S3 Ep113: Pwning the Windows kernel - المحتالون الذين خدعوا Microsoft [Audio + Text] PlatoBlockchain Data Intelligence. البحث العمودي. منظمة العفو الدولية.

S3 Ep113: Pwning the Windows kernel - المحتالون الذين خدعوا Microsoft [صوت + نص]

الطابع الزمني: 15 ديسمبر 2022 الساعة 12:10 مساءً

by
بول داكلين

PWNING نواة WINDOWS

انقر واسحب على الموجات الصوتية أدناه للتخطي إلى أي نقطة. يمكنك أيضا استمع مباشرة على Soundcloud.

مع دوج آموث وبول دوكلين. موسيقى مقدمة وخاتمة بواسطة إديث مودج.

يمكنك الاستماع إلينا على SoundCloud لل, Apple Podcasts, Google Podcasts, سبوتيفي, الخياطة وفي أي مكان توجد فيه ملفات بودكاست جيدة. أو قم بإسقاط ملف عنوان URL لخلاصة RSS الخاصة بنا في podcatcher المفضل لديك.

اقرأ النص

دوغ.  برامج التجسس اللاسلكية ، والتخلص من بطاقات الائتمان ، ووفرة التصحيحات.

كل ذلك وأكثر على بودكاست Naked Security.

[مودم موسيقي]

مرحبا بكم في البودكاست ، الجميع.

أنا دوغ عاموث. هو بول دوكلين.

كيف حالك يا بول؟

بطة.  أنا بخير يا (دوغ).

بارد ولكن جيد.

دوغ.  الجو بارد هنا أيضًا ، والجميع مرضى ... لكن هذا ديسمبر مناسب لك.

بالحديث عن شهر ديسمبر ، نود أن نبدأ العرض مع هذا الأسبوع في تاريخ التكنولوجيا قطعة.

لدينا دخول مثير هذا الأسبوع - في 16 ديسمبر 2003 ، تم توقيع قانون CAN-SPAM ليصبح قانونًا من قبل الرئيس الأمريكي آنذاك جورج دبليو بوش.

اختصار لـ السيطرة على الاعتداء على المواد الإباحية والتسويق غير المرغوبة، كان يُنظر إلى CAN-SPAM على أنها بلا أسنان نسبيًا لأسباب مثل عدم طلب موافقة المستلمين لتلقي البريد الإلكتروني التسويقي ، وعدم السماح للأفراد بمقاضاة مرسلي البريد العشوائي.

كان من المعتقد أنه بحلول عام 2004 ، كان أقل من 1٪ من الرسائل الاقتحامية (SPAM) تلتزم فعليًا بالقانون.

بطة.  نعم ، من السهل قول هذا بعد فوات الأوان ...

... ولكن كما قال البعض منا مازحًا في ذلك الوقت ، اعتقدنا أنهم أطلقوا عليها اسم CAN-SPAM لأن هذا * بالضبط * ما يمكنك فعله. [ضحك]

دوغ.  "يمكنك إرسال رسائل غير مرغوب فيها!"

بطة.  أعتقد أن الفكرة كانت ، "لنبدأ بنهج ناعم للغاية."

[WRY TONE] لذلك كانت البداية ، باعتراف الجميع ، ليس من هذا القدر.

دوغ.  [يضحك] سنصل إلى هناك في النهاية.

الحديث عن السيئ والأسوأ ...

… مايكروسوفت باتش الثلاثاء - لا شيء تراه هنا ، ما لم تحسب برنامج تشغيل النواة الخبيثة الموقع?!

تنتقل البرامج الضارة لبرنامج التشغيل المُوقَّع إلى أعلى سلسلة ثقة البرنامج

بطة.  حسنًا ، العديد في الواقع - وجد فريق الاستجابة السريعة في سوفوس هذه القطع الأثرية في الارتباطات التي قاموا بها.

ليس فقط Sophos - تم إدراج مجموعتين أخريين على الأقل من مجموعات أبحاث الأمن السيبراني من قبل Microsoft على أنهما تعثرتا عبر هذه الأشياء مؤخرًا: محركات kernel التي تم منحها بشكل فعال ختمًا رقميًا للموافقة من Microsoft.

لدى Microsoft الآن نصيحة استشارية تلقي باللوم على الشركاء المارقين.

ما إذا كانوا قد أنشأوا بالفعل شركة تظاهرت بصنع أجهزة ، خاصة للانضمام إلى برنامج التشغيل بقصد التسلل إلى برامج تشغيل النواة المخادعة؟

أو هل قاموا برشوة شركة كانت بالفعل جزءًا من البرنامج للعب الكرة معهم؟

أو ما إذا كانوا قد اخترقوا شركة لم تدرك حتى أنه تم استخدامها كوسيلة للقول لـ Microsoft ، "مرحبًا ، نحتاج إلى إنتاج برنامج تشغيل kernel هذا - هل ستصدق عليه؟" ...

تكمن المشكلة في برامج تشغيل kernel المعتمدة ، بالطبع ، في أنه يجب توقيعها بواسطة Microsoft ، ولأن توقيع برنامج التشغيل إلزامي على Windows ، فهذا يعني أنه إذا كان بإمكانك توقيع برنامج تشغيل kernel الخاص بك ، فلن تحتاج إلى اختراق أو نقاط ضعف أو مآثر لتتمكن من تحميل أحدها كجزء من هجوم إلكتروني.

يمكنك فقط تثبيت برنامج التشغيل وسيظهر النظام ، "حسنًا ، لقد تم توقيعه. لذلك يجوز تحميله ".

وبالطبع ، يمكنك أن تحدث ضررًا أكثر بكثير عندما تكون داخل النواة أكثر مما تستطيع عندما تكون "مجرد" مسؤول.

بشكل خاص ، يمكنك الوصول من الداخل إلى إدارة العمليات.

بصفتك مشرفًا ، يمكنك تشغيل برنامج يقول ، "أريد قتل برنامج XYZ" ، والذي قد يكون ، على سبيل المثال ، أحد برامج مكافحة الفيروسات أو أداة البحث عن التهديدات.

ويمكن لهذا البرنامج أن يقاوم الإغلاق ، لأنه ، بافتراض أنه أيضًا على مستوى المسؤول ، لا يمكن لأي من العمليتين أن تدعي الأسبقية على الأخرى.

ولكن إذا كنت داخل نظام التشغيل ، فإن نظام التشغيل هو الذي يتعامل مع بدء العمليات وإنهائها ، لذلك تحصل على المزيد من القوة لقتل أشياء مثل برامج الأمان ...

... ويبدو أن هذا هو بالضبط ما كان يفعله هؤلاء المحتالون.

في "التاريخ يعيد نفسه" ، أتذكر ، منذ سنوات وسنوات ، عندما كنا نحقق في البرامج التي يستخدمها المحتالون لإنهاء برامج الأمان ، كان لديهم عادةً قوائم تضم ما بين 100 و 200 عملية كانوا مهتمين بقتلها: نظام التشغيل العمليات ، وبرامج مكافحة الفيروسات من 20 بائعًا مختلفًا ، كل هذه الأشياء.

وهذه المرة ، أعتقد أنه كان هناك 186 برنامجًا كان سائقهم هناك لقتلها.

لذلك كان الأمر بمثابة إحراج لمايكروسوفت.

لحسن الحظ ، قاموا الآن بطرد هؤلاء المبرمجين المحتالين من برنامج المطورين الخاصين بهم ، وقاموا على الأقل بإدراج جميع برامج التشغيل المراوغة المعروفة في قائمة الحظر.

دوغ.  لذلك لم يكن هذا كل ما في الأمر كشفت يوم الثلاثاء التصحيح.

كانت هناك أيضًا بعض الأيام الصفرية وبعض أخطاء RCE وأشياء أخرى من هذا القبيل:

Patch Tuesday: 0-days ، أخطاء RCE ، وقصة غريبة عن البرامج الضارة الموقعة

بطة.  نعم.

لحسن الحظ ، لم تكن أخطاء يوم الصفر التي تم إصلاحها هذا الشهر ما يُعرف باسم RCEs ، أو تنفيذ التعليمات البرمجية عن بعد ثقوب.

لذلك لم يعطوا طريقًا مباشرًا للمهاجمين الخارجيين فقط للقفز إلى شبكتك وتشغيل أي شيء يريدونه.

ولكن كان هناك خطأ في برنامج تشغيل kernel في DirectX من شأنه أن يسمح لأي شخص كان موجودًا بالفعل على جهاز الكمبيوتر الخاص بك بشكل أساسي بترقية نفسه ليكون لديه صلاحيات على مستوى النواة.

هذا يشبه إلى حد ما إحضار برنامج التشغيل الموقع الخاص بك - كما تعلم * يمكنك تحميله.

في هذه الحالة ، يمكنك استغلال خطأ في برنامج التشغيل الموثوق به والذي يتيح لك القيام بأشياء داخل النواة.

من الواضح أن هذا هو الشيء الذي يجعل هجومًا إلكترونيًا يمثل أخبارًا سيئة بالفعل إلى شيء أسوأ بكثير جدًا.

لذلك أنت بالتأكيد تريد تصحيح ذلك.

المثير للاهتمام ، يبدو أن هذا ينطبق فقط على أحدث إصدار ، أي 2022H2 (النصف الثاني من العام هو ما يرمز إليه H2) في Windows 11.

أنت بالتأكيد تريد التأكد من حصولك على ذلك.

وكان هناك خطأ مثير للاهتمام في Windows SmartScreen ، وهو في الأساس أداة تصفية Windows والتي عندما تحاول تنزيل شيء يمكن أن يكون أو يكون خطيرًا ، يعطيك تحذيرًا.

لذا ، من الواضح ، إذا وجد المحتالون ، "أوه ، لا! لقد تعرضنا لهجوم البرامج الضارة ، وكان يعمل بشكل جيد حقًا ، ولكن الآن Smart Screen تمنعه ​​، ماذا سنفعل؟ "...

... إما أن يهربوا ويصنعوا هجومًا جديدًا بالكامل ، أو يمكنهم العثور على ثغرة تسمح لهم بتجنب الشاشة الذكية حتى لا يظهر التحذير.

وهذا بالضبط ما حدث في CVE-2022-44698 ، دوغلاس.

إذن ، هذه هي أيام الصفر.

كما قلت ، هناك بعض أخطاء تنفيذ التعليمات البرمجية عن بُعد في المزيج ، ولكن لا يُعرف أن أيًا منها موجود في البرية.

إذا قمت بالتصحيح ضد هؤلاء ، فإنك تتقدم على المحتالين ، بدلاً من مجرد اللحاق بالركب.

دوغ.  حسنًا ، دعنا ننتقل إلى موضوع التصحيحات ...

... وأنا أحب الجزء الأول من هذا عنوان رئيسي.

إنها تقول فقط ، "Apple تصحح كل شيء":

تقوم Apple بتصحيح كل شيء ، وتكشف أخيرًا لغز iOS 16.1.2

بطة.  نعم ، لم أستطع التفكير في طريقة لإدراج جميع أنظمة التشغيل في 70 حرفًا أو أقل. [ضحك]

لذلك فكرت ، "حسنًا ، هذا حرفياً كل شيء."

والمشكلة هي أن آخر مرة كتبنا فيها عن تحديث Apple كان كذلك iOS فقط (أجهزة iPhone) ونظام iOS 16.1.2 فقط:

تدفع Apple تحديث أمان iOS الذي أصبح أكثر إحكامًا من أي وقت مضى

لذا ، إذا كان لديك نظام iOS 15 ، فماذا كنت ستفعل؟

هل كنت في خطر؟

هل ستحصل على التحديث لاحقًا؟

هذه المرة ، ظهرت أخيرًا أخبار التحديث الأخير في الغسيل.

يبدو ، دوغ ، أن سبب حصولنا على تحديث iOS 16.1.2 هو أنه كان هناك استغلال في البرية ، يُعرف الآن باسم CVE-2022-42856 ، وكان ذلك خطأ في WebKit ، محرك عرض الويب داخل أنظمة تشغيل Apple.

ومن الواضح أنه يمكن تشغيل هذا الخطأ ببساطة عن طريق إغرائك لعرض بعض المحتويات المفخخة - ما يُعرف في التجارة باسم تثبيت driveby، حيث يمكنك إلقاء نظرة سريعة على إحدى الصفحات و "Oh، dear" ، في الخلفية ، يتم تثبيت البرامج الضارة.

الآن ، على ما يبدو ، الثغرة التي تم العثور عليها تعمل فقط على نظام iOS.

من المفترض أن هذا هو سبب عدم تسريع Apple في إرسال تحديثات لجميع الأنظمة الأساسية الأخرى ، على الرغم من أن macOS (جميع الإصدارات الثلاثة المدعومة) و tvOS و iPadOS ... احتوت جميعها بالفعل على هذا الخطأ.

النظام الوحيد الذي لم يكن ، على ما يبدو ، هو نظام watchOS.

لذلك ، كان هذا الخطأ موجودًا إلى حد كبير في جميع برامج Apple ، ولكن من الواضح أنه كان قابلاً للاستغلال فقط ، على حد علمهم ، من خلال استغلال في البرية ، على iOS.

لكن الآن ، بشكل غريب ، يقولون ، "فقط على iOS قبل 15.1" ، مما يجعلك تتساءل ، "لماذا لم يطرحوا تحديثًا لنظام iOS 15 ، في هذه الحالة؟"

نحن فقط لا نعرف!

ربما كانوا يأملون أنه إذا قاموا بإصدار iOS 16.1.2 ، فإن بعض الأشخاص على iOS 15 سيحدثون على أي حال ، وهذا من شأنه أن يحل المشكلة لهم؟

أو ربما لم يكونوا متأكدين بعد من أن نظام التشغيل iOS 16 لم يكن ضعيفًا ، وكان من الأسرع والأسهل وضع التحديث (الذي لديهم عملية محددة جيدًا من أجله) ، بدلاً من إجراء اختبار كافٍ لتحديد أن الخطأ لا يمكن أن يكون ' ر يمكن استغلالها على iOS 16 بسهولة.

ربما لن نعرف أبدًا ، دوج ، لكنها قصة درامية رائعة في كل هذا!

ولكن ، في الواقع ، كما قلت ، هناك تحديث لكل شخص بمنتج يحمل شعار Apple عليه.

لذا: لا تتأخر / افعلها اليوم.

دوغ.  دعونا ننتقل إلى أصدقائنا في جامعة بن غوريون ... لقد عادوا إليها مرة أخرى.

لقد طوروا بعض برامج التجسس اللاسلكية - القليل أنيق خدعة برامج التجسس اللاسلكية:

COVID-bit: خدعة برامج التجسس اللاسلكية باسم مؤسف

بطة.  نعم ... لست متأكدًا من الاسم ؛ لا أعرف ما الذي كانوا يفكرون فيه هناك.

لقد أطلقوا عليه COVID-bit.

دوغ.  غريب بعض الشيء.

بطة.  أعتقد أننا تعرضنا للعض من قبل COVID بطريقة أو بأخرى ...

دوغ.  ربما هذا كل شيء؟

بطة.  • COV من المفترض أن يقف ل خفي، ولا يقولون ماذا ID-bit تمثل.

توقعت أنه قد يكون "الكشف عن المعلومات شيئًا فشيئًا" ، لكنها مع ذلك قصة رائعة.

نحن نحب الكتابة عن البحث الذي يقوم به هذا القسم لأنه ، على الرغم من كونه افتراضيًا إلى حد ما بالنسبة لمعظمنا ...

... إنهم يبحثون في كيفية انتهاك الفجوات الهوائية للشبكة ، حيث تقوم بتشغيل شبكة آمنة تفصلها عمداً عن أي شيء آخر.

لذلك ، بالنسبة لمعظمنا ، هذه ليست مشكلة كبيرة ، على الأقل في المنزل.

لكن ما ينظرون إليه هو أنه * حتى إذا قمت بإغلاق شبكة من شبكة أخرى ماديًا * ، وفي هذه الأيام قم بالدخول واستخراج جميع البطاقات اللاسلكية أو بطاقات البلوتوث أو بطاقات اتصالات المجال القريب أو قطع الأسلاك وانقطاعها تتبع دارة على لوحة الدائرة لإيقاف عمل أي اتصال لاسلكي ...

... هل لا تزال هناك طريقة يمكن للمهاجم الذي يحصل على وصول لمرة واحدة إلى المنطقة الآمنة ، أو شخص فاسد من الداخل ، أن يقوم بتسريب البيانات بطريقة لا يمكن تعقبها إلى حد كبير؟

ولسوء الحظ ، اتضح أن عزل شبكة من أجهزة الكمبيوتر بالكامل عن أخرى أصعب بكثير مما تعتقد.

سيعرف القراء العاديون أننا كتبنا عن الكثير من الأشياء التي توصل إليها هؤلاء الأشخاص من قبل.

لقد كان لديهم GAIROSCOPE ، وهو المكان الذي تعيد فيه بالفعل استخدام الهاتف المحمول رقاقة البوصلة كميكروفون منخفض الدقة.

دوغ.  [يضحك] أتذكر ذلك:

اختراق أمان الفجوة الهوائية: استخدام جيروسكوب هاتفك كميكروفون

بطة.  لأن هذه الرقائق يمكن أن تشعر بالاهتزازات بشكل جيد بما فيه الكفاية.

لديهم LANTENNA ، وهو المكان الذي تضع فيه الإشارات على شبكة سلكية داخل المنطقة الآمنة ، وتعمل كبلات الشبكة في الواقع على أنها محطات الراديو المصغرة.

إنها تسرب ما يكفي من الإشعاع الكهرومغناطيسي بحيث يمكنك التقاطه خارج المنطقة الآمنة ، لذا فهم يستخدمون شبكة سلكية كجهاز إرسال لاسلكي.

وكان لديهم شيء أطلقوا عليه مازحا اسم FANSMITTER ، وهو المكان الذي تذهب إليه ، "حسنًا ، هل يمكننا عمل إشارات صوتية؟ من الواضح ، إذا قمنا فقط بتشغيل الألحان من خلال السماعة ، مثل [أصوات الاتصال] بيب-بيب-بيب-بيب-بيب ، فسيكون ذلك واضحًا جدًا ".

ولكن ماذا لو قمنا بتغيير حمل وحدة المعالجة المركزية ، بحيث تسرع المروحة وتبطئ - هل يمكننا استخدام تغير في سرعة المروحة تقريبا مثل نوع من إشارة إشارة؟

هل يمكن استخدام مروحة الكمبيوتر للتجسس عليك؟

وفي هذا الهجوم الأخير ، اكتشفوا ، "كيف يمكننا تحويل شيء ما داخل كل كمبيوتر تقريبًا في العالم ، شيء يبدو بريئًا بدرجة كافية ... كيف يمكننا تحويله إلى محطة راديو منخفضة الطاقة للغاية؟"

وفي هذه الحالة ، كانوا قادرين على القيام بذلك باستخدام مزود الطاقة.

كانوا قادرين على القيام بذلك في Raspberry Pi ، في كمبيوتر محمول من Dell ، وفي مجموعة متنوعة من أجهزة الكمبيوتر المكتبية.

إنهم يستخدمون مصدر الطاقة الخاص بالكمبيوتر ، والذي يقوم أساسًا بتبديل تيار مستمر عالي التردد للغاية من أجل قطع جهد التيار المستمر ، عادةً لتقليله ، مئات الآلاف أو ملايين المرات في الثانية.

وجدوا طريقة للحصول على ذلك لتسريب الإشعاع الكهرومغناطيسي - موجات الراديو التي يمكنهم التقاطها على بعد مترين من الهاتف المحمول ...

... حتى لو كان هذا الهاتف المحمول قد تم إيقاف تشغيل جميع الأشياء اللاسلكية الخاصة به ، أو حتى إزالتها من الجهاز.

الحيلة التي توصلوا إليها هي: تبديل السرعة التي يتم بها التبديل ، واكتشاف التغييرات في تردد التبديل.

تخيل ، إذا كنت تريد جهدًا أقل (إذا كنت تريد ، على سبيل المثال ، تقطيع 12 فولت إلى 4 فولت) ، فإن الموجة المربعة ستستمر لثلث الوقت ، وتتوقف لثلثي الوقت.

إذا كنت تريد 2V ، فعليك تغيير النسبة وفقًا لذلك.

واتضح أن وحدات المعالجة المركزية الحديثة تختلف في ترددها وجهدها من أجل إدارة الطاقة والسخونة الزائدة.

لذلك ، من خلال تغيير حمل وحدة المعالجة المركزية على واحد أو أكثر من النوى في وحدة المعالجة المركزية - فقط عن طريق تكثيف المهام وتكثيف المهام بتردد منخفض نسبيًا ، بين 5000 و 8000 مرة في الثانية - تمكنوا من الحصول على وضع التبديل مزود الطاقة * لتبديل أوضاع التحويل * عند تلك الترددات المنخفضة.

وقد أدى ذلك إلى توليد انبعاث لاسلكي منخفض التردد جدًا من آثار الدوائر أو أي سلك نحاسي في مصدر الطاقة.

وكانوا قادرين على اكتشاف تلك الانبعاث باستخدام هوائي راديو لم يكن أكثر تعقيدًا من حلقة سلكية بسيطة!

لذا ، ماذا تفعل بحلقة سلكية؟

حسنًا ، أنت تتظاهر يا دوج أنه كابل ميكروفون أو كابل سماعة رأس.

تقوم بتوصيله بمقبس صوت 3.5 ملم ، ثم تقوم بتوصيله بهاتفك المحمول مثل مجموعة من سماعات الرأس ...

دوغ.  نجاح باهر.

بطة.  تقوم بتسجيل الإشارة الصوتية التي تم إنشاؤها من الحلقة السلكية - لأن الإشارة الصوتية هي في الأساس تمثيل رقمي لإشارة الراديو ذات التردد المنخفض جدًا التي التقطتها.

كانوا قادرين على استخراج البيانات منه بمعدل يتراوح بين 100 بت في الثانية عندما كانوا يستخدمون الكمبيوتر المحمول ، و 200 بت في الثانية مع Raspberry Pi ، وفي أي مكان يصل إلى 1000 بت في الثانية ، مع معدل خطأ منخفض جدًا ، من أجهزة كمبيوتر سطح المكتب.

يمكنك الحصول على أشياء مثل مفاتيح AES ومفاتيح RSA وحتى ملفات البيانات الصغيرة بهذا النوع من السرعة.

اعتقدت أنها كانت قصة رائعة.

إذا كنت تدير منطقة آمنة ، فأنت بالتأكيد تريد مواكبة هذه الأشياء ، لأنه كما يقول المثل القديم ، "الهجمات تصبح أفضل أو أكثر ذكاءً فقط."

دوغ.  وتقنية أقل. [ضحك]

كل شيء رقمي ، إلا أن لدينا هذا التسرب التناظري الذي يتم استخدامه لسرقة مفاتيح AES.

انها رائعة!

بطة.  مجرد تذكير بأنك بحاجة إلى التفكير فيما يوجد على الجانب الآخر من الجدار الآمن ، لأن "بعيدًا عن الأنظار ليس بالضرورة بعيدًا عن ذهنك."

دوغ.  حسنًا ، هذا يتوافق بشكل جيد مع ملفات القصة النهائية - شيء بعيد عن الأنظار ولكنه ليس بعيدًا عن الذهن:

قشط بطاقة الائتمان - الطريق الطويل والمتعرج لفشل سلسلة التوريد

إذا كنت قد أنشأت صفحة ويب من قبل ، فأنت تعلم أنه يمكنك إسقاط شفرة التحليلات - سطر صغير من جافا سكريبت - هناك لبرنامج Google Analytics ، أو شركات مثلها ، لترى كيف تعمل إحصائياتك.

كانت هناك شركة تحليلات مجانية تسمى Cockpit في أوائل عام 2010 ، ولذا كان الناس يضعون كود Cockpit هذا - هذا السطر الصغير من JavaScript - في صفحات الويب الخاصة بهم.

ولكن تم إغلاق Cockpit في عام 2014 ، وترك اسم المجال ينقضي.

وبعد ذلك ، في عام 2021 ، اعتقد مجرمو الإنترنت ، "لا تزال بعض مواقع التجارة الإلكترونية تسمح بتشغيل هذا الرمز ؛ ما زالوا يطلقون على هذا جافا سكريبت. لماذا لا نشتري فقط اسم المجال ومن ثم يمكننا ضخ ما نريده في هذه المواقع التي لم تقم بإزالة هذا السطر من جافا سكريبت؟ "

بطة.  نعم.

ما الذي يمكن أن يسير بشكل صحيح ، دوج؟

دوغ.  [يضحك] بالضبط!

بطة.  سبع سنوات!

كان لديهم إدخال في جميع سجلات الاختبار الخاصة بهم يقول ، Could not source the file cockpit.js (أو مهما كان) from site cockpit.jp، اعتقد انه كان.

لذلك ، كما تقول ، عندما أشعل المحتالون المجال مرة أخرى ، وبدأوا في وضع الملفات هناك لمعرفة ما سيحدث ...

... لقد لاحظوا أن الكثير من مواقع التجارة الإلكترونية كانت تستهلك وتنفذ شفرة جافا سكريبت للمحتالين داخل متصفحات الويب لعملائهم.

دوغ.  [LUAGHING] "مرحبًا ، موقعي لا يعرض أي خطأ بعد الآن ، إنه يعمل."

بطة.  [INCREDULOUS] "يجب أن يكونوا قد أصلحوه" ... لبعض الفهم الخاص لكلمة "ثابت" ، دوج.

بالطبع ، إذا كان بإمكانك إدخال JavaScript عشوائيًا في صفحة الويب الخاصة بشخص ما ، فيمكنك جعل صفحة الويب هذه تفعل أي شيء تريده.

وإذا كنت ، على وجه الخصوص ، تستهدف مواقع التجارة الإلكترونية ، فيمكنك تعيين ما هو أساسًا رمز برامج التجسس للبحث عن صفحات معينة بها نماذج ويب معينة بها حقول محددة مسماة ...

... مثل رقم جواز السفر ورقم بطاقة الائتمان و CVV مهما كان.

ويمكنك بشكل أساسي أن تستخرج جميع البيانات السرية غير المشفرة ، البيانات الشخصية ، التي يضعها المستخدم.

لم يدخل في عملية تشفير HTTPS حتى الآن ، لذا قمت بامتصاصه من المتصفح ، وقمت بتشفيره HTTPS * بنفسك * ، وإرساله إلى قاعدة بيانات يديرها المحتالون.

وبالطبع ، الشيء الآخر الذي يمكنك القيام به هو أنه يمكنك تغيير صفحات الويب بشكل نشط عند وصولها.

لذلك يمكنك جذب شخص ما إلى موقع ويب - وهو الموقع * الصحيح * ؛ إنه موقع ويب ذهبوا إليه من قبل ، ويعرفون أنه يمكنهم الوثوق به (أو يعتقدون أنه يمكنهم الوثوق به).

إذا كان هناك نموذج ويب على هذا الموقع ، على سبيل المثال ، يطلب منهم عادةً الاسم والرقم المرجعي للحساب ، حسنًا ، فأنت تلتزم فقط في حقلين إضافيين ، وبالنظر إلى أن الشخص يثق بالفعل في الموقع ...

... إذا قلت الاسم والمعرف و [أضف] تاريخ الميلاد؟

من المحتمل جدًا أنهم سيحددون تاريخ ميلادهم لأنهم يعتقدون ، "أعتقد أنه جزء من التحقق من هويتهم."

دوغ.  هذا أمر يمكن تجنبه.

هل يمكن أن تبدأ مراجعة روابط سلسلة التوريد المستندة إلى الويب.

بطة.  نعم.

ربما مرة كل سبع سنوات ستكون البداية؟ [ضحك]

إذا كنت لا تبحث ، فأنت حقًا جزء من المشكلة ، وليس جزءًا من الحل.

دوغ.  يمكنك أيضًا ، أوه ، لا أعرف ... تحقق من سجلاتك?

بطة.  نعم.

مرة أخرى ، مرة كل سبع سنوات قد تبدأ؟

اسمحوا لي فقط أن أقول ما قلناه من قبل في البودكاست ، دوغ ...

... إذا كنت ستجمع السجلات التي لم تنظر إليها مطلقًا ، * فقط لا تهتم بجمعها مطلقًا *.

توقف عن مزاح نفسك ، ولا تجمع البيانات.

لأنه ، في الواقع ، أفضل شيء يمكن أن يحدث للبيانات إذا كنت تجمعها ولا تنظر إليها ، هو أن الأشخاص الخطأ لن يفهموها عن طريق الخطأ.

دوغ.  ثم ، بالطبع ، قم بإجراء معاملات الاختبار بانتظام.

بطة.  هل ينبغي أن أقول ، "مرة كل سبع سنوات ستكون البداية"؟ [ضحك]

دوغ.  بالطبع ، نعم ... [WRY] قد يكون ذلك منتظمًا بدرجة كافية ، على ما أعتقد.

بطة.  إذا كنت تمثل شركة تجارة إلكترونية وتتوقع أن يزور المستخدمون موقعك على الويب ، وأن يعتادوا على مظهر وأسلوب معين ، ويثقون به ...

... فأنت مدين لهم باختبار صحة الشكل والمظهر.

بانتظام وبشكل متكرر.

سهل على هذا النحو.

دوغ.  حسنا جيد جدا.

وعندما يبدأ العرض في الانتهاء ، دعونا نسمع من أحد قرائنا عن هذه القصة.

تعليقات لاري:

مراجعة روابط سلسلة التوريد على شبكة الإنترنت الخاصة بك؟

قامت Wish Epic Software بهذا قبل شحن خطأ تتبع Meta لجميع عملائها.

أنا مقتنع بأن هناك جيلًا جديدًا من المطورين الذين يعتقدون أن التطوير يتعلق بالعثور على أجزاء الكود في أي مكان على الإنترنت ولصقها دون تمحيص في منتج عملهم.

بطة.  إذا لم نطور كودًا كهذا ...

... أين تذهب ، "أعلم ، سأستخدم هذه المكتبة ؛ سأقوم بتنزيله من صفحة GitHub الرائعة التي وجدتها.

أوه ، إنها تحتاج إلى حمولة كاملة من الأشياء الأخرى !؟

أوه ، انظر ، يمكن أن يلبي المتطلبات تلقائيًا ... حسنًا ، دعنا نفعل ذلك بعد ذلك! "

لسوء الحظ ، عليك * امتلاك سلسلة التوريد الخاصة بك * ، وهذا يعني فهم كل ما يتعلق بها.

إذا كنت تفكر على طول قائمة مواد البرمجيات [SBoM] ، الطريق ، حيث تعتقد ، "نعم ، سأدرج كل ما أستخدمه" ، لا يكفي فقط سرد المستوى الأول للأشياء التي تستخدمها.

تحتاج أيضًا إلى أن تعرف ، وأن تكون قادرًا على توثيق ، ومعرفة أنه يمكنك الوثوق ، كل الأشياء التي تعتمد عليها هذه الأشياء ، وما إلى ذلك وهلم جرا:

البراغيث الصغيرة لديها براغيث أقل على ظهورها لتعضها والبراغيث الصغيرة لديها براغيث أقل وهكذا إلى ما لا نهاية.

* هذا * كيف عليك أن تطارد سلسلة التوريد الخاصة بك!

دوغ.  احسنت القول!

حسنًا ، شكرًا جزيلاً لك يا لاري لإرسال هذا التعليق.

إذا كانت لديك قصة أو تعليق أو سؤال مثير للاهتمام ترغب في إرساله ، فنحن نحب قراءته في البودكاست.

يمكنك إرسال بريد إلكتروني إلى tips@sophos.com ، أو التعليق على أي من مقالاتنا ، أو يمكنك التواصل معنا على مواقع التواصل الاجتماعي:NakedSecurity.

هذا هو عرضنا لهذا اليوم. شكرا جزيلا على الاستماع.

بالنسبة لبول دوكلين ، أنا دوج آموث ، أذكرك ، حتى المرة القادمة ، بـ ...

على حد سواء.  كن آمنا!

[مودم موسيقي]

الطابع الزمني:

اكثر من الأمن عارية