S3 Ep108: Ви сховали ТРИ МІЛЬЯРДИ доларів у банку з попкорном?

Натисніть і перетягніть звукові хвилі нижче, щоб перейти до будь-якої точки. Ви також можете слухати безпосередньо на Soundcloud.

ДУГ.  Шахрайство в Твіттері, вівторок оновлень і злочинці, які зламують злочинців.

Усе це та багато іншого в подкасті Naked Security.

[МУЗИЧНИЙ МОДЕМ]

Ласкаво просимо в подкаст, усі.

Я Дуг.

Він Пол Даклін.

Павле, як ти сьогодні?

---

КАЧКА.  Дуже добре, Дуг.

Ми не мали місячного затемнення тут, в Англії, але я міг коротко побачити *повний* повний місяць крізь крихітну щілину в хмарах, яка виникла як єдина діра в усьому шарі хмар, коли я вийшов на вулицю гляньте!

Але у нас не було такого оранжевого місяця, як у вас, хлопці, у Массачусетсі.

---

ДУГ.  Почнемо шоу з Цей тиждень з історії технологій… це давнє минуле.

Цього тижня, 08 листопада 1895 року, німецький професор фізики Вільгельм Рентген натрапив на ще невідкриту форму випромінювання, що спонукало його називати це випромінювання просто «X».

Як на рентгені.

Як щодо цього... випадкового відкриття рентгенівських променів?

---

КАЧКА.  Досить дивно.

Пам’ятаю, мама мені розповідала: у 1950-х (напевно, у Штатах так само було), мабуть, у взуттєвих майстернях…

---

ДУГ.  [ЗНАЄ, ЩО БУДЕ] Так! [СМІЄТЬСЯ]

---

КАЧКА.  Люди брали б своїх дітей… ви стоїте в цій машині, одягаєте черевики і замість того, щоб просто говорити: «Пройдіться, вони тісні? Вони щипають?» Ви стояли біля рентгенівського апарату, який просто облив вас рентгенівським випромінюванням, зробив фото в реальному часі та сказав: «О так, вони потрібного розміру».

---

ДУГ.  Так, простіші часи. Трохи небезпечно, але…

---

КАЧКА.  ТРОХИ НЕБЕЗПЕЧНО?

Ви можете уявити собі людей, які працювали у взуттєвих майстернях?

Вони, напевно, весь час купалися в рентгенівських променях.

---

ДУГ.  Абсолютно… добре, сьогодні ми трохи безпечніші.

Що стосується безпеки, то перший вівторок місяця є патч-вівторком Microsoft.

So чого ми навчилися цього патч-вівторка в листопаді 2022 року?

Обмін 0-днів фіксовано (нарешті) – плюс 4 нові патчі у вівторок 0-днів!

---

КАЧКА.  Що ж, надзвичайно захоплююча річ, Дуг, полягає в тому, що технічно Patch Tuesday виправив не один, не два, не три… а *чотири* нульові дні.

Але насправді виправлення, які ви могли отримати для продуктів Microsoft у вівторок, виправили *шість* нульових днів.

Згадайте ті нульові дні Exchange, які, як відомо, не були виправлені минулого патча вівторка: CVE-2002-41040 і CVE-2022-41082, що стало відомо як ProxyNotShell?

S3 Ep102.5: Помилки обміну “ProxyNotShell” – говорить експерт [Аудіо + текст]

Що ж, це було виправлено, але, по суті, в окремій «побічній лінії» до виправлення вівторка: Exchange листопада 2022 SU або Оновлення програмного забезпечення, яке просто говорить:

Оновлення програмного забезпечення Exchange за листопад 2022 року містять виправлення вразливостей нульового дня, про які було відкрито 29 вересня 2022 року.

Все, що вам потрібно зробити, це оновити Exchange.

Ой, дякую, Microsoft… Я думаю, ми знали, що це те, що нам доведеться робити, коли нарешті вийшли патчі!

Отже, вони *вийшли*, і виправлено два нульові дні, але вони не нові, і технічно вони не в частині «Patch Tuesday».

Там у нас є чотири інші нульові дні.

І якщо ви вірите в пріоритетність латок, то, очевидно, це ті, з якими ви хочете мати справу в першу чергу, тому що хтось уже знає, як робити з ними погані речі.

Вони варіюються від обходу безпеки до двох підвищень привілеїв і одного віддаленого виконання коду.

Але їх більше ніж Всього 60 патчів, і якщо ви подивитеся на загальний список продуктів і компонентів Windows, яких це стосується, ви побачите величезний список, який, як завжди, містить усі компоненти/продукти Windows, про які ви чули, і багато з них, напевно, ні.

Microsoft виправляє 62 уразливості, включаючи Kerberos, Mark of the Web і Exchange...

Отже, як завжди: Не зволікайте/Зробіть це сьогодні, Дуглас!

---

ДУГ.  Дуже добре.

Давайте тепер поговоримо про значну затримку…

У вас є дуже цікава історія про Ринок наркотиків Шовкового шляху, а також нагадування про те, що злочинці, які крадуть у злочинців, усе ще є злочином, навіть якщо вас за це спіймають через десять років.

Хакер наркоринку Silk Road визнав себе винним, йому загрожує 20 років ув'язнення

---

КАЧКА.  Так, навіть люди, які зовсім не знайомі з кібербезпекою чи виходом в Інтернет, напевно, чули про «Шовковий шлях», можливо, перший добре відомий, масштабний, широко поширений, широко використовуваний ринок темної мережі, де в основному доступне все.

Отже, все згоріло в 2013 році.

Оскільки засновник, спочатку відомий лише як Жахливий пірат Робертs, але в кінцевому підсумку було виявлено Росс Ульбріхт… його погана оперативна безпека була достатньою, щоб прив’язати цю діяльність до нього.

Засновник Silk Road Росс Ульбріхт отримує довічне звільнення без умовно-дострокового звільнення

Мало того, що його операційна безпека була не дуже хорошою, але, здається, наприкінці 2012 року вони мали (можеш у це повірити, Дуг?) помилку в обробці платежів у криптовалюті…

---

ДУГ.  [ЗАДИХАЄТЬСЯ В УДАВНОМУ ЖАХУ]

---

КАЧКА.  …типу, який ми бачили повторювати багато разів з тих пір, який існував, не використовуючи належного подвійного обліку, де для кожного дебету є відповідний кредит і навпаки.

І цей зловмисник виявив, що якщо ви покладете трохи грошей на свій рахунок, а потім дуже швидко виплатите їх на інші рахунки, ви можете виплатити п’ять (або навіть більше) однакових біткойнів до того, як система зрозуміє, що перше списання пішло. через.

Тож ви можете по суті вкласти трохи грошей, а потім просто знімати їх знову і знову і знову, і отримати більший запас…

…і тоді ви можете повернутися до того, що можна назвати «циклом доїння криптовалюти».

І за підрахунками… слідчі не були впевнені, що він почав із власних 200–2000 біткойнів (ми не знаємо, купив він їх чи майнив), і дуже, дуже швидко перетворив їх на зачекай, Даг: 50,0000 XNUMX біткойнів!

---

ДУГ.  Ось це так!

---

КАЧКА.  Більше 50,000 XNUMX біткойнів просто так.

А потім, явно розраховуючи, що хтось це помітить, він втік і втік, поки був попереду з 50,000 XNUMX біткойнів…

…кожен коштує дивовижних 12 доларів, порівняно з частками цента лише кілька років тому. [СМІЄТЬСЯ]

Тож він втік із 600,000 XNUMX доларів просто так, Дуг.

[ДРАМАТИЧНА ПАУЗА]

Через дев'ять років…

[СМІХ]

…майже *рівно* через дев’ять років, коли його затримали, а його дім обшукали за ордером, поліція вирушила на обшук і знайшла в його шафі купу ковдр, під якою була захована банка з попкорном.

Дивне місце для зберігання попкорну.

Всередині якого був комп’ютеризований холодний гаманець.

Всередині якого була велика частка згаданих біткойнів!

У той час, коли його викрали, біткойни коштували приблизно 65,535 2 доларів (або XNUMX¹⁶-1) кожен.

За цей час вони зросли більш ніж у тисячу разів.

Отже, на той момент це був найбільший крах криптовалюти!

Через дев’ять років, мабуть, не зміг розпорядитися своїми нечесно здобутими доходами, можливо, боячись, що навіть якщо він спробує запхнути їх у стакан, усі пальці вкажуть на нього…

…у нього були всі ці біткойни на 3 мільярди доларів, які дев’ять років лежали в банці з попкорном!

---

ДУГ.  Боже мій.

---

КАЧКА.  Тож, сидячи на цьому страшному скарбі всі ці роки, розмірковуючи, чи його спіймають, тепер він думає: «Як довго я сидітиму у в’язниці?»

А максимальне покарання за звинуваченням, яке йому загрожує?

20 років, Дуг.

---

ДУГ.  Зараз відбувається ще одна цікава історія. Якщо ви останнім часом були в Твіттері, ви знаєте, що тут багато активності. кажучи дипломатично...

---

КАЧКА.  [ВІДТВОРЕННЯ БОБА ДІЛАНА ВІД НИЗЬКОЇ ТА СЕРЕДНЬОЇ ЯКОСТІ] Що ж, часи змінюються.

---

ДУГ.  …включаючи в один момент ідею стягувати 20 доларів за перевірений синій чек, що, звичайно, майже відразу спонукав до деяких шахрайств.

Шахрайство з електронною поштою Twitter Blue Badge – не попадіться на них!

---

КАЧКА.  Це просто нагадування, Дуг, що коли є щось, що привернуло великий інтерес, шахраї обов’язково підуть за нею.

І передумовою цього було: «Гей, чому б не прийти раніше? Якщо у вас уже є синя позначка, вгадайте що? Вам не доведеться платити 19.99 доларів на місяць, якщо ви попередньо зареєструєтесь. Ми дозволимо тобі зберегти це».

Ми знаємо, що це не була ідея Ілона Маска, як він про це заявив, але це те, що роблять багато компаній, чи не так?

Багато компаній нададуть вам певну вигоду, якщо ви залишитеся на цій службі.

Тож це не зовсім неймовірно.

Як ти кажеш... що ти йому дав?

Б-мінус, так?

---

ДУГ.  Я ставлю першому електронному листу B-мінус… можливо, вас можуть обдурити, якщо ви прочитаєте його швидко, але є деякі граматичні проблеми; щось не так.

І коли ви клацаєте, я б поставив цільовим сторінкам C-мінус.

Це стає ще складніше.

---

КАЧКА.  Це десь між 5/10 і 6/10?

---

ДУГ.  Так, скажімо так.

І ми маємо кілька порад, тому навіть якщо це шахрайство з оцінкою «A-plus», це не матиме значення, оскільки ви все одно зможете цьому запобігти!

Починаючи з мого особистого улюбленого: Використовуйте менеджер паролів.

Менеджер паролів вирішує багато проблем, коли справа стосується шахрайства.

---

КАЧКА.  Це робить.

Менеджер паролів не має людського інтелекту, який можна ввести в оману тим фактом, що гарна картинка правильна, або логотип ідеальний, або веб-форма знаходиться в правильному місці на екрані з точно таким же шрифтом , тож ви це впізнаєте.

Усе, що він знає, це: «Ніколи раніше не чув про цей сайт».

---

ДУГ.  І звичайно, увімкніть 2FA, якщо можете.

Завжди додавайте другий фактор автентифікації, якщо це можливо.

---

КАЧКА.  Звичайно, це не обов'язково захищає вас від вас самих.

Якщо ви заходите на підроблений сайт і вирішуєте: «Гей, це ідеальний піксель, це, мабуть, справжня справа», і ви маєте намір увійти, і ви вже ввели своє ім’я користувача та пароль, а потім він просить вас пройти процес 2FA...

…дуже ймовірно, що ви це зробите.

Однак це дає вам трохи часу, щоб зробити «Зупинись. Подумайте. Підключись». і скажіть собі: «Почекай, що я тут роблю?»

Отже, у певному сенсі, невелика затримка, яку вводить 2FA, насправді може бути не лише дуже невеликим клопотом, але й способом справді покращити ваш робочий процес із кібербезпеки… запровадивши стільки лежачого поліцейського, щоб ви були схильні прийняти кібербезпеку що трохи серйозніше.

Тож я насправді не бачу, у чому мінус.

---

ДУГ.  І, звісно, ​​ще одна стратегія, якої важко дотримуватися багатьом людям, але вона дуже ефективна, це уникайте посилань для входу та кнопок дій в електронній пошті.

Отже, якщо ви отримали електронний лист, не просто натискайте кнопку… перейдіть на сам сайт, і ви зможете досить швидко визначити, чи цей електронний лист був законним чи ні.

---

КАЧКА.  Загалом, якщо ви не можете повністю довіряти початковому листуванню, ви не можете покладатися на будь-які деталі в ньому, будь то посилання, яке ви збираєтеся натиснути, номер телефону, на який ви збираєтеся зателефонувати, адреса електронної пошти, яку ви збираєтесь зв’язатися з ними в обліковому записі Instagram, на який ви збираєтеся надсилати DM, яким би він не був.

Не використовуйте те, що міститься в електронному листі… знайдіть туди свій власний шлях, і ви замикаєте багато шахрайства такого роду.

---

ДУГ.  І, нарешті, останнє, але не менш важливе… це має бути здоровий глузд, але це не так: Ніколи не запитуйте відправника невизначеного повідомлення, чи воно законне.

Не відповідайте та не кажіть: «Гей, ти справді Twitter?»

---

КАЧКА.  Так, ти маєш рацію.

Тому що моя попередня порада: «Не покладайтеся на інформацію в електронному листі», наприклад, не телефонуйте на їхній номер телефону… у деяких людей виникає спокуса: «Ну, я зателефоную за номером телефону і перевірю, чи це справді це вони. [ІРОНІЧНО] Тому що, очевидно, якщо кухар відповість, вони назвуть свої справжні імена».

---

ДУГ.  Як ми завжди говоримо: Якщо ви сумніваєтеся/не віддавайте.

І це гарне застереження, ця наступна історія: коли перевірки безпеки, які є законними інструментами безпеки, розкрити більше, ніж вони повинні, що відбувається тоді?

Загальнодоступні інструменти сканування URL-адрес – коли безпека призводить до незахищеності

---

КАЧКА.  Це відомий у Німеччині дослідник на ім’я Фабіан Бройнляйн… ми згадували про нього кілька разів раніше.

Він повернувся з докладним звітом під назвою urlscan.ioМісце SOAR: балакучі інструменти безпеки витікають особисті дані.

І в цьому випадку це так urlscan.io, веб-сайт, яким ви можете користуватися безкоштовно (або як платну послугу), де ви можете надіслати URL-адресу, або доменне ім’я, або IP-номер, або будь-що інше, і ви можете переглянути «Що знає спільнота про це?"

І він покаже повну URL-адресу, про яку запитували інші люди.

І це не просто те, що люди копіюють і вставляють за власним вибором.

Інколи їхня електронна пошта, наприклад, може проходити через інструмент фільтрації третьої сторони, який сам витягує URL-адреси, дзвінки додому urlscan.io, виконує пошук, отримує результат і використовує його, щоб прийняти рішення про сміття, блокування спаму чи пропускання повідомлення.

А це означає, що іноді, якщо URL-адреса містить секретні чи напівсекретні дані, особисту інформацію, інші люди, які випадково шукали потрібне доменне ім’я протягом короткого періоду після цього, побачать усі URL-адреси, які шукали, включно з речі, які можуть бути в URL-адресі.

Ви знаєте, як blahblah?username=doug&passwordresetcode= за яким йде довгий рядок шістнадцяткових символів тощо.

І Брейнлайн склав захоплюючий список типів URL-адрес, зокрема тих, які можуть з’являтися в електронних листах, які можуть регулярно надсилатися третій стороні для фільтрації, а потім індексуватися для пошуку.

Типи електронних листів, які, на його думку, безперечно придатні для використання, включали, але не обмежувалися: посилання для створення облікового запису; Посилання на доставку подарунків Amazon; ключі API; Запити на підпис DocuSign; передача файлів у Dropbox; відстеження посилок; скидання пароля; Рахунки PayPal; обмін документами Google Drive; Запрошення SharePoint; і посилання для скасування підписки на інформаційний бюлетень.

Не вказуючи пальцем на SharePoint, Google Drive, PayPal тощо.

Це були лише приклади URL-адрес, на які він наткнувся, які потенційно можна було використати таким чином.

---

ДУГ.  У кінці цієї статті ми маємо кілька порад, які зводяться до: прочитайте звіт Брейнлайна; читати urlscan.ioпублікація в блозі; зробити власний огляд коду; якщо у вас є код, який виконує пошук безпеки в Інтернеті; дізнатися, які функції конфіденційності існують для онлайн-подання; і, що важливо, дізнайтеся, як повідомляти онлайн-сервісу про недостовірні дані, якщо ви їх бачите.

Я помітив, що є три… різновиди лімериків?

Дуже креативні міні-вірші в кінці цієї статті…

---

КАЧКА.  [МОК ХОРОР] Ні, це не лімерики! Лімерики мають дуже формальну структуру з п’яти рядків…

---

ДУГ.  [СМІЄТЬСЯ] Мені дуже шкода. Це правда!

---

КАЧКА.  …і для метра, і для рими.

Дуже структуровано, Дуг!

---

ДУГ.  Мені так шкода, так правда. [СМІЄТЬСЯ]

---

КАЧКА.  Це просто доггер. [СМІХ]

Ще раз: Якщо ви сумніваєтеся/не віддавайте.

А якщо ви збираєте дані: Якщо це не повинно бути в / Покладіть його прямо в смітник.

І якщо ви пишете код, який викликає публічні API, які можуть розкривати дані клієнтів: Ніколи не змушуйте своїх користувачів плакати, як ви називаєте API.

---

ДУГ.  [СМІЄТЬСЯ] Це новий для мене, і він мені дуже подобається!

І останнє, але не менш важливе в нашому списку тут, ми тиждень за тижнем говорили про цю помилку безпеки OpenSSL.

Велике питання зараз полягає в тому, "Як ви можете сказати що потрібно виправити?»

Історія оновлення безпеки OpenSSL – як визначити, що потрібно виправити?

---

КАЧКА.  Дійсно, Дуг, як ми дізнаємося, яку версію OpenSSL ми маємо?

І очевидно, що в Linux ви просто відкриваєте командний рядок і вводите openssl version, і він повідомляє вам версію, яку ви маєте.

Але OpenSSL — це бібліотека програмування, і немає правила, яке б стверджувало, що програмне забезпечення не може мати власну версію.

Ваш дистрибутив може використовувати OpenSSL 3.0, але є програма, яка каже: «О, ні, ми не оновили до нової версії. Ми віддаємо перевагу OpenSSL 1.1.1, оскільки він все ще підтримується, і якщо у вас його немає, ми пропонуємо нашу власну версію».

І тому, на жаль, як і в тому сумнозвісному випадку Log4Shell, вам довелося шукати трьох? 12? 154? хто-зна-скільки місць у вашій мережі, де у вас може бути застаріла програма Log4J.

Те саме для OpenSSL.

Теоретично інструменти XDR або EDR можуть сказати вам, але деякі не підтримують це, а багато хто відмовлятиметься: насправді запустіть програму, щоб дізнатися, яка вона версія.

Тому що, врешті-решт, якщо це помилка або неправильна, і вам справді потрібно запустити програму, щоб вона повідомила про свою власну версію…

…це відчуття, наче поставити віз попереду коня, чи не так?

Тому ми опублікували статтю для тих особливих випадків, коли ви дійсно хочете завантажити DLL або спільну бібліотеку, і ви насправді хочете викликати її власну TellMeThyVersion() програмний код.

Іншими словами, ви настільки довіряєте програмі, що завантажуєте її в пам’ять, виконуєте її та запускаєте якийсь її компонент.

Ми покажемо вам, як це зробити, щоб ви могли бути абсолютно впевнені, що будь-які сторонні файли OpenSSL, які ви маєте у своїй мережі, актуальні.

Тому що, хоча цей рівень було знижено з КРИТИЧНОГО до ВИСОКОГО, це все одно помилка, яку ви повинні і хочете виправити!

---

ДУГ.  Що стосується серйозності цієї помилки, ми отримали цікаве питання від читача Naked security Svet, який частково пише:

Як сталося, що помилка, яка є надзвичайно складною для експлуатації та може використовуватися лише для атак на відмову в обслуговуванні, продовжує класифікуватися як ВИСОКА?

---

КАЧКА.  Так, я думаю, він сказав щось на тему: «О, хіба команда OpenSL не чула про CVSS?», який є урядовим стандартом США, якщо хочете, для кодування рівня ризику та складності помилок у спосіб, який можна автоматично фільтруються скриптами.

Отже, якщо він має низький бал CVSS (що є Загальна система оцінювання вразливості), чому люди в захваті від цього?

Чому він має бути ВИСОКИМ?

І тому моя відповідь була: «Чому *не* має бути ВИСОКО?»

Це помилка в криптографічному механізмі; це може призвести до збою програми, скажімо, яка намагається отримати оновлення... тож вона виникатиме збій знову і знову і знову, що є дещо більшим, ніж просто відмова в обслуговуванні, тому що це фактично заважає вам належним чином забезпечувати безпеку.

Є елемент охоронного обходу.

І я думаю, що інша частина відповіді, коли мова йде про вразливості, які перетворюються на експлойти: «Ніколи не кажи ніколи!»

Коли у вас є щось на кшталт переповнення буфера стека, де ви можете маніпулювати іншими змінними в стеку, можливо, включно з адресами пам’яті, завжди буде шанс, що хтось може знайти працездатний експлойт.

І проблема, Дуг, полягає в тому, що коли вони це з’ясували, не має значення, наскільки складним було це з’ясувати…

…коли ви знаєте, як це використовувати, *будь-хто* зможе це зробити, тому що ви можете продати їм код для цього.

Я думаю, ви знаєте, що я збираюся сказати: «Не те, щоб я сильно переживав з цього приводу».

[СМІХ]

Знову ж таки, це одна з тих речей: «Будь проклята, якщо вони роблять, проклята, якщо вони не роблять».

---

ДУГ.  Дуже добре. Щиро дякую, Свете, що написав цей коментар і надіслав його.

Якщо у вас є цікава історія, коментар або запитання, яке ви хотіли б надіслати, ми будемо раді прочитати це в подкасті.

Ви можете надіслати нам електронний лист на tips@sophos.com, ви можете прокоментувати будь-яку з наших статей або зв’язатися з нами в соціальних мережах: @nakedsecurity.

Це наше шоу на сьогодні; дуже дякую, що вислухали.

Для Пола Дакліна я Дуг Аамот, нагадую вам до наступного разу…

---

ОБИМ.  Будьте в безпеці!