S3 Ep140: nii et arvate, et teate lunavara?

S3 Ep140: nii et arvate, et teate lunavara?

Ajatempel: 22. juuni 2023 kell 12
S3 Ep140: nii et arvate, et teate lunavara? PlatoBlockchaini andmete luure. Vertikaalne otsing. Ai.
by Paul Ducklin

KUULA JA ÕPI

Gee Whiz BASIC (ilmselt). Mõtle sina teada lunavara? megaüleslaadimine, 11 aastat hiljem. ASUS hoiatab kriitilised ruuteri vead. Liiguta seda kaos III osa.

Kas allpool pole helipleierit? Kuulake otse Soundcloudis.

Koos Doug Aamothi ja Paul Duckliniga. Intro ja outro muusika autor Edith Mudge.

Saate meid kuulata Soundcloud, Apple Podcastid, Google Podcastid, Spotify, Stitcher ja kõikjal, kus leidub häid taskuhäälingusaateid. Või lihtsalt loobuge Meie RSS-kanali URL oma lemmik taskupüüdjasse.

LUGEGE TRAKTI

DOUG.  Hädad ruuteriga, megaüleslaadimine megahädas ja muud MOVEiti kaost.

Kõik see ja palju muud Naked Security taskuhäälingusaates.

[MUUSIKAMODEEM]

Tere tulemast podcasti, kõik.

Mina olen Doug Aamoth; ta on Paul Ducklin.

Paul, kuidas sul läheb?

PART.  Lihtsalt täpsustuseks meie Briti ja Rahvaste Ühenduse Inglise kuulajatele, Doug…

DOUG.  "Ruuter." [HÄÄLDATUD UK-STYLE'I "ROOTER", MITTE US-STYLE'I "ROWTER"]

PART.  Sa ei mõtle vist puidutöötlemistööriistu?

DOUG.  Ei! [NAERAB]

PART.  Peate silmas asju, mis lasevad kelmidel teie võrku sisse murda, kui neid õigel ajal ei parandata?

DOUG.  Jah!

PART.  Kui käitumine, mida me nimetaksime "ROOTERiks", mõjub teie võrgule rohkem nagu "ROWTER" teie laua servale? [NAERAB]

DOUG.  Täpselt nii! [NAERAB]

Selleni jõuame varsti.

Aga kõigepealt meie See nädal tehnikaajaloos segment.

Paul, sel nädalal, 18. juunil, 1979. aastal: suur samm edasi 16-bitise andmetöötluse vallas, kuna Microsoft tõi välja oma BASIC programmeerimiskeele versiooni 8086 protsessoritele.

Paul.

PART.  Millest pidi saama GW-BASIC!

Ma ei tea, kas see on tõsi, kuid loen pidevalt, et GW-BASIC tähendab "GEE WHIZZ!" [NAERAB]

DOUG.  ha! [NAER]

PART.  Ma ei tea, kas see on tõsi, aga mulle meeldib seda arvata.

DOUG.  Olgu, asume oma lugudesse.

Enne kui jõuame uudistes leiduvate asjade juurde, on meil hea meel, mitte elevil, teatada esimene kolmest episoodist. Kas arvate, et teate lunavara?

See on 48-minutiline dokumentaalsari teie Sophose sõpradelt.

“The Ransomware Documentary” – Sophose uhiuus videosari, mis algab kohe!

Esimene episood, nn Küberkuritegevuse päritolu, on nüüd vaatamiseks saadaval aadressil https://sophos.com/ransomware.

Episood 2, mida nimetatakse Jahimehed ja Hunted, on saadaval 28. juunil 2023.

3. jagu, Relvad ja sõdalased, langeb 5. juulil 2023.

Vaadake seda aadressil https://sophos.com/ransomware.

Olen näinud esimest osa ja see on suurepärane.

See vastab kõigile küsimustele, mis teil võivad tekkida selle nuhtluse päritolu kohta, millega me aastast aastasse võitleme, Paul.

PART.  Ja see söödab väga kenasti sellesse, mida tavakuulajad teavad, et see on minu lemmikütlus (ma loodan, et ma pole seda praeguseks klišeeks muutnud), nimelt: Need, kes ajalugu ei mäleta, on mõistetud seda kordama.

Ära ole see inimene! [NAERAB]

DOUG.  Olgu, jääme kuritegevuse teema juurde.

Vanglaaeg kahele neljast Megauploadi asutajast.

Siin on kõne all autoriõiguste rikkumine, Paul, ja seda tehakse umbes kümme aastat?

Megauploadi duo läheb lõpuks vangi, kuid Kim Dotcom võitleb edasi…

PART.  Jah.

Mäletate eelmist nädalat, kui parafraseerisin seda nalja: "Oh, teate, mis bussid on? Ükski ei tule pikka aega ja siis saabub kolm korraga?” [NAER]

Kuid ma pidin selle muutma "kaks saabuvad korraga" ...

…ja kohe, kui ma seda ütlesin, saabus kolmas. [NAER]

Ja see on Uus-Meremaalt või Aotearoast, nagu seda alternatiivselt tuntakse.

Megaupload oli kurikuulus varane nn failihoidja teenus.

See ei ole "failihoidja", nagu lunavara puhul, mis teie failid lukustab.

See on "failikapp" nagu jõusaali kapp... pilvekoht, kuhu laadite faile üles, et saaksite need hiljem kätte saada.

See teenus võeti maha, peamiselt seetõttu, et USA FBI sai eemaldamiskorralduse ja väitis, et selle peamine eesmärk ei olnud tegelikult mitte niivõrd suur *üleslaadimisteenus, kuivõrd mega *allalaadimisteenus, ärimudel. mille aluseks oli autoriõiguste rikkumise julgustamine ja ergutamine.

Selle ettevõtte peamine asutaja on tuntud nimi: Kim Dotcom.

Ja see on tõesti tema perekonnanimi.

Ta muutis oma nime (arvan, et ta oli algselt Kim Schmitz) Kim Dotcomiks, lõi selle teenuse ja ta on just võidelnud USA-le väljaandmise vastu ja jätkab seda, kuigi Aotearoa kohtud on otsustanud, et tal pole põhjust. ei anta välja.

Ülejäänud neljast üks, kes on Finn Batato, suri eelmisel aastal kahjuks vähki.

Kuid kaks teist inimest, kes olid Megaupload teenuse peamised käivitajad, Mathias Ortmann ja Bram van der Kolk…

…nad võitlesid USA-le väljaandmise (saate aru, miks) väljaandmise eest, kus neid võis oodata suur vanglakaristus.

Kuid lõpuks tundus, et nad on sõlminud kokkuleppe Uus-Meremaa [Uus-Meremaa/Aotearoa] kohtutega ning FBI ja USA justiitsministeeriumiga.

Nad nõustusid, et nad esitavad süüdistuse hoopis Uus-Meremaal, tunnistasid end süüdi ja abistasid USA ametivõime käimasolevas uurimises.

Ja nad said vanglakaristused vastavalt 2 aastat 7 kuud ja 2 aastat 6 kuud.

DOUG.  Tundsin, et selle kohtuasja kohtunikul oli huvitavaid tähelepanekuid.

PART.  Ma arvan, et sa oled seal, Doug.

Eelkõige ei olnud küsimus selles, et kohus ütles: "Me aktsepteerime tõsiasja, et need tohutud megakorporatsioonid üle kogu maailma kaotasid miljardeid ja miljardeid dollareid."

Tegelikult ütles kohtunik, et peate suhtuma nendesse väidetesse näpuotsaga, ja tsiteeris tõendeid, mis viitavad sellele, et te ei saa lihtsalt väita, et kõik, kes piraatvideo alla laadisid, oleksid muidu originaali ostnud.

Seega ei saa rahalisi kahjusid liita nii, nagu mõnele megakorpusele meeldib.

Sellegipoolest ei tee see tema sõnul seda õigeks.

Ja mis veelgi olulisem, ütles ta: "Te tegite ka väikestele poistele haiget ja see on sama oluline."

Ja ta tsiteeris juhtumit NZ-i Lõunasaarelt pärit indie-tarkvaraarendaja juhtumist, kes kirjutas kohtule, et öelda: „Märkasin, et piraatlus tegi minu sissetulekutele suure mõra. Avastasin, et pidin 10 või 20 korda esitama Megauploadile apellatsiooni, et nõuda õigusi rikkuva sisu eemaldamist; mul kulus selleks palju aega ja see ei muutnud kunagi vähimatki. Ja seega ma ei väida, et nad on täielikult vastutavad selle eest, et ma ei saanud enam oma ärist välja elada, aga ma ütlen, et ma tegin kõik selle pingutuse, et panna nad maha võtma need asjad, mille kohta nad ütlesid, et nad teeks, aga see ei töötanud kunagi."

Tegelikult tuli see välja mujal kohtuotsuses… mis on 38 lehekülge, nii et see on üsna pikk lugemine, kuid see on väga loetav ja ma arvan, et see on lugemist väärt.

Nimelt ütles kohtunik süüdistatavatele, et nad peavad kandma vastutust selle eest, et nad tunnistasid, et nad ei tahtnud autoriõiguste rikkujate suhtes liiga karmiks minna, sest "Kasv põhineb peamiselt rikkumistel."

Ja ta märkis ka, et nad töötasid välja eemaldamissüsteemi, mis põhimõtteliselt, kui sama faili allalaadimiseks oleks mitu URL-i…

…nad säilitasid failist ühe eksemplari ja kui kaebasite URL-i üle, eemaldasid nad *selle URL-i*.

DOUG.  Ah haa!

PART.  Nii et arvate, et nad on faili eemaldanud, kuid jätsid faili sinna.

Ja ta kirjeldas seda järgmiselt: "Te teadsite ja kavatsesite, et mahavõtmistel pole olulist mõju."

Just seda oli see indie Kiwi tarkvaraarendaja oma avalduses kohtule väitnud.

Ja kindlasti pidid nad sellest palju raha teenima.

Kui vaadata fotosid vastuolulisest Kim Dotcomi reidist 2012. aastal…

…tal oli see tohutu vara ja kõik need veidrate numbrimärkidega [sõidukisildid] vilkuvad autod nagu GOD ja GUILTY, nagu oleks ta midagi ette aimanud. [NAERAB]

Megaupload eemaldamine jõuab pealkirjadesse ja laineid, kuna hr Dotcom taotleb kautsjoni

Niisiis võitleb Kim Dotcom endiselt oma väljaandmisega, kuid need teised kaks on otsustanud, et tahavad sellega kõik läbi saada.

Seega tunnistasid nad end süüdi ja nagu mõned meie kommentaatorid on Naked Security'is märkinud: "Golly, selle eest, mida nad kohtuotsust üksikasjalikult läbi lugedes näivad olevat, tundub, et nende karistus oli kerge."

Kuid kohtunik arvas, et Aotearoa seaduse kohaselt peaks nende maksimaalne karistus olema umbes 10 aastat.

Ja siis ta arvas selle põhjal, et nad tunnistasid end süüdi, et nad kavatsevad koostööd teha, et nad maksavad tagasi 10 miljonit dollarit ja nii edasi ja nii edasi, et nad peaksid saama 75% allahindlust.

Ja ma saan aru, et see tähendab, et nad panevad magama hirmu, et nad antakse USA-le välja, sest minu arusaam on, et justiitsministeerium on öelnud: "OK, me laseme süüdimõistmisel ja kohtuotsuse tegemisel juhtuda teises riigis. .”

Rohkem kui kümme aastat möödas ja ikka pole veel lõppenud!

Parem ütle seda, Doug…

DOUG.  Yesss!

Hoiame sellel silma peal.

Aitäh; liigume edasi.

Kui teil on ASUSe ruuter, peate võib-olla parandama, ehkki siin on üsna hägune ajaskaala mõne üsna ohtliku haavatavusega, Paul.

ASUS hoiatab ruuteri kliente: parandage kohe või blokeerige kõik sissetulevad taotlused

PART.  Jah, pole väga selge, millal need plaastrid paljudele nõuandes loetletud ruuterimudelitele välja tulid.

Mõned meie lugejad ütlevad: "Noh, ma läksin ja vaatasin; Mul on üks neist ruuteritest ja see on loendis, kuid *praegu* pole ühtegi plaastrit. Kuid ma sain mõni aeg tagasi mõned plaastrid, mis näisid need probleemid lahendavat... miks siis nõuanne *nüüd*?

Ja vastus on: "Me ei tea."

Välja arvatud ehk see, et ASUS on avastanud, et kelmid on nende peal?

Kuid see pole lihtsalt "Hei, me soovitame teil plaastrit."

Nad ütlevad, et peate lappima ja kui te ei soovi või ei saa seda teha, siis me "Soovitame tungivalt (mis tähendab põhimõtteliselt "teil oli parem") keelata ruuteri WAN-i poolelt juurdepääsetavad teenused, et vältida võimalikke soovimatuid sissetungi."

Ja see pole lihtsalt teie tüüpiline hoiatus: "Oh, veenduge, et teie administraatoriliides poleks Internetis nähtav."

Nad märgivad, et sissetulevate päringute blokeerimise all mõeldakse seda, et peate välja lülitama põhimõtteliselt *kõik*, mis hõlmab seda, et ruuter nõustub välise võrguühenduse algatamisega ...

…sealhulgas kaughaldus, pordi suunamine (ebaõnn, kui kasutate seda mängimiseks), dünaamiline DNS, mis tahes VPN-serverid ja see, mida nad kutsuvad pordi käivitamiseks, mis on vist pordi koputamine, kus ootate konkreetset ühendust ja ainult siis, kui vaadake seda ühendust, kas käivitate siis kohaliku teenuse.

Seega pole siin ohtlikud ainult veebipäringud või mõni viga, mis lubab kellelgi salajase kasutajanimega sisse logida.

See on terve rida erinevat tüüpi võrguliiklust, mis väljastpoolt teie ruuterini jõuavad, näib, et see võib teie ruuteri pwnida.

Nii et see tundub kohutavalt kiireloomuline!

DOUG.  Kaks peamist haavatavust siin…

…on National Vulnerability Database, NVD, mis hindab turvaauke skaalal ühest kümneni ja mõlemad on 9.8/10.

Ja siis on veel terve hulk teisi, mille 7.5, 8.1, 8.8… terve hulk asju, mis on siin päris ohtlikud. Paul.

PART.  Jah.

"9.8 KRIITILINE", kõik suurte tähtedega, on selline asi, mis tähendab [SOSISTAMINE]: "Kui kelmid sellest aru saavad, on neil see kõik nagu lööve."

Kõige veidram nende kahe 9.8/10 halbusskooriga haavata on aga see, et üks neist on CVE-2022-26376 ja see on HTTP vältimise viga, mis on põhimõtteliselt siis, kui teie URL sisaldab naljakaid märke, näiteks ruumid…

…teie URL-is ei tohi seaduslikult olla tühikut; pead panema %20 selle asemel kuueteistkümnendkoodiga.

See on ruuteri mis tahes URL-i töötlemisel üsna oluline.

Ja see oli viga, mis ilmnes, nagu numbrist näha, 2022. aastal!

Nn Netatalki protokollis (mis pakub Apple'i arvutitele tuge) on veel üks, milleks oli haavatavus, Doug, CVE-2018-1160.

DOUG.  See oli ammu!

PART.  See oli!

See parandati tegelikult Netatalki versioonis, mis minu arvates oli versioon 3.1.12, mis tuli välja 20. detsembril *2018*.

Ja nad hoiatavad ainult selle eest, et "peate hankima Netatalki uue versiooni", sest tundub, et ka seda saab ära kasutada võltspaketi kaudu.

Nii et te ei vaja Maci; te ei vaja Apple'i tarkvara.

Teil on vaja lihtsalt midagi, mis räägib Netatalki veidral viisil ja see võib anda teile meelevaldse mälu kirjutamise juurdepääsu.

Ja veaskooriga 9.8/10, peate eeldama, et see tähendab, et "kaugjuht torkab ühe või kahe võrgupaketi sisse, võtab teie ruuteri täielikult üle juurjuurdepääsuga, koodi kaugkäitamise õudus!"

Nii et miks neil kulus nii kaua aega, et inimesi hoiatada, et neil on vaja see viis aastat vana viga parandada…

…ja miks neil tegelikult viis aastat tagasi viis aastat vana vea parandamist ei olnud, pole selgitatud.

DOUG.  OK, seega on ruuterite loend, mida peaksite kontrollima, ja kui te ei saa paika panna, peaksite tegema kõike, mis "blokeerib kõik sissetulevad asjad".

Aga ma arvan, et meie nõuanne oleks plaaster.

Ja minu lemmiknõuanne: Kui olete programmeerija, desinfitseerige oma sisendid, palun!

PART.  Jah, Little Bobby Tables on taas ilmunud, Doug.

Kuna üks teistest vigadest, mis ei olnud tasemel 9.8 (see oli 7/10 või 8/10 tasemel), oli CVE-2023-28702.

Põhimõtteliselt on see MOVEit-tüüpi viga jällegi: Veebi URL-i sisendis olevad filtreerimata erimärgid võivad põhjustada käsusüsti.

See kõlab nagu päris lai pintsel küberkurjategijatele maalimiseks.

Ja minu tähelepanu köitis CVE-2023-31195, mille varjus Seansi kaaperdamine.

Programmeerijad seadsid paika, mis on sisuliselt autentimislubade küpsised... need võlustringid, mis juhul, kui brauser suudab neid tulevaste päringute puhul tagasi anda, tõestavad serverile, et seansi alguses logis kasutaja sisse õige kasutajanime ja parooli. , õige 2FA kood, mis iganes.

Ja nüüd toovad nad selle maagilise "pääsukaardi".

Seega peaksite need küpsised nende seadistamisel märgistama, et neid ei edastataks kunagi krüptimata HTTP-päringutes.

Nii on kelmil nende kaaperdamine palju raskem... ja nad unustasid seda teha!

See on programmeerijate jaoks teine ​​asi: Minge ja vaadake üle, kuidas määrate tõeliselt olulised küpsised, mis sisaldavad kas privaatset teavet või autentimisteavet, ja veenduge, et te ei jätaks neid kogemata ja hõlpsasti avatuks.

DOUG.  Märkin selle (vastu minu paremat otsust, kuid see on kahest senisest loost teine) kui lugu, millel me silma peal hoiame.

PART.  Ma arvan, et sul on õigus, Doug, sest ma ei tea tegelikult, miks, arvestades, et mõne ruuteri jaoks olid need paigad juba ilmunud (ehkki hiljem, kui oleks tahtnud)… miks *nüüd*?

Ja ma arvan, et see osa loost peab ikkagi välja tulema.

DOUG.  Selgub, et me ei saa absoluutselt *mitte* sellel MOVEiti lool silma peal hoida.

Niisiis, mis meil sel nädalal on, Paul?

MOVEit Mayhem 3: "Keelake kohe HTTP- ja HTTPS-liiklus"

PART.  Noh, Progress Software kahjuks tuli kolmas buss korraga nagu see oli. [NAER]

Kokkuvõtteks võib öelda, et esimene oli CVE-2023-34362, mis siis, kui Progress Software ütles: "Oh ei! Praegu on nullpäev – me tõesti ei teadnud sellest. See on SQL-i süstimine, käskude sisestamise probleem. Siin on plaaster. Kuid see oli nullpäev ja saime sellest teada, kuna lunavarakelmid, väljapressimiskelmid, kasutasid seda aktiivselt ära. Siin on mõned kompromissi näitajad [IoC-d].

Nii et nad tegid kõik õiged asjad nii kiiresti kui suutsid, kui said teada, et probleem on olemas.

Siis läksid nad ja vaatasid oma koodi üle, leides: "Teate, kui programmeerijad tegid selle vea ühes kohas, võib-olla tegid nad sarnaseid vigu koodi teistes osades."

Ja see viis CVE-2023-35036-ni, kus nad lappisid ennetavalt augud, mis olid nagu algsed, kuid nii palju kui nad teadsid, leidsid nad need esimesena.

Ja ennäe imet, siis tekkis kolmas haavatavus.

See on CVE-2023-35708, kus tundub, et inimene, kes selle leidis, teades kindlasti hästi, et tarkvara Progress oli täiesti avatud vastutustundlikule avalikustamisele ja kiirele reageerimisele…

…otsustasin ikkagi avalikuks minna.

Nii et ma ei tea, kas te nimetate seda "täielikuks avalikustamiseks" (ma arvan, et see on selle ametlik nimi), "vastutustundetuks avalikustamiseks" (olen kuulnud, et teised Sophose inimesed viitavad sellele) või "loobumine". 0-day for fun”, mida ma sellest arvan.

Nii et sellest oli natuke kahju.

Ja nii ütles Progress Software: "Vaata, keegi jättis selle 0-päeva vahele; me ei teadnud sellest; me töötame plaastri kallal. Sel väikesel vahepealsel perioodil lülitage lihtsalt oma veebiliides välja (me teame, et see on tülikas) ja laske meil plaastri testimine lõpetada.

Ja umbes päeva jooksul ütlesid nad: "Õige, siin on plaaster, nüüd paigaldage see. Seejärel saate soovi korral oma veebiliidese uuesti sisse lülitada.

Nii et ma arvan, et kokkuvõttes, kuigi see on Progressi tarkvara jaoks halb välimus, kuna sellel on vead...

…kui see peaks teiega kunagi juhtuma, siis nende reaktsioonide järgimine on minu arvates päris lõbus viis seda teha!

DOUG.  Jah, meil on Progressi tarkvara kiitust, sealhulgas selle nädala kommentaar selle loo kohta.

Adam kommenteerib:

Tundub, et MOVEit on viimasel ajal karm, kuid ma kiidan neid kiire, ennetava ja ilmselt ausa töö eest.

Teoreetiliselt oleksid nad võinud proovida seda kõike vaikida, kuid selle asemel on nad probleemi ja selle vastu ettevõtmiste osas üsna avameelselt rääkinud.

Vähemalt muudab see need minu silmis usaldusväärsemaks ...

…ja ma arvan, et seda tunnet jagatakse ka teistega, Paul.

PART.  See on tõepoolest.

Oleme sama asja kuulnud ka oma sotsiaalmeediakanalites: kuigi on kahetsusväärne, et neil viga oli ja kõik soovivad, et nad seda ei teeks, on nad siiski valmis seda ettevõtet usaldama.

Tegelikult võivad nad ettevõtet rohkem usaldada kui varem, sest arvavad, et hoiavad kriisiolukorras külma närvi.

DOUG.  Väga hea.

Olgu, tänan sind, Adam, et selle sisse saatsid.

Kui teil on huvitav lugu, kommentaar või küsimus, mille soovite esitada, loeksime seda hea meelega taskuhäälingusaates.

Võite saata e-posti aadressil tips@sophos.com, kommenteerida mõnda meie artiklit või anda meile suhtlusvõrgustik: @nakedsecurity.

See on meie tänane saade; tänan väga kuulamast.

Paul Ducklini jaoks olen mina Doug Aamoth, tuletan teile kuni järgmise korrani meelde, et…

MÕlemad.  Ole turvaline!

[MUUSIKAMODEEM]

Ajatempel:

Veel alates Alasti turvalisus