CZY MOŻESZ BYĆ ZHAKOWANY, A NASTĘPNIE ODPOWIEDZIALNY ZA TO?
kryptowaluta władcy zbrodni. Łaty bezpieczeństwa dla VMware, OpenSSH i OpenSSL. Przestępca medyczny Busted. Czy to jest pluskwa czy cecha?
Kliknij i przeciągnij poniższe fale dźwiękowe, aby przejść do dowolnego punktu. Również możesz słuchaj bezpośrednio na Soundcloudzie.
Z Dougiem Aamothem i Paulem Ducklinem
Muzyka intro i outro autorstwa Edyta Mudge.
Możesz nas posłuchać SoundCloud, Podcasty Apple, Podcasty Google, Spotify, Stitcher i wszędzie tam, gdzie można znaleźć dobre podcasty. Lub po prostu upuść URL naszego kanału RSS do swojego ulubionego podcatchera.
PRZECZYTAJ TRANSKRYPTU
DOUG. Łatki, poprawki i władcy zbrodni – o rany!
Aha, i jeszcze jeden menedżer haseł w wiadomościach.
Wszystko to i wiele więcej w podkaście Naked Security.
[MOM MUZYCZNY]
Witam wszystkich w podkaście.
Jestem Paul Ducklin; on jest Dougiem Aamothem…
..Myślę, że mam to od tyłu, Paul: *ja* jestem Doug Aamoth; *on* to Paul Ducklin.
Paul, lubimy zaczynać program od a W tym tygodniu w historii technologii Segment.
I chciałbym przedstawić coś z bardzo niedawnej historii.
W tym tygodniu, 06 lutego 2023 r., nasz własny Paul Ducklin…
KACZKA. [ZACHWYCONA] Woooooo!
DOUG. ...opublikował wywiad z dziennikarzem technologicznym Andy Greenberg o swojej nowej książce „Tracers in the Dark – the Global Hunt for the Crime Lords of Cryptocurrency”.
Posłuchajmy krótkiego klipu…
[MUZYCZNE żądło]
KACZKA PAWŁA. Z pewnością przez dziesięciolecia fascynowało powiedzenie, "Wiesz co? To szyfrowanie? To naprawdę bardzo, bardzo zły pomysł. Potrzebujemy tylnych drzwi. Musimy być w stanie to złamać, ktoś musi pomyśleć o dzieciach itd.
ANDY GREENBERG. Cóż, ciekawie jest mówić o backdoorach kryptograficznych i debacie prawnej na temat szyfrowania, którego nawet organy ścigania nie mogą złamać.
Myślę, że w pewnym sensie historia opisana w tej książce pokazuje, że często nie jest to konieczne.
To znaczy, przestępcy w tej książce używali tradycyjnego szyfrowania.
Używali Tora i Dark Web.
I nic z tego nie zostało złamane, aby ich zniszczyć.
[MUZYCZNE żądło]
KACZKA. Wiem, że bym to powiedział, Doug, ale zdecydowanie polecam tego posłuchać Podcast.
Lub, jeśli wolisz czytać, idź i przejrzyj transkrypcję, ponieważ…
… jak powiedziałem Andy'emu na końcu, rozmowa z nim była równie fascynująca, jak czytanie książki.
Całkowicie polecam tę książkę, a on ma niesamowity wgląd w rzeczy, takie jak kryptograficzne backdoory, które pochodzą nie tylko z opinii, ale także z przyjrzenia się, jak organy ścigania radziły sobie, najwyraźniej bardzo skutecznie, z cyberprzestępczością, bez konieczności deptania naszej prywatności, być może jako tyle, ile niektórzy uważają za konieczne.
Oto kilka fascynujących spostrzeżeń, Doug:
Tracers in the Dark: The Global Hunt for Crime Lords of Crypto
DOUG. Sprawdź to… to jest w standardzie Nagi kanał podcastów poświęconych bezpieczeństwu.
Jeśli otrzymujesz nasz podcast, powinien to być ten tuż przed tym.
A teraz przejdźmy do błyskawicznej rundy poprawek i aktualizacji.
Mamy OpenSSL. mamy VMware i mamy OpenSSH.
Zacznijmy VMware. Paweł:
Użytkownik VMWare? Martwisz się o „ESXi ransomware”? Sprawdź teraz swoje patche!
KACZKA. Wydaje mi się, że stało się to wielką historią z powodu biuletynu, który został opublikowany przez francuski CERT (Computer Emergency Response Team) w piątek zeszłego tygodnia.
Więc. czyli 03 lutego 2023 r.
Po prostu opowiedzieli, jak było: „Hej, w VMware ESXi są stare luki, które można było załatać w 2000 i 2021 roku, ale niektórzy tego nie zrobili i teraz oszuści ich wykorzystują. Niespodzianka, niespodzianka: efekt końcowy równa się ransomware”.
Nie do końca tak to ujęli… ale taki był cel biuletynu.
To przekształciło się w trochę burzy informacyjnej [GŁOS ZACHWYCONY]: „Och, nie! Gigantyczny błąd w VMware!”
Wygląda na to, że ludzie wnioskują: „O nie! Jest zupełnie nowy dzień zerowy! Lepiej wszystko wyrzucę i pójdę się rozejrzeć!
I pod pewnymi względami jest to gorsze niż dzień zerowy, ponieważ jeśli jesteś narażony na atak tego konkretnego butikowego cybergangu, kończący się oprogramowaniem ransomware…
…byłeś bezbronny przez dwa lata.
DOUG. Właściwie 730-dniowy…
KACZKA. Dokładnie!
Napisałem więc artykuł, aby wyjaśnić, na czym polega problem.
Zdekompilowałem również i przeanalizowałem złośliwe oprogramowanie, którego używali na końcu.
Ponieważ myślę, że wiele osób czytało w tej historii: „Wow, w VMware jest duży błąd, który prowadzi do oprogramowania ransomware. Więc jeśli jestem załatany, nie muszę nic robić, a oprogramowanie ransomware się nie pojawi”.
Problem polega na tym, że te dziury można zasadniczo wykorzystać do uzyskania dostępu do roota na urządzeniach ESXi, gdzie oszuści nie muszą używać oprogramowania ransomware.
Mogą kraść dane, wysyłać spam, keyloggery, wydobywać kryptowaluty, {wstaw tutaj najmniej lubianą cyberprzestępczość}.
A narzędzie ransomware, którego używają ci oszuści, które jest częściowo zautomatyzowane, ale może być używane ręcznie, to samodzielny szyfrator plików, który został zaprojektowany do szybkiego szyfrowania naprawdę dużych plików.
Więc nie są w pełni zaszyfrowane – skonfigurowali to tak, że szyfruje megabajt, pomija 99 MB, szyfruje megabajt, pomija 99 MB…
… więc przejdzie przez wielogigabajtowy, a nawet terabajtowy VMDK (plik obrazu maszyny wirtualnej) naprawdę, bardzo szybko.
I mają skrypt, który uruchamia to narzędzie szyfrujące dla każdego znalezionego obrazu VMware, wszystko równolegle.
Oczywiście każdy może wdrożyć to konkretne narzędzie *bez włamywania się przez lukę w zabezpieczeniach VMware*.
Tak więc, jeśli nie masz łatki, niekoniecznie kończy się to oprogramowaniem ransomware.
A jeśli jesteś załatany, nie jest to jedyny sposób, w jaki oszuści mogą się dostać.
Warto więc zapoznać się z zagrożeniami związanymi z tym oprogramowaniem ransomware i sposobami obrony przed nim.
DOUG. Ok bardzo dobrze.
Wtedy mamy pokeable podwójny błąd pamięci w OpenSSH.
To zabawne, mówiąc…
OpenSSH naprawia błąd podwójnej wolnej pamięci, który można przechwycić przez sieć
KACZKA. Tak jest, Doug.
Pomyślałem: „Zrozumienie tego jest całkiem zabawne”, więc napisałem to w Naked Security, aby pomóc ci zrozumieć ten żargon związany z błędami związanymi z pamięcią.
To dość ezoteryczny problem (prawdopodobnie nie wpłynie na ciebie, jeśli używasz OpenSSH), ale nadal uważam, że to interesująca historia, ponieważ [A], ponieważ zespół OpenSSH zdecydował, że ujawnią to w swoich informacjach o wydaniu: „To nie ma numeru CVE, ale i tak to działa tak”, a [B] to świetne przypomnienie, że błędy zarządzania pamięcią, szczególnie podczas kodowania w C, mogą się przytrafić nawet doświadczonym programistom.
To jest double-free, czyli przypadek, w którym kończysz z blokiem pamięci, więc oddajesz go z powrotem systemowi i mówisz: „Możesz to przekazać innej części mojego programu. Skończyłem z tym."
A potem, później, zamiast ponownie używać tego samego bloku po tym, jak się poddałeś (co byłoby oczywiście złe), ponownie oddajesz wspomnienie.
I to brzmi jak: „Cóż, co się stało? Tylko się upewniasz.
To tak, jakby wbiec z parkingu do mieszkania, podejść i sprawdzić: „Czy naprawdę wyłączyłem piekarnik?”
Nie ma znaczenia, czy wrócisz i to jest wyłączone; ma znaczenie tylko wtedy, gdy wrócisz i stwierdzisz, że go nie wyłączyłeś.
Więc co jest złego w podwójnie wolnym?
Problem polega oczywiście na tym, że może to zdezorientować system leżący u jego podstaw, co może doprowadzić do tego, że czyjaś pamięć stanie się niewłaściwa lub niewłaściwa w zarządzaniu w sposób, który oszuści mogliby wykorzystać.
Więc jeśli nie rozumiesz, jak to wszystko działa, myślę, że jest to interesująca, a może nawet ważna lektura…
… mimo że błąd jest dość ezoteryczny i, o ile nam wiadomo, nikt jeszcze nie wymyślił sposobu na jego wykorzystanie.
DOUG. Ostatnim, ale z pewnością nie mniej ważnym, jest wysoka dotkliwość błąd związany z kradzieżą danych w OpenSSL, który został naprawiony.
I zachęcam ludzi, jeśli jesteście tacy jak ja, dość technicznych, ale niechętnych żargonowi…
…oficjalne notatki są pełne żargonu, ale Paul, wykonujesz mistrzowską robotę, tłumacząc ten żargon na prosty angielski.
W tym dynamitowe wyjaśnienie, jak działają błędy pamięci, w tym: dereferencja NULL, dereferencja nieprawidłowego wskaźnika, przepełnienie bufora odczytu, użycie po zwolnieniu, podwójne zwolnienie (o czym właśnie mówiliśmy) i więcej:
OpenSSL naprawia błąd związany z kradzieżą danych o wysokim stopniu ważności – łatka teraz!
KACZKA. [PAUZA] Cóż, trochę mnie zaniemówiłeś, Doug.
Dziękuję bardzo za miłe słowa.
Napisałem to dla… Chciałem powiedzieć z dwóch powodów, ale jakby z trzech powodów.
Po pierwsze, OpenSSH i OpenSSL to dwie zupełnie różne rzeczy – to dwa zupełnie różne projekty open source prowadzone przez różne zespoły – ale oba są bardzo szeroko stosowane.
Tak więc w szczególności błąd OpenSSL prawdopodobnie dotyczy ciebie gdzieś w twojej posiadłości IT, ponieważ jakiś produkt, który gdzieś masz, prawie na pewno go zawiera.
A jeśli masz dystrybucję Linuksa, dystrybucja prawdopodobnie zapewnia również własną wersję – mój Linux został zaktualizowany tego samego dnia, więc chcesz iść i sprawdzić sam.
Chciałem więc uświadomić ludziom nowe numery wersji.
I, jak powiedzieliśmy, było tam zawrotny ładunek żargonu, który moim zdaniem warto wyjaśnić… dlaczego nawet małe rzeczy mają znaczenie.
I jest jeden błąd o wysokiej wadze. (nie będę tłumaczyć pomyłka typu tutaj - przejdź do artykułu, jeśli chcesz trochę analogii, jak to działa.)
I jest to przypadek, w którym atakujący może po prostu być w stanie wywołać coś, co wydaje się całkowicie niewinnymi porównaniami pamięci, w których po prostu porównuje ten bufor pamięci z tym buforem pamięci…
…ale źle kierują jeden z buforów i oto mogą dowiedzieć się, co jest w *twoim* buforze, porównując to ze znanymi rzeczami, które umieścili w *swoim*.
Teoretycznie można nadużyć takiego błędu w sposób, który można nazwać Heartbleed.
Jestem pewien, że wszyscy pamiętamy, że jeśli nasza kariera w IT sięga 2014 roku lub wcześniej – to Błąd Heartbleed w OpenSSL, gdzie klient mógł wysłać polecenie ping do serwera i zapytać: „Czy jeszcze żyjesz?”
„Ból serca” – czy NAPRAWDĘ powinieneś od razu zmienić wszystkie swoje hasła?
I wysyłałoby wiadomość zwrotną zawierającą do 64 kilobajtów dodatkowych danych, które prawdopodobnie przez pomyłkę zawierały tajemnice innych osób.
I to jest problem z błędami wycieku pamięci lub potencjalnymi błędami wycieku pamięci w produktach kryptograficznych.
Z założenia mają o wiele więcej do ukrycia niż tradycyjne programy!
Więc idź i przeczytaj to i zdecydowanie załataj tak szybko, jak to możliwe.
DOUG. Nie mogę uwierzyć, że Heartbleed było w 2014 roku.
Wygląda na to… Kiedy to wyszło na jaw, miałam tylko jedno dziecko, które było niemowlęciem, a teraz mam jeszcze dwoje.
KACZKA. A jednak wciąż o tym rozmawiamy…
DOUG. Poważnie!
KACZKA. …jako definiujące przypomnienie, dlaczego zwykłe przepełnienie bufora odczytu może być dość katastrofalne.
Ponieważ wiele osób ma tendencję do myślenia: „Och, cóż, z pewnością jest to o wiele mniej szkodliwe niż przepełnienie bufora *zapisu*, w którym mógłbym wstrzyknąć kod powłoki lub zmienić zachowanie programu?”
Z pewnością, gdybym mógł po prostu czytać różne rzeczy, no cóż, mógłbym poznać twoje sekrety… to źle, ale nie pozwala mi to uzyskać uprawnień administratora i przejąć twojej sieci.
Ale jak pokazało wiele niedawnych naruszeń danych, czasami możliwość odczytania rzeczy z jednego serwera może ujawnić tajemnice, które pozwolą ci zalogować się na kilka innych serwerów i robić znacznie bardziej niegrzeczne rzeczy!
DOUG. Cóż, to świetna opowieść o niegrzecznych rzeczach i sekretach.
Mamy aktualizację historii z Naga przeszłość Security.
Być może pamiętasz historię z końca zeszłego roku o tym, jak ktoś włamał się do firmy psychoterapeutycznej i ukradł kilka transkrypcji sesji terapeutycznych, a następnie wykorzystał te informacje do wyłudzenia pacjentów tej firmy.
Cóż, uciekł… i był sprawiedliwy niedawno aresztowany we Francji:
Fiński podejrzany o wymuszenie psychoterapii aresztowany we Francji
KACZKA. To była naprawdę paskudna zbrodnia.
Nie tylko włamał się do firmy i ukradł masę danych.
Włamał się do firmy *psychoterapeutycznej* i, niestety, ta firma była całkowicie zaniedbana, jeśli chodzi o bezpieczeństwo danych.
W rzeczywistości ich były dyrektor generalny ma kłopoty z władzami pod zarzutami, które same mogą zakończyć się wyrokiem więzienia, ponieważ po prostu mieli te wszystkie dynamitowe informacje, które naprawdę byli winni chronić swoim pacjentom, i nie zrobili tego.
Najwyraźniej umieścili go na serwerze w chmurze z domyślnym hasłem, gdzie oszust natknął się na to.
Ale to charakter tego, jak doszło do naruszenia, był naprawdę okropny.
Szantażował firmę… Wydaje mi się, że powiedział: „Chcę 450,000 XNUMX euro albo ujawnię wszystkie dane”.
I oczywiście firma trzymała w tej sprawie schtumm – dlatego organy regulacyjne zdecydowały się również ścigać firmę.
Milczeli na ten temat, mając nadzieję, że nikt się nigdy nie dowie, a oto pojawia się ten facet i mówi: „Zapłać nam pieniądze, bo inaczej”.
Cóż, nie zamierzali mu zapłacić.
Nie było sensu: miał już randkę i już robił z nią złe rzeczy.
I tak, jak mówisz, oszuści zdecydowali: „Cóż, jeśli nie mogę wyciągnąć 450,000 200 euro z firmy, dlaczego nie spróbuję uderzyć do każdej osoby, która przeszła psychoterapię, po XNUMX euro od każdej?”
Według znanego dziennikarza zajmującego się cyberprzestępczością, Briana Krebsa, jego notatka o wymuszeniu brzmiała: „Masz 24 godziny, aby zapłacić mi 200 euro. W takim razie dam ci 48 godzin na zapłacenie 500 euro. A jeśli nie odezwiesz się przez 72 godziny, powiem twoim przyjaciołom, rodzinie i każdemu, kto chce wiedzieć, co powiedziałeś”.
Ponieważ te dane zawierały transkrypcje, Doug.
Dlaczego, u licha, w ogóle domyślnie przechowywali te rzeczy?
Nigdy tego nie zrozumiem.
Jak mówisz, uciekł z kraju i został aresztowany „zaocznie” przez Finów; co umożliwiło im wydanie międzynarodowego nakazu aresztowania.
W każdym razie teraz stawia czoła muzyce we Francji, gdzie oczywiście Francuzi starają się o jego ekstradycję do Finlandii, a Finowie chcą postawić go przed sądem.
Najwyraźniej ma formę [odpowiednik w USA: przeorzy] dla tego. Doug.
Był już wcześniej skazany za cyberprzestępstwa, ale wtedy był nieletni.
Wierzę, że ma teraz 25 lat; wtedy miał 17 lat, więc dostał drugą szansę.
Dostał wyrok w zawieszeniu i niewielką grzywnę.
Ale jeśli te zarzuty są prawdziwe, myślę, że wielu z nas podejrzewa, że tym razem nie ujdzie mu tak łatwo, jeśli zostanie skazany.
DOUG. Jest to więc dobre przypomnienie, że możesz być – jeśli jesteś taki jak ta firma – zarówno ofiarą, jak i winowajcą.
I jeszcze jedno przypomnienie, że musisz mieć plan.
Mamy więc kilka porad na końcu artykułu, zaczynając od: Przećwicz, co zrobisz, jeśli sam doznasz naruszenia.
Musisz mieć plan!
KACZKA. Absolutnie.
Nie da się tego nadrobić na bieżąco, bo po prostu nie będzie czasu.
DOUG. A także, jeśli jesteś osobą, na którą ma wpływ coś takiego: Rozważ złożenie raportu, ponieważ pomaga to w dochodzeniu.
KACZKA. Rzeczywiście tak jest.
Rozumiem, że w tym przypadku wiele osób, które otrzymały żądania wymuszenia, *poszło* do władz i powiedziało: „To przyszło niespodziewanie. To jest jak bycie napadniętym na ulicy! Co zamierzasz z tym zrobić?
Władze powiedziały: „Świetnie, zbierzmy raporty”, a to oznacza, że mogą stworzyć lepszą sprawę i mocniejsze argumenty za czymś takim jak ekstradycja.
DOUG. Dobrze, bardzo dobrze.
Nasz program zakończymy słowami: „Kolejny tydzień, kolejny menedżer haseł na gorącym miejscu”.
Tym razem to KeePass.
Ale to konkretne zamieszanie nie jest takie proste, Paul:
Kradnąca hasła „luka” zgłoszona w KeePass – błąd czy funkcja?
KACZKA. Właściwie, Doug, myślę, że można powiedzieć, że jest to bardzo proste… i jednocześnie niezwykle skomplikowane. [ŚMIECH]
DOUG. [ŚMIECH] OK, porozmawiajmy o tym, jak to właściwie działa.
Sama funkcja jest rodzajem funkcji automatyzacji, typu skryptowego…
KACZKA. „Trigger” to termin, którego należy szukać – tak to nazywają.
Na przykład, kiedy zapisujesz plik bazy danych [KeePass] (być może zaktualizowałeś hasło lub wygenerowałeś nowe konto i kliknąłeś przycisk zapisz), czy nie byłoby miło, gdybyś mógł zadzwonić własny skrypt, który synchronizuje te dane z kopią zapasową w chmurze?
Zamiast próbować pisać kod w KeePass, aby poradzić sobie z każdym możliwym systemem przesyłania do chmury na świecie, dlaczego nie zapewnić mechanizmu, w którym ludzie mogą go dostosować, jeśli chcą?
Dokładnie tak samo, gdy próbujesz użyć hasła… mówisz: „Chcę skopiować to hasło i użyć go”.
Czy nie byłoby miło, gdybyś mógł wywołać skrypt, który pobiera kopię hasła w postaci zwykłego tekstu, aby mógł go użyć do zalogowania się na konta, które nie są tak proste, jak umieszczenie danych w formularzu internetowym, który jest włączony twój ekran?
Może to być coś w rodzaju konta GitHub, konta Continuous Integration lub cokolwiek innego.
Tak więc te elementy nazywane są „wyzwalaczami”, ponieważ zostały zaprojektowane tak, aby uruchamiały się, gdy produkt wykonuje określone czynności.
A niektóre z tych rzeczy – nieuchronnie, ponieważ jest to menedżer haseł – zajmują się obsługą haseł.
Negatywni uważają, że „Och, cóż, te wyzwalacze są zbyt łatwe do skonfigurowania, a dodanie wyzwalacza nie jest chronione hasłem zabezpieczającym przed manipulacją”.
Musisz wprowadzić hasło główne, aby uzyskać dostęp do swoich haseł, ale nie musisz wprowadzać hasła głównego, aby uzyskać dostęp do pliku konfiguracyjnego, aby uzyskać dostęp do haseł.
Myślę, że stąd właśnie biorą się przeciwnicy.
A inni ludzie mówią: „Wiesz co? Muszą uzyskać dostęp do pliku konfiguracyjnego. Jeśli to mają, już jesteś w poważnych tarapatach!”
DOUG. „Ludzie” obejmują KeePass, który mówi: „Ten program nie jest skonfigurowany do obrony przed kimś [ŚMIECH], który siedzi na twoim krześle, kiedy jesteś już zalogowany do swojej maszyny i aplikacji”.
KACZKA. W rzeczy samej.
A ja myślę, że prawda leży pewnie gdzieś pośrodku.
Widzę argument dlaczego, skoro hasła mają być chronione hasłem głównym… dlaczego nie chronicie również pliku konfiguracyjnego?
Ale zgadzam się też z ludźmi, którzy mówią: „Wiesz co? Jeśli zalogowali się na twoje konto i są na twoim komputerze i są już tobą, to już w pewnym sensie zająłeś drugie miejsce w wyścigu”.
Więc nie rób tego!
DOUG. [ŚMIECH] OK, więc jeśli trochę pomniejszymy tę historię…
… Czytelnik Naked Security, Richard, pyta:
Czy menedżer haseł, bez względu na to, który z nich, jest pojedynczym punktem awarii? Z założenia jest to cel o wysokiej wartości dla hakera. A obecność jakiejkolwiek luki w zabezpieczeniach umożliwia atakującemu zdobycie każdego hasła w systemie, niezależnie od nominalnej siły tych haseł.
Myślę, że to pytanie zadaje sobie teraz wiele osób.
KACZKA. W pewnym sensie, Doug, to pytanie bez odpowiedzi.
Trochę jak ten „wyzwalacz” w pliku konfiguracyjnym w KeePass.
Czy to błąd, czy jest to funkcja, czy też musimy zaakceptować, że jest to trochę jedno i drugie?
Myślę, że jak powiedział inny komentator tego samego artykułu, jest problem z powiedzeniem: „Menedżer haseł to pojedynczy punkt awarii, więc nie zamierzam go używać. To, co zrobię, to wymyślę *jedno* naprawdę, bardzo skomplikowane hasło i będę go używać we wszystkich moich witrynach.
Tak właśnie robi wiele osób, które nie używają menedżera haseł… i zamiast być *potencjalnym* pojedynczym punktem awarii, tworzy to coś, co jest dokładnie, absolutnie *i już* pojedynczym punktem awarii.
Dlatego menedżer haseł jest z pewnością mniejszym złem.
I myślę, że jest w tym dużo prawdy.
DOUG. Tak, powiedziałbym, że myślę, że *może* to być pojedynczy punkt awarii, w zależności od rodzaju kont, które prowadzisz.
Ale w przypadku wielu usług nie jest to i nie powinno być pojedynczym punktem *całkowitej* awarii.
Na przykład, jeśli moje hasło bankowe zostanie skradzione i ktoś zaloguje się na moje konto bankowe, mój bank zobaczy, że loguje się z drugiego końca świata i powie: „Wow! Poczekaj sekundę! To wygląda dziwnie.
I zadają mi pytanie bezpieczeństwa lub wyślą mi e-mail z dodatkowym kodem, który muszę wprowadzić, nawet jeśli nie jestem skonfigurowany do 2FA.
Większość moich ważnych kont… Nie przejmuję się tak bardzo tymi danymi uwierzytelniającymi, ponieważ byłby to automatyczny drugi czynnik, przez który musiałbym przeskoczyć, ponieważ login wyglądałby podejrzanie.
I mam nadzieję, że technologia stanie się tak łatwa do wdrożenia, że każda witryna, która przechowuje jakiekolwiek dane, ma wbudowane pytanie: „Dlaczego ta osoba loguje się z Rumunii w środku nocy, kiedy normalnie jest w Bostonie?”
Wiele z tych zabezpieczeń jest dostępnych dla dużych ważnych rzeczy, które możesz przechowywać online, więc mam nadzieję, że w tym sensie nie musi to być pojedynczy punkt awarii.
KACZKA. To świetna uwaga, Doug, i myślę, że to trochę ilustruje, że istnieje, jeśli chcesz, palące pytanie za pytaniem, a mianowicie: „Po co nam tak wiele haseł?”
I być może jednym ze sposobów zmierzania w kierunku przyszłości bez haseł jest po prostu umożliwienie ludziom korzystania ze stron internetowych, na których mogą *nie* mieć (cytaty lotnicze) „gigantycznej wygody” polegającej na konieczności założenia konta w pierwszej kolejności.
DOUG. [GUMOWY ŚMIECH] Jak rozmawialiśmy, dotknęło mnie naruszenie LastPass i spojrzałem na moją gigantyczną listę haseł i powiedziałem: „O mój Boże, muszę zmienić te wszystkie hasła!”
Jak się okazuje, musiałem *zmienić* połowę tych haseł, a co gorsza, musiałem *anulować* drugą połowę tych kont, ponieważ miałem tam tak wiele kont…
…tylko za to, co powiedziałeś; „Muszę założyć konto, aby uzyskać dostęp do czegoś na tej stronie”.
I nie wszystkie są po prostu „kliknij i anuluj”.
Niektóre, musisz zadzwonić.
Niektórzy muszą z kimś porozmawiać na czacie na żywo.
To było o wiele bardziej uciążliwe niż zmiana kilku haseł.
Ale zachęcam ludzi, niezależnie od tego, czy korzystasz z menedżera haseł, czy nie, przyjrzyj się samej liczbie posiadanych kont i usuń te, których już nie używasz!
KACZKA. Tak.
W trzech słowach „mniej znaczy więcej”.
DOUG. Absolutnie!
W porządku, dziękuję bardzo, Richard, za przesłanie tego.
Jeśli masz ciekawą historię, komentarz lub pytanie, które chciałbyś przesłać, chętnie przeczytamy o tym w podkaście.
Możesz wysłać e-maila na adres tips@sophos.com, skomentować dowolny z naszych artykułów lub napisać do nas w serwisie społecznościowym: @NakedSecurity.
To nasz program na dzisiaj; bardzo dziękuję za wysłuchanie.
Dla Paula Ducklina jestem Doug Aamoth i przypominam do następnego razu…
OBIE. Bądź bezpieczny!
[MOM MUZYCZNY]
- Dystrybucja treści i PR oparta na SEO. Uzyskaj wzmocnienie już dziś.
- Platoblockchain. Web3 Inteligencja Metaverse. Wzmocniona wiedza. Dostęp tutaj.
- Źródło: https://nakedsecurity.sophos.com/2023/02/09/s3-ep121-can-you-get-hacked-and-then-prosecuted-for-it-audio-text/
- 000
- 2014
- 2021
- 2023
- 2FA
- a
- Zdolny
- O nas
- O krypto
- o tym
- absolutnie
- nadużycie
- Akceptuj
- dostęp
- Konto
- Konta
- w poprzek
- faktycznie
- Rada
- oddziaływać
- Po
- przed
- Wszystkie kategorie
- Zarzuty
- pozwala
- już
- W porządku
- zdumiewający
- i
- Inne
- ktoś
- nigdzie
- Apartament
- Aplikacja
- Apple
- argument
- aresztować
- aresztowany
- artykuł
- towary
- atakować
- audio
- autor
- Władze
- automatycznie
- Automatyzacja
- Niemowlę
- z powrotem
- Backdoory
- backup
- Łazienka
- Bank
- konto bankowe
- bo
- staje
- zanim
- jest
- uwierzyć
- poniżej
- Ulepsz Swój
- Duży
- Bit
- Blokować
- Niebieski
- książka
- boston
- Skrzynki
- marka
- Brand New
- naruszenie
- naruszenia
- przerwa
- Przełamując
- Brian
- bufor
- przepełnienie bufora
- Bug
- błędy
- budować
- wybudowany
- biuletyn
- Pęczek
- biust
- przycisk
- wezwanie
- nazywa
- nie może
- wózek
- kariery
- walizka
- katastrofalny
- ceo
- pewien
- na pewno
- Krzesło
- szansa
- zmiana
- wymiana pieniędzy
- Opłaty
- ZOBACZ
- kontrola
- dziecko
- Dzieci
- Dodaj
- klient
- Chmura
- serwer w chmurze
- kod
- Kodowanie
- zbierać
- COM
- jak
- przyjście
- komentarz
- sukcesy firma
- porównanie
- całkowicie
- skomplikowane
- komputer
- systemu
- ciągły
- mógłby
- kraj
- kurs
- Boisko
- pęknięcie
- pęknięty
- Stwórz
- tworzy
- Listy uwierzytelniające
- Przestępstwo
- przestępcy
- Crooks
- Crypto
- kryptowaluta
- kryptograficzny
- Wydobywanie kryptowalut
- cve
- cyberprzestępczość
- Ciemny
- Mroczny WWW
- dane
- Naruszenie danych
- bezpieczeństwo danych
- Baza danych
- Data
- dzień
- sprawa
- debata
- lat
- postanowiła
- głęboko
- Domyślnie
- definiowanie
- Zdecydowanie
- zachwycony
- wymagania
- W zależności
- rozwijać
- Wnętrze
- zaprojektowany
- ZROBIŁ
- różne
- Ujawniać
- omówione
- Nie
- robi
- nie
- podwójnie wolny
- Spadek
- każdy
- Ziemia
- faktycznie
- Inaczej
- nagły wypadek
- szyfrowane
- szyfrowanie
- egzekwowanie
- Angielski
- Równa się
- Równoważny
- istotnie
- majątek
- itp
- Parzyste
- EVER
- Każdy
- wszystko
- dokładnie
- przykład
- doświadczony
- Wyjaśniać
- Wykorzystać
- wymuszenie
- dodatkowy
- ekstradycja
- okładzina
- Brak
- członków Twojej rodziny
- fascynujący
- Cecha
- luty
- wzorzysty
- filet
- Akta
- Złożenie
- Znajdź
- w porządku
- koniec
- Finlandia
- i terminów, a
- ustalony
- Nasz formularz
- Dawny
- były dyrektor generalny
- znaleziono
- Francja
- francuski
- Piątek
- przyjaciele
- od
- pełny
- w pełni
- zabawa
- przyszłość
- ogólnie
- wygenerowane
- otrzymać
- miejsce
- gigant
- GitHub
- Dać
- dany
- Globalne
- Go
- Dobry
- Goes
- będzie
- dobry
- wspaniały
- Facet
- hacked
- haker
- Pół
- Prowadzenie
- zdarzyć
- szkodliwy
- głowa
- wysłuchany
- bicie serca
- pomoc
- pomaga
- tutaj
- Ukryj
- Wysoki
- historia
- Dobranie (Hit)
- uderzanie
- Dziury
- nadzieję
- nadzieję
- HOT
- GODZINY
- W jaki sposób
- HTTPS
- olbrzymi
- CHORY
- pomysł
- obraz
- niezmiernie
- wdrożenia
- ważny
- in
- zawierać
- włączony
- obejmuje
- Włącznie z
- Informacja
- spostrzeżenia
- przykład
- zamiast
- integracja
- ciekawy
- na świecie
- śledztwo
- problem
- IT
- samo
- Jackpot
- żargon
- Praca
- dziennikarz
- skok
- Trzymać
- konserwacja
- Uprzejmy
- Wiedzieć
- znany
- Nazwisko
- Ostatni rok
- LastPass
- Późno
- śmiać się
- Prawo
- egzekwowanie prawa
- prowadzić
- prowadzący
- Regulamin
- pomniejszy
- błyskawica
- linux
- Lista
- Słuchanie
- mało
- relacja na żywo
- załadować
- Popatrz
- wyglądał
- poszukuje
- WYGLĄD
- Lords
- Partia
- miłość
- maszyna
- robić
- Dokonywanie
- malware
- i konserwacjami
- kierownik
- ręcznie
- wiele
- mistrz
- Materia
- Matters
- znaczy
- mechanizm
- medyczny
- Pamięć
- wiadomość
- Środkowy
- może
- moll
- błąd
- pieniądze
- jeszcze
- ruch
- Muzyka
- musical
- Nagie bezpieczeństwo
- Nagi podcast o bezpieczeństwie
- Natura
- koniecznie
- niezbędny
- Potrzebować
- potrzeba
- sieć
- Nowości
- aktualności
- Następny
- noc
- normalnie
- Uwagi
- Pojęciowy
- numer
- z naszej
- urzędnik
- Stary
- ONE
- Online
- koncepcja
- open source
- projekty open source
- openssl
- Opinia
- Inne
- należny
- własny
- Parallel
- Park
- część
- szczególny
- szczególnie
- Hasło
- Password Manager
- hasła
- Łata
- Łatki
- pacjenci
- Paweł
- Zapłacić
- Ludzie
- Ludzie na
- może
- osoba
- świst
- Miejsce
- Równina
- zwykły tekst
- krok po kroku
- plato
- Analiza danych Platona
- PlatoDane
- Volcano Plenty Vaporizer Storz & Bickel
- Podcast
- Podcasty
- punkt
- możliwy
- Wiadomości
- potencjał
- woleć
- obecność
- więzienie
- prywatność
- prawdopodobnie
- Problem
- problemy
- Produkt
- Produkty
- Program
- Programiści
- projektowanie
- chronić
- chroniony
- okazały
- zapewniać
- zapewnia
- psychoterapia
- cel
- położyć
- Putting
- pytanie
- Szybki
- szybko
- Wyścig
- ransomware
- Czytaj
- Czytelnik
- Czytający
- Przyczyny
- Odebrane
- niedawny
- polecić
- Bez względu
- Regulatory
- zwolnić
- pamiętać
- raport
- Zgłoszone
- Raporty
- odpowiedź
- dalsze
- Richard
- Ryzyko
- ryzyko
- Rumunia
- korzeń
- Dostęp administratora
- okrągły
- rss
- run
- bieganie
- Powiedział
- taki sam
- Zapisz
- Ekran
- Szukaj
- druga
- wtórny
- bezpieczeństwo
- poszukuje
- wydaje
- segment
- wysyłanie
- rozsądek
- wyrok
- Usługi
- Sesje
- zestaw
- powinien
- pokazać
- Targi
- Prosty
- po prostu
- pojedynczy
- witryna internetowa
- Witryny
- Siedzący
- mały
- So
- Obserwuj Nas
- kilka
- Ktoś
- coś
- gdzieś
- Wkrótce
- Źródło
- spam
- Spotify
- standalone
- standard
- początek
- Startowy
- pobyt
- Nadal
- skradziony
- burza
- Historia
- bezpośredni
- jest determinacja.
- silniejszy
- strongly
- Zatwierdź
- na pewno
- niespodzianka
- zawieszony
- podejrzliwy
- system
- Brać
- Mówić
- rozmawiać
- cel
- zespół
- Zespoły
- tech
- Techniczny
- Technologia
- Połączenia
- świat
- ich
- sami
- terapia
- rzecz
- rzeczy
- całkowicie
- myśl
- trzy
- Przez
- czas
- do
- już dziś
- także
- narzędzie
- Tor
- w kierunku
- tradycyjny
- Transkrypcja
- wyzwalać
- kłopot
- SKRĘCAĆ
- Obrócony
- typy
- zasadniczy
- zrozumieć
- zrozumienie
- Aktualizacja
- zaktualizowane
- URL
- us
- posługiwać się
- używać po wolnym
- Użytkownik
- wersja
- Ofiara
- Wirtualny
- Maszyna wirtualna
- vmware
- Głos
- Luki w zabezpieczeniach
- wrażliwość
- Wrażliwy
- czekać
- poszukiwany
- Nakaz
- sposoby
- sieć
- strony internetowe
- tydzień
- znane
- Co
- czy
- który
- KIM
- będzie
- bez
- słowa
- Praca
- odrobić
- działa
- świat
- zmartwiony
- wartość
- by
- napisać
- pisać kod
- rok
- lat
- Twój
- siebie
- zefirnet
- zoom