S3 Ep108: Skril si TRI MILIJARDE dolarjev v pločevinko za pokovko?

Kliknite in povlecite spodnje zvočne valove, da preskočite na katero koli točko. Lahko tudi poslušaj neposredno na Soundcloudu.

DOUG.  Prevare na Twitterju, torek popravkov in kriminalci, ki vdirajo v kriminalce.

Vse to in še več v podcastu Naked Security.

[GLASBENI MODEM]

Dobrodošli v podcastu, vsi.

Jaz sem Doug.

On je Paul Ducklin.

Paul, kako si danes?

---

RACA.  Zelo dobro, Doug.

Tu v Angliji nismo imeli luninega mrka, sem pa dobil kratek vpogled v *polno* polno luno skozi majhno vrzel v oblakih, ki se je pojavila kot edina luknja v celotni plasti oblakov v trenutku, ko sem šel ven, Poglej!

Vendar nismo imeli te oranžne lune, kot ste jo imeli vi v Massachusettsu.

---

DOUG.  Začnimo predstavo z Ta teden v zgodovini tehnologije… to sega daleč nazaj.

Ta teden, 08. novembra 1895, je nemški profesor fizike Wilhelm Röntgen naletel na še neodkrito obliko sevanja, zaradi česar je omenjeno sevanje imenoval preprosto z "X".

Kot pri rentgenskem slikanju.

Kaj pa to ... naključno odkritje rentgenskih žarkov?

---

RACA.  Prav neverjetno.

Spomnim se, da mi je mama pripovedovala: v petdesetih letih prejšnjega stoletja (moralo je biti enako v državah), očitno v trgovinah s čevlji ...

---

DOUG.  [VE, KAJ PRIHAJA] Da! [SMEH]

---

RACA.  Ljudje bi vzeli svoje otroke k sebi … stali bi v tem stroju, obuli čevlje in namesto da bi samo rekli: »Pojdi naokoli, so tesni? Ali ščipajo?”, ste stali v rentgenskem aparatu, ki vas je v bistvu okopal v rentgenskem sevanju in posnel živo fotografijo ter rekel: “O ja, prave velikosti so.”

---

DOUG.  Da, preprostejši časi. Malo nevarno, ampak …

---

RACA.  MALO NEVARNO?

Si lahko predstavljate ljudi, ki so delali v trgovinah s čevlji?

Verjetno so se ves čas kopali v rentgenskih žarkih.

---

DOUG.  Absolutno… no, danes smo malo bolj varni.

Kar se tiče varnosti, je prvi torek v mesecu Microsoftov torek popravkov.

So kaj smo se naučili ta popravek v torek novembra 2022?

Izmenjava 0-dnevnih fiksiranih (končno) – plus 4 popolnoma novi popravki v torek 0-dnevnih!

---

RACA.  No, super vznemirljiva stvar, Doug, je, da tehnično Patch Tuesday ni popravil enega, ne dveh, ne treh ... ampak *štiri* dni nič.

Toda v resnici so popravki, ki ste jih lahko dobili za Microsoftove izdelke v torek, popravili *šest* dni nič.

Spomnite se tistih ničelnih dni Exchangea, za katere je znano, da prejšnji torek s popravki niso bili popravljeni: CVE-2002-41040 in CVE-2022-41082, kar je postalo znano kot ProxyNotShell?

S3 Ep102.5: Napake v izmenjavi »ProxyNotShell« – strokovnjak govori [zvok + besedilo]

No, to je bilo popravljeno, vendar v bistvu v ločeni »stranski liniji« od popravka v torek: Exchange november 2022 SU ali posodobitev programske opreme, ki pravi samo:

Posodobitve programske opreme Exchange iz novembra 2022 vsebujejo popravke za ranljivosti ničelnega dne, o katerih so javno poročali 29. septembra 2022.

Vse kar morate storiti je, da nadgradite Exchange.

Joj, hvala Microsoft ... Mislim, da smo vedeli, da bomo to morali storiti, ko so popravki končno prišli!

Torej, *so* zunaj in sta popravljena dva ničelna dneva, vendar nista nova in tehnično nista v delu »Torek popravkov«.

Tam imamo določene štiri druge dneve nič.

In če verjamete v dajanje prednostnih popravkov, potem so očitno tisti, s katerimi se želite najprej ukvarjati, ker nekdo že ve, kako z njimi narediti slabe stvari.

Te segajo od varnostnega obvoda do dveh dvigov privilegijev in enega oddaljenega izvajanja kode.

Vendar jih je več kot Skupaj 60 popravkov, in če pogledate celoten seznam prizadetih izdelkov in komponent sistema Windows, je kot običajno ogromen seznam, ki vključuje vse komponente/izdelke sistema Windows, za katere ste že slišali, in mnoge, za katere verjetno še niste.

Microsoft odpravlja 62 ranljivosti, vključno s Kerberosom, Mark of the Web in Exchange ... nekako

Torej, kot vedno: Ne odlašajte/Naredite to danes, Douglas!

---

DOUG.  Zelo dobro.

Govorimo zdaj o precejšnji zamudi ...

Imate zelo zanimivo zgodbo o Trg drog Silk Road, in opomnik, da je kriminalci krajo kriminalcem še vedno zločin, tudi če te dejansko ujamejo približno deset let kasneje.

Heker na trgu drog Silk Road priznal krivdo, grozi mu 20 let zapora

---

RACA.  Da, tudi ljudje, ki se šele spoznavajo na področju kibernetske varnosti ali spleta, bodo verjetno že slišali za »Silk Road«, morda prvo dobro znano, veliko, široko razširjeno in pogosto uporabljano temno spletno tržnico, kjer je v bistvu vse dovoljeno.

Tako je leta 2013 vse pogorelo.

Ker ustanovitelj, sprva znan le kot Strašni pirat Roberts, vendar se je na koncu izkazalo, da je Ross Ulbricht… njegova slaba operativna varnost je bila dovolj, da so bile dejavnosti povezane z njim.

Ustanovitelj Silk Road Ross Ulbricht dobi dosmrtno kazen brez pogojnega izpusta

Ne samo, da njegova operativna varnost ni bila zelo dobra, zdi se, da so imeli konec leta 2012 (lahko verjameš, Doug?) napako pri obdelavi plačil s kriptovalutami ...

---

DOUG.  [ZADIHNE V LEGALNI GROZI]

---

RACA.  ... tistega tipa, ki smo ga od takrat večkrat ponovili in ki je šel naokoli, ne da bi pravilno izvajal dvostavno računovodstvo, kjer za vsako bremenitev obstaja ustrezen kredit in obratno.

In ta napadalec je odkril, če naložite nekaj denarja na svoj račun in ga nato zelo hitro izplačate na druge račune, da lahko dejansko izplačate petkrat (ali celo večkrat) iste bitcoine, preden sistem ugotovi, da je prva bremenitev izginila. skozi.

Torej bi lahko v bistvu vložili nekaj denarja in ga nato preprosto dvignili znova in znova in znova ter dobili večjo zalogo ...

... in potem bi se lahko vrnili v tisto, čemur bi lahko rekli "molzna zanka kriptovalute".

Ocenjuje se ... preiskovalci niso bili prepričani, da je začel z med 200 in 2000 lastnimi bitcoini (ali jih je kupil ali rudaril, ne vemo) in jih je zelo, zelo hitro spremenil v, počakaj, Doug: 50,0000 bitcoinov!

---

DOUG.  Wow!

---

RACA.  Več kot 50,000 bitcoinov, kar tako.

In potem, očitno v mislih, da bo nekdo opazil, je pobegnil, medtem ko je bil v prednosti s 50,000 bitcoini ...

…vsak je vreden neverjetnih 12 dolarjev, kar je več kot le nekaj let prej, ko je bil le delček centa. [SMEH]

Torej je pobegnil s 600,000 $ kar tako, Doug.

[DRAMATIČNI PREMOR]

Devet let kasneje …

[SMEH]

... skoraj *natančno* devet let pozneje, ko so ga aretirali in na podlagi naloga preiskali njegov dom, so policisti šli preiskati in v njegovi omari našli kup odej, pod katerimi je bila skrita pločevinka za pokovko.

Nenavadno mesto za shranjevanje pokovke.

Znotraj katere je bila nekakšna računalniška hladna denarnica.

Znotraj katerega je bil velik delež omenjenih bitcoinov!

V času, ko so ga aretirali, so bitcoini znašali približno 65,535 $ (ali 2¹⁶-1) vsak.

V vmesnem času so se povečali več kot tisočkrat.

Torej je bil takrat to največji propad kriptokoinov doslej!

Devet let pozneje, potem ko očitno ni mogel razpolagati s svojim nezakonito pridobljenim dobičkom, morda v strahu, da bodo vsi prsti uprti vanj, tudi če bi jih poskušal stlačiti v kozarec ...

… imel je vse te bitcoine v vrednosti 3 milijarde dolarjev, ki so devet let ležali v pločevinki za pokovko!

---

DOUG.  Moj Bog.

---

RACA.  Torej, potem ko je vsa ta leta sedel na tem strašnem zakladu in se spraševal, ali ga bodo ujeli, se zdaj sprašuje: "Kako dolgo bom šel v zapor?"

In najvišja kazen za obtožbo, ki mu grozi?

20 let, Doug.

---

DOUG.  Trenutno se dogaja še ena zanimiva zgodba. Če ste bili zadnje čase na Twitterju, boste vedeli, da je tam veliko dejavnosti. diplomatsko rečeno...

---

RACA.  [POVEZANJE BOB DYLAN NIZKE DO SREDNJE KAKOVOSTNE] No, časi se spreminjajo.

---

DOUG.  ...vključno z idejo, da bi zaračunali 20 $ za preverjeni modri ček, kar je seveda skoraj takoj spodbudil nekaj prevar.

E-poštne prevare z modro značko Twitter – ne nasedajte jim!

---

RACA.  To je samo opomnik, Doug, da bodo prevaranti zagotovo sledili vsakič, ko je nekaj, kar je pritegnilo veliko zanimanja.

In predpostavka tega je bila: »Hej, zakaj ne bi prišel prej? Če že imate modro oznako, uganite kaj? Če se predhodno registrirate, vam ne bo treba plačati 19.99 USD na mesec. Dovolili vam bomo, da ga obdržite.”

Vemo, da to ni bila ideja Elona Muska, kot je izjavil, vendar je to nekaj, kar počne veliko podjetij, kajne?

Veliko podjetij vam bo dalo neke vrste ugodnosti, če ostanete pri storitvi.

Torej ni povsem neverjetno.

Kot praviš ... kaj si dal?

B-minus, kajne?

---

DOUG.  Začetnemu e-poštnemu sporočilu dam B-minus ... morda bi vas lahko prevarali, če bi ga hitro prebrali, vendar je nekaj slovničnih težav; stvari se ne zdijo v redu.

In potem, ko kliknete, bi ciljnim stranem dal C-minus.

To postane še bolj zapleteno.

---

RACA.  To je nekje med 5/10 in 6/10?

---

DOUG.  Da, recimo tako.

In imamo nekaj nasvetov, tako da tudi če gre za prevaro A-plus, ne bo pomembno, saj jo boste vseeno lahko preprečili!

Začenši z mojim osebnim favoritom: Uporabite upravitelja gesel.

Upravitelj gesel rešuje veliko težav, ko gre za goljufije.

---

RACA.  To naredi.

Upravitelj gesel nima nobene človeške inteligence, ki bi jo lahko zavedlo dejstvo, da je lepa slika prava ali da je logotip popoln ali da je spletni obrazec na točno pravem mestu na zaslonu s popolnoma enako pisavo , torej ga prepoznate.

Vse, kar ve, je: "Nikoli prej nisem slišal za to spletno mesto."

---

DOUG.  In seveda, vklopite 2FA, če lahko.

Če je mogoče, vedno dodajte drugi faktor avtentikacije.

---

RACA.  Seveda pa ni nujno, da vas to zaščiti pred samim seboj.

Če obiščete lažno spletno mesto in ste se odločili, "Hej, popolno je, mora biti res", in ste odločeni, da se prijavite ter ste že vnesli svoje uporabniško ime in geslo, nato pa vas prosi, da greste skozi postopek 2FA ...

… zelo verjetno boste to storili.

Vendar pa vam daje tisto malo časa, da naredite »Ustavi se. pomisli. Poveži se.” in si rečeš: "Počakaj, kaj počnem tukaj?"

Torej, na nek način je malo zamude, ki jo uvaja 2FA, lahko dejansko ne le zelo malo težav, ampak tudi način za dejansko izboljšanje vašega delovnega toka kibernetske varnosti ... z uvedbo ravno toliko hitrostne ovire, da ste nagnjeni k kibernetski varnosti. da malo bolj resno.

Tako da res ne vidim, kaj je slaba stran.

---

DOUG.  In seveda, druga strategija, ki se je za veliko ljudi težko drži, a je zelo učinkovita, je izogibajte se povezavam za prijavo in akcijskim gumbom v e-pošti.

Torej, če prejmete e-poštno sporočilo, ne kliknite samo gumba ... pojdite na samo spletno mesto in zelo hitro boste lahko ugotovili, ali je bilo to e-poštno sporočilo zakonito ali ne.

---

RACA.  V bistvu, če ne morete povsem zaupati začetni korespondenci, se ne morete zanesti na podrobnosti v njej, ne glede na to, ali je to povezava, ki jo boste kliknili, telefonska številka, ki jo boste poklicali, e-poštni naslov, ki ga Z njimi boste stopili v stik na Instagram računu, na katerega boste pošiljali DM, karkoli že je.

Ne uporabljajte tega, kar je v e-pošti ... poiščite svojo pot do tja in s tem boste povzročili kratek stik številnim tovrstnim prevaram.

---

DOUG.  In končno, nenazadnje ... to bi moralo biti zdrava pamet, vendar ni: Nikoli ne sprašujte pošiljatelja negotovega sporočila, ali je legitimno.

Ne odgovarjajte in recite: "Hej, ali si res Twitter?"

---

RACA.  Ja, čisto prav imaš.

Ker moj prejšnji nasvet, »Ne zanašajte se na informacije v e-pošti«, na primer ne kličite na njihovo telefonsko številko ... nekatere ljudi mika, da bi rekli »No, poklical bom telefonsko številko in videl, ali res je njih. [IRONIČNO] Kajti očitno bo, če kuharjev odgovor, dal svoja prava imena.”

---

DOUG.  Kot vedno pravimo: Če ste v dvomih/ne izročite.

In to je dobra opozorilna zgodba, naslednja zgodba: ko varnostni pregledi, ki so legitimna varnostna orodja, razkrivajo več, kot bi morali, kaj se zgodi potem?

Javna orodja za skeniranje URL-jev – ko varnost vodi v negotovost

---

RACA.  To je znan raziskovalec po imenu Fabian Bräunlein v Nemčiji … že nekajkrat smo ga predstavili.

Vrnil se je s podrobnim poročilom z naslovom urlscan.ioSpot uporabnika SOAR: klepetava varnostna orodja, ki puščajo zasebne podatke.

In v tem primeru je urlscan.io, spletno mesto, ki ga lahko uporabljate brezplačno (ali kot plačljivo storitev), kjer lahko predložite URL, ali ime domene, ali številko IP, ali kar koli že, in lahko poiščete »Kaj ve skupnost o tem?"

In razkril bo celoten URL, o katerem so spraševali drugi.

In to niso samo stvari, ki jih ljudje kopirajo in prilepijo po lastni izbiri.

Včasih gre na primer njihova e-pošta skozi orodje za filtriranje tretje osebe, ki samo ekstrahira URL-je, pokliče domov urlscan.io, izvede iskanje, pridobi rezultat in se na podlagi tega odloči, ali naj pošlje neželeno vsebino, blokira neželeno pošto ali posreduje sporočilo.

In to pomeni, da včasih, če je URL vključeval tajne ali pol tajne podatke, podatke, ki omogočajo osebno identifikacijo, potem drugi ljudje, ki so slučajno iskali pravo ime domene v kratkem času zatem, vidijo vse URL-je, ki so bili iskani, vključno z stvari, ki so lahko v URL-ju.

Veš, kot blahblah?username=doug&passwordresetcode= ki mu sledi dolg niz šestnajstiških znakov itd.

In Bräunlein je pripravil fascinanten seznam URL-jev, zlasti tistih, ki se lahko pojavijo v e-poštnih sporočilih, ki se lahko redno pošiljajo tretji osebi za filtriranje in nato indeksirajo za iskanje.

E-poštna sporočila, za katera je menil, da jih je vsekakor mogoče uporabiti, so vključevala, vendar niso bila omejena na: povezave za ustvarjanje računa; Amazonove povezave za dostavo daril; API ključi; Zahteve za podpis DocuSign; dropbox prenos datotek; sledenje paketom; ponastavitev gesel; PayPal računi; Skupna raba dokumentov Google Drive; SharePoint povabila; in povezave za odjavo od novic.

Ne kaže s prstom na SharePoint, Google Drive, PayPal itd.

To so bili samo primeri URL-jev, na katere je naletel in ki bi jih bilo mogoče izkoristiti na ta način.

---

DOUG.  Na koncu tega članka imamo nekaj nasvetov, ki se skrčijo na: preberite Bräunleinovo poročilo; prebrati urlscan.ioobjava v blogu uporabnika; naredite lasten pregled kode; če imate kodo, ki izvaja spletno varnostno iskanje; izvedeti, katere funkcije zasebnosti obstajajo za spletne oddaje; in, kar je pomembno, naučite se, kako spletni storitvi sporočiti lažne podatke, če jih vidite.

Opazil sem, da obstajajo tri ... nekakšne pesmi?

Zelo ustvarjalne mini pesmi na koncu tega članka ...

---

RACA.  [POSEGAJALNA GROZLJIVICA] Ne, niso limeriki! Limericks imajo zelo formalno strukturo petih vrstic ...

---

DOUG.  [SMEH] Zelo mi je žal. To je res!

---

RACA.  … tako za meter kot za rimo.

Zelo strukturirano, Doug!

---

DOUG.  Zelo mi je žal, tako res. [SMEH]

---

RACA.  To je samo zabavo. [SMEH]

Ponovno: Če ste v dvomih/ne izročite.

In če zbirate podatke: Če ne bi smelo biti noter/Vstavite naravnost v koš.

In če pišete kodo, ki kliče javne API-je, ki bi lahko razkrili podatke o strankah: Nikoli ne spravljajte svojih uporabnikov v jok/s tem, kako kličete API.

---

DOUG.  [SMEH] To je zame novo in zelo mi je všeč!

In nazadnje, vendar zagotovo ne najmanj pomembno na našem seznamu tukaj, teden za tednom smo govorili o tej varnostni napaki OpenSSL.

Veliko vprašanje zdaj je, "Kako lahko poveš kaj je treba popraviti?"

Zgodba o varnostni posodobitvi OpenSSL – kako lahko ugotovite, kaj je treba popraviti?

---

RACA.  Resnično, Doug, kako vemo, katero različico OpenSSL imamo?

In očitno je, da v Linuxu preprosto odprete ukazni poziv in vtipkate openssl versionin vam pove različico, ki jo imate.

Toda OpenSSL je programska knjižnica in ni pravila, ki pravi, da programska oprema ne more imeti svoje različice.

Vaša distribucija morda uporablja OpenSSL 3.0, vendar obstaja aplikacija, ki pravi: »Oh, ne, nismo nadgradili na novo različico. Raje imamo OpenSSL 1.1.1, ker je še vedno podprt, in če ga nimate, prinašamo svojo različico.”

In tako, na žalost, tako kot v tistem zloglasnem primeru Log4Shell, ste morali iti iskat tri? 12? 154? kdo ve-koliko mest v vašem omrežju, kjer bi lahko imeli zastarel program Log4J.

Enako za OpenSSL.

Teoretično vam lahko orodji XDR ali EDR povedo, vendar nekatera tega ne bodo podpirala in mnogi ga bodo odvrnili: dejansko zaženite program, da ugotovite, katera različica je.

Ker navsezadnje, če je hrošč ali napačen in morate dejansko zagnati program, da sporoči svojo različico ...

…zdi se, kot da bi postavili voz pred konja, kajne?

Zato smo objavili članek za tiste posebne primere, ko dejansko želite naložiti DLL ali knjižnico v skupni rabi in dejansko želite poklicati njeno lastno TellMeThyVersion() programsko kodo.

Z drugimi besedami, dovolj zaupate programu, da ga boste naložili v pomnilnik, ga izvedli in zagnali njegovo komponento.

Pokažemo vam, kako to storite, da boste lahko popolnoma prepričani, da so vse zunanje datoteke OpenSSL, ki jih imate v omrežju, posodobljene.

Kajti čeprav je bilo to znižano s KRITIČNE na VISOKO, je to še vedno napaka, ki jo morate in želite odpraviti!

---

DOUG.  Na temo resnosti te napake smo dobili zanimivo vprašanje od bralca Gola varnost Svet, ki med drugim piše:

Kako to, da je hrošč, ki je izjemno zapleten za izkoriščanje in se lahko uporablja le za napade z zavrnitvijo storitve, še naprej klasificiran kot VISOKA?

---

RACA.  Da, mislim, da je rekel nekaj o: "Oh, ali ekipa OpenSL še ni slišala za CVSS?", ki je standard ameriške vlade, če želite, za kodiranje stopnje tveganja in kompleksnosti hroščev na način, ki ga je mogoče samodejno filtrira s skripti.

Torej, če ima nizko oceno CVSS (kar je Skupni sistem ocenjevanja ranljivosti), zakaj so ljudje navdušeni nad tem?

Zakaj bi morala biti VISOKA?

In tako je bil moj odgovor: "Zakaj *ne bi* smelo biti VISOKO?"

To je hrošč v kriptografskem motorju; lahko zruši program, recimo, ki poskuša pridobiti posodobitev ... tako da se bo zrušil znova in znova in znova, kar je malo več kot le zavrnitev storitve, ker vam dejansko preprečuje pravilno izvajanje varnosti.

Obstaja element varnostnega obvoda.

In mislim, da je drugi del odgovora, ko gre za spreminjanje ranljivosti v podvige: "Nikoli ne reci nikoli!"

Ko imate nekaj podobnega prelivanju medpomnilnika sklada, kjer lahko manipulirate z drugimi spremenljivkami v skladu, po možnosti vključno s pomnilniškimi naslovi, bo vedno obstajala možnost, da bo kdo odkril uporabno izkoriščanje.

In problem, Doug, je v tem, da ko enkrat ugotovijo, ni pomembno, kako zapleteno je bilo ugotoviti ...

… ko enkrat veste, kako to izkoristiti, lahko to stori *vsakdo*, ker mu lahko prodate kodo za to.

Mislim, da veste, kaj bom rekel: "Saj ne, da bi to močno čutil."

[SMEH]

To je še enkrat ena od tistih "prekleto, če storijo, prekleti, če ne".

---

DOUG.  Zelo dobro, najlepša hvala, Svet, da si napisal ta komentar in ga poslal.

Če imate zanimivo zgodbo, komentar ali vprašanje, ki bi ga radi poslali, ga bomo z veseljem prebrali v podcastu.

Lahko pošljete e-poštno sporočilo na tips@sophos.com, lahko komentirate katerega koli od naših člankov ali pa nas kontaktirate na socialnem omrežju: @nakedsecurity.

To je naša današnja predstava; najlepša hvala za posluh.

Za Paula Ducklina sem Doug Aamoth, opominjam vas do naslednjič, da…

---

OBOJE.  Bodite varni!