DENGARKAN SEKARANG
Dengan Doug Aamoth dan Paul Ducklin.
Musik intro dan outro oleh Edith Mudge.
Klik-dan-tarik gelombang suara di bawah untuk melompat ke titik mana pun. Anda juga bisa dengarkan langsung di Soundcloud.
Anda dapat mendengarkan kami di SoundCloud, Podcast Apple, Google Podcast, Spotify, Mesin penjahit dan di mana pun podcast bagus ditemukan. Atau jatuhkan saja URL umpan RSS kami ke dalam podcatcher favorit Anda.
BACA TRANSKRIPNYA
ANJING. Deadbolt – sudah kembali!
Patch berlimpah!
Dan zona waktu… ya, zona waktu.
Semua itu, dan banyak lagi, di Podcast Keamanan Telanjang.
[MODEM MUSIK]
Selamat datang di podcast, semuanya.
Saya Doug Aamoth.
Dengan saya, seperti biasa, adalah Paul Ducklin.
Paul, episode ke-100 yang sangat membahagiakan bagimu, temanku!
BEBEK. Wah, Doug!
Anda tahu, ketika saya memulai struktur direktori saya untuk Seri 3, saya dengan berani menggunakan -001 untuk episode pertama.
ANJING. Aku tidak. [TERTAWA]
BEBEK. Tidak -1 or -01.
ANJING. Pintar…
BEBEK. Saya memiliki iman yang besar!
Dan ketika saya menyimpan file hari ini, saya akan bersukacita di dalamnya.
ANJING. Ya, dan saya akan takut karena itu akan muncul ke atas.
Yah, aku harus berurusan dengan itu nanti …
BEBEK. [TERTAWA] Anda bisa mengganti nama semua hal lainnya.
ANJING. Saya tahu saya tahu.
[Bergumam] Tidak berharap untuk itu ... begitulah hari Rabu saya.
Bagaimanapun, mari kita mulai pertunjukan dengan beberapa Sejarah Teknologi.
Minggu ini, pada tanggal 12 September 1959, Bulan 2, juga dikenal sebagai Roket Kosmik Soviet Kedua, menjadi pesawat ruang angkasa pertama yang mencapai permukaan Bulan, dan objek buatan manusia pertama yang melakukan kontak dengan benda langit lain.
Sangat keren.
BEBEK. Apa nama panjang itu?
“Roket Kosmik Soviet Kedua”?
ANJING. Ya.
BEBEK. Luna Dua jauh lebih baik.
ANJING. Ya, jauh lebih baik!
BEBEK. Rupanya, seperti yang dapat Anda bayangkan, mengingat bahwa itu adalah era perlombaan luar angkasa, ada beberapa kekhawatiran, “Bagaimana kita tahu bahwa mereka benar-benar melakukannya? Mereka bisa saja mengatakan bahwa mereka telah mendarat di Bulan, dan mungkin mereka mengada-ada.”
Rupanya, mereka merancang protokol yang memungkinkan pengamatan independen.
Mereka memperkirakan waktu tiba di Bulan, menabrak Bulan, dan mereka mengirimkan waktu yang tepat seperti yang mereka harapkan kepada seorang astronom di Inggris.
Dan dia mengamati secara mandiri, untuk melihat apakah apa yang mereka katakan *akan* terjadi pada saat itu *benar-benar terjadi.
Jadi mereka bahkan berpikir, “Bagaimana Anda memverifikasi sesuatu seperti ini?”
ANJING. Nah, tentang masalah yang rumit, kami memiliki tambalan dari Microsoft dan Apple.
Jadi apa yang menonjol di babak terbaru ini?
BEBEK. Kami pasti melakukannya – ini adalah patch Selasa minggu ini, Selasa kedua setiap bulan.
Ada dua kerentanan di Patch Tuesday yang penting bagi saya.
Salah satunya terkenal karena tampaknya di alam liar – dengan kata lain, itu adalah hari-nol.
Dan meskipun ini bukan eksekusi kode jarak jauh, ini sedikit mengkhawatirkan karena ini adalah kerentanan file log [COUGHS APOLOGICALLY], Doug!
Ini tidak cukup seperti seburuk Log4J, di mana Anda tidak hanya bisa membuat logger berperilaku buruk, Anda juga bisa melakukannya jalankan kode arbitrer untuk Anda.
Tetapi tampaknya jika Anda mengirim beberapa jenis data yang salah ke dalam driver Windows Common Log File System, CLFS, maka Anda dapat mengelabui sistem agar mempromosikan Anda ke hak istimewa sistem.
Selalu buruk jika Anda masuk sebagai pengguna tamu, dan Anda kemudian dapat mengubah diri Anda menjadi sysadmin…
ANJING. [TERTAWA] Ya!
BEBEK. Yaitu CVE-2022-37969.
Dan satu lagi yang menurut saya menarik…
… untungnya tidak di alam liar, tapi ini adalah salah satu yang benar-benar perlu Anda tambal, karena saya yakin Andalah yang akan difokuskan oleh penjahat dunia maya pada rekayasa balik:
“Kerentanan eksekusi kode jarak jauh Windows TCP/IP”, CVE-2022-34718.
Jika kamu ingat Kode merah, dan Pembanting SQL, dan worm nakal di masa lalu, di mana mereka baru saja tiba dalam paket jaringan, dan macet ke dalam sistem….
Ini adalah level yang lebih rendah dari itu.
Rupanya, bug dalam penanganan paket IPv6 tertentu.
Jadi apa pun di mana IPv6 mendengarkan, yang hampir semua komputer Windows, bisa berisiko dari ini.
Seperti yang saya katakan, itu tidak ada di alam liar, jadi penjahat belum menemukannya, tetapi saya tidak ragu bahwa mereka akan mengambil patch dan mencoba mencari tahu apakah mereka dapat merekayasa balik eksploitasi darinya, untuk menangkap orang-orang yang belum ditambal.
Karena jika ada yang mengatakan, “Whoa! Bagaimana jika seseorang menulis worm yang menggunakan ini?”… itu yang saya khawatirkan.
ANJING. OK.
Dan kemudian ke Apple…
BEBEK. Kami telah menulis dua cerita tentang tambalan Apple baru-baru ini, di mana, tiba-tiba, tiba-tiba ada tambalan untuk iPhone dan iPads dan Mac melawan dua hari nol di alam liar.
Salah satunya adalah bug browser, atau bug terkait penjelajahan, sehingga Anda dapat menjelajahi situs web yang tampak tidak bersalah dan malware dapat mendarat di komputer Anda, ditambah satu lagi yang memberi Anda kontrol tingkat kernel…
… yang, seperti yang saya katakan di podcast terakhir, berbau seperti spyware bagi saya – sesuatu yang akan diminati oleh vendor spyware atau “penjahat siber pengawasan” yang sangat serius.
Kemudian ada pembaruan kedua, yang mengejutkan kami, untuk iOS 12, yang kita semua pikir telah lama ditinggalkan.
Di sana, salah satu bug itu (peramban terkait yang memungkinkan penjahat masuk) mendapat tambalan.
Dan kemudian, tepat ketika saya mengharapkan iOS 16, semua email ini tiba-tiba mulai masuk ke kotak masuk saya – tepat setelah saya memeriksa, “Apakah iOS 16 sudah keluar? Bisakah saya memperbaruinya? ”
Itu tidak ada, tapi kemudian saya mendapatkan semua email yang mengatakan, “Kami baru saja memperbarui iOS 15, dan macOS Monterey, dan Big Sur, dan iPadOS 15″…
… dan ternyata ada banyak pembaruan, ditambah kernel baru zero-day kali ini juga.
Dan yang menarik adalah, setelah saya mendapat notifikasi, saya berpikir, “Nah, coba saya cek lagi…”
(Jadi kamu bisa ingat, itu Settings > Umum > Memperbarui perangkat lunak di iPhone atau iPad Anda.)
Lihatlah, saya ditawari pembaruan ke iOS 15, yang sudah saya miliki, * atau * saya bisa melompat ke iOS 16.
Dan iOS 16 juga memiliki perbaikan zero-day di dalamnya (meskipun iOS 16 secara teoritis belum keluar), jadi saya kira bug juga ada di versi beta.
Itu tidak terdaftar secara resmi sebagai zero-day di buletin Apple untuk iOS 16, tetapi kami tidak dapat memastikan apakah itu karena eksploitasi yang dilihat Apple tidak berfungsi dengan baik di iOS 16, atau apakah itu tidak dianggap sebagai nol- hari karena iOS 16 baru saja keluar.
ANJING. Ya, saya akan mengatakan: belum ada yang memilikinya. [TAWA]
BEBEK. Itu adalah berita besar dari Apple.
Dan yang penting adalah ketika Anda membuka ponsel Anda, dan Anda berkata, “Oh, iOS 16 tersedia”… jika Anda belum tertarik dengan iOS 16, Anda masih perlu memastikan bahwa Anda memiliki iOS 15 itu. update, karena kernel zero-day.
Kernel zero days selalu menjadi masalah karena itu berarti seseorang di luar sana tahu cara mem-bypass pengaturan keamanan yang banyak digembar-gemborkan di iPhone Anda.
Bug juga berlaku untuk macOS Monterey dan macOS Big Sur – itu adalah versi sebelumnya, macOS 11.
Bahkan, tidak mau kalah, Big Sur sebenarnya memiliki *dua* kernel zero-day bug di alam liar.
Tidak ada berita tentang iOS 12, yang seperti yang saya harapkan, dan sejauh ini tidak ada untuk macOS Catalina.
Catalina adalah macOS 10, versi sebelumnya, dan sekali lagi, kami tidak tahu apakah pembaruan itu akan datang nanti, atau apakah itu jatuh dari ujung dunia dan tetap tidak akan mendapatkan pembaruan.
Sayangnya, Apple tidak mengatakannya, jadi kami tidak tahu.
Sekarang, sebagian besar pengguna Apple akan mengaktifkan pembaruan otomatis, tetapi, seperti yang selalu kami katakan, pergi dan periksa (apakah Anda memiliki Mac atau iPhone atau iPad), karena hal terburuknya adalah menganggap bahwa otomatis Anda pembaruan berfungsi dan membuat Anda tetap aman…
… padahal sebenarnya, ada yang tidak beres.
ANJING. Oke bagus sekali.
Sekarang, sesuatu yang saya nantikan, terus berlanjut, adalah: "Apa hubungannya zona waktu dengan keamanan TI?"
BEBEK. Ternyata cukup banyak, Doug.
ANJING. [TERTAWA] Yasir!
BEBEK. Zona waktu sangat sederhana dalam konsep.
Mereka sangat nyaman untuk menjalankan hidup kita sehingga jam kita kira-kira cocok dengan apa yang terjadi di langit – jadi gelap di malam hari dan terang di siang hari. (Mari kita abaikan waktu musim panas, dan anggap saja kita hanya memiliki zona waktu satu jam di seluruh dunia sehingga semuanya benar-benar sederhana.)
Masalahnya muncul ketika Anda benar-benar menyimpan log sistem di sebuah organisasi di mana beberapa server Anda, beberapa pengguna Anda, beberapa bagian jaringan Anda, beberapa pelanggan Anda, berada di bagian lain dunia.
Saat Anda menulis ke file log, apakah Anda menulis waktu dengan memperhitungkan zona waktu?
Saat Anda menulis log Anda, Doug, apakah Anda mengurangi 5 jam (atau 4 jam saat ini) yang Anda butuhkan karena Anda berada di Boston, sedangkan saya menambahkan satu jam karena saya menggunakan waktu London, tetapi ini musim panas ?
Apakah saya menulisnya di log sehingga masuk akal bagi *saya* ketika saya membaca log kembali?
Atau apakah saya menulis waktu yang lebih kanonik dan tidak ambigu menggunakan zona waktu yang sama untuk *semua orang*, jadi ketika saya membandingkan log yang berasal dari komputer yang berbeda, pengguna yang berbeda, bagian dunia yang berbeda di jaringan saya, saya benar-benar dapat menyusun acara?
Sangat penting untuk mengatur acara, Doug, terutama jika Anda melakukan respons ancaman dalam serangan cyber.
Anda benar-benar perlu tahu apa yang datang lebih dulu.
Dan jika Anda berkata, “Oh, itu tidak terjadi sampai jam 3 sore”, itu tidak membantu saya jika saya di Sydney, karena jam 3 sore saya terjadi kemarin dibandingkan dengan jam 3 sore Anda.
Jadi saya Menulis sebuah artikel di Naked Security tentang beberapa cara yang Anda bisa atasi masalah ini saat Anda mencatat data.
Rekomendasi pribadi saya adalah menggunakan format cap waktu yang disederhanakan yang disebut RFC 3339, di mana Anda meletakkan empat digit tahun, tanda hubung [karakter tanda hubung, ASCII 0x2D], dua digit bulan, tanda hubung, dua digit hari, dan seterusnya, sehingga stempel waktu Anda benar-benar diurutkan menurut abjad dengan baik.
Dan Anda merekam semua zona waktu Anda sebagai zona waktu yang dikenal sebagai Z (zed atau zee), kependekan dari Waktu Zulu.
Itu berarti pada dasarnya UTC atau Waktu Universal Terkoordinasi.
Itu hampir-tapi-tidak-cukup Greenwich Mean Time, dan ini adalah waktu di mana hampir setiap jam komputer atau telepon benar-benar disetel ke internal akhir-akhir ini.
Jangan mencoba dan mengimbangi zona waktu saat Anda menulis ke log, karena dengan demikian seseorang harus melakukan dekompensasi ketika mereka mencoba menyelaraskan log Anda dengan orang lain – dan ada banyak kesalahan di antara cangkir dan bibir, Doug.
Tetap sederhana.
Gunakan format teks kanonik dan sederhana yang menggambarkan dengan tepat tanggal dan waktu, hingga detik – atau, akhir-akhir ini, stempel waktu bahkan dapat diturunkan hingga nanodetik jika Anda mau.
Dan singkirkan zona waktu dari log Anda; singkirkan penghematan siang hari dari log Anda; dan hanya merekam semuanya, menurut pendapat saya, dalam Waktu Universal Terkoordinasi…
…secara membingungkan disingkat UTC, karena namanya dalam bahasa Inggris tetapi singkatannya dalam bahasa Prancis – suatu ironi.
ANJING. Ya.
BEBEK.
Saya tergoda untuk mengatakan, “Bukannya saya merasa kuat tentang hal itu, lagi”, seperti yang biasa saya lakukan, sambil tertawa…
…tetapi sangat penting untuk mengatur semuanya dengan benar, terutama ketika Anda mencoba melacak penjahat dunia maya.
ANJING. Baiklah, itu bagus – saran yang bagus.
Dan jika kita tetap pada subjek penjahat dunia maya, Anda pernah mendengar tentang serangan Manipulator-in-the-Middle; Anda pernah mendengar tentang serangan Manipulator-in-the-Browser…
..sekarang bersiaplah untuk serangan Browser-in-the-Browser.
BEBEK. Ya, ini adalah istilah baru yang kita lihat.
Saya ingin menulis ini karena para peneliti di perusahaan intelijen ancaman bernama Group-IB baru-baru ini menulis artikel tentang ini, dan media mulai berbicara tentang, "Hei, serangan Browser-in-the-Browser, takutlah", atau apa pun …
Anda berpikir, "Yah, saya ingin tahu berapa banyak orang yang benar-benar tahu apa yang dimaksud dengan serangan Browser-in-the-Browser?"
Dan hal yang mengganggu tentang serangan ini, Doug, adalah bahwa secara teknologi, mereka sangat sederhana.
Ini adalah ide yang sederhana.
ANJING. Mereka hampir artistik.
BEBEK. Iya nih!
Ini sebenarnya bukan sains dan teknologi, itu seni dan desain, bukan?
Pada dasarnya, jika Anda pernah melakukan pemrograman JavaScript (untuk kebaikan atau kejahatan), Anda akan tahu bahwa salah satu hal tentang hal-hal yang Anda tempelkan ke halaman web adalah bahwa itu dimaksudkan untuk dibatasi ke halaman web itu.
Jadi, jika Anda memunculkan jendela baru, maka Anda akan mengharapkannya untuk mendapatkan konteks browser baru.
Dan jika itu memuat halamannya dari situs baru, katakanlah situs phishing, maka itu tidak akan memiliki akses ke semua variabel JavaScript, konteks, cookie, dan semua yang dimiliki jendela utama.
Jadi, jika Anda membuka jendela terpisah, Anda membatasi kemampuan peretasan Anda jika Anda seorang penjahat.
Namun jika Anda membuka sesuatu di jendela saat ini, maka Anda secara signifikan terbatas pada seberapa menarik dan "seperti sistem" Anda dapat membuatnya terlihat, bukan?
Karena Anda tidak dapat menimpa bilah alamat… itu memang disengaja.
Anda tidak dapat menulis apa pun di luar jendela browser, jadi Anda tidak dapat secara diam-diam meletakkan jendela yang tampak seperti wallpaper di desktop, seperti yang sudah ada selama ini.
Dengan kata lain, Anda terkurung di dalam jendela browser yang Anda mulai.
Jadi ide serangan Browser-in-the-Browser adalah Anda memulai dengan situs web biasa, dan kemudian Anda membuat, di dalam jendela browser yang sudah Anda miliki, halaman web yang terlihat persis seperti jendela browser sistem operasi. .
Pada dasarnya, Anda menunjukkan kepada seseorang *gambar* dari hal yang nyata, dan meyakinkan mereka bahwa itu *adalah* hal yang nyata.
Sesederhana itu, Doug!
Tapi masalahnya adalah dengan sedikit kerja hati-hati, terutama jika Anda memiliki keterampilan CSS yang baik, Anda *bisa* benar-benar membuat sesuatu yang ada di dalam jendela browser yang ada terlihat seperti jendela browsernya sendiri.
Dan dengan sedikit JavaScript, Anda bahkan dapat membuatnya agar dapat diubah ukurannya, dan agar dapat bergerak di layar, dan Anda dapat mengisinya dengan HTML yang Anda ambil dari situs web pihak ketiga.
Sekarang, Anda mungkin bertanya-tanya ... jika para penjahat itu benar-benar mati, bagaimana Anda bisa tahu?
Dan kabar baiknya adalah ada hal yang sangat sederhana yang dapat Anda lakukan.
Jika Anda melihat apa yang tampak seperti jendela sistem operasi dan Anda mencurigainya dengan cara apa pun (pada dasarnya akan muncul jendela browser Anda, karena harus ada di dalamnya)…
...coba pindahkan *dari jendela browser yang sebenarnya*, dan jika "dipenjara" di dalam browser, Anda tahu itu bukan masalah sebenarnya!
Hal yang menarik dari laporan peneliti Group-IB adalah ketika mereka menemukan ini, para penjahat sebenarnya menggunakannya untuk melawan pemain game Steam.
Dan, tentu saja, itu ingin Anda masuk ke akun Steam Anda ...
…dan jika Anda tertipu oleh halaman pertama, maka itu bahkan akan menindaklanjuti dengan verifikasi otentikasi dua faktor Steam.
Dan triknya adalah jika itu benar-benar *adalah* jendela yang terpisah, Anda bisa menyeretnya ke satu sisi jendela browser utama Anda, tetapi sebenarnya tidak.
Dalam hal ini, untungnya, para juru masak tidak melakukan CSS mereka dengan baik.
Karya seni mereka jelek.
Tapi, seperti yang telah Anda dan saya bicarakan berkali-kali di podcast, Doug, terkadang ada penjahat yang akan berusaha membuat segala sesuatunya terlihat sempurna.
Dengan CSS, Anda benar-benar dapat memposisikan piksel individual, bukan?
ANJING. CSSnya menarik.
Nya Cascading Style Sheets… bahasa yang Anda gunakan untuk menata dokumen HTML, dan itu sangat mudah dipelajari dan bahkan lebih sulit untuk dikuasai.
BEBEK. [TERTAWA] Kedengarannya seperti itu, pasti.
ANJING. [TERTAWA] Ya, itu seperti banyak hal!
Tapi itu salah satu hal pertama yang Anda pelajari setelah Anda belajar HTML.
Jika Anda berpikir, "Saya ingin membuat halaman web ini terlihat lebih baik", Anda belajar CSS.
Jadi, dengan melihat beberapa contoh dokumen sumber yang Anda tautkan dari artikel ini, Anda dapat mengetahui bahwa akan sangat sulit untuk melakukan pemalsuan yang sangat baik, kecuali jika Anda benar-benar mahir dalam CSS.
Tetapi jika Anda melakukannya dengan benar, akan sangat sulit untuk mengetahui bahwa itu adalah dokumen palsu…
…kecuali jika Anda melakukan apa yang Anda katakan: coba tarik keluar dari jendela dan pindahkan ke desktop Anda, hal-hal seperti itu.
Itu mengarah ke poin kedua Anda di sini: periksa jendela yang dicurigai dengan hati-hati.
Banyak dari mereka mungkin tidak akan lulus tes mata, tetapi jika mereka lulus, itu akan sangat sulit dikenali.
Yang membawa kita ke hal ketiga…
“Jika ragu/Jangan berikan.”
Jika itu tidak terlihat benar, dan Anda tidak dapat secara pasti mengatakan bahwa ada sesuatu yang aneh sedang terjadi, ikuti saja sajaknya!
BEBEK. Dan patut dicurigai situs web yang tidak dikenal, situs web yang belum pernah Anda gunakan sebelumnya, yang tiba-tiba berkata, “Oke, kami akan meminta Anda untuk masuk dengan akun Google Anda di Jendela Google, atau Facebook di jendela Facebook. ”
Atau Steam di jendela Steam.
ANJING. Ya.
Saya benci menggunakan kata-B di sini, tetapi ini hampir brilian dalam kesederhanaannya.
Tetapi sekali lagi, akan sangat sulit untuk melakukan pencocokan piksel yang sempurna menggunakan CSS dan hal-hal seperti itu.
BEBEK. Saya pikir hal yang penting untuk diingat adalah, karena bagian dari simulasi adalah "chrome" [jargon untuk komponen antarmuka pengguna browser] dari browser, bilah alamat akan terlihat benar.
Bahkan mungkin terlihat sempurna.
Tapi masalahnya, itu bukan bilah alamat ...
…ini adalah *gambar* bilah alamat.
ANJING. Persis!
Baiklah, hati-hati di luar sana, semuanya!
Dan, berbicara tentang hal-hal yang tidak seperti kelihatannya, saya membaca tentang ransomware DEADBOLT, dan perangkat QNAP NAS, dan bagi saya rasanya seperti kita baru saja membahas kisah yang tepat ini belum lama ini.
BEBEK. Ya, kami sudah menulis tentang ini beberapa kali di Naked Security sepanjang tahun ini, sayangnya.
Ini adalah salah satu kasus di mana apa yang berhasil bagi para penjahat ternyata berhasil dua kali, tiga kali, empat kali, lima kali.
Dan NAS, atau Penyimpanan Terlampir Jaringan perangkat, jika Anda suka, server kotak hitam yang dapat Anda kunjungi dan beli – mereka biasanya menjalankan beberapa jenis kernel Linux.
Idenya adalah daripada harus membeli lisensi Windows, atau belajar Linux, menginstal Samba, mengaturnya, belajar bagaimana melakukan file sharing di jaringan Anda…
…Anda cukup mencolokkan perangkat ini dan, “Bingo”, itu mulai berfungsi.
Ini adalah server file yang dapat diakses web dan, sayangnya, jika ada kerentanan di server file dan Anda (secara tidak sengaja atau dirancang) membuatnya dapat diakses melalui internet, maka penjahat mungkin dapat mengeksploitasi kerentanan itu, jika ada di perangkat NAS itu, dari kejauhan.
Mereka mungkin dapat mengacak semua file di lokasi penyimpanan utama untuk jaringan Anda, apakah itu jaringan rumah atau jaringan bisnis kecil, dan pada dasarnya menahan Anda untuk mendapatkan uang tebusan tanpa harus khawatir menyerang perangkat lain seperti laptop dan ponsel di perangkat Anda. jaringan.
Jadi, mereka tidak perlu dipusingkan dengan malware yang menginfeksi laptop Anda, dan mereka tidak perlu membobol jaringan Anda dan berkeliaran seperti penjahat ransomware tradisional.
Mereka pada dasarnya mengacak semua file Anda, dan kemudian – untuk menyajikan catatan tebusan – mereka hanya berubah (saya tidak boleh tertawa, Doug)… mereka hanya mengubah halaman login pada perangkat NAS Anda.
Jadi, ketika Anda menemukan semua file Anda kacau dan Anda berpikir, "Itu lucu", dan Anda masuk dengan browser web Anda dan terhubung di sana, Anda tidak mendapatkan prompt kata sandi!
Anda mendapatkan peringatan: “File Anda telah dikunci oleh DEADBOLT. Apa yang terjadi? Semua file Anda telah dienkripsi.”
Dan kemudian datang instruksi tentang cara membayar.
ANJING. Dan mereka juga dengan baik hati menawarkan bahwa QNAP dapat memberikan sejumlah uang untuk membuka kunci file untuk semua orang.
BEBEK. Tangkapan layar yang saya miliki di artikel terbaru di nakedsecurity.sophos.com tampilkan:
1. Dekripsi individu pada 0.03 bitcoin, awalnya sekitar US$1200 ketika hal ini pertama kali tersebar luas, sekarang sekitar US$600.
2. Opsi BTC 5.00, di mana QNAP diberitahu tentang kerentanan sehingga mereka dapat memperbaikinya, yang jelas mereka tidak akan membayar karena mereka sudah tahu tentang kerentanan. (Itulah mengapa ada tambalan dalam kasus khusus ini.)
3. Seperti yang Anda katakan, ada opsi BTC 50 (sekarang $1 juta; itu $2 juta saat cerita pertama ini pertama kali pecah). Rupanya jika QNAP membayar $ 1,000,000 atas nama siapa saja yang mungkin telah terinfeksi, para penjahat akan memberikan kunci dekripsi utama, jika Anda tidak keberatan.
Dan jika Anda melihat JavaScript mereka, itu benar-benar memeriksa apakah kata sandi yang Anda masukkan cocok dengan salah satu dari *dua* hash.
Salah satunya unik untuk infeksi Anda – penjahat menyesuaikannya setiap saat, jadi JavaScript memiliki hash di dalamnya, dan tidak memberikan kata sandi.
Dan ada hash lain yang, jika Anda dapat memecahkannya, sepertinya akan memulihkan kata sandi utama untuk semua orang di dunia…
… Saya pikir itu hanya penjahat yang mengacungkan hidung mereka pada semua orang.
ANJING. Menarik juga bahwa tebusan bitcoin $600 untuk setiap pengguna adalah… Saya tidak ingin mengatakan “tidak keterlaluan”, tetapi jika Anda melihat di bagian komentar artikel ini, ada beberapa orang yang tidak hanya berbicara tentang telah membayar tebusan…
…tapi mari kita lompat ke pertanyaan pembaca kita di sini.
Pembaca Michael berbagi pengalamannya dengan serangan ini, dan dia tidak sendirian – ada orang lain di bagian komentar ini yang melaporkan hal serupa.
Di beberapa komentar, dia berkata (saya akan membuat komentar jujur tentang itu):
“Saya telah melalui ini, dan keluar dengan baik setelah membayar uang tebusan. Menemukan kode pengembalian spesifik dengan kunci dekripsi saya adalah bagian tersulit. Belajar pelajaran yang paling berharga.”
Dalam komentar berikutnya, dia melakukan semua langkah yang harus dia ambil untuk benar-benar membuat semuanya berfungsi kembali.
Dan dia turun dengan:
“Saya malu untuk mengatakan bahwa saya bekerja di bidang TI, telah bekerja selama 20+ tahun, dan digigit oleh bug uPNP QNAP ini. Senang bisa melewatinya.”
BEBEK. Wow, ya, itu pernyataan yang cukup bagus, bukan?
Hampir seolah-olah dia berkata, "Saya akan mendukung diri saya sendiri melawan penjahat ini, tetapi saya kalah taruhan dan saya harus membayar $ 600 dan banyak waktu."
Aaargh!
ANJING. Apa yang dia maksud dengan “kode pengembalian spesifik dengan kunci deskripsinya”?
BEBEK. Ah, ya, itu sangat menarik… sangat menggelitik. (Saya mencoba untuk tidak mengatakan luar biasa-tebasan-brilian di sini.) [TERTAWA]
Saya tidak ingin menggunakan kata-C, dan mengatakan itu "pintar", tapi semacam itu.
Bagaimana Anda menghubungi penjahat ini? Apakah mereka memerlukan alamat email? Mungkinkah itu dilacak? Apakah mereka membutuhkan situs web gelap?
Penjahat ini tidak.
Karena, ingat, ada satu perangkat, dan malware dikustomisasi dan dikemas saat menyerang perangkat itu sehingga memiliki alamat Bitcoin unik di dalamnya.
Dan, pada dasarnya, Anda berkomunikasi dengan penjahat ini dengan membayar sejumlah bitcoin yang ditentukan ke dalam dompet mereka.
Saya kira itu sebabnya mereka menjaga jumlah yang relatif sederhana…
…Saya tidak ingin menyarankan bahwa setiap orang memiliki $600 untuk dijadikan tebusan, tetapi Anda tidak bernegosiasi di depan untuk memutuskan apakah Anda akan membayar $100,000 atau $80,000 atau $42,000.
Anda membayar mereka sejumlah… tidak ada negosiasi, tidak ada obrolan, tidak ada email, tidak ada pesan instan, tidak ada forum dukungan.
Anda cukup mengirim uang ke alamat bitcoin yang ditentukan, dan mereka jelas akan memiliki daftar alamat bitcoin yang mereka pantau.
Ketika uang itu tiba, dan mereka melihatnya telah tiba, mereka tahu bahwa Anda (dan Anda sendiri) telah membayar, karena kode dompet itu unik.
Dan mereka kemudian melakukan apa yang, secara efektif (saya menggunakan kutipan udara terbesar di dunia) "pengembalian dana" di blockchain, menggunakan transaksi bitcoin dengan jumlah, Doug, nol dolar.
Dan balasan itu, transaksi itu, sebenarnya termasuk komentar. (Ingat Peretasan Jaringan Poli? Mereka menggunakan komentar blockchain Ethereum untuk mencoba dan berkata, “Yang terhormat, Tuan White Hat, maukah Anda mengembalikan semua uang kami?”)
Jadi Anda membayar penjahat, sehingga memberikan pesan bahwa Anda ingin terlibat dengan mereka, dan mereka membayar Anda kembali $0 ditambah komentar karakter 32-heksadesimal…
…yang merupakan 16 byte biner mentah, yang merupakan kunci dekripsi 128 bit yang Anda butuhkan.
Begitulah cara Anda berbicara dengan mereka.
Dan, tampaknya, mereka memilikinya sampai ke T – seperti yang dikatakan Michael, penipuan itu berhasil.
Dan satu-satunya masalah yang dimiliki Michael adalah dia tidak terbiasa membeli bitcoin, atau bekerja dengan data blockchain dan mengekstrak kode pengembalian itu, yang pada dasarnya adalah komentar dalam "pembayaran" transaksi yang dia dapatkan kembali sebesar $0.
Jadi, mereka menggunakan teknologi dengan cara yang sangat licik.
Pada dasarnya, mereka menggunakan blockchain baik sebagai kendaraan pembayaran dan sebagai alat komunikasi.
ANJING. Baiklah, cerita yang sangat menarik memang.
Kami akan mengawasi itu.
Dan terima kasih banyak, Michael, untuk mengirimkan komentar itu.
Jika Anda memiliki cerita, komentar, atau pertanyaan menarik yang ingin Anda sampaikan, kami ingin membacanya di podcast.
Anda dapat mengirim email ke tips@sophos.com, Anda dapat mengomentari salah satu artikel kami, atau Anda dapat menghubungi kami di sosial: @NakedSecurity.
Itulah acara kami hari ini – terima kasih banyak telah mendengarkan.
Untuk Paul Ducklin, saya Doug Aamoth, mengingatkan Anda, sampai waktu berikutnya, untuk…
KEDUA. Tetap aman.
[MODEM MUSIK]
- blockchain
- kecerdasan
- dompet cryptocurrency
- pertukaran kripto
- keamanan cyber
- cybercrime
- penjahat cyber
- Keamanan cyber
- Gerendel
- Departemen Keamanan Dalam Negeri
- dompet digital
- firewall
- Kaspersky
- malware
- mcafe
- Keamanan Telanjang
- Podcast Keamanan Telanjang
- BerikutnyaBLOC
- plato
- plato ai
- Kecerdasan Data Plato
- Permainan Plato
- Data Plato
- permainan plato
- podcast
- ransomware
- VPN
- website security
- zephyrnet.dll
- Nol Day
![S3 Ep118: Tebak kata sandi Anda? Tidak perlu jika sudah dicuri! [Audio + Teks]](https://platoaistream.com/wp-content/uploads/2023/01/s3-ep118-guess-your-password-no-need-if-its-stolen-already-audio-text-360x188.png)
