मुझे खेद है, डेव, मुझे डर है... क्षमा करें, मेरी गलती, मैं वह आसानी से कर सकता हूं
नीचे कोई ऑडियो प्लेयर नहीं है? सुनना सीधे साउंडक्लाउड पर।
डग आमोथ और पॉल डकलिन के साथ। इंट्रो और आउट्रो म्यूजिक by एडिथ मुडगे.
आप हमें इस पर सुन सकते हैं Soundcloud, ऐप्पल पॉडकास्ट्स, Google पॉडकास्ट, Spotify, सीनेवाली मशीन और कहीं भी अच्छे पॉडकास्ट मिल जाते हैं। या बस छोड़ दें हमारे आरएसएस फ़ीड का यूआरएल अपने पसंदीदा पॉडकैचर में।
प्रतिलेख पढ़ें
डग ढेर सारे पैच, जुड़े हुए गेराज दरवाजे, और मदरबोर्ड खराबी।
नग्न सुरक्षा पॉडकास्ट पर वह सब और बहुत कुछ।
[संगीत मोडेम]
पॉडकास्ट में आपका स्वागत है, सब लोग।
मैं डौग आमोत हूँ; वह पॉल डकलिन है।
पॉल, आप कैसे हैं?
बत्तख मैं अभी भी समझने की कोशिश कर रहा हूं जब आपने "कनेक्टेड गैरेज डोर" कहा था, डौग।
क्योंकि यह बिल्कुल नए पैमाने पर कनेक्टिविटी है!
डग अरे हाँ!
क्या गलत होने की सम्भावना है?
हम उसमें शामिल होंगे ...
हम टेक हिस्ट्री सेगमेंट में इस वीक के साथ शो की शुरुआत करना चाहते हैं।
हमारे पास कई विकल्प हैं... आज हम पहिया घुमाएंगे।
इस सप्ताह क्या हुआ?
1961 में अंतरिक्ष में जाने वाले पहले व्यक्ति, यूरी गगारिन; रोनाल्ड वेन ने 800 में Apple को छोड़ दिया और अपना स्टॉक $1976 में बेच दिया - शायद वहाँ थोड़ा पछतावा; 1959 में कोबोल का अंकुरण; 1981 में पहला अंतरिक्ष यान प्रक्षेपण; 13 में अपोलो 1970 बचाव मिशन; मेटालिका ने 2000 में नैप्स्टर पर मुकदमा दायर किया; और 1977 में पहला वेस्ट कोस्ट कंप्यूटर फेयर।
आइए आगे बढ़ते हैं और यहां पहिया घुमाते हैं, और देखते हैं कि हम कहां उतरते हैं।
[एफएक्स: व्हील ऑफ फॉर्च्यून]
बत्तख [पहिया की जयकार] कोबोल, कोबोल, कोबोल!
[FX: पहिया धीमा और रुकता है]
डग और हमें कोबोल मिला!
बधाई हो, पॉल - अच्छा काम।
इस सप्ताह, 1959 में, एक बैठक हुई थी, और बैठक में कुछ बहुत ही महत्वपूर्ण और प्रभावशाली कंप्यूटिंग अग्रदूत थे, जिन्होंने एक आम, व्यापार-अनुकूल प्रोग्रामिंग भाषा के निर्माण पर चर्चा की थी।
एकमात्र ग्रेस हूपर ने सुझाव दिया कि अमेरिकी रक्षा विभाग ऐसी भाषा को निधि देता है।
और, सौभाग्य से, एक DOD कंप्यूटिंग निदेशक उसी बैठक में थे, उन्हें यह विचार पसंद आया, और वे इसे निधि देने के लिए सहमत हुए।
और उसी के साथ, COBOL का जन्म हुआ, पॉल।
बत्तख हाँ!
COBOL: कॉमन बिजनेस-ओरिएंटेड लैंग्वेज।
और यह CODASYL नाम की चीज से निकला।
[हंसते हुए] यह संक्षिप्त नाम सभी परिवर्णी शब्दों को शुरू/समाप्त करने के लिए है: डेटा सिस्टम भाषाओं पर सम्मेलन/समिति।
लेकिन यह एक पेचीदा विचार था, जो निश्चित रूप से कई बार पूर्ण चक्र में आया है, कम से कम ब्राउज़र में जावास्क्रिप्ट के साथ नहीं।
फोरट्रान (फॉर्मूला ट्रांसलेशन) जैसी भाषा उस समय वैज्ञानिक कंप्यूटिंग के लिए बहुत लोकप्रिय थी।
लेकिन हर कंपनी, हर कंपाइलर, प्रोग्रामर के हर छोटे समूह के पास फोरट्रान का अपना संस्करण था, जो हर किसी से बेहतर था।
और COBOL का विचार था, "क्या यह अच्छा नहीं होगा यदि आप कोड लिख सकते हैं, और फिर आप इसे किसी भी सिस्टम पर किसी भी कंप्लेंट कंपाइलर के पास ले जा सकते हैं, और कोड, सिस्टम की सीमा के भीतर, समान व्यवहार करेगा ?”
तो यह एक सेमीमोन, व्यापार-उन्मुख भाषा प्रदान करने का एक तरीका था ... जैसा कि नाम से पता चलता है।
डग ठीक ठीक!
अच्छी तरह से नामित!
ठीक है, हम एक लंबा सफर तय कर चुके हैं (अच्छा काम, हर कोई), जिसमें सबसे हाल का सफर भी शामिल है पैच मंगलवार.
हमारे पास शून्य दिन है; हमारे पास दो जिज्ञासु बग हैं; और हमारे पास लगभग 90-कुछ अन्य बग हैं।
लेकिन चलिए अच्छी चीजों पर आते हैं, पॉल...
बत्तख हां, आइए बस उस शून्य-दिन पर दस्तक दें, जो CVE-2023-28252 है, यदि आप उसे नीचे खोजना चाहते हैं।
क्योंकि यह वही है जो बदमाश स्पष्ट रूप से पहले से ही जानते हैं कि कैसे फायदा उठाना है।
यह विंडोज के एक हिस्से में एक बग है जिसे हमने पहले कॉमन लॉग फाइल सिस्टम ड्राइवर में बग देखा है।
और वह एक सिस्टम ड्राइवर है जो आपके डिवाइस पर किसी भी सेवा या ऐप को नियंत्रित, सुरक्षित तरीके से सिस्टम लॉगिंग (माना जाता है) करने की अनुमति देता है।
आप अपने लॉग लिखते हैं... वे गुम नहीं होते; हर कोई इसे करने का अपना तरीका ईजाद नहीं करता; वे ठीक से टाइमस्टैम्प हो जाते हैं; भारी बोझ होने पर भी वे रिकॉर्ड हो जाते हैं; वगैरह।
दुर्भाग्य से, ड्राइवर जो इन लॉग को प्रोसेस करता है ... यह मूल रूप से इसके तहत अपना सामान कर रहा है SYSTEM
खाते.
तो अगर इसमें कोई बग है, जब आप कुछ इस तरह से लॉग करते हैं जो कि नहीं होना चाहिए था, आमतौर पर होता यह है कि आपके पास एलिवेशन ऑफ प्रिविलेज, या ईओपी कहा जाता है।
और कोई व्यक्ति जो अभी कुछ समय पहले ही हो सकता है GUEST
उपयोगकर्ता अचानक के तहत चल रहा है SYSTEM
खाता, जो मूल रूप से उन्हें सिस्टम पर कुल नियंत्रण के रूप में अच्छा देता है।
वे अन्य ड्राइवरों को लोड और अनलोड कर सकते हैं; वे लगभग सभी फाइलों तक पहुंच सकते हैं; वे अन्य कार्यक्रमों की जासूसी कर सकते हैं; वे प्रक्रियाओं को प्रारंभ और बंद कर सकते हैं; और इसी तरह।
वह 0-दिन है।
इसे केवल रेट किया गया महत्त्वपूर्ण Microsoft द्वारा... मुझे लगता है क्योंकि यह रिमोट कोड निष्पादन नहीं है, इसलिए इसका उपयोग किसी बदमाश द्वारा पहली बार में आपके सिस्टम में हैक करने के लिए नहीं किया जा सकता है।
लेकिन एक बार जब वे अंदर आ जाते हैं, तो यह बग, सिद्धांत रूप में (और व्यवहार में, यह देखते हुए कि यह एक ओ-डे है), एक बदमाश द्वारा उपयोग किया जा सकता है जो पहले से ही आपके कंप्यूटर पर प्रभावी महाशक्तियों को प्राप्त करने के लिए है।
डग और फिर, यदि आप सिक्योर को सिक्योर बूट से बाहर निकालते हैं, तो यह क्या बन जाता है, पॉल?
बस ...
बत्तख "बूट", मुझे लगता है?
हां, ये दो बग हैं जिन्होंने मुझे नग्न सुरक्षा पर लेख में उन पर ध्यान केंद्रित करने के लिए पर्याप्त रूप से परेशान किया। (यदि आप सभी पैच के बारे में सबकुछ जानना चाहते हैं, तो यहां जाएं news.sophos.com और इन बग्स पर सोफोसलैब्स की रिपोर्ट पढ़ें।)
मैं संख्याओं को नहीं पढ़ूंगा, वे लेख में हैं ... वे दोनों निम्नलिखित शब्दों के साथ सुर्खियों में हैं: Windows बूट प्रबंधक सुरक्षा सुविधा भेद्यता को बायपास करती है.
और मैं पढ़ूंगा कि Microsoft इसका वर्णन कैसे करता है:
एक हमलावर जिसने इन कमजोरियों का सफलतापूर्वक शोषण किया, वह अनधिकृत कोड चलाने के लिए सिक्योर बूट को बायपास कर सकता है।
सफल होने के लिए, हमलावर को भौतिक पहुँच या व्यवस्थापकीय विशेषाधिकारों की आवश्यकता होगी ...
…जिसके बारे में मैं कल्पना करता हूं कि वे उस बग को दूर करने में सक्षम हो सकते हैं जिसके बारे में हमने शुरुआत में बात की थी। [हंसते हुए]
डग बिल्कुल सही, मैं बस यही सोच रहा था!
बत्तख लेकिन, "अरे, दोस्तों, चिंता न करें, उन्हें आपके कंप्यूटर तक भौतिक पहुंच की आवश्यकता होगी" के बारे में बात, मेरी राय में, एक लाल हेरिंग का एक छोटा सा है, डौग।
क्योंकि सिक्योर बूट का पूरा विचार यह है कि यह आपको उन लोगों से भी बचाने के लिए है, जो आपके कंप्यूटर तक भौतिक पहुंच प्राप्त करते हैं, क्योंकि यह तथाकथित "ईविल क्लीनर" हमले जैसी चीजों को रोकता है ...
…यह वह जगह है जहाँ आपने अपने लैपटॉप को अपने होटल के कमरे में 20 मिनट के लिए छोड़ दिया है जब आप नाश्ता करते हैं।
सफाईकर्मी रोज होटल के कमरों में आते हैं; वे वहाँ होने वाले हैं।
आपका लैपटॉप वहाँ है; यह बंद है; आप सोचते हैं, "वे पासवर्ड नहीं जानते, इसलिए वे लॉग इन नहीं कर सकते।"
लेकिन क्या हो अगर वे ढक्कन को खोल दें, एक यूएसबी कुंजी लगा लें, और आपके कमरे की सफाई पूरी करने के दौरान उसे चालू कर दें...
…इसलिए उन्हें वास्तव में हैकिंग करने में कोई समय खर्च करने की आवश्यकता नहीं है, क्योंकि यह सब स्वचालित है।
लैपटॉप बंद करो; यूएसबी कुंजी को हटा दें।
क्या होगा अगर उन्होंने कुछ मैलवेयर प्रत्यारोपित किया है?
यही शब्दजाल में एक के रूप में जाना जाता है बूटकिट.
रूटकिट नहीं, उससे भी कम: बूट किट।
कुछ ऐसा जो वास्तव में आपके कंप्यूटर को उस समय के बीच प्रभावित करता है जब फ़र्मवेयर चलाया जाता है और विंडोज़ वास्तव में शुरू होता है।
दूसरे शब्दों में, यह उन आधारों को पूरी तरह से उलट देता है जिन पर विंडोज़ स्वयं आने वाली सुरक्षा को आधार बनाता है।
उदाहरण के लिए, क्या होगा यदि उसने आपके BitLocker कीस्ट्रोक्स को लॉग किया था, तो अब उसे अगली बार आपके पूरे कंप्यूटर को अनलॉक करने के लिए पासवर्ड पता था?
और सिक्योर बूट का पूरा विचार यह कहता है, "ठीक है, कुछ भी जो डिजिटल रूप से एक कुंजी द्वारा हस्ताक्षरित नहीं है जिसे आपके कंप्यूटर में पहले से लोड किया गया है (जिसे विश्वसनीय प्लेटफॉर्म मॉड्यूल कहा जाता है), कोई भी कोड जो कोई भी पेश करता है, चाहे वे एक दुष्ट क्लीनर या एक सुविचारित आईटी प्रबंधक, बस नहीं चलेगा।
हालाँकि Microsoft केवल इन बग्स को रेट करता है महत्त्वपूर्ण क्योंकि वे आपके पारंपरिक रिमोट कोड निष्पादन कारनामे नहीं हैं, अगर मैं एक दैनिक-चालक विंडोज उपयोगकर्ता होता, तो मुझे लगता है कि मैं पैच करता, अगर केवल उन लोगों के लिए।
डग तो, अब पैच अप करें!
आप इन विशिष्ट वस्तुओं के बारे में पढ़ सकते हैं नग्न सुरक्षा, और एक व्यापक लेख सोफोस न्यूज़ यह कुल मिलाकर 97 सीवीई का विवरण देता है जिन्हें पैच किया गया है।
और चलो पैच ट्रेन पर रहें, और सेब के बारे में बात करो, कुछ शून्य-दिनों सहित, पॉल।
Apple स्पाइवेयर-शैली 0-दिन के कारनामों के लिए आपातकालीन पैच जारी करता है - अभी अपडेट करें!
बत्तख ये वास्तव में शून्य-दिन थे जो केवल Apple द्वारा जारी किए गए इस विशेष अपडेट में पैच किए गए थे।
हमेशा की तरह, Apple पहले से यह नहीं बताता कि वह क्या करने जा रहा है, और यह आपको कोई चेतावनी नहीं देता है, और यह यह नहीं बताता है कि किसे क्या मिलने वाला है...
…ईस्टर सप्ताहांत की शुरुआत में ही, हमें ये पैच मिले जो एक वेबकिट जीरो-डे को कवर करते हैं।
तो, दूसरे शब्दों में, केवल एक फंसी हुई वेबसाइट को देखने से रिमोट कोड निष्पादन हो सकता है, * और * कर्नेल में एक बग था जिसका मतलब था कि एक बार जब आप एक ऐप को pwn कर लेते हैं, तो आप कर्नेल को pwn कर सकते हैं और अनिवार्य रूप से इसे ले सकते हैं। संपूर्ण उपकरण।
जो मूल रूप से "अरे, मेरी प्यारी वेबसाइट पर ब्राउज़ करें" की गंध करता है। ओ प्यारे। अब मेरे पास आपके पूरे फोन में स्पाइवेयर है। और मैंने न केवल आपके ब्राउज़र को अपने कब्जे में ले लिया है, मैंने सब कुछ भी अपने कब्जे में ले लिया है।”
और सच्चे Apple फैशन में ... सबसे पहले, macOS 13 Ventura (macOS का नवीनतम संस्करण) और iOS और iPad OS 16 के लिए उन दोनों बगों के खिलाफ अपडेट थे।
MacOS के दो पुराने संस्करणों के लिए आंशिक सुधार थे - उनमें WebKit सुधार थे, लेकिन कर्नेल स्तर भेद्यता के लिए कोई पैच नहीं थे।
और iOS और iPadOS 15 के लिए कुछ भी नहीं था।
क्या इसका मतलब यह है कि macOS के पुराने संस्करणों में कर्नेल बग नहीं है?
कि उनके पास कर्नेल बग है, लेकिन उन्हें अभी तक पैच नहीं किया गया है?
क्या आईओएस 15 प्रतिरक्षा है, या इसे पैच की जरूरत है लेकिन वे सिर्फ कह नहीं रहे हैं?
और फिर, लो और निहारना, ईस्टर सप्ताहांत के बाद में, [हंसते हुए] अचानक तीन और अपडेट बाहर आया जिसने सभी लापता टुकड़ों को भर दिया।
Apple ज़ीरो-डे स्पाइवेयर पैच पुराने Mac, iPhone और iPad को कवर करने के लिए बढ़ाया गया
वास्तव में यह पता चला कि सभी समर्थित iOS और iPadOS (जो संस्करण 15 और 16 हैं), और सभी समर्थित macOS (अर्थात संस्करण 11, 12 और 13) में ये दोनों बग शामिल हैं।
और अब उन दोनों के खिलाफ पैचअप हो गया है।
यह देखते हुए कि यह बग स्पष्ट रूप से एमनेस्टी इंटरनेशनल सिक्योरिटी लैब और Google थ्रेट रिस्पांस टीम के संयोजन द्वारा पाया गया था ...
…ठीक है, आप शायद अनुमान लगा सकते हैं कि इसका वास्तविक जीवन में स्पाइवेयर के लिए उपयोग किया गया है।
इसलिए, भले ही आपको नहीं लगता कि आप उस तरह के व्यक्ति हैं जो उस तरह के हमलावर के जोखिम में होने की संभावना है, इसका मतलब यह है कि ये कीड़े न केवल मौजूद हैं, वे स्पष्ट रूप से जंगल में बहुत अच्छी तरह से काम करते हैं .
इसलिए यदि आपने हाल ही में अपने मैक या अपने iDevice पर अपडेट चेक नहीं किया है, तो कृपया ऐसा करें।
बस अगर आप चूक गए।
डग ठीक है!
जैसा कि हम जानते हैं, कनेक्टेड गैरेज डोर कंपनियाँ इन गैरेज डोरों को साइबर सुरक्षा को ध्यान में रखते हुए कोड करती हैं।
तो चौंकाने वाली बात है कुछ इस तरह हुआ है, पॉल...
बत्तख हां.
इस मामले में, डौग (और मुझे लगता है कि हम बेहतर ब्रांड नाम कहेंगे: यह नेक्सएक्स है), ऐसा लगता है कि उन्होंने साइबर सुरक्षा का एक विशेष रूप पेश किया है।
शून्य-कारक प्रमाणीकरण, डौग!
यहीं पर आप कुछ ऐसा लेते हैं जिसे सार्वजनिक करने का इरादा नहीं है (ईमेल पते या ट्विटर हैंडल के विपरीत, जहां आप चाहते हैं कि लोग इसे जानें), लेकिन यह वास्तव में एक रहस्य नहीं है।
तो, एक उदाहरण आपके वायरलेस कार्ड का मैक पता हो सकता है।
इस मामले में, उन्होंने अपने प्रत्येक डिवाइस को संभवतः एक विशिष्ट डिवाइस आईडी दी थी ...
…और यदि आप जानते हैं कि किसी भी डिवाइस की आईडी क्या होती है, तो उसे मूल रूप से उपयोगकर्ता नाम, पासवर्ड और लॉगिन कोड के रूप में गिना जाता है।
डग [ग्रोन] यह सुविधाजनक है ...
बत्तख और भी सुविधाजनक, डौग: हर डिवाइस के फ़र्मवेयर में एक हार्ड कोड पासवर्ड होता है।
डग ओह, हम चले! [हंसते हुए]
बत्तख [हंसते हुए] एक बार जब किसी को पता चल जाता है कि जादू का पासवर्ड क्या है, तो यह उन्हें क्लाउड मैसेजिंग सिस्टम में लॉग इन करने की अनुमति देता है जिसे ये डिवाइस दुनिया भर में उपयोग करते हैं।
ऐसा करने वाले रिसर्चर ने क्या पाया, क्योंकि उसके पास इनमें से एक डिवाइस था...
…उसने पाया कि जब वह अपने स्वयं के ट्रैफ़िक को देख रहा था, जिसे देखने की वह शायद उम्मीद कर सकता है, तो उसे अन्य सभी के साथ-साथ उनकी डिवाइस आईडी भी मिल गई।
डग [बड़ा कराहना] ओह, भगवान!
बत्तख डिवाइस आईडी पर्याप्त नहीं होने की स्थिति में, वे JSON डेटा में आपका ईमेल पता, आपका प्रारंभिक और आपके परिवार का नाम भी शामिल करते हैं।
यदि आप पहले से ही यह नहीं जानते हैं कि उस व्यक्ति का पीछा कैसे करना है जहां वह रहता था।
तो, आप या तो उनके घर जा सकते हैं और उनका गैराज खोल सकते हैं और फिर उनका सामान चुरा सकते हैं। (ओह, वैसे, यह उनके होम अलार्म सिस्टम पर भी लागू होता है, इसलिए आप गैरेज का दरवाजा खोलने से पहले अलार्म बंद कर सकते हैं।)
या, यदि आप पर्याप्त रूप से बुरे इरादे के थे, तो आप बेतरतीब ढंग से लोगों के गैराज के दरवाज़े खोल सकते थे, जहाँ भी वे रहते थे, क्योंकि जाहिर तौर पर यह बहुत ही मनोरंजक है। डौग।
डग [विडंबना] कम से कम यह शोधकर्ता इतना तो कर सकता था कि कंपनी को तीन से अधिक महीने पहले सतर्क कर देता, और उन्हें इसे ठीक करने के लिए समय देता।
बत्तख हाँ, वह कम से कम इतना तो कर ही सकता था।
ठीक यही उन्होंने किया।
और इसीलिए, कई महीनों बाद (मुझे लगता है कि जनवरी में उसने पहली बार उनसे संपर्क किया था, और वह उन्हें इस पर आगे नहीं बढ़ा सका) ...
...आखिरकार उन्होंने कहा, "मैं इसके साथ सार्वजनिक होने जा रहा हूं।"
उसका समर्थन करने के लिए, यूएस सीआईएसए [साइबर सिक्योरिटी एंड इंफ्रास्ट्रक्चर सिक्योरिटी एजेंसी] ने वास्तव में इस कहावत पर एक प्रकार का एपीबी निकाला, "वैसे, जैसा कि आप जानते हैं, यह कंपनी उत्तरदायी नहीं है, और हम वास्तव में नहीं हैं जानिए आपको क्या सलाह देनी है।
खैर, मेरी सलाह थी... अच्छे पुराने जमाने की भौतिक कुंजियों का उपयोग करने पर विचार करें; ऐप का उपयोग न करें।
निष्पक्ष होने के लिए, हालांकि शोधकर्ता ने बग की प्रकृति का वर्णन किया है, जैसा कि मैंने आपको यहां बताया है, उन्होंने वास्तव में अवधारणा का प्रमाण नहीं दिया।
ऐसा नहीं था कि उन्होंने इसे हर किसी के लिए बेहद आसान बना दिया था।
लेकिन मुझे लगता है कि उन्होंने महसूस किया कि उनका लगभग उन लोगों की देखभाल करने का कर्तव्य था जिनके पास यह उत्पाद था कि शायद उन्हें भी विक्रेता पर भरोसा करने की जरूरत थी।
डग ठीक है, यह एक क्लासिक "हम उस पर नज़र रखेंगे" प्रकार की कहानी है।
और लेख के अंत में एक महान अनुस्मारक ... आप लिखते हैं, जैसा कि पुराना चुटकुला कहता है, "S in IoT सुरक्षा के लिए खड़ा है", जो कि बहुत हद तक मामला है।
बत्तख हाँ, यह समय है कि हम S को IoT में रखें, है ना?
मुझे नहीं पता कि हम कितनी बार IoT डिवाइस के बारे में इस तरह की कहानियां सुनाने जा रहे हैं... हर बार जब हम ऐसा करते हैं, तो हमें उम्मीद है कि यह आखिरी बार होगा, है ना?
हार्ड कोडित पासवर्ड।
रिप्ले हमले संभव हैं, क्योंकि प्रत्येक अनुरोध में कोई क्रिप्टोग्राफ़िक विशिष्टता नहीं है।
दूसरे लोगों का डाटा लीक करना।
अनुरोधों और उत्तरों में अनावश्यक सामान शामिल करना ... यदि आपके पास डिवाइस आईडी है और आप डिवाइस की पहचान करने की कोशिश कर रहे हैं, तो आपको हर बार डिवाइस को उसके मालिक का ईमेल पता बताने की आवश्यकता नहीं है, जब भी आप दरवाजा खोलना चाहते हैं!
यह बिल्कुल जरूरी नहीं है, और यदि आप इसे नहीं देते हैं, तो यह लीक नहीं हो सकता है!
[आयरनिक] लेकिन इसके अलावा, डौग, मैं इसके बारे में दृढ़ता से महसूस नहीं करता।
डग [हंसता] ठीक है, बहुत अच्छा।
दिन की हमारी आखिरी कहानी, लेकिन निश्चित रूप से कम से कम नहीं।
मदरबोर्ड निर्माता एमएसआई कुछ प्रमाणपत्र आधारित है फर्मवेयर सिरदर्द हाल ही में।
गेमर्स ध्यान दें! मदरबोर्ड बनाने वाली कंपनी एमएसआई ने माना उल्लंघन, जारी किया 'दुष्ट फर्मवेयर' अलर्ट
बत्तख हाँ, यह एक नहीं बल्कि भयानक कहानी है।
कथित तौर पर, मनी मैसेज नाम के एक रैंसमवेयर दल ने मदरबोर्ड निर्माताओं एमएसआई का उल्लंघन किया है। (वे गेमर्स के साथ बहुत लोकप्रिय हैं क्योंकि वे बहुत ही ट्वीकेबल मदरबोर्ड हैं।)
अपराधियों का दावा है कि उनके पास बड़ी मात्रा में डेटा है, जब तक कि उन्हें पैसा नहीं मिल जाता है, वे इसे भंग करने जा रहे हैं।
उन्हें अपनी रिसाव साइट पर वास्तविक डेटा नहीं मिला है (कम से कम जब मैंने पिछली रात को देखा था, जो समय सीमा समाप्त होने से ठीक पहले था), लेकिन वे दावा कर रहे हैं कि उनके पास एमएसआई स्रोत कोड है।
वे दावा कर रहे हैं कि उनके पास वह ढांचा है जिसका उपयोग MSI BIOS या फर्मवेयर फ़ाइलों को विकसित करने के लिए करता है, इसलिए दूसरे शब्दों में वे यह कह रहे हैं कि उन्हें पहले से ही अंदरूनी ज्ञान है जो उन्हें फर्मवेयर बनाने में सक्षम होने की आवश्यकता है जो सही में होगा प्रारूप।
और वे कहते हैं, "इसके अलावा, हमारे पास निजी कुंजियाँ हैं।"
वे हमें यह अनुमान लगाने के लिए आमंत्रित कर रहे हैं कि वे निजी चाबियां उन्हें उनके द्वारा बनाए गए किसी भी दुष्ट फर्मवेयर पर हस्ताक्षर करने की अनुमति देंगी, जो MSI के लिए काफी चिंताजनक बात है, जो इस पर बीच में ही नीचे चले गए हैं।
उन्होंने उल्लंघन स्वीकार किया; उन्होंने इसे नियामक के सामने प्रकट कर दिया है; उन्होंने इसे कानून प्रवर्तन के सामने प्रकट किया है; और उन्होंने बस इतना ही कहा।
उन्होंने जो *किया* है वह सलाह है कि हम दृढ़ता से अनुशंसा करते हैं कि आप वैसे भी पालन करें, अर्थात् अपने ग्राहकों को बताएं:
MSI की आधिकारिक वेबसाइट से ही फर्मवेयर या BIOS अपडेट प्राप्त करें, और आधिकारिक वेबसाइट के अलावा अन्य स्रोतों से फ़ाइलों का उपयोग न करें।
अब, हम उम्मीद करेंगे कि आप जाने के लिए और अपने आप को वैसे भी संभावित दुष्ट फर्मवेयर BLOBs प्राप्त करने के लिए परेशान नहीं होंगे ... जैसा कि हमारे कुछ टिप्पणीकारों ने कहा है, "जब लोग ऐसा करते हैं तो वे क्या सोचते हैं?"
लेकिन अतीत में, यदि आप उन्हें MSI की साइट से प्राप्त नहीं कर सकते थे, तो आप चाहें तो कम से कम डिजिटल प्रमाणपत्र को स्वयं सत्यापित करने पर भरोसा कर सकते थे।
तो मुझे लगता है कि आपको कहना चाहिए कि आप आमतौर पर इस जगह को देखने के बारे में क्या करते हैं, डौग ...
डग आइए इस पर भी नजर रखें!
और यह MSI की कहानी पर हमारे एक पाठक (मैं खुद इसे बेहतर नहीं कह सकता था) से सवाल पूछता है ... पीटर पूछता है:
क्या एमएसआई फाइलों पर हस्ताक्षर करने के लिए इस्तेमाल किए गए प्रमाणपत्र को रद्द नहीं कर सका?
तो अगर किसी ने समझौता की गई फ़ाइल को डाउनलोड किया है, तो क्या वह प्रमाणपत्र जांच में विफल हो जाएगा?
या ऐसे ही नहीं चलता?
बत्तख ठीक है, यह *थ्योरी* में उस तरह काम करता है, डौग।
लेकिन अगर आप आंख मूंदकर किसी ऐसे व्यक्ति को मना करना शुरू कर देते हैं जिसके पास पहले से ही पदावनत प्रमाणपत्र के साथ हस्ताक्षरित फर्मवेयर है, तो आप अनिवार्य रूप से उन लोगों के होने का जोखिम उठाते हैं जिनके पास "कार में अपनी चाबियां बंद" करने जैसा अच्छा है, यदि आप जानते हैं कि क्या है मेरा मतलब है।
उदाहरण के लिए, कल्पना कीजिए कि आप बस जाते हैं, "ठीक है! कल से दुनिया के प्रत्येक कंप्यूटर पर, इस कुंजी के साथ हस्ताक्षरित कोई भी MSI फर्मवेयर काम नहीं करेगा (यदि बदमाश सच कह रहे हैं)। आपको एक नया लेना होगा।
ठीक है, आप नया कंप्यूटर प्राप्त करने के लिए ऑनलाइन होने के लिए अपने कंप्यूटर को कैसे बूट करने जा रहे हैं? [हंसते हुए]
डग [हंसते हुए] एक छोटी सी समस्या!
बत्तख वह मुर्गी और अंडे की समस्या है।
और यह केवल फ़र्मवेयर पर ही लागू नहीं होता है... यदि आप भरोसेमंद फ़ाइलों तक सभी की पहुंच को अवरुद्ध करने में बहुत तेज़ हैं, लेकिन एक प्रमाणपत्र के साथ हस्ताक्षर किए गए हैं जो अब अविश्वसनीय हो गया है, तो आप संभावित रूप से अच्छे से अधिक नुकसान करने का जोखिम उठाते हैं।
आपको कुछ ओवरलैप अवधि छोड़ने की आवश्यकता है।
डग ठीक है, उत्कृष्ट प्रश्न और उत्कृष्ट उत्तर।
पीटर, इसे भेजने के लिए बहुत-बहुत धन्यवाद।
यदि आपके पास कोई दिलचस्प कहानी, टिप्पणी या प्रश्न है जिसे आप सबमिट करना चाहते हैं, तो हमें इसे पॉडकास्ट पर पढ़ना अच्छा लगेगा।
आप tips@sophos.com पर ईमेल कर सकते हैं, आप हमारे किसी भी लेख पर टिप्पणी कर सकते हैं, या आप हमें सामाजिक: @nakedsecurity पर संपर्क कर सकते हैं।
आज के लिए यही हमारा शो है; सुनने के लिए बहुत बहुत धन्यवाद।
पॉल डकलिन के लिए, मैं डौग आमोथ हूं, आपको अगली बार तक याद दिला रहा हूं ...
दोनों सुरक्षित रहें!
[संगीत मोडेम]
- एसईओ संचालित सामग्री और पीआर वितरण। आज ही प्रवर्धित हो जाओ।
- प्लेटोब्लॉकचैन। Web3 मेटावर्स इंटेलिजेंस। ज्ञान प्रवर्धित। यहां पहुंचें।
- स्रोत: https://nakedsecurity.sophos.com/2023/04/13/s3-ep130-open-the-garage-bay-doors-hal-audio-text/
- :है
- $यूपी
- 11
- a
- योग्य
- About
- इसके बारे में
- पहुँच
- लेखा
- वास्तव में
- पता
- स्वीकार किया
- उन्नत
- सलाह
- परिणाम
- के खिलाफ
- एजेंसी
- आगे
- अलार्म
- चेतावनी
- सब
- की अनुमति देता है
- अकेला
- पहले ही
- ठीक है
- हालांकि
- और
- और बुनियादी ढांचे
- जवाब
- किसी
- कहीं भी
- अनुप्रयोग
- Apple
- लागू
- लागू करें
- हैं
- चारों ओर
- लेख
- लेख
- AS
- At
- आक्रमण
- ऑडियो
- प्रमाणीकरण
- लेखक
- स्वचालित
- वापस
- मूल रूप से
- खाड़ी
- BE
- क्योंकि
- बन
- से पहले
- शुरू
- जा रहा है
- नीचे
- बेहतर
- के बीच
- बड़ा
- बिट
- आंखों पर पट्टी से
- ब्लॉकिंग
- जन्म
- ब्रांड
- भंग
- सुबह का नाश्ता
- व्यापक
- ब्राउज़र
- दोष
- कीड़े
- निर्माण
- by
- बुलाया
- कर सकते हैं
- कार्ड
- कौन
- मामला
- निश्चित रूप से
- प्रमाण पत्र
- चेक
- चक्र
- दावा
- यह दावा करते हुए
- क्लासिक
- सफाई
- स्पष्ट रूप से
- बंद
- बादल
- तट
- कोबोल
- कोड
- COM
- संयोजन
- कैसे
- अ रहे है
- टिप्पणी
- सामान्य
- कंपनियों
- कंपनी
- पूरा
- पूरी तरह से
- आज्ञाकारी
- छेड़छाड़ की गई
- कंप्यूटर
- कंप्यूटिंग
- जुड़ा हुआ
- कनेक्टिविटी
- विचार करना
- नियंत्रण
- नियंत्रित
- सुविधाजनक
- सका
- कोर्स
- आवरण
- कवर
- निर्माण
- अपराधियों
- क्रिप्टोग्राफिक
- जिज्ञासु
- ग्राहक
- साइबर सुरक्षा
- तिथि
- पंडुक
- दिन
- समय सीमा तय की
- रक्षा
- विभाग
- रक्षा विभाग
- वर्णित
- विवरण
- विकसित करना
- युक्ति
- डिवाइस
- डीआईडी
- डिजिटल
- डिजिटल प्रमाण पत्र
- डिजिटली
- निदेशक
- चर्चा की
- नहीं करता है
- कर
- dont
- द्वारा
- दरवाजे
- नीचे
- डाउनलोड
- ड्राइवर
- ड्राइवरों
- बूंद
- से प्रत्येक
- प्रभावी रूप से
- भी
- एल्स
- ईमेल
- आपात स्थिति
- प्रवर्तन
- पर्याप्त
- अनिवार्य
- आदि
- और भी
- अंत में
- कभी
- प्रत्येक
- प्रतिदिन
- हर कोई
- सब कुछ
- ठीक ठीक
- उदाहरण
- उत्कृष्ट
- निष्पादन
- उम्मीद
- शोषण करना
- शोषित
- कारनामे
- आंख
- असफल
- निष्पक्ष
- परिवार
- Feature
- पट्टिका
- फ़ाइलें
- भरा हुआ
- प्रथम
- फिक्स
- फोकस
- का पालन करें
- निम्नलिखित
- के लिए
- प्रपत्र
- प्रारूप
- सूत्र
- धन
- पाया
- ढांचा
- से
- पूर्ण
- कोष
- FX
- गेमर
- गेराज
- मिल
- देना
- दी
- देता है
- ग्लोब
- Go
- जा
- अच्छा
- अच्छा काम
- गूगल
- महान
- समूह
- हैक
- हैकिंग
- संभालना
- होना
- हुआ
- हो जाता
- कठिन
- है
- होने
- सिर
- mmmmm
- यहाँ उत्पन्न करें
- इतिहास
- मारो
- होम
- आशा
- होटल
- मकान
- कैसे
- How To
- HTTPS
- i
- मैं करता हूँ
- ID
- विचार
- पहचान करना
- महत्वपूर्ण
- in
- अन्य में
- शामिल
- सहित
- प्रभावशाली
- इंफ्रास्ट्रक्चर
- प्रारंभिक
- अंदरूनी सूत्र
- इरादा
- दिलचस्प
- अंतरराष्ट्रीय स्तर पर
- शुरू की
- द्वारा प्रस्तुत
- आमंत्रित
- iOS
- IOT
- iPad
- iPadOS
- मुद्दों
- IT
- आइटम
- आईटी इस
- खुद
- जनवरी
- शब्दजाल
- जावास्क्रिप्ट
- काम
- JSON
- रखना
- कुंजी
- Instagram पर
- बच्चा
- जानना
- ज्ञान
- जानने वाला
- प्रयोगशाला
- भूमि
- भाषा
- भाषाऐं
- लैपटॉप
- पिछली बार
- ताज़ा
- लांच
- कानून
- कानून प्रवर्तन
- रिसाव
- छोड़ना
- स्तर
- जीवन
- पसंद
- संभावित
- सीमाएं
- सुनना
- थोड़ा
- भार
- लंबा
- देखा
- देख
- मोहब्बत
- मैक
- MacOS
- बनाया गया
- जादू
- बनाना
- निर्माता
- निर्माताओं
- मैलवेयर
- आदमी
- प्रबंधक
- उत्पादक
- बहुत
- साधन
- बैठक
- केवल
- message
- मैसेजिंग
- माइक्रोसॉफ्ट
- मध्यम
- हो सकता है
- मन
- मिनटों
- लापता
- मिशन
- गलती
- मॉड्यूल
- पल
- धन
- महीने
- अधिक
- अधिकांश
- चलती
- एम एस आई
- संगीत
- संगीत
- नग्न सुरक्षा
- नग्न सुरक्षा पॉडकास्ट
- नाम
- यानी
- नैप्स्टर
- प्रकृति
- आवश्यक
- आवश्यकता
- ज़रूरत
- नया
- अगला
- रात
- संख्या
- of
- सरकारी
- सरकारी वेबसाइट
- पुराना
- on
- ONE
- ऑनलाइन
- खुला
- खोला
- राय
- OS
- अन्य
- अपना
- भाग
- विशेष
- पासवर्ड
- पासवर्ड
- अतीत
- पैच
- पैच
- पॉल
- स्टाफ़
- लोगों की
- शायद
- अवधि
- व्यक्ति
- पीटर
- फ़ोन
- भौतिक
- टुकड़े
- अग्रदूतों
- जगह
- मंच
- प्लेटो
- प्लेटो डेटा इंटेलिजेंस
- प्लेटोडाटा
- खिलाड़ी
- कृप्या अ
- पॉडकास्ट
- पॉडकास्ट
- पॉप
- लोकप्रिय
- संभव
- पोस्ट
- संभावित
- बिजली
- अभ्यास
- सुंदर
- निजी
- निजी कुंजी
- शायद
- मुसीबत
- प्रक्रियाओं
- एस्ट्रो मॉल
- प्रोग्रामर्स
- प्रोग्रामिंग
- प्रोग्राम्स
- अच्छी तरह
- रक्षा करना
- प्रदान कर
- सार्वजनिक
- रखना
- डालता है
- प्रश्न
- त्वरित
- Ransomware
- दरें
- बल्कि
- पढ़ना
- पाठकों
- वास्तविक
- असली जीवन
- हाल
- की सिफारिश
- दर्ज
- लाल
- इनकार
- खेद
- नियामक
- रिहा
- दूरस्थ
- हटाना
- रिपोर्ट
- का अनुरोध
- अनुरोधों
- बचाव
- शोधकर्ता
- प्रतिक्रिया
- उत्तरदायी
- जोखिम
- कक्ष
- कमरा
- दौर
- आरएसएस
- रन
- दौड़ना
- s
- कहा
- वही
- कहते हैं
- वैज्ञानिक
- Search
- गुप्त
- सुरक्षित
- सुरक्षा
- लगता है
- खंड
- बेचता है
- भेजना
- भावना
- सेवा
- कई
- चाहिए
- दिखाना
- हस्ताक्षर
- पर हस्ताक्षर किए
- केवल
- साइट
- धीमा कर देती है
- So
- सोशल मीडिया
- कुछ
- कोई
- कुछ
- sophoslabs
- Soundcloud
- स्रोत
- स्रोत कोड
- सूत्रों का कहना है
- अंतरिक्ष
- विशेष
- विशिष्ट
- बिताना
- स्पिन
- Spotify
- स्पायवेयर
- खड़ा
- प्रारंभ
- शुरू होता है
- रहना
- फिर भी
- स्टॉक
- रुकें
- बंद हो जाता है
- कहानियों
- कहानी
- दृढ़ता से
- प्रस्तुत
- सफल
- सफलतापूर्वक
- ऐसा
- मुकदमा
- पता चलता है
- समर्थित
- माना
- प्रणाली
- सिस्टम
- लेना
- तकनीक
- धन्यवाद
- कि
- RSI
- दुनिया
- लेकिन हाल ही
- उन
- इन
- बात
- चीज़ें
- विचारधारा
- इस सप्ताह
- धमकी
- यहाँ
- पहर
- बार
- सेवा मेरे
- आज
- कल
- भी
- कुल
- परंपरागत
- यातायात
- रेलगाड़ी
- अनुवाद करें
- <strong>उद्देश्य</strong>
- विश्वस्त
- भरोसेमंद
- सच
- मंगलवार
- मोड़
- बदल गया
- के अंतर्गत
- आधार
- अद्वितीय
- अनलॉक
- अपडेट
- अपडेट
- यूआरएल
- us
- USB के
- उपयोग
- उपयोगकर्ता
- आमतौर पर
- व्यापक
- विक्रेता
- संस्करण
- कमजोरियों
- भेद्यता
- चेतावनी
- देख
- मार्ग..
- वेबकिट
- वेबसाइट
- सप्ताह
- छुट्टी का दिन
- कुंआ
- पश्चिम
- क्या
- पहिया
- या
- कौन कौन से
- जब
- कौन
- पूरा का पूरा
- जंगली
- मर्जी
- खिड़कियां
- वायरलेस
- साथ में
- अंदर
- शब्द
- काम
- विश्व
- होगा
- लिखना
- गलत
- आप
- आपका
- स्वयं
- जेफिरनेट