S3 Ep94: Этот вид криптографии (графика) и другой вид криптографии (валюта!) [Аудио + Текст]

Нажмите и перетащите звуковые волны ниже, чтобы перейти к любой точке. Вы также можете слушать прямо на Саундклауд.

ДУГ.  A критическая ошибка Samba, еще один кражакачества С Днем системного администратора.

Все это и многое другое в подкасте Naked Security.

[МУЗЫКАЛЬНЫЙ МОДЕМ]

Добро пожаловать в подкаст, все.

Я Дуг Аамот.

Со мной, как всегда, Пол Даклин… Пол, как дела сегодня?

---

УТКА.  Отлично, спасибо, Дуглас.

---

ДУГ.  Нам нравится начинать шоу с истории технологий.

И на этой неделе, Пол, мы возвращаемся в 1858 год!

На этой неделе в 1858 году был проложен первый трансатлантический телеграфный кабель.

Его возглавил американский торговец Сайрус Уэстфилд, и кабель пролегал от Тринити-Бей, Ньюфаундленд, до Валенсии, Ирландия, около 2000 миль в поперечнике и более 2 миль в глубину.

Это будет пятая попытка, и, к сожалению, кабель проработал всего около месяца.

Но он функционировал достаточно долго, чтобы тогдашний президент Джеймс Бьюкенен и королева Виктория обменялись любезностями.

---

УТКА.  Да, я думаю, что это было, как бы это сказать… обморок. [СМЕХ]

1858!

Что сделал Бог?, Дуг! [СЛОВА ОТПРАВЛЕНЫ В ПЕРВОМ ТЕЛЕГРАФНОМ СООБЩЕНИИ]

---

ДУГ.  [СМЕЕТСЯ] Говоря о том, что было сделано, есть критическая ошибка Samba который с тех пор был исправлен.

Я ни в коем случае не эксперт, но эта ошибка позволяет любому стать администратором домена… Звучит нехорошо.

---

УТКА.  Что ж, это звучит плохо, Даг, в основном потому, что это довольно плохо!

---

ДУГ.  Там вы идете!

---

УТКА.  Samba… просто для ясности, прежде чем мы начнем, давайте пройдемся по версиям, которые вам нужны.

Если вы используете версию 4.16, вам нужна версия 4.16.4 или более поздняя; если у вас 4.15, вам нужна 4.15.9 или новее; и если у вас 4.14, вам нужна 4.14.14 или новее.

Эти исправления ошибок, в общей сложности, исправили шесть различных ошибок, которые считались достаточно серьезными, чтобы получить номера CVE — официальные обозначения.

Тот, кто выделялся, это CVE-2022-32744.

И название ошибки говорит само за себя: Пользователи Samba Active Directory могут подделывать запросы на изменение пароля для любого пользователя.

---

ДУГ.  Да, это звучит плохо.

---

УТКА.  Итак, в полном отчете об ошибке в бюллетене по безопасности в журнале изменений сказано довольно многословно:

«Пользователь может изменить пароль учетной записи администратора и получить полный контроль над доменом. Возможна полная потеря конфиденциальности и целостности, а также доступности путем отказа пользователям в доступе к своим учетным записям».

И как, наверное, знают наши слушатели, так называемая «святая троица» (воздушные кавычки) компьютерной безопасности — это: доступность, конфиденциальность и целостность.

Вы должны иметь их все, а не только одну из них.

Итак, целостность означает, что никто другой не может проникнуть внутрь и возиться с вашими вещами без вашего ведома.

Доступность говорит, что вы всегда можете добраться до своих вещей — они не могут помешать вам добраться до них, когда вы хотите.

И, конфиденциальность означает, что они не могут смотреть на это, если им не разрешено.

Любой из них или любые два из них сами по себе бесполезны.

Так что это действительно было trifecta, Дуг!

И что раздражает, это та самая часть Samba, которую вы можете использовать не только в том случае, если пытаетесь подключить компьютер Unix к домену Windows, но и если вы пытаетесь настроить домен Active Directory для компьютеров Windows для использования на куча компьютеров с Linux или Unix.

---

ДУГ.  Это неправильно ставит все галочки!

Но есть исправление — и мы всегда говорим: «Исправляйте раньше, исправляйте часто».

Есть ли какой-то обходной путь, который люди могут использовать, если они не могут сразу исправить по какой-то причине, или это просто сделать?

---

УТКА.  Насколько я понимаю, эта ошибка связана со службой аутентификации по паролю, которая называется kpasswd.

По сути, эта служба ищет запрос на изменение пароля и проверяет, подписан ли он или авторизован какой-либо доверенной стороной.

И, к сожалению, после определенного ряда ошибок, эта доверенная сторона может включать вас.

Так что это вроде как Распечатайте свой собственный паспорт баг, если хотите.

Вы должны предъявить паспорт… это может быть настоящий, выданный вашим правительством, или это может быть тот, который вы напечатали дома на своем струйном принтере, и оба они пройдут проверку. [СМЕХ]

Хитрость в том, что если вы на самом деле не полагаетесь на эту службу аутентификации по паролю при использовании Samba, вы можете предотвратить это. kpasswd служба от запуска.

Конечно, если вы на самом деле полагаетесь на всю систему Samba для обеспечения аутентификации Active Directory и смены пароля, обходной путь сломает вашу собственную систему.

Так что лучшая защита, конечно же, это патч, который *удаляет* ошибку, а не просто *избегает* ее.

---

ДУГ.  Очень хорошо.

Вы можете узнать больше о что на сайте: nudescurity.sophos.com.

А мы движемся прямо к самому прекрасному времени года!

мы только что отпраздновали День сисадмина, Пол, и я не буду телеграфировать здесь изюминку... но вы довольно написать.

---

УТКА.  Что ж, раз в год не так уж и много попросить, чтобы мы сходили в ИТ-отдел и улыбнулись всем, кто проделал всю эту скрытую фоновую работу…

… чтобы [СТАВАТЬ БЫСТРЕЕ И БЫСТРЕЕ] наши компьютеры, и наши серверы, и наши облачные сервисы, и наши ноутбуки, и наши телефоны, и наши сетевые коммутаторы [ДАГ СМЕЕТСЯ], и наши соединения DSL, и наш комплект Wi-Fi в хороший рабочий порядок.

Доступный! Конфиденциально! Полный целостности, круглый год!

Если вы не сделали этого в последнюю пятницу июля, то есть в SДень благодарности ysAdmin, то почему бы не пойти и не сделать это сегодня?

И даже если вы это сделали, ничто не говорит о том, что вы не можете ценить своих системных администраторов каждый день в году.

Ты не обязан делать это только в июле, Дуг.

---

ДУГ.  Хорошая точка зрения!

---

УТКА.  Так вот что делать, Дуг.

Я назову это «поэмой» или «стихом»… Я думаю, что технически это чушь [СМЕХ], но я собираюсь притвориться, что в ней есть вся радость и теплота шекспировского сонета.

Это *не* сонет, но сойдет.

---

ДУГ.  Perfect.

---

УТКА.  Вот, Даг.

Если в вашей мыши сели батарейки Или ваша веб-камера не светится Если вы не можете вспомнить свой пароль Или ваша электронная почта просто не отображается Если вы потеряли USB-накопитель Или ваша встреча не начинается Если вы не можете построить гистограмму Или нарисовать красивую круглую диаграмму Если вы случайно нажали [Удалить] Или отформатировали диск Если вы хотели сделать резервную копию, но вместо этого просто рискнули Если вы знаете, что виновник очевиден И вина указывает на вас Не делайте этого оставь надежду и унывай Осталось сделать одно! Возьми шоколад, вино, немного веселья, улыбку И имейте это в виду, когда говорите: «Я только что зашел, чтобы пожелать всем вам отличного дня системного администратора!»

---

ДУГ.  [CLAPPING] Действительно хорошо! Один из ваших лучших!

---

УТКА.  Так много из того, что делают системные администраторы, невидимо, и так много удивительно сложно сделать хорошо и надежно…

…и обойтись без того, чтобы починить одно и сломать другое.

Эта улыбка - меньшее, чего они заслуживают, Дуг.

---

ДУГ.  По крайней мере!

---

УТКА.  Итак, всем системным администраторам всего мира: надеюсь, вам понравилась прошедшая пятница.

А если тебе не хватило улыбок, то возьми одну сейчас.

---

ДУГ.  Всех с Днем системного администратора и прочитай это стихотворение, что здорово… это на сайте.

Хорошо, переходим к чему-то не столь замечательному: ошибка неправильного управления памятью в GnuTLS.

---

УТКА.  Да, я подумал, что это стоит написать о Naked Security, потому что когда люди думают о криптографии с открытым исходным кодом, они склонны думать об OpenSSL.

Потому что (A) это тот, о котором все слышали, и (B) это тот, который, вероятно, получил наибольшую огласку за последние годы из-за ошибок heartbleed.

Даже если вы не были там в то время (это было восемь лет назад), вы, вероятно, слышали о Heartbleed, который был своего рода ошибкой утечки данных и утечки памяти в OpenSSL.

Это было в коде целую вечность, и никто не заметил.

А потом кто-то заметил, и они дали ему причудливое имя, и они дали жуку логотип, и они дали жуку веб-сайт, и они сделали из этого массовый пиар.

---

ДУГ.  [СМЕЕТСЯ] Вот откуда вы знаете, что это реально…

---

УТКА.  Хорошо, они делали это, потому что хотели привлечь внимание к тому факту, что они это открыли, и они очень гордились этим фактом.

И обратная сторона заключалась в том, что люди пошли и исправили эту ошибку, которую в противном случае они могли бы не делать… потому что, ну, это просто ошибка.

Это не кажется очень драматичным — это не удаленное выполнение кода. поэтому они не могут просто войти и мгновенно захватить все мои веб-сайты и т. д. и т. д.

Но это действительно сделало OpenSSL именем нарицательным, не обязательно по всем правильным причинам.

Однако существует множество криптографических библиотек с открытым исходным кодом, не только OpenSSL, и как минимум две из них на удивление широко используются, даже если вы никогда о них не слышали.

Есть NSS, сокращение от Служба сетевой безопасности, которая является собственной криптографической библиотекой Mozilla.

Вы можете загрузить и использовать его независимо от каких-либо конкретных проектов Mozilla, но вы найдете его, в частности, в Firefox и Thunderbird, выполняющих все шифрование там — они не используют OpenSSL.

И есть GnuTLS, которая является библиотекой с открытым исходным кодом в рамках проекта GNU, которая, по сути, является, если хотите, конкурентом или альтернативой OpenSSL и используется (даже если вы этого не осознаете) на удивление большим количеством разработчиков с открытым исходным кодом. исходные проекты и продукты…

… в том числе по коду, на какой бы платформе вы ни работали, который, вероятно, уже есть в вашей системе.

Так что это включает в себя все, что связано, скажем: FFmpeg; Менкодер; GnuPGP (инструмент управления ключами GNU); QEMU, Rdesktop; Samba, о которой мы только что говорили в предыдущем баге; Wget, который многие используют для загрузки из Интернета; инструменты для прослушивания сети Wireshark; Злиб.

Существует множество инструментов, которым нужна криптографическая библиотека, и они решили использовать GnuTLS *вместо* OpenSSL или, возможно, даже *а также*, в зависимости от проблем с цепочкой поставок, какие подпакеты они вытащили. в.

У вас может быть проект, в котором некоторые его части используют GnuTLS для своей криптографии, а некоторые — OpenSSL, и трудно выбрать один из них.

Таким образом, вы в конечном итоге, к лучшему или к худшему, с обоими из них.

И, к сожалению, в GnuTLS (вам нужна версия 3.7.7 или более поздняя) была ошибка, известная как дважды бесплатно… хотите верьте, хотите нет, в той части кода, которая выполняет проверку сертификата TLS.

Итак, по иронии судьбы, которую мы видели в криптографических библиотеках раньше, код, который использует TLS для зашифрованных передач, но не удосуживается проверить другой конец… код, который говорит: «Проверка сертификата, кому она нужна?»

Обычно это считается очень плохой идеей, довольно плохой с точки зрения безопасности… но любой код, который делает это, не будет уязвим для этой ошибки, потому что он не вызывает ошибочный код.

Так что, к сожалению, код, который пытается делать *правильные* вещи, может быть обманут мошенническим сертификатом.

И просто объяснить просто, дважды бесплатно это такая ошибка, когда вы просите операционную систему или систему: «Эй, дай мне немного памяти. Мне временно нужно немного памяти. В этом случае у меня есть все данные сертификата, я хочу временно сохранить их, проверить их, а затем, когда я закончу, я верну память, чтобы ее можно было использовать в другой части программы. ”

Если вы программист на языке C, вы должны быть знакомы с функциями malloc(), сокращение от «выделение памяти», и free(), что означает «отдать обратно».

И мы знаем, что есть ошибка, которая называется использовать после освобождения, когда вы возвращаете данные, но затем продолжаете использовать этот блок памяти, забыв, что вы его передали.

Но двойное освобождение немного отличается — это когда вы возвращаете память и старательно избегаете ее повторного использования, но потом, на более позднем этапе, вы говорите: «Подождите, я уверен, что не отдавал эту память». память вернулась еще. Я лучше верну его на всякий случай.

И поэтому вы говорите операционной системе: «Хорошо, снова освободите эту память».

Таким образом, похоже, что это законный запрос на освобождение данных, *на которые может полагаться какая-то другая часть программы*.

И, как вы можете себе представить, могут произойти плохие вещи, потому что это означает, что вы можете получить две части программы, которые неосознанно полагаются на один и тот же кусок памяти в одно и то же время.

Хорошая новость заключается в том, что я не верю, что для этой ошибки был найден работающий эксплойт, и поэтому, если вы пропатчите, вы опередите мошенников, а не просто догоните их.

Но, конечно, плохая новость заключается в том, что, когда такие исправления ошибок действительно выходят, обычно множество людей смотрят на них, пытаясь проанализировать, что пошло не так, в надежде быстро понять, что они могут сделать, чтобы использовать их. ошибка против всех тех людей, которые не спешили исправлять.

Другими словами: не откладывайте. Сделайте это сегодня.

---

ДУГ.  Хорошо, последняя версия GnuTLS — 3.7.7… пожалуйста, обновите.

Вы можете узнать больше об этом на сайте.

---

УТКА.  О, и Дуг, очевидно, ошибка появилась в GnuTLS 3.6.0.

---

ДУГ.  ОК.

---

УТКА.  Итак, теоретически, если у вас более ранняя версия, вы не уязвимы для этой ошибки…

… но, пожалуйста, не используйте это как предлог, чтобы сказать: «Мне пока не нужно обновлять».

С таким же успехом вы можете перепрыгнуть через все другие обновления, которые вышли, для всех других проблем безопасности, между 3.6.0 и 3.7.6.

Так что тот факт, что вы не попадаете в категорию этой ошибки — не используйте это как оправдание бездействия.

Используйте это как толчок, чтобы добраться до сегодняшнего дня… вот мой совет.

---

ДУГ.  ОК!

И наша последняя история недели: мы говорим об еще одном ограблении криптовалюты.

В этот раз, всего $ 200 миллионовВпрочем, Павел.

Это незначительное изменение по сравнению с некоторыми другими, о которых мы говорили.

---

УТКА.  Я почти не хочу этого говорить, Дуг, но одна из причин, по которой я написал это, заключается в том, что я посмотрел на это и поймал себя на мысли: «О, всего 200 миллионов? Это совсем немного… О ЧЁМ Я ДУМАЮ!?» [СМЕХ]

200 миллионов долларов, по сути… ну, не «в унитаз», а «из банковского хранилища».

Этот сервис Nomad принадлежит компании Illusory Systems Incorporated.

И я думаю, вы согласитесь, что, безусловно, с точки зрения безопасности слово «иллюзорный» является, пожалуй, правильной метафорой.

Это сервис, который, по сути, позволяет вам делать то, что на жаргоне называется шунтирование.

По сути, вы активно обмениваете одну криптовалюту на другую.

Итак, вы кладете немного своей собственной криптовалюты в какое-то гигантское ведро вместе с кучей других людей… и тогда мы можем делать все эти причудливые автоматические смарт-контракты «децентрализованного финансирования».

Мы можем обменять Биткойн на Эфир или Эфир на Монеро или что-то еще.

К сожалению, во время недавнего обновления кода кажется, что они попали в ту же дыру, что, возможно, сделали ребята из Samba с ошибкой, о которой мы говорили в Samba.

В основном есть Распечатайте свой собственный паспорт, Или Авторизуйте свою собственную транзакцию ошибка, которую они представили.

В коде есть место, где криптографический хэш, 256-битный криптографический хеш, должен быть проверен… то, что никто, кроме уполномоченного утверждающего, не мог бы придумать.

За исключением того, что если бы вы случайно использовали нулевое значение, вы бы прошли проверку.

По сути, вы можете взять чью-либо существующую транзакцию, заменить имя получателя на свое («Эй, заплати *мой* криптовалютный кошелек») и просто воспроизвести транзакцию.

И система скажет: «ОК».

Вам просто нужно получить данные в правильном формате, я так понимаю.

И самый простой способ создать транзакцию, которая пройдет проверку, — это просто взять чью-то предварительно завершенную, существующую транзакцию, воспроизвести ее, но вычеркнуть их имя или номер их счета и вставить свое собственное.

Так, как криптовалютный аналитик @samczsun сказал на Twitter, «Злоумышленники воспользовались этим для копирования и вставки транзакций и быстро опустошили мост в бешеной борьбе за всех».

Другими словами, люди просто сходили с ума, снимая деньги в банкомате, который принимает любую банковскую карту, если вы вводите нулевой PIN-код.

И не только до тех пор, пока банкомат не был опустошен… банкомат был фактически напрямую подключен к боковой части банковского хранилища, и деньги просто выливались наружу.

---

ДУГ.  Арррргх!

---

УТКА.  Как вы говорите, видимо, они потеряли где-то до 200 миллионов долларов за короткое время.

О, Боже.

---

ДУГ.  Что ж, у нас есть несколько советов, и они довольно просты…

---

УТКА.  Единственный совет, который вы действительно можете дать, это: «Не спешите слишком торопиться присоединиться к этой децентрализованной финансовой революции».

Как мы, возможно, уже говорили ранее, убедитесь, что если вы *действительно* войдете в эту «торговлю онлайн; одолжите нам криптовалюту, и мы выплатим вам проценты; положить свои вещи в горячий кошелек, чтобы вы могли действовать в течение нескольких секунд; проникнуть во всю сцену смарт-контрактов; купить мои невзаимозаменяемые токены [NFT]» — все такое…

…если вы решите, что рынок *для вас*, пожалуйста, убедитесь, что вы входите с широко открытыми глазами, а не с широко закрытыми!

И простая причина заключается в том, что в подобных случаях мошенники не просто могут опустошить *некоторые* банкоматы банка.

В этом случае, во-первых, кажется, что они слили почти все, а во-вторых, в отличие от обычных банков, просто нет регулятивной защиты, которой вы могли бы пользоваться, если бы реальный банк обанкротился.

В случае с децентрализованными финансами вся идея о том, что они децентрализованы, новинки и крутые, и что-то, с чем вы хотите спешить…

… заключается в том, что у него *нет* этих надоедливых регуляторных мер защиты.

Вы могли бы и, возможно, могли бы — потому что мы говорили об этом чаще, чем мне удобно, на самом деле — вы могли бы потерять *все*.

И обратная сторона этого заключается в том, что если вы потеряли что-то в каком-то децентрализованном финансовом или подобном взрыве «новый супер-торговый веб-сайт Web 3.0», то будьте очень осторожны с людьми, которые приходят и говорят: «Эй, не волнуйтесь. Несмотря на отсутствие регулирования, есть опытные компании, которые могут вернуть ваши деньги. Все, что вам нужно сделать, это связаться с компанией X, частным лицом Y или с учетной записью в социальной сети Z».

Потому что всякий раз, когда случается такая беда, довольно быстро прибегают второстепенные мошенники, предлагающие «найти способ» вернуть ваши деньги.

Вокруг много мошенников, так что будьте очень осторожны.

Если вы потеряли деньги, не старайтесь изо всех сил бросать хорошие деньги после плохих (или плохие деньги после хороших, в зависимости от того, как это происходит).

---

ДУГ.  Хорошо, вы можете прочитать больше об этом: Криптовалютный «обменник токенов» Nomad теряет 200 миллионов долларов из-за ошибки в кодировании.

И если мы слышим от одного из наших читателей об этой истории, пишет анонимный комментатор, и я согласен… Я не понимаю, как это работает:

«Что удивительно, так это то, что онлайн-стартапу изначально было что терять. 200,000 200 долларов, вы можете себе представить. Но XNUMX миллионов долларов кажутся невероятными».

И я думаю, что мы как бы ответили на этот вопрос, но откуда берутся все эти деньги, чтобы просто захватить 200 миллионов долларов?

---

УТКА.  Я не могу ответить на этот вопрос, Даг.

---

ДУГ.  Нет.

---

УТКА.  Неужели мир стал более доверчивым, чем раньше?

Дело в том, что в криптовалютном сообществе плещется очень много нечестно полученных доходов?

Так что есть люди, которые на самом деле не вложили в это свои деньги, но в итоге они получили целую кучу криптовалюты нечестными способами, а не честными. (Мы знаем, что платежи программ-вымогателей обычно осуществляются в виде криптовалюты, не так ли?)

Так что это похоже на смешные деньги… человек, который теряет «деньги», возможно, не вложил наличные деньги вперед?

Это просто почти религиозное рвение со стороны людей, говорящих: «Нет, нет, *это* способ сделать это. Нам нужно вырваться из мертвой хватки, как старомодные, бестолковые, строго регулируемые финансовые организации. Мы должны освободиться от Человека»?

Я не знаю, может, 200 миллионов долларов уже не такие большие деньги, Даг?

---

ДУГ.  [СМЕЕТСЯ] Ну конечно!

---

УТКА.  Подозреваю, что там просто люди заходят с широко закрытыми глазами.

Они говорят: «Я *готов* пойти на этот риск, потому что это так круто».

И проблема в том, что если вы собираетесь потерять 200 или 2000 долларов, и вы можете себе это позволить, это одно.

Но если вы вложили 2000 долларов и думаете: «Знаете что. Может быть, мне стоит пойти на 20,000 200,000 долларов?» А потом думаешь: «Знаешь что. Может быть, мне стоит пойти на XNUMX XNUMX долларов? Может быть, мне стоит пойти ва-банк?»

Тогда, я думаю, вам действительно нужно быть очень осторожным!

Именно по тем причинам, по которым вы можете чувствовать, что у вас есть регулятивная защита, например, когда с вашей кредитной картой происходит что-то плохое, и вы просто звоните и оспариваете это, и они уходят. «Хорошо», и они вычеркивают эти 52.23 доллара из счета…

… в данном случае этого не произойдет.

И вряд ли это будет 52 доллара, скорее всего, будет намного больше.

Так что будьте осторожны там, люди!

---

ДУГ.  Береги, правда.

Хорошо, спасибо за комментарий.

И если у вас есть интересная история, комментарий или вопрос, который вы хотели бы отправить, мы будем рады прочитать его в подкасте.

Вы можете по электронной почте tips@sophos.com; вы можете прокомментировать любую из наших статей; вы можете связаться с нами в соц. @NakedSecurity.

Это наше шоу на сегодня – большое спасибо за внимание.

Для Пола Даклина я Дуг Аамот, напоминаю вам, до следующего раза…

---

ОБА.  Оставайтесь в безопасности!

[МУЗЫКАЛЬНЫЙ МОДЕМ]