S3 Ep108: Έκρυψες ΤΡΙΑ ΔΙΣ. δολάρια σε ένα κουτί ποπ κορν;

Κάντε κλικ και σύρετε στα ηχητικά κύματα παρακάτω για να μεταβείτε σε οποιοδήποτε σημείο. Μπορείτε επίσης να ακούστε απευθείας στο Soundcloud.

ΖΥΜΗ.  Απάτες στο Twitter, Patch Tuesday και εγκληματίες που παραβιάζουν εγκληματίες.

Όλα αυτά και πολλά άλλα στο podcast του Naked Security.

[ΜΟΥΣΙΚΟ ΜΟΝΤΕΜ]

Καλώς ήρθατε στο podcast, όλοι.

Είμαι ο Νταγκ.

Είναι ο Paul Ducklin.

Παύλο, πώς τα πας σήμερα;

---

ΠΑΠΙΑ.  Πολύ καλά, Νταγκ.

Δεν είχαμε την έκλειψη Σελήνης εδώ στην Αγγλία, αλλά είδα μια σύντομη ματιά στην *πανσέληνο μέσα από ένα μικροσκοπικό κενό στα σύννεφα που εμφανίστηκε ως η μόνη τρύπα σε ολόκληρο το στρώμα νεφών τη στιγμή που βγήκα έξω για να κοίτα!

Αλλά δεν είχαμε αυτό το πορτοκαλί φεγγάρι όπως εσείς στη Μασαχουσέτη.

---

ΖΥΜΗ.  Ας ξεκινήσουμε την παράσταση με Αυτή η εβδομάδα στην ιστορία της τεχνολογίας… αυτό πάει πολύ πίσω.

Αυτή την εβδομάδα, στις 08 Νοεμβρίου 1895, ο Γερμανός καθηγητής φυσικής Wilhelm Röntgen έπεσε πάνω σε μια ακόμη άγνωστη μορφή ακτινοβολίας που τον ώθησε να αναφερθεί στην εν λόγω ακτινοβολία απλώς ως «Χ».

Όπως στην ακτινογραφία.

Τι λέτε για αυτό… την τυχαία ανακάλυψη των ακτίνων Χ;

---

ΠΑΠΙΑ.  Αρκετά καταπληκτικό.

Θυμάμαι τη μαμά μου να μου λέει: τη δεκαετία του 1950 (το ίδιο πρέπει να ήταν στις Ηνωμένες Πολιτείες), προφανώς, σε καταστήματα με παπούτσια…

---

ΖΥΜΗ.  [ΞΕΡΕΙ ΤΙ ΕΡΧΕΤΑΙ] Ναι! [ΓΕΛΙΑ]

---

ΠΑΠΙΑ.  Οι άνθρωποι έπαιρναν τα παιδιά τους μέσα… θα στεκόσουν σε αυτό το μηχάνημα, θα φορούσες τα παπούτσια και αντί να πεις απλώς, «Περπατήστε, είναι σφιχτά; Τσιμπάνε;», στάθηκες σε ένα μηχάνημα ακτίνων Χ, το οποίο βασικά σε έλουζε με ακτινοβολία ακτίνων Χ και τράβηξε μια ζωντανή φωτογραφία και είπε: «Ω, ναι, έχουν το σωστό μέγεθος».

---

ΖΥΜΗ.  Ναι, πιο απλές εποχές. Λίγο επικίνδυνο, αλλά…

---

ΠΑΠΙΑ.  ΛΙΓΟ ΕΠΙΚΙΝΔΥΝΟ;

Μπορείτε να φανταστείτε τους ανθρώπους που δούλευαν στα καταστήματα υποδημάτων;

Πρέπει να έκαναν μπάνιο με ακτίνες Χ όλη την ώρα.

---

ΖΥΜΗ.  Απολύτως… λοιπόν, είμαστε λίγο πιο ασφαλείς σήμερα.

Και για το θέμα της ασφάλειας, η πρώτη Τρίτη του μήνα είναι το Patch Tuesday της Microsoft.

So τι μάθαμε αυτό το Patch Tuesday εδώ τον Νοέμβριο του 2022;

Διορθώθηκε η ανταλλαγή 0 ημερών (επιτέλους) – συν 4 ολοκαίνουργια ενημέρωση κώδικα Τρίτη 0 ημέρες!

---

ΠΑΠΙΑ.  Λοιπόν, το σούπερ συναρπαστικό πράγμα, Doug, είναι ότι το Patch Tuesday διόρθωσε τεχνικά όχι μία, ούτε δύο, ούτε τρεις… αλλά *τέσσερις* μηδενικές ημέρες.

Αλλά στην πραγματικότητα οι ενημερώσεις κώδικα που θα μπορούσατε να λάβετε για τα προϊόντα της Microsoft την Τρίτη διόρθωσαν *έξι* μηδενικές ημέρες.

Θυμηθείτε εκείνες τις ημέρες μηδέν του Exchange που δεν επιδιορθώθηκαν την περασμένη Τρίτη ενημέρωση κώδικα: CVE-2002-41040 και CVE-2022-41082, αυτό που έγινε γνωστό ως ProxyNotShell?

S3 Ep102.5: Σφάλματα ανταλλαγής "ProxyNotShell" – μιλάει ένας ειδικός [Ήχος + Κείμενο]

Λοιπόν, αυτά διορθώθηκαν, αλλά ουσιαστικά σε ένα ξεχωριστό "παρεπίπεδο" του Patch Tuesday: το Exchange November 2022 SU, ή το Software Update, που λέει απλώς:

Οι ενημερώσεις λογισμικού του Exchange Νοεμβρίου 2022 περιέχουν επιδιορθώσεις για τα τρωτά σημεία zero-day που αναφέρθηκαν δημόσια στις 29 Σεπτεμβρίου 2022.

Το μόνο που έχετε να κάνετε είναι να αναβαθμίσετε το Exchange.

Gee, ευχαριστώ Microsoft… Νομίζω ότι ξέραμε ότι αυτό θα έπρεπε να κάνουμε όταν τελικά έβγαιναν τα patches!

Άρα, *είναι* έξω και έχουν διορθωθεί δύο μηδενικές ημέρες, αλλά δεν είναι καινούριες και δεν είναι τεχνικά στο κομμάτι "Patch Tuesday".

Εκεί, έχουμε σταθερές άλλες τέσσερις μηδενικές ημέρες.

Και αν πιστεύετε στην ιεράρχηση των μπαλωμάτων, τότε προφανώς αυτά είναι αυτά με τα οποία θέλετε να αντιμετωπίσετε πρώτα, γιατί κάποιος ξέρει ήδη πώς να κάνει άσχημα πράγματα με αυτά.

Αυτά κυμαίνονται από μια παράκαμψη ασφαλείας, έως δύο ανυψώσεις προνομίων και μία απομακρυσμένη εκτέλεση κώδικα.

Αλλά υπάρχουν περισσότερα από 60 patches συνολικά, και αν κοιτάξετε τη συνολική λίστα των προϊόντων και των στοιχείων των Windows που επηρεάζονται, υπάρχει μια τεράστια λίστα, ως συνήθως, που περιλαμβάνει κάθε στοιχείο/προϊόν των Windows που έχετε ακούσει και πολλά που πιθανώς δεν έχετε ακούσει.

Η Microsoft διορθώνει 62 ευπάθειες, συμπεριλαμβανομένων των Kerberos, και Mark of the Web, και Exchange…κάπως

Όπως πάντα λοιπόν: Μην καθυστερείτε/Κάντε το σήμερα, Ντάγκλας!

---

ΖΥΜΗ.  Πολύ καλό.

Ας μιλήσουμε τώρα για αρκετή καθυστέρηση…

Έχετε μια πολύ ενδιαφέρουσα ιστορία για το Αγορά φαρμάκων Silk Road, και μια υπενθύμιση ότι οι εγκληματίες που κλέβουν από εγκληματίες εξακολουθεί να είναι έγκλημα, ακόμα κι αν είναι περίπου δέκα χρόνια αργότερα που στην πραγματικότητα θα πιαστείς γι' αυτό.

Ο χάκερ της αγοράς ναρκωτικών του Silk Road παραδέχεται την ενοχή του, αντιμετωπίζει 20 χρόνια μέσα

---

ΠΑΠΙΑ.  Ναι, ακόμη και οι άνθρωποι που είναι αρκετά νέοι στην ασφάλεια στον κυβερνοχώρο ή στο διαδίκτυο θα έχουν πιθανότατα ακούσει για τον «Δρόμο του Μεταξιού», ίσως την πρώτη γνωστή, μεγάλη, ευρέως διαδεδομένη, ευρέως χρησιμοποιούμενη αγορά σκοτεινού ιστού, όπου βασικά όλα πηγαίνουν.

Έτσι, όλα πήραν φωτιά το 2013.

Επειδή ο ιδρυτής, αρχικά γνωστός μόνο ως Τρομοκρατημένος ο πειρατής Ρόμπερτs, αλλά τελικά αποκαλύφθηκε ότι είναι Ross Ulbricht… η κακή επιχειρησιακή του ασφάλεια ήταν αρκετή για να συνδέσει τις δραστηριότητες μαζί του.

Ο ιδρυτής του Silk Road, Ross Ulbricht, ζει χωρίς περιοριστικούς όρους

Όχι μόνο δεν ήταν πολύ καλή η λειτουργική του ασφάλεια, αλλά φαίνεται ότι στα τέλη του 2012 είχαν (το πιστεύεις, Νταγκ;) μια γκάφα επεξεργασίας πληρωμών με κρυπτονομίσματα…

---

ΖΥΜΗ.  [ΑΝΑΘΥΜΙΣΗ ΣΕ ΚΛΕΙΣΤΙΚΗ ΤΡΟΜΙΚΗ]

---

ΠΑΠΙΑ.  …του τύπου που έχουμε δει να επαναλαμβάνεται πολλές φορές έκτοτε, που δεν έκανε καθόλου σωστή διπλοεγγραφή, όπου για κάθε χρέωση, υπάρχει μια αντίστοιχη πίστωση και το αντίστροφο.

Και αυτός ο εισβολέας ανακάλυψε, εάν βάλετε κάποια χρήματα στον λογαριασμό σας και στη συνέχεια τα πληρώσατε πολύ γρήγορα σε άλλους λογαριασμούς, ότι θα μπορούσατε να πληρώσετε πέντε φορές (ή ακόμα περισσότερα) τα ίδια bitcoin πριν το σύστημα συνειδητοποιήσει ότι η πρώτη χρέωση είχε φύγει διά μέσου.

Οπότε θα μπορούσατε βασικά να βάλετε κάποια χρήματα και στη συνέχεια απλώς να τα αποσύρετε ξανά και ξανά και ξανά και να αποκτήσετε μεγαλύτερο απόθεμα…

…και μετά θα μπορούσατε να επιστρέψετε σε αυτό που θα μπορούσατε να ονομάσετε «βρόχο αρμέγματος κρυπτονομισμάτων».

Και υπολογίζεται… οι ερευνητές δεν ήταν σίγουροι, ότι ξεκίνησε με μεταξύ 200 και 2000 bitcoins δικά του (είτε τα αγόρασε είτε τα εξόρυξε, δεν ξέρουμε) και τα μετέτρεψε πολύ, πολύ γρήγορα σε περίμενε, Νταγκ: 50,0000 bitcoin!

---

ΖΥΜΗ.  Ουάου!

---

ΠΑΠΙΑ.  Περισσότερα από 50,000 bitcoin, ακριβώς έτσι.

Και μετά, καταλαβαίνοντας προφανώς ότι κάποιος επρόκειτο να προσέξει, έκοψε και έτρεξε ενώ ήταν μπροστά με 50,000 bitcoins…

…το καθένα αξίζει 12 $, από κλάσματα του σεντ μόλις λίγα χρόνια πριν. [ΓΕΛΙΑ]

Έφυγε λοιπόν με 600,000 δολάρια, κάπως έτσι, Νταγκ.

[ΔΡΑΜΑΤΙΚΗ ΠΑΥΣΗ]

Εννέα χρόνια μετά…

[ΓΕΛΙΟ]

…σχεδόν *ακριβώς* εννέα χρόνια αργότερα, όταν καταλήφθηκε και έγινε έφοδος στο σπίτι του με ένταλμα, οι αστυνομικοί έψαξαν και βρήκαν ένα σωρό κουβέρτες στην ντουλάπα του, κάτω από το οποίο ήταν κρυμμένο ένα τενεκέ για ποπ κορν.

Παράξενο μέρος για να κρατήσετε τα ποπ κορν σας.

Μέσα στο οποίο υπήρχε ένα κρύο πορτοφόλι με υπολογιστή.

Μέσα στα οποία υπήρχε μεγάλο ποσοστό των εν λόγω bitcoin!

Την εποχή που καταστράφηκε, τα bitcoin ήταν περίπου 65,535 $ (ή 2¹⁶-1) το καθένα.

Είχαν ανέβει πάνω από χίλιες φορές στο ενδιάμεσο.

Έτσι, εκείνη την εποχή, ήταν η μεγαλύτερη αποτυχία κρυπτονομισμάτων που έγινε ποτέ!

Εννέα χρόνια αργότερα, αφού προφανώς δεν μπόρεσε να διαθέσει τα παράνομα κέρδη του, ίσως φοβούμενος ότι ακόμα κι αν προσπαθούσε να τα χώσει σε ένα ποτήρι, όλα τα δάχτυλα θα έδειχναν προς το μέρος του…

…είχε όλα αυτά τα bitcoin αξίας 3 δισεκατομμυρίων δολαρίων που κάθονταν σε ένα κουτί ποπ κορν εδώ και εννέα χρόνια!

---

ΖΥΜΗ.  Θεέ μου.

---

ΠΑΠΙΑ.  Έτσι, έχοντας καθίσει σε αυτόν τον τρομακτικό θησαυρό για όλα αυτά τα χρόνια, αναρωτιέται αν θα τον πιάσουν, τώρα μένει να αναρωτιέται: «Πόσο καιρό θα πάω φυλακή;»

Και η μέγιστη ποινή για την κατηγορία που αντιμετωπίζει;

20 χρόνια, Νταγκ.

---

ΖΥΜΗ.  Μια άλλη ενδιαφέρουσα ιστορία συμβαίνει αυτή τη στιγμή. Εάν είστε στο Twitter πρόσφατα, θα ξέρετε ότι υπάρχει πολλή δραστηριότητα. να το πω διπλωματικά…

---

ΠΑΠΙΑ.  [ΠΡΟΣΩΠΙΣΗ ΜΠΟΜΠ ΝΤΥΛΑΝ ΧΑΜΗΛΗΣ ΕΩΣ ΜΕΣΗΣ ΠΟΙΟΤΗΤΑΣ] Λοιπόν, οι καιροί, αλλάζουν πολύ.

---

ΖΥΜΗ.  …συμπεριλαμβανομένης σε ένα σημείο της ιδέας χρέωσης 20 $ για μια επαληθευμένη μπλε επιταγή, η οποία, φυσικά, σχεδόν αμέσως προκάλεσε κάποιες απάτες.

Απάτες ηλεκτρονικού ταχυδρομείου Twitter Blue Badge – Μην τις πέφτετε!

---

ΠΑΠΙΑ.  Είναι απλώς μια υπενθύμιση, Νταγκ, ότι όποτε υπάρχει κάτι που έχει προσελκύσει πολύ ενδιαφέρον, οι απατεώνες σίγουρα θα ακολουθήσουν.

Και η υπόθεση αυτού ήταν, «Γεια, γιατί να μην μπεις νωρίς; Εάν έχετε ήδη ένα μπλε σημάδι, μαντέψτε τι; Δεν θα χρειαστεί να πληρώνετε τα 19.99 $ το μήνα εάν κάνετε προεγγραφή. Θα σας αφήσουμε να το κρατήσετε."

Γνωρίζουμε ότι δεν ήταν αυτή η ιδέα του Elon Musk, όπως το δήλωσε, αλλά είναι κάτι που κάνουν πολλές επιχειρήσεις, έτσι δεν είναι;

Πολλές εταιρείες θα σας προσφέρουν κάποιο όφελος εάν παραμείνετε με την υπηρεσία.

Δεν είναι λοιπόν εντελώς απίστευτο.

Όπως λες… τι το έδωσες;

Β-μείον, ήταν;

---

ΖΥΜΗ.  Δίνω στο αρχικό email ένα Β-μείον… ίσως να ξεγελαστείτε αν το διαβάσετε γρήγορα, αλλά υπάρχουν κάποια γραμματικά ζητήματα. τα πράγματα δεν φαίνονται καλά.

Και μετά, μόλις κάνετε κλικ, θα έδινα στις σελίδες προορισμού C-μείον.

Αυτό γίνεται ακόμα πιο έντονο.

---

ΠΑΠΙΑ.  Αυτό είναι κάπου μεταξύ 5/10 και 6/10;

---

ΖΥΜΗ.  Ναι, ας το πούμε αυτό.

Και έχουμε κάποιες συμβουλές, έτσι ώστε ακόμα κι αν πρόκειται για απάτη A-plus, δεν θα έχει σημασία γιατί θα μπορέσετε να το αποτρέψετε ούτως ή άλλως!

Ξεκινώντας από το προσωπικό μου αγαπημένο: Χρησιμοποιήστε έναν διαχειριστή κωδικών πρόσβασης.

Ένας διαχειριστής κωδικών πρόσβασης λύνει πολλά προβλήματα όταν πρόκειται για απάτες.

---

ΠΑΠΙΑ.  Κάνει.

Ένας διαχειριστής κωδικών πρόσβασης δεν διαθέτει ανθρώπινη νοημοσύνη που μπορεί να παραπλανηθεί από το γεγονός ότι η όμορφη εικόνα είναι σωστή, ή το λογότυπο είναι τέλειο ή η φόρμα ιστού βρίσκεται ακριβώς στη σωστή θέση στην οθόνη με ακριβώς την ίδια γραμματοσειρά , άρα το αναγνωρίζεις.

Το μόνο που γνωρίζει είναι: «Δεν έχω ξανακούσει για αυτόν τον ιστότοπο».

---

ΖΥΜΗ.  Και φυσικά, ενεργοποιήστε το 2FA αν μπορείτε.

Πάντα να προσθέτετε έναν δεύτερο παράγοντα ελέγχου ταυτότητας, αν είναι δυνατόν.

---

ΠΑΠΙΑ.  Φυσικά, αυτό δεν σε προστατεύει απαραίτητα από τον εαυτό σου.

Εάν πάτε σε έναν ψεύτικο ιστότοπο και αποφασίσετε, "Γεια, είναι τέλειο για pixel, πρέπει να είναι η πραγματική συμφωνία", και είστε αποφασισμένοι να συνδεθείτε και έχετε ήδη βάλει το όνομα χρήστη και τον κωδικό πρόσβασής σας, και μετά σας ζητά να περάσετε από τη διαδικασία 2FA…

…είναι πολύ πιθανό να το κάνετε αυτό.

Ωστόσο, σας δίνει τόσο λίγο χρόνο για να κάνετε το «Σταματήστε. Νομίζω. Συνδέω-συωδεομαι." πράγμα και πείτε στον εαυτό σας, "Περίμενε, τι κάνω εδώ;"

Έτσι, κατά κάποιο τρόπο, η μικρή καθυστέρηση που εισάγει το 2FA μπορεί στην πραγματικότητα να είναι όχι μόνο πολύ μικρή ταλαιπωρία, αλλά και ένας τρόπος να βελτιώσετε πραγματικά τη ροή εργασιών σας στον κυβερνοχώρο… εισάγοντας αρκετή ταχύτητα που έχετε την τάση να λάβετε υπόψη την ασφάλεια στον κυβερνοχώρο αυτό λίγο πιο σοβαρά.

Οπότε δεν καταλαβαίνω ποιο είναι το μειονέκτημα, πραγματικά.

---

ΖΥΜΗ.  Και φυσικά, μια άλλη στρατηγική που είναι δύσκολο για πολλούς ανθρώπους να τηρήσουν, αλλά είναι πολύ αποτελεσματική, είναι να αποφύγετε τους συνδέσμους σύνδεσης και τα κουμπιά ενεργειών στο email.

Επομένως, εάν λάβετε ένα μήνυμα ηλεκτρονικού ταχυδρομείου, μην κάνετε απλώς κλικ στο κουμπί… μεταβείτε στον ίδιο τον ιστότοπο και θα είστε σε θέση να πείτε πολύ γρήγορα εάν αυτό το email ήταν νόμιμο ή όχι.

---

ΠΑΠΙΑ.  Βασικά, εάν δεν μπορείτε να εμπιστευτείτε πλήρως την αρχική αλληλογραφία, τότε δεν μπορείτε να βασιστείτε σε καμία λεπτομέρεια σε αυτήν, είτε πρόκειται για τον σύνδεσμο που θα κάνετε κλικ, τον αριθμό τηλεφώνου που πρόκειται να καλέσετε, τη διεύθυνση email που Θα επικοινωνήσω μαζί τους στο , στον λογαριασμό Instagram στον οποίο θα στείλετε DM, ό,τι κι αν είναι αυτό.

Μην χρησιμοποιείτε ό,τι υπάρχει στο email… βρείτε τον δικό σας δρόμο εκεί και θα βραχυκυκλώσετε πολλές απάτες αυτού του είδους.

---

ΖΥΜΗ.  Και τέλος, τελευταίο αλλά όχι λιγότερο σημαντικό… αυτό πρέπει να είναι κοινή λογική, αλλά δεν είναι: Μην ρωτάτε ποτέ τον αποστολέα ενός αβέβαιου μηνύματος εάν είναι νόμιμο.

Μην απαντήσετε και πείτε, "Γεια, είσαι πραγματικά Twitter;"

---

ΠΑΠΙΑ.  Ναι, έχεις απόλυτο δίκιο.

Επειδή η προηγούμενη συμβουλή μου, «Μην βασίζεστε στις πληροφορίες στο email», όπως μην τηλεφωνείτε στον αριθμό τηλεφώνου τους… μερικοί άνθρωποι μπαίνουν στον πειρασμό να πάνε, «Λοιπόν, θα καλέσω τον αριθμό τηλεφώνου και θα δω αν είναι πραγματικά είναι αυτοί. [ΕΙΡΩΝΙΚΟ] Γιατί, προφανώς, αν απαντήσει ο μάγειρας, θα δώσουν τα πραγματικά τους ονόματα».

---

ΖΥΜΗ.  Όπως λέμε πάντα: Εάν έχετε αμφιβολίες/Μην το δώσετε.

Και αυτή είναι μια καλή προειδοποιητική ιστορία, αυτή η επόμενη ιστορία: όταν σαρώνει την ασφάλεια, που είναι νόμιμα εργαλεία ασφαλείας, αποκαλύπτουν περισσότερα από όσα θα έπρεπε, τι γίνεται τότε;

Εργαλεία σάρωσης δημόσιας διεύθυνσης URL – όταν η ασφάλεια οδηγεί σε ανασφάλεια

---

ΠΑΠΙΑ.  Αυτός είναι ένας πολύ γνωστός ερευνητής με το όνομα Fabian Bräunlein στη Γερμανία… τον έχουμε παρουσιάσει μερικές φορές στο παρελθόν.

Επέστρεψε με αναλυτικό ρεπορτάζ με τίτλο urlscan.io's SOAR spot: φλύαρα εργαλεία ασφαλείας που διαρρέουν προσωπικά δεδομένα.

Και σε αυτή την περίπτωση είναι urlscan.io, έναν ιστότοπο που μπορείτε να χρησιμοποιήσετε δωρεάν (ή ως υπηρεσία επί πληρωμή), όπου μπορείτε να υποβάλετε μια διεύθυνση URL, ή όνομα τομέα, ή έναν αριθμό IP ή ό,τι άλλο είναι και μπορείτε να αναζητήσετε, «Τι γνωρίζει η κοινότητα γι 'αυτό?"

Και θα αποκαλύψει το πλήρες URL για το οποίο ρώτησαν άλλα άτομα.

Και αυτό δεν είναι μόνο πράγματα που οι άνθρωποι αντιγράφουν και επικολλούν της επιλογής τους.

Μερικές φορές, το email τους, για παράδειγμα, μπορεί να περνά από ένα εργαλείο φιλτραρίσματος τρίτου μέρους που εξάγει διευθύνσεις URL, καλεί στο σπίτι urlscan.io, κάνει την αναζήτηση, λαμβάνει το αποτέλεσμα και το χρησιμοποιεί για να αποφασίσει εάν θα γίνει ανεπιθύμητη, αποκλεισμός ανεπιθύμητης αλληλογραφίας ή διαβίβαση του μηνύματος.

Και αυτό σημαίνει ότι μερικές φορές, εάν η διεύθυνση URL περιελάμβανε μυστικά ή ημι-απόρρητα δεδομένα, στοιχεία προσωπικής ταυτοποίησης, τότε άλλα άτομα που έτυχε να αναζητήσουν το σωστό όνομα τομέα μέσα σε σύντομο χρονικό διάστημα μετά, θα έβλεπαν όλες τις διευθύνσεις URL που αναζητήθηκαν, συμπεριλαμβανομένων πράγματα που μπορεί να υπάρχουν στη διεύθυνση URL.

Ξέρεις, όπως blahblah?username=doug&passwordresetcode= ακολουθούμενη από μια μεγάλη συμβολοσειρά δεκαεξαδικοί χαρακτήρες, και ούτω καθεξής.

Και η Bräunlein βρήκε μια συναρπαστική λίστα με το είδος των διευθύνσεων URL, ιδιαίτερα αυτές που μπορεί να εμφανίζονται σε μηνύματα ηλεκτρονικού ταχυδρομείου, που μπορεί να αποστέλλονται συνήθως σε τρίτους για φιλτράρισμα και στη συνέχεια να ευρετηριάζονται για αναζήτηση.

Το είδος των email που υπολόγισε ότι ήταν σίγουρα εκμεταλλεύσιμα περιλαμβάνονται, αλλά δεν περιορίζονταν σε: συνδέσμους δημιουργίας λογαριασμού. Σύνδεσμοι παράδοσης δώρων Amazon. Κλειδιά API. Αιτήματα υπογραφής DocuSign. μεταφορές αρχείων dropbox. παρακολούθηση πακέτου? επαναφορά κωδικού πρόσβασης? τιμολόγια PayPal. Κοινή χρήση εγγράφων του Google Drive. Προσκλήσεις SharePoint. και συνδέσμους απεγγραφής ενημερωτικών δελτίων.

Δεν δείχνει το δάχτυλο εκεί στο SharePoint, το Google Drive, το PayPal κ.λπ.

Αυτά ήταν απλώς παραδείγματα διευθύνσεων URL που συνάντησε και οι οποίες ήταν δυνητικά εκμεταλλεύσιμες με αυτόν τον τρόπο.

---

ΖΥΜΗ.  Έχουμε μερικές συμβουλές στο τέλος αυτού του άρθρου, οι οποίες συνοψίζονται στα εξής: διαβάστε την έκθεση του Bräunlein. ανάγνωση urlscan.ioανάρτηση ιστολογίου του κάνε μια δική σου αναθεώρηση κώδικα. εάν διαθέτετε κώδικα που κάνει αναζητήσεις ασφάλειας στο διαδίκτυο. μάθετε ποιες δυνατότητες απορρήτου υπάρχουν για τις ηλεκτρονικές υποβολές. και, κυρίως, μάθετε πώς να αναφέρετε αδίστακτα δεδομένα σε μια διαδικτυακή υπηρεσία εάν τα δείτε.

Παρατήρησα ότι υπάρχουν τρία… είδος λιμερικά;

Πολύ δημιουργικά μίνι ποιήματα στο τέλος αυτού του άρθρου…

---

ΠΑΠΙΑ.  [MOCK HORROR] Όχι, δεν είναι λιμέρικες! Τα Limericks έχουν μια πολύ επίσημη δομή πέντε γραμμών…

---

ΖΥΜΗ.  [ΓΕΛΙΑ] Λυπάμαι πολύ. Αυτό είναι αλήθεια!

---

ΠΑΠΙΑ.  …και για μέτρο και για ομοιοκαταληξία.

Πολύ δομημένο, Νταγκ!

---

ΖΥΜΗ.  Λυπάμαι πολύ, τόσο αληθινό. [ΓΕΛΙΑ]

---

ΠΑΠΙΑ.  Αυτό είναι απλά σκυλάκι. [ΓΕΛΙΟ]

Αλλη μια φορά: Εάν έχετε αμφιβολίες/Μην το δώσετε.

Και αν συλλέγετε δεδομένα: Αν δεν πρέπει να είναι μέσα/Κόλλησέ το κατευθείαν στον κάδο.

Και αν γράφετε κώδικα που καλεί δημόσια API που θα μπορούσαν να αποκαλύψουν δεδομένα πελατών: Ποτέ μην κάνετε τους χρήστες σας να κλαίνε/Με τον τρόπο που αποκαλείτε το API.

---

ΖΥΜΗ.  [ΓΕΛΙΑ] Αυτό είναι καινούργιο για μένα και μου αρέσει πολύ!

Και τελευταίο, αλλά σίγουρα όχι λιγότερο σημαντικό στη λίστα μας εδώ, μιλάμε κάθε εβδομάδα για αυτό το σφάλμα ασφαλείας OpenSSL.

Το μεγάλο ερώτημα τώρα είναι, "Πώς μπορείς να λες τι χρειάζεται να διορθωθεί;»

Η ιστορία της ενημέρωσης ασφαλείας του OpenSSL – πώς μπορείτε να καταλάβετε τι χρειάζεται επιδιόρθωση;

---

ΠΑΠΙΑ.  Πράγματι, Doug, πώς ξέρουμε ποια έκδοση του OpenSSL έχουμε;

Και προφανώς, στο Linux, απλά ανοίγετε μια γραμμή εντολών και πληκτρολογείτε openssl version, και σας λέει την έκδοση που έχετε.

Αλλά το OpenSSL είναι μια βιβλιοθήκη προγραμματισμού και δεν υπάρχει κανόνας που να λέει ότι το λογισμικό δεν μπορεί να έχει τη δική του έκδοση.

Η διανομή σας μπορεί να χρησιμοποιεί το OpenSSL 3.0, αλλά υπάρχει μια εφαρμογή που λέει, "Ω, όχι, δεν έχουμε αναβαθμίσει στη νέα έκδοση. Προτιμούμε το OpenSSL 1.1.1, γιατί αυτό εξακολουθεί να υποστηρίζεται και σε περίπτωση που δεν το έχετε, φέρνουμε τη δική μας έκδοση."

Και έτσι, δυστυχώς, ακριβώς όπως σε εκείνη τη διαβόητη υπόθεση Log4Shell, έπρεπε να ψάξετε για τα τρία; 12; 154; ποιος ξέρει πόσα μέρη στο δίκτυό σας όπου μπορεί να έχετε ένα ξεπερασμένο πρόγραμμα Log4J.

Το ίδιο και για το OpenSSL.

Θεωρητικά, τα εργαλεία XDR ή EDR μπορεί να είναι σε θέση να σας το πουν, αλλά μερικά δεν θα το υποστηρίξουν και πολλοί θα το αποθαρρύνουν: στην πραγματικότητα εκτελείτε το πρόγραμμα για να μάθετε ποια έκδοση είναι.

Γιατί, τελικά, αν είναι το buggy ή το λάθος, και πρέπει να εκτελέσετε το πρόγραμμα για να το κάνετε να αναφέρει τη δική του έκδοση…

…είναι σαν να βάζεις το κάρο μπροστά από το άλογο, έτσι δεν είναι;

Δημοσιεύσαμε λοιπόν ένα άρθρο για εκείνες τις ειδικές περιπτώσεις όπου θέλετε πραγματικά να φορτώσετε το DLL ή την κοινόχρηστη βιβλιοθήκη και πραγματικά θέλετε να καλέσετε τη δική της TellMeThyVersion() κώδικα λογισμικού.

Με άλλα λόγια, εμπιστεύεστε το πρόγραμμα αρκετά ώστε να φορτώσετε στη μνήμη, να το εκτελέσετε και να εκτελέσετε κάποιο στοιχείο του.

Σας δείχνουμε πώς να το κάνετε αυτό, ώστε να μπορείτε να είστε απολύτως σίγουροι ότι τυχόν απομακρυσμένα αρχεία OpenSSL που έχετε στο δίκτυό σας είναι ενημερωμένα.

Επειδή, αν και αυτό υποβαθμίστηκε από ΚΡΙΣΙΜΟ σε ΥΨΗΛΟ, εξακολουθεί να είναι ένα σφάλμα που πρέπει και θέλετε να διορθώσετε!

---

ΖΥΜΗ.  Σχετικά με το θέμα της σοβαρότητας αυτού του σφάλματος, πήραμε ένα ενδιαφέρουσα ερώτηση από τον αναγνώστη του Naked Security Svet, ο οποίος γράφει, εν μέρει:

Πώς γίνεται ένα σφάλμα που είναι εξαιρετικά περίπλοκο για εκμετάλλευση και μπορεί να χρησιμοποιηθεί μόνο για επιθέσεις άρνησης υπηρεσίας, να συνεχίζει να ταξινομείται ως ΥΨΗΛΟ;

---

ΠΑΠΙΑ.  Ναι, νομίζω ότι είπε κάτι σχετικά με το "Ω, δεν έχει ακούσει η ομάδα του OpenSL για το CVSS;", το οποίο είναι ένα πρότυπο της κυβέρνησης των ΗΠΑ, αν θέλετε, για την κωδικοποίηση του επιπέδου κινδύνου και πολυπλοκότητας των σφαλμάτων με τρόπο που μπορεί να φιλτράρεται αυτόματα από σενάρια.

Έτσι, αν έχει χαμηλό σκορ CVSS (που είναι το Κοινό Σύστημα Βαθμολόγησης Ευπάθειας), γιατί οι άνθρωποι ενθουσιάζονται με αυτό;

Γιατί να είναι ΥΨΗΛΟ;

Και έτσι η απάντησή μου ήταν, "Γιατί *δεν* να είναι ΥΨΗΛΟ;"

Είναι ένα σφάλμα σε μια μηχανή κρυπτογράφησης. θα μπορούσε να καταρρεύσει ένα πρόγραμμα, ας πούμε, που προσπαθεί να λάβει μια ενημέρωση… έτσι θα διακοπεί ξανά και ξανά και ξανά, κάτι που είναι λίγο περισσότερο από μια απλή άρνηση υπηρεσίας, επειδή στην πραγματικότητα σας εμποδίζει να κάνετε σωστά την ασφάλειά σας.

Υπάρχει ένα στοιχείο παράκαμψης ασφαλείας.

Και νομίζω ότι το άλλο μέρος της απάντησης είναι, όταν πρόκειται για τρωτά σημεία που μετατρέπονται σε κατορθώματα: "Ποτέ μην λες ποτέ!"

Όταν έχετε κάτι σαν υπερχείλιση buffer στοίβας, όπου μπορείτε να χειριστείτε άλλες μεταβλητές στη στοίβα, συμπεριλαμβανομένων πιθανώς διευθύνσεων μνήμης, υπάρχει πάντα η πιθανότητα κάποιος να βρει μια εφαρμόσιμη εκμετάλλευση.

Και το πρόβλημα, Νταγκ, είναι ότι μόλις το καταλάβουν, δεν έχει σημασία πόσο περίπλοκο ήταν να το καταλάβουν…

…αφού μάθετε πώς να το εκμεταλλευτείτε, *ο καθένας* μπορεί να το κάνει, γιατί μπορείτε να του πουλήσετε τον κώδικα για να το κάνει.

Νομίζω ότι ξέρετε τι θα πω: «Όχι ότι το νιώθω έντονα».

[ΓΕΛΙΟ]

Είναι, για άλλη μια φορά, ένα από αυτά τα πράγματα «καταραμένα αν το κάνουν, καταραμένο αν δεν το κάνουν».

---

ΖΥΜΗ.  Πολύ καλό, ευχαριστώ πολύ, Svet, που έγραψες αυτό το σχόλιο και το έστειλες.

Εάν έχετε μια ενδιαφέρουσα ιστορία, σχόλιο ή ερώτηση που θέλετε να υποβάλετε, θα θέλαμε να τη διαβάσουμε στο podcast.

Μπορείτε να στείλετε email στο tips@sophos.com, να σχολιάσετε οποιοδήποτε από τα άρθρα μας ή να μας ενημερώσετε στα social: @nakedsecurity.

Αυτή είναι η εκπομπή μας για σήμερα. ευχαριστώ πολύ για την ακρόαση.

Για τον Paul Ducklin, είμαι ο Doug Aamoth, σας υπενθυμίζω μέχρι την επόμενη φορά να…

---

ΚΑΙ ΤΑ ΔΥΟ.  Μείνετε ασφαλείς!