الاستماع الآن
مع دوج آموث وبول دوكلين.
موسيقى مقدمة وخاتمة بواسطة إديث مودج.
انقر واسحب على الموجات الصوتية أدناه للتخطي إلى أي نقطة. يمكنك أيضا استمع مباشرة على Soundcloud.
يمكنك الاستماع إلينا على SoundCloud لل, Apple Podcasts, Google Podcasts, سبوتيفي, الخياطة وفي أي مكان توجد فيه ملفات بودكاست جيدة. أو قم بإسقاط ملف عنوان URL لخلاصة RSS الخاصة بنا في podcatcher المفضل لديك.
اقرأ النص
دوغ. ديدبولت - لقد عاد!
بقع وافرة!
والمناطق الزمنية ... نعم ، المناطق الزمنية.
كل ذلك وأكثر على Naked Security Podcast.
[مودم موسيقي]
مرحبا بكم في البودكاست ، الجميع.
أنا دوغ عاموث.
معي ، كما هو الحال دائمًا ، بول دوكلين.
بول ، حلقة 100 سعيدة جدا لك يا صديقي!
بطة. واو دوج!
كما تعلم ، عندما بدأت بنية الدليل الخاص بي لـ Series 3 ، كنت أستخدمه بجرأة -001 للحلقة الأولى.
دوغ. لم أفعل. [يضحك]
بطة. ليس -1 or -01.
دوغ. ذكي…
بطة. كان لدي إيمان كبير!
وعندما أحفظ ملف اليوم ، سأفرح فيه.
دوغ. نعم ، وسأخشى ذلك لأنه سيظهر في الأعلى.
حسنًا ، سأضطر إلى التعامل مع ذلك لاحقًا ...
بطة. [يضحك] يمكنك إعادة تسمية كل الأشياء الأخرى.
دوغ. اعلم اعلم.
[متترة] لا أتطلع إلى ذلك ... ها هو يوم الأربعاء.
على أي حال ، لنبدأ العرض ببعض التاريخ التقني.
هذا الأسبوع ، في 12 سبتمبر 1959 ، لونا 2، والمعروفة أيضا باسم الصاروخ الكوني السوفيتي الثاني، أصبحت أول مركبة فضائية تصل إلى سطح القمر ، وأول جسم من صنع الإنسان يتصل بجرم سماوي آخر.
رائع جدا.
بطة. ما هو هذا الاسم الطويل؟
"الصاروخ الكوني السوفيتي الثاني"?
دوغ. نعم.
بطة. لونا تو هو أفضل بكثير.
دوغ. نعم أفضل بكثير!
بطة. على ما يبدو ، كما يمكنك أن تتخيل ، نظرًا لأنه كان عصر سباق الفضاء ، كان هناك بعض القلق بشأن ، "كيف سنعرف أنهم فعلوا ذلك بالفعل؟ يمكنهم فقط القول إنهم هبطوا على القمر ، وربما يصنعونه ".
على ما يبدو ، ابتكروا بروتوكولًا من شأنه أن يسمح بالمراقبة المستقلة.
لقد توقعوا الوقت الذي سيصل فيه القمر إلى القمر ، وأرسلوا الوقت المحدد الذي توقعوه إلى عالم فلك في المملكة المتحدة.
وقد لاحظ بشكل مستقل ، ليرى ما إذا كان ما قالوه * سيحدث * في ذلك الوقت * قد حدث *.
حتى أنهم فكروا في "كيف تتحقق من شيء كهذا؟"
دوغ. حسنًا ، فيما يتعلق بموضوع الأشياء المعقدة ، لدينا تصحيحات من Microsoft و Apple.
إذن ما هو الملحوظ هنا في هذه الجولة الأخيرة؟
بطة. نحن بالتأكيد نفعل - إنه يوم الثلاثاء من هذا الأسبوع ، الثلاثاء الثاني من الشهر.
هناك نوعان من الثغرات الأمنية في Patch Tuesday كانت ملحوظة بالنسبة لي.
أحدها جدير بالملاحظة لأنه على ما يبدو في البرية - وبعبارة أخرى ، كان يوم الصفر.
وعلى الرغم من أنه ليس تنفيذ تعليمات برمجية عن بُعد ، إلا أنه مقلق بعض الشيء لأنه [COUGHS APOLOGETICALLY] ثغرة في ملف السجل ، دوغ!
انها ليست تماما مثل سيئة مثل Log4J، حيث لا يمكنك فقط جعل المسجل يسيء التصرف ، بل يمكنك أيضًا الحصول عليه تشغيل رمز تعسفي بالنسبة لك.
ولكن يبدو أنك إذا أرسلت نوعًا من البيانات المشوهة إلى برنامج تشغيل نظام ملفات سجل Windows المشترك ، CLFS ، فيمكنك خداع النظام لترقيتك إلى امتيازات النظام.
سيئ دائمًا إذا دخلت كمستخدم ضيف ، وبعد ذلك يمكنك تحويل نفسك إلى مسؤول نظام ...
دوغ. [يضحك] نعم!
بطة. وهذا يعني CVE-2022-37969.
والأخرى التي وجدتها ممتعة ...
... لحسن الحظ ليس في البرية ، ولكن هذا هو الشيء الذي تحتاج حقًا إلى تصحيحه ، لأنني أراهن أنه الشخص الذي سيركز مجرمو الإنترنت على الهندسة العكسية:
"ثغرة أمنية في تنفيذ التعليمات البرمجية عن بُعد لـ Windows TCP / IP", CVE-2022-34718.
اذا تذكرت رمز أحمرو SQL سلامر، وتلك الدودة الشريرة من الماضي ، حيث وصلوا للتو في حزمة شبكة ، وشقوا طريقهم إلى النظام….
هذا مستوى أدنى من ذلك.
على ما يبدو ، الخطأ في التعامل مع حزم IPv6 معينة.
لذا فإن أي شيء يستمع فيه IPv6 ، وهو إلى حد كبير أي جهاز كمبيوتر يعمل بنظام Windows ، قد يكون معرضًا للخطر من هذا.
كما قلت ، هذا الشخص ليس في البرية ، لذلك لم يعثر عليه المحتالون بعد ، لكني لا أشك في أنهم سيأخذون التصحيح ويحاولون معرفة ما إذا كان بإمكانهم عكس هندسة استغلال منه ، للقبض على الأشخاص الذين لم يتم تصحيحهم بعد.
لأنه إذا كان هناك أي شيء يقول ، "توقف! ماذا لو كتب شخص ما دودة استخدمت هذا؟ "... هذا هو الذي سأكون قلقًا بشأنه.
دوغ. حسنا.
ثم إلى Apple ...
بطة. لقد كتبنا قصتين عن تصحيحات Apple مؤخرًا ، حيث ظهرت فجأة ، فجأة ، تصحيحات لأجهزة iPhone و iPad و Mac ضد يومين في البرية صفر يوم.
أحدهما كان خطأً في المتصفح ، أو خطأً متعلقًا بالتصفح ، بحيث يمكنك التجول في موقع ويب يبدو بريئًا ويمكن أن تهبط البرامج الضارة على جهاز الكمبيوتر الخاص بك ، بالإضافة إلى موقع آخر يمنحك تحكمًا على مستوى النواة ...
... والتي ، كما قلت في البودكاست الأخير ، تنبعث منها رائحة برامج التجسس بالنسبة لي - وهو شيء قد يهتم به بائع برامج التجسس أو "مخترق إلكتروني للمراقبة" جاد حقًا.
ثم كان هناك تحديث ثان ، لدهشتنا ، لنظام التشغيل iOS 12، الذي اعتقدنا جميعًا أنه تم التخلي عنه منذ فترة طويلة.
هناك ، أحد تلك الأخطاء (المتصفح المتعلق بالمتصفح والذي سمح للمحتالين بالاختراق) حصل على تصحيح.
وبعد ذلك ، عندما كنت أتوقع نظام iOS 16 ، بدأت كل رسائل البريد الإلكتروني هذه فجأة في الوصول إلى صندوق الوارد الخاص بي - مباشرة بعد أن تحققت ، "هل تم إصدار iOS 16 بعد؟ هل يمكنني التحديث إليه؟ "
لم يكن هناك ، ولكن بعد ذلك تلقيت كل رسائل البريد الإلكتروني هذه التي تقول ، "لقد قمنا للتو بتحديث iOS 15 و macOS Monterey و Big Sur و iPadOS 15 ...
... واتضح أنه كانت هناك مجموعة كاملة من التحديثات ، بالإضافة إلى نواة جديدة تمامًا هذه المرة أيضًا.
والشيء الرائع هو أنه بعد تلقي الإشعارات ، فكرت ، "حسنًا ، دعني أتحقق مرة أخرى ..."
(لذلك يمكنك أن تتذكر ، إنه الإعدادات > العلاجات العامة > على جهاز iPhone أو iPad.)
لو وها ، لقد عُرض علي تحديثًا لنظام iOS 15 ، والذي كان لدي بالفعل ، * أو * يمكنني القفز على طول الطريق إلى iOS 16.
وكان نظام التشغيل iOS 16 يحتوي أيضًا على هذا الإصلاح لمدة يوم الصفر (على الرغم من أن نظام التشغيل iOS 16 من الناحية النظرية لم يتم إصداره بعد) ، لذلك أعتقد أن الخطأ موجود أيضًا في الإصدار التجريبي.
لم يتم إدراجه على أنه يوم الصفر رسميًا في نشرة Apple لنظام التشغيل iOS 16 ، لكن لا يمكننا معرفة ما إذا كان ذلك بسبب أن الاستغلال الذي رأته Apple لم يعمل بشكل صحيح على نظام التشغيل iOS 16 ، أو ما إذا كان لا يعتبر صفرًا- اليوم لأن iOS 16 كان يخرج للتو.
دوغ. نعم ، كنت سأقول: لا أحد يمتلكها بعد. [ضحك]
بطة. كان هذا هو الخبر السار من شركة آبل.
والشيء المهم هو أنه عندما تذهب إلى هاتفك وتقول ، "أوه ، iOS 16 متاح" ... إذا لم تكن مهتمًا بنظام iOS 16 حتى الآن ، فلا يزال عليك التأكد من حصولك على نظام iOS 15 التحديث ، بسبب نواة اليوم صفر.
أيام الصفر في Kernel دائمًا ما تكون مشكلة لأنها تعني أن هناك شخصًا ما يعرف كيفية تجاوز إعدادات الأمان المزدحمة على جهاز iPhone الخاص بك.
ينطبق الخطأ أيضًا على macOS Monterey و macOS Big Sur - وهذا هو الإصدار السابق ، macOS 11.
في الواقع ، لكي لا يتم التفوق عليها ، فإن Big Sur لديها بالفعل * حشرات نواة صفرية في البرية.
لا توجد أخبار عن iOS 12 ، وهو نوع ما كنت أتوقعه ، ولا شيء حتى الآن لنظام macOS Catalina.
كاتالينا هو macOS 10 ، الإصدار السابق ، ومرة أخرى ، لا نعرف ما إذا كان هذا التحديث سيأتي لاحقًا ، أو ما إذا كان قد سقط على حافة العالم ولن يتلقى تحديثات على أي حال.
للأسف ، Apple لا تقول ، لذلك لا نعرف.
الآن ، سيكون لدى معظم مستخدمي Apple تحديثات تلقائية قيد التشغيل ، ولكن ، كما نقول دائمًا ، اذهب وتحقق (ما إذا كان لديك جهاز Mac أو iPhone أو iPad) ، لأن أسوأ شيء هو افتراض أن جهازك التلقائي عملت التحديثات وحافظت على سلامتك ...
... عندما حدث خطأ ما في الواقع.
دوغ. حسنا جيد جدا.
الآن ، هناك شيء كنت أتطلع إليه ، والمضي قدمًا ، وهو: "ما علاقة المناطق الزمنية بأمن تكنولوجيا المعلومات؟"
بطة. حسنًا ، كثيرًا ، اتضح ، دوج.
دوغ. [ضحك] نعم سيدي!
بطة. المناطق الزمنية بسيطة للغاية من حيث المفهوم.
إنها مريحة للغاية لتشغيل حياتنا بحيث تتوافق ساعاتنا تقريبًا مع ما يحدث في السماء - لذا فهي مظلمة في الليل ونور النهار. (دعنا نتجاهل التوقيت الصيفي ، ولنفترض أن لدينا مناطق زمنية مدتها ساعة واحدة فقط في جميع أنحاء العالم بحيث يكون كل شيء بسيطًا حقًا.)
تأتي المشكلة عندما تحتفظ فعليًا بسجلات النظام في مؤسسة حيث توجد بعض الخوادم الخاصة بك ، وبعض المستخدمين ، وبعض أجزاء الشبكة ، وبعض عملائك ، في أجزاء أخرى من العالم.
عندما تكتب إلى ملف السجل ، هل تكتب الوقت مع مراعاة المنطقة الزمنية؟
عندما تكتب سجلك ، دوغ ، هل تطرح 5 ساعات (أو 4 ساعات في الوقت الحالي) التي تحتاجها لأنك في بوسطن ، بينما أقوم بإضافة ساعة واحدة لأنني في توقيت لندن ، لكنها الصيف ؟
هل أكتب ذلك في السجل بحيث يكون منطقيًا * * * عندما أعيد قراءة السجل؟
أو هل أكتب وقتًا أكثر اعتدالًا ولا لبس فيه باستخدام نفس المنطقة الزمنية * للجميع * ، لذلك عندما أقارن السجلات التي تأتي من أجهزة كمبيوتر مختلفة ومستخدمين مختلفين وأجزاء مختلفة من العالم على شبكتي ، يمكنني في الواقع ترتيب الأحداث؟
من المهم حقًا ترتيب الأحداث ، دوغ ، خاصة إذا كنت تقوم باستجابة للتهديد في هجوم إلكتروني.
تحتاج حقًا إلى معرفة ما جاء أولاً.
وإذا قلت ، "أوه ، لم يحدث ذلك حتى الساعة 3 مساءً" ، فهذا لا يساعدني إذا كنت في سيدني ، لأن الثالثة مساءً حدثت أمس مقارنة بالثالثة مساءً.
لذا أنا كتب مقالا على Naked Security حول بعض الطرق التي يمكنك استخدامها تعامل مع هذه المشكلة عندما تقوم بتسجيل البيانات.
توصيتي الشخصية باستخدام تنسيق طابع زمني مبسط يسمى RFC 3339، حيث تضع سنة مكونة من أربعة أرقام ، شرطة [حرف الواصلة ، ASCII 0x2D] ، شهر مكون من رقمين ، شرطة ، يوم مكون من رقمين ، وما إلى ذلك ، بحيث يتم ترتيب الطوابع الزمنية بشكل جيد أبجديًا.
وأنك تسجل جميع مناطقك الزمنية كمنطقة tme المعروفة باسم Z (zed أو zee) ، اختصار لـ وقت الزولو.
هذا يعني أساسًا UTC أو التوقيت العالمي المنسق.
هذا هو توقيت غرينتش تقريبًا ولكن ليس تمامًا ، وهو الوقت الذي يتم فيه ضبط ساعة كل جهاز كمبيوتر أو هاتف تقريبًا داخليًا هذه الأيام.
لا تحاول التعويض عن المناطق الزمنية عندما تكتب إلى السجل ، لأنه بعد ذلك سيتعين على شخص ما أن يقوم بتعويض عندما يحاول أن يصطف سجلك مع سجل أي شخص آخر - وهناك الكثير من الانزلاق في الكوب والشفاه ، دوغ.
يبقيه بسيط.
استخدم تنسيقًا نصيًا أساسيًا وبسيطًا يحدد التاريخ والوقت تمامًا ، وصولاً إلى اليوم الثاني - أو ، في هذه الأيام ، يمكن أن تنخفض الطوابع الزمنية هذه الأيام إلى النانو ثانية إذا كنت تريد ذلك.
وتخلص من المناطق الزمنية من سجلاتك ؛ تخلص من التوقيت الصيفي من سجلاتك ؛ وقم فقط بتسجيل كل شيء ، في رأيي ، بالتوقيت العالمي المنسق ...
... اختصار UTC بشكل مربك ، لأن الاسم باللغة الإنجليزية ولكن الاختصار باللغة الفرنسية - شيء مثير للسخرية.
دوغ. نعم.
بطة.
أشعر بالإغراء للقول ، "ليس لأنني أشعر بقوة حيال ذلك ، مرة أخرى" ، كما أفعل عادةً ، بضحك ...
... ولكن من المهم حقًا الحصول على الأشياء بالترتيب الصحيح ، لا سيما عندما تحاول تعقب مجرمي الإنترنت.
دوغ. حسنًا ، هذا جيد - نصيحة عظيمة.
وإذا تمسكنا بموضوع مجرمي الإنترنت ، فقد سمعت عن هجمات Manipulator-in-the-Middle ؛ سمعت عن هجمات Manipulator-in-the-Browser ...
.. الآن استعد لهجمات Browser-in-the-Browser.
بطة. نعم ، هذا مصطلح جديد نراه.
أردت كتابة هذا لأن باحثين في شركة استخبارات تهديدات تسمى Group-IB كتبوا مؤخرًا مقالًا حول هذا الموضوع ، وبدأت وسائل الإعلام تتحدث عن ، "مرحبًا ، هجمات المستعرض في المتصفح ، كن خائفًا جدًا" ، أو أيا كان ...
أنت تفكر ، "حسنًا ، أتساءل كم عدد الأشخاص الذين يعرفون حقًا ما المقصود بهجوم المستعرض في المتصفح؟"
والشيء المزعج في هذه الهجمات ، دوج ، هو أنها من الناحية التكنولوجية بسيطة للغاية.
إنها فكرة بسيطة.
دوغ. إنهم فنيون تقريبًا.
بطة. نعم!
إنه ليس علمًا وتكنولوجيا حقًا ، إنه فن وتصميم ، أليس كذلك؟
في الأساس ، إذا سبق لك القيام بأي برمجة JavaScript (للخير أو الشر) ، فستعرف أن أحد الأشياء المتعلقة بالأشياء التي تلتصق بها في صفحة الويب هو أنه من المفترض أن تكون مقيدة بصفحة الويب هذه.
لذلك ، إذا انبثقت نافذة جديدة تمامًا ، فستتوقع أن تحصل على سياق متصفح جديد تمامًا.
وإذا قام بتحميل صفحته من موقع جديد تمامًا ، على سبيل المثال موقع تصيد ، فلن يتمكن من الوصول إلى جميع متغيرات جافا سكريبت والسياق وملفات تعريف الارتباط وكل ما تحتويه النافذة الرئيسية.
لذلك ، إذا فتحت نافذة منفصلة ، فأنت نوع من الحد من قدرات القرصنة الخاصة بك إذا كنت محتالاً.
ومع ذلك ، إذا فتحت شيئًا ما في النافذة الحالية ، فأنت مقيد بشكل كبير فيما يتعلق بمدى الإثارة و "الشبيهة بالنظام" التي يمكنك جعلها تبدو ، أليس كذلك؟
لأنه لا يمكنك الكتابة فوق شريط العنوان ... هذا حسب التصميم.
لا يمكنك كتابة أي شيء خارج نافذة المتصفح ، لذلك لا يمكنك وضع نافذة تبدو كخلفية على سطح المكتب ، كما لو كانت موجودة طوال الوقت.
بمعنى آخر ، أنت محشور داخل نافذة المتصفح التي بدأت بها.
لذا فإن فكرة هجوم Browser-in-the-Browser هي أن تبدأ بموقع ويب عادي ، ثم تنشئ ، داخل نافذة المتصفح التي لديك بالفعل ، صفحة ويب تشبه تمامًا نافذة متصفح نظام التشغيل .
في الأساس ، تُظهر لشخص ما صورة * عن الشيء الحقيقي ، وتقنعه * إنها * الشيء الحقيقي.
الأمر بهذه البساطة في القلب ، دوغ!
لكن المشكلة تكمن في أنه مع القليل من العمل الدقيق ، خاصة إذا كانت لديك مهارات جيدة في CSS ، يمكنك * في الواقع جعل شيء ما داخل نافذة متصفح موجودة يبدو وكأنه نافذة متصفح خاصة به.
وباستخدام القليل من JavaScript ، يمكنك حتى جعلها بحيث يمكن تغيير حجمها ، وبالتالي يمكنها التنقل على الشاشة ، ويمكنك ملؤها بتنسيق HTML الذي تجلبه من موقع ويب تابع لجهة خارجية.
الآن ، قد تتساءل ... إذا كان المحتالون قد ماتوا بشكل صحيح ، فكيف يمكنك معرفة ذلك؟
والخبر السار هو أن هناك شيئًا بسيطًا للغاية يمكنك القيام به.
إذا رأيت ما يشبه نافذة نظام التشغيل وكنت تشك في ذلك بأي شكل من الأشكال (ستظهر بشكل أساسي كنافذة منبثقة على نافذة المتصفح ، لأنه يجب أن تكون بداخلها) ...
... حاول تحريكها * من نافذة المتصفح الحقيقية * ، وإذا كانت "مسجونة" داخل المتصفح ، فأنت تعلم أنها ليست الصفقة الحقيقية!
الشيء المثير للاهتمام في التقرير الذي قدمه باحثو Group-IB هو أنهم عندما صادفوا هذا ، كان المحتالون يستخدمونه بالفعل ضد لاعبي ألعاب Steam.
وبالطبع ، يريد منك تسجيل الدخول إلى حساب Steam الخاص بك ...
... وإذا تم خداعك بالصفحة الأولى ، فسيتم متابعة التحقق من المصادقة الثنائية من Steam.
وكانت الحيلة هي أنه إذا كانت هذه * حقًا * نوافذ منفصلة ، فيمكنك سحبها إلى جانب واحد من نافذة المتصفح الرئيسية ، لكنها لم تكن كذلك.
في هذه الحالة ، لحسن الحظ ، لم يقم الطهاة بعمل CSS بشكل جيد للغاية.
كانت أعمالهم الفنية رديئة.
ولكن ، كما تحدثنا أنا وأنت عدة مرات في البودكاست ، دوغ ، أحيانًا يكون هناك محتالون سيبذلون جهدًا لجعل الأشياء تبدو مثالية للبكسل.
باستخدام CSS ، يمكنك حرفياً وضع وحدات بكسل فردية ، أليس كذلك؟
دوغ. CSS مثيرة للاهتمام.
انها أوراق الأنماط المتتالية... لغة تستخدمها لتصميم مستندات HTML ، ومن السهل حقًا تعلمها ويصعب إتقانها.
بطة. [يضحك] يبدو مثل ذلك بالتأكيد.
دوغ. [يضحك] نعم ، إنها مثل أشياء كثيرة!
لكنها من أول الأشياء التي تتعلمها بمجرد أن تتعلم HTML.
إذا كنت تفكر ، "أريد أن أجعل صفحة الويب هذه تبدو أفضل" ، فإنك تتعلم CSS.
لذا ، بالنظر إلى بعض هذه الأمثلة من المستند المصدر الذي ربطت به من المقالة ، يمكنك معرفة أنه سيكون من الصعب حقًا عمل مزيف جيد حقًا ، إلا إذا كنت جيدًا حقًا في CSS.
ولكن إذا قمت بذلك بشكل صحيح ، فسيكون من الصعب حقًا اكتشاف أنه مستند مزيف ...
... ما لم تفعل كما تقول: حاول إخراجها من النافذة وتحريكها حول سطح المكتب ، أشياء من هذا القبيل.
هذا يقودك إلى النقطة الثانية هنا: افحص النوافذ المشبوهة بعناية.
ربما لن يجتاز الكثير منهم اختبار العين ، ولكن إذا نجحوا ، فسيكون من الصعب حقًا اكتشافهم.
الأمر الذي يقودنا إلى الشيء الثالث ...
"إذا كنت في شك / لا تعطها."
إذا لم يبدو الأمر جيدًا تمامًا ، ولم تكن قادرًا على القول بشكل قاطع أن هناك شيئًا غريبًا على قدم وساق ، فما عليك سوى اتباع القافية!
بطة. ومن الجدير الشك في مواقع الويب غير المعروفة والمواقع التي لم تستخدمها من قبل ، والتي تقول فجأة ، "حسنًا ، سنطلب منك تسجيل الدخول باستخدام حساب Google الخاص بك في نافذة Google ، أو Facebook في نافذة Facebook. "
أو Steam في نافذة Steam.
دوغ. نعم.
أكره استخدام الكلمة B هنا ، لكن هذا يكاد يكون رائعًا في بساطته.
ولكن مرة أخرى ، سيكون من الصعب حقًا تحقيق تطابق مثالي للبكسل باستخدام CSS وأشياء من هذا القبيل.
بطة. أعتقد أن الشيء المهم الذي يجب تذكره هو أنه نظرًا لأن جزءًا من المحاكاة هو "chrome" [المصطلحات الخاصة بمكونات واجهة مستخدم المتصفح] في المتصفح ، فسيظهر شريط العناوين بشكل صحيح.
قد تبدو مثالية حتى.
ولكن الشيء هو أنه ليس شريط عنوان ...
... إنها * صورة * لشريط العنوان.
دوغ. بالضبط!
حسنا ، حذرا هناك ، الجميع!
وبالحديث عن أشياء ليست كما تبدو ، فأنا أقرأ عن DEADBOLT ransomware ، وأجهزة QNAP NAS ، وأشعر وكأننا ناقشنا هذه القصة بالضبط منذ وقت ليس ببعيد.
بطة. نعم لدينا كتبت عن هذا عدة مرات على Naked Security حتى الآن هذا العام ، للأسف.
إنها واحدة من تلك الحالات التي نجح فيها المحتالون مرة تبين أنها عملت مرتين ، ثلاث مرات ، أربع مرات ، خمس مرات.
و NAS أو شبكة التخزين المرفقة الأجهزة ، إذا كنت ترغب في ذلك ، هي خوادم الصندوق الأسود التي يمكنك الذهاب إليها وشرائها - عادةً ما تشغل نوعًا من Linux kernel.
الفكرة هي أنه بدلاً من الاضطرار إلى شراء ترخيص Windows ، أو تعلم Linux ، قم بتثبيت Samba ، وإعداده ، وتعلم كيفية مشاركة الملفات على شبكتك ...
... ما عليك سوى توصيل هذا الجهاز ، و "Bingo" ، يبدأ العمل.
إنه خادم ملفات يمكن الوصول إليه عبر الويب ، ولسوء الحظ ، إذا كانت هناك ثغرة أمنية في خادم الملفات وقمت (عن طريق الصدفة أو التصميم) بإتاحة الوصول إليه عبر الإنترنت ، فقد يتمكن المحتالون من استغلال هذه الثغرة الأمنية ، إذا كان هناك واحد في جهاز NAS هذا ، من مسافة بعيدة.
قد يكونون قادرين على خلط جميع الملفات الموجودة على موقع التخزين الرئيسي لشبكتك ، سواء كانت شبكة منزلية أو شبكة أعمال صغيرة ، ويطلبون منك الفدية بشكل أساسي دون الحاجة إلى القلق بشأن مهاجمة الأجهزة الأخرى الفردية مثل أجهزة الكمبيوتر المحمولة والهواتف الموجودة على جهازك. شبكة الاتصال.
لذلك ، لا يحتاجون إلى العبث بالبرامج الضارة التي تصيب الكمبيوتر المحمول الخاص بك ، ولا يحتاجون إلى اقتحام شبكتك والتجول مثل مجرمي برامج الفدية التقليدية.
إنهم يقومون بتجميع جميع ملفاتك بشكل أساسي ، وبعد ذلك - لتقديم مذكرة الفدية - قاموا فقط بتغيير (لا يجب أن أضحك ، دوغ) ... قاموا فقط بتغيير صفحة تسجيل الدخول على جهاز NAS الخاص بك.
لذلك ، عندما تجد أن جميع ملفاتك معطلة وتفكر ، "هذا مضحك" ، وتنتقل باستخدام متصفح الويب الخاص بك وتتصل به ، فلن تحصل على مطالبة بكلمة المرور!
تتلقى تحذيرًا: "تم قفل ملفاتك بواسطة DEADBOLT. ماذا حدث؟ تم تشفير جميع ملفاتك ".
ثم تأتي بعد ذلك الإرشادات الخاصة بكيفية الدفع.
دوغ. وقد تكرموا أيضًا بعرض QNAP على مبلغ مالي لفتح الملفات للجميع.
بطة. لقطات لدي في آخر المقالات على nakedsecurity.sophos.com تظهر:
1. عمليات فك التشفير الفردية عند 0.03 بيتكوين ، في الأصل حوالي 1200 دولار أمريكي عندما انتشر هذا الشيء لأول مرة ، الآن حوالي 600 دولار أمريكي.
2. خيار BTC 5.00 ، حيث يتم إخبار QNAP عن الثغرة الأمنية حتى يتمكنوا من إصلاحها ، والتي من الواضح أنهم لن يدفعوا ثمنها لأنهم يعرفون بالفعل الثغرة الأمنية. (لهذا السبب يوجد تصحيح في هذه الحالة بالذات.)
3. كما قلت ، هناك خيار بقيمة 50 بيتكوين (أي مليون دولار الآن ؛ كان 1 مليون دولار عندما ظهرت القصة الأولى لأول مرة). على ما يبدو ، إذا دفع QNAP مبلغ 2،1,000,000،XNUMX دولار نيابة عن أي شخص قد يكون مصابًا ، فسيوفر المحتالون مفتاح فك تشفير رئيسي ، إذا كنت لا تمانع.
وإذا نظرت إلى جافا سكريبت الخاص بهم ، فإنه يتحقق فعليًا مما إذا كانت كلمة المرور التي أدخلتها تتطابق مع إحدى علامات التجزئة * اثنين *.
أحدهما فريد من نوعه للإصابة - يقوم المحتالون بتخصيصه في كل مرة ، لذلك يحتوي JavaScript على التجزئة فيه ، ولا يفصح عن كلمة المرور.
وهناك تجزئة أخرى ، إذا تمكنت من كسرها ، تبدو وكأنها ستستعيد كلمة المرور الرئيسية للجميع في العالم ...
... أعتقد أن ذلك كان مجرد المحتالين يلهمون الجميع بأنوفهم.
دوغ. من المثير للاهتمام أيضًا أن فدية البيتكوين البالغة 600 دولار لكل مستخدم هي ... لا أريد أن أقول "ليس فاحشًا" ، ولكن إذا نظرت في قسم التعليقات في هذه المقالة ، فهناك العديد من الأشخاص الذين لا يتحدثون فقط عن دفع فدية…
... ولكن دعنا نتخطى سؤال القارئ هنا.
يشارك Reader Michael تجربته مع هذا الهجوم ، وهو ليس بمفرده - فهناك أشخاص آخرون في قسم التعليقات هذا يبلغون عن أشياء مماثلة.
عبر اثنين من التعليقات ، قال (سأقوم نوعًا ما بصراحة من ذلك):
"لقد مررت بهذا الأمر ، وخرجت جيدًا بعد دفع الفدية. كان العثور على رمز الإرجاع المحدد باستخدام مفتاح فك التشفير الخاص بي هو الجزء الأصعب. تعلمت الدرس الأكثر قيمة ".
في تعليقه التالي ، يمر بجميع الخطوات التي كان عليه أن يتخذها لإعادة الأمور إلى العمل مرة أخرى.
وينزل مع:
"أشعر بالحرج من القول إنني أعمل في مجال تكنولوجيا المعلومات ، لقد مضى أكثر من 20 عامًا ، وتعرضت للعض من هذا الخطأ QNAP uPNP. سعيد لتجاوزها ".
بطة. واو ، نعم ، هذا بيان تمامًا ، أليس كذلك؟
كما لو أنه يقول ، "كنت سأدعم نفسي ضد هؤلاء المحتالين ، لكنني خسرت الرهان وكلفني 600 دولار ووقت كامل."
أعرغ!
دوغ. ماذا يقصد ب "رمز الإرجاع المحدد مع مفتاح الوصف الخاص به"?
بطة. آه ، نعم ، هذا مثير جدًا للاهتمام ... مثير للاهتمام للغاية. (أنا أحاول ألا أقول هنا - مذهل - مائل - رائع.) [ضحك]
لا أريد استخدام كلمة C ، وأقول إنها "ذكية" ، لكنها كذلك.
كيف تتواصل مع هؤلاء المحتالين؟ هل يحتاجون إلى عنوان بريد إلكتروني؟ هل يمكن تتبع ذلك؟ هل يحتاجون إلى موقع ويب مظلم؟
هؤلاء المحتالون لا يفعلون ذلك.
لأنه ، تذكر ، أن هناك جهازًا واحدًا ، ويتم تخصيص البرامج الضارة وتعبئتها عندما تهاجم هذا الجهاز بحيث يحتوي على عنوان Bitcoin فريد بداخله.
وبشكل أساسي ، تتواصل مع هؤلاء المحتالين عن طريق دفع المبلغ المحدد من البيتكوين في محفظتهم.
أعتقد أن هذا هو سبب احتفاظهم بالمبلغ متواضعًا نسبيًا ...
... لا أريد أن أقترح أن كل شخص حصل على 600 دولار مقابل فدية ، لكن الأمر لا يعني أنك تتفاوض مقدمًا لتقرر ما إذا كنت ستدفع 100,000 دولار أو 80,000 ألف دولار أو 42,000 ألف دولار.
أنت تدفع لهم المبلغ ... لا تفاوض ولا دردشة ولا بريد إلكتروني ولا رسائل فورية ولا منتدى دعم.
ما عليك سوى إرسال الأموال إلى عنوان Bitcoin المحدد ، ومن الواضح أنه سيكون لديهم قائمة بعناوين Bitcoin التي يراقبونها.
عندما تصل الأموال ، ويرون وصولها ، يعلمون أنك (وأنت وحدك) دفعت ، لأن رمز المحفظة هذا فريد من نوعه.
وبعد ذلك يقومون بما هو ، على نحو فعال (أنا أستخدم أكبر عروض الأسعار في العالم) "استرداد" على blockchain ، باستخدام معاملة بيتكوين بمبلغ صفر دولار ، دوج.
وهذا الرد ، تلك المعاملة ، يتضمن بالفعل تعليقًا. (تذكر اختراق شبكات بولي؟ كانوا يستخدمون تعليقات Ethereum blockchain لمحاولة قول ، "عزيزي ، السيد White Hat ، ألا تعيد لنا كل الأموال؟")
لذلك تدفع للمحتالين ، وبالتالي تعطي الرسالة التي تريد التفاعل معهم ، ويعيدون لك 0 دولار بالإضافة إلى تعليق مكون من 32 حرفًا سداسيًا ...
... وهو 16 بايت ثنائي خام ، وهو مفتاح فك تشفير 128 بت الذي تحتاجه.
هذه هي الطريقة التي تتحدث بها معهم.
وعلى ما يبدو ، فقد وصلوا إلى T - كما قال مايكل ، فإن عملية الاحتيال تعمل.
والمشكلة الوحيدة التي واجهها مايكل هي أنه لم يكن معتادًا على شراء عملات البيتكوين ، أو العمل مع بيانات blockchain واستخراج رمز الإرجاع هذا ، وهو في الأساس التعليق في "الدفع" في المعاملة الذي يسترده مقابل 0 دولار.
لذا ، فهم يستخدمون التكنولوجيا بطرق ملتوية للغاية.
في الأساس ، يستخدمون blockchain كوسيلة دفع وكأداة اتصال.
دوغ. حسنًا ، إنها قصة شيقة جدًا حقًا.
سوف نراقب ذلك.
وشكراً جزيلاً لك يا مايكل على إرسال هذا التعليق.
إذا كانت لديك قصة مثيرة للاهتمام أو تعليق أو سؤال ترغب في إرساله ، فنحن نحب قراءته في البودكاست.
يمكنك إرسال بريد إلكتروني إلى tips@sophos.com ، أو التعليق على أي من مقالاتنا ، أو يمكنك التواصل معنا على مواقع التواصل الاجتماعي:NakedSecurity.
هذا هو عرضنا لهذا اليوم - شكرًا جزيلاً على الاستماع.
بالنسبة لبول دوكلين ، أنا دوج آموث ، أذكرك ، حتى المرة القادمة ، بـ ...
على حد سواء. ابق آمنًا.
[مودم موسيقي]
- سلسلة كتلة
- عملة عبقرية
- محافظ cryptocurrency
- cryptoexchange
- الأمن الإلكتروني
- جرائم الإنترنت
- مجرمو الإنترنت
- الأمن السيبراني
- ديدبولت
- وزارة الأمن الداخلي
- محافظ رقمية
- جدار الحماية
- Kaspersky
- البرمجيات الخبيثة
- مكافي
- الأمن عارية
- بودكاست الأمن العاري
- NexBLOC
- أفلاطون
- أفلاطون ع
- الذكاء افلاطون البيانات
- لعبة أفلاطون
- أفلاطون داتا
- بلاتوغمينغ
- بودكاست
- الفدية
- VPN
- أمن الانترنت
- زفيرنت
- يوم الصفر
