팝콘 통에 XNUMX억 달러?
전파는 너무 신비해서 엑스레이로만 알려져 있습니다. 있었다 여섯 개의 0일 아니면 XNUMX개만? 경찰들은 3억 달러 발견 팝콘통에. 파란색 배지 혼동. 언제 URL 스캔 잘못되다. 추적하기 마지막으로 패치되지 않은 파일. 가능성이 희박한 익스플로잇도 "높은" 심각도 수준을 얻을 수 있는 이유.
원하는 지점으로 건너뛰려면 아래의 음파를 클릭하고 끕니다. 당신은 또한 수 직접 들어 사운드클라우드에서.
Doug Aamoth와 Paul Ducklin과 함께. 인트로 및 아웃트로 음악 에디스 머지.
당신은 우리를들을 수 있습니다 사운드 클라우드, Apple Podcasts, Google 포드 캐스트, 스포티 파이, 스티 그리고 좋은 팟캐스트가 있는 곳이면 어디든지. 아니면 그냥 버리세요 RSS 피드의 URL 좋아하는 팟캐쳐에.
대본 읽기
더그. Twitter 사기, 패치 화요일, 범죄자 해킹 범죄자.
Naked Security 팟캐스트에서 이 모든 것.
[뮤지컬 모뎀]
팟캐스트에 오신 것을 환영합니다.
저는 더그입니다.
폴 더클린입니다.
폴, 오늘은 어때?
오리. 좋아, 더그.
여기 영국에서는 월식이 없었지만, 밖으로 나간 순간 전체 구름층에서 유일한 구멍으로 나타난 구름의 작은 틈을 통해 *보름달* 보름달을 잠깐 엿볼 수 있었습니다. 보세요!
하지만 너희들이 매사추세츠에서 그랬던 것처럼 오렌지색 달은 없었어.
더그. 로 쇼를 시작하자 이번 주 기술 역사… 이것은 아주 오래전으로 거슬러 올라갑니다.
이번 주, 08년 1895월 XNUMX일, 독일의 물리학 교수인 빌헬름 뢴트겐은 아직 발견되지 않은 형태의 방사선을 우연히 발견하여 단순히 "X"라고 언급했습니다.
엑스레이에서처럼.
어때요… 우연히 엑스레이를 발견한 거죠?
오리. 꽤 놀랍습니다.
엄마가 1950년대에(미국에서도 마찬가지였을 텐데) 분명히 신발 가게에서…
더그. [무엇이 나올지 알고] 네! [웃음]
오리. 사람들은 아이들을 집에 데려다 주곤 했습니다. 이 기계 안에 서서 신발을 신고 그냥 이렇게 말하는 대신에 “이리저리 걸어보세요. 그들은 꼬집나요?”라고 물었을 때, 당신은 기본적으로 X선 방사선으로 당신을 목욕시키고 라이브 사진을 찍고 "아, 맞아요, 크기가 맞아요."라고 말하는 X선 기계에 섰습니다.
더그. 예, 더 간단한 시간입니다. 조금 위험하지만...
오리. 조금 위험한가요?
구두 가게에서 일하던 사람들을 상상할 수 있습니까?
그들은 항상 X-레이에 몸을 담그고 있었을 것입니다.
더그. 물론... 음, 오늘은 조금 더 안전합니다.
그리고 안전을 주제로 매월 첫 번째 화요일은 Microsoft의 Patch Tuesday입니다.
So 우리는 무엇을 배웠습니까 이번 패치 화요일은 2022년 XNUMX월인가요?
오리. 정말 신나는 일은 화요일 패치가 기술적으로 하나도, 둘도, 셋도 아닌… *XNUMX*개의 제로데이를 수정했다는 것입니다.
그러나 실제로 화요일에 얻을 수 있는 Microsoft 제품용 패치는 *XNUMX*개의 제로데이를 수정했습니다.
악명 높게 지난 화요일 패치에 패치되지 않은 Exchange 제로데이인 CVE-2002-41040 및 CVE-2022-41082를 기억하십시오. ProxyNotShell?
글쎄, 그것들은 수정되었지만 본질적으로 화요일 패치에 대한 별도의 "부업"인 Exchange 2022년 XNUMX월 SU 또는 소프트웨어 업데이트에서 다음과 같이 말합니다.
2022년 29월 Exchange 소프트웨어 업데이트에는 2022년 XNUMX월 XNUMX일에 공개적으로 보고된 제로 데이 취약성에 대한 수정 사항이 포함되어 있습니다.
Exchange를 업그레이드하기만 하면 됩니다.
이런, 감사합니다 Microsoft… 제 생각에는 패치가 마침내 나왔을 때 우리가 해야 할 일이라는 것을 알고 있었던 것 같습니다!
그래서 그들은 *떠났고* 두 개의 제로데이가 수정되었지만 새로운 것이 아니며 기술적으로 "화요일 패치" 부분에 포함되지 않았습니다.
거기에는 XNUMX개의 다른 제로데이가 고정되어 있습니다.
그리고 패치의 우선 순위 지정을 믿는다면 누군가가 이미 패치로 나쁜 일을 하는 방법을 알고 있기 때문에 분명히 패치를 먼저 처리하고 싶은 패치입니다.
보안 바이패스에서 두 가지 권한 상승 및 한 가지 원격 코드 실행에 이르기까지 다양합니다.
하지만 그 이상이 있습니다 총 60개의 패치, 그리고 영향을 받는 제품 및 Windows 구성 요소의 전체 목록을 보면 평소와 같이 여러분이 들어 본 모든 Windows 구성 요소/제품과 아직 들어보지 못한 많은 목록이 있습니다.
Microsoft는 Kerberos, Mark of the Web, Exchange 등을 포함한 62개의 취약점을 패치합니다.
항상 그렇듯이: 미루지 말고 오늘 하라, 더글라스!
더그. 아주 좋아.
이제 상당한 지연에 대해 이야기하겠습니다…
에 대한 매우 흥미로운 이야기가 있습니다. 실크로드 마약 시장, 그리고 범죄자에게서 물건을 훔치는 범죄자는 실제로 범죄로 잡힌 지 XNUMX년이 지난 후에도 여전히 범죄라는 사실을 상기시켜 줍니다.
오리. 예, 사이버 보안에 익숙하지 않거나 온라인에 접속하는 데 익숙하지 않은 사람들도 기본적으로 모든 것이 가능한 최초의 유명하고 광범위하며 널리 사용되는 다크 웹 시장인 "실크 로드"에 대해 들어봤을 것입니다.
그래서 2013년에 모든 것이 불타올랐습니다.
원래는 로만 알려진 설립자이기 때문에 공포의 해적 로버트s, 하지만 궁극적으로 로스 울 브리 히트... 그의 열악한 운영 보안은 활동을 그에게 묶기에 충분했습니다.
그의 운영 보안이 그다지 좋지 않았을 뿐만 아니라 2012년 후반에 암호화폐 결제 처리 실수를 한 것으로 보입니다(Doug, 믿을 수 있겠습니까?).
더그. [가짜 공포의 헐떡임]
오리. ...그 이후로 여러 번 반복되는 유형으로 적절한 이중 입력 회계를 수행하지 않았습니다. 여기서 각 차변에는 해당 대변이 있고 그 반대의 경우도 마찬가지입니다.
그리고 이 공격자는 당신이 당신의 계정에 약간의 돈을 넣은 다음 매우 빠르게 다른 계정으로 돈을 지불하면 시스템이 첫 번째 인출이 사라 졌다는 것을 깨닫기 전에 실제로 동일한 비트코인의 XNUMX배(또는 그 이상)를 지불할 수 있다는 것을 발견했습니다. 을 통해.
따라서 기본적으로 약간의 돈을 넣은 다음 계속해서 인출하면 더 많은 돈을 은닉할 수 있습니다…
… 그리고 나서 "암호화폐 착유 루프"라고 부르는 것으로 돌아갈 수 있습니다.
수사관들은 그가 자신의 비트코인 200~2000개로 시작했다고 확신하지 못했습니다(그가 비트코인을 샀는지 채굴했는지는 알 수 없습니다). 기다리세요, Doug: 50,0000 비트코인!
더그. 와우!
오리. 50,000개 이상의 비트코인이 있습니다.
그리고 분명히 누군가 알아차리리라고 생각하고 그는 50,000 비트코인으로 앞서가는 동안 컷앤런을 했습니다…
...몇 년 전만 해도 12센트도 안되는 가격에서 각각 XNUMX달러라는 놀라운 가치가 있습니다. [웃음]
그래서 그는 $600,000를 벌었습니다. Doug.
[극적인 일시 중지]
XNUMX년 후…
[웃음]
...거의 *정확히* XNUMX년 후, 그가 체포되고 그의 집이 영장에 따라 급습되었을 때 경찰은 수색을 했고 그의 옷장에서 팝콘 깡통이 숨겨져 있는 담요 더미를 발견했습니다.
팝콘을 보관하는 이상한 장소.
그 안에는 일종의 전산화된 콜드 월렛이 있었습니다.
그 안에는 비트 코인의 많은 부분이 있었습니다!
그가 체포되었을 당시 비트코인은 $65,535(또는 216-1) 각각.
그들은 그 사이에 천 배 이상 올랐습니다.
그래서 그 당시에는 사상 최대 규모의 크립토코인 파산이었습니다!
XNUMX년 후, 부당 이득을 처리하지 못한 듯, 텀블러에 밀어넣으려 해도 모든 손가락이 자신을 향할까봐 두려웠을지도...
...그는 팝콘 깡통에 3년 동안 보관되어 있던 XNUMX억 달러 상당의 비트코인을 모두 가지고 있었습니다!
더그. 이럴 수가.
오리. 그래서 이 무서운 보물 위에 앉아서 잡힐까 걱정하다가 이제 그는 "얼마나 더 감옥에 가야 할까?"라고 생각하게 되었습니다.
그리고 그가 직면한 혐의에 대한 최대 형량은?
20년, 더그.
더그. 지금 또 다른 재미있는 이야기가 진행되고 있습니다. 최근에 트위터를 해본 적이 있다면 많은 활동이 있음을 알 수 있습니다. 외교적으로 말하자면…
오리. [저급에서 중급 수준의 밥 딜런 흉내] 음, 시대는 변하고 있습니다.
더그. ...검증된 파란색 수표에 대해 20달러를 청구하는 아이디어를 포함하여, 물론 거의 즉시 일부 사기 유발.
오리. Doug, 많은 관심을 끌 만한 일이 있을 때마다 사기꾼들이 반드시 따라온다는 사실을 상기시켜 드리는 것뿐입니다.
그리고 이것의 전제는 “이봐, 왜 일찍 오지 않니? 이미 파란색 표시가 있다면 어떻게 될까요? 사전 등록하면 월 $19.99를 지불할 필요가 없습니다. 우리는 당신이 그것을 유지하게 할 것입니다.”
그가 말했듯이 그것이 Elon Musk의 아이디어가 아니었음을 우리는 알고 있습니다.
서비스를 계속 사용하면 많은 회사에서 일종의 혜택을 제공합니다.
그래서 그것은 완전히 믿을 수 없습니다.
당신이 말했듯이 ... 무엇을 주었습니까?
B-마이너스였나요?
더그. 초기 이메일에 B-마이너스를 부여합니다… 빨리 읽으면 속을 수도 있지만 문법 문제가 있습니다. 물건이 제대로 느껴지지 않습니다.
그런 다음 클릭을 통해 방문 페이지에 C-마이너스를 부여합니다.
그것은 더 위험해집니다.
오리. 5/10에서 6/10 사이 어딘가에 있습니까?
더그. 예, 그렇게 말합시다.
그리고 A-plus 사기일지라도 어쨌든 막을 수 있기 때문에 문제가 되지 않도록 몇 가지 조언이 있습니다!
개인적으로 좋아하는 것으로 시작: 암호 관리자 사용.
암호 관리자는 사기와 관련하여 많은 문제를 해결합니다.
오리. 그렇습니다.
암호 관리자는 예쁜 그림이 맞다, 로고가 완벽하다, 웹 양식이 정확히 같은 글꼴로 화면의 정확한 위치에 있다는 사실로 오도될 수 있는 인간과 같은 지능을 가지고 있지 않습니다. , 그래서 당신은 그것을 인식합니다.
알고 있는 것은 "이 사이트에 대해 들어본 적이 없습니다."입니다.
더그. 그리고 물론, 가능하면 2FA를 켭니다..
가능한 경우 항상 두 번째 인증 요소를 추가하십시오.
오리. 물론 그것이 반드시 당신 자신으로부터 당신을 보호하는 것은 아닙니다.
가짜 사이트에 가서 "이봐, 픽셀까지 완벽해, 진짜야"라고 결정하고 로그인하기로 결심하고 이미 사용자 이름과 비밀번호를 입력했다면, 그런 다음 2FA 프로세스를 진행하도록 요청합니다…
...그렇게 할 가능성이 매우 높습니다.
그러나 "중지"를 할 시간이 조금 있습니다. 생각한다. 연결하다." "잠깐, 내가 여기서 뭐하는 거지?"
따라서 어떤 면에서 2FA가 도입하는 약간의 지연은 실제로 매우 작은 번거로움일 뿐만 아니라 실제로 사이버 보안 워크플로를 개선하는 방법이기도 합니다. 조금 더 진지하게.
그래서 나는 단점이 무엇인지 알지 못합니다.
더그. 물론 많은 사람들이 따르기는 어렵지만 매우 효과적인 또 다른 전략은 이메일에서 로그인 링크 및 작업 버튼을 피하십시오..
따라서 이메일을 받으면 버튼을 클릭하지 말고 사이트 자체로 이동하면 해당 이메일이 합법적인지 여부를 꽤 빨리 알 수 있습니다.
오리. 기본적으로 초기 서신을 완전히 신뢰할 수 없다면 클릭할 링크, 전화할 전화번호, 이메일 주소 등 그 내용의 세부 정보에 의존할 수 없습니다. 무엇이든 DM을 보낼 Instagram 계정으로 연락할 것입니다.
이메일에 있는 내용을 사용하지 마십시오. 자신만의 방법을 찾으십시오. 그러면 이러한 종류의 많은 사기를 차단할 수 있습니다.
더그. 그리고 마지막으로, 마지막으로 중요한 것은... 이것은 상식이어야 하지만 그렇지 않습니다. 확실하지 않은 메시지를 보낸 사람에게 합법적인지 묻지 마십시오.
“야 너 진짜 트위터니?”라고 대답하지 마세요.
오리. 네, 맞습니다.
왜냐하면 전화번호로 전화하지 말라는 것과 같은 "이메일에 있는 정보에 의존하지 말라"는 나의 이전 충고 때문입니다. 그들입니다. [아이러닉] 분명히 요리사가 대답하면 실명을 밝힐 것이기 때문입니다.”
더그. 우리가 항상 말하는 것처럼: 의심스러우면/내주지 마세요.
그리고 이것은 좋은 경고 이야기입니다. 다음 이야기는 다음과 같습니다. 합법적인 보안 도구인 보안 스캔이 해야 할 것보다 더 많은 것을 드러내다, 그러면 어떻게 됩니까?
오리. 이것은 독일의 Fabian Bräunlein이라는 잘 알려진 연구원입니다. 우리는 이전에 그를 몇 번 소개한 적이 있습니다.
그는 자세한 보고서를 가지고 돌아왔습니다. urlscan.io의 SOAR 스팟: 개인 데이터를 유출하는 수다스러운 보안 도구.
그리고 이 경우에는 urlscan.io, URL, 도메인 이름, IP 번호 또는 무엇이든 제출할 수 있는 무료(또는 유료 서비스)로 사용할 수 있는 웹 사이트입니다. 이것에 관해서?"
그리고 다른 사람들이 질문한 전체 URL이 표시됩니다.
그리고 이것은 사람들이 자신이 선택한 것을 복사하여 붙여넣는 것만이 아닙니다.
예를 들어 이메일이 자체적으로 URL을 추출하는 타사 필터링 도구를 거치는 경우가 있습니다. urlscan.io, 검색을 수행하고 결과를 얻은 다음 이를 사용하여 정크, 스팸 차단 또는 메시지 통과 여부를 결정합니다.
즉, URL에 비밀 또는 반비밀 데이터, 개인 식별 정보가 포함되어 있는 경우, 그 후 짧은 기간 내에 올바른 도메인 이름을 검색한 다른 사람들이 다음을 포함하여 검색된 모든 URL을 볼 수 있음을 의미합니다. URL에 있을 수 있는 것.
알다시피 blahblah?username=doug&passwordresetcode= 긴 문자열 XNUMX진수 문자 등이 뒤따릅니다.
그리고 Bräunlein은 필터링을 위해 정기적으로 제XNUMX자에게 전송된 다음 검색을 위해 인덱싱될 수 있는 URL, 특히 이메일에 나타날 수 있는 URL의 종류에 대한 흥미로운 목록을 제시했습니다.
그가 확실히 악용될 수 있다고 생각한 종류의 이메일에는 계정 생성 링크; Amazon 선물 배송 링크 API 키 DocuSign 서명 요청 드롭박스 파일 전송; 패키지 추적; 비밀번호 재설정; PayPal 청구서 Google 드라이브 문서 공유; SharePoint 초대; 및 뉴스레터 구독 취소 링크.
SharePoint, Google 드라이브, PayPal 등에서 손가락을 가리키지 않습니다.
이러한 방식으로 잠재적으로 악용될 수 있는 URL의 예일 뿐입니다.
더그. 우리는 그 기사의 끝에 몇 가지 조언을 얻었습니다. 그것은 다음과 같이 요약됩니다. Braunlein의 보고서를 읽으십시오. 읽다 urlscan.io의 블로그 게시물; 자신의 코드 검토를 수행하십시오. 온라인 보안 조회를 수행하는 코드가 있는 경우; 온라인 제출에 대해 어떤 개인 정보 보호 기능이 있는지 알아보십시오. 그리고 중요한 것은 불량 데이터를 본 경우 온라인 서비스에 보고하는 방법을 배웁니다.
XNUMX가지…
이 기사의 끝 부분에 있는 매우 창의적인 미니 시들…
오리. [MOCK HORROR] 아니, 그들은 라임릭이 아니야! 리머릭은 매우 형식적인 XNUMX행 구조를 가지고 있습니다…
더그. [웃음] 정말 죄송합니다. 사실이야!
오리. ... 운율과 운율 모두.
매우 구조적입니다, 더그!
더그. 정말 죄송합니다. [웃음]
오리. 이건 그냥 도게렐입니다. [웃음]
다시 한번: 의심스러우면/내주지 마세요.
데이터를 수집하는 경우: 넣지 말아야 할 경우/통에 똑바로 꽂으십시오..
그리고 고객 데이터를 공개할 수 있는 공용 API를 호출하는 코드를 작성하는 경우: 사용자를 울리지 마십시오/API를 호출하는 방법으로.
더그. [LAUGHS] 그것은 저에게 새로운 것이고 저는 그것을 매우 좋아합니다!
그리고 마지막으로 여기 목록에 있는 것은 아니지만 우리는 매주 이 OpenSSL 보안 버그에 대해 이야기했습니다.
지금 가장 큰 질문은 "어떻게 알 수 있니 무엇을 고쳐야 합니까?”
오리. 실제로 Doug, 우리가 가지고 있는 OpenSSL의 버전을 어떻게 알 수 있습니까?
그리고 분명히 Linux에서는 명령 프롬프트를 열고 다음을 입력하기만 하면 됩니다. openssl version, 가지고 있는 버전을 알려줍니다.
그러나 OpenSSL은 프로그래밍 라이브러리이며 소프트웨어가 자체 버전을 가질 수 없다는 규칙은 없습니다.
귀하의 배포판은 OpenSSL 3.0을 사용할 수 있지만 “아니요, 새 버전으로 업그레이드하지 않았습니다. 우리는 OpenSSL 1.1.1을 선호합니다. OpenSSL XNUMX은 여전히 지원되기 때문입니다. 아직 가지고 있지 않은 경우를 대비하여 자체 버전을 가져오고 있습니다.”
그래서 불행하게도 그 악명 높은 Log4Shell 사건과 마찬가지로 세 가지를 찾아야 했습니까? 12? 154? 오래된 Log4J 프로그램이 있을 수 있는 네트워크의 위치를 아는 사람.
OpenSSL도 마찬가지입니다.
이론상으로는 XDR 또는 EDR 도구가 알려줄 수 있지만 일부는 이를 지원하지 않으며 대부분은 지원하지 않을 것입니다. 실제로 프로그램을 실행하여 버전을 확인합니다.
결국 버그가 있거나 잘못된 것이라면 자체 버전을 보고하도록 프로그램을 실제로 실행해야 하기 때문입니다.
...말보다 수레를 앞세우는 느낌이지 않나요?
그래서 우리는 실제로 DLL 또는 공유 라이브러리를 로드하고 실제로 자신의 라이브러리를 호출하려는 특별한 경우에 대한 기사를 게시했습니다. TellMeThyVersion() 소프트웨어 코드.
즉, 프로그램을 충분히 신뢰하여 메모리에 로드하고 실행하고 일부 구성 요소를 실행할 수 있습니다.
네트워크에 있는 모든 외부 OpenSSL 파일이 최신인지 절대적으로 확인할 수 있도록 이를 수행하는 방법을 보여줍니다.
이것이 CRITICAL에서 HIGH로 다운그레이드되었지만 여전히 수정해야 하는 버그이기 때문입니다!
더그. 이 버그의 심각도에 대해 흥미로운 질문 부분적으로 쓴 Naked 보안 독자 Svet의 글:
악용하기에는 엄청나게 복잡하고 서비스 거부 공격에만 사용할 수 있는 버그가 계속 높음으로 분류되는 이유는 무엇입니까?
오리. 예, 제 생각에 그는 "오, OpenSL 팀이 CVSS에 대해 들어보지 않았나요?"에 대해 말한 것 같습니다. 원하는 경우 버그의 위험 및 복잡성 수준을 인코딩하는 미국 정부 표준입니다. 스크립트에 의해 자동으로 필터링됩니다.
따라서 CVSS 점수가 낮으면(즉, 일반적인 취약점 점수 시스템), 왜 사람들은 그것에 대해 열광합니까?
왜 HIGH여야 합니까?
그래서 내 대답은 "왜 HIGH가 *해서는 안 됩니까?"였습니다.
암호화 엔진의 버그입니다. 예를 들어 업데이트를 받으려고 하는 프로그램을 중단시킬 수 있습니다. 따라서 계속해서 중단될 것입니다. 이는 서비스 거부 이상의 의미가 있습니다. 실제로 보안을 제대로 수행하지 못하게 하기 때문입니다.
보안 우회 요소가 있습니다.
그리고 대답의 다른 부분은 취약점이 익스플로잇으로 바뀌는 것과 관련하여 "절대로 절대 말하지 마십시오!"라고 생각합니다.
메모리 주소를 포함하여 스택의 다른 변수를 조작할 수 있는 스택 버퍼 오버플로와 같은 것이 있을 때 누군가 실행 가능한 익스플로잇을 알아낼 수 있는 기회가 항상 있을 것입니다.
그리고 문제는 더그, 일단 그들이 그것을 알아내고 나면, 알아내는 것이 얼마나 복잡한지는 중요하지 않다는 것입니다…
...악용 방법을 알게 되면 *누구나* 할 수 있습니다. 코드를 판매할 수 있기 때문입니다.
제가 무슨 말을 하려는지 아시리라 생각합니다. "나는 그것에 대해 강하게 느끼는 것이 아닙니다."
[웃음]
다시 한 번 말하지만, "그렇게 해도 저주받고, 하지 않으면 저주받는" 것들 중 하나입니다.
더그. 아주 좋습니다. 댓글을 작성하고 보내주셔서 대단히 감사합니다, Svet.
제출하고 싶은 흥미로운 이야기, 의견 또는 질문이 있으면 팟캐스트에서 읽고 싶습니다.
Tips@sophos.com으로 이메일을 보내거나, 우리 기사 중 하나에 댓글을 달거나, @nakedsecurity 소셜에서 연락할 수 있습니다.
그것이 오늘의 쇼입니다. 들어주셔서 대단히 감사합니다.
Paul Ducklin에게 저는 Doug Aamoth라고 합니다. 다음 시간까지...
양자 모두. 보안 유지!
