S3 Ep139: Ali so pravila gesel kot tek skozi dež?

Ni zvočnega predvajalnika spodaj? poslušaj neposredno na Soundcloudu.

DOUG.  Popravek v torek, napad na kibernetski kriminal in zabava z gesli.

Vse to in še več v podcastu Naked Security.

[GLASBENI MODEM]

Dobrodošli v podcastu, vsi.

Jaz sem Doug Aamoth; on je Paul Ducklin.

Paul, kako si danes?

---

RACA.  Doug, tega ne bi smel reči … ampak zato, ker vem, kaj prihaja Ta teden v zgodovini tehnologije, ker si mi dal predogled, sem zelo navdušen!

---

DOUG.  V redu, no, pojdimo takoj!

Ta teden, 15. junija, davnega leta 1949, je Jay Forrester, ki je bil profesor na Massachusetts Institute of Technology ali MIT, zapisal ...

---

RACA.  [POsmeh DRAMA] Ne govori tega, kot da si iz Bostona in da si ves samovšečen glede tega, Doug? [SMEH]

---

DOUG.  Hej, to je čudovit kampus; Velikokrat sem bil tam.

---

RACA.  Je tudi neke vrste znana inženirska šola, kajne? [SMEH]

---

DOUG.  Zagotovo je!

Jay Forrester je v svoj zvezek zapisal predlog za "jedrni pomnilnik" in kasneje namestil pomnilnik z magnetnim jedrom na računalnik MIT Whirlwind.

Ta izum je naredil računalnike zanesljivejše in hitrejše.

Jedrni pomnilnik je ostal priljubljena izbira za računalniško shranjevanje vse do razvoja polprevodnikov v sedemdesetih letih prejšnjega stoletja.

---

RACA.  To je fantastično preprosta ideja, ko veš, kako deluje.

Majhna feritna magnetna jedra, kot bi jih dobili v središču transformatorja … kot superminiaturne podložke.

Bili so magnetizirani v smeri urinega kazalca ali nasprotni, kar pomeni nič ali ena.

To je bil dobesedno magnetni pomnilnik.

In imel je čudno lastnost, Douglas, ker ferit v bistvu tvori trajni magnet ...

…lahko ga ponovno magnetizirate, a ko izklopite napajanje, ostane magnetiziran.

Torej je bilo nehlapno!

Če bi vam zmanjkalo električne energije, bi lahko v bistvu znova zagnali računalnik in nadaljevali, kjer ste končali.

Neverjetno!

---

DOUG.  Izjemno, ja … to je res kul.

---

RACA.  Očitno je bil prvotni načrt MIT, da za to idejo zaračuna licenčnino v višini 0.02 USD na bit.

Si lahko predstavljate, kako drag bi bil to, na primer, 64-gigabajtni pomnilnik iPhone?

Šlo bi za milijarde dolarjev! [SMEH]

---

DOUG.  Neresnično.

No, nekaj zanimive zgodovine, a prenesimo jo v sodobnost.

Ne tako dolgo nazaj … Microsoft Patch Tuesday.

Brez dni nič, a vseeno veliko popravkov, Paul:

Popravek v torek odpravlja 4 kritične hrošče RCE in kup lukenj v Officeu

---

RACA.  No, v tem mesecu ni nobenih dni nič, če zanemarite tisto luknjo v oddaljenem izvajanju kode Edge, o kateri smo govorili prejšnji teden.

---

DOUG.  Hmmmmmm.

---

RACA.  Tehnično to ni del Patch Tuesday ...

... vendar je bilo skupno 26 napak pri oddaljenem izvajanju kode [RCE] in 17 napak pri dvigu privilegijev [EoP].

Tu so že prevaranti, vendar še ne morejo storiti veliko, zato nato uporabijo napako EoP, da pridobijo supermoči v vašem omrežju in počnejo veliko bolj podle stvari.

Štiri od teh napak pri izvajanju kode na daljavo je Microsoft poimenoval "Kritične", kar pomeni, da če ste eden tistih ljudi, ki še vedno radi izvajajo svoje popravke v določenem vrstnem redu, predlagamo, da začnete s temi.

Dobra novica o štirih kritičnih popravkih je, da se trije nanašajo na isto komponento sistema Windows.

Kolikor lahko razberem, je šlo za kup povezanih hroščev, domnevno najdenih med nekakšnim pregledom kode te komponente.

Kar se nanaša na storitev Windows Messaging Service, če jo slučajno uporabljate v svojem omrežju.

---

DOUG.  In vsi skupaj smo se zahvalili za našo potrpežljivost s polomijo SketchUp, za katero do zdaj nisem vedel, da obstaja.

---

RACA.  Tako kot ti, Doug, še nikoli nisem uporabljal tega programa, imenovanega SketchUp, za katerega verjamem, da je 3D-grafični program tretje osebe.

Kdo bi vedel, da bi bilo res super, če bi lahko slike SketchUp 3D spustili v svoje dokumente Word, Excel, PowerPoint?

Kot si lahko predstavljate, s popolnoma novo obliko datoteke za razčlenjevanje, interpretacijo, obdelavo, upodabljanje znotraj Officea ...

…Microsoft je predstavil napako, ki je bila odpravljena kot CVE-2023-33146.

Toda skrita zgodba-za-zgodbo, če želite, je ta, da je Microsoft 01. junija 2023 objavil, da:

Možnost vstavljanja grafike SketchUp je bila začasno onemogočena v Wordu, Excelu, PowerPointu in Outlooku za Windows in Mac.

Cenimo vašo potrpežljivost, ko si prizadevamo zagotoviti varnost in funkcionalnost te funkcije.

Veseli me, da Microsoft ceni mojo potrpežljivost, vendar si morda želim, da bi bil sam Microsoft malo bolj potrpežljiv, preden je sploh uvedel to funkcijo v Office.

Želim si, da bi ga dali tja *potem*, ko je bil varen, namesto da bi ga vstavili, da bi videli, ali je varen, in ugotovili, kot pravite (presenečenje! presenečenje!), da ni.

---

DOUG.  Super.

Ostanimo pri temi potrpežljivosti.

Rekel sem, da bomo »pazili na to«, in upal sem, da nam tega ne bo treba paziti.

Vendar moramo malo aliterirati, kot ste naredili v naslovu.

Več ublažitev MOVEit: objavljeni novi popravki za dodatno zaščito, Paul.

Več ublažitev MOVEit: objavljeni novi popravki za dodatno zaščito

---

RACA.  Spet je tisti dobri stari problem MOVEit: the Napaka vbrizgavanja SQL.

To pomeni, da če uporabljate program MOVEit Transfer in ga niste popravili, lahko prevaranti, ki imajo dostop do spletnega vmesnika, zavedejo vaš strežnik, da počne slabe stvari ...

… vse do vdelave spletne lupine, ki jim bo omogočila, da se kasneje potepajo in počnejo, kar hočejo.

Kot veste, je bil izdan CVE in Progress Software, izdelovalci MOVEita, so objavili popravek za obravnavo znanega izkoriščanja v naravi.

Zdaj imajo še en popravek za reševanje podobnih hroščev, ki jih, kolikor vedo, prevaranti še niso našli (a če bi dovolj natančno iskali, bi jih morda).

In ne glede na to, kako čudno se to sliši, ko ugotovite, da ima določen del vaše programske opreme napako določene vrste, ne bi smeli biti presenečeni, če ko se poglobite ...

... ugotovite, da je programer (ali programska ekipa, ki je delala na tem v času, ko se je pojavil hrošč, za katerega že poznate) zagrešil podobne napake približno ob istem času.

Tako dobro opravljeno v tem primeru, bi rekel, za Progress Software, ker se je s tem poskušal spopasti proaktivno.

Progress Software je pravkar rekel, »Vse stranke Move It morajo uporabiti nov popravek, izdan 09. junija 2023.

---

DOUG.  V redu, mislim, da bomo ... pazili na to!

Paul, pomagaj mi tukaj.

Sem v letu 2023, berem v a Naslov Naked Security nekaj o "Mt. Gox."

Kaj se dogaja z mano?

Ponovni pregled zgodovine: Ministrstvo za pravosodje ZDA je razkrilo obtožbe kibernetske kriminalitete Mt. Gox

---

RACA.  Gora Gox!

»Spletna izmenjava Magic The Gathering«, Doug, kot je bilo ...

---

DOUG.  [SMEH] Seveda!

---

RACA.  ... kjer bi lahko zamenjali karte Magic The Gathering.

Ta domena je bila prodana in tisti z dolgimi spomini bodo vedeli, da se je spremenila v najbolj priljubljeno in daleč največjo izmenjavo Bitcoinov na planetu.

Vodil ga je francoski izseljenec Mark Karpelès iz Japonske.

Očitno je šlo vse kot po maslu, dokler leta 2014 ni eksplodiralo v oblačku prahu kriptovalut, ko so ugotovili, da so, ohlapno rečeno, vsi njihovi bitcoini izginili.

---

DOUG.  [SMEH] Ne bi se smel!

---

RACA.  647,000 jih je ali nekaj takega.

In že takrat so bili vredni približno 800 dolarjev na pop, tako da je bilo to pol milijarde ameriških dolarjev vreden “puff”.

Zanimivo je, da je takrat veliko prstov kazalo na samo ekipo Mt. Gox, rekoč: "Oh, to mora biti notranje delo."

In dejansko je na novoletni dan, mislim, da je bilo leta 2015, japonski časopis z imenom Yomiuri Shimbun dejansko objavil članek, ki pravi: »To smo preučili in 1 % izgub je mogoče razložiti z izgovorom, da sem prišel z; ostalo pa uradno trdimo, da je šlo za notranje delo.«

Tisti članek, ki so ga objavili in ki je povzročil veliko drame, ker je precej dramatična obtožba, zdaj prikaže napako 404 [HTTP strani ni bilo mogoče najti], ko ga obiščete danes.

---

DOUG.  Zelo zanimivo!

---

RACA.  Zato mislim, da temu ne stojijo več.

In res, Ministrstvo za pravosodje [DOJ] v Združenih državah je končno, vsa ta leta pozneje, dejansko obtožilo dva ruska državljana, da sta v bistvu ukradla vse bitcoine.

Torej res zveni, kot da je Mark Karpelès dobil vsaj delno oprostitev, z dovoljenjem Ministrstva za pravosodje ZDA, ker so ta dva ruska fanta zagotovo postavili v okvir za ta zločin pred vsemi tistimi leti.

---

DOUG.  To je fascinantno branje.

Torej preverite na Naked Security.

Vse kar morate storiti je, da poiščete, uganili ste, »Mt. Gox".

Ostanimo pri temi kibernetskega kriminala, saj je eden od glavnih storilcev zlonamerne programske opreme za bančništvo Gozi pristal v zaporu po dolgih desetih letih, Paul:

Gozi banking zlonamerna programska oprema "Šef IT" končno zaprt po več kot 10 letih

---

RACA.  Ja… bilo je malo kot čakanje na avtobus.

Naenkrat sta prispeli dve osupljivi zgodbi »vau, to se je zgodilo pred desetimi leti, a na koncu ga bomo dobili«. [SMEH]

In tega se mi je zdelo pomembno, da ga ponovno napišem, samo zato, da povem: »To je ministrstvo za pravosodje; niso pozabili nanj.”

Pravzaprav. Aretirali so ga v Kolumbiji.

Verjamem, da ga je obiskal in bil je na letališču v Bogoti, in domnevam, da so mejni uradniki pomislili: "Oh, to ime je na nadzornem seznamu"!

In tako so očitno kolumbijski uradniki pomislili: "Obrnimo se na ameriško diplomatsko službo."

Rekli so: »Hej, tukaj imamo fanta po imenu (njegovega imena ne bom omenjal – t je v članku).. nekoč vas je zanimal zanj, v zvezi z zelo resnimi zločini z zlonamerno programsko opremo, vrednimi več milijonov dolarjev. . Te slučajno še zanima?«

In kakšno presenečenje, Doug, ZDA so bile res zelo zainteresirane.

Torej je bil izročen, se soočil s sodiščem, priznal krivdo in zdaj je bil obsojen.

Dobil bo le tri leta zapora, kar se morda zdi lahka kazen, vrniti pa mora več kot 3,000,000 dolarjev.

Ne vem, kaj se zgodi, če tega ne stori, vendar mislim, da je to le opomnik, da z bežanjem in skrivanjem pred kriminalom, povezanim z zlonamerno programsko opremo ...

... no, če obstajajo obtožbe zoper vas in vas ZDA iščejo, ne rečejo samo: "Ah, deset let je minilo, lahko bi tudi pustili."

In kriminal tega tipa je vodil tisto, kar je v žargonu znano kot "neprebojni gostitelji", Doug.

Tu ste v bistvu nekakšen ponudnik internetnih storitev, vendar se za razliko od običajnega ponudnika internetnih storitev potrudite, da postanete premikajoča se tarča organov pregona, seznamov blokiranih in obvestil običajnih ponudnikov internetnih storitev o odstranitvi.

Torej nudite storitve, vendar jih obdržite, če želite, med premikanjem po internetu, tako da vam prevaranti plačajo pristojbino in vedo, da bodo domene, ki jih gostite za njih, samo še naprej delati, tudi če vam sledijo organi pregona.

---

DOUG.  V redu, spet odlična novica.

Paul, ko zaokrožujemo naše zgodbe za ta dan, si se spopadel z zelo težkim, niansiranim, vendar pomembno vprašanje o geslih.

Namreč, ali bi jih morali nenehno menjavati na rotacijo, morda enkrat na mesec?

Ali pa za začetek zakleniti zelo zapletene in jih nato pustiti pri miru?

Razmišljanje o načrtovanih spremembah gesel (ne imenujemo jih rotacije!)

---

RACA.  Čeprav zveni kot nekakšna stara zgodba in smo jo že večkrat obiskali, sem jo napisal zato, ker me je bralec kontaktiral, da bi me vprašal prav o tem.

Rekel je: »Nočem iti v bat za 2FA; Nočem se ukvarjati z upravitelji gesel. To sta ločeni zadevi. Rad bi samo vedel, kako rešiti, če hočete, vojno za področje med dvema frakcijama v mojem podjetju, kjer nekateri ljudje pravijo, da moramo pravilno narediti gesla, drugi pa samo pravijo: 'Ta ladja je plula, pretežka je, samo prisilili bomo ljudi, da jih spremenijo, in to bo dovolj dobro.«

Zato se mi je zdelo vredno pisati o tem.

Sodeč po številu komentarjev o Naked Security in na družbenih omrežjih, se veliko IT ekip še vedno ubada s tem.

Če samo prisilite ljudi, da spremenijo svoja gesla vsakih 30 ali 60 dni, ali je res pomembno, če izberejo tisto, ki ga je mogoče popolnoma vdreti, če jim ukradejo hash?

Dokler ne izberejo password or secret ali enega od desetih najboljših mačjih imen na svetu, je morda v redu, če jih prisilimo, da ga spremenijo v drugo, ne zelo dobro geslo, preden ga prevaranti uspejo razbiti?

Mogoče je le to dovolj dobro?

Vendar imam tri razloge, zakaj ne morete popraviti slabe navade tako, da sledite drugi slabi navadi.

---

DOUG.  Prvi iz vrat: Redno spreminjanje gesel ni alternativa izbiri in uporabi močnih, Pavla.

---

RACA.  Ne!

Lahko se odločite za oboje (in čez minuto vam bom dal dva razloga, zakaj menim, da ima prisiljevanje ljudi, da jih redno spreminjajo, še en sklop težav).

Toda preprosta ugotovitev je, da redno spreminjanje slabega gesla ne pomeni boljšega gesla.

Če želite boljše geslo, za začetek izberite boljše geslo!

---

DOUG.  In praviš: Če ljudi prisilite, da redno spreminjajo svoja gesla, jih lahko zazibate v slabe navade.

---

RACA.  Sodeč po komentarjih, je ravno to težava, ki jo ima veliko IT ekip.

Če ljudem rečete: "Hej, vsakih 30 dni moraš spremeniti svoje geslo in raje izberi dobro," bodo storili le ...

... bodo izbrali dobrega.

Teden dni si bodo zapomnili za vse življenje.

In potem vsak mesec dodajajo -01, -02, in tako naprej.

Torej, če prevaranti razbijejo ali ogrozijo eno od gesel in opazijo takšen vzorec, lahko ugotovijo, kakšno je vaše današnje geslo, če poznajo vaše geslo izpred šestih mesecev.

Zato lahko vsiljevanje sprememb, ko niso potrebne, ljudi pripelje do tega, da uberejo bližnjice do kibernetske varnosti, za katere ne želite, da bi jih storili.

---

DOUG.  In ta je zanimiva.

O tem smo že govorili, vendar je to nekaj, na kar nekateri morda niso pomislili: Načrtovanje sprememb gesel lahko zakasni odzive v sili.

Kaj misliš s tem?

---

RACA.  Bistvo je, da če imate formaliziran, fiksen urnik za spreminjanje gesel, tako da vsi vedo, da bodo, ko pride zadnji dan tega meseca, tako ali tako prisiljeni spremeniti svoje geslo ...

… in potem pomislijo: »Veš kaj? 12. v mesecu je in obiskal sem spletno mesto, za katerega nisem prepričan, da bi lahko bilo spletno mesto z lažnim predstavljanjem. No, vseeno bom čez dva tedna zamenjal geslo, tako da ga ne bom šel zdaj spreminjat.”

Torej, če *redno* spreminjate svoja gesla, lahko na koncu pridete v navado, ko včasih, ko je res, zelo pomembno, ne spreminjate svojega gesla *dovolj pogosto*.

Če in ko menite, da obstaja dober razlog za spremembo gesla, TO STORITE ZDAJ!

---

DOUG.  Obožujem to!

V redu, poslušajmo enega od naših bralcev o delu gesla.

Bralec Naked Security Philip delno piše:

Pogosto spreminjanje gesel, da ne bi bili ogroženi, je kot misliti, da se lahko izognete vsem dežnim kapljam, če tečete dovolj hitro.

V redu, izognil se boš dežnim kapljam, ki padajo za tabo, a tam, kamor greš, jih bo prav toliko.

In ker so prisiljeni redno spreminjati svoja gesla, bo zelo veliko ljudi preprosto dodalo številko, ki jo lahko po potrebi povečajo.

Kot si rekel, Paul!

---

RACA.  Tvoj in moj prijatelj, je dejal Chester [Wisniewski], pred nekaj leti, ko sva govorila o miti o geslih, »Vse, kar morajo storiti [SMEH], da ugotovijo, kakšna je številka na koncu, je, da obiščejo vašo stran LinkedIn. 'V tem podjetju sem začel avgusta 2017' ... štejte mesece od takrat.«

To je številka, ki jo potrebujete na koncu.

Sophos Techknow – razbijanje mitov o geslih

---

DOUG.  točno tako! [SMEH]

---

RACA.  In težava nastane, ko poskušate načrtovati ali algoritmizirati ... je to beseda?

(Verjetno ne bi smelo biti, a ga bom vseeno uporabil.)

Ko poskušate vzeti zamisel o naključnosti, entropiji in nepredvidljivosti in jo zapreti v nek super strog algoritem, kot je na primer algoritem, ki opisuje, kako so znaki in številke razporejeni na oznakah vozil ...

… potem imate na koncu *manj* naključnosti, ne *več*, in tega se morate zavedati.

Kot je takrat rekel Chester, je torej siljenje ljudi v karkoli, zaradi česar padejo v vzorec, preprosto pridobivanje slabe navade.

In všeč mi je ta način izražanja.

---

DOUG.  V redu, najlepša hvala, da si to poslal, Philip.

In če imate zanimivo zgodbo, komentar ali vprašanje, ki bi ga radi poslali, ga bomo z veseljem prebrali v podcastu.

Lahko pošljete e-poštno sporočilo na tips@sophos.com, komentirate katerega koli od naših člankov ali nas kontaktirate na socialnem omrežju: @nakedsecurity.

To je naša današnja predstava.

Najlepša hvala za posluh.

Za Paula Ducklina, jaz sem Doug Aamoth, do naslednjič vas spominjam, da…

---

OBOJE.  Bodite varni!

[GLASBENI MODEM]