درهای پشتی، اکسپلویت ها، و میزهای کوچک بابی
پخش کننده صوتی زیر نیست؟ گوش بده مستقیما در Soundcloud
با داگ آموت و پل داکلین. موسیقی مقدماتی و بیرونی توسط ادیت ماج.
شما می توانید به ما گوش دهید Soundcloud, پادکست های اپل, پادکست های Google, Spotify, Stitcher به و هر جایی که پادکست های خوب پیدا می شود. یا فقط رها کنید URL فید RSS ما به پادکچر مورد علاقه شما
رونوشت را بخوانید
دوغ. درهای پشتی، سوء استفاده ها و بازگشت پیروزمندانه Little Bobby Tables.
همه اینها و بیشتر در پادکست Naked Security.
[مودم موزیکال]
به پادکست خوش آمدید، همه.
من داگ آموت هستم و او پل داکلین است.
پل، شما چطور؟
اردک. من فکر می کنم او احتمالا "آقای. رابرت میبلز» اکنون، داگلاس. [خنده]
اما حق با شماست، او بازگشت بدنامی داشته است.
دوغ. عالی است، ما در مورد آن صحبت خواهیم کرد.
اما اول، این هفته در تاریخ فناوری.
در 7 ژوئن 1983، مایکل ایتون حق ثبت اختراع را دریافت کرد AT
مجموعه دستورات برای مودم
تا به امروز، هنوز هم یک پروتکل ارتباطی پرکاربرد برای کنترل مودم است.
این مخفف است ATTENTION
و از پیشوند فرمانی که برای شروع ارتباط مودم استفاده می شود نامگذاری شده است.
La AT
مجموعه دستورات در ابتدا برای مودم های هیز توسعه داده شد، اما به یک استاندارد واقعی تبدیل شده است و توسط اکثر مودم های موجود امروزی پشتیبانی می شود.
پل، چند چیز فناوری داریم که از سال 1983 باقی مانده اند و هنوز در حال استفاده هستند؟
اردک. اشتباه…
MS-DOS؟
اوه، نه، متاسفم! [خنده]
ATDT
برای "توجه، شماره گیری، تن".
ATDP
[P FOR PULSE] اگر مبادله شماره گیری صوتی نداشتید…
... و شما مودم را می شنوید.
یک رله کوچک داشت که می رفت کلیک-کلیک-کلیک-کلیک-کلیک-کلیک-کلیک-کلیک-کلیک-کلیک-کلیک-کلیک.
میتوانید برای بررسی شمارهای که میگرفتید، راه خود را بشمارید.
و حق با شماست: هنوز تا امروز استفاده می شود.
بنابراین، برای مثال، در مودمهای بلوتوث، همچنان میتوانید مواردی مانند این را بگویید AT+NAME=
و سپس نام بلوتوثی که می خواهید نمایش داده شود.
به طرز شگفت انگیزی عمر طولانی دارد.
دوغ. بیایید وارد داستان های خود شویم.
اول، ما این بهروزرسانی را زیر نظر داشتیم... چه خبر است KeePass، پل؟
امنیت جدی: آن "کرک رمز اصلی" KeePass و آنچه می توانیم از آن بیاموزیم
اردک. اگر به خاطر داشته باشید، داگ، ما در مورد یک اشکال صحبت کردیم (این بود CVE-2023-32784).
این اشکال جایی بود که وقتی رمز عبور خود را تایپ میکردید، رشتههای حبابهایی که تعداد کاراکترهای رمز عبور قبلاً وارد شده را نشان میدادند، بهعنوان پرچمهایی در حافظه عمل میکردند که میگفتند: «هی، آن پنج کاراکتر لکهای که نشان میدهند شما قبلاً تایپ کردهاید. پنج کاراکتر رمز عبور؟ درست در نزدیکی آنها در حافظه، یک کاراکتر منفرد (که در غیر این صورت در زمان و مکان از بین می رود) وجود دارد که ششمین کاراکتر رمز عبور شما است."
بنابراین رمز عبور اصلی هرگز در یک مکان جمع آوری نشد - کاراکترها در سراسر حافظه پر شده بودند.
چگونه آنها را کنار هم قرار می دهید؟
و راز این بود که شما به دنبال نشانگرها، لکه ها، لکه ها، لکه ها و غیره بودید.
و خبر خوب این است که نویسنده KeePass قول داده است که این مشکل را برطرف خواهد کرد و او هم این کار را کرده است.
بنابراین اگر کاربر KeePass هستید، بروید و KeyPass 2.54 را دریافت کنید.
دوغ. بله قربان!
بسیار خوب، ما دیگر مراقب این موضوع نیستیم.
مگر اینکه دوباره ظاهر شود که در این صورت نگاه جدیدی به آن خواهیم انداخت. [خنده]
بیایید وارد لیست داستان های خود شویم.
پل، ما یک حمله تزریق SQL از مد افتاده خوب داریم که آن را خبر از بازگشت می دهد میزهای بابی کوچک دوست ما.
اینجا چه خبره؟
بهرهبرداری روز صفر MOVEit که توسط باندهای نقض داده استفاده میشود: چگونه، چرا، و چه باید کرد…
اردک. برای نقل قول بدلکار دیوانه اصلی [مارک کوشی، هنرمند رقص]، "من دوست دارم آن را حرکت دهم، حرکت دهم!"
این یک محصول/سرویس بهطور شگفتآوری است که بهطور گسترده مورد استفاده قرار میگیرد.
دو طعم از آن وجود دارد.
وجود دارد انتقال MOVEit و MOVEit Cloud; آنها از شرکتی به نام Progress Software Corporation آمده اند.
این یک ابزار به اشتراک گذاری فایل است که در میان چیزهای دیگر شامل یک صفحه وب است که دسترسی به فایل هایی را که در تیم، بخش، شرکت و شاید حتی در زنجیره تامین شما به اشتراک گذاشته شده اند را برای شما آسان می کند.
مشکل… در قسمت جلوی وب، همانطور که شما می گویید، یک اشکال تزریق SQL وجود داشت (دوبله CVE 2023-34362، اگر می خواهید این یکی را دنبال کنید).
و معنای آن این است که کسی که میتواند بدون ورود به رابط وب شما دسترسی داشته باشد، میتواند سرور، سرور back-end را فریب دهد تا برخی از دستورات مورد نظر خود را اجرا کند.
و از جمله کارهایی که می توانند انجام دهند این است: پیدا کردن ساختار پایگاه داده های داخلی شما، تا بدانند چه چیزی در کجا ذخیره شده است. شاید در حال دانلود و درهم ریختن اطلاعات شما. و به صورت اختیاری برای کلاهبرداران، تزریق چیزی که به عنوان پوسته وب شناخته می شود.
این اساساً یک فایل سرکش است که آن را در قسمت وب سرور می چسبانید تا وقتی بعداً به آن بازگردید، یک صفحه وب را برای شما، بازدیدکننده ای با یک مرورگر بی گناه ارائه نمی کند.
در عوض، در واقع دستورات دلخواه را بر روی سرور اجرا می کند.
و متأسفانه، از آنجایی که این یک روز صفر بود، ظاهراً به طور گسترده ای برای سرقت داده ها از برخی سازمان های بسیار بزرگ و سپس باج گیری از آنها برای پرداخت پول برای سرکوب داده ها استفاده شده است.
در بریتانیا، ما در مورد صدها هزار کارمند آسیب دیده صحبت می کنیم که اساساً به دلیل این اشکال MOVEit هک شدند، زیرا این نرم افزاری بود که ارائه دهنده حقوق و دستمزد مشترک آنها برای استفاده از آن انتخاب کرده بود.
و تصور میکنید، اگر نتوانید مستقیماً به XYZ Corp نفوذ کنید، اما میتوانید به ارائهدهنده حقوق و دستمزد برونسپاری XYZ Corp نفوذ کنید، احتمالاً در نهایت به مقادیر شگفتانگیزی از اطلاعات شخصی قابل شناسایی در مورد همه کارکنان آن مشاغل خواهید رسید.
نوع اطلاعاتی که متأسفانه به راحتی می توان از آنها برای سرقت هویت استفاده کرد.
بنابراین شما از مواردی مانند شماره تامین اجتماعی، شماره بیمه ملی، شماره پرونده مالیاتی، آدرس منزل، شماره تلفن، شاید شماره حساب بانکی، اطلاعات آپلود طرح بازنشستگی و همه این موارد صحبت می کنید.
بنابراین، ظاهراً این آسیبی است که در این مورد وارد شده است: شرکتهایی که از شرکتهایی استفاده میکنند که از این نرمافزار MOVEit استفاده میکنند که عمداً و عمداً توسط این کلاهبرداران هدف قرار گرفتهاند.
و طبق گزارشهای مایکروسافت، به نظر میرسد که آنها یا با باجافزار بدنام Clop مرتبط هستند یا به آن متصل هستند.
دوغ. OK را بزنید.
به سرعت وصله شد، از جمله نسخه مبتنی بر ابر، بنابراین لازم نیست کاری در آنجا انجام دهید... اما اگر نسخه داخلی را اجرا می کنید، باید وصله کنید.
اما ما توصیه هایی در مورد اینکه چه کاری انجام دهیم داریم و یکی از موارد مورد علاقه من این است: اگر برنامه نویس هستید، ورودی های خود را ضدعفونی کنید.
که ما را به کارتون جدول های بابی کوچولو هدایت می کند.
اگر تا به حال کارتون XKCD را دیده اید (https://xkcd.com/327مدرسه با مادری تماس میگیرد و میگوید: «ما با کامپیوتر مشکل داریم.»
و او می گوید: "آیا پسرم درگیر است؟"
و آنها می گویند، "خب، به نوعی، نه واقعا. اما آیا شما اسم پسرتان رابرت دراپ را شاگردان میز گذاشتید؟»
و او می گوید: "اوه، بله، ما به او میزهای بابی کوچک می گوییم."
و البته، وارد کردن این دستور در یک پایگاه داده به طور نامناسب بهداشتی، جدول دانش آموزان را حذف می کند.
آیا من درست متوجه شدم؟
اردک. دادی، داگلاس.
و در واقع، همانطور که یکی از نظر دهندگان ما اشاره کرد، چند سال پیش (فکر میکنم در سال 2016 بود) مورد معروف شخصی وجود داشت که عمداً شرکتی را در شرکت Companies House در انگلستان ثبت کرد. SEMICOLON
(که یک جداکننده دستور در SQL است) [خنده] DROP TABLE COMPANIES SEMICOLON COMMENT SIGN LIMITED
.
بدیهی است که این یک شوخی بود، و اگر منصفانه در مورد وب سایت دولت اعلیحضرت صادق باشیم، می توانید در واقع به آن صفحه بروید و نام شرکت را به درستی نمایش دهید.
بنابراین به نظر می رسد که در آن مورد کار نکرده است ... به نظر می رسد که آنها ورودی های خود را ضد عفونی می کنند!
اما مشکل زمانی پیش میآید که URLهای وب یا فرمهای وب دارید که میتوانید به سروری ارسال کنید که شامل دادههایی است *که ارسالکننده میتواند انتخاب کند*، سپس به یک فرمان سیستمی تزریق میشود که به سرور دیگری در شبکه شما ارسال میشود.
بنابراین این یک اشتباه قدیمی است، اما انجام آن نسبتاً آسان است، و آزمایش آن بسیار سخت است، زیرا احتمالات بسیار زیادی وجود دارد.
کاراکترها در URL ها و در خطوط فرمان ... مواردی مانند علامت های نقل قول تکی، علامت های نقل قول دوتایی، کاراکترهای اسلش معکوس، نیم ویرگول (اگر جداکننده دستورات هستند) و در SQL، اگر می توانید مخفیانه خط تیره ایجاد کنید (--
) دنباله کاراکترها در آنجا، سپس میگوید: «هر چیزی که بعداً بیاید یک نظر است».
به این معنی که اگر بتوانید آن را به دادههای نادرست خود تزریق کنید، میتوانید تمام مواردی را که در انتهای دستور یک خطای نحوی است ناپدید کنید، زیرا پردازشگر فرمان میگوید: «اوه، من dash-dash را دیدهام. پس اجازه دهید آن را نادیده بگیرم.»
بنابراین، ورودی های خود را ضد عفونی کنید؟
شما حتما باید این کار را انجام دهید و واقعا باید برای آن آزمایش کنید…
...اما مراقب باشید: پوشاندن همه پایه ها واقعاً سخت است، اما باید این کار را انجام دهید، در غیر این صورت یک روز کسی پایگاهی را که شما فراموش کرده اید پیدا می کند.
دوغ. بسیار خوب و همانطور که اشاره کردیم…
خبر خوب، وصله شد.
خبر بد، روز صفر بود.
بنابراین، اگر کاربر MOVEit هستید، مطمئن شوید که اگر چیزی غیر از نسخه ابری را اجرا می کنید، این به روز شده باشد.
و اگر نمیتوانید همین الان وصله کنید، چه کاری میتوانید انجام دهید، پل؟
اردک. شما فقط می توانید بخش مبتنی بر وب قسمت جلویی MOVEit را خاموش کنید.
اکنون، این ممکن است برخی از چیزهایی را که در سیستم خود به آنها تکیه کردهاید، خراب کند، و به این معنی است که افرادی که رابط کاربری وب تنها راهی است که برای تعامل با سیستم میدانند... از کارشان جدا میشوند.
اما به نظر می رسد که اگر از مکانیسم های متعدد دیگری مانند SFTP (پروتکل انتقال فایل امن) برای تعامل با سرویس MOVEit استفاده کنید، نمی توانید این باگ را فعال کنید، بنابراین مختص وب سرویس است.
اما اگر یک نسخه داخلی از این دارید، وصله کردن واقعاً کاری است که باید انجام دهید.
نکته مهم، مانند بسیاری از حملات این روزها، فقط این نیست که باگ وجود داشته است و شما اکنون آن را اصلاح کرده اید.
اگر کلاهبرداران وارد شوند چه؟
اگر آنها کار زشتی انجام دهند چه؟
همانطور که گفتیم، جایی که افراد باجافزار ادعا شده Clop در آن حضور داشتهاند، به نظر میرسد نشانههایی وجود دارد که میتوانید به دنبال آن باشید، و Progress Software فهرستی از آنها را در وبسایت خود دارد (چیزی که ما آن را Indicators of Compromise [IoCs) مینامیم. ] که می توانید بروید و جستجو کنید).
اما، همانطور که قبلاً بارها گفتهایم، نبود مدرک دلیل بر غیبت نیست.
بنابراین، شما باید شکار تهدیدات پس از حمله معمولی خود را انجام دهید.
به عنوان مثال، به دنبال مواردی مانند حسابهای کاربری تازه ایجاد شده (آیا واقعاً قرار است وجود داشته باشند؟)، دانلودهای غیرمنتظره دادهها، و انواع تغییرات دیگری که ممکن است انتظار نداشته باشید و اکنون باید معکوس شوند.
و همانطور که بارها گفتهایم، اگر زمان و/یا تخصص کافی برای انجام این کار را ندارید، لطفا از درخواست کمک نترسید.
(فقط برو به https://sophos.com/mdrهمانطور که احتمالاً می دانید MDR مخفف آن است شناسایی و پاسخ مدیریت شده.)
این فقط این نیست که بدانیم دنبال چه چیزی بگردیم، بلکه بدانیم به چه چیزی دلالت میکند، و اگر متوجه شدید که این اتفاق افتاده است باید فوراً چه کاری انجام دهید…
... حتی اگر آنچه اتفاق افتاده ممکن است در حمله شما منحصر به فرد باشد، و حملات دیگران ممکن است کمی متفاوت ظاهر شده باشد.
دوغ. من فکر می کنم ما به این موضوع توجه خواهیم کرد!
بیایید به اکسپلویت ها بچسبیم و بعد در مورد یک صحبت کنیم روز صفر در طبیعت بر مرورگرهای مبتنی بر Chromium، Paul.
Chrome و Edge zero-day: "این اکسپلویت در طبیعت است"، بنابراین نسخه های خود را اکنون بررسی کنید
اردک. بله، همه چیزهایی که در مورد این یکی می دانیم... این یکی از آن مواقعی است که گوگل، که معمولاً دوست دارد داستان های بزرگی درباره سوء استفاده های جالب تعریف کند، کارت های خود را بسیار نزدیک به سینه خود نگه می دارد، زیرا این یک روز صفر است.
و اطلاعیه بهروزرسانی گوگل کروم به سادگی میگوید: گوگل میداند که یک اکسپلویت برای CVE-2023-3079 در طبیعت وجود دارد.
این یک پله بالاتر از آن چیزی است که من آن را دو درجه جدایی می نامم که شرکت هایی مانند گوگل و اپل اغلب دوست دارند از آن استفاده کنند، که قبلاً در مورد آن صحبت کرده ایم، جایی که آنها می گویند: "ما از گزارش هایی آگاه هستیم که نشان می دهد افراد دیگر ادعا می کنند که ممکن است آن را دیده باشند.» [خنده]
آنها فقط می گویند: «یک سوء استفاده وجود دارد. ما آن را دیدهایم.»
و این تعجب آور نیست، زیرا ظاهرا این موضوع توسط تیم تجزیه و تحلیل تهدیدات خود گوگل بررسی و کشف شده است.
این تمام چیزی است که ما میدانیم…
... آن، و این واقعیت که آن چیزی است که به عنوان یک شناخته می شود گیجی نوع در V8، که موتور جاوا اسکریپت است، بخشی از Chromium که جاوا اسکریپت را در مرورگر شما پردازش و اجرا می کند.
دوغ. مطمئناً ای کاش در مورد سردرگمی نوع بیشتر می دانستم.
من در مورد سردرگمی نوع سردرگم هستم.
شاید کسی بتونه برام توضیح بده؟
اردک. اوو ، داگ ، این فقط یک نوع سگ است که من دوست دارم! [می خندد]
توضیح ساده، جایی است که دادهها را به یک برنامه ارائه میدهید و میگویید: «در اینجا تکهای از دادهها وجود دارد که میخواهم با آنها طوری رفتار کنید که انگار یک تاریخ است.»
یک سرور خوب نوشته می شود، "می دانید چیست؟ من کورکورانه به داده هایی که شما برای من ارسال می کنید اعتماد نمی کنم. من مطمئن می شوم که شما چیزی واقع بینانه برای من ارسال کرده اید»…
... بنابراین از مشکل جداول بابی کوچک جلوگیری می شود.
اما تصور کنید اگر در لحظهای در آینده در اجرای سرور، بتوانید سرور را فریب دهید و بگویید: «هی، آن دادههایی را که برایت فرستادم و بهت گفتم تاریخ است را به یاد بیاوری؟ و شما تأیید کردهاید که تعداد روزها از 31 بیشتر نبوده، و ماه از 12 بیشتر نبوده است، و اینکه سال بین، مثلاً 1920 و 2099 بوده است، همه آن بررسیهای خطا که انجام دادهاید؟ خوب، در واقع، این را فراموش کنید! اکنون، کاری که من از شما میخواهم انجام دهید این است که دادههایی را که ارائه کردهام، که یک تاریخ قانونی بود، بگیرید، اما *میخواهم با آنها طوری رفتار کنید که گویی یک آدرس حافظه است*. و من از شما می خواهم که اجرای برنامه ای را که در آنجا اجرا می شود شروع کنید، زیرا قبلاً داده ها را پذیرفته اید و قبلاً تصمیم گرفته اید به آن اعتماد کنید.
بنابراین ما دقیقاً نمی دانیم که این نوع سردرگمی در V8 چه شکلی به خود گرفته است، اما همانطور که می توانید تصور کنید، در داخل یک موتور جاوا اسکریپت، انواع مختلفی از داده ها وجود دارد که موتورهای جاوا اسکریپت باید با آنها سروکار داشته باشند و در زمان های مختلف پردازش کنند.
گاهی اوقات اعداد صحیح وجود دارد، گاهی اوقات رشته های کاراکتر وجود دارد، گاهی اوقات آدرس های حافظه وجود دارد، گاهی اوقات توابعی برای اجرا وجود دارد، و غیره.
بنابراین، وقتی موتور جاوا اسکریپت در مورد اینکه قرار است با دادههایی که در حال حاضر به آنها نگاه میکند چه کند گیج میشود، ممکن است اتفاقات بدی بیفتد!
دوغ. رفع ساده است.
فقط باید مرورگر مبتنی بر Chromium خود را به روز کنید.
ما دستورالعمل هایی در مورد نحوه انجام این کار برای Google Chrome و Microsoft Edge داریم.
و آخرین، اما مطمئنا نه کم اهمیت، ما باید یک به اصطلاح "درپشتی" ویندوز که دارندگان مادربرد گیگابایت را تحت تاثیر قرار می دهد.
شیطان، همانطور که دوست دارید بگویید، در جزئیات است، اما پل.
محققان ادعا می کنند که "درپشتی" ویندوز صدها مادربرد گیگابایت را تحت تاثیر قرار می دهد
اردک. [آه] اوه عزیز، بله!
حالا، اجازه دهید از پایان شروع کنیم: خبر خوب این است که من به تازگی دیدم که گیگابایت یک پچ برای این کار منتشر کرده است.
مشکل این بود که اگر در مورد آن فکر کنید، یک ویژگی کاملا مفید است.
برنامه ای بود به نام GigabyteUpdateService
.
خوب، حدس بزن چه کار کرد، داگلاس؟
دقیقاً همان چیزی که روی قلع گفته شده است - ویژگی نامیده می شود مرکز برنامه (این نام گیگابایت برای این است).
عالی.
با این تفاوت که فرآیند انجام به روز رسانی ها از نظر رمزنگاری صحیح نبود.
هنوز مقداری کد قدیمی در آنجا بود... این یک برنامه C# بود، یک برنامه دات نت.
ظاهراً سه URL مختلف داشت که میتوانست برای دانلود تلاش کند.
یکی از آنها HTTP قدیمی ساده، داگ بود.
و مشکل، همانطور که از زمان Firesheep میدانستیم، این است که دانلودهای HTTP [A] برای رهگیری و [B] بیاهمیت برای تغییر در طول مسیر هستند تا گیرنده نتواند تشخیص دهد که شما دستکاری شدهاید.
دو URL دیگر از HTTPS استفاده میکردند، بنابراین نمیتوان به راحتی دانلود را دستکاری کرد.
اما هیچ تلاشی از طرف دیگر برای انجام حتی ابتداییترین تأیید گواهی HTTPS وجود نداشت، به این معنی که هر کسی میتواند سروری را با ادعای داشتن گواهی گیگابایت راهاندازی کند.
و از آنجایی که گواهینامه نیازی به امضای یک CA (مرجع صدور گواهی) شناخته شده، مانند GoDaddy یا Let's Encrypt، یا شخصی شبیه به آن نداشت، به این معنی است که هر کسی که بخواهد، در یک لحظه می تواند گواهینامه خود را صادر کند که جمع آوری می کند.
و مشکل سوم این بود که پس از دانلود برنامهها، گیگابایت میتوانست چک کند که نه تنها با گواهی دیجیتال معتبر، بلکه با گواهینامهای که قطعاً یکی از آنهاست، امضا شده باشد، اما انجام نداد.
دوغ. خوب، پس این سه چیز بد هستند، و این پایان چیزهای بد است، درست است؟
دیگر چیزی برای آن وجود ندارد.
این تمام چیزی است که ما باید نگران آن باشیم؟ [خنده]
اردک. خوب، متأسفانه، سطح دیگری در این وجود دارد که آن را حتی بدتر می کند.
بایوس گیگابایت، سفتافزار آنها، یک ویژگی فوقالعاده جالب در خود دارد.
(ما مطمئن نیستیم که به طور پیشفرض روشن است یا خیر - برخی از افراد پیشنهاد میکنند که به طور پیشفرض برای برخی از مادربردها غیرفعال باشد، و نظر دهندگان دیگر گفتهاند، "نه، من اخیرا یک مادربرد خریدم و این ویژگی به طور پیشفرض روشن بود.")
این ویژگی در خود سیستم عامل است که فرآیند بهروزرسانی خودکار APP Center را فعال میکند.
بنابراین ممکن است این نرم افزار را نصب، فعال و اجرا کنید، حتی اگر خودتان آن را نصب نکرده باشید.
و بدتر از آن، داگ، چون توسط خود سیستم عامل تنظیم شده است، به این معنی است که اگر به ویندوز بروید و بگویید، "پس، من فقط این چیز را پاره می کنم"…
... دفعه بعد که کامپیوتر خود را بوت می کنید، خود سیستم عامل اساساً چیز به روز رسانی را به پوشه ویندوز شما تزریق می کند!
دوغ. اگر کمی زودتر از کامنت هفته خود استقبال کنیم... یک نظر دهنده ناشناس در مورد این مقاله داشتیم که به ما می گوید:
من همین چند هفته پیش یک سیستم با برد ITX گیگابایت ساختم و مرکز APP Gigabyte در خارج از جعبه روشن بود (یعنی به طور پیش فرض روشن بود).
حتی قبل از اینکه بفهمم در تنظیمات بایوس مخفی شده است آن را چند بار حذف کردم. من طرفدار اون هوسبازی ها نیستم
بنابراین این شخص در حال حذف این APP Center است، اما مدام برمیگردد، و برمیگردد و برمیگردد.
اردک. کمی پیچیده تر از آن چیزی است که من ممکن است پیشنهاد کرده باشم.
شما تصور کنید. "اوه، خوب، سیستم عامل فقط آنلاین می شود، یک فایل را دانلود می کند و آن را در پوشه ویندوز شما می چسباند."
اما آیا این روزها اکثر رایانهها BitLocker ندارند، یا حداقل در رایانههای شرکتی، آیا مردم رمزگذاری کامل دیسک را ندارند؟
راستی سیستم عامل شما که قبل از اینکه بداند ویندوز را اجرا می کنید یا خیر، اجرا می شود چگونه است؟
... چگونه سیستم عامل یک فایل جدید را به درایو ویندوز C: که رمزگذاری شده است تزریق می کند؟
این چگونه کار می کند؟
و خوب یا بد، مایکروسافت ویندوز واقعاً دارد... من فکر میکنم این یک ویژگی است، هر چند وقتی میشنوید که چگونه کار میکند، ممکن است نظر خود را تغییر دهید. [خنده]
WPBT نام دارد.
و مخفف … [به خاطر نمی آورم]
دوغ. جدول باینری پلتفرم ویندوز.
اردک. آه، تو بهتر از من به یاد آوردی!
تقریبا باورم نمیشه که اینطوری کار میکنه….
اساسا، سیستم عامل می گوید: «هی، من یک فایل اجرایی دارم. من یک برنامه مدفون در سیستم عاملم دارم."
این یک برنامه ویندوز است، بنابراین سیستم عامل نمی تواند آن را اجرا کند زیرا شما نمی توانید برنامه های ویندوز را در طول دوره سیستم عامل UEFI اجرا کنید.
اما کاری که سفتافزار انجام میدهد این است که برنامه را در حافظه میخواند و به ویندوز میگوید: «هی، یک برنامه در حافظه در آدرس 0xABCDEF36C0 یا هر چیز دیگری وجود دارد. لطفاً زمانی که درایو را باز کردید و در واقع فرآیند Secure Boot را انجام دادید، این برنامه را در خود قرار دهید.
دوغ. چه چیزی ممکن است اشتباه باشد؟ [خنده]
اردک. خوب، برای اینکه مایکروسافت را منصفانه بدانیم، دستورالعمل های خودش به شرح زیر است:
هدف اصلی WPBT این است که به نرم افزارهای حیاتی اجازه دهد حتی زمانی که سیستم عامل تغییر کرده یا تمیز نصب شده است، باقی بماند. یکی از موارد استفاده، فعال کردن نرم افزار ضد سرقت است که در صورت دزدیده شدن، فرمت کردن یا نصب مجدد دستگاه، لازم است همچنان باقی بماند.
بنابراین شما به نوعی می بینید که آنها از کجا می آیند، اما بعد متوجه می شوند که:
از آنجا که این ویژگی توانایی اجرای مداوم نرم افزار سیستم را در زمینه ویندوز فراهم می کند. بسیار مهم است که این راه حل ها تا حد امکان ایمن باشند…
(پررنگ نیست، من طوری صحبت می کنم که پررنگ است.)
... و کاربران ویندوز را در معرض شرایط قابل بهره برداری قرار ندهید. به ویژه، این راه حل ها نباید شامل بدافزار، یعنی نرم افزارهای مخرب، یا نرم افزارهای ناخواسته نصب شده بدون رضایت کافی کاربر باشد.
و رضایت، در این مورد، همانطور که نظر دهنده ما گفت، این است که یک گزینه سیستم عامل، یک گزینه BIOS در مادربردهای گیگابایت وجود دارد.
و اگر به اندازه کافی در گزینه ها جستجو کنید، باید آن را پیدا کنید. نامیده می شود دانلود و نصب APP Center.
اگر آن گزینه را خاموش کنید، میتوانید تصمیم بگیرید که آیا میخواهید این مورد را نصب کنید یا خیر، و سپس در صورت تمایل میتوانید آن را بهروزرسانی کنید.
دوغ. خوب، پس سوال بزرگ اینجاست…
... آیا این واقعا یک درب پشتی است؟
اردک. نظر خود من این است که کلمه "درپشتی" واقعاً باید برای طبقه بسیار خاصی از انحرافات فناوری اطلاعات، یعنی رفتارهای بدتر امنیت سایبری اختصاص داده شود.
مواردی مانند: تضعیف عمدی الگوریتم های رمزگذاری به طوری که می توانند توسط افراد آگاه شکسته شوند. ساختن عمدی رمزهای عبور مخفی تا افراد بتوانند حتی اگر رمز عبور خود را تغییر دهید وارد سیستم شوند. و باز کردن مسیرهای غیرمستند برای فرماندهی و کنترل.
اگرچه ممکن است متوجه نباشید که این مسیر فرماندهی و کنترل مرکز APP وجود داشته است، اما دقیقاً بدون سند نیست.
و گزینه ای وجود دارد، درست در بایوس، که به شما امکان می دهد آن را روشن و خاموش کنید.
خودتان را به وبسایت گیگابایت بروید، به سایت خبری آنها، و از آخرین نسخه آن مطلع خواهید شد.
دوغ. من می خواهم از آن نظر دهنده ناشناس تشکر کنم.
این اطلاعات بسیار مفیدی بود که به تکمیل داستان کمک کرد.
اردک. در واقع!
دوغ. و من می خواهم به همه یادآوری کنم: اگر داستان، نظر یا سؤال جالبی دارید که می خواهید ارسال کنید، مایلیم آن را در پادکست بخوانید.
میتوانید به tips@sophos.com ایمیل بزنید، میتوانید در مورد هر یک از مقالههای ما نظر دهید، یا میتوانید در شبکههای اجتماعی به ما مراجعه کنید: @nakedsecurity.
این نمایش امروز ماست. خیلی ممنون که گوش دادید
برای پل داکلین، من داگ آموت هستم، تا دفعه بعد به شما یادآوری می کنم که…
هر دو. ایمن بمان
[مودم موزیکال]
- محتوای مبتنی بر SEO و توزیع روابط عمومی. امروز تقویت شوید.
- EVM Finance. رابط یکپارچه برای امور مالی غیرمتمرکز دسترسی به اینجا.
- گروه رسانه ای کوانتومی. IR/PR تقویت شده دسترسی به اینجا.
- PlatoAiStream. Web3 Data Intelligence دانش تقویت شده دسترسی به اینجا.
- منبع: https://nakedsecurity.sophos.com/2023/06/08/s3-ep138-i-like-to-moveit-moveit/
- : دارد
- :است
- :نه
- :جایی که
- ][پ
- $UP
- 12
- 2016
- 31
- 7
- a
- توانایی
- قادر
- درباره ما
- در مورد IT
- بالاتر
- کاملا
- سو استفاده کردن
- پذیرفته
- دسترسی
- مطابق
- حساب
- حساب ها
- واقعا
- نشانی
- آدرس
- نصیحت
- موثر بر
- ترسیده
- پس از
- از نو
- پیش
- الگوریتم
- معرفی
- ادعا شده است
- اجازه دادن
- در امتداد
- قبلا
- بسيار خوب
- همچنین
- am
- شگفت انگیز
- در میان
- مقدار
- an
- تحلیل
- و
- ناشناس
- دیگر
- هر
- هر چیزی
- هر جا
- نرم افزار
- ظاهر می شود
- اپل
- هستند
- دور و بر
- مقاله
- مقالات
- هنرمند
- AS
- At
- حمله
- حمله
- سمعی
- نویسنده
- قدرت
- اتوماتیک
- در دسترس
- اجتناب از
- مطلع
- به عقب
- بازگشت پایان
- درپشتی
- پشتيباني
- بد
- بانک
- حساب بانکی
- پایه
- مستقر
- اساسی
- اساسا
- BE
- زیرا
- شدن
- بوده
- قبل از
- رفتار
- باور
- در زیر
- بهتر
- میان
- برحذر بودن
- بزرگ
- بیت
- تهدید
- کورکورانه
- بلوتوث
- تخته
- پلیس
- خریداری شده
- جعبه
- شکاف
- شکستن
- شکسته
- مرورگر
- مرورگرهای
- اشکال
- بنا
- ساخته
- کسب و کار
- اما
- by
- CA
- صدا
- نام
- تماس ها
- CAN
- کارت ها
- کارتون
- مورد
- مرکز
- قطعا
- گواهی نامه
- صدور گواهی
- زنجیر
- تغییر دادن
- تغییر
- تبادل
- شخصیت
- کاراکتر
- بررسی
- چک
- انتخاب
- برگزیده
- کروم
- کروم
- ادعا
- مدعی
- کلاس
- نزدیک
- ابر
- رمز
- COM
- بیا
- می آید
- آینده
- توضیح
- مشترک
- ارتباط
- شرکت
- شرکت
- بغرنج
- سازش
- کامپیوتر
- کامپیوتر
- شرایط
- اشتباه
- گیجی
- متصل
- رضایت
- زمینه
- کنترل
- پارسیان
- شرکت
- شرکت
- میتوانست
- دوره
- پوشش
- ایجاد شده
- بحرانی
- محصولات
- برش
- امنیت سایبری
- رقص
- داده ها
- نقض داده ها
- پایگاه داده
- پایگاه های داده
- تاریخ
- روز
- روز
- مقدار
- تصمیم گیری
- مصمم
- به طور پیش فرض
- قطعا
- بخش
- جزئیات
- کشف
- توسعه
- دستگاه
- DID
- مختلف
- DIG
- دیجیتال
- گواهی دیجیتال
- مستقیما
- ناپدید می شوند
- نمایش دادن
- do
- میکند
- نمی کند
- عمل
- انجام شده
- آیا
- دو برابر
- پایین
- دانلود
- دانلود
- راندن
- قطره
- دوبله شده
- در طی
- e
- در اوایل
- زمین
- به آسانی
- ساده
- لبه
- هر دو
- پست الکترونیک
- کارکنان
- قادر ساختن
- رمزگذاری
- رمزگذاری
- پایان
- موتور
- موتورهای حرفه ای
- کافی
- وارد
- خطا
- اساسا
- و غیره
- حتی
- تا کنون
- هر کس
- مدرک
- کاملا
- مثال
- اجرا کردن
- اجرا می کند
- اجرا کردن
- اعدام
- وجود دارد
- انتظار
- تخصص
- توضیح دهید
- توضیح داده شده
- بهره برداری
- سوء استفاده
- چشم
- واقعیت
- منصفانه
- منصفانه
- معروف
- پنکه
- موارد دلخواه
- ویژگی
- کمی از
- پرونده
- فایل ها
- پیدا کردن
- پیدا کردن
- نام خانوادگی
- رفع
- پرچم ها
- پیروی
- برای
- فرم
- اشکال
- یافت
- دوست
- از جانب
- جلو
- پایان جلو
- کامل
- توابع
- آینده
- گروه
- باندها
- دریافت کنید
- Go
- می رود
- رفتن
- رفته
- خوب
- گوگل
- گوگل کروم
- گوگل
- اعطا شده
- بزرگ
- بیشتر
- دستورالعمل ها
- هک
- بود
- سیار
- اتفاق افتاده است
- سخت
- صدمه
- آیا
- داشتن
- he
- شنیدن
- کمک
- کمک کرد
- مفید
- اینجا کلیک نمایید
- پنهان
- او را
- خود را
- اصابت
- صفحه اصلی
- خانه
- چگونه
- چگونه
- اما
- HTTP
- HTTPS
- صدها نفر
- صید
- i
- من می خواهم
- هویت
- if
- تصور کنید
- in
- شامل
- شامل
- از جمله
- نشان داد
- شاخص ها
- ننگین
- اطلاعات
- وارد کردن
- تزریق کنید
- ورودی
- نصب
- نصب شده
- دستورالعمل
- بیمه
- تعامل
- تعامل
- جالب
- رابط
- داخلی
- به
- گرفتار
- IT
- ITS
- خود
- جاوا اسکریپت
- ژوئن
- تنها
- نگاه داشتن
- نگهداری
- نگه داشته شد
- نوع
- دانستن
- دانا
- شناخته شده
- بزرگ
- نام
- بعد
- آخرین
- منجر می شود
- یاد گرفتن
- کمترین
- قانونی
- اجازه
- اجازه می دهد تا
- سطح
- پسندیدن
- دوست دارد
- فهرست
- استماع
- کوچک
- ورود به سیستم
- ورود به سیستم
- طولانی
- نگاه کنيد
- نگاه
- به دنبال
- مطالب
- از دست رفته
- عشق
- ساخته
- ساخت
- باعث می شود
- نرم افزارهای مخرب
- بسیاری
- علامت
- استاد
- ممکن است..
- MDR
- به معنی
- به معنای
- مکانیسم
- حافظه
- مایکل
- مایکروسافت
- مایکروسافت لبه
- ویندوز مایکروسافت
- قدرت
- ذهن
- نعناع
- اشتباه
- تغییر
- مادر
- لحظه
- پول
- ماه
- بیش
- اکثر
- حرکت
- بسیار
- موسیقی
- موسیقی
- باید
- my
- امنیت برهنه
- پادکست امنیتی برهنه
- نام
- تحت عنوان
- از جمله
- ملی
- نزدیک
- نیاز
- خالص
- شبکه
- هرگز
- جدید
- به تازگی
- اخبار
- بعد
- نه
- به طور معمول
- اطلاع..
- بدنام
- اکنون
- عدد
- تعداد
- متعدد
- of
- خاموش
- غالبا
- oh
- قدیمی
- on
- ONE
- آنلاین
- فقط
- افتتاح
- عملیاتی
- سیستم عامل
- نظر
- گزینه
- گزینه
- or
- هماهنگ شده
- سازمان های
- در اصل
- دیگر
- در غیر این صورت
- ما
- خارج
- روی
- خود
- صاحبان
- با ما
- بخش
- ویژه
- عبور
- کلمه عبور
- کلمه عبور
- وصله
- پچ کردن
- حق ثبت اختراع
- پل
- پرداخت
- حقوق و دستمزد
- مستمری
- مردم
- مردم
- شاید
- دوره
- با پشتکار
- شخصا
- تلفن
- محل
- ساده
- برنامه
- سکو
- افلاطون
- هوش داده افلاطون
- PlatoData
- بازیکن
- لطفا
- پادکست
- پــادکـست
- فرصت
- احتمالا
- پست ها
- اصلی
- شاید
- مشکل
- روند
- فرآیندهای
- پردازنده
- برنامه
- برنامهنویس
- برنامه ها
- پیشرفت
- وعده داده شده
- پروتکل
- ارائه
- ارائه دهنده
- فراهم می کند
- نبض
- هدف
- قرار دادن
- سوال
- به سرعت
- نقل قول کردن
- باجافزار
- نسبتا
- خواندن
- واقعا
- تازه
- شناسایی شده
- ثبت نام
- تکیه
- به یاد داشته باشید
- گزارش ها
- ضروری
- محفوظ می باشد
- برگشت
- معکوس
- راست
- رابرت
- دور
- RSS
- دویدن
- در حال اجرا
- سعید
- گفتن
- گفته
- می گوید:
- مدرسه
- جستجو
- راز
- امن
- تیم امنیت لاتاری
- دیدن
- به نظر می رسد
- به نظر می رسد
- مشاهده گردید
- ارسال
- در حال ارسال
- فرستاده
- دنباله
- خدمت
- سرویس
- تنظیم
- تنظیمات
- به اشتراک گذاشته شده
- اشتراک
- او
- کوتاه
- باید
- نشان
- امضاء
- امضاء شده
- نشانه ها
- ساده
- به سادگی
- پس از
- تنها
- سایت
- ششم
- دزدکی حرکت کردن
- So
- آگاهی
- نرم افزار
- مزایا
- برخی از
- کسی
- چیزی
- آن
- صدا
- Soundcloud
- فضا
- صحبت کردن
- ویژه
- خاص
- گفته شده
- Spotify
- کارکنان
- استاندارد
- می ایستد
- شروع
- بیانیه
- ماندن
- گام
- هنوز
- به سرقت رفته
- ذخیره شده
- داستان
- داستان
- ساختار
- دانشجویان
- ارسال
- چنین
- نشان می دهد
- عرضه شده است
- عرضه
- زنجیره تامین
- پشتیبانی
- مفروض
- تعجب آور
- زنده ماند
- نحو
- سیستم
- جدول
- گرفتن
- صحبت
- سخنگو
- هدف قرار
- مالیات
- تیم
- فن آوری
- پیشرفته
- گفتن
- می گوید
- آزمون
- نسبت به
- تشکر
- با تشکر
- که
- La
- انگلستان
- سرقت
- شان
- آنها
- سپس
- آنجا.
- اینها
- آنها
- چیز
- اشیاء
- فکر می کنم
- سوم
- این
- کسانی که
- اگر چه؟
- هزاران نفر
- تهدید
- سه
- از طریق
- زمان
- بار
- به
- امروز
- با هم
- در زمان
- ابزار
- مسیر
- انتقال
- درمان
- ماشه
- زحمت
- اعتماد
- امتحان
- دور زدن
- دو
- نوع
- ui
- Uk
- کشف
- غیر منتظره
- متاسفانه
- منحصر به فرد
- تا
- ناخواسته
- بروزرسانی
- به روز شده
- به روز رسانی
- URL
- us
- استفاده کنید
- مورد استفاده
- استفاده
- کاربر
- کاربران
- تایید شده
- تایید
- تایید
- نسخه
- بسیار
- مهمان
- می خواهم
- خواسته
- بود
- مسیر..
- we
- وب
- وب سرور
- مبتنی بر وب
- سایت اینترنتی
- هفته
- هفته
- خوش آمد
- خوب
- بود
- چی
- هر چه
- چه زمانی
- چه
- که
- WHO
- چرا
- به طور گسترده ای
- وحشی
- اراده
- پنجره
- با
- بدون
- کلمه
- مهاجرت کاری
- مشغول به کار
- با این نسخهها کار
- نگرانی
- بدتر
- خواهد بود
- کتبی
- اشتباه
- سال
- سال
- بله
- شما
- شما
- خودت
- زفیرنت