S3 Ep92: Log4Shell4Ever, यात्रा युक्तियाँ, और धोखाधड़ी [ऑडियो + टेक्स्ट]

किसी भी बिंदु पर जाने के लिए नीचे ध्वनि तरंगों पर क्लिक करें और खींचें। आप भी कर सकते हैं सीधे सुनो साउंडक्लाउड पर।

डौग  फेसबुक स्कैम, लॉग4शेल फॉरएवर, और साइबर सेफ समर के लिए टिप्स।

वह सब, और बहुत कुछ, नग्न सुरक्षा पॉडकास्ट पर।

[संगीत मोडेम]

पॉडकास्ट में आपका स्वागत है, सब लोग।

मैं डौग आमोथ हूं, और हमेशा की तरह मेरे साथ पॉल डकलिन हैं।

आप कैसे हैं, पॉल?

---

बत्तख।  मैं सुपर-डुपर हूं, डगलस।

यहां इंग्लैंड में थोड़ा ठंडा होना शुरू हो गया है।

---

डौग  हां.

---

बत्तख।  मुझे लगता है कि मैंने एक बड़े देश की साइकिल की सवारी पर जाने के लिए गलत दिन चुना।

यह एक अच्छा विचार था जब मैंने सेट किया: "मुझे पता है, मैं एक अच्छी लंबी सवारी करूंगा, और फिर मुझे ट्रेन घर मिल जाएगी, इसलिए मैं पॉडकास्ट के लिए बहुत समय में घर पर हूं।"

और जब मैं वहाँ पहुँचा, तो भीषण गर्मी के कारण, ट्रेनें हर दो घंटे में केवल एक बार चल रही थीं, और मैं बस एक से चूक गया।

इसलिए मुझे पूरे रास्ते वापस सवारी करनी पड़ी ... और मैंने इसे समय पर बना लिया।

---

डौग  ठीक है, तुम वहाँ जाओ ... आप और मैं गर्मियों के पूरे जोश में हैं, और हमारे पास शो में बाद में आने वाली गर्मियों के लिए कुछ सुझाव हैं।

लेकिन पहले, मैं इसके बारे में बात करना चाहूंगा टेक इतिहास में यह सप्ताह.

इस सप्ताह, 1968 में, गॉर्डन मूर (मूर के नियम के वे), और रॉबर्ट नॉयस द्वारा इंटेल कॉर्पोरेशन का गठन किया गया था।

नॉयस को एकीकृत सर्किट, या माइक्रोचिप के अग्रणी के रूप में श्रेय दिया जाता है।

इंटेल का पहला माइक्रोप्रोसेसर 4004 होगा, जिसका उपयोग कैलकुलेटर के लिए किया गया था।

और, ए मजेदार तथ्य, इंटेल नाम इंटीग्रेटेड इलेक्ट्रॉनिक्स का मैशअप है।

तो ... वह कंपनी बहुत अच्छी निकली।

---

बत्तख।  हाँ!

मुझे लगता है, निष्पक्ष होने के लिए, शायद आप कहेंगे, "सह-अग्रणी"?

---

डौग  हाँ। मेरे पास "एक पायनियर" था।

---

बत्तख।  टेक्सास इंस्ट्रूमेंट्स के जैक किल्बी, मुझे लगता है कि पहले एकीकृत सर्किट के साथ आया था, लेकिन इसे अभी भी सर्किट में भागों को एक साथ तारित करने की आवश्यकता थी।

और नॉयस ने इस समस्या को हल किया कि उन सभी को सिलिकॉन में कैसे सेंकना है।

मैं वास्तव में जैक किलबर्न के एक भाषण में शामिल हुआ था, जब मैं एक नया कंप्यूटर वैज्ञानिक था।

बिल्कुल आकर्षक - अमेरिका में 1950 के दशक में शोध!

और निश्चित रूप से, किल्बी को प्रसिद्ध रूप से नोबेल पुरस्कार मिला, मुझे लगता है कि वर्ष 2000 में।

लेकिन रॉबर्ट नॉयस, मुझे यकीन है, एक संयुक्त विजेता होता, लेकिन उस समय तक वह पहले ही मर चुका था, और आपको मरणोपरांत नोबेल पुरस्कार नहीं मिल सकता।

इसलिए, नॉयस को कभी नोबेल पुरस्कार नहीं मिला, और जैक सेंट क्लेयर किल्बी को।

---

डौग  खैर, बहुत समय पहले की बात है...

…और अब से काफी समय बाद, हम अभी भी Log4Shell के बारे में बात कर रहे होंगे…

---

बत्तख।  ओह, प्रिय, हाँ।

---

डौग  भले ही इसके लिए कोई उपाय हो, लेकिन अमेरिका ने सामने आकर कहा है कि इस बात से दशकों पहले हो सकता है वास्तव में निश्चित.

---

बत्तख।  चलो निष्पक्ष रहें ... उन्होंने कहा, "शायद एक दशक या उससे अधिक।"

यह एक शरीर है जिसे कहा जाता है साइबर सुरक्षा समीक्षा बोर्ड, CSRB (होमलैंड सिक्योरिटी विभाग का हिस्सा), जिसे इस साल की शुरुआत में बनाया गया था।

मुझे नहीं पता कि यह विशेष रूप से Log4Shell के कारण बनाया गया था, या सिर्फ आपूर्ति श्रृंखला स्रोत कोड मुद्दों के कारण एक बड़ी बात बन गई थी।

और Log4Shell के लगभग आठ महीने बाद, उन्होंने 42 पृष्ठों की यह रिपोर्ट तैयार की ... अकेले कार्यकारी सारांश लगभग 3 पृष्ठों तक चलता है।

और जब मैंने पहली बार इस पर नज़र डाली, तो मैंने सोचा, "ओह, हम यहां चलते हैं।"

कुछ सरकारी सेवकों से कहा गया है, “चलो, तुम्हारी रिपोर्ट कहाँ है? आप समीक्षा बोर्ड हैं। प्रकाशित या नाश!"

वास्तव में, हालांकि इसके कुछ हिस्से वास्तव में भारी चल रहे हैं, मुझे लगता है कि आपको इसके माध्यम से पढ़ना चाहिए।

उन्होंने एक सॉफ्टवेयर विक्रेता के रूप में, एक सॉफ्टवेयर निर्माता के रूप में, एक ऐसी कंपनी के रूप में जो अन्य लोगों को सॉफ्टवेयर समाधान प्रदान कर रही है, इस बारे में कुछ बातें रखीं, वास्तव में खुद से संपर्क करना आसान बनाना इतना कठिन नहीं है, ताकि जब कुछ हो तो लोग आपको बता सकें। तुमने नज़रअंदाज़ कर दिया।

उदाहरण के लिए, "आपके कोड में अभी भी एक Log4J संस्करण है जिसे आपने दुनिया में सबसे अच्छी इच्छा के साथ नहीं देखा है, और आपने इसे ठीक नहीं किया है।"

आप किसी ऐसे व्यक्ति को क्यों नहीं चाहते जो आपकी मदद करने की कोशिश कर रहा है ताकि वह आपको ढूंढ सके और आपसे आसानी से संपर्क कर सके?

---

डौग  और वे इस तरह की बातें कहते हैं ... यह पहला एक प्रकार का टेबल स्टेक है, लेकिन यह किसी के लिए भी अच्छा है, विशेष रूप से छोटे व्यवसायों ने इसके बारे में नहीं सोचा है: एक संपत्ति और एप्लिकेशन इन्वेंट्री विकसित करें, ताकि आप जान सकें कि आप कहां चल रहे हैं।

---

बत्तख।  वे स्पष्ट रूप से धमकी या दावा नहीं करते हैं, क्योंकि यह इन लोक सेवकों के लिए कानून बनाने के लिए नहीं है (यह विधायिका पर निर्भर है) ... लेकिन मुझे लगता है कि वे जो कह रहे हैं वह है, "उस क्षमता को विकसित करें, क्योंकि यदि आप , या आपको परेशान नहीं किया जा सकता है, या आप यह नहीं समझ सकते कि यह कैसे करना है, या आपको लगता है कि आपके ग्राहक ध्यान नहीं देंगे, अंततः आप पाएंगे कि आपके पास बहुत कम या कोई विकल्प नहीं है!"

खासकर यदि आप संघीय सरकार को उत्पाद बेचना चाहते हैं! [हँसी]

---

डौग  हां, और हमने इस बारे में पहले भी बात की है... एक और बात जिसके बारे में कुछ कंपनियों ने अभी तक नहीं सोचा होगा, लेकिन यह महत्वपूर्ण है: एक भेद्यता प्रतिक्रिया कार्यक्रम।

इस मामले में क्या होता है कि आपके पास भेद्यता है?

आप क्या कदम उठा रहे हैं?

उन्हें संबोधित करने के लिए आप किस गेम प्लान का अनुसरण करते हैं?

---

बत्तख।  हां, यही मैं पहले बता रहा था।

इसका सरल हिस्सा यह है कि आपको किसी के लिए यह पता लगाने का एक आसान तरीका चाहिए कि वे आपके संगठन में रिपोर्ट कहां भेजते हैं ... और फिर आपको एक कंपनी के रूप में आंतरिक रूप से एक प्रतिबद्धता बनाने की आवश्यकता है, कि जब आप रिपोर्ट प्राप्त करते हैं, तो आप वास्तव में कार्य करेंगे उन पर।

जैसे मैंने कहा, कल्पना करें कि आपके पास यह बड़ा जावा टूलकिट है जिसे आप बेच रहे हैं, बहुत सारे घटकों के साथ एक बड़ा ऐप, और बैक-एंड सिस्टम में से एक में, यह बड़ी जावा चीज़ है।

और वहां, कल्पना करें कि अभी भी एक कमजोर Log4J है .JAR फ़ाइल जिसे आपने अनदेखा कर दिया है।

आप क्यों नहीं चाहेंगे कि जिस व्यक्ति ने इसे खोजा है, वह आपको एक साधारण ईमेल से भी जल्दी और आसानी से बता सके?

जितनी बार आप ट्विटर पर जाते हैं और आप जाने-माने साइबर सुरक्षा शोधकर्ताओं को यह कहते हुए देखते हैं, "अरे, क्या कोई जानता है कि XYZ कॉर्प से कैसे संपर्क करें?"

क्या हमारे पास उस आदमी के पॉडकास्ट पर कोई मामला नहीं था जो अंततः… मुझे लगता है कि वह टिकटॉक या ऐसा ही कुछ पर गया था [हँसी] क्योंकि वह पता नहीं चल सका इस कंपनी से कैसे संपर्क करें।

और उन्होंने यह कहते हुए एक वीडियो बनाया, "अरे दोस्तों, मुझे पता है कि आप अपने सोशल मीडिया वीडियो से प्यार करते हैं, मैं आपको इस बग के बारे में बताने की कोशिश कर रहा हूं।"

और अंततः उन्होंने उस पर ध्यान दिया।

उदाहरण के लिए, यदि केवल वह आपकी कंपनी DOT com SLASH सुरक्षा DOT txt में जा सकता था, और उसे एक ईमेल पता मिला!

"यही वह जगह है जहां हम चाहते हैं कि आप हमसे संपर्क करें। या हम इस कार्यक्रम के माध्यम से बग बाउंटी करते हैं... यहां बताया गया है कि आप इसके लिए कैसे साइन अप करते हैं। यदि आप भुगतान करना चाहते हैं। ”

इतना भी मुश्किल नहीं है!

और इसका मतलब यह है कि कोई व्यक्ति जो आपको यह बताना चाहता है कि आपके पास एक बग है जिसे आपने शायद सोचा था कि आपने ठीक किया है, आपको बता सकता है।

---

डौग  मुझे इस लेख में उतरना पसंद है!

आप लिखते हैं और आप जॉन एफ कैनेडी को यह कहते हुए चैनल करते हैं [कैनेडी वॉयस] "यह मत पूछो कि हर कोई आपके लिए क्या कर सकता है, लेकिन इस बारे में सोचें कि आप अपने लिए क्या कर सकते हैं, क्योंकि आपके द्वारा किए गए किसी भी सुधार से निश्चित रूप से बाकी सभी को भी फायदा होगा। "

ठीक है, यदि आप इसके बारे में पढ़ना चाहते हैं तो यह साइट पर है... यदि आप किसी भी प्रकार की स्थिति में हैं तो आपको इन चीजों में से किसी एक से निपटने के लिए पढ़ना आवश्यक है।

यह एक अच्छा पठन है ... कम से कम तीन-पृष्ठ का सारांश पढ़ें, यदि 42-पृष्ठ की रिपोर्ट नहीं है।

---

बत्तख।  हां, यह लंबा है, लेकिन मुझे यह आश्चर्यजनक रूप से विचारशील लगा, और मुझे बहुत सुखद आश्चर्य हुआ।

और मैंने सोचा कि अगर लोग इसे पढ़ते हैं, और यादृच्छिक लोग इसके दसवें हिस्से को दिल से लेते हैं ...

…हमें सामूहिक रूप से बेहतर जगह पर होना चाहिए।

---

डौग  ठीक है, ठीक साथ चल रहा है।

यह गर्मी की छुट्टियों का मौसम है, और इसमें अक्सर अपने गैजेट्स को अपने साथ ले जाना शामिल होता है।

हमारे पास कुछ आनंद लेने के लिए टिप्स आपकी गर्मी की छुट्टी के बिना, गलती से, "इसका आनंद नहीं ले रहा"।

---

बत्तख।  "हमें कितने गैजेट लेने चाहिए? [नाटकीय] उन सभी को पैक करें!"

अफसोस की बात है कि जितना अधिक आप लेते हैं, आपका जोखिम उतना ही बड़ा होता है।

---

डौग  यहां आपका पहला सुझाव यह है कि आप अपने सभी गैजेट पैक कर रहे हैं ... क्या आपको सेट करने से पहले बैकअप बनाना चाहिए?

उत्तर का अनुमान है, "हाँ!"

---

बत्तख।  मुझे लगता है कि यह काफी स्पष्ट है।

हर कोई जानता है कि आपको बैकअप बनाना चाहिए, लेकिन उन्होंने इसे बंद कर दिया।

इसलिए मैंने सोचा कि यह हमारी छोटी सी कहावत, या ट्रुइज़्म को टटोलने का एक मौका था: "एकमात्र बैकअप जिसका आपको कभी पछतावा होगा, वह वह है जिसे आपने नहीं बनाया।"

और यह सुनिश्चित करने के बारे में दूसरी बात कि आपने एक डिवाइस का बैकअप लिया है - चाहे वह क्लाउड खाते में हो, जिससे आप लॉग आउट करते हैं, या क्या वह एक हटाने योग्य ड्राइव है जिसे आप एन्क्रिप्ट करते हैं और कहीं अलमारी में रखते हैं - इसका मतलब है कि आप डिवाइस पर आपके डिजिटल फुटप्रिंट को कम कर सकता है।

हम समझेंगे कि यह एक अच्छा विचार क्यों हो सकता है... ताकि आपके पास अपना संपूर्ण डिजिटल जीवन और इतिहास न हो।

मुद्दा यह है कि एक अच्छा बैकअप होने से, और फिर जो आपके पास वास्तव में फोन पर है उसे कम करके, यदि आप इसे खो देते हैं तो गलत होने के लिए कम है; अगर यह जब्त हो जाता है; यदि आव्रजन अधिकारी इसे देखना चाहते हैं; जो कुछ भी है।

---

डौग  और, कुछ हद तक घूमने से संबंधित, आप अपना लैपटॉप और या अपना मोबाइल फोन खो सकते हैं ... इसलिए आपको उन उपकरणों को एन्क्रिप्ट करना चाहिए।

---

बत्तख।  हां.

अब, अधिकांश डिवाइस इन दिनों डिफ़ॉल्ट रूप से एन्क्रिप्टेड हैं।

यह निश्चित रूप से Android के लिए सच है; यह आईओएस के लिए निश्चित रूप से सच है; और मुझे लगता है कि जब आप इन दिनों विंडोज लैपटॉप प्राप्त करते हैं, तो बिटलॉकर होता है।

मैं एक विंडोज उपयोगकर्ता नहीं हूं, इसलिए मुझे यकीन नहीं है … ... यह आपको अपनी हार्ड डिस्क पर BitLocker का उपयोग करने देता है।

क्यों नहीं?

क्योंकि इसका मतलब है कि यदि आप इसे खो देते हैं, या यह जब्त हो जाता है, या आपका लैपटॉप या फोन चोरी हो जाता है, तो यह सिर्फ एक मामला नहीं है कि एक बदमाश आपके लैपटॉप को खोल देता है, हार्ड डिस्क को अनप्लग करता है, इसे दूसरे कंप्यूटर में प्लग करता है और सब कुछ पढ़ता है , ऐसे ही।

एहतियात क्यों नहीं बरतते?

और, ज़ाहिर है, एक फोन पर, आमतौर पर क्योंकि यह पूर्व-एन्क्रिप्टेड होता है, एन्क्रिप्शन कुंजियाँ आपके लॉक कोड द्वारा पूर्व-निर्मित और संरक्षित होती हैं।

मत जाओ, "ठीक है, मैं सड़क पर रहूंगा, मैं दबाव में हो सकता हूं, मुझे जल्दी में इसकी आवश्यकता हो सकती है ... मैं बस उपयोग करूंगा 1234 or 0000 छुट्टी की अवधि के लिए। ”

ऐसा मत करो!

आपके फ़ोन पर लॉक कोड वह है जो फ़ोन पर डेटा के लिए वास्तविक पूर्ण-ऑन एन्क्रिप्शन और डिक्रिप्शन कुंजियों का प्रबंधन करता है।

तो एक लंबा लॉक कोड चुनें... मैं दस अंकों या उससे अधिक की अनुशंसा करता हूं।

इसे सेट करें, और इसे घर पर कुछ दिनों के लिए, जाने से एक सप्ताह पहले तक अभ्यास करें, जब तक कि यह दूसरी प्रकृति न हो जाए।

बस मत जाओ, 1234 काफी अच्छा है, या "ओह, मेरे पास एक लंबा लॉक कोड होगा... मैं जाऊंगा 0000 0000, यह *आठ* अक्षर है, कोई भी इसके बारे में कभी नहीं सोचेगा!"

---

डौग  ठीक है, और यह वास्तव में दिलचस्प है: राष्ट्रीय सीमाओं को पार करने वाले लोगों के बारे में आपके पास कुछ सलाह है।

---

बत्तख।  जी हां, यह आजकल एक मुद्दा बन गया है।

क्योंकि कई देश - मुझे लगता है कि उनमें से यूएस और यूके, लेकिन वे किसी भी तरह से केवल एक ही नहीं हैं - कह सकते हैं, "देखो, हम आपके डिवाइस को देखना चाहते हैं। क्या आप इसे अनलॉक करेंगे, कृपया?"

और तुम जाओ, "नहीं, बिल्कुल नहीं! यह निजी है! आपको ऐसा करने का कोई अधिकार नहीं है!"

ठीक है, शायद वे करते हैं, और शायद वे नहीं… आप अभी तक देश में नहीं हैं।

यह "मेरी रसोई, मेरे नियम" है, इसलिए वे कह सकते हैं, "ठीक है, ठीक है, *आपको* मना करने का पूरा अधिकार है... लेकिन तब *हम* आपका प्रवेश अस्वीकार करने जा रहे हैं। आगमन लाउंज में यहां प्रतीक्षा करें जब तक कि हम आपको अगली उड़ान के लिए घर जाने के लिए प्रस्थान लाउंज में स्थानांतरित नहीं कर देते!"

मूल रूप से, क्या होने जा रहा है, इसके बारे में *चिंता* न करें, जैसे कि "मुझे सीमा पर डेटा प्रकट करने के लिए मजबूर किया जा सकता है।"

*देखो* प्रवेश की शर्तें क्या हैं... जिस देश में आप जा रहे हैं वहां गोपनीयता और निगरानी नियम।

और अगर आप वास्तव में उन्हें पसंद नहीं करते हैं, तो वहां न जाएं! कहीं और जाने के लिए खोजें।

या बस देश में प्रवेश करें, सच बताएं, और अपने डिजिटल पदचिह्न को कम करें।

जैसा कि हम बैकअप के साथ कह रहे थे ... जितना कम "डिजिटल जीवन" सामान आप अपने साथ ले जाते हैं, उतना ही कम गलत होता है, और कम संभावना है कि आप इसे खो देंगे।

तो, "तैयार रहो" मैं यही कह रहा हूँ।

---

डौग  ठीक है, और यह एक अच्छा है: सार्वजनिक वाई-फाई, क्या यह सुरक्षित या असुरक्षित है?

यह निर्भर करता है, मुझे लगता है?

---

बत्तख।  हां.

बहुत सारे लोग कह रहे हैं, "गोली, अगर आप सार्वजनिक वाई-फाई का उपयोग करते हैं, तो आप बर्बाद हो गए हैं!"

बेशक, हम सभी वर्षों से सार्वजनिक वाई-फाई का उपयोग कर रहे हैं, वास्तव में।

मैं किसी ऐसे व्यक्ति को नहीं जानता जिसने हैक होने के डर से वास्तव में इसका उपयोग करना बंद कर दिया हो, लेकिन मुझे पता है कि लोग जाते हैं, "ठीक है, मुझे पता है कि जोखिम क्या हैं। वह राउटर किसी के भी स्वामित्व में हो सकता था। उस पर कुछ बदमाश हो सकते हैं; इसमें एक बेईमान कॉफी शॉप संचालक हो सकता है; या यह सिर्फ इसलिए हो सकता है कि किसी ने इसे हैक कर लिया जो पिछले महीने यहां छुट्टी पर था क्योंकि उन्हें लगा कि यह बहुत मज़ेदार है, और यह डेटा लीक कर रहा है क्योंकि 'हा हा हा'।

लेकिन यदि आप ऐसे ऐप्स का उपयोग कर रहे हैं जिनमें एंड-टू-एंड एन्क्रिप्शन है, और यदि आप उन साइटों का उपयोग कर रहे हैं जो HTTPS हैं, तो वे आपके डिवाइस और दूसरे छोर के बीच एंड-टू-एंड एन्क्रिप्टेड हैं, तो इसकी काफी सीमाएं हैं। पूरी तरह से हैक किया गया राउटर भी क्या प्रकट कर सकता है।

क्योंकि कोई भी मैलवेयर जो पिछले विज़िटर द्वारा लगाया गया है, उसे *राउटर* पर इंप्लांट किया जाएगा, न कि *आपके डिवाइस* पर।

---

डौग  ठीक है, अगला... जिसे मैं कंप्यूटिंग का शायद ही कभी साफ किए गए सार्वजनिक शौचालयों का संस्करण मानता हूं।

क्या मुझे हवाई अड्डों या होटलों में कियोस्क पीसी का उपयोग करना चाहिए?

साइबर सुरक्षा एक तरफ ... उस गंदे, गंदे कीबोर्ड और माउस पर हाथ रखने वाले लोगों की संख्या!

---

बत्तख।  बिल्कुल सही.

तो, यह "क्या मुझे सार्वजनिक वाई-फाई का उपयोग करना चाहिए?" का दूसरा पहलू है।

क्या मुझे Kkiosk PC का उपयोग करना चाहिए, मान लीजिए, होटल में या हवाई अड्डे में?

हैक किए गए वाई-फाई राउटर और हैक किए गए कियोस्क पीसी के बीच बड़ा अंतर यह है कि यदि आपका ट्रैफ़िक एक समझौता किए गए राउटर के माध्यम से एन्क्रिप्ट किया जा रहा है, तो इसकी एक सीमा है कि यह आपकी कितनी जासूसी कर सकता है।

लेकिन अगर आपका ट्रैफ़िक हैक किए गए या छेड़छाड़ किए गए कियोस्क कंप्यूटर से उत्पन्न हो रहा है, तो मूल रूप से, साइबर सुरक्षा की दृष्टि से, *यह 100% गेम ओवर* है।

दूसरे शब्दों में, किओस्क पीसी के पास एन्क्रिप्टेड होने से पहले * आपके द्वारा इंटरनेट पर भेजे और प्राप्त किए गए सभी डेटा * तक बिना किसी बंधन के पहुंच हो सकती है (और आपके द्वारा वापस प्राप्त किए जाने के बाद डिक्रिप्ट हो जाती है)।

तो एन्क्रिप्शन अनिवार्य रूप से अप्रासंगिक हो जाता है।

*आपके द्वारा टाइप किया जाने वाला प्रत्येक कीस्ट्रोक*... आपको यह मान लेना चाहिए कि इसे ट्रैक किया जा रहा है।

*हर बार स्क्रीन पर कुछ होता है*... आपको यह मान लेना चाहिए कि कोई स्क्रीनशॉट ले सकता है।

*जो कुछ भी आप प्रिंट करते हैं*... आपको यह मान लेना चाहिए कि किसी छिपी हुई फ़ाइल में एक कॉपी बनाई गई है।

तो मेरी सलाह है कि उन कियोस्क पीसी को एक आवश्यक बुराई के रूप में मानें और यदि आपको वास्तव में करना है तो ही उनका उपयोग करें।

---

डौग  हां, मैं पिछले सप्ताहांत एक होटल में था जिसमें एक कियोस्क पीसी था, और जिज्ञासा ने मुझे बेहतर कर दिया।

मैं ऊपर चला गया ... यह विंडोज 10 चला रहा था, और आप इस पर कुछ भी स्थापित कर सकते थे।

इसे लॉक नहीं किया गया था, और जिसने भी इसे पहले इस्तेमाल किया था, उसने फेसबुक से लॉग आउट नहीं किया था!

और यह एक चेन होटल है जिसे बेहतर जाना जाना चाहिए था... लेकिन यह सिर्फ एक विस्तृत खुली व्यवस्था थी जिससे किसी ने लॉग आउट नहीं किया था; साइबर क्राइम का एक संभावित सेसपूल होने की प्रतीक्षा कर रहा है।

---

बत्तख।  तो आप बस एक यूएसबी स्टिक में प्लग इन कर सकते हैं और फिर जा सकते हैं, "कीलॉगर स्थापित करें"?

---

डौग  हाँ!

---

बत्तख।  "नेटवर्क स्निफ़र स्थापित करें।"

---

डौग  अहां!

---

बत्तख।  "रूटकिट स्थापित करें।"

---

डौग  हाँ!

---

बत्तख।  "वॉलपेपर पर ज्वलंत खोपड़ी रखो।"

---

डौग  नहीं धन्यवाद!

इस अगले सवाल का कोई बढ़िया जवाब नहीं है...

स्पाईकैम और होटल के कमरे और Airbnbs के बारे में क्या?

ये खोजना मुश्किल है।

---

बत्तख।  हां, मैंने इसे इसलिए रखा क्योंकि यह एक ऐसा प्रश्न है जो हमसे नियमित रूप से पूछा जाता है।

हमने अघोषित जासूसी कैमरों के तीन अलग-अलग उदाहरणों के बारे में लिखा है। (यह एक तरह की तनातनी है, है ना?)

एक ऑस्ट्रेलिया में एक फार्म वर्क हॉस्टल में था, जहां यह व्यक्ति आगंतुक वीजा पर लोगों को आमंत्रित कर रहा था, जिन्हें कृषि कार्य करने की अनुमति है, यह कहते हुए कि "मैं आपको रहने के लिए जगह दूंगा।"

यह पता चला कि वह एक झाँकने वाला टॉम था।

एक आयरलैंड के Airbnb हाउस में था।

यह एक ऐसा परिवार था जिसने न्यूजीलैंड से पूरे रास्ते यात्रा की, इसलिए वे कार में बैठकर घर नहीं जा सके, हार मान ली!

और दूसरा दक्षिण कोरिया में एक वास्तविक होटल था ... यह वास्तव में डरावना था।

मुझे नहीं लगता कि यह होटल की चेन थी, यह कुछ भ्रष्ट कर्मचारी थे या कुछ और।

वे कमरों में जासूसी कैमरे लगाते हैं, और मैं आपको बच्चा नहीं, डौग ... वे वास्तव में बेच रहे थे, मूल रूप से, पे-पर-व्यू।

मेरा मतलब है, वह कितना डरावना है?

अच्छी खबर यह है कि उनमें से दो मामलों में, अपराधियों को वास्तव में गिरफ्तार किया गया और आरोपित किया गया, इसलिए यह उनके लिए बुरी तरह से समाप्त हो गया, जो बिल्कुल सही है।

समस्या यह है कि... यदि आप Airbnb की कहानी पढ़ते हैं (हमें नग्न सुरक्षा पर एक लिंक मिला है) तो वह व्यक्ति जो अपने परिवार के साथ वहाँ रह रहा था, वह वास्तव में एक आईटी व्यक्ति था, एक साइबर सुरक्षा विशेषज्ञ।

और उसने देखा कि कमरों में से एक (आप घोषित करने वाले हैं कि क्या Airbnb में कोई कैमरा है, जाहिरा तौर पर) में दो धूम्रपान अलार्म थे।

आप दो स्मोक अलार्म कब देखते हैं? आपको केवल एक की जरूरत है।

और इसलिए उसने उनमें से एक को देखना शुरू कर दिया, और यह एक धूम्रपान अलार्म की तरह लग रहा था।

दूसरा, ठीक है, छोटा छेद जिसमें एलईडी है जो झपकाता है वह पलक नहीं झपका रहा था।

और जब उसने देखा, तो उसने सोचा, "ऐसा लगता है" संदिग्ध रूप से एक लेंस की तरह एक कैमरे के लिए!"

और यह वास्तव में, धूम्रपान अलार्म के रूप में प्रच्छन्न एक जासूसी कैमरा था।

प्रोपराइटर ने इसे नियमित वाई-फाई से जोड़ दिया था, इसलिए वह नेटवर्क स्कैन करके… Nmap जैसे टूल का उपयोग करके, या ऐसा ही कुछ करके इसे खोजने में सक्षम था।

उसे यह उपकरण मिला और जब उसने इसे पिंग किया, तो इसके नेटवर्क सिग्नेचर से यह बहुत स्पष्ट था, कि यह वास्तव में एक वेब कैमरा था, हालांकि एक स्मोक अलार्म में एक वेबकैम छिपा हुआ था।

तो वह भाग्यशाली हो गया।

हमने उस समय जो ब्लॉग किया था, उसे जोड़ने और समझाने के लिए हमने एक लेख लिखा था।

यह 2019 में वापस आ गया था, इसलिए यह तीन साल पहले की बात है, इसलिए तकनीक शायद तब से थोड़ी और भी साथ आई है।

वैसे भी, वह ऑनलाइन देखने के लिए गया, "मेरे पास वास्तव में अगले स्थानों पर कैमरे खोजने का क्या मौका है जहां मैं रहता हूं?"

और वह एक जासूसी कैमरे में आया - मुझे लगता है कि तस्वीर की गुणवत्ता बहुत भयानक होगी, लेकिन यह अभी भी एक * काम करने वाला डिजिटल स्पाई कैमरा * है। वायरलेस नहीं, आपको इसे तार में डालना होगा - एक फिलिप्स-सिर स्क्रू में * एम्बेडेड *, डौग!

---

डौग  गजब का।

---

बत्तख।  वस्तुतः स्क्रू का प्रकार जो आपको कवर प्लेट में मिलेगा जो आपको एक लाइट स्विच पर मिलता है, जैसे कि स्क्रू का आकार।

या पेंच जो आपको पावर आउटलेट कवर प्लेट पर मिलता है ... नियमित, मामूली आकार का फिलिप्स-हेड स्क्रू।

---

डौग  मैं उन्हें अभी अमेज़न पर देख रहा हूँ!

"पिनहोल स्क्रू कैमरा", $20 के लिए।

---

बत्तख।  यदि वह वापस उसी नेटवर्क से कनेक्ट नहीं है, या यदि यह किसी ऐसे डिवाइस से कनेक्ट है जो केवल SD कार्ड में रिकॉर्ड करता है, तो इसे ढूंढना बहुत मुश्किल होगा!

तो, दुख की बात है कि इस प्रश्न का उत्तर ... जिस कारण से मैंने प्रश्न छह नहीं लिखा, "मैं उन कमरों में जासूसी कैसे कर सकता हूँ जिनमें मैं रहता था?"

इसका उत्तर यह है कि आप कोशिश कर सकते हैं, लेकिन दुर्भाग्य से, यह पूरी बात है "सबूत की अनुपस्थिति अनुपस्थिति का सबूत नहीं है"।

दुर्भाग्य से, हमारे पास ऐसी कोई सलाह नहीं है जो कहती है, "आप एक छोटे से उपाय को खरीद सकते हैं जो एक मोबाइल फोन के आकार का है। आप एक बटन दबाते हैं और अगर कमरे में तहलका है तो वह सो जाता है।"

---

डौग  ठीक है। आप में से उन लोगों के लिए हमारी अंतिम युक्ति जो आपकी मदद नहीं कर सकते: "मैं छुट्टी पर जा रहा हूं, लेकिन क्या होगा यदि मैं अपना काम लैपटॉप साथ ले जाना चाहता हूं?"

---

बत्तख।  मैं इसका उत्तर नहीं दे सकता।

आप इसका उत्तर नहीं दे सकते।

यह आपका लैपटॉप नहीं है, यह काम का लैपटॉप है।

तो, सरल उत्तर है, "पूछो!"

और अगर वे कहते हैं, "आप कहाँ जा रहे हैं?", और आप देश का नाम देते हैं और वे कहते हैं, "नहीं" ...

...तो बस, आप इसे साथ नहीं ले जा सकते।

हो सकता है कि बस कहें, "बढ़िया, क्या मैं इसे यहाँ छोड़ सकता हूँ? जब तक मैं वापस नहीं आ जाता, क्या आप इसे आईटी अलमारी में बंद कर सकते हैं?"

अगर आप जाकर आईटी से पूछते हैं, "मैं देश एक्स जा रहा हूं। अगर मैं अपना काम लैपटॉप साथ ले जा रहा था, तो क्या आपके पास कोई विशेष सिफारिश है?"...

…उन्हें एक सुनो!

क्योंकि अगर काम सोचता है कि आप जिस स्थान पर जा रहे हैं, वहां गोपनीयता और निगरानी के बारे में आपको कुछ चीजें जाननी चाहिए, तो वे चीजें शायद आपके गृह जीवन पर लागू होती हैं।

---

डौग  ठीक है, यह एक अच्छा लेख है ... बाकी इसे पढ़ें।

---

बत्तख।  मुझे उन दो जिंगल पर बहुत गर्व है, जिनके साथ मैंने काम पूरा किया!

---

डौग  अरे हाँ!

हमने सुना है, "यदि संदेह है, तो इसे न दें।"

लेकिन यह एक नया है जिसे आप लेकर आए हैं, जो मुझे बहुत पसंद है…।

---

बत्तख।  "यदि आपका जीवन आपके फोन पर है/क्यों न इसे घर पर छोड़ दें?"

---

डौग  हाँ, तुम वहाँ जाओ!

ठीक है, समय के हित में, साइट पर हमारे पास एक और लेख है जिसे मैं आपसे पढ़ने के लिए विनती करता हूं। इसे कहते हैं: फेसबुक 2FA स्कैमर्स की वापसी, इस बार सिर्फ 21 मिनट में।

यह वही घोटाला है जिसमें 28 मिनट लगते थे, इसलिए उन्होंने इस घोटाले से सात मिनट मुंडवा लिए।

और हमारे पास इस पोस्ट के बारे में एक पाठक प्रश्न है।

पाठक पीटर लिखते हैं, भाग में: "क्या आपको सच में लगता है कि ये चीजें इत्तेफाक हैं? मैंने हाल ही में अपने ससुर के ब्रिटिश टेलीकॉम ब्रॉडबैंड अनुबंध को बदलने में मदद की, और जिस दिन बदलाव आगे बढ़ा, उसके पास ब्रिटिश टेलीकॉम से एक फ़िशिंग टेलीफोन कॉल आया। जाहिर है, यह किसी भी दिन हो सकता था, लेकिन इस तरह की चीजें आपको टाइमिंग के बारे में सोचने पर मजबूर कर देती हैं। पॉल..."

---

बत्तख।  हाँ, हमें हमेशा ऐसे लोग मिलते हैं जो जाते हैं, “तुम्हें पता है क्या? मुझे इनमें से एक घोटाला मिला है…”

चाहे वह फेसबुक पेज हो या इंस्टाग्राम कॉपीराइट या, इस चैप के डैड की तरह, टेलीकॉम से संबंधित… “मुझे घोटाला उसी सुबह हुआ जब मैंने कुछ ऐसा किया जो सीधे तौर पर घोटाले के बारे में था। निश्चय ही यह संयोग नहीं है?"

और मुझे लगता है कि ज्यादातर लोगों के लिए, क्योंकि वे नग्न सुरक्षा पर टिप्पणी कर रहे हैं, उन्हें पता है कि यह एक घोटाला है, इसलिए वे कह रहे हैं, "निश्चित रूप से बदमाशों को पता था?"

दूसरे शब्दों में, कुछ अंदरूनी जानकारी होनी चाहिए।

इसका दूसरा पहलू यह है कि जो लोग यह नहीं जानते कि यह एक घोटाला है, और वे नग्न सुरक्षा पर टिप्पणी नहीं करेंगे, वे कहते हैं, "ओह, ठीक है, यह संयोग नहीं हो सकता है, इसलिए यह वास्तविक होना चाहिए!"

ज्यादातर मामलों में, मेरे अनुभव में, यह पूरी तरह से संयोग के लिए है, बस मात्रा के आधार पर।

तो मुद्दा यह है कि ज्यादातर मामलों में, मुझे विश्वास है कि ये घोटाले जो आपको मिलते हैं, वे संयोग हैं, और बदमाश इस तथ्य पर भरोसा कर रहे हैं कि उन संयोगों को "निर्माण" करना आसान है जब आप इतने सारे ईमेल भेज सकते हैं लोग इतनी आसानी से।

और आप *सबको* बरगलाने की कोशिश नहीं कर रहे हैं, आप बस *किसी को* बरगलाने की कोशिश कर रहे हैं।

और डौग, अगर मैं इसे अंत में निचोड़ सकता हूं: "पासवर्ड मैनेजर का प्रयोग करें!"

क्योंकि तब आप गलती से गलत साइट में सही पासवर्ड नहीं डाल सकते हैं, और इससे आपको उन घोटालों में बहुत मदद मिलती है, चाहे वे संयोग से हों या नहीं।

---

डौग  ठीक है, हमेशा की तरह बहुत अच्छा!

टिप्पणी के लिए धन्यवाद, पीटर।

यदि आपके पास कोई दिलचस्प कहानी, टिप्पणी या प्रश्न है जिसे आप सबमिट करना चाहते हैं, तो हमें इसे पॉडकास्ट पर पढ़ना अच्छा लगेगा।

आप tips@sophos.com पर ईमेल कर सकते हैं, आप हमारे किसी भी लेख पर टिप्पणी कर सकते हैं, या आप हमें सामाजिक: @nakedsecurity पर संपर्क कर सकते हैं।

आज के लिए यही हमारा शो है; सुनने के लिए बहुत बहुत धन्यवाद।

पॉल डकलिन के लिए, मैं डौग आमोथ हूं, अगली बार तक, आपको याद दिला रहा हूं ...

---

दोनों को।  सुरक्षित रहें!

[संगीत मोडेम]