«ΙΔΙΩΤΙΚΟ ΚΛΕΙΔΙ»: Η ΥΠΟΔΕΙΞΗ ΕΙΝΑΙ ΣΤΟ ΟΝΟΜΑ
Δεν υπάρχει πρόγραμμα αναπαραγωγής ήχου παρακάτω; Ακούω κατευθείαν στο Soundcloud.
Με τους Doug Aamoth και Paul Ducklin. Intro και outro μουσική από Edith Mudge.
Μπορείτε να μας ακούσετε στο SoundCloud, Apple Podcasts, Podcasts Google, Spotify, Ράπτων και οπουδήποτε υπάρχουν καλά podcast. Ή απλά ρίξτε το URL της ροής RSS μας στο αγαπημένο σας podcatcher.
ΔΙΑΒΑΣΤΕ ΤΟ ΜΕΤΑΓΡΑΦΟ
ΖΥΜΗ. Bluetooth trackers, ενοχλητικά bootkits και πώς να μην βρεις δουλειά.
Όλα αυτά και πολλά άλλα στο podcast του Naked Security.
[ΜΟΥΣΙΚΟ ΜΟΝΤΕΜ]
Καλώς ήρθατε στο podcast, όλοι.
Είμαι ο Doug Aamoth.
Είναι ο Paul Ducklin…
Απολαύστε αυτό το κομμάτι από το Tech History.
Αυτή την εβδομάδα, στις 11 Μαΐου 1979, ο κόσμος έριξε την πρώτη του ματιά στο VisiCalc ή Visible Calculator, ένα πρόγραμμα που αυτοματοποιούσε τον επανυπολογισμό των υπολογιστικών φύλλων.
Το πνευματικό τέκνο του υποψηφίου MBA του Χάρβαρντ Daniel Bricklin και του προγραμματιστή Robert Frankston, η VisiCalc μετέτρεψε ουσιαστικά το Apple II σε μια βιώσιμη επιχειρηματική μηχανή και συνέχισε να πούλησε βόρεια από 100,000 αντίτυπα τον πρώτο χρόνο.
ΠΑΠΙΑ. Απίστευτο, Νταγκ.
Θυμάμαι την πρώτη φορά που είδα ένα υπολογιστικό φύλλο.
Δεν ήμουν στη δουλειά… Ήμουν απλώς παιδί, και μου ακουγόταν, από ό,τι είχα διαβάσει γι' αυτό, ήταν απλώς μια δοξασμένη αριθμομηχανή πλήρους οθόνης.
Αλλά όταν συνειδητοποίησα ότι ήταν μια αριθμομηχανή που μπορούσε να ξανακάνει τα πάντα, συμπεριλαμβανομένων όλων αυτών των εξαρτήσεων, ήταν, για να χρησιμοποιήσω έναν ίσως πιο σύγχρονο όρο, «Mind blown», Doug.
ΖΥΜΗ. Μια πολύ σημαντική εφαρμογή στις πρώτες μέρες της πληροφορικής.
Ας μείνουμε με τις εφαρμογές καθώς μπαίνουμε στην πρώτη μας ιστορία.
Paul, αν ψάχνω για δουλειά στην ασφάλεια εφαρμογών, νομίζω ότι το καλύτερο που μπορώ να κάνω είναι να δηλητηριάσω μια δημοφιλή αλυσίδα εφοδιασμού εφαρμογών.
Είναι σωστό?
Δηλητηριάστηκε η εφοδιαστική αλυσίδα PHP Packagist από χάκερ «που ψάχνει για δουλειά»
ΠΑΠΙΑ. Ναι, γιατί τότε θα μπορούσατε να τροποποιήσετε το αρχείο JSON που περιγράφει το πακέτο και αντί να πείτε, "Αυτό είναι ένα πακέτο που θα σας βοηθήσει να δημιουργήσετε κωδικούς QR", για παράδειγμα, μπορείτε να πείτε, "Pwned by me. Αναζητώ δουλειά στην Ασφάλεια Εφαρμογών.»
[ΓΕΛΙΟ]
Και ποιος δεν θα βιαζόταν να σε προσλάβει, Νταγκ;
ΖΥΜΗ. Ναι!
ΠΑΠΙΑ. Αλλά είναι, δυστυχώς, μια ακόμη υπενθύμιση ότι η αλυσίδα εφοδιασμού είναι τόσο ισχυρή όσο ο πιο αδύναμος κρίκος της.
Και αν επιτρέπετε σε αυτούς τους συνδέσμους να αποφασίζονται και να ικανοποιούνται εντελώς αυτόματα, μπορείτε εύκολα να συρράψετε κάτι σαν αυτό.
Ο επιθετικός… ας τον πούμε έτσι.
(Ήταν όντως χακάρισμα; Υποθέτω ότι ήταν.)
Απλώς δημιούργησαν νέα αποθετήρια στο GitHub, αντέγραψαν νόμιμα έργα και έβαλαν το μήνυμα "Hey, I want a job, guys".
Στη συνέχεια πήγαν στο PHP Packagist και άλλαξαν τους συνδέσμους για να πουν, «Ω, όχι, μην πηγαίνετε στο πραγματικό μέρος στο GitHub. Πήγαινε στο ψεύτικο μέρος."
Άρα θα μπορούσε να ήταν πολύ χειρότερο.
Διότι, φυσικά, οποιοσδήποτε το κάνει… εάν μπορεί να τροποποιήσει το αρχείο JSON που περιγράφει το πακέτο, τότε μπορεί να τροποποιήσει τον κώδικα που υπάρχει στο πακέτο ώστε να περιλαμβάνει στοιχεία όπως keylogger, backdoors, κλέφτες δεδομένων, κακόβουλο λογισμικό εγκατάστασης κακόβουλου λογισμικού κ.λπ. .
ΖΥΜΗ. Εντάξει, λοιπόν, ακούγεται σαν το πιο χάκι αυτού είναι ότι μάντευε μερικά ονόματα χρήστη και κωδικούς πρόσβασης για μερικούς παλιούς ανενεργούς λογαριασμούς και στη συνέχεια ανακατεύθυνε την επισκεψιμότητα σε αυτά τα πακέτα που είχε κλωνοποιήσει, σωστά;
ΠΑΠΙΑ. Σωστός.
Δεν χρειαζόταν να χακάρει τους λογαριασμούς του GitHub.
Απλώς πήγε για πακέτα που φαίνεται να αρέσουν και να χρησιμοποιούν οι άνθρωποι, αλλά όπου οι προγραμματιστές είτε δεν τα χρειάζονταν είτε ήθελαν να ασχοληθούν μαζί τους εδώ και λίγο καιρό, δεν έχουν συνδεθεί, πιθανότατα δεν έχουν αλλάξει τον κωδικό πρόσβασής τους ή δεν έχουν προσθέσει οποιοδήποτε είδος 2FA τα τελευταία χρόνια.
Και πράγματι, έτσι μπήκε.
Και νομίζω ότι ξέρω πού πας, Νταγκ, γιατί αυτό οδηγεί όμορφα στο είδος των συμβουλών που σου αρέσουν.
ΖΥΜΗ. Ακριβώς!
Υπάρχουν πολλές συμβουλές… μπορείτε να μεταβείτε στο άρθρο για να τις διαβάσετε όλες, αλλά θα επισημάνουμε μερικές από αυτές, ξεκινώντας από το αγαπημένο μου: Μην το κάνεις αυτό.
ΠΑΠΙΑ. Ναι, νομίζω ότι καταλάβαμε γιατί δεν πρόκειται να σου βρει δουλειά.
[ΓΕΛΙΟ]
Αυτή η υπόθεση… μπορεί να μην αρκεί για να σε οδηγήσουν στη φυλακή, αλλά σίγουρα θα έλεγα, στις ΗΠΑ και στο Ηνωμένο Βασίλειο, θα ήταν αδίκημα σύμφωνα με τους αντίστοιχους νόμους περί απάτης και κατάχρησης υπολογιστών, έτσι δεν είναι;
Σύνδεση στο λογαριασμό κάποιου άλλου χωρίς άδεια και ταλαιπωρία με πράγματα.
ΖΥΜΗ. Και μετά ίσως μια ελαφρώς πιο απτή συμβουλή: Μην αποδέχεστε τυφλά ενημερώσεις της εφοδιαστικής αλυσίδας χωρίς να τις ελέγξετε για ορθότητα.
Αυτό είναι καλό.
ΠΑΠΙΑ. Ναί.
Είναι ένα από αυτά τα πράγματα, έτσι δεν είναι, «Γεια, παιδιά, χρησιμοποιήστε έναν διαχειριστή κωδικών πρόσβασης. ενεργοποιήσω το 2FA";
Όπως περάσαμε την Ημέρα κωδικού πρόσβασης… πρέπει να τα πούμε αυτά γιατί λειτουργούν: είναι χρήσιμα. είναι σημαντικοί.
Όπου και να μας βγάλει το μέλλον, πρέπει να ζούμε στο παρόν.
Και είναι ένα από εκείνα τα πράγματα που όλοι γνωρίζουν… αλλά μερικές φορές σε όλους μας χρειάζεται απλώς να το υπενθυμίζουμε, με μεγάλα, έντονα γράμματα, όπως κάναμε στο Naked
Άρθρο ασφαλείας.
ΖΥΜΗ. Εντάξει, πολύ καλό.
Η επόμενη ιστορία μας… Πιστεύω ότι την τελευταία φορά που μιλήσαμε για αυτό, είπα και παραθέτω, «Θα το παρακολουθούμε».
Και έχουμε ενημέρωση.
Πρόκειται για την παραβίαση της μητρικής πλακέτας MSI. αυτά τα κλειδιά ασφαλείας που διέρρευσαν.
Τι συμβαίνει εδώ, Παύλο;
ΠΑΠΙΑ. Λοιπόν, μπορεί να το θυμάστε αυτό, αν είστε τακτικός ακροατής.
Πριν από λίγο περισσότερο από ένα μήνα, έτσι δεν ήταν, που ένα συνεργείο ransomware με το όνομα της οδού Money Message έβαλε, στον σκοτεινό ιστότοπό τους, ένα σημείωμα που έλεγε, "Έχουμε παραβιάσει τη MicroStar International", πιο γνωστό ως Η MSI, ο γνωστός κατασκευαστής μητρικών πλακών, πολύ δημοφιλής στους παίκτες για τις προσαρμοζόμενες μητρικές τους.
«Έχουμε παραβιάσει τα περιεχόμενά τους, όπως πηγαίο κώδικα, εργαλεία ανάπτυξης και ιδιωτικά κλειδιά. Θα δημοσιεύσουμε κλεμμένα δεδομένα όταν λήξει το χρονόμετρο», είπαν.
Επέστρεψα πριν από μερικές ημέρες και το χρονόμετρο έληξε πριν από περισσότερο από ένα μήνα, αλλά εξακολουθεί να λέει: "Θα δημοσιεύσουμε κλεμμένα δεδομένα όταν λήξει ο χρονοδιακόπτης".
Οπότε δεν έχουν προλάβει να το δημοσιεύσουν ακόμα.
Αλλά οι ερευνητές σε μια εταιρεία που ονομάζεται Binarly ισχυρίστηκαν ότι έχουν στην πραγματικότητα αντίγραφα των δεδομένων. ότι έχει διαρρεύσει.
Και όταν το πέρασαν, βρήκαν ένα ολόκληρο φορτίο από ιδιωτικά κλειδιά θαμμένα σε αυτά τα δεδομένα.
Δυστυχώς, αν αυτό που βρήκαν είναι σωστό, είναι ένα αρκετά εκλεκτικό μείγμα πραγμάτων.
Προφανώς, υπάρχουν τέσσερα κλειδιά για αυτό που ονομάζεται Intel Boot Guard.
Τώρα, αυτά δεν είναι τα κλειδιά της Intel, για να είμαστε ξεκάθαροι: είναι κλειδιά OEM, ή κατασκευαστών μητρικών πλακών, που χρησιμοποιούνται για να προσπαθήσουν να κλειδώσουν τη μητρική πλακέτα κατά το χρόνο εκτέλεσης έναντι μη εξουσιοδοτημένων ενημερώσεων υλικολογισμικού.
27 κλειδιά υπογραφής εικόνας υλικολογισμικού.
Αυτά είναι λοιπόν τα ιδιωτικά κλειδιά που ένας κατασκευαστής μητρικής πλακέτας μπορεί να χρησιμοποιήσει για να υπογράψει μια νέα εικόνα υλικολογισμικού που σας δίνει για λήψη, ώστε να μπορείτε να βεβαιωθείτε ότι είναι το σωστό και ότι πραγματικά προήλθε από αυτούς.
Και ένα κλειδί που ανέφεραν ως κλειδί εντοπισμού σφαλμάτων Intel OEM.
Τώρα, πάλι, αυτό δεν είναι κλειδί από την Intel… είναι ένα κλειδί που χρησιμοποιείται για μια δυνατότητα που παρέχει η Intel στο υλικό ελέγχου της μητρικής πλακέτας που αποφασίζει εάν επιτρέπεται ή όχι να εισχωρήσετε στο σύστημα κατά την εκκίνηση, με έναν εντοπισμό σφαλμάτων.
Και, προφανώς, εάν μπορείτε να εισέλθετε απευθείας με ένα πρόγραμμα εντοπισμού σφαλμάτων στο χαμηλότερο δυνατό επίπεδο, τότε μπορείτε να κάνετε πράγματα όπως η ανάγνωση δεδομένων που υποτίθεται ότι βρίσκονται μόνο σε ασφαλή αποθήκευση και η ενασχόληση με τον κώδικα που κανονικά θα χρειαζόταν υπογραφή.
Είναι, αν θέλετε, μια κάρτα Access All Areas που πρέπει να κρατήσετε ψηλά που λέει: «Δεν θέλω να υπογράψω νέο υλικολογισμικό. Θέλω να εκτελέσω το υπάρχον υλικολογισμικό, αλλά θέλω να μπορώ να το παγώσω. βιολί με αυτό? καταλαβαίνω τη μνήμη».
Και, όπως δηλώνει ειρωνικά η Intel, σχεδόν σατιρικά, στη δική της τεκμηρίωση για αυτά τα κλειδιά εξουσιοδότησης εντοπισμού σφαλμάτων: "Υποτίθεται ότι ο κατασκευαστής της μητρικής πλακέτας δεν θα μοιραστεί τα ιδιωτικά κλειδιά του με άλλα άτομα."
Εν ολίγοις, είναι ένα ΙΔΙΩΤΙΚΟ κλειδί, παιδιά… η υπόδειξη είναι στο όνομα.
[ΓΕΛΙΟ]
Δυστυχώς, σε αυτήν την περίπτωση, φαίνεται ότι τουλάχιστον ένα από αυτά διέρρευσε, μαζί με ένα σωρό άλλα κλειδιά υπογραφής που θα μπορούσαν να χρησιμοποιηθούν για να ολοκληρώσουν λίγο τις προστασίες που υποτίθεται ότι υπάρχουν στη μητρική σας πλακέτα για όσους θέλουν να τα εκμεταλλευτούν.
Και, όπως είπα στο άρθρο, η μόνη συμβουλή που μπορούμε πραγματικά να δώσουμε είναι: Να είστε προσεκτικοί εκεί έξω, παιδιά.
ΖΥΜΗ. Είναι τολμηρό!
ΠΑΠΙΑ. Είναι πράγματι, Νταγκ.
Προσπαθήστε να είστε όσο πιο προσεκτικοί μπορείτε σχετικά με το από πού λαμβάνετε ενημερώσεις υλικολογισμικού.
Οπότε, πράγματι, όπως είπαμε, «Προσέχετε εκεί έξω, παιδιά».
Και αυτό, φυσικά, ισχύει για πελάτες μητρικής πλακέτας MSI: απλά να προσέχετε από πού παίρνετε αυτές τις ενημερώσεις, κάτι που ελπίζω να το κάνετε ούτως ή άλλως.
Και αν είστε κάποιος που πρέπει να φροντίζει τα κρυπτογραφικά κλειδιά, είτε είστε κατασκευαστής μητρικής πλακέτας είτε όχι, να είστε προσεκτικοί εκεί έξω γιατί, όπως μας υπενθύμισε η Intel σε όλους, είναι ΙΔΙΩΤΙΚΟ κλειδί.
ΖΥΜΗ. Εντάξει, υπέροχο.
Θα πω, «Ας το προσέξουμε αυτό»… Έχω την αίσθηση ότι αυτό δεν έχει τελειώσει ακόμα.
Η Microsoft, σε μια ημισχετική ιστορία, ακολουθεί προσεκτική προσέγγιση σε μια επιδιόρθωση του bootkit zero-day.
Αυτό ήταν κάπως ενδιαφέρον να το δούμε, γιατί οι ενημερώσεις είναι, γενικά, αυτόματες και δεν χρειάζεται να ανησυχείτε πραγματικά για αυτό.
Με αυτό, παίρνουν το χρόνο τους.
ΠΑΠΙΑ. Αυτοί είναι, Ντάγκλας.
Τώρα, αυτό δεν είναι τόσο σοβαρό ή τόσο σοβαρό όσο ένα πρόβλημα ανάκλησης κλειδιού ενημέρωσης υλικολογισμικού μητρικής πλακέτας, επειδή μιλάμε για την Ασφαλή εκκίνηση – τη διαδικασία που εφαρμόζει η Microsoft, όταν είναι ενεργοποιημένη η Ασφαλής εκκίνηση, για να αποτρέψει την εξάντληση του αδίστακτου λογισμικού από αυτό που ονομάζεται EFI, το διαμέρισμα εκκίνησης του Extensible Firmware Interface στον σκληρό σας δίσκο.
Έτσι, εάν πείτε στο σύστημά σας, "Γεια, θέλω να βάλω τη συγκεκριμένη μονάδα στη λίστα αποκλεισμού, επειδή έχει ένα σφάλμα ασφαλείας" ή, "Θέλω να αποσύρω αυτό το κλειδί ασφαλείας", και τότε συμβαίνει κάτι κακό και ο υπολογιστής σας κέρδισε δεν εκκινεί…
…με την κατάσταση της Microsoft, το χειρότερο που μπορεί να συμβεί είναι να πάτε, «Το ξέρω. Θα πάρω αυτό το CD ανάκτησης που έφτιαξα πριν από τρεις μήνες και θα το βάλω στην πρίζα. Ω, αγάπη μου, δεν θα εκκινήσει!
Διότι μάλλον περιέχει τον παλιό κώδικα που έχει πλέον ανακληθεί.
Έτσι, δεν είναι τόσο κακό όσο η εγγραφή υλικολογισμικού στη μητρική πλακέτα που δεν θα εκτελείται, αλλά είναι πολύ άβολο, ιδιαίτερα αν έχετε μόνο έναν υπολογιστή ή εργάζεστε από το σπίτι.
Κάνετε την ενημέρωση, «Ω, έχω εγκαταστήσει ένα νέο bootloader. Έχω ανακαλέσει την άδεια να τρέξει το παλιό. Τώρα ο υπολογιστής μου αντιμετώπισε προβλήματα τρεις ή τέσσερις εβδομάδες αργότερα, οπότε θα πάρω αυτό το USB stick που έφτιαξα πριν από μερικούς μήνες».
Το συνδέεις… «Α, όχι, δεν μπορώ να κάνω τίποτα! Λοιπόν, ξέρω, θα συνδεθώ στο διαδίκτυο και θα κατεβάσω μια εικόνα ανάκτησης από τη Microsoft. Ας ελπίσουμε ότι έχουν ενημερώσει τις εικόνες ανάκτησης. Ω, αγαπητέ, πώς θα συνδεθώ στο διαδίκτυο, επειδή ο υπολογιστής μου δεν θα εκκινήσει;»
Έτσι, δεν είναι το τέλος του κόσμου: μπορείτε ακόμα να ανακάμψετε ακόμα κι αν όλα πάνε φρικτά στραβά.
Αλλά νομίζω ότι αυτό που έχει κάνει η Microsoft εδώ είναι ότι αποφάσισε να ακολουθήσει μια πολύ μαλακή, μαλακή, αργή και ήπια προσέγγιση, ώστε να μην βρεθεί κανείς σε αυτήν την κατάσταση…
…όπου έχουν κάνει την ενημέρωση, αλλά δεν έχουν ακόμη προλάβει να ενημερώσουν τους δίσκους ανάκτησης, τα ISO τους, τα USB με δυνατότητα εκκίνησης και μετά μπαίνουν σε μπελάδες.
Δυστυχώς, αυτό σημαίνει ότι αναγκάζετε τους ανθρώπους σε έναν πολύ αδέξιο και περίπλοκο τρόπο να κάνουν την ενημέρωση.
ΖΥΜΗ. Εντάξει, είναι μια διαδικασία τριών βημάτων.
Το πρώτο βήμα είναι να ανακτήσετε την ενημέρωση και να την εγκαταστήσετε, οπότε ο υπολογιστής σας θα χρησιμοποιήσει τον νέο κώδικα εκκίνησης, αλλά θα εξακολουθεί να δέχεται τον παλιό εκμεταλλεύσιμο κώδικα.
ΠΑΠΙΑ. Έτσι, για να είμαστε σαφείς, εξακολουθείτε να είστε ουσιαστικά ευάλωτοι.
ΖΥΜΗ. Ναί.
ΠΑΠΙΑ. Έχετε το έμπλαστρο, αλλά μπορεί επίσης να σας «ξεμπαλώσει» κάποιος με τα χειρότερα ενδιαφέροντά σας στην καρδιά.
Αλλά είστε έτοιμοι για το δεύτερο βήμα.
ΖΥΜΗ. Ναί.
Άρα το πρώτο μέρος είναι αρκετά απλό.
Βήμα δεύτερο, μετά πηγαίνετε και επιδιορθώνετε όλα τα ISO, τα κλειδιά USB και όλα τα DVD που γράψατε με τις εικόνες ανάκτησης.
ΠΑΠΙΑ. Δυστυχώς, θα ήθελα να μπορούσαμε να είχαμε βάλει οδηγίες στο άρθρο Naked Security, αλλά πρέπει να μεταβείτε στις επίσημες οδηγίες της Microsoft, επειδή υπάρχουν 17 διαφορετικοί τρόποι να το κάνετε για κάθε είδος συστήματος ανάκτησης που θέλετε.
Δεν είναι μια ασήμαντη άσκηση για να αναπληρώσετε όλα αυτά.
ΖΥΜΗ. Έτσι, σε αυτό το σημείο, ο υπολογιστής σας είναι ενημερωμένος, αλλά θα εξακολουθεί να δέχεται τον παλιό κωδικό buggy και οι συσκευές ανάκτησης και οι εικόνες σας ενημερώνονται.
Τώρα, Βήμα τρίτο: θέλετε να ανακαλέσετε τον κωδικό σφάλματος, τον οποίο πρέπει να κάνετε με μη αυτόματο τρόπο.
ΠΑΠΙΑ. Ναι, υπάρχει λίγη αναστάτωση στο μητρώο, καθώς και στοιχεία της γραμμής εντολών που εμπλέκονται σε αυτό.
Τώρα, θεωρητικά, θα μπορούσατε απλώς να κάνετε το Βήμα Ένα και το Τρίτο με μία κίνηση και η Microsoft θα μπορούσε να το είχε αυτοματοποιήσει.
Θα μπορούσαν να έχουν εγκαταστήσει τον νέο κωδικό εκκίνησης. θα μπορούσαν να είχαν πει στο σύστημα, «Δεν θέλουμε να τρέχει πια ο παλιός κώδικας» και μετά να σου πουν, «Κάποια στιγμή (μην το αφήσεις πολύ), πήγαινε και κάνε το δεύτερο βήμα».
Αλλά όλοι ξέρουμε τι συμβαίνει [ΓΕΛΙΑ] όταν δεν υπάρχει ξεκάθαρη και πιεστική ανάγκη να κάνετε κάτι σαν αντίγραφο ασφαλείας, όπου το αναβάλλετε, το αναβάλλετε και το αναβάλλετε…
Λοιπόν, αυτό που προσπαθούν να κάνουν είναι να σας κάνουν να κάνετε αυτά τα πράγματα με τη σειρά που είναι ίσως η λιγότερο βολική, αλλά με αυτή που είναι λιγότερο πιθανό να κολλήσει τη μύτη σας εάν κάτι πάει στραβά με τον υπολογιστή σας τρεις ημέρες, τρεις εβδομάδες, τρεις μήνες μετά την εφαρμογή αυτού του έμπλαστρου.
Αν και αυτό σημαίνει ότι η Microsoft έχει φτιάξει κάπως μια ράβδο για την πλάτη της, νομίζω ότι είναι ένας πολύ καλός τρόπος για να το κάνει, επειδή οι άνθρωποι που θέλουν πραγματικά να το κλειδώσουν τώρα έχουν έναν καλά καθορισμένο τρόπο να το κάνουν.
ΖΥΜΗ. Προς τιμή της Microsoft, λένε, «Εντάξει, θα μπορούσατε να το κάνετε αυτό τώρα (είναι κάπως περίπλοκη διαδικασία), αλλά εργαζόμαστε σε μια πολύ πιο βελτιωμένη διαδικασία που ελπίζουμε να ολοκληρωθεί εντός του χρονικού πλαισίου του Ιουλίου. Και στη συνέχεια στις αρχές του επόμενου έτους, το 2024, αν δεν το έχετε κάνει αυτό, θα ενημερώσουμε αναγκαστικά, αυτόματα όλα τα μηχανήματα που είναι ευαίσθητα σε αυτό."
ΠΑΠΙΑ. Λένε, "Αυτή τη στιγμή σκεφτόμαστε να σας δώσουμε τουλάχιστον έξι μήνες πριν πούμε, για το καλύτερο από όλα, "Θα εγκαταστήσετε μόνιμα αυτήν την ανάκληση, ό,τι κι αν συμβεί".
ΖΥΜΗ. Εντάξει.
Και τώρα η τελευταία μας ιστορία: η Apple και η Google ενώνουν τις δυνάμεις τους για να θέσουν πρότυπα για τους ιχνηλάτες Bluetooth.
ΠΑΠΙΑ. Ναί.
Έχουμε μιλήσει για τα AirTag αρκετές φορές, έτσι δεν είναι, στο Naked Security και στο podcast.
Είτε τα αγαπάτε είτε τα μισείτε, φαίνεται να είναι αρκετά δημοφιλή και η Apple δεν είναι η μόνη εταιρεία που τα κατασκευάζει.
Εάν έχετε τηλέφωνο Apple ή τηλέφωνο Google, μπορεί να «δανειστεί» το δίκτυο στο σύνολό του, αν θέλετε, για εθελοντές να πούν, «Λοιπόν, είδα αυτήν την ετικέτα. Δεν έχω ιδέα σε ποιον ανήκει, αλλά το καλώ απλώς στη βάση δεδομένων, ώστε ο γνήσιος κάτοχος να μπορεί να το ψάξει και να δει αν το είδαν αφού έχασαν τα ίχνη του.»
Οι ετικέτες είναι πολύ βολικές… οπότε δεν θα ήταν ωραίο αν υπήρχαν κάποια πρότυπα που θα μπορούσαν να ακολουθήσουν όλοι, τα οποία θα μας επέτρεπαν να συνεχίσουμε να χρησιμοποιούμε αυτά τα ομολογουμένως πολύ χρήσιμα προϊόντα, αλλά δεν θα ήταν ο παράδεισος των stalker που μερικοί από τους αρνητές φαίνεται να διεκδικεί;
Είναι ένα ενδιαφέρον δίλημμα, έτσι δεν είναι;
Σε ένα μέρος της ζωής τους, πρέπει να είναι απολύτως προσεκτικοί ώστε να μην εμφανίζονται ως προφανώς η ίδια συσκευή όλη την ώρα.
Αλλά όταν απομακρύνονται από εσάς (και ίσως κάποιος να κρυφτεί ένα στο αυτοκίνητό σας ή να το κόλλησε στο σακίδιο σας), πρέπει πραγματικά να σας ξεκαθαρίσει ότι, «Ναι, είμαι η ίδια ετικέτα που *δεν είναι * το δικό σου, ήταν μαζί σου τις τελευταίες δύο ώρες.»
Έτσι, μερικές φορές πρέπει να είναι αρκετά μυστικοπαθείς, και άλλες φορές πρέπει να είναι πολύ πιο ανοιχτοί, για να εφαρμόσουν αυτές τις λεγόμενες προστασίες κατά της καταδίωξης.
ΖΥΜΗ. Εντάξει, είναι σημαντικό να αναφέρουμε ότι αυτό είναι απλώς ένα προσχέδιο και βγήκε στις αρχές Μαΐου.
Υπάρχουν έξι μήνες σχολίων και σχολίων, οπότε αυτό θα μπορούσε να αλλάξει τρομερά με την πάροδο του χρόνου, αλλά είναι μια καλή πρώτη αρχή.
Έχουμε πολλά σχόλια για το άρθρο, συμπεριλαμβανομένου αυτού από τον Wilbur, ο οποίος γράφει:
Δεν χρησιμοποιώ gadget Bluetooth, επομένως διατηρώ απενεργοποιημένο το Bluetooth στα iDevices για εξοικονόμηση μπαταρίας. Επιπλέον, δεν θέλω να με ανακαλύψουν άνθρωποι δύο τραπέζια μακριά σε ένα εστιατόριο. Όλα αυτά τα συστήματα πρόληψης παρακολούθησης βασίζονται στο ότι τα θύματα έχουν στην κατοχή τους ενεργές, ιδιόκτητες συσκευές Bluetooth. Το θεωρώ μεγάλο ελάττωμα. Απαιτεί από τους ανθρώπους να αγοράζουν συσκευές που διαφορετικά δεν χρειάζονται ή δεν θέλουν, ή τους αναγκάζει να χειρίζονται τις υπάρχουσες συσκευές με τρόπο που μπορεί να μην επιθυμούν.
Τι λες Παύλο;
ΠΑΠΙΑ. Λοιπόν, δεν μπορείς να διαφωνήσεις με αυτό.
Όπως συνεχίζει να λέει ο Wilbur σε ένα επόμενο σχόλιο, στην πραγματικότητα δεν ανησυχεί τρομερά για τον εντοπισμό του. Απλώς έχει επίγνωση του γεγονότος ότι υπάρχει αυτή η σχεδόν συντριπτική ειρωνεία ότι επειδή αυτά τα προϊόντα είναι πραγματικά δημοφιλή και βασίζονται στο Bluetooth για να γνωρίζουν ότι σας ακολουθεί μια από αυτές τις ετικέτες που δεν σας ανήκει…
…πρέπει να επιλέξεις αρχικά το σύστημα.
ΖΥΜΗ. Ακριβώς! [ΓΕΛΙΑ]
ΠΑΠΙΑ. Και πρέπει να έχετε ενεργοποιημένο το Bluetooth και να πείτε, "Σωστά, θα τρέξω την εφαρμογή".
Ο Wilbur λοιπόν έχει δίκιο.
Υπάρχει ένα είδος ειρωνείας που λέει ότι αν θέλετε να πιάσετε αυτούς τους ιχνηλάτες που βασίζονται στο Bluetooth, πρέπει να έχετε δέκτη Bluetooth μόνοι σας.
Η απάντησή μου ήταν, "Λοιπόν, ίσως είναι μια ευκαιρία, αν σας αρέσει να διασκεδάσετε λίγο με τεχνική..."
Αποκτήστε ένα Raspberry Pi Zero ([ΓΕΛΙΑ] αν μπορείτε πραγματικά να βρείτε ένα προς πώληση) και θα μπορούσατε να δημιουργήσετε τη δική σας συσκευή παρακολούθησης ετικετών ως έργο.
Επειδή, αν και τα συστήματα είναι ιδιόκτητα, είναι αρκετά σαφές πώς λειτουργούν και πώς μπορείτε να προσδιορίσετε ότι ο ίδιος ιχνηλάτης κολλάει μαζί σας.
Αλλά αυτό θα λειτουργούσε μόνο εάν ο ιχνηλάτης ακολουθεί αυτούς τους κανόνες.
Αυτή είναι μια δύσκολη ειρωνεία, και υποθέτω ότι θα μπορούσατε να υποστηρίξετε, «Λοιπόν, το βάζο της Πανδώρας άνοιξε».
Αυτές οι ετικέτες παρακολούθησης είναι δημοφιλείς. δεν πρόκειται να φύγουν. είναι αρκετά εύχρηστα? παρέχουν μια χρήσιμη υπηρεσία.
Αλλά αν δεν υπήρχαν αυτά τα πρότυπα, τότε δεν θα ήταν ούτως ή άλλως ανιχνεύσιμα, είτε είχατε ενεργοποιημένο το Bluetooth είτε όχι.
Λοιπόν, ίσως αυτός είναι ο τρόπος να δούμε το σχόλιο του Wilbur;
ΖΥΜΗ. Ευχαριστώ, Wilbur, που το έστειλες.
Και αν έχετε μια ενδιαφέρουσα ιστορία, σχόλιο ή ερώτηση που θέλετε να υποβάλετε, θα θέλαμε να διαβάσουμε στο podcast.
Μπορείτε να στείλετε email στο tips@sophos.com, να σχολιάσετε οποιοδήποτε από τα άρθρα μας ή να μας ενημερώσετε στα social: @nakedsecurity.
Αυτή είναι η εκπομπή μας για σήμερα. ευχαριστώ πολύ για την ακρόαση.
Για τον Paul Ducklin, είμαι ο Doug Aamoth, που σας υπενθυμίζω, μέχρι την επόμενη φορά, να…
ΚΑΙ ΤΑ ΔΥΟ. Μείνετε ασφαλείς.
[ΜΟΥΣΙΚΟ ΜΟΝΤΕΜ]
- SEO Powered Content & PR Distribution. Ενισχύστε σήμερα.
- PlatoAiStream. Web3 Data Intelligence. Ενισχύθηκε η γνώση. Πρόσβαση εδώ.
- Minting the Future με την Adryenn Ashley. Πρόσβαση εδώ.
- Αγορά και πώληση μετοχών σε εταιρείες PRE-IPO με το PREIPO®. Πρόσβαση εδώ.
- πηγή: https://nakedsecurity.sophos.com/2023/05/11/s3-ep134-its-a-private-key-the-hint-is-in-the-name/
- :έχει
- :είναι
- :δεν
- :που
- $UP
- 000
- 100
- 11
- 2024
- 2FA
- a
- Ικανός
- Σχετικά
- σχετικά με αυτό
- απολύτως
- Αποδέχομαι
- πρόσβαση
- Λογαριασμός
- Λογαριασμοί
- ενεργός
- πράξεις
- πραγματικά
- προστιθέμενη
- Πλεονέκτημα
- συμβουλές
- Μετά το
- πάλι
- κατά
- πριν
- Όλα
- Επιτρέποντας
- κατά μήκος
- Καλώς
- Επίσης
- Αν και
- am
- an
- και
- Άλλος
- κάθε
- κάποιος
- οπουδήποτε
- app
- Apple
- Εφαρμογή
- ασφάλεια εφαρμογών
- εφαρμογές
- εφαρμοσμένος
- πλησιάζω
- ΕΙΝΑΙ
- περιοχές
- Υποστηρίζουν
- γύρω
- άρθρο
- εμπορεύματα
- AS
- υποτίθεται
- At
- ήχου
- συγγραφέας
- άδεια
- Αυτοματοποιημένη
- Αυτόματο
- αυτομάτως
- μακριά
- πίσω
- Κερκόπορτες
- εφεδρικός
- Κακός
- μπαταρία
- BE
- επειδή
- ήταν
- πριν
- είναι
- Πιστεύω
- ανήκει
- παρακάτω
- ΚΑΛΎΤΕΡΟΣ
- Καλύτερα
- Μεγάλος
- Κομμάτι
- με κλειστά μάτια
- bluetooth
- παραβίαση
- Διακοπή
- φέρω
- Έντομο
- χτίζω
- τσαμπί
- καίγονται
- επιχείρηση
- αλλά
- by
- κλήση
- που ονομάζεται
- κλήση
- ήρθε
- CAN
- Μπορεί να πάρει
- υποψήφιος
- αυτοκίνητο
- κάρτα
- προσεκτικός
- περίπτωση
- πάλη
- προσεκτικός
- CD
- σίγουρα
- αλυσίδα
- αλλαγή
- άλλαξε
- ισχυρισμός
- ισχυρίστηκε
- καθαρός
- κωδικός
- COM
- Ελάτε
- σχόλιο
- σχόλια
- εταίρα
- περίπλοκος
- υπολογιστή
- χρήση υπολογιστή
- συνειδητός
- Εξετάστε
- Περιέχει
- σύγχρονος
- ΣΥΝΕΧΕΙΑ
- έλεγχος
- Βολικός
- αντίγραφα
- διορθώσει
- θα μπορούσε να
- Ζευγάρι
- πορεία
- δημιουργία
- δημιουργήθηκε
- μονάδες
- κρυπτογραφικό
- Πελάτες
- Daniel
- σκοτάδι
- Dark Web
- ημερομηνία
- βάση δεδομένων
- Ημ.
- αποφάσισε
- ορίζεται
- Προσδιορίστε
- προγραμματιστές
- Ανάπτυξη
- εργαλεία ανάπτυξης
- συσκευή
- Συσκευές
- DID
- διαφορετικές
- δύσκολος
- ανακάλυψαν
- do
- τεκμηρίωση
- Όχι
- πράξη
- γίνεται
- Μην
- κάτω
- κατεβάσετε
- προσχέδιο
- Πτώση
- κάθε
- Νωρίς
- εύκολα
- εκλεκτικός
- αποτελεσματικά
- είτε
- Άλλος
- ΗΛΕΚΤΡΟΝΙΚΗ ΔΙΕΥΘΥΝΣΗ
- τέλος
- αρκετά
- εξ ολοκλήρου
- κατ 'ουσίαν,
- Even
- ΠΑΝΤΑ
- πάντα
- παράδειγμα
- Άσκηση
- υπάρχουν
- υφιστάμενα
- μάτι
- γεγονός
- αρκετά
- απομίμηση
- Χαρακτηριστικό
- ανατροφοδότηση
- λίγοι
- Αρχεία
- τελικός
- Εύρεση
- Όνομα
- Πρώτη ματιά
- πρώτη φορά
- σταθερός
- ελάττωμα
- ακολουθήστε
- ακολουθείται
- εξής
- Για
- Δυνάμεις
- Βρέθηκαν
- τέσσερα
- ΠΛΑΙΣΙΟ
- απάτη
- Πάγωμα
- από
- μελλοντικός
- Gadgets
- Gamers
- γνήσια
- παίρνω
- να πάρει
- GitHub
- Δώστε
- Δίνοντας
- Go
- πηγαίνει
- μετάβαση
- καλός
- πιάσε
- εξαιρετική
- μεγαλύτερη
- φρουρά
- μαντέψατε
- σιδηροπρίονο
- hacked
- χάκερ
- είχε
- κινητός
- συμβαίνω
- συμβαίνει
- Σκληρά
- υλικού
- Harvard
- Έχω
- που έχει
- he
- κεφάλι
- Καρδιά
- βοήθεια
- εδώ
- κρυμμένο
- Επισημάνετε
- αυτόν
- ιστορία
- Επιτυχία
- κρατήστε
- Αρχική
- ελπίζω
- Ας ελπίσουμε ότι
- ΩΡΕΣ
- Πως
- HTTPS
- i
- ΕΓΩ ΘΑ
- ιδέα
- if
- ii
- εικόνα
- εικόνες
- εφαρμογή
- σημαντικό
- in
- αδρανής
- περιλαμβάνουν
- Συμπεριλαμβανομένου
- απίστευτη
- εγκαθιστώ
- αντί
- οδηγίες
- Intel
- ενδιαφέρον
- συμφέροντα
- περιβάλλον λειτουργίας
- σε
- συμμετέχουν
- ειρωνεία
- IT
- ΤΟΥ
- Δουλειά
- ενώνει
- άρθρωση
- json
- Ιούλιος
- μόλις
- Διατήρηση
- Κλειδί
- πλήκτρα
- Παιδί
- Είδος
- Ξέρω
- γνωστός
- Οικόπεδο
- Επίθετο
- Οδηγεί
- ελάχιστα
- Άδεια
- νόμιμος
- Επίπεδο
- ζωή
- Μου αρέσει
- Πιθανός
- γραμμή
- LINK
- ΣΥΝΔΕΣΜΟΙ
- ακροατής
- Ακούγοντας
- λίγο
- ζω
- φορτίο
- κλειδωμένη
- καταγραφεί
- Μακριά
- ματιά
- κοιτάζοντας
- έχασε
- Παρτίδα
- αγάπη
- χαμηλότερο
- μηχανή
- μηχανήματα
- που
- μεγάλες
- κάνω
- κατασκευαστής
- ΚΑΝΕΙ
- malware
- διευθυντής
- χειροκίνητα
- Κατασκευαστής
- ύλη
- Ενδέχεται..
- MBA
- μέσα
- Μνήμη
- μήνυμα
- Microsoft
- ενδέχεται να
- τροποποιήσει
- ενότητα
- στιγμή
- χρήματα
- Μήνας
- μήνες
- περισσότερο
- πλέον
- μετακινήσετε
- MSI
- πολύ
- Μουσική
- μιούζικαλ
- my
- Γυμνή ασφάλεια
- Γυμνό Podcast ασφαλείας
- όνομα
- Ανάγκη
- που απαιτούνται
- ανάγκες
- δίκτυο
- Νέα
- επόμενη
- όμορφη
- Όχι.
- Κανονικά
- Βόρειος
- μύτη
- τώρα
- of
- off
- επίσημος ανώτερος υπάλληλος
- oh
- Παλιά
- on
- ONE
- διαδικτυακά (online)
- αποκλειστικά
- ανοίξτε
- άνοιξε
- λειτουργούν
- Ευκαιρία
- or
- τάξη
- ΑΛΛΑ
- αλλιώς
- δικός μας
- έξω
- επί
- δική
- ιδιοκτήτης
- πακέτο
- Packages
- Παράδεισος
- μέρος
- Ειδικότερα
- ιδιαίτερα
- Κωδικός Πρόσβασης
- Διευθυντής κωδικού πρόσβασης
- Κωδικοί πρόσβασης
- Patch
- Παύλος
- People
- ίσως
- μόνιμα
- άδεια
- τηλέφωνο
- PHP
- κομμάτι
- Μέρος
- Πλάτων
- Πληροφορία δεδομένων Plato
- Πλάτωνα δεδομένα
- παίχτης
- Αφθονία
- βύσμα
- συν
- το podcast
- podcasts
- Σημείο
- δηλητήριο
- Δημοφιλής
- κατοχή
- δυνατός
- Δημοσιεύσεις
- παρόν
- πιέζοντας
- αρκετά
- πρόληψη
- Πρόληψη
- φυλακή
- ιδιωτικός
- ιδιωτικού κλειδιού
- Ιδιωτικά κλειδιά
- πιθανώς
- Πρόβλημα
- προβλήματα
- διαδικασια μας
- Προϊόντα
- Πρόγραμμα
- Προγραμματιστής
- σχέδιο
- έργα
- προτείνω
- ιδιόκτητο
- παρέχουν
- παρέχει
- δημοσιεύει
- Δημοσιεύσεις
- αγορά
- βάζω
- ερώτηση
- ransomware
- Βατόμουρο
- Raspberry Pi
- φθάσουν
- Διάβασε
- Ανάγνωση
- έτοιμος
- πραγματικός
- πραγματικά
- Ανάκτηση
- ανάκτηση
- αναφέρεται
- μητρώου
- τακτικός
- βασίζονται
- θυμάμαι
- Απαιτεί
- ερευνητές
- εκείνοι
- απάντησης
- εστιατόριο
- επανεξέταση
- δεξιά
- ROBERT
- γύρος
- rss
- κανόνες
- τρέξιμο
- τρέξιμο
- βιασύνη
- Ασφάλεια
- Ασφάλεια και Προστασία
- Είπε
- πώληση
- ίδιο
- ικανοποιημένοι
- Αποθήκευση
- λένε
- ρητό
- λέει
- συστήματα
- προστατευμένο περιβάλλον
- ασφάλεια
- δείτε
- φαίνομαι
- φαίνεται
- πωλούν
- αποστολή
- σοβαρός
- υπηρεσία
- σειρά
- διάφοροι
- αυστηρός
- Κοινοποίηση
- Κοντά
- δείχνουν
- υπογράψουν
- υπογραφή
- απλά
- αφού
- ιστοσελίδα
- κατάσταση
- ΕΞΙ
- Έξι μήνες
- So
- Μ.Κ.Δ
- λογισμικό
- μερικοί
- Κάποιος
- κάτι
- SoundCloud
- Ακούγεται
- Πηγή
- πρωτογενής κώδικας
- Spotify
- Υπολογιστικό φύλλο
- πρότυπα
- Εκκίνηση
- Ξεκινήστε
- εκκίνηση
- Μελών
- παραμονή
- Βήμα
- Ραβδί
- κολλάει
- Ακόμη
- κλαπεί
- χώρος στο δίσκο
- Ιστορία
- ειλικρινής
- εξορθολογισμένη
- δρόμος
- ισχυρός
- υποβάλουν
- μεταγενέστερος
- προμήθεια
- αλυσίδας εφοδιασμού
- υποτιθεμένος
- ευαίσθητος
- ενεργοποιημένη
- σύστημα
- συστήματα
- TAG
- Πάρτε
- λήψη
- ομιλία
- tech
- Τεχνικός
- πει
- από
- ευχαριστώ
- ευχαριστώ
- ότι
- Η
- Το μέλλον
- το Ηνωμένο Βασίλειο
- ο κόσμος
- τους
- Τους
- τότε
- θεωρία
- Εκεί.
- Αυτοί
- αυτοί
- πράγμα
- πράγματα
- νομίζω
- Σκέψη
- αυτό
- εκείνοι
- τρία
- τριών βημάτων
- Μέσω
- ώρα
- φορές
- συμβουλές
- προς την
- σήμερα
- πολύ
- εργαλεία
- τροχιά
- ανιχνεύσιμο
- trackers
- Παρακολούθηση
- ΚΙΝΗΣΗ στους ΔΡΟΜΟΥΣ
- τρομερά
- ταλαιπωρία
- προσπαθώ
- ΣΤΡΟΦΗ
- Γύρισε
- δύο
- Uk
- υπό
- Δυστυχώς
- μέχρι
- Ενημέρωση
- ενημερώθηκε
- ενημερώσεις
- ενημέρωση
- URL
- us
- usb
- χρήση
- μεταχειρισμένος
- πολύ
- βιώσιμος
- θύματα
- ορατός
- εθελοντές
- Ευάλωτες
- θέλω
- ήθελε
- ήταν
- Τρόπος..
- τρόπους
- we
- ιστός
- εβδομάδα
- Εβδ.
- ΛΟΙΠΌΝ
- πολύ γνωστό
- πήγε
- ήταν
- Τι
- Τι είναι
- πότε
- αν
- Ποιό
- ενώ
- Ο ΟΠΟΊΟΣ
- ολόκληρο
- WHY
- θα
- με
- χωρίς
- Εργασία
- εργαζόμενος
- Δουλεύοντας από το σπίτι
- κόσμος
- ανήσυχος
- ανησυχία
- χειρότερος
- χειρότερη
- θα
- Λανθασμένος
- έτος
- χρόνια
- Ναί
- ακόμη
- εσείς
- Σας
- τον εαυτό σας
- zephyrnet
- μηδέν