S3, эпизод 139: правила паролей похожи на бег под дождем?

Нет аудиоплеера ниже? Слушать непосредственно на Саундклауд.

ДУГ.  Вторник патчей, возмездие за киберпреступность и веселье с паролями.

Все это и многое другое в подкасте Naked Security.

[МУЗЫКАЛЬНЫЙ МОДЕМ]

Добро пожаловать в подкаст, все.

Я Дуг Аамот; он Пол Даклин.

Павел, как дела сегодня?

---

УТКА.  Даг, я не должен этого говорить… но потому что я знаю, что сейчас придет. Эта неделя в истории технологий, потому что вы дали мне предварительный просмотр, я очень взволнован!

---

ДУГ.  Хорошо, хорошо, давайте приступим к делу!

На этой неделе, 15 июня, еще в 1949 году, Джей Форрестер, профессор Массачусетского технологического института, или Массачусетского технологического института, записал…

---

УТКА.  [МАСТЕРСКАЯ ДРАМА] Не говори так, как будто ты из Бостона и все самодовольствуешься этим, Дуг? [СМЕХ]

---

ДУГ.  Эй, это красивый кампус; Я был там много раз.

---

УТКА.  Это тоже своего рода знаменитая инженерная школа, не так ли? [СМЕЕТСЯ]

---

ДУГ.  Это точно!

Джей Форрестер записал предложение по «ядерной памяти» в своем блокноте, а позже установил память на магнитных сердечниках в компьютер Whirlwind Массачусетского технологического института.

Это изобретение сделало компьютеры более надежными и быстрыми.

Базовая память оставалась популярным выбором для компьютерной памяти до разработки полупроводников в 1970-х годах.

---

УТКА.  Это фантастически простая идея, если вы знаете, как она работает.

Крошечные ферритовые магнитные сердечники, как в центре трансформатора… как сверхминиатюрные шайбы.

Они были намагничены либо по часовой стрелке, либо против часовой стрелки, чтобы означать ноль или единицу.

Это буквально было магнитное хранилище.

И у него была странная особенность, Дуглас, потому что феррит, по сути, образует постоянный магнит…

…вы можете повторно намагнитить его, но когда вы отключите питание, он останется намагниченным.

Так он был энергонезависим!

Если у вас произошел сбой питания, вы можете перезагрузить компьютер и продолжить с того места, на котором остановились.

Удивительно!

---

ДУГ.  Выдающийся, да… это действительно круто.

---

УТКА.  Судя по всему, первоначальный план Массачусетского технологического института состоял в том, чтобы взимать с этой идеи роялти в размере 0.02 доллара США за бит.

Вы можете себе представить, насколько дорогим будет, скажем, 64-гигабайтная память iPhone?

Это будут миллиарды долларов! [СМЕЕТСЯ]

---

ДУГ.  Unreal.

Что ж, немного интересной истории, но давайте перенесем ее в наши дни.

Не так давно… Вторник исправлений Microsoft.

Нет нулевых дней, но все же множество исправлений, Павел:

Патч вторник исправляет 4 критические ошибки RCE и кучу дыр в Office

---

УТКА.  Что ж, никаких нулевых дней в этом месяце, если вы проигнорируете дыру удаленного выполнения кода Edge, о которой мы говорили на прошлой неделе.

---

ДУГ.  Hmmmmmm.

---

УТКА.  Технически, это не часть вторника исправлений…

… но всего было 26 ошибок удаленного выполнения кода [RCE] и 17 ошибок повышения привилегий [EoP].

В этом уже замешаны мошенники, но они еще мало что могут сделать, поэтому они затем используют ошибку EoP, чтобы получить сверхспособности в вашей сети, и делают гораздо более подлые вещи.

Четыре из этих ошибок удаленного выполнения кода были названы Microsoft «Критическими», что означает, что если вы один из тех людей, которые до сих пор любят делать свои патчи в определенном порядке, мы предлагаем вам начать именно с них.

Хорошая новость о четырех критических исправлениях заключается в том, что три из них относятся к одному и тому же компоненту Windows.

Насколько я могу судить, это была куча связанных ошибок, предположительно обнаруженных во время проверки кода этого компонента.

Это относится к службе обмена сообщениями Windows, если вы используете ее в своей сети.

---

ДУГ.  И нас всех коллективно поблагодарили за наше терпение в связи с фиаско SketchUp, о существовании которого я не знал до сих пор.

---

УТКА.  Как и вы, Даг, я никогда не пользовался программой SketchUp, которая, как мне кажется, является сторонней программой для трехмерной графики.

Кто знал, что было бы здорово иметь возможность вставлять 3D-изображения SketchUp в документы Word, Excel, PowerPoint?

Как вы можете себе представить, с совершенно новым форматом файлов для анализа, интерпретации, обработки и рендеринга внутри Office…

… Microsoft представила ошибку, которая была исправлена ​​как CVE-2023-33146.

Но скрытая история, стоящая за историей, если хотите, заключается в том, что 01 июня 2023 года Microsoft объявила, что:

Возможность вставки графики SketchUp временно отключена в Word, Excel, PowerPoint и Outlook для Windows и Mac.

Мы ценим ваше терпение, поскольку мы работаем над обеспечением безопасности и функциональности этой функции.

Я рад, что Microsoft ценит мое терпение, но я, возможно, хотел бы, чтобы сама Microsoft была немного более терпеливой, прежде чем внедрять эту функцию в Office.

Я бы хотел, чтобы они положили его туда *после* того, как он был в безопасности, а не положили его, чтобы проверить, в безопасности ли он, и выяснить, как вы говорите (сюрприз! Сюрприз!), что это не так.

---

ДУГ.  Отлично.

Остановимся на теме терпения.

Я сказал, что мы будем «следить за этим», и я надеялся, что нам не нужно будет следить за этим.

Но мы должны немного аллитерировать, как вы сделали в заголовке.

Дополнительные средства защиты MOVEit: опубликованы новые исправления для дополнительной защиты, Павел.

Дополнительные средства защиты MOVEit: опубликованы новые исправления для дополнительной защиты

---

УТКА.  Это снова та же старая добрая проблема MOVEit: Ошибка внедрения SQL.

Это означает, что если вы используете программу MOVEit Transfer и не исправили ее, то мошенники, которые могут получить доступ к веб-интерфейсу, могут обманом заставить ваш сервер делать плохие вещи…

…вплоть до встраивания веб-оболочки, которая позволит им зайти позже и делать все, что они хотят.

Как вы знаете, был выпущен CVE, и Progress Software, создатели MOVEit, выпустили патч для борьбы с известным эксплойтом.

Теперь у них есть еще один патч для работы с похожими ошибками, которые, насколько им известно, мошенники еще не нашли (но если бы они искали достаточно внимательно, они могли бы).

И, как бы странно это ни звучало, когда вы обнаружите, что в определенной части вашего программного обеспечения есть ошибка определенного типа, вы не должны удивляться, если, копнув глубже…

… вы обнаружите, что программист (или команда программистов, которые работали над ним в то время, когда появилась ошибка, о которой вы уже знаете) совершили аналогичные ошибки примерно в одно и то же время.

В этом случае я бы сказал, что компания Progress Software молодец, что пытается решить эту проблему заранее.

Progress Software только что сказал: «Все клиенты Move It должны установить новый патч, выпущенный 09 июня 2023 года.

---

ДУГ.  Ладно, думаю, мы… будем следить за этим!

Пол, помоги мне.

Я в 2023 году, читаю в Заголовок «Голая безопасность» что-то о «Mt. Гокс».

Что происходит со мной?

Возвращение к истории: Министерство юстиции США снимает обвинения в киберпреступлениях на Mt.Gox

---

УТКА.  Гора Гокс!

«Magic The Gathering Online Exchange», Дуг, как это было…

---

ДУГ.  [СМЕЕТСЯ] Конечно!

---

УТКА.  …где можно было торговать картами Magic The Gathering.

Этот домен был продан, и те, у кого долгая память, знают, что он превратился в самую популярную и, безусловно, самую большую биржу биткойнов на планете.

Им руководил французский эмигрант из Японии Марк Карпелес.

Все шло как по маслу, пока в 2014 году не взорвалось облаком криптовалютной пыли, когда они поняли, что, грубо говоря, все их биткойны исчезли.

---

ДУГ.  [СМЕЕТСЯ] Я не должен смеяться!

---

УТКА.  647,000 XNUMX из них или около того.

И даже тогда они уже стоили около 800 долларов за штуку, так что это была «затяжка» на полмиллиарда долларов США.

Интересно, что в то время многие указывали на саму команду Mt.Gox, говоря: «О, это должно быть внутренняя работа».

И на самом деле, в первый день Нового года, кажется, в 2015 году, японская газета Yomiuri Shimbun на самом деле опубликовала статью, в которой говорилось: «Мы изучили это, и 1% потерь можно объяснить оправданием, которое они придумали; в остальном мы официально заявляем, что это была внутренняя работа».

Теперь эта статья, которую они опубликовали и которая вызвала много драмы, потому что это довольно драматическое обвинение, теперь выдает ошибку 404 [HTTP-страница не найдена], когда вы посещаете ее сегодня.

---

ДУГ.  Очень интересно!

---

УТКА.  Так что я не думаю, что они стоят на этом больше.

И действительно, Министерство юстиции США наконец-то, спустя все эти годы, фактически обвинило двух российских граждан в краже всех биткойнов.

Таким образом, похоже, что Марк Карпелес получил по крайней мере частичное оправдание благодаря любезности Министерства юстиции США, потому что они совершенно определенно привлекли этих двух русских парней к обвинению в этом преступлении все эти годы назад.

---

ДУГ.  Это увлекательное чтение.

Так что проверьте это на Naked Security.

Все, что вам нужно сделать, это найти, как вы уже догадались, «Mt. Гокс».

Давайте остановимся на теме киберпреступности, так как один из главных преступников, стоящих за банковским вредоносным ПО Gozi, попал в тюрьму через десять долгих лет Пол:

«ИТ-руководитель» банковской вредоносной программы Gozi наконец-то заключен в тюрьму после более чем 10 лет

---

УТКА.  Да… это было немного похоже на ожидание автобуса.

Две поразительные истории типа «вау, это случилось десять лет назад, но в конце концов мы его достанем» пришли сразу. [СМЕХ]

И я подумал, что это важно написать еще раз, просто чтобы сказать: «Это Министерство юстиции; они не забыли о нем».

На самом деле. Его арестовали в Колумбии.

Я полагаю, что он нанес визит, и он был в аэропорту Боготы, и я предполагаю, что пограничники подумали: «О, это имя в списке наблюдения»!

И поэтому, видимо, колумбийские официальные лица подумали: «Давайте свяжемся с дипломатической службой США».

Они сказали: «Эй, у нас здесь парень по имени (я не буду называть его имя — это в статье).. вы интересовались им, в связи с очень серьезными многомиллионными преступлениями с вредоносным ПО. . Вы, случайно, все еще не заинтересованы?

И, что удивительно, Дуг, США действительно были очень заинтересованы.

Итак, он был экстрадирован, предстал перед судом, признал себя виновным, и теперь ему вынесен приговор.

Он получит всего три года тюрьмы, что может показаться легким приговором, и ему придется вернуть более 3,000,000 XNUMX XNUMX долларов.

Я не знаю, что произойдет, если он этого не сделает, но я думаю, что это просто напоминание о том, что если бежать и прятаться от преступников, связанных с вредоносным ПО...

…ну, если против вас выдвинуты обвинения и вас разыскивают США, они не просто говорят: «Ах, прошло десять лет, мы могли бы и оставить это».

И преступлением этого парня было управление тем, что на жаргоне известно как «пуленепробиваемые хосты», Дуг.

По сути, это когда вы своего рода интернет-провайдер, но, в отличие от обычного интернет-провайдера, вы изо всех сил пытаетесь стать движущейся мишенью для правоохранительных органов, черных списков и уведомлений об удалении от обычных интернет-провайдеров.

Итак, вы предоставляете услуги, но вы держите их, если хотите, перемещаясь и перемещаясь по Интернету, чтобы мошенники платили вам комиссию, и они знали, что домены, которые вы размещаете для них, будут просто продолжаться. работает, даже если правоохранительные органы преследуют вас.

---

ДУГ.  Ладно, снова отличные новости.

Пол, когда мы завершаем наши сегодняшние истории, вы столкнулись с очень трудным, нюансированным, но важный вопрос про пароли.

А именно, должны ли мы менять их постоянно по очереди, может быть, раз в месяц?

Или заблокировать действительно сложные для начала, а затем оставить в покое?

Мысли о запланированной смене пароля (не называйте это ротацией!)

---

УТКА.  Хотя это звучит как своего рода старая история, и действительно, мы посещали ее много раз прежде, причина, по которой я написал ее, заключается в том, что читатель связался со мной, чтобы спросить об этом.

Он сказал: «Я не хочу выступать за 2FA; Я не хочу идти на поводу у менеджеров паролей. Это отдельные вопросы. Я просто хочу знать, как урегулировать, если хотите, войну за территорию между двумя фракциями внутри моей компании, когда одни люди говорят, что нам нужно правильно вводить пароли, а другие просто говорят: «Эта лодка уплыла, это слишком сложно, мы просто заставим людей изменить их, и этого будет достаточно».

Поэтому я подумал, что действительно стоит написать об этом.

Судя по количеству комментариев на Naked Security и в социальных сетях, многие ИТ-команды все еще борются с этим.

Если вы просто заставляете людей менять свои пароли каждые 30 или 60 дней, имеет ли какое-то значение, выберут ли они пароль, который легко взломать, если их хэш будет украден?

Пока они не выбирают password or secret или одно из имен десяти лучших кошек в мире, может быть, это нормально, если мы заставим их изменить его на другой не очень хороший пароль, прежде чем мошенники смогут его взломать?

Может быть, этого достаточно?

Но у меня есть три причины, почему вы не можете исправить плохую привычку, просто следуя другой плохой привычке.

---

ДУГ.  Первый из ворот: Регулярная смена паролей не является альтернативой выбору и использованию надежных паролей. Павла.

---

УТКА.  Нет!

Вы можете сделать и то, и другое (и через минуту я приведу две причины, по которым я думаю, что принуждение людей к регулярному изменению их имеет другой набор проблем).

Но простое наблюдение заключается в том, что регулярная смена плохого пароля не делает его лучшим паролем.

Если вам нужен лучший пароль, выберите лучший пароль для начала!

---

ДУГ.  И вы говорите: Принуждение людей к регулярной смене паролей может убаюкать их вредными привычками.

---

УТКА.  Судя по комментариям, это именно та проблема, которая есть у многих ИТ-команд.

Если вы скажете людям: «Эй, вы должны менять свой пароль каждые 30 дней, и вам лучше выбрать хороший», все, что они сделают, это…

… они выберут хороший.

Они потратят неделю, запоминая это на всю оставшуюся жизнь.

А потом каждый месяц будут добавлять -01, -02, И так далее.

Поэтому, если мошенники взламывают или компрометируют один из паролей и видят подобную закономерность, они могут в значительной степени определить, какой у вас сегодня пароль, если они знают ваш пароль шестимесячной давности.

Вот почему принуждение к изменениям, когда в этом нет необходимости, может привести к тому, что люди прибегнут к кратчайшему пути кибербезопасности, которого вы не хотите, чтобы они делали.

---

ДУГ.  И это интересно.

Мы говорили об этом раньше, но некоторые люди, возможно, не думали об этом: Изменение пароля по расписанию может привести к задержке реагирования на чрезвычайные ситуации.

Что ты имеешь в виду?

---

УТКА.  Дело в том, что если у вас есть формализованное, фиксированное расписание смены пароля, чтобы все знали, что, когда наступит последний день этого месяца, они все равно будут вынуждены сменить пароль…

…а потом думают: «Знаешь что? Сегодня 12-е число, и я зашел на веб-сайт, не уверен, что это мог быть фишинговый сайт. Ну, я все равно собираюсь сменить пароль через две недели, так что я не пойду и не поменяю его сейчас».

Таким образом, меняя свои пароли *регулярно*, вы можете приобрести привычку, когда иногда, когда это действительно очень важно, вы не меняете свой пароль *часто* достаточно.

Если и когда вы считаете, что есть веская причина изменить свой пароль, СДЕЛАЙТЕ ЭТО СЕЙЧАС!

---

ДУГ.  Я люблю это!

Хорошо, давайте послушаем одного из наших читателей о пароле.

Читатель Naked Security Филип, в частности, пишет:

Часто менять пароли, чтобы не быть скомпрометированными, — все равно что думать, что если бегать достаточно быстро, то можно увернуться от всех капель дождя.

Хорошо, вы будете уклоняться от капель дождя, падающих позади вас, но их будет столько же, куда вы идете.

И, вынужденные регулярно менять свои пароли, очень большое количество людей просто добавляют число, которое они могут увеличивать по мере необходимости.

Как ты сказал, Пол!

---

УТКА.  Твой и мой друг, Честер [Вишневски], сказал несколько лет назад, когда мы говорили о мифы о паролях, «Все, что им нужно сделать [СМЕЕТСЯ], чтобы определить число в конце, — это зайти на вашу страницу в LinkedIn. «Начал работать в этой компании в августе 2017 года»… посчитайте, сколько месяцев прошло с тех пор».

Это номер, который вам нужен в конце.

Sophos Techknow – развеиваем мифы о паролях

---

ДУГ.  Точно! [СМЕХ]

---

УТКА.  И проблема заключается в том, что когда вы пытаетесь планировать или алгоритмизировать… это слово?

(Вероятно, этого не должно быть, но я все равно буду использовать его.)

Когда вы пытаетесь взять идею случайности, энтропии и непредсказуемости и втиснуть ее в некий суперстрогий алгоритм, например, алгоритм, описывающий расположение символов и чисел на табличках транспортных средств…

…тогда вы получите *меньше* случайности, а не *больше*, и вы должны это осознавать.

Таким образом, принуждение людей к чему-либо, что заставляет их впадать в шаблон, как сказал в то время Честер, просто вовлекает их в привычку к плохой привычке.

И мне нравится такая манера изложения.

---

ДУГ.  Хорошо, большое спасибо, что прислали это, Филип.

И если у вас есть интересная история, комментарий или вопрос, который вы хотели бы отправить, мы будем рады прочитать его в подкасте.

Вы можете отправить письмо на адрес tip@sophos.com, прокомментировать любую из наших статей или связаться с нами в социальных сетях: @nakedsecurity.

Это наше шоу на сегодня.

Большое спасибо, что выслушали.

Для Пола Даклина я Дуг Аамот, напоминаю вам, до следующего раза, чтобы…

---

ОБА.  Оставайтесь в безопасности!

[МУЗЫКАЛЬНЫЙ МОДЕМ]