INI LEBIH SULIT DARI YANG ANDA PIKIRKAN
Tidak ada pemutar audio di bawah? Mendengarkan langsung di Soundcloud.
Dengan Doug Aamoth dan Paul Ducklin. Musik intro dan outro oleh Edith Mudge.
Anda dapat mendengarkan kami di SoundCloud, Podcast Apple, Google Podcast, Spotify, Mesin penjahit dan di mana pun podcast bagus ditemukan. Atau jatuhkan saja URL umpan RSS kami ke dalam podcatcher favorit Anda.
BACA TRANSKRIPNYA
ANJING. Retak pengelola kata sandi, bug login, dan Ratu Elizabeth I versus Mary Queen of Scots… tentu saja!
Semua itu, dan banyak lagi, di podcast Naked Security.
[MODEM MUSIK]
Selamat datang di podcast, semuanya.
Saya Doug Aamoth; dia adalah Paul Ducklin.
Paulus, bagaimana kabarmu?
BEBEK. Wow!
Duggery teknologi informasi abad ke-16 bertemu dengan podcast Naked Security, Douglas.
Saya tidak sabar!
ANJING. Jelas, ya… kita akan segera membahasnya.
Tapi pertama-tama, seperti biasa, This Week in Tech History, pada 28 Mei 1987, penyedia layanan online CompuServe merilis sesuatu yang disebut Graphics Interchange Format, atau GIF [HARD G].
Ini dikembangkan oleh mendiang Steve Wilhite, seorang insinyur di CompuServe (yang, omong-omong, bersumpah naik turun diucapkan "jif") sebagai sarana untuk mendukung gambar berwarna pada bandwidth terbatas dan kapasitas penyimpanan jaringan komputer awal.
Versi awal, GIF 87a, mendukung maksimal 256 warna; itu dengan cepat mendapatkan popularitas karena kemampuannya untuk menampilkan animasi sederhana dan dukungannya yang luas di berbagai sistem komputer.
Terima kasih, Pak Wilhite.
BEBEK. Dan apa yang tersisa untuk kita, Douglas?
Animasi web, dan kontroversi tentang apakah kata tersebut diucapkan "grafis" [HARD G] atau "giraffics" [SOFT G].
ANJING. Tepat. [TERTAWA]
BEBEK. Saya tidak bisa tidak menyebutnya "giff" [HARD G].
ANJING. Sama!
Mari kita tandai itu, dan lanjutkan ke kisah menarik kita…
…tentang Ratu Elizabeth I, Mary Queen of Scots, dan seorang pria bermain di kedua sisi antara penjahat ransomware dan majikannya, Paul.
Kisah Ransomware: Serangan MitM yang benar-benar memiliki Man in the Middle
BEBEK. [TERTAWA] Mari kita mulai dari akhir cerita.
Pada dasarnya, itu adalah serangan ransomware terhadap perusahaan teknologi di Oxfordshire, Inggris.
(Bukan yang ini… itu adalah perusahaan di Oxford, 15 km ke hulu dari Abingdon-on-Thames, tempat Sophos bermarkas.)
Setelah terkena ransomware, mereka, seperti yang dapat Anda bayangkan, dihadapkan dengan permintaan untuk membayar Bitcoin untuk mendapatkan kembali data mereka.
Dan, seperti cerita itu kami memiliki a beberapa minggu yang lalu, salah satu tim pertahanan mereka sendiri, yang seharusnya membantu mengatasi hal ini, menemukan, "Saya akan menjalankan MiTM", serangan Man-in-the-Middle.
Saya tahu itu, untuk menghindari bahasa gender dan untuk mencerminkan fakta bahwa itu tidak selalu manusia (sering kali komputer di tengah) hari ini…
…di Naked Security, saya sekarang menulis “Manipulator-in-the-Middle.”
Tapi ini benar-benar seorang pria di tengah.
Sederhananya, Doug, dia mulai mengirim email ke majikannya dari rumah, menggunakan semacam akun email salah ketik yang mirip dengan alamat email si penjahat.
Dia membajak utas, dan mengubah alamat Bitcoin di riwayat jejak email, karena dia memiliki akses ke akun email eksekutif senior…
… dan dia pada dasarnya mulai bernegosiasi sebagai man-in-the-middle.
Jadi, Anda bayangkan dia sedang bernegosiasi secara individu sekarang dengan penjahat, dan kemudian dia menyerahkan negosiasi itu kepada majikannya.
Kami tidak tahu apakah dia berharap untuk melarikan diri dengan semua hadiah dan kemudian hanya memberi tahu majikannya, "Hei, coba tebak, para penjahat menipu kita", atau apakah dia ingin menegosiasikan para penjahat di ujungnya, dan majikannya di ujung sana.
Karena dia tahu semua hal yang benar/salah untuk dikatakan untuk meningkatkan rasa takut dan teror di dalam perusahaan.
Jadi, tujuannya pada dasarnya adalah untuk membajak pembayaran ransomware.
Nah, Doug, semuanya menjadi sedikit berbentuk buah pir karena, sayangnya untuk dia dan untungnya untuk majikannya dan untuk penegakan hukum, perusahaan memutuskan untuk tidak membayar.
ANJING. [TERTAWA] Hmmmm!
BEBEK. Jadi tidak ada Bitcoin untuk dia curi dan kemudian cut-and-run.
Juga, tampaknya dia tidak menyembunyikan jejaknya dengan baik, dan aksesnya yang melanggar hukum ke log email kemudian keluar saat dicuci.
Dia jelas tahu bahwa polisi sedang mendekatinya, karena dia mencoba menghapus data nakal dari komputer dan teleponnya sendiri di rumah.
Tapi mereka disita, dan datanya dipulihkan.
Entah bagaimana kasusnya berlarut-larut selama lima tahun, dan akhirnya, saat dia akan diadili, dia jelas memutuskan bahwa dia tidak benar-benar memiliki kaki untuk berdiri dan dia mengaku bersalah.
Jadi, begitulah, Doug.
Serangan man-in-the-middle secara harfiah!
ANJING. Oke, jadi semuanya baik-baik saja di tahun 2023…
... tapi bawa kami kembali ke tahun 1580-an, Paulus.
Bagaimana dengan Mary, Ratu Skotlandia dan Ratu Elizabeth I?
BEBEK. Yah, sejujurnya, saya hanya berpikir itu cara yang bagus untuk menjelaskan serangan pria di tengah dengan kembali ke tahun-tahun itu.
Karena, yang terkenal, Ratu Elizabeth dan sepupunya Mary, Ratu Skotlandia adalah musuh agama dan politik.
Elizabeth adalah Ratu Inggris; Mary berpura-pura menjadi takhta.
Jadi, Mary secara efektif ditahan di bawah tahanan rumah.
Mary hidup dalam kemewahan, tetapi terkurung di kastil, dan sebenarnya berkomplot melawan sepupunya, tetapi mereka tidak dapat membuktikannya.
Dan Mary mengirim dan menerima pesan yang dimasukkan ke dalam tutup tong bir yang dikirim ke kastil.
Rupanya, dalam kasus ini, lelaki di tengah adalah pemasok bir yang patuh yang akan menghapus pesan sebelum Mary mendapatkannya, sehingga pesan itu dapat disalin.
Dan dia akan menyisipkan pesan pengganti, dienkripsi dengan sandi Mary, dengan perubahan halus yang, secara longgar, akhirnya membujuk Mary untuk menulis lebih dari yang seharusnya dia lakukan.
Jadi dia tidak hanya memberikan nama-nama komplotan lain, dia juga menunjukkan bahwa dia menyetujui rencana untuk membunuh Ratu Elizabeth.
Itu adalah masa-masa yang lebih sulit… dan Inggris pasti memiliki hukuman mati pada masa itu, dan Mary diadili dan dieksekusi.
ANJING. Oke, jadi bagi siapa pun yang mendengarkan, elevator pitch untuk podcast ini adalah, “Berita dan saran keamanan siber, dan sedikit percikan sejarah”.
Kembali ke man-in-the-middle kita di hari ini.
Kita bicara tentang ancaman orang dalam lainnya seperti ini belum lama ini.
Jadi akan menarik untuk melihat apakah ini sebuah pola, atau ini hanya kebetulan.
Namun kita telah membahas tentang beberapa hal yang dapat Anda lakukan untuk melindungi diri dari jenis serangan ini, jadi mari kita bahas lagi dengan cepat.
Dimulai dengan: Membagi dan menaklukkan, yang pada dasarnya berarti, "Jangan beri satu orang di perusahaan akses tak terbatas ke segalanya," Paul.
BEBEK. Ya.
ANJING. Dan kemudian kita punya: Simpan log yang tidak dapat diubah, yang sepertinya terjadi dalam kasus ini, bukan?
BEBEK. Ya.
Tampaknya elemen kunci dari bukti dalam kasus ini adalah fakta bahwa dia telah menggali email eksekutif senior dan mengubahnya, dan dia tidak dapat menyembunyikannya.
Jadi Anda bayangkan, bahkan tanpa bukti lain, fakta bahwa dia mengotak-atik email yang secara khusus terkait dengan negosiasi ransomware dan alamat Bitcoin akan sangat mencurigakan.
ANJING. Oke, akhirnya: Selalu ukur, jangan pernah berasumsi.
BEBEK. Memang!
ANJING. Orang-orang baik akhirnya menang… butuh waktu lima tahun, tapi kami berhasil.
Mari kita lanjutkan cerita kita selanjutnya.
Perusahaan keamanan web menemukan bug login di toolkit pembuatan aplikasi.
Bug diperbaiki dengan cepat dan transparan, jadi bagus… tapi ada sedikit lebih ke cerita, tentu saja, Paulus.
Keamanan Serius: Verifikasi sangat penting – memeriksa bug login OAUTH
BEBEK. Ya.
Ini adalah perusahaan analisis keamanan pengkodean web (saya harap saya telah memilih terminologi yang tepat di sana) bernama SALT, dan mereka menemukan kerentanan autentikasi dalam perangkat pembuat aplikasi bernama Expo.
Dan, berkati hati mereka, Expo mendukung hal yang disebut OAUTH, the Otorisasi Terbuka sistem.
Itu adalah jenis sistem yang digunakan saat Anda mengunjungi situs web yang telah memutuskan, “Anda tahu, kami tidak ingin repot mencoba mempelajari cara melakukan keamanan kata sandi untuk diri kami sendiri. Apa yang akan kami lakukan adalah mengatakan, 'Masuk dengan Google, masuk dengan Facebook',” kira-kira seperti itu.
Dan idenya adalah, secara umum, Anda menghubungi Facebook, atau Google, atau apa pun layanan utamanya dan Anda berkata, "Hai, saya ingin memberi example.com
izin untuk melakukan X.”
Jadi, Facebook, atau Google, atau apa pun, mengautentikasi Anda dan kemudian berkata, “Oke, inilah kode ajaib yang dapat Anda berikan ke pihak lain yang mengatakan, 'Kami telah memeriksa Anda; Anda telah mengautentikasi dengan kami, dan ini adalah token autentikasi Anda.”
Kemudian, ujung lainnya secara mandiri dapat memeriksa dengan Facebook, atau Google, atau apa pun untuk memastikan bahwa token tersebut diterbitkan atas nama Anda.
Artinya, Anda tidak perlu menyerahkan kata sandi apa pun ke situs… Anda, jika mau, mengkooptasi Facebook atau Google untuk melakukan bagian autentikasi yang sebenarnya untuk Anda.
Merupakan ide bagus jika Anda adalah situs web butik dan Anda berpikir, "Saya tidak akan merajut kriptografi saya sendiri."
Jadi, ini bukan bug di OAUTH.
Itu hanya kekhilafan; sesuatu yang dilupakan dalam implementasi Expo dari proses OAUTH.
Dan, secara longgar, Doug, jadinya seperti ini.
Kode Expo membuat URL raksasa yang menyertakan semua parameter yang diperlukan untuk mengautentikasi dengan Facebook, dan kemudian memutuskan ke mana token akses ajaib terakhir harus dikirim.
Oleh karena itu, secara teori, jika Anda membuat URL Anda sendiri atau Anda dapat memodifikasi URL, Anda dapat mengubah tempat pengiriman token autentikasi ajaib ini.
Tapi Anda tidak akan bisa menipu pengguna, karena akan muncul dialog yang mengatakan, “Aplikasi di URL-here
meminta Anda untuk masuk ke akun Facebook Anda. Apakah Anda sepenuhnya mempercayai ini dan ingin membiarkannya melakukannya? Ya atau tidak?"
Namun, ketika sampai pada titik menerima kode otorisasi dari Facebook, atau Google, atau apa pun, dan meneruskannya ke "URL pengembalian" ini, kode Expo tidak akan memeriksa apakah Anda benar-benar mengklik Yes
pada dialog persetujuan.
Jika Anda secara aktif melihat dialog dan mengklik No
, maka Anda akan mencegah terjadinya serangan.
Tapi, intinya, ini “gagal terbuka”.
Jika Anda tidak pernah melihat dialognya, jadi Anda bahkan tidak akan tahu bahwa ada sesuatu untuk diklik dan Anda tidak melakukan apa-apa, lalu penyerang memicu kunjungan URL berikutnya sendiri dengan lebih banyak JavaScript…
…maka sistem akan bekerja.
Dan alasan itu berhasil adalah karena "URL pengembalian" ajaib, tempat pengiriman kode otorisasi super rahasia, diatur dalam cookie web untuk digunakan Expo nanti *sebelum Anda mengklik Yes
pada dialog*.
Belakangan, keberadaan cookie "return URL" itu pada dasarnya diambil, jika Anda suka, sebagai bukti bahwa Anda pasti telah melihat dialognya, dan Anda pasti telah memutuskan untuk melanjutkan.
Padahal, pada kenyataannya tidak demikian.
Jadi itu adalah slip 'twixt cup and lip yang sangat besar, Douglas.
ANJING. Oke, kami punya beberapa tips, dimulai dari: Dalam hal pelaporan dan pengungkapan bug ini, ini adalah kasus buku teks.
Ini hampir persis bagaimana Anda harus melakukannya, Paul.
Semuanya berjalan sebagaimana mestinya, jadi ini adalah contoh yang bagus tentang bagaimana melakukan ini dengan cara terbaik.
BEBEK. Dan itulah salah satu alasan utama mengapa saya ingin menulisnya di Naked Security.
SALT, orang-orang yang menemukan bug…
..mereka menemukannya; mereka mengungkapkannya secara bertanggung jawab; mereka bekerja dengan Expo, yang memperbaikinya, secara harfiah dalam beberapa jam.
Jadi, meskipun itu adalah bug, meskipun itu adalah kesalahan pengkodean, hal itu menyebabkan SALT berkata, "Anda tahu, orang-orang Expo benar-benar senang bekerja sama."
Kemudian, SALT mulai mendapatkan CVE, dan alih-alih berkata, "Hei, bug sudah diperbaiki sekarang, jadi dua hari kemudian kita bisa membuat PR besar tentang itu," namun mereka menetapkan tanggal tiga bulan ke depan ketika mereka benar-benar akan menulis up temuan mereka dan menulis laporan mereka sangat pendidikan.
Alih-alih terburu-buru untuk tujuan PR langsung, jika mereka dicuri pada menit terakhir, mereka tidak hanya melaporkan ini secara bertanggung jawab sehingga dapat diperbaiki sebelum penjahat menemukannya (dan tidak ada bukti ada orang yang menyalahgunakan kerentanan ini), mereka juga kemudian memberi sedikit kelonggaran bagi Expo untuk pergi ke sana dan berkomunikasi dengan pelanggan mereka.
ANJING. Dan tentu saja, kami berbicara sedikit tentang ini: Pastikan pemeriksaan autentikasi Anda gagal ditutup.
Pastikan itu tidak terus berfungsi jika seseorang mengabaikan atau membatalkannya.
Tapi masalah yang lebih besar di sini adalah: Jangan pernah berasumsi bahwa kode sisi klien Anda akan mengendalikan proses verifikasi.
BEBEK. Jika Anda mengikuti proses yang tepat dari kode JavaScript yang disediakan oleh Expo untuk membawa Anda melalui proses OAUTH ini, Anda akan baik-baik saja.
Tetapi jika Anda menghindari kode mereka dan sebenarnya hanya memicu tautan dengan JavaScript Anda sendiri, termasuk melewati atau membatalkan munculan, maka Anda menang.
Melewati kode klien Anda adalah hal pertama yang akan dipikirkan penyerang.
ANJING. Baiklah, yang terakhir adalah: Logout dari akun web saat Anda tidak menggunakannya secara aktif.
Itu saran yang bagus di sekitar.
BEBEK. Kami mengatakannya sepanjang waktu di podcast Naked Security, dan kami memilikinya bertahun-tahun.
Ini saran yang tidak populer, karena agak merepotkan, sama seperti memberi tahu orang-orang, "Hei, mengapa tidak mengatur browser Anda untuk menghapus semua cookie saat keluar?"
Jika Anda memikirkannya, dalam kasus khusus ini… katakanlah login terjadi melalui akun Facebook Anda; AUTH melalui Facebook.
Jika Anda keluar dari Facebook, maka apa pun pengkhianatan JavaScript yang coba dilakukan penyerang (mematikan popup Expo, dan semua itu), proses autentikasi dengan Facebook tidak akan berhasil karena Facebook akan berbunyi, “Hei, orang ini meminta saya untuk mengotentikasi mereka. Mereka saat ini tidak masuk.
Jadi Anda akan selalu dan tidak dapat dihindari melihat login Facebook muncul pada saat itu: "Anda harus masuk sekarang."
Dan itu akan segera mengungkap akal-akalan itu.
ANJING. Oke bagus sekali.
Dan cerita terakhir kami hari ini: Jangan panik, tetapi tampaknya ada cara untuk memecahkan kata sandi utama untuk pengelola kata sandi sumber terbuka KeePass.
Tapi, sekali lagi, jangan panik, karena itu a jauh lebih rumit dari kelihatannya, Paul.
Anda benar-benar harus memiliki kendali atas mesin seseorang.
Keamanan Serius: KeePass “master password crack”, dan apa yang dapat kita pelajari darinya
BEBEK. Kamu lakukan
Jika Anda ingin melacaknya, ini adalah CVE-2023-32784.
Ini bug yang menarik, dan saya menulis semacam itu magnum opus artikel gaya tentang Keamanan Telanjang tentangnya, berjudul: Itu KeePass 'master password crack' dan apa yang bisa kita pelajari darinya.
Jadi saya tidak akan merusak artikel itu, yang masuk ke alokasi memori tipe C, alokasi memori tipe bahasa scripting, dan akhirnya string terkelola C # atau .NET… alokasi memori terkelola oleh sistem.
Saya hanya akan menjelaskan apa yang peneliti dalam kasus ini temukan.
Apa yang mereka lakukan adalah… mereka mencari di kode KeePass, dan di tempat pembuangan memori KeePass, untuk bukti betapa mudahnya menemukan kata sandi utama di memori, meskipun untuk sementara.
Bagaimana jika ada beberapa menit, jam atau hari kemudian?
Bagaimana jika kata sandi utama masih ada, mungkin di file swap Anda di disk, bahkan setelah Anda mem-boot ulang komputer?
Jadi saya mengatur KeePass, dan saya memberi diri saya kata sandi 16 karakter, semua huruf besar sehingga mudah dikenali jika saya menemukannya di memori.
Dan, lihatlah, saya tidak pernah menemukan kata sandi utama saya tergeletak di memori: bukan sebagai string ASCII; bukan sebagai string Windows widechar (UTF-16)).
Besar!
Tapi apa yang diperhatikan oleh peneliti ini adalah ketika Anda mengetikkan kata sandi Anda ke KeePass, kata sandi itu muncul… Saya akan menyebutnya "karakter gumpalan Unicode", hanya untuk menunjukkan kepada Anda bahwa, ya, Anda memang menekan tombol, dan oleh karena itu untuk menunjukkan kepada Anda berapa banyak karakter yang telah Anda ketikkan.
Jadi, saat Anda mengetikkan kata sandi, Anda melihat string blob [●], blob-blob [●●], blob-blob-blob [●●●], dan dalam kasus saya, semuanya hingga 16 blob.
Yah, string blob itu sepertinya tidak akan menjadi risiko keamanan, jadi mungkin mereka hanya diserahkan ke runtime .NET untuk dikelola sebagai "string terkelola", di mana mereka mungkin berada di memori setelahnya…
... dan tidak dibersihkan karena, "Hei, itu hanya gumpalan."
Ternyata jika Anda melakukan dump memori KeePass, yang memberi Anda 250MB barang, dan Anda mencari string seperti blob-blob, blob-blob-blob, dan seterusnya (sejumlah blob), ada sepotong dump memori di mana Anda akan melihat dua gumpalan, lalu tiga gumpalan, lalu empat gumpalan, lalu lima gumpalan… dan dalam kasus saya, hingga 16 gumpalan.
Dan kemudian Anda hanya akan mendapatkan koleksi acak "karakter gumpalan yang terjadi secara tidak sengaja", jika Anda mau.
Dengan kata lain, hanya mencari string gumpalan itu, meskipun tidak memberikan kata sandi Anda yang sebenarnya, akan membocorkan panjang kata sandi Anda.
Namun, ini menjadi lebih menarik, karena yang ditanyakan oleh peneliti ini adalah, "Bagaimana jika data yang dekat dengan gumpalan string di memori itu mungkin terkait dengan karakter individu yang Anda ketikkan dalam kata sandi?"
Jadi, bagaimana jika Anda membuka file dump memori, dan bukannya hanya mencari dua blob, tiga blob/empat blob, lebih banyak…
…Anda mencari rangkaian blob diikuti dengan karakter yang menurut Anda ada dalam kata sandi?
Jadi, dalam kasus saya, saya hanya mencari karakter A hingga Z, karena saya tahu itu yang ada di kata sandi.
Saya mencari rangkaian gumpalan apa pun, diikuti oleh satu karakter ASCII.
Tebak apa yang terjadi, Doug?
Saya mendapatkan dua gumpalan diikuti oleh karakter ketiga dari kata sandi saya; tiga gumpalan diikuti karakter keempat kata sandi saya; hingga 15 gumpalan segera diikuti oleh karakter ke-16 di kata sandi saya.
ANJING. Ya, itu visual liar di artikel ini!
Saya mengikuti… itu menjadi sedikit teknis, dan tiba-tiba saya hanya melihat, “Whoa! Itu terlihat seperti kata sandi!”
BEBEK. Pada dasarnya seolah-olah karakter individual kata sandi Anda tersebar secara bebas melalui memori, tetapi karakter yang mewakili karakter ASCII yang sebenarnya merupakan bagian dari kata sandi Anda saat Anda mengetiknya…
...itu seperti mereka punya luminescent mati yang melekat pada mereka.
Jadi, untaian blob ini secara tidak sengaja berfungsi sebagai mekanisme penandaan untuk menandai karakter dalam kata sandi Anda.
Dan, sungguh, moral dari cerita ini adalah bahwa hal-hal dapat bocor dalam memori dengan cara yang tidak pernah Anda duga, dan bahkan peninjau kode yang berpengetahuan luas mungkin tidak menyadarinya.
Jadi ini adalah bacaan yang menarik, dan merupakan pengingat yang bagus bahwa menulis kode aman bisa jauh lebih sulit daripada yang Anda pikirkan.
Dan yang lebih penting lagi, meninjau, dan memastikan kualitas, dan menguji kode aman masih bisa lebih sulit…
… karena Anda harus memiliki mata di depan, belakang, dan sisi kepala Anda, dan Anda benar-benar harus berpikir seperti penyerang dan mencoba mencari rahasia yang bocor di mana pun Anda bisa.
ANJING. Baik, memeriksanya, ada di makesecurity.sophos.com.
Dan, saat matahari mulai terbenam di acara kami, saatnya untuk mendengar dari salah satu pembaca kami.
Di podcast sebelumnya (ini adalah salah satu komentar favorit saya, Paul), pendengar Naked Security Chang berkomentar:
Di sana. Saya sudah melakukannya. Setelah hampir dua tahun mendengarkan pesta, saya selesai mendengarkan semua episode podcast Naked Security. Saya semua terjebak.
Saya menikmatinya dari awal, dimulai dengan Chet Chat yang berjalan lama; lalu ke kru Inggris; "Oh tidak! It's Kim” berikutnya; lalu saya akhirnya mencapai "Minggu Ini dalam Sejarah Teknologi" hari ini.
Perjalanan yang luar biasa!
Terima kasih, Chang!
Saya tidak percaya Anda menonton semua episode, tetapi kami melakukan semua (saya harap saya tidak berbicara secara bergantian) sangat menghargainya.
BEBEK. Sangat banyak, Doug!
Sangat menyenangkan mengetahui tidak hanya bahwa orang-orang mendengarkan, tetapi juga bahwa mereka menganggap podcast berguna, dan itu membantu mereka mempelajari lebih lanjut tentang keamanan dunia maya, dan meningkatkan permainan mereka, meskipun hanya sedikit.
Karena saya pikir, seperti yang telah saya katakan berkali-kali sebelumnya, jika kita semua mengangkat sedikit permainan keamanan siber kita, maka kita melakukan lebih banyak hal untuk mencegah para penjahat daripada jika satu atau dua perusahaan, satu atau dua organisasi, satu atau dua individu melakukan upaya yang sangat besar, tetapi kita semua tertinggal.
ANJING. Persis!
Nah, sekali lagi terima kasih banyak, Chang, sudah mengirimkannya.
Kami sangat menghargainya.
Dan jika Anda memiliki cerita menarik, komentar atau pertanyaan yang ingin Anda kirimkan, kami senang membacanya di podcast.
Anda dapat mengirim email ke tips@sophos.com, Anda dapat mengomentari salah satu artikel kami, atau Anda dapat menghubungi kami di sosial: @nakedsecurity.
Itu acara kami untuk hari ini; terima kasih banyak untuk mendengarkan.
Untuk Paul Ducklin, saya Doug Aamoth, mengingatkan Anda, sampai waktu berikutnya, untuk…
KEDUA. Tetap aman!
[MODEM MUSIK]
- Konten Bertenaga SEO & Distribusi PR. Dapatkan Amplifikasi Hari Ini.
- PlatoAiStream. Kecerdasan Data Web3. Pengetahuan Diperkuat. Akses Di Sini.
- Mencetak Masa Depan bersama Adryenn Ashley. Akses Di Sini.
- Beli dan Jual Saham di Perusahaan PRE-IPO dengan PREIPO®. Akses Di Sini.
- Sumber: https://nakedsecurity.sophos.com/2023/06/01/s3-ep137-16th-century-crypto-skullduggery/
- :memiliki
- :adalah
- :bukan
- :Di mana
- $NAIK
- 10
- 15%
- 28
- a
- kemampuan
- Sanggup
- Tentang Kami
- tentang itu
- Mutlak
- benar
- mengakses
- Akun
- Akun
- di seluruh
- Bertindak
- aktif
- sebenarnya
- sebenarnya
- alamat
- alamat
- nasihat
- Setelah
- lagi
- terhadap
- silam
- di depan
- Semua
- alokasi
- Baik
- juga
- selalu
- am
- jumlah
- an
- analisis
- dan
- animasi
- Apa pun
- siapapun
- di manapun
- aplikasi
- Apple
- menghargai
- persetujuan
- disetujui
- ADALAH
- sekitar
- menangkap
- artikel
- artikel
- AS
- At
- menyerang
- Serangan
- audio
- mengotentikasi
- dikonfirmasi
- mengotentikasi
- Otentikasi
- penulis
- izin
- menghindari
- dihindari
- jauh
- kembali
- Bandwidth
- barel
- berdasarkan
- Pada dasarnya
- Teluk
- BE
- karena
- menjadi
- bir
- sebelum
- Awal
- di belakang
- makhluk
- Percaya
- di bawah
- TERBAIK
- antara
- Besar
- lebih besar
- Bit
- Bitcoin
- alamat bitcoin
- kedua
- karunia
- Browser
- Bug
- bug
- tapi
- by
- panggilan
- bernama
- datang
- CAN
- kapasitas
- kasus
- tertangkap
- Abad
- Pasti
- chang
- perubahan
- berubah
- Perubahan
- mengubah
- karakter
- karakter
- memeriksa
- diperiksa
- Cek
- sandi
- jelas
- Klik
- klien
- penutupan
- kode
- Pengkodean
- kebetulan
- koleksi
- COM
- komentar
- komentar
- menyampaikan
- Perusahaan
- perusahaan
- compliant
- komputer
- komputer
- kontak
- kontrol
- kontroversi
- kue
- kue
- polisi
- bisa
- Tentu saja
- retak
- retak
- menciptakan
- Crooks
- kripto
- kriptografi
- Cangkir
- terbaru
- Sekarang
- pelanggan
- cve
- Keamanan cyber
- data
- Tanggal
- hari
- Hari
- transaksi
- Kematian
- memutuskan
- Memutuskan
- defensif
- disampaikan
- Permintaan
- menggambarkan
- tertahan
- dikembangkan
- dialog
- Dialog
- MELAKUKAN
- Mati
- berbeda
- Pengungkapan
- ditemukan
- Display
- do
- Tidak
- dilakukan
- Dont
- turun
- Menjatuhkan
- dua
- membuang
- Awal
- Mudah
- edukasi
- efektif
- usaha
- elemen
- Lift Pitch
- terenkripsi
- akhir
- lawan
- pelaksanaan
- insinyur
- Inggris
- berhak
- Episode
- dasarnya
- Bahkan
- akhirnya
- pERNAH
- segala sesuatu
- bukti
- persis
- Memeriksa
- contoh
- menarik
- dieksekusi
- Exit
- diharapkan
- menjelaskan
- Expo
- mata
- fakta
- GAGAL
- terkenal
- sangat menarik
- Favorit
- takut
- pikir
- File
- terakhir
- Akhirnya
- Menemukan
- temuan
- Temuan
- menemukan
- akhir
- Pertama
- tetap
- diikuti
- berikut
- Untuk
- terlupakan
- format
- Untung
- ditemukan
- empat
- Keempat
- dari
- depan
- sepenuhnya
- diperoleh
- permainan
- mendapatkan
- mendapatkan
- raksasa
- gif
- Memberikan
- memberikan
- Go
- tujuan
- Pergi
- akan
- baik
- grafis
- besar
- berdosa
- memiliki
- tangan
- terjadi
- terjadi
- Kejadian
- Sulit
- Memiliki
- he
- kepala
- mendengar
- membantu
- dia
- di sini
- menyembunyikan
- membajak
- dia
- -nya
- historis
- sejarah
- Memukul
- Beranda
- berharap
- berharap
- JAM
- Rumah
- Seterpercayaapakah Olymp Trade? Kesimpulan
- How To
- HTTPS
- besar
- i
- SAYA AKAN
- ide
- if
- gambar
- membayangkan
- Segera
- segera
- abadi
- implementasi
- in
- termasuk
- Termasuk
- Meningkatkan
- secara mandiri
- menunjukkan
- sendiri-sendiri
- Secara individual
- individu
- informasi
- teknologi informasi
- mulanya
- Insider
- sebagai gantinya
- menarik
- ke
- isu
- Ditempatkan
- IT
- NYA
- JavaScript
- hanya
- Menjaga
- kunci
- merajut
- Tahu
- bahasa
- Terakhir
- Terlambat
- kemudian
- Hukum
- penegakan hukum
- bocor
- BELAJAR
- paling sedikit
- Dipimpin
- meninggalkan
- Panjang
- 'like'
- Terbatas
- link
- pendengar
- Listening
- sedikit
- hidup
- mencatat
- login
- masuk
- Panjang
- tampak
- mencari
- TERLIHAT
- Lot
- cinta
- Kemewahan
- mesin
- sihir
- Utama
- Arus utama
- membuat
- pria
- mengelola
- berhasil
- manajer
- banyak
- menguasai
- hal
- maksimum
- Mungkin..
- cara
- mengukur
- mekanisme
- Memenuhi
- Memori
- pesan
- Tengah
- mungkin
- menit
- menit
- kesalahan
- MITM
- memodifikasi
- bulan
- moral
- lebih
- pindah
- mr
- banyak
- musik
- musikal
- harus
- my
- Keamanan Telanjang
- Podcast Keamanan Telanjang
- nama
- Dekat
- Perlu
- dibutuhkan
- negosiasi
- bersih
- jaringan
- tak pernah
- Namun
- berita
- berikutnya
- bagus
- tidak
- tidak ada
- Melihat..
- sekarang
- jumlah
- sumpah
- of
- lepas
- sering
- on
- ONE
- yang
- secara online
- hanya
- open source
- or
- Organisasi
- Lainnya
- kami
- diri
- di luar
- lebih
- Kelalaian
- sendiri
- Oxford
- Panik
- parameter
- bagian
- tertentu
- Lewat
- Kata Sandi
- password manager
- pola
- paul
- Membayar
- pembayaran
- Konsultan Ahli
- izin
- orang
- membujuk
- ponsel
- terpilih
- Nada
- Tempat
- plato
- Kecerdasan Data Plato
- Data Plato
- pemain
- kesenangan
- podcast
- Podcast
- Titik
- politik
- pop
- kepopuleran
- mungkin
- Posts
- pr
- menyajikan
- pers
- mencegah
- sebelumnya
- mungkin
- proses
- jelas
- bukti
- melindungi
- Rasakan itu
- disediakan
- pemberi
- tujuan
- menempatkan
- Menempatkan
- Ratu Elizabeth
- pertanyaan
- segera
- acak
- ransomware
- Serangan Ransomware
- agak
- tercapai
- Baca
- pembaca
- benar-benar
- alasan
- alasan
- menerima
- mengakui
- mencerminkan
- terkait
- dirilis
- menghapus
- penggantian
- melaporkan
- Dilaporkan
- Pelaporan
- mewakili
- peneliti
- ISTIRAHAT
- meninjau
- benar
- Risiko
- rss
- Run
- berjalan
- Tersebut
- garam
- sama
- mengatakan
- mengatakan
- mengatakan
- tersebar
- Pencarian
- mencari
- aman
- keamanan
- melihat
- terlihat
- tampaknya
- terlihat
- disita
- mengirim
- senior
- mengirim
- layanan
- Service Provider
- set
- dia
- Segera
- harus
- Menunjukkan
- sisi
- Sisi
- menandatangani
- Sederhana
- hanya
- So
- Sosial
- Lunak
- beberapa
- Seseorang
- sesuatu
- SoundCloud
- berbicara
- Secara khusus
- Spotify
- berdiri
- awal
- mulai
- Mulai
- tinggal
- Tangga
- Steve
- Masih
- penyimpanan
- Cerita
- Tali
- gaya
- menyerahkan
- berhasil
- tiba-tiba
- matahari
- mendukung
- Didukung
- Seharusnya
- mencurigakan
- menukar
- sistem
- sistem
- Mengambil
- diambil
- tim
- tech
- Teknis
- Teknologi
- mengatakan
- terminologi
- pengujian
- buku pelajaran
- dari
- terima kasih
- Terima kasih
- bahwa
- Grafik
- Inggris
- mereka
- Mereka
- diri
- kemudian
- teori
- Sana.
- karena itu
- Ini
- mereka
- hal
- hal
- berpikir
- Ketiga
- ini
- minggu ini
- itu
- meskipun?
- pikir
- tiga
- takhta
- Melalui
- Terjalin
- waktu
- kali
- Tips
- untuk
- hari ini
- token
- terlalu
- mengambil
- toolkit
- puncak
- Top 10
- jalur
- transparan
- percobaan
- mencoba
- dipicu
- Kepercayaan
- mencoba
- MENGHIDUPKAN
- ternyata
- dua
- mengetik
- jenis
- Uk
- tidak mampu
- bawah
- sayangnya
- unicode
- sampai
- URL
- us
- menggunakan
- bekas
- Pengguna
- menggunakan
- Verifikasi
- versi
- Lawan
- sangat
- melalui
- Mengunjungi
- vital
- kerentanan
- ingin
- ingin
- adalah
- Cara..
- cara
- we
- jaringan
- Situs Web
- minggu
- minggu
- BAIK
- pergi
- adalah
- Apa
- apa pun
- ketika
- apakah
- yang
- SIAPA
- mengapa
- tersebar luas
- Liar
- akan
- Windows
- menghapus
- dengan
- dalam
- tanpa
- Won
- Word
- kata
- Kerja
- bekerja
- kerja
- akan
- akan memberi
- menulis
- penulisan
- X
- tahun
- iya nih
- namun
- kamu
- Anda
- diri
- zephyrnet.dll