Aşağıda müzik çalar yok mu? Dinlemek direkt olarak Soundcloud'da.

DOUG.  Wi-Fi hack'leri, Dünya Yedekleme Günü ve tedarik zinciri hataları.

Hepsi ve daha fazlası Naked Security podcast'inde.

[MÜZİKAL MODEM]

Podcast'e hoş geldiniz millet.

Ben Doug Aamoth ve o da Paul Ducklin.

Paul, nasılsın?

ÖRDEK.  Bu gece dolunay yolculuğunu iple çekiyorum, Doug!

DOUG.  Şovumuza şununla başlamayı seviyoruz: Teknoloji Tarihinde Bu Haftave aralarından seçim yapabileceğimiz birçok konu var.

Çarkı çevireceğiz.

Bugünkü konular şunları içeriyor: ayın yörüngesine giren ilk uzay aracı, 1966; ilk cep telefonu görüşmesi, 1973; Microsoft kuruldu, 1975; Netscape'in doğuşu, 1994; SATAN (ağ tarayıcısı, adam değil), 1995… Sanırım adam ondan önce geldi.

Ve 3.1'de piyasaya sürülen Windows 1992.

Çarkı burada çevireceğim, Paul…

[FX: TEKERLEK DÖNÜYOR]

ÖRDEK.  Hadi, ay - hadi, ay…

..haydi, ayın yörüngesindeki nesne olayı!

[FX: TEKERLEK YAVAŞLAR VE DURUR]

DOUG.  SATAN'ı aldık.

[FX: KORNA PATLAMASI]

Tamam…

ÖRDEK.  Venüseh?

İronik bir şekilde "ışık getiren".

DOUG.  [Kahkahalar] Bu hafta, 05 Nisan 1995'te dünya, potansiyel olarak savunmasız ağları taramak için ücretsiz bir araç olan SATAN: Security Administrator Tool for Analyzing Networks'ü tanıttı.

Tartışmasız değildi elbette.

Çoğu kişi, böyle bir aracı genel kullanıma sunmanın istenmeyen davranışlara yol açabileceğine dikkat çekti.

Ve Paul, bunun gibi tarama araçlarının ilk günlerinden bu yana ne kadar yol kat ettiğimizi bağlamına oturtabileceğini umuyorum...

ÖRDEK.  Pekala, sanırım birçok yönden hâlâ tartışmalılar, Doug, değil mi?

İnsanların bugünlerde alışkın olduğu araçları düşünürseniz, NMap (ağ eşleştiricisi) gibi ağ üzerinden dışarı çıkıp denediğiniz ve öğrendiğiniz şeyler…

…Hangi sunucular var?

Hangi portları dinliyorlar?

Hatta belki bir iğne batırıp “Bu limanda ne işleri var? Bu gerçekten bir web bağlantı noktası mı, yoksa onu başka türden bir trafiği yönlendirmek için gizlice kullanıyorlar mı?"

Ve benzerleri.

Sanırım çoğu güvenlik aracının iyi ve karanlık tarafları olduğunu yeni anladık ve mesele daha çok onları nasıl ve ne zaman kullandığınız ve bunu yapmak için - ahlaki, yasal ve teknik - yetkinizin olup olmadığıyla ilgili. ya da değil.

DOUG.  Tamam, çok iyi.

Bu büyük tedarik zinciri sorunu hakkında konuşalım.

“Başka bir gün, başka bir tedarik zinciri sorunu” demekten çekiniyorum ama sanki tedarik zinciri sorunlarından çok bahsediyoruz gibi geliyor.

Bu sefer telefon şirketi 3CX.

Peki burada ne oldu?

Tedarik zinciri hatası, 3CX telefon uygulaması kullanıcılarını riske atıyor

ÖRDEK.  Sanırım haklısın, Doug.

Bu bir tür "tekrar başlıyoruz" hikayesi.

İlk kötü amaçlı yazılım, 3CX şirketinin kendisi tarafından oluşturulmuş, imzalanmış veya yetki verilmiş gibi görünüyor.

Başka bir deyişle, "Hey, işte gerçek anlaşma gibi görünen bir uygulama, ancak tamamen sahte bir siteden, daha önce hiç duymadığınız alternatif bir tedarikçiden geliyor" sorusu değildi.

Görünüşe göre dolandırıcılar, 3CX'in kullandığı kaynak kod deposunun bir kısmına - görünüşe göre çok popüler olan devasa bir programlama çerçevesi olan Electron adlı bir şeyin kodunu sakladıkları kısma - bir şekilde sızabilmişler. .

Zoom ve Visual Studio Code gibi ürünler tarafından kullanılır… Bu ürünlerin neden yüzlerce megabayt boyutunda olduğunu merak ettiyseniz, bunun nedeni, kullanıcı arayüzünün, görsel etkileşimin ve web oluşturma işlemlerinin çoğunun bu Elektron alt tabakası.

Yani, normalde bu sadece emdiğiniz bir şeydir ve üstüne kendi özel kodunuzu eklersiniz.

Görünüşe göre 3CX'in Electron versiyonunu sakladığı zula zehirlenmiş.

Şimdi, sanırım dolandırıcılar, “3CX'in her gün üzerinde çalıştıkları kendi özel kodunu zehirlersek, kod incelemesinden birinin fark etmesi çok daha olasıdır. Tescillidir; bu konuda sahiplenici hissediyorlar. Ama bu dev kod denizine her seferinde emdikleri ve büyük ölçüde inandıkları bazı tehlikeli şeyler koyarsak... belki bundan paçayı sıyırırız."

Ve tam olarak böyle olmuş gibi görünüyor.

Görünüşe göre virüs bulaşan kişiler ya 3CX telefon uygulamasını indirip virüs bulaştığı pencerede onu yeni yüklemişler ya da resmi olarak önceki bir sürümden güncelleme yapmışlar ve kötü amaçlı yazılımı almışlar.

Ana uygulama bir DLL yükledi ve sanırım bu DLL GitHub'a gitti ve masum bir simge dosyası gibi görünen bir şeyi indirdi, ama değildi.

Aslında bir komut ve kontrol sunucuları listesiydi ve sonra bu komut ve kontrol sunucularından birine gitti ve dolandırıcıların dağıtmak istediği *gerçek* kötü amaçlı yazılımı indirdi ve doğrudan belleğe yerleştirdi.

Böylece bu asla bir dosya olarak görünmedi.

Farklı araçların bir karışımı kullanılmış olabilir; yapabileceğin Hakkında okumak news.sophos.com bir bilgi hırsızıdır.

Başka bir deyişle, aşçılar bilgisayarınızdan bilgi emmenin peşindeler.

2. Güncelleme: DLL yandan yükleme saldırısı altındaki 3CX kullanıcıları: Bilmeniz gerekenler

DOUG.  Pekala, şuna bir bak.

Paul'ün dediği gibi, Çıplak Güvenlik ve haberler.sophos.com ihtiyacınız olan her şeyi içeren iki farklı makaleye sahip olun.

Pekala, kötü adamların başlangıçta tüm pislikleri enjekte ettiği bir tedarik zinciri saldırısından...

…sonunda bilgi çıkarmaya çalıştıkları bir WiFi hackine.

Kısa bir an için de olsa Wi-Fi şifrelemesinin nasıl atlanacağı hakkında konuşalım.

Araştırmacılar, Wi-Fi şifrelemesini atlayabileceklerini iddia ediyorlar (en azından kısaca)

ÖRDEK.  Evet, bu, Belçika ve ABD'den bir grup araştırmacı tarafından yayınlanan büyüleyici bir makaleydi.

USENIX 2023 Konferansında sunulacak olan bir makalenin ön baskısı olduğuna inanıyorum.

Bir tür korkak isim buldular… onu çağırdılar çerçeveleme çerçevelerisözde kablosuz çerçevelerde veya kablosuz paketlerde olduğu gibi.

Ama bence alt başlık, kısa açıklama biraz daha anlamlı ve şöyle diyor: "İletim sıralarını manipüle ederek Wi-Fi şifrelemesini atlamak."

Ve çok basit bir şekilde Doug, istemci yazılımınız veya donanımınız geçici olarak kullanımdan kaldırıldığında, size daha yüksek kalitede hizmet sunmak için erişim noktalarının sayısının veya çoğunun nasıl davranacağıyla ilgilidir.

"Neden kalan trafiği kurtarmıyoruz, böylece yeniden ortaya çıkarlarsa, kaldıkları yerden sorunsuz bir şekilde devam etmelerine izin verebiliriz ve herkes mutlu olur?"

Tahmin ettiğiniz gibi, bir şeyleri sonraya saklarken ters gidebilecek çok şey var…

…ve bu araştırmacıların bulduğu tam olarak buydu.

DOUG.  Pekala, bunu gerçekleştirmenin iki farklı yolu var gibi görünüyor.

Biri toptan bağlantıyı kesiyor, diğeri ise uyku moduna geçiyor.

O halde önce “uyku modu” versiyonundan bahsedelim.

ÖRDEK.  Görünüşe göre WiFi kartınız “Hey, güç tasarrufu moduna geçeceğim” kararı verirse, erişim noktasını özel bir çerçeve içinde söyleyebilir (böylece saldırı adı çerçeveleme çerçeveleri)… “Hey, ben biraz uyuyacağım. Bu yüzden, muhtemelen birazdan uyanıp tekrar çevrimiçi olacağım gerçeğiyle nasıl başa çıkmak istediğinize siz karar verin."

Ve dediğim gibi, birçok erişim noktası kalan trafiği sıraya alacaktır.

Açıkçası, bilgisayarınız uykudaysa yanıtlanması gereken herhangi bir yeni istek olmayacaktır.

Ancak bir web sayfasını indirmenin ortasında olabilirsiniz ve henüz tam olarak bitmemiş olabilir, bu nedenle, güç tasarrufu modundan çıktığınızda, web sayfasının son birkaç tanesini iletmeyi bitirmiş olması güzel olmaz mıydı? paketler?

Ne de olsa, yalnızca kişinin önce ağda kimlik doğrulaması yapmasını gerektiren ağ anahtarı altında değil, aynı zamanda üzerinde anlaşmaya varılan oturum anahtarı altında da (Wi-Fi şifrelemeniz açıksa) şifrelenmiş olmaları gerekir. o oturum için dizüstü bilgisayarınız.

Ama bir sorun olduğu ortaya çıktı, Doug.

Saldırgan, "Hey, ben uyuyacağım" çerçevesini, donanımınızdan geliyormuş gibi gönderebilir ve bunu yapmak için ağda kimliğinin doğrulanması gerekmez.

Yani oturum anahtarınızı bilmesi gerekmediği gibi, ağ anahtarını da bilmesi gerekmez.

Temelde sadece "Ben Douglas ve şimdi biraz kestireceğim" diyebilir.

DOUG.  [GÜLÜŞLER] Biraz kestirmek isterim!

ÖRDEK.  [GÜLÜŞMELER] Görünüşe göre erişim noktaları *şifreli* paketleri Doug uyandığında Doug'a teslim etmek üzere ara belleğe almıyor.

Paketleri *şifresi çözüldükten sonra* arabelleğe alırlar, çünkü bilgisayarınız tekrar çevrimiçi olduğunda yepyeni bir oturum anahtarı üzerinde anlaşmaya karar verebilir ve bu durumda bu yeni oturum anahtarı altında yeniden şifrelenmeleri gerekir. .

Görünüşe göre, bilgisayarınız uykuda değilken erişim noktası uykuda olduğunu düşünürken, dolandırıcılar devreye girip “Ah, bu arada, hayata geri döndüm. Şifreli bağlantımı iptal et. Şimdi şifresiz bir bağlantı istiyorum, çok teşekkür ederim.”

Böylece erişim noktası, “Ah, Doug uyandı; artık şifreleme istemiyor. Baktığı son şeyden kalan son birkaç paketi herhangi bir şifreleme olmadan boşaltmama izin verin.

Bunun üzerine saldırgan onları koklayabilir!

Ve açıkça, spesifikasyonlar dahilinde görünse de, bunun gerçekten olmaması gerekir.

Bu nedenle, bir erişim noktasının bu şekilde çalışması yasaldır ve en azından bazıları bunu yapar.

DOUG.  İlginç!

TAMAM. ikinci yöntem, anahtar değiştirme gibi görünen şeyleri içerir…

ÖRDEK.  Evet, benzer bir saldırı ama farklı bir şekilde yönetiliyor.

Bu, örneğin bir ofiste hareket ediyorsanız, bilgisayarınızın ara sıra bir erişim noktasından bağlantısını kesebileceği ve başka bir erişim noktasıyla yeniden ilişkilendirebileceği gerçeği etrafında döner.

Şimdi, uyku modunda olduğu gibi, o bağlantıyı kesme (veya bir bilgisayarı ağdan atma)… bu, yine bir sahtekar gibi davranan biri tarafından yapılabilir.

Uyku modu saldırısına benzer, ama görünüşe göre bu durumda yaptıkları şey, ağla yeniden ilişkilendirmek.

Bu, ağ anahtarını bilmeleri gerektiği anlamına gelir, ancak birçok ağ için bu neredeyse bir kamu kaydı meselesidir.

Ve dolandırıcılar tekrar devreye girerek "Hey, şifrelemeyi yapmak için şimdi kontrol ettiğim bir anahtarı kullanmak istiyorum" diyebilir.

Ardından, yanıt geldiğinde, bunu görecekler.

Yani sızmış olabilecek küçücük bir bilgi parçası…

…bu dünyanın sonu değil ama olmamalı ve bu nedenle yanlış ve potansiyel olarak tehlikeli olarak kabul edilmelidir.

DOUG.  Bu konuda birkaç yorum ve soru aldık.

Ve burada, Amerikan televizyonunda, [DRAMATİK SES] “Hiçbir koşulda asla bağlanamazsınız – buna cüret etmeyin! – VPN kullanmadan halka açık bir Wi-Fi ağına.

Bu da, televizyondaki reklamların doğası gereği, muhtemelen biraz abartılı olduğunu düşünmeme neden oluyor.

Peki, halka açık erişim noktaları için bir VPN kullanma konusundaki düşünceleriniz nelerdir?

ÖRDEK.  Açıkçası bu sorunu ortadan kaldıracaktır, çünkü bir VPN fikri, bilgisayarınızın içinde esasen sanal, yazılım tabanlı, tüm trafiği karıştıran ve ardından erişim noktasından başka bir noktaya dağıtan bir ağ kartı olmasıdır. trafiğin şifresinin çözüldüğü ve internete konulduğu ağ.

Bu, birisi bu Çerçeveleme Çerçeveleri saldırılarını ara sıra paketleri sızdırmak için kullansa bile, yalnızca bu paketlerin (örneğin, bir HTTPS sitesini ziyaret ettiğiniz için) değil, aynı zamanda sunucu gibi paketin meta verilerinin de potansiyel olarak şifreleneceği anlamına gelir. IP adresi vb. de şifrelenmiş olacaktır.

Dolayısıyla, bu anlamda, VPN'ler harika bir fikir çünkü bu, hiçbir erişim noktasının trafiğinizin içeriğini gerçekten görmediği anlamına gelir.

Bu nedenle, bir VPN… *bu* sorunu çözer, ancak sizi *başka* sorunlara açmadığından emin olmalısınız, yani artık başka biri yalnızca trafiğinizi değil, *tüm* trafiğinizi gözetliyor olabilir. tek bir yanıtın sonunda ara sıra, arta kalan, sıraya alınmış kareler.

DOUG.  Şimdi 31 Mart 2023 Dünya Yedekleme Günü'nden bahsedelim.

Gelecek 31 Mart'a kadar beklemeniz gerektiğini düşünmeyin... hala şimdi katılabilirsiniz!

En sevdiğimden başlayarak beş ipucumuz var: Erteleme, bugün yap, Paul.

Dünya Yedekleme Günü yine geldi – değerli verilerinizi güvende tutmak için 5 ipucu

ÖRDEK.  Çok basit bir şekilde ifade etmek gerekirse, pişman olacağınız tek yedekleme yapmadığınızdır.

DOUG.  Ve bir harika daha: Az ama öz.

Başka bir deyişle istifçi olmayın.

ÖRDEK.  Bazı insanlar için bu zor.

DOUG.  Kesinlikle öyle.

ÖRDEK.  Dijital hayatınız böyle gidiyorsa, muhtemelen bir daha bakmayacağınız şeylerle dolup taşıyorsa…

…o zaman, yedekleme yapmak istediğinizde içinde bulunduğunuz telaştan bağımsız olarak, *ihtiyacınız olmayan şeylerden kurtulmak* için biraz zaman ayırmaya ne dersiniz?

Evde, dijital hayatınızı düzene sokacaktır.

İş yerinde bu, ihtiyacınız olmayan ve ihlal edilmesi durumunda GDPR gibi kurallarla başınızı büyük olasılıkla daha büyük bir belaya sokacak, çünkü gerekçelendiremeyeceğiniz veya hatırlayamadığınız verilerle baş başa kalmayacağınız anlamına gelir. neden ilk etapta topladın?

Ve bir yan etki olarak, yedeklemelerinizin daha hızlı gideceği ve daha az yer kaplayacağı anlamına da gelir.

DOUG.  Elbette!

Ve işte herkesin düşünmediğini ve belki de hiç düşünmemiş olabileceğini garanti edebileceğim bir tane.

Üç numara: Uçuş sırasında şifreleyin; beklemedeyken şifreleyin.

Bu ne anlama geliyor?

ÖRDEK.  Herkes, sabit diskinizi şifrelemenin iyi bir fikir olduğunu bilir... içeri girmek için BitLocker'ınızı veya Dosya Kasası şifrenizi.

Ayrıca pek çok insan, yapabilirlerse, örneğin çıkarılabilir sürücülerde yaptıkları yedeklemeleri şifreleme alışkanlığına sahiptir, böylece onları evdeki bir dolaba koyabilirler, ancak bir hırsızlık olursa ve birisi sürücüyü çalarsa, o kişi parola korumalı olduğu için gidip verileri okuyamaz.

Aynı zamanda, depolanan verileri şifreleme zahmetine girerken, örneğin bilgisayarınızdan *çıkmadan önce* bir bulut yedeklemesi yapıyorsanız veya bilgisayarınızdan çıktığı gibi.

Bu, bulut hizmeti ihlal edilirse verilerinizi açığa çıkaramayacağı anlamına gelir.

Ve bir mahkeme emri altında bile verilerinizi kurtaramaz.

DOUG.  Pekala, sıradaki kulağa basit geliyor ama o kadar kolay değil: Güvenli tutmak.

ÖRDEK.  Evet, birçok fidye yazılımı saldırısında, kurbanların ya Birim Gölge Kopyası gibi şeylerde ya da birkaç dakikada bir otomatik olarak eşitlenen bulut hizmetlerinde canlı yedeklemeleri olduğu için kolayca ödeme yapmadan kurtulacaklarını düşündüklerini görüyoruz.

Ve şöyle düşünürler, “On dakikadan fazla çalışmayı asla kaybetmeyeceğim. Fidye yazılımı tarafından vurulursam, bulutta oturum açacağım ve tüm verilerim geri gelecek. Dolandırıcılara para ödememe gerek yok!”

Sonra gidip bir baktılar ve fark ettiler ki, "Ah, kahretsin, önce dolandırıcılar girdi; o yedekleri nerede sakladığımı buldular; ve ya onları çöple doldurdular ya da verileri başka bir yere yönlendirdiler.

Yani artık verilerinizi çaldılar ve sizde yok ya da saldırıyı gerçekleştirmeden önce yedeklerinizi bozdular.

Bu nedenle, çevrimdışı ve bağlantısı kesilmiş bir yedekleme… bu harika bir fikir.

Biraz daha az kullanışlıdır, ancak dolandırıcıların içeri girmesi durumunda yedeklerinizi zarar görmesini önler.

Ve bu, bir fidye yazılımı saldırısında, canlı yedekleriniz dolandırıcılar tarafından kasıtlı olarak çöpe atıldıysa, çünkü onlar onları fidye yazılımını serbest bırakmadan önce bulmuşlardır, gidip malzemeleri kurtarmak için ikinci bir şansınız olur.

Ve tabii ki yapabiliyorsanız, o çevrimdışı yedeği tesis dışında bir yerde saklayın.

Bunun anlamı, örneğin bir yangın, gaz sızıntısı veya başka bir felaket nedeniyle iş yerinize giremezseniz...

…yedeklemeye gerçekten başlayabilirsiniz.

DOUG.  Ve son olarak, kesinlikle, olumlu olarak, kesinlikle önemsiz değil: Geri yükleme, yedeklemenin bir parçasıdır.

ÖRDEK.  Bazen yedeklemeye ihtiyaç duymanızın nedeni, dolandırıcılara fidye yazılımı için para ödemekten kaçınmak değildir.

Örneğin, kayıp bir dosyayı kurtarmak şu anda önemli olabilir, ancak yarın çok geç olacak.

Ve değerli yedeğinizi geri yüklemeye çalışırken olmasını isteyeceğiniz en son şey, köşeleri kestirmek, tahminde bulunmak veya gereksiz riskler almak zorunda kalmaktır.

Yani: büyük miktarda yedeğiniz olsa bile, tek tek dosyaları geri yükleme alıştırması yapın.

*Bir* kullanıcı için yalnızca *bir* dosyayı ne kadar hızlı ve güvenilir bir şekilde alabileceğinizi görün, çünkü bazen bu, geri yüklemenizin neyle ilgili olduğunun anahtarı olacaktır.

Ayrıca, büyük onarımlar yapmanız gerektiğinde akıcı ve akıcı olduğunuzdan emin olun.

Örneğin, bilgisayarı fidye yazılımı tarafından çöpe atıldığı, çalındığı veya Sidney Limanı'na düştüğü veya kaderi her ne olursa olsun, belirli bir kullanıcıya ait *tümünü* geri yüklemeniz gerektiğinde.

DOUG.  [GÜLER] Çok iyi.

Ve günlük programımızda güneş batmaya başlarken, Dünya Yedekleme Günü makalesiyle ilgili okuyucularımızdan haber alma zamanı.

Richard yazıyor, "Kesinlikle iki Dünya Yedekleme Günü olmalı?"

ÖRDEK.  Oradaki cevabımı gördün.

[:davul emojisi:] [:zil emojisi:] koydum.

DOUG.  [GÜLER] Evet efendim!

ÖRDEK.  Bunu yapar yapmaz düşündüm, biliyor musun?

DOUG.  Olmalı!

ÖRDEK.  Bu gerçekten bir şaka değil.

Bu derin ve önemli gerçeği özetliyor… [GÜLER]

Naked Security ile ilgili o makalenin sonunda söylediğimiz gibi, “Unutmayın: Dünya Yedekleme Günü, her yıl gerçekten bir yedekleme yaptığınız tek gün değildir. Dijital yaşam tarzınız için bir yedekleme planı oluşturduğunuz gün."

DOUG.  Mükemmel.

Pekala, bunu gönderdiğin için çok teşekkür ederim, Richard.

Bununla ben dahil birçok insanı güldürdün!

ÖRDEK.  Bu harika.

DOUG.  Gerçekten iyi.

ÖRDEK.  Şimdi tekrar gülüyorum… yorum ilk geldiğinde olduğu kadar beni eğlendiriyor.

DOUG.  Mükemmel.

Tamam, göndermek istediğiniz ilginç bir hikayeniz, yorumunuz veya sorunuz varsa, onu podcast'te okumaktan memnuniyet duyarız.

Tips@sophos.com adresine e-posta gönderebilir, makalelerimizden herhangi biri hakkında yorum yapabilir veya sosyal medyadan bize ulaşabilirsiniz: @NakedSecurity.

Bugünkü programımız bu; dinlediğiniz için çok teşekkürler.

Paul Ducklin için, ben Doug Aamoth, bir dahaki sefere kadar size hatırlatıyorum…

HER İKİSİ DE.  Güvende kalın!

[MÜZİKAL MODEM]