S3 Ep111: Forretningsrisikoen ved et snusket "nøgenhedsfilter" [Lyd + tekst]

Klik og træk på lydbølgerne nedenfor for at springe til ethvert punkt. Du kan også lytte direkte på Soundcloud.

DOUG.  Nedbrud, zero-days og Tik Tok-porno.

Alt det, og mere, på Naked Security-podcasten.

[MUSIK MODEM]

Velkommen til podcasten, alle sammen.

Jeg er Doug Aamoth; han er Paul Ducklin.

Paul, undskyld min stemme.

Jeg er syg, men jeg føler mig mentalt skarp!

---

AND.  Fremragende, Doug.

Nu håber jeg, at du havde en god fri uge, og jeg håber, at du havde en fantastisk Black Fridaying.

---

DOUG.  Jeg har for mange børn til at gøre noget sjovt… de er for unge.

Men vi fik et par ting på Black Friday over internettet.

For, jeg ved det ikke, jeg kan ikke huske, hvornår jeg sidst har været i en detailbutik, men en af ​​dagene vender jeg tilbage.

---

AND.  Jeg troede, du var forbi Black Friday, lige siden du blev forpurret for en Nintendo Wii tilbage i det 18. århundrede, Doug?

---

DOUG.  Det er rigtigt, ja.

Det var at waggle op foran i køen, og nogle damer sagde: "Du skal have en billet", så de så, hvor lang køen var, og sagde: "OK, det er ikke noget for mig."

---

AND.  [GRNER] Billetten var formentlig bare for at komme *ind i* køen... så ville du finde ud af, om de faktisk havde nogen tilbage.

---

DOUG.  Ja, og det gjorde de ikke... spoiler!

---

AND.  "Sir melder sig kun i køen."

---

DOUG.  Ja.

Så jeg havde ikke lyst til at slås med en flok mennesker.

Alle de billeder, du ser i nyhederne... det bliver aldrig mig.

Vi starter gerne showet med Denne uge i teknisk historie segment, og vi har en dobbelt funktion i denne uge, Paul.

Den 28. november 1948 blev Polaroid Land Camera Model 95 sat til salg i varehuset Jordan Marsh lige her i Boston.

Det var det første kommercielle øjeblikkelige kamera, tilbage i 1948.

Og så en dag (og flere år) senere, den 29. november 1972, introducerede Atari sit første produkt, et lille spil kaldet PONG.

---

AND.  Da du annoncerede din hensigt om at annoncere Landkameraet som Teknisk historie, tænkte jeg... "Det var 1968".

Måske en lille smule tidligere - måske i slutningen af ​​1950'erne, en slags "Sputnik-æra".

1948, ikke?

Wow!

Fantastisk miniaturisering for den tid.

Hvis du tænker på, hvor store computere stadig var, var det ikke kun, at de havde brug for værelser, de havde brug for deres egne store bygninger!

Og her var dette næsten magiske kamera - kemi i din hånd.

Min bror havde sådan en, da jeg var et lille barn, og jeg kan huske, at jeg var helt overrasket over den.

Men ikke så forbløffet, Doug, som han var, da han fandt ud af, at jeg havde taget et par billeder overflødigt, bare for at se, hvordan det fungerede.

For selvfølgelig betalte han for filmen [LATER].

Hvilket ikke er helt så billigt som filmen i almindelige kameraer.

---

DOUG.  Nej Herre!

Vores første historie er en anden historie af historisk type.

Dette var juletræsormen i 1987, også kendt som CHRISTMA EXEC, som blev skrevet i REXX-scriptsproget:

CHRISTMA EXEC netværksormen – 35 år og tæller!

REXX... Jeg havde aldrig hørt om dette før.

Det tegnede et juletræ af ASCII-kunst og spredte sig via e-mail, hvilket forårsagede massiv forstyrrelse af mainframes verden over, og det var en slags forløber for Jeg elsker dig virus, der ramte IBM pc'er.

---

AND.  Jeg tror, ​​at mange mennesker undervurderede både omfanget af IBM's netværk i 1980'erne og styrken af ​​de tilgængelige scriptsprog, såsom REXX.

Du skriver programmet som almindelig gammel tekst – du behøver ikke en compiler, det er bare en fil.

Og hvis du navngiver filnavnet otte tegn, altså CHRISTMA, ikke CHRISTMAS (selvom du kunne *skrive* CHRISTMAS, fordi det bare ville ignorere -S)...

…og hvis du gav filnavnet udvidelsen EXEC (altså: CHRISTMA [mellemrum] EXEC), så ville det køre, når du skrev ordet "Christmas" på kommandolinjen.

Det skulle have været et advarselsskud henover alle vores buer, men jeg synes, det føltes som et lille glimt i gryden.

Indtil et år senere...

…så kom Internet-ormen, Doug, som selvfølgelig angreb Unix-systemer og spredte sig vidt og bredt:

Erindringer om internetormen – 25 år senere

Og på det tidspunkt tror jeg, at vi alle indså, "Øh-åh, denne virus-og-orme-scene kunne blive ret besværlig."

Så, ja, CHRISTMA EXEC... meget, meget enkelt.

Det satte virkelig et juletræ op, og det var meningen at være distraktionen.

Du kiggede på juletræet, så du har sandsynligvis ikke bemærket alle de små skilte i bunden af ​​din IBM 3270-terminal, der viser al systemaktivitet, før du begyndte at modtage disse juletræsbeskeder tilbage fra snesevis af mennesker.

[LATTER]

Og sådan fortsatte det, ved og ved og ved.

"En meget glædelig jul og mine bedste ønsker for det næste år", stod der, alt sammen i ASCII-kunst, eller måske skulle jeg sige EBCDIC-kunst.

Der er en kommentar øverst i kildekoden: "Lad denne EXEC køre og nyd dig selv".

Og lidt længere nede er der en note, der siger: "Det er slet ikke sjovt at gennemse denne fil."

Hvilket naturligvis er helt rigtigt, hvis du ikke er programmør.

Og nedenunder står der: "Skriv bare jul fra kommandoprompten."

Så ligesom moderne makro-malware, der siger til brugeren: "Hey, makroer er deaktiveret, men for din 'ekstra sikkerhed' skal du tænde dem igen... hvorfor ikke klikke på knappen? Det er meget nemmere på den måde.”

For 35 år siden [GRIN] havde malware-skribenter allerede fundet ud af, at hvis man pænt beder brugerne om at gøre noget, der slet ikke er i deres interesse, vil nogle af dem, muligvis mange af dem, gøre det.

Når du først havde godkendt den, var den i stand til at læse dine filer, og fordi den kunne læse dine filer, kunne den hente listen over alle de personer, du normalt korresponderede med fra dine såkaldte kaldenavne eller NAVNE-fil, og sprængte sig selv ud til allesammen.

---

DOUG.  Jeg siger ikke, at jeg savner denne gang, men der var noget mærkeligt trøstende for 20 år siden, der tændte Hotmail og så hundredvis af e-mails fra folk, der havde mig på deres kontaktliste...

… og bare *vidste*, at der foregik noget.

Som, "Der er en orm, der går rundt, helt klart", fordi jeg bare får en syndflod af e-mails fra folk her.

---

AND.  Folk, du aldrig havde hørt fra i et par år... pludselig var de overalt i din postkasse!

---

DOUG.  OK, lad os gå lige til det nye, til det moderne...

…og denne TikTok "Usynlige udfordring":

TikTok "Invisible Challenge" porno-malware sætter os alle i fare

Hvilket dybest set er et filter på TikTok, som du kan anvende, der får dig til at virke usynlig... så selvfølgelig var det første folk gjorde, "Hvorfor tager jeg ikke alt mit tøj af og ser, om det virkelig gør mig usynlig?"

Og så siger en flok svindlere selvfølgelig: "Lad os udgive noget falsk software, der vil 'usynlige' nøgne mennesker."

Har jeg det rigtigt?

---

AND.  Ja, desværre, Doug, det er det lange og det korte.

Og det viste sig desværre at være et meget attraktivt lokkemiddel for et betydeligt antal mennesker online.

Du er inviteret til at deltage i denne Discord-kanal for at finde ud af mere... og for at komme i gang, ja, så skal du synes godt om GitHub-siden.

Så det er hele denne selvopfyldende profeti….

---

DOUG.  Den del af det er (jeg hader at bruge B-ordet [genialt])... det aspekt af det er næsten B-ord-værdigt, fordi du legitimerer dette illegitime projekt, bare ved at alle stemmer op til det.
.

---

AND.  Absolut!

"Stem først op, og *så* fortæller vi dig alt om det, for det bliver selvfølgelig fantastisk, fordi 'gratis porno'."

Og selve projektet er alt sammen en pakke løgne – det linker bare igennem til andre depoter (og det er helt normalt i open source-forsyningskæden)... de ligner legitime projekter, men de er dybest set kloner af legitime projekter med et linje ændret, der kører under installationen.

Hvilket i øvrigt er et stort rødt flag, som selv om dette ikke havde det snuskede 'klæd af folk af, der aldrig havde tænkt sig det' porno-tema.

Du kan ende op med legitim software, som virkelig er installeret fra GitHub, men processen med at udføre installationen, tilfredsstille alle afhængigheder, hente alle de bits, du har brug for... *den* proces er den ting, der introducerer malwaren.

Og det er præcis, hvad der skete her.

Der er en linje af sløret Python; når du deobfuskerer det, er det dybest set en downloader, der går og henter noget mere Python, som er super-scrambuleret, så det er slet ikke indlysende, hvad det gør.

Ideen er i bund og grund, at skurkene kan installere, hvad de vil, fordi den downloader går til en hjemmeside, som skurkene kontrollerer, så de kan lægge alt, hvad de vil, til download.

Og det ser ud til, at den primære malware, som skurkene ønskede at implementere (selvom de kunne have installeret hvad som helst) var en datastjælende trojaner baseret på, tror jeg, et projekt kendt som WASP...

…hvilket dybest set går efter interessante filer på din computer, især inklusiv ting som cryptocoin-tegnebøger, lagrede kreditkort, og vigtigst af alt (du har sikkert gættet, hvor det går hen!) din Discord-adgangskode, dine Discord-legitimationsoplysninger.

Og vi ved, hvorfor skurke elsker sociale medier og instant messaging-adgangskoder.

For når de får din adgangskode, og de kan nå direkte ud til dine venner, din familie og dine arbejdskolleger i en lukket gruppe...

…det er så meget mere troværdigt, at de skal have en meget bedre succesrate med at lokke nye ofre ind, end de gør med spray-og-bed-ting såsom e-mail eller SMS.

---

DOUG.  OK, vi holder øje med det – det er stadig under udvikling.

Men nogle gode nyheder, endelig: denne "Cryptorom" fidus, som er en krypto/romantisk fidus ...

…vi har nogle arrestationer, store arrestationer, ikke?

Multimillion dollar CryptoRom-svindelsider beslaglagt, mistænkte anholdt i USA

---

AND.  Ja.

Dette blev annonceret af det amerikanske justitsministerium [DOJ]: syv websteder forbundet med såkaldte Cryptorom-svindlere blev fjernet.

Og den rapport linker også til det faktum, at jeg tror, ​​at 11 personer for nylig blev arresteret i USA.

Nu, Cryptorom, det er et navn, som SophosLabs-forskere gav til denne særlige cyberkriminalitetsordning, fordi den, som du siger, harmonerer med den tilgang, der bruges af romantiksvindlere (dvs. slå dig op på en datingside, opret en falsk profil, bliv venner med dig) med cryptocurrency-svindel.

I stedet for "Hej, jeg vil have dig til at blive forelsket i mig; Lad os blive gift; send mig nu penge til visumet" slags fidus ...

...de skurke siger, "Nå, måske bliver vi ikke en genstand, men vi er stadig gode venner. [DRAMATISK STEMME] Har jeg en investeringsmulighed til dig!”

Så det føles pludselig som om det kommer fra en, man kan stole på.

Det er et fupnummer, der involverer at overtale dig til at installere en off-market app, selvom du har en iPhone.

“Det er stadig under udvikling; det er så nyt; du er så vigtig; du er lige i kernen af ​​det. Det er stadig under udvikling, så tilmeld dig TestFlight, betaprogrammet."

Eller de siger: "Åh, vi udgiver det kun til folk, der slutter sig til vores virksomhed. Så giv os mobilenhedsstyring (MDM) kontrol over din telefon, og så kan du installere denne app. [SECRETIVE VOICE} Og fortæl det ikke til nogen. Det kommer ikke til at være i app store; Du er speciel."

Og selvfølgelig ligner appen en app til handel med kryptovaluta, og den understøttes af søde grafer, der bare mærkeligt nok bliver ved med at gå op, Doug.

Dine investeringer falder aldrig rigtigt... men det hele er en pakke løgne.

Og så, når du vil have dine penge ud, ja (typisk Ponzi eller pyramide-trick), nogle gange vil de lade dig tage en lille smule penge ud... du tester, så du trækker lidt, og du får det tilbage.

Selvfølgelig giver de dig bare de penge, du allerede har sat tilbage, eller noget af det.

---

DOUG.  [SAD] Ja.

---

AND.  Og så stiger dine investeringer!

Og så er de over dig: “Tænk hvis du ikke har trukket de penge? Hvorfor sætter du ikke de penge tilbage? Hej, vi vil endda låne dig nogle flere penge; vi tager noget med dig. Og hvorfor ikke få dine kammerater med? For der kommer noget stort!”

Så du lægger pengene ind, og der sker noget stort, som at prisen stiger, og du siger: "Wow, jeg er så glad for, at jeg geninvesterede pengene, som jeg trak!"

Og du tænker stadig, "Det faktum, at jeg kunne have trukket det tilbage, må betyde, at disse mennesker er legitime."

Det er de selvfølgelig ikke – det er bare en større pakke løgne, end det var i starten.

Og så, når du endelig tænker, "jeg må hellere udbetale", er der pludselig alle mulige problemer.

"Nå, der er en skat," Doug, "der er en regeringskildeskat."

Og du siger, "OK, så jeg har tænkt mig at få 20% skåret af toppen."

Så er historien: "Faktisk, nej, det er ikke *teknisk* en kildeskat." (Hvilket er hvor de bare tager pengene ud af summen og giver dig resten)

"Faktisk er din konto *frosset*, så regeringen kan ikke tilbageholde pengene."

Du skal betale skat... så får du hele beløbet tilbage.

---

DOUG.  Åh, Gud!

---

AND.  Du burde lugte en rotte på dette tidspunkt... men de er over dig; de presser dig; de lugter; hvis de ikke lugter, siger de til dig, "Nå, du kan få problemer. Regeringen er måske efter dig!"

Folk lægger de 20% ind, og som jeg skrev [i artiklen], håber jeg ikke at være uhøfligt: ​​GAME OVER, INDSÆT MØNT FOR AT STARTE NYT SPIL.

Faktisk kan du så blive kontaktet bagefter af en, der bare mirakuløst, Doug, siger: "Hey, er du blevet snydt af Cryptorom-svindel? Nå, jeg er ved at undersøge det, og jeg kan hjælpe dig med at få pengene tilbage.”

Det er en frygtelig ting at være i, for det hele starter med "rom"-delen.

De er faktisk ikke ude efter romantik, men de *er* efter nok af et venskab, at du føler, du kan stole på dem.

Så du går faktisk ind i noget "særligt" - det er derfor, dine venner og familie ikke var inviteret.

---

DOUG.  Vi har talt om denne historie flere gange før, inklusive rådene, som er i artiklen her.

Afmonteringen [hovedposten] i rådgivningskolonnen er: Lyt åbent til dine venner og familie, hvis de forsøger at advare dig.

Psykologisk krigsførelse, som det var!

---

AND.  Ja.

Og næstsidst er også noget at huske: Lad dig ikke narre, fordi du går til en svindlers hjemmeside, og det ligner den rigtige vare.

Du tænker, "Golly, havde de virkelig råd til at betale professionelle webdesignere?"

Men hvis du ser på, hvor mange penge disse fyre tjener: [A] ja, det kunne de, og [B] det behøver de ikke engang.

Der er masser af værktøjer derude, der bygger visuelt venlige websteder af høj kvalitet med realtidsgrafer, realtidstransaktioner, magisk udseende, smukke webformularer...

---

DOUG.  Præcis.

Det er faktisk rigtig svært at lave en *dårligt* udseende hjemmeside i dag.

Du skal prøve ekstra hårdt!

---

AND.  Det vil have et HTTPS-certifikat; det vil have et legitimt nok udseende domænenavn; og selvfølgelig er det i dette tilfælde kombineret med en app *som dine venner ikke kan tjekke ud for dig ved at downloade sig selv* fra App Store og sige: "Hvad i alverden tænkte du?"

For det er en "hemmelig speciel app", gennem "super-specielle" kanaler, der bare gør det nemmere for skurkene at snyde dig ved at se mere end godt nok ud.

Så pas på, folkens!

---

DOUG.  Pas på!

Og lad os holde os til emnet undertrykkelse.

Dette er endnu et stort nedslag – denne historie er virkelig spændende for mig, så jeg er interesseret i at høre, hvordan du optrævler den:

Stemmesvindel-site "iSpoof" beslaglagt, 100-tallere anholdt i massiv undertrykkelse

Dette er en stemmesvindelside, som blev kaldt iSspoof... og jeg er chokeret over, at den fik lov til at fungere.

Dette er ikke et darkweb-site, det er på det almindelige web.

---

AND.  Jeg gætter på, at hvis alt dit websted gør er, "Vi tilbyder dig Voice Over IP-tjenester [VoIP] med ekstra cool værdi, der inkluderer opsætning af dine egne opkaldsnumre"...

…hvis de ikke åbenlyst siger, "Det primære mål med dette er at bekæmpe cyberkriminalitet", så er der muligvis ingen juridisk forpligtelse for hostingfirmaet til at fjerne siden.

Og hvis du selv er vært for det, og du er skurken... Det er vist ret svært.

Det krævede i sidste ende en retskendelse, erhvervet af FBI, tror jeg, og henrettet af justitsministeriet, for at gå hen og gøre krav på disse domæner og sende [en besked, der siger] "Dette domæne er blevet beslaglagt."

Så det var en ret langvarig operation, som jeg forstår, bare at prøve at komme bag om det her.

Problemet her er, at det gjorde det virkelig nemt for dig at starte en svindeltjeneste, hvor, når du ringer til nogen, ville deres telefon dukke op med navnet på deres High Street-bank, som de selv havde indtastet i deres telefonkontaktliste. *bankens egen hjemmeside*.

Fordi der desværre er ringe eller ingen autentificering i opkalds-id eller opkaldslinje-identifikationsprotokollen.

De numre, der dukker op, før du besvarer opkaldet?

De er ikke bedre end antydninger, Doug.

Men desværre tager folk dem som en slags evangelisk sandhed: ”Der står, at det er banken. Hvordan kunne nogen forfalske det? Det MÅ være banken, der ringer til mig.”

Ikke nødvendigvis!

Hvis du ser på antallet af opkald, der blev foretaget... hvad var det, tre en halv million alene i Storbritannien?

10 millioner i hele Europa?

Jeg tror, ​​det var tre og en halv million opkald, de foretog; 350,000 af dem blev besvaret og varede derefter mere end et minut, hvilket tyder på, at personen var begyndt at tro på hele spoofingen.

Så: "Overfør penge til den forkerte konto", eller "Læs din to-faktor-godkendelseskode op", eller "Lad os hjælpe dig med dit tekniske problem – lad os starte med at installere TeamViewer", eller hvad det nu er.

Og endda blive inviteret af skurkene: "Tjek nummeret, hvis du ikke tror mig!"

---

DOUG.  Det leder os til et spørgsmål, som jeg havde hele tiden at læse denne artikel, og det passer fint sammen med vores læserkommentar for ugen.

Læser Mahnn kommenterer: "Telcos burde få en rimelig del af skylden for at tillade spoofing på deres netværk."

Så i den ånd, Paul, er der noget teleselskaber rent faktisk kan gøre for at stoppe dette?

---

AND.  Spændende var det, at den næste kommentator (tak, John, for denne kommentar!) sagde: "Jeg ville ønske, at du havde nævnt to ting, der hedder RØR og RYSTES."

Det er amerikanske initiativer – fordi I elsker jeres bagronymer, kan I ikke lide CAN-SPAM Act?

---

DOUG.  Det gør vi!

---

AND.  Så RØR er "sikker telefonidentitet gensyn".

Og SHAKEN står tilsyneladende for (skyd mig ikke, jeg er bare budbringeren, Doug!)... hvad er det, "signaturbaseret håndtering af hævdede oplysninger ved hjælp af tokens".

Så det er dybest set som at sige: "Vi har endelig vænnet os til at bruge TLS/HTTPS til websteder."

Det er ikke perfekt, men det giver i det mindste en vis grad, så du kan verificere certifikatet, hvis du vil, og det stopper bare enhver, der foregiver at være nogen, når som helst de vil.

Problemet er, at det bare er tiltag, så vidt jeg ved.

Vi har teknologien til at gøre dette, i det mindste til internettelefoni...

…men se på, hvor lang tid det tog os at gøre noget så simpelt som at få HTTPS på næsten alle websteder i verden.

Der var et kæmpe modreaktion mod det.

---

DOUG.  Ja!

---

AND.  Og ironisk nok kom det ikke fra tjenesteudbyderne.

Det kom fra folk, der sagde: "Nå, jeg driver en lille hjemmeside, så hvorfor skulle jeg skulle bekymre mig om det her? Hvorfor skulle jeg være ligeglad?”

Så jeg tror, ​​der kan gå mange år endnu, før der er nogen stærk identitet forbundet med indgående telefonopkald...

---

DOUG.  OK, så det kunne tage et stykke tid, [SKYLDIGT], men som du siger, har vi valgt vores akronymer, hvilket er et meget vigtigt første skridt.

Så vi har fået det af vejen... og vi vil se, om det tager form til sidst.

Så tak, Mahnn, fordi du sendte det ind.

Hvis du har en interessant historie, kommentar eller spørgsmål, du gerne vil indsende, vil vi meget gerne læse den på podcasten.

Du kan sende en e-mail til tips@sophos.com, du kan kommentere på en af ​​vores artikler, eller du kan kontakte os på socialt: @NakedSecurity.

Det er vores show for i dag; mange tak fordi du lyttede.

For Paul Ducklin er jeg Doug Aamoth, der minder dig om: Indtil næste gang...

---

BEGGE.  Bliv sikker.

[MUSIK MODEM]