un blog de Radu Dumitru
un blog de Radu Dumitru
►► canalele mele de YouTube: youtube.com/RaduDumitru (personal) și youtube.com/NwraduBlog (tech) ◄◄
24 Mar 2023 ·
Mi se pare ceva din care putem învăța cu toții securitate mai bună.
Pe scurt, canalele Linus Tech Tips au fost hăcuite ieri. Cineva a preluat canalul principal, i-a schimbat handle-ul, a șters clipurile vechi și a început să ruleze un live stream ce era un soi de bitcoin scap cu fața lui Elon Musk. La fel s-a întâmplat și cu două canale auxiliare, TechLinked și TechQuickie, din care unul avea peste 4 milioane de abonați, iar celălalt 1,8 milioane.
Astăzi este totul la locul lui din nou. Cei de la YouTube s-au mișcat bine, că vorbim de unul dintre creatorii lor principali. Au repus la loc clipurile șterse (nimic nu este cu adevărat șters, mai ales dacă ai cu cine dialoga direct la YouTube), e totul ok acum.
Cum s-a întâmplat hackingul? Nici nu știam că este posibilă această metodă. Cineva din echipa lor a primit pe email o propunere de colaborare cu un atașament. Emailul părea de la o sursă reală și avea un atașament arhivat. În arhivă era un PDF. PDF-ul nu s-a deschis corect.
În realitate, era un malware care a copiat toate datele din Chrome și Edge, probabil cookie-urile și setările, și le-a transmis mai departe. Hackerii au primit astfel o copie a browserului respectivei persoane și deci au avut acces la toate site-urile pe care acea persoană era deja logată, inclusiv canalele de YouTube.
Nu au fost compromise parole sau vreun element 2FA. S-a copiat direct session token-ul, adică elementul pe care un browser îl instalează după un login de succes ca să te țină logat pe acel site pentru o vreme mai lungă, că altfel ți-ar cere parola la fiecare refresh sau schimbare de pagină. Acel “keep me logged in” a fost de vină.
Personal credeam că nu este așa ușor să primești acces la fișierele cookies și de configurare ale browserelor. Și bănuiesc că nu au avut nici un antivirus care să detecteze imediat un malware și să-l blocheze. Se mai întâmplă. Este de învățat din asta.
Clipul de mai jos le explică mai bine:
Arată în clip și o tehnică inedită. Se poate trimite un fișier executabil cu extensia .com, nu musai .exe. Cei mai bătrâni își aduc aminte din vremurile DOS și Windows 3.11 că și .com este o extensie validă de aplicații. Ei bine, dacă primești un fișier numit “draft de contract pentru youtube.com”, este posibil să crezi că acesta este numele fișierului și se referă la adresa YouTube. În realitate, numele fișiereului este “draft de contract pentru youtube” și are extensia .com.
Un sfat bun ar fi să activați în File Explorer opțiunea de a vedea mereu extensia fișierelor, nu vă bazați pe pictogramă.
Clipul de mai sus se referă și la un articol de pe site-ul Guardio despre StreamJacking, în care se arată câteva malware-uri care îți fură cookie-ul de login de pe YouTube sau Google sau alt site.
Și iată și clipul lui Linus în care descrie ziua respectivă:
Vreți un avatar în comentarii? Mergeți pe gravatar.com (un serviciu Wordpress) și asociați o imagine cu adresa de email cu care comentați.
Dacă ați bifat să fiți anunțați prin email de noi comentarii sau posturi, veți primi inițial un email de confirmare. Dacă nu validați acolo alegerea, nu se va activa sistemul și după un timp nu veți mai primi nici alte emailuri
Comentariile nu se pot edita ulterior, așa că verificați ce ați scris. Dacă vreți să mai adăugați ceva, lăsați un nou comentariu.
Îți place blogul meu?
Apasă acest buton înainte de a cumpăra de la eMAG
și vei susține acest site.
Magazine recomandate:
Formula 1 în China: Mercedes mă dezamăgește, plus înjurături între piloți
Articole interesante de citit astăzi – 21 aprilie 2024
Cîrstoiu out, Piedone intră în linia dreaptă
Camerele 360 de grade ajung la senzori 8K
Motorola a prezentat Edge 50 Ultra și Fusion, plus căștile Buds+, la prețuri foarte bune pentru ce oferăCopyright © 2006 - 2023 nwradu blog.
Reproducerea textelor și a imaginilor ce-mi aparțin este posibilă numai în sistem "creative commons Attribution Non-Commercially Share-alike 3.0 CC BY-NC-SA".
Termene și condiții | Politica de confidențialitate | Politica de cookies
30 comentarii
24/03/2023 la 2:57 PM
Mai este o varianta cu extensia inversa, gen nume.exe.pdf în care exe este extensia și pdf doar nume. Chiar nu știam de treaba asta https://m.youtube.com/watch?v=ieQUy8YTbF
Ady94(Citează)
24/03/2023 la 3:34 PM
video not found. Sunt curios cum functioneaza.
Boris(Citează)
24/03/2023 la 3:50 PM
Uite aici https://www.youtube.com/watch?v=nIcRK4V_Zvc
Ady94(Citează)
24/03/2023 la 4:21 PM
Cred ca ai vrut sa spui “nume.pdf.exe”. :)
George(Citează)
24/03/2023 la 4:43 PM
Foarte interesant trick-ul asta. Chiar sunt surprins ca nu este folosit la scara larga.
Andrei G(Citează)
24/03/2023 la 8:39 PM
E corect, e nume.exe.pdf.
A dat un link YT, vezi acolo detalii, dar nu e nicio greșeală.
Olivian Breda(Citează)
25/03/2023 la 8:45 AM
Ai dreptate. My bad.
George(Citează)
24/03/2023 la 3:16 PM
Din cate vad orice feature pentru confortul utilizatorilor (in acest caz o sesiune mai lunga fara re-login) este un vector de atac pentru hackeri/scameri…
Nexxus(Citează)
25/03/2023 la 4:41 PM
“Un sfat bun ar fi să activați în File Explorer opțiunea de a vedea mereu extensia fișierelor, nu vă bazați pe pictogramă.”
Tu îl dai și tot tu te lauzi cu el, cum că ar fi bun? :)))
Radu daca acum dai sfaturi si de cybersecurity e bine, ce sa zic. :))))
Singurul sfat bun este sa aveți un AV decent pe PC. Pt mai mare securitate, nu deschideți fișiere înainte de a da “scan” pe ele. Deși orice AV ar trebui sa îl blocheze la execuție.
Tano(Citează)
24/03/2023 la 4:22 PM
Exact la fel a patit acum cateva saptamani si Paul Hibbert (youtuber de smarthome) si inca unul pe care nu il urmaresc: a primit o propunere cu un pdf, antivirusul nu a zis nimic pt ca nu e un virus, e un script facut special pt cel care este tintit.
Inteleg ca este nevoie de 2fa cu token fizic, 2fa cu telefonul dupa cum se vede nu ajuta.
Marean(Citează)
24/03/2023 la 4:30 PM
Pai si tokenul fizic cum ajuta daca iti fura session cookie?
Sorin(Citează)
24/03/2023 la 4:44 PM
nu e ca si cum ma pricep, ca nu sunt IT-ist, dar se pare ca de-abia Google Advanced Protection Program face ceea ce credeam cu totii ca face deja 2FA, respectiv sa iti ceara sa te re-autentifici daca vrei sa schimbi parola sau 2FA.
Zice si in clip ca google nu cere intotdeauna sa te re-autentifici daca vrei sa schimbi parola etc, which is crazy.
Se pare ca la acest program, pt care e nevoie de token fizxic, iti cere de fiecare data.
https://landing.google.com/advancedprotection/
Advanced Protection requires security keys for sign in to help protect your Google data, like emails, documents, contacts, or other personal Google data. Even if a hacker has your username and password, they can’t sign in without your security key.
Marean(Citează)
24/03/2023 la 5:06 PM
@Marean, din ce zicea Linus în video, „hack-ul” a fost că i-au clonat efectiv instanța de browser cu tot cu sesiune, deci 2FA e complet irelevant.
Ciuby(Citează)
24/03/2023 la 5:19 PM
pai din cate inteleg eu nu e complet irelevant, pt ca dupa ce i-au clonat instanta de browser, i-au schimbat anumite lucruri la canal (altora le-a schimbat parola si i-au dat afara din cont)
vezi minutul 10:12 din video lui Linus si dupa aia, zice:
“How can you change the name of a channel without having to enter your password or your 2FA?”
Marean(Citează)
24/03/2023 la 6:19 PM
Cu Advanced Protection activat o sa-ti ceara parola de fiecare data cand vrei sa modifici setari de securitate. In plus se limiteaza accesul 3rd party (de ex. nu mai pot folosi contul Gmail pentru notificarile Synology).
Problema cu protectia asta este faptul ca ai nevoie de doua chei fizice, una principala si alta de backup si fiecare cheie costa cam €50. Eu aveam deja una primita ca bonus la abonamentul ArsTechnica asa ca a trebuit sa cumpar una singura. Avand in vedere ca foarte multe chestii se bazeaza pe contul Google am considerat ca este o investitie necesara.
etk(Citează)
24/03/2023 la 6:38 PM
@etk
Offtopic, mie nu imi mai merg notificarile OpenMediaVault cu google din mai 2022, cand inteleg ca google a taiat de tot accesul la cont pentru 3rd party apps.
Am inteles gresit, zici ca ar trebui sa mearga?
*OMV este tot un soft de NAS management, la fel ca Synology
Marean(Citează)
25/03/2023 la 4:33 PM
Cybersecurity captain here. Orice antivirus decent trebuie sa prindă un script care vrea sa copieze/fure date de pe disk. “Nu e virus, e script” nu înseamnă nimic. Orice script sau executabil care face damage e considerat virus in industrie. Diferența între un executabil și un script e că executabilele sunt deja compilate in binar, iar scripturile nu. In rest funcționează la fel. Scriptul poate fi bash/perl/python/etc, iar executabilul făcut în c/c++/rust sau alte limbaje compilate.
Un antivirus decent are așa numit “real time protection”. Ce face asta? Capturează prin drivere speciale de kernel orice fișier nou neautorizat pe 3 feluri de drepturi: on read, on write, on execute.
La el deja au fost 2: read și on execute, pe care nu le-a prins. Ori avea un AV prost, ori nu avea deloc. Chiar și Windows defender ar prinde mizeria asta, iar pe mac nu te lasă să execuți deloc.
Tano(Citează)
25/03/2023 la 6:32 PM
Tano, nu te contrazic ca nu ma pricep, dar omul de mai jos (Paul Hibbert) zice ca a scanat iar AV din windows nu a zis nimic, desi malware-ul are 3 ani. Fisierul pe care l-a primit el era un fisier screen saver deghizat in pdf.
incepand cu minutul 5
https://www.youtube.com/watch?v=0NdZrrzp7UE
Marean(Citează)
25/03/2023 la 8:45 PM
Marean – AVul din Windows e cam praf, deși au oameni mega competenți pe securitate. Nu pricep de ce. Sunt curios ce zic alți antivirusi serioși (bitdefender, avast, etc) despre fișierul ăla. Mersi de link.
Tano(Citează)
24/03/2023 la 6:01 PM
Tbf, securitatea la cookies lasa de dorit de o gramada de vreme, se facea chestia asta de o gramada de timp (furatul sesiunii). Ce nu ma asteptam e sa nu aiba ditai google protectii pentru asta.
Baltha Zerus(Citează)
24/03/2023 la 7:44 PM
Nu e primul din ultima vreme asa usor, altul similar: https://www.youtube.com/watch?v=ry8oY1-aiq8
mArS(Citează)
24/03/2023 la 8:54 PM
Totul este sa dai logout dupa ce iti citesti mailul sau folosesti o aplicatie bancara
SirNeo(Citează)
24/03/2023 la 9:03 PM
Si ironia sortii un canal de scamuri https://youtu.be/YIWV5fSaUB8
Ciprian(Citează)
25/03/2023 la 1:00 PM
Ooo, ce bătrân ma simt 😀. Nu am înțeles tot ce scrii prin articol, dar știu ca .com este terminație de fișier executabil. La fel și .bat
EGO(Citează)
25/03/2023 la 3:36 PM
command.com și autoexec.bat
ipo(Citează)
25/03/2023 la 4:37 PM
Ambele sunt fișiere de scripting, niciunul nu e considerat executabil. (în sensul de binar)
Tano(Citează)
26/03/2023 la 12:26 AM
si daca nu sunt binare nu se pot executa?
sau ce legatura are una cu alta?
chiar si daca vrei sa le separi in executabile direct de catre os (fara a avea nevoie de a instala ceva suplimentar) si executabile prin third party.. com si bat tot se incadreaza la “alea bune”.
pana la urma compilarea / binarul nu pentru asta se facea (comoditate si compatibilitate la executare)?
john2381(Citează)
26/03/2023 la 2:21 PM
@Tano COM e fișier executabil. Într-adevăr, văd că pe Wikipedia se menționează că inițial extensia .com era pentru un format de scripting, dar în DOS fișierele COM au fost dintotdeauna executabile pur-sânge.
@john2381 Prin definiție, executabilul e acel fișier care conține instrucțiuni ce urmează a fi executate direct de procesor. Un script .bat (la fel ca alte tipuri de scripturi) conține instrucțiuni care îi spun unui program (interpretor) ce să facă.
ov1d1u(Citează)
27/03/2023 la 9:33 AM
Aici e si vina google. Chiar daca a fost furata sesiunea, e destul de simplu de detectat ca sesiunea e folosita de pe alt ip si sa ceara login din nou. Problema rezolvata.
Am urmarit clipul lui Linus, s-a chinuit ore intregi sa rezolve problema, cand cu un simplu “log out everywhere” rezolva problema, practic invalida toate sesiunile si gata.
Calin(Citează)
03/07/2023 la 8:19 AM
Capitane!
In “industrie” nu exista doar virusi, ci si malware si troieni, worms si altele, toate diferite ca definitie dar si ca actiune vatamatoare. Sunt termeni diferiti pentru actiuni ale lor complet diferite, nu doar asa de nuanta sau ca ne plictisim.
Ce captureaza antivirusul prin “drivere”? Drivere? De kernel? Al cui, al Windoswului, al av-ului? Ce drivere??
Prin alt comentariu vad ca zici de Windows Defender. Ia vezi pe AV Test si AV Comparatives, site-uri independente care doar antivirusi testeaza ca scop al lor in viata, Windows Defender ala gratuit iese atat mai bun decat Malwarebytes premium cat si se ia de gat cu succes cu Bitdefender si Kaspersky si alti “seriosi”, la detectie. Verifica pe mai multe luni in urma testele.
Cum vrei sa ma semnez? Generalul?
Red(Citează)