ES IST SCHWIERIGER ALS SIE DENKEN
Kein Audioplayer unten? Hören Direkt auf Soundcloud.
Mit Doug Aamoth und Paul Ducklin. Intro- und Outro-Musik von Edith Mudge.
Ihr könnt uns auf hören Soundcloud, Apple Podcasts, Google Podcasts, Spotify, Stitcher und überall, wo gute Podcasts zu finden sind. Oder lass es einfach fallen URL unseres RSS-Feeds in Ihren Lieblings-Podcatcher.
LESEN SIE DAS TRANSKRIPT
DOUG. Risse im Passwort-Manager, Anmeldefehler und Königin Elisabeth I. gegen Maria Stuart, Königin von Schottland … natürlich!
All das und mehr im Naked Security-Podcast.
[MUSIKMODEM]
Willkommen zum Podcast, alle zusammen.
Ich bin Doug Aamoth; er ist Paul Ducklin.
Paul, wie geht es dir?
ENTE. Wow!
Informationstechnologie-Schädelgraberei aus dem 16. Jahrhundert trifft auf den Naked-Security-Podcast Douglas.
Ich kann es kaum erwarten!
DOUG. Natürlich ja ... dazu kommen wir gleich.
Aber zuerst veröffentlichte der Onlinedienstanbieter CompuServe, wie immer, diese Woche in der Technologiegeschichte, am 28. Mai 1987, etwas namens Graphics Interchange Format oder GIF [HARD G].
Es wurde vom verstorbenen Steve Wilhite, einem Ingenieur bei CompuServe (der übrigens schwörte, dass es „jif“ ausgesprochen wurde), als Mittel zur Unterstützung von Farbbildern auf der begrenzten Bandbreite und Speicherkapazität früher Computernetzwerke entwickelt.
Die ursprüngliche Version, GIF 87a, unterstützte maximal 256 Farben; Aufgrund seiner Fähigkeit, einfache Animationen anzuzeigen, und seiner breiten Unterstützung auf verschiedenen Computersystemen gewann es schnell an Popularität.
Vielen Dank, Herr Wilhite.
ENTE. Und was hat es uns hinterlassen, Douglas?
Webanimationen und Kontroverse darüber, ob das Wort „graphics“ [HARD G] oder „giraffics“ [SOFT G] ausgesprochen wird.
DOUG. Exakt. [LACHT]
ENTE. Ich kann es einfach nicht „giff“ [HARD G] nennen.
DOUG. Gleich!
Lassen Sie uns das abstempeln und mit unserer spannenden Geschichte fortfahren …
…über Königin Elisabeth I., Maria Stuart, Königin von Schottland, und einen Mann beide Seiten spielen zwischen Ransomware-Gaunern und seinem Arbeitgeber Paul.
Ransomware-Geschichten: Der MitM-Angriff, bei dem wirklich ein Mann in der Mitte war
ENTE. [LACHT] Fangen wir am Ende der Geschichte an.
Im Grunde handelte es sich um einen Ransomware-Angriff auf ein Technologieunternehmen in Oxfordshire, England.
(Nicht dieses … es war ein Unternehmen in Oxford, 15 km flussaufwärts von Abingdon-on-Thames, wo Sophos seinen Sitz hat.)
Nachdem sie von Ransomware betroffen waren, wurden sie, wie Sie sich vorstellen können, mit der Forderung konfrontiert, Bitcoin zu zahlen, um ihre Daten zurückzubekommen.
Und wie in dieser Geschichte hatten wir eine vor ein paar wochen, einer aus ihrem eigenen Defensivteam, der dabei helfen sollte, damit umzugehen, kam auf die Idee: „Ich werde einen MiTM durchführen“, einen Man-in-the-Middle-Angriff.
Ich weiß das, um eine geschlechtsspezifische Sprache zu vermeiden und der Tatsache Rechnung zu tragen, dass es heutzutage nicht immer eine Person ist (es ist oft ein Computer in der Mitte) …
…auf Naked Security schreibe ich jetzt „Manipulator-in-the-Middle“.
Aber das war buchstäblich ein Mann in der Mitte.
Einfach ausgedrückt, Doug, er hat es geschafft, von zu Hause aus E-Mails an seinen Arbeitgeber zu senden, und zwar mithilfe einer Art Tippfehler-E-Mail-Konto, das der E-Mail-Adresse des Betrügers ähnelte.
Er hat den Thread gekapert und die Bitcoin-Adresse in den historischen E-Mail-Spuren geändert, weil er Zugriff auf die E-Mail-Konten der leitenden Angestellten hatte …
…und er begann im Grunde als Mann in der Mitte zu verhandeln.
Stellen Sie sich also vor, dass er jetzt einzeln mit dem Gauner verhandelt und diese Verhandlungen dann an seinen Arbeitgeber weitergibt.
Wir wissen nicht, ob er gehofft hatte, mit dem ganzen Kopfgeld davonzulaufen und dann einfach zu seinem Arbeitgeber zu sagen: „Hey, wissen Sie was, die Gauner haben uns betrogen“, oder ob er die Gauner auf seiner Seite aushandeln wollte, und sein Arbeitgeber am anderen Ende.
Weil er wusste, was er sagen musste, was richtig und falsch war, um die Angst und den Schrecken im Unternehmen zu verstärken.
Sein Ziel bestand also im Grunde darin, die Ransomware-Zahlung zu kapern.
Nun, Doug, es ging alles etwas schief, denn zu seinem Unglück und zum Glück für seinen Arbeitgeber und die Strafverfolgungsbehörden entschied sich das Unternehmen, nicht zu zahlen.
DOUG. [LACHT] Hmmmm!
ENTE. Es gab also keine Bitcoins, die er stehlen und dann abhauen konnte.
Außerdem scheint es, dass er seine Spuren nicht sehr gut verbarg und sein unrechtmäßiger Zugriff auf die E-Mail-Protokolle dann ans Licht kam.
Er wusste offensichtlich, dass die Polizei ihm auf den Fersen war, denn er versuchte, die betrügerischen Daten von seinen eigenen Computern und Telefonen zu Hause zu löschen.
Aber sie wurden beschlagnahmt und die Daten wurden wiederhergestellt.
Irgendwie zog sich der Fall über fünf Jahre hin, und schließlich, gerade als er vor Gericht stand, entschied er offensichtlich, dass er nicht wirklich auf dem Stand der Dinge stand, und bekannte sich schuldig.
Da haben Sie es also, Doug.
Ein buchstäblicher Man-in-the-Middle-Angriff!
DOUG. OK, das ist alles schön und gut im Jahr 2023 …
…aber nimm uns zurück in die 1580er Jahre, Paulus.
Was ist mit Mary, Königin von Schottland und Königin Elizabeth I.?
ENTE. Nun, um ehrlich zu sein, dachte ich einfach, dass das eine gute Möglichkeit wäre, einen Man-in-the-Middle-Angriff zu erklären, indem man all die Jahre zurückblickt.
Denn bekanntlich waren Königin Elizabeth und ihre Cousine Mary, Königin von Schottland, religiöse und politische Feinde.
Elisabeth war die Königin von England; Maria war Thronprätendentin.
Daher wurde Mary faktisch unter Hausarrest gestellt.
Mary lebte in etwas Luxus, war aber auf ein Schloss beschränkt und plante tatsächlich eine Verschwörung gegen ihre Cousine, aber sie konnten es nicht beweisen.
Und Mary sendete und empfing Nachrichten, die in die Stopfen von Bierfässern gestopft waren, die zum Schloss gebracht wurden.
Anscheinend war in diesem Fall der Mann in der Mitte ein willfähriger Bierlieferant, der die Nachrichten entfernte, bevor Mary sie erhielt, damit sie kopiert werden konnten.
Und er fügte Ersatznachrichten ein, verschlüsselt mit Marys Chiffre, mit subtilen Änderungen, die, grob gesagt, Mary schließlich dazu brachten, mehr schriftlich festzuhalten, als sie wahrscheinlich hätte tun sollen.
Deshalb gab sie nicht nur die Namen anderer Verschwörer bekannt, sondern gab auch zu verstehen, dass sie das Komplott zur Ermordung von Königin Elisabeth befürwortete.
Es waren damals härtere Zeiten … und in England gab es damals sicherlich die Todesstrafe, und Mary wurde vor Gericht gestellt und hingerichtet.
DOUG. OK, für alle, die zuhören, lautet der Elevator Pitch für diesen Podcast: „Neuigkeiten und Ratschläge zur Cybersicherheit und ein wenig Geschichte“.
Zurück zu unserem Mann in der Mitte des heutigen Tages.
Wir haben darüber geredet eine weitere Insider-Bedrohung genau so vor nicht allzu langer Zeit.
Es wäre also interessant zu sehen, ob es sich dabei um ein Muster oder nur um einen Zufall handelt.
Aber wir haben über einige Dinge gesprochen, die Sie tun können, um sich vor solchen Angriffen zu schützen. Lassen Sie uns diese noch einmal kurz durchgehen.
Beginnen mit: Teile und herrsche, was im Grunde bedeutet: „Geben Sie keiner Person im Unternehmen uneingeschränkten Zugriff auf alles“, Paul.
ENTE. Ja.
DOUG. Und dann haben wir: Führen Sie unveränderliche Protokolle, was in diesem Fall so aussah, als wäre es passiert, oder?
ENTE. Ja.
Offenbar war in diesem Fall die Tatsache, dass er sich in die E-Mails der leitenden Angestellten vertieft und diese geändert hatte, ein entscheidendes Beweiselement, und das konnte er nicht verbergen.
Sie können sich also vorstellen, dass die Tatsache, dass er mit E-Mails herumgespielt hat, die sich speziell auf Ransomware-Verhandlungen und Bitcoin-Adressen beziehen, auch ohne die anderen Beweise besonders verdächtig wäre.
DOUG. Okay, endlich: Messen Sie immer, gehen Sie niemals davon aus.
ENTE. In der Tat!
DOUG. Am Ende haben die Guten gewonnen ... es hat fünf Jahre gedauert, aber wir haben es geschafft.
Kommen wir zu unserer nächsten Geschichte.
Web-Sicherheitsunternehmen findet einen Anmeldefehler in einem Toolkit zur App-Erstellung.
Der Fehler wird schnell und transparent behoben, das ist also schön ... aber es gibt noch ein bisschen mehr zur Geschichte, natürlich, Paul.
ENTE. Ja.
Hierbei handelt es sich um ein Unternehmen für Web-Coding-Sicherheitsanalysen (ich hoffe, ich habe dort die richtige Terminologie gewählt) namens SALT, das eine Authentifizierungslücke in einem App-Building-Toolkit namens Expo gefunden hat.
Und, segne ihre Herzen, die Expo unterstützt eine Sache namens OAUTH, die Autorisierung öffnen System funktionieren.
Das ist die Art von System, die verwendet wird, wenn Sie auf eine Website gehen, die entschieden hat: „Wissen Sie was, wir wollen uns nicht die Mühe machen, selbst zu lernen, wie wir Passwortsicherheit gewährleisten können.“ Wir werden sagen: „Mit Google anmelden, mit Facebook anmelden“, so etwas in der Art.
Und die Idee ist, dass man, grob gesagt, Facebook oder Google oder was auch immer der Mainstream-Dienst ist, Kontakt aufnimmt und sagt: „Hey, ich möchte geben.“ example.com
Erlaubnis, X zu tun.“
Also authentifiziert Facebook oder Google oder was auch immer Sie und sagt dann: „Okay, hier ist ein magischer Code, den Sie an die andere Seite weitergeben können, der besagt: ‚Wir haben Sie überprüft; Sie haben sich bei uns authentifiziert und dies ist Ihr Authentifizierungstoken.“
Dann kann die Gegenseite unabhängig bei Facebook, Google oder was auch immer nachfragen, um sicherzustellen, dass das Token in Ihrem Namen ausgestellt wurde.
Das bedeutet also, dass Sie niemals ein Passwort an die Website weitergeben müssen. Wenn Sie möchten, beauftragen Sie Facebook oder Google damit, den eigentlichen Authentifizierungsteil für Sie zu übernehmen.
Es ist eine großartige Idee, wenn Sie eine Boutique-Website betreiben und denken: „Ich werde mir nicht meine eigene Kryptografie basteln.“
Das ist also kein Fehler in OAUTH.
Es ist nur ein Versehen; etwas, das bei der Implementierung des OAUTH-Prozesses durch Expo vergessen wurde.
Und grob gesagt, Doug, es geht so.
Der Expo-Code erstellt eine riesige URL, die alle Parameter enthält, die für die Authentifizierung bei Facebook erforderlich sind und dann entscheidet, wohin das endgültige magische Zugriffstoken gesendet werden soll.
Wenn Sie also Ihre eigene URL erstellen oder die URL ändern könnten, könnten Sie theoretisch den Ort ändern, an den dieses magische Authentifizierungstoken schließlich gesendet wird.
Sie können den Benutzer jedoch nicht täuschen, da ein Dialogfeld mit der Meldung „Die App unter“ angezeigt wird URL-here
fordert Sie auf, sich bei Ihrem Facebook-Konto anzumelden. Vertraust Du diesem voll und ganz und möchtest es zulassen? Ja oder nein?"
Wenn es jedoch darum ging, den Autorisierungscode von Facebook, Google oder was auch immer zu erhalten und an diese „Rückgabe-URL“ weiterzuleiten, überprüfte der Expo-Code nicht, ob Sie tatsächlich geklickt hatten Yes
im Genehmigungsdialog.
Wenn Sie den Dialog aktiv gesehen und angeklickt haben No
, dann würden Sie den Angriff verhindern.
Aber im Wesentlichen ist dies „fehlgeschlagen“.
Wenn Sie den Dialog nie sehen würden, würden Sie nicht einmal wissen, dass es etwas zum Anklicken gibt, und Sie haben einfach nichts getan, und dann haben die Angreifer einfach von selbst mit mehr JavaScript den nächsten URL-Besuch ausgelöst …
…dann würde das System funktionieren.
Und der Grund dafür, dass es funktionierte, ist, dass die magische „Rückgabe-URL“, der Ort, an den der streng geheime Autorisierungscode gesendet werden sollte, in einem Web-Cookie für die spätere Verwendung durch Expo festgelegt wurde, *bevor Sie darauf geklickt haben Yes
im Dialog*.
Später wurde die Existenz dieses „Return-URL“-Cookies, wenn Sie so wollen, im Wesentlichen als Beweis dafür gewertet, dass Sie den Dialog gesehen und sich entschieden haben mussten, fortzufahren.
Tatsächlich war dies jedoch nicht der Fall.
Es war also ein riesiger Ausrutscher zwischen Tasse und Lippe, Douglas.
DOUG. Okay, wir haben ein paar Tipps, beginnend mit: Was die Meldung und Offenlegung dieses Fehlers angeht, war dies ein Musterbeispiel.
Das ist fast genau so, wie du es machen solltest, Paul.
Alles hat einfach so funktioniert, wie es sollte. Dies ist also ein großartiges Beispiel dafür, wie man dies bestmöglich macht.
ENTE. Und das ist einer der Hauptgründe, warum ich es über Naked Security schreiben wollte.
SALT, die Leute, die den Käfer gefunden haben ...
..sie haben es gefunden; sie haben es verantwortungsbewusst offengelegt; Sie arbeiteten mit Expo zusammen, die das Problem buchstäblich innerhalb weniger Stunden reparierte.
Obwohl es sich also um einen Fehler handelte, obwohl es ein Programmierfehler war, führte es dazu, dass SALT sagte: „Wissen Sie was, es war ein absolutes Vergnügen, mit den Expo-Leuten zusammenzuarbeiten.“
Dann machte sich SALT daran, ein CVE zu besorgen, und anstatt zu sagen: „Hey, der Fehler ist jetzt behoben, also können wir zwei Tage später eine große PR-Sensation darüber machen“, legten sie dennoch einen Termin drei Monate im Voraus fest, an dem sie tatsächlich schreiben würden Ihre Ergebnisse zusammenfassen und ihren sehr lehrreichen Bericht verfassen.
Anstatt es sofort für PR-Zwecke herauszubringen, für den Fall, dass sie in letzter Minute erwischt wurden, haben sie es nicht nur verantwortungsbewusst gemeldet, damit es behoben werden konnte, bevor Kriminelle es fanden (und es gibt keine Beweise dafür, dass irgendjemand diese Schwachstelle ausgenutzt hat), sondern sie haben es auch dann getan gaben der Expo ein wenig Spielraum, nach draußen zu gehen und mit ihren Kunden zu kommunizieren.
DOUG. Und dann haben wir natürlich noch ein bisschen darüber gesprochen: Stellen Sie sicher, dass Ihre Authentifizierungsprüfungen fehlschlagen.
Stellen Sie sicher, dass es nicht einfach weiter funktioniert, wenn jemand es ignoriert oder abbricht.
Aber das größere Problem hier ist: Gehen Sie niemals davon aus, dass Ihr eigener clientseitiger Code den Verifizierungsprozess steuert.
ENTE. Wenn Sie den genauen Prozess des von Expo bereitgestellten JavaScript-Codes befolgt hätten, um Sie durch diesen OAUTH-Prozess zu führen, wäre alles in Ordnung gewesen.
Aber wenn Sie deren Code vermieden und die Links tatsächlich nur mit Ihrem eigenen JavaScript ausgelöst haben, einschließlich der Umgehung oder des Abbruchs des Popups, dann haben Sie gewonnen.
Das Umgehen Ihres Client-Codes ist das Erste, woran ein Angreifer denken wird.
DOUG. Okay, zu guter Letzt: Melden Sie sich von Webkonten ab, wenn Sie diese nicht aktiv nutzen.
Das ist rundum ein guter Rat.
ENTE. Wir sagen es ständig im Naked Security-Podcast, und das haben wir auch viele Jahre.
Das ist ein unpopulärer Ratschlag, weil er ziemlich unpraktisch ist, so als würde man den Leuten sagen: „Hey, warum stellst du deinen Browser nicht so ein, dass er beim Beenden alle Cookies löscht?“
Wenn Sie darüber nachdenken, nehmen wir in diesem speziellen Fall an, dass die Anmeldung über Ihr Facebook-Konto erfolgt ist. OAUTH über Facebook.
Wenn Sie von Facebook abgemeldet wären, würde der Authentifizierungsprozess bei Facebook nicht erfolgreich sein, ganz gleich, welchen JavaScript-Verrat ein Angreifer auch versucht (das Expo-Popup zu zerstören und all das Zeug), weil Facebook sagen würde: „Hey, das ist die Person.“ Bitten Sie mich, sie zu authentifizieren. Sie sind derzeit nicht angemeldet.“
An dieser Stelle würde also immer und unvermeidlich das Facebook-Login-Popup erscheinen: „Sie müssen sich jetzt anmelden.“
Und das würde den Vorwand sofort verraten.
DOUG. OK sehr gut.
Und unsere letzte Geschichte des Tages: Keine Panik, es gibt offenbar eine Möglichkeit, das Master-Passwort für den Open-Source-Passwort-Manager KeePass zu knacken.
Aber noch einmal, keine Panik, denn es ist ein viel komplizierter als es scheint, Paul.
Man muss wirklich die Kontrolle über jemandes Maschine haben.
Ernsthafte Sicherheit: Der „Master-Passwort-Crack“ von KeePass und was wir daraus lernen können
ENTE. Sie machen.
Wenn Sie dies herausfinden möchten, ist es CVE-2023-32784.
Es ist ein faszinierender Fehler, und ich habe so etwas geschrieben Hauptwerk Stilartikel auf Naked Security darüber mit dem Titel: Der „Master-Passwort-Crack“ von KeePass und was wir daraus lernen können.
Deshalb möchte ich diesen Artikel nicht verderben, in dem es um die Speicherzuweisung vom Typ C, die Speicherzuweisung vom Typ Skriptsprache und schließlich um C#- oder .NET-verwaltete Zeichenfolgen geht … um die verwaltete Speicherzuweisung durch das System.
Ich beschreibe nur, was der Forscher in diesem Fall herausgefunden hat.
Sie haben im KeePass-Code und in den KeePass-Speicherauszügen nach Beweisen dafür gesucht, wie einfach es sein könnte, das Master-Passwort im Speicher zu finden, wenn auch nur vorübergehend.
Was ist, wenn es Minuten, Stunden oder Tage später da ist?
Was ist, wenn das Master-Passwort auch nach dem Neustart Ihres Computers immer noch herumliegt, möglicherweise in Ihrer Auslagerungsdatei auf der Festplatte?
Also habe ich KeePass eingerichtet und mir ein 16-stelliges Passwort in Großbuchstaben gegeben, damit ich es leicht erkennen kann, wenn ich es im Speicher finde.
Und siehe da, zu keinem Zeitpunkt habe ich mein Master-Passwort im Gedächtnis herumliegen gefunden: nicht als ASCII-String; nicht als Windows-Widechar-Zeichenfolge (UTF-16).
Groß!
Was diesem Forscher jedoch aufgefallen ist, ist, dass, wenn Sie Ihr Passwort in KeePass eingeben, … ich werde es „das Unicode-Blob-Zeichen“ nennen, nur um Ihnen zu zeigen, dass Sie tatsächlich eine Taste gedrückt haben, und damit um es Ihnen zu zeigen wie viele Zeichen Sie eingegeben haben.
Wenn Sie also Ihr Passwort eingeben, sehen Sie die Zeichenfolge „blob“ [●], „blob-blob“ [●●], „blob-blob-blob“ [●●●] und in meinem Fall alles bis zu 16 Blobs.
Nun, diese Blob-Strings scheinen kein Sicherheitsrisiko darzustellen, also wurden sie vielleicht einfach der .NET-Laufzeit überlassen, um sie als „verwaltete Strings“ zu verwalten, wo sie anschließend möglicherweise im Speicher herumliegen …
…und nicht sauber gemacht werden, weil: „Hey, das sind nur Kleckse.“
Es stellt sich heraus, dass, wenn Sie einen Speicherauszug von KeePass erstellen, der Ihnen satte 250 MB an Daten liefert, und Sie nach Zeichenfolgen wie Blob-Blob, Blob-Blob-Blob usw. (beliebige Anzahl von Blobs) suchen, dies der Fall ist ein Stück Speicherauszug, in dem Sie zwei Blobs sehen, dann drei Blobs, dann vier Blobs, dann fünf Blobs … und in meinem Fall bis zu 16 Blobs.
Und dann erhalten Sie einfach diese zufällige Sammlung von „Blob-Zeichen, die aus Versehen vorkommen“, wenn Sie so wollen.
Mit anderen Worten: Wenn Sie nur nach diesen Blob-Strings suchen, wird die Länge Ihres Passworts preisgegeben, auch wenn diese nicht Ihr tatsächliches Passwort preisgeben.
Es wird jedoch noch interessanter, denn dieser Forscher fragte sich: „Was wäre, wenn die Daten in der Nähe dieser Blob-Strings im Speicher irgendwie mit den einzelnen Zeichen verknüpft sein könnten, die Sie in das Passwort eingeben?“
Was wäre also, wenn Sie die Speicherabbilddatei durchgehen und statt nur nach zwei Blobs, drei Blobs/vier Blobs, mehr suchen …
… Sie nach einer Reihe von Blobs suchen, gefolgt von einem Zeichen, von dem Sie glauben, dass es im Passwort enthalten ist?
In meinem Fall habe ich also nur nach den Zeichen A bis Z gesucht, weil ich wusste, dass diese im Passwort enthalten waren.
Ich suche nach einer beliebigen Folge von Blobs, gefolgt von einem ASCII-Zeichen.
Ratet mal, was passiert ist, Doug?
Ich erhalte zwei Blobs, gefolgt vom dritten Zeichen meines Passworts. drei Kleckse, gefolgt vom vierten Zeichen meines Passworts; bis zu 15 Blobs, direkt gefolgt vom 16. Zeichen in meinem Passwort.
DOUG. Ja, es ist ein wildes Bild in diesem Artikel!
Ich habe mitgemacht ... es wurde langsam etwas technisch und plötzlich sehe ich nur: „Whoa! Das sieht aus wie ein Passwort!“
ENTE. Es ist im Grunde so, als ob die einzelnen Zeichen Ihres Passworts großzügig im Speicher verstreut wären, aber diejenigen, die die ASCII-Zeichen darstellen, die tatsächlich Teil Ihres Passworts waren, als Sie es eingegeben haben ...
…es ist, als ob an ihnen ein Leuchtchip befestigt wäre.
Diese Blob-Strings fungieren also unbeabsichtigt als Markierungsmechanismus, um die Zeichen in Ihrem Passwort zu kennzeichnen.
Und die Moral der Geschichte ist tatsächlich, dass Dinge auf eine Art und Weise in den Speicher gelangen können, mit der man einfach nie gerechnet hätte, und die selbst einem gut informierten Codeprüfer möglicherweise nicht auffällt.
Es ist also eine faszinierende Lektüre und eine großartige Erinnerung daran, dass das Schreiben von sicherem Code viel schwieriger sein kann, als Sie denken.
Und was noch wichtiger ist: Die Überprüfung, Qualitätssicherung und das Testen von sicherem Code kann noch schwieriger sein …
…weil man Augen vorne, hinten und an den Seiten des Kopfes haben muss, und man muss wirklich wie ein Angreifer denken und versuchen, absolut überall nach undichten Geheimnissen zu suchen.
DOUG. Okay, schau es Dir, es ist auf makedsecurity.sophos.com.
Und während die Sonne in unserer Show untergeht, ist es Zeit, von einem unserer Leser zu hören.
Im vorherigen Podcast (das ist einer meiner Lieblingskommentare bisher, Paul) kommentiert Naked Security-Hörer Chang:
Dort. Ich habe es getan. Nach fast zwei Jahren Binge Listening habe ich mir alle Episoden des Naked Security-Podcasts zu Ende angehört. Ich bin völlig beschäftigt.
Es hat mir von Anfang an Spaß gemacht, angefangen mit dem langwierigen Chet Chat; dann zur britischen Besatzung; "Ach nein! Es ist Kim“ kam als nächstes; dann erreichte ich endlich die heutige „Diese Woche in der Technikgeschichte“.
Zum Totlachen!
Danke, Chang!
Ich kann nicht glauben, dass du alle Folgen gefressen hast, aber wir alle (ich hoffe, ich spreche nicht aus der Reihe) wissen es sehr zu schätzen.
ENTE. Wirklich sehr, Doug!
Es ist nicht nur schön zu wissen, dass die Leute zuhören, sondern auch, dass sie die Podcasts nützlich finden und dass sie ihnen dabei helfen, mehr über Cybersicherheit zu lernen und sich weiterzuentwickeln, auch wenn es nur ein bisschen ist.
Denn ich denke, wie ich schon oft gesagt habe: Wenn wir alle unsere Cybersicherheitsstrategie ein klein wenig verbessern, können wir viel mehr tun, um die Kriminellen in Schach zu halten, als wenn ein oder zwei Unternehmen, eine oder zwei Organisationen, eine oder … Zwei Personen geben sich enorm viel Mühe, aber der Rest von uns hinkt hinterher.
DOUG. Genau!
Nun, nochmals vielen Dank, Chang, dass du uns das geschickt hast.
Wir wissen das sehr zu schätzen.
Und wenn Sie eine interessante Geschichte, einen Kommentar oder eine Frage einreichen möchten, lesen wir diese gerne im Podcast.
Sie können eine E-Mail an tips@sophos.com senden, einen unserer Artikel kommentieren oder uns in den sozialen Netzwerken kontaktieren: @nakedsecurity.
Das ist unsere Show für heute; vielen dank fürs zuhören.
Für Paul Ducklin bin ich Doug Aamoth und erinnere Sie bis zum nächsten Mal daran, …
BEIDE. Bleib sicher!
[MUSIKMODEM]
- SEO-gestützte Content- und PR-Distribution. Holen Sie sich noch heute Verstärkung.
- PlatoAiStream. Web3-Datenintelligenz. Wissen verstärkt. Hier zugreifen.
- Die Zukunft prägen mit Adryenn Ashley. Hier zugreifen.
- Kaufen und verkaufen Sie Anteile an PRE-IPO-Unternehmen mit PREIPO®. Hier zugreifen.
- Quelle: https://nakedsecurity.sophos.com/2023/06/01/s3-ep137-16th-century-crypto-skullduggery/
- :hast
- :Ist
- :nicht
- :Wo
- $UP
- 10
- 15%
- 28
- a
- Fähigkeit
- Fähig
- LiveBuzz
- darüber
- Absolute
- absolut
- Zugang
- Konto
- Trading Konten
- über
- Handlung
- aktiv
- präsentieren
- berührt das Schneidwerkzeug
- Adresse
- Adressen
- Beratung
- Nach der
- aufs Neue
- gegen
- vor
- voraus
- Alle
- Zuteilung
- Gut
- ebenfalls
- immer
- am
- Betrag
- an
- Analyse
- und
- Animationen
- jedem
- jemand
- von jedem Standort
- App
- Apple
- schätzen
- Genehmigung
- genehmigt
- SIND
- um
- verhaften
- Artikel
- Artikel
- AS
- At
- Attacke
- Anschläge
- Audio-
- authentifizieren
- authentifiziert
- authentifiziert
- Authentifizierung
- Autor
- Erlaubnis
- vermeiden
- vermieden
- ein Weg
- Zurück
- Bandbreite
- Fässer
- basierend
- Grundsätzlich gilt
- Bucht
- BE
- weil
- war
- Bier
- Bevor
- Anfang
- hinter
- Sein
- Glauben
- unten
- BESTE
- zwischen
- Big
- größer
- Bit
- Bitcoin
- Bitcoin Adresse
- beide
- Kopfgeld
- Browser
- Fehler
- Bugs
- aber
- by
- rufen Sie uns an!
- namens
- kam
- CAN
- Kapazitäten
- Häuser
- gefangen
- Jahrhundert
- sicherlich
- chang
- Übernehmen
- geändert
- Änderungen
- Ändern
- Charakter
- Zeichen
- aus der Ferne überprüfen
- geprüft
- Schecks
- Chiffre
- klar
- klicken Sie auf
- Auftraggeber
- Schließen
- Code
- Programmierung
- Zufall
- Sammlung
- COM
- Kommentar
- Bemerkungen
- mit uns kommunizieren,
- Unternehmen
- Unternehmen
- konform
- Computer
- Computer
- Kontakt
- Smartgeräte App
- Kontroverse
- Plätzchen
- Cookies
- Cops
- könnte
- Kurs
- Riss
- rissig
- schafft
- Crooks
- Krypto
- Geheimschrift
- Tasse
- Strom
- Zur Zeit
- Kunden
- cve
- Internet-Sicherheit
- technische Daten
- Datum
- Tag
- Tage
- Deal
- Tod
- entschieden
- Entscheiden
- Abwehr-system
- geliefert
- Demand
- beschreiben
- festgenommen
- entwickelt
- Dialog
- Dialog
- DID
- Sterben
- anders
- Offenlegung
- entdeckt
- Display
- do
- Tut nicht
- erledigt
- Nicht
- nach unten
- Drop
- zwei
- abladen
- Früh
- Einfache
- Bildungs-
- effektiv
- Anstrengung
- Element
- Aufzugspräsentation
- E-Mails
- verschlüsselt
- Ende
- Feinde
- Durchsetzung
- Ingenieur
- England
- berechtigt
- Folgen
- im Wesentlichen
- Sogar
- schließlich
- ÜBERHAUPT
- alles
- Beweis
- genau
- Untersuchen
- Beispiel
- unterhaltsame Programmpunkte
- ausgeführt
- Beenden
- erwartet
- Erläuterung
- Ausstellung
- Augenfarbe
- Tatsache
- FAIL
- prächtig
- faszinierend
- Favorit
- Angst
- gemustert
- Reichen Sie das
- Finale
- Endlich
- Finden Sie
- Suche nach
- Befund
- findet
- Ende
- Vorname
- fixiert
- gefolgt
- Folgende
- Aussichten für
- vergessen
- Format
- Zum Glück
- gefunden
- vier
- Vierte
- für
- Materials des
- voll
- gewonnen
- Spiel
- bekommen
- bekommen
- Riese
- gif
- ABSICHT
- gibt
- Go
- Kundenziele
- Goes
- gehen
- gut
- Grafik
- groß
- schuldig
- hätten
- Pflege
- passieren
- passiert
- Los
- hart
- Haben
- he
- ganzer
- hören
- Unternehmen
- hier (auf dänisch)
- hier
- Verbergen
- entführen
- ihm
- seine
- historisch
- Geschichte
- Hit
- Startseite
- ein Geschenk
- Hoffnung
- STUNDEN
- Häuser
- Ultraschall
- Hilfe
- HTTPS
- riesig
- i
- KRANK
- Idee
- if
- Bilder
- Bild
- unmittelbar
- sofort
- unveränderlich
- Implementierung
- in
- Dazu gehören
- Einschließlich
- Erhöhung
- unabhängig
- angegeben
- Krankengymnastik
- Individuell
- Einzelpersonen
- Information
- Informatik
- Anfangs-
- Insider
- beantragen müssen
- interessant
- in
- Problem
- Herausgegeben
- IT
- SEINE
- JavaScript
- nur
- Behalten
- Wesentliche
- stricken
- Wissen
- Sprache
- Nachname
- Spät
- später
- Recht
- Strafverfolgung
- Leck
- LERNEN
- am wenigsten
- geführt
- links
- Länge
- Gefällt mir
- Limitiert
- Links
- Hörer
- Hören
- wenig
- Leben
- Log
- protokolliert
- login
- Lang
- sah
- suchen
- SIEHT AUS
- Los
- ich liebe
- Luxus
- Maschine
- Magie
- Main
- Mainstream
- um
- Mann
- verwalten
- verwaltet
- Manager
- viele
- Master
- Materie
- maximal
- Kann..
- Mittel
- messen
- Mechanismus
- Trifft
- Memory
- Nachrichten
- Mitte
- könnte
- Minute
- Minuten
- Fehler
- MITM
- ändern
- Monat
- Moral
- mehr
- schlauer bewegen
- mr
- viel
- Musik
- Musical
- sollen
- my
- Nackte Sicherheit
- Nackter Sicherheits-Podcast
- Namen
- In der Nähe von
- Need
- erforderlich
- Verhandlungen
- Netto-
- Netzwerke
- hört niemals
- dennoch
- News
- weiter
- schön
- nicht
- nichts
- Notiz..
- jetzt an
- Anzahl
- oauth
- of
- WOW!
- vorgenommen,
- on
- EINEM
- Einsen
- Online
- einzige
- Open-Source-
- or
- Organisationen
- Andere
- UNSERE
- uns
- übrig
- Aufsicht
- besitzen
- Oxford
- Panik
- Parameter
- Teil
- besondere
- Bestehen
- Passwort
- Password Manager
- Schnittmuster
- Alexander
- AUFMERKSAMKEIT
- Zahlung
- Personen
- Erlaubnis
- person
- überredet
- Telefone
- abgeholt
- Tonhöhe (Pitch)
- Ort
- Plato
- Datenintelligenz von Plato
- PlatoData
- Spieler
- Vergnügen
- Podcast
- Podcasts
- Points
- politisch
- Pop
- Popularität
- möglich
- BLOG-POSTS
- pr
- Gegenwart
- Presse
- verhindern
- früher
- wahrscheinlich
- Prozessdefinierung
- ausgesprochen
- Beweis
- Risiken zu minimieren
- Belegen
- vorausgesetzt
- Versorger
- Zwecke
- setzen
- Versetzt
- Queen Elizabeth
- Frage
- schnell
- zufällig
- Ransomware
- Ransomware-Angriff
- lieber
- erreicht
- Lesen Sie mehr
- Leser
- wirklich
- Grund
- Gründe
- Empfang
- erkenne
- reflektieren
- bezogene
- freigegeben
- entfernen
- Ersatz
- berichten
- Berichtet
- Reporting
- vertreten
- Forscher
- REST
- Überprüfung
- Recht
- Risiko
- rss
- Führen Sie
- Laufen
- Said
- Salz
- gleich
- sagen
- sagt
- verstreut
- Suche
- Suche
- Verbindung
- Sicherheitdienst
- sehen
- scheinen
- scheint
- gesehen
- beschlagnahmt
- Sendung
- Senior
- geschickt
- Dienstanbieter
- kompensieren
- sie
- Kurz
- sollte
- erklären
- Seite
- Seiten
- Schild
- Einfacher
- einfach
- So
- Social Media
- SOFT
- einige
- Jemand,
- etwas
- Soundcloud
- Sprechen
- speziell
- Spotify
- Stand
- Anfang
- begonnen
- Beginnen Sie
- bleiben
- Shritte
- Steve
- Immer noch
- Lagerung
- Geschichte
- Schnur
- Stil
- abschicken
- Erfolg haben
- plötzlich
- Sun
- Support
- Unterstützte
- vermutet
- misstrauisch
- tauschen
- System
- Systeme und Techniken
- Nehmen
- gemacht
- Team
- Tech
- Technische
- Technologie
- erzählen
- Terminologie
- Testen
- Lehrbuch
- als
- dank
- zur Verbesserung der Gesundheitsgerechtigkeit
- Das
- Großbritannien
- ihr
- Sie
- sich
- dann
- Theorie
- Dort.
- deswegen
- Diese
- vom Nutzer definierten
- Ding
- think
- Dritte
- fehlen uns die Worte.
- diese Woche
- diejenigen
- obwohl?
- dachte
- nach drei
- Thron
- Durch
- Gebunden
- Zeit
- mal
- Tipps
- zu
- heute
- Zeichen
- auch
- nahm
- Toolkit
- Top
- Top 10
- verfolgen sind
- transparent
- Versuch
- versucht
- ausgelöst
- Vertrauen
- versuchen
- WENDE
- Drehungen
- XNUMX
- tippe
- Typen
- Uk
- nicht fähig
- für
- Unglücklicherweise
- Unicode
- bis
- URL
- us
- -
- benutzt
- Mitglied
- Verwendung von
- Verification
- Version
- Gegen
- sehr
- Besuchen Sie
- lebenswichtig
- Verwundbarkeit
- wollen
- wollte
- wurde
- Weg..
- Wege
- we
- Netz
- Webseite
- Woche
- Wochen
- GUT
- ging
- waren
- Was
- was auch immer
- wann
- ob
- welche
- WHO
- warum
- weit verbreitet
- Wild
- werden wir
- Fenster
- wischen
- mit
- .
- ohne
- Gewonnen
- Word
- Worte
- Arbeiten
- gearbeitet
- arbeiten,
- würde
- Würde geben
- schreiben
- Schreiben
- X
- Jahr
- ja
- noch
- U
- Ihr
- sich selbst
- Zephyrnet