ASCULTĂ ACUM
Cu Doug Aamoth și Paul Ducklin.
Muzică intro și outro de Edith Mudge.
Faceți clic și trageți pe undele sonore de mai jos pentru a trece la orice punct. Poti de asemenea asculta direct pe Soundcloud.
Ne puteți asculta pe SoundCloud, Podcast-uri Apple, Podcast-uri Google, Spotify, stitcher și oriunde se găsesc podcasturi bune. Sau pur și simplu aruncați URL-ul fluxului nostru RSS în podcatcher-ul tău preferat.
CITIȚI TRANSCRIPTUL
DOUG. Deadbolt – s-a întors!
Petice din belșug!
Și fusuri orare... da, fusuri orare.
Toate acestea și multe altele pe Podcastul Naked Security.
[MODEM MUZICAL]
Bun venit la podcast, tuturor.
Eu sunt Doug Aamoth.
Cu mine, ca întotdeauna, este Paul Ducklin.
Paul, un episod al 100-lea foarte fericit pentru tine, prietene!
RAȚĂ. Wow, Doug!
Știi, când mi-am început structura de directoare pentru Seria 3, am folosit cu îndrăzneală -001 pentru primul episod.
DOUG. Nu am. [râde]
RAȚĂ. Nu -1 or -01.
DOUG. Inteligent…
RAȚĂ. Am avut mare încredere!
Și când voi salva fișierul de astăzi, o să mă bucur de el.
DOUG. Da, și îmi va fi teamă pentru că va apărea în partea de sus.
Ei bine, va trebui să mă ocup de asta mai târziu...
RAȚĂ. [RÂDE] Ai putea redenumi toate celelalte lucruri.
DOUG. Știu, știu.
Nu aștept cu nerăbdare asta... uite miercurea mea.
Oricum, să începem spectacolul cu niște Istorie Tehnologică.
Săptămâna aceasta, pe 12 septembrie 1959, luna 2, De asemenea, cunoscut sub numele de A doua rachetă cosmică sovietică, a devenit prima navă spațială care a ajuns la suprafața Lunii și primul obiect creat de om care a intrat în contact cu un alt corp ceresc.
Foarte tare.
RAȚĂ. Care era numele acela lung?
„A doua rachetă cosmică sovietică”?
DOUG. Da.
RAȚĂ. Luna Doi este mult mai bine.
DOUG. Da, mult mai bine!
RAȚĂ. Aparent, după cum vă puteți imagina, având în vedere că era epoca curselor spațiale, a existat o anumită îngrijorare: „De unde vom ști că au făcut-o de fapt? Ar putea spune doar că au aterizat pe Lună și poate că o inventează.”
Se pare că au conceput un protocol care să permită observarea independentă.
Ei au prezis ora la care va ajunge pe Lună, pentru a se prăbuși în Lună și au trimis ora exactă la care se așteptau la asta unui astronom din Marea Britanie.
Și a observat independent, pentru a vedea dacă ceea ce au spus ei *se va întâmpla* în acel moment *s-a* întâmplat.
Așa că s-au gândit chiar: „Cum verifici așa ceva?”
DOUG. Ei bine, pe tema lucrurilor complicate, avem patch-uri de la Microsoft și Apple.
Deci, ce este notabil aici în această ultimă rundă?
RAȚĂ. Cu siguranță că facem – este marți patch-uri săptămâna aceasta, a doua marți a lunii.
Există două vulnerabilități în Patch Tuesday care au fost notabile pentru mine.
Unul este notabil pentru că se pare că este în sălbăticie – cu alte cuvinte, a fost o zi zero.
Și, deși nu este o execuție de cod de la distanță, este puțin îngrijorătoare pentru că este o vulnerabilitate a fișierului jurnal [TUȘEȘTE ÎN CAZUL], Doug!
Nu este chiar așa rău ca Log4J, unde nu numai că ați putea face ca loggerul să se comporte prost, ci și să îl faceți rulați cod arbitrar pentru tine.
Dar se pare că dacă trimiteți un fel de date malformate în driverul Windows Common Log File System, CLFS, atunci puteți păcăli sistemul să vă promoveze la privilegii de sistem.
Întotdeauna rău dacă ai intrat ca utilizator invitat și apoi poți să te transformi într-un administrator de sistem...
DOUG. [râde] Da!
RAȚĂ. Aceasta este CVE-2022-37969.
Și celălalt care mi s-a părut interesant...
… din fericire, nu în sălbăticie, dar acesta este cel pe care trebuie să îl corectezi, pentru că pun pariu că este cel pe care infractorii cibernetici se vor concentra pe inginerie inversă:
„Vulnerabilitatea de execuție a codului de la distanță TCP/IP Windows”, CVE-2022-34718.
Daca iti amintesti Cod roșu, și SQL Slammer, și acei viermi obraznici din trecut, unde tocmai au ajuns într-un pachet de rețea și și-au blocat drum în sistem...
Acesta este un nivel chiar mai mic decât acesta.
Aparent, eroarea este în gestionarea anumitor pachete IPv6.
Deci, orice ascultă IPv6, care este aproape orice computer Windows, ar putea fi în pericol din cauza asta.
După cum am spus, acela nu este în sălbăticie, așa că escrocii nu l-au găsit încă, dar nu mă îndoiesc că vor lua patch-ul și vor încerca să-și dea seama dacă pot face ingineria inversă a unei exploit din el, pentru a prinde oameni care nu au pus încă petice.
Pentru că dacă ceva spune: „Uau! Ce se întâmplă dacă cineva ar scrie un vierme care a folosit asta?”... acesta este cel pentru care m-aș îngrijora.
DOUG. OK.
Și apoi către Apple...
RAȚĂ. Am scris recent două povești despre corecțiile Apple, unde, din senin, dintr-o dată, au apărut patch-uri pentru iPhone și iPad-uri și Mac-uri împotriva două zile zero în sălbăticie.
Una a fost o eroare a browserului sau o eroare legată de navigare, astfel încât să puteți rătăci într-un site web cu aspect inocent și malware-ul ar putea ajunge pe computer, plus altul care vă oferă control la nivel de kernel...
…care, așa cum am spus în ultimul podcast, miros a spyware pentru mine – ceva de care ar fi interesat un furnizor de spyware sau un „escroc cibernetic de supraveghere” cu adevărat serios.
Apoi a fost o a doua actualizare, spre surprinderea noastră, pentru iOS 12, despre care credeam cu toții că a fost de mult abandonat.
Acolo, unul dintre acele erori (cel legat de browser care a permis escrocilor să intre) a primit un patch.
Și apoi, chiar când mă așteptam la iOS 16, toate aceste e-mailuri au început să ajungă brusc în căsuța mea de e-mail – imediat după ce am verificat „Este iOS 16 încă lansat? Pot să-l actualizez?”
Nu era acolo, dar apoi am primit toate aceste e-mailuri care spuneau: „Tocmai am actualizat iOS 15 și macOS Monterey și Big Sur și iPadOS 15″...
… și s-a dovedit că au existat o grămadă de actualizări, plus un nou nucleu zero-day și de această dată.
Și lucrul fascinant este că, după ce am primit notificările, m-am gândit: „Ei bine, lasă-mă să verific din nou...”
(Deci vă puteți aminti, este Setări cont > General > Actualizare de software pe iPhone sau iPad.)
Iată, mi s-a oferit o actualizare la iOS 15, pe care o aveam deja, *sau* aș putea să trec până la iOS 16.
Și iOS 16 a avut și această remediere zero-day (chiar dacă iOS 16, teoretic, nu a fost încă lansat), așa că bănuiesc că bug-ul a existat și în versiunea beta.
Nu a fost listat oficial ca fiind o zi zero în buletinul Apple pentru iOS 16, dar nu putem spune dacă asta se datorează faptului că exploitul pe care Apple a văzut-o nu a funcționat corect pe iOS 16 sau dacă nu este considerat un zero- zi pentru că iOS 16 tocmai ieșea.
DOUG. Da, aveam să spun: nimeni nu o are încă. [RÂSETE]
RAȚĂ. Asta a fost marea veste de la Apple.
Și lucrul important este că atunci când mergi la telefon și spui „Oh, iOS 16 este disponibil”... dacă încă nu ești interesat de iOS 16, trebuie să te asiguri că ai iOS 15. actualizare, din cauza zero-day a nucleului.
Zilele zero ale kernelului sunt întotdeauna o problemă, deoarece înseamnă că cineva știe cum să ocolească setările de securitate mult lăudate de pe iPhone.
Bug-ul se aplică și pentru macOS Monterey și macOS Big Sur - aceasta este versiunea anterioară, macOS 11.
De fapt, pentru a nu fi mai prejos, Big Sur are de fapt *două* bug-uri zero-day kernel în sălbăticie.
Nicio veste despre iOS 12, ceea ce este cam așa cum mă așteptam, și nimic până acum pentru macOS Catalina.
Catalina este macOS 10, versiunea anterioară și încă o dată, nu știm dacă acea actualizare va veni mai târziu sau dacă a căzut de la marginea lumii și oricum nu va primi actualizări.
Din păcate, Apple nu spune, așa că nu știm.
Acum, majoritatea utilizatorilor Apple vor avea actualizările automate activate, dar, așa cum spunem întotdeauna, mergeți și verificați (dacă aveți un Mac sau un iPhone sau un iPad), pentru că cel mai rău lucru este să presupuneți că dvs. actualizările au funcționat și te-au ținut în siguranță...
… când, de fapt, ceva a mers prost.
DOUG. OK foarte bine.
Acum, ceva ce am așteptat cu nerăbdare, mergând imediat, este: „Ce legătură au fusurile orare cu securitatea IT?”
RAȚĂ. Ei bine, destul de multe, se pare, Doug.
DOUG. [Râde] Da, domnule!
RAȚĂ. Fusurile orare sunt foarte simple ca concept.
Sunt foarte convenabile pentru a ne conduce viața, astfel încât ceasurile noastre să se potrivească aproximativ cu ceea ce se întâmplă pe cer – astfel încât este întuneric noaptea și lumină ziua. (Să ignorăm ora de vară și să presupunem că avem doar fusuri orare de o oră în întreaga lume, astfel încât totul să fie cu adevărat simplu.)
Problema vine atunci când păstrați jurnalele de sistem într-o organizație în care unele dintre serverele dvs., unii dintre utilizatorii dvs., unele părți ale rețelei dvs., unii dintre clienții dvs., sunt în alte părți ale lumii.
Când scrieți în fișierul jurnal, scrieți ora cu fusul orar luat în considerare?
Când îți scrii jurnalul, Doug, scazi cele 5 ore (sau 4 ore în acest moment) de care ai nevoie pentru că ești în Boston, în timp ce adaug o oră pentru că sunt la ora Londrei, dar este vară ?
Scriu asta în jurnal, astfel încât să aibă sens pentru *mie* când citesc înapoi jurnalul?
Sau scriu o oră mai canonică, fără ambiguitate, folosind același fus orar pentru *toată lumea*, așa că atunci când compar jurnalele care provin de la computere diferite, utilizatori diferiți, părți diferite ale lumii în rețeaua mea, pot de fapt să aliniez evenimente?
Este foarte important să aliniați evenimentele, Doug, mai ales dacă răspundeți la amenințări într-un atac cibernetic.
Chiar trebuie să știi ce a fost mai întâi.
Și dacă spui „Oh, nu s-a întâmplat până la ora 3”, asta nu mă ajută dacă sunt în Sydney, pentru că ora 3 mi s-a întâmplat ieri în comparație cu ora 3 a ta.
Deci, eu a scris un articol pe Naked Security despre câteva moduri în care puteți a face față acestei probleme când înregistrați datele.
Recomandarea mea personală este să utilizați un format simplificat de marcaj temporal numit RFC 3339, unde puneți un an cu patru cifre, liniuță [caracter cratimă, ASCII 0x2D], lună cu două cifre, liniuță, zi cu două cifre și așa mai departe, astfel încât marcajele de timp să sorteze frumos alfabetic.
Și că vă înregistrați toate fusurile orare ca fus orar cunoscut sub numele de Z (zed sau zee), prescurtare pentru Ora Zulu.
Asta înseamnă practic UTC sau Timpul Universal Coordonat.
Este aproape, dar nu chiar ora Greenwich Mean, și este ora la care aproape fiecare computer sau ceasul telefonului este setat intern în zilele noastre.
Nu încercați să compensați fusurile orare când scrieți în jurnal, pentru că atunci cineva va trebui să decompenseze atunci când încearcă să alinieze jurnalul dvs. cu al celorlalți - și există multe derapaje între ceașcă și buză, Doug.
Păstrați-l simplu.
Utilizați un format de text canonic, simplu, care delimitează exact data și ora, până la secundă - sau, în zilele noastre, marcajele de timp pot scădea chiar și până la nanosecundă, dacă doriți.
Și scăpați de fusurile orare din jurnale; scapă de ora de vară din jurnalele tale; și doar înregistrați totul, după părerea mea, în Timpul Universal Coordonat...
… UTC abreviat în mod confuz, pentru că numele este în engleză, dar abrevierea este în franceză – ceva de ironie.
DOUG. Da.
RAȚĂ.
Sunt tentat să spun: „Nu că aș simți prea tare pentru asta, din nou”, așa cum fac de obicei, râzând...
…dar este cu adevărat important să puneți lucrurile în ordinea corectă, mai ales când încercați să urmăriți criminalii cibernetici.
DOUG. În regulă, asta e bine – un sfat grozav.
Și dacă rămânem pe subiectul infractorilor cibernetici, ați auzit de atacuri Manipulator-in-the-Middle; ați auzit de atacuri cu manipulator în browser...
..acum pregătiți-vă pentru atacurile Browser-in-the-Browser.
RAȚĂ. Da, acesta este un termen nou pe care îl vedem.
Am vrut să scriu asta pentru că cercetătorii de la o companie de informații despre amenințări numită Group-IB au scris recent un articol despre asta, iar mass-media a început să vorbească despre: „Hei, atacuri browser-in-the-Browser, fie foarte frică” sau orice altceva. …
Te gândești: „Ei bine, mă întreb câți oameni știu de fapt ce înseamnă un atac Browser-in-The-Browser?”
Și lucrul enervant la aceste atacuri, Doug, este că din punct de vedere tehnologic, sunt teribil de simple.
Este o idee atât de simplă.
DOUG. Sunt aproape artistici.
RAȚĂ. Da!
Nu este chiar știință și tehnologie, este artă și design, nu-i așa?
Practic, dacă ați făcut vreodată vreo programare JavaScript (spre bine sau spre rău), veți ști că unul dintre lucrurile pe care le lipiți într-o pagină web este că este menit să fie limitat la acea pagină web.
Așadar, dacă deschideți o fereastră nou-nouță, vă așteptați să obțineți un context de browser nou-nouț.
Și dacă își încarcă pagina de pe un site nou-nouț, să zicem un site de phishing, atunci nu va avea acces la toate variabilele JavaScript, contextul, cookie-urile și tot ce avea fereastra principală.
Deci, dacă deschizi o fereastră separată, îți cam limitezi abilitățile de hacking dacă ești un escroc.
Totuși, dacă deschizi ceva în fereastra curentă, atunci ești semnificativ limitat în ceea ce privește cât de interesant și „asemănător unui sistem” îl poți face să arate, nu-i așa?
Pentru că nu puteți suprascrie bara de adrese... asta este prin proiect.
Nu puteți scrie nimic în afara ferestrei browserului, așa că nu puteți pune pe furiș o fereastră care arată ca un tapet pe desktop, ca și cum ar fi fost acolo de tot timpul.
Cu alte cuvinte, ești blocat în fereastra browserului cu care ai început.
Deci, ideea unui atac Browser-in-the-Browser este că începeți cu un site web obișnuit și apoi creați, în fereastra browserului pe care o aveți deja, o pagină web care arată exact ca o fereastră de browser de sistem de operare. .
Practic, îi arăți cuiva o *poză* cu lucrul real și îl convingi că *este* lucrul real.
E atât de simplu la suflet, Doug!
Dar problema este că, cu puțină muncă atentă, mai ales dacă aveți abilități bune CSS, *puteți* face ca ceva care se află în interiorul unei ferestre de browser existentă să arate ca o fereastră de browser proprie.
Și cu puțin JavaScript, puteți chiar să îl faceți astfel încât să se poată redimensiona și astfel încât să se poată mișca pe ecran și îl puteți popula cu HTML pe care îl preluați de pe un site web terță parte.
Acum, s-ar putea să vă întrebați... dacă escrocii o fac bine, cum naiba poți să-ți dai seama?
Și vestea bună este că există un lucru absolut simplu pe care îl poți face.
Dacă vedeți ceea ce arată ca o fereastră de sistem de operare și sunteți suspicios cu privire la ea în vreun fel (ar părea în esență să apară peste fereastra browserului dvs., deoarece trebuie să fie în interiorul ei)...
…încercați să-l mutați *din fereastra reală a browserului*, iar dacă este „închis” în browser, știți că nu este adevărata afacere!
Lucrul interesant despre raportul cercetătorilor Group-IB este că atunci când au dat peste asta, escrocii îl foloseau de fapt împotriva jucătorilor de jocuri Steam.
Și, desigur, vrea să vă conectați la contul dvs. Steam...
… și dacă ați fi păcălit de prima pagină, atunci ar urma chiar și verificarea de autentificare în doi factori a Steam.
Și trucul a fost că, dacă acele ferestre cu adevărat *ar fi* separate, le-ai fi putut trage într-o parte a ferestrei principale a browserului, dar nu au fost.
În acest caz, din fericire, bucătarii nu-și făcuseră prea bine CSS-ul.
Opera lor de artă era defectuoasă.
Dar, după cum am vorbit despre tine și cu mine de multe ori pe podcast, Doug, uneori există escroci care se vor strădui să facă lucrurile să arate perfect pixeli.
Cu CSS, literalmente poți poziționa pixeli individuali, nu-i așa?
DOUG. CSS este interesant.
este Cascading Style Sheets… un limbaj pe care îl folosești pentru a stila documentele HTML și este foarte ușor de învățat și chiar mai greu de stăpânit.
RAȚĂ. [RÂDE] Sună ca, cu siguranță.
DOUG. [RÂDE] Da, sunt ca multe lucruri!
Dar este unul dintre primele lucruri pe care le înveți odată ce înveți HTML.
Dacă te gândești „Vreau să fac această pagină web să arate mai bine”, înveți CSS.
Deci, uitându-ne la unele dintre aceste exemple ale documentului sursă la care ați conectat din articol, vă puteți da seama că va fi foarte greu să faceți un fals foarte bun, cu excepția cazului în care sunteți foarte bun la CSS.
Dar dacă o faci corect, va fi foarte greu să-ți dai seama că este un document fals...
...cu excepția cazului în care faci așa cum spui: încearcă să-l scoți dintr-o fereastră și să-l muți pe desktop, chestii de genul ăsta.
Asta duce la al doilea punct aici: examinați cu atenție ferestrele suspecte.
Mulți dintre ei probabil nu vor trece testul de ochi, dar dacă o vor face, va fi foarte greu de observat.
Ceea ce ne duce la al treilea lucru...
„Dacă aveți îndoieli/Nu-l dați.”
Dacă pur și simplu nu arată corect și nu ești în stare să-ți dai seama definitiv că ceva e ciudat se întâmplă, trebuie doar să urmezi rima!
RAȚĂ. Și merită să fii suspicios față de site-uri web necunoscute, site-uri web pe care nu le-ai mai folosit până acum, care spun brusc: „OK, vă vom cere să vă conectați cu contul dvs. Google într-o fereastră Google sau Facebook într-o fereastră Facebook. ”
Sau Steam într-o fereastră Steam.
DOUG. Da.
Urăsc să folosesc cuvântul B aici, dar acesta este aproape genial în simplitatea sa.
Dar din nou, va fi foarte greu să obții o potrivire perfectă a pixelilor folosind CSS și chestii de genul ăsta.
RAȚĂ. Cred că lucrul important de reținut este că, deoarece o parte a simulării este „cromul” [jargonul pentru componentele interfeței cu utilizatorul browserului] al browserului, bara de adrese va arăta corect.
Poate chiar să arate perfect.
Dar chestia este că nu este o bară de adrese...
…este o *imagine* a unei bare de adrese.
DOUG. Exact!
În regulă, atenție acolo, toată lumea!
Și, vorbind despre lucruri care nu sunt ceea ce par, citesc despre ransomware-ul DEADBOLT și dispozitivele QNAP NAS și mi se pare că tocmai am discutat despre această poveste nu cu mult timp în urmă.
RAȚĂ. Da, am făcut-o scris despre asta de mai multe ori pe Naked Security până acum anul acesta, din păcate.
Este unul dintre acele cazuri în care ceea ce a funcționat pentru escroci odată se dovedește a fi funcționat de două, de trei ori, de patru ori, de cinci ori.
Și NAS, sau Stocare atașată la rețea dispozitivele sunt, dacă doriți, servere cu cutie neagră pe care le puteți cumpăra – rulează de obicei un fel de nucleu Linux.
Ideea este că, în loc să trebuiască să cumpărați o licență Windows sau să învățați Linux, instalați Samba, configurați-l, învățați cum să partajați fișiere în rețeaua dvs....
… doar conectați acest dispozitiv și, „Bingo”, începe să funcționeze.
Este un server de fișiere accesibil web și, din păcate, dacă există o vulnerabilitate în serverul de fișiere și l-ați făcut (din întâmplare sau proiect) accesibil prin internet, atunci escrocii ar putea fi capabili să exploateze acea vulnerabilitate, dacă există una în acel dispozitiv NAS, de la distanță.
Ei pot fi capabili să amestece toate fișierele din locația de stocare cheie pentru rețeaua dvs., indiferent dacă este o rețea de acasă sau o rețea de afaceri mici, și, practic, să vă țină la răscumpărare fără să vă faceți griji cu privire la atacarea altor dispozitive individuale, cum ar fi laptopurile și telefoanele de pe dvs. reţea.
Așadar, nu trebuie să se încurce cu programele malware care vă infectează laptopul și nici nu trebuie să pătrundă în rețeaua dvs. și să rătăcească ca criminalii tradiționali de ransomware.
Practic, îți amestecă toate fișierele și apoi, pentru a prezenta nota de răscumpărare, se schimbă (nu ar trebui să râd, Doug)... schimbă doar pagina de conectare pe dispozitivul tău NAS.
Așadar, când descoperiți că toate fișierele dvs. sunt încurcate și vă gândiți „Asta e amuzant”, și accesați browserul web și vă conectați acolo, nu primiți o solicitare de parolă!
Primești un avertisment: „Fișierele tale au fost blocate de DEADBOLT. Ce s-a întâmplat? Toate fișierele tale au fost criptate.”
Și apoi vin instrucțiunile despre cum să plătiți.
DOUG. Și au oferit, de asemenea, cu amabilitate că QNAP ar putea pune o sumă princiară pentru a debloca fișierele pentru toată lumea.
RAȚĂ. Capturile de ecran pe care le am în ultimul articol pe nakedsecurity.sophos.com show:
1. Decriptări individuale la 0.03 bitcoini, inițial aproximativ 1200 USD când acest lucru s-a răspândit pentru prima dată, acum aproximativ 600 USD.
2. O opțiune BTC 5.00, în care QNAP este informat despre vulnerabilitate, astfel încât să o poată remedia, pe care în mod clar nu o vor plăti pentru că știu deja despre vulnerabilitate. (De aceea există un patch în acest caz special.)
3. După cum spuneți, există o opțiune BTC 50 (aceasta este de 1 milion de dolari acum; era de 2 milioane de dolari când s-a spart prima poveste). Aparent, dacă QNAP plătește cei 1,000,000 de dolari în numele oricărei persoane care ar fi putut fi infectate, escrocii vor furniza o cheie principală de decriptare, dacă nu te superi.
Și dacă te uiți la JavaScript-ul lor, de fapt verifică dacă parola pe care ai introdus-o se potrivește cu unul dintre *două* hashe-uri.
Unul este unic pentru infecția dvs. – escrocii îl personalizează de fiecare dată, astfel încât JavaScript are hash în el și nu oferă parola.
Și există un alt hash care, dacă îl poți sparge, pare că ar recupera parola principală pentru toată lumea din lume...
… Cred că au fost doar escrocii care își dădeau nasul la toată lumea.
DOUG. De asemenea, este interesant că răscumpărarea de 600 USD în bitcoin pentru fiecare utilizator este... Nu vreau să spun „nu revoltător”, dar dacă te uiți în secțiunea de comentarii a acestui articol, există mai multe persoane care nu vorbesc doar că au plătit răscumpărare…
…dar să trecem mai departe la întrebarea cititorului nostru aici.
Cititorul Michael ne împărtășește experiența cu acest atac și nu este singur – există și alte persoane în această secțiune de comentarii care raportează lucruri similare.
În câteva comentarii, el spune (am să fac un fel de comentariu sincer din asta):
„Am trecut prin asta și am ieșit bine după ce am plătit răscumpărarea. Găsirea codului de returnare specific cu cheia mea de decriptare a fost cea mai grea parte. Am învățat cea mai valoroasă lecție.”
În următorul său comentariu, trece prin toți pașii pe care a trebuit să-i facă pentru ca lucrurile să funcționeze din nou.
Și descălecă cu:
„Mi-e rușine să spun că lucrez în IT, am fost de peste 20 de ani și am fost muşcat de acest bug QNAP uPNP. Mă bucur că am trecut prin asta.”
RAȚĂ. Wow, da, asta e o afirmație destul de mare, nu-i așa?
Aproape ca și cum ar spune: „M-aș fi susținut împotriva acestor escroci, dar am pierdut pariul și m-a costat 600 de dolari și o grămadă de timp”.
Aaargh!
DOUG. Ce vrea să spună prin „codul de returnare specific cu cheia sa de descriere”?
RAȚĂ. Ah, da, este un lucru foarte interesant... foarte intrigant. (Încerc să nu spun aici uimitor-slash-genial.) [Râsete]
Nu vreau să folosesc cuvântul C și să spun că este „inteligent”, dar cam așa este.
Cum contactați acești escroci? Au nevoie de o adresă de e-mail? Ar putea fi urmărit? Au nevoie de un site darkweb?
Escrocii ăștia nu.
Pentru că, amintiți-vă, există un singur dispozitiv, iar malware-ul este personalizat și ambalat atunci când atacă acel dispozitiv, astfel încât să aibă o adresă Bitcoin unică în el.
Și, practic, comunici cu acești escroci plătind suma specificată de bitcoin în portofelul lor.
Cred că de aceea au păstrat suma relativ modestă...
…Nu vreau să sugerez că toată lumea are 600 de dolari de aruncat pe o răscumpărare, dar nu este ca și cum ai negocia din față pentru a decide dacă vei plăti 100,000 de dolari sau 80,000 de dolari sau 42,000 de dolari.
Le plătiți suma... fără negocieri, fără chat, fără e-mail, fără mesagerie instantanee, fără forum de asistență.
Pur și simplu trimiteți banii la adresa bitcoin desemnată și, evident, vor avea o listă cu acele adrese bitcoin pe care le monitorizează.
Când sosesc banii și văd că au sosit, știu că tu (și numai tu) ai plătit, pentru că acel cod de portofel este unic.
Și apoi fac ceea ce este, în mod efectiv (folosesc cele mai mari cotații de aer din lume) o „rambursare” pe blockchain, folosind o tranzacție bitcoin la suma, Doug, de zero dolari.
Și acel răspuns, acea tranzacție, include de fapt un comentariu. (Amintiți-vă de Hack de Poly Networks? Foloseau comentariile blockchain Ethereum pentru a încerca să spună: „Dragă, domnule White Hat, nu ne veți da toți banii înapoi?”)
Deci plătiți escrocii, dând astfel mesajul că doriți să interacționați cu ei, iar ei vă plătesc 0 USD plus un comentariu de 32 de caractere hexazecimale...
…care este de 16 octeți binari bruti, care este cheia de decriptare pe 128 de biți de care aveți nevoie.
Așa vorbești cu ei.
Și, aparent, au ajuns la un T - așa cum a spus Michael, înșelătoria funcționează.
Și singura problemă pe care a avut-o Michael a fost că nu era obișnuit să cumpere bitcoini sau să lucreze cu date blockchain și să extragă acel cod de returnare, care este practic comentariul din „plata” tranzacției pe care o primește înapoi pentru 0 USD.
Așadar, ei folosesc tehnologia în moduri foarte îndoielnice.
Practic, ei folosesc blockchain-ul atât ca vehicul de plată, cât și ca instrument de comunicare.
DOUG. Bine, într-adevăr o poveste foarte interesantă.
Vom fi cu ochii pe asta.
Și îți mulțumesc foarte mult, Michael, pentru că ai trimis acest comentariu.
Dacă aveți o poveste, un comentariu sau o întrebare interesantă pe care doriți să o trimiteți, ne-ar plăcea să o citim pe podcast.
Puteți trimite un e-mail la tips@sophos.com, puteți comenta oricare dintre articolele noastre sau ne puteți contacta pe social: @NakedSecurity.
Acesta este emisiunea noastră de astăzi – mulțumesc foarte mult pentru ascultare.
Pentru Paul Ducklin, sunt Doug Aamoth și vă reamintesc, până data viitoare, să...
AMBII. Rămâi în siguranță.
[MODEM MUZICAL]
- blockchain
- coingenius
- portofele de criptare
- criptoschimb
- securitate cibernetică
- criminalităţii cibernetice
- cybercriminals
- Securitate cibernetică
- zavoare
- Departamentul de Securitate Națională
- portofele digitale
- firewall
- Kaspersky
- malware
- McAfee
- Securitate goală
- Podcast de securitate gol
- NexBLOC
- Plato
- platoul ai
- Informații despre date Platon
- Jocul lui Platon
- PlatoData
- platogaming
- Podcast
- Ransomware
- VPN
- securitatea site-ului
- zephyrnet
- Zero Zero
![S3 Ep118: Ghiciți-vă parola? Nu este nevoie dacă a fost deja furat! [Audio + Text]](https://platoaistream.com/wp-content/uploads/2023/01/s3-ep118-guess-your-password-no-need-if-its-stolen-already-audio-text-360x188.png)
