《绝命毒师》将于本周播出。今天我们讨论:所有的世界都是一个多舞台,我的心的钥匙,《两个真相和一个谎言》
以下是我们讨论过的每篇文章中的一些亮点:
所有的世界都是一个多舞台
- AT&T Alien Labs发现了新的恶意软件,目标是运行Linux操作系统的终端和物联网设备
- 恶意软件下载并执行Metasploit的“Mettle”计量器,以最大限度地控制受感染的设备
- 对于那些可能不知道的人,坏人和道德黑客都使用Metasploit来寻找网络和服务器上的漏洞
- 链子,链子,链子(就像那首歌)
- Shikitega恶意软件使用多层感染链,分为三个阶段
- 阶段1很小,包含一个ELF文件,大约370字节,分为几个模块。虽然很小,但每个模块都有一个任务,包括下载上面提到的Metasploit计量器
- 在这个步骤中,特权被升级
- 当执行完成时,命令和控制(C2)服务器将进入一个shell命令,开始在目标计算机上执行
- 下载并执行5个不同的shell脚本,并通过设置4个crontab保存在系统中
- 在最后阶段,Shikitega下载并执行XMRing矿机
- 另外还设置了一个crontab,用于下载和执行C2服务器的加密矿工
- Shikitega恶意软件使用多层感染链,分为三个阶段
- 那么缓解措施呢?
- 建议的缓解措施相当标准
- 让你的软件保持最新
- 是否在所有端点中安装了防病毒或端点检测响应(EDR)
- 使用备份系统备份服务器文件
- 建议的缓解措施相当标准
我的心的钥匙
- 停止使用密码登录的承诺已经提出多年,苹果公司在9月12日(这是我们录制的日子!)发布iOS 16,朝着这一目标迈进了一大步。
- 密码的问题
- 好吧,这要追溯到古罗马,在那里凯撒发明了凯撒密码,虽然这在当时看起来是一个伟大的想法,但不久之后,人们就发现它相对容易破解,尤其是如果你把一把刀以正确的角度放在知道密码的人的喉咙上
- 我们真的还没有进化到那么远,除了这把刀现在被称为“社会工程”,但这只是问题的一个方面
- 最流行的密码仍然是“123456”和“password”这样的密码。以及其他一些人们认为很有创意的词,比如“password123456”或“Passw0rd”。换句话说,如果密码一开始就不那么容易猜到,那么通过字典攻击就很容易得到密码
- 还有一些实际问题。人们忘记了密码。人们在白板上写密码,然后在国际电视上用可见的白板做背景
- 因此,苹果正在实施被称为“passkey”的无密码功能
- 密码匙是PKI公钥基础设施的一种实现
- 这是一项以某种形式存在了几十年的技术——身份验证是通过位于公共场所的服务器上任何人都可以访问的公钥和用户保密的私钥之间的关系来完成的
- 只有同时使用这两个密钥,加密的数据才能被解密
- 在生成私钥的情况下,拥有私钥是一种身份验证形式。这种身份验证通过拥有持有该私钥的特定设备而得到加强
- 所以它的工作方式是,当你用最新版本的MacOS和iOS登录到一项服务时,你会被提示创建一个密钥,生成密钥时会使用进一步的身份验证,比如面部ID或触摸ID(或者可能,我怀疑,一个普通的旧密码)。因此,一旦你创建了密钥,只要你拥有你的苹果设备,你就有一种无密码的方式来访问资源
- 密码匙是PKI公钥基础设施的一种实现
- 谁创造了这个概念?
- 虽然苹果公司正在推出这个功能,但他们并不是发明者,尽管他们会因为大规模实现这些功能而获得赞誉,而这些功能对于大多数用户来说应该是相对无缝的
- 对于许多不研究这些东西的人来说,这在功能上等同于“发明”它,但它已经存在了一段时间
- 有一个名为FID联盟的行业联盟(FIDO代表快速ID在线),几年来一直与各种合作伙伴合作,推动超越密码。乐动首页这对他们的工作是一个很大的推动
- Passkey的概念如何增强安全性?
- 它肯定不是万能的,因为它不能解决恶意行为者对受保护设备的物理访问的问题。(现在,在某种程度上,这不是一个可以解决的问题,除非通过一些非常麻烦的连续身份验证概念,这些概念在短期内不太可能成为主流)
- 这里最大的优点是,这些私钥是一长串随机文本,在任何有意义的意义上都是不可猜测的,而且您不能像使用密码那样选择一个其他人都能猜到的蹩脚密钥。PKI已被证明是相当耐用和实用的。基本上,这项技术可以帮助解决密码的“一个”主要问题,即人类错误的密码操作
- Passkey可以在iPhone和Windows笔记本电脑等设备之间使用吗?
- 不,还记得FIDO联盟吗?它们是平台独立的。因此,虽然公共密钥存在于苹果服务器上,但这些密钥可以在其他设备上使用
- 最典型的方式是发送到你设备上的挑战以二维码的形式出现,你可以用手机扫描。然后你的手机通过蓝牙与你的Windows笔记本电脑通信,而不是通过TCP/IP网络。这非常重要,因为这意味着攻击者不能劫持QR码,然后导入你的密码。你是否拥有未解锁的iPhone对于跨平台模式的运作至关重要
- 该实现的接收
- 我们认为这将给这项技术一个很好的启动,因为很多人确实认识到密码是一个大麻烦——即使他们不关心密码的安全漏洞
- 但是,这里有一个主要的警告-您可能使用这些密钥进行身份验证的在线服务必须支持它们。这不会在一夜之间发生。但这是苹果最新操作系统的一个特性,这将给支持密钥的服务和应用程序带来很大的压力——比Linux或Solaris实现的压力要大得多。或者女性朋友。我开玩笑。
- 让我补充一下,至少有一个密码管理器,Dashlane,已经宣布支持。我敢肯定,其他公司也会跟进。
两个真理和一个谎言
介绍最新一期《绝命毒师》我们要玩一个你们可能都很熟悉的游戏,叫做两个真相和一个谎言,有一个有趣的转折。每周,我们都会准备三篇文章标题,其中两篇是真实的,一篇是,你猜对了,一个谎言。
你将会找到答案!
当前的记分板
本周帽衫/糖果量表
所有的世界都是一个多舞台
(泰勒):4.5/10的连帽衫
(Tim):5/10的连帽衫
我的心的钥匙
(泰勒):8/10好吃
(Tim):6/10好吃
这就是我们本周的全部内容,你可以在推特上找到我们@domaintools,我们播客中提到的所有文章都会出现在我们的播客综述中。太平洋时间周三上午9点,我们将发布下一期播客和博客。
*特别感谢John Roderick为我们提供了令人难以置信的播客音乐!
