원하는 지점으로 건너뛰려면 아래의 음파를 클릭하고 끕니다. 당신은 또한 수 직접 들어 사운드클라우드에서.

더그. LifeLock 문제, 원격 코드 실행 및 큰 사기가 큰 문제를 만납니다.

Naked Security 팟캐스트에서 이 모든 것.

[뮤지컬 모뎀]

팟캐스트에 오신 것을 환영합니다.

저는 Doug Aamoth입니다. 그는 폴 더클린이다.

그리고 Paul, 정말 미안해…

오리.  Happy '99와는 반대로 Doug?

더그.  어떻게 알았어? [웃음]

우리는 즉시 우리의 기술 역사 세그먼트.

이번 주, 20년 1999월 99일, "Ska"라고도 알려진 HAPPYXNUMX 웜이 세상에 소개되었습니다.

폴, 거기 있었잖아!

HAPPY99와 함께한 경험을 들려주세요.

오리.  더그. 그때나 지금이나 나에게 가장 매력적인 것은 당신이 B-word라고 부르는 것입니다…

...[COUGHS APOLOGETICALLY] "훌륭한" 부분, 이것이 프로그래머의 게으름 때문인지 아니면 최고의 영리함 때문인지 모르겠습니다.

첫째, 미리 생성된 이메일 주소 목록을 사용하지 않았습니다.

그것은 *당신*이 이메일을 보낼 때까지 기다렸다가 이메일 주소를 긁어내어 사용했고, 그 결과 이메일은 당신이 이미 방금 연락한 사람들에게만 전달되어 그들에게 더 큰 신뢰감을 주었습니다.

그리고 또 다른 영리한 점은 제목 줄과 메시지 본문 같은 것을 신경쓰지 않았다는 것입니다.

첨부파일이 있을 뿐, HAPPY99.EXE, 전경에서 실행했을 때 불꽃 놀이를 보여주었습니다.

그런 다음 닫았습니다. 해를 끼치 지 않는 것 같았습니다.

따라서 "이봐, 방금 이탈리아인 친구로부터 행복한 크리스마스를 기원하는 이탈리아어로 된 이메일을 받았고, 바로 이어서 행복한 1999년을 기원하는 영어로 된 이메일이 왔습니다."와 같은 언어적 단서가 없었습니다.

그리고 우리는 프로그래머가 그것을 예견했는지 아니면 내가 말했듯이 그것이 단지 “이것을 이메일에 추가하는 데 필요한 모든 함수 호출을 해결하기 위해 귀찮게 할 수 없었습니다…

...이메일을 만드는 방법을 알고 있습니다. 첨부 파일을 추가하는 방법을 알고 있습니다. 나머지는 귀찮게하지 않겠습니다.”

그리고 결과적으로 이것은 그냥 퍼지고 퍼지고 퍼지고 퍼졌습니다.

맬웨어 프로그래밍에서 인생의 많은 일과 마찬가지로 때때로…

더그.  좋구나!

음, 좀 더 행복한 주제로 넘어갑시다. 원격 코드 실행 구멍 인기 있는 클라우드 보안 라이브러리에서.

잠깐만요, 그게 더 행복하진 않아요... 그런데 여기서 무슨 일이 일어났나요?

인기 있는 JWT 클라우드 보안 라이브러리 패치 "원격" 코드 실행 허점

오리.  글쎄요, 버그가 개념 증명으로 공개되지 않았다는 점에서 더 행복합니다.

패치된 지 몇 주 후에야 문서화되었습니다.

그리고 다행스럽게도 기술적으로는 RCE(원격 코드 실행) 버그로 간주되어 처음 보고되었을 때 많은 화제를 불러일으켰지만…

...그것은 사기꾼들이 본질적으로 당신의 아파트에 먼저 침입한 다음, 다음 사기꾼 무리를 위해 내부에서 열린 문을 잠그는 것을 요구했습니다.

그래서 그들이 정문에 나타나서 즉시 입장할 수 있는 것은 아니었습니다.

물론 아이러니한 점은 이것이 인기 있는 오픈 소스 툴킷과 관련되어 있다는 것입니다. jsonwebtoken, 또는 줄여서 JWT.

JWT는 기본적으로 브라우저의 세션 쿠키와 비슷하지만 잠시 동안 프로그램에 권한을 부여하는 제로 트러스트 접근 방식에 더 적합합니다.

예를 들어 실행하려는 프로그램에 권한을 부여하여 가격 데이터베이스에서 가격 조회를 수행할 수 있습니다.

따라서 먼저 인증을 받아야 합니다.

사용자 이름을 입력하거나 암호를 입력해야 할 수도 있습니다. 그런 다음 프로그램에서 사용할 수 있는 이 액세스 토큰을 얻습니다. 다음 100개의 요청 또는 다음 20분 동안 유효할 수 있습니다. 즉, 다음을 의미합니다. 매번 완전히 재인증할 필요가 없습니다.

그러나 이 토큰은 프로그램이 미리 설정한 특정 작업 하나만 수행하도록 권한을 부여합니다.

좋은 생각입니다. 요즘 웹 기반 코딩을 수행하는 표준 방법입니다.

이제 JWT의 아이디어는 다른 세션 쿠키와 달리 "제로 트러스트" 방식으로 다음을 포함한다는 것입니다. 허용되는 작업; 뿐만 아니라, 그것이 무엇을 위한 것인지를 알려주는 데이터의 암호화 키 해시를 가지고 있습니다.

그리고 그 해시는 서버가 토큰을 발행할 때 어딘가에 있는 매우 안전한 데이터베이스에 묻혀 있는 비밀 키를 사용하여 계산된다는 것입니다.

불행하게도 도둑이 미리 자물쇠를 잠궈 아파트에 침입할 수 있다면...

…그리고 그들이 비밀 데이터베이스에 들어갈 수 있고 특정 사용자 계정에 대해 수정된 비밀 키를 이식할 수 있고 몰래 빠져나와 분명히 아무것도 남기지 않는다면?

음, 비밀 키를 엉망으로 만들면 더 이상 신뢰할 수 있는 토큰을 만들 수 없기 때문에 시스템이 작동하지 않을 것이라고 상상할 수 있습니다.

그래서 당신은 그것이 안전하게 실패할 것이라고 *생각*할 것입니다.

특별한 방법으로 비밀 키를 변경할 수 있다면 다음에 인증이 발생할 때(토큰이 올바른지 여부를 확인하기 위해) 비밀 키를 가져오면 코드가 실행될 수 있습니다.

이것은 이론적으로 인증 서버 자체에서 모든 파일을 읽거나 영구적으로 맬웨어를 심을 수 있습니다…

… 분명히 매우 나쁜 일이 될 것입니다!

그리고 이러한 JSON 웹 토큰이 매우 널리 사용된다는 점을 감안할 때 jsonwebtoken 툴킷은 널리 사용되는 것 중 하나이며 버그가 있는 버전을 사용하는 경우 반드시 패치를 적용해야 했습니다.

이것에 대한 좋은 점은 2022년 크리스마스 이전에 실제로 작년에 패치가 나왔다는 것입니다. jsonwebtoken 팀) 이것을 발견하고 작성한 회사는 약 일주일 전에 최근에야 공개되었습니다.

그래서 그들은 사람들이 문제가 무엇인지 자세히 설명하기 전에 패치할 시간을 충분히 주었습니다.

그래서 이것은 잘 *되어야 * 끝납니다.

더그.  좋아, 잘 끝나는 주제에 대해 계속 이야기합시다… 당신이 좋은 사람 편이라면!

우리는 XNUMX개의 국가, 수백만 달러, 여러 차례의 수색, 여러 명의 체포를 받았습니다. 거액 투자 사기:

XNUMX개국 유로폴 공습에서 수백만 투자 사기꾼 적발

오리.  이것은 훌륭하고 구식이었습니다. "이봐, 당신을위한 투자가 있어요!".

분명히 네 개의 콜 센터가 있었고 수백 명의 사람들이 심문을 받았고 15명은 이미 체포되었습니다…

… 이 사기는 "존재하지 않는 암호 화폐에 투자하기 위해 사람들을 콜드 콜"했습니다.

그래서, OneCoin 다시 한 번… 우리는 그것에 대해 이야기했습니다 원 코인 사기, 존재하지도 않는 암호 화폐에 4억 달러가 투자되었습니다.

OneCoin 사기꾼 Sebastian Greenwood는 "Cryptoqueen"이 여전히 누락되어 유죄를 인정합니다.

이 경우 Europol은 암호 화폐 *계획*에 대해 이야기했습니다.

그래서 우리는 사기꾼들이 사람들이 그것이 사기라는 것을 깨달을 때까지 하나를 운영할 것이라고 가정할 수 있습니다. 그런 다음 그들은 그들 아래에서 깔개를 빼내고 돈을 가지고 도망쳐 새로운 것을 시작했습니다.

아이디어는 아주 작게 시작해서 그 사람에게 이렇게 말했습니다.

아이디어는 사람들이 “이 정도면 충분해. 이것이 성공한다면 *나*는 차세대 비트코인 ​​스타일의 억만장자가 될 수 있습니다.”

그들은 돈을 넣었고… 그리고 물론 이야기가 어떻게 진행되는지 알 것입니다.

환상적으로 보이는 웹사이트가 있고, 기본적으로 귀하의 투자는 어떤 날은 계속 증가하고 다른 날에는 급증합니다.

기본적으로 "잘했어!"

그래서, 이것이 이러한 사기의 문제입니다. 그들은 단지 *보기* 좋아 보입니다.

그리고 그것이 사기라는 것을 깨닫는 시점까지 "투자 고문"으로부터 필요한 모든 사랑과 관심을 받게 될 것입니다.

그리고 나서 음… 당국에 항의할 수 있습니다.

왠만하면 경찰서 가시는걸 추천드립니다.

그러나 물론 법 집행 기관은 다음 사기를 시작하기 전에 누가 누구인지, 어디에 기반을 두고 있는지 파악하고 적발해야 하는 어려운 일을 해야 합니다.

더그.  좋습니다. 여기에 몇 가지 조언이 있습니다.

우리는 이전에 이 조언을 했습니다 – 이것은 이 이야기뿐만 아니라 다른 이야기에도 적용됩니다.

사실이 되기에는 너무 좋게 들린다면, 뭔지 맞춰봐?

오리.  사실이라기에는 너무 좋은 것입니다. 더그

"그럴지도 몰라"가 아닙니다.

사실이 되기에는 너무 좋습니다. 그렇게 간단하게 만드십시오.

그렇게 하면 더 이상 평가할 필요가 없습니다.

의심이 든다면 그 의심을 완전한 사실과 동등하게 홍보하십시오.

많은 상심에서 벗어날 수 있습니다.

더그.  우리는있어: 온라인 대화가 우정에서 돈으로 바뀔 때 시간을 내십시오..

그리고 우리는 이것에 대해 이야기했습니다. 사기 웹사이트가 유명하고 전문적으로 보인다고 해서 속지 마십시오.

개편된 웹 디자이너로서 요즘에는 형편없어 보이는 웹사이트를 만드는 것이 불가능하다고 말할 수 있습니다.

그리고 제가 더 이상 웹 디자이너가 아닌 또 다른 이유는 아무도 저를 필요로 하지 않기 때문입니다.

모든 것을 스스로 할 수 있는데 누가 웹 디자이너를 필요로 합니까?

오리.  버튼을 클릭하고, 테마를 선택하고, 실제 투자 사이트에서 일부 JavaScript를 복사한다는 의미입니다.

더그.  … 거기에 몇 개의 로고를 놓습니다.

그래!

오리.  이것은 놀라울 정도로 쉬운 작업이며 잘 수행하기 위해 특별히 경험이 풍부한 프로그래머가 될 필요는 없습니다.

더그.  그리고 마지막으로, 그러나 결코 최소한은 아닙니다: 사기꾼이 귀하와 귀하의 가족 사이에 쐐기를 박는 것을 허용하지 마십시오....

… 사실이 되기에는 너무 좋은 것에 대한 항목 1을 참조하십시오.

오리.  예.

사기꾼의 행동 방식으로 인해 의도하지 않게 친구 및 가족과 정말 불쾌한 상황에 빠질 수 있는 두 가지 방법이 있습니다.

첫 번째는 친구와 가족이 귀하가 사기를 당했다고 거의 확신했기 때문에 귀하가 사기를 포기할 것이라는 사실을 그들이 깨닫는 경우 매우 자주 있습니다. 사기를 시도하고 연장하기 위해 귀하의 가족.

그래서 그들은 의도적으로 그 쐐기를 밀어 넣을 것입니다.

그리고 가장 나쁜 것은 당신이 잘 지내고 있는 것처럼 보이는 사기일 경우, 그들은 당신의 가족이나 친한 친구를 끌어들이는 데 대해 "보너스"를 제공할 것입니다.

당신이 그들을 설득할 수 있다면... 불행히도, 그들은 당신과 함께 갈 것이고, 당신이 애초에 그들에게 말을 걸었기 때문에 그들은 아마도 당신을 비난할 것입니다.

그러니 명심하십시오.

더그.  자, 오늘의 마지막 이야기입니다.

인기 있는 신원 보호 서비스인 LifeLock이 일종의 침해를 당했지만 복잡합니다. *위반* 위반:

심각한 보안: LifeLock "해킹된 암호" 이야기 풀기

오리.  네, 흥미로운 표현 방법이네요, Doug!

더그.  [웃음]

오리.  Naked Security에 이 글을 쓰는 것이 중요하다고 생각한 이유는 Norton LifeLock에서 서비스에 대한 무단 로그인 시도가 영향을 받은 일부 사용자에게 보낸 알림을 보았기 때문입니다.

그리고 저는 생각했습니다. “아, 시작합니다. 과거에 사람들이 암호를 도난당한 적이 있었는데 지금은 새로운 사기꾼 무리가 나타나서 문을 두드리고 있고 일부 문은 아직 열려 있습니다."

그것이 내가 그것을 읽는 방식이며 올바르게 읽은 것이라고 생각합니다.

하지만 저는 갑자기 적어도 헤드라인을 보기 시작했고 어떤 경우에는 미디어에서 사람들이 다음과 같이 생각하도록 유도하는 기사를 보기 시작했습니다. “오 이런, 그들은 Norton LifeLock에 들어갔어요. 그들은 배후에 있습니다. 그들은 데이터베이스를 파헤쳤습니다. 그들은 실제로 내 암호를 복구했습니다 – 오, 얘야!”

LastPass의 최근 공개에 비추어 볼 때 암호 데이터베이스가 도난당했습니다. 하지만 암호는 암호화되어 있습니다…

...이것은 "오, 위반이었고 암호를 가지고 있습니다" 줄을 따라가면 훨씬 더 나쁘게 들립니다.

그러나 이것은 일부 사기꾼들이 어떻게든 획득한 잠재적인 사용자 이름/암호 조합의 오래된 목록인 것 같습니다.

그들이 다크 웹에서 대량으로 구입한 다음 어떤 암호가 어떤 계정에서 작동하는지 알아보기 시작했다고 가정해 봅시다.

그것은 자격 증명 소, 그들은 적어도 하나의 계정에서 작동하는 것으로 생각되는 자격 증명을 가져와 다른 사이트의 로그인 양식에 넣기 때문입니다.

그래서 결국 Norton LifeLock 팀은 고객에게 다음과 같은 경고를 보냈습니다. "우리는 당신이 이것의 영향을 받는 사람들 중 하나라고 생각합니다." 아마도 로그인이 실제로 성공한 사람들에게 경고하기 위해 잘못된 종류의 장소에서 왔다고 생각하는 사람들에게만 해당될 것입니다.

“누군가가 귀하의 암호를 알고 있지만 그들이 어디에서 얻었는지 확실하지 않습니다. 아마도 다크 웹에서 암호를 구입했을 것이기 때문입니다… ”

그래서 나는 그것이 이야기가 추가되는 것이라고 생각합니다.

더그.  그리고 우리는 이러한 암호가 처음부터 다크 웹에서 끝나는 몇 가지 방법을 가지고 있습니다. 여기에는 다음이 포함됩니다. 피싱 공격.

오리.  예, 그것은 꽤 명백합니다…

...누군가가 특정 서비스에 대해 대규모 피싱 시도를 하고 N명이 이에 속는 경우.

더그.  그리고 우리는: 키로거 스파이웨어.

오리.  컴퓨터의 맬웨어에 감염되는 곳입니다. 좀비 또는 봇, 사기꾼이 원할 때마다 실행할 수 있는 모든 종류의 원격 제어 트리거가 있습니다.

봇과 좀비의 작동 방식 및 주의해야 하는 이유

그리고 분명히 봇과 좀비가 미리 프로그래밍한 경향이 있는 것에는 다음이 포함됩니다. 네트워크 트래픽 모니터링; 거대한 이메일 주소 목록으로 스팸을 보냅니다. 당신이 흥미로운 웹사이트에 있다고 생각할 때마다 키로거를 켜십시오.

즉, 보안 웹 트랜잭션의 암호를 해독하여 암호를 피싱하는 대신 기본적으로 사용자가 입력하는 내용을 보고 있습니다. 열쇠를 누르다 키보드*에서.

더그.  좋아, 사랑스러워.

우리는있어: 서버측 로깅 상태가 좋지 않습니다.

오리.  일반적으로 사용자는 사용자의 IP 번호, 사용자 이름, 로그인 시도 시간과 같은 항목을 기록하고 싶을 것입니다.

하지만 프로그래밍이 바쁘고 실수로 웹 양식에 있는 *모든 것*을 기록했다면…

...실수로 로그 파일에 암호를 일반 텍스트로 기록했다면 어떻게 될까요?

더그.  좋습니다. 그러면 다음과 같은 결과가 나타납니다. RAM 스크래핑 악성코드.

흥미로운 것입니다.

오리.  예, 사기꾼이 백그라운드로 일부 맬웨어를 몰래 넣을 수 있기 때문에 기억을 엿보다 서버가 실행되는 동안 "우와"라고 냄새를 맡을 수 있습니다! 신용 카드 번호처럼 보입니다. 암호 필드처럼 보입니다!”

7가지 유형의 바이러스 – 현대 사이버 악영향에 대한 짧은 용어집

분명히, 그런 종류의 공격에는 앞서 언급한 경우와 같이 도둑이 먼저 아파트에 침입하여 문을 잠그는 것이 필요합니다.

그러나 일단 그런 일이 발생하면 실제로 디스크의 어떤 것도 거칠 필요가 없는 프로그램을 가질 수 있다는 것을 의미합니다. 이전 로그를 검색할 필요가 없습니다. 네트워크를 탐색할 필요가 없습니다.

흥미롭고 중요한 것이 있을 때 운이 좋기를 바라면서 메모리의 특정 영역을 실시간으로 관찰하기만 하면 됩니다.

더그.  몇 가지 조언이 있습니다.

암호를 재사용하는 습관이 있다면 하지 마십시오!

제 기억에 컴퓨팅 역사상 가장 오래 지속된 조언이라고 생각합니다.

우리는있어: 다른 사이트에서 관련된 비밀번호를 사용하지 마세요.

오리.  예, 많은 사람들이 다음과 같이 생각하기 때문에 그 팁을 몰래 넣어야겠다고 생각했습니다.

“아, 내가 할 줄 알아, 정말 복잡한 암호를 선택하고 앉아서 외울게 X38/=?..., 그래서 저는 복잡한 비밀번호를 가지고 있습니다 – 사기꾼들은 절대 그것을 추측하지 않을 것입니다. 그래서 저는 그 비밀번호만 기억하면 됩니다.

굳이 필요하지도 않은 번거로움을 암호 관리자의 마스터 암호로 기억하는 대신, 그냥 추가하겠습니다. -fb 페이스북용, -tt 틱톡을 위해, -tw 그러면 말 그대로 웹사이트마다 다른 비밀번호를 사용하게 될 것입니다.”

문제는 이러한 공격에서 사기꾼이 *이미 암호 중 하나의 일반 텍스트를 얻었다는 것입니다.*

비밀번호가 complicated-bit 대시 two-letters, 그들은 아마도 당신의 다른 암호를 추측할 수 있습니다…

...예비 문자만 추측하면 되기 때문입니다.

더그.  좋아, 그리고: 가능한 모든 계정에 대해 2FA를 켜는 것을 고려하십시오.

오리.  예.

늘 그렇듯 조금 불편하긴 하지만 다크웹에 접속해서 당신의 비밀번호를 사서 찜찜하게 들어와서 세계의 어떤 알려지지 않은 곳에서 그것을 사용하려고 한다면…

... 갑자기 추가 일회성 코드도 필요하기 때문에 "그냥 작동"하지 않습니다.

더그.  자, LifeLock 이야기에 독자 의견이 있습니다.

피트 말한다:

"좋은 팁과 매우 사실적인 접근 방식(웃는 얼굴 이모티콘)이 포함된 멋진 기사입니다."

오리.  이미 의견에 동의합니다, Doug! [웃음]

하지만 계속…

더그.  "사람들이 Norton LifeLock [...]과 같은 회사를 비난하는 것을 좋아하는 것 같습니다. 사람들에게 올바르게 수행하는 방법을 알려주는 대신 다른 사람을 비난하기가 너무 쉽기 때문입니다."

오리.  예.

약간 거친 말이라고 할 수 있습니다.

그러나 특정 기사의 끝에서 말했듯이 IT 세계에서는 이미 50년 이상 암호를 사용해 왔습니다. 하드웨어 토큰, 생체 측정 등에 의존합니다.

그러나 나는 우리가 좋든 싫든 적어도 우리 계정의 일부(또는 아마도 더 많은)에 대해서는 여전히 수년 동안 암호를 사용할 것이라고 생각합니다.

그래서 우리는 정말로 총알을 물고 우리가 할 수 있는 한 최선을 다해 노력해야 합니다.

그리고 20년 후에 암호가 우리 뒤에 있을 때 조언을 변경할 수 있고 대신 생체 정보를 보호하는 방법에 대한 조언을 제시할 수 있습니다.

그러나 당분간 이것은 암호와 같은 중요한 개인 데이터가 도난당할 때 수명이 길어지고 사이버 범죄 커뮤니티에서 널리 유포될 수 있음을 상기시키는 여러 알림 중 하나일 뿐입니다.

더그.  큰.

보내주셔서 감사합니다, 피트.

제출하고 싶은 흥미로운 이야기, 의견 또는 질문이 있으면 팟캐스트에서 읽고 싶습니다.

귀하는 Tips@sophos.com으로 이메일을 보내거나, 당사 기사에 댓글을 달거나, @NakedSecurity 소셜에서 연락할 수 있습니다.

그것이 오늘의 쇼입니다. 들어주셔서 대단히 감사합니다.

Paul Ducklin의 경우 Doug Aamoth라고 합니다. 다음 시간까지...

양자 모두.  보안 유지!

[뮤지컬 모뎀]