EIN PYTHON-PERSPEKTIVER VORTEX
Kein Audioplayer unten? Hören Direkt auf Soundcloud.
Mit Doug Aamoth und Paul Ducklin. Intro- und Outro-Musik von Edith Mudge.
Ihr könnt uns auf hören Soundcloud, Apple Podcasts, Google Podcasts, Spotify, Stitcher und überall, wo gute Podcasts zu finden sind. Oder lass es einfach fallen URL unseres RSS-Feeds in Ihren Lieblings-Podcatcher.
LESEN SIE DAS TRANSKRIPT
DOUG. Cyberkriminalität nach Cyberkriminalität, einige Apple-Updates und ein Angriff auf ein Quellcode-Repository.
All das und mehr im Naked Security-Podcast.
[MUSIKMODEM]
Willkommen zum Podcast, alle zusammen.
Ich bin Doug Aamoth; er ist Paul Ducklin.
Paul, wie geht es dir?
ENTE. Sehr gut danke. Douglas!
War das fröhlich genug?
DOUG. Das war ziemlich gut.
Etwa 7/10 auf der Glücksskala, was eine ziemlich gute Ausgangslage ist.
ENTE. Oh, ich wollte, dass es sich höher anfühlt.
Was ich gesagt habe, plus 2.5/10.
DOUG. [Übertriebenes Erstaunen] Oh, Paul, du klingst großartig!
ENTE. [LACHT] Danke, Doug.
DOUG. Nun ja, das bringt Sie vielleicht auf 10/10, dann … Diese Woche in der Technologiegeschichte.
Am 22. Mai 1973 schrieb der Forscher Robert Metcalfe im Xerox Palo Alto Research Center (PARC) ein Memo, in dem er eine neue Möglichkeit zur Verbindung von Computern vorschlug.
Inspiriert von seinem Vorläufer AlohaNet, den Metcalfe im Rahmen seiner Doktorarbeit untersuchte, sollte die neue Technologie Ethernet genannt werden, eine Anspielung auf die Substanz „Lichtäther“, von der man einst annahm, dass sie ein Medium zur Ausbreitung von Lichtwellen sei.
ENTE. Es war auf jeden Fall viel schneller als einseitige 160-KB-Disketten mit einfacher Dichte! [LACHEN]
DOUG. Könnte schlimmer sein!
Apropos „Schlimmeres“ und „Schlechtes“: Wir haben unser erstes Kriminalitäts-Update des Tages.
Die USA bieten ein 10 Millionen Dollar Kopfgeld für einen russischen Ransomware-Verdächtigen.
Das ist eine Menge Geld, Paul!
Dieser Typ muss etwas ziemlich Schlimmes getan haben.
Die Erklärung des DOJ:
[Diese Person und ihre Mitverschwörer] haben angeblich diese Art von Ransomware eingesetzt, um Tausende von Opfern in den Vereinigten Staaten und auf der ganzen Welt anzugreifen. Zu diesen Opfern zählen Strafverfolgungsbehörden und andere Regierungsbehörden, Krankenhäuser und Schulen.
Die gesamten Lösegeldforderungen der Mitglieder dieser drei globalen Ransomware-Kampagnen an ihre Opfer belaufen sich angeblich auf bis zu 400 Millionen US-Dollar, während sich die gesamten Lösegeldzahlungen der Opfer auf bis zu 200 Millionen US-Dollar belaufen.
Große Angriffe ... hier wechselt viel Geld den Besitzer, Paul.
ENTE. Wenn Sie versuchen, jemanden aufzuspüren, der im Ausland heimtückische Dinge tut, und Sie denken: „Wie um alles in der Welt sollen wir das tun?“ Sie werden hier nie vor Gericht auftauchen“…
Vielleicht bieten wir den Leuten im Land dieser anderen Person einfach nur schmutzigen Profit an, und jemand wird sie anzeigen?
Und wenn sie 10 Millionen US-Dollar anbieten (naja, das ist das Maximum, das man bekommen kann), müssen sie ziemlich daran interessiert sein.
Und wie ich es verstehe, liegt der Grund dafür, dass sie in diesem Fall daran interessiert sind, darin, dass dieser bestimmte Verdächtige beschuldigt wird, wenn nicht sogar das Herz und die Seele, so doch zumindest eines dieser beiden Dinge für drei verschiedene Ransomware-Stämme zu sein: LockBit, Hive und Babuk.
Der Quellcode von Babuk ist bekanntermaßen durchgesickert (wenn ich mich nicht irre, von einem unzufriedenen Partner) und hat jetzt seinen Weg auf GitHub gefunden, wo jeder, der möchte, sich den Verschlüsselungsteil holen kann.
Und obwohl es schwierig ist, überhaupt Mitgefühl für Menschen zu empfinden, die wegen Ransomware-Angriffen im Visier des Justizministeriums und des FBI stehen …
…wenn da noch latente Tröpfchen Mitgefühl vorhanden sind, verflüchtigen sich diese ziemlich schnell, wenn man über Krankenhäuser und Schulen mit ihren vielen Opfern liest.
DOUG. Ja.
ENTE. Man muss also davon ausgehen, dass es unwahrscheinlich ist, dass sie ihn jemals vor einem US-Gericht sehen werden ...
…aber ich denke, sie dachten, es sei zu wichtig, es nicht zu versuchen.
DOUG. Genau.
Wir werden das, wie wir gerne sagen, im Auge behalten.
Und während wir warten, schauen Sie doch mal bei uns vorbei Bericht zum Stand der Ransomware 2023.
Es enthält eine Reihe von Fakten und Zahlen, die Sie nutzen können, um Ihr Unternehmen vor Angriffen zu schützen.
Das gibt es unter: sophos.com/ransomware2023.
ENTE. Ein kleiner Hinweis, den Sie dem Bericht entnehmen können: „Überraschung, Überraschung; Die Wiederherstellung aus Backups kostet Sie etwa halb so viel wie die Zahlung des Lösegelds.“
Denn selbst nachdem Sie das Lösegeld bezahlt haben, müssen Sie noch so viel Arbeit erledigen, wie Sie für die Wiederherstellung Ihres Backups benötigen würden.
Und es bedeutet auch, dass Sie die Gauner nicht bezahlen.
DOUG. Genau!
Okay, wir haben ein weiteres Krimi-Update.
Dieses Mal sind es unsere Freunde von iSpoof, die, wie ich zugeben muss, ein ziemlich gutes Marketingteam haben.
Außer für Jeder wird erwischt und all diese Sachen ...
Chef des Telefonbetrugs erhält 13 Jahre Haft für die Nutzung des „iSpoof“-Dienstes
ENTE. Ja, dies ist ein Bericht der Metropolitan Police in London über einen Fall, der seit November 2022 andauert, als wir habe zuerst darüber geschrieben auf nakedsecurity.sophos.com.
Ein Kerl namens Tejay Fletcher und ich glaube 169 andere Leute, die dachten, sie wären anonym, aber es stellte sich heraus, dass sie es nicht waren, wurden verhaftet.
Und dieser Fletcher-Typ, der der Hauptdarsteller dieser Sache war, wurde gerade zu 13 Jahren und 4 Monaten Gefängnis verurteilt, Doug.
Das ist für jedes Land ein ziemlich großer Satz!
Und der Grund dafür ist, dass es bei diesem Dienst darum ging, anderen Cyberkriminellen im Gegenzug für Bitcoinage dabei zu helfen, Opfer sehr glaubwürdig zu betrügen.
Sie brauchten keine technischen Fähigkeiten.
Sie könnten sich einfach für den Dienst anmelden und dann mit dem Telefonieren beginnen, wobei Sie auswählen könnten, welche Nummer am anderen Ende angezeigt werden soll.
Wenn Sie also ahnen, dass jemand bei der XYZ Banking Corporation Bankgeschäfte tätigt, könnten Sie dessen Telefon mit der Meldung „Eingehender Anruf von der XYZ Banking Corporation“ aufleuchten lassen und dann Ihr Konto öffnen.
Aus den damaligen Berichten der National Crime Agency geht hervor, dass ihre „Kunden“ Millionen von Anrufen über diesen Dienst getätigt haben. und sie hatten eine Erfolgsquote von etwa 10 %, wobei der Erfolg daran gemessen wird, dass der Anrufer mindestens eine Minute in der Leitung war.
Und wenn Sie denken, dass es sich um einen Betrugsanruf handelt, legen Sie ziemlich schnell auf, nicht wahr?
DOUG. Eine Minute ist eine lange Zeit!
ENTE. Und das bedeutet, dass sie die Person wahrscheinlich süchtig gemacht haben.
Und Sie können sehen, warum, denn alles scheint glaubwürdig.
Wenn Sie nicht wissen, dass die auf Ihrem Telefon angezeigte Anrufer-ID (oder Rufnummer) nichts weiter als ein Hinweis ist, dass jeder alles eingeben kann und dass jeder, dem Ihre schlimmsten Interessen am Herzen liegen, Sie stalken will können für einen geringen monatlichen Aufwand einen Dienst erwerben, der ihnen dabei hilft, dies automatisch zu tun …
Wenn Sie nicht wissen, dass das der Fall ist, werden Sie wahrscheinlich ganz unten auf der Hut sein, wenn der Anruf eingeht und sagt: „Ich rufe von der Bank aus an.“ Das sieht man an der Zahl. Oh je, auf Ihrem Konto ist Betrug passiert“, und dann überredet Sie der Anrufer zu einer ganzen Menge Dingen, auf die Sie sonst keinen Moment hören würden.
Die Reichweite dieses Dienstes, die große Anzahl von Menschen, die ihn nutzten (er hatte anscheinend Zehntausende von „Kunden“) und die schiere Anzahl der Anrufe und die Höhe des verursachten finanziellen Schadens, der in die Millionen ging, sind der Grund, warum er habe so eine schwere Strafe bekommen.
DOUG. Ein Grund dafür, dass sie so viele Kunden gewinnen konnten, ist, dass dies auf einer öffentlich zugänglichen Website geschah.
Es war nicht im Dark Web und es war ziemlich raffiniertes Marketing.
Wenn Sie zum Artikel gehen, finden Sie dort ein 53-sekündiges Marketingvideo mit einem professionellen Synchronsprecher und einigen lustigen Animationen.
Es ist ein ziemlich gut gemachtes Video!
ENTE. Ja!
Mir ist darin ein Tippfehler aufgefallen … Sie schrieben „End-to-Encryption“ statt „End-to-End-Verschlüsselung“, was mir auffiel, weil es eine ziemliche Ironie war.
Denn die ganze Prämisse dieses Videos lautet: „Hey, als Kunde sind Sie völlig anonym.“
Daraus haben sie einen großen Pitch gemacht.
DOUG. Ich denke, es war wahrscheinlich ein „Ende der Verschlüsselung“. [LACHT]
ENTE. Ja … Sie waren vielleicht für Ihre Opfer anonym, aber für den Dienstleister waren Sie nicht anonym.
Anscheinend haben die Polizisten, zumindest in Großbritannien, beschlossen, mit jedem zu beginnen, der bereits Bitcoins im Wert von mehr als 100 Pfund für den Dienst ausgegeben hatte.
Es mag also Leute geben, die sich damit beschäftigt haben oder es nur für ein paar Dinge genutzt haben, die aber immer noch auf der Liste stehen.
Die Polizisten wollen, dass die Leute wissen, dass sie ganz oben angefangen haben und sich nach unten arbeiten.
Die im Video versprochene Anonymität war illusorisch.
DOUG. Nun, wir haben einige Tipps, und wir haben diese Tipps schon einmal gesagt, aber das sind tolle Erinnerungen.
Darunter auch einer meiner Favoriten, weil ich denke, dass die Leute einfach davon ausgehen, dass Caller ID ein präziser Reporter ist…. Tipp Nummer eins ist: Behandeln Sie die Anrufer-ID lediglich als einen Hinweis.
Was meinst du damit, Paul?
ENTE. Wenn Sie bei sich zu Hause immer noch Post erhalten, wissen Sie, dass bei Erhalt eines Umschlags auf der Vorderseite Ihre Adresse steht und auf der Rückseite des Umschlags normalerweise, wenn Sie ihn umdrehen, eine Absenderadresse steht .
Und jeder weiß, dass der Absender selbst entscheiden kann, was er sagen möchte … es könnte echt sein; es könnte alles eine Ansammlung von Lügen sein.
So sehr können Sie der Anrufer-ID vertrauen.
Und solange Sie das im Hinterkopf behalten und es als einen Hinweis betrachten, sind Sie goldrichtig.
Aber wenn dann „XYZ Banking Corporation“ angezeigt wird, weil die Betrüger absichtlich eine Nummer ausgewählt haben, die Sie speziell in Ihre Kontaktliste eingetragen haben, um Ihnen mitzuteilen, dass es sich um die Bank handelt, hat das nichts zu bedeuten.
Und die Tatsache, dass sie anfangen zu sagen, dass sie von der Bank sind, bedeutet nicht, dass sie es sind.
Und das geht gut in unseren zweiten Tipp über, nicht wahr, Doug?
DOUG. Ja.
Führen Sie offizielle Anrufe immer selbst durch und verwenden Sie eine Nummer, der Sie vertrauen können.
Wenn Sie also einen dieser Anrufe erhalten, sagen Sie „Ich rufe Sie gleich zurück“ und verwenden Sie die Nummer auf der Rückseite Ihrer Kreditkarte.
ENTE. Unbedingt.
Wenn Sie auf irgendeine Weise glauben gemacht haben, dass dies die Nummer ist, die Sie anrufen sollten, dann tun Sie es nicht!
Finden Sie es selbst heraus.
Wie Sie bereits sagten, ist die Nummer auf der Rückseite Ihrer Kreditkarte ein guter Anfang, um Dinge wie Bankbetrug oder Bankprobleme zu melden.
Also, ja, seien Sie sehr, sehr vorsichtig.
Es ist wirklich einfach, Ihrem Telefon zu glauben, denn in 99 % der Fälle wird die Anrufer-ID-Nummer die Wahrheit sagen.
DOUG. Okay, zu guter Letzt, nicht ganz so technisch, aber eher ein Soft Skill, Tipp Nummer drei ist: Seien Sie für gefährdete Freunde und Familienangehörige da.
Das ist gut so.
ENTE. Offensichtlich gibt es Menschen, die einem höheren Risiko für diese Art von Betrug ausgesetzt sind.
Daher ist es wichtig, dass Sie Personen in Ihrem Freundes- und Familienkreis, von denen Sie glauben, dass sie einem solchen Risiko ausgesetzt sind, wissen lassen, dass sie sich im Zweifelsfall an Sie wenden und Sie um Rat fragen sollten .
Wie Ihnen jeder Zimmermann oder Tischler sagen wird, Douglas: „Zweimal messen, einmal schneiden.“
DOUG. Ich mag diesen Rat. [LACHT]
Ich neige dazu, einmal zu messen und dreimal zu schneiden, also folge hier nicht meinem Beispiel.
ENTE. Ja. „Länger schneiden“ kann man doch nicht, oder? [LACHEN]
DOUG. Nein, das kannst du sicher nicht!
ENTE. Wir haben es alle versucht. [LACHT]
DOUG. Das sind zwei Updates später; einer zum Mitnehmen.
Wir haben habe ein Update… wenn Sie sich erinnern, überraschte uns Apple Anfang des Monats mit einer neuen Rapid Security Response, in der jedoch nicht gesagt wurde, was die Updates tatsächlich behoben haben, aber jetzt wissen wir es, Paul.
Apples Geheimnis ist gelüftet: 3 Zero-Days behoben, also unbedingt jetzt patchen!
ENTE. Ja.
Zwei 0-Tage plus ein Bonus-0-Tage, der vorher nicht festgelegt war.
Wenn Sie also macOS 13 Ventura (die neueste Version) und iOS/iPadOS 16 hatten, erhielten Sie die Rapid Security Response
Sie haben das Update „Versionsnummer (a)“ erhalten und „hier sind die Details zu diesem Update: (leere Textzeichenfolge)“.
Sie hatten also keine Ahnung, was behoben wurde.
Und Sie, wie wir, dachten wahrscheinlich: „Ich wette, es ist ein Zero-Day in WebKit.“ Das bedeutet eine Drive-by-Installation. Das bedeutet, dass jemand es für Spyware verwenden könnte.“
Und siehe da, genau das waren diese beiden 0-Tage.
Und es gab einen dritten Zero-Day, der, wenn Sie so wollen, ein weiterer Teil dieser Gleichung oder eine andere Art von Exploit war, der oft mit den ersten beiden Zero-Days einhergeht, die behoben wurden.
Dies war eine Sache von Google Threat Response/Amnesty International, die für mich sicherlich nach Spyware riecht … jemand, der einen realen Vorfall untersucht.
Dieser Fehler war das, was Sie im Fachjargon als „Sandbox-Flucht“ bezeichnen.
Es hört sich so an, als ob die drei Zero-Days, die jetzt für alle Apple-Plattformen behoben sind,…
Eines, das es einem Betrüger ermöglichen könnte, herauszufinden, was sich auf Ihrem Computer befindet.
Mit anderen Worten: Sie erhöhen die Chance, dass ihre nachfolgenden Exploits funktionieren, erheblich.
Ein zweiter Exploit, der, wie gesagt, eine Remote-Codeausführung in Ihrem Browser durchführt, unterstützt und begünstigt durch den Datenverlust im ersten Fehler, der Ihnen möglicherweise sagt, welche Speicheradressen Sie verwenden sollen.
Und dann ein dritter Zero-Day, der es Ihnen im Grunde ermöglicht, aus dem Browser zu springen und noch viel Schlimmeres zu tun.
Nun, ich werde sagen: Frühes Patchen, häufiges Patchen, nicht wahr, Doug?
DOUG. TU es!
Ja.
ENTE. Das sind nicht die einzigen Gründe, warum Sie diese Patches benötigen.
Es gibt auch eine Reihe proaktiver Korrekturen.
Selbst wenn es nicht die Zero-Days wären, würde ich es trotzdem noch einmal sagen.
DOUG. Okay, großartig.
Unsere letzte Geschichte des Tages … Ich hatte hier mein eigenes kleines Intro geschrieben, aber das werfe ich in den Papierkorb und bleibe bei Ihrer Überschrift, weil sie viel besser ist.
Und es fängt wirklich die Essenz dieser Geschichte ein: Das Open-Source-Code-Repository PyPI befasst sich mit manischem Malware-Strudel.
Genau das ist passiert, Paul!
Das Open-Source-Code-Repository PyPI befasst sich mit manischem Malware-Strudel
ENTE. Ja, ich muss zugeben, ich musste an dieser Überschrift arbeiten, damit sie genau in zwei Zeilen in der WordPress-Vorlage nakedsecurity.sophos.com passt. [LACHEN]
Das PyPI-Team hat das jetzt überstanden und ich denke, sie haben den ganzen Kram losgeworden.
Aber es scheint, dass jemand ein automatisiertes System hatte, das nur neue Konten generierte und dann in diesen Konten neue Projekte erstellte …
…und einfach ein vergiftetes Quellpaket nach dem anderen hochladen.
Und denken Sie daran, dass in den meisten dieser Repositories (PyPI ist ein Beispiel) Malware vorhanden sein kann, die sich im eigentlichen Code befindet, den Sie herunterladen und später als Modul in Ihrem Code verwenden möchten (mit anderen Worten, der Programmierbibliothek), und/ Oder Sie können Malware im eigentlichen Installationsprogramm oder Update-Skript haben, das Ihnen das Ding liefert.
Daher ist es für Betrüger leider leicht, ein legitimes Projekt zu klonen, ihm einen realistisch aussehenden Namen zu geben und zu hoffen, dass, wenn Sie es versehentlich herunterladen …
…nachdem Sie es installiert haben, es in Ihrer Software verwenden und es an Ihre Kunden versenden, ist alles in Ordnung und Sie werden keine Malware mehr darin finden.
Denn die Malware hat Ihren Computer bereits infiziert, da sie sich in dem Skript befindet, das ausgeführt wurde, um das Ding überhaupt ordnungsgemäß zu installieren.
Es gibt also einen Doppelschlag für die Gauner.
Was wir nicht wissen ist…
Hatten sie gehofft, so viele infektiöse Pakete hochzuladen, dass einige von ihnen nicht entdeckt würden und sie eine große Chance hätten, dass ein paar einfach zurückgelassen würden?
Oder hofften sie tatsächlich, dass sie das PyPI-Team so sehr aus der Fassung bringen könnten, dass sie die gesamte Website aus der Luft nehmen mussten, und das wäre ein kompletter Denial-of-Service-Angriff?
Keines davon war das Ergebnis.
Das PyPI-Team konnte den Angriff abschwächen, indem es nur einige Aspekte der Website abschaltete.
Eine Zeit lang konnte man nämlich kein neues Konto erstellen und kein neues Projekt hinzufügen, aber man konnte immer noch alte erhalten.
Und das gab ihnen über einen Zeitraum von 24 Stunden gerade so viel Luft zum Atmen, dass es aussieht, als ob sie vollständig aufräumen könnten.
DOUG. Wir haben einige Ratschläge für Angriffe wie diesen, bei denen das Problem nicht rechtzeitig beseitigt wird.
Wenn Sie also aus Repositorys wie diesem abrufen, können Sie als Erstes Folgendes tun: Wählen Sie kein Repository-Paket, nur weil der Name richtig aussieht.
Das ist eine Taktik, die die Angreifer häufig anwenden.
ENTE. Tatsächlich, Douglas.
Es ist im Grunde das, was wir im Fachjargon für Websites als „Typosquatting“ bezeichneten.
Anstatt sich zu registrieren example.com
, könnten Sie so etwas registrieren examole.com
, weil O neben P auf der Tastatur steht, in der Hoffnung, dass jemand „Beispiel“ eintippt, einen kleinen Fehler macht und Sie seinen Traffic abfangen und ihn auf eine ähnliche Site weiterleiten.
Seien Sie vorsichtig, was Sie wählen.
Es ist ein bisschen wie unser Rat zur Anrufer-ID: Es sagt Ihnen etwas, aber nur so viel.
Und im Übrigen müssen Sie wirklich Ihre Sorgfaltspflicht erfüllen.
DOUG. Sowie: Laden Sie Paketaktualisierungen nicht blind in Ihre eigenen Entwicklungs- oder Buildsysteme herunter.
ENTE. Ja, DevOps und Continuous Integration sind heutzutage angesagt, nicht wahr, wo man alles automatisiert?
Und es hat etwas Reizendes zu sagen: „Nun, ich möchte nicht ins Hintertreffen geraten, also warum sage ich meinem Build-System nicht einfach, dass es meinen Code aus meinem lokalen Repository übernehmen soll, in dem ich ihn betreue, und dann einfach immer.“ „Automatisch die neueste Version des Codes aller anderen Leute, die ich verwende, aus dem öffentlichen Repository abrufen?“
Das Problem besteht darin, dass Ihr Build-System völlig automatisch in Schwierigkeiten gerät, wenn eines der von Ihnen verwendeten Pakete von Drittanbietern pwned wird.
Tun Sie das also nicht, wenn Sie es vermeiden können.
DOUG. Was uns zu Folgendem führt: Machen Sie es Angreifern nicht leicht, in Ihre eigenen Pakete einzudringen.
ENTE. Ja.
Niemand kann jemanden wirklich aufhalten, der entschlossen ist, manuell 2000 neue PyPI-Konten einzurichten und in jedes davon 1000 neue Pakete zu stecken.
Aber Sie können Angriffe durchführen, bei denen Betrüger bestehende Pakete übernehmen und sie kompromittieren. Sie können Ihren Teil dazu beitragen, dem Rest der Community zu helfen, indem Sie es so schwierig wie möglich machen, dass Ihre Projekte kompromittiert werden.
Überprüfen Sie die Sicherheit dieses Kontos oder Pakets noch einmal, für den Fall, dass jemand zu dem Schluss kommt, dass es sich hier um einen geschickten Ort zum Einschleusen von Schadsoftware handelt, die sich auf andere Personen auswirken könnte … und natürlich würde das Ihren Ruf zumindest vorübergehend schädigen Zeit.
DOUG. Und unser letzter Tipp wird vielleicht auf taube Ohren stoßen, aber wenn es ausreicht, nur ein paar Leute umzustimmen, haben wir hier heute gute Arbeit geleistet: Sei kein Du-weißt-schon-was.
ENTE. Beweisen Sie, wie schlau Sie sind, indem Sie uns alle an Supply-Chain-Angriffe erinnern, indem Sie freiwilligen Teams unnötige Arbeit ersparen … wie der Linux-Kernel-Crew (die in der Vergangenheit darunter gelitten hat), PyPI und anderen beliebten Open-Source-Repositories?
Wenn Sie einen triftigen Grund haben, warum Sie der Meinung sind, dass Sie sie über eine Sicherheitslücke informieren müssen, suchen Sie nach ihren Kontaktdaten für die Offenlegung von Sicherheitsrisiken und kontaktieren Sie sie ordnungsgemäß, professionell und verantwortungsbewusst.
Sei kein Idiot.
DOUG. Ausgezeichnet.
Okay, guter Rat, und während die Sonne in unserer heutigen Show untergeht, ist es Zeit, von einem unserer Leser zu hören.
Sie erinnern sich vielleicht, dass wir in der vorherigen Folge des Podcasts ein wenig über die Irrungen und Wirrungen des Apple III-Computers gesprochen haben. Hören wir mal zu:
Ich weiß nicht, ob das eine urbane Legende ist oder nicht, aber ich habe gelesen, dass die Chips der frühen [Apple III]-Modelle im Werk nicht richtig eingesetzt waren und dass Empfänger, die Probleme meldeten, angewiesen wurden, die Vorderseite anzuheben Sie hoben den Computer ein paar Zentimeter von ihrem Schreibtisch ab und ließen ihn zurückprallen, wodurch sie genau so einrasteten, wie sie eigentlich hätten sein sollen. Was offenbar funktionierte, aber nicht die beste Werbung für die Qualität des Produkts war.
DOUG. Als Antwort meldet sich Hörer S31064 (nicht sicher, ob das ein echter Geburtsname ist):
Ich weiß es nicht, aber die Firma, für die ich damals arbeitete, nutzte sie für Offline-Ausleihterminals in Bibliotheken. Und in neun von zehn Fällen bestand die Lösung darin, die Chips neu einzusetzen, wenn es ein Problem gab.
ENTE. Ja, über Ihr Motherboard zu gehen und (knistert, knistert) alle Chips nach unten zu drücken … das galt damals als Routinewartung.
Aber es scheint, dass es sich beim Apple III nicht nur um routinemäßige Wartung und vorbeugende Wartung handelte, sondern tatsächlich um eine anerkannte Wiederherstellungstechnik.
Es hat mich fasziniert, das zu lesen, Doug.
Jemand, der tatsächlich dort war und das getan hat!
DOUG. Vielen Dank, lieber Zuhörer, dass Sie das eingeschickt haben.
Und wenn Sie eine interessante Geschichte, einen Kommentar oder eine Frage haben, die Sie einreichen möchten, würden wir sie gerne im Podcast lesen.
Sie können eine E-Mail an Tips@sophos.com senden, einen beliebigen Artikel kommentieren oder uns in den sozialen Netzwerken erreichen: @nakedsecurity.
Das ist unsere Show für heute; vielen dank fürs zuhören.
Für Paul Ducklin bin ich Doug Aamoth und erinnere Sie bis zum nächsten Mal an …
BEIDE. Bleib sicher.
[MUSIKMODEM]
- SEO-gestützte Content- und PR-Distribution. Holen Sie sich noch heute Verstärkung.
- PlatoAiStream. Web3-Datenintelligenz. Wissen verstärkt. Hier zugreifen.
- Die Zukunft prägen mit Adryenn Ashley. Hier zugreifen.
- Kaufen und verkaufen Sie Anteile an PRE-IPO-Unternehmen mit PREIPO®. Hier zugreifen.
- Quelle: https://nakedsecurity.sophos.com/2023/05/25/s3-ep136-navigating-a-manic-malware-maelstrom/
- :hast
- :Ist
- :nicht
- :Wo
- ][P
- 10 Mio. US$
- $ 400 Million
- $UP
- 13
- 2022
- 2023
- 22
- a
- Fähigkeit
- Fähig
- Über uns
- absolut
- Konto
- Trading Konten
- genau
- Angeklagte
- präsentieren
- berührt das Schneidwerkzeug
- hinzufügen
- Adresse
- Adressen
- eingestehen
- Beratung
- beeinflussen
- Affiliate
- Nach der
- aufs Neue
- gegen
- Agenturen
- LUFT
- Alle
- angeblich
- erlauben
- entlang
- bereits
- Gut
- ebenfalls
- Obwohl
- immer
- am
- unter
- Betrag
- an
- und
- Animationen
- Anonymität
- Anonym
- Ein anderer
- jedem
- etwas
- von jedem Standort
- ansprechend
- Apple
- SIND
- um
- verhaftet
- Artikel
- Artikel
- AS
- Aspekte
- At
- Attacke
- Anschläge
- anziehen
- Audio-
- Autor
- automatisieren
- Automatisiert
- Im Prinzip so, wie Sie es von Google Maps kennen.
- verfügbar
- vermeiden
- bewusst
- Zurück
- Sicherungskopie
- Sicherungen
- Badewanne
- Bank
- Banküberweisung
- Bankinggg
- Baseline
- Grundsätzlich gilt
- BE
- Denken Sie
- weil
- war
- Bevor
- hinter
- Sein
- Glauben
- angenommen
- unten
- BESTE
- Wette
- Besser
- Big
- Bit
- Bitcoins
- leer
- blindlings
- Bonus
- Kopfgeld
- Atmen
- Browser
- Fehler
- bauen
- Haufen
- aber
- Kaufe
- by
- rufen Sie uns an!
- namens
- Anrufer
- Aufruf
- Aufrufe
- Kampagnen
- CAN
- Kann bekommen
- Captures
- Karte
- vorsichtig
- Häuser
- Center
- sicherlich
- Chance
- Übernehmen
- Ändern
- Pommes frites
- Auswählen
- Kreis
- Die Durchblutung
- Code
- COM
- wie die
- kommt
- Kommentar
- community
- Unternehmen
- uneingeschränkt
- Kompromiss
- Kompromittiert
- Computer
- Computer
- Vernetz Dich
- betrachtet
- Kontakt
- kontinuierlich
- Cops
- KONZERN
- Kosten
- könnte
- Land
- Landes
- Paar
- Kurs
- Platz
- Crash
- erstellen
- Erstellen
- Kredit
- Kreditkarte
- Verbrechen
- Crooks
- Kunde
- Kunden
- Schneiden
- Cyber-Kriminalität
- Cyber-Kriminelle
- Dunkel
- Dunkle Web
- technische Daten
- Datenlecks
- Tag
- Tage
- Angebote
- entschieden
- liefert
- Anforderungen
- Denial of Service
- Dichte
- Schreibtisch
- Detail
- Details
- entschlossen
- Entwicklung
- DevOps
- DID
- anders
- Fleiß
- Bekanntgabe
- do
- die
- Tut nicht
- Dabei
- DoJ
- erledigt
- Nicht
- zweifeln
- nach unten
- herunterladen
- Drop
- zwei
- jeder
- Früher
- Früh
- Erde
- Einfache
- Verschlüsselung
- Ende
- Durchsetzung
- genug
- vollständig
- Folge anschauen
- Essenz
- im Wesentlichen
- Sogar
- ÜBERHAUPT
- Jedes
- jedermann
- alles
- genau
- Beispiel
- Ausführung
- vorhandenen
- Ausnutzen
- Abenteuer
- Auge
- zugewandt
- Tatsache
- Fabrik
- Fakten
- Fallen
- Familie
- prächtig
- beschleunigt
- Favoriten
- FBI
- fühlen
- Kerl
- wenige
- Kampf
- Abbildung
- gemustert
- Zahlen
- Revolution
- Finden Sie
- Ende
- Vorname
- passen
- Fixieren
- fixiert
- folgen
- Aussichten für
- gefunden
- Betrug
- Freunde
- für
- Materials des
- Spaß
- Erzeugung
- Richte deinen Sinn auf das,
- bekommen
- bekommen
- GitHub
- ABSICHT
- Global
- Go
- Goes
- gehen
- Golden
- gut
- der Regierung
- greifen
- groß
- sehr
- Bewachen
- Kerl
- hätten
- Hälfte
- Pflege
- Hände
- Aufhängen
- passiert
- hart
- Haben
- he
- ganzer
- Schlagzeile
- hören
- Herz
- Hilfe
- Unternehmen
- hier
- höher
- ihm
- seine
- Hit
- Bienenstock
- ein Geschenk
- Hoffnung
- Krankenhäuser
- Häuser
- Ultraschall
- http
- HTTPS
- i
- ID
- Idee
- Login
- if
- wichtig
- in
- In anderen
- Zwischenfall
- das
- zunehmend
- initiieren
- installieren
- Integration
- interessant
- Interessen
- International
- in
- Ironie
- iSpoof
- IT
- SEINE
- selbst
- Jargon
- springen
- nur
- Scharf
- Behalten
- Art
- Wissen
- grosse
- Nachname
- später
- neueste
- starten
- Recht
- Strafverfolgung
- führen
- umwandeln
- LERNEN
- am wenigsten
- geführt
- links
- legitim
- Lasst uns
- Bibliothek
- liegt
- !
- Gefällt mir
- Line
- Linien
- linux
- Liste
- Hörer
- Hören
- wenig
- Belastung
- aus einer regionalen
- London
- Lang
- aussehen
- suchen
- SIEHT AUS
- Los
- ich liebe
- MacOS
- gemacht
- Wartung
- um
- Making
- Malware
- viele
- Marketing
- maximal
- Kann..
- bedeuten
- Mittel
- messen
- mittlere
- Mitglieder
- Memory
- Metropolitan Police
- könnte
- Million
- Millionen
- Geist / Bewusstsein
- Köpfe
- Minute
- Fehler
- Mildern
- für
- bescheiden
- Modulen
- Moment
- Geld
- Monat
- monatlich
- Monat
- mehr
- vor allem warme
- viel
- Musik
- Musical
- sollen
- my
- Nackte Sicherheit
- Nackter Sicherheits-Podcast
- Name
- National
- navigieren
- Need
- hört niemals
- Neu
- weiter
- nicht
- nichts
- November
- jetzt an
- Anzahl
- of
- WOW!
- bieten
- bieten
- Angebote
- offiziell
- Offline-Bereich.
- vorgenommen,
- oh
- Alt
- on
- einmal
- EINEM
- Einsen
- einzige
- XNUMXh geöffnet
- Open-Source-
- Open-Source-Code
- or
- Organisation
- Andere
- Andernfalls
- UNSERE
- Ergebnis
- übrig
- in Übersee
- besitzen
- Pack
- Paket
- Pakete
- bezahlt
- Palo Alto
- Teil
- besondere
- passt
- Patch
- Patches
- Alexander
- AUFMERKSAMKEIT
- zahlen
- Zahlungen
- Personen
- Menschen
- Zeit
- person
- Perspektive
- Telefon
- Anrufe
- abgeholt
- Tonhöhe (Pitch)
- Ort
- Plattformen
- Plato
- Datenintelligenz von Plato
- PlatoData
- Spieler
- Bitte
- erfahren
- Podcast
- Podcasts
- Polizei
- Beliebt
- möglich
- gegebenenfalls
- BLOG-POSTS
- Vorläufer
- Drücken
- ziemlich
- früher
- Gefängnis
- Proaktives Handeln
- wahrscheinlich
- Aufgabenstellung:
- Probleme
- Produkt
- Professionell
- beruflich
- Programmierung
- Projekt
- Projekte
- versprochen
- richtig
- Risiken zu minimieren
- Versorger
- Öffentlichkeit
- Ziehen
- Push
- setzen
- Python
- Qualität
- Frage
- schnell
- Ransom
- Ransomware
- schnell
- Bewerten
- lieber
- erreichen
- Lesen Sie mehr
- Leser
- Lesebrillen
- realistisch
- wirklich
- Grund
- Gründe
- Empfänger
- anerkannte
- Entspannung
- Erholung
- Registrieren
- Registrieren
- merken
- entfernt
- berichten
- Reporting
- Meldungen
- Quelle
- Ruf
- Forschungsprojekte
- Forscher
- Antwort
- REST
- wiederherstellen
- Rückkehr
- Loswerden
- Recht
- Risiko
- ROBERT
- Zimmer
- rss
- Laufen
- russisch
- Said
- gleich
- sagen
- sagen
- sagt
- Skalieren
- Betrug
- Betrugsopfer
- Schulen
- Zweite
- Die Geheime
- Verbindung
- Sicherheitdienst
- Sicherheitslücke
- sehen
- scheint
- Absender
- Sendung
- Satz
- verurteilt
- ernst
- Dienstanbieter
- kompensieren
- Versand
- sollte
- erklären
- Konzerte
- Sehenswertes
- Schild
- da
- Single
- am Standort
- Geschicklichkeit
- So
- Social Media
- Software
- einige
- Jemand,
- etwas
- Seele
- Klingen
- Soundcloud
- Quelle
- Quellcode
- Sprechen
- speziell
- verbrachte
- Spotify
- Spyware
- Anfang
- begonnen
- Erklärung
- Staaten
- bleiben
- Immer noch
- Stoppen
- Geschichte
- Cannabissorten
- Schnur
- sucht
- abschicken
- Folge
- Substanz
- Erfolg
- so
- Sun
- Überraschung
- überrascht
- System
- Systeme und Techniken
- Nehmen
- Gespräche
- Team
- Tech
- Technische
- Technologie
- erzählen
- erzählt
- Vorlage
- zehn
- Zehn
- als
- dank
- zur Verbesserung der Gesundheitsgerechtigkeit
- Das
- Großbritannien
- die Welt
- ihr
- Sie
- dann
- Dort.
- Diese
- vom Nutzer definierten
- Ding
- think
- Dritte
- basierte Online-to-Offline-Werbezuordnungen von anderen gab.
- fehlen uns die Worte.
- diejenigen
- obwohl?
- dachte
- Tausende
- Bedrohung
- nach drei
- Durch
- Wurf
- Zeit
- mal
- Tip
- Tipps
- zu
- heute
- gemeinsam
- auch
- Top
- Gesamt
- aufnehmen
- verfolgen sind
- der Verkehr
- Studien
- versucht
- Ärger
- was immer dies auch sein sollte.
- Vertrauen
- Wahrheit
- versuchen
- WENDE
- Turned
- Twice
- XNUMX
- tippe
- Typen
- Uk
- Verständnis
- Unglücklicherweise
- Vereinigt
- USA
- bis
- Aktualisierung
- Updates
- Uploading
- URBAN
- URL
- us
- -
- benutzt
- Verwendung von
- gewöhnlich
- Version
- sehr
- Opfer
- Opfer
- Video
- Freiwillige
- Verwundbarkeit
- Verwundbar
- Warten
- wollen
- wollte
- will
- wurde
- Wellen
- Weg..
- we
- Netz
- Webkit
- Webseite
- Webseiten
- Woche
- GUT
- waren
- Was
- wann
- ob
- welche
- während
- WHO
- ganze
- warum
- werden wir
- mit
- WordPress
- Worte
- Arbeiten
- arbeiten,
- weltweit wie ausgehandelt und gekauft ausgeführt wird.
- schlimmer
- Wurst
- wert
- würde
- geschrieben
- Falsch
- Jahr
- ja
- U
- Ihr
- sich selbst
- Zephyrnet
- Null
- Zero Day