ASCOLTA ORA
Con Doug Aamoth e Paul Ducklin.
Musica introduttiva e finale di Edith Mudge.
Fare clic e trascinare sulle onde sonore sottostanti per passare a qualsiasi punto. Puoi anche ascolta direttamente su Soundcloud.
Puoi ascoltarci su Soundcloud, Podcast Apple, Google Podcast, Spotify, Stitcher e ovunque si trovino buoni podcast. O semplicemente rilascia il URL del nostro feed RSS nel tuo podcatcher preferito.
LEGGI LA TRASCRIZIONE
DOUG. Catenaccio: è tornato!
Patch in abbondanza!
E fusi orari... sì, fusi orari.
Tutto questo, e molto altro, sul podcast Naked Security.
[MODE MUSICALE]
Benvenuti nel podcast, a tutti.
Sono Doug Aamoth.
Con me, come sempre, c'è Paul Ducklin.
Paul, un felicissimo centesimo episodio per te, amico mio!
ANATRA. Wow, Douglas!
Sai, quando ho iniziato la mia struttura di directory per la serie 3, ho usato audacemente -001 per il primo episodio.
DOUG. Io non. [RIDE]
ANATRA. Non compiere -1 or -01.
DOUG. Inteligente…
ANATRA. Avevo una grande fede!
E quando salverò il file di oggi, mi rallegrerò.
DOUG. Sì, e lo temerò perché salterà in alto.
Beh, dovrò occuparmene più tardi...
ANATRA. [RIDE] Potresti rinominare tutte le altre cose.
DOUG. Lo so, lo so.
[MUTTERING] Non vedo l'ora... ecco il mio mercoledì.
Ad ogni modo, iniziamo lo spettacolo con un po' di storia della tecnologia.
Questa settimana, il 12 settembre 1959, luna 2, Noto anche come Secondo razzo cosmico sovietico, divenne la prima navicella spaziale a raggiungere la superficie della Luna e il primo oggetto creato dall'uomo a entrare in contatto con un altro corpo celeste.
Molto bello
ANATRA. Qual era quel nome lungo?
"Il secondo razzo cosmico sovietico"?
DOUG. Sì.
ANATRA. Luna Due è molto meglio.
DOUG. Sì, molto meglio!
ANATRA. Apparentemente, come puoi immaginare, dato che era l'era della corsa allo spazio, c'era una certa preoccupazione: "Come sapremo che l'hanno effettivamente fatto? Potrebbero semplicemente dire di essere sbarcati sulla Luna e forse se lo stanno inventando".
Apparentemente, hanno ideato un protocollo che consentirebbe un'osservazione indipendente.
Hanno predetto l'ora in cui sarebbe arrivata sulla Luna, per schiantarsi contro la Luna, e hanno inviato l'ora esatta in cui si aspettavano questo a un astronomo nel Regno Unito.
E osservò indipendentemente, per vedere se ciò che dicevano *sarebbe* accaduto in quel momento *è successo*.
Quindi hanno anche pensato: "Come si verifica una cosa del genere?"
DOUG. Bene, a proposito di cose complicate, abbiamo patch di Microsoft e Apple.
Quindi cosa c'è di degno di nota qui in questo ultimo round?
ANATRA. Sicuramente sì: questa settimana è il martedì della patch, il secondo martedì del mese.
Ci sono due vulnerabilità in Patch Tuesday che erano degne di nota per me.
Uno è degno di nota perché apparentemente è allo stato brado, in altre parole, era un giorno zero.
E anche se non si tratta di un'esecuzione di codice in modalità remota, è un po' preoccupante perché è una vulnerabilità del file di registro [TOSSE SCUSATECI], Doug!
Non è proprio così male come Log4J, dove potresti non solo far sì che il logger si comporti male, ma potresti anche farlo eseguire codice arbitrario per voi.
Ma sembra che se invii un tipo di dati non validi nel driver del file system di registro comune di Windows, il CLFS, puoi indurre il sistema a promuoverti ai privilegi di sistema.
Sempre male se sei entrato come utente ospite e sei quindi in grado di trasformarti in un amministratore di sistema...
DOUG. [RIDE] Sì!
ANATRA. Cioè CVE-2022-37969.
E l'altro che ho trovato interessante...
…fortunatamente non in natura, ma questo è quello che devi davvero correggere, perché scommetto che è quello su cui i criminali informatici si concentreranno sul reverse engineering:
"Vulnerabilità dell'esecuzione di codice remoto TCP/IP di Windows", CVE-2022-34718.
Se ti ricordi Codice rossoe Slammer SQL, e quei vermi cattivi del passato, dove sono appena arrivati in un pacchetto di rete e si sono inceppati nel sistema….
Questo è un livello ancora più basso di quello.
Apparentemente, il bug è nella gestione di alcuni pacchetti IPv6.
Quindi qualsiasi cosa in cui IPv6 è in ascolto, che è praticamente qualsiasi computer Windows, potrebbe essere a rischio da questo.
Come ho detto, quello non è in natura, quindi i truffatori non l'hanno ancora trovato, ma non dubito che prenderanno la patch e cercheranno di capire se possono decodificare un exploit da essa, per catturare le persone che non hanno ancora patchato.
Perché se qualcosa dice: "Whoa! E se qualcuno scrivesse un worm che utilizza questo?”… è quello di cui mi preoccuperei.
DOUG. OK.
E poi ad Apple...
ANATRA. Di recente abbiamo scritto due storie sulle patch Apple, in cui, all'improvviso, all'improvviso, c'erano patch per iPhone e iPad e Mac contro due giorni zero in natura.
Uno era un bug del browser, o un bug relativo alla navigazione, in modo che potevi vagare in un sito Web dall'aspetto innocente e il malware potesse atterrare sul tuo computer, più un altro che ti dava il controllo a livello di kernel...
...che, come ho detto nell'ultimo podcast, per me puzza di spyware, qualcosa che potrebbe interessare a un venditore di spyware o a un "cybercriminale di sorveglianza" davvero serio.
Poi c'è stato un secondo aggiornamento, con nostra sorpresa, per iOS 12, che tutti pensavamo fosse stato abbandonato da tempo.
Lì, uno di quei bug (quello relativo al browser che consentiva ai criminali di entrare) ha ricevuto una patch.
E poi, proprio quando mi aspettavo iOS 16, tutte queste e-mail hanno improvvisamente iniziato ad arrivare nella mia casella di posta, subito dopo aver controllato: "IOS 16 è già uscito? Posso aggiornarlo?"
Non c'era, ma poi ho ricevuto tutte queste e-mail che dicevano: "Abbiamo appena aggiornato iOS 15, macOS Monterey, Big Sur e iPadOS 15"...
... e si è scoperto che c'erano un sacco di aggiornamenti, oltre a un nuovissimo kernel zero-day anche questa volta.
E la cosa affascinante è che, dopo aver ricevuto le notifiche, ho pensato: "Bene, fammi controllare di nuovo..."
(Quindi puoi ricordare, lo è Impostazioni profilo > Generale > Aggiornamento software sul tuo iPhone o iPad.)
Lo ed ecco, mi veniva offerto un aggiornamento a iOS 15, che avevo già, *o* potevo saltare fino a iOS 16.
E iOS 16 conteneva anche questa correzione zero-day (anche se iOS 16 teoricamente non era ancora uscito), quindi immagino che il bug esistesse anche nella versione beta.
Non era elencato ufficialmente come zero-day nel bollettino di Apple per iOS 16, ma non possiamo dire se ciò sia dovuto al fatto che l'exploit che Apple ha visto non ha funzionato correttamente su iOS 16, o se non è considerato uno zero- giorno perché iOS 16 stava appena uscendo.
DOUG. Sì, stavo per dire: nessuno ce l'ha ancora. [RISATA]
ANATRA. Questa è stata la grande novità di Apple.
E l'importante è che quando vai al tuo telefono e dici "Oh, iOS 16 è disponibile"... se non sei ancora interessato a iOS 16, devi comunque assicurarti di averlo iOS 15 aggiornamento, a causa del kernel zero-day.
I giorni zero del kernel sono sempre un problema perché significa che qualcuno là fuori sa come aggirare le tanto decantate impostazioni di sicurezza sul tuo iPhone.
Il bug si applica anche a macOS Monterey e macOS Big Sur: questa è la versione precedente, macOS 11.
In effetti, per non essere da meno, Big Sur ha in realtà *due* bug zero-day del kernel in natura.
Nessuna notizia su iOS 12, che è un po' quello che mi aspettavo, e niente finora per macOS Catalina.
Catalina è macOS 10, la versione pre-precedente e, ancora una volta, non sappiamo se l'aggiornamento arriverà più tardi o se è caduto dal confine del mondo e non riceverà comunque aggiornamenti.
Purtroppo, Apple non lo dice, quindi non lo sappiamo.
Ora, la maggior parte degli utenti Apple avrà gli aggiornamenti automatici attivati, ma, come diciamo sempre, controlla (se hai un Mac o un iPhone o un iPad), perché la cosa peggiore è presumere che il tuo gli aggiornamenti hanno funzionato e ti hanno tenuto al sicuro...
...quando in effetti qualcosa è andato storto.
DOUG. Ok molto bene.
Ora, qualcosa che non vedevo l'ora, andando avanti, è: "Che cosa hanno a che fare i fusi orari con la sicurezza IT?"
ANATRA. Beh, parecchio, a quanto pare, Doug.
DOUG. [RIDENDO] Sissignore!
ANATRA. I fusi orari sono molto semplici nel concetto.
Sono molto convenienti per gestire le nostre vite in modo che i nostri orologi corrispondano più o meno a ciò che sta accadendo nel cielo, quindi è buio di notte e luce di giorno. (Ignoriamo l'ora legale e assumiamo che abbiamo solo fusi orari di un'ora in tutto il mondo in modo che tutto sia davvero semplice.)
Il problema si presenta quando stai effettivamente conservando i log di sistema in un'organizzazione in cui alcuni dei tuoi server, alcuni dei tuoi utenti, alcune parti della tua rete, alcuni dei tuoi clienti, si trovano in altre parti del mondo.
Quando scrivi nel file di registro, scrivi l'ora con il fuso orario preso in considerazione?
Quando scrivi il tuo diario, Doug, sottrai le 5 ore (o 4 ore al momento) che ti servono perché sei a Boston, mentre io aggiungo un'ora perché sono a Londra, ma è estate ?
Lo scrivo nel registro in modo che abbia senso per *me* quando rileggo il registro?
Oppure scrivo un'ora più canonica e non ambigua usando lo stesso fuso orario per *tutti*, quindi quando confronto i registri che provengono da computer diversi, utenti diversi, parti diverse del mondo sulla mia rete, posso effettivamente allineare eventi?
È davvero importante organizzare gli eventi, Doug, in particolare se stai rispondendo alle minacce in un attacco informatico.
Hai davvero bisogno di sapere cosa è venuto prima.
E se dici "Oh, non è successo prima delle 3", non mi aiuta se sono a Sydney, perché le mie 3 sono avvenute ieri rispetto alle tue 3.
Così io Ha scritto un articolo su Naked Security su alcuni modi in cui puoi affrontare questo problema quando registri i dati.
La mia raccomandazione personale è di utilizzare un formato di timestamp semplificato chiamato RFC 3339, dove inserisci un anno a quattro cifre, un trattino [carattere trattino, ASCII 0x2D], un mese a due cifre, un trattino, un giorno a due cifre e così via, in modo che i timestamp siano effettivamente ordinati in ordine alfabetico.
E che registri tutti i tuoi fusi orari come un fuso orario noto come Z (zed o zee), abbreviazione di tempo zulù.
Ciò significa fondamentalmente UTC o Coordinated Universal Time.
È quasi l'ora del meridiano di Greenwich, ma non del tutto, ed è l'ora in cui l'orologio di quasi tutti i computer o telefoni è effettivamente impostato internamente in questi giorni.
Non cercare di compensare i fusi orari quando scrivi sul registro, perché poi qualcuno dovrà scompensare quando sta cercando di allineare il tuo registro con quello di tutti gli altri - e ci sono molti errori tra la tazza e il labbro, Doug.
Keep it simple.
Usa un semplice formato di testo canonico che delinei esattamente la data e l'ora, fino al secondo o, di questi tempi, i timestamp possono anche scendere al nanosecondo, se lo desideri.
E sbarazzati dei fusi orari dai tuoi registri; sbarazzarsi dell'ora legale dai registri; e basta registrare tutto, secondo me, in Coordinated Universal Time...
… UTC abbreviato in modo confuso, perché il nome è in inglese ma l'abbreviazione è in francese – una specie di ironia.
DOUG. Sì.
ANATRA.
Sono tentato di dire: "Non che mi senta fortemente al riguardo, di nuovo", come faccio di solito, ridendo...
…ma è davvero importante mettere le cose nell'ordine giusto, in particolare quando stai cercando di rintracciare i criminali informatici.
DOUG. Va bene, va bene, ottimo consiglio.
E se ci fermiamo sull'argomento dei criminali informatici, hai sentito parlare di attacchi Manipulator-in-the-Middle; hai sentito parlare di attacchi Manipulator-in-the-Browser...
..ora preparati per gli attacchi Browser-in-the-Browser.
ANATRA. Sì, questo è un nuovo termine che stiamo vedendo.
Volevo scrivere questo perché i ricercatori di una società di intelligence sulle minacce chiamata Group-IB hanno recentemente scritto un articolo su questo e i media hanno iniziato a parlare di "Ehi, attacchi browser-in-the-browser, sii molto spaventato" o qualsiasi altra cosa …
Stai pensando: "Beh, mi chiedo quante persone sappiano effettivamente cosa si intende per attacco Browser-in-the-Browser?"
E la cosa fastidiosa di questi attacchi, Doug, è che tecnologicamente sono terribilmente semplici.
È un'idea così semplice.
DOUG. Sono quasi artistici.
ANATRA. Sì!
Non è davvero scienza e tecnologia, è arte e design, vero?
Fondamentalmente, se hai mai programmato JavaScript (nel bene o nel male), saprai che una delle cose sulle cose che inserisci in una pagina web è che è pensata per essere vincolata a quella pagina web.
Quindi, se apri una nuova finestra, ti aspetteresti che ottenga un nuovo contesto del browser.
E se carica la sua pagina da un sito nuovo di zecca, ad esempio un sito di phishing, non avrà accesso a tutte le variabili JavaScript, il contesto, i cookie e tutto ciò che aveva la finestra principale.
Quindi, se apri una finestra separata, stai un po' limitando le tue capacità di hacking se sei un truffatore.
Tuttavia, se apri qualcosa nella finestra corrente, sei significativamente limitato a quanto eccitante e "simile a un sistema" puoi farlo sembrare, vero?
Perché non puoi sovrascrivere la barra degli indirizzi... questo è in base alla progettazione.
Non puoi scrivere nulla al di fuori della finestra del browser, quindi non puoi inserire di nascosto una finestra che sembra uno sfondo sul desktop, come se fosse sempre stata lì.
In altre parole, sei rinchiuso all'interno della finestra del browser con cui hai iniziato.
Quindi l'idea di un attacco Browser-in-the-Browser è che inizi con un normale sito Web e quindi crei, all'interno della finestra del browser che hai già, una pagina Web che a sua volta assomiglia esattamente alla finestra del browser del sistema operativo .
Fondamentalmente, mostri a qualcuno un *immagine* della cosa reale e lo convinci che *è* la cosa reale.
È così semplice in fondo, Doug!
Ma il problema è che con un po' di lavoro attento, in particolare se hai buone capacità CSS, *puoi* effettivamente fare in modo che qualcosa che si trova all'interno di una finestra del browser esistente assomigli a una finestra del browser a sé stante.
E con un po' di JavaScript, puoi persino farlo in modo che possa ridimensionarsi e in modo che possa muoversi sullo schermo e puoi popolarlo con HTML che recuperi da un sito Web di terze parti.
Ora, potresti chiederti... se i truffatori lo fanno nel modo giusto, come diavolo puoi mai dirlo?
E la buona notizia è che c'è una cosa assolutamente semplice che puoi fare.
Se vedi quella che sembra una finestra del sistema operativo e ne sei sospettoso in qualche modo (sembra essenzialmente apparire sopra la finestra del tuo browser, perché deve essere al suo interno)...
…prova a spostarlo *fuori dalla finestra del browser reale*, e se è "imprigionato" all'interno del browser, sai che non è un vero affare!
La cosa interessante del rapporto dei ricercatori del Group-IB è che quando si sono imbattuti in questo, i truffatori lo stavano effettivamente usando contro i giocatori di giochi Steam.
E, naturalmente, vuole che tu acceda al tuo account Steam...
... e se sei stato ingannato dalla prima pagina, seguirebbe anche la verifica dell'autenticazione a due fattori di Steam.
E il trucco era che se quelle veramente *fossero* finestre separate, avresti potuto trascinarle su un lato della finestra principale del browser, ma non lo erano.
In questo caso, fortunatamente, i cuochi non avevano fatto molto bene i loro CSS.
La loro opera d'arte era scadente.
Ma, come io e te abbiamo parlato molte volte nel podcast, Doug, a volte ci sono imbroglioni che si sforzeranno di rendere le cose perfette per i pixel.
Con i CSS puoi letteralmente posizionare i singoli pixel, vero?
DOUG. I CSS sono interessanti.
Suo Cascading Style Sheets... un linguaggio che usi per definire lo stile dei documenti HTML, ed è davvero facile da imparare ed è ancora più difficile da padroneggiare.
ANATRA. [RIDE] Suona come IT, di sicuro.
DOUG. [RIDE] Sì, è come molte cose!
Ma è una delle prime cose che impari una volta che impari l'HTML.
Se stai pensando "Voglio migliorare l'aspetto di questa pagina web", impari i CSS.
Quindi, guardando alcuni di questi esempi del documento sorgente a cui ti sei collegato dall'articolo, puoi dire che sarà davvero difficile fare un falso davvero buono, a meno che tu non sia davvero bravo con i CSS.
Ma se lo fai bene, sarà davvero difficile capire che si tratta di un documento falso...
...a meno che tu non faccia come dici: prova a tirarlo fuori da una finestra e spostarlo sul desktop, cose del genere.
Questo porta al tuo secondo punto qui: esamina attentamente le finestre sospette.
Molti di loro probabilmente non supereranno il test della vista, ma se lo faranno, sarà davvero difficile da individuare.
Il che ci porta alla terza cosa...
"In caso di dubbio/Non darlo".
Se semplicemente non sembra giusto e non sei in grado di dire definitivamente che qualcosa di strano è in corso, segui la rima!
ANATRA. E vale la pena essere sospettosi di siti Web sconosciuti, siti Web che non hai utilizzato prima, che improvvisamente dicono: "OK, ti chiederemo di accedere con il tuo account Google in una finestra di Google o Facebook in una finestra di Facebook. "
O Steam in una finestra di Steam.
DOUG. Sì.
Odio usare la parola B qui, ma questo è quasi geniale nella sua semplicità.
Ma ancora una volta, sarà davvero difficile ottenere una corrispondenza perfetta dei pixel usando CSS e cose del genere.
ANATRA. Penso che la cosa importante da ricordare sia che, poiché parte della simulazione è il "chrome" [gergo per i componenti dell'interfaccia utente del browser] del browser, la barra degli indirizzi avrà un aspetto corretto.
Potrebbe anche sembrare perfetto.
Ma il fatto è che non è una barra degli indirizzi...
...è un *immagine* di una barra degli indirizzi.
DOUG. Di preciso!
Va bene, attenti là fuori, tutti!
E, parlando di cose che non sono come sembrano, sto leggendo del ransomware DEADBOLT e dei dispositivi QNAP NAS, e mi sembra di aver appena discusso di questa storia esatta non molto tempo fa.
ANATRA. Sì, abbiamo scritto su questo diverse volte su Naked Security finora quest'anno, sfortunatamente.
È uno di quei casi in cui ciò che ha funzionato per i truffatori una volta si è rivelato aver funzionato due, tre, quattro, cinque volte.
E NAS, o Archiviazione collegata in rete i dispositivi sono, se lo desideri, server black-box che puoi acquistare e in genere eseguono una sorta di kernel Linux.
L'idea è che invece di dover acquistare una licenza Windows, o imparare Linux, installa Samba, configuralo, impara a condividere file sulla tua rete...
...è sufficiente collegare questo dispositivo e, "Bingo", inizia a funzionare.
È un file server accessibile dal Web e, sfortunatamente, se c'è una vulnerabilità nel file server e tu l'hai (per errore o per progettazione) reso accessibile su Internet, i truffatori potrebbero essere in grado di sfruttare quella vulnerabilità, se ce n'è una in quel dispositivo NAS, a distanza.
Potrebbero essere in grado di criptare tutti i file nella posizione di archiviazione chiave per la tua rete, che si tratti di una rete domestica o di una rete di piccole imprese, e in pratica tenerti in ostaggio senza doversi preoccupare di attaccare singoli altri dispositivi come laptop e telefoni sul tuo Rete.
Quindi, non hanno bisogno di scherzare con il malware che infetta il tuo laptop e non hanno bisogno di entrare nella tua rete e vagare come i tradizionali criminali ransomware.
Fondamentalmente rimescolano tutti i tuoi file e poi, per presentare la richiesta di riscatto, cambiano semplicemente (non dovrei ridere, Doug)... cambiano semplicemente la pagina di accesso sul tuo dispositivo NAS.
Quindi, quando trovi che tutti i tuoi file sono incasinati e pensi "È divertente" e ti accedi con il tuo browser web e ti connetti lì, non ricevi una richiesta di password!
Viene visualizzato un avviso: "I tuoi file sono stati bloccati da DEADBOLT. Quello che è successo? Tutti i tuoi file sono stati crittografati".
E poi arrivano le istruzioni su come pagare.
DOUG. E hanno anche gentilmente offerto che QNAP potrebbe mettere una somma principesca per sbloccare i file per tutti.
ANATRA. Gli screenshot che ho in ultimo articolo su nakedsecurity.sophos.com mostra:
1. Decrittazioni individuali a 0.03 bitcoin, originariamente circa 1200 dollari USA quando questa cosa si è diffusa per la prima volta, ora circa 600 dollari USA.
2. Un'opzione BTC 5.00, in cui QNAP viene informato della vulnerabilità in modo che possano risolverla, cosa che chiaramente non pagheranno perché già conoscono la vulnerabilità. (Ecco perché c'è una patch in questo caso particolare.)
3. Come hai detto, c'è un'opzione BTC 50 (che ora è $ 1 milione; erano $ 2 milioni quando questa prima storia è scoppiata per la prima volta). Apparentemente se QNAP paga $ 1,000,000 per conto di qualcuno che potrebbe essere stato infettato, i truffatori forniranno una chiave di decrittazione principale, se non ti dispiace.
E se guardi il loro JavaScript, in realtà controlla se la password che hai inserito corrisponde a uno dei *due* hash.
Uno è unico per la tua infezione: i criminali lo personalizzano ogni volta, quindi JavaScript contiene l'hash e non rivela la password.
E c'è un altro hash che, se riesci a decifrarlo, sembra che recuperi la password principale per tutti nel mondo...
... Penso che fossero solo i truffatori che scherzavano con tutti.
DOUG. È anche interessante notare che il riscatto di $ 600 bitcoin per ogni utente è... non voglio dire "non scandaloso", ma se guardi nella sezione commenti di questo articolo, ci sono diverse persone che non parlano solo di aver pagato il riscatto…
…ma andiamo avanti alla nostra domanda del lettore qui.
Il lettore Michael condivide la sua esperienza con questo attacco e non è il solo: ci sono altre persone in questa sezione commenti che riferiscono cose simili.
Attraverso un paio di commenti, dice (ne farò un commento schietto):
“Ci sono passato e sono uscito bene dopo aver pagato il riscatto. Trovare il codice di ritorno specifico con la mia chiave di decrittazione è stata la parte più difficile. Ho imparato la lezione più preziosa".
Nel suo commento successivo, ripercorre tutti i passaggi che ha dovuto fare per far funzionare di nuovo le cose.
E smonta con:
“Sono imbarazzato nel dire che lavoro nel settore IT, lo faccio da oltre 20 anni e sono stato morso da questo bug di QNAP uPNP. Felice di aver superato tutto questo".
ANATRA. Wow, sì, è una bella affermazione, vero?
Quasi come se stesse dicendo: "Mi sarei appoggiato contro questi truffatori, ma ho perso la scommessa e mi è costato $ 600 e un sacco di tempo".
Aargh!
DOUG. Cosa intende per “il codice di reso specifico con la sua chiave descrittiva”?
ANATRA. Ah, sì, è molto interessante... molto intrigante. (Sto cercando di non dire incredibile-slash-brillante qui.) [RISATE]
Non voglio usare la parola C e dire che è "intelligente", ma in qualche modo lo è.
Come contattare questi truffatori? Hanno bisogno di un indirizzo email? Potrebbe essere rintracciato? Hanno bisogno di un sito darkweb?
Questi truffatori no.
Perché, ricorda, c'è un dispositivo e il malware viene personalizzato e impacchettato quando attacca quel dispositivo in modo che contenga un indirizzo Bitcoin univoco.
E, in pratica, comunichi con questi truffatori pagando la quantità specificata di bitcoin nel loro portafoglio.
Immagino sia per questo che hanno mantenuto l'importo relativamente modesto...
...Non voglio suggerire che tutti abbiano $ 600 da buttare via per un riscatto, ma non è che stai negoziando in anticipo per decidere se pagherai $ 100,000 o $ 80,000 o $ 42,000.
Paghi loro l'importo... nessuna negoziazione, nessuna chat, nessuna e-mail, nessun messaggio istantaneo, nessun forum di supporto.
Devi semplicemente inviare il denaro all'indirizzo bitcoin designato e ovviamente avranno un elenco di quegli indirizzi bitcoin che stanno monitorando.
Quando i soldi arrivano e vedono che è arrivato, sanno che tu (e tu solo) hai pagato, perché quel codice portafoglio è unico.
E poi fanno quello che è, in effetti (sto usando le più grandi quotazioni aeree del mondo) un "rimborso" sulla blockchain, utilizzando una transazione bitcoin per un importo, Doug, di zero dollari.
E quella risposta, quella transazione, in realtà include un commento. (Ricorda il Violazione delle reti poli? Stavano usando i commenti blockchain di Ethereum per provare a dire: "Caro, Mr. White Hat, non ci restituiresti tutti i soldi?")
Quindi paghi i truffatori, dando così il messaggio che vuoi interagire con loro, e loro ti restituiscono $ 0 più un commento di 32 caratteri esadecimali...
...che sono 16 byte binari grezzi, che è la chiave di decrittazione a 128 bit di cui hai bisogno.
È così che parli con loro.
E, a quanto pare, l'hanno ridotto a una T - come ha detto Michael, la truffa funziona.
E l'unico problema che aveva Michael era che non era abituato ad acquistare bitcoin, o a lavorare con i dati blockchain ed estrarre quel codice di ritorno, che è fondamentalmente il commento nella transazione "pagamento" che ottiene indietro per $ 0.
Quindi, stanno usando la tecnologia in modi molto subdoli.
Fondamentalmente, stanno usando la blockchain sia come veicolo di pagamento che come strumento di comunicazione.
DOUG. Va bene, una storia davvero molto interessante.
Lo terremo d'occhio.
E grazie mille, Michael, per aver inviato quel commento.
Se hai una storia, un commento o una domanda interessante che vorresti inviare, ci piacerebbe leggerla sul podcast.
Puoi inviare un'e-mail a tips@sophos.com, commentare uno qualsiasi dei nostri articoli o contattarci sui social: @NakedSecurity.
Questo è il nostro spettacolo per oggi – grazie mille per l'ascolto.
Per Paul Ducklin, sono Doug Aamoth, per ricordarti, alla prossima volta, di...
TUTTI E DUE. Stai al sicuro.
[MODE MUSICALE]
- blockchain
- geniale
- portafogli di criptovaluta
- cryptoexchange
- sicurezza informatica
- cybercrime
- i criminali informatici
- Cybersecurity
- catenaccio
- Dipartimento di Sicurezza Nazionale
- portafogli digitali
- firewall
- Kaspersky
- il malware
- Mcafee
- Sicurezza nuda
- Podcast di sicurezza nudo
- NextBLOC
- Platone
- platone ai
- Platone Data Intelligence
- Gioco di Platone
- PlatoneDati
- gioco di plato
- Podcast
- ransomware
- VPN
- sicurezza del sito Web
- zefiro
- Zero Day
![S3 Ep118: Indovina la tua password? Non serve se è già stato rubato! [Audio + testo]](https://platoaistream.com/wp-content/uploads/2023/01/s3-ep118-guess-your-password-no-need-if-its-stolen-already-audio-text-360x188.png)
