S3 Ep140: Deci crezi că știi ransomware?

S3 Ep140: Deci crezi că știi ransomware?

Marca temporală: 22 iunie 2023 12:48
S3 Ep140: Deci crezi că știi ransomware? PlatoBlockchain Data Intelligence. Căutare verticală. Ai.
by Paul Ducklin

ASCULTĂ ȘI ÎNVĂȚĂ

Gee Whiz BASIC (probabil). Tu crezi cunosc ransomware? Megaupload, 11 de ani mai departe. ASUS avertizează despre erori critice ale routerului. Mișcă-l haos Partea a III-a.

Nu există player audio mai jos? Asculta direct pe Soundcloud.

Cu Doug Aamoth și Paul Ducklin. Muzică intro și outro de Edith Mudge.

Ne puteți asculta pe SoundCloud, Podcast-uri Apple, Podcast-uri Google, Spotify, stitcher și oriunde se găsesc podcasturi bune. Sau pur și simplu aruncați URL-ul fluxului nostru RSS în podcatcher-ul tău preferat.

CITIȚI TRANSCRIPTUL

DOUG.  Probleme de router, Megaupload în megaprobleme și mai mult haos MOVEit.

Toate acestea și multe altele pe podcastul Naked Security.

[MODEM MUZICAL]

Bine ați venit la podcast, toată lumea.

Eu sunt Doug Aamoth; el este Paul Ducklin.

Paul, ce faci?

RAȚĂ.  Doar o dezambiguizare pentru ascultătorii noștri britanici și englezi din Commonwealth, Doug...

DOUG.  „Router”. [PRONUNȚAT ÎN STILUL UK CA „ROOTER”, NU ÎN STILUL SUA CA „ROWTER”]

RAȚĂ.  Nu te referi la uneltele pentru prelucrarea lemnului, cred?

DOUG.  Nu! [râde]

RAȚĂ.  Te referi la lucrurile care lasă escrocii să intre în rețeaua ta dacă nu sunt remediați la timp?

DOUG.  Da!

RAȚĂ.  Unde comportamentul a ceea ce am numi un „ROOTER” are rețelei dvs. mai mult ca ceea ce ar face un „ROWTER” la marginea mesei dvs.? [râde]

DOUG.  Exact! [râde]

Vom ajunge la asta în scurt timp.

Dar mai întâi, al nostru Săptămâna aceasta în istoria tehnologiei segment.

Paul, săptămâna aceasta, pe 18 iunie, în 1979: un mare pas înainte pentru calculul pe 16 biți, deoarece Microsoft a lansat o versiune a limbajului său de programare BASIC pentru procesoarele 8086.

Această versiune era compatibilă cu procesoarele pe 8 biți, făcând BASIC, care fusese disponibil pentru procesoarele Z80 și 8080, și a fost găsit deja pe aproximativ 200,000 de computere, o săgeată în tolbele majorității programatorilor, Paul.

RAȚĂ.  Ce avea să devină GW-BASIC!

Nu știu dacă acest lucru este adevărat, dar continui să citesc că GW-BASIC înseamnă „GEE WHIZZ!” [râde]

DOUG.  Ha! [RÂSETE]

RAȚĂ.  Nu știu dacă este adevărat, dar îmi place să cred că este.

DOUG.  Bine, hai să intrăm în poveștile noastre.

Înainte de a ajunge la știri, suntem încântați, ba chiar încântați, să anunțăm primul dintre cele trei episoade din Crezi că știi ransomware?

Aceasta este o serie de documentare de 48 de minute de la prietenii tăi de la Sophos.

„The Ransomware Documentary” – o serie de videoclipuri nou-nouță de la Sophos care începe acum!

Primul episod, numit Originile criminalității cibernetice, este acum disponibil pentru vizionare la https://sophos.com/ransomware.

Episodul 2, care se numește Vânători și Vânați, va fi disponibil pe 28 iunie 2023.

Episodul 3, Arme și războinici, va scadea pe 5 iulie 2023.

Verificați-l la https://sophos.com/ransomware.

Am vazut primul episod si este grozav.

Răspunde la toate întrebările pe care le puteți avea despre originile acestui flagel cu care continuăm să luptăm an de an, Paul.

RAȚĂ.  Și se hrănește foarte bine în ceea ce ascultătorii obișnuiți vor ști că este vorba mea preferată (sper că nu l-am transformat într-un clișeu până acum), și anume: Cei care nu-și pot aminti istoria sunt condamnați să o repete.

Nu fi acea persoană! [râde]

DOUG.  Bine, să rămânem la subiectul crimei.

Timp de închisoare pentru doi dintre cei patru fondatori Megaupload.

Încălcarea drepturilor de autor este în discuție aici, Paul, și aproximativ un deceniu în devenire?

Duoul Megaupload va ajunge în sfârșit la închisoare, dar Kim Dotcom luptă pe...

RAȚĂ.  Da.

Îți amintești săptămâna trecută când am parafrazat acea glumă despre: „Oh, știi cum sunt autobuzele? Niciunul nu vine de veacuri, apoi vin trei deodată? [RÂSETE]

Dar a trebuit să o transform în „două sosesc deodată”…

… și de îndată ce am spus-o, a sosit al treilea. [RÂSETE]

Și aceasta este din Noua Zeelandă, sau Aotearoa, așa cum este cunoscută alternativ.

Megaupload a fost un serviciu infam timpuriu așa-numitul „încărcare de fișiere”.

Acesta nu este „încărcare de fișiere” ca în ransomware-ul care vă blochează fișierele.

Este un „blocare de fișiere” ca un dulap de sală de sport... locul în care încarci fișiere pentru a le putea obține mai târziu.

Serviciul respectiv a fost desființat, în primul rând pentru că FBI-ul din SUA a primit un ordin de eliminare și a susținut că scopul său principal nu a fost de fapt atât de a fi un mega serviciu de *încărcare*, cât să fie un mega serviciu de *descărcare*, modelul de afaceri. dintre care s-a bazat pe încurajarea și stimularea încălcării drepturilor de autor.

Fondatorul principal al acestei afaceri este un nume binecunoscut: Kim Dotcom.

Și chiar acesta este numele lui de familie.

Și-a schimbat numele (cred că inițial era Kim Schmitz) în Kim Dotcom, a creat acest serviciu și tocmai s-a luptat cu extrădarea în SUA și continuă să facă acest lucru, deși instanțele din Aotearoa au decis că nu există niciun motiv pentru care să poată. nu fi extrădat.

Unul dintre ceilalți patru, un tip pe nume Finn Batato, a murit din păcate de cancer anul trecut.

Dar doi dintre ceilalți indivizi care au fost cei mai importanți motori ai serviciului Megaupload, Mathias Ortmann și Bram van der Kolk...

… s-au luptat cu extrădarea (puteți înțelege de ce) în SUA, unde s-au confruntat potențial cu pedepse mari de închisoare.

Dar în cele din urmă păreau să fi încheiat o înțelegere cu instanțele din NZ [Noua Zeelandă/Aotearoa] și cu FBI și Departamentul de Justiție din SUA.

Ei au fost de acord să fie urmăriți penal în NZ, să pledeze vinovați și să asiste autoritățile americane în ancheta lor în curs.

Și au ajuns la pedepse cu închisoare de 2 ani 7 luni și, respectiv, 2 ani și 6 luni.

DOUG.  Judecătorul din acel caz a avut câteva observații interesante, am simțit.

RAȚĂ.  Cred că ești acolo, Doug.

În special, nu a fost o problemă ca instanța să spună: „Acceptăm faptul că aceste megacorporații masive din întreaga lume au pierdut miliarde și miliarde de dolari”.

De fapt, judecătorul a spus că trebuie să iei acele afirmații cu un praf de sare și a citat dovezi care sugerează că nu poți spune pur și simplu că toți cei care au descărcat un videoclip piratat ar fi cumpărat, altfel, originalul.

Deci nu puteți aduna pierderile monetare așa cum le place unora dintre megacorpuri.

Cu toate acestea, a spus el, asta nu face totul corect.

Și chiar mai important, el a spus: „Chiar i-ai rănit și pe băieți și asta contează la fel de mult.”

Și a citat cazul unui dezvoltator de software independent din Insula de Sud din NZ, care a scris instanței pentru a spune: „Am observat că pirateria îmi dăuna foarte mult venitul. Am constatat că de 10 sau 20 de ori a trebuit să apelez la Megaupload pentru a elimina conținutul care încalcă drepturile; mi-a luat mult timp să fac asta și nu a făcut nicio diferență. Și deci nu spun că ei sunt în întregime responsabili pentru faptul că nu mai puteam câștiga existența din afacerea mea, dar spun că am făcut tot acest efort pentru a-i determina să ia lucrurile pe care ei au spus că ar face, dar nu a funcționat niciodată.”

De fapt, asta a apărut în altă parte în judecată... care are 38 de pagini, deci este o lectură destul de lungă, dar este foarte lizibilă și cred că merită citită.

În special, judecătorul le-a spus inculpaților că trebuie să-și asume responsabilitatea pentru faptul că au recunoscut că nu vor să fie prea duri cu cei care încalcă drepturile de autor, deoarece „Creșterea se bazează în principal pe încălcare.”

Și el a remarcat, de asemenea, că au conceput un sistem de eliminare care practic, dacă există mai multe adrese URL pentru a descărca același fișier...

…au păstrat o copie a fișierului și, dacă te-ai plâns de adresa URL, ar elimina *acea adresă URL*.

DOUG.  Ah, ha!

RAȚĂ.  Deci ai crede că au eliminat fișierul, dar ar lăsa fișierul acolo.

Și a descris asta după cum urmează: „Știai și intenționai că eliminările nu vor avea niciun efect material.”

Ceea ce este exact ceea ce a susținut acest dezvoltator de software indie Kiwi în declarația sa la tribunal.

Și cu siguranță că au făcut mulți bani din asta.

Dacă te uiți la fotografiile de la raidul controversat asupra lui Kim Dotcom din 2012...

…avea această proprietate enormă și toate aceste mașini flash cu numere de înmatriculare ciudate [etichete de vehicule] ca GOD și GUILTY, de parcă ar fi anticipat ceva. [râde]

Eliminarea Megaupload face titluri și valuri în timp ce domnul Dotcom solicită cauțiune

Deci, Kim Dotcom încă se luptă cu extrădarea lui, dar aceștia doi au decis că vor să termine totul.

Așa că au pledat vinovați și, așa cum au subliniat unii dintre comentatorii noștri la Naked Security, „Golly, pentru ceea ce se pare că au făcut când ai citit hotărârea în detaliu, sună că sentința lor a fost ușoară”.

Dar modul în care a fost calculat este că judecătorul a stabilit că a crezut că pedepsele maxime pe care ar trebui să le primească conform legii Aotearoa ar trebui să fie de aproximativ 10 ani.

Și apoi și-a dat seama, pe baza faptului că pledează vinovați, că vor coopera, că vor plăti 10 milioane de dolari și așa mai departe, că ar trebui să primească o reducere de 75%.

Și înțeleg că asta înseamnă că vor pune în pat această teamă că vor fi extrădați în SUA, pentru că înțeleg că Departamentul de Justiție a spus: „OK, vom lăsa condamnarea și sentința să aibă loc într-o altă țară. .”

Au trecut peste zece ani și încă nu s-au terminat!

Ar fi bine să spui asta, Doug...

DOUG.  Yesss!

Vom fi cu ochii pe acest lucru.

Mulțumesc; Să mergem mai departe.

Dacă ai un router ASUS, este posibil să ai de făcut niște corecții, deși o cronologie destul de tulbure aici pentru câteva vulnerabilități destul de periculoase, Paul.

ASUS avertizează clienții routerelor: corecționează acum sau blochează toate solicitările de intrare

RAȚĂ.  Da, nu este incredibil de clar când au apărut aceste patch-uri pentru diversele modele de router care sunt enumerate în aviz.

Unii dintre cititorii noștri spun: „Ei bine, m-am dus și m-am uitat; Am unul dintre acele routere și este pe listă, dar nu există patch-uri *acum*. Dar am primit niște patch-uri în urmă cu puțin timp care păreau să rezolve aceste probleme... așa că de ce anunțul *acum*?”

Și răspunsul este: „Nu știm”.

Cu excepția, poate, că ASUS a descoperit că escrocii sunt pe acestea?

Dar nu este doar „Hei, vă recomandăm să aplicați corecții”.

Ei spun că trebuie să corectați, iar dacă nu doriți sau nu puteți face acest lucru, atunci noi „Recomand cu tărie (ceea ce înseamnă, practic, „ar fi mai bine”) să dezactivați serviciile accesibile din partea WAN a routerului pentru a evita potențialele intruziuni nedorite.”

Și acesta nu este doar avertismentul tău tipic, „Oh, asigură-te că interfața ta de administrare nu este vizibilă pe internet”.

Ei observă că ceea ce înseamnă blocarea cererilor primite este că trebuie să dezactivați practic *tot ce* care implică ca routerul să accepte exteriorul inițiind o conexiune la rețea...

...inclusiv administrarea de la distanță, redirecționarea portului (ghinion dacă folosiți asta pentru jocuri), DNS dinamic, orice server VPN și ceea ce ei numesc declanșarea portului, care cred că este baterea portului, unde așteptați o anumită conexiune și numai atunci când vezi acea conexiune, apoi pornesti un serviciu local.

Așadar, nu doar solicitările web sunt periculoase aici sau că ar putea exista o eroare care permite pe cineva să se conecteze cu un nume de utilizator secret.

Este o gamă întreagă de diferite tipuri de trafic de rețea care, dacă poate ajunge la routerul dvs. din exterior, ar putea porni routerul, se pare.

Deci sună teribil de urgent!

DOUG.  Cele două vulnerabilități principale aici...

... există o bază de date națională de vulnerabilități, NVD, care punctează vulnerabilitățile pe o scară de la unu la zece și ambele sunt 9.8/10.

Și apoi mai sunt o grămadă de altele care sunt 7.5, 8.1, 8.8... o grămadă de lucruri care sunt destul de periculoase aici. Paul.

RAȚĂ.  Da.

„9.8 CRITIC”, totul cu majuscule, este genul de lucru care înseamnă [ȘOPTĂ]: „Dacă escrocii își dau seama, vor fi peste tot ca o erupție cutanată.”

Și ceea ce este poate cel mai ciudat despre acele două vulne cu scor 9.8/10 este că unul dintre ele este CVE-2022-26376, și acesta este o eroare în HTTP nescaping, care este practic atunci când aveți o adresă URL cu caractere amuzante, cum ar fi, spatii…

...nu puteți avea în mod legal un spațiu în URL; trebuie sa pui %20 în schimb, codul său hexazecimal.

Acest lucru este destul de fundamental pentru procesarea oricărui fel de URL pe router.

Și acesta a fost un bug care a fost dezvăluit, după cum puteți vedea din număr, în 2022!

Și mai există unul în așa-numitul protocol Netatalk (care oferă suport pentru computerele Apple), care a fost vulnerabilitatea, Doug, CVE-2018-1160.

DOUG.  Asta a fost acum mult timp!

RAȚĂ.  Era!

De fapt, a fost remediat într-o versiune de Netatalk care cred că era versiunea 3.1.12, care a apărut pe 20 decembrie *2018*.

Și ei avertizează doar despre „trebuie să obțineți noua versiune a Netatalk” chiar acum, pentru că și asta, se pare, poate fi exploatat printr-un pachet necinstit.

Deci nu aveți nevoie de un Mac; nu ai nevoie de software Apple.

Aveți nevoie doar de ceva care să vorbească Netatalk într-un mod dus și vă poate oferi acces arbitrar la scriere la memorie.

Și cu un scor de eroare de 9.8/10, trebuie să presupunem că asta înseamnă „un străin de la distanță introduce unul sau două pachete de rețea, preia complet routerul cu acces la nivel de rădăcină, groază de execuție a codului de la distanță!”

Deci, de ce le-a luat atât de mult să avertizeze oamenii că trebuie să obțină remedierea acestei erori vechi de cinci ani...

… și de ce nu au avut de fapt remedierea pentru bug-ul vechi de cinci ani de acum cinci ani nu este explicat.

DOUG.  OK, deci există o listă de routere pe care ar trebui să le verificați și, dacă nu puteți corecționa, ar trebui să faceți toate acele „blocați toate chestiile de intrare”.

Dar cred că sfatul nostru ar fi petice.

Și sfatul meu preferat: Dacă ești programator, igienizează-ți intrările, te rog!

RAȚĂ.  Da, Little Bobby Tables a apărut din nou, Doug.

Pentru că unul dintre celelalte erori care nu era la nivelul 9.8 (acesta era la nivelul 7/10 sau 8/10) a fost CVE-2023-28702.

Este practic bug-ul de tip MOVEit din nou: Caracterele speciale nefiltrate în introducerea URL-ului web ar putea provoca injectarea comenzii.

Așa că sună ca o pensulă destul de largă pentru a picta infractorii cibernetici.

Și a fost CVE-2023-31195 care mi-a atras atenția, sub pretextul unui Deturnarea sesiunii.

Programatorii setau ceea ce sunt în esență cookie-uri cu simboluri de autentificare... acele șiruri magice care, dacă browserul le poate alimenta înapoi în solicitări viitoare, demonstrează serverului că mai devreme în sesiune utilizatorul s-a autentificat, avea numele de utilizator potrivit, parola potrivită. , codul 2FA corect, indiferent.

Și acum aduc această „carte de acces” magică.

Deci, ar trebui să etichetați acele cookie-uri, atunci când le setați, astfel încât să nu fie transmise niciodată în solicitări HTTP necriptate.

În acest fel, este mult mai greu pentru un escroc să le deturneze... și au uitat să facă asta!

Deci, acesta este un alt lucru pentru programatori: Mergeți și examinați modul în care setați cookie-uri cu adevărat semnificative, care fie au informații private în ele, fie au informații de autentificare în ele, și asigurați-vă că nu le lăsați deschise expunerii involuntare și ușoare.

DOUG.  Eu notez acest lucru (împotriva judecății mele mai bune, dar aceasta este a doua dintre cele două povești de până acum) ca una pe care o vom ține cu ochii.

RAȚĂ.  Cred că ai dreptate, Doug, pentru că nu prea știu de ce, având în vedere că pentru unele dintre routere aceste patch-uri au apărut deja (deși mai târziu decât ai fi vrut)... de ce *acum*?

Și cred că acea parte a poveștii ar mai trebui să apară.

DOUG.  Se pare că nu putem *nu* să fim cu ochii pe această poveste MOVEit.

Deci, ce avem săptămâna asta, Paul?

MOVEit haos 3: „Dezactivați imediat traficul HTTP și HTTPS”

RAȚĂ.  Ei bine, din păcate pentru Progress Software, al treilea autobuz a venit imediat, parcă. [RÂSETE]

Deci, doar pentru a recapitula, primul a fost CVE-2023-34362, atunci când Progress Software a spus: „Oh, nu! Există o zi zero – cu adevărat nu știam despre asta. Este o injectare SQL, o problemă de injectare de comandă. Iată patch-ul. Dar a fost o zi zero și am aflat despre asta pentru că escrocii de ransomware, escrocii de extorcare, exploatau în mod activ acest lucru. Iată câțiva indicatori de compromis [IoC].”

Așa că au făcut toate lucrurile corecte, cât de repede au putut, odată ce au știut că există o problemă.

Apoi s-au dus și și-au revizuit propriul cod, gândindu-se: „Știi ce, dacă programatorii au făcut acea greșeală într-un loc, poate au făcut niște greșeli similare în alte părți ale codului.”

Și asta a dus la CVE-2023-35036, unde au reparat în mod proactiv găurile care erau ca cea originală, dar din câte știau ei, le-au găsit primii.

Și, iată, a existat atunci o a treia vulnerabilitate.

Acesta este CVE-2023-35708, unde se pare că persoana care l-a găsit, știind cu siguranță pe deplin că Progress Software a fost în întregime deschisă dezvăluirii responsabile și reacției prompte...

… am decis să devină public oricum.

Deci nu știu dacă numiți acea „dezvăluire completă” (cred că acesta este numele oficial), „dezvăluire iresponsabilă” (am auzit că se referă la asta de către alți oameni de la Sophos) sau „renunțare 0-day for fun”, așa cum cred eu.

Deci a fost puțin păcat.

Așa că Progress Software a spus: „Uite, cineva a renunțat la această zi 0; noi nu știam despre asta; lucrăm la patch. În această mică perioadă intermediară, închideți interfața web (știm că este o bătaie de cap) și lăsați-ne să terminăm de testat patch-ul.”

Și în aproximativ o zi au spus: „Bine, iată plasturele, acum aplică-l. Apoi, dacă doriți, vă puteți reactiva interfața web.”

Deci, cred că, una peste alta, deși este o imagine proastă pentru Progress Software pentru că are erori în primul rând...

… dacă ți se întâmplă vreodată acest lucru, atunci urmărea tipului lor de răspuns este, în opinia mea, o modalitate destul de decentă de a o face!

DOUG.  Da, avem laude pentru Progress Software, inclusiv comentariul nostru pentru această săptămână despre această poveste.

Adam comentează:

Pare dificil să mergi pentru MOVEit în ultima vreme, dar îi aplaud pentru munca lor rapidă, proactivă și aparent onesta.

În mod teoretic, ar fi putut încerca să păstreze totul liniștit, dar în schimb au fost destul de sinceri cu privire la problemă și ce trebuie făcut în privința ei.

Cel puțin, îi face să pară mai demni de încredere în ochii mei...

… și cred că acesta este un sentiment care este împărtășit și cu alții, Paul.

RAȚĂ.  Este intr-adevar.

Am auzit același lucru și pe canalele noastre de socializare: că, deși este regretabil că au avut eroarea și toată lumea și-ar dori să nu aibă, totuși sunt înclinați să aibă încredere în companie.

De fapt, ei ar putea fi înclinați să aibă încredere în companie mai mult decât au fost înainte, pentru că cred că își păstrează capul rece într-o criză.

DOUG.  Foarte bine.

Bine, mulțumesc, Adam, că ai trimis asta.

Dacă aveți o poveste, un comentariu sau o întrebare interesantă pe care doriți să o trimiteți, ne-ar plăcea să o citim pe podcast.

Puteți trimite un e-mail la tips@sophos.com, puteți comenta oricare dintre articolele noastre sau ne puteți contacta pe social: @nakedsecurity.

Acesta este spectacolul nostru de astăzi; multumesc mult pentru ascultare.

Pentru Paul Ducklin, sunt Doug Aamoth și vă reamintesc până data viitoare să...

AMBII.  Rămâi în siguranță!

[MODEM MUZICAL]

Timestamp-ul:

Mai mult de la Securitate goală