S3 Ep146: در مورد آن نقض به ما بگویید! (اگر شما می خواهید.)

پخش کننده صوتی زیر نیست؟ گوش بده مستقیما در Soundcloud

---

دوغ.  به روز رسانی فایرفاکس، دیگری اشکال با نام چشمگیر، و SEC خواستار افشای آن است.

همه اینها و بیشتر در پادکست Naked Security.

[مودم موزیکال]

به پادکست خوش آمدید، همه.

من داگ آموت هستم. او پل داکلین است.

پل، امیدوارم به من افتخار کنی... می دانم که تو یک علاقه مند به دوچرخه سواری هستی.

من دیروز 10 مایل آمریکایی سوار دوچرخه شدم که فکر می کنم تقریباً 16 کیلومتر است، همه اینها در حالی که یک کودک کوچک اما نه سنگین را در یک کالسکه دو چرخ پشت دوچرخه می کشیدم.

و من هنوز زنده ام تا قصه بگویم.

آیا این راه طولانی برای دوچرخه سواری است، پل؟

---

اردک.  [می‌خندد] این بستگی دارد که واقعاً چقدر باید پیش بروید.

مثلاً اگر واقعاً 1200 متر بود که باید می رفتی و گم می شدی... [خنده]

اشتیاق من به دوچرخه سواری بسیار زیاد است، اما این بدان معنا نیست که من عمداً بیشتر از آنچه نیاز دارم رکاب بزنم، زیرا این راه اصلی من برای دور زدن است.

ولی 10 مایل مشکلی نداره

آیا می دانستید که مایل های آمریکا و مایل های بریتانیا در واقع یکسان هستند؟

---

دوغ.  دانستنش خوب است. خوب است که آن را بدانی!

---

اردک.  و از سال 1959، زمانی که گروهی از کشورها از جمله، به نظر من، کانادا، آفریقای جنوبی، استرالیا، ایالات متحده و بریتانیا گرد هم آمدند و توافق کردند که در یک «اینچ بین‌المللی» استانداردسازی کنند.

من فکر می کنم اینچ امپریال خیلی خیلی کمی کوچکتر شد و اینچ آمریکایی خیلی خیلی کمی طولانی تر شد، در نتیجه اینچ (و بنابراین حیاط، و پا، و مایل)…

... همه آنها بر حسب متر تعریف شده اند.

یک اینچ دقیقاً 25.4 میلی متر است

سه رقم مهم تمام چیزی است که شما نیاز دارید.

---

دوغ.  شگفت انگیز!

خوب، صحبت از جذاب، آن زمان برای ما است این هفته در تاریخ فناوری بخش.

این هفته، در 01 اوت 1981، تلویزیون موسیقی، همچنین به عنوان MTV، به عنوان بخشی از بسته های تلویزیون کابلی و ماهواره ای آمریکا به صورت زنده پخش شد و عموم را با نماهنگ ها آشنا کرد.

اولین نفر [در واقع به خوبی می خواند] "ویدئو ستاره رادیو را کشت" توسط The Buggles را بازی کرد.

در آن زمان مناسب بود، اگرچه امروزه طعنه آمیز است زیرا MTV دیگر به ندرت موزیک ویدیو پخش می کند و هیچ موزیک ویدیو جدیدی پخش نمی کند.

---

اردک.  بله، طعنه آمیز است، اینطور نیست که تلویزیون کابلی (به عبارت دیگر، جایی که سیم هایی از زیر زمین به خانه شما می رفت) ستاره رادیو (یا بی سیم) را کشته است، و اکنون به نظر می رسد تلویزیون کابلی، MTV… این نوع از بین رفت زیرا همه شبکه های تلفن همراه دارند که به صورت بی سیم کار می کنند.

داگلاس، آنچه در اطراف می گذرد، اتفاق می افتد.

---

دوغ.  خوب، خوب، بیایید در مورد این به روز رسانی های فایرفاکس صحبت کنیم.

ما در این ماه دوز دو برابری از به‌روزرسانی‌های فایرفاکس دریافت می‌کنیم، زیرا آنها در یک چرخه 28 روزه هستند:

فایرفاکس انبوهی از ایرادات را در نسخه اول از دو نسخه این ماه برطرف می کند

بدون هیچ روز صفر در این دور اول از دروازه، اما چند لحظه قابل آموزش.

ما شاید نیمی از این موارد را در مقاله شما فهرست کرده ایم، و یکی از مواردی که واقعاً برای من جالب بود این بود: دور زدن درخواست مجوزهای احتمالی از طریق کلیک جک.

---

اردک.  بله، دوباره کلیک کردن قدیمی خوب است.

من این اصطلاح را دوست دارم زیرا تقریباً آنچه را که هست توصیف می کند.

جایی کلیک می‌کنید، فکر می‌کنید روی یک دکمه یا یک پیوند بی‌گناه کلیک می‌کنید، اما ناخواسته اجازه می‌دهید اتفاقی بیفتد که از آنچه صفحه نمایش زیر نشانگر ماوس نشان می‌دهد مشخص نیست.

به نظر می رسد مشکل اینجا این است که تحت برخی شرایط، زمانی که یک گفتگوی مجوزها در حال باز شدن از فایرفاکس بود، به عنوان مثال، بگویید: «آیا واقعاً مطمئن هستید که می خواهید به این وب سایت اجازه دهید از دوربین شما استفاده کند؟ آیا به موقعیت مکانی خود دسترسی دارید؟ از میکروفون خود استفاده می کنید؟”…

... همه آن چیزهایی که، بله، شما می خواهید از آنها سؤال شود.

ظاهراً، اگر می‌توانید مرورگر را به نقطه عملکردی برسانید (دوباره، عملکرد در مقابل امنیت) که در آن با مشکل مواجه می‌شود، می‌توانید ظاهر پاپ‌آپ مجوزها را به تاخیر بیندازید.

اما با داشتن یک دکمه در محلی که پاپ آپ ظاهر می‌شود، و کاربر را برای کلیک کردن روی آن فریب می‌دهید، می‌توانید کلیک را جذب کنید، اما کلیک به کادر گفتگوی مجوزها که هنوز کاملاً ندیده‌اید ارسال می‌شود.

یک نوع شرایط مسابقه بصری، اگر دوست دارید.

---

دوغ.  خوب، و دیگری این بود: بوم خارج از صفحه ممکن است محدودیت‌های مبدأ متقاطع را دور بزند.

در ادامه می گویید که یک صفحه وب می تواند به تصاویری که در صفحه دیگری از یک سایت دیگر نمایش داده می شود نگاه کند.

---

اردک.  قرار نیست این اتفاق بیفتد، اینطور است؟

---

دوغ.  نه!

---

اردک.  اصطلاح اصطلاحی برای آن «خط مشی منشا یکسان» است.

اگر وب‌سایت X را اجرا می‌کنید و یک دسته کامل جاوا اسکریپت را برای من ارسال می‌کنید که کل کوکی‌ها را تنظیم می‌کند، همه آن‌ها در مرورگر ذخیره می‌شوند.

اما فقط جاوا اسکریپت بیشتر از سایت X می تواند آن داده ها را دوباره بخواند.

این واقعیت که شما سایت X را در یک برگه و سایت Y را در برگه دیگر مرور می کنید، به آنها اجازه نمی دهد نگاهی به کاری که دیگری انجام می دهد داشته باشند، و مرورگر قرار است همه این موارد را جدا نگه دارد.

این واضح است که بسیار مهم است.

و در اینجا به نظر می رسد که تا جایی که من متوجه شدم، اگر صفحه ای را رندر می کردید که هنوز نمایش داده نشده بود…

یک بوم خارج از صفحه، جایی که اگر دوست داشتید، یک صفحه وب مجازی ایجاد می‌کنید و سپس در آینده می‌گویید: «در حال حاضر آماده نمایش آن هستم» و یکنوع بازی شبیه لوتو، صفحه کاملاً در نشان داده می‌شود. یک بار.

مشکل با تلاش برای اطمینان از اینکه مواردی که به صورت نامرئی رندر می‌کنید به طور ناخواسته داده‌ها را لو نمی‌دهند، پیش می‌آید، حتی اگر در نهایت هرگز به کاربر نمایش داده نشود.

آنها متوجه شدند، یا مسئولانه فاش شد، و وصله شد.

و این دو، به نظر من، در به اصطلاح آسیب‌پذیری‌های سطح «بالا» گنجانده شده‌اند.

اکثر موارد دیگر «متوسط» بودند، به استثنای روش سنتی موزیلا، «ما بسیاری از اشکالات را از طریق fuzzing و از طریق تکنیک‌های خودکار پیدا کردیم. ما آنها را بررسی نکردیم تا بفهمیم که آیا اصلاً می توان از آنها سوء استفاده کرد یا خیر، اما مایلیم فرض کنیم که کسی که به اندازه کافی تلاش کرده باشد می تواند این کار را انجام دهد."

این اعترافی است که هر دوی ما بسیار آن را دوست داریم، داگ... زیرا اشکالات احتمالی ارزش از بین بردن دارند، حتی اگر در قلب خود مطمئن باشید که هیچ کس نمی‌تواند چگونه از آنها سوء استفاده کند.

زیرا در امنیت سایبری، هرگز نگویید هرگز به درد نمی خورد!

---

دوغ.  بسیار خوب، شما به دنبال فایرفاکس 116 هستید، یا اگر نسخه توسعه یافته دارید، 115.1.

تاندربرد هم همینطور.

و بیایید به ... اوه، مرد!

پل، این هیجان انگیز است!

ما یک BWAIN جدید بعد از یک BWAIN دوگانه در هفته گذشته داریم: یک اشکال با نام تأثیرگذار.

به این یکی میگن برخورد + قدرت:

باز هم عملکرد و امنیت در حمله "Collide+Power" با هم برخورد کردند

---

اردک.  [می خندد] بله، جالب است، اینطور نیست که نامی را انتخاب کردند که علامت مثبت در آن باشد؟

---

دوغ.  بله، این گفتن را سخت می کند.

---

اردک.  شما نمی توانید علامت مثبت در نام دامنه خود داشته باشید، بنابراین نام دامنه است collidepower.com.

---

دوغ.  خوب، اجازه دهید از خود محققین بخوانم و نقل می کنم:

ریشه مشکل این است که اجزای CPU مشترک، مانند سیستم حافظه داخلی، داده‌های مهاجم و داده‌های هر برنامه دیگری را ترکیب می‌کنند، که منجر به یک سیگنال نشت ترکیبی در مصرف انرژی می‌شود.

بنابراین، مهاجم با دانستن داده های خود، می تواند مقادیر دقیق داده مورد استفاده در برنامه های دیگر را تعیین کند.

---

اردک.  [می خندد] بله، اگر از قبل بدانید که آنها در مورد چه چیزی صحبت می کنند، این بسیار منطقی است!

برای اینکه سعی کنم این را به زبان انگلیسی ساده توضیح دهم (امیدوارم این را به درستی دریافت کرده باشم)…

این به مشکلات عملکرد در مقابل امنیت که قبلاً در مورد آنها صحبت کرده ایم، از جمله پادکست هفته گذشته با آن زنبلید اشکال (که اتفاقاً بسیار جدی تر است):

Zenbleed: چگونه تلاش برای عملکرد CPU می تواند رمزهای عبور شما را در معرض خطر قرار دهد

حجم زیادی از داده‌ها در داخل CPU نگهداری می‌شوند («حافظه پنهان» اصطلاح فنی آن است) به طوری که CPU دیگر نیازی به رفتن و واکشی آن نداشته باشد.

بنابراین کلی چیزهای داخلی وجود دارد که شما واقعا نمی توانید آنها را مدیریت کنید. CPU از آن برای شما مراقبت می کند.

و به نظر می رسد قلب این حمله چیزی شبیه به این است ...

کاری که مهاجم انجام می‌دهد این است که به مکان‌های حافظه مختلف دسترسی پیدا می‌کند به گونه‌ای که حافظه پنهان داخلی آن مکان‌های حافظه را به خاطر می‌آورد، بنابراین در صورت استفاده مجدد سریع، مجبور نیست دوباره آنها را از رم بخواند.

بنابراین مهاجم به نحوی این مقادیر کش را با الگوهای شناخته شده بیت ها، مقادیر داده های شناخته شده پر می کند.

و سپس، اگر قربانی حافظه‌ای داشته باشد که *آن* مکرراً از آن استفاده می‌کند (به عنوان مثال، بایت‌های موجود در یک کلید رمزگشایی)، اگر مقدار آنها به‌طور ناگهانی توسط CPU قضاوت شود که احتمال استفاده مجدد از یکی از مقادیر مهاجم بیشتر است. ارزش مهاجم را از آن مکان کش فوق سریع داخلی خارج می کند و مقدار جدید یعنی مقدار قربانی را در آنجا قرار می دهد.

و آنچه این محققان کشف کردند (و به همان اندازه که حمله در تئوری و عملی به نظر می رسد، این یک چیز شگفت انگیز برای کشف است)…

تعداد بیت هایی که بین مقدار قدیمی موجود در حافظه پنهان و مقدار جدید متفاوت است *میزان توان مورد نیاز برای انجام عملیات به روز رسانی کش را تغییر می دهد.

بنابراین اگر بتوانید مصرف انرژی CPU را به اندازه کافی دقیق اندازه گیری کنید، می توانید استنباط کنید که چه مقادیر داده ای در حافظه پنهان داخلی، پنهان و در غیر این صورت نامرئی داخل CPU نوشته شده است که CPU فکر می کرد به شما مربوط نیست.

بسیار جذاب، داگ!

---

دوغ.  برجسته

خوب، برخی اقدامات کاهشی وجود دارد.

این بخش شروع می شود: "اول از همه، شما نیازی به نگرانی ندارید"، اما تقریباً همه CPU ها تحت تأثیر قرار می گیرند.

---

اردک.  بله، جالب است، اینطور نیست؟

می گوید "اول از همه" (متن عادی) "شما” (به صورت مورب) ”نیازی به نگرانی نیست" (با حروف درشت). [می خندد]

بنابراین، اساسا، هیچ کس قرار نیست با این کار به شما حمله کند، اما شاید طراحان CPU بخواهند در آینده به این موضوع فکر کنند، اگر راهی برای دور زدن آن وجود داشته باشد. [می خندد]

به نظر من این روش جالبی برای بیان آن بود.

---

دوغ.  خوب، بنابراین کاهش اساساً خاموش کردن Hyperthreading است.

آیا اینجوری کار میکند؟

---

اردک.  تا جایی که من می بینم، هایپرتردینگ این را بسیار بدتر می کند.

ما قبلاً می دانیم که hyperthreading یک مشکل امنیتی است زیرا قبلاً آسیب پذیری های متعددی وجود داشته است که به آن بستگی دارد.

اینجا جایی است که یک CPU، مثلاً با هشت هسته، وانمود می کند که 16 هسته دارد، اما در واقع آنها در بخش های جداگانه تراشه نیستند.

آن‌ها در واقع جفت‌هایی از شبه هسته‌ها هستند که الکترونیک، ترانزیستورهای بیشتر، خازن‌های بیشتری را به اشتراک می‌گذارند که شاید به دلایل امنیتی ایده خوبی باشد.

اگر OpenBSD قدیمی خوب را اجرا می کنید، فکر می کنم آنها به این نتیجه رسیده اند که ایمن سازی hyperthreading با اقدامات کاهشی بسیار سخت است. همچنین ممکن است آن را خاموش کند.

تا زمانی که عملکردهای مورد نیاز کاهش دهنده ها را دریافت کنید، ممکن است آن را نداشته باشید.

بنابراین من فکر می کنم که خاموش کردن Hyperthreading تا حد زیادی شما را در برابر این حمله ایمن می کند.

دومین کاری که می توانید انجام دهید این است که نویسندگان به صورت پررنگ می گویند: نگران نباش. [خنده]

---

دوغ.  این یک تخفیف عالی است! [می خندد]

---

اردک.   یک چیز عالی وجود دارد (من باید این را بخوانم، داگ)…

نکته بسیار خوبی وجود دارد که خود محققان دریافتند که برای به دست آوردن هر نوع اطلاعات قابل اعتمادی، نرخ داده‌ای بین 10 بیت تا 100 بیت در ساعت را از سیستم دریافت می‌کنند.

من معتقدم که حداقل CPUهای اینتل دارای یک کاهش هستند که تصور می کنم در برابر این امر کمک کند.

و این ما را به MSRها بازمی‌گرداند، آن ثبت‌های خاص مدلی که هفته گذشته با Zenbleed درباره آنها صحبت کردیم، جایی که یک بیت جادویی وجود داشت که می‌توانستید آن را روشن کنید که می‌گفت: «کارهای خطرناک را انجام ندهید».

یک ویژگی وجود دارد که می توانید تنظیم کنید به نام فیلتر RAPLو RAPL کوتاه شده است حد متوسط ​​توان در حال اجرا.

از آنجایی که برنامه‌هایی که می‌خواهند عملکرد CPU را برای اهداف مدیریت انرژی ببینند استفاده می‌شود، بنابراین نیازی نیست وارد اتاق سرور شوید و یک مانیتور برق را روی سیمی با یک پروب کوچک روی مادربرد قرار دهید. [می خندد]

در واقع می توانید از CPU استفاده کنید تا به شما بگوید چقدر انرژی مصرف می کند.

اینتل حداقل دارای این حالت به نام RAPL filtering است که عمدا باعث ایجاد لرزش یا خطا می شود.

بنابراین، نتایجی خواهید گرفت که به طور متوسط ​​دقیق هستند، اما در جایی که خواندن هر فرد غیرفعال است.

---

دوغ.  بیایید اکنون توجه خود را به این معامله جدید SEC معطوف کنیم.

کمیسیون امنیت و مبادله خواستار محدودیت های چهار روزه افشای نقض امنیت سایبری است:

SEC خواستار محدودیت چهار روزه افشا برای نقض امنیت سایبری است

اما (الف) شما باید تصمیم بگیرید که آیا یک حمله به اندازه کافی جدی است که گزارش دهید، و (ب) محدودیت چهار روزه شروع نمی شود تا زمانی که تصمیم نگیرید چیزی به اندازه کافی برای گزارش مهم است، پل.

بنابراین، یک شروع خوب برای اولین بار، اما شاید نه به آن تهاجمی که ما می خواهیم؟

---

اردک.  من با ارزیابی شما در آنجا موافقم، داگ.

وقتی برای اولین بار به آن نگاه کردم عالی به نظر می رسید: "هی، اگر نقض داده یا مشکل امنیت سایبری داشته باشید، این افشای چهار روزه را دارید."

اما بعداً این نکته در مورد «خب، باید یک مشکل مادی در نظر گرفته شود» وجود داشت، یک اصطلاح حقوقی که به این معنی است که در وهله اول آنقدر اهمیت دارد که ارزش افشای آن را داشته باشد.

و سپس به آن قسمت رسیدم (و این یک بیانیه مطبوعاتی خیلی طولانی توسط SEC نیست) که به نوعی گفت: «به محض اینکه تصمیم گرفتید که واقعاً باید این را گزارش کنید، پس هنوز چهار روز فرصت دارید. برای گزارش آن.»

اکنون، من تصور می کنم که از نظر قانونی، این کاملاً کار نخواهد کرد. داگ

شاید در مقاله کمی تند باشیم؟

---

دوغ.  شما روی حملات باج افزار زوم می کنید و می گویید که چند نوع مختلف وجود دارد، پس بیایید در مورد آن صحبت کنیم... در تعیین اینکه آیا این یک حمله مادی است که باید گزارش دهید، مهم است.

بنابراین ما به دنبال چه نوع باج افزاری هستیم؟

---

اردک.  بله، فقط برای توضیح، فکر کردم که این بخش مهمی از این موضوع بود.

نه برای اشاره به SEC، اما این چیزی است که به نظر می رسد هنوز در بسیاری از کشورها یا هیچ کشوری ظاهر نشده است…

... اینکه آیا فقط متحمل شدن یک حمله باج افزار ناگزیر برای نقض داده های مادی کافی است.

این سند SEC در واقع کلمه R را به هیچ وجه ذکر نمی کند.

هیچ اشاره ای به چیزهای خاص باج افزار نیست.

و باج افزار یک مشکل است، اینطور نیست؟

در مقاله، من می خواستم روشن کنم که کلمه "باج افزار" که ما هنوز به طور گسترده از آن استفاده می کنیم، دیگر کلمه درستی نیست، درست است؟

احتمالاً باید آن را «باج‌افزار» یا صرفاً «اخاذی سایبری» بنامیم.

من سه نوع اصلی حمله باج افزار را شناسایی می کنم.

نوع A جایی است که کلاهبرداران داده‌های شما را نمی‌دزدند، بلکه فقط می‌توانند داده‌های شما را در محل به هم بزنند.

بنابراین آنها نیازی به آپلود یک مورد ندارند.

آن‌ها همه را به گونه‌ای درهم می‌زنند که بتوانند کلید رمزگشایی را در اختیار شما قرار دهند، اما شما حتی یک بایت از داده‌ها را که از شبکه‌تان خارج می‌شود به عنوان نشانه‌ای مبنی بر اینکه اتفاق بدی در حال وقوع است، نخواهید دید.

سپس یک حمله باج‌افزار نوع B وجود دارد، جایی که کلاهبرداران می‌روند، «می‌دانید، ما ریسک نوشتن روی همه فایل‌ها را نخواهیم داشت، و گرفتار این کار می‌شویم. ما فقط قصد داریم تمام داده ها را بدزدیم و به جای پرداخت پول برای بازگرداندن داده های شما، شما هزینه سکوت ما را می پردازید.

و سپس، البته، حمله باج افزار نوع C وجود دارد، و آن عبارت است از: "هم A و هم B."

اینجاست که کلاهبرداران داده‌های شما را می‌دزدند *و* آن‌ها را به هم می‌زنند و می‌گویند: "هی، اگر یک چیز شما را به دردسر نمی‌اندازد، دیگری است."

و خوب است بدانیم آنچه که من معتقدم حرفه وکالت آن را مادیت می نامد (به عبارت دیگر، اهمیت حقوقی یا ارتباط قانونی با یک مقررات خاص) کجاست…

... در مورد حملات باج‌افزار، جایی که شروع می‌شود.

---

دوغ.  خوب، این زمان خوبی است تا نظر هفته خود، آدام را در مورد این داستان بیاوریم.

آدام نظرات خود را در مورد انواع مختلف حملات باج افزار بیان می کند.

بنابراین، از نوع A شروع کنید، که در آن فقط یک حمله باج‌افزار ساده است، جایی که آنها فایل‌ها را قفل می‌کنند و یک یادداشت باج می‌گذارند تا قفل آن‌ها باز شود…

آدم می گوید:

اگر شرکتی مورد حمله باج‌افزار قرار گیرد، پس از یک بررسی کامل، هیچ مدرکی دال بر استخراج داده‌ها پیدا نکرد، و بدون پرداخت باج، داده‌های خود را بازیابی کرد، در این صورت تمایل دارم که بگویم: «نه [نیاز به افشاگری] است».

---

اردک.  شما به اندازه کافی انجام داده اید؟

---

دوغ.  بله.

---

اردک.  شما کاملاً از آن جلوگیری نکردید، اما بهترین کار بعدی را انجام دادید، بنابراین لازم نیست به سرمایه گذاران خود بگویید….

طنز ماجرا این است که داگ، اگر این کار را به عنوان یک شرکت انجام می دادید، ممکن بود بخواهید به سرمایه گذاران خود بگویید: «هی، حدس بزن چی؟ ما هم مثل بقیه یک حمله باج‌افزار داشتیم، اما بدون پرداخت پول، بدون درگیر شدن با کلاهبرداران و بدون از دست دادن داده‌ها، از آن خارج شدیم. بنابراین، اگرچه ما کامل نبودیم، اما بهترین چیز بعدی بودیم.»

و در واقع ممکن است فاش کردن داوطلبانه آن سنگین باشد، حتی اگر قانون گفته باشد که مجبور نیستید.

---

دوغ.  و سپس، برای نوع B، زاویه باج گیری، آدام می گوید:

این یک وضعیت دشوار است.

از نظر تئوری، من می گویم: "بله."

اما این احتمالاً منجر به افشای اطلاعات زیادی می شود و به اعتبار تجاری آسیب می رساند.

بنابراین، اگر تعداد زیادی شرکت دارید که بیرون می آیند و می گویند: «ببین، ما توسط باج افزار ضربه خوردیم. ما فکر نمی کنیم اتفاق بدی افتاده باشد. ما به کلاهبرداران پول دادیم تا ساکت بمانند. و ما اعتماد داریم که آنها لوبیاها را نریزند، به اصطلاح…

... این یک وضعیت دشوار ایجاد می کند، زیرا می تواند به اعتبار یک شرکت آسیب برساند، اما اگر آنها آن را فاش نمی کردند، هیچ کس نمی دانست.

---

اردک.  و من می بینم که آدام همان احساسی را داشت که من و شما در مورد این کار داشتیم: "شما چهار روز فرصت دارید و بیش از چهار روز ... از لحظه ای که فکر می کنید باید چهار روز شروع شود."

او همینطور غرغر کرد، اینطور نیست؟

او گفت:

برخی از شرکت‌ها احتمالاً تاکتیک‌هایی را اتخاذ خواهند کرد تا تصمیم‌گیری در مورد تأثیر مادی را تا حد زیادی به تأخیر بیندازند.

بنابراین، ما کاملاً نمی دانیم که چگونه این اتفاق خواهد افتاد، و من مطمئن هستم که SEC نیز کاملاً نمی داند.

ممکن است چند مورد آزمایشی طول بکشد تا آنها بفهمند که چه مقدار بوروکراسی درست است تا مطمئن شوند که همه چیزهایی را که باید بدانیم یاد می‌گیریم، بدون اینکه شرکت‌ها مجبور شوند هر نقص کوچک فناوری اطلاعات را که تا به حال اتفاق می‌افتد افشا کنند و همه ما را در یک مکان دفن کنند. بار کاغذ

که اساساً منجر به خستگی ناشی از شکست می شود، اینطور نیست؟

اگر خیلی خبر بدی دارید که خیلی مهم نیست فقط بشویید…

... به نوعی، به راحتی می توان چیزهای واقعاً مهمی را که در میان همه این موارد وجود دارد از دست داد "آیا واقعاً نیاز داشتم در مورد آن بشنوم؟"

زمان مشخص خواهد کرد، داگلاس.

---

دوغ.  بله، مشکل است!

و می‌دانم که همیشه این را می‌گویم، اما ما به این موضوع توجه خواهیم کرد، زیرا تماشای این اتفاق جذاب خواهد بود.

بنابراین، از شما متشکرم، آدام، برای ارسال آن نظر.

---

اردک.  بله ، در واقع!

---

دوغ.  اگر داستان، نظر یا سوال جالبی دارید که می‌خواهید ارسال کنید، مایلیم در پادکست بخوانید.

می‌توانید به tips@sophos.com ایمیل بزنید، می‌توانید در مورد هر یک از مقاله‌های ما نظر دهید، یا می‌توانید در شبکه‌های اجتماعی به ما مراجعه کنید: @nakedsecurity.

این نمایش امروز ماست. خیلی ممنون که گوش دادید

برای پل داکلین، من داگ آموت هستم، تا دفعه بعد به شما یادآوری می کنم که…

---

هر دو.  ایمن بمان

[مودم موزیکال]