![S3 Ep92: Log4Shell4Ever, טיפים לטיולים והונאה [אודיו + טקסט] PlatoBlockchain Data Intelligence. חיפוש אנכי. איי.](https://platoblockchain.com/wp-content/uploads/2022/07/ns-s3-ep92-1200.jpg "S3 Ep92: Log4Shell4Ever, טיפים לטיולים והונאה [אודיו + טקסט]")
תקשיב עכשיו
לחץ וגרור על גלי הקול למטה כדי לדלג לכל נקודה. אתה יכול גם להקשיב ישירות בסאונדקלאוד.
עם דאג אמות ופול דאקלין.
מוזיקת אינטרו ואאוטרו מאת אדית מדג'.
אתה יכול להאזין לנו ב Soundcloud, Apple Podcasts, Google Podcasts, Spotify, Stitcher ובכל מקום שבו נמצאים פודקאסטים טובים. או פשוט זרוק את כתובת האתר של הזנת ה-RSS שלנו לתוך הפודקטצ'ר האהוב עליך.
קרא את התמליל
DOUG. הונאות בפייסבוק, Log4Shell לנצח וטיפים לקיץ בטוח ברשת.
כל זה, ועוד, בפודקאסט הביטחון העירום.
[מודם מוזיקלי]
ברוכים הבאים לפודקאסט, כולם.
אני דאג אמות, ואיתי, כמו תמיד, פול דאקלין.
מה שלומך, פול?
ברווז. אני סופר-דופר, דאגלס.
מתחיל להתקרר קצת כאן באנגליה.
DOUG. כן.
ברווז. אני חושב שבחרתי ביום הלא נכון לצאת לרכיבת אופניים כפרית גדולה.
זה היה רעיון כל כך טוב כשיצאתי לדרך: "אני יודע, אני אעשה נסיעה ארוכה ונחמדה, ואז אני פשוט אגיע הביתה ברכבת, אז אני בבית בהרבה זמן לפודקאסט."
וכשהגעתי לשם, בגלל החום הקיצוני, הרכבות נסעו רק פעם בשעתיים, ופשוט פספסתי אחת.
אז נאלצתי לרכוב את כל הדרך חזרה... ואכן הספקתי להגיע בזמן.
DOUG. בסדר, הנה... אתה ואני נמצאים בתנופת הקיץ במלואה, ויש לנו כמה טיפים לקראת הקיץ שיגיעו בהמשך התוכנית.
אבל קודם כל, אני רוצה לדבר על השבוע בהיסטוריה הטכנולוגית.
השבוע, ב-1968, הוקמה תאגיד אינטל על ידי גורדון מור (הוא מחוק מור), ורוברט נויס.
נויס נחשבת כחלוצת המעגל המשולב, או המיקרו-שבב.
המיקרו-מעבד הראשון של אינטל יהיה ה-4004, ששימש עבור מחשבונים.
וכן, א עובדה משעשעת, השם אינטל הוא שילוב של INTegrated ELlectronics.
אז... החברה הזו יצאה די טובה.
ברווז. כן!
אני מניח, למען ההגינות, אולי תגיד, "חלוץ משותף"?
DOUG. כן. היה לי "חלוץ".
ברווז. ג'ק קילבי, מטקסס אינסטרומנטס, אני חושב שהגה את המעגל המשולב הראשון, אבל עדיין נדרשו חלקים במעגל להיות מחוברים יחד.
ונויס פתרה את הבעיה של איך לאפות את כולם בסיליקון.
למעשה השתתפתי בנאום של ג'ק קילבורן, כשהייתי מדען מחשבים טרי.
בהחלט מרתק - מחקר בשנות החמישים באמריקה!
וכמובן, קילבי קיבל פרס נובל, לדעתי בשנת 2000.
אבל רוברט נויס, אני בטוח, היה זוכה משותף, אבל הוא כבר מת עד אז, ואי אפשר לקבל פרס נובל לאחר מותו.
אז, נויס מעולם לא קיבלה פרס נובל, וג'ק סנט קלייר קילבי קיבל.
DOUG. ובכן, זה היה מזמן…
...ועוד הרבה זמן מהיום, אולי אנחנו עדיין מדברים על Log4Shell...
ברווז. הו, יקירי, כן.
DOUG. למרות שאם יש תיקון לזה, ארה"ב יצאה ואמרה שיכולים לחלוף עשרות שנים עד שהדבר הזה יהיה למעשה תוקן.
ברווז. בואו נהיה הוגנים... הם אמרו, "אולי עשור או יותר."
זהו גוף שנקרא ה מועצת ביקורת אבטחת סייבר, CSRB (חלק מהמחלקה לביטחון פנים), שהוקם מוקדם יותר השנה.
אני לא יודע אם זה נוצר במיוחד בגלל Log4Shell, או רק בגלל שבעיות קוד מקור של שרשרת האספקה הופכות לעניין גדול.
וכמעט שמונה חודשים אחרי ש-Log4Shell היה שם דבר, הם הפיקו את הדוח הזה, של 42 עמודים... התקציר המנהל לבדו מגיע לכמעט 3 עמודים.
וכשהסתכלתי על זה לראשונה, חשבתי, "אה, הנה אנחנו הולכים."
לכמה עובדי ציבור נאמר, "נו באמת, איפה הדו"ח שלך? אתה מועצת הביקורת. פרסם או נכחד!"
למעשה, למרות שחלקים ממנו אכן כבדים, אני חושב שכדאי לך לקרוא את זה.
הם הכניסו כמה דברים על איך, בתור ספק תוכנה, כיוצרת תוכנה, כחברה שמספקת פתרונות תוכנה לאנשים אחרים, זה בעצם לא כל כך קשה ליצור קשר עם עצמך, כך שאנשים יכולים להודיע לך כשיש משהו התעלמתם.
לדוגמה, "עדיין יש גרסה של Log4J בקוד שלך שלא שמת לב אליה עם הרצון הטוב בעולם, ולא תיקנת."
למה שלא תרצה שמישהו שמנסה לעזור לך יוכל למצוא אותך וליצור איתך קשר בקלות?
DOUG. והם אומרים דברים כמו... הראשון הוא סוג של הימור על שולחן, אבל זה טוב לכל אחד, במיוחד לעסקים קטנים יותר שלא חשבו על זה: פתח מלאי נכסים ויישומים, כדי שתדע מה יש לך לאן.
ברווז. הם לא מאיימים או טוענים את זה במפורש, כי עובדי הציבור האלה לא צריכים לחוקק את החוקים (זה תלוי בבית המחוקקים)... אבל אני חושב שמה שהם אומרים זה, "תפתח את היכולת הזו, כי אם לא , או שלא יכולת להטריד אותך, או שאתה לא יכול להבין איך לעשות את זה, או שאתה חושב שהלקוחות שלך לא ישימו לב, בסופו של דבר אתה עלול לגלות שיש לך מעט או אין לך ברירה!"
במיוחד אם אתה רוצה למכור מוצרים לממשלה הפדרלית! [צחוק]
DOUG. כן, ודיברנו על זה בעבר... עוד דבר שחלק מהחברות אולי לא חשבו עליו עדיין, אבל חשוב שתהיה לו: תוכנית תגובה לפגיעות.
מה קורה במקרה שיש לך פגיעות?
מהם הצעדים שאתה נוקט?
מהי תוכנית המשחק שאתה עוקב אחריהם כדי לטפל בהם?
ברווז. כן, זה מה שרמזתי עליו קודם.
החלק הפשוט של זה הוא שאתה רק צריך דרך קלה עבור מישהו לגלות לאן הוא שולח דוחות בארגון שלך... ואז אתה צריך להתחייב, פנימית כחברה, שכאשר אתה מקבל דוחות, אתה למעשה תפעל עליהם.
כמו שאמרתי, רק דמיין שיש לך את ערכת הכלים הגדולה הזו של Java שאתה מוכר, אפליקציה גדולה עם הרבה רכיבים, ובאחת ממערכות הקצה האחוריות, יש את העניין הגדול הזה של Java.
ושם, דמיינו שעדיין יש Log4J פגיע .JAR קובץ שהתעלמת ממנו.
למה שלא תרצה שהאדם שגילה את זה יוכל לספר לך במהירות ובקלות, אפילו באימייל פשוט?
מספר הפעמים שאתה נכנס לטוויטר ואתה רואה חוקרי אבטחת סייבר ידועים אומרים, "היי, מישהו יודע איך ליצור קשר עם XYZ Corp?"
האם לא היה לנו מקרה בפודקאסט של בחור שבסופו של דבר... אני חושב שהוא הלך על TikTok או משהו כזה [צחוק] כי הוא לא הצליח לגלות כיצד ליצור קשר עם חברה זו.
והוא עשה סרטון שאומר, "היי חברים, אני יודע שאתם אוהבים את סרטוני המדיה החברתית שלכם, אני רק מנסה לספר לכם על הבאג הזה."
ובסופו של דבר הם שמו לב לזה.
לו רק היה יכול ללכת לחברה שלך DOT com SLASH security DOT txt, למשל, ולמצוא כתובת אימייל!
"שם אנחנו מעדיפים שתיצור איתנו קשר. לחלופין, אנו עושים פרסומים על באגים באמצעות התוכנית הזו... כך תירשמו אליה. אם אתה רוצה שישלמו לך."
זה לא כל כך קשה!
וזה אומר שמישהו שרוצה לתת לך את הראש שיש לך באג שאולי חשבת שתיקנת יכול להגיד לך.
DOUG. אני אוהב את הירידה במאמר הזה!
אתה כותב ואתה מתעל את ג'ון פ. קנדי, ואומר [KENNEDY VOICE] "אל תשאל מה כולם יכולים לעשות בשבילך, אבל תחשוב על מה אתה יכול לעשות למען עצמך, כי כל שיפורים שאתה עושה יועיל כמעט בוודאות גם לכולם. ”
בסדר, זה מופיע באתר אם אתה רוצה לקרוא על זה... זה חובה לקרוא אם אתה נמצא במצב כלשהו שאתה צריך להתמודד עם אחד מהדברים האלה.
זה קריאה טובה... לפחות קרא את הסיכום בן שלושת העמודים, אם לא את הדוח בן 42 העמודים.
ברווז. כן, זה ארוך, אבל מצאתי את זה מהורהר באופן מפתיע, והופתעתי לטובה.
וחשבתי שאם אנשים קוראים את זה, ואנשים אקראיים לוקחים עשירית אקראית מזה ללב...
...אנחנו צריכים להיות ביחד במקום טוב יותר.
DOUG. בסדר, ממשיכים הלאה.
זו עונת חופשת הקיץ, ולעתים קרובות זה כרוך בלקחת את הגאדג'טים שלך איתך.
יש לנו כמה טיפים להנאה חופשת הקיץ שלך בלי, טועה, "לא נהנית" ממנה.
ברווז. "כמה גאדג'טים עלינו לקחת? [דרמטי] ארוז את כולם!"
למרבה הצער, ככל שאתה לוקח יותר, כך גדל הסיכון שלך, באופן רופף.
DOUG. הטיפ הראשון שלך כאן הוא שאתה אורז את כל הגאדג'טים שלך... האם עליך לבצע גיבוי לפני שאתה יוצא לדרך?
מנחש שהתשובה היא "כן!"
ברווז. אני חושב שזה די ברור.
כולם יודעים שאתה צריך לעשות גיבוי, אבל הם דחו אותו.
אז חשבתי שזאת הזדמנות להגביר את הבסיס הקטן שלנו, או המציאות: "הגיבוי היחיד שאי פעם תצטער עליו הוא זה שלא עשית."
והדבר הנוסף של לוודא שגיבית מכשיר - בין אם זה לחשבון ענן שאתה מתנתק ממנו, ובין אם זה לכונן נשלף שאתה מצפין ומכניס לארון איפשהו - זה אומר שאתה יכול להסיר את טביעת הרגל הדיגיטלית שלך במכשיר.
נגיע למה זה עשוי להיות רעיון טוב... רק כדי שלא יהיו לך את כל החיים וההיסטוריה הדיגיטלית שלך איתך.
הנקודה היא שעל ידי גיבוי טוב, ולאחר מכן דילול מה יש לך בפועל בטלפון, יש פחות מה להשתבש אם אתה מאבד את זה; אם יוחרם; אם פקידי ההגירה רוצים להסתכל על זה; מה שזה לא יהיה.
DOUG. וגם, קצת קשור לנוע, אתה עלול לאבד את המחשב הנייד שלך או את הטלפון הנייד שלך ... אז אתה צריך להצפין את המכשירים האלה.
ברווז. כן.
כעת, רוב המכשירים מוצפנים כברירת מחדל בימינו.
זה בהחלט נכון עבור אנדרואיד; זה בהחלט נכון עבור iOS; ואני חושב שכאשר אתה מקבל מחשבים ניידים של Windows בימים אלה, BitLocker נמצא שם.
אני לא משתמש של Windows, אז אני לא בטוח... אבל בהחלט, גם אם יש לך Windows Home Edition (שבאופן מעצבן, ואני מקווה שזה ישתנה בעתיד, באופן מעצבן לא מאפשרת לך להשתמש ב-BitLocker בכוננים נשלפים) ... זה כן מאפשר לך להשתמש ב-BitLocker בדיסק הקשיח שלך.
למה לא?
כי זה אומר שאם אתה מאבד את זה, או שהוא יוחרם, או שהמחשב הנייד או הטלפון שלך נגנב, זה לא סתם מקרה שבו נוכל פותח את המחשב הנייד שלך, מנתק את הדיסק הקשיח, מחבר אותו למחשב אחר וקורא ממנו הכל. , בדיוק כך.
למה לא לנקוט באמצעי הזהירות?
וכמובן, בטלפון, בדרך כלל בגלל שהוא מוצפן מראש, מפתחות ההצפנה נוצרים מראש ומוגנים על ידי קוד הנעילה שלך.
אל תלך, "טוב, אני אהיה בדרכים, אולי אני בלחץ, אולי אזדקק לזה במהירות... אני פשוט אשתמש 1234 or 0000 למשך החופשה".
אל תעשו את זה!
קוד הנעילה בטלפון שלך הוא זה שמנהל את מפתחות ההצפנה והפענוח המלאים בפועל עבור הנתונים בטלפון.
אז בחר קוד נעילה ארוך... אני ממליץ על עשר ספרות או יותר.
הגדר אותו, ותרגל את השימוש בו בבית במשך כמה ימים, במשך שבוע לפני שאתה עוזב, עד שזה טבע שני.
אל תלך סתם, 1234 זה מספיק טוב, או "אה, יהיה לי קוד נעילה ארוך... אני אלך 0000 0000, זה *שמונה* דמויות, אף אחד לא יחשוב על זה לעולם!"
DOUG. בסדר, וזה באמת מעניין: יש לך כמה עצות לגבי אנשים שחוצים גבולות לאומיים.
ברווז. כן, זה הפך לבעיה בימינו.
מכיוון שמדינות רבות - אני חושב שארה"ב ובריטניה ביניהן, אבל הן בשום פנים ואופן לא היחידות - יכולות לומר, "תראה, אנחנו רוצים להסתכל על המכשיר שלך. האם תוכל לפתוח אותו, בבקשה?"
ואתה הולך, "לא, ברור שלא! זה פרטי! אין לך זכות לעשות את זה!"
ובכן, אולי הם כן, ואולי הם לא... אתה עדיין לא בארץ.
זה "המטבח שלי, הכללים שלי", אז הם עשויים לומר, "בסדר, בסדר, *יש לך* את כל הזכות לסרב... אבל אז *אנחנו* נסרב להתקבל. חכו כאן בטרקלין הנכנסים עד שנוכל להעביר אתכם לטרקלין ההמראה כדי לעלות לטיסה הבאה הביתה!"
בעיקרון, אל תדאגו למה שהולך לקרות, כמו "אולי אאלץ לחשוף נתונים בגבול."
*חפש* מה הם תנאי הכניסה... כללי הפרטיות והמעקב במדינה אליה אתה הולך.
ואם אתה באמת לא אוהב אותם, אז אל תלך לשם! מצא מקום אחר ללכת אליו.
או פשוט היכנסו לארץ, ספרו את האמת והקטינו את טביעת הרגל הדיגיטלית שלכם.
כמו שאמרנו עם הגיבוי... ככל שאתה נושא איתך פחות דברים "חיים דיגיטליים", כך יש פחות מה להשתבש, והסיכוי שתאבד אותם קטן יותר.
אז, "תהיה מוכן" זה מה שאני אומר.
DOUG. בסדר, וזה טוב: Wi-Fi ציבורי, האם זה בטוח או לא בטוח?
זה תלוי, אני מניח?
ברווז. כן.
יש הרבה אנשים שאומרים, "גולי, אם אתה משתמש ב-Wi-Fi ציבורי, אתה נדון!"
כמובן, כולנו משתמשים ב-Wi-Fi ציבורי כבר שנים, למעשה.
אני לא מכיר אף אחד שבאמת הפסיק להשתמש בו מחשש שיפרוץ, אבל אני יודע שאנשים אומרים, "ובכן, אני יודע מה הסיכונים. הנתב הזה יכול היה להיות בבעלות כל אחד. יכול להיות שיש עליו כמה נוכלים; יכול להיות לו מפעיל בית קפה חסר מצפון; או שיכול להיות שמישהו פרץ לזה שהיה כאן בחופשה בחודש שעבר כי הוא חשב שזה נורא מצחיק, וזה מדליף נתונים בגלל 'הא חה חה'".
אבל אם אתה משתמש באפליקציות שיש להן הצפנה מקצה לקצה, ואם אתה משתמש באתרים שהם HTTPS כך שהם מוצפנים מקצה לקצה בין המכשיר שלך לקצה השני, אז יש מגבלות ניכרות על מה שאפילו נתב פרוץ לחלוטין יכול לחשוף.
מכיוון שכל תוכנה זדונית שהושתלה על ידי מבקר קודם תושתל ב*נתב*, לא ב*מכשיר שלך*.
DOUG. בסדר, הבא... מה שאני מחשיב כגרסת המחשוב של שירותים ציבוריים שמנקים לעתים רחוקות.
האם עלי להשתמש במחשבי קיוסק בשדות תעופה או בבתי מלון?
מלבד אבטחת סייבר... רק מספר האנשים שידו על המקלדת והעכבר המלוכלכים והמלוכלכים!
ברווז. בדיוק.
אז זה הצד השני של "האם עלי להשתמש ב-Wi-Fi ציבורי?"
האם עלי להשתמש במחשב Kkiosk, למשל, במלון או בשדה תעופה?
ההבדל הגדול בין נתב Wi-Fi שנפרץ למחשב קיוסק שנפרץ הוא שאם התעבורה שלך עוברת מוצפנת דרך נתב שנפגע, יש גבול לכמה היא יכולה לרגל אחריך.
אבל אם התעבורה שלך מקורה ממחשב קיוסק פרוץ או שנפגע, אז בעצם, מנקודת מבט של אבטחת סייבר, *זה 100% Game Over*.
במילים אחרות, למחשב הקיוסק הזה יכול להיות גישה בלתי מוגבלת *לכל הנתונים שאתה שולח ומקבל באינטרנט* לפני שהוא מוצפן (ואחרי שהדברים שאתה חוזר יפוענחו).
אז ההצפנה הופכת ללא רלוונטית במהותה.
*כל הקשה שתקליד*... אתה צריך להניח שעוקבים אחריה.
*בכל פעם שמשהו מופיע על המסך*... אתה צריך להניח שמישהו יכול לצלם צילום מסך.
*כל מה שאתה מדפיס*... אתה צריך להניח שיש עותק בקובץ נסתר כלשהו.
אז העצה שלי היא להתייחס למחשבי הקיוסק האלה כאל רוע הכרחי ולהשתמש בהם רק אם אתה באמת צריך.
DOUG. כן, הייתי במלון בסוף השבוע שעבר שהיה בו מחשב קיוסק, והסקרנות גברה עליי.
ניגשתי... הוא הפעיל את Windows 10, ואתה יכול להתקין עליו כל דבר.
הוא לא היה נעול, ומי שהשתמש בו קודם לא התנתק מפייסבוק!
וזהו מלון רשת שהיה צריך לדעת טוב יותר... אבל זו הייתה רק מערכת פתוחה לרווחה שאיש לא התנתק ממנה; בור שופכין פוטנציאלי של פשעי סייבר שמחכה להתרחש.
ברווז. אז אתה יכול פשוט לחבר מקל USB ואז ללכת, "התקן keylogger"?
DOUG. כן!
ברווז. "התקן רשת סניפר."
DOUG. אה הא!
ברווז. "התקן rootkit."
DOUG. כן!
ברווז. "שים גולגולות בוערות על טפט."
DOUG. לא תודה!
לשאלה הבאה אין תשובה מצוינת...
מה לגבי מצלמות ריגול וחדרי מלון ו-Airbnbs?
קשה למצוא את אלה.
ברווז. כן, הכנסתי את זה כי זו שאלה ששואלים אותנו באופן קבוע.
כתבנו על שלושה מקרים שונים של מצלמות ריגול לא מוכרזות. (זה סוג של טאוטולוגיה, לא?)
אחד מהם היה באכסניה לעבודה חקלאית באוסטרליה, שם החבר הזה הזמין אנשים באשרות ביקור שמותר להם לעבוד בחווה, ואמר "אני אתן לך מקום לינה".
התברר שהוא היה פיפינג טום.
אחד מהם היה בבית Airbnb באירלנד.
זו הייתה משפחה שנסעה כל הדרך מניו זילנד, אז הם לא יכלו פשוט להיכנס למכונית וללכת הביתה, לוותר!
והשני היה מלון אמיתי בדרום קוריאה... זה היה מלון ממש מפחיד.
אני לא חושב שהרשת הייתה בעלת המלון, זה היה כמה עובדים מושחתים או משהו.
הם שמו מצלמות ריגול בחדרים, ואני מתעלב עליך, דאג... הם בעצם מכרו, בעצם, תשלום לפי צפייה.
כלומר, כמה זה מפחיד?
החדשות הטובות, בשניים מאותם מקרים, העבריינים למעשה נעצרו והואשמו, אז זה נגמר להם רע, וזה די נכון.
הבעיה היא שאם אתה קורא את הסיפור של Airbnb (יש לנו קישור על Naked Security) הבחור ששהה שם עם משפחתו היה למעשה איש IT, מומחה לאבטחת סייבר.
והוא שם לב שבאחד החדרים (אתם אמורים להצהיר אם יש מצלמות ב-Airbnb, כנראה) היו שתי אזעקות עשן.
מתי אתה רואה שתי אזעקות עשן? אתה צריך רק אחד.
אז הוא התחיל להסתכל על אחד מהם, וזה נראה כמו אזעקת עשן.
השני, ובכן, החור הקטן שיש בו את הנורית המהבהבת לא מהבהב.
וכשהציץ דרכו, חשב, "זה נראה באופן חשוד כמו עדשה למצלמה!"
וזו הייתה, למעשה, מצלמת ריגול מחופשת לאזעקת עשן.
הבעלים חיבר אותו ל-Wi-Fi הרגיל, אז הוא הצליח למצוא אותו על ידי ביצוע סריקת רשת... באמצעות כלי כמו Nmap, או משהו כזה.
הוא מצא את המכשיר הזה וכשהוא פינג לו, זה היה די ברור, מחתימת הרשת שלו, שזו בעצם מצלמת אינטרנט, אם כי מצלמת אינטרנט מוסתרת במזעקת עשן.
אז התמזל מזלו.
כתבנו מאמר על מה שהוא מצא, קישור והסבר על מה הוא כתב בבלוג בזמנו.
זה היה עוד ב-2019, אז זה לפני שלוש שנים, אז כנראה שהטכנולוגיה הגיעה עוד קצת מאז.
בכל מקרה, הוא התחבר לאינטרנט כדי לראות, "איזה סיכוי יש לי בעצם למצוא מצלמות במקומות הבאים שבהם אשאר?"
והוא נתקל במצלמת ריגול - אני מתאר לעצמי שאיכות התמונה תהיה די נוראית, אבל זו עדיין *מצלמת ריגול דיגיטלית עובדת*... לא אלחוטי, אתה צריך לחבר אותו - מוטבע *בבורג ראש פיליפס*, דאג!
DOUG. מדהים.
ברווז. פשוטו כמשמעו סוג הבורג שתמצא בלוחית הכיסוי שאתה מקבל על מתג אור, נניח, בגודל כזה של בורג.
או הבורג שאתה מקבל על לוחית כיסוי לשקע החשמל... בורג ראש פיליפס בגודל רגיל וצנוע.
DOUG. אני מחפש אותם באמזון עכשיו!
"מצלמת בורג חריר", ב-$20.
ברווז. אם זה לא מחובר בחזרה לאותה רשת, או אם זה מחובר למכשיר שרק מקליט לכרטיס SD, יהיה קשה מאוד למצוא אותו!
אז, למרבה הצער, התשובה לשאלה הזו... הסיבה שבגללה לא כתבתי את שאלה שש בתור, "איך אני מוצא מצלמות ריגול בחדרים בהם שהיתי?"
התשובה היא שאתה יכול לנסות, אבל למרבה הצער, זה כל העניין הזה של "העדר ראיות אינו עדות להעדר".
למרבה הצער, אין לנו עצה שאומרת, "יש גיזמו קטן שאתה יכול לקנות בגודל של טלפון נייד. אתה לוחץ על כפתור וזה מצפצף אם יש מצלמת ריגול בחדר."
DOUG. בסדר. הטיפ האחרון שלנו לאלו מכם שם בחוץ שלא יכולים להתאפק: "אני יוצא לחופשה, אבל מה אם אני רוצה לקחת את המחשב הנייד שלי לעבודה?"
ברווז. אני לא יכול לענות על זה.
אתה לא יכול לענות על זה.
זה לא המחשב הנייד שלך, זה המחשב הנייד של העבודה.
אז התשובה הפשוטה היא "שאל!"
ואם יאמרו "לאן אתה הולך?", ואתה נותן את שם המדינה והם אומרים "לא"...
...אז זהו, אתה לא יכול לקחת את זה יחד.
אולי פשוט תגיד, "נהדר, אני יכול להשאיר את זה כאן? אתה יכול לנעול את זה בארון ה-IT עד שאחזור?"
אם אתה הולך לשאול את IT, "אני הולך למדינה X. אם הייתי לוקח את המחשב הנייד שלי לעבודה, האם יש לך המלצות מיוחדות?"...
...הקשיבו להם!
כי אם העבודה חושבת שיש דברים שאתה צריך לדעת על פרטיות ומעקב במקום שאליו אתה הולך, הדברים האלה כנראה חלים על חיי הבית שלך.
DOUG. בסדר, זה מאמר נהדר... לכו לקרוא את השאר.
ברווז. אני כל כך גאה בשני הג'ינגלים שסיימתי איתם!
DOUG. אה, כן!
שמענו, "אם יש ספק, אל תמסור את זה."
אבל זה אחד חדש שהמצאת, שאני מאוד אוהב...
ברווז. "אם החיים שלך על הטלפון שלך / למה לא להשאיר אותם בבית?"
DOUG. כן, הנה לך!
בסדר, לטובת הזמן, יש לנו עוד מאמר באתר, אני מבקש מכם לקרוא. זה נקרא: פייסבוק רמאים 2FA חוזרים, הפעם תוך 21 דקות בלבד.
זו אותה הונאה שנמשכה בעבר 28 דקות, אז הם גילחו שבע דקות מההונאה הזו.
ויש לנו שאלת קורא לגבי הפוסט הזה.
הקורא פיטר כותב, בין השאר: "אתה באמת חושב שהדברים האלה הם מקריים? עזרתי לשנות את חוזה הפס הרחב של חמי ב-British Telecom לאחרונה, וביום שהשינוי יצא לפועל, הייתה לו שיחת טלפון פישינג מ-British Telecom. ברור שזה יכול היה לקרות בכל יום, אבל דברים כאלה כן גורמים לך לתהות לגבי התזמון. פול…”
ברווז. כן, אנחנו תמיד מקבלים אנשים שאומרים, "אתה יודע מה? יש לי אחת מההונאות האלה..."
בין אם מדובר בעמוד פייסבוק או בזכויות יוצרים באינסטגרם או, כמו אבא של החבר הזה, בקשר לטלקום... "קיבלתי את ההונאה ממש בבוקר אחרי שעשיתי משהו שקשור ישירות למה שההונאה הייתה. בטוח שזה לא צירוף מקרים?"
ואני חושב שעבור רוב האנשים, בגלל שהם מעירים על Naked Security, הם מבינים שזו הונאה, אז הם אומרים, "בוודאי הנוכלים ידעו?"
במילים אחרות, חייב להיות מידע פנים.
הצד השני של זה הוא אנשים ש*לא* מבינים שזו הונאה, ולא מגיבים על Naked Security, הם אומרים, "אה, טוב, זה לא יכול להיות צירוף מקרים, לכן זה חייב להיות אמיתי!"
ברוב המקרים, מניסיוני, זה בהחלט תלוי בצירוף מקרים, פשוט על בסיס נפח.
אז הנקודה היא שברוב המקרים, אני משוכנע שההונאות האלה שאתה מקבל, הן צירופי מקרים, והנוכלים מסתמכים על העובדה שקל "לייצר" את צירופי המקרים האלה כשאתה יכול לשלוח כל כך הרבה מיילים לכל כך הרבה אנשים כל כך בקלות.
ואתה לא מנסה להערים על *כולם*, אתה רק מנסה להערים על *מישהו*.
ודאג, אם אני יכול לסחוט את זה בסוף: "השתמש במנהל סיסמאות!"
כי אז אתה לא יכול להכניס את הסיסמה הנכונה לאתר הלא נכון בטעות, וזה עוזר לך מאוד עם ההונאות האלה, בין אם הן מקריות או לא.
DOUG. בסדר, טוב מאוד כמו תמיד!
תודה על ההערה, פיטר.
אם יש לכם סיפור מעניין, תגובה או שאלה שתרצו לשלוח, נשמח לקרוא אותם בפודקאסט.
אתה יכול לשלוח דוא"ל ל-tips@sophos.com, אתה יכול להגיב על כל אחד מהמאמרים שלנו, או שאתה יכול לפנות אלינו בחברתית: @nakedsecurity.
זו ההופעה שלנו להיום; תודה רבה על ההקשבה.
עבור פול דאקלין, אני דאג אמות', ומזכיר לך, עד הפעם הבאה...
שניהם. הישאר בטוח!
[מודם מוזיקלי]
![S3 Ep116: הקש האחרון עבור LastPass? האם הקריפטו נידון? [אודיו + טקסט]](https://platoblockchain.com/wp-content/uploads/2023/01/s3-ep116-last-straw-for-lastpass-is-crypto-doomed-audio-text-360x220.jpg "S3 Ep116: הקש האחרון עבור LastPass? האם הקריפטו נידון? [אודיו + טקסט]")
