KAN MAN BLIVER HACKET OG SÅ FORFØLGES FOR DET?
Cryptocurrency kriminalitetsherrer. Sikkerhedsrettelser til VMware, OpenSSH , OpenSSL. Medicinsk overtræder busted. Er det en bug eller en funktion?
Klik og træk på lydbølgerne nedenfor for at springe til ethvert punkt. Du kan også lytte direkte på Soundcloud.
Med Doug Aamoth og Paul Ducklin
Intro og outro musik af Edith Mudge.
Du kan lytte til os på Soundcloud, Apple Podcasts, Google Podcasts, Spotify, Stitcher og overalt, hvor gode podcasts findes. Eller bare drop URL til vores RSS-feed til din yndlings podcatcher.
LÆS TRANSCRIPTET
DOUG. Patches, rettelser og kriminalherrer – oh my!
Åh, og endnu en adgangskodemanager i nyhederne.
Alt det, og mere, på Naked Security-podcasten.
[MUSIK MODEM]
Velkommen til podcasten, alle sammen.
Jeg er Paul Ducklin; han er Doug Aamoth...
..tror jeg fik det bagvendt, Paul: *Jeg* er Doug Aamoth; *han* er Paul Ducklin.
Paul, vi starter gerne showet med en Denne uge i teknisk historie segment.
Og jeg vil gerne indsende noget fra meget nyere historie.
I denne uge, den 06. februar 2023, har vores egen Paul Ducklin...
AND. [GLAD] Wooooo!
DOUG. ...offentliggjorde et interview med teknologijournalist Andy Greenberg om hans nye bog, "Tracers in the Dark - the Global Hunt for the Crime Lords of Cryptocurrency."
Lad os lytte til et hurtigt klip...
[MUSIKAL STING]
PAUL DUCKLIN. Der har bestemt været en fascination i årtier at sige, "Du ved hvad? Det her med kryptering? Det er faktisk en rigtig, rigtig dårlig idé. Vi har brug for bagdøre. Vi skal være i stand til at bryde det, nogen skal tænke på børnene osv. osv.”
ANDY GREENBERG. Nå, det er interessant at tale om kryptobagdøre og den juridiske debat om kryptering, som selv retshåndhævelse ikke kan knække.
Jeg tror, at historien om denne bog på nogle måder viser, at det ofte ikke er nødvendigt.
Jeg mener, de kriminelle i denne bog brugte traditionel kryptering.
De brugte Tor og det mørke web.
Og intet af det blev knækket for at buste dem.
[MUSIKAL STING]
AND. Jeg ved godt, at jeg ville sige dette, Doug, men jeg anbefaler stærkt, at du lytter til det podcast.
Eller, hvis du foretrækker at læse, så gå og se transskriptionen igennem, fordi...
…som jeg sagde til Andy til sidst, var det lige så fascinerende at tale med ham, som det var at læse bogen i første omgang.
Jeg anbefaler grundigt bogen, og han har fået nogle fantastiske indsigter i ting som kryptografiske bagdøre, der ikke kun kommer fra mening, men fra at se på, hvordan retshåndhævelse tilsyneladende meget effektivt har håndteret cyberkriminalitet uden at skulle træde på vores privatliv, måske som meget som nogle mennesker synes er nødvendigt.
Så nogle fascinerende indsigter derinde, Doug:
Tracers in the Dark: The Global Hunt for the Crime Lords of Crypto
DOUG. Tjek det ud... det er i standarden Naked Security podcast-feed.
Hvis du får vores podcast, burde det være den lige før dette.
Og lad os nu gå til en lynrunde af rettelser og opdateringer.
Vi har OpenSSL. vi har VMware, og vi har OpenSSH.
Lad os begynde med VMware. Paul:
VMWare bruger? Bekymret for "ESXi ransomware"? Tjek dine patches nu!
AND. Dette blev en kæmpe historie, tror jeg, på grund af en bulletin, der blev udsendt af det franske CERT (Computer Emergency Response Team) fredag i sidste uge.
Så. det ville være den 03. februar 2023.
De fortalte simpelthen hvordan det var: "Hej, der er disse gamle sårbarheder i VMware ESXi, som du kunne have rettet i 2000 og 2021, men nogle mennesker gjorde det ikke, og nu misbruger skurke dem. Overraskelse, overraskelse: slutresultatet er lig med ransomware."
De sagde det ikke helt sådan... men det var formålet med bulletinen.
Det blev lidt af en nyhedsstorm af [STARTLED VOICE], "Åh, nej! Kæmpe fejl i VMware!"
Det ser ud som om folk udledte, "Åh, nej! Der er en helt ny nul-dag! Jeg må hellere smide alt ud og gå og kigge!”
Og på nogle måder er det værre end en nul-dag, for hvis du er i fare for denne særlige boutique-cybergangs-angreb, der ender med ransomware...
…du har været sårbar i to år.
DOUG. 730 dage, faktisk...
AND. Nøjagtig!
Så jeg skrev artiklen for at forklare, hvad problemet var.
Jeg dekompilerede og analyserede også den malware, som de brugte til sidst.
Fordi jeg tror, at det, mange mennesker læste ind i denne historie, er: "Wow, der er denne store fejl i VMware, og den fører til ransomware. Så hvis jeg er lappet, behøver jeg ikke at gøre noget, og ransomwaren vil ikke ske."
Og problemerne er, at disse huller i det væsentlige kan bruges til at få root-adgang på ESXi-bokse, hvor skurkene ikke behøver at bruge ransomware.
De kunne stjæle data, afsendelse af spam, keylogging, kryptominering, {indsæt mindst foretrukne cyberkriminalitet her}.
Og ransomware-værktøjet, som disse skurke bruger, som er semi-automatiseret, men kan bruges manuelt, er en selvstændig fil-scrambler, der er designet til at scramble virkelig store filer hurtigt.
Så de er ikke fuldt krypteret – de har konfigureret det, så det krypterer en megabyte, springer 99 MB over, krypterer en megabyte, springer 99 MB over...
…så det vil komme igennem en multi-gigabyte eller endda en terabyte VMDK (virtuel maskinbilledfil) virkelig, virkelig hurtigt.
Og de har et script, der kører dette krypteringsværktøj for hvert VMware-billede, det kan finde, alt sammen parallelt.
Selvfølgelig kunne enhver implementere dette særlige værktøj *uden at bryde ind gennem VMware-sårbarheden*.
Så hvis du ikke er patchet, ender det ikke nødvendigvis med ransomware.
Og hvis du er lappet, er det ikke den eneste måde, skurkene kunne komme ind på.
Så det er nyttigt at informere dig selv om risiciene ved denne ransomware, og hvordan du kan forsvare dig mod det.
DOUG. Okay, meget godt.
Så har vi en stikke dobbeltfri hukommelsesfejl i OpenSSH.
Det er sjovt at sige...
OpenSSH retter en dobbeltfri hukommelsesfejl, der kan overføres via netværket
AND. Det er, Doug.
Og jeg tænkte: "Det er ret sjovt at forstå," så jeg skrev det på Naked Security som en måde at hjælpe dig med at forstå noget af denne hukommelsesrelaterede fejl-jargon.
Det er et ret esoterisk problem (det vil sandsynligvis ikke påvirke dig, hvis du bruger OpenSSH), men jeg synes stadig, det er en interessant historie, fordi [A] fordi OpenSSH-holdet besluttede, at de ville afsløre det i deres udgivelsesnoter, "Det har ikke et CVE-nummer, men her er hvordan det virker alligevel,” og [B] det er en god påmindelse om, at hukommelsesstyringsfejl, især når du koder i C, kan ske selv for erfarne programmører.
Dette er en dobbeltfri, hvilket er et tilfælde, hvor du afslutter med en hukommelsesblok, så du afleverer den tilbage til systemet og siger: "Du kan give dette til en anden del af mit program. Jeg er færdig med det."
Og så, senere, i stedet for at bruge den samme blok igen, efter at du har givet op (hvilket selvfølgelig ville være dårligt), afleverer du hukommelsen igen.
Og det lyder lidt som: "Nå, hvad er skaden sket? Du sikrer dig bare.”
Det er som at løbe tilbage fra parkeringspladsen ind i din lejlighed og gå op og tjekke: "Slukkede jeg virkelig ovnen?"
Det gør ikke noget, hvis du går tilbage, og den er slukket; det betyder kun noget, hvis du går tilbage, og du opdager, at du ikke har slukket den.
Så hvad er skaden med en double-free?
Problemet er selvfølgelig, at det kan forvirre det underliggende system, og det kan føre til, at en andens hukommelse bliver forkert eller uhåndterlig på en måde, som skurke kan udnytte.
Så hvis du ikke forstår, hvordan alt det der fungerer, så synes jeg, at dette er interessant, måske endda vigtig, læsning...
… selvom fejlen er rimelig esoterisk, og så vidt vi ved, har ingen fundet ud af en måde at udnytte den på endnu.
DOUG. Sidst men bestemt ikke mindst er der en høj sværhedsgrad fejl i datatyveri i OpenSSL, der er blevet rettet.
Og jeg vil opfordre folk, hvis du er ligesom mig, rimeligt tekniske, men jargonaverse...
…de officielle noter er fyldt med jargon, men, Paul, du gør et mesterligt stykke arbejde med at oversætte denne jargon til almindeligt engelsk.
Inklusive en dynamitforklaring af, hvordan hukommelsesfejl fungerer, inklusive: NULL dereference, ugyldig pointer dereference, læsebufferoverløb, use-after-free, double-free (som vi lige har talt om) og mere:
OpenSSL retter fejl ved datatyveri af høj alvorlighed – patch nu!
AND. [PAUSE] Nå, du har efterladt mig en smule målløs der, Doug.
Mange tak for dine venlige ord.
Jeg skrev denne op for... Jeg ville sige to grunde, men en slags tre grunde.
Den første er, at OpenSSH og OpenSSL er to helt forskellige ting – de er to helt forskellige open source-projekter, der drives af forskellige teams – men de er begge ekstra-super-udbredt.
Så især OpenSSL-fejlen gælder sandsynligvis for dig et eller andet sted i dit it-ejendom, fordi et produkt, du har et eller andet sted, næsten helt sikkert inkluderer det.
Og hvis du har en Linux-distro, giver distroen sikkert også sin egen version - min Linux blev opdateret samme dag, så du vil selv gå og tjekke.
Så jeg ville gøre folk opmærksomme på de nye versionsnumre.
Og som vi sagde, var der denne svimlende mængde jargon, som jeg syntes var værd at forklare... hvorfor selv små ting betyder noget.
Og der er en fejl med høj alvorlighed. (Jeg vil ikke forklare type forvirring her - gå til artiklen, hvis du vil have nogle analogier om, hvordan det virker.)
Og dette er et tilfælde, hvor en angriber måske bare kan udløse, hvad der virker som helt uskyldige hukommelsessammenligninger, hvor de bare sammenligner denne buffer af hukommelse med den buffer af hukommelse...
…men de dirigerer en af bufferne forkert, og se, de kan finde ud af, hvad der er i *din* buffer ved at sammenligne det med kendte ting, som de har lagt i *deres*.
I teorien kunne du misbruge sådan en fejl på en måde, du kan kalde Heartbleed.
Jeg er sikker på, at vi alle husker det, hvis vores it-karriere går tilbage til 2014 eller før – den OpenSSL Heartbleed-fejl, hvor en klient kunne pinge en server og sige: "Lever du stadig?"
“Heartbleed heartache” – skal du VIRKELIG ændre alle dine adgangskoder med det samme?
Og det ville sende en besked tilbage, der indeholdt op til 64 kilobyte ekstra data, der muligvis inkluderede andres hemmeligheder ved en fejltagelse.
Og det er problemet med hukommelseslækage-fejl eller potentielle hukommelseslækage-fejl i kryptografiske produkter.
De har generelt meget mere at skjule end traditionelle programmer!
Så gå hen og læs det og lapp helt sikkert så snart du kan.
DOUG. Jeg kan ikke tro, at Heartbleed var 2014.
Det ser ud til... Jeg havde kun et barn, da det kom ud, og han var en baby, og nu har jeg to mere.
AND. Og alligevel taler vi stadig om det...
DOUG. Helt seriøst!
AND. …som en definerende påmindelse om, hvorfor et simpelt læsebufferoverløb kan være ret katastrofalt.
Fordi mange mennesker har en tendens til at tænke: "Åh, jamen, det er helt sikkert meget mindre skadeligt end et *skrive* bufferoverløb, hvor jeg kan komme til at injicere shellcode eller aflede et programs adfærd?"
Sikkert, hvis jeg bare kan læse ting, ja, jeg kan måske få dine hemmeligheder... det er dårligt, men det lader mig ikke få root-adgang og overtage dit netværk.
Men som mange nyere databrud har bevist, kan det nogle gange at kunne læse ting fra én server spilde hemmeligheder, der lader dig logge ind på en masse andre servere og gøre meget mere frække ting!
DOUG. Nå, det er en stor sag om frække ting og hemmeligheder.
Vi har en opdatering til en historie fra Nøgen Sikkerhed fortid.
Du husker måske historien fra slutningen af sidste år om en person, der bryder et psykoterapifirma og stjæler en masse udskrifter af terapisessioner og derefter bruger denne information til at afpresse patienterne i dette firma.
Nå, han gik på flugt... og var bare for nylig arresteret i Frankrig:
AND. Dette var en virkelig grim forbrydelse.
Han brød ikke bare et firma og stjal en masse data.
Han brød et *psykoterapi*-firma, og dobbelt-desværre havde det firma været fuldstændig eftergivende, ser det ud til, i deres datasikkerhed.
Faktisk er deres tidligere administrerende direktør i problemer med myndighederne på grund af anklager, der i sig selv kunne resultere i en fængselsstraf, fordi de simpelthen havde alle disse dynamitoplysninger, som de virkelig skyldte deres patienter at beskytte, og det havde de ikke.
De lagde det tilsyneladende på en skyserver med en standardadgangskode, hvor skurken faldt over den.
Men det er karakteren af, hvordan bruddet udfoldede sig, der var virkelig forfærdeligt.
Han afpressede virksomheden... Jeg tror, han sagde: "Jeg vil have €450,000, ellers spilder jeg alle data."
Og selvfølgelig havde selskabet holdt schtumm om det - derfor besluttede tilsynsmyndighederne også at gå efter selskabet.
De havde tiet om det i håbet om, at ingen nogensinde ville finde ud af det, og her kommer denne fyr og siger: "Betal os pengene, ellers."
Nå, de ville ikke betale ham.
Der var ingen mening: han havde allerede fået daten, og han gjorde allerede dårlige ting med den.
Og så, som du siger, besluttede skurkene, "Nå, hvis jeg ikke kan få 450,000 € ud af virksomheden, hvorfor prøver jeg så ikke at slå op hver eneste person, der havde psykoterapi for 200 € hver?"
Ifølge den velkendte cybersleuth-journalist Brian Krebs sagde hans afpresningsseddel: "Du har 24 timer til at betale mig €200. Så giver jeg dig 48 timer til at betale €500. Og hvis jeg ikke har hørt fra dig efter 72 timer, vil jeg fortælle dine venner og familie, og alle, der vil vide, de ting, du sagde."
Fordi disse data inkluderede transskriptioner, Doug.
Hvorfor i alverden opbevarede de overhovedet disse ting som standard i første omgang?
Det kommer jeg aldrig til at forstå.
Som du siger, flygtede han fra landet, og han blev arresteret "in absentia" af finnerne; som gav dem mulighed for at udstede en international arrestordre.
I hvert fald, nu står han over for musikken i Frankrig, hvor franskmændene selvfølgelig søger at udlevere ham til Finland, og finnerne søger at stille ham i retten.
Tilsyneladende har han form [ækvivalent i USA: tidligere] for det. Doug.
Han er tidligere blevet dømt for cyberkriminalitet, men dengang var han mindreårig.
Han er nu 25 år gammel, tror jeg; dengang var han 17, så han fik en ny chance.
Han fik en betinget dom og en lille bøde.
Men hvis disse påstande er korrekte, tror jeg, at mange af os har mistanke om, at han ikke slipper så let denne gang, hvis han bliver dømt.
DOUG. Så dette er en god påmindelse om, at du kan være – hvis du er som denne virksomhed – både offeret *og* den skyldige.
Og endnu en påmindelse om, at du er nødt til at have en plan på plads.
Så vi har nogle råd i slutningen af artiklen, startende med: Genhør, hvad du vil gøre, hvis du selv bliver udsat for et brud.
Du skal have en plan!
AND. Absolut.
Du kan ikke gøre det op, mens du går, for der vil simpelthen ikke være tid.
DOUG. Og også, hvis du er en person, der er påvirket af noget som dette: Overvej at indgive en anmeldelse, for det hjælper med efterforskningen.
AND. Det gør den faktisk.
Min forståelse er, at i dette tilfælde gik mange mennesker, der modtog disse afpresningskrav, til myndighederne og sagde: "Dette kom ud af det blå. Det er som at blive overfaldet på gaden! Hvad vil du gøre ved det?”
Myndighederne sagde: "Godt, lad os samle rapporterne," og det betyder, at de kan bygge en bedre sag og fremsætte stærkere argumenter for noget som udlevering.
DOUG. Okay, meget godt.
Vi vil runde vores show af med: "Endnu en uge, endnu en adgangskodeadministrator på den varme stol."
Denne gang er det KeePass.
Men denne særlige kerfuffle er ikke så ligetil, Paul:
Adgangskodestjælende "sårbarhed" rapporteret i KeePass - fejl eller funktion?
AND. Faktisk, Doug, tror jeg, man kan sige, at det er meget ligetil... og på samme tid umådeligt kompliceret. [griner]
DOUG. OK, lad os tale om, hvordan det faktisk fungerer.
Funktionen i sig selv er en slags automatiseringsfunktion, en script-type...
AND. “Trigger” er det begreb, man skal søge efter – det kalder de det.
Så når du f.eks. gemmer [KeePass]-databasefilen (måske har du opdateret en adgangskode eller oprettet en ny konto, og du trykker på gem-knappen), ville det ikke være rart, hvis du kunne ringe til et personligt tilpasset script, der synkroniserer disse data med noget cloud backup?
I stedet for at prøve at skrive kode i KeePass for at håndtere alle mulige cloud-uploadsystemer i verden, hvorfor så ikke tilbyde en mekanisme, hvor folk kan tilpasse det, hvis de vil?
Præcis det samme, når du prøver at bruge en adgangskode... du siger, "Jeg vil kopiere den adgangskode og bruge den."
Ville det ikke være rart, hvis du kunne kalde på et script, der får en kopi af klartekst-adgangskoden, så den kan bruge den til at logge ind på konti, der ikke er helt så simple som blot at lægge dataene ind i en webformular, der er på din skærm?
Det kan være noget som din GitHub-konto, eller din Kontinuerlig Integration-konto, eller hvad det nu er.
Så disse ting kaldes "triggere", fordi de er designet til at udløse, når produktet gør visse ting.
Og nogle af disse ting – uundgåeligt, fordi det er en adgangskodemanager – handler om at håndtere dine adgangskoder.
De, der siger nej, føler, at "Åh, ja, de triggere, de er for nemme at konfigurere, og tilføjelse af en trigger er ikke beskyttet af en adgangskode til manipulation."
Du skal indtaste en hovedadgangskode for at få adgang til dine adgangskoder, men du behøver ikke at indtaste hovedadgangskoden for at få adgang til konfigurationsfilen for at få adgang til adgangskoden.
Det er, tror jeg, der, nej-sigerne kommer fra.
Og andre mennesker siger: "Ved du hvad? De skal have adgang til konfigurationsfilen. Hvis de har det, er du allerede i dybe problemer!”
DOUG. "Folket" inkluderer KeePass, som siger: "Dette program er ikke sat op til at forsvare sig mod nogen [GRNER], der sidder i din stol, når du allerede har logget ind på din maskine og appen."
AND. Ja.
Og jeg tror, sandheden nok ligger et sted i midten.
Jeg kan se argumentet hvorfor, hvis du vil have adgangskoden beskyttet med hovedadgangskoden... hvorfor beskytter du så ikke konfigurationsfilen også?
Men jeg er også enig med folk, der siger: ”Ved du hvad? Hvis de har logget ind på din konto, og de er på din computer, og de allerede er dig, kom du ligesom på andenpladsen i løbet."
Så gør ikke det!
DOUG. [GRNER] OK, så hvis vi zoomer lidt ud på denne historie...
...Naked Security-læser Richard spørger:
Er en adgangskodemanager, uanset hvilken, et enkelt fejlpunkt? Designet er det et mål af høj værdi for en hacker. Og tilstedeværelsen af enhver sårbarhed gør det muligt for en angriber at jackpot hver adgangskode på systemet, uanset disse kodeords fiktive styrke.
Jeg tror, det er et spørgsmål, som mange mennesker stiller lige nu.
AND. På en måde, Doug, er det et slags ubesvaret spørgsmål.
Lidt ligesom denne "trigger" ting i konfigurationsfilen i KeePass.
Er det en fejl, eller er det en funktion, eller skal vi acceptere, at det er lidt af begge dele?
Jeg tror, som en anden kommentator sagde i den samme artikel, at der er et problem med at sige: "En adgangskodeadministrator er et enkelt fejlpunkt, så jeg vil ikke bruge en. Det, jeg vil gøre, er, at jeg finder *en* virkelig, virkelig, kompliceret adgangskode, og jeg vil bruge den til alle mine websteder."
Hvilket er, hvad mange mennesker gør, hvis de ikke bruger en adgangskodemanager... og i stedet for at være et *potentielt* enkelt fejlpunkt, skaber det noget, der præcist, absolut *og allerede* er et enkelt fejlpunkt.
Derfor er en adgangskodemanager bestemt det mindste af to onder.
Og jeg tror, der er meget sandhed i det.
DOUG. Ja, jeg vil sige, at jeg tror, det *kan* være et enkelt fejlpunkt, afhængigt af hvilke typer konti du fører.
Men for mange tjenester er og bør det ikke være et enkelt punkt med *total* fiasko.
For eksempel, hvis min bankadgangskode bliver stjålet, og nogen går for at logge ind på min bankkonto, vil min bank se, at de logger ind fra den anden side af verden og sige: "Hov! Vent lige lidt! Det her ser mærkeligt ud."
Og de vil stille mig et sikkerhedsspørgsmål, eller de vil e-maile mig en sekundær kode, som jeg skal indtaste, selvom jeg ikke er sat op til 2FA.
De fleste af mine vigtige konti... Jeg bekymrer mig ikke så meget om disse legitimationsoplysninger, fordi der ville være en automatisk anden faktor, som jeg skulle springe igennem, fordi login ville se mistænkeligt ud.
Og jeg håber, at teknologien bliver så nem at implementere, at ethvert websted, der opbevarer enhver form for data, bare har det indbygget: "Hvorfor logger denne person på fra Rumænien midt om natten, når de normalt er i Boston?"
Mange af disse failsafes er på plads til store vigtige ting, som du måske holder online, så jeg håber, at det ikke behøver at være et enkelt fejlpunkt i den forstand.
AND. Det er en god pointe, Doug, og jeg synes, det på en måde illustrerer, at der er, hvis du vil, et brændende spørgsmål bag-spørgsmålet, som er: "Hvorfor har vi brug for så mange adgangskoder i første omgang?"
Og måske er en måde at gå mod en fremtid uden adgangskode simpelthen ved at give folk mulighed for at bruge websteder, hvor de kan vælge *ikke* at have den (luft-citater) "gigantiske bekvemmelighed" ved at skulle oprette en konto i første omgang.
DOUG. [GLUM LUN] Som vi diskuterede, blev jeg berørt af LastPass-bruddet, og jeg kiggede på min gigantiske liste over adgangskoder og sagde: "Åh, min Gud, jeg er nødt til at skifte alle disse adgangskoder!"
Som det viser sig, var jeg nødt til at *ændre* halvdelen af disse adgangskoder, og værre, jeg var nødt til at *annullere* den anden halvdel af disse konti, fordi jeg havde så mange konti derinde...
… bare for det du sagde; "Jeg er nødt til at oprette en konto bare for at få adgang til noget på denne side."
Og de er ikke alle bare klik-og-annuller.
Nogle, du er nødt til at ringe.
Nogle, du er nødt til at tale med nogen over live chat.
Det var meget mere besværligt end blot at ændre en masse adgangskoder.
Men jeg vil opfordre folk, uanset om du bruger en adgangskodeadministrator eller ej, tage et kig på det store antal konti, du har, og slette dem, du ikke bruger mere!
AND. Ja.
Med tre ord: "Mindre er mere."
DOUG. Absolut!
Okay, mange tak, Richard, fordi du sendte det ind.
Hvis du har en interessant historie, kommentar eller spørgsmål, du gerne vil indsende, vil vi meget gerne læse den på podcasten.
Du kan sende en e-mail til tips@sophos.com, du kan kommentere på en af vores artikler, eller du kan kontakte os på socialt: @NakedSecurity.
Det er vores show for i dag; mange tak fordi du lyttede.
For Paul Ducklin er jeg Doug Aamoth, og minder dig om, indtil næste gang...
BEGGE. Hold dig sikker!
[MUSIK MODEM]
- SEO Powered Content & PR Distribution. Bliv forstærket i dag.
- Platoblokkæde. Web3 Metaverse Intelligence. Viden forstærket. Adgang her.
- Kilde: https://nakedsecurity.sophos.com/2023/02/09/s3-ep121-can-you-get-hacked-and-then-prosecuted-for-it-audio-text/
- 000
- 2014
- 2021
- 2023
- 2FA
- a
- I stand
- Om
- Om Crypto
- om det
- absolut
- misbrug
- Acceptere
- adgang
- Konto
- Konti
- tværs
- faktisk
- rådgivning
- påvirke
- Efter
- mod
- Alle
- beskyldninger
- tillader
- allerede
- I orden
- forbløffende
- ,
- En anden
- nogen
- overalt
- lejlighed
- app
- Apple
- argument
- arrestere
- anholdt
- artikel
- artikler
- angribe
- lyd
- forfatter
- Myndigheder
- Automatisk Ur
- Automation
- Baby
- tilbage
- Bagdøre
- backup
- Bad
- Bank
- bankkonto
- fordi
- blive
- før
- være
- Tro
- jf. nedenstående
- Bedre
- Big
- Bit
- Bloker
- Blå
- bog
- boston
- kasser
- brand
- Brand New
- brud
- brud
- Pause
- Breaking
- Brian
- buffer
- bufferoverløb
- Bug
- bugs
- bygge
- bygget
- bulletin
- Bunch
- buste
- .
- ringe
- kaldet
- kan ikke
- bil
- karriere
- tilfælde
- katastrofale
- Direktør
- vis
- sikkert
- Formand
- chance
- lave om
- skiftende
- afgifter
- kontrollere
- kontrol
- barn
- Børn
- Vælg
- kunde
- Cloud
- sky server
- kode
- Kodning
- indsamler
- KOM
- Kom
- kommer
- KOMMENTAR
- selskab
- sammenligne
- fuldstændig
- kompliceret
- computer
- Konfiguration
- kontinuerlig
- kunne
- land
- kursus
- Ret
- sprække
- revnet
- skabe
- skaber
- Legitimationsoplysninger
- Kriminalitet
- Kriminelle
- Crooks
- krypto
- cryptocurrency
- kryptografisk
- Kryptominedrift
- CVE
- cyberkriminalitet
- mørk
- Mørk Web
- data
- Databrænkelser
- datasikkerhed
- Database
- Dato
- dag
- deal
- debat
- årtier
- besluttede
- dyb
- Standard
- definere
- definitivt
- glad
- krav
- Afhængigt
- indsætte
- Design
- konstrueret
- DID
- forskellige
- offentliggøre
- drøftet
- Er ikke
- gør
- Dont
- dobbeltfri
- Drop
- hver
- jorden
- effektivt
- Ellers
- nødsituation
- krypteret
- kryptering
- håndhævelse
- Engelsk
- Lig
- Ækvivalent
- væsentlige
- ejendom
- etc.
- Endog
- NOGENSINDE
- Hver
- at alt
- præcist nok
- eksempel
- erfarne
- Forklar
- Exploit
- afpresning
- ekstra
- udlevering
- vender
- Manglende
- familie
- fascinerende
- Feature
- februar
- regnede
- File (Felt)
- Filer
- Arkivering
- Finde
- ende
- slut
- Finland
- Fornavn
- fast
- formular
- Tidligere
- tidligere administrerende direktør
- fundet
- Fransk vin
- Fransk
- Fredag
- venner
- fra
- fuld
- fuldt ud
- sjovt
- fremtiden
- generelt
- genereret
- få
- få
- kæmpe
- GitHub
- Giv
- given
- Global
- Go
- Gud
- Goes
- gå
- godt
- stor
- Guy
- hacket
- hacker
- Halvdelen
- Håndtering
- ske
- skadelig
- hoved
- hørt
- heartbleed-bug
- hjælpe
- hjælper
- link.
- Skjule
- Høj
- historie
- Hit
- rammer
- Huller
- håber
- håber
- HOT
- HOURS
- Hvordan
- HTTPS
- kæmpe
- SYG
- idé
- billede
- uhyre
- gennemføre
- vigtigt
- in
- omfatter
- medtaget
- omfatter
- Herunder
- oplysninger
- indsigt
- instans
- i stedet
- integration
- interessant
- internationalt
- undersøgelse
- spørgsmål
- IT
- selv
- Jackpot
- jargon
- Job
- journalist
- hoppe
- Holde
- holde
- Venlig
- Kend
- kendt
- Efternavn
- Sidste år
- LastPass
- Sent
- grine
- Lov
- retshåndhævelse
- føre
- førende
- Politikker
- mindre
- lyn
- linux
- Liste
- Lytte
- lidt
- leve
- belastning
- Se
- kiggede
- leder
- UDSEENDE
- Lords
- Lot
- kærlighed
- maskine
- lave
- Making
- malware
- ledelse
- leder
- manuelt
- mange
- Master
- Matter
- Matters
- midler
- mekanisme
- medicinsk
- Hukommelse
- besked
- Mellemøsten
- måske
- mindre
- fejltagelse
- penge
- mere
- bevæge sig
- Musik
- musical
- Naked Security
- Podcast for nøgen sikkerhed
- Natur
- nødvendigvis
- nødvendig
- Behov
- behøve
- netværk
- Ny
- nyheder
- næste
- nat
- Normalt
- Noter
- mæssig
- nummer
- numre
- officiel
- Gammel
- ONE
- online
- åbent
- open source
- open source projekter
- openssl
- Udtalelse
- Andet
- skyldte
- egen
- Parallel
- Park
- del
- særlig
- især
- Adgangskode
- Password Manager
- Nulstilling/ændring af adgangskoder
- patch
- Patches
- patienter
- paul
- Betal
- Mennesker
- folks
- måske
- person,
- ping
- Place
- Almindeligt
- Simpel tekst
- fly
- plato
- Platon Data Intelligence
- PlatoData
- Masser
- podcast
- Podcasts
- Punkt
- mulig
- Indlæg
- potentiale
- foretrække
- tilstedeværelse
- fængsel
- Beskyttelse af personlige oplysninger
- sandsynligvis
- Problem
- problemer
- Produkt
- Produkter
- Program
- Programmører
- projekter
- beskytte
- beskyttet
- bevist
- give
- giver
- psykoterapi
- formål
- sætte
- Sætte
- spørgsmål
- Hurtig
- hurtigt
- Løb
- ransomware
- Læs
- Læser
- Læsning
- årsager
- modtaget
- nylige
- anbefaler
- Uanset
- Regulators
- frigive
- huske
- indberette
- rapporteret
- Rapporter
- svar
- resultere
- Richard
- Risiko
- risici
- Rumænien
- rod
- Root adgang
- rundt
- rss
- Kør
- kører
- Said
- samme
- Gem
- Skærm
- Søg
- Anden
- sekundær
- sikkerhed
- søger
- synes
- segment
- afsendelse
- forstand
- dømme
- Tjenester
- sessioner
- sæt
- bør
- Vis
- Shows
- Simpelt
- ganske enkelt
- enkelt
- websted
- Websteder
- Siddende
- lille
- So
- Social
- nogle
- Nogen
- noget
- et eller andet sted
- Snart
- Kilde
- spam
- Spotify
- standalone
- standard
- starte
- Starter
- forblive
- Stadig
- stjålet
- Storm
- Story
- ligetil
- styrke
- stærkere
- kraftigt
- indsende
- sikkert
- overraskelse
- suspenderet
- mistænksom
- systemet
- Tag
- Tal
- taler
- mål
- hold
- hold
- tech
- Teknisk
- Teknologier
- verdenen
- deres
- selv
- terapi
- ting
- ting
- grundigt
- tænkte
- tre
- Gennem
- tid
- til
- i dag
- også
- værktøj
- Tor
- mod
- traditionelle
- Transcript
- udløse
- problemer
- TUR
- Drejede
- typer
- underliggende
- forstå
- forståelse
- Opdatering
- opdateret
- URL
- us
- brug
- bruge efter frigivelse
- Bruger
- udgave
- Victim
- Virtual
- virtuel maskine
- vmware
- Voice
- Sårbarheder
- sårbarhed
- Sårbar
- vente
- ønskede
- Arrestordre
- måder
- web
- websites
- uge
- Kendt
- Hvad
- hvorvidt
- som
- WHO
- vilje
- uden
- ord
- Arbejde
- træning
- virker
- world
- bekymret
- værd
- ville
- skriver
- skriv kode
- år
- år
- Din
- dig selv
- zephyrnet
- zoom