S3, эпизод 140: Значит, вы думаете, что знаете программы-вымогатели?

Нет аудиоплеера ниже? Слушать непосредственно на Саундклауд.

ДУГ.  Проблемы с маршрутизатором, мегапроблемы с Megaupload и другие проблемы с MOVEit.

Все это и многое другое в подкасте Naked Security.

[МУЗЫКАЛЬНЫЙ МОДЕМ]

Добро пожаловать в подкаст, все.

Я Дуг Аамот; он Пол Даклин.

Павел, как дела?

---

УТКА.  Даг, просто разъяснение для наших слушателей из Великобритании и стран Содружества на английском языке…

---

ДУГ.  «Роутер». [ПРОИЗНОСИТ В ВЕЛИКОБРИТАНСКОМ СТИЛЕ КАК «ROOTER», А НЕ В СТИЛЕ США КАК «ROWTER»]

---

УТКА.  Я полагаю, вы не имеете в виду деревообрабатывающие инструменты?

---

ДУГ.  Нет! [СМЕЕТСЯ]

---

УТКА.  Вы имеете в виду то, что позволяет мошенникам проникнуть в вашу сеть, если они не будут вовремя исправлены?

---

ДУГ.  Да!

---

УТКА.  Где поведение того, что мы бы назвали «ROOTER», делает с вашей сетью больше похожее на то, что «ROWTER» сделал бы с краем вашего стола? [СМЕЕТСЯ]

---

ДУГ.  Точно! [СМЕЕТСЯ]

Мы доберемся до этого в ближайшее время.

Но сначала наш Эта неделя в истории технологий сегмент.

Пол, на этой неделе, 18 июня, в далеком 1979 году: это большой шаг вперед для 16-битных вычислений, поскольку Microsoft выпустила версию своего языка программирования BASIC для процессоров 8086.

Эта версия была обратно совместима с 8-битными процессорами, создавая BASIC, который был доступен для процессоров Z80 и 8080 и уже был обнаружен примерно на 200,000 XNUMX компьютеров, Пол, это стрела в колчанах большинства программистов.

---

УТКА.  Что должно было стать GW-BASIC!

Я не знаю, правда ли это, но я продолжаю читать, что GW-BASIC расшифровывается как «GEE WHIZZ!» [СМЕЕТСЯ]

---

ДУГ.  Ха! [СМЕХ]

---

УТКА.  Я не знаю, правда ли это, но мне нравится думать, что это так.

---

ДУГ.  Ладно, приступим к нашим историям.

Прежде чем мы перейдем к новостям, мы рады, даже взволнованы, объявить о первом из трех эпизодов Думаете, вы знаете программы-вымогатели?

Это 48-минутный документальный сериал от ваших друзей из Sophos.

«Документальный фильм о программах-вымогателях» — новый сериал от Sophos, который начинается прямо сейчас!

Первый эпизод под названием Истоки киберпреступности, теперь доступен для просмотра на https://sophos.com/ransomware.

Эпизод 2, который называется Охотники и добыча, будет доступен 28 июня 2023 года.

Эпизод 3, Оружие и воины, выйдет 5 июля 2023 года.

Проверьте это на https://sophos.com/ransomware.

Я видел первую серию, и это здорово.

Он отвечает на все ваши вопросы о происхождении этого бедствия, с которым мы боремся год за годом, Пол.

---

УТКА.  И это очень хорошо вписывается в то, что обычные слушатели знают как мою любимую поговорку (надеюсь, я еще не превратил ее в клише), а именно: Те, кто не помнит историю, обречены на ее повторение.

Не будь таким человеком! [СМЕЕТСЯ]

---

ДУГ.  Хорошо, давайте остановимся на теме преступления.

Тюремный срок для двух из четырех основателей Megaupload.

Здесь речь идет о нарушении авторских прав, Пол, и на это ушло около десяти лет?

Дуэт Megaupload наконец-то сядет в тюрьму, но Ким Дотком борется за…

---

УТКА.  Да.

Помните, на прошлой неделе я перефразировал ту шутку о том, «О, вы знаете, на что похожи автобусы? Никто не приходит целую вечность, а потом приходят сразу трое? [СМЕХ]

Но мне пришлось перевести это на «двое прибывают сразу»…

…и не успел я это сказать, как появился третий. [СМЕХ]

И это из Новой Зеландии, или Аотеароа, как его еще называют.

Megaupload был печально известным ранним сервисом так называемого «хранилища файлов».

Это не «хранилище файлов», как в программах-вымогателях, которые блокируют ваши файлы.

Это «хранилище файлов», похожее на шкафчик в спортзале… облачное хранилище, куда вы загружаете файлы, чтобы получить их позже.

Эта служба была закрыта, прежде всего потому, что ФБР в США получило приказ о ликвидации и утверждало, что ее основная цель на самом деле заключалась не столько в том, чтобы быть мегасервисом *загрузки*, сколько в том, чтобы быть мегасервисом *скачивания*, бизнес-модель из которых было основано на поощрении и поощрении нарушения авторских прав.

Основным основателем этого бизнеса является хорошо известное имя: Ким Дотком.

И это действительно его фамилия.

Он сменил имя (думаю, изначально он был Ким Шмитц) на Ким Дотком, создал эту службу, и он как раз боролся с экстрадицией в США и продолжает это делать, хотя суды Аотеароа постановили, что нет причин, по которым он может не быть экстрадированным.

Один из оставшихся четырех, парень по имени Финн Батато, к сожалению, умер от рака в прошлом году.

Но двое других людей, которые были инициаторами сервиса Megaupload, Матиас Ортманн и Брэм ван дер Колк…

… они боролись с экстрадицией (сами понимаете, почему) в США, где потенциально им грозили большие тюремные сроки.

Но в конце концов они, похоже, заключили сделку с судами Новой Зеландии [Новая Зеландия/Аотеароа], а также с ФБР и Министерством юстиции США.

Вместо этого они согласились предстать перед судом в Новой Зеландии, признать себя виновными и помочь властям США в их продолжающемся расследовании.

А закончились они приговорами к 2 годам 7 месяцам и 2 годам 6 месяцам лишения свободы соответственно.

---

ДУГ.  Я чувствовал, что у судьи в этом деле были некоторые интересные наблюдения.

---

УТКА.  Думаю, ты прав, Даг.

Примечательно, что речь не шла о том, чтобы суд сказал: «Мы принимаем тот факт, что эти огромные мегакорпорации по всему миру потеряли миллиарды и миллиарды долларов».

На самом деле, судья сказал, что вы должны воспринимать эти претензии с долей скептицизма, и привел доказательства того, что вы не можете просто сказать, что все, кто загрузил пиратское видео, в противном случае купили бы оригинал.

Таким образом, вы не можете суммировать денежные потери так, как это любят делать некоторые мегакорпорации.

Тем не менее, по его словам, это не делает его правильным.

И что еще более важно, он сказал: «Ты действительно причинил боль маленьким парням, и это не менее важно».

И он процитировал дело независимого разработчика программного обеспечения с Южного острова в Новой Зеландии, который написал в суд, чтобы сказать: «Я заметил, что пиратство сильно снижает мой доход. Я обнаружил, что 10 или 20 раз мне приходилось обращаться к Megaupload, чтобы удалить контент, нарушающий авторские права; мне потребовалось много времени, чтобы сделать это, и это никогда не имело ни малейшего значения. И поэтому я не говорю, что они несут полную ответственность за тот факт, что я больше не мог зарабатывать на жизнь своим бизнесом, но я говорю, что приложил все эти усилия, чтобы заставить их снять то, что, по их словам, они сойдет, но это никогда не срабатывало».

На самом деле, это появилось в другом месте судебного решения… а это 38 страниц, так что это довольно длинное чтение, но оно очень читабельно, и я думаю, что его стоит прочитать.

Примечательно, что судья заявил подсудимым, что они должны нести ответственность за то, что признались, что не хотят слишком жестко относиться к нарушителям авторских прав, потому что «Рост в основном основан на нарушении прав».

И он также отметил, что они разработали систему удаления, которая, по сути, если было несколько URL-адресов для загрузки одного и того же файла…

… они сохраняли одну копию файла, и если вы жаловались на URL-адрес, они удаляли *этот URL-адрес*.

---

ДУГ.  Ага!

---

УТКА.  Таким образом, вы могли бы подумать, что они удалили файл, но они оставили файл там.

И описал это так: «Вы знали и предполагали, что тейкдауны не будут иметь существенного эффекта».

Именно это независимый разработчик программного обеспечения Kiwi заявил в своем заявлении в суде.

И они наверняка заработали на этом много денег.

Если вы посмотрите на фотографии скандального рейда на Ким Дотком в 2012 году…

…у него было это огромное имущество, и все эти блестящие автомобили со странными номерными знаками [теги транспортных средств], такие как GOD и GUILTY, как будто он что-то предвидел. [СМЕЕТСЯ]

Удаление Megaupload делает заголовки и волны, поскольку г-н Дотком подает заявку на залог

Итак, Ким Дотком все еще борется за свою экстрадицию, но эти двое решили, что хотят покончить со всем этим.

Итак, они признали себя виновными, и, как отметили некоторые из наших комментаторов на Naked Security: «Боже мой, за то, что кажется, что они сделали, когда вы подробно читаете приговор, звучит так, что их приговор был легким».

Но то, как это было рассчитано, это то, что судья решил, что, по его мнению, максимальное наказание, которое они должны получить по закону Аотеароа, должно составлять около 10 лет.

А затем он прикинул, основываясь на том факте, что они признали себя виновными, что они собираются сотрудничать, что они собираются вернуть 10 миллионов долларов и так далее и тому подобное, что они должны получить 75% скидки.

Насколько я понимаю, это означает, что они избавятся от этого страха перед экстрадицией в США, потому что, как я понимаю, Министерство юстиции сказало: «Хорошо, мы позволим осуждению и вынесению приговора произойти в другой стране». ».

Прошло более десяти лет, и это еще не конец!

Лучше скажи это, Дуг…

---

ДУГ.  Yesss!

Мы будем следить за этим.

Спасибо; Давайте двигаться дальше.

Если у вас есть маршрутизатор ASUS, вам, возможно, придется внести некоторые исправления, хотя здесь довольно туманная временная шкала для некоторых довольно опасных уязвимостей, Пол.

ASUS предупреждает пользователей маршрутизаторов: установите патч сейчас или заблокируйте все входящие запросы

---

УТКА.  Да, не совсем ясно, когда эти исправления были выпущены для различных моделей маршрутизаторов, перечисленных в бюллетене.

Некоторые из наших читателей говорят: «Ну, я пошел и посмотрел; У меня есть один из этих маршрутизаторов, и он есть в списке, но патчей нет *сейчас*. Но некоторое время назад я получил несколько исправлений, которые, казалось, исправили эти проблемы… так почему совет *сейчас*?»

И ответ: «Мы не знаем».

За исключением, может быть, того, что ASUS обнаружил, что мошенники на них?

Но это не просто «Эй, мы рекомендуем вам патч».

Они говорят, что вам нужно исправить, и если вы не хотите или не можете это сделать, тогда мы «настоятельно рекомендуем (что в основном означает «вам лучше») отключить службы, доступные со стороны WAN вашего маршрутизатора, чтобы избежать потенциальных нежелательных вторжений».

И это не просто обычное предупреждение: «О, убедитесь, что ваш интерфейс администратора не виден в Интернете».

Они отмечают, что под блокировкой входящих запросов они подразумевают, что вам нужно отключить в основном *все*, что включает в себя маршрутизатор, принимающий извне инициирующий какое-либо сетевое соединение...

… включая удаленное администрирование, переадресацию портов (не повезло, если вы используете это для игр), динамический DNS, любые VPN-серверы и то, что они называют запуском портов, что, я думаю, является стуком портов, когда вы ждете определенного соединения и только тогда, когда вы см. это соединение, вы затем запускаете службу локально.

Так что здесь опасны не только веб-запросы или может быть какая-то ошибка, которая позволяет кому-то войти в систему с секретным именем пользователя.

Это целый ряд различных типов сетевого трафика, который, если он может достичь вашего маршрутизатора извне, может, по-видимому, взломать ваш маршрутизатор.

Так что это звучит ужасно срочно!

---

ДУГ.  Две основные уязвимости здесь…

… существует Национальная база данных уязвимостей, NVD, которая оценивает уязвимости по шкале от одного до десяти, и обе они составляют 9.8/10.

А еще есть целая куча других, 7.5, 8.1, 8.8… целая куча вещей, которые здесь довольно опасны. Павел.

---

УТКА.  Да.

«9.8 КРИТИЧЕСКОЕ», написанное заглавными буквами, означает [ШЕПЕТОМ]: «Если мошенники догадаются, они будут повсюду, как сыпь».

И что, пожалуй, самое странное в этих двух уязвимостях с рейтингом вредоносности 9.8/10, так это то, что одна из них — CVE-2022-26376, и это ошибка в неэкранировании HTTP, что в основном происходит, когда у вас есть URL-адрес с забавными символами, например, пространства…

… у вас не может быть пробела в URL-адресе; ты должен поставить %20 вместо этого его шестнадцатеричный код.

Это очень важно для обработки любого URL-адреса на маршрутизаторе.

И это была ошибка, которая была обнаружена, как вы можете видеть из числа, в 2022 году!

И еще одна уязвимость в так называемом протоколе Netatalk (обеспечивающем поддержку компьютеров Apple) — Doug, CVE-2018-1160.

---

ДУГ.  Это было давно!

---

УТКА.  Это было!

На самом деле это было исправлено в версии Netatalk, которая, по-моему, была версией 3.1.12, вышедшей 20 декабря *2018*.

И они только предупреждают о том, что «вам нужно получить новую версию Netatalk» прямо сейчас, потому что это тоже, похоже, может быть использовано через мошеннический пакет.

Так что вам не нужен Mac; вам не нужно программное обеспечение Apple.

Вам просто нужно что-то, что обманывает Netatalk, и это может дать вам произвольный доступ для записи в память.

И с оценкой ошибки 9.8/10 вы должны предположить, что это означает «удаленный посторонний взламывает один или два сетевых пакета, полностью захватывает ваш маршрутизатор с доступом на уровне root, ужас удаленного выполнения кода!»

Так почему же им потребовалось так много времени, чтобы предупредить людей, что им нужно исправить эту ошибку пятилетней давности…

…и почему пять лет назад у них не было исправления ошибки пятилетней давности, не объясняется.

---

ДУГ.  Итак, есть список маршрутизаторов, которые вы должны проверить, и если вы не можете установить патч, вы должны сделать все это «заблокировать все входящие данные».

Но я думаю, что наш совет будет патч.

И мой любимый совет: Если вы программист, санируйте свои входные данные, пожалуйста!

---

УТКА.  Да, Little Bobby Tables снова появились, Дуг.

Потому что одной из других ошибок, которых не было на уровне 9.8 (это было на уровне 7/10 или 8/10), была CVE-2023-28702.

Это в основном ошибка типа MOVEit снова и снова: Неотфильтрованные специальные символы во вводе веб-URL могут привести к внедрению команды.

Так что это звучит как довольно широкая кисть для киберпреступников.

Мое внимание привлекла CVE-2023-31195 под видом Перехват сеанса.

Программисты устанавливали то, что по сути является файлом cookie маркера аутентификации… эти волшебные строки, которые, если браузер может передать их в будущих запросах, доказывают серверу, что ранее в сеансе пользователь вошел в систему, имел правильное имя пользователя, правильный пароль , правильный код 2FA, что угодно.

И вот они везут эту волшебную «карту доступа».

Таким образом, вы должны пометить эти файлы cookie при их установке, чтобы они никогда не передавались в незашифрованных HTTP-запросах.

Таким образом, мошеннику будет намного сложнее их угнать… и они забыли это сделать!

Так что это еще одна вещь для программистов: Перейдите и проверьте, как вы устанавливаете действительно важные файлы cookie, которые либо содержат личную информацию, либо содержат информацию для аутентификации, и убедитесь, что вы не оставляете их открытыми для непреднамеренного и легкого раскрытия.

---

ДУГ.  Я отмечаю это (вопреки моему здравому смыслу, но пока это вторая из двух историй) как ту, за которой мы будем следить.

---

УТКА.  Я думаю, ты прав, Даг, потому что я действительно не знаю, почему, учитывая, что для некоторых маршрутизаторов эти патчи уже появились (хотя и позже, чем ты, возможно, хотел)… почему *сейчас*?

И я предполагаю, что эта часть истории, возможно, все еще должна появиться.

---

ДУГ.  Оказывается, мы абсолютно не можем *не* следить за этой историей MOVEit.

Итак, что у нас есть на этой неделе, Пол?

MOVEit Mayhem 3: «Немедленно отключите трафик HTTP и HTTPS»

---

УТКА.  Что ж, к сожалению для Progress Software, третий автобус появился как бы сразу. [СМЕХ]

Итак, напомню, первой была CVE-2023-34362, когда Progress Software сказала: «О нет! Есть нулевой день – мы действительно не знали об этом. Это SQL-инъекция, проблема с инъекцией команд. Вот патч. Но это был нулевой день, и мы узнали об этом, потому что этим активно эксплуатировались мошенники-вымогатели, мошенники-вымогатели. Вот некоторые индикаторы компрометации [IoC]».

Поэтому они сделали все правильно, как только смогли, как только узнали о проблеме.

Затем они пошли и просмотрели свой собственный код, решив: «Знаете что, если программисты допустили эту ошибку в одном месте, возможно, они допустили аналогичные ошибки и в других частях кода».

И это привело к CVE-2023-35036, где они активно латали дыры, похожие на исходную, но, насколько им было известно, они нашли их первыми.

И, о чудо, появилась третья уязвимость.

Это CVE-2023-35708, и кажется, что человек, который ее обнаружил, прекрасно знал, что Progress Software был полностью открыт для ответственного раскрытия информации и быстрой реакции…

… все равно решил стать публичным.

Так что я не знаю, называете ли вы это «полным раскрытием информации» (я думаю, это официальное название для этого), «безответственным раскрытием информации» (я слышал, что другие люди в Sophos так называли это) или «отказом от ответственности». 0-day for fun», вот как я об этом думаю.

Так что было немного жаль.

И поэтому Progress Software сказал: «Смотрите, кто-то отказался от этого 0-day; мы не знали об этом; мы работаем над патчем. В этот крошечный промежуточный период просто отключите свой веб-интерфейс (мы знаем, что это хлопотно) и дайте нам закончить тестирование патча».

И примерно через сутки сказали: «Хорошо, вот вам пластырь, теперь применяйте его. Затем, если хотите, вы можете снова включить свой веб-интерфейс».

Так что я думаю, что в целом, хотя Progress Software выглядит плохо из-за наличия ошибок в первую очередь…

…если это когда-нибудь случится с вами, то, по моему мнению, следовать их реакции — довольно приличный способ сделать это!

---

ДУГ.  Да, мы хвалим Progress Software, включая наш недельный комментарий к этой истории.

Адам комментирует:

В последнее время MOVEit кажется трудным, но я аплодирую им за их быструю, активную и, по-видимому, честную работу.

Теоретически они могли бы попытаться сохранить все это в тайне, но вместо этого они довольно откровенно рассказали о проблеме и о том, что нужно с этим делать.

По крайней мере, это заставляет их выглядеть более надежными в моих глазах…

…и я думаю, что это мнение разделяют и другие, Пол.

---

УТКА.  Это точно.

То же самое мы слышали и в наших социальных сетях: хоть и прискорбно, что у них была ошибка, и все хотели бы, чтобы у них ее не было, они по-прежнему склонны доверять компании.

На самом деле они могут быть склонны доверять компании больше, чем раньше, потому что думают, что сохраняют хладнокровие в кризис.

---

ДУГ.  Очень хорошо.

Хорошо, спасибо, Адам, что прислал это.

Если у вас есть интересная история, комментарий или вопрос, который вы хотели бы отправить, мы будем рады прочитать его в подкасте.

Вы можете написать на почту tip@sophos.com, прокомментировать любую из наших статей или связаться с нами в социальных сетях: @nakedsecurity.

Это наше шоу на сегодня; большое спасибо, что выслушали.

Для Пола Даклина я Дуг Аамот, напоминаю вам до следующего раза…

---

ОБА.  Оставайтесь в безопасности!

[МУЗЫКАЛЬНЫЙ МОДЕМ]