सुनो अब
किसी भी बिंदु पर जाने के लिए नीचे ध्वनि तरंगों पर क्लिक करें और खींचें। आप भी कर सकते हैं सीधे सुनो साउंडक्लाउड पर।
डग आमोथ और पॉल डकलिन के साथ।
इंट्रो और आउट्रो म्यूजिक by एडिथ मुडगे.
आप हमें इस पर सुन सकते हैं Soundcloud, ऐप्पल पॉडकास्ट्स, Google पॉडकास्ट, Spotify, सीनेवाली मशीन और कहीं भी अच्छे पॉडकास्ट मिल जाते हैं। या बस छोड़ दें हमारे आरएसएस फ़ीड का यूआरएल अपने पसंदीदा पॉडकैचर में।
प्रतिलेख पढ़ें
डौग फेसबुक स्कैम, लॉग4शेल फॉरएवर, और साइबर सेफ समर के लिए टिप्स।
वह सब, और बहुत कुछ, नग्न सुरक्षा पॉडकास्ट पर।
[संगीत मोडेम]
पॉडकास्ट में आपका स्वागत है, सब लोग।
मैं डौग आमोथ हूं, और हमेशा की तरह मेरे साथ पॉल डकलिन हैं।
आप कैसे हैं, पॉल?
बत्तख। मैं सुपर-डुपर हूं, डगलस।
यहां इंग्लैंड में थोड़ा ठंडा होना शुरू हो गया है।
डौग हां.
बत्तख। मुझे लगता है कि मैंने एक बड़े देश की साइकिल की सवारी पर जाने के लिए गलत दिन चुना।
यह एक अच्छा विचार था जब मैंने सेट किया: "मुझे पता है, मैं एक अच्छी लंबी सवारी करूंगा, और फिर मुझे ट्रेन घर मिल जाएगी, इसलिए मैं पॉडकास्ट के लिए बहुत समय में घर पर हूं।"
और जब मैं वहाँ पहुँचा, तो भीषण गर्मी के कारण, ट्रेनें हर दो घंटे में केवल एक बार चल रही थीं, और मैं बस एक से चूक गया।
इसलिए मुझे पूरे रास्ते वापस सवारी करनी पड़ी ... और मैंने इसे समय पर बना लिया।
डौग ठीक है, तुम वहाँ जाओ ... आप और मैं गर्मियों के पूरे जोश में हैं, और हमारे पास शो में बाद में आने वाली गर्मियों के लिए कुछ सुझाव हैं।
लेकिन पहले, मैं इसके बारे में बात करना चाहूंगा टेक इतिहास में यह सप्ताह.
इस सप्ताह, 1968 में, गॉर्डन मूर (मूर के नियम के वे), और रॉबर्ट नॉयस द्वारा इंटेल कॉर्पोरेशन का गठन किया गया था।
नॉयस को एकीकृत सर्किट, या माइक्रोचिप के अग्रणी के रूप में श्रेय दिया जाता है।
इंटेल का पहला माइक्रोप्रोसेसर 4004 होगा, जिसका उपयोग कैलकुलेटर के लिए किया गया था।
और, ए मजेदार तथ्य, इंटेल नाम इंटीग्रेटेड इलेक्ट्रॉनिक्स का मैशअप है।
तो ... वह कंपनी बहुत अच्छी निकली।
बत्तख। हाँ!
मुझे लगता है, निष्पक्ष होने के लिए, शायद आप कहेंगे, "सह-अग्रणी"?
डौग हाँ। मेरे पास "एक पायनियर" था।
बत्तख। टेक्सास इंस्ट्रूमेंट्स के जैक किल्बी, मुझे लगता है कि पहले एकीकृत सर्किट के साथ आया था, लेकिन इसे अभी भी सर्किट में भागों को एक साथ तारित करने की आवश्यकता थी।
और नॉयस ने इस समस्या को हल किया कि उन सभी को सिलिकॉन में कैसे सेंकना है।
मैं वास्तव में जैक किलबर्न के एक भाषण में शामिल हुआ था, जब मैं एक नया कंप्यूटर वैज्ञानिक था।
बिल्कुल आकर्षक - अमेरिका में 1950 के दशक में शोध!
और निश्चित रूप से, किल्बी को प्रसिद्ध रूप से नोबेल पुरस्कार मिला, मुझे लगता है कि वर्ष 2000 में।
लेकिन रॉबर्ट नॉयस, मुझे यकीन है, एक संयुक्त विजेता होता, लेकिन उस समय तक वह पहले ही मर चुका था, और आपको मरणोपरांत नोबेल पुरस्कार नहीं मिल सकता।
इसलिए, नॉयस को कभी नोबेल पुरस्कार नहीं मिला, और जैक सेंट क्लेयर किल्बी को।
डौग खैर, बहुत समय पहले की बात है...
…और अब से काफी समय बाद, हम अभी भी Log4Shell के बारे में बात कर रहे होंगे…
बत्तख। ओह, प्रिय, हाँ।
डौग भले ही इसके लिए कोई उपाय हो, लेकिन अमेरिका ने सामने आकर कहा है कि इस बात से दशकों पहले हो सकता है वास्तव में निश्चित.
बत्तख। चलो निष्पक्ष रहें ... उन्होंने कहा, "शायद एक दशक या उससे अधिक।"
यह एक शरीर है जिसे कहा जाता है साइबर सुरक्षा समीक्षा बोर्ड, CSRB (होमलैंड सिक्योरिटी विभाग का हिस्सा), जिसे इस साल की शुरुआत में बनाया गया था।
मुझे नहीं पता कि यह विशेष रूप से Log4Shell के कारण बनाया गया था, या सिर्फ आपूर्ति श्रृंखला स्रोत कोड मुद्दों के कारण एक बड़ी बात बन गई थी।
और Log4Shell के लगभग आठ महीने बाद, उन्होंने 42 पृष्ठों की यह रिपोर्ट तैयार की ... अकेले कार्यकारी सारांश लगभग 3 पृष्ठों तक चलता है।
और जब मैंने पहली बार इस पर नज़र डाली, तो मैंने सोचा, "ओह, हम यहां चलते हैं।"
कुछ सरकारी सेवकों से कहा गया है, “चलो, तुम्हारी रिपोर्ट कहाँ है? आप समीक्षा बोर्ड हैं। प्रकाशित या नाश!"
वास्तव में, हालांकि इसके कुछ हिस्से वास्तव में भारी चल रहे हैं, मुझे लगता है कि आपको इसके माध्यम से पढ़ना चाहिए।
उन्होंने एक सॉफ्टवेयर विक्रेता के रूप में, एक सॉफ्टवेयर निर्माता के रूप में, एक ऐसी कंपनी के रूप में जो अन्य लोगों को सॉफ्टवेयर समाधान प्रदान कर रही है, इस बारे में कुछ बातें रखीं, वास्तव में खुद से संपर्क करना आसान बनाना इतना कठिन नहीं है, ताकि जब कुछ हो तो लोग आपको बता सकें। तुमने नज़रअंदाज़ कर दिया।
उदाहरण के लिए, "आपके कोड में अभी भी एक Log4J संस्करण है जिसे आपने दुनिया में सबसे अच्छी इच्छा के साथ नहीं देखा है, और आपने इसे ठीक नहीं किया है।"
आप किसी ऐसे व्यक्ति को क्यों नहीं चाहते जो आपकी मदद करने की कोशिश कर रहा है ताकि वह आपको ढूंढ सके और आपसे आसानी से संपर्क कर सके?
डौग और वे इस तरह की बातें कहते हैं ... यह पहला एक प्रकार का टेबल स्टेक है, लेकिन यह किसी के लिए भी अच्छा है, विशेष रूप से छोटे व्यवसायों ने इसके बारे में नहीं सोचा है: एक संपत्ति और एप्लिकेशन इन्वेंट्री विकसित करें, ताकि आप जान सकें कि आप कहां चल रहे हैं।
बत्तख। वे स्पष्ट रूप से धमकी या दावा नहीं करते हैं, क्योंकि यह इन लोक सेवकों के लिए कानून बनाने के लिए नहीं है (यह विधायिका पर निर्भर है) ... लेकिन मुझे लगता है कि वे जो कह रहे हैं वह है, "उस क्षमता को विकसित करें, क्योंकि यदि आप , या आपको परेशान नहीं किया जा सकता है, या आप यह नहीं समझ सकते कि यह कैसे करना है, या आपको लगता है कि आपके ग्राहक ध्यान नहीं देंगे, अंततः आप पाएंगे कि आपके पास बहुत कम या कोई विकल्प नहीं है!"
खासकर यदि आप संघीय सरकार को उत्पाद बेचना चाहते हैं! [हँसी]
डौग हां, और हमने इस बारे में पहले भी बात की है... एक और बात जिसके बारे में कुछ कंपनियों ने अभी तक नहीं सोचा होगा, लेकिन यह महत्वपूर्ण है: एक भेद्यता प्रतिक्रिया कार्यक्रम।
इस मामले में क्या होता है कि आपके पास भेद्यता है?
आप क्या कदम उठा रहे हैं?
उन्हें संबोधित करने के लिए आप किस गेम प्लान का अनुसरण करते हैं?
बत्तख। हां, यही मैं पहले बता रहा था।
इसका सरल हिस्सा यह है कि आपको किसी के लिए यह पता लगाने का एक आसान तरीका चाहिए कि वे आपके संगठन में रिपोर्ट कहां भेजते हैं ... और फिर आपको एक कंपनी के रूप में आंतरिक रूप से एक प्रतिबद्धता बनाने की आवश्यकता है, कि जब आप रिपोर्ट प्राप्त करते हैं, तो आप वास्तव में कार्य करेंगे उन पर।
जैसे मैंने कहा, कल्पना करें कि आपके पास यह बड़ा जावा टूलकिट है जिसे आप बेच रहे हैं, बहुत सारे घटकों के साथ एक बड़ा ऐप, और बैक-एंड सिस्टम में से एक में, यह बड़ी जावा चीज़ है।
और वहां, कल्पना करें कि अभी भी एक कमजोर Log4J है .JAR
फ़ाइल जिसे आपने अनदेखा कर दिया है।
आप क्यों नहीं चाहेंगे कि जिस व्यक्ति ने इसे खोजा है, वह आपको एक साधारण ईमेल से भी जल्दी और आसानी से बता सके?
जितनी बार आप ट्विटर पर जाते हैं और आप जाने-माने साइबर सुरक्षा शोधकर्ताओं को यह कहते हुए देखते हैं, "अरे, क्या कोई जानता है कि XYZ कॉर्प से कैसे संपर्क करें?"
क्या हमारे पास उस आदमी के पॉडकास्ट पर कोई मामला नहीं था जो अंततः… मुझे लगता है कि वह टिकटॉक या ऐसा ही कुछ पर गया था [हँसी] क्योंकि वह पता नहीं चल सका इस कंपनी से कैसे संपर्क करें।
और उन्होंने यह कहते हुए एक वीडियो बनाया, "अरे दोस्तों, मुझे पता है कि आप अपने सोशल मीडिया वीडियो से प्यार करते हैं, मैं आपको इस बग के बारे में बताने की कोशिश कर रहा हूं।"
और अंततः उन्होंने उस पर ध्यान दिया।
उदाहरण के लिए, यदि केवल वह आपकी कंपनी DOT com SLASH सुरक्षा DOT txt में जा सकता था, और उसे एक ईमेल पता मिला!
"यही वह जगह है जहां हम चाहते हैं कि आप हमसे संपर्क करें। या हम इस कार्यक्रम के माध्यम से बग बाउंटी करते हैं... यहां बताया गया है कि आप इसके लिए कैसे साइन अप करते हैं। यदि आप भुगतान करना चाहते हैं। ”
इतना भी मुश्किल नहीं है!
और इसका मतलब यह है कि कोई व्यक्ति जो आपको यह बताना चाहता है कि आपके पास एक बग है जिसे आपने शायद सोचा था कि आपने ठीक किया है, आपको बता सकता है।
डौग मुझे इस लेख में उतरना पसंद है!
आप लिखते हैं और आप जॉन एफ कैनेडी को यह कहते हुए चैनल करते हैं [कैनेडी वॉयस] "यह मत पूछो कि हर कोई आपके लिए क्या कर सकता है, लेकिन इस बारे में सोचें कि आप अपने लिए क्या कर सकते हैं, क्योंकि आपके द्वारा किए गए किसी भी सुधार से निश्चित रूप से बाकी सभी को भी फायदा होगा। "
ठीक है, यदि आप इसके बारे में पढ़ना चाहते हैं तो यह साइट पर है... यदि आप किसी भी प्रकार की स्थिति में हैं तो आपको इन चीजों में से किसी एक से निपटने के लिए पढ़ना आवश्यक है।
यह एक अच्छा पठन है ... कम से कम तीन-पृष्ठ का सारांश पढ़ें, यदि 42-पृष्ठ की रिपोर्ट नहीं है।
बत्तख। हां, यह लंबा है, लेकिन मुझे यह आश्चर्यजनक रूप से विचारशील लगा, और मुझे बहुत सुखद आश्चर्य हुआ।
और मैंने सोचा कि अगर लोग इसे पढ़ते हैं, और यादृच्छिक लोग इसके दसवें हिस्से को दिल से लेते हैं ...
…हमें सामूहिक रूप से बेहतर जगह पर होना चाहिए।
डौग ठीक है, ठीक साथ चल रहा है।
यह गर्मी की छुट्टियों का मौसम है, और इसमें अक्सर अपने गैजेट्स को अपने साथ ले जाना शामिल होता है।
हमारे पास कुछ आनंद लेने के लिए टिप्स आपकी गर्मी की छुट्टी के बिना, गलती से, "इसका आनंद नहीं ले रहा"।
बत्तख। "हमें कितने गैजेट लेने चाहिए? [नाटकीय] उन सभी को पैक करें!"
अफसोस की बात है कि जितना अधिक आप लेते हैं, आपका जोखिम उतना ही बड़ा होता है।
डौग यहां आपका पहला सुझाव यह है कि आप अपने सभी गैजेट पैक कर रहे हैं ... क्या आपको सेट करने से पहले बैकअप बनाना चाहिए?
उत्तर का अनुमान है, "हाँ!"
बत्तख। मुझे लगता है कि यह काफी स्पष्ट है।
हर कोई जानता है कि आपको बैकअप बनाना चाहिए, लेकिन उन्होंने इसे बंद कर दिया।
इसलिए मैंने सोचा कि यह हमारी छोटी सी कहावत, या ट्रुइज़्म को टटोलने का एक मौका था: "एकमात्र बैकअप जिसका आपको कभी पछतावा होगा, वह वह है जिसे आपने नहीं बनाया।"
और यह सुनिश्चित करने के बारे में दूसरी बात कि आपने एक डिवाइस का बैकअप लिया है - चाहे वह क्लाउड खाते में हो, जिससे आप लॉग आउट करते हैं, या क्या वह एक हटाने योग्य ड्राइव है जिसे आप एन्क्रिप्ट करते हैं और कहीं अलमारी में रखते हैं - इसका मतलब है कि आप डिवाइस पर आपके डिजिटल फुटप्रिंट को कम कर सकता है।
हम समझेंगे कि यह एक अच्छा विचार क्यों हो सकता है... ताकि आपके पास अपना संपूर्ण डिजिटल जीवन और इतिहास न हो।
मुद्दा यह है कि एक अच्छा बैकअप होने से, और फिर जो आपके पास वास्तव में फोन पर है उसे कम करके, यदि आप इसे खो देते हैं तो गलत होने के लिए कम है; अगर यह जब्त हो जाता है; यदि आव्रजन अधिकारी इसे देखना चाहते हैं; जो कुछ भी है।
डौग और, कुछ हद तक घूमने से संबंधित, आप अपना लैपटॉप और या अपना मोबाइल फोन खो सकते हैं ... इसलिए आपको उन उपकरणों को एन्क्रिप्ट करना चाहिए।
बत्तख। हां.
अब, अधिकांश डिवाइस इन दिनों डिफ़ॉल्ट रूप से एन्क्रिप्टेड हैं।
यह निश्चित रूप से Android के लिए सच है; यह आईओएस के लिए निश्चित रूप से सच है; और मुझे लगता है कि जब आप इन दिनों विंडोज लैपटॉप प्राप्त करते हैं, तो बिटलॉकर होता है।
मैं एक विंडोज उपयोगकर्ता नहीं हूं, इसलिए मुझे यकीन नहीं है … ... यह आपको अपनी हार्ड डिस्क पर BitLocker का उपयोग करने देता है।
क्यों नहीं?
क्योंकि इसका मतलब है कि यदि आप इसे खो देते हैं, या यह जब्त हो जाता है, या आपका लैपटॉप या फोन चोरी हो जाता है, तो यह सिर्फ एक मामला नहीं है कि एक बदमाश आपके लैपटॉप को खोल देता है, हार्ड डिस्क को अनप्लग करता है, इसे दूसरे कंप्यूटर में प्लग करता है और सब कुछ पढ़ता है , ऐसे ही।
एहतियात क्यों नहीं बरतते?
और, ज़ाहिर है, एक फोन पर, आमतौर पर क्योंकि यह पूर्व-एन्क्रिप्टेड होता है, एन्क्रिप्शन कुंजियाँ आपके लॉक कोड द्वारा पूर्व-निर्मित और संरक्षित होती हैं।
मत जाओ, "ठीक है, मैं सड़क पर रहूंगा, मैं दबाव में हो सकता हूं, मुझे जल्दी में इसकी आवश्यकता हो सकती है ... मैं बस उपयोग करूंगा 1234
or 0000
छुट्टी की अवधि के लिए। ”
ऐसा मत करो!
आपके फ़ोन पर लॉक कोड वह है जो फ़ोन पर डेटा के लिए वास्तविक पूर्ण-ऑन एन्क्रिप्शन और डिक्रिप्शन कुंजियों का प्रबंधन करता है।
तो एक लंबा लॉक कोड चुनें... मैं दस अंकों या उससे अधिक की अनुशंसा करता हूं।
इसे सेट करें, और इसे घर पर कुछ दिनों के लिए, जाने से एक सप्ताह पहले तक अभ्यास करें, जब तक कि यह दूसरी प्रकृति न हो जाए।
बस मत जाओ, 1234
काफी अच्छा है, या "ओह, मेरे पास एक लंबा लॉक कोड होगा... मैं जाऊंगा 0000 0000
, यह *आठ* अक्षर है, कोई भी इसके बारे में कभी नहीं सोचेगा!"
डौग ठीक है, और यह वास्तव में दिलचस्प है: राष्ट्रीय सीमाओं को पार करने वाले लोगों के बारे में आपके पास कुछ सलाह है।
बत्तख। जी हां, यह आजकल एक मुद्दा बन गया है।
क्योंकि कई देश - मुझे लगता है कि उनमें से यूएस और यूके, लेकिन वे किसी भी तरह से केवल एक ही नहीं हैं - कह सकते हैं, "देखो, हम आपके डिवाइस को देखना चाहते हैं। क्या आप इसे अनलॉक करेंगे, कृपया?"
और तुम जाओ, "नहीं, बिल्कुल नहीं! यह निजी है! आपको ऐसा करने का कोई अधिकार नहीं है!"
ठीक है, शायद वे करते हैं, और शायद वे नहीं… आप अभी तक देश में नहीं हैं।
यह "मेरी रसोई, मेरे नियम" है, इसलिए वे कह सकते हैं, "ठीक है, ठीक है, *आपको* मना करने का पूरा अधिकार है... लेकिन तब *हम* आपका प्रवेश अस्वीकार करने जा रहे हैं। आगमन लाउंज में यहां प्रतीक्षा करें जब तक कि हम आपको अगली उड़ान के लिए घर जाने के लिए प्रस्थान लाउंज में स्थानांतरित नहीं कर देते!"
मूल रूप से, क्या होने जा रहा है, इसके बारे में *चिंता* न करें, जैसे कि "मुझे सीमा पर डेटा प्रकट करने के लिए मजबूर किया जा सकता है।"
*देखो* प्रवेश की शर्तें क्या हैं... जिस देश में आप जा रहे हैं वहां गोपनीयता और निगरानी नियम।
और अगर आप वास्तव में उन्हें पसंद नहीं करते हैं, तो वहां न जाएं! कहीं और जाने के लिए खोजें।
या बस देश में प्रवेश करें, सच बताएं, और अपने डिजिटल पदचिह्न को कम करें।
जैसा कि हम बैकअप के साथ कह रहे थे ... जितना कम "डिजिटल जीवन" सामान आप अपने साथ ले जाते हैं, उतना ही कम गलत होता है, और कम संभावना है कि आप इसे खो देंगे।
तो, "तैयार रहो" मैं यही कह रहा हूँ।
डौग ठीक है, और यह एक अच्छा है: सार्वजनिक वाई-फाई, क्या यह सुरक्षित या असुरक्षित है?
यह निर्भर करता है, मुझे लगता है?
बत्तख। हां.
बहुत सारे लोग कह रहे हैं, "गोली, अगर आप सार्वजनिक वाई-फाई का उपयोग करते हैं, तो आप बर्बाद हो गए हैं!"
बेशक, हम सभी वर्षों से सार्वजनिक वाई-फाई का उपयोग कर रहे हैं, वास्तव में।
मैं किसी ऐसे व्यक्ति को नहीं जानता जिसने हैक होने के डर से वास्तव में इसका उपयोग करना बंद कर दिया हो, लेकिन मुझे पता है कि लोग जाते हैं, "ठीक है, मुझे पता है कि जोखिम क्या हैं। वह राउटर किसी के भी स्वामित्व में हो सकता था। उस पर कुछ बदमाश हो सकते हैं; इसमें एक बेईमान कॉफी शॉप संचालक हो सकता है; या यह सिर्फ इसलिए हो सकता है कि किसी ने इसे हैक कर लिया जो पिछले महीने यहां छुट्टी पर था क्योंकि उन्हें लगा कि यह बहुत मज़ेदार है, और यह डेटा लीक कर रहा है क्योंकि 'हा हा हा'।
लेकिन यदि आप ऐसे ऐप्स का उपयोग कर रहे हैं जिनमें एंड-टू-एंड एन्क्रिप्शन है, और यदि आप उन साइटों का उपयोग कर रहे हैं जो HTTPS हैं, तो वे आपके डिवाइस और दूसरे छोर के बीच एंड-टू-एंड एन्क्रिप्टेड हैं, तो इसकी काफी सीमाएं हैं। पूरी तरह से हैक किया गया राउटर भी क्या प्रकट कर सकता है।
क्योंकि कोई भी मैलवेयर जो पिछले विज़िटर द्वारा लगाया गया है, उसे *राउटर* पर इंप्लांट किया जाएगा, न कि *आपके डिवाइस* पर।
डौग ठीक है, अगला... जिसे मैं कंप्यूटिंग का शायद ही कभी साफ किए गए सार्वजनिक शौचालयों का संस्करण मानता हूं।
क्या मुझे हवाई अड्डों या होटलों में कियोस्क पीसी का उपयोग करना चाहिए?
साइबर सुरक्षा एक तरफ ... उस गंदे, गंदे कीबोर्ड और माउस पर हाथ रखने वाले लोगों की संख्या!
बत्तख। बिल्कुल सही.
तो, यह "क्या मुझे सार्वजनिक वाई-फाई का उपयोग करना चाहिए?" का दूसरा पहलू है।
क्या मुझे Kkiosk PC का उपयोग करना चाहिए, मान लीजिए, होटल में या हवाई अड्डे में?
हैक किए गए वाई-फाई राउटर और हैक किए गए कियोस्क पीसी के बीच बड़ा अंतर यह है कि यदि आपका ट्रैफ़िक एक समझौता किए गए राउटर के माध्यम से एन्क्रिप्ट किया जा रहा है, तो इसकी एक सीमा है कि यह आपकी कितनी जासूसी कर सकता है।
लेकिन अगर आपका ट्रैफ़िक हैक किए गए या छेड़छाड़ किए गए कियोस्क कंप्यूटर से उत्पन्न हो रहा है, तो मूल रूप से, साइबर सुरक्षा की दृष्टि से, *यह 100% गेम ओवर* है।
दूसरे शब्दों में, किओस्क पीसी के पास एन्क्रिप्टेड होने से पहले * आपके द्वारा इंटरनेट पर भेजे और प्राप्त किए गए सभी डेटा * तक बिना किसी बंधन के पहुंच हो सकती है (और आपके द्वारा वापस प्राप्त किए जाने के बाद डिक्रिप्ट हो जाती है)।
तो एन्क्रिप्शन अनिवार्य रूप से अप्रासंगिक हो जाता है।
*आपके द्वारा टाइप किया जाने वाला प्रत्येक कीस्ट्रोक*... आपको यह मान लेना चाहिए कि इसे ट्रैक किया जा रहा है।
*हर बार स्क्रीन पर कुछ होता है*... आपको यह मान लेना चाहिए कि कोई स्क्रीनशॉट ले सकता है।
*जो कुछ भी आप प्रिंट करते हैं*... आपको यह मान लेना चाहिए कि किसी छिपी हुई फ़ाइल में एक कॉपी बनाई गई है।
तो मेरी सलाह है कि उन कियोस्क पीसी को एक आवश्यक बुराई के रूप में मानें और यदि आपको वास्तव में करना है तो ही उनका उपयोग करें।
डौग हां, मैं पिछले सप्ताहांत एक होटल में था जिसमें एक कियोस्क पीसी था, और जिज्ञासा ने मुझे बेहतर कर दिया।
मैं ऊपर चला गया ... यह विंडोज 10 चला रहा था, और आप इस पर कुछ भी स्थापित कर सकते थे।
इसे लॉक नहीं किया गया था, और जिसने भी इसे पहले इस्तेमाल किया था, उसने फेसबुक से लॉग आउट नहीं किया था!
और यह एक चेन होटल है जिसे बेहतर जाना जाना चाहिए था... लेकिन यह सिर्फ एक विस्तृत खुली व्यवस्था थी जिससे किसी ने लॉग आउट नहीं किया था; साइबर क्राइम का एक संभावित सेसपूल होने की प्रतीक्षा कर रहा है।
बत्तख। तो आप बस एक यूएसबी स्टिक में प्लग इन कर सकते हैं और फिर जा सकते हैं, "कीलॉगर स्थापित करें"?
डौग हाँ!
बत्तख। "नेटवर्क स्निफ़र स्थापित करें।"
डौग अहां!
बत्तख। "रूटकिट स्थापित करें।"
डौग हाँ!
बत्तख। "वॉलपेपर पर ज्वलंत खोपड़ी रखो।"
डौग नहीं धन्यवाद!
इस अगले सवाल का कोई बढ़िया जवाब नहीं है...
स्पाईकैम और होटल के कमरे और Airbnbs के बारे में क्या?
ये खोजना मुश्किल है।
बत्तख। हां, मैंने इसे इसलिए रखा क्योंकि यह एक ऐसा प्रश्न है जो हमसे नियमित रूप से पूछा जाता है।
हमने अघोषित जासूसी कैमरों के तीन अलग-अलग उदाहरणों के बारे में लिखा है। (यह एक तरह की तनातनी है, है ना?)
एक ऑस्ट्रेलिया में एक फार्म वर्क हॉस्टल में था, जहां यह व्यक्ति आगंतुक वीजा पर लोगों को आमंत्रित कर रहा था, जिन्हें कृषि कार्य करने की अनुमति है, यह कहते हुए कि "मैं आपको रहने के लिए जगह दूंगा।"
यह पता चला कि वह एक झाँकने वाला टॉम था।
एक आयरलैंड के Airbnb हाउस में था।
यह एक ऐसा परिवार था जिसने न्यूजीलैंड से पूरे रास्ते यात्रा की, इसलिए वे कार में बैठकर घर नहीं जा सके, हार मान ली!
और दूसरा दक्षिण कोरिया में एक वास्तविक होटल था ... यह वास्तव में डरावना था।
मुझे नहीं लगता कि यह होटल की चेन थी, यह कुछ भ्रष्ट कर्मचारी थे या कुछ और।
वे कमरों में जासूसी कैमरे लगाते हैं, और मैं आपको बच्चा नहीं, डौग ... वे वास्तव में बेच रहे थे, मूल रूप से, पे-पर-व्यू।
मेरा मतलब है, वह कितना डरावना है?
अच्छी खबर यह है कि उनमें से दो मामलों में, अपराधियों को वास्तव में गिरफ्तार किया गया और आरोपित किया गया, इसलिए यह उनके लिए बुरी तरह से समाप्त हो गया, जो बिल्कुल सही है।
समस्या यह है कि... यदि आप Airbnb की कहानी पढ़ते हैं (हमें नग्न सुरक्षा पर एक लिंक मिला है) तो वह व्यक्ति जो अपने परिवार के साथ वहाँ रह रहा था, वह वास्तव में एक आईटी व्यक्ति था, एक साइबर सुरक्षा विशेषज्ञ।
और उसने देखा कि कमरों में से एक (आप घोषित करने वाले हैं कि क्या Airbnb में कोई कैमरा है, जाहिरा तौर पर) में दो धूम्रपान अलार्म थे।
आप दो स्मोक अलार्म कब देखते हैं? आपको केवल एक की जरूरत है।
और इसलिए उसने उनमें से एक को देखना शुरू कर दिया, और यह एक धूम्रपान अलार्म की तरह लग रहा था।
दूसरा, ठीक है, छोटा छेद जिसमें एलईडी है जो झपकाता है वह पलक नहीं झपका रहा था।
और जब उसने देखा, तो उसने सोचा, "ऐसा लगता है" संदिग्ध रूप से एक लेंस की तरह एक कैमरे के लिए!"
और यह वास्तव में, धूम्रपान अलार्म के रूप में प्रच्छन्न एक जासूसी कैमरा था।
प्रोपराइटर ने इसे नियमित वाई-फाई से जोड़ दिया था, इसलिए वह नेटवर्क स्कैन करके… Nmap जैसे टूल का उपयोग करके, या ऐसा ही कुछ करके इसे खोजने में सक्षम था।
उसे यह उपकरण मिला और जब उसने इसे पिंग किया, तो इसके नेटवर्क सिग्नेचर से यह बहुत स्पष्ट था, कि यह वास्तव में एक वेब कैमरा था, हालांकि एक स्मोक अलार्म में एक वेबकैम छिपा हुआ था।
तो वह भाग्यशाली हो गया।
हमने उस समय जो ब्लॉग किया था, उसे जोड़ने और समझाने के लिए हमने एक लेख लिखा था।
यह 2019 में वापस आ गया था, इसलिए यह तीन साल पहले की बात है, इसलिए तकनीक शायद तब से थोड़ी और भी साथ आई है।
वैसे भी, वह ऑनलाइन देखने के लिए गया, "मेरे पास वास्तव में अगले स्थानों पर कैमरे खोजने का क्या मौका है जहां मैं रहता हूं?"
और वह एक जासूसी कैमरे में आया - मुझे लगता है कि तस्वीर की गुणवत्ता बहुत भयानक होगी, लेकिन यह अभी भी एक * काम करने वाला डिजिटल स्पाई कैमरा * है। वायरलेस नहीं, आपको इसे तार में डालना होगा - एक फिलिप्स-सिर स्क्रू में * एम्बेडेड *, डौग!
डौग गजब का।
बत्तख। वस्तुतः स्क्रू का प्रकार जो आपको कवर प्लेट में मिलेगा जो आपको एक लाइट स्विच पर मिलता है, जैसे कि स्क्रू का आकार।
या पेंच जो आपको पावर आउटलेट कवर प्लेट पर मिलता है ... नियमित, मामूली आकार का फिलिप्स-हेड स्क्रू।
डौग मैं उन्हें अभी अमेज़न पर देख रहा हूँ!
"पिनहोल स्क्रू कैमरा", $20 के लिए।
बत्तख। यदि वह वापस उसी नेटवर्क से कनेक्ट नहीं है, या यदि यह किसी ऐसे डिवाइस से कनेक्ट है जो केवल SD कार्ड में रिकॉर्ड करता है, तो इसे ढूंढना बहुत मुश्किल होगा!
तो, दुख की बात है कि इस प्रश्न का उत्तर ... जिस कारण से मैंने प्रश्न छह नहीं लिखा, "मैं उन कमरों में जासूसी कैसे कर सकता हूँ जिनमें मैं रहता था?"
इसका उत्तर यह है कि आप कोशिश कर सकते हैं, लेकिन दुर्भाग्य से, यह पूरी बात है "सबूत की अनुपस्थिति अनुपस्थिति का सबूत नहीं है"।
दुर्भाग्य से, हमारे पास ऐसी कोई सलाह नहीं है जो कहती है, "आप एक छोटे से उपाय को खरीद सकते हैं जो एक मोबाइल फोन के आकार का है। आप एक बटन दबाते हैं और अगर कमरे में तहलका है तो वह सो जाता है।"
डौग ठीक है। आप में से उन लोगों के लिए हमारी अंतिम युक्ति जो आपकी मदद नहीं कर सकते: "मैं छुट्टी पर जा रहा हूं, लेकिन क्या होगा यदि मैं अपना काम लैपटॉप साथ ले जाना चाहता हूं?"
बत्तख। मैं इसका उत्तर नहीं दे सकता।
आप इसका उत्तर नहीं दे सकते।
यह आपका लैपटॉप नहीं है, यह काम का लैपटॉप है।
तो, सरल उत्तर है, "पूछो!"
और अगर वे कहते हैं, "आप कहाँ जा रहे हैं?", और आप देश का नाम देते हैं और वे कहते हैं, "नहीं" ...
...तो बस, आप इसे साथ नहीं ले जा सकते।
हो सकता है कि बस कहें, "बढ़िया, क्या मैं इसे यहाँ छोड़ सकता हूँ? जब तक मैं वापस नहीं आ जाता, क्या आप इसे आईटी अलमारी में बंद कर सकते हैं?"
अगर आप जाकर आईटी से पूछते हैं, "मैं देश एक्स जा रहा हूं। अगर मैं अपना काम लैपटॉप साथ ले जा रहा था, तो क्या आपके पास कोई विशेष सिफारिश है?"...
…उन्हें एक सुनो!
क्योंकि अगर काम सोचता है कि आप जिस स्थान पर जा रहे हैं, वहां गोपनीयता और निगरानी के बारे में आपको कुछ चीजें जाननी चाहिए, तो वे चीजें शायद आपके गृह जीवन पर लागू होती हैं।
डौग ठीक है, यह एक अच्छा लेख है ... बाकी इसे पढ़ें।
बत्तख। मुझे उन दो जिंगल पर बहुत गर्व है, जिनके साथ मैंने काम पूरा किया!
डौग अरे हाँ!
हमने सुना है, "यदि संदेह है, तो इसे न दें।"
लेकिन यह एक नया है जिसे आप लेकर आए हैं, जो मुझे बहुत पसंद है…।
बत्तख। "यदि आपका जीवन आपके फोन पर है/क्यों न इसे घर पर छोड़ दें?"
डौग हाँ, तुम वहाँ जाओ!
ठीक है, समय के हित में, साइट पर हमारे पास एक और लेख है जिसे मैं आपसे पढ़ने के लिए विनती करता हूं। इसे कहते हैं: फेसबुक 2FA स्कैमर्स की वापसी, इस बार सिर्फ 21 मिनट में।
यह वही घोटाला है जिसमें 28 मिनट लगते थे, इसलिए उन्होंने इस घोटाले से सात मिनट मुंडवा लिए।
और हमारे पास इस पोस्ट के बारे में एक पाठक प्रश्न है।
पाठक पीटर लिखते हैं, भाग में: "क्या आपको सच में लगता है कि ये चीजें इत्तेफाक हैं? मैंने हाल ही में अपने ससुर के ब्रिटिश टेलीकॉम ब्रॉडबैंड अनुबंध को बदलने में मदद की, और जिस दिन बदलाव आगे बढ़ा, उसके पास ब्रिटिश टेलीकॉम से एक फ़िशिंग टेलीफोन कॉल आया। जाहिर है, यह किसी भी दिन हो सकता था, लेकिन इस तरह की चीजें आपको टाइमिंग के बारे में सोचने पर मजबूर कर देती हैं। पॉल..."
बत्तख। हाँ, हमें हमेशा ऐसे लोग मिलते हैं जो जाते हैं, “तुम्हें पता है क्या? मुझे इनमें से एक घोटाला मिला है…”
चाहे वह फेसबुक पेज हो या इंस्टाग्राम कॉपीराइट या, इस चैप के डैड की तरह, टेलीकॉम से संबंधित… “मुझे घोटाला उसी सुबह हुआ जब मैंने कुछ ऐसा किया जो सीधे तौर पर घोटाले के बारे में था। निश्चय ही यह संयोग नहीं है?"
और मुझे लगता है कि ज्यादातर लोगों के लिए, क्योंकि वे नग्न सुरक्षा पर टिप्पणी कर रहे हैं, उन्हें पता है कि यह एक घोटाला है, इसलिए वे कह रहे हैं, "निश्चित रूप से बदमाशों को पता था?"
दूसरे शब्दों में, कुछ अंदरूनी जानकारी होनी चाहिए।
इसका दूसरा पहलू यह है कि जो लोग यह नहीं जानते कि यह एक घोटाला है, और वे नग्न सुरक्षा पर टिप्पणी नहीं करेंगे, वे कहते हैं, "ओह, ठीक है, यह संयोग नहीं हो सकता है, इसलिए यह वास्तविक होना चाहिए!"
ज्यादातर मामलों में, मेरे अनुभव में, यह पूरी तरह से संयोग के लिए है, बस मात्रा के आधार पर।
तो मुद्दा यह है कि ज्यादातर मामलों में, मुझे विश्वास है कि ये घोटाले जो आपको मिलते हैं, वे संयोग हैं, और बदमाश इस तथ्य पर भरोसा कर रहे हैं कि उन संयोगों को "निर्माण" करना आसान है जब आप इतने सारे ईमेल भेज सकते हैं लोग इतनी आसानी से।
और आप *सबको* बरगलाने की कोशिश नहीं कर रहे हैं, आप बस *किसी को* बरगलाने की कोशिश कर रहे हैं।
और डौग, अगर मैं इसे अंत में निचोड़ सकता हूं: "पासवर्ड मैनेजर का प्रयोग करें!"
क्योंकि तब आप गलती से गलत साइट में सही पासवर्ड नहीं डाल सकते हैं, और इससे आपको उन घोटालों में बहुत मदद मिलती है, चाहे वे संयोग से हों या नहीं।
डौग ठीक है, हमेशा की तरह बहुत अच्छा!
टिप्पणी के लिए धन्यवाद, पीटर।
यदि आपके पास कोई दिलचस्प कहानी, टिप्पणी या प्रश्न है जिसे आप सबमिट करना चाहते हैं, तो हमें इसे पॉडकास्ट पर पढ़ना अच्छा लगेगा।
आप tips@sophos.com पर ईमेल कर सकते हैं, आप हमारे किसी भी लेख पर टिप्पणी कर सकते हैं, या आप हमें सामाजिक: @nakedsecurity पर संपर्क कर सकते हैं।
आज के लिए यही हमारा शो है; सुनने के लिए बहुत बहुत धन्यवाद।
पॉल डकलिन के लिए, मैं डौग आमोथ हूं, अगली बार तक, आपको याद दिला रहा हूं ...
दोनों को। सुरक्षित रहें!
[संगीत मोडेम]
- blockchain
- कॉइनजीनियस
- क्रिप्टोकुरेंसी वॉलेट्स
- क्रिप्टोकरंसीज
- साइबर सुरक्षा
- साइबर अपराधी
- साइबर सुरक्षा
- घर की भूमि सुरक्षा का विभाग
- डिजिटल पर्स
- फेसबुक
- फ़ायरवॉल
- Kaspersky
- मैलवेयर
- McAfee
- नग्न सुरक्षा
- नग्न सुरक्षा पॉडकास्ट
- नेक्सब्लॉक
- प्लेटो
- प्लेटो एआई
- प्लेटो डेटा इंटेलिजेंस
- प्लेटो गेम
- प्लेटोडाटा
- प्लेटोगेमिंग
- पॉडकास्ट
- सुझावों
- वीपीएन
- वेबसाइट सुरक्षा
- जेफिरनेट