ポップコーンの缶に XNUMX 億ドル?
X線と呼ばれるほど不思議な電波。 があった 0 つの XNUMX 日 それともXNUMXつだけですか? 警官たちは 3億ドルを見つけた ポップコーン缶で。 ブルーバッジ 混乱。 時 URL スキャン うまくいかない。 追跡 最後ごと パッチが適用されていないファイル。 ありそうもないエクスプロイトでさえ、「高」の重大度レベルを獲得できる理由.
下の音波をクリックしてドラッグし、任意のポイントにスキップします。 あなたもすることができます 直接聞く Soundcloudで。
ダグ・アーモスとポール・ダックリンと。 イントロとアウトロの音楽 エディスマッジ.
あなたは私たちに聞くことができます Soundcloud, Apple Podcasts, Googleポッドキャスト, Spotifyは, 縫い合わせます そして、その良いポッドキャストが見つかるところならどこでも。 または単にドロップします RSSフィードのURL お気に入りのポッドキャッチャーに。
トランスクリプトを読む
ダグ。 Twitter 詐欺、パッチ チューズデー、犯罪者によるハッキング犯罪者。
NakedSecurityポッドキャストでそれ以上のものを。
【ミュージックモデム】
皆さん、ポッドキャストへようこそ。
私はダグです。
彼はポール・ダックリンです。
ポール、今日はどう?
アヒル。 よかったね、ダグ。
ここイギリスでは月食はありませんでしたが、外に出た瞬間、雲の層全体に唯一の穴として現れた雲の小さな隙間から*満月*の満月を垣間見ることができました.見てください!
しかし、マサチューセッツで見たようなオレンジ色の月はありませんでした。
ダグ。 ショーを始めましょう 今週の技術史…これはずっと前にさかのぼります。
今週、08 年 1895 月 XNUMX 日、ドイツの物理学教授ヴィルヘルム レントゲンは、まだ発見されていない形態の放射線に出くわし、その放射線を単に「X」と呼ぶようになりました。
X線のように。
それはどうですか…X線の偶然の発見?
アヒル。 かなり素晴らしい。
母が私にこう言ったのを覚えています。
ダグ。 [今後の予定] はい! [笑う]
アヒル。 人々は子供たちを連れて行きました... あなたはこの機械に立って靴を履き、ただ「歩き回って、きついですか? 彼らはつまんでいますか?」、あなたはX線装置に立ち、基本的にX線放射線を浴びてライブ写真を撮り、「ああ、彼らは正しいサイズです」と言いました。
ダグ。 はい、より単純な時間です。 ちょっと危ないけど…
アヒル。 少し危険?
靴屋で働いていた人々を想像できますか。
彼らはずっとX線を浴びていたに違いありません。
ダグ。 絶対に…うーん、今日は少し安全です。
また、安全性について言えば、毎月第 XNUMX 火曜日はマイクロソフトのパッチ チューズデーです。
So 私たちは何を学びましたか 2022 年 XNUMX 月のこのパッチ チューズデー?
Exchange 0-days 修正 (ついに) – さらに 4 つの新しい Patch Tuesday 0-days!
アヒル。 Doug さん、非常にエキサイティングなことは、技術的には月曜パッチが XNUMX つ、XNUMX つ、XNUMX つではなく、*XNUMX* のゼロデイを修正したことです。
しかし実際には、火曜日に Microsoft 製品用に入手できたパッチでは、*XNUMX* 個のゼロデイが修正されていました。
先週のパッチ火曜日にパッチが適用されなかったことで悪名高い Exchange のゼロデイを思い出してください。 プロキシノットシェル?
まあ、それらは修正されましたが、本質的には火曜日のパッチとは別の「サイドライン」であり、Exchange 2022 年 XNUMX 月 SU、またはソフトウェア アップデートで、次のように述べています。
2022 年 29 月の Exchange ソフトウェア更新プログラムには、2022 年 XNUMX 月 XNUMX 日に公式に報告されたゼロデイ脆弱性に対する修正が含まれています。
Exchange をアップグレードするだけです。
ええ、マイクロソフトに感謝します…パッチが最終的に公開されたときに、それが私たちがしなければならないことだとわかっていたと思います!
したがって、それらは *出ており、XNUMX つのゼロデイが修正されていますが、それらは新しいものではなく、技術的には「パッチ チューズデー」の部分には含まれていません。
そこでは、他に XNUMX つのゼロデイが修正されています。
また、パッチに優先順位を付けることに自信がある場合は、明らかにそれらのパッチを最初に処理する必要があります。
それらは、セキュリティ バイパスから、XNUMX つの特権の昇格、および XNUMX つのリモート コード実行にまで及びます。
しかし、それ以上のものがあります 合計 60 パッチ、影響を受ける製品と Windows コンポーネントの全体的なリストを見ると、いつものように、聞いたことのあるすべての Windows コンポーネント/製品と、おそらく知らない多くの Windows コンポーネント/製品を含む膨大なリストがあります。
Microsoft は、Kerberos、Mark of the Web、Exchange などを含む 62 の脆弱性にパッチを適用しています。
だから、いつものように: 遅らせるな/今日やる、ダグラス!
ダグ。 非常に良い。
かなりの遅れについて話しましょう…
について非常に興味深い話があります。 シルクロードのドラッグマーケット、そして、犯罪者が犯罪者から盗むことは、実際に捕まるのが約XNUMX年後であっても、依然として犯罪であることを思い出してください.
アヒル。 はい、サイバーセキュリティやオンラインにまったく慣れていない人でも、おそらく「シルクロード」について聞いたことがあるでしょう。これは、おそらく最初の有名で、大規模で、広く普及し、広く使用されている、基本的に何でもありのダークウェブ市場です。
それで、2013年にすべてが炎上しました。
創業者は、もともとはとしてのみ知られていたため、 恐怖の海賊ロバートs、しかし最終的には ロス・ウルブリヒト…彼の作戦上のセキュリティの悪さは、活動を彼に結びつけるのに十分でした。
彼の運用上のセキュリティがあまり良くなかっただけでなく、2012 年後半に (ダグ、信じられますか?) 暗号通貨の支払い処理の失敗があったようです…
ダグ。 [モックホラーで喘ぐ]
アヒル。 …それ以来何度も繰り返されてきたのは、適切な複式簿記の会計処理を行っていないタイプのもので、各借方に対応する貸方があり、その逆も同様です。
そして、この攻撃者は、自分のアカウントにお金を入れてすぐに他のアカウントに支払うと、システムが最初の引き落としに気付く前に、実際には同じビットコインを XNUMX 倍 (またはそれ以上) 支払うことができることを発見しました。終えた。
つまり、基本的にいくらかのお金を入れてから、何度も何度も引き出して、より大きな隠し場所を得ることができます…
…そして、いわゆる「仮想通貨搾取ループ」に戻る可能性があります。
そして、それは推定されています…捜査官は、彼が200から2000のビットコインで始めたことを確信していませんでした(彼がそれらを購入したか、採掘したかはわかりません)。ちょっと待って、ダグ: 50,0000 ビットコイン!
ダグ。 うわー!
アヒル。 50,000 以上のビットコイン、そのように。
そして、明らかに誰かが気付くだろうと考えて、彼は50,000ビットコインで先行している間にカットアンドランしました...
…わずか数年前まではわずか 12 セントだったのが、なんとそれぞれ XNUMX ドルの価値があります。 [笑う]
それで彼は 600,000 万ドルを手に入れました。そのように、ダグ。
[劇的な一時停止]
XNUMX年後…
[笑い]
…ほぼ*正確に*XNUMX年後、彼が逮捕され、彼の家が令状の下で家宅捜索されたとき、警官は捜索に行き、彼のクローゼットにポップコーンの缶が隠されている毛布の山を見つけました.
ポップコーンを保管する奇妙な場所。
その中には、一種のコンピューター化されたコールドウォレットがありました。
その中には、上記のビットコインの大部分がありました!
彼が逮捕されたとき、ビットコインは 65,535 ドル (または 216-1) それぞれ。
その間、彼らはXNUMX倍をはるかに超えていました。
つまり、当時、これは史上最大の仮想通貨の破綻でした!
XNUMX年後、不正に得た利益を処理できなかったようで、タンブラーに押し込もうとしても、すべての指が彼に戻ってくるのではないかと恐れていたのかもしれません.
…彼は 3 億ドル相当のビットコインを XNUMX 年間ポップコーンの缶に入れていたのです!
ダグ。 私の良さ。
アヒル。 それで、何年もの間、この恐ろしい宝物に座っていて、捕まるのかと思っていた彼は、今では「いつまで刑務所に行くのだろうか」と考えています。
そして、彼が直面している容疑の最高刑は?
20年、ダグ。
ダグ。 現在進行中の別の興味深い話。 最近 Twitter を使用している場合は、多くのアクティビティがあることがわかります。 外交的に言うと…
アヒル。 [低~中品質のボブ・ディランの物まね] そうですね、時代は変わりつつあります。
ダグ。 …ある時点で、検証済みの青い小切手に 20 ドルを請求するというアイデアも含まれていました。 いくつかの詐欺を促した.
アヒル。 ダグ、何かが大きな関心を集めているときはいつでも、詐欺師は必ず追随するということを思い出させてください。
そして、これの前提は、「ねえ、早く入ってみませんか? すでに青いマークを取得している場合は、何を推測しますか? 事前登録すれば、月額 $19.99 を支払う必要はありません。 お預かりいたします。」
イーロン・マスクが言ったように、それが彼のアイデアではないことはわかっていますが、それは多くの企業が行っていることですよね?
多くの企業は、サービスを利用し続けると、何らかの特典を提供します。
だから、まったく信じられないというわけではありません。
おっしゃる通り…何をあげたのですか?
Bマイナスでしたか。
ダグ。 私は最初の電子メールに B マイナスを与えます... すぐに読むとだまされる可能性がありますが、文法の問題がいくつかあります。 気分が乗らない。
そして、クリックスルーしたら、ランディング ページに C マイナスを付けます。
それはさらに危険です。
アヒル。 それは 5/10 と 6/10 の間のどこかですか?
ダグ。 はい、そう言いましょう。
そして、それが A-plus 詐欺であっても、とにかくそれを阻止できるので問題にならないように、いくつかのアドバイスがあります!
私の個人的なお気に入りから始めます。 パスワードマネージャーを使用する.
パスワード マネージャーは、詐欺に関する多くの問題を解決します。
アヒル。 します。
パスワード マネージャーには、きれいな画像が正しい、ロゴが完璧である、または Web フォームが画面上の正確な位置にあり、まったく同じフォントであるという事実によって誤解される可能性のある人間のような知性はありません。 、だからあなたはそれを認識します。
それが知っているのは、「このサイトについて聞いたことがない」ということだけです。
ダグ。 そしてもちろん、会員プロフィール、会員証、証明書、およびオンラインまたは印刷物で使用できる特別なロゴを使用し、 可能であれば 2FA をオンにする.
可能であれば、常に認証の第 XNUMX 要素を追加してください。
アヒル。 もちろん、それは必ずしもあなたを自分から守ってくれるわけではありません。
偽のサイトにアクセスして、「これはピクセル パーフェクトだ。本物に違いない」と判断し、ログインすることを決意し、すでにユーザー名とパスワードを入力している場合、次に、2FA プロセスを実行するように求められます…
…あなたはそうする可能性が非常に高いです。
ただし、「停止」を行うための少しの時間が与えられます。 考え。 接続。" 「待って、私はここで何をしているの?」と自分に言い聞かせてください。
したがって、ある意味では、2FA が導入するわずかな遅延は、実際にはほんのわずかな手間であるだけでなく、実際にサイバーセキュリティのワークフローを改善する方法にもなり得ます...サイバーセキュリティを取りたいと思うのに十分なスピードバンプを導入することによって.もう少し真剣に。
ですから、マイナス面が何であるかはわかりません。
ダグ。 そしてもちろん、多くの人が従うのは難しいが非常に効果的な別の戦略は、 電子メールのログイン リンクとアクション ボタンを避ける.
したがって、メールを受信した場合は、ボタンをクリックするだけではなく、サイト自体にアクセスすると、そのメールが合法であるかどうかをすぐに判断できます。
アヒル。 基本的に、最初の通信を完全に信頼できない場合、クリックするリンク、電話をかける電話番号、メールアドレスなど、その中の詳細を信頼することはできません。 、あなたがDMを送る予定のInstagramアカウントで彼らに連絡します。
メールに記載されている内容を使用しないでください。自分で方法を見つけてください。そうすれば、この種の多くの詐欺を回避できます。
ダグ。 そして最後に、これは常識のはずですが、そうではありません。 不確かなメッセージの送信者に、正当かどうか尋ねないでください。
「ねえ、あなたは本当にTwitterですか?」と返信しないでください。
アヒル。 はい、その通りです。
私の以前のアドバイス、「メールの情報に依存しないでください」、たとえば電話番号に電話しないでください.彼らです。 [IRONIC] なぜなら、料理人が答えれば、彼らは本名を明かすからです。」
ダグ。 私たちがいつも言っているように: 疑わしい場合/それを配らないでください.
これは良い注意喚起の話です。次の話です。正当なセキュリティ ツールであるセキュリティ スキャンが行われると、 必要以上に明らかにする、その後どうなりますか?
アヒル。 これは、ドイツのファビアン・ブラウンラインという名の有名な研究者です... 以前にも何度か紹介したことがあります。
彼は次のタイトルの詳細なレポートを持って戻ってきました urlscan.ioの SOAR スポット: おしゃべりなセキュリティ ツールが個人データを漏洩.
そしてこの場合は、 urlscan.io、無料で (または有料サービスとして) 使用できる Web サイトで、URL、ドメイン名、IP 番号などを送信できます。これについて?"
そして、他の人が尋ねた完全な URL が明らかになります。
そして、これは、人々が自分で選択してコピー アンド ペーストしたものだけではありません。
たとえば、メールがサードパーティのフィルタリング ツールを通過している場合があります。このツール自体が URL を抽出し、 urlscan.io、検索を行い、結果を取得し、それを使用して、メッセージをジャンク、スパムブロック、または通過するかどうかを決定します.
つまり、URL に秘密または半秘密のデータ、個人を特定できる情報が含まれている場合、その後短期間にたまたま正しいドメイン名を検索した他の人が、検索されたすべての URL を表示することがあります。 URL に含まれる可能性のあるもの。
あなたが知っているように blahblah?username=doug&passwordresetcode= XNUMX 進文字の長い文字列が続きます。
そして Bräunlein は、特に電子メールに表示される URL の興味深いリストを作成しました。これらの URL は、フィルタリングのために定期的にサード パーティに送信され、検索のためにインデックスに登録される可能性があります。
彼が考えた種類の電子メールには、間違いなく悪用可能であることが含まれていましたが、これらに限定されませんでした。アカウント作成リンク。 Amazonギフト配送リンク; API キー; DocuSign 署名要求; Dropbox ファイル転送; 荷物追跡; パスワードのリセット; PayPal の請求書; Google ドライブのドキュメント共有; SharePoint 招待; ニュースレターの購読解除リンク。
SharePoint、Google ドライブ、PayPal などを指差しません。
これらは、彼が遭遇した、この方法で悪用される可能性のある URL の例にすぎません。
ダグ。 この記事の最後にアドバイスがあります。要約すると、Bräunlein のレポートを読んでください。 読んだ urlscan.ioのブログ投稿; 独自のコード レビューを行います。 オンライン セキュリティ ルックアップを行うコードがある場合。 オンライン提出に存在するプライバシー機能について学びます。 そして、重要なこととして、不正なデータを見つけた場合にオンライン サービスに報告する方法を学びましょう。
XNUMXつあることに気がつきました…一種のリメリック?
この記事の最後にある非常に創造的なミニ詩…
アヒル。 [MOCK HORROR] いいえ、リメリックではありません。 リムリックは非常に形式的な XNUMX 行構造をしています…
ダグ。 [笑] ごめんなさい。 それは本当だ!
アヒル。 …拍子と韻の両方。
非常に構造化されています、ダグ!
ダグ。 本当にごめんなさい。 [笑う]
アヒル。 これはただのわんわんです。 [笑い]
もう一度: 疑わしい場合/それを配らないでください.
また、データを収集している場合: 入れてはいけない場合/ビンにまっすぐ入れます.
また、顧客データを明らかにする可能性のある公開 API を呼び出すコードを作成している場合: ユーザーを泣かせてはいけない / API の呼び出し方法によって.
ダグ。 [笑い] それは私にとって新しいもので、とても気に入っています!
そして最後に、ここのリストで重要なことですが、私たちはこの OpenSSL セキュリティ バグについて毎週話してきました。
今の大きな問題は、「どうやって伝えますか 何を修正する必要がありますか?
アヒル。 実際、Doug さん、使用している OpenSSL のバージョンをどのように知ることができますか?
そして明らかに、Linux では、コマンド プロンプトを開いて入力するだけです。 openssl version、それはあなたが持っているバージョンを教えてくれます。
しかし、OpenSSL はプログラミング ライブラリであり、ソフトウェアが独自のバージョンを持つことができないという規則はありません。
あなたのディストリビューションは OpenSSL 3.0 を使用しているかもしれませんが、「ああ、いや、新しいバージョンにアップグレードしていません。 OpenSSL 1.1.1 は引き続きサポートされているため、私たちは OpenSSL XNUMX を好みます。お持ちでない場合は、独自のバージョンを提供します。」
残念ながら、悪名高い Log4Shell のケースと同じように、12 つを探しに行かなければならなかったのですか? 154? 4? 古くなった LogXNUMXJ プログラムが存在する可能性のあるネットワーク上の場所を誰が知っていますか。
OpenSSL についても同様です。
理論的には、XDR または EDR ツールでわかるかもしれませんが、これをサポートしていないものもあれば、多くの人がそれを思いとどまらせるでしょう: 実際にプログラムを実行して、それがどのバージョンであるかを調べます。
結局のところ、バグがあるか間違っている場合は、実際にプログラムを実行して、独自のバージョンを報告する必要があります…
…カートを馬よりも先に置くような気がしますよね?
そのため、実際に DLL または共有ライブラリをロードする必要があり、実際に独自のライブラリを呼び出したいという特殊なケースについての記事を公開しました。 TellMeThyVersion() ソフトウェアコード。
つまり、プログラムを十分に信頼して、メモリにロードし、実行し、その一部のコンポーネントを実行します。
ネットワーク上にある外部の OpenSSL ファイルが最新であることを確実に確認できるようにする方法を紹介します。
これは CRITICAL から HIGH に格下げされましたが、修正する必要があり、修正したいバグであるためです。
ダグ。 このバグの深刻度については、 興味深い質問 Naked Security の読者である Svet は、次のように書いています。
悪用するには非常に複雑で、サービス拒否攻撃にしか使用できないバグが、なぜ HIGH に分類され続けているのでしょうか?
アヒル。 はい、彼は「OpenSL チームは CVSS について聞いたことがありませんか?」について何か言ったと思います。スクリプトによって自動的にフィルタリングされます。
したがって、CVSS スコアが低い場合 (つまり、 一般的な脆弱性スコアリングシステム)、なぜ人々はそれについて興奮しているのですか?
なぜそれが高くなければならないのですか?
それで、私の答えは、「なぜそれは高くすべきではないのですか?」というものでした。
これは暗号化エンジンのバグです。 たとえば、更新プログラムを取得しようとしているプログラムがクラッシュする可能性があります...つまり、何度も何度も何度もクラッシュします。これは、実際にはセキュリティを適切に行うことを妨げているため、単なるサービス拒否以上のものです.
セキュリティ バイパスの要素があります。
もう XNUMX つの答えは、脆弱性がエクスプロイトに変わることに関しては、「決して言わないでください!」だと思います。
スタック バッファ オーバーフローのようなものが発生し、スタック上の他の変数 (おそらくメモリ アドレスを含む) を操作できる場合、誰かが実行可能なエクスプロイトを見つけ出す可能性が常にあります。
そして問題は、ダグ、彼らがそれを理解したら、それがどれほど複雑であったかは問題ではありません…
…悪用する方法がわかれば、*誰でも*それを実行できます。なぜなら、そうするためのコードを販売できるからです。
私が言おうとしていることがお分かりだと思いますが、「私はそれについて強く感じているわけではありません」
[笑い]
繰り返しになりますが、これは「やればやばい、やらないならやばい」ことの XNUMX つです。
ダグ。 とても良いです。コメントを書いて送信してくれてありがとう、Svet。
投稿したい興味深いストーリー、コメント、質問がある場合は、ポッドキャストで読んでください。
ヒント@sophos.comに電子メールを送信するか、当社の記事のいずれかにコメントするか、またはソーシャルで私たちに連絡することができます:@nakedsecurity。
それが今日の私たちのショーです。 聞いてくれてありがとう。
ポール・ダックリンの場合、私はダグ・アーモスです。次回まで…
どちらも。 安全を確保してください!
