爆米花罐装 XNUMX 亿美元?
无线电波如此神秘,人们只知道它是 X 射线。 在那里 六个 0 天 还是只有四个? 那些警察 找到了3亿美元 在爆米花罐中。 蓝色徽章 混乱。 何时 网址扫描 出错。 追踪 每一个 未打补丁的文件。 为什么即使不太可能的攻击也能获得“高”严重性级别。
单击并拖动下面的声波以跳到任何一点。你也可以 直接听 在 Soundcloud 上。
与道格·阿莫斯和保罗·达克林。 前奏和后奏音乐 伊迪丝·马奇.
你可以听我们的 的SoundCloud, 苹果播客, Google播客, Spotify, 缝 以及任何可以找到好的播客的地方。 或者只是放下 我们的 RSS 提要的 URL 进入你最喜欢的播客。
阅读成绩单
道格。 Twitter 诈骗、补丁星期二和黑客攻击罪犯。
所有这些以及更多关于 Naked Security 播客的内容。
[音乐调制解调器]
欢迎大家收听播客。
我是道格。
他是保罗·达克林。
保罗,你今天好吗?
鸭。 很好,道格。
我们在英国没有月食,但我确实通过云层中的一个小缝隙瞥见了*满*满月,当我走出去的那一刻,它是整个云层中唯一的空洞。看一看!
但是我们没有像你们在马萨诸塞州那样的橙色月亮。
道格。 让我们开始表演 科技史上的本周……这可以追溯到很久以前。
本周,即 08 年 1895 月 XNUMX 日,德国物理学教授威廉·伦琴 (Wilhelm Röntgen) 偶然发现了一种尚未被发现的辐射形式,这促使他将这种辐射简称为“X”。
就像在 X 射线中一样。
那怎么样…… X射线的意外发现?
鸭。 相当惊人。
我记得我妈妈告诉我:在 1950 年代(在美国一定是一样的),显然,在鞋店里……
道格。 [知道会发生什么]是的! [笑]
鸭。 人们会带他们的孩子进去……你会站在这台机器上,穿上鞋子,而不是只是说,“四处走走,它们紧吗? 它们会夹伤吗?”,你站在一台 X 光机上,它基本上只是让你沐浴在 X 射线辐射中,然后拍下一张实时照片,然后说,“哦,是的,它们的尺寸合适。”
道格。 是的,更简单的时代。 有点危险,但是……
鸭。 有点危险?
你能想象在鞋店工作的人吗?
他们一定一直都在接受 X 光照射。
道格。 绝对……好吧,我们今天安全了一点。
在安全方面,每个月的第一个星期二是微软的补丁星期二。
So 我们学到了什么 2022 年 XNUMX 月的这个补丁星期二?
鸭。 好吧,道格,最令人兴奋的是,从技术上讲,星期二补丁修复的不是一个、两个、三个……而是*四个*零日漏洞。
但实际上,周二您可以获得的 Microsoft 产品补丁修复了 *XNUMX* 个零日漏洞。
请记住那些臭名昭著的 Exchange 零日漏洞,这些漏洞在上个星期二的补丁中没有被修补:CVE-2002-41040 和 CVE-2022-41082,后来被称为 代理非Shell?
好吧,这些确实得到了修复,但本质上是补丁星期二的一个单独的“副业”:Exchange 2022 年 XNUMX 月 SU,或软件更新,它只是说:
2022 年 29 月 Exchange 软件更新包含对 2022 年 XNUMX 月 XNUMX 日公开报告的零日漏洞的修复。
您所要做的就是升级 Exchange。
哎呀,谢谢微软……我想我们知道当补丁最终出来时我们必须这样做!
所以,它们*已经*出来了,并且有两个零日漏洞被修复,但它们不是新的,而且从技术上讲,它们不属于“星期二补丁”部分。
在那里,我们修复了另外四个零日漏洞。
如果您相信对补丁进行优先排序,那么显然那些是您想要首先处理的,因为有人已经知道如何用它们做坏事。
这些范围从安全绕过到两次特权提升和一次远程代码执行。
但是有超过 总共60个补丁,如果您查看受影响的产品和 Windows 组件的总体列表,就会发现像往常一样,有一个庞大的列表,其中包含您听说过的每个 Windows 组件/产品,还有许多您可能没有听说过的。
所以,一如既往: 不要拖延/今天就做, 道格拉斯!
道格。 非常好。
现在让我们谈谈延迟……
你有一个非常有趣的故事 丝绸之路毒品市场,并提醒您,犯罪分子从犯罪分子那里偷窃仍然是犯罪行为,即使大约十年后您才真正因此被捕。
鸭。 是的,即使是对网络安全或上网还很陌生的人也可能听说过“丝绸之路”,这可能是第一个著名的、大牌的、广泛的、广泛使用的暗网市场,基本上什么都可以。
所以,这一切都在 2013 年付诸东流。
因为创始人,最初只被称为 恐怖海盗罗伯特s,但最终发现是 罗斯·乌布里希特......他糟糕的操作安全足以将活动与他联系起来。
不仅他的操作安全性不是很好,似乎在 2012 年底,他们(道格,你能相信吗?)加密货币支付处理失误......
道格。 [模拟恐怖中的喘息声]
鸭。 ......从那以后我们已经多次看到这种类型,它没有完全正确地进行复式记账,每笔借方都有相应的贷方,反之亦然。
这个攻击者发现,如果你把一些钱存入你的账户,然后很快地把它支付给其他账户,在系统意识到第一笔借记已经消失之前,你实际上可以支付五倍(甚至更多)相同的比特币通过。
所以你基本上可以存入一些钱,然后一遍又一遍地取出来,得到更多的钱……
......然后你可以回到你所谓的“加密货币挤奶循环”。
据估计……调查人员不确定,他开始时拥有 200 到 2000 个比特币(我们不知道他是买的还是挖的),然后他非常非常迅速地将它们变成了,等等,Doug:50,0000 个比特币!
道格。 哇!
鸭。 50,000万多个比特币,就这样。
然后,显然认为有人会注意到,他在领先 50,000 个比特币的时候偷偷跑了……
……每件价值惊人的 12 美元,而几年前还不到一美分。 [笑]
所以他就这样偷走了 600,000 万美元,道格。
[戏剧性的停顿]
九年后……
[笑声]
……几乎*正好*九年后,当他被捕并根据搜查令搜查他的家时,警察去搜查并在他的壁橱里发现了一堆毯子,下面藏着一个爆米花罐。
存放爆米花的奇怪地方。
里面是一种计算机化的冷钱包。
里面有很大一部分所说的比特币!
在他被捕时,比特币价格超过 65,535 美元(或 216-1) 每个。
在此期间,它们的价格上涨了 XNUMX 多倍。
所以,在当时,这是有史以来最大的加密货币泡沫破灭!
九年后,显然无法处理他的不义之财,也许害怕即使他试图将它们塞进不倒翁中,所有的手指都会指向他......
......他拥有所有价值 3 亿美元的比特币,这些比特币已经在爆米花罐中存放了 XNUMX 年!
道格。 我的天啊。
鸭。 所以,多年来一直坐在这个可怕的宝藏上,想知道他是否会被抓住,现在他想知道,“我要坐牢多久?”
他面临的指控的最高刑期是什么?
20 年,道格。
道格。 另一个有趣的故事正在发生。 如果您最近上过 Twitter,就会知道那里有很多活动。 外交地说……
鸭。 [低到中等质量的 BOB DYLAN 模仿] 好吧,时代在不断变化。
道格。 ......包括在某一时刻对经过验证的蓝色支票收取 20 美元的想法,当然,这几乎是立即的 引发了一些骗局.
鸭。 这只是一个提醒,道格,只要有什么东西引起了很大的兴趣,骗子肯定会效仿。
前提是,“嘿,为什么不早点进来? 如果你已经有了一个蓝色标记,你猜怎么着? 如果您预先注册,则无需每月支付 19.99 美元。 我们会让你保留它。
我们知道这不是 Elon Musk 的主意,正如他所说的那样,但这是许多企业所做的事情,不是吗?
如果您继续使用这项服务,许多公司会给您一些好处。
所以这并不完全令人难以置信。
正如你所说……你给了它什么?
B减,是吗?
道格。 我给最初的电子邮件打了 B 分……如果您快速阅读它,您可能会被骗,但是存在一些语法问题; 东西感觉不对。
然后一旦你点击,我会给登陆页面 C-minus。
那变得更加危险。
鸭。 介于 5/10 和 6/10 之间?
道格。 是的,这么说吧。
我们确实有一些建议,因此即使它是 A-plus 骗局,也没关系,因为无论如何您都可以阻止它!
从我个人最喜欢的开始: 使用密码管理器.
当涉及到诈骗时,密码管理器可以解决很多问题。
鸭。 确实如此。
密码管理器没有任何类似人类的智能,这些智能可能会被漂亮的图片是正确的,或者标志是完美的,或者网络表单在屏幕上的正确位置和完全相同的字体这一事实所误导,所以你认出来了。
它只知道:“以前从未听说过这个网站。”
道格。 而且当然, 如果可以的话,打开 2FA.
如果可能,请始终添加第二个身份验证因素。
鸭。 当然,这并不一定能保护您免受自己的伤害。
如果你去了一个假网站,你决定,“嘿,它像素完美,这一定是真的”,你决定登录,你已经输入了你的用户名和密码,然后它会要求您完成 2FA 流程……
……你很可能会那样做。
然而,它给了你一点时间来做“停止”。 思考。 连接。” 事情,然后对自己说,“等等,我在这里做什么?”
因此,在某种程度上,2FA 引入的一点点延迟实际上不仅可以带来非常小的麻烦,而且还是一种实际改善网络安全工作流程的方式……通过引入足够的减速带,让您倾向于采取网络安全措施那一点更严重。
所以我真的看不出有什么缺点。
道格。 当然,另一个很多人难以遵守但非常有效的策略是 避免电子邮件中的登录链接和操作按钮.
因此,如果您收到一封电子邮件,不要只点击按钮……转到网站本身,您将能够很快判断该电子邮件是否合法。
鸭。 基本上,如果你不能完全相信最初的通信,那么你就不能依赖其中的任何细节,无论是你要点击的链接、你要拨打的电话号码、你的电子邮件地址将通过您要向其发送 DM 的 Instagram 帐户与他们联系,无论它是什么。
不要使用电子邮件中的内容……找到你自己的方法,这样你就会绕过很多此类骗局。
道格。 最后,最后但并非最不重要的一点……这应该是常识,但事实并非如此: 永远不要询问不确定信息的发件人是否合法。
不要回复说,“嘿,你真的是 Twitter 吗?”
鸭。 是的,你说得很对。
因为我之前的建议,“不要依赖电子邮件中的信息”,比如不要打电话给他们的电话号码……有些人很想去,“好吧,我会打那个电话号码,看看是不是真的是他们。 [讽刺] 因为,很明显,如果厨师的回答,他们会提供他们的真实姓名。”
道格。 正如我们常说的: 如果有疑问/不要透露.
这是一个很好的警示故事,下一个故事:当安全扫描是合法的安全工具时, 比他们应该透露的更多,然后会发生什么?
鸭。 这是德国著名的研究员 Fabian Bräunlein……我们之前曾多次介绍过他。
他带着一份详细的报告回来了 urlscan.io的 SOAR 点:聊天安全工具泄露私人数据.
在这种情况下,它是 urlscan.io,一个您可以免费使用(或作为付费服务)的网站,您可以在其中提交 URL、域名、IP 号或任何内容,然后您可以查找“社区知道什么对这个?”
它将显示其他人询问的完整 URL。
这不仅仅是人们根据自己的选择复制粘贴的东西。
有时,例如,他们的电子邮件可能会通过第三方过滤工具,该工具本身会提取 URL、呼叫主页 urlscan.io、进行搜索、获取结果并使用该结果来决定是否将邮件作为垃圾邮件、垃圾邮件阻止或通过邮件。
这意味着有时,如果 URL 包含秘密或半秘密数据、个人身份信息,那么其他人在之后的短时间内恰好搜索正确的域名会看到所有搜索的 URL,包括URL 中可能包含的内容。
你知道,比如 blahblah?username=doug&passwordresetcode= 后接一长串十六进制字符,依此类推。
Bräunlein 提出了一个有趣的 URL 列表,特别是那些可能出现在电子邮件中的 URL,这些 URL 可能会定期发送给第三方进行过滤,然后被索引以供搜索。
他认为绝对可以利用的电子邮件类型包括但不限于:帐户创建链接; 亚马逊礼品配送链接; API密钥; DocuSign 签名请求; 保管箱文件传输; 包裹追踪; 密码重置; 贝宝发票; Google 云端硬盘文件共享; SharePoint 邀请; 和时事通讯退订链接。
不要指责 SharePoint、Google Drive、PayPal 等。
这些只是他遇到的可能以这种方式被利用的 URL 示例。
道格。 我们在那篇文章的末尾得到了一些建议,归结为:阅读 Bräunlein 的报告; 读 urlscan.io的博文; 自己做一次代码审查; 如果您有进行在线安全查找的代码; 了解在线提交有哪些隐私功能; 而且,重要的是,学习如何在看到流氓数据时向在线服务报告这些数据。
我注意到有三个……打油诗之类的?
文末很有创意的小诗……
鸭。 [MOCK HORROR] 不,他们不是打油诗! Limericks 有一个非常正式的五行结构......
道格。 [笑]我很抱歉。 确实如此!
鸭。 …对于米和押韵。
非常有条理,道格!
道格。 我很抱歉,真的。 [笑]
鸭。 这只是打油诗。 [笑声]
再来一次: 如果有疑问/不要透露.
如果您正在收集数据: 如果它不应该在里面/把它直接放在垃圾桶里.
如果您正在编写调用可能泄露客户数据的公共 API 的代码: 永远不要让你的用户哭泣/通过你调用 API 的方式.
道格。 [笑] 这对我来说是新的,我非常喜欢它!
最后,但同样重要的是,在我们的列表中,我们一周又一周地谈论这个 OpenSSL 安全漏洞。
现在最大的问题是,“你怎么知道 什么需要修理?”
鸭。 的确,道格,我们怎么知道我们有什么版本的 OpenSSL?
显然,在 Linux 上,您只需打开命令提示符并键入 openssl version,它会告诉您所拥有的版本。
但是OpenSSL是一个编程库,并没有规定软件不能有自己的版本。
你的发行版可能使用 OpenSSL 3.0,但有一个应用程序说,“哦,不,我们还没有升级到新版本。 我们更喜欢 OpenSSL 1.1.1,因为它仍然受支持,如果您没有,我们会带来我们自己的版本。”
因此,不幸的是,就像那个臭名昭著的 Log4Shell 案例一样,您必须去寻找这三个? 12? 154? 谁知道网络上有多少地方可能有过时的 Log4J 程序。
OpenSSL 也一样。
从理论上讲,XDR 或 EDR 工具可能会告诉您,但有些工具不支持这一点,许多人会阻止它:实际运行程序以找出它是什么版本。
因为,毕竟,如果它是错误的或错误的,你实际上必须运行程序才能让它报告自己的版本……
……这感觉就像本末倒置,不是吗?
因此,我们针对那些您实际上想要加载 DLL 或共享库的特殊情况发表了一篇文章,并且您实际上想要调用它自己的 TellMeThyVersion() 软件代码。
换句话说,您足够信任该程序,您将加载到内存中、执行它并运行它的某些组件。
我们向您展示了如何做到这一点,以便您可以绝对确定您网络上的任何外围 OpenSSL 文件都是最新的。
因为尽管这已从 CRITICAL 降级为 HIGH,但它仍然是您需要并想要修复的错误!
道格。 关于这个错误的严重性,我们得到了一个 有趣的问题 来自 Naked 安全读者 Svet,他部分写道:
一个非常复杂的利用漏洞,只能用于拒绝服务攻击,为什么会继续被归类为高级别?
鸭。 是的,我想他说了一些关于“哦,OpenSL 团队没有听说过 CVSS 吗?”,这是美国政府的标准,如果你愿意的话,用于以一种可以是的方式对错误的风险和复杂程度进行编码由脚本自动过滤。
因此,如果它的 CVSS 分数较低(即 常见漏洞评分系统),为什么人们对此感到兴奋?
为什么它应该是 HIGH?
所以我的回答是,“为什么*不应该*它是高的?”
这是密码引擎中的错误; 它可能会使一个程序崩溃,比如说,它正在尝试获取更新……因此它会一次又一次地崩溃,这不仅仅是拒绝服务,因为它实际上会阻止您正确执行安全措施。
有一个安全绕过的元素。
我认为答案的另一部分是,当涉及到漏洞被转化为漏洞时:“永不言败!”
当您遇到堆栈缓冲区溢出之类的问题时,您可以在其中操作堆栈上的其他变量,可能包括内存地址,总有可能有人会想出一个可行的漏洞利用。
问题是,道格,一旦他们弄清楚了,弄清楚有多复杂都没有关系……
......一旦你知道如何利用它,*任何人* 都可以做到,因为你可以向他们出售代码来这样做。
我想你知道我要说什么:“并不是说我对此有强烈的感觉。”
[笑声]
再一次,它是那些“如果他们这样做就该死,如果他们不这样做就该死”的事情之一。
道格。 非常好,非常感谢 Svet,感谢您撰写评论并将其发送。
如果您想提交有趣的故事、评论或问题,我们很乐意在播客上阅读。
您可以发送电子邮件至tips@sophos.com,您可以评论我们的任何一篇文章,或者您可以在社交媒体上联系我们:@nakedsecurity。
这就是我们今天的节目; 非常感谢您的聆听。
对于 Paul Ducklin,我是 Doug Aamoth,提醒您下次……
两个都。 保持安全!
