Breaking Bad in Cybersecurity – Brittiska företag varnas för att deras cybersäkerhetsanställda kan komma att skuggas på den mörka webben. Microsoft har avslöjat att attacker från ryska hackare fortsätter. En ny attackvektor som använder teckensnitt har upptäckts av marknadsföringsprogramvaran Canva, med ett kritiskt fel i system som används av stater och myndigheter i den amerikanska regeringen.
Välkommen till Cybersecurity Today måndagen den 11 marsth, 2024. Jag är din värd, Jim Love. Jag representerar Howard Solomon.
En brittisk utredningsrapport har avslöjat att högutbildade cybersäkerhetsarbetare arbetar bakom kulisserna på den mörka webben. Cybersäkerhetsgruppen CIISec beställde den sex månader långa utredningen från juni till december 2023, utförd av före detta polis och undercover-agenter som trålade mörka webbforum för jobbannonser.
Han fann att cybersäkerhetsproffs, från utvecklare till penetrationstestare, letar efter ytterligare arbete för att öka sina löner eller fylla förlorade jobb.
Enligt studien kategoriserades personer som marknadsför sina tjänster i tre grupper:
- Mycket skickliga yrkesmän med 10 års erfarenhet inom säkerhets- eller IT-området. Han hittade bevis på individer som för närvarande arbetar för en ”global mjukvarubyrå”, en professionell penetrationstestare som erbjuder testning av cyberbrottsprodukter, en AI-promptingenjör och en webbutvecklare.
- Vissa behövde ett ”andra jobb” och andra gjorde kommentarer som ”Jul kommer och barnen behöver nya leksaker.”
- Några hade precis börjat inom IT- och säkerhetsområdet och sökte arbete eller vidareutbildning.
Några presenterade portföljer av sitt arbete som bevis på sina färdigheter.
Olika hackergrupper rekryterade också studenter och erbjöd utbildningstjänster.
Undersökningen avslöjade också arbetslösa röstskådespelare som främjar möjligheter till nätfiskekampanjer, erbjuder ”kreativa guider” för att ”förbättra visuellt innehåll”, PR för hackningsgrupper och innehållsskribenter.
Men det är inte bara folk som ber om extra lön.
”Enligt Gartners forskning kommer 25 % av säkerhetsledarna att lämna säkerhetsbranschen år 2025 på grund av arbetsrelaterad stress. Och det är bara ledare”, säger CIISec, företaget som producerade rapporten, säger Amanda Finch, VD.
Finch tillade: ”Med tanke på antalet människor som förväntas lämna branschen, kommer många att vara desperata efter att hitta arbete inom områden som lovar betydande lön för de färdigheter och kunskaper de redan har.” påpekar. Att förhindra detta innebär att se till att vi gör allt vi kan som bransch för att attrahera och behålla talanger. ”
Gäller denna situation även Kanada och USA? Cybersäkerhetslöner, löner och villkor i Storbritannien är lägre än i Kanada och USA, men cybersäkerhetsproffs är mindre benägna att lämna branschen på grund av stress och arbetsförhållanden. Fortfarande där.
Lyssnare minns kanske att ryska statsstödda hackare tidigare i år ertappades med att spionera på e-postkonton hos några av Microsofts ledande ledningsgrupp.
Nu har Microsoft avslöjat att attacken fortsätter och att källkoden också har stulits i vad Microsoft kallar en pågående attack.
Nobelium Group, eller ”Midnight Blizzard” som Microsoft nu kallar det, ska enligt uppgift använda ”de olika typer av hemligheter som den har upptäckt” för att ytterligare attackera Microsoft och eventuellt dess kunder.
Enligt Microsoft, ”delades en del av dessa hemligheter mellan kunder och Microsoft via e-post, och eftersom vi upptäckte dem i de läckta e-postmeddelandena hjälper vi dessa kunder att vidta åtgärder för lindrande åtgärder.” Vi har varit i kontakt med dem och fortsätter att göra det. till denna dag.”
I blogginlägget står det vidare att detta inkluderar tillgång till källkodsförråd och interna system. Företaget sa också att ”till dags dato har vi inte hittat några bevis för att kundvända system som är värd för Microsoft har äventyrats.”
I den första attacken förra året fick hackare tillgång till Microsofts system och uppenbarligen källkod genom en ”lösenordssprayattack” som använde en ordbok över potentiella lösenord. Normalt skulle detta upptäckas eller inaktiveras, men Microsoft konfigurerade ett ”icke-produktions” testkonto utan att aktivera tvåfaktorsautentisering, vilket gjorde det möjligt för Nobelium-gruppen att komma åt det.
Ironiskt nog kommer denna attack bara några dagar efter att företaget tillkännagav planer på att se över sin säkerhet efter en allvarlig attack mot dess Azure-moln.
Microsoft säger att de fortsätter att undersöka den pågående attacken och är fast beslutna att dela med sig av vad de lär sig.
Ett vanligt verktyg som används av amerikanska delstater och lokala myndigheter för att behandla förfrågningar om offentliga register hade en brist som kunde göra det möjligt för hackare att ladda ner filer som bifogas registerförfrågningar. Enligt NextGov-rapporten inkluderar detta mycket känsliga personuppgifter som ID, fingeravtryck, barnskyddsdokument och till och med medicinska rapporter.
Denna plattform kallas GovQA. Detta är ett förfrågningssystem för offentliga register designat av ett IT-företag som heter Granicus. Det används av hundratals statliga kontrollcenter i USA och hjälper kontor att kategorisera poster som levereras till förfrågan via officiella offentliga kanaler.
Sårbarheten, som enligt uppgift nu är åtgärdad, upptäcktes av den oberoende cybersäkerhetsforskaren Jason Parker, som tidigare upptäckt och rapporterat säkerhetssvagheter i domstolsregistersystem.
Parker rapporterade sina resultat till utvecklaren och Cybersecurity and Infrastructure Security Agency.
Dessa sårbarheter var relaterade till åtkomst för begäranden om informationsfrihet. Dessa förfrågningar kräver att förfrågaren verifierar sin identitet, så även om begäran avslås kan information om förfrågaren ha äventyrats utöver myndighetsregister.
Systemet används i minst 37 delstater och District of Columbia, inklusive domstolar och skolor.
Utvecklaren klassade sårbarheten som ”låg svårighetsgrad” och sa att det var ”att arbeta med kunder för att minimera informationen de samlar in och exponerar” och att de ”arbetar med kunder för att minimera informationen de samlar in och exponerar.” Vi har också startat en recension.” ”Inkludera” i processen för begäran om register.
Två cybersäkerhetsexperter som undersökte detta var oense och sa att felet var mycket mer än ”låg svårighetsgrad”.
Matt ”Jaku” Jakubowski, en av arrangörerna av hackningskonferensen THOTCON i Chicago, kallade denna sårbarhet en av de värsta han någonsin mött. Det gjorde jag.
”[Fixing the flaws] ”Det är inte en fullständig omskrivning av programvaran, men när du hittar något sånt här undrar du vad mer som finns där”, sa Jaku i en nyligen intervju med Next Gov.
Han tillade att det som Parker upptäckte är svårt att upptäcka och att dessa fel inte skulle kunna plockas upp av sårbarhetsskannrar. Ännu mer oroande, sade Jaku, den här typen av brister kan tillåta hackare att redigera eller manipulera poster utan att behöva logga in i systemet.
Andra experter säger att dessa typer av sårbarheter är ganska vanliga i statliga system och kan bli allt mer målsatta av cyberbrottslingar.
Och slutligen rapporterar registret att tre säkerhetsbrister hittades i typsnitt i Canva, en mycket populär applikation som används i sociala medier och marknadsföring.
CVE-2023-45139 är en bugg med hög allvarlighetsgrad (7.5/10). Canva upptäckte detta med FontTools, ett bibliotek för att arbeta med typsnitt skrivna i Python. Denna brist kan tillåta användning av opålitliga XML-filer.
CVE-2024-25081 och CVE-2024-25082 har båda betygen 4,2/10. Dessa är relaterade till verktyg som FontForge och ImageMagick.
Forskarna satte ihop ett enkelt proof of concept i form av en skalexekvering som gör att FontForge kan öppna filer som den inte ska komma åt.
Begränsar detta till ett annat sårbarhetsområde att se upp för.
Det var allt för det här avsnittet av Cybersecurity Today. Som alltid kommer länkar till berättelser och annan information att inkluderas i programanteckningarna som publiceras på itworldcanada.com/podcasts. Leta efter cybersäkerhet idag.
Och vanligtvis när jag fyller i för Howard har han redan skrivit berättelsen åt mig, men den här gången är han verkligen på semester och jag är ensam, så om du har några kommentarer, skicka ett meddelande till jlove@itwc.ca.eller under programanteckningarna på itworldcanada.com/podcasts
Dessutom, om du vill kolla in fler tekniska nyheter, kolla in min Daily News Podcast Hashtag Trends. Du kan hitta den på samma ställen som Cybersecurity Today: Apple, Google, Spotify eller itworldcanada.com/podcasts.
Jag är din värd, Jim Love. Han ersätter Howard Solomon. Ta hand om dig.
