Ingen ljudspelare nedan? Lyssna direkt på Soundcloud.

DOUG.  Cyberbrott efter cyberbrott, vissa Apple-uppdateringar och en attack mot ett källkodsförråd.

Allt det och mer i podden Naked Security.

[MUSIKALT MODEM]

Välkommen till podden, alla.

Jag är Doug Aamoth; han är Paul Ducklin.

Paul, hur gör du?

---

ANKA.  Mycket bra, tack. Douglas!

Var det muntert nog?

---

DOUG.  Det var ganska bra.

Som 7/10 på lyckoskalan, vilket är en ganska bra baslinje.

---

ANKA.  Åh, jag ville att det skulle kännas högre än så.

Vad jag sa, plus 2.5/10.

---

DOUG.  Åh, Paul, du låter bra!

---

ANKA.  [SKratt] Tack, Doug.

---

DOUG.  Tja, det här kan driva dig upp till en 10/10, då... Denna vecka i teknisk historia.

Den 22 maj 1973 skrev forskaren Robert Metcalfe vid Xerox Palo Alto Research Center [PARC] ett memo där han föreslog ett nytt sätt att koppla ihop datorer.

Inspirerad av dess föregångare, AlohaNet, som Metcalfe studerade som en del av sin doktorsavhandling, skulle den nya tekniken kallas Ethernet, en nick till ämnet "luminiferous eter", som en gång troddes vara ett medium för att sprida ljusvågor.

---

ANKA.  Det var verkligen mycket snabbare än 160 KB, enkelsidiga disketter med enkel densitet! [SKRATT]

---

DOUG.  Kunde vara värre!

Hur som helst, på tal om "värre" och "dålighet", så har vi vår första brottsuppdatering för dagen.

USA erbjuder en 10 miljoner dollar för en misstänkt rysk ransomware.

USA erbjuder en prispeng på 10 miljoner dollar för rysk misstänkt för ransomware som åtalats

Det är mycket pengar, Paul!

Den här killen måste ha gjort något ganska dåligt.

DoJ:s uttalande:

[Den här personen och hans medkonspiratörer] ska ha använt dessa typer av ransomware för att attackera tusentals offer i USA och runt om i världen. Dessa offer inkluderar brottsbekämpande myndigheter och andra statliga myndigheter, sjukhus och skolor.

Totala krav på lösen som påstås ha gjorts av medlemmarna i dessa tre globala ransomware-kampanjer till sina offer uppgår till så mycket som 400 miljoner dollar, medan totala lösensummor för offer uppgår till så mycket som 200 miljoner dollar.

Stora attacker... massor av pengar byter ägare här, Paul.

---

ANKA.  När du försöker spåra någon som håller på med elaka saker utomlands och du tänker, "Hur i hela friden ska vi göra det här? De kommer aldrig att dyka upp i rätten här”...

Kanske vi bara erbjuder någon smutsig vinst till människor i den andra personens land, och någon kommer att lämna in honom?

Och om de erbjuder 10 miljoner dollar (ja, det är det maximala du kan få), måste de vara ganska angelägna.

Och jag förstår, i det här fallet, anledningen till att de är angelägna om att just den här misstänkte anklagas för att vara, om inte hjärtat och själen, åtminstone en av de två sakerna för tre olika ransomware-stammar: LockBit, Hive och Babuk.

Babuk fick som känt sin källkod läckt (om jag inte har fel, av en missnöjd affiliate), och har nu hittat sin väg till GitHub, där alla som vill kan ta tag i krypteringsdelen.

Och även om det är svårt att känna någon som helst sympati för människor som är i sikte av DOJ och FBI för attacker mot ransomware...

…om det fanns några latenta, droppar av sympati kvar, så försvinner de ganska snabbt när man börjar läsa om sjukhus och skolor bland deras många offer.

---

DOUG.  Ja.

---

ANKA.  Så du måste anta att det är osannolikt att de någonsin kommer att se honom i en amerikansk domstol...

…men jag antar att de ansåg att det är för viktigt att inte försöka.

---

DOUG.  Exakt.

Vi kommer, som vi vill säga, hålla ett öga på det.

Och medan vi väntar, gå och ta en titt på vår Rapporten State of Ransomware 2023.

Den har en massa fakta och siffror som du kan använda för att skydda din organisation mot attacker.

Det finns på: sophos.com/ransomware2023.

---

ANKA.  En liten hint som du kan lära dig av rapporten: ”Surprise, surprise; det kostar dig ungefär hälften så mycket att återställa från säkerhetskopior som det gör från att betala lösen.”

För även efter att du har betalat lösen har du fortfarande så mycket arbete som du skulle behöva göra för att återställa din säkerhetskopia.

Och det betyder också att du inte betalar skurkarna.

---

DOUG.  Exakt!

Okej, vi har en annan brottsuppdatering.

Den här gången är det våra vänner på iSpoof, som, jag måste erkänna, har ett ganska bra marknadsföringsteam.

Förutom alla blir tagna och allt sånt...

Telefonbedrägeri kingpin får 13 år för att köra "iSpoof"-tjänsten

---

ANKA.  Ja, det här är en rapport från Metropolitan Police i London om ett fall som har pågått sedan november 2022, då vi skrev först om detta på nakedsecurity.sophos.com.

En kille som heter Tejay Fletcher, och jag tror att 169 andra människor som trodde att de var anonyma men det visade sig att de inte var det, blev arresterade.

Och den här Fletcher-karlen, som var kung i detta, har precis dömts till 13 år och 4 månader i fängelse, Doug.

Det är en ganska stor mening med alla lands mått mätt!

Och anledningen är att den här tjänsten handlade om att hjälpa andra cyberkriminella, i utbyte mot bitcoinage, att lura offer mycket trovärdigt.

Du behövde ingen teknisk förmåga.

Du kan bara registrera dig för tjänsten och sedan börja ringa telefonsamtal där du kan välja vilket nummer som skulle dyka upp i andra änden.

Så om du hade en aning om att någon bankat med XYZ Banking Corporation, kan du få deras telefon att lysa och säga, "Inkommande samtal från XYZ Banking Corporation", och sedan starta in din schpiel.

Det verkar, från Brottsmyndighetens dåvarande rapporter, som att deras "kunder" ringde miljontals samtal via denna tjänst. och de hade ungefär 10 % framgång, där framgången mäts att den som ringer var på linjen i minst en minut.

Och när du tror att något är ett bluffsamtal... lägger du på ganska snabbt, eller hur?

---

DOUG.  En minut är lång tid!

---

ANKA.  Och det betyder att de förmodligen har fastnat för personen.

Och du kan se varför, för allt verkar trovärdigt.

Om du inte är medveten om att nummerpresentationen (eller nummerpresentationen) som visas på din telefon inte är något annat än en antydan, att vem som helst kan lägga in vad som helst och att vem som helst med dina värsta intressen på hjärtat som vill förfölja dig kan, för en blygsam månadskostnad, köpa in sig i en tjänst som hjälper dem att göra det automatiskt...

Om du inte vet att så är fallet, kommer du förmodligen att ha din vakt, långt ner när det samtalet kommer fram och säger: ”Jag ringer från banken. Det kan du se på numret. Åh kära du, det har förekommit bedrägerier på ditt konto”, och sedan övertalar den som ringer dig att göra en hel massa saker som du annars inte skulle lyssna på ett ögonblick.

Räckvidden för den här tjänsten, det stora antalet människor som använde den (han hade uppenbarligen tiotusentals "kunder", och det stora antalet samtal och mängden ekonomisk skada som gjordes, som uppgick till miljontals, är anledningen till att han fick ett så allvarligt straff.

---

DOUG.  En del av anledningen till att de kunde locka så många kunder är att detta var på en webbsida som vänder sig till allmänheten.

Det var inte på det mörka nätet, och det var ganska smart marknadsföring.

Om du går över till artikeln finns det en 53 sekunder lång marknadsföringsvideo som har en professionell voiceover-skådespelare och några roliga animationer.

Det är en ganska välgjord video!

---

ANKA.  Ja!

Jag upptäckte ett stavfel i den... de skrev "end-to-end-kryptering" snarare än "end-to-end-kryptering", vilket jag märkte eftersom det var ganska ironi.

Eftersom hela premissen för den videon – den säger, "Hej, som kund är du helt anonym."

De gjorde en stor ton om det.

---

DOUG.  Jag tror att det förmodligen var ett "slut på kryptering". [skrattar]

---

ANKA.  Ja... du kan ha varit anonym för dina offer, men du var inte anonym för tjänsteleverantören.

Tydligen bestämde sig polisen, åtminstone i Storbritannien, för att börja med någon som redan hade spenderat mer än 100 pund i Bitcoins med tjänsten.

Så det kan finnas folk som sysslat med det här, eller bara använt det för ett par saker, som fortfarande finns med på listan.

Polisen vill att folk ska veta att de började på toppen och att de jobbar sig ner.

Anonymiteten som utlovades i videon var illusorisk.

---

DOUG.  Tja, vi har några tips, och vi har sagt dessa tips tidigare, men det här är bra påminnelser.

Inklusive en av mina favoriter, för jag tror att folk bara antar att nummerpresentation är en korrekt reporter... tips nummer ett är: Behandla nummerpresentation som inget annat än en ledtråd.

Vad menar du med det, Paul?

---

ANKA.  Om du fortfarande får snigelpost hemma, vet du att när du får ett kuvert, har det din adress på framsidan, och vanligtvis, när du vänder det, på baksidan av kuvertet, finns det en returadress .

Och alla vet att avsändaren får välja vad som står... det kan vara äkta; allt kan vara ett paket lögner.

Det är så mycket du kan lita på nummerpresentation.

Och så länge du har det i åtanke och tänker på det som en antydan, då är du gyllene.

Men om det kommer upp och säger "XYZ Banking Corporation" för att skurkarna medvetet har valt ett nummer som du speciellt lagt in i din kontaktlista för att komma fram för att berätta att det är banken... det betyder ingenting.

Och det faktum att de börjar berätta att de är från banken betyder inte att de är det.

Och det hänger bra ihop med vårt andra tips, eller hur, Doug?

---

DOUG.  Ja.

Initiera alltid officiella samtal själv med ett nummer du kan lita på.

Så om du får ett av dessa samtal, säg "Jag ska ringa dig direkt" och använd numret på baksidan av ditt kreditkort.

---

ANKA.  Absolut.

Om det finns något sätt på vilket de har fått dig att tro att detta är numret du ska ringa... gör det inte!

Ta reda på det själv.

Som du sa, för att rapportera saker som bankbedrägerier eller bankproblem är numret på baksidan av ditt kreditkort en bra början.

Så, ja, var väldigt, väldigt försiktig.

Det är verkligen lätt att tro på din telefon, för 99 % av gångerna kommer det nummerpresentationsnumret att tala sanning.

---

DOUG.  Okej, sist men absolut inte minst, inte riktigt lika tekniskt, utan mer en mjukare färdighet, tips nummer tre är: Var där för utsatta vänner och familj.

Den var bra.

---

ANKA.  Det finns uppenbarligen människor som är mer i riskzonen för denna typ av bedrägeri.

Så det är viktigt att du låter personer i din krets av vänner och familj, som du tror kan vara i riskzonen för den här typen av saker... låt dem veta att om de har några tvivel bör de kontakta dig och be dig om råd .

Som varje snickare eller snickare kommer att säga till dig, Douglas, "Mät två gånger, skär en gång."

---

DOUG.  Jag gillar det rådet. [SKratt]

Jag brukar mäta en gång, skära tre gånger, så följ inte mitt spår där.

---

ANKA.  Ja. Du kan inte "klippa saker längre", va? [SKRATT]

---

DOUG.  Nej, det kan du absolut inte!

---

ANKA.  Vi har alla försökt. [SKratt]

---

DOUG.  Det är två uppdateringar ner; en att gå.

Vi har fick en uppdatering… om du minns, tidigare den här månaden överraskade Apple oss med ett nytt Rapid Security Response, men det stod inte vad uppdateringarna faktiskt fixade, men nu vet vi det, Paul.

Apples hemlighet är ute: 3 nolldagar fixade, så se till att patcha nu!

---

ANKA.  Ja.

Två 0-dagar, plus en bonus 0-dagar som inte var fixad tidigare.

Så om du hade, vad var det, macOS 13 Ventura (den senaste), och om du hade iOS/iPadOS 16, fick du det snabba säkerhetssvaret

Du fick den där "versionsnummer (a)"-uppdateringen och "här är detaljen om den här uppdateringen: (tom textsträng)".

Så du hade ingen aning om vad som var fixat.

Och du, precis som vi, tänkte förmodligen: "Jag slår vad om att det är en nolldag i WebKit. Det betyder en drive-by-installation. Det betyder att någon kan använda det för spionprogram."

Titta, det är precis vad de två 0-dagarna var.

Och det fanns en tredje nolldag, som var, om du så vill, en annan del av den ekvationen, eller en annan typ av exploatering som ofta går ihop med de två första nolldagarna som fixades.

Den här var en sak från Google Threat Response/Amnesty International som verkligen luktar spionprogram för mig... någon som undersöker en händelse i verkligheten.

Den buggen var vad du på jargong kallar en "sandlådeflykt".

Det låter som om de tre nolldagarna som nu är fixade för alla Apple-plattformar...

En som kan låta en skurk ta reda på vad som var var på din dator.

Med andra ord, de ökar avsevärt chansen att deras efterföljande bedrifter kommer att fungera.

En andra exploatering som gör fjärrkörning av kod i din webbläsare, som jag sa, med hjälp av det där dataläckaget i den första buggen som kan tala om för dig vilka minnesadresser du ska använda.

Och sedan en tredje nolldag som i princip låter dig hoppa ut ur webbläsaren och göra mycket värre.

Tja, jag ska säga, Plåster tidigt, lappar ofta, är inte jag, Doug?

---

DOUG.  Gör det!

Ja.

---

ANKA.  Det är inte de enda anledningarna till varför du vill ha dessa patchar.

Det finns ett gäng proaktiva korrigeringar också.

Så även om de inte var nolldagarna, skulle jag säga det igen ändå.

---

DOUG.  OK bra.

Vår sista berättelse för dagen... Jag hade skrivit mitt eget lilla intro här, men jag slänger det i papperskorgen och jag tänker gå med din rubrik, för den är mycket bättre.

Och det fångar verkligen kärnan i den här historien: PyPI öppen källkodsförråd hanterar manisk malström med skadlig programvara.

Det var vad som hände, Paul!

PyPI arkiv med öppen källkod hanterar manisk malström med skadlig programvara

---

ANKA.  Ja, jag måste erkänna, jag var tvungen att arbeta med den rubriken för att få den att passa exakt på två rader i nakedsecurity.sophos.com WordPress-mallen. [SKRATT]

PyPI-teamet har nu kommit över det här, och jag tror att de har blivit av med alla grejer.

Men det verkar som att någon hade ett automatiserat system som bara genererade nya konton och sedan skapade nya projekt i dessa konton...

...och bara ladda upp förgiftat källpaket efter förgiftat källpaket.

Och kom ihåg att i de flesta av dessa förråd (PyPI är ett exempel), kan du ha skadlig kod som finns i den faktiska koden som du vill ladda ner och senare använda som en modul i din kod (med andra ord, programmeringsbiblioteket) och/ eller så kan du ha skadlig programvara i själva installationsprogrammet eller uppdateringsskriptet som levererar saken till dig.

Så tyvärr är det lätt för skurkar att klona ett legitimt projekt, ge det ett realistiskt namn och hoppas att om du laddar ner det av misstag...

… sedan efter att du har installerat det, och när du börjar använda det i din programvara, och när du börjar skicka det till dina kunder, kommer det att gå bra, och du kommer inte att hitta någon skadlig programvara i den.

Eftersom skadlig programvara redan har infekterat din dator, genom att vara i skriptet som kördes för att få saken installerad ordentligt i första hand.

Så det finns ett dubbelt slag för skurkarna.

Det vi inte vet är...

Hoppades de att ladda upp så många smittsamma paket att några av dem inte skulle bli upptäckta, och de skulle ha en chans att ett par bara skulle bli kvar?

Eller hoppades de faktiskt att de kunde skrämma PyPI-teamet så mycket att de var tvungna att ta hela webbplatsen ur luften, och det skulle vara en fullständig överbelastningsattack?

Inget av dessa blev resultatet.

PyPI-teamet kunde mildra attacken genom att stänga av bara några aspekter av webbplatsen.

Ett tag kunde du nämligen inte skapa ett nytt konto, och du kunde inte lägga till ett nytt projekt, men du kunde fortfarande skaffa gamla.

Och det gav dem precis tillräckligt med andrum, under en 24-timmarsperiod, att det ser ut som om de kunde städa upp helt.

---

DOUG.  Vi har några råd för attacker som denna där det inte rensas upp i tid.

Så om du hämtar från sådana här förråd är det första du kan göra: Välj inte ett förvarspaket bara för att namnet ser rätt ut.

Det är en taktik som ofta används av angriparna.

---

ANKA.  Förvisso, Douglas.

Det är i grunden vad vi brukade kalla på jargongen "typosquatting" för webbplatser.

Istället för att registrera sig example.com, kan du registrera något liknande examole.com, eftersom O är bredvid P på tangentbordet, i hopp om att någon kommer att skriva "exempel", gör ett litet misstag och du kommer att fånga deras trafik och få dem till en lookalike-webbplats.

Var försiktig med vad du väljer.

Det är lite som vårt råd om nummerpresentation: det säger dig något, men bara så mycket.

Och för resten måste du verkligen göra din due diligence.

---

DOUG.  Som: Ladda inte blint ner paketuppdateringar till dina egna utvecklings- eller byggsystem.

---

ANKA.  Ja, DevOps och Continuous Integration är allt numera, eller hur, där du automatiserar allt?

Och det finns något tilltalande med att säga, "Ja, jag vill inte hamna på efterkälken, så varför säger jag inte bara till mitt byggsystem att ta min kod från mitt lokala arkiv där jag tar hand om den, och sedan alltid automatiskt hämta den senaste versionen från det offentliga arkivet för alla andras kod jag använder?”

Problemet är att om något av de tredjepartspaket som du använder blir pwned, kommer ditt byggsystem att hamna i problem helt automatiskt.

Så gör inte det om du möjligen kan undvika det.

---

DOUG.  Vilket leder oss till: Gör det inte lätt för angripare att komma in i dina egna paket.

---

ANKA.  Ja.

Ingen kan verkligen stoppa någon som är fast besluten att sätta upp, för hand, 2000 nya PyPI-konton och lägga 1000 nya paket i vart och ett av dessa.

Men du kan göra attacker där skurkar tar över befintliga paket och kompromissar med dem... du kan göra ditt för att hjälpa resten av gemenskapen genom att göra det så svårt som möjligt för dina projekt att äventyra.

Gå tillbaka och se om säkerheten du har på det här kontot eller på det paketet, ifall någon bestämmer sig för att det skulle vara ett mästerligt ställe att sätta in skadlig programvara som kan påverka andra människor... och naturligtvis skulle det åtminstone tillfälligt skada ditt rykte samtidigt tid.

---

DOUG.  Och vårt sista tips kanske faller för döva öron, men om det räcker för att bara ändra några åsikter har vi gjort ett bra jobb här idag: Var inte en du-vet-vad.

---

ANKA.  Bevisa hur smart du är genom att påminna oss alla om attacker i leveranskedjan genom att göra onödigt arbete för frivilliga team... som Linux-kärnteamet (de har lidit av detta tidigare), PyPI och andra populära arkiv med öppen källkod?

Om du har en genuin anledning till varför du tror att du behöver berätta för dem om en säkerhetsrisk, hitta kontaktuppgifterna för deras säkerhetsavslöjande och kontakta dem ordentligt, professionellt och ansvarsfullt.

Var inte en ****.

---

DOUG.  Utmärkt.

Okej, bra råd, och när solen börjar gå ner på vår show för dagen är det dags att höra från en av våra läsare.

I det förra avsnittet av podcasten minns du kanske att vi pratade lite om prövningar och vedermödor med Apple III-datorn. Låt oss lyssna:

Jag vet inte om detta är en urban legend eller inte, men jag har läst att de tidiga [Apple III]-modellerna inte hade sina chips ordentligt på plats i fabriken, och att mottagare som rapporterade problem blev tillsagda att lyfta fronten av datorn från skrivbordet några centimeter och låt den krascha tillbaka, vilket skulle slå dem på plats som de borde ha varit från början. Vilket tydligen fungerade, men inte var den bästa typen av reklam för produktens kvalitet.

---

DOUG.  Som svar ringer lyssnaren S31064 (osäker på om det är ett riktigt födelsenamn) in:

Jag vet inte om det, men företaget jag arbetade för då använde dem för offline-bibliotekscirkulationsterminaler. Och nio gånger av tio, om det fanns ett problem med det, var korrigeringen att sätta tillbaka markerna.

---

ANKA.  Ja, att gå över ditt moderkort och (knaka, knaka) trycka ner alla marker... det ansågs som rutinunderhåll då.

Men det verkar som att för Apple III var det inte bara rutinunderhåll, förebyggande underhåll, det var faktiskt en erkänd återställningsteknik.

Så jag blev fascinerad av att läsa det, Doug.

Någon som faktiskt hade varit där och gjort det!

---

DOUG.  Tja, tack så mycket, kära lyssnare, för att du skickade in det.

Och om du har en intressant berättelse, kommentar eller fråga som du vill skicka in, läser vi det gärna i podden.

Du kan skicka e-post [e-postskyddad], du kan kommentera någon av artiklarna, eller så kan du träffa oss på sociala: @nakedsecurity.

Det är vår show för idag; tack så mycket för att du lyssnade.

För Paul Ducklin, jag heter Doug Aamoth, påminner dig tills nästa gång att...

---

BÅDE.  Håll dig säker.

[MUSIKALT MODEM]