为我们唱一首网络安全之歌
为什么 Mac 的日历应用程序显示今天是 17 月 XNUMX 日。一 补丁,一行,一个文件。 小心一点 {斧头,锉刀},尤金。 风暴季节 对于微软来说。 当错别字让你欢呼雀跃时。
下面没有音频播放器? 听 直接 在 Soundcloud 上。
与道格·阿莫斯和保罗·达克林。 前奏和后奏音乐 伊迪丝·马奇.
你可以听我们的 的SoundCloud, 苹果播客, Google播客, Spotify 以及任何可以找到好的播客的地方。 或者只是放下 我们的 RSS 提要的 URL 进入你最喜欢的播客。
阅读成绩单
道格。 手动修补,两个微软零日漏洞,以及“小心那个文件,尤金。”
所有这些,以及更多,都在 Naked Security 播客上。
[音乐调制解调器]
欢迎大家收听播客。
我是道格·阿莫斯; 他是保罗·达克林。
保罗,你今天好吗?
鸭。 你是在暗示 平克·弗洛伊德?
道格。 *这* Pink Floyd的,是的!
鸭。 我相信这就是他们最初的名字。
道格。 哦,真的吗?
鸭。 他们放弃了“The”,因为我认为它妨碍了。
平克·弗洛伊德乐队。
道格。 这是一个有趣的事实!
幸运的是,我还有更多 有趣的事实 为你…
你知道我们的节目开始于 科技史上的本周,今天我们有两个人。
本周,即 17 年 2002 月 XNUMX 日,苹果推出了“iCal”:一种日历软件,具有基于互联网的日历共享和管理多个日历的功能。
“JUL 17”在该应用程序的图标上占据显着位置,这甚至导致 17 月 2014 日成为 XNUMX 年设立的世界表情符号日。
这真是连锁效应,保罗!
鸭。 虽然。 在您的 iPhone 上,您会注意到图标更改为今天的日期,因为这非常方便。
您会注意到其他服务提供商可能会或可能不会选择不同的日期,因为“为什么要复制您的竞争对手”,确实如此。
道格。 好吧,让我们开始吧。
我们将谈论我们的第一个故事。
这是关于 Zimbra 和冒险的 跨站点脚本.
好老的 XSS,保罗:
鸭。 是的。
在这里,您基本上可以侵入网站以包含流氓 JavaScript,而无需侵入服务器本身。
您执行某些操作,或创建一些指向该网站的链接,欺骗该网站在其回复中包含内容,而不仅仅是提及您输入的搜索词,例如 My Search Term
,但包含不应该出现的其他文本,例如 My search <script> rogue JavaScript </script>
.
换句话说,您欺骗网站在地址栏中显示其自己的 URL 内容,其中包含不受信任的 JavaScript。
这意味着您偷偷注入的 JavaScript 实际上可以访问该网站设置的所有 cookie。
所以它可以偷走它们; 它可以窃取个人数据; 而且,更重要的是,它可能会窃取身份验证令牌和类似的东西,让骗子下次再次入侵。
道格。 好的,那么 Zimbra 在这种情况下做了什么?
鸭。 好消息是他们反应很快,因为当然这是一个零日漏洞。
骗子已经在使用它了。
因此,他们实际上采取了一种稍微不寻常的方式:“我们已经发布了补丁。 你很快就会得到它。”
但他们深思熟虑地说, “我们理解您可能希望尽快采取行动。”
现在,不幸的是,这确实意味着编写您自己的脚本来修补所有邮箱节点上的产品分发中的一个文件中的一行代码。
但这是一个非常小且简单的修复。
当然,因为它只有一行,所以如果它引起问题,您可以轻松地将文件更改回原来的状态。
如果您非常渴望领先于骗子,那么您无需等待完整版本发布即可做到这一点......
道格。 而且还很有成就感啊!
我们已经有一段时间没有能够卷起袖子手动修补这样的东西了。
这就像在周六早上修理水槽一样……之后你就会感觉很好。
所以,如果我是 Zimbra 用户,我会跳过这一切,只是因为我喜欢动手……[笑声]
鸭。 而且,与修补水槽不同,您无需在狭小的橱柜中爬行,也不存在淹没整个房屋的风险。
修复是清晰且明确的。
一个文件中更改了一行代码。
道格。 好吧,如果我是一名程序员,我可以采取哪些步骤来避免此类跨站点脚本编写?
鸭。 好吧,这个错误的好处是,Doug,它几乎可以充当您在跨站点脚本编写中需要注意的事情的文档。
该补丁显示有一个服务器端组件,它只是获取一个字符串并在出现在另一端(用户浏览器中)的 Web 表单中使用该字符串。
你可以看到程序*现在*做了什么(这个特定的软件是用Java编写的)......它调用一个函数 escapeXML()
,如果您愿意的话,这是一种获取要显示的文本字符串并确保其中没有可能欺骗浏览器的神奇 XML 或 HTML 字符的真正方法。
特别是:小于(<
); 比...更棒 (>
); 与号 (&
); 双引号("
); 或单引号,也称为撇号 ('
).
这些代码被转换成长格式、安全的 HTML 代码。
如果我可以使用我们标准的 Naked Security 陈词滥调,Doug: 清理你的输入 是这里的底线。
道格。 哦,我喜欢那个!
伟大的。 让我们继续 Pink Floyd的显然……我们一直在等待这一切。
如果平克·弗洛伊德是网络安全研究人员,想象他们可能写了一首名为“小心那个文件,尤金”相反,保罗。 [平克·弗洛伊德创作了一首著名的歌曲,名为 小心那把斧头,尤金。]
鸭。 的确。
“小心该文件”提醒您,有时,当您将文件上传到在线服务时,如果您选择了错误的文件,您最终可能会重新分发该文件,而不是上传该文件以进行安全存储。
幸运的是,本次事件并没有造成太大的伤害,但这是在 Google 的 Virus Total 服务中发生的事情。
听众可能会知道 Virus Total 是一项非常受欢迎的服务,如果您有一个文件,或者您知道它是恶意软件,并且您想知道许多不同产品对它的称呼(这样您就知道要在威胁日志中寻找什么),或者如果您认为,“也许我想尽快将样本安全地提供给尽可能多的供应商”……
...然后您上传到 Virus Total。
该文件几乎会立即提供给数十家网络安全公司。
这与向全世界广播或将其上传到泄漏的在线云存储桶不太一样,但该服务*旨在*与其他人共享该文件。
不幸的是,Virus Total 内部的一名员工似乎意外地将一个包含客户电子邮件地址列表的内部文件上传到 Virus Total 门户,而不是他们应该使用的任何门户。
道格,现在写这个故事的真正原因是这样的。
在你笑之前; 在你指指点点之前; 在你说“他们在想什么?”之前……
..停下来问自己这个问题。
“我是否曾错误地将电子邮件发送给错误的人?” [笑声]
这是一个反问句。 [更多笑声]
我们都做到了……
道格。 这是修辞学!
鸭。 ……我们中的一些人不止一次。 [笑声]
如果您曾经这样做过,那么是什么保证您不会错误地将文件上传到错误的*服务器*,从而犯类似的错误?
这提醒我们,道格拉斯,杯子和嘴唇之间有很多失误。
道格。 好吧,我们确实为这里的好人提供了一些建议,首先,我想说的是,可以说是我们最不受欢迎的建议之一: 当您不实际使用在线帐户时,请注销它们。
鸭。 是的。
现在,讽刺的是,这在这种情况下可能没有帮助,因为,正如您可以想象的那样,Virus Total 经过专门设计,以便任何人都可以“上传”文件(因为它们是为了所有人的更大利益而快速共享给需要查看它们的人),但只有受信任的客户才能“下载”内容(因为假设上传的内容通常包含恶意软件,因此它们不适合任何人使用)。
但是,当您考虑到您可能一直保持登录状态的网站数量时,这只会使您更有可能获取正确的文件并将其上传到错误的位置。
如果您没有登录某个网站,并且尝试错误地上传文件,那么您将收到登录提示……
......你会保护你自己!
这是一个非常简单的解决方案,但正如你所说,它也非常不受欢迎,因为它有点不方便。 [笑声]
道格。 没错!
鸭。 然而,有时你必须为团队挑选一名球员。
道格。 不要将所有责任转移给最终用户: 如果您在 IT 团队中,请考虑对哪些用户可以向谁发送哪些类型的文件进行控制。
鸭。 不幸的是,如果您喜欢硬币的另一面原因,即为什么人们不喜欢在不使用帐户时注销帐户,那么这种阻止方式并不受欢迎。
当 IT 部门出现并说:“您知道吗,我们将启用网络安全端点产品的数据丢失防护 [DLP] 部分”……
……人们会说,“嗯,这很不方便。 如果它妨碍了怎么办? 如果它干扰了我的工作流程怎么办? 如果给我带来麻烦怎么办? 我不喜欢!”
所以,很多II
T 部门最终可能会有点回避潜在干扰这样的工作流程。
但是,Doug,正如我在文章中所说,通过与 IT 部门协商,您总会有第二次机会发送第一次不会发送的文件,但您永远没有机会取消发送未发送的文件。根本就应该出去。
道格。 [笑] 没错!
好吧,这里有很好的提示。
我们的 最后一个故事,但绝对不是最不重要的。
保罗,我不必提醒你,但我们应该提醒别人……
......应用密码学很难,安全分段很困难,威胁追踪也很困难。
那么这一切与微软有什么关系呢?
鸭。 嗯,最近媒体上有很多关于微软及其客户被名为 Storm 的网络犯罪组织移交、攻击、调查和黑客攻击的新闻。
这个故事的一部分涉及 25 个组织,这些组织的 Exchange 业务中都存在这些欺诈行为。
它们有点像零日漏洞。
现在,微软针对所发生的事情发布了一份相当完整且相当坦率的报告,因为显然微软至少犯了两个错误。
他们讲述故事的方式可以教会您很多有关威胁搜寻以及出现问题时的威胁响应的知识。
道格。 好的,看来 Storm 使用一堆盗用的身份验证令牌通过 Outlook Web Access [OWA] 进入,这基本上就像您提供的临时 cookie,上面写着:“这个人已经登录,他们是合法的,让他们进来。”
对?
鸭。 没错,道格。
当这种事情发生时,这显然令人担忧,因为它允许骗子绕过强身份验证阶段(您必须输入用户名,输入密码,然后执行 2FA 代码;或者您必须出示 Yubikey;或者您必须刷智能卡)……
…当发生类似情况时,明显的假设是另一端的人在一台或多台用户的计算机上安装了恶意软件。
恶意软件确实有机会在加密之前查看浏览器内容等内容,这意味着它可以窃取身份验证令牌并将其发送给骗子,以便稍后可以滥用。
微软在报告中承认这是他们的第一个假设。
如果这是真的,那就有问题了,因为这意味着 Microsoft 和那 25 个人必须四处奔波,试图进行威胁追踪。
但如果这“不是”解释,那么尽早弄清楚这一点很重要,这样你就不会浪费自己和其他人的时间。
然后微软意识到,“实际上,看起来骗子基本上是在铸造自己的身份验证令牌,这表明他们一定窃取了我们所谓安全的 Azure Active Directory 令牌签名密钥之一。”
嗯,这很令人担忧!
*然后*微软意识到,“这些令牌实际上显然是由签名密钥进行数字签名的,该签名密钥实际上只应该用于消费者帐户,即所谓的 MSA 或 Microsoft 帐户。”
换句话说,就是用于创建身份验证令牌的签名密钥,例如您或我登录我们的个人 Outlook.com 服务时。
不好了!
还有另一个错误,这意味着可能会采用不适合他们想要的攻击的签名身份验证令牌,然后进入并弄乱人们的公司电子邮件。
所以,这一切听起来都很糟糕,当然事实确实如此。
但有一个好处……
...讽刺的是,因为这不应该起作用,因为 MSA 令牌不应该在公司的 Azure Active Directory 一侧工作,反之亦然,所以 Microsoft 没有人费心编写代码以在另一个竞争环境中使用一个令牌。
这意味着所有这些流氓代币都脱颖而出。
因此,微软的威胁追踪至少存在一个巨大的、可见的危险信号。
幸运的是,解决这个问题,因为这是一个云端问题,意味着你我不需要急于修补我们的系统。
基本上,解决方案是:否认已被泄露的签名密钥,因此它不再起作用,在我们解决这个问题的同时,让我们修复该错误,该错误允许消费者签名密钥在 Exchange 世界的企业端有效。
这有点像“一切都好,结局好”。
但正如我所说,这是一个重要的提醒,威胁追踪通常涉及的工作比您最初想象的要多得多。
如果你读过微软的报告,你就可以想象这其中付出了多少努力。
道格。 好吧,本着捕捉一切的精神,让我们来听听我们的一位读者的看法 本周评论.
在做了这件事十年的大部分时间后,我可以直接告诉你,我相信保罗在写了成千上万篇文章后也可以直接告诉你……
…打字错误是科技博主的一种生活方式,如果你幸运的话,有时你会遇到一个非常好的打字错误,以至于你不愿意修复它。
这篇微软文章就是这种情况。
读者戴夫引用保罗的话 “这似乎表明有人确实捏了一家公司的唱键。”
戴夫接着说道:“唱歌的琴键很摇滚。”
确切地! [笑声]
鸭。 是的,我花了一段时间才意识到这是一个双关语……但是,是的,“歌唱键”。 [笑]
如果你把一箱萨克斯管扔进军营,你会得到什么?
道格。 [笑]
鸭。 [尽可能干燥]降A大调。
道格。 [兼笑和呻吟] 好吧,非常好。
戴夫,谢谢你指出这一点。
我们确实同意唱歌的琴键很摇滚; 签名密钥就不那么重要了。
如果您想提交有趣的故事、评论或问题,我们很乐意在播客上阅读。
您可以发送电子邮件至tips@sophos.com,您可以评论我们的任何一篇文章,或者您可以在社交媒体上联系我们:@nakedsecurity。
这就是我们今天的节目; 非常感谢您的聆听。
对于 Paul Ducklin,我是 Doug Aamoth,提醒你,直到下一次……
两个都。 保持安全!
[音乐调制解调器]
- :具有
- :是
- :不是
- :在哪里
- $UP
- 17
- 2014
- 25
- 2FA
- a
- 对,能力--
- Able
- 关于
- 关于它
- ACCESS
- 账户
- 操作
- 要积极。
- 行为
- 通
- 额外
- 地址
- 地址
- 承认
- 忠告
- 后
- 之后
- 向前
- 所有类型
- 允许
- 沿
- 已经
- 好的
- 还
- 尽管
- 时刻
- am
- an
- 和
- 另一个
- 任何
- 再
- 分析数据
- 应用
- 出现
- Apple
- 的途径
- 保健
- 按理说
- 军队
- 围绕
- 刊文
- 刊文
- AS
- 假设
- At
- 攻击
- 音频
- 认证
- 作者
- 可使用
- 避免
- Azure
- 背部
- 坏
- 酒吧
- 基本上
- BE
- 因为
- 成为
- 很
- before
- 相信
- 如下。
- 更好
- 之间
- 大
- 位
- 闭塞
- 半身裙/裤
- 破坏
- 广播
- 浏览器
- 问题
- 束
- 商业
- 但是
- by
- 日历
- 呼叫
- 被称为
- 呼叫
- 营
- CAN
- 卡
- 小心
- 案件
- 原因
- 原因
- 当然
- 机会
- 更改
- 变
- 更改
- 字符
- 选择
- 清除
- 云端技术
- 云存储
- 码
- 代码
- 合作
- COM的
- 结合
- 购买的订单均
- 未来
- 评论
- 公司
- 公司
- 元件
- 妥协
- 电脑
- 考虑
- 消费者
- 包含
- 包含
- 内容
- 控制
- 转换
- 曲奇饼
- 公司
- 可以
- 套餐
- 创建信息图
- 加密技术
- 杯
- 顾客
- 合作伙伴
- 网络犯罪
- 网络安全
- data
- 数据丢失
- 日期
- 重要日期
- 戴夫
- 天
- 死
- 部门
- DID
- 不同
- 数字
- 屏 显:
- 显示
- 分配
- do
- 文件
- 不
- 不会
- 做
- 完成
- 别
- 翻番
- 向下
- 几十个
- 下降
- 下降
- 干
- 早
- 容易
- 效果
- 或
- 其他的
- 邮箱地址
- 员工
- 加密
- 结束
- 端点
- 结束
- 整个
- 错误
- 本质上
- 成熟
- 尤金
- 甚至
- EVER
- 每个人
- 一切
- 究竟
- 例子
- 交换
- 解释
- 相当
- 著名
- 精选
- 感觉
- 部分
- 数字
- 文件
- 档
- (名字)
- 第一次
- 固定
- 弗洛伊德
- 如下
- 针对
- 申请
- 幸好
- 发现
- 止
- ,
- 开玩笑
- 功能
- 得到
- 越来越
- 巨人
- Go
- GOES
- 去
- 非常好
- 谷歌
- 谷歌的
- 更大的
- 团队
- 担保
- 破解
- 至少从2010年开始,
- 民政事务总署
- 手
- 手
- 便利
- 发生
- 发生
- 硬
- 伤害
- 有
- he
- 听
- 帮助
- 相关信息
- 击中
- 穿孔
- 别墅
- 创新中心
- 但是
- HTML
- HTTPS
- 狩猎
- i
- ICON
- if
- 想像
- 立即
- 重要
- in
- 包括
- 包括
- 包含
- 的确
- 内
- 代替
- 有趣
- 干扰
- 内部
- 基于互联网
- 成
- iPhone
- 讽刺地
- 讽刺
- IT
- 它的
- 本身
- 爪哇岛
- JavaScript的
- 七月
- JULY 17
- 只是
- 敏锐
- 键
- 键
- 类
- 知道
- 已知
- 后来
- 泄漏
- 最少
- 导致
- 合法的
- 减
- 让
- 生活
- 喜欢
- 容易
- Line
- 友情链接
- 清单
- 听力
- 小
- 记录
- 记录
- 登录
- 看
- LOOKS
- 离
- 占地
- 爱
- 运气
- 制成
- 魔法
- 主要
- 使
- 制作
- 制作
- 恶意软件
- 管理
- 许多
- 可能..
- me
- 意味着
- 手段
- 意思
- 媒体
- 微软
- 可能
- 介意
- 造币
- 错误
- 更多
- 最先进的
- 移动
- 许多
- 多
- 音乐
- 音乐
- 必须
- my
- 裸体安全
- 裸播安全播客
- 姓名
- 需求
- 决不要
- 消息
- 下页
- 不错
- 没有
- 节点
- 注意..
- 现在
- 数
- 明显
- of
- 折扣
- 经常
- oh
- 老
- on
- 一旦
- 一
- 在线
- 仅由
- or
- 组织
- 本来
- 其他名称
- 我们的
- 输出
- Outlook
- 超过
- 己
- 部分
- 特别
- 部分
- 密码
- 打补丁
- 修补
- 保罗
- 员工
- 人的
- 演出
- 人
- 个人
- 个人资料
- 相
- 挑
- 件
- 地方
- 柏拉图
- 柏拉图数据智能
- 柏拉图数据
- 播放机
- 播放
- 播客
- 播客
- 点
- 热门
- 门户网站
- 可能
- 帖子
- 可能
- 当下
- 漂亮
- 预防
- 大概
- 市场问题
- 问题
- 生成
- 产品
- 核心产品
- 曲目
- 程序员
- 财产
- 保护
- 供应商
- 出版
- 把
- 题
- 很快
- 报价
- 报价
- 兔
- 宁
- 阅读
- 读者
- 真实
- 真
- 原因
- 最近
- 红色
- 释放
- 留
- 一个回复
- 报告
- 研究人员
- 响应
- 右
- 风险
- 岩石
- 滚
- 轧制
- RSS
- 运行
- 赶
- 安全
- 说
- 同
- 星期六
- 对工资盗窃
- 说
- 说
- 搜索
- 季节
- 其次
- 安全
- 安全
- 保安
- 看到
- 似乎
- 似乎
- 分割
- 提交
- 感
- 发送
- 服务
- 服务供应商
- 集
- Share
- 共用的,
- 共享
- 转移
- 应该
- 显示
- 作品
- 害羞
- 侧
- 签
- 签约
- 类似
- 简易
- 只是
- 自
- 单
- 网站
- 网站
- 小
- 智能
- So
- 社会
- 软件
- 方案,
- 一些
- 有人
- 东西
- 歌曲
- 或很快需要,
- 的SoundCloud
- 特别是
- 精神
- Spotify
- 标准
- 开始
- 开始
- 留
- 步骤
- 被盗
- Stop 停止
- 存储
- 风暴
- 故事
- 串
- 强烈
- 提交
- 这样
- 建议
- 提示
- 套房
- 应该
- 肯定
- 产品
- 采取
- 服用
- 故事
- 谈论
- 团队
- 科技
- 展示
- 临时
- 十
- 术语
- 比
- 感谢
- 谢谢
- 这
- 世界
- 其
- 他们
- 然后
- 那里。
- 博曼
- 他们
- 事
- 事
- 认为
- 思维
- Free Introduction
- 那些
- 虽然?
- 数千
- 威胁
- 通过
- 次
- 秘诀
- 至
- 今晚
- 今天的
- 象征
- 令牌
- 也有
- 了
- 合计
- true
- 信任
- 尝试
- 转
- 转身
- 二
- 类型
- 理解
- 不幸
- 不像
- 直到
- 上传
- 上传
- 网址
- us
- 使用
- 用过的
- 用户
- 用户
- 运用
- 厂商
- 非常
- 通过
- 副
- 病毒
- 可见
- 等候
- 想
- 警告
- 是
- 废物回收
- 方法..
- we
- 卷筒纸
- 您的网站
- 周
- 井
- 定义明确
- 去
- 为
- 什么是
- 什么是
- 任何
- ,尤其是
- 每当
- 这
- 而
- WHO
- 为什么
- 将
- 也完全不需要
- 话
- 工作
- 工作流程
- 世界
- 将
- 写作
- 书面
- 错误
- XML
- XSS
- 年
- 含
- 完全
- 您一站式解决方案
- 你自己
- 和风网