S3 Ep111: Poslovno tveganje zanikrnega »odfiltra golote« [zvok + besedilo]

Kliknite in povlecite spodnje zvočne valove, da preskočite na katero koli točko. Lahko tudi poslušaj neposredno na Soundcloudu.

DOUG.  Represije, zero-days in Tik Tok pornografija.

Vse to in še več v podcastu Naked Security.

[GLASBENI MODEM]

Dobrodošli v podcastu, vsi.

Jaz sem Doug Aamoth; on je Paul Ducklin.

Paul, prosim oprosti za moj glas.

Bolan sem, vendar se počutim psihično bistro!

---

RACA.  Odlično, Doug.

Zdaj pa upam, da ste imeli dober prost teden in upam, da ste preživeli čudovit črni petek.

---

DOUG.  Imam preveč otrok, da bi počeli karkoli prijetnega ... premladi so.

Ampak nekaj stvari smo dobili na črni petek prek interneta.

Ker, ne vem, ne spomnim se, kdaj sem bil nazadnje v trgovini na drobno, ampak nekega dne se bom vrnil.

---

RACA.  Mislil sem, da si prebolel črni petek, odkar so ti v 18. stoletju zavrnili Nintendo Wii, Doug?

---

DOUG.  To je res, ja.

To je bilo vihtenje do začetka vrste in nekatere gospe so rekle: "Potrebujete vozovnico", ko so videle, kako dolga je vrsta, in rekle: "V redu, to ni zame."

---

RACA.  [SMEH] Vstopnica je bila menda samo zato, da bi prišli *v* čakalno vrsto ... potem bi ugotovili, ali jim je dejansko kaj ostalo.

---

DOUG.  Da, in niso ... spojler!

---

RACA.  "Gospod se samo pridružuje pred čakalno vrsto."

---

DOUG.  Da.

Zato se mi ni dalo boriti s kupom ljudi.

Vse tiste podobe, ki jih vidite v novicah ... to nikoli ne bom jaz.

Oddajo radi začnemo z Ta teden v zgodovini tehnologije segmentu, ta teden pa imamo dvojno prispevek, Paul.

28. novembra 1948 je šel Polaroid Land Camera Model 95 v prodajo v veleblagovnici Jordan Marsh tukaj v Bostonu.

To je bila prva komercialna instant kamera leta 1948.

In potem je en dan (in nekaj let) kasneje, 29. novembra 1972, Atari predstavil svoj prvi izdelek, majhno igrico PONG.

---

RACA.  Ko ste sporočili, da nameravate Land Camera razglasiti kot tehnična zgodovina, sem pomislil ... "Bilo je 1968".

Morda malo prej – morda v poznih petdesetih letih prejšnjega stoletja, nekakšna stvar »dobe Sputnika«.

1948, kajne?

Wow!

Velika miniaturizacija za tisti čas.

Če pomislite, kako veliki so bili računalniki, ni šlo samo za to, da so potrebovali sobe, ampak so potrebovali svoje velike zgradbe!

In tukaj je bila ta skoraj čarobna kamera – kemija v roki.

Moj brat je imel eno od teh, ko sem bil majhen otrok, in spomnim se, da me je popolnoma presenetil.

Ampak ne tako presenečen, Doug, kot je bil, ko je ugotovil, da sem posnel nekaj slik po odveč, samo da vidim, kako deluje.

Ker je seveda plačeval film (SMEH).

Kar ni tako poceni kot film v običajnih fotoaparatih.

---

DOUG.  Ne, gospod!

Naša prva zgodba je druga zgodba zgodovinskega tipa.

To je bil božični črv iz leta 1987, znan tudi kot CHRISTMA EXEC, ki je bil napisan v skriptnem jeziku REXX:

Mrežni črv CHRISTMA EXEC – 35 let in še naprej!

REXX… Še nikoli prej nisem slišal za to.

Narisal je božično drevo v obliki ASCII in se razširil po e-pošti, kar je povzročilo velike motnje v velikih računalnikih po vsem svetu, in je bil nekakšen predhodnik I Love You virus, ki je prizadel IBM PC.

---

RACA.  Mislim, da je veliko ljudi podcenjevalo obseg IBM-ovih omrežij v 1980-ih in moč razpoložljivih skriptnih jezikov, kot je REXX.

Program napišete kot preprosto staro besedilo – ne potrebujete prevajalnika, to je samo datoteka.

In če ime datoteke poimenujete z osmimi znaki, torej BOŽIČ, ne BOŽIČ (čeprav bi lahko *vtipkali* BOŽIČ, ker bi preprosto prezrli -S) ...

…in če bi dali imenu datoteke pripono EXEC (torej: CHRISTMA [presledek] EXEC), potem bi se zagnala, ko bi v ukazno vrstico vnesli besedo »Božič«.

To bi moral biti opozorilni strel čez vse naše loke, a mislim, da je bilo videti kot preblisk.

Do leta kasneje …

... potem je prišel internetni črv, Doug, ki je seveda napadel sisteme Unix in se razširil daleč naokoli:

Spomini na internetnega črva – 25 let kasneje

In do takrat mislim, da smo vsi spoznali: "Uh, ta scena z virusi in črvi bi lahko izpadla precej težavno."

Torej, ja, CHRISTMA EXEC ... zelo, zelo preprosto.

Res je postavilo božično drevo in to je bilo mišljeno kot odvračanje pozornosti.

Pogledali ste božično drevo, zato verjetno niste opazili vseh majhnih znakov na dnu vašega terminala IBM 3270, ki prikazujejo vso sistemsko aktivnost, dokler niste začeli prejemati teh sporočil božičnega drevesa od desetin ljudi.

[SMEH]

In tako je šlo, naprej in naprej in naprej.

"Zelo vesel božič in moje najboljše želje za naslednje leto", je pisalo, vse v obliki ASCII ali bi morda moral reči EBCDIC.

Na vrhu izvorne kode je komentar: »Naj teče ta EXEC in uživaj«.

In malo nižje je opomba, ki pravi: "Brskanje po tej datoteki sploh ni zabavno."

Kar je seveda povsem res, če niste programer.

In pod njim piše: "Samo v ukazni poziv vnesite božič."

Tako kot sodobna zlonamerna programska oprema za makre, ki uporabniku reče: »Hej, makri so onemogočeni, toda za vašo 'dodatno varnost' jih morate znova vklopiti ... zakaj ne kliknete gumba? Tako je veliko lažje.”

Pred 35 leti [SMEH] so pisci zlonamerne programske opreme že ugotovili, da če uporabnike lepo prosite, naj naredijo nekaj, kar jim sploh ni v interesu, bodo nekateri od njih, morda mnogi, to storili.

Ko ste ga pooblastili, je lahko prebral vaše datoteke, in ker je lahko prebral vaše datoteke, je lahko iz vaših tako imenovanih vzdevkov ali datoteke NAMES dobil seznam vseh ljudi, s katerimi ste si običajno dopisovali, in se razstrelil v vse.

---

DOUG.  Ne rečem, da pogrešam ta čas, vendar je bilo nekaj nenavadno tolažilnega, pred 20 leti, ko sem zagnal Hotmail in videl na stotine e-poštnih sporočil ljudi, ki so me imeli na svojem seznamu stikov ...

... in samo *vedenje*, da se nekaj dogaja.

Na primer, "očitno se črv premika naokrog", ker dobivam samo poplavo e-poštnih sporočil od ljudi tukaj.

---

RACA.  Ljudje, s katerimi niste slišali nekaj let ... nenadoma bi bili povsod po vašem nabiralniku!

---

DOUG.  V redu, pojdimo kar v novo, v sodoben čas ...

... in ta TikTok "Nevidni izziv":

TikTok »Invisible Challenge« pornografska zlonamerna programska oprema nas vse ogroža

To je v bistvu filter na TikToku, ki ga lahko uporabite, zaradi česar ste videti nevidni ... zato so ljudje seveda najprej naredili: "Zakaj ne slečem vseh svojih oblačil in vidim, ali sem zaradi tega res neviden?"

In potem seveda kup prevarantov reče: "Dajmo na trg lažno programsko opremo, ki bo 'nevidne' gole ljudi."

Ali imam to pravico?

---

RACA.  Ja, na žalost, Doug, to je na kratko in na kratko.

In na žalost se je to izkazalo za zelo privlačno vabo za precejšnje število ljudi na spletu.

Vabljeni, da se pridružite temu kanalu Discord, če želite izvedeti več ... in če želite začeti, morate všečkati stran GitHub.

Torej je vsa ta samouresničujoča se prerokba….

---

DOUG.  Ta del tega je (sovražim uporabljati besedo na B [briljantno]) … ta vidik je skoraj vreden besede na B, ker legitimizirate ta nelegitimen projekt, samo s tem, da ga vsi podpirajo.
.

---

RACA.  Absolutno!

"Najprej glasujte za in *potem* vam bomo povedali vse o tem, ker bo očitno super, ker je 'brezplačna pornografija'."

In sam projekt je skupek laži – le povezuje se z drugimi repozitoriji (in to je povsem običajno na sceni odprtokodne dobavne verige) … izgledajo kot legitimni projekti, vendar so v bistvu kloni legitimnih projektov z eno spremenjena vrstica, ki se izvaja med namestitvijo.

Kar je velika rdeča zastava, mimogrede, da tudi če to ne bi vsebovalo ponižne pornografske teme "slecite ljudi, ki tega nikoli niso nameravali".

Lahko končate z zakonito programsko opremo, ki je resnično nameščena z GitHuba, vendar postopek namestitve, izpolnjevanje vseh odvisnosti, pridobivanje vseh bitov, ki jih potrebujete ... *ta* postopek je stvar, ki uvaja zlonamerno programsko opremo.

In prav to se je zgodilo tukaj.

Obstaja ena vrstica zakritega Pythona; ko ga odmeglite, je to v bistvu program za prenos, ki gre in pridobi še nekaj Pythona, ki je super skrambuliran, tako da sploh ni očitno, kaj počne.

Ideja je v bistvu, da lahko prevaranti namestijo, kar hočejo, ker ta prenosnik gre na spletno mesto, ki ga prevaranti nadzorujejo, tako da lahko dajo v prenos karkoli želijo.

In videti je, kot da je bila primarna zlonamerna programska oprema, ki so jo želeli namestiti prevaranti (čeprav bi lahko namestili karkoli), trojanec za krajo podatkov, ki temelji na, mislim, projektu, znanem kot WASP ...

... ki v bistvu preiskuje zanimive datoteke v vašem računalniku, zlasti vključno s stvarmi, kot so denarnice za kriptovalute, shranjene kreditne kartice in kar je pomembno (verjetno ste uganili, kam to gre!) vaše geslo za Discord, vaše poverilnice za Discord.

In vemo, zakaj prevaranti obožujejo gesla za družbena omrežja in takojšnje sporočanje.

Ker, ko dobijo vaše geslo, se lahko obrnejo neposredno na vaše prijatelje, vašo družino in vaše sodelavce v zaprti skupini ...

… veliko bolj verjetno je, da morajo doseči veliko večjo stopnjo uspeha pri privabljanju novih žrtev kot pri stvareh, ki jih poškropi in moli, kot sta e-pošta ali SMS.

---

DOUG.  V redu, to bomo spremljali – še vedno se razvija.

Toda končno nekaj dobrih novic: ta prevara »Cryptorom«, ki je kripto/ljubezna prevara ...

...imamo nekaj aretacij, velikih aretacij, kajne?

Večmilijonske prevarantske strani CryptoRom zasežene, osumljenci aretirani v ZDA

---

RACA.  Da.

To je objavilo Ministrstvo za pravosodje ZDA [DOJ]: sedem spletnih mest, povezanih s tako imenovanimi prevaranti Cryptorom, je bilo uničenih.

In to poročilo je povezano tudi z dejstvom, da je bilo, mislim, nedavno aretiranih 11 ljudi v ZDA.

Zdaj, Cryptorom, to je ime, ki so ga raziskovalci SophosLabs dali tej posebni shemi kibernetske kriminalitete, ker, kot pravite, združuje pristop, ki ga uporabljajo romantični prevaranti (tj. poiščejo vas na spletnem mestu za zmenke, ustvarijo lažni profil, postanejo prijatelji) s prevarami s kriptovalutami.

Namesto »Hej, želim, da se zaljubiš vame; poročiva se; zdaj pa mi pošlji denar za vizum, nekakšna prevara ...

…prevaranti pravijo: »No, morda ne bomo postali predmet, vendar smo še vedno dobri prijatelji. [DRAMATIČEN GLAS] Ali imam naložbeno priložnost zate!«

Tako se nenadoma zdi, kot da prihaja od nekoga, ki mu lahko zaupaš.

Gre za prevaro, ki vključuje nagovarjanje k namestitvi aplikacije, ki ni na trgu, tudi če imate iPhone.

»Še vedno je v razvoju; tako je novo; tako si pomemben; ti si ravno v bistvu. Še vedno je v razvoju, zato se prijavite za TestFlight, program beta.«

Ali pa bodo rekli: »Oh, to objavljamo samo ljudem, ki se pridružijo našemu poslu. Dajte nam torej nadzor nad vašim telefonom za upravljanje mobilnih naprav (MDM), nato pa lahko namestite to aplikacijo. [SKRIVNI GLAS} In nikomur ne povej o tem. Ne bo v trgovini z aplikacijami; ti si poseben.”

In seveda je aplikacija videti kot aplikacija za trgovanje s kriptovalutami, podprta pa je z ljubkimi grafi, ki se nenavadno dvigujejo, Doug.

Vaše naložbe se v resnici nikoli ne zmanjšajo ... ampak vse je skupek laži.

In potem, ko hočeš svoj denar ven, no (tipični Ponzijev trik ali trik piramidne sheme), ti včasih dovolijo, da vzameš nekaj denarja ... testiraš, tako da malo dvigneš in ga dobiš nazaj.

Seveda vam samo vrnejo denar, ki ste ga že vložili, ali del tega.

---

DOUG.  [ŽALOSTNO] Da.

---

RACA.  In potem vaše naložbe rastejo!

In potem so povsod nad vami: »Predstavljajte si, če tega denarja niste dvignili? Zakaj ne vložiš tega denarja nazaj? Hej, posodili vam bomo celo nekaj več denarja; nekaj vam bomo dali. In zakaj ne bi vključili svojih prijateljev? Ker prihaja nekaj velikega!«

Torej vložite denar in zgodi se nekaj velikega, na primer cena naraste in rečete: "Vau, tako sem vesel, da sem ponovno vložil denar, ki sem ga dvignil!"

In še vedno razmišljate: "Dejstvo, da bi ga lahko umaknil, mora pomeniti, da so ti ljudje legitimni."

Seveda niso – gre le za večji paket laži, kot je bil na začetku.

In potem, ko končno pomislite: "Bolje, da izplačam denar", se nenadoma pojavijo najrazličnejše težave.

»No, obstaja davek,« Doug, »Obstaja državni davčni odtegljaj.«

In rečete: "V redu, torej bom dal odrezati 20% z vrha."

Potem se zgodba glasi: "Pravzaprav ne, to *tehnično* ni davčni odtegljaj." (Tam vam samo vzamejo denar iz vsote in vam dajo preostanek)

"Pravzaprav je vaš račun *zamrznjen*, zato vlada ne more zadržati denarja."

Plačati morate davek ... potem dobite celoten znesek nazaj.

---

DOUG.  [MIZKAJO] O, bog!

---

RACA.  Na tej točki bi morali zavohati podgano ... vendar so povsod nad vami; pritiskajo na vas; pleveli so; če ne pleve, ti pravijo: »No, lahko bi zašel v težave. Vlada te morda zasleduje!«

Ljudje vlagajo 20 % in potem, kot sem napisal [v članku], upam, da ne bom nesramno: KONEC IGRE, VSTAVITE KOVANEC ZA ZAČETEK NOVE IGRE.

Pravzaprav vas lahko pozneje kontaktira nekdo, ki preprosto čudežno reče Doug: »Hej, ali so te prevarali Cryptorom? No, preiskujem in lahko ti pomagam dobiti denar nazaj.«

Grozna stvar je biti noter, ker se vse začne z delom "rom" [romance].

Pravzaprav ne iščejo romantike, ampak iščejo dovolj prijateljstva, da menite, da jim lahko zaupate.

Torej se dejansko spuščate v nekaj »posebnega« – zato vaši prijatelji in družina niso bili povabljeni.

---

DOUG.  O tej zgodbi smo že večkrat govorili, vključno z nasveti, ki so v tem članku.

Odstop [glavni element] v stolpcu z nasveti je: Odkrito poslušajte svoje prijatelje in družino, če vas poskušajo opozoriti.

Psihološka vojna, tako rekoč!

---

RACA.  Prav zares.

In predzadnje si je treba zapomniti: Naj vas ne zavede, ker obiščete spletno mesto goljufa in je videti kot prava stvar.

Pomislite: "Bog, ali si res lahko privoščijo plačevanje profesionalnih spletnih oblikovalcev?"

Toda če pogledate, koliko denarja ti fantje zaslužijo: [A] da, lahko bi in [B] tega jim niti ni treba.

Obstaja veliko orodij, ki ustvarjajo visokokakovostna, vizualno prijazna spletna mesta z grafi v realnem času, transakcijami v realnem času, čarobnimi, lepimi spletnimi obrazci ...

---

DOUG.  Točno tako.

Pravzaprav je dandanes zelo težko narediti *slabo* spletno stran.

Še posebej se moraš potruditi!

---

RACA.  Imel bo potrdilo HTTPS; imelo bo dovolj legitimno ime domene; in seveda je v tem primeru skupaj z aplikacijo, *ki je vaši prijatelji ne morejo preveriti namesto vas tako, da jo sami prenesejo* iz trgovine App Store in vprašajo: »Kaj za vraga si razmišljal?«

Ker gre za »skrivno posebno aplikacijo« prek »super-posebnih« kanalov, ki prevarantom le olajša, da vas prevarajo tako, da ste videti več kot dovolj dobri.

Torej, pazite se, ljudje!

---

DOUG.  Pazite!

In ostanimo pri temi zatiranja.

To je še eno veliko zatiranje – ta zgodba mi je zelo zanimiva, zato me zanima, kako jo boste razvozlali:

Zasežena stran za glasovno goljufijo »iSpoof«, 100 aretiranih v množičnem zatiranju

To je spletno mesto za glasovne goljufije, imenovano iSspoof ... in šokiran sem, da mu je bilo dovoljeno delovati.

To ni temno spletno mesto, to je na navadnem spletu.

---

RACA.  Predvidevam, da je vse, kar vaše spletno mesto počne, "Ponudili vam bomo storitve Voice Over IP [VoIP] z dodano kul vrednostjo, ki vključuje nastavitev lastnih klicnih številk" ...

… če odkrito ne rečejo: »Glavni cilj tega je kibernetski kriminal«, potem morda ni zakonske obveznosti za gostiteljsko podjetje, da spletno mesto odstrani.

In če ga gostite sami in ste prevarant ... Predvidevam, da je precej težko.

Na koncu je bil potreben sodni nalog, ki ga je po mojem mnenju pridobil FBI in ga je izvršilo Ministrstvo za pravosodje, da je šel zahtevati te domene in postaviti [sporočilo] "Ta domena je bila zasežena."

Torej je bila precej dolgotrajna operacija, kolikor razumem, samo poskušanje priti za tem.

Težava tukaj je v tem, da vam je zelo olajšalo zagon storitve goljufije, pri kateri bi se, ko nekoga pokličete, njegov telefon pojavil z imenom njegove banke High Street, ki so ga sami vnesli na svoj seznam telefonskih stikov, črtalo *spletna stran banke*.

Ker je na žalost v protokolu ID klicatelja ali Identifikacije klicne linije malo ali nič preverjanja pristnosti.

Tiste številke, ki se prikažejo, preden sprejmete klic?

Niso boljši od namigov, Doug.

A žal jih ljudje jemljejo kot nekakšno evangelijsko resnico: »Piše, da je to banka. Kako bi lahko kdo to ponaredil? MORA me klicati iz banke.”

Ni nujno!

Če pogledate število opravljenih klicev ... koliko je bilo, tri milijone in pol samo v Združenem kraljestvu?

10 milijonov po vsej Evropi?

Mislim, da so opravili tri milijone in pol klicev; 350,000 od teh je bilo odgovorjenih in je nato trajalo več kot minuto, kar nakazuje, da je oseba začela verjeti celotnemu ponarejanju.

Torej: »Prenesite sredstva na napačen račun« ali »Preberite kodo za dvofaktorsko avtentikacijo« ali »Naj vam pomagamo pri vaši tehnični težavi – začnimo z namestitvijo TeamViewerja« ali kar koli že.

In celo povabilo sleparjev: "Preverite številko, če mi ne verjamete!"

---

DOUG.  To nas pripelje do vprašanja, ki sem ga imel ves čas med branjem tega članka, in se lepo ujema z našim komentarjem bralcev za ta teden.

Bralec Mahnn komentira: "Telekomunikacijske družbe bi morale prejeti pošten delež krivde, ker so dovolile lažno predstavljanje v svojem omrežju."

Torej, v tem duhu, Paul, ali lahko telekomunikacijske družbe dejansko kaj storijo, da to ustavijo?

---

RACA.  Zanimivo je, da je naslednji komentator (hvala, John, za ta komentar!) rekel: "Želim si, da bi omenil dve stvari, imenovani STIR in SHAKEN."

To so ameriške pobude – ker imate radi svoje pozadine, kajne, všeč vam je zakon CAN-SPAM?

---

DOUG.  Pri nas!

---

RACA.  Torej, STIR je »ponovni pregled varne telefonske identitete«.

In SHAKEN očitno pomeni (ne ustreli me, jaz sem samo glasnik, Doug!) ... kaj je to, »ravnanje uveljavljenih informacij na podlagi podpisa z uporabo žetonov«.

Torej je v bistvu tako, kot bi rekli: "Končno smo se navadili uporabljati TLS/HTTPS za spletna mesta."

Ni popoln, vendar vsaj zagotavlja nekaj ukrepov, tako da lahko potrdilo preverite, če želite, in preprečuje, da bi se kdorkoli pretvarjal, da je kogarkoli, kadar koli želi.

Problem je, da so to le pobude, kolikor vem.

Imamo tehnologijo za to, vsaj za internetno telefonijo ...

…ampak poglejte, koliko časa smo potrebovali, da smo naredili nekaj tako preprostega, kot je pridobitev HTTPS na skoraj vseh spletnih mestih na svetu.

Proti temu je bil velik odziv.

---

DOUG.  Da!

---

RACA.  In, ironično, to ni prihajalo od ponudnikov storitev.

Prihajalo je od ljudi, ki so govorili: »No, vodim majhno spletno stran, zakaj bi se torej moral obremenjevati s tem? Zakaj bi me moralo skrbeti?"

Zato mislim, da bo morda minilo še veliko let, preden bo kakšna močna identiteta povezana z dohodnimi telefonskimi klici ...

---

DOUG.  V redu, torej bi lahko trajalo nekaj časa, [WRYLY], toda kot pravite, izbrali smo naše kratice, kar je zelo pomemben prvi korak.

Torej, tega smo odpravili ... in videli bomo, ali bo to sčasoma dobilo obliko.

Torej hvala, Mahnn, da si to poslal.

Če imate zanimivo zgodbo, komentar ali vprašanje, ki bi ga radi poslali, ga bomo z veseljem prebrali v podcastu.

Lahko pošljete e-poštno sporočilo na tips@sophos.com, lahko komentirate katerega koli od naših člankov ali pa nas kontaktirate na socialnem omrežju: @NakedSecurity.

To je naša današnja predstava; najlepša hvala za posluh.

Za Paula Ducklina sem Doug Aamoth in vas opomnim: Do naslednjič ...

---

OBOJE.  Bodite varni.

[GLASBENI MODEM]