Falha épica na segurança da web e lições salutares de outro ano inevitavelmente agitado na infosec
À medida que 2022 chega ao fim , The Daily Swig está revisitando algumas das vitórias de segurança da web mais notáveis do ano e falhas flagrantes de segurança da informação.
Amanhã publicaremos alguns exemplos dos sucessos de segurança cibernética do ano, mas hoje estamos começando com alguns divertidos vulnerabilidades, desastres de segurança e scorecards ‘deve fazer melhor’.
Ignorar o Reddit NSFW
As restrições ‘Não é seguro para o trabalho’ do Reddit poderiam ter sido subvertido por meio de uma falsificação de solicitação entre sites< /a> (CSRF) vulnerabilidade corrigida pela plataforma de mídia social em fevereiro.
O bug de segurança permitiu que os invasores induzissem os usuários a ativar a opção ‘Tenho mais de dezoito anos anos de idade’ e expressar vontade de ver conteúdo adulto.
Esse problema de gravidade média rendeu ao pesquisador de segurança que encontrou a falha uma recompensa de bug de $ 500.
Proposta QWACkers
Mozilla, The Electronic Frontier Foundation e dezenas de especialistas em ciência da computação pediram aos legisladores da UE que abandonar planos para forçar navegadores da web a reconhecer a validade de certificados da web controversos criados pelo bloco.
Uma emenda proposta ao regulamento eIDAS – ou Identificação Eletrônica, Autenticação e Serviços de Confiança – obrigaria os navegadores a aceitar Certificados de Autenticação de Site Qualificado (QWACs).
A UE criou QWACs em 2014 para validar a identidade declarada de um site e, portanto, supostamente proteger os usuários contra fraude, malware e vigilância. A Mozilla argumenta que os QWACs são inferiores e contornariam o ecossistema de autenticação da Web mais eficaz e antigo já existente.
Cerca de 38 especialistas em segurança assinaram uma carta aberta criticando os planos que foi endereçada ao Parlamento Europeu em Março.
Executivo de fraude cibernética virou fraudador cibernético
Um empresário americano que embolsou milhões de dólares depois de falsificar extratos bancários para gerar investimento para sua empresa de prevenção de fraudes cibernéticas foi sentenciado a cinco anos por fraude de valores mobiliários em novembro.
Em um caso clássico de atividades nefastas desmentindo o nobre ou socialmente importante papel que eles estão ostensivamente jogando (‘altruísta eficaz’ Sam Bankman-Fried é acusado de semelhante), Adam Rogas foi condenado por usar dados financeiros fraudulentos para garantir mais de US$ 123 milhões em financiamento para a NS8, a empresa que ele cofundou.
Este valor inclui cerca de $ 17,5 milhões que ele aparentemente “obteve pessoalmente”, como The Daily Swig relatado em março.
O procurador americano Damian Williams disse : “Adam Rogas levou o ditado ‘fake-it-til-you-make-it’ a um extremo criminoso. Embora alegando estar no negócio de prevenção de fraudes, o próprio Rogas falsificou quase todos os clientes, receitas e ativos de sua empresa.”
O processo de correção precisa de correção
Houve algumas melhorias quando se trata de desenvolver e aplicar patches, mas ainda há motivos para preocupação.
Não menos importante, o bug de 2021 – e talvez do século – ‘Log4Shell’ não provocou uma corrida universal para corrigir, com um terço dos downloads do Log4j ainda puxando versões vulneráveis quase um ano após seu surgimento.
Outras causas de preocupação nesta frente incluem Apache Software Foundation (ASF) expressando alarme com o número de organizações executando versões em fim de vida do software Apache, enquanto um estudo da North Carolina State University alertou sobre atrasos inaceitáveis no lançamento de patches de código aberto.
A IA ainda não substitui os caçadores de bugs humanos
ChatGPT representa um grande avanço para IA, mas provou não substituir o homo erectus quando se trata de encontrar e divulgar vulnerabilidades de segurança de software.
O modelo de linguagem grande (LLM) revolucionário da OpenAI já está sendo usado para criar ransomware e criar phishing campanhas e também oferece utilidade potencial para os defensores.
No entanto, suas deficiências como caçador de recompensas de bugs eram exposto este mês quando um mantenedor de stablecoin OUSD suspeitou que seu interlocutor era um chatbot.
Daniel Von Fange relatou “inconstância entre e-mails – cada e-mail parecia fingir que estávamos discutindo um bug diferente, e cada um era um bug baseado em premissas sem sentido, e cada conjunto de código enviado para provar a problemas não tinham valor”.
O ‘pesquisador’ que enviou a falha finalmente admitiu que o ChatGPT detalhou o impacto do bug, a capacidade de exploração e as possíveis soluções, mas ainda teve a audácia de pedir uma recompensa.
Von Fange disse ao The Daily Swig que “os LLMs atuais são bons em encontrar razões plausíveis pelas quais o código pode ter uma vulnerabilidade”, mas um grande avanço viria quando a IA pudesse escrever e executar automaticamente o código para verificar a capacidade de exploração.
< h3>Crise existencial do LastPass
Outro ano, outro pingo-pinga de violações de dados grandes e pequenas, e poucas – se houver – provocaram tanto alarme quanto o recente comprometimento em plataforma de gerenciamento de senhas LastPass .
Infosec Twitter centra-se no terror impacto potencial – 33 milhões de clientes confiam suas senhas ao líder do mercado de gerenciamento de senhas< /a> – e o fato de que a violação parecia se tornar mais grave a cada nova atualização da empresa sitiada.
O LastPass revelou pela primeira vez que seus servidores foram invadidos em agosto, mas disse que não encontrou “nenhuma evidência” que os invasores acessaram “dados de clientes ou cofres de senhas criptografadas”.
No entanto, isso mudou durante o período festivo, quando o LastPass admitiu que hackers haviam roubado as chaves de armazenamento em nuvem de um funcionário e furtado os cofres de senhas criptografadas dos clientes.
No entanto, a empresa agora diz que, desde que os clientes usem as configurações padrão recomendadas, “levaria milhões de anos para adivinhar sua senha mestra usando senha-crac geralmente disponível tecnologia rei”.
RELACIONADO Cadeia de bug de roubo de senha corrigida no gerenciador de credenciais Passwordstate