S3 Ep113: विंडोज कर्नेल को लूटना - बदमाश जिन्होंने माइक्रोसॉफ्ट [ऑडियो + टेक्स्ट] को धोखा दिया

किसी भी बिंदु पर जाने के लिए नीचे ध्वनि तरंगों पर क्लिक करें और खींचें। आप भी कर सकते हैं सीधे सुनो साउंडक्लाउड पर।

डौग  वायरलेस स्पाइवेयर, क्रेडिट कार्ड स्किमिंग, और ढेर सारे पैच।

वह सब, और बहुत कुछ, नग्न सुरक्षा पॉडकास्ट पर।

[संगीत मोडेम]

पॉडकास्ट में आपका स्वागत है, सब लोग।

मैं डौग आमोत हूँ; वह पॉल डकलिन है।

पॉल, आप कैसे हैं?

---

बत्तख।  मैं बहुत अच्छा हूँ, डौग।

ठंडा, लेकिन अच्छा।

---

डौग  यहां भी कड़ाके की ठंड पड़ रही है और सभी बीमार हैं... लेकिन आपके लिए यह दिसंबर है।

दिसंबर की बात करें तो हम अपने साथ शो की शुरुआत करना पसंद करते हैं टेक इतिहास में यह सप्ताह खंड।

इस सप्ताह हमारे पास एक रोमांचक प्रवेश है - 16 दिसंबर 2003 को, CAN-SPAM अधिनियम को तत्कालीन अमेरिकी राष्ट्रपति जॉर्ज डब्ल्यू बुश द्वारा कानून में हस्ताक्षरित किया गया था।

के लिए एक संक्षिप्त नाम अयाचित पोर्नोग्राफी और मार्केटिंग के हमले को नियंत्रित करना, CAN-SPAM को मार्केटिंग ईमेल प्राप्त करने के लिए प्राप्तकर्ताओं से सहमति की आवश्यकता नहीं होने, और व्यक्तियों को स्पैमर्स पर मुकदमा करने की अनुमति नहीं देने जैसे कारणों से अपेक्षाकृत टूथलेस के रूप में देखा गया था।

ऐसा माना जाता था कि, 2004 तक, 1% से भी कम स्पैम वास्तव में अधिनियम का अनुपालन कर रहे थे।

---

बत्तख।  हां, यह कहना आसान है ...

...लेकिन जैसा कि हम में से कुछ ने उस समय मज़ाक किया था, हमने माना कि उन्होंने इसे CAN-SPAM कहा है क्योंकि यह *बिल्कुल* वही है जो आप कर सकते थे। [हँसी]

---

डौग  "आप स्पैम कर सकते हैं!"

---

बत्तख।  मुझे लगता है कि विचार यह था, "चलो एक बहुत ही नरम-नरम दृष्टिकोण के साथ शुरू करें।"

[WRY टोन] तो यह शुरुआत थी, बेशक, उतनी नहीं।

---

डौग  [हंसते हैं] हम अंततः वहां पहुंचेंगे।

बुरे और बुरे की बात करना ...

…Microsoft पैच ट्यूजडे – यहां देखने के लिए कुछ भी नहीं है, जब तक कि आप गिनती न करें हस्ताक्षरित दुर्भावनापूर्ण कर्नेल ड्राइवर?!

हस्ताक्षरित ड्राइवर मैलवेयर सॉफ़्टवेयर ट्रस्ट श्रृंखला को ऊपर ले जाता है

---

बत्तख।  खैर, कई वास्तव में - सोफोस रैपिड रिस्पांस टीम ने इन कलाकृतियों को उनके द्वारा किए गए कार्यों में पाया।

केवल सोफोस ही नहीं - कम से कम दो अन्य साइबर सुरक्षा अनुसंधान समूहों को Microsoft द्वारा सूचीबद्ध किया गया है, जो हाल ही में इन चीजों में ठोकर खा चुके हैं: कर्नेल ड्राइवर जिन्हें प्रभावी रूप से Microsoft द्वारा अनुमोदन की डिजिटल मुहर दी गई थी।

Microsoft के पास अब एक सलाह है जो दुष्ट भागीदारों को दोष दे रही है।

क्या उन्होंने वास्तव में एक ऐसी कंपनी बनाई है जो हार्डवेयर बनाने का नाटक करती है, विशेष रूप से ड्राइवर प्रोग्राम में शामिल होने के इरादे से डॉगी कर्नेल ड्राइवरों को चुपके से चलाने के लिए?

या क्या उन्होंने किसी ऐसी कंपनी को रिश्वत दी जो पहले से ही उनके साथ खेलने के कार्यक्रम का हिस्सा थी?

या क्या उन्होंने किसी ऐसी कंपनी को हैक किया है जिसे यह एहसास भी नहीं था कि इसका उपयोग Microsoft को कहने के लिए एक वाहन के रूप में किया जा रहा था, "अरे, हमें इस कर्नेल ड्राइवर का उत्पादन करने की आवश्यकता है - क्या आप इसे प्रमाणित करेंगे?" ...

प्रमाणित कर्नेल ड्राइवरों के साथ समस्या, ज़ाहिर है, क्योंकि उन्हें माइक्रोसॉफ्ट द्वारा हस्ताक्षरित होना है, और क्योंकि विंडोज़ पर ड्राइवर हस्ताक्षर अनिवार्य है, इसका मतलब है कि यदि आप अपने कर्नेल ड्राइवर पर हस्ताक्षर कर सकते हैं, तो आपको हैक या कमजोरियों की आवश्यकता नहीं है या साइबर हमले के हिस्से के रूप में एक को लोड करने में सक्षम होने का फायदा उठाता है।

आप बस ड्राइवर स्थापित कर सकते हैं और सिस्टम चला जाएगा, "ओह ठीक है, यह हस्ताक्षरित है। इसलिए इसे लोड करने की अनुमति है।

और निश्चित रूप से, जब आप "मात्र" प्रशासक होते हैं तो आप कर्नेल के अंदर होने पर बहुत अधिक नुकसान कर सकते हैं।

विशेष रूप से, आपको प्रक्रिया प्रबंधन के लिए इनसाइडर एक्सेस मिलता है।

एक व्यवस्थापक के रूप में, आप एक प्रोग्राम चला सकते हैं जो कहता है, "मैं एक्सवाईजेड प्रोग्राम को मारना चाहता हूं," जो एक एंटी-वायरस या खतरे का शिकार उपकरण हो सकता है।

और वह कार्यक्रम बंद होने का विरोध कर सकता है, क्योंकि यह मानते हुए कि यह भी व्यवस्थापक-स्तर है, कोई भी प्रक्रिया पूरी तरह से दूसरे पर प्रधानता का दावा नहीं कर सकती है।

लेकिन अगर आप ऑपरेटिंग सिस्टम के अंदर हैं, तो यह ऑपरेटिंग सिस्टम है जो प्रक्रियाओं को शुरू करने और खत्म करने से संबंधित है, इसलिए आपको सुरक्षा सॉफ्टवेयर जैसी चीजों को मारने के लिए और अधिक शक्ति मिलती है ...

…और जाहिर तौर पर ये बदमाश वही कर रहे थे।

"इतिहास खुद को दोहराता है" में, मुझे याद है, साल और साल पहले, जब हम उन सॉफ़्टवेयर की जांच करेंगे जो बदमाश सुरक्षा कार्यक्रमों को समाप्त करने के लिए इस्तेमाल करते थे, तो उनके पास आमतौर पर 100 और 200 प्रक्रियाओं की सूची होती थी, जिन्हें वे खत्म करने में रुचि रखते थे: ऑपरेटिंग सिस्टम प्रक्रियाओं, 20 विभिन्न विक्रेताओं से एंटी-वायरस प्रोग्राम, सभी प्रकार की सामग्री।

और इस बार, मुझे लगता है कि 186 कार्यक्रम थे जिन्हें मारने के लिए उनका ड्राइवर वहां था।

तो Microsoft के लिए थोड़ी शर्मिंदगी।

सौभाग्य से, उन्होंने अब उन दुष्ट कोडर को उनके डेवलपर प्रोग्राम से बाहर कर दिया है, और उन्होंने कम से कम सभी ज्ञात डोडी ड्राइवरों को ब्लॉकलिस्ट कर दिया है।

---

डौग  तो बस इतना ही नहीं था पैच मंगलवार को खुलासा किया.

कुछ शून्य-दिन, कुछ आरसीई बग और उस प्रकृति की अन्य चीजें भी थीं:

पैच मंगलवार: 0-दिन, आरसीई बग, और हस्ताक्षरित मैलवेयर की एक जिज्ञासु कहानी

---

बत्तख।  हां.

सौभाग्य से इस महीने ठीक किए गए जीरो-डे बग्स वे नहीं थे जिन्हें आरसीई, या के रूप में जाना जाता है रिमोट कोड निष्पादन छेद।

इसलिए उन्होंने बाहरी हमलावरों को सीधा रास्ता नहीं दिया ताकि वे आपके नेटवर्क में कूद सकें और कुछ भी चला सकें जो वे चाहते हैं।

लेकिन DirectX में एक कर्नेल ड्राइवर बग था जो किसी ऐसे व्यक्ति को अनुमति देगा जो पहले से ही आपके कंप्यूटर पर था, मूल रूप से खुद को कर्नेल-स्तर की शक्तियों को बढ़ावा देने के लिए।

तो यह थोड़ा सा अपने स्वयं के हस्ताक्षरित ड्राइवर को लाने जैसा है - आप *जानते हैं* कि आप इसे लोड कर सकते हैं।

इस मामले में, आप ड्राइवर में एक बग का फायदा उठाते हैं जो भरोसेमंद है और जो आपको कर्नेल के अंदर सामान करने देता है।

जाहिर है, यह उस तरह की चीज है जो एक साइबर हमले को बनाता है जो पहले से ही बुरी खबर है, बहुत ज्यादा खराब है।

तो आप निश्चित रूप से इसके खिलाफ पैच करना चाहते हैं।

आश्चर्यजनक रूप से, ऐसा लगता है कि यह केवल नवीनतम बिल्ड, यानी 2022H2 पर लागू होता है (वर्ष की दूसरी छमाही विंडोज 2 के लिए H11 का मतलब है)।

आप निश्चित रूप से यह सुनिश्चित करना चाहते हैं कि आपको वह मिल गया है।

और विंडोज स्मार्टस्क्रीन में एक पेचीदा बग था, जो मूल रूप से विंडोज फ़िल्टरिंग टूल है कि जब आप कोशिश करते हैं और कुछ खतरनाक हो सकता है या डाउनलोड करते हैं, तो आपको चेतावनी देता है।

तो, जाहिर है, अगर बदमाश मिल गए हैं, "ओह, नहीं! हमें यह मैलवेयर अटैक मिला है, और यह वास्तव में अच्छी तरह से काम कर रहा था, लेकिन अब स्मार्ट स्क्रीन इसे ब्लॉक कर रही है, हम क्या करने जा रहे हैं?"...

... या तो वे भाग सकते हैं और एक नया हमला कर सकते हैं, या वे एक भेद्यता पा सकते हैं जो उन्हें स्मार्ट स्क्रीन से दूर जाने देती है ताकि चेतावनी पॉप अप न हो।

और सीवीई-2022-44698, डगलस में ठीक यही हुआ।

तो, वे शून्य-दिन हैं।

जैसा कि आपने कहा, मिश्रण में कुछ दूरस्थ कोड निष्पादन बग हैं, लेकिन उनमें से कोई भी जंगल में नहीं जाना जाता है।

यदि आप उनके खिलाफ समझौता करते हैं, तो आप केवल पकड़ने के बजाय बदमाशों से आगे निकल जाते हैं।

---

डौग  ठीक है, चलिए पैच के विषय पर बने रहते हैं...

…और मुझे इसका पहला भाग बहुत पसंद है शीर्षक.

यह सिर्फ कहता है, "ऐप्पल सबकुछ पैच करता है":

Apple सब कुछ पैच करता है, अंत में iOS 16.1.2 के रहस्य का खुलासा करता है

---

बत्तख।  हां, मैं सभी ऑपरेटिंग सिस्टम को 70 वर्णों या उससे कम में सूचीबद्ध करने के तरीके के बारे में नहीं सोच सका। [हँसी]

तो मैंने सोचा, "ठीक है, यह सचमुच सब कुछ है।"

और समस्या यह है कि पिछली बार जब हमने Apple अपडेट के बारे में लिखा था, तो वह था केवल आईओएस (आईफोन), और केवल आईओएस 16.1.2:

Apple ने iOS सुरक्षा अद्यतन जारी किया है जो पहले से कहीं अधिक चुस्त-दुरुस्त है

तो, अगर आपके पास iOS 15 था, तो आपको क्या करना था?

क्या आप जोखिम में थे?

क्या आप बाद में अपडेट प्राप्त करने जा रहे थे?

इस बार आखिरी अपडेट की खबर आखिरकार वाश में सामने आई।

ऐसा प्रतीत होता है, डौग, कि हमें iOS 16.1.2 अपडेट मिलने का कारण यह है कि एक इन-द-वाइल्ड एक्सप्लॉइट था, जिसे अब CVE-2022-42856 के रूप में जाना जाता है, और वह वेब रेंडरिंग इंजन WebKit में एक बग था Apple के ऑपरेटिंग सिस्टम के अंदर।

और, जाहिरा तौर पर, उस बग को केवल आपको कुछ फंसी हुई सामग्री देखने के लिए लुभाने से ट्रिगर किया जा सकता है - जिसे व्यापार में एक के रूप में जाना जाता है ड्राइवबी इंस्टॉल करें, जहां आप केवल एक पृष्ठ पर नज़र डालते हैं और पृष्ठभूमि में "ओह, प्रिय", मैलवेयर इंस्टॉल हो जाता है।

अब, जाहिरा तौर पर, जो शोषण पाया गया वह केवल iOS पर काम करता था।

संभवतः यही कारण है कि Apple ने अन्य सभी प्लेटफार्मों के लिए अपडेट जल्दी नहीं किया, हालाँकि macOS (तीनों समर्थित संस्करण), TVOS, iPadOS... इन सभी में वास्तव में वह बग शामिल था।

एकमात्र प्रणाली जो स्पष्ट रूप से वॉचओएस नहीं थी।

तो, वह बग लगभग सभी Apple के सॉफ्टवेयर में था, लेकिन जाहिरा तौर पर यह केवल शोषक था, जहाँ तक वे जानते थे, iOS पर इन-द-वाइल्ड शोषण के माध्यम से।

लेकिन अब, अजीब तरह से, वे कह रहे हैं, "केवल 15.1 से पहले iOS पर," जो आपको आश्चर्यचकित करता है, "उन्होंने उस स्थिति में iOS 15 के लिए अपडेट क्यों नहीं दिया?"

हम अभी नहीं जानते!

शायद वे उम्मीद कर रहे थे कि अगर वे आईओएस 16.1.2 को बाहर कर देते हैं, तो आईओएस 15 पर कुछ लोग वैसे भी अपडेट करेंगे, और इससे उनके लिए समस्या ठीक हो जाएगी?

या हो सकता है कि वे अभी तक निश्चित नहीं थे कि iOS 16 कमजोर नहीं था, और अपडेट को बाहर करना तेज और आसान था (जिसके लिए उनके पास एक अच्छी तरह से परिभाषित प्रक्रिया है), यह निर्धारित करने के लिए पर्याप्त परीक्षण करने के लिए कि बग ' आईओएस 16 पर आसानी से शोषण नहीं किया जा सकता है।

हम शायद कभी नहीं जान पाएंगे, डौग, लेकिन यह इस सब में काफी आकर्षक बैकस्टोरी है!

लेकिन, वास्तव में, जैसा कि आपने कहा, उस पर Apple लोगो वाले उत्पाद के साथ हर किसी के लिए एक अपडेट है।

अत: देर न करें/आज ही करें।

---

डौग  आइए हम बेन-गुरियन विश्वविद्यालय में अपने दोस्तों के पास चलते हैं ... वे फिर से इसमें वापस आ गए हैं।

उन्होंने कुछ वायरलेस स्पाईवेयर विकसित किए हैं - एक छोटा सा वायरलेस स्पाइवेयर चाल:

COVID-बिट: एक दुर्भाग्यपूर्ण नाम के साथ वायरलेस स्पाइवेयर ट्रिक

---

बत्तख।  हाँ... मैं नाम के बारे में सुनिश्चित नहीं हूँ; मुझे नहीं पता कि वे वहां क्या सोच रहे थे।

उन्होंने इसे बुलाया है COVID-bit.

---

डौग  एक अजीब सा।

---

बत्तख।  मुझे लगता है कि हम सभी को किसी न किसी तरह से कोविड ने काट लिया है...

---

डौग  शायद यही है?

---

बत्तख।  RSI COV के लिए खड़ा होना है प्रच्छन्न, और वे क्या नहीं कहते हैं ID-bit के लिए खड़ा है।

मैंने अनुमान लगाया कि यह "थोड़ा-थोड़ा जानकारी प्रकटीकरण" हो सकता है, लेकिन फिर भी यह एक आकर्षक कहानी है।

हमें उस शोध के बारे में लिखना अच्छा लगता है जो यह विभाग करता है क्योंकि, हालांकि हम में से अधिकांश के लिए यह थोड़ा काल्पनिक है ...

…वे देख रहे हैं कि नेटवर्क एयरगैप्स का उल्लंघन कैसे किया जाए, जहां आप एक सुरक्षित नेटवर्क चलाते हैं जिसे आप जानबूझकर हर चीज से अलग रखते हैं।

तो, हम में से अधिकांश के लिए, यह एक बड़ा मुद्दा नहीं है, कम से कम घर पर।

लेकिन वे जो देख रहे हैं वह यह है कि *भले ही आप एक नेटवर्क को दूसरे से शारीरिक रूप से बंद कर दें*, और इन दिनों अंदर जाकर सभी वायरलेस कार्ड, ब्लूटूथ कार्ड, नियर फील्ड कम्युनिकेशंस कार्ड, या तारों को काटकर तोड़ दें किसी भी वायरलेस कनेक्टिविटी को काम करने से रोकने के लिए सर्किट बोर्ड पर सर्किट के निशान…

…क्या अभी भी कोई ऐसा तरीका है जिससे या तो एक हमलावर जिसे सुरक्षित क्षेत्र में एक बार पहुंच प्राप्त हो, या एक भ्रष्ट अंदरूनी सूत्र, बड़े पैमाने पर अप्राप्य तरीके से डेटा लीक कर सकता है?

और दुर्भाग्य से, यह पता चला है कि कंप्यूटर उपकरणों के एक नेटवर्क को दूसरे से पूरी तरह से बंद करना आपके विचार से कहीं अधिक कठिन है।

नियमित पाठकों को पता चल जाएगा कि हमने उन बहुत सी चीजों के बारे में लिखा है जो ये लोग पहले लेकर आए हैं।

उनके पास गैरोस्कोप है, जहां आप वास्तव में एक मोबाइल फोन का पुनरुत्पादन करते हैं कम्पास चिप एक कम-निष्ठा माइक्रोफोन के रूप में।

---

डौग  [हंसते हैं] मुझे वह वाला याद है:

एयरगैप सुरक्षा को भंग करना: माइक्रोफ़ोन के रूप में अपने फ़ोन के जाइरोस्कोप का उपयोग करना

---

बत्तख।  क्योंकि वे चिप्स पर्याप्त रूप से कंपन महसूस कर सकते हैं।

उनके पास LANTENNA है, जहां आप वायर्ड नेटवर्क पर सिग्नल डालते हैं जो सुरक्षित क्षेत्र के अंदर होता है, और नेटवर्क केबल वास्तव में कार्य करते हैं लघु रेडियो स्टेशनों.

वे केवल पर्याप्त विद्युत चुम्बकीय विकिरण का रिसाव करते हैं जिसे आप सुरक्षित क्षेत्र के बाहर लेने में सक्षम हो सकते हैं, इसलिए वे वायरलेस ट्रांसमीटर के रूप में वायर्ड नेटवर्क का उपयोग कर रहे हैं।

और उनके पास एक चीज थी जिसे उन्होंने मजाक में फैन्समिटर कहा, जहां आप जाते हैं, "ठीक है, क्या हम ऑडियो सिग्नलिंग कर सकते हैं? जाहिर है, अगर हम सिर्फ स्पीकर के माध्यम से धुन बजाते हैं, जैसे [डायलिंग शोर] बीप-बीप-बीप-बीप-बीप, यह बहुत स्पष्ट होगा।

लेकिन क्या होगा अगर हम सीपीयू लोड को बदलते हैं, ताकि पंखे की गति तेज हो जाए और धीमा हो जाए - क्या हम इसका उपयोग कर सकते हैं? पंखे की गति में परिवर्तन लगभग एक प्रकार के सेमाफोर सिग्नल की तरह?

क्या आपका कंप्यूटर फैन आपकी जासूसी करने के लिए इस्तेमाल किया जा सकता है?

और इस नवीनतम हमले में, उन्होंने सोचा, "हम दुनिया के लगभग हर कंप्यूटर के अंदर कुछ और कैसे बदल सकते हैं, कुछ ऐसा जो निर्दोष लगता है... हम इसे बहुत कम-शक्ति वाले रेडियो स्टेशन में कैसे बदल सकते हैं?"

और इस मामले में, वे इसे बिजली की आपूर्ति का उपयोग करने में सक्षम थे।

वे इसे रास्पबेरी पाई में, डेल लैपटॉप में और विभिन्न प्रकार के डेस्कटॉप पीसी में करने में सक्षम थे।

वे कंप्यूटर की अपनी बिजली आपूर्ति का उपयोग कर रहे हैं, जो मूल रूप से डीसी वोल्टेज को कम करने के लिए, आमतौर पर इसे कम करने के लिए बहुत, बहुत उच्च-आवृत्ति डीसी स्विचिंग करता है, एक सेकंड में सैकड़ों हजारों या लाखों बार।

उन्होंने इलेक्ट्रोमैग्नेटिक रेडिएशन - रेडियो वेव्स को लीक करने का एक तरीका खोजा, जिसे वे मोबाइल फोन पर 2 मीटर दूर तक उठा सकते थे ...

...भले ही उस मोबाइल फोन का सारा वायरलेस सामान बंद कर दिया गया हो, या डिवाइस से हटा भी दिया गया हो।

वे जिस तरकीब के साथ आए हैं वह है: आप उस गति को स्विच करते हैं जिस पर यह स्विच कर रहा है, और आप स्विचिंग आवृत्ति में परिवर्तन का पता लगाते हैं।

कल्पना कीजिए, यदि आप कम वोल्टेज चाहते हैं (यदि आप चाहते हैं, तो कहें, 12V को 4V तक काट दें), वर्ग तरंग एक-तिहाई समय के लिए चालू रहेगी, और दो-तिहाई समय के लिए बंद रहेगी।

यदि आप 2V चाहते हैं, तो आपको उसके अनुसार अनुपात बदलना होगा।

और यह पता चला है कि आधुनिक सीपीयू शक्ति और अति ताप को प्रबंधित करने के लिए उनकी आवृत्ति और उनके वोल्टेज दोनों में भिन्न होते हैं।

इसलिए, सीपीयू में एक या एक से अधिक कोर पर सीपीयू लोड को बदलकर - केवल कार्यों को रैंप करके और तुलनात्मक रूप से कम आवृत्ति पर 5000 और 8000 गुना प्रति सेकंड के बीच कार्यों को कम करके - वे स्विच्ड-मोड प्राप्त करने में सक्षम थे बिजली की आपूर्ति उन कम आवृत्तियों पर *इसके स्विचिंग मोड को स्विच करने के लिए।

और यह बिजली की आपूर्ति में सर्किट के निशान या किसी तांबे के तार से बहुत कम आवृत्ति वाले रेडियो उत्सर्जन उत्पन्न करता है।

और वे एक रेडियो एंटीना का उपयोग करके उन उत्सर्जनों का पता लगाने में सक्षम थे जो एक साधारण वायर लूप से अधिक परिष्कृत नहीं थे!

तो, आप वायर लूप के साथ क्या करते हैं?

ठीक है, आप दिखावा करते हैं, डौग, कि यह एक माइक्रोफ़ोन केबल या हेडफ़ोन केबल है।

आप इसे 3.5 मिमी ऑडियो जैक से कनेक्ट करते हैं, और आप इसे अपने मोबाइल फोन में प्लग करते हैं जैसे यह हेडफ़ोन का एक सेट है ...

---

डौग  वाह.

---

बत्तख।  आप उस ऑडियो सिग्नल को रिकॉर्ड करते हैं जो वायर लूप से उत्पन्न होता है - क्योंकि ऑडियो सिग्नल मूल रूप से बहुत कम आवृत्ति वाले रेडियो सिग्नल का एक डिजिटल प्रतिनिधित्व है जिसे आपने उठाया है।

जब वे लैपटॉप का उपयोग कर रहे थे, तब वे 100 बिट्स प्रति सेकंड, रास्पबेरी पाई के साथ 200 बिट्स प्रति सेकंड, और कहीं भी 1000 बिट्स प्रति सेकंड तक, बहुत कम त्रुटि दर के साथ डेटा निकालने में सक्षम थे। डेस्कटॉप कंप्यूटर।

आप एईएस कुंजियां, आरएसए कुंजियां, यहां तक ​​कि छोटी डेटा फाइलें भी उस तरह की गति से प्राप्त कर सकते हैं।

मैंने सोचा कि यह एक आकर्षक कहानी थी।

यदि आप एक सुरक्षित क्षेत्र चलाते हैं, तो आप निश्चित रूप से इस सामान के साथ बने रहना चाहते हैं, क्योंकि पुरानी कहावत है, "हमले केवल बेहतर होते हैं, या होशियार होते हैं।"

---

डौग  और निचली तकनीक। [हँसी]

सब कुछ डिजिटल है, सिवाय इसके कि हमारे पास यह एनालॉग लीकेज है जिसका उपयोग एईएस चाबियों को चुराने के लिए किया जा रहा है।

यह दिलचस्प है!

---

बत्तख।  बस एक अनुस्मारक है कि आपको यह सोचने की ज़रूरत है कि सुरक्षित दीवार के दूसरी तरफ क्या है, क्योंकि "दृष्टि से बाहर निश्चित रूप से दिमाग से बाहर नहीं है।"

---

डौग  खैर, यह हमारे में अच्छी तरह से मेल खाता है अंतिम कहानी – कुछ ऐसा जो नज़रों से ओझल हो, लेकिन दिमाग़ से ओझल न हो:

क्रेडिट कार्ड स्किमिंग - आपूर्ति श्रृंखला विफलता की लंबी और घुमावदार सड़क

यदि आपने कभी कोई वेब पेज बनाया है, तो आप जानते हैं कि आप एनालिटिक्स कोड - जावास्क्रिप्ट की एक छोटी सी लाइन - को गूगल एनालिटिक्स, या इसके जैसी कंपनियों के लिए, यह देखने के लिए छोड़ सकते हैं कि आपके आंकड़े कैसा प्रदर्शन कर रहे हैं।

2010 की शुरुआत में कॉकपिट नाम की एक मुफ्त एनालिटिक्स कंपनी थी, और इसलिए लोग इस कॉकपिट कोड - जावास्क्रिप्ट की इस छोटी सी लाइन - को अपने वेब पेजों में डाल रहे थे।

लेकिन 2014 में कॉकपिट बंद हो गया और डोमेन नेम लैप्स हो गया।

और फिर, 2021 में, साइबर अपराधियों ने सोचा, “कुछ ई-कॉमर्स साइट अभी भी इस कोड को चलने दे रही हैं; वे अभी भी इस JavaScript को कॉल कर रहे हैं। हम सिर्फ डोमेन नाम क्यों नहीं खरीदते हैं और फिर हम जो कुछ भी चाहते हैं उसे इन साइटों में इंजेक्ट कर सकते हैं जो अभी भी जावास्क्रिप्ट की उस पंक्ति को नहीं हटाते हैं?

---

बत्तख।  हां.

क्या सही हो सकता है, डौग?

---

डौग  [हंसते हैं] बिल्कुल सही!

---

बत्तख।  सात साल!

उनके सभी परीक्षण लॉग में यह कहते हुए एक प्रविष्टि होती, Could not source the file cockpit.js (या जो कुछ भी था) from site cockpit.jp, मुझे लगता है कि यह था।

इसलिए, जैसा कि आप कहते हैं, जब बदमाशों ने डोमेन को फिर से जलाया, और यह देखने के लिए कि क्या होगा, वहां फाइलें डालना शुरू कर दिया...

...उन्होंने देखा कि ढेर सारी ई-कॉमर्स साइटें अपने ग्राहकों के वेब ब्राउज़रों के अंदर बदमाशों के जावास्क्रिप्ट कोड का अंधाधुंध और खुशी से उपभोग और निष्पादन कर रही थीं।

---

डौग  [लुअघिंग] "अरे, मेरी साइट अब कोई त्रुटि नहीं दे रही है, यह काम कर रही है।"

---

बत्तख।  [अविश्वसनीय] "उन्होंने इसे ठीक कर लिया होगा" ... शब्द "निश्चित" की कुछ विशेष समझ के लिए, डौग।

बेशक, यदि आप किसी के वेब पेज में मनमाना जावास्क्रिप्ट इंजेक्ट कर सकते हैं, तो आप उस वेब पेज को अपनी इच्छानुसार कुछ भी कर सकते हैं।

और यदि, विशेष रूप से, आप ई-कॉमर्स साइटों को लक्षित कर रहे हैं, तो आप उन विशेष पृष्ठों को देखने के लिए अनिवार्य रूप से स्पाइवेयर कोड सेट कर सकते हैं, जिन पर विशेष नामित फ़ील्ड वाले विशेष वेब फ़ॉर्म हैं...

…जैसे पासपोर्ट नंबर, क्रेडिट कार्ड नंबर, सीवीवी, जो भी हो।

और आप मूल रूप से उपयोगकर्ता द्वारा डाले जा रहे सभी अनएन्क्रिप्टेड गोपनीय डेटा, व्यक्तिगत डेटा को चूस सकते हैं।

यह अभी तक HTTPS एन्क्रिप्शन प्रक्रिया में नहीं गया है, इसलिए आप इसे ब्राउज़र से बाहर निकाल देते हैं, आप इसे HTTPS-एन्क्रिप्ट *स्वयं* कर लेते हैं, और इसे बदमाशों द्वारा चलाए जा रहे डेटाबेस में भेज देते हैं।

और, निश्चित रूप से, दूसरी चीज जो आप कर सकते हैं वह यह है कि आप वेब पेजों के आने पर उन्हें सक्रिय रूप से बदल सकते हैं।

तो आप किसी को एक वेबसाइट की ओर आकर्षित कर सकते हैं – जो कि *सही* वेबसाइट है; यह एक ऐसी वेबसाइट है जिस पर वे पहले जा चुके हैं, कि वे जानते हैं कि वे भरोसा कर सकते हैं (या उन्हें लगता है कि वे भरोसा कर सकते हैं)।

यदि उस साइट पर कोई वेब फ़ॉर्म है, जो आमतौर पर उनसे नाम और खाता संदर्भ संख्या के लिए पूछता है, ठीक है, आप बस कुछ अतिरिक्त फ़ील्ड में बने रहें, और यह देखते हुए कि वह व्यक्ति पहले से ही साइट पर भरोसा करता है ...

… यदि आप नाम, आईडी और [जोड़ें] जन्मतिथि कहते हैं?

यह बहुत संभव है कि वे सिर्फ अपनी जन्मतिथि डालने जा रहे हैं क्योंकि उन्हें लगता है, "मुझे लगता है कि यह उनकी पहचान की जांच का हिस्सा है।"

---

डौग  इससे बचा जा सकता है।

आप द्वारा शुरू कर सकते हैं अपने वेब-आधारित आपूर्ति श्रृंखला लिंक की समीक्षा करना.

---

बत्तख।  हां.

शायद हर सात साल में एक बार शुरुआत होगी? [हँसी]

यदि आप नहीं देख रहे हैं, तो आप वास्तव में समस्या का हिस्सा हैं, समाधान का हिस्सा नहीं।

---

डौग  आप भी कर सकते हैं, ओह, मुझे नहीं पता... अपने लॉग जांचें?

---

बत्तख।  हां.

दोबारा, हर सात साल में एक बार शुरू हो सकता है?

मुझे बस वही कहने दो जो हमने पॉडकास्ट पर पहले कहा है, डौग ...

…यदि आप ऐसे लॉग एकत्र करने जा रहे हैं जिन्हें आप कभी नहीं देखते हैं, तो *बस उन्हें एकत्र करने की चिंता बिल्कुल न करें*।

अपने आप को मजाक करना बंद करो, और डेटा एकत्र मत करो।

क्योंकि, वास्तव में, सबसे अच्छी चीज जो डेटा के साथ हो सकती है यदि आप इसे एकत्र कर रहे हैं और इसे नहीं देख रहे हैं, तो यह गलत लोगों को गलती से नहीं मिलेगा।

---

डौग  फिर, निश्चित रूप से, परीक्षण लेनदेन नियमित रूप से करें।

---

बत्तख।  क्या मुझे कहना चाहिए, "हर सात साल में एक बार शुरुआत होगी"? [हँसी]

---

डौग  बिल्कुल, हाँ... [WRY] जो पर्याप्त नियमित हो सकता है, मुझे लगता है।

---

बत्तख।  यदि आप एक ई-कॉमर्स कंपनी हैं और आप उम्मीद करते हैं कि आपके उपयोगकर्ता आपकी वेबसाइट पर आएंगे, तो एक विशेष रूप और अनुभव के लिए अभ्यस्त हो जाएं, और उस पर विश्वास करें...

…तो आप उन्हें यह परीक्षण करने के लिए देते हैं कि देखने और महसूस करने का तरीका सही है।

नियमित रूप से और बार-बार।

उतना ही आसान।

---

डौग  ठीक है बहुत अच्छा।

और जैसे ही शो समाप्त होना शुरू होता है, आइए हम इस कहानी पर अपने एक पाठक से सुनें।

लैरी टिप्पणियाँ:

अपने वेब आधारित आपूर्ति श्रृंखला लिंक की समीक्षा करें?

काश एपिक सॉफ्टवेयर ने अपने सभी ग्राहकों को मेटा ट्रैकिंग बग भेजने से पहले ऐसा किया होता।

मुझे विश्वास है कि डेवलपर्स की एक नई पीढ़ी है जो सोचती है कि विकास इंटरनेट पर कहीं भी कोड के टुकड़े खोजने और उन्हें अपने कार्य उत्पाद में चिपकाने के बारे में है।

---

बत्तख।  अगर केवल हमने उस तरह का कोड विकसित नहीं किया है ...

…आप कहाँ जाते हैं, “मुझे पता है, मैं इस पुस्तकालय का उपयोग करूँगा; मैं इसे इस शानदार गिटहब पेज से डाउनलोड करूँगा जो मुझे मिला।

ओह, इसे अन्य सामानों का पूरा भार चाहिए !?

ओह, देखो, यह आवश्यकताओं को स्वचालित रूप से पूरा कर सकता है ... ठीक है, चलो बस ऐसा करते हैं!

दुर्भाग्य से, आपको *अपनी आपूर्ति शृंखला* का स्वामी होना होगा, और इसका मतलब है कि इसमें शामिल होने वाली हर चीज़ को समझना होगा।

यदि आप सॉफ्टवेयर बिल ऑफ मैटेरियल्स [एसबीओएम], रोडवे के साथ सोच रहे हैं, जहां आप सोचते हैं, "हां, मैं वह सब कुछ सूचीबद्ध करूंगा जो मैं उपयोग करता हूं", यह आपके द्वारा उपयोग की जाने वाली चीजों के पहले स्तर को सूचीबद्ध करने के लिए पर्याप्त नहीं है।

आपको यह भी जानना होगा, और दस्तावेज करने में सक्षम होना चाहिए, और यह जानना होगा कि आप उन सभी चीजों पर भरोसा कर सकते हैं, जिन पर ये चीजें निर्भर करती हैं, और इसी तरह और भी बहुत कुछ:

छोटे पिस्सू की पीठ पर उन्हें काटने के लिए कम पिस्सू होते हैं और कम पिस्सू की पीठ पर कम पिस्सू होते हैं और इसलिए अनंत तक।

*इसी तरह आपको अपनी आपूर्ति श्रृंखला का पीछा करना है!

---

डौग  खूब कहा है!

ठीक है, लैरी, उस टिप्पणी को भेजने के लिए बहुत-बहुत धन्यवाद।

यदि आपके पास कोई दिलचस्प कहानी, टिप्पणी या प्रश्न है जिसे आप सबमिट करना चाहते हैं, तो हमें इसे पॉडकास्ट पर पढ़ना अच्छा लगेगा।

आप tips@sophos.com पर ईमेल कर सकते हैं, आप हमारे किसी भी लेख पर टिप्पणी कर सकते हैं, या आप हमें सामाजिक: @NakedSecurity पर संपर्क कर सकते हैं।

आज के लिए यही हमारा शो है; सुनने के लिए बहुत बहुत धन्यवाद।

पॉल डकलिन के लिए, मैं डौग आमोथ हूं, अगली बार तक, आपको याद दिला रहा हूं ...

---

दोनों को।  सुरक्षित रहें!

[संगीत मोडेम]