هل يمكن أن تتعرض للاختراق ثم مقاضاتك بسببها؟
Cryptocurrency سادة الجريمة. تصحيحات الأمان لـ في إم وير, بينسه و بينسل. مخالفة طبية ضبطت. غير أن علة أو ميزة؟
انقر واسحب على الموجات الصوتية أدناه للتخطي إلى أي نقطة. يمكنك أيضا استمع مباشرة على Soundcloud.
مع دوج آموث وبول دوكلين
موسيقى مقدمة وخاتمة بواسطة إديث مودج.
يمكنك الاستماع إلينا على SoundCloud لل, Apple Podcasts, Google Podcasts, سبوتيفي, الخياطة وفي أي مكان توجد فيه ملفات بودكاست جيدة. أو قم بإسقاط ملف عنوان URL لخلاصة RSS الخاصة بنا في podcatcher المفضل لديك.
اقرأ النص
دوغ. بقع وإصلاحات وأمراء الجريمة - يا إلهي!
أوه ، ومدير كلمات مرور آخر في الأخبار.
كل ذلك وأكثر على بودكاست Naked Security.
[مودم موسيقي]
مرحبا بكم في البودكاست ، الجميع.
أنا بول دوكلين. هو دوغ عاموث ...
.. أعتقد أنني حصلت على ذلك بالمقلوب ، بول: * أنا دوغ عاموت ؛ * هو * هو بول دوكلين.
بول ، نود أن نبدأ العرض بـ a هذا الأسبوع في تاريخ التكنولوجيا قطعة.
وأود أن أقدم شيئًا من التاريخ الحديث جدًا.
هذا الأسبوع ، في 06 فبراير 2023 ، لدينا بول دوكلين ...
بطة. [مبتهج] رائع!
دوغ. ...نشر مقابلة مع صحفي التكنولوجيا أندي غرينبرغ حول كتابه الجديد ، "Tracers in the Dark - The Global Hunt for the Crime Lords of Cryptocurrency".
لنستمع إلى مقطع سريع ...
[إيقاع موسيقي]
بول دوكلين. كان هناك بالتأكيد سحر لعقود من الزمان ليقول ، "أتعلم؟ هذا الشيء التشفير؟ إنها حقًا فكرة سيئة حقًا. نحن بحاجة إلى أبواب خلفية. نحن بحاجة إلى أن نكون قادرين على كسرها ، يجب أن يفكر شخص ما في الأطفال ، وما إلى ذلك "
آندي جرينبيرج. حسنًا ، من المثير للاهتمام التحدث عن الخلفية المشفرة ، والجدل القانوني حول التشفير الذي لا يستطيع حتى تطبيق القانون كسره.
أعتقد أن قصة هذا الكتاب تظهر ، من بعض النواحي ، أن هذا ليس ضروريًا في كثير من الأحيان.
أعني المجرمين في هذا الكتاب كانوا يستخدمون التشفير التقليدي.
كانوا يستخدمون Tor و Dark Web.
ولم يتم كسر أي من ذلك لكسرهم.
[إيقاع موسيقي]
بطة. أعلم أنني سأقول هذا ، دوغ ، لكنني أوصي بشدة بالاستماع إلى ذلك بودكاست.
أو ، إذا كنت تفضل القراءة ، فابحث في النص ، لأن ...
... كما قلت لـ "آندي" في النهاية ، كان من الرائع التحدث إليه مثل قراءة الكتاب في المقام الأول.
أوصي بشدة بالكتاب ، وقد حصل على بعض الأفكار المدهشة حول أشياء مثل الأبواب الخلفية المشفرة التي لا تأتي فقط من الآراء ، ولكن من النظر في كيفية تعامل إنفاذ القانون ، على ما يبدو بشكل فعال للغاية ، مع الجرائم الإلكترونية ، دون الحاجة إلى الدوس على خصوصيتنا ربما بقدر ما يعتقد البعض أنه ضروري.
لذا ، بعض الأفكار الرائعة هناك ، دوج:
المتتبعون في الظلام: البحث العالمي عن أسياد الجريمة في التشفير
دوغ. تحقق من أن ... هذا هو المعيار تغذية بودكاست الأمن العاري.
إذا كنت تحصل على البودكاست الخاص بنا ، فيجب أن يكون هذا هو الذي يسبق ذلك مباشرةً.
ودعونا ننتقل الآن إلى جولة خاطفة من الإصلاحات والتحديثات.
لدينا OpenSSL. لدينا برنامج VMware ولدينا OpenSSH.
دعنا نبدء ب في إم وير. بول:
مستخدم VMWare؟ هل أنت قلق من "ESXi ransomware"؟ تحقق من البقع الخاصة بك الآن!
بطة. لقد أصبحت هذه قصة ضخمة ، على ما أعتقد ، بسبب نشرة أصدرها فريق الاستجابة للطوارئ الحاسوبية (CERT) يوم الجمعة من الأسبوع الماضي.
لذا. سيكون 03 فبراير 2023.
لقد أخبروها ببساطة كيف كانت: "مرحبًا ، هناك نقاط الضعف القديمة هذه في VMware ESXi والتي كان من الممكن تصحيحها في عامي 2000 و 2021 ، لكن بعض الأشخاص لم يفعلوا ذلك ، والآن يسيء استخدام المحتالين لها. مفاجأة ، مفاجأة: النتيجة النهائية تساوي برامج الفدية ".
لم يضعوها على هذا النحو ... ولكن كان هذا هو الغرض من النشرة.
لقد تحول نوعًا ما إلى عاصفة إخبارية من [STARTLED VOICE] ، "أوه ، لا! خطأ عملاق في برنامج VMware! "
يبدو كما لو أن الناس كانوا يستنتجون ، "أوه ، لا! هناك علامة تجارية جديدة زيرو داي! من الأفضل أن ألقي كل شيء وأذهب وألقي نظرة! "
وفي بعض النواحي ، يكون الأمر أسوأ من يوم الصفر ، لأنه إذا كنت معرضًا لخطر هجوم cybergang البوتيك المحدد ، والذي ينتهي ببرنامج الفدية ...
... لقد كنت عرضة للخطر لمدة عامين.
دوغ. يوم 730 ، في الواقع ...
بطة. بالضبط!
لذلك كتبت المقال لشرح ما هي المشكلة.
قمت أيضًا بفك تشفير وتحليل البرامج الضارة التي كانوا يستخدمونها في النهاية.
لأنني أعتقد أن ما قرأه الكثير من الناس في هذه القصة هو ، "واو ، هناك خطأ كبير في برنامج VMware ، وهو يؤدي إلى برامج الفدية. لذلك إذا تم تصحيح الخطأ ، فلن أحتاج إلى فعل أي شيء ، ولن تحدث برامج الفدية ".
والمشكلات هي أنه يمكن استخدام هذه الثغرات ، بشكل أساسي ، للوصول إلى الجذر في صناديق ESXi ، حيث لا يضطر المحتالون إلى استخدام برامج الفدية.
يمكنهم القيام بسرقة البيانات ، وإرسال الرسائل غير المرغوب فيها ، و keylogging ، و cryptomining ، و {insert less-favorite cybercrime here}.
وأداة برامج الفدية التي يستخدمها هؤلاء المحتالون ، وهي شبه آلية ولكن يمكن استخدامها يدويًا ، هي أداة تشويش ملفات مستقلة مصممة لدمج الملفات الكبيرة حقًا بسرعة.
لذا فهي ليست مشفرة بالكامل - لقد قاموا بتكوينها بحيث تشفر ميغا بايت ، وتتخطى 99 ميغا بايت ، وتشفّر ميغا بايت ، وتتخطى 99 ميغا بايت ...
... لذلك سوف يمر عبر VMDK متعدد الجيجابايت أو حتى تيرابايت VMDK (ملف صورة الجهاز الظاهري) حقًا ، حقًا بسرعة.
ولديهم برنامج نصي يقوم بتشغيل أداة التشفير هذه لكل صورة VMware يمكنه العثور عليها ، كل ذلك بالتوازي.
بالطبع ، يمكن لأي شخص نشر هذه الأداة المعينة * دون اختراق ثغرة برنامج VMware *.
لذلك ، إذا لم يتم تصحيحك ، فلن ينتهي الأمر بالضرورة ببرامج الفدية الضارة.
وإذا تم تصحيحك ، فهذه ليست الطريقة الوحيدة التي يمكن أن يدخل بها المحتالون.
لذلك من المفيد أن تعلم نفسك بمخاطر برنامج الفدية هذا وكيف يمكنك الدفاع ضده.
دوغ. حسنا جيد جدا.
ثم لدينا pokeable ضعف الذاكرة الخاليه في OpenSSH.
من الممتع قول ...
يعمل OpenSSH على إصلاح خطأ الذاكرة الخالي من الضعف الذي يمكن اختراقه عبر الشبكة
بطة. إنه ، دوغ.
وفكرت ، "من الممتع جدًا أن تفهم ،" لذلك كتبت ذلك على Naked Security كطريقة لمساعدتك على فهم بعض مصطلحات الأخطاء المتعلقة بالذاكرة.
إنها مشكلة مقصورة على فئة معينة (ربما لن تؤثر عليك إذا كنت تستخدم OpenSSH) ، لكنني ما زلت أعتقد أن هذه قصة مثيرة للاهتمام ، لأن [أ] قرر فريق OpenSSH أنهم سيكشفون عنها في ملاحظات الإصدار الخاصة بهم ، ليس لديه رقم CVE ، ولكن إليك كيفية عمله على أي حال ، "و [B] إنه تذكير رائع بأن أخطاء إدارة الذاكرة ، خاصة عندما تقوم بالبرمجة بلغة C ، يمكن أن تحدث حتى للمبرمجين ذوي الخبرة.
هذه حالة خالية من الضعف ، وهي حالة تنتهي فيها بكتلة من الذاكرة ، لذا تعيدها إلى النظام وتقول ، "يمكنك إعطاء هذا لجزء آخر من برنامجي. انا انتهيت منه."
وبعد ذلك ، في وقت لاحق ، بدلاً من استخدام نفس الكتلة مرة أخرى بعد أن تستسلم (والذي سيكون سيئًا بشكل واضح) ، فأنت تعيد الذاكرة مرة أخرى.
ويبدو نوعًا ما مثل ، "حسنًا ، ما الضرر الذي حدث؟ أنت فقط على يقين ".
يبدو الأمر أشبه بالعودة من موقف السيارات إلى شقتك والصعود والتحقق ، "هل أطفأت الفرن حقًا؟"
لا يهم إذا عدت وهي متوقفة ؛ لا يهم إلا إذا عدت ووجدت أنك لم تقم بإيقاف تشغيله.
إذن ما هو ضرر برنامج Double-free؟
تكمن المشكلة بالطبع في أنه يمكن أن يربك النظام الأساسي ، وقد يؤدي ذلك إلى سوء إدارة ذاكرة شخص آخر أو إدارتها بطريقة يمكن أن يستغلها المحتالون.
لذلك إذا كنت لا تفهم كيف تعمل كل هذه الأشياء ، فأعتقد أن هذا مثير للاهتمام ، وربما حتى مهم ، قراءة ...
... على الرغم من أن الخطأ مقصور على فئة معينة ، وعلى حد علمنا ، لم يكتشف أحد طريقة لاستغلاله حتى الآن.
دوغ. أخيرًا وليس آخرًا ، هناك خطورة شديدة سرقة البيانات في OpenSSL تم إصلاحه.
وأود أن أحث الناس ، إذا كنت مثلي ، تقنيًا إلى حد ما ، لكن المصطلحات تتعارض ...
... الملاحظات الرسمية مليئة بالمصطلحات ، لكن يا بول ، أنت تقوم بعمل بارع في ترجمة المصطلحات المذكورة إلى اللغة الإنجليزية البسيطة.
بما في ذلك شرح للديناميت لكيفية عمل أخطاء الذاكرة ، بما في ذلك: الإسناد الفارغ ، وإحالة المؤشر غير الصالحة ، وتجاوز المخزن المؤقت للقراءة ، والاستخدام بعد الخالي ، والخالي من المضاعفات (التي تحدثنا عنها للتو) ، والمزيد:
بطة. [وقفة] حسنًا ، لقد تركتني عاجزًا عن الكلام قليلاً هناك ، دوغ.
شكرا جزيلا لكلماتك اللطيفة.
لقد كتبت هذا من أجل ... كنت سأقول سببين ، لكن نوعًا من ثلاثة أسباب.
الأول هو أن OpenSSH و OpenSSL هما شيئان مختلفان تمامًا - إنهما مشروعان مختلفان تمامًا مفتوح المصدر تديرهما فرق مختلفة - لكن كلاهما يستخدم على نطاق واسع للغاية.
لذلك ، ربما ينطبق خطأ OpenSSL على وجه الخصوص عليك في مكان ما في منطقة تكنولوجيا المعلومات الخاصة بك ، لأن بعض المنتجات التي لديك في مكان ما تتضمنها بالتأكيد.
وإذا كان لديك توزيعة Linux ، فمن المحتمل أن توفر التوزيعة نسختها الخاصة أيضًا - تم تحديث Linux الخاص بي في نفس اليوم ، لذلك تريد الذهاب والتحقق بنفسك.
لذلك أردت توعية الناس بأرقام الإصدارات الجديدة.
وكما قلنا ، كان هناك هذا العبء المذهل من المصطلحات التي اعتقدت أنها تستحق الشرح ... لماذا حتى الأشياء الصغيرة مهمة.
وهناك خطأ واحد شديد الخطورة. (لن أشرح اكتب الارتباك هنا - انتقل إلى المقالة إذا كنت تريد بعض المقارنات حول كيفية عمل ذلك.)
وهذه هي الحالة التي قد يكون فيها مهاجم ، ربما ، قادرًا فقط على تشغيل ما يبدو أنه مقارنات ذاكرة بريئة تمامًا حيث يقارنون فقط هذا المخزن المؤقت للذاكرة بهذا المخزن المؤقت للذاكرة ...
... لكنهم يخطئون في توجيه أحد المخازن المؤقتة ، وها هم يستطيعون معرفة ما يوجد في * المخزن * الخاص بك عن طريق مقارنته بالأشياء المعروفة التي قاموا بوضعها * الخاصة بهم *.
من الناحية النظرية ، يمكنك إساءة استخدام خطأ مثل هذا فيما قد تسميه نوعًا من أسلوب Heartbleed.
أنا متأكد من أننا جميعًا نتذكر ذلك ، إذا عادت وظائفنا في مجال تكنولوجيا المعلومات إلى عام 2014 أو قبل ذلك - فإن خطأ OpenSSL Heartbleed، حيث يمكن للعميل إجراء اختبار ping للخادم والقول ، "هل ما زلت على قيد الحياة؟"
"وجع القلب" - هل يجب عليك تغيير كل كلمات المرور الخاصة بك على الفور؟
وسيعيد إرسال رسالة تتضمن ما يصل إلى 64 كيلو بايت من البيانات الإضافية التي من المحتمل أن تتضمن أسرارًا لأشخاص آخرين عن طريق الخطأ.
وهذه هي مشكلة أخطاء تسرب الذاكرة ، أو أخطاء تسرب الذاكرة المحتملة ، في منتجات التشفير.
لديهم ، حسب التصميم ، الكثير لإخفائهم أكثر من البرامج التقليدية!
لذا ، اذهب واقرأ ذلك وبالتأكيد رقِّعه بأسرع ما يمكن.
دوغ. لا أصدق أن Heartbleed كان عام 2014.
يبدو ذلك ... لم يكن لدي سوى طفل واحد عندما خرج ذلك وكان طفلاً ، والآن لدي طفلان آخران.
بطة. ومع ذلك ما زلنا نتحدث عن ذلك ...
دوغ. على محمل الجد!
بطة. ... كتذكير محدد لماذا يمكن أن يكون تجاوز سعة المخزن المؤقت للقراءة البسيط كارثيًا.
لأن الكثير من الناس يميلون إلى التفكير ، "حسنًا ، بالتأكيد هذا أقل ضررًا بكثير من تجاوز سعة المخزن المؤقت * للكتابة * ، حيث يمكنني حقن كود قشرة أو تحويل سلوك البرنامج؟"
بالتأكيد إذا كان بإمكاني قراءة الأشياء فقط ، حسنًا ، فقد أحصل على أسرارك ... هذا أمر سيء ، لكنه لا يسمح لي بالوصول إلى الجذر والاستيلاء على شبكتك.
ولكن كما أثبتت العديد من خروقات البيانات الحديثة ، فإن القدرة في بعض الأحيان على قراءة أشياء من خادم واحد قد تؤدي إلى تسرب الأسرار التي تتيح لك تسجيل الدخول إلى مجموعة من الخوادم الأخرى والقيام بأشياء أكثر غرابة!
دوغ. حسنًا ، هذا مقطع رائع عن الأشياء والأسرار الشقية.
لدينا تحديث لقصة من الماضي الأمن العاري.
قد تتذكر القصة من أواخر العام الماضي حول قيام شخص ما بخرق شركة علاج نفسي وسرقة مجموعة من نسخ جلسات العلاج ، ثم استخدام تلك المعلومات لابتزاز مرضى هذه الشركة.
حسنًا ، لقد هرب ... وكان عادلاً اعتقل مؤخرا في فرنسا:
القبض على المشتبه في الابتزاز العلاج النفسي الفنلندي في فرنسا
بطة. كانت هذه جريمة بشعة حقًا.
لم يخرق شركة فقط وسرق الكثير من البيانات.
لقد انتهك شركة * العلاج النفسي * ، وللأسف الشديد ، كانت تلك الشركة مقصرة تمامًا ، على ما يبدو ، في أمان بياناتها.
في الواقع ، مديرهم التنفيذي السابق في مشكلة مع السلطات بتهم قد تؤدي بدورهم إلى عقوبة السجن ، لأنهم ببساطة لديهم كل هذه المعلومات الديناميتية التي يدينون بها حقًا لمرضاهم لحمايتها ، ولم يفعلوا ذلك.
لقد وضعوها على خادم سحابي بكلمة مرور افتراضية ، على ما يبدو ، حيث تعثر المحتال عبرها.
لكن طبيعة كيفية ظهور الخرق كانت مروعة حقًا.
لقد ابتز الشركة ... أعتقد أنه قال ، "أريد 450,000 ألف يورو أو سأقوم بسكب كل البيانات."
وبالطبع ، كانت الشركة تحافظ على كلامها بشأن هذا الأمر - ولهذا السبب قرر المنظمون ملاحقة الشركة أيضًا.
لقد ظلوا صامتين حيال ذلك ، على أمل ألا يكتشف أحد ذلك ، وهنا يأتي هذا الرجل ويقول ، "ادفع لنا المال ، أو غير ذلك."
حسنًا ، لن يدفعوا له.
لم يكن هناك جدوى: لقد حصل على التاريخ بالفعل ، وكان يفعل أشياء سيئة به بالفعل.
وهكذا ، كما قلت ، قرر المحتالون ، "حسنًا ، إذا لم أستطع الحصول على 450,000 ألف يورو من الشركة ، فلماذا لا أحاول دفع كل شخص تلقى علاجًا نفسيًا مقابل 200 يورو لكل شخص؟"
وفقًا لصحفي الإنترنت المعروف بريان كريبس ، قالت مذكرة الابتزاز التي أرسلها: "لديك 24 ساعة لتدفع لي 200 يورو. ثم سأمنحك 48 ساعة لدفع 500 يورو. وإذا لم أسمع شيئًا منك بعد 72 ساعة ، فسأخبر أصدقاءك وعائلتك وأي شخص يريد أن يعرف ، بالأشياء التي قلتها ".
لأن تلك البيانات تضمنت النصوص ، دوج.
لماذا بحق السماء كانوا يخزنون هذه الأشياء بشكل افتراضي في المقام الأول؟
لن أفهم ذلك أبدا.
كما قلت ، هرب بالفعل من البلاد ، واعتقله الفنلنديون "غيابيًا" ؛ التي سمحت لهم بإصدار مذكرة توقيف دولية.
على أي حال ، فهو الآن يواجه الموسيقى في فرنسا ، حيث يسعى الفرنسيون بالطبع إلى تسليمه إلى فنلندا ، ويسعى الفنلنديون إلى محاكمته.
يبدو أن لديه شكل [ما يعادله في الولايات المتحدة: برايور] لهذا. دوغ.
لقد أدين بارتكاب جرائم إلكترونية من قبل ، لكن في ذلك الوقت ، كان قاصرًا.
أعتقد أنه يبلغ الآن من العمر 25 عامًا ؛ في ذلك الوقت كان يبلغ من العمر 17 عامًا ، لذا حصل على فرصة ثانية.
حصل على حكم مع وقف التنفيذ وغرامة صغيرة.
لكن إذا كانت هذه المزاعم صحيحة ، أعتقد أن الكثير منا يشك في أنه لن ينزل بهذه السهولة هذه المرة ، إذا أدين.
دوغ. لذلك هذا تذكير جيد بأنه يمكنك - إذا كنت مثل هذه الشركة - أن تكون الضحية * و * الجاني.
وتذكير آخر بأنه يجب أن يكون لديك خطة جاهزة.
إذن ، لدينا بعض النصائح في نهاية المقال ، تبدأ بـ: تدرب على ما ستفعله إذا تعرضت لخرق بنفسك.
يجب أن يكون لديك خطة!
بطة. إطلاقا.
لا يمكنك اختلاقها مع تقدمك ، لأنه ببساطة لن يكون هناك وقت.
دوغ. وأيضًا ، إذا كنت شخصًا متأثرًا بشيء مثل هذا: ضع في اعتبارك تقديم تقرير ، لأنه يساعد في التحقيق.
بطة. بالفعل هي كذلك.
ما أفهمه هو أنه في هذه الحالة ، ذهب الكثير من الأشخاص الذين تلقوا طلبات الابتزاز هذه إلى السلطات وقالوا: "لقد جاء هذا فجأة. هذا مثل التعرض للاعتداء في الشارع! ما انت ذاهب الى القيام به حيال ذلك؟"
قالت السلطات ، "عظيم ، فلنجمع التقارير" ، وهذا يعني أنها تستطيع بناء قضية أفضل ، وتقديم حجة أقوى لشيء مثل التسليم.
دوغ. حسنًا ، جيد جدًا.
سنختتم عرضنا بـ: "أسبوع آخر ، مدير كلمات مرور آخر في مقعد ساخن."
هذه المرة ، إنه حرة KeePass.
لكن هذا الشق المعين ليس واضحًا جدًا ، بول:
سرقة كلمة المرور "ثغرة أمنية" تم الإبلاغ عنها في KeePass - خلل أم ميزة؟
بطة. في الواقع ، دوغ ، أعتقد أنه يمكنك القول إن الأمر واضح جدًا ... ومعقد للغاية في نفس الوقت. [يضحك]
دوغ. [يضحك] حسنًا ، لنتحدث عن كيفية عمل هذا بالفعل.
الميزة نفسها هي نوع من ميزة الأتمتة ، نوع نصي ...
بطة. "Trigger" هو المصطلح الذي يجب البحث عنه - وهذا ما يسمونه.
لذلك ، على سبيل المثال ، عند حفظ ملف قاعدة بيانات [KeePass] ، على سبيل المثال (ربما قمت بتحديث كلمة مرور ، أو أنشأت حسابًا جديدًا وضغطت على زر الحفظ) ، ألن يكون من الجيد أن تتصل برنامج نصي مخصص خاص بك يقوم بمزامنة تلك البيانات مع بعض النسخ الاحتياطي على السحابة؟
بدلاً من محاولة كتابة التعليمات البرمجية في KeePass للتعامل مع كل نظام تحميل سحابي محتمل في العالم ، لماذا لا توفر آلية يمكن للأشخاص تخصيصها إذا أرادوا ذلك؟
نفس الشيء تمامًا عند محاولة استخدام كلمة مرور ... تقول ، "أريد نسخ كلمة المرور هذه واستخدامها."
ألن يكون من الجيد أن تستدعي برنامجًا نصيًا يحصل على نسخة من كلمة مرور النص العادي ، بحيث يمكن استخدامه لتسجيل الدخول إلى حسابات ليست بسيطة تمامًا مثل مجرد وضع البيانات في نموذج ويب موجود شاشتك؟
قد يكون هذا شيئًا مثل حساب GitHub الخاص بك ، أو حساب التكامل المستمر ، أو أيًا كان.
لذلك تسمى هذه الأشياء "محفزات" لأنها مصممة لتظهر عندما يقوم المنتج بأشياء معينة.
وبعض هذه الأشياء - لا مفر منه ، لأنه مدير كلمات مرور - تتعامل مع معالجة كلمات المرور الخاصة بك.
يشعر الرافضون أن ، "حسنًا ، هذه المشغلات ، من السهل جدًا إعدادها ، وإضافة مشغل لا يحمي نفسه بكلمة مرور للحماية من العبث".
يجب عليك إدخال كلمة مرور رئيسية للوصول إلى كلمات المرور الخاصة بك ، ولكن لا يتعين عليك إدخال كلمة المرور الرئيسية للوصول إلى ملف التكوين للوصول إلى كلمات المرور.
هذا ، على ما أعتقد ، من أين يأتي الرافضون.
ويقول آخرون ، "أتعلم ماذا؟ يجب عليهم الوصول إلى ملف التكوين. إذا حصلوا على ذلك ، فأنت في ورطة عميقة بالفعل! "
دوغ. يشمل "الأشخاص" KeePass ، الذي يقول ، "لم يتم إعداد هذا البرنامج للدفاع ضد شخص [يضحك] يجلس على مقعدك عندما تكون قد قمت بالفعل بتسجيل الدخول إلى جهازك والتطبيق."
بطة. في الواقع.
وأعتقد أن الحقيقة ربما تكون في مكان ما في الوسط.
أستطيع أن أرى الحجة لماذا ، إذا كنت ستحصل على كلمات المرور محمية بكلمة المرور الرئيسية ... لماذا لا تحمي ملف التكوين أيضًا؟
لكنني أتفق أيضًا مع الأشخاص الذين يقولون ، "أتعلم ماذا؟ إذا قاموا بتسجيل الدخول إلى حسابك ، وهم على جهاز الكمبيوتر الخاص بك ، وهم أنت بالفعل ، فقد احتلت نوعًا ما في المرتبة الثانية في السباق بالفعل ".
لذا لا تفعل ذلك!
دوغ. [يضحك] حسنًا ، إذا قمنا بالتصغير قليلاً على هذه القصة ...
يسأل ريتشارد قارئ الأمن العاري:
هل مدير كلمات المرور ، بغض النظر عن أي مدير ، يمثل نقطة فشل واحدة؟ حسب التصميم ، فهو هدف عالي القيمة للمتسلل. ويسمح وجود أي ثغرة أمنية للمهاجم بجلب كل كلمة مرور على النظام بالجائزة الكبرى ، بغض النظر عن القوة النظرية لكلمات المرور هذه.
أعتقد أن هذا سؤال يطرحه الكثير من الناس الآن.
بطة. بطريقة ما ، دوغ ، هذا نوع من السؤال غير القابل للإجابة.
قليلا مثل هذا الشيء "المشغل" في ملف التكوين في KeePass.
هل هو خطأ ، أم أنه ميزة ، أم علينا أن نقبل أنه جزء من كليهما؟
أعتقد ، كما قال معلق آخر في نفس المقالة ، هناك مشكلة في القول ، "مدير كلمات المرور هو نقطة فشل واحدة ، لذا لن أستخدمها. ما سأفعله هو ، سأفكر في * واحد * حقًا ، كلمة مرور معقدة حقًا وسأستخدمها لجميع مواقعي ".
وهو ما يفعله الكثير من الأشخاص إذا لم يستخدموا مدير كلمات المرور ... وبدلاً من أن يكونوا نقطة فشل واحدة * محتملة * ، فإن هذا يخلق شيئًا يمثل نقطة فشل واحدة تمامًا ، تمامًا * وبالفعل *.
لذلك فإن مدير كلمات المرور هو بالتأكيد أهون الشرين.
وأعتقد أن هناك الكثير من الحقيقة في ذلك.
دوغ. نعم ، أعتقد أنه * يمكن * أن يكون نقطة فشل واحدة ، اعتمادًا على أنواع الحسابات التي تحتفظ بها.
ولكن بالنسبة للعديد من الخدمات ، فهي ليست ولا ينبغي أن تكون نقطة واحدة للفشل التام *.
على سبيل المثال ، إذا سُرقت كلمة المرور المصرفية الخاصة بي ، وذهب شخص ما لتسجيل الدخول إلى حسابي المصرفي ، فسيرى المصرف الذي أتعامل معه أنه يسجل الدخول من الجانب الآخر من العالم ويقول ، "توقف! انتظر لحظة! هذا يبدو غريبًا ".
وسوف يسألونني سؤال أمان ، أو سيرسلون لي عبر البريد الإلكتروني رمزًا ثانويًا يجب أن أدخله ، حتى لو لم أقم بإعداد 2FA.
معظم حساباتي المهمة ... لا أقلق كثيرًا بشأن بيانات الاعتماد هذه ، لأنه سيكون هناك عامل ثانٍ تلقائي يجب أن أقفز خلاله لأن تسجيل الدخول سيبدو مريبًا.
وآمل أن تصبح التكنولوجيا سهلة التنفيذ لدرجة أن أي موقع يحتفظ بأي نوع من البيانات يحتوي فقط على ذلك مضمّن: "لماذا يقوم هذا الشخص بتسجيل الدخول من رومانيا في منتصف الليل ، بينما يكون عادةً في بوسطن؟"
يوجد الكثير من إجراءات الحماية هذه للأشياء المهمة الكبيرة التي قد تحتفظ بها على الإنترنت ، لذلك آمل ألا يكون ذلك نقطة فشل واحدة بهذا المعنى.
بطة. هذه نقطة رائعة ، دوج ، وأعتقد أنها توضح نوعًا ما أنه يوجد ، إذا أردت ، سؤالًا ملتهبًا وراء السؤال ، وهو "لماذا نحتاج إلى الكثير من كلمات المرور في المقام الأول؟"
وربما تكون إحدى الطرق للتوجه نحو مستقبل بدون كلمة مرور هي ببساطة السماح للأشخاص باستخدام مواقع الويب حيث يمكنهم اختيار * لا * للحصول على (الاقتباسات الجوية) "الراحة العملاقة" للحاجة إلى إنشاء حساب في المقام الأول.
دوغ. [GLUM LAUGH] كما ناقشنا ، تأثرت بخرق LastPass ، ونظرت إلى قائمة كلمات المرور العملاقة وقلت ، "أوه ، يا إلهي ، يجب أن أغير كل كلمات المرور هذه!"
كما اتضح ، اضطررت إلى * تغيير * نصف كلمات المرور هذه ، والأسوأ من ذلك ، كان علي * إلغاء * النصف الآخر من هذه الحسابات ، لأن لدي العديد من الحسابات هناك ...
... فقط لما قلته ؛ "لا بد لي من إنشاء حساب فقط للوصول إلى شيء ما على هذا الموقع."
ولا يقتصر الأمر على النقر والإلغاء فقط.
البعض ، عليك الاتصال.
البعض ، عليك التحدث إلى شخص ما عبر الدردشة الحية.
لقد كان الأمر أكثر صعوبة من مجرد تغيير مجموعة من كلمات المرور.
لكنني أحث الأشخاص ، سواء كنت تستخدم مدير كلمات مرور أم لا ، على إلقاء نظرة على العدد الهائل من الحسابات التي لديك ، وحذف الحسابات التي لم تعد تستخدمها!
بطة. نعم.
في ثلاث كلمات ، "الأقل هو الأكثر".
دوغ. إطلاقا!
حسنًا ، شكرًا جزيلاً لك ريتشارد على إرسال هذا.
إذا كانت لديك قصة مثيرة للاهتمام أو تعليق أو سؤال ترغب في إرساله ، فنحن نحب قراءته في البودكاست.
يمكنك إرسال بريد إلكتروني إلى tips@sophos.com ، أو التعليق على أي من مقالاتنا ، أو يمكنك التواصل معنا على مواقع التواصل الاجتماعي:NakedSecurity.
هذا هو عرضنا لهذا اليوم. شكرا جزيلا على الاستماع.
بالنسبة لبول دوكلين ، أنا دوج آموث ، أذكرك حتى المرة القادمة بـ ...
على حد سواء. كن آمنا!
[مودم موسيقي]
- محتوى مدعوم من تحسين محركات البحث وتوزيع العلاقات العامة. تضخيم اليوم.
- بلاتوبلوكشين. Web3 Metaverse Intelligence. تضخيم المعرفة. الوصول هنا.
- المصدر https://nakedsecurity.sophos.com/2023/02/09/s3-ep121-can-you-get-hacked-and-then-prosecuted-for-it-audio-text/
