S3 Ep90: Chrome ξανά 0-ημέρα, True Cybercrime και παράκαμψη 2FA [Podcast + Transcript]

Κάντε κλικ και σύρετε στα ηχητικά κύματα παρακάτω για να μεταβείτε σε οποιοδήποτε σημείο. Μπορείτε επίσης να ακούστε απευθείας στο Soundcloud.

ΠΑΠΙΑ.  Χρώμιο! Ηλεκτρονικό έγκλημα! Μια κρυπτοβασίλισσα που λείπει! Λήψη 2FA token!

Και η Curious Case Of Chester's New Chums.

Όλα αυτά και πολλά άλλα στο podcast του Naked Security.

[ΜΟΥΣΙΚΟ ΜΟΝΤΕΜ]

Γεια σε όλους.

Για άλλη μια φορά, είναι ο Ντακ στην καρέκλα, γιατί ο Νταγκ είναι σε διακοπές.

Μαζί μου είναι ο φίλος και συνάδελφός μου Chester Wisniewski…

Czesław, μια πολύ καλή μέρα για εσάς.

---

CHET.  Καλή σου μέρα, Ντακ.

Είναι καλό να συμπληρώνω ξανά τον Νταγκ.

Μου αρέσει όταν κάνει διακοπές- έχουμε μια ενδιαφέρουσα συνομιλία προγραμματίζοντας το podcast, και επειδή είναι λίγο αργό το καλοκαίρι, έχω τον ελεύθερο χρόνο και είναι πολύ καλό να επιστρέψω.

---

ΠΑΠΙΑ.  Λοιπόν, δυστυχώς, δεν είναι αργό στο μέτωπο των 0 ημερών.

Για άλλη μια φορά, μόλις είχαμε το τελευταία ενημέρωση Chrome.

Η Google έχει εκδώσει τρία ουσιαστικά ξεχωριστά δελτία ασφαλείας: ένα για Android. ένα για Windows και Mac. και ένα για Windows και Mac, αλλά στην προηγούμενη έκδοση, το "εκτεταμένο σταθερό κανάλι".

Δεν γίνεται λόγος για Linux, αλλά όλοι μοιράζονται ένα κοινό σφάλμα, το οποίο είναι "CVE-2022-2294: Υπερχείλιση buffer στο WebRTC".

Είναι γνωστό ότι έχουν γίνει αντικείμενο εκμετάλλευσης στη φύση, που σημαίνει ότι οι απατεώνες έφτασαν εκεί πρώτοι.

Λοιπόν, πες μας περισσότερα, Τσέστερ.

---

CHET.  Λοιπόν, μπορώ να επιβεβαιώσω, τουλάχιστον από την πλευρά του Linux, ότι έκαναν μια κυκλοφορία.

Δεν ξέρω τι περιέχει αυτή η έκδοση, αλλά ο αριθμός έκδοσης τουλάχιστον ταιριάζει με τον αριθμό έκδοσης που αναμένουμε να δούμε σε Windows και Mac, ο οποίος είναι 103.0.5060.114.

Σε κάθε περίπτωση, στο Arch Linux που εκτελεί το Chromium, αυτός είναι ο αριθμός έκδοσης και ταιριάζει με την έκδοση του Chrome παραγωγής για Windows στον υπολογιστή μου δίπλα του.

Έτσι, τουλάχιστον έχουμε ισοτιμία έκδοσης. Δεν ξέρουμε αν έχουμε ισοτιμία σφαλμάτων.

---

ΠΑΠΙΑ.  Ναι, και είναι ενοχλητικό, η έκδοση Android, η οποία υποτίθεται ότι έχει τις ίδιες ενημερώσεις κώδικα που αναφέρθηκαν στις άλλες, είναι βασικά ο ίδιος αριθμός έκδοσης εκτός από το ends dot-71.

Και φυσικά, η έκδοση 102… αυτό είναι εντελώς διαφορετικό γιατί είναι ένα εντελώς διαφορετικό σύνολο τεσσάρων αριθμών.

Το μόνο κοινό σε όλους τους είναι το μηδέν στη δεύτερη θέση.

Άρα είναι αρκετά μπερδεμένο.

---

CHET.  Ναι, λαμβάνοντας υπόψη ότι ανακαλύφθηκε ότι χρησιμοποιήθηκε στη φύση, πράγμα που σημαίνει ότι κάποιος κέρδισε την Google.

Και αυτή η συγκεκριμένη λειτουργικότητα είναι ιδιαίτερα σημαντική για την Google, καθώς προωθεί την πλατφόρμα Google Meet, η οποία είναι η κύρια έκδοση του… Έχω ακούσει ανθρώπους να την αναφέρουν ως "Google Zoom".

Η πλατφόρμα MEET της Google, όχι ο τύπος κρέατος που μπορεί να έχετε με το δείπνο.

---

ΠΑΠΙΑ.  Το μυαλό μου μπέρδεψε για λίγο εκεί!

Για να το διευκρινίσω, βρέθηκα να παρασύρομαι προς το Google Hangouts, το οποίο προφανώς κλείνει σύντομα, και φυσικά το αργοπορημένο και, νομίζω, ανένδοτο Google Plus.

---

CHET.  Λοιπόν, αν θέλετε να κατεβείτε πλήρως την τρύπα του κουνελιού της πλατφόρμας μηνυμάτων Google για το πόσα πράγματα έχουν εφεύρει και δεν έχει εφεύρει και έχει συγχωνεύσει και ακυρώσει και στη συνέχεια εφεύρει ξανά, υπάρχει ένα υπέροχο άρθρο στο Vox.com που μπορείτε να διαβάσετε σχετικά!

WebRTC… στην ουσία, αυτό είναι το πρωτόκολλο που σας επιτρέπει να μεταδώσετε ροή web κάμεράς σας σε πλατφόρμες όπως το Google Meet και να μεταδώσετε το μικρόφωνό σας.

Και νομίζω ότι είναι πιθανώς υπό χρήση περισσότερο από ποτέ από τότε που ξεκίνησε η πανδημία.

Επειδή πολλές υπηρεσίες μπορεί να προσφέρουν ένα λίπος πρόγραμμα-πελάτη για βελτιωμένη κοινή χρήση οθόνης και τέτοιου είδους πράγματα, αλλά και να προσφέρουν μια έκδοση μόνο για τον ιστό, ώστε να μπορείτε να έχετε πρόσβαση σε πράγματα όπως το Zoom ή το Citrix και ούτω καθεξής, συχνά μόνο μέσω του προγράμματος περιήγησής σας.

Έτσι, νομίζω ότι αυτή η λειτουργικότητα είναι κάτι πολύ περίπλοκο, το οποίο θα μπορούσε να οδηγήσει σε τέτοιου είδους ευπάθειες, και επίσης χρησιμοποιείται πολύ αυτές τις μέρες.

Θεωρώ ότι αυτό είναι ένα είδος από τα πιο σημαντικά από τα τρία σφάλματα που αναφέρετε στην ιστορία του Naked Security.

---

ΠΑΠΙΑ.  Ναι, υπάρχει CVE-2022-2294, -2295 και -2296.

Είναι όλα σφάλματα που θα έλπιζες ότι τελειώσαμε και ξεσκονίσαμε πριν από πολλά χρόνια, έτσι δεν είναι;

Μια υπερχείλιση buffer, μια σύγχυση τύπου και μια χρήση μετά τη δωρεάν - επομένως όλα έχουν βασικά να κάνουν με κακή διαχείριση της μνήμης.

---

CHET.  Και νόμιζα ότι η Google έλεγε στον κόσμο ότι όλα τα προβλήματα λύθηκαν από το Go and Rust, και αυτό υποδηλώνει πολύ λίγο Go and Rust εδώ.

---

ΠΑΠΙΑ.  Ακόμη και με μια πολύ προσεκτική γλώσσα που ενθαρρύνει τον σωστό προγραμματισμό, οι προδιαγραφές μπορεί να σας απογοητεύσουν, έτσι δεν είναι;

Με άλλα λόγια, εάν εφαρμόσετε κάτι σωστά, αλλά όπου οι προδιαγραφές δεν είναι σωστές, ή αφήσετε ένα κενό ή τοποθετήσετε αρχεία σε λάθος μέρος ή μεταχειριστείτε τα δεδομένα με ακατάλληλο τρόπο, μπορείτε να έχετε σφάλματα χαμηλού , μεσαίας ή υψηλής σοβαρότητας, ακόμη και με τη μεγαλύτερη επιβολή ασφάλειας μνήμης στον κόσμο.

Λοιπόν, ευτυχώς, υπάρχει μια απλή λύση, έτσι δεν είναι;

Για τους περισσότερους ανθρώπους, το Chrome είναι σχεδόν βέβαιο ότι θα έχει ενημερωθεί αυτόματα.

Αλλά ακόμα κι αν πιστεύετε ότι αυτό συνέβη, αξίζει τον κόπο –τουλάχιστον σε Windows και Mac– να μεταβείτε στο Περισσότερα > Βοήθεια > Σχετικά με το Google Chrome > Ενημέρωση Google Chrome και είτε θα πει, "Δεν χρειάζεται, εσείς" έχω το πιο πρόσφατο», ή θα πάει, «Ουάου, δεν το έχω κάνει ακόμα. Θα ήθελες να πηδήξεις μπροστά;»

Και φυσικά, θα το έκανες!

Στο Linux, όπως διαπιστώσατε, η διανομή σας παρείχε την ενημέρωση, οπότε αυτή θα είναι, φαντάζομαι, η διαδρομή για τους περισσότερους χρήστες Linux που διαθέτουν Chrome.

Έτσι, ίσως δεν είναι τόσο κακό όσο ακούγεται, αλλά είναι κάτι που, όπως λέμε πάντα, «Μην καθυστερείς, κάνε το σήμερα».

Στο επόμενο…

Λοιπόν, υπάρχουν δύο ιστορίες, όχι μία, αλλά και οι δύο σχετίζονται με προτομές επιβολής του νόμου.

Ο ένας είναι ένας κυβερνοεγκληματίας που ομολόγησε την ενοχή του στις ΗΠΑ και ο άλλος είναι κάποιος που οι ΗΠΑ θα ήθελαν πολύ να πάρουν στα χέρια τους, αλλά κάπου λείπει και τώρα έχει ενταχθεί στο FBI Ζητούνται δέκα κορυφαίοι εγκληματίες παγκοσμίως – η μόνη γυναίκα στο Top Ten.

Ας ξεκινήσουμε με αυτήν – αυτή είναι η Dr Ruja Ignatova από τη Βουλγαρία, η «Χαμένη Κρυπτοβασίλισσα».

Τώρα, αυτή είναι μια ιστορία ζωής, έτσι δεν είναι;

---

CHET.  Ναι, είναι ένα από τα πράγματα στα οποία φαίνεται να μας συστήνει ο κρυπτόκοσμος – είναι λίγο πιο περιεκτικό για τις γυναίκες.

Υπάρχουν επίσης πολλές γυναίκες που εμπλέκονται στην κλοπή και τον μπολιασμό, μαζί με όλους τους τυπικούς άντρες που εμπλέκονται σε τόσες πολλές από τις άλλες ιστορίες που καλύπτουμε.

Δυστυχώς, σε αυτήν την περίπτωση, φέρεται να δημιούργησε ένα νέο νόμισμα που μοιάζει με Bitcoin, γνωστό ως OneCoin και φέρεται να έπεισε τους ανθρώπους να της δώσουν 4 δισεκατομμύρια δολάρια ΗΠΑ με το aB για να επενδύσει στο ανύπαρκτο κρυπτονόμισμα, από όλα όσα μπορώ να διαβάσω σε αυτό.

---

ΠΑΠΙΑ.  4 δισεκατομμύρια δολάρια.. αυτό φαίνεται να πιστεύει ότι μπορεί να αποδείξει το FBI.

Άλλες αναφορές που έχω δει υποδηλώνουν ότι το πραγματικό σύνολο μπορεί κάλλιστα να είναι πολύ υψηλότερο από αυτό.

---

CHET.  Κάτι που κάνει το να ξοδέψεις 6 εκατομμύρια δολάρια για την εικόνα ενός πιθήκου που καπνίζει να φαίνεται σχεδόν απολύτως λογικό…

---

ΠΑΠΙΑ.  Μάλλον με απομάκρυνε εκεί. [ΓΕΛΙΟ]

---

CHET.  Υπάρχουν πολλά FOMO, ή Fear Of Missing Out.

---

ΠΑΠΙΑ.  Απολύτως.

---

CHET.  Και νομίζω ότι όλο αυτό το έγκλημα καθοδηγείται από αυτό το FOMO: «Ω, δεν μπήκα στο Bitcoin όταν μπορούσες να αγοράσεις μια πίτσα για ένα Bitcoin. Θέλω λοιπόν να ασχοληθώ με το επόμενο μεγάλο πράγμα. Θέλω να γίνω πρώτος επενδυτής στην Tesla, την Uber, την Apple».

Νομίζω ότι οι άνθρωποι αντιλαμβάνονται αυτά τα κρυπτονομίσματα ότι κατά κάποιο τρόπο έχουν πραγματικά έναν αέρα νομιμότητας που μπορεί να είναι παράλληλη με αυτές τις πραγματικές εταιρικές ιστορίες επιτυχίας, σε αντίθεση με το να είναι ένα όνειρο, που είναι ακριβώς αυτό που είναι.

---

ΠΑΠΙΑ.  Ναι, και όπως πολλοί σωλήνες… στον καπνό, Τσέστερ.

Νομίζω ότι το θέμα με τα κρυπτονομίσματα είναι ότι όταν οι άνθρωποι κοιτάζουν την ιστορία του Bitcoin, υπήρχε στην πραγματικότητα μια εκτεταμένη περίοδος όπου δεν ήταν σαν να άξιζε το bitcoin «μόνο 10 $».

Ήταν ότι το bitcoin ήταν ουσιαστικά τόσο άνευ αξίας που, προφανώς, το 2010, ένας τύπος – ονόματι SmokeTooMuch – προσπάθησε να κάνει την πρώτη ουσιαστικά δημόσια πώληση του Bitcoin και είχε 10,000 από αυτά.

Υποθέτω ότι μόλις τα εξόρυξε, όπως κάνατε τότε, και είπε: «Θέλω 50 $ γι' αυτά».

Έτσι, τα αποτιμά στο μισό σεντ ΗΠΑ το καθένα… και κανείς δεν ήταν διατεθειμένος να πληρώσει τόσο πολύ.

Στη συνέχεια, το Bitcoin πήγε στα 10 $, και στη συνέχεια, κάποια στιγμή, ήταν 60,000 $ και πλέον.

Λοιπόν, υποθέτω ότι υπάρχει αυτή η ιδέα ότι αν μπείτε *ακόμα και πριν* είναι σαν να μοιράζεται η Apple… αν μπείτε στις πρώτες μέρες που δεν υπάρχει ακόμα στην πραγματικότητα, τότε είναι σαν να μπείτε όχι μόνο νωρίς στο Bitcoin, αλλά *ακριβώς στην αρχή*.

Και τότε δεν κερδίζετε απλώς 10 φορές τα χρήματά σας ή 100 φορές τα χρήματά σας… κερδίζετε 1,000,000 φορές τα χρήματά σας.

Και νομίζω ότι, όπως λες, είναι το όνειρο που κοιτάζουν πολλοί.

Και αυτό σημαίνει, υποπτεύομαι, ότι τους κάνει πιο πρόθυμους να επενδύσουν σε πράγματα που δεν υπάρχουν… κατά ειρωνικό τρόπο, ακριβώς επειδή δεν υπάρχουν ακόμα, άρα πραγματικά μπαίνουν στο ισόγειο.

Εξακολουθείτε να λαμβάνετε μόνο 100,000 $ σε ανταμοιβή, προφανώς, για πληροφορίες που οδηγούν στην καταδίκη της Ruja Ignatova.

Αλλά σίγουρα είναι εκεί ψηλά: Ζητείται το Top Ten!

---

CHET.  Υπόσχομαι, αν μάθω πού βρίσκεται και πάρω την ανταμοιβή των 100,000 $, δεν θα το στοιχηματίσω σε κρυπτονομίσματα.

Μπορώ να σας διαβεβαιώσω για αυτό.

---

ΠΑΠΙΑ.  Λοιπόν, Τσέστερ, ας προχωρήσουμε τώρα στο άλλο μέρος του νόμου και της τάξης του podcast.

Ξέρω ότι αυτό είναι κάτι για το οποίο είπατε συγκεκριμένα ότι θέλετε να μιλήσετε γι' αυτό, και όχι μόνο επειδή περιλαμβάνει τη λέξη «Desjardins», για την οποία μιλήσαμε την προηγούμενη φορά.

Αυτός είναι ο κύριος Vachon-Desjardins, και έχουμε μιλήσει για αυτόν, ή έχετε μιλήσει για αυτόν, στο podcast στο παρελθόν.

Πείτε μας λοιπόν αυτή την ιστορία – είναι συναρπαστική και μάλλον καταστροφική.

---

CHET.  Ναί. Βρήκα εντελώς τυχαίο που με προσκάλεσες αυτήν την εβδομάδα, όταν τυχαία πριν από μερικά χρόνια, έτυχε να με προσκαλέσεις και την εβδομάδα που πιστεύω ότι εκδόθηκε.

---

ΠΑΠΙΑ.  Όχι, αυτό ήταν φέτος τον Μάρτιο όταν μιλήσαμε για τελευταία φορά για αυτό!

---

CHET.  Ήταν?

---

ΠΑΠΙΑ.  Ναι, νομίζω όταν είχε όντως προσγειωθεί στη Φλόριντα…

---

CHET.  Ναί! Μόλις είχε εκδοθεί, ακριβώς!

Είχε σταλεί στις Ηνωμένες Πολιτείες για δίωξη, κάτι που είναι αρκετά συνηθισμένο που κάνουμε εδώ στον Καναδά.

Οι ΗΠΑ έχουν συχνά αυστηρότερους νόμους σε πολλές περιπτώσεις, αλλά περισσότερο από αυτό, το FBI [Η ομοσπονδιακή επιβολή του νόμου των ΗΠΑ] κάνει πολύ καλή δουλειά στο να συγκεντρώσει τις πληροφορίες για τη δίωξη αυτών των υποθέσεων.

Χωρίς να λέμε ότι η RCMP [καναδική ομοσπονδιακή αρχή επιβολής του νόμου] δεν είναι ικανή για κάτι τέτοιο, αλλά το FBI είναι λίγο πιο έμπειρο, οπότε νομίζω ότι συχνά πιστεύουν ότι οι ΗΠΑ θα έχουν καλύτερη ρωγμή στο να τους βάλουν πίσω από τα κάγκελα.

---

ΠΑΠΙΑ.  Τούτου λεχθέντος, το RCMP τον είχε ασκήσει δίωξη στον Καναδά και είχε ποινή φυλάκισης σχεδόν επτά ετών.

Και όπως είπατε την προηγούμενη φορά, «Τον έχουμε αφήσει να βγει από τη φυλακή προσωρινά. Τον έχουμε δανείσει στους Αμερικανούς. Και αν πάει φυλακή εκεί, όταν τελειώσει ο χρόνος του, τότε θα επιστρέψει και θα τον ξαναβάλουμε στη φυλακή για τα υπόλοιπα επτά χρόνια του».

Φαίνεται πως θα μείνει για λίγο εκτός κυκλοφορίας.

---

CHET.  Ναι, υποψιάζομαι.

Αν και, σε αυτούς τους τύπους μη βίαιων εγκλημάτων, όταν συνεργάζεστε με τις αρχές, συχνά μειώνουν τις ποινές ή σας αφήνουν νωρίς με όρους, τέτοια πράγματα.

Θα δούμε τι θα γίνει.

Στην πραγματικότητα, στη συμφωνία του, όταν ομολόγησε την ενοχή του στη Φλόριντα, καταλαβαίνω ότι επρόκειτο να συνεργαστεί με τις αρχές σχεδόν για οτιδήποτε και οτιδήποτε είχε πρόσβαση σε αυτό που ήθελαν… βασικά βοηθώντας τους να χτίσουν την υπόθεσή τους .

Όταν μιλάμε για αυτές τις ομάδες ransomware, βρίσκω αυτή την περίπτωση ιδιαίτερα ενδιαφέρουσα επειδή είναι Καναδός και εγώ βρίσκομαι στον Καναδά.

Αλλά περισσότερο από αυτό, νομίζω ότι έχουμε αυτή την αντίληψη ότι αυτά τα εγκλήματα διαπράττονται από εγκληματίες στη Ρωσία, και είναι μακριά και δεν μπορούν ποτέ να τα αγγίξουμε, επομένως δεν έχει νόημα να αναφέρουμε αυτά τα εγκλήματα επειδή δεν μπορούμε να βρούμε αυτούς τους ανθρώπους – Είναι πολύ καλοί στο να κρύβονται. είναι στον σκοτεινό ιστό.

Και η αλήθεια του θέματος είναι ότι μερικά από αυτά βρίσκονται στην αυλή σας. Μερικοί από αυτούς είναι οι γείτονές σας. Υπάρχουν σε όλες τις χώρες του κόσμου.

Το έγκλημα δεν γνωρίζει σύνορα… οι άνθρωποι είναι άπληστοι παντού και είναι πρόθυμοι να διαπράξουν αυτά τα εγκλήματα.

Και αξίζει να τα επιδιώξουμε όταν μπορούμε να τα κυνηγήσουμε, όπως θα έπρεπε.

---

ΠΑΠΙΑ.  Απολύτως.

Πράγματι, αν δεν σας πειράζει, θα διαβάσω από τη συμφωνία επίκλησης, γιατί συμφωνώ μαζί σας: το FBI κάνει φανταστική δουλειά, όχι απλώς στο να κάνει αυτές τις έρευνες, αλλά να συνδυάζει τις πληροφορίες – ακόμα και σε κάτι που είναι ένα εμφανώς και επίσημο νομικό έγγραφο – στα απλά αγγλικά που διευκολύνει ένα δικαστήριο, έναν δικαστή, μια κριτική επιτροπή και για όποιον θέλει να κατανοήσει την άσχημη πλευρά του ransomware και πώς λειτουργεί να μάθει πολλά περισσότερα .

Αυτά είναι πολύ ευανάγνωστα έγγραφα, ακόμα κι αν δεν σας ενδιαφέρει η νομική πλευρά της υπόθεσης.

Και αυτό λένε:

«Το NetWalker λειτούργησε ως σύστημα Ransomware-as-a-Service που περιλαμβάνει προγραμματιστές με έδρα τη Ρωσία και θυγατρικές εταιρείες που κατοικούσαν σε όλο τον κόσμο. Σύμφωνα με το μοντέλο Ransomware-as-a-Service, οι προγραμματιστές ήταν υπεύθυνοι για τη δημιουργία και την ενημέρωση του ransomware και τη διάθεση του στις θυγατρικές εταιρείες. Οι θυγατρικές ήταν υπεύθυνες για τον εντοπισμό και την επίθεση σε θύματα υψηλής αξίας με το ransomware. Αφού πλήρωσε ένα θύμα, οι προγραμματιστές και οι θυγατρικές μοιράστηκαν τα λύτρα. Ο Sebastian Vachon-Desjardins ήταν ένας από τους πιο παραγωγικούς συνεργάτες ransomware του NetWalker.

Αυτή είναι μια φανταστική περίληψη ολόκληρου του μοντέλου ransomware-as-a-service, έτσι δεν είναι, με ένα πρακτικό παράδειγμα κάποιου πολύ μακριά από τη Ρωσία, ο οποίος είναι πραγματικά πολύ ενεργός στο να κάνει ολόκληρο το σύστημα να λειτουργήσει.

---

CHET.  Απολύτως.

Αυτός αντιπροσωπεύει, πιστεύω, περισσότερο από το 50% των υποτιθέμενων χρημάτων που έβαλε στην τσέπη η συμμορία του NetWalker.

Όταν συνελήφθη, είχε λίγο περισσότερα από 20 εκατομμύρια δολάρια σε κρυπτονομίσματα από αυτά τα λύτρα… και σκέφτηκα ότι διάβασα ότι το συνολικό ποσό των λύτρων που πιστεύεται ότι συγκέντρωσε η NetWalker ήταν κάπου στην περιοχή από 40 έως 50 εκατομμύρια δολάρια.

Επομένως, είναι ένα σημαντικό ποσό του κέρδους – αυτός ήταν ίσως η κύρια θυγατρική.

---

ΠΑΠΙΑ.  Είναι ξεκάθαρο, όπως λέτε, ότι αντιμετωπίζει έναν κόσμο προβλημάτων…

…αλλά ότι σίγουρα αναμένεται να εξοντώσει τους πρώην φίλους του.

Και ίσως αυτό να είναι καλό;

Ίσως καταφέρουν να κλείσουν περισσότερα παραδείγματα αυτού του είδους εγκληματικότητας ή περισσότερους ανθρώπους που εμπλέκονται σε αυτήν την παραγωγική ομάδα.

---

CHET.  Ίσως θα έπρεπε να το ολοκληρώσουμε με μερικές πιο συνοπτικές λέξεις απευθείας από τη συμφωνία, γιατί νομίζω ότι το ολοκληρώνει πραγματικά καλά:

«Ο κατηγορούμενος παραδέχεται την ενοχή του γιατί στην πραγματικότητα είναι ένοχος».

[ΓΕΛΙΑ]

Επομένως, αυτή είναι μια αρκετά σαφής δήλωση ότι δεν χρησιμοποιεί λέξεις νυφίτσας, ότι δεν αναλαμβάνει καμία ευθύνη για αυτό που έκανε, κάτι που νομίζω ότι είναι πολύ σημαντικό να ακούσουν τα θύματα.

Και επιπλέον λένε:

«Ο κατηγορούμενος συμφωνεί να συνεργαστεί πλήρως με τις Ηνωμένες Πολιτείες στην έρευνα και δίωξη άλλων προσώπων, συμπεριλαμβανομένης της πλήρους και πλήρους αποκάλυψης όλων των σχετικών πληροφοριών, συμπεριλαμβανομένης της παραγωγής οποιουδήποτε και όλων των βιβλίων, εγγράφων, εγγράφων και άλλων αντικειμένων που έχει στην κατοχή του ο κατηγορούμενος ή έλεγχος."

Και είμαι βέβαιος ότι τα «άλλα αντικείμενα» μπορεί να περιλαμβάνουν πράγματα όπως πορτοφόλια κρυπτονομισμάτων, φόρουμ συνομιλιών και πράγματα όπου έγινε ο σχεδιασμός για όλες αυτές τις βρώμικες πράξεις.

---

ΠΑΠΙΑ.  Ναι, και τότε τα καλά νέα είναι ότι οφειλόταν στην κατάσχεση ενός διακομιστή, πιστεύω, ότι κατάφεραν να δουλέψουν αντίστροφα προς αυτόν, μεταξύ άλλων ανθρώπων.

Ας περάσουμε στο τελευταίο μέρος του podcast που σχετίζεται με μια ιστορία που μπορείτε επίσης να διαβάσετε στο Naked Security…

Αυτό είναι περίπου 2FA phishing του Facebook, κάτι που σκέφτηκα να γράψω γιατί ο ίδιος έλαβα αυτήν την απάτη.

Όταν πήγα να το ερευνήσω, σκέφτηκα, «Αυτός είναι ένας από τους πιο πιστευτούς ψεύτικους ιστότοπους που έχω δει ποτέ».

Υπήρχε ένα ορθογραφικό λάθος, αλλά έπρεπε να το ψάξω. η ροή εργασίας είναι αρκετά πιστευτή. δεν υπάρχουν προφανή λάθη εκτός από το λάθος όνομα τομέα.

Και όταν κοίταξα την ώρα που έλαβα το email, όπου κι αν βρισκόμουν στη λίστα των παραληπτών – ίσως όχι στην κορυφή, ίσως στη μέση, ίσως στο κάτω μέρος, ποιος ξέρει; – ήταν μόλις 28 λεπτά αφότου οι απατεώνες είχαν αρχικά καταχωρήσει τον ψεύτικο τομέα που χρησιμοποιούσαν σε αυτήν την απάτη.

Έτσι, δεν κοιμούνται – όλα συμβαίνουν με ταχύτητα κεραυνού αυτές τις μέρες.

---

CHET.  Ακριβώς.

Έχω μια προειδοποίηση πριν προχωρήσω σε αυτό, η οποία είναι ότι σε καμία περίπτωση δεν θέλουμε να προτείνουμε στους ανθρώπους ότι δεν πρέπει να χρησιμοποιούν έλεγχο ταυτότητας πολλαπλών παραγόντων.

Αλλά αυτό μου θυμίζει… Σας απατούσα με ένα άλλο podcast σήμερα το πρωί, και ενώ ήμουν σε αυτό το άλλο podcast, εμφανίστηκε το θέμα του multifactor.

Και μια από τις προκλήσεις που έχουμε με τον πολυπαραγοντικό που αποτελείται απλώς από «μυστικούς κωδικούς αριθμούς», είναι ότι οι εγκληματίες μπορούν να λειτουργήσουν ως ένα είδος πληρεξούσιου στη μέση, όπου μπορούν απλώς να σας ζητήσουν τη σειρά των αριθμών, και αν ξεγελαστείτε για να τους το δώσετε, δεν παρέχει πραγματικά κανένα επιπλέον στρώμα προστασίας.

Υπάρχει μια σαφής διαφορά μεταξύ της χρήσης κάποιου είδους κλειδιού ασφαλείας, όπως ενός κλειδιού Titan από την Google ή ενός Yubikey, ή του ελέγχου ταυτότητας FIDO χρησιμοποιώντας πράγματα όπως ένα smartphone Android…

Υπάρχει μια διαφορά μεταξύ αυτού και κάτι που εμφανίζει έξι ψηφία στην οθόνη και λέει, "Δώστε αυτά στον ιστότοπο".

Τα έξι ψηφία στην οθόνη είναι μια σημαντική βελτίωση σε σχέση με τη χρήση απλώς κωδικού πρόσβασης, αλλά πρέπει να παραμείνετε σε επαγρύπνηση για αυτούς τους τύπους απειλών.

---

ΠΑΠΙΑ.  Εάν οι απατεώνες σας έχουν ήδη παρασύρει στο σημείο όπου είστε διατεθειμένοι να πληκτρολογήσετε το όνομα χρήστη και τον κωδικό πρόσβασής σας, τότε θα περιμένετε ότι αυτός ο κωδικός ελέγχου ταυτότητας δύο παραγόντων θα φτάσει σε SMS. θα περιμένετε να συμβουλευτείτε την εφαρμογή σας και να πληκτρολογήσετε ξανά τον κώδικα, έτσι δεν είναι;

Δεν λέω στους ανθρώπους «Σταματήστε να το χρησιμοποιείτε», γιατί σίγουρα κάνει τα πράγματα πιο δύσκολα για τους απατεώνες.

Αλλά δεν είναι πανάκεια – και, ακόμη πιο σημαντικό, εάν έχετε τον δεύτερο παράγοντα ελέγχου ταυτότητας, δεν σημαίνει ότι μπορείτε να είστε απλός με τον πρώτο.

Η ιδέα είναι ότι προορίζεται να πάρει κάτι που έχετε κάνει όσο πιο ισχυρό μπορείτε, π.χ. χρησιμοποιώντας έναν καλό κωδικό πρόσβασης που δημιουργείται από έναν διαχειριστή κωδικών πρόσβασης, και στη συνέχεια προσθέτετε κάτι που έχει επίσης δύναμη σε αυτό.

Διαφορετικά έχετε μισό FA συν το μισό FA ισούται με 1FA ξανά, έτσι δεν είναι;

---

CHET.  Ναι απολύτως.

Και υπάρχουν δύο πράγματα για την καταπολέμηση αυτού του τύπου επίθεσης, και το ένα είναι σίγουρα η χρήση αυτού του διαχειριστή κωδικών πρόσβασης.

Η ιδέα εκεί, φυσικά, είναι ότι ο διαχειριστής κωδικών πρόσβασης επικυρώνει ότι η σελίδα που σας ζητά τον κωδικό πρόσβασης *είναι στην πραγματικότητα αυτή για την οποία τον αποθηκεύσατε αρχικά*.

Αυτό είναι λοιπόν το πρώτο σας προειδοποιητικό σημάδι… όταν δεν προσφέρει τον κωδικό πρόσβασής σας στο Facebook επειδή ο ιστότοπος δεν είναι στην πραγματικότητα facebook.com, αυτό θα πρέπει να κρούει τον κώδωνα του κινδύνου ότι κάτι δεν πάει καλά, εάν πρέπει να ψάξετε μέσω του διαχειριστή κωδικών πρόσβασης στο βρείτε τον κωδικό πρόσβασης στο Facebook.

Λοιπόν, είναι η πρώτη σου ευκαιρία εδώ.

Και στη συνέχεια, εάν εσείς, όπως εγώ, χρησιμοποιείτε ένα διακριτικό FIDO όπου υποστηρίζεται (γνωστό και ως U2F ή Universal Second Factor), αυτό επαληθεύει επίσης ότι ο ιστότοπος που σας ρωτά είναι στην πραγματικότητα ο ιστότοπος με τον οποίο ρυθμίσατε αρχικά αυτόν τον έλεγχο ταυτότητας.

Πολλοί ιστότοποι, ειδικά μεγάλοι ιστότοποι που είναι πολύ ψαρωμένοι, όπως το Gmail και το Twitter, υποστηρίζουν αυτά τα μικρά κουπόνια USB που μπορείτε να έχετε στο μπρελόκ σας ή τα κουπόνια Bluetooth που μπορείτε να χρησιμοποιήσετε με το κινητό σας τηλέφωνο εάν τυχαίνει να χρησιμοποιείτε τη μάρκα κινητού τηλέφωνο που δεν του αρέσει να συνδέετε κουπόνια σε αυτό.

Αυτά είναι ένα επιπλέον επίπεδο ασφάλειας που είναι καλύτερο από αυτά τα έξι ψηφία.

Χρησιμοποιήστε, λοιπόν, ό,τι καλύτερο έχετε στη διάθεσή σας.

Αλλά όταν λαμβάνετε μια υπόδειξη όπως, "Αυτό είναι περίεργο, ο διαχειριστής κωδικών πρόσβασης δεν συμπληρώνει αυτόματα τον κωδικό πρόσβασής μου στο Facebook"… αυτό είναι το μεγάλο προειδοποιητικό σημάδι που αναβοσβήνει ότι κάτι σχετικά με αυτό δεν είναι αυτό που φαίνεται.

---

ΠΑΠΙΑ.  Οπωσδήποτε, επειδή ο διαχειριστής κωδικών πρόσβασης δεν προσπαθεί να είναι ένας τεχνητά έξυπνος, ευαίσθητος, "Γεια, μπορώ να αναγνωρίσω αυτή την όμορφη φωτογραφία φόντου που έχω δει τόσες φορές στον ιστότοπο."

Δεν ξεγελιέται από την εμφάνιση. λέει απλώς, "Μου ζητείται να βάλω έναν κωδικό πρόσβασης για έναν ιστότοπο που ήδη γνωρίζω;"

Αν όχι, τότε δεν μπορεί καν να προσπαθήσει να σας βοηθήσει, και όπως λέτε, αυτή είναι μια τέλεια προειδοποίηση.

Αλλά ήταν η ταχύτητα αυτού που με ενδιέφερε.

Ξέρω ότι όλα γίνονται πολύ γρήγορα αυτές τις μέρες, αλλά έλαβα το email 28 λεπτά μετά την πρώτη κυκλοφορία του domain.

---

CHET.  Ναι, αυτός είναι ένας άλλος δείκτης που χρησιμοποιούμε στα SophosLabs όταν αναλύουμε πράγματα: «Ω, αυτό είναι περίεργο, αυτός ο τομέας δεν υπήρχε πριν από μία ώρα. Πόσο πιθανό είναι να εμφανιστεί σε ένα email μέσα σε μια ώρα από τη δημιουργία;»

Επειδή ακόμη και τις καλύτερες μέρες που αγόρασα ένα νέο όνομα τομέα, δεν κατάφερα να ρυθμίσω τον διακομιστή αλληλογραφίας μου με εγγραφή MX για τουλάχιστον μία ώρα. [ΓΕΛΙΑ]

---

ΠΑΠΙΑ.  Τσέστερ, ας τελειώσουμε με αυτό που ανακοίνωσα στην αρχή ως "The Curious Case Of Chester's New Chums". Αυτό είναι ένα ενδιαφέρον είδος απατεώνων. Γνωρίστε τον Τσέστερ που σας συμβαίνει τις τελευταίες 24 ώρες, έτσι δεν είναι;

---

CHET.  Ναί…

Έχω έναν συγκεκριμένο τύπο ακολούθων, ας πούμε, και συνήθως μπορώ να εντοπίσω ανθρώπους που με ακολουθούν που είναι bot πολύ εύκολα… πρέπει να είσαι σε μια ιδιαίτερη τρελή νοοτροπία για να ενδιαφέρεσαι για τα πράγματα που δημοσιεύω στον λογαριασμό μου στο Twitter στο μεσα ΚΟΙΝΩΝΙΚΗΣ ΔΙΚΤΥΩΣΗΣ.

Και οποιοσδήποτε έχει αυτό το πνεύμα και θέλει να μάθει τι σκέφτομαι μπορεί να με ακολουθήσει στο Twitter (@chetwisniewski).

Αλλά μπλοκάρω πράγματα που μου φαίνονται ύποπτα, επειδή έχω βρεθεί στο τετράγωνο μερικές φορές και γνωρίζω πώς οι πληροφορίες συχνά ξύνονται από ρομπότ για να παρασύρουν τους ανθρώπους με εύλογα πράγματα.

Όταν βλέπω κάτι ύποπτο, το μπλοκάρω.

Δυστυχώς, ένας γνωστός μου βρέθηκε στην τραγωδία στις Ηνωμένες Πολιτείες χθες, στις XNUMX Ιουλίου, όπου σημειώθηκε πυροβολισμός, και δημοσίευσε ένα tweet για το πώς διέφυγε με τις κόρες του σε ασφαλές μέρος.

Ευτυχώς, αυτός και η οικογένειά του είναι καλά, αλλά ήταν ένα πολύ τραυματικό και συναισθηματικό γεγονός για αυτούς και, ως αποτέλεσμα, το tweet του είχε μια στιγμή, σωστά;

Δεκάδες χιλιάδες retweets. εκατοντάδες χιλιάδες likes… και συνήθως δεν είναι διάσημο άτομο που τραβά αυτή την προσοχή στο Twitter.

Και απάντησα με ανησυχία για την ασφάλειά του ο ίδιος, από τον λογαριασμό μου στο Twitter, και δεν έβαλα δύο και δύο μαζί μέχρι να σχεδιάσουμε αυτό το podcast…

Ξαφνικά, άρχισα να παίρνω πολύ τυχαία likes σε ένα παλιό tweet που δεν είχε καμία σχέση με καμία κατάσταση που είναι τρέχουσα.

Δημοσίευσα κάτι σχετικά με τη συνάντηση ανθρώπων στο Σαν Φρανσίσκο στο συνέδριο της RSA.

Φυσικά, αυτό το συμβάν ήταν πριν από περισσότερο από ένα μήνα και έχει τελειώσει εδώ και πολύ καιρό, και ως αποτέλεσμα αυτό το tweet είναι, στην πραγματικότητα, εντελώς αδιάφορο, ακόμη και για άτομα που μπορεί να ήταν προσωρινά ενδιαφέροντα, που ήθελαν να συναντηθούν μαζί μου στο RSA, και άρχισε να λαμβάνει όλα αυτά τα likes.

---

ΠΑΠΙΑ.  Ακόμη και σε άτομα που *συναντήθηκαν* μαζί σας στο RSA ακριβώς. [ΓΕΛΙΟ]

---

CHET.  Ο οποίος δεν ήταν πολύς κόσμος, γιατί αφού έφτασα εκεί και είδα τον εφιάλτη COVID που συνέβαινε, σκέφτηκα καλύτερα να συναντήσω πάρα πολλούς ανθρώπους στην RSA.

Αλλά αυτό το tweet άρχισε να παίρνει τυχαία likes, και άρχισα να κοιτάζω τα προφίλ αυτών των ανθρώπων που τους αρέσει το tweet, και δεν ήταν δικοί μου άνθρωποι… δεν είναι άνθρωποι που κανονικά θα με ακολουθούσαν.

Ο ένας δήλωνε πόση αγάπη είχε για διαφορετικούς Νιγηριανούς ποδοσφαιριστές και ένας άλλος υποστήριζε ότι ήταν μια γυναίκα από τη Νέα Υόρκη που ασχολούνταν με τη σκηνή της μόδας και τα μοντέλα και όλα αυτά τα πράγματα…

---

ΠΑΠΙΑ.  Ακριβώς στο δρόμο σου, Τσέστερ! [ΓΕΛΙΟ]

---

CHET.  Ναί. [ΓΕΛΙΑ]

Και όταν κοίταξα ποιους ακολουθούσαν αυτοί οι λογαριασμοί, ακολούθησαν ένα πολύ τυχαίο σύνολο ανθρώπων που δεν ήταν θεματικοί.

Οι περισσότεροι από τους ανθρώπους που με ακολουθούν με ακολουθούν λόγω θεμάτων ασφαλείας για τα οποία κάνω tweet. συχνά ακολουθούν πολλούς άλλους ανθρώπους της πληροφορικής.

Θα δω ότι ακολουθούν διαφορετικά είδη ανθρώπων «διασημοτήτων πληροφορικής» ή ακολουθούν πολλές εταιρείες τεχνολογίας… αυτά είναι σημάδια για μένα ότι είναι νόμιμοι ακόλουθοι.

Αλλά αυτοί οι λογαριασμοί: όταν τους κοίταξα, ήταν σαν μια διάσπαρτη φωτογραφία τυχαίων ανθρώπων που ακολουθούσαν.

Δεν υπήρχε ομοιοκαταληξία ή λόγος για κανένα από αυτά, κάτι που δεν μοιάζει με τους περισσότερους από εμάς.

Οι περισσότεροι από εμάς συμμετέχουμε στις αγαπημένες μας αθλητικές ομάδες ή οτιδήποτε άλλο χόμπι έχουμε, και υπάρχει πάντα ένα θέμα που διατρέχει τα άτομα που ακολουθούμε και το οποίο μπορείτε να εντοπίσετε πολύ εύκολα.

---

ΠΑΠΙΑ.  Ναι – όταν φτάσετε στον «16ο βαθμό διαχωρισμού», κυνηγώντας κάποιον στην τρύπα του κουνελιού του Twitter, είναι ένα πολύ καλό στοίχημα να μην κινείται πραγματικά στους κύκλους σας με κανέναν τρόπο!

---

CHET.  Ναί.

Και αυτό που είναι παράξενο σε αυτό είναι ότι δεν είμαι πραγματικά σίγουρος τι κάνουν, εκτός από το να προσκολλώνται σε αυτή τη φρικτή τραγωδία και να προσπαθούν να χτίσουν κάποιο είδος φήμης.

Και η μόνη μου εικασία ήταν ότι ίσως προσπαθούν να κάνουν άλλους ανθρώπους να ακολουθήσουν επειδή τους άρεσε το tweet τους, ή ίσως τουλάχιστον να τους αρέσει κάτι που έχουν δημοσιεύσει, για να προσπαθήσουν να τους δώσουν ένα είδος ώθησης στα μέσα κοινωνικής δικτύωσης.

Είναι απλώς λυπηρό που οι άνθρωποι προσκολλώνται σε αυτές τις τραγωδίες για να προσπαθήσουν να δημιουργήσουν οτιδήποτε άλλο εκτός από κάποια ενσυναίσθηση και συμπάθεια για τους ανθρώπους που εμπλέκονται.

Το να δίνετε σε αυτούς τους λογαριασμούς αυτό που θέλουν μπορεί να φαίνεται αρκετά αθώο… Ξέρω πολλούς ανθρώπους που λένε, «Ω, πάντα ακολουθώ πίσω».

Είναι πολύ επικίνδυνο να το κάνεις αυτό.

Δημιουργείτε φήμες που κάνουν τα πράγματα να φαίνονται νόμιμα, που επιτρέπουν τη συνεχή εξάπλωση της παραπληροφόρησης και των απειλών και των απατών.

Αυτό το μικρό like ή αυτό το follow back έχει πραγματικά σημασία με πολύ άσχημο τρόπο.

---

ΠΑΠΙΑ.  Συμφωνώ!

Chester, σας ευχαριστώ πολύ που μοιραστήκατε αυτήν την ιστορία σχετικά με το τι σας συνέβη στο Twitter, και συγκεκριμένα –όπως ακριβώς και η ιστορία Facebook 2FA Scam in 28 Minutes– την ταχύτητα με την οποία συνέβη.

Προφανώς οι απατεώνες προσπαθούν απλώς να αρμέξουν λίγη συμπάθεια από ανθρώπους που νιώθουν ότι είναι ίσως η στιγμή να είναι λίγο πιο τρυφεροί από το συνηθισμένο… χωρίς να σκέφτονται ποιες θα μπορούσαν να έχουν οι μακροπρόθεσμες συνέπειες της ουσιαστικής ευλογίας κάποιου που δεν το αξίζει έχω.

Σας ευχαριστούμε πολύ για την ενίσχυση για ολόκληρο το podcast σε σύντομο χρονικό διάστημα.

Ευχαριστώ όλους όσους άκουσαν.

Και ως συνήθως, μέχρι την επόμενη φορά…

---

ΚΑΙ ΤΑ ΔΥΟ.  Μείνετε ασφαλείς!

[ΜΟΥΣΙΚΟ ΜΟΝΤΕΜ]