WIR PERSPEKTYWNY PYTHONA
Nie ma odtwarzacza audio poniżej? Słuchać bezpośrednio na Soundcloudzie.
Z Dougiem Aamothem i Paulem Ducklinem. Muzyka intro i outro autorstwa Edyta Mudge.
Możesz nas posłuchać SoundCloud, Podcasty Apple, Podcasty Google, Spotify, Stitcher i wszędzie tam, gdzie można znaleźć dobre podcasty. Lub po prostu upuść URL naszego kanału RSS do swojego ulubionego podcatchera.
PRZECZYTAJ TRANSKRYPTU
DOUG. Cyberprzestępczość po cyberprzestępczości, kilka aktualizacji Apple i atak na repozytorium kodu źródłowego.
Wszystko to i wiele więcej w podkaście Naked Security.
[MOM MUZYCZNY]
Witam wszystkich w podkaście.
Jestem Doug Aamoth; to jest Paul Ducklin.
Paul, jak się masz?
KACZKA. Bardzo dobrze dziękuję. Douglasa!
Czy to było wystarczająco radosne?
DOUG. To było całkiem dobre.
Na przykład 7/10 w skali szczęścia, co jest całkiem niezłą bazą.
KACZKA. Och, chciałem, żeby to było wyższe niż to.
To co powiedziałem plus 2.5/10.
DOUG. [Przesadzone zdumienie] Och, Paul, brzmisz świetnie!
KACZKA. [ŚMIECH] Dziękuję, Doug.
DOUG. Cóż, to może podnieść cię do 10/10, a potem… W tym tygodniu w historii technologii.
22 maja 1973 r. w Centrum Badawczym Xerox Palo Alto [PARC] badacz Robert Metcalfe napisał notatkę proponującą nowy sposób łączenia komputerów.
Zainspirowana swoim prekursorem, AlohaNetem, który Metcalfe badał w ramach swojej rozprawy doktorskiej, nowa technologia zostałaby nazwana Ethernet, co jest ukłonem w stronę substancji „świecącego eteru”, o której kiedyś uważano, że jest medium do propagacji fal świetlnych.
KACZKA. Z pewnością był dużo szybszy niż 160 KB, jednostronne dyskietki o pojedynczej gęstości! [ŚMIECH]
DOUG. Mogło być gorzej!
W każdym razie, mówiąc o „gorszych” i „złych”, mamy naszą pierwszą aktualizację kryminalną tego dnia.
USA oferuje ok Nagroda w wysokości 10 milionów dolarów dla rosyjskiego podejrzanego o ransomware.
To dużo pieniędzy, Paul!
Ten facet musiał zrobić coś bardzo złego.
Oświadczenie DOJ:
[Ta osoba i jego współspiskowcy] rzekomo używali tego typu oprogramowania ransomware do atakowania tysięcy ofiar w Stanach Zjednoczonych i na całym świecie. Ofiary te obejmują organy ścigania i inne agencje rządowe, szpitale i szkoły.
Łączne żądania okupu rzekomo wystosowane przez członków tych trzech globalnych kampanii ransomware do ich ofiar wynoszą aż 400 milionów dolarów, podczas gdy łączna suma płatności okupu ofiar wynosi aż 200 milionów dolarów.
Wielkie ataki… dużo pieniędzy przechodzi tutaj z rąk do rąk, Paul.
KACZKA. Kiedy próbujesz wyśledzić kogoś, kto robi nikczemne rzeczy za granicą i myślisz: „Jak, u licha, mamy to zrobić? Tutaj nigdy nie pojawią się w sądzie”…
Może po prostu zaoferujemy jakiś brudny zysk ludziom w kraju tej innej osoby, a ktoś go wyda?
A jeśli oferują 10 milionów dolarów (cóż, to maksimum, jakie możesz dostać), muszą być bardzo chętni.
I rozumiem, że w tym przypadku jest to powód, dla którego są tak entuzjastycznie nastawieni, że ten konkretny podejrzany jest oskarżony o bycie, jeśli nie sercem i duszą, to przynajmniej jedną z tych dwóch rzeczy dla trzech różnych szczepów oprogramowania ransomware: LockBit, Hive i Babuka.
Babuk słynie z wycieku kodu źródłowego (jeśli się nie mylę, przez niezadowolonego partnera), a teraz trafił na GitHub, gdzie każdy, kto chce, może pobrać część szyfrującą.
I choć trudno w ogóle współczuć ludziom, którzy są na celowniku DOJ i FBI z powodu ataków ransomware…
…jeśli zostały jakieś ukryte krople współczucia, to dość szybko wyparowują, gdy zaczynasz czytać o szpitalach i szkołach wśród ich licznych ofiar.
DOUG. Tak.
KACZKA. Musisz więc założyć, że jest mało prawdopodobne, że kiedykolwiek zobaczą go w amerykańskim sądzie…
…ale chyba doszli do wniosku, że to zbyt ważne, żeby nie spróbować.
DOUG. Dokładnie.
Będziemy, jak lubimy mówić, mieć na to oko.
A kiedy czekamy, proszę, idź i spójrz na nasze Raport o stanie oprogramowania ransomware 2023.
Zawiera szereg faktów i liczb, które można wykorzystać do ochrony organizacji przed atakami.
To jest dostępne pod adresem: sophos.com/ransomware2023.
KACZKA. Jedna mała wskazówka, której możesz się dowiedzieć z raportu: „Niespodzianka, niespodzianka; odzyskiwanie danych z kopii zapasowych kosztuje o połowę mniej niż płacenie okupu”.
Ponieważ nawet po zapłaceniu okupu nadal masz tyle pracy, ile musiałbyś wykonać, aby przywrócić kopię zapasową.
Oznacza to również, że nie płacisz oszustom.
DOUG. Dokładnie!
W porządku, mamy kolejną aktualizację kryminalną.
Tym razem to nasi przyjaciele z iSpoof, którzy, muszę przyznać, mają całkiem niezły zespół marketingowy.
Z wyjątkiem wszyscy się załamują i wszystkie tego typu rzeczy…
Król oszustów telefonicznych dostaje 13 lat za prowadzenie usługi „iSpoof”.
KACZKA. Tak, to jest raport z Metropolitan Police w Londynie dotyczący sprawy, która toczy się od listopada 2022 r., kiedy to pierwszy o tym pisał na nakedsecurity.sophos.com.
Facet o nazwisku Tejay Fletcher i myślę, że 169 innych osób, które myślały, że są anonimowe, ale okazało się, że tak nie jest, zostało aresztowanych.
A ten Fletcher, który był w tym królem, właśnie został skazany na 13 lat i 4 miesiące więzienia, Doug.
To dość duży wyrok jak na standardy każdego kraju!
A powodem jest to, że ta usługa polegała na pomaganiu innym cyberprzestępcom, w zamian za bitcoiny, w bardzo wiarygodnym oszustwie ofiar.
Nie potrzebowałeś żadnych umiejętności technicznych.
Możesz po prostu zarejestrować się w usłudze, a następnie zacząć wykonywać połączenia telefoniczne, w których możesz wybrać numer, który pojawi się na drugim końcu.
Więc jeśli masz przeczucie, że ktoś korzystał z banku XYZ Banking Corporation, możesz sprawić, że jego telefon zaświeci się, mówiąc: „Połączenie przychodzące od XYZ Banking Corporation”, a następnie uruchomić swój schpiel.
Z ówczesnych raportów National Crime Agency wynika, że ich „klienci” wykonali miliony połączeń za pośrednictwem tej usługi. i mieli około 10% wskaźnika sukcesu, gdzie sukces mierzony jest tym, że dzwoniący był na linii przez co najmniej minutę.
A kiedy myślisz, że coś jest oszustwem… rozłączasz się dość szybko, prawda?
DOUG. Minuta to bardzo długo!
KACZKA. A to oznacza, że prawdopodobnie uzależnili tę osobę.
I widać dlaczego, ponieważ wszystko wydaje się wiarygodne.
Jeśli nie jesteś świadomy, że numer dzwoniącego (lub numer identyfikacyjny numeru wywołującego), który pojawia się w twoim telefonie, to nic więcej niż wskazówka, że każdy może wstawić wszystko i że każdy, kto ma na sercu twoje najgorsze interesy, kto chce cię prześladować mogą za niewielką opłatą miesięczną wykupić usługę, która pomoże im robić to automatycznie…
Jeśli nie wiesz, że tak jest, prawdopodobnie stracisz czujność, gdy nadejdzie połączenie i powie: „Dzwonię z banku. Widać to po numerze. O rany, doszło do oszustwa na twoim koncie”, a następnie dzwoniący namawia cię do zrobienia całej masy rzeczy, których inaczej nie słuchałbyś przez chwilę.
Zasięg tej usługi, duża liczba osób, które z niej korzystały (miał podobno dziesiątki tysięcy „klientów”), sama liczba połączeń i wysokość szkód finansowych, które sięgały milionów, jest powodem, dla którego dostał tak poważny wyrok.
DOUG. Jednym z powodów, dla których byli w stanie przyciągnąć tak wielu klientów, było to, że było to na publicznej stronie internetowej.
To nie było w ciemnej sieci i był to całkiem sprytny marketing.
Jeśli przejdziesz do artykułu, znajdziesz 53-sekundowy film marketingowy z profesjonalnym lektorem i zabawnymi animacjami.
To całkiem dobrze zrobione wideo!
KACZKA. Tak!
Zauważyłem w nim jedną literówkę… napisali „szyfrowanie od końca do końca” zamiast „szyfrowanie od końca do końca”, co zauważyłem, ponieważ była to dość ironia.
Ponieważ całe założenie tego filmu brzmi: „Hej, jako klient jesteś całkowicie anonimowy”.
Zrobili z tego wielką awanturę.
DOUG. Myślę, że prawdopodobnie był to „koniec szyfrowania”. [ŚMIECH]
KACZKA. Tak… być może byłeś anonimowy dla swoich ofiar, ale nie byłeś anonimowy dla usługodawcy.
Najwyraźniej gliniarze, przynajmniej w Wielkiej Brytanii, postanowili zacząć od każdego, kto już wydał bitcoiny o wartości ponad 100 GBP na usługę.
Więc mogą być ludzie, którzy parali się tym lub używali go tylko do kilku rzeczy, którzy wciąż są na liście.
Gliniarze chcą, żeby ludzie wiedzieli, że zaczynali od szczytu i zmierzają w dół.
Anonimowość obiecana w filmie była iluzoryczna.
DOUG. Cóż, mamy kilka wskazówek i powiedzieliśmy je już wcześniej, ale są to świetne przypomnienia.
W tym jeden z moich ulubionych, ponieważ myślę, że ludzie po prostu zakładają, że Caller ID jest dokładnym reporterem…. rada numer jeden to: Traktuj identyfikator dzwoniącego jako nic więcej niż wskazówkę.
Co przez to rozumiesz, Pawle?
KACZKA. Jeśli nadal otrzymujesz pocztę w swoim domu, będziesz wiedział, że kiedy dostaniesz kopertę, ma ona Twój adres z przodu i zwykle, kiedy ją odwrócisz, na odwrocie koperty jest adres zwrotny .
I wszyscy wiedzą, że nadawca może wybrać, co to mówi… może to być autentyczne; to wszystko może być stek kłamstw.
Tak bardzo możesz zaufać Caller ID.
I tak długo, jak pamiętasz o tym i traktujesz to jako wskazówkę, jesteś złoty.
Ale jeśli pojawia się i mówi „XYZ Banking Corporation”, ponieważ oszuści celowo wybrali numer, który specjalnie umieściłeś na swojej liście kontaktów, aby powiedzieć ci, że to bank… to nic nie znaczy.
A to, że zaczynają ci mówić, że są z banku, nie oznacza, że tak jest.
I to ładnie łączy się z naszą drugą wskazówką, prawda, Doug?
DOUG. Tak.
Zawsze sam inicjuj oficjalne połączenia, używając numeru, któremu możesz zaufać.
Tak więc, jeśli dostaniesz się na jedno z tych połączeń, powiedz: „Zaraz do ciebie oddzwonię” i użyj numeru z tyłu karty kredytowej.
KACZKA. Absolutnie.
Jeśli w jakikolwiek sposób przekonali Cię, że to jest numer, pod który powinieneś zadzwonić… nie rób tego!
Przekonaj się o tym sam.
Jak powiedziałeś, do zgłaszania takich rzeczy, jak oszustwa bankowe lub problemy bankowe, numer na odwrocie karty kredytowej to dobry początek.
Więc tak, bądź bardzo, bardzo ostrożny.
Naprawdę łatwo jest uwierzyć swojemu telefonowi, ponieważ w 99% przypadków ten numer identyfikacyjny dzwoniącego będzie mówił prawdę.
DOUG. W porządku, ostatnia, ale z pewnością nie mniej ważna, nie tak techniczna, ale bardziej miękka umiejętność, wskazówka numer trzy to: Bądź przy wrażliwych przyjaciołach i rodzinie.
To jest dobre.
KACZKA. Są oczywiście ludzie, którzy są bardziej narażeni na tego rodzaju oszustwa.
Dlatego ważne jest, aby pozwolić osobom z kręgu przyjaciół i rodziny, które Twoim zdaniem mogą być zagrożone tego typu rzeczami… aby wiedziały, że jeśli mają jakiekolwiek wątpliwości, powinny się z Tobą skontaktować i poprosić o radę .
Jak powie ci każdy stolarz lub stolarz, Douglas: „Zmierz dwa razy, utnij raz”.
DOUG. Podoba mi się ta rada. [ŚMIECH]
Zwykle mierzę raz, tnę trzy razy, więc nie podążaj za mną.
KACZKA. Tak. Nie można „przycinać rzeczy dłużej”, co? [ŚMIECH]
DOUG. Nie, na pewno nie możesz!
KACZKA. Wszyscy próbowaliśmy. [ŚMIECH]
DOUG. To dwie aktualizacje w dół; jeden do wyjścia.
mamy dostałem aktualizację… jeśli pamiętasz, na początku tego miesiąca Apple zaskoczyło nas nowym Rapid Security Response, ale nie powiedziało, co faktycznie naprawiły aktualizacje, ale teraz już wiemy, Paul.
KACZKA. Tak.
Dwa dni 0 plus dodatkowy dzień 0, który nie został wcześniej naprawiony.
Więc jeśli masz, co to było, macOS 13 Ventura (najnowszy), a jeśli masz iOS/iPadOS 16, masz szybką odpowiedź bezpieczeństwa
Masz aktualizację „numer wersji (a)” i „oto szczegóły dotyczące tej aktualizacji: (pusty ciąg tekstowy)”.
Więc nie miałeś pojęcia, co zostało naprawione.
A ty, podobnie jak my, prawdopodobnie pomyślałeś: „Założę się, że w WebKit to dzień zerowy. Oznacza to instalację z napędem. Oznacza to, że ktoś może używać go do oprogramowania szpiegującego”.
No i oto, dokładnie to było tymi dwoma dniami zerowymi.
I był trzeci dzień zerowy, który był, jeśli wolisz, kolejną częścią tego równania lub innym rodzajem exploita, który często towarzyszy dwóm pierwszym naprawionym dniom zerowym.
To była sprawa Google Threat Response/Amnesty International, która z pewnością pachnie mi spyware… ktoś bada prawdziwy incydent.
Ten błąd był tym, co nazywacie w żargonie „ucieczką z piaskownicy”.
Wygląda na to, że trzy dni zerowe, które są teraz ustalone dla wszystkich platform Apple, były…
Taki, który może pozwolić oszustowi dowiedzieć się, gdzie znajduje się twój komputer.
Innymi słowy, znacznie zwiększają szansę, że ich kolejne exploity zadziałają.
Drugi exploit, który wykonuje zdalne wykonanie kodu w twojej przeglądarce, jak powiedziałem, wspomagany i podżegany przez wyciek danych w pierwszym błędzie, który może powiedzieć ci, jakich adresów pamięci użyć.
A potem trzeci dzień zerowy, który zasadniczo pozwala wyskoczyć z przeglądarki i zrobić znacznie gorzej.
Cóż, powiem, Patchuj wcześnie, patchuj często, prawda, Doug?
DOUG. Zrób to!
Tak.
KACZKA. To nie jedyne powody, dla których chcesz te łatki.
Istnieje również kilka proaktywnych poprawek.
Więc nawet gdyby to nie były dni zerowe, i tak powiedziałbym to jeszcze raz.
DOUG. Ok świetnie.
Nasza ostatnia historia dnia… Napisałem tutaj własne małe wprowadzenie, ale wyrzucam je do kosza i pójdę z twoim nagłówkiem, ponieważ jest o wiele lepszy.
I to naprawdę oddaje istotę tej historii: Repozytorium otwartego kodu źródłowego PyPI zajmuje się maniakalnym wirem złośliwego oprogramowania.
Tak się stało, Pawle!
Repozytorium kodu open source PyPI zajmuje się maniakalnym wirem złośliwego oprogramowania
KACZKA. Tak, muszę przyznać, że musiałem popracować nad tym nagłówkiem, aby pasował dokładnie do dwóch wierszy w szablonie WordPress nakedsecurity.sophos.com. [ŚMIECH]
Zespół PyPI już sobie z tym poradził i myślę, że pozbył się wszystkich rzeczy.
Ale wygląda na to, że ktoś miał zautomatyzowany system, który po prostu generował nowe konta, a następnie na tych kontach tworzył nowe projekty…
… i po prostu przesyłanie zatrutego pakietu źródłowego po zatrutym pakiecie źródłowym.
I pamiętaj, że w większości tych repozytoriów (przykładem jest PyPI) możesz mieć złośliwe oprogramowanie, które jest w rzeczywistym kodzie, który chcesz pobrać, a później użyć jako moduł w swoim kodzie (innymi słowy, biblioteka programowania) i/ lub możesz mieć złośliwe oprogramowanie w rzeczywistym instalatorze lub skrypcie aktualizacji, który dostarcza ci rzecz.
Tak więc, niestety, oszustom łatwo jest sklonować legalny projekt, nadać mu realistycznie wyglądającą nazwę i mieć nadzieję, że jeśli pobierzesz go przez pomyłkę…
…potem po zainstalowaniu go, kiedy zaczniesz używać go w swoim oprogramowaniu i kiedy zaczniesz wysyłać go swoim klientom, wszystko będzie dobrze i nie znajdziesz w nim żadnego złośliwego oprogramowania.
Ponieważ złośliwe oprogramowanie już zainfekowało twój komputer, będąc w skrypcie, który został uruchomiony, aby najpierw poprawnie zainstalować rzecz.
Oszuści mają więc podwójne uderzenie.
To, czego nie wiemy, to…
Czy mieli nadzieję, że prześlą tak wiele zakaźnych paczek, że niektóre z nich nie zostaną zauważone, i będą mieli szansę na walkę, że para zostanie po prostu w tyle?
A może naprawdę mieli nadzieję, że mogą wystraszyć zespół PyPI tak bardzo, że będą musieli zdjąć całą witrynę z anteny, a to byłby pełny atak typu „odmowa usługi”?
Żaden z nich nie był wynikiem.
Zespół PyPI był w stanie złagodzić atak, wyłączając tylko niektóre aspekty witryny.
Mianowicie przez jakiś czas nie można było założyć nowego konta i nie można było dodać nowego projektu, ale wciąż można było dostać stare.
A to dało im wystarczająco dużo miejsca do oddychania w ciągu 24 godzin, aby wyglądało na to, że byli w stanie całkowicie posprzątać.
DOUG. Mamy kilka rad dotyczących takich ataków, które nie zostaną usunięte na czas.
Więc jeśli pobierasz z takich repozytoriów, pierwszą rzeczą, którą możesz zrobić, to: Nie wybieraj pakietu repozytorium tylko dlatego, że nazwa wygląda dobrze.
To taktyka często stosowana przez napastników.
KACZKA. Doprawdy, Douglasie.
Jest to w zasadzie to, co zwykliśmy nazywać w żargonie „typosquatting” na stronach internetowych.
Zamiast rejestracji example.com
, możesz zarejestrować coś takiego examole.com
, ponieważ O jest obok P na klawiaturze, w nadziei, że ktoś napisze „przykład”, popełni mały błąd i przechwycisz jego ruch i przeniesiesz go na podobną witrynę.
Uważaj, co wybierasz.
To trochę tak, jak z naszą radą dotyczącą identyfikacji dzwoniącego: mówi ci coś, ale tylko tyle.
A co do reszty, naprawdę musisz dołożyć należytej staranności.
DOUG. Jak na przykład: Nie pobieraj na ślepo aktualizacji pakietów do własnych systemów programistycznych lub kompilacyjnych.
KACZKA. Tak, DevOps i Continuous Integration są obecnie na porządku dziennym, prawda, gdzie wszystko automatyzujesz?
I jest coś pociągającego w powiedzeniu: „Cóż, nie chcę zostać w tyle, więc dlaczego po prostu nie powiem mojemu systemowi kompilacji, aby wziął mój kod z mojego lokalnego repozytorium, gdzie się nim opiekuję, a potem po prostu zawsze automatycznie pobrać najnowszą wersję z publicznego repozytorium kodu wszystkich innych osób, których używam?”
Problem polega na tym, że jeśli którykolwiek z tych pakietów innych firm, których używasz, zostanie zaatakowany, twój system kompilacji całkowicie automatycznie wpadnie w kłopoty.
Więc nie rób tego, jeśli możesz tego uniknąć.
DOUG. Co prowadzi nas do: Nie ułatwiaj atakującym dostępu do własnych pakietów.
KACZKA. Tak.
Nikt nie może tak naprawdę powstrzymać kogoś, kto jest zdeterminowany, aby ręcznie założyć 2000 nowych kont PyPI i umieścić w każdym z nich 1000 nowych pakietów.
Ale możesz przeprowadzać ataki, w których oszuści przejmują istniejące pakiety i narażają je na szwank… możesz pomóc reszcie społeczności, maksymalnie utrudniając przejęcie twoich projektów.
Idź i ponownie sprawdź zabezpieczenia, które masz na tym koncie lub w tym pakiecie, na wypadek gdyby ktoś zdecydował, że byłoby to mistrzowskie miejsce do wstawienia szkodliwego oprogramowania, które mogłoby wpłynąć na inne osoby… i oczywiście przynajmniej tymczasowo nadszarpnęłoby twoją reputację w tym samym czas.
DOUG. Nasza ostatnia wskazówka może być dla niektórych głucha, ale jeśli wystarczy, aby zmienić zdanie kilku osób, wykonaliśmy dzisiaj kawał dobrej roboty: Nie bądź sam wiesz czym.
KACZKA. Udowadniając, jaki jesteś sprytny, przypominając nam wszystkim o atakach na łańcuch dostaw, wykonując niepotrzebną pracę dla zespołów wolontariuszy… takich jak zespół jądra Linuksa (cierpili z tego powodu w przeszłości), PyPI i inne popularne repozytoria open source?
Jeśli masz prawdziwy powód, dla którego uważasz, że musisz powiedzieć im o luce w zabezpieczeniach, znajdź ich dane kontaktowe i skontaktuj się z nimi odpowiednio, profesjonalnie i odpowiedzialnie.
Nie bądź ****.
DOUG. doskonały.
W porządku, dobra rada, a ponieważ słońce zaczyna zachodzić w naszym dzisiejszym programie, nadszedł czas, aby usłyszeć od jednego z naszych czytelników.
Być może pamiętasz, że w poprzednim odcinku podcastu rozmawialiśmy trochę o perypetiach komputera Apple III. Posłuchajmy:
Nie wiem, czy to miejska legenda, czy nie, ale czytałem, że wczesne modele [Apple III] nie miały fabrycznie osadzonych chipów, a odbiorcom, którzy zgłaszali problemy, kazano podnosić front komputera kilka centymetrów od biurka i pozwolić mu się odbić, co spowodowałoby, że znaleźliby się na miejscu, tak jak powinni. Co najwyraźniej zadziałało, ale nie było najlepszą reklamą jakości produktu.
DOUG. W odpowiedzi słuchacz S31064 (nie jestem pewien, czy to prawdziwe nazwisko rodowe) wtrąca się:
Nic o tym nie wiem, ale firma, w której wtedy pracowałem, używała ich do terminali obiegu bibliotecznego offline. I w dziewięciu przypadkach na dziesięć, jeśli był z tym problem, rozwiązaniem było ponowne umieszczenie żetonów.
KACZKA. Tak, przeglądanie płyty głównej i (trzaskanie, trzaskanie) wciskanie wszystkich chipów w dół… to było wtedy uważane za rutynową konserwację.
Ale wydaje się, że w przypadku Apple III nie była to tylko rutynowa konserwacja, konserwacja zapobiegawcza, ale właściwie uznana technika odzyskiwania.
Byłem zafascynowany, gdy to przeczytałem, Doug.
Ktoś, kto rzeczywiście tam był i zrobił to!
DOUG. Cóż, bardzo dziękuję, drogi słuchaczu, za przesłanie tego.
A jeśli masz ciekawą historię, komentarz lub pytanie, które chciałbyś przesłać, chętnie przeczytamy o tym w podkaście.
Możesz wysłać e-mail na adres tips@sophos.com, skomentować dowolny artykuł lub skontaktować się z nami na portalu społecznościowym: @nakedsecurity.
To nasz program na dzisiaj; bardzo dziękuję za wysłuchanie.
Dla Paula Ducklina jestem Doug Aamoth i przypominam do następnego razu…
OBIE. Bądź bezpieczny.
[MOM MUZYCZNY]
- Dystrybucja treści i PR oparta na SEO. Uzyskaj wzmocnienie już dziś.
- PlatoAiStream. Analiza danych Web3. Wiedza wzmocniona. Dostęp tutaj.
- Wybijanie przyszłości w Adryenn Ashley. Dostęp tutaj.
- Kupuj i sprzedawaj akcje spółek PRE-IPO z PREIPO®. Dostęp tutaj.
- Źródło: https://nakedsecurity.sophos.com/2023/05/25/s3-ep136-navigating-a-manic-malware-maelstrom/
- :ma
- :Jest
- :nie
- :Gdzie
- ][P
- $ 10 mln
- Milion $ 400
- $W GÓRĘ
- 13
- 2022
- 2023
- 22
- a
- zdolność
- Zdolny
- O nas
- absolutnie
- Konto
- Konta
- dokładny
- oskarżony
- rzeczywisty
- faktycznie
- Dodaj
- adres
- Adresy
- przyznać
- Rada
- oddziaływać
- Program Partnerski
- Po
- ponownie
- przed
- agencje
- AIR
- Wszystkie kategorie
- rzekomo
- dopuszczać
- wzdłuż
- już
- W porządku
- również
- Chociaż
- zawsze
- am
- wśród
- ilość
- an
- i
- animacje
- Anonimowość
- Anonimowy
- Inne
- każdy
- wszystko
- nigdzie
- pociągający
- Apple
- SĄ
- na około
- aresztowany
- artykuł
- towary
- AS
- aspekty
- At
- atakować
- Ataki
- przyciągnięcie
- audio
- autor
- zautomatyzować
- zautomatyzowane
- automatycznie
- dostępny
- uniknąć
- świadomy
- z powrotem
- backup
- Kopie zapasowe
- Łazienka
- Bank
- Bankowy
- Bankowość
- Baseline
- Gruntownie
- BE
- Niedźwiedź
- bo
- być
- zanim
- za
- jest
- uwierzyć
- Uważa
- poniżej
- BEST
- Zakład
- Ulepsz Swój
- Duży
- Bit
- Bitcoins
- pusty
- na oślep
- Bonus
- hojność
- oddychania
- przeglądarka
- Bug
- budować
- Pęczek
- ale
- kupować
- by
- wezwanie
- nazywa
- Gość
- powołanie
- Połączenia
- Kampanie
- CAN
- Może uzyskać
- przechwytuje
- karta
- ostrożny
- walizka
- Centrum
- na pewno
- szansa
- zmiana
- wymiana pieniędzy
- Frytki
- Dodaj
- Okrągłe
- Obieg
- kod
- COM
- jak
- byliśmy spójni, od początku
- komentarz
- społeczność
- sukcesy firma
- całkowicie
- kompromis
- Zagrożone
- komputer
- komputery
- Skontaktuj się
- za
- skontaktuj się
- ciągły
- policjanci
- KORPORACJA
- Koszty:
- mógłby
- kraj
- kraju
- Para
- kurs
- Boisko
- Crash
- Stwórz
- Tworzenie
- kredyt
- Karta kredytowa
- Przestępstwo
- Crooks
- klient
- Klientów
- Ciąć
- cyberprzestępczość
- cyberprzestępcy
- Ciemny
- Mroczny WWW
- dane
- wyciek danych
- dzień
- Dni
- Promocje
- postanowiła
- dostarcza
- wymagania
- Denial of Service
- gęstość
- biurko
- detal
- detale
- ustalona
- oprogramowania
- DevOps
- ZROBIŁ
- różne
- pracowitość
- ujawnienie
- do
- robi
- Nie
- robi
- DoJ
- zrobić
- nie
- wątpić
- na dół
- pobieranie
- Spadek
- z powodu
- każdy
- Wcześniej
- Wcześnie
- Ziemia
- łatwo
- szyfrowanie
- zakończenia
- egzekwowanie
- dość
- całkowicie
- epizod
- istota
- istotnie
- Parzyste
- EVER
- Każdy
- wszyscy
- wszystko
- dokładnie
- przykład
- egzekucja
- Przede wszystkim system został opracowany
- Wykorzystać
- exploity
- oko
- okładzina
- fakt
- fabryka
- fakty
- Spadać
- członków Twojej rodziny
- znakomicie
- szybciej
- Ulubione
- fbi
- czuć
- facet
- kilka
- walczący
- Postać
- wzorzysty
- Postacie
- budżetowy
- Znajdź
- w porządku
- i terminów, a
- dopasować
- Fix
- ustalony
- obserwuj
- W razie zamówieenia projektu
- znaleziono
- oszustwo
- przyjaciele
- od
- z przodu
- zabawa
- generujący
- prawdziwy
- otrzymać
- miejsce
- GitHub
- Dać
- Globalne
- Go
- Goes
- będzie
- Złoty
- dobry
- Rząd
- chwycić
- wspaniały
- bardzo
- osłona
- Facet
- miał
- Pół
- ręka
- siła robocza
- Zawiesić
- się
- Ciężko
- Have
- he
- głowa
- nagłówek
- słyszeć
- Serce
- pomoc
- pomoc
- tutaj
- wyższy
- go
- jego
- Dobranie (Hit)
- Ul
- nadzieję
- nadzieję
- szpitale
- dom
- W jaki sposób
- http
- HTTPS
- i
- ID
- pomysł
- Identyfikacja
- if
- ważny
- in
- W innych
- incydent
- zawierać
- wzrastający
- zainicjować
- zainstalować
- integracja
- ciekawy
- zainteresowania
- na świecie
- najnowszych
- ironia
- iSpoof
- IT
- JEGO
- samo
- żargon
- skok
- właśnie
- Zapalony
- Trzymać
- Uprzejmy
- Wiedzieć
- duży
- Nazwisko
- później
- firmy
- uruchomić
- Prawo
- egzekwowanie prawa
- prowadzić
- Wyprowadzenia
- UCZYĆ SIĘ
- najmniej
- Doprowadziło
- lewo
- prawowity
- pozwala
- Biblioteka
- leży
- lekki
- lubić
- Linia
- linie
- linux
- Lista
- słuchacz
- Słuchanie
- mało
- załadować
- miejscowy
- Londyn
- długo
- Popatrz
- poszukuje
- WYGLĄD
- Partia
- miłość
- MacOS
- zrobiony
- konserwacja
- robić
- Dokonywanie
- malware
- wiele
- Marketing
- maksymalny
- Może..
- oznaczać
- znaczy
- zmierzyć
- średni
- Użytkownicy
- Pamięć
- Metropolitan Police
- może
- milion
- miliony
- nic
- umysły
- chwila
- błąd
- Złagodzić
- modele
- skromny
- moduł
- moment
- pieniądze
- Miesiąc
- miesięcznie
- miesięcy
- jeszcze
- większość
- dużo
- Muzyka
- musical
- musi
- my
- Nagie bezpieczeństwo
- Nagi podcast o bezpieczeństwie
- Nazwa
- narodowy
- żeglujący
- Potrzebować
- nigdy
- Nowości
- Następny
- Nie
- nic
- listopad
- już dziś
- numer
- of
- poza
- oferta
- oferuje
- Oferty
- urzędnik
- nieaktywny
- często
- oh
- Stary
- on
- pewnego razu
- ONE
- te
- tylko
- koncepcja
- open source
- kod open source
- or
- organizacja
- Inne
- Inaczej
- ludzkiej,
- na zewnątrz
- Wynik
- koniec
- za granicą
- własny
- Pakować
- pakiet
- Pakiety
- płatny
- Palo Alto
- część
- szczególny
- Przeszłość
- Łata
- Łatki
- Paweł
- Zapłacić
- zwracając
- płatności
- Ludzie
- Ludzie na
- okres
- osoba
- perspektywa
- telefon
- rozmowy telefoniczne
- doborowy
- Smoła
- Miejsce
- Platformy
- plato
- Analiza danych Platona
- PlatoDane
- gracz
- Proszę
- plus
- Podcast
- Podcasty
- Policja
- Popularny
- możliwy
- możliwie
- Wiadomości
- prekursor
- pilny
- bardzo
- poprzedni
- więzienie
- Proaktywne
- prawdopodobnie
- Problem
- problemy
- Produkt
- profesjonalny
- zawodowo
- Programowanie
- projekt
- projektowanie
- obiecał
- prawidłowo
- chronić
- dostawca
- publiczny
- ciągnięcie
- Naciskać
- położyć
- Python
- jakość
- pytanie
- szybko
- Okup
- ransomware
- szybki
- Kurs
- raczej
- dosięgnąć
- Czytaj
- czytelnicy
- Czytający
- realistyczny
- naprawdę
- powód
- Przyczyny
- odbiorców
- uznane
- Recover
- regeneracja
- zarejestrować
- rejestracji
- pamiętać
- zdalny
- raport
- Raportowanie
- Raporty
- składnica
- reputacja
- Badania naukowe
- badacz
- odpowiedź
- REST
- przywracać
- powrót
- Pozbyć się
- prawo
- Ryzyko
- ROBERT
- Pokój
- rss
- bieganie
- Rosyjski
- Powiedział
- taki sam
- powiedzieć
- powiedzenie
- mówią
- Skala
- oszustwo
- Ofiary oszustwa
- Szkoły
- druga
- Tajemnica
- bezpieczne
- bezpieczeństwo
- luka w zabezpieczeniach
- widzieć
- wydaje
- nadawca
- wysyłanie
- wyrok
- skazany
- poważny
- usługa
- Usługodawca
- zestaw
- Wysyłka
- powinien
- pokazać
- Targi
- Zabytki
- znak
- ponieważ
- pojedynczy
- witryna internetowa
- umiejętność
- So
- Obserwuj Nas
- Tworzenie
- kilka
- Ktoś
- coś
- Dusza
- Dźwięk
- SoundCloud
- Źródło
- Kod źródłowy
- Mówiąc
- specjalnie
- spędził
- Spotify
- spyware
- początek
- rozpoczęty
- Zestawienie sprzedaży
- Zjednoczone
- pobyt
- Nadal
- Stop
- Historia
- Odmiany Konopi
- sznur
- Studiował
- Zatwierdź
- kolejny
- substancja
- sukces
- taki
- Niedz
- niespodzianka
- zdziwiony
- system
- systemy
- Brać
- Rozmowy
- zespół
- tech
- Techniczny
- Technologia
- powiedzieć
- mówi
- szablon
- dziesięć
- kilkadziesiąt
- niż
- podziękować
- dzięki
- że
- Połączenia
- UK
- świat
- ich
- Im
- następnie
- Tam.
- Te
- one
- rzecz
- rzeczy
- myśleć
- Trzeci
- innych firm
- to
- tych
- chociaż?
- myśl
- tysiące
- groźba
- trzy
- Przez
- Rzucanie
- czas
- czasy
- typ
- wskazówki
- do
- już dziś
- razem
- także
- Top
- Kwota produktów:
- Kontakt
- śledzić
- ruch drogowy
- Próby
- wypróbowany
- kłopot
- prawdziwy
- Zaufaj
- Prawda
- próbować
- SKRĘCAĆ
- Obrócony
- Dwa razy
- drugiej
- rodzaj
- typy
- Uk
- zrozumienie
- Niestety
- Zjednoczony
- United States
- aż do
- Aktualizacja
- Nowości
- Uploading
- miejski
- URL
- us
- posługiwać się
- używany
- za pomocą
- zazwyczaj
- wersja
- początku.
- Ofiara
- Ofiary
- Wideo
- wolontariusz
- wrażliwość
- Wrażliwy
- Czekanie
- chcieć
- poszukiwany
- chce
- była
- fale
- Droga..
- we
- sieć
- zestaw internetowy
- Strona internetowa
- strony internetowe
- tydzień
- DOBRZE
- były
- Co
- jeśli chodzi o komunikację i motywację
- czy
- który
- Podczas
- KIM
- cały
- dlaczego
- będzie
- w
- WordPress
- słowa
- Praca
- pracujący
- świat
- gorzej
- najgorszy
- wartość
- by
- napisany
- Źle
- lat
- tak
- ty
- Twój
- siebie
- zefirnet
- zero
- Zero Day