Κάντε κλικ και σύρετε στα ηχητικά κύματα παρακάτω για να μεταβείτε σε οποιοδήποτε σημείο. Μπορείτε επίσης να ακούστε απευθείας στο Soundcloud.

ΖΥΜΗ.  Μια όχι και τόσο μηδενική ημέρα, μια παράκαμψη οθόνης κλειδώματος, απάτες μέσω email και τυρί Emmenthal.

Όλα αυτά και πολλά άλλα στο podcast του Naked Security.

[ΜΟΥΣΙΚΟ ΜΟΝΤΕΜ]

Καλώς ήρθατε στο podcast, όλοι.

Είμαι ο Doug Aamoth. είναι ο Paul Ducklin.

Παύλο, πώς τα πας σήμερα;

---

ΠΑΠΙΑ.  Είμαι υπέροχος, Νταγκ.

Και δεν νομίζω ότι το ανέφερες Ο δισεκατομμυριούχος κύριος της Gucci.

---

ΖΥΜΗ.  Είναι μέρος του “All that and more”, φυσικά!

---

ΠΑΠΙΑ.  Α, και πολλά, ΠΟΛΛΑ άλλα, Νταγκ. [ΓΕΛΙΑ]

---

ΖΥΜΗ.  Ακριβώς.

Μας αρέσει να ξεκινάμε την παράσταση με το δικό μας Αυτή η εβδομάδα στην ιστορία της τεχνολογίας τμήμα.

Αυτό είναι συναρπαστικό για μένα γιατί ήμουν εκεί, φίλε!

Αυτή την εβδομάδα, στις 14 Νοεμβρίου 2006, η Microsoft κυκλοφόρησε το Zune, ένα φορητό media player 30 gigabyte που προοριζόταν να ανταγωνιστεί το iPod της Apple.

Η Microsoft θα ανοίξει το δρόμο της μέσα από τρεις γενιές συσκευών αναπαραγωγής Zune, μια συνδρομητική υπηρεσία μουσικής και μια χούφτα άλλες εφαρμογές και ξεκινήματα πριν από την κονσερβοποίηση του υλικού το 2011 και του λογισμικού και των υπηρεσιών το 2012.

Δούλευα στο TechCrunch εκείνη την εποχή και η γενική συναίνεση ήταν ότι μέχρι το Zune HD, που κυκλοφόρησε το 2009, μιλούσαμε για το Good Zune.

Αλλά μέχρι τότε ήταν πολύ λίγο, πολύ αργά, γιατί το iPod touch κυκλοφόρησε το 2007…

…και θυμάμαι ότι κάλυψα εκείνη την εκδήλωση και με δέος μια τέτοια συσκευή.

Δεν μπορώ να θυμηθώ την τελευταία φορά που ένιωσα δέος από ένα τόσο λεπτό MP3 player. μπορείτε να κατεβάσετε τραγούδια απευθείας σε αυτό.

Αυτή ήταν η ιστορία του Zune για μένα.

Το υλικό και η οθόνη, ωστόσο, ήταν πολύ καλά, οπότε ήταν δύσκολο να μην αρέσει…

…απλά κάτι του έλειπε, και μετά έκλεισαν τα πάντα, οπότε δεν είχε μεγάλη σημασία.

Μεταξύ του Zune και του Windows Phone: αυτές ήταν δύο πρωτοβουλίες της Microsoft που ήθελα πολύ να δουλέψω και απλώς δεν πέτυχαν.

---

ΠΑΠΙΑ.  Μου άρεσε το Windows Phone μου, είτε το πιστεύετε είτε όχι.

Είναι πάντα η τρίτη έκδοση με τη Microsoft, έτσι δεν είναι;

Τα Windows 3;

---

ΖΥΜΗ.  Το Zune, επίσης - τρίτη έκδοση!

---

ΠΑΠΙΑ.  Και σκέφτηκα, «Τέλεια!»

Μόλις όμως ερωτεύτηκα το Windows Phone, το διέκοψαν, μόλις έγινε καλό. [ΓΕΛΙΑ]

---

ΖΥΜΗ.  Λοιπόν, μπορούμε να μείνουμε στο θέμα της Apple, γιατί αυτό είναι δεν είναι καθόλου μια μέρα μηδέν, αλλά ήταν αρκετά επικίνδυνο για να δικαιολογήσει ένα έμπλαστρο έκτακτης ανάγκης:

Ενημερωμένη έκδοση κώδικα εκτέλεσης κώδικα έκτακτης ανάγκης από την Apple – αλλά όχι 0-ημέρα

---

ΠΑΠΙΑ.  Ναι, δεν ήταν μια ημέρα μηδέν γιατί αποκαλύφθηκε υπεύθυνα, από όσο ξέρω.

Ήταν ένα σφάλμα σε μια βιβλιοθήκη ανάλυσης XML που ονομάζεται libxml2… η δική μου διανομή Linux έλαβε μια ενημέρωση που περιλάμβανε αυτήν την επιδιόρθωση.

Τώρα, κανείς άλλος δεν φαινόταν να ενθουσιάζεται τρομερά με το libxml2 ενημέρωση.

Ήταν απλώς, "Γεια, βρήκαν ένα σφάλμα, το διόρθωσαν: αποκτήστε τη νέα έκδοση."

Αλλά η Apple… ήρθαν ξαφνικά αυτές οι ενημερώσεις.

Και διόρθωσαν το libxml2 σφάλματα μόνο για τις πιο πρόσφατες εκδόσεις του λειτουργικού τους συστήματος.

Έτσι, macOS 13 Ventura και iOS/iPadOS 16.

---

ΖΥΜΗ.  Επομένως, εάν είμαι χρήστης της Apple και δεν εκτελώ την πιο πρόσφατη έκδοση κανενός από αυτά τα λειτουργικά συστήματα, είμαι στο σκοτάδι σχετικά με το αν χρειάζομαι κάποιο είδος ενημέρωσης.

Περιμένω μια ενημέρωση ή είναι η τρέχουσα έκδοση, η οποία δεν είναι 13.0 ή 16.1… είναι ασφαλής;

---

ΠΑΠΙΑ.  Αυτό είναι το πρόβλημα που έχουμε κάθε φορά που συμβαίνει αυτό, έτσι δεν είναι;

Όπου υπάρχει ενημέρωση για τις πιο πρόσφατες εκδόσεις και όχι για τις άλλες.

Μακάρι λοιπόν η Apple να διευκρινίσει εάν αναμένονταν ενημερώσεις για άλλες συσκευές ή ακόμα και γιατί θεώρησε ότι ήταν απαραίτητο να προωθήσει μια ενημέρωση ειδικά για αυτήν τη βιβλιοθήκη.

Η καλύτερη εικασία μου είναι ότι όταν ενημερώθηκαν για το σφάλμα και οι δικοί τους άνθρωποι ασφαλείας άρχισαν να το κοιτάζουν, σκέφτηκαν, «Αναρωτιέμαι αν θα μπορούσατε να το εκμεταλλευτείτε αυτό… Ω ΟΧΙ! Είναι πάρα πολύ εύκολο.”

Ίσως βρήκαν ότι υπήρχε κάποιο μέρος του κώδικα της Apple που ήταν απλώς (αν θέλετε) πολύ κοντά στην άκρη του δικτύου ή στην άκρη της συσκευής, αυτό μπορεί να σημαίνει ότι κάποιος θα μπορούσε γρήγορα να καταλάβει πώς να το εκμεταλλευτεί.

Γιατί λοιπόν να μην το επιδιορθώσετε;

Αν ναι, υπέροχο, αλλά θα ήταν ωραίο να το γνωρίζουμε!

---

ΖΥΜΗ.  Οπότε υποθέτω ότι η καλύτερη συμβουλή που μπορούμε να δώσουμε είναι να πάμε στην ενότητα ενημερώσεων λογισμικού και να δούμε αν υπάρχει κάτι εκεί.

Αν όχι, κάτσε καλά και θα το προσέχουμε.

Εντάξει, ας αλλάξουμε ταχύτητα από την Apple στο Android.

Έχουμε μια ανταλλαγή SIM παράκαμψη οθόνης κλειδώματος, και αυτή η παράκαμψη της οθόνης κλειδώματος είναι κάπως τρομακτική καθώς ήταν μια τυχαία ανακάλυψη, επομένως θα μπορούσε να συμβεί σε οποιονδήποτε:

Επικίνδυνη παράκαμψη κλειδώματος οθόνης με εναλλαγή SIM – ενημερώστε το Android τώρα!

Άρα είναι κάπως σοβαρό!

Και η Google κάπως έσυρε τα πόδια της για να το φτιάξει…

---

ΠΑΠΙΑ.  Ναι, Νταγκ.

Το συναρπαστικό με αυτό είναι… Δεν θα μπορούσα να σκεφτώ καλύτερο τρόπο για να το περιγράψω από μια επίθεση ανταλλαγής SIM, επειδή περιλαμβάνει την αλλαγή κάρτας SIM.

Αλλά δεν είναι αυτό που συνήθως θεωρούμε ως επίθεση "μεταφοράς αριθμού" όταν πηγαίνετε σε ένα κατάστημα κινητής τηλεφωνίας και τους ξεγελάτε, τους κοροϊδεύετε, τους δωροδοκείτε, τους παρακινείτε να σας εκδώσουν μια ολοκαίνουργια SIM με τον αριθμό κάποιου άλλου. έτσι μπορείτε να αναλάβετε τα μηνύματά τους και να διαβάσετε τους κωδικούς ελέγχου ταυτότητας δύο παραγόντων για να συνδεθείτε στον λογαριασμό τους.

Αυτός είναι ένας τύπος ανταλλαγής SIM.

Σε αυτήν την περίπτωση, το σφάλμα ενεργοποιήθηκε για κάποιον που έχει επανεκκινήσει το τηλέφωνό του.

Και σε αυτήν την περίπτωση, επειδή το παιδί ταξίδευε και το τηλέφωνό του είχε τελειώσει, αναγκάστηκε να κάνει μια πλήρη επανεκκίνηση.

Όταν κάνετε επανεκκίνηση, εάν έχετε ορίσει ένα PIN στην κάρτα SIM σας (το οποίο θα έπρεπε να έχετε, ή κάποιος θα μπορούσε απλώς να σας κλέψει το τηλέφωνό σας, να αφαιρέσετε την κάρτα SIM και να αρχίσετε να λαμβάνετε όλες τις κλήσεις και τα γραπτά σας μηνύματα)… λοιπόν. , πήρε λάθος το PIN και παίρνεις μόνο τρεις φορές και μετά κλειδώνεσαι έξω.

Τώρα πρέπει να πάτε και να πάρετε το 10ψήφιο PUK, που είναι ο κωδικός ξεκλειδώματος για την ίδια τη SIM.

Παίρνετε μόνο 10 δόσεις, μετά από τις οποίες η SIM καταστρέφεται βασικά και δεν χρησιμοποιείται πλέον.

Αλλά παρατήρησε ότι, όταν έβαλε το PUK… κατάλαβε ότι ήταν στην οθόνη κλειδώματος, *αλλά το λάθος*.

Ήταν στο είδος της οθόνης κλειδώματος του τηλεφώνου που του επέτρεπε να ξεκλειδώνει με το δακτυλικό του αποτύπωμα.

Όχι το «Μόλις επανεκκινήσατε το τηλέφωνό σας. πρέπει να ξεκλειδώσετε σωστά με τον πλήρη κωδικό σας».

Οπότε σκέφτηκε: «Έφτασα σε λάθος μέρος. Αυτό δεν πρέπει να συμβαίνει. Θα έπρεπε να κλειδώνομαι έξω από το τηλέφωνό μου με κάτι περισσότερο από το δακτυλικό μου αποτύπωμα».

Και έτσι μπόρεσε να ανακαλύψει ότι θα μπορούσε, εάν έβγαζε λάθος το PIN της SIM εσκεμμένα και το χρονομέτρησε σωστά… θα μπορούσε να παρακάμψει τον κωδικό κλειδώματος σε ένα κλειδωμένο τηλέφωνο.

Κάπως έτσι, Νταγκ!

---

ΖΥΜΗ.  Εντάξει, λοιπόν, πού μπαίνει το *swap* SIM σε αυτήν την περίπτωση;

---

ΠΑΠΙΑ.  Λοιπόν, αυτό είναι το θέμα…

Φανταστείτε ότι κλέβετε το τηλέφωνο κάποιου και συνειδητοποιείτε: «Ω, αγαπητέ, είναι κλειδωμένο».

Τώρα, αλλάζετε την SIM, αλλά αντί να προσπαθείτε να αλλάξετε τον *αριθμό* τους σε μια νέα σας SIM, απλώς πηγαίνετε στο ψιλικατζίδικο, αγοράζετε μια νέα κάρτα SIM, την αλλάζετε στο *τηλέφωνό τους*…

…και γνωρίζετε το PIN της νέας κάρτας SIM, άρα *εσκεμμένα το κάνετε λάθος τρεις φορές*.

Τώρα βρίσκεστε στην καταχώρηση κωδικού PUK.

Διαβάζετε τον κωδικό PUK από τη συσκευασία, επειδή είναι τυπωμένος εκεί… ξύστε τον με ένα νόμισμα. εκεί είναι ο μαγικός κώδικας.

Το βάζεις και "Μπίνγκο!"

Έκανες το bypass του!

---

ΖΥΜΗ.  Αν είμαι πορτοφολάς ή εγκληματίας, ή βρω ένα τηλέφωνο στο έδαφος, συνήθως στην εποχή που ζούμε, σκέφτεσαι: «Α, είναι άχρηστο γιατί είναι κλειδωμένο και δεν θα μπορέσω να μπω μέσα του. να το σκουπίσεις και μετά να το πουλήσεις».

Σε αυτήν την περίπτωση, μπορείτε πραγματικά να το κάνετε αυτό… απλώς αγοράστε μια φθηνή, δωρεάν SIM. μπορείτε να το σκουπίσετε και να το πουλήσετε.

---

ΠΑΠΙΑ.  Και, όπως επισημαίνει ο μαθητής που το ανακάλυψε, ο David Schütz:

«Μπορεί να αντιδρώ υπερβολικά, αλλά, εννοώ, όχι πολύ καιρό πριν, το FBI πάλευε με την Apple σχεδόν για το ίδιο πράγμα».

Έχω το τηλέφωνο κάποιου άλλου… υπάρχει κάποιος μαγικός τρόπος, με κάποιο ειδικό υλικό, που μπορώ να το ξεκλειδώσω;

Και αποδεικνύεται ότι, με το Android, αν είχατε τον σωστό χρόνο, ναι, *υπήρχε* κάποιο ειδικό υλικό και θα μπορούσατε να πάτε σε ένα ψιλικατζίδικο και να αγοράσετε αυτό το υλικό από το ράφι για $1!

---

ΖΥΜΗ.  Εντάξει, άρα αυτό είναι σοβαρό.

Λοιπόν, το πάει στο Google και τι κάνουν;

Λένε, «Θα το φτιάξουμε αμέσως»… ή όχι;

---

ΠΑΠΙΑ.  Σκέφτομαι και τα δύο: «Ναι, εντάξει, κάποιος το ανέφερε πριν, αλλά δεν μπορέσαμε να το κάνουμε να λειτουργήσει».

Τότε δεν έγινε τίποτα, και δεν έγινε τίποτα…

Έτσι έφτασε η προθεσμία αποκάλυψής του και πήγε στην Google και είπε: «Θα το αποκαλύψω, αλλά νιώθω άβολα. Τι θα κάνουμε για αυτό;»

Και, ευτυχώς, η Google ήρθε στη συνέχεια στο πάρτι και στην ενημέρωση του Νοεμβρίου 2022 (το βρήκε τον Ιούνιο του 2022)… στην ενημέρωση του Νοεμβρίου 2022, παρείχαν την επιδιόρθωση.

Ευλόγησε την καρδιά του, είπε, «Κοίτα, θα έρθω στα γραφεία σου και θα σου δείξω ότι λειτουργεί».

Και προφανώς είναι αρκετά έξυπνος για να βρει τρωτά σημεία και να κυνηγήσει επικηρυγμένα ζωύφια, φαίνεται…

…αλλά όχι αρκετά έξυπνο για να συνειδητοποιήσετε ότι όταν βρίσκεστε σε ένα κτίριο γραφείων και δεν έχετε το κατάλληλο εργαλείο εξαγωγής SIM, πιθανότατα υπάρχει κάπου τριγύρω ένας συνδετήρας.

Έτσι, αντί να ζητήσει συνδετήρα, προσπάθησε να χρησιμοποιήσει μια βελόνα και προφανώς μαχαίρωσε τον εαυτό του. [ΓΕΛΙΑ]

Τώρα έχει επιδιορθωθεί, αλλά αν έχετε τηλέφωνο Android, βεβαιωθείτε ότι έχετε την ενημέρωση Νοεμβρίου 2022!

---

ΖΥΜΗ.  Εντάξει, μιλήσαμε πριν από λίγο καιρό για μια επίθεση "Browser-in-the-browser" του Firefox, την οποία βρήκα συναρπαστική… και φαίνεται ότι μπορεί να έχουμε τη δυνατότητα για άλλη μια, χάρη σε μια νέα παράκαμψη πλήρους οθόνης:

Ο Firefox διορθώνει το ψεύτικο σφάλμα πλήρους οθόνης - λάβετε την ενημέρωση τώρα!

---

ΠΑΠΙΑ.  Ναι!

Ο Firefox 107 κυκλοφόρησε αυτήν την εβδομάδα και νομίζω ότι η Εκτεταμένη Έκδοση Υποστήριξης είναι 102.5.

(Θυμηθείτε, είναι "102+5 = 107", οπότε δεν πρόκειται για διορθώσεις λειτουργιών, αλλά για όλες τις διορθώσεις ασφαλείας.)

Δεν υπάρχει τίποτα κρίσιμο, δεν υπάρχουν μηδενικές ημέρες, αλλά υπάρχουν πολλά τρωτά σημεία υψηλής σοβαρότητας και αυτό που τράβηξε την προσοχή μου είναι ένα πολύ απλό και πιθανώς ασήμαντο σφάλμα.

Υπάρχει ένας τρόπος να βάλετε το πρόγραμμα περιήγησης σε λειτουργία πλήρους οθόνης χωρίς να εμφανιστεί αυτή η μικρή προειδοποίηση που λέει: «Γεια σας, παιδιά, το πρόγραμμα περιήγησης είναι τώρα σε λειτουργία πλήρους οθόνης, οπότε μην ξεχνάτε ότι ό,τι βλέπετε *είναι το πρόγραμμα περιήγησης*. πατήστε Escape ή F11 (ή οτιδήποτε άλλο) για να επιστρέψετε στην κανονική οθόνη."

Και σκέφτεστε, "Πόσο επιβλαβές είναι αυτό;"

Αλλά αν θυμάστε, εκείνη η επίθεση Browser-in-the-Browser ήταν όπου ζωγραφίζετε κάτι που μοιάζει με ένα αναδυόμενο παράθυρο διαλόγου λειτουργικού συστήματος μέσα στο παράθυρο του προγράμματος περιήγησης και ξεγελούν τους ανθρώπους να βάλουν, ας πούμε, έναν κωδικό πρόσβασης, νομίζοντας ότι επικοινωνούν με τα Windows…

...όταν στην πραγματικότητα επικοινωνούν με το πρόγραμμα περιήγησης:

Σοβαρή ασφάλεια: Επιθέσεις από το πρόγραμμα περιήγησης στο πρόγραμμα περιήγησης - προσέξτε τα παράθυρα που δεν είναι!

Και νομίζω ότι ήταν ένας Douglas Aamoth που είπε στους ανθρώπους: «Γεια, απλά πιάστε το παράθυρο, το ψεύτικο αναδυόμενο παράθυρο, εάν είστε ύποπτοι, και προσπαθήστε να το μετακινήσετε έξω από το πραγματικό παράθυρο του προγράμματος περιήγησης. Και αν δεν πάει εκεί, ξέρετε ότι κοιτάτε ένα ψεύτικο».

Λοιπόν, φανταστείτε… ποιος είναι ο κίνδυνος τυχαίας πλήρους οθόνης;

Λοιπόν, τότε ζωγραφίζετε ένα ψεύτικο παράθυρο του προγράμματος περιήγησης *μέσα στο οποίο ζωγραφίζετε ένα ψεύτικο αναδυόμενο παράθυρο*.

Και μετά, όταν το άτομο ακολουθήσει την πολύ καλή συμβουλή σας, Doug, και σύρει το ψεύτικο αναδυόμενο παράθυρο, αυτό *θα* βγει έξω από το ψεύτικο παράθυρο του προγράμματος περιήγησης και θα πείτε, "Εντάξει, ίσως τελικά είναι αληθινό".

Επομένως, το πρόβλημα με την πλήρη οθόνη είναι ότι σημαίνει ότι ο κώδικας που εκτελείται μέσα στο πρόγραμμα περιήγησης (μη αξιόπιστη JavaScript, HTML, CSS, κ.λπ.) μπορεί να ζωγραφίσει αποτελεσματικά οποιοδήποτε pixel στην οθόνη.

---

ΖΥΜΗ.  Σκεφτόμουν επίσης: ένας εξαιρετικός τρόπος για να καταχραστεί αυτό (τώρα μην το κάνετε αυτό, μην το δοκιμάσετε στο σπίτι!) θα ήταν να φαίνεται ότι η περίοδος σύνδεσης του χρήστη είχε, για κάποιο λόγο, μόλις αποσυνδεθεί.

Έτσι, επιστρέφετε σε μια "οθόνη σύνδεσης"… είναι πλήρης οθόνη και σας ζητά να εισαγάγετε τον κωδικό πρόσβασής σας.

Εννοώ, έχω ένα κουμπί στο πληκτρολόγιό μου που με αποσυνδέει αν το πατήσω κατά λάθος και τώρα θέλει να επιστρέψει ο κωδικός μου…

---

ΠΑΠΙΑ.  [ΓΕΛΙΑ] Νταγκ, χαίρομαι που είσαι συνάδελφός μου, μόνο αυτό λέω, δεν δουλεύω για την άλλη πλευρά! [ΓΕΛΙΑ]

---

ΖΥΜΗ.  Και αν ήμουν πραγματικά επιχειρηματικός (δεν θα το έκανα πραγματικά αυτό, φυσικά!), ξέρω ότι τα Windows αλλάζουν την εικόνα σύνδεσης κάθε μέρα σε μια διαφορετική όμορφη θέα…

…Απλώς θα έλεγχα ποιο συμβαίνει σήμερα και θα το πήγαινα κάθε μέρα στο νεότερο, μόλις ήξερα τι θα ήταν το νέο.

---

ΠΑΠΙΑ.  Είσαι σίγουρος ότι δεν είσαι άτακτο αγόρι, Νταγκ; [ΓΕΛΙΟ]

---

ΖΥΜΗ.  Λοιπόν, ας ενημερώσουμε αυτά τα προγράμματα περιήγησης Firefox και ας προχωρήσουμε σε αυτό που περιγράψατε ως επίθεση "τυρί Emmenthal".

Τώρα, αν έγραφα τον τίτλο… ο τίτλος σας ήταν υπέροχος, ήταν πολύ περιγραφικός, αλλά θα μπορούσατε να προσελκύσετε κόσμο με τον τίτλο να είναι απλώς Η επίθεση τυριού Emmenthal, ή γιατί η άμυνα σε βάθος είναι σημαντική.

Αν και έχετε το "Log4Shell" εκεί... αυτό μάλλον θα είναι τραβήξτε περισσότερο κόσμο από το τυρί:

Τρύπα εκτέλεσης κώδικα που μοιάζει με Log4Shell στο δημοφιλές εργαλείο προγραμματισμού Backstage

---

ΠΑΠΙΑ.  [MOCK AFFRONT] Με κατηγορείτε για αυτό που πιστεύω ότι ονομάζεται "Βελτιστοποίηση μηχανών αναζήτησης";

---

ΖΥΜΗ.  [ΠΛΑΣΤΙΚΗ ΔΙΚΑΙΩΣΗ] Δεν θα το έκανα ποτέ!

---

ΠΑΠΙΑ.  Ευχαριστώ, Νταγκ.

Είναι Log4Shell-όπως, και πίστευα ότι οι άνθρωποι θα θυμούνται το Log4Shell επειδή είναι κάπως δύσκολο να το ξεχάσουμε:

Log4Shell: The Movie… μια σύντομη, ασφαλής οπτική περιήγηση για τη δουλειά και το σπίτι

Ανησυχούσα, αν έβαζα Τυρί Έμενταλ στον τίτλο, ότι αν δεν ξέρετε ακριβώς ότι πρόκειται για ένα είδος τυριού που γενικά έχει φυσαλίδες από το αέριο που παράγεται ενώ ζυμώνεται, και επομένως όταν το κόβετε σε φέτες, έχει κυκλικές τρύπες μέσα του. αν δεν το ξέρετε αυτό, τότε… [ΠΑΥΣΕΙΣ] Υποθέτω ότι θα μπορούσα να είχα βάλει μια φωτογραφία μιας φέτας τυριού Έμενταλ, αλλά αυτό θα ήταν λίγο τυρί.

---

ΖΥΜΗ.  Καλά Krafted!

---

ΠΑΠΙΑ.  Εν πάση περιπτώσει, το επηρεαζόμενο εργαλείο ονομάζεται Backstage, και πιστεύω ότι αρχικά αναπτύχθηκε ως εργαλειοθήκη προγραμματιστή για τη δημιουργία όσων ονομάζονται API, διεπαφές προγραμματισμού εφαρμογών.

Όπως υποδηλώνει το όνομα, είναι περισσότερο ένα εργαλείο back-end, οπότε αναμένετε να βρίσκεται μέσα στο δίκτυό σας, αλλά παρόλα αυτά, εάν είναι μέρος των υπηρεσιών λογικής της επιχείρησής σας, τότε θέλετε να βεβαιωθείτε ότι δεν έχουν τυχόν σφάλματα.

Και το ονομάζω Emmenthal Cheese Attack, γιατί, ευτυχώς, δεν είναι ακριβώς όπως το Log4Shell, όπου πολλές υπηρεσίες εκτέθηκαν κατά λάθος και μπορούσατε απλώς να τους στείλετε τυχαία αιτήματα HTTP…

…και πολλά από αυτά θα έπεφταν στην τρύπα της προσπάθειας επεξεργασίας μιας συμβολοσειράς που περιείχε ειδικούς «μυστικούς χαρακτήρες» που τους έκαναν να εκτελούν μη εξουσιοδοτημένες εντολές.

Σε αυτήν την περίπτωση, ήταν περισσότερο σαν να είχατε πολλές φέτες τυρί Emmenthal, με όλες τις τρύπες μέσα.

Και αν μπορείτε, ως ο εισβολέας, να υπολογίσετε ότι σε αυτό το δίκτυο οι φέτες είναι ευθυγραμμισμένες έτσι ώστε να υπάρχει τουλάχιστον μία τρύπα δίπλα σε μια άλλη τρύπα σε κάθε φέτα, τότε μπορείτε να περάσετε μια χορδή από εκεί και να μπείτε μέσα.

Τα καλά νέα είναι, φυσικά, ότι αυτό σημαίνει ότι αν μπορείτε να μετακινήσετε οποιαδήποτε από τις φέτες σε μια θέση όπου δεν υπάρχει *καμία τρύπα που να περνάει μέχρι τέλους*, αμύνεστε εναντίον της.

---

ΖΥΜΗ.  Ποιες είναι λοιπόν οι τρύπες στις οποίες θα έπρεπε να περάσει ένας εισβολέας για να χτυπήσει το paydirt;

---

ΠΑΠΙΑ.  Λοιπόν, πρώτα θα πρέπει να μπορούν να έχουν πρόσβαση σε έναν διακομιστή που είχε ενεργοποιημένο τον κωδικό σφάλματος, για να στείλουν ένα αίτημα.

Αυτό μπορεί να είναι δυνατό αν είχατε ήδη εισχωρήσει στο δίκτυο αλλά είχατε περιορισμένη πρόσβαση… ας πούμε ότι είχατε παραβιάσει τον υπολογιστή ενός προγραμματιστή, ώστε να μπορείτε να πραγματοποιείτε εσωτερικές κλήσεις API.

Ή μπορεί να συμβεί εάν έχετε απλώς ορισμένες υπηρεσίες που βασίζονται σε αυτό που είναι ορατές εξωτερικά.

Αλλά είναι μια καλή υπενθύμιση της πολυπλοκότητας της εφοδιαστικής αλυσίδας που προκύπτει όταν χρησιμοποιείτε προϊόντα όπως node.js (JavaScript από την πλευρά του διακομιστή) και το NPM Διαχειριστής πακέτων κόμβων αποθήκη.

Επειδή Backstage περιέχει ένα πράγμα, νομίζω, που ονομάζεται Σκαλωσιές, το οποίο είναι ένα πρόσθετο που σας βοηθά να οργανώσετε όλα τα διάφορα backends API σας όμορφα.

Και Σκαλωσιές χρησιμοποιεί ένα σύστημα καταγραφής που ονομάζεται (μην πυροβολείτε τον αγγελιοφόρο, Νταγκ, αναφέρω απλώς το όνομα, δεν το έφτιαξα.)… αυτό είναι ένα εργαλείο της Mozilla, πιστεύω ότι ονομάζεται [ΓΕΛΙΑ] Ναντζάκ (Δεν ξέρω από πού παίρνουν αυτά τα ονόματα!), και αυτό είναι ένα εργαλείο καταγραφής.

Έτσι όπως το Log4J, έχει μαγικούς χαρακτήρες όπως ${{ ...ειδικά πράγματα εδώ που μπορεί να περιλαμβάνουν εντολές για εκτέλεση από την πλευρά του διακομιστή… }}.

Και αυτό είναι τυλιγμένο σε ένα πράγμα που ονομάζεται vm2, που είναι μια άλλη λειτουργική μονάδα NPM, μια άλλη λειτουργική μονάδα JavaScript Node.

Αυτό είναι ένα sandbox που υποτίθεται ότι κάνει τον πιο επικίνδυνο κώδικα JavaScript λίγο πιο ασφαλή περιορίζοντας τις δυνατότητες που μπορεί να κάνει.

Και, δυστυχώς, η εταιρεία που βρήκε το πρόβλημα με ολόκληρο το σύστημα Backstage, η Oxeye… οι ερευνητές της είχαν βρει προηγουμένως, τον Αύγουστο του 2022, μια τρύπα που τους επέτρεπε να περάσουν κρυφά από αυτό vm2 sandbox.

Έτσι, τα καλά νέα είναι ότι η απόδειξη της ιδέας που παρήγαγαν απαιτούσε την τελευταία φέτα τυριού Emmenthal *για να έχει ακόμα την τρύπα που είχε επιδιορθωθεί τον Αύγουστο του 2022*.

Έτσι, όπως προτείνεται, η λύση είναι να βεβαιωθείτε ότι μία, μερικές ή όλες οι φέτες ελβετικού τυριού σας έχουν μετακινηθεί έτσι ώστε να μην υπάρχουν τρύπες που να περνούν μέχρι το τέλος.

Και αυτό είναι αρκετά εύκολο να το κάνετε με επιδιόρθωση Backstage, και βεβαιωθείτε ότι σας vm2 είναι μπαλωμένο.

Αρκετά προϊόντα το χρησιμοποιούν αυτό vm2 sandbox – προορίζεται να βελτιώσει την ασφάλεια.

Έτσι μπορεί να έχετε vm2 ακόμα κι αν δεν έχεις Backstage.

Έχουμε όλους τους αριθμούς πλήρους έκδοσης που πρέπει να αναζητήσετε στο άρθρο Naked Security, Doug.

---

ΖΥΜΗ.  Εντάξει, πολύ καλά.

Και τελευταίο, αλλά σίγουρα όχι ασήμαντο, μια άγρια ​​ιστορία για το Business Email Compromise [BEC].

---

ΠΑΠΙΑ.  Έχουμε φτάσει στο Δισεκατομμυριούχος Gucci Master, που εκτίει επί του παρόντος ποινή φυλάκισης 11 ετών [μια ποινή φυλάκισης 11 ετών] στις Ηνωμένες Πολιτείες της Αμερικής, Doug:

Ο απατεώνας των επιχειρήσεων ηλεκτρονικού ταχυδρομείου "Gucci Master" Hushpuppi τιμωρείται με 11 χρόνια

Έτσι, δεν ζει πια την υψηλή ζωή στο Ντουμπάι όπως πριν από μερικά χρόνια!

---

ΖΥΜΗ.  Ίσως δεν είναι και πολύ κύριος αν είναι στη φυλακή…

---

ΠΑΠΙΑ.  Λοιπόν, αν δείτε τις φωτογραφίες που υπήρχαν στον λογαριασμό του στο Instagram, μπορείτε να δείτε ότι, τουλάχιστον για λίγο, σίγουρα δεν του έλειπαν τα χρήματα.

Άρα δεν προσποιούνταν τον πλούσιο, αλλά *προσποιούνταν* ότι είχε αποκτήσει νόμιμα την περιουσία του… ισχυριζόταν ότι ήταν έμπορος κτηματομεσιτών.

Στην πραγματικότητα, όπως λέτε, ήταν μέρος ενός λεγόμενου δικτύου συμβιβασμού για επιχειρηματικά email/ξέπλυμα χρήματος.

Και, απλώς για να επαναλάβω, επιχειρηματικό ηλεκτρονικό συμβιβασμό… αυτός ο όρος χρησιμοποιείται αρκετά γενικά αυτές τις μέρες για εγκλήματα που ενορχηστρώνονται κυρίως μέσω email που προσποιείται ότι είναι από εταιρεία, αλλά προτιμώ να διατηρήσω αυτόν τον όρο BEC για εκεί όπου οι απατεώνες δεν προσποιούνται μόνο ότι στέλνουν email, ας πούμε, από τον CEO σας ή τον CFO σας ή κάποιον ανώτερο στη λογιστική, αλλά *έχουν στην πραγματικότητα τον κωδικό πρόσβασης email αυτού του ατόμου*.

Έτσι, όταν στέλνουν τα ψεύτικα email τους, δεν φαίνονται απλώς ότι προέρχονται από τον πραγματικό λογαριασμό, αλλά στην πραγματικότητα προέρχονται από τον πραγματικό λογαριασμό.

Και, όπως μπορείτε να φανταστείτε, αυτό είναι ένα πολύ απλό έγκλημα για να το καταφέρετε, γιατί μπορείτε να μεταβείτε στον σκοτεινό ιστό και να αγοράσετε κωδικούς πρόσβασης email και χρειάζεστε μόνο έναν για το σωστό άτομο.

Μόλις εισέλθετε στο μήνυμα ηλεκτρονικού ταχυδρομείου, πιθανότατα θα λάβετε, εάν το άτομο βρίσκεται στο τμήμα λογαριασμών, μια εκπληκτικά τακτική και αξιόπιστη ροή ειδήσεων σχετικά με το ποιες συμφωνίες πέφτουν, ποιοι λογαριασμοί χρειάζονται πληρωμή και ποιοι μεγάλοι λογαριασμοί πρόκειται να πληρωθούν.

Και έτσι προσπαθείτε να πείσετε είτε τον πελάτη που πρόκειται να εξοφλήσει ένα χρέος είτε πείθετε κάποιον στην ίδια την εταιρεία που πρόκειται να πληρώσει σε έναν προμηθευτή που είναι πιστωτής… τον πείθετε να πληρώσει σε λάθος λογαριασμό.

Πίσω από τις σκηνές, έχετε ένα σωρό λεφτά μουλάρια και άλλες θυγατρικές στο δίκτυό σας για το έγκλημα στον κυβερνοχώρο, οι οποίοι βρίσκονται εκεί έξω και περνούν από τη διαδικασία της γνώσης του πελάτη με τις τράπεζες.

Ούτως ή άλλως, συνελήφθη και προφανώς ομολόγησε την ενοχή του.

Είναι υπό κράτηση εδώ και δύο χρόνια, πιστεύω, εν αναμονή της δίκης:

Ο φανταχτερός Νιγηριανός αστέρας του Instagram εκδόθηκε στις ΗΠΑ για να αντιμετωπίσει τις κατηγορίες της BEC

Τελικά αποφάσισε να δηλώσει ένοχος: αντιμετώπισε 20 χρόνια. πήρε 135 μήνες, δηλαδή λίγο παραπάνω από έντεκα χρόνια.

Έτσι, δεν έλαβε τη μέγιστη ποινή, πιθανώς επειδή ομολόγησε την ενοχή του και παραδέχτηκε επίσημα δύο πολύ μεγάλα ποσά που είχε κλέψει.

Ένα από μια εταιρεία στη Νέα Υόρκη? το ποσό αυτό ήταν κοντά στο 1,000,000 $.

Και ένα από έναν επιχειρηματία στο Κατάρ. Πιστεύω ότι ήταν επίσης κοντά στο 1,000,000 $.

Πρέπει λοιπόν να επιστρέψει 1.7 εκατομμύρια δολάρια σε αυτά τα θύματα ως μέρος της συνολικής συμφωνίας.

Αλλά αυτό που ήταν συναρπαστικό για μένα σε αυτό ήταν οι πληροφορίες που προέκυψαν από τις έρευνες που έγιναν σε αυτό το άτομο, ο οποίος είναι γνωστός ως Ray Hushpuppi.

Μια συναρπαστική εικόνα για όλα τα κινούμενα μέρη που χρειάζονται πίσω από τις απάτες συμβιβασμού των επαγγελματικών email και πόση προσπάθεια κατέβαλαν οι απατεώνες για να παραμείνουν μόλις ένα βήμα μπροστά από τους μηχανισμούς πρόληψης της απάτης που υπάρχουν σε κάθε τράπεζα, σε κάθε χώρα, για κάθε τύπο λογαριασμού, για μεταφορές μεταξύ Χώρας Α και Χώρας Β και ούτω καθεξής…

..Και έτσι καταλαβαίνουν ότι οι «τρύπες» στις φέτες ελβετικού τυριού τους μπορούν να περάσουν τις βελόνες τους.

Αν δεν σε πειράζει να ανακατεύω άλλη μια μεταφορά, Νταγκ.

---

ΖΥΜΗ.  Είναι αρκετή η δουλειά που θα μπορούσατε πιθανώς να βγείτε έξω και να βρείτε μια κανονική δουλειά, και πιθανώς να βγάλετε… ίσως όχι τόσα χρήματα, αλλά κάποια αξιοπρεπή τίμια χρήματα.

Ο όγκος της δουλειάς που πρέπει να κάνετε για να παρακολουθείτε όλους αυτούς τους τραπεζικούς κανονισμούς και πώς να μετακινήσετε χρήματα!

«Μπορώ να το μεταφέρω στο Ηνωμένο Βασίλειο, αλλά δεν μπορώ να το μεταφέρω στο Μεξικό»… όλα αυτά τα πράγματα που έπρεπε να σκεφτεί και να αντιμετωπίσει.

Είναι μια συναρπαστική ανάγνωση, αν θέλετε να πάτε εκεί και να διαβάσετε την πλήρη έκθεση.

Ωστόσο, έχουμε κάποιες συμβουλές για τους ανθρώπους όσον αφορά την αποφυγή συμβιβασμού μέσω email για επιχειρήσεις, ξεκινώντας από: Ενεργοποίηση ελέγχου ταυτότητας δύο παραγόντων (2FA).

---

ΠΑΠΙΑ.  Πράγματι, Νταγκ.

Μπορείτε επίσης να βεβαιωθείτε ότι μόνο ένας κλεμμένος κωδικός πρόσβασης, ή ένας που αγοράστηκε στον σκοτεινό ιστό, δεν είναι αρκετός για να μπουν οι απατεώνες.

Έχουμε πει πολλές φορές στο παρελθόν ότι το 2FA δεν είναι αρκετό από μόνο του – δεν σας προστατεύει ως δια μαγείας από κάθε είδους επίθεση, αλλά σημαίνει ότι απατεώνες που δεν ξέρουν πώς να αποκτούν οι ίδιοι τους κωδικούς πρόσβασης, αλλά που βγείτε στο Διαδίκτυο και αγοράστε τα, δεν μπορείτε απλώς να εισέλθετε αμέσως και να αρχίσετε να σας εξαπατάω.

---

ΖΥΜΗ.  Και τότε έχουμε: Αναζητήστε δυνατότητες στα προϊόντα του παρόχου υπηρεσιών σας που μπορούν να σας προειδοποιήσουν όταν συμβαίνουν ανωμαλίες.

Αυτό είναι καλό.

---

ΠΑΠΙΑ.  Ναί.

Εργαλεία όπως το EDR ή το XDR (δηλ εκτεταμένη ανίχνευση και απόκριση)… δεν είναι μόνο εκεί για να σας βοηθήσουν να βρείτε γκάφες, είναι επίσης εκεί για να βεβαιωθούν ότι τα μέτρα ασφαλείας που υποτίθεται ότι ισχύουν είναι πραγματικά εκεί. ότι κάνουν πραγματικά αυτό που νομίζεις.

Έτσι, αν παρακολουθείτε πράγματα που μπορεί να έχουν πάει στραβά αλλά δεν το έχετε προσέξει ακόμα, βρίσκεστε σε πολύ καλύτερη θέση από το να περιμένετε απλώς να εμφανιστεί μια γνωστή ειδοποίηση ασφαλείας στον πίνακα εργαλείων σας.

Αυτές τις μέρες, αυτό από μόνο του είναι *απαραίτητο*, αλλά δεν είναι πια *αρκετό*.

---

ΖΥΜΗ.  Και μου αρέσει πολύ αυτό: Εφαρμόστε μια διαδικασία δύο ή περισσότερων βημάτων για την πραγματοποίηση σημαντικών αλλαγών σε λογαριασμούς ή υπηρεσίες, ειδικά αλλαγές σε λεπτομέρειες για εξερχόμενες πληρωμές.

---

ΠΑΠΙΑ.  Είναι εύκολο να πούμε, «Αλλά γιατί οποιαδήποτε εταιρεία ή επιχειρηματίας να πέσει σε αυτό; Είναι τόσο προφανές.”

Αλλά αν οι απατεώνες έχουν ένα μήνυμα, ας πούμε στον Οικονομικό Διευθυντή ή στο email του επικεφαλής λογιστηρίου, ξέρουν ακριβώς την κατάλληλη στιγμή για να αναφέρουν τα σωστά συμβόλαια και τα σωστά ποσά.

Όπως πάντα, δύο ζευγάρια μάτια είναι καλύτερα από ένα…

Και όχι μόνο κάτι όπου, «Ω, πρέπει να κάνω τον διευθυντή μου να κάνει κλικ στο κουμπί» και όλα περνούν…

…για κάτι σαν να πληρώνεις ένα εκατομμύριο λίρες, πρέπει να το κάνεις συγκριτικά δύσκολο.

Στην ιδανική περίπτωση, χρειάζεστε δύο ξεχωριστές ομάδες που θα διερευνήσουν εάν η αλλαγή λογαριασμού θα πρέπει να πραγματοποιηθεί εντελώς ανεξάρτητα.

Καθιστά επίσης πιο δύσκολο για τους μυημένους να συνεννοηθούν, φυσικά, εάν υπάρχουν δύο ξεχωριστές ομάδες που λειτουργούν χωριστά.

---

ΖΥΜΗ.  OK: Αν δείτε κάτι που δεν φαίνεται σωστό σε ένα email που απαιτεί την προσοχή σας, υποθέστε ότι σας εξαπατούν.

---

ΠΑΠΙΑ.  Ναι, είχαμε μια φορά έναν σχολιαστή της Γυμνής Ασφάλειας (νομίζω ότι το ανέφερες στο podcast, έτσι δεν είναι, Νταγκ;) όπου είπε, «Γεια, είδα ότι ένας απατεώνας βρισκόταν μέσα στο δίκτυό μας και έστελνε email, επειδή χρησιμοποίησε ένα emoji όπου ήμουν 99% σίγουρος ότι ο αποστολέας του email απλά δεν θα το έκανε. [ΓΕΛΙΑ] Όχι ότι δεν ξέρουν τι είναι τα emoji, απλά δεν είναι το στυλ τους.»

---

ΖΥΜΗ.  Και αυτό ταιριάζει με την επόμενη συμβουλή μας: Εάν θέλετε να ελέγξετε λεπτομέρειες με μια άλλη εταιρεία με βάση ένα email, μην βασίζεστε ποτέ στα δεδομένα επικοινωνίας που παρέχονται στο email, ειδικά όταν πρόκειται για χρήματα.

---

ΠΑΠΙΑ.  Ναι, νομίζω ότι το κάλυψες κομψά την περασμένη εβδομάδα, Νταγκ, δεν το έκανες, λέγοντας: «Ξέρεις, όταν υπάρχει ένας αριθμός τηλεφώνου στο email, μην τον πάρεις τηλέφωνο και πες «Γεια. Αυτό είναι Twitter;». Να βρίσκεις πάντα τον δικό σου δρόμο εκεί».

---

ΖΥΜΗ.  Και μετά τελευταίο, αλλά σίγουρα εξίσου σημαντικό: Σκεφτείτε να χρησιμοποιήσετε εσωτερικά εργαλεία εκπαίδευσης για να διδάξετε το προσωπικό σας σχετικά με τις απάτες.

---

ΠΑΠΙΑ.  Δεν αποτελεί έκπληξη το γεγονός ότι η Sophos έχει ακριβώς ένα τέτοιο εργαλείο… δεν δίνουμε αυτή την άκρη επειδή θέλουμε να φανούμε σαν πωλητές, αλλά Απειλή Sophos Phish, αυτό είναι το εργαλείο μας για να σας βοηθήσουμε:

Εάν δεν βάλετε τους υπαλλήλους σας σε δοκιμασία, όπου μπορούν να αποτύχουν στο τεστ και, στη συνέχεια, μπορείτε να το χρησιμοποιήσετε ως ευκαιρία για να τους μάθετε πώς να τα πάνε καλύτερα την επόμενη φορά…

…αν δεν τους δοκιμάσετε, οι απατεώνες θα το κάνουν καλά για εσάς, και θα το δοκιμάζουν μέρα με τη μέρα, και δεν θα δοκιμάζουν μόνο ένα άτομο τη φορά.

Οτιδήποτε μπορείτε να κάνετε για να αυξήσετε τη συλλογική ανθεκτικότητα της εταιρείας σας πρέπει να είναι καλό.

Απλώς βεβαιωθείτε ότι όταν κάνετε πράγματα όπως δοκιμές ηλεκτρονικού ψαρέματος, χειρίζεστε τις περιπτώσεις ατόμων που αποτυγχάνουν σε αυτά τα τεστ με μεγάλη συμπάθεια.

---

ΖΥΜΗ.  Εντάξει, φοβερή συμβουλή!

Και καθώς ο ήλιος αρχίζει να δύει στην εκπομπή μας για σήμερα, έχουμε το σχόλιό μας από τον αναγνώστη μας, και είναι για αυτήν την ιστορία στο Twitter.

Ο @Snowshoedan σχολιάζει την ιστορία του Business Email Compromise:

«Είναι ειρωνικό ότι ένας τύπος που κυριολεκτικά έβγαζε τα προς το ζην από άλλα μικρά λάθη έκανε μερικά τεράστια. Μην καυχιέσαι για τον τρόπο ζωής σου στα socials αν το έκανες παράνομα».

---

ΠΑΠΙΑ.  Ο Hushpuppi είχε σίγουρα εκατομμύρια οπαδούς, και υποθέτω ότι του άρεσε αυτό, οπότε σίγουρα έκανε τα πάντα για να τραβήξει την προσοχή πάνω του.

Φαντάζομαι ότι μπορεί κάλλιστα να τον είχαν πιάσει ούτως ή άλλως.

Αν και οι φωτογραφίες που βλέπετε στο άρθρο της Γυμνής Ασφάλειας προήλθαν από τον λογαριασμό του στο Instagram μέσω του φύλλου χρέωσης του Υπουργείου Δικαιοσύνης για να λάβει ένταλμα σύλληψής του.

Έτσι το χρησιμοποίησαν ως μέρος των δικών τους αποδεικτικών στοιχείων για να πείσουν τον Εισαγγελέα: «Αυτός ο τύπος δεν φτιάχνει μόνο δεκάρες και νίκελ».

---

ΖΥΜΗ.  Εξαιρετική.

---

ΠΑΠΙΑ.  "Αυτό είναι σίγουρα ένα Roller [αυτοκίνητο Rolls Royce] και αυτό είναι σίγουρα μια Bentley."

---

ΖΥΜΗ.  Εντάξει, σας ευχαριστώ που το στείλατε στο @Snowshoedan.

Εάν έχετε μια ενδιαφέρουσα ιστορία, σχόλιο ή ερώτηση που θέλετε να υποβάλετε, θα θέλαμε να τη διαβάσουμε στο podcast.

Μπορείτε να στείλετε email [προστασία μέσω email], μπορείτε να σχολιάσετε οποιοδήποτε από τα άρθρα μας ή μπορείτε να μας ενημερώσετε στα social: @NakedSecurity.

Αυτή είναι η εκπομπή μας για σήμερα, ευχαριστώ πολύ που με ακούσατε.

Για τον Paul Ducklin, είμαι ο Doug Aamoth, σας υπενθυμίζω, μέχρι την επόμενη φορά να…

---

ΚΑΙ ΤΑ ΔΥΟ.  Μείνετε ασφαλείς