S3 Ep92: Log4Shell4Ever, ταξιδιωτικές συμβουλές και απάτη [Ήχος + Κείμενο]

Κάντε κλικ και σύρετε στα ηχητικά κύματα παρακάτω για να μεταβείτε σε οποιοδήποτε σημείο. Μπορείτε επίσης να ακούστε απευθείας στο Soundcloud.

ΖΥΜΗ.  Απάτες στο Facebook, Log4Shell forever και συμβουλές για ένα καλοκαίρι ασφαλές στον κυβερνοχώρο.

Όλα αυτά και πολλά άλλα στο Podcast του Naked Security.

[ΜΟΥΣΙΚΟ ΜΟΝΤΕΜ]

Καλώς ήρθατε στο podcast, όλοι.

Είμαι ο Doug Aamoth και μαζί μου, όπως πάντα, είναι ο Paul Ducklin.

Πώς τα πας, Παύλο;

---

ΠΑΠΙΑ.  Είμαι σούπερ ντούπερ, Ντάγκλας.

Αρχίζει να δροσίζεται λίγο εδώ στην Αγγλία.

---

ΖΥΜΗ.  Ναί.

---

ΠΑΠΙΑ.  Νομίζω ότι διάλεξα τη λάθος μέρα για να κάνω μια ωραία μεγάλη βόλτα με ποδήλατο εξοχής.

Ήταν πολύ καλή ιδέα όταν ξεκίνησα: «Ξέρω, θα κάνω μια ωραία μεγάλη βόλτα και μετά θα πάω το τρένο σπίτι, οπότε θα είμαι στο σπίτι σε άφθονο χρόνο για το podcast».

Και όταν έφτασα εκεί, λόγω της υπερβολικής ζέστης, τα τρένα έτρεχαν μόνο μία φορά κάθε δύο ώρες, και μόλις είχα χάσει μία.

Έπρεπε λοιπόν να οδηγήσω μέχρι την επιστροφή… και τα κατάφερα εγκαίρως.

---

ΖΥΜΗ.  Εντάξει, ορίστε… εσείς και εγώ είμαστε σε πλήρη εξέλιξη του καλοκαιριού, και έχουμε μερικές συμβουλές για το καλοκαίρι που έρχονται αργότερα στην εκπομπή.

Αλλά πρώτα, θα ήθελα να μιλήσω για Αυτή η εβδομάδα στην ιστορία της τεχνολογίας.

Αυτή την εβδομάδα, το 1968, ιδρύθηκε η Intel Corporation από τον Gordon Moore (αυτός του νόμου του Moore) και τον Robert Noyce.

Ο Noyce πιστώνεται ως πρωτοπόρος του ολοκληρωμένου κυκλώματος ή μικροτσίπ.

Ο πρώτος μικροεπεξεργαστής της Intel θα ήταν ο 4004, ο οποίος χρησιμοποιήθηκε για αριθμομηχανές.

Και ένα Fun Πραγματικότητα, το όνομα Intel είναι ένας συνδυασμός INtegrated ELectronics.

Λοιπόν… αυτή η εταιρεία βγήκε πολύ καλή.

---

ΠΑΠΙΑ.  Ναι!

Υποθέτω, για να είμαστε δίκαιοι, ίσως θα έλεγες «Συνπρωτοπόρος»;

---

ΖΥΜΗ.  Ναί. Είχα, «Πρωτοπόρος».

---

ΠΑΠΙΑ.  Ο Jack Kilby, της Texas Instruments, νομίζω ότι βρήκε το πρώτο ολοκληρωμένο κύκλωμα, αλλά εξακολουθούσε να απαιτεί εξαρτήματα στο κύκλωμα να συνδέονται μεταξύ τους.

Και ο Noyce έλυσε το πρόβλημα του πώς να τα ψήσει όλα σε πυρίτιο.

Στην πραγματικότητα παρακολούθησα μια ομιλία του Τζακ Κίλμπερν, όταν ήμουν ένας φρεσκοκομμένος επιστήμονας υπολογιστών.

Απολύτως συναρπαστικό – έρευνα στη δεκαετία του 1950 στην Αμερική!

Και φυσικά, ο Kilby πήρε το περίφημο βραβείο Νόμπελ, νομίζω το 2000.

Αλλά ο Ρόμπερτ Νόις, είμαι βέβαιος ότι θα ήταν κοινός νικητής, αλλά είχε ήδη πεθάνει εκείνη την εποχή, και δεν μπορείτε να πάρετε το βραβείο Νόμπελ μετά θάνατον.

Έτσι, ο Noyce δεν πήρε ποτέ βραβείο Νόμπελ και ο Jack St. Clair Kilby το πήρε.

---

ΖΥΜΗ.  Λοιπόν, αυτό ήταν πολύ καιρό πριν…

…και σε πολύ καιρό από τώρα, μπορεί ακόμα να μιλάμε για το Log4Shell…

---

ΠΑΠΙΑ.  Ω, αγαπητέ, ναι.

---

ΖΥΜΗ.  Παρόλο που υπάρχει λύση για αυτό, οι ΗΠΑ βγήκαν και είπαν ότι μπορεί να περάσουν δεκαετίες μέχρι να γίνει αυτό το πράγμα όντως διορθώθηκε.

---

ΠΑΠΙΑ.  Ας είμαστε δίκαιοι… είπαν, «Ίσως μια δεκαετία ή περισσότερο».

Αυτό είναι ένα σώμα που ονομάζεται Επιτροπή Αναθεώρησης Κυβερνοασφάλειας, το CSRB (τμήμα του Τμήματος Εσωτερικής Ασφάλειας), το οποίο συγκροτήθηκε στις αρχές του έτους.

Δεν ξέρω αν δημιουργήθηκε ειδικά λόγω του Log4Shell ή απλώς επειδή τα ζητήματα πηγαίου κώδικα της αλυσίδας εφοδιασμού έγιναν μεγάλη υπόθεση.

Και σχεδόν οκτώ μήνες αφότου κυκλοφόρησε το Log4Shell, δημιούργησαν αυτήν την έκθεση, 42 σελίδων… η σύνοψη από μόνη της έχει σχεδόν 3 σελίδες.

Και όταν έριξα για πρώτη φορά μια ματιά σε αυτό, σκέφτηκα, «Ω, εδώ πάμε».

Σε κάποιους δημόσιους υπαλλήλους έχουν πει: «Έλα, πού είναι η αναφορά σου; Είστε η επιτροπή αξιολόγησης. Δημοσιεύστε ή χαθείτε!».

Στην πραγματικότητα, αν και ορισμένα μέρη του είναι πράγματι βαριά, νομίζω ότι πρέπει να το διαβάσετε.

Βάζουν κάποια πράγματα για το πώς, ως προμηθευτής λογισμικού, ως δημιουργός λογισμικού, ως εταιρεία που παρέχει λύσεις λογισμικού σε άλλους ανθρώπους, στην πραγματικότητα δεν είναι τόσο δύσκολο να κάνετε τον εαυτό σας εύκολο να επικοινωνήσετε, ώστε οι άνθρωποι να μπορούν να σας ενημερώνουν όταν υπάρχει κάτι έχετε παραβλέψει.

Για παράδειγμα, "Υπάρχει ακόμα μια έκδοση Log4J στον κώδικά σας που δεν προσέξατε με την καλύτερη θέληση στον κόσμο και δεν έχετε επιδιορθώσει."

Γιατί δεν θέλετε κάποιος που προσπαθεί να σας βοηθήσει να μπορέσει να σας βρει και να επικοινωνήσει μαζί σας εύκολα;

---

ΖΥΜΗ.  Και λένε πράγματα όπως… αυτό το πρώτο είναι ένα είδος επιτραπέζιων στοιχημάτων, αλλά είναι καλό για οποιονδήποτε, ειδικά για μικρότερες επιχειρήσεις που δεν το έχουν σκεφτεί αυτό: Αναπτύξτε ένα απόθεμα περιουσιακών στοιχείων και εφαρμογών, ώστε να ξέρετε πού τρέχετε.

---

ΠΑΠΙΑ.  Δεν το απειλούν ρητά ούτε το ισχυρίζονται αυτό, γιατί δεν είναι αρμόδιοι αυτοί οι δημόσιοι υπάλληλοι να κάνουν τους νόμους (αυτό εξαρτάται από το νομοθετικό σώμα)… αλλά νομίζω ότι αυτό που λένε είναι, «Αναπτύξτε αυτή την ικανότητα, γιατί αν δεν το κάνετε , ή δεν μπορούσατε να σας ενοχλήσουν, ή δεν μπορείτε να καταλάβετε πώς να το κάνετε ή νομίζετε ότι οι πελάτες σας δεν θα το προσέξουν, τελικά μπορεί να διαπιστώσετε ότι έχετε ελάχιστη ή καθόλου επιλογή!”

Ειδικά αν θέλετε να πουλήσετε προϊόντα στην ομοσπονδιακή κυβέρνηση! [ΓΕΛΙΟ]

---

ΖΥΜΗ.  Ναι, και έχουμε μιλήσει για αυτό στο παρελθόν… ένα άλλο πράγμα που ορισμένες εταιρείες μπορεί να μην έχουν σκεφτεί ακόμα, αλλά είναι σημαντικό να έχουν: Ένα πρόγραμμα αντιμετώπισης ευπάθειας.

Τι συμβαίνει στην περίπτωση που έχετε μια ευπάθεια;

Ποια είναι τα βήματα που κάνετε;

Ποιο είναι το σχέδιο παιχνιδιού που ακολουθείτε για να τα αντιμετωπίσετε;

---

ΠΑΠΙΑ.  Ναι, αυτό αναφερόμουν νωρίτερα.

Το απλό μέρος αυτού είναι ότι χρειάζεστε απλώς έναν εύκολο τρόπο για να ανακαλύψει κάποιος πού στέλνει αναφορές στον οργανισμό σας… και στη συνέχεια πρέπει να δεσμευτείτε, εσωτερικά ως εταιρεία, ότι όταν λαμβάνετε αναφορές, θα ενεργείτε πραγματικά σε αυτούς.

Όπως είπα, απλώς φανταστείτε ότι έχετε αυτή τη μεγάλη εργαλειοθήκη Java που πουλάτε, μια μεγάλη εφαρμογή με πολλά στοιχεία και σε ένα από τα συστήματα υποστήριξης, υπάρχει αυτό το μεγάλο πράγμα Java.

Και εκεί μέσα, φανταστείτε ότι υπάρχει ακόμα ένα ευάλωτο Log4J .JAR αρχείο που έχετε παραβλέψει.

Γιατί δεν θα θέλατε το άτομο που το ανακάλυψε να μπορεί να σας το πει γρήγορα και εύκολα, ακόμα και με ένα απλό email;

Πόσες φορές πηγαίνετε στο Twitter και βλέπετε γνωστούς ερευνητές κυβερνοασφάλειας να λένε, "Γεια, ξέρει κανείς πώς να επικοινωνήσει με την XYZ Corp;"

Δεν είχαμε περίπτωση στο podcast ενός άντρα που τελικά… Νομίζω ότι πήγε στο TikTok ή κάτι τέτοιο [ΓΕΛΙΑ] επειδή δεν μπόρεσε να μάθει πώς να επικοινωνήσετε με αυτήν την εταιρεία.

Και έκανε ένα βίντεο λέγοντας: "Γεια σας παιδιά, ξέρω ότι σας αρέσουν τα βίντεό σας στα μέσα κοινωνικής δικτύωσης, απλά προσπαθώ να σας πω για αυτό το σφάλμα."

Και τελικά το παρατήρησαν.

Μακάρι να μπορούσε να είχε πάει στην εταιρεία σας DOT com SLASH security DOT txt, για παράδειγμα, και να βρει μια διεύθυνση email!

«Εκεί θα προτιμούσαμε να επικοινωνήσετε μαζί μας. Ή κάνουμε bug bounties μέσω αυτού του προγράμματος… ορίστε πώς μπορείτε να εγγραφείτε σε αυτό. Αν θέλεις να πληρωθείς».

Δεν είναι τόσο δύσκολο!

Και αυτό σημαίνει ότι κάποιος που θέλει να σας ενημερώσει ότι έχετε ένα σφάλμα που ίσως νόμιζες ότι επιλύσατε μπορεί να σας πει.

---

ΖΥΜΗ.  Μου αρέσει η κατάπτωση σε αυτό το άρθρο!

Γράφεις και κάνεις κανάλι John F. Kennedy, λέγοντας [KENNEDY VOICE] «Μην ρωτάς τι μπορούν να κάνουν όλοι οι άλλοι για σένα, αλλά σκέψου τι μπορείς να κάνεις εσύ για τον εαυτό σου, γιατί όποιες βελτιώσεις κάνεις σχεδόν σίγουρα θα ωφελήσουν και όλους τους άλλους. ”

Εντάξει, αυτό βρίσκεται στον ιστότοπο εάν θέλετε να διαβάσετε γι' αυτό… απαιτείται ανάγνωση εάν βρίσκεστε σε οποιαδήποτε θέση που πρέπει να αντιμετωπίσετε ένα από αυτά τα πράγματα.

Είναι μια καλή ανάγνωση… τουλάχιστον διαβάστε την περίληψη των τριών σελίδων, αν όχι την έκθεση 42 σελίδων.

---

ΠΑΠΙΑ.  Ναι, είναι μακρύ, αλλά το βρήκα εκπληκτικά στοχαστικό και εξεπλάγην πολύ ευχάριστα.

Και σκέφτηκα αν οι άνθρωποι το διαβάζουν αυτό, και τυχαίοι άνθρωποι λαμβάνουν τυχαία το ένα δέκατο του στην καρδιά…

…θα έπρεπε συλλογικά να είμαστε σε καλύτερο μέρος.

---

ΖΥΜΗ.  Εντάξει, προχωράμε αμέσως.

Είναι περίοδος καλοκαιρινών διακοπών, και αυτό συχνά περιλαμβάνει να παίρνετε μαζί σας τα gadget σας.

Έχουμε κάποια συμβουλές για απόλαυση τις καλοκαιρινές σας διακοπές χωρίς, λάθος, να μην τις «χαρείτε».

---

ΠΑΠΙΑ.  «Πόσα gadgets πρέπει να πάρουμε; [ΔΡΑΜΑΤΙΚΟ] Μαζέψτε τα όλα!»

Δυστυχώς, όσο περισσότερα παίρνετε, τόσο μεγαλύτερος είναι ο κίνδυνος σας, χαλαρά μιλώντας.

---

ΖΥΜΗ.  Η πρώτη σας συμβουλή εδώ είναι ότι ετοιμάζετε όλα τα gadget σας… θα πρέπει να δημιουργήσετε ένα αντίγραφο ασφαλείας πριν ξεκινήσετε;

Μαντεύοντας την απάντηση είναι «Ναι!»

---

ΠΑΠΙΑ.  Νομίζω ότι είναι αρκετά προφανές.

Όλοι γνωρίζουν ότι πρέπει να δημιουργήσετε ένα αντίγραφο ασφαλείας, αλλά το αναβάλλουν.

Έτσι σκέφτηκα ότι ήταν μια ευκαιρία να ξεπεράσω το μικρό μας αξίωμα ή αληθοφάνεια: «Το μόνο εφεδρικό αντίγραφο για το οποίο θα μετανιώσετε ποτέ είναι αυτό που δεν κάνατε».

Και το άλλο πράγμα σχετικά με το να βεβαιωθείτε ότι έχετε δημιουργήσει αντίγραφα ασφαλείας μιας συσκευής – είτε πρόκειται για λογαριασμό cloud από τον οποίο αποσυνδεθείτε, είτε πρόκειται για αφαιρούμενη μονάδα δίσκου που κρυπτογραφείτε και τοποθετείτε κάπου στο ντουλάπι – σημαίνει ότι μπορεί να αφαιρέσει το ψηφιακό αποτύπωμά σας στη συσκευή.

Θα καταλάβουμε γιατί μπορεί να είναι καλή ιδέα… για να μην έχετε μαζί σας ολόκληρη την ψηφιακή ζωή και την ιστορία σας.

Το θέμα είναι ότι με το να έχετε ένα καλό αντίγραφο ασφαλείας και, στη συνέχεια, να λεπτύνετε αυτό που πραγματικά έχετε στο τηλέφωνο, δεν θα κάνετε λάθος εάν το χάσετε. αν κατασχεθει? αν οι υπάλληλοι μετανάστευσης θέλουν να το εξετάσουν? ο, τι κι αν ειναι.

---

ΖΥΜΗ.  Και, κάπως που σχετίζεται με τη μετακίνηση, μπορεί να χάσετε τον φορητό υπολογιστή ή το κινητό σας τηλέφωνο… επομένως θα πρέπει να κρυπτογραφήσετε αυτές τις συσκευές.

---

ΠΑΠΙΑ.  Ναί.

Τώρα, οι περισσότερες συσκευές είναι κρυπτογραφημένες από προεπιλογή αυτές τις μέρες.

Αυτό ισχύει σίγουρα για το Android. Είναι σίγουρα αλήθεια για το iOS. Και νομίζω ότι όταν παίρνετε φορητούς υπολογιστές Windows αυτές τις μέρες, το BitLocker είναι εκεί.

Δεν είμαι χρήστης των Windows, οπότε δεν είμαι σίγουρος… αλλά σίγουρα, ακόμα κι αν έχετε Windows Home Edition (που είναι ενοχλητικό, και ελπίζω ότι αυτό θα αλλάξει στο μέλλον, ενοχλητικά δεν σας επιτρέπει να χρησιμοποιείτε το BitLocker σε αφαιρούμενες μονάδες δίσκου) … σας επιτρέπει να χρησιμοποιείτε το BitLocker στον σκληρό σας δίσκο.

Γιατί όχι;

Διότι σημαίνει ότι εάν το χάσετε, ή κατασχεθεί ή κλαπεί το φορητό υπολογιστή ή το τηλέφωνό σας, δεν είναι απλώς μια περίπτωση που ένας απατεώνας ανοίγει τον φορητό υπολογιστή σας, αποσυνδέει τον σκληρό δίσκο, τον συνδέει σε άλλον υπολογιστή και διαβάζει τα πάντα από αυτόν , έτσι ακριβώς.

Γιατί δεν παίρνετε τα μέτρα προφύλαξης;

Και, φυσικά, σε ένα τηλέφωνο, γενικά επειδή είναι προκρυπτογραφημένο, τα κλειδιά κρυπτογράφησης δημιουργούνται εκ των προτέρων και προστατεύονται από τον κωδικό κλειδώματος.

Μην πας, «Λοιπόν, θα είμαι στο δρόμο, μπορεί να είμαι υπό πίεση, μπορεί να το χρειαστώ βιαστικά… απλά θα χρησιμοποιήσω 1234 or 0000 για τη διάρκεια των διακοπών».

Μην το κάνεις αυτό!

Ο κωδικός κλειδώματος στο τηλέφωνό σας είναι αυτός που διαχειρίζεται τα πραγματικά κλειδιά κρυπτογράφησης και αποκρυπτογράφησης πλήρους λειτουργίας για τα δεδομένα του τηλεφώνου.

Επιλέξτε λοιπόν έναν μακρύ κωδικό κλειδώματος… Σας προτείνω δέκα ψηφία ή περισσότερα.

Ρυθμίστε το και εξασκηθείτε στη χρήση του στο σπίτι για λίγες μέρες, για μια εβδομάδα πριν φύγετε, μέχρι να γίνει δεύτερη φύση.

Μην πας απλά, 1234 είναι αρκετά καλό, ή «Ω, θα έχω έναν μακρύ κωδικό κλειδώματος… Θα πάω 0000 0000, είναι *οκτώ* χαρακτήρες, κανείς δεν θα το σκεφτεί ποτέ αυτό!»

---

ΖΥΜΗ.  Εντάξει, και αυτό είναι πολύ ενδιαφέρον: Έχετε μερικές συμβουλές σχετικά με τους ανθρώπους που περνούν τα εθνικά σύνορα.

---

ΠΑΠΙΑ.  Ναι, αυτό έχει γίνει κάτι σαν θέμα αυτές τις μέρες.

Επειδή πολλές χώρες –νομίζω ότι ανάμεσά τους είναι οι ΗΠΑ και το Ηνωμένο Βασίλειο, αλλά σε καμία περίπτωση δεν είναι οι μόνες– μπορούν να πουν, «Κοιτάξτε, θέλουμε να ρίξουμε μια ματιά στη συσκευή σας. Θα το ξεκλειδώσεις, σε παρακαλώ;»

Και πας, «Όχι, φυσικά όχι! Είναι ιδιωτικό! Δεν έχεις δικαίωμα να το κάνεις αυτό!»

Λοιπόν, ίσως το κάνουν, και ίσως όχι… δεν είστε ακόμα στη χώρα.

Είναι «Η κουζίνα μου, οι κανόνες μου», οπότε μπορεί να πουν, «Εντάξει, εντάξει, *έχεις* κάθε δικαίωμα να αρνηθείς… αλλά τότε *θα* αρνηθούμε την αποδοχή σου. Περιμένετε εδώ στο σαλόνι αφίξεων μέχρι να σας μεταφέρουμε στο σαλόνι αναχώρησης για να πάτε στην επόμενη πτήση για το σπίτι!»

Βασικά, μην *ανησυχείτε* για το τι πρόκειται να συμβεί, όπως "Μπορεί να αναγκαστώ να αποκαλύψω δεδομένα στα σύνορα."

*Ψάξτε* ποιοι είναι οι όροι εισόδου… τους κανόνες απορρήτου και επιτήρησης στη χώρα που θα πάτε.

Και αν ειλικρινά δεν σας αρέσουν, τότε μην πάτε εκεί! Βρείτε κάπου αλλού να πάτε.

Ή απλά μπείτε στη χώρα, πείτε την αλήθεια και μειώστε το ψηφιακό σας αποτύπωμα.

Όπως λέγαμε με το αντίγραφο ασφαλείας… όσο λιγότερα πράγματα «ψηφιακής ζωής» κουβαλάτε μαζί σας, τόσο λιγότερα θα πάτε στραβά και τόσο λιγότερο πιθανό είναι να τα χάσετε.

Λοιπόν, «να είσαι προετοιμασμένος» είναι αυτό που λέω.

---

ΖΥΜΗ.  Εντάξει, και αυτό είναι καλό: Δημόσιο Wi-Fi, είναι ασφαλές ή μη ασφαλές;

Εξαρτάται, φαντάζομαι;

---

ΠΑΠΙΑ.  Ναί.

Υπάρχουν πολλοί άνθρωποι που λένε, "Γκόλι, αν χρησιμοποιείς δημόσιο Wi-Fi, είσαι καταδικασμένος!"

Φυσικά, όλοι χρησιμοποιούμε δημόσιο Wi-Fi εδώ και χρόνια, στην πραγματικότητα.

Δεν ξέρω κανέναν που σταμάτησε να το χρησιμοποιεί από φόβο μήπως χακαριστεί, αλλά ξέρω ότι οι άνθρωποι λένε: «Λοιπόν, ξέρω ποιοι είναι οι κίνδυνοι. Αυτός ο δρομολογητής θα μπορούσε να ανήκει σε οποιονδήποτε. Θα μπορούσε να έχει κάποιους απατεώνες πάνω του? Θα μπορούσε να έχει έναν αδίστακτο διαχειριστή καφετέριας. ή θα μπορούσε απλώς να το χακάρισε κάποιος που ήταν εδώ σε διακοπές τον περασμένο μήνα, επειδή θεώρησε ότι ήταν τρομερά αστείο και διέρρευσε δεδομένα επειδή «χα χα χα»».

Ωστόσο, εάν χρησιμοποιείτε εφαρμογές που έχουν κρυπτογράφηση από άκρο σε άκρο και εάν χρησιμοποιείτε ιστότοπους που είναι HTTPS, ώστε να είναι κρυπτογραφημένοι από άκρο σε άκρο μεταξύ της συσκευής σας και του άλλου άκρου, τότε υπάρχουν σημαντικά όρια για τι μπορεί να αποκαλύψει ακόμη και ένας εντελώς χακαρισμένος δρομολογητής.

Επειδή κάθε κακόβουλο λογισμικό που έχει εμφυτευθεί από προηγούμενο επισκέπτη θα εμφυτευτεί στον *δρομολογητή*, όχι στη *συσκευή σας*.

---

ΖΥΜΗ.  Εντάξει, στη συνέχεια… αυτό που θεωρώ ότι είναι η υπολογιστική έκδοση των σπάνια καθαριζόμενων δημόσιων τουαλετών.

Πρέπει να χρησιμοποιώ υπολογιστές kiosk σε αεροδρόμια ή ξενοδοχεία;

Πέρα από την ασφάλεια στον κυβερνοχώρο… μόνο ο αριθμός των ανθρώπων που έχουν στα χέρια τους αυτό το βρώμικο, βρώμικο πληκτρολόγιο και ποντίκι!

---

ΠΑΠΙΑ.  Ακριβώς.

Λοιπόν, αυτή είναι η άλλη πλευρά του "Πρέπει να χρησιμοποιήσω δημόσιο Wi-Fi;"

Πρέπει να χρησιμοποιήσω έναν υπολογιστή Kkiosk, ας πούμε, στο ξενοδοχείο ή σε ένα αεροδρόμιο;

Η μεγάλη διαφορά μεταξύ ενός δρομολογητή Wi-Fi που έχει παραβιαστεί και ενός υπολογιστή περιπτέρου που έχει παραβιαστεί είναι ότι εάν η επισκεψιμότητά σας γίνεται κρυπτογραφημένη μέσω ενός παραβιασμένου δρομολογητή, υπάρχει όριο στο πόσο μπορεί να σας κατασκοπεύσει.

Αλλά εάν η επισκεψιμότητά σας προέρχεται από έναν υπολογιστή περιπτέρου που έχει παραβιαστεί ή έχει παραβιαστεί, τότε βασικά, από την άποψη της κυβερνοασφάλειας, *είναι 100% Game Over*.

Με άλλα λόγια, αυτός ο υπολογιστής kiosk θα μπορούσε να έχει απεριόριστη πρόσβαση σε *όλα τα δεδομένα που στέλνετε και λαμβάνετε στο Διαδίκτυο* προτού κρυπτογραφηθεί (και αφού αποκρυπτογραφηθεί το υλικό που λαμβάνετε).

Άρα η κρυπτογράφηση γίνεται ουσιαστικά άσχετη.

*Κάθε πάτημα πλήκτρων που πληκτρολογείτε*… θα πρέπει να υποθέσετε ότι παρακολουθείται.

*Κάθε φορά που εμφανίζεται κάτι στην οθόνη*… θα πρέπει να υποθέτετε ότι κάποιος μπορεί να τραβήξει ένα στιγμιότυπο οθόνης.

*Ό,τι εκτυπώνετε*… θα πρέπει να υποθέσετε ότι υπάρχει ένα αντίγραφο σε κάποιο κρυφό αρχείο.

Επομένως, η συμβουλή μου είναι να αντιμετωπίζετε αυτούς τους υπολογιστές kiosk ως αναγκαίο κακό και να τους χρησιμοποιείτε μόνο εάν πραγματικά πρέπει.

---

ΖΥΜΗ.  Ναι, ήμουν σε ένα ξενοδοχείο το περασμένο Σαββατοκύριακο που είχε υπολογιστή κιόσκι και η περιέργεια με κέρδισε.

Πήγα επάνω… εκτελούσε Windows 10 και μπορούσες να εγκαταστήσεις οτιδήποτε σε αυτό.

Δεν ήταν κλειδωμένο και όποιος το είχε χρησιμοποιήσει πριν δεν είχε αποσυνδεθεί από το Facebook!

Και αυτό είναι μια αλυσίδα ξενοδοχείων που θα έπρεπε να γνωρίζει καλύτερα… αλλά ήταν απλώς ένα ανοιχτό σύστημα από το οποίο κανείς δεν είχε αποσυνδεθεί. ένας πιθανός βόθρος του εγκλήματος στον κυβερνοχώρο που περιμένει να συμβεί.

---

ΠΑΠΙΑ.  Θα μπορούσατε, λοιπόν, απλώς να συνδέσετε ένα USB stick και μετά να πάτε, "Εγκατάσταση keylogger";

---

ΖΥΜΗ.  Ναι!

---

ΠΑΠΙΑ.  "Εγκατάσταση sniffer δικτύου."

---

ΖΥΜΗ.  Αχχ!

---

ΠΑΠΙΑ.  "Εγκατάσταση rootkit."

---

ΖΥΜΗ.  Ναι!

---

ΠΑΠΙΑ.  «Βάλτε φλεγόμενα κρανία σε ταπετσαρία».

---

ΖΥΜΗ.  Οχι ευχαριστώ!

Αυτή η επόμενη ερώτηση δεν έχει καλή απάντηση…

Τι γίνεται με τις spycams και τα δωμάτια ξενοδοχείων και τα Airbnbs;

Αυτά είναι δύσκολο να τα βρεις.

---

ΠΑΠΙΑ.  Ναι, το έβαλα γιατί είναι μια ερώτηση που μας κάνουν τακτικά.

Έχουμε γράψει για τρεις διαφορετικές περιπτώσεις αδήλωτων καμερών κατασκοπείας. (Αυτό είναι ένα είδος ταυτολογίας, έτσι δεν είναι;)

Ο ένας βρισκόταν σε έναν ξενώνα αγροτικών εργασιών στην Αυστραλία, όπου αυτός ο μαθητής προσκαλούσε άτομα με βίζα επισκεπτών που τους επιτρέπεται να κάνουν αγροτικές εργασίες, λέγοντας «Θα σου δώσω ένα μέρος να μείνεις».

Αποδείχθηκε ότι ήταν ένας Πιπινγκ Τομ.

Ο ένας ήταν σε ένα σπίτι της Airbnb στην Ιρλανδία.

Αυτή ήταν μια οικογένεια που ταξίδεψε σε όλη τη διαδρομή από τη Νέα Ζηλανδία, οπότε δεν μπορούσαν απλά να μπουν στο αυτοκίνητο και να πάνε σπίτι, να τα παρατήσουν!

Και το άλλο ήταν ένα πραγματικό ξενοδοχείο στη Νότια Κορέα… αυτό ήταν πραγματικά ανατριχιαστικό.

Δεν νομίζω ότι ήταν η αλυσίδα που ανήκε το ξενοδοχείο, ήταν κάποιοι διεφθαρμένοι υπάλληλοι ή κάτι τέτοιο.

Έβαλαν κατασκοπευτικές κάμερες στα δωμάτια, και δεν σε κοροϊδεύω, Νταγκ… στην πραγματικότητα πουλούσαν, βασικά, pay-per-view.

Δηλαδή, πόσο ανατριχιαστικό είναι αυτό;

Τα καλά νέα, σε δύο από αυτές τις περιπτώσεις, οι δράστες συνελήφθησαν και απαγγέλθηκαν κατηγορίες, οπότε τελείωσε άσχημα για αυτούς, πράγμα πολύ σωστό.

Το πρόβλημα είναι… αν διαβάσετε την ιστορία της Airbnb (έχουμε έναν σύνδεσμο για τη Γυμνή Ασφάλεια) ο τύπος που έμενε εκεί με την οικογένειά του ήταν στην πραγματικότητα άτομο της It, ειδικός στον κυβερνοχώρο.

Και παρατήρησε ότι ένα από τα δωμάτια (υποτίθεται ότι πρέπει να δηλώσετε αν υπάρχουν κάμερες σε ένα Airbnb, προφανώς) είχε δύο συναγερμούς καπνού.

Πότε βλέπετε δύο συναγερμούς καπνού; Χρειάζεσαι μόνο ένα.

Και έτσι άρχισε να κοιτάζει ένα από αυτά, και έμοιαζε με συναγερμό καπνού.

Το άλλο, καλά, η μικρή τρύπα που έχει το LED που αναβοσβήνει δεν αναβοσβήνει.

Και όταν κοίταξε, σκέφτηκε: «Φαίνεται ύποπτα σαν φακός για κάμερα!»

Και ήταν, στην πραγματικότητα, μια κατασκοπευτική κάμερα μεταμφιεσμένη σε συναγερμό καπνού.

Ο ιδιοκτήτης το είχε συνδέσει στο κανονικό Wi-Fi, έτσι μπόρεσε να το βρει κάνοντας μια σάρωση δικτύου… χρησιμοποιώντας ένα εργαλείο όπως το Nmap ή κάτι τέτοιο.

Βρήκε αυτή τη συσκευή και όταν την έκανε ping, ήταν αρκετά προφανές, από την υπογραφή δικτύου της, ότι ήταν στην πραγματικότητα μια κάμερα web, αν και μια κάμερα web κρυμμένη σε έναν συναγερμό καπνού.

Οπότε στάθηκε τυχερός.

Γράψαμε ένα άρθρο για το τι βρήκε, συνδέοντας και εξηγώντας τι είχε γράψει στο blog εκείνη την εποχή.

Αυτό ήταν πίσω το 2019, άρα πριν από τρία χρόνια, οπότε η τεχνολογία πιθανότατα έχει εμφανιστεί λίγο περισσότερο από τότε.

Τέλος πάντων, μπήκε στο Διαδίκτυο για να δει, "Τι πιθανότητα έχω πραγματικά να βρω κάμερες στα επόμενα μέρη όπου μένω;"

Και συνάντησε μια κάμερα κατασκοπείας – φαντάζομαι ότι η ποιότητα της εικόνας θα ήταν πολύ τρομερή, αλλά εξακολουθεί να είναι μια *ψηφιακή κάμερα κατασκοπείας που λειτουργεί*…. όχι ασύρματο, πρέπει να το καλωδιώσεις – ενσωματωμένο *σε μια βίδα με κεφαλή Phillips*, Νταγκ!

---

ΖΥΜΗ.  Φοβερο.

---

ΠΑΠΙΑ.  Κυριολεκτικά ο τύπος της βίδας που θα βρείτε στην πλάκα κάλυψης που βρίσκετε σε έναν διακόπτη φώτων, ας πούμε, αυτό το μέγεθος βίδας.

Ή τη βίδα που βάζετε σε μια πλάκα καλύμματος πρίζας… μια βίδα με κεφαλή Phillips κανονικού, μέτριου μεγέθους.

---

ΖΥΜΗ.  Τα ψάχνω στο Amazon αυτή τη στιγμή!

«Κάμερα με βιδωτή οπή», για 20 $.

---

ΠΑΠΙΑ.  Εάν αυτό δεν είναι συνδεδεμένο ξανά στο ίδιο δίκτυο ή εάν είναι συνδεδεμένο σε μια συσκευή που απλώς κάνει εγγραφή σε μια κάρτα SD, θα είναι πολύ δύσκολο να το βρείτε!

Λοιπόν, δυστυχώς, η απάντηση σε αυτήν την ερώτηση… ο λόγος για τον οποίο δεν έγραψα την ερώτηση έξι ως, "Πώς μπορώ να βρω spycams στα δωμάτια στα οποία έμεινα;"

Η απάντηση είναι ότι μπορείς να προσπαθήσεις, αλλά δυστυχώς, το όλο θέμα «Η απουσία αποδείξεων δεν είναι απόδειξη απουσίας».

Δυστυχώς, δεν έχουμε συμβουλές που να λένε, «Υπάρχει ένα μικρό gizmo που μπορείτε να αγοράσετε σε μέγεθος κινητού τηλεφώνου. Πατάς ένα κουμπί και ηχεί αν υπάρχει κάμερα spycam στο δωμάτιο."

---

ΖΥΜΗ.  ΕΝΤΑΞΕΙ. Η τελευταία μας συμβουλή για όσους από εσάς δεν μπορείτε να συγκρατήσετε τον εαυτό σας: «Θα πάω διακοπές, αλλά τι γίνεται αν θέλω να πάρω μαζί μου τον φορητό υπολογιστή εργασίας μου;»

---

ΠΑΠΙΑ.  Δεν μπορώ να απαντήσω σε αυτό.

Δεν μπορείς να απαντήσεις σε αυτό.

Δεν είναι το laptop σου, είναι το laptop της δουλειάς.

Έτσι, η απλή απάντηση είναι, "Ρωτήστε!"

Και αν πουν, «Πού πας;», και δώσεις το όνομα της χώρας και σου πουν, «Όχι»…

…τότε αυτό είναι, δεν μπορείς να το πάρεις μαζί.

Ίσως απλά πείτε, «Τέλεια, μπορώ να το αφήσω εδώ; Μπορείς να το κλειδώσεις στο ντουλάπι πληροφορικής μέχρι να επιστρέψω;»

Αν πάτε και ρωτήσετε το IT, "Θα πάω στη Χώρα Χ. Αν έπαιρνα μαζί το φορητό υπολογιστή εργασίας μου, έχετε κάποιες ιδιαίτερες συστάσεις;"…

…άκουσέ τους!

Διότι αν η δουλειά πιστεύει ότι υπάρχουν πράγματα που πρέπει να γνωρίζετε σχετικά με το απόρρητο και την επιτήρηση στο μέρος που πηγαίνετε, αυτά τα πράγματα πιθανότατα ισχύουν για τη ζωή στο σπίτι σας.

---

ΖΥΜΗ.  Εντάξει, αυτό είναι ένα υπέροχο άρθρο… διαβάστε το υπόλοιπο.

---

ΠΑΠΙΑ.  Είμαι τόσο περήφανη για τα δύο jingles με τα οποία τελείωσα!

---

ΖΥΜΗ.  Ω ναι!

Έχουμε ακούσει, «Αν έχετε αμφιβολίες, μην το δώσετε».

Αλλά αυτό είναι ένα νέο που σκέφτηκες, το οποίο μου αρέσει πολύ….

---

ΠΑΠΙΑ.  «Αν η ζωή σου είναι στο τηλέφωνό σου/Γιατί να μην την αφήσεις στο σπίτι;»

---

ΖΥΜΗ.  Ναι, ορίστε!

Εντάξει, για το συμφέρον του χρόνου, έχουμε άλλο ένα άρθρο στο site σας παρακαλώ να διαβάσετε. Αυτό ονομάζεται: Facebook 2 FA απατεώνες επιστρέφουν, αυτή τη φορά σε μόλις 21 λεπτά.

Αυτή είναι η ίδια απάτη που χρειαζόταν 28 λεπτά, επομένως έχουν ξυρίσει επτά λεπτά από αυτήν την απάτη.

Και έχουμε μια ερώτηση αναγνώστη σχετικά με αυτήν την ανάρτηση.

Ο αναγνώστης Πέτρος γράφει εν μέρει: «Πιστεύεις αλήθεια ότι αυτά τα πράγματα είναι τυχαία; Βοήθησα να αλλάξω το ευρυζωνικό συμβόλαιο του πεθερού μου με τη British Telecom πρόσφατα και την ημέρα που έγινε η αλλαγή, είχε ένα τηλεφώνημα ηλεκτρονικού ψαρέματος από τη British Telecom. Προφανώς, θα μπορούσε να συμβεί οποιαδήποτε μέρα, αλλά τέτοια πράγματα σε κάνουν να αναρωτιέσαι για το χρονοδιάγραμμα. Παύλος…"

---

ΠΑΠΙΑ.  Ναι, έχουμε πάντα ανθρώπους που λένε: «Ξέρεις τι; Έχω μια από αυτές τις απάτες…»

Είτε πρόκειται για μια σελίδα στο Facebook ή για πνευματικά δικαιώματα στο Instagram ή, όπως ο μπαμπάς αυτού του καλλιτέχνη, για τηλεπικοινωνίες… «Πήρα την απάτη το πρωί ακριβώς αφότου έκανα κάτι που σχετίζεται άμεσα με την απάτη. Σίγουρα δεν είναι τυχαίο;»

Και νομίζω ότι για τους περισσότερους ανθρώπους, επειδή σχολιάζουν το Naked Security, συνειδητοποιούν ότι είναι απάτη, οπότε λένε, "Σίγουρα οι απατεώνες το ήξεραν;"

Με άλλα λόγια, πρέπει να υπάρχουν κάποιες εσωτερικές πληροφορίες.

Η άλλη πλευρά αυτού είναι οι άνθρωποι που *δεν* συνειδητοποιούν ότι πρόκειται για απάτη και δεν θα σχολιάσουν τη Γυμνή Ασφάλεια, λένε, "Ω, καλά, δεν μπορεί να είναι τυχαίο, επομένως πρέπει να είναι γνήσιο!"

Στις περισσότερες περιπτώσεις, από την εμπειρία μου, είναι απολύτως σύμπτωση, απλά με βάση τον όγκο.

Έτσι, το θέμα είναι ότι στις περισσότερες περιπτώσεις, είμαι πεπεισμένος ότι αυτές οι απάτες που λαμβάνετε, είναι συμπτώσεις, και οι απατεώνες βασίζονται στο γεγονός ότι είναι εύκολο να "κατασκευάσετε" αυτές τις συμπτώσεις όταν μπορείτε να στείλετε τόσα πολλά email σε τόσους πολλούς οι άνθρωποι τόσο εύκολα.

Και δεν προσπαθείς να ξεγελάσεις *όλους*, απλά προσπαθείς να ξεγελάσεις *κάποιον*.

Και ο Νταγκ, αν μπορώ να το στριμώξω στο τέλος: "Χρησιμοποιήστε έναν διαχειριστή κωδικών πρόσβασης!"

Γιατί τότε δεν μπορείτε να βάλετε τον σωστό κωδικό πρόσβασης σε λάθος ιστότοπο κατά λάθος, και αυτό σας βοηθάει πάρα πολύ με αυτές τις απάτες, είτε είναι τυχαίες είτε όχι.

---

ΖΥΜΗ.  Εντάξει, πολύ καλό όπως πάντα!

Ευχαριστώ για το σχόλιο Πέτρο.

Εάν έχετε μια ενδιαφέρουσα ιστορία, σχόλιο ή ερώτηση που θέλετε να υποβάλετε, θα θέλαμε να τη διαβάσουμε στο podcast.

Μπορείτε να στείλετε email στο tips@sophos.com, να σχολιάσετε οποιοδήποτε από τα άρθρα μας ή να μας ενημερώσετε στα social: @nakedsecurity.

Αυτή είναι η εκπομπή μας για σήμερα. ευχαριστώ πολύ για την ακρόαση.

Για τον Paul Ducklin, είμαι ο Doug Aamoth, που σας υπενθυμίζω, μέχρι την επόμενη φορά, να…

---

ΚΑΙ ΤΑ ΔΥΟ.  Μείνετε ασφαλείς!

[ΜΟΥΣΙΚΟ ΜΟΝΤΕΜ]