S3 Ep140: Szóval úgy gondolja, hogy ismeri a ransomware-t?

S3 Ep140: Szóval úgy gondolja, hogy ismeri a ransomware-t?

Időbélyeg: 22. június 2023. 12:48
S3 Ep140: Szóval úgy gondolja, hogy ismeri a ransomware-t? PlatoBlockchain adatintelligencia. Függőleges keresés. Ai.
by Paul Ducklin

HALLGASS ÉS TANULJ

Gee Whiz BASIC (valószínűleg). Gondolok rád ismeri a ransomware-t? Megaupload, 11 év múlva. Az ASUS figyelmeztet kritikus router hibák. Mozgatni súlyos testi sértés III.

Nincs lent audiolejátszó? Hallgat közvetlenül a Soundcloudon.

Doug Aamoth-tal és Paul Ducklinnal. Intro és outro zene szerzője Edith Mudge.

Tovább hallgathatsz minket Soundcloudon, Apple Podcastok, Google Podcastok, Spotify, Fűzőgép és bárhol, ahol jó podcastok találhatók. Vagy csak dobd le a RSS hírfolyamunk URL-je a kedvenc podcatcheredbe.

OLVASSA EL AZ ÍRÁST

DOUG.  Router-bajok, Megaupload nagy bajban, és még több MOVEit káosz.

Mindez és még sok más a Naked Security podcastban.

[ZENEI MODEM]

Üdvözlünk mindenkit a podcastban.

Doug Aamoth vagyok; ő Paul Ducklin.

Paul, hogy vagy?

KACSA.  Csak egy pontosítás brit és nemzetközösségi angol hallgatóink számára, Doug…

DOUG.  "Router." [AZ UK-STYLE-T „ROOTER”-NEK KIJELVE, NEM az US-STYLE-t „ROWTER”-nek ejtve]

KACSA.  Gondolom, nem a famegmunkáló szerszámokra gondol?

DOUG.  Nem! [NEvet]

KACSA.  Azokra a dolgokra gondol, amelyek lehetővé teszik, hogy a csalók betörjenek a hálózatába, ha nem javítják őket időben?

DOUG.  Igen!

KACSA.  Hol az a viselkedése, amit „ROOTER”-nek neveznénk, jobban hasonlít a hálózatára, mint amit egy „ROWTER” az asztal szélére? [NEvet]

DOUG.  Pontosan! [NEvet]

Hamarosan rátérünk.

De először a miénk Ezen a héten a technikatörténetben szegmensben.

Paul, ezen a héten, június 18-án, jóval 1979-ben: nagy előrelépés a 16 bites számítástechnika terén, mivel a Microsoft bevezette BASIC programozási nyelvének 8086 processzorokhoz való változatát.

Ez a verzió visszafelé kompatibilis volt a 8 bites processzorokkal, így létrejött a BASIC, amely a Z80-as és 8080-as processzorokhoz is elérhető volt, és már mintegy 200,000 XNUMX számítógépen megtalálható volt, ez egy nyíl a legtöbb programozó tegezében, Paul.

KACSA.  Miből lett GW-BASIC!

Nem tudom, hogy ez igaz-e, de folyamatosan azt olvasom, hogy a GW-BASIC a „GEE WHIZZ” rövidítése! [NEvet]

DOUG.  Ha! [NEVETÉS]

KACSA.  Nem tudom, hogy ez igaz-e, de szeretem azt hinni, hogy így van.

DOUG.  Rendben, menjünk bele a történeteinkbe.

Mielőtt rátérnénk a hírekben szereplő dolgokra, örömmel jelentjük be a három epizód közül az elsőt. Azt hiszi, ismeri a Ransomware-t?

Ez egy 48 perces dokumentumfilm sorozat a Sophos-i barátaidtól.

„The Ransomware Documentary” – vadonatúj videósorozat a Sophostól, most indul!

Az első epizód ún A kiberbűnözés eredete, már megtekinthető a címen https://sophos.com/ransomware.

2. epizód, amely az ún Vadászok és vadászott, 28. június 2023-án lesz elérhető.

3. epizód, Fegyverek és harcosok, 5. július 2023-én csökken.

Nézze meg https://sophos.com/ransomware.

Láttam az első részt, és nagyon jó.

Választ ad minden kérdésére ennek a csapásnak az eredetével kapcsolatban, amellyel évről évre harcolunk, Paul.

KACSA.  És nagyon szépen beépül abba, amiről a rendszeres hallgatók tudni fogják, hogy ez a kedvenc mondásom (remélem, mostanra nem változtattam közhelyessé), nevezetesen: Azok, akik nem emlékeznek a történelemre, arra vannak ítélve, hogy megismételjék azt.

Ne légy az a személy! [NEvet]

DOUG.  Rendben, maradjunk a bűnözés témánál.

A Megaupload négy alapítója közül kettőnek börtönbüntetés.

A szerzői jog megsértéséről van szó, Paul, és körülbelül egy évtizede készül?

A Megaupload duó végre börtönbe kerül, de Kim Dotcom tovább küzd…

KACSA.  Igen.

Emlékszel a múlt héten, amikor átfogalmaztam ezt a viccet: „Ó, tudod, milyenek a buszok? Sokáig senki sem jön, aztán egyszerre három érkezik?” [NEVETÉS]

De muszáj volt összeraknom, hogy „kettő érkezik egyszerre”…

…és alighogy kimondtam, megérkezett a harmadik. [NEVETÉS]

És ez Új-Zélandon, vagy más néven Aotearoán kívül van.

A Megaupload egy hírhedt korai úgynevezett „fájltároló” szolgáltatás volt.

Ez nem „fájltároló”, mint a ransomware esetében, amely zárolja a fájlokat.

Ez egy „fájltároló”, mint egy edzőtermi szekrény… a felhőhely, ahová fájlokat tölthet fel, hogy később megkaphassa azokat.

Ezt a szolgáltatást megszüntették, elsősorban azért, mert az FBI az Egyesült Államokban eltávolítási parancsot kapott, és azt állította, hogy az elsődleges célja valójában nem az volt, hogy egy mega *feltöltés* szolgáltatás legyen, hanem az, hogy egy mega *letöltési* szolgáltatás legyen, az üzleti modell. amelynek alapja a szerzői jogok megsértésének ösztönzése és ösztönzése.

Ennek az üzletnek az elsődleges alapítója egy jól ismert név: Kim Dotcom.

És tényleg ez a vezetékneve.

Megváltoztatta a nevét (azt hiszem, eredetileg Kim Schmitz volt) Kim Dotcomra, létrehozta ezt a szolgáltatást, és éppen az Egyesült Államoknak való kiadatásért küzd, és továbbra is küzd, bár az Aotearoa-i bíróságok úgy ítélték meg, hogy nincs ok arra, hogy kiadja. ne adják ki.

A másik négy közül az egyik, Finn Batato nevű fickó, sajnos tavaly meghalt rákban.

De két másik személy, akik a Megaupload szolgáltatás fő mozgatói voltak, Mathias Ortmann és Bram van der Kolk…

…harcoltak a kiadatásért (érthető, hogy miért) az Egyesült Államokba, ahol potenciálisan súlyos börtönbüntetésre számíthatnak.

De végül úgy tűnt, hogy megegyeztek az új-zélandi bíróságokkal [Új-Zéland/Aotearoa], valamint az FBI-val és az Egyesült Államok Igazságügyi Minisztériumával.

Megállapodtak abban, hogy ehelyett Új-Zélandon indítanak eljárást ellenük, bűnösnek vallják magukat, és segítséget nyújtanak az amerikai hatóságoknak a folyamatban lévő nyomozásban.

És végül 2 év 7 hónap, illetve 2 év 6 hónap börtönbüntetést kaptak.

DOUG.  A bírónak abban az ügyben volt néhány érdekes megfigyelése, úgy éreztem.

KACSA.  Szerintem ott vagy, Doug.

Nevezetesen, hogy nem arról volt szó, hogy a bíróság azt mondta: "Elfogadjuk a tényt, hogy ezek a hatalmas megavállalatok szerte a világon dollármilliárdokat és milliárdokat veszítettek."

Valójában a bíró azt mondta, hogy ezeket az állításokat egy csipet sóval kell kezelni, és bizonyítékokat idézett, amelyek arra utalnak, hogy nem lehet egyszerűen azt mondani, hogy egyébként mindenki, aki letöltött egy kalózvideót, megvette volna az eredetit.

Tehát a pénzbeli veszteségeket nem lehet úgy összeadni, ahogyan azt egyes megakorpusok szeretik.

Mindazonáltal, mondta, ez nem teszi helyessé.

És ami még ennél is fontosabb, azt mondta: „Tényleg megbántottad a kis srácokat is, és ez legalább annyira számít.”

Idézte egy független szoftverfejlesztő esetét az új-zélandi dél-szigetről, aki azt írta a bíróságnak, hogy azt mondta: „Észrevettem, hogy a kalózkodás nagyot ront a bevételemen. Azt tapasztaltam, hogy 10-20 alkalommal kellett fellebbeznem a Megauploadnál a jogsértő tartalom eltávolítása érdekében; sok időmbe telt, mire ezt megtettem, és a legkisebb változás sem volt soha. És ezért nem azt mondom, hogy teljes mértékben ők a felelősek azért, hogy már nem tudtam megélni a vállalkozásomból, de azt mondom, mindent megtettem azért, hogy rávegyem őket, hogy szedjék le azokat a cuccokat, amelyekről azt mondták, megtenné, de soha nem működött.”

Valójában ez máshol jelent meg az ítéletben… ami 38 oldal, tehát elég hosszú olvasmány, de nagyon olvasmányos, és szerintem nagyon érdemes elolvasni.

A bíró különösen azt mondta a vádlottaknak, hogy felelősséget kell viselniük azért, mert beismerték, hogy nem akartak túl keményen fellépni a szerzői jogsértők ellen, mert "A növekedés elsősorban a jogsértéseken alapul."

És azt is megjegyezte, hogy kidolgoztak egy eltávolítási rendszert, amely alapvetően, ha több URL is letölthető ugyanannak a fájlnak…

…megőriztek egy példányt a fájlból, és ha panaszkodtál az URL-ről, eltávolították *az URL-t*.

DOUG.  Ah ha!

KACSA.  Tehát azt gondolná, hogy eltávolították a fájlt, de ott hagyták.

És ezt így jellemezte: – Tudta, és szándékában állt is, hogy az eltávolításoknak nincs anyagi hatása.

Ez az indie Kiwi szoftverfejlesztő pontosan ezt állította a bíróságnak adott nyilatkozatában.

És biztosan sok pénzt kerestek vele.

Ha megnézzük a Kim Dotcom ellen 2012-ben lezajlott vitatott razziáról készült képeket…

…volt neki ez a hatalmas ingatlan, és ezek a villogó autók furcsa rendszámmal [járműcímkékkel], mint pl. GOD és a GUILTY, mintha számított volna valamire. [NEvet]

A Megaupload eltávolítása a címoldalakra kerül, miközben Dotcom úr óvadékot kér

Tehát Kim Dotcom még mindig a kiadatásáért küzd, de a másik kettő úgy döntött, hogy véget akar vetni ennek az egésznek.

Tehát bűnösnek vallották magukat, és ahogy néhány kommentelőnk rámutatott a Naked Security-n: „Golly, azért, amit úgy tűnik, hogy tettek, amikor részletesen elolvastad az ítéletet, úgy tűnik, hogy az ítéletük enyhe volt.”

De úgy számolták ki, hogy a bíró úgy gondolta, hogy az Aotearoa-törvény alapján kiszabható maximális büntetés körülbelül 10 év.

Aztán arra a tényre alapozva, hogy bűnösnek vallják magukat, úgy gondolta, hogy együttműködnek, 10 millió dollárt fizetnek vissza, és így tovább, és így tovább, hogy 75% kedvezményt kell kapniuk.

És én úgy tudom, hogy ez azt jelenti, hogy lefektetik azt a félelmet, hogy kiadják őket az Egyesült Államoknak, mert úgy tudom, hogy az Igazságügyi Minisztérium azt mondta: „Rendben, hagyjuk, hogy az ítélet és az ítélet egy másik országban történjen. .”

Több mint tíz év telt el, és még mindig nincs vége!

Inkább mondd, Doug…

DOUG.  Yesss!

Ezt folyamatosan szemmel fogjuk tartani.

Köszönöm; menjünk tovább.

Ha van ASUS útválasztója, akkor lehet, hogy javítani kell, bár itt meglehetősen homályos idővonal néhány meglehetősen veszélyes sérülékenység miatt, Paul.

Az ASUS figyelmezteti az útválasztó ügyfeleit: javítsa ki most, vagy blokkolja az összes bejövő kérést

KACSA.  Igen, nem hihetetlenül világos, hogy mikor jelentek meg ezek a javítások a tanácsadóban felsorolt ​​számos útválasztó modellhez.

Néhány olvasónk azt mondja: „Nos, elmentem és megnéztem; Van egy ilyen útválasztóm, és rajta van a listán, de *most* nincsenek javítások. De nem sokkal ezelőtt kaptam néhány javítást, amelyek úgy tűnt, hogy megoldják ezeket a problémákat… akkor miért ez a tanács *most*?”

És a válasz: "Nem tudjuk."

Kivéve talán azt, hogy az ASUS felfedezte, hogy a szélhámosok ezeken vannak?

De ez nem csak az, hogy „Hé, azt javasoljuk, hogy javítsa”.

Azt mondják, foltoznod kell, és ha nem akarod vagy nem tudod megtenni, akkor mi "Erősen javasoljuk, hogy (ami alapvetően azt jelenti, hogy "jobb volt") tiltsa le az útválasztó WAN-oldaláról elérhető szolgáltatásokat, hogy elkerülje az esetleges nem kívánt behatolásokat."

És ez nem csak a tipikus figyelmeztetés: "Ó, ügyeljen arra, hogy a rendszergazdai felület ne legyen látható az interneten."

Megjegyzik, hogy a bejövő kérések blokkolása alatt azt értik, hogy lényegében *mindent* ki kell kapcsolni, ami azzal jár, hogy a router elfogadja a külsőt, és valamilyen hálózati kapcsolatot kezdeményez...

...beleértve a távoli adminisztrációt, a porttovábbítást (balszerencse, ha ezt játékra használod), a dinamikus DNS-t, bármilyen VPN-kiszolgálót és az általuk port triggerelést, ami szerintem a port kopogtatása, ahol vársz egy adott kapcsolatra, és csak akkor, ha nézze meg ezt a kapcsolatot, majd indít egy szolgáltatást helyben.

Tehát itt nem csak a webes kérések veszélyesek, vagy valami hiba lehet, ami miatt valaki titkos felhasználónévvel bejelentkezhet.

Ez egy egész sor különböző típusú hálózati forgalomról van szó, amely úgy tűnik, ha kívülről eléri a routert, akkor az útválasztót is elpusztíthatja.

Szóval borzasztóan sürgősnek hangzik!

DOUG.  A két fő sebezhetőség itt…

…van egy Nemzeti Sebezhetőségi Adatbázis, az NVD, amely egytől tízig terjedő skálán értékeli a sebezhetőségeket, és mindkettő 9.8/10.

Aztán van még egy csomó más, ami 7.5, 8.1, 8.8… egy csomó dolog, ami itt elég veszélyes. Pál.

KACSA.  Igen.

A „9.8 KRITIKUS”, csupa nagybetűvel írva, az a fajta dolog, ami azt jelenti [SUTTOGÁS]: „Ha a szélhámosok rájönnek erre, akkor mindenütt kiütések lesznek.”

És ami talán a legfurcsább abban a két 9.8/10-es rosszsági pontszámú biztonsági résben, hogy az egyik a CVE-2022-26376, és ez a HTTP unescaping hibája, ami alapvetően akkor van, ha van egy URL vicces karakterekkel, mint pl. terek…

…törvényesen nem lehet szóköz az URL-ben; fel kell tennie %20 ehelyett a hexadecimális kódját.

Ez nagyon alapvető fontosságú bármilyen URL-cím feldolgozásához az útválasztón.

És ez egy hiba volt, amelyre 2022-ben derült fény, ahogy a számból is látszik!

És van egy másik az úgynevezett Netatalk protokollban (amely támogatja az Apple számítógépeket), ez a Doug, CVE-2018-1160 sebezhetőség.

DOUG.  Az nagyon régen volt!

KACSA.  Ez volt!

Valójában a Netatalk egyik verziójában javították, amely szerintem a 3.1.12-es verzió volt, amely *20.* december 2018-án jelent meg.

És most csak arra figyelmeztetnek, hogy „meg kell szerezni a Netatalk új verzióját”, mert úgy tűnik, ez is kihasználható egy gaztett csomagon keresztül.

Így nem kell Mac; nem kell Apple szoftver.

Csak szüksége van valamire, ami a Netatalkot furcsán beszéli, és tetszőleges memória írási hozzáférést biztosít.

A 9.8/10-es hibapontszám mellett pedig azt kell feltételezni, hogy „a távoli kívülálló belenyúl egy vagy két hálózati csomagba, teljesen átveszi az irányítást a router felett root szintű hozzáféréssel, távoli kódvégrehajtási horror!”

Tehát miért tartott ilyen sokáig, hogy figyelmeztessék az embereket, hogy ki kell javítani ezt az ötéves hibát…

…és miért nem javították ki az ötéves hibát öt évvel ezelőtt, azt nem magyarázzák meg.

DOUG.  Rendben, van egy lista az útválasztókról, amelyeket ellenőriznie kell, és ha nem tudja javítani, akkor mindent meg kell tennie, hogy „blokkoljon minden bejövő dolgot”.

De azt hiszem, a mi tanácsunk folt lenne.

És a kedvenc tanácsom: Ha programozó vagy, kérlek, fertőtlenítsd a bemeneteidet!

KACSA.  Igen, a Little Bobby Tables ismét megjelent, Doug.

Mert az egyik hiba, ami nem a 9.8-as szinten volt (ez 7/10 vagy 8/10 szinten volt), a CVE-2023-28702 volt.

Ez alapvetően a MOVEit típusú hiba újra: A szűretlen speciális karakterek a web URL bevitelében parancsbefecskendezést okozhatnak.

Szóval ez elég széles ecsettel hangzik a kiberbűnözők számára.

És volt egy CVE-2023-31195, amely felkeltette a figyelmemet egy Munkamenet-eltérítés.

A programozók beállították azokat a lényegében hitelesítő token sütiket… azokat a varázslatos sztringeket, amelyek, ha a böngésző vissza tudja adni őket a jövőbeni kérésekben, azt bizonyítja a szervernek, hogy a munkamenet elején a felhasználó bejelentkezett, megfelelő felhasználónévvel, megfelelő jelszóval rendelkezett. , a megfelelő 2FA kód, bármi.

És most hozzák ezt a varázslatos „belépőkártyát”.

Tehát ezeket a cookie-kat fel kell címkézni, amikor beállítja őket, hogy soha ne kerüljenek továbbításra titkosítatlan HTTP-kérésekben.

Így sokkal nehezebbé válik egy szélhámosnak, hogy eltérítse őket… és ezt elfelejtették!

Tehát ez egy másik dolog a programozóknak: Nézze meg, hogyan állít be igazán jelentős cookie-kat, amelyekben vagy személyes adatok, vagy hitelesítési információk vannak, és győződjön meg arról, hogy nem hagyja nyitva őket a véletlen és könnyű megjelenés előtt.

DOUG.  Ezt (jobb belátásom ellenére, de ez a második az eddigi két sztoriból) úgy jelölöm meg, mint amilyenre figyelni fogunk.

KACSA.  Azt hiszem, igazad van, Doug, mert nem igazán tudom, miért, tekintve, hogy néhány útválasztónál ezek a javítások már megjelentek (bár később, mint szerette volna)… miért *most*?

És azt hiszem, a történetnek ennek a részének még fel kell tűnnie.

DOUG.  Kiderült, hogy egyáltalán nem tudjuk *nem* szemmel tartani ezt a MOVEit történetet.

Szóval, mi lesz ezen a héten, Paul?

MOVEit Mayhem 3: „A HTTP és HTTPS forgalom azonnali letiltása”

KACSA.  Nos, sajnálatos módon a Progress Software számára a harmadik busz egyszerre jött, úgymond. [NEVETÉS]

Összefoglalva tehát, az első a CVE-2023-34362 volt, amikor a Progress Software azt mondta: „Ó, ne! Nulladik nap van – igazából nem tudtunk erről. Ez egy SQL-befecskendezés, egy parancsbeviteli probléma. Itt a patch. De ez egy nulladik nap volt, és azért tudtunk róla, mert a zsarolóprogramok, a zsaroló csalók aktívan kihasználták ezt. Íme néhány kompromisszummutató [IOC].”

Tehát minden megfelelő dolgot megtettek, amilyen gyorsan csak tudtak, miután tudták, hogy probléma van.

Aztán elmentek és átnézték a saját kódjukat, és kitalálták: „Tudod, ha a programozók elkövették ezt a hibát egy helyen, akkor talán a kód más részein is elkövettek hasonló hibákat.”

És ez vezetett a CVE-2023-35036-hoz, ahol proaktívan befoltozták az eredetihez hasonló lyukakat, de amennyire tudták, először megtalálták őket.

És lám, akkor volt egy harmadik sebezhetőség.

Ez a CVE-2023-35708, ahol úgy tűnik, hogy az a személy, aki megtalálta, biztosan jól tudta, hogy a Progress Software teljes mértékben nyitott a felelősségteljes nyilvánosságra hozatalra és az azonnali reakcióra…

…úgy döntött, hogy a nyilvánosság elé áll.

Tehát nem tudom, hogy ezt „teljes nyilvánosságra hozatalnak” (azt hiszem, ez a hivatalos neve), „felelőtlen nyilvánosságra hozatalnak” (hallottam, hogy a Sophosnál mások így emlegették) vagy „eldobásnak” hívják-e. 0-day for fun”, így gondolom ezt.

Szóval ez egy kicsit kár volt.

És így a Progress Software azt mondta: „Nézd, valaki kihagyta ezt a 0 napot; nem tudtunk róla; dolgozunk a javításon. Ebben az apró átmeneti időszakban csak kapcsolja ki a webes felületet (tudjuk, hogy ez gondot okoz), és hagyja, hogy befejezzük a javítás tesztelését.”

És körülbelül egy napon belül azt mondták: „Rendben, itt a tapasz, most helyezd fel. Ezután, ha akarja, újra bekapcsolhatja a webes felületet.”

Szóval azt hiszem, mindent egybevéve, bár ez egy rossz megjelenés a Progress Software számára, mert először is benne vannak a hibák…

…ha ez valaha is megtörténne veled, akkor véleményem szerint az ő válaszaik követése egy nagyon jó tisztességes módja ennek!

DOUG.  Igen, dicséretet érdemel a Progress Software, beleértve az e heti megjegyzésünket is.

Ádám megjegyzései:

Mostanában durvának tűnik a MOVEit, de gratulálok gyors, proaktív és látszólag őszinte munkájukhoz.

Elméletileg megpróbálhatták volna ezt az egészet elhallgatni, de ehelyett eléggé előre szóltak a problémáról és arról, hogy mit kell tenni ellene.

Ettől legalább megbízhatóbbak a szememben…

…és azt hiszem, ez egy olyan érzés, amelyet másokkal is megosztanak, Paul.

KACSA.  Valóban az.

Ugyanezt hallottuk a közösségi média csatornáinkon is: bár sajnálatos, hogy náluk volt a hiba, és mindenki azt szeretné, ha nem így lenne, mégis hajlamosak megbízni a cégben.

Sőt, hajlamosak arra, hogy jobban bízzanak a cégben, mint korábban, mert azt gondolják, hogy válság idején hideg fejjel maradnak.

DOUG.  Nagyon jó.

Rendben, köszönöm, Ádám, hogy elküldted.

Ha van egy érdekes története, megjegyzése vagy kérdése, amelyet fel szeretne tenni, azt szívesen olvassuk a podcastban.

Írhat e-mailt a tips@sophos.com címre, kommentálhatja bármelyik cikkünket, vagy megkereshet minket a közösségi oldalon: @nakedsecurity.

Ez a mai műsorunk; köszönöm szépen, hogy meghallgattál.

Paul Ducklin számára Doug Aamoth vagyok, és emlékeztetem Önt a következő alkalomig, hogy…

MINDKÉT.  Maradjon biztonságban!

[ZENEI MODEM]

Időbélyeg:

Még több Meztelen biztonság