सुनो अब
डग आमोथ और पॉल डकलिन के साथ।
इंट्रो और आउट्रो म्यूजिक by एडिथ मुडगे.
किसी भी बिंदु पर जाने के लिए नीचे ध्वनि तरंगों पर क्लिक करें और खींचें। आप भी कर सकते हैं सीधे सुनो साउंडक्लाउड पर।
आप हमें इस पर सुन सकते हैं Soundcloud, ऐप्पल पॉडकास्ट्स, Google पॉडकास्ट, Spotify, सीनेवाली मशीन और कहीं भी अच्छे पॉडकास्ट मिल जाते हैं। या बस छोड़ दें हमारे आरएसएस फ़ीड का यूआरएल अपने पसंदीदा पॉडकैचर में।
प्रतिलेख पढ़ें
डौग डेडबोल्ट - यह वापस आ गया है!
ढेर सारे पैच!
और समयक्षेत्र... हाँ, समयक्षेत्र।
वह सब, और बहुत कुछ, नग्न सुरक्षा पॉडकास्ट पर।
[संगीत मोडेम]
पॉडकास्ट में आपका स्वागत है, सब लोग।
मैं डौग आमोथ हूं।
हमेशा की तरह मेरे साथ पॉल डकलिन हैं।
पॉल, आपको 100वें एपिसोड की बहुत-बहुत शुभकामनाएं, मेरे दोस्त!
बत्तख। वाह, डौग!
आप जानते हैं, जब मैंने सीरीज 3 के लिए अपनी निर्देशिका संरचना शुरू की, तो मैंने साहसपूर्वक इसका इस्तेमाल किया -001 पहले एपिसोड के लिए।
डौग मैंने नहीं। [हंसते हैं]
बत्तख। नहीं -1 or -01.
डौग होशियार…
बत्तख। मुझे बड़ा विश्वास था!
और जब मैं आज की फाइल को सहेजता हूं, तो मुझे इसमें आनंद आता है।
डौग हां, और मैं इससे डरता रहूंगा क्योंकि यह ऊपर तक पॉप अप हो जाएगा।
खैर, मुझे बाद में इससे निपटना होगा ...
बत्तख। [हंसते हैं] आप अन्य सभी चीजों का नाम बदल सकते हैं।
डौग मैं जानता हूँ मैं जानता हूँ।
[बहना] उसके लिए उत्सुक नहीं ... मेरा बुधवार है।
खैर, चलिए कुछ टेक हिस्ट्री के साथ शो की शुरुआत करते हैं।
इस सप्ताह, 12 सितंबर 1959 को, लूना 2भी रूप में जाना दूसरा सोवियत कॉस्मिक रॉकेट, चंद्रमा की सतह पर पहुंचने वाला पहला अंतरिक्ष यान बन गया, और किसी अन्य खगोलीय पिंड के साथ संपर्क बनाने वाली पहली मानव निर्मित वस्तु बन गई।
बहुत ही शांत।
बत्तख। वह लंबा नाम क्या था?
"दूसरा सोवियत कॉस्मिक रॉकेट"?
डौग हां.
बत्तख। लूना टू ज़्यादा बेहतर है।
डौग हां काफी बेहतर!
बत्तख। जाहिर है, जैसा कि आप कल्पना कर सकते हैं, यह देखते हुए कि यह अंतरिक्ष-दौड़ का युग था, कुछ चिंता थी, "हमें कैसे पता चलेगा कि उन्होंने वास्तव में ऐसा किया है? वे बस इतना कह सकते थे कि वे चंद्रमा पर उतर चुके हैं, और शायद वे इसे बना रहे हैं।"
जाहिर है, उन्होंने एक प्रोटोकॉल तैयार किया जो स्वतंत्र अवलोकन की अनुमति देगा।
उन्होंने उस समय की भविष्यवाणी की थी कि यह चंद्रमा पर दुर्घटनाग्रस्त होने के लिए चंद्रमा पर पहुंचेगा, और उन्होंने ठीक वही समय भेजा, जिसकी उन्हें यूके में एक खगोलशास्त्री को उम्मीद थी।
और उन्होंने स्वतंत्र रूप से देखा, यह देखने के लिए कि क्या उन्होंने उस समय जो कहा *क्या होगा* क्या हुआ*।
तो उन्होंने यह भी सोचा, "आप इस तरह कुछ कैसे सत्यापित करते हैं?"
डौग खैर, जटिल चीजों के विषय पर, हमारे पास Microsoft और Apple के पैच हैं।
तो इस नवीनतम दौर में यहाँ क्या उल्लेखनीय है?
बत्तख। हम निश्चित रूप से करते हैं - यह इस सप्ताह मंगलवार, महीने के दूसरे मंगलवार को पैच है।
पैच मंगलवार में दो कमजोरियां हैं जो मेरे लिए उल्लेखनीय थीं।
एक उल्लेखनीय है क्योंकि यह स्पष्ट रूप से जंगली में है - दूसरे शब्दों में, यह एक शून्य-दिन था।
और यद्यपि यह रिमोट कोड निष्पादन नहीं है, यह थोड़ा चिंताजनक है क्योंकि यह एक [खांसी क्षमाप्रार्थी] लॉग फ़ाइल भेद्यता है, डौग!
यह बिल्कुल नहीं है Log4J . के रूप में खराब, जहां आप न केवल लकड़हारे को दुर्व्यवहार करने के लिए कह सकते हैं, बल्कि आप इसे यहां भी प्राप्त कर सकते हैं मनमाना कोड चलाएं तुम्हारे लिए।
लेकिन ऐसा लगता है कि अगर आप विंडोज कॉमन लॉग फाइल सिस्टम ड्राइवर, सीएलएफएस में किसी प्रकार का विकृत डेटा भेजते हैं, तो आप सिस्टम को सिस्टम विशेषाधिकारों में बढ़ावा देने के लिए सिस्टम को धोखा दे सकते हैं।
यदि आप अतिथि उपयोगकर्ता के रूप में शामिल हो गए हैं, तो हमेशा बुरा होता है, और आप अपने आप को एक sysadmin में बदलने में सक्षम होते हैं ...
डौग [हंसते हैं] हाँ!
बत्तख। यही है CVE-2022-37969.
और दूसरा जो मुझे दिलचस्प लगा ...
…सौभाग्य से जंगली में नहीं, लेकिन यह वह है जिसे आपको वास्तव में पैच करने की आवश्यकता है, क्योंकि मैं आपको शर्त लगाता हूं कि साइबर अपराधी रिवर्स इंजीनियरिंग पर ध्यान केंद्रित करेंगे:
"विंडोज टीसीपी / आईपी रिमोट कोड निष्पादन भेद्यता", CVE-2022-34718.
अगर आपको याद हो लाल संहिता, तथा एसक्यूएल स्लैमर, और अतीत के वे शरारती कीड़े, जहां वे अभी-अभी एक नेटवर्क पैकेट में पहुंचे, और सिस्टम में अपना रास्ता जाम कर दिया…।
यह उससे भी नीचे का स्तर है।
जाहिर है, बग कुछ IPv6 पैकेटों को संभालने में है।
तो कुछ भी जहां IPv6 सुन रहा है, जो कि किसी भी विंडोज कंप्यूटर से काफी अधिक है, इससे जोखिम हो सकता है।
जैसा कि मैंने कहा, वह जंगल में नहीं है, इसलिए बदमाशों को अभी तक नहीं मिला है, लेकिन मुझे इसमें कोई संदेह नहीं है कि वे पैच ले रहे होंगे और यह पता लगाने की कोशिश कर रहे होंगे कि क्या वे इंजीनियर को इसके शोषण से उलट सकते हैं, उन लोगों को पकड़ने के लिए जिन्होंने अभी तक पैच नहीं किया है।
क्योंकि अगर कुछ भी कहता है, "वाह! क्या होगा अगर किसी ने एक कीड़ा लिखा है जो इसका इस्तेमाल करता है? ”… यही वह है जिसके बारे में मुझे चिंता होगी।
डौग ठीक है.
और फिर ऐप्पल के लिए ...
बत्तख। हमने हाल ही में ऐप्पल पैच के बारे में दो कहानियां लिखी हैं, जहां अचानक, आईफोन और आईपैड और मैक के खिलाफ पैच थे। दो-इन-द-वाइल्ड ज़ीरो-डे.
एक ब्राउज़र बग था, या एक ब्राउज़िंग-संबंधी बग था, ताकि आप एक निर्दोष दिखने वाली वेबसाइट में भटक सकें और मैलवेयर आपके कंप्यूटर पर आ सकता है, साथ ही एक और जिसने आपको कर्नेल-स्तरीय नियंत्रण दिया…
... जो, जैसा कि मैंने पिछले पॉडकास्ट में कहा था, मेरे लिए स्पाइवेयर की तरह गंध आती है - कुछ ऐसा जो एक स्पाइवेयर विक्रेता या वास्तव में गंभीर "निगरानी साइबरक्रूक" में रुचि रखेगा।
फिर एक दूसरा अपडेट आया, हमारे आश्चर्य के लिए, iOS 12 के लिए, जिसे हम सभी ने लंबे समय से छोड़ दिया था।
वहां, उन बगों में से एक (ब्राउज़र से संबंधित एक जिसने बदमाशों को तोड़ने की अनुमति दी) को एक पैच मिला।
और फिर, जब मैं आईओएस 16 की उम्मीद कर रहा था, तो ये सभी ईमेल अचानक मेरे इनबॉक्स में उतरने लगे - मेरे चेक करने के ठीक बाद, "क्या आईओएस 16 अभी तक बाहर है? क्या मैं इसे अपडेट कर सकता हूं?"
यह वहां नहीं था, लेकिन फिर मुझे ये सभी ईमेल मिले, जिसमें कहा गया था, "हमने अभी-अभी iOS 15, और macOS मोंटेरे, और बिग सुर, और iPadOS 15" को अपडेट किया है।
... और यह पता चला कि अपडेट का एक पूरा गुच्छा था, साथ ही इस बार एक नया कर्नेल शून्य-दिन भी।
और दिलचस्प बात यह है कि, मुझे सूचनाएं मिलने के बाद, मैंने सोचा, "ठीक है, मुझे फिर से देखने दो..."
(तो आप याद रख सकते हैं, यह है सेटिंग > सामान्य जानकारी > सॉफ्टवेयर अद्यतन अपने iPhone या iPad पर।)
देखो और देखो, मुझे आईओएस 15 के लिए एक अपडेट की पेशकश की जा रही थी, जो मेरे पास पहले से था, *या* मैं आईओएस 16 के लिए सभी तरह से कूद सकता था।
और iOS 16 में भी यह शून्य-दिन का फिक्स था (भले ही iOS 16 सैद्धांतिक रूप से अभी तक बाहर नहीं था), इसलिए मुझे लगता है कि बग बीटा में भी मौजूद था।
आईओएस 16 के लिए ऐप्पल के बुलेटिन में इसे आधिकारिक तौर पर शून्य-दिन के रूप में सूचीबद्ध नहीं किया गया था, लेकिन हम यह नहीं बता सकते हैं कि ऐसा इसलिए है क्योंकि ऐप्पल ने आईओएस 16 पर ठीक से काम नहीं किया है, या इसे शून्य नहीं माना जाता है- दिन क्योंकि iOS 16 अभी बाहर आ रहा था।
डौग हाँ, मैं कहने जा रहा था: अभी तक किसी के पास नहीं है। [हँसी]
बत्तख। यह Apple की बड़ी खबर थी।
और महत्वपूर्ण बात यह है कि जब आप अपने फोन पर जाते हैं, और आप कहते हैं, "ओह, आईओएस 16 उपलब्ध है" ... अद्यतन, कर्नेल शून्य-दिन के कारण।
कर्नेल शून्य दिन हमेशा एक समस्या है क्योंकि इसका मतलब है कि कोई व्यक्ति जानता है कि आपके iPhone पर बहुत अधिक सुरक्षा सेटिंग्स को कैसे बायपास करना है।
यह बग macOS मोंटेरे और macOS बिग सुर पर भी लागू होता है - यह पिछला संस्करण macOS 11 है।
वास्तव में, आगे नहीं बढ़ना चाहिए, बिग सुर में वास्तव में जंगली में * दो * कर्नेल शून्य-दिन कीड़े हैं।
IOS 12 के बारे में कोई खबर नहीं है, जो कि मेरी अपेक्षा के अनुरूप है, और macOS कैटालिना के लिए अब तक कुछ भी नहीं है।
कैटालिना macOS 10 है, जो पूर्व-पिछला संस्करण है, और एक बार फिर, हम नहीं जानते कि क्या वह अपडेट बाद में आएगा, या क्या यह दुनिया के किनारे से गिर गया है और वैसे भी अपडेट प्राप्त नहीं होगा।
अफसोस की बात है कि Apple नहीं कहता है, इसलिए हम नहीं जानते।
अब, अधिकांश ऐप्पल उपयोगकर्ताओं के पास स्वचालित अपडेट चालू होंगे, लेकिन, जैसा कि हम हमेशा कहते हैं, जाओ और जांचें (चाहे आपके पास मैक या आईफोन या आईपैड है), क्योंकि सबसे बुरी बात यह मान लेना है कि आपका स्वचालित अपडेट ने काम किया और आपको सुरक्षित रखा…
...जब वास्तव में, कुछ गलत हुआ।
डौग ठीक है बहुत अच्छा।
अब, मैं जिस चीज़ की प्रतीक्षा कर रहा था, वह है: "समय क्षेत्रों का आईटी सुरक्षा से क्या लेना-देना है?"
बत्तख। खैर, काफी कुछ, यह पता चला है, डौग।
डौग [हंसते हुए] हाँ!
बत्तख। टाइमज़ोन अवधारणा में बहुत सरल हैं।
वे हमारे जीवन को चलाने के लिए बहुत सुविधाजनक हैं ताकि हमारी घड़ियाँ आकाश में हो रही घटनाओं से लगभग मेल खाती हों - इसलिए यह रात में अंधेरा और दिन में प्रकाश होता है। (आइए डेलाइट सेविंग को अनदेखा करें, और मान लें कि हमारे पास दुनिया भर में केवल एक घंटे का टाइमज़ोन है ताकि सब कुछ वास्तव में सरल हो।)
समस्या तब आती है जब आप वास्तव में किसी ऐसे संगठन में सिस्टम लॉग रखते हैं जहां आपके कुछ सर्वर, आपके कुछ उपयोगकर्ता, आपके नेटवर्क के कुछ हिस्से, आपके कुछ ग्राहक, दुनिया के अन्य हिस्सों में हैं।
जब आप लॉग फ़ाइल में लिखते हैं, तो क्या आप समय क्षेत्र को ध्यान में रखते हुए लिखते हैं?
जब आप अपना लॉग लिख रहे हों, डौग, क्या आप 5 घंटे (या इस समय 4 घंटे) घटाते हैं जो आपको चाहिए क्योंकि आप बोस्टन में हैं, जबकि मैं एक घंटा जोड़ता हूं क्योंकि मैं लंदन के समय पर हूं, लेकिन यह गर्मी है ?
क्या मैं इसे लॉग में लिखता हूं ताकि जब मैं लॉग को वापस पढ़ता हूं तो यह * मुझे * समझ में आता है?
या क्या मैं *सभी* के लिए एक ही समयक्षेत्र का उपयोग करते हुए अधिक प्रामाणिक, स्पष्ट समय लिखता हूं, इसलिए जब मैं अपने नेटवर्क पर विभिन्न कंप्यूटरों, विभिन्न उपयोगकर्ताओं, दुनिया के विभिन्न हिस्सों से आने वाले लॉग की तुलना करता हूं, तो मैं वास्तव में घटनाओं को पंक्तिबद्ध कर सकता हूं?
घटनाओं को पंक्तिबद्ध करना वास्तव में महत्वपूर्ण है, डौग, खासकर यदि आप साइबर हमले में खतरे की प्रतिक्रिया कर रहे हैं।
आपको वास्तव में यह जानना होगा कि पहले क्या आया था।
और अगर आप कहते हैं, "ओह, यह दोपहर 3 बजे तक नहीं हुआ", तो इससे मुझे कोई मदद नहीं मिलती अगर मैं सिडनी में हूं, क्योंकि मेरी दोपहर 3 बजे आपकी 3 बजे की तुलना में हुई थी।
तो मैं एक लेख लिखा था नग्न सुरक्षा पर कुछ तरीकों के बारे में जो आप कर सकते हैं इस समस्या से निपटें जब आप डेटा लॉग करते हैं।
मेरी व्यक्तिगत अनुशंसा है कि एक सरलीकृत टाइमस्टैम्प प्रारूप का उपयोग करें जिसे कहा जाता है RFC 3339, जहां आप चार अंकों का वर्ष डालते हैं, डैश [हाइफ़न कैरेक्टर, ASCII 0x2D], दो अंकों का महीना, डैश, दो अंकों का दिन, और इसी तरह, ताकि आपके टाइमस्टैम्प वास्तव में वर्णानुक्रम में अच्छी तरह से क्रमबद्ध हों।
और यह कि आप अपने सभी समय क्षेत्रों को एक tme क्षेत्र के रूप में रिकॉर्ड करते हैं जिसे के रूप में जाना जाता है Z (जेड या ज़ी), लघु के लिए ज़ुलु समय.
इसका मतलब मूल रूप से यूटीसी या कोऑर्डिनेटेड यूनिवर्सल टाइम है।
यह लगभग-लेकिन-नहीं-काफी ग्रीनविच मीन टाइम है, और यह वह समय है जब लगभग हर कंप्यूटर या फोन की घड़ी वास्तव में इन दिनों आंतरिक रूप से सेट होती है।
जब आप लॉग पर लिख रहे हों, तो समय-क्षेत्रों के लिए प्रयास न करें और क्षतिपूर्ति न करें, क्योंकि तब किसी को आपके लॉग को अन्य सभी के साथ पंक्तिबद्ध करने का प्रयास करते समय विघटित करना होगा - और कप और होंठ के बीच कई स्लिप हैं, डौग
यह सरल रखें.
एक विहित, सरल पाठ प्रारूप का उपयोग करें जो बिल्कुल दिनांक और समय को, ठीक नीचे दूसरे तक - या, इन दिनों, टाइमस्टैम्प इन दिनों नैनोसेकंड तक भी नीचे जा सकता है यदि आप चाहें।
और अपने लॉग से टाइमज़ोन से छुटकारा पाएं; अपने लॉग से दिन के उजाले की बचत से छुटकारा पाएं; और बस सब कुछ रिकॉर्ड करें, मेरी राय में, कोऑर्डिनेटेड यूनिवर्सल टाइम में…
...भ्रामक रूप से संक्षिप्त UTC, क्योंकि नाम अंग्रेजी में है लेकिन संक्षिप्त नाम फ्रेंच में है - एक विडंबना है।
डौग हां.
बत्तख।
मैं यह कहने के लिए ललचाता हूं, "ऐसा नहीं है कि मैं इसके बारे में फिर से दृढ़ता से महसूस करता हूं", जैसा कि मैं आमतौर पर करता हूं, हंसते हुए ...
...लेकिन चीजों को सही क्रम में लाना वास्तव में महत्वपूर्ण है, खासकर जब आप साइबर अपराधियों को ट्रैक करने की कोशिश कर रहे हों।
डौग ठीक है, यह अच्छा है - बढ़िया सलाह।
और अगर हम साइबर अपराधियों के विषय पर टिके रहते हैं, तो आपने मैनिपुलेटर-इन-द-मिडिल हमलों के बारे में सुना होगा; आपने मैनिपुलेटर-इन-द-ब्राउज़र हमलों के बारे में सुना है...
..अब ब्राउज़र-इन-द-ब्राउज़र हमलों के लिए तैयार हो जाएं।
बत्तख। हां, यह एक नया शब्द है जिसे हम देख रहे हैं।
मैं इसे लिखना चाहता था क्योंकि ग्रुप-आईबी नामक एक ख़तरनाक ख़ुफ़िया कंपनी के शोधकर्ताओं ने हाल ही में इस बारे में एक लेख लिखा था, और मीडिया ने इस बारे में बात करना शुरू कर दिया, "अरे, ब्राउज़र-इन-द-ब्राउज़र हमले, बहुत डरो", या जो भी हो …
आप सोच रहे हैं, "ठीक है, मुझे आश्चर्य है कि कितने लोग वास्तव में जानते हैं कि ब्राउज़र-इन-द-ब्राउज़र हमले का क्या अर्थ है?"
और इन हमलों के बारे में कष्टप्रद बात, डौग, यह है कि तकनीकी रूप से, वे बहुत सरल हैं।
यह इतना आसान विचार है।
डौग वे लगभग कलात्मक हैं।
बत्तख। हाँ!
यह वास्तव में विज्ञान और प्रौद्योगिकी नहीं है, यह कला और डिजाइन है, है ना?
मूल रूप से, यदि आपने कभी कोई जावास्क्रिप्ट प्रोग्रामिंग (अच्छे या बुरे के लिए) की है, तो आपको पता चल जाएगा कि सामान के बारे में एक चीज जो आप वेब पेज में रखते हैं, वह यह है कि इसका मतलब उस वेब पेज तक सीमित होना है।
इसलिए, यदि आप एक बिल्कुल नई विंडो पॉप अप करते हैं, तो आप इसे बिल्कुल नया ब्राउज़र संदर्भ प्राप्त करने की अपेक्षा करेंगे।
और यदि यह अपने पृष्ठ को किसी नई साइट, जैसे फ़िशिंग साइट से लोड करता है, तो उसके पास सभी जावास्क्रिप्ट चर, संदर्भ, कुकीज़ और मुख्य विंडो की सभी चीज़ों तक पहुंच नहीं होगी।
इसलिए, यदि आप एक अलग विंडो खोलते हैं, तो यदि आप एक बदमाश हैं तो आप अपनी हैकिंग क्षमताओं को सीमित कर रहे हैं।
फिर भी यदि आप वर्तमान विंडो में कुछ खोलते हैं, तो आप काफी सीमित हैं कि आप इसे कितना रोमांचक और "सिस्टम जैसा" बना सकते हैं, है ना?
क्योंकि आप पता बार को अधिलेखित नहीं कर सकते... वह डिज़ाइन के अनुसार है।
आप ब्राउज़र विंडो के बाहर कुछ भी नहीं लिख सकते हैं, इसलिए आप डेस्कटॉप पर वॉलपेपर की तरह दिखने वाली विंडो को चुपके से नहीं लगा सकते, जैसे कि यह हमेशा से मौजूद है।
दूसरे शब्दों में, आपने जिस ब्राउज़र विंडो से शुरुआत की थी, उसके अंदर आप भ्रष्ट हो गए हैं।
तो ब्राउज़र-इन-द-ब्राउज़र हमले का विचार यह है कि आप एक नियमित वेबसाइट से शुरू करते हैं, और फिर आप पहले से प्राप्त ब्राउज़र विंडो के अंदर एक वेब पेज बनाते हैं, जो बिल्कुल एक ऑपरेटिंग सिस्टम ब्राउज़र विंडो जैसा दिखता है .
मूल रूप से, आप किसी को असली चीज़ की *तस्वीर* दिखाते हैं, और उन्हें समझाते हैं कि यह *असली चीज़ है।
यह दिल में इतना आसान है, डौग!
लेकिन समस्या यह है कि थोड़ी सी सावधानी से काम करने से, खासकर यदि आपके पास अच्छा सीएसएस कौशल है, तो आप वास्तव में कुछ ऐसा बना सकते हैं जो मौजूदा ब्राउज़र विंडो के अंदर है और यह स्वयं की ब्राउज़र विंडो जैसा दिखता है।
और थोड़ी सी जावास्क्रिप्ट के साथ, आप इसे आकार भी दे सकते हैं, और ताकि यह स्क्रीन पर घूम सके, और आप इसे HTML के साथ पॉप्युलेट कर सकते हैं जिसे आप किसी तीसरे पक्ष की वेबसाइट से प्राप्त करते हैं।
अब, आपको आश्चर्य हो सकता है ... अगर बदमाश इसे मरवा देते हैं, तो आप पृथ्वी पर कैसे बता सकते हैं?
और अच्छी खबर यह है कि एक बहुत ही आसान काम है जो आप कर सकते हैं।
यदि आप देखते हैं कि एक ऑपरेटिंग सिस्टम विंडो कैसा दिखता है और आपको इसके बारे में किसी भी तरह से संदेह है (यह अनिवार्य रूप से आपकी ब्राउज़र विंडो पर पॉप अप प्रतीत होगा, क्योंकि इसे इसके अंदर होना है)…
...इसे *वास्तविक ब्राउज़र विंडो से बाहर ले जाने का प्रयास करें*, और यदि यह ब्राउज़र के अंदर "कैद" है, तो आप जानते हैं कि यह वास्तविक सौदा नहीं है!
ग्रुप-आईबी शोधकर्ताओं की रिपोर्ट के बारे में दिलचस्प बात यह है कि जब उन्हें इस बात का पता चला, तो बदमाश वास्तव में स्टीम गेम के खिलाड़ियों के खिलाफ इसका इस्तेमाल कर रहे थे।
और, ज़ाहिर है, यह चाहता है कि आप अपने स्टीम खाते में लॉग इन करें ...
... और अगर आपको पहले पृष्ठ से मूर्ख बनाया गया था, तो यह स्टीम के दो-कारक प्रमाणीकरण सत्यापन का भी पालन करेगा।
और चाल यह थी कि यदि वे वास्तव में *अलग* होते, तो आप उन्हें अपनी मुख्य ब्राउज़र विंडो के एक तरफ खींच सकते थे, लेकिन वे नहीं थे।
इस मामले में, सौभाग्य से, रसोइयों ने अपना सीएसएस बहुत अच्छी तरह से नहीं किया था।
उनकी कलाकृति घटिया थी।
लेकिन, जैसा कि आपने और मैंने पॉडकास्ट पर कई बार बात की है, डौग, कभी-कभी ऐसे बदमाश होते हैं जो चीजों को पिक्सेल-परफेक्ट बनाने के प्रयास में लग जाते हैं।
सीएसएस के साथ, आप सचमुच अलग-अलग पिक्सेल रख सकते हैं, है ना?
डौग सीएसएस दिलचस्प है।
आईटी इस व्यापक स्टाइल शीट्स... एक भाषा जिसे आप HTML दस्तावेज़ों को स्टाइल करने के लिए उपयोग करते हैं, और इसे सीखना वास्तव में आसान है और इसमें महारत हासिल करना और भी कठिन है।
बत्तख। [हंसते हैं] निश्चित रूप से आईटी की तरह लगता है।
डौग [हंसते हैं] हाँ, यह बहुत सी चीजों की तरह है!
लेकिन एचटीएमएल सीखने के बाद यह पहली चीज है जो आप सीखते हैं।
यदि आप सोच रहे हैं, "मैं इस वेब पेज को बेहतर बनाना चाहता हूं", तो आप सीएसएस सीखते हैं।
इसलिए, स्रोत दस्तावेज़ के इन उदाहरणों में से कुछ को देखकर, जिन्हें आपने लेख से लिंक किया है, आप बता सकते हैं कि वास्तव में अच्छा नकली करना वास्तव में कठिन होगा, जब तक कि आप सीएसएस में वास्तव में अच्छे न हों।
लेकिन अगर आप इसे सही तरीके से करते हैं, तो यह पता लगाना बहुत मुश्किल होगा कि यह एक नकली दस्तावेज़ है...
... जब तक आप ऐसा नहीं करते जैसा आप कहते हैं: इसे एक खिड़की से बाहर निकालने का प्रयास करें और इसे अपने डेस्कटॉप के चारों ओर ले जाएं, इस तरह की चीजें।
यह यहां आपके दूसरे बिंदु की ओर जाता है: संदिग्ध खिड़कियों की सावधानीपूर्वक जांच करें।
उनमें से बहुत से शायद नेत्र परीक्षण पास नहीं करने जा रहे हैं, लेकिन यदि वे ऐसा करते हैं, तो उनका पता लगाना वास्तव में कठिन होगा।
जो हमें तीसरी चीज़ की ओर ले जाता है…
"यदि संदेह है / इसे न दें।"
अगर यह बिल्कुल सही नहीं लगता है, और आप निश्चित रूप से यह नहीं बता पा रहे हैं कि कुछ अजीब है, तो बस तुकबंदी का पालन करें!
बत्तख। और यह उन अज्ञात वेबसाइटों, वेबसाइटों के बारे में संदेह करने योग्य है जिनका आपने पहले उपयोग नहीं किया है, जो अचानक कहती हैं, "ठीक है, हम आपसे Google विंडो में अपने Google खाते से, या Facebook विंडो में Facebook से लॉग इन करने के लिए कहने जा रहे हैं। "
या स्टीम विंडो में स्टीम करें।
डौग हां.
मुझे यहां बी-शब्द का उपयोग करने से नफरत है, लेकिन इसकी सादगी में यह लगभग शानदार है।
लेकिन फिर, सीएसएस और इस तरह की चीजों का उपयोग करके एक पिक्सेल सही मैच को खींचना वाकई मुश्किल होगा।
बत्तख। मुझे लगता है कि याद रखने वाली महत्वपूर्ण बात यह है कि, क्योंकि सिमुलेशन का हिस्सा ब्राउज़र का "क्रोम" [ब्राउज़र के उपयोगकर्ता इंटरफ़ेस घटकों के लिए शब्दजाल] है, पता बार सही दिखाई देगा।
यह एकदम सही भी लग सकता है।
लेकिन बात यह है कि यह एड्रेस बार नहीं है...
...यह एक एड्रेस बार का *तस्वीर* है।
डौग ठीक ठीक!
सब ठीक है, सावधान!
और, उन चीजों के बारे में बात करना जो वे नहीं दिखती हैं, मैं DEADBOLT रैंसमवेयर और QNAP NAS उपकरणों के बारे में पढ़ रहा हूं, और मुझे ऐसा लगता है जैसे हमने अभी इस सटीक कहानी पर बहुत पहले चर्चा की थी।
बत्तख। हाँ, हमने इस बारे में लिखा है इस साल अब तक नग्न सुरक्षा पर कई बार दुर्भाग्य से।
यह उन मामलों में से एक है जहां बदमाशों के लिए काम करने वाला एक बार दो बार, तीन बार, चार बार, पांच बार काम करता है।
और NAS, या नेटवर्क संलग्न संग्रहण डिवाइस, यदि आप चाहें, तो ब्लैक-बॉक्स सर्वर हैं जिन्हें आप जा सकते हैं और खरीद सकते हैं - वे आम तौर पर किसी प्रकार का लिनक्स कर्नेल चलाते हैं।
विचार यह है कि विंडोज लाइसेंस खरीदने या लिनक्स सीखने के बजाय, सांबा स्थापित करें, इसे स्थापित करें, अपने नेटवर्क पर फ़ाइल साझा करना सीखें ...
... आप बस इस डिवाइस में प्लग इन करें और, "बिंगो", यह काम करना शुरू कर देता है।
यह एक वेब-सुलभ फ़ाइल सर्वर है और, दुर्भाग्य से, यदि फ़ाइल सर्वर में कोई भेद्यता है और आपने (दुर्घटना या डिज़ाइन द्वारा) इसे इंटरनेट पर सुलभ बना दिया है, तो बदमाश उस भेद्यता का फायदा उठाने में सक्षम हो सकते हैं, यदि इसमें कोई एक है वह NAS डिवाइस, दूर से।
वे आपके नेटवर्क के लिए कुंजी भंडारण स्थान पर सभी फाइलों को खंगालने में सक्षम हो सकते हैं, चाहे वह एक घरेलू नेटवर्क या छोटा व्यवसाय नेटवर्क हो, और मूल रूप से आपको लैपटॉप और फोन जैसे व्यक्तिगत अन्य उपकरणों पर हमला करने की चिंता किए बिना फिरौती के लिए पकड़ सकता है। नेटवर्क।
इसलिए, उन्हें आपके लैपटॉप को संक्रमित करने वाले मैलवेयर के साथ खिलवाड़ करने की आवश्यकता नहीं है, और उन्हें आपके नेटवर्क में सेंध लगाने और पारंपरिक रैंसमवेयर अपराधियों की तरह इधर-उधर भटकने की आवश्यकता नहीं है।
वे मूल रूप से आपकी सभी फाइलों को खंगालते हैं, और फिर - फिरौती नोट पेश करने के लिए - वे बस बदलते हैं (मुझे हंसना नहीं चाहिए, डौग) ... वे सिर्फ आपके NAS डिवाइस पर लॉगिन पेज बदलते हैं।
इसलिए, जब आप पाते हैं कि आपकी सभी फाइलें गड़बड़ हैं और आप सोचते हैं, "यह अजीब है", और आप अपने वेब ब्राउज़र के साथ कूदते हैं और वहां से जुड़ते हैं, तो आपको पासवर्ड संकेत नहीं मिलता है!
आपको एक चेतावनी मिलती है: "आपकी फाइलें DEADBOLT द्वारा लॉक कर दी गई हैं। क्या हुआ? आपकी सभी फाइलें एन्क्रिप्ट कर दी गई हैं।"
और फिर भुगतान कैसे करें, इस पर निर्देश आते हैं।
डौग और उन्होंने यह भी पेशकश की है कि क्यूएनएपी सभी के लिए फाइलों को अनलॉक करने के लिए एक बड़ी राशि दे सकता है।
बत्तख। मेरे पास जो स्क्रीनशॉट हैं नवीनतम लेख नंगासुरक्षा.सोफोस.कॉम शो पर:
1. 0.03 बिटकॉइन पर व्यक्तिगत डिक्रिप्शन, मूल रूप से यूएस $ 1200 के बारे में जब यह बात पहले व्यापक हो गई, अब लगभग यूएस $ 600।
2. एक बीटीसी 5.00 विकल्प, जहां क्यूएनएपी को भेद्यता के बारे में बताया जाता है ताकि वे इसे ठीक कर सकें, जो स्पष्ट रूप से वे भुगतान नहीं करने जा रहे हैं क्योंकि वे पहले से ही भेद्यता के बारे में जानते हैं। (इसीलिए इस विशेष मामले में एक पैच आउट है।)
3. जैसा कि आप कहते हैं, एक बीटीसी 50 विकल्प है (यह अब 1 मिलियन डॉलर है; जब यह पहली कहानी पहली बार सामने आई थी तब यह 2 मिलियन डॉलर था)। जाहिरा तौर पर अगर QNAP किसी ऐसे व्यक्ति की ओर से $ 1,000,000 का भुगतान करता है जो संक्रमित हो सकता है, तो अगर आपको कोई आपत्ति नहीं है, तो बदमाश एक मास्टर डिक्रिप्शन कुंजी प्रदान करेंगे।
और यदि आप उनकी जावास्क्रिप्ट को देखते हैं, तो यह वास्तव में जांचता है कि आपके द्वारा डाला गया पासवर्ड *दो* हैश में से एक से मेल खाता है या नहीं।
आपके संक्रमण के लिए एक अद्वितीय है - बदमाश इसे हर बार अनुकूलित करते हैं, इसलिए जावास्क्रिप्ट में हैश है, और पासवर्ड नहीं देता है।
और एक और हैश है, अगर आप इसे क्रैक कर सकते हैं, तो ऐसा लगता है कि यह दुनिया में हर किसी के लिए मास्टर पासवर्ड पुनर्प्राप्त करेगा ...
... मुझे लगता है कि सिर्फ बदमाश हर किसी की नाक में दम कर रहे थे।
डौग यह भी दिलचस्प है कि प्रत्येक उपयोगकर्ता के लिए $ 600 बिटकॉइन की फिरौती है ... मैं "अपमानजनक नहीं" कहना नहीं चाहता, लेकिन यदि आप इस लेख के टिप्पणी अनुभाग में देखते हैं, तो कई लोग हैं जो न केवल भुगतान करने के बारे में बात कर रहे हैं फिरौती…
...लेकिन यहां हमारे पाठक प्रश्न पर आगे बढ़ते हैं।
रीडर माइकल ने इस हमले के साथ अपना अनुभव साझा किया, और वह अकेला नहीं है - इस टिप्पणी अनुभाग में अन्य लोग हैं जो समान चीजों की रिपोर्ट कर रहे हैं।
कुछ टिप्पणियों में, वे कहते हैं (मैं उस पर एक तरह की टिप्पणी करने जा रहा हूं):
"मैं इसके माध्यम से रहा हूं, और फिरौती का भुगतान करने के बाद ठीक हो गया। मेरी डिक्रिप्शन कुंजी के साथ विशिष्ट रिटर्न कोड ढूँढना सबसे कठिन हिस्सा था। सबसे मूल्यवान सबक सीखा। ”
अपनी अगली टिप्पणी में वह उन सभी कदमों से गुजरता है जो उन्हें वास्तव में फिर से काम करने के लिए उठाने के लिए उठाए गए थे।
और वह इसके साथ उतरता है:
"मुझे यह कहते हुए शर्म आ रही है कि मैं आईटी में काम करता हूं, 20+ साल से हूं, और इस क्यूएनएपी यूपीएनपी बग ने काट लिया है। इसके माध्यम से खुशी हुई। ”
बत्तख। वाह, हाँ, यह काफी बयान है, है ना?
लगभग मानो वह कह रहा हो, "मैं इन बदमाशों के खिलाफ खुद का समर्थन करता, लेकिन मैं शर्त हार गया और इसके लिए मुझे $ 600 और पूरे समय का खर्च उठाना पड़ा।"
अर्घ!
डौग उसका मतलब क्या है "उसकी विवरण कुंजी के साथ विशिष्ट रिटर्न कोड"?
बत्तख। आह, हाँ, यह बहुत दिलचस्प है... बहुत दिलचस्प है। (मैं यहां अद्भुत-स्लैश-शानदार नहीं कहने का प्रयास कर रहा हूं।) [हँसी]
मैं सी-शब्द का उपयोग नहीं करना चाहता, और कहता हूं कि यह "चतुर" है, लेकिन यह एक तरह का है।
आप इन बदमाशों से कैसे संपर्क करते हैं? क्या उन्हें ईमेल पते की आवश्यकता है? क्या इसका पता लगाया जा सकता है? क्या उन्हें एक डार्कवेब साइट की आवश्यकता है?
ये बदमाश नहीं करते।
क्योंकि, याद रखें, एक डिवाइस है, और मैलवेयर को उस डिवाइस पर हमला करने पर कस्टमाइज़ और पैक किया जाता है ताकि उसमें एक अद्वितीय बिटकॉइन पता हो।
और, मूल रूप से, आप इन बदमाशों के साथ उनके बटुए में बिटकॉइन की निर्दिष्ट राशि का भुगतान करके संवाद करते हैं।
मुझे लगता है कि इसीलिए उन्होंने राशि को तुलनात्मक रूप से मामूली रखा है...
... मैं यह सुझाव नहीं देना चाहता कि हर किसी के पास फिरौती पर फेंकने के लिए $600 है, लेकिन ऐसा नहीं है कि आप यह तय करने के लिए सामने बातचीत कर रहे हैं कि आप $ 100,000 या $ 80,000 या $ 42,000 का भुगतान करने जा रहे हैं।
आप उन्हें राशि का भुगतान करें... कोई बातचीत नहीं, कोई चैट नहीं, कोई ईमेल नहीं, कोई त्वरित संदेश नहीं, कोई सहायता मंच नहीं।
आप बस निर्दिष्ट बिटकॉइन पते पर पैसा भेजें, और उनके पास स्पष्ट रूप से उन बिटकॉइन पतों की एक सूची होगी जिनकी वे निगरानी कर रहे हैं।
जब पैसा आता है, और वे देखते हैं कि यह आ गया है, तो वे जानते हैं कि आपने (और आप अकेले) भुगतान किया है, क्योंकि वह वॉलेट कोड अद्वितीय है।
और फिर वे वही करते हैं, जो प्रभावी रूप से (मैं दुनिया के सबसे बड़े एयर-कोट्स का उपयोग कर रहा हूं) ब्लॉकचैन पर "रिफंड", राशि के लिए बिटकॉइन लेनदेन का उपयोग करके, डौग, शून्य डॉलर का।
और उस उत्तर, उस लेन-देन में वास्तव में एक टिप्पणी शामिल है। (याद करो पॉली नेटवर्क हैक? वे एथेरियम ब्लॉकचेन टिप्पणियों का उपयोग यह कहने की कोशिश करने के लिए कर रहे थे, "प्रिय, मिस्टर व्हाइट हैट, क्या आप हमें सारे पैसे वापस नहीं देंगे?")
तो आप बदमाशों को भुगतान करते हैं, इस प्रकार यह संदेश देते हैं कि आप उनके साथ जुड़ना चाहते हैं, और वे आपको $ 0 और 32-हेक्साडेसिमल वर्ण टिप्पणी का भुगतान करते हैं ...
... जो 16 कच्ची बाइनरी बाइट्स है, जो कि 128 बिट डिक्रिप्शन कुंजी है जिसकी आपको आवश्यकता है।
इस तरह आप उनसे बात करते हैं।
और, जाहिरा तौर पर, उन्होंने इसे टी तक सीमित कर दिया है - जैसे माइकल ने कहा, घोटाला काम करता है।
और माइकल की एकमात्र समस्या यह थी कि वह बिटकॉइन खरीदने, या ब्लॉकचेन डेटा के साथ काम करने और उस रिटर्न कोड को निकालने के लिए अभ्यस्त नहीं था, जो मूल रूप से लेनदेन "भुगतान" में टिप्पणी है कि वह $ 0 के लिए वापस मिलता है।
इसलिए, वे बहुत ही कुटिल तरीकों से प्रौद्योगिकी का उपयोग कर रहे हैं।
मूल रूप से, वे ब्लॉकचेन का उपयोग भुगतान वाहन और संचार उपकरण दोनों के रूप में कर रहे हैं।
डौग ठीक है, वास्तव में एक बहुत ही रोचक कहानी।
हम उस पर नजर रखेंगे।
और उस टिप्पणी में भेजने के लिए माइकल, आपका बहुत-बहुत धन्यवाद।
यदि आपके पास कोई दिलचस्प कहानी, टिप्पणी या प्रश्न है जिसे आप सबमिट करना चाहते हैं, तो हमें इसे पॉडकास्ट पर पढ़ना अच्छा लगेगा।
आप tips@sophos.com पर ईमेल कर सकते हैं, आप हमारे किसी भी लेख पर टिप्पणी कर सकते हैं, या आप हमें सामाजिक: @NakedSecurity पर संपर्क कर सकते हैं।
आज के लिए यही हमारा शो है - सुनने के लिए बहुत-बहुत धन्यवाद।
पॉल डकलिन के लिए, मैं डौग आमोथ हूं, अगली बार तक, आपको याद दिला रहा हूं ...
दोनों को। सुरक्षित रहें।
[संगीत मोडेम]
- blockchain
- कॉइनजीनियस
- क्रिप्टोकुरेंसी वॉलेट्स
- क्रिप्टोकरंसीज
- साइबर सुरक्षा
- cybercrime
- साइबर अपराधी
- साइबर सुरक्षा
- कंट्रोल
- घर की भूमि सुरक्षा का विभाग
- डिजिटल पर्स
- फ़ायरवॉल
- Kaspersky
- मैलवेयर
- McAfee
- नग्न सुरक्षा
- नग्न सुरक्षा पॉडकास्ट
- नेक्सब्लॉक
- प्लेटो
- प्लेटो एआई
- प्लेटो डेटा इंटेलिजेंस
- प्लेटो गेम
- प्लेटोडाटा
- प्लेटोगेमिंग
- पॉडकास्ट
- Ransomware
- वीपीएन
- वेबसाइट सुरक्षा
- जेफिरनेट
- शून्य दिवस
![S3 Ep118: अपने पासवर्ड का अनुमान लगाएं? अगर यह पहले ही चोरी हो गया है तो कोई ज़रूरत नहीं है! [ऑडियो + टेक्स्ट]](https://platoaistream.com/wp-content/uploads/2023/01/s3-ep118-guess-your-password-no-need-if-its-stolen-already-audio-text-360x188.png)
