S3 Ep139: Är lösenordsregler som att springa genom regn?

S3 Ep139: Är lösenordsregler som att springa genom regn?

Tidsstämpel: 15 juni 2023 12:43
S3 Ep139: Är lösenordsregler som att springa genom regn? PlatoBlockchain Data Intelligence. Vertikal sökning. Ai.
by Paul Ducklin

FÅ INTE IN VANAN AV EN DÅLIG VANA

Magnetisk kärnminne. Patch Tisdag och SketchUp-skickligheter. Mer MOVEit-begränsningar. Mount Gox tillbaka på nyheterna. Gozi malware brottsling äntligen fängslad. Är lösenordsregler som springer genom regnet?

Ingen ljudspelare nedan? Lyssna direkt på Soundcloud.

Med Doug Aamoth och Paul Ducklin. Intro och outro musik av Edith Mudge.

Du kan lyssna på oss på soundcloud, Apple Podcasts, Google Podcasts, Spotify, häft och överallt där bra poddar finns. Eller bara släpp URL till vårt RSS-flöde till din favoritpodcatcher.

LÄS TRANSKRIPTET

DOUG.  Patch tisdag, cyberbrottsuppkomst och kul med lösenord.

Allt det och mer i podden Naked Security.

[MUSIKALT MODEM]

Välkommen till podden, alla.

Jag är Doug Aamoth; han är Paul Ducklin.

Paul, hur mår du idag?

ANKA.  Doug, jag borde inte säga det här... utan för att jag vet vad som kommer in Denna vecka i teknisk historia, eftersom du gav mig en förhandstitt, jag är väldigt exalterad!

DOUG.  Okej, låt oss börja direkt!

Den här veckan, den 15 juni, långt tillbaka 1949, skrev Jay Forrester, som var professor vid Massachusetts Institute of Technology, eller MIT, ner...

ANKA.  [MOCK DRAMA] Säg inte det som att du är från Boston och att du är självbelåten över det, Doug? [SKRATT]

DOUG.  Hej, det är ett vackert campus; Jag har varit där många gånger.

ANKA.  Det är väl en slags berömd ingenjörskola också? [skrattar]

DOUG.  Visst är det!

Jay Forrester skrev ner ett förslag om "kärnminne" i sin anteckningsbok och skulle senare installera magnetiskt kärnminne på MIT:s Whirlwind-dator.

Denna uppfinning gjorde datorer mer pålitliga och snabbare.

Kärnminne förblev det populära valet för datorlagring fram till utvecklingen av halvledare på 1970-talet.

ANKA.  Det är en fantastiskt enkel idé när man väl vet hur det fungerar.

Små små ferritmagnetiska kärnor, som du skulle få i mitten av en transformator ... som superminiatyrbrickor.

De magnetiserades, antingen medurs eller moturs, för att betyda noll eller ett.

Det var bokstavligen magnetisk lagring.

Och den hade den roliga egenskapen, Douglas, att eftersom ferrit i huvudsak bildar en permanent magnet...

…du kan ommagnetisera den, men när du stänger av strömmen förblir den magnetiserad.

Så det var icke-flyktigt!

Om du hade ett strömavbrott kunde du i princip starta om datorn och fortsätta där du slutade.

Fantastiskt!

DOUG.  Enastående, ja... det är riktigt coolt.

ANKA.  Tydligen var MIT:s ursprungliga plan att ta ut en royalty på 0.02 USD per bit på idén.

Kan du föreställa dig hur dyrt det skulle göra, säg, ett 64 gigabyte iPhone-minne?

Det skulle vara i miljarder dollar! [SKratt]

DOUG.  Overklig.

Nåväl, lite intressant historia, men låt oss ta upp det till nutiden.

Inte så länge sedan... Microsoft Patch Tuesday.

Inga nolldagar, men ändå massor av fixar, Paul:

Patch Tuesday fixar 4 kritiska RCE-buggar och ett gäng Office-hål

ANKA.  Tja, inga nolldagar den här månaden om du bortser från det där Edge fjärrkodexekveringshålet som vi pratade om förra veckan.

DOUG.  Hmmmmmm.

ANKA.  Tekniskt sett är det inte en del av Patch Tuesday...

…men det fanns totalt 26 [RCE]-buggar för fjärrexekvering av kod och 17 buggar för höjning av privilegier [EoP].

Det är där skurkarna redan är inne, men de kan inte göra så mycket ännu, så de använder sedan EoP-felet för att få superkrafter på ditt nätverk och göra mycket elakare saker.

Fyra av dessa buggar för fjärrkörning av kod döptes till "Kritiska" av Microsoft, vilket betyder att om du är en av de personer som fortfarande gillar att göra dina patchar i en specifik ordning, är det de vi föreslår att du börjar med.

Den goda nyheten om de fyra kritiska patcharna är att tre av dem relaterar till samma Windows-komponent.

Så vitt jag kan se var det ett gäng relaterade buggar, förmodligen hittade under någon form av kodgranskning av den komponenten.

Vilket är relaterat till Windows Messaging Service, om du råkar använda det i ditt nätverk.

DOUG.  Och vi har alla tackats kollektivt för vårt tålamod med SketchUp-debaclet, som jag inte visste fanns förrän nu.

ANKA.  Precis som du, Doug, har jag aldrig använt det här programmet som heter SketchUp, som jag tror är ett 3D-grafikprogram från tredje part.

Vem visste att det skulle vara riktigt bra att kunna släppa SketchUp 3D-bilder i dina Word-, Excel-, PowerPoint-dokument?

Som du kan föreställa dig, med ett helt nytt filformat för att analysera, tolka, bearbeta, rendera inuti Office...

...Microsoft introducerade en bugg som fixades som CVE-2023-33146.

Men den dolda historien-bakom-berättelsen, om du vill, är att den 01 juni 2023 meddelade Microsoft att:

Möjligheten att infoga SketchUp-grafik har tillfälligt inaktiverats i Word, Excel, PowerPoint och Outlook för Windows och Mac.

Vi uppskattar ditt tålamod medan vi arbetar för att säkerställa säkerheten och funktionen hos den här funktionen.

Jag är glad att Microsoft uppskattar mitt tålamod, men jag kanske önskar att Microsoft själva hade varit lite mer tålamod innan de introducerade den här funktionen i Office i första hand.

Jag önskar att de hade lagt in den där *efter* att den var säker, snarare än att stoppa in den för att se om den var säker och ta reda på, som du säger (överraskning! överraskning!), att det inte var det.

DOUG.  Bra.

Låt oss hålla oss till ämnet tålamod.

Jag sa att vi skulle "hålla ett öga på det här", och jag hoppades att vi inte skulle behöva hålla ett öga på det här.

Men vi måste allitera lite, som du gjorde i rubriken.

Fler MOVEit-begränsningar: nya patchar publicerade för ytterligare skydd, Paul.

Fler MOVEit-begränsningar: nya patchar publicerade för ytterligare skydd

ANKA.  Det är det gamla goda MOVEit-problemet igen: det SQL-injektionsbugg.

Det betyder att om du använder programmet MOVEit Transfer och du inte har patchat det, då kan skurkar som kan komma åt det webbaserade gränssnittet lura din server att göra dåliga saker...

…till och med bädda in ett webbskal som låter dem vandra in senare och göra vad de vill.

Som ni vet utfärdades en CVE och Progress Software, tillverkarna av MOVEit, lade ut en patch för att hantera den kända exploateringen i naturen.

De har nu en annan patch för att ta itu med liknande buggar som, så vitt de vet, skurkarna inte har hittat ännu (men om de letade tillräckligt noga så kanske de).

Och hur konstigt det än låter, när du upptäcker att en viss del av din programvara har en bugg av ett visst slag, bör du inte bli förvånad om, när du gräver djupare...

...du upptäcker att programmeraren (eller programmeringsteamet som arbetade med det vid den tidpunkt då buggen du redan känner till introducerades) begick liknande fel ungefär samtidigt.

Så bra gjort i det här fallet, skulle jag säga, till Progress Software för att ha försökt hantera detta proaktivt.

Progress Software sa just, "Alla Move It-kunder måste tillämpa den nya patchen som släpptes den 09 juni 2023.

DOUG.  Okej, jag antar att vi... håll ett öga på det!

Paul, hjälp mig här.

Jag är i år 2023 och läser i en Rubrik för Naken Security något om "Mt. Gox."

Vad händer med mig?

Historik återbesökt: US DOJ avslöjar Mt. Gox anklagelser om cyberbrott

ANKA.  Mount Gox!

"Magic The Gathering Online Exchange", Doug, som det var...

DOUG.  [SKratt] Självklart!

ANKA.  …där du kan byta Magic The Gathering-kort.

Den domänen såldes, och de med långa minnen kommer att veta att den blev den mest populära och överlägset största Bitcoin-börsen på planeten.

Det drevs av en fransk utlänning, Mark Karpelès, från Japan.

Det hela höll på att flyta på, tydligen, tills det imploderade i en puff av kryptovalutadamm 2014, när de insåg att, löst sagt, alla deras Bitcoins hade försvunnit.

DOUG.  [SKratt] Jag borde inte skratta!

ANKA.  647,000 XNUMX av dem, eller något.

Och redan då var de redan värda omkring 800 dollar per pop, så det var en "puff" för en halv miljard amerikanska dollar.

Spännande nog, vid den tiden, pekade många fingrar på själva Mt. Gox-teamet och sa: "Åh, det här måste vara ett internt jobb."

Och faktiskt, på nyårsdagen, tror jag att det var 2015, en japansk tidning som heter Yomiuri Shimbun publicerade faktiskt en artikel som sa: "Vi har undersökt detta, och 1% av förlusterna kan förklaras med ursäkten att de har kommit på; i övrigt går vi på rekordet och säger att det var ett internt jobb.”

Nu, artikeln som de publicerade, som orsakade mycket drama eftersom det är en ganska dramatisk anklagelse, ger nu ett 404-fel [HTTP-sida hittades inte] när du besöker den idag.

DOUG.  Mycket intressant!

ANKA.  Så jag tror inte att de står för det längre.

Och faktiskt, justitiedepartementet [DOJ] i USA har äntligen, äntligen, alla dessa år senare, faktiskt anklagat två ryska medborgare för i princip att ha stulit alla Bitcoins.

Så det låter som att Mark Karpelès har fått åtminstone en partiell befrielse, med tillstånd av det amerikanska justitiedepartementet, eftersom de mycket definitivt har lagt dessa två ryska killar i ramen för detta brott för alla dessa år sedan.

DOUG.  Det är en fascinerande läsning.

Så kolla in det på Naked Security.

Allt du behöver göra är att söka efter, du gissade rätt, "Mt. Gox”.

Låt oss hålla oss till ämnet cyberbrott, eftersom en av huvudbrottslingarna bakom Gozis bankprogram har landade i fängelse efter tio långa år, Paul:

Gozi bankprogram "IT-chef" fängslades äntligen efter mer än 10 år

ANKA.  Ja... det var lite som att vänta på bussen.

Två häpnadsväckande "wow, det här hände för tio år sedan, men vi får honom till slut" kom på en gång. [SKRATT]

Och den här tyckte jag var viktig att skriva upp igen, bara för att säga: ”Detta är justitiedepartementet; de glömde honom inte."

Faktiskt. Han greps i Colombia.

Jag tror att han gjorde ett besök, och han var på Bogotás flygplats, och jag antar att gränstjänstemännen tänkte, "Åh, det namnet finns på en bevakningslista"!

Och så uppenbarligen tänkte de colombianska tjänstemännen: "Låt oss kontakta den amerikanska diplomatiska tjänsten."

De sa: "Hej, vi håller en kille här vid namn (jag kommer inte att nämna hans namn - det står i artikeln). Du brukade vara intresserad av honom, med anknytning till mycket allvarliga multimiljondollar-malwarebrott . Är du fortfarande intresserad, av någon slump?”

Och vilken överraskning, Doug, USA var verkligen väldigt intresserade.

Så han blev utlämnad, ställdes inför domstol, erkände sig skyldig och han har nu dömts.

Han kommer bara att få tre års fängelse, vilket kan tyckas vara ett lätt straff, och han måste lämna tillbaka mer än $3,000,000 XNUMX XNUMX.

Jag vet inte vad som händer om han inte gör det, men jag antar att det bara är en påminnelse om att genom att springa och gömma sig från skadlig kriminalitet...

…ja, om det finns anklagelser mot dig och USA letar efter dig, säger de inte bara, "Ah, det är tio år, vi kan lika gärna lämna det."

Och den här killens brottslighet drev vad som i jargongen kallas "skottsäkra värdar", Doug.

Det är i princip där du är en typ av internetleverantör, men till skillnad från en vanlig internetleverantör går du ut ur ditt sätt att vara ett rörligt mål för brottsbekämpning, till blocklistor och till meddelanden om borttagning från vanliga internetleverantörer.

Så, du tillhandahåller tjänster, men du behåller dem, om du vill, flytta runt och på resande fot på internet, så att skurkar betalar dig en avgift, och de vet att de domäner som du är värd för dem bara kommer att fortsätta fungerar, även om brottsbekämpande myndigheter är ute efter dig.

DOUG.  Okej, bra nyheter igen.

Paul, du har, när vi avslutar våra berättelser för dagen, brottats med en mycket svår, nyanserad, men ändå viktig fråga om lösenord.

Ska vi nämligen byta dem hela tiden på en rotation, kanske en gång i månaden?

Eller låsa in riktigt komplexa till att börja med, och sedan lämna tillräckligt bra ifred?

Tankar om schemalagda lösenordsändringar (kalla dem inte rotationer!)

ANKA.  Även om det låter som en slags gammal historia, och det är faktiskt en som vi har besökt många gånger tidigare, är anledningen till att jag skrev upp den att en läsare kontaktade mig för att fråga om just det här.

Han sa, "Jag vill inte gå in i slagträet för 2FA; Jag vill inte gå in på bat för lösenordshanterare. Det är separata frågor. Jag vill bara veta hur man löser, om du vill, gräset kriget mellan två fraktioner inom mitt företag, där vissa människor säger att vi måste göra lösenord ordentligt, och andra bara säger, 'Den båten seglade, det är för svårt, vi kommer bara att tvinga människor att ändra dem och det kommer att vara tillräckligt bra."

Så jag tyckte att det faktiskt var värt att skriva om det.

Att döma av antalet kommentarer på Naked Security, och på sociala medier, brottas många IT-team fortfarande med detta.

Om du bara tvingar folk att byta lösenord var 30:e dag eller var 60:e dag, spelar det verkligen någon roll om de väljer ett som är ytterst knäckbart om deras hash blir stulen?

Så länge de inte väljer password or secret eller ett av de tio bästa katternas namn i världen, kanske det är OK om vi tvingar dem att ändra det till ett annat inte särskilt bra lösenord innan skurkarna skulle kunna knäcka det?

Det kanske bara räcker?

Men jag har tre anledningar till varför du inte kan fixa en dålig vana genom att bara följa en annan dålig vana.

DOUG.  Den första ut ur porten: Att byta lösenord regelbundet är inte ett alternativ till att välja och använda starka, Paul.

ANKA.  Nej!

Du kanske väljer att göra båda (och jag ska ge dig två anledningar på en minut till varför jag tror att det har en annan uppsättning problem att tvinga människor att ändra dem regelbundet).

Men den enkla observationen är att att ändra ett dåligt lösenord regelbundet inte gör det till ett bättre lösenord.

Om du vill ha ett bättre lösenord, välj ett bättre lösenord till att börja med!

DOUG.  Och du säger: Att tvinga människor att ändra sina lösenord rutinmässigt kan invagga dem till dåliga vanor.

ANKA.  Att döma av kommentarerna är det precis det här problemet som många IT-team har.

Om du säger till folk, "Hej, du måste ändra ditt lösenord var 30:e dag, och det är bäst att du väljer ett bra", allt de gör är...

...de kommer att välja en bra.

De kommer att ägna en vecka åt att befästa det i minnet för resten av livet.

Och sedan lägger de till varje månad -01, -02, Och så vidare.

Så om skurkarna knäcker eller kompromissar med ett av lösenorden, och de ser ett sådant mönster, kan de i stort sett räkna ut vad ditt lösenord är idag om de känner till ditt lösenord för sex månader sedan.

Så det är där att tvinga fram förändring när det inte är nödvändigt kan leda till att människor tar genvägar till cybersäkerhet som du inte vill att de ska göra.

DOUG.  Och det här är en intressant sådan.

Vi har pratat om det här tidigare, men det är något som vissa kanske inte har tänkt på: Att schemalägga lösenordsändringar kan försena nödåtgärder.

Vad menar du med det?

ANKA.  Poängen är att om du har ett formaliserat, fast schema för lösenordsbyten så att alla vet att när den sista dagen i denna månad kommer, kommer de att tvingas ändra sitt lösenord ändå...

...och sedan tänker de: "Vet du vad? Det är den 12:e i månaden och jag gick till en webbplats som jag inte är säker på som kunde ha varit en nätfiskesida. Nåväl, jag ska i alla fall byta lösenord om två veckor, så jag ska inte gå och byta det nu.”

Så genom att ändra dina lösenord *regelbundet*, kan du hamna i en vana där du ibland, när det är riktigt, riktigt viktigt, inte ändrar ditt lösenord *ofta* tillräckligt.

Om och när du tycker att det finns en bra anledning att ändra ditt lösenord, GÖR DET NU!

DOUG.  Jag älskar det!

Okej, låt oss höra från en av våra läsare om lösenordet.

Naken Security-läsaren Philip skriver delvis:

Att byta lösenord ofta för att inte kompromissa är som att tro att om du springer tillräckligt snabbt kan du undvika alla regndroppar.

OK, du undviker regndropparna som faller bakom dig, men det kommer att finnas lika många dit du ska.

Och, tvingade att regelbundet ändra sina lösenord, kommer ett mycket stort antal personer helt enkelt att lägga till ett nummer som de kan öka efter behov.

Som du sa, Paul!

ANKA.  Din vän och min, sa Chester [Wisniewski] för några år sedan när vi pratade om lösenordsmyter, "Allt de behöver göra [skrattar], för att räkna ut vad numret är på slutet, är att gå till din LinkedIn-sida. "Började på det här företaget i augusti 2017"... räkna antalet månader sedan dess."

Det är numret du behöver på slutet.

Sophos Techknow – Avbryt lösenordsmyter

DOUG.  Exakt! [SKRATT]

ANKA.  Och problemet kommer att när du försöker schemalägga, eller algoritmer... är det ett ord?

(Det borde det nog inte vara, men jag använder det ändå.)

När du försöker ta idén om slumpmässighet, och entropi och oförutsägbarhet, och sammanföra den i någon superstrikt algoritm, som algoritmen som beskriver hur tecknen och siffrorna läggs ut på fordonsetiketter, till exempel...

…då får du *mindre* slumpmässighet, inte *mer*, och det måste du vara medveten om.

Så att tvinga människor att göra vad som helst som får dem att falla in i ett mönster är, som Chester sa då, helt enkelt att få dem till en dålig vana.

Och jag älskar det sättet att uttrycka det.

DOUG.  Okej, tack så mycket för att du skickade in det, Philip.

Och om du har en intressant berättelse, kommentar eller fråga som du vill skicka in, vill vi gärna läsa den i podden.

Du kan skicka e-post till tips@sophos.com, kommentera någon av våra artiklar eller kontakta oss på sociala medier: @nakedsecurity.

Det är vår show för idag.

Tack så mycket för att du lyssnade.

För Paul Ducklin, jag är Doug Aamoth, påminner dig, tills nästa gång, att...

BÅDE.  Håll dig säker!

[MUSIKALT MODEM]

Tidsstämpel:

Mer från Naken säkerhet