תקשיב עכשיו
עם דאג אמות ופול דאקלין.
מוזיקת אינטרו ואאוטרו מאת אדית מדג'.
לחץ וגרור על גלי הקול למטה כדי לדלג לכל נקודה. אתה יכול גם להקשיב ישירות בסאונדקלאוד.
אתה יכול להאזין לנו ב Soundcloud, Apple Podcasts, Google Podcasts, Spotify, Stitcher ובכל מקום שבו נמצאים פודקאסטים טובים. או פשוט זרוק את כתובת האתר של הזנת ה-RSS שלנו לתוך הפודקטצ'ר האהוב עליך.
קרא את התמליל
DOUG. Deadbolt - זה חזר!
טלאים למכביר!
ואזורי זמן... כן, אזורי זמן.
כל זה, ועוד, בפודקאסט הביטחון העירום.
[מודם מוזיקלי]
ברוכים הבאים לפודקאסט, כולם.
אני דאג אמות'.
איתי, כמו תמיד, פול דאקלין.
פול, פרק 100 שמח מאוד לך, ידידי!
ברווז. וואו, דאג!
אתה יודע, כשהתחלתי את מבנה הספריות שלי לסדרה 3, השתמשתי באומץ -001 לפרק הראשון.
DOUG. אני לא. [צוחק]
ברווז. לֹא -1 or -01.
DOUG. לִכאוֹב…
ברווז. הייתה לי אמונה גדולה!
וכשאשמור את הקובץ של היום, אני הולך לשמוח בו.
DOUG. כן, ואני אפחד מזה כי זה יצוץ למעלה.
ובכן, אני אצטרך להתמודד עם זה מאוחר יותר...
ברווז. [צוחק] אתה יכול לשנות את השם של כל שאר הדברים.
DOUG. אני יודע אני יודע.
[מלמלל] לא מצפה לזה... הנה יום רביעי שלי.
בכל מקרה, בואו נתחיל את המופע עם קצת היסטוריית טכנולוגיה.
השבוע, ב-12 בספטמבר 1959, לונה 2, הידוע גם ב הרקטה הקוסמית הסובייטית השנייה, הפכה לחללית הראשונה שהגיעה אל פני הירח, ולעצם הראשון מעשה ידי אדם שיצר מגע עם גוף שמימי אחר.
מגניב מאוד.
ברווז. מה היה השם הארוך הזה?
"הרקטה הקוסמית הסובייטית השנייה"?
DOUG. כן.
ברווז. לונה שתיים יותר טוב.
DOUG. כן, הרבה יותר טוב!
ברווז. ככל הנראה, כפי שאתה יכול לדמיין, בהתחשב בעובדה שזה היה עידן מירוץ החלל, היה איזשהו חשש של, "איך נדע שהם באמת עשו את זה? הם פשוט יכולים לומר שהם נחתו על הירח, ואולי הם ממציאים את זה".
ככל הנראה, הם המציאו פרוטוקול שיאפשר תצפית עצמאית.
הם חזו את השעה שבה זה יגיע לירח, להתרסק לירח, והם שלחו את השעה המדויקת שהם ציפו לזה לאסטרונום בבריטניה.
והוא התבונן באופן עצמאי, לראות האם מה שהם אמרו *יקרה* באותו זמן *כן* קרה.
אז הם אפילו חשבו על, "איך אתה מאמת דבר כזה?"
DOUG. ובכן, בנושא של דברים מסובכים, יש לנו תיקונים ממיקרוסופט ואפל.
אז מה בולט כאן בסבב האחרון הזה?
ברווז. אנחנו בהחלט עושים זאת - זה יום שלישי השבוע, יום שלישי השני בחודש.
ישנן שתי נקודות תורפה ב-Patch Tuesday שהיו בולטות לי.
אחד בולט כי הוא כנראה נמצא בטבע - במילים אחרות, זה היה יום אפס.
ולמרות שזה לא ביצוע קוד מרחוק, זה קצת מדאיג כי מדובר בפגיעות של קובץ יומן [שיעול מתנצל], דאג!
זה לא ממש כמו רע כמו Log4J, שבו אתה יכול לא רק לגרום ללוגר להתנהג בצורה לא נכונה, אתה יכול גם לגרום לזה להריץ קוד שרירותי בשבילך.
אבל נראה שאם אתה שולח מידע פגום כלשהו לתוך מנהל ההתקן של Windows Common Log File System, ה-CLFS, אז אתה יכול להערים על המערכת לקדם אותך להרשאות מערכת.
תמיד רע אם נכנסת כמשתמש אורח, ואז תוכל להפוך את עצמך למנהל מערכת...
DOUG. [צוחק] כן!
ברווז. זה CVE-2022-37969.
והשני שמצאתי מעניין...
...למרבה המזל לא בטבע, אבל זה זה שאתה באמת צריך לתקן, כי אני מתערב שאתה זה שפושעי סייבר יתמקדו בהנדסה הפוכה:
"פגיעות של ביצוע קוד מרחוק של Windows TCP/IP", CVE-2022-34718.
אם אתה זוכר קוד אדום, ו SQL Slammer, והתולעים השובבות האלה של העבר, לשם הן בדיוק הגיעו בחבילת רשת, ונתקעו את דרכן למערכת...
זו רמה אפילו נמוכה מזו.
ככל הנראה, הבאג הוא בטיפול במנות IPv6 מסוימות.
אז כל דבר שבו IPv6 מאזין, שהוא פחות או יותר כל מחשב Windows, עלול להיות בסיכון בגלל זה.
כמו שאמרתי, האחד הזה לא בטבע, אז הנוכלים עדיין לא מצאו אותו, אבל אני לא בספק שהם יקחו את התיקון וינסו להבין אם הם יכולים להנדס ממנו ניצול לאחור, לתפוס אנשים שעדיין לא תיקנו.
כי אם משהו אומר, "וואו! מה אם מישהו כתב תולעת שהשתמשה בזה?"... זו האחת שהייתי מודאג ממנה.
DOUG. אישור.
ואז לאפל...
ברווז. כתבנו שני סיפורים על תיקוני אפל לאחרונה, שם פתאום היו תיקונים למכשירי אייפון ואייפד ומק נגד שני ימי אפס בטבע.
אחד מהם היה באג בדפדפן, או באג הקשור לגלישה, כך שתוכל לשוטט לאתר תמים למראה ותוכנות זדוניות עלולות לנחות על המחשב שלך, ועוד אחד אחר שנתן לך שליטה ברמת הליבה...
...שכפי שאמרתי בפודקאסט האחרון, מריח לי כמו תוכנת ריגול - משהו שספק תוכנות ריגול או "נוכל סייבר מעקב" רציני באמת יתעניינו בו.
ואז היה עדכון שני, להפתעתנו, עבור iOS 12, שכולנו חשבנו שננטשה מזמן.
שם, אחד מאותם באגים (הבאגים הקשורים לדפדפן שאפשר לנוכלים לפרוץ פנימה) קיבל תיקון.
ואז, בדיוק כשציפיתי ל-iOS 16, כל האימיילים האלה פתאום התחילו לנחות בתיבת הדואר הנכנס שלי - מיד אחרי שבדקתי, "האם iOS 16 כבר יצא? אפשר לעדכן לזה?"
זה לא היה שם, אבל אז קיבלתי את כל האימיילים האלה שאמרו, "עדכנו את iOS 15, ו-macOS Monterey, וביג סור, ו-iPadOS 15"...
... והתברר שהיו חבורה שלמה של עדכונים, בתוספת קרנל אפס-יום חדש לגמרי גם הפעם.
והדבר המרתק הוא שאחרי שקיבלתי את ההתראות, חשבתי, "טוב, תן לי לבדוק שוב..."
(אז אתה יכול לזכור, זה הגדרות > כללי > עדכון תוכנה באייפון או באייפד שלך.)
הנה, הציעו לי עדכון ל-iOS 15, שכבר היה לי, *או* שאוכל לקפוץ עד ל-iOS 16.
וגם ל-iOS 16 היה תיקון יום אפס (למרות ש-iOS 16 תיאורטית עדיין לא יצא), אז אני מניח שהבאג היה קיים גם בגרסת הבטא.
זה לא היה רשום כיום אפס באופן רשמי בעלון של אפל עבור iOS 16, אבל אנחנו לא יכולים לדעת אם זה בגלל שהניצול שאפל ראתה לא ממש עבד כמו שצריך ב-iOS 16, או שהוא לא נחשב לאפס- יום כי iOS 16 רק עתה יצא.
DOUG. כן, התכוונתי לומר: לאף אחד אין את זה עדיין. [צחוק]
ברווז. אלו היו החדשות הגדולות מאפל.
והדבר החשוב הוא שכשאתה הולך לטלפון שלך, ואתה אומר, "אה, iOS 16 זמין"... אם אתה עדיין לא מעוניין ב-iOS 16, אתה עדיין צריך לוודא שיש לך את iOS 15 עדכון, בגלל הקרנל zero-day.
ימים של אפס ליבה הם תמיד בעיה כי זה אומר שמישהו שם יודע איך לעקוף את הגדרות האבטחה המפורסמות באייפון שלך.
הבאג חל גם על macOS Monterey ו-macOS Big Sur - זו הגרסה הקודמת, macOS 11.
למעשה, כדי שלא להתחמק, לביג סור יש למעשה *שני* באגים של אפס-יום גרעיני בטבע.
אין חדשות לגבי iOS 12, שזה בערך מה שציפיתי, ושום דבר עד כה עבור macOS Catalina.
Catalina היא macOS 10, הגרסה הקודמת, ושוב, אנחנו לא יודעים אם העדכון הזה יגיע מאוחר יותר, או שהוא נפל מקצה העולם וממילא לא יקבל עדכונים.
למרבה הצער, אפל לא אומרת, אז אנחנו לא יודעים.
כעת, לרוב משתמשי אפל יופעלו עדכונים אוטומטיים, אבל, כמו שאנחנו תמיד אומרים, לכו ובדקו (אם יש לכם מק או אייפון או אייפד), כי הדבר הגרוע ביותר הוא רק להניח שהמערכת האוטומטית שלכם העדכונים עבדו ושמרו עליך...
... כשלמעשה משהו השתבש.
DOUG. בסדר טוב מאוד.
עכשיו, משהו שציפיתי לו, ממשיכים הלאה, הוא: "מה הקשר בין אזורי זמן לאבטחת IT?"
ברווז. ובכן, די הרבה, מסתבר, דאג.
DOUG. [צוחק] כן!
ברווז. אזורי זמן הם מאוד פשוטים בקונספט.
הם מאוד נוחים לניהול חיינו כך שהשעונים שלנו תואמים בערך את מה שקורה בשמיים - כך שחושך בלילה ואור ביום. (בוא נתעלם משעון הקיץ, ובואו רק נניח שיש לנו רק אזורי זמן של שעה אחת בכל העולם, כך שהכל באמת פשוט.)
הבעיה מגיעה כאשר אתה למעשה מנהל יומני מערכת בארגון שבו חלק מהשרתים שלך, חלק מהמשתמשים שלך, חלקים מסוימים ברשת שלך, חלק מהלקוחות שלך, נמצאים בחלקים אחרים של העולם.
כאשר אתה כותב לקובץ היומן, האם אתה כותב את השעה עם אזור הזמן בחשבון?
כשאתה כותב את היומן שלך, דאג, אתה מוריד את 5 השעות (או 4 השעות כרגע) שאתה צריך בגלל שאתה בבוסטון, בעוד שאני מוסיף שעה אחת כי אני בשעון לונדון, אבל זה קיץ ?
האם אני כותב את זה ביומן כדי שיהיה לי הגיוני כשאני קורא את היומן בחזרה?
או שאני כותב זמן קנוני יותר וחד משמעי באמצעות אותו אזור זמן עבור *כולם*, כך שכאשר אני משווה יומנים שמגיעים ממחשבים שונים, ממשתמשים שונים, מחלקים שונים של העולם ברשת שלי, אני באמת יכול לסדר אירועים?
זה באמת חשוב לסדר אירועים, דאג, במיוחד אם אתה מבצע תגובה לאיומים במתקפת סייבר.
אתה באמת צריך לדעת מה בא קודם.
ואם אתה אומר, "אה, זה לא קרה עד 3:3", זה לא יעזור לי אם אני בסידני, כי השעה 3:XNUMX שלי קרתה אתמול לעומת השעה XNUMX:XNUMX שלך.
אז אני כתב מאמר ב-Naked Security על כמה דרכים שאתה יכול להתמודד עם הבעיה הזו כאשר אתה רושם נתונים.
ההמלצה האישית שלי היא להשתמש בפורמט חותמת זמן פשוט שנקרא RFC 3339, שבו אתה שם שנה ארבע ספרות, מקף [תו מקף, ASCII 0x2D], חודש דו ספרתי, מקף, יום דו ספרתי וכן הלאה, כך שחותמות הזמן שלך באמת ממוינות בסדר אלפביתי.
ושתקליט את כל אזורי הזמן שלך כאזור tme המכונה Z (zed או zee), קיצור של זמן זולו.
זה אומר בעצם UTC או זמן אוניברסלי מתואם.
זה כמעט אבל לא לגמרי שעון גריניץ', וזה הזמן שכמעט כל שעון של מחשב או טלפון מוגדר באופן פנימי בימים אלה.
אל תנסו לפצות על אזורי זמן כשאתם כותבים ליומן, כי אז מישהו יצטרך לפצות כשהוא מנסה ליישר את היומן שלכם עם זה של כולם - ויש הרבה קטעים מסובבים את הכוס והשפה, דאג.
תשאיר את זה פשוט.
השתמש בפורמט טקסט קנוני ופשוט שמתווה בדיוק את התאריך והשעה, עד לשנייה - או, בימים אלה, חותמות זמן יכולות אפילו לרדת בימים אלה לננו-שנייה אם תרצה.
ולהיפטר מאזורי זמן מהיומנים שלך; היפטר משעון הקיץ מהיומנים שלך; ופשוט להקליט הכל, לדעתי, בזמן אוניברסלי מתואם...
...קיצור UTC באופן מבלבל, כי השם באנגלית אבל הקיצור בצרפתית - קצת אירוניה.
DOUG. כן.
ברווז.
אני מתפתה לומר, "לא שאני מרגיש חזק לגבי זה, שוב", כמו שאני עושה בדרך כלל, בצחוק...
...אבל באמת חשוב לעשות את הדברים בסדר הנכון, במיוחד כשאתה מנסה לאתר פושעי סייבר.
DOUG. בסדר, זה טוב - עצה מצוינת.
ואם נמשיך לנושא פושעי סייבר, שמעתם על התקפות מניפולטור-באמצע; שמעתם על התקפות מניפולטור-ב-הדפדפן...
..התכונן כעת להתקפות דפדפן בדפדפן.
ברווז. כן, זה מונח חדש שאנחנו רואים.
רציתי לכתוב את זה כי חוקרים בחברת מודיעין איומים בשם Group-IB כתבו לאחרונה מאמר על זה, והתקשורת התחילה לדבר על "היי, התקפות דפדפן-ב-דפדפן, תפחדו מאוד", או מה שלא יהיה. …
אתה חושב, "ובכן, אני תוהה כמה אנשים באמת יודעים מה הכוונה בהתקפת דפדפן בדפדפן?"
והדבר המעצבן בהתקפות האלה, דאג, הוא שמבחינה טכנולוגית, הן נורא פשוטות.
זה רעיון כל כך פשוט.
DOUG. הם כמעט אומנותיים.
ברווז. כן!
זה לא באמת מדע וטכנולוגיה, זה אמנות ועיצוב, לא?
בעיקרון, אם אי פעם ביצעת תכנות של JavaScript (לטוב או לרע), תדע שאחד הדברים של דברים שאתה מכניס לדף אינטרנט הוא שהם נועדו להיות מוגבלים לדף האינטרנט הזה.
לכן, אם אתה מקפיץ חלון חדש לגמרי, אתה מצפה שהוא יקבל הקשר דפדפן חדש לגמרי.
ואם הוא טוען את הדף שלו מאתר חדש לגמרי, נניח אתר פישינג, אז לא תהיה לו גישה לכל משתני JavaScript, ההקשר, העוגיות וכל מה שהיה בחלון הראשי.
לכן, אם אתה פותח חלון נפרד, אתה סוג של מגביל את יכולות הפריצה שלך אם אתה נוכל.
עם זאת, אם אתה פותח משהו בחלון הנוכחי, אתה מוגבל באופן משמעותי לגבי כמה מרגש ו"מערכתי" אתה יכול לגרום לו להיראות, נכון?
כי אתה לא יכול להחליף את שורת הכתובת... זה בתכנון.
אתה לא יכול לכתוב שום דבר מחוץ לחלון הדפדפן, אז אתה לא יכול לשים בערמומיות חלון שנראה כמו טפט על שולחן העבודה, כאילו הוא היה שם כל הזמן.
במילים אחרות, אתה מכורבל בתוך חלון הדפדפן שאיתו התחלת.
אז הרעיון של מתקפת דפדפן בדפדפן הוא שאתה מתחיל עם אתר אינטרנט רגיל, ואז אתה יוצר, בתוך חלון הדפדפן שכבר יש לך, דף אינטרנט שבעצמו נראה בדיוק כמו חלון דפדפן של מערכת הפעלה .
בעצם, אתה מראה למישהו *תמונה* של הדבר האמיתי, ומשכנע אותו שזה *זה* הדבר האמיתי.
זה כל כך פשוט בנשמה, דאג!
אבל הבעיה היא שעם קצת עבודה זהירה, במיוחד אם יש לך כישורי CSS טובים, אתה *יכול* לגרום למשהו שנמצא בתוך חלון דפדפן קיים להיראות כמו חלון דפדפן משלו.
ועם קצת JavaScript, אתה יכול אפילו להפוך אותו כך שהוא יכול לשנות את גודלו, וכדי שהוא יוכל לנוע על המסך, ותוכל לאכלס אותו ב-HTML שאתה מביא מאתר צד שלישי.
עכשיו, אתם עשויים לתהות... אם הנוכלים מבינים את זה נכון, איך לכל הרוחות תוכלו לדעת?
והחדשות הטובות הן שיש דבר פשוט לחלוטין שאתה יכול לעשות.
אם אתה רואה מה שנראה כמו חלון של מערכת הפעלה ואתה חושד בו בכל דרך שהיא (בעצם נראה שהוא צץ מעל חלון הדפדפן שלך, כי הוא חייב להיות בתוכו)...
...נסה להעביר אותו *מחלון הדפדפן האמיתי*, ואם הוא "כלוא" בתוך הדפדפן, אתה יודע שזה לא הדבר האמיתי!
הדבר המעניין בדוח של חוקרי Group-IB הוא שכאשר הם נתקלו בזה, הנוכלים למעשה השתמשו בו נגד שחקני משחקי Steam.
וכמובן, זה רוצה שתיכנס לחשבון Steam שלך...
...ואם הדף הראשון שולל אותך, הוא אפילו ימשיך עם אימות דו-גורמי של Steam.
והטריק היה שאם אלה באמת *היו* חלונות נפרדים, היית יכול לגרור אותם לצד אחד של חלון הדפדפן הראשי שלך, אבל הם לא היו.
במקרה הזה, למרבה המזל, הטבחים לא עשו את ה-CSS שלהם טוב במיוחד.
יצירות האמנות שלהם היו עלובות.
אבל, כפי שאתה ואני דיברנו על הרבה פעמים בפודקאסט, דאג, לפעמים יש נוכלים שיתאמצו כדי לגרום לדברים להיראות פיקסלים מושלמים.
עם CSS, אתה ממש יכול למקם פיקסלים בודדים, לא?
DOUG. CSS מעניין.
זה גיליונות סגנון מדורג... שפה שבה אתה משתמש לעיצוב מסמכי HTML, והיא ממש קלה ללמידה וקשה אפילו יותר לשלוט בה.
ברווז. [צוחק] נשמע כמו זה, ללא ספק.
DOUG. [צוחק] כן, זה כמו הרבה דברים!
אבל זה אחד הדברים הראשונים שאתה לומד ברגע שאתה לומד HTML.
אם אתה חושב, "אני רוצה לגרום לדף האינטרנט הזה להיראות טוב יותר", אתה לומד CSS.
אז, כשמסתכלים על כמה מהדוגמאות האלה של מסמך המקור שאליו קישרת מהמאמר, אתה יכול לדעת שזה יהיה ממש קשה לעשות זיוף ממש טוב, אלא אם כן אתה ממש טוב ב-CSS.
אבל אם תעשה את זה נכון, יהיה ממש קשה להבין שזה מסמך מזויף...
...אלא אם כן אתה עושה כדבריך: נסה לשלוף אותו מחלון ולהזיז אותו סביב שולחן העבודה שלך, דברים כאלה.
זה מוביל לנקודה השנייה שלך כאן: בדוק היטב חלונות חשודים.
סביר להניח שהרבה מהם לא יעברו את בדיקת העיניים, אבל אם כן, יהיה ממש קשה לזהות.
מה שמוביל אותנו לדבר השלישי...
"אם יש ספק/אל תמסור אותו."
אם זה פשוט לא ממש נראה כמו שצריך, ואתה לא יכול לדעת באופן סופי שמשהו מוזר קורה, פשוט עקוב אחר החרוז!
ברווז. וכדאי לחשוד באתרי אינטרנט לא ידועים, אתרים שלא השתמשתם בהם בעבר, שפתאום אומרים "בסדר, אנחנו הולכים לבקש מכם להיכנס עם חשבון הגוגל שלכם בחלון גוגל, או פייסבוק בחלון של פייסבוק. ”
או Steam בחלון Steam.
DOUG. כן.
אני שונא להשתמש כאן ב-B, אבל זה כמעט מבריק בפשטות שלו.
אבל שוב, זה יהיה ממש קשה להשיג התאמה מושלמת של פיקסלים באמצעות CSS ודברים כאלה.
ברווז. אני חושב שהדבר שחשוב לזכור הוא שבגלל שחלק מהסימולציה הוא ה"כרום" [ז'רגון לרכיבי ממשק המשתמש של הדפדפן] של הדפדפן, שורת הכתובת תיראה נכונה.
זה אולי אפילו נראה מושלם.
אבל העניין הוא שזה לא שורת כתובת...
...זו *תמונה* של שורת כתובת.
DOUG. בְּדִיוּק!
בסדר, זהירות שם בחוץ, כולם!
ואם כבר מדברים על דברים שהם לא מה שהם נראים, אני קורא על תוכנת כופר של DEADBOLT ומכשירי QNAP NAS, וזה מרגיש לי כאילו בדיוק דנו בסיפור הזה לא מזמן.
ברווז. כן, יש לנו נכתב על זה כמה פעמים ב-Naked Security עד כה השנה, למרבה הצער.
זה אחד מהמקרים שבהם מה שעבד עבור הנוכלים פעם אחת מתברר שעבד פעמיים, שלוש, ארבע פעמים, חמש פעמים.
ו-NAS, או אחסון צמוד רשת מכשירים, הם, אם תרצה, שרתי קופסה שחורה שאתה יכול ללכת ולקנות - הם בדרך כלל מריצים סוג של ליבת לינוקס.
הרעיון הוא שבמקום לקנות רישיון Windows, או ללמוד לינוקס, התקן את Samba, הגדר אותו, למד כיצד לבצע שיתוף קבצים ברשת שלך...
... אתה פשוט מחבר את המכשיר הזה ו"בינגו", הוא מתחיל לעבוד.
זהו שרת קבצים נגיש לאינטרנט, ולמרבה הצער, אם יש פגיעות בשרת הקבצים ואתה (במקרה או בתכנון) הפכת אותו לנגיש דרך האינטרנט, אז נוכלים עשויים לנצל את הפגיעות הזו, אם יש כזו אותו מכשיר NAS, מרחוק.
הם עשויים להיות מסוגלים לטרוף את כל הקבצים במיקום אחסון המפתח עבור הרשת שלך, בין אם זו רשת ביתית או רשת עסקית קטנה, ובעצם לעכב אותך כופר מבלי שתצטרך לדאוג לתקוף מכשירים אחרים בודדים כמו מחשבים ניידים וטלפונים על שלך. רֶשֶׁת.
לכן, הם לא צריכים להתעסק עם תוכנות זדוניות שמדביקות את המחשב הנייד שלך, והם לא צריכים לפרוץ לרשת שלך ולשוטט כמו פושעי כופר מסורתיים.
הם בעצם מערפלים את כל הקבצים שלך, ואז - כדי להציג את פתק הכופר - הם פשוט משתנים (לא צריך לצחוק, דאג)... הם פשוט משנים את דף הכניסה במכשיר ה-NAS שלך.
לכן, כאשר אתה מגלה שכל הקבצים שלך מבולגנים ואתה חושב, "זה מצחיק", ואתה קופץ עם דפדפן האינטרנט שלך ומתחבר לשם, אתה לא מקבל בקשת סיסמה!
אתה מקבל אזהרה: "הקבצים שלך ננעלו על ידי DEADBOLT. מה קרה? כל הקבצים שלך הוצפנו."
ואז מגיעות ההוראות כיצד לשלם.
DOUG. והם גם הציעו בחביבות ש-QNAP תוכל להעמיד סכום נסיך כדי לפתוח את הקבצים עבור כולם.
ברווז. צילומי המסך שיש לי ב- המאמר האחרון בתוכנית nakedsecurity.sophos.com:
1. פענוחים בודדים ב-0.03 ביטקוין, במקור כ-$1200 כאשר הדבר הזה הפך לנפוצה לראשונה, כעת כ-600 דולר.
2. אפשרות BTC 5.00, שבה מודיעים ל-QNAP על הפגיעות כדי שיוכלו לתקן אותה, שברור שהם לא מתכוונים לשלם כי הם כבר יודעים על הפגיעות. (בגלל זה יש תיקון במקרה הספציפי הזה.)
3. כמו שאתה אומר, יש אפשרות של BTC 50 (זה מיליון דולר עכשיו; זה היה $1 מיליון כשהסיפור הראשון הזה פרץ לראשונה). כנראה שאם QNAP ישלם את 2 הדולרים בשם כל מי שאולי נדבק, הנוכלים יספקו מפתח פענוח ראשי, אם לא אכפת לך.
ואם אתה מסתכל על ה-JavaScript שלהם, הוא בעצם בודק אם הסיסמה שהכנסת תואמת לאחד משני *-hash.
אחד מהם ייחודי לזיהום שלך - הנוכלים מתאימים אותו בכל פעם, כך שה-JavaScript מכיל את ה-hash בו, ואינו מוסר את הסיסמה.
ויש עוד hash שאם אתה יכול לפצח אותו, נראה כאילו הוא ישחזר את סיסמת המאסטר לכל אחד בעולם...
... אני חושב שאלו היו רק הנוכלים שעטפו את אפם לכולם.
DOUG. זה גם מעניין שכופר הביטקוין של $600 עבור כל משתמש הוא... אני לא רוצה להגיד "לא שערורייתי", אבל אם תסתכל בקטע התגובות של מאמר זה, יש כמה אנשים שלא מדברים רק על ששילמו את כּוֹפֶר…
...אבל בואו נדלג קדימה לשאלת הקורא שלנו כאן.
הקורא מייקל חולק את הניסיון שלו עם ההתקפה הזו, והוא לא לבד - יש אנשים אחרים בקטע התגובות הזה שמדווחים על דברים דומים.
על פני כמה הערות, הוא אומר (אני הולך להעיר מזה הערה גלויה):
"עברתי את זה ויצאתי בסדר אחרי ששילמתי את הכופר. למצוא את קוד ההחזרה הספציפי עם מפתח הפענוח שלי היה החלק הקשה ביותר. למד את השיעור היקר ביותר".
בהערה הבאה שלו הוא עובר על כל השלבים שהוא היה צריך לנקוט כדי לגרום לדברים לעבוד שוב.
והוא יורד עם:
"אני נבוך לומר שאני עובד ב-IT, עובד כבר 20+ שנה וננשך על ידי הבאג הזה של QNAP uPNP. שמח לעבור את זה."
ברווז. וואו, כן, זו ממש אמירה, לא?
כמעט כאילו הוא אומר, "הייתי מגבה את עצמי נגד הנוכלים האלה, אבל הפסדתי בהימור וזה עלה לי 600 דולר והרבה זמן."
אה!
DOUG. למה הוא מתכוון "קוד ההחזרה הספציפי עם מפתח התיאור שלו"?
ברווז. אה, כן, זה מאוד מעניין... מאוד מסקרן. (אני מנסה לא להגיד פה מדהים-סלאש-מבריק.) [צחוק]
אני לא רוצה להשתמש ב-C, ולומר שהיא "חכמה", אבל בערך.
איך יוצרים קשר עם הנוכלים האלה? האם הם צריכים כתובת מייל? האם ניתן לאתר את זה? האם הם צריכים אתר darkweb?
הנוכלים האלה לא.
כי, זכרו, יש מכשיר אחד, והתוכנה הזדונית מותאמת אישית וארוזה כאשר היא תוקפת את המכשיר כך שיש לה כתובת ביטקוין ייחודית.
ובעצם, אתה מתקשר עם הנוכלים האלה על ידי תשלום סכום הביטקוין שצוין לארנק שלהם.
אני מניח שבגלל זה הם שמרו על הסכום צנוע יחסית...
...אני לא רוצה להציע שלכולם יש 600 $ לזרוק בכופר, אבל זה לא שאתה מנהל משא ומתן מראש כדי להחליט אם אתה מתכוון לשלם 100,000 $ או 80,000 $ או 42,000 $.
אתה משלם להם את הסכום... בלי משא ומתן, בלי צ'אט, בלי דואר אלקטרוני, בלי הודעות מיידיות, בלי פורום תמיכה.
אתה פשוט שולח את הכסף לכתובת הביטקוין המיועדת, וברור שתהיה להם רשימה של כתובות הביטקוין האלה שהם עוקבים אחריהם.
כשהכסף מגיע, והם רואים שהוא הגיע, הם יודעים שאתה (וגם אתה לבד) שילמת, כי קוד הארנק הזה הוא ייחודי.
ואז הם עושים מה שהוא, למעשה (אני משתמש בציטוט האוויר הגדול ביותר בעולם) "החזר" על הבלוקצ'יין, תוך שימוש בעסקת ביטקוין בסכום, דאג, של אפס דולר.
והתשובה הזו, העסקה ההיא, כוללת למעשה הערה. (זכור את פריצת פולי נטוורקס? הם השתמשו בהערות בלוקצ'יין של Ethereum כדי לנסות ולהגיד, "יקירי, מר כובע לבן, האם לא תחזיר לנו את כל הכסף?")
אז אתה משלם לנוכלים, ובכך נותן את ההודעה שאתה רוצה לתקשר איתם, והם מחזירים לך $0 בתוספת הערה של 32 תווים הקסדצימליים...
...שהם 16 בתים בינאריים גולמיים, שהם מפתח הפענוח של 128 סיביות שאתה צריך.
ככה מדברים איתם.
וככל הנראה, הם הגיעו ל-T - כמו שמייקל אמר, ההונאה אכן עובדת.
והבעיה היחידה שהייתה למייקל הייתה שהוא לא היה רגיל לקנות ביטקוין, או לעבוד עם נתוני בלוקצ'יין ולחלץ את קוד ההחזרה הזה, שהוא בעצם ההערה ב"תשלום" העסקה שהוא מקבל בחזרה תמורת 0$.
אז, הם משתמשים בטכנולוגיה בדרכים ערמומיות מאוד.
בעיקרון, הם משתמשים בבלוקצ'יין הן ככלי תשלום והן ככלי תקשורת.
DOUG. בסדר, סיפור מאוד מעניין.
אנחנו נשגיח על זה.
ותודה רבה לך, מייקל, על ששלחת את ההערה.
אם יש לכם סיפור מעניין, תגובה או שאלה שתרצו לשלוח, נשמח לקרוא אותם בפודקאסט.
אתה יכול לשלוח דוא"ל ל-tips@sophos.com, אתה יכול להגיב על כל אחד מהמאמרים שלנו, או שאתה יכול לפנות אלינו בחברתית: @NakedSecurity.
זו ההופעה שלנו להיום - תודה רבה על ההקשבה.
עבור פול דאקלין, אני דאג אמות', ומזכיר לך, עד הפעם הבאה...
שניהם. הישאר בטוח.
[מודם מוזיקלי]
- blockchain
- קוינגניוס
- ארנקים
- cryptryptxchange
- אבטחת סייבר
- פשעי אינטרנט
- עברייני אינטרנט
- אבטחת סייבר
- דדבולט
- מחלקה לביטחון מולדת
- ארנקים דיגיטליים
- חומת אש
- קספרסקי
- תוכנות זדוניות
- מקאפי
- ביטחון עירום
- פודקאסט עירום אבטחה
- NexBLOC
- אפלטון
- plato ai
- מודיעין אפלטון
- משחק אפלטון
- אפלטון נתונים
- פלטוגיימינג
- פודקאסט
- ransomware
- VPN
- אבטחת אתר
- זפירנט
- יום אפס
![S3 Ep118: נחשו את הסיסמה שלכם? אין צורך אם זה כבר נגנב! [אודיו + טקסט]](https://platoaistream.com/wp-content/uploads/2023/01/s3-ep118-guess-your-password-no-need-if-its-stolen-already-audio-text-360x188.png)
