HÖR JETZT ZU
Mit Doug Aamoth und Paul Ducklin.
Intro- und Outro-Musik von Edith Mudge.
Klicken und ziehen Sie auf die unten stehenden Schallwellen, um zu einem beliebigen Punkt zu springen. Du kannst auch direkt zuhören auf Soundcloud.
Ihr könnt uns auf hören Soundcloud, Apple Podcasts, Google Podcasts, Spotify, Stitcher und überall, wo gute Podcasts zu finden sind. Oder lass es einfach fallen URL unseres RSS-Feeds in Ihren Lieblings-Podcatcher.
LESEN SIE DAS TRANSKRIPT
DOUG. Riegel – er ist zurück!
Patches in Hülle und Fülle!
Und Zeitzonen … ja, Zeitzonen.
All das und mehr im Naked Security Podcast.
[MUSIKMODEM]
Willkommen beim Podcast, alle zusammen.
Ich bin Doug Aamoth.
Bei mir ist wie immer Paul Ducklin.
Paul, eine sehr glückliche 100. Folge für dich, mein Freund!
ENTE. Wow, Doug!
Weißt du, als ich mit meiner Verzeichnisstruktur für Serie 3 begann, habe ich mutig verwendet -001 für die erste Folge.
DOUG. Ich hab nicht. [LACHT]
ENTE. Sie hilft nicht nur -1 or -01.
DOUG. Clever…
ENTE. Ich hatte großes Vertrauen!
Und wenn ich die heutige Datei speichere, werde ich mich darüber freuen.
DOUG. Ja, und ich werde es fürchten, weil es oben auftauchen wird.
Naja, darum muss ich mich später kümmern...
ENTE. [LACHT] Sie könnten alle anderen Sachen umbenennen.
DOUG. Ich weiß, ich weiß.
[MUTTERN] Ich freue mich nicht darauf … da geht mein Mittwoch vorbei.
Jedenfalls beginnen wir die Show mit etwas Tech History.
Diese Woche, am 12. September 1959, Luna 2, Das auch als das bekannte Zweite sowjetische kosmische Rakete, war das erste Raumschiff, das die Oberfläche des Mondes erreichte, und das erste von Menschenhand geschaffene Objekt, das Kontakt mit einem anderen Himmelskörper aufnahm.
Sehr cool.
ENTE. Was war das für ein langer Name?
„Die zweite sowjetische kosmische Rakete“?
DOUG. Ja.
ENTE. Luna Zwei ist viel besser.
DOUG. Ja viel besser!
ENTE. Wie Sie sich vorstellen können, gab es angesichts der Weltraumrennen-Ära anscheinend einige Bedenken: „Woher wissen wir, dass sie es tatsächlich getan haben? Sie könnten einfach sagen, dass sie auf dem Mond gelandet sind, und vielleicht erfinden sie es.“
Anscheinend haben sie ein Protokoll entwickelt, das eine unabhängige Beobachtung ermöglichen würde.
Sie sagten die Zeit voraus, zu der es auf dem Mond ankommen würde, um auf den Mond zu stürzen, und sie schickten die genaue Zeit, zu der sie dies erwarteten, an einen Astronomen in Großbritannien.
Und er beobachtete unabhängig, um zu sehen, ob das, was sie sagten, zu dieser Zeit passieren *würde*, passierte *tat*.
Also dachten sie sogar darüber nach: „Wie verifiziert man so etwas?“
DOUG. Apropos komplizierte Dinge, wir haben Patches von Microsoft und Apple.
Also, was ist hier in dieser letzten Runde bemerkenswert?
ENTE. Das tun wir auf jeden Fall – diese Woche ist Patch Tuesday, der zweite Dienstag im Monat.
Es gibt zwei Schwachstellen in Patch Tuesday, die mir aufgefallen sind.
Einer ist bemerkenswert, weil er offenbar in freier Wildbahn ist – mit anderen Worten, es war ein Zero-Day.
Und obwohl es keine Remote-Code-Ausführung ist, ist es ein wenig besorgniserregend, weil es sich um eine [HUSTENDE ENTSCHULDIGUNG]-Sicherheitslücke in einer Protokolldatei handelt, Doug!
Es ist nicht ganz so schlecht wie Log4J, wo Sie den Logger nicht nur dazu bringen könnten, sich falsch zu benehmen, sondern auch dazu bringen könnten willkürlichen Code ausführen .
Aber es scheint, dass Sie das System dazu bringen können, Sie zu Systemprivilegien zu befördern, wenn Sie eine Art fehlerhafter Daten an den Windows Common Log File System-Treiber, das CLFS, senden.
Immer schlecht, wenn man als Gast eingestiegen ist und sich dann zum Sysadmin machen kann…
DOUG. [LACHT] Ja!
ENTE. Dh CVE-2022-37969.
Und das andere fand ich interessant…
…glücklicherweise nicht in freier Wildbahn, aber das ist es, was Sie wirklich patchen müssen, denn ich wette mit Ihnen, dass sich Cyberkriminelle auf Reverse Engineering konzentrieren werden:
„Windows TCP/IP-Remote-Code-Ausführungsschwachstelle“, CVE-2022-34718.
Falls du dich erinnerst Roter Code und SQL Slammer, und diese bösen Würmer der Vergangenheit, wo sie einfach in einem Netzwerkpaket ankamen und sich ihren Weg in das System bahnten….
Dies ist ein noch niedrigeres Niveau als das.
Anscheinend liegt der Fehler in der Behandlung bestimmter IPv6-Pakete.
Alles, wo IPv6 zuhört, also so ziemlich jeder Windows-Computer, könnte dadurch gefährdet sein.
Wie ich schon sagte, dieser ist nicht in freier Wildbahn, also haben die Gauner ihn noch nicht gefunden, aber ich bezweifle nicht, dass sie den Patch nehmen und versuchen werden, herauszufinden, ob sie daraus einen Exploit zurückentwickeln können, um Leute zu erwischen, die noch nicht gepatcht haben.
Denn wenn irgendetwas sagt: „Whoa! Was wäre, wenn jemand einen Wurm geschrieben hätte, der das benutzt?“ … das ist derjenige, über den ich mir Sorgen machen würde.
DOUG. OK.
Und dann zu Apple…
ENTE. Wir haben kürzlich zwei Geschichten über Apple-Patches geschrieben, wo es plötzlich aus heiterem Himmel Patches für iPhones und iPads und Macs dagegen gab zwei wilde Zero-Days.
Einer war ein Browser-Fehler oder ein Browser-bezogener Fehler, so dass Sie auf eine unschuldig aussehende Website gelangen konnten und Malware auf Ihrem Computer landen konnte, und ein weiterer, der Ihnen die Kontrolle auf Kernel-Ebene gab …
…was, wie ich im letzten Podcast sagte, für mich nach Spyware riecht – etwas, das einen Spyware-Anbieter oder einen wirklich ernsthaften „Überwachungs-Cybergauner“ interessieren würde.
Dann gab es zu unserer Überraschung ein zweites Update, für iOS 12, von dem wir alle dachten, dass es schon lange aufgegeben worden war.
Dort hat einer dieser Bugs (der browserbezogene Bug, der es Gaunern erlaubte, einzudringen) einen Patch bekommen.
Und dann, gerade als ich iOS 16 erwartete, landeten plötzlich all diese E-Mails in meinem Posteingang – direkt nachdem ich nachgesehen hatte: „Ist iOS 16 schon draußen? Kann ich darauf aktualisieren?“
Es war nicht da, aber dann bekam ich all diese E-Mails, in denen stand: „Wir haben gerade iOS 15 und macOS Monterey und Big Sur und iPadOS 15 aktualisiert“ …
… und es stellte sich heraus, dass es diesmal eine ganze Reihe von Updates und einen brandneuen Zero-Day-Kernel gab.
Und das Faszinierende ist, dass ich, nachdem ich die Benachrichtigungen erhalten hatte, dachte: „Nun, lassen Sie mich noch einmal nachsehen …“
(Sie können sich also erinnern, es ist Einstellungen > Allgemeines > Software-Update auf Ihrem iPhone oder iPad.)
Und siehe da, mir wurde ein Update auf iOS 15 angeboten, das ich bereits hatte, *oder* ich konnte direkt auf iOS 16 springen.
Und iOS 16 hatte auch diesen Zero-Day-Fix drin (obwohl iOS 16 theoretisch noch nicht draußen war), also schätze ich, dass der Fehler auch in der Beta existierte.
Es wurde in Apples Bulletin für iOS 16 nicht offiziell als Zero-Day aufgeführt, aber wir können nicht sagen, ob das daran liegt, dass der Exploit, den Apple gesehen hat, unter iOS 16 nicht richtig funktioniert hat, oder ob er nicht als Zero-Day gilt. Tag, weil iOS 16 gerade erst herauskam.
DOUG. Ja, ich wollte sagen: Das hat noch niemand. [LACHEN]
ENTE. Das war die große Neuigkeit von Apple.
Und das Wichtigste ist, wenn Sie zu Ihrem Telefon gehen und sagen: „Oh, iOS 16 ist verfügbar“ … wenn Sie noch nicht an iOS 16 interessiert sind, müssen Sie immer noch sicherstellen, dass Sie dieses iOS 15 haben Update wegen des Kernels Zero-Day.
Kernel Zero Days sind immer ein Problem, weil es bedeutet, dass jemand da draußen weiß, wie man die viel gepriesenen Sicherheitseinstellungen auf Ihrem iPhone umgeht.
Der Fehler betrifft auch macOS Monterey und macOS Big Sur – das ist die Vorgängerversion macOS 11.
Um nicht übertroffen zu werden, hat Big Sur sogar *zwei* Kernel-Zero-Day-Bugs in freier Wildbahn.
Keine Neuigkeiten zu iOS 12, was ich erwartet hatte, und bisher nichts zu macOS Catalina.
Catalina ist macOS 10, die Vorversion, und wir wissen noch einmal nicht, ob dieses Update später kommt oder ob es vom Rand der Welt gefallen ist und sowieso keine Updates bekommt.
Leider sagt Apple nichts, also wissen wir es nicht.
Jetzt werden die meisten Apple-Benutzer automatische Updates aktiviert haben, aber wie wir immer sagen, gehen Sie und überprüfen Sie (ob Sie einen Mac oder ein iPhone oder ein iPad haben), denn das Schlimmste ist, einfach anzunehmen, dass Ihre automatischen Updates funktionierten und schützten Sie ...
… wenn tatsächlich etwas schief gelaufen ist.
DOUG. OK sehr gut.
Nun, etwas, auf das ich mich gefreut habe, ist: „Was haben Zeitzonen mit IT-Sicherheit zu tun?“
ENTE. Nun, ziemlich viel, wie sich herausstellt, Doug.
DOUG. [LACHT] Jawohl!
ENTE. Zeitzonen sind im Konzept sehr einfach.
Sie sind sehr praktisch, um unser Leben so zu steuern, dass unsere Uhren ungefähr mit dem übereinstimmen, was am Himmel passiert – es ist also nachts dunkel und am Tag hell. (Ignorieren wir die Sommerzeit und nehmen wir einfach an, dass wir auf der ganzen Welt nur einstündige Zeitzonen haben, damit alles wirklich einfach ist.)
Das Problem tritt auf, wenn Sie tatsächlich Systemprotokolle in einer Organisation führen, in der sich einige Ihrer Server, einige Ihrer Benutzer, einige Teile Ihres Netzwerks, einige Ihrer Kunden in anderen Teilen der Welt befinden.
Wenn Sie in die Protokolldatei schreiben, schreiben Sie die Zeit mit der berücksichtigten Zeitzone?
Wenn du dein Tagebuch schreibst, Doug, ziehst du die 5 Stunden (oder im Moment 4 Stunden) ab, die du brauchst, weil du in Boston bist, während ich eine Stunde hinzufüge, weil ich Londoner Zeit habe, aber es Sommer ist ?
Schreibe ich das ins Log, damit es für *mich* Sinn macht, wenn ich das Log zurücklese?
Oder schreibe ich eine kanonischere, eindeutigere Zeit mit der gleichen Zeitzone für *alle*, sodass ich beim Vergleichen von Protokollen, die von verschiedenen Computern, verschiedenen Benutzern und verschiedenen Teilen der Welt in meinem Netzwerk stammen, tatsächlich Ereignisse in eine Reihe bringen kann?
Es ist wirklich wichtig, Ereignisse aufeinander abzustimmen, Doug, besonders wenn Sie bei einem Cyberangriff auf Bedrohungen reagieren.
Man muss wirklich wissen, was zuerst da war.
Und wenn Sie sagen: „Oh, es ist erst um 3:3 Uhr passiert“, hilft mir das nicht weiter, wenn ich in Sydney bin, weil meine 3:XNUMX Uhr gestern im Vergleich zu Ihrer XNUMX:XNUMX Uhr passiert ist.
Also, ich schrieb einen Artikel auf Naked Security über einige Möglichkeiten, wie Sie dies tun können mit diesem Problem umgehen wenn Sie Daten protokollieren.
Meine persönliche Empfehlung ist die Verwendung eines vereinfachten Zeitstempelformats namens RFC 3339, wo Sie ein vierstelliges Jahr, einen Bindestrich [Bindestrich, ASCII 0x2D], einen zweistelligen Monat, einen Bindestrich, einen zweistelligen Tag usw. eingeben, damit Ihre Zeitstempel tatsächlich alphabetisch sortiert werden.
Und dass Sie alle Ihre Zeitzonen als sogenannte Zeitzone aufzeichnen Z (zed oder zee), kurz für Zulu Zeit.
Das bedeutet im Grunde genommen UTC oder koordinierte Weltzeit.
Das ist fast, aber nicht ganz Greenwich Mean Time, und es ist die Zeit, auf die heutzutage die Uhr fast jedes Computers oder Telefons intern eingestellt ist.
Versuchen Sie nicht, Zeitzonen zu kompensieren, wenn Sie in das Protokoll schreiben, denn dann muss jemand dekompensieren, wenn er versucht, Ihr Protokoll mit dem aller anderen in Einklang zu bringen – und es gibt viele Ausrutscher zwischen der Tasse und der Lippe, Doug.
Keep it simple.
Verwenden Sie ein kanonisches, einfaches Textformat, das Datum und Uhrzeit bis auf die Sekunde genau angibt – oder, wenn Sie möchten, können Zeitstempel heutzutage sogar bis auf die Nanosekunde gehen.
Und entfernen Sie Zeitzonen aus Ihren Protokollen; Befreien Sie sich von der Sommerzeit aus Ihren Protokollen. und einfach alles, meiner Meinung nach, in koordinierter Weltzeit aufzeichnen…
… verwirrend abgekürzt UTC, weil der Name auf Englisch, die Abkürzung aber auf Französisch ist – eine Art Ironie.
DOUG. Ja.
ENTE.
Ich bin versucht, lachend zu sagen: „Nicht, dass ich mich wieder stark darum fühle“, wie ich es normalerweise tue …
…aber es ist wirklich wichtig, die Dinge in die richtige Reihenfolge zu bringen, besonders wenn Sie versuchen, Cyberkriminelle aufzuspüren.
DOUG. Alles klar, das ist gut – toller Rat.
Und wenn wir beim Thema Cyberkriminelle bleiben, Sie haben von Manipulator-in-the-Middle-Angriffen gehört; Sie haben von Manipulator-in-the-Browser-Angriffen gehört …
..bereiten Sie sich jetzt auf Browser-in-the-Browser-Angriffe vor.
ENTE. Ja, das ist ein neuer Begriff, den wir sehen.
Ich wollte dies aufschreiben, weil Forscher eines Threat-Intelligence-Unternehmens namens Group-IB kürzlich einen Artikel darüber geschrieben haben und die Medien anfingen, über „Hey, Browser-in-the-Browser-Angriffe, haben Sie große Angst“ oder was auch immer zu sprechen …
Sie denken: „Nun, ich frage mich, wie viele Menschen tatsächlich wissen, was mit einem Browser-in-the-Browser-Angriff gemeint ist?“
Und das Ärgerliche an diesen Angriffen, Doug, ist, dass sie technologisch schrecklich einfach sind.
Es ist so eine einfache Idee.
DOUG. Sie sind fast künstlerisch.
ENTE. Ja!
Es ist nicht wirklich Wissenschaft und Technologie, es ist Kunst und Design, nicht wahr?
Wenn Sie jemals JavaScript programmiert haben (zum Guten oder zum Bösen), werden Sie im Grunde wissen, dass eines der Dinge, die Sie in eine Webseite einfügen, darin besteht, dass es auf diese Webseite beschränkt sein soll.
Wenn Sie also ein brandneues Fenster öffnen, erwarten Sie, dass es einen brandneuen Browserkontext erhält.
Und wenn es seine Seite von einer brandneuen Site lädt, sagen wir einer Phishing-Site, dann hat es keinen Zugriff auf alle JavaScript-Variablen, Kontext, Cookies und alles, was das Hauptfenster hatte.
Wenn Sie also ein separates Fenster öffnen, schränken Sie Ihre Hacking-Fähigkeiten ein, wenn Sie ein Gauner sind.
Wenn Sie jedoch etwas im aktuellen Fenster öffnen, sind Sie erheblich eingeschränkt, wie aufregend und „systemmäßig“ Sie es aussehen lassen können, nicht wahr?
Weil Sie die Adressleiste nicht überschreiben können ... das ist beabsichtigt.
Sie können nichts außerhalb des Browserfensters schreiben, also können Sie nicht heimlich ein Fenster auf den Desktop legen, das wie ein Hintergrundbild aussieht, als wäre es schon immer da gewesen.
Mit anderen Worten, Sie befinden sich in dem Browserfenster, mit dem Sie begonnen haben.
Die Idee eines Browser-in-the-Browser-Angriffs ist also, dass Sie mit einer normalen Website beginnen und dann innerhalb des Browserfensters, das Sie bereits haben, eine Webseite erstellen, die selbst genau wie das Browserfenster eines Betriebssystems aussieht .
Im Grunde zeigst du jemandem ein *Bild* der echten Sache und überzeugst sie davon, dass es die echte Sache ist.
So einfach ist das, Doug!
Aber das Problem ist, dass Sie mit ein wenig sorgfältiger Arbeit, insbesondere wenn Sie über gute CSS-Kenntnisse verfügen, etwas, das sich in einem vorhandenen Browserfenster befindet, tatsächlich wie ein eigenes Browserfenster aussehen *können*.
Und mit ein wenig JavaScript können Sie es sogar so gestalten, dass es sich in der Größe ändern und auf dem Bildschirm bewegen kann, und Sie können es mit HTML füllen, das Sie von einer Website eines Drittanbieters abrufen.
Jetzt fragen Sie sich vielleicht … wenn die Gauner es absolut richtig machen, wie um alles in der Welt können Sie das jemals wissen?
Und die gute Nachricht ist, dass es eine absolut einfache Sache gibt, die Sie tun können.
Wenn Sie etwas sehen, das wie ein Betriebssystemfenster aussieht, und Sie in irgendeiner Weise misstrauisch sind (es scheint im Wesentlichen über Ihrem Browserfenster zu erscheinen, weil es sich darin befinden muss) …
…versuchen Sie, es *aus dem echten Browserfenster* zu verschieben, und wenn es im Browser „eingesperrt“ ist, wissen Sie, dass es nicht das Richtige ist!
Das Interessante an dem Bericht der Group-IB-Forscher ist, dass die Gauner, als sie darauf stießen, ihn tatsächlich gegen Spieler von Steam-Spielen einsetzten.
Und natürlich möchte es, dass Sie sich bei Ihrem Steam-Konto anmelden …
…und wenn Sie sich von der ersten Seite täuschen ließen, würde es sogar mit der Zwei-Faktor-Authentifizierungsüberprüfung von Steam folgen.
Und der Trick war, dass Sie, wenn diese wirklich separate Fenster wären, sie auf eine Seite Ihres Hauptbrowserfensters hätten ziehen können, aber das waren sie nicht.
In diesem Fall hatten die Köche glücklicherweise ihr CSS nicht sehr gut gemacht.
Ihre Kunstwerke waren schäbig.
Aber wie Sie und ich schon oft im Podcast gesprochen haben, Doug, gibt es manchmal Gauner, die sich die Mühe geben, die Dinge pixelgenau aussehen zu lassen.
Mit CSS können Sie buchstäblich einzelne Pixel positionieren, oder?
DOUG. CSS ist interessant.
Es ist Cascading Style Sheets… eine Sprache, die Sie verwenden, um HTML-Dokumente zu formatieren, und die wirklich einfach zu erlernen und noch schwieriger zu beherrschen ist.
ENTE. [LACHT] Klingt sicher danach.
DOUG. [LACHT] Ja, es ist wie bei vielen Dingen!
Aber es ist eines der ersten Dinge, die Sie lernen, wenn Sie HTML lernen.
Wenn Sie denken: „Ich möchte, dass diese Webseite besser aussieht“, lernen Sie CSS.
Wenn Sie sich also einige dieser Beispiele des Quelldokuments ansehen, auf das Sie aus dem Artikel verlinkt haben, können Sie erkennen, dass es wirklich schwierig sein wird, eine wirklich gute Fälschung zu erstellen, es sei denn, Sie sind wirklich gut in CSS.
Aber wenn Sie es richtig machen, wird es wirklich schwer sein, herauszufinden, dass es sich um ein gefälschtes Dokument handelt …
…es sei denn, Sie tun, was Sie sagen: Versuchen Sie, es aus einem Fenster zu ziehen und es auf Ihrem Desktop zu verschieben, solche Sachen.
Das führt zu Ihrem zweiten Punkt hier: Untersuchen Sie verdächtige Fenster sorgfältig.
Viele von ihnen werden den Sehtest wahrscheinlich nicht bestehen, aber wenn sie es tun, wird es wirklich schwer zu erkennen sein.
Was uns zur dritten Sache führt…
„Im Zweifelsfall/Geben Sie es nicht heraus.“
Wenn es einfach nicht ganz richtig aussieht und Sie nicht definitiv sagen können, dass etwas Seltsames im Gange ist, folgen Sie einfach dem Reim!
ENTE. Und es lohnt sich, unbekannten Websites gegenüber misstrauisch zu sein, Websites, die Sie noch nie zuvor benutzt haben und die plötzlich sagen: „OK, wir werden Sie bitten, sich mit Ihrem Google-Konto in einem Google-Fenster oder Facebook in einem Facebook-Fenster anzumelden. ”
Oder Steam in einem Steam-Fenster.
DOUG. Ja.
Ich hasse es, hier das B-Wort zu verwenden, aber das ist in seiner Einfachheit fast brillant.
Aber noch einmal, es wird wirklich schwierig sein, mit CSS und solchen Dingen eine pixelgenaue Übereinstimmung zu erzielen.
ENTE. Ich denke, es ist wichtig, sich daran zu erinnern, dass die Adressleiste richtig aussieht, da ein Teil der Simulation das „Chrome“ [Jargon für die Komponenten der Benutzeroberfläche des Browsers] des Browsers ist.
Es kann sogar perfekt aussehen.
Aber die Sache ist, es ist keine Adressleiste ...
…es ist ein *Bild* einer Adressleiste.
DOUG. Genau!
In Ordnung, Vorsicht da draußen, alle zusammen!
Und wo wir gerade von Dingen sprechen, die nicht so sind, wie sie scheinen, ich lese über DEADBOLT-Ransomware und QNAP-NAS-Geräte, und es kommt mir so vor, als hätten wir genau diese Geschichte erst vor nicht allzu langer Zeit besprochen.
ENTE. Ja, das haben wir darüber geschrieben dieses Jahr leider schon mehrmals auf Naked Security.
Es ist einer dieser Fälle, in denen sich herausstellt, dass das, was für die Gauner einmal funktioniert hat, zweimal, dreimal, viermal, fünfmal funktioniert hat.
Und NAS, bzw Network Attached Storage Geräte sind, wenn Sie so wollen, Blackbox-Server, die Sie kaufen können – sie laufen normalerweise mit einer Art Linux-Kernel.
Die Idee ist, dass Sie, anstatt eine Windows-Lizenz kaufen oder Linux lernen zu müssen, Samba installieren, es einrichten, lernen, wie man Dateien in Ihrem Netzwerk teilt …
… Sie schließen dieses Gerät einfach an und „Bingo“, es beginnt zu arbeiten.
Es ist ein Dateiserver, auf den über das Internet zugegriffen werden kann, und leider, wenn es eine Schwachstelle im Dateiserver gibt und Sie ihn (aus Versehen oder absichtlich) über das Internet zugänglich gemacht haben, können Gauner diese Schwachstelle ausnutzen, falls eine vorhanden ist dieses NAS-Gerät aus der Ferne.
Sie sind möglicherweise in der Lage, alle Dateien auf dem Schlüsselspeicherort für Ihr Netzwerk zu verschlüsseln, egal ob es sich um ein Heimnetzwerk oder ein kleines Unternehmensnetzwerk handelt, und Sie im Grunde als Lösegeld zu halten, ohne sich jemals Sorgen machen zu müssen, einzelne andere Geräte wie Laptops und Telefone auf Ihrem Netzwerk anzugreifen Netzwerk.
Sie müssen also nicht mit Malware herumspielen, die Ihren Laptop infiziert, und sie müssen nicht in Ihr Netzwerk eindringen und wie herkömmliche Ransomware-Kriminelle herumwandern.
Sie verschlüsseln im Grunde alle Ihre Dateien und ändern dann – um die Lösegeldforderung zu präsentieren – einfach (ich sollte nicht lachen, Doug) … sie ändern einfach die Anmeldeseite auf Ihrem NAS-Gerät.
Wenn Sie also feststellen, dass alle Ihre Dateien durcheinander sind und Sie denken: „Das ist lustig“, und Sie mit Ihrem Webbrowser einsteigen und sich dort verbinden, erhalten Sie keine Passwortabfrage!
Sie erhalten eine Warnung: „Ihre Dateien wurden von DEADBOLT gesperrt. Was ist passiert? Alle Ihre Dateien wurden verschlüsselt.“
Und dann kommt die Anleitung zum Bezahlen.
DOUG. Und sie haben auch freundlicherweise angeboten, dass QNAP eine fürstliche Summe aufbringen könnte, um die Dateien für alle freizuschalten.
ENTE. Die Screenshots habe ich in der der neueste Artikel auf nakedsecurity.sophos.com zeigen:
1. Einzelne Entschlüsselungen bei 0.03 Bitcoins, ursprünglich etwa 1200 US-Dollar, als dieses Ding zum ersten Mal weit verbreitet wurde, jetzt etwa 600 US-Dollar.
2. Eine BTC 5.00-Option, bei der QNAP über die Schwachstelle informiert wird, damit sie sie beheben können, was sie eindeutig nicht bezahlen werden, weil sie bereits über die Schwachstelle Bescheid wissen. (Deshalb gibt es in diesem speziellen Fall einen Patch.)
3. Wie Sie sagen, es gibt eine BTC 50-Option (das sind jetzt 1 Million Dollar; es waren 2 Millionen Dollar, als diese erste Geschichte zum ersten Mal bekannt wurde). Wenn QNAP die 1,000,000 US-Dollar im Namen von jemandem bezahlt, der möglicherweise infiziert wurde, werden die Gauner anscheinend einen Hauptentschlüsselungsschlüssel bereitstellen, wenn es Ihnen nichts ausmacht.
Und wenn Sie sich ihr JavaScript ansehen, prüft es tatsächlich, ob das von Ihnen eingegebene Passwort mit einem von *zwei* Hashes übereinstimmt.
Einer ist einzigartig für Ihre Infektion – die Gauner passen ihn jedes Mal an, sodass das JavaScript den Hash enthält und das Passwort nicht preisgibt.
Und es gibt einen weiteren Hash, der, wenn Sie ihn knacken können, so aussieht, als würde er das Master-Passwort für alle auf der Welt wiederherstellen …
… Ich denke, das waren nur die Gauner, die allen die Nase rümpfen.
DOUG. Es ist auch interessant, dass das Bitcoin-Lösegeld von 600 $ für jeden Benutzer … Ich möchte nicht sagen „nicht unverschämt“, aber wenn Sie in den Kommentarbereich dieses Artikels schauen, gibt es mehrere Leute, die nicht nur davon sprechen, das bezahlt zu haben Geisel…
…aber kommen wir gleich zu unserer Leserfrage hier.
Leser Michael teilt seine Erfahrungen mit diesem Angriff, und er ist nicht allein – es gibt andere Leute in diesem Kommentarbereich, die ähnliche Dinge berichten.
Über ein paar Kommentare hinweg sagt er (ich werde daraus einen offenen Kommentar machen):
„Ich habe das durchgemacht und bin nach der Zahlung des Lösegelds heil daraus hervorgegangen. Das Finden des spezifischen Rückkehrcodes mit meinem Entschlüsselungsschlüssel war der schwierigste Teil. Die wertvollste Lektion gelernt.“
In seinem nächsten Kommentar geht er alle Schritte durch, die er unternehmen musste, um die Dinge tatsächlich wieder zum Laufen zu bringen.
Und er steigt ab mit:
„Es ist mir peinlich zu sagen, dass ich seit über 20 Jahren in der IT arbeite und von diesem QNAP uPNP-Bug gebissen wurde. Ich bin froh, es überstanden zu haben.“
ENTE. Wow, ja, das ist eine ziemliche Aussage, oder?
Fast so, als würde er sagen: „Ich hätte mich gegen diese Gauner gewehrt, aber ich habe die Wette verloren und es hat mich 600 Dollar und eine ganze Menge Zeit gekostet.“
Aaargh!
DOUG. Was meint er damit „der spezifische Rückgabecode mit seinem Beschreibungsschlüssel“?
ENTE. Ah, ja, das ist sehr interessant … sehr faszinierend. (Ich versuche, hier nicht erstaunlich-slash-brillant zu sagen.) [LACHEN]
Ich möchte nicht das C-Wort verwenden und sagen, dass es „clever“ ist, aber irgendwie ist es so.
Wie kontaktieren Sie diese Gauner? Brauchen sie eine E-Mail-Adresse? Könnte man das nachvollziehen? Brauchen sie eine Darkweb-Site?
Diese Gauner nicht.
Denn denken Sie daran, es gibt ein Gerät, und die Malware wird angepasst und verpackt, wenn sie dieses Gerät angreift, sodass es eine eindeutige Bitcoin-Adresse enthält.
Und im Grunde kommunizieren Sie mit diesen Gaunern, indem Sie die angegebene Menge an Bitcoin in ihre Brieftasche einzahlen.
Ich denke, deshalb haben sie die Menge vergleichsweise bescheiden gehalten …
… Ich möchte nicht sagen, dass jeder 600 Dollar für ein Lösegeld wegwerfen kann, aber es ist nicht so, dass Sie im Voraus verhandeln, um zu entscheiden, ob Sie 100,000 oder 80,000 oder 42,000 Dollar zahlen.
Sie zahlen ihnen den Betrag … keine Verhandlungen, kein Chat, keine E-Mail, kein Instant Messaging, kein Support-Forum.
Sie senden das Geld einfach an die angegebene Bitcoin-Adresse, und sie haben offensichtlich eine Liste der Bitcoin-Adressen, die sie überwachen.
Wenn das Geld ankommt und sie sehen, dass es angekommen ist, wissen sie, dass Sie (und Sie allein) bezahlt haben, weil dieser Wallet-Code einzigartig ist.
Und sie tun dann effektiv (ich verwende die größten Luftnotierungen der Welt) eine „Rückerstattung“ auf der Blockchain, indem sie eine Bitcoin-Transaktion in Höhe von null Dollar verwenden, Doug.
Und diese Antwort, diese Transaktion, enthält tatsächlich einen Kommentar. (Denken Sie an die Poly Networks hacken? Sie benutzten Ethereum-Blockchain-Kommentare, um zu sagen: „Sehr geehrter Herr White Hat, geben Sie uns nicht das ganze Geld zurück?“
Sie bezahlen also die Gauner und geben so die Nachricht, dass Sie sich mit ihnen beschäftigen möchten, und sie zahlen Ihnen 0 $ plus einen Kommentar mit 32 Hexadezimalzeichen zurück …
…das sind 16 binäre Rohbytes, das ist der 128-Bit-Entschlüsselungsschlüssel, den Sie brauchen.
So spricht man mit ihnen.
Und anscheinend haben sie das auf den Punkt gebracht – wie Michael sagte, der Betrug funktioniert.
Und das einzige Problem, das Michael hatte, war, dass er es nicht gewohnt war, Bitcoins zu kaufen oder mit Blockchain-Daten zu arbeiten und diesen Rückgabecode zu extrahieren, der im Grunde der Kommentar in der Transaktion „Zahlung“ ist, den er für 0 Dollar zurückbekommt.
Sie verwenden also Technologie auf sehr hinterhältige Weise.
Grundsätzlich nutzen sie die Blockchain sowohl als Zahlungsmittel als auch als Kommunikationsinstrument.
DOUG. Alles klar, wirklich eine sehr interessante Geschichte.
Wir werden das im Auge behalten.
Und vielen Dank, Michael, dass du diesen Kommentar geschickt hast.
Wenn Sie eine interessante Geschichte, einen Kommentar oder eine Frage haben, die Sie einreichen möchten, würden wir sie gerne im Podcast lesen.
Sie können eine E-Mail an tips@sophos.com senden, einen unserer Artikel kommentieren oder uns in den sozialen Netzwerken kontaktieren: @NakedSecurity.
Das ist unsere Show für heute – vielen Dank fürs Zuhören.
Für Paul Ducklin bin ich Doug Aamoth und erinnere Sie bis zum nächsten Mal daran, …
BEIDE. Bleib sicher.
[MUSIKMODEM]
- Blockchain
- Einfallsreichtum
- Cryptocurrency Brieftaschen
- Kryptoaustausch
- Internet-Sicherheit
- Cyber-Kriminalität
- Cyber-Kriminelle
- Internet-Sicherheit
- Riegel
- Heimatschutzministerium
- digitale Brieftaschen
- Firewall
- Kaspersky
- Malware
- McAfee
- Nackte Sicherheit
- Nackter Sicherheits-Podcast
- NexBLOC
- Plato
- platon ai
- Datenintelligenz von Plato
- Plato-Spiel
- PlatoData
- Platogaming
- Podcast
- Ransomware
- VPN
- Website-Sicherheit
- Zephyrnet
- Zero Day
