امنیت خاموش! (آیا این چیز خوبی است؟)
پخش کننده صوتی زیر نیست؟ گوش بده مستقیما در Soundcloud
با داگ آموت و پل داکلین. موسیقی مقدماتی و بیرونی توسط ادیت ماج.
شما می توانید به ما گوش دهید Soundcloud, پادکست های اپل, پادکست های Google, Spotify, Stitcher به و هر جایی که پادکست های خوب پیدا می شود. یا فقط رها کنید URL فید RSS ما به پادکچر مورد علاقه شما
رونوشت را بخوانید
دوغ. رمز عبور، بات نت و بدافزار در مک.
همه اینها و بیشتر در پادکست Naked Security.
[مودم موزیکال]
به پادکست خوش آمدید، همه.
من داگ آموت هستم. او پل داکلین است.
پل، حالت چطوره؟
اردک. [SCEPTICAL/SQUEAKY VOICE] بدافزار در مکینتاش؟؟؟!!!
حتما اشتباهی، داگ؟
[خنده]
دوغ. چه؟
این باید یک اشتباه تایپی باشد. [می خندد]
خوب، بیایید به آن بپردازیم.
البته، اولین بخش ما از نمایش همیشه این است این هفته در تاریخ فناوری بخش.
و این هفته - هیجان انگیز! - پایه ای.
اگر تا به حال از یکی از چندین طعم زبان برنامه نویسی محبوب استفاده کرده اید، ممکن است بدانید که مخفف آن کد دستورالعمل نمادین همه منظوره مبتدیان.
اولین نسخه در کالج دارتموث در 01 مه 1964 منتشر شد، با این هدف که استفاده از آن برای رشته های غیر ریاضی و غیرعلمی به اندازه کافی آسان باشد.
فکر می کنم شما در زندگی خود با بیسیک آشنا شده اید؟
اردک. شاید همین کار را کرده باشم، داگ. [خنده]
اما مهمتر از Dartmouth BASIC، البته، این بود که DTSS، سیستم اشتراکگذاری زمان دارتموث، آنلاین شد، تا مردم بتوانند از Dartmouth BASIC و کامپایلر ALGOL خود استفاده کنند.
بسیاری از افراد مختلف در تله تایپ می توانند سیستم را به طور همزمان به اشتراک بگذارند، برنامه های BASIC خود را وارد کنند، و آنها را در زمان واقعی اجرا کنند.
وای، 59 سال پیش، داگ!
دوغ. خیلی چیزا عوض شده…
اردک. ... و خیلی چیزها ثابت مانده است!
می توان گفت همه چیز از اینجا شروع شد - The Cloud. [خنده]
"ابر نیوانگلند"... واقعاً چنین بود.
شبکه بسیار مهم شد.
تمام راه را تا مین طی کرد، از نیوهمپشایر، درست به نیویورک، فکر میکنم، و لانگ آیلند.
مدارس، کالجها و دانشگاهها، همه به هم متصل شدند تا بتوانند از کدنویسی برای خود لذت ببرند.
بنابراین یک حس * وجود دارد به علاوه تغییر، به علاوه c'est la même انتخاب کرد، داگ [هر چه چیزها بیشتر تغییر کنند، بیشتر ثابت می مانند.]
دوغ. عالی.
خوب، خوب، ما قرار است در مورد گوگل صحبت کنیم... و این کمی بدتر از آنچه هست به نظر می رسد.
گوگل اکنون می تواند به صورت قانونی ISP ها را مجبور به فیلتر کردن ترافیک کند، اما آنقدرها هم که به نظر می رسد بد نیست.
این هست ترافیک بات نت، و به این دلیل است که یک بات نت وجود دارد که از یک سری چیزهای Google برای فریب دادن افراد استفاده می کند.
گوگل برنده حکم دادگاه برای مجبور کردن ISPها به فیلتر کردن ترافیک بات نت شد
اردک. بله، فکر میکنم برای انجام این تمرین بزرگ باید به گوگل بگویید «کلاه بردار».
آنها باید یک استدلال حقوقی پیچیده و مستدل جمع کنند که چرا باید به آنها این حق داده شود که به ISP ها مراجعه کنند و بگویند: "ببین، شما باید ترافیکی را که از این شماره IP یا از آن دامنه می آید، متوقف کنید."
بنابراین این فقط حذف دامنه نیست، در واقع ترافیک آنها را از بین می برد.
و استدلال گوگل این بود: "اگر برای دریافت آنها به قانون علامت تجاری نیاز است، خوب، ما می خواهیم این کار را انجام دهیم زیرا شواهد ما نشان می دهد که بیش از 670,000 نفر در ایالات متحده توسط این بدافزار زامبی CryptBot آلوده شده اند".
CryptBot اساسا به این افراد اجازه می دهد تا یک بدافزار به عنوان یک سرویس یا یک سرویس سرقت داده به عنوان سرویس اجرا کنند…
... جایی که آنها می توانند اسکرین شات بگیرند، رمزهای عبور شما را بررسی کنند، همه چیزهای شما را بگیرند.
670,000 قربانی در ایالات متحده - و فقط این نیست که آنها خودشان قربانی هستند، تا بتوان اطلاعات آنها را به سرقت برد.
رایانه های آنها را می توان برای کمک به سایر کلاهبرداران برای استفاده از آنها در ارتکاب جنایات بیشتر فروخت.
خیلی به نظر می رسد، داگ.
به هر حال، این یک "منشور جاسوسی" نیست.
آنها حق ندارند بگویند: "اوه، گوگل اکنون می تواند ISP ها را مجبور کند به ترافیک نگاه کنند و آنچه را که در حال وقوع است تجزیه و تحلیل کنند."
این فقط گفتن است، "ما فکر می کنیم که می توانیم آن شبکه را به عنوان یک تامین کننده آشکار و آشکار بدی منزوی کنیم."
به نظر می رسد اپراتورها در خارج از ایالات متحده واقع شده اند. آنها بدیهی است که برای دفاع از خود در ایالات متحده حاضر نمی شوند…
...بنابراین گوگل از دادگاه خواست تا بر اساس شواهد خود قضاوت کند.
و دادگاه گفت: «بله، تا جایی که میبینیم، ما فکر میکنیم که اگر این پرونده به دادگاه کشیده شود، اگر متهمان ظاهر شوند، ما فکر میکنیم که گوگل شانس بسیار بسیار قوی برای برتری دارد.»
بنابراین دادگاه دستوری صادر کرد که می گوید: "بیایید تلاش کنیم و در این عملیات دخالت کنیم."
دوغ. و من فکر می کنم کلمه کلیدی در آنجا "تلاش" است.
آیا چنین چیزی واقعاً کار خواهد کرد؟
یا اینکه برای تغییر مسیر 670,000 کامپیوتر زامبی به جای دیگری که نمی توان آن را مسدود کرد، چقدر کار سنگین انجام می شود؟
اردک. من فکر می کنم که معمولاً این اتفاق می افتد، اینطور نیست؟
دوغ. بله.
اردک. ما در جرایم سایبری می بینیم: یک سر را می برید و دیگری رشد می کند.
اما این چیزی نیست که کلاهبرداران بتوانند فوراً انجام دهند.
آنها باید بروند و ارائهدهنده دیگری را پیدا کنند که آماده است ریسک کند، زیرا میدانند که اکنون وزارت دادگستری ایالات متحده را از راه دور به آنها نگاه میکند، زیرا میدانند که شاید ایالات متحده اکنون علاقهای به دادگستری برانگیخته است. دپارتمان در کشور خودشان.
بنابراین فکر میکنم ایده این است که به کلاهبرداران بگوییم: «شما میتوانید از یک سایت ناپدید شوید و در یک شرکت میزبانی به اصطلاح ضد گلوله وارد شوید، اما ما شما را زیر نظر میگیریم و کار را دشوار میکنیم.»
و اگر درست خوانده باشم، داگ، حکم دادگاه همچنین در این مدت محدود به Google اجازه میدهد تا تقریباً بهطور یکجانبه مکانهای جدیدی را به فهرست بلاک اضافه کند.
بنابراین آنها اکنون در این موقعیت قابل اعتماد هستند که اگر ببینند کلاهبرداران در حال حرکت هستند و شواهد آنها به اندازه کافی قوی است، فقط می توانند بگویند: "بله، این را اضافه کنید، این را اضافه کنید، آن یکی را اضافه کنید."
اگرچه ممکن است مانع انتشار بدافزار نشود، اما حداقل ممکن است کلاهبرداران را کمی دردسر کند.
این ممکن است به کسب و کار آنها کمک کند تا کمی راکد شود.
همانطور که گفتم، ممکن است مجریان قانون در کشور خودشان علاقه مند شوند که بروند و به اطراف نگاه کنند.
و ممکن است به خوبی از چند نفری که در غیر این صورت گرفتار این حیله می شدند محافظت کند.
دوغ. و برخی از کارها وجود دارد که ما در خانه میتوانیم انجام دهیم، از جمله: از سایت هایی که دانلودهای غیررسمی نرم افزارهای محبوب را ارائه می دهند دوری کنید.
اردک. در واقع، داگ.
حالا من نمی گویم که همه دانلودهای غیر رسمی حاوی بدافزار هستند.
اما معمولاً این امکان وجود دارد، حداقل اگر یک محصول اصلی است، مثلاً یک محصول رایگان و منبع باز است، یک سایت واقعی را پیدا کنید، و بروید و موضوع را مستقیماً از آنجا دریافت کنید.
زیرا در گذشته مواردی را دیدهایم که حتی سایتهای به اصطلاح دانلودر قانونی که بازاریابی رانده میشوند، نمیتوانند در برابر دانلود نرمافزار رایگان که در یک نصبکننده قرار میدهند که چیزهای اضافی اضافه میکند، مانند ابزارهای تبلیغاتی مزاحم یا پاپآپهایی که شما نمیگذارید مقاومت کنند. نمی خواهم، و غیره.
دوغ. [IRONIC] و البته یک نوار ابزار مرورگر مفید.
اردک. [می خندد] من نوار ابزار مرورگر را فراموش کرده بودم، داگ!
[خنده بیشتر]
مکان مناسب را پیدا کنید و فقط به موتور جستجو مراجعه نکنید و نام محصول را تایپ کنید و سپس لینک بالا را بگیرید.
ممکن است در نهایت به یک سایت تقلبی برسید. این برای بررسی لازم *کافی نیست.
دوغ. و در امتداد این خطوط، همه چیز را یک قدم جلوتر برداریم: هرگز وسوسه نشوید که به سراغ یک برنامه دزدی یا کرک شده بروید.
اردک. این قسمت تاریک نکته قبلی است.
درست کردن پرونده برای خود آسان است، اینطور نیست؟
"اوه، من کمی پیرم. فقط همین یک بار، باید از این-آن-و-دیگری بسیار گران قیمت استفاده کنم. من فقط باید این کار را یک بار انجام دهم و بعد از آن خوب خواهم بود، صادقانه.»
و شما فکر می کنید، "چه ضرری خواهد داشت؟ به هر حال قصد نداشتم به آنها پول بدهم.»
این کار را نکنید زیرا:
الف) غیر قانونی است.
(ب) شما به ناچار در نهایت با افرادی که در پشت این کلاهبرداری CyptoBot قرار دارند همنشین می شوید – آنها امیدوارند که شما مستأصل باشید و بنابراین تمایل بیشتری به اعتماد به آنها خواهید داشت، جایی که معمولاً به آنها مراجعه می کنید. یک دسته شارلاتان.»
(ج) و البته، در آخر، تقریباً همیشه یک جایگزین رایگان یا متن باز وجود دارد که می توانید از آن استفاده کنید.
ممکن است آنقدرها هم خوب نباشد؛ ممکن است استفاده از آن سخت تر باشد. ممکن است لازم باشد کمی زمان برای یادگیری استفاده از آن صرف کنید.
اما اگر واقعاً دوست ندارید برای محصول بزرگ پول بپردازید، زیرا فکر میکنید آنها از قبل به اندازه کافی ثروتمند هستند، برای اثبات این موضوع، وسایل آنها را دزدید!
بروید و انرژی، انگیزه و حمایت مشهود خود را به طور قانونی پشت سر کسی بگذارید که *می*خواهد محصول را به صورت رایگان در اختیار شما قرار دهد.
این احساس من است، داگ.
دوغ. بله.
*قانونی* آن را به مرد بچسبانید.
و در نهایت، آخرین اما نه کم اهمیت ترین: اجرای ابزارهای مسدودکننده بدافزار بلادرنگ را در نظر بگیرید.
اینها چیزهایی هستند که دانلودها را اسکن میکنند و میتوانند به شما بگویند، "هی، به نظر بد است."
اما همچنین، اگر بخواهید چیزی بد را اجرا کنید، در زمان اجرا میگویند: "نه!"
اردک. بله.
بنابراین به جای اینکه فقط بگوییم، "اوه، خوب، می توانم فایل هایی را که قبلاً دریافت کرده ام اسکن کنم: خوب، بد یا بی تفاوت هستند؟"…
... شما در وهله اول شانس کمتری دارید که خود را در معرض خطر قرار دهید.
و البته برای من جالب است که اشاره کنم که Sophos Home (https://sophos.com/home) یکی از راه هایی است که می توانید آن را انجام دهید.
من معتقدم برای حداکثر سه کاربر مک و ویندوز در حساب شما رایگان است. داگ؟
دوغ. درست.
اردک. و یک هزینه متوسط برای حداکثر 10 کاربر.
و نکته خوب این است که می توانید دوستان و خانواده را در حساب خود قرار دهید، حتی اگر آنها از راه دور زندگی می کنند.
اما من به آن اشاره نمی کنم، زیرا این امر بیش از حد تجاری خواهد بود، اینطور نیست؟
دوغ. [لبخند کلامی] البته، پس بیایید این کار را نکنیم.
بگذارید در مورد اپل صحبت کنیم.
این یک شگفتی است… آنها همه ما را با جدید شگفت زده کردند پاسخ سریع امنیتی ابتکار عمل.
اینجا چه اتفاقی افتاد، پل؟
اپل اولین وصله "حمله سایبری" با پاسخ امنیتی سریع را ارائه می دهد - برخی از کاربران را گیج می کند
اردک. خوب، داگ، من این پاسخ امنیتی سریع را دریافت کردم!
دانلودش چند ده مگابایت بود تا جایی که یادمه. تایید چند ثانیه… و سپس گوشی من سیاه شد.
سپس دوباره راهاندازی شد و چیز بعدی که میدانستم، درست به همان جایی که شروع کردم برگشتم و بهروزرسانی را داشتم: iOS 16.4.1 (a).
(بنابراین یک شماره نسخه جدید عجیب و غریب نیز وجود دارد.)
تنها نقطه ضعفی که می توانم ببینم، داگ، این است که نمی دانی برای چیست.
اصلا.
حتی کمی شبیه این نیست که "اوه، متاسفم، ما یک روز صفر در WebKit پیدا کردیم، فکر کردیم بهتر است آن را برطرف کنیم" که دانستن آن خوب است.
هیچی!
اما… کوچک و سریع.
گوشی من به جای ده ها دقیقه برای چند ثانیه از کار افتاده بود.
تجربه مشابه در مک من.
به جای 35 دقیقه دور زدن، "لطفا صبر کنید، لطفا صبر کنید، لطفا صبر کنید"، سپس سه یا چهار بار راه اندازی مجدد و "اوه، آیا قرار است برگردد؟"…
... اساساً صفحه سیاه شد. چند ثانیه بعد، رمز عبورم را تایپ می کنم و دوباره اجرا می کنم.
پس اینجا هستی، داگ.
پاسخ امنیتی سریع
اما هیچ کس نمی داند چرا. [خنده]
دوغ. شاید تعجب آور نباشد، اما هنوز هم جالب است که آنها این نوع برنامه را در جای خود دارند.
پس بیایید در قطار اپل بمانیم و در مورد اینکه چگونه با قیمت پایین و پایین 1,000 دلار در ماه، شما نیز می توانید وارد قطار شوید صحبت کنیم. بازی بدافزار مک، پل.
اردک. بله، این مطمئناً یادآوری خوبی است که اگر هنوز متقاعد شدهاید که مکها بدافزار دریافت نمیکنند، دوباره فکر کنید.
اینها محققان شرکتی به نام Cyble هستند و اساساً یک گروه نظارت بر وب تاریک دارند.
اگر دوست دارید، آنها عمداً سعی میکنند با سگها دراز بکشند تا ببینند چه ککهایی را جذب میکنند [میخندد] تا بتوانند چیزهایی را پیدا کنند که قبل از بیرون آمدن بدافزار... در حالی که برای فروش عرضه میشود.
و این دقیقاً همان چیزی است که آنها اینجا پیدا کردند.
و فقط برای روشن شدن: این بدافزاری نیست که به طور اتفاقی یک نوع مک را شامل شود.
هدف آن کمک به سایر مجرمان سایبری است که می خواهند به طور مستقیم دختران و طرفداران مک را هدف قرار دهند.
AMOS، داگ نامیده می شود: اتمی macOS Stealer.
از ویندوز پشتیبانی نمی کند. لینوکس را پشتیبانی نمی کند. در مرورگر شما اجرا نمی شود. [خنده]
و کلاهبرداران حتی از طریق یک کانال مخفی در تلگرام، این «سرویس کامل» را ارائه میکنند که شامل چیزی است که آنها «DMG به زیبایی آمادهشده» مینامند [تصویر دیسک اپل، که معمولاً برای ارائه نصبکنندههای مک استفاده میشود].
بنابراین، فکر میکنم، آنها متوجه میشوند که کاربران مک انتظار دارند نرمافزار درست به نظر برسد، خوب به نظر برسد، و به روشی شبیه به Mac نصب شود.
و آنها سعی کردهاند از همه این دستورالعملها پیروی کنند، و برنامهای تولید کنند که تا آنجا که میتواند قابل باور باشد، بهویژه که باید رمز عبور مدیریت شما را بخواهد تا بتواند کثیفترین کارهایش را انجام دهد... همه رمزهای عبور زنجیرهکلیدی شما را میدزدد، اما سعی می کند آن را به روشی باورپذیر انجام دهد.
اما علاوه بر آن، نه تنها شما (به عنوان یک کلاهبردار سایبری که میخواهد به دنبال کاربران مک باشد) به پورتال آنلاین آنها دسترسی پیدا میکنید، بنابراین نیازی نیست خودتان نگران جمعآوری دادهها باشید... داگ، آنها حتی یک برنامه دارند. -برای آن
بنابراین، اگر حملهای را انجام دادهاید و نمیتوانید صبح از خواب بیدار شوید، در واقع وارد پورتال خود شوید و بررسی کنید که آیا موفق بودهاید، آنها پیامهای بلادرنگ را از طریق تلگرام برای شما ارسال میکنند. به شما بگوید که حمله شما در کجا موفقیت آمیز بوده است و حتی به شما امکان دسترسی به داده های دزدیده شده را بدهد.
همانجا در برنامه
روی گوشی شما
نیازی به ورود به سیستم نیست، داگ.
دوغ. [IRONIC] خوب، این مفید است.
اردک. همانطور که شما می گویید ماهی 1,000 دلار است.
آیا این مقدار برای چیزی که به دست می آورید زیاد است یا کم؟
من نمی دانم.. اما حداقل اکنون در مورد آن می دانیم، داگ.
و همانطور که گفتم، برای هر کسی که مک دارد، یادآوری میکند که هیچ امنیت جادویی وجود ندارد که شما را از بدافزار در مک ایمن کند.
کمتر احتمال دارد که بدافزار را تجربه کنید، اما داشتن *کمتر* بدافزار در مک نسبت به ویندوز، با داشتن بدافزار * صفر* و خطری از جانب مجرمان سایبری یکسان نیست.
دوغ. خوب گفتم
بیایید در مورد رمزهای عبور صحبت کنیم.
روز جهانی رمز عبور در راه است، و من تعقیب خواهم کرد، زیرا شما شنیده اید که ما را در همین برنامه بارها و بارها می گوییم…
در صورت امکان از یک مدیر رمز عبور استفاده کنید. در صورت امکان از 2FA استفاده کنید.
آنهایی که ما به آنها نکات بیزمان میگوییم.
اما دو نکته دیگر که باید در مورد آنها فکر کنید.
شماره 1: از شر حساب هایی که استفاده نمی کنید خلاص شوید.
وقتی LastPass نقض شد، مجبور شدم این کار را انجام دهم.
این یک روند سرگرم کننده نیست، اما بسیار جذاب بود.
و اکنون، من معتقدم، تنها به حسابهایی که هنوز فعالانه از آنها استفاده میکنم، افتادهام.
اردک. بله، شنیدن صحبت شما در این مورد جالب بود.
این قطعاً آنچه را که در اصطلاح «مساحت سطح حمله» نامیده میشود، به حداقل میرساند.
رمزهای عبور کمتر، کمتر از دست دادن.
دوغ. و سپس یکی دیگر برای فکر کردن: دوباره به تنظیمات بازیابی حساب خود مراجعه کنید.
اردک. فکر کردم ارزش دارد که این موضوع را به مردم یادآوری کنم، زیرا به راحتی می توان فراموش کرد که ممکن است حسابی داشته باشید که هنوز از آن استفاده می کنید، می دانید چگونه وارد شوید، اما فراموش کرده اید که آن ایمیل بازیابی کجا می رود، یا (اگر یک کد پیامکی وجود دارد) چه شماره تلفنی را وارد کرده اید.
شما برای هفت سال و نیم نیازی به استفاده از آن ندارید. شما همه چیز را فراموش کرده اید
و ممکن است مثلاً شماره تلفنی را وارد کرده باشید که دیگر از آن استفاده نمی کنید.
این بدان معناست که: (الف) اگر در آینده نیاز به بازیابی حساب داشته باشید، نمیتوانید این کار را انجام دهید، و (ب) تا آنجا که میدانید، آن شماره تلفن ممکن است در این مدت برای شخص دیگری صادر شده باشد. .
دقیقاً در مورد یک حساب ایمیل نیز مشابه است.
اگر یک ایمیل بازیابی دریافت کردهاید که به یک حساب ایمیل میرود و مسیر آن را گم کردهاید... اگر شخص دیگری قبلاً وارد آن حساب شده باشد، چه؟
اکنون، آنها ممکن است متوجه نشوند که شما آن را به کدام سرویس متصل کرده اید، اما ممکن است فقط در آنجا نشسته باشند و آن را تماشا کنند.
و روزی که *انجام می دهید* را فشار دهید [Recover my password]
، *آنها* پیام را دریافت می کنند و می گویند: "سلام، جالب به نظر می رسد" و سپس می توانند وارد شوند و اساساً حساب شما را تصاحب کنند.
بنابراین این جزئیات بازیابی واقعاً مهم هستند.
اگر آنها قدیمی شدهاند، تقریباً مهمتر از رمز عبوری هستند که در حال حاضر در حساب خود دارید، زیرا کلیدهای یکسانی برای قلعه شما هستند.
دوغ. باشه خیلی خوبه
بنابراین امسال، روز جهانی گذرواژه برای همه مبارک... کمی وقت بگذارید تا اردک های خود را پشت سر هم بیاورید.
با شروع غروب خورشید در برنامه ما، وقت آن است که از یکی از خوانندگان خود بشنویم - یک نظر جالب در مورد پادکست هفته گذشته.
به عنوان یادآوری، پادکست هم به صورت صوتی و هم به صورت نوشتاری در دسترس است.
پل هر هفته روی یک متن عرق می کند و کار بسیار خوبی انجام می دهد - این یک پادکست بسیار خواندنی است.
بنابراین، ما یک خواننده داشتیم، فارست، که در مورد آخرین پادکست بنویسد.
داشتیم در مورد هک PaperCutو اینکه یک محقق یک اسکریپت اثبات مفهوم [PoC] منتشر کرده است که مردم می توانند به راحتی از آن استفاده کنند…
اردک. [هیجان زده] برای اینکه فوراً هکر شوید!
دوغ. دقیقا.
اردک. بیایید قرار داده و نه به خوبی یک نقطه بر آن است. [خنده]
دوغ. بنابراین فارست می نویسد:
برای کل نارضایتی در مورد اسکریپت PaperCut PoC. من فکر میکنم درک این نکته مهم است که PoCها به بازیگران خوب و بد اجازه میدهند تا ریسک را نشان دهند.
در حالی که می تواند برای یک سازمان آسیب رسان باشد، نشان دادن خطر یا مشاهده مالکیت شخصی بر آن چیزی است که باعث اصلاح و اصلاح می شود.
من نمی توانم تعداد دفعاتی را بشمارم که تیم های مدیریت آسیب پذیری را تنها پس از اینکه CVE 10 ساله ای را که از وصله کردن آن امتناع کرده اند، مسلح کردم، زیر منابع IT خود آتش روشن کرده اند.
نکته خوب
پل، نظر شما در مورد آن چیست؟
آسیب پذیری های امنیتی PaperCut تحت حمله فعال - فروشنده از مشتریان می خواهد که اصلاح کنند
اردک. من متوجه موضوع شدم
من درک می کنم که افشای کامل چیست.
اما من فکر میکنم تفاوت زیادی بین انتشار یک اثبات مفهومی وجود دارد که مطلقاً هر کسی که میداند چگونه یک فایل متنی را دانلود کند و آن را روی دسکتاپ خود ذخیره کند، میتواند از آن برای تبدیل شدن به یک سوءاستفادهکننده فوری از آسیبپذیری استفاده کند، *در حالی که ما میدانیم که این یک آسیبپذیری است که در حال حاضر توسط افرادی مانند مجرمان باجافزار و کریپجکرها مورد سوء استفاده قرار میگیرد.
تفاوت بین آشکار کردن آن در حالی که موضوع هنوز یک خطر آشکار و فعلی است، و تلاش برای متزلزل کردن مدیریت خود برای اصلاح چیزی که 10 سال است وجود دارد.
من فکر می کنم در یک دنیای متعادل، شاید این محقق به سادگی می توانست توضیح دهد که چگونه این کار را انجام دادند.
آنها میتوانستند روشهای جاوا را که استفاده میکردند به شما نشان دهند و روشهایی را که قبلاً از آن استفاده شده است را به شما یادآوری کنند.
اگر میخواستند به عنوان یکی از اولین افرادی که یک PoC را ارائه میکنند، ثبت کنند، میتوانستند یک ویدیوی کوچک بسازند که نشان دهد حمله آنها کارآمد است.
زیرا می دانم که این مهم است: شما ارزش خود را به کارفرمایان آینده بالقوه ای که ممکن است شما را برای شکار تهدید استخدام کنند ثابت می کنید.
اما در این مورد…
من مخالف انتشار PoC نیستم.
من فقط نظر شما را در پادکست به اشتراک گذاشتم.
دوغ. این بیشتر یک *غرغر* بود تا *ناراضی*.
اردک. بله، من آن را به عنوان AAAARGH رونویسی کردم. [می خندد]
دوغ. احتمالاً با NNNNNGH می رفتم، اما، بله.
اردک. رونویسی به اندازه علم هنر است، داگ. [خنده]
من می بینم که نظر دهنده ما در آنجا چه می گوید و به این نکته می رسم که دانش قدرت است.
و من *نگاه کردن به آن PoC را مفید یافتم، اما به آن به عنوان یک اسکریپت پایتون در حال کار نیازی نداشتم، به طوری که *همه* نتوانند *هر زمان* که دوست داشتند این کار را انجام دهند.
دوغ. بسیار خوب، فارست از شما برای ارسال آن بسیار متشکرم.
اگر داستان، نظر یا سوال جالبی دارید که میخواهید ارسال کنید، مایلیم آن را در پادکست بخوانید.
میتوانید به tips@sophos.com ایمیل بزنید، میتوانید در مورد هر یک از مقالههای ما نظر دهید، یا میتوانید در شبکههای اجتماعی به ما مراجعه کنید: @nakedsecurity.
این نمایش امروز ماست. خیلی ممنون که گوش دادید
برای پل داکلین، من داگ آموت هستم، تا دفعه بعد به شما یادآوری می کنم که…
هر دو. ایمن بمان
[مودم موزیکال]
- محتوای مبتنی بر SEO و توزیع روابط عمومی. امروز تقویت شوید.
- PlatoAiStream. Web3 Data Intelligence دانش تقویت شده دسترسی به اینجا.
- ضرب کردن آینده با آدرین اشلی. دسترسی به اینجا.
- خرید و فروش سهام در شرکت های PRE-IPO با PREIPO®. دسترسی به اینجا.
- منبع: https://nakedsecurity.sophos.com/2023/05/04/s3-ep133-apple-takes-tight-lipped-to-a-whole-new-level/
- : دارد
- :است
- :نه
- :جایی که
- $UP
- 000
- 1
- 10
- 2F به
- a
- قادر
- درباره ما
- در مورد IT
- کاملا
- دسترسی
- حساب
- حساب ها
- فعال
- فعالانه
- بازیگران
- واقعا
- اضافه کردن
- اضافه
- می افزاید:
- مدیر سایت
- پس از
- بعد از آن
- از نو
- در برابر
- پیش
- معرفی
- اجازه دادن
- اجازه می دهد تا
- در امتداد
- قبلا
- بسيار خوب
- همچنین
- جایگزین
- همیشه
- am
- an
- تحلیل
- و
- دیگر
- هر
- دیگر
- هر کس
- هر جا
- نرم افزار
- اپل
- هستند
- استدلال
- دور و بر
- هنر
- مقالات
- AS
- At
- حمله
- سمعی
- نویسنده
- در دسترس
- دور
- به عقب
- بد
- مستقر
- اساسی
- اساسا
- BE
- شد
- زیرا
- شدن
- بوده
- قبل از
- آغاز شد
- پشت سر
- بودن
- باور
- در زیر
- بهتر
- میان
- بزرگ
- بیت
- سیاه پوست
- مسدود شده
- انسداد
- هر دو
- بات نت
- بوت نت ها
- مرورگر
- ضد گلوله
- دسته
- کسب و کار
- اما
- by
- صدا
- نام
- فراخوانی
- CAN
- می توانید دریافت کنید
- مورد
- موارد
- معین
- قطعا
- شانس
- تغییر دادن
- کانال
- تعقیب
- بررسی
- واضح
- ابر
- رمز
- برنامه نویسی
- کالج
- کالج
- COM
- بیا
- آینده
- توضیح
- تجاری
- مرتکب شدن
- عموما
- شرکت
- پیچیده
- کامپیوتر
- متصل
- شامل
- سرد
- اصلاح
- میتوانست
- کشور
- زن و شوهر
- دوره
- دادگاه
- ترک خورده
- جنایات
- جنایتکاران
- در حال حاضر
- مشتریان
- برش
- cve
- جرایم اینترنتی
- مجرمان سایبری
- دابله شده
- آسیب رساندن
- خطر
- تاریک
- وب سایت تیره
- داده ها
- تاریخ
- روز
- متهمان
- قطعا
- تحویل
- ارائه
- نشان دادن
- نشان دادن
- بخش
- وزارت دادگستری
- دسکتاپ
- جزئیات
- DID
- تفاوت
- مختلف
- مشکل
- سخت کوشی
- مستقیما
- ناپدید می شوند
- افشاء
- فاصله
- do
- میکند
- عمل
- دامنه
- انجام شده
- آیا
- پایین
- دانلود
- دانلود
- نزولی
- قرعه کشی
- رانده
- قطره
- دو
- ساده
- پست الکترونیک
- کارفرمایان
- پایان
- انرژی
- اجرای
- موتور
- انگلستان
- لذت بردن
- کافی
- وارد شدن
- برابر
- اساسا
- حتی
- تا کنون
- هر
- مدرک
- کاملا
- مثال
- عالی
- برانگیخته
- ورزش
- انتظار
- تجربه
- توضیح داده شده
- سوء استفاده قرار گیرد
- اضافی
- سقوط
- خانواده
- بسیار
- FAST
- پرداخت
- احساس
- کمی از
- کمتر
- پرونده
- فایل ها
- فیلتر
- سرانجام
- پیدا کردن
- پایان
- آتش سوزی
- نام خانوادگی
- برای اولین بار
- رفع
- به دنبال
- برای
- استحکام
- فرم
- یافت
- چهار
- رایگان
- نرم افزار رایگان
- دوستان
- از جانب
- کامل
- سرگرمی
- بیشتر
- آینده
- دریافت کنید
- دادن
- داده
- Go
- هدف
- می رود
- رفتن
- خوب
- گوگل
- گوگل
- گرفتن
- بزرگ
- پر زحمت
- رشد می کند
- دستورالعمل ها
- هکرها
- بود
- نژاد خوک سیاه امریکایی
- سیار
- اتفاق افتاده است
- اتفاق می افتد
- خوشحال
- صدمه
- آیا
- داشتن
- he
- سر
- شنیدن
- شنیده
- سنگین
- بلند کردن سنگین
- کمک
- مفید
- کمک
- اینجا کلیک نمایید
- اصابت
- صفحه اصلی
- امید
- میزبانی وب
- چگونه
- چگونه
- HTTPS
- بزرگ
- صید
- i
- من می خواهم
- اندیشه
- if
- غیر مجاز
- تصویر
- مهم
- in
- شیب دار
- شامل
- شامل
- به ناچار
- ابتکار عمل
- نصب
- فوری
- آنی
- علاقه
- جالب
- مداخله کردن
- به
- سرمایه گذاری
- IP
- جزیره
- صادر
- IT
- ITS
- اصطلاحات مخصوص یک صنف
- جاوه
- کار
- تنها
- عدالت
- وزارت دادگستری
- کلید
- کلید
- نوع
- ضربه زدن
- دانستن
- دانا
- دانش
- زبان
- نام
- برنامه LastPass
- بعد
- قانون
- اجرای قانون
- یادگیری
- کمترین
- قانونی
- قانونی
- کمتر
- سطح
- زندگی
- بلند کردن اجسام
- سبک
- پسندیدن
- احتمالا
- محدود شده
- خطوط
- ارتباط دادن
- لینوکس
- استماع
- کوچک
- زنده
- واقع شده
- مکان
- ورود به سیستم
- طولانی
- نگاه کنيد
- شبیه
- به دنبال
- مطالب
- از دست دادن
- از دست رفته
- خیلی
- عشق
- کم
- کاهش
- مک
- MacOS در
- ساخته
- شعبده بازي
- مسیر اصلی
- رشته
- ساخت
- نرم افزارهای مخرب
- مرد
- مدیریت
- مدیر
- بسیاری
- بازار یابی (Marketing)
- ماده
- حداکثر عرض
- ممکن است..
- به معنی
- پیام
- پیام
- روش
- قدرت
- دقیقه
- اشتباه
- حالت
- نظارت بر
- ماه
- بیش
- صبح
- متحرک
- بسیار
- موسیقی
- موسیقی
- باید
- امنیت برهنه
- پادکست امنیتی برهنه
- نام
- نیاز
- ضروری
- نیازهای
- شبکه
- جدید
- نیویورک
- بعد
- نه
- به طور معمول
- اکنون
- عدد
- واضح
- of
- خاموش
- ارائه شده
- ارائه
- قدیمی
- on
- یک بار
- ONE
- آنلاین
- فقط
- باز کن
- منبع باز
- عمل
- اپراتور
- نظر
- or
- سفارش
- سازمان
- دیگر
- در غیر این صورت
- ما
- خارج
- خارج از
- روی
- خود
- متعلق به
- ویژه
- کلمه عبور
- مدیر رمز عبور
- کلمه عبور
- گذشته
- وصله
- پچ کردن
- پل
- پرداخت
- پرداخت
- مردم
- شاید
- دوره
- تلفن
- محل
- افلاطون
- هوش داده افلاطون
- PlatoData
- بازیکن
- لطفا
- به علاوه
- پوک
- پادکست
- پــادکـست
- نقطه
- محبوب
- پورتال
- موقعیت
- ممکن
- پست ها
- قدرت
- آماده شده
- در حال حاضر
- فشار
- قبلی
- قیمت
- شاید
- روند
- تولید کردن
- محصول
- برنامه
- برنامه
- برنامه نويسي
- برنامه ها
- آینده نگر
- محافظت از
- ثابت كردن
- ارائه
- ارائه دهنده
- انتشار
- هدف
- قرار دادن
- قرار دادن
- پــایتــون
- سوال
- باجافزار
- سریع
- نسبتا
- خواندن
- خواننده
- خوانندگان
- واقعی
- زمان واقعی
- واقعا
- تشخیص
- رکورد
- بهبود یافتن
- بهبود
- رد
- منتشر شد
- به یاد داشته باشید
- پژوهشگر
- محققان
- منابع
- پاسخ
- غنی
- خلاص شدن از شر
- خطر
- ROW
- RSS
- دویدن
- در حال اجرا
- سعید
- فروش
- همان
- ذخیره
- گفتن
- گفته
- می گوید:
- کلاهبرداری
- اسکن
- علم
- پرده
- تصاویر
- جستجو
- موتور جستجو
- ثانیه
- راز
- تیم امنیت لاتاری
- دیدن
- به نظر می رسد
- مشاهده گردید
- بخش
- ارسال
- در حال ارسال
- می فرستد
- حس
- سرویس
- خدمات
- تنظیم
- تنظیمات
- اشتراک گذاری
- به اشتراک گذاشته شده
- باید
- نشان
- نشان داده شده
- نشان می دهد
- طرف
- قابل توجه
- به سادگی
- پس از
- سایت
- سایت
- نشسته
- کوچک
- SMS
- So
- آگاهی
- نرم افزار
- فروخته شده
- برخی از
- کسی
- چیزی
- یک جایی
- Soundcloud
- منبع
- Spotify
- راکد شدن
- می ایستد
- آغاز شده
- راه افتادن
- ماندن
- ماند
- سرقت می کند
- گام
- هنوز
- به سرقت رفته
- توقف
- داستان
- راست
- قوی
- ارسال
- موفق
- خورشید
- پشتیبانی
- سطح
- غافلگیر شدن
- سیستم
- گرفتن
- طول می کشد
- مصرف
- صحبت
- سخنگو
- هدف
- هدف قرار
- تیم
- تیم ها
- فن آوری
- تلگرام
- گفتن
- ده ها
- نسبت به
- با تشکر
- که
- La
- آینده
- شان
- آنها
- خودشان
- سپس
- آنجا.
- از این رو
- اینها
- آنها
- چیز
- اشیاء
- فکر می کنم
- این
- این هفته
- در این سال
- کسانی که
- فکر
- تهدید
- سه
- از طریق
- گره خورده است
- زمان
- بی انتها
- بار
- نوک
- نکات
- به
- امروز
- با هم
- هم
- ابزار
- بالا
- مسیر
- علامت تجارتی
- ترافیک
- قطار
- رونوشت
- محاکمه
- سعی
- درست
- اعتماد
- مورد اعتماد
- دو
- نوع
- زیر
- فهمیدن
- دانشگاه ها
- تا
- بروزرسانی
- بر
- میل
- URL
- us
- وزارت دادگستری ایالات متحده
- استفاده کنید
- استفاده
- کاربران
- با استفاده از
- معمولا
- نوع دیگر
- فروشنده
- تایید
- نسخه
- بسیار
- از طريق
- قربانیان
- تصویری
- قابل رویت
- صدا
- آسیب پذیری ها
- آسیب پذیری
- صبر کنيد
- بیداری
- از خواب بیدار
- می خواهم
- خواسته
- می خواهد
- بود
- تماشای
- مسیر..
- راه
- we
- وب
- وب کیت
- هفته
- خوب
- بود
- چی
- چه زمانی
- چه
- که
- در حین
- WHO
- تمام
- چرا
- اراده
- پنجره
- برنده
- با
- شاهد
- کلمه
- مهاجرت کاری
- مشغول به کار
- کارگر
- جهان
- نگرانی
- با ارزش
- خواهد بود
- بسته بندی کردن
- نوشتن
- کتبی
- سال
- سال
- نیویورک
- شما
- شما
- خودت
- زفیرنت