S3 Odc.140: Myślisz, że znasz oprogramowanie ransomware?

S3 Odc.140: Myślisz, że znasz oprogramowanie ransomware?

Znacznik czasu: 22 czerwca 2023 12:48
S3 Odc.140: Więc myślisz, że znasz oprogramowanie ransomware? Inteligencja danych PlatoBlockchain. Wyszukiwanie pionowe. AI.
by Paweł Kaczor

SŁUCHAJ I UCZ SIĘ

Gee Whiz BASIC (prawdopodobnie). Myślę że Ty znać ransomware? Megaprzesłanie, 11 lat później. ASUS ostrzega przed krytyczne błędy routera. Rusz to chaos Część III.

Nie ma odtwarzacza audio poniżej? Słuchać bezpośrednio na Soundcloudzie.

Z Dougiem Aamothem i Paulem Ducklinem. Muzyka intro i outro autorstwa Edyta Mudge.

Możesz nas posłuchać SoundCloud, Podcasty Apple, Podcasty Google, Spotify, Stitcher i wszędzie tam, gdzie można znaleźć dobre podcasty. Lub po prostu upuść URL naszego kanału RSS do swojego ulubionego podcatchera.

PRZECZYTAJ TRANSKRYPTU

DOUG.  Problemy z routerem, Megaupload w megakłopotach i jeszcze więcej chaosu w MOVEit.

Wszystko to i wiele więcej w podkaście Naked Security.

[MOM MUZYCZNY]

Witam wszystkich w podkaście.

Jestem Doug Aamoth; to jest Paul Ducklin.

Paul, jak się masz?

KACZKA.  Tylko ujednoznacznienie dla naszych słuchaczy z Wielkiej Brytanii i Wspólnoty Narodów, Doug…

DOUG.  „Router”. [W STYLU WIELKIEJ BRYTANII WYMIENIANE JAKO „ROOTER”, A NIE W STYLU USA JAKO „ROWTER”]

KACZKA.  Chyba nie masz na myśli narzędzi do obróbki drewna?

DOUG.  NIE! [ŚMIECH]

KACZKA.  Masz na myśli rzeczy, które pozwalają oszustom włamać się do twojej sieci, jeśli nie zostaną na czas załatane?

DOUG.  Tak!

KACZKA.  Gdzie zachowanie tego, co nazwalibyśmy „ROOTER” robi z twoją siecią bardziej niż to, co „ROWTER” zrobiłby z krawędzią twojego stołu? [ŚMIECH]

DOUG.  Dokładnie! [ŚMIECH]

Wkrótce do tego dojdziemy.

Ale najpierw nasz W tym tygodniu w historii technologii Segment.

Paul, w tym tygodniu, 18 czerwca, dawno temu, w 1979 roku: duży krok naprzód dla komputerów 16-bitowych, ponieważ Microsoft wprowadził wersję swojego języka programowania BASIC dla procesorów 8086.

Ta wersja była wstecznie kompatybilna z 8-bitowymi procesorami, dzięki czemu BASIC, który był dostępny dla procesorów Z80 i 8080 i został znaleziony na około 200,000 XNUMX komputerów, jest strzałą w kołczany większości programistów, Paul.

KACZKA.  Co miało stać się GW-BASIC!

Nie wiem, czy to prawda, ale ciągle czytam, że GW-BASIC to skrót od „GEE WHIZZ!” [ŚMIECH]

DOUG.  Ha! [ŚMIECH]

KACZKA.  Nie wiem, czy to prawda, ale lubię myśleć, że tak.

DOUG.  Dobra, przejdźmy do naszych historii.

Zanim przejdziemy do rzeczy, które są w wiadomościach, jesteśmy zadowoleni, ba, podekscytowani, mogąc ogłosić pierwszy z trzech odcinków Myślisz, że znasz oprogramowanie ransomware?

To 48-minutowy serial dokumentalny tworzony przez twoich przyjaciół z Sophos.

„The Ransomware Documentary” – zupełnie nowa seria wideo od Sophos już dostępna!

Pierwszy odcinek, tzw Geneza cyberprzestępczości, jest już dostępny do oglądania pod adresem https://sophos.com/ransomware.

Odcinek 2, który nazywa się Łowcy i ścigani, będzie dostępny 28 czerwca 2023 r.

Odcinek 3, Broń i wojownicy, spadnie 5 lipca 2023 r.

Sprawdź to na https://sophos.com/ransomware.

Widziałem pierwszy odcinek i jest świetny.

Odpowiada na wszystkie pytania, jakie możesz mieć na temat pochodzenia tej plagi, z którą walczymy rok po roku, Paul.

KACZKA.  I bardzo dobrze wpisuje się w to, co zwykli słuchacze będą wiedzieć, że jest moim ulubionym powiedzeniem (mam nadzieję, że do tej pory nie zamieniłem go w frazes), a mianowicie: Ci, którzy nie pamiętają historii, są skazani na jej powtarzanie.

Nie bądź tą osobą! [ŚMIECH]

DOUG.  Dobra, zostańmy przy temacie przestępstw.

Więzienie dla dwóch z czterech założycieli Megaupload.

Naruszenie praw autorskich, o które tu chodzi, Paul, i trwające około dekady?

Duet Megaupload w końcu trafi do więzienia, ale Kim Dotcom walczy dalej…

KACZKA.  Tak.

Pamiętasz, jak w zeszłym tygodniu sparafrazowałem ten żart: „Och, wiesz, jakie są autobusy? Żaden nie przychodzi przez wieki, a potem przybywa trzech naraz? [ŚMIECH]

Ale musiałem to rozłożyć na „dwa przyjazdy na raz”…

…i ledwie to powiedziałem, pojawił się trzeci. [ŚMIECH]

A to pochodzi z Nowej Zelandii, czyli Aotearoa, jak to się alternatywnie nazywa.

Megaupload był niesławną wczesną tak zwaną usługą „schowka na pliki”.

To nie jest „blokada plików”, jak w oprogramowaniu ransomware, które blokuje twoje pliki.

To „schowek na pliki” jak schowek na siłowni… miejsce w chmurze, w którym przesyłasz pliki, aby móc je później pobrać.

Ta usługa została usunięta, głównie dlatego, że FBI w USA otrzymało nakaz usunięcia i twierdziło, że jej głównym celem było w rzeczywistości nie tyle bycie mega usługą *przesyłania*, co by była mega usługą *pobierania*, model biznesowy z których opierało się na zachęcaniu i zachęcaniu do naruszania praw autorskich.

Głównym założycielem tego biznesu jest dobrze znana nazwa: Kim Dotcom.

I to naprawdę jest jego nazwisko.

Zmienił nazwisko (wydaje mi się, że pierwotnie nazywał się Kim Schmitz) na Kim Dotcom, stworzył tę usługę, a on właśnie walczy o ekstradycję do USA i nadal to robi, mimo że sądy Aotearoa orzekły, że nie ma powodu, dla którego mógłby nie podlegać ekstradycji.

Jeden z pozostałych czterech, facet o imieniu Finn Batato, niestety zmarł na raka w zeszłym roku.

Ale dwie inne osoby, które były głównymi inicjatorami usługi Megaupload, Mathias Ortmann i Bram van der Kolk…

… walczyli o ekstradycję (można zrozumieć dlaczego) do Stanów Zjednoczonych, gdzie potencjalnie groziły im wysokie wyroki więzienia.

Ale w końcu wydawało się, że zawarli układ z sądami w Nowej Zelandii [Nowa Zelandia/Aotearoa] oraz z FBI i Departamentem Sprawiedliwości w USA.

Zamiast tego zgodzili się być ścigani w Nowej Zelandii, przyznać się do winy i pomóc władzom USA w toczącym się dochodzeniu.

Skończyło się na wyrokach odpowiednio 2 lat i 7 miesięcy oraz 2 lat i 6 miesięcy więzienia.

DOUG.  Czułem, że sędzia w tej sprawie miał kilka interesujących spostrzeżeń.

KACZKA.  Myślę, że jesteś tam, Doug.

Warto zauważyć, że nie chodziło o to, by sąd powiedział: „Akceptujemy fakt, że te ogromne megakorporacje na całym świecie straciły miliardy dolarów”.

W rzeczywistości sędzia powiedział, że należy traktować te twierdzenia z przymrużeniem oka i przytoczył dowody sugerujące, że nie można po prostu powiedzieć, że każdy, kto pobrał pirackie wideo, kupiłby oryginał.

Nie można więc sumować strat pieniężnych w sposób, w jaki lubią to robić niektóre megakorporacje.

Niemniej jednak, powiedział, to nie czyni tego właściwym.

A co ważniejsze, powiedział: „Naprawdę skrzywdziłeś również tych małych, a to ma równie duże znaczenie”.

Zacytował przypadek niezależnego programisty z Wyspy Południowej w Nowej Zelandii, który napisał do sądu, mówiąc: „Zauważyłem, że piractwo powoduje duży ubytek w moich dochodach. Zauważyłem, że 10 lub 20 razy musiałem odwoływać się do Megaupload, aby usunąć treści naruszające prawo; zajęło mi to dużo czasu i nigdy nie zrobiło to najmniejszej różnicy. Więc nie twierdzę, że są całkowicie odpowiedzialni za to, że nie mogłem dłużej utrzymywać się z mojego biznesu, ale mówię, że dołożyłem wszelkich starań, aby usunęli rzeczy, o których mówili, że zrobiłby, ale nigdy nie zadziałał”.

Właściwie to wyszło gdzie indziej w wyroku… który ma 38 stron, więc jest to dość długa lektura, ale jest bardzo czytelna i myślę, że jest bardzo warta przeczytania.

Warto zauważyć, że sędzia powiedział oskarżonym, że muszą ponieść odpowiedzialność za to, że przyznali się, że nie chcieli być zbyt surowi wobec osób naruszających prawa autorskie, ponieważ „Wzrost opiera się głównie na naruszeniach”.

Zauważył również, że opracowali system usuwania, który zasadniczo, jeśli istnieje wiele adresów URL do pobrania tego samego pliku…

…zachowali jedną kopię pliku, a jeśli złożysz skargę na adres URL, usuną *ten adres URL*.

DOUG.  Aha!

KACZKA.  Więc można by pomyśleć, że usunęli plik, ale zostawili go tam.

A opisał to następująco: „Wiedziałeś i zamierzałeś, że obalenia nie będą miały żadnego efektu materialnego”.

Dokładnie to twierdził ten niezależny twórca oprogramowania Kiwi w swoim oświadczeniu przed sądem.

I z pewnością zarobili na tym dużo pieniędzy.

Jeśli spojrzeć na zdjęcia z kontrowersyjnego nalotu na Kim Dotcom w 2012 roku…

… miał tę ogromną posiadłość i wszystkie te błyskawiczne samochody z dziwnymi tablicami rejestracyjnymi [znacznikami pojazdów]. GOD i GUILTYjakby czegoś się spodziewał. [ŚMIECH]

Usunięcie Megaupload trafia na pierwsze strony gazet i fale, gdy pan Dotcom ubiega się o kaucję

Tak więc Kim Dotcom wciąż walczy z ekstradycją, ale ta dwójka zdecydowała, że ​​chcą mieć to już za sobą.

Więc przyznali się do winy, a jak niektórzy z naszych komentatorów zauważyli w Naked Security: „O rany, wydaje się, że to, co zrobili, kiedy szczegółowo przeczytałeś wyrok, wydaje się, że ich wyrok był lekki”.

Ale sposób, w jaki to obliczono, jest taki, że sędzia doszedł do wniosku, że maksymalne wyroki, jakie powinni otrzymać zgodnie z prawem Aotearoa, powinny wynosić około 10 lat.

A potem doszedł do wniosku, opierając się na fakcie, że przyznali się do winy, że będą współpracować, że zwrócą 10 milionów dolarów i tak dalej, i tak dalej, że powinni dostać 75% zniżki.

Rozumiem, że oznacza to, że przestaną obawiać się ekstradycji do Stanów Zjednoczonych, ponieważ rozumiem, że Departament Sprawiedliwości powiedział: „OK, pozwolimy, aby skazanie i wydanie wyroku miało miejsce w innym kraju ”.

Minęło ponad dziesięć lat i wciąż nie koniec!

Lepiej to powiedz, Doug…

DOUG.  Yesss!

Będziemy mieć na to oko.

Dziękuję; Przejdźmy dalej.

Jeśli masz router ASUS, możesz mieć trochę poprawek do zrobienia, chociaż dość niejasna oś czasu dla niektórych dość niebezpiecznych luk, Paul.

ASUS ostrzega klientów routerów: Popraw teraz lub zablokuj wszystkie żądania przychodzące

KACZKA.  Tak, nie jest całkiem jasne, kiedy pojawiły się te łatki dla różnych modeli routerów wymienionych w poradniku.

Niektórzy z naszych czytelników mówią: „Cóż, poszedłem i rzuciłem okiem; Mam jeden z tych routerów i jest na liście, ale nie ma żadnych poprawek *teraz*. Ale jakiś czas temu dostałem kilka łatek, które wydawały się naprawiać te problemy… więc dlaczego poradnik *teraz*?”

A odpowiedź brzmi: „Nie wiemy”.

Być może z wyjątkiem tego, że ASUS odkrył, że oszuści są na nich?

Ale to nie tylko: „Hej, zalecamy zainstalowanie łatki”.

Mówią, że musisz załatać, a jeśli nie chcesz lub nie możesz tego zrobić, to my „Zdecydowanie zalecamy (co zasadniczo oznacza „miałeś lepiej”) wyłączenie usług dostępnych po stronie WAN routera, aby uniknąć potencjalnych niepożądanych włamań.

I to nie jest zwykłe ostrzeżenie: „Och, upewnij się, że interfejs administratora nie jest widoczny w Internecie”.

Zauważają, że przez blokowanie przychodzących żądań rozumieją, że musisz wyłączyć zasadniczo * wszystko *, co wiąże się z akceptacją routera z zewnątrz, inicjowaniem połączenia sieciowego…

…w tym zdalną administrację, przekierowanie portów (pech, jeśli używasz tego do gier), dynamiczny DNS, dowolne serwery VPN i to, co nazywają wyzwalaniem portów, co, jak sądzę, jest pukaniem do portów, gdzie czekasz na określone połączenie i tylko wtedy, gdy zobacz to połączenie, a następnie uruchom usługę lokalnie.

Więc to nie tylko żądania sieciowe są tutaj niebezpieczne, lub że może być jakiś błąd, który pozwala komuś zalogować się przy użyciu tajnej nazwy użytkownika.

To cała gama różnych rodzajów ruchu sieciowego, który, jeśli może dotrzeć do twojego routera z zewnątrz, może go zaatakować.

Więc to brzmi strasznie pilnie!

DOUG.  Dwie główne luki tutaj…

…istnieje Krajowa Baza Danych Podatności, NVD, która ocenia luki w zabezpieczeniach w skali od jednego do dziesięciu, a obie te oceny wynoszą 9.8/10.

A potem jest cała masa innych, które mają 7.5, 8.1, 8.8… cała masa rzeczy, które są tutaj dość niebezpieczne. Paweł.

KACZKA.  Tak.

„9.8 KRYTYCZNY”, wszystko pisane wielkimi literami, to coś, co oznacza [SZeptanie]: „Jeśli oszuści to rozgryzą, będą się tym zajmować jak wysypka”.

A co jest być może najdziwniejsze w tych dwóch lukach z oceną zła 9.8/10, to to, że jedną z nich jest CVE-2022-26376, i jest to błąd w usuwaniu znaczenia HTTP, co zasadniczo ma miejsce, gdy masz adres URL z zabawnymi znakami, np. spacje…

…nie możesz legalnie umieścić spacji w adresie URL; musisz położyć %20 zamiast tego jego kod szesnastkowy.

Jest to dość fundamentalne dla przetwarzania dowolnego adresu URL na routerze.

I to był błąd, który został ujawniony, jak widać z liczby, w 2022 roku!

I jest jeszcze jedna luka w tak zwanym protokole Netatalk (zapewniającym obsługę komputerów Apple), która była luką, Doug, CVE-2018-1160.

DOUG.  To było bardzo dawno temu!

KACZKA.  To było!

Zostało to naprawione w wersji Netatalk, która, jak sądzę, była wersją 3.1.12, która ukazała się 20 grudnia *2018*.

I tylko ostrzegają, że „musisz teraz pobrać nową wersję Netatalk”, ponieważ wydaje się, że to również może zostać wykorzystane przez nieuczciwy pakiet.

Więc nie potrzebujesz komputera Mac; nie potrzebujesz oprogramowania Apple.

Potrzebujesz tylko czegoś, co mówi Netatalk w podejrzany sposób i może dać ci dowolny dostęp do zapisu w pamięci.

A biorąc pod uwagę wynik błędu 9.8/10, musisz założyć, że oznacza to „zdalny outsider wbija jeden lub dwa pakiety sieciowe, całkowicie przejmuje router z dostępem na poziomie administratora, horror zdalnego wykonania kodu!”

Dlaczego tak długo zajęło im ostrzeżenie ludzi, że muszą naprawić ten pięcioletni błąd…

… i dlaczego tak naprawdę nie mieli poprawki pięcioletniego błędu pięć lat temu, nie zostało wyjaśnione.

DOUG.  OK, więc jest lista routerów, które powinieneś sprawdzić, a jeśli nie możesz załatać, powinieneś zrobić to wszystko „zablokować wszystkie przychodzące rzeczy”.

Ale myślę, że nasza rada byłaby łatka.

I moja ulubiona rada: Jeśli jesteś programistą, zdezynfekuj swoje dane wejściowe, proszę!

KACZKA.  Tak, Little Bobby Tables pojawił się ponownie, Doug.

Ponieważ jednym z innych błędów, które nie były na poziomie 9.8 (to było na poziomie 7/10 lub 8/10), był CVE-2023-28702.

Zasadniczo jest to ponownie błąd typu MOVEit: Niefiltrowane znaki specjalne w wejściowym adresie URL mogą spowodować wstrzyknięcie polecenia.

Brzmi to jak dość szeroki pędzel dla cyberprzestępców.

Moją uwagę przykuł CVE-2023-31195 pod przykrywką a Przejęcie sesji.

Programiści ustawiali coś, co w istocie jest tokenem uwierzytelniającym… te magiczne ciągi, które, jeśli przeglądarka może je przekazać w przyszłych żądaniach, dowodzą serwerowi, że wcześniej w sesji zalogowany użytkownik miał właściwą nazwę użytkownika, właściwe hasło , właściwy kod 2FA, cokolwiek.

A teraz przynoszą tę magiczną „kartę dostępu”.

Tak więc powinieneś oznaczyć te pliki cookie, kiedy je ustawiasz, aby nigdy nie były przesyłane w niezaszyfrowanych żądaniach HTTP.

W ten sposób oszustowi będzie znacznie trudniej je porwać… a oni zapomnieli to zrobić!

To kolejna rzecz dla programistów: Idź i sprawdź, w jaki sposób ustawiasz naprawdę ważne pliki cookie, które albo zawierają prywatne informacje, albo zawierają informacje uwierzytelniające, i upewnij się, że nie pozostawiasz ich otwartych na nieumyślne i łatwe ujawnienie.

DOUG.  Zaznaczam to (wbrew mojemu rozsądkowi, ale jest to jak dotąd druga z dwóch historii) jako jedną, na którą będziemy mieć oko.

KACZKA.  Myślę, że masz rację, Doug, ponieważ tak naprawdę nie wiem dlaczego, biorąc pod uwagę, że dla niektórych routerów te poprawki już się pojawiły (choć później, niż mogłeś tego chcieć)… dlaczego *teraz*?

I myślę, że ta część historii może jeszcze się pojawić.

DOUG.  Okazuje się, że absolutnie nie możemy *nie* mieć na oku tej historii MOVEit.

Więc co mamy w tym tygodniu, Paul?

MOVEit mayhem 3: „Natychmiast wyłącz ruch HTTP i HTTPS”

KACZKA.  Cóż, niestety dla Progress Software, trzeci autobus pojawił się od razu. [ŚMIECH]

Podsumowując, pierwszym z nich był CVE-2023-34362, kiedy Progress Software powiedział: „O nie! Istnieje zero-day – naprawdę o tym nie wiedzieliśmy. To iniekcja SQL, problem z iniekcją poleceń. Oto łatka. Ale to był dzień zerowy i dowiedzieliśmy się o tym, ponieważ oszuści ransomware, oszuści wymuszający, aktywnie to wykorzystywali. Oto kilka wskaźników kompromisu [IOC]”.

Zrobili więc wszystkie właściwe rzeczy tak szybko, jak tylko mogli, gdy tylko dowiedzieli się, że wystąpił problem.

Następnie poszli i przejrzeli swój własny kod, myśląc: „Wiesz co, jeśli programiści popełnili ten błąd w jednym miejscu, może popełnili podobne błędy w innych częściach kodu”.

Doprowadziło to do CVE-2023-35036, w którym proaktywnie załatali dziury, które były podobne do pierwotnej, ale o ile im wiadomo, znaleźli je pierwsi.

I oto, oto pojawiła się trzecia luka.

Ten to CVE-2023-35708, gdzie wydaje się, że osoba, która go znalazła, z pewnością doskonale wiedząc, że oprogramowanie Progress było całkowicie otwarte na odpowiedzialne ujawnienie i szybką reakcję…

…i tak zdecydował się upublicznić.

Więc nie wiem, czy nazywasz to „pełnym ujawnieniem” (myślę, że to oficjalna nazwa), „nieodpowiedzialnym ujawnieniem” (słyszałem, że inni ludzie w Sophos mówili o tym w ten sposób), czy też „upuszczeniem 0-day for fun”, tak o tym myślę.

Więc trochę szkoda.

I tak Progress Software powiedział: „Spójrz, ktoś upuścił ten dzień 0; nie wiedzieliśmy o tym; pracujemy nad patchem. W tym krótkim okresie przejściowym po prostu wyłącz interfejs sieciowy (wiemy, że jest to kłopotliwe) i pozwól nam dokończyć testowanie poprawki”.

I w ciągu mniej więcej jednego dnia powiedzieli: „Dobrze, oto łatka, teraz ją zastosuj. Następnie, jeśli chcesz, możesz ponownie włączyć interfejs sieciowy”.

Myślę więc, że ogólnie rzecz biorąc, chociaż Progress Software źle wygląda, jeśli chodzi o błędy w pierwszej kolejności…

…jeśli kiedykolwiek ci się to przytrafi, to podążanie za ich reakcją jest, moim zdaniem, całkiem przyzwoitym sposobem na zrobienie tego!

DOUG.  Tak, mamy pochwałę dla Progress Software, w tym nasz komentarz na ten temat w tym tygodniu.

Adam komentuje:

Wygląda na to, że ostatnio MOVEit było ciężko, ale podziwiam ich za szybką, proaktywną i pozornie uczciwą pracę.

Teoretycznie mogliby spróbować utrzymać to wszystko w tajemnicy, ale zamiast tego byli całkiem szczerzy w kwestii problemu i tego, co należy z tym zrobić.

Przynajmniej sprawia to, że wyglądają bardziej wiarygodnie w moich oczach…

… i myślę, że to uczucie podzielane jest także z innymi, Paul.

KACZKA.  W rzeczy samej.

To samo słyszeliśmy również na naszych kanałach w mediach społecznościowych: chociaż szkoda, że ​​mieli błąd i wszyscy żałują, że go nie mieli, nadal są skłonni zaufać firmie.

W rzeczywistości mogą być skłonni ufać firmie bardziej niż wcześniej, ponieważ myślą, że zachowują zimną krew w kryzysie.

DOUG.  Bardzo dobrze.

W porządku, dziękuję Adamie za przesłanie tego.

Jeśli masz ciekawą historię, komentarz lub pytanie, które chciałbyś przesłać, chętnie przeczytamy o tym w podkaście.

Możesz wysłać e-maila na adres tips@sophos.com, skomentować dowolny z naszych artykułów lub skontaktować się z nami na portalu społecznościowym: @nakedsecurity.

To nasz program na dzisiaj; bardzo dziękuję za wysłuchanie.

Dla Paula Ducklina jestem Doug Aamoth i przypominam do następnego razu…

OBIE.  Bądź bezpieczny!

[MOM MUZYCZNY]

Znak czasu:

Więcej z Nagie bezpieczeństwo