اکنون گوش کن
برای پرش به هر نقطه، روی امواج صوتی زیر کلیک کنید و بکشید. شما همچنین می توانید مستقیم گوش کن در Soundcloud
با پل داکلین و چستر ویسنیفسکی.
موسیقی مقدماتی و بیرونی توسط ادیت ماج.
شما می توانید به ما گوش دهید Soundcloud, پادکست های اپل, پادکست های Google, Spotify, Stitcher به و هر جایی که پادکست های خوب پیدا می شود. یا فقط رها کنید URL فید RSS ما به پادکچر مورد علاقه شما
رونوشت را بخوانید
اردک. کروم! جرایم سایبری! یک کریپتوکوئن گم شده! گرفتن توکن 2FA!
و مورد عجیب و غریب چستر چمز جدید.
همه اینها و بیشتر در پادکست Naked Security.
[مودم موزیکال]
سلام به همه.
یک بار دیگر، اردک روی صندلی است، زیرا داگ در تعطیلات است.
دوست و همکارم چستر ویسنیفسکی به من ملحق شده است…
چسلاو، روز بسیار خوبی برای شماست.
CHET. روزت بخیر، اردک.
خوب است که دوباره جای داگ را پر کنیم.
زمانی که او به تعطیلات میرود، دوست دارم - یک گفتگوی جالب برای برنامهریزی پادکست داریم، و از آنجایی که در تابستان کمی کند است، وقت آزاد دارم و واقعاً خوب است که برگردم.
اردک. خوب، متأسفانه، در جبهه صفر روز کند نیست.
یک بار دیگر، ما فقط آن را داشتیم آخرین آپدیت کروم.
گوگل سه بولتن امنیتی اساسا مجزا منتشر کرده است: یکی برای اندروید. یکی برای ویندوز و مک؛ و یکی برای ویندوز و مک، اما در نسخه قبلی، "کانال پایدار توسعه یافته".
هیچ اشاره ای به لینوکس نشده است، اما همه آنها یک باگ مشترک دارند و آن "CVE-2022-2294: سرریز بافر در WebRTC" است.
شناخته شده است که در طبیعت مورد استثمار قرار گرفته است، به این معنی که کلاهبرداران ابتدا به آنجا رسیدند.
بنابراین، چستر، بیشتر به ما بگویید.
CHET. خوب، حداقل در سمت لینوکس میتوانم تأیید کنم که آنها یک نسخه منتشر کردند.
من نمیدانم در آن نسخه چه چیزی وجود دارد، اما شماره نسخه حداقل با شماره نسخهای که انتظار داریم در ویندوز و مک مشاهده کنیم، یعنی 103.0.5060.114 مطابقت دارد.
در هر صورت، در Arch Linux من که Chromium را اجرا می کند، این شماره ساخت است و با نسخه تولیدی Chrome برای ویندوز در رایانه من در کنار آن مطابقت دارد.
بنابراین، حداقل ما برابری نسخه را داریم. ما نمی دانیم که آیا برابری باگ داریم یا خیر.
اردک. بله، و به طرز آزاردهنده ای، نسخه اندروید که ظاهراً همان وصله هایی را دارد که در بقیه ذکر شد، اساساً همان شماره نسخه است به جز ends dot-71.
و البته، نسخه 102 ... این کاملاً متفاوت است زیرا مجموعه ای کاملاً متفاوت از چهار عدد است.
تنها چیزی که در همه آنها مشترک است، صفر در موقعیت دوم است.
بنابراین کاملاً گیج کننده است.
CHET. بله، با توجه به اینکه کشف شد که در طبیعت مورد استفاده قرار گرفته است، به این معنی که کسی گوگل را شکست داد.
و این عملکرد خاص به ویژه برای Google مهم است، زیرا آنها پلتفرم Google Meet خود را تبلیغ می کنند، که نسخه اصلی آنها است... من شنیده ام که مردم از آن به عنوان "Google Zoom" یاد می کنند.
پلتفرم MEET گوگل، نه نوع گوشتی که ممکن است با شام بخورید.
اردک. کمی آنجا ذهنم درگیر بود!
برای روشنتر شدن، متوجه شدم که به سمت Google Hangouts حرکت میکنم که ظاهراً به زودی بسته میشود، و البته گوگل پلاس متأخر و فکر میکنم بیتفاوت.
CHET. خوب، اگر میخواهید به طور کامل از سوراخ خرگوش پلتفرم پیامرسانی Google در مورد تعداد چیزهایی که آنها اختراع کردهاند و اختراع نکردهاند و ادغام و لغو کردهاند و سپس دوباره اختراع کردهاند، یک مقاله عالی در Vox.com وجود دارد که میتوانید آن را بخوانید!
WebRTC... در اصل، این پروتکلی است که به شما امکان می دهد وب کم خود را در پلتفرم هایی مانند Google Meet استریم کنید و میکروفون خود را استریم کنید.
و من فکر میکنم از زمان شروع همهگیری احتمالاً بیشتر از همیشه مورد استفاده قرار گرفته است.
از آنجا که بسیاری از سرویسها ممکن است یک کلاینت چربی برای اشتراکگذاری صفحه نمایش پیشرفته و این نوع چیزها ارائه دهند، اما یک نسخه فقط تحت وب را نیز ارائه میدهند، بنابراین میتوانید به مواردی مانند Zoom یا Citrix و غیره، اغلب فقط از طریق مرورگر خود دسترسی داشته باشید.
بنابراین، من فکر می کنم این عملکرد چیزی است که بسیار پیچیده است، که می تواند منجر به این نوع آسیب پذیری ها شود، و همچنین این روزها استفاده زیادی از آن می شود.
من این را یکی از مهمترین سه اشکالی میدانم که در داستان Naked Security مطرح میکنید.
اردک. بله، CVE-2022-2294، -2295 و -2296 وجود دارد.
همه آنها اشکالاتی هستند که امیدوار بودید سال ها پیش تمام شده بودیم و گرد و غبار با آنها پاک شده بود، اینطور نیست؟
سرریز بافر، سردرگمی نوع، و استفاده پس از رایگان - بنابراین همه آنها اساساً با سوء مدیریت حافظه ارتباط دارند.
CHET. و من فکر می کردم گوگل به دنیا می گوید که همه مشکلات با Go and Rust حل شده اند و این نشان می دهد که Go and Rust در اینجا بسیار کم است.
اردک. حتی با یک زبان بسیار دقیق که برنامه نویسی صحیح را تشویق می کند، مشخصات می تواند شما را ناامید کند، اینطور نیست؟
به عبارت دیگر، اگر چیزی را به درستی پیادهسازی کنید، اما در جایی که مشخصات آن کاملاً درست نیست، یا یک حفره را ترک کنید، یا فایلها را در جای اشتباه قرار دهید، یا با دادهها به روشی نامناسب رفتار کنید، باز هم میتوانید باگهای کم داشته باشید. ، با شدت متوسط یا بالا، حتی با بزرگترین اجرای ایمنی حافظه در جهان.
بنابراین، خوشبختانه، یک راه حل ساده وجود دارد، اینطور نیست؟
برای اکثر مردم، کروم تقریباً به طور خودکار بهروزرسانی میشود.
اما حتی اگر فکر میکنید که این اتفاق افتاده است، ارزش آن را دارد – حداقل در ویندوز و مک – به مسیر بیشتر > راهنما > درباره Google Chrome > بهروزرسانی Google Chrome بروید، و یا میگوید: «نیازی به این کار نیست. جدیدترین مورد را دریافت کردهام، یا میگوید: «اوه، من هنوز آن را انجام ندادهام. آیا میخواهی جلوتر بپری؟»
و البته، شما این کار را خواهید کرد!
در لینوکس، همانطور که متوجه شدید، توزیع شما این بهروزرسانی را ارائه کرد، بنابراین تصور میکنم این مسیر برای اکثر کاربران لینوکس که کروم دارند، خواهد بود.
بنابراین، شاید آنقدرها هم که به نظر می رسد بد نباشد، اما چیزی است که، همانطور که همیشه می گوییم، «تأخیر نکنید، همین امروز انجامش دهید».
به بعد…
خب، دو داستان وجود دارد، نه یک داستان، اما هر دو مربوط به انحرافات مجری قانون است.
یکی یک مجرم سایبری است که در ایالات متحده به گناه خود اعتراف کرد و دیگری کسی است که ایالات متحده خیلی دوست دارد به او دست یابد، اما جایی گم شده است و اکنون به اف بی آی پیوسته است. ده بالا تحت تعقیب جنایتکاران در سراسر جهان - تنها زن در ده نفر برتر.
بیایید با او شروع کنیم - این دکتر روجا ایگناتوا از بلغارستان، "کریپتوکوئن گم شده" است.
حالا، این داستان یک عمر است، اینطور نیست؟
CHET. بله، این یکی از چیزهایی است که به نظر میرسد دنیای رمزارز ما را با آن آشنا میکند – این یک کمی بیشتر شامل زنان است.
بسیاری از زنان نیز در دزدی و اختلاس دخیل هستند، به همراه همه مردان معمولی که در بسیاری از داستان های دیگری که ما پوشش می دهیم، دخیل هستند.
متأسفانه، در این مورد، ظاهراً او یک ارز جدید شبیه بیت کوین به نام OneCoin ایجاد کرد و ظاهراً مردم را متقاعد کرد که از هر آنچه که من می توانم در این مورد بخوانم، 4 میلیارد دلار با aB به او بدهند تا در این ارز دیجیتال سرمایه گذاری کند.
اردک. 4 میلیارد دلار.. این چیزی است که به نظر می رسد FBI فکر می کند می تواند ثابت کند.
گزارش های دیگری که دیده ام نشان می دهد که مجموع واقعی ممکن است بسیار بیشتر از این باشد.
CHET. این به نوعی باعث می شود که هزینه 6 میلیون دلاری برای تصویر یک میمون سیگاری تقریباً کاملاً معقول به نظر برسد…
اردک. در عوض مرا از آنجا دور کرد. [خنده]
CHET. تعداد زیادی FOMO یا ترس از دست دادن وجود دارد.
اردک. کاملا.
CHET. و من فکر میکنم که کل این جنایت توسط آن FOMO هدایت میشود: «اوه، وقتی میتوانستید برای یک بیتکوین پیتزا بخرید، وارد بیتکوین نشدم. بنابراین من می خواهم به کار بزرگ بعدی بروم. من می خواهم یک سرمایه گذار اولیه در تسلا، اوبر، اپل باشم."
من فکر میکنم مردم این ارزهای رمزپایه را بهگونهای میدانند که واقعاً فضایی از مشروعیت دارند که ممکن است به موازات این داستانهای موفقیت واقعی شرکت باشد، نه اینکه یک رویای پیپ باشد، که دقیقاً همان چیزی است که هست.
اردک. بله، و مانند بسیاری از لوله ها ... در دود، چستر.
من فکر میکنم موضوع ارزهای دیجیتال این است که وقتی مردم به داستان بیتکوین نگاه میکنند، در واقع یک دوره طولانی وجود داشت که انگار بیتکوین «فقط ۱۰ دلار ارزش داشت» نبود.
این بود که بیت کوین اساساً آنقدر بی ارزش بود که ظاهراً در سال 2010، مردی - که به طرز جالبی SmokeTooMuch نامیده می شد - سعی کرد اولین فروش عمومی بیت کوین را انجام دهد و 10,000 عدد از آنها داشت.
من حدس میزنم که او فقط آنها را استخراج کرده است، همانطور که شما در آن زمان انجام دادید، و گفت: "من 50 دلار برای آنها می خواهم."
بنابراین، او آنها را برای هر یک نیم سنت آمریکا ارزش گذاری می کند ... و هیچ کس حاضر به پرداخت این مقدار نبود.
سپس بیت کوین به 10 دلار رسید، و سپس در یک نقطه، 60,000 دلار به اضافه شد.
بنابراین، حدس میزنم این ایده وجود دارد که اگر *حتی قبل* وارد شوید، مانند سهام اپل است... اگر در روزهای اولیه که هنوز واقعاً وجود ندارد، وارد شوید، آنگاه مانند این است که نه فقط در اوایل بیت کوین، بلکه در اوایل ورود به بیت کوین، بلکه *در همان ابتدا*.
و سپس شما فقط 10 برابر یا 100 برابر پول خود را به دست نمی آورید، بلکه 1,000,000 برابر پول خود را به دست می آورید.
و من فکر می کنم که همانطور که شما می گویید، رویایی است که بسیاری از مردم به آن نگاه می کنند.
و این بدان معناست که، من گمان میکنم، آنها را برای سرمایهگذاری روی چیزهایی که وجود ندارند بیشتر میکند... از قضا، دقیقاً به این دلیل که هنوز وجود ندارند، بنابراین واقعاً در طبقه همکف قرار میگیرند.
ظاهراً برای اطلاعاتی که منجر به محکومیت روجا ایگناتوا شود، فقط 100,000 دلار جایزه دریافت می کنید.
اما او مطمئناً آنجاست: ده نفر برتر تحت تعقیب هستند!
CHET. قول می دهم اگر بفهمم او کجاست و 100,000 دلار پاداش دریافت کنم، آن را روی ارزهای دیجیتال قمار نخواهم کرد.
برایت در آن مورد اطمینان میدهم.
اردک. بنابراین، چستر، اکنون اجازه دهید به سراغ دیگری برویم بخش نظم و قانون از پادکست
من می دانم که این چیزی است که شما به طور خاص گفتید که می خواهید در مورد آن صحبت کنید، و نه فقط به این دلیل که شامل کلمه "Desjardins" می شود، که دفعه قبل در مورد آن صحبت کردیم.
این آقای Vachon-Desjardins است و ما قبلاً در مورد او یا شما در مورد او در پادکست صحبت کرده ایم.
پس این داستان را برای ما بگویید – داستانی جذاب و نسبتاً مخرب است.
CHET. آره. من این را کاملا تصادفی دیدم که شما من را در این هفته دعوت کردید، در حالی که چند سال پیش به طور تصادفی، شما نیز در هفته ای که فکر می کنم او مسترد شد، من را دعوت کردید.
اردک. نه، همین مارس امسال بود که آخرین بار در مورد آن صحبت کردیم!
CHET. بود؟
اردک. بله، من فکر می کنم زمانی که او در واقع به فلوریدا فرود آمد…
CHET. آره! تازه استرداد شده بود، دقیقا!
او برای پیگرد قانونی به ایالات متحده فرستاده شده بود، کاری که ما اینجا در کانادا انجام می دهیم.
ایالات متحده اغلب در بسیاری از موارد قوانین سخت گیرانه تری دارد، اما بیشتر از آن، FBI [مجری قانون فدرال ایالات متحده] در جمع آوری اطلاعات برای پیگرد قانونی این موارد واقعاً خوب عمل می کند.
ناگفته نماند که RCMP [مجری قانون فدرال کانادا] توانایی آن را ندارد، اما FBI کمی با تجربه تر است، بنابراین فکر می کنم آنها اغلب احساس می کنند که ایالات متحده شکاف بهتری در به زندان انداختن آنها در پشت میله های زندان خواهد داشت.
اردک. با این اوصاف، RCMP او را در کانادا تحت پیگرد قانونی قرار داده بود و او نزدیک به هفت سال حبس داشت.
و همانطور که دفعه قبل گفتید، «ما او را موقتاً از زندان آزاد کردیم. ما او را به آمریکایی ها قرض داده ایم. و اگر در آنجا به زندان برود، زمانی که وقتش تمام شد، باز میگردد و او را تا هفت سال باقیمانده به زندان میاندازیم.»
به نظر می رسد او برای مدتی از گردش خارج خواهد شد.
CHET. بله، من شک دارم.
اگرچه، در این نوع جرایم غیرخشونت آمیز، وقتی با مقامات همکاری می کنید، آنها اغلب مجازات ها را کاهش می دهند یا شما را زودتر از موعد آزادی مشروط می گذارند، از این قبیل چیزها.
خواهیم دید چه اتفاقی می افتد.
در واقع، در موافقت نامه خود، زمانی که او در فلوریدا به جرم خود اعتراف کرد، متوجه شدم که او قصد داشت با مقامات در مورد تقریباً همه چیز و هر چیزی که به آن دسترسی داشته باشد همکاری کند... اساساً به آنها کمک می کند تا پرونده خود را بسازند. .
وقتی در مورد این گروههای باجافزار صحبت میکنیم، این مورد را به ویژه جالب میبینم زیرا او کانادایی است و من در کانادا هستم.
اما بیشتر از آن، من فکر میکنم که ما این تصور را داریم که این جنایات توسط جنایتکاران در روسیه انجام میشوند، و آنها بسیار دور هستند و هرگز نمیتوان آنها را لمس کرد، بنابراین گزارش این جنایات فایدهای ندارد زیرا ما نمیتوانیم این افراد را پیدا کنیم – آنها در پنهان کردن خیلی خوب هستند. آنها در وب تاریک هستند.
و حقیقت این است که برخی از آنها در حیاط خانه شما هستند. برخی از آنها همسایه شما هستند. آنها در همه کشورهای جهان هستند.
جنایت هیچ مرزی نمی شناسد... مردم در همه جا حریص هستند و مایل به ارتکاب این جنایات هستند.
و زمانی که ما بتوانیم آنها را تعقیب کنیم، ارزش دنبال کردن را دارند، همانطور که باید.
اردک. کاملا.
در واقع، اگر مشکلی ندارید، من از توافق نامه می خوانم، زیرا من با شما موافقم: FBI نه تنها در انجام این تحقیقات، بلکه در کنار هم قرار دادن اطلاعات - حتی در موردی که یک سند حقوقی آشکار و رسمی - به زبان انگلیسی ساده که یادگیری چیزهای بیشتر را برای دادگاه، قاضی، هیئت منصفه و برای هر کسی که میخواهد جنبه زشت باجافزار و نحوه عملکرد آن را درک کند، آسان میکند. .
اینها اسناد بسیار خواندنی هستند، حتی اگر به جنبه حقوقی پرونده علاقه ای نداشته باشید.
و این چیزی است که می گویند:
«NetWalker بهعنوان یک سیستم باجافزار بهعنوان سرویس با توسعهدهندگان مستقر در روسیه و شرکتهای وابسته که در سرتاسر جهان زندگی میکردند، عمل میکرد. تحت مدل Ransomware-as-a-Service، توسعه دهندگان مسئول ایجاد و به روز رسانی باج افزار و در دسترس قرار دادن آن در اختیار شرکت های وابسته بودند. شرکت های وابسته مسئول شناسایی و حمله به قربانیان با ارزش بالا با این باج افزار بودند. پس از اینکه قربانی پرداخت کرد، توسعه دهندگان و شرکت های وابسته باج را تقسیم کردند. Sebastian Vachon-Desjardins یکی از پرکارترین باج افزارهای وابسته به NetWalker بود.
این یک خلاصه فوقالعاده از کل مدل باجافزار بهعنوان یک سرویس است، اینطور نیست، با یک مثال عملی از فردی دور از روسیه که در واقع در کارکرد کل سیستم بسیار فعال است.
CHET. کاملا.
من معتقدم که او بیش از 50 درصد از پول ادعایی که توسط باند نت واکر به جیب زده شده است.
زمانی که او دستگیر شد، او کمی بیش از 20 میلیون دلار ارزهای دیجیتال از این باجها داشت... و فکر کردم خواندم که کل باجهایی که تصور میشود توسط نتواکر جمعآوری میشود، چیزی بین 40 تا 50 میلیون دلار است.
بنابراین، این مقدار قابل توجهی از سود است - او شاید اولین شرکت وابسته بود.
اردک. به قول شما مشخص است که با دنیایی پر از دردسر روبروست…
...اما قطعاً از او انتظار می رود که دوستان سابق خود را به هم بزند.
و شاید این چیز خوبی باشد؟
شاید آنها بتوانند نمونه های بیشتری از این نوع جنایت ها یا افراد بیشتری را که در این گروه پرکار دخیل هستند، ببندند.
CHET. شاید بهتر باشد این را با چند کلمه موجز دیگر به طور مستقیم از توافق به پایان برسانیم، زیرا فکر می کنم که واقعاً این موضوع را به خوبی تکمیل می کند:
متهم به جرم خود اعتراف می کند زیرا در واقع مجرم است.
[می خندد]
بنابراین این یک بیانیه کاملاً واضح است که او از هیچ کلمه راسو استفاده نمی کند، که او هیچ مسئولیتی در قبال کاری که انجام داده است را بر عهده نمی گیرد، که به نظر من شنیدن آن برای قربانیان بسیار مهم است.
و علاوه بر این می گویند:
«متهم موافقت می کند که در تحقیقات و تعقیب سایر افراد، از جمله افشای کامل و کامل تمام اطلاعات مربوطه، از جمله تولید هر یک و همه کتاب ها، اوراق، اسناد و سایر اشیایی که در اختیار متهم است، به طور کامل با ایالات متحده همکاری کند. یا کنترل کنید.»
و من مطمئن هستم که "اشیاء دیگر" ممکن است شامل مواردی مانند کیف پول های رمزنگاری، و انجمن های گفتگو و مواردی باشد که در آن برنامه ریزی برای همه این اعمال کثیف انجام شده است.
اردک. بله، و پس از آن خبر خوب این است که به دلیل توقیف یک سرور بود، به اعتقاد من، آنها توانستند به سمت او و در میان افراد دیگر کار کنند.
بیایید به قسمت آخر پادکست برویم که به داستانی مربوط می شود که می توانید در امنیت برهنه نیز بخوانید…
این در مورد است 2FA فیشینگ فیس بوک، چیزی که من قصد نوشتن آن را داشتم زیرا خودم این کلاهبرداری را دریافت کردم.
وقتی برای بررسی آن رفتم، فکر کردم، "این یکی از باورپذیرترین وب سایت های جعلی است که تا به حال دیده ام."
یک اشتباه املایی وجود داشت، اما من باید به دنبال آن می رفتم. گردش کار کاملاً قابل باور است. هیچ اشتباه آشکاری به جز نام دامنه اشتباه وجود ندارد.
و وقتی به زمان دریافت ایمیل نگاه کردم، هر کجا که در لیست گیرندگان بودم – شاید نه در بالا، شاید در وسط، شاید در پایین، چه کسی میداند؟ - تنها 28 دقیقه پس از آن بود که کلاهبرداران ابتدا دامنه جعلی را که در آن کلاهبرداری استفاده می کردند، ثبت کردند.
بنابراین، آنها خواب نیستند - این روزها همه چیز با سرعت رعد و برق اتفاق می افتد.
CHET. دقیقا.
من قبل از ورود به این موضوع هشداری دریافت کردهام، و آن این است که ما به هیچ وجه نمیخواهیم به مردم پیشنهاد کنیم که از احراز هویت چند عاملی استفاده نکنند.
اما این به من یادآوری می کند... امروز صبح داشتم با یک پادکست دیگر به شما تقلب می کردم، و در حالی که در آن پادکست دیگر بودم، موضوع چند عاملی مطرح شد.
و یکی از چالشهایی که ما با چند عاملی داریم که فقط از «کدهای اعداد مخفی» تشکیل شده است، این است که مجرمان میتوانند بهعنوان نوعی پروکسی در وسط عمل کنند، جایی که میتوانند به خوبی از شما رشته اعداد را بخواهند. و اگر فریب خورده اید تا آن را به آنها بدهید، در واقع هیچ لایه حفاظتی اضافی ارائه نمی دهد.
تفاوت مشخصی بین استفاده از نوعی کلید امنیتی، مانند کلید Titan از Google یا Yubikey، یا احراز هویت FIDO با استفاده از چیزهایی مانند تلفن هوشمند Android وجود دارد.
تفاوتی بین آن وجود دارد و چیزی که شش رقم را روی صفحه نمایش می دهد و می گوید: "اینها را به وب سایت بدهید."
شش رقم روی صفحه نمایش پیشرفت بزرگی نسبت به استفاده از رمز عبور است، اما همچنان باید مراقب این نوع تهدیدات باشید.
اردک. اگر کلاهبرداران قبلاً شما را فریب داده اند تا جایی که بخواهید نام کاربری و رمز عبور خود را تایپ کنید، پس انتظار دارید که کد احراز هویت دو عاملی در یک پیام کوتاه وارد شود. انتظار دارید با برنامه خود مشورت کنید و کد را دوباره تایپ کنید، اینطور نیست؟
من به مردم نمی گویم، "استفاده از آن را متوقف کنید"، زیرا قطعا کار را برای کلاهبرداران سخت تر می کند.
اما این یک نوشدارویی نیست – و مهمتر از آن، اگر فاکتور دوم احراز هویت را دارید، به این معنی نیست که میتوانید با اولین مورد کاملاً معمولی باشید.
هدف این است که چیزی را که ساختهاید تا جایی که میتوانید قوی کنید، به عنوان مثال با استفاده از یک رمز عبور خوب که توسط یک مدیر رمز عبور ایجاد شده است، استفاده کنید و سپس چیزی را اضافه کنید که دارای قدرت نیز باشد.
در غیر این صورت، شما نصف FA به اضافه نصف FA برابر با 1FA دوباره دارید، اینطور نیست؟
CHET. بله کاملا.
و دو چیز برای مبارزه با این نوع حمله وجود دارد، و یکی استفاده از آن مدیر رمز عبور است.
البته ایده این است که مدیر رمز عبور تأیید کند که صفحه ای که از شما رمز عبور می خواهد *در واقع همان چیزی است که در ابتدا آن را برای آن ذخیره کرده اید*.
بنابراین این اولین علامت هشدار شماست... وقتی رمز عبور فیس بوک شما را ارائه نمی کند، زیرا سایت در واقع facebook.com نیست، باید زنگ خطر را به صدا در بیاورد که مشکلی وجود دارد، اگر نیاز دارید از طریق مدیر رمز عبور خود جستجو کنید تا رمز عبور فیس بوک را پیدا کنید
بنابراین، این اولین شانس شما در اینجا است.
و سپس اگر شما، مانند من، از یک توکن FIDO در هر جایی که پشتیبانی میشود استفاده کنید (همچنین به عنوان U2F یا Universal Second Factor شناخته میشود)، این نیز تأیید میکند که سایتی که از شما درخواست میکند در واقع سایتی است که شما در ابتدا آن احراز هویت را با آن تنظیم کردهاید.
بسیاری از سایتها، بهویژه سایتهای بزرگی که به شدت مورد توجه قرار میگیرند، مانند جیمیل و توییتر، از این توکنهای کوچک USB که میتوانید روی کلید خود حمل کنید، یا توکنهای بلوتوثی که در صورت استفاده از برند تلفن همراه میتوانید با تلفن همراه خود استفاده کنید، پشتیبانی میکنند. تلفنی که دوست ندارد توکن ها را به آن وصل کنید.
اینها یک لایه امنیتی اضافی هستند که بهتر از آن شش رقم هستند.
پس از بهترین چیزی که در اختیار دارید استفاده کنید.
اما هنگامی که شما یک اشاره مانند، "عجیب است، مدیر رمز عبور من رمز عبور فیس بوک من را به طور خودکار پر نمی کند" دریافت می کنید ... این علامت هشدار چشمک زن بزرگ شما است که چیزی در مورد این چیزی که به نظر می رسد نیست.
اردک. مسلماً، چون مدیر رمز عبور شما سعی نمیکند یک هوش مصنوعی و باهوش باشد، «هی، من میتوانم آن عکس پسزمینه زیبایی را که بارها در وبسایت دیدهام تشخیص دهم.»
گول ظاهر را نمی خورد. فقط می گوید: "آیا از من خواسته می شود برای وب سایتی که از قبل می دانم رمز عبور بگذارم؟"
اگر نه، پس حتی نمی تواند تلاش کند و به شما کمک کند، و همانطور که شما می گویید، این یک هشدار کامل است.
اما این سرعت این بود که برایم جالب بود.
میدانم که این روزها همه چیز سریع اتفاق میافتد، اما ۲۸ دقیقه پس از شروع فعال شدن دامنه، ایمیل را دریافت کردم.
CHET. بله، این شاخص دیگری است که ما در SophosLabs هنگام تجزیه و تحلیل چیزها استفاده می کنیم: «اوه، عجیب است، این دامنه یک ساعت پیش وجود نداشت. چقدر احتمال دارد که ظرف یک ساعت پس از ایجاد در یک ایمیل نمایش داده شود؟
زیرا حتی در بهترین روزهایی که یک نام دامنه جدید خریدم، حتی برای حداقل یک ساعت نتوانستم سرور ایمیل خود را با رکورد MX پیکربندی کنم. [می خندد]
اردک. چستر، اجازه دهید آنچه را که در ابتدا با عنوان «مورد عجیب و غریب چستر» اعلام کردم به پایان برسانیم. این یک نوع جذاب از کلاهبرداران است. چستر را ملاقات کنید که در 24 ساعت گذشته برای شما اتفاق افتاده است، اینطور نیست؟
CHET. آره…
فرض کنید من نوع خاصی از فالوورها را دارم و معمولاً میتوانم افرادی را که رباتهای من را دنبال میکنند به راحتی تشخیص دهم... برای اینکه به چیزهایی که در حساب توییتر خود پست میکنم علاقهمند باشید، باید در یک چارچوب ذهنی خاص باشید. رسانه های اجتماعی
و هر کسی که در این چارچوب فکری است، و میخواهد بداند من به چه چیزی فکر میکنم، میتواند من را در توییتر (@chetwisniewski) دنبال کند.
اما من چیزهایی را که به نظرم مشکوک به نظر میرسند مسدود میکنم، زیرا چندین بار در اطراف این بلوک بودهام و میدانم که چگونه اطلاعات اغلب توسط رباتها خراشیده میشوند تا مردم را با چیزهایی که صدایی مشروع دارند جذب کنند.
وقتی چیز مشکوکی می بینم آن را مسدود می کنم.
متأسفانه یکی از آشنایان من در فاجعه دیروز چهارم ژوئیه در آمریکا بود که در آن تیراندازی شد و توییتی منتشر کرد که چگونه با دخترانش به مکان امن فرار کرده است.
خوشبختانه حال او و خانواده اش خوب است، اما این یک اتفاق بسیار دردناک و عاطفی برای آنها بود و در نتیجه، توییت او لحظه ای داشت، درست است؟
ده ها هزار ریتوییت؛ صدها هزار لایک... و او معمولاً یک فرد مشهور نیست که در توییتر چنین توجهی را به خود جلب کند.
و من خودم با نگرانی برای امنیت او از حساب توییتر خود پاسخ دادم و تا زمانی که این پادکست را برنامه ریزی کردیم دو و دو را با هم قرار ندادم…
ناگهان، شروع به گرفتن لایک های بسیار تصادفی در یک توییت قدیمی کردم که هیچ ارتباطی با هیچ موقعیت فعلی نداشت.
من چیزی در مورد ملاقات با مردم در سانفرانسیسکو در کنفرانس RSA پست کردم.
البته، آن رویداد بیش از یک ماه پیش بود و اکنون مدت هاست که به پایان رسیده است، و در نتیجه آن توییت در واقع کاملاً غیر جالب است، حتی برای افرادی که ممکن است موقتاً برایشان جالب باشد، که می خواستند با من ملاقات کنند. RSA، و شروع به گرفتن همه این لایک ها کرد.
اردک. حتی برای افرادی که دقیقاً با شما در RSA ملاقات کردند. [خنده]
CHET. که افراد زیادی نبودند، زیرا بعد از اینکه به آنجا رسیدم و کابوس COVID را دیدم که در حال وقوع بود، به نوعی فکر کردم بهتر است با افراد زیادی در RSA ملاقات کنم.
اما آن توییت شروع به گرفتن لایک های تصادفی کرد، و من شروع به نگاه کردن به پروفایل این افرادی کردم که توییت را دوست دارند، و آنها افراد من نبودند... اینها افرادی نیستند که معمولاً من را دنبال می کنند.
یکی اظهار می کرد که چقدر به بازیکنان مختلف فوتبال نیجریه علاقه دارد و دیگری ادعا می کرد زنی از شهر نیویورک است که به صحنه مد و مدل ها و این همه چیز علاقه دارد…
اردک. درست در خیابان خود، چستر! [خنده]
CHET. آره. [می خندد]
و وقتی به این موضوع نگاه کردم که این حسابها چه کسانی را دنبال میکنند، آنها مجموعهای تصادفی از افراد را دنبال کردند که موضوعی نبودند.
بیشتر افرادی که من را دنبال می کنند به دلیل موارد امنیتی که من در مورد آنها توییت می کنم، من را دنبال می کنند. آنها اغلب افراد زیادی از فناوری اطلاعات را دنبال می کنند.
می بینم که آنها از افراد مختلف «مشهور فناوری اطلاعات» پیروی می کنند، یا از شرکت های فناوری زیادی پیروی می کنند... اینها برای من نشانه هایی است که نشان می دهد آنها دنبال کنندگان قانونی هستند.
اما این گزارشها: وقتی به آنها نگاه کردم، مانند پراکندهای از افراد تصادفی بود که آنها را دنبال میکردند.
هیچ قافیه یا دلیلی برای هیچ کدام از آن وجود نداشت، که بر خلاف اکثر ماست.
بسیاری از ما در تیم های ورزشی مورد علاقه خود، یا هر سرگرمی دیگری که داریم، هستیم و همیشه موضوعی در میان افرادی که دنبال می کنیم وجود دارد که می توانید به راحتی آن را تشخیص دهید.
اردک. بله - وقتی به "درجه شانزدهم جدایی" می رسید، و کسی را در سوراخ خرگوش توییتر تعقیب می کنید، شرط بسیار خوبی است که آنها واقعاً به هیچ وجه در حلقه های شما حرکت نکنند!
CHET. بله.
و آنچه در این مورد عجیب است این است که من واقعاً مطمئن نیستم که آنها چه کار می کنند، به جز اینکه به این تراژدی وحشتناک دست می زنند و سعی می کنند نوعی شهرت ایجاد کنند.
و تنها حدس من این بود که شاید آنها سعی میکنند دیگران را وادار کنند که آنها را دنبال کنند، زیرا از توییت آنها خوششان آمده است، یا حداقل شاید چیزی را که پست کردهاند را لایک کنند، تا سعی کنند به نوعی در رسانههای اجتماعی به آنها کمک کنند.
فقط تاسف آور است که مردم به این تراژدی ها دست می زنند تا سعی کنند چیزی غیر از همدلی و همدردی با افراد درگیر ایجاد کنند.
دادن آنچه به این حسابها میخواهد ممکن است به اندازه کافی بیگناه به نظر برسد... من افراد زیادی را میشناسم که میگویند: "اوه، من همیشه دنبال میکنم."
انجام این کار کاملا خطرناک است.
شما در حال ساختن شهرتی هستید که همه چیز را مشروع جلوه می دهد، که امکان گسترش مداوم اطلاعات نادرست و تهدیدها و کلاهبرداری ها را فراهم می کند.
آن لایک کوچک یا آن فالو در واقع به طرز بسیار بدی اهمیت دارد.
اردک. موافقم!
چستر، از شما بسیار سپاسگزارم که این داستان را در مورد آنچه برای شما اتفاق افتاد در توییتر به اشتراک گذاشتید، و به ویژه - درست مانند داستان Facebook 2FA Scam in 28 Minutes - سرعت وقوع آن.
احتمالاً کلاهبرداران فقط سعی میکنند کمی همدردی از افرادی که احساس میکنند زمان آن رسیده است که کمی بیشتر از حد معمول دوست داشته باشند... بدون فکر کردن به این که اساساً برکت دادن به کسی که لیاقتش را ندارد، چه تأثیرات بلندمدتی دارد. دارند.
از اینکه در کوتاه ترین زمان برای کل پادکست آماده شدید بسیار سپاسگزارم.
با تشکر از همه کسانی که گوش دادند.
و طبق معمول تا دفعه بعد…
هر دو. ایمن بمان
[مودم موزیکال]
- 2F به
- بلاکچین
- شلوار
- coingenius
- کریپتو کارنسی (رمز ارزها )
- کیف پول cryptocurrency
- رمزنگاری
- امنیت سایبری
- مجرمان سایبری
- امنیت سایبری
- اداره امنیت میهن
- کیف پول دیجیتال
- فایروال
- گوگل
- گوگل کروم
- کسپرسکی
- قانون و نظم
- نرم افزارهای مخرب
- مکافی
- امنیت برهنه
- پادکست امنیتی برهنه
- NexBLOC
- onecode
- افلاطون
- افلاطون آی
- هوش داده افلاطون
- بازی افلاطون
- PlatoData
- بازی پلاتو
- پادکست
- VPN
- آسیب پذیری
- امنیت وب سایت
- زفیرنت