S3 Ep113: Pwning هسته ویندوز - کلاهبردارانی که مایکروسافت [صوتی + متن] پلاتوبلاکچین اطلاعات اطلاعاتی را فریب دادند. جستجوی عمودی Ai.

S3 Ep113: Pwning هسته ویندوز - کلاهبردارانی که مایکروسافت را گول زدند [صوت + متن]

تمبر زمان: 15 دسامبر 2022، 12:10 بعد از ظهر

by
پل داکلین

PWNING هسته ویندوز

برای پرش به هر نقطه، روی امواج صوتی زیر کلیک کنید و بکشید. شما همچنین می توانید مستقیم گوش کن در Soundcloud

با داگ آموت و پل داکلین. موسیقی مقدماتی و بیرونی توسط ادیت ماج.

شما می توانید به ما گوش دهید Soundcloud, پادکست های اپل, پادکست های Google, Spotify, Stitcher به و هر جایی که پادکست های خوب پیدا می شود. یا فقط رها کنید URL فید RSS ما به پادکچر مورد علاقه شما

رونوشت را بخوانید

دوغ.  نرم افزارهای جاسوسی بی سیم، حذف کارت اعتباری، و وصله های فراوان.

همه اینها و بیشتر در پادکست Naked Security.

[مودم موزیکال]

به پادکست خوش آمدید، همه.

من داگ آموت هستم. او پل داکلین است.

پل، شما چطور؟

اردک.  من خیلی خوبم داگ

سرده ولی خوب

دوغ.  اینجا هم یخبندان است و همه مریض هستند... اما برای شما دسامبر است.

صحبت از دسامبر، ما دوست داریم نمایش را با ما شروع کنیم این هفته در تاریخ فناوری بخش.

این هفته یک ورود هیجان انگیز داریم – در 16 دسامبر 2003، قانون CAN-SPAM توسط رئیس جمهور وقت ایالات متحده، جورج دبلیو بوش، به قانون تبدیل شد.

مخفف برای کنترل حمله به پورنوگرافی و بازاریابی غیر درخواستی، CAN-SPAM به دلایلی مانند عدم نیاز به رضایت گیرندگان برای دریافت ایمیل بازاریابی و اجازه ندادن به افراد برای شکایت از ارسال کنندگان هرزنامه نسبتاً بی دندان تلقی می شد.

اعتقاد بر این بود که تا سال 2004، کمتر از 1٪ از هرزنامه ها در واقع با قانون مطابقت داشتند.

اردک.  بله، گفتن این موضوع با نگاه به گذشته آسان است…

... اما همانطور که برخی از ما در آن زمان به شوخی می‌گفتیم، فکر می‌کردیم که آن‌ها آن را CAN-SPAM نامیدند زیرا این *دقیقا* کاری است که شما می‌توانید انجام دهید. [خنده]

دوغ.  "شما می توانید هرزنامه!"

اردک.  حدس می‌زنم ایده این بود: "بیایید با یک رویکرد بسیار نرم-آرام شروع کنیم."

[WRY TONE] بنابراین، مسلماً شروع بود، نه چندان.

دوغ.  [می خندد] بالاخره به آنجا خواهیم رسید.

صحبت از بد و بدتر…

… وصله مایکروسافت سه شنبه – چیزی برای دیدن اینجا وجود ندارد، مگر اینکه یک حساب کنید درایور هسته مخرب امضا شده?!

بدافزار راننده امضا شده زنجیره اعتماد نرم افزار را به سمت بالا حرکت می دهد

اردک.  خوب، در واقع چندین مورد - تیم واکنش سریع Sophos این مصنوعات را در تعاملاتی که انجام دادند پیدا کردند.

نه فقط Sophos – حداقل دو گروه تحقیقاتی دیگر در زمینه امنیت سایبری توسط مایکروسافت به‌عنوان مواردی که اخیراً با این موارد مواجه شده‌اند فهرست شده‌اند: درایورهای هسته که عملاً توسط مایکروسافت مهر دیجیتالی تأیید شده‌اند.

مایکروسافت اکنون توصیه‌ای دارد که شرکای سرکش را مقصر می‌داند.

آیا آنها واقعاً شرکتی ایجاد کردند که وانمود می کرد سخت افزار می سازد، به خصوص برای پیوستن به برنامه درایور با قصد پنهان کردن درایورهای هسته مبهم؟

یا اینکه آیا آنها به شرکتی که قبلاً بخشی از برنامه بود رشوه داده اند تا با آنها توپ بازی کنند؟

یا اینکه آیا آنها شرکتی را هک کردند که حتی متوجه نشد از آن به عنوان وسیله ای برای گفتن به مایکروسافت استفاده می شود، "هی، ما باید این درایور هسته را تولید کنیم - آیا آن را تایید می کنید؟"…

البته مشکل درایورهای هسته تایید شده به این دلیل است که باید توسط مایکروسافت امضا شوند، و چون امضای درایور در ویندوز اجباری است، به این معنی است که اگر بتوانید درایور هسته خود را امضا کنید، نیازی به هک یا آسیب پذیری ندارید. اکسپلویت ها برای بارگذاری یکی به عنوان بخشی از یک حمله سایبری.

شما فقط می توانید درایور را نصب کنید و سیستم می رود، "اوه خوب، امضا شده است. بنابراین بارگیری آن جایز است.»

و البته، زمانی که درون هسته هستید، می‌توانید آسیب‌های بسیار بیشتری نسبت به زمانی که «صرفاً» مدیر هستید، وارد کنید.

قابل ذکر است، شما به مدیریت فرآیند دسترسی داخلی دارید.

به عنوان یک ادمین، می‌توانید برنامه‌ای را اجرا کنید که می‌گوید «من می‌خواهم برنامه XYZ را بکشم»، که ممکن است مثلاً یک آنتی ویروس یا یک ابزار شکار تهدید باشد.

و آن برنامه می تواند در برابر بسته شدن مقاومت کند، زیرا، با فرض اینکه آن نیز در سطح مدیریت باشد، هیچ یک از فرآیندها نمی توانند مطلقاً ادعای برتری بر دیگری داشته باشند.

اما اگر داخل سیستم عامل هستید، این سیستم عامل است که با شروع و پایان فرآیندها سر و کار دارد، بنابراین قدرت بسیار بیشتری برای از بین بردن چیزهایی مانند نرم افزار امنیتی دریافت خواهید کرد.

... و ظاهراً این دقیقاً همان کاری بود که این کلاهبرداران انجام می دادند.

در «تاریخ تکرار می‌شود»، به یاد دارم، سال‌ها و سال‌ها پیش، زمانی که ما نرم‌افزاری را بررسی می‌کردیم که کلاهبرداران برای پایان دادن به برنامه‌های امنیتی از آن استفاده می‌کردند، آنها معمولاً فهرستی از 100 تا 200 فرآیندی داشتند که علاقه‌مند به از بین بردن آنها بودند: سیستم عامل. فرآیندها، برنامه های آنتی ویروس از 20 فروشنده مختلف، همه چیز.

و این بار فکر می کنم 186 برنامه بود که راننده آنها آنجا بود تا بکشد.

بنابراین برای مایکروسافت کمی شرم آور است.

خوشبختانه، آن‌ها اکنون آن کدنویس‌های سرکش را از برنامه توسعه‌دهنده خود بیرون کرده‌اند و حداقل همه درایورهای نامطلوب شناخته‌شده را در فهرست بلاک قرار داده‌اند.

دوغ.  پس این تمام چیزی نیست که بود در پچ سه شنبه فاش شد.

همچنین چند روز صفر، برخی از اشکالات RCE و چیزهای دیگری از این قبیل وجود داشت:

وصله سه‌شنبه: 0 روز، اشکالات RCE، و داستان عجیب بدافزار امضا شده

اردک.  بله.

خوشبختانه باگ‌های روز صفر که در این ماه برطرف شد، مواردی نبودند که RCE یا اجرای کد از راه دور سوراخ

بنابراین آنها یک مسیر مستقیم برای مهاجمان خارجی ارائه نکردند تا فقط به شبکه شما بپرند و هر چیزی را که می خواستند اجرا کنند.

اما یک باگ درایور هسته در DirectX وجود داشت که به شخصی که قبلاً روی رایانه شما کار می‌کرد این امکان را می‌داد که اساساً خود را برای داشتن قدرت‌های سطح هسته تبلیغ کند.

بنابراین این کمی شبیه به آوردن راننده امضا شده خود است - شما *می دانید* که می توانید آن را بارگیری کنید.

در این مورد، شما از یک باگ در درایوری که مورد اعتماد است و به شما اجازه می‌دهد کارهایی را در داخل هسته انجام دهید، سوء استفاده می‌کنید.

بدیهی است که این همان چیزی است که یک حمله سایبری را که در حال حاضر یک خبر بد است به چیزی بسیار بسیار بدتر تبدیل می کند.

بنابراین شما قطعا می خواهید در برابر آن وصله کنید.

به طرز جالبی، به نظر می رسد که این فقط برای آخرین نسخه، یعنی 2022H2 (نیمه دوم سال همان چیزی است که H2 مخفف آن است) ویندوز 11.

شما قطعا می خواهید مطمئن شوید که آن را دارید.

و یک اشکال جالب در Windows SmartScreen وجود داشت، که اساساً ابزار فیلتر کردن ویندوز است که وقتی سعی می‌کنید چیزی را دانلود کنید که می‌تواند خطرناک باشد یا خطرناک است، به شما هشدار می‌دهد.

بنابراین، بدیهی است، اگر کلاهبرداران یافته اند، "اوه، نه! ما این حمله بدافزار را دریافت کرده‌ایم، و واقعاً خوب کار می‌کرد، اما اکنون Smart Screen آن را مسدود می‌کند، چه کنیم؟»…

... یا می توانند فرار کنند و یک حمله کاملا جدید بسازند، یا می توانند آسیب پذیری را پیدا کنند که به آنها اجازه می دهد از صفحه نمایش هوشمند عبور کنند تا اخطار ظاهر نشود.

و این دقیقاً همان چیزی است که در CVE-2022-44698، داگلاس اتفاق افتاد.

بنابراین، آن روزهای صفر است.

همانطور که گفتید، برخی از اشکالات اجرای کد از راه دور در ترکیب وجود دارد، اما هیچ یک از آنها در طبیعت وجود ندارند.

اگر در مقابل آن ها وصله کنید، به جای اینکه صرفاً عقب بیفتید، از کلاهبرداران جلو می افتید.

دوغ.  خوب، بیایید روی موضوع پچ ها بمانیم…

... و من عاشق قسمت اول این هستم عنوان.

فقط می گوید: "اپل همه چیز را اصلاح می کند":

اپل همه چیز را اصلاح می کند، سرانجام رمز و راز iOS 16.1.2 را فاش می کند

اردک.  بله، نمی‌توانستم راهی برای فهرست کردن همه سیستم‌عامل‌ها در 70 کاراکتر یا کمتر بیاندیشم. [خنده]

بنابراین فکر کردم، "خب، این به معنای واقعی کلمه همه چیز است."

و مشکل اینجاست که آخرین باری که درباره آپدیت اپل نوشتیم، این بود فقط iOS (iPhone) و فقط iOS 16.1.2:

اپل به‌روزرسانی امنیتی iOS را منتشر می‌کند که از همیشه سخت‌تر است

بنابراین، اگر iOS 15 داشتید، چه کار می‌کردید؟

آیا شما در معرض خطر بودید؟

آیا قرار بود بعداً آپدیت را دریافت کنید؟

این بار بالاخره خبر آخرین آپدیت در شستشو منتشر شد.

به نظر می رسد، داگ، دلیلی که ما آن آپدیت iOS 16.1.2 را دریافت کردیم این است که یک سوء استفاده درونی وجود دارد که اکنون با نام CVE-2022-42856 شناخته می شود، و این یک اشکال در WebKit، موتور رندر وب بود. داخل سیستم عامل اپل

و ظاهراً، این باگ می تواند به سادگی با فریب دادن شما برای مشاهده برخی از محتوای انفجاری ایجاد شود - چیزی که در تجارت به عنوان یک درایو بای نصب کنید، جایی که شما فقط به یک صفحه نگاه می کنید و "اوه، عزیزم" در پس زمینه، بدافزار نصب می شود.

اکنون ظاهراً اکسپلویتی که پیدا شد فقط روی iOS کار می کرد.

احتمالاً به همین دلیل است که اپل به‌روزرسانی‌ها را برای همه پلتفرم‌های دیگر عجله نکرده است، اگرچه macOS (هر سه نسخه پشتیبانی‌شده)، tvOS، iPadOS… همه آنها در واقع حاوی این اشکال بودند.

ظاهرا تنها سیستمی که این کار را نکرد watchOS بود.

بنابراین، این باگ تقریباً در همه نرم‌افزارهای اپل وجود داشت، اما ظاهراً تا آنجایی که آنها می‌دانستند، فقط از طریق یک سوءاستفاده درونی، در iOS قابل بهره‌برداری بود.

اما اکنون، به طرز عجیبی، آنها می گویند، "فقط در iOS های قبل از 15.1"، که شما را متعجب می کند، "در این صورت چرا آنها به روز رسانی برای iOS 15 قرار نداده اند؟"

ما فقط نمی دانیم!

شاید آنها امیدوار بودند که اگر iOS 16.1.2 را منتشر کنند، برخی از افراد در iOS 15 به هر حال آپدیت می کنند و این مشکل را برای آنها حل می کند؟

یا شاید هنوز مطمئن نبودند که iOS 16 آسیب‌پذیر نیست، و سریع‌تر و آسان‌تر به‌روزرسانی به‌روزرسانی را منتشر می‌کردند (که یک فرآیند کاملاً تعریف شده برای آن دارند)، تا آزمایش کافی برای تعیین اینکه آیا باگ نمی‌تواند انجام شود. در iOS 16 به راحتی مورد سوء استفاده قرار گیرد.

ما احتمالا هرگز نخواهیم دانست، داگ، اما این یک داستان کاملاً جذاب در همه اینها است!

اما، در واقع، همانطور که شما گفتید، یک به روز رسانی برای همه با یک محصول با لوگوی اپل روی آن وجود دارد.

بنابراین: معطل نکنید/این کار را امروز انجام دهید.

دوغ.  اجازه دهید به سراغ دوستانمان در دانشگاه بن گوریون برویم... آنها دوباره به آنجا بازگشته اند.

آنها برخی از نرم افزارهای جاسوسی بی سیم را توسعه داده اند ترفند جاسوس افزار بی سیم:

COVID-bit: ترفند جاسوس افزار بی سیم با نامی ناگوار

اردک.  بله... من در مورد نام مطمئن نیستم. نمی دانم آنجا چه فکر می کردند.

آنها آن را صدا کرده اند COVID-bit.

دوغ.  کمی عجیب است.

اردک.  من فکر می کنم همه ما به نوعی توسط COVID گزیده شده ایم…

دوغ.  شاید همین باشد؟

اردک.  La COV به معنای ایستادن است نهان، و نمی گویند چه ID-bit مخفف

من حدس می زدم که ممکن است "افشای اطلاعات ذره ذره" باشد، اما با این وجود داستانی جذاب است.

ما عاشق نوشتن در مورد تحقیقاتی هستیم که این دپارتمان انجام می دهد، زیرا، اگرچه برای بسیاری از ما کمی فرضی است…

...آنها در حال بررسی نحوه نقض خطوط هوایی شبکه هستند، جایی که شما یک شبکه امن را اجرا می کنید که عمداً از هر چیز دیگری جدا می شوید.

بنابراین، برای بسیاری از ما، حداقل در خانه، این مسئله بزرگی نیست.

اما چیزی که آنها به آن نگاه می کنند این است که *حتی اگر یک شبکه را به طور فیزیکی از شبکه دیگر جدا کنید*، و این روزها وارد شوید و تمام کارت های بی سیم، کارت های بلوتوث، کارت های ارتباطات میدان نزدیک، یا سیم ها را قطع کنید و قطع کنید. ردپای مدار روی برد مدار برای متوقف کردن کار کردن اتصال بی سیم…

... آیا هنوز راهی وجود دارد که یا مهاجمی که یک بار به منطقه امن دسترسی پیدا می کند، یا یک خودی فاسد، بتواند داده ها را به روشی غیرقابل ردیابی افشا کند؟

و متأسفانه، معلوم می شود که جدا کردن یک شبکه از تجهیزات کامپیوتری به طور کامل از شبکه دیگر بسیار سخت تر از آن چیزی است که فکر می کنید.

خوانندگان معمولی می‌دانند که ما در مورد چیزهای زیادی نوشته‌ایم که این افراد قبلاً به آن دست یافته‌اند.

آنها GAIROSCOPE داشتند، جایی که شما در واقع یک تلفن همراه را تغییر کاربری می دهید تراشه قطب نما به عنوان یک میکروفون با کیفیت پایین

دوغ.  [می خندد] آن یکی را به خاطر دارم:

نقض امنیت شکاف هوا: استفاده از ژیروسکوپ تلفن خود به عنوان میکروفون

اردک.  زیرا این تراشه‌ها می‌توانند ارتعاشات را به خوبی حس کنند.

آن‌ها LANTENNA داشتند، جایی که سیگنال‌ها را روی یک شبکه سیمی قرار می‌دهید که در داخل منطقه امن است، و کابل‌های شبکه در واقع مانند ایستگاه های رادیویی مینیاتوری.

آنها به اندازه کافی تشعشعات الکترومغناطیسی را نشت می کنند که ممکن است بتوانید آن را در خارج از منطقه امن دریافت کنید، بنابراین آنها از یک شبکه سیمی به عنوان یک فرستنده بی سیم استفاده می کنند.

و آنها چیزی داشتند که به شوخی آن را FANSMITTER نامیدند، جایی که شما می روید، "خب، آیا می توانیم سیگنالینگ صوتی انجام دهیم؟ بدیهی است، اگر ما فقط آهنگ هایی را از طریق بلندگو پخش کنیم، مانند [صداهای شماره گیری] بیپ-بیپ-بیپ-بیپ-بیپ، کاملاً واضح خواهد بود.

اما چه می شود اگر بار پردازنده را تغییر دهیم، به طوری که سرعت فن افزایش یابد و کند شود - آیا می توانیم از تغییر در سرعت فن تقریباً شبیه نوعی سیگنال سمافور است؟

آیا می توان از فن کامپیوتر شما برای جاسوسی از شما استفاده کرد؟

و در این حمله اخیر، آنها به این نتیجه رسیدند که «چگونه می‌توانیم چیزی را در تقریباً هر رایانه‌ای در جهان بچرخانیم، چیزی که به اندازه کافی بی‌گناه به نظر می‌رسد... چگونه می‌توانیم آن را به یک ایستگاه رادیویی بسیار بسیار کم مصرف تبدیل کنیم؟»

و در این مورد با استفاده از منبع تغذیه توانستند این کار را انجام دهند.

آنها توانستند این کار را در یک Raspberry Pi، یک لپ تاپ Dell و در انواع رایانه های رومیزی انجام دهند.

آنها از منبع تغذیه رایانه خود استفاده می کنند که اساساً سوئیچینگ DC با فرکانس بسیار بسیار بالا را انجام می دهد تا ولتاژ DC را قطع کند، معمولاً صدها هزار یا میلیون ها بار در ثانیه آن را کاهش می دهد.

آنها راهی برای نشت اشعه الکترومغناطیسی پیدا کردند - امواج رادیویی که می توانستند تا فاصله 2 متری را با تلفن همراه بگیرند.

... حتی اگر آن تلفن همراه همه چیزهای بی سیم آن خاموش یا حتی از دستگاه حذف شده باشد.

ترفندی که آنها به ذهنشان خطور کرد این است: شما سرعت سوئیچینگ را تغییر می دهید و تغییرات فرکانس سوئیچینگ را تشخیص می دهید.

تصور کنید، اگر ولتاژ پایین‌تری می‌خواهید (اگر می‌خواهید، مثلاً 12 ولت را به 4 ولت کاهش دهید)، موج مربعی برای یک سوم مواقع روشن و در دو سوم مواقع خاموش خواهد بود.

اگر 2 ولت می خواهید، باید نسبت را مطابق با آن تغییر دهید.

و به نظر می رسد که CPU های مدرن هم فرکانس و هم ولتاژ خود را برای مدیریت برق و گرمای بیش از حد تغییر می دهند.

بنابراین، با تغییر بار CPU بر روی یک یا چند هسته در CPU - فقط با افزایش کارها و کم کردن وظایف در فرکانس نسبتاً کم، بین 5000 تا 8000 بار در ثانیه - آنها توانستند حالت سوئیچ را دریافت کنند. منبع تغذیه برای *تغییر حالت های سوئیچینگ* در آن فرکانس های پایین.

و این باعث ایجاد امواج رادیویی با فرکانس بسیار پایین از ردپای مدار یا هر سیم مسی در منبع تغذیه شد.

و آنها توانستند آن تابش ها را با استفاده از یک آنتن رادیویی که پیچیده تر از یک حلقه سیم ساده نبود، تشخیص دهند!

بنابراین، با یک حلقه سیم چه کار می کنید؟

خوب، شما وانمود می کنید، داگ، این یک کابل میکروفون یا یک کابل هدفون است.

شما آن را به یک جک 3.5 میلی‌متری صدا وصل می‌کنید و آن را به تلفن همراه خود وصل می‌کنید، مانند یک مجموعه هدفون…

دوغ.  وای.

اردک.  شما سیگنال صوتی تولید شده از حلقه سیم را ضبط می کنید – زیرا سیگنال صوتی اساساً نمایش دیجیتالی سیگنال رادیویی با فرکانس بسیار پایینی است که شما دریافت کرده اید.

آنها توانستند داده ها را با سرعتی بین 100 بیت در ثانیه هنگام استفاده از لپ تاپ، 200 بیت در ثانیه با Raspberry Pi، و هر جا تا 1000 بیت در ثانیه، با نرخ خطای بسیار پایین، از آن استخراج کنند. کامپیوترهای رومیزی

می‌توانید چیزهایی مانند کلیدهای AES، کلیدهای RSA، حتی فایل‌های داده کوچک را با این سرعت دریافت کنید.

به نظرم داستان جذابی بود.

اگر منطقه امنی را اداره می‌کنید، قطعاً می‌خواهید با این موارد همراه باشید، زیرا به قول قدیمی‌ها می‌گوید: «حملات فقط بهتر یا هوشمندتر می‌شوند».

دوغ.  و تکنولوژی پایین تر [خنده]

همه چیز دیجیتال است، به جز اینکه ما این نشتی آنالوگ را داریم که برای سرقت کلیدهای AES استفاده می شود.

این شگفت انگیز است!

اردک.  فقط یک یادآوری است که باید به آنچه در طرف دیگر دیوار امن وجود دارد فکر کنید، زیرا "خارج از دید لزوماً لزوماً دور از ذهن نیست."

دوغ.  خوب، این به خوبی در ما نقش دارد داستان پایانی - چیزی که دور از چشم است، اما خارج از ذهن نیست:

حذف کارت اعتباری - جاده طولانی و پر پیچ و خم شکست زنجیره تامین

اگر تا به حال یک صفحه وب ساخته‌اید، می‌دانید که می‌توانید کدهای تجزیه و تحلیل - یک خط کوچک از جاوا اسکریپت - را برای Google Analytics یا شرکت‌هایی مانند آن در آنجا قرار دهید تا ببینید که آمار شما چگونه است.

در اوایل دهه 2010 یک شرکت تحلیلی رایگان به نام Cockpit وجود داشت و بنابراین مردم این کد کابین خلبان - این خط کوچک جاوا اسکریپت - را در صفحات وب خود قرار می دادند.

اما Cockpit در سال 2014 خاموش شد و اجازه داد نام دامنه از بین برود.

و سپس، در سال 2021، مجرمان سایبری فکر کردند: «برخی از سایت‌های تجارت الکترونیک هنوز به این کد اجازه اجرا می‌دهند. آنها هنوز این جاوا اسکریپت را صدا می زنند. چرا ما فقط نام دامنه را خریداری نمی کنیم و سپس می توانیم هر آنچه را که می خواهیم به این سایت هایی که هنوز آن خط جاوا اسکریپت را حذف نکرده اند تزریق کنیم؟

اردک.  بله.

چه چیزی ممکن است درست پیش برود، داگ؟

دوغ.  [می خندد] دقیقاً!

اردک.  هفت سال!

آنها باید در تمام گزارش های آزمایشی خود یک ورودی داشته باشند که می گوید: Could not source the file cockpit.js (یا هر چی بود) from site cockpit.jp، فکر کنم همینطور بود.

بنابراین، همانطور که شما می گویید، زمانی که کلاهبرداران دامنه را دوباره روشن کردند و شروع به گذاشتن فایل ها در آنجا کردند تا ببینند چه اتفاقی می افتد…

... آنها متوجه شدند که تعداد زیادی از سایت های تجارت الکترونیکی کورکورانه و با خوشحالی کد جاوا اسکریپت کلاهبرداران را در مرورگرهای وب مشتریان خود مصرف و اجرا می کنند.

دوغ.  [خنده دار] "هی، سایت من دیگر خطا نمی دهد، کار می کند."

اردک.  [ناباور] "آنها باید آن را تعمیر کرده باشند"... برای درک خاصی از کلمه "تثبیت"، داگ.

البته، اگر بتوانید جاوا اسکریپت دلخواه را به صفحه وب شخصی تزریق کنید، تقریباً می توانید آن صفحه وب را هر کاری که می خواهید انجام دهید.

و اگر، به طور خاص، سایت‌های تجارت الکترونیک را هدف قرار می‌دهید، می‌توانید کد نرم‌افزار جاسوسی را تنظیم کنید تا به دنبال صفحات خاصی بگردید که دارای فرم‌های وب خاص با فیلدهای نام‌گذاری خاص روی آنها هستند…

... مانند شماره پاسپورت، شماره کارت اعتباری، CVV، هر چه که باشد.

و شما فقط می توانید اساساً تمام داده های محرمانه رمزگذاری نشده، داده های شخصی را که کاربر وارد می کند، مکش کنید.

هنوز وارد فرآیند رمزگذاری HTTPS نشده است، بنابراین شما آن را از مرورگر بیرون می‌کشید، *خودتان* آن را HTTPS رمزگذاری می‌کنید و آن را به پایگاه داده‌ای که توسط کلاهبرداران اداره می‌شود ارسال می‌کنید.

و البته، کار دیگری که می توانید انجام دهید این است که می توانید به طور فعال صفحات وب را هنگام ورود آنها تغییر دهید.

بنابراین شما می توانید کسی را به یک وب سایت فریب دهید - وب سایتی که *درست* است. این وب سایتی است که قبلاً به آن رفته اند و می دانند که می توانند به آن اعتماد کنند (یا فکر می کنند می توانند اعتماد کنند).

اگر یک فرم وب در آن سایت وجود دارد که، مثلاً، معمولاً از آنها نام و شماره مرجع حساب می‌خواهد، خوب، شما فقط چند فیلد اضافی را وارد می‌کنید و با توجه به اینکه شخص قبلاً به سایت اعتماد دارد…

... اگر نام، شناسه، و [افزودن] تاریخ تولد را بگویید؟

بسیار محتمل است که آنها فقط تاریخ تولد خود را وارد کنند زیرا تصور می کنند، "فکر می کنم این بخشی از بررسی هویت آنها باشد."

دوغ.  این قابل اجتناب است.

می توانید شروع کنید بررسی پیوندهای زنجیره تامین مبتنی بر وب شما.

اردک.  بله.

شاید هر هفت سال یک بار شروع باشد؟ [خنده]

اگر به دنبال آن نیستید، پس واقعاً بخشی از مشکل هستید، نه بخشی از راه حل.

دوغ.  شما همچنین می توانید، اوه، من نمی دانم… گزارش های خود را بررسی کنید?

اردک.  بله.

باز هم، هر هفت سال یک بار ممکن است شروع شود؟

بگذار فقط آنچه را که قبلاً در پادکست گفته‌ایم بگویم، داگ…

...اگر می خواهید سیاهههای مربوط را جمع آوری کنید که هرگز به آنها نگاه نمی کنید، *فقط اصلاً زحمت جمع آوری آنها را نداشته باشید*.

دست از شوخی بردارید و داده ها را جمع آوری نکنید.

زیرا، در واقع، بهترین اتفاقی که می‌تواند برای داده‌ها بیفتد، اگر آن‌ها را جمع‌آوری کنید و به آن‌ها نگاه نکنید، این است که افراد اشتباه به اشتباه به آن‌ها نخواهند رسید.

دوغ.  سپس، البته، معاملات آزمایشی را به طور منظم انجام دهید.

اردک.  آیا باید بگویم "هر هفت سال یک بار شروع است"؟ [خنده]

دوغ.  البته، بله... [WRY] ممکن است به اندازه کافی منظم باشد، فکر می کنم.

اردک.  اگر شما یک شرکت تجارت الکترونیک هستید و انتظار دارید کاربران شما از وب سایت شما بازدید کنند، به ظاهر و احساس خاصی عادت کنید و به آن اعتماد کنید…

… سپس شما مدیون آنها هستید که درست بودن ظاهر و احساس را آزمایش کنید.

به طور منظم و مکرر.

به همین راحتی

دوغ.  باشه خیلی خوب.

و همانطور که نمایش شروع به پایان می کند، اجازه دهید از یکی از خوانندگان خود درباره این داستان بشنویم.

نظرات لری:

پیوندهای زنجیره تامین مبتنی بر وب خود را مرور کنید؟

نرم افزار Wish Epic این کار را قبل از ارسال باگ ردیابی متا برای همه مشتریان خود انجام می داد.

من متقاعد شده‌ام که نسل جدیدی از توسعه‌دهندگان وجود دارند که فکر می‌کنند توسعه یافتن قطعات کد در هر نقطه از اینترنت و چسباندن غیرقابل انتقاد آن‌ها در محصول کاریشان است.

اردک.  اگر فقط کدی را آنطور توسعه نمی دادیم…

... هر کجا می روید، «می دانم، از این کتابخانه استفاده خواهم کرد. من فقط آن را از این صفحه فوق العاده GitHub که پیدا کردم دانلود می کنم.

اوه، به کلی چیزهای دیگر نیاز دارد!؟

اوه، نگاه کنید، می تواند الزامات را به طور خودکار برآورده کند... خوب، بیایید این کار را انجام دهیم!

متأسفانه، شما باید *مالک زنجیره تامین* خود باشید، و این به معنای درک همه چیزهایی است که در آن وجود دارد.

اگر در امتداد لایحه مواد نرم افزاری [SBoM]، جاده فکر می کنید، جایی که فکر می کنید، "بله، همه چیزهایی را که استفاده می کنم فهرست می کنم"، فهرست کردن سطح اول چیزهایی که استفاده می کنید کافی نیست.

شما همچنین باید بدانید، و بتوانید مستندسازی کنید، و بدانید که می‌توانید به آن‌ها اعتماد کنید، همه چیزهایی که آن چیزها به آن‌ها بستگی دارند، و غیره و غیره:

کک‌های کوچک کک‌های کوچک‌تری دارند که به پشت آن‌ها را گاز می‌گیرند و کک‌های کوچک‌تر کک‌های کمتری دارند و تا بی نهایت.

*اینگونه* باید زنجیره تامین خود را تعقیب کنید!

دوغ.  خوب گفتم

بسیار خوب، لری از شما برای ارسال آن نظر بسیار متشکرم.

اگر داستان، نظر یا سوال جالبی دارید که می‌خواهید ارسال کنید، مایلیم آن را در پادکست بخوانید.

می‌توانید به tips@sophos.com ایمیل بزنید، می‌توانید در مورد هر یک از مقاله‌های ما نظر دهید، یا می‌توانید در شبکه‌های اجتماعی با ما تماس بگیرید: @NakedSecurity.

این نمایش امروز ماست. خیلی ممنون که گوش دادید

برای پل داکلین، من داگ آموت هستم، تا دفعه بعد به شما یادآوری می کنم که…

هر دو.  ایمن بمان

[مودم موزیکال]

تمبر زمان:

بیشتر از امنیت برهنه