本周《绝命毒师》即将播出。 今天我们将讨论:区分Cellebrite和错误,保持你的手指在RCEs的脉搏和我们有趣的新游戏,两个真相和一个谎言。
以下是我们讨论过的每篇文章中的一些亮点:
区分Cellebrite和错误
- 为了更好地理解这一点,我们可能不得不谈谈密码朋克和密码无政府主义者。在过去的黑客文化中,有一群人的地位要高得多,他们认为加密是一种遏制压迫性政府的工具,从本质上说,加密一切是确保我们的隐私不被窃取的最好方法。Signal的首席技术官Moxie Marinspike参与了这些组织。所以他来自这样的背景和精神。以前的黑客文化不像现在这样对政府友好。以前这里有很多朋克,而且与政府实体之间存在着自然的紧张关系。这些加密通信通道是为了让这种情况继续下去。
- Cellebrite声称他们入侵了Signal,但实际上他们需要物理访问你的设备,只是从内存中吸取数据。他们有一种产品,人们把它插到手机上,它会吸收所有的数据,包括短信。信号的存在不是为了加密,虽然它是为了安全通信。如果您可以访问任何物理设备,那么任何应用程序的键都运行在内存中,从其中获取数据应该是很简单的。数字取证101是"抓住手机和笔记本电脑都没锁的人"不管怎样,Cellebrite与许多独裁政权和记者迫害有关。
- 其实并没有什么弱点。他们只是增加了对存储在磁盘上的信号所使用的文件格式的支持。基本上他们增加了解析手机备份的支持。无论如何,真正的英雄软件只是安卓和苹果备份软件的前端。他们的脆弱基本上就是事物运作的方式。
- Moxie和Signal团队表示,这不是一个漏洞,而是手机的工作原理。这是真实的。尽管如此,Signal和团队自然与一家支持人们使用他们的工具在高压环境下进行谋杀和潜在战争犯罪的公司发生了冲突。乐动体育官网下载
- 基本上——如果你正在听,还没有读过那篇博客文章,你真的应该读一下——moxie说他发现了一个Cellebrite设备,他奇迹般地从卡车上掉了下来。经过一些模糊处理后发现,当它解析文件时,你可以在cellebrite设备上运行任意代码,因为它们的安全性很差。所以他能够制作出只要读取就会破坏Cellebrite备份数据完整性的文件。
- 这可能意味着,知道这个漏洞的应用程序可以创建特定的文件,从而破坏这些备份工具。这也对大量依赖于它们的法院裁决提出了质疑,对吧?所有那些使用Cellebrite窃取数据的法庭裁决现在都受到了质疑。这是一件大事,而且非常有趣。Moxie开玩笑说他们会把这些文件包含在《信号》中,但他知道这会给他的基金会和更广泛的任务带来法律麻烦,所以我对此表示怀疑。
保持你的手指在RCEs的脉搏
- 伊凡蒂研究公司和曼迪昂特公司发现,一个关键漏洞被利用,使恶意行为者可以在管理员级别访问这些VPN设备。如果您可以进入VPN端点,那么您就处于受保护环境中,这显然是一件坏事。
- 让我花一点时间谈谈VPN设备,因为VPN已经变得如此无处不在(不仅用于远程工作,还因为许多人为了隐私和其他目的使用它们)。这些设备是位于组织受保护环境边缘的硬件或虚拟机,支持从已授权和经过身份验证的用户连接到该环境。用户通常有一个客户端应用程序(尽管有时它们只是在浏览器中运行),他们使用该应用程序登录到VPN设备。一旦连接被接受,他们就有了一个被称为“隧道”的加密连接,从网络的角度来看,它基本上等同于在办公室的局域网上。
- 所以,如果你想象一个入侵者跳华尔兹进入办公室(他们通常跳华尔兹,但越来越多的人开始跳狐步舞,甚至是探戈),把笔记本电脑插到公司的局域网里,那将是非常可怕的,对吗?尤其是当他们像我一样跳舞很差劲的时候。这个RCE授予相同级别的访问权限。
- 根据研究,受害者包括美国国防、金融和政府机构,以及欧洲的各种机构。实际上,曼迪昂特表示,这些地区和亚洲的航空公司都受到了打击。当然,这些都是高价值的目标。鲍勃的消音器店可能不会在这里被打,除非它是中情局的幌子(这总是有可能的,因为他们的消音器有多糟糕)。不管怎样,这就是我们通常在APT群体中看到的目标。
- 曼迪昂特非常倾向于中国。他们在北卡罗来纳大学的两个组——2630和2717是“未分类”的组——是他们认为最有可能的。这些都是Mandiant与中国政府有关联的活动组织。
- 他们看到2630人积极地从Pulse Secure登录流中获取凭据,而2630是他们在去年夏天看到的一个针对美国国防公司的组织。他们还认为UNC2630可能与中国的APT5有关。它们基于基础设施、工具和网络行为的组合,以及目标定位。对2717人的归因,以及对该群体的总体描述,都显得有些牵强,他们在报告中很快就这么说了。
- 不幸的是,我们还不能让他们给VPN服务器打补丁,因为补丁今天还没有出来。预计在五月的第一周左右。与此同时,最紧急的事情是更改Active Directory凭据,因为完全有可能威胁行为者正在使用现有的用户凭据在受保护的环境中自由移动。他们还可以做其他事情,所有这些都需要网络安全团队的大量工作,但实际上无法避免这一点。假设Pulse Secure支持它,他们应该立即为网络内部的关键资源启用双因素身份验证。需要注意的是,漏洞能够绕过Pulse Secure设备本身的2FA,所以我在这里谈论的是对具有VPN访问的用户的另一层身份验证。这很痛苦,但会有帮助。对于在家办公的员工,他们还可以将访问VPN服务器的IP地址限制为已知属于合法员工的IP地址。这远非万无一错,因为许多住宅isp会轮换其用户的ip,但这是另一个有助于加强安全的步骤。
- 另一个选择,也是很多工作,但它是可能的,是切换到不同供应商的VPN设备。外面有很多这样的人。对于一个拥有乐动体育官网下载数千名员工的公司来说,这将是一个巨大的提升,但不幸的是,任何缓解措施都需要付出巨大的努力。重置密码可能是最简单的工作,但在vuln未打补丁的情况下,黑客可以使用相同的方法窃取新的信用。这一措施将减缓它们的速度,但不能完全阻止它们。
两个事实和一个谎言
介绍《绝命毒师》的最新片段。我们要玩一个你们可能都很熟悉的游戏叫做两个事实和一个谎言,有一个有趣的转折。每周,我们都会准备三篇文章的标题,其中两篇是真实的,另一篇是,你猜对了,一个谎言。
你一定要收听我们的节目才能知道!
当前的记分板
本周帽衫/好衣量表
区分Cellebrite和错误(乍得):-11/10的连帽衫
(Tim):0/10的连帽衫
保持你的手指在RCEs的脉搏(乍得):11/10的连帽衫
(Tim):11/10的连帽衫
以上就是本周的全部内容,大家可以在推特上找到我们@domaintools在美国,我们的播客中提到的所有文章都会包含在我们的播客概述中。请在太平洋时间周三上午9点收看我们的节目,届时我们将发布下一期播客和博客。
*特别感谢John Roderick为我们带来的不可思议的播客音乐!