S3 Ep92: Log4Shell4Ever, dicas de viagem e fraude [Áudio + Texto]

Clique e arraste nas ondas sonoras abaixo para pular para qualquer ponto. Você também pode ouça diretamente no Soundcloud.

DOUG.  Golpes do Facebook, Log4Shell para sempre e dicas para um verão cibernético.

Tudo isso e muito mais no Naked Security Podcast.

[MODEM MUSICAL]

Bem-vindos ao podcast, pessoal.

Eu sou Doug Aamoth, e comigo, como sempre, está Paul Ducklin.

Como vai, Paulo?

---

PATO.  Estou super-duper, Douglas.

Começando a esfriar um pouco aqui na Inglaterra.

---

DOUG.  Sim.

---

PATO.  Acho que escolhi o dia errado para dar um belo passeio de bicicleta no campo.

Foi uma ideia tão boa quando parti: “Eu sei, vou fazer uma boa viagem longa e depois vou pegar o trem para casa, então estou em casa com bastante tempo para o podcast”.

E quando cheguei lá, por causa do calor extremo, os trens passavam apenas uma vez a cada duas horas, e eu tinha perdido um.

Então eu tive que fazer todo o caminho de volta… e consegui chegar a tempo.

---

DOUG.  OK, aí está… você e eu estamos no auge do verão, e temos algumas dicas para o verão chegando mais tarde no show.

Mas primeiro, eu gostaria de falar sobre Esta semana na história da tecnologia.

Esta semana, em 1968, a Intel Corporation foi formada por Gordon Moore (ele da Lei de Moore) e Robert Noyce.

Noyce é creditado como pioneiro do circuito integrado, ou microchip.

O primeiro microprocessador da Intel seria o 4004, que foi usado para calculadoras.

E, um Fato engraçado, o nome Intel é um mashup de INTegrated ELEctronics.

Então... essa empresa acabou muito bem.

---

PATO.  Sim!

Eu acho que, para ser justo, talvez você diria, “Co-pioneiro”?

---

DOUG.  Sim. Eu tinha, “Um pioneiro”.

---

PATO.  Jack Kilby, da Texas Instruments, acho que surgiu com o primeiro circuito integrado, mas ainda exigia que as partes do circuito fossem conectadas.

E Noyce resolveu o problema de como cozinhá-los todos em silício.

Na verdade, assisti a um discurso de Jack Kilburn, quando eu era um cientista da computação recém-formado.

Absolutamente fascinante – pesquisa na década de 1950 na América!

E, claro, Kilby recebeu um Prêmio Nobel, acho que no ano 2000.

Mas Robert Noyce, tenho certeza, teria sido um vencedor conjunto, mas ele já havia morrido naquela época, e você não pode receber um Prêmio Nobel postumamente.

Então, Noyce nunca ganhou um Prêmio Nobel, e Jack St. Clair Kilby sim.

---

DOUG.  Bem, isso foi há muito tempo…

…e daqui a muito tempo, ainda podemos estar falando sobre o Log4Shell…

---

PATO.  Oh, querida, sim.

---

DOUG.  Mesmo que haja uma solução para isso, os EUA saíram e disseram que pode levar décadas até que isso seja realmente corrigido.

---

PATO.  Sejamos justos… eles disseram: “Talvez uma década ou mais”.

Este é um corpo chamado Conselho de Revisão de Segurança Cibernética, o CSRB (parte do Departamento de Segurança Interna), que foi formado no início deste ano.

Eu não sei se ele foi formado especificamente por causa do Log4Shell, ou apenas porque os problemas de código-fonte da cadeia de suprimentos se tornaram um grande problema.

E quase oito meses depois que o Log4Shell foi lançado, eles produziram este relatório, de 42 páginas… o resumo executivo sozinho chega a quase 3 páginas.

E quando olhei para isso pela primeira vez, pensei: “Ah, aqui vamos nós”.

Alguns servidores públicos foram informados: “Vamos lá, onde está o seu relatório? Você é o conselho de revisão. Publique ou pereça!"

Na verdade, embora algumas partes sejam realmente pesadas, acho que você deveria dar uma lida nisso.

Eles colocaram algumas coisas sobre como, como fornecedor de software, como criador de software, como uma empresa que fornece soluções de software para outras pessoas, na verdade não é tão difícil entrar em contato com você, para que as pessoas possam informá-lo quando houver algo você negligenciou.

Por exemplo, “Ainda há uma versão do Log4J em seu código que você não notou com a melhor vontade do mundo e não corrigiu”.

Por que você não quer que alguém que está tentando ajudá-lo possa encontrá-lo e entrar em contato com você facilmente?

---

DOUG.  E eles dizem coisas como… este primeiro é uma espécie de aposta de mesa, mas é bom para qualquer um, especialmente empresas menores que não pensaram nisso: Desenvolva um inventário de ativos e aplicativos, para que você saiba o que está executando e onde.

---

PATO.  Eles não ameaçam ou reivindicam isso expressamente, porque não cabe a esses servidores públicos fazer as leis (isso cabe ao legislativo)... , ou você não pode ser incomodado, ou você não consegue descobrir como fazer isso, ou você acha que seus clientes não vão notar, eventualmente você pode descobrir que você tem pouca ou nenhuma escolha!”

Principalmente se você quiser vender produtos para o governo federal! [RISADA]

---

DOUG.  Sim, e já falamos sobre isso antes... outra coisa que algumas empresas podem não ter pensado ainda, mas é importante ter: Um programa de resposta a vulnerabilidades.

O que acontece no caso de você ter uma vulnerabilidade?

Quais são os passos que você dá?

Qual é o plano de jogo que você segue para lidar com isso?

---

PATO.  Sim, isso é o que eu estava aludindo anteriormente.

A parte simples disso é que você só precisa de uma maneira fácil de alguém descobrir para onde envia relatórios em sua organização... e então você precisa se comprometer, internamente como empresa, de que, quando receber relatórios, você realmente agirá sobre eles.

Como eu disse, imagine que você tem esse grande kit de ferramentas Java que está vendendo, um grande aplicativo com muitos componentes e em um dos sistemas de back-end, há essa grande coisa Java.

E lá, imagine que ainda há um Log4J vulnerável .JAR arquivo que você ignorou.

Por que você não quer que a pessoa que o descobriu possa lhe contar de forma rápida e fácil, mesmo com um simples e-mail?

O número de vezes que você acessa o Twitter e vê pesquisadores de segurança cibernética bem conhecidos dizendo: “Ei, alguém sabe como entrar em contato com a XYZ Corp?”

Não tivemos um caso no podcast de um cara que eventualmente… acho que ele entrou no TikTok ou algo assim [RISOS] porque ele não consegui descobrir como entrar em contato com esta empresa.

E ele fez um vídeo dizendo: “Ei pessoal, eu sei que vocês amam seus vídeos de mídia social, só estou tentando falar sobre esse bug”.

E eventualmente eles perceberam isso.

Se ao menos ele pudesse ter ido à sua empresa DOT com SLASH security DOT txt, por exemplo, e encontrado um endereço de e-mail!

“É onde nós preferimos que você entre em contato conosco. Ou nós fazemos recompensas por bugs através deste programa... veja como você se inscreve para isso. Se você quer ser pago.”

Não é tão difícil!

E isso significa que alguém que quiser avisar que você tem um bug que talvez tenha pensado ter corrigido pode lhe dizer.

---

DOUG.  Eu amo o desmonte neste artigo!

Você escreve e canaliza John F. Kennedy, dizendo [KENNEDY VOICE] “Não pergunte o que todo mundo pode fazer por você, mas pense no que você pode fazer por si mesmo, porque quaisquer melhorias que você fizer certamente beneficiarão todos os outros também. ”

Tudo bem, isso está no site se você quiser ler sobre isso… é uma leitura obrigatória se você estiver em qualquer tipo de posição em que tenha que lidar com uma dessas coisas.

É uma boa leitura... pelo menos leia o resumo de três páginas, se não o relatório de 42 páginas.

---

PATO.  Sim, é longo, mas achei surpreendentemente atencioso e fiquei muito agradavelmente surpreso.

E eu pensei que se as pessoas lessem isso, e pessoas aleatórias levassem um décimo aleatório para o coração…

…devemos coletivamente estar em um lugar melhor.

---

DOUG.  Tudo bem, seguindo em frente.

É temporada de férias de verão, e isso geralmente envolve levar seus gadgets com você.

Temos alguns dicas para curtir suas férias de verão sem, errr, “não curtir” isso.

---

PATO.  “Quantos gadgets devemos levar? [DRAMATIC] Embale todos eles!”

Infelizmente, quanto mais você toma, maior o risco, falando livremente.

---

DOUG.  Sua primeira dica aqui é que você está empacotando todos os seus gadgets... você deve fazer um backup antes de partir?

Adivinhando a resposta é: "Sim!"

---

PATO.  Acho bem óbvio.

Todo mundo sabe que você deve fazer um backup, mas eles adiam.

Então pensei que era uma chance de apresentar nossa pequena máxima, ou truísmo: “O único backup que você vai se arrepender é aquele que você não fez”.

E a outra coisa sobre ter certeza de que você fez backup de um dispositivo - seja em uma conta na nuvem da qual você sai, ou seja em uma unidade removível que você criptografa e coloca no armário em algum lugar - significa que você pode reduzir sua pegada digital no dispositivo.

Veremos por que isso pode ser uma boa ideia... só para que você não tenha toda a sua vida e história digital com você.

O ponto é que, tendo um bom backup e, em seguida, reduzindo o que você realmente tem no telefone, há menos problemas se você o perder; se for confiscado; se os funcionários da imigração quiserem dar uma olhada; o que quer que seja.

---

DOUG.  E, um pouco relacionado à movimentação, você pode perder seu laptop e/ou seu celular… então você deve criptografar esses dispositivos.

---

PATO.  Sim.

Agora, a maioria dos dispositivos é criptografada por padrão atualmente.

Isso é certamente verdade para o Android; é certamente verdade para iOS; E acho que quando você tem laptops Windows hoje em dia, o BitLocker está lá.

Eu não sou um usuário do Windows, então não tenho certeza… mas certamente, mesmo se você tiver o Windows Home Edition (que irritantemente, e espero que isso mude no futuro, irritantemente não permite que você use o BitLocker em unidades removíveis) … ele permite que você use o BitLocker em seu disco rígido.

Por que não?

Porque isso significa que, se você perdê-lo, ou ele for confiscado, ou seu laptop ou telefone for roubado, não é apenas o caso de um bandido abrir seu laptop, desconectar o disco rígido, conectá-lo a outro computador e ler tudo nele , bem desse jeito.

Por que não tomar a precaução?

E, claro, em um telefone, geralmente porque é pré-criptografado, as chaves de criptografia são pré-geradas e protegidas pelo seu código de bloqueio.

Não diga: “Bem, estarei na estrada, posso estar sob pressão, posso precisar com pressa… 1234 or 0000 durante as férias”.

Não faça isso!

O código de bloqueio em seu telefone é o que gerencia as chaves reais de criptografia e descriptografia completas para os dados no telefone.

Então escolha um código de bloqueio longo… Eu recomendo dez dígitos ou mais.

Configure-o e pratique usá-lo em casa por alguns dias, por uma semana antes de sair, até que seja uma segunda natureza.

Não basta ir, 1234 é bom o suficiente, ou "Oh, eu vou ter um código de bloqueio longo... eu vou 0000 0000, são *oito* caracteres, ninguém nunca vai pensar nisso!”

---

DOUG.  OK, e esta é realmente interessante: você tem alguns conselhos sobre pessoas cruzando fronteiras nacionais.

---

PATO.  Sim, isso se tornou um problema nos dias de hoje.

Porque muitos países – acho que os EUA e o Reino Unido entre eles, mas não são os únicos – podem dizer: “Olha, queremos dar uma olhada no seu dispositivo. Você poderia desbloqueá-lo, por favor?”

E você diz: “Não, claro que não! É privado! Você não tem o direito de fazer isso!”

Bem, talvez sim, e talvez não... você ainda não está no país.

É “Minha cozinha, minhas regras”, então eles podem dizer: “OK, tudo bem, *você* tem todo o direito de recusar… mas então *nós* vamos recusar sua admissão. Espere aqui na sala de desembarque até que possamos transferi-lo para a sala de embarque para embarcar no próximo voo para casa!”

Basicamente, não se preocupe com o que vai acontecer, como “Eu posso ser forçado a revelar dados na fronteira”.

*Procure* quais são as condições de entrada... as regras de privacidade e vigilância no país para onde você está indo.

E se você realmente não gosta deles, então não vá lá! Encontre outro lugar para ir.

Ou simplesmente entre no país, diga a verdade e reduza sua pegada digital.

Como estávamos dizendo com o backup… quanto menos coisas de “vida digital” você carrega com você, menos há para dar errado e menos provável é que você as perca.

Então, “esteja preparado” é o que estou dizendo.

---

DOUG.  OK, e esta é uma boa: Wi-Fi público, é seguro ou inseguro?

Depende, eu acho?

---

PATO.  Sim.

Há muitas pessoas dizendo: “Meu Deus, se você usa Wi-Fi público, está condenado!”

Claro, todos nós usamos Wi-Fi público há anos, na verdade.

Não conheço ninguém que realmente parou de usá-lo por medo de ser hackeado, mas sei que as pessoas dizem: “Bem, eu sei quais são os riscos. Esse roteador poderia ter sido de propriedade de qualquer pessoa. Poderia ter alguns bandidos nele; poderia ter um operador de cafeteria sem escrúpulos; ou pode ser apenas que alguém hackeou que estava aqui de férias no mês passado porque achou terrivelmente engraçado, e está vazando dados porque 'ha ha ha'. ”

Mas se você estiver usando aplicativos com criptografia de ponta a ponta e se estiver usando sites que são HTTPS para que sejam criptografados de ponta a ponta entre seu dispositivo e a outra ponta, há limites consideráveis ​​para o que até mesmo um roteador completamente hackeado pode revelar.

Porque qualquer malware implantado por um visitante anterior será implantado no *roteador*, não no *seu dispositivo*.

---

DOUG.  OK, em seguida… o que considero ser a versão da computação de banheiros públicos raramente limpos.

Devo usar PCs de quiosque em aeroportos ou hotéis?

Cibersegurança à parte… apenas o número de pessoas que colocaram as mãos naquele teclado e mouse sujos e sujos!

---

PATO.  Exatamente.

Então, este é o outro lado do “Devo usar Wi-Fi público?”

Devo usar um PC Kkiosk, digamos, no hotel ou no aeroporto?

A grande diferença entre um roteador Wi-Fi que foi hackeado e um PC de quiosque que foi hackeado é que, se o seu tráfego for criptografado por meio de um roteador comprometido, há um limite para o quanto ele pode espionar você.

Mas se o seu tráfego for originado de um computador de quiosque hackeado ou comprometido, então basicamente, do ponto de vista da segurança cibernética, *é 100% Game Over*.

Em outras palavras, esse PC de quiosque pode ter acesso irrestrito a *todos os dados que você envia e recebe na Internet* antes de serem criptografados (e depois que as coisas que você recebe de volta são descriptografadas).

Assim, a criptografia torna-se essencialmente irrelevante.

*Cada pressionamento de tecla que você digita*… você deve assumir que está sendo rastreado.

*Toda vez que algo está na tela*… você deve assumir que alguém pode tirar uma captura de tela.

*Tudo o que você imprime*… você deve assumir que há uma cópia feita em algum arquivo oculto.

Portanto, meu conselho é tratar esses PCs de quiosque como um mal necessário e usá-los apenas se for realmente necessário.

---

DOUG.  Sim, eu estava em um hotel no fim de semana passado que tinha um PC de quiosque, e a curiosidade tomou conta de mim.

Eu subi… estava rodando o Windows 10, e você podia instalar qualquer coisa nele.

Não estava bloqueado, e quem o tinha usado antes não tinha saído do Facebook!

E este é um hotel de cadeia que deveria ter conhecido melhor... mas era apenas um sistema aberto que ninguém tinha desconectado; uma potencial fossa de cibercrime esperando para acontecer.

---

PATO.  Então você pode simplesmente conectar um pendrive e ir “Instalar keylogger”?

---

DOUG.  Sim!

---

PATO.  “Instale o sniffer de rede.”

---

DOUG.  Ei!

---

PATO.  “Instalar rootkit.”

---

DOUG.  Sim!

---

PATO.  “Coloque caveiras em chamas no papel de parede.”

---

DOUG.  Não, obrigado!

Esta próxima pergunta não tem uma grande resposta…

E quanto a câmeras espiãs e quartos de hotel e Airbnbs?

Estes são difíceis de encontrar.

---

PATO.  Sim, eu coloquei isso porque é uma pergunta que nos fazem regularmente.

Escrevemos sobre três instâncias diferentes de câmeras espiãs não declaradas. (Isso é uma espécie de tautologia, não é?)

Um deles estava em um albergue de trabalho agrícola na Austrália, onde esse sujeito estava convidando pessoas com vistos de visitante que têm permissão para trabalhar na fazenda, dizendo “Eu vou te dar um lugar para ficar”.

Descobriu-se que ele era um Peeping Tom.

Um deles estava em uma casa do Airbnb na Irlanda.

Esta era uma família que viajou da Nova Zelândia, então eles não podiam simplesmente entrar no carro e ir para casa, desistir!

E o outro era um hotel de verdade na Coreia do Sul... esse era realmente assustador.

Eu não acho que era a cadeia que era dona do hotel, eram alguns funcionários corruptos ou algo assim.

Eles colocam câmeras de espionagem nos quartos, e eu não estou brincando, Doug… eles estavam realmente vendendo, basicamente, pay-per-view.

Quero dizer, quão assustador é isso?

A boa notícia, em dois desses casos, os perpetradores foram realmente presos e acusados, então acabou mal para eles, o que está certo.

O problema é que… se você ler a história do Airbnb (temos um link sobre o Naked Security), o cara que estava lá com sua família era na verdade uma pessoa de TI, um especialista em segurança cibernética.

E ele notou que um dos quartos (você deveria declarar se há câmeras em um Airbnb, aparentemente) tinha dois alarmes de fumaça.

Quando você vê dois alarmes de fumaça? Você só precisa de um.

E então ele começou a olhar para um deles, e parecia um alarme de fumaça.

O outro, bem, o buraquinho que tem o led que pisca não estava piscando.

E quando ele espiou, ele pensou: “Isso parece suspeitamente como uma lente para uma câmera!”

E era, de fato, uma câmera espiã disfarçada de alarme de fumaça.

O proprietário o havia conectado ao Wi-Fi normal, então ele conseguiu encontrá-lo fazendo uma varredura de rede... usando uma ferramenta como o Nmap, ou algo assim.

Ele encontrou este dispositivo e quando ele pingou, era bastante óbvio, a partir de sua assinatura de rede, que era na verdade uma webcam, embora uma webcam escondida em um alarme de fumaça.

Então ele teve sorte.

Escrevemos um artigo sobre o que ele encontrou, vinculando e explicando o que ele havia escrito no blog na época.

Isso foi em 2019, então isso foi há três anos, então a tecnologia provavelmente até apareceu um pouco mais desde então.

De qualquer forma, ele entrou na internet para ver: “Que chance eu realmente tenho de encontrar câmeras nos próximos lugares onde eu fico?”

E ele se deparou com uma câmera espiã – imagino que a qualidade da imagem seria bem terrível, mas ainda é uma *câmera espiã digital funcionando*…. não sem fio, você tem que conectá-lo – embutido *em um parafuso Phillips*, Doug!

---

DOUG.  Incrível.

---

PATO.  Literalmente o tipo de parafuso que você encontraria na placa de cobertura que você pega em um interruptor de luz, digamos, esse tamanho de parafuso.

Ou o parafuso que você encontra na tampa da tomada… um parafuso Phillips de tamanho regular e modesto.

---

DOUG.  Estou procurando na Amazon agora mesmo!

“Câmera de parafuso pinhole”, por US$ 20.

---

PATO.  Se não estiver conectado à mesma rede ou se estiver conectado a um dispositivo que apenas grava em um cartão SD, será muito difícil encontrá-lo!

Então, infelizmente, a resposta a esta pergunta... a razão pela qual eu não escrevi a pergunta seis como: "Como encontro câmeras espiãs nos quartos em que fiquei?"

A resposta é que você pode tentar, mas, infelizmente, é toda aquela coisa de “ausência de evidência não é evidência de ausência”.

Infelizmente, não temos conselhos que digam: “Há um pequeno aparelho que você pode comprar que é do tamanho de um telefone celular. Você aperta um botão e ele apita se houver uma câmera espiã na sala.”

---

DOUG.  OK. Nossa dica final para aqueles que não conseguem se conter: “Vou de férias, mas e se eu quiser levar meu laptop de trabalho?”

---

PATO.  Eu não posso responder isso.

Você não pode responder isso.

Não é o seu laptop, é o laptop do trabalho.

Então, a resposta simples é: “Pergunte!”

E se eles disserem: “Onde você vai?”, e você der o nome do país e eles disserem: “Não”…

…então é isso, você não pode levar isso junto.

Talvez apenas diga: “Ótimo, posso deixar aqui? Você pode trancá-lo no armário de TI até eu voltar?

Se você perguntar à TI: “Estou indo para o País X. Se eu estivesse levando meu laptop de trabalho, você teria alguma recomendação especial?”…

… ouça-os!

Porque se o trabalho acha que há coisas que você deve saber sobre privacidade e vigilância no lugar para onde você está indo, essas coisas provavelmente se aplicam à sua vida doméstica.

---

DOUG.  Tudo bem, esse é um ótimo artigo... vá ler o resto.

---

PATO.  Estou tão orgulhoso dos dois jingles que terminei!

---

DOUG.  Ai sim!

Nós ouvimos, “Na dúvida, não divulgue.”

Mas este é um novo que você criou, que eu realmente gosto….

---

PATO.  “Se sua vida está no seu telefone/Por que não deixá-lo em casa?”

---

DOUG.  Sim, lá vai!

Tudo bem, no interesse do tempo, temos mais um artigo no site peço que leia. Isso se chama: Facebook Os golpistas 2FA retornam, desta vez em apenas 21 minutos.

Este é o mesmo golpe que costumava levar 28 minutos, então eles reduziram sete minutos desse golpe.

E temos uma pergunta de leitor sobre este post.

O leitor Peter escreve, em parte: “Você realmente acha que essas coisas são coincidência? Eu ajudei a mudar o contrato de banda larga da British Telecom do meu sogro recentemente, e no dia em que a mudança aconteceu, ele recebeu um telefonema de phishing da British Telecom. Obviamente, poderia ter acontecido em qualquer dia, mas coisas assim fazem você se perguntar sobre o tempo. Paulo…"

---

PATO.  Sim, sempre recebemos pessoas que dizem: “Quer saber? Eu peguei um desses golpes…”

Seja sobre uma página do Facebook ou direitos autorais do Instagram ou, como o pai desse cara, relacionado a telecomunicações… “Eu recebi o golpe na manhã seguinte que fiz algo diretamente relacionado ao que era o golpe. Certamente não é uma coincidência?”

E eu acho que para a maioria das pessoas, porque eles estão comentando sobre a Naked Security, eles percebem que é uma farsa, então eles estão dizendo: “Certamente os bandidos sabiam?”

Em outras palavras, deve haver alguma informação privilegiada.

O outro lado disso são as pessoas que *não* percebem que é uma farsa e não comentam sobre a Naked Security, elas dizem: “Oh, bem, não pode ser uma coincidência, portanto deve ser genuíno!”

Na maioria dos casos, na minha experiência, é absolutamente coincidência, simplesmente com base no volume.

A questão é que, na maioria dos casos, estou convencido de que esses golpes que você recebe são coincidências, e os bandidos estão confiando no fato de que é fácil “fabricar” essas coincidências quando você pode enviar tantos e-mails para tantos pessoas tão facilmente.

E você não está tentando enganar *todo mundo*, você está apenas tentando enganar *alguém*.

E Doug, se eu puder colocar no final: “Use um gerenciador de senhas!”

Porque então você não pode colocar a senha certa no site errado por engano, e isso ajuda muito com esses golpes, sejam eles coincidência ou não.

---

DOUG.  Tudo bem, muito bom como sempre!

Obrigado pelo comentário, Pedro.

Se você tiver uma história, comentário ou pergunta interessante que gostaria de enviar, adoraríamos lê-la no podcast.

Você pode enviar um e-mail para tips@sophos.com, comentar em qualquer um de nossos artigos ou entrar em contato conosco nas redes sociais: @nakedsecurity.

Esse é o nosso show de hoje; muito obrigado por ouvir.

Para Paul Ducklin, sou Doug Aamoth, lembrando a vocês, até a próxima, para…

---

AMBAS.  Fique seguro!

[MODEM MUSICAL]