ΑΚΟΥ ΤΩΡΑ
Με τους Doug Aamoth και Paul Ducklin.
Intro και outro μουσική από Edith Mudge.
Κάντε κλικ και σύρετε στα ηχητικά κύματα παρακάτω για να μεταβείτε σε οποιοδήποτε σημείο. Μπορείτε επίσης να ακούστε απευθείας στο Soundcloud.
Μπορείτε να μας ακούσετε στο SoundCloud, Apple Podcasts, Podcasts Google, Spotify, Ράπτων και οπουδήποτε υπάρχουν καλά podcast. Ή απλά ρίξτε το URL της ροής RSS μας στο αγαπημένο σας podcatcher.
ΔΙΑΒΑΣΤΕ ΤΟ ΜΕΤΑΓΡΑΦΟ
ΖΥΜΗ. Deadbolt – επέστρεψε!
Μπαλώματα άφθονο!
Και ζώνες ώρας… ναι, ζώνες ώρας.
Όλα αυτά και πολλά άλλα στο Podcast του Naked Security.
[ΜΟΥΣΙΚΟ ΜΟΝΤΕΜ]
Καλώς ήρθατε στο podcast, όλοι.
Είμαι ο Doug Aamoth.
Μαζί μου, όπως πάντα, ο Paul Ducklin.
Παύλο, ένα πολύ χαρούμενο 100ο επεισόδιο σε σένα φίλε μου!
ΠΑΠΙΑ. Ουάου, Νταγκ!
Ξέρετε, όταν ξεκίνησα τη δομή του καταλόγου μου για τη Σειρά 3, χρησιμοποίησα με τόλμη -001 για το πρώτο επεισόδιο.
ΖΥΜΗ. Δεν το έκανα. [ΓΕΛΙΑ]
ΠΑΠΙΑ. Δεν -1 or -01.
ΖΥΜΗ. Έξυπνο ...
ΠΑΠΙΑ. Είχα μεγάλη πίστη!
Και όταν αποθηκεύσω το σημερινό αρχείο, θα το χαρώ.
ΖΥΜΗ. Ναι, και θα το φοβάμαι γιατί θα ανέβει στην κορυφή.
Λοιπόν, θα πρέπει να το αντιμετωπίσω αργότερα…
ΠΑΠΙΑ. [ΓΕΛΙΑ] Θα μπορούσατε να μετονομάσετε όλα τα άλλα πράγματα.
ΖΥΜΗ. Ξέρω ξέρω.
[ΜΟΥΜΟΥΡΓΩΝΤΑΣ] Χωρίς να το περιμένω… πάει η Τετάρτη μου.
Τέλος πάντων, ας ξεκινήσουμε την εκπομπή με λίγη Τεχνολογική Ιστορία.
Αυτή την εβδομάδα, στις 12 Σεπτεμβρίου 1959, Luna 2, Επίσης γνωστή ως η Δεύτερος σοβιετικός κοσμικός πύραυλος, έγινε το πρώτο διαστημόπλοιο που έφτασε στην επιφάνεια της Σελήνης και το πρώτο ανθρωπογενές αντικείμενο που ήρθε σε επαφή με άλλο ουράνιο σώμα.
Πολύ κουλ.
ΠΑΠΙΑ. Ποιο ήταν αυτό το μακρύ όνομα;
«Ο δεύτερος σοβιετικός κοσμικός πύραυλος»?
ΖΥΜΗ. Ναί.
ΠΑΠΙΑ. Luna Two είναι πολύ καλύτερα
ΖΥΜΗ. Ναι, πολύ καλύτερα!
ΠΑΠΙΑ. Προφανώς, όπως μπορείτε να φανταστείτε, δεδομένου ότι ήταν η εποχή των διαστημικών αγώνων, υπήρχε κάποια ανησυχία: «Πώς θα ξέρουμε ότι το έχουν κάνει πραγματικά; Θα μπορούσαν απλώς να πουν ότι έχουν προσγειωθεί στη Σελήνη και ίσως το επινοούν».
Προφανώς, επινόησαν ένα πρωτόκολλο που θα επέτρεπε την ανεξάρτητη παρατήρηση.
Προέβλεψαν την ώρα που θα έφτανε στη Σελήνη, για να πέσει στη Σελήνη, και έστειλαν την ακριβή ώρα που περίμεναν αυτό σε έναν αστρονόμο στο Ηνωμένο Βασίλειο.
Και παρατήρησε ανεξάρτητα, για να δει αν αυτό που έλεγαν *θα* συνέβαινε εκείνη την ώρα *έγινε*.
Έτσι, σκέφτηκαν ακόμη και "Πώς επαληθεύετε κάτι τέτοιο;"
ΖΥΜΗ. Λοιπόν, για το θέμα των περίπλοκων πραγμάτων, έχουμε ενημερώσεις κώδικα από τη Microsoft και την Apple.
Τι είναι λοιπόν αξιοσημείωτο εδώ σε αυτόν τον τελευταίο γύρο;
ΠΑΠΙΑ. Σίγουρα το κάνουμε – είναι patch Τρίτη αυτή την εβδομάδα, η δεύτερη Τρίτη του μήνα.
Υπάρχουν δύο τρωτά σημεία στο Patch Tuesday που ήταν αξιοσημείωτα για μένα.
Το ένα είναι αξιοσημείωτο επειδή είναι προφανώς στη φύση – με άλλα λόγια, ήταν μια ημέρα μηδέν.
Και παρόλο που δεν πρόκειται για απομακρυσμένη εκτέλεση κώδικα, είναι λίγο ανησυχητικό γιατί είναι ένα θέμα ευπάθειας του αρχείου καταγραφής [ΒΗΧΩΝ ΑΠΟΛΟΓΗΤΙΚΑ], Doug!
Δεν είναι ακριβώς όπως κακό σαν Log4J, όπου θα μπορούσατε όχι μόνο να κάνετε το καταγραφικό να συμπεριφέρεται άσχημα, αλλά και να το καταφέρετε εκτέλεση αυθαίρετου κώδικα για σας.
Αλλά φαίνεται ότι εάν στείλετε κάποιο είδος λανθασμένης μορφής δεδομένων στο πρόγραμμα οδήγησης του συστήματος αρχείων καταγραφής των Windows, το CLFS, τότε μπορείτε να εξαπατήσετε το σύστημα ώστε να σας προωθήσει σε προνόμια συστήματος.
Πάντα κακό αν έχετε μπει ως επισκέπτης χρήστης και μπορείτε στη συνέχεια να μετατρέψετε τον εαυτό σας σε sysadmin…
ΖΥΜΗ. [ΓΕΛΙΑ] Ναι!
ΠΑΠΙΑ. Ήτοι CVE-2022-37969.
Και το άλλο που βρήκα ενδιαφέρον…
…ευτυχώς όχι στη φύση, αλλά αυτό είναι αυτό που πρέπει πραγματικά να επιδιορθώσετε, γιατί στοιχηματίζω ότι είναι αυτό που οι εγκληματίες του κυβερνοχώρου θα επικεντρωθούν στην αντίστροφη μηχανική:
"Ευπάθεια εκτέλεσης απομακρυσμένου κώδικα των Windows TCP/IP", CVE-2022-34718.
Αν θυμάσαι Κόκκινος κώδικας, να SQL Slammer, και αυτά τα άτακτα σκουλήκια του παρελθόντος, όπου μόλις έφτασαν σε ένα πακέτο δικτύου και μπλόκαραν το δρόμο τους στο σύστημα….
Αυτό είναι ένα ακόμη χαμηλότερο επίπεδο από αυτό.
Προφανώς, το σφάλμα είναι ο χειρισμός ορισμένων πακέτων IPv6.
Έτσι, οτιδήποτε ακούει το IPv6, που είναι σχεδόν οποιοσδήποτε υπολογιστής με Windows, θα μπορούσε να κινδυνεύσει από αυτό.
Όπως είπα, αυτό δεν είναι στη φύση, οπότε οι απατεώνες δεν το έχουν βρει ακόμα, αλλά δεν αμφιβάλλω ότι θα πάρουν το έμπλαστρο και θα προσπαθήσουν να καταλάβουν αν μπορούν να αναστρέψουν ένα εκμεταλλεύσιμο από αυτό, για να προλάβω ανθρώπους που δεν έχουν μπαλώσει ακόμα.
Γιατί αν λέει κάτι, «Ουάου! Τι θα γινόταν αν κάποιος έγραφε ένα σκουλήκι που το χρησιμοποίησε αυτό;»… για αυτό θα ανησυχούσα.
ΖΥΜΗ. Εντάξει.
Και μετά στην Apple…
ΠΑΠΙΑ. Έχουμε γράψει δύο ιστορίες για τις ενημερώσεις κώδικα της Apple πρόσφατα, όπου, ξαφνικά, εμφανίστηκαν ενημερώσεις κώδικα για iPhone και iPad και Mac εναντίον δύο μηδενικές μέρες στη φύση.
Το ένα ήταν ένα σφάλμα προγράμματος περιήγησης ή ένα σφάλμα που σχετίζεται με την περιήγηση, έτσι ώστε να μπορείτε να περιπλανηθείτε σε έναν ιστότοπο με αθώα εμφάνιση και κακόβουλο λογισμικό να μπορούσε να προσγειωθεί στον υπολογιστή σας, καθώς και ένα άλλο που σας έδωσε έλεγχο σε επίπεδο πυρήνα…
…το οποίο, όπως είπα στο τελευταίο podcast, μου μυρίζει spyware – κάτι που θα ενδιέφερε έναν πωλητή spyware ή έναν πραγματικά σοβαρό «κυβερνοαπατεώνα παρακολούθησης».
Στη συνέχεια, υπήρξε μια δεύτερη ενημέρωση, προς έκπληξή μας, για iOS 12, που όλοι πιστεύαμε ότι είχε εγκαταλειφθεί εδώ και καιρό.
Εκεί, ένα από αυτά τα σφάλματα (που σχετίζεται με το πρόγραμμα περιήγησης που επέτρεπε στους απατεώνες να εισβάλουν) έλαβε μια ενημέρωση κώδικα.
Και τότε, ακριβώς τη στιγμή που περίμενα το iOS 16, όλα αυτά τα μηνύματα ηλεκτρονικού ταχυδρομείου άρχισαν ξαφνικά να προσγειώνονται στα εισερχόμενά μου – αμέσως αφού τσέκαρα, «Έχει κυκλοφορήσει ακόμα το iOS 16; Μπορώ να το ενημερώσω;»
Δεν ήταν εκεί, αλλά στη συνέχεια έλαβα όλα αυτά τα email που έλεγαν: «Μόλις ενημερώσαμε το iOS 15 και το macOS Monterey, και το Big Sur και το iPadOS 15″…
… και αποδείχθηκε ότι υπήρχαν πολλές ενημερώσεις, συν έναν ολοκαίνουργιο πυρήνα zero-day και αυτή τη φορά.
Και το συναρπαστικό είναι ότι, αφού έλαβα τις ειδοποιήσεις, σκέφτηκα, "Λοιπόν, επιτρέψτε μου να ελέγξω ξανά..."
(Για να θυμάστε, είναι ρυθμίσεις > General > Ενημέρωση λογισμικού στο iPhone ή το iPad σας.)
Ιδού, μου προσφέρθηκε μια ενημέρωση για το iOS 15, την οποία είχα ήδη, *ή* μπορούσα να μεταβώ μέχρι το iOS 16.
Και το iOS 16 είχε επίσης αυτήν την επιδιόρθωση μηδενικής ημέρας (παρόλο που το iOS 16 θεωρητικά δεν είχε κυκλοφορήσει ακόμα), οπότε υποθέτω ότι το σφάλμα υπήρχε και στην έκδοση beta.
Δεν αναφέρθηκε ως επίσημα μηδενική ημέρα στο ενημερωτικό δελτίο της Apple για το iOS 16, αλλά δεν μπορούμε να πούμε αν αυτό οφείλεται στο γεγονός ότι το exploit που είδε η Apple δεν λειτούργησε σωστά στο iOS 16 ή αν δεν θεωρείται μηδενικό ημέρα γιατί το iOS 16 μόλις έβγαινε.
ΖΥΜΗ. Ναι, θα έλεγα: κανείς δεν το έχει ακόμα. [ΓΕΛΙΟ]
ΠΑΠΙΑ. Αυτά ήταν τα μεγάλα νέα από την Apple.
Και το σημαντικό είναι ότι όταν πηγαίνετε στο τηλέφωνό σας και λέτε, "Ωχ, το iOS 16 είναι διαθέσιμο"… αν δεν σας ενδιαφέρει ακόμα το iOS 16, πρέπει ακόμα να βεβαιωθείτε ότι έχετε αυτό το iOS 15 ενημέρωση, λόγω του πυρήνα zero-day.
Οι ημέρες μηδέν πυρήνα είναι πάντα πρόβλημα, επειδή σημαίνει ότι κάποιος εκεί έξω ξέρει πώς να παρακάμψει τις πολυδιαφημισμένες ρυθμίσεις ασφαλείας στο iPhone σας.
Το σφάλμα ισχύει επίσης για το macOS Monterey και το macOS Big Sur – αυτή είναι η προηγούμενη έκδοση, macOS 11.
Στην πραγματικότητα, για να μην μακρηγορούμε, το Big Sur έχει στην πραγματικότητα *δύο* σφάλματα zero-day του πυρήνα στη φύση.
Δεν υπάρχουν νέα για το iOS 12, κάτι που περίμενα, και τίποτα μέχρι στιγμής για το macOS Catalina.
Το Catalina είναι το macOS 10, η προηγούμενη έκδοση, και για άλλη μια φορά, δεν γνωρίζουμε αν αυτή η ενημέρωση θα έρθει αργότερα ή αν έχει ξεφύγει από την άκρη του κόσμου και δεν θα λαμβάνει ενημερώσεις ούτως ή άλλως.
Δυστυχώς, η Apple δεν λέει, οπότε δεν ξέρουμε.
Τώρα, οι περισσότεροι χρήστες της Apple θα έχουν ενεργοποιημένες τις αυτόματες ενημερώσεις, αλλά, όπως λέμε πάντα, πηγαίνετε και ελέγξτε (αν έχετε Mac ή iPhone ή iPad), γιατί το χειρότερο είναι απλώς να υποθέσετε ότι η αυτόματη οι ενημερώσεις λειτούργησαν και σας κράτησαν ασφαλείς…
…όταν στην πραγματικότητα κάτι πήγε στραβά.
ΖΥΜΗ. Εντάξει, πολύ καλά.
Τώρα, κάτι που περίμενα με ανυπομονησία, προχωρώντας σωστά, είναι: "Τι σχέση έχουν οι ζώνες ώρας με την ασφάλεια πληροφορικής;"
ΠΑΠΙΑ. Λοιπόν, αρκετά, αποδεικνύεται, Νταγκ.
ΖΥΜΗ. [ΓΕΛΙΑ] Ναι κύριε!
ΠΑΠΙΑ. Οι ζώνες ώρας είναι πολύ απλές στην ιδέα.
Είναι πολύ βολικά για τη λειτουργία της ζωής μας, έτσι ώστε τα ρολόγια μας να ταιριάζουν περίπου με αυτό που συμβαίνει στον ουρανό – έτσι είναι σκοτάδι τη νύχτα και φως τη μέρα. (Ας αγνοήσουμε τη θερινή ώρα και ας υποθέσουμε ότι έχουμε ζώνες ώρας μόνο μιας ώρας σε όλο τον κόσμο, έτσι ώστε όλα να είναι πραγματικά απλά.)
Το πρόβλημα προκύπτει όταν στην πραγματικότητα διατηρείτε αρχεία καταγραφής συστήματος σε έναν οργανισμό όπου ορισμένοι από τους διακομιστές σας, ορισμένοι από τους χρήστες σας, ορισμένα μέρη του δικτύου σας, ορισμένοι από τους πελάτες σας, βρίσκονται σε άλλα μέρη του κόσμου.
Όταν γράφετε στο αρχείο καταγραφής, γράφετε την ώρα με συνυπολογισμό της ζώνης ώρας;
Όταν γράφεις το ημερολόγιο σου, Νταγκ, αφαιρείς τις 5 ώρες (ή 4 ώρες αυτή τη στιγμή) που χρειάζεσαι επειδή βρίσκεσαι στη Βοστώνη, ενώ προσθέτω μία ώρα επειδή είμαι ώρα Λονδίνου, αλλά είναι καλοκαίρι; ?
Το γράφω αυτό στο αρχείο καταγραφής ώστε να έχει νόημα για *εμένα* όταν διαβάζω ξανά το αρχείο καταγραφής;
Ή μήπως γράφω μια πιο κανονική, ξεκάθαρη ώρα χρησιμοποιώντας την ίδια ζώνη ώρας για *όλοι*, οπότε όταν συγκρίνω αρχεία καταγραφής που προέρχονται από διαφορετικούς υπολογιστές, διαφορετικούς χρήστες, διαφορετικά μέρη του κόσμου στο δίκτυό μου, μπορώ πραγματικά να παρατάξω συμβάντα;
Είναι πολύ σημαντικό να ταξινομήσετε τα γεγονότα, Νταγκ, ιδιαίτερα αν αντιμετωπίζετε την απάντηση σε απειλή σε μια κυβερνοεπίθεση.
Πρέπει πραγματικά να ξέρετε τι ήρθε πρώτο.
Και αν πείτε, «Ω, δεν συνέβη μέχρι τις 3 μ.
Και 'γώ το ίδιο έγραψε ένα άρθρο στο Naked Security σχετικά με μερικούς τρόπους που μπορείτε αντιμετωπίσει αυτό το πρόβλημα όταν καταγράφετε δεδομένα.
Η προσωπική μου σύσταση είναι να χρησιμοποιήσετε μια απλοποιημένη μορφή χρονοσήμανσης που ονομάζεται RFC 3339, όπου βάζετε ένα τετραψήφιο έτος, παύλα [χαρακτήρας παύλα, ASCII 0x2D], διψήφιο μήνα, παύλα, διψήφια ημέρα και ούτω καθεξής, έτσι ώστε οι χρονικές σημάνσεις σας να ταξινομούνται πραγματικά αλφαβητικά.
Και ότι καταγράφετε όλες τις ζώνες ώρας σας ως ζώνη tme γνωστή ως Z (zed ή zee), συντομογραφία για Χρόνος Zulu.
Αυτό σημαίνει βασικά UTC ή Συντονισμένη Παγκόσμια Ώρα.
Αυτή είναι σχεδόν, αλλά όχι αρκετά, η μέση ώρα Γκρίνουιτς, και είναι η ώρα που το ρολόι σχεδόν κάθε υπολογιστή ή τηλεφώνου έχει ρυθμιστεί εσωτερικά αυτές τις μέρες.
Μην προσπαθείτε να αντισταθμίσετε τις ζώνες ώρας όταν γράφετε στο αρχείο καταγραφής, γιατί τότε κάποιος θα πρέπει να αποζημιώσει όταν προσπαθεί να ευθυγραμμίσει το αρχείο καταγραφής σας με αυτό όλων των άλλων – και υπάρχουν πολλές ολισθήσεις μεταξύ του φλιτζανιού και του χείλους, Νταγκ.
Κρατήστε το απλό.
Χρησιμοποιήστε μια κανονική, απλή μορφή κειμένου που οριοθετεί ακριβώς την ημερομηνία και την ώρα, μέχρι τη δεύτερη – ή, αυτές τις μέρες, οι χρονικές σημάνσεις μπορούν ακόμη και να μειωθούν αυτές τις μέρες στο νανοδευτερόλεπτο, αν θέλετε.
Και απαλλαγείτε από τις ζώνες ώρας από τα αρχεία καταγραφής σας. απαλλαγείτε από τη θερινή εξοικονόμηση από τα κούτσουρα σας. και απλώς καταγράψτε τα πάντα, κατά τη γνώμη μου, στη Συντονισμένη Παγκόσμια Ώρα…
…με σύγχυση συντομογραφία UTC, επειδή το όνομα είναι στα αγγλικά αλλά η συντομογραφία είναι στα γαλλικά – κάτι σαν ειρωνεία.
ΖΥΜΗ. Ναί.
ΠΑΠΙΑ.
Μπαίνω στον πειρασμό να πω, «Όχι ότι το νιώθω έντονα, ξανά», όπως κάνω συνήθως, γελώντας…
…αλλά είναι πραγματικά σημαντικό να βάλετε τα πράγματα στη σωστή σειρά, ιδιαίτερα όταν προσπαθείτε να εντοπίσετε εγκληματίες στον κυβερνοχώρο.
ΖΥΜΗ. Εντάξει, αυτό είναι καλό - εξαιρετική συμβουλή.
Και αν επιμείνουμε στο θέμα των εγκληματιών του κυβερνοχώρου, έχετε ακούσει για τις επιθέσεις Manipulator-in-the-Middle. έχετε ακούσει για επιθέσεις χειριστή στο πρόγραμμα περιήγησης…
..τώρα ετοιμαστείτε για επιθέσεις Browser-in-the-Browser.
ΠΑΠΙΑ. Ναι, αυτός είναι ένας νέος όρος που βλέπουμε.
Ήθελα να το γράψω αυτό επειδή ερευνητές σε μια εταιρεία πληροφοριών απειλών που ονομάζεται Group-IB έγραψαν πρόσφατα ένα άρθρο σχετικά με αυτό και τα μέσα άρχισαν να μιλούν για: "Γεια σου, επιθέσεις από το πρόγραμμα περιήγησης στο πρόγραμμα περιήγησης, φοβάσαι πολύ" ή οτιδήποτε άλλο …
Σκέφτεστε, "Λοιπόν, αναρωτιέμαι πόσοι άνθρωποι γνωρίζουν πραγματικά τι σημαίνει επίθεση με το πρόγραμμα περιήγησης στο πρόγραμμα περιήγησης;"
Και το ενοχλητικό με αυτές τις επιθέσεις, Νταγκ, είναι ότι τεχνολογικά, είναι τρομερά απλές.
Είναι μια τόσο απλή ιδέα.
ΖΥΜΗ. Είναι σχεδόν καλλιτεχνικά.
ΠΑΠΙΑ. Ναι!
Δεν είναι πραγματικά επιστήμη και τεχνολογία, είναι τέχνη και σχέδιο, έτσι δεν είναι;
Βασικά, αν έχετε κάνει ποτέ οποιονδήποτε προγραμματισμό JavaScript (για καλό ή για κακό), θα γνωρίζετε ότι ένα από τα πράγματα σχετικά με τα πράγματα που κολλάτε σε μια ιστοσελίδα είναι ότι προορίζεται να περιορίζεται σε αυτήν την ιστοσελίδα.
Έτσι, αν εμφανίσετε ένα ολοκαίνουργιο παράθυρο, τότε θα περιμένατε να αποκτήσει ένα ολοκαίνουργιο πλαίσιο προγράμματος περιήγησης.
Και αν φορτώσει τη σελίδα του από έναν ολοκαίνουργιο ιστότοπο, ας πούμε έναν ιστότοπο ηλεκτρονικού ψαρέματος, τότε δεν θα έχει πρόσβαση σε όλες τις μεταβλητές JavaScript, το περιβάλλον, τα cookie και όλα όσα είχε το κύριο παράθυρο.
Έτσι, αν ανοίξετε ένα ξεχωριστό παράθυρο, περιορίζετε κατά κάποιο τρόπο τις ικανότητές σας στο hacking αν είστε απατεώνας.
Ωστόσο, αν ανοίξετε κάτι στο τρέχον παράθυρο, τότε περιορίζεστε σημαντικά ως προς το πόσο συναρπαστικό και «σύστημα» μπορείτε να το κάνετε να φαίνεται, έτσι δεν είναι;
Επειδή δεν μπορείτε να αντικαταστήσετε τη γραμμή διευθύνσεων… αυτό οφείλεται στη σχεδίαση.
Δεν μπορείτε να γράψετε τίποτα έξω από το παράθυρο του προγράμματος περιήγησης, επομένως δεν μπορείτε να τοποθετήσετε κρυφά ένα παράθυρο που μοιάζει με ταπετσαρία στην επιφάνεια εργασίας, σαν να ήταν εκεί από παλιά.
Με άλλα λόγια, είστε εγκλωβισμένοι μέσα στο παράθυρο του προγράμματος περιήγησης με το οποίο ξεκινήσατε.
Έτσι, η ιδέα μιας επίθεσης Browser-in-the-Browser είναι ότι ξεκινάτε με έναν κανονικό ιστότοπο και στη συνέχεια δημιουργείτε, μέσα στο παράθυρο του προγράμματος περιήγησης που έχετε ήδη, μια ιστοσελίδα που μοιάζει ακριβώς με ένα παράθυρο του προγράμματος περιήγησης λειτουργικού συστήματος .
Βασικά, δείχνεις σε κάποιον μια *εικόνα* του αληθινού πράγματος και τον πείθεις ότι *είναι* το πραγματικό πράγμα.
Είναι τόσο απλό στην καρδιά, Νταγκ!
Αλλά το πρόβλημα είναι ότι με λίγη προσεκτική δουλειά, ιδιαίτερα αν έχετε καλές δεξιότητες CSS, μπορείτε να κάνετε * πραγματικά* να κάνετε κάτι που βρίσκεται μέσα σε ένα υπάρχον παράθυρο του προγράμματος περιήγησης να μοιάζει με δικό του παράθυρο του προγράμματος περιήγησης.
Και με λίγη JavaScript, μπορείτε ακόμη και να το κάνετε έτσι ώστε να μπορεί να αλλάξει το μέγεθός του και έτσι ώστε να μπορεί να μετακινείται στην οθόνη και μπορείτε να το συμπληρώσετε με HTML που λαμβάνετε από ιστότοπο τρίτου μέρους.
Τώρα, μπορεί να αναρωτιέστε… αν οι απατεώνες το καταλάβουν σωστά, πώς στο καλό μπορείτε να το καταλάβετε;
Και τα καλά νέα είναι ότι υπάρχει ένα απολύτως απλό πράγμα που μπορείτε να κάνετε.
Εάν βλέπετε αυτό που μοιάζει με ένα παράθυρο λειτουργικού συστήματος και το έχετε καχύποπτο με οποιονδήποτε τρόπο (θα φαίνεται ουσιαστικά να εμφανίζεται πάνω από το παράθυρο του προγράμματος περιήγησής σας, επειδή πρέπει να βρίσκεται μέσα σε αυτό)…
…δοκίμασε να το μετακινήσεις *από το πραγματικό παράθυρο του προγράμματος περιήγησης* και αν είναι «φυλακισμένο» μέσα στο πρόγραμμα περιήγησης, ξέρεις ότι δεν είναι η πραγματική υπόθεση!
Το ενδιαφέρον με την αναφορά των ερευνητών του Group-IB είναι ότι όταν το αντιμετώπισαν, οι απατεώνες το χρησιμοποιούσαν στην πραγματικότητα εναντίον παικτών παιχνιδιών Steam.
Και, φυσικά, θέλει να συνδεθείτε στον λογαριασμό σας στο Steam…
…και αν σας ξεγελούσε η πρώτη σελίδα, τότε θα ακολουθούσε ακόμη και η επαλήθευση ταυτότητας δύο παραγόντων του Steam.
Και το κόλπο ήταν ότι αν αυτά τα πραγματικά *ήταν* ξεχωριστά παράθυρα, θα μπορούσατε να τα έχετε σύρει στη μία πλευρά του κύριου παραθύρου του προγράμματος περιήγησής σας, αλλά δεν ήταν.
Σε αυτή την περίπτωση, ευτυχώς, οι μάγειρες δεν είχαν κάνει πολύ καλά το CSS τους.
Το έργο τέχνης τους ήταν άθλιο.
Αλλά, όπως εσείς και εγώ έχουμε μιλήσει πολλές φορές στο podcast, Doug, μερικές φορές υπάρχουν απατεώνες που θα καταβάλουν προσπάθεια να κάνουν τα πράγματα να φαίνονται τέλεια.
Με το CSS, μπορείτε κυριολεκτικά να τοποθετήσετε μεμονωμένα pixel, έτσι δεν είναι;
ΖΥΜΗ. Το CSS είναι ενδιαφέρον.
Είναι Τα επικαλυπτόμενα φύλλα στυλ… μια γλώσσα που χρησιμοποιείτε για το στυλ των εγγράφων HTML, και είναι πραγματικά εύκολη στην εκμάθησή της και είναι ακόμα πιο δύσκολο να την κατακτήσετε.
ΠΑΠΙΑ. [ΓΕΛΙΑ] Ακούγεται σαν IT, σίγουρα.
ΖΥΜΗ. [ΓΕΛΙΑ] Ναι, είναι σαν πολλά πράγματα!
Αλλά είναι ένα από τα πρώτα πράγματα που μαθαίνεις μόλις μάθεις HTML.
Εάν σκέφτεστε, «Θέλω να κάνω αυτή την ιστοσελίδα να φαίνεται καλύτερη», μαθαίνετε CSS.
Έτσι, κοιτάζοντας μερικά από αυτά τα παραδείγματα του εγγράφου προέλευσης με το οποίο συνδέεστε από το άρθρο, μπορείτε να πείτε ότι θα είναι πολύ δύσκολο να κάνετε μια πραγματικά καλή απομίμηση, εκτός αν είστε πραγματικά καλοί στο CSS.
Αλλά αν το κάνετε σωστά, θα είναι πολύ δύσκολο να καταλάβετε ότι πρόκειται για πλαστό έγγραφο…
…εκτός αν κάνετε αυτό που λέτε: προσπαθήστε να το τραβήξετε από ένα παράθυρο και να το μετακινήσετε στην επιφάνεια εργασίας σας, τέτοια πράγματα.
Αυτό οδηγεί στο δεύτερο σημείο σας εδώ: εξετάστε προσεκτικά τα ύποπτα παράθυρα.
Πολλοί από αυτούς πιθανότατα δεν πρόκειται να περάσουν το τεστ ματιών, αλλά αν το περάσουν, θα είναι πολύ δύσκολο να εντοπιστούν.
Που μας οδηγεί στο τρίτο…
«Εάν έχετε αμφιβολίες/Μην το δώσετε».
Αν απλώς δεν φαίνεται σωστά και δεν είστε σε θέση να πείτε οριστικά ότι κάτι είναι περίεργο συμβαίνει, απλώς ακολουθήστε τη ρίμα!
ΠΑΠΙΑ. Και αξίζει να είστε καχύποπτοι για άγνωστους ιστότοπους, ιστότοπους που δεν έχετε χρησιμοποιήσει πριν, που ξαφνικά λένε: «Εντάξει, θα σας ζητήσουμε να συνδεθείτε με τον λογαριασμό σας Google σε ένα παράθυρο Google ή το Facebook σε ένα παράθυρο του Facebook. ”
Ή Steam σε παράθυρο Steam.
ΖΥΜΗ. Ναί.
Δεν μου αρέσει να χρησιμοποιώ τη λέξη B εδώ, αλλά αυτό είναι σχεδόν εξαιρετικό στην απλότητά της.
Αλλά και πάλι, θα είναι πολύ δύσκολο να πετύχετε ένα τέλειο ταίριασμα pixel χρησιμοποιώντας CSS και άλλα παρόμοια.
ΠΑΠΙΑ. Νομίζω ότι το σημαντικό πράγμα που πρέπει να θυμάστε είναι ότι, επειδή μέρος της προσομοίωσης είναι το «chrome» [ορθογραφία για τα στοιχεία διεπαφής χρήστη του προγράμματος περιήγησης] του προγράμματος περιήγησης, η γραμμή διευθύνσεων θα φαίνεται σωστά.
Μπορεί ακόμη και να φαίνεται τέλειο.
Αλλά το θέμα είναι ότι δεν είναι γραμμή διευθύνσεων…
…είναι μια *εικόνα* μιας γραμμής διευθύνσεων.
ΖΥΜΗ. Ακριβώς!
Εντάξει, προσέξτε όλοι!
Και, μιλώντας για πράγματα που δεν είναι αυτό που φαίνονται, διαβάζω για το DEADBOLT ransomware και τις συσκευές QNAP NAS, και μου φαίνεται σαν να συζητήσαμε αυτήν ακριβώς την ιστορία πριν από λίγο καιρό.
ΠΑΠΙΑ. Ναι, έχουμε γραμμένο για αυτό αρκετές φορές στο Naked Security μέχρι στιγμής φέτος, δυστυχώς.
Είναι μια από αυτές τις περιπτώσεις όπου αυτό που λειτούργησε για τους απατεώνες μια φορά αποδεικνύεται ότι λειτούργησε δύο, τρεις, τέσσερις, πέντε φορές.
Και NAS, ή Δικτυακός Αποθηκευτικός Χώρος συσκευές, είναι, αν θέλετε, διακομιστές μαύρου κουτιού που μπορείτε να πάτε και να αγοράσετε – συνήθως εκτελούν κάποιο είδος πυρήνα Linux.
Η ιδέα είναι ότι αντί να χρειάζεται να αγοράσετε μια άδεια Windows ή να μάθετε Linux, να εγκαταστήσετε το Samba, να το ρυθμίσετε, να μάθετε πώς να κάνετε κοινή χρήση αρχείων στο δίκτυό σας…
…απλώς συνδέετε αυτήν τη συσκευή και, "Bingo", αρχίζει να λειτουργεί.
Είναι ένας διακομιστής αρχείων προσβάσιμος στον ιστό και, δυστυχώς, εάν υπάρχει μια ευπάθεια στον διακομιστή αρχείων και τον έχετε κάνει (τυχαία ή σχεδίαση) προσβάσιμο μέσω του Διαδικτύου, τότε οι απατεώνες ενδέχεται να μπορούν να εκμεταλλευτούν αυτήν την ευπάθεια, εάν υπάρχει αυτή η συσκευή NAS, από απόσταση.
Μπορεί να είναι σε θέση να ανακατέψουν όλα τα αρχεία στη θέση αποθήκευσης κλειδιού για το δίκτυό σας, είτε πρόκειται για οικιακό δίκτυο είτε για δίκτυο μικρών επιχειρήσεων, και βασικά σας κρατούν για λύτρα χωρίς να χρειάζεται ποτέ να ανησυχείτε για την επίθεση μεμονωμένων άλλων συσκευών όπως φορητούς υπολογιστές και τηλέφωνα στο δίκτυο.
Έτσι, δεν χρειάζεται να ανακατεύονται με κακόβουλο λογισμικό που μολύνει τον φορητό υπολογιστή σας και δεν χρειάζεται να εισχωρήσουν στο δίκτυό σας και να περιπλανηθούν σαν παραδοσιακοί εγκληματίες ransomware.
Βασικά ανακατεύουν όλα τα αρχεία σας και μετά – για να παρουσιάσουν το σημείωμα λύτρων – απλώς αλλάζουν (δεν πρέπει να γελάω, Νταγκ)… απλώς αλλάζουν τη σελίδα σύνδεσης στη συσκευή σας NAS.
Έτσι, όταν διαπιστώσετε ότι όλα τα αρχεία σας είναι μπερδεμένα και σκέφτεστε, "Αυτό είναι αστείο", και μεταβείτε με το πρόγραμμα περιήγησής σας στον ιστό και συνδεθείτε εκεί, δεν λαμβάνετε ένα μήνυμα κωδικού πρόσβασης!
Λαμβάνετε μια προειδοποίηση: «Τα αρχεία σας έχουν κλειδωθεί από το DEADBOLT. Τι συνέβη? Όλα τα αρχεία σας έχουν κρυπτογραφηθεί."
Και μετά έρχονται οι οδηγίες για το πώς να πληρώσετε.
ΖΥΜΗ. Και πρόσφεραν επίσης ευγενικά ότι η QNAP θα μπορούσε να συγκεντρώσει ένα πριγκιπικό ποσό για να ξεκλειδώσει τα αρχεία για όλους.
ΠΑΠΙΑ. Τα στιγμιότυπα οθόνης που έχω στο τελευταίο άρθρο στην εκπομπή nadsecurity.sophos.com:
1. Μεμονωμένες αποκρυπτογραφήσεις στα 0.03 bitcoins, αρχικά περίπου 1200$ όταν αυτό το πράγμα έγινε για πρώτη φορά διαδεδομένο, τώρα περίπου 600$.
2. Μια επιλογή BTC 5.00, όπου η QNAP ενημερώνεται για την ευπάθεια, ώστε να μπορεί να τη διορθώσει, την οποία σαφώς δεν πρόκειται να πληρώσουν επειδή γνωρίζουν ήδη για την ευπάθεια. (Γι' αυτό υπάρχει ένα patch έξω στη συγκεκριμένη περίπτωση.)
3. Όπως λέτε, υπάρχει μια επιλογή BTC 50 (αυτή είναι 1 εκατομμύριο $ τώρα, ήταν 2 εκατομμύρια $ όταν πρωτοκυκλοφόρησε αυτή η πρώτη ιστορία). Προφανώς, εάν η QNAP πληρώσει το 1,000,000 $ για λογαριασμό οποιουδήποτε μπορεί να έχει μολυνθεί, οι απατεώνες θα παρέχουν ένα κύριο κλειδί αποκρυπτογράφησης, αν δεν σας πειράζει.
Και αν κοιτάξετε το JavaScript τους, ελέγχει πραγματικά εάν ο κωδικός πρόσβασης που βάλατε ταιριάζει με έναν από τους *δύο* κατακερματισμούς.
Το ένα είναι μοναδικό για τη μόλυνση σας – οι απατεώνες το προσαρμόζουν κάθε φορά, έτσι ώστε το JavaScript να έχει τον κατακερματισμό και να μην δίνει τον κωδικό πρόσβασης.
Και υπάρχει ένα άλλο κατακερματισμό που, αν μπορείτε να το σπάσετε, φαίνεται ότι θα ανακτούσε τον κύριο κωδικό πρόσβασης για όλους στον κόσμο…
… Νομίζω ότι ήταν απλώς οι απατεώνες που έριχναν τη μύτη τους σε όλους.
ΖΥΜΗ. Είναι επίσης ενδιαφέρον ότι τα λύτρα των 600 δολαρίων bitcoin για κάθε χρήστη είναι… Δεν θέλω να πω "δεν είναι εξωφρενικό", αλλά αν κοιτάξετε στην ενότητα σχολίων αυτού του άρθρου, υπάρχουν πολλοί άνθρωποι που δεν μιλούν μόνο για την πληρωμή του λύτρα…
…αλλά ας περάσουμε στην ερώτηση του αναγνώστη μας εδώ.
Ο αναγνώστης Michael μοιράζεται την εμπειρία του με αυτήν την επίθεση και δεν είναι μόνος – υπάρχουν άλλα άτομα σε αυτήν την ενότητα σχολίων που αναφέρουν παρόμοια πράγματα.
Σε μερικά σχόλια, λέει (θα κάνω ένα ειλικρινές σχόλιο από αυτό):
«Το έχω περάσει αυτό και βγήκα εντάξει αφού πλήρωσα τα λύτρα. Η εύρεση του συγκεκριμένου κωδικού επιστροφής με το κλειδί αποκρυπτογράφησης μου ήταν το πιο δύσκολο κομμάτι. Πήρε το πιο πολύτιμο μάθημα».
Στο επόμενο σχόλιό του κάνει όλα τα βήματα που έπρεπε να κάνει για να λειτουργήσει ξανά.
Και κατεβαίνει με:
«Ντρέπομαι να πω ότι εργάζομαι στο IT, εργάζομαι για 20+ χρόνια και με τσίμπησε αυτό το σφάλμα QNAP uPNP. Χαίρομαι που το περνάω».
ΠΑΠΙΑ. Ουάου, ναι, αυτή είναι μια αρκετά δήλωση, έτσι δεν είναι;
Σχεδόν σαν να λέει, «Θα υποστήριζα τον εαυτό μου ενάντια σε αυτούς τους απατεώνες, αλλά έχασα το στοίχημα και μου κόστισε 600 δολάρια και πολύ χρόνο».
Αααργκ!
ΖΥΜΗ. Τι εννοεί με το "ο συγκεκριμένος κωδικός επιστροφής με το κλειδί περιγραφής του"?
ΠΑΠΙΑ. Α, ναι, αυτό είναι ένα πολύ ενδιαφέρον… πολύ ενδιαφέρον. (Προσπαθώ να μην πω καταπληκτικό-λαμπερό εδώ.) [ΓΕΛΙΟ]
Δεν θέλω να χρησιμοποιήσω τη λέξη C και να πω ότι είναι «έξυπνο», αλλά κάπως έτσι είναι.
Πώς επικοινωνείτε με αυτούς τους απατεώνες; Χρειάζονται μια διεύθυνση email; Θα μπορούσε να εντοπιστεί αυτό; Χρειάζονται ένα darkweb site;
Αυτοί οι απατεώνες δεν το κάνουν.
Επειδή, θυμηθείτε, υπάρχει μία συσκευή και το κακόβουλο λογισμικό προσαρμόζεται και συσκευάζεται όταν επιτίθεται σε αυτήν τη συσκευή, ώστε να έχει μια μοναδική διεύθυνση Bitcoin μέσα.
Και, βασικά, επικοινωνείτε με αυτούς τους απατεώνες πληρώνοντας το καθορισμένο ποσό bitcoin στο πορτοφόλι τους.
Υποθέτω ότι αυτός είναι ο λόγος που κράτησαν το ποσό σχετικά μέτριο…
…Δεν θέλω να προτείνω ότι όλοι έχουν 600 $ για να πετάξουν για λύτρα, αλλά δεν είναι ότι διαπραγματεύεστε εκ των προτέρων για να αποφασίσετε αν θα πληρώσετε $100,000 ή $80,000 ή $42,000.
Τους πληρώνετε το ποσό… χωρίς διαπραγματεύσεις, χωρίς συνομιλία, χωρίς email, χωρίς άμεσα μηνύματα, χωρίς φόρουμ υποστήριξης.
Απλώς στέλνετε τα χρήματα στην καθορισμένη διεύθυνση bitcoin και προφανώς θα έχουν μια λίστα με αυτές τις διευθύνσεις bitcoin που παρακολουθούν.
Όταν φτάνουν τα χρήματα και βλέπουν ότι έφτασαν, ξέρουν ότι εσείς (και μόνο εσείς) πληρώσατε, επειδή αυτός ο κωδικός πορτοφολιού είναι μοναδικός.
Και στη συνέχεια κάνουν αυτό που ουσιαστικά (χρησιμοποιώ τα μεγαλύτερα αεροπορικά εισαγωγικά στον κόσμο) "επιστροφή χρημάτων" στο blockchain, χρησιμοποιώντας μια συναλλαγή bitcoin στο ποσό, Doug, μηδέν δολαρίων.
Και αυτή η απάντηση, αυτή η συναλλαγή, περιλαμβάνει στην πραγματικότητα ένα σχόλιο. (Θυμηθείτε το Παραβίαση Poly Networks? Χρησιμοποιούσαν σχόλια blockchain Ethereum για να προσπαθήσουν να πουν, "Αγαπητέ, κύριε White Hat, δεν θα μας επιστρέψετε όλα τα χρήματα;")
Έτσι πληρώνετε τους απατεώνες, δίνοντας έτσι το μήνυμα ότι θέλετε να αλληλεπιδράσετε μαζί τους και σας επιστρέφουν 0 $ συν ένα σχόλιο 32 δεκαεξαδικών χαρακτήρων…
…το οποίο είναι 16 ακατέργαστα δυαδικά byte, το οποίο είναι το κλειδί αποκρυπτογράφησης 128 bit που χρειάζεστε.
Έτσι τους μιλάς.
Και, προφανώς, το έχουν φτάσει σε ένα Τ – όπως είπε ο Michael, η απάτη λειτουργεί.
Και το μόνο πρόβλημα που είχε ο Michael ήταν ότι δεν είχε συνηθίσει να αγοράζει bitcoin ή να εργάζεται με δεδομένα blockchain και να εξάγει αυτόν τον κωδικό επιστροφής, που είναι βασικά το σχόλιο στην «πληρωμή» της συναλλαγής που λαμβάνει πίσω για 0 $.
Έτσι, χρησιμοποιούν την τεχνολογία με πολύ πονηρούς τρόπους.
Βασικά, χρησιμοποιούν το blockchain τόσο ως μέσο πληρωμής όσο και ως εργαλείο επικοινωνίας.
ΖΥΜΗ. Εντάξει, μια πολύ ενδιαφέρουσα ιστορία.
Θα το προσέχουμε.
Και ευχαριστώ πολύ, Μιχάλη, που έστειλες αυτό το σχόλιο.
Εάν έχετε μια ενδιαφέρουσα ιστορία, σχόλιο ή ερώτηση που θέλετε να υποβάλετε, θα θέλαμε να τη διαβάσουμε στο podcast.
Μπορείτε να στείλετε email στο tips@sophos.com, να σχολιάσετε οποιοδήποτε από τα άρθρα μας ή να μας ενημερώσετε στα social: @NakedSecurity.
Αυτή είναι η εκπομπή μας για σήμερα – ευχαριστώ πολύ που με ακούσατε.
Για τον Paul Ducklin, είμαι ο Doug Aamoth, που σας υπενθυμίζω, μέχρι την επόμενη φορά, να…
ΚΑΙ ΤΑ ΔΥΟ. Μείνετε ασφαλείς.
[ΜΟΥΣΙΚΟ ΜΟΝΤΕΜ]
- blockchain
- Coingenius
- πορτοφόλια κρυπτογράφησης
- κρυπτο -ανταλλαγή
- κυβερνασφάλεια
- εγκλήματος στον κυβερνοχώρο
- εγκληματίες του κυβερνοχώρου
- Κυβερνασφάλεια
- Deadbolt
- Υπουργείο Εσωτερικής Ασφάλειας
- ψηφιακά πορτοφόλια
- firewall
- Kaspersky
- malware
- Mcafee
- Γυμνή ασφάλεια
- Γυμνό Podcast ασφαλείας
- Nexbloc
- Πλάτων
- πλάτων αι
- Πληροφορία δεδομένων Plato
- Παιχνίδι Πλάτωνας
- Πλάτωνα δεδομένα
- platogaming
- το podcast
- ransomware
- VPN
- ιστοσελίδα της ασφάλειας
- zephyrnet
- Ημέρα μηδέν
