זה יותר קשה ממה שאתה חושב
אין נגן אודיו למטה? להקשיב ישירות בסאונדקלאוד.
עם דאג אמות ופול דאקלין. מוזיקת אינטרו ואאוטרו מאת אדית מדג'.
אתה יכול להאזין לנו ב Soundcloud, Apple Podcasts, Google Podcasts, Spotify, Stitcher ובכל מקום שבו נמצאים פודקאסטים טובים. או פשוט זרוק את כתובת האתר של הזנת ה-RSS שלנו לתוך הפודקטצ'ר האהוב עליך.
קרא את התמליל
DOUG. סדקים של מנהל הסיסמאות, באגים בכניסה, והמלכה אליזבת הראשונה מול מרי מלכת הסקוטים... כמובן!
כל זה, ועוד, בפודקאסט הביטחון העירום.
[מודם מוזיקלי]
ברוכים הבאים לפודקאסט, כולם.
אני דאג אמות'; הוא פול דאקלין.
פול, מה שלומך?
ברווז. וואו!
טכנולוגיית מידע מהמאה ה-16 פוגשת את הפודקאסט של Naked Security, דאגלס.
אני לא יכול לחכות!
DOUG. ברור, כן... נגיע לזה בקרוב.
אבל תחילה, כמו תמיד, השבוע בהיסטוריה הטכנולוגית, ב-28 במאי 1987, ספקית השירותים המקוונים CompuServe הוציאה משהו קטן שנקרא Graphics Interchange Format, או GIF [HARD G].
הוא פותח על ידי סטיב וילהייט המנוח, מהנדס ב-CompuServe (שאגב, נשבע מעלה ומטה שזה מבוטא "jif") כאמצעי לתמוך בתמונות צבעוניות ברוחב הפס וביכולות האחסון המוגבלות של רשתות מחשבים מוקדמות.
הגרסה הראשונית, GIF 87a, תמכה לכל היותר ב-256 צבעים; הוא צבר פופולריות במהירות בשל יכולתו להציג אנימציות פשוטות והתמיכה הנרחבת שלו במערכות מחשב שונות.
תודה לך, מר וילהייט.
ברווז. ומה זה השאיר לנו, דאגלס?
אנימציות אינטרנט, ומחלוקת אם המילה מבוטא "גרפיקה" [HARD G] או "ג'יראפיות" [SOFT G].
DOUG. בְּדִיוּק. [צוחק]
ברווז. אני פשוט לא יכול לא לקרוא לזה "גיף" [HARD G].
DOUG. אותו!
בואו נחים את זה, ונעבור לסיפור המרגש שלנו...
...על המלכה אליזבת הראשונה, מרי מלכת הסקוטים, ואדם משחק בשני הצדדים בין נוכלי כופר למעסיקו, פול.
ברווז. [צוחק] בואו נתחיל בסוף הסיפור.
בעיקרון, זו הייתה מתקפת כופר נגד חברת טכנולוגיה באוקספורדשייר, באנגליה.
(לא זו... זו הייתה חברה באוקספורד, 15 ק"מ במעלה הנהר מאבינגדון-און-תמזה, שם שוכנת סופוס.)
לאחר שנפגעו מתוכנת כופר, הם קיבלו, כפי שאתם יכולים לדמיין, דרישה לשלם לביטקוין כדי להחזיר את הנתונים שלהם.
וכמו הסיפור הזה היה לנו לפני שבועיים, אחד מקבוצת ההגנה שלהם, שהיה אמור לעזור להתמודד עם זה, הבין, "אני הולך להפעיל MiTM", התקפה של איש-באמצע.
אני יודע את זה, כדי להימנע משפה מגדרית ולשקף את העובדה שלא תמיד מדובר באדם (לעיתים קרובות זה מחשב באמצע) בימינו...
...על אבטחה עירומה, אני כותב עכשיו "מניפולטור-באמצע".
אבל זה היה ממש גבר באמצע.
במילים פשוטות, דאג, הוא הצליח להתחיל לשלוח דוא"ל למעסיק שלו מהבית, תוך שימוש במעין חשבון דוא"ל שגוי הקלדה שהיה כמו כתובת האימייל של הנוכל.
הוא חטף את השרשור, ושינה את כתובת הביטקוין בעקבות הדוא"ל ההיסטוריות, כי הייתה לו גישה לחשבונות הדוא"ל של מנהלים בכירים...
...והוא בעצם התחיל לנהל משא ומתן בתור איש-אמצע.
אז אתה מתאר לעצמך שהוא מנהל משא ומתן אינדיבידואלי עכשיו עם הנוכל, ואז הוא מעביר את המשא ומתן הזה למעסיק שלו.
אנחנו לא יודעים אם הוא קיווה לברוח עם כל השפע ואז פשוט להגיד למעסיק שלו, "היי, נחש מה, הנוכלים רימו אותנו", או שהוא רצה לנהל משא ומתן עם הנוכלים על הקצה שלו, ו המעסיק שלו בצד השני.
כי הוא ידע את כל הדברים הנכונים/לא נכונים להגיד כדי להגביר את הפחד והאימה בתוך החברה.
אז המטרה שלו הייתה בעצם לחטוף את התשלום על תוכנת הכופר.
ובכן, דאג, הכל היה קצת בצורת אגס, כי למרבה הצער שלו ולמרבה המזל של המעסיק שלו ושל אכיפת החוק, החברה החליטה לא לשלם.
DOUG. [צוחק] הממממ!
ברווז. אז לא היה לו ביטקוין לגנוב ואז לחתוך ולרוץ.
כמו כן, נראה כי הוא לא הסתיר היטב את עקבותיו, והגישה הבלתי חוקית שלו ליומני המייל יצאה אז בשטיפה.
ברור שהוא ידע שהשוטרים סוגרים עליו, כי הוא ניסה למחוק את הנתונים הנוכלים מהמחשבים והטלפונים שלו בבית.
אבל הם נתפסו, והנתונים שוחזרו.
איכשהו התיק נמשך חמש שנים, ולבסוף, בדיוק כשעמד לעמוד למשפט, ברור שהוא החליט שאין לו ממש רגל לעמוד עליה והוא הודה באשמה.
אז הנה לך, דאג.
התקפה של איש באמצע!
DOUG. בסדר, אז הכל טוב ויפה ב-2023...
...אבל קח אותנו חזרה לשנות ה -1580, פול.
מה עם מרי, מלכת הסקוטים והמלכה אליזבת הראשונה?
ברווז. ובכן, למען האמת, פשוט חשבתי שזו דרך מצוינת להסביר התקפה של איש באמצע על ידי חזרה כל השנים האלה.
כי, באופן מפורסם, המלכה אליזבת ובת דודתה מרי, מלכת הסקוטים היו אויבים דתיים ופוליטיים.
אליזבת הייתה מלכת אנגליה; מרי הייתה מתיימרת לכס המלכות.
אז, מרי נעצרה למעשה במעצר בית.
מרי חיה באיזה מותרות, אבל מרותקת לטירה, ולמעשה זוממה נגד בן דודה, אבל הם לא הצליחו להוכיח זאת.
ומרי שלחה וקיבלה הודעות ממולאות בתוך חביות הבירה שנשלחו לטירה.
ככל הנראה, במקרה הזה, האיש שבאמצע היה ספק בירה תואם שהסיר את ההודעות לפני שמרי קיבלה אותן, כדי שניתן יהיה להעתיק אותן.
והוא היה מכניס הודעות חלופיות, מוצפנות בצופן של מרי, עם שינויים עדינים, שבאופן רופף, שכנעו בסופו של דבר את מרי לכתוב יותר ממה שכנראה הייתה צריכה.
אז היא לא רק מסרה את השמות של קושרים אחרים, היא גם ציינה שהיא אישרה את המזימה לרצוח את המלכה אליזבת.
הם היו זמנים קשים יותר אז... ולאנגליה בהחלט היה עונש מוות באותם ימים, ומרי נשפטה והוצאה להורג.
DOUG. אוקיי, אז לכל מי שמקשיב, מגרש המעלית של הפודקאסט הזה הוא, "חדשות ועצות בנושא אבטחת סייבר, וקצת היסטוריה".
בחזרה לאיש-האמצע שלנו ביום הנוכחי.
דיברנו על איום פנימי נוסף בדיוק ככה לא מזמן.
אז זה יהיה מעניין לראות אם זה דפוס, או שזה רק צירוף מקרים.
אבל דיברנו על כמה דברים שאתה יכול לעשות כדי להגן על עצמך מפני סוגים אלה של התקפות, אז בוא נעבור על אלה במהירות שוב.
מתחיל עם: הפרד ומשול, שפירושו בעצם, "אל תיתן לאדם אחד בחברה גישה בלתי מוגבלת לכל דבר", פול.
ברווז. כן.
DOUG. ואז יש לנו: שמור יומנים בלתי ניתנים לשינוי, שנראה כאילו זה קרה במקרה הזה, נכון?
ברווז. כן.
נראה שמרכיב מרכזי בראיות בתיק זה היה העובדה שהוא חפר במיילים של מנהלים בכירים ושינה אותם, והוא לא הצליח להסתיר זאת.
אז אתה מתאר לעצמך, אפילו בלי הראיות האחרות, העובדה שהוא התעסק עם מיילים שקשורים ספציפית למשא ומתן על תוכנות כופר וכתובות ביטקוין תהיה סופר-סופר חשודה.
DOUG. בסדר, סוף סוף: תמיד למדוד, לעולם לא להניח.
ברווז. אכן!
DOUG. החבר'ה הטובים ניצחו בסופו של דבר... זה לקח חמש שנים, אבל עשינו את זה.
בואו נעבור לסיפור הבא שלנו.
חברת אבטחת אינטרנט מוצאת באג התחברות בערכת כלים לבניית אפליקציות.
הבאג מתוקן במהירות ובשקיפות, אז זה נחמד... אבל יש קצת יותר לסיפורכמובן, פול.
ברווז. כן.
זוהי חברת ניתוח אבטחת קידוד אינטרנט (אני מקווה שבחרתי שם את הטרמינולוגיה הנכונה) בשם SALT, והם מצאו פגיעות אימות בערכת כלים לבניית אפליקציות בשם Expo.
וברוך את ליבם, אקספו תומכים בדבר שנקרא OAUTH, ה פתח הרשאה מערכת.
זה סוג המערכת המשמשת כאשר אתה הולך לאתר שהחליט, "אתה יודע מה, אנחנו לא רוצים את הטרחה של לנסות ללמוד איך לעשות אבטחת סיסמאות לעצמנו. מה שאנחנו הולכים לעשות זה שאנחנו הולכים להגיד, 'התחבר עם גוגל, התחבר עם פייסבוק'", משהו כזה.
והרעיון הוא שבאופן רופף, אתה יוצר קשר עם פייסבוק, או גוגל, או מה שזה לא יהיה שירות המיינסטרים ואתה אומר, "היי, אני רוצה לתת example.com
רשות לעשות X."
אז, פייסבוק, או גוגל, או מה שלא יהיה, מאמתים אותך ואז אומרים, "בסדר, הנה קוד קסם שאתה יכול לתת לצד השני שאומר, 'בדקנו אותך; ביצעת אימות אצלנו, וזהו אסימון האימות שלך."
לאחר מכן, הצד השני יכול לבדוק באופן עצמאי עם פייסבוק, או גוגל, או כל דבר אחר כדי לוודא שהאסימון הזה הונפק בשמך.
אז מה שזה אומר הוא שלעולם אינך צריך למסור שום סיסמה לאתר... אתה, אם תרצה, משתתף בפייסבוק או בגוגל כדי לבצע עבורך את חלק האימות בפועל.
זה רעיון מצוין אם אתה אתר בוטיק ואתה חושב, "אני לא הולך לסרוג קריפטוגרפיה משלי."
אז זה לא באג ב-OAUTH.
זו רק השגחה; משהו שנשכח ביישום תהליך OAUTH של Expo.
ובאופן רופף, דאג, זה הולך ככה.
קוד האקספו יוצר כתובת URL ענקית הכוללת את כל הפרמטרים הדרושים לאימות עם פייסבוק, ולאחר מכן להחליט לאן יש לשלוח את אסימון הגישה הקסום הסופי הזה.
לכן, בתיאוריה, אם בנית את כתובת האתר שלך או הצלחת לשנות את כתובת האתר, תוכל לשנות את המקום שאליו נשלח לבסוף אסימון האימות הקסום הזה.
אבל לא תוכל לרמות את המשתמש, מכיוון שמופיע תיבת דו-שיח שאומרת, "האפליקציה ב- URL-here
מבקש ממך להיכנס לחשבון הפייסבוק שלך. האם אתה סומך על זה לחלוטין ורוצה לתת לזה לעשות זאת? כן או לא?"
עם זאת, כשהגיע לנקודה של קבלת קוד ההרשאה מפייסבוק, או מגוגל, או כל דבר אחר, והעברתו ל"כתובת האתר להחזרה", קוד האקספו לא יבדוק שאכן לחצתם Yes
בתיבת הדו-שיח לאישור.
אם ראית באופן פעיל את תיבת הדו-שיח ולחצת No
, אז היית מונע מההתקפה להתרחש.
אבל, בעצם, זה "פתוח נכשל".
אם אף פעם לא ראית את הדיאלוג, אז אפילו לא היית יודע שיש על מה ללחוץ ופשוט לא עשית כלום, ואז התוקפים פשוט הפעילו את הביקור הבא ב-URL בעצמם עם יותר JavaScript...
...ואז המערכת תעבוד.
והסיבה שזה עבד היא ש"כתובת ה-URL להחזרה" הקסומה, המקום שאליו היה אמור להישלח קוד ההרשאה הסודי-על, הוגדרה בקובץ cookie אינטרנט לשימוש Expo מאוחר יותר *לפני שלחצתם Yes
על תיבת הדו-שיח*.
מאוחר יותר, קיומה של קובץ ה-cookie של "כתובת אתר להחזרה" נלקח למעשה, אם תרצה, כהוכחה לכך שוודאי ראית את הדו-שיח, ובטח החלטת להמשיך.
בעוד שלמעשה זה לא היה המקרה.
אז זה היה החלקה ענקית עם כוס ושפתיים, דאגלס.
DOUG. בסדר, יש לנו כמה טיפים, שמתחילים ב: כשזה הגיע לדיווח וחשיפת הבאג הזה, זה היה מקרה של ספרי לימוד.
זה כמעט בדיוק איך אתה צריך לעשות את זה, פול.
הכל פשוט עבד כמו שצריך, אז זו דוגמה מצוינת כיצד לעשות זאת בצורה הטובה ביותר.
ברווז. וזו אחת הסיבות העיקריות שבגללן רציתי לכתוב את זה ב-Naked Security.
SALT, האנשים שמצאו את הבאג...
..הם מצאו את זה; הם חשפו זאת באחריות; הם עבדו עם אקספו, שתיקן את זה, ממש תוך שעות.
אז למרות שזה היה באג, למרות שזו הייתה טעות קידוד, זה הוביל לכך ש-SALT אמר, "אתה יודע מה, לאנשי האקספו היה תענוג מוחלט לעבוד איתם."
ואז, SALT החלה להשיג CVE, ובמקום לומר, "היי, הבאג תוקן עכשיו, אז יומיים לאחר מכן נוכל לעשות על זה פרסומות יחסי ציבור גדולות", הם בכל זאת קבעו תאריך שלושה חודשים קדימה שבו הם באמת יכתבו להעלות את הממצאים ולכתוב את הדו"ח החינוכי מאוד שלהם.
במקום להאיץ את זה למטרות יחסי ציבור מיידיות, למקרה שהם נחטפו ברגע האחרון, הם לא רק דיווחו על זה באחריות כדי שניתן יהיה לתקן את זה לפני שנוכלים מצאו את זה (ואין הוכחות שמישהו ניצל את הפגיעות הזו לרעה), הם גם אז נתן מעט מרחב פעולה ל-Expo לצאת לשם ולתקשר עם הלקוחות שלהם.
DOUG. ואז כמובן, דיברנו קצת על זה: ודא שבדיקות האימות שלך נכשלות סגורות.
ודא שהוא לא ימשיך לעבוד רק אם מישהו מתעלם או מבטל אותו.
אבל הבעיה הגדולה יותר כאן היא: לעולם אל תניח שקוד צד הלקוח שלך ישלוט בתהליך האימות.
ברווז. אם עקבת אחר התהליך המדויק של קוד ה-JavaScript שסופק על ידי Expo כדי לקחת אותך בתהליך ה-OAUTH הזה, היית בסדר.
אבל אם התחמקת מהקוד שלהם ולמעשה רק הפעלת את הקישורים עם JavaScript משלך, כולל עקיפת או ביטול החלון הקופץ, אז הרווחת.
עקיפת קוד הלקוח שלך היא הדבר הראשון שתוקף הולך לחשוב עליו.
DOUG. בסדר, אחרון חביב: צא מחשבונות אינטרנט כאשר אינך משתמש בהם באופן פעיל.
זו עצה טובה מסביב.
ברווז. אנחנו אומרים את זה כל הזמן בפודקאסט של Naked Security, ויש לנו בשביל שנים רבות.
זו עצה לא פופולרית, כי היא די לא נוחה, באותו אופן כמו להגיד לאנשים, "היי, למה לא להגדיר את הדפדפן שלך לנקות את כל העוגיות ביציאה?"
אם אתה חושב על זה, במקרה הספציפי הזה... נניח שהכניסה התרחשה דרך חשבון הפייסבוק שלך; OAUTH דרך פייסבוק.
אם היית מנותק מפייסבוק, אז לא משנה איזו בגידה ב-JavaScript ניסה תוקף (להרוג את החלון הקופץ של Expo וכל הדברים האלה), תהליך האימות עם פייסבוק לא יצליח כי פייסבוק הייתה אומרת, "היי, האדם הזה מבקש ממני לאמת אותם. הם לא מחוברים כרגע."
אז תמיד ובאופן בלתי נמנע תראה את ההתחברות של פייסבוק צצה בשלב זה: "אתה צריך להתחבר עכשיו."
וזה יסיר את התחבולה מיד.
DOUG. בסדר טוב מאוד.
והסיפור האחרון שלנו להיום: אל תיבהלו, אבל כנראה שיש דרך לפצח את סיסמת האב למנהל הסיסמאות בקוד פתוח KeePass.
אבל, שוב, אל תיבהל, כי זה א הרבה יותר מסובך ממה שזה נראה, פול.
אתה באמת חייב לשלוט במכונה של מישהו.
אבטחה רצינית: "פיצוח סיסמת האב" של KeePass ומה אנחנו יכולים ללמוד ממנה
ברווז. אתה כן.
אם אתה רוצה לאתר את זה, זה CVE-2023-32784.
זה באג מרתק, וכתבתי מעין מגנום אופוס מאמר בסגנון על Naked Security בנושא, בשם: זה של KeePass 'פיצוח סיסמת מאסטר' ומה אנחנו יכולים ללמוד ממנו.
אז אני לא אקלקל את המאמר הזה, שעוסק בהקצאת זיכרון מסוג C, הקצאת זיכרון מסוג שפת סקריפט, ולבסוף מחרוזות מנוהלות ב-C# או .NET... הקצאת זיכרון מנוהלת על ידי המערכת.
אני רק אתאר מה גילה החוקר במקרה הזה.
מה שהם עשו זה... הם הלכו לחפש בקוד ה-KeePass, ובמזימות הזיכרון של KeePass, אחר עדות לכמה קל זה יכול להיות למצוא את סיסמת האב בזיכרון, אם כי זמנית.
מה אם הוא שם דקות, שעות או ימים לאחר מכן?
מה אם סיסמת המאסטר עדיין שוכבת בסביבה, אולי בקובץ ההחלפה שלך בדיסק, גם לאחר הפעלת המחשב מחדש?
אז הקמתי את KeePass, ונתתי לעצמי סיסמה של 16 תווים, הכל באותיות רישיות, כך שיהיה קל לזהות אם אמצא אותה בזיכרון.
והנה, בשום שלב לא מצאתי את סיסמת המאסטר שלי שוכבת בזיכרון: לא כמחרוזת ASCII; לא כמחרוזת של Windows widechar (UTF-16)).
גדול!
אבל מה שהחוקר הזה שם לב הוא שכאשר אתה מקליד את הסיסמה שלך ב-KeePass, היא מופיעה... אני אקרא לזה "תו ה-Unicode", רק כדי להראות לך שכן, לחצת על מקש, ולכן כדי להראות לך כמה תווים הקלדת.
אז, בזמן שאתה מקליד את הסיסמה שלך, אתה רואה את כתמת המחרוזת [●], כתם-בלוב [●●], כתם-בלוב-בלוב [●●●], ובמקרה שלי, הכל עד 16 כתם.
ובכן, מחרוזות הכתם האלה לא נראים כאילו הם מהווים סיכון אבטחה, אז אולי הם פשוט הושארו לזמן הריצה של .NET כדי לנהל אותם כ"מחרוזות מנוהלות", שם הם עלולים לשכב בזיכרון אחר כך...
...ולא תתנקה כי "היי, הם רק כתמים."
מסתבר שאם אתה עושה זריקת זיכרון של KeePass, מה שנותן לך כמות עצומה של 250MB של דברים, ואתה הולך לחפש מחרוזות כמו בלוב-בלוב, בלוב-בלוב-בלוב, וכן הלאה (כל מספר של כתמים), יש גוש זיכרון שבו תראה שני כתמים, ואז שלושה כתמים, ואז ארבעה כתמים, ואז חמישה כתמים... ובמקרה שלי, עד 16 כתמים.
ואז פשוט תקבל את האוסף האקראי הזה של "דמויות כתמים שקורות בטעות", אם תרצה.
במילים אחרות, רק חיפוש אחר מחרוזות הכתמים האלה, למרות שהן לא מסירות את הסיסמה האמיתית שלך, ידלוף את אורך הסיסמה שלך.
עם זאת, זה נהיה אפילו יותר מעניין, מכיוון שמה שהחוקר הזה תהה הוא, "מה אם הנתונים ליד המחרוזות האלה בזיכרון עשויות להיות קשורות איכשהו לתווים בודדים שאתה מקליד בסיסמה?"
אז מה אם תעבור על קובץ dump הזיכרון, ובמקום רק לחפש שני כתמים, שלושה כתמים/ארבע כתמים, ועוד...
...אתה מחפש מחרוזת כתמים ואחריה תו שלדעתך נמצא בסיסמה?
אז, במקרה שלי, רק חיפשתי את התווים א' עד ת', כי ידעתי שזה מה שהיה בסיסמה.
אני מחפש כל מחרוזת של כתמים, ואחריה תו ASCII אחד.
נחש מה קרה, דאג?
אני מקבל שני כתמים ואחריהם התו השלישי של הסיסמה שלי; שלושה כתמים ואחריהם התו הרביעי של הסיסמה שלי; כל הדרך עד 15 כתמים מיד ואחריהם התו ה-16 בסיסמה שלי.
DOUG. כן, זה ויזואלי פרוע במאמר זה!
עקבתי אחרי... זה נהיה קצת טכני, ופתאום אני רק רואה, "וואו! זה נראה כמו סיסמה!"
ברווז. זה בעצם כאילו התווים האישיים של הסיסמה שלך מפוזרים בחופשיות בזיכרון, אבל אלה שמייצגים את תווי ה-ASCII שהיו למעשה חלק מהסיסמה שלך כשהקלדת אותה...
...זה כאילו יש להם חומר זוהר מחובר אליהם.
אז, מחרוזות כתמים אלה פועלות בטעות כמנגנון תיוג לסימון התווים בסיסמה שלך.
ובאמת, מוסר ההשכל של הסיפור הוא שדברים יכולים לדלוף החוצה בזיכרון בדרכים שפשוט לא ציפיתם, ושגם סוקר קוד מודע היטב לא ישים לב.
אז זה קריאה מרתקת, וזו תזכורת מצוינת שכתיבת קוד מאובטח יכולה להיות הרבה יותר קשה ממה שאתה חושב.
וחשוב מכך, סקירה, הבטחת איכות ובדיקת קוד מאובטח יכול להיות קשה יותר...
... כי אתה חייב להיות בעל עיניים מלפנים, מאחור וצידי הראש שלך, ואתה באמת צריך לחשוב כמו תוקף ולנסות לחפש סודות דולפים בכל מקום שאתה יכול.
DOUG. בְּסֵדֶר, לבדוק את זה, זה ב-madedsecurity.sophos.com.
וכשהשמש מתחילה לשקוע בתוכנית שלנו, הגיע הזמן לשמוע מאחד הקוראים שלנו.
בפודקאסט הקודם (זוהי אחת התגובות האהובות עלי עד כה, פול), מאזין Naked Security צ'אנג מעיר:
שם. עשיתי זאת. אחרי כמעט שנתיים של האזנה מוגזמת, סיימתי להאזין לכל פרקי הפודקאסטים של Naked Security. אני כולי מרותק.
נהניתי מההתחלה, החל מהצ'ט צ'אט הארוך; אחר כך לצוות הבריטי; "אוי לא! זה קים" היה הבא; ואז הגעתי סוף סוף ל"השבוע בהיסטוריה הטכנולוגית" של היום.
איזו נסיעה!
תודה לך, צ'אנג!
אני לא מאמין שהגזמתם עם כל הפרקים, אבל כולנו (אני מקווה שאני לא מדבר שלא בתורו) מאוד מעריכים את זה.
ברווז. באמת, דאג!
זה נחמד לדעת לא רק שאנשים מקשיבים, אלא גם שהם מוצאים את הפודקאסטים שימושיים, ושזה עוזר להם ללמוד יותר על אבטחת סייבר, ולהרים את המשחק שלהם, גם אם זה רק במעט.
כי אני חושב, כפי שאמרתי פעמים רבות בעבר, אם כולנו נרים מעט את משחק אבטחת הסייבר שלנו, אז נעשה הרבה יותר כדי להרחיק את הנוכלים מאשר אם חברה אחת או שתיים, ארגון אחד או שניים, אחד או שניים. שני אנשים השקיעו מאמץ עצום, אבל השאר מאחור.
DOUG. בְּדִיוּק!
ובכן, שוב תודה רבה לך, צ'אנג, על ששלחת את זה.
אנחנו מאוד מעריכים את זה.
ואם יש לכם סיפור מעניין, תגובה או שאלה שתרצו לשלוח, נשמח לקרוא אותם בפודקאסט.
אתה יכול לשלוח דוא"ל ל-tips@sophos.com, אתה יכול להגיב על כל אחד מהמאמרים שלנו, או שאתה יכול לפנות אלינו בחברתית: @nakedsecurity.
זו ההופעה שלנו להיום; תודה רבה על ההקשבה.
עבור פול דאקלין, אני דאג אמות', ומזכיר לך, עד הפעם הבאה...
שניהם. הישאר בטוח!
[מודם מוזיקלי]
- הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
- PlatoAiStream. Web3 Data Intelligence. הידע מוגבר. גישה כאן.
- הטבעת העתיד עם אדריאן אשלי. גישה כאן.
- קנה ומכירה של מניות בחברות PRE-IPO עם PREIPO®. גישה כאן.
- מקור: https://nakedsecurity.sophos.com/2023/06/01/s3-ep137-16th-century-crypto-skullduggery/
- :יש ל
- :הוא
- :לֹא
- :איפה
- $ למעלה
- 10
- 15%
- 28
- a
- יכולת
- יכול
- אודות
- בנוגע לזה
- מוּחלָט
- בהחלט
- גישה
- חֶשְׁבּוֹן
- חשבונות
- לרוחב
- לפעול
- באופן פעיל
- ממשי
- למעשה
- כתובת
- כתובות
- עצה
- לאחר
- שוב
- נגד
- לִפנֵי
- קדימה
- תעשיות
- הַקצָאָה
- בסדר
- גם
- תמיד
- am
- כמות
- an
- אנליזה
- ו
- אנימציות
- כל
- כל אחד
- בְּכָל מָקוֹם
- האפליקציה
- תפוח עץ
- להעריך
- הסכמה
- מאושר
- ARE
- סביב
- לעצור
- מאמר
- מאמרים
- AS
- At
- לתקוף
- המתקפות
- אודיו
- לאמת
- מאומת
- מאמת
- אימות
- מחבר
- רשות
- לְהִמָנַע
- נמנע
- רָחוֹק
- בחזרה
- רוחב פס
- חביות
- מבוסס
- בעיקרון
- מִפרָץ
- BE
- כי
- היה
- בִּירָה
- לפני
- ההתחלה
- מאחור
- להיות
- תאמינו
- להלן
- הטוב ביותר
- בֵּין
- גָדוֹל
- גדול
- קצת
- ביטקוין
- כתובת ביטקוין
- שניהם
- הבאונטי
- דפדפן
- חרק
- באגים
- אבל
- by
- שיחה
- נקרא
- הגיע
- CAN
- קיבולת
- מקרה
- נתפס
- מאה
- בהחלט
- צ'אנג
- שינוי
- השתנה
- שינויים
- משתנה
- אופי
- תווים
- לבדוק
- בָּדוּק
- בדיקות
- צופן
- ברור
- קליק
- לקוחות
- סגירה
- קוד
- סִמוּל
- יד מקרה
- אוסף
- COM
- הערה
- הערות
- להעביר
- חברות
- חברה
- תואם
- המחשב
- מחשבים
- צור קשר
- לִשְׁלוֹט
- מחלוקת
- עוגייה
- עוגיות
- שוטרים
- יכול
- קורס
- סדק
- סדוק
- יוצר
- קרוקס
- קריפטו
- קריפטוגרפיה
- כוס
- נוֹכְחִי
- כיום
- לקוחות
- Cve
- אבטחת סייבר
- נתונים
- תַאֲרִיך
- יְוֹם
- ימים
- עסקה
- מוות
- החליט
- מחליטים
- הגנתי
- נתן
- דרישה
- לתאר
- מעוכב
- מפותח
- דיאלוג
- דיאלוג
- DID
- למות
- אחר
- חושף
- גילה
- לְהַצִיג
- do
- לא
- עשה
- לא
- מטה
- ירידה
- ראוי
- שפך
- מוקדם
- קל
- חינוך
- יעילות
- מאמץ
- אלמנט
- מעלית
- אמייל
- מיילים
- מוצפן
- סוף
- אויבים
- אַכִיפָה
- מהנדס
- אַנְגלִיָה
- רשאי
- פרקים
- למעשה
- אֲפִילוּ
- בסופו של דבר
- אי פעם
- הכל
- עדות
- בדיוק
- בוחן
- דוגמה
- מרגש
- יצא לפועל
- יציאה
- צפוי
- המסביר
- אקספו
- עיניים
- פייסבוק
- עובדה
- FAIL
- מפורסם
- מקסים
- חביב
- פחד
- חשבתי
- שלח
- סופי
- בסופו של דבר
- מציאת
- ממצאים
- ממצאים
- סוף
- ראשון
- קבוע
- בעקבות
- הבא
- בעד
- שכח
- פוּרמָט
- למרבה המזל
- מצא
- ארבע
- רביעית
- החל מ-
- חזית
- לגמרי
- צבר
- מִשְׂחָק
- לקבל
- מקבל
- ענק
- gif
- לתת
- נותן
- Go
- מטרה
- Goes
- הולך
- טוב
- גרפיקה
- גדול
- אשם
- היה
- יד
- לקרות
- קרה
- מתרחש
- קשה
- יש
- he
- ראש
- לִשְׁמוֹעַ
- עזרה
- לה
- כאן
- הסתר
- חֲטִיפָה
- לו
- שֶׁלוֹ
- היסטורי
- היסטוריה
- מכה
- עמוד הבית
- לקוות
- מקווה
- שעות
- בית
- איך
- איך
- HTTPS
- עצום
- i
- חולה
- רעיון
- if
- תמונות
- תמונה
- מיידי
- מיד
- בלתי ניתן לשינוי
- הפעלה
- in
- כולל
- כולל
- להגדיל
- באופן עצמאי
- הצביע
- בנפרד
- בנפרד
- אנשים
- מידע
- טכנולוגיית מידע
- בתחילה
- Insider
- במקום
- מעניין
- אל תוך
- סוגיה
- הפיקו
- IT
- שֶׁלָה
- JavaScript
- רק
- שמור
- מפתח
- לִסְרוֹג
- לדעת
- שפה
- אחרון
- מְאוּחָר
- מאוחר יותר
- חוק
- אכיפת החוק
- לדלוף
- לִלמוֹד
- הכי פחות
- הוביל
- עזבו
- אורך
- כמו
- מוגבל
- קישורים
- מאזין
- האזנה
- קְצָת
- חי
- היכנס
- מחובר
- התחבר
- ארוך
- נראה
- הסתכלות
- נראה
- מגרש
- אהבה
- יוקרה
- מכונה
- קסם
- ראשי
- זרם מרכזי
- לעשות
- איש
- לנהל
- הצליח
- מנהל
- רב
- אב
- דבר
- מקסימום
- מאי..
- אומר
- למדוד
- מנגנון
- פוגשת
- זכרון
- הודעות
- אמצע
- יכול
- דקה
- דקות
- טעות
- MITM
- לשנות
- חודשים
- מוסרי
- יותר
- המהלך
- mr
- הרבה
- כלי נגינה
- מחזמר
- צריך
- my
- ביטחון עירום
- פודקאסט עירום אבטחה
- שמות
- ליד
- צורך
- נחוץ
- משא ומתן
- נטו
- רשתות
- לעולם לא
- אף על פי כן
- חדשות
- הבא
- נחמד
- לא
- שום דבר
- הודעה..
- עַכשָׁיו
- מספר
- oauth
- of
- כבוי
- לעתים קרובות
- on
- ONE
- יחידות
- באינטרנט
- רק
- קוד פתוח
- or
- ארגונים
- אחר
- שלנו
- בעצמנו
- הַחוּצָה
- יותר
- מֶחדָל
- שֶׁלוֹ
- אוקספורד
- בהלה
- פרמטרים
- חלק
- מסוים
- חולף
- סיסמה
- מנהל סיסמא
- תבנית
- פול
- תשלום
- תשלום
- אֲנָשִׁים
- רשות
- אדם
- השתכנע
- טלפונים
- הרים
- גובה הצליל
- מקום
- אפלטון
- מודיעין אפלטון
- אפלטון נתונים
- שחקן
- הנאה
- פודקאסט
- פודקאסטים
- נקודה
- פוליטי
- פופ
- פופולריות
- אפשרי
- הודעות
- pr
- להציג
- ללחוץ
- למנוע
- קודם
- כנראה
- תהליך
- מבוטא
- הוכחה
- להגן
- להוכיח
- ובלבד
- ספק
- למטרות
- גם
- מכניס
- המלכה אליזבת
- שאלה
- מהירות
- אקראי
- ransomware
- התקפת כופר
- במקום
- הגיע
- חומר עיוני
- הקוראים
- בֶּאֱמֶת
- טעם
- סיבות
- קבלה
- לזהות
- לשקף
- קָשׁוּר
- שוחרר
- להסיר
- תַחֲלִיף
- לדווח
- דווח
- דווח
- לייצג
- חוקר
- REST
- ביקורת
- תקין
- הסיכון
- rss
- הפעלה
- ריצה
- אמר
- מלח
- אותו
- לומר
- אמר
- אומר
- פזור
- חיפוש
- חיפוש
- לבטח
- אבטחה
- לִרְאוֹת
- נראה
- נראה
- לראות
- תפס
- שליחה
- לחצני מצוקה לפנסיונרים
- נשלח
- שרות
- ספק שירות
- סט
- היא
- בקצרה
- צריך
- לְהַצִיג
- צד
- צדדים
- סִימָן
- פָּשׁוּט
- בפשטות
- So
- חֶברָתִי
- רך
- כמה
- מישהו
- משהו
- Soundcloud
- מדבר
- במיוחד
- Spotify
- לעמוד
- התחלה
- החל
- החל
- להשאר
- צעדים
- סטיב
- עוד
- אחסון
- סיפור
- מחרוזת
- סגנון
- להגיש
- להצליח
- פתאומי
- שמש
- תמיכה
- נתמך
- אמור
- חשוד
- להחליף
- מערכת
- מערכות
- לקחת
- משימות
- נבחרת
- טק
- טכני
- טכנולוגיה
- לספר
- טרמינולוגיה
- בדיקות
- ספר לימוד
- מֵאֲשֶׁר
- להודות
- תודה
- זֶה
- השמיים
- בריטניה
- שֶׁלָהֶם
- אותם
- עצמם
- אז
- התאוריה
- שם.
- לכן
- אלה
- הֵם
- דבר
- דברים
- לחשוב
- שְׁלִישִׁי
- זֶה
- השבוע
- אלה
- אם כי?
- מחשבה
- שְׁלוֹשָׁה
- כס
- דרך
- קָשׁוּר
- זמן
- פִּי
- טיפים
- ל
- היום
- אסימון
- גַם
- לקח
- ארגז כלים
- חלק עליון
- 10 למעלה
- לעקוב
- בשקיפות
- מִשׁפָּט
- ניסיתי
- מופעל
- סומך
- לנסות
- תור
- פונה
- שתיים
- סוג
- סוגים
- Uk
- לא מסוגל
- תחת
- לצערי
- Unicode
- עד
- כתובת האתר
- us
- להשתמש
- מְשׁוּמָשׁ
- משתמש
- באמצעות
- אימות
- גרסה
- נגד
- מאוד
- באמצעות
- לְבַקֵר
- חיוני
- פגיעות
- רוצה
- רציתי
- היה
- דֶרֶך..
- דרכים
- we
- אינטרנט
- אתר
- שבוע
- שבועות
- טוֹב
- הלכתי
- היו
- מה
- כלשהו
- מתי
- אם
- אשר
- מי
- למה
- נָפוֹץ
- בר
- יצטרך
- חלונות
- נגב
- עם
- בתוך
- לְלֹא
- נצחנות
- Word
- מילים
- תיק עבודות
- עבד
- עובד
- היה
- היה נותן
- לכתוב
- כתיבה
- X
- שנים
- כן
- עוד
- אתה
- עצמך
- זפירנט