S3 Ep92: Log4Shell4Ever, resetips och bluff [Ljud + text]

Klicka och dra på ljudvågorna nedan för att hoppa till valfri punkt. Du kan också lyssna direkt på Soundcloud.

DOUG.  Facebook-bedrägerier, Log4Shell för alltid och tips för en cybersäker sommar.

Allt det, och mer, på Naked Security Podcast.

[MUSIKALT MODEM]

Välkommen till podden, alla.

Jag är Doug Aamoth, och med mig, som alltid, är Paul Ducklin.

Hur gör du, Paul?

---

ANKA.  Jag är superduper, Douglas.

Börjar svalna lite här i England.

---

DOUG.  Ja.

---

ANKA.  Jag tror att jag valde fel dag för att åka på en trevlig stor cykeltur på landet.

Det var en så bra idé när jag gav mig ut: "Jag vet, jag ska göra en trevlig lång åktur, och sedan tar jag tåget hem, så jag är hemma i gott om tid för podden."

Och när jag kom dit, på grund av den extrema värmen, gick tågen bara en gång varannan timme, och jag hade precis missat ett.

Så jag var tvungen att åka hela vägen tillbaka... och jag hann precis i tid.

---

DOUG.  OK, där är du... du och jag är i full gång med sommaren, och vi har några tips för sommaren som kommer upp senare i showen.

Men först skulle jag vilja prata om Denna vecka i teknisk historia.

Den här veckan, 1968, bildades Intel Corporation av Gordon Moore (han från Moores lag) och Robert Noyce.

Noyce är krediterad som pionjär inom den integrerade kretsen, eller mikrochipet.

Intels första mikroprocessor skulle vara 4004, som användes för miniräknare.

Och, a Rolig fakta, namnet Intel är en mashup av INTEgrerad elektronik.

Så... det företaget blev ganska bra.

---

ANKA.  Ja!

Jag antar, för att vara rättvis, kanske du skulle säga "Co-pioneer"?

---

DOUG.  Ja. Jag hade "en pionjär."

---

ANKA.  Jack Kilby, från Texas Instruments, tror jag kom på den första integrerade kretsen, men den krävde fortfarande att delar i kretsen kopplades ihop.

Och Noyce löste problemet med hur man bakade in dem alla i kisel.

Jag deltog faktiskt i ett tal av Jack Kilburn, när jag var en nypräglad datavetare.

Helt fascinerande – forskning på 1950-talet i Amerika!

Och givetvis fick Kilby ett Nobelpris, tror jag år 2000.

Men Robert Noyce, jag är säker på, skulle ha varit en gemensam vinnare, men han hade redan dött vid den tiden, och du kan inte få ett Nobelpris postumt.

Så, Noyce fick aldrig ett Nobelpris, och det gjorde Jack St. Clair Kilby.

---

DOUG.  Nåväl, det var länge sedan...

...och en lång tid från nu kan vi fortfarande prata om Log4Shell...

---

ANKA.  Åh kära, ja.

---

DOUG.  Även om det finns en lösning för det, har USA kommit ut och sagt att det kan dröja årtionden innan den här saken är faktiskt fixat.

---

ANKA.  Låt oss vara rättvisa... de sa, "Kanske ett decennium eller längre."

Detta är en kropp som kallas Cybersecurity Review Board, CSRB (del av Department of Homeland Security), som bildades tidigare i år.

Jag vet inte om det bildades specifikt på grund av Log4Shell, eller bara på grund av att källkodsproblem i källkedjan blev en stor sak.

Och nästan åtta månader efter att Log4Shell var en grej, producerade de denna rapport, på 42 sidor... enbart sammanfattningen omfattar nästan 3 sidor.

Och när jag först tittade på det här, tänkte jag: "Åh, nu kör vi."

Vissa offentliga tjänstemän har fått höra, "Kom igen, var är din rapport? Du är granskningsnämnden. Publicera eller förgås!”

Faktiskt, även om delar av det verkligen är tungt, tycker jag att du borde läsa igenom detta.

De lägger in lite saker om hur det, som mjukvaruleverantör, som programvaruskapare, som ett företag som tillhandahåller mjukvarulösningar till andra människor, faktiskt inte är så svårt att göra sig lätt att kontakta, så att folk kan meddela dig när det är något du har förbisett.

Till exempel, "Det finns fortfarande en Log4J-version i din kod som du inte märkte med världens bästa vilja, och du har inte fixat det."

Varför skulle du inte vilja att någon som försöker hjälpa dig ska kunna hitta dig och enkelt kontakta dig?

---

DOUG.  Och de säger saker som... den här första är typ av bordsinsatser, men det är bra för alla, särskilt mindre företag som inte har tänkt på det här: Utveckla en tillgångs- och applikationsinventering, så att du vet vad du har igång var.

---

ANKA.  De hotar eller hävdar inte detta uttryckligen, för det är inte för dessa offentliga tjänstemän att stifta lagarna (det är upp till lagstiftaren)... men jag tror att det de säger är: "Utveckla den kapaciteten, för om du inte gör det. , eller så kunde du inte bry dig, eller så kan du inte komma på hur man gör det, eller så tror du att dina kunder inte kommer att märka det, så kanske du till slut upptäcker att du har lite eller inget val!”

Särskilt om du vill sälja produkter till den federala regeringen! [SKRATT]

---

DOUG.  Ja, och vi har pratat om det här förut... en annan sak som vissa företag kanske inte har tänkt på ännu, men som är viktig att ha: Ett program för sårbarhet.

Vad händer om du har en sårbarhet?

Vilka är de steg du tar?

Vad är spelplanen du följer för att ta itu med dessa?

---

ANKA.  Ja, det var det jag syftade på tidigare.

Den enkla delen av det är att du bara behöver ett enkelt sätt för någon att ta reda på var de skickar rapporter i din organisation... och sedan måste du göra ett åtagande internt som företag att när du får rapporter kommer du faktiskt att agera på dem.

Som jag sa, tänk dig bara att du har den här stora Java-verktygssatsen som du säljer, en stor app med massor av komponenter, och i ett av back-end-systemen finns den här stora Java-grejen.

Och där inne, föreställ dig att det fortfarande finns en sårbar Log4J .JAR fil som du har förbisett.

Varför skulle du inte vilja att personen som upptäckte det skulle kunna berätta det snabbt och enkelt, även med ett enkelt mejl?

Antalet gånger som du går på Twitter och du ser välkända cybersäkerhetsforskare säga, "Hej, vet någon hur man kontaktar XYZ Corp?"

Hade vi inte ett fall på podden av en kille som till slut... Jag tror att han gick på TikTok eller något liknande [SKRATT] för att han kunde inte ta reda på det hur man kontaktar detta företag.

Och han gjorde en video där han sa: "Hej killar, jag vet att ni älskar era videor på sociala medier, jag försöker bara berätta om det här felet."

Och så småningom märkte de det.

Om han bara kunde ha gått till ditt företag DOT com SLASH security DOT txt, till exempel, och hittat en e-postadress!

"Det är där vi föredrar att du kontaktar oss. Eller så gör vi buggar genom det här programmet... så här registrerar du dig för det. Om du vill ha betalt."

Det är inte så svårt!

Och det betyder att någon som vill ge dig heads up att du har en bugg som du kanske trodde att du fixade kan berätta för dig.

---

DOUG.  Jag älskar avstigningen i den här artikeln!

Du skriver och kanaliserar John F. Kennedy och säger [KENNEDY VOICE] "Fråga inte vad alla andra kan göra för dig, men tänk på vad du kan göra för dig själv, för alla förbättringar du gör kommer nästan säkert att gynna alla andra också. ”

Okej, det är uppe på sajten om du vill läsa om det... det är obligatorisk läsning om du är i någon form av position som du måste ta itu med en av dessa saker.

Det är bra att läsa ... läs åtminstone den tre sidor långa sammanfattningen, om inte den 42 sidor långa rapporten.

---

ANKA.  Ja, det är långt, men jag tyckte att det var förvånansvärt omtänksamt, och jag blev mycket positivt överraskad.

Och jag tänkte att om folk läser det här, och slumpmässiga människor tar en slumpmässigt en tiondel av det till hjärtat...

...vi borde vara på en bättre plats tillsammans.

---

DOUG.  Okej, går rätt framåt.

Det är sommarlov, och det innebär ofta att du tar dina prylar med dig.

Vi har några tips för att njuta ditt sommarlov utan att, errr, "inte njuta" av det.

---

ANKA.  ”Hur många prylar ska vi ta? [DRAMATISK] Packa dem alla!”

Tyvärr, ju mer du tar, desto större är risken, löst sagt.

---

DOUG.  Ditt första tips här är att du packar alla dina prylar... ska du säkerhetskopiera innan du ger dig av?

Gissar att svaret är "Ja!"

---

ANKA.  Jag tycker att det är ganska uppenbart.

Alla vet att du borde göra en säkerhetskopia, men de skjuter upp den.

Så jag tänkte att det var en chans att ta fram vår lilla maxim, eller truism: "Den enda backup du någonsin kommer att ångra är den du inte gjorde."

Och det andra med att se till att du har säkerhetskopierat en enhet – oavsett om det är till ett molnkonto som du sedan loggar ut från, eller om det är till en flyttbar enhet som du krypterar och lägger i skåpet någonstans – det betyder att du kan ta bort ditt digitala fotavtryck på enheten.

Vi ska ta reda på varför det kan vara en bra idé... bara så att du inte har hela ditt digitala liv och din historia med dig.

Poängen är att genom att ha en bra backup, och sedan gallra ut vad du faktiskt har på telefonen, finns det mindre att gå fel om du tappar den; om det blir konfiskerat; om immigrationstjänstemän vill titta på det; vad det än är.

---

DOUG.  Och, något relaterat till att flytta runt, kan du förlora din bärbara dator och eller din mobiltelefon... så du bör kryptera dessa enheter.

---

ANKA.  Ja.

Nu är de flesta enheter krypterade som standard nu för tiden.

Det är verkligen sant för Android; det är verkligen sant för iOS; Och jag tror att när du skaffar bärbara Windows-datorer nu för tiden, så finns BitLocker där.

Jag är inte en Windows-användare, så jag är inte säker... men absolut, även om du har Windows Home Edition (som irriterande nog, och jag hoppas att detta förändras i framtiden, irriterande nog inte låter dig använda BitLocker på flyttbara enheter) ... det låter dig använda BitLocker på din hårddisk.

Varför inte?

För det betyder att om du tappar bort den, eller den blir konfiskerad, eller din bärbara dator eller telefon blir stulen, är det inte bara ett fall att en skurk öppnar upp din bärbara dator, kopplar ur hårddisken, ansluter den till en annan dator och läser allt från den. , precis så.

Varför inte ta försiktighetsåtgärden?

Och, naturligtvis, på en telefon, i allmänhet eftersom den är förkrypterad, är krypteringsnycklarna förgenererade och skyddade av din låskod.

Säg inte, "Ja, jag kommer att vara på vägen, jag kanske är under press, jag kanske behöver det i en hast... Jag ska bara använda 1234 or 0000 under semestern.”

Gör inte det!

Låskoden på din telefon är det som hanterar den faktiska fullständiga krypterings- och dekrypteringsnycklarna för data på telefonen.

Så välj en lång låskod... Jag rekommenderar tio siffror eller längre.

Ställ in den och öva på att använda den hemma i några dagar, i en vecka innan du åker, tills det är en naturlighet.

Gå inte bara, 1234 är tillräckligt bra, eller "Åh, jag ska ha en lång låskod... Jag går 0000 0000, det är *åtta* karaktärer, ingen kommer någonsin att tänka på det!”

---

DOUG.  OK, och det här är verkligen intressant: Du har några råd om människor som korsar nationella gränser.

---

ANKA.  Ja, det har blivit något av ett problem nu för tiden.

Eftersom många länder – jag tror att USA och Storbritannien är bland dem, men de är inte alls de enda – kan säga: "Titta, vi vill titta på din enhet. Skulle du låsa upp den, snälla?”

Och du säger, "Nej, självklart inte! Det är privat! Du har ingen rätt att göra det!”

Tja, det kanske de gör, och kanske inte... du är inte i landet än.

Det är "Mitt kök, Mina regler", så de kanske säger, "OK, okej, *du* har all rätt att vägra ... men sedan *kommer vi* att vägra din antagning. Vänta här i ankomstloungen tills vi kan överföra dig till avgångsloungen för att komma på nästa flyg hem!”

I grund och botten, *oroa dig* inte för vad som kommer att hända, till exempel "Jag kan bli tvungen att avslöja data vid gränsen."

*Ta reda på* vilka villkoren för inresa är... integritets- och övervakningsreglerna i det land du ska till.

Och om du verkligen inte gillar dem, gå inte dit! Hitta någon annanstans att gå till.

Eller helt enkelt gå in i landet, berätta sanningen och minska ditt digitala fotavtryck.

Som vi sa med säkerhetskopian... ju mindre "digitalt liv"-prylar du bär med dig, desto mindre finns det att gå fel, och desto mindre sannolikt är det att du kommer att förlora det.

Så, "Var beredd" är vad jag säger.

---

DOUG.  OK, och det här är bra: Offentligt Wi-Fi, är det säkert eller osäkert?

Det beror på, antar jag?

---

ANKA.  Ja.

Det är många som säger: "Golly, om du använder offentligt Wi-Fi är du dömd!"

Naturligtvis har vi alla använt offentligt Wi-Fi i flera år, faktiskt.

Jag känner ingen som faktiskt har slutat använda det av rädsla för att bli hackad, men jag vet att folk säger: "Ja, jag vet vad riskerna är. Den routern kunde ha ägts av vem som helst. Det kan ha några skurkar på sig; det kan ha en skrupelfri kaféoperatör; eller så kan det bara vara så att någon hackade det som var här på semester förra månaden för att de tyckte det var fruktansvärt roligt, och det läcker data för att "ha ha ha".

Men om du använder appar som har end-to-end-kryptering, och om du använder webbplatser som är HTTPS så att de är end-to-end-krypterade mellan din enhet och den andra änden, så finns det avsevärda gränser för vad även en helt hackad router kan avslöja.

Eftersom all skadlig programvara som har implanterats av en tidigare besökare kommer att implanteras på *routern*, inte på *din enhet*.

---

DOUG.  OK, nästa … vad jag anser vara datorversionen av sällan städade offentliga toaletter.

Ska jag använda kioskdatorer på flygplatser eller hotell?

Bortsett från cybersäkerhet... bara antalet personer som har haft händerna på det smutsiga, smutsiga tangentbordet och musen!

---

ANKA.  Exakt.

Så det här är baksidan av "Ska jag använda offentligt Wi-Fi?"

Ska jag använda en Kkiosk PC, till exempel på hotellet eller på en flygplats?

Den stora skillnaden mellan en Wi-Fi-router som har blivit hackad och en kiosk-dator som har blivit hackad är att om din trafik krypteras genom en komprometterad router, finns det en gräns för hur mycket den kan spionera på dig.

Men om din trafik kommer från en hackad eller komprometterad kioskdator, är det i princip, ur cybersäkerhetssynpunkt, *det är 100 % Game Over*.

Med andra ord kan den där kiosk-datorn ha obegränsad tillgång till *all data som du skickar och tar emot på internet* innan den krypteras (och efter att sakerna du får tillbaka dekrypteras).

Så krypteringen blir i huvudsak irrelevant.

*Varje tangenttryckning du skriver*... du bör anta att den spåras.

*Varje gång något visas på skärmen*... bör du anta att någon kan ta en skärmdump.

*Allt du skriver ut*... du bör anta att det finns en kopia gjord i någon dold fil.

Så mitt råd är att behandla dessa kioskdatorer som ett nödvändigt ont och bara använda dem om du verkligen måste.

---

DOUG.  Ja, jag var på ett hotell förra helgen som hade en kioskdator, och nyfikenheten tog överhanden.

Jag gick upp... den körde Windows 10 och du kunde installera vad som helst på den.

Den var inte låst, och den som använt den tidigare hade inte loggat ut från Facebook!

Och det här är ett kedjehotell som borde ha vetat bättre... men det var bara ett vidöppet system som ingen hade loggat ut ur; en potentiell avloppsvatten av cyberbrottslighet som väntar på att hända.

---

ANKA.  Så du kan bara koppla in ett USB-minne och sedan gå till "Installera keylogger"?

---

DOUG.  Ja!

---

ANKA.  "Installera nätverkssniffer."

---

DOUG.  Äh va!

---

ANKA.  "Installera rootkit."

---

DOUG.  Ja!

---

ANKA.  "Sätt flammande dödskallar på tapeter."

---

DOUG.  Nej tack!

Nästa fråga har inget bra svar...

Hur är det med spionkameror och hotellrum och Airbnbs?

Dessa är svåra att hitta.

---

ANKA.  Ja, jag lägger in det eftersom det är en fråga vi regelbundet får.

Vi har skrivit om tre olika instanser av odeklarerade spionkameror. (Det är en sorts tautologi, eller hur?)

Den ena befann sig på ett vandrarhem för lantbruk i Australien, där den här killen bjöd in personer på besöksvisum som får utföra lantbruksarbete och sa "Jag ska ge dig en plats att bo på."

Det visade sig att han var en Peeping Tom.

En var i ett Airbnb-hus i Irland.

Det här var en familj som rest hela vägen från Nya Zeeland, så de kunde inte bara sätta sig i bilen och åka hem, ge upp!

Och det andra var ett riktigt hotell i Sydkorea... det här var riktigt läskigt.

Jag tror inte att det var kedjan som ägde hotellet, det var några korrupta anställda eller något.

De satte spionkameror i rummen, och jag skojar inte med dig, Doug... de sålde faktiskt, i princip, pay-per-view.

Jag menar, hur läskigt är det?

De goda nyheterna, i två av de fallen greps och åtalades gärningsmännen faktiskt, så det slutade illa för dem, vilket är helt rätt.

Problemet är... om du läser Airbnb-berättelsen (vi har en länk om Naked Security) var killen som bodde där med sin familj faktiskt en It-person, en cybersäkerhetsexpert.

Och han märkte att ett av rummen (du ska tydligen deklarera om det finns några kameror i en Airbnb) hade två brandvarnare.

När ser du två brandvarnare? Du behöver bara en.

Och så började han titta på en av dem, och det såg ut som en brandvarnare.

Den andra, ja, det lilla hålet som har lysdioden som blinkar blinkade inte.

Och när han kikade igenom tänkte han: ”Det ser ut misstänkt som en lins för en kamera!"

Och det var faktiskt en spionkamera förklädd till brandvarnare.

Innehavaren hade kopplat den till det vanliga Wi-Fi-nätverket, så han kunde hitta det genom att göra en nätverksskanning ... med hjälp av ett verktyg som Nmap eller något liknande.

Han hittade den här enheten och när han pingade den var det ganska uppenbart, från dess nätverkssignatur, att det faktiskt var en webbkamera, även om en webbkamera gömd i en brandvarnare.

Så han hade tur.

Vi skrev en artikel om vad han hittade, länkade och förklarade vad han hade bloggat om då.

Detta var tillbaka 2019, så det här är tre år sedan, så tekniken har förmodligen till och med kommit lite mer sedan dess.

Hur som helst, han gick online för att se, "Vilken chans har jag faktiskt att hitta kameror på nästa ställen där jag bor?"

Och han stötte på en spionkamera – jag föreställer mig att bildkvaliteten skulle vara ganska hemsk, men det är fortfarande en *fungerande digital spionkamera*…. inte trådlös, du måste koppla in den – inbäddad *i en Phillips-skruv*, Doug!

---

DOUG.  Amazing.

---

ANKA.  Bokstavligen den typ av skruv som du skulle hitta i täckplåten som du får på en ljusströmbrytare, säg den storleken på skruv.

Eller skruven som du får på ett eluttags täckplåt... en Phillips-skruv av vanlig, blygsam storlek.

---

DOUG.  Jag letar upp dem på Amazon just nu!

"Pinhole screw camera", för $20.

---

ANKA.  Om det inte är anslutet tillbaka till samma nätverk, eller om det är anslutet till en enhet som bara spelar in på ett SD-kort, kommer det att bli väldigt svårt att hitta!

Så, tyvärr, svaret på den här frågan... anledningen till att jag inte skrev fråga sex som, "Hur hittar jag spionkameror i rummen jag bodde i?"

Svaret är att du kan försöka, men tyvärr är det hela "Avvaro av bevis är inte bevis på frånvaro".

Tyvärr har vi inga råd som säger: "Det finns en liten pryl du kan köpa som är lika stor som en mobiltelefon. Du trycker på en knapp och det piper om det finns en spionkamera i rummet.”

---

DOUG.  OK. Vårt sista tips till er där ute som inte kan hjälpa er själva: "Jag åker på semester, men tänk om jag vill ta med min arbetslaptop?"

---

ANKA.  Jag kan inte svara på det.

Det kan du inte svara på.

Det är inte din bärbara dator, det är arbetets bärbara dator.

Så det enkla svaret är "Fråga!"

Och om de säger: "Vart är du på väg?", och du anger landets namn och de säger: "Nej"...

…då är det det, du kan inte ta det med dig.

Kanske bara säga: "Bra, kan jag lämna det här? Kan du låsa in den i IT-skåpet tills jag kommer tillbaka?”

Om du går och frågar IT: "Jag ska till Land X. Om jag skulle ta med min arbetslaptop, har du några speciella rekommendationer?"...

… lyssna på dem!

För om arbetet tror att det finns saker som du borde veta om integritet och övervakning på den plats du ska, så gäller de sakerna förmodligen ditt hemliv.

---

DOUG.  Okej, det är en bra artikel...läs resten av den.

---

ANKA.  Jag är så stolt över de två jinglarna jag avslutade med!

---

DOUG.  Åh, ja!

Vi har hört, "Om du är osäker, ge inte ut det."

Men det här är en ny som du kom på, som jag verkligen gillar...

---

ANKA.  "Om ditt liv är på din telefon/varför inte lämna det hemma?"

---

DOUG.  Ja, där går du!

Okej, för tidens skull har vi ytterligare en artikel på webbplatsen som jag ber dig läsa. Detta kallas: Facebook 2FA-bedragare återvänder, denna gång på bara 21 minuter.

Det här är samma bedrägeri som brukade ta 28 minuter, så de har rakat sju minuter från denna bluff.

Och vi har en läsarfråga om detta inlägg.

Läsaren Peter skriver delvis: "Tror du verkligen att dessa saker är tillfälligheter? Jag hjälpte till att byta min svärfars bredbandskontrakt för British Telecom nyligen, och dagen då bytet genomfördes fick han ett nätfiskesamtal från British Telecom. Uppenbarligen kunde det ha hänt vilken dag som helst, men sådana saker får dig att undra över timing. Paul..."

---

ANKA.  Ja, vi får alltid folk som säger: "Vet du vad? Jag fick en av dessa bedrägerier..."

Oavsett om det handlar om en Facebook-sida eller Instagram-upphovsrätt eller, som den här mannens pappa, telekommunikationsrelaterat... "Jag fick bluffen redan på morgonen efter att jag gjorde något som var direkt relaterat till vad bluffen handlade om. Det är väl inte en slump?”

Och jag tror att för de flesta människor, eftersom de kommenterar Naked Security, inser de att det är en bluff, så de säger, "Visst visste skurkarna?"

Det måste med andra ord finnas viss insiderinformation.

Baksidan av det är människor som *inte* inser att det är en bluff och inte kommenterar Naked Security, de säger: "Åh, det kan inte vara en slump, därför måste det vara äkta!"

I de flesta fall, enligt min erfarenhet, beror det absolut på slumpen, helt enkelt på basis av volym.

Så poängen är att i de flesta fall är jag övertygad om att dessa bedrägerier som du får, de är tillfälligheter, och skurkarna förlitar sig på det faktum att det är lätt att "tillverka" dessa tillfälligheter när du kan skicka så många e-postmeddelanden till så många människor så lätt.

Och du försöker inte lura *alla*, du försöker bara lura *någon*.

Och Doug, om jag kan klämma in det på slutet: "Använd en lösenordshanterare!"

För då kan du inte lägga in rätt lösenord på fel sida av misstag, och det hjälper dig enormt mycket med de bedrägerierna, oavsett om de är tillfälliga eller inte.

---

DOUG.  Okej, väldigt bra som alltid!

Tack för kommentaren, Peter.

Om du har en intressant berättelse, kommentar eller fråga som du vill skicka in, läser vi det gärna i podden.

Du kan skicka e-post till tips@sophos.com, du kan kommentera någon av våra artiklar, eller så kan du kontakta oss på sociala medier: @nakedsecurity.

Det är vår show för idag; tack så mycket för att du lyssnade.

För Paul Ducklin, jag är Doug Aamoth, påminner dig, tills nästa gång, att...

---

BÅDE.  Håll dig säker!

[MUSIKALT MODEM]