S3 Ep92: Log4Shell4Ever, reisinõuanded ja pettus [heli + tekst]

Klõpsake ja lohistage allolevatel helilainetel mis tahes punkti hüppamiseks. Sa saad ka kuula otse Soundcloudis.

DOUG.  Facebooki petuskeemid, Log4Shell igavesti ja näpunäited küberturvaliseks suveks.

Kõik see ja palju muud alasti turvalisuse taskuhäälingus.

[MUUSIKAMODEEM]

Tere tulemast podcasti, kõik.

Mina olen Doug Aamoth ja minuga, nagu alati, on Paul Ducklin.

Kuidas sul läheb, Paul?

---

PART.  Ma olen super-duper, Douglas.

Hakkab siin Inglismaal veidi jahtuma.

---

DOUG.  Jah.

---

PART.  Ma arvan, et valisin vale päeva, et minna ühele toredale suurele maale jalgrattamatkale.

See oli nii hea mõte, kui ma teele asusin: "Ma tean, et ma teen ilusa pika sõidu ja siis jõuan rongiga koju, nii et olen podcasti jaoks piisavalt aega kodus."

Ja kui ma sinna jõudsin, sõitsid rongid äärmise kuumuse tõttu ainult kord kahe tunni jooksul ja ma jäin just ühest maha.

Nii et ma pidin kogu tee tagasi sõitma… ja jõudsin õigeks ajaks kohale.

---

DOUG.  Olgu, sina ja mina oleme suvi täies hoos ja meil on mõned näpunäited suveks, mis tulevad hiljem saates.

Aga kõigepealt tahaksin rääkida See nädal tehnikaajaloos.

Sel nädalal, 1968. aastal, moodustasid Intel Corporationi Gordon Moore (tema Moore'i seadusest) ja Robert Noyce.

Noyce'i peetakse integraallülituse ehk mikrokiibi pioneeriks.

Inteli esimene mikroprotsessor oleks 4004, mida kasutati kalkulaatorite jaoks.

Ja a Naljakas fakt, nimi Intel on integreeritud elektroonika kombinatsioon.

Nii… see ettevõte osutus päris heaks.

---

PART.  Jah!

Ma arvan, et ausalt öeldes võiksite öelda: "Kaaspioneer"?

---

DOUG.  Jah. Mul oli: "Pioneer".

---

PART.  Ma arvan, et Jack Kilby Texas Instrumentsist tuli välja esimese integraallülituse, kuid see nõudis siiski ahela osade ühendamist.

Ja Noyce lahendas probleemi, kuidas neid kõiki ränis küpsetada.

Ma osalesin tegelikult Jack Kilburni kõnes, kui olin värskelt vermitud arvutiteadlane.

Täiesti põnev – uurimustöö 1950. aastatel Ameerikas!

Ja muidugi sai Kilby kuulsalt Nobeli preemia, ma arvan, et aastal 2000.

Kuid ma olen kindel, et Robert Noyce oleks olnud ühine võitja, kuid ta oli selleks ajaks juba surnud ja te ei saa postuumselt Nobeli preemiat.

Niisiis, Noyce ei saanud kunagi Nobeli preemiat ja Jack St. Clair Kilby sai.

---

DOUG.  No see oli juba ammu…

…ja pika aja pärast võime rääkida endiselt Log4Shellist…

---

PART.  Oh, kallis, jah.

---

DOUG.  Kuigi kui sellele on lahendus, on USA välja tulnud ja öelnud, et võib kuluda aastakümneid, enne kui see asi saab tegelikult fikseeritud.

---

PART.  Olgem ausad… nad ütlesid: "Võib-olla kümme aastat või kauem."

See on keha, mida nimetatakse Küberturvalisuse ülevaatusnõukoguCSRB (osa sisejulgeolekuministeeriumist), mis moodustati selle aasta alguses.

Ma ei tea, kas see moodustati spetsiaalselt Log4Shelli tõttu või lihtsalt tarneahela lähtekoodi probleemide tõttu.

Ja peaaegu kaheksa kuud pärast seda, kui Log4Shell sai teoks, koostasid nad selle 42-leheküljelise aruande… ainuüksi kokkuvõte on peaaegu 3 lehekülge.

Ja kui ma sellele esimest korda pilgu heitsin, mõtlesin ma: "Oh, siin me läheme."

Mõnele riigiteenistujale on öeldud: "Ole, kus on teie aruanne? Olete ülevaatusnõukogu. Avalda või hävi!”

Tegelikult, kuigi osad sellest on tõesti rasked, arvan, et peaksite selle läbi lugema.

Nad räägivad sellest, kuidas tarkvaramüüjana, tarkvara loojana, teistele inimestele tarkvaralahendusi pakkuva ettevõttena pole tegelikult nii raske endaga hõlpsasti ühendust saada, et inimesed saaksid teile teada anda, kui midagi on sa oled kahe silma vahele jätnud.

Näiteks: "Teie koodis on endiselt Log4J versioon, mida te maailma parima tahtega ei märganud ja mida te pole parandanud."

Miks te ei soovi, et keegi, kes püüab teid aidata, leiaks teid üles ja saaks teiega hõlpsalt ühendust?

---

DOUG.  Ja nad ütlevad selliseid asju nagu... see esimene on omamoodi lauapanused, kuid see on kasulik kõigile, eriti väiksematele ettevõtetele, kes pole sellele mõelnud: arendage varade ja rakenduste loend, et teaksite, mida te kus kasutate.

---

PART.  Nad ei ähvarda ega väida seda sõnaselgelt, sest see ei ole nende avalike teenistujate kohus seadusi kehtestada (see on seadusandja otsustada)… aga ma arvan, et nad ütlevad: "Arendage seda suutlikkust, sest kui te seda ei tee. , või te ei viitsinud end häirida või te ei saa aru, kuidas seda teha, või arvate, et teie kliendid ei märka seda, võite lõpuks avastada, et teil on vähe või üldse mitte valikut!”

Eriti kui soovite müüa tooteid föderaalvalitsusele! [NAER]

---

DOUG.  Jah, ja me oleme sellest varem rääkinud… veel üks asi, millele mõned ettevõtted pole ehk veel mõelnud, kuid mille olemasolu on oluline: haavatavusele reageerimise programm.

Mis juhtub juhul, kui teil on haavatavus?

Milliseid samme astute?

Millist mänguplaani te nende lahendamiseks järgite?

---

PART.  Jah, sellele ma varem vihjasin.

Lihtne osa sellest on see, et vajate lihtsalt lihtsat viisi, kuidas keegi saaks teada, kuhu teie organisatsioonis aruandeid saadab... ja seejärel peate võtma ettevõttesiseselt kohustuse, et kui saate aruandeid, siis ka tegelikult tegutsete. nende peale.

Nagu ma ütlesin, kujutage ette, et teil on see suur Java tööriistakomplekt, mida müüte, suur rakendus paljude komponentidega ja ühes taustsüsteemis on see suur Java-asi.

Kujutage ette, et seal on endiselt haavatav Log4J .JAR faili, mille olete kahe silma vahele jätnud.

Miks te ei tahaks, et inimene, kes selle avastas, saaks teile sellest kiiresti ja lihtsalt teada anda, isegi lihtsa meili teel?

Mitu korda külastate Twitterit ja näete tuntud küberjulgeolekuteadlasi ütlemas: "Hei, kas keegi teab, kuidas XYZ Corpiga ühendust võtta?"

Kas meil polnud juhtum taskuhäälingusaates mehest, kes lõpuks… ma arvan, et ta läks TikToki või midagi sellist [NAER], sest ta ei saanud teada kuidas selle ettevõttega ühendust võtta.

Ja ta tegi video, öeldes: "Hei poisid, ma tean, et teile meeldivad oma sotsiaalmeedia videod, ma lihtsalt üritan teile sellest veast rääkida."

Ja lõpuks nad märkasid seda.

Kui ta vaid oleks võinud minna näiteks teie ettevõttesse DOT com SLASH turvalisuse DOT txt ja leida meiliaadressi!

"See on koht, kus me eelistaksime, et te meiega ühendust võtaksite. Või teeme selle programmi kaudu veahüvitisi… registreerute selle programmi kaudu järgmiselt. Kui soovite, et teile makstaks."

See pole nii raske!

Ja see tähendab, et keegi, kes soovib teile mõista anda, et teil on viga, mille olete arvatavasti parandanud, võib teile öelda.

---

DOUG.  Mulle meeldib selles artiklis mahavõtmine!

Kirjutate ja kanaldate John F. Kennedyt, öeldes [KENNEDY HÄÄL] „Ärge küsige, mida kõik teised saavad teie heaks teha, vaid mõelge sellele, mida saate ise teha, sest kõik teie tehtud täiustused toovad peaaegu kindlasti kasu ka kõigile teistele. ”

Olgu, see on saidil üleval, kui soovite selle kohta lugeda… see on kohustuslik lugemine, kui olete mis tahes olukorras, kus peate ühega neist asjadest tegelema.

See on hea lugemine… lugege vähemalt kolmeleheküljelist kokkuvõtet, kui mitte 42-leheküljelist aruannet.

---

PART.  Jah, see on pikk, kuid mulle tundus see üllatavalt läbimõeldud ja olin väga meeldivalt üllatunud.

Ja ma mõtlesin, et kui inimesed loevad seda ja juhuslikud inimesed võtavad sellest juhusliku kümnendiku südamesse…

… peaksime üheskoos olema paremas kohas.

---

DOUG.  Hea küll, liigume edasi.

Käes on suvepuhkuste hooaeg ja see tähendab sageli oma vidinate kaasavõtmist.

Meil on mõned näpunäiteid nautimiseks oma suvepuhkust ilma, eks, seda "mitte nautimata".

---

PART.  „Mitu vidinat peaksime võtma? [DRAMAATILINE] Pakkige need kõik kokku!"

Kahjuks, mida rohkem te võtate, seda suurem on teie risk.

---

DOUG.  Teie esimene näpunäide on see, et pakite kõik oma vidinad… kas peaksite enne teele asumist varukoopia tegema?

Eeldades, et vastus on: "Jah!"

---

PART.  Ma arvan, et see on üsna ilmne.

Kõik teavad, et peaksite tegema varukoopia, kuid nad lükkasid selle edasi.

Nii et ma arvasin, et see on võimalus meie väikese maksiimi või tõetruu väljamõtlemiseks: "Ainus varu, mida te kunagi kahetsete, on see, mida te ei teinud."

Ja teine ​​asi, mis puudutab seadme varundamist – olgu see siis pilvekontole, millelt seejärel välja logite, või irdkettale, mille krüptite ja kuhugi kappi panite – see tähendab, et võib teie digitaalset jalajälge seadmel eemaldada.

Uurime, miks see võib olla hea mõte… lihtsalt selleks, et teil poleks kogu oma digitaalset elu ja ajalugu kaasas.

Asi on selles, et tehes hea varukoopia ja seejärel harvendades seda, mis teil tegelikult telefonis on, on selle kaotamisel vähem valesti minna. kui see konfiskeeritakse; kui immigratsiooniametnikud tahavad seda vaadata; mis iganes see ka on.

---

DOUG.  Ja mis on mõnevõrra seotud liikumisega, võite kaotada oma sülearvuti ja/või mobiiltelefoni... nii et peaksite need seadmed krüpteerima.

---

PART.  Jah.

Nüüd on enamik seadmeid tänapäeval vaikimisi krüptitud.

See kehtib kindlasti Androidi kohta; see kehtib kindlasti iOS-i kohta; ja ma arvan, et kui te tänapäeval Windowsi sülearvuteid hankite, on BitLocker olemas.

Ma ei ole Windowsi kasutaja, nii et ma pole kindel… aga kindlasti, isegi kui teil on Windows Home Edition (mis tüütult ja ma loodan, et see muutub tulevikus, ei lase teil tüütult kasutada BitLockerit irdketastes) … see võimaldab teil kõvakettal kasutada BitLockerit.

Miks mitte?

Sest see tähendab, et kui te selle kaotate või see konfiskeeritakse või teie sülearvuti või telefon varastatakse, ei juhtu ainult see, et kelm avab teie sülearvuti, ühendab kõvaketta lahti, ühendab selle teise arvutiga ja loeb kõik sellelt välja. , just nii.

Miks mitte võtta ettevaatusabinõusid?

Ja muidugi telefonis, kuna see on eelnevalt krüptitud, luuakse krüpteerimisvõtmed eelnevalt ja neid kaitseb teie lukukood.

Ärge öelge: "Noh, ma olen teel, võin olla surve all, võib-olla vajan seda kiirustades ... ma lihtsalt kasutan 1234 or 0000 puhkuse ajaks."

Ära tee seda!

Teie telefoni lukukood haldab tegelikke telefoni andmete täielikku krüptimise ja dekrüpteerimise võtmeid.

Nii et valige pikk lukukood... Soovitan kümme või rohkem numbrit.

Seadke see ja harjutage seda kodus paar päeva, nädal enne lahkumist kasutama, kuni see muutub loomulikuks.

Ära lihtsalt mine, 1234 on piisavalt hea või "Oh, mul on pikk lukukood... ma lähen 0000 0000, see on *kaheksa* tähemärki, keegi ei mõtle sellele kunagi!

---

DOUG.  OK, ja see on tõesti huvitav: teil on nõuandeid riigipiire ületavate inimeste kohta.

---

PART.  Jah, see on tänapäeval muutunud probleemiks.

Kuna paljud riigid – ma arvan, et nende hulgas on ka USA ja Ühendkuningriik, kuid nad pole sugugi ainsad – võivad öelda: „Vaata, me tahame teie seadet vaadata. Kas teeksite selle lahti, palun?"

Ja sa ütled: "Ei, muidugi mitte! See on privaatne! Teil pole selleks õigust!"

Noh, võib-olla nad teevad ja võib-olla mitte… te pole veel maal.

See on "Minu köök, minu reeglid", nii et nad võivad öelda: "Hea küll, *teil* on täielik õigus keelduda... aga siis *me* keeldume teie sissepääsust. Oodake siin saabujate salongis, kuni saame teid järgmisele lennule koju viia!

Põhimõtteliselt ärge *muretsege* selle pärast, mis juhtuma hakkab, näiteks "Võin olla sunnitud piiril andmeid avaldama".

*Vaadake*, millised on sisenemise tingimused... privaatsus- ja jälgimisreeglid riigis, kuhu lähete.

Ja kui need teile tõesti ei meeldi, siis ärge minge sinna! Otsige kuhugi mujale.

Või lihtsalt sisenege riiki, rääkige tõtt ja vähendage oma digitaalset jalajälge.

Nagu me ütlesime varukoopia puhul… mida vähem “digielu” asju endaga kaasas kannate, seda vähem on vigu ja seda väiksem on tõenäosus, et te need kaotate.

Niisiis, "olge valmis" on see, mida ma ütlen.

---

DOUG.  OK, ja see on hea: avalik WiFi, kas see on ohutu või ebaturvaline?

Oleneb vist?

---

PART.  Jah.

Paljud inimesed ütlevad: "Golly, kui kasutate avalikku WiFi-ühendust, olete hukule määratud!"

Muidugi oleme me kõik kasutanud avalikku WiFi-ühendust juba aastaid.

Ma ei tea kedagi, kes oleks selle häkkimise hirmus selle kasutamise lõpetanud, kuid ma tean, et inimesed ütlevad: „Ma tean, millised on riskid. See ruuter võis kuuluda kellelegi. Sellel võivad olla mõned kõverad; sellel võiks olla südametunnistuseta kohvikupidaja; või see võib olla lihtsalt selles, et keegi, kes oli eelmisel kuul siin puhkusel, häkkis selle sisse, kuna arvas, et see oli kohutavalt naljakas, ja see lekib andmeid, sest "ha ha ha".

Kuid kui kasutate rakendusi, millel on täielik krüptimine, ja kui kasutate saite, mis on HTTPS-iga, nii et need krüpteeritakse täielikult teie seadme ja teise otsa vahel, on sellel märkimisväärsed piirangud. mida isegi täielikult häkitud ruuter võib paljastada.

Kuna mis tahes pahavara, mille eelmine külastaja on siirdanud, siirdatakse *ruuterisse*, mitte *teie seadmesse*.

---

DOUG.  OK, järgmiseks... mida ma pean harva puhastatavate avalike tualettide arvutuslikuks versiooniks.

Kas ma peaksin kasutama kioskarvuteid lennujaamades või hotellides?

Kui küberjulgeolek kõrvale jätta... just nii palju inimesi, kes on selle määrdunud, räpase klaviatuuri ja hiire käes hoidnud!

---

PART.  Täpselt.

Niisiis, see on teema "Kas ma peaksin kasutama avalikku WiFi-ühendust?"

Kas ma peaksin Kkioski arvutit kasutama näiteks hotellis või lennujaamas?

Suur erinevus häkitud WiFi-ruuteri ja häkitud arvutikioskarvuti vahel seisneb selles, et kui teie liiklus krüpteeritakse läbi ohustatud ruuteri, on sellel piirang, kui palju see teie järele luurab.

Aga kui teie liiklus pärineb häkitud või ohustatud kioskiarvutist, siis põhimõtteliselt on küberturvalisuse seisukohast *see 100% mäng läbi*.

Teisisõnu võib sellel kioskarvutil olla piiramatu juurdepääs *kõigile andmetele, mida saadate ja Internetis vastu võtate*, enne kui need krüpteeritakse (ja pärast seda, kui tagastatud kraam dekrüpteeritakse).

Seega muutub krüptimine sisuliselt ebaoluliseks.

*Iga sisestatud klahvivajutus*… peaksite eeldama, et seda jälgitakse.

*Iga kord, kui midagi on ekraanil*… peaksite eeldama, et keegi saab ekraanipildi teha.

*Kõik, mida prindite välja*… peaksite eeldama, et mõnes peidetud failis on koopia.

Nii et minu nõuanne on käsitleda neid kioskiarvuteid kui vajalikku kurja ja kasutada neid ainult siis, kui see on tõesti vajalik.

---

DOUG.  Jah, olin eelmisel nädalavahetusel hotellis, kus oli kioskarvuti, ja uudishimu sai minust võitu.

Kõndisin üles... sellel oli Windows 10 ja te võisite sinna installida mida tahes.

See ei olnud lukus ja kes seda varem kasutas, polnud Facebookist välja loginud!

Ja see on ketthotell, mis oleks pidanud paremini teadma... aga see oli lihtsalt laialt avatud süsteem, millest keegi polnud välja loginud; potentsiaalne küberkuritegevuse prügila, mis ootab juhtumist.

---

PART.  Nii et võite lihtsalt ühendada USB-mälupulga ja seejärel valida "Install keylogger"?

---

DOUG.  Jah!

---

PART.  "Installi võrgu nuusutaja."

---

DOUG.  UH ah!

---

PART.  "Install rootkit."

---

DOUG.  Jah!

---

PART.  "Pane tapeedile põlevad pealuud."

---

DOUG.  Ei aitäh!

See järgmine küsimus ei anna head vastust…

Kuidas on lood nuhkkaamerate ja hotellitubadega ning Airbnbsiga?

Neid on raske leida.

---

PART.  Jah, panin selle sisse, sest see on küsimus, mida meilt regulaarselt küsitakse.

Oleme kirjutanud kolmest erinevast deklareerimata spioonikaamera juhtumist. (See on omamoodi tautoloogia, kas pole?)

Üks oli Austraalias farmitööhostelis, kuhu see tüüp kutsus külalisviisaga inimesi, kellel on lubatud talutööd teha, öeldes: "Ma annan sulle öömaja."

Selgus, et ta oli Piiluv Tom.

Üks oli Airbnb majas Iirimaal.

See oli perekond, kes sõitis terve tee Uus-Meremaalt, nii et nad ei saanud lihtsalt autosse istuda ja koju minna, andke alla!

Ja teine ​​oli Lõuna-Korea hotell… see oli tõesti jube.

Ma ei usu, et hotell kuulus kettile, vaid korrumpeerunud töötajatele või muule.

Nad panid ruumidesse spioonikaamerad, ja ma ei tee seda pahaks, Doug... tegelikult müüsid nad põhimõtteliselt tasulist vaatamist.

Ma mõtlen, kui jube see on?

Hea uudis on see, et kahel juhul vägivallatsejad tegelikult vahistati ja neile esitati süüdistus, nii et see lõppes nende jaoks halvasti, mis on täiesti õige.

Probleem on selles, et kui lugeda Airbnb lugu (meil on alasti turvalisuse link), oli seal oma perega ööbinud mees tegelikult IT-inimene, küberturvalisuse ekspert.

Ja ta märkas, et ühes toas (peate teatama, kas Airbnb-s on ilmselt kaameraid) oli kaks suitsuandurit.

Millal näete kahte suitsuandurit? Teil on vaja ainult ühte.

Ja nii hakkas ta ühte neist vaatama ja see nägi välja nagu suitsuandur.

Teine, noh, see väike auk, mille LED-tuli vilgub, ei vilgunud.

Ja kui ta läbi vaatas, mõtles ta: "See näeb välja kahtlaselt nagu objektiiv kaamera jaoks!”

Ja tegelikult oli see suitsuanduriks maskeeritud spioonikaamera.

Omanik oli selle ühendanud tavalise Wi-Fi-ga, nii et ta suutis selle leida võrguskannimise teel... kasutades sellist tööriista nagu Nmap või midagi sellist.

Ta leidis selle seadme ja kui ta seda pingestas, oli selle võrgusignatuuri põhjal üsna ilmne, et see oli tegelikult veebikaamera, ehkki suitsuandurisse peidetud veebikaamera.

Nii et tal vedas.

Kirjutasime artikli sellest, mida ta leidis, linkides ja selgitades, millest ta tol ajal blogis oli.

See oli 2019. aastal, nii et see on kolm aastat tagasi, nii et sellest ajast on tehnoloogiat ilmselt isegi veidi rohkem tulnud.

Igatahes uuris ta veebis: "Milline võimalus on mul tegelikult järgmistes kohtades kaameraid leida?"

Ja ta sattus spioonikaamera peale – ma kujutan ette, et pildikvaliteet oleks päris kohutav, aga see on ikkagi *töötav digitaalne spioonikaamera*…. mitte traadita, peate selle ühendama – sisestatud *ristpeaga kruvisse*, Doug!

---

DOUG.  Hämmastav.

---

PART.  Sõna otseses mõttes seda tüüpi kruvi, mille leiate katteplaadist, mille saate valguslülitile, näiteks sellise suurusega kruvi.

Või kruvi, mille saate pistikupesa katteplaadile… tavalise, tagasihoidliku suurusega Phillips-peaga kruvi.

---

DOUG.  Otsin neid praegu Amazonist!

"Pinhole kruvikaamera" 20 dollari eest.

---

PART.  Kui see pole samasse võrku tagasi ühendatud või kui see on ühendatud seadmega, mis lihtsalt salvestab SD-kaardile, on seda väga raske leida!

Nii et kahjuks vastus sellele küsimusele… põhjus, miks ma ei kirjutanud kuuendat küsimust järgmiselt: "Kuidas leida nuhkkaameraid tubadest, kus ma ööbisin?"

Vastus on, et võite proovida, kuid kahjuks on see kogu asi "tõendite puudumine ei ole tõend puudumise kohta".

Kahjuks pole meil nõuannet, mis ütleks: „Saate osta väikese nipsasja, mis on mobiiltelefoni suurune. Vajutate nuppu ja see piiksub, kui ruumis on nuhkkaamera."

---

DOUG.  OKEI. Meie viimane näpunäide neile, kes ei saa end aidata: "Ma lähen puhkusele, aga mis siis, kui ma tahan oma töö sülearvuti kaasa võtta?"

---

PART.  ma ei oska sellele vastata.

Sa ei saa sellele vastata.

See pole teie sülearvuti, see on töö sülearvuti.

Seega on lihtne vastus: "Küsi!"

Ja kui nad ütlevad: "Kuhu sa lähed?" Ja kui annate riigi nime ja nad ütlevad: "Ei" ...

…siis see on kõik, te ei saa seda kaasa võtta.

Võib-olla lihtsalt öelda: "Tore, kas ma võin selle siia jätta? Kas saate selle IT-kappi lukustada, kuni ma tagasi tulen?"

Kui lähete ja küsite IT-lt: "Ma lähen riiki X. Kui ma võtaksin kaasa oma töö sülearvuti, kas teil on mingeid erisoovitusi?"…

... kuulake neid!

Sest kui töö arvates on asju, mida peaksite teadma privaatsuse ja jälgimise kohta kohas, kuhu lähete, kehtivad need tõenäoliselt teie koduse elu kohta.

---

DOUG.  Hea küll, see on suurepärane artikkel… lugege ülejäänud osa.

---

PART.  Ma olen nii uhke kahe jingli üle, millega ma lõpetasin!

---

DOUG.  Oh, jah!

Oleme kuulnud, "Kui kahtlete, ärge andke seda välja."

Aga see on uus, mille sa välja mõtlesid ja mis mulle väga meeldib….

---

PART.  "Kui teie elu on teie telefonis / miks mitte jätta see koju?"

---

DOUG.  Jah, seal on!

Hea küll, aja huvides on meil saidil veel üks artikkel, mida palun teil lugeda. Seda nimetatakse: Facebook 2FA petturid naasevad, seekord vaid 21 minutiga.

See on sama pettus, mis võttis varem aega 28 minutit, seega on nad sellest pettusest seitse minutit maha ajanud.

Ja meil on selle postituse kohta lugejaküsimus.

Lugeja Peter kirjutab osaliselt: „Kas sa tõesti arvad, et need asjad on juhuslikud? Aitasin hiljuti muuta oma äia British Telecomi lairibalepingut ja päeval, mil muutus toimus, helistas talle andmepüügiga tegelev telefonikõne British Telecomilt. Ilmselgelt oleks see võinud juhtuda igal päeval, kuid sellised asjad panevad ajastamise üle kahtlema. Paul…”

---

PART.  Jah, meil on alati inimesi, kes ütlevad: "Tead mida? Sain ühe neist pettustest…”

Kas see puudutab Facebooki lehte või Instagrami autoriõigusi või, nagu selle mehe isa, telekommunikatsiooniga seotud… „Sain pettuse kohe hommikul pärast seda, kui tegin midagi, mis oli otseselt seotud pettusega. Kindlasti pole see juhus?"

Ja ma arvan, et enamik inimesi, kuna nad kommenteerivad alasti turvalisust, mõistavad, et see on pettus, ja nad ütlevad: "Kindlasti teadsid kelmid?"

Ehk siis mingi siseinfo peab olema.

Selle tagakülg on inimesed, kes *ei saa* aru, et tegemist on pettusega, ega kommenteeri alasti turvalisust, vaid ütlevad: "Oh, see ei saa olla juhus, seega peab see olema ehtne!"

Enamasti on see minu kogemuse kohaselt taandunud absoluutselt juhusele, lihtsalt mahu põhjal.

Asi on selles, et enamikul juhtudel olen ma veendunud, et need petuskeemid, mida saate, on kokkusattumused ja kelmid toetuvad tõsiasjale, et neid kokkusattumusi on lihtne "toota", kui saate saata nii palju e-kirju nii paljudele. inimesed nii lihtsalt.

Ja te ei ürita petta *kõiki*, vaid lihtsalt *kellegi*.

Ja Doug, kui ma saan selle lõpus sisse pigistada: "Kasutage paroolihaldurit!"

Sest siis ei saa te kogemata õiget parooli valele saidile panna ja see aitab teid nende petuskeemide puhul tohutult, olenemata sellest, kas need on juhuslikud või mitte.

---

DOUG.  Hea küll, väga hea nagu alati!

Aitäh kommentaari eest, Peter.

Kui teil on huvitav lugu, kommentaar või küsimus, mille soovite esitada, loeksime seda hea meelega taskuhäälingusaates.

Võite saata e-posti aadressil tips@sophos.com, kommenteerida mõnda meie artiklit või anda meile suhtlusvõrgustik: @nakedsecurity.

See on meie tänane saade; tänan väga kuulamast.

Paul Ducklini jaoks olen mina Doug Aamoth, tuletan teile kuni järgmise korrani meelde, et…

---

MÕlemad.  Ole turvaline!

[MUUSIKAMODEEM]