“รหัสส่วนตัว”: คำใบ้อยู่ในชื่อ
ไม่มีเครื่องเล่นเสียงด้านล่าง? ฟัง โดยตรง บนซาวด์คลาวด์
ดั๊ก เอมอธ และพอล ดักคลิน เพลงอินโทรและเอาท์โดย อีดิธ มัดจ์.
สามารถรับฟังเราได้ที่ Soundcloud, Apple Podcasts, Google Podcast, Spotify, Stitcher และทุกที่ที่มีพอดแคสต์ดีๆ หรือเพียงแค่วาง URL ของฟีด RSS ของเรา ลงในพอดแคตเตอร์ที่คุณชื่นชอบ
อ่านข้อความถอดเสียง
ดั๊ก. ตัวติดตามบลูทูธ bootkits ที่น่ารำคาญ และวิธีที่ไม่ได้งาน
ทั้งหมดนั้นและอีกมากมายในพอดแคสต์ Naked Security
[โมเด็มดนตรี]
ยินดีต้อนรับสู่พอดคาสต์ทุกคน
ฉันดั๊ก อามอธ
เขาคือพอล ดั๊กลิน…
เพลิดเพลินไปกับเกร็ดเล็กเกร็ดน้อยนี้จาก Tech History
สัปดาห์นี้ เมื่อวันที่ 11 พฤษภาคม พ.ศ. 1979 โลกได้ดู VisiCalc หรือ Visible Calculator เป็นครั้งแรก ซึ่งเป็นโปรแกรมที่คำนวณสเปรดชีตใหม่โดยอัตโนมัติ
ผลงานสร้างสรรค์ของ Daniel Bricklin ผู้สมัคร MBA จาก Harvard และ Robert Frankston โปรแกรมเมอร์ ทำให้ VisiCalc เปลี่ยน Apple II ให้กลายเป็นเครื่องจักรธุรกิจที่ใช้งานได้จริง และขายได้มากกว่า 100,000 ชุดในปีแรก
เป็ด. เหลือเชื่อ ดั๊ก
ฉันจำได้ว่าครั้งแรกที่ฉันเห็นสเปรดชีตที่ทำด้วยคอมพิวเตอร์
ฉันไม่ได้อยู่ที่ทำงาน… ฉันเป็นแค่เด็ก และสำหรับฉันแล้ว จากสิ่งที่ฉันได้อ่านเกี่ยวกับสิ่งนี้ มันเป็นเพียงเครื่องคิดเลขแบบเต็มหน้าจอที่เชิดชู
แต่เมื่อฉันตระหนักว่ามันเป็นเครื่องคิดเลขที่สามารถทำซ้ำได้ทุกอย่าง รวมถึงการพึ่งพาทั้งหมดนี้ ดั๊กอาจใช้คำที่ร่วมสมัยกว่า "เหลือเชื่อ"
ดั๊ก. แอปพลิเคชั่นที่สำคัญมากในยุคแรก ๆ ของคอมพิวเตอร์
เรามาต่อกันที่แอปพลิเคชันเมื่อเราเข้าสู่เรื่องแรกของเรา
พอล ถ้าฉันกำลังมองหางานด้านความปลอดภัยของแอปพลิเคชัน ฉันคิดว่าสิ่งที่ดีที่สุดที่ฉันทำได้คือการวางยาพิษในห่วงโซ่อุปทานของแอปพลิเคชันยอดนิยม
นั่นถูกต้องใช่ไหม?
เป็ด. ได้ เนื่องจากคุณสามารถแก้ไขไฟล์ JSON ที่อธิบายแพ็คเกจได้ และแทนที่จะพูดว่า “นี่คือแพ็คเกจที่จะช่วยคุณสร้างโค้ด QR” เช่น คุณสามารถพูดว่า “ฉันเป็นเจ้าของ ฉันกำลังมองหางานใน Application Security”
[เสียงหัวเราะ]
แล้วใครจะไม่รีบจ้างคุณล่ะ ดั๊ก
ดั๊ก. ใช่!
เป็ด. แต่น่าเศร้าที่เป็นเครื่องย้ำเตือนอีกครั้งว่าห่วงโซ่อุปทานนั้นแข็งแกร่งพอๆ กับส่วนที่อ่อนแอที่สุดเท่านั้น
และถ้าคุณปล่อยให้ลิงก์เหล่านั้นได้รับการตัดสินและพึงพอใจโดยอัตโนมัติ คุณก็สามารถถูกต่อว่าได้โดยง่ายจากสิ่งนี้
ผู้โจมตี… ขอเรียกเขาว่า
(เป็นการแฮ็กจริง ๆ หรือเปล่า ฉันคิดว่าเป็นอย่างนั้น)
พวกเขาเพียงแค่สร้างที่เก็บใหม่บน GitHub คัดลอกโครงการที่ถูกต้องและใส่ข้อความ "เฮ้ ฉันต้องการงาน พวก"
จากนั้นพวกเขาก็ไปที่ PHP Packagist และเปลี่ยนลิงก์เพื่อพูดว่า “โอ้ ไม่ อย่าไปสถานที่จริงบน GitHub ไปที่ปลอม”
ดังนั้นมันอาจจะแย่กว่านี้มาก
เพราะแน่นอนว่าใครก็ตามที่ทำเช่นนั้น… หากพวกเขาสามารถแก้ไขไฟล์ JSON ที่อธิบายถึงแพ็คเกจได้ พวกเขาก็สามารถแก้ไขโค้ดที่อยู่ในแพ็คเกจเพื่อรวมสิ่งต่าง ๆ เช่น คีย์ล็อกเกอร์ แบ็คดอร์ ตัวขโมยข้อมูล มัลแวร์ที่ติดตั้งมัลแวร์ และอื่น ๆ .
ดั๊ก. โอเค ดูเหมือนว่าส่วนที่แฮ็กที่สุดของเรื่องนี้ก็คือ เขาเดาชื่อผู้ใช้และรหัสผ่านสำหรับบัญชีเก่าๆ ที่ไม่ได้ใช้งาน แล้วเปลี่ยนเส้นทางการรับส่งข้อมูลไปยังแพ็คเกจเหล่านี้ที่เขาลอกมา ใช่ไหม
เป็ด. แก้ไข.
เขาไม่จำเป็นต้องแฮ็คเข้าสู่บัญชี GitHub
เขาแค่ไปหาแพ็คเกจที่ผู้คนชอบและใช้กัน แต่ที่นักพัฒนาอาจไม่ต้องการหรือต้องการรบกวนพวกเขาอีกสักระยะหนึ่ง ยังไม่ได้เข้าสู่ระบบ อาจไม่ได้เปลี่ยนรหัสผ่านหรือเพิ่มประเภทใด ๆ 2FA ในช่วงไม่กี่ปีที่ผ่านมา
และนั่นคือวิธีที่เขาเข้ามา
และฉันคิดว่าฉันรู้ว่าคุณกำลังจะไปไหน ดั๊ก เพราะนั่นนำไปสู่เคล็ดลับที่คุณชอบ
ดั๊ก. แน่นอน!
มีเคล็ดลับอยู่หลายข้อ... คุณสามารถไปที่บทความเพื่ออ่านทั้งหมด แต่เราจะเน้นบางข้อ โดยเริ่มจากข้อที่ฉันชอบ: อย่าทำเช่นนี้
เป็ด. ใช่ ฉันคิดว่าเราเข้าใจแล้วว่าทำไมคุณถึงไม่ได้งาน
[เสียงหัวเราะ]
คดีนี้… มันอาจไม่เพียงพอที่จะทำให้คุณติดคุก แต่แน่นอนว่า ในสหรัฐอเมริกาและสหราชอาณาจักร มันจะเป็นความผิดภายใต้พระราชบัญญัติการฉ้อโกงทางคอมพิวเตอร์และการใช้ในทางที่ผิดที่เกี่ยวข้องของเรา ใช่หรือไม่?
เข้าสู่ระบบบัญชีของบุคคลอื่นโดยไม่ได้รับอนุญาต และเล่นซอกับสิ่งต่างๆ
ดั๊ก. จากนั้นอาจเป็นคำแนะนำที่จับต้องได้เล็กน้อย: อย่าสุ่มสี่สุ่มห้ายอมรับการอัปเดตห่วงโซ่อุปทานโดยไม่ตรวจสอบความถูกต้อง
นั่นเป็นสิ่งที่ดี
เป็ด. ใช่.
มันเป็นหนึ่งในนั้นใช่ไหม เช่น “นี่ พวกคุณ ใช้เครื่องมือจัดการรหัสผ่าน เปิด 2FA”?
เช่นเดียวกับที่เราเจอในวัน Password Day… เราต้องพูดสิ่งเหล่านี้เพราะมันใช้ได้ผล: มันมีประโยชน์ พวกเขามีความสำคัญ
ไม่ว่าอนาคตจะพาเราไปทางไหน เราก็ต้องอยู่กับปัจจุบัน
และมันเป็นหนึ่งในสิ่งเหล่านั้นที่ทุกคนรู้… แต่บางครั้งเราทุกคนก็จำเป็นต้องได้รับการเตือนด้วยตัวอักษรตัวใหญ่ ตัวหนา เหมือนที่เราเคยทำใน Naked
บทความความปลอดภัย
ดั๊ก. ดีมาก
เรื่องต่อไปของเรา… ฉันเชื่อว่าครั้งสุดท้ายที่เราพูดถึงเรื่องนี้ ฉันพูดและพูดว่า “เราจะจับตาดูเรื่องนี้”
และเรามีอัพเดท
นี่เป็นเรื่องเกี่ยวกับการละเมิดเมนบอร์ดของ MSI; คีย์ความปลอดภัยที่รั่วไหลออกมา
เกิดอะไรขึ้นที่นี่ พอล?
คีย์ความปลอดภัยสำหรับเมนบอร์ดระดับต่ำรั่วไหลในการละเมิด MSI นักวิจัยอ้างว่า
เป็ด. คุณอาจจำสิ่งนี้ได้หากคุณเป็นผู้ฟังเป็นประจำ
เมื่อเดือนที่แล้วใช่ไหมที่ทีมแรนซั่มแวร์ที่ใช้ชื่อถนนว่า Money Message เขียนข้อความบนเว็บไซต์มืดของพวกเขาว่า “เราได้ละเมิด MicroStar International” หรือที่รู้จักกันดีในชื่อ MSI ผู้ผลิตเมนบอร์ดที่มีชื่อเสียงซึ่งเป็นที่นิยมในหมู่เกมเมอร์สำหรับเมนบอร์ดที่ปรับแต่งได้
“เราได้แฮ็กข้อมูลของพวกเขา รวมถึงซอร์สโค้ด เครื่องมือพัฒนา และคีย์ส่วนตัว เราจะเผยแพร่ข้อมูลที่ถูกขโมยเมื่อหมดเวลา” พวกเขากล่าว
ฉันย้อนกลับไปเมื่อ XNUMX-XNUMX วันก่อน ตัวจับเวลาหมดอายุไปนานกว่าหนึ่งเดือนแล้ว แต่ตัวจับเวลายังคงแจ้งว่า “เราจะเผยแพร่ข้อมูลที่ถูกขโมยเมื่อตัวจับเวลาหมดอายุ”
ดังนั้นพวกเขาจึงยังไม่ได้ตีพิมพ์
แต่นักวิจัยจากบริษัทที่ชื่อว่า Binarly อ้างว่าพวกเขามีสำเนาของข้อมูลอยู่จริง ว่ามันรั่วไหลออกมา
และเมื่อพวกเขาทำการตรวจสอบ พวกเขาพบกุญแจส่วนตัวจำนวนมากฝังอยู่ในข้อมูลนั้น
น่าเสียดายที่หากสิ่งที่พวกเขาพบนั้นถูกต้อง มันก็เป็นการผสมผสานที่ลงตัวทีเดียว
เห็นได้ชัดว่ามีสี่ปุ่มสำหรับสิ่งที่เรียกว่า Intel Boot Guard
ตอนนี้ สิ่งเหล่านี้ไม่ใช่คีย์ของ Intel เพื่อให้ชัดเจน: เป็นคีย์ของ OEM หรือผู้ผลิตมาเธอร์บอร์ด ซึ่งใช้เพื่อลองและล็อกเมนบอร์ดในขณะรันไทม์จากการอัปเดตเฟิร์มแวร์ที่ไม่ได้รับอนุญาต
27 คีย์การเซ็นชื่ออิมเมจเฟิร์มแวร์
ดังนั้นคีย์เหล่านี้จึงเป็นคีย์ส่วนตัวที่ผู้ผลิตแผงวงจรหลักอาจใช้เพื่อลงนามในอิมเมจเฟิร์มแวร์ใหม่ที่พวกเขาให้คุณดาวน์โหลด คุณจึงมั่นใจได้ว่าเป็นคีย์ที่ถูกต้องและมาจากคีย์เหล่านั้นจริงๆ
และคีย์หนึ่งที่พวกเขาเรียกว่าคีย์การดีบัก Intel OEM
อีกครั้ง นั่นไม่ใช่คีย์จาก Intel… เป็นคีย์ที่ใช้สำหรับคุณลักษณะที่ Intel มีให้ในฮาร์ดแวร์ควบคุมมาเธอร์บอร์ด ซึ่งจะตัดสินว่าคุณได้รับอนุญาตให้เจาะระบบหรือไม่ในขณะที่กำลังบูท โดยมีดีบักเกอร์
และแน่นอน หากคุณสามารถใช้งานดีบักเกอร์ในระดับต่ำที่สุดเท่าที่จะเป็นไปได้ คุณก็สามารถทำสิ่งต่างๆ เช่น การอ่านข้อมูลที่ควรจะมีเฉพาะในที่จัดเก็บข้อมูลที่ปลอดภัยเท่านั้น และเล่นซอกับโค้ดที่ปกติแล้วต้องมีการเซ็นชื่อ
หากคุณต้องการ การ์ด Access All Areas ที่คุณต้องถือไว้ซึ่งระบุว่า “ฉันไม่ต้องการลงเฟิร์มแวร์ใหม่ ฉันต้องการเรียกใช้เฟิร์มแวร์ที่มีอยู่ แต่ฉันต้องการที่จะหยุดมันได้ เล่นซอกับมัน; สอดแนมในหน่วยความจำ”
และตามที่ Intel ระบุอย่างเย้ยหยัน เกือบจะเหน็บแนมในเอกสารประกอบของตนเองสำหรับคีย์การอนุญาตการดีบักเหล่านี้: “สันนิษฐานว่าผู้ผลิตเมนบอร์ดจะไม่แบ่งปันคีย์ส่วนตัวกับบุคคลอื่น”
พูดสั้นๆ ก็คือมันเป็นคีย์ส่วนตัว เพื่อนๆ… คำใบ้อยู่ในชื่อ
[เสียงหัวเราะ]
น่าเสียดายที่ในกรณีนี้ ดูเหมือนว่ามีอย่างน้อยหนึ่งคีย์ที่รั่วไหลออกมา พร้อมกับคีย์การเซ็นชื่ออื่น ๆ อีกหลายอันที่สามารถใช้เพื่อยุติการป้องกันที่ควรจะมีในเมนบอร์ดของคุณเล็กน้อย สำหรับผู้ที่ต้องการใช้ประโยชน์จากพวกเขา
และอย่างที่ฉันได้กล่าวไปในบทความ คำแนะนำเดียวที่เราสามารถให้ได้คือ: ระวังที่นั่นคน
ดั๊ก. เป็นตัวหนา!
เป็ด. มันใช่จริงๆ ดั๊ก
พยายามและระมัดระวังเท่าที่คุณจะทำได้เกี่ยวกับตำแหน่งที่คุณได้รับการอัปเดตเฟิร์มแวร์
ดังที่เรากล่าวไว้ว่า "จงระวังให้ดี"
และแน่นอนว่าใช้กับลูกค้ามาเธอร์บอร์ดของ MSI เพียงระวังว่าคุณได้รับการอัปเดตจากที่ใด ซึ่งฉันหวังว่าคุณจะดำเนินการต่อไป
และหากคุณเป็นคนที่ต้องดูแลคีย์การเข้ารหัส ไม่ว่าคุณจะเป็นผู้ผลิตเมนบอร์ดหรือไม่ก็ตาม โปรดระวัง เพราะอย่างที่ Intel ได้เตือนเราทุกคนแล้ว มันคือคีย์ส่วนตัว
ดั๊ก. ได้เลย เยี่ยมมาก
ฉันจะพูดว่า “คอยดูกันต่อไป”… ฉันมีความรู้สึกว่ามันยังไม่จบ
Microsoft ในเรื่องราวกึ่งๆ
นี่เป็นเรื่องที่น่าสนใจเพราะการอัปเดตเป็นแบบอัตโนมัติและคุณไม่ต้องกังวลกับเรื่องนี้
อันนี้พวกเขากำลังใช้เวลากับ
Bootkit zero-day fix – นี่คือแพตช์ที่ Microsoft ระมัดระวังที่สุดเท่าที่เคยมีมาหรือไม่?
เป็ด. พวกเขาคือดักลาส
ตอนนี้ ปัญหานี้ไม่ร้ายแรงหรือรุนแรงเท่าปัญหาการเพิกถอนคีย์การอัปเดตเฟิร์มแวร์ของเมนบอร์ด เพราะเรากำลังพูดถึง Secure Boot ซึ่งเป็นกระบวนการที่ Microsoft มีอยู่เมื่อเปิด Secure Boot เพื่อป้องกันไม่ให้ซอฟต์แวร์ปลอมทำงานหมด ของสิ่งที่เรียกว่า EFI ซึ่งเป็นพาร์ติชันเริ่มต้นของ Extensible Firmware Interface บนฮาร์ดดิสก์ของคุณ
ดังนั้น หากคุณบอกระบบของคุณว่า “เฮ้ ฉันต้องการบล็อกโมดูลนี้โดยเฉพาะ เพราะมันมีข้อบกพร่องด้านความปลอดภัยอยู่ในนั้น” หรือ “ฉันต้องการเลิกใช้คีย์ความปลอดภัยนี้” แล้วเกิดสิ่งเลวร้ายขึ้นและคอมพิวเตอร์ของคุณชนะ ไม่บูต…
…ด้วยสถานการณ์ของ Microsoft สิ่งที่เลวร้ายที่สุดที่อาจเกิดขึ้นได้คือ คุณจะไป “ฉันรู้ ฉันจะไปเอาซีดีกู้ข้อมูลที่ฉันทำไว้เมื่อสามเดือนก่อน แล้วเสียบปลั๊ก โอ้ ที่รัก มันบูตไม่ได้!”
เนื่องจากอาจมีรหัสเก่าที่ถูกเพิกถอนแล้ว
ดังนั้น มันไม่แย่เท่ากับการเผาเฟิร์มแวร์ในเมนบอร์ดที่ไม่ทำงาน แต่มันไม่สะดวกอย่างยิ่ง โดยเฉพาะอย่างยิ่งถ้าคุณมีคอมพิวเตอร์เพียงเครื่องเดียวหรือคุณทำงานจากที่บ้าน
คุณอัปเดต "โอ้ ฉันได้ติดตั้ง bootloader ใหม่แล้ว; ฉันได้เพิกถอนการอนุญาตให้ใช้อันเก่า ตอนนี้คอมพิวเตอร์ของฉันมีปัญหาเมื่อสามหรือสี่สัปดาห์ก่อน ดังนั้นฉันจะคว้าอุปกรณ์ USB ที่ฉันทำเมื่อสองสามเดือนก่อน”
คุณเสียบเข้าไป… “โอ้ ไม่ ฉันทำอะไรไม่ได้! ฉันรู้แล้ว ฉันจะออนไลน์และจะดาวน์โหลดอิมเมจการกู้คืนจาก Microsoft หวังว่าพวกเขาจะอัปเดตอิมเมจการกู้คืนแล้ว โอ้ ที่รัก ฉันจะออนไลน์ได้อย่างไร เพราะคอมพิวเตอร์ของฉันบูทไม่ได้”
ดังนั้น มันยังไม่ใช่จุดจบของโลก คุณยังสามารถฟื้นตัวได้แม้ว่าทุกอย่างจะผิดพลาดอย่างมหันต์ก็ตาม
แต่ฉันคิดว่าสิ่งที่ Microsoft ทำที่นี่คือพวกเขาตัดสินใจใช้วิธีที่นุ่มนวล นุ่มนวล ช้าๆ และนุ่มนวล เพื่อไม่ให้ใครเข้าไปอยู่ในสถานการณ์นั้น...
…ที่พวกเขาทำการอัปเดตเสร็จแล้ว แต่พวกเขายังไม่ค่อยได้อัปเดตดิสก์กู้คืนข้อมูล, ISO, USB ที่สามารถบู๊ตได้ และจากนั้นพวกเขาก็พบปัญหา
น่าเสียดาย นั่นหมายถึงการบังคับให้ผู้คนทำการอัปเดตด้วยวิธีที่เงอะงะและซับซ้อน
ดั๊ก. ตกลง มันเป็นกระบวนการสามขั้นตอน
ขั้นตอนที่หนึ่งคือการดึงข้อมูลอัปเดตและติดตั้ง ซึ่งจุดนั้นคอมพิวเตอร์ของคุณจะใช้รหัสการบู๊ตเครื่องใหม่ แต่จะยังคงยอมรับรหัสเก่าที่สามารถใช้ประโยชน์ได้
เป็ด. ดังนั้นเพื่อความชัดเจน คุณยังคงอ่อนแออยู่
ดั๊ก. ใช่.
เป็ด. คุณมีแพตช์แล้ว แต่คุณสามารถ "ปลดแพตช์" ได้โดยคนที่มีความสนใจแย่ที่สุดกับคุณ
แต่คุณพร้อมสำหรับขั้นตอนที่สองแล้ว
ดั๊ก. ใช่.
ดังนั้นภาคแรกจึงตรงไปตรงมาพอสมควร
ขั้นตอนที่สอง จากนั้นคุณไปแก้ไข ISO และคีย์ USB ทั้งหมด และดีวีดีทั้งหมดที่คุณเบิร์นด้วยอิมเมจการกู้คืน
เป็ด. ขออภัย ฉันหวังว่าเราจะสามารถใส่คำแนะนำในบทความ Naked Security ได้ แต่คุณต้องไปที่คำแนะนำอย่างเป็นทางการของ Microsoft เนื่องจากมีวิธีการดำเนินการที่แตกต่างกันถึง 17 วิธีสำหรับระบบการกู้คืนแต่ละประเภทที่คุณต้องการ
ไม่ใช่แบบฝึกหัดเล็กน้อยที่จะเติมเต็มสิ่งเหล่านั้นทั้งหมด
ดั๊ก. ดังนั้น ณ จุดนี้ คอมพิวเตอร์ของคุณได้รับการอัปเดตแล้ว แต่จะยังคงยอมรับรหัสบั๊กกี้เก่า และอุปกรณ์การกู้คืนและอิมเมจของคุณได้รับการอัปเดตแล้ว
ตอนนี้ ขั้นตอนที่สาม: คุณต้องการยกเลิกรหัสบั๊กกี้ ซึ่งคุณต้องทำด้วยตนเอง
เป็ด. ใช่ มีเรื่องยุ่งเกี่ยวกับรีจิสทรีเล็กน้อย และบรรทัดคำสั่งที่เกี่ยวข้องในการทำเช่นนั้น
ในทางทฤษฎีแล้ว คุณสามารถทำขั้นตอนที่หนึ่งและขั้นตอนที่สามได้ในคราวเดียว และ Microsoft ก็สามารถดำเนินการให้โดยอัตโนมัติได้
พวกเขาสามารถติดตั้งรหัสการบูตใหม่ได้ พวกเขาอาจจะบอกระบบว่า “เราไม่ต้องการให้โค้ดเก่าทำงานอีกต่อไป” แล้วบอกกับคุณว่า “บางครั้ง (อย่าปล่อยไว้นานเกินไป) ไปทำขั้นตอนที่สอง”
แต่เราทุกคนรู้ว่าจะเกิดอะไรขึ้น [หัวเราะ] เมื่อไม่มีความชัดเจนและความจำเป็นเร่งด่วนที่ต้องทำบางอย่าง เช่น การสำรองข้อมูล ซึ่งคุณเลื่อนมันออกไป และคุณเลื่อนมันออกไป และคุณเลื่อนมันออกไป...
ดังนั้น สิ่งที่พวกเขาพยายามทำคือให้คุณทำสิ่งเหล่านี้ ในคำสั่งที่สะดวกน้อยที่สุด แต่คำสั่งที่มีโอกาสจะมีปัญหาน้อยที่สุด หากมีสิ่งผิดปกติเกิดขึ้นกับคอมพิวเตอร์ของคุณภายในสามวัน สามสัปดาห์ สามเดือนหลังจากที่คุณใช้แพตช์นี้
แม้ว่านั่นจะหมายความว่า Microsoft ได้สร้างไม้เรียวสำหรับหลังของพวกเขาเอง แต่ฉันคิดว่ามันเป็นวิธีที่ดีที่จะทำเพราะคนที่ต้องการล็อคสิ่งนี้จริง ๆ ตอนนี้มีวิธีที่ชัดเจนในการทำมัน
ดั๊ก. สำหรับเครดิตของ Microsoft พวกเขากำลังพูดว่า "ตกลง คุณสามารถทำสิ่งนี้ได้ในตอนนี้ (เป็นกระบวนการที่ค่อนข้างยุ่งยาก) แต่เรากำลังดำเนินการกับกระบวนการที่มีความคล่องตัวมากขึ้น ซึ่งเราหวังว่าจะเสร็จภายในกรอบเวลาเดือนกรกฎาคม และจากนั้นต้นปีหน้า ในปี 2024 หากคุณยังไม่ดำเนินการ เราจะบังคับอัปเดต อัปเดตอัตโนมัติทุกเครื่องที่ไวต่อสิ่งนี้”
เป็ด. พวกเขากำลังพูดว่า “ในขณะนี้ เรากำลังคิดที่จะให้เวลาคุณอย่างน้อยหกเดือนก่อนที่เราจะพูดว่า เพื่อประโยชน์สูงสุดคือ 'คุณจะได้รับการเพิกถอนนี้อย่างถาวร อะไรก็เกิดขึ้นได้'”
ดั๊ก. ตกลง
และตอนนี้เรื่องราวสุดท้ายของเรา: Apple และ Google กำลังร่วมมือกันเพื่อกำหนดมาตรฐานสำหรับตัวติดตามบลูทูธ
ติดตามโดยแท็กที่ซ่อนอยู่? Apple และ Google ร่วมกันเสนอมาตรฐานความปลอดภัยและความมั่นคง…
เป็ด. ใช่.
เราได้พูดคุยเกี่ยวกับ AirTags หลายครั้งแล้วใช่ไหม ใน Naked Security และในพอดแคสต์
ไม่ว่าคุณจะรักหรือเกลียดพวกเขา พวกเขาก็ดูเหมือนจะค่อนข้างเป็นที่นิยม และ Apple ไม่ใช่บริษัทเดียวที่สร้างสิ่งเหล่านี้
หากคุณมีโทรศัพท์ Apple หรือโทรศัพท์ Google คุณสามารถ "ขอยืม" เครือข่ายโดยรวมได้ หากต้องการ ให้อาสาสมัครไป "อืม ฉันเห็นแท็กนี้ ฉันไม่รู้ว่ามันเป็นของใคร แต่ฉันแค่เรียกมันว่าบ้านของฐานข้อมูล เพื่อให้เจ้าของที่แท้จริงสามารถค้นหาและดูว่ามีผู้พบเห็นมันหรือไม่เนื่องจากพวกเขาหลงทาง”
แท็กสะดวกมาก… ดังนั้นจะดีแค่ไหนหากมีมาตรฐานบางอย่างที่ทุกคนสามารถปฏิบัติตามได้ซึ่งจะช่วยให้เราใช้ผลิตภัณฑ์ที่มีประโยชน์มากเหล่านี้ต่อไปได้ แต่อย่าให้เป็นสวรรค์ของนักสะกดรอยอย่างที่พวกไม่หวังดีบางคน ดูเหมือนจะเรียกร้อง?
เป็นภาวะที่กลืนไม่เข้าคายไม่ออกที่น่าสนใจใช่ไหม
ในช่วงหนึ่งของชีวิต พวกเขาต้องระวังอย่างยิ่งที่จะไม่แสดงตัวว่าเป็นอุปกรณ์ชิ้นเดียวกันตลอดเวลา
แต่เมื่อพวกเขาถอยห่างจากคุณ (และอาจมีคนแอบเข้าไปในรถของคุณหรือติดไว้ในกระเป๋าเป้ของคุณ) คุณต้องทำให้ชัดเจนพอสมควรว่า “ใช่ ฉันชื่อเดียวกับ *ไม่ใช่” * ของคุณนั่นอยู่กับคุณในช่วงสองสามชั่วโมงที่ผ่านมา”
ดังนั้นบางครั้งพวกเขาจึงต้องค่อนข้างเป็นความลับ และในบางครั้งพวกเขาก็ต้องเปิดเผยมากขึ้น เพื่อใช้การป้องกันเหล่านี้ที่เรียกว่าการป้องกันการสะกดรอยตาม
ดั๊ก. ตกลง สิ่งสำคัญคือต้องแจ้งให้ทราบว่านี่เป็นเพียงฉบับร่าง และมันออกมาในต้นเดือนพฤษภาคม
มีความคิดเห็นและข้อเสนอแนะหกเดือน ดังนั้นสิ่งนี้อาจเปลี่ยนแปลงได้อย่างมากเมื่อเวลาผ่านไป แต่เป็นการเริ่มต้นที่ดี
เรามีความคิดเห็นมากมายเกี่ยวกับบทความนี้ รวมถึงบทความนี้จาก Wilbur ผู้เขียน:
ฉันไม่ได้ใช้แกดเจ็ต Bluetooth เลย ดังนั้นฉันจึงปิด Bluetooth บน iDevices เพื่อประหยัดแบตเตอรี่ นอกจากนี้ ฉันไม่ต้องการให้ผู้คนเห็นห่างออกไปสองโต๊ะในร้านอาหาร แผนการป้องกันการติดตามทั้งหมดนี้ขึ้นอยู่กับผู้ที่ตกเป็นเหยื่อซึ่งมีอุปกรณ์บลูทูธที่ใช้งานอยู่และเป็นกรรมสิทธิ์อยู่ในความครอบครอง ฉันคิดว่านั่นเป็นข้อบกพร่องที่สำคัญ มันต้องการให้ผู้คนซื้ออุปกรณ์ที่พวกเขาอาจไม่ต้องการหรือไม่ต้องการ หรือบังคับให้ใช้อุปกรณ์ที่มีอยู่ในลักษณะที่พวกเขาไม่ต้องการ
ว่าไงคุณพอล?
เป็ด. คุณไม่สามารถไม่เห็นด้วยกับสิ่งนั้นได้
ดังที่วิลเบอร์กล่าวต่อไปในความคิดเห็นต่อมา จริง ๆ แล้วเขาไม่ได้กังวลมากนักเกี่ยวกับการถูกติดตาม เขาเพิ่งตระหนักถึงข้อเท็จจริงที่ว่ามีเรื่องประชดประชันที่เกือบจะสะเทือนใจว่าเนื่องจากผลิตภัณฑ์เหล่านี้เป็นที่นิยมจริงๆ และพวกเขาใช้บลูทูธเพื่อให้รู้ว่าคุณกำลังถูกติดตามโดยหนึ่งในแท็กเหล่านี้ที่ไม่ใช่ของคุณ...
…คุณต้องเลือกเข้าสู่ระบบตั้งแต่แรก
ดั๊ก. อย่างแน่นอน! [หัวเราะ]
เป็ด. และคุณต้องเปิดบลูทูธและไป "ได้เลย ฉันจะเปิดแอปนี้"
วิลเบอร์พูดถูก
มีเรื่องประชดประชันที่กล่าวว่าหากคุณต้องการจับตัวติดตามเหล่านี้ที่อาศัยบลูทูธ คุณต้องมีตัวรับสัญญาณบลูทูธด้วยตัวคุณเอง
คำตอบของฉันคือ “อืม อาจเป็นโอกาสดี ถ้าคุณชอบความสนุกสนานด้านเทคนิค…”
รับ Raspberry Pi Zero ([หัวเราะ] ถ้าคุณสามารถหาซื้อได้จริงๆ) และคุณสามารถสร้างอุปกรณ์ติดตามแท็กของคุณเองเป็นโครงการได้
เนื่องจากแม้ว่าระบบจะเป็นกรรมสิทธิ์ แต่ก็ค่อนข้างชัดเจนว่าระบบทำงานอย่างไร และคุณจะทราบได้อย่างไรว่าเครื่องติดตามตัวเดียวกันนั้นติดอยู่กับคุณ
แต่จะใช้ได้ก็ต่อเมื่อตัวติดตามทำตามกฎเหล่านี้
นั่นเป็นการประชดประชันที่ยาก และฉันคิดว่าคุณน่าจะเถียงว่า “โถแพนดอร่าถูกเปิดแล้ว”
แท็กติดตามเหล่านี้เป็นที่นิยม พวกเขาจะไม่หายไปไหน มันค่อนข้างสะดวก พวกเขาให้บริการที่เป็นประโยชน์
แต่ถ้าไม่มีมาตรฐานเหล่านี้ ก็จะไม่สามารถติดตามได้ไม่ว่าคุณจะเปิดบลูทูธไว้หรือไม่ก็ตาม
นั่นอาจเป็นวิธีที่จะดูความคิดเห็นของวิลเบอร์
ดั๊ก. ขอบคุณวิลเบอร์ที่ส่งมา
และหากคุณมีเรื่องราวที่น่าสนใจ ข้อคิดเห็นหรือคำถามที่คุณต้องการส่ง เราก็ยินดีที่จะอ่านในพอดแคสต์
คุณสามารถส่งอีเมลไปที่ tips@sophos.com หรือแสดงความคิดเห็นในบทความของเรา หรือจะติดต่อหาเราบนโซเชียล: @nakedsecurity
นั่นคือการแสดงของเราในวันนี้ ขอบคุณมากสำหรับการฟัง
สำหรับ Paul Ducklin ฉัน Doug Aamoth เตือนคุณจนถึงครั้งต่อไป ให้...
ทั้งสอง รักษาความปลอดภัย
[โมเด็มดนตรี]
- เนื้อหาที่ขับเคลื่อนด้วย SEO และการเผยแพร่ประชาสัมพันธ์ รับการขยายวันนี้
- เพลโตไอสตรีม. ข้อมูลอัจฉริยะ Web3 ขยายความรู้ เข้าถึงได้ที่นี่.
- การสร้างอนาคตโดย Adryenn Ashley เข้าถึงได้ที่นี่.
- ซื้อและขายหุ้นในบริษัท PRE-IPO ด้วย PREIPO® เข้าถึงได้ที่นี่.
- ที่มา: https://nakedsecurity.sophos.com/2023/05/11/s3-ep134-its-a-private-key-the-hint-is-in-the-name/
- :มี
- :เป็น
- :ไม่
- :ที่ไหน
- $ ขึ้น
- 000
- 100
- 11
- 2024
- 2FA
- a
- สามารถ
- เกี่ยวกับเรา
- เกี่ยวกับมัน
- อย่างแน่นอน
- ยอมรับ
- เข้า
- ลงชื่อเข้าใช้
- บัญชี
- คล่องแคล่ว
- การกระทำ
- จริง
- ที่เพิ่ม
- ความได้เปรียบ
- คำแนะนำ
- หลังจาก
- อีกครั้ง
- กับ
- มาแล้ว
- ทั้งหมด
- การอนุญาต
- ตาม
- Alright
- ด้วย
- แม้ว่า
- am
- an
- และ
- อื่น
- ใด
- ทุกคน
- ทุกแห่ง
- app
- Apple
- การใช้งาน
- ความปลอดภัยของแอปพลิเคชัน
- การใช้งาน
- ประยุกต์
- เข้าใกล้
- เป็น
- พื้นที่
- เถียง
- รอบ
- บทความ
- บทความ
- AS
- สันนิษฐาน
- At
- เสียง
- ผู้เขียน
- การอนุญาต
- อัตโนมัติ
- อัตโนมัติ
- อัตโนมัติ
- ไป
- กลับ
- แบ็ค
- สำรอง
- ไม่ดี
- แบตเตอรี่
- BE
- เพราะ
- รับ
- ก่อน
- กำลัง
- เชื่อ
- เป็น
- ด้านล่าง
- ที่ดีที่สุด
- ดีกว่า
- ใหญ่
- บิต
- สุ่มสี่สุ่มห้า
- บลูทู ธ
- กล้า
- ช่องโหว่
- ทำลาย
- นำมาซึ่ง
- Bug
- สร้าง
- พวง
- ย่าง
- ธุรกิจ
- แต่
- by
- โทรศัพท์
- ที่เรียกว่า
- โทร
- มา
- CAN
- สามารถรับ
- ผู้สมัคร
- รถ
- บัตร
- ระมัดระวัง
- กรณี
- จับ
- ระมัดระวัง
- CD
- อย่างแน่นอน
- โซ่
- เปลี่ยนแปลง
- การเปลี่ยนแปลง
- ข้อเรียกร้อง
- อ้างว่า
- ชัดเจน
- รหัส
- COM
- อย่างไร
- ความเห็น
- ความคิดเห็น
- บริษัท
- ซับซ้อน
- คอมพิวเตอร์
- การคำนวณ
- ที่ใส่ใจ
- พิจารณา
- มี
- ร่วมสมัย
- ต่อ
- ควบคุม
- สะดวกสบาย
- สำเนา
- แก้ไข
- ได้
- คู่
- หลักสูตร
- สร้าง
- ที่สร้างขึ้น
- เครดิต
- การเข้ารหัสลับ
- ลูกค้า
- แดเนียล
- มืด
- Dark Web
- ข้อมูล
- ฐานข้อมูล
- วัน
- ตัดสินใจ
- กำหนด
- กำหนด
- นักพัฒนา
- พัฒนาการ
- เครื่องมือในการพัฒนา
- เครื่อง
- อุปกรณ์
- DID
- ต่าง
- ยาก
- ค้นพบ
- do
- เอกสาร
- ไม่
- การทำ
- ทำ
- Dont
- ลง
- ดาวน์โหลด
- ร่าง
- หล่น
- แต่ละ
- ก่อน
- อย่างง่ายดาย
- ผสมผสาน
- มีประสิทธิภาพ
- ทั้ง
- อื่น ๆ
- อีเมล
- ปลาย
- พอ
- อย่างสิ้นเชิง
- เป็นหลัก
- แม้
- เคย
- ทุกอย่าง
- ตัวอย่าง
- การออกกำลังกาย
- มีอยู่
- ที่มีอยู่
- ตา
- ความจริง
- อย่างเป็นธรรม
- เทียม
- ลักษณะ
- ข้อเสนอแนะ
- สองสาม
- เนื้อไม่มีมัน
- สุดท้าย
- หา
- ชื่อจริง
- ดูครั้งแรก
- ครั้งแรก
- แก้ไขปัญหา
- ข้อบกพร่อง
- ปฏิบัติตาม
- ตาม
- ดังต่อไปนี้
- สำหรับ
- กองกำลัง
- พบ
- สี่
- FRAME
- การหลอกลวง
- แข็ง
- ราคาเริ่มต้นที่
- อนาคต
- แกดเจ็ต
- นักเล่นเกม
- แท้
- ได้รับ
- ได้รับ
- GitHub
- ให้
- ให้
- Go
- ไป
- ไป
- ดี
- คว้า
- ยิ่งใหญ่
- มากขึ้น
- ยาม
- เดา
- สับ
- hacked
- แฮ็กเกอร์
- มี
- มีประโยชน์
- เกิดขึ้น
- ที่เกิดขึ้น
- ยาก
- ฮาร์ดแวร์
- ฮาร์วาร์
- มี
- มี
- he
- หัว
- หัวใจสำคัญ
- ช่วย
- โปรดคลิกที่นี่เพื่ออ่านรายละเอียดเพิ่มเติม
- ซ่อนเร้น
- เน้น
- พระองค์
- ประวัติ
- ตี
- ถือ
- หน้าแรก
- ความหวัง
- หวังว่า
- ชั่วโมง
- สรุป ความน่าเชื่อถือของ Olymp Trade?
- HTTPS
- i
- ฉันเป็น
- ความคิด
- if
- ii
- ภาพ
- ภาพ
- การดำเนินการ
- สำคัญ
- in
- ไม่ได้ใช้งาน
- ประกอบด้วย
- รวมทั้ง
- เหลือเชื่อ
- ติดตั้ง
- แทน
- คำแนะนำการใช้
- อินเทล
- น่าสนใจ
- ผลประโยชน์
- อินเตอร์เฟซ
- เข้าไป
- ร่วมมือ
- การประชด
- IT
- ITS
- การสัมภาษณ์
- การร่วม
- ร่วมกัน
- JSON
- กรกฎาคม
- เพียงแค่
- เก็บ
- คีย์
- กุญแจ
- เด็ก
- ชนิด
- ทราบ
- ที่รู้จักกัน
- ที่ดิน
- ชื่อสกุล
- นำไปสู่
- น้อยที่สุด
- ทิ้ง
- ถูกกฎหมาย
- ชั้น
- ชีวิต
- กดไลก์
- น่าจะ
- Line
- LINK
- การเชื่อมโยง
- ผู้ฟัง
- การฟัง
- น้อย
- สด
- โหลด
- ล็อค
- เข้า
- นาน
- ดู
- ที่ต้องการหา
- สูญหาย
- Lot
- ความรัก
- ต่ำที่สุด
- เครื่อง
- เครื่อง
- ทำ
- สำคัญ
- ทำ
- เครื่องชง
- ทำให้
- มัลแวร์
- ผู้จัดการ
- ด้วยมือ
- ผู้ผลิต
- เรื่อง
- อาจ..
- ปริญญาโทสาขาบริหารธุรกิจ
- วิธี
- หน่วยความจำ
- ข่าวสาร
- ไมโครซอฟท์
- อาจ
- แก้ไข
- โมดูล
- ขณะ
- เงิน
- เดือน
- เดือน
- ข้อมูลเพิ่มเติม
- มากที่สุด
- ย้าย
- MSI
- มาก
- ดนตรี
- ดนตรี
- my
- ความปลอดภัยเปล่า
- พอดคาสต์ความปลอดภัยเปลือยกาย
- ชื่อ
- จำเป็นต้อง
- จำเป็น
- ความต้องการ
- เครือข่าย
- ใหม่
- ถัดไป
- ดี
- ไม่
- ปกติ
- ทางทิศเหนือ
- จมูก
- ตอนนี้
- of
- ปิด
- เป็นทางการ
- oh
- เก่า
- on
- ONE
- ออนไลน์
- เพียง
- เปิด
- เปิด
- ทำงาน
- โอกาส
- or
- ใบสั่ง
- อื่นๆ
- มิฉะนั้น
- ของเรา
- ออก
- เกิน
- ของตนเอง
- เจ้าของ
- แพ็คเกจ
- แพคเกจ
- สวรรค์
- ส่วนหนึ่ง
- ในสิ่งที่สนใจ
- โดยเฉพาะ
- รหัสผ่าน
- จัดการรหัสผ่าน
- รหัสผ่าน
- ปะ
- พอล
- คน
- บางที
- อย่างถาวร
- การอนุญาต
- โทรศัพท์
- PHP
- ชิ้น
- สถานที่
- เพลโต
- เพลโตดาต้าอินเทลลิเจนซ์
- เพลโตดาต้า
- ผู้เล่น
- ความอุดมสมบูรณ์
- ปลั๊ก
- บวก
- พอดคาสต์
- พอดคาสต์
- จุด
- ยาพิษ
- ยอดนิยม
- สมบัติ
- เป็นไปได้
- โพสต์
- นำเสนอ
- การกด
- สวย
- การป้องกัน
- การป้องกัน
- คุก
- ส่วนตัว
- คีย์ส่วนตัว
- คีย์ส่วนตัว
- อาจ
- ปัญหา
- ปัญหาที่เกิดขึ้น
- กระบวนการ
- ผลิตภัณฑ์
- โครงการ
- โปรแกรมเมอร์
- โครงการ
- โครงการ
- เสนอ
- เป็นเจ้าของ
- ให้
- ให้
- ประกาศ
- การประกาศ
- ซื้อ
- ใส่
- คำถาม
- ransomware
- ราสเบอร์รี่
- ราสเบอร์รี่ Pi
- มาถึง
- อ่าน
- การอ่าน
- พร้อม
- จริง
- จริงๆ
- กู้
- การฟื้นตัว
- เรียกว่า
- รีจิสทรี
- ปกติ
- วางใจ
- จำ
- ต้อง
- นักวิจัย
- ว่า
- คำตอบ
- ร้านอาหาร
- การตรวจสอบ
- ขวา
- โรเบิร์ต
- ปัดเศษ
- RSS
- กฎระเบียบ
- วิ่ง
- วิ่ง
- รีบเร่ง
- ความปลอดภัย
- ความปลอดภัยและการรักษาความปลอดภัย
- กล่าวว่า
- การขาย
- เดียวกัน
- ความพึงพอใจ
- ลด
- กล่าว
- คำพูด
- พูดว่า
- รูปแบบ
- ปลอดภัย
- ความปลอดภัย
- เห็น
- ดูเหมือน
- ดูเหมือนว่า
- ขาย
- การส่ง
- ร้ายแรง
- บริการ
- ชุด
- หลาย
- รุนแรง
- Share
- สั้น
- โชว์
- ลงชื่อ
- การลงชื่อ
- ง่ายดาย
- ตั้งแต่
- เว็บไซต์
- สถานการณ์
- หก
- หกเดือน
- So
- สังคม
- ซอฟต์แวร์
- บาง
- บางคน
- บางสิ่งบางอย่าง
- Soundcloud
- ฟัง
- แหล่ง
- รหัสแหล่งที่มา
- Spotify
- สเปรดชีต
- มาตรฐาน
- เริ่มต้น
- ที่เริ่มต้น
- การเริ่มต้น
- สหรัฐอเมริกา
- เข้าพัก
- ขั้นตอน
- ติด
- การผสาน
- ยังคง
- ที่ถูกขโมย
- การเก็บรักษา
- เรื่องราว
- ซื่อตรง
- คล่องตัว
- ถนน
- แข็งแรง
- ส่ง
- ภายหลัง
- จัดหาอุปกรณ์
- ห่วงโซ่อุปทาน
- ควร
- ฉลาด
- เปลี่ยน
- ระบบ
- ระบบ
- TAG
- เอา
- การ
- การพูดคุย
- เทคโนโลยี
- วิชาการ
- บอก
- กว่า
- ขอบคุณ
- ขอบคุณ
- ที่
- พื้นที่
- ก้าวสู่อนาคต
- สหราชอาณาจักร
- โลก
- ของพวกเขา
- พวกเขา
- แล้วก็
- ทฤษฎี
- ที่นั่น
- ล้อยางขัดเหล่านี้ติดตั้งบนแกน XNUMX (มม.) ผลิตภัณฑ์นี้ถูกผลิตในหลายรูปทรง และหลากหลายเบอร์ความแน่นหนาของปริมาณอนุภาคขัดของมัน จะทำให้ท่านได้รับประสิทธิภาพสูงในการขัดและการใช้งานที่ยาวนาน
- พวกเขา
- สิ่ง
- สิ่ง
- คิด
- คิด
- นี้
- เหล่านั้น
- สาม
- สามขั้นตอน
- ตลอด
- เวลา
- ครั้ง
- เคล็ดลับ
- ไปยัง
- ในวันนี้
- เกินไป
- เครื่องมือ
- ลู่
- ติดตามได้
- ติดตาม
- การติดตาม
- การจราจร
- อย่างมาก
- ปัญหา
- ลอง
- กลับ
- หัน
- สอง
- Uk
- ภายใต้
- น่าเสียดาย
- จนกระทั่ง
- บันทึก
- ให้กับคุณ
- การปรับปรุง
- การปรับปรุง
- URL
- us
- USB
- ใช้
- มือสอง
- มาก
- ทำงานได้
- ผู้ที่ตกเป็นเหยื่อ
- มองเห็นได้
- อาสาสมัคร
- อ่อนแอ
- ต้องการ
- อยาก
- คือ
- ทาง..
- วิธี
- we
- เว็บ
- สัปดาห์
- สัปดาห์ที่ผ่านมา
- ดี
- โด่งดัง
- ไป
- คือ
- อะไร
- ความหมายของ
- เมื่อ
- ว่า
- ที่
- ในขณะที่
- WHO
- ทั้งหมด
- ทำไม
- จะ
- กับ
- ไม่มี
- งาน
- การทำงาน
- ทำงานจากที่บ้าน
- โลก
- กังวล
- กังวล
- แย่ลง
- แย่ที่สุด
- จะ
- ผิด
- ปี
- ปี
- ใช่
- ยัง
- เธอ
- ของคุณ
- ด้วยตัวคุณเอง
- ลมทะเล
- เป็นศูนย์