คลิกแล้วลากบนคลื่นเสียงด้านล่างเพื่อข้ามไปยังจุดใดก็ได้ นอกจากนี้คุณยังสามารถ ฟังโดยตรง บนซาวด์คลาวด์

---

ดั๊ก.   แพตช์ การแก้ไข และอาชญากร – โอ้ มาย!

โอ้ และยังมีอีกตัวจัดการรหัสผ่านในข่าว

ทั้งหมดนั้นและอีกมากมายในพอดแคสต์ Naked Security

[โมเด็มดนตรี]

ยินดีต้อนรับสู่พอดคาสต์ทุกคน

ฉันคือพอล ดั๊กลิน; เขาคือดั๊ก อาโมท…

..คิดว่าฉันกลับด้านแล้ว พอล: *ฉัน* คือดั๊ก อามอธ; *เขา* คือ พอล ดั๊กลิน

พอล เราอยากเริ่มรายการด้วย สัปดาห์นี้ในประวัติศาสตร์เทคโนโลยี ส่วน

และฉันต้องการส่งบางอย่างจากประวัติล่าสุด

สัปดาห์นี้ วันที่ 06 กุมภาพันธ์ 2023 Paul Ducklin ของเราเอง...

---

เป็ด.   [ปลื้ม] Woooooo!

---

ดั๊ก.   ...ตีพิมพ์บทสัมภาษณ์ กับนักข่าวสายเทคโนโลยี แอนดี้กรีนเบิร์ก เกี่ยวกับหนังสือเล่มใหม่ของเขา “Tracers in the Dark – the Global Hunt for the Crime Lords of Cryptocurrency”

มาฟังคลิปกันเร็ว…

[ดนตรีต่อย]

---

---

[ดนตรีต่อย]

เป็ด.   ฉันรู้ว่าฉันจะพูดแบบนี้ ดั๊ก แต่ฉันขอแนะนำให้ฟัง พอดคาสต์.

หรือถ้าชอบอ่านก็ไปดูที่ทรานสคริปเพราะ...

…อย่างที่ฉันพูดกับแอนดี้ในตอนท้าย การพูดคุยกับเขาช่างน่าหลงใหลเหมือนกับการอ่านหนังสือในตอนแรก

ฉันแนะนำหนังสือเล่มนี้อย่างละเอียดถี่ถ้วน และเขาได้รับข้อมูลเชิงลึกที่น่าทึ่งเกี่ยวกับสิ่งต่างๆ เช่น แบ็คดอร์เข้ารหัสที่ไม่ได้มาจากความคิดเห็นเท่านั้น แต่จากการดูว่าหน่วยงานบังคับใช้กฎหมายจัดการกับอาชญากรไซเบอร์ได้อย่างมีประสิทธิภาพ โดยไม่จำเป็นต้องเหยียบย่ำความเป็นส่วนตัวของเรา อาจจะเป็น เท่าที่บางคนคิดว่าจำเป็น

ดังนั้น ข้อมูลเชิงลึกที่น่าสนใจบางอย่างในนั้น Doug:

Tracers in the Dark: Global Hunt สำหรับ Crime Lords of Crypto

---

ดั๊ก.   ตรวจดูว่า…อยู่ในเกณฑ์มาตรฐาน ฟีดพอดคาสต์ Naked Security.

หากคุณได้รับพอดคาสต์ของเรา นั่นควรเป็นรายการก่อนหน้านี้

และตอนนี้ให้เราย้ายไปแก้ไขและอัปเดตอย่างรวดเร็ว

เรามี OpenSSL เรามี VMware และเรามี OpenSSH

เริ่มกันเลย VMware. พอล:

ผู้ใช้ VMWare? กังวลเกี่ยวกับ “ESXi ransomware” หรือไม่? ตรวจสอบแพทช์ของคุณตอนนี้!

---

เป็ด.   เรื่องนี้กลายเป็นเรื่องใหญ่ ฉันคิดว่าเป็นเพราะแถลงการณ์ที่ออกโดย French CERT (Computer Emergency Response Team) เมื่อวันศุกร์ของสัปดาห์ที่แล้ว

ดังนั้น. ซึ่งจะเป็นวันที่ 03 กุมภาพันธ์ 2023

พวกเขาบอกว่ามันเป็นอย่างไร: “เฮ้ มีช่องโหว่เก่าเหล่านี้ใน VMware ESXi ที่คุณสามารถแพตช์ได้ในปี 2000 และ 2021 แต่บางคนก็ไม่มี และตอนนี้มิจฉาชีพก็กำลังใช้ช่องโหว่เหล่านั้นในทางที่ผิด เซอร์ไพรส์ เซอร์ไพรส์: ผลลัพธ์ที่ได้เท่ากับแรนซัมแวร์”

พวกเขาไม่ได้กล่าวไว้เช่นนั้น… แต่นั่นคือจุดประสงค์ของแถลงการณ์

มันกลายเป็นกระแสข่าวของ [STARTLED VOICE] ว่า “ไม่นะ! บั๊กยักษ์ใน VMware!”

ดูเหมือนว่าผู้คนจะสรุปว่า “ไม่นะ! มีซีโร่เดย์ใหม่ล่าสุด! ฉันควรจะทิ้งทุกอย่างแล้วไปดูดีกว่า!”

และในบางแง่ มันเลวร้ายยิ่งกว่าซีโร่เดย์เสียอีก เพราะหากคุณเสี่ยงต่อการโจมตีของแก๊งไซเบอร์โดยเฉพาะ และจบลงด้วยแรนซั่มแวร์...

…คุณอ่อนแอมาสองปีแล้ว

---

ดั๊ก.   730 วันจริง ๆ แล้ว…

---

เป็ด.   แน่นอน!

ดังนั้นฉันจึงเขียนบทความเพื่ออธิบายว่าปัญหาคืออะไร

ฉันยังถอดรหัสและวิเคราะห์มัลแวร์ที่พวกเขาใช้ในตอนท้าย

เพราะฉันคิดว่าสิ่งที่ผู้คนจำนวนมากอ่านเกี่ยวกับเรื่องนี้คือ "ว้าว มีข้อบกพร่องขนาดใหญ่ใน VMware และมันนำไปสู่แรนซัมแวร์ ดังนั้นหากฉันได้รับการแก้ไข ฉันก็ไม่จำเป็นต้องทำอะไร และแรนซัมแวร์จะไม่เกิดขึ้น”

และปัญหาคือช่องโหว่เหล่านี้สามารถใช้เป็นหลักในการเข้าถึงรูทบนกล่อง ESXi โดยที่มิจฉาชีพไม่ต้องใช้แรนซัมแวร์

พวกเขาสามารถขโมยข้อมูล ส่งสแปม คีย์ล็อก เข้ารหัสลับ {แทรกอย่างน้อยที่สุดอาชญากรรมไซเบอร์ที่นี่}

และเครื่องมือแรนซั่มแวร์ที่อาชญากรเหล่านี้ใช้ ซึ่งเป็นแบบกึ่งอัตโนมัติแต่สามารถใช้งานได้ด้วยตนเอง เป็นเครื่องมือแปลงไฟล์แบบสแตนด์อโลนที่ออกแบบมาเพื่อแปลงไฟล์ขนาดใหญ่อย่างรวดเร็ว

ดังนั้นจึงไม่ได้เข้ารหัสอย่างสมบูรณ์ – พวกเขาได้กำหนดค่าให้เข้ารหัส 99 เมกะไบต์, ข้าม 99MB, เข้ารหัส XNUMX เมกะไบต์, ข้าม XNUMXMB...

…ดังนั้น มันจะผ่านหลายกิกะไบต์หรือแม้กระทั่งเทราไบต์ VMDK (ไฟล์อิมเมจเครื่องเสมือน) อย่างรวดเร็วจริงๆ

และมีสคริปต์ที่เรียกใช้เครื่องมือเข้ารหัสนี้สำหรับทุกอิมเมจของ VMware ที่สามารถค้นหาได้ พร้อมกันทั้งหมด

แน่นอน ใครๆ ก็สามารถปรับใช้เครื่องมือเฉพาะนี้ *โดยไม่ต้องเจาะผ่านช่องโหว่ของ VMware*

ดังนั้น หากคุณไม่ได้รับการแพตช์ ก็ไม่จำเป็นต้องจบลงด้วยแรนซัมแวร์

และถ้าคุณถูกปะ นั่นไม่ใช่ทางเดียวที่มิจฉาชีพจะเข้ามาได้

ดังนั้นจึงเป็นประโยชน์ที่จะแจ้งให้ตัวเองทราบเกี่ยวกับความเสี่ยงของแรนซัมแวร์นี้และวิธีป้องกัน

---

ดั๊ก.   โอเคดีมาก ๆ.

จากนั้นเราก็มี pokeable บั๊กหน่วยความจำฟรีสองเท่า ใน OpenSSH

มันสนุกที่จะพูด ...

OpenSSH แก้ไขข้อผิดพลาดหน่วยความจำว่างสองเท่าที่สามารถใช้งานผ่านเครือข่ายได้

---

เป็ด.   มันคือดั๊ก

และฉันคิดว่า "มันค่อนข้างสนุกที่จะเข้าใจ" ดังนั้นฉันจึงเขียนมันขึ้นมาบน Naked Security เพื่อช่วยให้คุณเข้าใจศัพท์เฉพาะเกี่ยวกับบั๊กที่เกี่ยวข้องกับหน่วยความจำนี้

มันเป็นปัญหาที่ค่อนข้างลึกลับ (มันอาจจะไม่ส่งผลกระทบต่อคุณหากคุณใช้ OpenSSH) แต่ฉันก็ยังคิดว่าเป็นเรื่องที่น่าสนใจ เพราะ [A] เนื่องจากทีม OpenSSH ตัดสินใจว่าจะเปิดเผยในบันทึกประจำรุ่นของพวกเขา “มัน ไม่มีหมายเลข CVE แต่นี่คือวิธีการทำงานอยู่ดี” และ [B] เป็นการเตือนที่ดีว่าข้อบกพร่องในการจัดการหน่วยความจำ โดยเฉพาะอย่างยิ่งเมื่อคุณเขียนโค้ดในภาษา C สามารถเกิดขึ้นได้แม้แต่กับโปรแกรมเมอร์ที่มีประสบการณ์

นี่คือ double-free ซึ่งเป็นกรณีที่คุณจบด้วยบล็อกหน่วยความจำ ดังนั้นคุณจึงส่งคืนให้กับระบบและพูดว่า “คุณสามารถมอบสิ่งนี้ให้กับส่วนอื่นของโปรแกรมของฉันได้ ฉันเสร็จแล้ว”

และหลังจากนั้น แทนที่จะใช้บล็อกเดิมนั้นอีกครั้งหลังจากที่คุณเลิกใช้แล้ว (ซึ่งคงจะแย่อย่างเห็นได้ชัด) คุณจึงมอบความทรงจำนั้นคืนให้อีกครั้ง

และมันฟังดูเหมือน “อืม เสียหายอะไรหรือเปล่า? คุณแค่ทำให้แน่ใจ”

มันเหมือนกับการวิ่งกลับจากที่จอดรถเข้าไปในอพาร์ทเมนต์ของคุณ แล้วขึ้นไปและถามว่า “ฉันปิดเตาอบแล้วจริงๆ เหรอ”

ไม่สำคัญว่าคุณจะกลับไปและเครื่องดับ จะสำคัญก็ต่อเมื่อคุณย้อนกลับไปและพบว่าคุณไม่ได้ปิดเครื่อง

ดังนั้นอะไรคืออันตรายของ double-free?

แน่นอนว่าปัญหาคือมันสามารถสร้างความสับสนให้กับระบบพื้นฐาน และนั่นอาจทำให้หน่วยความจำของคนอื่นถูกจัดการผิดพลาดหรือจัดการผิดพลาดในแบบที่อาชญากรสามารถใช้ประโยชน์ได้

ดังนั้นหากคุณไม่เข้าใจว่าสิ่งเหล่านั้นทำงานอย่างไร ฉันคิดว่านี่เป็นสิ่งที่น่าสนใจ บางทีก็สำคัญ อ่าน...

…แม้ว่าบั๊กจะลึกลับพอสมควร และเท่าที่เรารู้ ยังไม่มีใครคิดหาวิธีใช้ประโยชน์จากมัน

---

ดั๊ก.   สุดท้าย แต่ไม่ท้ายสุด มีความรุนแรงสูง บั๊กขโมยข้อมูล ใน OpenSSL ที่ได้รับการแก้ไข

และผมอยากจะขอร้องผู้คน ถ้าคุณเป็นเหมือนผม เป็นคนที่มีเหตุผลทางเทคนิค แต่ไม่ชอบศัพท์แสง...

…บันทึกอย่างเป็นทางการเต็มไปด้วยศัพท์แสง แต่คุณพอล คุณทำงานอย่างช่ำชองในการแปลศัพท์แสงดังกล่าวเป็นภาษาอังกฤษล้วน

รวมถึงไดนาไมต์ที่อธิบายการทำงานของข้อบกพร่องของหน่วยความจำ รวมถึง: NULL dereference, invalid pointer dereference, read buffer overflow, use-after-free, double-free (ซึ่งเราเพิ่งพูดถึงไป) และอื่นๆ:

OpenSSL แก้ไขบั๊กการขโมยข้อมูลที่มีความรุนแรงสูง – แก้ไขทันที!

---

เป็ด.   [หยุดชั่วคราว] คุณทำให้ฉันพูดไม่ออกเลย ดั๊ก

ขอบคุณมากสำหรับคำพูดของคุณ

ฉันเขียนสิ่งนี้ขึ้นเพื่อ… ฉันจะพูดสองเหตุผล แต่เหตุผลสามประการ

อย่างแรกคือ OpenSSH และ OpenSSL เป็นสองสิ่งที่แตกต่างกันอย่างสิ้นเชิง – เป็นสองโครงการโอเพ่นซอร์สที่แตกต่างกันโดยสิ้นเชิงซึ่งดำเนินการโดยทีมที่แตกต่างกัน – แต่ทั้งคู่ต่างก็ใช้กันอย่างแพร่หลายมากเป็นพิเศษ

ดังนั้น โดยเฉพาะจุดบกพร่องของ OpenSSL อาจมีผลกับคุณที่ใดที่หนึ่งในพื้นที่ไอทีของคุณ เพราะผลิตภัณฑ์บางอย่างที่คุณมีอยู่เกือบจะรวมมันไว้ด้วย

และถ้าคุณมี Linux distro นั้น distro นั้นอาจมีเวอร์ชันของตัวเองเช่นกัน – Linux ของฉันอัปเดตในวันเดียวกัน ดังนั้นคุณต้องไปตรวจสอบด้วยตัวเอง

ดังนั้นฉันจึงต้องการแจ้งให้ผู้คนทราบถึงหมายเลขเวอร์ชันใหม่

และอย่างที่เราพูด มีศัพท์แสงมากมายที่น่าเวียนหัวซึ่งฉันคิดว่าควรค่าแก่การอธิบาย… ทำไมแม้แต่เรื่องเล็กน้อยถึงสำคัญ

และมีจุดบกพร่องที่มีความรุนแรงสูงอยู่หนึ่งจุด (ไม่ขออธิบายนะครับ พิมพ์สับสน ที่นี่ – ไปที่บทความหากคุณต้องการการเปรียบเทียบวิธีการทำงาน)

และนี่คือกรณีที่ผู้โจมตีอาจสามารถกระตุ้นสิ่งที่ดูเหมือนเป็นการเปรียบเทียบหน่วยความจำที่ไร้เดียงสาอย่างสมบูรณ์แบบ โดยที่พวกเขาแค่เปรียบเทียบบัฟเฟอร์ของหน่วยความจำนี้กับบัฟเฟอร์ของหน่วยความจำนั้น...

…แต่พวกเขาเปลี่ยนทิศทางของบัฟเฟอร์อันหนึ่งผิด และดูเถิด พวกเขาสามารถหาสิ่งที่อยู่ในบัฟเฟอร์ *ของคุณ* โดยเปรียบเทียบกับสิ่งที่รู้จักซึ่งใส่ไว้ใน *ของพวกเขา*

ในทางทฤษฎี คุณสามารถใช้บั๊กในทางที่ผิดในลักษณะที่คุณอาจเรียกว่า Heartbleed ได้

ฉันแน่ใจว่าเราทุกคนจำได้ว่าหากอาชีพด้านไอทีของเราย้อนกลับไปในปี 2014 หรือก่อนหน้านั้น บั๊ก OpenSSL Heartbleedซึ่งไคลเอนต์สามารถ ping เซิร์ฟเวอร์และพูดว่า “คุณยังมีชีวิตอยู่ไหม”

“Heartbleed heartache” – คุณควรเปลี่ยนรหัสผ่านทั้งหมดทันทีหรือไม่?

และมันจะส่งข้อความกลับซึ่งมีข้อมูลพิเศษมากถึง 64 กิโลไบต์ซึ่งอาจรวมถึงความลับของผู้อื่นโดยไม่ได้ตั้งใจ

และนั่นคือปัญหาเกี่ยวกับข้อบกพร่องของการรั่วไหลของหน่วยความจำ หรือข้อบกพร่องที่อาจเกิดขึ้นกับการรั่วไหลของหน่วยความจำในผลิตภัณฑ์เข้ารหัส

โดยการออกแบบโดยทั่วไปแล้วมีอะไรให้ซ่อนมากกว่าโปรแกรมแบบเดิมๆ!

ดังนั้นไปอ่านและทำการแก้ไขให้เร็วที่สุดเท่าที่จะทำได้

---

ดั๊ก.   ฉันไม่อยากจะเชื่อเลยว่า Heartbleed คือปี 2014

ดูเหมือนว่า… ฉันมีลูกแค่คนเดียวตอนที่มันออกมาและเขายังเด็ก และตอนนี้ฉันมีลูกอีกสองคน

---

เป็ด.   และถึงกระนั้นเราก็ยังพูดถึงมัน ...

---

ดั๊ก.   อย่างจริงจัง!

---

เป็ด.   …เพื่อเป็นการย้ำเตือนว่าเหตุใดการล้นของบัฟเฟอร์การอ่านอย่างง่ายจึงอาจเป็นหายนะได้

เพราะผู้คนจำนวนมากมักคิดว่า "โอ้ อืม แน่นอนว่าอันตรายน้อยกว่าการ *เขียน* บัฟเฟอร์ล้น ซึ่งฉันอาจแทรกเชลล์โค้ดหรือเปลี่ยนพฤติกรรมของโปรแกรมได้"

แน่นอนว่าถ้าฉันสามารถอ่านเนื้อหาได้ ฉันอาจได้ความลับของคุณ... แย่จัง แต่มันไม่อนุญาตให้ฉันเข้าถึงรูทและครอบครองเครือข่ายของคุณ

แต่จากการรั่วไหลของข้อมูลหลายครั้งได้รับการพิสูจน์แล้ว บางครั้งความสามารถในการอ่านข้อมูลต่างๆ จากเซิร์ฟเวอร์เครื่องหนึ่งอาจเปิดเผยความลับที่ทำให้คุณลงชื่อเข้าใช้เซิร์ฟเวอร์อื่นจำนวนมากและทำสิ่งที่น่ารังเกียจกว่านั้นอีกมาก!

---

ดั๊ก.   นั่นเป็นภาคต่อที่ยอดเยี่ยมเกี่ยวกับเรื่องซุกซนและความลับ

เรามีอัพเดทเรื่องราวจาก เปลือยกายรักษาความปลอดภัยที่ผ่านมา.

คุณอาจจำเรื่องราวเมื่อปลายปีที่แล้วเกี่ยวกับใครบางคนที่ละเมิดบริษัทจิตบำบัดและขโมยใบรับรองผลการเรียนการบำบัดจำนวนมาก จากนั้นใช้ข้อมูลนั้นเพื่อรีดไถผู้ป่วยของบริษัทนี้

เขาวิ่งหนีไป…และก็แค่ ถูกจับกุมเมื่อเร็ว ๆ นี้ ในประเทศฝรั่งเศส:

ผู้ต้องสงสัยกรรโชกจิตบำบัดชาวฟินแลนด์ถูกจับในฝรั่งเศส

---

เป็ด.   นี่เป็นอาชญากรรมที่น่าเกลียดจริงๆ

เขาไม่เพียงแค่ละเมิดบริษัทและขโมยข้อมูลจำนวนมาก

เขาฝ่าฝืนบริษัท *จิตบำบัด* และน่าเศร้าเป็นทวีคูณ บริษัทนั้นดูเหมือนจะละเลยอย่างยิ่งในเรื่องความปลอดภัยของข้อมูล

ในความเป็นจริง อดีต CEO ของพวกเขากำลังมีปัญหากับเจ้าหน้าที่ในข้อหาที่ตัวเองอาจได้รับโทษจำคุก เพราะพวกเขาเพียงแค่มีข้อมูลไดนาไมต์ทั้งหมดที่พวกเขาเป็นหนี้ให้กับผู้ป่วยเพื่อปกป้อง แต่จริงๆ แล้วไม่มี

พวกเขาวางมันไว้บนเซิร์ฟเวอร์คลาวด์ด้วยรหัสผ่านเริ่มต้น ที่ซึ่งอาชญากรบังเอิญเจอเข้า

แต่ธรรมชาติของการละเมิดที่เกิดขึ้นนั้นแย่มากจริงๆ

เขาแบล็กเมล์บริษัท… ฉันเชื่อว่าเขาพูดว่า “ฉันต้องการเงิน 450,000 ยูโร ไม่งั้นฉันจะเปิดเผยข้อมูลทั้งหมด”

และแน่นอนว่าบริษัทยังคงนิ่งเฉยเกี่ยวกับเรื่องนี้ – นี่คือสาเหตุที่หน่วยงานกำกับดูแลตัดสินใจที่จะดำเนินการตามบริษัทเช่นกัน

พวกเขาเก็บเรื่องนี้ไว้เงียบๆ โดยหวังว่าจะไม่มีใครรู้ และชายคนนี้ก็มาพูดว่า "จ่ายเงินให้เราสิ ไม่อย่างนั้น"

พวกเขาจะไม่จ่ายเงินให้เขา

ไม่มีเหตุผล: เขามีนัดอยู่แล้ว และเขาก็ทำเรื่องแย่ๆ กับมันไปแล้ว

และอย่างที่คุณพูด พวกมิจฉาชีพก็ตัดสินใจว่า "ถ้าฉันไม่สามารถหาเงิน 450,000 ยูโรจากบริษัทได้ ทำไมฉันไม่ลองตีทุกคนที่เข้ารับการบำบัดทางจิตด้วยเงินคนละ 200 ยูโรล่ะ"

ตามบันทึกของนักสืบไซเบอร์ชื่อดัง Brian Krebs บันทึกการขู่กรรโชกของเขากล่าวว่า “คุณมีเวลา 24 ชั่วโมงที่จะจ่ายเงินให้ฉัน 200 ยูโร จากนั้นฉันจะให้เวลาคุณ 48 ชั่วโมงในการจ่ายเงิน 500 ยูโร และถ้าฉันไม่ได้รับการติดต่อจากคุณหลังจาก 72 ชั่วโมง ฉันจะบอกเพื่อน ครอบครัว และใครก็ตามที่อยากรู้ถึงสิ่งที่คุณพูด”

เนื่องจากข้อมูลดังกล่าวมีการถอดเสียง ดั๊ก

ทำไมพวกเขาถึงเก็บสิ่งเหล่านั้นไว้โดยปริยายตั้งแต่แรก?

ฉันจะไม่มีวันเข้าใจสิ่งนั้น

อย่างที่คุณพูด เขาหนีออกนอกประเทศและถูกจับโดยชาวฟินน์ ที่ทำให้สามารถออกหมายจับระหว่างประเทศได้

อย่างไรก็ตาม ตอนนี้เขากำลังเผชิญหน้ากับวงการดนตรีในฝรั่งเศส ซึ่งแน่นอนว่าชาวฝรั่งเศสกำลังหาทางส่งตัวเขาข้ามแดนไปยังฟินแลนด์ และชาวฟินน์ก็พยายามที่จะส่งตัวเขาขึ้นศาล

เห็นได้ชัดว่าเขามีรูปแบบ [เทียบเท่ากับสหรัฐอเมริกา: ก่อน] สำหรับสิ่งนี้. ดั๊ก

เขาเคยต้องโทษในคดีอาชญากรรมทางไซเบอร์มาก่อน แต่ก่อนหน้านั้นเขายังเป็นผู้เยาว์

ตอนนี้เขาอายุ 25 ปี ฉันเชื่ออย่างนั้น ตอนนั้นเขาอายุ 17 ปี ดังนั้นเขาจึงได้รับโอกาสครั้งที่สอง

เขาได้รับโทษรอลงอาญาและปรับเล็กน้อย

แต่ถ้าข้อกล่าวหาเหล่านี้ถูกต้อง ฉันคิดว่าพวกเราหลายคนสงสัยว่าคราวนี้เขาจะไม่ลงเอยง่ายๆ หากถูกตัดสินว่ามีความผิด

---

ดั๊ก.   นี่เป็นเครื่องเตือนใจที่ดีว่าคุณสามารถเป็นทั้งเหยื่อ *และ* ผู้ร้ายได้ หากคุณเป็นเหมือนบริษัทนี้

และอีกข้อเตือนใจว่าคุณต้องมีแผนอยู่แล้ว

ดังนั้นเราจึงมีคำแนะนำในตอนท้ายของบทความ โดยเริ่มจาก: ซ้อมสิ่งที่คุณจะทำถ้าคุณประสบกับการละเมิดตัวเอง

คุณต้องมีแผน!

---

เป็ด.   อย่างแน่นอน

คุณไม่สามารถทำมันได้ในขณะที่คุณทำไปเพราะจะไม่มีเวลา

---

ดั๊ก.   และถ้าคุณเป็นคนที่ได้รับผลกระทบจากสิ่งนี้: พิจารณาการยื่นรายงานเพราะจะช่วยในการสอบสวน

---

เป็ด.   แน่นอนว่ามันไม่

ความเข้าใจของฉันคือ ในกรณีนี้ ผู้คนจำนวนมากที่ได้รับข้อเรียกร้องจากการขู่กรรโชกเหล่านี้ *ไม่* ไปหาเจ้าหน้าที่และพูดว่า "สิ่งนี้เกิดขึ้นโดยไม่ได้ตั้งใจ นี่มันเหมือนกับการถูกทำร้ายบนถนน! คุณจะทำอย่างไรกับมัน”

เจ้าหน้าที่กล่าวว่า "เยี่ยมมาก มารวบรวมรายงานกัน" และนั่นหมายความว่าพวกเขาสามารถสร้างคดีที่ดีขึ้น และสร้างคดีที่แข็งแกร่งขึ้นสำหรับบางอย่าง เช่น การส่งผู้ร้ายข้ามแดน

---

ดั๊ก.   ดีมาก

เราจะปิดท้ายรายการของเราด้วย: “อีกหนึ่งสัปดาห์ ผู้จัดการรหัสผ่านอีกคนบนที่นั่งยอดนิยม”

คราวนี้มัน KeePass.

แต่เคอร์ฟิวนี้ไม่ตรงไปตรงมานัก Paul:

รายงาน “ช่องโหว่” ที่ขโมยรหัสผ่านใน KeePass – บั๊กหรือฟีเจอร์?

---

เป็ด.   อันที่จริง ดั๊ก ฉันคิดว่าคุณสามารถพูดได้ว่ามันตรงไปตรงมามาก… และซับซ้อนอย่างมากในเวลาเดียวกัน [หัวเราะ]

---

ดั๊ก.   [หัวเราะ] ตกลง เรามาพูดถึงวิธีการทำงานจริงๆ กันดีกว่า

ตัวฟีเจอร์นั้นเป็นฟีเจอร์การทำงานอัตโนมัติประเภทสคริปต์…

---

เป็ด.   “ทริกเกอร์” เป็นคำที่ใช้ค้นหา นั่นคือสิ่งที่พวกเขาเรียก

ตัวอย่างเช่น เมื่อคุณบันทึกไฟล์ฐานข้อมูล [KeePass] (บางทีคุณอาจอัปเดตรหัสผ่าน หรือสร้างบัญชีใหม่แล้วกดปุ่มบันทึก) จะดีไหมถ้าคุณสามารถโทร สคริปต์ที่กำหนดเองของคุณเองที่ซิงโครไนซ์ข้อมูลนั้นกับการสำรองข้อมูลบนคลาวด์หรือไม่

แทนที่จะลองเขียนโค้ดใน KeePass เพื่อจัดการกับระบบอัพโหลดบนคลาวด์ทุกระบบที่เป็นไปได้ในโลก ทำไมไม่จัดหากลไกที่ผู้คนสามารถปรับแต่งได้หากต้องการ

เช่นเดียวกับเมื่อคุณลองใช้รหัสผ่าน… คุณพูดว่า “ฉันต้องการคัดลอกรหัสผ่านนั้นและใช้รหัสผ่านนั้น”

คงจะดีไม่น้อยหากคุณสามารถเรียกใช้สคริปต์ที่ได้รับสำเนาของรหัสผ่านข้อความธรรมดา เพื่อให้สามารถใช้เพื่อเข้าสู่ระบบบัญชีที่ไม่ได้ค่อนข้างง่ายเพียงแค่ใส่ข้อมูลลงในเว็บฟอร์มที่เปิดอยู่ หน้าจอของคุณ?

นั่นอาจเป็นบางอย่าง เช่น บัญชี GitHub ของคุณ หรือบัญชีการรวมระบบต่อเนื่องของคุณ หรืออะไรก็ตาม

ดังนั้นสิ่งเหล่านี้จึงเรียกว่า "ทริกเกอร์" เพราะออกแบบมาเพื่อทริกเกอร์เมื่อผลิตภัณฑ์ทำบางสิ่ง

และบางสิ่งเหล่านั้น – หนีไม่พ้นเพราะมันเป็นผู้จัดการรหัสผ่าน – จัดการกับการจัดการรหัสผ่านของคุณ

ผู้ที่ไม่ชอบรู้สึกว่า "โอ้ ทริกเกอร์พวกนั้น ตั้งค่าง่ายเกินไป และการเพิ่มทริกเกอร์ก็ไม่ได้ป้องกันตัวเองด้วยรหัสผ่านป้องกันการงัดแงะ"

คุณต้องใส่รหัสผ่านหลักเพื่อเข้าถึงรหัสผ่านของคุณ แต่คุณไม่จำเป็นต้องใส่รหัสผ่านหลักเพื่อเข้าถึงไฟล์การกำหนดค่าเพื่อเข้าถึงรหัสผ่าน

ฉันคิดว่านั่นคือที่มาของผู้ไม่ประสงค์ออกนาม

และคนอื่นๆ กำลังพูดว่า “คุณรู้อะไรไหม พวกเขาต้องเข้าถึงไฟล์ปรับแต่ง ถ้าพวกเขารู้ แสดงว่าคุณเจอปัญหาหนักแล้ว!”

---

ดั๊ก.   “ผู้คน” รวมถึง KeePass ที่กล่าวว่า “โปรแกรมนี้ไม่ได้ตั้งขึ้นเพื่อป้องกันใครบางคน [LAUGHS] ที่นั่งอยู่บนเก้าอี้ของคุณเมื่อคุณลงชื่อเข้าใช้เครื่องและแอพของคุณแล้ว”

---

เป็ด.   จริง

และฉันคิดว่าความจริงน่าจะอยู่ตรงกลาง

ฉันเห็นข้อโต้แย้งว่าทำไม หากคุณกำลังจะให้รหัสผ่านป้องกันด้วยรหัสผ่านหลัก… ทำไมคุณไม่ป้องกันไฟล์การกำหนดค่าด้วย

แต่ฉันก็เห็นด้วยกับคนที่พูดว่า “คุณรู้อะไรไหม? ถ้าพวกเขาลงชื่อเข้าใช้บัญชีของคุณ และพวกเขาอยู่บนคอมพิวเตอร์ของคุณ และพวกเขาเป็นคุณอยู่แล้ว แสดงว่าคุณเข้าที่ XNUMX ในการแข่งขันแล้ว”

อย่าทำอย่างนั้น!

---

ดั๊ก.   [หัวเราะ] ตกลง ดังนั้นถ้าเราซูมออกเล็กน้อยเกี่ยวกับเรื่องนี้...

…ผู้อ่าน Naked Security Richard ถาม:

ผู้จัดการรหัสผ่าน ไม่ว่าจะเป็นตัวใด มีจุดเดียวของความล้มเหลวหรือไม่? โดยการออกแบบแล้ว มันเป็นเป้าหมายที่มีมูลค่าสูงสำหรับแฮ็กเกอร์ และการมีอยู่ของช่องโหว่ใด ๆ ทำให้ผู้โจมตีสามารถแจ็กพอตทุกรหัสผ่านบนระบบ โดยไม่คำนึงว่ารหัสผ่านเหล่านั้นมีความแข็งแกร่งตามสัญญา

ฉันคิดว่านั่นเป็นคำถามที่หลายคนกำลังถามอยู่ตอนนี้

---

เป็ด.   ในทางหนึ่ง ดั๊ก นั่นเป็นคำถามที่ตอบไม่ได้

สิ่งที่คล้ายกับ "ทริกเกอร์" นี้ในไฟล์กำหนดค่าใน KeePass

มันเป็นข้อบกพร่องหรือเป็นคุณสมบัติหรือเราต้องยอมรับว่ามันเป็นทั้งสองอย่าง?

ฉันคิดว่า ตามที่ผู้แสดงความคิดเห็นคนอื่นกล่าวไว้ในบทความเดียวกันนั้น มีปัญหาในการพูดว่า “ผู้จัดการรหัสผ่านเป็นจุดเดียวของความล้มเหลว ดังนั้นฉันจะไม่ใช้จุดนั้น สิ่งที่ฉันจะทำคือ ฉันจะคิด *หนึ่ง* รหัสผ่านที่ซับซ้อนจริงๆ แล้วฉันจะใช้มันสำหรับเว็บไซต์ทั้งหมดของฉัน”

ซึ่งเป็นสิ่งที่ผู้คนจำนวนมากทำหากพวกเขาไม่ได้ใช้ตัวจัดการรหัสผ่าน… และแทนที่จะเป็น *ศักยภาพ* ของความล้มเหลวเพียงจุดเดียว กลับสร้างบางสิ่งที่เป็น *และ* ของความล้มเหลวเพียงจุดเดียว

ดังนั้นผู้จัดการรหัสผ่านจึงมีความชั่วร้ายน้อยกว่าสองอย่างอย่างแน่นอน

และฉันคิดว่ามีความจริงมากมายในนั้น

---

ดั๊ก.   ใช่ ฉันจะบอกว่าฉันคิดว่า *สามารถ* เป็นความล้มเหลวเพียงจุดเดียว ขึ้นอยู่กับประเภทของบัญชีที่คุณเก็บไว้

แต่สำหรับหลายๆ บริการนั้น ไม่ใช่และไม่ควรเป็นจุดเดียวของความล้มเหลว *ทั้งหมด*

ตัวอย่างเช่น หากรหัสผ่านธนาคารของฉันถูกขโมย และมีคนเข้าสู่ระบบบัญชีธนาคารของฉัน ธนาคารของฉันจะเห็นว่าพวกเขากำลังเข้าสู่ระบบจากอีกซีกโลกหนึ่งและพูดว่า “โอ้โห! รอสักครู่! มันดูแปลกๆ”

และพวกเขาจะถามคำถามเพื่อความปลอดภัย หรือไม่ก็จะส่งอีเมลรหัสรองที่ฉันต้องป้อน แม้ว่าฉันจะไม่ได้ตั้งค่าสำหรับ 2FA ก็ตาม

บัญชีที่สำคัญส่วนใหญ่ของฉัน... ฉันไม่ค่อยกังวลเกี่ยวกับข้อมูลประจำตัวเหล่านั้นมากนัก เพราะจะมีปัจจัยที่สองโดยอัตโนมัติที่ฉันต้องข้ามไปเนื่องจากการเข้าสู่ระบบจะดูน่าสงสัย

และฉันหวังว่าเทคโนโลยีจะใช้งานได้ง่ายเสียจนเว็บไซต์ใดๆ ที่เก็บข้อมูลทุกประเภทก็มีสิ่งนั้นอยู่ในตัว: "ทำไมคนๆ นี้จึงเข้าสู่ระบบจากโรมาเนียตอนกลางดึก ทั้งที่ปกติแล้วพวกเขาอยู่ในบอสตัน"

ระบบป้องกันความผิดพลาดจำนวนมากมีไว้สำหรับสิ่งสำคัญขนาดใหญ่ที่คุณอาจเก็บไว้ออนไลน์ ดังนั้นฉันหวังว่านั่นจะไม่ใช่จุดเดียวของความล้มเหลวในแง่นั้น

---

เป็ด.   นั่นเป็นประเด็นที่ดี Doug และฉันคิดว่ามันเป็นการแสดงให้เห็นว่ามีคำถามเบื้องหลังคำถามที่น่าสนใจ ซึ่งก็คือ “ทำไมเราต้องใช้รหัสผ่านจำนวนมากในตอนแรก”

และบางทีวิธีหนึ่งในการมุ่งสู่อนาคตที่ไม่ต้องใช้รหัสผ่านก็คือการอนุญาตให้ผู้คนใช้เว็บไซต์ที่พวกเขาสามารถเลือก *ไม่* เพื่อให้มี (คำพูดทางอากาศ) “ความสะดวกสบายอย่างมาก” ในการสร้างบัญชีตั้งแต่แรก

---

ดั๊ก.   [GLUM LAUGH] ขณะที่เราคุยกัน ฉันได้รับผลกระทบจากการละเมิด LastPass และฉันดูรายการรหัสผ่านจำนวนมหาศาลของฉันแล้วพูดว่า “โอ้ พระเจ้า ฉันต้องไปเปลี่ยนรหัสผ่านทั้งหมดนี้!”

ผลปรากฎว่า ฉันต้อง *เปลี่ยน* ครึ่งหนึ่งของรหัสผ่านเหล่านั้น และแย่กว่านั้น ฉันต้อง *ยกเลิก* อีกครึ่งหนึ่งของบัญชีเหล่านี้ เพราะฉันมีบัญชีจำนวนมากอยู่ในนั้น...

…สำหรับสิ่งที่คุณพูด; “ฉันต้องทำบัญชีเพื่อเข้าถึงบางสิ่งบนเว็บไซต์นี้”

และไม่ใช่แค่การคลิกและยกเลิกเท่านั้น

บางอย่างคุณต้องโทร

บางอย่าง คุณต้องคุยกับใครสักคนผ่านการแชทสด

มันยากกว่าการเปลี่ยนรหัสผ่านจำนวนมาก

แต่ฉันอยากขอร้องผู้คน ไม่ว่าคุณจะใช้ตัวจัดการรหัสผ่านหรือไม่ก็ตาม ลองดูจำนวนบัญชีที่แท้จริงที่คุณมี และลบบัญชีที่คุณไม่ได้ใช้อีกต่อไป!

---

เป็ด.   ใช่.

สามคำ “น้อยแต่มาก”

---

ดั๊ก.   แน่นอน!

ได้เลย ขอบคุณมาก ริชาร์ด ที่ส่งมา

หากคุณมีเรื่องราว ข้อคิดเห็น หรือคำถามที่น่าสนใจที่คุณต้องการส่ง เรายินดีที่จะอ่านในพอดแคสต์

คุณสามารถส่งอีเมล [ป้องกันอีเมล]คุณสามารถแสดงความคิดเห็นในบทความใด ๆ ของเราหรือติดต่อเราทางโซเชียล: @NakedSecurity

นั่นคือการแสดงของเราในวันนี้ ขอบคุณมากสำหรับการฟัง

สำหรับ Paul Ducklin ฉัน Doug Aamoth เตือนคุณถึงครั้งต่อไปที่จะ...

---

ทั้งสอง   รักษาความปลอดภัย!

[โมเด็มดนตรี]