UN VÓRTICE DE PERSPECTIVA DE PITÓN
¿No hay reproductor de audio debajo? Escuchar directamente en Soundcloud.
Con Doug Aamoth y Paul Ducklin. Música de introducción y salida de Edith Mudge.
Puedes escucharnos en SoundCloud, Podcasts de Apple, Podcasts de Google, Spotify, Stitcher y en cualquier lugar donde se encuentren buenos podcasts. O simplemente suelta el URL de nuestro feed RSS en tu cazador de vainas favorito.
LEER LA TRANSCRIPCIÓN
DOUG. Cibercrimen tras cibercrimen, algunas actualizaciones de Apple y un ataque a un repositorio de código fuente.
Todo eso, y más, en el podcast de Naked Security.
[MÓDEM MUSICAL]
Bienvenidos al podcast, todos.
Soy Doug Aamoth; él es Paul Ducklin.
Pablo, ¿cómo estás?
PATO. Muy bien gracias. ¡Douglas!
¿Fue lo suficientemente alegre?
DOUG. Eso fue bastante bueno.
Como un 7/10 en la escala de felicidad, que es un punto de referencia bastante bueno.
PATO. Oh, quería que se sintiera más alto que eso.
Lo dicho, más 2.5/10.
DOUG. [ASOMBRO EXAGERADO] ¡Oh, Paul, suenas genial!
PATO. [RISAS] Gracias, Doug.
DOUG. Bueno, esto podría llevarte a un 10/10, entonces... Esta semana en la historia de la tecnología.
El 22 de mayo de 1973, en el Centro de Investigación Xerox Palo Alto [PARC], el investigador Robert Metcalfe escribió un memorando en el que proponía una nueva forma de conectar las computadoras.
Inspirada en su precursora, AlohaNet, que Metcalfe estudió como parte de su tesis doctoral, la nueva tecnología se llamaría Ethernet, un guiño a la sustancia "éter luminífero", que alguna vez se creyó que era un medio para propagar ondas de luz.
PATO. Sin duda, era mucho más rápido que los disquetes de una sola cara y una sola densidad de 160 KB. [RISA]
DOUG. ¡Podría ser peor!
De todos modos, hablando de "peor" y "maldad", tenemos nuestra primera actualización de delincuencia del día.
Estados Unidos ofrece una Recompensa de $ 10 millones para un sospechoso de ransomware ruso.
¡Eso es mucho dinero, Paul!
Este tipo debe haber hecho algo bastante malo.
La declaración del DOJ:
[Esta persona y sus compañeros conspiradores] supuestamente usaron este tipo de ransomware para atacar a miles de víctimas en los Estados Unidos y en todo el mundo. Estas víctimas incluyen fuerzas del orden y otras agencias gubernamentales, hospitales y escuelas.
Las demandas totales de rescate supuestamente hechas por los miembros de estas tres campañas globales de ransomware a sus víctimas ascienden a $ 400 millones, mientras que los pagos totales de rescate de las víctimas ascienden a $ 200 millones.
Grandes ataques... mucho dinero cambiando de manos aquí, Paul.
PATO. Cuando estás tratando de rastrear a alguien que está haciendo cosas cobardes en el extranjero y piensas: “¿Cómo diablos vamos a hacer esto? Nunca van a aparecer en la corte aquí”…
¿Tal vez solo ofrezcamos algún dinero sucio a la gente en el país de esa otra persona, y alguien lo entregará?
Y si están ofreciendo $10 millones (bueno, eso es lo máximo que puede obtener), deben estar muy interesados.
Y según tengo entendido, en este caso, la razón por la que están interesados es que este sospechoso en particular sea acusado de ser, si no el corazón y el alma, al menos una de las dos de esas cosas para tres cepas de ransomware diferentes: LockBit, Hive y Babuk.
Babuk se filtró su código fuente (si no me equivoco, por un afiliado descontento), y ahora ha llegado a GitHub, donde cualquiera que quiera puede obtener la parte de cifrado.
Y aunque es difícil sentir simpatía por las personas que están en la mira del Departamento de Justicia y el FBI por ataques de ransomware...
…si quedaron algunas gotitas latentes de simpatía, se evaporan bastante rápido cuando comienzas a leer sobre hospitales y escuelas entre sus muchas víctimas.
DOUG. Sí.
PATO. Así que hay que suponer que es poco probable que lo vean alguna vez en un tribunal de EE. UU....
… pero supongo que pensaron que es demasiado importante como para no intentarlo.
DOUG. Exactamente.
Como nos gusta decir, estaremos atentos a eso.
Y mientras esperamos, vaya y eche un vistazo a nuestro Informe sobre el estado del ransomware en 2023.
Tiene un montón de hechos y cifras que puede usar para ayudar a proteger su organización contra ataques.
Está disponible en: sophos.com/ransomware2023.
PATO. Una pequeña pista que puedes aprender del informe: “Sorpresa, sorpresa; le cuesta aproximadamente la mitad recuperarse de las copias de seguridad que pagar el rescate”.
Porque incluso después de haber pagado el rescate, todavía tiene mucho trabajo por hacer para restaurar su copia de seguridad.
Y también significa que no pagas a los ladrones.
DOUG. ¡Exactamente!
Muy bien, tenemos otra actualización del crimen.
Esta vez, son nuestros amigos de iSpoof, quienes, debo admitir, tienen un equipo de marketing bastante bueno.
Excepto por todos siendo arrestados y todo ese tipo de cosas...
El capo de la estafa telefónica obtiene 13 años por ejecutar el servicio "iSpoof"
PATO. Sí, este es un informe de la Policía Metropolitana de Londres sobre un caso que ha estado ocurriendo desde noviembre de 2022, cuando primero escribi sobre esto en nakedsecurity.sophos.com.
Un tipo llamado Tejay Fletcher, y creo que otras 169 personas que pensaron que eran anónimas pero resultó que no lo eran, fueron arrestadas.
Y este tal Fletcher, que fue el capo de esto, acaba de ser sentenciado a 13 años y 4 meses de prisión, Doug.
¡Esa es una oración bastante grande para los estándares de cualquier país!
Y la razón es que este servicio se trataba de ayudar a otros ciberdelincuentes, a cambio de bitcoins, para estafar a las víctimas de manera muy creíble.
No necesitabas ninguna habilidad técnica.
Simplemente puede suscribirse al servicio y luego comenzar a hacer llamadas telefónicas donde puede elegir qué número aparecerá en el otro extremo.
Entonces, si tenía la sospecha de que alguien realizó operaciones bancarias con XYZ Banking Corporation, puede hacer que su teléfono se ilumine diciendo: "Llamada entrante de XYZ Banking Corporation", y luego iniciar su schpiel.
Parece, según los informes de la Agencia Nacional del Crimen en ese momento, que sus "clientes" hicieron millones de llamadas a través de este servicio. y tenían algo así como una tasa de éxito del 10%, donde el éxito se mide en que la persona que llama estuvo en la línea durante al menos un minuto.
Y cuando piensas que algo es una llamada fraudulenta... cuelgas bastante rápido, ¿no es así?
DOUG. ¡Un minuto es mucho tiempo!
PATO. Y eso significa que probablemente han enganchado a la persona.
Y puedes ver por qué, porque todo parece creíble.
Si no sabe que el número de identificación de llamadas (o identificación de la línea que llama) que aparece en su teléfono no es más que una pista, que cualquiera puede poner cualquier cosa y que cualquier persona con sus peores intereses en el corazón que quiera acecharlo pueden, por un modesto desembolso mensual, comprar un servicio que les ayudará a hacerlo automáticamente...
Si no sabe que ese es el caso, probablemente tendrá a su guardia muy, muy abajo cuando llegue esa llamada y diga: “Estoy llamando desde el banco. Puedes verlo en el número. Dios mío, ha habido fraude en tu cuenta”, y luego la persona que llama te convence para que hagas un montón de cosas que de otra manera no escucharías ni por un momento.
El alcance de este servicio, la gran cantidad de personas que lo usaban (tenía decenas de miles de "clientes", aparentemente) y la gran cantidad de llamadas y la cantidad de daños financieros causados, que ascendieron a millones, es la razón por la cual él recibió una sentencia tan grave.
DOUG. Parte de la razón por la que pudieron atraer a tantos clientes es que se encontraba en un sitio web público.
No estaba en la web oscura, y era un marketing bastante ingenioso.
Si te diriges al artículo, hay un video de marketing de 53 segundos que tiene un actor de doblaje profesional y algunas animaciones divertidas.
Es un video bastante bien hecho!
PATO. ¡Sí!
Vi un error tipográfico en él... escribieron "cifrado de extremo a extremo" en lugar de "cifrado de extremo a extremo", lo que noté porque era bastante irónico.
Porque toda la premisa de ese video dice: "Oye, como cliente eres completamente anónimo".
Hicieron un gran lanzamiento de eso.
DOUG. Creo que probablemente fue un "fin del cifrado". [RISAS]
PATO. Sí... puede que hayas sido anónimo para tus víctimas, pero no lo eras para el proveedor de servicios.
Aparentemente, la policía, al menos en el Reino Unido, decidió comenzar con cualquiera que ya hubiera gastado más de £ 100 en Bitcoins con el servicio.
Entonces, puede haber personas que incursionaron en esto, o lo usaron solo para un par de cosas, que todavía están en la lista.
La policía quiere que la gente sepa que empezaron en la cima y que están bajando.
El anonimato prometido en el video era ilusorio.
DOUG. Bueno, tenemos algunos consejos, y los hemos dicho antes, pero estos son excelentes recordatorios.
Incluyendo uno de mis favoritos, porque creo que la gente simplemente asume que Caller ID es un reportero preciso... El consejo número uno es: Trata el identificador de llamadas como nada más que una pista.
¿Qué quieres decir con eso, Pablo?
PATO. Si aún recibe correo postal en su casa, sabrá que cuando recibe un sobre, tiene su dirección en el frente y, por lo general, cuando lo voltea, en el reverso del sobre, hay una dirección de remitente. .
Y todos saben que el remitente puede elegir lo que dice... puede ser genuino; puede que todo sea una sarta de mentiras.
Eso es lo mucho que puede confiar en el identificador de llamadas.
Y mientras tengas eso en mente, y pienses en ello como una pista, entonces eres oro.
Pero si aparece y dice "Corporación Bancaria XYZ" porque los ladrones han elegido deliberadamente un número que usted puso especialmente en su lista de contactos para decirle que es el banco... eso no significa nada.
Y que te empiecen a decir que son del banco no quiere decir que lo sean.
Y eso encaja muy bien con nuestro segundo consejo, ¿no es así, Doug?
DOUG. Sí.
Inicie siempre las llamadas oficiales usted mismo, usando un número en el que pueda confiar.
Por lo tanto, si recibe una de estas llamadas, diga: "Le devolveré la llamada" y use el número que figura en el reverso de su tarjeta de crédito.
PATO. Absolutamente.
Si de alguna manera te han hecho creer que este es el número al que debes llamar… ¡no lo hagas!
Descúbrelo por ti mismo.
Como dijiste, para reportar cosas como fraudes bancarios o problemas bancarios, el número en el reverso de tu tarjeta de crédito es un buen comienzo.
Entonces, sí, ten mucho, mucho cuidado.
Es realmente fácil creer en tu teléfono, porque el 99% de las veces, ese número de identificación de llamadas dirá la verdad.
DOUG. Muy bien, por último, pero ciertamente no menos importante, no tan técnico, pero más una habilidad más suave, el consejo número tres es: Esté allí para los amigos y familiares vulnerables.
Esa es buena.
PATO. Obviamente, hay personas que corren más riesgo de sufrir este tipo de estafa.
Así que es importante que le cuentes a las personas de tu círculo de amigos y familiares que creas que pueden estar en riesgo de este tipo de cosas… que si tienen alguna duda, se pongan en contacto contigo y te pidan consejo. .
Como todo carpintero o carpintero le dirá, Douglas, "mida dos veces, corte una vez".
DOUG. Me gusta ese consejo. [RISAS]
Tiendo a medir una vez, cortar tres veces, así que no sigas mi ejemplo.
PATO. Sí. No puedes "cortar las cosas más largas", ¿eh? [RISA]
DOUG. ¡No, seguro que no puedes!
PATO. Todos lo hemos intentado. [RISAS]
DOUG. Eso es dos actualizaciones hacia abajo; uno para ir
Hemos tengo una actualización… si recuerdas, a principios de este mes, Apple nos sorprendió con una nueva respuesta de seguridad rápida, pero no dijo qué arreglaron realmente las actualizaciones, pero ahora lo sabemos, Paul.
El secreto de Apple está fuera: 3 días cero corregidos, ¡así que asegúrese de parchear ahora!
PATO. Sí.
Dos días 0, más un día 0 de bonificación que no se arregló antes.
Entonces, si tenía, cuál era, macOS 13 Ventura (el último), y si tenía iOS/iPadOS 16, obtuvo la respuesta de seguridad rápida
Obtuvo esa actualización de "número de versión (a)" y "aquí están los detalles sobre esta actualización: (cadena de texto en blanco)".
Así que no tenías idea de lo que se arregló.
Y usted, como nosotros, probablemente pensó: “Apuesto a que es un día cero en WebKit. Eso significa una instalación drive-by. Eso significa que alguien podría estar usándolo para spyware”.
He aquí, eso es exactamente lo que fueron esos dos días 0.
Y había un tercer día cero, que era, si se quiere, otra parte de esa ecuación u otro tipo de explotación que a menudo acompaña a los dos primeros días cero que se arreglaron.
Esta fue una cosa de Google Threat Response/Amnistía Internacional que ciertamente huele a spyware para mí... alguien investigando un incidente de la vida real.
Ese error fue lo que llamas en la jerga un "escape de caja de arena".
Parece como si los tres días cero que ahora están arreglados para todas las plataformas de Apple fueran...
Uno que podría permitir que un ladrón descubra qué estaba en su computadora.
En otras palabras, aumentan en gran medida las posibilidades de que sus subsiguientes exploits funcionen.
Un segundo exploit que realiza la ejecución remota de código dentro de su navegador, como digo, con la ayuda y la complicidad de esa fuga de datos en el primer error que podría decirle qué direcciones de memoria usar.
Y luego un tercer día cero que esencialmente te permite salir del navegador y hacer cosas mucho peores.
Bueno, voy a decir, Parche temprano, parche a menudo, ¿No es así, Doug?
DOUG. ¡Hazlo!
Sí.
PATO. Esas no son las únicas razones por las que desea estos parches.
También hay un montón de soluciones proactivas.
Entonces, incluso si no fueran los días cero, lo diría de nuevo de todos modos.
DOUG. Vale genial.
Nuestra última historia del día... Había escrito mi propia pequeña introducción aquí, pero la voy a tirar a la basura y me quedaré con tu titular, porque es mucho mejor.
Y realmente captura la esencia de esta historia: El repositorio de código fuente abierto de PyPI se ocupa de la vorágine de malware maníaco.
¡Eso fue lo que pasó, Pablo!
El repositorio de código fuente abierto de PyPI se ocupa de la vorágine de malware maníaco
PATO. Sí, tengo que admitir que tuve que trabajar en ese título para que encajara exactamente en dos líneas en la plantilla de WordPress nakedsecurity.sophos.com. [RISA]
El equipo de PyPI ahora ha superado esto, y creo que se han deshecho de todas las cosas.
Pero parece que alguien tenía un sistema automatizado que solo generaba nuevas cuentas, luego, en esas cuentas, creaba nuevos proyectos...
… y simplemente cargando un paquete fuente envenenado después de un paquete fuente envenenado.
Y recuerda que en la mayoría de estos repositorios (PyPI es un ejemplo), puedes tener malware que está en el código real que quieres descargar y luego usar como un módulo en tu código (en otras palabras, la biblioteca de programación), y/ o puede tener malware en el instalador real o en la secuencia de comandos de actualización que le entrega la cosa.
Entonces, desafortunadamente, es fácil para los delincuentes clonar un proyecto legítimo, darle un nombre que parezca realista y esperar que si lo descarga por error...
…luego, una vez que lo haya instalado, y una vez que comience a usarlo en su software, y una vez que comience a enviarlo a sus clientes, todo estará bien y no encontrará ningún malware en él.
Porque el malware ya habrá infectado su computadora, al estar en el script que se ejecutó para instalarlo correctamente en primer lugar.
Así que hay un doble golpe para los ladrones.
Lo que no sabemos es…
¿Esperaban cargar tantos paquetes infecciosos que algunos de ellos no serían detectados y tendrían una gran posibilidad de que un par se quedara atrás?
¿O en realidad esperaban poder asustar tanto al equipo de PyPI que tuvieran que sacar todo el sitio del aire, y eso sería un ataque de denegación de servicio completo?
Ninguno de esos fue el resultado.
El equipo de PyPI pudo mitigar el ataque cerrando solo algunos aspectos del sitio.
Es decir, durante un tiempo, no podía crear una nueva cuenta y no podía agregar un nuevo proyecto, pero aún podía obtener los antiguos.
Y eso les dio suficiente espacio para respirar, durante un período de 24 horas, que parece que pudieron limpiar por completo.
DOUG. Tenemos algunos consejos para ataques como este en los que no se limpian a tiempo.
Entonces, si está extrayendo de repositorios como este, lo primero que puede hacer es: No elija un paquete de repositorio solo porque el nombre se ve bien.
Esa es una táctica utilizada por los atacantes a menudo.
PATO. Efectivamente, Douglas.
Es básicamente lo que solíamos llamar en la jerga "typosquatting" para sitios web.
En lugar de registrarse example.com, podrías registrar algo como examole.com, porque la O está al lado de la P en el teclado, con la esperanza de que alguien vaya a escribir "ejemplo", cometa un pequeño error y captará su tráfico y lo llevará a un sitio similar.
Cuidado con lo que eliges.
Es un poco como nuestro consejo sobre el identificador de llamadas: te dice algo, pero no mucho.
Y, por lo demás, realmente tienes que hacer tu debida diligencia.
DOUG. Como: No descargue actualizaciones de paquetes a ciegas en sus propios sistemas de desarrollo o compilación.
PATO. Sí, DevOps y la integración continua es lo más importante en estos días, ¿no es así, donde se automatiza todo?
Y hay algo atractivo en decir: "Bueno, no quiero quedarme atrás, así que ¿por qué no le digo a mi sistema de compilación que tome mi código de mi repositorio local donde lo estoy cuidando, y luego siempre obtener automáticamente la última versión del repositorio público del código de todas las demás personas que estoy usando?
El problema es que si alguno de esos paquetes de terceros que está utilizando se pwned, entonces su sistema de compilación tendrá problemas de forma totalmente automática.
Así que no hagas eso si puedes evitarlo.
DOUG. Lo que nos lleva a: No facilite que los atacantes accedan a sus propios paquetes.
PATO. Sí.
Nadie puede realmente detener a alguien que está decidido a configurar, a mano, 2000 nuevas cuentas PyPI y poner 1000 paquetes nuevos en cada una de ellas.
Pero puede realizar ataques en los que los delincuentes toman el control de los paquetes existentes y los comprometen... puede aportar su granito de arena para ayudar al resto de la comunidad haciendo lo más difícil posible que sus proyectos se vean comprometidos.
Vaya y revise la seguridad que tiene en esta cuenta o en ese paquete, en caso de que alguien decida que sería un lugar magistral para insertar software malicioso que podría afectar a otras personas... y, por supuesto, eso al menos empañaría temporalmente su reputación al mismo tiempo. tiempo.
DOUG. Y nuestro último consejo puede caer en oídos sordos, pero si es suficiente para hacer cambiar de opinión a algunos, hemos hecho un buen trabajo aquí hoy: No seas un ya-sabes-qué.
PATO. ¿Demuestra lo inteligente que es al recordarnos todos los ataques a la cadena de suministro haciendo trabajo innecesario para los equipos de voluntarios... como el equipo del kernel de Linux (lo han sufrido en el pasado), PyPI y otros repositorios populares de código abierto?
Si tiene una razón genuina por la que cree que necesita informarles acerca de una vulnerabilidad de seguridad, busque sus datos de contacto de divulgación de seguridad y comuníquese con ellos de manera adecuada, profesional y responsable.
No seas un ****.
DOUG. Excelente.
Muy bien, buenos consejos, y mientras el sol comienza a ponerse en nuestro programa del día, es hora de escuchar a uno de nuestros lectores.
En el episodio anterior del podcast, recordará que hablamos un poco sobre las pruebas y tribulaciones de la computadora Apple III. Escuchemos:
No sé si esto es una leyenda urbana o no, pero he leído que los primeros modelos [Apple III] no tenían sus chips asentados correctamente en la fábrica, y que a los destinatarios que reportaban problemas se les decía que levantaran el frente de la computadora de su escritorio unos centímetros y dejar que se estrelle hacia atrás, lo que los golpearía en su lugar como deberían haber estado en primer lugar. Lo que aparentemente funcionó, pero no fue el mejor tipo de publicidad para la calidad del producto.
DOUG. En respuesta, el oyente S31064 (no estoy seguro de si ese es un verdadero nombre de nacimiento) interviene:
No lo sé, pero la empresa para la que trabajaba en ese momento los usaba para terminales de circulación de bibliotecas fuera de línea. Y nueve de cada diez veces, si había algún problema, la solución era volver a colocar los chips.
PATO. Sí, revisar la placa base y (crujir, crujir) presionar todos los chips hacia abajo... eso se consideraba mantenimiento de rutina en ese entonces.
Pero parece que para Apple III, no se trataba solo de mantenimiento de rutina, mantenimiento preventivo, sino que en realidad era una técnica de recuperación reconocida.
Así que me fascinó leer eso, Doug.
¡Alguien que realmente había estado allí y había hecho eso!
DOUG. Bueno, muchas gracias, querido oyente, por enviar eso.
Y si tiene una historia interesante, un comentario o una pregunta que le gustaría enviar, nos encantaría leerlo en el podcast.
Puede enviar un correo electrónico a tips@sophos.com, puede comentar cualquiera de los artículos o puede comunicarse con nosotros en las redes sociales: @nakedsecurity.
Ese es nuestro programa de hoy; muchas gracias por escuchar
Para Paul Ducklin, soy Doug Aamoth, les recuerdo hasta la próxima para...
AMBAS COSAS. Mantente seguro.
[MÓDEM MUSICAL]
- Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
- PlatoAiStream. Inteligencia de datos Web3. Conocimiento amplificado. Accede Aquí.
- Acuñando el futuro con Adryenn Ashley. Accede Aquí.
- Compra y Vende Acciones en Empresas PRE-IPO con PREIPO®. Accede Aquí.
- Fuente: https://nakedsecurity.sophos.com/2023/05/25/s3-ep136-navigating-a-manic-malware-maelstrom/
