S3 Ep113 : Pwning du noyau Windows – les escrocs qui ont trompé Microsoft [Audio + Text] PlatoBlockchain Data Intelligence. Recherche verticale. Aï.

S3 Ep113 : Pwning le noyau Windows - les escrocs qui ont trompé Microsoft [Audio + Texte]

Horodatage: 15 décembre 2022 12:10

by
Paul Canard

PWING LE NOYAU WINDOWS

Cliquez et faites glisser sur les ondes sonores ci-dessous pour passer à n'importe quel point. Vous pouvez également écouter directement sur Soundcloud.

Avec Doug Aamoth et Paul Ducklin. Musique d'intro et d'outro par Edith Mud.

Vous pouvez nous écouter sur Soundcloud, Podcasts Apple, Podcasts Google, Spotify, piqueur et partout où l'on trouve de bons podcasts. Ou déposez simplement le URL de notre flux RSS dans votre podcatcher préféré.

LIRE LA TRANSCRIPTION

DOUG.  Logiciels espions sans fil, écrémage de cartes de crédit et correctifs à gogo.

Tout cela, et plus encore, sur le podcast Naked Security.

[MODÈME MUSICAL]

Bienvenue sur le podcast, tout le monde.

Je suis Doug Aamoth ; c'est Paul Ducklin.

Paul, comment vas-tu ?

CANARD.  Je vais très bien, Doug.

Froid, mais bon.

DOUG.  Il fait très froid ici aussi et tout le monde est malade… mais c'est décembre pour toi.

En parlant de décembre, nous aimons commencer le spectacle avec notre Cette semaine dans l'histoire de la technologie segment.

Nous avons une entrée passionnante cette semaine - le 16 décembre 2003, la loi CAN-SPAM a été promulguée par le président américain George W. Bush.

Un backronyme pour contrôler l'agression de la pornographie non sollicitée et du marketing, CAN-SPAM était considéré comme relativement édenté pour des raisons telles que ne pas exiger le consentement des destinataires pour recevoir des e-mails marketing et ne pas permettre aux individus de poursuivre les spammeurs.

On croyait qu'en 2004, moins de 1 % des pourriels respectaient effectivement la Loi.

CANARD.  Oui, c'est facile à dire avec le recul...

… mais comme certains d'entre nous plaisantaient à l'époque, nous avons estimé qu'ils l'appelaient CAN-SPAM parce que c'est *exactement* ce que vous pouviez faire. [RIRE]

DOUG.  « Vous POUVEZ spammer ! »

CANARD.  Je suppose que l'idée était : "Commençons par une approche très douce."

[WRY TONE] C'était donc le début, certes, pas tant que ça.

DOUG.  [RIRES] Nous finirons par y arriver.

En parlant de mal et de pire…

…Microsoft Patch Tuesday – rien à voir ici, sauf si vous comptez un pilote de noyau malveillant signé?!

Les pilotes malveillants signés remontent la chaîne de confiance des logiciels

CANARD.  Eh bien, plusieurs en fait - l'équipe Sophos Rapid Response a trouvé ces artefacts lors de missions qu'ils ont faites.

Pas seulement Sophos – au moins deux autres groupes de recherche sur la cybersécurité sont répertoriés par Microsoft comme étant récemment tombés sur ces choses : des pilotes de noyau qui ont effectivement reçu un sceau d'approbation numérique de Microsoft.

Microsoft a maintenant publié un avis qui blâme les partenaires malhonnêtes.

Qu'ils aient réellement créé une entreprise qui prétendait fabriquer du matériel, en particulier pour rejoindre le programme de pilotes avec l'intention de faire passer en douce des pilotes de noyau douteux ?

Ou s'ils ont soudoyé une entreprise qui faisait déjà partie du programme pour jouer au ballon avec eux ?

Ou s'ils ont piraté une entreprise qui ne s'est même pas rendu compte qu'elle était utilisée comme un moyen de dire à Microsoft : "Hé, nous devons produire ce pilote de noyau - allez-vous le certifier ?"…

Le problème avec les pilotes de noyau certifiés, bien sûr, est qu'ils doivent être signés par Microsoft, et comme la signature du pilote est obligatoire sous Windows, cela signifie que si vous pouvez faire signer votre pilote de noyau, vous n'avez pas besoin de hacks ou de vulnérabilités ou exploits pour pouvoir en charger un dans le cadre d'une cyberattaque.

Vous pouvez simplement installer le pilote et le système vous dira : « Eh bien, c'est signé. Il est donc permis de le charger.

Et bien sûr, vous pouvez faire beaucoup plus de dégâts lorsque vous êtes à l'intérieur du noyau que lorsque vous êtes « simplement » administrateur.

Vous bénéficiez notamment d'un accès privilégié à la gestion des processus.

En tant qu'administrateur, vous pouvez exécuter un programme qui dit "Je veux tuer le programme XYZ", qui pourrait être, par exemple, un antivirus ou un outil de chasse aux menaces.

Et ce programme peut résister à l'arrêt, car, en supposant qu'il soit également au niveau de l'administrateur, aucun des processus ne peut absolument revendiquer la primauté sur l'autre.

Mais si vous êtes à l'intérieur du système d'exploitation, c'est le système d'exploitation qui gère les processus de démarrage et de fin, vous obtenez donc beaucoup plus de puissance pour tuer des choses comme les logiciels de sécurité…

…et apparemment c'est exactement ce que ces escrocs faisaient.

Dans « l'histoire qui se répète », je me souviens qu'il y a des années et des années, lorsque nous enquêtions sur les logiciels que les escrocs utilisaient pour mettre fin aux programmes de sécurité, ils avaient généralement des listes de 100 à 200 processus qu'ils souhaitaient éliminer : le système d'exploitation processus, programmes antivirus de 20 fournisseurs différents, tout ce genre de choses.

Et cette fois, je pense qu'il y avait 186 programmes que leur pilote était là pour tuer.

Donc un peu gênant pour Microsoft.

Heureusement, ils ont maintenant expulsé ces codeurs voyous de leur programme de développement, et ils ont bloqué au moins tous les pilotes douteux connus.

DOUG.  Ce n'était donc pas tout révélé le Patch Tuesday.

Il y avait aussi des zero-days, des bogues RCE et d'autres choses de cette nature :

Patch Tuesday : 0-days, bogues RCE et une curieuse histoire de logiciels malveillants signés

CANARD.  Oui.

Heureusement, les bugs zero-day corrigés ce mois-ci n'étaient pas ce qu'on appelle des RCE, ou exécution de code à distance des trous.

Donc, ils n'ont pas donné de route directe aux attaquants extérieurs juste pour sauter dans votre réseau et exécuter tout ce qu'ils voulaient.

Mais il y avait un bogue du pilote du noyau dans DirectX qui permettait à quelqu'un qui était déjà sur votre ordinateur de se promouvoir pour avoir des pouvoirs au niveau du noyau.

C'est donc un peu comme apporter votre propre pilote signé - vous *savez* que vous pouvez le charger.

Dans ce cas, vous exploitez un bogue dans un pilote de confiance et qui vous permet de faire des choses à l'intérieur du noyau.

De toute évidence, c'est le genre de chose qui transforme une cyberattaque qui est déjà une mauvaise nouvelle en quelque chose de bien pire.

Donc, vous voulez certainement corriger cela.

Curieusement, il semble que cela ne s'applique qu'à la toute dernière version, c'est-à-dire 2022H2 (deuxième moitié de l'année est ce que signifie H2) de Windows 11.

Vous voulez certainement vous assurer que vous avez cela.

Et il y avait un bogue intrigant dans Windows SmartScreen, qui est essentiellement l'outil de filtrage de Windows qui, lorsque vous essayez de télécharger quelque chose qui pourrait être ou est dangereux, vous donne un avertissement.

Alors, évidemment, si les escrocs ont trouvé, « Oh, non ! Nous avons cette attaque de malware, et elle fonctionnait très bien, mais maintenant Smart Screen la bloque, qu'allons-nous faire ? »…

… soit ils peuvent s'enfuir et créer une toute nouvelle attaque, soit ils peuvent trouver une vulnérabilité qui leur permet d'éviter l'écran intelligent afin que l'avertissement ne s'affiche pas.

Et c'est exactement ce qui s'est passé dans CVE-2022-44698, Douglas.

Donc, ce sont les jours zéro.

Comme vous l'avez dit, il existe des bogues d'exécution de code à distance dans le mélange, mais aucun d'entre eux n'est connu pour être dans la nature.

Si vous vous corrigez contre ceux-ci, vous devancez les escrocs, plutôt que de simplement vous rattraper.

DOUG.  Bon, restons sur le sujet des patchs…

…et j'adore la première partie titre.

Il dit simplement « Apple corrige tout » :

Apple corrige tout, révèle enfin le mystère d'iOS 16.1.2

CANARD.  Oui, je ne pouvais pas penser à un moyen de lister tous les systèmes d'exploitation en 70 caractères ou moins. [RIRE]

Alors j'ai pensé: "Eh bien, c'est littéralement tout."

Et le problème est que la dernière fois que nous avons écrit sur une mise à jour Apple, c'était uniquement iOS (iPhones), et uniquement iOS 16.1.2 :

Apple publie une mise à jour de sécurité iOS plus discrète que jamais

Alors, si vous aviez iOS 15, que feriez-vous ?

Étiez-vous à risque ?

Alliez-vous recevoir la mise à jour plus tard ?

Cette fois, la nouvelle de la dernière mise à jour est finalement tombée dans l'eau.

Il semble, Doug, que la raison pour laquelle nous avons obtenu cette mise à jour iOS 16.1.2 est qu'il y avait un exploit dans la nature, maintenant connu sous le nom de CVE-2022-42856, et c'était un bogue dans WebKit, le moteur de rendu Web à l'intérieur des systèmes d'exploitation d'Apple.

Et, apparemment, ce bogue pourrait être déclenché simplement en vous attirant pour voir du contenu piégé - ce que l'on appelle dans le commerce un installation en voiture, où vous jetez simplement un coup d'œil sur une page et, "Oh, mon cher", en arrière-plan, un logiciel malveillant est installé.

Maintenant, apparemment, l'exploit qui a été trouvé ne fonctionnait que sur iOS.

C'est probablement la raison pour laquelle Apple n'a pas précipité les mises à jour pour toutes les autres plates-formes, bien que macOS (les trois versions prises en charge), tvOS, iPadOS… ils contenaient tous ce bogue.

Le seul système qui ne l'a pas fait, apparemment, était watchOS.

Donc, ce bogue était dans à peu près tous les logiciels d'Apple, mais apparemment, il n'était exploitable, à leur connaissance, que via un exploit dans la nature, sur iOS.

Mais maintenant, bizarrement, ils disent : "Seulement sur iOS avant 15.1", ce qui vous fait vous demander : "Pourquoi n'ont-ils pas publié de mise à jour pour iOS 15, dans ce cas ?"

Nous ne savons tout simplement pas!

Peut-être espéraient-ils que s'ils sortaient iOS 16.1.2, certaines personnes sur iOS 15 mettraient à jour de toute façon, et cela résoudrait le problème pour eux ?

Ou peut-être qu'ils n'étaient pas encore sûrs qu'iOS 16 n'était pas vulnérable, et qu'il était plus rapide et plus facile de publier la mise à jour (pour laquelle ils ont un processus bien défini), que de faire suffisamment de tests pour déterminer que le bogue pouvait ' t être exploité sur iOS 16 facilement.

On ne le saura probablement jamais, Doug, mais c'est une trame de fond assez fascinante dans tout ça !

Mais, en effet, comme vous l'avez dit, il y a une mise à jour pour tout le monde avec un produit avec un logo Apple dessus.

Donc : ne tardez pas/faites-le aujourd'hui.

DOUG.  Passons à nos amis de l'Université Ben Gourion… ils sont de retour.

Ils ont développé des logiciels espions sans fil - un petit astucieux astuce logiciel espion sans fil:

COVID-bit : l'astuce des logiciels espions sans fil au nom malheureux

CANARD.  Oui… Je ne suis pas sûr du nom ; Je ne sais pas ce qu'ils pensaient là-bas.

Ils l'ont appelé COVID-bit.

DOUG.  Un peu bizarre.

CANARD.  Je pense que nous avons tous été mordus par COVID d'une manière ou d'une autre…

DOUG.  C'est peut-être ça ?

CANARD.  Les COV est censé représenter secret, et ils ne disent pas quoi ID-bit représente.

J'ai deviné qu'il pourrait s'agir d'une "divulgation d'informations petit à petit", mais c'est néanmoins une histoire fascinante.

Nous aimons écrire sur les recherches que fait ce département parce que, même si pour la plupart d'entre nous, c'est un peu hypothétique…

… ils cherchent comment violer les lacunes du réseau, c'est-à-dire où vous gérez un réseau sécurisé que vous gardez délibérément séparé de tout le reste.

Donc, pour la plupart d'entre nous, ce n'est pas un gros problème, du moins à la maison.

Mais ce qu'ils regardent, c'est que * même si vous isolez physiquement un réseau d'un autre *, et ces jours-ci, entrez et déchirez toutes les cartes sans fil, les cartes Bluetooth, les cartes de communication en champ proche, ou coupez les fils et cassez des traces de circuit sur le circuit imprimé pour empêcher toute connectivité sans fil de fonctionner…

… y a-t-il encore un moyen qu'un attaquant qui obtient un accès unique à la zone sécurisée, ou un initié corrompu, puisse divulguer des données de manière largement introuvable ?

Et malheureusement, il s'avère qu'isoler entièrement un réseau d'équipements informatiques d'un autre est beaucoup plus difficile que vous ne le pensez.

Les lecteurs réguliers sauront que nous avons écrit sur des tas de choses que ces gars ont déjà inventées.

Ils ont eu GAIROSCOPE, qui est l'endroit où vous réutilisez réellement un téléphone portable puce de boussole comme un microphone basse fidélité.

DOUG.  [RIRES] Je me souviens de celui-là :

Violation de la sécurité de l'entrefer : utiliser le gyroscope de votre téléphone comme microphone

CANARD.  Parce que ces puces peuvent juste assez bien détecter les vibrations.

Ils ont eu LANTENNA, qui est l'endroit où vous mettez des signaux sur un réseau câblé qui se trouve à l'intérieur de la zone sécurisée, et les câbles réseau agissent en fait comme radios miniatures.

Ils émettent juste assez de rayonnement électromagnétique pour que vous puissiez le capter en dehors de la zone sécurisée, ils utilisent donc un réseau filaire comme émetteur sans fil.

Et ils avaient une chose qu'ils appelaient en plaisantant le FANSMITTER, c'est là où vous allez, « Eh bien, pouvons-nous faire de la signalisation audio ? Évidemment, si nous jouons juste des airs à travers le haut-parleur, comme [des bruits de numérotation] bip-bip-bip-bip-bip, ce sera assez évident.

Mais que se passe-t-il si nous varions la charge du processeur, de sorte que le ventilateur accélère et ralentisse - pourrions-nous utiliser le changement de vitesse du ventilateur presque comme une sorte de signal sémaphore?

Le ventilateur de votre ordinateur peut-il être utilisé pour vous espionner ?

Et lors de cette dernière attaque, ils se sont dit : « Sinon, comment pouvons-nous transformer quelque chose à l'intérieur de presque tous les ordinateurs du monde, quelque chose qui semble assez innocent… comment pouvons-nous le transformer en une station de radio à très, très faible puissance ?

Et dans ce cas, ils ont pu le faire en utilisant l'alimentation électrique.

Ils ont pu le faire dans un Raspberry Pi, dans un ordinateur portable Dell et dans une variété d'ordinateurs de bureau.

Ils utilisent la propre alimentation de l'ordinateur, qui effectue essentiellement une commutation CC à très, très haute fréquence afin de hacher une tension CC, généralement pour la réduire, des centaines de milliers ou des millions de fois par seconde.

Ils ont trouvé un moyen de faire en sorte que cela laisse échapper un rayonnement électromagnétique – des ondes radio qu'ils pouvaient capter jusqu'à 2 mètres de distance sur un téléphone portable…

… même si ce téléphone mobile avait tous ses éléments sans fil désactivés, ou même retirés de l'appareil.

L'astuce qu'ils ont trouvée est la suivante : vous changez la vitesse à laquelle il commute et vous détectez les changements dans la fréquence de commutation.

Imaginez, si vous voulez une tension plus basse (si vous voulez, par exemple, couper 12V à 4V), l'onde carrée sera allumée un tiers du temps et éteinte les deux tiers du temps.

Si vous voulez 2V, vous devez modifier le rapport en conséquence.

Et il s'avère que les CPU modernes varient à la fois leur fréquence et leur tension afin de gérer la puissance et la surchauffe.

Ainsi, en modifiant la charge du processeur sur un ou plusieurs cœurs du processeur - en accélérant simplement les tâches et en les ralentissant à une fréquence relativement basse, entre 5000 et 8000 fois par seconde - ils ont pu obtenir le mode commuté alimentation pour *changer ses modes de commutation* à ces basses fréquences.

Et cela générait des émanations radio à très basse fréquence à partir de traces de circuit ou de tout fil de cuivre dans l'alimentation électrique.

Et ils ont pu détecter ces émanations grâce à une antenne radio pas plus sophistiquée qu'une simple boucle filaire !

Alors, que faites-vous avec une boucle de fil?

Eh bien, tu prétends, Doug, que c'est un câble de microphone ou un câble de casque.

Vous le connectez à une prise audio 3.5 mm, et vous le branchez sur votre téléphone portable comme s'il s'agissait d'un casque…

DOUG.  Wow.

CANARD.  Vous enregistrez le signal audio généré par la boucle filaire, car le signal audio est essentiellement une représentation numérique du signal radio à très basse fréquence que vous avez capté.

Ils ont pu en extraire des données à un débit compris entre 100 bits par seconde lorsqu'ils utilisaient l'ordinateur portable, 200 bits par seconde avec le Raspberry Pi et n'importe où jusqu'à 1000 bits par seconde, avec un taux d'erreur très faible, de les ordinateurs de bureau.

Vous pouvez obtenir des choses comme des clés AES, des clés RSA, même de petits fichiers de données à ce genre de vitesse.

Je pensais que c'était une histoire fascinante.

Si vous gérez une zone sécurisée, vous voulez absolument suivre ce genre de choses, car comme le dit le vieil adage, « les attaques ne font que s'améliorer ou devenir plus intelligentes ».

DOUG.  Et une technologie inférieure. [RIRE]

Tout est numérique, sauf que nous avons cette fuite analogique qui est utilisée pour voler les clés AES.

C'est fascinant!

CANARD.  Juste un rappel que vous devez penser à ce qu'il y a de l'autre côté du mur sécurisé, car "loin des yeux n'est certainement pas nécessairement loin du cœur".

DOUG.  Eh bien, cela cadre bien avec notre histoire finale – quelque chose qui est hors de vue, mais pas hors de l'esprit :

Écrémage des cartes de crédit - la route longue et sinueuse de l'échec de la chaîne d'approvisionnement

Si vous avez déjà créé une page Web, vous savez que vous pouvez y déposer du code d'analyse - une petite ligne de JavaScript - pour Google Analytics, ou des entreprises similaires, pour voir comment se portent vos statistiques.

Il y avait une société d'analyse gratuite appelée Cockpit au début des années 2010, et donc les gens mettaient ce code Cockpit - cette petite ligne de JavaScript - dans leurs pages Web.

Mais Cockpit a fermé ses portes en 2014 et a laissé le nom de domaine expirer.

Et puis, en 2021, les cybercriminels ont pensé : « Certains sites de commerce électronique laissent encore ce code fonctionner ; ils appellent toujours ce JavaScript. Pourquoi n'achetons-nous pas simplement le nom de domaine et nous pourrons ensuite injecter ce que nous voulons dans ces sites qui n'ont toujours pas supprimé cette ligne de JavaScript ? »

CANARD.  Oui.

Qu'est-ce qui pourrait bien se passer, Doug ?

DOUG.  [RIRES] Exactement !

CANARD.  Sept ans!

Ils auraient eu une entrée dans tous leurs journaux de test disant, Could not source the file cockpit.js (ou quoi que ce soit) from site cockpit.jp, Je pense que c'était.

Donc, comme vous le dites, lorsque les escrocs ont rallumé le domaine et ont commencé à mettre des fichiers là-bas pour voir ce qui se passerait…

… ils ont remarqué que de nombreux sites de commerce électronique consommaient et exécutaient simplement aveuglément et joyeusement le code JavaScript des escrocs dans les navigateurs Web de leurs clients.

DOUG.  [LUAGHING] "Hé, mon site ne génère plus d'erreur, il fonctionne."

CANARD.  [INCRÉDULEUX] "Ils doivent l'avoir réparé"… pour une compréhension particulière du mot "réparé", Doug.

Bien sûr, si vous pouvez injecter du JavaScript arbitraire dans la page Web de quelqu'un, vous pouvez à peu près faire en sorte que cette page Web fasse tout ce que vous voulez.

Et si, en particulier, vous ciblez des sites de commerce électronique, vous pouvez définir ce qui est essentiellement du code de logiciel espion pour rechercher des pages particulières qui ont des formulaires Web particuliers avec des champs nommés particuliers…

…comme le numéro de passeport, le numéro de carte de crédit, le CVV, quoi que ce soit.

Et vous pouvez simplement aspirer toutes les données confidentielles non cryptées, les données personnelles, que l'utilisateur met.

Il n'est pas encore entré dans le processus de cryptage HTTPS, donc vous l'aspirez hors du navigateur, vous le cryptez HTTPS * vous-même * et l'envoyez à une base de données gérée par des escrocs.

Et, bien sûr, l'autre chose que vous pouvez faire est de modifier activement les pages Web lorsqu'elles arrivent.

Ainsi, vous pouvez attirer quelqu'un vers un site Web - celui qui est le *bon* site Web ; c'est un site Web auquel ils sont déjà allés, auquel ils savent qu'ils peuvent faire confiance (ou qu'ils pensent pouvoir faire confiance).

S'il y a un formulaire Web sur ce site qui, par exemple, leur demande généralement le nom et le numéro de référence du compte, eh bien, il vous suffit de coller quelques champs supplémentaires, et étant donné que la personne fait déjà confiance au site…

… si vous dites nom, ID et [ajoutez] date de naissance ?

Il est très probable qu'ils vont simplement mettre leur date de naissance parce qu'ils se disent : « Je suppose que cela fait partie de leur vérification d'identité.

DOUG.  C'est évitable.

Vous pourriez commencer par examiner les liens de votre chaîne d'approvisionnement sur le Web.

CANARD.  Oui.

Peut-être qu'une fois tous les sept ans serait un début ? [RIRE]

Si vous ne cherchez pas, alors vous faites vraiment partie du problème, pas de la solution.

DOUG.  Vous pourriez aussi, oh, je ne sais pas… vérifiez vos journaux?

CANARD.  Oui.

Encore une fois, une fois tous les sept ans pourrait commencer?

Permettez-moi de dire ce que nous avons déjà dit sur le podcast, Doug…

… si vous allez collecter des journaux que vous ne regardez jamais, * ne vous embêtez pas du tout à les collecter *.

Arrêtez de vous leurrer et ne collectez pas les données.

Parce qu'en fait, la meilleure chose qui puisse arriver aux données si vous les collectez et ne les regardez pas, c'est que les mauvaises personnes n'y accéderont pas par erreur.

DOUG.  Ensuite, bien sûr, effectuez régulièrement des transactions de test.

CANARD.  Dois-je dire : « Une fois tous les sept ans serait un début » ? [RIRE]

DOUG.  Bien sûr, oui… [WRY] cela pourrait être assez régulier, je suppose.

CANARD.  Si vous êtes une entreprise de commerce électronique et que vous vous attendez à ce que vos utilisateurs visitent votre site Web, habituez-vous à un aspect particulier et faites-lui confiance…

… alors vous leur devez de vérifier que l'aspect et la convivialité sont corrects.

Régulièrement et fréquemment.

Aussi simple que ça.

DOUG.  OK très bien.

Et alors que le spectacle commence à se terminer, écoutons l'un de nos lecteurs sur cette histoire.

Larry commente :

Passez en revue les liens de votre chaîne d'approvisionnement basés sur le Web ?

J'aurais aimé qu'Epic Software l'ait fait avant d'envoyer le bogue de suivi Meta à tous ses clients.

Je suis convaincu qu'il existe une nouvelle génération de développeurs qui pensent que le développement consiste à trouver des fragments de code n'importe où sur Internet et à les coller sans critique dans leur produit de travail.

CANARD.  Si seulement nous ne développions pas de code comme ça…

…où vous allez, « Je sais, je vais utiliser cette bibliothèque ; Je vais simplement le télécharger à partir de cette fantastique page GitHub que j'ai trouvée.

Oh, il a besoin de tout un tas d'autres trucs ! ?

Oh, regarde, ça peut répondre aux exigences automatiquement… eh bien, faisons ça alors !

Malheureusement, vous devez * posséder votre chaîne d'approvisionnement *, et cela signifie comprendre tout ce qui s'y trouve.

Si vous pensez à la nomenclature logicielle des matériaux [SBoM], où vous pensez, "Oui, je vais lister tout ce que j'utilise", il ne suffit pas d'énumérer le premier niveau de choses que vous utilisez.

Vous devez également connaître, être capable de documenter et savoir que vous pouvez faire confiance à toutes les choses dont ces choses dépendent, et ainsi de suite :

Les petites puces ont des puces moindres Sur le dos pour les mordre Et les puces moindres ont des puces moindres Et ainsi à l'infini.

*C'est* comme ça que vous devez poursuivre votre chaîne d'approvisionnement !

DOUG.  Bien dit!

D'accord, merci beaucoup, Larry, d'avoir envoyé ce commentaire.

Si vous avez une histoire intéressante, un commentaire ou une question que vous aimeriez soumettre, nous serions ravis de le lire sur le podcast.

Vous pouvez envoyer un e-mail à tips@sophos.com, commenter n'importe lequel de nos articles ou nous contacter sur les réseaux sociaux : @NakedSecurity.

C'est notre émission d'aujourd'hui; merci beaucoup pour votre écoute.

Pour Paul Ducklin, je suis Doug Aamoth, vous rappelant, jusqu'à la prochaine fois, de…

TOUS LES DEUX.  Restez en sécurité!

[MODÈME MUSICAL]

Horodatage:

Plus de Sécurité nue