LA CRYPTO CRISE QUI N'ÉTAIT PAS
Cliquez et faites glisser sur les ondes sonores ci-dessous pour passer à n'importe quel point. Vous pouvez également écouter directement sur Soundcloud.
Avec Doug Aamoth et Paul Ducklin
Musique d'intro et d'outro par Edith Mud.
Vous pouvez nous écouter sur Soundcloud, Podcasts Apple, Podcasts Google, Spotify, piqueur et partout où l'on trouve de bons podcasts. Ou déposez simplement le URL de notre flux RSS dans votre podcatcher préféré.
LIRE LA TRANSCRIPTION
DOUG. Bustes de centres d'appels, cryptographie de craquage et correctifs à gogo.
Tout cela plus sur le podcast Naked Security.
[MODÈME MUSICAL]
Bienvenue sur le podcast, tout le monde - merci d'avoir écouté !
Je m'appelle Doug Aamoth; c'est Paul Ducklin.
Paul, comment vas-tu ?
CANARD. Très bien, Douglas.
DOUG. D'accord.
Nous aimons commencer le spectacle avec un Cette semaine dans l'histoire de la technologie segment, et j'ai un twofer pour vous aujourd'hui - deux choses qui ont été mises en ligne cette semaine.
Un en 1863 et un en 2009.
Tous deux passionnants, l'un peut-être moins controversé que l'autre.
Nous parlons, bien sûr, du premier tronçon du métro de Londres mis en service en 1863, le premier système souterrain de ce type.
Et puis nous avons l'ouverture des vannes Bitcoin en 2009, la première crypto-monnaie décentralisée de ce type.
Bien que nous devions mettre un astérisque au crayon, car Bitcoin a suivi les traces de monnaies numériques telles que eCash et DigiCash dans les années 1980 et 1990.
CANARD. Oui, ce dernier était une sorte de "mouvement clandestin" assez différent du premier, n'est-ce pas ?
DOUG. [RIRES] Exactement, oui !
CANARD. Mais vous avez raison… 160 ans du métro londonien !
DOUG. C'est incroyable.
Parlons de cela…
CANARD. [RIRES] Vous avez ignoré le besoin de parler de Bitcoin/Controverse
DOUG. Oh!
CANARD. Laissons nos auditeurs réfléchir à cela par eux-mêmes, Doug, car je pense que chacun doit avoir sa propre opinion sur l'endroit où Bitcoin nous a conduits… [RIRES]
DOUG. Et leur propre histoire.
J'ai eu la chance de l'acheter à 30 $ la pièce et j'ai pensé que c'était beaucoup trop cher.
CANARD. Oui, Doug, mais si tu avais acheté à 30 $, tu aurais vendu à 60 $ et tu aurais fait le tour en te vantant devant tout le monde.
DOUG. Oh, même pas 60 $ !
CANARD. Oui, exactement…
DOUG. J'aurais vendu à 40 $. [DES RIRES]
Et pour en rester au sujet du regret, il y avait un faux centre d'appel en Ukraine qui s'est fait arrêter :
Ce centre d'appels est plus beau à l'intérieur que certaines des startups dans lesquelles j'ai travaillé.
C'est quelque chose - c'est une infrastructure complète ici.
Que s'est-il passé avec cette histoire, Paul ?
CANARD. Comme vous le dites, cela ressemble à une jolie petite startup, mais étrangement, quand on regarde les photos fournies par la cyberpolice ukrainienne, personne ne semblait s'être présenté au travail ce jour-là.
Et ce n'était pas qu'ils y étaient allés pendant les vacances. [RIRE]
C'était que tout le monde - et il y avait, je pense, trois fondateurs et 37 employés, donc c'était une grosse boutique…
… ils étaient tous dans la pièce voisine en train de se faire arrêter, Doug.
Parce que même s'il s'agissait d'un centre d'appels, leur objectif principal était de s'attaquer aux victimes dans un autre pays.
En fait, dans ce cas, ils ciblaient spécifiquement les victimes au Kazakhstan avec des escroqueries bancaires.
Fondamentalement, lorsqu'ils appellent et qu'ils vous parlent en utilisant le même type de langage que la banque, en suivant un scénario soigneusement planifié qui convainc la personne, ou convainc suffisamment de personnes qu'ils appellent.
N'oubliez pas qu'ils ont une longue liste, donc ils peuvent faire face à de nombreux blocages, mais ils finiront par convaincre quelqu'un qu'ils parlent vraiment à la banque.
Et une fois que l'autre bout croit qu'il parle vraiment à la banque, alors...
Tout le monde dit : « Oh, ils auraient dû se rendre compte que c'était une arnaque ; ils auraient dû savoir quand on leur a demandé de transférer les fonds, quand on leur a demandé de lire les codes 2FA, quand on leur a demandé de remettre les mots de passe, quand on leur a demandé de divulguer des détails sur le compte.
Mais c'est facile de dire ça avec le recul...
DOUG. Et je pense que nous en avons parlé lors d'émissions précédentes - quand les gens demandent: "Comment quelqu'un pourrait-il tomber dans le panneau?"
Eh bien, ils font des centaines et des centaines d'appels, mais ils n'ont besoin de tromper qu'une seule personne. (Dans ce cas, il semble qu'ils aient fraudé environ 18,000 XNUMX personnes !)
Vous n'avez donc pas besoin d'un taux de réussite très élevé en fonction de vos appels.
C'est ce qui les rend si dangereux… une fois que vous avez une victime en ligne et que vous avez accès à son compte bancaire, vous commencez juste à aspirer l'argent.
CANARD. Une fois que quelqu'un croit sincèrement qu'il * parle * à la banque, et qu'il a une personne du centre d'appels qui essaie "vraiment" (apparemment !) De l'aider - en lui donnant probablement un meilleur service, un meilleur soutien, du temps et de la compassion que n'importe qui centre d'appels qu'ils se sont appelés dernièrement…
Une fois que la personne a traversé ce pont, vous pouvez voir pourquoi elle pourrait être attirée.
Et, bien sûr, dès que les escrocs avaient suffisamment d'informations personnellement identifiables pour escroquer la personne, ils intervenaient et commençaient à aspirer de l'argent de leur compte et à le transférer vers d'autres comptes qu'ils contrôlaient…
… afin qu'ils puissent ensuite le déplacer immédiatement, hors du système bancaire normal, en le plaçant dans des crypto-monnaies.
Et c'est ce qu'ils ont fait, jour après jour.
Je n'ai pas beaucoup de compassion pour les gens qui n'ont pas beaucoup de compassion pour les victimes de ces escroqueries, pour être honnête, Doug.
Je pense que beaucoup de techniciens regardent parfois de haut : « Comment une personne pourrait-elle tomber dans le piège de cette escroquerie par hameçonnage ? C'est plein de fautes, c'est plein de fautes d'orthographe, c'est mal ponctué, il y a une URL bizarre dedans.
Tu sais, la vie c'est comme ça !
Je peux voir pourquoi les gens tombent dans le piège - il n'est pas difficile pour un bon ingénieur social de parler à quelqu'un d'une manière qui donne l'impression qu'il confirme les détails de sécurité, ou qu'il va vous dire : « Laissez-moi vérifiez simplement auprès de vous qu'il s'agit bien de votre adresse »…
..mais ensuite, au lieu de *eux* lire votre adresse, ils vont d'une manière ou d'une autre embrouiller la conversation pour que *vous* la lâchiez en premier.
Et puis, "Oh, oui!" – ils seront juste d'accord avec vous.
Il est étonnamment facile pour quelqu'un qui a déjà fait cela et qui s'est entraîné à être un escroc de mener la conversation d'une manière qui vous donne l'impression que c'est légitime alors que ce n'est absolument pas le cas.
Comme je l'ai dit, je ne pense pas que vous devriez pointer du doigt ou porter des jugements sur les personnes qui tombent dans le piège.
Et dans ce cas, 18,000 XNUMX personnes sont allées chercher… je pense, une moyenne de milliers de dollars chacune.
C'est beaucoup d'argent, beaucoup de chiffre d'affaires, pour une entreprise de taille moyenne de 40 personnes, n'est-ce pas, Doug ?
DOUG. [WRY] Ce n'est pas trop minable… autre que l'illégalité de tout cela.
Nous avons quelques conseils dans l'article, dont nous avons déjà parlé en grande partie.
Certaines choses comme…
Ne pas croire quiconque vous contacte à l'improviste et vous dit qu'il vous aide dans une enquête.
Ne vous fiez pas aux coordonnées que vous donne quelqu'un à l'autre bout du fil….
CANARD. Exactement.
DOUG. Nous avons parlé de l'identification de l'appelant, comment cela ne peut pas faire confiance:
Ne vous laissez pas convaincre de transmettre vos données personnelles afin de prouver votre identité - la responsabilité devrait leur incomber.
Et puis, bien sûr, ne transférez pas de fonds vers d'autres comptes.
CANARD. Oui!
Bien sûr, nous devons tous le faire parfois - c'est l'avantage de la banque électronique, en particulier si vous vivez dans une région éloignée où votre banque a fermé des succursales, vous ne pouvez donc plus y entrer.
Et vous avez parfois besoin d'ajouter de nouveaux destinataires, et de passer par tout le processus avec des mots de passe, et 2FA, et une authentification, tout pour dire, "Oui, je veux payer de l'argent à cette personne avec qui je n'ai jamais eu affaire auparavant .”
Vous êtes autorisé à le faire, mais traitez l'ajout d'un nouveau destinataire avec l'extrême prudence qu'il mérite.
Et si vous ne connaissez pas réellement la personne, soyez très prudent !
DOUG. Et le dernier conseil...
Au lieu de dire : « Comment les gens pourraient-ils tomber dans le panneau ? » – parce que *vous* ne tomberez pas dans le piège, faites attention aux amis et à la famille qui pourraient être vulnérables.
CANARD. Absolument.
Assurez-vous que vos amis et votre famille savent, s'ils ont le moindre doute, qu'ils doivent s'arrêter - réfléchir - et se connecter *avec vous d'abord* et demander votre aide.
Ne soyez jamais pressurisé par la peur, les cajoleries, les flatteries ou quoi que ce soit qui vienne de l'autre côté.
DOUG. Peur – cajoler – flatter !
Et nous passons à un kerfuffle classique concernant RSA et les médias technologiques…
… et en essayant de comprendre si RSA peut être piraté :
CANARD. Oui, c'était un article fascinant.
Je pense qu'il y a une vingtaine de co-auteurs, qui sont tous répertoriés comme auteurs principaux, auteurs principaux, sur l'article.
Il est sorti de Chine, et ça se passe essentiellement comme ça…
"Hé, les gars, vous savez qu'il y a ces choses appelées ordinateurs quantiques ?
Et en théorie, si vous avez un ordinateur quantique super puissant avec un million de qubits (c'est une unité de stockage binaire quantique, l'équivalent d'un peu, mais pour un ordinateur quantique)... si vous avez un ordinateur avec un million de qubits, alors, en théorie, vous pourriez probablement casser des systèmes de cryptage comme le vénérable RSA (Rivest – Shamir – Adleman).
Cependant, le plus grand ordinateur quantique jamais construit, après des années et des années d'essais, compte un peu plus de 400 qubits. Nous sommes donc loin d'avoir un ordinateur quantique assez puissant pour obtenir cette incroyable accélération qui nous permet de casser des choses que nous pensions auparavant impossibles à casser.
Cependant, nous pensons avoir trouvé un moyen d'optimiser l'algorithme afin que vous n'ayez en fait besoin que de quelques centaines de qubits. Et peut-être, juste peut-être, avons-nous donc ouvert la voie au cracking RSA-2048. »
2048 est le nombre de bits dans le produit principal que vous utilisez pour RSA.
Si vous pouvez prendre ce produit de deux nombres premiers de 1024 bits, de grands nombres premiers…
…*si* vous pouvez prendre ce nombre de 2048 bits et le factoriser, le diviser en deux nombres qui ont été multipliés ensemble, vous pouvez casser le système.
Et la théorie est qu'avec les ordinateurs conventionnels, ce n'est tout simplement pas possible.
Même un gouvernement super riche ne pourrait pas construire suffisamment d'ordinateurs suffisamment puissants pour effectuer ce travail de factorisation du nombre.
Mais, comme je l'ai dit, avec cet ordinateur quantique super puissant, que personne n'est encore près de construire, vous pourriez peut-être le faire.
Et ce que ces auteurs affirmaient, c'est : « En fait, nous avons trouvé un raccourci.
DOUG. Détaillent-ils le raccourci dans le document, ou disent-ils simplement : « Voici une théorie » ?
CANARD. Eh bien, le papier est de 32 pages, et la moitié de celui-ci est une annexe, qui a un "facteur de gribouillis" encore plus élevé que le reste du papier.
Alors oui, ils ont cette *description*, mais le problème est qu'ils ne l'ont pas fait.
Ils ont juste dit : « Hypothétiquement, vous pourriez être capable de faire ça ; vous pourrez peut-être faire l'autre. Et nous avons fait une simulation en utilisant un problème vraiment dépouillé »… Je pense, avec seulement quelques qubits simulés.
Ils ne l'ont pas essayé sur un véritable ordinateur quantique, et ils n'ont pas montré que cela fonctionnait réellement.
Et le seul problème qu'ils ont réellement résolu en «prouvant à quelle vitesse» (citations aériennes!) Ils pouvaient le faire est un problème de factorisation que mon propre ordinateur portable de très nombreuses années peut résoudre de toute façon en environ 200 millisecondes sur un seul cœur, en utilisant un algorithme conventionnel complètement non optimisé.
Donc le consensus semble être… [PAUSE] "C'est une belle théorie."
Cependant, nous avons parlé - je pense, dans le dernier podcast - à propos agilité cryptographique.
Si vous êtes aux États-Unis, le Congrès dit *dans une loi* que vous devez agilité cryptographique:
Les États-Unis adoptent le Quantum Computing Cybersecurity Preparedness Act – et pourquoi pas ?
Nous en avons collectivement besoin, pour que si nous avons un algorithme cryptographique qui fait défaut, nous puissions basculer rapidement, rapidement, facilement…
… et, mieux encore, nous pouvons échanger avant même que la fissure finale ne soit découverte.
Et cela s'applique spécifiquement en raison de la crainte de la puissance des ordinateurs quantiques pour certains types de problèmes de fissuration cryptographique.
Mais cela s'applique également à *tout* problème où nous utilisons un système de cryptage ou un protocole de sécurité en ligne dont nous réalisons soudainement : "Oh, ça ne fonctionne pas comme nous le pensions - nous ne pouvons pas continuer à utiliser l'ancien un parce que le fond est tombé de ce seau.
Nous ne devons pas nous soucier de la façon dont nous allons patcher ledit seau pour les dix prochaines années !
Nous devons être capables de jeter l'ancien, d'apporter le nouveau et d'amener tout le monde avec nous.
C'est la leçon à en tirer.
Ainsi, RSA *ne semble pas* avoir été fissuré !
Il existe un article théorique intéressant, si vous avez les mathématiques très spécialisées pour le parcourir, mais le consensus d'autres experts en cryptographie semble aller dans le sens de : "Rien à voir ici pour le moment."
DOUG. Et bien sûr, l'idée est que si et quand cela devient craquable, nous aurons de toute façon un meilleur système en place, donc cela n'aura pas d'importance parce que nous sommes cryptographiquement agile.
CANARD. En effet.
DOUG. Enfin et surtout, parlons du plus récent Patch Tuesday.
Nous avons un jour zéro, mais peut-être encore plus grand que cela, disons-nous, "Merci pour les souvenirs, Windows 7 et Windows 8.1, nous vous connaissions à peine."
Microsoft Patch Tuesday : Un 0-day ; Win 7 et 8.1 reçoivent les derniers correctifs
CANARD. Eh bien, je ne sais pas pour "à peine", Doug. [RIRE]
Certains d'entre nous ont beaucoup aimé l'un d'entre vous, à tel point qu'ils ne voulaient pas l'abandonner…
..et beaucoup d'entre vous, apparemment, n'aimaient pas l'autre *du tout*.
DOUG. Oui, une sorte de fête de départ maladroite ! [DES RIRES]
CANARD. À tel point qu'il n'y a jamais eu de Windows 9, si vous vous en souvenez.
D'une manière ou d'une autre, un canal drainé a été placé entre Windows 8.1 et Windows 10.
Donc, n'entrons pas dans les détails de tous les patchs - il y en a vraiment beaucoup.
Il y a un jour zéro, qui, je pense, est une élévation de privilèges, et cela s'applique depuis Windows 8.1 jusqu'à Windows 11 2022H2, la version la plus récente.
C'est donc un grand rappel que même si les escrocs recherchent des vulnérabilités dans la dernière version de Windows, parce que c'est ce que la plupart des gens utilisent, souvent ces vulnérabilités s'avèrent être "rénovables" depuis longtemps.
En fait, je pense que Windows 7 avait corrigé 42 bogues numérotés CVE; Windows 8.1 en avait 48.
Et je pense que, dans l'ensemble, dans tous les produits Windows, il y avait 90 CVE répertoriés sur leur site Web et 98 bogues numérotés CVE corrigés au total, ce qui suggère qu'environ la moitié des bogues qui ont été réellement corrigés (ils ont tous CVE- 2023- numéros, donc ce sont tous des bogues récemment découverts)…
…environ 50% d'entre eux remontent loin, si vous voulez remonter aussi loin.
Donc, pour les détails de tous les correctifs, allez à news.sophos.com, où les SophosLabs ont publié un article plus analyse détaillée du Patch Tuesday.
Tour d'horizon des correctifs de janvier 2023 : Microsoft lance 98 mises à jour
CANARD. Sur Naked Security, la vraie chose que nous voulions vous rappeler est…
… si vous avez toujours Windows 7, ou si vous faites partie de ceux qui ont encore Windows 8.1 (parce que quelqu'un a dû l'aimer), * vous n'obtiendrez plus jamais de mises à jour de sécurité *.
Windows 7 a eu trois ans de "Vous pouvez payer beaucoup d'argent supplémentaire et obtenir des mises à jour de sécurité étendues" - le programme ESU, comme ils l'appellent.
Mais Windows 8.1 ? [DES RIRES]
Ce qui donne de la crédibilité à cet argument selon lequel ils voulaient laisser un fossé sec appelé Windows 9 entre 8.1 et 10, c'est que Microsoft annonce maintenant :
"Ce truc de support étendu que nous faisons, où nous nous ferons un plaisir de vous retirer de l'argent jusqu'à trois ans pour des produits qui sont vraiment anciens ?
Nous n'allons pas faire cela avec Windows 8.1.
Ainsi, en même temps que Windows 7 navigue vers le coucher du soleil, Windows 8.1 aussi.
Donc… si vous ne voulez pas passer à autre chose pour votre propre bien, faites-le pour le mien, et pour Doug [RIRE], et pour tous les autres.
Parce que vous n'obtiendrez plus de correctifs de sécurité, il y aura donc de plus en plus de failles non corrigées au fil du temps.
DOUG. D'accord!
Nous avons un commentaire sur cet article que nous aimerions souligner.
Cela a à voir avec le Windows 9 manquant.
Damon, lecteur de Naked Security, écrit :
« D'après mes souvenirs, la raison pour laquelle il n'y avait pas de Windows 9 était d'éviter qu'un code de vérification de version mal écrit ne conclue à tort que quelque chose indiquant « Windows 9 » était Windows 95 ou Windows 98.
C'est ce que j'ai lu à l'époque, de toute façon – je ne connais pas la véracité de l'affirmation.
Maintenant, j'avais entendu la même chose que vous, Paul, que c'était plus un truc de marketing pour ajouter un peu de distance…
CANARD. Le « coupe-feu », oui ! [DES RIRES]
Je ne pense pas qu'on le saura jamais.
J'ai vu, et même rapporté dans l'article, plusieurs de ces histoires.
Premièrement, comme vous le dites, c'était le pare-feu : si nous sautons simplement Windows 9 et que nous passons directement à Windows 10, nous aurons l'impression de nous être éloignés du passé.
J'ai entendu l'histoire qu'ils voulaient un nouveau départ et que le nombre n'allait plus être un nombre.
Ils voulaient délibérément casser la séquence, donc le produit s'appellerait simplement "Windows Ten", puis il obtiendrait des sous-versions.
Le problème est que cette histoire est en quelque sorte minée par le fait qu'il y a maintenant Windows 11 ! [RIRE]
Et l'autre problème avec le "Oh, c'est parce qu'ils pourraient entendre Windows 9 et penser que c'est Windows 95 quand ils font la vérification de version" est...
D'après mes souvenirs, lorsque vous utilisiez la fonction Windows désormais obsolète GetVersion() pour connaître le numéro de version, il ne vous a pas dit "Windows Vista" ou "Windows XP".
Il vous a en fait donné une version majeure DOT version mineure.
Et étonnamment, si je me souviens bien, Vista était Windows 6.0.
Windows 7, comprenez bien, était Windows 6.1… il y a donc déjà beaucoup de place pour la confusion bien avant que « Windows 9 » n'arrive.
DOUG. Sûr!
CANARD. Windows 8 était "indows 6.2.
Windows 8.1 était essentiellement Windows 6.3.
Mais parce que Microsoft a dit, "Non, nous n'utilisons pas ce GetVersion() commandez plus", jusqu'à ce jour (j'ai mis du code dans l'article - je l'ai essayé sur la version Windows 11 2022H2)…
unsigned int GetVersion(void);
int printf(const char* fmt,...);
int main(void) {
unsigned int ver = GetVersion();
printf("GetVersion() returned %08X:n",ver);
printf("%u.%u (Build %u)n",ver&255,(ver>>8)&255,(ver>>16)&65535);
return 0;
}
… à ce jour, à moins que vous n'ayez une installation exécutable spécialement conçue pour une version particulière de Windows, si vous prenez simplement un EXE simple et que vous l'exécutez, il vous dira à ce jour que vous avez obtenu Windows 6.2 (qui est vraiment Windows 8):
GetVersion() returned 23F00206: 6.2 (Build 9200)
Et, de mémoire, la série Windows 9x, qui était Windows 95, Windows 98 et bien sûr Windows Me, était en fait une version 4 points.
Je ne suis donc pas sûr d'acheter cette histoire de "Windows 9… version confusion".
Tout d'abord, nous aurions déjà eu cette confusion lors de la sortie de Windows Me, car il ne commençait pas par un "9", mais il appartenait à cette série.
Les produits auraient donc déjà dû résoudre ce problème.
Et deuxièmement, même Windows 8 ne s'est pas identifié comme "8" - c'était toujours la version majeure 6.
Donc je ne sais pas quoi croire, Doug.
Je m'en tiens moi-même à la « théorie du canal de séparation d'urgence drainé et infranchissable » !
DOUG. Très bien, nous nous en tiendrons à cela pour le moment.
Merci beaucoup, Damon, de nous l'avoir envoyé.
Si vous avez une histoire intéressante, un commentaire ou une question que vous aimeriez soumettre, nous serions ravis de le lire sur le podcast.
Vous pouvez envoyer un e-mail à tips@sophos.com, commenter n'importe lequel de nos articles ou nous contacter sur les réseaux sociaux : @NakedSecurity.
C'est notre émission d'aujourd'hui; merci beaucoup pour votre écoute.
Pour Paul Ducklin, je suis Doug Aamoth, vous rappelant, jusqu'à la prochaine fois, de…
TOUS LES DEUX. Restez en sécurité!
[MODÈME MUSICAL]
- Contenu propulsé par le référencement et distribution de relations publiques. Soyez amplifié aujourd'hui.
- Platoblockchain. Intelligence métaverse Web3. Connaissance Amplifiée. Accéder ici.
- La source: https://nakedsecurity.sophos.com/2023/01/12/s3-ep117-the-crypto-crisis-that-wasnt-and-farewell-forever-to-win-7-audio-text/
