![S3 Ep113: A Windows kernel felkutatása – a szélhámosok, akik a Microsoft [Audio + Text] PlatoBlockchain Data Intelligence-t lecsapták. Függőleges keresés. Ai.](https://platoblockchain.com/wp-content/uploads/2022/12/s3-ep113-1200.png "S3 Ep113: A Windows kernel feltörése – a szélhámosok, akik lecsapták a Microsoftot [Hang + szöveg]")
A WINDOWS KERNEL PWNELÉSE
Kattintson és húzza az alábbi hanghullámokat, hogy bármelyik pontra ugorjon. Te is hallgatni közvetlenül a Soundcloudon.
Doug Aamoth-tal és Paul Ducklinnal. Intro és outro zene szerzője Edith Mudge.
Tovább hallgathatsz minket Soundcloudon, Apple Podcastok, Google Podcastok, Spotify, Fűzőgép és bárhol, ahol jó podcastok találhatók. Vagy csak dobd le a RSS hírfolyamunk URL-je a kedvenc podcatcheredbe.
OLVASSA EL AZ ÍRÁST
DOUG. Vezeték nélküli kémprogramok, hitelkártya-leolvasás és javítások bőven.
Mindez, és még sok más, a Naked Security podcastban.
[ZENEI MODEM]
Üdvözlünk mindenkit a podcastban.
Doug Aamoth vagyok; ő Paul Ducklin.
Paul, hogy vagy?
KACSA. Nagyon jól vagyok, Doug.
Hideg, de jól.
DOUG. Itt is fagy van, és mindenki beteg… de ez neked december.
Ha már decemberről beszélünk, a műsort a miénkkel szeretnénk kezdeni Ezen a héten a technikatörténetben szegmensben.
Izgalmas bejegyzésünk van ezen a héten – 16. december 2003-án George W. Bush akkori amerikai elnök aláírta a CAN-SPAM törvényt.
A háttérneve a nem kért pornográfia és marketing támadásainak ellenőrzése, a CAN-SPAM-et viszonylag foghíjasnak tekintették olyan okok miatt, mint például az, hogy nem volt szükség a címzettek beleegyezésére ahhoz, hogy marketinges e-maileket kapjanak, és nem engedték meg az egyéneknek, hogy bepereljék a spamküldőket.
Úgy vélték, 2004-re a spamek kevesebb mint 1%-a felelt meg a törvénynek.
KACSA. Igen, utólag ezt könnyű kimondani…
…de ahogy néhányan akkoriban viccelődtek, úgy gondoltuk, hogy CAN-SPAM-nek hívták, mert *pontosan* ezt teheti. [NEVETÉS]
DOUG. "Lehet kéretlen levelet küldeni!"
KACSA. Azt hiszem, az ötlet a következő volt: "Kezdjük egy nagyon lágy-lágy megközelítéssel."
[WRY TONE] Szóval ez volt a kezdet, igaz, nem annyira.
DOUG. [NEvet] Végül eljutunk oda.
Ha már rosszról és rosszabbról beszélünk…
…Microsoft Patch Tuesday – nincs itt semmi látnivaló, hacsak nem számít a aláírt rosszindulatú kernel-illesztőprogram?!
Az aláírt illesztőprogram rosszindulatú programja feljebb lép a szoftver megbízhatósági láncában
KACSA. Nos, valójában többen is – a Sophos Rapid Response csapata találta ezeket a tárgyakat az eljegyzésekben, amit meg is tettek.
Nem csak a Sophost – a Microsoft legalább két másik kiberbiztonsági kutatócsoportot sorol fel úgy, mint amelyek az utóbbi időben ilyen dolgokba botlottak: kernel-illesztőprogramokba, amelyeket a Microsoft gyakorlatilag digitális jóváhagyási pecséttel kapott.
A Microsoftnak most van egy tanácsadója, amely a szélhámos partnereket hibáztatja.
Vajon valóban létrehoztak-e egy olyan céget, amely úgy tett, mintha hardvert gyártana, különösen azért, hogy csatlakozzon az illesztőprogramhoz azzal a szándékkal, hogy fura kernel-illesztőprogramokat lopjon át?
Vagy megvesztegettek-e egy céget, amely már a program része volt, hogy labdázzon velük?
Vagy ha feltörtek egy olyan céget, amely nem is vette észre, hogy eszközként használták arra, hogy azt mondják a Microsoftnak: „Hé, elő kell készítenünk ezt a kernel-illesztőprogramot – tanúsítod?”…
A hitelesített kernel-illesztőprogramokkal természetesen az a probléma, hogy a Microsoftnak alá kell írnia őket, és mivel az illesztőprogram-aláírás kötelező a Windows rendszeren, ez azt jelenti, hogy ha aláírtatja a kernel illesztőprogramját, akkor nincs szüksége feltörésekre vagy sebezhetőségekre, ill. kihasználja, hogy képes legyen betölteni egyet egy kibertámadás részeként.
Csak telepítheti az illesztőprogramot, és a rendszer ezt fogja mondani: „Nos, aláírva. Ezért megengedett a betöltése."
És természetesen sokkal több kárt okozhatsz, ha a kernelen belül vagy, mint ha „csupán” rendszergazda vagy.
Nevezetesen, bennfentes hozzáférést kap a folyamatkezeléshez.
Adminisztrátorként futtathat egy programot, amely azt mondja: „Meg akarom ölni az XYZ programot”, amely lehet például egy vírusirtó vagy egy fenyegetésvadász eszköz.
És ez a program ellenáll a leállításnak, mert feltételezve, hogy ez is adminisztrátori szintű, egyik folyamat sem tud abszolút elsőbbséget élvezni a másikkal szemben.
De ha az operációs rendszeren belül van, akkor ez az operációs rendszer foglalkozik a folyamatok indításával és befejezésével, így sokkal több energiát kap az olyan dolgok megölésére, mint például a biztonsági szoftverek…
…és nyilván pontosan ezt csinálták ezek a szélhámosok.
Emlékszem, hogy a „történelem ismétli önmagát” évekkel ezelőtt, amikor olyan szoftvereket vizsgáltunk, amelyekkel a szélhámosok a biztonsági programokat leállították, általában 100-200 olyan folyamatot tartalmazó listák voltak, amelyek leállításában érdekeltek: operációs rendszer. folyamatok, vírusirtó programok 20 különböző gyártótól, minden ilyesmi.
És ezúttal azt hiszem, 186 program volt, amit a sofőrjük meg akart ölni.
Szóval egy kicsit kínos a Microsoft számára.
Szerencsére mostanra kirúgták azokat a szélhámos kódolókat a fejlesztői programjukból, és letiltották az összes ismert furfangos illesztőprogramot.
DOUG. Szóval nem ennyi volt a Patch Kedden derült ki.
Volt néhány nulladik nap, néhány RCE hiba és más hasonló jellegű dolgok:
Javítási kedd: 0 nap, RCE hibák és egy furcsa történet az aláírt rosszindulatú programokról
KACSA. Igen.
Szerencsére az ebben a hónapban kijavított nulladik napi hibák nem az úgynevezett RCE-k, ill távoli kódfuttatás lyukak.
Tehát nem adtak közvetlen útvonalat a külső támadóknak, hogy beugorjanak a hálózatodba, és bármit lefuttassanak, amit akarnak.
De a DirectX-ben volt egy kernel-illesztőprogram-hiba, amely lehetővé tette, hogy valaki, aki már a számítógépén volt, alapvetően kernelszintű képességekkel rendelkezzen.
Szóval ez egy kicsit olyan, mintha saját aláírt illesztőprogramot vinnél – *tudod*, hogy betöltheted.
Ebben az esetben egy megbízható illesztőprogram hibáját használja ki, amely lehetővé teszi a kernelen belüli tevékenységek elvégzését.
Nyilvánvalóan ez az a fajta dolog, amitől az amúgy is rossz hírnek számító kibertámadás valami nagyon-nagyon rosszabb lesz.
Tehát mindenképpen ez ellen akarsz foltozni.
Érdekes módon úgy tűnik, hogy ez csak a legfrissebb buildre vonatkozik, azaz a 2022H2 (az év második felében a H2 jelentése) a Windows 11 rendszerben.
Mindenképpen meg akar bizonyosodni arról, hogy ez megvan.
És volt egy érdekes hiba a Windows SmartScreen-ben, amely alapvetően a Windows szűrőeszköze, amely figyelmeztetést ad, amikor megpróbál letölteni valamit, ami veszélyes lehet vagy veszélyes.
Tehát nyilvánvalóan, ha a szélhámosok azt találták: „Ó, ne! Megkaptuk ezt a rosszindulatú programokat, és nagyon jól működött, de most a Smart Screen blokkolja, mit fogunk tenni?”…
…vagy megszökhetnek, és egy teljesen új támadást építhetnek, vagy találhatnak egy sebezhetőséget, amely lehetővé teszi számukra, hogy megkerüljék az intelligens képernyőt, így a figyelmeztetés nem jelenik meg.
És pontosan ez történt a CVE-2022-44698-ban, Douglas.
Tehát ezek a nulladik napok.
Ahogy mondtad, van néhány távoli kódvégrehajtási hiba a keverékben, de ezek közül egyik sem ismert a vadonban.
Ha ezek ellen foltoz, megelőzi a szélhámosokat, ahelyett, hogy csak felzárkózik.
DOUG. Rendben, maradjunk a javítások témánál…
…és imádom ennek az első részét headline.
Csak annyit ír: „Az Apple mindent javít”:
Az Apple mindent foltoz, végre felfedi az iOS 16.1.2 rejtélyét
KACSA. Igen, nem tudtam elképzelni, hogy az összes operációs rendszert legfeljebb 70 karakterben felsoroljam. [NEVETÉS]
Ezért azt gondoltam: "Nos, ez szó szerint minden."
A probléma pedig az, hogy legutóbb, amikor Apple frissítésről írtunk, az volt csak iOS (iPhone) és csak iOS 16.1.2:
Az Apple kiadta az iOS biztonsági frissítését, amely minden eddiginél szűkszavúbb
Szóval, ha iOS 15-öt használna, mit tenne?
Veszélyben voltál?
Később szeretnéd megkapni a frissítést?
Ezúttal végre a mosásban jelentek meg a hírek az utolsó frissítésről.
Úgy tűnik, Doug, hogy azért kaptuk meg az iOS 16.1.2-es frissítést, mert volt egy in-the-wild exploit, most CVE-2022-42856 néven, és ez a WebKit, a webes renderelő motor hibája volt. az Apple operációs rendszerein belül.
És úgy tűnik, ez a hiba egyszerűen azzal váltható ki, hogy ráveszik, hogy nézzen meg néhány csapdába esett tartalmat – amit a kereskedelemben driveby install, ahol csak rápillant egy oldalra, és a háttérben „Oh, dear” egy rosszindulatú program települ.
Most úgy tűnik, a talált exploit csak iOS-en működött.
Valószínűleg ez az oka annak, hogy az Apple nem siettette ki a frissítéseket az összes többi platformra, bár a macOS (mindhárom támogatott verzió), a tvOS, az iPadOS… mindegyik tartalmazta ezt a hibát.
Az egyetlen rendszer, amely nyilvánvalóan nem, a watchOS volt.
Tehát ez a hiba az Apple összes szoftverében volt, de úgy tűnik, amennyire tudták, csak egy in-the-wild exploit révén volt kihasználható iOS-en.
De most furcsa módon azt mondják: „Csak 15.1 előtti iOS-eken”, amitől elgondolkodsz: „Miért nem tettek ki frissítést az iOS 15-höz ebben az esetben?”
Csak nem tudjuk!
Talán abban reménykedtek, hogy ha kiadják az iOS 16.1.2-t, néhány iOS 15-ös ember úgyis frissíteni fog, és ez megoldja a problémát?
Vagy talán még nem voltak biztosak abban, hogy az iOS 16 nem sérülékeny, és gyorsabb és egyszerűbb volt kiadni a frissítést (amire jól definiált folyamatuk van), mint elegendő tesztelést végezni annak megállapítására, hogy a hiba nem könnyen kihasználható iOS 16-on.
Valószínűleg soha nem fogjuk megtudni, Doug, de ez egy egészen lenyűgöző háttértörténet az egészben!
De valóban, ahogy mondtad, mindenkinek van frissítése, aki Apple logóval ellátott termékkel rendelkezik.
Tehát: Ne késlekedj/Tedd meg még ma.
DOUG. Térjünk át barátainkhoz a Ben-Gurion Egyetemen… ők újra itt vannak.
Kifejlesztettek néhány vezeték nélküli kémprogramot – remek kis dolog vezeték nélküli spyware trükk:
COVID-bit: a vezeték nélküli kémprogramok trükkje szerencsétlen névvel
KACSA. Igen… nem vagyok biztos a névben; Nem tudom, mit gondoltak ott.
Ők hívták COVID-bit.
DOUG. Kicsit fura.
KACSA. Azt hiszem, valamennyiünket megharapott a COVID valamilyen módon…
DOUG. Talán ennyi?
KACSA. A COV állni hivatott rejtett, és nem mondják mit ID-bit jelentése.
Sejtettem, hogy „apránkénti információközlés” lehet, de ennek ellenére lenyűgöző történet.
Szeretünk írni a részleg által végzett kutatásokról, mert bár legtöbbünk számára ez egy kicsit hipotetikus…
… azt vizsgálják, hogyan lehet megsérteni a hálózati légréseket, ahol biztonságos hálózatot üzemeltet, amelyet szándékosan elkülönít minden mástól.
Tehát a legtöbbünk számára ez nem nagy probléma, legalábbis otthon.
De azt nézik, hogy *még akkor is, ha fizikailag elzárja az egyik hálózatot a másiktól*, és manapság bemegy, és kiszakítja az összes vezeték nélküli kártyát, a Bluetooth kártyákat, a Near Field Communications kártyákat, vagy elvágja a vezetékeket és elszakad. áramköri nyomok az áramköri lapon, hogy megakadályozzák a vezeték nélküli kapcsolat működését…
…még mindig van mód arra, hogy egy támadó, aki egyszeri hozzáférést kap a biztonságos területhez, vagy egy korrupt bennfentes, nagyrészt követhetetlen módon szivárogtathat ki adatokat?
És sajnos kiderül, hogy a számítógépes berendezések egyik hálózatát teljesen elzárni a másiktól sokkal nehezebb, mint gondolnád.
A rendszeres olvasók tudni fogják, hogy rengeteg olyan dologról írtunk, amivel ezek a srácok már korábban előálltak.
Volt GAIROSCOPE-juk, ahol tulajdonképpen újrahasznosíthatja a mobiltelefonját iránytű chip alacsony hanghűségű mikrofonként.
DOUG. [NEvet] Emlékszem erre:
A légrés biztonságának megsértése: a telefon giroszkópjának használata mikrofonként
KACSA. Mert ezek a chipek elég jól érzékelik a rezgéseket.
Volt LANTENNA-juk, ahol a jeleket a biztonságos területen belül lévő vezetékes hálózatra helyezik, és a hálózati kábelek valójában miniatűr rádióállomások.
Éppen annyi elektromágneses sugárzást szivárogtatnak ki, hogy a biztonságos területen kívül is felveheti azt, ezért vezetékes hálózatot használnak vezeték nélküli adóként.
És volt egy dolguk, amit tréfásan FANSMITTER-nek hívtak, és erre megy az ember: „Nos, csinálhatunk hangjelzést? Nyilvánvaló, hogy ha csak dallamokat játsszunk le a hangszórón keresztül, például [tárcsázási zajok] bip-bip-bip-bip, az elég nyilvánvaló lesz.”
De mi van, ha a CPU-terhelést úgy változtatjuk, hogy a ventilátor felgyorsul és lelassul – használhatnánk-e a a ventilátor sebességének változása majdnem olyan, mint egyfajta szemafor jel?
És ebben a legutóbbi támadásban arra gondoltak: „Hogyan tudnánk másképp a világ szinte minden számítógépében valamit átalakítani, olyasmit, ami elég ártatlannak tűnik… hogyan alakíthatnánk belőle nagyon-nagyon alacsony fogyasztású rádióállomást?”
És ebben az esetben a tápegység segítségével meg tudták csinálni.
Meg tudták csinálni egy Raspberry Pi-vel, egy Dell laptoppal és különféle asztali PC-kkel.
A számítógép saját tápegységét használják, amely alapvetően nagyon-nagyon magas frekvenciájú egyenáramú kapcsolást végez, hogy másodpercenként több százezer vagy milliószor levágja a DC feszültséget, általában annak csökkentésére.
Megtalálták a módját, hogyan szivárogtassák ki az elektromágneses sugárzást – olyan rádióhullámokat, amelyeket akár 2 méter távolságból is fel tudtak venni mobiltelefonon…
…még akkor is, ha annak a mobiltelefonnak minden vezeték nélküli eszköze ki van kapcsolva, vagy akár eltávolítva is volt a készülékről.
A trükk, amit kitaláltak, a következő: átkapcsolod a kapcsolási sebességet, és észleled a kapcsolási frekvencia változásait.
Képzeld el, ha alacsonyabb feszültséget akarsz (ha mondjuk le akarod vágni a 12 V-ot 4 V-ra), akkor a négyszöghullám az idő egyharmadában be lesz kapcsolva, és az idő kétharmadában kikapcsol.
Ha 2V-ot akarsz, akkor ennek megfelelően módosítanod kell az arányt.
És kiderült, hogy a modern CPU-k mind frekvenciájukat, mind feszültségüket változtatják az áramellátás és a túlmelegedés kezelése érdekében.
Tehát a CPU egy vagy több magjának CPU-terhelésének megváltoztatásával – a feladatok felgyorsításával és a feladatok viszonylag alacsony frekvenciájú, másodpercenkénti 5000-8000-szeresének csökkentésével – képesek voltak átkapcsolni a módot. tápegység, hogy *kapcsolja a kapcsolási módokat* azokon az alacsony frekvenciákon.
És ez nagyon alacsony frekvenciájú rádiósugárzást generált az áramkör nyomaiból vagy a tápegységben lévő rézvezetékekből.
És képesek voltak észlelni ezeket az emanációkat egy rádióantenna segítségével, amely semmivel sem volt kifinomultabb, mint egy egyszerű huzalhurok!
Szóval, mit csinálsz a dróthurokkal?
Nos, te úgy teszel, Doug, mintha egy mikrofonkábel vagy egy fejhallgató kábel lenne.
Csatlakoztatod egy 3.5 mm-es audio jack aljzathoz, és bedugod a mobiltelefonodba, mint egy fejhallgatót…
DOUG. Wow.
KACSA. Ön rögzíti a vezetékhurokból előállított hangjelet – mivel az audiojel alapvetően az Ön által felvett nagyon alacsony frekvenciájú rádiójel digitális reprezentációja.
Laptop használatakor 100 bit/s, Raspberry Pi esetén 200 bit/s és bárhol akár 1000 bit/s sebességgel tudtak adatokat kinyerni belőle, nagyon alacsony hibaarány mellett. az asztali számítógépek.
Ilyen sebességgel kiadhatja az olyan dolgokat, mint az AES-kulcsok, az RSA-kulcsok, vagy akár a kis adatfájlok is.
Azt hittem, ez egy lenyűgöző történet.
Ha biztonságos területet vezetsz, mindenképpen lépést akarsz tartani ezzel a dologgal, mert ahogy a régi mondás tartja: "A támadások csak jobbak vagy okosabbak."
DOUG. És alacsonyabb technológia. [NEVETÉS]
Minden digitális, kivéve az analóg szivárgást, amelyet AES-kulcsok ellopására használnak.
Ez lenyűgöző!
KACSA. Csak emlékeztetőül, hogy gondoljon arra, hogy mi van a biztonságos fal másik oldalán, mert „a szem elől eltévedt az biztosan nem feltétlenül eszméletlen”.
DOUG. Nos, ez szépen beleillik a miénkbe végső történet – valami, ami nincs szem elől, de nem eszedbe veszett:
A hitelkártya-lefölözés – az ellátási lánc meghibásodásának hosszú és kanyargós útja
Ha valaha készített már weboldalt, tudja, hogy bedobhat egy elemzőkódot – egy kis JavaScript-sort – a Google Analytics vagy hasonló cégek számára, hogy megnézze, hogyan teljesítenek statisztikái.
A 2010-es évek elején volt egy ingyenes elemző cég, a Cockpit, ezért az emberek ezt a Cockpit kódot – ezt a kis JavaScript-sort – elhelyezték weboldalaikon.
A Cockpit azonban 2014-ben leállt, és hagyta, hogy a domain név megszűnjön.
Aztán 2021-ben a kiberbűnözők azt gondolták: „Egyes e-kereskedelmi webhelyek még mindig futni hagyják ezt a kódot; még mindig JavaScriptnek hívják. Miért nem vásároljuk meg a domain nevet, és akkor azt, amit akarunk, beilleszthetünk ezekbe az oldalakba, amelyek még mindig nem távolították el a JavaScript-sort?”
KACSA. Igen.
Mi történhet jól, Doug?
DOUG. [NEVETÉS] Pontosan!
KACSA. Hét év!
Minden vizsgálati naplójukban szerepelt volna egy bejegyzés: Could not source the file cockpit.js (vagy mi volt az) from site cockpit.jp, szerintem az volt.
Szóval, ahogy mondod, amikor a szélhámosok újra felgyújtották a domaint, és elkezdtek fájlokat rakni oda, hogy lássák, mi fog történni…
… észrevették, hogy rengeteg e-kereskedelmi webhely vakon és boldogan fogyasztja és hajtja végre a csalók JavaScript-kódját ügyfeleik webböngészőjében.
DOUG. [LUAGHING] „Hé, a webhelyem már nem ad ki hibát, működik.”
KACSA. [HIETETLEN] „Bizonyára megjavították”… a „javított” szó különleges megértéséhez, Doug.
Természetesen, ha tetszőleges JavaScriptet tud beilleszteni valakinek a weboldalába, akkor nagyjából azt csinálhatja, amit csak akar.
És ha különösen az e-kereskedelmi webhelyeket célozza meg, beállíthatja, hogy mi a lényegében spyware kód, hogy bizonyos oldalakat keressen, amelyeken bizonyos elnevezett mezők vannak.
...mint útlevélszám, hitelkártyaszám, CVV, bármi legyen is az.
És alapvetően kiszívhatja az összes titkosítatlan bizalmas adatot, a személyes adatot, amelyet a felhasználó behelyez.
Még nem ment bele a HTTPS titkosítási folyamatba, ezért kiszívod a böngészőből, HTTPS-titkosítod *magad*, és kiküldöd egy csalók által üzemeltetett adatbázisba.
És természetesen a másik dolog, amit tehet, az az, hogy aktívan módosíthatja a weboldalakat, amikor megérkeznek.
Így átcsábíthat valakit egy webhelyre – amelyik a *megfelelő* webhely; ez egy olyan webhely, amelyre korábban jártak, és tudják, hogy megbízhatnak (vagy azt hiszik, hogy megbízhatnak).
Ha van egy internetes űrlap az oldalon, amely mondjuk általában elkéri tőlük a nevét és a számla hivatkozási számát, akkor csak be kell írnia néhány extra mezőt, és mivel az illető már megbízik az oldalon…
… ha megadja a nevet, az azonosítót és a születési dátumot?
Nagyon valószínű, hogy csak azért írják be a születési dátumukat, mert azt gondolják: „Azt hiszem, ez a személyazonosságuk ellenőrzésének része.”
DOUG. Ez elkerülhető.
Kezdhetnéd áttekinti a webalapú ellátási lánc linkjeit.
KACSA. Igen.
Talán hétévente egyszer lenne a kezdet? [NEVETÉS]
Ha nem keresel, akkor valóban a probléma része vagy, nem pedig a megoldás része.
DOUG. Azt is lehet, hogy ó, nem tudom… ellenőrizze a naplóit?
KACSA. Igen.
Megint hétévente egyszer lehet kezdeni?
Hadd mondjam el azt, amit korábban a podcastban, Doug…
…ha olyan naplókat fog gyűjteni, amelyeket soha nem néz meg, *egyáltalán ne foglalkozzon a gyűjtésükkel*.
Ne viccelj már, és ne gyűjts adatokat.
Valójában a legjobb dolog, ami történhet az adatokkal, ha gyűjti őket, és nem nézi meg, az az, hogy tévedésből nem kapnak rá rossz emberek.
DOUG. Ezután természetesen rendszeresen végezzen teszttranzakciókat.
KACSA. Azt kell mondanom, hogy „hétévente egyszer lenne a kezdet”? [NEVETÉS]
DOUG. Persze, igen… [WRY] ez elég rendszeres lehet, azt hiszem.
KACSA. Ha Ön egy e-kereskedelmi vállalat, és elvárja, hogy felhasználói felkeressék webhelyét, hozzászokjanak egy adott megjelenéshez, és bízzanak benne…
…akkor tartozol nekik azzal, hogy tesztelik a megjelenés és az érzés megfelelőségét.
Rendszeresen és gyakran.
Így könnyű.
DOUG. Oké nagyon jó.
És ahogy a műsor kezd lecsengeni, hallgassuk meg egyik olvasónk véleményét erről a történetről.
Larry megjegyzései:
Áttekinti a webalapú ellátási lánc linkjeit?
Bárcsak az Epic Software megtette volna ezt, mielőtt minden ügyfelének eljuttatta volna a Meta nyomkövetési hibát.
Meggyőződésem, hogy van a fejlesztők új generációja, akik azt gondolják, hogy a fejlesztés arról szól, hogy az interneten bárhol megtalálják a kódrészleteket, és kritikátlanul beillesztik azokat a munkatermékükbe.
KACSA. Ha nem fejlesztünk ilyen kódot…
…ahová mész: „Tudom, használni fogom ezt a könyvtárat; Csak letöltöm erről a fantasztikus GitHub oldalról, amit találtam.
Ó, egy csomó más cucc kell hozzá!?
Ó, nézd, ez képes automatikusan kielégíteni a követelményeket… nos, akkor tegyük ezt!”
Sajnos neked kell *tulajdonodnod az ellátási láncod*, és ez azt jelenti, hogy mindent meg kell értened, ami benne van.
Ha a Software Bill of Materials [SBoM] útiterv mentén gondolkodik, ahol azt gondolja, hogy „Igen, felsorolok mindent, amit használok”, akkor nem elég felsorolni az Ön által használt dolgok első szintjét.
Azt is tudnia kell, képesnek kell lennie dokumentálni, és tudnia kell, hogy megbízhat minden olyan dologban, amelytől ezek a dolgok függenek, és így tovább, és így tovább:
A kis bolháknak kisebb bolhák vannak a hátukon, hogy megharapják őket, és a kisebb bolháknak kisebbek a bolhák, és így a végtelenségig.
*Így* kell üldöznie az ellátási láncot!
DOUG. Jól van mondva!
Rendben, nagyon köszönöm, Larry, hogy elküldted ezt a megjegyzést.
Ha van egy érdekes története, megjegyzése vagy kérdése, amelyet fel szeretne tenni, szívesen olvassuk a podcastban.
Írhat e-mailt a tips@sophos.com címre, kommentálhatja bármelyik cikkünket, vagy felkereshet minket a közösségi oldalon: @NakedSecurity.
Ez a mai műsorunk; köszönöm szépen, hogy meghallgattál.
Paul Ducklin számára én Doug Aamoth vagyok, és emlékeztetlek benneteket a következő alkalomig, hogy…
MINDKÉT. Maradjon biztonságban!
[ZENEI MODEM]
- 0 nap
- Apple
- Ben-Gurion Egyetem
- blockchain
- coingenius
- cryptocurrency pénztárcák
- titkosítás
- kiberbiztonság
- kiberbűnözők
- Kiberbiztonság
- adatvesztés
- belbiztonsági osztály
- digitális pénztárcák
- tűzfal
- iOS
- Kaspersky
- malware
- McAfee
- microsoft
- Meztelen biztonság
- Meztelen biztonsági podcast
- NexBLOC
- Plató
- plato ai
- Platón adatintelligencia
- Platón játék
- PlatoData
- platogaming
- podcast
- magánélet
- kopasztás
- ellátási lánc
- VPN
- sebezhetőség
- A honlap biztonsága
- zephyrnet
- Nulla nap
![S3 Ep117: A titkosítási válság, ami nem volt (és örök búcsú a Win 7-től) [Hang + szöveg]](https://platoblockchain.com/wp-content/uploads/2023/01/s3-ep117-the-crypto-crisis-that-wasnt-and-farewell-forever-to-win-7-audio-text-360x188.png "S3 Ep117: A titkosítási válság, ami nem volt (és örök búcsú a Win 7-től) [Hang + szöveg]")
![S3 Ep97: Ellopták az iPhone-odat? Honnan tudnád? [Hang + szöveg] PlatoBlockchain adatintelligencia. Függőleges keresés. Ai.](https://platoblockchain.com/wp-content/uploads/2022/08/iph-1200-300x156.png "S3 Ep97: Ellopták az iPhone-odat? Honnan tudnád? [Hang + szöveg]")
