S3 Ep113: Pwning des Windows-Kernels – die Gauner, die Microsoft [Audio + Text] PlatoBlockchain Data Intelligence hintergangen haben. Vertikale Suche. Ai.

S3 Ep113: Pwning des Windows-Kernels – Die Gauner, die Microsoft hinters Licht geführt haben [Audio + Text]

Zeitstempel: 15. Dezember 2022, 12:10 Uhr

by
Paul Ducklin

PWN DES WINDOWS-KERNELS

Klicken und ziehen Sie auf die unten stehenden Schallwellen, um zu einem beliebigen Punkt zu springen. Du kannst auch direkt zuhören auf Soundcloud.

Mit Doug Aamoth und Paul Ducklin. Intro- und Outro-Musik von Edith Mudge.

Ihr könnt uns auf hören Soundcloud, Apple Podcasts, Google Podcasts, Spotify, Stitcher und überall, wo gute Podcasts zu finden sind. Oder lass es einfach fallen URL unseres RSS-Feeds in Ihren Lieblings-Podcatcher.

LESEN SIE DAS TRANSKRIPT

DOUG.  Drahtlose Spyware, Kreditkarten-Skimming und Patches in Hülle und Fülle.

All das und mehr im Naked Security-Podcast.

[MUSIKMODEM]

Willkommen zum Podcast, alle zusammen.

Ich bin Doug Aamoth; er ist Paul Ducklin.

Paul, wie geht es dir?

ENTE.  Mir geht es sehr gut, Doug.

Kalt, aber gut.

DOUG.  Hier ist es auch eiskalt und alle sind krank … aber das ist Dezember für dich.

Apropos Dezember, wir beginnen die Show gerne mit unserem Diese Woche in der Technologiegeschichte Segment.

Wir haben diese Woche einen spannenden Eintrag – am 16. Dezember 2003 wurde der CAN-SPAM Act vom damaligen US-Präsidenten George W. Bush in Kraft gesetzt.

Ein Backronym für Kontrolle des Angriffs von nicht angeforderter Pornografie und Marketing, wurde CAN-SPAM als relativ zahnlos angesehen, weil zum Beispiel keine Einwilligung der Empfänger erforderlich war, um Marketing-E-Mails zu erhalten, und Einzelpersonen nicht erlaubt wurden, Spammer zu verklagen.

Es wurde angenommen, dass im Jahr 2004 weniger als 1 % der Spam-Mails tatsächlich dem Gesetz entsprachen.

ENTE.  Ja, das ist im Nachhinein leicht zu sagen…

… aber wie einige von uns damals scherzten, dachten wir, sie nannten es CAN-SPAM, weil das *genau* das ist, was man tun könnte. [LACHEN]

DOUG.  „Sie können spammen!“

ENTE.  Ich schätze, die Idee war: „Lasst uns mit einer sehr sanften Herangehensweise beginnen.“

[Schiefer Ton] Das war der Anfang, zugegebenermaßen, nicht so viel.

DOUG.  [LACHT] Irgendwann werden wir es schaffen.

Apropos schlimm und schlimmer…

…Microsoft Patch Tuesday – hier nichts zu sehen, es sei denn, man zählt einen dazu signierter bösartiger Kernel-Treiber?!

Signierte Treiber-Malware rückt in der Software-Vertrauenskette nach oben

ENTE.  Nun, eigentlich mehrere – das Sophos Rapid Response-Team hat diese Artefakte bei Einsätzen gefunden, die es durchgeführt hat.

Nicht nur Sophos – mindestens zwei weitere Cybersicherheits-Forschungsgruppen sind laut Microsoft in letzter Zeit über diese Dinge gestolpert: Kernel-Treiber, die von Microsoft quasi mit einem digitalen Gütesiegel versehen wurden.

Microsoft hat jetzt ein Advisory veröffentlicht, das betrügerische Partner beschuldigt.

Ob sie tatsächlich ein Unternehmen gegründet haben, das vorgab, Hardware herzustellen, insbesondere um sich dem Treiberprogramm anzuschließen, mit der Absicht, zwielichtige Kerneltreiber durchzuschmuggeln?

Oder ob sie eine Firma bestochen haben, die bereits Teil des Programms war, um mit ihnen zu spielen?

Oder ob sie sich in ein Unternehmen gehackt haben, das nicht einmal bemerkt hat, dass es als Vehikel benutzt wurde, um Microsoft zu sagen: „Hey, wir müssen diesen Kernel-Treiber produzieren – werden Sie ihn zertifizieren?“ …

Das Problem mit zertifizierten Kernel-Treibern liegt natürlich darin, dass sie von Microsoft signiert werden müssen, und da die Treibersignierung unter Windows obligatorisch ist, bedeutet dies, dass Sie, wenn Sie Ihren Kernel-Treiber signieren lassen können, keine Hacks oder Schwachstellen benötigen oder Exploits, um einen als Teil eines Cyberangriffs laden zu können.

Sie können einfach den Treiber installieren und das System sagt: „Na ja, es ist signiert. Es ist daher zulässig, es zu laden.“

Und natürlich können Sie viel mehr Schaden anrichten, wenn Sie sich im Kernel befinden, als wenn Sie „nur“ Administrator sind.

Insbesondere erhalten Sie Insider-Zugang zum Prozessmanagement.

Als Administrator können Sie ein Programm mit der Aufschrift „Ich möchte das XYZ-Programm beenden“ ausführen, bei dem es sich beispielsweise um ein Antiviren- oder ein Bedrohungssuchtool handeln kann.

Und dieses Programm kann sich dem Herunterfahren widersetzen, da, vorausgesetzt, es ist ebenfalls auf Administratorebene, keiner der Prozesse absolut den Vorrang vor dem anderen beanspruchen kann.

Aber wenn Sie sich innerhalb des Betriebssystems befinden, ist es das Betriebssystem, das sich um das Starten und Beenden von Prozessen kümmert, sodass Sie viel mehr Möglichkeiten haben, Dinge wie Sicherheitssoftware zu beenden …

… und anscheinend haben diese Gauner genau das getan.

In „Geschichte wiederholt sich“ erinnere ich mich, dass wir vor Jahren, als wir Software untersuchten, die zum Beenden von Sicherheitsprogrammen verwendet wurde, normalerweise Listen mit zwischen 100 und 200 Prozessen hatten, die sie töten wollten: Betriebssystem Prozesse, Antivirenprogramme von 20 verschiedenen Anbietern, all diese Dinge.

Und dieses Mal, glaube ich, gab es 186 Programme, die ihr Treiber töten sollte.

Also ein bisschen peinlich für Microsoft.

Glücklicherweise haben sie diese bösartigen Programmierer jetzt aus ihrem Entwicklerprogramm geworfen und zumindest alle bekannten zwielichtigen Treiber auf die Blockliste gesetzt.

DOUG.  Das war also noch nicht alles am Patchday enthüllt.

Es gab auch einige Zero-Days, einige RCE-Bugs und andere Dinge dieser Art:

Patch Tuesday: 0-Days, RCE-Bugs und eine merkwürdige Geschichte von signierter Malware

ENTE.  Ja.

Glücklicherweise waren die in diesem Monat behobenen Zero-Day-Bugs keine sogenannten RCEs oder Remote-Code-Ausführung Löcher.

Sie gaben Angreifern von außen also keinen direkten Weg, einfach in Ihr Netzwerk einzudringen und alles auszuführen, was sie wollten.

Aber es gab einen Fehler im Kernel-Treiber in DirectX, der es jemandem, der bereits auf Ihrem Computer war, erlaubte, sich selbst zu fördern, um Befugnisse auf Kernel-Ebene zu haben.

Das ist also ein bisschen so, als würdest du deinen eigenen signierten Treiber mitbringen – du *weißt*, dass du ihn laden kannst.

In diesem Fall nutzen Sie einen Fehler in einem vertrauenswürdigen Treiber aus, mit dem Sie Dinge im Kernel tun können.

Offensichtlich ist das die Art von Dingen, die einen Cyberangriff, der bereits eine schlechte Nachricht ist, zu etwas sehr, sehr viel Schlimmerem macht.

Sie wollen also auf jeden Fall dagegen patchen.

Interessanterweise scheint dies nur für den allerneuesten Build zu gelten, dh 2022H2 (zweiten Hälfte des Jahres steht für H2) von Windows 11.

Sie möchten auf jeden Fall sicherstellen, dass Sie das haben.

Und es gab einen faszinierenden Fehler in Windows SmartScreen, das im Grunde das Windows-Filtertool ist, das Sie warnt, wenn Sie versuchen, etwas herunterzuladen, das gefährlich sein könnte oder ist.

Also, offensichtlich, wenn die Gauner gefunden haben: „Oh, nein! Wir haben diesen Malware-Angriff und er hat wirklich gut funktioniert, aber jetzt blockiert Smart Screen ihn, was werden wir tun?“…

…entweder können sie weglaufen und einen völlig neuen Angriff aufbauen, oder sie finden eine Schwachstelle, die es ihnen ermöglicht, Smart Screen zu umgehen, sodass die Warnung nicht angezeigt wird.

Und genau das ist in CVE-2022-44698, Douglas, passiert.

Das sind also die Nulltage.

Wie Sie sagten, gibt es einige Fehler bei der Remote-Code-Ausführung in der Mischung, aber keiner davon ist bekanntermaßen in freier Wildbahn.

Wenn Sie gegen diese patchen, kommen Sie den Gaunern einen Schritt voraus, anstatt nur aufzuholen.

DOUG.  OK, bleiben wir beim Thema Patches…

… und ich liebe den ersten Teil davon Schlagzeile.

Es heißt nur: „Apple patcht alles“:

Apple patcht alles und enthüllt endlich das Geheimnis von iOS 16.1.2

ENTE.  Ja, mir fiel keine Möglichkeit ein, alle Betriebssysteme in 70 Zeichen oder weniger aufzulisten. [LACHEN]

Also dachte ich: „Nun, das ist buchstäblich alles.“

Und das Problem ist, dass wir das letzte Mal über ein Apple-Update geschrieben haben nur iOS (iPhones) und nur iOS 16.1.2:

Apple bringt ein iOS-Sicherheitsupdate heraus, das so verschlossen ist wie nie zuvor

Was sollten Sie also tun, wenn Sie iOS 15 hätten?

Waren Sie gefährdet?

Wollten Sie das Update später bekommen?

Diesmal kamen die Neuigkeiten über das letzte Update endlich in die Wäsche.

Anscheinend, Doug, haben wir dieses iOS 16.1.2-Update deshalb erhalten, weil es einen Exploit in freier Wildbahn gab, der jetzt als CVE-2022-42856 bekannt ist, und das war ein Fehler in WebKit, der Web-Rendering-Engine innerhalb von Apples Betriebssystemen.

Und anscheinend könnte dieser Fehler einfach dadurch ausgelöst werden, dass Sie dazu verleitet werden, sich einige mit Sprengfallen versehene Inhalte anzusehen – was in der Branche als a bekannt ist Driveby installieren, wo Sie nur einen Blick auf eine Seite werfen und im Hintergrund „Oh je“, Malware installiert wird.

Jetzt funktionierte der gefundene Exploit anscheinend nur unter iOS.

Das ist vermutlich der Grund, warum Apple keine Updates für alle anderen Plattformen herausgebracht hat, obwohl macOS (alle drei unterstützten Versionen), tvOS, iPadOS … alle tatsächlich diesen Fehler enthielten.

Das einzige System, das dies anscheinend nicht tat, war watchOS.

Dieser Fehler war also in so ziemlich der gesamten Software von Apple, aber anscheinend war er, soweit sie wussten, nur über einen Exploit in der Wildnis unter iOS ausnutzbar.

Aber jetzt sagen sie seltsamerweise: „Nur auf iOS vor 15.1“, was Sie fragen lässt: „Warum haben sie in diesem Fall kein Update für iOS 15 herausgebracht?“

Wir wissen es einfach nicht!

Vielleicht haben sie gehofft, dass, wenn sie iOS 16.1.2 herausbringen, einige Leute auf iOS 15 sowieso aktualisieren würden, und das würde das Problem für sie beheben?

Oder vielleicht waren sie sich noch nicht sicher, ob iOS 16 nicht anfällig war, und es war schneller und einfacher, das Update herauszubringen (wofür sie einen genau definierten Prozess haben), als genügend Tests durchzuführen, um festzustellen, dass der Fehler nicht nicht leicht auf iOS 16 ausgenutzt werden.

Wir werden es wahrscheinlich nie erfahren, Doug, aber das alles ist eine ziemlich faszinierende Hintergrundgeschichte!

Aber wie Sie sagten, gibt es tatsächlich ein Update für alle mit einem Produkt mit einem Apple-Logo darauf.

Also: Zögere nicht/mach es heute.

DOUG.  Kommen wir zu unseren Freunden an der Ben-Gurion-Universität … sie sind wieder dabei.

Sie haben einige drahtlose Spyware entwickelt – ein nettes kleines bisschen Wireless-Spyware-Trick:

COVID-Bit: Der drahtlose Spyware-Trick mit einem unglücklichen Namen

ENTE.  Ja… ich bin mir nicht sicher über den Namen; Ich weiß nicht, was sie sich dabei gedacht haben.

Sie haben es gerufen COVID-bit.

DOUG.  Ein bisschen komisch.

ENTE.  Ich denke, wir wurden alle auf die eine oder andere Weise von COVID gebissen …

DOUG.  Vielleicht ist es das?

ENTE.  Das COV soll stehen versteckt, und sie sagen nicht was ID-bit steht für.

Ich vermutete, dass es „Informationsoffenlegung Stück für Stück“ sein könnte, aber es ist nichtsdestotrotz eine faszinierende Geschichte.

Wir lieben es, über die Forschung zu schreiben, die diese Abteilung durchführt, denn obwohl es für die meisten von uns ein wenig hypothetisch ist …

… sie untersuchen, wie man Netzwerk-Airgaps verletzt, wo Sie ein sicheres Netzwerk betreiben, das Sie bewusst von allem anderen trennen.

Für die meisten von uns ist das also zumindest zu Hause kein großes Problem.

Aber was sie sehen ist, dass * selbst wenn Sie ein Netzwerk physisch von einem anderen abschotten *, und heutzutage gehen Sie rein und reißen alle drahtlosen Karten, die Bluetooth-Karten, die Near Field Communications-Karten heraus oder schneiden Drähte und brechen Leiterbahnen auf der Platine, um zu verhindern, dass die drahtlose Verbindung funktioniert …

… gibt es noch eine Möglichkeit, dass entweder ein Angreifer, der sich einmalig Zugang zum sicheren Bereich verschafft, oder ein korrupter Insider Daten auf weitgehend unauffindbare Weise preisgeben könnte?

Und leider stellt sich heraus, dass es viel schwieriger ist, ein Netzwerk von Computergeräten vollständig von einem anderen abzuschotten, als Sie denken.

Regelmäßige Leser werden wissen, dass wir über jede Menge Sachen geschrieben haben, die sich diese Jungs vorher ausgedacht haben.

Sie hatten GAIROSCOPE, wo Sie tatsächlich ein Mobiltelefon wiederverwenden Kompass-Chip als Low-Fidelity-Mikrofon.

DOUG.  [LACHT] Daran erinnere ich mich:

Verletzung der Airgap-Sicherheit: Verwendung des Gyroskops Ihres Telefons als Mikrofon

ENTE.  Weil diese Chips Vibrationen gerade gut genug wahrnehmen können.

Sie hatten LANTENNA, bei dem Sie Signale in ein kabelgebundenes Netzwerk einspeisen, das sich innerhalb des sicheren Bereichs befindet, und die Netzwerkkabel fungieren tatsächlich als solche Mini-Radiosender.

Sie geben gerade so viel elektromagnetische Strahlung ab, dass Sie sie möglicherweise außerhalb des sicheren Bereichs aufnehmen können, also verwenden sie ein kabelgebundenes Netzwerk als drahtlosen Sender.

Und sie hatten eine Sache, die sie scherzhaft den FANSMITTER nannten, wo Sie hingehen: „Nun, können wir Audiosignale machen? Natürlich, wenn wir nur Melodien über den Lautsprecher spielen, wie [Wählgeräusche] Piep-Piep-Piep-Piep-Piep, wird es ziemlich offensichtlich sein.“

Was aber, wenn wir die CPU-Last variieren, damit der Lüfter schneller und langsamer wird – könnten wir das gebrauchen Änderung der Lüfterdrehzahl fast wie eine Art Formsignal?

Kann Ihr Computerlüfter dazu verwendet werden, Sie auszuspionieren?

Und bei diesem jüngsten Angriff dachten sie sich: „Wie sonst können wir etwas in fast jeden Computer der Welt verwandeln, etwas, das unschuldig genug erscheint … wie können wir es in einen sehr, sehr energiesparenden Radiosender verwandeln?“

Und in diesem Fall konnten sie es mit der Stromversorgung tun.

Sie konnten dies in einem Raspberry Pi, in einem Dell-Laptop und in einer Vielzahl von Desktop-PCs tun.

Sie verwenden die eigene Stromversorgung des Computers, die im Grunde sehr, sehr hochfrequente Gleichstromschaltungen durchführt, um eine Gleichspannung zu zerhacken, normalerweise um sie zu reduzieren, Hunderttausende oder Millionen Mal pro Sekunde.

Sie fanden einen Weg, um elektromagnetische Strahlung austreten zu lassen – Radiowellen, die sie mit einem Mobiltelefon aus einer Entfernung von bis zu 2 Metern empfangen konnten …

… selbst wenn bei diesem Mobiltelefon alle drahtlosen Funktionen ausgeschaltet oder sogar vom Gerät entfernt wurden.

Der Trick, den sie sich ausgedacht haben, ist: Sie schalten die Geschwindigkeit, mit der es schaltet, und Sie erkennen die Änderungen in der Schaltfrequenz.

Stellen Sie sich vor, wenn Sie eine niedrigere Spannung wünschen (wenn Sie beispielsweise 12 V auf 4 V herunterhacken möchten), ist die Rechteckwelle ein Drittel der Zeit eingeschaltet und zwei Drittel der Zeit ausgeschaltet.

Wenn Sie 2 V wollen, müssen Sie das Verhältnis entsprechend ändern.

Und es stellt sich heraus, dass die modernen CPUs sowohl ihre Frequenz als auch ihre Spannung variieren, um Strom und Überhitzung zu verwalten.

Indem sie also die CPU-Last auf einem oder mehreren der Kerne in der CPU änderten – indem sie Aufgaben einfach mit einer vergleichsweise niedrigen Frequenz zwischen 5000 und 8000 Mal pro Sekunde hoch- und runterfahren – konnten sie den Switched-Modus erreichen Netzteil, um bei diesen niedrigen Frequenzen *seine Schaltmodi umzuschalten*.

Und das erzeugte sehr niederfrequente Funkausstrahlungen von Leiterbahnen oder Kupferdrähten in der Stromversorgung.

Und sie waren in der Lage, diese Emanationen mit einer Funkantenne zu entdecken, die nicht raffinierter war als eine einfache Drahtschleife!

Also, was macht man mit einer Drahtschleife?

Nun, du tust so, Doug, dass es ein Mikrofonkabel oder ein Kopfhörerkabel ist.

Sie schließen es an eine 3.5-mm-Audiobuchse an und stecken es wie einen Kopfhörer in Ihr Mobiltelefon …

DOUG.  Wow.

ENTE.  Sie nehmen das Audiosignal auf, das von der Drahtschleife erzeugt wird – denn das Audiosignal ist im Grunde eine digitale Darstellung des sehr niederfrequenten Funksignals, das Sie aufgenommen haben.

Sie konnten daraus Daten mit einer Geschwindigkeit zwischen 100 Bit pro Sekunde bei Verwendung des Laptops, 200 Bit pro Sekunde mit dem Raspberry Pi und bis zu 1000 Bit pro Sekunde bei einer sehr niedrigen Fehlerrate extrahieren die Desktop-Rechner.

Sie können Dinge wie AES-Schlüssel, RSA-Schlüssel und sogar kleine Datendateien mit dieser Art von Geschwindigkeit herausbringen.

Ich fand das eine faszinierende Geschichte.

Wenn Sie einen sicheren Bereich betreiben, möchten Sie auf jeden Fall mit diesen Dingen Schritt halten, denn wie das alte Sprichwort sagt: „Angriffe werden nur besser oder intelligenter.“

DOUG.  Und niedrigere Technik. [LACHEN]

Alles ist digital, außer wir haben dieses analoge Leck, das verwendet wird, um AES-Schlüssel zu stehlen.

Es ist faszinierend!

ENTE.  Nur eine Erinnerung daran, dass Sie darüber nachdenken müssen, was sich auf der anderen Seite der sicheren Wand befindet, denn „aus den Augen ist ganz sicher nicht unbedingt aus dem Sinn“.

DOUG.  Nun, das passt gut zu unserem letzte Geschichte – etwas, das aus den Augen, aber nicht aus dem Sinn ist:

Kreditkarten-Skimming – der lange und kurvenreiche Weg zum Scheitern der Lieferkette

Wenn Sie jemals eine Webseite erstellt haben, wissen Sie, dass Sie Analysecode – eine kleine JavaScript-Zeile – für Google Analytics oder ähnliche Unternehmen dort einfügen können, um zu sehen, wie sich Ihre Statistiken entwickeln.

Anfang der 2010er Jahre gab es ein kostenloses Analyseunternehmen namens Cockpit, und so fügten die Leute diesen Cockpit-Code – diese kleine JavaScript-Zeile – in ihre Webseiten ein.

Aber Cockpit schloss 2014 und ließ den Domainnamen verfallen.

Und dann, im Jahr 2021, dachten Cyberkriminelle: „Einige E-Commerce-Sites lassen diesen Code immer noch laufen; Sie nennen dieses immer noch JavaScript. Warum kaufen wir nicht einfach den Domainnamen auf und können dann alles, was wir wollen, in diese Sites einfügen, die diese JavaScript-Zeile immer noch nicht entfernt haben?“

ENTE.  Ja.

Was könnte schon gut laufen, Doug?

DOUG.  [LACHT] Genau!

ENTE.  Sieben Jahre!

Sie hätten in all ihren Testprotokollen einen Eintrag gehabt, der besagte: Could not source the file cockpit.js (oder was auch immer es war) from site cockpit.jp, Ich denke, es war.

Also, wie Sie sagen, als die Gauner die Domain wieder anzündeten und anfingen, Dateien dort hochzuladen, um zu sehen, was passieren würde …

… sie bemerkten, dass viele E-Commerce-Sites einfach blind und fröhlich den JavaScript-Code der Gauner konsumierten und in den Webbrowsern ihrer Kunden ausführten.

DOUG.  [LUAGHING] „Hey, meine Seite gibt keinen Fehler mehr aus, sie funktioniert.“

ENTE.  [UNGLAUBLICH] „Sie müssen es repariert haben“ … für ein besonderes Verständnis des Wortes „repariert“, Doug.

Wenn Sie natürlich beliebigen JavaScript-Code in die Webseite von jemandem einfügen können, dann können Sie diese Webseite so ziemlich dazu bringen, alles zu tun, was Sie wollen.

Und wenn Sie insbesondere auf E-Commerce-Websites abzielen, können Sie einen im Wesentlichen Spyware-Code so einstellen, dass er nach bestimmten Seiten sucht, die bestimmte Webformulare mit bestimmten benannten Feldern enthalten …

…wie Passnummer, Kreditkartennummer, CVV, was auch immer es ist.

Und Sie können einfach alle unverschlüsselten vertraulichen Daten, die persönlichen Daten, die der Benutzer eingibt, heraussaugen.

Es ist noch nicht in den HTTPS-Verschlüsselungsprozess gegangen, also saugen Sie es aus dem Browser, Sie verschlüsseln es *selbst* mit HTTPS und senden es an eine Datenbank, die von Gaunern betrieben wird.

Und natürlich können Sie auch Webseiten aktiv ändern, wenn sie eintreffen.

So können Sie jemanden auf eine Website locken – eine, die die *richtige* Website ist; Es ist eine Website, die sie schon einmal besucht haben, von der sie wissen, dass sie vertrauen können (oder sie denken, dass sie vertrauen können).

Wenn es auf dieser Website ein Webformular gibt, das sie beispielsweise normalerweise nach dem Namen und der Kontoreferenznummer fragt, fügen Sie einfach ein paar zusätzliche Felder ein, und vorausgesetzt, die Person vertraut der Website bereits ...

… wenn Sie Name, ID und [hinzufügen] Geburtsdatum sagen?

Es ist sehr wahrscheinlich, dass sie nur ihr Geburtsdatum eingeben, weil sie denken: „Ich nehme an, es ist Teil ihrer Identitätsprüfung.“

DOUG.  Dies ist vermeidbar.

Du könntest anfangen mit Überprüfung Ihrer webbasierten Lieferkettenglieder.

ENTE.  Ja.

Vielleicht einmal alle sieben Jahre wäre ein Anfang? [LACHEN]

Wenn Sie nicht suchen, dann sind Sie wirklich Teil des Problems, nicht Teil der Lösung.

DOUG.  Du könntest auch, oh, ich weiß nicht … überprüfen Sie Ihre Protokolle?

ENTE.  Ja.

Wieder einmal alle sieben Jahre könnte ein Start sein?

Lassen Sie mich nur sagen, was wir zuvor im Podcast gesagt haben, Doug …

…wenn Sie Protokolle sammeln, die Sie sich nie ansehen, *kümmern Sie sich einfach nicht darum, sie zu sammeln*.

Hören Sie auf, sich selbst etwas vorzumachen, und sammeln Sie die Daten nicht.

Denn eigentlich ist das Beste, was mit Daten passieren kann, wenn man sie sammelt und nicht anschaut, dass die falschen Leute nicht aus Versehen an sie herankommen.

DOUG.  Dann natürlich regelmäßig Testtransaktionen durchführen.

ENTE.  Soll ich sagen: „Alle sieben Jahre einmal wäre ein Anfang“? [LACHEN]

DOUG.  Natürlich, ja … [WRY] das könnte regelmäßig genug sein, nehme ich an.

ENTE.  Wenn Sie ein E-Commerce-Unternehmen sind und erwarten, dass Ihre Benutzer Ihre Website besuchen, sich an ein bestimmtes Erscheinungsbild gewöhnen und ihr vertrauen …

… dann sind Sie es ihnen schuldig, zu testen, ob das Aussehen und die Haptik stimmt.

Regelmäßig und häufig.

So einfach ist das.

DOUG.  OK sehr gut.

Und wenn die Show zu Ende geht, lassen Sie uns von einem unserer Leser zu dieser Geschichte hören.

Larry kommentiert:

Überprüfen Sie Ihre webbasierten Lieferkettenglieder?

Wish Epic Software hätte dies getan, bevor sie den Meta-Tracking-Bug an alle ihre Kunden verschickt hätten.

Ich bin davon überzeugt, dass es eine neue Generation von Entwicklern gibt, die der Meinung sind, dass es bei Entwicklung darum geht, überall im Internet Codefragmente zu finden und sie unkritisch in ihr Arbeitsprodukt einzufügen.

ENTE.  Wenn wir nur keinen solchen Code entwickelt hätten …

… wohin du gehst: „Ich weiß, ich werde diese Bibliothek benutzen; Ich lade es einfach von dieser fantastischen GitHub-Seite herunter, die ich gefunden habe.

Oh, es braucht eine ganze Menge anderer Sachen!?

Oh, schau, es kann die Anforderungen automatisch erfüllen … na, dann machen wir das einfach!“

Leider müssen Sie *Ihre Lieferkette besitzen*, und das bedeutet, alles zu verstehen, was dazu gehört.

Wenn Sie entlang der Software Bill of Materials [SBoM] denken, wo Sie denken: „Ja, ich werde alles auflisten, was ich verwende“, reicht es nicht aus, nur die erste Ebene der Dinge aufzulisten, die Sie verwenden.

Sie müssen auch all die Dinge kennen, dokumentieren können und wissen, dass Sie ihnen vertrauen können, und so weiter und so weiter:

Kleine Flöhe haben kleinere Flöhe
   Auf ihren Rücken, um sie zu beißen
Und kleinere Flöhe haben kleinere Flöhe
   Und so bis ins Unendliche.

*So* musst du deiner Lieferkette hinterher jagen!

DOUG.  Gut gesagt!

In Ordnung, vielen Dank, Larry, für diesen Kommentar.

Wenn Sie eine interessante Geschichte, einen Kommentar oder eine Frage haben, die Sie einreichen möchten, würden wir sie gerne im Podcast lesen.

Sie können eine E-Mail an tips@sophos.com senden, einen unserer Artikel kommentieren oder uns in den sozialen Netzwerken kontaktieren: @NakedSecurity.

Das ist unsere Show für heute; vielen dank fürs zuhören.

Für Paul Ducklin bin ich Doug Aamoth und erinnere Sie bis zum nächsten Mal daran, …

BEIDE.  Bleib sicher!

[MUSIKMODEM]

Zeitstempel:

Mehr von Nackte Sicherheit