S3 Ep146: Расскажите нам об этом взломе! (Если вы хотите.)

S3 Ep146: Расскажите нам об этом взломе! (Если вы хотите.)

Отметка времени: 3 августа 2023 г., 1:56
С3, эпизод 146: Расскажите нам об этом нарушении! (Если хотите.) Разведка данных PlatoBlockchain. Вертикальный поиск. Ай.
by Пол Даклин

СТРАННО, НО ПРАВДА

Нет аудиоплеера ниже? Слушать непосредственно на Саундклауд.

С Дугом Аамотом и Полом Даклином. Интро и аутро музыка Эдит Мадж.

Вы можете слушать нас на Soundcloud, Подкасты Apple, Подкасты Google, Spotify и везде, где есть хорошие подкасты. Или просто скинь URL нашего RSS-канала в свой любимый подкэтчер.

ПРОЧИТАЙТЕ СТЕНОКРИФИК

ДУГ.  Обновления Firefox, другое Ошибка с впечатляющим названием, и SEC требует раскрытия информации.

Все это и многое другое в подкасте Naked Security.

[МУЗЫКАЛЬНЫЙ МОДЕМ]

Добро пожаловать в подкаст, все.

Я Дуг Аамот; он Пол Даклин.

Пол, надеюсь, ты будешь мной гордиться… Я знаю, что ты увлекаешься велоспортом.

Вчера я проехал на велосипеде 10 американских миль, что, по-моему, составляет примерно 16 км, и все это время тащил маленького, но не тяжелого ребенка за велосипедом в двухколесной коляске.

И я все еще жив, чтобы рассказать историю.

Это далеко ездить на велосипеде, Пол?

УТКА.  [СМЕЕТСЯ] Это зависит от того, как далеко вам действительно нужно было зайти.

Например, если бы вам нужно было пройти 1200 метров и вы заблудились… [СМЕХ]

Мой энтузиазм по поводу езды на велосипеде очень высок, но это не значит, что я намеренно еду дальше, чем нужно, потому что это мой основной способ передвижения.

Но 10 км нормально.

Знаете ли вы, что американские мили и британские мили на самом деле идентичны?

ДУГ.  Это хорошо знать!

УТКА.  И так было с 1959 года, когда группа стран, включая, я думаю, Канаду, Южную Африку, Австралию, Соединенные Штаты и Великобританию, собрались вместе и договорились стандартизировать «международный дюйм».

Я думаю, что имперский дюйм стал очень, очень немного меньше, а американский дюйм стал очень, очень немного длиннее, в результате чего дюйм (и, следовательно, ярд, фут и миля)…

…все они определены с точки зрения метра.

Один дюйм равен ровно 25.4 мм.

Достаточно трех значащих цифр.

ДУГ.  Захватывающий!

Что ж, говоря об увлекательном, пришло время для нашего Эта неделя в истории технологий сегмент.

На этой неделе, 01 августа 1981 года, музыкальное телевидение, также известное как MTV, запустило эфир в рамках пакетов американского кабельного и спутникового телевидения и представило публике музыкальные клипы.

Первый играл [ПОЕТ, НА САМОМ ДЕЛЕ ХОРОШО] «Видео убило радиозвезду» группы The Buggles.

В то время это было уместно, хотя сейчас это иронично, поскольку MTV редко показывает музыкальные клипы и вообще не показывает новые музыкальные клипы, Пол.

УТКА.  Да, это иронично, не правда ли, что кабельное телевидение (другими словами, где у вас были провода, идущие под землей в ваш дом) убило радио (или беспроводную) звезду, и теперь это выглядит так, как если бы кабельное телевидение, MTV… это как бы вымерло, потому что у всех есть мобильные сети, работающие без проводов.

Что посеешь, то и пожнешь, Дуглас.

ДУГ.  Хорошо, давайте поговорим об этих обновлениях Firefox.

В этом месяце мы получаем двойную дозу обновлений Firefox, потому что они находятся в 28-дневном цикле:

Firefox исправляет множество недостатков в первом из двух выпусков этого месяца

Никаких нулевых дней в этом первом раунде за воротами, но есть несколько обучающих моментов.

Мы перечислили, может быть, половину из них в вашей статье, и мне особенно запомнился один из них: Потенциальные разрешения запрашивают обход с помощью кликджекинга.

УТКА.  Да, снова старый добрый кликджекинг.

Мне нравится этот термин, потому что он в значительной степени описывает, что это такое.

Вы щелкаете где-то, думая, что нажимаете кнопку или невинную ссылку, но вы непреднамеренно разрешаете произойти чему-то, что не очевидно из того, что отображается на экране под курсором мыши.

Проблема здесь, по-видимому, заключается в том, что при некоторых обстоятельствах, когда диалоговое окно разрешений должно было появиться из Firefox, например, скажите: «Вы действительно уверены, что хотите разрешить этому веб-сайту использовать вашу камеру? есть доступ к вашему местоположению? использовать микрофон?»…

…все те вещи, о которых, да, вы хотите, чтобы вас спросили.

По-видимому, если бы вы могли довести браузер до точки производительности (опять же, производительность против безопасности), где он изо всех сил пытался не отставать, вы могли бы отложить появление всплывающего окна разрешений.

Но имея кнопку в том месте, где должно появиться всплывающее окно, и заманив пользователя щелкнуть ее, вы можете привлечь щелчок, но щелчок будет отправлен в диалоговое окно разрешений, которое вы еще не видели.

Что-то вроде состояния визуальной гонки, если хотите.

ДУГ.  Хорошо, а другой был: Внеэкранный холст мог бы обойти ограничения на кросс-происхождение.

Далее вы говорите, что одна веб-страница может просматривать изображения, отображаемые на другой странице с другого сайта.

УТКА.  Этого не должно было случиться, не так ли?

ДУГ.  Нет!

УТКА.  На жаргоне для этого используется термин «политика того же происхождения».

Если вы запускаете веб-сайт X и отправляете мне целую кучу JavaScript, который устанавливает целую кучу файлов cookie, тогда все это хранится в браузере.

Но только дальнейший JavaScript с сайта X может прочитать эти данные.

Тот факт, что вы просматриваете сайт X на одной вкладке и сайт Y на другой вкладке, не позволяет им заглянуть в то, что делает другой, а браузер должен разделять все эти вещи.

Очевидно, это очень важно.

И здесь кажется, что, насколько я понимаю, если бы вы рендерили страницу, которая еще не отображалась…

… закадровый холст, на котором вы создаете, если хотите, виртуальную веб-страницу, а затем в какой-то момент в будущем вы говорите: «Прямо сейчас я готов ее отобразить», и бинго, страница появляется полностью в один раз.

Проблема возникает при попытке убедиться, что материал, который вы визуализируете невидимо, не приведет к непреднамеренной утечке данных, даже если в конечном итоге он никогда не будет отображаться пользователю.

Они заметили это, или это было ответственно раскрыто, и это было исправлено.

И эти две, я думаю, были включены в так называемые уязвимости «Высокого» уровня.

Большинство остальных были «умеренными», за исключением традиционного для Mozilla: «Мы обнаружили множество ошибок с помощью фаззинга и автоматизированных методов; мы не исследовали их, чтобы выяснить, можно ли их вообще эксплуатировать, но мы готовы предположить, что кто-то, кто достаточно старался, мог это сделать».

Это признание, которое нам обоим так нравится, Даг… потому что потенциальные ошибки стоит устранять, даже если в глубине души вы уверены, что никто никогда не догадается, как их использовать.

Потому что в кибербезопасности никогда не говори никогда!

ДУГ.  Хорошо, вы ищете Firefox 116 или, если вы используете расширенную версию, 115.1.

То же самое с Тандербёрдом.

И давайте перейдем к… о, чувак!

Павел, это интересно!

У нас есть новый BWAIN после двойного BWAIN на прошлой неделе: ошибка с впечатляющим названием.

Это называется Столкновение+Сила:

Производительность и безопасность снова сталкиваются в атаке «Collide+Power»

УТКА.  [СМЕЕТСЯ] Да, это интригует, не так ли, что они выбрали имя со знаком плюс?

ДУГ.  Да, трудно сказать.

УТКА.  У вас не может быть знака плюс в вашем доменном имени, поэтому доменное имя collidepower.com.

ДУГ.  Хорошо, позвольте мне прочитать слова самих исследователей, и я цитирую:

Корень проблемы заключается в том, что общие компоненты ЦП, такие как система внутренней памяти, объединяют данные злоумышленника и данные любого другого приложения, что приводит к комбинированному сигналу утечки в энергопотреблении.

Таким образом, зная собственные данные, злоумышленник может определить точные значения данных, используемых в других приложениях.

УТКА.  [СМЕЕТСЯ] Да, это имеет большой смысл, если вы уже знаете, о чем они говорят!

Чтобы попытаться объяснить это на простом английском языке (надеюсь, я понял это правильно)…

Это сводится к проблемам производительности и безопасности, о которых мы говорили ранее, включая подкаст прошлой недели с этим Зенблед ошибка (кстати, гораздо более серьезная):

Zenbleed: как стремление к производительности процессора может поставить под угрозу ваши пароли

ЦП хранит целую кучу данных («кэшируется» — технический термин для этого), так что ЦП не нужно идти и извлекать их позже.

Так что есть много внутренних вещей, которыми вы не можете управлять; процессор позаботится об этом за вас.

И суть этой атаки выглядит примерно так…

Что делает злоумышленник, так это получает доступ к различным ячейкам памяти таким образом, чтобы внутреннее кэш-хранилище запоминало эти ячейки памяти, поэтому ему не нужно было снова считывать их из ОЗУ, если они быстро используются повторно.

Таким образом, злоумышленник каким-то образом заполняет эти значения кэша известными шаблонами битов, известными значениями данных.

И затем, если у жертвы есть память, которую *они* часто используют (например, байты в ключе расшифровки), если их значение внезапно оценивается ЦП как более вероятное повторное использование, чем одно из значений злоумышленников, он выталкивает значение злоумышленника из этого внутреннего сверхбыстрого кэша и помещает туда новое значение, значение жертвы.

И то, что открыли эти исследователи (и как бы неправдоподобно ни звучала атака в теории и на практике, обнаружить это довольно удивительно)…

Количество битов, отличающихся между старым значением в кэше и новым значением *меняет количество энергии, необходимой для выполнения операции обновления кэша*.

Поэтому, если вы можете достаточно точно измерить энергопотребление ЦП, вы можете сделать выводы о том, какие значения данных были записаны во внутреннюю, скрытую, иначе невидимую кэш-память внутри ЦП, что, по мнению ЦП, вас не касается.

Довольно интригующе, Даг!

ДУГ.  Отлично.

Хорошо, есть некоторые смягчения.

Этот раздел начинается так: «Прежде всего, вам не о чем беспокоиться», но также затронуты почти все процессоры.

УТКА.  Да, это интересно, не так ли?

Там написано «прежде всего» (обычный текст) «являетесь" (курсивом) "не нужно беспокоиться" (жирным шрифтом). [СМЕЕТСЯ]

Так что, по сути, никто не собирается атаковать вас этим, но, возможно, разработчики ЦП захотят подумать об этом в будущем, если есть какой-то способ обойти это. [СМЕЕТСЯ]

Я подумал, что это интересный способ выразить это.

ДУГ.  Хорошо, поэтому смягчение в основном заключается в отключении гиперпоточности.

Вот как это работает?

УТКА.  Насколько я вижу, гиперпоточность делает это намного хуже.

Мы уже знаем, что гиперпоточность представляет собой проблему безопасности, потому что ранее было множество уязвимостей, зависящих от нее.

Это когда ЦП, скажем, с восемью ядрами притворяется, что у него 16 ядер, но на самом деле они не находятся в отдельных частях чипа.

На самом деле это пары псевдоядер, в которых больше электроники, больше транзисторов, больше конденсаторов, чем, возможно, было бы хорошей идеей из соображений безопасности.

Если вы используете старую добрую OpenBSD, я думаю, они решили, что гиперпоточность слишком сложно защитить с помощью смягчения последствий; можно было бы просто выключить.

К тому времени, когда вы примете удары по производительности, необходимые для смягчения последствий, у вас может просто не быть этого.

Так что я думаю что отключение гиперпоточности значительно защитит вас от этой атаки.

Второе, что вы можете сделать, это, как пишут авторы жирным шрифтом: не беспокойся. [СМЕХ]

ДУГ.  Это отличное смягчение! [СМЕЕТСЯ]

УТКА.   Там есть отличная часть (мне придется прочитать это, Дуг)…

Есть отличный момент, когда сами исследователи обнаружили, что для получения какой-либо надежной информации они получали данные со скоростью где-то между 10 битами и 100 битами в час из системы.

Я считаю, что, по крайней мере, у процессоров Intel есть смягчение, которое, я думаю, поможет в этом.

И это возвращает нас к MSR, тем регистрам для конкретных моделей, о которых мы говорили на прошлой неделе с Zenbleed, где был волшебный бит, который вы могли включить, говорящий: «Не делайте рискованные вещи».

Существует функция, которую вы можете установить под названием RAPL-фильтрация, а RAPL — это сокращение от текущая средняя предельная мощность.

Он используется программами, которые хотят видеть, как работает ЦП для целей управления питанием, поэтому вам не нужно вламываться в серверную и подключать монитор мощности к проводу с небольшим щупом на материнской плате. [СМЕЕТСЯ]

На самом деле вы можете заставить процессор сообщать вам, сколько энергии он использует.

У Intel, по крайней мере, есть этот режим, называемый фильтрацией RAPL, который преднамеренно вносит джиттер или ошибку.

Таким образом, вы получите результаты, которые в среднем точны, но каждое отдельное значение будет ошибочным.

ДУГ.  Давайте теперь обратим наше внимание на эту новую сделку SEC.

Комиссия по безопасности и обмену требует четырехдневных ограничений на раскрытие информации о нарушениях кибербезопасности:

SEC требует четырехдневный предел раскрытия информации о нарушениях кибербезопасности

Но (А) вы сами решаете, достаточно ли серьезна атака, чтобы о ней сообщать, и (Б) четырехдневный срок не начинается, пока вы не решите, что что-то достаточно важное, о чем нужно сообщить, Пол.

Итак, неплохой первый старт, но, возможно, не такой агрессивный, как хотелось бы?

УТКА.  Я согласен с твоей оценкой, Даг.

Это звучало великолепно, когда я впервые посмотрел на это: «Эй, у вас есть это четырехдневное раскрытие информации, если у вас есть утечка данных или проблема с кибербезопасностью».

Но затем был этот отрывок о том, что «ну, это следует рассматривать как существенную проблему», юридический термин, который означает, что это действительно имеет достаточное значение, чтобы его стоило раскрыть в первую очередь.

И затем я добрался до этого фрагмента (и это не очень длинный пресс-релиз SEC), который вроде как сказал: «Как только вы решили, что вам действительно следует сообщить об этом, у вас есть еще четыре дня». сообщить об этом».

Теперь я думаю, что с юридической точки зрения это будет работать не совсем так. Дуг

Может быть, мы немного резковаты в статье?

ДУГ.  Вы подробно рассказываете об атаках программ-вымогателей, говоря, что существует несколько разных типов, поэтому давайте поговорим об этом… это важно для определения того, является ли это серьезной атакой, о которой вам нужно сообщить.

Итак, какие программы-вымогатели мы рассматриваем?

УТКА.  Да, просто чтобы объяснить, я думал, что это важная часть этого.

Не хочу указывать пальцем на SEC, но это то, что, похоже, еще не было признано во многих или даже в каких-либо странах…

…независимо от того, достаточно ли просто подвергнуться атаке программы-вымогателя, чтобы стать существенной утечкой данных.

Этот документ SEC на самом деле вообще не упоминает «R-слово».

Там нет упоминания о программах-вымогателях.

А программы-вымогатели — это проблема, не так ли?

В статье я хотел прояснить, что слово «программа-вымогатель», которое мы до сих пор широко используем, уже не совсем то слово, не так ли?

Вероятно, нам следует назвать это «программой для шантажа» или просто «кибервымогательством».

Я выделяю три основных типа атак программ-вымогателей.

Тип A — это когда мошенники не крадут ваши данные, они просто шифруют ваши данные на месте.

Таким образом, им не нужно загружать одну вещь.

Они шифруют все это таким образом, что могут предоставить вам ключ дешифрования, но вы не увидите ни одного байта данных, покидающих вашу сеть, как явный признак того, что происходит что-то плохое.

Затем идет атака программы-вымогателя типа B, когда мошенники говорят: «Знаете что, мы не собираемся рисковать, записывая все файлы, будучи пойманными на этом. Мы просто собираемся украсть все данные, и вместо того, чтобы платить деньги, чтобы вернуть ваши данные, вы платите за наше молчание».

И затем, конечно же, атака программ-вымогателей типа C, а именно: «И A, и B».

Вот где мошенники крадут ваши данные * и * они шифруют их и говорят: «Эй, если не одна вещь может вызвать у вас проблемы, это другая».

И было бы неплохо знать, где то, что, по моему мнению, юристы называют существенностью (другими словами, юридическое значение или юридическая значимость для конкретного нормативного акта)…

…где это срабатывает, в случае атак программ-вымогателей.

ДУГ.  Что ж, это хорошее время, чтобы привлечь к этой истории нашего Комментатора недели, Адама.

Адам делится своими мыслями о различных типах атак программ-вымогателей.

Итак, начиная с типа А, где это просто атака программ-вымогателей, когда они блокируют файлы и оставляют записку о выкупе, чтобы их разблокировать…

Адам говорит:

Если компания пострадала от программы-вымогателя, не обнаружила доказательств утечки данных после тщательного расследования и восстановила свои данные, не заплатив выкуп, то я был бы склонен сказать: «Нет [разглашение требуется]».

УТКА.  Вы сделали достаточно?

ДУГ.  Да.

УТКА.  Вы не совсем предотвратили это, но вы сделали следующий лучший шаг, так что вам не нужно говорить своим инвесторам….

Ирония в том, Дуг, что если бы вы сделали это как компания, вы могли бы сказать своим инвесторам: «Эй, угадайте, что? У нас была атака вымогателей, как и у всех, но мы вышли из нее, не заплатив денег, не связавшись с мошенниками и не потеряв никаких данных. Так что, хотя мы и не были идеальными, мы были лучшим вариантом».

И на самом деле добровольное раскрытие информации может иметь большое значение, даже если закон гласит, что вы не обязаны этого делать.

ДУГ.  А затем, для типа Б, угол шантажа, Адам говорит:

Это сложная ситуация.

Теоретически я бы сказал: «Да».

Но это, вероятно, приведет к большому количеству разоблачений и нанесению ущерба деловой репутации.

Так что, если у вас есть куча компаний, которые говорят: «Смотрите, нас поразила программа-вымогатель; мы не думаем, что случилось что-то плохое; мы платили мошенникам, чтобы они молчали; и мы верим, что они не собираются проболтаться», так сказать…

…это создает сложную ситуацию, потому что это может нанести ущерб репутации компании, но если бы они не раскрыли это, никто бы и не узнал.

УТКА.  И я вижу, что Адам чувствовал то же самое, что и вы, и я по поводу дела: «У вас есть четыре дня, и не более четырех дней… с момента, когда, по вашему мнению, эти четыре дня должны начаться».

Он и это прогрохотал, не так ли?

Он сказал:

Некоторые компании, вероятно, примут тактику, чтобы значительно отсрочить принятие решения о наличии существенного воздействия.

Итак, мы не совсем знаем, как это будет происходить, и я уверен, что SEC тоже не совсем знает.

Им может потребоваться несколько тестовых случаев, чтобы выяснить, какое количество бюрократии является правильным, чтобы убедиться, что мы все изучаем то, что нам нужно знать, не заставляя компании раскрывать каждый небольшой ИТ-сбой, который когда-либо происходит, и хоронить нас всех в куча бумажной работы.

Что по существу приводит к усталости от разрыва, не так ли?

Если у вас так много плохих новостей, которые не так уж важны, просто захлестывают вас…

…так или иначе, легко пропустить действительно важные вещи, которые находятся среди всех «мне действительно нужно было услышать об этом?»

Время покажет, Дуглас.

ДУГ.  Да, хитрый!

И я знаю, что говорю это все время, но мы будем следить за этим, потому что будет интересно наблюдать, как это разворачивается.

Итак, спасибо, Адам, за присланный комментарий.

УТКА.  Да, в самом деле!

ДУГ.  Если у вас есть интересная история, комментарий или вопрос, который вы хотели бы отправить, мы будем рады прочитать в подкасте.

Вы можете написать на почту tip@sophos.com, прокомментировать любую из наших статей или связаться с нами в социальных сетях: @nakedsecurity.

Это наше шоу на сегодня; большое спасибо, что выслушали.

Для Пола Даклина я Дуг Аамот, напоминаю вам до следующего раза…

ОБА.  Оставайтесь в безопасности.

[МУЗЫКАЛЬНЫЙ МОДЕМ]

Отметка времени:

Больше от Голая Безопасность