คุณสามารถถูกแฮ็กและถูกดำเนินคดีได้หรือไม่?
cryptocurrency อาชญากร. แพตช์ความปลอดภัยสำหรับ VMware, OpenSSH และ OpenSSL. ผู้ฝ่าฝืนการแพทย์ busted. นั่นคือ ข้อผิดพลาด หรือคุณสมบัติ?
คลิกแล้วลากบนคลื่นเสียงด้านล่างเพื่อข้ามไปยังจุดใดก็ได้ นอกจากนี้คุณยังสามารถ ฟังโดยตรง บนซาวด์คลาวด์
กับดั๊ก อามอธและพอล ดั๊กลิน
เพลงอินโทรและเอาท์โดย อีดิธ มัดจ์.
สามารถรับฟังเราได้ที่ Soundcloud, Apple Podcasts, Google Podcast, Spotify, Stitcher และทุกที่ที่มีพอดแคสต์ดีๆ หรือเพียงแค่วาง URL ของฟีด RSS ของเรา ลงในพอดแคตเตอร์ที่คุณชื่นชอบ
อ่านข้อความถอดเสียง
ดั๊ก. แพตช์ การแก้ไข และอาชญากร – โอ้ มาย!
โอ้ และยังมีอีกตัวจัดการรหัสผ่านในข่าว
ทั้งหมดนั้นและอีกมากมายในพอดแคสต์ Naked Security
[โมเด็มดนตรี]
ยินดีต้อนรับสู่พอดคาสต์ทุกคน
ฉันคือพอล ดั๊กลิน; เขาคือดั๊ก อาโมท…
..คิดว่าฉันกลับด้านแล้ว พอล: *ฉัน* คือดั๊ก อามอธ; *เขา* คือ พอล ดั๊กลิน
พอล เราอยากเริ่มรายการด้วย สัปดาห์นี้ในประวัติศาสตร์เทคโนโลยี ส่วน
และฉันต้องการส่งบางอย่างจากประวัติล่าสุด
สัปดาห์นี้ วันที่ 06 กุมภาพันธ์ 2023 Paul Ducklin ของเราเอง...
เป็ด. [ปลื้ม] Woooooo!
ดั๊ก. ...ตีพิมพ์บทสัมภาษณ์ กับนักข่าวสายเทคโนโลยี แอนดี้กรีนเบิร์ก เกี่ยวกับหนังสือเล่มใหม่ของเขา “Tracers in the Dark – the Global Hunt for the Crime Lords of Cryptocurrency”
มาฟังคลิปกันเร็ว…
[ดนตรีต่อย]
พอล ดักคลิน. มีเสน่ห์มาหลายทศวรรษแล้วที่จะพูดว่า "คุณรู้อะไรไหม? สิ่งที่เข้ารหัสนี้? เป็นความคิดที่แย่มากจริงๆ เราต้องการประตูหลัง เราต้องสามารถทำลายมันได้ บางคนต้องนึกถึงเด็กๆ ฯลฯ ฯลฯ”
แอนดี้ กรีนเบิร์ก. มันเป็นเรื่องที่น่าสนใจที่จะพูดคุยเกี่ยวกับ crypto backdoors และการถกเถียงทางกฎหมายเกี่ยวกับการเข้ารหัสที่แม้แต่หน่วยงานบังคับใช้กฎหมายก็ไม่สามารถถอดรหัสได้
ฉันคิดว่าในบางแง่ เรื่องราวของหนังสือเล่มนี้แสดงให้เห็นว่าสิ่งนั้นมักไม่จำเป็น
ฉันหมายถึง อาชญากรในหนังสือเล่มนี้ใช้การเข้ารหัสแบบดั้งเดิม
พวกเขาใช้ Tor และ Dark Web
และไม่มีสิ่งใดที่จะทำลายพวกเขาได้
[ดนตรีต่อย]
เป็ด. ฉันรู้ว่าฉันจะพูดแบบนี้ ดั๊ก แต่ฉันขอแนะนำให้ฟัง พอดคาสต์.
หรือถ้าชอบอ่านก็ไปดูที่ทรานสคริปเพราะ...
…อย่างที่ฉันพูดกับแอนดี้ในตอนท้าย การพูดคุยกับเขาช่างน่าหลงใหลเหมือนกับการอ่านหนังสือในตอนแรก
ฉันแนะนำหนังสือเล่มนี้อย่างละเอียดถี่ถ้วน และเขาได้รับข้อมูลเชิงลึกที่น่าทึ่งเกี่ยวกับสิ่งต่างๆ เช่น แบ็คดอร์เข้ารหัสที่ไม่ได้มาจากความคิดเห็นเท่านั้น แต่จากการดูว่าหน่วยงานบังคับใช้กฎหมายจัดการกับอาชญากรไซเบอร์ได้อย่างมีประสิทธิภาพ โดยไม่จำเป็นต้องเหยียบย่ำความเป็นส่วนตัวของเรา อาจจะเป็น เท่าที่บางคนคิดว่าจำเป็น
ดังนั้น ข้อมูลเชิงลึกที่น่าสนใจบางอย่างในนั้น Doug:
Tracers in the Dark: Global Hunt สำหรับ Crime Lords of Crypto
ดั๊ก. ตรวจดูว่า…อยู่ในเกณฑ์มาตรฐาน ฟีดพอดคาสต์ Naked Security.
หากคุณได้รับพอดคาสต์ของเรา นั่นควรเป็นรายการก่อนหน้านี้
และตอนนี้ให้เราย้ายไปแก้ไขและอัปเดตอย่างรวดเร็ว
เรามี OpenSSL เรามี VMware และเรามี OpenSSH
เริ่มกันเลย VMware. พอล:
ผู้ใช้ VMWare? กังวลเกี่ยวกับ “ESXi ransomware” หรือไม่? ตรวจสอบแพทช์ของคุณตอนนี้!
เป็ด. เรื่องนี้กลายเป็นเรื่องใหญ่ ฉันคิดว่าเป็นเพราะแถลงการณ์ที่ออกโดย French CERT (Computer Emergency Response Team) เมื่อวันศุกร์ของสัปดาห์ที่แล้ว
ดังนั้น. ซึ่งจะเป็นวันที่ 03 กุมภาพันธ์ 2023
พวกเขาบอกว่ามันเป็นอย่างไร: “เฮ้ มีช่องโหว่เก่าเหล่านี้ใน VMware ESXi ที่คุณสามารถแพตช์ได้ในปี 2000 และ 2021 แต่บางคนก็ไม่มี และตอนนี้มิจฉาชีพก็กำลังใช้ช่องโหว่เหล่านั้นในทางที่ผิด เซอร์ไพรส์ เซอร์ไพรส์: ผลลัพธ์ที่ได้เท่ากับแรนซัมแวร์”
พวกเขาไม่ได้กล่าวไว้เช่นนั้น… แต่นั่นคือจุดประสงค์ของแถลงการณ์
มันกลายเป็นกระแสข่าวของ [STARTLED VOICE] ว่า “ไม่นะ! บั๊กยักษ์ใน VMware!”
ดูเหมือนว่าผู้คนจะสรุปว่า “ไม่นะ! มีซีโร่เดย์ใหม่ล่าสุด! ฉันควรจะทิ้งทุกอย่างแล้วไปดูดีกว่า!”
และในบางแง่ มันเลวร้ายยิ่งกว่าซีโร่เดย์เสียอีก เพราะหากคุณเสี่ยงต่อการโจมตีของแก๊งไซเบอร์โดยเฉพาะ และจบลงด้วยแรนซั่มแวร์...
…คุณอ่อนแอมาสองปีแล้ว
ดั๊ก. 730 วันจริง ๆ แล้ว…
เป็ด. แน่นอน!
ดังนั้นฉันจึงเขียนบทความเพื่ออธิบายว่าปัญหาคืออะไร
ฉันยังถอดรหัสและวิเคราะห์มัลแวร์ที่พวกเขาใช้ในตอนท้าย
เพราะฉันคิดว่าสิ่งที่ผู้คนจำนวนมากอ่านเกี่ยวกับเรื่องนี้คือ "ว้าว มีข้อบกพร่องขนาดใหญ่ใน VMware และมันนำไปสู่แรนซัมแวร์ ดังนั้นหากฉันได้รับการแก้ไข ฉันก็ไม่จำเป็นต้องทำอะไร และแรนซัมแวร์จะไม่เกิดขึ้น”
และปัญหาคือช่องโหว่เหล่านี้สามารถใช้เป็นหลักในการเข้าถึงรูทบนกล่อง ESXi โดยที่มิจฉาชีพไม่ต้องใช้แรนซัมแวร์
พวกเขาสามารถขโมยข้อมูล ส่งสแปม คีย์ล็อก เข้ารหัสลับ {แทรกอย่างน้อยที่สุดอาชญากรรมไซเบอร์ที่นี่}
และเครื่องมือแรนซั่มแวร์ที่อาชญากรเหล่านี้ใช้ ซึ่งเป็นแบบกึ่งอัตโนมัติแต่สามารถใช้งานได้ด้วยตนเอง เป็นเครื่องมือแปลงไฟล์แบบสแตนด์อโลนที่ออกแบบมาเพื่อแปลงไฟล์ขนาดใหญ่อย่างรวดเร็ว
ดังนั้นจึงไม่ได้เข้ารหัสอย่างสมบูรณ์ – พวกเขาได้กำหนดค่าให้เข้ารหัส 99 เมกะไบต์, ข้าม 99MB, เข้ารหัส XNUMX เมกะไบต์, ข้าม XNUMXMB...
…ดังนั้น มันจะผ่านหลายกิกะไบต์หรือแม้กระทั่งเทราไบต์ VMDK (ไฟล์อิมเมจเครื่องเสมือน) อย่างรวดเร็วจริงๆ
และมีสคริปต์ที่เรียกใช้เครื่องมือเข้ารหัสนี้สำหรับทุกอิมเมจของ VMware ที่สามารถค้นหาได้ พร้อมกันทั้งหมด
แน่นอน ใครๆ ก็สามารถปรับใช้เครื่องมือเฉพาะนี้ *โดยไม่ต้องเจาะผ่านช่องโหว่ของ VMware*
ดังนั้น หากคุณไม่ได้รับการแพตช์ ก็ไม่จำเป็นต้องจบลงด้วยแรนซัมแวร์
และถ้าคุณถูกปะ นั่นไม่ใช่ทางเดียวที่มิจฉาชีพจะเข้ามาได้
ดังนั้นจึงเป็นประโยชน์ที่จะแจ้งให้ตัวเองทราบเกี่ยวกับความเสี่ยงของแรนซัมแวร์นี้และวิธีป้องกัน
ดั๊ก. โอเคดีมาก ๆ.
จากนั้นเราก็มี pokeable บั๊กหน่วยความจำฟรีสองเท่า ใน OpenSSH
มันสนุกที่จะพูด ...
OpenSSH แก้ไขข้อผิดพลาดหน่วยความจำว่างสองเท่าที่สามารถใช้งานผ่านเครือข่ายได้
เป็ด. มันคือดั๊ก
และฉันคิดว่า "มันค่อนข้างสนุกที่จะเข้าใจ" ดังนั้นฉันจึงเขียนมันขึ้นมาบน Naked Security เพื่อช่วยให้คุณเข้าใจศัพท์เฉพาะเกี่ยวกับบั๊กที่เกี่ยวข้องกับหน่วยความจำนี้
มันเป็นปัญหาที่ค่อนข้างลึกลับ (มันอาจจะไม่ส่งผลกระทบต่อคุณหากคุณใช้ OpenSSH) แต่ฉันก็ยังคิดว่าเป็นเรื่องที่น่าสนใจ เพราะ [A] เนื่องจากทีม OpenSSH ตัดสินใจว่าจะเปิดเผยในบันทึกประจำรุ่นของพวกเขา “มัน ไม่มีหมายเลข CVE แต่นี่คือวิธีการทำงานอยู่ดี” และ [B] เป็นการเตือนที่ดีว่าข้อบกพร่องในการจัดการหน่วยความจำ โดยเฉพาะอย่างยิ่งเมื่อคุณเขียนโค้ดในภาษา C สามารถเกิดขึ้นได้แม้แต่กับโปรแกรมเมอร์ที่มีประสบการณ์
นี่คือ double-free ซึ่งเป็นกรณีที่คุณจบด้วยบล็อกหน่วยความจำ ดังนั้นคุณจึงส่งคืนให้กับระบบและพูดว่า “คุณสามารถมอบสิ่งนี้ให้กับส่วนอื่นของโปรแกรมของฉันได้ ฉันเสร็จแล้ว”
และหลังจากนั้น แทนที่จะใช้บล็อกเดิมนั้นอีกครั้งหลังจากที่คุณเลิกใช้แล้ว (ซึ่งคงจะแย่อย่างเห็นได้ชัด) คุณจึงมอบความทรงจำนั้นคืนให้อีกครั้ง
และมันฟังดูเหมือน “อืม เสียหายอะไรหรือเปล่า? คุณแค่ทำให้แน่ใจ”
มันเหมือนกับการวิ่งกลับจากที่จอดรถเข้าไปในอพาร์ทเมนต์ของคุณ แล้วขึ้นไปและถามว่า “ฉันปิดเตาอบแล้วจริงๆ เหรอ”
ไม่สำคัญว่าคุณจะกลับไปและเครื่องดับ จะสำคัญก็ต่อเมื่อคุณย้อนกลับไปและพบว่าคุณไม่ได้ปิดเครื่อง
ดังนั้นอะไรคืออันตรายของ double-free?
แน่นอนว่าปัญหาคือมันสามารถสร้างความสับสนให้กับระบบพื้นฐาน และนั่นอาจทำให้หน่วยความจำของคนอื่นถูกจัดการผิดพลาดหรือจัดการผิดพลาดในแบบที่อาชญากรสามารถใช้ประโยชน์ได้
ดังนั้นหากคุณไม่เข้าใจว่าสิ่งเหล่านั้นทำงานอย่างไร ฉันคิดว่านี่เป็นสิ่งที่น่าสนใจ บางทีก็สำคัญ อ่าน...
…แม้ว่าบั๊กจะลึกลับพอสมควร และเท่าที่เรารู้ ยังไม่มีใครคิดหาวิธีใช้ประโยชน์จากมัน
ดั๊ก. สุดท้าย แต่ไม่ท้ายสุด มีความรุนแรงสูง บั๊กขโมยข้อมูล ใน OpenSSL ที่ได้รับการแก้ไข
และผมอยากจะขอร้องผู้คน ถ้าคุณเป็นเหมือนผม เป็นคนที่มีเหตุผลทางเทคนิค แต่ไม่ชอบศัพท์แสง...
…บันทึกอย่างเป็นทางการเต็มไปด้วยศัพท์แสง แต่คุณพอล คุณทำงานอย่างช่ำชองในการแปลศัพท์แสงดังกล่าวเป็นภาษาอังกฤษล้วน
รวมถึงไดนาไมต์ที่อธิบายการทำงานของข้อบกพร่องของหน่วยความจำ รวมถึง: NULL dereference, invalid pointer dereference, read buffer overflow, use-after-free, double-free (ซึ่งเราเพิ่งพูดถึงไป) และอื่นๆ:
OpenSSL แก้ไขบั๊กการขโมยข้อมูลที่มีความรุนแรงสูง – แก้ไขทันที!
เป็ด. [หยุดชั่วคราว] คุณทำให้ฉันพูดไม่ออกเลย ดั๊ก
ขอบคุณมากสำหรับคำพูดของคุณ
ฉันเขียนสิ่งนี้ขึ้นเพื่อ… ฉันจะพูดสองเหตุผล แต่เหตุผลสามประการ
อย่างแรกคือ OpenSSH และ OpenSSL เป็นสองสิ่งที่แตกต่างกันอย่างสิ้นเชิง – เป็นสองโครงการโอเพ่นซอร์สที่แตกต่างกันโดยสิ้นเชิงซึ่งดำเนินการโดยทีมที่แตกต่างกัน – แต่ทั้งคู่ต่างก็ใช้กันอย่างแพร่หลายมากเป็นพิเศษ
ดังนั้น โดยเฉพาะจุดบกพร่องของ OpenSSL อาจมีผลกับคุณที่ใดที่หนึ่งในพื้นที่ไอทีของคุณ เพราะผลิตภัณฑ์บางอย่างที่คุณมีอยู่เกือบจะรวมมันไว้ด้วย
และถ้าคุณมี Linux distro นั้น distro นั้นอาจมีเวอร์ชันของตัวเองเช่นกัน – Linux ของฉันอัปเดตในวันเดียวกัน ดังนั้นคุณต้องไปตรวจสอบด้วยตัวเอง
ดังนั้นฉันจึงต้องการแจ้งให้ผู้คนทราบถึงหมายเลขเวอร์ชันใหม่
และอย่างที่เราพูด มีศัพท์แสงมากมายที่น่าเวียนหัวซึ่งฉันคิดว่าควรค่าแก่การอธิบาย… ทำไมแม้แต่เรื่องเล็กน้อยถึงสำคัญ
และมีจุดบกพร่องที่มีความรุนแรงสูงอยู่หนึ่งจุด (ไม่ขออธิบายนะครับ พิมพ์สับสน ที่นี่ – ไปที่บทความหากคุณต้องการการเปรียบเทียบวิธีการทำงาน)
และนี่คือกรณีที่ผู้โจมตีอาจสามารถกระตุ้นสิ่งที่ดูเหมือนเป็นการเปรียบเทียบหน่วยความจำที่ไร้เดียงสาอย่างสมบูรณ์แบบ โดยที่พวกเขาแค่เปรียบเทียบบัฟเฟอร์ของหน่วยความจำนี้กับบัฟเฟอร์ของหน่วยความจำนั้น...
…แต่พวกเขาเปลี่ยนทิศทางของบัฟเฟอร์อันหนึ่งผิด และดูเถิด พวกเขาสามารถหาสิ่งที่อยู่ในบัฟเฟอร์ *ของคุณ* โดยเปรียบเทียบกับสิ่งที่รู้จักซึ่งใส่ไว้ใน *ของพวกเขา*
ในทางทฤษฎี คุณสามารถใช้บั๊กในทางที่ผิดในลักษณะที่คุณอาจเรียกว่า Heartbleed ได้
ฉันแน่ใจว่าเราทุกคนจำได้ว่าหากอาชีพด้านไอทีของเราย้อนกลับไปในปี 2014 หรือก่อนหน้านั้น บั๊ก OpenSSL Heartbleedซึ่งไคลเอนต์สามารถ ping เซิร์ฟเวอร์และพูดว่า “คุณยังมีชีวิตอยู่ไหม”
“Heartbleed heartache” – คุณควรเปลี่ยนรหัสผ่านทั้งหมดทันทีหรือไม่?
และมันจะส่งข้อความกลับซึ่งมีข้อมูลพิเศษมากถึง 64 กิโลไบต์ซึ่งอาจรวมถึงความลับของผู้อื่นโดยไม่ได้ตั้งใจ
และนั่นคือปัญหาเกี่ยวกับข้อบกพร่องของการรั่วไหลของหน่วยความจำ หรือข้อบกพร่องที่อาจเกิดขึ้นกับการรั่วไหลของหน่วยความจำในผลิตภัณฑ์เข้ารหัส
โดยการออกแบบโดยทั่วไปแล้วมีอะไรให้ซ่อนมากกว่าโปรแกรมแบบเดิมๆ!
ดังนั้นไปอ่านและทำการแก้ไขให้เร็วที่สุดเท่าที่จะทำได้
ดั๊ก. ฉันไม่อยากจะเชื่อเลยว่า Heartbleed คือปี 2014
ดูเหมือนว่า… ฉันมีลูกแค่คนเดียวตอนที่มันออกมาและเขายังเด็ก และตอนนี้ฉันมีลูกอีกสองคน
เป็ด. และถึงกระนั้นเราก็ยังพูดถึงมัน ...
ดั๊ก. อย่างจริงจัง!
เป็ด. …เพื่อเป็นการย้ำเตือนว่าเหตุใดการล้นของบัฟเฟอร์การอ่านอย่างง่ายจึงอาจเป็นหายนะได้
เพราะผู้คนจำนวนมากมักคิดว่า "โอ้ อืม แน่นอนว่าอันตรายน้อยกว่าการ *เขียน* บัฟเฟอร์ล้น ซึ่งฉันอาจแทรกเชลล์โค้ดหรือเปลี่ยนพฤติกรรมของโปรแกรมได้"
แน่นอนว่าถ้าฉันสามารถอ่านเนื้อหาได้ ฉันอาจได้ความลับของคุณ... แย่จัง แต่มันไม่อนุญาตให้ฉันเข้าถึงรูทและครอบครองเครือข่ายของคุณ
แต่จากการรั่วไหลของข้อมูลหลายครั้งได้รับการพิสูจน์แล้ว บางครั้งความสามารถในการอ่านข้อมูลต่างๆ จากเซิร์ฟเวอร์เครื่องหนึ่งอาจเปิดเผยความลับที่ทำให้คุณลงชื่อเข้าใช้เซิร์ฟเวอร์อื่นจำนวนมากและทำสิ่งที่น่ารังเกียจกว่านั้นอีกมาก!
ดั๊ก. นั่นเป็นภาคต่อที่ยอดเยี่ยมเกี่ยวกับเรื่องซุกซนและความลับ
เรามีอัพเดทเรื่องราวจาก เปลือยกายรักษาความปลอดภัยที่ผ่านมา.
คุณอาจจำเรื่องราวเมื่อปลายปีที่แล้วเกี่ยวกับใครบางคนที่ละเมิดบริษัทจิตบำบัดและขโมยใบรับรองผลการเรียนการบำบัดจำนวนมาก จากนั้นใช้ข้อมูลนั้นเพื่อรีดไถผู้ป่วยของบริษัทนี้
เขาวิ่งหนีไป…และก็แค่ ถูกจับกุมเมื่อเร็ว ๆ นี้ ในประเทศฝรั่งเศส:
เป็ด. นี่เป็นอาชญากรรมที่น่าเกลียดจริงๆ
เขาไม่เพียงแค่ละเมิดบริษัทและขโมยข้อมูลจำนวนมาก
เขาฝ่าฝืนบริษัท *จิตบำบัด* และน่าเศร้าเป็นทวีคูณ บริษัทนั้นดูเหมือนจะละเลยอย่างยิ่งในเรื่องความปลอดภัยของข้อมูล
ในความเป็นจริง อดีต CEO ของพวกเขากำลังมีปัญหากับเจ้าหน้าที่ในข้อหาที่ตัวเองอาจได้รับโทษจำคุก เพราะพวกเขาเพียงแค่มีข้อมูลไดนาไมต์ทั้งหมดที่พวกเขาเป็นหนี้ให้กับผู้ป่วยเพื่อปกป้อง แต่จริงๆ แล้วไม่มี
พวกเขาวางมันไว้บนเซิร์ฟเวอร์คลาวด์ด้วยรหัสผ่านเริ่มต้น ที่ซึ่งอาชญากรบังเอิญเจอเข้า
แต่ธรรมชาติของการละเมิดที่เกิดขึ้นนั้นแย่มากจริงๆ
เขาแบล็กเมล์บริษัท… ฉันเชื่อว่าเขาพูดว่า “ฉันต้องการเงิน 450,000 ยูโร ไม่งั้นฉันจะเปิดเผยข้อมูลทั้งหมด”
และแน่นอนว่าบริษัทยังคงนิ่งเฉยเกี่ยวกับเรื่องนี้ – นี่คือสาเหตุที่หน่วยงานกำกับดูแลตัดสินใจที่จะดำเนินการตามบริษัทเช่นกัน
พวกเขาเก็บเรื่องนี้ไว้เงียบๆ โดยหวังว่าจะไม่มีใครรู้ และชายคนนี้ก็มาพูดว่า "จ่ายเงินให้เราสิ ไม่อย่างนั้น"
พวกเขาจะไม่จ่ายเงินให้เขา
ไม่มีเหตุผล: เขามีนัดอยู่แล้ว และเขาก็ทำเรื่องแย่ๆ กับมันไปแล้ว
และอย่างที่คุณพูด พวกมิจฉาชีพก็ตัดสินใจว่า "ถ้าฉันไม่สามารถหาเงิน 450,000 ยูโรจากบริษัทได้ ทำไมฉันไม่ลองตีทุกคนที่เข้ารับการบำบัดทางจิตด้วยเงินคนละ 200 ยูโรล่ะ"
ตามบันทึกของนักสืบไซเบอร์ชื่อดัง Brian Krebs บันทึกการขู่กรรโชกของเขากล่าวว่า “คุณมีเวลา 24 ชั่วโมงที่จะจ่ายเงินให้ฉัน 200 ยูโร จากนั้นฉันจะให้เวลาคุณ 48 ชั่วโมงในการจ่ายเงิน 500 ยูโร และถ้าฉันไม่ได้รับการติดต่อจากคุณหลังจาก 72 ชั่วโมง ฉันจะบอกเพื่อน ครอบครัว และใครก็ตามที่อยากรู้ถึงสิ่งที่คุณพูด”
เนื่องจากข้อมูลดังกล่าวมีการถอดเสียง ดั๊ก
ทำไมพวกเขาถึงเก็บสิ่งเหล่านั้นไว้โดยปริยายตั้งแต่แรก?
ฉันจะไม่มีวันเข้าใจสิ่งนั้น
อย่างที่คุณพูด เขาหนีออกนอกประเทศและถูกจับโดยชาวฟินน์ ที่ทำให้สามารถออกหมายจับระหว่างประเทศได้
อย่างไรก็ตาม ตอนนี้เขากำลังเผชิญหน้ากับวงการดนตรีในฝรั่งเศส ซึ่งแน่นอนว่าชาวฝรั่งเศสกำลังหาทางส่งตัวเขาข้ามแดนไปยังฟินแลนด์ และชาวฟินน์ก็พยายามที่จะส่งตัวเขาขึ้นศาล
เห็นได้ชัดว่าเขามีรูปแบบ [เทียบเท่ากับสหรัฐอเมริกา: ก่อน] สำหรับสิ่งนี้. ดั๊ก
เขาเคยต้องโทษในคดีอาชญากรรมทางไซเบอร์มาก่อน แต่ก่อนหน้านั้นเขายังเป็นผู้เยาว์
ตอนนี้เขาอายุ 25 ปี ฉันเชื่ออย่างนั้น ตอนนั้นเขาอายุ 17 ปี ดังนั้นเขาจึงได้รับโอกาสครั้งที่สอง
เขาได้รับโทษรอลงอาญาและปรับเล็กน้อย
แต่ถ้าข้อกล่าวหาเหล่านี้ถูกต้อง ฉันคิดว่าพวกเราหลายคนสงสัยว่าคราวนี้เขาจะไม่ลงเอยง่ายๆ หากถูกตัดสินว่ามีความผิด
ดั๊ก. นี่เป็นเครื่องเตือนใจที่ดีว่าคุณสามารถเป็นทั้งเหยื่อ *และ* ผู้ร้ายได้ หากคุณเป็นเหมือนบริษัทนี้
และอีกข้อเตือนใจว่าคุณต้องมีแผนอยู่แล้ว
ดังนั้นเราจึงมีคำแนะนำในตอนท้ายของบทความ โดยเริ่มจาก: ซ้อมสิ่งที่คุณจะทำถ้าคุณประสบกับการละเมิดตัวเอง
คุณต้องมีแผน!
เป็ด. อย่างแน่นอน
คุณไม่สามารถทำมันได้ในขณะที่คุณทำไปเพราะจะไม่มีเวลา
ดั๊ก. และถ้าคุณเป็นคนที่ได้รับผลกระทบจากสิ่งนี้: พิจารณาการยื่นรายงานเพราะจะช่วยในการสอบสวน
เป็ด. แน่นอนว่ามันไม่
ความเข้าใจของฉันคือ ในกรณีนี้ ผู้คนจำนวนมากที่ได้รับข้อเรียกร้องจากการขู่กรรโชกเหล่านี้ *ไม่* ไปหาเจ้าหน้าที่และพูดว่า "สิ่งนี้เกิดขึ้นโดยไม่ได้ตั้งใจ นี่มันเหมือนกับการถูกทำร้ายบนถนน! คุณจะทำอย่างไรกับมัน”
เจ้าหน้าที่กล่าวว่า "เยี่ยมมาก มารวบรวมรายงานกัน" และนั่นหมายความว่าพวกเขาสามารถสร้างคดีที่ดีขึ้น และสร้างคดีที่แข็งแกร่งขึ้นสำหรับบางอย่าง เช่น การส่งผู้ร้ายข้ามแดน
ดั๊ก. ดีมาก
เราจะปิดท้ายรายการของเราด้วย: “อีกหนึ่งสัปดาห์ ผู้จัดการรหัสผ่านอีกคนบนที่นั่งยอดนิยม”
คราวนี้มัน KeePass.
แต่เคอร์ฟิวนี้ไม่ตรงไปตรงมานัก Paul:
รายงาน “ช่องโหว่” ที่ขโมยรหัสผ่านใน KeePass – บั๊กหรือฟีเจอร์?
เป็ด. อันที่จริง ดั๊ก ฉันคิดว่าคุณสามารถพูดได้ว่ามันตรงไปตรงมามาก… และซับซ้อนอย่างมากในเวลาเดียวกัน [หัวเราะ]
ดั๊ก. [หัวเราะ] ตกลง เรามาพูดถึงวิธีการทำงานจริงๆ กันดีกว่า
ตัวฟีเจอร์นั้นเป็นฟีเจอร์การทำงานอัตโนมัติประเภทสคริปต์…
เป็ด. “ทริกเกอร์” เป็นคำที่ใช้ค้นหา นั่นคือสิ่งที่พวกเขาเรียก
ตัวอย่างเช่น เมื่อคุณบันทึกไฟล์ฐานข้อมูล [KeePass] (บางทีคุณอาจอัปเดตรหัสผ่าน หรือสร้างบัญชีใหม่แล้วกดปุ่มบันทึก) จะดีไหมถ้าคุณสามารถโทร สคริปต์ที่กำหนดเองของคุณเองที่ซิงโครไนซ์ข้อมูลนั้นกับการสำรองข้อมูลบนคลาวด์หรือไม่
แทนที่จะลองเขียนโค้ดใน KeePass เพื่อจัดการกับระบบอัพโหลดบนคลาวด์ทุกระบบที่เป็นไปได้ในโลก ทำไมไม่จัดหากลไกที่ผู้คนสามารถปรับแต่งได้หากต้องการ
เช่นเดียวกับเมื่อคุณลองใช้รหัสผ่าน… คุณพูดว่า “ฉันต้องการคัดลอกรหัสผ่านนั้นและใช้รหัสผ่านนั้น”
คงจะดีไม่น้อยหากคุณสามารถเรียกใช้สคริปต์ที่ได้รับสำเนาของรหัสผ่านข้อความธรรมดา เพื่อให้สามารถใช้เพื่อเข้าสู่ระบบบัญชีที่ไม่ได้ค่อนข้างง่ายเพียงแค่ใส่ข้อมูลลงในเว็บฟอร์มที่เปิดอยู่ หน้าจอของคุณ?
นั่นอาจเป็นบางอย่าง เช่น บัญชี GitHub ของคุณ หรือบัญชีการรวมระบบต่อเนื่องของคุณ หรืออะไรก็ตาม
ดังนั้นสิ่งเหล่านี้จึงเรียกว่า "ทริกเกอร์" เพราะออกแบบมาเพื่อทริกเกอร์เมื่อผลิตภัณฑ์ทำบางสิ่ง
และบางสิ่งเหล่านั้น – หนีไม่พ้นเพราะมันเป็นผู้จัดการรหัสผ่าน – จัดการกับการจัดการรหัสผ่านของคุณ
ผู้ที่ไม่ชอบรู้สึกว่า "โอ้ ทริกเกอร์พวกนั้น ตั้งค่าง่ายเกินไป และการเพิ่มทริกเกอร์ก็ไม่ได้ป้องกันตัวเองด้วยรหัสผ่านป้องกันการงัดแงะ"
คุณต้องใส่รหัสผ่านหลักเพื่อเข้าถึงรหัสผ่านของคุณ แต่คุณไม่จำเป็นต้องใส่รหัสผ่านหลักเพื่อเข้าถึงไฟล์การกำหนดค่าเพื่อเข้าถึงรหัสผ่าน
ฉันคิดว่านั่นคือที่มาของผู้ไม่ประสงค์ออกนาม
และคนอื่นๆ กำลังพูดว่า “คุณรู้อะไรไหม พวกเขาต้องเข้าถึงไฟล์ปรับแต่ง ถ้าพวกเขารู้ แสดงว่าคุณเจอปัญหาหนักแล้ว!”
ดั๊ก. “ผู้คน” รวมถึง KeePass ที่กล่าวว่า “โปรแกรมนี้ไม่ได้ตั้งขึ้นเพื่อป้องกันใครบางคน [LAUGHS] ที่นั่งอยู่บนเก้าอี้ของคุณเมื่อคุณลงชื่อเข้าใช้เครื่องและแอพของคุณแล้ว”
เป็ด. จริง
และฉันคิดว่าความจริงน่าจะอยู่ตรงกลาง
ฉันเห็นข้อโต้แย้งว่าทำไม หากคุณกำลังจะให้รหัสผ่านป้องกันด้วยรหัสผ่านหลัก… ทำไมคุณไม่ป้องกันไฟล์การกำหนดค่าด้วย
แต่ฉันก็เห็นด้วยกับคนที่พูดว่า “คุณรู้อะไรไหม? ถ้าพวกเขาลงชื่อเข้าใช้บัญชีของคุณ และพวกเขาอยู่บนคอมพิวเตอร์ของคุณ และพวกเขาเป็นคุณอยู่แล้ว แสดงว่าคุณเข้าที่ XNUMX ในการแข่งขันแล้ว”
อย่าทำอย่างนั้น!
ดั๊ก. [หัวเราะ] ตกลง ดังนั้นถ้าเราซูมออกเล็กน้อยเกี่ยวกับเรื่องนี้...
…ผู้อ่าน Naked Security Richard ถาม:
ผู้จัดการรหัสผ่าน ไม่ว่าจะเป็นตัวใด มีจุดเดียวของความล้มเหลวหรือไม่? โดยการออกแบบแล้ว มันเป็นเป้าหมายที่มีมูลค่าสูงสำหรับแฮ็กเกอร์ และการมีอยู่ของช่องโหว่ใด ๆ ทำให้ผู้โจมตีสามารถแจ็กพอตทุกรหัสผ่านบนระบบ โดยไม่คำนึงว่ารหัสผ่านเหล่านั้นมีความแข็งแกร่งตามสัญญา
ฉันคิดว่านั่นเป็นคำถามที่หลายคนกำลังถามอยู่ตอนนี้
เป็ด. ในทางหนึ่ง ดั๊ก นั่นเป็นคำถามที่ตอบไม่ได้
สิ่งที่คล้ายกับ "ทริกเกอร์" นี้ในไฟล์กำหนดค่าใน KeePass
มันเป็นข้อบกพร่องหรือเป็นคุณสมบัติหรือเราต้องยอมรับว่ามันเป็นทั้งสองอย่าง?
ฉันคิดว่า ตามที่ผู้แสดงความคิดเห็นคนอื่นกล่าวไว้ในบทความเดียวกันนั้น มีปัญหาในการพูดว่า “ผู้จัดการรหัสผ่านเป็นจุดเดียวของความล้มเหลว ดังนั้นฉันจะไม่ใช้จุดนั้น สิ่งที่ฉันจะทำคือ ฉันจะคิด *หนึ่ง* รหัสผ่านที่ซับซ้อนจริงๆ แล้วฉันจะใช้มันสำหรับเว็บไซต์ทั้งหมดของฉัน”
ซึ่งเป็นสิ่งที่ผู้คนจำนวนมากทำหากพวกเขาไม่ได้ใช้ตัวจัดการรหัสผ่าน… และแทนที่จะเป็น *ศักยภาพ* ของความล้มเหลวเพียงจุดเดียว กลับสร้างบางสิ่งที่เป็น *และ* ของความล้มเหลวเพียงจุดเดียว
ดังนั้นผู้จัดการรหัสผ่านจึงมีความชั่วร้ายน้อยกว่าสองอย่างอย่างแน่นอน
และฉันคิดว่ามีความจริงมากมายในนั้น
ดั๊ก. ใช่ ฉันจะบอกว่าฉันคิดว่า *สามารถ* เป็นความล้มเหลวเพียงจุดเดียว ขึ้นอยู่กับประเภทของบัญชีที่คุณเก็บไว้
แต่สำหรับหลายๆ บริการนั้น ไม่ใช่และไม่ควรเป็นจุดเดียวของความล้มเหลว *ทั้งหมด*
ตัวอย่างเช่น หากรหัสผ่านธนาคารของฉันถูกขโมย และมีคนเข้าสู่ระบบบัญชีธนาคารของฉัน ธนาคารของฉันจะเห็นว่าพวกเขากำลังเข้าสู่ระบบจากอีกซีกโลกหนึ่งและพูดว่า “โอ้โห! รอสักครู่! มันดูแปลกๆ”
และพวกเขาจะถามคำถามเพื่อความปลอดภัย หรือไม่ก็จะส่งอีเมลรหัสรองที่ฉันต้องป้อน แม้ว่าฉันจะไม่ได้ตั้งค่าสำหรับ 2FA ก็ตาม
บัญชีที่สำคัญส่วนใหญ่ของฉัน... ฉันไม่ค่อยกังวลเกี่ยวกับข้อมูลประจำตัวเหล่านั้นมากนัก เพราะจะมีปัจจัยที่สองโดยอัตโนมัติที่ฉันต้องข้ามไปเนื่องจากการเข้าสู่ระบบจะดูน่าสงสัย
และฉันหวังว่าเทคโนโลยีจะใช้งานได้ง่ายเสียจนเว็บไซต์ใดๆ ที่เก็บข้อมูลทุกประเภทก็มีสิ่งนั้นอยู่ในตัว: "ทำไมคนๆ นี้จึงเข้าสู่ระบบจากโรมาเนียตอนกลางดึก ทั้งที่ปกติแล้วพวกเขาอยู่ในบอสตัน"
ระบบป้องกันความผิดพลาดจำนวนมากมีไว้สำหรับสิ่งสำคัญขนาดใหญ่ที่คุณอาจเก็บไว้ออนไลน์ ดังนั้นฉันหวังว่านั่นจะไม่ใช่จุดเดียวของความล้มเหลวในแง่นั้น
เป็ด. นั่นเป็นประเด็นที่ดี Doug และฉันคิดว่ามันเป็นการแสดงให้เห็นว่ามีคำถามเบื้องหลังคำถามที่น่าสนใจ ซึ่งก็คือ “ทำไมเราต้องใช้รหัสผ่านจำนวนมากในตอนแรก”
และบางทีวิธีหนึ่งในการมุ่งสู่อนาคตที่ไม่ต้องใช้รหัสผ่านก็คือการอนุญาตให้ผู้คนใช้เว็บไซต์ที่พวกเขาสามารถเลือก *ไม่* เพื่อให้มี (คำพูดทางอากาศ) “ความสะดวกสบายอย่างมาก” ในการสร้างบัญชีตั้งแต่แรก
ดั๊ก. [GLUM LAUGH] ขณะที่เราคุยกัน ฉันได้รับผลกระทบจากการละเมิด LastPass และฉันดูรายการรหัสผ่านจำนวนมหาศาลของฉันแล้วพูดว่า “โอ้ พระเจ้า ฉันต้องไปเปลี่ยนรหัสผ่านทั้งหมดนี้!”
ผลปรากฎว่า ฉันต้อง *เปลี่ยน* ครึ่งหนึ่งของรหัสผ่านเหล่านั้น และแย่กว่านั้น ฉันต้อง *ยกเลิก* อีกครึ่งหนึ่งของบัญชีเหล่านี้ เพราะฉันมีบัญชีจำนวนมากอยู่ในนั้น...
…สำหรับสิ่งที่คุณพูด; “ฉันต้องทำบัญชีเพื่อเข้าถึงบางสิ่งบนเว็บไซต์นี้”
และไม่ใช่แค่การคลิกและยกเลิกเท่านั้น
บางอย่างคุณต้องโทร
บางอย่าง คุณต้องคุยกับใครสักคนผ่านการแชทสด
มันยากกว่าการเปลี่ยนรหัสผ่านจำนวนมาก
แต่ฉันอยากขอร้องผู้คน ไม่ว่าคุณจะใช้ตัวจัดการรหัสผ่านหรือไม่ก็ตาม ลองดูจำนวนบัญชีที่แท้จริงที่คุณมี และลบบัญชีที่คุณไม่ได้ใช้อีกต่อไป!
เป็ด. ใช่.
สามคำ “น้อยแต่มาก”
ดั๊ก. แน่นอน!
ได้เลย ขอบคุณมาก ริชาร์ด ที่ส่งมา
หากคุณมีเรื่องราว ข้อคิดเห็น หรือคำถามที่น่าสนใจที่คุณต้องการส่ง เรายินดีที่จะอ่านในพอดแคสต์
คุณสามารถส่งอีเมล [ป้องกันอีเมล]คุณสามารถแสดงความคิดเห็นในบทความใด ๆ ของเราหรือติดต่อเราทางโซเชียล: @NakedSecurity
นั่นคือการแสดงของเราในวันนี้ ขอบคุณมากสำหรับการฟัง
สำหรับ Paul Ducklin ฉัน Doug Aamoth เตือนคุณถึงครั้งต่อไปที่จะ...
ทั้งสอง รักษาความปลอดภัย!
[โมเด็มดนตรี]
- เนื้อหาที่ขับเคลื่อนด้วย SEO และการเผยแพร่ประชาสัมพันธ์ รับการขยายวันนี้
- เพลโตบล็อคเชน Web3 Metaverse ข่าวกรอง ขยายความรู้. เข้าถึงได้ที่นี่.
- ที่มา: https://nakedsecurity.sophos.com/2023/02/09/s3-ep121-can-you-get-hacked-and-then-prosecuted-for-it-audio-text/