S3 Ep92: Log4Shell4Ever, mẹo du lịch và tính hấp dẫn [Âm thanh + Văn bản]

Nhấp và kéo vào các sóng âm thanh bên dưới để chuyển đến bất kỳ điểm nào. Bạn cũng có thể nghe trực tiếp trên Soundcloud.

CHÓ.  Lừa đảo trên Facebook, Log4Shell mãi mãi và các mẹo cho một mùa hè an toàn trên mạng.

Tất cả những điều đó, và hơn thế nữa, trên Podcast Naked Security.

[CHẾ ĐỘ ÂM NHẠC]

Chào mừng mọi người đến với podcast.

Tôi là Doug Aamoth, và với tôi, như mọi khi, là Paul Ducklin.

Bạn khỏe không, Paul?

---

VỊT.  Tôi là siêu duper, Douglas.

Ở Anh đang bắt đầu hạ nhiệt một chút.

---

CHÓ.  Vâng.

---

VỊT.  Tôi nghĩ rằng tôi đã chọn sai ngày để đi một chuyến đi xe đạp ở vùng quê rộng lớn.

Đó là một ý tưởng hay khi tôi đặt ra: "Tôi biết, tôi sẽ đi một chuyến dài tốt đẹp, và sau đó tôi sẽ bắt tàu về nhà, vì vậy tôi ở nhà có nhiều thời gian cho podcast."

Và khi tôi đến đó, vì cái nóng cực độ, các chuyến tàu chỉ chạy hai giờ một lần, và tôi đã bỏ lỡ một chuyến.

Vì vậy, tôi đã phải quay trở lại ... và tôi đã đến kịp thời gian.

---

CHÓ.  OK, bạn đi rồi… bạn và tôi đang ở trong mùa hè sôi động, và chúng tôi có một số mẹo cho mùa hè sắp tới trong chương trình.

Nhưng trước tiên, tôi muốn nói về Tuần này trong Lịch sử Công nghệ.

Tuần này, năm 1968, Tập đoàn Intel được thành lập bởi Gordon Moore (ông của Định luật Moore) và Robert Noyce.

Noyce được coi là nhà tiên phong của mạch tích hợp, hay vi mạch.

Bộ vi xử lý đầu tiên của Intel sẽ là 4004, được sử dụng cho máy tính.

Và, một Sự thật thú vị, cái tên Intel là sự kết hợp của INTegrated ELectronics.

Vì vậy… công ty đó hóa ra khá tốt.

---

VỊT.  Có!

Tôi đoán, công bằng mà nói, có thể bạn sẽ nói, “Đồng tiên phong”?

---

CHÓ.  Đúng. Tôi đã có, "Một người tiên phong."

---

VỊT.  Jack Kilby, của Texas Instruments, tôi nghĩ đã nghĩ ra mạch tích hợp đầu tiên, nhưng nó vẫn yêu cầu các bộ phận trong mạch phải được nối dây với nhau.

Và Noyce đã giải quyết vấn đề làm thế nào để nướng tất cả chúng trong silicon.

Tôi thực sự đã tham dự một bài phát biểu của Jack Kilburn, khi tôi còn là một nhà khoa học máy tính mới đúc.

Hoàn toàn hấp dẫn - nghiên cứu vào những năm 1950 ở Mỹ!

Và dĩ nhiên, Kilby đã nhận được giải Nobel, tôi nghĩ là vào năm 2000.

Nhưng Robert Noyce, tôi chắc chắn, sẽ là người chiến thắng chung cuộc, nhưng ông ấy đã chết vào thời điểm đó, và bạn không thể nhận được giải Nobel sau khi hoàn thành.

Vì vậy, Noyce đã không bao giờ nhận được giải Nobel, và Jack St. Clair Kilby đã làm như vậy.

---

CHÓ.  Chà, đó là một thời gian dài trước đây…

… Và một thời gian dài kể từ bây giờ, chúng ta có thể vẫn đang nói về Log4Shell…

---

VỊT.  Ồ, vâng.

---

CHÓ.  Mặc dù nếu có một bản sửa lỗi cho nó, Hoa Kỳ đã đưa ra và nói rằng có thể hàng thập kỷ trước khi điều này thực sự đã sửa.

---

VỊT.  Công bằng mà nói ... họ nói, "Có lẽ là một thập kỷ hoặc lâu hơn."

Đây là một cơ thể được gọi là Hội đồng đánh giá an ninh mạng, CSRB (một phần của Bộ An ninh Nội địa), được thành lập vào đầu năm nay.

Tôi không biết liệu nó được hình thành đặc biệt vì Log4Shell hay chỉ vì vấn đề mã nguồn chuỗi cung ứng đang trở thành một vấn đề lớn.

Và gần tám tháng sau khi Log4Shell thành công, họ đã tạo ra báo cáo này, gồm 42 trang… chỉ riêng phần tóm tắt điều hành đã dài tới gần 3 trang.

Và khi tôi lần đầu tiên nhìn lướt qua cái này, tôi đã nghĩ, "Ồ, chúng ta bắt đầu."

Một số công chức đã được nói, “Nào, báo cáo của bạn đâu? Bạn là hội đồng đánh giá. Xuất bản hoặc hủy diệt! ”

Trên thực tế, mặc dù các phần của nó thực sự rất nặng nề, tôi nghĩ bạn nên đọc qua phần này.

Họ đưa ra một số nội dung về cách thức, với tư cách là nhà cung cấp phần mềm, với tư cách là người sáng tạo phần mềm, với tư cách là công ty cung cấp giải pháp phần mềm cho người khác, thực ra không khó để bạn dễ dàng liên hệ, vì vậy mọi người có thể cho bạn biết khi có điều gì đó bạn đã bỏ qua.

Ví dụ: "Vẫn còn một phiên bản Log4J trong mã của bạn mà bạn không nhận thấy với ý chí tốt nhất trên thế giới và bạn chưa sửa."

Tại sao bạn không muốn ai đó đang cố gắng giúp bạn có thể tìm thấy bạn và liên hệ với bạn một cách dễ dàng?

---

CHÓ.  Và họ nói những điều như… điều đầu tiên này là một loại tiền cược, nhưng nó tốt cho bất kỳ ai, đặc biệt là các doanh nghiệp nhỏ hơn chưa nghĩ đến điều này: Phát triển kho tài sản và ứng dụng, để bạn biết mình đang chạy cái gì ở đâu.

---

VỊT.  Họ không đe dọa hay yêu cầu điều này một cách rõ ràng, bởi vì những công chức này không phải làm luật (đó là tùy thuộc vào cơ quan lập pháp)… nhưng tôi nghĩ những gì họ đang nói là, “Hãy phát triển năng lực đó, bởi vì nếu bạn không , hoặc bạn không thể bị làm phiền, hoặc bạn không thể tìm ra cách làm điều đó, hoặc bạn nghĩ rằng khách hàng của bạn sẽ không nhận thấy, cuối cùng bạn có thể thấy rằng bạn có rất ít hoặc không có lựa chọn nào khác! ”

Đặc biệt nếu bạn muốn bán sản phẩm cho chính phủ liên bang! [CON GÁI]

---

CHÓ.  Có, và chúng tôi đã nói về điều này trước đây… một điều khác mà một số công ty có thể chưa nghĩ đến, nhưng điều quan trọng là phải có: Một chương trình ứng phó với lỗ hổng bảo mật.

Điều gì xảy ra trong trường hợp bạn có một lỗ hổng bảo mật?

Các bước bạn thực hiện là gì?

Kế hoạch trò chơi mà bạn làm theo để giải quyết những vấn đề đó là gì?

---

VỊT.  Vâng, đó là những gì tôi đã ám chỉ trước đó.

Phần đơn giản của điều đó là bạn chỉ cần một cách dễ dàng để ai đó tìm ra nơi họ gửi báo cáo trong tổ chức của bạn… và sau đó bạn cần phải cam kết, trong nội bộ công ty, rằng khi bạn nhận được báo cáo, bạn sẽ thực sự hành động trên chúng.

Như tôi đã nói, chỉ cần tưởng tượng rằng bạn có bộ công cụ Java lớn này mà bạn đang bán, một ứng dụng lớn với rất nhiều thành phần và trong một trong những hệ thống back-end, có thứ Java lớn này.

Và trong đó, hãy tưởng tượng vẫn còn một Log4J dễ bị tổn thương .JAR tệp mà bạn đã bỏ qua.

Tại sao bạn không muốn người phát hiện ra nó có thể cho bạn biết một cách nhanh chóng và dễ dàng, ngay cả với một email đơn giản?

Số lần bạn lên Twitter và thấy các nhà nghiên cứu an ninh mạng nổi tiếng nói, "Này, có ai biết cách liên hệ với XYZ Corp không?"

Chẳng phải chúng ta đã có một trường hợp trên podcast của một anh chàng cuối cùng… Tôi nghĩ anh ta đã lên TikTok hoặc một cái gì đó tương tự như vậy [LAUGHTER] bởi vì anh ta không thể tìm ra làm thế nào để liên hệ với công ty này.

Và anh ấy đã tạo một video nói rằng, "Này các bạn, tôi biết các bạn yêu thích các video trên mạng xã hội của mình, tôi chỉ đang cố gắng nói với các bạn về lỗi này".

Và cuối cùng họ nhận thấy điều đó.

Giá như anh ấy có thể vào công ty của bạn DOT com SLASH security DOT txt chẳng hạn, và tìm thấy một địa chỉ email!

“Đó là nơi chúng tôi muốn bạn liên hệ với chúng tôi. Hoặc chúng tôi kiếm tiền thưởng lỗi thông qua chương trình này… đây là cách bạn đăng ký. Nếu bạn muốn được trả tiền ”.

Nó không khó lắm!

Và điều đó có nghĩa là ai đó muốn thông báo cho bạn rằng bạn có một lỗi mà bạn có thể nghĩ rằng bạn đã sửa có thể cho bạn biết.

---

CHÓ.  Tôi thực sự thích việc tháo gỡ trong bài viết này!

Bạn viết và đăng kênh John F. Kennedy, nói [KENNEDY VOICE] “Đừng hỏi người khác có thể làm gì cho bạn mà hãy nghĩ về những gì bạn có thể làm cho chính mình, bởi vì bất kỳ cải tiến nào bạn thực hiện gần như chắc chắn sẽ mang lại lợi ích cho mọi người. ”

Được rồi, điều đó có trên trang web nếu bạn muốn đọc về nó… bắt buộc phải đọc nếu bạn đang ở bất kỳ vị trí nào mà bạn phải đối phó với một trong những điều này.

Đây là một bài đọc tốt… ít nhất hãy đọc bản tóm tắt ba trang, nếu không phải là bản báo cáo dài 42 trang.

---

VỊT.  Vâng, nó dài, nhưng tôi thấy nó chu đáo một cách đáng ngạc nhiên, và tôi rất ngạc nhiên.

Và tôi nghĩ nếu mọi người đọc cái này, và những người ngẫu nhiên lấy một phần mười ngẫu nhiên của nó vào trái tim…

… Chúng ta nên tập thể ở một nơi tốt hơn.

---

CHÓ.  Được rồi, đi ngay.

Đó là mùa nghỉ hè và điều đó thường liên quan đến việc mang theo các thiết bị của bạn.

Chúng tôi có một số mẹo để thưởng thức kỳ nghỉ hè của bạn mà không có, errr, "không tận hưởng" nó.

---

VỊT.  “Chúng ta nên sử dụng bao nhiêu tiện ích? [DRAMATIC] Đóng gói tất cả! ”

Đáng buồn thay, bạn càng thực hiện nhiều, rủi ro của bạn càng lớn, nói một cách lỏng lẻo.

---

CHÓ.  Mẹo đầu tiên của bạn ở đây là bạn đang đóng gói tất cả các thiết bị của mình… bạn có nên sao lưu trước khi khởi hành không?

Đoán câu trả lời là, "Có!"

---

VỊT.  Tôi nghĩ nó khá rõ ràng.

Mọi người đều biết bạn nên tạo một bản sao lưu, nhưng họ đã tắt nó đi.

Vì vậy, tôi nghĩ đó là một cơ hội để rút ra câu châm ngôn nhỏ của chúng tôi, hay còn gọi là sự thật: "Phương án dự phòng duy nhất mà bạn sẽ hối tiếc là thứ mà bạn đã không thực hiện."

Và một điều nữa về việc đảm bảo rằng bạn đã sao lưu thiết bị - cho dù đó là tài khoản đám mây mà bạn đăng xuất sau đó hay vào ổ đĩa di động mà bạn mã hóa và đặt trong tủ ở đâu đó - điều đó có nghĩa là bạn có thể loại bỏ dấu chân kỹ thuật số của bạn trên thiết bị.

Chúng ta sẽ tìm hiểu lý do tại sao đó có thể là một ý tưởng hay… chỉ để bạn không mang theo toàn bộ lịch sử và cuộc sống kỹ thuật số của mình.

Vấn đề là bằng cách có một bản sao lưu tốt, và sau đó thu nhỏ những gì bạn thực sự có trên điện thoại, sẽ ít xảy ra sai sót hơn nếu bạn làm mất nó; nếu nó bị tịch thu; nếu các quan chức nhập cư muốn xem xét nó; sao cung được.

---

CHÓ.  Và, phần nào liên quan đến việc di chuyển xung quanh, bạn có thể bị mất máy tính xách tay và hoặc điện thoại di động của mình… vì vậy bạn nên mã hóa các thiết bị đó.

---

VỊT.  Vâng.

Ngày nay, hầu hết các thiết bị đều được mã hóa theo mặc định.

Điều đó chắc chắn đúng với Android; nó chắc chắn đúng với iOS; Và tôi nghĩ rằng khi bạn mua máy tính xách tay Windows ngày nay, BitLocker sẽ ở đó.

Tôi không phải là người dùng Windows, vì vậy tôi không chắc… nhưng chắc chắn, ngay cả khi bạn có Windows Home Edition (điều này thật khó chịu, và tôi hy vọng điều này sẽ thay đổi trong tương lai, thật khó chịu sẽ không cho phép bạn sử dụng BitLocker trên ổ đĩa di động) … Nó cho phép bạn sử dụng BitLocker trên đĩa cứng của mình.

Tại sao không?

Bởi vì nó có nghĩa là nếu bạn làm mất nó, hoặc nó bị tịch thu, hoặc máy tính xách tay hoặc điện thoại của bạn bị đánh cắp, không chỉ là trường hợp kẻ gian mở máy tính xách tay của bạn, rút ​​ổ cứng, cắm nó vào một máy tính khác và đọc tất cả mọi thứ. , giống như vậy.

Tại sao không thực hiện các biện pháp phòng ngừa?

Và, tất nhiên, trên điện thoại, nói chung vì nó được mã hóa trước, các khóa mã hóa được tạo trước và được bảo vệ bằng mã khóa của bạn.

Đừng đi, "Chà, tôi sẽ đi trên đường, tôi có thể bị áp lực, tôi có thể cần nó gấp ... Tôi sẽ chỉ sử dụng 1234 or 0000 trong suốt thời gian của kỳ nghỉ. ”

Đừng làm vậy!

Mã khóa trên điện thoại của bạn là mã quản lý các khóa giải mã và mã hóa đầy đủ thực tế cho dữ liệu trên điện thoại.

Vì vậy, hãy chọn một mã khóa dài… Tôi khuyên bạn nên dùng mười chữ số hoặc lâu hơn.

Đặt nó và thực hành sử dụng nó ở nhà trong vài ngày, trong một tuần trước khi bạn rời đi, cho đến khi nó trở thành bản chất thứ hai.

Đừng chỉ đi, 1234 là đủ tốt, hoặc "Ồ, tôi sẽ có một mã khóa dài ... Tôi sẽ đi 0000 0000, đó là ký tự * tám *, sẽ không ai nghĩ đến điều đó! ”

---

CHÓ.  OK, và đây là một điều thực sự thú vị: Bạn có một số lời khuyên về những người vượt biên giới quốc gia.

---

VỊT.  Vâng, điều đó đã trở thành một vấn đề ngày nay.

Bởi vì nhiều quốc gia - tôi nghĩ Mỹ và Anh nằm trong số đó, nhưng không phải là duy nhất - có thể nói, “Hãy nhìn xem, chúng tôi muốn xem xét thiết bị của bạn. Bạn có mở khóa được không? ”

Và Bạn đi, “Không, tất nhiên là không! Nó là riêng tư! Bạn không có quyền làm điều đó! "

Chà, có thể họ làm, và có thể họ không ... bạn chưa ở trong nước.

Đó là “Nhà bếp của tôi, Quy tắc của tôi”, vì vậy họ có thể nói, “Được rồi, tốt thôi, * bạn * có mọi quyền từ chối… nhưng sau đó * chúng tôi * sẽ từ chối việc nhập học của bạn. Hãy đợi ở đây trong phòng chờ đến cho đến khi chúng tôi có thể chuyển bạn đến phòng chờ khởi hành để lên chuyến bay tiếp theo về nhà! ”

Về cơ bản, đừng * lo lắng * về những gì sắp xảy ra, chẳng hạn như "Tôi có thể bị buộc phải tiết lộ dữ liệu ở biên giới."

* Tra cứu * điều kiện nhập cảnh là gì… các quy tắc về quyền riêng tư và giám sát tại quốc gia bạn sắp đến.

Và nếu bạn thực sự không thích chúng, thì đừng đến đó! Tìm một nơi khác để đi đến.

Hoặc chỉ cần nhập quốc gia, nói sự thật và giảm dấu ấn kỹ thuật số của bạn.

Giống như chúng ta đã nói với bản sao lưu… bạn càng ít mang theo thứ “cuộc sống kỹ thuật số” thì càng ít xảy ra sai sót và càng ít có khả năng bạn đánh mất nó.

Vì vậy, "Hãy chuẩn bị" là những gì tôi đang nói.

---

CHÓ.  OK, và đây là một cái hay: Wi-Fi công cộng, nó an toàn hay không an toàn?

Nó phụ thuộc, tôi đoán?

---

VỊT.  Vâng.

Có rất nhiều người nói, "Tuyệt vời, nếu bạn sử dụng Wi-Fi công cộng, bạn sẽ phải chết!"

Tất nhiên, chúng ta thực sự đã sử dụng Wi-Fi công cộng trong nhiều năm.

Tôi không biết có ai thực sự ngừng sử dụng nó vì sợ bị tấn công hay không, nhưng tôi biết mọi người thường nói: “Chà, tôi biết rủi ro là gì. Bộ định tuyến đó có thể thuộc sở hữu của bất kỳ ai. Nó có thể có một số kẻ gian trên đó; nó có thể có một nhà điều hành quán cà phê vô đạo đức; hoặc có thể chỉ là ai đó đã hack nó, người đã ở đây đi nghỉ vào tháng trước vì họ nghĩ rằng điều đó thật buồn cười và nó làm rò rỉ dữ liệu vì 'ha ha ha'. ”

Nhưng nếu bạn đang sử dụng các ứng dụng có mã hóa đầu cuối và nếu bạn đang sử dụng các trang web là HTTPS để chúng được mã hóa đầu cuối giữa thiết bị của bạn và đầu kia, thì có những giới hạn đáng kể đối với điều mà ngay cả một bộ định tuyến bị tấn công hoàn toàn cũng có thể tiết lộ.

Bởi vì bất kỳ phần mềm độc hại nào được cấy bởi khách truy cập trước đó sẽ được cấy vào * bộ định tuyến *, không phải trên * thiết bị của bạn *.

---

CHÓ.  OK, tiếp theo… cái mà tôi coi là phiên bản điện toán của những nhà vệ sinh công cộng hiếm khi được dọn dẹp.

Tôi có nên sử dụng máy tính kiosk ở sân bay hoặc khách sạn không?

An ninh mạng sang một bên… chỉ là số người đã chạm tay vào bàn phím và chuột bẩn thỉu, bẩn thỉu đó!

---

VỊT.  Chính xác.

Vì vậy, đây là mặt trái của câu hỏi "Tôi có nên sử dụng Wi-Fi công cộng không?"

Tôi nên sử dụng Kkiosk PC, chẳng hạn như trong khách sạn hay trong sân bay?

Sự khác biệt lớn giữa bộ định tuyến Wi-Fi bị tấn công và một máy tính kiosk bị tấn công là nếu lưu lượng truy cập của bạn được mã hóa thông qua bộ định tuyến bị xâm phạm, thì sẽ có giới hạn về mức độ nó có thể theo dõi bạn.

Nhưng nếu lưu lượng truy cập của bạn bắt nguồn từ một máy tính kiosk bị tấn công hoặc bị xâm phạm, thì về cơ bản, theo quan điểm an ninh mạng, * đó là Trò chơi kết thúc 100% *.

Nói cách khác, PC kiosk đó có thể có quyền truy cập không bị kiểm soát vào * tất cả dữ liệu mà bạn gửi và nhận trên internet * trước khi nó được mã hóa (và sau khi nội dung bạn lấy lại được giải mã).

Vì vậy, mã hóa về cơ bản trở nên không liên quan.

* Mỗi lần gõ phím bạn gõ *… bạn nên cho rằng nó đang được theo dõi.

* Mỗi khi có thứ gì đó xuất hiện trên màn hình *… bạn nên cho rằng ai đó có thể chụp ảnh màn hình.

* Mọi thứ bạn in ra *… bạn nên cho rằng có một bản sao được tạo trong một tệp ẩn nào đó.

Vì vậy, lời khuyên của tôi là hãy coi những chiếc máy tính kiosk đó như một thứ xấu xa cần thiết và chỉ sử dụng chúng nếu bạn thực sự phải làm vậy.

---

CHÓ.  Vâng, tôi đã ở một khách sạn vào cuối tuần trước, nơi có một chiếc máy tính kiosk, và sự tò mò đã làm tôi nổi lên.

Tôi bước lên… nó đang chạy Windows 10 và bạn có thể cài đặt bất cứ thứ gì trên đó.

Nó không bị khóa và những ai đã sử dụng nó trước đây chưa đăng xuất khỏi Facebook!

Và đây là một chuỗi khách sạn đáng ra phải được biết đến nhiều hơn… nhưng nó chỉ là một hệ thống rộng mở chưa ai đăng xuất; một đống tiềm năng của tội phạm mạng đang chờ đợi xảy ra.

---

VỊT.  Vì vậy, bạn có thể chỉ cần cắm một thanh USB và sau đó đi đến "Cài đặt keylogger"?

---

CHÓ.  Có!

---

VỊT.  “Cài đặt trình kiểm tra mạng.”

---

CHÓ.  Uh hả!

---

VỊT.  “Cài đặt rootkit.”

---

CHÓ.  Có!

---

VỊT.  “Đặt đầu lâu rực lửa trên hình nền.”

---

CHÓ.  Không cám ơn!

Câu hỏi tiếp theo này không có câu trả lời hay…

Điều gì về thư rác và phòng khách sạn và Airbnbs?

Những thứ này rất khó tìm.

---

VỊT.  Vâng, tôi đặt câu hỏi đó vì đó là một câu hỏi mà chúng tôi thường xuyên được hỏi.

Chúng tôi đã viết về ba trường hợp khác nhau của camera gián điệp không được khai báo. (Đó là một loại suy luận, phải không?)

Một người ở trong một nhà trọ dành cho công việc nông trại ở Úc, nơi mà chương này đang mời những người có visa du lịch được phép làm công việc đồng áng, nói rằng “Tôi sẽ cho bạn một chỗ để ở.”

Hóa ra anh ta là Tom Peeping.

Một người ở nhà Airbnb ở Ireland.

Đây là một gia đình đã đi du lịch khắp nơi từ New Zealand, vì vậy họ không thể chỉ lên xe và về nhà, bỏ cuộc!

Và cái còn lại là một khách sạn thực tế ở Hàn Quốc ... đây là một cái thực sự đáng sợ.

Tôi không nghĩ đó là chuỗi sở hữu khách sạn, đó là một số nhân viên tham nhũng hay gì đó.

Họ đặt camera gián điệp trong các phòng, và tôi không nghĩ vậy, Doug… họ thực sự đang bán, về cơ bản, trả tiền cho mỗi lần xem.

Ý tôi là, điều đó thật đáng sợ làm sao?

Tin tốt là trong hai trường hợp đó, thủ phạm đã thực sự bị bắt và bị buộc tội, vì vậy nó đã kết thúc không tốt cho họ, điều này hoàn toàn đúng.

Vấn đề là… nếu bạn đọc câu chuyện trên Airbnb (chúng tôi có liên kết về Naked Security), anh chàng đang ở đó cùng gia đình thực sự là một It person, một chuyên gia về an ninh mạng.

Và anh ấy nhận thấy rằng một trong các phòng (bạn phải khai báo nếu có bất kỳ camera nào trong Airbnb, dường như) có hai thiết bị báo động khói.

Khi nào bạn thấy hai chuông báo khói? Bạn chỉ cần một cái.

Và vì vậy anh ấy bắt đầu nhìn vào một trong số chúng, và nó trông giống như một chiếc báo động khói.

Cái còn lại, tốt, lỗ nhỏ có đèn LED nhấp nháy không nhấp nháy.

Và khi anh ấy nhìn qua, anh ấy nghĩ, "Điều đó trông đáng ngờ như một ống kính cho một chiếc máy ảnh! ”

Và trên thực tế, đó là một camera gián điệp ngụy trang thành một thiết bị báo động khói.

Chủ sở hữu đã kết nối nó với Wi-Fi thông thường, vì vậy anh ta có thể tìm thấy nó bằng cách quét mạng… bằng cách sử dụng một công cụ như Nmap hoặc một cái gì đó tương tự.

Anh ta đã tìm thấy thiết bị này và khi anh ta ping nó, khá rõ ràng, từ chữ ký mạng của nó, rằng nó thực sự là một webcam, mặc dù một chiếc webcam được ẩn trong một thiết bị báo động khói.

Vì vậy, anh ấy đã gặp may mắn.

Chúng tôi đã viết một bài báo về những gì anh ấy tìm thấy, liên kết và giải thích những gì anh ấy đã viết blog vào thời điểm đó.

Điều này đã trở lại vào năm 2019, vì vậy đây là ba năm trước, vì vậy công nghệ có thể đã xuất hiện nhiều hơn một chút kể từ đó.

Dù sao, anh ấy đã lên mạng để xem, "Tôi thực sự có cơ hội nào để tìm thấy máy ảnh ở những nơi tiếp theo mà tôi ở?"

Và anh ấy bắt gặp một chiếc máy ảnh gián điệp - tôi tưởng tượng chất lượng hình ảnh sẽ khá khủng khiếp, nhưng nó vẫn là một chiếc * máy ảnh gián điệp kỹ thuật số đang hoạt động *…. không phải không dây, bạn phải cắm dây vào - được nhúng * trong một con vít có đầu Phillips *, Doug!

---

CHÓ.  Kinh ngạc.

---

VỊT.  Theo nghĩa đen, loại vít mà bạn sẽ tìm thấy trong tấm bìa mà bạn có trên công tắc đèn, chẳng hạn như kích thước vít đó.

Hoặc con vít mà bạn có trên tấm đậy ổ cắm điện… một con vít đầu Phillips có kích thước thông thường và khiêm tốn.

---

CHÓ.  Tôi đang tìm kiếm chúng trên Amazon ngay bây giờ!

“Máy ảnh vặn lỗ kim”, với giá 20 đô la.

---

VỊT.  Nếu thiết bị đó không được kết nối trở lại với cùng một mạng hoặc nếu nó được kết nối với một thiết bị chỉ ghi vào thẻ SD, thì sẽ rất khó tìm!

Vì vậy, thật đáng buồn, câu trả lời cho câu hỏi này ... lý do tại sao tôi không viết câu hỏi thứ sáu là, "Làm cách nào để tìm thấy thư rác trong phòng tôi đã ở?"

Câu trả lời là bạn có thể thử, nhưng không may, đó là toàn bộ điều "Sự vắng mặt của bằng chứng không phải là bằng chứng của sự vắng mặt".

Thật không may, chúng tôi không có lời khuyên rằng “Có một chút gizmo bạn có thể mua có kích thước bằng một chiếc điện thoại di động. Bạn nhấn một nút và nó sẽ nổ tung nếu có một spycam trong phòng. "

---

CHÓ.  ĐƯỢC RỒI. Mẹo cuối cùng của chúng tôi dành cho những người không thể tự giúp mình: "Tôi đang đi nghỉ, nhưng nếu tôi muốn mang theo máy tính xách tay làm việc của mình thì sao?"

---

VỊT.  Tôi không thể trả lời điều đó.

Bạn không thể trả lời điều đó.

Nó không phải là máy tính xách tay của bạn, nó là máy tính xách tay của công việc.

Vì vậy, câu trả lời đơn giản là, "Hãy hỏi!"

Và nếu họ nói, "Bạn sẽ đi đâu?", Và bạn cung cấp tên của đất nước và họ nói, "Không"…

… Thì đó là điều đó, bạn không thể mang theo nó.

Có lẽ chỉ cần nói, “Tuyệt, tôi có thể để nó ở đây được không? Bạn có thể nhốt nó trong tủ CNTT cho đến khi tôi lấy lại được không? ”

Nếu bạn đến và hỏi CNTT, “Tôi sẽ đến Quốc gia X. Nếu tôi mang theo máy tính xách tay đi làm, bạn có đề xuất đặc biệt nào không?”…

… Hãy lắng nghe họ!

Bởi vì nếu công việc cho rằng có những điều bạn phải biết về quyền riêng tư và sự giám sát ở nơi bạn đến, thì những điều đó có thể áp dụng cho cuộc sống gia đình của bạn.

---

CHÓ.  Được rồi, đó là một bài báo tuyệt vời ... hãy đọc phần còn lại của nó.

---

VỊT.  Tôi rất tự hào về hai tiếng leng keng mà tôi đã hoàn thành!

---

CHÓ.  Ồ, vâng!

Chúng tôi đã nghe nói, "Nếu nghi ngờ, đừng đưa ra."

Nhưng đây là một cái mới mà bạn đã nghĩ ra, cái mà tôi thực sự thích….

---

VỊT.  "Nếu cuộc sống của bạn nằm trên điện thoại của bạn / Tại sao không để nó ở nhà?"

---

CHÓ.  Vâng, bạn hiểu rồi!

Được rồi, vì lợi ích của thời gian, chúng tôi có một bài viết khác trên trang web này, tôi mong bạn đọc. Đây được gọi là: Facebook Những kẻ lừa đảo 2FA trở lại, lần này chỉ trong 21 phút.

Đây là trò lừa đảo tương tự trước đây diễn ra trong 28 phút, vì vậy họ đã bỏ qua bảy phút lừa đảo này.

Và chúng tôi có một câu hỏi của độc giả về bài đăng này.

Độc giả Peter viết, một phần: “Cô thực sự nghĩ những điều này là trùng hợp sao? Gần đây, tôi đã giúp thay đổi hợp đồng băng thông rộng British Telecom của bố vợ tôi và vào ngày thay đổi diễn ra, ông ấy đã nhận được một cuộc điện thoại lừa đảo từ British Telecom. Rõ ràng, nó có thể xảy ra bất cứ ngày nào, nhưng những việc như vậy khiến bạn băn khoăn về thời điểm. Paul… ”

---

VỊT.  Có, chúng tôi luôn nhận được những người đi, "Bạn biết không? Tôi có một trong những trò gian lận này… ”

Cho dù đó là về bản quyền trang Facebook hay Instagram hay, như cha của chap này, liên quan đến viễn thông… “Tôi đã nhận được vụ lừa đảo ngay sáng hôm sau khi tôi làm điều gì đó liên quan trực tiếp đến nội dung của trò lừa đảo. Chắc chắn đó không phải là một sự trùng hợp ngẫu nhiên? ”

Và tôi nghĩ rằng đối với hầu hết mọi người, vì họ đang bình luận về Naked Security, họ nhận ra đó là một trò lừa đảo, vì vậy họ nói, "Chắc chắn là kẻ gian đã biết?"

Nói cách khác, phải có một số thông tin nội bộ.

Mặt trái của điều đó là những người * không * nhận ra rằng đó là một trò lừa đảo, và sẽ không bình luận về Bảo mật khỏa thân, họ đi, "Ồ, đó không thể là sự trùng hợp, vì vậy nó phải là hàng thật!"

Trong hầu hết các trường hợp, theo kinh nghiệm của tôi, đó hoàn toàn là sự trùng hợp ngẫu nhiên, đơn giản là trên cơ sở khối lượng.

Vì vậy, vấn đề là trong hầu hết các trường hợp, tôi tin rằng những trò gian lận mà bạn nhận được, chúng là sự trùng hợp và những kẻ lừa đảo đang dựa vào thực tế rằng thật dễ dàng để "tạo ra" những sự trùng hợp đó khi bạn có thể gửi rất nhiều email cho rất nhiều mọi người quá dễ dàng.

Và bạn không cố lừa * mọi người *, bạn chỉ đang cố lừa * ai đó *.

Và Doug, nếu tôi có thể cố gắng cuối cùng: “Hãy sử dụng trình quản lý mật khẩu!”

Bởi vì sau đó bạn không thể đặt nhầm mật khẩu vào trang web sai và điều đó sẽ giúp bạn rất nhiều trong những trò gian lận đó, cho dù chúng có trùng hợp hay không.

---

CHÓ.  Được rồi, rất tốt như mọi khi!

Cảm ơn bạn đã nhận xét, Peter.

Nếu bạn có một câu chuyện, nhận xét hoặc câu hỏi thú vị mà bạn muốn gửi, chúng tôi rất muốn đọc nó trên podcast.

Bạn có thể gửi email tới tips@sophos.com, bạn có thể nhận xét về bất kỳ bài viết nào của chúng tôi hoặc bạn có thể đánh giá chúng tôi trên mạng xã hội: @nakedsecurity.

Đó là chương trình của chúng tôi cho ngày hôm nay; cảm ơn rất nhiều vì đã lắng nghe

Đối với Paul Ducklin, tôi là Doug Aamoth, sẽ nhắc bạn, cho đến lần sau, hãy…

---

CẢ HAI.  Giữ an toàn!

[CHẾ ĐỘ ÂM NHẠC]