ÉCOUTER MAINTENANT
Avec Doug Aamoth et Paul Ducklin.
Musique d'intro et d'outro par Edith Mud.
Cliquez et faites glisser sur les ondes sonores ci-dessous pour passer à n'importe quel point. Vous pouvez également écouter directement sur Soundcloud.
Vous pouvez nous écouter sur Soundcloud, Podcasts Apple, Podcasts Google, Spotify, piqueur et partout où l'on trouve de bons podcasts. Ou déposez simplement le URL de notre flux RSS dans votre podcatcher préféré.
LIRE LA TRANSCRIPTION
DOUG. Pêne dormant - il est de retour !
Des patchs à gogo !
Et les fuseaux horaires… oui, les fuseaux horaires.
Tout cela, et plus encore, sur le podcast Naked Security.
[MODÈME MUSICAL]
Bienvenue sur le podcast, tout le monde.
Je suis Doug Aamoth.
Avec moi, comme toujours, Paul Ducklin.
Paul, un très joyeux 100ème épisode à toi mon ami !
CANARD. Waouh, Doug !
Vous savez, quand j'ai commencé ma structure de répertoires pour la série 3, j'ai utilisé hardiment -001 pour le premier épisode.
DOUG. Je n'ai pas. [DES RIRES]
CANARD. Pas -1 or -01.
DOUG. Intelligent…
CANARD. J'avais une grande foi !
Et quand j'enregistrerai le fichier d'aujourd'hui, je vais m'en réjouir.
DOUG. Oui, et je le redouterai parce qu'il apparaîtra au sommet.
Bon, je vais devoir m'en occuper plus tard...
CANARD. [RIRES] Vous pourriez renommer toutes les autres choses.
DOUG. Je sais je sais.
[MUTTERING] Je n'attends pas ça avec impatience… voilà mon mercredi.
Quoi qu'il en soit, commençons le spectacle avec un peu d'histoire technologique.
Cette semaine, le 12 septembre 1959, Luna xnumx, Également connu sous le nom Deuxième fusée cosmique soviétique, est devenu le premier vaisseau spatial à atteindre la surface de la Lune et le premier objet fabriqué par l'homme à entrer en contact avec un autre corps céleste.
Très sympa.
CANARD. Quel était ce long nom ?
"La deuxième fusée cosmique soviétique"?
DOUG. Oui.
CANARD. Luna deux c'est beaucoup mieux.
DOUG. Oui, bien mieux!
CANARD. Apparemment, comme vous pouvez l'imaginer, étant donné que c'était l'ère de la course à l'espace, il y avait une certaine inquiétude : « Comment saurons-nous qu'ils l'ont réellement fait ? Ils pourraient simplement dire qu'ils ont atterri sur la Lune, et peut-être qu'ils inventent.
Apparemment, ils ont conçu un protocole qui permettrait une observation indépendante.
Ils ont prédit l'heure à laquelle il arriverait sur la Lune, pour s'écraser sur la Lune, et ils ont envoyé l'heure exacte à laquelle ils s'y attendaient à un astronome au Royaume-Uni.
Et il a observé indépendamment, pour voir si ce qu'ils ont dit *se produirait* à ce moment-là *se serait* produit.
Alors ils ont même pensé: "Comment pouvez-vous vérifier quelque chose comme ça?"
DOUG. Eh bien, au sujet des choses compliquées, nous avons des correctifs de Microsoft et Apple.
Alors, qu'est-ce qui est remarquable ici dans ce dernier tour?
CANARD. Nous le faisons certainement - c'est le patch Tuesday cette semaine, le deuxième mardi du mois.
Il y a deux vulnérabilités dans Patch Tuesday qui m'ont semblé notables.
L'un est remarquable parce qu'il est apparemment à l'état sauvage - en d'autres termes, c'était un jour zéro.
Et bien qu'il ne s'agisse pas d'exécution de code à distance, c'est un peu inquiétant car il s'agit d'une vulnérabilité de fichier journal [COUGHS APOLOGETICALLY], Doug !
Ce n'est pas tout à fait aussi mauvais comme Log4J, où vous pouviez non seulement faire en sorte que l'enregistreur se comporte mal, mais aussi exécuter du code arbitraire pour vous.
Mais il semble que si vous envoyez une sorte de données malformées dans le pilote Windows Common Log File System, le CLFS, vous pouvez tromper le système en vous promouvant les privilèges système.
Toujours mauvais si vous êtes entré en tant qu'utilisateur invité et que vous pouvez ensuite vous transformer en administrateur système…
DOUG. [RIRES] Oui !
CANARD. C'est CVE-2022-37969.
Et l'autre que j'ai trouvé intéressant...
…heureusement pas dans la nature, mais c'est celui-ci qu'il vous faut vraiment patcher, car je parie que c'est celui sur lequel les cybercriminels se concentreront sur la rétro-ingénierie :
« Vulnérabilité d'exécution de code à distance Windows TCP/IP », CVE-2022-34718.
Si tu te souviens Code rougeet une SQL Slammer, et ces vilains vers du passé, où ils venaient d'arriver dans un paquet réseau et se sont frayé un chemin dans le système….
C'est un niveau encore plus bas que cela.
Apparemment, le bogue réside dans la gestion de certains paquets IPv6.
Donc, tout ce sur quoi IPv6 écoute, c'est-à-dire à peu près n'importe quel ordinateur Windows, pourrait être à risque.
Comme je l'ai dit, celui-ci n'est pas dans la nature, donc les escrocs ne l'ont pas encore trouvé, mais je ne doute pas qu'ils prendront le patch et essaieront de comprendre s'ils peuvent désosser un exploit à partir de celui-ci, pour attraper les personnes qui n'ont pas encore patché.
Parce que si quelque chose dit : « Whoa ! Et si quelqu'un écrivait un ver qui utilisait ça ? »… c'est celui-là qui m'inquiéterait.
DOUG. D'ACCORD.
Et puis à Apple…
CANARD. Nous avons récemment écrit deux articles sur les correctifs Apple, où, à l'improviste, il y avait soudainement des correctifs pour iPhone, iPad et Mac contre deux jours zéro dans la nature.
L'un était un bogue de navigateur, ou un bogue lié à la navigation, de sorte que vous pouviez vous promener dans un site Web d'apparence innocente et que des logiciels malveillants puissent atterrir sur votre ordinateur, plus un autre qui vous donnait un contrôle au niveau du noyau…
… qui, comme je l'ai dit dans le dernier podcast, sent comme un logiciel espion pour moi - quelque chose qui intéresserait un fournisseur de logiciels espions ou un "cyberescroc de surveillance" vraiment sérieux.
Puis il y a eu une deuxième mise à jour, à notre grande surprise, pour iOS 12, que nous pensions tous abandonnés depuis longtemps.
Là, l'un de ces bogues (celui lié au navigateur qui permettait aux escrocs de s'introduire) a reçu un correctif.
Et puis, juste au moment où j'attendais iOS 16, tous ces e-mails ont soudainement commencé à atterrir dans ma boîte de réception - juste après avoir vérifié, « Est-ce que iOS 16 est déjà sorti ? Puis-je le mettre à jour ? »
Ce n'était pas là, mais ensuite j'ai reçu tous ces e-mails disant: "Nous venons de mettre à jour iOS 15, et macOS Monterey, et Big Sur, et iPadOS 15"…
… et il s'est avéré qu'il y avait tout un tas de mises à jour, plus un tout nouveau kernel zero-day cette fois aussi.
Et ce qui est fascinant, c'est qu'après avoir reçu les notifications, j'ai pensé : "Eh bien, laissez-moi vérifier à nouveau..."
(Donc, vous pouvez vous rappeler, c'est Paramètres > Général > Mise à jour du logiciel sur votre iPhone ou iPad.)
Et voilà, on m'a proposé une mise à jour vers iOS 15, que j'avais déjà, * ou * je pouvais sauter jusqu'à iOS 16.
Et iOS 16 contenait également ce correctif zero-day (même si iOS 16 n'était théoriquement pas encore sorti), donc je suppose que le bogue existait également dans la version bêta.
Il n'a pas été répertorié comme étant officiellement un jour zéro dans le bulletin d'Apple pour iOS 16, mais nous ne pouvons pas dire si c'est parce que l'exploit qu'Apple a vu ne fonctionnait pas correctement sur iOS 16, ou s'il n'est pas considéré comme un zéro- jour car iOS 16 venait juste de sortir.
DOUG. Oui, j'allais dire : personne ne l'a encore. [RIRE]
CANARD. C'était la grande nouvelle d'Apple.
Et l'important est que lorsque vous allez sur votre téléphone et que vous dites "Oh, iOS 16 est disponible"... si vous n'êtes pas encore intéressé par iOS 16, vous devez toujours vous assurer que vous avez cet iOS 15 mise à jour, à cause du kernel zero-day.
Les jours zéro du noyau sont toujours un problème car cela signifie que quelqu'un sait comment contourner les paramètres de sécurité tant vantés de votre iPhone.
Le bogue s'applique également à macOS Monterey et macOS Big Sur - c'est la version précédente, macOS 11.
En fait, pour ne pas être en reste, Big Sur a en fait * deux * bogues du jour zéro dans le noyau dans la nature.
Aucune nouvelle sur iOS 12, ce qui correspond un peu à ce que j'attendais, et rien jusqu'à présent pour macOS Catalina.
Catalina est macOS 10, la version précédente, et encore une fois, nous ne savons pas si cette mise à jour viendra plus tard, ou si elle est tombée du bout du monde et ne recevra de toute façon pas de mises à jour.
Malheureusement, Apple ne le dit pas, donc nous ne savons pas.
Désormais, la plupart des utilisateurs d'Apple auront activé les mises à jour automatiques, mais, comme nous le disons toujours, allez vérifier (que vous ayez un Mac, un iPhone ou un iPad), car le pire est de supposer que votre les mises à jour ont fonctionné et vous ont protégé…
… alors qu'en fait, quelque chose s'est mal passé.
DOUG. OK très bien.
Maintenant, quelque chose que j'attendais avec impatience, c'est : "Qu'est-ce que les fuseaux horaires ont à voir avec la sécurité informatique ?"
CANARD. Eh bien, beaucoup, il s'avère, Doug.
DOUG. [RIANT] Oui monsieur !
CANARD. Les fuseaux horaires sont très simples dans leur concept.
Ils sont très pratiques pour gérer nos vies afin que nos horloges correspondent à peu près à ce qui se passe dans le ciel - il fait donc noir la nuit et clair le jour. (Ignorons l'heure d'été et supposons simplement que nous n'avons que des fuseaux horaires d'une heure partout dans le monde pour que tout soit vraiment simple.)
Le problème survient lorsque vous conservez les journaux système dans une organisation où certains de vos serveurs, certains de vos utilisateurs, certaines parties de votre réseau, certains de vos clients se trouvent dans d'autres parties du monde.
Lorsque vous écrivez dans le fichier journal, écrivez-vous l'heure avec le fuseau horaire pris en compte ?
Quand tu écris ton journal, Doug, est-ce que tu soustrais les 5 heures (ou 4 heures en ce moment) dont tu as besoin parce que tu es à Boston, alors que j'ajoute une heure parce que je suis à l'heure de Londres, mais c'est l'été ?
Est-ce que j'écris cela dans le journal pour que cela ait un sens pour *moi* lorsque je relis le journal ?
Ou est-ce que j'écris une heure plus canonique et sans ambiguïté en utilisant le même fuseau horaire pour *tout le monde*, de sorte que lorsque je compare des journaux provenant de différents ordinateurs, de différents utilisateurs, de différentes parties du monde sur mon réseau, je peux réellement aligner les événements ?
Il est vraiment important d'organiser les événements, Doug, surtout si vous faites une réponse à la menace dans une cyberattaque.
Vous avez vraiment besoin de savoir ce qui est arrivé en premier.
Et si vous dites, "Oh, ça ne s'est pas passé avant 3h", cela ne m'aide pas si je suis à Sydney, parce que mon 3h est arrivé hier par rapport à votre 3h.
Donc je a écrit un article sur Naked Security à propos de certaines façons dont vous pouvez traiter ce problème lorsque vous enregistrez des données.
Ma recommandation personnelle est d'utiliser un format d'horodatage simplifié appelé RFC 3339, où vous mettez une année à quatre chiffres, un tiret [trait d'union, ASCII 0x2D], un mois à deux chiffres, un tiret, un jour à deux chiffres, etc., de sorte que vos horodatages soient correctement triés par ordre alphabétique.
Et que vous enregistrez tous vos fuseaux horaires sous la forme d'un fuseau horaire appelé Z (zed ou zee), abréviation de temps zoulou.
Cela signifie essentiellement UTC ou temps universel coordonné.
C'est presque mais pas tout à fait l'heure de Greenwich, et c'est l'heure à laquelle presque toutes les horloges d'ordinateurs ou de téléphones sont réglées en interne ces jours-ci.
N'essayez pas de compenser les fuseaux horaires lorsque vous écrivez dans le journal, car alors quelqu'un devra décompenser lorsqu'il essaiera d'aligner votre journal avec celui de tout le monde - et il y a beaucoup de dérapages entre la tasse et la lèvre, Doug.
Keep it simple.
Utilisez un format de texte simple et canonique qui délimite exactement la date et l'heure, jusqu'à la seconde - ou, de nos jours, les horodatages peuvent même descendre à la nanoseconde si vous le souhaitez.
Et débarrassez-vous des fuseaux horaires de vos journaux ; débarrassez-vous de l'heure d'été de vos journaux ; et juste tout enregistrer, à mon avis, en Temps Universel Coordonné…
…abrégé UTC de manière confuse, parce que le nom est en anglais mais l'abréviation est en français – quelque chose d'ironique.
DOUG. Oui.
CANARD.
J'ai envie de dire : « Non pas que j'y sois attaché, encore une fois », comme je le fais habituellement, en riant…
… mais il est vraiment important de mettre les choses dans le bon ordre, en particulier lorsque vous essayez de traquer les cybercriminels.
DOUG. D'accord, c'est bien - d'excellents conseils.
Et si nous nous en tenons au sujet des cybercriminels, vous avez entendu parler d'attaques de manipulateur au milieu ; vous avez entendu parler des attaques de Manipulator-in-the-Browser…
..maintenant préparez-vous aux attaques du navigateur dans le navigateur.
CANARD. Oui, c'est un nouveau terme que nous voyons.
Je voulais écrire cela parce que les chercheurs d'une société de renseignement sur les menaces appelée Group-IB ont récemment écrit un article à ce sujet, et les médias ont commencé à parler de "Hé, les attaques de navigateur dans le navigateur, ayez très peur", ou quoi que ce soit. …
Vous pensez : "Eh bien, je me demande combien de personnes savent réellement ce que l'on entend par une attaque Browser-in-the-Browser ?"
Et ce qui est ennuyeux avec ces attaques, Doug, c'est que technologiquement, elles sont terriblement simples.
C'est une idée si simple.
DOUG. Ils sont presque artistiques.
CANARD. Oui!
Ce n'est pas vraiment de la science et de la technologie, c'est de l'art et du design, n'est-ce pas ?
Fondamentalement, si vous avez déjà fait de la programmation JavaScript (pour le bien ou pour le mal), vous saurez que l'une des choses à propos des choses que vous collez dans une page Web est qu'elle est censée être limitée à cette page Web.
Donc, si vous ouvrez une toute nouvelle fenêtre, vous vous attendez à ce qu'elle obtienne un tout nouveau contexte de navigateur.
Et s'il charge sa page à partir d'un tout nouveau site, par exemple un site de phishing, il n'aura pas accès à toutes les variables JavaScript, au contexte, aux cookies et à tout ce que la fenêtre principale avait.
Donc, si vous ouvrez une fenêtre séparée, vous limitez en quelque sorte vos capacités de piratage si vous êtes un escroc.
Pourtant, si vous ouvrez quelque chose dans la fenêtre actuelle, vous êtes alors considérablement limité quant à la façon dont vous pouvez le rendre excitant et "ressemblant à un système", n'est-ce pas ?
Parce que vous ne pouvez pas écraser la barre d'adresse... c'est voulu.
Vous ne pouvez rien écrire en dehors de la fenêtre du navigateur, vous ne pouvez donc pas mettre sournoisement une fenêtre qui ressemble à du papier peint sur le bureau, comme si elle était là depuis le début.
En d'autres termes, vous êtes confiné dans la fenêtre du navigateur avec laquelle vous avez commencé.
Donc, l'idée d'une attaque par navigateur dans le navigateur est que vous commencez avec un site Web normal, puis vous créez, à l'intérieur de la fenêtre du navigateur que vous avez déjà, une page Web qui elle-même ressemble exactement à une fenêtre de navigateur du système d'exploitation .
Fondamentalement, vous montrez à quelqu'un une *photo* de la vraie chose, et les convainquez que c'est *la vraie chose*.
C'est aussi simple que cela, Doug !
Mais le problème est qu'avec un peu de travail minutieux, en particulier si vous avez de bonnes compétences en CSS, vous * pouvez * faire en sorte que quelque chose qui se trouve à l'intérieur d'une fenêtre de navigateur existante ressemble à une fenêtre de navigateur à part entière.
Et avec un peu de JavaScript, vous pouvez même faire en sorte qu'il puisse être redimensionné et qu'il puisse se déplacer sur l'écran, et vous pouvez le remplir avec du code HTML que vous récupérez sur un site Web tiers.
Maintenant, vous vous demandez peut-être… si les escrocs réussissent parfaitement, comment diable pouvez-vous le dire ?
Et la bonne nouvelle, c'est qu'il y a une chose absolument simple que vous pouvez faire.
Si vous voyez ce qui ressemble à une fenêtre du système d'exploitation et que vous vous en doutez de quelque manière que ce soit (elle semblerait essentiellement apparaître sur la fenêtre de votre navigateur, car elle doit être à l'intérieur)…
… essayez de le déplacer * hors de la vraie fenêtre du navigateur *, et s'il est "emprisonné" à l'intérieur du navigateur, vous savez que ce n'est pas la vraie affaire !
La chose intéressante à propos du rapport des chercheurs du Groupe-IB est que lorsqu'ils sont tombés sur cela, les escrocs l'utilisaient en fait contre les joueurs de jeux Steam.
Et, bien sûr, il veut que vous vous connectiez à votre compte Steam…
… et si vous étiez trompé par la première page, cela suivrait même la vérification d'authentification à deux facteurs de Steam.
Et l'astuce était que si ces fenêtres * étaient * vraiment séparées, vous auriez pu les faire glisser d'un côté de la fenêtre principale de votre navigateur, mais elles ne l'étaient pas.
Dans ce cas, heureusement, les cuisiniers n'avaient pas très bien fait leur CSS.
Leurs œuvres d'art étaient de mauvaise qualité.
Mais, comme vous et moi en avons parlé à plusieurs reprises sur le podcast, Doug, il y a parfois des escrocs qui feront l'effort de rendre les choses parfaites au pixel près.
Avec CSS, vous pouvez littéralement positionner des pixels individuels, n'est-ce pas ?
DOUG. CSS est intéressant.
Il s'agit d'avoir un lien direct avec le cœur des opérations de votre Cascading Style Sheets… un langage que vous utilisez pour styliser les documents HTML, et c'est vraiment facile à apprendre et c'est encore plus difficile à maîtriser.
CANARD. [RIRES] Cela ressemble à ça, bien sûr.
DOUG. [RIRES] Oui, c'est comme beaucoup de choses !
Mais c'est l'une des premières choses que vous apprenez une fois que vous avez appris le HTML.
Si vous pensez : « Je veux améliorer l'apparence de cette page Web », vous apprenez le CSS.
Donc, en regardant certains de ces exemples du document source auquel vous avez lié l'article, vous pouvez dire qu'il sera très difficile de faire un très bon faux, à moins que vous ne soyez vraiment bon en CSS.
Mais si vous le faites correctement, il sera vraiment difficile de comprendre qu'il s'agit d'un faux document…
… à moins que vous ne fassiez ce que vous dites : essayez de le retirer d'une fenêtre et de le déplacer sur votre bureau, des trucs comme ça.
Cela nous amène à votre deuxième point ici : examinez attentivement les fenêtres suspectes.
Beaucoup d'entre eux ne réussiront probablement pas le test de la vue, mais s'ils le font, ce sera très difficile à repérer.
Ce qui nous amène à la troisième chose…
"En cas de doute / Ne le donnez pas."
Si cela n'a pas l'air tout à fait correct et que vous n'êtes pas en mesure de dire avec certitude que quelque chose d'étrange se prépare, suivez simplement la rime !
CANARD. Et cela vaut la peine de se méfier des sites Web inconnus, des sites Web que vous n'avez jamais utilisés auparavant, qui vous disent soudainement « OK, nous allons vous demander de vous connecter avec votre compte Google dans une fenêtre Google ou Facebook dans une fenêtre Facebook ». ”
Ou Steam dans une fenêtre Steam.
DOUG. Oui.
Je déteste utiliser le mot B ici, mais c'est presque brillant dans sa simplicité.
Mais encore une fois, il va être très difficile d'obtenir une correspondance parfaite des pixels en utilisant CSS et des trucs comme ça.
CANARD. Je pense que la chose importante à retenir est que, comme une partie de la simulation est le "chrome" [jargon pour les composants de l'interface utilisateur du navigateur] du navigateur, la barre d'adresse aura l'air correcte.
Cela peut même sembler parfait.
Mais le fait est que ce n'est pas une barre d'adresse...
…c'est une *image* d'une barre d'adresse.
DOUG. Exactement!
Très bien, faites attention, tout le monde !
Et, en parlant de choses qui ne sont pas ce qu'elles semblent être, je lis sur le rançongiciel DEADBOLT et les appareils NAS QNAP, et j'ai l'impression que nous venons de discuter de cette histoire exacte il n'y a pas longtemps.
CANARD. Oui, nous avons écrit à ce sujet plusieurs fois sur Naked Security jusqu'à présent cette année, malheureusement.
C'est l'un de ces cas où ce qui a fonctionné pour les escrocs s'avère avoir fonctionné deux fois, trois fois, quatre fois, cinq fois.
Et NAS, ou Stockage en réseau périphériques, sont, si vous le souhaitez, des serveurs boîte noire que vous pouvez acheter - ils exécutent généralement une sorte de noyau Linux.
L'idée est qu'au lieu de devoir acheter une licence Windows, ou apprendre Linux, installez Samba, configurez-le, apprenez à faire du partage de fichiers sur votre réseau…
… il vous suffit de brancher cet appareil et, "Bingo", il commence à fonctionner.
Il s'agit d'un serveur de fichiers accessible sur le Web et, malheureusement, s'il existe une vulnérabilité dans le serveur de fichiers et que vous l'avez (accidentellement ou par conception) rendu accessible sur Internet, les escrocs peuvent être en mesure d'exploiter cette vulnérabilité, s'il y en a une dans cet appareil NAS, à distance.
Ils peuvent être en mesure de brouiller tous les fichiers sur l'emplacement de stockage clé de votre réseau, qu'il s'agisse d'un réseau domestique ou d'un réseau de petite entreprise, et de vous demander une rançon sans jamais avoir à vous soucier d'attaquer d'autres appareils individuels tels que des ordinateurs portables et des téléphones sur votre réseau.
Ainsi, ils n'ont pas besoin de jouer avec les logiciels malveillants qui infectent votre ordinateur portable, et ils n'ont pas besoin de s'introduire dans votre réseau et de se promener comme des criminels de rançongiciels traditionnels.
En gros, ils brouillent tous vos fichiers, puis - pour présenter la note de rançon - ils changent juste (je ne devrais pas rire, Doug)… ils changent juste la page de connexion sur votre appareil NAS.
Ainsi, lorsque vous trouvez que tous vos fichiers sont foirés et que vous pensez, "C'est drôle", et que vous sautez avec votre navigateur Web et que vous vous y connectez, vous n'obtenez pas d'invite de mot de passe !
Vous obtenez un avertissement : "Vos fichiers ont été verrouillés par DEADBOLT. Qu'est-il arrivé? Tous vos fichiers ont été cryptés.
Et puis viennent les instructions sur la façon de payer.
DOUG. Et ils ont également gentiment proposé que QNAP puisse verser une somme princière pour déverrouiller les fichiers pour tout le monde.
CANARD. Les captures d'écran que j'ai dans le dernier article sur nakedsecurity.sophos.com montrent :
1. Décryptages individuels à 0.03 bitcoins, à l'origine environ 1200 600 USD lorsque cette chose s'est répandue pour la première fois, maintenant environ XNUMX USD.
2. Une option BTC 5.00, où QNAP est informé de la vulnérabilité afin qu'ils puissent la corriger, ce qu'ils ne paieront clairement pas car ils connaissent déjà la vulnérabilité. (C'est pourquoi il y a un correctif dans ce cas particulier.)
3. Comme vous le dites, il y a une option BTC 50 (c'est 1 million de dollars maintenant ; c'était 2 millions de dollars lorsque cette première histoire a éclaté pour la première fois). Apparemment, si QNAP paie les 1,000,000 XNUMX XNUMX $ au nom de toute personne qui aurait pu être infectée, les escrocs fourniront une clé de déchiffrement principale, si cela ne vous dérange pas.
Et si vous regardez leur JavaScript, il vérifie en fait si le mot de passe que vous avez entré correspond à l'un des *deux* hachages.
L'un est unique à votre infection - les escrocs le personnalisent à chaque fois, de sorte que le JavaScript contient le hachage et ne donne pas le mot de passe.
Et il y a un autre hachage qui, si vous pouvez le déchiffrer, semblerait qu'il récupérerait le mot de passe principal pour tout le monde dans le monde…
… Je pense que c'était juste les escrocs qui faisaient un pied de nez à tout le monde.
DOUG. Il est également intéressant de noter que la rançon de 600 $ en bitcoins pour chaque utilisateur est… Je ne veux pas dire "pas scandaleuse", mais si vous regardez dans la section des commentaires de cet article, il y a plusieurs personnes qui ne parlent pas seulement d'avoir payé le une rançon…
… mais passons à notre question de lecteur ici.
Le lecteur Michael partage son expérience avec cette attaque, et il n'est pas seul - il y a d'autres personnes dans cette section de commentaires qui rapportent des choses similaires.
À travers quelques commentaires, il dit (je vais en faire un commentaire franc à partir de cela):
« Je suis passé par là et je m'en suis bien sorti après avoir payé la rançon. Trouver le code de retour spécifique avec ma clé de déchiffrement a été la partie la plus difficile. J'ai appris la leçon la plus précieuse.
Dans son commentaire suivant, il passe en revue toutes les étapes qu'il a dû franchir pour que les choses fonctionnent à nouveau.
Et il démonte avec :
"Je suis gêné de dire que je travaille dans l'informatique depuis plus de 20 ans et que j'ai été mordu par ce bogue QNAP uPNP. Heureux d'être passé par là.
CANARD. Wow, oui, c'est toute une déclaration, n'est-ce pas?
Presque comme s'il disait: "Je me serais soutenu contre ces escrocs, mais j'ai perdu le pari et cela m'a coûté 600 $ et tout un tas de temps."
Aaargh!
DOUG. Que veut-il dire par "le code retour spécifique avec sa clé de description"?
CANARD. Ah, oui, c'est très intéressant… très intrigant. (J'essaie de ne pas dire incroyable-slash-brillant ici.) [RIRES]
Je ne veux pas utiliser le mot C et dire que c'est "intelligent", mais en quelque sorte ça l'est.
Comment contacter ces escrocs ? Ont-ils besoin d'une adresse e-mail ? Cela pourrait-il être tracé? Ont-ils besoin d'un site darkweb ?
Ces escrocs ne le font pas.
Parce que, rappelez-vous, il y a un appareil, et le logiciel malveillant est personnalisé et empaqueté lorsqu'il attaque cet appareil afin qu'il contienne une adresse Bitcoin unique.
Et, fondamentalement, vous communiquez avec ces escrocs en versant le montant spécifié de bitcoin dans leur portefeuille.
Je suppose que c'est pourquoi ils ont gardé le montant relativement modeste…
… Je ne veux pas suggérer que tout le monde a 600 $ à jeter en rançon, mais ce n'est pas comme si vous négociez à l'avance pour décider si vous allez payer 100,000 80,000 $, 42,000 XNUMX $ ou XNUMX XNUMX $.
Vous leur payez le montant… pas de négociation, pas de chat, pas d'email, pas de messagerie instantanée, pas de forum de support.
Vous envoyez simplement l'argent à l'adresse bitcoin désignée, et ils auront évidemment une liste des adresses bitcoin qu'ils surveillent.
Lorsque l'argent arrive, et qu'ils voient qu'il est arrivé, ils savent que vous (et vous seul) avez payé, car ce code portefeuille est unique.
Et ils font ensuite ce qui est, en fait (j'utilise les plus grandes citations aériennes au monde) un "remboursement" sur la blockchain, en utilisant une transaction bitcoin au montant, Doug, de zéro dollar.
Et cette réponse, cette transaction, inclut en fait un commentaire. (Se souvenir du Piratage de Poly Networks? Ils utilisaient les commentaires de la blockchain Ethereum pour essayer de dire : "Cher, M. White Hat, ne nous rendrez-vous pas tout l'argent ?")
Donc, vous payez les escrocs, donnant ainsi le message que vous voulez vous engager avec eux, et ils vous remboursent 0 $ plus un commentaire de 32 caractères hexadécimaux…
… qui est de 16 octets binaires bruts, qui est la clé de déchiffrement de 128 bits dont vous avez besoin.
C'est comme ça qu'on leur parle.
Et, apparemment, ils ont tout compris - comme l'a dit Michael, l'arnaque fonctionne.
Et le seul problème que Michael avait était qu'il n'était pas habitué à acheter des bitcoins, ou à travailler avec des données de blockchain et à extraire ce code de retour, qui est essentiellement le commentaire dans le "paiement" de la transaction qu'il récupère pour 0 $.
Donc, ils utilisent la technologie de manière très sournoise.
Fondamentalement, ils utilisent la blockchain à la fois comme moyen de paiement et comme outil de communication.
DOUG. Très bien, une histoire très intéressante en effet.
Nous garderons un œil là-dessus.
Et merci beaucoup, Michael, d'avoir envoyé ce commentaire.
Si vous avez une histoire intéressante, un commentaire ou une question que vous aimeriez soumettre, nous serions ravis de le lire sur le podcast.
Vous pouvez envoyer un e-mail à tips@sophos.com, commenter n'importe lequel de nos articles ou nous contacter sur les réseaux sociaux : @NakedSecurity.
C'est notre émission d'aujourd'hui – merci beaucoup pour votre écoute.
Pour Paul Ducklin, je suis Doug Aamoth, vous rappelant, jusqu'à la prochaine fois, de…
TOUS LES DEUX. Restez en sécurité.
[MODÈME MUSICAL]
- blockchain
- cognitif
- portefeuilles de crypto-monnaie
- cryptoexchange
- la cyber-sécurité
- la cybercriminalité
- les cybercriminels
- Cybersécurité
- Pêne dormant
- département de la Sécurité intérieure
- portefeuilles numériques
- pare-feu
- Kaspersky
- malware
- Mcafee
- Sécurité nue
- Podcast de sécurité nu
- NexBLOC
- Platon
- platon ai
- Intelligence des données Platon
- Jeu de Platon
- PlatonDonnées
- jeu de platogamie
- Podcast
- ransomware
- VPN
- la sécurité d'un site web
- zéphyrnet
- Zero Day
![S3 Ep118 : Devinez votre mot de passe ? Pas besoin si c'est déjà volé ! [Audio + Texte]](https://platoaistream.com/wp-content/uploads/2023/01/s3-ep118-guess-your-password-no-need-if-its-stolen-already-audio-text-360x188.png)
