S3 Ep146: Povejte nam o tej kršitvi! (Če želiš.)

Ni zvočnega predvajalnika spodaj? poslušaj neposredno na Soundcloudu.

---

DOUG.  Posodobitve Firefoxa, drugo Napaka z impresivnim imenom, SEC pa zahteva razkritje.

Vse to in še več v podcastu Naked Security.

[GLASBENI MODEM]

Dobrodošli v podcastu, vsi.

Jaz sem Doug Aamoth; on je Paul Ducklin.

Paul, upam, da boš ponosen name ... Vem, da si kolesarski navdušenec.

Včeraj sem s kolesom prevozil 10 ameriških milj, kar je po mojem mnenju približno 16 km, pri tem pa sem za kolesom v dvokolesni kočiji vlekel majhnega, a ne težkega otroka.

In še vedno sem živ, da povem zgodbo.

Je to dolga pot za vožnjo s kolesom, Paul?

---

RACA.  [SMEH] Odvisno, kako daleč si res moral iti.

Na primer, če bi moral iti dejansko 1200 metrov in bi se izgubil ... [SMEH]

Moje navdušenje nad kolesarjenjem je zelo veliko, vendar to ne pomeni, da se namenoma vozim dlje, kot je treba, saj je to moj primarni način premikanja.

Ampak 10 milj je OK.

Ste vedeli, da so ameriške in britanske milje pravzaprav enake?

---

DOUG.  To je dobro vedeti!

---

RACA.  In že od leta 1959, ko se je veliko držav, vključno z, mislim, Kanado, Južno Afriko, Avstralijo, Združenimi državami in Združenim kraljestvom, zbralo in se dogovorilo za standardizacijo na "mednarodni palec".

Mislim, da je cesarski palec postal zelo, zelo malo manjši, ameriški palec pa je postal zelo, zelo malo daljši, zaradi česar je palec (in torej dvorišče, stopalo in milja) ...

…vsi so opredeljeni v smislu metra.

En palec je natanko 25.4 mm

Tri pomembne številke so vse, kar potrebujete.

---

DOUG.  Fascinantno!

No, ko smo že pri fascinantnem, čas je za naše Ta teden v zgodovini tehnologije segmenta.

Ta teden, 01. avgusta 1981, je Glasbena televizija, znana tudi kot MTV, začela delovati v okviru paketov ameriške kabelske in satelitske televizije in javnosti predstavila glasbene videe.

Prvi je predvajal [POJE, PRAV DOBRO] »Video Killed the Radio Star« skupine The Buggles.

Primerno za tisti čas, čeprav danes ironično, saj MTV le redko predvaja glasbene videoposnetke in sploh ne predvaja novih glasbenih videoposnetkov, Paul.

---

RACA.  Ja, ironično je, kajne, da je kabelska TV (z drugimi besedami, kjer ste imeli žice pod zemljo v hišo) ubila radijsko (ali brezžično) zvezdo, zdaj pa je videti, kot da kabelska TV, MTV ... to je nekako izumrlo, ker imajo vsi mobilna omrežja, ki delujejo brezžično.

Kar gre, pride, Douglas.

---

DOUG.  V redu, no, pogovoriva se o teh posodobitvah Firefoxa.

Ta mesec dobimo dvojno dozo posodobitev za Firefox, ker so v 28-dnevnem ciklu:

Firefox odpravlja kopico napak v prvi od dveh izdaj tega meseca

Brez ničelnih dni v tem prvem krogu pred vrati, a nekaj učljivih trenutkov.

V vašem članku smo jih našteli morda polovico in eden, ki me je res izstopal, je bil: Morebitne zahteve za dovoljenja obidejo prek klikanja.

---

RACA.  Ja, spet dobro staro klikanje.

Ta izraz mi je všeč, ker precej opisuje, kaj je.

Nekje kliknete in mislite, da kliknete gumb ali nedolžno povezavo, vendar nehote dovolite, da se zgodi nekaj, kar ni očitno iz tega, kar zaslon prikazuje pod kazalcem miške.

Zdi se, da je tukaj težava v tem, da v nekaterih okoliščinah, ko se na primer iz Firefoxa prikaže pogovorno okno za dovoljenja, recite: »Ste res prepričani, da želite tej spletni strani dovoliti uporabo vaše kamere? imate dostop do vaše lokacije? uporabi svoj mikrofon?"...

… vse tiste stvari, za katere, da, želite, da vas vprašajo.

Očitno bi lahko odložili pojav pojavnega okna z dovoljenji, če bi brskalnik dosegel točko zmogljivosti (spet, zmogljivost v primerjavi z varnostjo), kjer bi le s težavo sledil.

Če pa bi imeli gumb na mestu, kjer bi se pojavilo pojavno okno, in bi uporabnika zvabili, da ga klikne, bi lahko pritegnili klik, vendar bi bil klik nato poslan v pogovorno okno za dovoljenja, ki ga še niste povsem videli.

Nekakšno vizualno dirkalno stanje, če želite.

---

DOUG.  OK, in drugi je bil: Platno zunaj zaslona bi lahko zaobšlo omejitve navzkrižnega izvora.

Nadalje pravite, da bi lahko ena spletna stran pokukala v slike, prikazane na drugi strani z drugega mesta.

---

RACA.  To se ne bi smelo zgoditi, kajne?

---

DOUG.  Ne!

---

RACA.  Žargonski izraz za to je "politika istega izvora".

Če uporabljate spletno mesto X in mi pošljete cel kup JavaScripta, ki nastavi celotno količino piškotkov, potem je vse to shranjeno v brskalniku.

Toda samo nadaljnji JavaScript s spletnega mesta X lahko prebere te podatke nazaj.

Dejstvo, da brskate po spletnem mestu X na enem zavihku in spletnem mestu Y na drugem zavihku, jim ne omogoča, da pokukajo, kaj počne drugi, in brskalnik naj bi vse te stvari ločeval.

To je očitno zelo pomembno.

In tukaj se zdi, da, kolikor razumem, če bi upodabljali stran, ki še ni bila prikazana ...

... platno izven zaslona, ​​na katerem ustvarite, če želite, virtualno spletno stran in nato na neki prihodnji točki rečete: "Trenutno sem pripravljen, da jo prikažem," in bingo, stran se prikaže na enkrat.

Težava nastane, ko poskušate zagotoviti, da stvari, ki jih upodabljate nevidno, nenamerno ne uhajajo podatki, čeprav se na koncu nikoli ne prikažejo uporabniku.

To so opazili oziroma odgovorno razkrili in pokrpali.

In mislim, da sta bili ti dve vključeni v tako imenovano ranljivost "visoke" ravni.

Večina drugih je bila »zmerna«, z izjemo Mozillinega tradicionalnega: »Našli smo veliko hroščev s fuzzingom in avtomatiziranimi tehnikami; nismo jih preiskovali, da bi ugotovili, ali jih je sploh mogoče izkoriščati, vendar smo pripravljeni domnevati, da bi nekdo, ki se je dovolj trudil, to lahko storil.«

To je priznanje, ki nama je obema zelo všeč, Doug ... ker je morebitne hrošče vredno odpraviti, tudi če si v srcu prepričan, da nihče ne bo nikoli ugotovil, kako jih izkoristiti.

Kajti v kibernetski varnosti se nikoli ne splača reči nikoli!

---

DOUG.  V redu, iščete Firefox 116 ali, če imate razširjeno izdajo, 115.1.

Enako s Thunderbirdom.

In pojdimo na… oh, človek!

Paul, to je razburljivo!

Po dvojnem BWAIN prejšnji teden imamo nov BWAIN: hrošč z impresivnim imenom.

Ta se imenuje Trk+Moč:

Pri napadu »Collide+Power« se spet spopadata zmogljivost in varnost

---

RACA.  [SMEH] Ja, intrigantno je, kajne, da so izbrali ime, ki ima v sebi znak plus?

---

DOUG.  Ja, zato je težko reči.

---

RACA.  V imenu domene ne morete imeti znaka plus, zato je ime domene collidepower.com.

---

DOUG.  V redu, naj preberem od samih raziskovalcev in citiram:

Koren težave je v tem, da komponente procesorja v skupni rabi, kot je sistem notranjega pomnilnika, združujejo podatke napadalca in podatke iz katere koli druge aplikacije, kar povzroči kombiniran signal uhajanja pri porabi energije.

Tako lahko napadalec ob poznavanju lastnih podatkov ugotovi natančne vrednosti podatkov, ki se uporabljajo v drugih aplikacijah.

---

RACA.  [SMEH] Da, to je zelo smiselno, če že veste, o čem govorijo!

Da poskusim to razložiti v preprosti angleščini (upam, da sem to pravilno razumel) ...

To se nanaša na težave z zmogljivostjo proti varnosti, o katerih smo že govorili, vključno z podcast prejšnjega tedna s tem Zenbleed napaka (ki je mimogrede veliko resnejša):

Zenbleed: Kako lahko iskanje zmogljivosti procesorja ogrozi vaša gesla

Obstaja cel kup podatkov, ki se hranijo v CPE (»predpomnjeni« je tehnični izraz za to), tako da CPE-ju ni treba iti in jih pozneje pridobiti.

Torej obstaja veliko notranjih stvari, ki jih v resnici ne morete upravljati; CPU poskrbi za vas.

In zdi se, da gre srce tega napada nekako takole ...

Napadalec dostopa do različnih pomnilniških lokacij na tak način, da si notranji predpomnilnik zapomni te pomnilniške lokacije, tako da mu jih ni treba znova brati iz RAM-a, če se hitro ponovno uporabijo.

Tako napadalec nekako dobi te vrednosti predpomnilnika, napolnjene z znanimi vzorci bitov, znanimi vrednostmi podatkov.

In potem, če ima žrtev pomnilnik, ki ga *oni* pogosto uporabljajo (na primer bajte v ključu za dešifriranje), če CPE nenadoma presodi, da je njihova vrednost bolj verjetno ponovno uporabljena kot ena od vrednosti napadalca, vrne napadalčevo vrednost iz te notranje lokacije superhitrega predpomnilnika in vanjo postavi novo vrednost, vrednost žrtve.

In kaj so odkrili ti raziskovalci (in kolikor tako daleč se napad sliši v teoriji in praksi, je to neverjetno odkritje) ...

Število bitov, ki se razlikujejo med staro vrednostjo v predpomnilniku in novo vrednostjo *spremeni količino energije, potrebno za izvedbo operacije posodobitve predpomnilnika*.

Če torej lahko dovolj natančno izmerite porabo energije CPE, lahko sklepate o tem, katere vrednosti podatkov so bile zapisane v notranji, skriti, sicer nevidni predpomnilnik znotraj CPE, za katerega je CPE mislil, da vas ne zadeva.

Zelo zanimivo, Doug!

---

DOUG.  Izjemno.

V redu, obstaja nekaj omilitev.

Ta razdelek se začne takole: »Prvič, ni vam treba skrbeti,« vendar so prizadeti tudi skoraj vsi procesorji.

---

RACA.  Ja, to je zanimivo, kajne?

Piše "najprej" (običajno besedilo) "jo” (v poševnem tisku) “ni treba skrbeti" (v krepkem tisku). [SMEH]

Torej, v bistvu vas nihče ne bo napadel s tem, toda morda bodo načrtovalci procesorjev želeli razmišljati o tem v prihodnosti, če obstaja kakršna koli rešitev. [SMEH]

Mislil sem, da je to zanimiv način izražanja.

---

DOUG.  V redu, ublažitev je v bistvu izklop hipernitnosti.

Ali tako deluje?

---

RACA.  Hipernitnost to še poslabša, kolikor vidim.

Že vemo, da je hipernitnost varnostna težava, saj so bile od nje odvisne že številne ranljivosti.

To je, kjer se CPE, recimo, z osmimi jedri pretvarja, da ima 16 jeder, vendar dejansko niso v ločenih delih čipa.

Pravzaprav so pari nekakšnih psevdo-jeder, ki si delijo več elektronike, več tranzistorjev, več kondenzatorjev, kot je morda dobra ideja iz varnostnih razlogov.

Če uporabljate stari dobri OpenBSD, mislim, da so se odločili, da je hipernitnost preprosto pretežko zaščititi z ublažitvami; lahko tudi samo izklopi.

Do takrat, ko dosežete rezultate, ki jih zahtevajo ublažitve, je morda preprosto ne boste imeli.

Torej mislim, da izklop hipernitnosti vas bo močno zaščitilo pred tem napadom.

Druga stvar, ki jo lahko naredite, je, kot pišejo avtorji v krepkem tisku: ne skrbi. [SMEH]

---

DOUG.  To je odlična ublažitev! [SMEH]

---

RACA.   Tam je odličen del (to bom moral prebrati, Doug) ...

Raziskovalci sami so v veliki meri ugotovili, da za pridobitev kakršne koli zanesljive informacije iz sistema pridobivajo podatkovne hitrosti nekje med 10 bitov in 100 bitov na uro.

Verjamem, da imajo vsaj Intelovi procesorji ublažitev, za katero si predstavljam, da bi pomagala proti temu.

In to nas pripelje nazaj k MSR-jem, tistim modelom specifičnim registrom, o katerih smo prejšnji teden govorili z Zenbleedom, kjer je obstajal čarobni del, ki bi ga lahko vklopili in rekel: "Ne počnite tveganih stvari."

Obstaja funkcija, ki jo lahko nastavite RAPL filtriranje, RAPL pa je okrajšava za meja tekoče povprečne moči.

Uporabljajo ga programi, ki želijo videti, kako deluje procesor za namene upravljanja porabe energije, tako da vam ni treba vdreti v strežniško sobo in na žico z majhno sondo na matični plošči namestiti monitorja porabe energije. [SMEH]

Pravzaprav lahko dosežete, da vam CPE pove, koliko energije porabi.

Intel ima vsaj ta način, imenovan filtriranje RAPL, ki namerno uvaja tresenje ali napako.

Tako boste dobili rezultate, ki so v povprečju natančni, vendar bodo vsi posamezni odčitki napačni.

---

DOUG.  Zdaj pa usmerimo pozornost na ta novi posel SEC.

Komisija za varnost in izmenjavo zahteva štiridnevne omejitve razkritja kršitev kibernetske varnosti:

SEC zahteva štiridnevno omejitev razkritja za kršitve kibernetske varnosti

Toda (A) vi se odločite, ali je napad dovolj resen, da ga prijavite, in (B) štiridnevna omejitev ne začne teči, dokler se ne odločite, da je nekaj dovolj pomembno, da ga prijavite, Paul.

Torej dober prvi začetek, a morda ne tako agresiven, kot bi si želeli?

---

RACA.  Strinjam se s tvojo oceno, Doug.

Ko sem ga prvič pogledal, je zvenelo odlično: "Hej, to štiridnevno razkritje imate, če imate kršitev podatkov ali težavo s kibernetsko varnostjo."

Toda potem je bilo nekaj o tem, "No, to je treba obravnavati kot materialni problem," pravni izraz, ki pomeni, da je dejansko dovolj pomembno, da ga je vredno razkriti.

In potem sem prišel do tistega dela (in to ni zelo dolgo sporočilo za javnost SEC), ki je rekel: "Takoj ko se odločite, da bi to res morali prijaviti, imate še štiri dni časa da to prijavim."

Zdaj pa si predstavljam, da pravno gledano to ne bo povsem delovalo. Doug

Smo morda v članku malce ostri?

---

DOUG.  Povečate napade z izsiljevalsko programsko opremo in rečete, da obstaja nekaj različnih vrst, zato se pogovorimo o tem ... pomembno je pri ugotavljanju, ali je to pomemben napad, ki ga morate prijaviti.

Kakšno vrsto izsiljevalske programske opreme torej gledamo?

---

RACA.  Da, samo da pojasnim, mislil sem, da je to pomemben del tega.

Ne da bi kazal s prstom na SEC, ampak to je nekaj, kar se zdi, da v mnogih ali nobenih državah še ni prišlo na dan ...

... ali je samo napad z izsiljevalsko programsko opremo neizogibno dovolj, da gre za pomembno kršitev podatkov.

Ta dokument SEC pravzaprav sploh ne omenja "besede R".

Nič ni omenjenih stvari, specifičnih za izsiljevalsko programsko opremo.

In izsiljevalska programska oprema je problem, kajne?

V članku sem želel pojasniti, da beseda "ransomware", ki jo še vedno pogosto uporabljamo, ni več čisto prava beseda, kajne?

Verjetno bi to morali imenovati »izsiljevalska programska oprema« ali preprosto »kiberizsiljevanje«.

Identificiram tri glavne vrste napadov z izsiljevalsko programsko opremo.

Vrsta A je, kjer prevaranti ne ukradejo vaših podatkov, le premešajo vaše podatke na kraju samem.

Tako jim ni treba naložiti niti ene stvari.

Vse premešajo na način, da vam lahko zagotovijo ključ za dešifriranje, vendar ne boste videli niti enega bajta podatkov, ki bi zapustil vaše omrežje kot znak, da se dogaja nekaj slabega.

Potem je tu še napad z izsiljevalsko programsko opremo tipa B, kjer prevaranti rečejo: »Veste kaj, ne bomo tvegali, da bi pisali v vse datoteke, da bi nas pri tem ujeli. Samo ukradli bomo vse podatke in namesto da bi plačali denar za vrnitev vaših podatkov, plačujete za naš molk.«

In potem je seveda tu še napad izsiljevalske programske opreme tipa C, in to je: "Tako A kot B."

Tam sleparji ukradejo vaše podatke *in* jih zamotajo in rečejo: »Hej, če te ne bo ena stvar spravila v težave, je druga.«

In lepo bi bilo vedeti, kje je tisto, kar menim, da pravna stroka imenuje pomembnost (z drugimi besedami, pravni pomen ali pravna relevantnost za določen predpis) ...

... kjer se to začne, v primeru napadov z izsiljevalsko programsko opremo.

---

DOUG.  No, zdaj je pravi čas, da k tej zgodbi privabimo našega komentatorja tedna, Adama.

Adam pove svoje misli o različnih vrstah napadov z izsiljevalsko programsko opremo.

Torej, začenši s tipom A, kjer gre samo za preprost napad z izsiljevalsko programsko opremo, kjer zaklenejo datoteke in pustijo obvestilo o odkupnini, da jih odklenejo ...

Adam pravi:

Če je podjetje prizadeto zaradi izsiljevalske programske opreme, če po temeljiti preiskavi ni našlo dokazov o izruvanju podatkov in je obnovilo svoje podatke, ne da bi plačalo odkupnino, potem bi bil nagnjen k temu, da rečem: "Ni [potrebno razkritje]."

---

RACA.  Ste naredili dovolj?

---

DOUG.  Da.

---

RACA.  Niste ga popolnoma preprečili, vendar ste naredili naslednjo najboljšo stvar, zato vam ni treba povedati svojim vlagateljem ...

Ironija je v tem, Doug, da če bi to naredili kot podjetje, bi morda želeli svojim vlagateljem reči: »Hej, veš kaj? Imeli smo napad z izsiljevalsko programsko opremo kot vsi drugi, vendar smo se rešili iz njega, ne da bi plačali denar, ne da bi sodelovali s prevaranti in ne da bi izgubili podatke. Torej, čeprav nismo bili popolni, smo bili naslednja najboljša stvar.”

In dejansko bi lahko imelo veliko težo, če bi to razkrili prostovoljno, tudi če zakon določa, da vam tega ni treba.

---

DOUG.  In potem, za tip B, kot izsiljevanja, Adam pravi:

To je zapletena situacija.

Teoretično bi rekel: "Da."

Vendar bo to verjetno povzročilo veliko razkritij in škodovalo poslovnemu ugledu.

Torej, če imate kup podjetij, ki prihajajo in pravijo: »Poglejte, prizadela nas je izsiljevalska programska oprema; mislimo, da se ni zgodilo nič slabega; prevarantom smo plačali, da so bili tiho; in verjamemo, da ne bodo prelili pameti,« tako rekoč ...

… to sicer ustvari težavno situacijo, saj bi to lahko škodilo ugledu podjetja, a če tega ne bi razkrili, nihče ne bi vedel.

---

RACA.  In vidim, da se je Adam počutil enako kot ti in jaz glede posla: "Imaš štiri dni in ne več kot štiri dni ... od trenutka, ko misliš, da bi se štirje dnevi morali začeti."

Tudi to je ropotal, kajne?

Dejal je:

Nekatera podjetja bodo verjetno sprejela taktiko, da bi močno odložila odločitev, ali obstaja bistven vpliv.

Torej ne vemo povsem, kako se bo to izšlo, in prepričan sem, da tudi SEC ne ve povsem.

Morda bodo potrebovali nekaj testnih primerov, da ugotovijo, kakšna je prava mera birokracije, da zagotovijo, da se vsi naučimo, kar moramo vedeti, ne da bi podjetja prisilili, da razkrijejo vsako najmanjšo IT napako, ki se kdaj zgodi, in nas vse pokopljejo v obremenitev papirologije.

Kar v bistvu vodi do utrujenosti zaradi kršitev, kajne?

Če imaš toliko slabih novic, ki niso tako zelo pomembne, te preprosto preplavijo ...

… nekako je zlahka zgrešiti resnično pomembno stvar, ki je med vsemi "ali sem res moral slišati o tem?"

Čas bo pokazal, Douglas.

---

DOUG.  Da, zapleteno!

In vem, da to govorim ves čas, vendar bomo to spremljali, ker bo fascinantno gledati, kako se to odvija.

Torej, hvala, Adam, da si poslal ta komentar.

---

RACA.  Da, resnično!

---

DOUG.  Če imate zanimivo zgodbo, komentar ali vprašanje, ki bi ga radi poslali, bomo z veseljem prebrali v podcastu.

Lahko pošljete e-poštno sporočilo na tips@sophos.com, lahko komentirate katerega koli od naših člankov ali pa nas kontaktirate na socialnem omrežju: @nakedsecurity.

To je naša današnja predstava; najlepša hvala za posluh.

Za Paula Ducklina sem Doug Aamoth, opominjam vas do naslednjič, da…

---

OBOJE.  Bodite varni.

[GLASBENI MODEM]