KUNT U GEHACKT WORDEN EN DAARNA VERVOLGD WORDEN?
Cryptovaluta misdaadheren. Beveiligingspatches voor VMware, OpenSSH en OpenSSL. Medische overtreder busted. Is dat een kever of een eigenschap?
Klik en sleep op de onderstaande geluidsgolven om naar een willekeurig punt te gaan. Je kan ook luister direct op Soundcloud.
Met Doug Aamoth en Paul Ducklin
Intro en outro muziek door Edith Mudge.
Je kunt naar ons luisteren op Soundcloud, Apple Podcasts, Google Podcasts, Spotify, stikster en overal waar goede podcasts te vinden zijn. Of laat de URL van onze RSS-feed in je favoriete podcatcher.
LEES DE TRANSCRIPT
DOUG. Patches, fixes en crimelords - oh jee!
Oh, en weer een wachtwoordbeheerder in het nieuws.
Dat alles, en meer, op de Naked Security-podcast.
[MUZIEK MODEM]
Welkom bij de podcast, allemaal.
Ik ben Paul Ducklin; hij is Doug Aamoth...
..denk dat ik dat omgekeerd heb, Paul: *Ik* ben Doug Aamoth; *hij* is Paul Ducklin.
Paul, we beginnen de show graag met een Deze week in de technische geschiedenis segment.
En ik wil graag iets uit de zeer recente geschiedenis insturen.
Deze week, op 06 februari 2023, heeft onze eigen Paul Ducklin…
EEND. [VERTROUWD] Woooooo!
DOUG. ...een interview gepubliceerd met technologiejournalist Andy Greenberg over zijn nieuwe boek, "Tracers in the Dark - the Global Hunt for the Crime Lords of Cryptocurrency."
Laten we naar een korte clip luisteren...
[MUZIKALE STING]
PAUL EENDJE. Er is zeker al tientallen jaren een fascinatie om te zeggen: "Weet je wat? Dit encryptie-ding? Het is eigenlijk een heel, heel slecht idee. We hebben achterdeurtjes nodig. We moeten het kunnen doorbreken, iemand moet aan de kinderen denken, etc, etc.”
ANDY GROENBERG. Welnu, het is interessant om te praten over crypto-backdoors en het juridische debat over codering dat zelfs wetshandhavers niet kunnen kraken.
Ik denk dat het verhaal van dit boek in zekere zin laat zien dat dat vaak niet nodig is.
Ik bedoel, de criminelen in dit boek gebruikten traditionele encryptie.
Ze gebruikten Tor en het Dark Web.
En niets daarvan was gekraakt om ze kapot te maken.
[MUZIKALE STING]
EEND. Ik weet dat ik dit zou zeggen, Doug, maar ik raad je sterk aan daarnaar te luisteren Podcast.
Of, als je liever leest, ga dan door de transcriptie, want...
...zoals ik aan het einde tegen Andy zei, het was net zo fascinerend om met hem te praten als om te beginnen het boek te lezen.
Ik kan het boek ten zeerste aanbevelen, en hij heeft een aantal verbazingwekkende inzichten in zaken als cryptografische achterdeurtjes die niet alleen voortkomen uit meningen, maar ook uit onderzoek naar hoe wetshandhaving, blijkbaar zeer effectief, is omgegaan met cybercriminaliteit, zonder onze privacy te hoeven schenden, misschien omdat zoveel als sommige mensen denken dat nodig is.
Dus, enkele fascinerende inzichten daarin, Doug:
Tracers in the Dark: de wereldwijde jacht op de misdaadheren van Crypto
DOUG. Check dat eens… dat staat in de standaard Naked Security-podcastfeed.
Als je onze podcast krijgt, zou dat de podcast moeten zijn.
En laten we nu overgaan tot een bliksemronde van fixes en updates.
We hebben OpenSSL. we hebben VMware en we hebben OpenSSH.
Laten we beginnen met VMware. Paulus:
VMWare-gebruiker? Bezorgd over "ESXi-ransomware"? Controleer nu uw patches!
EEND. Dit werd een enorm verhaal, denk ik, vanwege een bulletin dat vorige week vrijdag door het Franse CERT (Computer Emergency Response Team) werd uitgebracht.
Dus. dat zou 03 februari 2023 zijn.
Ze vertelden gewoon hoe het was: “Hé, er zijn oude kwetsbaarheden in VMware ESXi die je in 2000 en 2021 had kunnen patchen, maar sommige mensen deden dat niet, en nu misbruiken oplichters ze. Verrassing, verrassing: eindresultaat staat gelijk aan ransomware.”
Ze zeiden het niet helemaal zo… maar dat was het doel van het bulletin.
Het veranderde een beetje in een nieuwsstorm van [GESCHOREN STEM], “Oh, nee! Gigantische bug in VMware!”
Het lijkt alsof mensen afleiden: “Oh, nee! Er is een gloednieuwe zero-day! Ik kan maar beter alles weggooien en gaan kijken!”
En in sommige opzichten is het erger dan een zero-day, want als je het risico loopt op de aanval van deze specifieke cyberbende, die eindigt in ransomware...
…je bent al twee jaar kwetsbaar.
DOUG. Een 730-dagen, eigenlijk...
EEND. Precies!
Dus schreef ik het artikel om uit te leggen wat het probleem was.
Ik decompileerde en analyseerde ook de malware die ze uiteindelijk gebruikten.
Omdat ik denk dat veel mensen dit verhaal aan het lezen waren: “Wauw, er zit een grote bug in VMware en die leidt tot ransomware. Dus als ik gepatcht ben, hoef ik niets te doen en zal de ransomware niet plaatsvinden.”
En de problemen zijn dat deze gaten in wezen kunnen worden gebruikt om root-toegang te krijgen op ESXi-boxen, waar de boeven geen ransomware hoeven te gebruiken.
Ze kunnen gegevens stelen, spam verzenden, keylogging, cryptomining, {voeg hier de minst favoriete cybercriminaliteit in}.
En de ransomware-tool die deze boeven gebruiken, die semi-automatisch is maar handmatig kan worden gebruikt, is een op zichzelf staande bestandsversleutelaar die is ontworpen om zeer grote bestanden snel te versleutelen.
Ze zijn dus niet volledig versleuteld - ze hebben het zo geconfigureerd dat het een megabyte versleutelt, 99 MB overslaat, een megabyte versleutelt, 99 MB overslaat...
... dus het gaat heel, heel snel door een multi-gigabyte of zelfs een terabyte VMDK (virtual machine image file).
En ze hebben een script dat deze coderingstool uitvoert voor elke VMware-image die het kan vinden, allemaal parallel.
Natuurlijk kan iedereen deze specifieke tool gebruiken *zonder in te breken via de VMware-kwetsbaarheid*.
Dus als u niet bent gepatcht, hoeft dit niet noodzakelijkerwijs te eindigen in ransomware.
En als je gepatcht bent, is dat niet de enige manier waarop de boeven binnen kunnen komen.
Het is dus handig om jezelf te informeren over de risico's van deze ransomware en hoe je je ertegen kunt verdedigen.
DOUG. Oke, heel goed.
Dan hebben we een pokeable dubbel-vrije geheugenbug in OpenSSH.
Dat is leuk om te zeggen...
OpenSSH repareert dubbel-vrij geheugenbug die via het netwerk kan worden geprikt
EEND. Dat is het, Doug.
En ik dacht: "Het is best leuk om te begrijpen", dus schreef ik dat op Naked Security om je te helpen een deel van dit geheugengerelateerde bug-jargon te begrijpen.
Het is nogal een esoterisch probleem (het zal je waarschijnlijk niet beïnvloeden als je OpenSSH gebruikt), maar ik denk nog steeds dat het een interessant verhaal is, omdat [A] omdat het OpenSSH-team besloot dat ze het zouden onthullen in hun release-opmerkingen: "Het heeft geen CVE-nummer, maar zo werkt het toch', en [B] het is een goede herinnering dat fouten in het geheugenbeheer, vooral als je in C codeert, zelfs ervaren programmeurs kunnen overkomen.
Dit is een double-free, wat een geval is waarbij je eindigt met een geheugenblok, dus je geeft het terug aan het systeem en zegt: “Je kunt dit aan een ander deel van mijn programma geven. Ik heb er genoeg van."
En dan, later, in plaats van datzelfde blok opnieuw te gebruiken nadat je het hebt opgegeven (wat natuurlijk slecht zou zijn), geef je het geheugen weer terug.
En het klinkt een beetje als: 'Wel, wat is er aan de hand? Je zorgt er gewoon voor.'
Het is alsof je van de parkeerplaats naar je appartement rent en naar boven gaat en controleert: "Heb ik de oven echt uitgezet?"
Het maakt niet uit of je teruggaat en het is uitgeschakeld; het maakt alleen uit als je teruggaat en merkt dat je het niet hebt uitgeschakeld.
Dus wat is het kwaad met een dubbele gratis?
Het probleem is natuurlijk dat het onderliggende systeem in de war kan raken, en dat kan ertoe leiden dat het geheugen van iemand anders slecht of slecht beheerd wordt op een manier die criminelen zouden kunnen misbruiken.
Dus als je niet begrijpt hoe al dat spul werkt, dan denk ik dat dit een interessant, misschien zelfs belangrijk, leesvoer is...
...ook al is de bug redelijk esoterisch en heeft, voor zover we weten, nog niemand een manier bedacht om hem te misbruiken.
DOUG. Last but zeker not least is er een hoge ernst fout bij het stelen van gegevens in OpenSSL is dat opgelost.
En ik zou mensen willen aansporen, als je net als ik bent, redelijk technisch, maar wars van jargon...
…de officiële notities zitten boordevol jargon, maar, Paul, je vertaalt dat jargon meesterlijk in gewoon Engels.
Inclusief een dynamische uitleg over hoe geheugenbugs werken, waaronder: NULL-dereferentie, ongeldige pointer-dereferentie, leesbufferoverloop, gebruik-na-vrij, dubbelvrij (waar we het net over hadden), en meer:
OpenSSL repareert een zeer ernstige bug voor het stelen van gegevens - patch nu!
EEND. [PAUSE] Nou, je hebt me een beetje sprakeloos gemaakt, Doug.
Heel erg bedankt voor je vriendelijke woorden.
Ik heb deze opgeschreven voor... Ik zou twee redenen noemen, maar een soort van drie redenen.
De eerste is dat OpenSSH en OpenSSL twee totaal verschillende dingen zijn - het zijn twee totaal verschillende open source-projecten die door verschillende teams worden uitgevoerd - maar ze worden allebei extra super-wijd gebruikt.
Dus de OpenSSL-bug in het bijzonder is waarschijnlijk op u van toepassing ergens in uw IT-bezit, omdat een product dat u ergens heeft, het vrijwel zeker bevat.
En als je een Linux-distro hebt, biedt de distro waarschijnlijk ook zijn eigen versie - mijn Linux is dezelfde dag bijgewerkt, dus je wilt het zelf gaan controleren.
Dus ik wilde mensen bewust maken van de nieuwe versienummers.
En, zoals we al zeiden, er was een duizelingwekkende hoeveelheid jargon waarvan ik dacht dat het de moeite waard was om uit te leggen ... waarom zelfs kleine dingen ertoe doen.
En er is één zeer ernstige bug. (Ik zal het niet uitleggen type verwarring hier - ga naar het artikel als je wat analogieën wilt over hoe dat werkt.)
En dit is een geval waarin een aanvaller misschien in staat is om wat lijkt op volkomen onschuldige geheugenvergelijkingen te activeren, waarbij ze alleen deze geheugenbuffer vergelijken met die geheugenbuffer...
... maar ze sturen een van de buffers verkeerd en, zie, ze kunnen uitzoeken wat er in *jouw* buffer zit door het te vergelijken met bekende dingen die ze in *de hunne* hebben gestopt.
In theorie zou je zo'n bug kunnen misbruiken op wat je een Heartbleed-manier zou kunnen noemen.
Ik weet zeker dat we ons allemaal herinneren dat, als onze IT-carrière teruggaat tot 2014 of daarvoor, de OpenSSL Heartbleed-bug, waar een client een server kan pingen en zeggen: "Leef je nog?"
"Heartbleed heartache" - moet je ECHT al je wachtwoorden meteen veranderen?
En het zou een bericht terugsturen dat tot 64 kilobyte aan extra gegevens bevatte, mogelijk per ongeluk de geheimen van andere mensen.
En dat is het probleem met geheugenlekkage-bugs, of potentiële geheugenlekkage-bugs, in cryptografische producten.
Ze hebben over het algemeen veel meer te verbergen dan traditionele programma's!
Dus ga dat lezen en patch zeker zo snel mogelijk.
DOUG. Ik kan niet geloven dat Heartbleed 2014 was.
Dat lijkt... Ik had maar één kind toen dat uitkwam en hij was een baby, en nu heb ik er nog twee.
EEND. En toch hebben we het er nog over...
DOUG. Serieus!
EEND. ...als een bepalende herinnering aan waarom een simpele leesbufferoverloop behoorlijk catastrofaal kan zijn.
Omdat veel mensen geneigd zijn te denken: "Ach, dat is toch veel minder schadelijk dan een *write* buffer overflow, waar ik shellcode zou kunnen injecteren of het gedrag van een programma zou kunnen omleiden?"
Als ik gewoon dingen kan lezen, dan zou ik misschien je geheimen te weten kunnen komen... dat is erg, maar ik krijg er geen root-toegang mee en kan je netwerk niet overnemen.
Maar zoals veel recente datalekken hebben bewezen, kan soms het kunnen lezen van dingen van één server geheimen onthullen waardoor u zich kunt aanmelden bij een aantal andere servers en veel ondeugendere dingen kunt doen!
DOUG. Nou, dat is een geweldig deel over ondeugende dingen en geheimen.
We hebben een update van een verhaal van Naakte beveiliging verleden.
U herinnert zich misschien het verhaal van eind vorig jaar over iemand die inbreuk maakte op een psychotherapiebedrijf en een aantal transcripties van therapiesessies stal, en die informatie vervolgens gebruikte om de patiënten van dit bedrijf af te persen.
Nou, hij ging op de vlucht ... en was gewoon onlangs gearresteerd In Frankrijk:
Verdachte van afpersing Finse psychotherapie gearresteerd in Frankrijk
EEND. Dit was echt een lelijke misdaad.
Hij brak niet zomaar een bedrijf binnen en stal een hoop gegevens.
Hij maakte inbreuk op een *psychotherapie*-bedrijf, en dubbel helaas was dat bedrijf volkomen nalatig geweest, zo lijkt het, in hun gegevensbeveiliging.
In feite heeft hun voormalige CEO problemen met de autoriteiten op beschuldigingen die zelf tot een gevangenisstraf kunnen leiden, omdat ze gewoon al deze dynamische informatie hadden die ze echt aan hun patiënten verschuldigd waren om te beschermen, en niet hadden.
Ze hebben het blijkbaar op een cloudserver gezet met een standaardwachtwoord, waar de boef het tegenkwam.
Maar het is de aard van hoe de breuk zich ontvouwde die echt verschrikkelijk was.
Hij chanteerde het bedrijf... Ik geloof dat hij zei: "Ik wil €450,000, anders verspil ik alle gegevens."
En natuurlijk hield het bedrijf zich erover in en daarom besloten de toezichthouders ook achter het bedrijf aan te gaan.
Ze hadden erover gezwegen, in de hoop dat niemand er ooit achter zou komen, en hier komt deze man zeggen: "Betaal ons het geld, of anders."
Nou, ze waren niet van plan hem te betalen.
Het had geen zin: hij had de datum al, en hij deed er al slechte dingen mee.
En dus, zoals u zegt, besloten de boeven: "Wel, als ik geen € 450,000 uit het bedrijf kan krijgen, waarom probeer ik dan niet elke persoon die psychotherapie heeft gehad voor € 200 te pakken?"
Volgens de bekende cyberspeurder Brian Krebs stond op zijn afpersingsbriefje: “Je hebt 24 uur om me €200 te betalen. Dan geef ik je 48 uur om € 500 te betalen. En als ik na 72 uur nog niets van je heb gehoord, zal ik je vrienden, familie en iedereen die het wil weten vertellen wat je hebt gezegd.”
Omdat die gegevens transcripties bevatten, Doug.
Waarom hebben ze die dingen in vredesnaam zelfs standaard opgeslagen?
Dat zal ik nooit begrijpen.
Zoals u zegt, is hij het land ontvlucht en werd hij "bij verstek" gearresteerd door de Finnen; waardoor ze een internationaal arrestatiebevel konden uitvaardigen.
Hoe dan ook, nu wordt hij geconfronteerd met de muziek in Frankrijk, waar de Fransen hem natuurlijk proberen uit te leveren aan Finland, en de Finnen proberen hem voor de rechter te slepen.
Blijkbaar heeft hij vorm [VS equivalent: prioren] voor deze. Doug.
Hij is eerder veroordeeld voor cybercriminaliteit, maar toen was hij minderjarig.
Hij is nu 25 jaar oud, geloof ik; hij was toen 17, dus hij kreeg een tweede kans.
Hij kreeg een voorwaardelijke straf en een kleine boete.
Maar als deze beschuldigingen juist zijn, denk ik dat velen van ons vermoeden dat hij er deze keer niet zo lichtvaardig vanaf zal komen als hij wordt veroordeeld.
DOUG. Dus dit is een goede herinnering dat je – als je bent zoals dit bedrijf – zowel het slachtoffer * als * de boosdoener kunt zijn.
En nog een herinnering dat je een plan moet hebben.
Daarom hebben we wat advies aan het einde van het artikel, te beginnen met: Oefen wat je gaat doen als je zelf een breuk krijgt.
Je moet een plan hebben!
EEND. Absoluut.
Je kunt het niet goedmaken terwijl je doorgaat, omdat er simpelweg geen tijd voor is.
DOUG. En ook, als u een persoon bent die wordt beïnvloed door zoiets als dit: Overweeg om aangifte te doen, want dat helpt bij het onderzoek.
EEND. Dat doet het inderdaad.
Ik heb begrepen dat in dit geval veel mensen die deze afpersingseisen ontvingen * inderdaad * naar de autoriteiten gingen en zeiden: "Dit kwam uit het niets. Dit is alsof je op straat wordt aangevallen! Wat ga je eraan doen?”
De autoriteiten zeiden: "Geweldig, laten we de rapporten verzamelen", en dat betekent dat ze een betere zaak kunnen opbouwen en een sterkere zaak kunnen maken voor zoiets als uitlevering.
DOUG. Oké, heel goed.
We ronden onze show af met: "Nog een week, een andere wachtwoordmanager op de hot seat."
Deze keer is het KeePass.
Maar deze specifieke ruzie is niet zo eenvoudig, Paul:
Wachtwoordstelende "kwetsbaarheid" gerapporteerd in KeePass - bug of functie?
EEND. Eigenlijk, Doug, denk ik dat je zou kunnen zeggen dat het heel eenvoudig is... en tegelijkertijd enorm ingewikkeld. [LACHT]
DOUG. [LACHT] OK, laten we het hebben over hoe dit echt werkt.
De functie zelf is een soort automatiseringsfunctie, een scripttype ...
EEND. "Trigger" is de term om naar te zoeken - zo noemen ze het.
Dus als u bijvoorbeeld het [KeePass]-databasebestand opslaat (misschien heeft u een wachtwoord bijgewerkt of een nieuw account aangemaakt en klikt u op de knop Opslaan), zou het dan niet fijn zijn als u een beroep zou kunnen doen op een eigen aangepast script dat die gegevens synchroniseert met een of andere cloudback-up?
In plaats van te proberen code in KeePass te schrijven om met elk mogelijk cloud-uploadsysteem ter wereld om te gaan, waarom zou u geen mechanisme bieden waarmee mensen het kunnen aanpassen als ze dat willen?
Precies hetzelfde wanneer u een wachtwoord probeert te gebruiken ... u zegt: "Ik wil dat wachtwoord kopiëren en gebruiken."
Zou het niet mooi zijn als je een script zou kunnen aanroepen dat een kopie van het wachtwoord in platte tekst krijgt, zodat het dit kan gebruiken om in te loggen op accounts die niet zo eenvoudig zijn als het invoeren van de gegevens in een webformulier dat op jouw scherm?
Dat kan zoiets zijn als uw GitHub-account, of uw Continuous Integration-account, of wat het ook is.
Deze dingen worden dus "triggers" genoemd omdat ze zijn ontworpen om te activeren wanneer het product bepaalde dingen doet.
En sommige van die dingen – onvermijdelijk, omdat het een wachtwoordbeheerder is – hebben te maken met het omgaan met uw wachtwoorden.
De nee-zeggers zijn van mening: "Ach, die triggers, ze zijn te gemakkelijk in te stellen, en het toevoegen van een trigger wordt zelf niet beschermd door een sabotagewachtwoord."
U moet een hoofdwachtwoord invoeren om toegang te krijgen tot uw wachtwoorden, maar u hoeft het hoofdwachtwoord niet in te voeren om toegang te krijgen tot het configuratiebestand om toegang te krijgen tot de wachtwoorden.
Dat is, denk ik, waar de nee-zeggers vandaan komen.
En andere mensen zeggen: “Weet je wat? Ze moeten toegang krijgen tot het configuratiebestand. Als ze dat hebben, zit je al diep in de problemen!
DOUG. "De mensen" omvatten KeePass, die zegt: "Dit programma is niet opgezet om je te verdedigen tegen iemand [LACHT] die in je stoel zit terwijl je al bent ingelogd op je machine en de app."
EEND. Inderdaad.
En ik denk dat de waarheid waarschijnlijk ergens in het midden ligt.
Ik begrijp het argument waarom, als je de wachtwoorden wilt beveiligen met het hoofdwachtwoord... waarom bescherm je het configuratiebestand dan niet ook?
Maar ik ben het ook eens met mensen die zeggen: “Weet je wat? Als ze zijn ingelogd op je account, en ze staan op je computer, en ze zijn jou al, dan ben je eigenlijk al tweede in de race."
Doe dat dus niet!
DOUG. [LACHT] OK, dus als we een beetje uitzoomen op dit verhaal...
…Naked Security-lezer Richard vraagt:
Is een wachtwoordbeheerder, ongeacht welke, een single point of failure? Door zijn ontwerp is het een waardevol doelwit voor een hacker. En de aanwezigheid van een kwetsbaarheid stelt een aanvaller in staat om elk wachtwoord op het systeem te winnen, ongeacht de theoretische sterkte van die wachtwoorden.
Ik denk dat dat een vraag is die veel mensen zich nu stellen.
EEND. In zekere zin, Doug, is dat een vraag die niet te beantwoorden is.
Een beetje zoals dit 'trigger'-ding in het configuratiebestand in KeePass.
Is het een bug, of is het een functie, of moeten we accepteren dat het een beetje van beide is?
Ik denk dat, zoals een andere commentator in datzelfde artikel zei, het een probleem is om te zeggen: “Een wachtwoordbeheerder is een single point of failure, dus ik ga er geen gebruiken. Wat ik ga doen is: *één* heel, heel, ingewikkeld wachtwoord bedenken en dat voor al mijn sites gebruiken.'
Dat is wat veel mensen doen als ze geen wachtwoordbeheerder gebruiken... en in plaats van een *potentieel* single point of failure te zijn, creëert dat iets dat precies, absoluut *en nu al* een single point of failure is.
Daarom is een wachtwoordbeheerder zeker de minste van twee kwaden.
En ik denk dat daar veel waarheid in zit.
DOUG. Ja, ik zou zeggen dat ik denk dat het *kan* een single point of failure zijn, afhankelijk van het soort accounts dat u bijhoudt.
Maar voor veel services is en mag het geen enkel punt van *totale* mislukking zijn.
Als mijn bankwachtwoord bijvoorbeeld wordt gestolen en iemand gaat inloggen op mijn bankrekening, zal mijn bank zien dat ze inloggen vanaf de andere kant van de wereld en zeggen: “Ho! Wacht even! Dit ziet er raar uit.”
En ze stellen me een beveiligingsvraag, of ze e-mailen me een secundaire code die ik moet invoeren, zelfs als ik niet ben ingesteld voor 2FA.
De meeste van mijn belangrijke accounts... Ik maak me niet zoveel zorgen over die inloggegevens, omdat er een automatische tweede factor zou zijn waar ik doorheen zou moeten springen omdat de login er verdacht uit zou zien.
En ik hoop dat technologie zo eenvoudig te implementeren wordt dat elke site die enige vorm van gegevens bijhoudt, gewoon heeft ingebouwd: "Waarom logt deze persoon midden in de nacht in vanuit Roemenië, terwijl ze normaal gesproken in Boston zijn?"
Veel van die failsafes zijn aanwezig voor grote, belangrijke dingen die je online zou kunnen houden, dus ik hoop dat dat in die zin geen single point of failure hoeft te zijn.
EEND. Dat is een goed punt, Doug, en ik denk dat het illustreert dat er, als je wilt, een brandende vraag achter de vraag zit, namelijk: "Waarom hebben we in de eerste plaats zoveel wachtwoorden nodig?"
En misschien is een manier om naar een wachtwoordloze toekomst te gaan, simpelweg om mensen websites te laten gebruiken waar ze * niet * kunnen kiezen om het (luchtquotes) "gigantische gemak" te hebben om in de eerste plaats een account aan te maken.
DOUG. [GLUM LAUGH] Zoals we bespraken, werd ik getroffen door de LastPass-inbreuk, en ik keek naar mijn gigantische lijst met wachtwoorden en zei: "Oh, mijn God, ik moet al deze wachtwoorden gaan veranderen!"
Het bleek dat ik de helft van die wachtwoorden moest *wijzigen*, en erger nog, ik moest de andere helft van deze accounts *annuleren*, omdat ik daar zoveel accounts had...
…alleen voor wat je zei; "Ik moet een account aanmaken om toegang te krijgen tot iets op deze site."
En ze zijn niet allemaal gewoon klikken en annuleren.
Sommigen, je moet bellen.
Soms moet je met iemand praten via livechat.
Het was veel moeilijker dan alleen een aantal wachtwoorden wijzigen.
Maar ik zou mensen willen aansporen, of je nu een wachtwoordbeheerder gebruikt of niet, kijk eens naar het grote aantal accounts dat je hebt en verwijder de accounts die je niet meer gebruikt!
EEND. Ja.
In drie woorden: "Minder is meer."
DOUG. Absoluut!
Oké, heel erg bedankt, Richard, voor het insturen.
Als je een interessant verhaal, opmerking of vraag hebt die je wilt indienen, lezen we die graag in de podcast.
U kunt een e-mail sturen naar tips@sophos.com, reageren op een van onze artikelen of u kunt ons bereiken op social: @NakedSecurity.
Dat is onze show voor vandaag; heel erg bedankt voor het luisteren.
Voor Paul Ducklin, ik ben Doug Aamoth, ik herinner je eraan tot de volgende keer om...
BEIDE. Blijf veilig!
[MUZIEK MODEM]
- Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
- Platoblockchain. Web3 Metaverse Intelligentie. Kennis versterkt. Toegang hier.
- Bron: https://nakedsecurity.sophos.com/2023/02/09/s3-ep121-can-you-get-hacked-and-then-prosecuted-for-it-audio-text/
- 000
- 2014
- 2021
- 2023
- 2FA
- a
- in staat
- Over
- Over Crypto
- over het
- absoluut
- misbruik
- ACCEPTEREN
- toegang
- Account
- accounts
- over
- werkelijk
- advies
- invloed hebben op
- Na
- tegen
- Alles
- beschuldigingen
- toestaat
- al
- in orde
- verbazingwekkend
- en
- Nog een
- iedereen
- overal
- Appartement
- gebruiken
- Apple
- argument
- arresteren
- gearresteerd
- dit artikel
- artikelen
- aanvallen
- audio
- auteur
- Overheid
- Automatisch
- Automatisering
- Baby winterjas
- terug
- Backdoors
- backup
- slecht
- Bank
- bankrekening
- omdat
- worden
- vaardigheden
- wezen
- geloofd wie en wat je bent
- onder
- Betere
- Groot
- Beetje
- Blok
- Blauw
- boek
- Boston
- dozen
- merk
- Brand New
- overtreding
- inbreuken
- Breken
- Breaking
- Brian
- buffer
- buffer overloop
- Bug
- bugs
- bouw
- bebouwd
- bulletin
- Bos
- buste
- Bellen
- Dit betekent dat we onszelf en onze geliefden praktisch vergiftigen.
- kan niet
- auto
- carrières
- geval
- katastrofisch
- ceo
- zeker
- zeker
- Voorzitter
- kans
- verandering
- veranderende
- lasten
- controle
- controleren
- kind
- Kinderen
- Kies
- klant
- Cloud
- cloud server
- code
- codering
- verzamelen
- COM
- hoe
- komst
- commentaar
- afstand
- vergelijken
- compleet
- ingewikkeld
- computer
- Configuratie
- doorlopend
- kon
- Land
- cursus
- Rechtbank
- barst
- gebarsten
- en je merk te creëren
- creëert
- Geloofsbrieven
- Misdrijf
- criminelen
- Crooks
- crypto
- cryptogeld
- cryptografische
- cryptomining
- CVE
- cybercrime
- Donker
- Dark Web
- gegevens
- Gegevensdoorbraken
- gegevensbeveiliging
- Database
- Datum
- dag
- transactie
- debat
- decennia
- beslist
- deep
- Standaard
- het definiëren van
- definitief
- verrukt
- eisen
- Afhankelijk
- implementeren
- Design
- ontworpen
- DEED
- anders
- Openbaren
- besproken
- Nee
- doen
- Dont
- dubbel-vrij
- Val
- elk
- aarde
- effectief
- anders'
- noodgeval
- versleutelde
- encryptie
- handhaving
- Engels
- Is gelijk aan
- Gelijkwaardig
- in wezen
- vastgoed
- etc
- Zelfs
- OOIT
- Alle
- alles
- precies
- voorbeeld
- ervaren
- Verklaren
- Exploiteren
- afpersing
- extra
- uitlevering
- naar
- Storing
- familie
- boeiend
- Kenmerk
- Februari
- bedacht
- Dien in
- Bestanden
- Filing
- VIND DE PLEK DIE PERFECT VOOR JOU IS
- einde
- afmaken
- Finland
- Voornaam*
- vast
- formulier
- Voormalig
- voormalig CEO
- gevonden
- Frankrijk
- Frans
- vrijdag
- vrienden
- oppompen van
- vol
- geheel
- leuke
- toekomst
- algemeen
- gegenereerde
- krijgen
- het krijgen van
- reus
- GitHub
- Geven
- gegeven
- Globaal
- Go
- God
- Goes
- gaan
- goed
- Kopen Google Reviews
- groot
- Kerel
- gehackt
- hacker
- Helft
- Behandeling
- gebeuren
- schadelijk
- hoofd
- gehoord
- hartverscheurend
- het helpen van
- helpt
- hier
- Verbergen
- Hoge
- geschiedenis
- Hit
- raken
- Gaten
- hoop
- in de hoop
- Populair
- HOURS
- Hoe
- HTTPS
- reusachtig
- ZIEK
- idee
- beeld
- onmetelijk
- uitvoeren
- belangrijk
- in
- omvatten
- inclusief
- omvat
- Inclusief
- informatie
- inzichten
- instantie
- verkrijgen in plaats daarvan
- integratie
- interessant
- Internationale
- onderzoek
- kwestie
- IT
- zelf
- Jackpot
- jargon
- Jobomschrijving:
- journalist
- springen
- Houden
- houden
- Soort
- blijven
- bekend
- Achternaam*
- Afgelopen jaar
- LastPass
- Laat
- lachen
- Wet
- politie
- leiden
- leidend
- Juridisch
- minder
- bliksem
- linux
- Lijst
- Het luisteren
- Elke kleine stap levert grote resultaten op!
- leven
- laden
- Kijk
- keek
- op zoek
- LOOKS
- Lords
- lot
- liefde
- machine
- maken
- maken
- malware
- management
- manager
- handmatig
- veel
- meester
- Materie
- Zaken
- middel
- mechanisme
- medisch
- Geheugen
- Bericht
- Midden
- macht
- minder
- fout
- geld
- meer
- beweging
- Muziek
- musical
- Naakte beveiliging
- Naakte beveiligingspodcast
- NATUUR
- nodig
- noodzakelijk
- Noodzaak
- nodig
- netwerk
- New
- nieuws
- volgende
- nacht
- normaal
- Opmerkingen
- Fictief
- aantal
- nummers
- officieel
- Oud
- EEN
- online.
- open
- open source
- open source projecten
- openssl
- Advies
- Overige
- verschuldigd
- het te bezitten.
- Parallel
- Park
- deel
- bijzonder
- vooral
- Wachtwoord
- Password Manager
- wachtwoorden
- Patch
- Patches
- patiënten
- Paul
- Betaal
- Mensen
- mensen
- misschien
- persoon
- ping
- plaats
- Eenvoudig
- Platte tekst
- plan
- Plato
- Plato gegevensintelligentie
- PlatoData
- Overvloed
- Podcast
- podcasts
- punt
- mogelijk
- Berichten
- potentieel
- de voorkeur geven
- aanwezigheid
- gevangenis
- privacy
- waarschijnlijk
- probleem
- problemen
- Product
- Producten
- Programma
- Programmeurs
- projecten
- beschermen
- beschermd
- bewezen
- zorgen voor
- biedt
- psychotherapie
- doel
- zetten
- Putting
- vraag
- Quick
- snel
- Race
- ransomware
- Lees
- Lezer
- lezing
- redenen
- ontvangen
- recent
- adviseren
- achteloos
- Regelgevers
- los
- niet vergeten
- verslag
- gemeld
- Rapporten
- antwoord
- resultaat
- Richard
- Risico
- risico's
- Roemenië
- wortel
- Root toegang
- ronde
- rss
- lopen
- lopend
- Zei
- dezelfde
- Bespaar
- scherm
- Ontdek
- Tweede
- secundair
- veiligheid
- op zoek naar
- lijkt
- segment
- verzending
- zin
- zin
- Diensten
- sessies
- reeks
- moet
- tonen
- Shows
- Eenvoudig
- eenvoudigweg
- single
- website
- Locaties
- Zittend
- Klein
- So
- Social
- sommige
- Iemand
- iets
- ergens
- Spoedig
- bron
- spam
- Spotify
- standalone
- standaard
- begin
- Start
- blijven
- Still
- gestolen
- Storm
- Verhaal
- eenvoudig
- sterkte
- sterker
- sterk
- voorleggen
- zeker
- verrassing
- opgeschort
- verdacht
- system
- Nemen
- Talk
- praat
- doelwit
- team
- teams
- tech
- Technisch
- Technologie
- De
- de wereld
- hun
- zich
- therapie
- ding
- spullen
- grondig
- gedachte
- drie
- Door
- niet de tijd of
- naar
- vandaag
- ook
- tools
- Tor
- in de richting van
- traditioneel
- Afschrift
- leiden
- moeite
- BEURT
- Gedraaid
- types
- die ten grondslag liggen
- begrijpen
- begrip
- bijwerken
- bijgewerkt
- URL
- us
- .
- gebruik-na-gratis
- Gebruiker
- versie
- Slachtoffer
- Virtueel
- virtuele machine
- vmware
- Stem
- kwetsbaarheden
- kwetsbaarheid
- Kwetsbaar
- wachten
- gezocht
- warrants
- manieren
- web
- websites
- week
- bekend
- Wat
- of
- welke
- WIE
- wil
- zonder
- woorden
- Mijn werk
- uitwerken
- Bedrijven
- wereld
- bezorgd
- waard
- zou
- schrijven
- code schrijven
- jaar
- jaar
- Your
- jezelf
- zephyrnet
- zoom