ΜΑΝΤΕΨΕΤΕ ΤΟΝ ΚΩΔΙΚΟ ΣΑΣ; ΔΕΝ ΧΡΕΙΑΖΕΤΑΙ ΑΝ ΕΙΝΑΙ ΚΛΑΠΗ ΗΔΗ!
Μαντέψτε τον κωδικό πρόσβασής σας; Σπάσετε τον κωδικό πρόσβασής σας; Κλέψτε τον κωδικό σας; Τι γίνεται αν οι απατεώνες έχουν ήδη έναν από τους κωδικούς πρόσβασής σας και μπορούν να τον χρησιμοποιήσουν για να καταλάβουν και όλους τους άλλους;
Κάντε κλικ και σύρετε στα ηχητικά κύματα παρακάτω για να μεταβείτε σε οποιοδήποτε σημείο. Μπορείτε επίσης να ακούστε απευθείας στο Soundcloud.
Με τους Doug Aamoth και Paul Ducklin
Intro και outro μουσική από Edith Mudge.
Μπορείτε να μας ακούσετε στο SoundCloud, Apple Podcasts, Podcasts Google, Spotify, Ράπτων και οπουδήποτε υπάρχουν καλά podcast. Ή απλά ρίξτε το URL της ροής RSS μας στο αγαπημένο σας podcatcher.
ΔΙΑΒΑΣΤΕ ΤΟ ΜΕΤΑΓΡΑΦΟ
ΖΥΜΟΣ. Τα δεινά του LifeLock, η απομακρυσμένη εκτέλεση κώδικα και μια μεγάλη απάτη συναντούν μεγάλα προβλήματα.
Όλα αυτά και πολλά άλλα στο podcast του Naked Security.
[ΜΟΥΣΙΚΟ ΜΟΝΤΕΜ]
Καλώς ήρθατε στο podcast, όλοι.
Είμαι ο Doug Aamoth. είναι ο Paul Ducklin.
Και Παύλο, λυπάμαι πολύ… αλλά επιτρέψτε μου να σας ευχηθώ ένα καθυστερημένο ευτυχισμένο '23!
ΠΑΠΙΑ. Σε αντίθεση με το Happy '99, Νταγκ;
ΖΥΜΗ. Πως το ήξερες? [ΓΕΛΙΑ]
Βυθιζόμαστε αμέσως στο δικό μας Τεχνολογική Ιστορία τμήμα.
Αυτή την εβδομάδα, στις 20 Ιανουαρίου 1999, ο κόσμος γνώρισε το σκουλήκι HAPPY99, γνωστό και ως «Ska».
Παύλο, ήσουν εκεί, φίλε!
Πείτε μας για την εμπειρία σας με το HAPPY99, αν θέλετε.
ΠΑΠΙΑ. Νταγκ. Νομίζω ότι το πιο συναρπαστικό πράγμα για μένα –τότε και τώρα– είναι αυτό που αποκαλείτε τη λέξη B…
…το [ΒΗΧΕΙ ΑΠΟΛΟΓΗΤΙΚΑ] «λαμπρό» μέρος, και δεν ξέρω αν αυτό οφείλεται σε τεμπελιά ή υπέρτατη εξυπνάδα από την πλευρά του προγραμματιστή.
Πρώτον, δεν χρησιμοποίησε μια προ-δημιουργημένη λίστα διευθύνσεων email.
Περίμενε έως ότου ο *εσείς* στείλει ένα email, αφαίρεσε τη διεύθυνση email από αυτό και το χρησιμοποίησε, με αποτέλεσμα τα μηνύματα ηλεκτρονικού ταχυδρομείου να πηγαίνουν μόνο σε άτομα με τα οποία μόλις είχατε επικοινωνήσει, δίνοντάς τους μεγαλύτερη αξιοπιστία.
Και το άλλο έξυπνο πράγμα που είχε: δεν ασχολήθηκε με πράγματα όπως η γραμμή θέματος και το σώμα του μηνύματος.
Είχε απλώς ένα συνημμένο, HAPPY99.EXE
, που όταν το έτρεξες σε πρώτο πλάνο, έδειχνε πυροτεχνήματα.
Και μετά το έκλεισες. φαινόταν ότι δεν έγινε κακό.
Έτσι, δεν υπήρχαν γλωσσικές ενδείξεις, όπως, "Γεια, μόλις έλαβα ένα email στα ιταλικά από τον Ιταλό φίλο μου που μου εύχεται Καλά Χριστούγεννα, αμέσως μετά ένα email στα αγγλικά που μου εύχεται ευτυχισμένο το 1999."
Και δεν ξέρουμε αν ο προγραμματιστής το είχε προβλέψει ή, όπως είπα, αν ήταν απλώς, «Δεν μπορούσα να ασχοληθώ με όλες τις κλήσεις λειτουργίας που χρειάζομαι για να το προσθέσω στο email…
…Ξέρω να δημιουργήσω ένα email. Ξέρω να προσθέσω ένα συνημμένο σε αυτό. Δεν πρόκειται να ασχοληθώ με τα υπόλοιπα».
Και, ως αποτέλεσμα, αυτό το πράγμα απλώς εξαπλώθηκε και εξαπλώθηκε και εξαπλώθηκε και εξαπλώθηκε.
Μια υπενθύμιση ότι στον προγραμματισμό κακόβουλου λογισμικού, όπως σε πολλά πράγματα στη ζωή, μερικές φορές… το λιγότερο είναι πολύ περισσότερο.
ΖΥΜΗ. Καλώς!
Λοιπόν, ας προχωρήσουμε σε ένα πιο χαρούμενο θέμα, ένα είδος τρύπα απομακρυσμένης εκτέλεσης κώδικα σε μια δημοφιλή βιβλιοθήκη ασφάλειας cloud.
Περιμένετε, αυτό δεν είναι πιο χαρούμενο… αλλά τι συνέβη εδώ;
Η δημοφιλής βιβλιοθήκη ασφάλειας cloud JWT διορθώνει την "απομακρυσμένη" οπή εκτέλεσης κώδικα
ΠΑΠΙΑ. Λοιπόν, είναι πιο χαρούμενο που το σφάλμα δεν αποκαλύφθηκε στη φύση με μια απόδειξη της ιδέας.
Τεκμηριώθηκε μόνο μερικές εβδομάδες μετά την επιδιόρθωση.
Και ευτυχώς, αν και τεχνικά μετράει ως σφάλμα απομακρυσμένης εκτέλεσης κώδικα [RCE], το οποίο προκάλεσε πολύ δράμα όταν αναφέρθηκε για πρώτη φορά…
…απαιτούσε ουσιαστικά οι απατεώνες να εισβάλουν πρώτα στο διαμέρισμά σας και μετά να ανοίξουν την πόρτα από μέσα για το επόμενο κύμα απατεώνων που είχαν έρθει.
Έτσι, δεν ήταν σαν να μπορούσαν απλώς να εμφανιστούν στην εξώπορτα και να εισέλθουν αμέσως.
Η ειρωνεία, φυσικά, είναι ότι περιλαμβάνει μια δημοφιλή εργαλειοθήκη ανοιχτού κώδικα που ονομάζεται jsonwebtoken
, ή JWT για συντομία.
Ένα JWT είναι βασικά σαν ένα cookie περιόδου λειτουργίας για το πρόγραμμα περιήγησής σας, αλλά αυτό είναι περισσότερο προσανατολισμένο προς μια προσέγγιση μηδενικής εμπιστοσύνης για την εξουσιοδότηση προγραμμάτων να κάνουν κάτι για λίγο.
Για παράδειγμα, μπορεί να θέλετε να εξουσιοδοτήσετε ένα πρόγραμμα που πρόκειται να εκτελέσετε για να πάει και να πραγματοποιήσει αναζητήσεις τιμών σε μια βάση δεδομένων τιμών.
Επομένως, πρέπει πρώτα να κάνετε έλεγχο ταυτότητας.
Ίσως πρέπει να βάλετε ένα όνομα χρήστη, ίσως να βάλετε έναν κωδικό πρόσβασης… και στη συνέχεια λαμβάνετε αυτό το διακριτικό πρόσβασης που μπορεί να χρησιμοποιήσει το πρόγραμμά σας και ίσως είναι έγκυρο για τα επόμενα 100 αιτήματα ή τα επόμενα 20 λεπτά ή κάτι τέτοιο, που σημαίνει ότι δεν χρειάζεται να ελέγχετε πλήρως την ταυτότητα κάθε φορά.
Αλλά αυτό το διακριτικό εξουσιοδοτεί μόνο το πρόγραμμά σας να κάνει ένα συγκεκριμένο πράγμα που έχετε ρυθμίσει εκ των προτέρων.
Είναι μια υπέροχη ιδέα – είναι ένας τυπικός τρόπος για να κάνετε κωδικοποίηση μέσω web αυτές τις μέρες.
Τώρα, η ιδέα του JWT, σε αντίθεση με άλλα cookie περιόδου λειτουργίας, είναι ότι με τρόπο «μηδενικής αξιοπιστίας» περιλαμβάνει: ποιον είναι το διακριτικό. τι πράγματα επιτρέπεται να κάνει? και, εκτός από αυτό, έχει ένα κρυπτογραφικό κλειδί κατακερματισμού των δεδομένων που λέει σε τι χρησιμεύει.
Και η ιδέα είναι ότι αυτός ο κατακερματισμός υπολογίζεται από τον διακομιστή όταν εκδίδει το διακριτικό, χρησιμοποιώντας ένα μυστικό κλειδί που είναι θαμμένο σε κάποια υπερ-ασφαλή βάση δεδομένων κάπου.
Δυστυχώς, αν οι απατεώνες μπορούσαν να εισβάλουν στο διαμέρισμά σας εκ των προτέρων, χτυπώντας την κλειδαριά…
…και αν μπορούσαν να μπουν στη μυστική βάση δεδομένων, και αν μπορούσαν να εμφυτεύσουν ένα τροποποιημένο μυστικό κλειδί για έναν συγκεκριμένο λογαριασμό χρήστη και μετά να βγουν κρυφά, προφανώς να μην αφήνουν τίποτα πίσω;
Λοιπόν, θα φανταζόσασταν ότι αν μπερδέψετε το μυστικό κλειδί, τότε το σύστημα απλώς δεν πρόκειται να λειτουργήσει, επειδή δεν θα μπορείτε πλέον να δημιουργείτε αξιόπιστα διακριτικά.
Έτσι θα *νομίζατε* ότι θα αποτύγχανε ασφαλές.
Εκτός από το ότι, εάν μπορούσατε να αλλάξετε το μυστικό κλειδί με έναν ειδικό τρόπο, τότε την επόμενη φορά που θα γίνει ο έλεγχος ταυτότητας (για να δούμε αν το διακριτικό ήταν σωστό ή όχι), η ανάκτηση του μυστικού κλειδιού θα μπορούσε να προκαλέσει την εκτέλεση κώδικα.
Αυτό θεωρητικά θα μπορούσε είτε να διαβάσει οποιοδήποτε αρχείο είτε να εμφυτεύσει μόνιμα κακόβουλο λογισμικό στον ίδιο τον διακομιστή ελέγχου ταυτότητας…
…κάτι που θα ήταν όντως πολύ κακό!
Και δεδομένου ότι αυτά τα κουπόνια ιστού JSON χρησιμοποιούνται ευρέως και δεδομένου ότι αυτό jsonwebtoken
Το toolkit είναι ένα από τα δημοφιλή εκεί έξω, σαφώς υπήρχε επιτακτική ανάγκη να πάτε και να επιδιορθώσετε εάν χρησιμοποιούσατε την έκδοση buggy.
Το ωραίο με αυτό είναι ότι το έμπλαστρο βγήκε στην πραγματικότητα πέρυσι, πριν από τα Χριστούγεννα του 2022, και (πιθανώς κατόπιν συνεννόησης με τον jsonwebtoken
ομάδα) η εταιρεία που το βρήκε και το έγραψε αποκάλυψε πρόσφατα, περίπου πριν από μια εβδομάδα.
Έτσι, έδωσαν άφθονο χρόνο στους ανθρώπους να επιδιορθώσουν πριν εξηγήσουν ποιο ήταν το πρόβλημα με κάθε λεπτομέρεια.
Αυτό λοιπόν *πρέπει* να τελειώσει καλά.
ΖΥΜΗ. Εντάξει, επιτρέψτε μας να μείνουμε στο θέμα ότι τα πράγματα τελειώνουν καλά… αν είστε στο πλευρό των καλών!
Έχουμε τέσσερις χώρες, εκατομμύρια δολάρια, πολλές αναζητήσεις και πολλές συλλήψεις, σε μια όμορφη μεγάλη επενδυτική απάτη:
Απατεώνες πολλών εκατομμυρίων επενδύσεων εξοντώθηκαν σε επιδρομή της Europol σε τέσσερις χώρες
ΠΑΠΙΑ. Αυτό ήταν ένα καλό, παλιομοδίτικο, "Γεια, έχω μια επένδυση για σένα!".
Προφανώς, υπήρχαν τέσσερα τηλεφωνικά κέντρα, εκατοντάδες άτομα ανακρίθηκαν και 15 έχουν ήδη συλληφθεί…
… αυτή η απάτη ήταν «ψυχρά καλώντας τους ανθρώπους για επένδυση σε ένα ανύπαρκτο κρυπτονόμισμα».
Έτσι OneCoin ξανά… έχουμε μιλήσει για αυτό Απάτη OneCoin, όπου επενδύθηκαν περίπου 4 δισεκατομμύρια δολάρια σε ένα κρυπτονόμισμα που δεν υπήρχε καν.
Σε αυτή την περίπτωση, η Europol μίλησε για *σχήματα* κρυπτονομισμάτων.
Οπότε, νομίζω ότι μπορούμε να υποθέσουμε ότι οι απατεώνες θα έτρεχαν ένα μέχρι να συνειδητοποιήσουν οι άνθρωποι ότι ήταν απάτη, και μετά θα έβγαζαν το χαλί από κάτω τους, θα έτρεχαν με τα χρήματα, θα άρχιζαν ένα νέο.
Η ιδέα ήταν: ξεκινήστε πολύ μικρά, λέγοντας στο άτομο: "Κοίτα, πρέπει να επενδύσεις μόνο λίγο, βάλε 100€ ίσως, ως την πρώτη σου επένδυση."
Η ιδέα ήταν ότι οι άνθρωποι θα σκέφτονταν: «Μπορώ να το αντέξω οικονομικά. Αν αυτό πετύχει, ο *εγώ* θα μπορούσα να είμαι ο επόμενος δισεκατομμυριούχος τύπου Bitcoin».
Έβαλαν χρήματα… και φυσικά, ξέρετε πώς πάει η ιστορία.
Υπάρχει ένας ιστότοπος με φανταστική εμφάνιση και η επένδυσή σας βασικά συνεχίζει να αυξάνεται μερικές μέρες, ενώ άλλες μέρες αυξάνεται.
Βασικά, «Μπράβο!»
Λοιπόν, αυτό είναι το πρόβλημα με αυτές τις απάτες – απλά *φαίνονται* υπέροχα.
Και θα λάβετε όλη την αγάπη και την προσοχή που χρειάζεστε από τους (μεγάλα εισαγωγικά εδώ) «επενδυτικούς συμβούλους», μέχρι το σημείο που θα συνειδητοποιήσετε ότι πρόκειται για απάτη.
Και μετά, λοιπόν… μπορείτε να παραπονεθείτε στις αρχές.
Σας συνιστώ να πάτε στην αστυνομία αν μπορείτε.
Αλλά στη συνέχεια, φυσικά, οι αρχές επιβολής του νόμου έχουν τη δύσκολη δουλειά να προσπαθήσουν να καταλάβουν ποιος ήταν, πού είχαν τη βάση τους και να τους πάρουν πριν ξεκινήσουν την επόμενη απάτη.
ΖΥΜΗ. Εντάξει, έχουμε μερικές συμβουλές εδώ.
Έχουμε δώσει αυτή τη συμβουλή στο παρελθόν – ισχύει για αυτήν την ιστορία, καθώς και για άλλες.
Αν ακούγεται πολύ καλό για να είναι αληθινό, Μάντεψε?
ΠΑΠΙΑ. Είναι πολύ καλό για να είναι αληθινό, Ντουγκ
Όχι «μπορεί να είναι».
Είναι πολύ καλό για να είναι αληθινό – απλά κάντε το τόσο απλό.
Με αυτόν τον τρόπο, δεν χρειάζεται να κάνετε άλλη αξιολόγηση.
Εάν έχετε τις αμφιβολίες σας, προωθήστε αυτές τις αμφιβολίες στο ισοδύναμο ενός πλήρους γεγονότος.
Θα μπορούσατε να γλυτώσετε τον εαυτό σας από πολύ πόνο.
ΖΥΜΗ. Εχουμε: Αφιερώστε χρόνο όταν η διαδικτυακή συζήτηση μετατρέπεται από φιλία σε χρήμα.
Και μιλήσαμε για αυτό: Μην ξεγελιέστε επειδή ένας ιστότοπος απάτης φαίνεται επώνυμος και επαγγελματικός.
Ως αναμορφωμένος σχεδιαστής ιστοσελίδων, μπορώ να σας πω ότι είναι αδύνατο να φτιάξετε έναν ιστότοπο με κακή εμφάνιση στις μέρες μας.
Και ένας άλλος λόγος που δεν είμαι πλέον σχεδιαστής ιστοσελίδων είναι: κανείς δεν με χρειάζεται.
Ποιος χρειάζεται έναν σχεδιαστή ιστοσελίδων όταν μπορείτε να τα κάνετε όλα μόνοι σας;
ΠΑΠΙΑ. Εννοείτε ότι κάνετε κλικ στο κουμπί, επιλέγετε το θέμα, αφαιρείτε κάποιο JavaScript από έναν πραγματικό ιστότοπο επενδύσεων…
ΖΥΜΗ. …πέστε μερικά λογότυπα εκεί.
Ναι!
ΠΑΠΙΑ. Είναι μια εκπληκτικά εύκολη δουλειά και δεν χρειάζεται να είστε ιδιαίτερα έμπειρος προγραμματιστής για να το κάνετε καλά.
ΖΥΜΗ. Και τελευταίο, αλλά σίγουρα όχι λιγότερο σημαντικό: Μην αφήνετε τους απατεώνες να δημιουργούν σφήνα ανάμεσα σε εσάς και την οικογένειά σας...
…δείτε το σημείο 1 για κάτι που είναι πολύ καλό για να είναι αληθινό.
ΠΑΠΙΑ. Ναί.
Υπάρχουν δύο τρόποι με τους οποίους θα μπορούσατε άθελά σας να έρθετε σε μια πραγματικά άσχημη κατάσταση με τους φίλους και την οικογένειά σας λόγω του τρόπου με τον οποίο συμπεριφέρονται οι απατεώνες.
Το πρώτο είναι ότι, πολύ συχνά, αν συνειδητοποιήσουν ότι πρόκειται να εγκαταλείψετε την απάτη επειδή οι φίλοι και η οικογένεια σας έχουν σχεδόν πείσει ότι σας έχουν εξαπατήσει, τότε θα κάνουν τα πάντα για να δηλητηριάσουν τη γνώμη σας για την οικογένειά σας για να προσπαθήσετε να παρατείνετε την απάτη.
Άρα σκόπιμα θα μπουν αυτή η σφήνα.
Και, σχεδόν χειρότερα, αν πρόκειται για απάτη όπου φαίνεται ότι τα πάτε καλά, θα σας προσφέρουν «μπόνους» για να προσελκύσετε μέλη της οικογένειάς σας ή στενούς φίλους σας.
Αν καταφέρεις να τους πείσεις… δυστυχώς, σε πέφτουν και πιθανότατα θα σε κατηγορήσουν επειδή τους το είχες μιλήσει εξαρχής.
Έχε το λοιπόν υπόψη σου.
ΖΥΜΗ. Εντάξει, η τελευταία μας ιστορία της ημέρας.
Η δημοφιλής υπηρεσία προστασίας ταυτότητας LifeLock έχει παραβιαστεί, κάπως, αλλά είναι περίπλοκο… δεν είναι τόσο απλό όσο *παραβίαση* παραβίαση:
Σοβαρή ασφάλεια: Ξετυλίγοντας την ιστορία των «χακαρισμένων κωδικών πρόσβασης» του LifeLock
ΠΑΠΙΑ. Ναι, αυτός είναι ένας ενδιαφέρον τρόπος να το θέσω, Νταγκ!
ΖΥΜΗ. [ΓΕΛΙΑ]
ΠΑΠΙΑ. Ο λόγος που θεώρησα ότι ήταν σημαντικό να το γράψω στο Naked Security είναι ότι είδα την ειδοποίηση από το Norton LifeLock, σχετικά με μη εξουσιοδοτημένες προσπάθειες σύνδεσης μαζικά στην υπηρεσία τους, που έστειλαν σε ορισμένους χρήστες που είχαν επηρεαστεί.
Και σκέφτηκα, «Ω-ω, ορίστε – οι άνθρωποι είχαν κλέψει τους κωδικούς πρόσβασής τους κάποια στιγμή στο παρελθόν, και τώρα έρχεται ένα νέο πλήθος απατεώνων, και χτυπούν την πόρτα, και μερικές πόρτες είναι ακόμα ανοιχτό."
Έτσι το διάβασα και νομίζω ότι το διάβασα σωστά.
Αλλά ξαφνικά άρχισα να βλέπω τίτλους τουλάχιστον, και σε ορισμένες περιπτώσεις ιστορίες, στα μέσα ενημέρωσης που καλούσαν τους ανθρώπους να σκεφτούν ότι, «Ω, Γκόλλυ, έχουν μπει στο Norton LifeLock. Έχουν μπει στα παρασκήνια? Έχουν σκάψει γύρω στις βάσεις δεδομένων? πράγματι έχουν ανακτήσει τους κωδικούς μου – ω, αγαπητέ!».
Υποθέτω, υπό το φως των πρόσφατων αποκαλύψεων από το LastPass όπου κλάπηκαν βάσεις δεδομένων κωδικών πρόσβασης αλλά οι κωδικοί πρόσβασης ήταν κρυπτογραφημένοι…
…αυτό, αν απλώς ακολουθήσετε τη γραμμή "Ω, ήταν παραβίαση, και έχουν τους κωδικούς πρόσβασης", ακούγεται ακόμα χειρότερο.
Αλλά φαίνεται ότι αυτή είναι μια παλιά λίστα πιθανών συνδυασμών ονόματος χρήστη/κωδικού πρόσβασης που απέκτησαν με κάποιο τρόπο ορισμένοι απατεώνες.
Ας υποθέσουμε ότι το αγόρασαν στο σύνολό τους από τον σκοτεινό ιστό και μετά ξεκίνησαν να δουν ποιος από αυτούς τους κωδικούς πρόσβασης θα λειτουργούσε σε ποιους λογαριασμούς.
Αυτό είναι γνωστό ως πιστοποίηση γνησιότητας, επειδή λαμβάνουν διαπιστευτήρια που πιστεύεται ότι λειτουργούν σε τουλάχιστον έναν λογαριασμό και τα τοποθετούν στις φόρμες σύνδεσης σε άλλους ιστότοπους.
Έτσι, τελικά το πλήρωμα του Norton LifeLock έστειλε μια προειδοποίηση στους πελάτες λέγοντας: "Πιστεύουμε ότι είστε ένας από τους ανθρώπους που επηρεάζονται από αυτό," πιθανώς μόνο σε άτομα στα οποία είχε όντως πετύχει μια σύνδεση που υπέθεσαν ότι προήλθε από λάθος είδος, για να τους προειδοποιήσει.
«Κάποιος έχει τον κωδικό πρόσβασής σας, αλλά δεν είμαστε σίγουροι πού τον πήραν, γιατί πιθανότατα τον αγόρασαν από το Dark Web… και επομένως, αν συμβεί αυτό, μπορεί να υπάρχουν και άλλοι απατεώνες που τον έχουν. ”
Οπότε νομίζω ότι αυτό είναι που προσθέτει η ιστορία.
ΖΥΜΗ. Και έχουμε μερικούς τρόπους εδώ για το πώς αυτοί οι κωδικοί πρόσβασης καταλήγουν αρχικά στον σκοτεινό ιστό, όπως: Επιθέσεις phishing.
ΠΑΠΙΑ. Ναι, αυτό είναι αρκετά προφανές…
…αν κάποιος κάνει μια μαζική απόπειρα phishing εναντίον μιας συγκεκριμένης υπηρεσίας και N άνθρωποι το ερωτεύονται.
ΖΥΜΗ. Και έχουμε: Keylogger spyware.
ΠΑΠΙΑ. Εκεί μολύνεστε από κακόβουλο λογισμικό στον υπολογιστή σας, όπως α ζόμπι ή ένα bot, που διαθέτει όλα τα είδη σκανδάλης τηλεχειρισμού που οι απατεώνες μπορούν να πυροδοτήσουν όποτε θέλουν:
Πώς λειτουργούν τα bots και τα ζόμπι και γιατί πρέπει να σας ενδιαφέρει
Και προφανώς, τα πράγματα που τα bots και τα ζόμπι τείνουν να έχουν προ-προγραμματίσει σε αυτά περιλαμβάνουν: παρακολούθηση της κυκλοφορίας δικτύου. αποστολή ανεπιθύμητων μηνυμάτων σε μια τεράστια λίστα διευθύνσεων email. και ενεργοποιήστε το keylogger όποτε νομίζουν ότι βρίσκεστε σε έναν ενδιαφέρον ιστότοπο.
Με άλλα λόγια, αντί να προσπαθούν να ψαρέψουν τους κωδικούς πρόσβασής σας αποκρυπτογραφώντας κατά τα άλλα ασφαλείς συναλλαγές ιστού, βασικά εξετάζουν αυτό που πληκτρολογείτε *όπως εσείς χτυπήστε τα πλήκτρα στο πληκτρολόγιο*.
ΖΥΜΗ. Εντάξει, υπέροχο.
Εχουμε: Κακή υγιεινή καταγραφής από την πλευρά του διακομιστή.
ΠΑΠΙΑ. Κανονικά, θα θέλατε να καταγράψετε πράγματα όπως ο αριθμός IP του ατόμου, το όνομα χρήστη του ατόμου και η ώρα κατά την οποία έκανε την προσπάθεια σύνδεσης.
Αλλά εάν βιάζεστε προγραμματιστικά και καταγράψατε κατά λάθος *όλα* που ήταν στη φόρμα ιστού…
…τι γίνεται αν καταγράψατε κατά λάθος τον κωδικό πρόσβασης στο αρχείο καταγραφής σε απλό κείμενο;
ΖΥΜΗ. Εντάξει, τότε έχουμε: Κακόβουλο λογισμικό απόξεσης RAM.
Αυτό είναι ένα ενδιαφέρον.
ΠΑΠΙΑ. Ναι, γιατί αν οι απατεώνες μπορούν να κρυφτούν κάποιο κακόβουλο λογισμικό στο παρασκήνιο, αυτό μπορεί κρυφοκοιτάξτε στη μνήμη ενώ ο διακομιστής σας εκτελείται, μπορεί να είναι σε θέση να μυρίσει, "Whoa"! Μοιάζει με αριθμό πιστωτικής κάρτας. που μοιάζει με το πεδίο κωδικού πρόσβασης!»
7 τύποι ιών – ένα σύντομο γλωσσάρι της σύγχρονης διαδικτυακής κακίας
Προφανώς, αυτό το είδος επίθεσης απαιτεί, όπως στην περίπτωση που μιλήσαμε νωρίτερα… απαιτεί από τους απατεώνες να εισβάλουν στο διαμέρισμά σας πρώτα για να κλείσουν την πόρτα.
Αλλά αυτό σημαίνει ότι, μόλις συμβεί αυτό, μπορούν να έχουν ένα πρόγραμμα που δεν χρειάζεται πραγματικά να περάσει τίποτα στο δίσκο. Δεν χρειάζεται να ψάξει στα παλιά αρχεία καταγραφής. δεν χρειάζεται να πλοηγηθεί στο δίκτυο.
Απλώς χρειάζεται να παρακολουθεί συγκεκριμένες περιοχές της μνήμης σε πραγματικό χρόνο, με την ελπίδα να είναι τυχερός όταν υπάρχουν πράγματα που είναι ενδιαφέροντα και σημαντικά.
ΖΥΜΗ. Έχουμε κάποιες συμβουλές.
Εάν έχετε τη συνήθεια να επαναχρησιμοποιείτε κωδικούς πρόσβασης, μην το κάνετε!
Νομίζω ότι αυτή είναι η πιο μακροχρόνια συμβουλή που μπορώ να θυμηθώ στην ιστορία της πληροφορικής.
Εχουμε: Μην χρησιμοποιείτε σχετικούς κωδικούς πρόσβασης σε διαφορετικούς ιστότοπους.
ΠΑΠΙΑ. Ναι, σκέφτηκα ότι θα έβαζα κρυφά αυτή την άκρη, γιατί πολλοί άνθρωποι σκέφτονται:
«Ω, ξέρω τι θα κάνω, θα διαλέξω έναν πολύ περίπλοκο κωδικό πρόσβασης και θα κάτσω και θα απομνημονεύσω X38/=?...
, οπότε έχω έναν περίπλοκο κωδικό πρόσβασης – οι απατεώνες δεν θα τον μαντέψουν ποτέ, οπότε δεν έχω παρά να θυμάμαι αυτόν.
Αντί να τον θυμάμαι ως τον κύριο κωδικό πρόσβασης για έναν διαχειριστή κωδικών πρόσβασης, κάτι που είναι μια ταλαιπωρία που δεν χρειάζομαι, απλώς θα προσθέσω -fb
για το Facebook, -tt
για το Tik Tok, -tw
για το Twitter και με αυτόν τον τρόπο, κυριολεκτικά, θα έχω διαφορετικό κωδικό πρόσβασης για κάθε ιστότοπο."
Το πρόβλημα είναι ότι σε μια επίθεση όπως αυτή, οι απατεώνες έχουν *ήδη λάβει το απλό κείμενο ενός από τους κωδικούς πρόσβασής σας.*
Εάν ο κωδικός πρόσβασής σας έχει complicated-bit
παύλα two-letters
, πιθανότατα στη συνέχεια μπορούν να μαντέψουν τους άλλους κωδικούς πρόσβασής σας…
…επειδή πρέπει μόνο να μαντέψουν τα εφεδρικά γράμματα.
ΖΥΜΗ. Εντάξει και: Εξετάστε το ενδεχόμενο να ενεργοποιήσετε το 2FA για όποιους λογαριασμούς μπορείτε.
ΠΑΠΙΑ. Ναί.
Όπως πάντα, είναι λίγη ταλαιπωρία, αλλά σημαίνει ότι αν μπω στο σκοτεινό ιστό και αγοράσω έναν δικό σας κωδικό πρόσβασης και μετά έρθω στον ατμό και προσπαθήσω να τον χρησιμοποιήσω από κάποιο άγνωστο μέρος του κόσμου…
…δεν «απλώς λειτουργεί», γιατί ξαφνικά χρειάζομαι και τον επιπλέον κωδικό μιας χρήσης.
ΖΥΜΗ. Εντάξει, και για την ιστορία του LifeLock, έχουμε ένα σχόλιο αναγνώστη.
Ο/Η Pete λέει:
“Ωραίο άρθρο με καλές συμβουλές και πολύ τεκμηριωμένη προσέγγιση (smileyface emoticon).”
ΠΑΠΙΑ. Συμφωνώ ήδη με το σχόλιο, Doug! [ΓΕΛΙΑ]
Αλλά συνέχισε…
ΖΥΜΗ. «Υποθέτω ότι στους ανθρώπους αρέσει να κατηγορούν εταιρείες όπως το Norton LifeLock […], επειδή είναι τόσο εύκολο να κατηγορείς απλώς όλους τους άλλους αντί να λες στους ανθρώπους πώς να το κάνουν σωστά».
ΠΑΠΙΑ. Ναί.
Θα μπορούσατε να πείτε ότι είναι λίγο σκληρά λόγια.
Όμως, όπως είπα στο τέλος του συγκεκριμένου άρθρου, έχουμε κωδικούς πρόσβασης για περισσότερα από 50 χρόνια ήδη στον κόσμο της πληροφορικής, παρόλο που υπάρχουν πολλές υπηρεσίες που προσπαθούν να προχωρήσουν προς το λεγόμενο μέλλον χωρίς κωδικό πρόσβασης – είτε που βασίζεται σε μάρκες υλικού, βιομετρικές μετρήσεις ή οτιδήποτε άλλο.
Αλλά νομίζω ότι θα έχουμε ακόμα κωδικούς πρόσβασης για πολλά χρόνια ακόμα, είτε μας αρέσει είτε όχι, τουλάχιστον για ορισμένους (ή ίσως και πολλούς) λογαριασμούς μας.
Επομένως, πρέπει πραγματικά να δαγκώσουμε τη σφαίρα, και απλώς να προσπαθήσουμε να το κάνουμε όσο καλύτερα μπορούμε.
Και σε 20 χρόνια, όταν οι κωδικοί πρόσβασης είναι πίσω μας, τότε μπορούμε να αλλάξουμε τις συμβουλές και μπορούμε να βρούμε συμβουλές για το πώς προστατεύετε τις βιομετρικές σας πληροφορίες.
Αλλά προς το παρόν, αυτή είναι μόνο μία από τις υπενθυμίσεις ότι όταν κλαπούν κρίσιμα προσωπικά δεδομένα, όπως κωδικοί πρόσβασης, μπορεί να καταλήξουν να έχουν μεγάλη διάρκεια ζωής και να κυκλοφορούν ευρέως στην κοινότητα του εγκλήματος στον κυβερνοχώρο.
ΖΥΜΗ. Εξαιρετική.
Ευχαριστώ, Pete, που το έστειλες.
Εάν έχετε μια ενδιαφέρουσα ιστορία, σχόλιο ή ερώτηση που θέλετε να υποβάλετε, θα θέλαμε να τη διαβάσουμε στο podcast.
Μπορείτε να στείλετε email στο tips@sophos.com, να σχολιάσετε οποιοδήποτε από τα άρθρα μας ή να μας ενημερώσετε στα social: @NakedSecurity.
Αυτή είναι η εκπομπή μας για σήμερα – ευχαριστώ πολύ που με ακούσατε.
Για τον Paul Ducklin, ο Doug Aamoth σας υπενθυμίζω, μέχρι την επόμενη φορά, να…
ΚΑΙ ΤΑ ΔΥΟ. Μείνετε ασφαλείς!
[ΜΟΥΣΙΚΟ ΜΟΝΤΕΜ]
- SEO Powered Content & PR Distribution. Ενισχύστε σήμερα.
- Platoblockchain. Web3 Metaverse Intelligence. Ενισχύθηκε η γνώση. Πρόσβαση εδώ.
- πηγή: https://nakedsecurity.sophos.com/2023/01/19/s3-ep118-guess-your-password-no-need-if-its-stolen-already-audio-text/
- 1
- 100
- 1999
- 20 χρόνια
- 2022
- 2FA
- 50 χρόνια
- a
- Ικανός
- Σχετικα
- πρόσβαση
- Λογαριασμός
- Λογαριασμοί
- αποκτήθηκαν
- πραγματικά
- διεύθυνση
- διευθύνσεις
- Προσθέτει
- εκ των προτέρων
- συμβουλές
- Μετά το
- κατά
- ΑΕΡΑ
- Όλα
- ήδη
- Καλώς
- Αν και
- πάντοτε
- μεταξύ των
- και
- Άλλος
- οπουδήποτε
- Διαμέρισμα
- Apple
- πλησιάζω
- περιοχές
- γύρω
- συμφωνία
- συνελήφθη
- άρθρο
- εμπορεύματα
- υποτίθεται
- επίθεση
- Επιθέσεις
- Προσπάθειες
- προσοχή
- ήχου
- πιστοποιώ την αυθεντικότητα
- Πιστοποίηση
- συγγραφέας
- Αρχές
- φόντο
- Κακός
- βασίζονται
- Βασικα
- Αρκούδα
- επειδή
- πριν
- πίσω
- στα παρασκήνια
- είναι
- παρακάτω
- μεταξύ
- Μεγάλος
- Δισεκατομμύριο
- δισεκατομμυριούχος
- βιομετρική
- Κομμάτι
- σώμα
- bots
- αγόρασε
- παραβίαση
- Διακοπή
- έσπασε
- πρόγραμμα περιήγησης
- Έντομο
- τσαμπί
- κουμπί
- αγορά
- υπολογίζεται
- κλήση
- που ονομάζεται
- κλήσεις
- κάρτα
- περίπτωση
- Αιτία
- προκαλούνται
- σίγουρα
- αλλαγή
- Επιλέξτε
- Χριστούγεννα
- σαφώς
- Κλεισιμο
- κλειστό
- Backup
- Ασφάλεια Cloud
- κωδικός
- Κωδικοποίηση
- COM
- συνδυασμοί
- Ελάτε
- ερχομός
- σχόλιο
- κοινότητα
- Εταιρείες
- εταίρα
- περίπλοκος
- υπολογιστή
- χρήση υπολογιστή
- σύγχρονος
- πείθω
- μπισκότα
- θα μπορούσε να
- χώρες
- Ζευγάρι
- Πορεία
- ρωγμή
- δημιουργία
- Διαπιστεύσεις
- μονάδες
- πιστωτική κάρτα
- κρίσιμης
- cryptocurrency
- κρυπτογραφικό
- Πελάτες
- εγκλήματος στον κυβερνοχώρο
- σκοτάδι
- Dark Web
- παύλα
- ημερομηνία
- βάση δεδομένων
- βάσεις δεδομένων
- ημέρα
- Ημ.
- σχεδιαστής
- λεπτομέρεια
- DID
- διαφορετικές
- δύσκολος
- Όχι
- πράξη
- δολάρια
- Μην
- Θύρα
- πόρτες
- κάτω
- Δράμα
- σχέδιο
- αυτοκίνητο
- Πτώση
- είτε
- ΗΛΕΚΤΡΟΝΙΚΗ ΔΙΕΥΘΥΝΣΗ
- επιβολή
- Αγγλικά
- Ισοδύναμος
- κατ 'ουσίαν,
- Europol
- εκτίμηση
- Even
- τελικά
- όλοι
- παράδειγμα
- εκτελέσει
- εκτέλεση
- εμπειρία
- έμπειρος
- εξήγησε
- επιπλέον
- ΑΠΟΤΥΓΧΑΝΩ
- Πτώση
- οικογένεια
- φανταστική
- γοητευτικός
- Εικόνα
- Αρχεία
- Φωτιά
- Όνομα
- ακολουθήστε
- ακολουθείται
- μορφές
- Ευτυχώς
- Βρέθηκαν
- φίλους
- Φιλία
- από
- εμπρός
- πλήρως
- λειτουργία
- μελλοντικός
- προσανατολισμένος
- παίρνω
- να πάρει
- γίγαντας
- Δώστε
- δεδομένου
- Δίνοντας
- Go
- πηγαίνει
- μετάβαση
- καλός
- εξαιρετική
- μεγαλύτερη
- Greenwood
- ένοχος
- συνέβη
- ευτυχισμένος
- υλικού
- χασίσι
- που έχει
- Τίτλοι
- εδώ
- ιστορία
- Επιτυχία
- κρατήστε
- ελπίζω
- Πως
- Πώς να
- HTTPS
- Εκατοντάδες
- ΕΓΩ ΘΑ
- ιδέα
- Ταυτότητα
- αμέσως
- επιτακτικός
- σημαντικό
- αδύνατος
- in
- περιλαμβάνουν
- περιλαμβάνει
- Συμπεριλαμβανομένου
- πληροφορίες
- στιγμή
- αντί
- ενδιαφέρον
- εισήγαγε
- Επενδύστε
- επενδύσει
- επενδύοντας
- επένδυση
- IP
- θέματα
- IT
- Ιανουάριος
- το JavaScript
- Δουλειά
- json
- μόνο ένα
- Jwt
- Κλειδί
- Χτύπημα
- Ξέρω
- γνωστός
- Επίθετο
- Πέρυσι
- LastPass
- Νόμος
- επιβολή του νόμου
- αφήνοντας
- Βιβλιοθήκη
- ζωή
- Διάρκεια Ζωής
- φως
- γραμμή
- Λιστα
- Ακούγοντας
- λίγο
- φορτίο
- Μακριά
- κοιτάζοντας
- ΦΑΊΝΕΤΑΙ
- Παρτίδα
- αγάπη
- κάνω
- malware
- διαχείριση
- διευθυντής
- πολοί
- Μάζα
- κύριος
- μέσα
- μετρήσεις
- Εικόνες / Βίντεο
- πληροί
- Μέλη
- Μνήμη
- μήνυμα
- ενδέχεται να
- εκατομμύρια
- νου
- Λεπτ.
- τροποποιημένο
- χρήματα
- Παρακολούθηση
- περισσότερο
- πλέον
- μετακινήσετε
- πολλαπλούς
- Μουσική
- μιούζικαλ
- Γυμνή ασφάλεια
- Γυμνό Podcast ασφαλείας
- Πλοηγηθείτε
- Ανάγκη
- ανάγκες
- δίκτυο
- επισκεψιμότητα δικτύου
- Νέα
- επόμενη
- Κανονικά
- κοινοποίηση
- αριθμός
- προσφορά
- Παλιά
- ONE
- διαδικτυακά (online)
- ανοίξτε
- ανοικτού κώδικα
- Γνώμη
- αντίθετος
- τάξη
- ΑΛΛΑ
- Άλλα
- μέρος
- Ειδικότερα
- ιδιαίτερα
- Κωδικός Πρόσβασης
- Διευθυντής κωδικού πρόσβασης
- Κωδικοί πρόσβασης
- Το παρελθόν
- Patch
- Patches
- Παύλος
- People
- ίσως
- μόνιμα
- person
- προσωπικός
- προσωπικά δεδομένα
- phish
- Phishing
- κομμάτι
- Μέρος
- Πλάτων
- Πληροφορία δεδομένων Plato
- Πλάτωνα δεδομένα
- ισχυρίζεται
- Δηλώνει Ένοχος
- σας παρακαλούμε
- Αφθονία
- το podcast
- podcasts
- Σημείο
- δηλητήριο
- Police
- Δημοφιλής
- Δημοσιεύσεις
- δυναμικού
- αρκετά
- τιμή
- πιθανώς
- Πρόβλημα
- επαγγελματίας
- Πρόγραμμα
- Προγραμματιστής
- Προγραμματισμός
- Προγράμματα
- email marketing
- προστασία
- προστασία
- βάζω
- Βάζοντας
- ερώτηση
- Ερωτηθείς
- Διάβασε
- Αναγνώστης
- πραγματικός
- σε πραγματικό χρόνο
- λόγος
- πρόσφατος
- πρόσφατα
- συνιστώ
- ρεκόρ
- καταγράφονται
- σχετίζεται με
- αξιόπιστος
- θυμάμαι
- θυμόμαστε
- μακρινός
- αιτήματα
- απαιτούν
- Απαιτεί
- ΠΕΡΙΦΕΡΕΙΑ
- αποτέλεσμα
- Αποκαλυφθε'ντα
- rss
- τρέξιμο
- τρέξιμο
- ένα ασφαλές
- Είπε
- Αποθήκευση
- Απάτη
- Απατεώνες
- απάτες
- Σκηνές
- Αναζήτηση
- Μυστικό
- ασφάλεια
- βλέποντας
- φαινόταν
- φαίνεται
- τμήμα
- αποστολή
- υπηρεσία
- Υπηρεσίες
- Συνεδρίαση
- σειρά
- διάφοροι
- Κοντά
- θα πρέπει να
- δείχνουν
- πλευρά
- Απλούς
- απλά
- Sites
- κατάσταση
- small
- σπιούνος
- So
- Μ.Κ.Δ
- μερικοί
- κάτι
- κάπου
- Πηγή
- το spam
- ειδική
- συγκεκριμένες
- Spotify
- διάδοση
- spyware
- πρότυπο
- Εκκίνηση
- ξεκίνησε
- παραμονή
- Ακόμη
- κλαπεί
- ιστορίες
- Ιστορία
- ειλικρινής
- θέμα
- υποβάλουν
- τέτοιος
- Ανώτατος
- σύστημα
- Πάρτε
- Συζήτηση
- Η
- ο κόσμος
- τους
- θέμα
- επομένως
- πράγμα
- πράγματα
- σκέψη
- Μέσω
- τικ Τοκ
- ώρα
- τύπος
- συμβουλές
- προς την
- σήμερα
- ένδειξη
- κουπόνια
- πολύ
- εργαλειοθήκη
- προς
- ΚΙΝΗΣΗ στους ΔΡΟΜΟΥΣ
- Συναλλαγές
- ταλαιπωρία
- αληθής
- ΣΤΡΟΦΗ
- Στροφή
- Τουίτερ
- τύποι
- υπό
- URL
- us
- χρήση
- Χρήστες
- Χρήστες
- εκδοχή
- ιός
- προειδοποίηση
- Δες
- WAVE
- τρόπους
- ιστός
- Web-based
- Ιστοσελίδα : www.example.gr
- εβδομάδα
- Εβδ.
- Τι
- αν
- Ποιό
- ενώ
- Ο ΟΠΟΊΟΣ
- ευρέως
- Άγριος
- θα
- λόγια
- Εργασία
- επεξεργάζομαι
- λειτουργεί
- κόσμος
- σκουλήκι
- θα
- γράφω
- Λανθασμένος
- έτος
- χρόνια
- Εσείς
- Σας
- τον εαυτό σας
- zephyrnet