ŞİMDİ DİNLE
Doug Aamoth ve Paul Ducklin ile.
Giriş ve çıkış müziği Edith Çamur.
Herhangi bir noktaya atlamak için aşağıdaki ses dalgalarına tıklayın ve sürükleyin. Ayrıca doğrudan dinle Soundcloud'da.
adresinden bizi dinleyebilirsiniz. Soundcloud, Apple Podcast'leri, Google Podcast'ler, Spotify, dikiş ve iyi podcast'lerin bulunduğu her yerde. Ya da sadece bırak RSS beslememizin URL'si en sevdiğiniz podcatcher'a girin.
TRANSKRİPTİ OKUYUN
DOUG. Sürgü – geri döndü!
Yamalar bolca!
Ve saat dilimleri… evet, saat dilimleri.
Tüm bunlar ve daha fazlası Çıplak Güvenlik Podcast'inde.
[MÜZİKAL MODEM]
Podcast'e hoş geldiniz, millet.
Ben Doug Aamoth.
Her zamanki gibi yanımda Paul Ducklin var.
Paul, sana çok mutlu bir 100. bölüm dostum!
ÖRDEK. Vay, Doug!
Bilirsiniz, Seri 3 için dizin yapıma başladığımda, cesurca -001 ilk bölüm için.
DOUG. Yapmadım. [GÜLER]
ÖRDEK. Değil -1 or -01.
DOUG. Akıllı…
ÖRDEK. Büyük bir inancım vardı!
Ve bugünün dosyasını kaydettiğimde, bunun için sevineceğim.
DOUG. Evet ve bundan korkacağım çünkü tepeye çıkacak.
Neyse, bununla daha sonra ilgilenmem gerekecek…
ÖRDEK. [GÜLER] Diğer tüm şeyleri yeniden adlandırabilirsiniz.
DOUG. Biliyorum biliyorum.
[MUTTERING] Bunu dört gözle beklemiyorum… Çarşamba günüm gidiyor.
Her neyse, gösteriye biraz Teknoloji Geçmişi ile başlayalım.
Bu hafta, 12 Eylül 1959'da, Luna 2Olarak da bilinen İkinci Sovyet Kozmik Roketi, Ay'ın yüzeyine ulaşan ilk uzay aracı ve başka bir gök cismi ile temas eden ilk insan yapımı nesne oldu.
Çok havalı.
ÖRDEK. O uzun isim neydi?
“İkinci Sovyet Kozmik Roketi”?
DOUG. Evet.
ÖRDEK. Luna İki daha iyi.
DOUG. Evet daha iyi!
ÖRDEK. Görünüşe göre, tahmin edebileceğiniz gibi, uzay yarışı dönemi olduğu düşünüldüğünde, “Bunu gerçekten yaptıklarını nasıl bileceğiz? Sadece Ay'a indiklerini söyleyebilirler ve belki de bunu telafi ediyorlardır."
Görünüşe göre, bağımsız gözleme izin verecek bir protokol tasarladılar.
Ay'a varacağı, Ay'a çarpacağı zamanı tahmin ettiler ve bunu bekledikleri tam zamanı Birleşik Krallık'taki bir astronoma gönderdiler.
Ve bağımsız olarak gözlemledi, söylediklerinin o zaman * olup olmayacağını * olup olmadığını * görmek için.
Hatta "Böyle bir şeyi nasıl doğrularsınız?" diye düşündüler.
DOUG. Eh, karmaşık şeyler konusunda Microsoft ve Apple'dan yamalarımız var.
Peki bu son turda burada dikkate değer olan nedir?
ÖRDEK. Kesinlikle yapıyoruz - bu hafta Salı günü, ayın ikinci Salı günü.
Salı Yamasında benim için önemli olan iki güvenlik açığı var.
Biri kayda değer çünkü görünüşe göre vahşi doğada - başka bir deyişle, bir sıfır gündü.
Uzaktan kod yürütme olmasa da, [COUGHS APOLOGETICALLY] günlük dosyası güvenlik açığı olduğu için biraz endişe verici, Doug!
pek öyle değil Log4J kadar kötü, yalnızca kaydedicinin hatalı davranmasını sağlayamayacağınız yerde, aynı zamanda rasgele kod çalıştır senin için.
Ancak, Windows Ortak Günlük Dosya Sistemi sürücüsü olan CLFS'ye bir tür hatalı biçimlendirilmiş veri gönderirseniz, sistemi sizi sistem ayrıcalıklarına yükseltmesi için kandırabilirsiniz.
Konuk kullanıcı olarak girdiyseniz ve daha sonra kendinizi bir sistem yöneticisine dönüştürebiliyorsanız her zaman kötüdür…
DOUG. [GÜLER] Evet!
ÖRDEK. Yani CVE-2022-37969.
Ve ilginç bulduğum diğeri…
…neyse ki vahşi doğada değil, ama gerçekten yama yapmanız gereken bu, çünkü bahse girerim siber suçluların tersine mühendislik üzerinde odaklanacağı şey bu:
“Windows TCP/IP uzaktan kod yürütme güvenlik açığı”, CVE-2022-34718.
Hatırlarsan Kırmızı Kod, ve SQL Slammer'ı, ve geçmişin o yaramaz solucanları, bir ağ paketine yeni ulaştılar ve sisteme girdiler….
Bu, bundan daha da düşük bir seviyedir.
Görünüşe göre, hata belirli IPv6 paketlerinin işlenmesinde.
Dolayısıyla, hemen hemen tüm Windows bilgisayarları olan IPv6'nın dinlediği her şey bundan risk altında olabilir.
Dediğim gibi, bu vahşi değil, bu yüzden dolandırıcılar henüz onu bulamadılar, ancak yamayı alacaklarından ve ondan bir istismarın tersine mühendislik yapıp yapamayacaklarını anlamaya çalışacaklarından şüphem yok. henüz yama yapmamış insanları yakalamak için.
Çünkü bir şey derse, “Oha! Ya biri bunu kullanan bir solucan yazdıysa?”… endişeleneceğim şey bu.
DOUG. Tamam.
Ve sonra Apple'a…
ÖRDEK. Son zamanlarda Apple yamaları hakkında iki hikaye yazdık, birdenbire iPhone'lar, iPad'ler ve Mac'ler için yamalar ortaya çıktı. iki vahşi sıfır gün.
Biri bir tarayıcı hatası ya da taramayla ilgili bir hataydı, böylece masum görünen bir web sitesine girebilirsiniz ve kötü amaçlı yazılımlar bilgisayarınıza inebilir, ayrıca size çekirdek düzeyinde kontrol sağlayan bir diğeri…
…bu, son podcast'te söylediğim gibi, bana casus yazılım gibi kokuyor - bir casus yazılım satıcısının veya gerçekten ciddi bir "gözetleme siber dolandırıcısının" ilgileneceği bir şey.
Sonra ikinci bir güncelleme oldu, bizi şaşırttı, iOS 12 içinhepimizin uzun süredir terk edildiğini düşündüğümüz.
Orada, bu hatalardan biri (dolandırıcıların içeri girmesine izin veren tarayıcıyla ilgili olan) bir yama aldı.
Ve sonra, tam iOS 16'yı beklerken, tüm bu e-postalar aniden gelen kutuma düşmeye başladı - kontrol ettikten hemen sonra, "iOS 16 çıktı mı? Güncelleyebilir miyim?”
Orada değildi, ama sonra tüm bu e-postaları aldım, “iOS 15'i ve macOS Monterey'i ve Big Sur'u ve iPadOS 15'i yeni güncelledik”…
… ve bir sürü güncelleme olduğu ortaya çıktı, artı bu sefer de yepyeni bir sıfır-gün çekirdeği.
Ve büyüleyici olan şey, bildirimleri aldıktan sonra, "Pekala, tekrar kontrol edeyim..." diye düşündüm.
(Yani hatırlayabilirsin, bu Ayarlar > genel > iPhone veya iPad'inizde.)
Bakın, bana zaten sahip olduğum iOS 15 güncellemesi teklif ediliyordu, *veya* iOS 16'ya kadar atlayabilirdim.
Ve iOS 16'da bu sıfır gün düzeltmesi de vardı (iOS 16 teorik olarak henüz çıkmamış olsa da), bu yüzden sanırım hata betada da mevcuttu.
Apple'ın iOS 16 bülteninde resmi olarak sıfır gün olarak listelenmedi, ancak bunun Apple'ın gördüğü istismarın iOS 16'da tam olarak çalışmadığından mı yoksa sıfır olarak kabul edilmediğinden mi kaynaklandığını söyleyemeyiz. gün çünkü iOS 16 daha yeni çıkıyordu.
DOUG. Evet, diyecektim: henüz kimsede yok. [Gülüşmeler]
ÖRDEK. Apple'dan büyük haber buydu.
Ve önemli olan şey, telefonunuza gittiğinizde ve “Ah, iOS 16 kullanılabilir” dediğinizde… henüz iOS 16 ile ilgilenmiyorsanız, yine de o iOS 15'e sahip olduğunuzdan emin olmanız gerekir. güncelleme, çekirdek sıfır gün nedeniyle.
Çekirdek sıfır günleri her zaman bir sorundur, çünkü bu, oradaki birinin iPhone'unuzdaki çok övülen güvenlik ayarlarını nasıl atlayacağını bildiği anlamına gelir.
Hata, macOS Monterey ve macOS Big Sur için de geçerlidir – bu önceki sürüm, macOS 11'dir.
Aslında, aşılmaması gereken, Big Sur aslında vahşi doğada *iki* çekirdek sıfır gün böceğine sahiptir.
Beklediğim gibi olan iOS 12 hakkında hiçbir haber yok ve macOS Catalina için şu ana kadar hiçbir şey yok.
Catalina, önceki sürüm olan macOS 10'dur ve bir kez daha, bu güncellemenin daha sonra gelip gelmeyeceğini veya dünyanın kenarına düşüp düşmediğini ve zaten güncelleme almayacaklarını bilmiyoruz.
Ne yazık ki, Apple söylemiyor, bu yüzden bilmiyoruz.
Şimdi, çoğu Apple kullanıcısı otomatik güncellemeleri açacak, ancak her zaman söylediğimiz gibi, gidip kontrol edin (bir Mac'iniz, iPhone'unuz veya iPad'iniz var mı), çünkü en kötü şey, güncellemeler işe yaradı ve sizi güvende tuttu…
…aslında bir şeyler ters gittiğinde.
DOUG. Tamam çok iyi.
Şimdi, sabırsızlıkla beklediğim bir şey var: "Zaman dilimlerinin BT güvenliği ile ne ilgisi var?"
ÖRDEK. Görünüşe göre oldukça fazla, Doug.
DOUG. [GÜLER] Evet efendim!
ÖRDEK. Saat dilimleri konseptte çok basittir.
Hayatlarımızı yürütmek için çok uygundurlar, böylece saatlerimiz gökyüzünde olup bitenlerle kabaca eşleşir - bu nedenle gece karanlık ve gündüz aydınlıktır. (Yaz saatini göz ardı edelim ve tüm dünyada yalnızca bir saatlik zaman dilimlerimiz olduğunu varsayalım, böylece her şey gerçekten basit olur.)
Sorun, bazı sunucularınızın, bazı kullanıcılarınızın, ağınızın bazı bölümlerinin, bazı müşterilerinizin dünyanın başka yerlerinde olduğu bir kuruluşta sistem günlüklerini gerçekten tuttuğunuzda ortaya çıkar.
Günlük dosyasına yazarken, saat dilimini hesaba katarak saati yazar mısınız?
Günlüğünü yazarken, Doug, Boston'da olduğun için ihtiyacın olan 5 saati (veya şu anda 4 saati) çıkarır mısın, oysa ben Londra saatinde olduğum için bir saat ekliyorum ama yaz mevsimi. ?
Günlüğü geri okuduğumda *bana* mantıklı gelmesi için bunu günlüğe mi yazmalıyım?
Yoksa *herkes* için aynı saat dilimini kullanarak daha kurallı, belirsiz olmayan bir zaman mı yazıyorum, böylece ağımdaki farklı bilgisayarlardan, farklı kullanıcılardan, dünyanın farklı yerlerinden gelen günlükleri karşılaştırdığımda, aslında olayları sıralayabilir miyim?
Olayları sıraya koymak gerçekten çok önemli Doug, özellikle de bir siber saldırıda tehdide yanıt veriyorsan.
Önce neyin geldiğini gerçekten bilmen gerekiyor.
Ve eğer "Ah, saat 3'e kadar olmadı" derseniz, Sydney'deysem bu bana yardımcı olmaz, çünkü benim saat 3pm'im dün sizin 3pm'nize kıyasla oldu.
Yani ben bir makale yazdı Naked Security'de yapabileceğiniz bazı yollar hakkında bu sorunla ilgilen verileri kaydettiğinizde.
Kişisel tavsiyem, adlı basitleştirilmiş bir zaman damgası biçimi kullanmaktır. RFC 3339, burada dört basamaklı bir yıl, tire [tire karakteri, ASCII 0x2D], iki basamaklı ay, tire, iki basamaklı gün vb. koyarsınız, böylece zaman damgalarınız gerçekten alfabetik olarak güzel bir şekilde sıralanır.
Ve tüm zaman dilimlerinizi bir saat dilimi olarak bilinen bir zaman dilimi olarak kaydettiğinizi Z (zed veya zee), kısaltması Zulu zamanlı.
Bu, temel olarak UTC veya Koordineli Evrensel Zaman anlamına gelir.
Bu Greenwich Ortalama Saati'ne yakın ama tam olarak değil ve bu günlerde neredeyse her bilgisayarın veya telefonun saatinin aslında dahili olarak ayarlandığı zamandır.
Günlüğe yazarken saat dilimlerini dengelemeye çalışmayın, çünkü o zaman biri sizin günlüğünüzü diğer herkesinkiyle aynı hizaya getirmeye çalışırken dekompanse etmek zorunda kalır - ve bardakta ve dudakta birçok kayma olur, Doug.
Basit tutun.
Tarih ve saati tam olarak saniyeye kadar tanımlayan kanonik, basit bir metin biçimi kullanın - veya bu günlerde, isterseniz zaman damgaları bu günlerde nanosaniyeye kadar inebilir.
Ve günlüklerinizden saat dilimlerinden kurtulun; günlüklerinizden gün ışığından yararlanma uygulamasından kurtulun; ve bence her şeyi Eşgüdümlü Evrensel Zaman'da kaydedin…
… UTC'yi kafa karıştırıcı bir şekilde kısalttı, çünkü isim İngilizce ama kısaltma Fransızca - biraz ironi.
DOUG. Evet.
ÖRDEK.
Genelde yaptığım gibi, gülerek “Yine bu konuda güçlü hissettiğimden değil” demek için cazip geliyorum…
…ama özellikle siber suçluların izini sürmeye çalışırken işleri doğru sırayla almak gerçekten önemlidir.
DOUG. Pekala, bu iyi – harika bir tavsiye.
Ve siber suçlular konusunda kalırsak, Ortadaki Manipülatör saldırılarını duymuşsunuzdur; Tarayıcıda Manipülatör saldırılarını duydunuz…
..şimdi Tarayıcıda Tarayıcı saldırılarına hazır olun.
ÖRDEK. Evet, bu gördüğümüz yeni bir terim.
Bunu yazmak istedim çünkü Group-IB adlı bir tehdit istihbarat şirketindeki araştırmacılar geçenlerde bununla ilgili bir makale yazdı ve medya "Hey, Tarayıcıdaki Tarayıcı saldırıları, çok kork" ya da her neyse hakkında konuşmaya başladı. …
“Tarayıcıda Tarayıcı saldırısının ne anlama geldiğini gerçekten kaç kişinin bildiğini merak ediyorum?” diye düşünüyorsunuz.
Ve bu saldırılarla ilgili can sıkıcı şey, Doug, teknolojik olarak çok basit olmaları.
Bu çok basit bir fikir.
DOUG. Neredeyse sanatsallar.
ÖRDEK. Evet!
Bu gerçekten bilim ve teknoloji değil, sanat ve tasarım değil mi?
Temel olarak, herhangi bir JavaScript programlaması yaptıysanız (iyi ya da kötü için), bir web sayfasına yapıştırdığınız şeylerle ilgili şeylerden birinin, o web sayfasıyla sınırlı olması gerektiğini bileceksiniz.
Bu nedenle, yepyeni bir pencere açarsanız, bunun yepyeni bir tarayıcı bağlamı almasını beklersiniz.
Ve sayfasını yepyeni bir siteden, örneğin bir kimlik avı sitesinden yüklerse, tüm JavaScript değişkenlerine, içeriğe, tanımlama bilgilerine ve ana pencerenin sahip olduğu her şeye erişemez.
Yani, ayrı bir pencere açarsanız, bir dolandırıcıysanız, bilgisayar korsanlığı yeteneklerinizi sınırlandırmış olursunuz.
Ancak mevcut pencerede bir şey açarsanız, onu ne kadar heyecan verici ve “sistem benzeri” gösterebileceğiniz konusunda önemli ölçüde sınırlısınız, değil mi?
Çünkü adres çubuğunun üzerine yazamazsınız… bu tasarım gereğidir.
Tarayıcı penceresinin dışına hiçbir şey yazamazsınız, bu nedenle masaüstüne duvar kağıdı gibi görünen bir pencereyi sanki başından beri oradaymış gibi gizlice koyamazsınız.
Başka bir deyişle, başladığınız tarayıcı penceresinin içindesiniz.
Tarayıcı-in-the-Tarayıcı saldırısı fikri, normal bir web sitesi ile başlamanız ve daha sonra sahip olduğunuz tarayıcı penceresinin içinde, kendisi tam olarak bir işletim sistemi tarayıcı penceresine benzeyen bir web sayfası oluşturmanızdır. .
Temel olarak, birine gerçek şeyin bir *resmini* gösterirsiniz ve onları bunun gerçek *olduğuna* ikna edersiniz.
Bu kadar basit Doug!
Ancak sorun şu ki, biraz dikkatli çalışmayla, özellikle iyi CSS becerileriniz varsa, mevcut bir tarayıcı penceresinin içindeki bir şeyi gerçekten kendi tarayıcı penceresi gibi *yapabilirsiniz*.
Ve biraz JavaScript ile, yeniden boyutlandırılabilmesi ve ekranda hareket edebilmesi için bile yapabilirsiniz ve üçüncü taraf bir web sitesinden getirdiğiniz HTML ile doldurabilirsiniz.
Şimdi, merak edebilirsiniz… Eğer dolandırıcılar işi doğru dürüst hallederse, bunu nasıl anlayabilirsiniz?
Ve iyi haber şu ki, yapabileceğiniz kesinlikle basit bir şey var.
Bir işletim sistemi penceresine benzeyen bir şey görürseniz ve bundan herhangi bir şekilde şüpheleniyorsanız (aslında tarayıcı pencerenizde açılır gibi görünür, çünkü içinde olması gerekir)…
…onu gerçek tarayıcı penceresinden* taşımayı deneyin ve tarayıcının içinde “hapsedilmişse”, asıl meselenin bu olmadığını bilirsiniz!
Group-IB araştırmacılarının raporuyla ilgili ilginç olan şey, bununla karşılaştıklarında, dolandırıcıların bunu Steam oyunlarının oyuncularına karşı kullanıyor olmalarıydı.
Ve tabii ki Steam hesabınıza giriş yapmanızı istiyor…
…ve ilk sayfa sizi yanılttıysa, o zaman Steam'in iki faktörlü kimlik doğrulamasını bile takip ederdi.
İşin püf noktası, eğer bunlar gerçekten * ayrı pencereler olsaydı, onları ana tarayıcı pencerenizin bir tarafına sürükleyebilirdiniz, ama değillerdi.
Bu durumda, neyse ki, aşçılar CSS'lerini çok iyi yapmamışlardı.
Eserleri kalitesizdi.
Ancak, podcast'te defalarca konuştuğumuz gibi Doug, bazen her şeyi piksel kadar mükemmel göstermek için çaba harcayan sahtekarlar olabiliyor.
CSS ile tek tek pikselleri tam anlamıyla konumlandırabilirsiniz, değil mi?
DOUG. CSS ilginç.
Bu kadar Cascading Style Sheets… HTML belgelerine stil vermek için kullandığınız bir dil ve öğrenmesi gerçekten kolay ve uzmanlaşması daha da zor.
ÖRDEK. [GÜLER] Kulağa kesinlikle öyle geliyor.
DOUG. [GÜLER] Evet, pek çok şey gibi!
Ancak HTML öğrendikten sonra öğreneceğiniz ilk şeylerden biridir.
“Bu web sayfasını daha iyi hale getirmek istiyorum” diye düşünüyorsanız, CSS öğreniyorsunuz.
Bu nedenle, makaleden bağlantı verdiğiniz kaynak belgenin bu örneklerinden bazılarına bakarak, CSS'de gerçekten iyi değilseniz, gerçekten iyi bir sahtekarlık yapmanın gerçekten zor olacağını söyleyebilirsiniz.
Ama doğru yaparsanız, sahte bir belge olduğunu anlamak gerçekten zor olacak…
…dediğinizi yapmazsanız: onu bir pencereden dışarı çekmeye çalışın ve masaüstünüzde hareket ettirin, bunun gibi şeyler.
Bu, buradaki ikinci noktanıza götürür: şüpheli pencereleri dikkatlice inceleyin.
Birçoğu muhtemelen göz testini geçemeyecek, ancak geçerlerse, tespit edilmesi gerçekten zor olacak.
Bu da bizi üçüncü şeye götürüyor…
“Şüpheniz varsa/ Vermeyin.”
Tam olarak doğru görünmüyorsa ve bir şeylerin garip olduğunu kesin olarak söyleyemiyorsanız, kafiyeyi takip edin!
ÖRDEK. Ve bilinmeyen web sitelerinden, daha önce kullanmadığınız web sitelerinden şüphelenmeye değer, aniden “Tamam, sizden bir Google Penceresinde Google hesabınızla veya bir Facebook penceresinde Facebook hesabınızla oturum açmanızı isteyeceğiz. ”
Veya Steam penceresinde Steam.
DOUG. Evet.
Burada B-kelimesini kullanmaktan nefret ediyorum, ama bu, sadeliği içinde neredeyse mükemmel.
Ama yine de, CSS ve benzeri şeyleri kullanarak mükemmel bir piksel eşleşmesi elde etmek gerçekten zor olacak.
ÖRDEK. Bence hatırlanması gereken en önemli şey, simülasyonun bir parçası tarayıcının “krom”u [tarayıcının kullanıcı arayüzü bileşenleri için jargon] olduğundan, adres çubuğunun doğru görüneceğidir.
Hatta mükemmel görünebilir.
Ama mesele şu ki, bu bir adres çubuğu değil…
…bir adres çubuğunun *resmi*dir.
DOUG. Kesinlikle!
Pekala, herkes dikkatli olsun!
Göründüğü gibi olmayan şeylerden bahsetmişken, DEADBOLT fidye yazılımı ve QNAP NAS cihazları hakkında bir şeyler okuyorum ve bana bu hikayeyi çok uzun zaman önce tartışmışız gibi geliyor.
ÖRDEK. Evet, biz bunun hakkında yazılmış Ne yazık ki bu yıl şimdiye kadar Naked Security'de birkaç kez.
Bir zamanlar sahtekarlar için işe yarayan şeyin iki, üç, dört, beş kez işe yaradığı durumlardan biri.
Ve NAS veya Ağa Bağlı Depolama cihazlar, isterseniz gidip satın alabileceğiniz kara kutu sunucularıdır - genellikle bir tür Linux çekirdeği çalıştırırlar.
Fikir şu ki, bir Windows lisansı satın almak veya Linux öğrenmek yerine Samba'yı kurun, kurun, ağınızda dosya paylaşımını nasıl yapacağınızı öğrenin…
…sadece bu cihazı takıyorsunuz ve “Bingo”, çalışmaya başlıyor.
Bu, web üzerinden erişilebilen bir dosya sunucusudur ve ne yazık ki, dosya sunucusunda bir güvenlik açığı varsa ve (kazara veya tasarımla) onu internet üzerinden erişilebilir hale getirdiyseniz, o zaman dolandırıcılar bu güvenlik açığından yararlanabilir, eğer bir tane varsa. o NAS cihazı, uzaktan.
İster bir ev ağı, ister küçük işletme ağı olsun, ağınız için önemli depolama konumundaki tüm dosyaları karıştırabilirler ve dizüstü bilgisayarlar ve telefonlar gibi diğer cihazlara tek tek saldırma konusunda endişelenmenize gerek kalmadan temelde sizi fidye için tutabilirler. ağ.
Böylece, dizüstü bilgisayarınıza bulaşan kötü amaçlı yazılımlarla uğraşmaları ve ağınıza girip geleneksel fidye yazılımı suçluları gibi dolaşmaları gerekmez.
Temelde tüm dosyalarınızı karıştırıyorlar ve sonra – fidye notunu sunmak için – sadece değişiyorlar (gülmemeliyim Doug)… sadece NAS cihazınızdaki oturum açma sayfasını değiştiriyorlar.
Böylece, tüm dosyalarınızın dağınık olduğunu fark ettiğinizde ve “Bu çok komik” diye düşündüğünüzde ve web tarayıcınızla atlayıp oraya bağlandığınızda, bir şifre istemi almazsınız!
Bir uyarı alıyorsunuz: “Dosyalarınız DEADBOLT tarafından kilitlendi. Ne oldu? Tüm dosyalarınız şifrelendi.”
Ve sonra nasıl ödeme yapılacağına dair talimatlar gelir.
DOUG. Ayrıca, QNAP'ın dosyaların herkes için kilidini açmak için çok büyük bir miktar koyabileceğini de nazikçe teklif ettiler.
ÖRDEK. Elimdeki ekran görüntüleri Son makale çıplaksecurity.sophos.com şovunda:
1. 0.03 bitcoin'de bireysel şifre çözme, bu şey ilk yaygınlaştığında başlangıçta yaklaşık 1200 ABD Doları, şimdi yaklaşık 600 ABD Doları.
2. Bir BTC 5.00 seçeneği, burada QNAP güvenlik açığı hakkında bilgilendirilir, böylece onu düzeltebilirler, bu güvenlik açığını zaten bildikleri için açıkça ödemeyeceklerdir. (Bu yüzden bu özel durumda bir yama var.)
3. Dediğiniz gibi, BTC 50 seçeneği var (bu şu anda 1 milyon dolar; bu ilk hikaye ilk çıktığında 2 milyon dolardı). Görünüşe göre, QNAP bulaşmış olabilecek herhangi biri adına 1,000,000 doları öderse, sakıncası yoksa dolandırıcılar bir ana şifre çözme anahtarı sağlayacaktır.
JavaScript'lerine bakarsanız, girdiğiniz parolanın *iki* karmadan biriyle eşleşip eşleşmediğini kontrol eder.
Biri sizin enfeksiyonunuza özeldir – dolandırıcılar onu her seferinde özelleştirir, böylece JavaScript'in içinde hash vardır ve şifreyi vermez.
Ve eğer kırabilirseniz, dünyadaki herkes için ana şifreyi kurtaracak gibi görünen başka bir hash daha var…
… Sanırım bu, herkese burun kıvıran dolandırıcılardı.
DOUG. Her kullanıcı için 600 dolarlık bitcoin fidyesinin olması da ilginç… “Çirkin değil” demek istemiyorum, ancak bu makalenin yorumlar bölümüne bakarsanız, sadece ödeme yapmaktan bahsetmeyen birkaç kişi var. fidye…
…ama burada okuyucu sorumuza geçelim.
Okuyucu Michael bu saldırıyla ilgili deneyimini paylaşıyor ve yalnız değil – bu yorum bölümünde benzer şeyler bildiren başka insanlar da var.
Birkaç yorumda şöyle diyor (bundan bir tür açık yürekli yorum yapacağım):
“Bunu yaşadım ve fidyeyi ödedikten sonra iyileştim. Şifre çözme anahtarımla belirli dönüş kodunu bulmak en zor kısımdı. En değerli dersi öğrendim.”
Bir sonraki yorumunda, işlerin yeniden yürümesi için atması gereken tüm adımları atıyor.
Ve atından iner:
“BT'de çalıştığımı, 20 yılı aşkın süredir çalıştığımı ve bu QNAP uPNP hatası tarafından ısırıldığımı söylemekten utanıyorum. Bunu atlattığım için mutluyum."
ÖRDEK. Vay, evet, bu oldukça büyük bir açıklama, değil mi?
Neredeyse, “Bu sahtekarlara karşı kendimi desteklerdim, ama bahsi kaybettim ve bana 600 dolara ve bir sürü zamana mal oldu” diyormuş gibi.
Aaargh!
DOUG. ne demek istiyor "açıklama anahtarıyla birlikte belirli dönüş kodu"?
ÖRDEK. Ah, evet, bu çok ilginç... çok merak uyandırıcı. (Burada inanılmaz-keskin-parlak dememeye çalışıyorum.) [GÜLME]
C-kelimesini kullanmak ve bunun “akıllı” olduğunu söylemek istemiyorum, ama bir bakıma öyle.
Bu dolandırıcılarla nasıl iletişim kurarsınız? Bir e-posta adresine ihtiyaçları var mı? Bu izlenebilir mi? Darkweb sitesine ihtiyaçları var mı?
Bu sahtekarlar yapmaz.
Çünkü, unutmayın, bir cihaz var ve kötü amaçlı yazılım, o cihaza saldırdığında özelleştirilir ve paketlenir, böylece içinde benzersiz bir Bitcoin adresi bulunur.
Ve temel olarak, cüzdanlarına belirtilen miktarda bitcoin ödeyerek bu dolandırıcılarla iletişim kurarsınız.
Sanırım bu yüzden miktarı nispeten mütevazı tuttular…
…Herkesin bir fidye karşılığında çöpe atacak 600 doları olduğunu önermek istemiyorum, ancak bu, 100,000 dolar mı yoksa 80,000 dolar mı yoksa 42,000 dolar mı ödeyeceğinize karar vermek için önceden pazarlık yaptığınız gibi değil.
Onlara tutarı ödersiniz… pazarlık yok, sohbet yok, e-posta yok, anlık mesajlaşma yok, destek forumu yok.
Parayı sadece belirlenmiş bitcoin adresine gönderirsiniz ve açıkçası izledikleri bitcoin adreslerinin bir listesine sahip olurlar.
Para geldiğinde ve geldiğini gördüklerinde, sizin (ve yalnızca sizin) ödeme yaptığınızı bilirler çünkü bu cüzdan kodu benzersizdir.
Ve daha sonra, etkin bir şekilde (dünyadaki en büyük hava alıntılarını kullanıyorum) blok zincirinde bir “geri ödeme”, Doug, sıfır dolarlık bir bitcoin işlemi kullanarak yapıyorlar.
Ve bu cevap, o işlem aslında bir yorum içeriyor. (Unutmayın Çoklu Ağlar kesmek? “Sevgili Bay Beyaz Şapka, bize tüm parayı geri vermeyecek misiniz?” demek için Ethereum blok zinciri yorumlarını kullanıyorlardı.)
Dolandırıcılara para ödüyorsunuz, böylece onlarla etkileşim kurmak istediğiniz mesajını veriyorsunuz ve onlar da size 0$ artı 32 onaltılık karakterlik bir yorum ödüyorlar…
…bu, ihtiyacınız olan 16 bitlik şifre çözme anahtarı olan 128 ham ikili bayttır.
Onlarla böyle konuşuyorsun.
Ve görünüşe göre, bunu bir T'ye indirdiler - Michael'ın dediği gibi, aldatmaca işe yarıyor.
Ve Michael'ın sahip olduğu tek sorun, bitcoin satın almaya veya blok zinciri verileriyle çalışmaya ve bu dönüş kodunu çıkarmaya alışık olmamasıydı; bu, temelde 0 $ karşılığında geri aldığı işlem "ödeme" işlemindeki yorumdur.
Yani teknolojiyi çok sinsi şekillerde kullanıyorlar.
Temel olarak, blok zincirini hem bir ödeme aracı hem de bir iletişim aracı olarak kullanıyorlar.
DOUG. Pekala, gerçekten çok ilginç bir hikaye.
Buna dikkat edeceğiz.
Ve bu yorumu gönderdiğiniz için çok teşekkür ederim, Michael.
İletmek istediğiniz ilginç bir hikayeniz, yorumunuz veya sorunuz varsa, podcast'te okumayı çok isteriz.
Tips@sophos.com adresine e-posta gönderebilir, makalelerimizden herhangi biri hakkında yorum yapabilir veya sosyal medyadan bize ulaşabilirsiniz: @NakedSecurity.
Bugünkü programımız bu – dinlediğiniz için çok teşekkürler.
Paul Ducklin için, ben Doug Aamoth, bir dahaki sefere kadar size şunu hatırlatıyorum...
HER İKİSİ DE. Güvende kalın.
[MÜZİKAL MODEM]
- blockchain
- zeka
- cryptocurrency cüzdanlar
- kripto değişimi
- siber güvenlik
- Siber suç
- siber suçluların
- Siber güvenlik
- Sürgü
- iç güvenlik bakanlığı
- dijital cüzdanlar
- güvenlik duvarı
- Kaspersky
- kötü amaçlı yazılım
- Mcafee
- Çıplak Güvenlik
- Çıplak Güvenlik Podcast'ı
- NexBLOC
- Platon
- plato yapay zekası
- Plato Veri Zekası
- Plato Oyunu
- PlatoVeri
- plato oyunu
- podcast
- fidye
- VPN
- web sitesi güvenliği
- zefirnet
- Zero Day
