S3 Ep143: Supercookie-övervakningsskicklar

Ingen ljudspelare nedan? Lyssna direkt på Soundcloud.

DOUG.  En nödpatch för Apple, gasbelysningsdatorer och VARFÖR KAN JAG INTE FORTSÄTTA ANVÄNDA WINDOWS 7?

Allt det och mer i podden Naked Security.

[MUSIKALT MODEM]

Välkommen till podden, alla.

Jag är Doug Aamoth; han är Paul Ducklin.

Paul, hur gör du?

---

ANKA.  Jag är lite förvånad, Doug.

Du var väldigt dramatisk över behovet av att fortsätta använda Windows 7!

---

DOUG.  Tja, som många människor är jag arg över det (skämt!), och vi ska prata om det om lite.

Men först en mycket viktig Denna vecka i teknisk historia segmentet.

Den 11 juli 1976 markerade den sista flämtningen för ett en gång vanligt matematiskt beräkningsverktyg.

Jag syftar givetvis på glidregeln.

Den slutgiltiga amerikanska modellen som producerades, en Keuffel & Esser 4081-3, presenterades för Smithsonian Institution, vilket markerar slutet på en matematisk era...

…en era som blivit föråldrad av datorer och miniräknare som Pauls favorit, HP-35.

Så, Paul, jag tror att du har blod på händerna, sir.

---

ANKA.  Jag har aldrig ägt en HP-35.

För det första var jag alldeles för ung, och för det andra kostade de 395 dollar var när de kom in.

---

DOUG.  [skrattar] Wow!

---

ANKA.  Så det tog ytterligare ett par år för priserna att krascha, när Moores lag slog in.

Och då ville folk inte använda glidregler längre.

Min pappa gav mig sin gamla, och jag uppskattade den saken för den var fantastisk...

…och jag ska berätta vad en bildregel lär dig, för när du använder den för multiplikation omvandlar du i princip de två talen du vill multiplicera till tal mellan 1 och 10, och sedan multiplicerar du dem tillsammans.

Och sedan måste du räkna ut var decimalkomman går.

Om du dividerar ett tal med 100 och multiplicerar det andra med 1000 för att få dem inom intervallet, måste du totalt sett lägga till en nolla, för att multiplicera med 10, i slutet.

Så det var ett fantastiskt sätt att lära dig själv om svaren du fick från din elektroniska miniräknare, där du skrev in långa siffror som 7,000,000,000 XNUMX XNUMX XNUMX...

...om du faktiskt hade storleksordningen, exponenten, rätt.

Diaregler och deras utskrivna motsvarighet, loggtabeller, lärde dig mycket om hur du hanterar storleksordningar i ditt huvud och inte accepterar falska resultat för lätt.

---

DOUG.  Jag har aldrig använt en, men det låter väldigt spännande utifrån det du just beskrev.

Låt oss hålla spänningen igång.

Förra veckan, Firefox frigörs version 115:

Firefox 115 är ute, säger farväl till användare av äldre Windows- och Mac-versioner

De inkluderade en anteckning som jag skulle vilja läsa, och jag citerar:

I januari 2023 avslutade Microsoft stödet för Windows 7 och Windows 8.

Som en konsekvens är detta den sista versionen av Firefox som användare på dessa operativsystem kommer att få.

Och jag känner att varje gång en av dessa anteckningar läggs till i en slutlig version kommer folk ut och säger: "Varför kan jag inte fortsätta använda Windows 7?"

Vi hade till och med en kommentator som sa att Windows XP är bara bra.

Så vad skulle du säga till dessa människor, Paul, som inte vill gå vidare från operativsystemversioner som de älskar?

---

ANKA.  Det bästa sättet för mig att uttrycka det, Doug, är att läsa tillbaka vad jag anser att de bättre informerade kommentatorerna i vår artikel sa.

Alex Fair skriver:

Det handlar inte bara om vad *du* vill, utan om hur du kan utnyttjas och utnyttjas, och i sin tur skada andra.

Och Paul Roux sa ganska satiriskt:

Varför kör folk fortfarande Windows 7 eller XP för den delen?

Om orsaken är att nyare operativsystem är dåliga, varför inte använda Windows 2000?

Heck, NT 4 var så fantastisk att den fick SEX servicepack!

---

DOUG.  [SKratt] 2000 *var* fantastiskt, dock.

---

ANKA.  Det handlar inte bara om dig.

Det handlar om det faktum att ditt system innehåller buggar, som skurkar redan vet hur man utnyttjar, som aldrig, aldrig kommer att korrigeras.

Så svaret är att ibland måste du helt enkelt släppa taget, Doug.

---

DOUG.  "Det är bättre att ha älskat och förlorat än att aldrig ha älskat alls", som de säger.

Låt oss hålla oss till ämnet Microsoft.

Patch Tisdag, Paul, ger rikligt.

Microsoft patchar fyra noll-dagar, äntligen vidtar åtgärder mot drivrutiner för kriminalitetsprogramvara

---

ANKA.  Ja, det vanliga stora antalet buggar fixade.

De stora nyheterna från detta, de saker du behöver komma ihåg (och det finns två artiklar du kan go och konsultera på news.sophos.com om du vill veta de blodiga detaljerna)...

En fråga är att fyra av dessa insekter finns i det vilda, nolldagars, redan exploaterade hål.

Två av dem är säkerhetsförbikopplingar, och hur trivialt det än låter, de hänför sig tydligen till att klicka på webbadresser eller öppna saker i e-postmeddelanden där du normalt skulle få en varning som säger: "Är du verkligen säker på att du vill göra det här?"

Vilket annars kan hindra en hel del människor från att göra ett oönskat misstag.

Och det finns två Elevation-of-Privilege (EoP) hål fasta.

Och även om Elevation of Privilege vanligtvis betraktas som mindre än Remote Code Execution, där skurkar använder buggen för att bryta sig in i första hand, har problemet med EoP att göra med skurkar som redan "strosar med uppsåt" i ditt nätverk .

Det är som om de kan uppgradera sig själva från att vara gäst i en hotellobby till en superhemlighetsfull, tyst inbrottstjuv som plötsligt och magiskt har tillgång till alla rum på hotellet.

Så de är definitivt värda att se upp för.

Och det finns en speciell säkerhetsråd från Microsoft...

…ja, det finns flera av dem; den jag vill uppmärksamma dig på är ADV23001, vilket i grunden är Microsoft som säger: "Hej, kom ihåg när Sophos-forskare rapporterade till oss att de hade hittat en hel mängd rootkittery på gång med signerade kärndrivrutiner som även moderna Windows bara skulle ladda för att de var godkända för användning?”

Jag tror att det till slut fanns långt över 100 sådana signerade förare.

Den stora nyheten i detta råd är att Microsoft äntligen alla dessa månader senare har sagt, "OK, vi kommer att stoppa dessa drivrutiner från att laddas och börja blockera dem automatiskt."

[IRONISK] Vilket jag antar är ganska stort av dem, egentligen, när åtminstone några av dessa drivrutiner faktiskt signerades av Microsoft själv, som en del av deras hårdvarukvalitetsprogram. [skrattar]

Om du vill hitta historien bakom berättelsen, som sagt, gå bara till news.sophos.com och sök efter "chaufförer".

Microsoft återkallar skadliga drivrutiner i Patch Tuesday Culling

---

DOUG.  Utmärkt.

Okej, nästa berättelse... Jag är fascinerad av den här rubriken av så många anledningar: Rowhammer återgår för att gasbelysa din dator.

Allvarlig säkerhet: Rowhammer återvänder för att gasbelysa din dator

Paul, berätta om...

[TILL SLÄNDA AV PETER GABRIELS "SLEDGEHAMMER"] Berätta för mig om...

---

BÅDE.  [SÅNG] Rodhammare!

---

DOUG.  [skrattar] Klarade det!

---

ANKA.  Fortsätt, nu måste du göra riffen.

---

DOUG.  [SYNTESERAR EN SYNTETISER] Doodly-doo da doo, doo do doo.

---

ANKA.  [IMPONERAD] Mycket bra, Doug!

---

DOUG.  Tack.

---

ANKA.  De som inte minns det här från det förflutna: "Rowhammer" är jargongnamnet som påminner oss om att kondensatorerna, där minnesbitar (ettor och nollor) är lagrade i modernt DRAM, eller dynamiska minneschips för direktåtkomst, är så nära tillsammans…

När du skriver till en av dem (du måste faktiskt läsa och skriva kondensatorerna i rader åt gången, alltså "radhammare"), när du gör det, eftersom du har läst raden, har du laddat ur kondensatorerna.

Även om allt du har gjort är att titta på minnet, måste du skriva tillbaka det gamla innehållet, annars går det förlorat för alltid.

När du gör det, eftersom dessa kondensatorer är så små och så nära varandra, finns det en liten chans att kondensatorer i en eller båda av de närliggande raderna kan ändra sitt värde.

Nu kallas det DRAM eftersom det inte håller sin laddning på obestämd tid, som statiskt RAM eller flashminne (med flashminne kan du till och med stänga av strömmen och det kommer ihåg vad som fanns där).

Men med DRAM, efter ungefär en tiondels sekund, kommer i princip laddningarna i alla dessa små kondensatorer att ha försvunnit.

Så de behöver skrivas om hela tiden.

Och om du skriver om supersnabbt kan du faktiskt få bitar i närminnet att vända.

Historiskt sett är anledningen till att detta har varit ett problem att om du kan spela med minnesjustering, även om du inte kan förutsäga vilka bitar som kommer att vända, kan du *kanske* bråka med saker som minnesindex, sidtabeller, eller data inuti kärnan.

Även om allt du gör är att läsa från minnet eftersom du har oprivilegierad tillgång till det minnet utanför kärnan.

Och det är vad radhammarsattacker hittills har tenderat att fokusera på.

Nu, vad dessa forskare från University of California i Davis gjorde är att de tänkte: "Ja, jag undrar om bitflip-mönstren, så pseudoslumpmässiga som de är, är konsekventa för olika leverantörer av chips?"

Vilket låter som en "supercookie", eller hur?

Något som identifierar din dator nästa gång.

Och faktiskt, forskarna gick ännu längre och fann att individuella chips ... eller minnesmoduler (de har vanligtvis flera DRAM-chips på dem), DIMM, dubbla inline-minnesmoduler som du kan klippa in i kortplatserna i din stationära dator, till exempel, och i vissa bärbara datorer.

De upptäckte att bitflip-mönstren faktiskt kunde omvandlas till en sorts irisskanning, eller något liknande, så att de kunde känna igen DIMM-modulerna senare genom att göra radhammarsattacken igen.

Med andra ord, du kan rensa cookies från din webbläsare, du kan ändra listan över applikationer du har installerat, du kan ändra ditt användarnamn, du kan installera om ett helt nytt operativsystem, men minneschipsen, i teorin, ger dig bort.

Och i det här fallet är tanken: superkakor.

Mycket intressant och väl värt att läsa.

---

DOUG.  Det är coolt!

En annan sak med att skriva nyheter, Paul: du är en bra nyhetsskribent, och tanken är att haka på läsaren direkt.

Så i den första meningen i nästa artikel säger du: "Även om du inte har hört talas om det ärevördiga Ghostscript-projektet, kan du mycket väl ha använt det utan att veta."

Jag är nyfiken, eftersom rubriken är: Ghostscript-bugg kan tillåta oseriösa dokument att köra systemkommandon.

Ghostscript-bugg kan tillåta oseriösa dokument att köra systemkommandon

Berätta mer!

---

ANKA.  Tja, Ghostscript är en gratis implementering med öppen källkod av Adobes PostScript- och PDF-språk.

(Om du inte har hört talas om PostScript, ja, PDF är typ "PostScript Next Generation".)

Det är ett sätt att beskriva hur man skapar en utskriven sida, eller en sida på en datorskärm, utan att tala om för enheten vilka pixlar som ska aktiveras.

Så du säger, "Rita fyrkant här; rita triangel här; använd detta vackra typsnitt."

Det är ett programmeringsspråk i sig som ger dig enhetsoberoende kontroll över saker som skrivare och skärmar.

Och Ghostscript är som sagt ett gratis och öppen källkodsverktyg för att göra just det.

Och det finns många andra produkter med öppen källkod som använder exakt detta verktyg som ett sätt att importera saker som EPS-filer (Encapsulated PostScript), som du kan få från ett designföretag.

Så du kanske har Ghostscript utan att inse det – det är det viktigaste problemet.

Och det här var en liten men riktigt irriterande bugg.

Det visar sig att ett oseriöst dokument kan säga saker som, "Jag vill skapa lite utdata och jag vill lägga det i ett filnamn XYZ."

Men om du sätter i början av filnamnet, %pipe%, och *sedan* filnamnet...

...det filnamnet blir namnet på ett kommando att köra som kommer att bearbeta utdata från Ghostscript i vad som kallas en "pipeline".

Det kan låta som en lång historia för en enda bugg, men den viktiga delen av den här historien är att efter att ha åtgärdat det problemet: "Åh, nej! Vi måste vara försiktiga om filnamnet börjar med tecknen %pipe%, eftersom det faktiskt betyder att det är ett kommando, inte ett filnamn."

Det kan vara farligt, eftersom det kan orsaka fjärrkörning av kod.

Så de korrigerade den buggen och sedan insåg någon, "Vet du vad, buggar går ofta i par eller i grupper."

Antingen liknande kodningsfel någon annanstans i samma kodbit, eller mer än ett sätt att utlösa den ursprungliga buggen.

Och det var då någon i Ghostscript Script-teamet insåg: "Vet du vad, vi låter dem också skriva | [vertical bar, dvs. "pipe"-tecknet] mellanslagskommandonamn också, så vi måste kontrollera det också.”

Så det fanns en patch, följt av en patch-to-the-patch.

Och det är inte nödvändigtvis ett tecken på dålighet från programmeringsteamets sida.

Det är faktiskt ett tecken på att de inte bara gjorde minsta möjliga arbete, signerade det och lät dig lida av den andra buggen och vänta tills den hittades i naturen.

---

DOUG.  Och att du inte tror att vi är färdiga med att prata om buggar, pojke, har vi en doozie för dig!

En Apple-patch för nödsituationer dykt, Och sedan ouppstått, och sedan kommenterade Apple typ/typ om det, vilket betyder att upp är ner och vänster är höger, Paul.

Brådskande! Apple åtgärdar kritiska nolldagarshål i iPhones, iPads och Macs

---

ANKA.  Ja, det är lite av en komedi av misstag.

Jag tycker nästan, men inte riktigt, synd om Apple på den här...

…men på grund av deras insisterande på att säga så lite som möjligt (när de inte säger någonting alls), är det fortfarande inte klart vems fel det är.

Men historien lyder så här: "Åh nej! Det finns en 0-dag i Safari, i WebKit (webbläsarmotorn som används i varje enskild webbläsare på din iPhone och i Safari på din Mac), och skurkar/spionprogramleverantörer/någon använder uppenbarligen detta för stor ondska.”

Med andra ord, "look-and-be-pwned", eller "drive-by install", eller "noll-klick-infektion", eller vad du nu vill kalla det.

Så Apple, som ni vet, har nu detta Rapid Security Response-system (åtminstone för de senaste iOS, iPadOS och macOS) där de inte behöver skapa en fullständig systemuppgradering, med ett helt nytt versionsnummer som du aldrig kan nedgradera från, varje gång det finns en 0-dag.

Alltså snabba säkerhetssvar.

Det här är de saker som, om de inte fungerar, kan du ta bort dem efteråt.

Den andra saken är att de i allmänhet är väldigt små.

Bra!

Problemet är... det verkar som att eftersom dessa uppdateringar inte får ett nytt versionsnummer, var Apple tvungen att hitta ett sätt att ange att du redan hade installerat Rapid Security Response.

Så vad de gör är att du tar ditt versionsnummer, som iOS 16.5.1, och de lägger till ett mellanslag efter det och sedan (a).

Och ordet på gatan är att vissa webbplatser (jag ska inte namnge dem eftersom det här är hörsägen)...

…när de undersökte User-Agent sträng i Safari, som inkluderar (a) bara för fullständighetens skull, gick: "Whoooooa! Vad är (a) gör i ett versionsnummer?”

Så, vissa användare rapporterade några problem, och Apple tydligen drog uppdateringen.

Apple drar tyst sin senaste nolldagsuppdatering – vad nu?

Och sedan, efter en hel massa förvirring, och ytterligare en artikel om Naked Security, och ingen riktigt visste vad som pågick... [SKRATT]

…Apple publicerade äntligen HT21387, en säkerhetsbulletin som de producerade innan de faktiskt hade patchen redo, vilket de vanligtvis inte gör.

Men det var nästan värre än att inte säga något, eftersom de sa: "På grund av detta problem, snabb säkerhetsrespons (b) kommer snart att finnas tillgänglig för att lösa detta problem."

Och det är allt. [SKRATT]

De säger inte riktigt vad problemet är.

De säger inte om det beror på User-Agent strängar eftersom problemet i så fall kanske ligger mer i webbplatsen i andra änden än hos Apple själva?

Men Apple säger inte.

Så vi vet inte om det är deras fel, webbserverns fel eller båda.

Och de säger bara "snart", Doug.

---

DOUG.  Det här är ett bra tillfälle att ta in vår läsarfråga.

I den här Apple-berättelsen frågar läsaren JP:

Varför behöver webbplatser inspektera din webbläsare så mycket?

Det är för snopet och förlitar sig på gamla sätt att göra saker på.

Vad säger du till det, Paul?

---

ANKA.  Jag undrade just den frågan själv och letade efter: "Vad ska du göra med User-Agent strängar?”

Det verkar vara lite av ett ständigt problem för webbplatser där de försöker vara supersmarta.

Så jag gick till MDN (det som brukade vara, tror jag, Mozilla Developer Network, men det är nu en community-webbplats), vilket är en av de bästa resurserna om du undrar, "Vad sägs om HTTP-rubriker? Hur är det med HTML? Hur är det med JavaScript? Hur är det med CSS? Hur hänger allt detta ihop?"

Och deras råd är helt enkelt: "Snälla, alla, sluta titta på User-Agent sträng. Du gör bara ett spö för din egen rygg och en massa komplexitet för alla andra."

Så varför tittar sajter på User-Agent?

[WRY] Jag antar för att de kan. [SKRATT]

När du skapar en webbplats, fråga dig själv: "Varför går jag ner i det här kaninhålet för att ha ett annat sätt att svara baserat på någon konstig bit av en sträng någonstans i User-Agent? "

Försök och tänk bortom det, så blir livet enklare för oss alla.

---

DOUG.  Okej, väldigt filosofiskt!

Tack, JP, för att du skickade in det.

Om du har en intressant berättelse, kommentar eller fråga som du vill skicka in, läser vi det gärna i podden.

Du kan skicka e-post till tips@sophos.com, kommentera någon av våra artiklar eller kontakta oss på sociala medier: @nakedsecurity.

Det är vår show för idag; tack så mycket för att du lyssnade.

För Paul Ducklin, jag heter Doug Aamoth, och påminner dig: Tills nästa gång...

---

BÅDE.  Håll dig säker!

[MUSIKALT MODEM]