Δεν υπάρχει πρόγραμμα αναπαραγωγής ήχου παρακάτω; Ακούω κατευθείαν στο Soundcloud.

---

ΖΥΜΗ.  Επιδιόρθωση με το χέρι, δύο περίπου μηδενικές ημέρες της Microsoft και "Προσοχή με αυτό το αρχείο, Eugene".

Όλα αυτά και πολλά άλλα στο podcast του Naked Security.

[ΜΟΥΣΙΚΟ ΜΟΝΤΕΜ]

Καλώς ήρθατε στο podcast, όλοι.

Είμαι ο Doug Aamoth. είναι ο Paul Ducklin.

Παύλο, πώς τα πας σήμερα;

---

ΠΑΠΙΑ.  Κάνατε νύξη σε Οι Pink Floyd?

---

ΖΥΜΗ.  *Ο* Pink Floyd, ναι!

---

ΠΑΠΙΑ.  Αυτό είναι το όνομα με το οποίο ήταν αρχικά γνωστοί, πιστεύω.

---

ΖΥΜΗ.  Αλήθεια?

---

ΠΑΠΙΑ.  Έριξαν το "The" γιατί νομίζω ότι εμπόδισε.

Οι Pink Floyd.

---

ΖΥΜΗ.  Αυτό είναι ένα διασκεδαστικό γεγονός!

Και όπως θα το είχε η τύχη, έχω κι άλλα ΑΣΤΕΙΑ ΓΕΓΟΝΟΤΑ για σενα…

Ξέρετε ότι ξεκινάμε την παράσταση Αυτή η εβδομάδα στην ιστορία της τεχνολογίας, και έχουμε ένα δίποντο σήμερα.

Αυτή την εβδομάδα, στις 17 Ιουλίου 2002, η Apple κυκλοφόρησε το "iCal": λογισμικό ημερολογίου που παρουσίαζε κοινή χρήση ημερολογίων μέσω Διαδικτύου και τη δυνατότητα διαχείρισης πολλαπλών ημερολογίων.

Το "JUL 17" εμφανιζόταν σε περίοπτη θέση στο εικονίδιο της εφαρμογής, γεγονός που οδήγησε μάλιστα την 17η Ιουλίου να ανακηρυχθεί η Παγκόσμια Ημέρα Emoji, που καθιερώθηκε το 2014.

Είναι αρκετά καταρράκτη, Παύλο!

---

ΠΑΠΙΑ.  Αν και. στο iPhone σας, θα παρατηρήσετε ότι το εικονίδιο αλλάζει στη σημερινή ημερομηνία, γιατί είναι πολύ βολικό.

Και θα παρατηρήσετε ότι άλλοι πάροχοι υπηρεσιών μπορεί να έχουν επιλέξει ή όχι διαφορετικές ημερομηνίες, γιατί «γιατί να αντιγράψετε τον ανταγωνισμό σας», πράγματι.

---

ΖΥΜΗ.  Εντάξει, ας μπούμε σε αυτό.

Θα μιλήσουμε για την πρώτη μας ιστορία.

Πρόκειται για τη Zimbra και τις περιπέτειες μέσα δημιουργία σεναρίων μεταξύ ιστοτόπων.

Παλιό καλό XSS, Paul:

Προειδοποίηση Zimbra Collaboration Suite: Επιδιορθώστε αυτήν τη 0-ημέρα τώρα (με το χέρι)!

---

ΠΑΠΙΑ.  Ναί.

Εκεί μπορείτε ουσιαστικά να χακάρετε έναν ιστότοπο για να συμπεριλάβετε αδίστακτα JavaScript χωρίς να εισβάλετε στον ίδιο τον διακομιστή.

Εκτελείτε κάποια ενέργεια ή δημιουργείτε κάποιον σύνδεσμο προς αυτόν τον ιστότοπο, που εξαπατά τον ιστότοπο να συμπεριλάβει περιεχόμενο στην απάντησή του που δεν αναφέρει απλώς, για παράδειγμα, τον όρο αναζήτησης που πληκτρολογήσατε, όπως My Search Term, αλλά περιλαμβάνει πρόσθετο κείμενο που δεν θα έπρεπε να υπάρχει, όπως My search <script> rogue JavaScript </script>.

Με άλλα λόγια, ξεγελάτε έναν ιστότοπο για να εμφανίσει περιεχόμενο, με τη δική του διεύθυνση URL στη γραμμή διευθύνσεων, που περιέχει μη αξιόπιστη JavaScript σε αυτήν.

Και αυτό σημαίνει ότι το JavaScript που έχετε εισάγει κρυφά έχει στην πραγματικότητα πρόσβαση σε όλα τα cookies που ορίζονται από αυτόν τον ιστότοπο.

Άρα μπορεί να τα κλέψει. μπορεί να κλέψει προσωπικά δεδομένα. και, ακόμα πιο σημαντικό, μπορεί πιθανώς να κλέψει διακριτικά ελέγχου ταυτότητας και τέτοια πράγματα για να αφήσει τους απατεώνες να επιστρέψουν την επόμενη φορά.

---

ΖΥΜΗ.  Εντάξει, τι έκανε η Zimbra σε αυτή την περίπτωση;

---

ΠΑΠΙΑ.  Λοιπόν, τα καλά νέα είναι ότι αντέδρασαν γρήγορα γιατί, φυσικά, ήταν μια ημέρα μηδέν.

Οι απατεώνες το χρησιμοποιούσαν ήδη.

Έτσι, ακολούθησαν την ελαφρώς ασυνήθιστη προσέγγιση λέγοντας: «Έχουμε το έμπλαστρο που έρχεται. Θα το αποκτήσεις αρκετά σύντομα».

Αλλά είπαν, αρκετά στοχαστικά, "Κατανοούμε ότι μπορεί να θέλετε να αναλάβετε δράση νωρίτερα παρά αργότερα."

Τώρα, δυστυχώς, αυτό σημαίνει να γράψετε ένα δικό σας σενάριο για να μεταβείτε και να επιδιορθώσετε μια γραμμή κώδικα σε ένα αρχείο στη διανομή προϊόντος σε όλους τους κόμβους του γραμματοκιβωτίου σας.

Αλλά είναι μια πολύ μικρή και απλή λύση.

Και, φυσικά, επειδή είναι μία γραμμή, μπορείτε εύκολα να αλλάξετε το αρχείο ξανά σε αυτό που ήταν, εάν δημιουργούσε προβλήματα.

Αν ήθελες να ξεπεράσεις τους απατεώνες, θα μπορούσες να το κάνεις χωρίς να περιμένεις να πέσει η πλήρης κυκλοφορία…

---

ΖΥΜΗ.  Και τι αίσθηση ολοκλήρωσης, επίσης!

Πάει καιρός από τότε που καταφέραμε να σηκώσουμε τα μανίκια και απλά να μπαλώσουμε με το χέρι κάτι τέτοιο.

Είναι σαν να φτιάχνεις τον νεροχύτη το πρωί του Σαββάτου… απλά νιώθεις καλά μετά.

Οπότε, αν ήμουν χρήστης του Zimbra, θα το πηδούσα όλο αυτό μόνο και μόνο επειδή μου αρέσει να το πιάνω στα χέρια μου… [ΓΕΛΙΑ]

---

ΠΑΠΙΑ.  Και, σε αντίθεση με το μπάλωμα του νεροχύτη, δεν υπήρχε σύρσιμο σε στενά ντουλάπια και δεν υπήρχε κίνδυνος να πλημμυρίσετε ολόκληρη την ιδιοκτησία σας.

Η επιδιόρθωση ήταν σαφής και καλά καθορισμένη.

Μια γραμμή κώδικα άλλαξε σε ένα αρχείο.

---

ΖΥΜΗ.  Εντάξει, λοιπόν, αν είμαι προγραμματιστής, ποια είναι μερικά βήματα που μπορώ να κάνω για να αποφύγω τη δημιουργία σεναρίων μεταξύ τοποθεσιών όπως αυτό;

---

ΠΑΠΙΑ.  Λοιπόν, το ωραίο με αυτό το σφάλμα, Doug, είναι ότι λειτουργεί σχεδόν ως τεκμηρίωση για το είδος των πραγμάτων που πρέπει να προσέξετε στο σενάριο μεταξύ τοποθεσιών.

Η ενημερωμένη έκδοση κώδικα δείχνει ότι υπάρχει ένα στοιχείο από την πλευρά του διακομιστή που απλώς έπαιρνε μια συμβολοσειρά και χρησιμοποιούσε αυτήν τη συμβολοσειρά μέσα σε μια φόρμα ιστού που θα εμφανιζόταν στο άλλο άκρο, στο πρόγραμμα περιήγησης του χρήστη.

Και μπορείτε να δείτε ότι αυτό που κάνει το πρόγραμμα *τώρα* (το συγκεκριμένο λογισμικό είναι γραμμένο σε Java)… καλεί μια συνάρτηση escapeXML(), που είναι, αν θέλετε, ο Ένας αληθινός τρόπος για να πάρετε μια συμβολοσειρά κειμένου που θέλετε να εμφανίσετε και να βεβαιωθείτε ότι δεν υπάρχουν μαγικοί χαρακτήρες XML ή HTML εκεί που θα μπορούσαν να ξεγελάσουν το πρόγραμμα περιήγησης.

Ειδικότερα: λιγότερο από (<) μεγαλύτερος από (>) σύμφωνο (&) διπλό απόσπασμα (") ή μεμονωμένο απόσπασμα, επίσης γνωστό ως απόστροφο (').

Αυτοί μετατρέπονται σε μακράς μορφής, ασφαλείς κώδικες HTML.

Αν μπορώ να χρησιμοποιήσω το τυπικό μας κλισέ Naked Security, Doug: Απολυμάνετε τις εισροές σας είναι η ουσία εδώ.

---

ΖΥΜΗ.  Ωωω, το λατρεύω αυτό!

Εξαιρετική. ας προχωρήσουμε στο Pink Floyd, προφανώς... περιμέναμε όλη αυτή την παράσταση.

Αν οι Pink Floyd ήταν ερευνητές κυβερνοασφάλειας, είναι διασκεδαστικό να φανταστεί κανείς ότι μπορεί να έγραψαν ένα τραγούδι επιτυχίας που ονομάζεται "Προσοχή με αυτό το αρχείο, EugeneΑντίθετα, Παύλος. [Οι Pink Floyd παρήγαγαν διάσημα ένα τραγούδι που ονομάζεται Προσοχή με αυτό το τσεκούρι, Ευγένιος.]

Το Google Virus Total διαρρέει λίστα τρομακτικών διευθύνσεων ηλεκτρονικού ταχυδρομείου

---

ΠΑΠΙΑ.  Πράγματι.

Η "Προσοχή με αυτό το αρχείο" είναι μια υπενθύμιση ότι μερικές φορές, όταν ανεβάζετε ένα αρχείο σε μια ηλεκτρονική υπηρεσία, εάν επιλέξετε το λάθος, μπορεί να καταλήξετε να αναδιανείμετε το αρχείο αντί, για παράδειγμα, να το ανεβάσετε για ασφαλή αποθήκευση.

Ευτυχώς, δεν έγινε πολύ κακό σε αυτή την περίπτωση, αλλά αυτό ήταν κάτι που συνέβη στην υπηρεσία Virus Total της Google.

Οι ακροατές πιθανότατα θα ξέρουν ότι το Virus Total είναι μια πολύ δημοφιλής υπηρεσία όπου, εάν έχετε ένα αρχείο που είτε γνωρίζετε ότι είναι κακόβουλο λογισμικό και θέλετε να μάθετε πώς το ονομάζουν πολλά διαφορετικά προϊόντα (έτσι να ξέρετε τι να αναζητήσετε στα αρχεία καταγραφής απειλών) ή αν σκέφτεστε, "Ίσως θέλω να φέρω το δείγμα με ασφάλεια σε όσο το δυνατόν περισσότερους προμηθευτές, όσο το δυνατόν γρηγορότερα"…

…μετά ανεβάζετε στο Virus Total.

Το αρχείο πρόκειται να διατεθεί σχεδόν αμέσως σε δεκάδες εταιρείες κυβερνοασφάλειας.

Αυτό δεν είναι ακριβώς το ίδιο με τη μετάδοσή του στον κόσμο ή τη μεταφόρτωσή του σε έναν διαδικτυακό κάδο αποθήκευσης cloud, αλλά η υπηρεσία *προορίζεται* να μοιράζεται αυτό το αρχείο με άλλα άτομα.

Και δυστυχώς, φαίνεται ότι ένας υπάλληλος μέσα στο Virus Total ανέβασε κατά λάθος ένα εσωτερικό αρχείο που ήταν μια λίστα με διευθύνσεις email πελατών στην πύλη Virus Total και όχι σε οποιαδήποτε πύλη υποτίθεται ότι θα χρησιμοποιούσαν.

Τώρα, ο πραγματικός λόγος για τη συγγραφή αυτής της ιστορίας, Νταγκ, είναι αυτός.

Πριν γελάσεις? πριν δείξετε τα δάχτυλα. πριν πείτε, «Τι σκέφτονταν;»…

..σταμάτα και κάνε στον εαυτό σου αυτή τη μία ερώτηση.

«Έχω στείλει ποτέ ένα email στο λάθος άτομο κατά λάθος;» [ΓΕΛΙΟ]

Αυτή είναι μια ρητορική ερώτηση. [ΠΕΡΙΣΣΟΤΕΡΟ ΓΕΛΙΟ]

Όλοι το έχουμε κάνει…

---

ΖΥΜΗ.  Είναι ρητορικό!

---

ΠΑΠΙΑ.  …μερικοί από εμάς περισσότερες από μία φορές. [ΓΕΛΙΟ]

Και αν το έχετε κάνει ποτέ αυτό, τότε τι είναι αυτό που εγγυάται ότι δεν θα ανεβάσετε ένα αρχείο στον λάθος *διακομιστή* κατά λάθος, κάνοντας παρόμοιο είδος σφάλματος;

Είναι μια υπενθύμιση ότι υπάρχουν πολλά ολισθήματα, Ντάγκλας, ανάμεσα στο φλιτζάνι και το χείλος.

---

ΖΥΜΗ.  Εντάξει, έχουμε κάποιες συμβουλές για τους καλούς ανθρώπους εδώ, ξεκινώντας από, θα έλεγα, αναμφισβήτητα μια από τις πιο μη δημοφιλείς συμβουλές μας: Αποσυνδεθείτε από διαδικτυακούς λογαριασμούς όποτε δεν τους χρησιμοποιείτε πραγματικά.

---

ΠΑΠΙΑ.  Ναί.

Τώρα, κατά ειρωνικό τρόπο, αυτό μπορεί να μην βοήθησε σε αυτήν την περίπτωση, επειδή, όπως μπορείτε να φανταστείτε, το Virus Total έχει σχεδιαστεί ειδικά έτσι ώστε οποιοσδήποτε να μπορεί να *ανεβάζει* αρχεία (επειδή προορίζονται να κοινοποιηθούν για το καλό όλων, γρήγορα, σε άτομα που πρέπει να τα δουν), αλλά μόνο έμπιστοι πελάτες μπορούν να *κατεβάσουν* πράγματα (επειδή η υπόθεση είναι ότι δεν υπάρχει κακόβουλο λογισμικό σε εμένα).

Αλλά όταν σκέφτεστε τον αριθμό των τοποθεσιών στους οποίους πιθανώς παραμένετε συνδεδεμένοι όλη την ώρα, αυτό απλώς κάνει πιο πιθανό να πάρετε το σωστό αρχείο και να το ανεβάσετε σε λάθος μέρος.

Εάν δεν είστε συνδεδεμένοι σε έναν ιστότοπο και προσπαθήσετε να ανεβάσετε ένα αρχείο εκεί κατά λάθος, τότε θα λάβετε μια προτροπή σύνδεσης…

…και θα σε προστατέψεις από τον εαυτό σου!

Είναι μια φανταστικά απλή λύση, αλλά όπως λέτε, είναι επίσης εξωφρενικά αντιδημοφιλής επειδή είναι μέτρια άβολη. [ΓΕΛΙΟ]

---

ΖΥΜΗ.  Ναι!

---

ΠΑΠΙΑ.  Μερικές φορές, ωστόσο, πρέπει να πάρετε ένα για την ομάδα.

---

ΖΥΜΗ.  Για να μην μεταφέρουμε όλο το βάρος στους τελικούς χρήστες: Εάν ανήκετε στην ομάδα IT, εξετάστε το ενδεχόμενο να θέσετε στοιχεία ελέγχου σχετικά με το ποιοι χρήστες μπορούν να στείλουν τι είδους αρχεία σε ποιον.

---

ΠΑΠΙΑ.  Δυστυχώς, αυτό το είδος αποκλεισμού δεν είναι δημοφιλές, αν θέλετε για τον λόγο που δεν αρέσει στους χρήστες να αποσυνδέονται από λογαριασμούς όταν δεν τους χρησιμοποιούν.

Όταν το IT εμφανιστεί και πει, "Ξέρετε τι, θα ενεργοποιήσουμε τα τμήματα Αποτροπής απώλειας δεδομένων [DLP] του προϊόντος μας για την ασφάλεια στον κυβερνοχώρο"…

…οι άνθρωποι πάνε, «Λοιπόν, αυτό είναι άβολο. Κι αν μπει εμπόδιο; Τι γίνεται αν παρεμβαίνει στη ροή εργασίας μου; Τι γίνεται αν μου προκαλεί ταλαιπωρία; Δεν μου αρέσει!»

Έτσι, πολλά II
Τα τμήματα Τ μπορεί να καταλήξουν να παραμείνουν λίγο ντροπαλά να παρεμβαίνουν στη ροή εργασίας όπως αυτό.

Αλλά, Doug, όπως είπα στο άρθρο, θα έχετε πάντα μια δεύτερη ευκαιρία να στείλετε ένα αρχείο που δεν θα σβήσει την πρώτη φορά, διαπραγματεύοντας με το IT, αλλά ποτέ δεν έχετε την ευκαιρία να αναιρέσετε την αποστολή ενός αρχείου που δεν έπρεπε να σβήσει καθόλου.

---

ΖΥΜΗ.  [ΓΕΛΙΑ] Ακριβώς!

Εντάξει, καλές συμβουλές υπάρχουν.

Τα τελευταία ιστορία, αλλά σίγουρα όχι λιγότερο σημαντικό.

Παύλο, δεν χρειάζεται να σου το υπενθυμίσω, αλλά πρέπει να το υπενθυμίσουμε στους άλλους…

…η εφαρμοσμένη κρυπτογραφία είναι δύσκολη, η τμηματοποίηση ασφαλείας είναι δύσκολη και η αναζήτηση απειλών είναι δύσκολη.

Τι σχέση έχουν όλα αυτά με τη Microsoft;

Η Microsoft χτυπήθηκε από την εποχή της καταιγίδας – μια ιστορία δύο ημι-μηδενικών ημερών

---

ΠΑΠΙΑ.  Λοιπόν, υπήρξαν πολλές ειδήσεις στα μέσα ενημέρωσης πρόσφατα σχετικά με τη Microsoft και τους πελάτες της που παραδόθηκαν, χτυπήθηκαν, ερευνήθηκαν και παραβιάστηκαν από μια ομάδα εγκλήματος στον κυβερνοχώρο γνωστή ως Storm.

Και ένα μέρος αυτής της ιστορίας αναφέρεται σε 25 οργανισμούς που είχαν αυτούς τους απατεώνες στην επιχείρηση Exchange τους.

Είναι μέρες μηδέν.

Τώρα, η Microsoft δημοσίευσε μια αρκετά πλήρη και αρκετά ειλικρινή αναφορά για το τι συνέβη, επειδή προφανώς υπήρχαν τουλάχιστον δύο γκάφες από τη Microsoft.

Ο τρόπος με τον οποίο λένε την ιστορία μπορεί να σας διδάξει πολλά για το κυνήγι απειλών και για την απάντηση σε απειλές όταν τα πράγματα πάνε στραβά.

---

ΖΥΜΗ.  Εντάξει, έτσι φαίνεται ότι ο Storm μπήκε μέσω του Outlook Web Access [OWA] χρησιμοποιώντας ένα σωρό σφετερισμένα διακριτικά ελέγχου ταυτότητας, που είναι βασικά σαν ένα προσωρινό cookie που παρουσιάζετε και λέει: "Αυτό το άτομο είναι ήδη συνδεδεμένο, είναι νόμιμο, αφήστε το να μπει".

Σωστά?

---

ΠΑΠΙΑ.  Ακριβώς, Νταγκ.

Όταν συμβαίνει κάτι τέτοιο, το οποίο προφανώς είναι ανησυχητικό γιατί επιτρέπει στους απατεώνες να παρακάμψουν τη φάση ισχυρού ελέγχου ταυτότητας (το κομμάτι όπου πρέπει να πληκτρολογήσετε το όνομα χρήστη σας, να πληκτρολογήσετε τον κωδικό πρόσβασής σας, μετά να κάνετε έναν κωδικό 2FA ή όπου πρέπει να παρουσιάσετε το Yubikey σας ή να σύρετε την έξυπνη κάρτα σας)…

…η προφανής υπόθεση, όταν συμβαίνει κάτι τέτοιο, είναι ότι το άτομο στο άλλο άκρο έχει κακόβουλο λογισμικό σε έναν ή περισσότερους από τους υπολογιστές των χρηστών του.

Το κακόβουλο λογισμικό έχει την ευκαιρία να ρίξει μια ματιά σε πράγματα όπως το περιεχόμενο του προγράμματος περιήγησης προτού κρυπτογραφηθεί, πράγμα που σημαίνει ότι μπορεί να ανακαλύψει διακριτικά ελέγχου ταυτότητας και να τα στείλει στους απατεώνες όπου μπορεί να γίνει κατάχρηση αργότερα.

Η Microsoft παραδέχεται στην έκθεσή της ότι αυτή ήταν η πρώτη τους υπόθεση.

Και αν είναι αλήθεια, είναι προβληματικό γιατί σημαίνει ότι η Microsoft και αυτοί οι 25 άνθρωποι πρέπει να τρέχουν προσπαθώντας να κυνηγήσουν την απειλή.

Αλλά αν *δεν* είναι αυτή η εξήγηση, τότε είναι σημαντικό να το καταλάβετε νωρίς, ώστε να μην χάνετε τον δικό σας και τον χρόνο όλων των άλλων.

Στη συνέχεια, η Microsoft συνειδητοποίησε: «Στην πραγματικότητα φαίνεται ότι οι απατεώνες κόβουν βασικά τα δικά τους διακριτικά ελέγχου ταυτότητας, κάτι που υποδηλώνει ότι πρέπει να έχουν κλέψει ένα από τα υποτιθέμενα ασφαλή κλειδιά υπογραφής διακριτικών του Azure Active Directory».

Λοιπόν, αυτό είναι ανησυχητικό!

*Στη συνέχεια* Η Microsoft συνειδητοποίησε, «Αυτά τα διακριτικά είναι στην πραγματικότητα προφανώς ψηφιακά υπογεγραμμένα από ένα κλειδί υπογραφής που υποτίθεται ότι χρησιμοποιείται πραγματικά μόνο για λογαριασμούς καταναλωτών, αυτό που ονομάζονται MSA ή λογαριασμούς Microsoft».

Με άλλα λόγια, το είδος του κλειδιού υπογραφής που θα χρησιμοποιηθεί για τη δημιουργία ενός διακριτικού ελέγχου ταυτότητας, ας πούμε εάν εσείς ή εγώ συνδεόμασταν στην προσωπική μας υπηρεσία Outlook.com.

Ωχ όχι!

Υπάρχει ένα άλλο σφάλμα που σημαίνει ότι είναι δυνατό να πάρετε ένα υπογεγραμμένο διακριτικό ελέγχου ταυτότητας που δεν υποτίθεται ότι λειτουργεί για την επίθεση που έχουν στο μυαλό τους και στη συνέχεια να μπείτε και να μπλέξετε με το εταιρικό email των ανθρώπων.

Λοιπόν, όλα αυτά ακούγονται πολύ άσχημα, που φυσικά είναι.

Υπάρχει όμως και ένα θετικό…

…και αυτή είναι η ειρωνεία ότι επειδή αυτό δεν έπρεπε να λειτουργήσει, επειδή τα διακριτικά MSA δεν έπρεπε να λειτουργούν στην εταιρική πλευρά του καταλόγου Active Directory του Azure και αντίστροφα, κανείς στη Microsoft δεν είχε ποτέ τον κόπο να γράψει κώδικα για να χρησιμοποιήσει ένα διακριτικό στον άλλο αγωνιστικό χώρο.

Πράγμα που σήμαινε ότι όλα αυτά τα αδίστακτα διακριτικά ξεχώριζαν.

Έτσι, υπήρχε τουλάχιστον μια γιγάντια, ορατή κόκκινη σημαία για το κυνήγι απειλών της Microsoft.

Η επίλυση του προβλήματος, ευτυχώς, επειδή είναι πρόβλημα από την πλευρά του cloud, σημαίνει ότι εσείς και εγώ δεν χρειάζεται να βιαστούμε και να επιδιορθώσουμε τα συστήματά μας.

Βασικά, η λύση είναι: να απορρίψετε το κλειδί υπογραφής που έχει παραβιαστεί, ώστε να μην λειτουργεί πια, και όσο το κάνουμε, ας διορθώσουμε αυτό το σφάλμα που επιτρέπει σε ένα κλειδί υπογραφής καταναλωτή να είναι έγκυρο στην εταιρική πλευρά του κόσμου του Exchange.

Είναι κάπως σαν "Όλα καλά που τελειώνουν καλά".

Αλλά, όπως είπα, είναι μια μεγάλη υπενθύμιση ότι το κυνήγι απειλών συχνά περιλαμβάνει πολύ περισσότερη δουλειά από ό,τι μπορεί να σκεφτείτε αρχικά.

Και αν διαβάσετε την αναφορά της Microsoft, μπορείτε να φανταστείτε πόση δουλειά έγινε σε αυτό.

---

ΖΥΜΗ.  Λοιπόν, στο πνεύμα του να πιάσουμε τα πάντα, ας ακούσουμε από έναν από τους αναγνώστες μας στο Σχόλιο της εβδομάδας.

Μπορώ να σας πω από πρώτο χέρι αφού το έκανα αυτό για το μεγαλύτερο μέρος των δέκα ετών, και είμαι σίγουρος ότι ο Paul μπορεί να σας το πει από πρώτο χέρι αφού το έκανε αυτό σε χιλιάδες και χιλιάδες άρθρα…

…τα τυπογραφικά λάθη είναι τρόπος ζωής για έναν τεχνολογικό blogger, και αν είστε τυχεροί, μερικές φορές καταλήγετε σε ένα τυπογραφικό λάθος τόσο καλό που δεν θέλετε να το διορθώσετε.

Αυτό συμβαίνει με αυτό το άρθρο της Microsoft.

Ο αναγνώστης Dave αναφέρει ότι ο Paul έγραψε «που φαινόταν να υποδηλώνει ότι κάποιος είχε όντως τσιμπήσει μια παρέα που τραγουδούσε [sic] key».

Στη συνέχεια, ο Dave ακολουθεί το απόσπασμα λέγοντας, "Singing keys rock".

Ακριβώς! [ΓΕΛΙΟ]

---

ΠΑΠΙΑ.  Ναι, μου πήρε λίγο χρόνο για να συνειδητοποιήσω ότι είναι λογοπαίγνιο… αλλά ναι, «κλειδί τραγουδιού». [ΓΕΛΙΑ]

Τι θα λάβετε αν ρίξετε ένα κλουβί με σαξόφωνα σε ένα στρατόπεδο;

---

ΖΥΜΗ.  [ΓΕΛΙΑ]

---

ΠΑΠΙΑ.  [ΟΣΟ ΔΥΝΑΤΟΝ ΣΤΕΓΝΟΣ] A-flat major.

---

ΖΥΜΗ.  [ΣΥΝΔΥΑΣΜΕΝΟ ΓΕΛΙΟ-ΚΑΙ-ΒΡΕΝΓΙΣΜΑ] Εντάξει, πολύ καλό.

Dave, σε ευχαριστώ που το επισήμανες.

Και συμφωνούμε ότι τα πλήκτρα του τραγουδιού ροκάρουν. κλειδιά υπογραφής λιγότερο.

Εάν έχετε μια ενδιαφέρουσα ιστορία, σχόλιο ή ερώτηση που θέλετε να υποβάλετε, θα θέλαμε να τη διαβάσουμε στο podcast.

Μπορείτε να στείλετε email [προστασία μέσω email], μπορείτε να σχολιάσετε οποιοδήποτε από τα άρθρα μας ή μπορείτε να μας ενημερώσετε στα social: @nakedsecurity.

Αυτή είναι η εκπομπή μας για σήμερα. ευχαριστώ πολύ για την ακρόαση.

Για τον Paul Ducklin, είμαι ο Doug Aamoth, που σας υπενθυμίζω, μέχρι την επόμενη φορά, να…

---

ΚΑΙ ΤΑ ΔΥΟ.  Μείνετε ασφαλείς!

[ΜΟΥΣΙΚΟ ΜΟΝΤΕΜ]