S3 Ep113: Pwning the Windows kernel – penjahat yang menipu Microsoft [Audio + Text]

Klik-dan-tarik gelombang suara di bawah untuk melompat ke titik mana pun. Anda juga bisa dengarkan langsung di Soundcloud.

ANJING.  Spyware nirkabel, skimming kartu kredit, dan tambalan berlimpah.

Semua itu, dan banyak lagi, di podcast Naked Security.

[MODEM MUSIK]

Selamat datang di podcast, semuanya.

Saya Doug Aamoth; dia adalah Paul Ducklin.

Paulus, bagaimana kabarmu?

---

BEBEK.  Aku sangat baik, Doug.

Dingin, tapi baik.

---

ANJING.  Di sini juga membeku, dan semua orang sakit… tapi itu Desember untukmu.

Berbicara tentang Desember, kami ingin memulai pertunjukan dengan Minggu ini dalam Sejarah Teknologi segmen.

Kami memiliki entri yang menarik minggu ini – pada 16 Desember 2003, UU CAN-SPAM ditandatangani menjadi undang-undang oleh Presiden AS George W. Bush.

Sebuah backronym untuk mengendalikan serangan pornografi dan pemasaran yang tidak diminta, CAN-SPAM dianggap relatif ompong karena alasan seperti tidak memerlukan persetujuan dari penerima untuk menerima email pemasaran, dan tidak mengizinkan individu untuk menuntut spammer.

Diyakini bahwa, pada tahun 2004, kurang dari 1% spam benar-benar mematuhi Undang-Undang tersebut.

---

BEBEK.  Ya, mudah untuk mengatakan ini dengan melihat ke belakang…

…tetapi karena beberapa dari kami bercanda pada saat itu, kami menganggap mereka menyebutnya CAN-SPAM karena *persis* itulah yang dapat Anda lakukan. [TAWA]

---

ANJING.  "Kamu BISA spam!"

---

BEBEK.  Saya kira idenya adalah, "Mari kita mulai dengan pendekatan yang sangat lembut."

[WRY TONE] Jadi itu awalnya, memang, tidak terlalu banyak.

---

ANJING.  [TERTAWA] Kita akan sampai di sana pada akhirnya.

Berbicara tentang buruk dan lebih buruk ...

…Microsoft Patch Tuesday – tidak ada yang bisa dilihat di sini, kecuali jika Anda menghitung a menandatangani driver kernel berbahaya?!

Malware driver yang ditandatangani meningkatkan rantai kepercayaan perangkat lunak

---

BEBEK.  Sebenarnya beberapa – tim Sophos Rapid Response menemukan artefak ini dalam keterlibatan yang mereka lakukan.

Bukan hanya Sophos – setidaknya dua kelompok riset keamanan siber lain yang terdaftar oleh Microsoft telah menemukan hal-hal ini akhir-akhir ini: driver kernel yang secara efektif diberi cap persetujuan digital oleh Microsoft.

Microsoft sekarang memiliki penasihat yang menyalahkan mitra nakal.

Apakah mereka benar-benar membuat perusahaan yang berpura-pura membuat perangkat keras, terutama untuk bergabung dengan program driver dengan maksud untuk menyelundupkan driver kernel yang cerdik?

Atau apakah mereka menyuap perusahaan yang sudah menjadi bagian dari program untuk bermain bola dengan mereka?

Atau apakah mereka meretas perusahaan yang bahkan tidak menyadari bahwa itu digunakan sebagai kendaraan untuk mengatakan kepada Microsoft, "Hei, kami perlu memproduksi driver kernel ini - apakah Anda akan mengesahkannya?"…

Masalah dengan driver kernel bersertifikat, tentu saja, adalah karena mereka harus ditandatangani oleh Microsoft, dan karena penandatanganan driver adalah wajib di Windows, itu berarti bahwa jika Anda dapat membuat driver kernel Anda ditandatangani, Anda tidak memerlukan peretasan atau kerentanan atau mengeksploitasi untuk dapat memuat satu sebagai bagian dari serangan cyber.

Anda cukup menginstal driver dan sistem akan berbunyi, “Baiklah, sudah ditandatangani. Oleh karena itu diperbolehkan untuk memuatnya.”

Dan tentu saja, Anda dapat melakukan lebih banyak kerusakan ketika Anda berada di dalam kernel daripada ketika Anda "hanya" Administrator.

Khususnya, Anda mendapatkan akses orang dalam ke manajemen proses.

Sebagai admin, Anda dapat menjalankan program yang bertuliskan, "Saya ingin mematikan program XYZ", yang mungkin berupa, misalnya, anti-virus atau alat pemburu ancaman.

Dan program itu dapat menolak untuk dimatikan, karena, dengan asumsi itu juga tingkat admin, tidak ada proses yang dapat mengklaim keunggulan atas yang lain.

Tetapi jika Anda berada di dalam sistem operasi, itu adalah sistem operasi yang menangani proses memulai dan menyelesaikan, sehingga Anda mendapatkan lebih banyak kekuatan untuk mematikan hal-hal seperti perangkat lunak keamanan…

…dan ternyata itulah yang dilakukan para penjahat ini.

Dalam "sejarah berulang", saya ingat, bertahun-tahun yang lalu, ketika kami akan menyelidiki perangkat lunak yang digunakan penjahat untuk menghentikan program keamanan, mereka biasanya memiliki daftar antara 100 dan 200 proses yang ingin mereka bunuh: sistem operasi proses, program anti-virus dari 20 vendor berbeda, semua hal semacam itu.

Dan kali ini, saya pikir ada 186 program yang ingin dimatikan oleh driver mereka.

Jadi sedikit memalukan bagi Microsoft.

Untungnya, mereka sekarang telah mengeluarkan pembuat kode nakal itu dari program pengembang mereka, dan mereka telah memblokir setidaknya semua driver cerdik yang diketahui.

---

ANJING.  Jadi bukan itu saja terungkap di Patch Selasa.

Ada juga beberapa zero-days, beberapa bug RCE, dan hal-hal lain semacam itu:

Patch Tuesday: 0-hari, bug RCE, dan kisah aneh tentang malware yang ditandatangani

---

BEBEK.  Ya.

Untungnya bug zero-day yang diperbaiki bulan ini bukanlah yang dikenal sebagai RCE, atau eksekusi kode jarak jauh lubang.

Jadi mereka tidak memberikan rute langsung bagi penyerang luar hanya untuk masuk ke jaringan Anda dan menjalankan apa pun yang mereka inginkan.

Tapi ada bug driver kernel di DirectX yang memungkinkan seseorang yang sudah ada di komputer Anda pada dasarnya untuk mempromosikan diri mereka sendiri untuk memiliki kekuatan tingkat kernel.

Jadi itu seperti membawa driver bertanda tangan Anda sendiri – Anda * tahu * Anda dapat memuatnya.

Dalam hal ini, Anda mengeksploitasi bug pada driver yang tepercaya dan memungkinkan Anda melakukan hal-hal di dalam kernel.

Jelas, hal itulah yang membuat serangan siber yang sudah menjadi berita buruk menjadi sesuatu yang sangat, sangat jauh lebih buruk.

Jadi, Anda pasti ingin menambalnya.

Menariknya, sepertinya itu hanya berlaku untuk build terbaru, yaitu 2022H2 (paruh kedua tahun ini adalah singkatan dari H2) dari Windows 11.

Anda pasti ingin memastikan Anda memilikinya.

Dan ada bug yang menarik di Windows SmartScreen, yang pada dasarnya adalah alat pemfilteran Windows yang ketika Anda mencoba dan mengunduh sesuatu yang bisa atau berbahaya, memberi Anda peringatan.

Jadi, jelas, jika para penjahat menemukan, “Oh, tidak! Kami mendapat serangan malware ini, dan itu bekerja dengan sangat baik, tetapi sekarang Smart Screen memblokirnya, apa yang akan kami lakukan?”…

…entah mereka dapat melarikan diri dan membuat serangan yang benar-benar baru, atau mereka dapat menemukan kerentanan yang memungkinkan mereka menghindari Smart Screen sehingga peringatan tidak muncul.

Dan itulah yang terjadi di CVE-2022-44698, Douglas.

Jadi, itu adalah hari nol.

Seperti yang Anda katakan, ada beberapa bug eksekusi kode jarak jauh dalam campuran, tetapi tidak ada yang diketahui berada di alam liar.

Jika Anda menambalnya, Anda unggul dari para penjahat, bukan hanya mengejar ketinggalan.

---

ANJING.  OK, mari kita tetap pada topik tambalan…

…dan saya suka bagian pertama dari ini membintangi.

Itu hanya mengatakan, "Apple menambal semuanya":

Apple menambal semuanya, akhirnya mengungkap misteri iOS 16.1.2

---

BEBEK.  Ya, saya tidak dapat memikirkan cara untuk membuat daftar semua sistem operasi dalam 70 karakter atau kurang. [TAWA]

Jadi saya berpikir, "Yah, ini benar-benar segalanya."

Dan masalahnya adalah terakhir kali kami menulis tentang pembaruan Apple hanya iOS (iPhone), dan hanya iOS 16.1.2:

Apple meluncurkan pembaruan keamanan iOS yang lebih tertutup dari sebelumnya

Jadi, jika Anda memiliki iOS 15, apa yang harus Anda lakukan?

Apakah Anda berisiko?

Apakah Anda akan mendapatkan pembaruan nanti?

Kali ini, kabar tentang update terakhir akhirnya keluar di wash.

Tampaknya, Doug, alasan kami mendapatkan pembaruan iOS 16.1.2 adalah karena ada eksploit in-the-wild, sekarang dikenal sebagai CVE-2022-42856, dan itu adalah bug di WebKit, mesin rendering web di dalam sistem operasi Apple.

Dan, rupanya, bug itu dapat dipicu hanya dengan memikat Anda untuk melihat beberapa konten jebakan – yang dikenal dalam perdagangan sebagai a instal driveby, di mana Anda hanya melirik halaman dan, "Ya ampun", di latar belakang, malware terinstal.

Sekarang, ternyata exploit yang ditemukan hanya bekerja di iOS.

Itu mungkin mengapa Apple tidak terburu-buru memperbarui semua platform lain, meskipun macOS (ketiga versi yang didukung), tvOS, iPadOS… semuanya sebenarnya mengandung bug itu.

Satu-satunya sistem yang tidak, tampaknya, adalah watchOS.

Jadi, bug itu ada di hampir semua perangkat lunak Apple, tetapi tampaknya itu hanya dapat dieksploitasi, sejauh yang mereka tahu, melalui eksploitasi liar, di iOS.

Tapi sekarang, anehnya, mereka berkata, "Hanya di iOS sebelum 15.1," yang membuat Anda bertanya-tanya, "Mengapa mereka tidak mengeluarkan pembaruan untuk iOS 15, kalau begitu?"

Kami hanya tidak tahu!

Mungkin mereka berharap jika mereka mengeluarkan iOS 16.1.2, beberapa orang di iOS 15 akan tetap memperbarui, dan itu akan memperbaiki masalah bagi mereka?

Atau mungkin mereka belum yakin bahwa iOS 16 tidak rentan, dan lebih cepat dan lebih mudah untuk mengeluarkan pembaruan (yang prosesnya telah ditentukan dengan baik), daripada melakukan pengujian yang cukup untuk menentukan bahwa bug tidak dapat ' t dieksploitasi di iOS 16 dengan mudah.

Kita mungkin tidak akan pernah tahu, Doug, tapi itu cerita latar yang cukup menarik dalam semua ini!

Tapi, memang, seperti yang Anda katakan, ada pembaruan untuk semua orang dengan produk berlogo Apple.

Jadi: Jangan tunda/Lakukan hari ini.

---

ANJING.  Mari kita pindah ke teman-teman kita di Universitas Ben-Gurion… mereka kembali lagi.

Mereka telah mengembangkan beberapa spyware nirkabel – sedikit bagus trik spyware nirkabel:

COVID-bit: trik spyware nirkabel dengan nama yang tidak menguntungkan

---

BEBEK.  Ya… saya tidak yakin dengan namanya; Saya tidak tahu apa yang mereka pikirkan di sana.

Mereka telah menyebutnya COVID-bit.

---

ANJING.  Sedikit aneh.

---

BEBEK.  Saya pikir kita semua pernah digigit COVID dengan berbagai cara…

---

ANJING.  Mungkin itu saja?

---

BEBEK.  Grafik COV dimaksudkan untuk berdiri tersembunyi, dan mereka tidak mengatakan apa ID-bit berdiri untuk.

Saya menduga bahwa itu mungkin “pengungkapan informasi sedikit demi sedikit”, tetapi tetap saja ini adalah cerita yang menarik.

Kami senang menulis tentang penelitian yang dilakukan Departemen ini karena, meskipun bagi kebanyakan dari kita itu sedikit hipotetis…

… mereka mencari cara untuk melanggar celah udara jaringan, di mana Anda menjalankan jaringan aman yang sengaja Anda pisahkan dari yang lainnya.

Jadi, bagi sebagian besar dari kita, itu bukan masalah besar, setidaknya di rumah.

Tapi apa yang mereka lihat adalah bahwa * bahkan jika Anda menutup satu jaringan dari yang lain secara fisik *, dan hari-hari ini masuk dan merobek semua kartu nirkabel, kartu Bluetooth, kartu Near Field Communications, atau memotong kabel dan merusaknya. jejak sirkuit di papan sirkuit untuk menghentikan konektivitas nirkabel apa pun yang berfungsi…

…apakah masih ada kemungkinan penyerang yang mendapatkan akses satu kali ke area aman, atau orang dalam yang korup, dapat membocorkan data dengan cara yang sebagian besar tidak dapat dilacak?

Dan sayangnya, ternyata menutup satu jaringan peralatan komputer sepenuhnya dari yang lain jauh lebih sulit daripada yang Anda pikirkan.

Pembaca reguler akan tahu bahwa kami telah menulis tentang banyak hal yang telah dibuat oleh orang-orang ini sebelumnya.

Mereka memiliki GAIROSCOPE, di mana Anda benar-benar menggunakan kembali ponsel chip kompas sebagai mikrofon fidelitas rendah.

---

ANJING.  [TERTAWA] Saya ingat yang itu:

Melanggar keamanan celah udara: menggunakan giroskop ponsel Anda sebagai mikrofon

---

BEBEK.  Karena chip tersebut dapat merasakan getaran dengan cukup baik.

Mereka memiliki LANTENNA, di mana Anda menaruh sinyal pada jaringan kabel yang ada di dalam area aman, dan kabel jaringan benar-benar bertindak sebagai stasiun radio mini.

Mereka membocorkan radiasi elektromagnetik yang cukup sehingga Anda mungkin dapat mengambilnya di luar area aman, jadi mereka menggunakan jaringan kabel sebagai pemancar nirkabel.

Dan mereka memiliki sesuatu yang dengan bercanda mereka sebut FANSMITTER, di mana Anda pergi, “Bisakah kita melakukan pensinyalan audio? Jelas, jika kita hanya memutar lagu melalui speaker, seperti [dialling noises] beep-beep-beep-beep-beep, itu akan sangat jelas.”

Tetapi bagaimana jika kita memvariasikan beban CPU, sehingga kipas mempercepat dan memperlambat – dapatkah kita menggunakan perubahan kecepatan kipas hampir seperti semacam sinyal semaphore?

Bisakah kipas komputer Anda digunakan untuk memata-matai Anda?

Dan dalam serangan terbaru ini, mereka berpikir, “Bagaimana lagi kita bisa mengubah sesuatu di dalam hampir setiap komputer di dunia, sesuatu yang tampaknya cukup polos… bagaimana kita bisa mengubahnya menjadi stasiun radio berdaya sangat rendah?”

Dan dalam hal ini, mereka dapat melakukannya dengan menggunakan catu daya.

Mereka dapat melakukannya di Raspberry Pi, di laptop Dell, dan di berbagai PC desktop.

Mereka menggunakan catu daya komputer sendiri, yang pada dasarnya melakukan peralihan DC frekuensi sangat tinggi untuk memotong tegangan DC, biasanya untuk menguranginya, ratusan ribu atau jutaan kali per detik.

Mereka menemukan cara untuk membocorkan radiasi elektromagnetik – gelombang radio yang dapat mereka tangkap hingga jarak 2 meter di ponsel…

… bahkan jika ponsel itu mematikan semua perangkat nirkabelnya, atau bahkan dihapus dari perangkat.

Trik yang mereka buat adalah: Anda mengubah kecepatan perpindahannya, dan Anda mendeteksi perubahan dalam frekuensi peralihan.

Bayangkan, jika Anda menginginkan voltase yang lebih rendah (jika Anda ingin, katakanlah, memotong 12V menjadi 4V), gelombang persegi akan menyala sepertiga waktu, dan mati selama dua pertiga waktu.

Jika Anda menginginkan 2V, maka Anda harus mengubah rasionya.

Dan ternyata CPU modern memvariasikan frekuensi dan tegangannya untuk mengatur daya dan panas berlebih.

Jadi, dengan mengubah beban CPU pada satu atau lebih inti di CPU – dengan hanya meningkatkan tugas dan mengurangi tugas pada frekuensi yang relatif rendah, antara 5000 dan 8000 kali per detik – mereka bisa mendapatkan mode peralihan catu daya untuk *mengalihkan mode peralihannya* pada frekuensi rendah tersebut.

Dan itu menghasilkan pancaran radio frekuensi sangat rendah dari jejak sirkuit atau kabel tembaga apa pun di catu daya.

Dan mereka mampu mendeteksi pancaran tersebut menggunakan antena radio yang tidak lebih canggih dari loop kawat sederhana!

Jadi, apa yang Anda lakukan dengan loop kawat?

Nah, Anda berpura-pura, Doug, bahwa itu adalah kabel mikrofon atau kabel headphone.

Anda menghubungkannya ke jack audio 3.5 mm, dan Anda menghubungkannya ke ponsel Anda seperti satu set headphone…

---

ANJING.  Wow.

---

BEBEK.  Anda merekam sinyal audio yang dihasilkan dari loop kabel – karena sinyal audio pada dasarnya adalah representasi digital dari sinyal radio frekuensi sangat rendah yang Anda tangkap.

Mereka dapat mengekstraksi data darinya dengan kecepatan antara 100 bit per detik saat mereka menggunakan laptop, 200 bit per detik dengan Raspberry Pi, dan hingga 1000 bit per detik, dengan tingkat kesalahan yang sangat rendah, dari komputer desktop.

Anda bisa mengeluarkan hal-hal seperti kunci AES, kunci RSA, bahkan file data kecil dengan kecepatan seperti itu.

Saya pikir itu cerita yang menarik.

Jika Anda menjalankan area aman, Anda pasti ingin mengikuti hal ini, karena seperti kata pepatah lama, "Serangan hanya menjadi lebih baik, atau lebih pintar."

---

ANJING.  Dan teknologi rendah. [TAWA]

Semuanya digital, kecuali kami memiliki kebocoran analog yang digunakan untuk mencuri kunci AES.

Ini menarik!

---

BEBEK.  Sekadar pengingat bahwa Anda perlu memikirkan tentang apa yang ada di sisi lain tembok pengaman, karena "di luar pandangan belum tentu di luar pikiran".

---

ANJING.  Nah, itu pas dengan kita cerita akhir – sesuatu yang tidak terlihat, tetapi tidak keluar dari pikiran:

Skimming kartu kredit – jalan panjang dan berliku dari kegagalan rantai pasokan

Jika Anda pernah membuat halaman web, Anda tahu bahwa Anda dapat meletakkan kode analitik – baris kecil JavaScript – di sana untuk Google Analytics, atau perusahaan seperti itu, untuk melihat kinerja statistik Anda.

Ada perusahaan analitik gratis bernama Cockpit pada awal 2010-an, jadi orang-orang memasukkan kode Cockpit ini – baris kecil JavaScript ini – di halaman web mereka.

Tapi Cockpit ditutup pada tahun 2014, dan membiarkan nama domainnya hilang.

Dan kemudian, pada tahun 2021, penjahat dunia maya berpikir, “Beberapa situs e-niaga masih membiarkan kode ini berjalan; mereka masih menyebut JavaScript ini. Mengapa kita tidak membeli nama domain saja dan kemudian kita dapat menyuntikkan apa pun yang kita inginkan ke situs-situs ini yang masih belum menghapus baris JavaScript itu?”

---

BEBEK.  Ya.

Apa yang mungkin benar, Doug?

---

ANJING.  [TERTAWA] Tepat sekali!

---

BEBEK.  Tujuh tahun!

Mereka akan memiliki entri di semua log pengujian mereka yang mengatakan, Could not source the file cockpit.js (atau apapun itu) from site cockpit.jp, saya pikir itu.

Jadi, seperti yang Anda katakan, saat penjahat menyalakan kembali domain, dan mulai meletakkan file di sana untuk melihat apa yang akan terjadi…

…mereka memperhatikan bahwa banyak situs e-niaga dengan membabi buta dan dengan senang hati mengkonsumsi dan mengeksekusi kode JavaScript penjahat di dalam browser web pelanggan mereka.

---

ANJING.  [LUAGHING] “Hei, situs saya tidak membuat kesalahan lagi, ini berfungsi.”

---

BEBEK.  [LUAR BIASA] “Mereka pasti sudah memperbaikinya”… untuk beberapa pemahaman khusus tentang kata “tetap”, Doug.

Tentu saja, jika Anda dapat menyuntikkan JavaScript sewenang-wenang ke halaman web seseorang, maka Anda dapat membuat halaman web itu melakukan apa pun yang Anda inginkan.

Dan jika, khususnya, Anda menargetkan situs e-niaga, Anda dapat mengatur apa yang pada dasarnya adalah kode spyware untuk mencari halaman tertentu yang memiliki formulir web tertentu dengan bidang nama tertentu di dalamnya…

…seperti nomor paspor, nomor kartu kredit, CVV, apapun itu.

Dan pada dasarnya Anda dapat menyedot semua data rahasia yang tidak terenkripsi, data pribadi, yang dimasukkan pengguna.

Itu belum masuk ke proses enkripsi HTTPS, jadi Anda menyedotnya dari browser, Anda mengenkripsi HTTPS * sendiri *, dan mengirimkannya ke database yang dijalankan oleh penjahat.

Dan, tentu saja, hal lain yang dapat Anda lakukan adalah Anda dapat mengubah halaman web secara aktif saat mereka tiba.

Jadi, Anda dapat memikat seseorang ke situs web – situs web yang *benar*; itu adalah situs web yang pernah mereka kunjungi sebelumnya, yang mereka tahu dapat mereka percayai (atau menurut mereka dapat mereka percayai).

Jika ada formulir web di situs itu yang, katakanlah, biasanya menanyakan nama dan nomor referensi akun, Anda cukup memasukkan beberapa bidang tambahan, dan mengingat orang tersebut sudah mempercayai situs tersebut…

… kalau sebut nama, KTP, dan [tambahkan] tanggal lahir?

Sangat mungkin bahwa mereka hanya akan memasukkan tanggal lahir mereka karena mereka menganggap, "Saya kira itu adalah bagian dari pemeriksaan identitas mereka."

---

ANJING.  Ini bisa dihindari.

Anda bisa mulai dengan meninjau tautan rantai pasokan berbasis web Anda.

---

BEBEK.  Ya.

Mungkin setiap tujuh tahun sekali akan menjadi permulaan? [TAWA]

Jika Anda tidak melihat, maka Anda benar-benar bagian dari masalah, bukan bagian dari solusi.

---

ANJING.  Anda juga bisa, oh, saya tidak tahu… periksa log Anda?

---

BEBEK.  Ya.

Sekali lagi, setiap tujuh tahun sekali mungkin dimulai?

Izinkan saya mengatakan apa yang telah kami katakan sebelumnya di podcast, Doug…

…jika Anda akan mengumpulkan log yang tidak pernah Anda lihat, *jangan repot-repot mengumpulkannya sama sekali*.

Berhentilah bercanda, dan jangan mengumpulkan data.

Karena, sebenarnya, hal terbaik yang dapat terjadi pada data jika Anda mengumpulkannya dan tidak melihatnya, adalah orang yang salah tidak akan mendapatkannya secara tidak sengaja.

---

ANJING.  Kemudian, tentu saja, lakukan uji transaksi secara berkala.

---

BEBEK.  Haruskah saya mengatakan, "Setiap tujuh tahun sekali akan menjadi permulaan"? [TAWA]

---

ANJING.  Tentu saja ya… [WRY] itu mungkin cukup teratur, saya kira.

---

BEBEK.  Jika Anda adalah perusahaan e-niaga dan mengharapkan pengguna mengunjungi situs web Anda, biasakan diri dengan tampilan dan nuansa tertentu, dan percayalah…

… maka Anda berutang kepada mereka untuk menguji apakah tampilan dan nuansanya benar.

Secara teratur dan sering.

Semudah itu.

---

ANJING.  Oke bagus sekali.

Dan saat pertunjukan mulai mereda, mari kita dengar dari salah satu pembaca kita tentang cerita ini.

komentar Larry:

Tinjau tautan rantai pasokan berbasis web Anda?

Wish Epic Software telah melakukan ini sebelum mengirimkan bug pelacakan Meta ke semua pelanggan mereka.

Saya yakin bahwa ada generasi baru pengembang yang menganggap pengembangan adalah tentang menemukan fragmen kode di mana saja di internet dan menempelkannya secara tidak kritis ke dalam produk kerja mereka.

---

BEBEK.  Kalau saja kita tidak mengembangkan kode seperti itu…

…ke mana Anda pergi, “Saya tahu, saya akan menggunakan perpustakaan ini; Saya hanya akan mengunduhnya dari halaman GitHub fantastis yang saya temukan ini.

Oh, itu membutuhkan banyak hal lain !?

Oh, lihat, itu dapat memenuhi persyaratan secara otomatis… yah, ayo lakukan saja!”

Sayangnya, Anda harus *memiliki rantai pasokan Anda*, dan itu berarti memahami semua yang ada di dalamnya.

Jika Anda memikirkan Software Bill of Materials [SBoM], jalan raya, di mana Anda berpikir, "Ya, saya akan mencantumkan semua yang saya gunakan", tidak cukup hanya mencantumkan tingkat pertama hal-hal yang Anda gunakan.

Anda juga perlu mengetahui, dan dapat mendokumentasikan, dan mengetahui bahwa Anda dapat mempercayai, semua hal yang menjadi sandarannya, dan seterusnya dan seterusnya:

Kutu kecil memiliki kutu yang lebih kecil Di punggung mereka untuk menggigit mereka Dan kutu yang lebih kecil memiliki kutu yang lebih kecil Dan seterusnya ad infinitum.

*Begitulah* bagaimana Anda harus mengejar rantai pasokan Anda!

---

ANJING.  Kata baik!

Baiklah, terima kasih banyak, Larry, telah mengirimkan komentar itu.

Jika Anda memiliki cerita menarik, komentar, atau pertanyaan yang ingin Anda ajukan, kami akan senang membacanya di podcast.

Anda dapat mengirim email ke tips@sophos.com, Anda dapat mengomentari salah satu artikel kami, atau Anda dapat menghubungi kami di sosial: @NakedSecurity.

Itu acara kami untuk hari ini; terima kasih banyak untuk mendengarkan.

Untuk Paul Ducklin, saya Doug Aamoth, mengingatkan Anda, sampai waktu berikutnya, untuk…

---

KEDUA.  Tetap aman!

[MODEM MUSIK]