S3 Ep113: Windows-ytimen salaaminen – huijarit, jotka huijasivat Microsoftin [Ääni + teksti] PlatoBlockchain Data Intelligencen. Pystysuuntainen haku. Ai.

S3 Ep113: Windows-ytimen salaaminen – huijarit, jotka huijasivat Microsoftin [Ääni + teksti]

Aikaleima: 15. joulukuuta 2022 12

by
Paul Ducklin

WINDOWS-YDINTEN PWNING

Napsauta ja vedä alla olevia ääniaaltoja hypätäksesi mihin tahansa kohtaan. Voit myös kuuntele suoraan Soundcloudissa.

Doug Aamothin ja Paul Ducklinin kanssa. Intro ja outro musiikki Edith Mudge.

Voit kuunnella meitä Soundcloud, Apple Podcastit, Google Podcastit, Spotify, nitoja ja kaikkialla, missä hyviä podcasteja löytyy. Tai pudota vain RSS-syötteemme URL-osoite suosikki podcatcheriisi.

LUE OTTARKASTUS

DOUG.  Langattomat vakoiluohjelmat, luottokorttien salailu ja paikat yllin kyllin.

Kaikki tämä ja paljon muuta Naked Security -podcastissa.

[MUSIIKKIMODEEMI]

Tervetuloa podcastiin kaikki.

Olen Doug Aamoth; hän on Paul Ducklin.

Paul, miten voit?

ANKKA.  Voin hyvin, Doug.

Kylmää, mutta hyvin.

DOUG.  Täälläkin on pakkasta ja kaikki ovat sairaita… mutta se on joulukuu sinulle.

Joulukuusta puheen ollen haluamme aloittaa esityksen omallamme Tämä viikko tekniikan historiassa segmentti.

Meillä on tällä viikolla jännittävä kohtaus – 16. joulukuuta 2003 Yhdysvaltain silloinen presidentti George W. Bush allekirjoitti CAN-SPAM-lain.

Takanimi sanalle ei-toivotun pornografian ja markkinoinnin hyökkäyksen hallinta, CAN-SPAM pidettiin suhteellisen hampaattomana sellaisista syistä kuin se, että vastaanottajilta ei vaadittu suostumusta markkinointisähköpostin vastaanottamiseen, ja se, että yksityishenkilöt eivät voi haastaa roskapostittajia oikeuteen.

Uskottiin, että vuoteen 2004 mennessä alle 1 % roskapostista oli todella lain mukaista.

ANKKA.  Kyllä, tämä on helppo sanoa jälkikäteen...

…mutta kuten jotkut meistä vitsailivat tuolloin, arvelimme, että he kutsuivat sitä CAN-SPAMiksi, koska *täsmälleen* voit tehdä sen. [NAURU]

DOUG.  "Voit lähettää roskapostia!"

ANKKA.  Luulen, että idea oli: "Aloitamme hyvin pehmeästi-pehmeällä lähestymistavalla."

[WRY TONE] Joten se oli alku, tosin ei niin paljon.

DOUG.  [NAURA] Pääsemme lopulta perille.

Huonosta ja pahemmasta puheen ollen...

…Microsoft Patch Tuesday – täällä ei ole mitään nähtävää, ellet laske a allekirjoitettu haitallinen ydinohjain?!

Allekirjoitetun ohjaimen haittaohjelma siirtyy ylöspäin ohjelmiston luottamusketjussa

ANKKA.  Itse asiassa useita – Sophos Rapid Response -tiimi löysi nämä esineet toimeksiannoissa, joita he tekivät.

Ei vain Sophos – Microsoft on listannut ainakin kaksi muuta kyberturvallisuustutkimusryhmää törmänneen näihin asioihin viime aikoina: ytimen ajureille, joille Microsoft on tosiasiallisesti antanut digitaalisen hyväksynnän.

Microsoftilla on nyt neuvonta, joka syyttää roistokumppaneita.

Ovatko he todella luoneet yrityksen, joka teeskenteli valmistavansa laitteistoa, erityisesti liittyäkseen ajuriohjelmaan tarkoituksenaan hiipiä ovelaa ydinajuria?

Vai lahjoivatko he jo ohjelmaan kuuluneen yrityksen pelatakseen palloa heidän kanssaan?

Tai hakkeroivatko he yritykseen, joka ei edes tajunnut, että sitä käytettiin ajoneuvona sanomaan Microsoftille: "Hei, meidän on tuotettava tämä ytimen ajuri – sertifioitatko sen?"…

Sertifioitujen ytimen ajureiden ongelma johtuu tietysti siitä, että Microsoftin on allekirjoitettava ne, ja koska ajurien allekirjoittaminen on pakollista Windowsissa, se tarkoittaa, että jos saat ytimen ajurin allekirjoitettua, et tarvitse hakkereita tai haavoittuvuuksia tai hyödyntää pystyäkseen lataamaan sellaisen osana kyberhyökkäystä.

Voit vain asentaa ohjaimen ja järjestelmä sanoo: "No, se on allekirjoitettu. Siksi sen lataaminen on sallittua."

Ja tietysti, voit tehdä paljon enemmän vahinkoa ollessasi ytimen sisällä kuin voit olla "vain" järjestelmänvalvojana.

Erityisesti saat sisäpiiriläisen pääsyn prosessien hallintaan.

Järjestelmänvalvojana voit suorittaa ohjelman, joka sanoo "Haluan tappaa XYZ-ohjelman", joka voi olla esimerkiksi virustorjunta tai uhkien etsintätyökalu.

Ja tämä ohjelma voi vastustaa sulkemista, koska olettaen, että sekin on järjestelmänvalvojataso, kumpikaan prosessi ei voi ehdottomasti vaatia ensisijaisuutta toiseen nähden.

Mutta jos olet käyttöjärjestelmän sisällä, se on käyttöjärjestelmä, joka käsittelee prosessien aloittamista ja lopettamista, joten saat paljon enemmän tehoa tappaaksesi esimerkiksi tietoturvaohjelmistoja…

…ja ilmeisesti juuri sitä nämä roistot tekivät.

"Historia toistaa itseään", muistan vuosia ja vuosia sitten, kun tutkimme ohjelmistoja, joita huijarit käyttivät suojausohjelmien lopettamiseen, heillä oli tyypillisesti luettelo 100-200 prosessista, jotka he olivat kiinnostuneita tappamaan: käyttöjärjestelmä. prosesseja, virustorjuntaohjelmia 20 eri valmistajalta, kaikkea sellaista.

Ja tällä kertaa luulen, että heidän kuljettajansa oli tappamassa 186 ohjelmaa.

Joten vähän noloa Microsoftille.

Onneksi he ovat nyt heittäneet nuo roistokoodaajat pois kehittäjäohjelmastaan ​​ja he ovat estäneet ainakin kaikki tunnetut ovelat ajurit.

DOUG.  Siinä ei siis ollut kaikki paljastettiin Patch Tiistaina.

Siellä oli myös joitain nollapäiviä, joitain RCE-virheitä ja muuta tämäntyyppistä:

Korjaustiistai: 0 päivää, RCE-virheet ja utelias tarina allekirjoitetuista haittaohjelmista

ANKKA.  Kyllä.

Onneksi tässä kuussa korjatut nollapäivän bugit eivät olleet niin kutsuttuja RCE:itä koodin etäsuorittaminen reikiä.

Joten he eivät antaneet suoraa reittiä ulkopuolisille hyökkääjille vain hypätä verkkoosi ja ajaa mitä he halusivat.

Mutta DirectX:ssä oli ytimen ajurivika, jonka ansiosta joku, joka oli jo tietokoneellasi, sai pohjimmiltaan mainostaa itseään ytimen tasolla.

Joten se on vähän kuin oman allekirjoitetun ohjaimen tuominen - *tiedät*, että voit ladata sen.

Tässä tapauksessa hyödynnät vikaa ohjaimessa, joka on luotettava ja jonka avulla voit tehdä asioita ytimen sisällä.

Ilmeisesti se on sellainen asia, joka tekee kyberhyökkäyksestä, joka on jo huono uutinen, joksikin hyvin, hyvin paljon pahemmaksi.

Joten haluat ehdottomasti korjata sitä vastaan.

Mielenkiintoista näyttää siltä, ​​että tämä koskee vain viimeisintä versiota, eli 2022H2 (vuoden toisella puoliskolla on mitä H2 tarkoittaa) Windows 11:ssä.

Haluat ehdottomasti varmistaa, että sinulla on se.

Ja Windows SmartScreenissä oli kiehtova bugi, joka on pohjimmiltaan Windowsin suodatustyökalu, joka antaa varoituksen, kun yrität ladata jotain, joka voi olla tai on vaarallista.

Joten tietysti, jos roistot ovat löytäneet: "Voi ei! Meillä on tämä haittaohjelmahyökkäys, ja se toimi todella hyvin, mutta nyt Smart Screen estää sen, mitä aiomme tehdä?”…

…joko he voivat paeta ja rakentaa kokonaan uuden hyökkäyksen, tai he voivat löytää haavoittuvuuden, jonka avulla he voivat ohittaa Smart Screenin, jotta varoitus ei tule näkyviin.

Ja juuri näin tapahtui asiakirjassa CVE-2022-44698, Douglas.

Nämä ovat siis nollapäivät.

Kuten sanoit, sekoituksessa on joitain koodin etäsuoritusvirheitä, mutta minkään niistä ei tiedetä olevan luonnossa.

Jos korjaat niitä vastaan, pääset huijareiden edellä sen sijaan, että saavutat vain kiinni.

DOUG.  Okei, pysytään laastareiden aiheessa...

…ja rakastan tämän ensimmäistä osaa otsikko.

Se sanoo vain: "Apple korjaa kaiken":

Apple korjaa kaiken ja paljastaa vihdoin iOS 16.1.2:n mysteerin

ANKKA.  Kyllä, en voinut ajatella tapaa luetella kaikki käyttöjärjestelmät enintään 70 merkillä. [NAURU]

Joten ajattelin: "No, tässä on kirjaimellisesti kaikki."

Ja ongelma on, että viimeksi kun kirjoitimme Applen päivityksestä, se oli vain iOS (iPhonet) ja vain iOS 16.1.2:

Apple julkaisee iOS-tietoturvapäivityksen, joka on suppeampi kuin koskaan

Joten jos sinulla olisi iOS 15, mitä sinun pitäisi tehdä?

Olitko vaarassa?

Aiotteko saada päivityksen myöhemmin?

Tällä kertaa uutinen viimeisestä päivityksestä tuli vihdoin pesussa.

Näyttää siltä, ​​Doug, että syy siihen, miksi saimme iOS 16.1.2 -päivityksen, on se, että siellä oli luonnonvarainen hyväksikäyttö, joka tunnetaan nyt nimellä CVE-2022-42856, ja se oli virhe WebKitissä, web-renderöintimoottorissa. Applen käyttöjärjestelmien sisällä.

Ja ilmeisesti tämä bugi saattaisi laukaista yksinkertaisesti houkuttelemalla sinut katsomaan jotain ansassa olevaa sisältöä – mitä kaupassa kutsutaan driveby asennus, jossa vain vilkaiset sivua ja "Oh, dear" taustalla asennetaan haittaohjelma.

Nyt ilmeisesti löydetty hyväksikäyttö toimi vain iOS:ssä.

Oletettavasti siksi Apple ei kiirehtinyt päivityksiä kaikille muille alustoille, vaikka macOS (kaikki kolme tuettua versiota), tvOS, iPadOS… ne kaikki sisälsivät tämän virheen.

Ainoa järjestelmä, joka ei ilmeisesti toiminut, oli watchOS.

Joten, tämä bugi oli melkein kaikissa Applen ohjelmistoissa, mutta ilmeisesti se oli heidän tiedossansa vain hyödynnettävissä iOS-käyttöjärjestelmässä.

Mutta nyt, oudolla tavalla, he sanovat: "Vain iOS:illä ennen 15.1", mikä saa sinut ihmettelemään: "Miksi he eivät julkaisseet päivitystä iOS 15:lle siinä tapauksessa?"

Emme vain tiedä!

Ehkä he toivoivat, että jos he julkaisivat iOS 16.1.2:n, jotkut iOS 15:tä käyttävät ihmiset päivittäisivät joka tapauksessa, ja se korjaa ongelman heille?

Tai ehkä he eivät olleet vielä varmoja siitä, ettei iOS 16 ollut haavoittuva, ja päivityksen julkaiseminen oli nopeampaa ja helpompaa (johon heillä on hyvin määritelty prosessi) kuin tehdä tarpeeksi testausta sen määrittämiseksi, että virhe ei t voidaan helposti hyödyntää iOS 16:ssa.

Emme luultavasti koskaan saa tietää, Doug, mutta se on varsin kiehtova taustatarina tässä kaikessa!

Mutta todellakin, kuten sanoit, kaikille, joilla on Apple-logolla varustettu tuote, on päivitys.

Joten: Älä viivyttele / tee se tänään.

DOUG.  Siirrytään ystäviemme luo Ben-Gurionin yliopistoon… he ovat palanneet asiaan.

He ovat kehittäneet langattomia vakoiluohjelmia – hienoa langaton vakoiluohjelma temppu:

COVID-bit: langattoman vakoiluohjelman temppu, jonka nimi on valitettava

ANKKA.  Kyllä… en ole varma nimestä; En tiedä mitä he ajattelivat siellä.

He ovat kutsuneet sitä COVID-bit.

DOUG.  Hieman outoa.

ANKKA.  Luulen, että COVID on purenut meitä kaikkia tavalla tai toisella…

DOUG.  Ehkä se on siinä?

ANKKA.  - COV on tarkoitettu seisomaan peitelty, eivätkä he sano mitä ID-bit tarkoittaa.

Arvasin, että se saattaa olla "tiedon paljastaminen pala kerrallaan", mutta se on kuitenkin kiehtova tarina.

Rakastamme kirjoittamista tämän osaston tekemästä tutkimuksesta, koska vaikka useimmille meistä se on hieman hypoteettista…

…he etsivät, kuinka rikkoa verkon ilmarakoja, jolloin käytät suojattua verkkoa, jonka pidät tarkoituksella erillään kaikesta muusta.

Joten useimmille meistä se ei ole suuri ongelma, ainakaan kotona.

Mutta he tarkastelevat sitä, että *vaikka eristäisit yhden verkon toisesta fyysisesti*, ja näinä päivinä mennään sisään ja revitään kaikki langattomat kortit, Bluetooth-kortit, Near Field Communications -kortit tai katkaistaan ​​johdot ja katkeaa. piirilevyllä olevat piirin jäljet ​​estämään langattoman yhteyden toimimisen...

…voiko vielä kerran suoja-alueelle pääsyn saava hyökkääjä tai korruptoitunut sisäpiiriläinen vuotaa tietoja suurelta osin jäljittämättömällä tavalla?

Ja valitettavasti käy ilmi, että yhden tietokonelaitteistoverkon sulkeminen kokonaan toisesta on paljon vaikeampaa kuin luuletkaan.

Säännölliset lukijat tietävät, että olemme kirjoittaneet monista asioista, joita nämä kaverit ovat keksineet aiemmin.

Heillä on ollut GAIROSKOOPPI, jossa voit itse käyttää matkapuhelimen uudelleenkäyttöä kompassi siru low-fidelity-mikrofonina.

DOUG.  [NAURA] Muistan sen:

Ilmavälin turvallisuuden rikkominen: käytä puhelimesi gyroskooppia mikrofonina

ANKKA.  Koska nuo sirut tunnistavat tärinän riittävän hyvin.

Heillä on ollut LANTENNA, jossa voit laittaa signaalit langalliseen verkkoon, joka on suojatun alueen sisällä, ja verkkokaapelit toimivat itse asiassa miniradioasemat.

Ne vuotavat vain sen verran sähkömagneettista säteilyä, että saatat pystyä poimimaan sen suojatun alueen ulkopuolelta, joten he käyttävät langallista verkkoa langattomana lähettimenä.

Ja heillä oli juttu, jota he kutsuivat leikillään FANSMITTERiksi, johon menet: "No, voimmeko tehdä äänimerkinantoa? On selvää, että jos soitamme vain kappaleita kaiuttimesta, kuten [valintaäänet] piip-piip-piip-piip-piip, se on melko selvää."

Mutta entä jos muuttaisimme prosessorin kuormitusta niin, että tuuletin nopeutuu ja hidastuu – voisimmeko käyttää tuulettimen nopeuden muutos melkein kuin eräänlainen semaforisignaali?

Voidaanko tietokoneesi tuuletinta käyttää vakoilemaan sinua?

Ja tässä viimeisimmässä hyökkäyksessä he pohtivat: "Kuinka muuten voimme muuttaa jotain melkein jokaisessa maailman tietokoneessa, jotain, joka näyttää riittävän viattomalta… kuinka voimme muuttaa siitä erittäin, erittäin vähän virtaa käyttävän radioaseman?"

Ja tässä tapauksessa he pystyivät tekemään sen käyttämällä virtalähdettä.

He pystyivät tekemään sen Raspberry Pi:llä, Dellin kannettavalla tietokoneella ja useilla pöytätietokoneilla.

He käyttävät tietokoneen omaa virtalähdettä, joka pohjimmiltaan tekee erittäin, erittäin korkeataajuista DC-kytkentää katkaistakseen tasajännitteen, yleensä vähentääkseen sitä, satoja tuhansia tai miljoonia kertoja sekunnissa.

He löysivät tavan saada se vuotamaan sähkömagneettista säteilyä – radioaaltoja, jotka he pystyivät poimimaan jopa 2 metrin päästä matkapuhelimella…

…vaikka matkapuhelimessa olisi kaikki langattomat toiminnot pois päältä tai jopa poistettu laitteesta.

Temppu, jonka he keksivät, on: vaihdat nopeutta, jolla se vaihtaa, ja havaitset muutokset kytkentätaajuudessa.

Kuvittele, jos haluat pienemmän jännitteen (jos haluat esimerkiksi katkaista 12 V:n 4 V:ksi), neliöaalto on päällä kolmanneksen ajasta ja pois päältä kaksi kolmasosaa ajasta.

Jos haluat 2V, sinun on muutettava suhdetta vastaavasti.

Ja käy ilmi, että nykyaikaiset prosessorit vaihtelevat sekä taajuuttaan että jänniteään hallitakseen tehoa ja ylikuumenemista.

Joten muuttamalla prosessorin kuormitusta yhdessä tai useammassa CPU:n ytimessä – vain lisäämällä tehtäviä ja vähentämällä tehtäviä suhteellisen alhaisella taajuudella, 5000–8000 kertaa sekunnissa – he pystyivät saamaan kytkentätilan. virtalähde *vaihtamaan kytkentätilojaan* näillä matalilla taajuuksilla.

Ja se aiheutti erittäin matalataajuisia radiosäteilyä piirijäljistä tai mistä tahansa virtalähteen kuparilangasta.

Ja he pystyivät havaitsemaan nämä emanaatiot käyttämällä radioantennia, joka ei ollut sen hienostuneempi kuin yksinkertainen lankasilmukka!

Joten mitä teet lankasilmukalla?

No, teeskentelet, Doug, että se on mikrofonikaapeli tai kuulokekaapeli.

Liität sen 3.5 mm:n ääniliittimeen ja liität sen matkapuhelimeesi kuin kuulokkeet…

DOUG.  Wow.

ANKKA.  Tallennat äänisignaalin, joka syntyy lankasilmukasta – koska äänisignaali on pohjimmiltaan digitaalinen esitys erittäin matalataajuisesta radiosignaalista, jonka olet poiminut.

He pystyivät poimimaan siitä dataa 100 bittiä sekunnissa, kun he käyttivät kannettavaa tietokonetta, 200 bittiä sekunnissa Raspberry Pi:llä ja jopa 1000 bittiä sekunnissa, erittäin alhaisella virheprosentilla. pöytätietokoneet.

Voit saada esimerkiksi AES-avaimet, RSA-avaimet ja jopa pienet datatiedostot ulos sellaisella nopeudella.

Minusta se oli kiehtova tarina.

Jos hallitset turvallista aluetta, haluat ehdottomasti pysyä tämän asian kanssa, koska vanhan sanonnan mukaan "hyökkäykset vain paranevat tai älykkäämpiä."

DOUG.  Ja alhaisempi tekniikka. [NAURU]

Kaikki on digitaalista, paitsi meillä on tämä analoginen vuoto, jota käytetään varastamaan AES-avaimia.

Se on kiehtovaa!

ANKKA.  Vain muistutus siitä, että sinun on mietittävä, mitä turvallisen seinän toisella puolella on, koska "poissa silmistä ei todellakaan välttämättä ole poissa mielestä".

DOUG.  No, se sopii hyvin meidän joukkoomme viimeinen tarina – jotain, joka on poissa silmistä, mutta ei poissa mielestä:

Luottokorttien skimming – toimitusketjun epäonnistumisen pitkä ja mutkikas tie

Jos olet joskus rakentanut verkkosivun, tiedät, että voit pudottaa siihen analytiikkakoodin – pienen rivin JavaScriptiä – Google Analyticsia tai sen kaltaisia ​​yrityksiä varten nähdäksesi, kuinka tilastosi pärjäävät.

2010-luvun alussa oli ilmainen analytiikkayritys nimeltä Cockpit, ja siksi ihmiset laittoivat tämän Cockpit-koodin - tämän pienen JavaScript-rivin - verkkosivuillaan.

Mutta Cockpit suljettiin vuonna 2014 ja antoi verkkotunnuksen raueta.

Ja sitten, vuonna 2021, kyberrikolliset ajattelivat: "Jotkut verkkokauppasivustot antavat edelleen tämän koodin toimia; he kutsuvat tätä edelleen JavaScriptiksi. Miksi emme vain osta verkkotunnusta ja sitten voimme lisätä mitä haluamme näille sivustoille, jotka eivät vieläkään ole poistaneet kyseistä JavaScript-riviä?"

ANKKA.  Kyllä.

Mikä voisi mennä oikein, Doug?

DOUG.  [NAURA] Aivan!

ANKKA.  Seitsemän vuotta!

Heillä olisi ollut merkintä kaikkiin testilokiinsa: Could not source the file cockpit.js (tai mikä se olikaan) from site cockpit.jp, mielestäni se oli.

Joten, kuten sanot, kun roistot sytyttivät verkkotunnuksen uudelleen ja alkoivat laittaa sinne tiedostoja nähdäkseen, mitä tapahtuisi…

…he huomasivat, että monet verkkokauppasivustot kuluttivat ja suorittivat huijarien JavaScript-koodia asiakkaidensa verkkoselaimissa sokeasti ja iloisesti.

DOUG.  [LUAGHING] "Hei, sivustoni ei enää anna virhettä, se toimii."

ANKKA.  [USKOMATTOMASTA] "Heidän on täytynyt korjata se"... saadakseen erityistä ymmärrystä sanasta "korjattu", Doug.

Tietysti, jos pystyt syöttämään mielivaltaisen JavaScriptin jonkun verkkosivulle, voit saada kyseisen verkkosivun tekemään mitä tahansa.

Ja jos kohdistat erityisesti verkkokauppasivustoihin, voit määrittää pohjimmiltaan vakoiluohjelmakoodin etsimään tiettyjä sivuja, joilla on tiettyjä verkkolomakkeita, joissa on tietyt nimetyt kentät...

…kuten passin numero, luottokortin numero, CVV, mikä tahansa se on.

Ja voit periaatteessa imeä pois kaikki salaamattomat luottamukselliset tiedot, henkilökohtaiset tiedot, joita käyttäjä laittaa.

Se ei ole vielä mennyt HTTPS-salausprosessiin, joten imet sen pois selaimesta, HTTPS-salaat sen *itse* ja lähetät sen huijareiden ylläpitämään tietokantaan.

Ja tietysti toinen asia, jonka voit tehdä, on se, että voit aktiivisesti muuttaa verkkosivuja niiden saapuessa.

Joten voit houkutella jonkun verkkosivustolle – sellaiselle, joka on *oikea* verkkosivusto; se on verkkosivusto, jolla he ovat käyneet aiemmin ja joihin he tietävät voivansa luottaa (tai he luulevat voivansa luottaa).

Jos kyseisellä sivustolla on verkkolomake, jossa kysytään yleensä nimeä ja tilinumeroa, kirjoitat vain pari ylimääräistä kenttää, ja koska henkilö luottaa jo sivustoon…

… jos sanot nimen, henkilötunnuksen ja [lisää] syntymäpäivän?

On hyvin todennäköistä, että he vain ilmoittavat syntymäpäivänsä, koska he kuvittelevat: "Luulen, että se on osa heidän henkilöllisyytensä tarkistusta."

DOUG.  Tämä on vältettävissä.

Voisit aloittaa verkkopohjaisten toimitusketjujen linkkien tarkistaminen.

ANKKA.  Kyllä.

Ehkä kerran seitsemässä vuodessa olisi alku? [NAURU]

Jos et etsi, olet todella osa ongelmaa, et osa ratkaisua.

DOUG.  Voisit myös, en tiedä… tarkista lokit?

ANKKA.  Kyllä.

Jälleen kerran seitsemässä vuodessa voisi alkaa?

Sanon vain sen, mitä olemme sanoneet aiemmin podcastissa, Doug…

…jos aiot kerätä lokeja, joita et koskaan katso, *älä vain vaivaudu keräämään niitä ollenkaan*.

Lopeta itsesi leikkiä, äläkä kerää tietoja.

Koska itse asiassa parasta, mitä datalle voi tapahtua, jos keräät sitä etkä katso sitä, on se, että väärät ihmiset eivät pääse käsiksi siihen vahingossa.

DOUG.  Suorita sitten tietysti testitapahtumat säännöllisesti.

ANKKA.  Pitäisikö minun sanoa: "Kerran seitsemässä vuodessa olisi alku"? [NAURU]

DOUG.  Tietysti, kyllä… [WRY], se saattaa olla tarpeeksi säännöllistä, luulisin.

ANKKA.  Jos olet verkkokauppayritys ja odotat käyttäjien käyvän verkkosivustollasi, tottuvan tiettyyn ulkoasuun ja luottavan siihen…

…sitten olet heille velkaa testaamalla, että ulkoasu on oikea.

Säännöllisesti ja usein.

Helppoa niin.

DOUG.  OK, erittäin hyvä.

Ja kun esitys alkaa loppua, anna meidän kuulla yksi lukijamme tästä tarinasta.

Larry kommentoi:

Tarkista verkkopohjaiset toimitusketjusi linkit?

Wish Epic Software olisi tehnyt tämän ennen kuin toimitti Meta-seurantavirheen kaikille asiakkailleen.

Olen vakuuttunut siitä, että on olemassa uusi kehittäjien sukupolvi, joka ajattelee, että kehitys on koodinpätkien löytämistä mistä tahansa Internetistä ja niiden liittämistä kritiikittömästi työtuotteeseen.

ANKKA.  Jos emme kehittäisi sellaista koodia…

…minne menet: "Tiedän, käytän tätä kirjastoa; Lataan sen tältä löytämältäni upealta GitHub-sivulta.

Voi, se tarvitsee koko kuorman muuta tavaraa!?

Voi, katso, se voi täyttää vaatimukset automaattisesti… no, tehdään se sitten!

Valitettavasti sinun on *omistettava toimitusketjusi*, mikä tarkoittaa, että ymmärrät kaiken siihen liittyvän.

Jos ajattelet Software Bill of Materials [SBoM] -tietä, jossa ajattelet: "Kyllä, luettelen kaiken, mitä käytän", ei riitä, että luettelet käyttämiesi asioiden ensimmäisen tason.

Sinun täytyy myös tietää, pystyä dokumentoimaan ja tietää, että voit luottaa, kaikki asiat, joista nämä asiat riippuvat, ja niin edelleen ja niin edelleen:

Pienillä kirppuilla on pienemmät kirput selässään purraakseen niitä Ja pienemmillä kirppuilla on vähemmän kirppuja Ja niin loputtomiin.

*Näin* sinun täytyy jahtaa toimitusketjuasi!

DOUG.  Hyvin sanottu!

Selvä, kiitos paljon, Larry, että lähetit kommentin.

Jos sinulla on mielenkiintoinen tarina, kommentti tai kysymys, jonka haluat lähettää, luemme sen mielellämme podcastista.

Voit lähettää sähköpostia tips@sophos.com, voit kommentoida mitä tahansa artikkeleistamme tai voit ottaa meihin yhteyttä sosiaalisessa mediassa: @NakedSecurity.

Se on tämän päivän esitys; kiitos paljon kuuntelusta.

Paul Ducklinille olen Doug Aamoth, joka muistuttaa sinua seuraavaan kertaan asti…

Molemmat.  Pysy turvassa!

[MUSIIKKIMODEEMI]

Aikaleima:

Lisää aiheesta Naked Security