Aşağıda müzik çalar yok mu? Dinlemek direkt olarak Soundcloud'da.

DOUG.  Yönlendirici sorunları, mega sorunda Megaupload ve daha fazla MOVEit kargaşası.

Hepsi ve daha fazlası Naked Security podcast'inde.

[MÜZİKAL MODEM]

Podcast'e hoş geldiniz millet.

Ben Doug Aamoth'um; o Paul Ducklin'dir.

Paul, nasılsın?

ÖRDEK.  İngiliz ve İngiliz Milletler Topluluğu İngilizcesi dinleyicilerimiz için sadece bir anlam ayrımı, Doug…

DOUG.  "Yönlendirici." [BK TARZI 'ROOTER' OLARAK BELİRTİLMİŞTİR, ABD TARZI 'ROWTER' OLARAK DEĞİL]

ÖRDEK.  Ağaç işleme araçlarını kastetmiyorsun sanırım?

DOUG.  HAYIR! [GÜLER]

ÖRDEK.  Zamanında yama yapılmazlarsa dolandırıcıların ağınıza girmesine izin veren şeyleri mi kastediyorsunuz?

DOUG.  Evet!

ÖRDEK.  'KÖKLEYİCİ' olarak adlandırdığımız şeyin davranışı, ağınıza daha çok bir 'ROWTER'ın masanızın kenarına yapacağı şeyi nerede yapar? [GÜLER]

DOUG.  Kesinlikle! [GÜLER]

Birazdan buna geleceğiz.

Ama önce bizim Teknoloji Tarihinde Bu Hafta segmenti.

Paul, bu hafta, 18 Haziran'da, 1979'da: Microsoft'un 16 işlemciler için BASIC programlama dilinin bir sürümünü kullanıma sunmasıyla 8086 bit bilgi işlem için büyük bir adım.

Bu sürüm, 8 bitlik işlemcilerle geriye dönük uyumluydu, bu da Z80 ve 8080 işlemciler için mevcut olan ve halihazırda yaklaşık 200,000 bilgisayarda bulunan BASIC'i, çoğu programcının titremesinde bir ok, Paul yapıyor.

ÖRDEK.  GW-BASIC ne olacaktı!

Bunun doğru olup olmadığını bilmiyorum ama GW-BASIC'in "GEE WHIZZ!" anlamına geldiğini okumaya devam ediyorum. [GÜLER]

DOUG.  Ha! [Kahkahalar]

ÖRDEK.  Bunun doğru olup olmadığını bilmiyorum ama öyle olduğunu düşünmeyi seviyorum.

DOUG.  Pekala, hadi hikayelerimize geçelim.

Haberlerde yer alan şeylere geçmeden önce, dizinin üç bölümünün ilkini duyurmaktan mutluluk duyuyoruz, hatta heyecanlıyız. Fidye Yazılımını Bildiğinizi mi Düşünüyorsunuz?

Bu, Sophos'taki arkadaşlarınızdan 48 dakikalık bir belgesel dizisidir.

“Fidye Yazılımı Belgeseli” – Sophos'tan yepyeni video serisi şimdi başlıyor!

adlı ilk bölüm Siber Suçların Kökenleri, artık şu adreste görüntülenebilir: https://sophos.com/ransomware.

Bölüm 2, denilen Avcılar ve Avlananlar, 28 Haziran 2023'te kullanıma sunulacaktır.

Bölüm 3, Silahlar ve Savaşçılar, 5 Temmuz 2023'te düşecek.

Bir göz atın https://sophos.com/ransomware.

İlk bölümü izledim ve harika.

Yıllardır savaşmaya devam ettiğimiz bu belanın kökenleri hakkında aklındaki tüm soruları yanıtlıyor, Paul.

ÖRDEK.  Ve sıradan dinleyicilerin en sevdiğim sözü (umarım şimdiye kadar bir klişeye dönüştürmemişimdir) olduğunu bilecekleri şeyi çok güzel besliyor: yani: Tarihi hatırlayamayanlar onu tekrar etmeye mahkumdur.

O kişi olma! [GÜLER]

DOUG.  Pekala, suç konusuna devam edelim.

Dört Megaupload kurucusundan ikisi için hapis cezası.

Telif hakkı ihlali burada söz konusu, Paul ve yaklaşık on yıldır yapım aşamasında mı?

Megaupload ikilisi sonunda hapse girecek ama Kim Dotcom savaşıyor…

ÖRDEK.  Evet.

Geçen hafta, "Otobüsler nasıldır biliyor musun? Hiçbiri asırlardır gelmiyor ve sonra üçü aynı anda mı geliyor? [Kahkahalar]

Ama bunu “ikisi birden gelir” şeklinde ayrıştırmak zorunda kaldım…

…ve ben bunu söyler söylemez üçüncüsü geldi. [Kahkahalar]

Ve bu, Yeni Zelanda'dan ya da diğer adıyla Aotearoa'dan.

Megaupload, kötü şöhretli, eski bir sözde "dosya dolabı" hizmetiydi.

Bu, dosyalarınızı kilitleyen fidye yazılımındaki gibi "dosya dolabı" değildir.

Bir spor salonu dolabı gibi bir "dosya dolabı"... daha sonra alabilmek için dosyaları yüklediğiniz bulut yeri.

Bu hizmet, öncelikle ABD'deki FBI bir yayından kaldırma emri aldığı için kaldırıldı ve asıl amacının mega bir *yükleme* hizmeti olmaktan çok bir mega *indirme* hizmeti, iş modeli olduğu iddia edildi. telif hakkı ihlalini teşvik etmeye ve teşvik etmeye dayanıyordu.

Bu işin birincil kurucusu iyi bilinen bir isimdir: Kim Dotcom.

Ve bu gerçekten onun soyadı.

Adını (sanırım aslen Kim Schmitz'di) Kim Dotcom olarak değiştirdi, bu hizmeti yarattı ve Aotearoa mahkemeleri yapması için hiçbir neden olmadığına karar vermesine rağmen, ABD'ye iade edilmek için mücadele ediyor ve etmeye devam ediyor. iade edilmeyecek.

Diğer dördünden biri, Finn Batato adında bir adam, ne yazık ki geçen yıl kanserden öldü.

Ancak Megaupload hizmetinin ana taşıyıcısı olan diğer iki kişi, Mathias Ortmann ve Bram van der Kolk…

...potansiyel olarak büyük hapis cezalarıyla karşı karşıya kalacakları ABD'ye iade edilmek için mücadele ettiler (nedenini anlayabilirsiniz).

Ama sonunda Yeni Zelanda'daki [Yeni Zelanda/Aotearoa] mahkemelerle ve ABD'deki FBI ve Adalet Bakanlığı ile bir anlaşma yapmış gibi görünüyorlardı.

Bunun yerine Yeni Zelanda'da yargılanmayı, suçlarını kabul etmeyi ve devam eden soruşturmalarında ABD makamlarına yardım etmeyi kabul ettiler.

Ve sırasıyla 2 yıl 7 ay ve 2 yıl 6 ay hapis cezası aldılar.

DOUG.  O davadaki yargıcın bazı ilginç gözlemleri olduğunu hissettim.

ÖRDEK.  Sanırım tam oradasın, Doug.

Özellikle, mahkemenin "Dünyanın dört bir yanındaki bu devasa mega şirketlerin milyarlarca ve milyarlarca dolar kaybettiği gerçeğini kabul ediyoruz" demesi söz konusu değildi.

Aslında yargıç, bu iddialara şüpheyle yaklaşmanız gerektiğini söyledi ve korsan video indiren herkesin aksi takdirde orijinali satın alacağını öylece söyleyemeyeceğinizi gösteren kanıtlar aktardı.

Yani parasal kayıpları, bazı mega birliklerin sevdiği şekilde toplayamazsınız.

Yine de bu onu doğru yapmaz dedi.

Ve daha da önemlisi, "Küçük adamları da gerçekten incittin ve bu da bir o kadar önemli" dedi.

Yeni Zelanda'daki South Island'dan bağımsız bir yazılım geliştiricisinin mahkemeye yazdığı mektuptan alıntı yaptı: "Korsanlığın gelirimde büyük bir azalma yarattığını fark ettim. Hak ihlalinde bulunan içeriğin kaldırılması için 10 veya 20 kez Megaupload'a başvurmam gerektiğini fark ettim; bunu yapmak çok zamanımı aldı ve hiçbir zaman en ufak bir fark yaratmadı. Ve bu yüzden artık işimle geçimimi sağlayamadığım gerçeğinden tamamen onların sorumlu olduğunu söylemiyorum, ama tüm bu çabayı onların söylediği şeyleri kaldırmaları için harcadığımı söylüyorum. olurdu, ama asla işe yaramadı.

Aslında bu, kararın başka bir yerinde ortaya çıktı… ki bu 38 sayfa, bu yüzden oldukça uzun bir okuma, ama çok okunaklı ve bence çok iyi okumaya değer.

Yargıç sanıklara, telif hakkı ihlalcilerine karşı çok sert davranmak istemediklerini kabul ettikleri gerçeğinin sorumluluğunu üstlenmeleri gerektiğini söyledi çünkü "Büyüme esas olarak ihlale dayalıdır."

Ayrıca, temelde, aynı dosyayı indirmek için birden fazla URL varsa…

… dosyanın bir kopyasını sakladılar ve URL hakkında şikayette bulunursanız, *o URL'yi* kaldırırlar.

DOUG.  Ah ha!

ÖRDEK.  Yani dosyayı kaldırdıklarını düşünürdünüz ama dosyayı orada bırakırlardı.

Ve bunu şöyle tarif etti: "Aldırmaların önemli bir etkisinin olmayacağını biliyordun ve bunu amaçladın."

Bu bağımsız Kiwi yazılım geliştiricisinin mahkemeye verdiği ifadede iddia ettiği tam olarak buydu.

Ve kesinlikle bundan çok para kazanmış olmalılar.

2012'de Kim Dotcom'a yapılan tartışmalı baskının fotoğraflarına bakarsanız…

...onun muazzam bir mülkü vardı ve tüm bu garip plakalı [araç etiketleri] gibi flaş arabalar GOD ve GUILTY, sanki bir şey bekliyormuş gibi. [GÜLER]

Bay Dotcom kefalet için başvururken Megaupload yayından kaldırma manşetlere ve dalgalara neden oluyor

Yani, Kim Dotcom hala iadesiyle mücadele ediyor, ancak bu diğer ikisi her şeyi bitirmek istediklerine karar verdiler.

Böylece suçlarını kabul ettiler ve bazı yorumcularımızın Naked Security'de belirttiği gibi, "Vay canına, kararı ayrıntılı olarak okuduğunuzda yaptıklarına bakılırsa, cezalarının hafif olduğu anlaşılıyor."

Ancak hesaplanma şekli, hakimin, Aotearoa yasasına göre almaları gereken maksimum cezaların yaklaşık 10 yıl olması gerektiğini düşündüğünü hesapladı.

Ve sonra, suçlarını kabul ettikleri gerçeğine dayanarak, işbirliği yapacaklarını, 10 milyon doları geri ödeyeceklerini vb. %75 indirim almaları gerektiğini düşündü.

Ve benim anlayışıma göre bu, ABD'ye iade edilecekleri korkusunu ortadan kaldıracakları anlamına geliyor, çünkü benim anlayışıma göre Adalet Bakanlığı, "Tamam, mahkûmiyetin ve cezanın başka bir ülkede olmasına izin vereceğiz" dedi. ”

On yılı aşkın bir süre geçti ve hala bitmedi!

Söylesen iyi olur, Doug...

DOUG.  Yesss!

Buna göz kulak olacağız.

Teşekkür ederim; Hadi devam edelim.

Bir ASUS yönlendiriciniz varsa, bazı oldukça tehlikeli güvenlik açıkları için burada oldukça belirsiz bir zaman çizelgesi olmasına rağmen, yapmanız gereken bazı yamalar olabilir, Paul.

ASUS yönlendirici müşterilerini uyarıyor: Hemen yama yapın veya gelen tüm istekleri engelleyin

ÖRDEK.  Evet, danışma belgesinde listelenen çeşitli birçok yönlendirici modeli için bu yamaların ne zaman çıktığı tam olarak net değil.

Bazı okuyucularımız, “Peki, gittim bir baktım; Bu yönlendiricilerden birine sahibim ve listede, ancak *şimdi* yama yok. Ancak kısa bir süre önce bu sorunları gideriyor gibi görünen bazı yamalar aldım... öyleyse neden *şimdi* danışma belgesi?"

Ve cevap, "Bilmiyoruz."

Belki de ASUS'un dolandırıcıların bunların peşinde olduğunu keşfetmesi dışında?

Ama bu sadece "Hey, yama yapmanızı öneririz."

Yama yapmanız gerektiğini söylüyorlar ve eğer bunu yapmak istemiyorsanız veya yapamıyorsanız, o zaman biz “Potansiyel istenmeyen izinsiz girişleri önlemek için yönlendiricinizin WAN tarafından erişilebilen hizmetleri devre dışı bırakmanızı (temelde 'daha iyisine sahiptiniz' anlamına gelir) şiddetle tavsiye ederiz.”

Ve bu sadece tipik uyarınız değil, "Oh, yönetici arayüzünüzün internette görünmediğinden emin olun."

Gelen istekleri engellemekle kastettikleri şeyin, yönlendiricinin dışarıdan bazı ağ bağlantılarını başlatmasını kabul etmesini içeren temel olarak * her şeyi * kapatmanız gerektiği olduğunu belirtiyorlar…

…uzaktan yönetim, bağlantı noktası iletme (bunu oyun oynamak için kullanırsanız kötü şans), dinamik DNS, herhangi bir VPN sunucusu ve bağlantı noktası tetikleme dedikleri şey, sanırım bu bağlantı noktası çalma, belirli bir bağlantı için beklediğiniz ve yalnızca bu bağlantıyı görün, ardından yerel olarak bir hizmeti ateşleyin.

Yani burada tehlikeli olan sadece web istekleri veya birinin gizli bir kullanıcı adıyla oturum açmasına izin veren bir hata olabilir.

Yönlendiricinize dışarıdan ulaşabilirse, yönlendiricinizi pwn edebilecek bir dizi farklı türde ağ trafiği, öyle görünüyor.

Bu yüzden kulağa çok acil geliyor!

DOUG.  Buradaki iki ana güvenlik açığı…

… güvenlik açıklarını bir ile on arasında puanlayan bir Ulusal Güvenlik Açığı Veritabanı, NVD vardır ve bunların her ikisi de 9.8/10'dur.

Ve sonra 7.5, 8.1, 8.8 olan bir sürü başka şey var… burada oldukça tehlikeli olan bir sürü şey. Paul.

ÖRDEK.  Evet.

Tamamı büyük harflerle yazılan "9.8 ELEŞTİRİK", [Fısıldayan], "Dolandırıcılar bunu çözerse, kızarıklık gibi her yere dağılacaklar" anlamına gelen türde bir şeydir.

Ve bu iki 9.8/10 kötü puanlı güvenlik açığıyla ilgili belki de en garip olan şey, bunlardan birinin CVE-2022-26376 olmasıdır ve bu, temelde komik karakterler içeren bir URL'niz olduğunda, örneğin, boşluklar…

…URL'de yasal olarak boşluk bırakamazsınız; koymak zorundasın %20 bunun yerine onaltılık kodu.

Bu, yönlendiricideki herhangi bir URL'yi işlemek için oldukça temeldir.

Ve bu, rakamdan da görebileceğiniz gibi 2022'de ortaya çıkan bir hataydı!

Ve sözde Netatalk protokolünde (Apple bilgisayarları için destek sağlayan) başka bir güvenlik açığı daha var, Doug, CVE-2018-1160.

DOUG.  Bu uzun zaman önceydi!

ÖRDEK.  Öyleydi!

Aslında, 3.1.12 Aralık *20* tarihinde yayınlanan 2018 sürümü olduğunu düşündüğüm bir Netatalk sürümünde düzeltildi.

Ve sadece şu anda "Netatalk'ın yeni sürümünü edinmeniz gerekiyor" konusunda uyarıda bulunuyorlar, çünkü görünüşe göre bu da bir hileli paket yoluyla istismar edilebilir.

Yani bir Mac'e ihtiyacınız yok; Apple yazılımına ihtiyacınız yok.

Netatalk'ı tehlikeli bir şekilde konuşan bir şeye ihtiyacınız var ve size keyfi bellek yazma erişimi verebilir.

Ve 9.8/10 hata puanıyla, bunun "uzak bir yabancının bir veya iki ağ paketini dürtmesi, kök düzeyinde erişim, uzaktan kod yürütme dehşeti ile yönlendiricinizi tamamen ele geçirmesi" anlamına geldiğini varsaymanız gerekir.

İnsanları bu beş yıllık hatayı düzeltmeleri gerektiği konusunda uyarmaları neden bu kadar uzun sürdü?

…ve neden beş yıl önceki beş yaşındaki hatayı düzeltmedikleri açıklanmadı.

DOUG.  Tamam, kontrol etmeniz gereken yönlendiricilerin bir listesi var ve yama yapamıyorsanız, "tüm gelen şeyleri engelle" yapmanız gerekiyor.

Ama tavsiyemiz yama olur diye düşünüyorum.

Ve en sevdiğim tavsiye: Bir programcıysanız, girişlerinizi sterilize edin, lütfen!

ÖRDEK.  Evet, Little Bobby Tables bir kez daha ortaya çıktı, Doug.

Çünkü 9.8 seviyesinde olmayan diğer hatalardan biri (bu 7/10 veya 8/10 seviyesindeydi) CVE-2023-28702 idi.

Temelde MOVEit tipi bir hata yeniden ortaya çıkıyor: Web URL girişindeki filtrelenmemiş özel karakterler, komut enjeksiyonuna neden olabilir.

Bu, siber suçluların resim yapması için oldukça geniş bir fırça gibi görünüyor.

Ve bir kisvesi altında dikkatimi çeken CVE-2023-31195 vardı. oturum kaçırma.

Programcılar, esasen kimlik doğrulama belirteci tanımlama bilgileri olan şeyleri ayarlıyorlardı… tarayıcı gelecekteki isteklerde onları geri besleyebilirse, oturumun erken saatlerinde kullanıcının oturum açtığını, doğru kullanıcı adına ve doğru şifreye sahip olduğunu sunucuya kanıtlayan sihirli dizeler. , doğru 2FA kodu, her neyse.

Ve şimdi bu sihirli “erişim kartını” getiriyorlar.

Bu nedenle, bu tanımlama bilgilerini ayarlarken etiketlemeniz gerekir, böylece şifrelenmemiş HTTP isteklerinde asla iletilmezler.

Bu şekilde, bir dolandırıcının onları kaçırması çok daha zor hale gelir... ve onlar bunu yapmayı unuttular!

Yani bu programcılar için başka bir şey: Gidin ve içinde özel bilgiler veya kimlik doğrulama bilgileri bulunan gerçekten önemli çerezleri nasıl ayarladığınızı gözden geçirin ve onları yanlışlıkla ve kolay açığa çıkmaya açık bırakmadığınızdan emin olun.

DOUG.  Bunu (daha iyi muhakememe rağmen, ancak bu şimdiye kadarki iki hikayenin ikincisi) göz kulak olacağımız bir şey olarak işaretliyorum.

ÖRDEK.  Sanırım haklısın Doug, çünkü bazı yönlendiriciler için bu yamaların zaten ortaya çıktığını düşünürsek (her ne kadar istediğinden daha geç olsa da) nedenini gerçekten bilmiyorum... neden *şimdi*?

Ve sanırım hikayenin bu kısmı hala ortaya çıkmalı.

DOUG.  Görünüşe göre bu MOVEit hikayesine kesinlikle göz kulak olamayız.

Peki, bu hafta elimizde ne var, Paul?

MOVEit kargaşa 3: "HTTP ve HTTPS trafiğini hemen devre dışı bırakın"

ÖRDEK.  Ne yazık ki Progress Software için üçüncü otobüs olduğu gibi hemen geldi. [Kahkahalar]

Özetlemek gerekirse, ilki CVE-2023-34362 idi, o sırada Progress Software, "Ah hayır! Bir sıfır gün var - bunu gerçekten bilmiyorduk. Bu bir SQL enjeksiyonu, bir komut enjeksiyon problemi. İşte yama. Ama sıfır gündü ve bunu öğrendik çünkü fidye yazılımı dolandırıcıları, gasp dolandırıcıları bunu aktif olarak kullanıyorlardı. İşte bazı Uzlaşma Göstergeleri [IoC'ler].

Böylece, bir sorun olduğunu anladıklarında tüm doğru şeyleri ellerinden geldiğince çabuk yaptılar.

Sonra gidip kendi kodlarını gözden geçirdiler ve "Biliyor musun, programcılar bu hatayı bir yerde yaptılarsa, belki kodun diğer bölümlerinde de benzer hatalar yapmışlardır" diye düşündüler.

Bu da CVE-2023-35036'ya yol açtı, burada orijinaline benzeyen delikleri proaktif olarak yamaladılar, ancak bildikleri kadarıyla önce onları buldular.

Ve bakalım, o zaman üçüncü bir güvenlik açığı vardı.

Bu, CVE-2023-35708'dir ve görünüşe göre onu bulan kişi, Progress Software'in sorumlu bir şekilde ifşa edilmeye ve hızlı tepki vermeye tamamen açık olduğunu kesinlikle çok iyi biliyordur...

…her halükarda halka açılmaya karar verdi.

Yani buna "tam ifşa" mı (sanırım resmi adı bu), "sorumsuz ifşaat" mı (Sophos'taki diğer insanlar tarafından bu şekilde bahsedildiğini duydum) veya "bırakma" mı diyorsunuz bilmiyorum. Eğlenmek için 0 gün”, ben de böyle düşünüyorum.

Bu yüzden biraz yazık oldu.

Ve böylece Progress Software, "Bakın, birisi bu 0 günü düşürdü; bunu bilmiyorduk; yama üzerinde çalışıyoruz. Bu kısa ara dönemde, web arayüzünüzü kapatın (zor olduğunu biliyoruz) ve yamayı test etmeyi bitirmemize izin verin.”

Ve yaklaşık bir gün içinde, “Tamam, işte yama, şimdi uygulayın” dediler. Ardından, isterseniz web arayüzünüzü tekrar açabilirsiniz.”

Bence, sonuçta, Progress Software'in ilk etapta hatalara sahip olması kötü bir görünüm olsa da…

…bu sizin başınıza gelirse, o zaman onların tepkilerini takip etmek, bence, bunu yapmanın oldukça eğlenceli ve makul bir yolu!

DOUG.  Evet, bu hikayeyle ilgili bu haftaki yorumumuz da dahil olmak üzere Progress Software'e övgülerimiz var.

Adem'in yorumları:

Son zamanlarda MOVEit'i kullanmak zor görünüyor, ancak onları hızlı, proaktif ve görünüşte dürüst çalışmaları için alkışlıyorum.

Teorik olarak tüm bunları sessiz tutmaya çalışabilirlerdi, ancak bunun yerine sorun ve bu konuda yapılması gerekenler konusunda oldukça açık sözlü oldular.

En azından benim gözümde daha güvenilir görünmelerini sağlıyor…

…ve bence bu başkalarıyla da paylaşılan bir duygu, Paul.

ÖRDEK.  Gerçekten de.

Aynı şeyi sosyal medya kanallarımızda da duyduk: Hataya sahip olmaları üzücü olsa da ve herkes keşke olmasaydı, yine de şirkete güvenme eğilimindeler.

Aslında, bir kriz anında soğukkanlılıklarını koruduklarını düşündükleri için şirkete eskisinden daha fazla güvenme eğiliminde olabilirler.

DOUG.  Çok iyi.

Pekala, bunu gönderdiğin için teşekkürler Adam.

İletmek istediğiniz ilginç bir hikayeniz, yorumunuz veya sorunuz varsa, podcast'te okumayı çok isteriz.

Tips@sophos.com adresine e-posta gönderebilir, makalelerimizden herhangi biri hakkında yorum yapabilir veya sosyal medyadan bize ulaşabilirsiniz: @nakedsecurity.

Bugünkü programımız bu; dinlediğiniz için çok teşekkürler.

Paul Ducklin için, ben Doug Aamoth, bir dahaki sefere kadar size hatırlatıyorum…

HER İKİSİ DE.  Güvende kalın!

[MÜZİKAL MODEM]