S3 Ep139:密码规则是否如雨后春笋般奔跑?

S3 Ep139:密码规则是否如雨后春笋般奔跑?

时间戳:15年2023月12日下午43:XNUMX
S3 Ep139:密码规则就像是在雨中奔跑吗? Plato区块链数据智能。垂直搜索。人工智能。
by 保罗哈普林

不要养成坏习惯

磁芯存储器。 补丁星期二 和 SketchUp 恶作剧。 更多的 MOVEit 缓解措施. 山 Gox 背部 在新闻中。 果子 恶意软件罪犯 最后被囚禁。 密码规则是否像 雨中奔跑?

下面没有音频播放器? 听 直接 在 Soundcloud 上。

与道格·阿莫斯和保罗·达克林。 前奏和后奏音乐 伊迪丝·马奇.

你可以听我们的 的SoundCloud, 苹果播客, Google播客, Spotify, 以及任何可以找到好的播客的地方。 或者只是放下 我们的 RSS 提要的 URL 进入你最喜欢的播客。

阅读成绩单

道格。  星期二补丁、网络犯罪报应和密码乐趣。

所有这些,以及更多,都在 Naked Security 播客上。

[音乐调制解调器]

欢迎大家收听播客。

我是道格·阿莫斯; 他是保罗·达克林。

保罗,你今天好吗?

鸭。  道格,我不应该这么说……但因为我知道接下来会发生什么 科技史上的本周,因为你给了我预览,我很兴奋!

道格。  好吧,好吧,让我们开始吧!

本周,即 15 月 1949 日,回到 XNUMX 年,麻省理工学院 (MIT) 教授杰伊·福雷斯特 (Jay Forrester) 写下了……

鸭。  [模拟剧] 道格,别说得好像你是波士顿人一样自鸣得意? [笑声]

道格。  嘿,这是一个美丽的校园; 我去过那里很多次。

鸭。  它也是一种著名的工程学校,不是吗? [笑]

道格。  确实是!

Jay Forrester 在他的笔记本上写下了“磁芯存储器”的建议,后来将磁芯存储器安装在麻省理工学院的 Whirlwind 计算机上。

这项发明使计算机更可靠、更快速。

在 1970 世纪 XNUMX 年代半导体发展之前,核心内存一直是计算机存储的流行选择。

鸭。  一旦你知道它是如何工作的,这是一个非常简单的想法。

微小的铁氧体磁芯,就像您在变压器的中心……就像超小型垫圈。

它们被磁化,顺时针或逆时针方向,表示零或一。

它实际上是磁存储。

它有一个时髦的特性,道格拉斯,因为铁氧体本质上形成了一个永磁体……

…你可以重新磁化它,但当你关闭电源时,它会保持磁化状态。

所以它是非易失性的!

如果出现电源故障,基本上可以重新启动计算机并从中断的地方继续。

棒呆!

道格。  杰出的,是的……这真的很酷。

鸭。  显然,麻省理工学院最初的计划是对这个想法收取每比特 0.02 美元的版税。

你能想象 64 GB 的 iPhone 内存有多贵吗?

这将是数十亿美元! [笑]

道格。  虚幻。

嗯,一些有趣的历史,但让我们把它带到现代。

不久前……微软星期二补丁。

没有零日,但仍然 大量修复,保罗:

星期二补丁修复了 4 个关键的 RCE 错误和一堆 Office 漏洞

鸭。  好吧,如果您忽略我们上周谈到的 Edge 远程代码执行漏洞,那么本月就没有零日漏洞了。

道格。  嗯嗯嗯

鸭。  从技术上讲,这不是周二补丁的一部分……

…但是总共有 26 个远程代码执行 [RCE] 错误和 17 个特权提升 [EoP] 错误。

这就是骗子已经存在的地方,但他们还做不了什么,所以他们随后使用 EoP 漏洞在您的网络上获得超能力,并做更多卑鄙的事情。

其中四个远程代码执行错误被微软称为“严重”,这意味着如果您是仍然喜欢按特定顺序打补丁的人之一,我们建议您从这些错误开始。

关于这四个关键补丁的好消息是,其中三个与同一个 Windows 组件相关。

据我所知,这是一堆相关的错误,大概是在对该组件进行某种代码审查时发现的。

这与 Windows 消息服务有关,如果您碰巧在您的网络中使用它的话。

道格。  我们都对 SketchUp 崩溃的耐心表示感谢,直到现在我才知道它的存在。

鸭。  和你一样,Doug,我从未使用过这个名为 SketchUp 的程序,我认为它是第三方 3D 图形程序。

谁知道能够将 SketchUp 3D 图像放入您的 Word、Excel、PowerPoint 文档中真的很棒?

可以想象,使用全新的文件格式来解析、解释、处理、在 Office 中呈现……

…Microsoft 引入了一个错误,该错误已修复为 CVE-2023-33146。

但是,如果您愿意,故事背后隐藏的故事是,在 01 年 2023 月 XNUMX 日,Microsoft 宣布:

在 Windows 和 Mac 的 Word、Excel、PowerPoint 和 Outlook 中暂时禁用了插入 SketchUp 图形的功能。

感谢您的耐心等待,因为我们正在努力确保此功能的安全性和功能性。

我很高兴 Microsoft 对我的耐心表示感谢,但我确实希望 Microsoft 本身在首先将此功能引入 Office 之前能多一些耐心。

我希望他们*在*它是安全的之后才把它放在那里,而不是像你说的那样把它放在那里看看它是否安全并发现(惊奇!惊奇!),事实并非如此。

道格。  大。

让我们坚持耐心这个话题。

我说我们会“关注这个”,我希望我们不需要关注这个。

但是我们必须像您在标题中所做的那样,稍微加一点韵味。

更多 MOVEit 缓解措施:发布新补丁以提供进一步保护,保罗。

更多 MOVEit 缓解措施:发布新补丁以提供进一步保护

鸭。  又是那个好老的 MOVEit 问题: SQL注入漏洞.

这意味着,如果您使用的是 MOVEit Transfer 程序,并且您没有对其进行修补,那么可以访问基于 Web 的前端的骗子可以诱骗您的服务器做坏事……

…包括嵌入一个 webshel​​l,让他们稍后可以随意游荡并为所欲为。

如您所知,发布了一个 CVE,MOVEit 的制造商 Progress Software 发布了一个补丁来处理已知的漏洞利用。

他们现在有另一个补丁来处理类似的错误,据他们所知,骗子还没有发现这些错误(但如果他们看起来足够努力,他们可能会)。

而且,听起来很奇怪,当您发现软件的特定部分存在特定类型的错误时,您不应该感到惊讶,如果您深入挖掘......

……你发现程序员(或在你已经知道的错误被引入时从事它的编程团队)大约在同一时间犯了类似的错误。

在这种情况下做得很好,我想说,Progress Software 试图主动处理这个问题。

Progress Software 刚才说, “所有 Move It 客户都必须应用 09 年 2023 月 XNUMX 日发布的新补丁。

道格。  好的,我想我们会……留意一下!

保罗,帮帮我。

我在 2023 年,在一个 裸安全头条 关于“山。 戈克斯。”

我是怎么了?

回顾历史:美国司法部解封 Mt. Gox 网络犯罪指控

鸭。  山戈克斯!

“万智牌在线交流”,道格,因为它是......

道格。  [笑]当然!

鸭。  ......在那里你可以交易万智牌卡。

那个域名被卖掉了,记忆深刻的人会知道它变成了这个星球上最受欢迎,也是迄今为止最大的比特币交易所。

它由离开日本的法国侨民 Mark Karpelès 经营。

显然,这一切都在顺利进行,直到 2014 年它在一阵加密货币的尘埃中爆炸,当时他们意识到,粗略地说,他们所有的比特币都消失了。

道格。  [笑]我不应该笑!

鸭。  其中有 647,000 个,或者其他什么。

甚至在那时,它们已经价值约 800 美元一口气,所以那是价值 XNUMX 亿美元的“泡芙”。

有趣的是,当时很多手指都指向了 Mt. Gox 团队本身,说:“哦,这一定是内部工作。”

事实上,在元旦,我认为是在 2015 年,一家名为读卖新闻的日本报纸实际上发表了一篇文章说,“我们已经调查过了,1% 的损失可以用他们的借口来解释'想出; 对于其余部分,我们将公开表示这是一项内部工作。”

现在,他们发表的那篇文章引起了很大的争议,因为这是一个非常戏剧性的指控,现在当您访问它时会出现 404 错误 [未找到 HTTP 页面]。

道格。  很有意思!

鸭。  所以我认为他们不再支持它了。

事实上,美国司法部 [DOJ] 终于,终于,这么多年后,实际上指控两名俄罗斯国民基本上窃取了所有比特币。

所以听起来 Mark Karpelès 至少得到了部分免罪,由美国司法部提供,因为他们多年前就已经非常明确地将这两个俄罗斯小伙子置于这一罪行的框架内。

道格。  这是一本引人入胜的书。

所以在 Naked Security 上检查一下。

您所要做的就是搜索,您猜对了,“Mt. 戈克斯”。

让我们继续讨论网络犯罪这个话题,因为 Gozi 银行恶意软件背后的主要罪犯之一已经 落入监狱 十年后,保罗:

Gozi 银行恶意软件“IT 负责人”在 10 多年后终于入狱

鸭。  是的……有点像等公交车。

两个惊人的“哇,这发生在十年前,但我们最终会得到他”的故事同时出现。 [笑声]

我认为,这一个很重要,需要再次写出来,只是说,“这是司法部; 他们没有忘记他。”

实际上。 他在哥伦比亚被捕。

我相信他去过波哥大机场,我猜边境官员认为,“哦,那个名字在观察名单上”!

显然,哥伦比亚官员认为,“让我们联系美国外交部门吧。”

他们说,“嘿,我们在这里抓了一个人,他的名字是(我不会在文章中提到他的名字)..你曾经对他感兴趣,涉及非常严重的数百万美元的恶意软件犯罪. 你还有兴趣吗?

而且,道格,令人惊讶的是,美国确实非常感兴趣。

因此,他被引渡、出庭、认罪,现在已被判刑。

他只会被判三年徒刑,这似乎是轻刑,而且他必须交还超过 3,000,000 美元。

我不知道如果他不这样做会发生什么,但我想这只是一个提醒,通过运行和隐藏与恶意软件相关的犯罪......

……好吧,如果对你提出指控,而美国正在寻找你,他们不会只是说,“啊,十年了,我们还是放弃吧。”

而这家伙的犯罪活动是运行行话中称为“防弹主机”的道格。

这基本上就是您属于 ISP 的地方,但与常规 ISP 不同的是,您竭尽全力成为执法部门、黑名单和常规 ISP 的删除通知的移动目标。

所以,你提供服务,但如果你愿意,你可以让它们在互联网上四处移动,这样骗子就会向你支付费用,而且他们知道你为他们托管的域将继续存在工作,即使执法部门在追捕您。

道格。  好吧,又是个好消息。

保罗,当我们完成今天的故事时,你遇到了一个非常困难、微妙但又 重要的问题 关于密码。

也就是说,我们是否应该不断地轮流更换它们,也许一个月一次?

还是一开始就锁定非常复杂的问题,然后就足够好了?

关于计划密码更改的想法(不要称之为轮换!)

鸭。  虽然这听起来像是一个古老的故事,而且确实是我们之前多次访问过的故事,但我写下它的原因是一位读者联系我询问这件事。

他说,“我不想参加 2FA 比赛; 我不想进入密码管理器的蝙蝠。 这些是不同的问题。 我只想知道如何解决我公司内部两个派系之间的地盘争夺战,有些人说我们需要正确设置密码,而另一些人只是说,‘那艘船航行了,太难了,我们只会强迫人们改变它们,这就足够了。”

所以我认为这实际上是值得写的。

从 Naked Security 和社交媒体上的评论数量来看,许多 IT 团队仍在为此苦苦挣扎。

如果你只是强迫人们每 30 天或 60 天更改一次密码,那么如果他们的哈希值被盗,他们选择一个非常容易破解的密码真​​的很重要吗?

只要他们不选择 password or secret 或世界十大猫的名字之一,如果我们强迫他们在骗子能够破解之前将其更改为另一个不太好的密码,也许就可以了?

也许这就足够了?

但是我有三个原因可以说明为什么你不能仅仅通过养成另一个坏习惯来改正一个坏习惯。

道格。  第一个出门的: 定期更改密码并不能替代选择和使用强密码, 保罗。

鸭。  不!

你可能会选择两者都做(我会在一分钟内给你两个理由,为什么我认为强迫人们定期更换它们会产生另一组问题)。

但简单的观察是,定期更改错误的密码并不能使它成为更好的密码。

如果您想要一个更好的密码,请先选择一个更好的密码!

道格。  你说: 强迫人们定期更改密码可能会使他们养成坏习惯。

鸭。  从评论来看,这正是许多 IT 团队所面临的问题。

如果你告诉人们,“嘿,你必须每 30 天更改一次密码,你最好选择一个好的密码,”他们会做的只是……

……他们会选一个好的。

他们会花一个星期的时间将其铭记在心,终生难忘。

然后每个月他们都会添加 -01, -02,等等。

因此,如果骗子确实破解或破坏了其中一个密码,并且他们看到了这样的模式,那么如果他们知道您六个月前的密码,那么他们几乎可以算出您今天的密码是什么。

因此,在不必要的情况下强制进行更改可能会导致人们采取您不希望他们采取的网络安全捷径。

道格。  这是一个有趣的。

我们之前已经谈过这个,但有些人可能没有想到: 安排密码更改可能会延迟紧急响应。

你是什​​么意思?

鸭。  关键是,如果你有一个正式的、固定的密码更改时间表,那么每个人都知道,当这个月的最后一天到来时,他们无论如何都将被迫更改密码……

......然后他们想,“你知道吗? 那是该月的 12 号,我去了一个网站,我不确定它可能是钓鱼网站。 嗯,反正两周后我要改密码,所以我现在不去改了。”

因此,通过*定期*更改您的密码,您可能最终会养成这样的习惯:有时,当它真的非常重要时,您不会*频繁*地更改您的密码。

如果您认为有充分的理由更改密码,请立即行动!

道格。  我喜欢它!

好吧,让我们听听一位读者对密码的看法。

Naked Security 读者 Philip 部分写道:

经常更改密码以免被泄露就像认为如果你跑得足够快,就可以躲过所有的雨滴。

好吧,你会躲开落在你身后的雨滴,但你要去的地方会有同样多的雨滴。

而且,由于被迫定期更改密码,很多人会简单地附加一个他们可以根据需要递增的数字。

就像你说的,保罗!

鸭。  你和我的朋友,Chester [Wisniewski] 说,几年前我们在谈论 密码神话,“他们需要做的[笑],要计算出最后的数字是多少,就是去你的 LinkedIn 页面。 “2017 年 XNUMX 月开始在这家公司工作”……数一数从那时起的月数。

那就是你最后需要的数字。

Sophos Techknow——破解密码迷思

道格。  确切地! [笑声]

鸭。  问题来了,当您尝试安排时间或算法时……这是一个词吗?

(它可能不应该是,但无论如何我都会使用它。)

当你尝试将随机性、熵和不可预测性的概念纳入一些超级严格的算法中时,例如描述字符和数字如何布置在车辆标签上的算法……

......然后你最终会得到*更少*的随机性,而不是*更多*,你需要意识到这一点。

因此,正如切斯特当时所说,强迫人们做任何导致他们陷入某种模式的事情,只是让他们养成坏习惯。

我喜欢这种表达方式。

道格。  好的,非常感谢你把它寄来,菲利普。

如果您想提交有趣的故事、评论或问题,我们很乐意在播客上阅读。

您可以发送电子邮件至 tips@sophos.com,对我们的任何一篇文章发表评论,或在社交网站上联系我们:@nakedsecurity。

这就是我们今天的节目。

非常感谢您的聆听。

对于 Paul Ducklin,我是 Doug Aamoth,提醒你,直到下一次……

两个都。  保持安全!

[音乐调制解调器]

时间戳记:

更多来自 裸体安全