SÉCURITÉ SILENCIEUX ! (EST-CE UNE BONNE CHOSE?)
Pas de lecteur audio ci-dessous ? Écouter directement sur Soundcloud.
Avec Doug Aamoth et Paul Ducklin. Musique d'intro et d'outro par Edith Mud.
Vous pouvez nous écouter sur Soundcloud, Podcasts Apple, Podcasts Google, Spotify, piqueur et partout où l'on trouve de bons podcasts. Ou déposez simplement le URL de notre flux RSS dans votre podcatcher préféré.
LIRE LA TRANSCRIPTION
DOUG. Mots de passe, botnets et logiciels malveillants sur Mac.
Tout cela, et plus encore, sur le podcast Naked Security.
[MODÈME MUSICAL]
Bienvenue sur le podcast, tout le monde.
Je suis Doug Aamoth ; c'est Paul Ducklin.
Paul, comment vas-tu ?
CANARD. [VOIX SCEPTIQUE/SQUEAKY] Des logiciels malveillants sur Mac ??!?!? !! ?
Sûrement une erreur, Doug ?
[RIRE]
DOUG. C'est quoi?
Ce doit être une faute de frappe. [DES RIRES]
Très bien, allons droit au but.
Bien sûr, notre premier segment de l'émission est toujours le Cette semaine dans l'histoire de la technologie segment.
Et cette semaine – passionnante ! - BASIQUE.
Si vous avez déjà utilisé l'une des nombreuses variantes du langage de programmation populaire, vous savez peut-être qu'il signifie Code d'instructions symbolique polyvalent pour débutants.
La première version a été publiée au Dartmouth College le 01er mai 1964, dans le but d'être assez facile à utiliser pour les majors non mathématiques et non scientifiques, Paul.
Je suppose que vous avez touché au BASIC dans votre vie ?
CANARD. J'aurais peut-être fait ça, Doug. [RIRE]
Mais plus important encore que Dartmouth BASIC, bien sûr, c'est à ce moment-là que le DTSS, le système de partage de temps de Dartmouth, a été mis en ligne, afin que les gens puissent utiliser Dartmouth BASIC et leur compilateur ALGOL.
De nombreuses personnes différentes utilisant des téléscripteurs pouvaient partager le système en même temps, entrant leurs propres programmes BASIC et les exécutant en temps réel pendant qu'ils étaient assis là.
Wow, il y a 59 ans, Doug !
DOUG. Beaucoup de choses ont changé…
CANARD. … et beaucoup de choses sont restées les mêmes !
On pourrait dire que c'est là que tout a commencé - Le Cloud. [RIRE]
Le «nuage de la Nouvelle-Angleterre»… c'était vraiment le cas.
Le réseau est devenu assez important.
Il est allé jusqu'au Maine, jusqu'au New Hampshire, jusqu'à New York, je crois, et Long Island.
Les écoles, les collèges et les universités, tous connectés ensemble afin qu'ils puissent profiter du codage pour eux-mêmes.
Donc il *y a* un sentiment de Plus ça change, plus c'est la même chose, Doug. [Plus les choses changent, plus elles restent les mêmes.]
DOUG. Excellent.
Bon, eh bien, nous allons parler de Google… et cela semble un peu plus néfaste qu'il ne l'est en réalité.
Google peut désormais obliger légalement les FAI à filtrer le trafic, mais ce n'est pas aussi grave qu'il n'y paraît.
Ceci est trafic de botnets, et c'est parce qu'il y a un botnet qui utilise un tas de trucs Google pour tromper les gens.
Google obtient une ordonnance du tribunal pour forcer les FAI à filtrer le trafic des botnets
CANARD. Oui, je pense que vous devez dire "chapeau" à Google pour avoir fait cet exercice évidemment énorme.
Ils ont dû assembler un argument juridique complexe et bien raisonné expliquant pourquoi ils devraient avoir le droit d'aller voir les FAI et de dire : "Écoutez, vous devez arrêter le trafic provenant de ce numéro IP ou de ce domaine".
Il ne s'agit donc pas seulement d'un démantèlement du domaine, il s'agit en fait d'une suppression de leur trafic.
Et l'argument de Google était : « S'il faut une loi sur les marques pour les obtenir, eh bien, nous voulons le faire parce que nos preuves montrent que plus de 670,000 XNUMX personnes aux États-Unis ont été infectées par ce malware zombie, CryptBot ».
CryptBot permet essentiellement à ces types d'exécuter un malware en tant que service ou un service de vol de données en tant que service…
… où ils peuvent prendre des captures d'écran, parcourir vos mots de passe, récupérer toutes vos affaires.
670,000 XNUMX victimes aux États-Unis – et ce n'est pas seulement qu'ils sont eux-mêmes des victimes, de sorte que leurs données peuvent être volées.
Leurs ordinateurs peuvent être revendus pour aider d'autres escrocs à les utiliser pour commettre d'autres crimes.
Ça fait beaucoup, Doug.
Quoi qu'il en soit, ce n'est pas une « charte de fouineur ».
Ils n'ont pas le droit de dire : "Oh, Google peut maintenant forcer les FAI à regarder le trafic et à analyser ce qui se passe."
Il dit simplement : "Nous pensons que nous pouvons isoler ce réseau en tant que fournisseur évident et manifeste de méchanceté."
Les opérateurs semblent être situés en dehors des États-Unis ; ils ne vont évidemment pas se présenter aux États-Unis pour se défendre…
… alors Google a demandé au tribunal de rendre un jugement sur la base de ses preuves.
Et le tribunal a dit: "Oui, pour autant que nous puissions voir, nous pensons que si cela allait jusqu'au procès, si les accusés se présentaient, nous pensons que Google a de très, très fortes chances de l'emporter."
Alors le tribunal a rendu une ordonnance disant : « Essayons d'interférer avec cette opération.
DOUG. Et je pense que le mot clé ici est « essayer ».
Est-ce que quelque chose comme ça fonctionnera réellement?
Ou combien de travail lourd faut-il pour rediriger 670,000 XNUMX ordinateurs zombies vers un autre endroit qui ne peut pas être bloqué ?
CANARD. Je pense que c'est généralement ce qui se passe, n'est-ce pas ?
DOUG. Oui.
CANARD. On le voit avec la cybercriminalité : on coupe une tête, et une autre repousse.
Mais ce n'est pas quelque chose que les escrocs peuvent faire instantanément.
Ils doivent aller trouver un autre fournisseur qui est prêt à prendre le risque, sachant que le ministère américain de la Justice les regarde à distance, sachant que peut-être que les États-Unis ont maintenant suscité un certain intérêt, peut-être, pour la justice Département dans leur propre pays.
Je pense donc que l'idée est de dire aux escrocs : "Vous pouvez disparaître d'un site et apparaître dans une autre société d'hébergement à toute épreuve, mais nous vous surveillons et nous allons rendre les choses difficiles."
Et si j'ai bien lu, Doug, l'ordonnance du tribunal permet également, pendant cette période limitée, à Google d'ajouter presque unilatéralement de nouveaux emplacements eux-mêmes à la liste noire.
Donc, ils sont maintenant dans cette position de confiance que s'ils voient les escrocs bouger et que leurs preuves sont suffisamment solides, ils peuvent simplement dire : "Oui, ajoutez celui-ci, ajoutez celui-ci, ajoutez celui-là".
Bien que cela n'arrête pas * la diffusion du logiciel malveillant, cela pourrait au moins donner du fil à retordre aux escrocs.
Cela pourrait aider leur entreprise à stagner un peu.
Comme je l'ai dit, cela pourrait intéresser les forces de l'ordre de leur propre pays d'aller jeter un coup d'œil.
Et cela pourrait très bien protéger quelques personnes qui tomberaient autrement dans le piège.
DOUG. Et il y a certaines choses que ceux d'entre nous à la maison peuvent faire, à commencer par : Éloignez-vous des sites proposant des téléchargements non officiels de logiciels populaires.
CANARD. En effet Doug.
Maintenant, je ne dis pas que tous les téléchargements non officiels contiendront des logiciels malveillants.
Mais il est généralement possible, du moins s'il s'agit d'un produit grand public, disons qu'il s'agit d'un produit gratuit et open-source, de trouver le seul vrai site et d'aller chercher la chose directement à partir de là.
Parce que nous avons vu des cas dans le passé où même les soi-disant sites de téléchargement légitimes axés sur le marketing ne peuvent s'empêcher d'offrir des téléchargements de logiciels gratuits qu'ils intègrent dans un programme d'installation qui ajoute des éléments supplémentaires, comme des logiciels publicitaires ou des fenêtres contextuelles que vous n'avez pas. t veux, et ainsi de suite.
DOUG. [IRONIQUE] Et une barre d'outils de navigateur pratique, bien sûr.
CANARD. [RIRES] J'avais oublié les barres d'outils du navigateur, Doug !
[PLUS DE RIRE]
Trouvez le bon endroit, et ne vous contentez pas d'aller dans un moteur de recherche et de taper le nom d'un produit, puis de prendre le lien du haut.
Vous pourriez bien vous retrouver sur un site imposteur... ce n'est *pas* suffisant pour la diligence raisonnable.
DOUG. Et dans ce sens, pour aller plus loin : Ne soyez jamais tenté d'opter pour un programme piraté ou fissuré.
CANARD. C'est le côté obscur du conseil précédent.
C'est facile de se défendre, n'est-ce pas ?
« Oh, un peu vieux moi. Juste pour cette fois, j'ai besoin d'utiliser ceci-cela-et-l'autre. J'ai juste besoin de le faire cette fois-ci et ensuite je serai bon après, honnête.
Et vous pensez : « Quel mal cela fera-t-il ? Je n'allais pas les payer de toute façon.
Ne le faites pas parce que :
(A) C'est illégal.
(B) Vous finissez inévitablement par fréquenter exactement le genre de personnes derrière cette arnaque CyptoBot - ils espèrent que vous êtes désespéré et donc vous serez beaucoup plus enclin à leur faire confiance, là où normalement vous iriez, "Vous ressemblez à une bande de charlatans.
(C) Et bien sûr, enfin, il y aura presque toujours une alternative gratuite ou open source que vous pourrez utiliser.
Ce n'est peut-être pas aussi bon; il pourrait être plus difficile à utiliser; vous devrez peut-être investir un peu de temps pour apprendre à l'utiliser.
Mais si vous n'aimez vraiment pas payer pour le gros produit parce que vous pensez qu'ils sont déjà assez riches, ne volez pas leurs affaires pour prouver un point !
Allez mettre votre énergie, votre élan et votre soutien visible légalement derrière quelqu'un qui * veut * vous fournir le produit gratuitement.
C'est mon sentiment, Doug.
DOUG. Oui.
Collez-le à l'homme * légalement *.
Et puis enfin, last but not least : Envisagez d'exécuter des outils de blocage des logiciels malveillants en temps réel.
Ce sont des choses qui analysent les téléchargements et ils peuvent vous dire: "Hé, ça a l'air mauvais."
Mais aussi, si vous essayez d'exécuter quelque chose de mauvais, au moment de l'exécution, ils diront : « Non ! »
CANARD. Oui.
Ainsi, plutôt que de simplement dire : "Oh, eh bien, je peux scanner les fichiers que j'ai déjà : sont-ils bons, mauvais ou indifférents ?"…
…vous avez moins de chances de vous mettre en danger *en premier lieu*.
Et bien sûr, il serait ringard pour moi de mentionner que Sophos Home (https://sophos.com/home) est une façon de le faire.
Gratuit pour un maximum de trois utilisateurs Mac et Windows sur votre compte, je crois. Doug ?
DOUG. Correct.
CANARD. Et des frais modestes pour un maximum de 10 utilisateurs.
Et la bonne chose est que vous pouvez ajouter des amis et de la famille à votre compte, même s'ils vivent à distance.
Mais je ne le mentionnerai pas, car ce serait trop commercial, n'est-ce pas ?
DOUG. [SOURIRE VERBAL] Bien sûr, alors ne faisons pas ça.
Parlons d'Apple.
C'est une surprise… ils nous ont tous surpris avec le nouveau Réponse de sécurité rapide initiative.
Que s'est-il passé ici, Paul ?
CANARD. Eh bien, Doug, j'ai eu cette réponse de sécurité rapide !
Le téléchargement était de quelques dizaines de mégaoctets, pour autant que je m'en souvienne; la vérification quelques secondes… puis mon téléphone est devenu noir.
Ensuite, il a redémarré et la prochaine chose que j'ai su, j'étais de retour là où j'avais commencé, et j'ai eu la mise à jour : iOS 16.4.1(a).
(Il y a donc un nouveau numéro de version étrange qui va avec.)
Le seul inconvénient que je vois, Doug, c'est que tu n'as aucune idée de ce que c'est.
Pas du tout.
Pas même un peu comme "Oh, désolé, nous avons trouvé un jour zéro dans WebKit, nous avons pensé que nous ferions mieux de le réparer", ce qui serait bien de le savoir.
Juste rien!
Mais… petit et rapide.
Mon téléphone était hors service pendant quelques secondes plutôt que des dizaines de minutes.
Même expérience sur mon Mac.
Au lieu de 35 minutes de broyage, "S'il vous plaît attendez, s'il vous plaît attendez, s'il vous plaît attendez", puis redémarrez trois ou quatre fois et "Ohhh, est-ce que ça va revenir?"…
… en gros, l'écran est devenu noir ; quelques secondes plus tard, je tape mon mot de passe et je repars.
Alors voilà, Doug.
Réponse de sécurité rapide.
Mais personne ne sait pourquoi. [RIRE]
DOUG. Ce n'est peut-être pas surprenant, mais c'est quand même cool qu'ils aient ce genre de programme en place.
Restons donc dans le train Apple et parlons de la façon dont, pour le prix modique de 1,000 XNUMX $ par mois, vous pouvez vous aussi entrer dans le Jeu de logiciels malveillants Mac, Paul.
CANARD. Oui, c'est certainement un bon rappel que si vous êtes toujours convaincu que les Mac ne reçoivent pas de logiciels malveillants, détrompez-vous.
Ce sont des chercheurs d'une entreprise appelée Cyble, et ils ont, essentiellement, une sorte d'équipe de surveillance du dark web.
Si vous voulez, ils essaient délibérément de s'allonger avec des chiens pour voir quelles puces ils attirent [RIRES] afin qu'ils puissent trouver ce qui se passe avant que le malware ne sorte… pendant qu'il est proposé à la vente, par exemple.
Et c'est exactement ce qu'ils ont trouvé ici.
Et juste pour que ce soit clair : ce n'est pas un logiciel malveillant qui inclut une variante Mac.
Il est absolument destiné à aider d'autres cybercriminels qui veulent cibler directement les fanbuoys-and-girls Mac.
Ça s'appelle AMOS, Doug : Voleur atomique de macOS.
Il ne prend pas en charge Windows ; il ne prend pas en charge Linux ; il ne s'exécute pas dans votre navigateur. [RIRE]
Et les escrocs proposent même, via une chaîne secrète sur Telegram, ce "service complet" qui comprend ce qu'ils appellent un "DMG magnifiquement préparé" [Apple Disk Image, couramment utilisé pour fournir des installateurs Mac].
Ils reconnaissent donc, je suppose, que les utilisateurs de Mac s'attendent à ce que les logiciels aient l'air bien, qu'ils aient l'air bien et qu'ils s'installent d'une certaine manière, comme Mac.
Et ils ont essayé de suivre toutes ces directives et de produire un programme aussi crédible que possible, d'autant plus qu'il doit demander votre mot de passe administrateur pour pouvoir faire ses trucs les plus sales… voler tous vos mots de passe de trousseau, mais il essaie de le faire d'une manière crédible.
Mais en plus de cela, non seulement vous (en tant que cybercriminel qui veut s'en prendre aux utilisateurs de Mac) avez accès à leur portail en ligne, vous n'avez donc pas à vous soucier de rassembler les données vous-même… Doug, ils ont même une application -pour ça.
Donc, si vous avez monté une attaque et que vous ne pouviez pas vous donner la peine de vous réveiller le matin, connectez-vous à votre portail et vérifiez si vous avez réussi, ils vous enverront des messages en temps réel via Telegram à vous dire où votre attaque a réussi, et même vous donner accès à des données volées.
Juste là dans l'application.
Sur votre téléphone.
Pas besoin de se connecter, Doug.
DOUG. [IRONIQUE] Eh bien, c'est utile.
CANARD. Comme vous le dites, c'est 1,000 XNUMX $ par mois.
Est-ce beaucoup ou peu pour ce que vous obtenez ?
Je ne sais pas... mais au moins nous le savons maintenant, Doug.
Et, comme je l'ai dit, pour tous ceux qui ont un Mac, c'est un rappel qu'il n'y a pas de sécurité magique qui vous immunise contre les logiciels malveillants sur un Mac.
Vous êtes beaucoup moins susceptible d'être victime de logiciels malveillants, mais avoir *moins* de logiciels malveillants sur Mac que sur Windows n'est pas la même chose que d'avoir *zéro* logiciels malveillants et de ne pas être exposé aux cybercriminels.
DOUG. Bien dit!
Parlons des mots de passe.
Journée mondiale du mot de passe arrive, et je vais aller droit au but, parce que vous nous avez entendus, sur ce même programme, dire, maintes et maintes fois…
…utilisez un gestionnaire de mots de passe si vous le pouvez ; utilisez 2FA quand vous le pouvez.
Ceux que nous appelons Timeless Tips.
Mais ensuite, deux autres conseils auxquels réfléchir.
Numéro 1: Débarrassez-vous des comptes que vous n'utilisez pas.
J'ai dû le faire lorsque LastPass a été piraté.
Ce n'est pas un processus amusant, mais c'était très cathartique.
Et maintenant, je crois que je n'ai plus que les comptes que j'utilise encore activement.
CANARD. Oui, c'était intéressant de t'entendre parler de ça.
Cela minimise définitivement ce qu'on appelle, dans le jargon, votre « surface d'attaque ».
Moins de mots de passe, moins à perdre.
DOUG. Et puis un autre à méditer : Revoyez les paramètres de récupération de votre compte.
CANARD. J'ai pensé qu'il valait la peine de le rappeler aux gens, car il est facile d'oublier que vous avez peut-être un compte que vous utilisez encore, que vous savez comment vous connecter, mais que vous avez oublié où va cet e-mail de récupération, ou (si il y a un code SMS) quel numéro de téléphone vous avez entré.
Vous n'avez pas eu besoin de l'utiliser depuis sept ans et demi ; vous avez tout oublié.
Et vous avez peut-être entré, disons, un numéro de téléphone que vous n'utilisez plus.
Ce qui signifie que : (A) si vous avez besoin de récupérer le compte à l'avenir, vous ne pourrez pas, et (B) pour autant que vous le sachiez, ce numéro de téléphone aurait pu être attribué à quelqu'un d'autre entre-temps .
Exactement la même chose avec un compte de messagerie.
Si vous avez un e-mail de récupération envoyé à un compte de messagerie dont vous avez perdu la trace… que se passe-t-il si quelqu'un d'autre a déjà accédé à ce compte ?
Maintenant, ils ne réalisent peut-être pas à quels services vous l'avez lié, mais ils pourraient simplement être assis là à le regarder.
Et le jour où vous *appuyez* sur [Recover my password], *ils* recevront le message et diront "Bonjour, ça a l'air intéressant", puis ils pourront entrer et prendre le contrôle de votre compte.
Donc, ces détails de récupération sont vraiment importants.
Si ceux-ci sont périmés, ils sont presque plus importants que le mot de passe que vous avez sur votre compte en ce moment, car ce sont des clés égales pour votre château.
DOUG. D'accord, très bien.
Alors cette année, une très bonne Journée mondiale du mot de passe à tous… prenez le temps de vous aligner.
Alors que le soleil commence à se coucher sur notre émission, il est temps d'entendre l'un de nos lecteurs – un commentaire intéressant sur le podcast de la semaine dernière.
Pour rappel, le podcast est disponible à la fois en mode audio et sous forme écrite.
Paul transpire sur une transcription chaque semaine et fait un excellent travail - c'est un podcast très lisible.
Nous avons donc demandé à un lecteur, Forrest, d'écrire sur le dernier podcast.
Nous parlions de la Hack PaperCut, et qu'un chercheur avait publié un script de preuve de concept [PoC] que les gens pouvaient utiliser très facilement…
CANARD. [EXCITÉ] Pour devenir des hackers instantanément !
DOUG. Exactement.
CANARD. Mettons-y pas un point. [RIRE]
DOUG. Alors Forrest écrit :
Pour tout le mécontentement suscité par le script PaperCut PoC. Je pense qu'il est important de comprendre également que les PoC permettent aux bons et aux mauvais acteurs de démontrer le risque.
Bien que cela puisse être dommageable pour une organisation, démontrer un risque ou voir quelqu'un se l'approprier est ce qui motive la correction et l'application de correctifs.
Je ne peux pas compter le nombre de fois où j'ai vu des équipes de gestion des vulnérabilités allumer des feux sous leurs ressources informatiques uniquement après avoir armé le CVE vieux de 10 ans qu'ils ont refusé de corriger.
Bon point.
Paul, qu'en pensez-vous ?
CANARD. Je comprends.
Je comprends ce qu'est une divulgation complète.
Mais je pense qu'il y a une grande différence entre publier une preuve de concept que n'importe qui sachant comment télécharger un fichier texte et l'enregistrer sur son bureau peut utiliser pour devenir un abuseur instantané de la vulnérabilité, *alors que nous savons que il s'agit d'une vulnérabilité actuellement exploitée par des personnes comme les criminels rançongiciels et les cryptojackers*.
Il y a une différence entre laisser échapper cela alors que la chose est encore un danger clair et présent, et essayer de secouer votre direction pour réparer quelque chose qui a 10 ans.
Je pense que dans un monde équilibré, peut-être que ce chercheur aurait pu simplement expliquer comment il l'a fait.
Ils auraient pu vous montrer les méthodes Java qu'ils utilisaient et vous rappeler les façons dont cela a été exploité auparavant.
Ils auraient pu faire une petite vidéo montrant que leur attaque a fonctionné, s'ils voulaient être enregistrés comme étant l'une des premières personnes à proposer un PoC.
Parce que je reconnais que c'est important : vous prouvez votre valeur aux futurs employeurs potentiels qui pourraient vous employer pour la chasse aux menaces.
Mais dans ce cas…
… Je ne suis pas contre la publication du PoC.
Je viens de partager votre avis dans le podcast.
DOUG. C'était plus un *grognement* que *mécontent*.
CANARD. Oui, j'ai transcrit cela comme AAAAARGH. [DES RIRES]
DOUG. J'aurais probablement opté pour NNNNNGH, mais oui.
CANARD. Transcrire est autant un art qu'une science, Doug. [RIRE]
Je vois ce que notre commentateur dit là-bas, et je comprends que la connaissance est le pouvoir.
Et j'ai * trouvé * utile de regarder ce PoC, mais je n'en avais pas besoin en tant que script Python fonctionnel, de sorte que * tout le monde * ne puisse pas le faire * à tout moment * s'il en avait envie.
DOUG. D'accord, merci beaucoup, Forrest, de nous l'avoir envoyé.
Si vous avez une histoire intéressante, un commentaire ou une question que vous aimeriez soumettre, nous serions ravis de le lire sur le podcast.
Vous pouvez envoyer un e-mail à tips@sophos.com, commenter n'importe lequel de nos articles ou nous contacter sur les réseaux sociaux : @nakedsecurity.
C'est notre émission d'aujourd'hui; merci beaucoup pour votre écoute.
Pour Paul Ducklin, je suis Doug Aamoth, je vous rappelle jusqu'à la prochaine fois pour…
TOUS LES DEUX. Restez en sécurité!
[MODÈME MUSICAL]
- Contenu propulsé par le référencement et distribution de relations publiques. Soyez amplifié aujourd'hui.
- PlatoAiStream. Intelligence des données Web3. Connaissance Amplifiée. Accéder ici.
- Frapper l'avenir avec Adryenn Ashley. Accéder ici.
- Achetez et vendez des actions de sociétés PRE-IPO avec PREIPO®. Accéder ici.
- La source: https://nakedsecurity.sophos.com/2023/05/04/s3-ep133-apple-takes-tight-lipped-to-a-whole-new-level/
