Geen audiospeler hieronder? Luisteren direct op Soundcloud.

DOUG.  Cybercriminaliteit na cybercriminaliteit, enkele Apple-updates en een aanval op een broncode-opslagplaats.

Dat alles, en meer, op de Naked Security-podcast.

[MUZIEK MODEM]

Welkom bij de podcast, allemaal.

Ik ben Doug Aamoth; hij is Paul Ducklin.

Paulus, hoe gaat het met je?

---

EEND.  Heel goed, dank je. Douglas!

Was dat vrolijk genoeg?

---

DOUG.  Dat was behoorlijk goed.

Zoals een 7/10 op de geluksschaal, wat een redelijk goede basis is.

---

EEND.  Oh, ik wilde dat het hoger aanvoelde dan dat.

Wat ik zei, plus 2.5/10.

---

DOUG.  [Overdreven verbazing] Oh, Paul, je klinkt geweldig!

---

EEND.  [LACHT] Dank je, Doug.

---

DOUG.  Nou, dit kan je naar een 10/10 duwen, dan... Deze week in de technische geschiedenis.

Op 22 mei 1973 schreef onderzoeker Robert Metcalfe in het Xerox Palo Alto Research Center [PARC] een memo waarin hij een nieuwe manier voorstelde om computers met elkaar te verbinden.

Geïnspireerd door zijn voorloper, AlohaNet, dat Metcalfe bestudeerde als onderdeel van zijn proefschrift, zou de nieuwe technologie Ethernet heten, een knipoog naar de substantie "lichtgevende ether", waarvan ooit werd aangenomen dat het een medium was voor het voortplanten van lichtgolven.

---

EEND.  Het was zeker een stuk sneller dan 160 KB, enkelzijdige, single density floppy diskettes! [GELACH]

---

DOUG.  Kan erger!

Hoe dan ook, over "erger" en "slechtheid" gesproken, we hebben onze eerste misdaadupdate van de dag.

De VS bieden een $ 10 miljoen premie voor een Russische ransomware-verdachte.

VS biedt $ 10 miljoen premie voor Russische ransomware-verdachte die is aangeklaagd

Dat is veel geld, Paul!

Deze man moet iets heel ergs hebben gedaan.

De verklaring van de DOJ:

[Deze persoon en zijn mede-samenzweerders] zouden dit soort ransomware hebben gebruikt om duizenden slachtoffers in de Verenigde Staten en de rest van de wereld aan te vallen. Deze slachtoffers zijn onder meer wetshandhavers en andere overheidsinstanties, ziekenhuizen en scholen.

De totale losgeldeisen die de leden van deze drie wereldwijde ransomware-campagnes naar verluidt aan hun slachtoffers hebben gesteld, bedragen maar liefst $ 400 miljoen, terwijl het totale aantal losgeldbetalingen aan slachtoffers maar liefst $ 200 miljoen bedraagt.

Grote aanvallen... hier wisselt veel geld van eigenaar, Paul.

---

EEND.  Als je iemand probeert op te sporen die lafhartige dingen doet in het buitenland en je denkt: 'Hoe gaan we dit in hemelsnaam doen? Ze zullen hier nooit voor de rechtbank verschijnen”…

Misschien bieden we mensen in het land van die andere persoon wat smerig gewin aan, en zal iemand hem aangeven?

En als ze $ 10 miljoen bieden (nou ja, dat is het maximum dat je kunt krijgen), moeten ze behoorlijk enthousiast zijn.

En ik heb begrepen dat in dit geval de reden dat ze erop gebrand zijn, is dat deze specifieke verdachte ervan wordt beschuldigd, zo niet het hart en de ziel, dan tenminste een van de twee van die dingen te zijn voor drie verschillende ransomware-stammen: LockBit, Hive en Babuk.

Het is bekend dat de broncode van Babuk is gelekt (als ik me niet vergis, door een ontevreden partner), en heeft nu zijn weg gevonden naar GitHub, waar iedereen die wil het coderingsgedeelte kan pakken.

En hoewel het moeilijk is om enige sympathie te voelen voor mensen die in het vizier zijn van de DOJ en de FBI voor ransomware-aanvallen...

…als er nog enige latente druppeltjes sympathie over waren, verdampen ze vrij snel als je begint te lezen over ziekenhuizen en scholen onder hun vele slachtoffers.

---

DOUG.  Ja.

---

EEND.  Dus je moet ervan uitgaan dat het onwaarschijnlijk is dat ze hem ooit in een Amerikaanse rechtbank zullen zien...

… maar ik denk dat ze dachten dat het te belangrijk was om het niet te proberen.

---

DOUG.  Precies.

We zullen, zoals we graag zeggen, dat in de gaten houden.

En terwijl we wachten, ga alsjeblieft een kijkje nemen in onze Staat van Ransomware 2023-rapport.

Het bevat een heleboel feiten en cijfers die u kunt gebruiken om uw organisatie te beschermen tegen aanvallen.

Dat is verkrijgbaar bij: sophos.com/ransomware2023.

---

EEND.  Een kleine hint die je uit het rapport kunt halen: “Verrassing, verrassing; het kost je ongeveer de helft van de kosten om te herstellen van back-ups dan om het losgeld te betalen.”

Want zelfs nadat je het losgeld hebt betaald, heb je nog zoveel werk te doen als je zou hebben om je back-up te herstellen.

En het betekent ook dat u de boeven niet betaalt.

---

DOUG.  Precies!

Oké, we hebben weer een misdaadupdate.

Deze keer zijn het onze vrienden bij iSpoof, die, ik moet toegeven, een redelijk goed marketingteam hebben.

Behalve voor iedereen wordt opgepakt en al dat soort dingen...

Telefoonoplichter kingpin krijgt 13 jaar voor het uitvoeren van de "iSpoof" -service

---

EEND.  Ja, dit is een rapport van de Metropolitan Police in Londen over een zaak die al loopt sinds november 2022, toen we schreef hier voor het eerst over op nakedsecurity.sophos.com.

Een kerel genaamd Tejay Fletcher, en ik denk dat 169 andere mensen die dachten dat ze anoniem waren maar dat niet bleken te zijn, werden gearresteerd.

En deze Fletcher-kerel, die hier de spil van was, is zojuist veroordeeld tot 13 jaar en 4 maanden gevangenisstraf, Doug.

Dat is een behoorlijk grote zin volgens de normen van elk land!

En de reden is dat het bij deze service allemaal ging om het helpen van andere cybercriminelen, in ruil voor bitcoinage, om slachtoffers zeer geloofwaardig op te lichten.

Je had geen technische vaardigheid nodig.

U kunt zich gewoon aanmelden voor de service en vervolgens beginnen met bellen waarbij u kunt kiezen welk nummer aan de andere kant wordt weergegeven.

Dus als u vermoedt dat iemand bankiert bij XYZ Banking Corporation, kunt u hun telefoon laten oplichten door te zeggen: "Inkomend gesprek van XYZ Banking Corporation", en vervolgens uw schip openen.

Uit de toenmalige rapporten van de National Crime Agency blijkt dat hun 'klanten' miljoenen telefoontjes hebben gepleegd via deze dienst. en ze hadden zoiets als een slagingspercentage van 10%, waarbij succes wordt gemeten dat de beller minstens een minuut aan de lijn was.

En als je denkt dat iets oplichterij is… dan hang je best snel op, nietwaar?

---

DOUG.  Een minuut is lang!

---

EEND.  En dat betekent dat ze de persoon waarschijnlijk aan de haak hebben geslagen.

En je kunt zien waarom, want alles lijkt geloofwaardig.

Als u niet weet dat het nummer van de beller-ID (of Calling Line Identification) dat op uw telefoon verschijnt, niets meer is dan een hint, dat iedereen iets kan invoeren en dat iedereen met uw ergste belangen die u wil stalken kunnen, voor een bescheiden maandelijks bedrag, een dienst inkopen die hen zal helpen dit automatisch te doen...

Als je niet weet dat dat het geval is, zul je waarschijnlijk op je hoede zijn, helemaal naar beneden als dat telefoontje binnenkomt en zegt: 'Ik bel van de bank. Dat zie je aan het nummer. O jee, er is gefraudeerd op je account”, en dan haalt de beller je over om van alles te doen waar je anders geen moment naar zou luisteren.

Het bereik van deze dienst, het grote aantal mensen dat er gebruik van maakte (hij had blijkbaar tienduizenden "klanten") en het enorme aantal telefoontjes en de hoeveelheid aangerichte financiële schade, die in de miljoenen liep, is de reden waarom hij kreeg zo'n zware straf.

---

DOUG.  Een deel van de reden dat ze zoveel klanten konden aantrekken, is dat dit op een openbare website stond.

Het was niet op het dark web en het was behoorlijk gelikte marketing.

Als je naar het artikel gaat, is er een marketingvideo van 53 seconden met een professionele voice-over en enkele leuke animaties.

Het is een vrij goed gemaakte video!

---

EEND.  Ja!

Ik zag er één typefout in... ze schreven "end to encryption" in plaats van "end-to-end encryptie", wat me opviel omdat het nogal ironisch was.

Omdat het hele uitgangspunt van die video is: "Hé, als klant ben je volledig anoniem."

Daar hebben ze een grote pitch van gemaakt.

---

DOUG.  Ik denk dat het waarschijnlijk een "einde aan encryptie" was. [LACHT]

---

EEND.  Ja... je was misschien anoniem voor je slachtoffers, maar je was niet anoniem voor de dienstverlener.

Blijkbaar besloot de politie, in ieder geval in het VK, om te beginnen met iedereen die al meer dan £ 100 aan Bitcoins had uitgegeven met de service.

Er kunnen dus mensen zijn die hiermee bezig zijn, of het slechts voor een paar dingen hebben gebruikt, die nog steeds op de lijst staan.

De politie wil dat mensen weten dat ze bovenaan zijn begonnen en naar beneden werken.

De anonimiteit beloofd in de video was een illusie.

---

DOUG.  Welnu, we hebben enkele tips, en we hebben deze tips al eerder gezegd, maar dit zijn geweldige herinneringen.

Waaronder een van mijn favorieten, omdat ik denk dat mensen er gewoon van uitgaan dat nummerherkenning een nauwkeurige verslaggever is…. tip nummer één is: Behandel nummerherkenning als niets meer dan een hint.

Wat bedoel je daarmee, Paulus?

---

EEND.  Als je nog steeds slakkenpost bij je thuis krijgt, weet je dat als je een envelop krijgt, je adres op de voorkant staat en meestal, als je hem omdraait, op de achterkant van de envelop staat een afzenderadres .

En iedereen weet dat de afzender mag kiezen wat erop staat... het kan echt zijn; het zou allemaal een pak leugens kunnen zijn.

Dat is hoeveel u kunt vertrouwen op nummerweergave.

En zolang je dat in gedachten houdt en het als een hint beschouwt, zit je goed.

Maar als het verschijnt en zegt "XYZ Banking Corporation" omdat de boeven opzettelijk een nummer hebben gekozen dat u speciaal in uw contactenlijst hebt gezet om u te vertellen dat het de bank is ... dat betekent niets.

En het feit dat ze je beginnen te vertellen dat ze van de bank zijn, betekent niet dat ze dat ook zijn.

En dat gaat mooi over in onze tweede tip, nietwaar, Doug?

---

DOUG.  Ja.

Start officiële gesprekken altijd zelf met een nummer dat u kunt vertrouwen.

Dus als u een van deze telefoontjes krijgt, zegt u: "Ik bel u zo terug", en gebruikt u het nummer op de achterkant van uw creditcard.

---

EEND.  Absoluut.

Als ze je op de een of andere manier hebben doen geloven dat dit het nummer is dat je moet bellen... doe het dan niet!

Zoek het zelf maar uit.

Zoals u al zei, voor het melden van zaken als bankfraude of bankproblemen is het nummer op de achterkant van uw creditcard een goed begin.

Dus ja, wees heel, heel voorzichtig.

Het is heel gemakkelijk om je telefoon te geloven, want 99% van de tijd zal dat nummer van de beller de waarheid vertellen.

---

DOUG.  Oké, last but zeker not least, niet zo technisch, maar meer een zachtere vaardigheid, tip nummer drie is: Wees er voor kwetsbare vrienden en familie.

Dat is een goeie.

---

EEND.  Er zijn duidelijk mensen die meer risico lopen op dit soort zwendel.

Het is dus belangrijk dat u mensen in uw vrienden- en familiekring, waarvan u denkt dat ze risico lopen op dit soort dingen, laat weten dat ze bij enige twijfel contact met u moeten opnemen en u om advies moeten vragen .

Zoals elke timmerman of schrijnwerker je zal vertellen, Douglas: "Twee keer meten, één keer knippen."

---

DOUG.  Ik hou van dat advies. [LACHT]

Ik heb de neiging om één keer te meten, driemaal te snijden, dus volg mijn voorbeeld daar niet.

---

EEND.  Ja. Je kunt niet "dingen langer knippen", hè? [GELACH]

---

DOUG.  Nee, dat kan je zeker niet!

---

EEND.  We hebben het allemaal geprobeerd. [LACHT]

---

DOUG.  Dat zijn twee updates; een te gaan.

We hebben heb een update… als je je herinnert dat Apple ons eerder deze maand verraste met een nieuwe Rapid Security Response, maar er stond niet in wat de updates eigenlijk oplosten, maar nu weten we het, Paul.

Het geheim van Apple is bekend: 3 zero-days opgelost, dus zorg ervoor dat je nu patcht!

---

EEND.  Ja.

Twee 0-dagen, plus een bonus 0-dag die niet eerder vaststond.

Dus als je, wat was het, macOS 13 Ventura (de nieuwste) had, en als je iOS/iPadOS 16 had, kreeg je de Rapid Security Response

Je hebt die update "versienummer (a)" en "hier is het detail over deze update: (lege tekstreeks)".

Dus je had geen idee wat er was opgelost.

En u dacht waarschijnlijk, net als wij, “Ik wed dat het een zero-day is in WebKit. Dat betekent een drive-by installatie. Dat betekent dat iemand het zou kunnen gebruiken voor spyware.”

Kijk, dat waren precies die twee 0-dagen.

En er was een derde zero-day, wat, zo je wilt, een ander deel van die vergelijking was, of een ander type exploit dat vaak samengaat met de eerste twee zero-days die werden opgelost.

Dit was een Google Threat Response/Amnesty International-ding dat voor mij zeker naar spyware ruikt... iemand die een echt incident onderzoekt.

Die bug was wat je in het jargon een "sandbox escape" noemt.

Het klinkt alsof de drie nuldagen die nu voor alle Apple-platforms zijn vastgesteld, waren ...

Een die een oplichter in staat zou kunnen stellen erachter te komen wat zich waar op uw computer bevond.

Met andere woorden, ze vergroten de kans enorm dat hun volgende exploits zullen werken.

Een tweede exploit die op afstand code uitvoert in uw browser, zoals ik al zei, geholpen en bevorderd door dat gegevenslek in de eerste bug die u zou kunnen vertellen welke geheugenadressen u moet gebruiken.

En dan een derde nuldag waarop je in wezen uit de browser kunt springen en veel erger kunt doen.

Nou, ik ga zeggen, Patch vroeg, patch vaak, ben ik niet, Doug?

---

DOUG.  Doe het!

Ja.

---

EEND.  Dat zijn niet de enige redenen waarom u deze patches wilt.

Er zijn ook een aantal proactieve oplossingen.

Dus zelfs als het niet de nuldagen waren, zou ik het toch nog een keer zeggen.

---

DOUG.  Oké, geweldig.

Ons laatste verhaal van de dag… Ik had hier mijn eigen kleine intro geschreven, maar die gooi ik in de prullenbak en ik ga mee met jouw kop, want die is veel beter.

En het vat echt de essentie van dit verhaal samen: PyPI open source code-repository gaat om met manische malware maalstroom.

Dat is wat er gebeurde, Paul!

PyPI open-source code-repository gaat om met manische malware maalstroom

---

EEND.  Ja, ik moet toegeven dat ik aan die kop moest werken om hem precies op twee regels in de nakedsecurity.sophos.com WordPress-sjabloon te laten passen. [GELACH]

Het PyPI-team is hier nu overheen en ik denk dat ze alle spullen kwijt zijn.

Maar het lijkt erop dat iemand een geautomatiseerd systeem had dat net nieuwe accounts aan het genereren was, en vervolgens in die accounts nieuwe projecten aan het maken was...

...en upload gewoon vergiftigd bronpakket na vergiftigd bronpakket.

En vergeet niet dat je in de meeste van deze repositories (PyPI is een voorbeeld) malware kunt hebben in de eigenlijke code die je wilt downloaden en later als module in je code wilt gebruiken (met andere woorden, de programmeerbibliotheek), en/ of u kunt malware in het eigenlijke installatieprogramma of updatescript hebben dat het ding aan u levert.

Dus helaas is het voor oplichters gemakkelijk om een ​​legitiem project te klonen, het een realistisch ogende naam te geven en te hopen dat als je het per ongeluk downloadt...

...dan nadat je het hebt geïnstalleerd, en als je het eenmaal in je software gaat gebruiken, en als je het eenmaal naar je klanten gaat verzenden, komt het allemaal goed en zul je er geen malware in vinden.

Omdat de malware uw computer al heeft geïnfecteerd door in het script te zitten dat werd uitgevoerd om het ding in de eerste plaats correct te installeren.

Dus er is een dubbele klap voor de boeven.

Wat we niet weten is...

Hoopten ze zoveel besmettelijke pakketten te uploaden dat sommigen van hen niet zouden worden opgemerkt, en dat ze een kans zouden hebben dat er een paar achter zouden blijven?

Of hoopten ze eigenlijk dat ze het PyPI-team zo bang konden maken dat ze de hele site uit de lucht moesten halen, en dat zou een volledige denial of service-aanval zijn?

Geen van beide was het resultaat.

Het PyPI-team kon de aanval afwenden door slechts enkele aspecten van de site af te sluiten.

Je kon namelijk een tijdje geen nieuw account aanmaken, en je kon geen nieuw project toevoegen, maar je kon nog steeds oude krijgen.

En dat gaf ze net genoeg ademruimte, gedurende een periode van 24 uur, zodat het lijkt alsof ze in staat waren om helemaal op te ruimen.

---

DOUG.  We hebben wel wat advies voor aanvallen als deze waarbij het niet op tijd wordt opgeruimd.

Dus als je uit repositories zoals deze haalt, is het eerste wat je kunt doen: Kies geen repositorypakket alleen omdat de naam er goed uitziet.

Dat is een tactiek die de aanvallers vaak gebruiken.

---

EEND.  Douglas inderdaad.

Het is eigenlijk wat we in het jargon "typosquatting" voor websites noemden.

In plaats van te registreren example.com, zou je iets kunnen registreren als examole.com, omdat O naast P op het toetsenbord staat, in de hoop dat iemand "voorbeeld" gaat typen, een kleine fout maakt en u hun verkeer ophaalt en ze naar een vergelijkbare site leidt.

Wees voorzichtig met wat je kiest.

Het lijkt een beetje op ons advies over nummerweergave: het vertelt je iets, maar niet zoveel.

En voor de rest moet je echt je due diligence doen.

---

DOUG.  Zoals: Download niet blindelings pakketupdates in uw eigen ontwikkel- of bouwsystemen.

---

EEND.  Ja, DevOps en Continuous Integration zijn tegenwoordig helemaal hot, nietwaar, waar je alles automatiseert?

En er is iets aantrekkelijks aan te zeggen: "Nou, ik wil niet achterop raken, dus waarom vertel ik mijn bouwsysteem niet gewoon om mijn code uit mijn lokale repository te halen waar ik voor zorg, en dan gewoon altijd automatisch de nieuwste versie ophalen uit de openbare opslagplaats van alle code van andere mensen die ik gebruik?”

Het probleem is dat als een van die pakketten van derden die u gebruikt, wordt gepwnd, uw buildsysteem zichzelf volledig automatisch in de problemen zal brengen.

Dus doe dat niet als je het mogelijk kunt vermijden.

---

DOUG.  Wat ons leidt naar: Maak het aanvallers niet gemakkelijk om in uw eigen pakketten te komen.

---

EEND.  Ja.

Niemand kan iemand stoppen die vastbesloten is om met de hand 2000 nieuwe PyPI-accounts op te zetten en 1000 nieuwe pakketten in elk daarvan te stoppen.

Maar je kunt aanvallen uitvoeren waarbij boeven bestaande pakketten overnemen en ze in gevaar brengen... je kunt je steentje bijdragen om de rest van de gemeenschap te helpen door het zo moeilijk mogelijk te maken voor je projecten om in gevaar te komen.

Ga eens kijken naar de beveiliging die u op dit account of op dat pakket heeft, voor het geval iemand besluit dat het een meesterlijke plaats zou zijn om slechte software in te voegen die andere mensen zou kunnen beïnvloeden... en dat zou natuurlijk op zijn minst tijdelijk uw reputatie aantasten tijd.

---

DOUG.  En onze laatste tip is misschien in dovemansoren gericht, maar als het genoeg is om een ​​paar van gedachten te doen veranderen, hebben we hier vandaag goed werk verricht: Wees geen je-weet-wat.

---

EEND.  Bewijzen hoe slim je bent door ons allemaal te herinneren aan aanvallen op de toeleveringsketen door onnodig werk te maken voor vrijwilligersteams ... zoals de Linux-kernelcrew (ze hebben hier in het verleden last van gehad), PyPI en andere populaire open source-repository's?

Als u een echte reden hebt waarom u denkt dat u hen moet vertellen over een beveiligingsprobleem, zoek dan hun contactgegevens voor het openbaar maken van de beveiliging en neem correct, professioneel en verantwoord contact met hen op.

Wees geen ****.

---

DOUG.  Excelleren.

Oké, goed advies, en terwijl de zon ondergaat in onze show voor vandaag, is het tijd om iets van een van onze lezers te horen.

In de vorige aflevering van de podcast herinner je je misschien dat we het een beetje hadden over de beproevingen en beproevingen van de Apple III-computer. Laten we eens luisteren:

Ik weet niet of dit een stadslegende is of niet, maar ik heb gelezen dat de chips van de vroege [Apple III]-modellen in de fabriek niet goed waren geplaatst en dat ontvangers die problemen meldden, werd verteld de voorkant op te tillen van de computer een paar centimeter van hun bureau en liet hem terug vallen, waardoor ze op hun plaats zouden vallen zoals ze in de eerste plaats hadden moeten zijn. Dat werkte blijkbaar wel, maar was niet de beste reclame voor de kwaliteit van het product.

---

DOUG.  Luisteraar S31064 (niet zeker of dat een echte geboortenaam is) antwoordt:

Dat weet ik niet, maar het bedrijf waar ik destijds voor werkte, gebruikte ze voor offline bibliotheekuitleenterminals. En negen van de tien keer, als er een probleem mee was, was de oplossing om de chips opnieuw te plaatsen.

---

EEND.  Ja, over je moederbord gaan en (gekraak, gekraak) alle chips naar beneden drukken ... dat werd toen als routine-onderhoud beschouwd.

Maar het lijkt erop dat het voor de Apple III niet alleen om routinematig onderhoud of preventief onderhoud ging, maar om een ​​erkende hersteltechniek.

Dus ik was gefascineerd om dat te lezen, Doug.

Iemand die er echt was geweest en dat had gedaan!

---

DOUG.  Nou, heel erg bedankt, beste luisteraar, voor het insturen.

En als je een interessant verhaal, opmerking of vraag hebt die je wilt indienen, lezen we die graag in de podcast.

U kunt een e-mail sturen naar tips@sophos.com, u kunt reageren op een van de artikelen of u kunt contact met ons opnemen op social media: @nakedsecurity.

Dat is onze show voor vandaag; heel erg bedankt voor het luisteren.

Voor Paul Ducklin, ik ben Doug Aamoth, ik herinner je eraan tot de volgende keer om...

---

BEIDE.  Blijf veilig.

[MUZIEK MODEM]