![S3 Ep92: Log4Shell4Ever ونصائح السفر والاحتيال [صوت + نص] PlatoBlockchain Data Intelligence. البحث العمودي. عاي.](https://platoblockchain.com/wp-content/uploads/2022/07/ns-s3-ep92-1200.jpg "S3 Ep92: Log4Shell4Ever ونصائح السفر والخداع [صوت + نص]")
الاستماع الآن
انقر واسحب على الموجات الصوتية أدناه للتخطي إلى أي نقطة. يمكنك أيضا استمع مباشرة على Soundcloud.
مع دوج آموث وبول دوكلين.
موسيقى مقدمة وخاتمة بواسطة إديث مودج.
يمكنك الاستماع إلينا على SoundCloud لل, Apple Podcasts, Google Podcasts, سبوتيفي, الخياطة وفي أي مكان توجد فيه ملفات بودكاست جيدة. أو قم بإسقاط ملف عنوان URL لخلاصة RSS الخاصة بنا في podcatcher المفضل لديك.
اقرأ النص
دوغ. عمليات الاحتيال على Facebook و Log4Shell إلى الأبد ونصائح لصيف آمن على الإنترنت.
كل ذلك وأكثر على Naked Security Podcast.
[مودم موسيقي]
مرحبا بكم في البودكاست ، الجميع.
أنا دوغ آموث ، ومعي ، كما هو الحال دائمًا ، بول دوكلين.
كيف حالك يا بول؟
بطة. أنا مخادع خارق يا (دوغلاس).
بدأت في التهدئة قليلاً هنا في إنجلترا.
دوغ. نعم.
بطة. أعتقد أنني اخترت اليوم الخطأ للذهاب في رحلة لطيفة بالدراجة الريفية.
لقد كانت فكرة جيدة عندما شرعت في: "أعلم ، سأقوم برحلة طويلة لطيفة ، وبعد ذلك سأعيد القطار إلى المنزل ، لذلك أنا في المنزل في وقت كافٍ للبودكاست."
وعندما وصلت إلى هناك ، بسبب الحرارة الشديدة ، كانت القطارات تعمل مرة واحدة فقط كل ساعتين ، وقد فاتتني واحدة فقط.
لذلك اضطررت إلى الركوب طوال الطريق ... وقد نجحت في ذلك في الوقت المناسب.
دوغ. حسنًا ، ها أنت ذا ... أنا وأنت في تقلبات الصيف الكاملة ، ولدينا بعض النصائح لفصل الصيف في وقت لاحق من العرض.
لكن أولاً ، أود التحدث عنها هذا الأسبوع في تاريخ التكنولوجيا.
في هذا الأسبوع ، في عام 1968 ، تم تشكيل شركة Intel بواسطة جوردون مور (عضو قانون مور) وروبرت نويس.
يُنسب إلى نويس كشركة رائدة في الدائرة المتكاملة ، أو الرقاقة الدقيقة.
سيكون أول معالج دقيق من إنتل هو 4004 ، والذي تم استخدامه للآلات الحاسبة.
و ، أ حقيقة ممتعة، اسم Intel هو مزيج من INTegrated ELectronics.
لذا ... اتضح أن تلك الشركة جيدة جدًا.
بطة. نعم!
أعتقد ، لكي نكون منصفين ، ربما ستقول ، "رائد مشارك"؟
دوغ. نعم. كان لدي "رائد".
بطة. أعتقد أن جاك كيلبي ، من شركة Texas Instruments ، توصل إلى أول دائرة متكاملة ، لكنها لا تزال تتطلب توصيل أجزاء في الدائرة ببعضها البعض.
وحل نويس مشكلة كيفية خبزهم جميعًا في السيليكون.
لقد حضرت في الواقع خطابًا لجاك كيلبورن ، عندما كنت عالم كمبيوتر حديث العهد.
رائعة للغاية - بحث في الخمسينيات في أمريكا!
وبالطبع ، اشتهر كيلبي بحصوله على جائزة نوبل ، على ما أعتقد في عام 2000.
لكن أنا متأكد من أن روبرت نويس كان سيكون فائزًا مشتركًا ، لكنه توفي بالفعل بحلول ذلك الوقت ، ولا يمكنك الحصول على جائزة نوبل بعد وفاته.
لذا ، لم يحصل نويس قط على جائزة نوبل ، وحصل جاك سانت كلير كيلبي على جائزة نوبل.
دوغ. حسنًا ، كان ذلك منذ وقت طويل ...
... ولفترة طويلة من الآن ، ربما لا نزال نتحدث عن Log4Shell ...
بطة. أوه عزيزتي نعم.
دوغ. على الرغم من وجود حل لذلك ، فقد خرجت الولايات المتحدة وقالت إنه قد يستغرق الأمر عقودًا قبل أن يحدث هذا الشيء تم إصلاحه بالفعل.
بطة. لنكن منصفين ... قالوا ، "ربما عقد أو أكثر."
هذا جسم يسمى مجلس مراجعة الأمن السيبراني، CSRB (جزء من وزارة الأمن الداخلي) ، الذي تم تشكيله في وقت سابق من هذا العام.
لا أعرف ما إذا كان قد تم تشكيله على وجه التحديد بسبب Log4Shell ، أو لمجرد أن مشكلات رمز مصدر سلسلة التوريد أصبحت مشكلة كبيرة.
وبعد ثمانية أشهر تقريبًا من ظهور Log4Shell ، أنتجوا هذا التقرير ، المكون من 42 صفحة ... يمتد الملخص التنفيذي وحده إلى ما يقرب من 3 صفحات.
وعندما ألقيت نظرة خاطفة على هذا لأول مرة ، فكرت ، "أوه ، ها نحن ذا."
قيل لبعض الموظفين العموميين ، "هيا ، أين تقريرك؟ أنت لوحة المراجعة. انشروا أو هلكوا! "
في الواقع ، على الرغم من أن أجزاء منه صعبة بالفعل ، أعتقد أنه يجب عليك قراءة هذا.
لقد وضعوا بعض الأشياء حول كيف ، بصفتهم بائع برمجيات ، كمنشئ برامج ، كشركة تقدم حلول برمجية لأشخاص آخرين ، ليس من الصعب في الواقع أن تجعل من السهل عليك الاتصال ، حتى يتمكن الناس من إخبارك عندما يكون هناك شيء ما لقد تجاهلت.
على سبيل المثال ، "لا يزال هناك إصدار Log4J في شفرتك لم تلاحظه بأفضل إرادة في العالم ، ولم تقم بإصلاحه."
لماذا لا تريد شخصًا يحاول مساعدتك ليتمكن من العثور عليك والاتصال بك بسهولة؟
دوغ. ويقولون أشياء مثل ... هذا النوع الأول هو نوع من حصص الجدول ، لكنه مفيد لأي شخص ، وخاصة الشركات الصغيرة التي لم تفكر في هذا: طور مخزونًا من الأصول والتطبيقات ، حتى تعرف ما الذي تعمل فيه.
بطة. إنهم لا يهددون أو يدعون ذلك صراحة ، لأنه ليس لهؤلاء الموظفين العموميين أن يضعوا القوانين (الأمر متروك للهيئة التشريعية) ... لكنني أعتقد أن ما يقولونه هو ، "طور تلك القدرة ، لأنك إذا لم تفعل ، أو لا يمكنك أن تزعجك ، أو لا يمكنك معرفة كيفية القيام بذلك ، أو تعتقد أن عملائك لن يلاحظوا ذلك ، فقد تجد في النهاية أنه ليس لديك خيار سوى القليل أو لا خيار على الإطلاق! "
خاصة إذا كنت ترغب في بيع منتجات للحكومة الفيدرالية! [ضحك]
دوغ. نعم ، وقد تحدثنا عن هذا من قبل ... شيء آخر ربما لم تفكر فيه بعض الشركات بعد ، ولكن من المهم أن يكون لديك: برنامج الاستجابة للثغرات الأمنية.
ماذا يحدث في حالة وجود ثغرة أمنية لديك؟
ما هي الخطوات التي تتخذها؟
ما هي خطة اللعبة التي تتبعها للتعامل مع هؤلاء؟
بطة. نعم ، هذا ما كنت أشرت إليه سابقًا.
الجزء البسيط من ذلك هو أنك تحتاج فقط إلى طريقة سهلة لشخص ما لمعرفة مكان إرسال التقارير في مؤسستك ... وبعد ذلك تحتاج إلى الالتزام ، داخليًا كشركة ، بأنه عندما تتلقى تقارير ، ستتصرف بالفعل عليهم.
كما قلت ، تخيل فقط أن لديك مجموعة أدوات جافا الكبيرة التي تبيعها ، تطبيق كبير به الكثير من المكونات ، وفي أحد الأنظمة الخلفية ، هناك شيء جافا كبير.
وهناك ، تخيل أنه لا يزال هناك Log4J ضعيف .JAR الملف الذي تجاهلت.
لماذا لا تريد أن يتمكن الشخص الذي اكتشفها من إخبارك بسرعة وسهولة ، حتى باستخدام بريد إلكتروني بسيط؟
عدد المرات التي ذهبت فيها إلى Twitter ورأيت باحثين معروفين في مجال الأمن السيبراني يقولون ، "مرحبًا ، هل يعرف أي شخص كيفية الاتصال بشركة XYZ Corp؟"
ألم يكن لدينا قضية في بودكاست لرجل ... أعتقد أنه ذهب إلى TikTok أو شيء من هذا القبيل [ضحك] لأنه لا يمكن معرفة ذلك كيفية الاتصال بهذه الشركة.
وقد صنع مقطع فيديو يقول ، "مرحبًا يا رفاق ، أعلم أنك تحب مقاطع الفيديو الخاصة بك على وسائل التواصل الاجتماعي ، أحاول فقط إخباركم عن هذا الخطأ."
وفي النهاية لاحظوا ذلك.
إذا كان بإمكانه فقط الذهاب إلى شركتك DOT com SLASH security DOT txt ، على سبيل المثال ، ووجد عنوان بريد إلكتروني!
"هذا هو المكان الذي نفضل أن تتصل بنا فيه. أو نقوم بمكافآت الأخطاء من خلال هذا البرنامج ... إليك كيفية الاشتراك للحصول عليه. إذا كنت تريد أن يتم الدفع لك ".
إنها ليست بتلك الصعوبة!
وهذا يعني أن الشخص الذي يريد أن يخبرك بأن لديك خطأ ربما تعتقد أنك قد أصلحته يمكنه إخبارك.
دوغ. أنا أحب التراجع في هذا المقال!
أنت تكتب وتوجه قناة John F. Kennedy ، قائلة [KENNEDY VOICE] "لا تسأل عما يمكن لأي شخص آخر أن يفعله من أجلك ، ولكن فكر فيما يمكنك فعله لنفسك ، لأن أي تحسينات تجريها ستفيد الجميع أيضًا. "
حسنًا ، هذا موجود على الموقع إذا كنت تريد أن تقرأ عنه ... مطلوب قراءته إذا كنت في أي موقف يتعين عليك التعامل معه مع أحد هذه الأشياء.
إنها قراءة جيدة ... على الأقل اقرأ الملخص المكون من ثلاث صفحات ، إن لم يكن التقرير المؤلف من 42 صفحة.
بطة. نعم ، إنها طويلة ، لكنني وجدت أنها مدروسة بشكل مدهش ، وفوجئت بسرور كبير.
وظننت أنه إذا قرأ الناس هذا ، وأخذ الأشخاص العشوائيون جزءًا عشوائيًا من عُشره ...
... يجب علينا بشكل جماعي أن نكون في مكان أفضل.
دوغ. حسنًا ، أتحرك على طول.
إنه موسم العطلة الصيفية ، وغالبًا ما ينطوي ذلك على اصطحاب أدواتك معك.
لدينا بعض نصائح للاستمتاع عطلتك الصيفية بدونها ، "لا تستمتع" بها.
بطة. "كم عدد الأدوات التي يجب أن نأخذها؟ [درامي] احزمهم جميعًا! "
للأسف ، كلما أخذت أكثر ، كلما زادت مخاطرتك.
دوغ. نصيحتك الأولى هنا هي أنك تحزم كل أدواتك ... هل يجب عليك عمل نسخة احتياطية قبل الانطلاق؟
أعتقد أن الإجابة هي ، "نعم!"
بطة. أعتقد أنه واضح جدًا.
يعلم الجميع أنه يجب عليك عمل نسخة احتياطية ، لكنهم أوقفوها.
لذلك اعتقدت أنها كانت فرصة لكتابة مقولتنا الصغيرة ، أو الحقيقة البديهية: "النسخة الاحتياطية الوحيدة التي ستندم عليها هي تلك التي لم تقم بها."
والأمر الآخر المتعلق بالتأكد من عمل نسخة احتياطية لجهاز - سواء كان ذلك في حساب سحابي قمت بتسجيل الخروج منه بعد ذلك ، أو ما إذا كان ذلك إلى محرك أقراص قابل للإزالة قمت بتشفيره ووضعه في الخزانة في مكان ما - فهذا يعني أنك يمكن أن يزيل بصمتك الرقمية على الجهاز.
سنعرف لماذا قد تكون هذه فكرة جيدة ... فقط حتى لا تكون حياتك الرقمية كلها وتاريخك معك.
النقطة المهمة هي أنه من خلال الاحتفاظ بنسخة احتياطية جيدة ، ثم تقليل ما لديك بالفعل على الهاتف ، فلن يكون هناك خطأ أقل إذا فقدته ؛ إذا تمت مصادرته ؛ إذا أراد مسؤولو الهجرة النظر في الأمر ؛ مهما تكن.
دوغ. وفيما يتعلق إلى حد ما بالتنقل ، فقد تفقد الكمبيوتر المحمول أو الهاتف المحمول الخاص بك ... لذلك يجب عليك تشفير هذه الأجهزة.
بطة. نعم.
الآن ، يتم تشفير معظم الأجهزة افتراضيًا هذه الأيام.
هذا صحيح بالتأكيد بالنسبة لنظام Android ؛ هذا صحيح بالتأكيد لنظام iOS ؛ وأعتقد أنه عندما تحصل على أجهزة كمبيوتر محمولة تعمل بنظام Windows في هذه الأيام ، فإن BitLocker موجود.
لست من مستخدمي Windows ، لذا لست متأكدًا ... ولكن بالتأكيد ، حتى إذا كان لديك Windows Home Edition (وهو أمر مزعج ، وآمل أن يتغير هذا في المستقبل ، لا يسمح لك المزعج باستخدام BitLocker على محركات الأقراص القابلة للإزالة) ... يتيح لك استخدام BitLocker على القرص الثابت الخاص بك.
لما لا؟
لأنه يعني أنك إذا فقدته ، أو تمت مصادرته ، أو تمت سرقة الكمبيوتر المحمول أو الهاتف الخاص بك ، فهذه ليست مجرد حالة يقوم فيها أحد المحتالين بفتح الكمبيوتر المحمول ، وفصل القرص الصلب ، وتوصيله بجهاز كمبيوتر آخر وقراءة كل شيء عنه ، مثل هذا تماما.
لماذا لا تتخذ الاحتياطات؟
وبالطبع ، على الهاتف ، نظرًا لأنه مشفر مسبقًا ، يتم إنشاء مفاتيح التشفير مسبقًا وحمايتها بواسطة رمز القفل الخاص بك.
لا تذهب ، "حسنًا ، سأكون على الطريق ، قد أكون تحت الضغط ، قد أحتاجه بسرعة ... سأستخدم 1234 or 0000 طوال مدة الإجازة ".
لا تفعل هذا!
رمز القفل على هاتفك هو ما يدير مفاتيح التشفير وفك التشفير الفعلية الكاملة للبيانات الموجودة على الهاتف.
لذا اختر رمز قفل طويل ... أوصي بعشرة أرقام أو أكثر.
اضبطه ، وتدرب على استخدامه في المنزل لبضعة أيام ، لمدة أسبوع قبل أن تغادر ، حتى تصبح طبيعة ثانية.
لا تذهب فقط ، 1234 هو جيد بما فيه الكفاية ، أو "أوه ، سأحصل على رمز قفل طويل ... سأذهب 0000 0000، هذه * ثمانية * شخصيات ، لن يفكر أحد في ذلك أبدًا! "
دوغ. حسنًا ، وهذا أمر مثير للاهتمام حقًا: لديك بعض النصائح حول الأشخاص الذين يعبرون الحدود الوطنية.
بطة. نعم ، لقد أصبح هذا الأمر يمثل مشكلة هذه الأيام.
نظرًا لأن العديد من البلدان - أعتقد أن الولايات المتحدة والمملكة المتحدة من بينها ، ولكنها ليست الوحيدة بأي حال من الأحوال - يمكنها أن تقول ، "انظر ، نريد أن نلقي نظرة على جهازك. هل تفتحه من فضلك؟ "
فتقول ، "لا ، بالطبع لا! هذا خاص! ليس لديك الحق في القيام بذلك! "
حسنًا ، ربما يفعلون ، وربما لا يفعلون ... أنت لست في البلد بعد.
إنه "مطبخي ، قواعدي" ، لذا قد يقولون ، "حسنًا ، حسنًا ، * لديك * كل الحق في الرفض ... ولكن بعد ذلك * سنرفض قبولك. انتظر هنا في صالة الوصول حتى نتمكن من نقلك إلى صالة المغادرة للوصول إلى الرحلة التالية إلى المنزل! "
في الأساس ، لا * تقلق * بشأن ما سيحدث ، مثل "قد أضطر إلى الكشف عن البيانات على الحدود."
* ابحث * عن شروط الدخول .. قواعد الخصوصية والمراقبة في البلد الذي ستذهب إليه.
وإذا كنت لا تحبهم حقًا ، فلا تذهب إلى هناك! ابحث عن مكان آخر للذهاب إليه.
أو ببساطة ادخل البلد ، وقل الحقيقة ، وقلل من بصمتك الرقمية.
كما كنا نقول مع النسخة الاحتياطية ... كلما قلت الأشياء التي تحملها معك "للحياة الرقمية" ، كلما قلت الأخطاء ، وأقل احتمال أنك ستفقدها.
لذا ، "كن مستعدًا" هو ما أقوله.
دوغ. حسنًا ، وهذا أمر جيد: شبكة Wi-Fi العامة ، هل هي آمنة أم غير آمنة؟
هذا يعتمد على ما أعتقد؟
بطة. نعم.
هناك الكثير من الناس يقولون ، "جولي ، إذا كنت تستخدم شبكة Wi-Fi عامة ، فأنت محكوم عليك بالفشل!"
بالطبع ، لقد استخدمنا جميعًا شبكة Wi-Fi العامة لسنوات ، في الواقع.
لا أعرف أي شخص توقف عن استخدامه خوفًا من التعرض للاختراق ، لكنني أعرف أن الناس يذهبون ، "حسنًا ، أعرف ما هي المخاطر. يمكن أن يكون هذا الموجه مملوكًا لأي شخص. يمكن أن يكون عليها بعض المحتالين ؛ يمكن أن يكون لديها عامل مقهى عديم الضمير ؛ أو قد يكون الأمر مجرد أن شخصًا ما اخترقها وكان هنا في إجازة الشهر الماضي لأنهم اعتقدوا أنه كان مضحكًا بشكل رهيب ، وأنه يسرب البيانات لأنه "هاهاها". "
ولكن إذا كنت تستخدم تطبيقات بها تشفير من طرف إلى طرف ، وإذا كنت تستخدم مواقع HTTPS بحيث يتم تشفيرها من طرف إلى طرف بين جهازك والطرف الآخر ، فهناك حدود كبيرة لـ ما يمكن أن يكشفه حتى جهاز التوجيه المخترق تمامًا.
نظرًا لأنه سيتم زرع أي برنامج ضار تم زرعه بواسطة زائر سابق في * جهاز التوجيه * ، وليس على * جهازك *.
دوغ. حسنًا ، بعد ذلك ... ما أعتبره نسخة حاسوبية من المراحيض العامة التي نادرًا ما يتم تنظيفها.
هل يجب علي استخدام أجهزة الكمبيوتر الشخصية الكشك في المطارات أو الفنادق؟
بغض النظر عن الأمن السيبراني ... فقط عدد الأشخاص الذين وضعوا أيديهم على لوحة المفاتيح والفأرة القذرة والقذرة!
بطة. بالضبط.
إذن ، هذا هو الجانب الآخر لسؤال "هل يجب أن أستخدم شبكة Wi-Fi العامة؟"
هل يجب علي استخدام جهاز كمبيوتر Kkiosk ، على سبيل المثال ، في الفندق أو في المطار؟
يتمثل الاختلاف الكبير بين جهاز توجيه Wi-Fi الذي تم اختراقه وجهاز كمبيوتر كشك تم اختراقه في أنه إذا تم تشفير حركة المرور الخاصة بك من خلال جهاز توجيه مخترق ، فهناك حد لمقدار التجسس عليك.
ولكن إذا كانت حركة المرور الخاصة بك قادمة من كمبيوتر kiosk تم اختراقه أو اختراقه ، فمن وجهة نظر الأمن السيبراني ، * إنها لعبة Game Over * بنسبة 100٪.
بعبارة أخرى ، يمكن أن يتمتع كمبيوتر kiosk هذا بوصول غير مقيد إلى * جميع البيانات التي ترسلها وتستقبلها على الإنترنت * قبل أن يتم تشفيرها (وبعد فك تشفير العناصر التي تحصل عليها).
لذلك يصبح التشفير غير ذي صلة بشكل أساسي.
* كل ضغطة مفتاح تكتبها * ... يجب أن تفترض أنه يتم تعقبها.
* في كل مرة يظهر فيها شيء ما على الشاشة * ... يجب أن تفترض أنه يمكن لشخص ما التقاط لقطة شاشة.
* كل ما تطبعه * ... يجب أن تفترض أن هناك نسخة تم إنشاؤها في ملف مخفي.
لذا فإن نصيحتي هي التعامل مع أجهزة الكشك هذه باعتبارها شرًا ضروريًا واستخدامها فقط إذا كان عليك فعل ذلك.
دوغ. نعم ، كنت في فندق نهاية الأسبوع الماضي كان به جهاز كمبيوتر كشك ، وكان الفضول أفضل مني.
مشيت ... كان يعمل بنظام Windows 10 ، ويمكنك تثبيت أي شيء عليه.
لم يتم قفله ، ومن استخدمه من قبل لم يقم بتسجيل الخروج من Facebook!
وهذا فندق سلسلة كان يجب أن يعرف بشكل أفضل ... لكنه كان مجرد نظام مفتوح على نطاق واسع لم يقم أحد بتسجيل الخروج منه ؛ بالوعة محتملة للجرائم الإلكترونية تنتظر حدوثها.
بطة. لذا يمكنك فقط توصيل محرك أقراص USB ثم الانتقال إلى "تثبيت keylogger"؟
دوغ. نعم!
بطة. "تثبيت شبكة الشم."
دوغ. اه هاه!
بطة. "تثبيت rootkit."
دوغ. نعم!
بطة. "ضع الجماجم المشتعلة على ورق الحائط."
دوغ. لا، شكرا!
السؤال التالي ليس له إجابة جيدة ...
ماذا عن كاميرات التجسس وغرف الفنادق و Airbnbs؟
يصعب العثور على هذه.
بطة. نعم ، لقد وضعت هذا لأنه سؤال نطرح عليه بانتظام.
لقد كتبنا عن ثلاث حالات مختلفة لكاميرات تجسس غير معلن عنها. (هذا نوع من الحشو ، أليس كذلك؟)
كان أحدهم في نزل للعمل في مزرعة في أستراليا ، حيث كان هذا الفصل يدعو الأشخاص الحاصلين على تأشيرات زيارة والذين يُسمح لهم بالقيام بأعمال زراعية ، قائلاً "سأعطيك مكانًا للإقامة".
اتضح أنه كان توم مختلس النظر.
كان أحدهم في منزل Airbnb في أيرلندا.
كانت هذه عائلة سافرت طوال الطريق من نيوزيلندا ، لذلك لم يتمكنوا من ركوب السيارة والعودة إلى المنزل ، واستسلموا!
والآخر كان فندقًا حقيقيًا في كوريا الجنوبية ... كان فندقًا مخيفًا حقًا.
لا أعتقد أنها كانت السلسلة التي تملك الفندق ، كان بعض الموظفين الفاسدين أو شيء من هذا القبيل.
لقد وضعوا كاميرات تجسس في الغرف ، وأنا لا أمزح يا دوغ ... لقد كانوا يبيعون ، أساسًا ، الدفع لكل عرض.
أعني ، ما مدى رعب ذلك؟
النبأ السار ، في حالتين من تلك الحالات ، تم القبض على الجناة بالفعل واتهامهم ، لذا انتهى الأمر بشكل سيء بالنسبة لهم ، وهذا صحيح تمامًا.
المشكلة هي ... إذا قرأت قصة Airbnb (لدينا رابط على Naked Security) ، فإن الرجل الذي كان يقيم هناك مع عائلته كان في الواقع شخصًا في تكنولوجيا المعلومات ، خبير في الأمن السيبراني.
وقد لاحظ أن إحدى الغرف (من المفترض أن تعلن ما إذا كانت هناك أي كاميرات في Airbnb ، على ما يبدو) بها جهازي إنذار للدخان.
متى ترى جهازي إنذار دخان؟ ما عليك سوى واحدة.
وهكذا بدأ ينظر إلى أحدهم ، وبدا وكأنه إنذار دخان.
الآخر ، حسنًا ، الثقب الصغير الذي يحتوي على مؤشر LED الذي يومض لم يكن يومض.
وعندما أطل من خلاله ، فكر ، "هذا يبدو بشكل مثير للريبة مثل العدسة للكاميرا! "
وكانت ، في الواقع ، كاميرا تجسس متخفية في هيئة جهاز إنذار دخان.
قام المالك بتوصيله بشبكة Wi-Fi العادية ، لذلك كان قادرًا على العثور عليه عن طريق إجراء مسح للشبكة ... باستخدام أداة مثل Nmap ، أو شيء من هذا القبيل.
لقد وجد هذا الجهاز وعندما أرسله ، كان واضحًا جدًا ، من توقيع شبكته ، أنه كان في الواقع كاميرا ويب ، على الرغم من وجود كاميرا ويب مخبأة في جهاز إنذار الدخان.
لذا فقد حالفه الحظ.
لقد كتبنا مقالًا عما وجده ، وربطنا وشرحنا ما قام بتدوينه في ذلك الوقت.
كان هذا في عام 2019 ، لذلك كان هذا قبل ثلاث سنوات ، لذلك ربما ظهرت التكنولوجيا أكثر قليلاً منذ ذلك الحين.
على أي حال ، ذهب إلى الإنترنت ليرى ، "ما هي الفرصة المتاحة لي في الواقع للعثور على كاميرات في الأماكن التالية التي أقيم فيها؟"
وقد صادف كاميرا تجسس - أتخيل أن جودة الصورة ستكون رهيبة جدًا ، لكنها لا تزال * كاميرا تجسس رقمية تعمل * ... ليس لاسلكيًا ، عليك توصيله - مضمن * في مسمار برأس فيليبس * ، دوغ!
دوغ. مدهش.
بطة. حرفيا نوع البرغي الذي ستجده في لوحة الغلاف الذي تحصل عليه على مفتاح ضوئي ، على سبيل المثال ، حجم المسمار.
أو المسمار الذي تحصل عليه على لوحة غطاء منفذ الطاقة ... مسمار برأس فيليبس بحجم عادي ومتواضع.
دوغ. أنا أبحث عنها في أمازون الآن!
"الكاميرا اللولبية ذات الثقب" ، مقابل 20 دولارًا.
بطة. إذا لم يكن هذا متصلاً مرة أخرى بالشبكة نفسها ، أو إذا كان متصلاً بجهاز يسجل فقط على بطاقة SD ، فسيكون من الصعب جدًا العثور عليه!
لذا ، للأسف ، الإجابة على هذا السؤال ... سبب عدم كتابة السؤال السادس ، "كيف أجد كاميرات التجسس في الغرف التي مكثت فيها؟"
الجواب هو أنه يمكنك المحاولة ، ولكن لسوء الحظ ، هذا الأمر برمته "عدم وجود دليل ليس دليلاً على الغياب".
لسوء الحظ ، ليس لدينا نصيحة تقول ، "هناك أداة صغيرة يمكنك شراؤها بحجم الهاتف المحمول. تضغط على زر ويصدر صوت صفير إذا كانت هناك كاميرا تجسس في الغرفة ".
دوغ. نعم. نصيحتنا الأخيرة لأولئك منكم الذين لا يستطيعون مساعدة أنفسكم: "أنا ذاهب في إجازة ، ولكن ماذا لو كنت أرغب في اصطحاب الكمبيوتر المحمول الخاص بعملي معي؟"
بطة. لا أستطيع الإجابة على ذلك.
لا يمكنك الرد على ذلك.
إنه ليس جهاز الكمبيوتر المحمول الخاص بك ، إنه كمبيوتر محمول خاص بالعمل.
لذا ، فإن الجواب البسيط هو "اسأل!"
وإذا قالوا "إلى أين أنت ذاهب؟" وأعطيت اسم البلد وقالوا "لا" ...
... ثم هذا كل شيء ، لا يمكنك أن تأخذها على طول.
ربما أقول فقط ، "رائع ، هل يمكنني تركه هنا؟ هل يمكنك قفله في خزانة تكنولوجيا المعلومات حتى أعود؟ "
إذا ذهبت وسألت قسم تكنولوجيا المعلومات ، "سأذهب إلى البلد س. إذا كنت آخذ كمبيوتر العمل المحمول الخاص بي معك ، فهل لديك أي توصيات خاصة؟" ...
... اسمعهم!
لأنه إذا كان العمل يعتقد أن هناك أشياء يجب أن تعرفها عن الخصوصية والمراقبة في المكان الذي تذهب إليه ، فمن المحتمل أن تنطبق هذه الأشياء على حياتك المنزلية.
دوغ. حسنًا ، هذا مقال رائع ... اذهب واقرأ ما تبقى منه.
بطة. أنا فخور جدًا بالجلستين اللتين انتهيت منهما!
دوغ. نعم بالتأكيد!
لقد سمعنا ، "إذا كنت في شك ، فلا تعطها."
ولكن هذا هو الشيء الجديد الذي توصلت إليه ، والذي يعجبني حقًا….
بطة. "إذا كانت حياتك على هاتفك / لماذا لا تتركه في المنزل؟"
دوغ. نعم ، ها أنت ذا!
حسنًا ، حرصًا على الوقت ، لدينا مقال آخر على الموقع أتوسل إليكم لقراءته. وهذا ما يسمى: Facebook عودة المحتالين 2FA ، هذه المرة في 21 دقيقة فقط.
هذه هي نفس عملية الاحتيال التي كانت تستغرق 28 دقيقة ، لذا فقد حلقوا سبع دقائق من عملية الاحتيال هذه.
ولدينا سؤال للقارئ حول هذا المنشور.
يكتب القارئ بيتر جزئيًا: "هل تعتقد حقًا أن هذه الأشياء مصادفة؟ لقد ساعدت في تغيير عقد النطاق العريض لشركة British Telecom الخاص بوالد زوجي مؤخرًا ، وفي اليوم الذي تم فيه التغيير ، تلقى مكالمة هاتفية للتصيد الاحتيالي من شركة British Telecom. من الواضح أنه كان من الممكن حدوث ذلك في أي يوم ، لكن أشياء من هذا القبيل تجعلك تتساءل عن التوقيت. بول ... "
بطة. نعم ، لدينا دائمًا أشخاص يذهبون ، "أتعلم ماذا؟ حصلت على إحدى هذه الحيل ... "
سواء كان الأمر يتعلق بصفحة على Facebook أو حقوق الطبع والنشر على Instagram أو ، مثل والد هذا الشاب ، فإن الاتصالات ذات الصلة ... "لقد حصلت على عملية الاحتيال في صباح اليوم التالي بعد أن فعلت شيئًا مرتبطًا بشكل مباشر بما كان يدور حوله الخداع. بالتأكيد هذه ليست مصادفة؟ "
وأعتقد أنه بالنسبة لمعظم الناس ، لأنهم يعلقون على Naked Security ، فإنهم يدركون أنها عملية احتيال ، لذلك يقولون ، "بالتأكيد عرف المحتالون؟"
بمعنى آخر ، يجب أن يكون هناك بعض المعلومات الداخلية.
الجانب الآخر من ذلك هو الأشخاص الذين * لا * يدركون أنها عملية احتيال ، ولن يعلقوا على Naked Security ، يقولون ، "أوه ، حسنًا ، لا يمكن أن تكون مصادفة ، لذلك يجب أن تكون حقيقية!"
في معظم الحالات ، من واقع خبرتي ، يعود الأمر تمامًا إلى المصادفة ، ببساطة على أساس الحجم.
لذا فإن النقطة المهمة هي أنه في معظم الحالات ، أنا مقتنع بأن عمليات الاحتيال التي تحصل عليها ، هي مجرد مصادفة ، ويعتمد المحتالون على حقيقة أنه من السهل "تصنيع" تلك الصدف عندما يمكنك إرسال العديد من رسائل البريد الإلكتروني إلى العديد من الناس بسهولة.
وأنت لا تحاول خداع * الجميع * ، أنت فقط تحاول خداع * شخص ما *.
ودوغ ، إذا كان بإمكاني الضغط عليه في النهاية: "استخدم مدير كلمات المرور!"
لأنه بعد ذلك لا يمكنك وضع كلمة المرور الصحيحة في الموقع الخطأ عن طريق الخطأ ، وهذا يساعدك بشكل كبير في عمليات الاحتيال هذه ، سواء كانت مصادفة أم لا.
دوغ. حسنًا ، جيد جدًا كما هو الحال دائمًا!
شكرا لك على التعليق ، بيتر.
إذا كانت لديك قصة مثيرة للاهتمام أو تعليق أو سؤال ترغب في إرساله ، فنحن نحب قراءته في البودكاست.
يمكنك إرسال بريد إلكتروني إلى tips@sophos.com ، أو التعليق على أي من مقالاتنا ، أو يمكنك التواصل معنا على مواقع التواصل الاجتماعي:nakedsecurity.
هذا هو عرضنا لهذا اليوم. شكرا جزيلا على الاستماع.
بالنسبة لبول دوكلين ، أنا دوج آموث ، أذكرك ، حتى المرة القادمة ، بـ ...
على حد سواء. كن آمنا!
[مودم موسيقي]
- سلسلة كتلة
- عملة عبقرية
- محافظ cryptocurrency
- cryptoexchange
- الأمن الإلكتروني
- مجرمو الإنترنت
- الأمن السيبراني
- وزارة الأمن الداخلي
- محافظ رقمية
- فيسبوك
- جدار الحماية
- Kaspersky
- البرمجيات الخبيثة
- مكافي
- الأمن عارية
- بودكاست الأمن العاري
- NexBLOC
- أفلاطون
- أفلاطون ع
- الذكاء افلاطون البيانات
- لعبة أفلاطون
- أفلاطون داتا
- بلاتوغمينغ
- بودكاست
- نصائح
- VPN
- أمن الانترنت
- زفيرنت
![الموسم 3 الحلقة 116: القشة الأخيرة لـ LastPass؟ هل التشفير محكوم عليه بالفشل؟ [صوت + نص]](https://platoblockchain.com/wp-content/uploads/2023/01/s3-ep116-last-straw-for-lastpass-is-crypto-doomed-audio-text-360x220.jpg "الموسم 3 الحلقة 116: القشة الأخيرة لـ LastPass؟ هل التشفير محكوم عليه بالفشل؟ [صوت + نص]")
