الاستماع الآن
انقر واسحب على الموجات الصوتية أدناه للتخطي إلى أي نقطة. يمكنك أيضا استمع مباشرة على Soundcloud.
مع دوج آموث وبول دوكلين.
موسيقى مقدمة وخاتمة بواسطة إديث مودج.
يمكنك الاستماع إلينا على SoundCloud لل, Apple Podcasts, Google Podcasts, سبوتيفي, الخياطة وفي أي مكان توجد فيه ملفات بودكاست جيدة. أو قم بإسقاط ملف عنوان URL لخلاصة RSS الخاصة بنا في podcatcher المفضل لديك.
اقرأ النص
دوغ. البق والخداع والخصوصية و ... * الخطوط *؟
كل ذلك أكثر على بودكاست Naked Security.
[مودم موسيقي]
مرحبًا بكم في البودكاست ، الجميع: أنا دوغ ؛ هو بول ...
بطة. مرحبا جميعا.
دوغ. لقد كنت * مشغولا *.
لدينا ست قصص من قصصك لتتحدث عنها اليوم ... ماذا كنت * تفعل *؟
بطة. لم أصنع الأخطاء التي شعرت أنني مضطر للكتابة عنها!
على حد سواء. [ضحك]
بطة. هذا كل ما أقوله.
دوغ. نعم ، هذا عادل.
لذلك سننتقل مباشرة إلى الأمر ، لأننا سنقوم بجولة خاطفة ثم سنغوص بشكل أعمق قليلاً في بعض مشكلات الخصوصية.
لكننا نحب أن نبدأ في العرض بامتداد حقيقة ممتعة: لقد وجدت اليوم أن الأيائل في أمريكا الشمالية يمكن أن تصل إلى 700 رطل ، أي حوالي 320 كجم ، ومع ذلك يمكن أن تصل أيضًا إلى سرعات تشغيل تصل إلى 40 ميلاً في الساعة أو 65 كم / ساعة ، وغالبًا ما تكون قادرة على تجاوز حتى الخيول.
لذلك ، حيوان كبير جدًا يمكنه الركض بسرعة كبيرة.
بطة. هل قلت "إلك" ، دوج؟
دوغ. نعم.
وسنتحدث عن الأيائل لاحقًا في العرض.
بطة. عندما أسمع هذه الكلمة - لأننا لا نتحدث عن الأيائل هنا [في المملكة المتحدة] - فهذا يعني شيئًا معينًا بالنسبة لي ، وأراهن أنه نفس الشيء الذي تفكر فيه.
دوغ. نعم! غمزة غمزة.
دعنا نتحدث عن هذين الخطأين في نظام Linux: خطأ كبير حدث قبل أسبوع ولكن تم تصحيحه منذ ذلك الحين ، وربما لا يحدث هذا الشيء الكبير في الوقت الذي نتحدث فيه.
بطة. هذا صحيح.
دعنا نبدء ب PwnKit، هلا فعلنا؟
دوغ. نحن سوف.
بطة. سواء كانت كبيرة أم لا ، لا أعرف ؛ هذا يعتمد على نظرتك.
لكنه تذكير مثير للاهتمام أنه في بعض الأحيان - ويثبت الخطأ الآخر ذلك أيضًا - عندما تقدم أدوات مصممة لتسهيل الأمان ، فإنها تجعل الأمان في بعض الأحيان سهلًا جدًا ، بحيث تقدم تجاوزًا.
وهذا هو CVE-2021-4034 ، المعروف أيضًا باسم PwnKit. على ما يبدو ، من المفترض أن يكون هذا تلاعبًا بالكلمات ، دوغ ، لأن الخطأ كان في جزء من Linux يسمى "Polkit" ، المعروف سابقًا باسم Policy Kit.
[يضحك] لا أعتقد أنها مزحة بقدر ما اعتقده الباحثون في Qualys ، لكني أصل من أين أتوا.
يُقصد بـ Polkit أن تكون طريقة يمكن من خلالها للتطبيقات غير المتميزة التفاعل بشكل آمن مع نظام التشغيل من أجل القول ، "استخدم نوعًا من مطالبة كلمة المرور التي ستسمح للمستخدم مؤقتًا بفعل شيء لا يُسمح له عادةً بفعله".
ويمكنك أن تتخيل أن هناك الكثير من الحالات في كل نظام تشغيل حيث قد تحتاج إلى القيام بذلك.
المثال الكلاسيكي هو عندما تقوم بتوصيل محرك أقراص USB: ربما يُسمح لك بقراءته والوصول إلى الملفات الموجودة عليه ، ولكن عندما يتعلق الأمر بمسحها ، وإعادة تنسيق كل شيء والضغط عليه ، فربما حان الوقت لإظهار مطالبة بكلمة مرور منبثقة للتأكد من أنك مخول.
ومع ذلك ، هناك أداة سطر أوامر تتوافق مع Polkit ، وهي مثل Linux أو Unix sudo أداة ، وهي "تعيين UID والقيام به" ، والتي تعني "تشغيل أمر كمستخدم آخر" ، تمامًا مثل Windows Run As....
أنت عادة تستخدم sudo لتشغيل الأشياء كجذر ، ولكن يمكنك في الواقع استخدامها للتشغيل مثل أي شخص آخر ، اعتمادًا على كيفية تكوينها.
واتضح أن Polkit لديها برنامج مشابه جدًا ، يُسمى بشكل خيالي pkexec، الأمر "Polkit execute".
على أي حال ، اتضح أنه إذا قمت بتشغيل هذا عمدا pkexec التطبيق بطريقة لا يمكنك القيام بها عادةً من سطر الأوامر - بعبارة أخرى ، إذا قمت بتشغيله وقلت ، "أريد أن أعطيك مطلقًا أي حجج لسطر الأوامر على الإطلاق" ، يحدث شيئان.
واحد هو ذلك pkexec يقول ، "حسنًا ، ربما تريد فقط تشغيل قذيفة أوامر."
والشيء الآخر هو أنه اتضح أنه يمكنك في الواقع خداع البرنامج للقيام بشيء شقي: تحميل وحدة أو برنامج خارجي لم يكن من المفترض أن يفعله.
و ، bingo !، يمكنك تحويل نفسك ، إذا كان لديك بالفعل وصول إلى الكمبيوتر ، من عزيزي القديم doug لسوء العمر root.
تمامًا مثل ذلك ، فقط عن طريق تشغيل أمر واحد - ومن المفارقات ، أنه أمر كان من المفترض أن يكون موجودًا لتحسين الأمان والتحكم في قدرتك على الوصول إلى أوامر الجذر.
يمكنك إساءة استخدام الأمر للسماح لك بالسيطرة: أحد أخطاء "رفع الامتياز" تلك التي تحول خطأ تنفيذ التعليمات البرمجية عن بُعد الذي لم يكن لولا ذلك ليكون ضارًا إلى كارثة كاملة.
دوغ. لذلك تم تصحيح ذلك؟
بطة. لديها.
دوغ. حسنا جيد جدا.
ثم لدينا خطأ في برنامج تشغيل الفيديو ...
بطة. حسنًا ، نعم ، لكنني لا أعتقد أنه خطأ جديد ، في الواقع.
دوغ. نعم ، يبدو أنه تم إصلاحه في أكتوبر.
بطة. نعم: التصحيح الذي تم توثيقه مؤرخ في الأصل في أكتوبر 2021.
أعتقد أن ما حدث هو أن شخصًا ما وجد أن هذا شيء ربما لا ينبغي أن يكون في الكود ، لكنني أفترض أنهم اكتشفوا ، "حسنًا ، لا نرى حقًا طريقة يمكن من خلالها استغلال هذا. وعندما نطبق هذا التصحيح ، فقد يؤدي ذلك إلى تقليل الأداء قليلاً. لذلك ، لأنه لا يوجد خطر واضح وحاضر ، سنضعه في سلة الأشياء التي يجب القيام بها عندما يحين الوقت ".
وفجأة جاء الوقت ...
دوغ. [يضحك]
بطة. ... وتم طرح الإصلاح.
كان هذا خطأ في برنامج تشغيل الفيديو Intel.
الشيء هو أنك قد ترغب في منح المستخدم حق الوصول لتشغيل التعليمات البرمجية الأولية على بطاقة الرسومات لأسباب تتعلق بالأداء ، لأن بطاقات الرسومات لا يستخدمها اللاعبون فقط.
يتم استخدامها أيضًا لأشياء مثل [IRONIC CHUCKLE] cryptomining ، وتصيير الفيديو ، والتعلم الآلي - الحوسبة عالية الأداء ، نظرًا لوجود فئة معينة من المشكلات التي يمكن لبطاقات الرسومات مهاجمتها حقًا وبسرعة كبيرة.
واتضح أنه مختبئ بعمق في هذا السائق ، و i915 السائق ، كان هناك احتمال أن شخصًا ما لديه الحق في تشغيل رمز بطاقة رسومات GPU يمكنه تشغيل بعض التعليمات البرمجية ، ثم لاحقًا يمكنه العودة ويقول ، "عزيزي kernel ، أود تشغيل المزيد من كود GPU" ، وبدون قصد ، سيتمكنون من الوصول - عبر كود الرسومات الخاص بهم - * إلى الذاكرة التي حصلوا عليها في المرة السابقة *.
دوغ. [قلق] Hmmmmmmmm.
بطة. على الرغم من أن هذه الذاكرة ربما تم تخصيصها الآن لعملية أخرى.
لذلك ، إذا كان بإمكانك ، على سبيل المثال ، أن تصطدم بمخزن الذاكرة المؤقت الخاص بك بآخر تعرف أنه يتم تخصيصه ، على سبيل المثال ، لبعض عمليات المعالجة المشفرة لاحقًا ...
... قد تتمكن من قراءة كلمات المرور أو المفاتيح الخاصة.
قد تتمكن حتى من إعادة الكتابة إلى بيانات شخص آخر.
وكان هذا هو الخطأ ، بشكل أساسي ، بسبب مكون داخل الشريحة نفسها يهدف إلى تسريع الوصول إلى الذاكرة عند الوصول إلى الذاكرة للمرة الثانية والثالثة والرابعة: شيء في الشريحة يسمى TLB ، الترجمة نظرة جانبا المخزن المؤقت.
دوغ. حسنًا ، تم تصحيح ذلك أيضًا.
بطة. لديها.
دوغ. تحقق من ذلك: كلتا القصتين موجودتان على موقع nakedsecurity.sophos.com.
وسيعلم أولئك الذين تم ضبطهم في عرض الأسبوع الماضي أننا تحدثنا عن خطأ Apple Safari - حالة "ملف تعريف الارتباط الفائق" - التي تم تصحيحها الآن.
وقد انزلقوا نوعًا ما ليصبح يوم الصفر هناك في نفس الوقت ...
بطة. لا يرتبط اليوم صفر برقعة Safari ، ولكن ربما يكون خطأ Safari هو الشيء الذي تسبب في ظهور هذا الإصلاح في وقت أقرب مما كنا نظن أنه قد يحدث.
كما قلت ، هناك مع إصلاح أخطاء Safari - الذي حصل الآن على CVE - هو ما تقوله Apple للتو (وقد قرأنا هذه الكلمات من قبل) ، [FAST ، QUIET ROBOTIC VOICE] "الشركة على علم تفيد بأنه ربما تم استغلال هذه المشكلة بشكل نشط ".
يبدو وكأنه لا شيء ، أليس كذلك؟
ترجمتي هي [صوت DANGEROUS DALEK]: "هذا هو صفر يوم. استغلال في البرية يقوم بالفعل بالجولات ".
لن أقول ، "كن خائفًا جدًا" ، لكن بالتأكيد باتش الآن!
أعتقد أن هذا أمر جيد: تم إغلاق اليوم صفر ، وتم إصلاح تسرب بيانات Safari.
إذا استمعت إلينا - أعتقد أنه كان الأسبوع الماضي ، أليس كذلك؟ - كان هذا الخطأ ميزة خاصة في ذاكرة التخزين المؤقت لقاعدة البيانات المحلية (مرة أخرى ، قد يكون تخزين البيانات مؤقتًا محليًا مشكلة!).
وبينما لا يمكنك قراءة قواعد بيانات أشخاص آخرين ، يمكنك قراءة أسماء * قاعدة بيانات أشخاص آخرين.
بالطبع ، لجعل اسم قاعدة البيانات الخاصة بك فريدًا ، كمبرمج ، لديك خياران.
إما أن تختار سلسلة غريبة خاصة بموقعك على الويب ، مما يعني أن أي شخص آخر يمكنه رؤية موقع الويب الذي زرته ، بسبب اسم قاعدة البيانات ، دون الحاجة إلى البحث بداخله - إنه مثل ظهور رقم هاتف فوق.
أو تختار رقمًا عشوائيًا تمامًا لكل مستخدم ، ثم لا يحدد موقع الويب ، ولكنه يحدد المستخدم بشكل فريد.
قامت شركة Apple بإصلاح ذلك: لقد جعلوا قائمة الأسماء خاصة مثل البيانات المخفية خلف الأسماء.
دوغ. وقاموا بإصلاحه بسرعة ... بعد إصلاحه ببطء.
بطة. نعم. [يضحك] هذه طريقة رائعة للتعبير عنها ، دوغ!
نسيت عندما تم الإبلاغ عن ذلك ، لكنه كان في وقت ما في منتصف العام الماضي ، أليس كذلك؟
قام مكتشفو الأخطاء بالإبلاغ عنها و Apple ، كالعادة ... بشكل أساسي ، عندما لا يقولون أي شيء ، أعتقد أن هذا يعني أنك تستنتج ، "شكرًا لك".
وكانوا نوعًا ما جلسوا وانتظروا وانتظروا وانتظروا.
وفجأة بدأت Apple في العمل عليها في WebKit ؛ ثم ذكروا كيف يعمل ، وهذا النوع من الضغط على شركة آبل.
لذلك ، أعتقد أن هذا هو السبب ، في هذه الأيام ، لدينا إفصاح مسؤول: امنح البائع استراحة ودعه يصلحه أولاً.
ولكن بعد ذلك يجب أن يكون هناك بعض المردود ، أليس كذلك؟
إذا ذهب البائع ، "شكرًا لإخبارنا. من فضلك امسك السجادة ونحن نكنسها تحتها "...
دوغ. [يضحك]
بطة. ... لذا فإن الفكرة هي أن هناك موعدًا نهائيًا. "الرجاء القيام بذلك بحلول ذلك الوقت."
دوغ. حسنًا ، هذه التحديثات متاحة أينما حصلت على تحديثات Apple الخاصة بك.
سننتقل إلى عملية احتيال COVID التي تعد بجهاز اختبار PCR في المنزل ... ما الفائدة؟
بطة. حسنًا ، الخبر السار هو أنه إذا نقرت على الرابط ...
(تم إبلاغنا به من قبل قارئ أمان عارٍ قام بتشغيله ... أعتقد أنه كان بعد ظهر يوم الجمعة من الأسبوع الماضي ، والنطاق الذي كان يستخدمه (والذي لم يكن لا يُصدق تمامًا ؛ لقد كان اختبار omicron DOT-and-a-few -funny-character DOT com ... تم إعداد هذا المجال * في ذلك الصباح * ، وصدرت شهادة Let's Encrypt HTTPS * في ذلك الصباح *.)
... لم يعد الموقع جاهزًا ، ولا يزال الموقع لا يعمل ؛ الجميع يحظره الآن.
لذلك ، لا نعرف في الواقع ما إذا كان المحتالون مجرد اختبار لعدد الأشخاص الذين سينقرون ، أو ما إذا كانوا يبحثون فقط عن أرقام IP.
أنا أشك ، من الملفات التي يمكن أن نراها على هذا الموقع غير المحمي - عدد قليل جدًا منها - أنها كانت مجرد محاولة لإعداد عملية احتيال قابلة للتصديق حيث لم يحصلوا على موقع الويب في الوقت المناسب .
إنه ليس أمرًا لا يصدق: يمكنني أن أرى سبب وجود أشخاص يذهبون ، "لست متفاجئًا. من كان يظن أن الكمبيوتر الحديث سيحتوي على 16 نواة للمعالج في كمبيوتر محمول ميسور التكلفة؟ من كان يظن أن التصغير سيصل إلى ما هو عليه اليوم؟ ربما * يمكنك * الحصول على جهاز اختبار PCR في المنزل. "
إنها ليست فكرة مضحكة ، ويمكنك أن ترى لماذا ينقر الناس عليها.
لذا: احذروا يا رفاق!
دوغ. حسنا جيد.
ثم آخر قصتنا السريعة التي يجب تغطيتها هي "خط Google".
السؤال الوجودي لأي مطور ويب هو الارتباط أو عدم الارتباط بمكتبة الخطوط؟ قم بتنزيله ووضعه على الخادم الخاص بك؟ هل من المقبول الارتباط؟
بطة. حسنًا ، لكي نكون منصفين لخطوط Google ، فإنهم في الواقع يقولون ، "يمكنك فعل هذا بالطريقة التي تريدها. إنها خطوط مفتوحة المصدر. ها هو الترخيص ".
إنهم يحاولون فعل الشيء الصحيح لأن الخطوط كانت واحدة من أكثر أجزاء الملكية الفكرية تمزيقًا في التاريخ ، أليس كذلك ، عبر الإنترنت وللطباعة.
دوغ. نعم.
بطة. تحاول Google القيام بالشيء الصحيح ، في رأيي ، من خلال الحصول على محارف مرخصة بشكل صحيح من العديد من الأشخاص ، بما في ذلك المصممين ذوي السمعة الطيبة الذين يرغبون في إتاحة خطوطهم مجانًا.
وهم يقولون: "يمكنك تنزيلها ؛ يمكنك استخدامها على موقع الويب الخاص بك ؛ يمكنك مشاركتها مع أشخاص آخرين لأنها مفتوحة المصدر ، لكننا سنستضيفها لك أيضًا ، إذا أردت ".
كنت أنا وأنت نتحدث عن هذا سابقًا ، أليس كذلك دوج؟
وقلت أنك لم تفكر أبدًا ، في أيام إدارة الويب الخاصة بك ، في نسخ الخط ، لأنه من المدهش أن يتم تحديثها بانتظام ، أليس كذلك؟
دوغ. نعم. لا أريد أن أقلق ... هناك شيء آخر يجب الاهتمام به.
بطة. إطلاقا!
على أي حال ، دوغ ، محكمة في بافاريا ، في ميونيخ - محكمة محلية في ميونيخ - استمعت إلى قضية قال فيها المدعي ، "لقد ذهبت إلى موقع الويب هذا الذي جلب الخط من Google حتى يتمكن من عرض بقية محتواها ، والذي كان مخزنة محليا. كان بإمكانهم تخزين الخط محليًا. يجب أن يفعلوا ذلك جيدًا ، لأنهم انتهكوا خصوصيتي بإعطاء رقم IP الخاص بي إلى Google ".
ووجدت المحكمة لصالح المدعي ووجدت الموقع الإلكتروني 100 يورو [110 دولارات] ، على ما أعتقد ، وقالت ، "لا ، عليك تخزينه محليًا."
دوغ. ما هي العبارة الألمانية ل "منحدر زلق"؟ لأن هذا ما أفكر فيه.
بطة. أو كلمة ألمانية تعني "حفرة عميقة جدًا".
من المثير للاهتمام أنه على الرغم من أنه - نظرًا لكونه مقصور على فئة معينة إلى حد ما - لم يكن هذا هو المقال الأكثر مشاهدة في الأسبوع على Naked Security ، إلا أنه * إلى حد بعيد * هو الأكثر تعليقًا.
دوغ. أنه!
بطة. ولكن ، كما تقول ، "منحدر زلق / حفرة عميقة كبيرة".
مثل ، "ماذا بعد؟"
كما قال أحد المعلقين ، ربما تجاوز الأمر قليلاً ، "حسنًا ، إذن ، لا ينبغي حتى أن يُسمح لك بمزود خدمة الإنترنت!"
على حد سواء. [ضحك]
بطة. "مودم الطلب الهاتفي في الطابق السفلي الخاص بك. 386. افعلها بنفسك! "
أين ترسم الخط؟
لذا ، أنا لا أفهم هذا تمامًا.
أرى من أين أتوا: أرقام IP هي معلومات تعريف شخصية ؛ تقول اللائحة العامة لحماية البيانات (GDPR) ذلك ؛ لا أعتقد أن هذا غير معقول.
لكن الفكرة أنه إذا * يمكنك * استضافته محليًا ، * يجب * استضافته محليًا؟
حظا سعيدا مع ذلك في عصر السحابة.
ونتمنى لك التوفيق في تحديد أين تنتهي الاستضافة الذاتية ويبدأ "شخص آخر يستضيفها لك".
دوغ. حسنًا ، 25 تعليقًا والعد مستمر!
لذا ، إذا كنت تريد الرأي ، فانتقل إلى هذا المقال ، فهذا: تغريم مشغل الموقع لاستخدامه خطوط جوجل بالطريقة الغائمة على nakedsecurity.sophos.com - الكثير من النقاش!
بطة. سنرى كيف ينتهي الأمر - أنا متأكد من أننا لم نسمع نهاية ذلك.
دوغ. حسنًا ، حان الوقت الآن هذا الأسبوع في تاريخ التكنولوجيا.
تحدثنا عن الأيائل في وقت سابق من العرض ، وفي هذا الأسبوع في عام 1982 ، تعرفنا على الأيل شبيه الفيروس ، أحد الفيروسات الأولى ...
بطة. [انتصار] لقد فهمت الأمر ، دوغ!
دوغ. ... إن لم يكن أول من ينتشر في البرية.
كان Cloner عبارة عن فيروس في قطاع التمهيد كتبه ريتش سكرينتا البالغ من العمر 15 عامًا ، وتم توزيعه على Apple] [الأقراص المرنة.
كان الفيروس مختبئًا داخل لعبة ولن يبدأ في العمل حتى المرة الخمسين التي يتم تحميل اللعبة فيها.
في تلك المرحلة ، ينتشر الفيروس ، الذي تم تحميله في الذاكرة ، إلى الأقراص غير المصابة عند إدخالها في محرك الأقراص.
لذلك ، انتشر ، وأعتقد أن Skrenta خرج وقال ، "انظر ، يا رجل ، هذه مزحة. مقلب. استخدمتها مزحة أصدقائي. ما هي الصفقة الكبيرة؟"
وفي ذلك الوقت ، ما هي الصفقة الكبيرة؟
بطة. حسنًا ، لست متأكدًا من وجود واحد في ذلك الوقت ، على الرغم من أننا تعلمنا جميعًا درسًا منه قبل أن تصبح فيروسات قطاع التمهيد مشكلة كبيرة على كمبيوتر IBM الشخصي بعد أربع سنوات.
من المحتمل أيضًا ألا يدرك مستمعونا الذين لا يتذكرون الأقراص المرنة أن المشكلة الكبيرة مع فيروسات قطاع التمهيد هي أن * كل قرص مرن يحتوي على قطاع تمهيد *.
لم يكن من الضروري أن يكون قرص نظام تشغيل قابل للتمهيد أو قرص لعبة قابل للتمهيد.
يمكن أن يكون قرصًا مرنًا فارغًا: عند تهيئة قرص ، سيحصل على قطاع تمهيد عليه.
ولكن عندما قمت بالتمهيد ، قال فقط ، "هذا ليس قرصًا قابلاً للتمهيد."
وبحلول الوقت الذي رأيت فيه هذه الرسالة ، كان من الممكن بالفعل تشغيل فيروس قطاع التمهيد.
في تلك الأيام ، إذا تركت قرصًا مرنًا ، فسيحاول * دائمًا * إيقاف تشغيل القرص المرن ، وبالتالي فإن فرصة الإصابة بفيروس من قرص مرن فارغ عن طريق الخطأ كانت ضخمة.
"Elk Cloner - البرنامج ذو الشخصية"، دوغ.
[يردد قصيدة من فيروس] "سوف تحصل على جميع أقراصك / ستتسلل إلى رقائقك / نعم ، إنه Cloner! / سوف يلتصق بك مثل الغراء / سيعدل ذاكرة الوصول العشوائي ، أيضًا / إرسال في Cloner!"
على حد سواء. [ضحك]
بطة. حسنًا ، أعتقد أن ريتش سكرينتا واصل حياته المهنية كعالم كمبيوتر ، وما زال يفعل ذلك.
دوغ. هو فعل!.
بطة. لذلك ، لم ينته الأمر بشكل سيء بالنسبة له.
لا أستطيع أن أتخيل أنه يمكن بسهولة محاكمته في ذلك الوقت.
أعتقد أنه في المرة الأولى التي تقوم فيها بذلك ، إنها مزحة.
بمجرد أن يدرك الناس أن النكتة ليست مضحكة ، وأدركتها بنفسك ، * عندها * تبدأ في أن تصبح شقية.
دوغ. Anyhoo ، فلنتحدث عن الخصوصية.
بطة. [IRONIC] البرامج الضارة لن تدوم ، دوغ! سوف يموت!
دوغ. [ضحك] لا ، إنها موضة!
كان الأسبوع الماضي هو يوم خصوصية البيانات.
وأعتقد ، بول ، أن لديك مقالًا رائعًا يحتوي على بعض النصائح المفيدة للحفاظ على خصوصية بياناتك.
لذا ، دعونا نتحدث قليلا عن هؤلاء.
أول شيء تقوله هو "تعرف على عناصر التحكم في خصوصيتك"، والتي لا أعتقد أن الكثير من الناس يفعلونها.
بطة. أو ربما يعتقدون أنهم يفعلون ذلك.
لأنهم نظروا إلى… قل ما إذا كان لديهم جهاز Mac ، فقد ذهبوا إليه تفضيلات النظام وقد قاموا بالنقر فوق "جدار الحماية" و "الأمان" و "الخصوصية" ، وقد تلاعبوا بالإعدادات هناك.
ربما ذهبوا إلى Safari وقاموا بتغيير بعض الإعدادات هناك ...
ثم نسوا ، للأسف ، أنه إذا قمت بعد ذلك بتثبيت Firefox ، حسنًا ، فهذا له إعدادات الخصوصية الخاصة به!
إنهم في قائمة "الإعدادات" ، لكن ليس لديهم نفس الأسماء تمامًا ، ولم يتم ترتيبهم في نفس التسلسل الهرمي للقائمة.
وبعد ذلك ربما يقومون بتثبيت Edge أو Chrome أو Chromium ولديهم جميعًا أنظمة قوائم خاصة بهم أيضًا.
وبعد ذلك ربما تعتقد ، "أنا أعلم! سأقضي الليلة 38 دقيقة في البحث في جميع خيارات الخصوصية وإعدادات الأمان على Facebook ".
سواء كنت تحب Facebook أو تكرهه ، فقد تفاجأ بسرور بمدى تحكمك ؛ تكمن المشكلة في أن لديك قدرًا كبيرًا من التحكم لدرجة أن هناك العديد من الإعدادات المختلفة التي تحتاج إلى أخذها في الاعتبار ، تحت العديد من العناوين المختلفة.
ثم كل الشبكات الاجتماعية الأخرى ؛ كل موقع آخر ؛ كل خدمة أخرى عبر الإنترنت: سيكون لديهم بعض الإعدادات التي هي نفسها ؛ بعض التداخل البعض لا يقوم البعض بتشغيل 2FA * هنا * ؛ البعض يشغلها * هناك * ...
ولسوء الحظ ، ليس لديك حقًا الكثير من الخيارات بخلاف الحصول على كمية وفيرة من المشروبات الغازية ، وربما حتى بعض الفشار ، إذا كنت لا تمانع في الحصول على مخلفات الفشار على لوحة المفاتيح ...
دوغ. [يضحك]
بطة. ... وخذ الوقت الكافي لتصفح إعدادات الخصوصية في جميع التطبيقات والخدمات عبر الإنترنت التي تستخدمها.
إنه * * مؤلم قليلاً في الخلف ، لكن قد تجد أنه يستحق ذلك جيدًا.
لأنه على الرغم من أن شركات الشبكات الاجتماعية تتحسن قليلاً بشأن الإعدادات الافتراضية - لأنهم يدركون أنها تجعل المستخدمين أكثر سعادة ، ولأن هناك لوائح عليهم الآن الامتثال لها - فقد لا يتطابق رأيهم مع رأيك.
بعد كل شيء ، أنت المنتج ، ولديهم توقعات مختلفة لما يمكنهم جمعه ...
دوغ. هذا جزء كبير من نصيحة رائعة أخرى: "حدد ما هي قيمة بياناتك حقًا."
السؤال النهائي ، كل شيء يكون مجانيًا على الإنترنت.
بطة. إنه كذلك ، أليس كذلك؟
للأسف ، هذه واحدة من أقصر النصائح التي طرحتها ، لأن مقدار النصيحة أو المناقشة أو الشرح الذي يمكنني تقديمه لك قليل جدًا.
لا أعرف ما هو عنوان منزلك الذي يبدو وكأنه يستحق لك أو لرقم هاتف منزلك ؛ لا أعرف ما إذا كنت تعتقد أنه من المجدي مشاركة هذه الصورة أو تلك الصورة ...
لكن النقطة المهمة هي أنه يمكنك * وضع بعض القيود على ما ترغب في تسليمه - ثم العودة بنفسك والتزم بها ، إذا رأيت تطبيقًا أو موقعًا إلكترونيًا يطلب أكثر مما تعتقد أنه يستحق ، أو أكثر مما تعتقد أنه يحتاج.
لذا ، إذا كنت تحصل على خدمة WiFi مجانية لمدة 35 دقيقة ، على سبيل المثال ، في مركز تسوق لم تزره من قبل ، ويقولون. ، "نحتاج إلى تاريخ ميلادك" ، فقل فقط ، "أنت تعلم ماذا ، ربما تفعل ، ربما لا تفعل. لكني لست بحاجة لخدمتك ".
ابحث عن مكان ليس فضوليًا!
لاستخدام اللغة القديمة. "التصويت بدفتر الشيكات الخاص بك!"
دوغ. جيدة جدا.
وهذه النصيحة التالية - يسعدني تمامًا أن هذا هو الأسبوع الثاني على التوالي الذي نتحدث فيه عن FOMO و JOMO!
هذه النصيحة هي: "كن عادلاً مع نفسك ومع الآخرين."
ماذا تقصد بذلك يا بولس؟
بطة. كنت أعني أنه من السهل في بعض الأحيان ، خاصة إذا كنت في المدينة. أو تستمتع مع الأصدقاء ، أو يتحدث الجميع عن خدمة الشبكة الاجتماعية الجديدة الرائعة التي يحبونها ...
من السهل حقًا أن تقول ، "حسنًا ، أتعلم ماذا؟ لقد قررت كم هي قيمة البيانات الخاصة بي. لقد قررت مقدار ما أريد مشاركته. هذه الخدمة تطلب الكثير. لكن فومو! لا أريد أن أفوت! اريد ان اكون فيه أريد أن أكون هناك مع جميع رفاقي. سأسمح لهم بدفعي إلى مشاركة أشياء لست مرتاحًا لها حقًا ".
ربما تذكر أنه لكل FOMO ، كما قلت الأسبوع الماضي ، JOMO: * بهجة * الضياع.
ليس عليك أن تشعر بالعجرفة حيال ذلك ، ولكن في بعض الأحيان - خاصة إذا كان هناك اختراق أمني - ستكون الشخص الذي يبتسم على وجهك ، بينما يركض الآخرون في الأرجاء ويفكرون ، "أوه ، جولي! "
لذا ، لا تدع أصدقاءك يتحدثون معك إلى مشاركة المزيد عن حياتك الرقمية أكثر مما تريد.
والجانب الآخر من ذلك هو أنك إذا كنت أكثر ليبرالية في التعامل مع بياناتك من أحد أصدقائك ، ويقولون ، "أتعلم ماذا؟ كنت سعيدًا لوجودي في تلك الصورة الشخصية ، لكنني لم أدرك أنك تخطط لنشرها على خدمة XYZ. من فضلك لا تفعل "...
... ثم دعهم يستمتعون بلحظة JOMO الخاصة بهم.
لذا لا ... كدت أن أقول كلمة وقحة هناك ... لا تكن شخصًا شقيًا!
إذا قالوا ، "من فضلك لا تنشرها" ، دعهم يشقوا طريقهم.
الحياة أقصر من أن تنهي أصدقاءك على شيء بهذه البساطة.
دوغ. حسنًا ، ثم نصيحة عملية جدًا: "لا تدع المحتالين في حياتك."
بطة. نعم ، هذا مرة أخرى FOMO و JOMO على جانبي العملة.
يمكن أن يكون التعرف على أشخاص جدد عبر الإنترنت أمرًا ممتعًا :؛ من الناحية النظرية ، فلا حرج في ذلك.
ولكن هذا يحدث عندما تكون في عجلة من أمرك ، أو عندما تسمح لنفسك بالتعرض للدفع ، فليس الأمر فقط أنك قد تسرب البيانات التي تندم عليها لاحقًا - على سبيل المثال ، عندما يأتي أحد المحتالين ويكتشف عيد ميلادك واسم كلبك واسم قطتك. ويجمعهم جميعًا معًا ويخمن كلمة مرورك.
قد تكون مجرد صداقة مع شخص ما ، إذا أبقيت عينيك وأذنيك مفتوحتين على نطاق أوسع قليلاً ، لكنت أدركت أنه ليس جيدًا منذ البداية.
قف. فكر في. الاتصال!
عندما تسمح لشخص ما بخداعك ، والضغط عليك ، والضغط عليك للقيام بالأشياء عبر الإنترنت بشكل أسرع مما تفعله بنفسك بشكل طبيعي ، فقد ينتهي بك الأمر في مشكلة.
دوغ. رائع!
لدينا بعض النصائح الإضافية التي يمكنك مشاركتها مع أصدقائك وعائلتك ، لذلك ندعوك للتحقق من ذلك.
هذا المقال يسمى: يوم سعيد لخصوصية البيانات ، ونحن نعني السعادة حقًا على nakdesecurity.sophos.com.
وهو وقت العرض: أوه! رقم! من الاسبوع.
يكتب مستخدم Reddit Computer1313 ...
"قصة قديمة وقصيرة من زميل عمل سابق.
كان يعمل في مصنع لتصنيع السيارات ، منذ سنوات عديدة ، وكان يعيد برمجة أذرع الطلاء الآلية لطراز الشاحنة الجديد القادم ".
(ما الذي يمكن أن يحدث بشكل خاطئ؟)
"قام بتحميل التغييرات وبدأ نظام الطلاء الآلي بإطار شاحنة اختبار ليرى كيف تتم مهمة الطلاء.
كان يضع يده على زر التوقف في حالة الطوارئ في حالة حدوث أي خطأ.
كل ما يتذكره من الفوضى التي أعقبت ذلك على الفور هو أن إحدى الأذرع الروبوتية اصطدمت بشعاع فولاذي وكسرت فوهة ، لذلك كانت هناك الآن نفث قوي من الطلاء يتناثر في كل مكان.
قام ذراع أخرى بشكل متكرر بتحطيم الهيكل مثل المطرقة ، مما أدى إلى انهيار سقف الشاحنة.
قال إنه أصيب بصدمة شديدة لدرجة أنه لم يضغط على زر إيقاف الطوارئ حتى سمع الصراخ.
استغرق الأمر وقتًا طويلاً حتى يتم تنفيس أبخرة الطلاء حتى تتمكن من الدخول وتنظيف فوضى الطلاء وإصلاح الأضرار.
لقد كان ذلك اليوم الذي كانت فيه إدارة المصنع تمنح المديرين التنفيذيين للشركة جولة في المكان.
سألت كيف تبدو تعابير وجوههم عندما رأوا محطة الطلاء المدمرة وقال ، "رعب خالص".
لذلك ، مجرد حكاية تحذيرية مفادها أن برمجة الكمبيوتر يمكن أن تكون مدمرة وخطيرة في بعض الأحيان ".
بطة. لا أحب هذه القصة ، دوج ، لأنها طاحونة لأي شخص يقف بحزم ضد نصيحتنا التصحيح في وقت مبكر ، التصحيح في كثير من الأحيان...
دوغ. [يضحك]. نعم!
بطة. … لأن هذا ما أسميه حشرة.
دوغ. نعم سيدي!
بطة. هل يمكنك تخيل "أنبوب رش من نوع كتيبة الإطفاء" من الطلاء؟
دوغ. [يضحك] بدلاً من رشقة صغيرة جميلة.
أحب أن أتخيل أن هذا الشيء يبدو تمامًا مثل الأخطبوط أيضًا - مجرد حفنة من الأذرع تتدحرج.
بطة. أفترض أن التحديث التالي الذي جربه ، كان لديه يد اصطناعية على عصا طويلة ، مثبتة على الزر من مسافة طويلة.
دوغ. نعم!
بطة. مرعب.
دوغ. الجميع كن حذرا هناك!
إذا كان لديك أوه! رقم! كنت ترغب في الإرسال ، نود قراءته على البودكاست.
يمكنك إرسال بريد إلكتروني إلى tips@sophos.com. يمكنك التعليق على أي من مقالاتنا ، أو تابعنا علىNakedSecurity.
هذا هو عرضنا لهذا اليوم - شكرًا جزيلاً على الاستماع.
بالنسبة لبول دوكلين ، أنا دوج آموث ، أذكرك حتى المرة القادمة بـ ...
دوغ. كن آمنا!
بطة. التصحيح في وقت مبكر ، التصحيح في كثير من الأحيان ، والوقوف للخلف!
على حد سواء. [ضحك]
[مودم موسيقي]
