LISTEN NOW
与道格·阿莫斯和保罗·达克林一起。
介绍和结尾音乐 伊迪丝·马奇.
单击并拖动下面的声波以跳到任何一点。你也可以 直接听 在 Soundcloud 上。
你可以听我们的 的SoundCloud, 苹果播客, Google播客, Spotify, 缝 以及任何可以找到好的播客的地方。 或者只是放下 我们的 RSS 提要的 URL 进入你最喜欢的播客。
阅读成绩单
道格。 死锁——它回来了!
补丁丰富!
还有时区……是的,时区。
所有这些,以及更多,都在 Naked Security 播客上。
[音乐调制解调器]
欢迎大家收看播客。
我是道格·阿莫斯。
和往常一样,和我在一起的是保罗·达克林。
保罗,我的朋友,第 100 集非常快乐!
鸭。 哇,道格!
你知道,当我开始我的 Series 3 目录结构时,我大胆地使用了 -001 第一集。
道格。 我没有。 [笑]
鸭。 不 -1 or -01.
道格。 聪明的…
鸭。 我有很大的信心!
当我保存今天的文件时,我会为之欢欣鼓舞。
道格。 是的,我会害怕它,因为它会弹出到顶部。
好吧,我稍后将不得不处理这个问题……
鸭。 [笑] 你可以重命名所有其他的东西。
道格。 我知道我知道。
[喃喃自语] 不期待……我的星期三就这样过去了。
无论如何,让我们从一些技术历史开始。
本周,即 12 年 1959 月 XNUMX 日, Luna 2,也被称为 第二颗苏联宇宙火箭,成为第一艘到达月球表面的航天器,也是第一个与另一个天体接触的人造物体。
很酷。
鸭。 那长长的名字是什么?
“苏联第二枚宇宙火箭”?
道格。 是的。
鸭。 月神二 好多了。
道格。 是的,更好!
鸭。 显然,正如你可以想象的那样,鉴于那是太空竞赛时代,有人担心,“我们怎么知道他们真的做到了? 他们可以说他们已经登陆月球,也许他们正在编造。”
显然,他们设计了一个允许独立观察的协议。
他们预测了它到达月球、坠入月球的时间,并将他们预期的确切时间发送给英国的一位天文学家。
他独立观察,看看他们所说的*会*发生在那个时候*确实*发生过。
所以他们甚至想,“你如何验证这样的事情?”
道格。 好吧,关于复杂的事情,我们有来自微软和苹果的补丁。
那么最新一轮有什么值得注意的呢?
鸭。 我们当然会这样做——这是本周的星期二补丁,本月的第二个星期二。
星期二补丁中有两个漏洞对我来说是值得注意的。
一个值得注意,因为它显然是在野外——换句话说,它是一个零日。
虽然它不是远程代码执行,但有点令人担忧,因为它是一个 [COUGHS APOLOGETICALLY] 日志文件漏洞,Doug!
这并不像 不如 Log4J,你不仅可以让记录器行为不端,还可以让它 运行任意代码 为你。
但是,如果您将某种格式错误的数据发送到 Windows 通用日志文件系统驱动程序 CLFS 中,那么您似乎可以欺骗系统将您提升为系统权限。
如果您以访客用户身份进入,那总是很糟糕,然后您就可以将自己变成系统管理员……
道格。 [笑] 是的!
鸭。 就是说 CVE-2022-37969.
还有一个我觉得很有趣的……
…幸运的是不是在野外,但这是你真正需要修补的一个,因为我敢打赌,这是网络犯罪分子将重点放在逆向工程的一个:
“Windows TCP/IP 远程代码执行漏洞”, CVE-2022-34718.
如果你记得 红色代码及 SQL Slammer,以及过去那些顽皮的蠕虫,它们只是以网络数据包的形式到达,然后塞进系统……
这是比这还要低的一个层次。
显然,错误在于处理某些 IPv6 数据包。
因此,任何 IPv6 正在监听的设备,几乎是任何 Windows 计算机,都可能因此受到威胁。
就像我说的那样,那个不在野外,所以骗子还没有找到它,但我不怀疑他们会采取补丁并试图弄清楚他们是否可以逆向工程利用它,抓到还没打补丁的人。
因为如果有什么说,“哇! 如果有人写了一个使用它的蠕虫怎么办?”……那是我会担心的。
道格。 确定。
然后到苹果……
鸭。 我们最近写了两篇关于苹果补丁的故事,突然之间,有针对 iPhone、iPad 和 Mac 的补丁 两个疯狂的零日.
一个是浏览器错误,或者是与浏览相关的错误,这样你就可以进入一个看起来很无辜的网站,恶意软件可能会登陆你的计算机,另外一个是给你内核级控制的......
……正如我在上一个播客中所说,对我来说闻起来像间谍软件——间谍软件供应商或真正严重的“监视网络骗子”会感兴趣的东西。
然后有第二次更新,令我们惊讶的是, 适用于iOS 12,我们都认为早已被抛弃。
在那里,其中一个错误(与浏览器相关的允许骗子闯入的错误)得到了补丁。
然后,就在我期待 iOS 16 的时候,所有这些电子邮件突然开始进入我的收件箱——就在我检查“iOS 16 出来了吗? 我可以更新吗?”
它不存在,但后来我收到所有这些电子邮件,上面写着:“我们刚刚更新了 iOS 15、macOS Monterey、Big Sur 和 iPadOS 15”……
……结果发现有一大堆更新,这次还有一个全新的内核零日漏洞。
有趣的是,在收到通知后,我想,“好吧,让我再检查一下……”
(所以你可以记住,它是 个人设置 > 其他咨询 > 在 iPhone 或 iPad 上。)
瞧,我收到了 iOS 15 的更新,我已经有了,*或者*我可以一直跳到 iOS 16。
iOS 16 也有这个零日修复(尽管理论上 iOS 16 还没有发布),所以我猜这个 bug 也存在于 beta 中。
它并未在 Apple 的 iOS 16 公告中被正式列为零日漏洞,但我们无法判断这是否是因为 Apple 看到的漏洞在 iOS 16 上无法正常工作,或者它是否不被视为零日漏洞 -天,因为 iOS 16 才刚刚问世。
道格。 是的,我想说:还没有人拥有它。 [笑声]
鸭。 这是来自 Apple 的重大新闻。
重要的是,当您打开手机说“哦,iOS 16 可用”...更新,因为内核零日。
内核零天总是一个问题,因为这意味着那里有人知道如何绕过 iPhone 上大肆吹嘘的安全设置。
该错误也适用于 macOS Monterey 和 macOS Big Sur——即之前的版本 macOS 11。
事实上,不甘示弱,Big Sur 实际上有 *两个* 内核零日漏洞。
没有关于 iOS 12 的消息,这是我所期望的,而 macOS Catalina 到目前为止也没有任何消息。
Catalina 是 macOS 10,之前的版本,我们不知道该更新是否会在以后发布,或者它是否已经脱离了世界的边缘并且无论如何都不会获得更新。
可悲的是,苹果没有说,所以我们不知道。
现在,大多数 Apple 用户都会开启自动更新,但是,正如我们常说的,一定要去检查一下(无论你有 Mac、iPhone 还是 iPad),因为最糟糕的事情就是假设你的自动更新更新工作并确保您的安全......
……事实上,出了点问题。
道格。 好的,棒极了。
现在,我一直期待的事情是:“时区与 IT 安全有什么关系?”
鸭。 嗯,很多,事实证明,道格。
道格。 [笑] 是的,先生!
鸭。 时区在概念上非常简单。
它们对我们的生活非常方便,因此我们的时钟大致与天空中发生的事情相匹配——所以晚上很黑,白天很亮。 (让我们忽略夏令时,假设我们在世界各地只有一小时的时区,所以一切都很简单。)
当您实际上将系统日志保存在您的一些服务器、一些用户、网络的某些部分、您的一些客户位于世界其他地方的组织中时,就会出现问题。
当您写入日志文件时,您是否写入考虑时区的时间?
道格,当你写日志时,你是否减去了所需的 5 小时(或目前的 4 小时),因为你在波士顿,而我加了 XNUMX 小时,因为我在伦敦时间,但现在是夏天?
我是否将其写在日志中,以便在我读回日志时对*我*有意义?
或者我是否为*每个人*使用相同的时区编写更规范、更明确的时间,所以当我比较来自网络上不同计算机、不同用户、世界不同地区的日志时,我实际上可以排列事件?
Doug,将事件排成一列非常重要,尤其是当您在网络攻击中进行威胁响应时。
你真的需要知道什么是最先出现的。
如果你说,“哦,直到下午 3 点才发生”,如果我在悉尼,这对我没有帮助,因为与你的下午 3 点相比,我的下午 3 点是昨天发生的。
所以我 写了一篇文章 在 Naked Security 上,您可以了解一些方法 处理这个问题 当您记录数据时。
我个人的建议是使用一种简化的时间戳格式,称为 RFC 3339, 你放一个四位数的年份,破折号[连字符,ASCII 0x2D],两位数的月份,破折号,两位数的日期,等等,这样你的时间戳实际上就按字母顺序排列得很好。
并且您将所有时区记录为一个 tme zone,称为 Z (zed 或 zee),简称 祖鲁时间.
这基本上意味着 UTC 或协调世界时。
这几乎是格林威治标准时间,但几乎是格林威治标准时间,而现在几乎每台计算机或手机的时钟实际上都设置为内部时间。
当你写日志时,不要试图补偿时区,因为当有人试图将你的日志与其他人的日志对齐时,他们将不得不进行补偿——而且在杯子和嘴唇之间有很多滑动,道格。
保持简单。
使用规范的、简单的文本格式,准确描述日期和时间,精确到秒 - 或者,现在,如果你愿意,时间戳甚至可以精确到纳秒。
并从您的日志中删除时区; 从您的日志中摆脱夏令时; 在我看来,在协调世界时记录一切……
…令人困惑地缩写为 UTC,因为名称是英文的,但缩写是法文的——有点讽刺。
道格。 是的。
鸭。
我很想像往常一样,笑着说,“不是我对此有强烈的感觉,再次”……
……但以正确的顺序处理事情确实很重要,尤其是当您试图追查网络犯罪分子时。
道格。 好吧,这很好——很好的建议。
如果我们继续关注网络犯罪分子,您一定听说过中间操纵者攻击; 您听说过浏览器中的操纵器攻击……
..现在为浏览器中的浏览器攻击做好准备。
鸭。 是的,这是我们看到的一个新术语。
我想写这篇文章是因为一家名为 Group-IB 的威胁情报公司的研究人员最近写了一篇关于此的文章,媒体开始谈论,“嘿,浏览器中的浏览器攻击,非常害怕”,或者其他什么…
你在想,“好吧,我想知道有多少人真正知道浏览器中的浏览器攻击是什么意思?”
Doug,这些攻击令人讨厌的地方在于,它们在技术上非常简单。
这是一个如此简单的想法。
道格。 他们几乎是艺术的。
鸭。 没错!
这不是真正的科学和技术,而是艺术和设计,不是吗?
基本上,如果你曾经做过任何 JavaScript 编程(无论是好是坏),你就会知道你粘在网页上的东西之一就是它被限制在那个网页上。
因此,如果您弹出一个全新的窗口,那么您会期望它获得一个全新的浏览器上下文。
如果它从一个全新的站点加载它的页面,比如一个钓鱼站点,那么它就无法访问所有的 JavaScript 变量、上下文、cookie 和主窗口的所有内容。
所以,如果你打开一个单独的窗口,如果你是个骗子,你就会限制你的黑客能力。
但是,如果您在当前窗口中打开某些东西,那么您在使它看起来多么令人兴奋和“系统化”方面受到很大限制,不是吗?
因为您无法覆盖地址栏……这是设计使然。
你不能在浏览器窗口之外写任何东西,所以你不能偷偷地把一个看起来像墙纸的窗口放在桌面上,就像它一直在那里一样。
换句话说,您被困在您开始使用的浏览器窗口中。
因此,浏览器中的浏览器攻击的想法是,您从一个常规网站开始,然后在您已经拥有的浏览器窗口中创建一个本身看起来与操作系统浏览器窗口完全相同的网页.
基本上,您向某人展示真实事物的*图片*,并说服他们*是*真实事物。
就这么简单,道格!
但问题是,只要稍加小心,特别是如果你有良好的 CSS 技能,你*可以*实际上使现有浏览器窗口中的某些东西看起来像它自己的浏览器窗口。
使用一点 JavaScript,你甚至可以让它可以调整大小,让它可以在屏幕上四处移动,你可以用从第三方网站获取的 HTML 填充它。
现在,您可能想知道……如果骗子做对了,您到底怎么知道?
好消息是你可以做一件绝对简单的事情。
如果你看到一个看起来像操作系统窗口的东西并且你以任何方式怀疑它(它基本上会出现在你的浏览器窗口上,因为它必须在里面)......
…尝试将它移出真正的浏览器窗口*,如果它被“囚禁”在浏览器中,你知道这不是真正的交易!
Group-IB 研究人员报告的有趣之处在于,当他们发现这一点时,骗子实际上是在使用它来对付 Steam 游戏的玩家。
而且,当然,它希望您登录您的 Steam 帐户……
……如果你被第一页骗了,那么它甚至会跟进 Steam 的双因素身份验证验证。
诀窍在于,如果这些真正 * 是 * 单独的窗口,您可以将它们拖到主浏览器窗口的一侧,但事实并非如此。
在这种情况下,幸运的是,厨师们没有很好地完成他们的 CSS。
他们的作品是劣质的。
但是,正如你和我在播客中多次谈到的那样,Doug,有时有些骗子会努力让事情看起来像像素一样完美。
使用 CSS,您实际上可以定位单个像素,不是吗?
道格。 CSS 很有趣。
这是 层叠样式表... 一种用于样式化 HTML 文档的语言,它非常容易学习,但更难掌握。
鸭。 [笑] 听起来确实是这样。
道格。 [笑] 是的,就像很多事情一样!
但这是您学习 HTML 后首先要学习的内容之一。
如果你在想,“我想让这个网页看起来更好”,那么你学习 CSS。
因此,查看您从文章中链接到的源文档中的一些示例,您可以看出,除非您真的很擅长 CSS,否则很难做一个非常好的假货。
但如果你做对了,就很难确定这是一个假文件……
…除非你按照你说的去做:试着把它从一个窗口拉出来,然后在你的桌面上移动,诸如此类。
这就引出了您的第二点:仔细检查可疑窗口。
他们中的很多人可能不会通过视力测试,但如果他们通过了,那将很难被发现。
这将我们引向第三件事……
“如果有疑问/不要透露。”
如果它看起来不太对劲,并且您无法确定有什么奇怪的事情正在发生,那就跟着韵律走吧!
鸭。 值得怀疑的未知网站,您以前从未使用过的网站,突然说,“好的,我们将要求您在 Google 窗口中使用您的 Google 帐户登录,或者在 Facebook 窗口中使用 Facebook 登录。 ”
或在 Steam 窗口中进行 Steam。
道格。 是的。
我讨厌在这里使用 B 字,但这在其简单性方面几乎是绝妙的。
但同样,使用 CSS 之类的东西很难实现像素完美匹配。
鸭。 我认为要记住的重要一点是,因为模拟的一部分是浏览器的“chrome”[浏览器用户界面组件的行话],所以地址栏看起来是正确的。
它甚至可能看起来很完美。
但问题是,它不是地址栏……
…这是地址栏的*图片*。
道格。 究竟!
好吧,大家小心点!
而且,说到看起来不像的事情,我正在阅读有关 DEADBOLT 勒索软件和 QNAP NAS 设备的信息,我感觉就像我们不久前刚刚讨论了这个确切的故事。
鸭。 是的,我们已经 关于这个写 不幸的是,今年到目前为止,Naked Security 上几次。
这是其中一种情况,对骗子有用的东西曾经成功过两次、三次、四次、五次。
和 NAS,或 网络附加存储 设备,如果你愿意的话,是你可以去购买的黑盒服务器——它们通常运行某种 Linux 内核。
这个想法是,不必购买 Windows 许可证或学习 Linux,而是安装 Samba、设置它、学习如何在网络上进行文件共享……
…你只需插入这个设备,“Bingo”,它就开始工作了。
它是一个可通过网络访问的文件服务器,不幸的是,如果文件服务器中存在漏洞并且您(由于意外或设计)使其可以通过互联网访问,那么骗子可能能够利用该漏洞,如果有一个那个 NAS 设备,从远处看。
他们可能能够扰乱您的网络(无论是家庭网络还是小型企业网络)的关键存储位置上的所有文件,并且基本上可以让您勒索赎金,而不必担心攻击您的笔记本电脑和手机等其他个人设备网络。
因此,他们不需要弄乱感染您的笔记本电脑的恶意软件,也不需要像传统的勒索软件犯罪分子那样闯入您的网络并四处游荡。
他们基本上会打乱你所有的文件,然后——出示赎金票据——他们只是改变了(我不应该笑,Doug)......他们只是改变了你的 NAS 设备上的登录页面。
所以,当你发现你所有的文件都乱七八糟,你想,“这很有趣”,然后你用你的网络浏览器进入并在那里连接时,你不会得到密码提示!
您会收到警告:“您的文件已被 DEADBOLT 锁定。 发生了什么? 你所有的文件都被加密了。”
然后是关于如何付款的说明。
道格。 他们还好心地提出,QNAP 可以拿出一笔巨款来为每个人解锁文件。
鸭。 我在 最新文章 在 nakedsecurity.sophos.com 上显示:
1. 0.03比特币的个人解密,这个东西刚普及的时候大约1200美元,现在大约600美元。
2. BTC 5.00 选项,QNAP 被告知该漏洞以便他们修复它,显然他们不会支付费用,因为他们已经知道该漏洞。 (这就是为什么在这种特殊情况下有一个补丁。)
3. 正如你所说,有一个 BTC 50 选项(现在是 1 万美元;第一个故事第一次爆发时是 2 万美元)。 显然,如果 QNAP 代表任何可能被感染的人支付 1,000,000 美元,如果您不介意,骗子将提供主解密密钥。
如果您查看他们的 JavaScript,它实际上会检查您输入的密码是否与*两个*哈希值之一匹配。
一个是您的感染所独有的——骗子每次都对其进行自定义,因此 JavaScript 中包含哈希值,并且不会泄露密码。
还有另一个哈希,如果你能破解它,它看起来好像可以恢复世界上每个人的主密码......
......我认为那只是骗子对每个人都嗤之以鼻。
道格。 有趣的是,每个用户 600 美元的比特币赎金是……我不想说“不离谱”,但如果你看看这篇文章的评论部分,有几个人不仅在谈论支付了赎金…
…但是让我们在这里跳到我们的读者问题。
读者迈克尔分享了他对这次攻击的经历,他并不孤单——这个评论部分还有其他人报告了类似的事情。
在几条评论中,他说(我将对此发表坦率的评论):
“我经历过这一切,支付赎金后就没事了。 用我的解密密钥找到具体的返回码是最难的部分。 学到了最宝贵的一课。”
在他的下一个评论中,他经历了他必须采取的所有步骤,才能真正让事情重新开始。
他下马:
“我很尴尬地说我从事 IT 工作,已经工作了 20 多年,并且被这个 QNAP uPNP 错误所困扰。 很高兴能够度过难关。”
鸭。 哇,是的,这是一个很好的声明,不是吗?
几乎就像他在说,“我会支持自己反对这些骗子,但我输了赌注,花了我 600 美元和一大堆时间。”
啊!
道格。 他是什么意思 “带有他的描述键的特定返回码”?
鸭。 啊,是的,那是一个非常有趣的……非常有趣的。 (我尽量不在这里说 amazing-slash-brilliant。)[笑声]
我不想使用 C 词,并说它“聪明”,但有点意思。
怎么联系这些骗子? 他们需要电子邮件地址吗? 可以追查到吗? 他们需要一个黑暗的网站吗?
这些骗子没有。
因为,请记住,只有一个设备,并且恶意软件在攻击该设备时会被定制和打包,因此其中有一个唯一的比特币地址。
而且,基本上,你通过向他们的钱包支付指定数量的比特币来与这些骗子进行交流。
我想这就是为什么他们保持相对适度的金额......
…我不想建议每个人都有 600 美元可以作为赎金扔掉,但这并不是说你要预先协商决定你要支付 100,000 美元、80,000 美元还是 42,000 美元。
你付钱给他们……没有谈判,没有聊天,没有电子邮件,没有即时消息,没有支持论坛。
你只需将钱汇到指定的比特币地址,他们显然会有一份他们正在监控的比特币地址列表。
当钱到了,他们看到钱到了,他们就知道你(和你一个人)已经付了钱,因为那个钱包代码是独一无二的。
然后他们有效地(我正在使用世界上最大的空中报价)在区块链上“退款”,使用比特币交易到 Doug 的零美元金额。
那个回复,那个交易,实际上包括一个评论。 (记住 保利网络黑客? 他们正在使用以太坊区块链评论来尝试说,“亲爱的,白帽先生,你不会把所有的钱都还给我们吗?”)
所以你付钱给骗子,从而给出你想和他们互动的信息,他们还给你 0 美元加上一个 32 位十六进制字符的评论……
…这是 16 个原始二进制字节,这是您需要的 128 位解密密钥。
这就是你与他们交谈的方式。
而且,显然,他们已经将其归结为 T——就像迈克尔所说的那样,这个骗局确实奏效了。
迈克尔唯一的问题是他不习惯购买比特币,或者使用区块链数据并提取返回码,这基本上是他以 0 美元获得的交易“付款”中的注释。
因此,他们以非常狡猾的方式使用技术。
基本上,他们将区块链用作支付工具和通信工具。
道格。 好吧,确实是一个非常有趣的故事。
我们将密切关注这一点。
非常感谢迈克尔,您发送了该评论。
如果您想提交有趣的故事、评论或问题,我们很乐意在播客上阅读。
您可以发送电子邮件至tips@sophos.com,您可以评论我们的任何一篇文章,或者您可以在社交媒体上联系我们:@NakedSecurity。
这就是我们今天的节目——非常感谢您的收听。
对于 Paul Ducklin,我是 Doug Aamoth,提醒你,直到下一次……
两个都。 保持安全。
[音乐调制解调器]
![S3 Ep118:猜猜你的密码? 如果它已经被盗,则不需要! [音频+文字]](https://platoaistream.com/wp-content/uploads/2023/01/s3-ep118-guess-your-password-no-need-if-its-stolen-already-audio-text-360x188.png)
