สามพันล้านดอลลาร์ในกระป๋องข้าวโพดคั่ว?
คลื่นวิทยุลึกลับจนเรียกกันว่าเอ็กซ์เรย์เท่านั้น อยู่ที่นั่น หก 0 วัน หรือแค่สี่? ตำรวจใคร พบ 3 พันล้านดอลลาร์ ในกระป๋องป๊อปคอร์น ตราสีน้ำเงิน ความสับสน. เมื่อ การสแกน URL ผิดพลาด ติดตามลง ทุกครั้งสุดท้าย ไฟล์ที่ไม่ได้แพตช์ เหตุใดการเจาะระบบที่ไม่น่าเป็นไปได้จึงได้รับระดับความรุนแรง "สูง"
คลิกแล้วลากบนคลื่นเสียงด้านล่างเพื่อข้ามไปยังจุดใดก็ได้ นอกจากนี้คุณยังสามารถ ฟังโดยตรง บนซาวด์คลาวด์
ดั๊ก เอมอธ และพอล ดักคลิน เพลงอินโทรและเอาท์โดย อีดิธ มัดจ์.
สามารถรับฟังเราได้ที่ Soundcloud, Apple Podcasts, Google Podcast, Spotify, Stitcher และทุกที่ที่มีพอดแคสต์ดีๆ หรือเพียงแค่วาง URL ของฟีด RSS ของเรา ลงในพอดแคตเตอร์ที่คุณชื่นชอบ
อ่านข้อความถอดเสียง
ดั๊ก. กลโกง Twitter, Patch Tuesday และอาชญากรที่แฮ็คอาชญากร
ทั้งหมดนั้นและอีกมากมายในพอดคาสต์ Naked Security
[โมเด็มดนตรี]
ยินดีต้อนรับสู่พอดคาสต์ทุกคน
ฉันชื่อดั๊ก
เขาคือพอล ดักคลิน
พอล วันนี้คุณเป็นอย่างไรบ้าง
เป็ด. ดีมากดั๊ก
เราไม่มีจันทรุปราคาที่นี่ในอังกฤษ แต่ฉันได้เห็นพระจันทร์เต็มดวง *เต็มดวง* ในช่วงเวลาสั้น ๆ ผ่านช่องว่างเล็ก ๆ ในก้อนเมฆ ซึ่งกลายเป็นรูเดียวในชั้นเมฆทั้งหมดเมื่อฉันออกไปข้างนอก ลองดูสิ!
แต่เราไม่มีพระจันทร์สีส้มเหมือนที่พวกคุณมีในแมสซาชูเซตส์
ดั๊ก. ให้เราเริ่มการแสดงด้วย สัปดาห์นี้ในประวัติศาสตร์เทคโนโลยี… สิ่งนี้ย้อนกลับไป
ในสัปดาห์นี้ เมื่อวันที่ 08 พฤศจิกายน พ.ศ. 1895 ศาสตราจารย์ฟิสิกส์ชาวเยอรมัน วิลเฮล์ม เรินต์เกน ได้พบกับรูปแบบของรังสีที่ยังไม่ถูกค้นพบซึ่งทำให้เขาเรียกรังสีดังกล่าวว่า "X"
เช่นเดียวกับการเอ็กซ์เรย์
แล้ว… การค้นพบรังสีเอกซ์โดยบังเอิญล่ะ?
เป็ด. น่าทึ่งทีเดียว
ฉันจำได้ว่าแม่บอกฉันว่า: ในปี 1950 (ต้องเหมือนกันในอเมริกา) เห็นได้ชัดว่าในร้านขายรองเท้า...
ดั๊ก. [รู้ว่ากำลังจะมา] ใช่! [หัวเราะ]
เป็ด. ผู้คนจะพาลูกๆ เข้าไป... คุณจะยืนอยู่บนเครื่องนี้ สวมรองเท้า แล้วแทนที่จะพูดว่า “เดินไปรอบๆ แน่นไปไหม? พวกมันหยิกหรือเปล่า” คุณยืนอยู่ในเครื่องเอ็กซ์เรย์ซึ่งโดยทั่วไปแล้วอาบรังสีเอ็กซ์เรย์คุณ และถ่ายภาพสดแล้วพูดว่า “โอ้ ใช่ พวกมันมีขนาดที่เหมาะสม”
ดั๊ก. ใช่ เวลาที่ง่ายกว่า อันตรายเล็กน้อย แต่…
เป็ด. อันตรายเล็กน้อย?
คุณนึกภาพคนที่ทำงานในร้านขายรองเท้าออกไหม?
พวกเขาต้องอาบน้ำในรังสีเอกซ์ตลอดเวลา
ดั๊ก. แน่นอน… เอาล่ะ วันนี้เราปลอดภัยขึ้นนิดหน่อย
และในเรื่องของความปลอดภัย วันอังคารแรกของเดือนคือ Patch Tuesday ของ Microsoft
So เราเรียนรู้อะไร Patch Tuesday ในเดือนพฤศจิกายน 2022 นี้?
แลกเปลี่ยน 0 วันคงที่ (ในที่สุด) – บวก 4 Patch ใหม่วันอังคาร 0 วัน!
เป็ด. สิ่งที่น่าตื่นเต้นอย่างยิ่ง Doug คือในทางเทคนิคแล้ว Patch Tuesday ไม่ได้แก้ไขหนึ่ง ไม่ใช่สอง ไม่ใช่สาม… แต่ *สี่* ศูนย์วัน
แต่จริงๆ แล้วแพตช์ที่คุณจะได้รับสำหรับผลิตภัณฑ์ Microsoft ในวันอังคารนั้นแก้ไข * หก* ศูนย์วัน
จดจำ Exchange Zero-days ที่ไม่ได้รับการแพตช์เมื่อวันอังคารที่ฉาวโฉ่: CVE-2002-41040 และ CVE-2022-41082 ซึ่งกลายเป็นที่รู้จักในชื่อ พร็อกซีNotShell?
S3 Ep102.5: ข้อบกพร่องการแลกเปลี่ยน “ProxyNotShell” – ผู้เชี่ยวชาญพูด [เสียง + ข้อความ]
สิ่งเหล่านี้ได้รับการแก้ไขแล้ว แต่โดยพื้นฐานแล้ว "ไซด์ไลน์" ที่แยกจาก Patch Tuesday: Exchange November 2022 SU หรือ Software Update ที่เพิ่งพูดว่า:
การอัปเดตซอฟต์แวร์ Exchange เดือนพฤศจิกายน 2022 มีการแก้ไขช่องโหว่ Zero-day ที่รายงานต่อสาธารณะในวันที่ 29 กันยายน 2022
สิ่งที่คุณต้องทำคืออัปเกรด Exchange
ขอบคุณ Microsoft… ฉันคิดว่าเรารู้ว่านั่นคือสิ่งที่เราต้องทำเมื่อแพตช์ออกมาในที่สุด!
ดังนั้น พวกเขา *ออก* และมีการซ่อมซีโร่เดย์สองวัน แต่ไม่ใช่อันใหม่ และในทางเทคนิคแล้วพวกเขาไม่ได้อยู่ในส่วน "แพทช์วันอังคาร"
ที่นั่น เรามีซีโร่เดย์อีกสี่วันคงที่
และถ้าคุณเชื่อในการจัดลำดับความสำคัญของแพตช์ แน่นอนว่าสิ่งเหล่านั้นคือสิ่งที่คุณต้องการจัดการก่อน เพราะบางคนรู้วิธีที่จะทำสิ่งเลวร้ายกับพวกมันอยู่แล้ว
ช่วงดังกล่าวมีตั้งแต่บายพาสความปลอดภัย ไปจนถึงการยกระดับสิทธิ์ XNUMX ระดับ และการเรียกใช้โค้ดจากระยะไกล XNUMX ครั้ง
แต่มีมากกว่านั้น ทั้งหมด 60 แพทช์และถ้าคุณดูรายการโดยรวมของผลิตภัณฑ์และส่วนประกอบของ Windows ที่ได้รับผลกระทบ จะมีรายการมากมายตามปกติ ซึ่งรวมอยู่ในส่วนประกอบ/ผลิตภัณฑ์ของ Windows ทุกชิ้นที่คุณเคยได้ยิน และอีกหลายรายการที่คุณอาจไม่เคยรู้มาก่อน
Microsoft แพตช์ 62 ช่องโหว่ รวมถึง Kerberos และ Mark of the Web และ Exchange…ประเภทต่างๆ
เช่นเคย: อย่ารอช้า/ทำวันนี้เลยดักลาส!
ดั๊ก. ดีมาก
มาพูดถึงเรื่องความล่าช้ากันดีกว่า…
คุณมีเรื่องราวที่น่าสนใจมากเกี่ยวกับ ตลาดค้ายาสายไหมและการเตือนความจำว่าอาชญากรที่ขโมยจากอาชญากรยังคงเป็นอาชญากรรม แม้ว่าคุณจะถูกจับได้หลังจากผ่านไปสิบปีแล้วก็ตาม
เป็ด. ใช่ แม้แต่คนที่ค่อนข้างใหม่ต่อความปลอดภัยในโลกไซเบอร์หรือออนไลน์ก็อาจจะเคยได้ยินชื่อ “Silk Road” ซึ่งอาจจะเป็นตลาดเว็บมืดที่เป็นที่รู้จัก ใหญ่โต แพร่หลายและใช้กันอย่างแพร่หลายเป็นแห่งแรก
ดังนั้นทุกอย่างจึงลุกเป็นไฟในปี 2013
เนื่องจากผู้ก่อตั้งแต่เดิมรู้จักแต่เพียงว่า Dread Pirate โรเบิร์ตs แต่ในที่สุดก็เปิดเผยว่าเป็น Ross Ulbricht… การรักษาความปลอดภัยในการปฏิบัติงานที่แย่ของเขาก็เพียงพอแล้วที่จะผูกกิจกรรมไว้กับเขา
Ross Ulbricht ผู้ก่อตั้ง Silk Road ได้รับชีวิตโดยไม่ต้องรอลงอาญา
ไม่เพียงแต่การรักษาความปลอดภัยในการปฏิบัติงานของเขาไม่ค่อยดีนัก แต่ดูเหมือนว่าในช่วงปลายปี 2012 พวกเขามี (คุณเชื่อไหม Doug?) ความผิดพลาดในการประมวลผลการชำระเงิน cryptocurrency...
ดั๊ก. [อ้าปากค้างด้วยความสยองขวัญ]
เป็ด. …ของประเภทที่เราได้เห็นซ้ำๆ หลายครั้งตั้งแต่นั้นมา ที่ไม่ได้มีการลงรายการสองรายการอย่างถูกต้อง โดยที่สำหรับเดบิตแต่ละรายการจะมีเครดิตที่สอดคล้องกัน และในทางกลับกัน
และผู้โจมตีรายนี้ค้นพบว่า หากคุณใส่เงินบางส่วนลงในบัญชีของคุณ แล้วจ่ายไปยังบัญชีอื่นอย่างรวดเร็ว คุณจะสามารถจ่ายเงินบิตคอยน์เดิมได้ห้าเท่า (หรือมากกว่านั้น) ก่อนที่ระบบจะรับรู้ว่าการตัดบัญชีครั้งแรกหายไป ผ่าน.
ดังนั้นคุณสามารถใส่เงินเข้าไปแล้วถอนออกมาซ้ำแล้วซ้ำเล่า และรับทรัพย์ก้อนใหญ่ขึ้น...
…จากนั้นคุณสามารถกลับไปสู่สิ่งที่คุณอาจเรียกว่า “วงจรรีดนม cryptocurrency”
และประมาณว่า… ผู้ตรวจสอบไม่แน่ใจว่าเขาเริ่มต้นด้วย bitcoins ระหว่าง 200 ถึง 2000 bitcoins ของเขาเอง (ไม่ว่าเขาจะซื้อมันหรือขุดมัน เราไม่รู้) และเขาก็เปลี่ยนมันอย่างรวดเร็วมาก รอมัน Doug: 50,0000 bitcoins!
ดั๊ก. ว้าว!
เป็ด. มากกว่า 50,000 bitcoins เช่นเดียวกับที่
จากนั้น เห็นได้ชัดว่ามีคนสังเกตเห็น เขาตัดและวิ่งในขณะที่เขานำหน้าด้วย 50,000 bitcoins...
…แต่ละชิ้นมีมูลค่า 12 ดอลลาร์ที่น่าทึ่ง เพิ่มขึ้นจากเศษเสี้ยวของเซ็นต์เมื่อไม่กี่ปีก่อน [หัวเราะ]
ดังนั้นเขาจึงหาเงินได้ 600,000 ดอลลาร์ เช่นเดียวกับดั๊ก
[หยุดชั่วคราวอย่างดราม่า]
เก้าปีต่อมา…
[เสียงหัวเราะ]
…เกือบจะ *ตรงกัน* เก้าปีต่อมา เมื่อเขาถูกจับและบ้านของเขาถูกบุกค้นภายใต้หมายค้น ตำรวจไปค้นหาและพบกองผ้าห่มในตู้เสื้อผ้าของเขา ซึ่งข้างใต้นั้นมีกระป๋องป๊อปคอร์นซ่อนอยู่
สถานที่แปลก ๆ สำหรับเก็บข้าวโพดคั่วของคุณ
ข้างในเป็นกระเป๋าเงินเย็นที่ใช้ระบบคอมพิวเตอร์
ข้างในนั้นมี bitcoin จำนวนมาก!
ในช่วงเวลาที่เขาถูกจับ Bitcoins มีมูลค่ามากกว่า $65,535 (หรือ 216-1) แต่ละอัน
พวกเขาขึ้นไปได้ดีกว่าพันเท่าในระหว่างนั้น
ดังนั้น ณ เวลานั้น มันเป็นการล่มสลายของ cryptocoin ที่ใหญ่ที่สุดเท่าที่เคยมีมา!
เก้าปีต่อมา เห็นได้ชัดว่าไม่สามารถกำจัดผลประโยชน์ที่ได้มาโดยมิชอบได้ บางทีอาจกลัวว่าแม้ว่าเขาจะพยายามยัดมันลงในแก้ว ทุกนิ้วก็จะชี้กลับมาที่เขา...
…เขามี bitcoins มูลค่า 3 พันล้านดอลลาร์ที่อยู่ในกระป๋องข้าวโพดคั่วเป็นเวลาเก้าปี!
ดั๊ก. พระเจ้าของฉัน.
เป็ด. ดังนั้น เมื่อนั่งอยู่บนสมบัติที่น่ากลัวนี้มาหลายปี โดยสงสัยว่าเขาจะถูกจับได้หรือไม่ ตอนนี้เขาเหลือแต่ความสงสัยว่า “ฉันจะติดคุกไปอีกนานแค่ไหน”
และประโยคสูงสุดสำหรับข้อกล่าวหาที่เขาเผชิญ?
20 ปี ดั๊ก
ดั๊ก. อีกหนึ่งเรื่องราวที่น่าสนใจที่กำลังเกิดขึ้นในขณะนี้ ถ้าช่วงนี้คุณเล่น Twitter คุณจะรู้ว่ามีกิจกรรมมากมาย พูดอย่างมีชั้นเชิง...
เป็ด. [การเลียนแบบบ็อบดีแลนคุณภาพต่ำถึงปานกลาง] ยุคสมัยเปลี่ยนไป
ดั๊ก. …รวมถึงจุดหนึ่งที่มีแนวคิดในการเรียกเก็บเงิน 20 ดอลลาร์สำหรับเช็คสีน้ำเงินที่ผ่านการตรวจสอบแล้ว ซึ่งแน่นอนว่าเกือบจะในทันที แจ้งการหลอกลวงบางอย่าง.
การหลอกลวงทางอีเมลของ Twitter Blue Badge - อย่าตกหลุมรักพวกเขา!
เป็ด. ดั๊ก เป็นแค่เครื่องเตือนใจว่า เมื่อใดก็ตามที่มีสิ่งที่น่าสนใจมาก พวกมิจฉาชีพก็จะตามไปอย่างแน่นอน
และสมมติฐานของสิ่งนี้คือ “เฮ้ ทำไมไม่เข้าแต่เช้าล่ะ? หากคุณมีเครื่องหมายสีน้ำเงินอยู่แล้ว เดาอะไร คุณจะไม่ต้องจ่าย $19.99 ต่อเดือน หากคุณลงทะเบียนล่วงหน้า เราจะให้คุณเก็บไว้”
เรารู้ว่านั่นไม่ใช่ความคิดของ Elon Musk อย่างที่เขาพูด แต่มันเป็นสิ่งที่หลายธุรกิจทำใช่ไหม
บริษัทจำนวนมากจะให้ประโยชน์แก่คุณหากคุณยังคงใช้บริการ
ดังนั้นจึงไม่น่าเชื่อเลย
อย่างที่คุณพูด… คุณให้อะไรมัน?
B-ลบ ใช่ไหม
ดั๊ก. ฉันให้อีเมลเริ่มต้นเป็น B ลบ… คุณอาจถูกหลอกถ้าคุณอ่านอย่างรวดเร็ว แต่มีปัญหาด้านไวยากรณ์อยู่บ้าง สิ่งที่รู้สึกไม่ถูกต้อง
แล้วเมื่อคุณคลิกผ่าน ฉันจะให้หน้า Landing Page เป็น C-ลบ
ที่ได้รับมากยิ่งขึ้น
เป็ด. นั่นอยู่ระหว่าง 5/10 ถึง 6/10?
ดั๊ก. ใช่ สมมุติว่า
และเรามีคำแนะนำ ดังนั้นแม้ว่าจะเป็นการหลอกลวงระดับ A-plus แต่ก็ไม่สำคัญเพราะคุณก็สามารถขัดขวางมันได้อยู่ดี!
เริ่มต้นด้วยรายการโปรดส่วนตัวของฉัน: ใช้ตัวจัดการรหัสผ่าน.
ผู้จัดการรหัสผ่านสามารถแก้ปัญหาต่างๆ ได้มากมายเมื่อพูดถึงการหลอกลวง
เป็ด. มันทำ
ผู้จัดการรหัสผ่านไม่มีความฉลาดที่เหมือนมนุษย์ ซึ่งอาจทำให้เข้าใจผิดได้ว่ารูปภาพสวยถูกต้อง โลโก้นั้นสมบูรณ์แบบ หรือเว็บฟอร์มอยู่ในตำแหน่งที่ถูกต้องบนหน้าจอด้วยแบบอักษรเดียวกันทุกประการ คุณจึงรับรู้ได้
สิ่งที่รู้ก็คือ: “ไม่เคยได้ยินเกี่ยวกับไซต์นี้มาก่อน”
ดั๊ก. และแน่นอน เปิด 2FA ถ้าทำได้.
เพิ่มปัจจัยที่สองของการรับรองความถูกต้องเสมอ ถ้าเป็นไปได้
เป็ด. แน่นอนว่าไม่จำเป็นต้องปกป้องคุณจากตัวคุณเอง
หากคุณไปที่ไซต์ปลอมและคุณตัดสินใจว่า "เฮ้ พิกเซลสมบูรณ์แบบ มันต้องของจริงแน่ๆ" และคุณตั้งใจที่จะเข้าสู่ระบบ และคุณได้ใส่ชื่อผู้ใช้และรหัสผ่านของคุณแล้ว จากนั้นระบบจะขอให้คุณผ่านกระบวนการ 2FA...
…คุณมีแนวโน้มที่จะทำเช่นนั้น
อย่างไรก็ตาม มันให้เวลาคุณเพียงเล็กน้อยในการ “หยุด คิด. เชื่อมต่อ." แล้วพูดกับตัวเองว่า “เดี๋ยวก่อน ฉันมาทำอะไรที่นี่”
ดังนั้น ในแง่หนึ่ง ความล่าช้าเล็กน้อยที่ 2FA แนะนำจริงๆ ไม่เพียงแต่จะทำให้เกิดความยุ่งยากเพียงเล็กน้อยเท่านั้น แต่ยังเป็นวิธีการปรับปรุงเวิร์กโฟลว์การรักษาความปลอดภัยทางไซเบอร์ของคุณด้วย… โดยการแนะนำการกระแทกความเร็วที่เพียงพอซึ่งคุณมีแนวโน้มที่จะใช้ความปลอดภัยทางไซเบอร์ ที่จริงจังกว่านี้หน่อย
ดังนั้นฉันไม่เห็นสิ่งที่เป็นข้อเสียจริงๆ
ดั๊ก. และแน่นอน อีกหนึ่งกลยุทธ์ที่ยากที่หลายคนจะปฏิบัติตามแต่ได้ผลดีก็คือ หลีกเลี่ยงลิงก์เข้าสู่ระบบและปุ่มดำเนินการในอีเมล.
ดังนั้นหากคุณได้รับอีเมล อย่าเพียงแค่คลิกปุ่ม… ไปที่ไซต์นั้นแล้วคุณจะสามารถบอกได้อย่างรวดเร็วว่าอีเมลนั้นถูกต้องหรือไม่
เป็ด. โดยพื้นฐานแล้ว หากคุณไม่สามารถเชื่อถือการติดต่อสื่อสารครั้งแรกโดยสิ้นเชิง คุณจะไม่สามารถพึ่งพารายละเอียดใดๆ ในนั้นได้ ไม่ว่าจะเป็นลิงก์ที่คุณจะคลิก หมายเลขโทรศัพท์ที่คุณจะโทร ที่อยู่อีเมลที่คุณ กำลังจะติดต่อพวกเขาบน บัญชี Instagram ที่คุณจะส่ง DM ไป ไม่ว่าจะเป็นอะไรก็ตาม
อย่าใช้สิ่งที่อยู่ในอีเมล… ค้นหาวิธีการของคุณเอง แล้วคุณจะลัดวงจรการหลอกลวงในลักษณะนี้มากมาย
ดั๊ก. และสุดท้าย สุดท้ายแต่ไม่ท้ายสุด… นี่ควรเป็นสามัญสำนึก แต่ไม่ใช่: อย่าถามผู้ส่งข้อความถึงข้อความที่ไม่แน่นอนหากข้อความนั้นถูกต้อง
อย่าตอบกลับและพูดว่า “เฮ้ คุณเล่นทวิตเตอร์จริงๆ เหรอ”
เป็ด. ใช่ คุณพูดถูกทีเดียว
เพราะคำแนะนำก่อนหน้านี้ของฉันคือ “อย่าพึ่งข้อมูลในอีเมล” เช่น อย่าโทรไปที่เบอร์โทรศัพท์ของพวกเขา… บางคนก็อยากจะไป “เออ เดี๋ยวผมโทรไปลองดูว่าจริงไหม” คือพวกเขา [IRONIC] เพราะเห็นได้ชัดว่าถ้าพ่อครัวตอบ พวกเขาจะให้ชื่อจริงของพวกเขา”
ดั๊ก. อย่างที่เราพูดเสมอว่า: หากมีข้อสงสัย/อย่าให้ออก.
และนี่คือเรื่องเตือนใจที่ดี เรื่องต่อไป: เมื่อมีการสแกนความปลอดภัย ซึ่งเป็นเครื่องมือรักษาความปลอดภัยที่ถูกกฎหมาย เปิดเผยมากกว่าที่ควรแล้วจะเกิดอะไรขึ้น?
เครื่องมือสแกน URL สาธารณะ – เมื่อความปลอดภัยนำไปสู่ความไม่ปลอดภัย
เป็ด. นี่คือนักวิจัยที่มีชื่อเสียงในชื่อ Fabian Bräunlein ในเยอรมนี… เราเคยแนะนำเขามาแล้วสองสามครั้งแล้ว
เขากลับมาพร้อมกับรายงานโดยละเอียดเรื่อง urlscan.ioจุด SOAR ของ: เครื่องมือรักษาความปลอดภัยช่างพูดทำให้ข้อมูลส่วนตัวรั่วไหล.
และในกรณีนี้ก็คือ urlscan.ioเว็บไซต์ที่คุณสามารถใช้งานได้ฟรี (หรือเป็นบริการแบบชำระเงิน) ซึ่งคุณสามารถส่ง URL หรือชื่อโดเมน หรือหมายเลข IP หรืออะไรก็ตาม และคุณสามารถค้นหาได้ว่า “ชุมชนรู้อะไร เกี่ยวกับเรื่องนี้?"
และจะเปิดเผย URL แบบเต็มที่คนอื่นถามถึง
และนี่ไม่ใช่แค่สิ่งที่ผู้คนคัดลอกและวางจากตัวเลือกของตนเอง
ตัวอย่างเช่น บางครั้ง อีเมลของพวกเขาอาจผ่านเครื่องมือกรองของบุคคลที่สามที่แยก URL ออกเอง โทรไปที่ urlscan.ioทำการค้นหา รับผลลัพธ์ และใช้สิ่งนั้นเพื่อตัดสินใจว่าจะขยะ บล็อกสแปม หรือส่งผ่านข้อความ
และนั่นหมายความว่าในบางครั้ง หาก URL รวมข้อมูลที่เป็นความลับหรือกึ่งความลับ ข้อมูลส่วนบุคคลที่สามารถระบุตัวตนได้ คนอื่นๆ ที่เพิ่งเกิดขึ้นเพื่อค้นหาชื่อโดเมนที่ถูกต้องภายในระยะเวลาอันสั้นหลังจากนั้นก็จะเห็น URL ทั้งหมดที่ค้นหา ได้แก่ สิ่งที่อาจอยู่ใน URL
คุณรู้ไหมว่า blahblah?username=doug&passwordresetcode= ตามด้วยอักขระฐานสิบหกสตริงยาว และอื่นๆ
และ Bräunlein ก็มีรายชื่อ URL ที่น่าสนใจมากมาย โดยเฉพาะอย่างยิ่ง URL ที่อาจปรากฏในอีเมล ซึ่งอาจถูกส่งไปยังบุคคลที่สามเป็นประจำเพื่อทำการกรอง จากนั้นจึงได้รับการจัดทำดัชนีสำหรับการค้นหา
ประเภทของอีเมลที่เขาคิดว่าสามารถหาประโยชน์ได้นั้นรวมถึง แต่ไม่จำกัดเพียง: ลิงก์สำหรับสร้างบัญชี ลิงค์จัดส่งของขวัญของ Amazon; คีย์ API; คำขอลงนาม DocuSign; การถ่ายโอนไฟล์ดรอปบ็อกซ์ การติดตามพัสดุภัณฑ์ รีเซ็ตรหัสผ่าน ใบแจ้งหนี้ PayPal; การแชร์เอกสาร Google ไดรฟ์; คำเชิญของ SharePoint; และลิงก์ยกเลิกการสมัครรับจดหมายข่าว
ไม่ชี้นิ้วไปที่ SharePoint, Google Drive, PayPal และอื่น ๆ
นี่เป็นเพียงตัวอย่างของ URL ที่เขาพบซึ่งอาจถูกโจมตีด้วยวิธีนี้
ดั๊ก. เรามีคำแนะนำในตอนท้ายของบทความ ซึ่งสรุปได้ว่า: อ่านรายงานของบรอยน์ลีน อ่าน urlscan.ioโพสต์บล็อกของ; ตรวจสอบโค้ดของคุณเอง หากคุณมีรหัสที่ใช้ค้นหาความปลอดภัยออนไลน์ เรียนรู้คุณสมบัติความเป็นส่วนตัวที่มีอยู่สำหรับการส่งทางออนไลน์ และที่สำคัญ เรียนรู้วิธีรายงานข้อมูลปลอมไปยังบริการออนไลน์หากคุณพบเห็น
ฉันสังเกตว่ามีโคลงสามแบบ...
บทกวีสั้น ๆ ที่สร้างสรรค์มากในตอนท้ายของบทความนี้ ...
เป็ด. [MOCK HORROR] ไม่ พวกเขาไม่ใช่ลิเมอริค! Limericks มีโครงสร้างห้าบรรทัดที่เป็นทางการมาก...
ดั๊ก. [หัวเราะ] ฉันขอโทษจริงๆ ที่จริง!
เป็ด. …สำหรับทั้งมิเตอร์และสัมผัส
โครงสร้างดีมาก ดั๊ก!
ดั๊ก. ฉันขอโทษจริงดังนั้น [หัวเราะ]
เป็ด. นี่เป็นเพียงด็อกเกอเรล [หัวเราะ]
อีกครั้ง: หากมีข้อสงสัย/อย่าให้ออก.
และหากคุณกำลังรวบรวมข้อมูล: ถ้าไม่ควรใส่/ติดตรงถังขยะ.
และหากคุณเขียนโค้ดที่เรียก API สาธารณะที่สามารถเปิดเผยข้อมูลลูกค้าได้: อย่าทำให้ผู้ใช้ของคุณร้องไห้/ด้วยวิธีการที่คุณเรียก API.
ดั๊ก. [หัวเราะ] นั่นเป็นสิ่งใหม่สำหรับฉัน และฉันชอบอันนั้นมาก!
และสุดท้ายแต่ไม่ท้ายสุดในรายการของเราที่นี่ เราได้พูดคุยกันทุกสัปดาห์เกี่ยวกับจุดบกพร่องด้านความปลอดภัยของ OpenSSL นี้
คำถามใหญ่ในตอนนี้คือ “บอกได้ไง ต้องแก้ไขอะไรบ้าง”
เรื่องราวการอัปเดตความปลอดภัยของ OpenSSL – คุณจะบอกได้อย่างไรว่าต้องแก้ไขอะไร
เป็ด. จริงสิ ดั๊ก เราจะรู้ได้อย่างไรว่าเรามี OpenSSL เวอร์ชันใด
และแน่นอนว่าบน Linux คุณเพียงแค่เปิดพรอมต์คำสั่งแล้วพิมพ์ openssl versionและบอกคุณถึงเวอร์ชันที่คุณมี
แต่ OpenSSL เป็นไลบรารีการเขียนโปรแกรม และไม่มีกฎเกณฑ์ใดที่ระบุว่าซอฟต์แวร์ไม่มีเวอร์ชันของตัวเอง
distro ของคุณอาจใช้ OpenSSL 3.0 และยังมีแอปที่ระบุว่า "ไม่ เรายังไม่ได้อัปเกรดเป็นเวอร์ชันใหม่ เราชอบ OpenSSL 1.1.1 เพราะยังคงรองรับอยู่ และในกรณีที่คุณไม่มี เรากำลังนำเสนอเวอร์ชันของเราเอง”
โชคไม่ดีที่เหมือนกับกรณี Log4Shell ที่น่าอับอายนั้น คุณต้องไปตามหาทั้งสามคนนั้น? 12? 154? ใครจะรู้ว่ามีกี่แห่งบนเครือข่ายของคุณที่คุณอาจมีโปรแกรม Log4J ที่ล้าสมัย
เช่นเดียวกับ OpenSSL
ในทางทฤษฎี เครื่องมือ XDR หรือ EDR อาจบอกคุณได้ แต่เครื่องมือบางอย่างไม่รองรับเครื่องมือนี้ และหลายเครื่องมือก็ไม่สนับสนุน เช่น เรียกใช้โปรแกรมจริงเพื่อดูว่าเป็นเวอร์ชันใด
เพราะท้ายที่สุดแล้ว ถ้ามันบั๊กกี้หรือผิด และคุณต้องเรียกใช้โปรแกรมจริง ๆ เพื่อให้มันรายงานเวอร์ชันของมันเอง...
…ให้ความรู้สึกเหมือนวางเกวียนไว้หน้าม้า จริงไหม?
ดังนั้นเราจึงตีพิมพ์บทความสำหรับกรณีพิเศษเหล่านั้นที่คุณต้องการโหลด DLL หรือไลบรารีที่ใช้ร่วมกัน และคุณต้องการเรียกมันว่าของตัวเองจริงๆ TellMeThyVersion() รหัสซอฟต์แวร์
กล่าวอีกนัยหนึ่งคือ คุณไว้วางใจโปรแกรมมากพอที่คุณจะโหลดลงในหน่วยความจำ รันโปรแกรม และเรียกใช้ส่วนประกอบบางอย่างของโปรแกรม
เราจะแสดงให้คุณเห็นถึงวิธีการดังกล่าว เพื่อให้คุณมั่นใจได้ว่าไฟล์ OpenSSL ภายนอกใดๆ ที่คุณมีในเครือข่ายของคุณเป็นข้อมูลล่าสุด
เพราะถึงแม้ว่าสิ่งนี้จะถูกปรับลดรุ่นจาก CRITICAL เป็น HIGH แต่ก็ยังเป็นข้อบกพร่องที่คุณต้องการและต้องการแก้ไข!
ดั๊ก. ในเรื่องของความรุนแรงของจุดบกพร่องนี้ เราได้ an คำถามที่น่าสนใจ จากผู้อ่านความปลอดภัย Naked Svet ผู้เขียนบางส่วน:
เป็นไปได้อย่างไรที่บั๊กที่มีความซับซ้อนอย่างมากสำหรับการแสวงประโยชน์ และสามารถใช้ได้เฉพาะสำหรับการโจมตีแบบปฏิเสธการให้บริการเท่านั้น ยังคงถูกจัดอยู่ในระดับสูง
เป็ด. ใช่ ฉันคิดว่าเขาพูดอะไรบางอย่างเกี่ยวกับ "โอ้ ทีม OpenSL ไม่เคยได้ยินเกี่ยวกับ CVSS เหรอ" ซึ่งเป็นมาตรฐานของรัฐบาลสหรัฐฯ ถ้าคุณต้องการ สำหรับการเข้ารหัสระดับความเสี่ยงและความซับซ้อนของข้อบกพร่องในแบบที่สามารถทำได้ กรองโดยอัตโนมัติตามสคริปต์
ดังนั้นหากมีคะแนน CVSS ต่ำ (ซึ่งก็คือ ระบบการให้คะแนนช่องโหว่ทั่วไป) ทำไมผู้คนถึงตื่นเต้นกับมัน?
ทำไมมันถึงสูง?
ดังนั้นคำตอบของฉันคือ "ทำไม *ไม่ควร* มันสูง"
เป็นข้อบกพร่องในเอ็นจิ้นการเข้ารหัส มันอาจทำให้โปรแกรมขัดข้อง พูดได้ว่า ที่พยายามรับการอัปเดต... ดังนั้นมันจะพังครั้งแล้วครั้งเล่า ซึ่งเป็นมากกว่าการปฏิเสธบริการเล็กน้อย เพราะจริงๆ แล้ว มันขัดขวางไม่ให้คุณทำการรักษาความปลอดภัยอย่างถูกต้อง
มีองค์ประกอบของบายพาสความปลอดภัย
และฉันคิดว่าอีกส่วนหนึ่งของคำตอบคือ เมื่อพูดถึงช่องโหว่ที่กลายเป็นช่องโหว่: “อย่าพูดว่าไม่เลย!”
เมื่อคุณมีบางอย่างเช่น stack buffer overflow ซึ่งคุณสามารถจัดการตัวแปรอื่นๆ บน stack ได้ ซึ่งอาจรวมถึงที่อยู่ของหน่วยความจำด้วย มีโอกาสที่ใครบางคนอาจค้นพบช่องโหว่ที่ใช้การได้เสมอ
และปัญหาของดั๊กก็คือ เมื่อพวกเขาคิดออกแล้ว ไม่สำคัญว่าการคิดออกจะซับซ้อนแค่ไหน...
…เมื่อคุณรู้วิธีใช้ประโยชน์จากมันแล้ว *ใครก็ตาม* ก็สามารถทำได้ เพราะคุณสามารถขายรหัสให้พวกเขาได้
ฉันคิดว่าคุณรู้ว่าฉันจะพูดอะไร: "ไม่ใช่ว่าฉันรู้สึกรุนแรงเกี่ยวกับเรื่องนี้"
[เสียงหัวเราะ]
เป็นอีกครั้งที่หนึ่งในสิ่งเหล่านั้น
ดั๊ก. ดีมาก ขอบคุณมาก Svet ที่เขียนความคิดเห็นและส่งเข้ามา
หากคุณมีเรื่องราว ข้อคิดเห็น หรือคำถามที่น่าสนใจที่คุณต้องการส่ง เรายินดีที่จะอ่านในพอดแคสต์
คุณสามารถส่งอีเมลไปที่ tips@sophos.com หรือแสดงความคิดเห็นในบทความของเรา หรือจะติดต่อหาเราบนโซเชียล: @nakedsecurity
นั่นคือการแสดงของเราในวันนี้ ขอบคุณมากสำหรับการฟัง
สำหรับ Paul Ducklin ฉัน Doug Aamoth เตือนคุณถึงครั้งต่อไปที่จะ...
ทั้งสอง รักษาความปลอดภัย!
- blockchain
- หน้าอก
- เหรียญอัจฉริยะ
- cryptocurrency
- กระเป๋าสตางค์ cryptocurrency
- การแลกเปลี่ยนการเข้ารหัสลับ
- การรักษาความปลอดภัยในโลกไซเบอร์
- อาชญากรไซเบอร์
- cybersecurity
- กรมความมั่นคงภายในประเทศ
- กระเป๋าสตางค์ดิจิตอล
- เอาเปรียบ
- ไฟร์วอลล์
- Kaspersky
- กฎหมายและระเบียบ
- มัลแวร์
- แมคคาฟี
- ไมโครซอฟท์
- ความปลอดภัยเปล่า
- พอดคาสต์ความปลอดภัยเปลือยกาย
- เน็กซ์บล๊อก
- แพทช์อังคาร
- เพลโต
- เพลโตไอ
- เพลโตดาต้าอินเทลลิเจนซ์
- เกมเพลโต
- เพลโตดาต้า
- เพลโตเกม
- พอดคาสต์
- ความเป็นส่วนตัว
- VPN
- ความอ่อนแอ
- ความปลอดภัยของเว็บไซต์
- หน้าต่าง
- ลมทะเล
