru utilizare?”

Cred că până la urmă au fost peste 100 de astfel de șoferi semnați.

Vestea grozavă din acest aviz este că toate aceste luni mai târziu, Microsoft a spus în sfârșit: „OK, vom opri încărcarea acelor drivere și vom începe să le blocăm automat.”

[IRONIC] Ceea ce presupun că este destul de mare dintre ele, într-adevăr, când cel puțin unele dintre acele drivere au fost semnate chiar de Microsoft, ca parte a programului lor de calitate hardware. [râde]

Dacă doriți să găsiți povestea din spatele poveștii, așa cum am spus, mergeți la news.sophos.com și căutați „drivere".

Microsoft revocă driverele rău intenționate în Patch Tuesday Culling

---

DOUG.  Excelent.

Bine, următoarea poveste... Sunt intrigat de acest titlu din atâtea motive: Rowhammer revine să aprindă computerul cu gaz.

Securitate serioasă: Rowhammer revine să aprindă computerul cu gaz

Paul, spune-mi despre...

[ÎN melodia „CIOANULUI” LUI PETER GABRIEL] Povestește-mi despre...

---

AMBII.  [SINGING] Rowhammer!

---

DOUG.  [RÂDE] Am reuşit!

---

RAȚĂ.  Haide, acum trebuie să faci riff-ul.

---

DOUG.  [SINTETIZAREA UNUI SINTETIZATOR] Doodly-doo da doo, doo do doo.

---

RAȚĂ.  [IMPRESAT] Foarte bine, Doug!

---

DOUG.  Mulțumesc.

---

RAȚĂ.  Cei care nu-și amintesc acest lucru din trecut: „Rowhammer” este denumirea din jargon care ne amintește că condensatorii, în care biți de memorie (unu și zero) sunt stocați în DRAM modern, sau cipuri de memorie dinamică cu acces aleatoriu, sunt atât de aproape împreună…

Când îi scrii unuia dintre ei (de fapt trebuie să citești și să scrii condensatorii pe rânduri, deci „ciocanul”), când faci asta, pentru că ai citit rândul, ai descărcat condensatorii.

Chiar dacă tot ce ai făcut a fost să te uiți la memorie, trebuie să scrii înapoi conținutul vechi, altfel se pierde pentru totdeauna.

Când faci asta, deoarece acei condensatori sunt atât de mici și atât de apropiați unul de celălalt, există o șansă mică ca condensatorii din unul sau ambele rânduri învecinate să își schimbe valoarea.

Acum, se numește DRAM pentru că nu își ține încărcarea la nesfârșit, cum ar fi RAM statică sau memoria flash (cu memoria flash puteți chiar opri alimentarea și își va aminti ce era acolo).

Dar cu DRAM, după aproximativ o zecime de secundă, practic, încărcările din toți acei condensatori mici se vor fi disipat.

Deci au nevoie de rescrie tot timpul.

Și dacă rescrieți foarte repede, puteți obține de fapt biți din memoria din apropiere pentru a le întoarce.

Din punct de vedere istoric, motivul pentru care aceasta a fost o problemă este că, dacă te poți juca cu alinierea memoriei, chiar dacă nu poți prezice ce biți vor fi inversați, * s-ar putea* să poți să te încurci cu lucruri precum indici de memorie, tabele de pagini, sau date din interiorul nucleului.

Chiar dacă tot ceea ce faci este să citești din memorie pentru că ai acces neprivilegiat la acea memorie în afara nucleului.

Și pe asta au avut tendința să se concentreze până în prezent atacurile cu ciocanul de ciocan.

Acum, ceea ce au făcut acești cercetători de la Universitatea din California din Davis a fost că s-au gândit: „Ei bine, mă întreb dacă modelele de inversare a biților, oricât de pseudoaleatoare sunt, sunt consistente pentru diferiți furnizori de cipuri?”

Care sună ca un „supercookie”, nu-i așa?

Ceva care vă identifică computerul data viitoare.

Și într-adevăr, cercetătorii au mers și mai departe și au descoperit că cipuri individuale... sau module de memorie (de obicei au mai multe cipuri DRAM pe ele), DIMM-uri, module de memorie duble în linie pe care le puteți fixa în sloturile computerului dvs. desktop, de exemplu, și la unele laptopuri.

Ei au descoperit că, de fapt, modelele bit-flip ar putea fi convertite într-un fel de scanare a irisului, sau ceva de genul acesta, astfel încât să poată recunoaște DIMM-urile mai târziu făcând din nou atacul de ciocan.

Cu alte cuvinte, puteți șterge cookie-urile din browser, puteți modifica lista de aplicații pe care le-ați instalat, vă puteți schimba numele de utilizator, puteți reinstala un sistem de operare nou-nouț, dar cipurile de memorie, în teorie, vă vor oferi departe.

Și în acest caz, ideea este: supercookie-uri.

Foarte interesant și merită citit.

---

DOUG.  Este rece!

Un alt lucru despre a scrie știri, Paul: ești un bun scriitor de știri, iar ideea este să atragi cititorul imediat.

Deci, în prima propoziție a acestui articol următor spuneți: „Chiar dacă nu ați auzit de venerabilul proiect Ghostscript, s-ar putea foarte bine să-l fi folosit fără să știți.”

Sunt intrigat, deoarece titlul este: Bug-ul Ghostscript ar putea permite documentelor necinstite să ruleze comenzi de sistem.

Bug-ul Ghostscript ar putea permite documentelor necinstite să ruleze comenzi de sistem

Spune-mi mai multe!

---

RAȚĂ.  Ei bine, Ghostscript este o implementare gratuită și open source a limbilor Adobe PostScript și PDF.

(Dacă nu ați auzit de PostScript, ei bine, PDF este un fel de „PostScript Next Generation”.)

Este o modalitate de a descrie cum să creați o pagină tipărită sau o pagină pe ecranul unui computer, fără a spune dispozitivului ce pixeli să pornească.

Deci tu spui: „Desenează pătrat aici; desenați triunghiul aici; folosește acest font frumos.”

Este un limbaj de programare în sine, care vă oferă control independent de dispozitiv asupra lucrurilor precum imprimante și ecrane.

Și Ghostscript este, așa cum am spus, un instrument gratuit și open source pentru a face exact asta.

Și există numeroase alte produse open source care folosesc exact acest instrument ca o modalitate de a importa lucruri precum fișiere EPS (Encapsulated PostScript), așa cum ați putea obține de la o companie de design.

Deci s-ar putea să aveți Ghostscript fără să vă dați seama – aceasta este problema cheie.

Și acesta a fost un bug mic, dar cu adevărat enervant.

Se pare că un document necinstit poate spune lucruri de genul „Vreau să creez o ieșire și vreau să o pun într-un nume de fișier XYZ”.

Dar dacă puneți, la începutul numelui fișierului, %pipe%și *apoi* numele fișierului...

… acel nume de fișier devine numele unei comenzi de rulat care va procesa rezultatul Ghostscript în ceea ce se numește „pipeline”.

Poate părea o poveste lungă pentru o singură eroare, dar partea importantă a acestei povești este că, după remedierea acestei probleme: „Oh, nu! Trebuie să fim atenți dacă numele fișierului începe cu caracterele %pipe%, pentru că asta înseamnă de fapt că este o comandă, nu un nume de fișier.”

Acest lucru ar putea fi periculos, deoarece ar putea provoca execuția de cod de la distanță.

Așa că au remediat acel bug și apoi cineva și-a dat seama: „Știi ce, bug-urile merg adesea în perechi sau în grupuri”.

Fie greșeli de codare similare în altă parte în același bit de cod, fie mai multe moduri de a declanșa eroarea originală.

Și atunci cineva din echipa Ghostscript Script și-a dat seama: „Știi ce, îi lăsăm și să scrie | [bara verticală, adică caracterul „țeavă”], de asemenea, numele comenzii spațiu, așa că trebuie să verificăm și asta.”

Deci a fost un plasture, urmat de un patch-to-patch.

Și acesta nu este neapărat un semn de rău din partea echipei de programare.

De fapt, este un semn că nu au făcut doar munca minimă, nu l-au semnat și te lasă să suferi cu cealaltă insectă și să aștepți până când a fost găsit în sălbăticie.

---

DOUG.  Și să nu crezi că am terminat de vorbit despre bug-uri, băiete, avem o doozie pentru tine!

Un patch Apple de urgență a apărut, Și apoi ne-apărut, iar apoi Apple a cam comentat, ceea ce înseamnă că sus este în jos și stânga este dreapta, Paul.

Urgent! Apple remediază gaura critică de zi zero în iPhone-uri, iPad-uri și Mac-uri

---

RAȚĂ.  Da, este un pic o comedie a erorilor.

Aproape, dar nu chiar, îmi pare rău pentru Apple pentru aceasta...

…dar din cauza insistenței lor de a spune cât mai puțin posibil (când nu spun deloc nimic), încă nu este clar a cui este vina.

Dar povestea sună așa: „Oh, nu! Există o zi 0 în Safari, în WebKit (motorul de browser care este folosit în fiecare browser de pe iPhone și în Safari pe Mac), iar escrocii/vânzătorii de programe spion/cineva se pare că folosește asta pentru un mare rău.”

Cu alte cuvinte, „look-and-be-pwned”, sau „drive-by install”, sau „zero-click infectie”, sau cum doriți să o numiți.

Deci, după cum știți, Apple are acum acest sistem Rapid Security Response (cel puțin pentru cele mai recente iOS, iPadOS și macOS) unde nu trebuie să creeze o actualizare completă a sistemului, cu un număr complet nou de versiune pe care nu îl puteți face niciodată downgrade. de la, de fiecare dată când există o zi 0.

Astfel, răspunsuri rapide de securitate.

Acestea sunt lucrurile pe care, dacă nu funcționează, le poți elimina ulterior.

Celălalt lucru este că, în general, sunt foarte mici.

Grozav!

Problema este... se pare că, deoarece aceste actualizări nu primesc un număr nou de versiune, Apple a trebuit să găsească o modalitate de a indica faptul că ați instalat deja Rapid Security Response.

Deci, ceea ce fac ei este să iei numărul de versiune, cum ar fi iOS 16.5.1, și adaugă după el un caracter spațiu și apoi (a).

Și cuvântul pe stradă este că unele site-uri web (nu le voi numi pentru că toate acestea sunt auzite)...

… când examinau User-Agent șir în Safari, care include (a) doar pentru a fi complet, a spus: „Woooooa! Ceea ce este (a) faci într-un număr de versiune?”

Așadar, unii utilizatori raportau unele probleme, iar Apple aparent tras actualizarea.

Apple scoate în tăcere cea mai recentă actualizare zero-day – ce acum?

Și apoi, după o mulțime de confuzie, și un alt articol despre Naked Security, și nimeni nu știa ce se întâmplă... [Râsete]

… Apple a publicat în sfârșit HT21387, un buletin de securitate pe care l-au produs înainte de a avea efectiv patch-ul pregătit, ceea ce în mod normal nu o fac.

Dar a fost aproape mai rău decât să nu spună nimic, pentru că ei au spus: „Din cauza acestei probleme, Răspuns rapid de securitate (b) va fi disponibil în curând pentru a rezolva această problemă.”

Si asta e. [RÂSETE]

Ei nu prea spun care este problema.

Ei nu spun dacă asta se datorează User-Agent șiruri pentru că, dacă da, poate că problema este mai mult cu site-ul de la celălalt capăt decât cu Apple înșiși?

Dar Apple nu spune.

Deci nu știm dacă este vina lor, a serverului web sau a amândoi.

Și ei spun doar „în curând”, Doug.

---

DOUG.  Acesta este un moment bun pentru a aduce întrebarea cititorului nostru.

Despre această poveste Apple, cititorul JP întreabă:

De ce site-urile web trebuie să vă inspecteze atât de mult browser-ul?

Este prea snoopy și se bazează pe vechile moduri de a face lucrurile.

Ce spui de asta, Paul?

---

RAȚĂ.  Chiar și eu m-am întrebat acea întrebare și am căutat: „Cu ce ​​ar trebui să faci User-Agent siruri de caractere?"

Se pare că este o problemă perenă pentru site-urile web în care încearcă să fie super inteligenți.

Așa că m-am dus la MDN (ceea ce a fost, cred, Rețeaua Mozilla pentru dezvoltatori, dar acum este un site comunitar), care este una dintre cele mai bune resurse dacă vă întrebați: „Ce zici de anteturile HTTP? Ce zici de HTML? Ce zici de JavaScript? Ce zici de CSS? Cum se potrivesc toate acestea?”

Iar sfatul lor, pur și simplu, este: „Vă rog, toată lumea, încetați să vă uitați la User-Agent şir. Faci doar o lansetă pentru spatele tău și o grămadă de complexitate pentru toți ceilalți.”

Deci de ce se uită site-urile User-Agent?

[WRY] Cred că pentru că pot. [RÂSETE]

Când creezi un site web, întreabă-te: „De ce mă duc în această groapă de iepure de a avea un mod diferit de a răspunde, bazat pe un șir ciudat undeva în User-Agent? "

Încercați să gândiți dincolo de asta și viața va fi mai simplă pentru noi toți.

---

DOUG.  Bine, foarte filozofic!

Mulțumesc, JP, pentru că ai trimis asta.

Dacă aveți o poveste, un comentariu sau o întrebare interesantă pe care doriți să o trimiteți, ne-ar plăcea să o citim pe podcast.

Puteți trimite un e-mail la tips@sophos.com, puteți comenta oricare dintre articolele noastre sau ne puteți contacta pe social: @nakedsecurity.

Acesta este spectacolul nostru de astăzi; multumesc mult pentru ascultare.

Pentru Paul Ducklin, sunt Doug Aamoth și vă reamintește: până data viitoare...

---

AMBII.  Rămâi în siguranță!

[MODEM MUZICAL]