NGHE NÈ
Nhấp và kéo vào các sóng âm thanh bên dưới để chuyển đến bất kỳ điểm nào. Bạn cũng có thể nghe trực tiếp trên Soundcloud.
Với Doug Aamoth và Paul Ducklin.
Nhạc giới thiệu và kết thúc bởi Edith Mudge.
Bạn có thể lắng nghe chúng tôi trên Soundcloud, Podcast của Apple, Google Podcasts, Spotify, người may quần áo và bất cứ nơi nào tìm thấy podcast tốt. Hoặc chỉ cần thả URL của nguồn cấp dữ liệu RSS của chúng tôi vào podcatcher yêu thích của bạn.
ĐỌC BẢNG BIỂU
CHÓ. Nhiều trò lừa đảo tống tiền hơn, nhiều hành vi trộm cắp tiền điện tử hơn và một bản sửa lỗi cho một bản sửa lỗi.
Tất cả những điều đó khác trên podcast Naked Security.
[CHẾ ĐỘ ÂM NHẠC]
Chào mừng mọi người đến với podcast.
Tôi là Doug Aamoth, và anh ấy là Paul Ducklin.
Paul, bạn làm thế nào?
VỊT. Tôi là siêu duper, cảm ơn, Douglas.
CHÓ. Chúng tôi muốn bắt đầu chương trình với một chút lịch sử công nghệ và tôi muốn nhắc bạn rằng tuần này, năm 2007, iPhone thế hệ đầu tiên đã được phát hành tại Hoa Kỳ.
Vào thời điểm hầu hết các điện thoại cao cấp được bán với giá 200 USD với hợp đồng dịch vụ không dây hai năm, iPhone có giá khởi điểm 500 USD với hợp đồng hai năm.
Nó cũng có tốc độ kết nối chậm hơn nhiều điện thoại vào thời điểm đó, với 2.5G hoặc EDGE, so với 3G.
Tuy nhiên, hai tháng rưỡi sau khi phát hành, Apple đã bán được một triệu chiếc iPhone.
Riêng ở Mỹ.
VỊT. Vâng, tôi đã quên chi tiết gai góc đó của EDGE 2 chấm-5!
Tôi chỉ nhớ mình đã nghĩ, "Bạn không thể nghiêm túc?"
Tôi đang ở Úc vào thời điểm đó, và chúng rất * đắt tiền *.
Tôi nghĩ đó vẫn là thời kỳ mà tôi chỉ gắn bó với thiết bị EDGE của mình… Tôi vẫn gọi nó là JAM JAR, nhưng nó thực sự được gọi là JASJAR hoặc JASJAM, hoặc một cái gì đó.
Một trong những thiết bị Windows CE bàn phím trượt.
Tôi là người duy nhất trên thế giới yêu thích nó… Tôi đã nghĩ rằng, tốt, ai đó phải làm như vậy.
Bạn có thể viết phần mềm của riêng mình cho nó - bạn chỉ cần biên dịch mã và đặt nó ở đó - vì vậy tôi nhớ mình đã nghĩ, thứ App Store này, chỉ 2.5GG, siêu đắt?
Nó sẽ không bao giờ bắt kịp.
Chà, thế giới chưa bao giờ giống nhau kể từ đó, đó là điều chắc chắn!
CHÓ. Nó không có!
Được rồi, nói về thế giới không giống nhau, chúng ta có nhiều trò gian lận hơn.
Cái này… tại sao tôi không đọc từ FTC về trò lừa đảo này?
FTC (Ủy ban Thương mại Liên bang tại Hoa Kỳ) cho biết bọn tội phạm thường làm những việc như sau:
“Một kẻ lừa đảo đóng giả là một đối tác lãng mạn tiềm năng trên ứng dụng hẹn hò LGBTQ +, trò chuyện với bạn, nhanh chóng gửi những bức ảnh khiêu dâm và đổi lại yêu cầu những bức ảnh tương tự.
Nếu bạn gửi ảnh, vụ tống tiền sẽ bắt đầu.
Họ đe dọa chia sẻ cuộc trò chuyện và hình ảnh của bạn với bạn bè, gia đình hoặc chủ nhân của bạn trừ khi bạn thanh toán, thường bằng thẻ quà tặng.
Những kẻ lừa đảo khác đe dọa những người đã đóng hoặc chưa hoàn toàn là LGBTQ +. Họ có thể gây áp lực buộc bạn phải trả tiền hoặc bị loại, cho rằng họ sẽ hủy hoại cuộc sống của bạn bằng cách để lộ những bức ảnh hoặc cuộc trò chuyện khiêu dâm.
Dù ở góc độ nào thì họ cũng theo đuổi một thứ là tiền của bạn ”.
Người đẹp ở đây, phải không?
VỊT. Đúng,. điều này thực sự khủng khiếp, phải không?
Và điều đặc biệt thu hút tôi về câu chuyện này là…
Một vài năm trước, điều quan trọng của loại này, như bạn còn nhớ, là thứ được gọi là "phân đoạn" hoặc "lừa đảo khiêu dâm", nơi kẻ gian sẽ nói, "Này, chúng tôi có một số ảnh chụp màn hình của việc bạn đang xem phim khiêu dâm và chúng tôi đã bật webcam của bạn cùng lúc. chúng tôi có thể làm điều này vì chúng tôi đã cấy phần mềm độc hại vào máy tính của bạn. Đây là một số bằng chứng ”, và họ có số điện thoại hoặc mật khẩu của bạn hoặc địa chỉ nhà riêng của bạn.
Tất nhiên, họ không bao giờ cho bạn xem video vì họ không có.
“Gửi tiền cho chúng tôi,” họ nói.
Chính xác là cùng một câu chuyện, ngoại trừ trường hợp đó, chúng tôi có thể đến gặp mọi người và nói, "Tất cả những lời nói dối, hãy quên nó đi."
Thật không may, điều này hoàn toàn ngược lại, phải không?
Họ * đã * có được bức ảnh… thật không may, bạn đã gửi nó cho họ, có thể đang nghĩ, “Chà, tôi chắc mình có thể tin tưởng người này.”
Hoặc có thể họ vừa nhận được món quà của chiếc gab, và họ bắt bạn vào đó, theo cách giống như những kẻ lừa đảo lãng mạn truyền thống… họ không muốn những bức ảnh khiêu dâm để tống tiền, họ muốn bạn phải lòng họ vì lâu dài, vì vậy họ có thể vắt sữa bạn kiếm tiền hàng tuần, hàng tháng, thậm chí hàng năm.
Nhưng thật khó là chúng ta có một loại lừa đảo tống tiền liên quan đến tình dục mà chúng ta có thể nói với mọi người rằng, “Đừng hoảng sợ, họ không thể tống tiền vì họ thực sự không có ảnh”…
… Và một ví dụ khác, thật không may, nó hoàn toàn ngược lại, bởi vì họ có ảnh.
Nhưng một điều bạn vẫn không nên làm là trả tiền, vì làm sao bạn biết được liệu họ có xóa bức ảnh đó hay không.
Tệ hơn nữa, làm sao bạn biết được, ngay cả khi họ thực sự là như vậy - Tôi không thể tin rằng tôi sẽ sử dụng những từ này - “kẻ gian đáng tin cậy”?
Ngay cả khi ý định của họ là xóa ảnh, làm thế nào để bạn biết họ không bị vi phạm dữ liệu?
Họ có thể đã mất dữ liệu rồi.
Bởi vì những kẻ trộm và kẻ gian mất uy tín với nhau là điều quá bình thường.
Chúng tôi đã thấy rằng với băng đảng ransomware Conti… các chi nhánh của họ đã rò rỉ toàn bộ nội dung vì họ đã thất bại với những người cốt lõi của nhóm, rõ ràng là.
Và rất nhiều cybercrook có bảo mật hoạt động kém.
Đã có bất kỳ trường hợp nào trong quá khứ mà kẻ gian cuối cùng bị bắt hoặc kết thúc bằng cách tiết lộ bí mật về phần mềm độc hại của họ vì hệ thống của họ, nơi họ được cho là giữ tất cả bí mật, vẫn rộng mở.
CHÓ. Vâng.
Tất nhiên, vào một thời điểm rất riêng tư và không chắc chắn trong cuộc sống của mọi người, khi cuối cùng họ đã tin tưởng một người mà họ chưa bao giờ gặp… và rồi điều này xảy ra.
Vì vậy, đó là một trong những mẹo của chúng tôi: Đừng trả tiền tống tiền.
Một mẹo khác: Cân nhắc sử dụng công cụ tìm kiếm yêu thích của bạn để tìm kiếm hình ảnh ngược lại.
VỊT. Có, rất nhiều người khuyên bạn nên điều đó cho tất cả các loại lừa đảo.
Rất phổ biến là kẻ gian sẽ lấy được lòng tin của bạn bằng cách chọn hồ sơ hẹn hò trực tuyến của một người mà chúng đã đánh giá trước rằng bạn có thể sẽ thích.
Họ đi và tìm một người thực sự có thể phù hợp với bạn, họ bóc tách hồ sơ của người đó, và họ xông vào, giả vờ là người đó.
Điều nào giúp họ có một khởi đầu rất tốt khi nói đến những âm mưu lãng mạn, phải không?
Và vì vậy, nếu bạn thực hiện tìm kiếm hình ảnh ngược lại và hồ sơ của người khác xuất hiện: bingo! Bạn đã phá họ!
Tin xấu là bạn không thể sử dụng điều đó để chứng minh bất cứ điều gì về mọi người…
… Nói cách khác, nếu bạn thực hiện tìm kiếm ngược lại và không có gì xuất hiện, điều đó không có nghĩa là người bạn đang nói chuyện thực sự là chủ sở hữu ban đầu của bức ảnh đó.
Tuy nhiên, chúng tôi đã có những người trên Naked Security bình luận rằng, “Tôi có một trong số này; Tôi đã tìm kiếm hình ảnh ngược lại; nó ngay lập tức đi ra trong quá trình rửa. Tìm kiếm ngược hoạt động thực sự hiệu quả đối với tôi. "
Bạn có thể đánh bại người nấu ăn ngay từ rào cản đầu tiên.
CHÓ. Vâng, tôi nghĩ rằng tôi đã chia sẻ điều này trong một trong những tập podcast đầu tiên mà chúng tôi đã làm…
Chúng tôi đã cố gắng thuê một ngôi nhà trượt tuyết, và nơi chúng tôi đang cố thuê trông hơi quá tốt so với giá cả.
Và vợ tôi đã gọi cho người đó để hỏi họ về điều đó, và rõ ràng đã đánh thức ai đó vào nửa đêm ở bên kia thế giới.
Khi cô ấy đang làm điều đó, tôi đã thả hình ảnh vào một tìm kiếm hình ảnh ngược, và đó là khách sạn Ritz Carlton ở Denver hoặc một cái gì đó tương tự.
Nó thậm chí còn không gần với nơi chúng tôi định thuê.
Vì vậy, điều này không chỉ có tác dụng với những trò lừa đảo lãng mạn - nó hoạt động đối với bất kỳ thứ gì chỉ có mùi tanh và có hình ảnh liên quan đến nó.
VỊT. Vâng.
CHÓ. ĐƯỢC RỒI. Và sau đó chúng tôi có mẹo: Hãy nhận biết trước khi bạn chia sẻ.
VỊT. Vâng, đó là một trong những tiếng leng keng nhỏ của chúng tôi.
Rất dễ nhớ.
Và, trên thực tế, nó không chỉ đúng với những trò lừa đảo tống tiền tình dục này, mặc dù, như bạn nói, nó đặc biệt rắc rối và nghe có vẻ ác độc trong những trường hợp như vậy.
Điều đó hoàn toàn đúng trong mọi trường hợp khi có ai đó mà bạn không chắc chắn - đừng cung cấp thông tin, vì bạn sẽ không thể lấy lại thông tin đó sau này.
Một khi bạn đã bàn giao dữ liệu, thì bạn không chỉ cần tin tưởng họ… bạn phải tin tưởng vào máy tính của họ, thái độ của họ đối với an ninh mạng và mọi thứ.
CHÓ. Điều đó phù hợp với mẹo tiếp theo của chúng tôi, đó là: Nếu nghi ngờ, đừng đưa ra.
VỊT. Có, tôi biết một số người nói, "Ồ, điều đó nghe có vẻ như bạn đang đổ lỗi cho nạn nhân."
Nhưng một khi bạn cung cấp dữ liệu của mình, bạn có thể * yêu cầu * lấy lại, nhưng bạn thực sự không thể làm được nhiều hơn thế.
Chia sẻ nội dung là điều tầm thường, nhưng không thể gọi lại sau đó.
CHÓ. Được rồi, chúng tôi có một số tài nguyên trong bài viết về cách báo cáo những trò gian lận như vậy dựa trên quốc gia bạn đang sống, điều này khá hữu ích.
VỊT. Có, chúng tôi đưa vào các URL báo cáo gian lận trực tuyến cho: Hoa Kỳ, Vương quốc Anh, Liên minh Châu Âu, Canada, Úc và New Zealand.
Mỹ là https://reportfraud.ftc.gov.
Và FTC, tất nhiên, về cơ bản là cơ quan bảo vệ quyền lợi người tiêu dùng ở Hoa Kỳ.
Tôi rất ngạc nhiên với trang web đó - tôi thấy nó rất dễ điều hướng.
Bạn có thể nhập nhiều hoặc ít thông tin tùy thích.
Rõ ràng, nếu bạn muốn theo dõi một trường hợp sau đó, thì bạn sẽ phải chia sẻ thông tin cho phép họ liên hệ lại với bạn - nói cách khác, sẽ rất khó để ẩn danh hoàn toàn.
Nhưng nếu bạn chỉ muốn nói, "Hãy nhìn xem, tôi đã mắc phải trò lừa đảo này, tôi phải là một trong một triệu người"…
… Nếu không ai nói gì, thì về cơ bản, về mặt thống kê, không có gì xảy ra.
Bạn có thể báo cáo mọi thứ và chỉ cần nói, “Tôi có URL này, tôi có số điện thoại này, tôi có thông tin này,” bất kể đó là gì và bạn có thể cung cấp nhiều hay ít tùy ý.
Và mặc dù đôi khi có cảm giác như báo cáo nội dung này có thể không tạo ra sự khác biệt - bởi vì rõ ràng nếu bạn không cung cấp địa chỉ email và chi tiết liên hệ của mình, bạn sẽ không nhận được bất kỳ câu trả lời nào cho biết liệu nó có hữu ích hay không - bạn chỉ cần có niềm tin.
Và ý kiến của tôi là: Tôi không thấy nó có thể gây hại như thế nào, và nó có thể tốt một chút.
Nó có thể giúp các nhà chức trách xây dựng một vụ án chống lại ai đó, trong đó, nếu không có một số báo cáo chứng thực, họ có thể thấy rất khó đạt được tiêu chuẩn pháp lý mà họ cần để thực sự làm điều gì đó về một tội phạm đặc biệt khó chịu.
CHÓ. OK, đó là: FTC cảnh báo LGBTQ + cộng với lừa đảo tống tiền: Hãy lưu ý trước khi chia sẻ”Trên nakedsecurity.sophos.com.
Và nói về nhận thức, khi nào chúng ta sẽ có một tuần mà chúng ta không biết về một số loại trộm cắp tiền điện tử?
100 triệu đô la nữa tan thành mây khói, Paul!
VỊT. Tôi không nhận ra đó là một câu hỏi tu từ.
Tôi định gọi và nói, "Không phải tuần này, Doug."
Trên thực tế, khi bạn nhìn vào tỷ giá hối đoái hiện tại của đô la Mỹ sang Ether, tôi tự hỏi liệu tỷ giá này có đáng để viết hay không. Doug?
Nó không hoàn toàn là 100 triệu đô la… Đó là, “Tôi không biết, 80 triệu đô la, 90 triệu đô la - nó gần như không đáng phải rời khỏi giường để viết về nó,” anh nói
rất gian xảo.
Vâng, đây là một thảm họa tài chính phi tập trung khác, hay De-Fi, một thảm họa của công ty.
Bạn sẽ không biết điều đó khi truy cập trang web của họ.
Công ty được gọi là Harmony - về cơ bản họ là một công ty hợp đồng thông minh blockchain… bạn truy cập vào trang web, và vẫn còn đầy đủ về mức độ tuyệt vời của họ.
Nếu bạn truy cập blog chính thức của họ từ trang web của họ, có một câu chuyện trên đó là “Báo cáo điều tra quỹ bị mất”.
Nhưng đó không phải là * những * tiền bị mất; đó là * những * tiền bị mất.
Đó là từ hồi tháng Giêng… Tôi nghĩ đó là “chỉ” một cái gì đó giống như một vụ hack 5 triệu đô la, thậm chí có thể ít hơn, Doug, mà ai đó đã kiếm được.
Và đó là câu chuyện cuối cùng trên blog của họ.
Công bằng mà nói, họ có thông tin trên Twitter về nó, và họ đã xuất bản một bài báo trên blog ở đâu đó trên Medium.com.
Có vẻ như họ có rất nhiều quỹ được khóa tập trung, các quỹ cần thiết để làm cho bánh xe hoạt động và để cho phép những thứ đó được di chuyển vào và ra, họ đang sử dụng cái gọi là “đa chữ ký” hoặc “đa chữ ký " cách tiếp cận.
Một khóa cá nhân sẽ không đủ để cho phép chuyển bất kỳ khoản tiền cụ thể nào trong số này.
Có năm người được ủy quyền, và hai người trong số họ phải tham gia cùng nhau, và rõ ràng mỗi khóa riêng được lưu trữ theo kiểu chia đôi.
Người đó có mật khẩu để mở khóa và họ cần lấy một số tài liệu quan trọng từ một máy chủ khóa và rõ ràng mỗi khóa riêng nằm trên một máy chủ khóa khác nhau.
Vì vậy, chúng tôi không biết nó đã xảy ra như thế nào ... đã có ai đó thông đồng với nhau? Hay ai đó chỉ nghĩ rằng họ sẽ thực sự thông minh và nói, "Này, tôi sẽ chia sẻ chìa khóa của tôi với bạn và bạn chia sẻ chìa khóa của bạn với tôi, đề phòng, như một bản dự phòng bổ sung?"
Dù sao thì kẻ gian cũng lấy được hai chìa khóa cá nhân chứ không phải một, vì vậy chúng có thể giả danh nhiều hơn một người, và chúng có thể mở khóa số tiền lớn này và chuyển nó cho chính mình.
Và điều đó đã cộng thêm Ether trị giá 80 triệu đô la Mỹ.
Và sau đó, có vẻ như, Harmony, giống như họ đã làm hồi tháng XNUMX khi họ có màn ra mắt trước đó… họ đã làm điều mà mọi người đang làm trong những ngày này.
“Ông White Hat thân mến, Lovely Crook thân mến, nếu ông gửi lại tiền, chúng tôi sẽ viết nó như một khoản tiền thưởng lỗi. Chúng tôi sẽ viết lại lịch sử và chúng tôi sẽ cố gắng không để bạn bị truy tố. Và chúng tôi sẽ nói rằng tất cả chỉ dưới danh nghĩa nghiên cứu, nhưng hãy trả lại tiền cho chúng tôi. "
Và bạn nghĩ, “Ồ, thật là tuyệt vọng,” nhưng tôi đoán đó là tất cả những gì họ phải thử.
CHÓ. Và tôi thích rằng họ đang cung cấp 1% những gì đã bị đánh cắp.
Và sau đó, đóng băng trên chiếc bánh là họ sẽ “ủng hộ không bị buộc tội hình sự” khi các khoản tiền được trả lại, điều này dường như khó đảm bảo.
VỊT. Vâng, tôi đoán đó là tất cả những gì họ có thể nói, phải không?
Chà, chắc chắn ở Anh, bạn có thể có những thứ gọi là khởi tố tư nhân - chúng không cần phải do nhà nước đưa ra.
Vì vậy, bạn có thể truy tố hình sự với tư cách cá nhân. hoặc với tư cách là một tổ chức từ thiện, hoặc với tư cách là một cơ quan công quyền, nếu nhà nước không muốn truy tố.
Nhưng bạn không hiểu ngược lại, khi bạn là nạn nhân của một tội ác và bạn nói, “Ồ, tôi biết gã đó. Anh say khướt mất trí. Anh ta đâm vào xe của tôi, nhưng anh ta đã sửa chữa nó. Đừng truy tố anh ấy ”.
Trạng thái có thể sẽ đi, “Bạn biết không? Nó thực sự không phụ thuộc vào bạn. ”
Dù sao, nó dường như không có hiệu quả.
Bất cứ ai đó là ai cũng đã chuyển một thứ như 17,000 Ether (tôi nghĩ chỉ là 20 triệu đô la Mỹ) ra khỏi tài khoản mà họ đã thu thập những thứ ban đầu.
Vì vậy, có vẻ như đây là tất cả những gì đang xảy ra. [LỪA ĐẢO]
Tôi không biết tại sao tôi lại cười, Doug.
CHÓ. Điều này cứ tiếp tục xảy ra!
Phải có một cách tốt hơn để khóa các tài khoản này.
Vì vậy, họ đã chuyển từ hai bên phải đồng ký kết thành bốn bên.
Bây giờ, điều đó có khắc phục được sự cố này không, hay điều này sẽ tiếp tục xảy ra?
VỊT. “Này, hai cái là không đủ. Chúng tôi sẽ đi đến bốn. ”
Chà, tôi không biết… điều đó có làm cho nó tốt hơn, hay tương tự, hay tệ hơn?
Vấn đề là, nó phụ thuộc vào cách kẻ gian, và tại sao kẻ gian có thể lấy được hai chìa khóa đó.
Có phải họ chỉ nhắm mục tiêu năm người và họ may mắn với hai trong số họ và thất bại với ba, trong trường hợp đó, bạn có thể lập luận rằng làm cho nó là XNUMX/XNUMX thay vì XNUMX/XNUMX sẽ nâng cao mức a xa hơn một chút.
Nhưng điều gì sẽ xảy ra nếu chính hệ thống, cách mà chúng thực sự sắp xếp các phím, là lý do khiến kẻ gian lấy được hai trong số chúng… điều gì sẽ xảy ra nếu chỉ có một điểm hỏng đối với bất kỳ số lượng khóa nào?
Và đó chỉ là những gì chúng ta không biết, vì vậy chỉ cần đi từ hai đến bốn… Nó không nhất thiết giải quyết được vấn đề.
Theo cách giống hệt như nếu ai đó đánh cắp điện thoại của bạn và họ đoán mã khóa của bạn và bạn có sáu chữ số, bạn nghĩ, “Tôi biết, tôi sẽ chuyển đến một mã khóa mười chữ số. Như vậy sẽ đảm bảo hơn rất nhiều! ”
Nhưng nếu lý do kẻ gian lấy được mã khóa của bạn là do bạn có thói quen viết nó ra một tờ giấy và để nó trong hộp thư đề phòng bạn bị khóa trái trong nhà… chúng sẽ quay lại và lấy. mã khóa 20 chữ số, 5000 chữ số, XNUMX chữ số.
CHÓ. Được rồi, chúng tôi sẽ theo dõi điều đó.
Và điều gì đó cho tôi biết đây sẽ không phải là câu chuyện cuối cùng trong số những câu chuyện này.
Điều này được gọi là: Harmony Blockchain mất gần 100 triệu đô la do khóa cá nhân bị tấn công, trên nakedsecurity.sophos.com.
Và bây giờ chúng tôi đã có một bản sửa lỗi cho một bản sửa lỗi trong OpenSSL.
VỊT. Vâng, chúng tôi đã nói về OpenSSL vài lần trên podcast, chủ yếu là vì nó là một trong những thư viện mật mã của bên thứ ba phổ biến nhất hiện có.
Vì vậy, rất nhiều phần mềm sử dụng nó.
Và vấn đề là khi nó bị lỗi, có rất nhiều hệ điều hành (đặc biệt là rất nhiều hệ điều hành Linux được bán kèm với nó) cần phải cập nhật.
Và ngay cả trên các nền tảng có các thư viện mật mã riêng biệt, như Windows và hệ điều hành macOS trên thế giới, bạn vẫn có thể có các ứng dụng mang theo bản sao OpenSSL của riêng chúng, được biên dịch hoặc đưa vào thư mục ứng dụng.
Bạn cũng cần phải cập nhật chúng.
Bây giờ, may mắn thay, đây không phải là một lỗi siêu nguy hiểm, nhưng nó là một loại lỗi khó chịu, một lời nhắc nhở tuyệt vời cho các nhà phát triển phần mềm rằng đôi khi quỷ dữ trong các chi tiết xung quanh mã cúp.
Lỗi này là một phiên bản khác của lỗi đã được sửa trong bản sửa lỗi trước đó - nó thực sự nằm trong một tập lệnh đi kèm với OpenSSL, mà một số hệ điều hành sử dụng, tạo ra một hàm băm đặc biệt có thể tìm kiếm, một chỉ mục, của các chứng chỉ “cơ quan cấp chứng chỉ” hệ thống .
Vì vậy, đó là một tập lệnh đặc biệt mà bạn chạy có tên là c_rehash, viết tắt của “certificate rehash”.
Và cần một thư mục với danh sách các chứng chỉ có tên của những người đã cấp chúng và chuyển nó thành một danh sách dựa trên các hàm băm, rất thuận tiện cho việc tìm kiếm và lập chỉ mục.
Vì vậy, một số hệ điều hành chạy tập lệnh này thường xuyên như một sự tiện lợi.
Và hóa ra là nếu bạn có thể tạo chứng chỉ với một cái tên kỳ lạ với các ký tự đặc biệt kỳ diệu trong đó, giống như "dấu ngoặc tròn ký hiệu đô la" trong Follina hoặc "dấu ngoặc vuông ký hiệu đô la" trong Nhật ký4Shell… Về cơ bản họ sẽ lấy tên tệp ra khỏi đĩa và họ sẽ sử dụng nó một cách mù quáng như một đối số dòng lệnh của trình bao lệnh.
Bất kỳ ai đã viết các lệnh Unix shell hoặc các lệnh shell của Windows. biết rằng một số ký tự có các siêu cường đặc biệt, chẳng hạn như "dấu ngoặc tròn ký hiệu đô la" và dấu "lớn hơn", ghi đè tệp và ký tự "ống dẫn", cho biết gửi đầu ra vào một lệnh khác và chạy nó.
Vì vậy, nếu bạn thích, nó là, nếu bạn muốn, chú ý đến chi tiết trong một tập lệnh phụ không thực sự là một phần của thư viện mật mã.
Về cơ bản, đây chỉ là một tập lệnh mà nhiều người có lẽ chưa bao giờ xem xét, nhưng nó đã được OpenSSL chuyển giao; được đóng gói với nó trong nhiều hệ điều hành; đưa vào một vị trí hệ thống nơi nó có thể thực thi được; và được hệ thống sử dụng cho cái mà bạn có thể gọi là “quản lý mật mã hữu ích”.
Vì vậy, phiên bản bạn muốn là 3.0.4, hoặc là 1.1.1p (P-cho-cha).
Nhưng phải nói rằng, trong khi chúng tôi đang ghi lại điều này, có một vấn đề lớn đang xảy ra về sự cần thiết của OpenSSL 3.0.5, một lỗi hoàn toàn khác - lỗi tràn bộ đệm trong một số tính toán mật mã RSA được tăng tốc đặc biệt, có thể sẽ cần sửa .
Vì vậy, vào thời điểm bạn nghe thấy điều này, nếu bạn đang sử dụng OpenSSL 3, có thể có một bản cập nhật khác!
Mặt tốt, tôi cho rằng, Doug, là khi những điều này được chú ý, nhóm OpenSSL dường như nắm bắt được vấn đề và đưa ra các bản vá lỗi khá nhanh chóng.
CHÓ. Thật tuyệt.
Chúng tôi sẽ theo dõi điều đó và theo dõi 3.0.5.
VỊT. Có!
Chỉ cần rõ ràng, khi 3.0.5, sẽ không có 1.1.1q phù hợp (Q-forQuebec), bởi vì lỗi này là một mã mới được giới thiệu trong OpenSSL 3.
Và nếu bạn đang tự hỏi ... giống như iPhone chưa bao giờ có iPhone 2, không có OpenSSL 2.
CHÓ. Được rồi, chúng tôi có một số lời khuyên, bắt đầu với: Cập nhật OpenSSL ngay khi bạn có thể, chắc chắn.
VỊT. Vâng.
Mặc dù điều này không có trong thư viện mật mã nhưng trong một tập lệnh, bạn cũng có thể cập nhật, bởi vì nếu hệ điều hành của bạn có gói OpenSSL, thì tập lệnh lỗi này gần như chắc chắn sẽ nằm trong đó.
Và nó có thể sẽ được cài đặt ở nơi mà ai đó có sở thích tồi tệ nhất của bạn có thể có được nó, thậm chí có thể từ xa, nếu họ thực sự muốn.
CHÓ. OK, với điều đó: Cân nhắc việc nghỉ hưu c_rehash tiện ích nếu bạn đang sử dụng nó.
VỊT. Vâng, c_rehash đó thực sự là một tập lệnh perl kế thừa chạy các chương trình khác không an toàn.
Bây giờ bạn thực sự có thể sử dụng một phần tích hợp của chính ứng dụng OpenSSL: openssl rehash.
Nếu bạn muốn biết thêm về điều đó, bạn có thể nhập openssl rehash -help.
CHÓ. Được rồi.
Và sau đó, chúng tôi đã nói hết lần này đến lần khác: Vệ sinh đầu vào và đầu ra của bạn.
VỊT. Chắc chắn rồi.
Đừng bao giờ cho rằng thông tin đầu vào mà bạn nhận được từ người khác là an toàn để sử dụng giống như bạn nhận được.
Và khi bạn đã xử lý dữ liệu mà bạn nhận được từ nơi khác hoặc bạn đã đọc từ một nơi khác và bạn sẽ chuyển nó cho người khác, hãy làm điều tốt và kiểm tra xem bạn có đang chuyển chúng không thông tin dud đầu tiên.
Rõ ràng, bạn sẽ hy vọng rằng họ sẽ kiểm tra đầu vào của họ, nhưng nếu bạn cũng kiểm tra đầu ra của mình, thì điều đó chỉ đảm bảo chắc chắn gấp đôi!
CHÓ. ĐƯỢC RỒI. Và cuối cùng: Hãy cảnh giác với nhiều lỗi khi xem lại mã cho các loại lỗi cụ thể.
VỊT. Vâng, tôi nghĩ rằng điều đó đáng để nhắc nhở mọi người.
Bởi vì có một lỗi, nơi Perl thực hiện cái gọi là thay thế lệnh, có nội dung "Chạy lệnh bên ngoài này với các đối số này, lấy đầu ra và sử dụng đầu ra như một phần của lệnh mới."
Đó là khi gửi các đối số cho lệnh đó, đã xảy ra lỗi và điều đó đã được vá: một hàm đặc biệt đã được viết để kiểm tra các đầu vào đúng cách.
Nhưng có vẻ như không ai xem xét thực sự cẩn thận và nói, "Có phải người viết tiện ích này ban đầu đã sử dụng một thủ thuật lập trình tương tự ở nơi khác không?"
Nói cách khác, có thể chúng chuyển sang một chức năng hệ thống ở nơi khác trong cùng một đoạn mã… và nếu bạn xem xét kỹ hơn, bạn sẽ tìm thấy nó.
Có nơi họ thực hiện phép tính băm bằng chương trình bên ngoài và có nơi họ thực hiện sao chép tệp bằng hàm bên ngoài.
Một chiếc đã được kiểm tra và sửa chữa, nhưng chiếc còn lại vẫn chưa được tìm thấy.
CHÓ. Được rồi, lời khuyên tốt!
Bài báo đó có tên: OpenSSL đưa ra một bản sửa lỗi cho bản sửa lỗi trước đó, trên nakedsecurity.sophos.com.
Và, khi mặt trời dần lặn trong buổi biểu diễn của chúng ta hôm nay, chúng ta hãy lắng nghe ý kiến từ một trong những độc giả của chúng ta về bài báo OpenSSL mà chúng ta vừa thảo luận.
Người đọc Larry liên kết đến một truyện tranh Web XKCD có tên Khai thác của một người mẹ… Tôi cầu xin bạn hãy đi tìm nó.
Tôi nhận ra rằng tôi đang cố gắng giải thích bằng lời một truyện tranh trên web không thực sự là thức ăn tuyệt vời cho podcast, vì vậy hãy truy cập https://xkcd.com/327 và tự mình xem.
VỊT. Tất cả những gì bạn cần làm, Doug, bởi vì nhiều người nghe sẽ nghĩ, “Tôi thành thật hy vọng rằng ai đó sẽ nhận xét điều này”… Tôi đã!
Đó là một về Bàn Little Bobby!
CHÓ. Được rồi…
VỊT. Nó trở thành một loại meme internet theo đúng nghĩa của nó.
CHÓ. Khung cảnh mở ra.
Một người mẹ nhận được một cuộc điện thoại từ trường học của con trai cô ấy nói rằng, “Xin chào, đây là trường học của con trai bạn. Chúng tôi đang gặp một số sự cố máy tính ”.
Và cô ấy nói, "Ồ, anh ấy đã làm vỡ cái gì đó?"
Và họ nói, “Theo một cách nào đó. Bạn đã thực sự đặt tên cho con trai của bạn Robert'); DROP TABLE Students;--? "
“Ồ, vâng. Bàn Little Bobby, chúng tôi gọi anh ấy. ”
Và họ nói, “Chà, chúng tôi đã mất hồ sơ học sinh năm nay. Tôi hi vọng bạn hạnh phuc."
Và cô ấy nói, "Và tôi hy vọng bạn đã học cách làm sạch đầu vào cơ sở dữ liệu của mình."
Rất tốt.
VỊT. Một bà mẹ nghịch ngợm một chút… hãy nhớ rằng, chúng tôi đang nói rằng hãy vệ sinh đầu vào * và đầu ra của bạn *, vì vậy đừng cố gắng kích hoạt lỗi chỉ để trở thành một chiếc quần thông minh.
Nhưng cô ấy đúng.
Họ không nên chỉ lấy bất kỳ dữ liệu cũ nào mà họ được cung cấp, tạo một chuỗi lệnh với nó và cho rằng tất cả sẽ ổn.
Bởi vì không phải ai cũng chơi theo luật.
CHÓ. Đó là từ năm 2007, và nó vẫn được duy trì!
Nếu bạn có một câu chuyện, nhận xét hoặc câu hỏi thú vị mà bạn muốn gửi, chúng tôi rất muốn đọc nó trên podcast.
Bạn có thể gửi email tips@sophos.com; bạn có thể bình luận về bất kỳ bài báo nào của chúng tôi; hoặc bạn có thể đánh chúng tôi trên mạng xã hội: @nakedsecurity.
Đó là chương trình của chúng tôi cho ngày hôm nay.
Cảm ơn bạn rất nhiều vì đã lắng nghe… vì Paul Ducklin, tôi là Doug Aamoth, sẽ nhắc bạn cho đến lần sau để…
CẢ HAI. … Giữ an toàn!
[CHẾ ĐỘ ÂM NHẠC]
