S3 Ep139: Правила паролів схожі на біг під дощем?

Нижче немає аудіоплеєра? Слухай безпосередньо на Soundcloud.

ДУГ.  Патч-вівторок, кіберзлочинність і веселощі з паролями.

Все це та багато іншого в подкасті Naked Security.

[МУЗИЧНИЙ МОДЕМ]

Ласкаво просимо в подкаст, усі.

Я Дуг Аамот; він Пол Даклін.

Павле, як ти сьогодні?

---

КАЧКА.  Дуг, я не повинен цього говорити… але тому що я знаю, що буде Цей тиждень з історії технологій, тому що ви дали мені попередній перегляд, я дуже схвильований!

---

ДУГ.  Гаразд, добре, давайте відразу!

Цього тижня, 15 червня, далекого 1949 року, Джей Форрестер, який був професором Массачусетського технологічного інституту (MIT), написав...

---

КАЧКА.  [ІСМІШНА ДРАМА] Не кажи це так, наче ти з Бостона й самовдоволений цим, Дуг? [СМІХ]

---

ДУГ.  Гей, це прекрасний кампус; Я був там багато разів.

---

КАЧКА.  Це також свого роду відома інженерна школа, чи не так? [СМІЄТЬСЯ]

---

ДУГ.  Це точно!

Джей Форрестер записав пропозицію щодо «основної пам’яті» у своєму блокноті, а пізніше встановив магнітну пам’ять на комп’ютер Whirlwind Массачусетського технологічного інституту.

Цей винахід зробив комп’ютери надійнішими та швидшими.

Основна пам'ять залишалася популярним вибором для зберігання комп'ютерів до розробки напівпровідників у 1970-х роках.

---

КАЧКА.  Це фантастично проста ідея, якщо ви знаєте, як це працює.

Крихітні феритові магнітні сердечники, як у центрі трансформатора… як супермініатюрні шайби.

Вони були намагнічені за або проти годинникової стрілки, щоб означати нуль або одиницю.

Це буквально був магнітний накопичувач.

І він мав дивну особливість, Дугласе, оскільки ферит по суті утворює постійний магніт...

…ви можете намагнітити його, але коли ви вимкнете живлення, він залишиться намагніченим.

Так він був енергонезалежним!

Якщо у вас стався збій живлення, ви могли б перезавантажити комп’ютер і продовжити з місця, на якому зупинилися.

Дивовижний!

---

ДУГ.  Чудово, так... це справді круто.

---

КАЧКА.  Очевидно, початковий план Массачусетського технологічного інституту полягав у тому, щоб стягувати гонорар у розмірі 0.02 долара США за біт за цю ідею.

Ви можете собі уявити, наскільки це коштуватиме, скажімо, 64 гігабайти пам’яті iPhone?

Це було б мільярди доларів! [СМІЄТЬСЯ]

---

ДУГ.  Нереальний

Що ж, цікава історія, але давайте перенесемо її до сучасності.

Не так давно… Microsoft Patch Tuesday.

Без нульових днів, але все ж багато виправлень, Павло:

Патч у вівторок виправляє 4 критичні помилки RCE і купу дірок Office

---

КАЧКА.  Що ж, цього місяця не буде жодних нульових днів, якщо ви проігноруєте ту дірку у віддаленому виконанні коду Edge, про яку ми говорили минулого тижня.

---

ДУГ.  Хммммм.

---

КАЧКА.  Технічно це не є частиною Patch Tuesday…

…але загалом було 26 помилок віддаленого виконання коду [RCE] і 17 помилок підвищення привілеїв [EoP].

Ось де шахраї вже тут, але вони ще не можуть багато чого зробити, тому вони потім використовують помилку EoP, щоб отримати надздібності у вашій мережі та робити набагато більше підлих речей.

Чотири з цих помилок віддаленого виконання коду корпорація Майкрософт назвала «Критичними», що означає, що якщо ви один із тих людей, які все ще люблять виконувати свої виправлення в певному порядку, ми радимо вам почати з них.

Хороша новина щодо чотирьох критичних виправлень полягає в тому, що три з них стосуються одного компонента Windows.

Наскільки я можу зрозуміти, це була купа пов’язаних помилок, імовірно, знайдених під час перевірки коду цього компонента.

Що стосується служби обміну повідомленнями Windows, якщо ви використовуєте її у своїй мережі.

---

ДУГ.  І ми всі колективно подякували за наше терпіння щодо катастрофи SketchUp, про існування якої я досі не знав.

---

КАЧКА.  Як і ти, Дуг, я ніколи не користувався цією програмою під назвою SketchUp, яка, на мою думку, є сторонньою програмою для тривимірної графіки.

Хто знав, що було б справді чудово мати можливість розміщувати 3D-зображення SketchUp у своїх документах Word, Excel, PowerPoint?

Як ви можете собі уявити, з абсолютно новим форматом файлів для аналізу, інтерпретації, обробки, відтворення всередині Office…

…Microsoft представила помилку, яка була виправлена ​​як CVE-2023-33146.

Але прихована історія, яка стоїть за історією, якщо хочете, полягає в тому, що 01 червня 2023 року Microsoft оголосила, що:

Можливість вставляти графіку SketchUp тимчасово вимкнена в Word, Excel, PowerPoint і Outlook для Windows і Mac.

Ми цінуємо ваше терпіння, оскільки працюємо над забезпеченням безпеки та функціональності цієї функції.

Я радий, що корпорація Майкрософт цінує моє терпіння, але я, мабуть, хотів би, щоб сама корпорація Майкрософт була трохи терплячішою, перш ніж запроваджувати цю функцію в Office.

Мені б хотілося, щоб вони помістили його туди *після* того, як він був безпечним, а не поставили його, щоб перевірити, чи він безпечний, і виявили, як ви сказали (сюрприз! сюрприз!), що це не так.

---

ДУГ.  Відмінно.

Давайте зупинимося на темі терпіння.

Я сказав, що ми будемо «стежити за цим», і я сподівався, що нам не потрібно буде стежити за цим.

Але ми маємо трохи алітерувати, як ви зробили в заголовку.

Більше засобів захисту від MOVEit: опубліковано нові виправлення для додаткового захисту, Павло.

Більше засобів захисту від MOVEit: опубліковано нові виправлення для додаткового захисту

---

КАЧКА.  Це знову стара добра проблема MOVEit: Помилка ін'єкції SQL.

Це означає, що якщо ви використовуєте програму MOVEit Transfer і не виправляєте її, то шахраї, які мають доступ до веб-інтерфейсу, можуть обманом змусити ваш сервер робити погані дії…

…аж до вбудовування веб-оболонки, яка дозволить їм блукати пізніше та робити все, що вони хочуть.

Як ви знаєте, було видано CVE, і Progress Software, виробники MOVEit, випустили патч для боротьби з відомим експлойтом у дикій природі.

Тепер у них є ще один патч для вирішення подібних помилок, які, наскільки їм відомо, шахраї ще не знайшли (але якби вони придивилися, могли б).

І, як би дивно це не звучало, коли ви виявляєте, що певна частина вашого програмного забезпечення містить помилку певного типу, ви не повинні дивуватися, якщо копнувши глибше...

…ви виявляєте, що програміст (або команда програмістів, яка працювала над цим у той час, коли виникла помилка, про яку ви вже знаєте), припустився подібних помилок приблизно в той самий час.

У цьому випадку, я б сказав, молодець Progress Software за спроби впоратися з цим проактивно.

Progress Software щойно сказав, «Усі клієнти Move It повинні застосувати новий патч, випущений 09 червня 2023 року.

---

ДУГ.  Гаразд, гадаю, ми будемо… стежити за цим!

Пол, допоможи мені тут.

Я в 2023 році, читаю в a Заголовок «Гола безпека». щось про “Mt. Гокс».

Що зі мною відбувається?

Повернення до історії: Міністерство юстиції США знімає звинувачення в кіберзлочинах на Маунт-Гокс

---

КАЧКА.  Гора Гокс!

«Magic The Gathering Online Exchange», Дуг, як це було…

---

ДУГ.  [СМІЄТЬСЯ] Звичайно!

---

КАЧКА.  … де можна обмінювати карти Magic The Gathering.

Цей домен було продано, і ті з довгою пам’яттю знатимуть, що він перетворився на найпопулярнішу та, безперечно, найбільшу біржу біткойнів на планеті.

Його керував французький емігрант Марк Карпелес з Японії.

Очевидно, все йшло гладко, поки в 2014 році не вибухнуло у клубі криптовалютного пилу, коли вони зрозуміли, що, грубо кажучи, усі їхні біткойни зникли.

---

ДУГ.  [СМІЄТЬСЯ] Я не повинен сміятися!

---

КАЧКА.  647,000 XNUMX з них, або щось таке.

І навіть тоді вони вже коштували близько 800 доларів за штуку, тож це було півмільярда доларів США.

Інтригуюче те, що в той час багато пальців вказували на саму команду Маунт-Гокс, кажучи: «О, це, мабуть, внутрішня робота».

І справді, на Новий рік, я думаю, це було в 2015 році, японська газета під назвою Yomiuri Shimbun справді опублікувала статтю, в якій говорилося: «Ми розглянули це, і 1% втрат можна пояснити тим, що вони придумав; щодо решти, ми офіційно говоримо, що це була внутрішня робота».

Ця стаття, яку вони опублікували, яка викликала багато драми, тому що це досить драматичне звинувачення, тепер видає помилку 404 [HTTP-сторінку не знайдено], коли ви відвідуєте її сьогодні.

---

ДУГ.  Дуже цікаво!

---

КАЧКА.  Тому я не думаю, що вони більше стоять на цьому.

І справді, Міністерство юстиції [DOJ] Сполучених Штатів нарешті, нарешті, через багато років фактично висунуло звинувачення двом громадянам Росії фактично в крадіжці всіх біткойнів.

Тож схоже на те, що Марка Карпелеса принаймні частково звільнили від відповідальності Міністерство юстиції США, тому що вони дуже точно поставили цих двох росіян у рамки цього злочину багато років тому.

---

ДУГ.  Це захоплююче читання.

Тож перевірте це на Naked Security.

Все, що вам потрібно зробити, це знайти, як ви здогадалися, «Mt. Gox».

Зупинимося на темі кіберзлочинності, оскільки один із головних порушників банківського шкідливого ПЗ Gozi потрапив у в'язницю після десяти довгих років, Пол:

«ІТ-керівник» банківського програмного забезпечення Gozi нарешті ув’язнений після більш ніж 10 років

---

КАЧКА.  Так… це було трохи схоже на очікування автобуса.

Одразу з’явилися дві дивовижні історії: «Вау, це сталося десять років тому, але ми його зрештою дістанемо». [СМІХ]

І це, як я подумав, було важливо написати знову, просто сказати: «Це Міністерство юстиції; вони не забули про нього».

Насправді. Його заарештували в Колумбії.

Я вважаю, що він навідався, і він був в аеропорту Боготи, і я припускаю, що прикордонники подумали: «О, це ім’я в списку спостереження»!

І тому, очевидно, колумбійські чиновники подумали: «Давайте зв’яжемося з дипломатичною службою США».

Вони сказали: «Гей, ми тримаємо тут хлопця на ім’я (я не буду згадувати його ім’я – це в статті).. колись ви цікавилися ним, пов’язаним із дуже серйозними багатомільйонними злочинами зловмисного програмного забезпечення . Випадково все ще зацікавлені?»

І, який сюрприз, Дуг, США справді були дуже зацікавлені.

Отже, його екстрадували, постали перед судом, визнали провину, і тепер йому винесено вирок.

Він отримає лише три роки в'язниці, що може здатися легким вироком, і він має повернути понад 3,000,000 XNUMX XNUMX доларів.

Я не знаю, що станеться, якщо він цього не зробить, але я думаю, що це лише нагадування, що, бігаючи та ховаючись від злочинності, пов’язаної зі зловмисним програмним забезпеченням…

…ну, якщо проти вас висунуті звинувачення і США вас шукають, вони не просто кажуть: «Ах, це десять років, ми могли б залишити це».

І злочинність цього хлопця полягала в тому, що Дуг, відомий на жаргоні як «куленепробивний хост».

По суті, це те, що ви начебто провайдер, але на відміну від звичайного провайдера, ви докладаєте всіх зусиль, щоб бути рухомою мішенню для правоохоронних органів, списків блокування та повідомлень про видалення від звичайних провайдерів.

Отже, ви надаєте послуги, але ви продовжуєте їх, якщо хочете, переміщуючи в Інтернеті, щоб шахраї платили вам комісію, і вони знали, що домени, які ви розміщуєте для них, просто продовжуватимуть працювати, навіть якщо правоохоронні органи переслідують вас.

---

ДУГ.  Гаразд, знову чудові новини.

Поле, коли ми завершуємо наші розповіді на день, ти зіткнувся з дуже складною, нюансованою, але важливе питання про паролі.

А саме, чи повинні ми постійно змінювати їх по черзі, можливо, раз на місяць?

Або зафіксувати справді складні для початку, а потім залишити в спокої?

Думки щодо запланованих змін паролів (не називайте їх ротаціями!)

---

КАЧКА.  Хоча це звучить як якась стара історія, і справді це історія, яку ми відвідували багато разів раніше, причина, чому я написав це, полягає в тому, що читач зв’язався зі мною, щоб запитати про це саме.

Він сказав: «Я не хочу йти в биту для 2FA; Я не хочу йти в bat для менеджерів паролів. Це окремі питання. Я просто хочу знати, як врегулювати, якщо хочете, війну за територію між двома фракціями всередині моєї компанії, де одні люди кажуть, що нам потрібно правильно використовувати паролі, а інші просто кажуть: «Цей човен поплив, це надто важко, ми просто змусимо людей змінити їх, і цього буде достатньо».

Тому я подумав, що про це варто написати.

Судячи з кількості коментарів про Naked Security і в соціальних мережах, багато IT-команд все ще борються з цим.

Якщо ви просто змушуєте людей змінювати свої паролі кожні 30 або 60 днів, чи справді це має значення, якщо вони виберуть той, який можна зламати, якщо їхній хеш викрадуть?

Поки не виберуть password or secret або одне з десяти найкращих котячих імен у світі, можливо, це добре, якщо ми змусимо їх змінити його на інший не дуже хороший пароль, перш ніж шахраї зможуть його зламати?

Можливо, цього достатньо?

Але у мене є три причини, чому ви не можете виправити погану звичку, просто дотримуючись іншої поганої звички.

---

ДУГ.  Перший з воріт: Регулярна зміна паролів не є альтернативою вибору та використанню надійних, Пол.

---

КАЧКА.  Ні!

Ви можете вибрати і те, і інше (і за хвилину я наведу вам дві причини, чому я вважаю, що змушувати людей регулярно змінювати їх має інші проблеми).

Але просте спостереження полягає в тому, що регулярна зміна неправильного пароля не робить його кращим.

Якщо вам потрібен кращий пароль, виберіть для початку кращий!

---

ДУГ.  А ти кажеш: Змушення людей регулярно змінювати паролі може призвести до шкідливих звичок.

---

КАЧКА.  Судячи з коментарів, це саме та проблема багатьох айтішників.

Якщо ви скажете людям: «Гей, вам потрібно змінювати свій пароль кожні 30 днів, і вам краще вибрати хороший», все, що вони зроблять, це…

…вони виберуть хорошого.

Вони проведуть тиждень, запам’ятовуючи це на все життя.

А потім щомісяця додаватимуться -01, -02, І так далі.

Отже, якщо шахраї все ж зламають або скомпрометують один із паролів і побачать подібний шаблон, вони можуть майже визначити, яким є ваш сьогоднішній пароль, якщо вони знають ваш пароль шість місяців тому.

Ось чому примусові зміни, коли вони не потрібні, можуть змусити людей використовувати ярлики кібербезпеки, яких ви не хочете, щоб вони робили.

---

ДУГ.  І це цікаво.

Ми вже говорили про це раніше, але деякі люди, можливо, не подумали про це: Планування зміни пароля може затримати екстрені реакції.

Що ти маєш на увазі?

---

КАЧКА.  Справа в тому, що якщо у вас є формалізований фіксований графік зміни пароля, щоб усі знали, що коли настане останній день цього місяця, вони все одно будуть змушені змінити свій пароль…

…а потім вони думають: «Знаєте що? Зараз 12-те число місяця, і я зайшов на веб-сайт, не впевнений, що він міг бути фішинговим. Ну, я все одно збираюся змінити свій пароль через два тижні, тому я не піду змінювати його зараз».

Отже, *регулярно* змінюючи свої паролі, ви можете призвести до того, що інколи, коли це дуже, дуже важливо, ви змінюєте свій пароль недостатньо *часто*.

Якщо і коли ви вважаєте, що є вагома причина змінити свій пароль, ЗРОБІТЬ ЦЕ ЗАРАЗ!

---

ДУГ.  Я це люблю!

Гаразд, давайте послухаємо одного з наших читачів про пароль.

Читач Naked Security Філіп пише, зокрема:

Часто міняти паролі, щоб не бути скомпрометованими, — це все одно, що думати, що якщо бігти досить швидко, то зможеш ухилитися від усіх крапель дощу.

Гаразд, ви ухилятиметеся від крапель дощу, які падають за вами, але їх буде стільки ж, куди ви їдете.

І, змушені регулярно змінювати свої паролі, дуже велика кількість людей просто додаватиме число, яке вони можуть збільшувати за потреби.

Як ти сказав, Павле!

---

КАЧКА.  Ваш і мій друг, сказав Честер [Вішневський], кілька років тому, коли ми говорили про міфи про паролі, «Все, що їм потрібно зробити [СМІЄТЬСЯ], щоб зрозуміти, яке число в кінці, це зайти на вашу сторінку LinkedIn. «Почав працювати в цій компанії в серпні 2017 року»… порахуйте кількість місяців з того часу».

Це число, яке вам потрібно в кінці.

Sophos Techknow – розвіювання міфів про паролі

---

ДУГ.  точно! [СМІХ]

---

КАЧКА.  І проблема виникає в тому, що коли ви намагаєтеся спланувати або алгоритмізувати... це слово?

(Мабуть, цього не повинно бути, але я все одно ним скористаюся.)

Коли ви намагаєтесь взяти ідею випадковості, ентропії та непередбачуваності та включити це в якийсь надстрогий алгоритм, як, наприклад, алгоритм, який описує, як символи та цифри розміщені на бирках транспортних засобів…

…тоді у вас буде *менше* випадковості, а не *більше*, і ви повинні це усвідомлювати.

Отже, примушувати людей робити будь-що, що змушує їх впадати в шаблон, як сказав тоді Честер, просто привчати їх до поганої звички.

І я люблю так виражатися.

---

ДУГ.  Гаразд, дякую, що надіслав це, Філіпе.

І якщо у вас є цікава історія, коментар або запитання, яке ви хотіли б надіслати, ми будемо раді прочитати це в подкасті.

Ви можете надіслати електронний лист на tips@sophos.com, прокоментувати будь-яку з наших статей або зв’язатися з нами в соціальних мережах: @nakedsecurity.

Це наше шоу на сьогодні.

Дуже дякую за те, що ви послухали.

Для Пола Дакліна я Дуг Аамот, нагадую вам до наступного разу, щоб…

---

ОБИМ.  Будьте в безпеці!

[МУЗИЧНИЙ МОДЕМ]