![S3 Ep92:Log4Shell4Ever、旅行小贴士和骗局 [音频 + 文本] PlatoBlockchain 数据智能。 垂直搜索。 哎。](https://platoblockchain.com/wp-content/uploads/2022/07/ns-s3-ep92-1200.jpg "S3 Ep92:Log4Shell4Ever、旅行小贴士和骗局 [音频 + 文字]")
LISTEN NOW
单击并拖动下面的声波以跳到任何一点。你也可以 直接听 在 Soundcloud 上。
与道格·阿莫斯和保罗·达克林一起。
介绍和结尾音乐 伊迪丝·马奇.
你可以听我们的 的SoundCloud, 苹果播客, Google播客, Spotify, 缝 以及任何可以找到好的播客的地方。 或者只是放下 我们的 RSS 提要的 URL 进入你最喜欢的播客。
阅读成绩单
道格。 Facebook 骗局、永远的 Log4Shell 以及网络安全夏季的提示。
所有这些,以及更多,都在 Naked Security 播客上。
[音乐调制解调器]
欢迎大家收听播客。
我是 Doug Aamoth,和往常一样,和我在一起的是 Paul Ducklin。
你好吗,保罗?
鸭。 我是超级骗子,道格拉斯。
在英格兰这里开始降温了。
道格。 是的。
鸭。 我想我选择了错误的日子去骑一个不错的乡村自行车。
当我出发时,这是个好主意:“我知道,我会骑一段很长的路,然后坐火车回家,所以我有足够的时间在家收听播客。”
当我到达那里时,由于酷热,火车每两个小时才开一班,而我只是错过了一班。
所以我不得不一路骑回来……而且我确实及时赶到了。
道格。 好的,你去吧......你和我正处于夏天的如火如荼的状态,我们有一些关于夏天的小贴士,节目稍后会介绍。
但首先,我想谈谈 科技史上的本周.
本周,在 1968 年,英特尔公司由戈登摩尔(摩尔定律的他)和罗伯特诺伊斯成立。
诺伊斯被誉为集成电路或微芯片的先驱。
英特尔的第一个微处理器是 4004,用于计算器。
并且,一个 有趣的事实,英特尔这个名字是 INTegrated ELectronics 的混搭。
所以……那家公司结果很好。
鸭。 没错!
我想,公平地说,也许你会说,“联合先锋”?
道格。 是的。 我有,“先驱”。
鸭。 我认为德州仪器公司的 Jack Kilby 提出了第一个集成电路,但它仍然需要将电路中的部件连接在一起。
诺伊斯解决了如何在硅中烘烤它们的问题。
实际上,当我还是一名刚出道的计算机科学家时,我参加了 Jack Kilburn 的演讲。
绝对令人着迷——1950 年代在美国的研究!
当然,Kilby 获得了著名的诺贝尔奖,我想是在 2000 年。
但我敢肯定,罗伯特·诺伊斯会成为联合获奖者,但那时他已经去世了,你不能在死后获得诺贝尔奖。
因此,诺伊斯从未获得过诺贝尔奖,而杰克·圣克莱尔·基尔比做到了。
道格。 嗯,那是很久以前的事了……
…从现在起很长一段时间内,我们可能仍在谈论 Log4Shell…
鸭。 哦,亲爱的,是的。
道格。 即使有解决办法,美国也出来说这件事可能需要几十年的时间 实际上固定.
鸭。 公平地说……他们说,“也许十年或更长时间。”
这是一个名为 网络安全审查委员会,CSRB(国土安全部的一部分),于今年早些时候成立。
我不知道它是专门因为 Log4Shell 而形成的,还是仅仅因为供应链源代码问题成为大问题。
在 Log4Shell 出现近 42 个月后,他们制作了这份 3 页的报告……仅执行摘要就将近 XNUMX 页。
当我第一次看到这个时,我想,“哦,我们开始吧。”
一些公务员被告知,“快点,你的报告呢? 你是审查委员会。 出版或灭亡!”
实际上,虽然它的某些部分确实很沉重,但我认为您应该阅读一下。
他们提出了一些关于作为软件供应商,作为软件创建者,作为向他人提供软件解决方案的公司如何让自己易于联系的内容,因此人们可以在有事情时通知您你忽略了。
例如,“你的代码中仍有一个 Log4J 版本,你没有注意到世界上最好的意愿,而且你还没有修复。”
您为什么不希望尝试帮助您的人能够轻松找到您并与您联系?
道格。 他们说……第一个是赌注,但它对任何人都有好处,尤其是没有想到这一点的小型企业:开发资产和应用程序清单,这样你就知道你在哪里运行什么。
鸭。 他们没有明确威胁或声称这一点,因为这些法律不是由这些公务员制定的(这取决于立法机关)……但我认为他们的意思是,“发展这种能力,因为如果你不,或者您无法被打扰,或者您无法弄清楚如何去做,或者您认为您的客户不会注意到,最终您可能会发现您几乎没有选择!”
特别是如果您想向联邦政府出售产品! [笑声]
道格。 是的,我们之前已经讨论过这个问题……一些公司可能还没有想到但拥有的另一件事很重要:漏洞响应程序。
如果您确实存在漏洞,会发生什么?
你采取了哪些步骤?
你为解决这些问题而采取的游戏计划是什么?
鸭。 是的,这就是我之前提到的。
最简单的部分是你只需要一种简单的方法让某人找出他们在你的组织中发送报告的位置......然后你需要在公司内部做出承诺,当你收到报告时,你会真正采取行动在他们之上。
就像我说的,想象一下你有一个正在销售的大型 Java 工具包,一个包含许多组件的大型应用程序,并且在其中一个后端系统中,有一个大型 Java 工具。
在那里,想象一下还有一个易受攻击的 Log4J .JAR 您忽略的文件。
您为什么不希望发现它的人能够快速轻松地告诉您,即使是一封简单的电子邮件?
您在 Twitter 上看到知名网络安全研究人员说“嘿,有人知道如何联系 XYZ 公司吗?”的次数。
我们不是在播客上有一个人的案例吗,他最终……我认为他继续使用 TikTok 或类似的东西 [笑声] 因为他 找不到 如何联系这家公司。
他制作了一段视频说,“嘿,伙计们,我知道你喜欢你的社交媒体视频,我只是想告诉你这个错误。”
最终他们注意到了这一点。
要是他能去你的公司 DOT com SLASH security DOT txt,例如,找到一个电子邮件地址就好了!
“这就是我们希望您与我们联系的地方。 或者我们通过这个程序进行漏洞赏金......这是您注册它的方式。 如果你想得到报酬。”
没那么难!
这意味着想要提醒您您可能认为已修复的错误的人可以告诉您。
道格。 我真的很喜欢这篇文章中的下马!
你写作并引导约翰·F·肯尼迪,说[肯尼迪之声]“不要问别人能为你做什么,而是想想你能为自己做什么,因为你所做的任何改进几乎肯定会让其他人受益。 ”
好吧,如果你想阅读它,这在网站上……如果你处于任何必须处理这些事情的位置,它是必读的。
这是一本好书……至少阅读三页的摘要,如果不是 42 页的报告。
鸭。 是的,它很长,但我发现它非常周到,我感到非常惊喜。
我想如果人们读到这篇文章,随机的人把其中的十分之一记在心里……
……我们应该集体生活在一个更好的地方。
道格。 好吧,继续前进。
现在是暑假季节,这通常涉及随身携带您的小工具。
我们有一些 享受小贴士 你的暑假没有,错误的,“不享受”它。
鸭。 “我们应该带多少小玩意儿? [戏剧性] 把它们都打包!”
可悲的是,你拿的越多,你的风险就越大,松散地说。
道格。 您在这里的第一个提示是您正在打包所有小工具……您应该在出发前进行备份吗?
猜测答案是,“是的!”
鸭。 我认为这很明显。
每个人都知道您应该进行备份,但他们推迟了。
所以我认为这是一个宣扬我们的小格言或真理的机会:“你唯一会后悔的备份就是你没有做的备份。”
确保您已备份设备的另一件事 - 无论是备份到您随后退出的云帐户,还是备份到您加密并放入橱柜某处的可移动驱动器 - 这意味着您可以减少您在设备上的数字足迹。
我们将了解为什么这可能是一个好主意……只是这样您就不会拥有整个数字生活和历史。
关键是,通过良好的备份,然后减少手机上实际拥有的内容,如果丢失它,出错的可能性就会减少; 如果被没收; 如果移民官员想看它; 不管是什么。
道格。 而且,在某种程度上与四处走动有关,您可能会丢失笔记本电脑和/或手机……因此您应该加密这些设备。
鸭。 是的。
现在,这些天大多数设备都默认加密。
对于 Android 来说当然是这样。 对于 iOS 来说当然是这样; 并且我认为当你这些天获得 Windows 笔记本电脑时,BitLocker 就在那里。
我不是 Windows 用户,所以我不确定……但可以肯定的是,即使你有 Windows 家庭版(这很烦人,我希望这在未来会发生变化,烦人地不允许你在可移动驱动器上使用 BitLocker) …它确实允许您在硬盘上使用 BitLocker。
为什么不呢?
因为这意味着如果你丢失了它,或者它被没收了,或者你的笔记本电脑或手机被盗了,这不仅仅是一个骗子打开你的笔记本电脑,拔下硬盘,将它插入另一台电脑并读取所有内容的情况。 ,就这样。
为什么不采取预防措施?
当然,在手机上,通常因为它是预先加密的,所以加密密钥是预先生成的,并受您的锁码保护。
不要说,“好吧,我会在路上,我可能会承受压力,我可能会很快需要它……我会用 1234 or 0000 在假期期间。”
不要那样做!
手机上的锁码管理手机上数据的实际完整加密和解密密钥。
所以选择一个长锁码……我推荐十位数或更长。
设置它,并在你离开前在家里练习几天,一周,直到它成为第二天性。
不要只是去, 1234 足够好,或者“哦,我要一个很长的锁码……我会去的 0000 0000,那是*八个*字符,没有人会想到这一点!”
道格。 好的,这是一个非常有趣的问题:您对跨越国界的人有一些建议。
鸭。 是的,这些天来这已成为一个问题。
因为许多国家——我认为美国和英国是其中之一,但绝不是唯一一个——可以说,“看,我们想看看你的设备。 请你解开它好吗?”
然后你说:“不,当然不是! 是私人的! 你没有权利这样做!”
好吧,也许他们有,也许他们没有……你还没有在这个国家。
这是“我的厨房,我的规则”,所以他们可能会说,“好吧,好吧,*你*有权拒绝……但是*我们*会拒绝你的入场。 在到达休息室等待,直到我们可以将您转移到出发休息室搭乘下一班航班回家!”
基本上,不要*担心*会发生什么,例如“我可能会被迫在边境透露数据”。
*查看*入境条件是什么……您要去的国家/地区的隐私和监视规则。
如果你真的不喜欢他们,那就不要去那里! 找别的地方去。
或者干脆进入这个国家,说真话,减少你的数字足迹。
就像我们对备份所说的那样……随身携带的“数字生活”东西越少,出错的可能性就越小,丢失它的可能性就越小。
所以,“做好准备”就是我要说的。
道格。 好的,这是一个很好的选择:公共 Wi-Fi,它安全还是不安全?
这取决于,我猜?
鸭。 是的。
很多人说,“天哪,如果你使用公共 Wi-Fi,你就完蛋了!”
当然,实际上,我们多年来一直在使用公共 Wi-Fi。
我不知道有谁因为害怕被黑客入侵而真正停止使用它,但我知道人们会说,“好吧,我知道风险是什么。 该路由器可能为任何人所有。 它可能有一些骗子; 它可能有一个不道德的咖啡店经营者; 或者可能只是有人在上个月度假时对它进行了黑客攻击,因为他们认为这非常有趣,并且因为‘哈哈哈’而泄露数据。”
但是,如果您使用的是具有端到端加密功能的应用程序,并且如果您使用的是 HTTPS 网站,因此它们在您的设备和另一端之间进行了端到端加密,那么对于即使是完全被黑的路由器也能揭示什么。
因为之前访问者植入的任何恶意软件都将植入*路由器*,而不是*您的设备*。
道格。 好的,接下来……我认为是计算机版本的很少打扫的公共厕所。
我应该在机场或酒店使用自助服务终端电脑吗?
撇开网络安全不谈……只是有多少人接触过那个肮脏、肮脏的键盘和鼠标!
鸭。 没错。
所以,这是“我应该使用公共 Wi-Fi 吗?”的另一面。
我应该在酒店还是在机场使用 Kkiosk PC?
被黑客入侵的 Wi-Fi 路由器和被黑客入侵的信息亭 PC 之间的最大区别在于,如果您的流量通过受感染的路由器进行加密,那么它可以监视您的数量是有限度的。
但是,如果您的流量来自被黑客入侵或受损的信息亭计算机,那么基本上,从网络安全的角度来看,*它是 100% Game Over*。
换句话说,该信息亭 PC 在加密之前(以及在您返回的内容被解密之后)可以不受限制地访问*您在互联网上发送和接收的所有数据*。
因此,加密本质上变得无关紧要。
*您键入的每个键击*...您应该假设它正在被跟踪。
*每次屏幕上出现某些内容时*……您应该假设有人可以截取屏幕截图。
*您打印的所有内容*...您应该假设在某个隐藏文件中制作了副本。
因此,我的建议是将这些信息亭 PC 视为必要的邪恶,并且仅在确实需要时才使用它们。
道格。 是的,上周末我在一家酒店,那里有一台自助服务终端电脑,我的好奇心占了上风。
我走过去……它运行的是 Windows 10,你可以在上面安装任何东西。
它没有被锁定,之前使用它的人也没有退出Facebook!
这是一家应该更了解的连锁酒店……但它只是一个没有人登出的开放系统; 一个潜在的网络犯罪污水池等待发生。
鸭。 所以你可以插入一个USB记忆棒然后去“安装键盘记录器”?
道格。 没错!
鸭。 “安装网络嗅探器。”
道格。 嗯!
鸭。 “安装rootkit。”
道格。 没错!
鸭。 “把燃烧的骷髅放在墙纸上。”
道格。 不,谢谢!
下一个问题没有很好的答案……
间谍摄像头、酒店房间和 Airbnb 呢?
这些很难找到。
鸭。 是的,我把它放进去是因为这是我们经常被问到的问题。
我们已经写过三种不同的未申报间谍相机实例。 (这是一种重言式,不是吗?)
其中一个是在澳大利亚的一家农场工作旅馆,这个小伙子正在邀请持访客签证、可以从事农场工作的人,并说“我会给你一个住的地方”。
原来他是个偷窥狂。
其中一个是在爱尔兰的 Airbnb 房子里。
这是一个从新西兰远道而来的家庭,所以他们不能只是上车回家,放弃吧!
另一个是韩国的一家真正的酒店……这真是一个令人毛骨悚然的酒店。
我不认为拥有这家酒店的不是连锁店,而是一些腐败的员工之类的。
他们在房间里放了间谍相机,我不骗你,道格……他们实际上是在销售,基本上,按次付费。
我的意思是,这有多令人毛骨悚然?
好消息是,其中两起案件的肇事者实际上是被逮捕并被指控的,所以对他们来说结局很糟糕,这是非常正确的。
问题是……如果你读过 Airbnb 的故事(我们有关于 Naked Security 的链接),和家人一起住在那里的那个人实际上是一个 IT 人,一个网络安全专家。
他注意到其中一个房间(显然,如果 Airbnb 中有任何摄像头,你应该声明)有两个烟雾报警器。
你什么时候看到两个烟雾报警器? 你只需要一个。
于是他开始看着其中一个,它看起来像一个烟雾报警器。
另一个,嗯,那个有 LED 闪烁的小洞没有闪烁。
当他往里看时,他想,“看起来 可疑地像一个镜头 为了相机!”
事实上,它是一个伪装成烟雾报警器的间谍相机。
店主已经把它连接到了普通的 Wi-Fi,所以他可以通过网络扫描找到它……使用像 Nmap 这样的工具,或者类似的东西。
他找到了这个设备,当他 ping 它时,很明显,从它的网络签名来看,它实际上是一个网络摄像头,尽管网络摄像头隐藏在烟雾报警器中。
于是他走运了。
我们写了一篇关于他发现的文章,链接并解释了他当时在博客上写的内容。
这是在 2019 年,所以这是三年前的事了,所以从那时起,技术甚至可能会出现更多。
反正他上网看了看,“我到底有什么机会在下一个住的地方找到摄像头?”
他遇到了一个间谍相机——我想画质会很糟糕,但它仍然是一个*工作的数字间谍相机*……。 不是无线的,你必须把它连接起来——嵌入*十字头螺丝*中,道格!
道格。 惊人。
鸭。 从字面上看,您可以在灯开关上的盖板上找到的螺钉类型,例如,螺钉的尺寸。
或者你在电源插座盖板上得到的螺丝……一个普通的、适中的十字头螺丝。
道格。 我现在正在亚马逊上查找它们!
“针孔螺丝相机”,售价 20 美元。
鸭。 如果它没有连接回同一个网络,或者它连接到仅记录到 SD 卡的设备,那么将很难找到!
所以,可悲的是,这个问题的答案……我没有把问题六写成“我如何在我住的房间里找到间谍摄像头?”的原因。
答案是你可以尝试,但不幸的是,这就是整个“没有证据不是没有证据”的事情。
不幸的是,我们没有建议说:“你可以买到一个手机大小的小玩意儿。 你按下一个按钮,如果房间里有间谍摄像头,它就会发出哔哔声。”
道格。 好的。 对于那些无法自拔的人,我们的最后一个提示是:“我要去度假,但是如果我想随身携带我的工作笔记本电脑怎么办?”
鸭。 我无法回答。
你不能回答这个问题。
这不是您的笔记本电脑,而是工作的笔记本电脑。
所以,简单的答案是,“问!”
如果他们说,“你要去哪里?”,你说出国家的名字,他们说,“不”……
……那就这样吧,你不能带走。
也许只是说,“太好了,我可以把它留在这里吗? 你能把它锁在 IT 柜子里等我回来吗?”
如果你去问 IT,“我要去 X 国。如果我带着我的工作笔记本电脑,你有什么特别的建议吗?”......
……听他们说!
因为如果工作认为在你要去的地方有一些关于隐私和监控的事情你应该知道,那么这些事情可能适用于你的家庭生活。
道格。 好吧,那是一篇很棒的文章……去阅读它的其余部分。
鸭。 我为我完成的两首歌曲感到骄傲!
道格。 哦,是的!
我们听说, “如果有疑问,请不要说出来。”
但这是你想出的一个新的,我真的很喜欢……
鸭。 “如果你的生活在你的手机上/为什么不把它留在家里?”
道格。 是的,给你!
好的,由于时间关系,我们在网站上还有另一篇文章,请您阅读。 这被称为:脸书 2FA骗子回来了, 这次只需 21 分钟。
这与过去需要 28 分钟的骗局相同,因此他们将这个骗局缩短了 XNUMX 分钟。
我们有一个关于这篇文章的读者问题。
读者彼得部分写道: “你真的认为这些事情是巧合吗? 我最近帮助改变了我岳父的英国电信宽带合同,而在改变进行的那天,他接到了来自英国电信的网络钓鱼电话。 显然,它可能在任何一天发生,但这样的事情确实让你想知道时机。 保罗……”
鸭。 是的,我们总是让人们说,“你知道吗? 我中了这些骗局之一……”
无论是关于 Facebook 页面或 Instagram 版权,还是像这个小伙子的父亲一样,与电信有关…… 确定不是巧合?”
而且我认为对于大多数人来说,因为他们在评论 Naked Security,他们意识到这是一个骗局,所以他们说,“骗子肯定知道吗?”
换句话说,肯定有一些内幕消息。
另一面是那些*不*意识到这是一个骗局,也不会评论 Naked Security 的人,他们会说,“哦,好吧,这不可能是巧合,因此它一定是真的!”
在大多数情况下,根据我的经验,这绝对是巧合,仅仅是基于数量。
所以关键是,在大多数情况下,我相信你得到的这些骗局,它们是巧合,骗子依赖于这样一个事实,即当你可以向这么多的人发送这么多电子邮件时,很容易“制造”这些巧合。人那么容易。
你不是想欺骗*每个人*,你只是想欺骗*某人*。
还有道格,如果我能在最后挤进去的话:“使用密码管理器!”
因为那样你就不能错误地将正确的密码输入错误的站点,这对你处理这些骗局有很大帮助,无论它们是否巧合。
道格。 好的,一如既往的好!
谢谢你的评论,彼得。
如果您想提交有趣的故事、评论或问题,我们很乐意在播客上阅读。
您可以发送电子邮件至tips@sophos.com,您可以评论我们的任何一篇文章,或者您可以在社交媒体上联系我们:@nakedsecurity。
这就是我们今天的节目; 非常感谢您的聆听。
对于 Paul Ducklin,我是 Doug Aamoth,提醒你,直到下一次……
两个都。 保持安全!
[音乐调制解调器]
