S3 Ep139: Parola kuralları yağmurda koşmak gibi mi?

Aşağıda müzik çalar yok mu? Dinlemek direkt olarak Soundcloud'da.

DOUG.  Salı Yaması, siber suçların ortaya çıkışı ve şifrelerle eğlence.

Hepsi ve daha fazlası Naked Security podcast'inde.

[MÜZİKAL MODEM]

Podcast'e hoş geldiniz millet.

Ben Doug Aamoth'um; o Paul Ducklin'dir.

Paul, bugün nasılsın?

---

ÖRDEK.  Doug, bunu söylememeliyim... çünkü ne olacağını biliyorum. Teknoloji Tarihinde Bu Hafta, çünkü bana bir önizleme verdin, çok heyecanlıyım!

---

DOUG.  Pekala, hemen konuya geçelim!

Bu hafta, 15 Haziran'da, 1949'da, Massachusetts Institute of Technology'de (MIT) Profesör olan Jay Forrester şunları yazdı:

---

ÖRDEK.  [SAHTE DRAMA] Bunu Boston'luymuşsun gibi söyleme ve kendini beğenmişsin, Doug? [Kahkahalar]

---

DOUG.  Hey, güzel bir kampüs; Orada birçok kez bulundum.

---

ÖRDEK.  Aynı zamanda bir tür ünlü mühendislik okulu, değil mi? [GÜLER]

---

DOUG.  Kesinlikle öyle!

Jay Forrester defterine “çekirdek bellek” için bir öneri yazdı ve daha sonra MIT'nin Whirlwind bilgisayarına manyetik çekirdek belleği takacaktı.

Bu buluş, bilgisayarları daha güvenilir ve daha hızlı hale getirdi.

Çekirdek bellek, 1970'lerde yarı iletkenlerin geliştirilmesine kadar bilgisayar depolaması için popüler bir seçim olmaya devam etti.

---

ÖRDEK.  Nasıl çalıştığını öğrendikten sonra fevkalade basit bir fikir.

Minik küçük ferrit manyetik çekirdekler, sanki bir transformatörün merkezindeymişsiniz gibi... süper minyatür rondelalar gibi.

Sıfır veya bir anlamına gelecek şekilde saat yönünde veya saat yönünün tersine mıknatıslandılar.

Kelimenin tam anlamıyla manyetik depolamaydı.

Ve acayip bir özelliği vardı, Douglas, çünkü ferrit esasen kalıcı bir mıknatıs oluşturuyor...

…yeniden mıknatıslayabilirsiniz, ancak gücü kapattığınızda mıknatıslanmış halde kalır.

Yani uçucu değildi!

Bir elektrik kesintisi yaşadıysanız, temel olarak bilgisayarı yeniden başlatabilir ve kaldığınız yerden devam edebilirsiniz.

İnanılmaz!

---

DOUG.  Olağanüstü, evet… bu gerçekten harika.

---

ÖRDEK.  Görünüşe göre, MIT'nin orijinal planı, fikir için bit başına 0.02 ABD doları telif ücreti almaktı.

Bunun, örneğin 64 gigabaytlık bir iPhone belleğini ne kadar pahalıya mal edeceğini hayal edebiliyor musunuz?

Milyarlarca dolar olurdu! [GÜLER]

---

DOUG.  Unreal.

Pekala, biraz ilginç bir tarih, ama onu günümüze getirelim.

Çok uzun zaman önce… Microsoft Yaması Salı.

Sıfır gün yok, ama yine de birçok düzeltmePaul:

Salı Yaması, 4 kritik RCE hatasını ve bir dizi Office açığını düzeltir

---

ÖRDEK.  Geçen hafta bahsettiğimiz Edge uzaktan kod yürütme boşluğunu görmezden gelirseniz, bu ay sıfır gün yok.

---

DOUG.  Hımmmmm.

---

ÖRDEK.  Teknik olarak, bu Salı Yaması'nın bir parçası değil…

…ama toplamda 26 uzaktan kod yürütme [RCE] hatası ve 17 ayrıcalık yükseltme [EoP] hatası vardı.

Dolandırıcıların zaten işin içinde olduğu yer burasıdır, ancak henüz fazla bir şey yapamazlar, bu yüzden ağınızda süper güçler elde etmek ve çok daha korkakça şeyler yapmak için EoP hatasını kullanırlar.

Bu uzaktan kod yürütme hatalarından dördü Microsoft tarafından "Kritik" olarak adlandırıldı, yani yamalarınızı belirli bir sırayla yapmayı hâlâ seven insanlardan biriyseniz, başlamanızı önerdiğimiz kişiler bunlardır.

Dört kritik yamayla ilgili iyi haber, üçünün aynı Windows bileşeniyle ilgili olmasıdır.

Anlayabildiğim kadarıyla, muhtemelen o bileşenin bir tür kod incelemesi sırasında bulunan bir dizi ilgili hataydı.

Bunu ağınızda kullanırsanız, Windows Mesajlaşma Hizmeti ile ilgilidir.

---

DOUG.  Şimdiye kadar varlığından haberdar olmadığım SketchUp fiyaskosuna gösterdiğimiz sabır için hepimize topluca teşekkür edildi.

---

ÖRDEK.  Doug, senin gibi, üçüncü taraf bir 3D grafik programı olduğuna inandığım SketchUp adlı bu programı hiç kullanmadım.

SketchUp 3D görüntülerini Word, Excel, PowerPoint belgelerinize bırakmanın gerçekten harika olacağını kim bilebilirdi?

Tahmin edebileceğiniz gibi, Office içinde ayrıştırmak, yorumlamak, işlemek, işlemek için yepyeni bir dosya formatı ile…

…Microsoft, CVE-2023-33146 olarak düzeltilen bir hata tanıttı.

Ancak hikayenin arkasındaki gizli hikaye, isterseniz, 01 Haziran 2023'te Microsoft'un şunları duyurmasıdır:

SketchUp grafikleri ekleme yeteneği, Windows ve Mac için Word, Excel, PowerPoint ve Outlook'ta geçici olarak devre dışı bırakıldı.

Biz bu özelliğin güvenliğini ve işlevselliğini sağlamaya çalışırken gösterdiğiniz sabır için teşekkür ederiz.

Microsoft'un sabrımı takdir etmesine sevindim, ancak Microsoft'un bu özelliği Office'e ilk etapta eklemeden önce biraz daha sabırlı olmasını dilerdim.

Keşke güvenli olup olmadığını görmek ve sizin dediğiniz gibi (sürpriz! Sürpriz!), olmadığını öğrenmek yerine güvenli hale geldikten *sonra* koysalardı.

---

DOUG.  Harika.

Sabır konusuna devam edelim.

“Buna göz kulak olacağız” dedim ve buna göz kulak olmamıza gerek kalmayacağını umdum.

Ama başlıkta yaptığın gibi biraz aliterasyon yapmalıyız.

Daha fazla MOVEit azaltımı: daha fazla koruma için yayınlanan yeni yamalar, Paul.

Daha fazla MOVEit azaltımı: daha fazla koruma için yayınlanan yeni yamalar

---

ÖRDEK.  Yine o eski güzel MOVEit sorunu: SQL enjeksiyon hatası.

Bu, MOVEit Transfer programını kullanıyorsanız ve programa yama uygulamadıysanız, web tabanlı ön uca erişebilen dolandırıcıların sunucunuzu kötü şeyler yapması için kandırabileceği anlamına gelir...

… daha sonra dolaşıp istediklerini yapmalarına izin verecek bir web kabuğu yerleştirmeye kadar ve buna kadar.

Bildiğiniz gibi, yayınlanan bir CVE vardı ve MOVEit'in yapımcıları olan Progress Software, vahşi ortamda bilinen istismarla başa çıkmak için bir yama yayınladı.

Artık, dolandırıcıların bildikleri kadarıyla henüz bulamadıkları (ancak yeterince dikkatli bakarlarsa bulabilirler) benzer hatalarla başa çıkmak için başka bir yamaları var.

Kulağa ne kadar tuhaf gelse de, yazılımınızın belirli bir bölümünde belirli türden bir hata olduğunu fark ettiğinizde, daha derine indiğinizde şaşırmamalısınız...

... programcının (veya zaten bildiğiniz hata ortaya çıktığında üzerinde çalışan programlama ekibinin) aynı zamanlarda benzer hatalar yaptığını görürsünüz.

Progress Software'e bununla proaktif olarak başa çıkmaya çalıştığı için bu durumda çok iyi iş çıkardınız diyebilirim.

Progress Software dedi ki, "Tüm Move It müşterileri, 09 Haziran 2023'te yayınlanan yeni yamayı uygulamalıdır.

---

DOUG.  Tamam, sanırım biz… buna göz kulak olacağız!

Paul, bana yardım et.

2023 yılındayım, kitap okuyorum. Çıplak Güvenlik başlığı “Mt. Gox.”

Bana neler oluyor?

Tarih yeniden gözden geçirildi: US DOJ, Mt. Gox siber suç suçlamalarını açığa çıkardı

---

ÖRDEK.  Gox Dağı!

"Magic The Gathering Online Exchange", Doug, olduğu gibi...

---

DOUG.  [GÜLER] Elbette!

---

ÖRDEK.  ...Magic The Gathering kartlarını takas edebileceğiniz yer.

Bu alan adı satıldı ve uzun hafızaya sahip olanlar, bunun gezegendeki en popüler ve açık ara en büyük Bitcoin değişimine dönüştüğünü bilecekler.

Japonya dışından bir Fransız gurbetçi olan Mark Karpelès tarafından yönetiliyordu.

Görünüşe göre her şey yolunda gidiyordu, ta ki 2014'te bir kripto para birimi tozu patlamasıyla patlayana kadar, kabaca konuşursak, tüm Bitcoin'lerinin kaybolduğunu fark ettiklerinde.

---

DOUG.  [GÜLER] Gülmemeliyim!

---

ÖRDEK.  647,000 tanesi falan.

Ve o zamanlar bile, zaten bir pop yaklaşık 800 $ değerindeydi, yani bu yarım milyar ABD doları değerinde bir “puff” idi.

İlginç bir şekilde, o sırada birçok parmak Mt. Gox ekibinin kendisini işaret ederek, "Ah, bu içeriden bir iş olmalı" dedi.

Ve aslında, Yılbaşında, sanırım 2015'te, Yomiuri Shimbun adlı bir Japon gazetesi, “Bunu inceledik ve kayıpların %1'i, verdikleri bahane ile açıklanabilir” diyen bir makale yayınladı. ile geldim; geri kalanı için, bunun içeriden bir iş olduğunu söyleyerek kayıtlara geçiyoruz.

Şimdi, oldukça dramatik bir suçlama olduğu için çok fazla dramaya neden olan yayınladıkları makale, bugün onu ziyaret ettiğinizde 404 hatası [HTTP sayfası bulunamadı] veriyor.

---

DOUG.  Çok ilginç!

---

ÖRDEK.  O yüzden artık savunacaklarını düşünmüyorum.

Ve gerçekten de, Amerika Birleşik Devletleri'ndeki Adalet Bakanlığı [DOJ] nihayet, tüm bu yıllar sonra, aslında iki Rus vatandaşını temelde tüm Bitcoin'leri çalmakla suçladı.

Öyleyse, Mark Karpelès, ABD Adalet Bakanlığı'nın izniyle en azından kısmi bir temize çıkmış gibi görünüyor, çünkü bu iki Rus herifi yıllar önce kesinlikle bu suçun çerçevesine yerleştirdiler.

---

DOUG.  Büyüleyici bir okuma.

Bu yüzden Naked Security'ye bir göz atın.

Tek yapmanız gereken aramak, tahmin ettiğiniz gibi “Mt. Gox”.

Gozi bankacılık kötü amaçlı yazılımının arkasındaki ana suçlulardan biri olduğu için siber suç konusunda devam edelim. hapse indi on uzun yıldan sonra, Paul:

Gozi bankacılık kötü amaçlı yazılımı "BT şefi", 10 yıldan uzun bir süre sonra nihayet hapse atıldı

---

ÖRDEK.  Evet… biraz otobüs beklemek gibiydi.

İki şaşırtıcı "vay canına, bu on yıl önce oldu ama sonunda onu yakalayacağız" hikayesi bir anda geldi. [Kahkahalar]

Ve bunun, sadece “Burası Adalet Bakanlığı; onu unutmadılar.”

Aslında. Kolombiya'da tutuklandı.

Sanırım bir ziyarette bulundu ve Bogotá Havalimanı'ndaydı ve sanırım sınır görevlileri "Ah, bu isim izleme listesinde" diye düşündü!

Ve görünüşe göre Kolombiyalı yetkililer, "ABD Diplomatik Servisi ile temasa geçelim" diye düşündüler.

"Hey, burada adında bir adam tutuyoruz (adından bahsetmeyeceğim - makalede geçiyor).. eskiden onunla ilgileniyordunuz, multimilyon dolarlık çok ciddi kötü amaçlı yazılım suçlarıyla ilgiliydi. . Hâlâ ilgileniyor musun, bir ihtimal?”

Ve ne sürpriz Doug, ABD gerçekten çok ilgilendi.

Böylece iade edildi, mahkeme karşısına çıktı, suçunu kabul etti ve şimdi de hüküm giydi.

Sadece üç yıl hapis cezası alacak ki bu hafif bir ceza gibi görünebilir ve 3,000,000 dolardan fazlasını geri vermesi gerekiyor.

Yapmazsa ne olur bilmiyorum ama sanırım bu kötü amaçlı yazılımla ilgili suçlardan kaçarak ve saklanarak...

…pekala, size karşı suçlamalar varsa ve ABD sizi arıyorsa, "Ah, on yıl geçti, bıraksak iyi olur" demezler.

Ve bu adamın suçu, jargonda "kurşun geçirmez sunucular" olarak bilinen Doug'ı çalıştırmaktı.

Temelde bir tür ISP olduğunuz yer burasıdır, ancak normal bir ISP'den farklı olarak, kanun yaptırımı, engelleme listeleri ve normal ISP'lerden gelen yayından kaldırma bildirimleri için hareketli bir hedef olmak için yolunuzdan çıkıyorsunuz.

Yani, hizmetler sağlıyorsunuz, ancak isterseniz onları internette hareket halinde tutuyorsunuz, böylece dolandırıcılar size bir ücret ödüyor ve onlar için barındırdığınız alan adlarının devam edeceğini biliyorlar. kolluk kuvvetleri peşinizde olsa bile çalışıyorsunuz.

---

DOUG.  Pekala, yine harika bir haber.

Paul, biz günlük hikayelerimizi tamamlarken, çok zor, nüanslı ama henüz önemli soru şifreler hakkında.

Yani, onları sürekli olarak, belki ayda bir, rotasyonla mı değiştirmeliyiz?

Veya başlamak için gerçekten karmaşık olanları kilitleyin ve sonra yeterince iyi bırakın?

Planlanmış şifre değişiklikleri hakkında düşünceler (bunlara rotasyon demeyin!)

---

ÖRDEK.  Kulağa eski bir hikaye gibi gelse ve aslında daha önce birçok kez ziyaret ettiğimiz bir hikaye olsa da, bunu yazmamın nedeni, bir okuyucunun tam da bu konuyu sormak için benimle iletişime geçmesiydi.

“2FA için yarasaya girmek istemiyorum; Parola yöneticileri için yarasaya girmek istemiyorum. Bunlar ayrı meseleler. Ben sadece şirketimdeki iki grup arasındaki bölge savaşını nasıl çözeceğimi bilmek istiyorum, bazı insanlar şifreleri düzgün bir şekilde yapmamız gerektiğini söylerken, diğerleri sadece 'Bu tekne yelken açtı, çok zor,' diyor. insanları onları değiştirmeye zorlarız ve bu yeterince iyi olur'.”

Bu yüzden aslında bunun hakkında yazmaya değer olduğunu düşündüm.

Naked Security ve sosyal medyadaki yorumların sayısına bakılırsa, birçok BT ekibi hala bununla boğuşuyor.

İnsanları parolalarını her 30 veya 60 günde bir değiştirmeye zorlarsanız, hash'leri çalındığında son derece kırılabilir bir parola seçmeleri gerçekten fark eder mi?

seçmedikleri sürece password or secret veya dünyadaki En İyi On Kedi Adından biri, belki de dolandırıcılar şifreyi kıramadan onları pek iyi olmayan başka bir şifreyle değiştirmeye zorlasak sorun olmaz?

Belki de bu yeterince iyidir?

Ama kötü bir alışkanlığı başka bir kötü alışkanlığı izleyerek düzeltememeniz için üç nedenim var.

---

DOUG.  Kapıdan ilk çıkan: Parolaları düzenli olarak değiştirmek, güçlü olanları seçmenin ve kullanmanın bir alternatifi değildir, Paul.

---

ÖRDEK.  Hayır!

İkisini de yapmayı seçebilirsiniz (ve insanları düzenli olarak onları değiştirmeye zorlamanın başka bir dizi sorunu olduğunu düşündüğüm için size birazdan iki neden vereceğim).

Ancak basit gözlem şu ki, kötü bir parolayı düzenli olarak değiştirmek onu daha iyi bir parola yapmaz.

Daha iyi bir şifre istiyorsanız, başlamak için daha iyi bir şifre seçin!

---

DOUG.  Ve diyorsunuz ki: İnsanları rutin olarak şifrelerini değiştirmeye zorlamak, onları kötü alışkanlıklara sürükleyebilir.

---

ÖRDEK.  Yorumlara bakılırsa, bu tam olarak birçok BT ekibinin sahip olduğu sorundur.

İnsanlara "Hey, şifrenizi her 30 günde bir değiştirmelisiniz ve iyi bir şifre seçseniz iyi olur" dersen, yapacakları tek şey...

…iyi bir tane seçecekler.

Bunu hayatlarının geri kalanında hafızalarına kazımak için bir hafta harcayacaklar.

Ve sonra her ay ekleyecekler -01, -02Ve benzeri.

Dolayısıyla, dolandırıcılar parolalardan birini kırar veya tehlikeye atarsa ​​ve buna benzer bir model görürlerse, altı ay önceki parolanızı bilirlerse bugünkü parolanızın ne olduğunu hemen hemen çözebilirler.

İşte bu noktada, gerekmediğinde değişimi zorlamak, insanları sizin istemediğiniz siber güvenlik kısayollarını kullanmaya yönlendirebilir.

---

DOUG.  Ve bu ilginç bir tanesi.

Bundan daha önce bahsetmiştik, ancak bazılarının aklına gelmemiş olabilir: Parola değişikliklerinin planlanması acil durum yanıtlarını geciktirebilir.

Bununla ne demek istiyorsun?

---

ÖRDEK.  Mesele şu ki, şifre değişiklikleri için resmileştirilmiş, sabit bir programınız varsa, böylece herkes bu ayın son günü geldiğinde şifrelerini her halükarda değiştirmek zorunda kalacaklarını bilsin…

… ve sonra şöyle düşünürler, “Biliyor musun? Ayın 12'si ve kimlik avı olabileceğinden emin olmadığım bir web sitesine girdim. Neyse iki hafta sonra şifremi değiştireceğim, o yüzden şimdi gidip değiştirmeyeceğim.”

Bu nedenle, parolalarınızı *düzenli olarak* değiştirerek, bazen, gerçekten çok önemli olduğunda, parolanızı yeterince *sıklıkla* değiştirmeme alışkanlığı edinebilirsiniz.

Parolanızı değiştirmek için iyi bir nedeniniz olduğunu düşünüyorsanız, ŞİMDİ YAPIN!

---

DOUG.  Onu seviyorum!

Pekala, şifre parçasıyla ilgili okuyucularımızdan birinden haber alalım.

Naked Security okuyucusu Philip kısmen şunları yazıyor:

Parolalarınızı riske girmemek için sık sık değiştirmek, yeterince hızlı koşarsanız tüm yağmur damlalarından kaçabileceğinizi düşünmeye benzer.

Tamam, arkandan düşen yağmur damlalarından kaçacaksın ama gittiğin yerde bir o kadar da yağmur damlası olacak.

Ve şifrelerini düzenli olarak değiştirmek zorunda kalan çok sayıda insan, gerektiğinde artırabilecekleri bir sayıyı ekler.

Dediğin gibi Paul!

---

ÖRDEK.  Chester [Wisniewski], birkaç yıl önce ikimiz hakkında konuşurken senin ve benim arkadaşım dedi. şifre efsaneleri, "Sondaki sayının ne olduğunu anlamak için tek yapmaları gereken [GÜLER], LinkedIn sayfanıza gitmek. 'Ağustos 2017'de bu şirkette başladı'… o zamandan bu yana geçen ayları sayın.”

Sonunda ihtiyacın olan sayı bu.

Sophos Techknow – Şifre Efsanelerini Yıkmak

---

DOUG.  Kesinlikle! [Kahkahalar]

---

ÖRDEK.  Ve sorun şu ki, denediğinizde ve planladığınızda veya algoritma oluşturduğunuzda… bu bir kelime mi?

(Muhtemelen olmamalı, ama yine de kullanacağım.)

Rastgelelik, entropi ve öngörülemezlik fikrini almaya çalıştığınızda ve onu, örneğin karakterlerin ve sayıların araç etiketlerinde nasıl düzenlendiğini açıklayan algoritma gibi süper katı bir algoritmaya bağladığınızda...

…o zaman *daha fazla* değil, *daha az* rastgelelik elde edersiniz ve bunun farkında olmanız gerekir.

Dolayısıyla, insanları bir kalıba girmelerine neden olacak herhangi bir şey yapmaya zorlamak, Chester'ın o zamanlar söylediği gibi, onları kötü bir alışkanlığa alıştırmaktan başka bir şey değildir.

Ve bu şekilde ifade etmeyi seviyorum.

---

DOUG.  Pekala, bunu gönderdiğin için çok teşekkür ederim, Philip.

Ve göndermek istediğiniz ilginç bir hikayeniz, yorumunuz veya sorunuz varsa, onu podcast'te okumaktan memnuniyet duyarız.

Tips@sophos.com'a e-posta gönderebilir, makalelerimizden herhangi biri hakkında yorum yapabilir veya sosyal ağlarda bize ulaşabilirsiniz: @nakedsecurity.

Bugünkü programımız bu.

Dinlediğiniz için çok teşekkürler.

Paul Ducklin için, ben Doug Aamoth, bir dahaki sefere kadar size şunu hatırlatıyorum...

---

HER İKİSİ DE.  Güvende kalın!

[MÜZİKAL MODEM]