S3 Ep139: آیا قوانین رمز عبور مانند دویدن در باران هستند؟

پخش کننده صوتی زیر نیست؟ گوش بده مستقیما در Soundcloud

دوغ.  وصله سه‌شنبه، مقابله با جرایم سایبری و سرگرمی با رمزهای عبور.

همه اینها و بیشتر در پادکست Naked Security.

[مودم موزیکال]

به پادکست خوش آمدید، همه.

من داگ آموت هستم. او پل داکلین است.

پل، امروز چطوری؟

---

اردک.  داگ، من نباید این را بگویم... اما چون می دانم چه چیزی در راه است این هفته در تاریخ فناوری، چون پیش نمایشی به من دادید، بسیار هیجان زده هستم!

---

دوغ.  خوب، خوب، بیایید به آن بپردازیم!

این هفته، در 15 ژوئن، در سال 1949، جی فورستر، که پروفسور موسسه فناوری ماساچوست یا MIT بود، نوشت…

---

اردک.  [درام مسخره] این را نگو که انگار اهل بوستون هستی و از آن راضی هستی، داگ؟ [خنده]

---

دوغ.  هی، پردیس زیبایی است. من بارها آنجا بوده ام.

---

اردک.  این یک نوع دانشکده مهندسی معروف است، اینطور نیست؟ [می خندد]

---

دوغ.  حتما همینطوره!

جی فورستر پیشنهادی برای "حافظه هسته" را در نوت بوک خود نوشت و بعداً حافظه هسته مغناطیسی را روی کامپیوتر Whirlwind MIT نصب کرد.

این اختراع کامپیوترها را قابل اعتمادتر و سریعتر کرد.

حافظه هسته تا زمان توسعه نیمه هادی ها در دهه 1970، انتخاب محبوب برای ذخیره سازی رایانه باقی ماند.

---

اردک.  این یک ایده فوق‌العاده ساده است زمانی که بدانید چگونه کار می‌کند.

هسته‌های مغناطیسی کوچک فریت، مثل این که در مرکز یک ترانسفورماتور قرار می‌گیرید... مانند واشرهای فوق‌العاده مینیاتوری.

آنها در جهت عقربه های ساعت یا خلاف جهت عقربه های ساعت به معنای صفر یا یک مغناطیسی شدند.

به معنای واقعی کلمه ذخیره سازی مغناطیسی بود.

و این ویژگی بد بو، داگلاس، داشت که چون فریت اساساً یک آهنربای دائمی را تشکیل می‌دهد…

... می توانید آن را دوباره مغناطیس کنید، اما وقتی برق را خاموش می کنید، مغناطیسی باقی می ماند.

بنابراین غیر فرار بود!

اگر قطع برق داشتید، اساساً می‌توانید رایانه را مجدداً راه‌اندازی کنید و از همان جایی که متوقف کرده‌اید ادامه دهید.

حیرت آور!

---

دوغ.  عالی، بله... این واقعا عالی است.

---

اردک.  ظاهراً، طرح اولیه MIT این بود که برای هر بیت حق امتیاز 0.02 دلار آمریکا دریافت کند.

آیا می توانید تصور کنید که مثلاً یک حافظه 64 گیگابایتی آیفون چقدر گران می شود؟

به میلیاردها دلار می رسد! [می خندد]

---

دوغ.  غیر واقعی

خوب، چند تاریخ جالب، اما اجازه دهید آن را به روز مدرن بیاوریم.

چندی پیش… Microsoft Patch Tuesday.

بدون روز صفر، اما همچنان اصلاحات فراوان، پل:

پچ سه شنبه 4 باگ مهم RCE و تعدادی حفره آفیس را برطرف می کند

---

اردک.  خوب، اگر آن حفره اجرای کد از راه دور Edge را که هفته گذشته در مورد آن صحبت کردیم، نادیده بگیرید، هیچ روز صفری در این ماه وجود ندارد.

---

دوغ.  Hmmmmmm

---

اردک.  از نظر فنی، این بخشی از Patch Tuesday نیست…

... اما در مجموع 26 باگ اجرای کد از راه دور [RCE] و 17 باگ elevation-of-privilege [EoP] وجود داشت.

این همان جایی است که کلاهبرداران در حال حاضر وارد آن شده‌اند، اما هنوز نمی‌توانند کار زیادی انجام دهند، بنابراین از باگ EoP برای به دست آوردن قدرت‌های فوق‌العاده در شبکه شما استفاده می‌کنند و کارهای بسیار زشت‌تری انجام می‌دهند.

چهار مورد از این اشکالات اجرای کد از راه دور توسط مایکروسافت "بحرانی" لقب گرفتند، به این معنی که اگر شما از آن دسته افرادی هستید که هنوز دوست دارید وصله های خود را به ترتیب خاصی انجام دهید، پیشنهاد می کنیم با آنها شروع کنید.

خبر خوب در مورد چهار وصله مهم این است که سه مورد از آنها به یک مؤلفه ویندوز مربوط می شوند.

تا آنجا که من می توانم متوجه شوم، این یک دسته از اشکالات مرتبط بود که احتمالاً در طی نوعی بررسی کد آن مؤلفه پیدا شده است.

در صورتی که در شبکه خود از آن استفاده کنید، به سرویس پیام رسانی ویندوز مربوط می شود.

---

دوغ.  و همه ما به طور جمعی از صبر و شکیبایی خود در مورد خرابی SketchUp، که تا به حال نمی دانستم وجود داشته، تشکر شده است.

---

اردک.  مانند شما داگ، من هرگز از این برنامه به نام SketchUp استفاده نکرده ام، که معتقدم یک برنامه گرافیکی سه بعدی شخص ثالث است.

چه کسی می دانست که واقعا عالی است که بتوانید تصاویر سه بعدی SketchUp را در اسناد Word، Excel، PowerPoint خود قرار دهید؟

همانطور که می توانید تصور کنید، با یک فرمت فایل کاملاً جدید برای تجزیه، تفسیر، پردازش، رندر در داخل Office…

…مایکروسافت باگی را معرفی کرد که با نام CVE-2023-33146 برطرف شد.

اما اگر دوست داشته باشید، داستان پنهان پشت داستان این است که در 01 ژوئن 2023، مایکروسافت اعلام کرد که:

قابلیت درج گرافیک SketchUp به طور موقت در Word، Excel، PowerPoint و Outlook برای Windows و Mac غیرفعال شده است.

از شکیبایی شما قدردانی می کنیم که برای اطمینان از امنیت و عملکرد این ویژگی تلاش می کنیم.

خوشحالم که مایکروسافت از صبر من قدردانی می کند، اما شاید آرزو می کنم که ای کاش خود مایکروسافت قبل از معرفی این ویژگی در آفیس در وهله اول کمی صبورتر بود.

کاش آن را در آنجا قرار می دادند *بعد از* ایمن بودن، نه اینکه آن را در آنجا قرار می دادند تا ببینند ایمن است یا نه و همانطور که شما می گویید (تعجب! تعجب!) متوجه می شدند که اینطور نیست.

---

دوغ.  عالی.

بیایید به موضوع صبر بپردازیم.

من گفتم که ما "مراقب این موضوع" خواهیم بود، و امیدوار بودم که نیازی به این موضوع نباشد.

اما همانطور که در تیتر مطلب انجام دادید، باید کمی همسو بکنیم.

کاهش بیشتر MOVEit: وصله های جدید برای محافظت بیشتر منتشر شده است، پل.

کاهش بیشتر MOVEit: وصله های جدید برای محافظت بیشتر منتشر شده است

---

اردک.  دوباره آن مشکل قدیمی MOVEit است: اشکال تزریق SQL.

این بدان معناست که اگر از برنامه MOVEit Transfer استفاده می‌کنید و آن را اصلاح نکرده‌اید، کلاهبردارانی که می‌توانند به قسمت جلویی مبتنی بر وب دسترسی داشته باشند می‌توانند سرور شما را فریب دهند تا کارهای بدی انجام دهد…

... تا و از جمله جاسازی یک پوسته وب که به آنها اجازه می دهد بعداً سرگردان شوند و هر کاری که می خواهند انجام دهند.

همانطور که می دانید، یک CVE صادر شد و Progress Software، سازندگان MOVEit، یک پچ برای مقابله با سوء استفاده شناخته شده در طبیعت منتشر کردند.

آنها اکنون پچ دیگری برای مقابله با اشکالات مشابه دارند که، تا آنجا که می دانند، کلاهبرداران هنوز آنها را پیدا نکرده اند (اما اگر به اندازه کافی سخت نگاه می کردند، ممکن بود).

و هر چقدر هم که عجیب به نظر برسد، وقتی متوجه می‌شوید که بخش خاصی از نرم‌افزار شما دارای یک نوع اشکال خاص است، نباید تعجب کنید که وقتی عمیق‌تر می‌شوید…

... متوجه می شوید که برنامه نویس (یا تیم برنامه نویسی که در زمانی که اشکالی که قبلاً در مورد آن می دانید معرفی شد روی آن کار می کردند) در همان زمان اشتباهات مشابهی را مرتکب شدند.

من می گویم Progress Software برای مقابله فعالانه با این موضوع بسیار خوب است.

Progress Software فقط گفت، «همه مشتریان Move It باید پچ جدید منتشر شده در 09 ژوئن 2023 را اعمال کنند.

---

دوغ.  خوب، من حدس می‌زنم که ما… مراقب آن باشیم!

پل، اینجا به من کمک کن

من در سال 2023 هستم، در حال خواندن در a تیتر امنیت برهنه چیزی در مورد "Mt. گوکس."

چی داره به سر من میاد؟

تاریخچه بازبینی شد: وزارت دادگستری ایالات متحده اتهامات مربوط به جرایم سایبری کوه Gox را افشا کرد

---

اردک.  کوه گوکس!

"Magic The Gathering Exchange Online"، داگ، همانطور که بود…

---

دوغ.  [می خندد] البته!

---

اردک.  ... جایی که می توانید کارت های Magic The Gathering را مبادله کنید.

آن دامنه فروخته شد و کسانی که خاطرات طولانی دارند می دانند که به محبوب ترین و تا حد زیادی بزرگترین صرافی بیت کوین روی کره زمین تبدیل شده است.

این توسط یک تبعه فرانسوی به نام مارک کارپلس، خارج از ژاپن اداره می شد.

ظاهراً همه چیز در حال شنا بود، تا اینکه در سال 2014 در پفکی از گرد و غبار ارزهای دیجیتال منفجر شد، زمانی که آنها متوجه شدند، به طور کلی، تمام بیت کوین هایشان ناپدید شده است.

---

دوغ.  [می خندد] من نباید بخندم!

---

اردک.  647,000 از آنها یا چیزی شبیه به آن.

و حتی در آن زمان، آنها قبلاً حدود 800 دلار برای هر پاپ ارزش داشتند، به طوری که ارزش "پفک" نیم میلیارد دلار آمریکا بود.

به طرز جالبی، در آن زمان، انگشتان زیادی به سمت خود تیم Mt. Gox نشانه رفتند و گفتند: "اوه، این باید یک کار داخلی باشد."

و در واقع، در روز سال نو، فکر می‌کنم در سال 2015، یک روزنامه ژاپنی به نام Yomiuri Shimbun در واقع مقاله‌ای منتشر کرد که می‌گفت: «ما این موضوع را بررسی کرده‌ایم و 1٪ از ضررها را می‌توان با بهانه‌ای توضیح داد. آمده با; برای بقیه، ما در حال ثبت نام هستیم و می گوییم که این یک کار داخلی بود.

اکنون، آن مقاله ای که آنها منتشر کردند، و به دلیل اینکه یک اتهام کاملاً دراماتیک است، باعث ایجاد درامای زیادی شد، اکنون وقتی امروز از آن بازدید می کنید، خطای 404 [صفحه HTTP یافت نشد] را می دهد.

---

دوغ.  بسیار جالب!

---

اردک.  بنابراین فکر نمی‌کنم که آنها دیگر روی آن بایستند.

و در واقع، وزارت دادگستری [DOJ] در ایالات متحده سرانجام، در تمام این سال‌ها، در واقع دو شهروند روسی را به دزدیدن تمام بیت‌کوین‌ها متهم کرد.

بنابراین به نظر می رسد که مارک کارپلس حداقل یک تبرئه نسبی را با حسن نیت وزارت دادگستری ایالات متحده دریافت کرده است، زیرا آنها قطعاً این دو پسر روسی را در تمام آن سال ها پیش در چارچوب این جنایت قرار داده اند.

---

دوغ.  خواندنی جذاب است.

بنابراین آن را در Naked Security بررسی کنید.

تنها کاری که باید انجام دهید این است که "Mt. گوکس».

بیایید به موضوع جرایم سایبری بمانیم، زیرا یکی از مجرمان اصلی بدافزار بانکی Gozi در زندان فرود آمد پس از ده سال طولانی، پل:

«رئیس IT» بدافزار بانکی Gozi سرانجام پس از بیش از 10 سال زندانی شد

---

اردک.  بله... کمی شبیه انتظار اتوبوس بود.

دو داستان شگفت‌انگیز "وای، این ده سال پیش اتفاق افتاد، اما ما در پایان به او خواهیم رسید" یکباره رسید. [خنده]

و فکر کردم این یکی مهم است که دوباره بنویسم، فقط بگویم: «این وزارت دادگستری است. آنها او را فراموش نکردند.»

در حقیقت. او در کلمبیا دستگیر شد.

من فکر می کنم که او یک ملاقات کرد، و او در فرودگاه بوگوتا بود، و حدس می زنم که مقامات مرزی فکر می کردند، "اوه، این نام در لیست نظارت است"!

و بنابراین ظاهراً مقامات کلمبیایی فکر کردند: "بیایید با سرویس دیپلماتیک ایالات متحده تماس بگیریم."

آنها گفتند: "هی، ما اینجا یک نفر را نگه می داریم به نام (نام او را ذکر نمی کنم - در مقاله آمده است). . آیا شما هنوز به شانس علاقه مند هستید؟»

و چه شگفت‌آور، داگ، ایالات متحده واقعاً علاقه‌مند بود.

به همین دلیل استرداد شد، با دادگاه روبه‌رو شد، به جرم خود اعتراف کرد و اکنون محکوم شده است.

او فقط سه سال زندان خواهد داشت که ممکن است حکم سبکی به نظر برسد و باید بیش از 3,000,000 دلار را پس بدهد.

نمی‌دانم اگر این کار را نکند چه اتفاقی می‌افتد، اما حدس می‌زنم این فقط یک یادآوری است که با اجرا و مخفی شدن از جنایت‌های مرتبط با بدافزار…

...خب، اگر اتهاماتی علیه شما وجود دارد و ایالات متحده به دنبال شما است، آنها فقط نمی گویند: "آه، ده سال است، ممکن است آن را ترک کنیم."

و جنایت کاری این مرد اجرای چیزی بود که در اصطلاح به آن "میزبان ضد گلوله" معروف است، داگ.

اینجا اساساً جایی است که شما به نوعی یک ISP هستید، اما برخلاف یک ISP معمولی، شما از راه خود خارج می شوید تا هدف متحرکی برای مجریان قانون، لیست های مسدود شده و اعلامیه های حذف از ISP های معمولی باشید.

بنابراین، شما خدمات ارائه می‌دهید، اما اگر دوست دارید، آنها را در حال جابجایی و جابجایی در اینترنت نگه می‌دارید تا کلاهبرداران هزینه‌ای را به شما بپردازند، و آنها بدانند که دامنه‌هایی که برای آنها میزبانی می‌کنید ادامه خواهند داشت. کار کنید، حتی اگر مجریان قانون به دنبال شما باشند.

---

دوغ.  بسیار خوب، دوباره یک خبر عالی.

پل، وقتی که ما داستان های خود را برای آن روز کامل می کنیم، با یک موضوع بسیار دشوار، ظریف و در عین حال دست و پنجه نرم کرده ای سوال مهم در مورد رمزهای عبور

یعنی باید مدام آنها را به صورت چرخشی تغییر دهیم، شاید ماهی یک بار؟

یا برای شروع موارد بسیار پیچیده را قفل کنید و سپس به اندازه کافی به حال خود رها کنید؟

افکار در مورد تغییرات برنامه ریزی شده رمز عبور (آنها را چرخش صدا نکنید!)

---

اردک.  اگرچه به نظر یک داستان قدیمی است، و در واقع داستانی است که قبلاً بارها از آن بازدید کرده‌ایم، دلیلی که آن را نوشتم این بود که خواننده‌ای با من تماس گرفت تا در مورد این موضوع بپرسد.

او گفت: "من نمی خواهم برای 2FA وارد خفاش شوم. من نمی‌خواهم برای مدیریت رمزهای عبور وارد خفاش شوم. اینها مسائل جداست من فقط می خواهم بدانم چگونه می توانم، اگر دوست دارید، جنگ چمن بین دو جناح داخل شرکت من را حل کنم، جایی که برخی می گویند ما باید رمزهای عبور را به درستی انجام دهیم، و برخی دیگر فقط می گویند، "آن قایق حرکت کرد، خیلی سخت است. ما فقط مردم را مجبور خواهیم کرد که آنها را تغییر دهند و این به اندازه کافی خوب خواهد بود."

بنابراین فکر کردم ارزش نوشتن در مورد آن را دارد.

با قضاوت بر اساس تعداد نظرات در مورد امنیت برهنه و در رسانه های اجتماعی، بسیاری از تیم های فناوری اطلاعات هنوز با این موضوع دست و پنجه نرم می کنند.

اگر افراد را مجبور کنید هر 30 روز یا 60 روز یکبار رمز عبور خود را تغییر دهند، آیا واقعاً مهم است که رمز عبوری را انتخاب کنند که در صورت دزدیده شدن هش آنها بسیار قابل کرک باشد؟

تا زمانی که انتخاب نکنند password or secret یا یکی از ده نام برتر گربه در جهان، شاید اشکالی ندارد اگر آنها را مجبور کنیم قبل از اینکه کلاهبرداران بتوانند آن را بشکنند آن را به یک رمز عبور نه چندان خوب دیگر تغییر دهند؟

شاید این به اندازه کافی خوب باشد؟

اما من سه دلیل دارم که چرا شما نمی توانید یک عادت بد را فقط با پیروی از یک عادت بد دیگر اصلاح کنید.

---

دوغ.  اولین نفر از دروازه: تغییر منظم رمزهای عبور جایگزینی برای انتخاب و استفاده از رمزهای عبور قوی نیست. پل

---

اردک.  نه!

ممکن است انتخاب کنید که هر دو را انجام دهید (و من در یک دقیقه دو دلیل به شما می‌دهم که چرا فکر می‌کنم مجبور کردن افراد به تغییر مرتب آن‌ها مجموعه‌ای از مشکلات دیگر دارد).

اما مشاهده ساده این است که تغییر منظم رمز عبور بد، آن را به رمز عبور بهتری تبدیل نمی کند.

اگر رمز عبور بهتری می خواهید، برای شروع رمز عبور بهتری انتخاب کنید!

---

دوغ.  و تو می گویی: مجبور کردن افراد به تغییر رمز عبور خود به طور معمول ممکن است آنها را به سمت عادت های بد سوق دهد.

---

اردک.  با قضاوت بر اساس نظرات، این دقیقاً همان مشکلی است که بسیاری از تیم های فناوری اطلاعات دارند.

اگر به مردم بگویید، "هی، شما باید هر 30 روز یکبار رمز عبور خود را تغییر دهید، و بهتر است یک رمز عبور خوب انتخاب کنید"، تنها کاری که انجام می دهند این است…

…یکی خوب را انتخاب خواهند کرد.

آنها یک هفته را صرف این خواهند کرد که تا آخر عمر آن را به خاطر بسپارند.

و سپس هر ماه اضافه می کنند -01, -02، و غیره.

بنابراین اگر کلاهبرداران یکی از رمزهای عبور را شکسته یا به خطر بیاندازند، و الگوی مشابهی را ببینند، اگر رمز عبور شما را از شش ماه پیش بدانند، تقریباً می توانند رمز عبور امروز شما را بفهمند.

بنابراین اینجاست که تغییر اجباری در زمانی که لازم نیست می‌تواند افراد را به سمت میانبرهای امنیت سایبری سوق دهد که شما نمی‌خواهید انجام دهند.

---

دوغ.  و این یک مورد جالب است.

ما قبلاً در مورد این صحبت کرده ایم، اما این چیزی است که برخی از افراد ممکن است به آن فکر نکرده باشند: زمان‌بندی تغییر رمز عبور ممکن است پاسخ‌های اضطراری را به تأخیر بیندازد.

منظورت از این حرف چیست؟

---

اردک.  نکته این است که اگر یک برنامه رسمی و ثابت برای تغییر رمز عبور دارید به طوری که همه بدانند وقتی آخرین روز این ماه فرا می رسد، مجبور می شوند رمز عبور خود را به هر حال تغییر دهند…

... و سپس فکر می کنند، "می دانید چیست؟ دوازدهم ماه است، و من به وب‌سایتی رفتم که مطمئن نیستم ممکن است یک سایت فیشینگ باشد. خب، من به هر حال تا دو هفته دیگر پسوردم را عوض می‌کنم، بنابراین الان نمی‌روم و آن را تغییر می‌دهم.»

بنابراین، با تغییر *مرتب* رمزهای عبور خود، ممکن است به این عادت دچار شوید که گاهی اوقات، زمانی که واقعاً بسیار مهم است، رمز عبور خود را *مکرر* به اندازه کافی تغییر نمی دهید.

اگر و زمانی که فکر می کنید دلیل خوبی برای تغییر رمز عبور وجود دارد، همین حالا این کار را انجام دهید!

---

دوغ.  عاشقشم!

خوب، بیایید از یکی از خوانندگان خود در مورد قطعه رمز عبور بشنویم.

فیلیپ خواننده Naked Security در بخشی از این مقاله می نویسد:

تغییر دادن رمزهای عبور خود اغلب برای اینکه به خطر نیفتید مانند این است که فکر کنید اگر به اندازه کافی سریع بدوید، می توانید تمام قطرات باران را دور بزنید.

خوب، شما از قطرات بارانی که پشت سرتان می ریزند طفره می روید، اما به همان اندازه جایی که می روید وجود خواهد داشت.

و تعداد بسیار زیادی از افراد مجبور به تغییر مرتب رمزهای عبور خود می شوند و به سادگی شماره ای را اضافه می کنند که می توانند در صورت نیاز آن را افزایش دهند.

همانطور که گفتی، پل!

---

اردک.  چستر [ویزنیفسکی] دوست من و شما چند سال پیش، زمانی که در موردش صحبت می کردیم، گفت افسانه های رمز عبور، "تمام کاری که آنها باید انجام دهند [می خندد]، تا بفهمند عدد در پایان چقدر است، رفتن به صفحه لینکدین شما است. "در این شرکت در آگوست 2017 شروع به کار کرد" ... تعداد ماه های پس از آن را بشمارید."

این عددی است که در پایان به آن نیاز دارید.

Sophos Techknow - افسانه‌های درهم شکستن رمز عبور

---

دوغ.  دقیقا! [خنده]

---

اردک.  و مشکل اینجاست که وقتی تلاش می‌کنید و برنامه‌ریزی می‌کنید یا الگوریتم می‌کنید... آیا این یک کلمه است؟

(احتمالاً نباید باشد، اما به هر حال از آن استفاده خواهم کرد.)

وقتی سعی می‌کنید ایده تصادفی، آنتروپی، و غیرقابل پیش‌بینی را در نظر بگیرید و آن را در الگوریتم‌هایی بسیار دقیق قرار دهید، مانند الگوریتمی که توصیف می‌کند چگونه کاراکترها و اعداد روی برچسب‌های خودرو چیده شده‌اند، برای مثال…

... سپس شما با تصادفی *کمتر* مواجه می شوید، نه *بیشتر*، و باید از آن آگاه باشید.

بنابراین، همانطور که چستر در آن زمان گفت، مجبور کردن مردم به انجام هر کاری که باعث شود آنها در یک الگو قرار گیرند، صرفاً عادت دادن آنها به یک عادت بد است.

و من این روش را دوست دارم.

---

دوغ.  بسیار خوب، فیلیپ، از ارسال آن بسیار متشکرم.

و اگر داستان، نظر یا سوال جالبی دارید که می‌خواهید ارسال کنید، مایلیم آن را در پادکست بخوانید.

می‌توانید به tips@sophos.com ایمیل بزنید، در مورد هر یک از مقاله‌های ما نظر دهید، یا به ما در شبکه اجتماعی مراجعه کنید: @nakedsecurity.

این نمایش امروز ماست.

خیلی ممنون که گوش دادید

برای پل داکلین، من داگ آموت هستم، تا دفعه بعد به شما یادآوری می کنم که…

---

هر دو.  ایمن بمان

[مودم موزیکال]