Nhấp và kéo vào các sóng âm thanh bên dưới để chuyển đến bất kỳ điểm nào. Bạn cũng có thể nghe trực tiếp trên Soundcloud.

CHÓ. Lỗi, lừa đảo, quyền riêng tư và… *phông chữ*?

Tất cả những điều đó khác trên podcast Naked Security.

[CHẾ ĐỘ ÂM NHẠC]

Chào mừng mọi người đến với podcast: Tôi là Doug; anh ấy là Paul…

---

VỊT. Chào mọi người.

---

CHÓ. Bạn đã *bận*.

Chúng tôi có sáu câu chuyện của bạn để kể hôm nay… bạn đã *làm gì*?

---

VỊT. Tôi không tạo ra những lỗi mà tôi cảm thấy buộc phải viết về chúng!

---

CẢ HAI. [CON GÁI]

---

VỊT. Đó là tất cả những gì tôi đang nói.

---

CHÓ. Vâng, điều đó công bằng.

Vì vậy, chúng ta sẽ bắt đầu ngay vì chúng ta sẽ thực hiện một vòng nhanh chóng và sau đó chúng ta sẽ đi sâu hơn một chút vào một số vấn đề về quyền riêng tư.

Nhưng chúng tôi muốn bắt đầu trình chiếu bằng một Sự thật thú vị: Hôm nay tôi phát hiện ra rằng nai sừng tấm Bắc Mỹ có thể đạt tới 700 lb, tức là khoảng 320 kg, tuy nhiên nó cũng có thể đạt tốc độ chạy 40 dặm/giờ hoặc 65 km/giờ và thường có thể chạy nhanh hơn cả ngựa.

Vì vậy, một loài động vật rất lớn có thể chạy rất nhanh.

---

VỊT. Có phải bạn vừa nói "nai sừng tấm" không, Doug?

---

CHÓ. Vâng.

Và chúng ta sẽ nói về nai sừng tấm sau trong chương trình.

---

VỊT. Bất cứ khi nào tôi nghe thấy từ đó - bởi vì chúng tôi không có nai sừng tấm ở đây [ở Vương quốc Anh] - nó có ý nghĩa đặc biệt đối với tôi và tôi cá với bạn rằng đó cũng chính là điều bạn đang nghĩ đến.

---

CHÓ. Chuẩn rồi! Nháy mắt.

Chúng ta hãy nói về hai lỗi Linux này: một lỗi lớn xảy ra cách đây một tuần nhưng đã được vá và một lỗi có thể không lớn bằng đang xảy ra khi chúng ta đang nói chuyện.

---

VỊT. Đúng thế.

Hãy bắt đầu với PwnKit, phải không?

---

CHÓ. Chúng ta sẽ.

---

VỊT. Chuyện đó có lớn hay không thì tôi không biết; điều đó phụ thuộc vào cách nhìn của bạn.

Nhưng đó là một lời nhắc nhở thú vị rằng đôi khi - và lỗi khác cũng chứng minh điều này - khi bạn giới thiệu các công cụ được thiết kế để giúp bảo mật dễ dàng hơn, đôi khi chúng làm cho việc bảo mật *quá* dễ dàng, đến mức chúng tạo ra một đường vòng.

Và đây là CVE-2021-4034 hay còn gọi là PwnKit. Doug, rõ ràng đó là một cách chơi chữ, Doug, vì lỗi này nằm trong một phần của Linux có tên là “Polkit”, trước đây được gọi là Bộ công cụ chính sách.

[CƯỜI] Tôi không nghĩ đó là một trò đùa giống như các nhà nghiên cứu tại Qualys, những người đã tìm ra nó, nghĩ, nhưng tôi hiểu họ đến từ đâu.

Polkit được coi là một cách mà các ứng dụng không có đặc quyền có thể tương tác một cách an toàn với hệ điều hành để nói: “Tham gia vào một số loại lời nhắc mật khẩu sẽ cho phép người dùng tạm thời thực hiện điều gì đó mà thông thường họ không được phép làm”.

Và bạn có thể tưởng tượng rằng có rất nhiều trường hợp trong mọi hệ điều hành mà bạn có thể cần phải làm điều đó.

Ví dụ kinh điển là khi bạn cắm một chiếc USB: có thể bạn được phép đọc nó và truy cập các tập tin trên đó, nhưng khi cần xóa nó, định dạng lại và xóa mọi thứ, có lẽ đã đến lúc bật lên lời nhắc mật khẩu. để đảm bảo rằng bạn được ủy quyền.

Tuy nhiên, có một công cụ dòng lệnh đi kèm với Polkit và nó giống như Linux hoặc Unix sudo công cụ “Set UID and do”, có nghĩa là “Chạy lệnh với tư cách người dùng khác”, giống hệt như Windows Run As....

Bạn thường sử dụng sudo để chạy mọi thứ với quyền root, nhưng trên thực tế bạn có thể sử dụng nó để chạy như bất kỳ ai khác, tùy thuộc vào cách nó được cấu hình.

Và hóa ra Polkit có một chương trình rất giống, được gọi theo tưởng tượng pkexec, lệnh “Thực thi Polkit”.

Dù sao thì hóa ra là nếu bạn cố tình chạy cái này pkexec app theo cách mà thông thường bạn không thể thực hiện từ dòng lệnh - nói cách khác, nếu bạn chạy nó và nói: “Tôi hoàn toàn không muốn cung cấp cho bạn đối số dòng lệnh nào cả”, hai điều sẽ xảy ra.

Một là pkexec đi, "OK, có lẽ bạn chỉ muốn chạy shell lệnh."

Và một điều nữa là hóa ra là bạn thực sự có thể lừa chương trình làm điều gì đó hư hỏng: tải một mô-đun hoặc chương trình bên ngoài mà nó không được phép làm.

Và, bingo!, bạn sẽ tự chuyển đổi, nếu bạn đã có quyền truy cập vào máy tính, từ thời xa xưa thân yêu. doug đến mức cũ kỹ root.

Cứ như vậy, theo đúng nghĩa đen bằng cách chạy một lệnh - trớ trêu thay, một lệnh được cho là ở đó để cải thiện tính bảo mật và kiểm soát khả năng truy cập vào các lệnh gốc của bạn.

Bạn có thể lạm dụng lệnh để cho phép bạn tiếp quản: một trong những lỗi “nâng cao đặc quyền” biến lỗi thực thi mã từ xa vốn không gây hại thành một thảm họa hoàn toàn.

---

CHÓ. Vậy là đã được vá rồi à?

---

VỊT. Nó có.

---

CHÓ. OK rất tốt.

Và sau đó chúng tôi gặp lỗi trong trình điều khiển video…

---

VỊT. Vâng, đúng vậy, nhưng thực ra tôi không nghĩ đó là một lỗi mới.

---

CHÓ. Vâng, có vẻ như họ đã sửa nó vào tháng 10.

---

VỊT. Có: bản vá được ghi lại ban đầu có ngày tháng 2021 năm XNUMX.

Tôi nghĩ rằng điều đã xảy ra là ai đó đã phát hiện ra rằng đây là thứ có lẽ không nên có trong mã, nhưng tôi đoán họ đã đoán ra rằng, “Chà, chúng tôi thực sự không thấy cách nào có thể khai thác được điều này. Và khi chúng tôi triển khai bản vá này, nó có thể làm giảm hiệu suất một chút. Vì vậy, vì không có mối nguy hiểm rõ ràng và hiện hữu nào nên chúng tôi sẽ chỉ xếp nó vào giỏ việc cần làm khi thời cơ đến.”

Và rồi đột nhiên thời điểm đó đến…

---

CHÓ. [LỪA DỐI]

---

VỊT. …và bản sửa lỗi đã được triển khai.

Đây là một lỗi trong trình điều khiển video Intel.

Vấn đề là bạn có thể muốn cấp cho người dùng quyền truy cập để chạy mã thô trên card đồ họa vì lý do hiệu suất, vì card đồ họa không chỉ được sử dụng bởi các game thủ.

Chúng cũng được sử dụng cho những việc như khai thác mật mã [IRONIC CHUCKLE], kết xuất video, học máy – điện toán hiệu năng cao, bởi vì có một loại vấn đề nhất định mà card đồ họa có thể tấn công thực sự rất nhanh.

Và hóa ra, ẩn sâu trong trình điều khiển này, i915 trình điều khiển, có khả năng là ai đó có quyền chạy mã card đồ họa GPU có thể chạy một số mã, sau đó có thể quay lại và nói, "Kính gửi kernel, tôi muốn chạy thêm một số mã GPU", và vô tình , họ sẽ có quyền truy cập – thông qua mã đồ họa – *vào bộ nhớ mà họ có lần trước*.

---

CHÓ. [LO LẮNG] Hmmmmmmmm.

---

VỊT. Mặc dù bộ nhớ đó hiện có thể đã được phân bổ cho một quy trình khác.

Vì vậy, nếu bạn có thể, chẳng hạn, kết hợp bộ nhớ đệm của bạn với bộ đệm mà bạn biết sẽ được phân bổ, chẳng hạn như cho một số quá trình xử lý mật mã sau đó…

…bạn có thể đọc được mật khẩu hoặc khóa riêng tư.

Bạn thậm chí có thể ghi lại dữ liệu của người khác.

Và về cơ bản, đó là lỗi do một thành phần bên trong con chip gây ra nhằm mục đích tăng tốc độ truy cập bộ nhớ khi bạn truy cập bộ nhớ lần thứ hai, thứ ba, thứ tư: một thứ trong chip có tên là TLB, bộ đệm dịch sang một bên.

---

CHÓ. OK, điều đó cũng đã được vá.

---

VỊT. Nó có.

---

CHÓ. Hãy xem thử: cả hai câu chuyện đó đều có trên Nakedsecurity.sophos.com.

Và những ai đã theo dõi chương trình tuần trước sẽ biết rằng chúng ta đã nói về lỗi Apple Safari - một tình huống "siêu cookie" - hiện đã được vá.

Và họ cùng lúc trượt dốc như ngày số 0 ở đó…

---

VỊT. Ngày số 0 không liên quan đến bản vá Safari, nhưng lỗi Safari có thể là nguyên nhân khiến bản sửa lỗi này ra mắt sớm hơn chúng tôi nghĩ.

Như bạn đã nói, trong đó có bản sửa lỗi Safari – hiện có CVE – là bản sửa lỗi mà Apple vừa nói (và chúng tôi đã đọc những từ này trước đây), [GIỌNG ROBOTIC NHANH CHÓNG, YÊN TĨNH] “Công ty nhận thức được một báo cáo rằng vấn đề này có thể đã bị khai thác tích cực.”

Nghe có vẻ như không có gì phải không?

Bản dịch của tôi là [GIỌNG NÓI DANGEROUS DALEK]: “Đây là ngày 0. Một cuộc khai thác ngoài tự nhiên đã được thực hiện thành công.”

Tôi sẽ không nói, “Hãy sợ hãi”, nhưng chắc chắn là Patch Now!

Tôi đoán điều đó là tốt: zero-day đã bị đóng và lỗi rò rỉ dữ liệu Safari đã được khắc phục.

Nếu bạn lắng nghe chúng tôi – tôi nghĩ đó là tuần trước, phải không? – lỗi đó là một tính năng đặc biệt trong bộ đệm cơ sở dữ liệu cục bộ (một lần nữa, bộ nhớ đệm dữ liệu cục bộ có thể có vấn đề!).

Và mặc dù bạn không thể đọc cơ sở dữ liệu của người khác, bạn có thể đọc *tên* cơ sở dữ liệu của người khác.

Tất nhiên, để làm cho tên cơ sở dữ liệu của bạn trở nên độc đáo, với tư cách là một lập trình viên, bạn có hai lựa chọn.

Hoặc bạn chọn một chuỗi lạ dành riêng cho trang web của mình, điều đó có nghĩa là bất kỳ ai khác cũng có thể biết bạn đang truy cập trang web nào nhờ tên của cơ sở dữ liệu mà không cần phải nhìn vào bên trong nó - giống như có một số điện thoại hiển thị hướng lên.

Hoặc bạn chọn một số hoàn toàn ngẫu nhiên cho mỗi người dùng và sau đó số đó không nhận dạng trang web nhưng sẽ nhận dạng duy nhất người dùng.

Apple đã sửa lỗi đó: họ đặt danh sách tên ở chế độ riêng tư như dữ liệu ẩn đằng sau những cái tên đó.

---

CHÓ. Và họ đã sửa nó một cách nhanh chóng… sau khi sửa nó từ từ.

---

VỊT. Đúng. [CƯỜI] Đó là một cách diễn đạt hay đấy, Doug!

Tôi quên mất nó được báo cáo khi nào, nhưng khoảng giữa đến cuối năm ngoái phải không?

Những người tìm ra lỗi đã báo cáo nó và Apple, như thường lệ… về cơ bản, khi họ không nói gì, tôi nghĩ điều đó có nghĩa là bạn suy luận, “Cảm ơn bạn”.

Và họ cứ ngồi chờ, chờ và chờ.

Đột nhiên Apple bắt đầu làm việc trên WebKit; sau đó họ đề cập đến cách nó hoạt động và kiểu đó đã buộc Apple phải vào tay.

Vì vậy, tôi đoán đó là lý do tại sao ngày nay, chúng ta phải tiết lộ một cách có trách nhiệm: cho nhà cung cấp quyền tạm dừng và để họ sửa lỗi trước.

Nhưng sau đó phải có sự đền đáp nào đó, phải không?

Nếu nhà cung cấp nói: “Cảm ơn vì đã cho chúng tôi biết. Hãy giữ tấm thảm trong khi chúng tôi quét nó bên dưới”…

---

CHÓ. [LỪA DỐI]

---

VỊT. …vì vậy ý ​​tưởng là có thời hạn. “Xin hãy làm điều đó trước lúc đó.”

---

CHÓ. Được rồi, những bản cập nhật đó có sẵn ở bất cứ nơi nào bạn nhận được bản cập nhật Apple của mình.

Chúng ta sẽ chuyển sang trò lừa đảo COVID hứa hẹn cung cấp thiết bị xét nghiệm PCR tại nhà… có gì thú vị?

---

VỊT. Chà, tin tốt là nếu bạn nhấp vào liên kết…

(Nó đã được báo cáo cho chúng tôi bởi một độc giả bảo mật khỏa thân đã truy cập nó… Tôi nghĩ đó là chiều thứ sáu tuần trước và tên miền mà nó đang sử dụng (điều này không hoàn toàn khó tin; đó là thử nghiệm omicron DOT và một số thứ khác). -funny-characters DOT com… miền đó đã được thiết lập *sáng hôm đó* và chứng chỉ Let's Encrypt HTTPS đã được cấp *sáng hôm đó*.)

…họ chưa chuẩn bị sẵn trang web và trang web vẫn chưa hoạt động; mọi người đang chặn nó bây giờ.

Vì vậy, chúng tôi thực sự không biết liệu kẻ gian có đang kiểm tra xem có bao nhiêu người sẽ nhấp vào hay họ chỉ đang tìm kiếm số IP.

Tôi nghi ngờ, từ các tệp mà chúng tôi có thể thấy trên trang web không được bảo vệ đó - rất ít trong số đó - rằng đó chỉ là một nỗ lực nhằm dàn dựng một trò lừa đảo đáng tin cậy khi họ không truy cập được trang web kịp thời .

Điều đó không đến nỗi khó tin: Tôi có thể hiểu tại sao lại có những người nói: “Tôi không ngạc nhiên. Ai có thể nghĩ rằng máy tính hiện đại sẽ có 16 lõi xử lý trong một chiếc máy tính xách tay giá cả phải chăng? Ai có thể nghĩ rằng việc thu nhỏ sẽ đạt được vị trí như ngày nay? Có thể bạn *có thể* mua thiết bị xét nghiệm PCR tại nhà.”

Đó không phải là một ý tưởng buồn cười và bạn có thể hiểu tại sao mọi người lại nhấp vào.

Vì vậy: hãy cẩn thận, mọi người!

---

CHÓ. Được rồi, tốt lắm.

Và sau đó, câu chuyện nhanh cuối cùng của chúng tôi sẽ đề cập đến là brouhaha “Google Font”.

Câu hỏi mang tính sống còn đối với bất kỳ nhà phát triển web nào là liên kết hay không liên kết với thư viện phông chữ? Tải xuống và đặt nó trên máy chủ của riêng bạn? Liên kết ra ngoài có ổn không?

---

VỊT. Chà, công bằng mà nói thì Google Fonts thực sự nói, “Bạn có thể làm điều này theo cách bạn muốn. Chúng là phông chữ nguồn mở. Đây là giấy phép.”

Họ đang cố gắng làm điều đúng đắn vì phông chữ là một trong những tài sản trí tuệ bị lấy trộm nhiều nhất trong lịch sử, phải không, trực tuyến và in ấn.

---

CHÓ. Vâng.

---

VỊT. Theo ý kiến ​​​​của tôi, Google đang cố gắng làm điều đúng đắn bằng cách có các kiểu chữ được cấp phép chính xác từ nhiều người, bao gồm cả các nhà thiết kế có uy tín, những người muốn cung cấp phông chữ của họ miễn phí.

Và họ đang nói: “Bạn có thể tải chúng xuống; bạn có thể sử dụng chúng trên trang web của riêng bạn; bạn có thể chia sẻ chúng với người khác vì chúng là nguồn mở, nhưng chúng tôi cũng sẽ lưu trữ chúng cho bạn nếu bạn muốn.”

Anh và tôi đã nói về chuyện này trước đó phải không Doug?

Và bạn nói rằng trong những ngày làm quản trị viên web, bạn sẽ không bao giờ nghĩ đến việc sao chép phông chữ, bởi vì chúng thường xuyên được cập nhật một cách đáng ngạc nhiên, phải không?

---

CHÓ. Đúng. Tôi không muốn phải lo lắng… còn một điều nữa cần quan tâm.

---

VỊT. Chắc chắn rồi!

Dù sao đi nữa, Doug, một tòa án ở Bavaria, ở Munich – một Tòa án quận ở Munich – đã xét xử một vụ án mà nguyên đơn nói: “Tôi đã truy cập trang web này để lấy phông chữ từ Google để nó có thể hiển thị phần còn lại của nội dung của họ, đó là được lưu trữ cục bộ. Họ có thể đã lưu trữ phông chữ cục bộ. Họ rất vui *đáng lẽ* phải như vậy, vì họ đã vi phạm quyền riêng tư của tôi khi cung cấp số IP của tôi cho Google.”

Và tòa án đã có lợi cho nguyên đơn và tìm thấy trang web €100 [$110], tôi tin vậy và nói: “Không, bạn phải lưu trữ nó ở địa phương.”

---

CHÓ. "dốc trơn trượt" trong tiếng Đức là gì? Bởi vì đó chính là điều tôi đang nghĩ.

---

VỊT. Hoặc tiếng Đức có nghĩa là “hố rất sâu”.

Điều thú vị là mặc dù - bởi vì nó hơi bí truyền - đây không phải là bài viết được xem nhiều nhất trong tuần về bảo mật khỏa thân, nhưng nó *cho đến nay* được bình luận nhiều nhất.

---

CHÓ. Nó là!

---

VỊT. Nhưng, như bạn nói, “dốc trơn/lỗ sâu”.

Giống như, "Tiếp theo là gì?"

Như một người bình luận đã nói, có lẽ hơi quá đáng một chút, "Chà, vậy thì bạn thậm chí không được phép có ISP!"

---

CẢ HAI. [CON GÁI]

---

VỊT. “Modem quay số vào tầng hầm của riêng bạn. 386. Tự mình làm đi!”

Bạn ve con đương nay ở đâu vậy?

Vì vậy, tôi không hiểu rõ điều này.

Tôi biết chúng đến từ đâu: Số IP là thông tin nhận dạng cá nhân; GDPR nói như vậy; Tôi không nghĩ điều đó là vô lý.

Nhưng ý tưởng rằng nếu bạn *có thể* lưu trữ nó cục bộ thì bạn *phải* lưu trữ nó cục bộ?

Chúc may mắn với điều đó trong kỷ nguyên đám mây.

Và chúc may mắn khi xác định được nơi kết thúc việc tự lưu trữ và “người khác lưu trữ nó cho bạn” bắt đầu.

---

CHÓ. Vâng, 25 bình luận và đang đếm!

Vì vậy, nếu bạn muốn phản biện, hãy xem bài viết đó, đó là: Nhà điều hành trang web bị phạt vì sử dụng Google Fonts một cách mù quáng trên Nakedsecurity.sophos.com – rất nhiều cuộc thảo luận!

---

VỊT. Chúng ta sẽ xem nó kết thúc như thế nào – tôi chắc rằng chúng ta chưa nghe được kết cục của việc đó.

---

CHÓ. Được rồi, bây giờ là lúc để Tuần này trong Lịch sử Công nghệ.

Chúng tôi đã nói về nai sừng tấm trước đó trong chương trình và tuần này năm 1982, chúng tôi đã được giới thiệu về Elk Cloner virus, một trong những loại virus đầu tiên…

---

VỊT. [CHIẾN THẮNG] Tôi hiểu đúng rồi, Doug!

---

CHÓ. …nếu không phải là trường hợp đầu tiên lây lan trong tự nhiên.

Cloner là một loại virus khu vực khởi động được viết bởi Rich Skrenta, 15 tuổi, và được phân phối trên đĩa mềm Apple].

Virus ẩn bên trong trò chơi và không hoạt động cho đến lần thứ 50 trò chơi được tải.

Vào thời điểm đó, vi-rút đã được tải vào bộ nhớ sẽ lây lan sang các đĩa không bị nhiễm khi chúng được đưa vào ổ đĩa.

Vì vậy, nó lan rộng và tôi nghĩ Skrenta bước ra và nói, “Này anh bạn, đây là một trò đùa. Một trò đùa. Tôi đã sử dụng nó để chơi khăm bạn bè của tôi. Có chuyện gì lớn vậy?”

Và hồi đó, vấn đề lớn là gì?

---

VỊT. Chà, lúc đó tôi không chắc là có một cái đó không, mặc dù giá như tất cả chúng ta đã học được một bài học từ nó trước khi virus khu vực khởi động trở thành một vấn đề lớn trên PC IBM bốn năm sau đó.

Những thính giả của chúng tôi không nhớ đĩa mềm cũng có thể sẽ không nhận ra rằng rắc rối lớn với virus khu vực khởi động là *mọi đĩa mềm đều có một khu vực khởi động*.

Nó không nhất thiết phải là đĩa hệ điều hành có khả năng khởi động hoặc đĩa trò chơi có khả năng khởi động.

Nó có thể là một đĩa trống: khi bạn định dạng một đĩa, nó sẽ có một khu vực khởi động trên đó.

Nhưng khi bạn khởi động, nó chỉ báo "Đây không phải là đĩa khởi động được".

Và vào thời điểm bạn nhìn thấy thông báo đó, có thể bạn đã chạy vi-rút boot boot.

Vào thời đó, nếu bạn để một đĩa mềm vào, nó sẽ *luôn* cố gắng khởi động đĩa mềm, vì vậy khả năng bạn nhiễm nhầm vi-rút từ một đĩa mềm trống là rất lớn.

“Elk Cloner – chương trình đầy cá tính”Doug.

[NGƯỜI BÀI THƠ TỪ VIRUS] “Nó sẽ xâm nhập vào tất cả các đĩa của bạn/Nó sẽ xâm nhập vào chip của bạn/Đúng, đó là Máy sao chép!/Nó sẽ dính vào bạn như keo/Nó cũng sẽ sửa đổi RAM/Gửi Máy sao chép vào!”

---

CẢ HAI. [CON GÁI]

---

VỊT. Chà, tôi tin rằng Rich Skrenta đã có một sự nghiệp tốt với tư cách là một nhà khoa học máy tính, đến nay vẫn vậy.

---

CHÓ. Anh ta đã làm!.

---

VỊT. Vì vậy, nó đã không kết thúc tồi tệ đối với anh ta.

Tôi không thể tưởng tượng được rằng lúc đó anh ta có thể dễ dàng bị truy tố.

Tôi đoán lần đầu tiên bạn làm điều đó, đó *là* một trò đùa.

Khi mọi người nhận ra rằng trò đùa không hề hài hước và chính bạn cũng nhận ra điều đó, *đó* khi trò đùa bắt đầu trở nên nghịch ngợm.

---

CHÓ. Dù sao đi nữa, hãy nói về quyền riêng tư.

---

VỊT. [IRONIC] Phần mềm độc hại sẽ không tồn tại được lâu, Doug! Nó sẽ chết mất!

---

CHÓ. [CƯỜI] Không, đó là mốt nhất thời!

Tuần trước là Ngày Bảo mật Dữ liệu.

Và Paul, tôi nghĩ bạn đã có một bài viết tuyệt vời với một số mẹo hữu ích để giữ dữ liệu của bạn ở chế độ riêng tư.

Vì vậy, hãy nói một chút về những điều đó.

Điều đầu tiên bạn nói là, “Tìm hiểu các biện pháp kiểm soát quyền riêng tư của bạn”, điều mà tôi đoán là không có nhiều người làm.

---

VỊT. Hoặc có lẽ họ *nghĩ* là họ làm vậy.

Bởi vì họ đã xem xét… giả sử nếu họ có máy Mac, họ đã truy cập System Preferences và họ đã nhấp qua “Tường lửa”, “Bảo mật”, “Quyền riêng tư” và họ đã loay hoay với các cài đặt ở đó.

Có thể họ đã vào Safari và thay đổi một số cài đặt ở đó…

Và sau đó, thật không may, họ quên rằng nếu sau đó bạn cài đặt Firefox, thì Firefox sẽ có cài đặt quyền riêng tư của riêng nó!

Chúng nằm trong menu “Cài đặt”, nhưng chúng không có tên giống nhau và chúng không được sắp xếp theo cùng một hệ thống phân cấp menu.

Và sau đó có thể họ cài đặt Edge, Chrome hoặc Chrome và họ cũng có hệ thống menu riêng.

Và sau đó có thể bạn nghĩ, “Tôi biết! Tối nay tôi sẽ dành 38 phút để tìm hiểu tất cả các tùy chọn quyền riêng tư và cài đặt bảo mật của Facebook.”

Cho dù bạn yêu hay ghét Facebook, bạn thực sự có thể ngạc nhiên thú vị về mức độ kiểm soát của mình; vấn đề là bạn có nhiều quyền kiểm soát đến mức có quá nhiều cài đặt khác nhau mà bạn cần phải tính đến, dưới rất nhiều tiêu đề khác nhau.

Và sau đó là mọi mạng xã hội khác; mọi trang web khác; mọi dịch vụ trực tuyến khác: chúng sẽ có một số cài đặt giống nhau; một số chồng chéo; một số thì không; một số bật 2FA *tại đây*; một số bật nó lên *ở đó*…

Và thật không may, bạn thực sự không có nhiều sự lựa chọn ngoài việc kiếm cho mình một lượng nước ngọt dồi dào, thậm chí có thể là một ít bỏng ngô, nếu bạn không ngại để mảnh vụn bỏng ngô trên bàn phím…

---

CHÓ. [LỪA DỐI]

---

VỊT. …và dành thời gian xem qua cài đặt quyền riêng tư trong tất cả các ứng dụng và dịch vụ trực tuyến mà bạn sử dụng.

Nó *có* hơi đau một chút ở phía sau, nhưng bạn có thể thấy nó đáng giá.

Bởi vì mặc dù các công ty mạng xã hội đang cải thiện hơn một chút về những mặc định của họ - vừa vì họ nhận ra rằng điều đó khiến người dùng hạnh phúc hơn, vừa vì giờ đây có những quy định mà họ phải tuân thủ - ý kiến ​​của họ có thể không trùng khớp với ý kiến ​​của bạn.

Suy cho cùng, bạn là sản phẩm và họ có những kỳ vọng khác nhau về những gì họ có thể thu thập…

---

CHÓ. Đó là một sự chuyển tiếp tuyệt vời cho một mẹo hay khác: “Quyết định giá trị thực sự của dữ liệu của bạn.”

Câu hỏi cuối cùng, với mọi thứ đều miễn phí trực tuyến.

---

VỊT. Đúng vậy, phải không?

Đáng buồn thay, đó là một trong những lời khuyên ngắn nhất mà tôi đưa ra, vì số lượng lời khuyên, thảo luận hoặc giải thích mà tôi có thể đưa ra cho bạn khá thấp.

Tôi không biết địa chỉ nhà của bạn có giá trị với bạn hay số điện thoại nhà của bạn; Tôi không biết bạn nghĩ việc chia sẻ bức ảnh này hay bức ảnh kia là đáng giá…

Nhưng vấn đề là bạn *có thể* đặt ra một số giới hạn cho những gì bạn sẵn sàng bàn giao – sau đó tự quay lại và tuân theo chúng, nếu bạn thấy một ứng dụng hoặc trang web yêu cầu nhiều hơn mức bạn nghĩ nó đáng giá , hoặc nhiều hơn mức bạn nghĩ nó cần.

Vì vậy, chẳng hạn, nếu bạn nhận được WiFi miễn phí trong 35 phút tại một trung tâm mua sắm mà bạn chưa từng đến trước đây và họ nói: “Chúng tôi cần ngày sinh của bạn”, thì bạn chỉ cần nói: “Bạn biết đấy cái gì, có thể bạn làm được, có thể bạn không. Nhưng tôi không cần sự phục vụ của anh.”

Tìm một nơi nào đó không quá tọc mạch!

Để sử dụng ngôn ngữ cũ. “Bỏ phiếu bằng sổ séc của bạn!”

---

CHÓ. Rất tốt.

Và mẹo tiếp theo này – tôi thực sự vui mừng vì đây là tuần thứ hai liên tiếp chúng ta nói về FOMO và JOMO!

Mẹo này là: “Hãy công bằng với chính mình và với người khác.”

Ý anh là gì vậy, Paul?

---

VỊT. Ý tôi là đôi khi việc này rất dễ dàng, đặc biệt nếu bạn ở ngoài thị trấn. hoặc bạn đang vui vẻ với bạn bè, hoặc mọi người khác đang nói về dịch vụ mạng xã hội mới tuyệt vời mà họ yêu thích này…

Thật dễ dàng để nói, “Được rồi, bạn biết không? Tôi đã quyết định dữ liệu của mình có giá trị bao nhiêu. Tôi đã quyết định số tiền tôi muốn chia sẻ. Dịch vụ này đang yêu cầu quá nhiều. Nhưng FOMO! Tôi không muốn bỏ lỡ! Tôi muốn ở trong đó. Tôi muốn ở đó với tất cả bạn bè của tôi. Tôi sẽ để họ thúc đẩy tôi chia sẻ những thứ mà tôi không thực sự thoải mái.”

Có thể hãy nhớ rằng, đối với mỗi FOMO, như bạn đã nói tuần trước, sẽ có một JOMO: *niềm vui* khi bỏ lỡ.

Bạn không cần phải cảm thấy tự mãn về điều đó, nhưng đôi khi - đặc biệt nếu có vi phạm an ninh xảy ra - bạn sẽ là người nở nụ cười trên môi trong khi những người khác đang chạy xung quanh và nghĩ, “Ồ, trời ơi!”

Vì vậy, đừng để bạn bè thuyết phục bạn chia sẻ nhiều hơn về cuộc sống số của mình hơn mức bạn muốn.

Và mặt trái của điều đó là nếu bạn tự do với dữ liệu của mình hơn một trong những người bạn của mình và họ nói, “Bạn biết không? Tôi rất vui khi được chụp bức ảnh selfie đó, nhưng tôi không nhận ra rằng bạn định đăng nó lên dịch vụ XYZ. Làm ơn đừng”…

…sau đó hãy để họ tận hưởng khoảnh khắc JOMO của mình.

Vì vậy đừng… tôi suýt nói một lời thô lỗ ở đó… đừng là một người nghịch ngợm!

Nếu họ nói “Xin đừng đăng nó”, hãy để họ làm theo cách của họ.

Cuộc sống quá ngắn ngủi để kết thúc bạn bè của bạn vì điều gì đó đơn giản như thế.

---

CHÓ. OK, và sau đó là một mẹo rất thiết thực: “Đừng để những kẻ lừa đảo bước vào cuộc sống của bạn.”

---

VỊT. Vâng, đó một lần nữa là FOMO và JOMO ở hai mặt đối lập của đồng tiền.

Gặp gỡ những người mới trực tuyến có thể rất thú vị:; về lý thuyết, không có gì sai với nó.

Nhưng đó là khi bạn hơi vội vàng hoặc khi bạn để mình bị đẩy theo, thì không chỉ là bạn có thể rò rỉ dữ liệu mà sau này bạn hối tiếc - ví dụ như khi có kẻ gian nào đó đến và tìm ra ngày sinh của bạn và tên con chó và tên con mèo của bạn. và đặt tất cả chúng lại với nhau và đoán mật khẩu của bạn.

Có thể bạn chỉ đơn giản là kết bạn với ai đó mà nếu bạn để mắt và tai rộng hơn một chút, bạn sẽ nhận ra điều đó chẳng có gì tốt đẹp ngay từ đầu.

Dừng lại. Nghĩ. Kết nối!

Khi bạn để ai đó lừa bạn, ép bạn, ép bạn thực hiện mọi việc trực tuyến nhanh hơn mức bạn tự làm một cách tự nhiên, bạn có thể gặp rắc rối.

---

CHÓ. Tuyệt quá!

Chúng tôi có một số lời khuyên bổ sung mà bạn có thể chia sẻ với bạn bè và gia đình của mình, vì vậy chúng tôi mời bạn xem thử.

Bài báo đó có tên: Chúc mừng Ngày bảo mật dữ liệu và chúng tôi thực sự có ý hạnh phúc trên nakdesecurity.sophos.com.

Và đó là thời điểm diễn ra chương trình: Ồ! Không! trong tuần.

Người dùng Reddit Computer1313 viết…

“Một câu chuyện ngắn, cũ của một đồng nghiệp trước đây.

Cách đây nhiều năm, anh ấy đang làm việc tại một nhà máy sản xuất ô tô và đang lập trình lại cánh tay robot sơn cho mẫu xe tải mới sắp ra mắt.”

(Cái gì có thể đi sai?)

“Anh ấy đã tải các thay đổi lên và khởi động hệ thống sơn tự động với khung xe tải thử nghiệm để xem công việc sơn được thực hiện như thế nào.

Anh ấy đã đặt tay lên nút dừng khẩn cấp đề phòng có sự cố xảy ra.

Tất cả những gì anh nhớ được từ sự hỗn loạn ngay sau đó là một trong những cánh tay robot đã va vào một thanh thép và làm gãy vòi phun của nó, nên giờ đây một tia sơn đặc phun ra khắp nơi.

Một cánh tay khác liên tục đập mạnh vào khung xe như búa, làm nóc xe tải bị lõm.

Anh ta cho biết anh ta bị sốc đến mức không nhấn nút dừng khẩn cấp cho đến khi nghe thấy tiếng la hét.

Phải rất lâu khói sơn mới thoát ra ngoài để chúng có thể vào dọn dẹp vết sơn và sửa chữa những hư hỏng.

Ồ, và đó là ngày mà ban quản lý nhà máy đưa các giám đốc điều hành công ty đi tham quan nơi này.

Tôi hỏi nét mặt của họ trông như thế nào khi nhìn thấy trạm sơn đổ nát và anh ấy nói, 'Thật là kinh hoàng.'

Vì vậy, đây chỉ là một câu chuyện cảnh báo rằng lập trình máy tính đôi khi có thể mang tính phá hoại và nguy hiểm.”

---

VỊT. Tôi không thích câu chuyện đó, Doug, vì nó là đòn đau đối với bất kỳ ai kiên quyết chống lại lời khuyên của chúng tôi. Vá sớm, vá thường xuyên...

---

CHÓ. [CƯỜI]. Đúng!

---

Con vịt. …bởi vì *đó* tôi gọi đó là lỗi.

---

CHÓ. Vâng thưa ngài!

---

VỊT. Bạn có thể tưởng tượng được một “ống phun sơn kiểu Đội cứu hỏa” đầy đủ không?

---

CHÓ. [CƯỜI] Thay vì một chút nước xịt xinh đẹp.

Tôi thích tưởng tượng thứ này trông giống như một con bạch tuộc - chỉ là một loạt cánh tay khua khoắng xung quanh.

---

VỊT. Tôi cho rằng trong lần cập nhật tiếp theo, anh ấy đã thử, anh ấy có một bàn tay nhân tạo trên một cây gậy dài, giữ nút ở một khoảng cách xa.

---

CHÓ. Có!

---

VỊT. Kinh khủng.

---

CHÓ. Mọi người hãy cẩn thận khi ở ngoài đó!

Nếu bạn có một Ồ! Không! bạn muốn gửi, chúng tôi muốn đọc nó trên podcast.

Bạn có thể gửi email tới tip@sophos.com. bạn có thể nhận xét về bất kỳ bài viết nào của chúng tôi hoặc liên hệ với chúng tôi trên mạng xã hội @NakedSecurity.

Đó là chương trình của chúng tôi ngày hôm nay – cảm ơn rất nhiều vì đã lắng nghe.

Đối với Paul Ducklin, tôi là Doug Aamoth, sẽ nhắc bạn cho đến lần sau hãy…

---

CHÓ. Giữ an toàn!
VỊT. Cập nhật sớm, cập nhật thường xuyên và Lùi lại!

---

CẢ HAI. [CON GÁI]

[CHẾ ĐỘ ÂM NHẠC]

---