![S3 Ep92: Log4Shell4Ever، نکات سفر، و کلاهبرداری [صوت + متن] هوش داده PlatoBlockchain. جستجوی عمودی Ai.](https://platoblockchain.com/wp-content/uploads/2022/07/ns-s3-ep92-1200.jpg "S3 Ep92: Log4Shell4Ever، نکات سفر و کلاهبرداری [صوتی + متن]")
اکنون گوش کن
برای پرش به هر نقطه، روی امواج صوتی زیر کلیک کنید و بکشید. شما همچنین می توانید مستقیم گوش کن در Soundcloud
با داگ آموت و پل داکلین.
موسیقی مقدماتی و بیرونی توسط ادیت ماج.
شما می توانید به ما گوش دهید Soundcloud, پادکست های اپل, پادکست های Google, Spotify, Stitcher به و هر جایی که پادکست های خوب پیدا می شود. یا فقط رها کنید URL فید RSS ما به پادکچر مورد علاقه شما
رونوشت را بخوانید
دوغ. کلاهبرداری های فیس بوک، Log4Shell forever، و نکاتی برای تابستان ایمن سایبری.
همه اینها، و بیشتر، در پادکست امنیتی برهنه.
[مودم موزیکال]
به پادکست خوش آمدید، همه.
من داگ آموت هستم و مثل همیشه پل داکلین با من است.
چطوری، پل؟
اردک. من سوپر دوپر هستم، داگلاس.
شروع به خنک شدن در اینجا در انگلستان.
دوغ. بله.
اردک. فکر میکنم روز اشتباهی را برای رفتن به یک دوچرخهسواری بزرگ روستایی انتخاب کردم.
وقتی به راه افتادم خیلی ایده خوبی بود: «میدانم، یک سفر طولانی خوب انجام خواهم داد، و سپس قطار را به خانه خواهم رساند، بنابراین در زمان زیادی برای پادکست در خانه هستم.»
و وقتی به آنجا رسیدم، به دلیل گرمای شدید، قطارها فقط هر دو ساعت یک بار حرکت می کردند، و من فقط یکی را از دست داده بودم.
بنابراین مجبور شدم تمام راه را به عقب برگردم... و به موقع آن را انجام دادم.
دوغ. خوب، شما بروید... من و شما در نوسانات کامل تابستان هستیم، و ما نکاتی برای تابستانی که بعداً در برنامه ارائه می شود داریم.
اما ابتدا می خواهم در مورد آن صحبت کنم این هفته در تاریخ فناوری.
این هفته، در سال 1968، شرکت اینتل توسط گوردون مور (او از قانون مور) و رابرت نویس تشکیل شد.
Noyce به عنوان پیشگام مدار مجتمع یا ریزتراشه شناخته می شود.
اولین ریزپردازنده اینتل 4004 بود که برای ماشین حساب استفاده می شد.
و، الف حقیقت خنده دار، نام اینتل ترکیبی از INtegrated ELectronics است.
بنابراین… آن شرکت خیلی خوب شد.
اردک. بله!
من حدس میزنم، اگر منصف باشیم، شاید بگویید «پیشگام»؟
دوغ. آره. من "پیشگام" را داشتم.
اردک. جک کیلبی، از تگزاس اینسترومنتز، فکر میکنم اولین مدار یکپارچه را ابداع کرد، اما همچنان نیازمند سیمکشی قطعات در مدار بود.
و Noyce مشکل نحوه پخت همه آنها را در سیلیکون حل کرد.
من در واقع در سخنرانی جک کیلبرن شرکت کردم، زمانی که دانشمند کامپیوتر تازه ای بودم.
کاملاً جذاب - تحقیق در دهه 1950 در آمریکا!
و البته، کیلبی به طور معروف جایزه نوبل دریافت کرد، فکر می کنم در سال 2000.
اما رابرت نویس، مطمئنم، یک برنده مشترک می شد، اما او قبلاً در آن زمان مرده بود، و شما نمی توانید جایزه نوبل را پس از مرگ دریافت کنید.
بنابراین، نویس هرگز جایزه نوبل دریافت نکرد، و جک سنت کلر کیلبی این جایزه را دریافت کرد.
دوغ. خب خیلی وقت پیش بود…
... و برای مدت طولانی دیگر، ممکن است هنوز در مورد Log4Shell صحبت کنیم…
اردک. اوه عزیزم بله
دوغ. حتی اگر راه حلی برای آن وجود داشته باشد، ایالات متحده بیرون آمده و گفته است که ممکن است دهها سال طول بکشد تا این اتفاق بیفتد. در واقع ثابت شده است.
اردک. بیایید منصف باشیم... آنها گفتند، "شاید یک دهه یا بیشتر."
این بدنی است به نام هیئت بررسی امنیت سایبریCSRB (بخشی از وزارت امنیت داخلی)، که در اوایل سال جاری تشکیل شد.
من نمی دانم که آیا این به طور خاص به دلیل Log4Shell شکل گرفته است، یا فقط به این دلیل که مسائل مربوط به کد منبع زنجیره تامین به یک مشکل بزرگ تبدیل شده است.
و نزدیک به هشت ماه پس از انتشار Log4Shell، آنها این گزارش را در 42 صفحه تهیه کردند... خلاصه اجرایی به تنهایی تقریباً 3 صفحه دارد.
و هنگامی که برای اولین بار به این نگاه کردم، فکر کردم، "اوه، ما برویم."
به برخی از کارمندان دولتی گفته شده است: «بیا، گزارشت کجاست؟ شما هیئت بررسی هستید انتشار و یا نابود!"
در واقع، اگرچه بخشهایی از آن واقعاً سنگین است، به نظر من باید این را مطالعه کنید.
آنها مطالبی را در مورد اینکه چگونه به عنوان یک فروشنده نرم افزار، به عنوان یک سازنده نرم افزار، به عنوان یک شرکت که راه حل های نرم افزاری را برای افراد دیگر ارائه می دهد، در واقع چندان سخت نیست که با خودتان تماس برقرار کنید، بنابراین مردم می توانند وقتی چیزی وجود دارد به شما اطلاع دهند. شما نادیده گرفته اید
به عنوان مثال، "هنوز یک نسخه Log4J در کد شما وجود دارد که با بهترین اراده در جهان متوجه آن نشده اید و آن را برطرف نکرده اید."
چرا نمی خواهید کسی که در تلاش است به شما کمک کند بتواند شما را پیدا کند و به راحتی با شما تماس بگیرد؟
دوغ. و آنها چیزهایی از این قبیل می گویند ... این مورد اول نوعی میز است، اما برای هر کسی خوب است، به خصوص کسب و کارهای کوچکتر که به این فکر نکرده اند: یک فهرست دارایی و برنامه ایجاد کنید، تا بدانید چه چیزی را در کجا اجرا می کنید.
اردک. آنها صراحتاً این را تهدید یا ادعا نمی کنند، زیرا این کارمندان دولتی نیستند که قوانین را وضع کنند (این به عهده قانونگذار است) ... اما من فکر می کنم آنچه آنها می گویند این است: "این ظرفیت را توسعه دهید، زیرا اگر این کار را نکنید. یا نمیتوانید اذیت شوید، یا نمیتوانید بفهمید که چگونه این کار را انجام دهید، یا فکر میکنید مشتریانتان متوجه آن نمیشوند، در نهایت ممکن است متوجه شوید که انتخاب کمی دارید یا اصلاً انتخابی ندارید!»
به خصوص اگر می خواهید محصولات را به دولت فدرال بفروشید! [خنده]
دوغ. بله، و ما قبلاً در این مورد صحبت کردهایم... چیز دیگری که ممکن است برخی از شرکتها هنوز به آن فکر نکرده باشند، اما داشتن آن مهم است: برنامه پاسخگویی به آسیبپذیری.
در صورتی که آسیب پذیری داشته باشید چه اتفاقی می افتد؟
مراحلی که برمیدارید چیه؟
برنامه بازی که برای رفع آنها دنبال می کنید چیست؟
اردک. بله، این همان چیزی است که قبلاً به آن اشاره می کردم.
بخش ساده آن این است که شما فقط به یک راه آسان نیاز دارید تا کسی بفهمد گزارشها را در کجای سازمان شما ارسال میکند... و سپس باید در داخل به عنوان یک شرکت متعهد شوید که وقتی گزارشها را دریافت میکنید، در واقع عمل خواهید کرد. بر آنها
همانطور که گفتم، فقط تصور کنید که این جعبه ابزار بزرگ جاوا را دارید که می فروشید، یک برنامه بزرگ با اجزای زیاد، و در یکی از سیستم های بک اند، این چیز بزرگ جاوا وجود دارد.
و در آنجا، تصور کنید هنوز یک Log4J آسیب پذیر وجود دارد .JAR فایلی که نادیده گرفته اید
چرا نمی خواهید فردی که آن را کشف کرده است بتواند به سرعت و به راحتی حتی با یک ایمیل ساده به شما بگوید؟
تعداد دفعاتی که در توییتر می روید و محققان معروف امنیت سایبری را می بینید که می گویند: "هی، آیا کسی می داند چگونه با XYZ Corp تماس بگیرد؟"
آیا ما موردی در پادکست پسری نداشتیم که در نهایت... فکر می کنم او به TikTok یا چیزی شبیه به آن رفت [خنده] زیرا او متوجه نشدم نحوه تماس با این شرکت
و او یک ویدیو ساخت و گفت: "سلام بچه ها، می دانم که شما ویدیوهای رسانه های اجتماعی خود را دوست دارید، من فقط سعی می کنم در مورد این اشکال به شما بگویم."
و در نهایت متوجه این موضوع شدند.
اگر فقط می توانست به شرکت شما DOT com SLASH Security DOT txt برود و یک آدرس ایمیل پیدا کند!
اینجاست که ما ترجیح می دهیم با ما تماس بگیرید. یا ما از طریق این برنامه پاداش های اشکال را انجام می دهیم ... در اینجا نحوه ثبت نام برای آن آورده شده است. اگر می خواهید پول دریافت کنید.»
آنقدرها هم سخت نیست!
و این بدان معناست که کسی که میخواهد به شما گوشزد کند که مشکلی دارید که شاید فکر میکردید آن را برطرف کردهاید، میتواند به شما بگوید.
دوغ. من عاشق تخفیف در این مقاله هستم!
شما می نویسید و جان اف کندی را کانالیزه می کنید و می گویید [صدای کندی] «نپرسید که دیگران چه کاری می توانند برای شما انجام دهند، بلکه به این فکر کنید که شما می توانید برای خودتان چه کاری انجام دهید، زیرا هر پیشرفتی که انجام دهید تقریباً به طور قطع به نفع دیگران نیز خواهد بود. ”
بسیار خوب، اگر می خواهید در مورد آن بخوانید، این در سایت موجود است... اگر در موقعیتی هستید که باید با یکی از این چیزها سر و کار داشته باشید باید بخوانید.
خواندن خوبی است... حداقل خلاصه سه صفحه ای را بخوانید، اگر نه گزارش 42 صفحه ای.
اردک. بله، طولانی است، اما من آن را به طرز شگفت انگیزی متفکرانه یافتم، و بسیار شگفت زده شدم.
و من فکر کردم اگر مردم این را بخوانند، و افراد تصادفی یک دهم آن را به طور تصادفی در قلب خود بگیرند…
... ما باید در مجموع در مکان بهتری باشیم.
دوغ. بسیار خوب، درست در حال حرکت است.
فصل تعطیلات تابستانی است و اغلب شامل بردن وسایل خود با خود می شود.
ما باید برخی از نکاتی برای لذت بردن تعطیلات تابستانی خود را بدون، اشتباه، "لذت نبردن" از آن.
اردک. «چند ابزار باید بگیریم؟ [دراماتیک] همه آنها را بسته بندی کنید!»
متأسفانه، هرچه بیشتر بپذیرید، به عبارت سادهتر، ریسک شما بیشتر میشود.
دوغ. اولین نکته شما در اینجا این است که همه ابزارهای خود را بسته بندی می کنید ... آیا باید قبل از حرکت یک نسخه پشتیبان تهیه کنید؟
حدس زدن پاسخ این است: "بله!"
اردک. من فکر می کنم کاملا واضح است.
همه می دانند که باید یک نسخه پشتیبان تهیه کنید، اما آن را به تعویق می اندازند.
بنابراین فکر کردم که این فرصتی است تا از حرفهای کوچک یا واقعیمان استفاده کنم: «تنها پشتیبانای است که از آن پشیمان میشوید، همان چیزی است که درست نکردهاید».
و نکته دیگر در مورد اطمینان از اینکه از یک دستگاه نسخه پشتیبان تهیه کرده اید - چه در یک حساب ابری باشد که سپس از آن خارج شوید، یا اینکه در یک درایو قابل جابجایی باشد که رمزگذاری کرده و در جایی در کمد قرار دهید - به این معنی است که شما می تواند ردپای دیجیتالی شما را روی دستگاه از بین ببرد.
ما به این خواهیم پرداخت که چرا این ممکن است ایده خوبی باشد... فقط برای اینکه کل زندگی دیجیتال و تاریخچه خود را همراه خود نداشته باشید.
نکته این است که با داشتن یک نسخه پشتیبان خوب، و سپس نازک کردن آنچه واقعاً روی تلفن دارید، در صورت از دست دادن آن، کمتر مشکلی وجود دارد. اگر مصادره شود؛ اگر مقامات مهاجرت بخواهند به آن نگاه کنند. هر چه هست
دوغ. و، تا حدودی مربوط به جابجایی، ممکن است لپ تاپ و یا تلفن همراه خود را گم کنید... بنابراین باید آن دستگاه ها را رمزگذاری کنید.
اردک. بله.
در حال حاضر، این روزها اکثر دستگاه ها به طور پیش فرض رمزگذاری شده اند.
این مطمئناً برای اندروید صادق است. مطمئناً برای iOS صادق است. و من فکر میکنم وقتی این روزها لپتاپهای ویندوزی دریافت میکنید، BitLocker وجود دارد.
من کاربر ویندوز نیستم، بنابراین مطمئن نیستم... اما مطمئناً، حتی اگر نسخه خانگی ویندوز دارید (که آزاردهنده است، و امیدوارم در آینده تغییر کند، به طرز آزاردهنده ای به شما اجازه نمی دهد از BitLocker در درایوهای قابل جابجایی استفاده کنید) ... به شما امکان می دهد از BitLocker بر روی هارد دیسک خود استفاده کنید.
چرا که نه؟
زیرا به این معنی است که اگر آن را گم کنید، یا مصادره شود، یا لپ تاپ یا تلفن شما دزدیده شود، فقط یک کلاهبردار لپ تاپ شما را باز نمی کند، هارد دیسک را از برق جدا می کند، آن را به رایانه دیگری وصل می کند و همه چیز را از روی آن می خواند. ، دقیقاً همینطور.
چرا احتیاط را رعایت نمی کنید؟
و، البته، در تلفن، عموماً به دلیل اینکه از قبل رمزگذاری شده است، کلیدهای رمزگذاری از قبل تولید شده و توسط کد قفل شما محافظت می شوند.
نرو، "خب، من در جاده خواهم بود، ممکن است تحت فشار باشم، ممکن است عجله داشته باشم ... فقط استفاده خواهم کرد 1234 or 0000 برای مدت مرخصی.»
این کارو نکن
کد قفل روی تلفن شما همان چیزی است که کلیدهای رمزگذاری کامل و رمزگشایی را برای داده های تلفن مدیریت می کند.
بنابراین یک کد قفل طولانی انتخاب کنید... من ده رقم یا بیشتر را توصیه می کنم.
آن را تنظیم کنید و برای چند روز، یک هفته قبل از خروج، استفاده از آن را در خانه تمرین کنید تا طبیعت دوم شود.
فقط نرو، 1234 به اندازه کافی خوب است، یا «اوه، من یک کد قفل طولانی دارم... من می روم 0000 0000، این *هشت* شخصیت است، هیچ کس هرگز به آن فکر نمی کند!
دوغ. بسیار خوب، و این واقعاً جالب است: شما توصیه هایی در مورد عبور افرادی از مرزهای ملی دارید.
اردک. بله، این روزها به یک موضوع تبدیل شده است.
از آنجا که بسیاری از کشورها - فکر می کنم ایالات متحده و بریتانیا در میان آنها هستند، اما آنها به هیچ وجه تنها نیستند - می توانند بگویند، "ببین، ما می خواهیم به دستگاه شما نگاهی بیندازیم. آیا قفل آن را باز میکنید، لطفا؟»
و شما میگویید: «نه، البته که نه! خصوصیه! تو حق نداری این کار را بکنی!»
خوب، شاید آنها انجام دهند، و شاید آنها نه... شما هنوز در کشور نیستید.
این "آشپزخانه من، قوانین من" است، بنابراین آنها ممکن است بگویند، "باشه، خوب، *شما* حق دارید که رد کنید... اما پس از آن *ما* پذیرش شما را رد می کنیم. اینجا در سالن ورودی منتظر بمانید تا بتوانیم شما را به سالن خروج منتقل کنیم تا به پرواز بعدی به خانه برسید!»
اساساً در مورد آنچه قرار است اتفاق بیفتد *نگران* نباشید، مثلاً "ممکن است مجبور شوم داده ها را در مرز فاش کنم."
*بگردید* شرایط ورود چیست... قوانین حفظ حریم خصوصی و نظارت در کشوری که می خواهید بروید.
و اگر واقعاً آنها را دوست ندارید، به آنجا نروید! جای دیگری برای رفتن پیدا کنید.
یا به سادگی وارد کشور شوید، حقیقت را بگویید و ردپای دیجیتالی خود را کاهش دهید.
همانطور که با نسخه پشتیبان میگفتیم… هر چه چیزهای «زندگی دیجیتال» کمتری با خود حمل کنید، کمتر اشتباه میکنید و احتمال از دست دادن آنها کمتر میشود.
بنابراین، "آماده باش" چیزی است که من می گویم.
دوغ. خوب، و این یکی خوب است: Wi-Fi عمومی، ایمن است یا ناامن؟
بستگی دارد، حدس می زنم؟
اردک. بله.
افراد زیادی هستند که می گویند، "گلی، اگر از وای فای عمومی استفاده کنی، محکوم به فنا هستی!"
البته، همه ما سالهاست که از Wi-Fi عمومی استفاده میکنیم.
من کسی را نمیشناسم که واقعاً از ترس هک شدن استفاده از آن را متوقف کرده باشد، اما میدانم که مردم میگویند: «خب، میدانم چه خطراتی دارد. آن روتر می توانست متعلق به هر کسی باشد. ممکن است چند کلاهبردار روی آن باشد. می تواند یک اپراتور کافی شاپ بی پروا داشته باشد. یا ممکن است شخصی آن را هک کرده باشد که ماه گذشته در تعطیلات اینجا بوده است، زیرا فکر میکردند این بسیار خندهدار است، و دادهها به دلیل "هههههه" درز میکند."
اما اگر از برنامههایی استفاده میکنید که رمزگذاری سرتاسری دارند، و اگر از سایتهایی استفاده میکنید که HTTPS هستند، بنابراین بین دستگاه شما و طرف دیگر رمزگذاری شدهاند، محدودیتهای قابلتوجهی وجود دارد. چیزی که حتی یک روتر کاملا هک شده می تواند فاش کند.
زیرا هر بدافزاری که توسط بازدیدکننده قبلی کاشته شده باشد، در *روتر* کاشته می شود، نه در *دستگاه شما*.
دوغ. خوب، بعد... آنچه را که من در نظر میگیرم نسخه محاسباتی توالتهای عمومی است که به ندرت تمیز میشوند.
آیا باید از رایانه های شخصی کیوسک در فرودگاه ها یا هتل ها استفاده کنم؟
امنیت سایبری به کنار... فقط تعداد افرادی که روی صفحه کلید و ماوس کثیف و کثیف دست داشته اند!
اردک. دقیقا.
بنابراین، این طرف دیگر «آیا باید از Wi-Fi عمومی استفاده کنم؟» است.
آیا باید از رایانه شخصی Kkiosk مثلاً در هتل یا فرودگاه استفاده کنم؟
تفاوت بزرگ بین یک روتر Wi-Fi که هک شده و یک رایانه شخصی کیوسکی که هک شده است این است که اگر ترافیک شما از طریق یک روتر در معرض خطر رمزگذاری شده باشد، محدودیتی برای جاسوسی شما وجود دارد.
اما اگر ترافیک شما از یک رایانه کیوسک هک شده یا در معرض خطر نشات می گیرد، اساساً از نقطه نظر امنیت سایبری، *100٪ بازی تمام شده* است.
به عبارت دیگر، آن رایانه شخصی کیوسک میتواند به *تمام دادههایی که در اینترنت ارسال و دریافت میکنید* قبل از رمزگذاری (و پس از رمزگشایی مواردی که دریافت میکنید) دسترسی آزاد داشته باشد.
بنابراین رمزگذاری اساساً بی ربط می شود.
*هر ضربه ای که تایپ می کنید*... باید فرض کنید که در حال ردیابی است.
*هر بار که چیزی روی صفحه نمایش است*... باید فرض کنید که شخصی می تواند اسکرین شات بگیرد.
*هر چیزی که چاپ می کنید*... باید فرض کنید که یک کپی در یک فایل مخفی ساخته شده است.
بنابراین توصیه من این است که با رایانه های شخصی کیوسک به عنوان یک شر ضروری رفتار کنید و فقط در صورت لزوم از آنها استفاده کنید.
دوغ. بله، من آخر هفته گذشته در هتلی بودم که یک کیوسک رایانه شخصی داشت و کنجکاوی مرا تحت تأثیر قرار داد.
من راه افتادم... ویندوز 10 اجرا می شد و می توانید هر چیزی را روی آن نصب کنید.
قفل نشده بود و هر کس قبلاً از آن استفاده کرده بود از فیس بوک خارج نشده بود!
و این یک هتل زنجیره ای است که باید بهتر می دانست... اما فقط یک سیستم باز بود که هیچ کس از آن خارج نشده بود. مخزن احتمالی جرایم سایبری در انتظار وقوع است.
اردک. بنابراین می توانید فقط یک USB را وصل کنید و سپس به "Install keylogger" بروید؟
دوغ. بله!
اردک. "نصب sniffer شبکه."
دوغ. آهان!
اردک. روت کیت را نصب کنید.
دوغ. بله!
اردک. "جمجمه های شعله ور را روی کاغذ دیواری قرار دهید."
دوغ. نه ممنون
این سوال بعدی جواب خوبی نداره…
دوربین های جاسوسی و اتاق های هتل و Airbnbs چطور؟
پیدا کردن اینها سخت است.
اردک. بله، من آن را وارد کردم زیرا این سؤالی است که مرتباً از ما پرسیده می شود.
ما در مورد سه مورد مختلف از دوربین های جاسوسی اعلام نشده نوشته ایم. (این نوعی توتولوژی است، اینطور نیست؟)
یکی از آنها در یک خوابگاه مزرعهداری در استرالیا بود، جایی که این پسر از افرادی دعوت میکرد که ویزای بازدیدکننده دارند و مجاز به انجام کار مزرعه هستند، و میگفت: «من به شما جایی برای اقامت میدهم».
معلوم شد که او یک تام است.
یکی در یک خانه Airbnb در ایرلند بود.
این خانواده ای بودند که تمام مسیر را از نیوزلند طی کردند، بنابراین نمی توانستند سوار ماشین شوند و به خانه بروند، تسلیم شوند!
و دیگری یک هتل واقعی در کره جنوبی بود... این واقعاً وحشتناک بود.
فکر نمیکنم این زنجیرهای بود که مالک هتل بود، بلکه برخی از کارمندان فاسد بودند یا چیز دیگری.
آنها دوربینهای جاسوسی را در اتاقها گذاشتند، و من شوخی نمیکنم، داگ... آنها در واقع، اساساً، پرداخت به ازای هر نمایش را میفروختند.
منظورم این است که چقدر ترسناک است؟
خبر خوب، در دو مورد از آن موارد، عاملان در واقع دستگیر و متهم شدند، بنابراین برای آنها بد تمام شد، که کاملاً درست است.
مشکل این است که… اگر داستان Airbnb را بخوانید (ما یک لینک در Naked Security داریم)، مردی که با خانوادهاش در آنجا اقامت داشت، در واقع یک فرد It بود، یک متخصص امنیت سایبری.
و متوجه شد که یکی از اتاقها (ظاهراً باید اعلام کنید که آیا دوربینی در Airbnb وجود دارد یا خیر) دو زنگ هشدار دود دارد.
چه زمانی دو زنگ هشدار دود می بینید؟ شما فقط به یکی نیاز دارید.
و بنابراین او شروع به نگاه کردن به یکی از آنها کرد و به نظر می رسید که زنگ خطر دود باشد.
دیگری، خوب، سوراخ کوچکی که LED دارد که چشمک می زند، چشمک نمی زند.
و وقتی نگاه کرد، فکر کرد: «به نظر می رسد به طرز مشکوکی مثل یک لنز برای دوربین!»
و در واقع یک دوربین جاسوسی بود که به عنوان زنگ هشدار دود پنهان شده بود.
مالک آن را به وای فای معمولی متصل کرده بود، بنابراین توانست با انجام یک اسکن شبکه، آن را با استفاده از ابزاری مانند Nmap یا چیزی شبیه به آن پیدا کند.
او این دستگاه را پیدا کرد و هنگامی که آن را پینگ کرد، از امضای شبکه آن کاملاً مشخص بود که در واقع یک وب کم است، اگرچه یک وب کم پنهان در زنگ هشدار دود.
بنابراین او شانس آورد.
ما مقاله ای در مورد آنچه که او پیدا کرد نوشتیم و آنچه را که در آن زمان در مورد آن وبلاگ نوشته بود را پیوند دادیم و توضیح دادیم.
این به سال 2019 بازمی گردد، بنابراین این مربوط به سه سال پیش است، بنابراین احتمالاً فناوری از آن زمان به بعد کمی بیشتر شده است.
به هر حال، او آنلاین شد تا ببیند، "در واقع چه شانسی برای یافتن دوربین در مکان های بعدی که در آن اقامت دارم، دارم؟"
و او با یک دوربین جاسوسی روبرو شد - من تصور می کنم کیفیت تصویر بسیار وحشتناک خواهد بود، اما هنوز یک *دوربین جاسوسی دیجیتال کار* است…. بی سیم نیست، شما باید آن را سیم کشی کنید - جاسازی شده *در یک پیچ سر فیلیپس*، داگ!
دوغ. حیرت آور.
اردک. به معنای واقعی کلمه، نوع پیچی که در صفحه پوششی که روی کلید چراغ می گیرید پیدا می کنید، مثلاً به آن اندازه پیچ.
یا پیچی که روی صفحه پوشش پریز برق میگیرید... یک پیچ سر فیلیپس با اندازه معمولی و متوسط.
دوغ. من در حال حاضر آنها را در آمازون جستجو می کنم!
"دوربین پیچی سوراخ سوزنی" به قیمت 20 دلار.
اردک. اگر به همان شبکه متصل نباشد، یا اگر به دستگاهی متصل باشد که فقط روی کارت SD ضبط می کند، پیدا کردن آن بسیار دشوار خواهد بود!
بنابراین، متأسفانه، پاسخ به این سؤال ... دلیل این که من سؤال ششم را اینگونه ننوشتم: "چگونه دوربین های جاسوسی را در اتاق هایی که در آن اقامت داشتم پیدا کنم؟"
پاسخ این است که شما می توانید تلاش کنید، اما متأسفانه، این کل موضوع "عدم وجود مدرک دلیل بر غیبت نیست" است.
متأسفانه، توصیهای نداریم که بگوید: «یک ابزار کوچک وجود دارد که میتوانید به اندازه یک تلفن همراه بخرید. شما یک دکمه را فشار می دهید و اگر دوربین جاسوسی در اتاق باشد، بیپ می زند.
دوغ. خوب. آخرین نکته ما برای آن دسته از شما که نمی توانند به خود کمک کنند: "من به تعطیلات می روم، اما اگر بخواهم لپ تاپ کارم را با خود ببرم چه؟"
اردک. من نمی توانم به آن پاسخ دهم.
شما نمی توانید به آن پاسخ دهید.
این لپ تاپ شما نیست، لپ تاپ کار است.
بنابراین، پاسخ ساده این است: "بپرس!"
و اگر بگویند «کجا می روی؟» و شما نام کشور را بدهید و بگویند «نه»…
... پس این است، شما نمی توانید آن را همراهی کنید.
شاید فقط بگویید، "عالی است، می توانم آن را اینجا بگذارم؟ آیا میتوانی آن را در کمد فناوری اطلاعات قفل کنی تا من برگردم؟»
اگر بروید و از IT بپرسید، "من به کشور X می روم. اگر لپ تاپ کارم را همراه داشتم، آیا توصیه خاصی دارید؟"…
... به آنها گوش دهید!
زیرا اگر کار فکر میکند چیزهایی وجود دارد که باید درباره حریم خصوصی و نظارت در مکانی که میروید بدانید، آن چیزها احتمالاً در زندگی خانگی شما صدق میکنند.
دوغ. بسیار خوب، این یک مقاله عالی است ... ادامه مطلب را بخوانید.
اردک. من به دو جینگلی که باهاشون تموم کردم خیلی افتخار میکنم!
دوغ. آه بله!
ما شنیده ایم، "اگر شک دارید، آن را بیرون ندهید."
اما این یک مورد جدید است که شما به ذهنم رسید که من خیلی دوستش دارم….
اردک. "اگر زندگی شما در تلفن شماست/چرا آن را در خانه نگذارید؟"
دوغ. بله، شما بروید!
بسیار خوب، به نفع زمان، ما یک مقاله دیگر در سایت داریم که از شما خواهش می کنم بخوانید. به این می گویند: فیس بوک بازگشت کلاهبرداران 2FA، این بار فقط در 21 دقیقه
این همان کلاهبرداری است که قبلاً 28 دقیقه طول می کشید، بنابراین آنها هفت دقیقه از این کلاهبرداری را حذف کردند.
و ما یک سوال خواننده در مورد این پست داریم.
خواننده پیتر در بخشی از این مقاله می نویسد: "آیا واقعا فکر می کنید این چیزها تصادفی هستند؟ من اخیراً به تغییر قرارداد پهنای باند British Telecom پدرشوهرم کمک کردم و روزی که تغییر انجام شد، او یک تماس تلفنی فیشینگ از British Telecom داشت. بدیهی است که هر روز ممکن است این اتفاق بیفتد، اما چنین چیزهایی باعث میشود در مورد زمانبندی تعجب کنید. پل…”
اردک. بله، ما همیشه افرادی را دریافت می کنیم که می گویند: «می دانید چیست؟ من یکی از این کلاهبرداری ها را گرفتم…”
چه در مورد حق چاپ یک صفحه فیس بوک یا اینستاگرام باشد یا، مانند پدر این پسر، مربوط به ارتباطات مخابراتی... «من دقیقاً صبح روز بعد از انجام کاری که مستقیماً با موضوع کلاهبرداری مرتبط بود، کلاهبرداری کردم. حتماً تصادفی نیست؟»
و من فکر می کنم برای اکثر مردم، چون در مورد Naked Security نظر می دهند، متوجه می شوند که این یک کلاهبرداری است، بنابراین آنها می گویند: "حتما کلاهبرداران می دانستند؟"
به عبارت دیگر، باید مقداری اطلاعات داخلی وجود داشته باشد.
طرف دیگر آن افرادی هستند که *نمیدانند که این یک کلاهبرداری است، و در مورد امنیت برهنه اظهار نظر نمیکنند، میگویند: "اوه، خوب، این نمیتواند تصادفی باشد، بنابراین باید واقعی باشد!"
در بیشتر موارد، در تجربه من، کاملاً تصادفی است، صرفاً بر اساس حجم.
بنابراین نکته این است که در بیشتر موارد، من متقاعد شدهام که این کلاهبرداریهایی که دریافت میکنید، تصادفی هستند، و کلاهبرداران به این واقعیت تکیه میکنند که وقتی میتوانید ایمیلهای زیادی به تعداد زیادی ایمیل بفرستید، «ساخت» آن تصادفها آسان است. مردم به همین راحتی
و شما سعی نمی کنید *همه* را فریب دهید، فقط سعی می کنید *کسی* را فریب دهید.
و داگ، اگر بتوانم آن را در پایان فشار دهم: «از یک مدیر رمز عبور استفاده کنید!»
زیرا در این صورت نمیتوانید به اشتباه رمز عبور مناسب را در سایت اشتباهی قرار دهید و این به شما کمک زیادی میکند تا با این کلاهبرداریها، چه تصادفی باشند و چه نباشند.
دوغ. بسیار خوب، مثل همیشه عالی!
ممنون از نظرت، پیتر.
اگر داستان، نظر یا سوال جالبی دارید که میخواهید ارسال کنید، مایلیم آن را در پادکست بخوانید.
میتوانید به tips@sophos.com ایمیل بزنید، میتوانید در مورد هر یک از مقالههای ما نظر دهید، یا میتوانید در شبکههای اجتماعی به ما مراجعه کنید: @nakedsecurity.
این نمایش امروز ماست. خیلی ممنون که گوش دادید
برای پل داکلین، من داگ آموت هستم، تا دفعه بعد به شما یادآوری می کنم که…
هر دو. ایمن بمان
[مودم موزیکال]
![S3 Ep116: آخرین تنگی برای LastPass؟ آیا کریپتو محکوم به فناست؟ [صوت + متن]](https://platoblockchain.com/wp-content/uploads/2023/01/s3-ep116-last-straw-for-lastpass-is-crypto-doomed-audio-text-360x220.jpg "S3 Ep116: آخرین تنگی برای LastPass؟ آیا کریپتو محکوم به فناست؟ [صوت + متن]")
