Kuuntele nyt
Doug Aamothin ja Paul Ducklinin kanssa.
Intro ja outro musiikki Edith Mudge.
Napsauta ja vedä alla olevia ääniaaltoja hypätäksesi mihin tahansa kohtaan. Voit myös kuuntele suoraan Soundcloudissa.
Voit kuunnella meitä Soundcloud, Apple Podcastit, Google Podcastit, Spotify, nitoja ja kaikkialla, missä hyviä podcasteja löytyy. Tai pudota vain RSS-syötteemme URL-osoite suosikki podcatcheriisi.
LUE OTTARKASTUS
DOUG. Deadbolt – se on palannut!
Laastaria yllin kyllin!
Ja aikavyöhykkeet… kyllä, aikavyöhykkeet.
Kaikki tämä ja paljon muuta Naked Security -podcastissa.
[MUSIIKKIMODEEMI]
Tervetuloa podcastiin kaikki.
Olen Doug Aamoth.
Minun kanssani, kuten aina, on Paul Ducklin.
Paul, erittäin onnellinen 100. jakso sinulle, ystäväni!
ANKKA. Vau, Doug!
Tiedätkö, kun aloitin hakemistorakenteeni Series 3:lle, käytin sitä rohkeasti -001 ensimmäiselle jaksolle.
DOUG. Minä en. [NAurua]
ANKKA. Ei -1 or -01.
DOUG. Fiksu…
ANKKA. Minulla oli suuri usko!
Ja kun tallennan tämän päivän tiedoston, aion iloita siitä.
DOUG. Kyllä, ja pelkään sitä, koska se nousee huipulle.
No, joudun käsittelemään sitä myöhemmin…
ANKKA. [NAURA] Voisit nimetä kaikki muut asiat uudelleen.
DOUG. Tiedän tiedän.
[MUTISEEN] En odota sitä innolla… keskiviikkoni menee.
Joka tapauksessa aloitetaan esitys teknisellä historialla.
Tällä viikolla, 12. syyskuuta 1959, Kuu 2, Joka tunnetaan myös Toinen Neuvostoliiton kosminen raketti, tuli ensimmäinen avaruusalus, joka saavutti Kuun pinnan, ja ensimmäinen ihmisen valmistama esine, joka otti yhteyttä toiseen taivaankappaleeseen.
Todella siistiä.
ANKKA. Mikä se pitkä nimi oli?
"Toinen Neuvostoliiton kosminen raketti"?
DOUG. Kyllä.
ANKKA. Luna kaksi on paljon parempi.
DOUG. Kyllä, paljon parempi!
ANKKA. Ilmeisesti, kuten voit kuvitella, ottaen huomioon, että se oli avaruuskilpailujen aikakautta, oli jonkin verran huolta: "Mistä tiedämme, että he ovat todella tehneet sen? He voisivat vain sanoa laskeutuneensa Kuuhun, ja ehkä he keksivät sen.
Ilmeisesti he kehittivät protokollan, joka mahdollistaisi riippumattoman havainnoinnin.
He ennustivat ajan, jolloin se saapuisi Kuuhun, törmääsi Kuuhun, ja he lähettivät tarkan odotuksensa ajan tähtitieteilijälle Yhdistyneessä kuningaskunnassa.
Ja hän tarkkaili itsenäisesti nähdäkseen, tapahtuiko se, mitä he sanoivat, *tapahtuiko* tuolloin.
Joten he jopa miettivät: "Kuinka voit vahvistaa jotain tällaista?"
DOUG. No, monimutkaisista asioista, meillä on korjaustiedostoja Microsoftilta ja Applelta.
Joten mikä tässä on huomionarvoista tällä viimeisellä kierroksella?
ANKKA. Meillä on varmasti – tämä on tiistai tällä viikolla, kuukauden toinen tiistai.
Patch Tuesdayssa on kaksi haavoittuvuutta, jotka olivat minulle huomionarvoisia.
Yksi on huomionarvoinen, koska se on ilmeisesti luonnossa – toisin sanoen se oli nollapäivä.
Ja vaikka se ei ole koodin etäsuoritus, se on hieman huolestuttavaa, koska se on [KYSKEE PAROKEELLISESTI] lokitiedoston haavoittuvuus, Doug!
Se ei ole aivan kuin huono kuin Log4J, jossa voit paitsi saada puunkorjujan käyttäytymään huonosti, voit myös saada sen suorita mielivaltainen koodi sinulle.
Mutta näyttää siltä, että jos lähetät jonkinlaisia virheellisiä tietoja Windowsin yhteisen lokitiedostojärjestelmän ohjaimeen, CLFS:ään, voit huijata järjestelmän ylentämään sinua järjestelmäoikeuksiin.
Aina huono, jos olet päässyt sisään vieraskäyttäjänä ja pystyt sitten muuttamaan itsestäsi järjestelmänvalvojan…
DOUG. [NAurua] Kyllä!
ANKKA. Tämä on CVE-2022-37969.
Ja toinen, jonka pidin mielenkiintoisena…
…onneksi ei luonnossa, mutta tämä on se, joka sinun on todella korjattava, koska lyön vetoa, että se on se, jonka kyberrikolliset keskittyvät käänteiseen suunnitteluun:
"Windowsin TCP/IP-koodin etäsuorittamisen haavoittuvuus", CVE-2022-34718.
Jos muistat Koodi Punainenja SQL Slammer, ja ne menneisyyden tuhma madot, joissa he saapuivat juuri verkkopaketissa ja juuttivat tiensä järjestelmään….
Tämä on vielä alempi taso.
Ilmeisesti vika on tiettyjen IPv6-pakettien käsittelyssä.
Joten kaikki, missä IPv6 kuuntelee, mikä on melkein mikä tahansa Windows-tietokone, voi olla vaarassa tästä.
Kuten sanoin, se ei ole luonnossa, joten roistot eivät ole vielä löytäneet sitä, mutta en epäile, että he ottavat korjaustiedoston ja yrittävät selvittää, voivatko he kääntää siitä hyväksikäytön. tavoittaa ihmiset, jotka eivät ole vielä korjanneet.
Sillä jos jokin sanoo: "Vau! Entä jos joku kirjoittaisi madon, joka käytti tätä?”… se on se, josta olisin huolissani.
DOUG. OK.
Ja sitten Applelle…
ANKKA. Olemme äskettäin kirjoittaneet kaksi tarinaa Applen korjauspäivityksistä, joissa yhtäkkiä iPhonelle ja iPadille ja Macille löytyi korjaustiedostoja vastaan. kaksi luonnonvaraista nollapäivää.
Yksi oli selainvirhe tai selaamiseen liittyvä bugi, jotta voit vaeltaa viattoman näköiselle verkkosivustolle ja haittaohjelmat voivat laskeutua tietokoneellesi, ja toinen, joka antoi sinulle ydintason hallinnan…
…joka, kuten sanoin viime podcastissa, haisee minulle vakoiluohjelmilta – jostain vakoiluohjelmien myyjä tai todella vakava "valvontaverkkorikollinen" olisi kiinnostunut.
Sitten tuli toinen päivitys, yllätykseksemme, iOS 12: lle, jonka luulimme olleen kauan hylätty.
Siellä yksi noista bugeista (selaimeen liittyvä, joka salli roistot murtautua sisään) sai korjaustiedoston.
Ja sitten, juuri kun odotin iOS 16:ta, kaikki nämä sähköpostit alkoivat yhtäkkiä laskeutua postilaatikkooni – heti kun tarkistin: "Onko iOS 16 jo poistunut? Voinko päivittää siihen?"
Se ei ollut siellä, mutta sitten sain kaikki nämä sähköpostit, joissa sanottiin: "Olemme juuri päivittäneet iOS 15:n ja macOS Montereyn, Big Surin ja iPadOS 15:n"…
… ja kävi ilmi, että päivityksiä oli kokonainen joukko, sekä upouusi ytimen nollapäivä tälläkin kertaa.
Ja kiehtovaa on se, että kun sain ilmoitukset, ajattelin: "No, anna minun tarkistaa vielä..."
(Joten voit muistaa, se on Asetukset > general > ohjelmistopäivitys iPhonessa tai iPadissa.)
Katso ja katso, minulle tarjottiin päivitystä iOS 15:een, joka minulla jo oli, *tai* voisin hypätä iOS 16:een asti.
Ja iOS 16:ssa oli myös tämä nollapäiväkorjaus (vaikka iOS 16 ei teoriassa ollut vielä julkaistu), joten luulisin, että vika oli myös beta-versiossa.
Sitä ei mainittu virallisesti nollapäiväksi Applen tiedotteessa iOS 16:lle, mutta emme voi kertoa, johtuuko tämä siitä, että Apple-saha ei toiminut kunnolla iOS 16:ssa vai eikö sitä pidetä nollapäivänä. päivä, koska iOS 16 oli vasta tulossa.
DOUG. Kyllä, aioin sanoa: kenelläkään ei ole sitä vielä. [NAURU]
ANKKA. Se oli Applen suuri uutinen.
Ja tärkeintä on, että kun menet puhelimeesi ja sanot: "Oh, iOS 16 on saatavilla"… jos et ole vielä kiinnostunut iOS 16:sta, sinun on silti varmistettava, että sinulla on iOS 15. päivitys ytimen nollapäivän takia.
Ytimen nollapäivät ovat aina ongelma, koska se tarkoittaa, että joku siellä tietää kuinka ohittaa iPhonesi paljon kehutut suojausasetukset.
Virhe koskee myös macOS Montereyta ja macOS Big Suria – se on edellinen versio, macOS 11.
Itse asiassa, Big Surissa on itse asiassa *kaksi* ytimen nollapäivän vikaa luonnossa.
Ei uutisia iOS 12:sta, jota odotin, eikä mitään toistaiseksi macOS Catalinalle.
Catalina on macOS 10, aikaisempi versio, ja jälleen kerran, emme tiedä, tuleeko päivitys myöhemmin vai onko se pudonnut maailman reunalta, eikä se saa päivityksiä joka tapauksessa.
Valitettavasti Apple ei kerro, joten emme tiedä.
Nyt useimmilla Applen käyttäjillä on automaattiset päivitykset päällä, mutta kuten aina sanomme, mene ja tarkista (onko sinulla Mac tai iPhone vai iPad), koska pahinta on vain olettaa, että automaattinen päivitykset toimivat ja pitivät sinut turvassa…
…kun itse asiassa jotain meni pieleen.
DOUG. OK, erittäin hyvä.
Nyt jotain, mitä olen odottanut eteenpäin, on seuraava: "Mitä tekemistä aikavyöhykkeillä on IT-turvallisuuden kanssa?"
ANKKA. No, aika paljon, se osoittautuu, Doug.
DOUG. [NAURA] Kyllä, herra!
ANKKA. Aikavyöhykkeet ovat konseptiltaan hyvin yksinkertaisia.
Niillä on erittäin kätevää ohjata elämäämme niin, että kellomme vastaavat suurin piirtein taivaalla tapahtuvaa – joten yöllä on pimeää ja päivällä valoisaa. (Jätetään huomioimatta kesäaika ja oletetaan vain, että meillä on vain tunnin aikavyöhykkeitä kaikkialla maailmassa, jotta kaikki on todella yksinkertaista.)
Ongelma syntyy, kun pidät järjestelmälokeja organisaatiossa, jossa osa palvelimistasi, osa käyttäjistäsi, osa verkkoasi, osa asiakkaistasi on muualla maailmassa.
Kun kirjoitat lokitiedostoon, kirjoitatko ajan aikavyöhykkeen mukaan?
Kun kirjoitat lokia, Doug, vähennätkö 5 tuntia (tai 4 tuntia tällä hetkellä), jotka tarvitset, koska olet Bostonissa, kun taas lisään tunnin, koska olen Lontoon aikaa, mutta nyt on kesä ?
Kirjoitanko sen lokiin, jotta se on *minulle* järkevää, kun luen lokin takaisin?
Vai kirjoitanko kanonisemman, yksiselitteisemmän ajan käyttämällä samaa aikavyöhykettä *kaikille*, joten kun vertaan lokeja, jotka tulevat eri tietokoneista, eri käyttäjistä tai verkon eri osista, voin itse asiassa järjestellä tapahtumia?
On todella tärkeää, että tapahtumat järjestyvät, Doug, varsinkin jos teet uhkia kyberhyökkäyksessä.
Sinun täytyy todella tietää, mikä tuli ensin.
Ja jos sanot: "Voi, se tapahtui vasta klo 3", se ei auta minua, jos olen Sydneyssä, koska kello 3 tapahtui eilen verrattuna sinun kello kolmeen illalla.
Niin minä Kirjoitti artikkelin Naked Securityssa joistakin tavoista, joilla voit käsitellä tätä ongelmaa kun kirjaat tietoja.
Henkilökohtainen suositukseni on käyttää yksinkertaistettua aikaleimamuotoa nimeltä RFC 3339, johon kirjoitat nelinumeroisen vuoden, viiva [yhdysviiva, ASCII 0x2D], kaksinumeroinen kuukausi, viiva, kaksinumeroinen päivä ja niin edelleen, jotta aikaleimasi todella lajittelevat aakkosjärjestyksessä kauniisti.
Ja että tallennat kaikki aikavyöhykkeesi tme-vyöhykkeeksi, joka tunnetaan nimellä Z (zed tai zee), lyhenne sanoista Zulun aika.
Tämä tarkoittaa periaatteessa UTC-aikaa tai koordinoitua maailmanaikaa.
Se on melkein, mutta ei aivan Greenwichin aikaa, ja se on aika, jolle lähes jokaisen tietokoneen tai puhelimen kello on nykyään asetettu sisäisesti.
Älä yritä kompensoida aikavyöhykkeitä, kun kirjoitat lokiin, koska silloin jonkun on vähennettävä kompensaatiota, kun he yrittävät kohdistaa lokiasi kaikkien muiden kanssa – ja kupin ja huulen välillä on monia lipsahduksia, Doug.
Keep it simple.
Käytä kanonista, yksinkertaista tekstimuotoa, joka rajaa päivämäärän ja kellonajan tarkalleen sekuntiin saakka – tai nykyään aikaleimat voivat halutessasi laskea jopa nanosekuntiin.
Ja päästä eroon aikavyöhykkeistä lokeistasi; päästä eroon kesäajasta lokeistasi; ja nauhoita vain kaikki mielestäni koordinoidussa maailmanajassa…
… hämmentävästi lyhennetty UTC, koska nimi on englanniksi, mutta lyhenne on ranskaksi – jotenkin ironiaa.
DOUG. Kyllä.
ANKKA.
Minua houkuttelee sanomaan: "Ei sillä, että minä taas kokenisin sitä vahvasti", kuten yleensä, nauraen...
…mutta on todella tärkeää saada asiat oikeaan järjestykseen, varsinkin kun yrität jäljittää verkkorikollisia.
DOUG. Hyvä on, hyvä neuvo.
Ja jos pidämme kiinni kyberrikollisista, olet kuullut Manipulator-in-the-Middle-hyökkäyksistä; olet kuullut Manipulator-in-the-Browser-hyökkäyksistä…
.. valmistaudu nyt selaimen selaimen hyökkäyksiin.
ANKKA. Kyllä, tämä on uusi termi, jonka näemme.
Halusin kirjoittaa tämän ylös, koska Group-IB-nimisen uhkien tiedusteluyrityksen tutkijat kirjoittivat äskettäin artikkelin tästä, ja tiedotusvälineet alkoivat puhua "Hei, selaimen hyökkäykset, pelkää hyvin" tai mitä tahansa. …
Ajattelet: "No, ihmettelen kuinka monet ihmiset todella tietävät, mitä selain-in-the-Browser-hyökkäys tarkoittaa?"
Ja ärsyttävä asia näissä hyökkäyksissä, Doug, on, että teknisesti ne ovat hirveän yksinkertaisia.
Se on niin yksinkertainen idea.
DOUG. Ne ovat melkein taiteellisia.
ANKKA. Kyllä!
Se ei todellakaan ole tiedettä ja teknologiaa, se on taidetta ja muotoilua, eikö niin?
Pohjimmiltaan, jos olet koskaan tehnyt JavaScript-ohjelmointia (hyvää tai pahaa varten), tiedät, että yksi web-sivulle kiinnittämiesi tavaroiden ominaisuuksista on se, että se on tarkoitettu rajoittumaan kyseiselle verkkosivulle.
Joten jos avaat upouuden ikkunan, voit odottaa sen saavan aivan uuden selainkontekstin.
Ja jos se lataa sivunsa aivan uudesta sivustosta, esimerkiksi tietojenkalastelusivustosta, sillä ei ole pääsyä kaikkiin JavaScript-muuttujiin, kontekstiin, evästeisiin ja kaikkeen, mitä pääikkunassa oli.
Joten jos avaat erillisen ikkunan, rajoitat hakkerointikykyäsi, jos olet huijari.
Mutta jos avaat jotain nykyisessä ikkunassa, olet merkittävästi rajoitettu sen suhteen, kuinka jännittävältä ja "järjestelmämäiseltä" voit saada sen näyttämään, eikö niin?
Koska et voi ylikirjoittaa osoitepalkkia… se on suunniteltu.
Et voi kirjoittaa mitään selainikkunan ulkopuolelle, joten et voi salakavalasti laittaa taustakuvalta näyttävää ikkunaa työpöydälle, aivan kuin se olisi ollut siellä koko ajan.
Toisin sanoen sinut ohjataan selainikkunaan, josta aloitit.
Joten selain-selaimessa -hyökkäyksen idea on, että aloitat tavallisesta verkkosivustosta ja luot sitten jo olemassa olevaan selainikkunaan verkkosivun, joka näyttää täsmälleen käyttöjärjestelmän selainikkunalta. .
Periaatteessa näytät jollekulle *kuvan* todellisesta asiasta ja vakuutat hänet, että *on* aito asia.
Se on sydämeltään niin yksinkertaista, Doug!
Mutta ongelmana on, että pienellä huolellisella työllä, varsinkin jos sinulla on hyvät CSS-taidot, voit *voi* saada jonkin olemassa olevan selainikkunan sisällä olevan selainikkunan näyttämään omalta selainikkunaltaan.
Ja hieman JavaScriptiä käyttämällä voit jopa tehdä sen niin, että se voi muuttaa kokoa ja liikkua näytöllä, ja voit täyttää sen HTML-koodilla, jonka haet kolmannen osapuolen verkkosivustolta.
Nyt saatat ihmetellä… jos roistot kuolevat oikein, kuinka ihmeessä voit koskaan kertoa?
Ja hyvä uutinen on, että voit tehdä aivan yksinkertaisen asian.
Jos näet käyttöjärjestelmän ikkunan näyttävän ikkunan ja epäilet sitä jollakin tavalla (se näyttäisi lähinnä ponnahtavan selainikkunan päälle, koska sen on oltava sen sisällä)…
…kokeile siirtää se *pois oikeasta selainikkunasta*, ja jos se on "vangittu" selaimen sisällä, tiedät ettei se ole totta!
Mielenkiintoinen asia Group-IB:n tutkijoiden raportissa on, että kun he törmäsivät tähän, roistot käyttivät sitä itse asiassa Steam-pelien pelaajia vastaan.
Ja tietysti se haluaa sinun kirjautuvan Steam-tilillesi…
…ja jos ensimmäinen sivu huijaisi sinut, se seuraisi jopa Steamin kaksivaiheista todennusta.
Ja temppu oli, että jos nuo todella *olisi* erillisiä ikkunoita, olisit voinut vetää ne pääselainikkunan toiselle puolelle, mutta ne eivät olleet.
Tässä tapauksessa kokit eivät onneksi olleet tehneet CSS:ään kovin hyvin.
Heidän taideteoksensa oli surkeaa.
Mutta kuten sinä ja minä olemme puhuneet monta kertaa podcastissa, Doug, joskus on roistoja, jotka yrittävät saada asiat näyttämään pikselitäydelliseltä.
CSS:n avulla voit kirjaimellisesti sijoittaa yksittäisiä pikseleitä, eikö niin?
DOUG. CSS on mielenkiintoinen.
Se on CSS…kieli, jota käytät HTML-dokumenttien tyylistämiseen, ja se on todella helppo oppia ja sitä on vielä vaikeampi hallita.
ANKKA. [NAURA] Kuulostaa SITTÄ, ehdottomasti.
DOUG. [NAURA] Kyllä, se on kuten monet asiat!
Mutta se on yksi ensimmäisistä asioista, jotka opit, kun opit HTML:n.
Jos ajattelet "Haluan tehdä tästä verkkosivusta paremman", opit CSS:n.
Joten katsomalla joitain esimerkkejä lähdedokumentista, johon linkitit artikkelista, voit huomata, että on todella vaikeaa tehdä todella hyvää väärennöstä, ellet ole todella hyvä CSS:ssä.
Mutta jos teet sen oikein, on todella vaikeaa saada selville, että se on väärennetty asiakirja…
…ellet tee kuten sanot: yritä vetää se ulos ikkunasta ja siirtää sitä työpöydälläsi, sellaisia juttuja.
Se johtaa toiseen kohtaan tässä: tutki epäilyttäviä ikkunoita huolellisesti.
Monet heistä eivät todennäköisesti läpäise näöntestiä, mutta jos läpäisevät, sitä on todella vaikea havaita.
Mikä johtaa meidät kolmanteen asiaan…
"Jos olet epävarma / älä kerro sitä."
Jos se ei vain näytä oikealta, etkä voi lopullisesti sanoa, että jotain outoa on tekeillä, seuraa vain riimiä!
ANKKA. Ja kannattaa epäillä tuntemattomia verkkosivustoja, verkkosivustoja, joita et ole aiemmin käyttänyt ja jotka yhtäkkiä sanovat: "Ok, pyydämme sinua kirjautumaan sisään Google-tililläsi Google-ikkunassa tai Facebookilla Facebook-ikkunassa. ”
Tai Steam Steam-ikkunassa.
DOUG. Kyllä.
Inhoan käyttää B-sanaa tässä, mutta tämä on melkein loistava yksinkertaisuudessaan.
Mutta jälleen kerran, tulee olemaan todella vaikeaa löytää täydellinen pikselivastaavuus käyttämällä CSS:ää ja muuta sellaista.
ANKKA. Mielestäni on tärkeää muistaa, että koska osa simulaatiosta on selaimen "kromi" [salasana selaimen käyttöliittymäkomponenteille], osoitepalkki näyttää oikealta.
Se voi jopa näyttää täydelliseltä.
Mutta asia on, se ei ole osoitepalkki…
…se on *kuva* osoitepalkista.
DOUG. Täsmälleen!
Hyvä on, varokaa siellä, kaikki!
Ja puhuessani asioista, jotka eivät ole sitä, miltä ne näyttävät, luen DEADBOLT lunnasohjelmista ja QNAP NAS -laitteista, ja minusta tuntuu, että keskustelimme juuri tästä tarkasta tarinasta vähän aikaa sitten.
ANKKA. Kyllä, olemme kirjoitettu tästä useita kertoja Naked Securityssa tänä vuonna tähän mennessä, valitettavasti.
Se on yksi niistä tapauksista, joissa se, mikä kerran toimi roistoille, osoittautuu toimineen kahdesti, kolmesti, neljästi, viisi kertaa.
Ja NAS tai Verkkotallennusjärjestelmä laitteet ovat, jos haluat, black-box-palvelimia, joita voit ostaa - ne käyttävät yleensä jonkinlaista Linux-ydintä.
Ajatuksena on, että sen sijaan, että joutuisit ostamaan Windows-lisenssin tai opettelemaan Linuxia, asenna Samba, määritä se ja opi jakamaan tiedostoja verkossasi…
…liität vain tämän laitteen ja "Bingo", se alkaa toimia.
Se on web-käyttöinen tiedostopalvelin, ja valitettavasti jos tiedostopalvelimessa on haavoittuvuus ja olet (vahingossa tai tarkoituksella) tehnyt sen saataville Internetin kautta, roistot saattavat pystyä hyödyntämään tätä haavoittuvuutta, jos sellainen on olemassa. tuo NAS-laite kaukaa.
He saattavat pystyä salaamaan kaikki verkkosi avaintallennuspaikassa olevat tiedostot, olipa kyseessä kotiverkko tai pienyritysverkko, ja periaatteessa pidätellä sinut lunnaista ilman, että sinun tarvitsee koskaan huolehtia yksittäisten muiden laitteiden, kuten kannettavien tietokoneiden ja puhelimien, hyökkäämisestä. verkkoon.
Heidän ei siis tarvitse pelleillä kannettavaasi saastuttavien haittaohjelmien kanssa, eikä heidän tarvitse murtautua verkkoosi ja vaeltaa ympäriinsä kuten perinteisten kiristysohjelmarikollisten.
Ne pohjimmiltaan sekoittavat kaikki tiedostosi ja sitten – lunnaita varten – ne vain muuttuvat (minun ei pitäisi nauraa, Doug)… he vain muuttavat NAS-laitteesi kirjautumissivua.
Joten kun huomaat, että kaikki tiedostosi ovat sekaisin ja ajattelet: "Se on hauskaa", ja hyppäät sisään verkkoselaimella ja muodostat yhteyden sinne, et saa salasanakehotetta!
Saat varoituksen: "DEADBOLT on lukinnut tiedostosi. Mitä tapahtui? Kaikki tiedostosi on salattu."
Ja sitten tulee ohjeet kuinka maksaa.
DOUG. Ja he ovat myös ystävällisesti tarjonneet, että QNAP voisi laittaa ruhtinaallisen summan avatakseen tiedostot kaikille.
ANKKA. Kuvakaappaukset, jotka minulla on viimeisin artikkeli nakedsecurity.sophos.com -ohjelmassa:
1. Yksittäiset salauksenpurkut 0.03 bitcoinilla, alun perin noin US$1200, kun tämä asia ensimmäisen kerran yleistyi, nyt noin US$600.
2. BTC 5.00 -vaihtoehto, jossa QNAP:lle kerrotaan haavoittuvuudesta, jotta he voivat korjata sen, mitä he eivät selvästikään aio maksaa, koska he tietävät jo haavoittuvuudesta. (Siksi tässä nimenomaisessa tapauksessa on korjaustiedosto.)
3. Kuten sanot, on olemassa BTC 50 -vaihtoehto (se on 1 miljoona dollaria nyt; se oli 2 miljoonaa dollaria, kun tämä ensimmäinen tarina puhkesi ensimmäisen kerran). Ilmeisesti jos QNAP maksaa 1,000,000 XNUMX XNUMX dollaria kenen tahansa saaneen tartunnan saaneen puolesta, roistot antavat salauksen pääavaimen, jos et välitä.
Ja jos katsot heidän JavaScriptiä, se itse asiassa tarkistaa, vastaako antamasi salasana jotakin *kahdesta* tiivisteestä.
Yksi on ainutlaatuinen tartunnallesi – roistot muokkaavat sitä joka kerta, joten JavaScriptissä on hash, eikä se luovuta salasanaa.
Ja on toinen hash, joka, jos voit murtaa sen, näyttää siltä, että se palauttaisi pääsalasanan kaikille maailmassa...
… Luulen, että se oli vain roistot, jotka peukuttivat nenänsä kaikille.
DOUG. On myös mielenkiintoista, että 600 dollarin bitcoin-lunnas jokaista käyttäjää kohden on… En halua sanoa "ei törkeää", mutta jos katsot tämän artikkelin kommenttiosiossa, monet ihmiset eivät puhu pelkästään siitä, että he ovat maksaneet lunnaat…
…mutta siirrytään eteenpäin lukijakysymykseemme täällä.
Lukija Michael jakaa kokemuksensa tästä hyökkäyksestä, eikä hän ole yksin – tässä kommenttiosiossa on muita ihmisiä, jotka raportoivat samankaltaisista asioista.
Muutaman kommentin jälkeen hän sanoo (Aion tehdä tästä eräänlaisen rehellisen kommentin):
”Olen käynyt tämän läpi ja selvisin lunnaiden maksamisen jälkeen. Tietyn palautuskoodin löytäminen salauksenpurkuavaimellani oli vaikein osa. Oppi arvokkaimman läksyn."
Seuraavassa kommentissaan hän käy läpi kaikki vaiheet, jotka hänen piti tehdä saadakseen asiat taas toimimaan.
Ja hän laskeutuu selästä:
”Minua hävettää sanoa, että työskentelen IT-alalla, olen työskennellyt yli 20 vuotta, ja tämä QNAP uPNP -vika on purrunut minua. Kiva, että pääsin sen läpi."
ANKKA. Vau, kyllä, se on melkoinen lausunto, eikö?
Melkein kuin hän sanoisi: "Olisin tukeutunut näitä roistoja vastaan, mutta hävisin vedon ja se maksoi minulle 600 dollaria ja paljon aikaa."
Aaargh!
DOUG. Mitä hän tarkoittaa "erityinen palautuskoodi kuvausavaimensa kanssa"?
ANKKA. Ah, kyllä, se on erittäin mielenkiintoinen… erittäin kiehtova. (Yritän olla sanomatta, että hämmästyttävä-slash-loistava.) [NAurua]
En halua käyttää C-sanaa ja sanoa sen olevan "fiksu", mutta sellaista se on.
Miten otat yhteyttä näihin roistoihin? Tarvitsevatko he sähköpostiosoitteen? Voisiko sitä jäljittää? Tarvitsevatko he darkweb-sivuston?
Nämä roistot eivät.
Koska muista, että on yksi laite, ja haittaohjelmat räätälöidään ja pakataan, kun ne hyökkäävät kyseiseen laitteeseen siten, että siinä on ainutlaatuinen Bitcoin-osoite.
Ja periaatteessa kommunikoit näiden roistojen kanssa maksamalla tietyn määrän bitcoineja heidän lompakkoonsa.
Luulen, että siksi he ovat pitäneet summan suhteellisen vaatimattomana…
…En halua väittää, että kaikilla olisi 600 dollaria heitettäviksi lunnaiksi, mutta se ei tarkoita, että neuvottelet etukäteen päättääksesi, maksatko 100,000 80,000 vai 42,000 XNUMX vai XNUMX XNUMX dollaria.
Maksat heille summan… ei neuvotteluja, ei chattia, ei sähköpostia, ei pikaviestejä, ei tukifoorumia.
Lähetät vain rahat määritettyyn bitcoin-osoitteeseen, ja heillä on ilmeisesti luettelo valvomistaan bitcoin-osoitteista.
Kun rahat saapuvat ja he näkevät sen saapuneen, he tietävät, että sinä (ja sinä yksin) maksoit, koska lompakon koodi on ainutlaatuinen.
Ja sitten he tekevät sen, mikä on todellisuudessa (käyttäen maailman suurimpia ilma-lainauksia) "palautuksen" lohkoketjussa käyttämällä bitcoin-tapahtumaa Dougin summalla, joka on nolla dollaria.
Ja tuo vastaus, tuo kauppa, sisältää itse asiassa kommentin. (Muista Poly Networksin hakkerointi? He käyttivät Ethereumin lohkoketjun kommentteja yrittääkseen sanoa: "Rakas, herra White Hat, etkö anna meille kaikkia rahoja takaisin?")
Joten maksat roistoille ja annat viestin, että haluat olla tekemisissä heidän kanssaan, ja he maksavat sinulle takaisin 0 dollaria plus 32 heksadesimaalimerkin kommentin…
…joka on 16 raakaa binaaritavua, mikä on tarvitsemasi 128-bittinen salauksenpurkuavain.
Näin puhut heille.
Ja ilmeisesti heillä on tämä T-kirjaimeen - kuten Michael sanoi, huijaus toimii.
Ja Michaelin ainoa ongelma oli se, että hän ei ollut tottunut ostamaan bitcoineja tai työskentelemään lohkoketjutietojen kanssa ja purkamaan tuon palautuskoodin, joka on pohjimmiltaan kommentti tapahtuman "maksussa", jonka hän saa takaisin 0 dollarilla.
Joten he käyttävät tekniikkaa hyvin kieroutuneilla tavoilla.
Periaatteessa he käyttävät lohkoketjua sekä maksuvälineenä että viestintävälineenä.
DOUG. Okei, todella mielenkiintoinen tarina.
Pidämme sitä silmällä.
Ja kiitos paljon, Michael, että lähetit kommentin.
Jos sinulla on mielenkiintoinen tarina, kommentti tai kysymys, jonka haluat lähettää, luemme sen mielellämme podcastista.
Voit lähettää sähköpostia tips@sophos.com, voit kommentoida mitä tahansa artikkeleistamme tai voit ottaa meihin yhteyttä sosiaalisessa mediassa: @NakedSecurity.
Se on tämän päivän ohjelmamme – kiitos paljon kuuntelusta.
Paul Ducklinille olen Doug Aamoth, joka muistuttaa sinua seuraavaan kertaan asti…
Molemmat. Pysy turvassa.
[MUSIIKKIMODEEMI]
- blockchain
- coingenius
- cryptocurrency-lompakot
- cryptoexchange
- tietoverkkoturvallisuus
- tietoverkkorikollisuuden
- verkkorikollisille
- tietoverkkojen
- deadbolt
- sisäisen turvallisuuden osasto
- digitaaliset lompakot
- palomuuri
- Kaspersky
- haittaohjelmat
- McAfee
- Naked Security
- Alasturvallisuus Podcast
- NexBLOC
- Platon
- plato ai
- Platonin tietotieto
- Platon peli
- PlatonData
- platopeliä
- podcast
- ransomware
- VPN
- verkkosivuilla turvallisuus
- zephyrnet
- Zero Day
