S3 Ep108: Ты спрятал ТРИ МИЛЛИАРДА долларов в банке из-под попкорна?

Нажмите и перетащите звуковые волны ниже, чтобы перейти к любой точке. Вы также можете слушать прямо на Саундклауд.

ДУГ.  Мошенничество в Твиттере, вторник исправлений и преступники, взламывающие преступников.

Все это и многое другое в подкасте Naked Security.

[МУЗЫКАЛЬНЫЙ МОДЕМ]

Добро пожаловать в подкаст, все.

Я Дуг.

Он Пол Даклин.

Павел, как дела сегодня?

---

УТКА.  Очень хорошо, Дуг.

У нас здесь, в Англии, не было лунного затмения, но я мельком увидел *полную* полную луну сквозь крошечную щель в облаках, которая оказалась единственной дырой во всем облачном слое в тот момент, когда я вышел на улицу, чтобы взглянуть!

Но у нас не было такой оранжевой луны, как у вас в Массачусетсе.

---

ДУГ.  Начнем представление с Эта неделя в истории технологий… это уходит далеко в прошлое.

На этой неделе, 08 ноября 1895 года, немецкий профессор физики Вильгельм Рентген наткнулся на еще не открытую форму излучения, что побудило его называть указанное излучение просто «X».

Как на рентгене.

Как насчет того… случайного открытия рентгеновских лучей?

---

УТКА.  Довольно удивительно.

Помню, мама рассказывала мне: в 1950-х (наверное, в Штатах было то же самое), видимо, в обувных магазинах…

---

ДУГ.  [ЗНАЕТ, ЧТО БУДЕТ] Да! [СМЕЕТСЯ]

---

УТКА.  Люди брали своих детей… вы стояли в этой машине, надевали обувь и вместо того, чтобы просто говорить: «Пройди, они тесные? Они жмут?», вы стояли в рентгеновском аппарате, который буквально купал вас в рентгеновском излучении, делал живое фото и говорил: «О да, они подходящего размера».

---

ДУГ.  Да, более простые времена. Немного опасно, но…

---

УТКА.  НЕМНОГО ОПАСНО?

Вы можете себе представить людей, которые работали в обувных магазинах?

Должно быть, они все время купались в рентгеновских лучах.

---

ДУГ.  Абсолютно… ну, сегодня мы в большей безопасности.

Что касается безопасности, то первый вторник месяца — это вторник исправлений Microsoft.

So что мы узнали этот вторник патчей здесь, в ноябре 2022 года?

Обмен 0-days фиксированный (наконец-то) — плюс 4 новых обновления 0-day вторник!

---

УТКА.  Что ж, самое интересное, Даг, это то, что технически патч вторник исправил не один, не два, не три… а *четыре* нулевых дня.

Но на самом деле патчи, которые вы могли получить для продуктов Microsoft во вторник, исправили *шесть* нулевых дней.

Помните те уязвимости Exchange Zero-day, которые, как известно, не были исправлены последним вторником исправлений: CVE-2002-41040 и CVE-2022-41082, которые стали известны как Проксинотшелл?

S3 Ep102.5: Ошибки Exchange «ProxyNotShell» — говорит эксперт [Аудио + текст]

Что ж, они были исправлены, но, по сути, в отдельной «побочной линии» для вторника исправлений: Exchange November 2022 SU или Обновление программного обеспечения, в котором просто говорится:

Обновления программного обеспечения Exchange за ноябрь 2022 г. содержат исправления уязвимостей нулевого дня, о которых было опубликовано 29 сентября 2022 г.

Все, что вам нужно сделать, это обновить Exchange.

Боже, спасибо, Microsoft… Я думаю, мы знали, что это то, что нам придется сделать, когда патчи, наконец, вышли!

Итак, они *отсутствуют*, и есть два исправленных нулевых дня, но они не новые, и технически они не в части «вторник исправлений».

Там у нас есть еще четыре нулевых дня.

И если вы верите в приоритетность патчей, то очевидно, что именно с ними вы хотите иметь дело в первую очередь, потому что кто-то уже знает, как с ними делать плохие вещи.

Они варьируются от обхода безопасности до двух повышений привилегий и одного удаленного выполнения кода.

Но их больше, чем всего 60 патчей, и если вы посмотрите на общий список затронутых продуктов и компонентов Windows, то увидите, как обычно, огромный список, в который входят все компоненты/продукты Windows, о которых вы слышали, и многие, о которых вы, вероятно, не слышали.

Microsoft исправляет 62 уязвимости, включая Kerberos, Mark of the Web и Exchange…

Итак, как всегда: Не откладывай/Сделай сегодня, Дуглас!

---

ДУГ.  Очень хорошо.

Давайте теперь поговорим о довольно задержке…

У вас очень интересный рассказ о Рынок наркотиков Шелкового пути, и напоминание о том, что преступники, крадущие у преступников, по-прежнему являются преступлением, даже если спустя десять лет вас действительно поймают за это.

Хакер рынка наркотиков Шелкового пути признал себя виновным, ему грозит 20 лет тюрьмы

---

УТКА.  Да, даже люди, которые плохо знакомы с кибербезопасностью или выходом в интернет, вероятно, слышали о «Шелковом пути», возможно, о первом известном, крупном, широко распространенном, широко используемом рынке даркнета, на котором можно практически все.

Итак, в 2013 году все сгорело.

Поскольку основатель, первоначально известный только как Ужасный пират Робертs, но в конечном итоге выяснилось, что Росс Ульбрихт… его плохой оперативной безопасности было достаточно, чтобы связать действия с ним.

Основатель Silk Road Росс Ульбрихт получил пожизненный срок без права досрочного освобождения

Мало того, что его операционная безопасность была не очень хороша, кажется, что в конце 2012 года у них была (можешь в это поверить, Даг?) грубая ошибка при обработке криптовалютных платежей…

---

ДУГ.  [вздыхает в притворном ужасе]

---

УТКА.  … того типа, который мы видели много раз с тех пор, который не совсем правильно вел двойную запись, где каждому дебету соответствует кредит, и наоборот.

И этот злоумышленник обнаружил, что если вы положили немного денег на свой счет, а затем очень быстро выплатили их другим счетам, вы могли бы на самом деле выплатить пять раз (или даже больше) одних и тех же биткойнов, прежде чем система поймет, что первый дебет ушел через.

Таким образом, вы могли бы в основном положить немного денег, а затем просто снимать их снова и снова, и получать больше…

…а затем вы можете вернуться к тому, что можно назвать «доильной петлей криптовалюты».

И, по оценкам… следователи не были уверены, что он начал с 200-2000 собственных биткойнов (купил он их или добыл, мы не знаем), и он очень, очень быстро превратил их в, Подожди, Дуг: 50,0000 XNUMX биткойнов!

---

ДУГ.  Вот это да!

---

УТКА.  Более 50,000 XNUMX биткойнов, просто так.

А затем, очевидно полагая, что кто-то это заметит, он бросился бежать, пока был впереди с 50,000 XNUMX биткойнов…

…каждый из них стоит невероятных 12 долларов, по сравнению с долями цента всего несколько лет назад. [СМЕЕТСЯ]

Так что он сбежал с 600,000 XNUMX долларов, просто так, Дуг.

[ДРАМАТИЧЕСКАЯ ПАУЗА]

Девять лет спустя…

[СМЕХ]

…почти *ровно* девять лет спустя, когда его арестовали и в его дом был совершен обыск по ордеру, копы обыскали его и нашли в шкафу груду одеял, под которой была спрятана банка из-под попкорна.

Странное место для хранения попкорна.

Внутри которого находился что-то вроде компьютеризированного холодного кошелька.

Внутри которого была большая часть упомянутых биткойнов!

В то время, когда его арестовали, биткойны стоили что-то к северу от 65,535 2 долларов (или XNUMX¹⁶-1) каждый.

За это время они выросли более чем в тысячу раз.

Так что в то время это был самый большой крах криптомонеты за всю историю!

Девять лет спустя, видимо, не в силах распорядиться нажитым нечестным путем доходом, возможно, опасаясь, что даже если он попытается засунуть их в стакан, все пальцы укажут на него…

…у него были все эти биткойны на 3 миллиарда долларов, которые девять лет лежали в банке из-под попкорна!

---

ДУГ.  Боже мой.

---

УТКА.  Итак, просидев на этом страшном сокровище все эти годы, гадая, не поймают ли его, теперь он задается вопросом: «Как долго я буду сидеть в тюрьме?»

И максимальное наказание по обвинению, которое ему грозит?

20 лет, Дуг.

---

ДУГ.  Еще одна интересная история происходит прямо сейчас. Если вы недавно были в Твиттере, вы знаете, что там много активности. если говорить дипломатично...

---

УТКА.  [НИЖЕ-СРЕДНЕЕ КАЧЕСТВО, ИМПЕРСОНАЦИЯ БОБА ДИЛАНА] Что ж, времена меняются.

---

ДУГ.  … включая в какой-то момент идею взимать 20 долларов за проверенный синий чек, что, конечно же, почти сразу спровоцировал некоторые мошенничества.

Мошенничество с электронной почтой Twitter Blue Badge – не попадайтесь на их удочку!

---

УТКА.  Это просто напоминание, Даг, что всякий раз, когда что-то вызывает большой интерес, мошенники обязательно последуют за ним.

И предпосылкой этого было: «Эй, почему бы не прийти пораньше? Если у вас уже есть синяя метка, угадайте, что? Вам не придется платить $ 19.99 в месяц, если вы предварительно зарегистрируетесь. Мы позволим вам оставить его себе».

Мы знаем, что это не было идеей Илона Маска, как он ее заявил, но это то, что делают многие компании, не так ли?

Многие компании дадут вам какую-то выгоду, если вы останетесь с услугой.

Так что это не совсем невероятно.

Как вы говорите… что вы ему дали?

Б-минус, что ли?

---

ДУГ.  Я ставлю первому письму четверку с минусом… возможно, вас могут обмануть, если вы прочитаете его быстро, но есть некоторые проблемы с грамматикой; вещи не чувствуют себя хорошо.

И затем, как только вы нажмете, я бы поставил целевым страницам тройку с минусом.

Это становится еще сложнее.

---

УТКА.  Это где-то между 5/10 и 6/10?

---

ДУГ.  Да, скажем так.

И у нас есть несколько советов, так что даже если это афера с плюсом, это не будет иметь значения, потому что вы все равно сможете помешать ей!

Начну с моего личного фаворита: Используйте менеджер паролей.

Менеджер паролей решает множество проблем, связанных с мошенничеством.

---

УТКА.  Оно делает.

У менеджера паролей нет человеческого интеллекта, который может быть введен в заблуждение тем фактом, что красивая картинка правильная, или логотип идеальный, или веб-форма находится в точно правильном положении на экране с точно таким же шрифтом. , так что вы узнаете его.

Все, что он знает, это: «Никогда раньше не слышал об этом сайте».

---

ДУГ.  И, конечно, включите 2FA, если можете.

Всегда добавляйте второй фактор аутентификации, если это возможно.

---

УТКА.  Конечно, это не обязательно защитит вас от самого себя.

Если вы зашли на поддельный сайт и решили: «Эй, это идеальное изображение, это должно быть настоящее дело», и вы полны решимости войти в систему, и вы уже ввели свое имя пользователя и пароль, а затем он просит вас пройти процесс 2FA …

… вы, скорее всего, сделаете это.

Тем не менее, это дает вам немного времени, чтобы сделать «Стоп. Считать. Соединять." вещь, и скажите себе: «Подожди, что я здесь делаю?»

Таким образом, небольшая задержка, которую вводит 2FA, на самом деле может быть не только очень небольшой проблемой, но и способом действительно улучшить ваш рабочий процесс кибербезопасности… что немного более серьезно.

Так что я не вижу, в чем минус, на самом деле.

---

ДУГ.  И, конечно же, есть еще одна стратегия, которую трудно соблюдать многим людям, но она очень эффективна. избегайте ссылок для входа и кнопок действий в электронной почте.

Поэтому, если вы получили электронное письмо, не просто нажмите кнопку… зайдите на сам сайт, и вы сможете довольно быстро определить, было ли это электронное письмо законным или нет.

---

УТКА.  По сути, если вы не можете полностью доверять первоначальной переписке, то вы не можете полагаться ни на какие детали в ней, будь то ссылка, по которой вы собираетесь щелкнуть, номер телефона, на который вы собираетесь позвонить, адрес электронной почты, который вы вы собираетесь связаться с ними через учетную запись Instagram, на которую вы собираетесь отправлять DM, что бы это ни было.

Не используйте то, что находится в электронной почте… найдите свой собственный путь туда, и вы преодолеете множество подобных мошенничеств.

---

ДУГ.  И, наконец, последнее, но не менее важное... это должно быть здравым смыслом, но это не так: Никогда не спрашивайте отправителя неопределенного сообщения, являются ли они законными.

Не отвечайте и не говорите: «Эй, ты действительно Твиттер?»

---

УТКА.  Да, вы совершенно правы.

Поскольку мой предыдущий совет «Не полагайтесь на информацию в электронном письме», например, не звоните по их номеру телефона… у некоторых людей возникает соблазн сказать: «Ну, я позвоню по номеру телефона и узнаю, действительно ли это так». это они. [IRONIC] Потому что, очевидно, если повара ответят, они назовут свои настоящие имена».

---

ДУГ.  Как мы всегда говорим: Если сомневаетесь/не выдавайте.

И это хорошая предостерегающая история, следующая история: когда сканирование безопасности, которое является законными инструментами безопасности, раскрывать больше, чем следует, что тогда происходит?

Инструменты сканирования общедоступных URL-адресов — когда безопасность ведет к незащищенности

---

УТКА.  Это известный в Германии исследователь по имени Фабиан Бройнляйн… мы уже упоминали его пару раз.

Он вернулся с подробным отчетом под названием urlscan.ioСпот от SOAR: болтливые инструменты безопасности утекают личные данные.

И в этом случае это urlscan.io, веб-сайт, который вы можете использовать бесплатно (или в качестве платной услуги), где вы можете отправить URL-адрес, или доменное имя, или IP-номер, или что-то еще, и вы можете найти: «Что знает сообщество об этом?"

И он покажет полный URL-адрес, о котором спрашивали другие люди.

И это не только то, что люди копируют и вставляют по своему выбору.

Иногда их электронная почта, например, может проходить через сторонний инструмент фильтрации, который сам извлекает URL-адреса, звонит домой, чтобы urlscan.io, выполняет поиск, получает результат и использует его, чтобы решить, следует ли спамить, блокировать спам или пропускать сообщение.

И это означает, что иногда, если URL-адрес содержал секретные или полусекретные данные, личную информацию, то другие люди, которые просто искали нужное доменное имя в течение короткого периода времени, после этого увидят все URL-адреса, которые искали, включая вещи, которые могут быть в URL.

Вы знаете, как blahblah?username=doug&passwordresetcode= за которыми следует длинная строка шестнадцатеричных символов и так далее.

И Бройнляйн составил увлекательный список типов URL-адресов, особенно тех, которые могут появляться в электронных письмах, которые могут регулярно отправляться третьей стороне для фильтрации, а затем индексироваться для поиска.

Типы электронных писем, которые, по его мнению, определенно можно было использовать, включали, но не ограничивались: ссылками для создания учетной записи; Ссылки на доставку подарков Amazon; ключи API; Запросы подписи DocuSign; передача файлов Dropbox; отслеживание посылок; сброс пароля; счета-фактуры PayPal; обмен документами на Google Диске; приглашения SharePoint; и ссылки для отписки от рассылки.

Не указывая пальцем на SharePoint, Google Drive, PayPal и т. д.

Это были лишь примеры URL-адресов, которые он наткнулся на потенциально пригодные для использования таким образом.

---

ДУГ.  У нас есть несколько советов в конце этой статьи, которые сводятся к следующему: прочтите отчет Бройнляйна; читать urlscan.ioсообщение в блоге; сделать код-ревью самостоятельно; если у вас есть код, который выполняет онлайн-поиск безопасности; узнать, какие функции конфиденциальности существуют для онлайн-заявок; и, что важно, узнайте, как сообщать мошеннические данные онлайн-службе, если вы их видите.

Я заметил, что там три… что-то вроде лимериков?

Очень креативные мини-стихи в конце этой статьи…

---

УТКА.  [ПРЕДВИДЕННЫЙ УЖАС] Нет, это не лимерики! Лимерики имеют очень формальную пятистрочную структуру…

---

ДУГ.  [СМЕЕТСЯ] Мне очень жаль. Это правда!

---

УТКА.  … как для метра, так и для рифмы.

Очень структурировано, Дуг!

---

ДУГ.  Мне так жаль, так правда. [СМЕЕТСЯ]

---

УТКА.  Это просто чушь. [СМЕХ]

Еще раз: Если сомневаетесь/не выдавайте.

И если вы собираете данные: Если это не должно быть внутри / Засунь это прямо в мусорное ведро.

И если вы пишете код, который вызывает общедоступные API, которые могут раскрывать данные о клиентах: Никогда не заставляйте своих пользователей плакать / По тому, как вы вызываете API.

---

ДУГ.  [СМЕЕТСЯ] Это новинка для меня, и она мне очень нравится!

И последнее, но не менее важное в нашем списке: мы неделю за неделей говорили об этой ошибке безопасности OpenSSL.

Теперь главный вопрос: «Как вы можете сказать что нужно исправить?»

История обновления безопасности OpenSSL — как понять, что нужно исправить?

---

УТКА.  В самом деле, Даг, как нам узнать, какая у нас версия OpenSSL?

И, очевидно, в Linux вы просто открываете командную строку и вводите openssl version, и он сообщает вам версию, которая у вас есть.

Но OpenSSL — это библиотека для программирования, и нет правила, согласно которому у программного обеспечения не может быть собственной версии.

В вашем дистрибутиве может использоваться OpenSSL 3.0, но есть приложение, которое говорит: «О нет, мы не обновились до новой версии. Мы предпочитаем OpenSSL 1.1.1, потому что он все еще поддерживается, и если у вас его нет, мы предлагаем собственную версию».

Итак, к сожалению, как и в том печально известном случае с Log4Shell, вам пришлось искать троих? 12? 154? кто-знает-сколько мест в вашей сети, где у вас может быть устаревшая программа Log4J.

То же самое для OpenSSL.

Теоретически инструменты XDR или EDR могли бы сказать вам, но некоторые не будут поддерживать это, а многие будут препятствовать этому: на самом деле запустить программу, чтобы узнать, какая у нее версия.

Потому что, в конце концов, если это глючная или неправильная программа, и вам действительно нужно запустить программу, чтобы она сообщила о своей версии…

…это как ставить телегу впереди лошади, не так ли?

Поэтому мы опубликовали статью для тех особых случаев, когда вы действительно хотите загрузить DLL или разделяемую библиотеку и на самом деле хотите вызвать ее собственную. TellMeThyVersion() программный код.

Другими словами, вы достаточно доверяете программе, чтобы загрузить ее в память, выполнить ее и запустить какой-то ее компонент.

Мы покажем вам, как это сделать, чтобы вы могли быть абсолютно уверены в том, что любые удаленные файлы OpenSSL, имеющиеся в вашей сети, обновлены.

Потому что, хотя это было понижено с КРИТИЧЕСКОГО до ВЫСОКОГО, это все еще ошибка, которую вам нужно и нужно исправить!

---

ДУГ.  Что касается серьезности этой ошибки, мы получили интересный вопрос от голого читателя безопасности Света, который, в частности, пишет:

Как получается, что ошибка, которая чрезвычайно сложна для эксплуатации и может использоваться только для атак типа «отказ в обслуживании», продолжает классифицироваться как ВЫСОКАЯ?

---

УТКА.  Да, я думаю, он сказал что-то вроде «О, разве команда OpenSL не слышала о CVSS?», который, если хотите, является правительственным стандартом США для кодирования уровня риска и сложности ошибок таким образом, чтобы их можно было автоматически фильтруются скриптами.

Таким образом, если у него низкий показатель CVSS (который Общая система оценки уязвимостей), почему люди в восторге от этого?

Почему он должен быть ВЫСОКИМ?

И поэтому мой ответ был: «Почему *не должно* оно быть ВЫСОКИМ?»

Это ошибка в криптографическом движке; это может привести к сбою программы, например, которая пытается получить обновление... так что она будет сбоить снова и снова, и это немного больше, чем просто отказ в обслуживании, потому что на самом деле это мешает вам должным образом обеспечить безопасность.

Есть элемент обхода безопасности.

И я думаю, что другая часть ответа, когда дело доходит до превращения уязвимостей в эксплойты: «Никогда не говори никогда!»

Когда у вас есть что-то вроде переполнения буфера стека, когда вы можете манипулировать другими переменными в стеке, возможно, включая адреса памяти, всегда будет шанс, что кто-то может найти работающий эксплойт.

И проблема, Даг, в том, что как только они это выяснили, неважно, насколько сложно это было выяснить…

…как только вы узнаете, как это использовать, *любой* сможет это сделать, потому что вы можете продать им код для этого.

Я думаю, вы знаете, что я собираюсь сказать: «Не то, чтобы я сильно переживал по этому поводу».

[СМЕХ]

Это, опять же, одна из тех вещей, которые «будь прокляты, если они сделают, будь прокляты, если они этого не сделают».

---

ДУГ.  Очень хорошо, большое спасибо, Свет, за то, что написали этот комментарий и отправили его.

Если у вас есть интересная история, комментарий или вопрос, который вы хотели бы отправить, мы будем рады прочитать его в подкасте.

Вы можете написать на почту tip@sophos.com, прокомментировать любую из наших статей или связаться с нами в социальных сетях: @nakedsecurity.

Это наше шоу на сегодня; большое спасибо, что выслушали.

Для Пола Даклина я Дуг Аамот, напоминаю вам до следующего раза…

---

ОБА.  Оставайтесь в безопасности!