SŁUCHAJ TERAZ
Z Dougiem Aamothem i Paulem Ducklinem.
Muzyka intro i outro autorstwa Edyta Mudge.
Kliknij i przeciągnij poniższe fale dźwiękowe, aby przejść do dowolnego punktu. Również możesz słuchaj bezpośrednio na Soundcloudzie.
Możesz nas posłuchać SoundCloud, Podcasty Apple, Podcasty Google, Spotify, Stitcher i wszędzie tam, gdzie można znaleźć dobre podcasty. Lub po prostu upuść URL naszego kanału RSS do swojego ulubionego podcatchera.
PRZECZYTAJ TRANSKRYPTU
DOUG. Deadbolt – powraca!
Obfitość łatek!
I strefy czasowe… tak, strefy czasowe.
Wszystko to i wiele więcej w podkaście Naked Security.
[MOM MUZYCZNY]
Witam wszystkich w podkaście.
Jestem Doug Aamoth.
Ze mną, jak zawsze, jest Paul Ducklin.
Paul, bardzo szczęśliwy setny odcinek dla ciebie, przyjacielu!
KACZKA. Wow, Doug!
Wiesz, kiedy zacząłem swoją strukturę katalogów dla Serii 3, śmiało użyłem -001 dla pierwszego odcinka.
DOUG. Ja nie. [ŚMIECH]
KACZKA. Nie -1 or -01.
DOUG. Mądry…
KACZKA. Miałem wielką wiarę!
A kiedy zapiszę dzisiejsze akta, będę się z niego radować.
DOUG. Tak, i będę się tego bać, ponieważ wyskoczy na samą górę.
Cóż, będę musiała sobie z tym poradzić później…
KACZKA. [ŚMIECH] Możesz zmienić nazwy wszystkich innych rzeczy.
DOUG. Wiem wiem.
[MARUMCZA] Nie mogę się tego doczekać… nadchodzi moja środa.
W każdym razie zacznijmy program od historii technologii.
W tym tygodniu, 12 września 1959 r., Luna 2, Znany także jako Druga radziecka rakieta kosmiczna, stał się pierwszym statkiem kosmicznym, który dotarł do powierzchni Księżyca i pierwszym obiektem stworzonym przez człowieka, który nawiązał kontakt z innym ciałem niebieskim.
Bardzo fajny.
KACZKA. Jaka była ta długa nazwa?
„Druga radziecka rakieta kosmiczna”?
DOUG. Tak.
KACZKA. Luna Dwa Jest znacznie lepsza.
DOUG. Tak, dużo lepiej!
KACZKA. Najwyraźniej, jak możesz sobie wyobrazić, biorąc pod uwagę, że była to era wyścigów kosmicznych, pojawiła się pewna obawa: „Skąd będziemy wiedzieć, że naprawdę to zrobili? Mogliby po prostu powiedzieć, że wylądowali na Księżycu i może to zmyślają.
Najwyraźniej opracowali protokół, który umożliwiłby niezależną obserwację.
Przewidywali czas, w którym przybędzie na Księżyc, zderzając się z Księżycem, i wysłali dokładny czas, w którym się tego spodziewali, do astronoma w Wielkiej Brytanii.
I obserwował niezależnie, aby zobaczyć, czy to, co powiedzieli, *będzie* wydarzyło się w tym czasie *stało się* wydarzyło się.
Więc nawet pomyśleli: „Jak zweryfikować coś takiego?”
DOUG. Cóż, jeśli chodzi o skomplikowane rzeczy, mamy łatki od Microsoftu i Apple.
Więc co jest godne uwagi w tej ostatniej rundzie?
KACZKA. Z pewnością tak – w tym tygodniu jest to wtorek, drugi wtorek miesiąca.
We wtorek pojawiły się dwie luki, które były dla mnie godne uwagi.
Jeden jest godny uwagi, ponieważ najwyraźniej znajduje się na wolności – innymi słowy, był to dzień zerowy.
I chociaż nie jest to zdalne wykonanie kodu, jest to trochę niepokojące, ponieważ jest to luka w pliku dziennika [przepraszam na kaszel], Doug!
To nie jest tak źle jak Log4J, gdzie można było nie tylko zmusić rejestrator do niewłaściwego zachowania, ale także zmusić go do uruchom dowolny kod dla Ciebie.
Wydaje się jednak, że jeśli wyślesz jakieś zniekształcone dane do sterownika Windows Common Log File System, CLFS, możesz oszukać system, aby awansował Cię do uprawnień systemowych.
Zawsze źle, jeśli jesteś gościem, a następnie możesz zmienić się w administratora systemu…
DOUG. [ŚMIECH] Tak!
KACZKA. To jest CVE-2022-37969.
I ten drugi, który wydał mi się interesujący…
…na szczęście nie na wolności, ale to jest ten, który naprawdę musisz załatać, ponieważ założę się, że to ten, który cyberprzestępcy skupią się na inżynierii wstecznej:
„Luka umożliwiająca zdalne wykonanie kodu Windows TCP/IP”, CVE-2022-34718.
Jeśli pamiętasz Kod czerwony, Slammer SQLi te niegrzeczne robaki z przeszłości, do których właśnie dotarły w pakiecie sieciowym i wdarły się do systemu….
To jeszcze niższy poziom.
Najwyraźniej błąd tkwi w obsłudze niektórych pakietów IPv6.
Więc wszystko, co nasłuchuje IPv6, czyli prawie każdy komputer z systemem Windows, może być z tego powodu zagrożone.
Tak jak powiedziałem, nie ma go na wolności, więc oszuści jeszcze go nie znaleźli, ale nie wątpię, że zabiorą łatkę i spróbują dowiedzieć się, czy mogą z niej odtworzyć exploit, aby przyłapać ludzi, którzy jeszcze nie załatali.
Bo jeśli cokolwiek mówi: „Wow! Co by było, gdyby ktoś napisał robaka, który tego używał?”… to jest ten, o który bym się martwił.
DOUG. OK.
A potem do Apple…
KACZKA. Napisaliśmy ostatnio dwie historie o łatkach Apple, gdzie niespodziewanie pojawiły się łatki na iPhone’y i iPady oraz komputery Mac. dwa na wolności zero-dni.
Jednym z nich był błąd przeglądarki lub błąd związany z przeglądaniem, dzięki któremu możesz wędrować do niewinnie wyglądającej strony internetowej, a złośliwe oprogramowanie mogło wylądować na twoim komputerze, a także inny, który zapewniał kontrolę na poziomie jądra…
…który, jak powiedziałem w poprzednim podcastie, pachnie dla mnie jak oprogramowanie szpiegujące – coś, czym zainteresowałby się sprzedawca oprogramowania szpiegującego lub naprawdę poważny „cyberoszusta”.
Potem była druga aktualizacja, ku naszemu zaskoczeniu, dla iOS 12, o którym wszyscy myśleliśmy, że zostało dawno porzucone.
Tam jeden z tych błędów (powiązany z przeglądarką, który umożliwiał oszustom włamanie się) dostał łatkę.
A potem, właśnie wtedy, gdy spodziewałem się iOS 16, wszystkie te e-maile nagle zaczęły lądować w mojej skrzynce odbiorczej – zaraz po tym, jak sprawdziłem: „Czy iOS 16 jest już dostępny? Czy mogę go zaktualizować?”
Nie było go tam, ale potem dostałem te wszystkie e-maile z informacją: „Właśnie zaktualizowaliśmy iOS 15, macOS Monterey, Big Sur i iPadOS 15”…
… i okazało się, że pojawiła się cała masa aktualizacji, plus tym razem zupełnie nowe jądro zero-day.
Fascynujące jest to, że po otrzymaniu powiadomień pomyślałem: „No cóż, sprawdzę jeszcze raz…”.
(Więc możesz pamiętać, to Ustawienia > Ogólne > Aktualizacja oprogramowania na iPhonie lub iPadzie).
I oto zaoferowano mi aktualizację do iOS 15, którą już miałem, * lub * mogłem przejść do iOS 16.
I iOS 16 również miał w sobie tę poprawkę zero-day (mimo że iOS 16 teoretycznie jeszcze nie wyszedł), więc sądzę, że błąd istniał również w wersji beta.
W biuletynie Apple dla iOS 16 nie został oficjalnie wymieniony jako dzień zerowy, ale nie możemy stwierdzić, czy dzieje się tak dlatego, że exploit, który widział Apple, nie działał poprawnie na iOS 16, czy też nie jest uważany za zero- dzień, ponieważ iOS 16 dopiero wychodził.
DOUG. Tak, chciałem powiedzieć: nikt jeszcze tego nie ma. [ŚMIECH]
KACZKA. To była wielka wiadomość od Apple.
I ważne jest to, że kiedy podchodzisz do telefonu i mówisz „Och, iOS 16 jest dostępny”… jeśli nie jesteś jeszcze zainteresowany iOS 16, nadal musisz się upewnić, że masz ten iOS 15 aktualizacja, ze względu na jądro zero-day.
Dni zerowe jądra zawsze stanowią problem, ponieważ oznacza to, że ktoś wie, jak ominąć tak osławione ustawienia zabezpieczeń na iPhonie.
Błąd dotyczy również macOS Monterey i macOS Big Sur – to poprzednia wersja, macOS 11.
W rzeczywistości, aby nie zostać gorszym, Big Sur faktycznie ma *dwa* błędy jądra zero-day na wolności.
Brak wiadomości o iOS 12, czego się spodziewałem, i jak dotąd nic w przypadku macOS Catalina.
Catalina to macOS 10, poprzednia wersja i po raz kolejny nie wiemy, czy ta aktualizacja nadejdzie później, czy też spadła z krawędzi świata i i tak nie otrzyma aktualizacji.
Niestety Apple nie mówi, więc nie wiemy.
Teraz większość użytkowników Apple będzie miała włączone automatyczne aktualizacje, ale, jak zawsze mówimy, idź i sprawdź (czy masz Maca, iPhone'a lub iPada), ponieważ najgorsze jest po prostu założenie, że Twój automatyczny aktualizacje działały i zapewniały bezpieczeństwo…
…kiedy w rzeczywistości coś poszło nie tak.
DOUG. Ok bardzo dobrze.
Teraz coś, na co czekałem, idąc dalej, to: „Co strefy czasowe mają wspólnego z bezpieczeństwem IT?”
KACZKA. Okazuje się, że całkiem sporo, Doug.
DOUG. [ŚMIECH] Tak proszę pana!
KACZKA. Strefy czasowe są bardzo proste w koncepcji.
Są bardzo wygodne w prowadzeniu naszego życia tak, aby nasze zegary z grubsza odpowiadały temu, co dzieje się na niebie – więc jest ciemno w nocy i jasno w dzień. (Pomińmy czas letni i załóżmy, że na całym świecie mamy tylko jednogodzinne strefy czasowe, więc wszystko jest naprawdę proste).
Problem pojawia się, gdy faktycznie prowadzisz dzienniki systemowe w organizacji, w której niektóre serwery, niektórzy użytkownicy, niektóre części sieci, niektórzy klienci znajdują się w innych częściach świata.
Czy kiedy piszesz do pliku dziennika, wpisujesz czas z uwzględnieniem strefy czasowej?
Kiedy piszesz swój dziennik, Doug, czy odejmujesz 5 godzin (lub 4 godziny w tej chwili), których potrzebujesz, ponieważ jesteś w Bostonie, podczas gdy ja dodaję godzinę, ponieważ jestem w czasie londyńskim, ale jest lato ?
Czy zapisuję to w dzienniku, aby *mnie* miało sens, kiedy odczytam dziennik z powrotem?
A może piszę bardziej kanoniczny, jednoznaczny czas, używając tej samej strefy czasowej dla *wszystkich*, więc kiedy porównuję logi pochodzące z różnych komputerów, różnych użytkowników, różnych części świata w mojej sieci, mogę faktycznie uporządkować zdarzenia?
Uporządkowanie wydarzeń jest naprawdę ważne, Doug, zwłaszcza jeśli odpowiadasz na zagrożenia podczas cyberataku.
Naprawdę musisz wiedzieć, co było pierwsze.
A jeśli powiesz: „Och, to nie zdarzyło się przed 3:3”, nie pomoże mi to, jeśli jestem w Sydney, ponieważ moja 3:XNUMX wydarzyła się wczoraj w porównaniu do Twojej XNUMX:XNUMX.
Więc ja napisał artykuł na temat Naked Security o niektórych sposobach, które możesz uporać się z tym problemem podczas logowania danych.
Osobiście zalecam używanie uproszczonego formatu znacznika czasu o nazwie RFC 3339, gdzie wstawiasz czterocyfrowy rok, myślnik [znak łącznika, ASCII 0x2D], dwucyfrowy miesiąc, myślnik, dwucyfrowy dzień itd., aby Twoje znaczniki czasu faktycznie były ładnie posortowane alfabetycznie.
I że nagrywasz wszystkie swoje strefy czasowe jako strefę tme znaną jako Z (zed lub zee), skrót od Czas Zulu.
Oznacza to w zasadzie UTC lub uniwersalny czas koordynowany.
To prawie, ale nie do końca Greenwich Mean Time, i jest to czas, w którym zegar prawie każdego komputera lub telefonu jest obecnie ustawiony wewnętrznie.
Nie próbuj rekompensować stref czasowych, gdy piszesz do dziennika, ponieważ wtedy ktoś będzie musiał się zdekompensować, gdy będzie próbował wyrównać Twój dziennik z dziennikami innych osób – i jest wiele potknięć między kubkiem a wargą, Doug.
Keep it simple.
Użyj kanonicznego, prostego formatu tekstowego, który dokładnie określa datę i godzinę z dokładnością do sekundy – lub, w dzisiejszych czasach, znaczniki czasu mogą nawet zejść do nanosekundy, jeśli chcesz.
I pozbądź się stref czasowych ze swoich dzienników; pozbądź się czasu letniego ze swoich dzienników; i po prostu nagraj wszystko, moim zdaniem, w uniwersalnym czasie koordynowanym…
…mylący skrót UTC, bo nazwa jest po angielsku, ale skrót po francusku – trochę ironii.
DOUG. Tak.
KACZKA.
Kusi mnie, żeby powiedzieć: „Nie żebym znowu mocno się tym przejmował”, jak zwykle ze śmiechem…
…ale naprawdę ważne jest, aby wszystko było we właściwej kolejności, szczególnie gdy próbujesz wyśledzić cyberprzestępców.
DOUG. W porządku, to dobrze – świetna rada.
A jeśli pozostaniemy przy temacie cyberprzestępców, słyszeliście o atakach Manipulator-in-the-Middle; słyszałeś o atakach Manipulator-in-the-Browser…
..teraz przygotuj się na ataki typu Browser-in-the-Browser.
KACZKA. Tak, widzimy nowy termin.
Chciałem to napisać, ponieważ badacze z firmy zajmującej się badaniem zagrożeń o nazwie Group-IB napisali niedawno artykuł na ten temat, a media zaczęły mówić o „Hej, ataki przeglądarki w przeglądarce, bardzo się bój” lub cokolwiek innego. …
Myślisz: „Cóż, zastanawiam się, ile osób faktycznie wie, co oznacza atak przeglądarki w przeglądarce?”
Irytujące w tych atakach, Doug, jest to, że technologicznie są strasznie proste.
To taki prosty pomysł.
DOUG. Są prawie artystyczne.
KACZKA. Tak!
To nie jest tak naprawdę nauka i technologia, to sztuka i projektowanie, prawda?
Zasadniczo, jeśli kiedykolwiek programowałeś JavaScript (na dobre lub na złe), będziesz wiedział, że jedną z rzeczy, które wklejasz na stronę internetową, jest to, że ma być ona ograniczona do tej strony.
Tak więc, jeśli wyświetlisz zupełnie nowe okno, możesz oczekiwać, że otrzyma zupełnie nowy kontekst przeglądarki.
A jeśli załaduje swoją stronę z zupełnie nowej witryny, powiedzmy, witryny wyłudzającej informacje, nie będzie miała dostępu do wszystkich zmiennych JavaScript, kontekstu, plików cookie i wszystkiego, co miało okno główne.
Tak więc, jeśli otworzysz osobne okno, ograniczasz swoje umiejętności hakerskie, jeśli jesteś oszustem.
Jednak jeśli otworzysz coś w bieżącym oknie, to jesteś znacznie ograniczony co do tego, jak ekscytująco i „systemowo” możesz to wyglądać, prawda?
Ponieważ nie możesz nadpisać paska adresu… to jest zgodne z projektem.
Nie możesz pisać niczego poza oknem przeglądarki, więc nie możesz podstępnie umieścić na pulpicie okna, które wygląda jak tapeta, tak jakby było tam przez cały czas.
Innymi słowy, jesteś zamknięty w oknie przeglądarki, od którego zacząłeś.
Więc idea ataku na przeglądarkę w przeglądarce polega na tym, że zaczynasz od zwykłej witryny, a następnie tworzysz w oknie przeglądarki, które już masz, stronę internetową, która sama wygląda dokładnie tak, jak okno przeglądarki systemu operacyjnego .
Zasadniczo pokazujesz komuś *zdjęcie* prawdziwej rzeczy i przekonujesz, że *jest* prawdziwa.
To takie proste w sercu, Doug!
Ale problem polega na tym, że przy odrobinie starannej pracy, szczególnie jeśli masz dobre umiejętności CSS, możesz *możesz* sprawić, by coś, co znajduje się w istniejącym oknie przeglądarki, wyglądało jak własne okno przeglądarki.
Za pomocą odrobiny JavaScriptu możesz nawet zmienić jego rozmiar i poruszać się po ekranie, a także wypełnić go kodem HTML pobranym z witryny innej firmy.
Teraz możesz się zastanawiać… jeśli oszuści dobrze to zrobili, jak u licha możesz to powiedzieć?
Dobrą wiadomością jest to, że możesz zrobić absolutnie prostą rzecz.
Jeśli widzisz coś, co wygląda jak okno systemu operacyjnego i jesteś podejrzliwy w jakikolwiek sposób (zasadniczo wyglądałoby to na wyskakujące nad oknem przeglądarki, ponieważ musi być w nim)…
…spróbuj przenieść go *z prawdziwego okna przeglądarki*, a jeśli jest „uwięziony” w przeglądarce, wiesz, że to nie jest prawdziwa okazja!
Ciekawą rzeczą w raporcie od badaczy Group-IB jest to, że kiedy natknęli się na to, oszuści faktycznie używali go przeciwko graczom gier Steam.
I oczywiście chce, abyś zalogował się na swoje konto Steam…
… a jeśli zostałeś oszukany przez pierwszą stronę, to nawet powiąże się to z dwuskładnikową weryfikacją uwierzytelniania Steam.
Sztuczka polegała na tym, że gdyby te naprawdę *były* oddzielne okna, można by je przeciągnąć na jedną stronę głównego okna przeglądarki, ale tak nie było.
W tym przypadku na szczęście kucharze nie zrobili zbyt dobrze swojego CSS.
Ich grafika była tandetna.
Ale, jak już wiele razy mówiliśmy w podkaście, Doug, czasami zdarzają się oszuści, którzy dokładają wszelkich starań, aby wszystko wyglądało jak piksel.
Dzięki CSS możesz dosłownie pozycjonować poszczególne piksele, prawda?
DOUG. CSS jest interesujący.
Jego Cascading Style Sheets… język, którego używasz do stylizowania dokumentów HTML i jest naprawdę łatwy do nauczenia, a jeszcze trudniejszy do opanowania.
KACZKA. [ŚMIECH] Brzmi jak IT, na pewno.
DOUG. [ŚMIECH] Tak, to jak wiele rzeczy!
Ale jest to jedna z pierwszych rzeczy, których nauczysz się, gdy nauczysz się HTML.
Jeśli myślisz „Chcę, aby ta strona wyglądała lepiej”, uczysz się CSS.
Tak więc, patrząc na niektóre z tych przykładów dokumentu źródłowego, do którego podałeś link z artykułu, możesz stwierdzić, że naprawdę trudno będzie zrobić naprawdę dobrą fałszywkę, chyba że jesteś naprawdę dobry w CSS.
Ale jeśli zrobisz to dobrze, będzie naprawdę trudno domyślić się, że to fałszywy dokument…
…chyba że zrobisz to, co mówisz: spróbuj wyciągnąć go z okna i przesunąć po pulpicie, takie rzeczy.
To prowadzi do twojego drugiego punktu: dokładnie zbadaj podejrzane okna.
Wielu z nich prawdopodobnie nie przejdzie testu wzroku, ale jeśli to zrobi, będzie to naprawdę trudne do zauważenia.
Co prowadzi nas do trzeciej rzeczy…
„Jeśli masz wątpliwości / nie podawaj tego.”
Jeśli po prostu nie wygląda to dobrze i nie jesteś w stanie definitywnie stwierdzić, że dzieje się coś dziwnego, po prostu postępuj zgodnie z rymem!
KACZKA. I warto być podejrzliwym wobec nieznanych stron, stron, z których wcześniej nie korzystałeś, które nagle mówią: „OK, poprosimy Cię o zalogowanie się za pomocą konta Google w oknie Google lub Facebooka w oknie Facebooka. ”
Lub Steam w oknie Steam.
DOUG. Tak.
Nienawidzę używać tutaj słowa na B, ale jest to niemal genialne w swojej prostocie.
Ale znowu, naprawdę trudno będzie uzyskać idealne dopasowanie pikseli przy użyciu CSS i podobnych rzeczy.
KACZKA. Myślę, że ważną rzeczą do zapamiętania jest to, że ponieważ częścią symulacji jest „chrome” [żargon oznaczający elementy interfejsu użytkownika przeglądarki] przeglądarki, pasek adresu będzie wyglądał prawidłowo.
Może nawet wyglądać idealnie.
Ale chodzi o to, że to nie jest pasek adresu…
…to *obraz* paska adresu.
DOUG. Dokładnie!
W porządku, uważajcie wszyscy!
Mówiąc o rzeczach, które nie są tym, czym się wydają, czytam o oprogramowaniu ransomware DEADBOLT i urządzeniach QNAP NAS i wydaje mi się, że niedawno omówiliśmy tę historię.
KACZKA. Tak, mamy napisano o tym kilka razy na Naked Security do tej pory w tym roku, niestety.
To jeden z tych przypadków, w których to, co kiedyś działało na oszustów, okazuje się działać dwa, trzy, cztery, pięć razy.
I NAS, czyli Network Attached Storage urządzenia, to, jeśli chcesz, serwery z czarną skrzynką, które możesz kupić i kupić – zazwyczaj mają jakieś jądro Linuksa.
Chodzi o to, aby zamiast kupować licencję Windows lub uczyć się Linuksa, zainstaluj Sambę, skonfiguruj ją, naucz się udostępniać pliki w sieci…
…po prostu podłączasz to urządzenie i „Bingo” zaczyna działać.
Jest to serwer plików dostępny przez Internet i, niestety, jeśli istnieje luka w serwerze plików, a Ty (przypadkowo lub celowo) udostępniłeś go przez Internet, oszuści mogą być w stanie wykorzystać tę lukę, jeśli taka istnieje w to urządzenie NAS, na odległość.
Mogą być w stanie zaszyfrować wszystkie pliki w kluczowej lokalizacji przechowywania dla Twojej sieci, niezależnie od tego, czy jest to sieć domowa, czy sieć małej firmy, i zasadniczo zażądają okupu, nie martwiąc się o atakowanie poszczególnych innych urządzeń, takich jak laptopy i telefony w twoim sieć.
Nie muszą więc bawić się złośliwym oprogramowaniem, które infekuje Twój laptop, i nie muszą włamywać się do Twojej sieci i wędrować po niej jak tradycyjni przestępcy ransomware.
Zasadniczo szyfrują wszystkie twoje pliki, a następnie – aby przedstawić żądanie okupu – po prostu się zmieniają (nie powinienem się śmiać, Doug)… po prostu zmieniają stronę logowania na urządzeniu NAS.
Tak więc, gdy odkryjesz, że wszystkie twoje pliki są pomieszane i myślisz „To zabawne”, a następnie wskakujesz do przeglądarki internetowej i łączysz się tam, nie otrzymasz monitu o hasło!
Otrzymasz ostrzeżenie: „Twoje pliki zostały zablokowane przez DEADBOLT. Co się stało? Wszystkie twoje pliki zostały zaszyfrowane.
A potem przychodzą instrukcje, jak zapłacić.
DOUG. Uprzejmie zaoferowali też, że QNAP może wyłożyć książęcą sumę na odblokowanie plików dla wszystkich.
KACZKA. Zrzuty ekranu, które mam w najnowszy artykuł na nakedsecurity.sophos.com pokaż:
1. Indywidualne deszyfrowanie po 0.03 bitcoina, pierwotnie około 1200 USD, kiedy to po raz pierwszy stało się powszechne, teraz około 600 USD.
2. Opcja BTC 5.00, w której firma QNAP zostaje poinformowana o luce, aby mógł ją naprawić, czego najwyraźniej nie zapłaci, ponieważ już wie o luce. (Dlatego w tym konkretnym przypadku jest dostępna łatka).
3. Jak mówisz, jest opcja 50 BTC (teraz kosztuje to 1 milion; kiedy pierwsza historia się zepsuła, było to 2 miliony). Najwyraźniej, jeśli QNAP zapłaci 1,000,000 XNUMX XNUMX USD w imieniu kogoś, kto mógł zostać zainfekowany, oszuści dostarczą główny klucz deszyfrujący, jeśli nie masz nic przeciwko.
A jeśli spojrzysz na ich JavaScript, faktycznie sprawdza, czy wprowadzone hasło pasuje do jednego z *dwóch* skrótów.
Jedna jest unikalna dla twojej infekcji – oszuści za każdym razem dostosowują ją, więc JavaScript ma w sobie hash i nie zdradza hasła.
I jest jeszcze jeden skrót, który, jeśli uda ci się go złamać, wygląda tak, jakby odzyskał hasło główne dla wszystkich na świecie…
…Myślę, że to tylko ci oszuści grali wszystkim w nosy.
DOUG. Interesujące jest również to, że okup w bitcoinach w wysokości 600 USD za każdego użytkownika jest… nie chcę powiedzieć „nie oburzający”, ale jeśli zajrzysz do sekcji komentarzy tego artykułu, jest kilka osób, które nie tylko mówią o zapłaceniu okup…
…ale przejdźmy do naszego pytania czytelnika tutaj.
Czytelnik Michael dzieli się swoimi doświadczeniami z tym atakiem i nie jest sam – w tej sekcji komentarzy są inne osoby, które zgłaszają podobne rzeczy.
W kilku komentarzach, mówi (zamierzam zrobić z tego trochę frankencomment):
„Przeszedłem przez to i wyszedłem OK po zapłaceniu okupu. Znalezienie konkretnego kodu zwrotnego za pomocą mojego klucza deszyfrującego było najtrudniejszą częścią. Nauczyłem się najcenniejszej lekcji.”
W swoim następnym komentarzu opisuje wszystkie kroki, które musiał podjąć, aby wszystko znów działało.
I zsiada z:
„Wstyd mi powiedzieć, że pracuję w IT, jestem od ponad 20 lat i ugryzł mnie ten błąd QNAP uPNP. Cieszę się, że przez to przeszłam.
KACZKA. Wow, tak, to niezłe stwierdzenie, prawda?
Prawie tak, jakby mówił: „Postawiłbym się przeciwko tym oszustom, ale przegrałem zakład i kosztowało mnie to 600 dolarów i całą masę czasu”.
Aaargh!
DOUG. Co on ma na myśli przez „konkretny kod powrotu z jego kluczem opisu”?
KACZKA. Ach tak, to bardzo ciekawe… bardzo intrygujące. (Staram się nie mówić tu niesamowicie-slash-genialny.) [ŚMIECH]
Nie chcę używać słowa na C i powiedzieć, że jest „sprytne”, ale w pewnym sensie jest.
Jak kontaktujesz się z tymi oszustami? Czy potrzebują adresu e-mail? Czy można to wyśledzić? Czy potrzebują ciemnej strony internetowej?
Ci oszuści nie.
Ponieważ pamiętaj, że jest jedno urządzenie, a złośliwe oprogramowanie jest dostosowywane i pakowane, gdy atakuje to urządzenie, tak aby zawierało unikalny adres Bitcoin.
Zasadniczo komunikujesz się z tymi oszustami, wpłacając określoną kwotę bitcoinów do ich portfela.
Myślę, że właśnie dlatego utrzymali kwotę stosunkowo skromną…
…Nie chcę sugerować, że każdy ma 600 dolarów do wyrzucenia na okup, ale to nie tak, że negocjujesz z góry, czy zapłacisz 100,000 80,000, 42,000 XNUMX czy XNUMX XNUMX dolarów.
Płacisz im kwotę… bez negocjacji, bez czatu, bez e-maili, bez komunikatorów, bez forum pomocy.
Po prostu wysyłasz pieniądze na wyznaczony adres bitcoin, a oni oczywiście będą mieli listę tych adresów bitcoin, które monitorują.
Kiedy pieniądze docierają, a oni widzą, że dotarły, wiedzą, że ty (i ty sam) zapłaciłeś, ponieważ ten kod portfela jest unikalny.
A potem robią to, co jest, efektywnie (używam największych notowań lotniczych na świecie) „zwrotem” na blockchainie, używając transakcji bitcoin do kwoty, Doug, zero dolarów.
I ta odpowiedź, ta transakcja, faktycznie zawiera komentarz. (Zapamiętaj Hack Poly Networks? Używali komentarzy do łańcucha bloków Ethereum, aby spróbować powiedzieć: „Drogi, panie White Hat, czy nie oddasz nam wszystkich pieniędzy?”).
Więc płacisz oszustom, przekazując w ten sposób wiadomość, że chcesz się z nimi zaangażować, a oni zwracają ci 0 USD plus komentarz w postaci 32 znaków szesnastkowych…
… czyli 16 nieprzetworzonych bajtów binarnych, czyli 128-bitowy klucz deszyfrujący, którego potrzebujesz.
Tak się z nimi rozmawia.
I najwyraźniej sprowadzili to do T – jak powiedział Michael, oszustwo działa.
A jedynym problemem Michaela było to, że nie był przyzwyczajony do kupowania bitcoinów, pracy z danymi blockchain i wydobywania kodu zwrotnego, który jest w zasadzie komentarzem w „płatności” transakcji, którą otrzymuje z powrotem za 0 USD.
Tak więc wykorzystują technologię w bardzo przebiegły sposób.
Zasadniczo używają łańcucha bloków zarówno jako środka płatniczego, jak i narzędzia komunikacji.
DOUG. W porządku, rzeczywiście bardzo ciekawa historia.
Będziemy tego pilnować.
I bardzo dziękuję Michael za przesłanie tego komentarza.
Jeśli masz ciekawą historię, komentarz lub pytanie, które chciałbyś przesłać, chętnie przeczytamy o tym w podkaście.
Możesz wysłać e-maila na adres tips@sophos.com, skomentować dowolny z naszych artykułów lub napisać do nas w serwisie społecznościowym: @NakedSecurity.
To nasz występ na dzisiaj – bardzo dziękuję za wysłuchanie.
Dla Paula Ducklina jestem Doug Aamoth i przypominam, aż do następnego razu…
OBIE. Bądź bezpieczny.
[MOM MUZYCZNY]
- blockchain
- pomysłowość
- portfele kryptowalutowe
- krypto-wymiana
- bezpieczeństwo cybernetyczne
- cyberprzestępczość
- cyberprzestępcy
- Bezpieczeństwo cybernetyczne
- Zasuwa
- Departament Bezpieczeństwa Wewnętrznego
- cyfrowe portfele
- zapora
- Kaspersky
- malware
- Mcafee
- Nagie bezpieczeństwo
- Nagi podcast o bezpieczeństwie
- NexBLOC
- plato
- Platon Ai
- Analiza danych Platona
- Gra Platona
- PlatoDane
- platogaming
- Podcast
- ransomware
- VPN
- zabezpieczenia stron internetowych
- zefirnet
- Zero Day
![S3 Odc.118: Odgadnij hasło? Nie ma takiej potrzeby, jeśli został już skradziony! [Dźwięk + Tekst]](https://platoaistream.com/wp-content/uploads/2023/01/s3-ep118-guess-your-password-no-need-if-its-stolen-already-audio-text-360x188.png)
