S3 Ep92: Log4Shell4Ever เคล็ดลับการเดินทางและความหลอกลวง [เสียง + ข้อความ]

คลิกแล้วลากบนคลื่นเสียงด้านล่างเพื่อข้ามไปยังจุดใดก็ได้ นอกจากนี้คุณยังสามารถ ฟังโดยตรง บนซาวด์คลาวด์

ดั๊ก.  การหลอกลวงบน Facebook, Log4Shell ตลอดไป และเคล็ดลับสำหรับฤดูร้อนที่ปลอดภัยในโลกไซเบอร์

ทั้งหมดนั้นและอีกมากมายใน Naked Security Podcast

[โมเด็มดนตรี]

ยินดีต้อนรับสู่พอดคาสต์ทุกคน

ฉันคือ Doug Aamoth และ Paul Ducklin กับฉันเช่นเคย

ทำยังไงดี พอล

---

เป็ด.  ฉันเป็นซุปเปอร์ดูเปอร์ ดักลาส

เริ่มเย็นลงเล็กน้อยที่นี่ในอังกฤษ

---

ดั๊ก.  ใช่.

---

เป็ด.  ฉันคิดว่าฉันเลือกวันผิดที่จะไปปั่นจักรยานในชนบทขนาดใหญ่

เป็นความคิดที่ดีเมื่อออกเดินทาง: “ฉันรู้ ฉันจะนั่งรถนาน ๆ แล้วฉันจะขึ้นรถไฟกลับบ้าน ฉันจึงมีเวลาเหลือเฟือสำหรับพอดแคสต์ที่บ้าน”

และเมื่อฉันไปถึงที่นั่น เนื่องจากความร้อนจัด รถไฟวิ่งได้ทุกๆ สองชั่วโมงเท่านั้น และฉันก็พลาดไปหนึ่งขบวน

เลยต้องนั่งรถกลับตลอด...และก็ทำได้ทันเวลา

---

ดั๊ก.  ตกลง ตกลง… คุณกับฉันอยู่ในช่วงฤดูร้อนเต็มตัว และเรามีเคล็ดลับสำหรับช่วงฤดูร้อนที่จะมีขึ้นในตอนต่อไปของรายการ

แต่ก่อนอื่นฉันอยากจะพูดถึง สัปดาห์นี้ในประวัติศาสตร์เทคโนโลยี.

สัปดาห์นี้ในปี 1968 บริษัท Intel ก่อตั้งขึ้นโดยกอร์ดอน มัวร์ (เขาแห่งกฎของมัวร์) และโรเบิร์ต นอยซ์

Noyce ได้รับการยกย่องว่าเป็นผู้บุกเบิกวงจรรวมหรือไมโครชิป

ไมโครโปรเซสเซอร์ตัวแรกของ Intel จะเป็น 4004 ซึ่งใช้สำหรับเครื่องคิดเลข

และ, a ความเป็นจริงที่สนุกชื่อ Intel เป็นการผสมผสานระหว่าง INTegrated ELectronics

ดังนั้น… บริษัทนั้นจึงออกมาค่อนข้างดี

---

เป็ด.  ใช่!

พูดตามตรง บางทีคุณอาจจะพูดว่า “ผู้บุกเบิกร่วม”?

---

ดั๊ก.  ใช่. ฉันมี “ผู้บุกเบิก”

---

เป็ด.  Jack Kilby จาก Texas Instruments ฉันคิดว่ามีวงจรรวมตัวแรก แต่ก็ยังต้องใช้ชิ้นส่วนในวงจรเพื่อต่อสายเข้าด้วยกัน

และนอยซ์ก็แก้ปัญหาการอบทั้งหมดด้วยซิลิโคน

จริง ๆ แล้วฉันเข้าร่วมสุนทรพจน์ของ Jack Kilburn เมื่อตอนที่ฉันยังเป็นนักวิทยาศาสตร์คอมพิวเตอร์มือใหม่

น่าทึ่งอย่างยิ่ง – การวิจัยในปี 1950 ในอเมริกา!

และแน่นอน คิลบี้ได้รับรางวัลโนเบลอย่างมีชื่อเสียง ฉันคิดว่าในปี 2000

แต่ฉันแน่ใจว่า Robert Noyce จะเป็นผู้ชนะร่วมกัน แต่เขาเสียชีวิตในเวลานั้น และคุณไม่สามารถได้รับรางวัลโนเบลมรณกรรมได้

ดังนั้น Noyce ไม่เคยได้รับรางวัลโนเบลและ Jack St. Clair Kilby ก็ทำได้

---

ดั๊ก.  ก็นั่นมันเมื่อนานมาแล้ว…

…และอีกนานต่อจากนี้เราอาจยังคงพูดถึง Log4Shell…

---

เป็ด.  โอ้ที่รักใช่

---

ดั๊ก.  แม้ว่าจะมีวิธีแก้ไข แต่สหรัฐฯ ก็ออกมาบอกว่าอาจต้องใช้เวลาหลายสิบปีกว่าสิ่งนี้จะเป็น แก้ไขจริง.

---

เป็ด.  พูดกันตามตรง… พวกเขาพูดว่า “อาจจะสิบปีหรือนานกว่านั้น”

กายนี้เรียกว่า คณะกรรมการตรวจสอบความปลอดภัยทางไซเบอร์, CSRB (ส่วนหนึ่งของ Department of Homeland Security) ซึ่งก่อตั้งขึ้นเมื่อต้นปีนี้

ฉันไม่รู้ว่ามันถูกสร้างขึ้นมาโดยเฉพาะเพราะ Log4Shell หรือเพียงเพราะปัญหาซอร์สโค้ดของซัพพลายเชนกลายเป็นเรื่องใหญ่

และเกือบแปดเดือนหลังจาก Log4Shell กลายเป็นเรื่อง พวกเขาจัดทำรายงานนี้ จำนวน 42 หน้า… บทสรุปสำหรับผู้บริหารเพียงฉบับเดียวก็ถึงเกือบ 3 หน้า

และเมื่อฉันเหลือบดูสิ่งนี้ครั้งแรก ฉันคิดว่า "โอ้ ไปกันเถอะ"

ข้าราชการบางคนได้รับการบอกกล่าวว่า “มาเถอะ รายงานของคุณอยู่ที่ไหน? คุณเป็นคณะกรรมการตรวจสอบ เผยแพร่หรือพินาศ!”

อันที่จริงแม้ว่าบางส่วนของมันจะหนักมาก แต่ฉันคิดว่าคุณควรอ่านสิ่งนี้

พวกเขาใส่ข้อมูลเกี่ยวกับวิธีการในฐานะผู้จำหน่ายซอฟต์แวร์ ในฐานะผู้สร้างซอฟต์แวร์ ในฐานะบริษัทที่ให้บริการโซลูชันซอฟต์แวร์แก่ผู้อื่น จริง ๆ แล้วไม่ยากที่จะติดต่อด้วยตนเอง ดังนั้นผู้คนสามารถแจ้งให้คุณทราบเมื่อมีบางอย่าง คุณได้มองข้าม

ตัวอย่างเช่น “ยังคงมีรุ่น Log4J ในรหัสของคุณที่คุณไม่ได้สังเกตด้วยความปรารถนาดีที่สุดในโลก และคุณยังไม่ได้แก้ไข”

ทำไมคุณไม่ต้องการใครสักคนที่พยายามช่วยคุณให้สามารถค้นหาคุณและติดต่อคุณได้อย่างง่ายดาย?

---

ดั๊ก.  และพวกเขาพูดประมาณว่า… อันแรกนี้เป็นเดิมพันแบบโต๊ะ แต่ดีสำหรับทุกคน โดยเฉพาะอย่างยิ่งธุรกิจขนาดเล็กที่ไม่ได้คิดถึงเรื่องนี้: พัฒนาคลังสินทรัพย์และแอปพลิเคชัน เพื่อให้คุณรู้ว่าคุณกำลังทำอะไรอยู่

---

เป็ด.  พวกเขาไม่ได้ขู่หรืออ้างอย่างชัดแจ้ง เพราะข้าราชการเหล่านี้ไม่ได้ออกกฎหมาย (แล้วแต่สภานิติบัญญัติ) ... แต่ฉันคิดว่าสิ่งที่พวกเขากำลังพูดคือ “พัฒนาความสามารถนั้น เพราะถ้าคุณไม่ หรือคุณไม่สามารถถูกรบกวน หรือคุณคิดไม่ออกว่าต้องทำอย่างไร หรือคุณคิดว่าลูกค้าของคุณจะไม่สังเกตเห็น ในที่สุด คุณอาจพบว่าคุณมีทางเลือกเพียงเล็กน้อยหรือไม่มีเลย!”

โดยเฉพาะหากต้องการขายสินค้าให้รัฐบาลกลาง! [เสียงหัวเราะ]

---

ดั๊ก.  ใช่ และเราเคยพูดถึงเรื่องนี้มาก่อน… อีกสิ่งหนึ่งที่บริษัทบางแห่งอาจยังไม่ได้นึกถึง แต่สิ่งสำคัญคือต้องมี: โปรแกรมตอบสนองช่องโหว่

จะเกิดอะไรขึ้นในกรณีที่คุณมีช่องโหว่?

คุณมีขั้นตอนอะไรบ้าง?

แผนเกมที่คุณปฏิบัติตามเพื่อจัดการกับสิ่งเหล่านี้คืออะไร?

---

เป็ด.  ใช่ นั่นคือสิ่งที่ฉันพาดพิงไปก่อนหน้านี้

ส่วนง่าย ๆ ของสิ่งนั้นคือ คุณแค่ต้องการวิธีง่ายๆ สำหรับใครบางคนในการค้นหาว่าพวกเขาส่งรายงานในองค์กรของคุณไปที่ใด… จากนั้นคุณต้องให้คำมั่นสัญญาภายในบริษัทว่า เมื่อคุณได้รับรายงาน คุณจะต้องดำเนินการจริง กับพวกเขา

อย่างที่ฉันพูดไป ลองนึกภาพว่าคุณมีชุดเครื่องมือ Java ขนาดใหญ่ที่คุณขาย แอปขนาดใหญ่ที่มีส่วนประกอบมากมาย และหนึ่งในระบบแบ็คเอนด์ มีสิ่งของ Java ขนาดใหญ่นี้

และในนั้น ลองจินตนาการว่ายังมี Log4J . ที่เปราะบางอยู่ .JAR ไฟล์ที่คุณมองข้ามไป

เหตุใดคุณจึงไม่อยากให้ผู้ที่ค้นพบสามารถบอกคุณได้อย่างรวดเร็วและง่ายดาย แม้จะผ่านอีเมลธรรมดาๆ

จำนวนครั้งที่คุณเปิด Twitter และคุณเห็นนักวิจัยด้านความปลอดภัยในโลกไซเบอร์ที่มีชื่อเสียงพูดว่า "เฮ้ ใครรู้วิธีติดต่อ XYZ Corp บ้าง"

เราไม่มีกรณีเกี่ยวกับพอดคาสต์ของผู้ชายคนหนึ่งที่ในที่สุด… ฉันคิดว่าเขาเล่น TikTok หรืออะไรทำนองนั้น [หัวเราะ] เพราะเขา หาไม่เจอ วิธีการติดต่อบริษัทนี้

และเขาทำวิดีโอว่า "เฮ้ ฉันรู้ว่าคุณชอบวิดีโอโซเชียลมีเดียของคุณ ฉันแค่พยายามจะบอกคุณเกี่ยวกับข้อบกพร่องนี้"

และในที่สุดพวกเขาก็สังเกตเห็นว่า

ถ้าเพียงแต่เขาสามารถไปที่บริษัทของคุณ DOT com SLASH การรักษาความปลอดภัย DOT txt และพบที่อยู่อีเมล!

“นั่นคือสิ่งที่เราต้องการให้คุณติดต่อเรา หรือเราจะให้รางวัลบั๊กผ่านโปรแกรมนี้… นี่คือวิธีสมัครใช้งาน หากคุณต้องการรับเงิน”

ไม่ยากขนาดนั้น!

และนั่นหมายความว่าใครบางคนที่ต้องการแจ้งให้คุณทราบว่าคุณมีข้อบกพร่องที่คุณอาจคิดว่าคุณแก้ไขแล้วสามารถบอกคุณได้

---

ดั๊ก.  ฉันรักการลงจากหลังม้าในบทความนี้!

คุณเขียนและสื่อถึง John F. Kennedy โดยพูดว่า [KENNEDY VOICE] “อย่าถามว่าคนอื่นสามารถทำอะไรให้คุณได้บ้าง แต่ให้คิดว่าคุณสามารถทำอะไรเพื่อตัวเองได้บ้าง เพราะการปรับปรุงใดๆ ที่คุณทำนั้นเกือบจะเป็นประโยชน์ต่อทุกคนเช่นกัน ”

เอาล่ะ นั่นขึ้นอยู่กับเว็บไซต์หากคุณต้องการอ่านเกี่ยวกับเรื่องนี้… จำเป็นต้องอ่านหากคุณอยู่ในตำแหน่งใดก็ตามที่คุณต้องจัดการกับสิ่งเหล่านี้

เป็นการอ่านที่ดี… อย่างน้อยอ่านสรุปสามหน้า ถ้าไม่ใช่รายงาน 42 หน้า

---

เป็ด.  ใช่ มันยาว แต่ฉันพบว่ามันใช้ความคิดอย่างน่าประหลาดใจ และฉันก็รู้สึกประหลาดใจมาก

และฉันคิดว่าถ้าคนอ่านข้อความนี้ และคนสุ่มหยิบเอาหนึ่งในสิบของทั้งหมดมาไว้ในใจ...

…เราควรจะอยู่รวมกันในที่ที่ดีกว่านี้

---

ดั๊ก.  ได้เลย ย้ายไปทางขวา

ช่วงนี้เป็นช่วงปิดเทอมฤดูร้อน และมักจะต้องพกอุปกรณ์ติดตัวไปด้วย

เรามี เคล็ดลับเพื่อความเพลิดเพลิน วันหยุดฤดูร้อนของคุณโดยไม่มี errr "ไม่สนุก"

---

เป็ด.  “เราควรพกอุปกรณ์กี่ชิ้นดี? [ดราม่า] เก็บให้หมดเลย!”

น่าเศร้าที่ยิ่งคุณใช้มากเท่าไหร่ความเสี่ยงของคุณก็จะยิ่งมากขึ้นเท่านั้น

---

ดั๊ก.  เคล็ดลับแรกของคุณที่นี่คือ คุณกำลังบรรจุแกดเจ็ตทั้งหมดของคุณ... คุณควรสำรองข้อมูลก่อนออกเดินทางหรือไม่?

เดาคำตอบคือ "ใช่!"

---

เป็ด.  ฉันคิดว่ามันค่อนข้างชัดเจน

ทุกคนรู้ว่าคุณควรสำรองข้อมูล แต่พวกเขาเลิกใช้

ดังนั้นฉันจึงคิดว่ามันเป็นโอกาสที่จะใช้คติพจน์เล็ก ๆ น้อย ๆ ของเราหรือความจริง: "การสำรองข้อมูลเพียงอย่างเดียวที่คุณจะเสียใจคือสิ่งที่คุณไม่ได้ทำ"

และอีกประการหนึ่งเกี่ยวกับการตรวจสอบให้แน่ใจว่าคุณได้สำรองข้อมูลอุปกรณ์ไว้ – ไม่ว่าจะเป็นบัญชีคลาวด์ที่คุณออกจากระบบ หรือเป็นไดรฟ์แบบถอดได้ที่คุณเข้ารหัสและใส่ไว้ในตู้ที่ใดที่หนึ่ง – หมายความว่าคุณ สามารถลบรอยเท้าดิจิทัลของคุณบนอุปกรณ์ได้

เราจะมาทำความเข้าใจกันว่าทำไมถึงเป็นความคิดที่ดี… เพียงเพื่อที่คุณจะได้ไม่ต้องมีชีวิตและประวัติศาสตร์ดิจิทัลทั้งหมดไปกับคุณ

ประเด็นก็คือการมีข้อมูลสำรองที่ดี และจากนั้นทำให้สิ่งที่คุณมีในโทรศัพท์บางลง จะไม่เกิดความผิดพลาดขึ้นหากคุณทำหาย หากถูกยึด หากเจ้าหน้าที่ตรวจคนเข้าเมืองต้องการดู อะไรก็ตามที่เป็น

---

ดั๊ก.  และค่อนข้างเกี่ยวข้องกับการเคลื่อนที่ไปมา คุณอาจทำแล็ปท็อปและหรือโทรศัพท์มือถือหาย... ดังนั้นคุณควรเข้ารหัสอุปกรณ์เหล่านั้น

---

เป็ด.  ใช่.

ปัจจุบัน อุปกรณ์ส่วนใหญ่ได้รับการเข้ารหัสโดยค่าเริ่มต้น

นั่นเป็นความจริงสำหรับ Android แน่นอนสำหรับ iOS; และฉันคิดว่าเมื่อคุณได้รับแล็ปท็อป Windows ในทุกวันนี้ BitLocker ก็อยู่ที่นั่น

ฉันไม่ใช่ผู้ใช้ Windows ดังนั้นฉันไม่แน่ใจ… แต่แน่นอน แม้ว่าคุณจะมี Windows Home Edition (ซึ่งน่ารำคาญ และฉันหวังว่าการเปลี่ยนแปลงนี้ในอนาคต ที่น่ารำคาญจะไม่ยอมให้คุณใช้ BitLocker ในไดรฟ์แบบถอดได้) … มันให้คุณใช้ BitLocker บนฮาร์ดดิสก์ของคุณได้

ทำไมไม่?

เพราะมันหมายความว่าถ้าคุณทำหาย หรือถูกยึด หรือแล็ปท็อปหรือโทรศัพท์ของคุณถูกขโมย ไม่ใช่แค่กรณีที่มิจฉาชีพเปิดแล็ปท็อปของคุณ ถอดปลั๊กฮาร์ดดิสก์ เสียบเข้ากับคอมพิวเตอร์เครื่องอื่น และอ่านข้อมูลทั้งหมด , เป็นแบบนั้น.

ทำไมไม่ใช้ความระมัดระวัง?

และแน่นอนว่าในโทรศัพท์ โดยทั่วไปเนื่องจากได้รับการเข้ารหัสไว้ล่วงหน้า คีย์เข้ารหัสจึงถูกสร้างขึ้นและป้องกันไว้ล่วงหน้าด้วยรหัสล็อคของคุณ

อย่าไปเลย “ฉันจะอยู่บนถนน ฉันอาจจะโดนกดดัน ฉันอาจต้องการมันอย่างรีบร้อน… ฉันจะใช้ 1234 or 0000 ตลอดช่วงวันหยุดยาว”

อย่าทำอย่างนั้น!

รหัสล็อคในโทรศัพท์ของคุณคือสิ่งที่จัดการการเข้ารหัสแบบเต็มและคีย์ถอดรหัสสำหรับข้อมูลในโทรศัพท์

ดังนั้นเลือกรหัสล็อคแบบยาว… ฉันแนะนำสิบหลักหรือนานกว่านั้น

ตั้งค่าและฝึกใช้งานที่บ้านสักสองสามวันเป็นเวลาหนึ่งสัปดาห์ก่อนออกเดินทาง จนกว่าจะเป็นธรรมชาติ

อย่าเพิ่งไป 1234 ดีพอหรือ “อ้อ ฉันจะมีรหัสล็อคยาว… ฉันจะไป 0000 0000นั่นคือ *แปด* อักขระ ไม่มีใครเคยคิดอย่างนั้น!”

---

ดั๊ก.  ตกลง และนี่เป็นเรื่องที่น่าสนใจจริงๆ คุณมีคำแนะนำเกี่ยวกับผู้คนที่ข้ามพรมแดน

---

เป็ด.  ใช่ นั่นกลายเป็นประเด็นในทุกวันนี้

เพราะหลายประเทศ - ฉันคิดว่าสหรัฐอเมริกาและสหราชอาณาจักรในหมู่พวกเขา แต่ก็ไม่ใช่ประเทศเดียว - สามารถพูดได้ว่า "ฟังนะ เราต้องการดูอุปกรณ์ของคุณ ช่วยปลดล็อกหน่อยได้ไหม”

และคุณไป "ไม่แน่นอนไม่! เป็นส่วนตัว! เจ้าไม่มีสิทธิ์ทำเช่นนั้น!”

บางทีพวกเขาอาจจะทำ และบางทีพวกเขาอาจจะไม่… คุณยังไม่ได้อยู่ประเทศ

มันคือ "ครัวของฉัน กฎของฉัน" ดังนั้นพวกเขาจึงอาจพูดว่า "ได้ ก็ได้ *คุณ* มีสิทธิ์ทุกอย่างที่จะปฏิเสธ... แต่แล้ว *เราจะ* จะปฏิเสธการรับเข้าเรียนของคุณ รอที่นี่ในห้องรับรองผู้โดยสารขาเข้าจนกว่าเราจะสามารถโอนคุณไปยังห้องรับรองผู้โดยสารขาออกเพื่อขึ้นเครื่องกลับบ้านในเที่ยวบินถัดไป!”

โดยพื้นฐานแล้ว อย่า *กังวล* เกี่ยวกับสิ่งที่จะเกิดขึ้น เช่น “ฉันอาจถูกบังคับให้เปิดเผยข้อมูลที่ชายแดน”

*ค้นหา* เงื่อนไขการเข้าประเทศคืออะไร… กฎความเป็นส่วนตัวและการเฝ้าระวังในประเทศที่คุณจะไป

และถ้าคุณไม่ชอบพวกเขาจริงๆ ก็อย่าไปที่นั่น! หาที่อื่นที่จะไป

หรือเพียงแค่เข้าประเทศ บอกความจริง และลดรอยเท้าดิจิทัลของคุณ

อย่างที่เราพูดกับข้อมูลสำรอง… ยิ่งคุณมี “ชีวิตดิจิทัล” น้อยลงเท่าไหร่ ความผิดพลาดก็จะน้อยลง และโอกาสที่คุณจะสูญเสียก็จะยิ่งน้อยลงเท่านั้น

ดังนั้น "เตรียมพร้อม" คือสิ่งที่ฉันพูด

---

ดั๊ก.  ตกลงและนี่เป็นสิ่งที่ดี: Wi-Fi สาธารณะปลอดภัยหรือไม่ปลอดภัย?

มันขึ้นอยู่กับฉันเดา?

---

เป็ด.  ใช่.

มีคนจำนวนมากพูดว่า "โง่จริง ถ้าคุณใช้ Wi-Fi สาธารณะ แสดงว่าคุณถึงวาระแล้ว!"

แน่นอนว่าเราทุกคนใช้ Wi-Fi สาธารณะมาหลายปีแล้ว

ฉันไม่รู้จักใครเลยที่หยุดใช้งานจริงเพราะกลัวว่าจะถูกแฮ็ก แต่ฉันรู้ว่ามีคนพูดว่า "ฉันรู้ดีว่าความเสี่ยงคืออะไร เราเตอร์นั้นอาจเป็นของใครก็ได้ มันอาจมีคนโกงอยู่บ้าง อาจมีผู้ประกอบการร้านกาแฟไร้ยางอาย หรืออาจเป็นเพราะมีคนแฮ็กข้อมูลผู้ที่มาที่นี่ในช่วงพักร้อนเมื่อเดือนที่แล้ว เพราะพวกเขาคิดว่ามันตลกมาก และข้อมูลก็รั่วเพราะ 'ฮ่าฮ่าฮ่า'”

แต่ถ้าคุณใช้แอปที่มีการเข้ารหัสตั้งแต่ต้นทางถึงปลายทาง และหากคุณใช้ไซต์ที่เป็น HTTPS จึงมีการเข้ารหัสจากต้นทางถึงปลายทางระหว่างอุปกรณ์ของคุณกับปลายทาง จึงมีข้อจำกัดมากมาย สิ่งที่แม้แต่เราเตอร์ที่ถูกแฮ็กอย่างสมบูรณ์ก็สามารถเปิดเผยได้

เนื่องจากมัลแวร์ใดๆ ที่ผู้เยี่ยมชมคนก่อนฝังไว้จะถูกฝังบน *เราเตอร์* ไม่ใช่ใน *อุปกรณ์ของคุณ*

---

ดั๊ก.  ตกลง ต่อไป… สิ่งที่ฉันคิดว่าเป็นห้องน้ำสาธารณะที่ไม่ค่อยได้ทำความสะอาดของคอมพิวเตอร์

ฉันควรใช้คีออสก์พีซีในสนามบินหรือโรงแรมหรือไม่

การรักษาความปลอดภัยทางไซเบอร์… มีเพียงจำนวนผู้ที่ได้สัมผัสกับแป้นพิมพ์และเมาส์ที่สกปรกและสกปรก!

---

เป็ด.  เผง

นี่คือด้านพลิกของ "ฉันควรใช้ Wi-Fi สาธารณะหรือไม่"

ฉันควรใช้ Kkiosk PC ในโรงแรมหรือสนามบินหรือไม่?

ความแตกต่างที่สำคัญระหว่างเราเตอร์ Wi-Fi ที่ถูกแฮ็กและพีซีแบบคีออสก์ที่ถูกแฮ็กก็คือ หากการรับส่งข้อมูลของคุณถูกเข้ารหัสผ่านเราเตอร์ที่ถูกบุกรุก จะมีการจำกัดจำนวนที่สามารถสอดแนมคุณได้

แต่ถ้าการรับส่งข้อมูลของคุณมาจากคอมพิวเตอร์คีออสก์ที่ถูกแฮ็กหรือถูกบุกรุก โดยทั่วไปแล้วจากมุมมองด้านความปลอดภัยทางไซเบอร์ *เป็นการจบเกม 100%*

กล่าวอีกนัยหนึ่ง คีออสก์พีซีนั้นสามารถเข้าถึง *ข้อมูลทั้งหมดที่คุณส่งและรับบนอินเทอร์เน็ตอย่างอิสระ* ก่อนที่มันจะถูกเข้ารหัส (และหลังจากที่สิ่งที่คุณได้รับกลับมาจะถูกถอดรหัส)

ดังนั้นการเข้ารหัสจึงไม่มีความสำคัญ

*ทุกการกดแป้นพิมพ์ที่คุณพิมพ์*… คุณควรถือว่ามีการติดตาม

*ทุกครั้งที่มีบางสิ่งอยู่บนหน้าจอ*… คุณควรสมมติให้มีคนจับภาพหน้าจอได้

*ทุกสิ่งที่คุณพิมพ์ออกมา*… คุณควรถือว่ามีสำเนาที่ทำไว้ในไฟล์ที่ซ่อนอยู่

ดังนั้นคำแนะนำของฉันคือให้ปฏิบัติต่อคีออสก์พีซีว่าเป็นปีศาจที่จำเป็น และใช้เฉพาะในกรณีที่จำเป็นจริงๆ

---

ดั๊ก.  ใช่ ฉันอยู่ที่โรงแรมแห่งหนึ่งเมื่อสุดสัปดาห์ที่ผ่านมาซึ่งมีเครื่องพีซีแบบคีออสก์ และความอยากรู้อยากเห็นก็ทำให้ฉันดีขึ้น

ฉันเดินขึ้นไป… มันใช้ Windows 10 และคุณสามารถติดตั้งอะไรก็ได้

มันไม่ได้ล็อค และใครก็ตามที่เคยใช้มาก่อนไม่ได้ออกจากระบบ Facebook!

และนี่คือเครือโรงแรมที่น่าจะรู้ดีกว่านี้… แต่มันเป็นเพียงระบบเปิดกว้างที่ไม่มีใครออกจากระบบ ส้วมซึมที่อาจเกิดขึ้นจากอาชญากรรมไซเบอร์ที่รอที่จะเกิดขึ้น

---

เป็ด.  คุณเพียงแค่เสียบแท่ง USB แล้วไปที่ "ติดตั้งคีย์ล็อกเกอร์" หรือไม่

---

ดั๊ก.  ใช่!

---

เป็ด.  “ติดตั้งดมกลิ่นเครือข่าย”

---

ดั๊ก.  อื้อหือ!

---

เป็ด.  “ติดตั้งรูทคิท”

---

ดั๊ก.  ใช่!

---

เป็ด.  “วางกะโหลกเพลิงไว้บนวอลล์เปเปอร์”

---

ดั๊ก.  ไม่เป็นไรขอบคุณ!

คำถามต่อไปนี้ไม่มีคำตอบที่ดี...

แล้วกล้องสอดแนม ห้องพักในโรงแรม และ Airbnbs ล่ะ?

สิ่งเหล่านี้หายาก

---

เป็ด.  ใช่ ฉันใส่มันลงไปเพราะเป็นคำถามที่เรามักถูกถามบ่อยๆ

เราได้เขียนเกี่ยวกับกล้องสอดแนมที่ไม่ได้ประกาศไว้สามกรณีที่แตกต่างกัน (นั่นเป็นการพูดซ้ำซากใช่ไหม)

หนึ่งในนั้นอยู่ในโฮสเทลฟาร์มเลี้ยงสัตว์ในออสเตรเลีย ซึ่งผู้ชายคนนี้กำลังเชิญผู้คนที่ใช้วีซ่าเยี่ยมเยียนที่ได้รับอนุญาตให้ทำงานในฟาร์มโดยพูดว่า "ฉันจะให้ที่อยู่แก่คุณ"

ปรากฎว่าเขาเป็น Peeping Tom

คนหนึ่งอยู่ที่บ้าน Airbnb ในไอร์แลนด์

ครอบครัวนี้เป็นครอบครัวที่เดินทางมาจากนิวซีแลนด์ พวกเขาเลยไม่ได้ขึ้นรถกลับบ้าน ยอมแพ้!

และอีกแห่งเป็นโรงแรมจริงในเกาหลีใต้… นี่เป็นโรงแรมที่น่าขนลุกจริงๆ

ฉันไม่คิดว่ามันเป็นเครือที่เป็นเจ้าของโรงแรม มันเป็นพนักงานทุจริตหรืออะไรบางอย่าง

พวกเขาวางกล้องสอดแนมไว้ในห้อง และฉันไม่ได้ล้อเล่นนะ ดั๊ก… จริงๆ แล้วพวกเขาขายโดยปกติจ่ายต่อการชม

ฉันหมายความว่ามันน่าขนลุกขนาดไหน?

ข่าวดี ในสองกรณีนั้น ผู้กระทำความผิดถูกจับกุมและถูกตั้งข้อหาจริง ๆ ดังนั้นจึงจบลงอย่างเลวร้ายสำหรับพวกเขา ซึ่งค่อนข้างถูกต้อง

ปัญหาคือ… ถ้าคุณอ่านเรื่องราวของ Airbnb (เรามีลิงก์ใน Naked Security) ผู้ชายที่อยู่ที่นั่นกับครอบครัวของเขาจริงๆ แล้วเป็นบุคคล IT ซึ่งเป็นผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์

และเขาสังเกตเห็นว่าห้องหนึ่ง (คุณควรประกาศว่ามีกล้องใน Airbnb หรือไม่) มีเครื่องตรวจจับควันไฟสองตัว

คุณเห็นเครื่องเตือนควันสองตัวเมื่อใด คุณต้องการเพียงหนึ่ง

ดังนั้นเขาจึงเริ่มมองไปที่หนึ่งในนั้น และมันดูเหมือนเครื่องเตือนควัน

อีกอันหนึ่ง รูเล็กๆ ที่มีไฟ LED กะพริบไม่กะพริบ

และเมื่อเขามองผ่านก็คิดว่า “นั่นหน้าตา สงสัยเหมือนเลนส์ สำหรับกล้อง!”

และที่จริงแล้วมันเป็นกล้องสอดแนมที่ปลอมตัวเป็นเครื่องเตือนควัน

เจ้าของได้เชื่อมต่อกับ Wi-Fi ปกติ ดังนั้นเขาจึงสามารถค้นหาได้โดยการสแกนเครือข่าย... โดยใช้เครื่องมือเช่น Nmap หรืออะไรทำนองนั้น

เขาพบอุปกรณ์นี้และเมื่อเขาส่ง Ping เห็นได้ชัดว่าจากลายเซ็นเครือข่ายของมัน จริงๆ แล้วมันคือเว็บแคม ถึงแม้ว่าเว็บแคมจะซ่อนอยู่ในสัญญาณแจ้งเตือนควันไฟก็ตาม

ดังนั้นเขาจึงโชคดี

เราเขียนบทความเกี่ยวกับสิ่งที่เขาพบ เชื่อมโยง และอธิบายสิ่งที่เขาบล็อกเกี่ยวกับในขณะนั้น

นี่เป็นย้อนกลับไปในปี 2019 ดังนั้นเมื่อสามปีที่แล้ว ดังนั้นเทคโนโลยีจึงน่าจะเข้ากันได้มากขึ้นตั้งแต่นั้นมา

อย่างไรก็ตาม เขาออนไลน์เพื่อดูว่า “จริง ๆ แล้วฉันมีโอกาสอะไรที่จะหากล้องในสถานที่ต่อไปที่ฉันอยู่”

และเขาเจอกล้องสอดแนม – ฉันคิดว่าคุณภาพของภาพจะแย่มาก แต่ก็ยังเป็น *กล้องสอดแนมดิจิทัลที่ใช้งานได้*…. ไม่ใช่ไร้สาย คุณต้องต่อสายเข้า - ฝังอยู่ *ในสกรูหัวแฉก* ดั๊ก!

---

ดั๊ก.  น่าอัศจรรย์

---

เป็ด.  แท้จริงแล้วประเภทของสกรูที่คุณจะพบในแผ่นปิดที่คุณได้รับบนสวิตช์ไฟ พูดคือขนาดของสกรูนั้น

หรือสกรูที่ติดบนแผ่นปิดปลั๊กไฟ… สกรูหัวแฉกขนาดปกติและพอประมาณ

---

ดั๊ก.  ฉันกำลังค้นหาพวกเขาใน Amazon ตอนนี้!

“กล้องรูเข็ม” ราคา 20 เหรียญ

---

เป็ด.  ถ้านั่นไม่ได้เชื่อมต่อกลับไปที่เครือข่ายเดียวกันหรือเชื่อมต่อกับอุปกรณ์ที่เพิ่งบันทึกลงในการ์ด SD จะหายากมาก!

น่าเศร้าที่คำตอบของคำถามนี้… เหตุผลที่ฉันไม่เขียนคำถามข้อที่ XNUMX ว่า “ฉันจะหา Spycam ในห้องที่ฉันพักได้อย่างไร”

คำตอบคือคุณสามารถลองได้ แต่น่าเสียดายที่ทั้งเรื่อง "การขาดหลักฐานไม่ใช่หลักฐานการขาด"

น่าเสียดายที่เราไม่มีคำแนะนำที่บอกว่า "มี Gizmo เล็กๆ น้อยๆ ที่คุณสามารถซื้อได้ซึ่งมีขนาดเท่ากับโทรศัพท์มือถือ คุณกดปุ่มและจะส่งเสียงบี๊บหากมีกล้องสอดแนมอยู่ในห้อง”

---

ดั๊ก.  ตกลง. เคล็ดลับสุดท้ายของเราสำหรับผู้ที่ไม่สามารถช่วยเหลือตัวเองได้: “ฉันจะไปเที่ยวพักผ่อน แต่ถ้าฉันต้องการนำแล็ปท็อปที่ทำงานไปด้วยล่ะ”

---

เป็ด.  ฉันไม่สามารถตอบได้ว่า

คุณไม่สามารถตอบได้ว่า

ไม่ใช่แล็ปท็อปของคุณ แต่เป็นแล็ปท็อปของที่ทำงาน

ดังนั้น คำตอบง่ายๆ คือ “ถาม!”

และถ้าพวกเขาถามว่า “คุณจะไปไหน” แล้วคุณให้ชื่อประเทศและเขาบอกว่า “ไม่”...

…เช่นนั้นก็รับไม่ได้

อาจจะแค่พูดว่า “เยี่ยมมาก ฉันขอฝากไว้ที่นี่ได้ไหม คุณล็อคมันไว้ในตู้ไอทีจนกว่าฉันจะกลับมาได้ไหม”

ถ้าคุณไปถามไอทีว่า “ฉันจะไป Country X ถ้าฉันเอาแล็ปท็อปที่ทำงานไปด้วย คุณมีคำแนะนำพิเศษอะไรไหม”…

…เล่าสู่กันฟัง!

เพราะถ้างานคิดว่ามีบางสิ่งที่คุณควรรู้เกี่ยวกับความเป็นส่วนตัวและการเฝ้าระวังในสถานที่ที่คุณไป สิ่งเหล่านั้นอาจนำไปใช้กับชีวิตที่บ้านของคุณ

---

ดั๊ก.  เอาล่ะนั่นเป็นบทความที่ดี…ไปอ่านส่วนที่เหลือ

---

เป็ด.  ฉันภูมิใจกับเสียงกริ๊งทั้งสองที่ฉันทำเสร็จแล้ว!

---

ดั๊ก.  โอ้ใช่!

เราเคยได้ยินว่า “ถ้าสงสัยก็อย่าปล่อย”

แต่นี่เป็นอันใหม่ที่คุณคิดขึ้นซึ่งฉันชอบจริงๆ….

---

เป็ด.  “ถ้าชีวิตคุณอยู่ที่โทรศัพท์/ทำไมไม่ปล่อยไว้ที่บ้านล่ะ”

---

ดั๊ก.  ใช่แล้ว!

เอาล่ะ เพื่อประโยชน์ของเวลา เรามีบทความอื่นในเว็บไซต์ที่ฉันขอให้คุณอ่าน สิ่งนี้เรียกว่า: Facebook 2FA scammers กลับมา ครั้งนี้ในเวลาเพียง 21 นาที

นี่เป็นกลโกงแบบเดียวกับที่เคยใช้เวลา 28 นาที ดังนั้นพวกเขาจึงกำจัดกลโกงนี้ไปเจ็ดนาที

และเรามีคำถามผู้อ่านเกี่ยวกับโพสต์นี้

ผู้อ่านปีเตอร์เขียนบางส่วน: “คุณคิดว่าสิ่งเหล่านี้เป็นเรื่องบังเอิญจริง ๆ เหรอ? ฉันได้ช่วยเปลี่ยนสัญญาบรอดแบนด์ British Telecom ของพ่อตาของฉันเมื่อเร็วๆ นี้ และวันที่การเปลี่ยนแปลงดำเนินต่อไป เขามีสายโทรศัพท์ฟิชชิ่งจาก British Telecom เห็นได้ชัดว่ามันอาจเกิดขึ้นได้ทุกวัน แต่เรื่องแบบนั้นทำให้คุณสงสัยเกี่ยวกับเวลา พอล…”

---

เป็ด.  ใช่ เรามักจะได้คนที่ไป “คุณรู้อะไรไหม? ฉันได้รับหนึ่งในกลโกงเหล่านี้…”

ไม่ว่าจะเป็นเกี่ยวกับเพจ Facebook หรือลิขสิทธิ์ Instagram หรือเช่นเดียวกับพ่อของผู้ชายคนนี้ การสื่อสารโทรคมนาคมเกี่ยวข้องกับ... “ฉันได้รับเรื่องหลอกลวงในเช้าวันรุ่งขึ้นหลังจากที่ฉันทำบางสิ่งที่เกี่ยวข้องโดยตรงกับสิ่งที่เป็นการหลอกลวง ไม่ใช่เรื่องบังเอิญอย่างแน่นอน?”

และฉันคิดว่าสำหรับคนส่วนใหญ่ เพราะพวกเขากำลังแสดงความคิดเห็นเกี่ยวกับ Naked Security พวกเขารู้ว่าเป็นการหลอกลวง ดังนั้นพวกเขาจึงพูดว่า "พวกมิจฉาชีพรู้แน่หรือ"

กล่าวอีกนัยหนึ่งต้องมีข้อมูลภายใน

ด้านกลับของสิ่งนั้นคือคนที่ *ไม่รู้* รู้ว่าเป็นการหลอกลวง และจะไม่แสดงความคิดเห็นเกี่ยวกับ Naked Security พวกเขาไปว่า “โอ้ ไม่ใช่เรื่องบังเอิญ ดังนั้นมันต้องเป็นของแท้!”

ในกรณีส่วนใหญ่ จากประสบการณ์ของผม มันเป็นเพียงเรื่องบังเอิญโดยพื้นฐานจากปริมาณ

ประเด็นก็คือว่าโดยส่วนใหญ่แล้ว ฉันเชื่อว่าการหลอกลวงเหล่านี้ที่คุณได้รับ เป็นเรื่องบังเอิญ และพวกมิจฉาชีพก็อาศัยข้อเท็จจริงที่ว่ามันง่ายที่จะ "สร้าง" เรื่องบังเอิญเหล่านั้นขึ้นเมื่อคุณส่งอีเมลจำนวนมากถึงหลายคนได้ ผู้คนได้อย่างง่ายดาย

และคุณไม่ได้พยายามหลอก *ทุกคน* คุณแค่พยายามหลอก *ใครบางคน*

และดั๊ก ถ้าฉันสามารถทำได้ในตอนท้าย: “ใช้ตัวจัดการรหัสผ่าน!”

เพราะคุณไม่สามารถใส่รหัสผ่านที่ถูกต้องลงในไซต์ที่ไม่ถูกต้องโดยไม่ได้ตั้งใจ และนั่นจะช่วยคุณอย่างมากในการหลอกลวงเหล่านั้น ไม่ว่าจะเกิดขึ้นโดยบังเอิญหรือไม่ก็ตาม

---

ดั๊ก.  เอาล่ะ ดีมากเช่นเคย!

ขอบคุณสำหรับความคิดเห็น, ปีเตอร์.

หากคุณมีเรื่องราว ข้อคิดเห็น หรือคำถามที่น่าสนใจที่คุณต้องการส่ง เรายินดีที่จะอ่านในพอดแคสต์

คุณสามารถส่งอีเมลไปที่ tips@sophos.com หรือแสดงความคิดเห็นในบทความของเรา หรือจะติดต่อหาเราบนโซเชียล: @nakedsecurity

นั่นคือการแสดงของเราในวันนี้ ขอบคุณมากสำหรับการฟัง

สำหรับ Paul Ducklin ฉัน Doug Aamoth เตือนคุณจนถึงครั้งต่อไป ให้...

---

ทั้งสอง  รักษาความปลอดภัย!

[โมเด็มดนตรี]