S3 Ep95: تسرب Slack وهجوم Github والعملات المشفرة بعد الكم [صوت + نص]

انقر واسحب على الموجات الصوتية أدناه للتخطي إلى أي نقطة. يمكنك أيضا استمع مباشرة على Soundcloud.

دوغ.  تسريبات Slack ، كود GitHub المشاغب ، وتشفير ما بعد الكم.

كل ذلك ، وأكثر من ذلك بكثير ، على بودكاست Naked Security.

[مودم موسيقي]

مرحبا بكم في البودكاست ، الجميع.

أنا دوغ عاموث.

معي ، كما هو الحال دائمًا ، بول دوكلين.

كيف حالك اليوم يا بول؟

---

بطة.  مخادع خارق كالعادة دوغ!

---

دوغ.  أنا متحمس للغاية للوصول إلى هذا الأسبوع تاريخ التكنولوجيا المقطع ، لأن ...

... كنت هناك يا رجل!

هذا الأسبوع ، في 11 آب (أغسطس) ...

---

بطة.  أوه لا!

أعتقد أن البنس قد انخفض للتو ...

---

دوغ.  لست مضطرًا حتى لقول السنة!

11 أغسطس 2003 - لاحظ العالم دودة Blaster ، التي أثرت على أنظمة Windows 2000 و Windows XP.

استغل Blaster ، المعروف أيضًا باسم Lovesan و MsBlast ، تجاوز سعة المخزن المؤقت وربما اشتهر بالرسالة ، "بيلي جيتس ، لماذا تجعل هذا ممكناً؟ توقف عن جني الأموال وإصلاح برامجك ".

ماذا حدث يا بول؟

---

بطة.  حسنًا ، لقد كانت حقبة سابقة ، ربما ، أخذنا الأمن على محمل الجد.

ولحسن الحظ ، سيكون استغلال هذا النوع من الأخطاء أكثر صعوبة في هذه الأيام: لقد كان تجاوزًا في المخزن المؤقت المستند إلى المكدس.

وإذا كنت أتذكر بشكل صحيح ، فإن إصدارات الخادم من Windows قد تم إنشاؤها بالفعل بما يسمى حماية المكدس.

بمعنى آخر ، إذا تجاوزت المكدس داخل إحدى الوظائف ، فقبل عودة الوظيفة وتسبب الضرر بالمكدس التالف ، ستكتشف أن شيئًا سيئًا قد حدث.

لذلك ، يجب عليه إيقاف تشغيل البرنامج المخالف ، ولكن لا يتم تشغيل البرامج الضارة.

لكن هذه الحماية لم تكن موجودة في إصدارات العميل من Windows في ذلك الوقت.

وكما أتذكر ، كان أحد تلك البرامج الخبيثة المبكرة التي كان عليها تخمين أي إصدار من نظام التشغيل لديك.

هل أنت في عام 2000؟ هل أنت على NT؟ هل أنت مشترك في XP؟

وإذا حدث خطأ ، فسيتعطل جزء مهم من النظام ، وسيظهر لك تحذير "نظامك على وشك الإغلاق".

---

دوغ.  ها ، أتذكر هؤلاء!

---

بطة.  لذلك ، كانت هناك تلك الأضرار الجانبية التي كانت ، بالنسبة للعديد من الأشخاص ، علامة على تعرضك للإصابة بالعدوى ...

... التي يمكن أن تكون من الخارج ، كما لو كنت مجرد مستخدم منزلي ولم يكن لديك جهاز توجيه أو جدار حماية في المنزل.

ولكن إذا كنت داخل شركة ، فمن المرجح أن يأتي الهجوم من شخص آخر داخل الشركة ، ينفث حزمًا على شبكتك.

لذلك ، يشبه إلى حد كبير هجوم CodeRed الذي تحدثنا عنه ، والذي كان قبل ذلك بعامين ، في بودكاست حديث ، كان الحجم الهائل والحجم والسرعة لهذا الشيء هو المشكلة.

---

دوغ.  حسنًا ، كان ذلك قبل حوالي 20 عامًا.

وإذا أعدنا عقارب الساعة إلى الوراء إلى ما قبل خمس سنوات ، فهذا هو الوقت المناسب بدأ سلاك في التسريب كلمات مرور مجزأة. [ضحك]

---

بطة.  نعم ، Slack ، أداة التعاون الشائعة ...

... يحتوي على ميزة حيث يمكنك إرسال رابط دعوة إلى أشخاص آخرين للانضمام إلى مساحة العمل الخاصة بك.

وأنت تتخيل: تنقر على زر يقول "إنشاء ارتباط" ، وسيقوم بإنشاء نوع من حزم الشبكة التي ربما تحتوي على بعض JSON بداخلها.

إذا سبق لك تلقي دعوة اجتماع Zoom ، فستعرف أن لها تاريخًا ووقتًا والشخص الذي يدعوك وعنوان URL يمكنك استخدامه للاجتماع ورمز مرور وكل ذلك الأشياء - يحتوي على قدر كبير جدًا من البيانات هناك.

في العادة ، لا تتعمق في البيانات الأولية لترى ما يوجد هناك - فالعميل يقول فقط ، "مرحبًا ، ها هو الاجتماع ، ها هي التفاصيل. هل تريد القبول / ربما / الرفض؟ "

اتضح أنك عندما فعلت هذا مع Slack ، كما قلت ، لأكثر من خمس سنوات ، كانت هذه الدعوة معبأة في تلك الدعوة بيانات غريبة لا صلة لها بالدعوة نفسها.

إذن ، ليس عنوان URL ، ولا اسمًا ، ولا تاريخًا ، ولا وقتًا ...

... لكن * تجزئة كلمة مرور المستخدم التي تدعو للدعوة * [ضحك]

---

دوغ.  همممم.

---

بطة.  انا امزح انت لا!

---

دوغ.  هذا يبدو سيئًا ...

---

بطة.  نعم ، إنها كذلك حقًا ، أليس كذلك؟

النبأ السيئ هو ، كيف حصل ذلك على الأرض؟

وبمجرد دخولها هناك ، كيف تهربت من الملاحظة لمدة خمس سنوات وثلاثة أشهر؟

في الواقع ، إذا قمت بزيارة المقالة على Naked Security وإلقاء نظرة على ملف URL كامل من المقال ، ستلاحظ أنه في النهاية ، blahblahblah-for-three-months.

لأنه عندما قرأت التقرير لأول مرة ، لم يرغب عقلي في رؤيته على أنه عام 2017! [ضحك]

كان ذلك في الفترة من 17 أبريل إلى 17 يوليو ، وكان هناك الكثير من "17" هناك.

وشطب ذهني عام 2017 باعتباره عام البداية - لقد أخطأت في قراءته على أنه "من أبريل إلى يوليو * من هذا العام *" [2022].

فكرت ، "واو ، * ثلاثة أشهر * ولم يلاحظوا ذلك."

ثم كان أول تعليق على المقال ، "مهم [السعال]. كان في الواقع 17 أبريل * 2017 *. "

نجاح باهر!

لكن شخصًا ما اكتشفها في 17 يوليو [2022] ، وقام سلاك ، لحسابه ، بإصلاحه في نفس اليوم.

مثل ، "أوه ، جولي ، ما الذي كنا نفكر فيه ؟!"

هذه هي الأخبار السيئة.

والخبر السار هو أنه على الأقل تم * تجزئة * كلمات مرور.

ولم تكن مجزأة فقط ، بل كانت مملحة * ، حيث يمكنك مزج البيانات العشوائية المختارة بشكل فريد لكل مستخدم بكلمة المرور.

فكرة هذا ذات شقين.

واحد ، إذا اختار شخصان نفس كلمة المرور ، فلن يحصلوا على نفس التجزئة ، لذلك لا يمكنك عمل أي استنتاجات من خلال البحث في قاعدة بيانات التجزئة.

وثانيًا ، لا يمكنك إجراء حساب مسبق لقاموس من علامات التجزئة المعروفة للإدخالات المعروفة ، لأنه يتعين عليك إنشاء قاموس منفصل لكل كلمة مرور * لكل ملح *.

لذلك ليس من السهل كسر كلمات المرور المجزأة.

بعد قولي هذا ، فإن الفكرة برمتها هي أنه ليس من المفترض أن تكون مسألة تسجيل عام.

يتم تجزئتها ومملحتها * في حالة * تسربها ، وليس * حتى يتمكنوا من * التسرب.

إذن ، بيضة على وجه سلاك!

يقول سلاك إن حوالي واحد من كل 200 مستخدم ، أو 0.5 ٪ ، تأثروا.

ولكن إذا كنت من مستخدمي Slack ، فسأفترض أنه إذا لم يدركوا أنهم قاموا بتسريب كلمات مرور مجزأة لمدة خمس سنوات ، فربما لم يعددوا قائمة الأشخاص المتأثرين تمامًا أيضًا.

لذا ، اذهب وقم بتغيير كلمة المرور الخاصة بك على أي حال ... ربما يمكنك ذلك أيضًا.

---

دوغ.  حسنًا ، نقول أيضًا: إذا كنت لا تستخدم مدير كلمات المرور ، ففكر في الحصول على واحد ؛ وقم بتشغيل المصادقة الثنائية (2FA) إذا استطعت.

---

بطة.  اعتقدت أنك ستحب ذلك ، دوغ.

---

دوغ.  نعم أفعل!

وبعد ذلك ، إذا كنت من عملاء Slack أو شركة تعجبهم ، فاختر ملف خوارزمية ذات سمعة جيدة للتجزئة والتمدد عند التعامل مع كلمات المرور بنفسك.

---

بطة.  نعم.

الأمر المهم في رد Slack ، والشيء الذي اعتقدت أنه يفتقر إليه ، هو أنهم قالوا للتو ، "لا تقلق ، لم نقم فقط بتجزئة كلمات المرور ، بل قمنا بتمليحها أيضًا."

نصيحتي هي أنه إذا وقعت في خرق مثل هذا ، فيجب أن تكون على استعداد لإعلان الخوارزمية أو العملية التي استخدمتها للتمليح والتجزئة ، وأيضًا ما يسمى بشكل مثالي تمتد، وهو المكان الذي لا تقوم فيه فقط بتجزئة كلمة المرور المملحة مرة واحدة ، ولكن ربما تقوم بتجزئتها 100,000 مرة لإبطاء أي نوع من هجوم القاموس أو القوة الغاشمة.

وإذا حددت الخوارزمية التي تستخدمها ومع أي معلمات .. على سبيل المثال ، PBKDF2, bcrypt, scrypt, Argon2 - هذه هي أشهر خوارزميات "امتداد تجزئة الملح" الموجودة في كلمات المرور.

إذا حددت بالفعل الخوارزمية التي تستخدمها ، فحينئذٍ: [أ] أنت أكثر انفتاحًا ، و [ب] تمنح الضحايا المحتملين للمشكلة فرصة لتقييم أنفسهم بأنفسهم إلى أي مدى يعتقدون أن هذا قد يكون خطيرًا .

وهذا النوع من الانفتاح يمكن أن يساعد كثيرًا في الواقع.

سلاك لم يفعل ذلك.

قالوا فقط ، "أوه ، لقد كانوا مملحين ومقسمين."

ولكن ما لا نعرفه هو ، هل وضعوا 1 بايت من الملح ثم قاموا بتجزئتها مرة واحدة باستخدام SHA-XNUMX ...

... أو هل لديهم شيء أكثر مقاومة للتصدع؟

---

دوغ.  بالتمسك بموضوع الأشياء السيئة ، نلاحظ وجود اتجاه يتطور حيث يوجد الناس حقن أشياء سيئة في GitHub، فقط لنرى ما سيحدث ، وكشف المخاطر ...

... لدينا قصة أخرى من تلك القصص.

---

بطة.  نعم ، هناك شخص ما زُعم أنه ظهر الآن على Twitter وقال ، "لا تقلقوا يا رفاق ، لا ضرر من ذلك. كان من أجل البحث فقط. سأكتب تقريرًا ، سأتميز عن Blue Alert ".

لقد أنشأوا حرفيًا الآلاف من مشاريع GitHub الزائفة ، استنادًا إلى نسخ الشفرة الشرعية الحالية ، وإدخال بعض أوامر البرامج الضارة هناك عن عمد ، مثل "اتصل بالمنزل للحصول على مزيد من الإرشادات" ، و "تفسير نص الرد على أنه رمز خلفي للتنفيذ" ، و قريباً.

لذلك ، الأشياء التي يمكن أن تضر حقًا إذا قمت بتثبيت إحدى هذه الحزم.

منحهم أسماء تبدو شرعية ...

... استعارة ، على ما يبدو ، تاريخ الالتزام بمشروع حقيقي بحيث يبدو الشيء أكثر شرعية مما قد تتوقعه إذا ظهر للتو ، "مرحبًا ، قم بتنزيل هذا الملف. كنت أعلم أنك تريد!"

حقًا؟! بحث؟؟ لم نكن نعلم هذا بالفعل؟ !!؟

الآن ، يمكنك أن تجادل ، "حسنًا ، Microsoft ، التي تمتلك GitHub ، ما الذي يفعلونه مما يجعل من السهل جدًا على الأشخاص تحميل هذا النوع من الأشياء؟"

وهناك بعض الحقيقة في ذلك.

ربما يمكنهم القيام بعمل أفضل في إبعاد البرامج الضارة في المقام الأول.

لكن الأمر مبالغ فيه قليلاً لقول ، "أوه ، كل هذا خطأ مايكروسوفت."

بل من الأسوأ برأيي أن أقول ، "نعم ، هذا بحث حقيقي ؛ هذا مهم حقًا ؛ علينا تذكير الناس بأن هذا يمكن أن يحدث ".

حسنًا ، [أ] نحن نعلم ذلك بالفعل ، شكرًا جزيلاً لك ، لأن الكثير من الأشخاص فعلوا ذلك من قبل ؛ وصلتنا الرسالة بصوت عال وواضح.

و [ب] هذا * ليس * بحث.

هذا هو محاولة خداع الأشخاص عمدًا لتنزيل رمز يمنح مهاجمًا محتملاً تحكمًا عن بُعد ، مقابل القدرة على كتابة تقرير.

هذا يبدو لي وكأنه "عذر كبير" أكثر من كونه حافزًا شرعيًا للبحث.

ولذا فإن توصيتي هي ، إذا كنت تعتقد أن هذا * * * بحث ، وإذا كنت مصممًا على القيام بشيء كهذا مرة أخرى ، * لا تتوقع الكثير من التعاطف * إذا تم القبض عليك.

---

دوغ.  حسنًا - سنعود إلى هذا وتعليقات القارئ في نهاية العرض ، لذا استمر.

لكن أولاً ، دعونا نتحدث عنه إشارات المروروماذا يجب عليهم فعله بالأمن السيبراني.

---

بطة.  آه ، نعم! [يضحك]

حسنًا ، هناك شيء يسمى TLP ، و بروتوكول إشارات المرور.

و TLP هو ما قد تسميه "بروتوكول أبحاث الأمن السيبراني البشري" الذي يساعدك على تصنيف المستندات التي ترسلها إلى أشخاص آخرين ، لمنحهم تلميحًا لما تأمل أن يفعلوه (والأهم من ذلك ، ما تأمل أن يفعلوه * لا *) تفعل مع البيانات.

على وجه الخصوص ، إلى أي مدى يفترض أن يعيدوا توزيعه؟

هل هذا شيء مهم لدرجة أنك تستطيع أن تعلنه للعالم؟

أم أن هذا يحتمل أن يكون خطيرًا ، أم أنه من المحتمل أن يتضمن بعض الأشياء التي لا نريد نشرها على الملأ حتى الآن ... لذا احتفظ بها لنفسك؟

وقد بدأت بـ: TLP:RED، وهو ما يعني "احتفظ بها لنفسك" ؛ TLP:AMBER، وهو ما يعني "يمكنك توزيعه داخل شركتك الخاصة أو إلى عملاء شركتك الذين تعتقد أنهم بحاجة ماسة إلى معرفة ذلك" ؛ TLP:GREEN، مما يعني ، "حسنًا ، يمكنك السماح لهذا بالانتشار على نطاق واسع داخل مجتمع الأمن السيبراني."

و TLP:WHITE، مما يعني ، "يمكنك إخبار أي شخص."

مفيد جدًا وبسيط جدًا: أحمر ، أصفر ، أخضر ... استعارة تعمل عالميًا ، دون القلق بشأن الفرق بين "سري" و "سري" وما هو الفرق بين "سري" و "سري" ، كل تلك الأشياء المعقدة التي يحتاج إلى مجموعة كبيرة من القوانين حوله.

حسنًا ، حصلت TLP على بعض التعديلات.

لذلك ، إذا كنت تعمل في مجال أبحاث الأمن السيبراني ، فتأكد من أنك على دراية بها.

TLP:WHITE تم تغييره إلى ما أعتبره مصطلحًا أفضل بكثير في الواقع ، لأنه أبيض لديه كل هذه النغمات الثقافية غير الضرورية التي يمكننا الاستغناء عنها في العصر الحديث.

وبالتالي، TLP:WHITE أصبح للتو TLP:CLEAR، وهي في رأيي كلمة أفضل بكثير لأنها تقول ، "أنت واضح لاستخدام هذه البيانات" ، وهذه النية مذكورة بوضوح شديد. (آسف ، لم أستطع مقاومة التورية.)

وهناك طبقة إضافية (لذا فقد أفسدت الاستعارة قليلاً - إنها الآن إشارة مرور ملونة * خمسة * ملونة!).

هناك مستوى خاص يسمى TLP:AMBER+STRICT، وما يعنيه ذلك ، "يمكنك مشاركة هذا داخل شركتك".

لذلك قد تتم دعوتك إلى اجتماع ، وربما تعمل في شركة للأمن السيبراني ، ومن الواضح تمامًا أنك ستحتاج إلى إظهار ذلك للمبرمجين ، وربما لفريق تكنولوجيا المعلومات لديك ، وربما لأفراد ضمان الجودة لديك ، لذلك يمكنك إجراء بحث حول المشكلة أو التعامل مع حلها.

لكن TLP:AMBER+STRICT يعني أنه على الرغم من أنه يمكنك تعميمه داخل مؤسستك ، * من فضلك لا تخبر عملائك أو عملائك * ، أو حتى الأشخاص خارج الشركة الذين تعتقد أنهم قد يحتاجون إلى معرفتها.

احتفظ به داخل المجتمع الأكثر إحكامًا لتبدأ به.

TLP:AMBER، كما كان من قبل ، يعني ، "حسنًا ، إذا كنت تشعر أنك بحاجة إلى إخبار عملائك ، يمكنك ذلك."

وقد يكون ذلك مهمًا ، لأنه في بعض الأحيان قد ترغب في إبلاغ عملائك ، "مرحبًا ، لدينا الإصلاح قادمًا. ستحتاج إلى اتخاذ بعض الخطوات الاحترازية قبل وصول الإصلاح. ولكن لأنها حساسة نوعًا ما ، هل يمكننا أن نطلب منك ألا تخبر العالم بعد؟ "

في بعض الأحيان ، فإن إخبار العالم مبكرًا جدًا يصب في مصلحة المحتالين أكثر مما يصب في أيدي المدافعين.

لذا ، إذا كنت مستجيبًا للأمن السيبراني ، أقترح عليك أن تقوم بما يلي: https://www.first.org/tlp

---

دوغ.  ويمكنك اقرأ المزيد عن ذلك على موقعنا ، Nakedsecurity.sophos.com.

وإذا كنت تبحث عن قراءة ضوئية أخرى ، فانسى التشفير الكمي ... نحن ننتقل إلى تشفير ما بعد الكمبول!

---

بطة.  نعم ، لقد تحدثنا عن هذا عدة مرات من قبل في البودكاست ، أليس كذلك؟

فكرة الكمبيوتر الكمومي ، بافتراض إمكانية بناء جهاز قوي وموثوق بما فيه الكفاية ، هي أنه يمكن تسريع أنواع معينة من الخوارزميات على أحدث ما توصلت إليه التكنولوجيا اليوم ، إما بتناغم مع الجذر التربيعي ... أو ما هو أسوأ ، * لوغاريتم * لحجم المشكلة اليوم.

بمعنى آخر ، بدلاً من أخذ 2²⁵⁶ يحاول العثور على ملف به تجزئة معينة ، فقد تتمكن من القيام بذلك في ("فقط"!) 2¹²⁸ يحاول ، وهو الجذر التربيعي.

من الواضح أنه أسرع بكثير.

ولكن هناك فئة كاملة من المشكلات التي تتضمن تحليل نواتج الأعداد الأولية إلى عوامل والتي تقول النظرية إنه يمكن كسرها في * لوغاريتم * الوقت الذي تستغرقه اليوم ، بشكل فضفاض.

لذا ، بدلاً من أخذ ، لنقل ، 2¹²⁸ أيام للتصدع [أطول بكثير من العصر الحالي للكون] ، قد يستغرق الأمر 128 يومًا فقط للتصدع.

أو يمكنك استبدال "أيام" بـ "دقائق" ، أو أيًا كان.

ولسوء الحظ ، فإن خوارزمية الوقت اللوغاريتمية (تسمى خوارزمية شور للعوامل الكمومية)... يمكن ، من الناحية النظرية ، تطبيقه على بعض تقنيات التشفير الحالية ، لا سيما تلك المستخدمة في تشفير المفتاح العام.

وفي حالة ما إذا أصبحت أجهزة الحوسبة الكمومية هذه ممكنة في السنوات القليلة المقبلة ، فربما يجب أن نبدأ التحضير الآن لخوارزميات التشفير التي ليست عرضة لهاتين الفئتين المحددتين من الهجوم؟

على وجه الخصوص اللوغاريتم ، لأنه يسرع الهجمات المحتملة بشكل كبير لدرجة أن مفاتيح التشفير التي نعتقد حاليًا ، "حسنًا ، لن يكتشف أحد ذلك أبدًا" ، قد تصبح قابلة للكشف في مرحلة لاحقة.

على أي حال ، NIST ، ملف المعهد الوطني للمعايير والتكنولوجيا في الولايات المتحدة الأمريكية ، منذ عدة سنوات ، تجري مسابقة لمحاولة توحيد بعض الخوارزميات العامة غير المسجلة والمدققة جيدًا والتي ستكون مقاومة لأجهزة الكمبيوتر الكمومية السحرية ، إذا ظهرت في أي وقت.

وقد اختاروا مؤخرًا أربع خوارزميات تم إعدادهم لتوحيدها الآن.

لديهم أسماء رائعة ، دوغ ، لذلك عليّ أن أقرأها: CRYSTALS-KYBER, CRYSTALS-DILITHIUM, FALCONو SPHINCS+. [ضحك]

لذلك لديهم أسماء رائعة ، إذا لم يكن هناك شيء آخر.

لكن في نفس الوقت ، NIST برزت ، "حسنًا ، هذه أربع خوارزميات فقط. ما سنفعله هو أننا سنختار أربعة آخرين كمرشحين ثانويين محتملين ، وسنرى ما إذا كان ينبغي أن يمر أي منهم أيضًا ".

إذن ، هناك أربع خوارزميات قياسية الآن ، وأربع خوارزميات قد يتم توحيدها في المستقبل.

أو * كان هناك * أربعة في الخامس من تموز (يوليو) 5 ، وكان أحدهم كذلك SIKE، باختصار ل تغليف مفتاح متساوي التماثل الفائق.

(سنحتاج إلى العديد من ملفات البودكاست لشرح تماثل الجينات الفائق ، لذلك لن ننزعج. [ضحك])

لكن ، لسوء الحظ ، هذا ، الذي كان معلقًا هناك مع فرصة قتالية لتوحيده ، يبدو كما لو أنه تم كسره بشكل لا يمكن إصلاحه ، على الرغم من خمس سنوات على الأقل من كونها مفتوحة للتدقيق العام بالفعل.

لذا ، لحسن الحظ ، قبل أن تصبح موحدة أو يمكن أن تصبح موحدة ، اكتشف اثنان من خبراء التشفير البلجيكيين ، "أتعلم؟ نعتقد أن لدينا طريقة للتغلب على هذا باستخدام حسابات تستغرق حوالي ساعة ، على وحدة معالجة مركزية متوسطة إلى حد ما ، باستخدام نواة واحدة فقط ".

---

دوغ.  أعتقد أنه من الأفضل اكتشاف ذلك الآن وليس بعد توحيده ونشره في البرية؟

---

بطة.  في الواقع!

أعتقد أنه إذا كانت إحدى الخوارزميات التي تم توحيدها بالفعل ، فسيتعين عليهم إلغاء المعيار والتوصل إلى معيار جديد؟

يبدو من الغريب أن هذا لم يتم ملاحظته لمدة خمس سنوات.

لكن أعتقد أن هذه هي الفكرة الكاملة للتدقيق العام: فأنت لا تعرف أبدًا متى قد يضرب شخص ما الصدع المطلوب ، أو الإسفين الصغير الذي يمكنهم استخدامه لاقتحام وإثبات أن الخوارزمية ليست قوية كما كان يعتقد في الأصل.

تذكير جيد بأنه إذا * فكرت يومًا في حياكة التشفير الخاص بك ...

---

دوغ.  [يضحك] لم أفعل!

---

بطة.  .. على الرغم من أننا أخبرناك في بودكاست Naked Security N Times ، "لا تفعل ذلك!"

يجب أن يكون هذا هو التذكير النهائي بأنه حتى عندما يضع الخبراء الحقيقيون خوارزمية تخضع للتدقيق العام في مسابقة عالمية لمدة خمس سنوات ، فإن هذا لا يزال لا يوفر بالضرورة وقتًا كافيًا لفضح العيوب التي تبين أنها سيئة للغاية.

لذلك ، من المؤكد أنها لا تبدو جيدة لهذا SIKE الخوارزمية.

ومن يدري ربما يتم سحبها؟

---

دوغ.  سوف نراقب ذلك.

وبما أن الشمس تغرب ببطء في عرضنا لهذا الأسبوع ، فقد حان الوقت للاستماع إلى أحد قرائنا حول قصة GitHub التي ناقشناها سابقًا.

سلب يكتب:

"هناك بعض الطباشير والجبن في التعليقات ، وأنا أكره أن أقول ذلك ، لكنني حقًا أستطيع أن أرى جانبي الجدل. هل هي خطيرة ومزعجة ومضيعة للوقت وتستهلك الموارد؟ نعم، بالطبع هو عليه. هل هذا ما سيفعله أصحاب التفكير الإجرامي؟ نعم نعم انها هي. هل هو تذكير لأي شخص يستخدم GitHub ، أو أي نظام مستودع رموز آخر في هذا الشأن ، بأن السفر عبر الإنترنت بأمان يتطلب درجة صحية من السخرية والبارانويا؟ نعم. بصفتي مسؤول نظام ، يريد جزء مني أن أشيد بالتعرض للمخاطر التي في متناول اليد. بصفتي مسؤول نظام لمجموعة من المطورين ، فأنا الآن بحاجة للتأكد من أن الجميع قد بحث مؤخرًا عن أي عمليات سحب بحثًا عن إدخالات مشكوك فيها ".

---

بطة.  نعم ، شكرًا لك ، RobB ، على هذا التعليق ، لأنني أعتقد أنه من المهم رؤية كلا الجانبين من النقاش.

كان هناك معلقون قالوا للتو ، "ما المشكلة في هذا؟ هذا عظيم!"

قال أحدهم ، "لا ، في الواقع ، اختبار القلم هذا جيد ومفيد. كن سعيدًا لأنه يتم الكشف عن هؤلاء الآن بدلاً من رفع رأسهم القبيح من مهاجم حقيقي ".

وردّي على ذلك ، "حسنًا ، هذا * * * هجوم ، في الواقع."

كل ما في الأمر أن شخصًا ما قد خرج الآن بعد ذلك ، قائلاً "أوه ، لا ، لا. لا ضرر القيام به! بصراحة ، لم أكن شقيًا ".

لا أعتقد أنك ملزم بشراء هذا العذر!

لكن على أي حال ، هذا ليس اختبار اختراق.

كان جوابي أن أقول ، بكل بساطة: "مختبرو الاختراق المسؤول لا يتصرفون أبدًا إلا [أ] بعد الحصول على إذن صريح ، و [ب] ضمن الحدود السلوكية المتفق عليها صراحة مسبقًا."

أنت لا تضع القواعد الخاصة بك فقط ، وقد ناقشنا هذا من قبل.

لذلك ، كما قال معلق آخر ، أعتقد أنه تعليقي المفضل ... قال Ecurb, "أعتقد أن شخصًا ما يجب أن يمشي من منزل إلى منزل ويحطم النوافذ لإظهار مدى فعالية أقفال الأبواب. هذا فات موعد استحقاقه. شخص ما يقفز على هذا ، من فضلك ".

وبعد ذلك ، في حالة عدم إدراكك أن ذلك كان هجاءً يا رفاق ، كما يقول ، "ليس!"

---

بطة.  لدي فكرة أنه تذكير جيد ، ولدي فكرة أنه إذا كنت من مستخدمي GitHub ، كمنتج ومستهلك ، فهناك أشياء يمكنك القيام بها.

نحن ندرجهم في التعليقات وفي المقال.

على سبيل المثال ، ضع توقيعًا رقميًا على جميع التزاماتك بحيث يكون واضحًا أن التغييرات جاءت منك ، وهناك نوع من التتبع.

ولا تستهلك الأشياء بشكل أعمى فقط لأنك أجريت بحثًا و "بدا وكأنه" قد يكون المشروع الصحيح.

نعم ، يمكننا جميعًا أن نتعلم من هذا ، ولكن هل هذا في الواقع يعلمنا ، أم أنه مجرد شيء يجب أن نتعلمه على أي حال؟

أعتقد أن هذا ليس تعليمًا.

إنه فقط * ليس بمستوى عالٍ بما يكفي * ليتم اعتباره بحثًا.

---

دوغ.  مناقشة رائعة حول هذه المقالة ، وشكرًا لإرسال ذلك يا روب.

إذا كانت لديك قصة مثيرة للاهتمام أو تعليق أو سؤال ترغب في إرساله ، فنحن نحب قراءته في البودكاست.

يمكنك البريد الالكتروني tips@sophos.com؛ يمكنك التعليق على أي من مقالاتنا ؛ أو يمكنك التواصل معنا على مواقع التواصل الاجتماعي: @NakedSecurity.

هذا هو عرضنا لهذا اليوم - شكرًا جزيلاً على الاستماع.

بالنسبة لبول دوكلين ، أنا دوج أموث أذكرك ، حتى المرة القادمة ، بـ ...

---

على حد سواء.  كن آمنا!

[مودم موسيقي]