![S3 Ep113: Pwning the kernel של Windows - הנוכלים שהטריפו את Microsoft [אודיו + טקסט] PlatoBlockchain Data Intelligence. חיפוש אנכי. איי.](https://platoblockchain.com/wp-content/uploads/2022/12/s3-ep113-1200.png "S3 Ep113: Pwning את ליבת Windows - הנוכלים שהטריפו את מיקרוסופט [אודיו + טקסט]")
PWNING את ליבת WINDOWS
לחץ וגרור על גלי הקול למטה כדי לדלג לכל נקודה. אתה יכול גם להקשיב ישירות בסאונדקלאוד.
עם דאג אמות ופול דאקלין. מוזיקת אינטרו ואאוטרו מאת אדית מדג'.
אתה יכול להאזין לנו ב Soundcloud, Apple Podcasts, Google Podcasts, Spotify, Stitcher ובכל מקום שבו נמצאים פודקאסטים טובים. או פשוט זרוק את כתובת האתר של הזנת ה-RSS שלנו לתוך הפודקטצ'ר האהוב עליך.
קרא את התמליל
DOUG. תוכנות ריגול אלחוטיות, הרחקת כרטיסי אשראי ותיקונים למכביר.
כל זה, ועוד, בפודקאסט הביטחון העירום.
[מודם מוזיקלי]
ברוכים הבאים לפודקאסט, כולם.
אני דאג אמות'; הוא פול דאקלין.
פול, מה שלומך?
ברווז. אני בסדר, דאג.
קר, אבל טוב.
DOUG. גם כאן קפוא, וכולם חולים... אבל זה דצמבר בשבילכם.
אם כבר מדברים על דצמבר, אנחנו אוהבים להתחיל את המופע עם שלנו השבוע בהיסטוריה הטכנולוגית מגזר.
יש לנו ערך מרגש השבוע - ב-16 בדצמבר 2003, חוק CAN-SPAM נחתם לחוק על ידי נשיא ארה"ב דאז, ג'ורג' וו. בוש.
כינוי אחורי ל שליטה בתקיפה של פורנוגרפיה ושיווק לא מבוקש, CAN-SPAM נתפס כחסר שיניים יחסית מסיבות כמו אי דרישת הסכמה מהנמענים לקבלת דואר אלקטרוני שיווקי, ואי אפשר ליחידים לתבוע שולחי דואר זבל.
הוא האמין שעד 2004, פחות מ-1% מהדואר זבל אכן תואם לחוק.
ברווז. כן, קל להגיד את זה בדיעבד...
...אבל כפי שחלקנו התבדחו בזמנו, חשבנו שהם קראו לזה CAN-SPAM כי זה *בדיוק* מה שאתה יכול לעשות. [צחוק]
DOUG. "אתה יכול לספאם!"
ברווז. אני מניח שהרעיון היה, "בוא נתחיל בגישה מאוד רכה-רכה."
[ WRY TONE] אז זו הייתה ההתחלה, יש להודות, לא כל כך הרבה.
DOUG. [צוחק] נגיע לשם בסופו של דבר.
אם כבר מדברים על רע וגרוע...
...Microsoft Patch Tuesday - אין מה לראות כאן, אלא אם כן אתה סופר א מנהל התקן גרעין זדוני חתום?!
ברווז. ובכן, כמה למעשה - צוות Sophos Rapid Response מצא את החפצים הללו בהתקשרויות שהם עשו.
לא רק Sophos - לפחות שתי קבוצות מחקר בנושא אבטחת סייבר רשומות על ידי מיקרוסופט כמי שנתקלו בדברים האלה לאחרונה: מנהלי התקנים של ליבה שקיבלו למעשה גושפנקא דיגיטלית על ידי מיקרוסופט.
למיקרוסופט יש כעת הודעת ייעוץ המאשימה שותפים נוכלים.
האם הם באמת יצרו חברה שהתיימרה לייצר חומרה, במיוחד כדי להצטרף לתוכנית הדרייברים מתוך כוונה להגניב דרייברים מפוקפקים של גרעין?
או האם הם שיחדו חברה שכבר הייתה חלק מהתוכנית לשחק איתם בכדור?
או אם הם פרצו לחברה שאפילו לא הבינה שהיא משמשת ככלי כדי לומר למיקרוסופט, "היי, אנחנו צריכים לייצר את דרייבר הקרנל הזה - האם תאשר אותו?"...
הבעיה עם מנהלי התקנים של ליבה מאושרים, כמובן, היא בגלל שהם חייבים להיות חתומים על ידי מיקרוסופט, ומכיוון שחתימה על מנהלי התקנים היא חובה ב-Windows, זה אומר שאם אתה יכול לחתום על מנהל ההתקן של הליבה שלך, אתה לא צריך פריצות או פגיעויות או מנצל כדי להיות מסוגל לטעון אחד כחלק ממתקפת סייבר.
אתה יכול פשוט להתקין את הדרייבר והמערכת תאמר, "טוב, זה חתום. לכן מותר להטעין אותו".
וכמובן, אתה יכול לעשות הרבה יותר נזק כשאתה בתוך הקרנל מאשר כשאתה "רק" מנהל.
יש לציין, אתה מקבל גישה פנימית לניהול תהליכים.
כמנהל, אתה יכול להפעיל תוכנית שאומרת, "אני רוצה להרוג את תוכנית XYZ," שיכולה להיות, למשל, אנטי וירוס או כלי ציד איומים.
והתוכנית הזו יכולה להתנגד להיסגר, כי בהנחה שגם היא ברמת המנהל, אף אחד מהתהליכים לא יכול לטעון באופן מוחלט לבכורה על פני האחר.
אבל אם אתה בתוך מערכת ההפעלה, מערכת ההפעלה היא שעוסקת בתהליכי התחלה וסיום, כך שאתה מקבל הרבה יותר כוח להרוג דברים כמו תוכנת אבטחה...
...וכנראה שזה בדיוק מה שהנוכלים האלה עשו.
ב"היסטוריה חוזרת על עצמה", אני זוכר, לפני שנים על גבי שנים, כשהיינו חוקרים תוכנות שנוכלים השתמשו בהן כדי להפסיק תוכניות אבטחה, בדרך כלל היו להן רשימות של בין 100 ל-200 תהליכים שהם היו מעוניינים להרוג: מערכת הפעלה תהליכים, תוכניות אנטי וירוס מ-20 ספקים שונים, כל מיני דברים כאלה.
והפעם, אני חושב שהיו 186 תוכניות שהנהג שלהם היה שם כדי להרוג.
אז קצת מבוכה עבור מיקרוסופט.
למרבה המזל, הם הוציאו את המקודדים הנוכלים האלה מתוכנית המפתחים שלהם, והם רשמו לפחות את כל הדרייברים המטומטמים הידועים.
DOUG. אז זה לא כל מה שהיה נחשף ב- Patch Tuesday.
היו גם כמה ימים אפס, כמה באגים של RCE ודברים אחרים מסוג זה:
תיקון שלישי: 0-ימים, באגי RCE וסיפור מוזר על תוכנות זדוניות חתומות
ברווז. כן.
למרבה המזל, הבאגים של יום אפס שתוקנו החודש לא היו מה שמכונה RCEs, או ביצוע קוד מרחוק חורים.
אז הם לא נתנו מסלול ישיר לתוקפים מבחוץ רק לקפוץ לרשת שלך ולהפעיל כל מה שהם רוצים.
אבל היה באג של מנהל התקן ליבה ב-DirectX שיאפשר למישהו שכבר היה במחשב שלך בעצם לקדם את עצמו לקבל כוחות ברמת הקרנל.
אז זה קצת כמו להביא נהג חתום משלך - אתה *יודע* שאתה יכול לטעון אותו.
במקרה זה, אתה מנצל באג במנהל ההתקן שהוא מהימן ומאפשר לך לעשות דברים בתוך הקרנל.
ברור שזה מסוג הדברים שהופך מתקפת סייבר שהיא כבר חדשות רעות למשהו מאוד מאוד גרוע.
אז אתה בהחלט רוצה לתקן נגד זה.
באופן מסקרן, נראה שזה חל רק על המבנה העדכני ביותר, כלומר 2022H2 (המחצית השנייה של השנה זה מה ש-H2 מייצג) של Windows 11.
אתה בהחלט רוצה לוודא שיש לך את זה.
והיה באג מסקרן ב-Windows SmartScreen, שהוא בעצם כלי הסינון של Windows שכאשר אתה מנסה להוריד משהו שיכול להיות או מסוכן, נותן לך אזהרה.
אז, ברור, אם הנוכלים מצאו, "הו, לא! יש לנו התקפת תוכנה זדונית, והיא עבדה ממש טוב, אבל עכשיו מסך חכם חוסם אותה, מה אנחנו הולכים לעשות?"...
...או שהם יכולים לברוח ולבנות התקפה חדשה לגמרי, או שהם יכולים למצוא פגיעות שמאפשרת להם לעקוף את המסך החכם כדי שהאזהרה לא תופיע.
וזה בדיוק מה שקרה ב-CVE-2022-44698, דאגלס.
אז, אלו הם ימי האפס.
כפי שאמרת, יש כמה באגים של ביצוע קוד מרחוק בתמהיל, אבל אף אחד מהם לא ידוע בטבע.
אם אתה מתקן נגד אלה, אתה מקדים את הנוכלים, במקום רק להדביק את הפער.
DOUG. בסדר, בוא נישאר בנושא של תיקונים...
...ואני אוהב את החלק הראשון של זה כותרת.
זה רק אומר, "אפל מתקן הכל":
ברווז. כן, לא יכולתי לחשוב על דרך לרשום את כל מערכות ההפעלה ב-70 תווים או פחות. [צחוק]
אז חשבתי, "טוב, זה ממש הכל."
והבעיה היא שבפעם האחרונה שכתבנו על עדכון של אפל, זה היה רק iOS (אייפון), ורק iOS 16.1.2:
אז אם היה לך iOS 15, מה היית צריך לעשות?
היית בסיכון?
האם התכוונת לקבל את העדכון מאוחר יותר?
הפעם, החדשות על העדכון האחרון סוף סוף יצאו בכביסה.
נראה, דאג, שהסיבה שקיבלנו את העדכון הזה ל-iOS 16.1.2 היא שהיה ניצול בטבע, הידוע כעת כ-CVE-2022-42856, וזה היה באג ב-WebKit, מנוע העיבוד של האינטרנט בתוך מערכות ההפעלה של אפל.
וככל הנראה, הבאג הזה יכול להיות מופעל פשוט על ידי פיתוי אותך לצפות בתוכן ממולכד - מה שידוע במסחר בתור התקנת driveby, שבו אתה פשוט מציץ בדף ו"אוי, יקירי", ברקע, תוכנות זדוניות מותקנות.
כעת, ככל הנראה, הניצול שנמצא עבד רק ב-iOS.
זו כנראה הסיבה שאפל לא מיהרה להוציא עדכונים עבור כל הפלטפורמות האחרות, למרות ש-macOS (כל שלוש הגרסאות הנתמכות), tvOS, iPadOS... כולן למעשה הכילו את הבאג הזה.
המערכת היחידה שלא, ככל הנראה, הייתה watchOS.
אז הבאג הזה היה כמעט בכל התוכנות של אפל, אבל כנראה שניתן היה לנצל אותו רק, עד כמה שהם ידעו, באמצעות ניצול בטבע, ב-iOS.
אבל עכשיו, באופן מוזר, הם אומרים, "רק במערכות iOS לפני 15.1", מה שגורם לך לתהות, "למה הם לא הוציאו עדכון עבור iOS 15, במקרה כזה?"
אנחנו פשוט לא יודעים!
אולי הם קיוו שאם יוציאו את iOS 16.1.2, חלק מהאנשים ב-iOS 15 יתעדכנו בכל מקרה, וזה יפתור להם את הבעיה?
או אולי הם עדיין לא היו בטוחים ש-iOS 16 לא פגיע, והיה יותר מהיר וקל להוציא את העדכון (שיש להם תהליך מוגדר היטב עבורו), מאשר לבצע מספיק בדיקות כדי לקבוע שהבאג יכול לא ניתן לנצל בקלות ב-iOS 16.
כנראה שלעולם לא נדע, דאג, אבל זה סיפור רקע מרתק בכל זה!
אבל, אכן, כפי שאמרת, יש עדכון לכולם עם מוצר עם לוגו של אפל עליו.
אז: אל תתמהמה / תעשה את זה היום.
DOUG. בואו נעבור לחברים שלנו באוניברסיטת בן-גוריון... הם חזרו לזה שוב.
הם פיתחו תוכנות ריגול אלחוטיות - מעט נחמד טריק תוכנות ריגול אלחוטיות:
ברווז. כן... אני לא בטוח לגבי השם; אני לא יודע מה הם חשבו שם.
הם קראו לזה COVID-bit.
DOUG. קצת מוזר.
ברווז. אני חושב שכולנו ננשכנו על ידי COVID בדרך זו או אחרת...
DOUG. אולי זה זה?
ברווז. השמיים COV נועד לעמוד עבור סמוי, והם לא אומרים מה ID-bit מייצג.
ניחשתי שאולי זה "חשיפת מידע טיפין טיפין", אבל זה בכל זאת סיפור מרתק.
אנחנו אוהבים לכתוב על המחקר שהמחלקה הזו עושה כי למרות שלרובנו זה קצת היפותטי...
...הם בוחנים איך להפר את פערי האוויר ברשת, וזה המקום שבו אתה מפעיל רשת מאובטחת שאתה שומר בנפרד מכל השאר בכוונה.
אז, עבור רובנו, זה לא נושא ענק, לפחות בבית.
אבל מה שהם מסתכלים עליו זה ש*גם אם אתה סוגר רשת אחת מהשנייה פיזית*, ובימים אלה נכנסים ותולשים את כל הכרטיסים האלחוטיים, כרטיסי ה-Bluetooth, כרטיסי Near Field Communications, או חותכים חוטים ונשברים עקבות מעגלים בלוח המעגלים כדי לעצור כל קישוריות אלחוטית לפעול...
...האם עדיין יש דרך שבה תוקף שמקבל גישה חד פעמית לאזור המאובטח, או גורם פנימי מושחת, יכול להדליף נתונים בצורה בלתי ניתנת לאיתור?
ולמרבה הצער, מסתבר שלאטום רשת אחת של ציוד מחשבים לחלוטין מרשת אחרת זה הרבה יותר קשה ממה שאתה חושב.
קוראים קבועים יידעו שכתבנו על המון דברים שהחבר'ה האלה העלו בעבר.
היה להם GAIROSCOPE, וזה המקום שבו אתה למעשה מייעד מחדש את זה של טלפון נייד שבב מצפן כמיקרופון בעל נאמנות נמוכה.
DOUG. [צוחק] אני זוכר את זה:
הפרת אבטחת פערי אוויר: שימוש בג'ירוסקופ של הטלפון שלך כמיקרופון
ברווז. כי השבבים האלה יכולים לחוש תנודות מספיק טוב.
היה להם LANTENNA, זה המקום שבו אתה מכניס אותות לרשת קווית שנמצאת בתוך האזור המאובטח, וכבלי הרשת למעשה פועלים כמו תחנות רדיו מיניאטוריות.
הם דולפים בדיוק מספיק קרינה אלקטרומגנטית שאולי תוכל לקלוט אותה מחוץ לאזור המאובטח, אז הם משתמשים ברשת קווית בתור משדר אלחוטי.
והיה להם דבר שהם קראו לו בצחוק ה-FANSMITTER, לשם אתה הולך, "ובכן, אנחנו יכולים לעשות איתות אודיו? ברור שאם רק נשמיע מנגינות דרך הרמקול, כמו [רעשי חיוג] ביפ-ביפ-ביפ-ביפ-ביפ, זה יהיה די ברור."
אבל מה אם נשנה את עומס המעבד, כך שהמאוורר יזרז ויאט - האם נוכל להשתמש בו שינוי במהירות המאוורר כמעט כמו סוג של אות סמפור?
ובמתקפה האחרונה הזו, הם הבינו, "איך עוד אנחנו יכולים להפוך משהו בתוך כמעט כל מחשב בעולם, משהו שנראה תמים מספיק... איך אנחנו יכולים להפוך אותו לתחנת רדיו מאוד מאוד נמוכה?"
ובמקרה זה, הם הצליחו לעשות זאת באמצעות ספק הכוח.
הם הצליחו לעשות זאת ב-Raspberry Pi, במחשב נייד של Dell ובמגוון מחשבים שולחניים.
הם משתמשים באספקת החשמל של המחשב עצמו, שבעצם עושה מיתוג DC בתדר גבוה מאוד כדי לחתוך מתח DC, בדרך כלל כדי להפחית אותו, מאות אלפי או מיליוני פעמים בשנייה.
הם מצאו דרך לגרום לזה לדלוף קרינה אלקטרומגנטית - גלי רדיו שהם יכלו לקלוט עד 2 מטרים משם בטלפון נייד...
...גם אם בטלפון הנייד הזה כבו את כל החומר האלחוטי שלו, או אפילו הוסר מהמכשיר.
הטריק שהם הגיעו אליו הוא: אתה מחליף את המהירות שבה הוא מחליף, ומזהה את השינויים בתדר המיתוג.
תאר לעצמך, אם אתה רוצה מתח נמוך יותר (אם אתה רוצה, נניח, לקצץ 12V ל-4V), הגל הריבועי יהיה דולק לשליש מהזמן, וכבוי לשני שליש מהזמן.
אם אתה רוצה 2V, אז אתה צריך לשנות את היחס בהתאם.
ומסתבר שהמעבדים המודרניים משנים גם את התדר וגם את המתח שלהם כדי לנהל את הספק והתחממות יתר.
לכן, על ידי שינוי עומס ה-CPU על אחת או יותר הליבות ב-CPU - על ידי הגדלת משימות והפחתת משימות בתדירות נמוכה יחסית, בין 5000 ל-8000 פעמים בשנייה - הם הצליחו לקבל את המצב המתחלף ספק כוח כדי *להחליף את מצבי המיתוג שלו* בתדרים הנמוכים האלה.
וזה יצר רדיו בתדר נמוך מאוד מעקבות מעגלים או כל חוט נחושת באספקת החשמל.
והם הצליחו לזהות את הנביעה באמצעות אנטנת רדיו שלא הייתה מתוחכמת יותר מלולאת תיל פשוטה!
אז מה עושים עם לולאת תיל?
ובכן, אתה מעמיד פנים, דאג, שזה כבל מיקרופון או כבל אוזניות.
אתה מחבר אותו לשקע שמע בגודל 3.5 מ"מ, ומחבר אותו לטלפון הנייד שלך כאילו מדובר בסט אוזניות...
DOUG. וואו.
ברווז. אתה מקליט את אות השמע שנוצר מלולאת החוט - מכיוון שאות השמע הוא בעצם ייצוג דיגיטלי של אות הרדיו בתדר נמוך מאוד שקלטת.
הם הצליחו לחלץ ממנו נתונים בקצב של בין 100 סיביות לשנייה כשהם השתמשו במחשב הנייד, 200 סיביות לשנייה עם ה-Raspberry Pi, ובכל מקום של עד 1000 סיביות לשנייה, עם שיעור שגיאה נמוך מאוד, מ המחשבים השולחניים.
אתה יכול להוציא דברים כמו מפתחות AES, מפתחות RSA, אפילו קבצי נתונים קטנים במהירות כזו.
חשבתי שזה סיפור מרתק.
אם אתה מנהל אזור מאובטח, אתה בהחלט רוצה להתעדכן בדברים האלה, כי כפי שאומר הפתגם הישן, "התקפות רק משתפרות או חכמות יותר."
DOUG. וטכנולוגיה נמוכה יותר. [צחוק]
הכל דיגיטלי, חוץ מזה שיש לנו את הדליפה האנלוגית הזו שמשמשת לגניבת מפתחות AES.
זה מרתק!
ברווז. רק תזכורת שעליך לחשוב על מה שנמצא בצד השני של החומה המאובטחת, כי "מחוץ לטווח הראייה הוא בהחלט לא בהכרח מחוץ לראש."
DOUG. ובכן, זה משתלב יפה אצלנו סיפור אחרון – משהו שהוא מחוץ לטווח הראייה, אבל לא מתוך המוח:
רחיפה בכרטיס אשראי - הדרך הארוכה והמפותלת של כשל בשרשרת האספקה
אם אי פעם בנית דף אינטרנט, אתה יודע שאתה יכול לשחרר את קוד הניתוח - שורה קטנה של JavaScript - לשם Google Analytics, או חברות דומות לו, כדי לראות איך הנתונים הסטטיסטיים שלך מסתדרים.
הייתה חברת ניתוח חינמית בשם Cockpit בתחילת שנות ה-2010, ולכן אנשים שמו את קוד Cockpit הזה - השורה הקטנה הזו של JavaScript - בדפי האינטרנט שלהם.
אבל Cockpit נסגר ב-2014 ונתן לשם התחום לפסול.
ואז, בשנת 2021, פושעי סייבר חשבו, "חלק מאתרי מסחר אלקטרוני עדיין נותנים לקוד הזה לרוץ; הם עדיין קוראים לזה JavaScript. למה שלא נקנה את שם הדומיין ואז נוכל להחדיר מה שנרצה לאתרים האלה שעדיין לא הסירו את שורת ה-JavaScript?"
ברווז. כן.
מה יכול להיות בסדר, דאג?
DOUG. [צוחק] בדיוק!
ברווז. שבע שנים!
היה להם רשום בכל יומני הבדיקה שלהם שאומר, Could not source the file cockpit.js (או מה שזה לא היה) from site cockpit.jp, אני חושב שזה היה.
אז, כמו שאתה אומר, כשהנוכלים הדליקו את הדומיין שוב, והתחילו לשים שם קבצים כדי לראות מה יקרה...
...הם שמו לב שהמון אתרי מסחר אלקטרוני פשוט צורכים באופן עיוור ובשמחה ומפעילים את קוד ה-JavaScript של הנוכלים בדפדפני האינטרנט של הלקוחות שלהם.
DOUG. [LUAGHING] "היי, האתר שלי לא משדר שגיאה יותר, הוא עובד."
ברווז. [לא מאמין] "הם בטח תיקנו את זה"... בשביל הבנה מיוחדת של המילה "תוקן", דאג.
כמובן, אם אתה יכול להחדיר JavaScript שרירותי לדף האינטרנט של מישהו, אז אתה יכול כמעט לגרום לדף האינטרנט הזה לעשות כל מה שאתה רוצה.
ואם, במיוחד, אתה מכוון לאתרי מסחר אלקטרוני, אתה יכול להגדיר מהו בעצם קוד תוכנת ריגול כדי לחפש דפים מסוימים שיש בהם טפסי אינטרנט מסוימים עם שדות בעלי שם מסוים עליהם...
כמו מספר דרכון, מספר כרטיס אשראי, CVV, מה שזה לא יהיה.
ואתה יכול פשוט לשאוב החוצה את כל הנתונים הסודיים הלא מוצפנים, הנתונים האישיים, שהמשתמש מכניס.
הוא עדיין לא נכנס לתהליך הצפנת HTTPS, אז אתה שואב אותו מהדפדפן, אתה מצפין אותו ב-HTTPS *בעצמך* ושולח אותו למסד נתונים המנוהל על ידי נוכלים.
וכמובן, הדבר הנוסף שאתה יכול לעשות הוא שאתה יכול לשנות באופן פעיל דפי אינטרנט כשהם מגיעים.
אז אתה יכול לפתות מישהו לאתר - אתר שהוא האתר *הנכון*; זה אתר שהם עברו אליו בעבר, שהם יודעים שהם יכולים לסמוך עליו (או שהם חושבים שהם יכולים לסמוך עליו).
אם יש טופס אינטרנט באתר הזה שבדרך כלל מבקש מהם שם ומספר אסמכתא של החשבון, ובכן, אתה פשוט מקל על כמה שדות נוספים, ובהתחשב בכך שהאדם כבר סומך על האתר...
... אם אתה אומר שם, תעודת זהות ו[הוסף] תאריך לידה?
סביר מאוד שהם פשוט יכניסו את תאריך הלידה שלהם כי הם חושבים, "אני מניח שזה חלק מבדיקת הזהות שלהם."
DOUG. זה נמנע.
אתה יכול להתחיל סקירת קישורי שרשרת האספקה מבוססי האינטרנט שלך.
ברווז. כן.
אולי פעם בשבע שנים תהיה התחלה? [צחוק]
אם אתה לא מסתכל, אז אתה באמת חלק מהבעיה, לא חלק מהפתרון.
DOUG. אתה יכול גם, הו, אני לא יודע... בדוק את היומנים שלך?
ברווז. כן.
שוב, פעם בשבע שנים יכול להיות להתחיל?
תן לי רק לומר את מה שאמרנו בעבר בפודקאסט, דאג...
...אם אתה מתכוון לאסוף יומנים שאתה אף פעם לא מסתכל עליהם, *פשוט אל תטרח לאסוף אותם בכלל*.
תפסיק לצחוק על עצמך, ואל תאסוף את הנתונים.
כי למעשה, הדבר הכי טוב שיכול לקרות לנתונים אם אתה אוסף אותם ולא מסתכל עליהם, הוא שהאנשים הלא נכונים לא יגיעו אליהם בטעות.
DOUG. לאחר מכן, כמובן, בצעו עסקאות בדיקה באופן קבוע.
ברווז. האם עלי לומר, "פעם בשבע שנים תהיה התחלה"? [צחוק]
DOUG. כמובן, כן... [WRY] זה עשוי להיות קבוע מספיק, אני מניח.
ברווז. אם אתה חברת מסחר אלקטרוני ואתה מצפה מהמשתמשים שלך לבקר באתר שלך, להתרגל למראה ותחושה מסוימים ולסמוך עליו...
...אז אתה חייב להם לבדוק שהמראה והתחושה נכונים.
באופן קבוע ותדיר.
קל כמו זה.
DOUG. בסדר טוב מאוד.
וכשהתוכנית מתחילה להיסגר, תן לנו לשמוע מאחד הקוראים שלנו על הסיפור הזה.
לארי מעיר:
סקור את קישורי שרשרת האספקה מבוססי האינטרנט שלך?
הלוואי ו-Epic Software עשתה זאת לפני ששלחה את באג המעקב של Meta לכל הלקוחות שלהם.
אני משוכנע שיש דור חדש של מפתחים שחושבים שפיתוח הוא על מציאת קטעי קוד בכל מקום באינטרנט והדבקתם ללא ביקורת למוצר העבודה שלהם.
ברווז. אם רק לא פיתחנו קוד כזה...
...לאן אתה הולך, "אני יודע, אני אשתמש בספרייה הזו; אני פשוט אוריד אותו מדף GitHub הפנטסטי הזה שמצאתי.
אה, זה צריך מלא דברים אחרים!?
אה, תראה, זה יכול לעמוד בדרישות באופן אוטומטי... ובכן, בוא נעשה את זה אז!"
למרבה הצער, אתה חייב *להחזיק את שרשרת האספקה שלך*, וזה אומר להבין את כל מה שנכנס אליה.
אם אתה חושב על מסלול התוכנה [SBoM], שבו אתה חושב, "כן, אני אפרט את כל מה שאני משתמש בו", זה לא מספיק רק לרשום את הרמה הראשונה של הדברים שבהם אתה משתמש.
אתה גם צריך לדעת, ולהיות מסוגל לתעד, ולדעת שאתה יכול לסמוך, את כל הדברים שהדברים האלה תלויים בהם, וכן הלאה וכן הלאה:
לפרעושים קטנים יש פחות פרעושים על גבם כדי לנשוך אותם ולפרעושים פחות יש פחות פרעושים וכך עד אינסוף.
*ככה* אתה צריך לרדוף אחרי שרשרת האספקה שלך!
DOUG. יפה אמרת!
בסדר, תודה רבה, לארי, על ששלחת את ההערה הזו.
אם יש לך סיפור מעניין, תגובה או שאלה שתרצה לשלוח, נשמח לקרוא אותם בפודקאסט.
אתה יכול לשלוח דוא"ל ל-tips@sophos.com, אתה יכול להגיב על כל אחד מהמאמרים שלנו, או שאתה יכול לפנות אלינו בחברתית: @NakedSecurity.
זו ההופעה שלנו להיום; תודה רבה על ההקשבה.
עבור פול דאקלין, אני דאג אמות', ומזכיר לך, עד הפעם הבאה...
שניהם. הישאר בטוח!
[מודם מוזיקלי]
- 0 היום
- תפוח עץ
- אוניברסיטת בן-גוריון
- blockchain
- קוינגניוס
- ארנקים
- cryptryptxchange
- אבטחת סייבר
- עברייני אינטרנט
- אבטחת סייבר
- אובדן נתונים
- מחלקה לביטחון מולדת
- ארנקים דיגיטליים
- חומת אש
- iOS
- קספרסקי
- תוכנות זדוניות
- מקאפי
- מיקרוסופט
- ביטחון עירום
- פודקאסט עירום אבטחה
- NexBLOC
- אפלטון
- plato ai
- מודיעין אפלטון
- משחק אפלטון
- אפלטון נתונים
- פלטוגיימינג
- פודקאסט
- פְּרָטִיוּת
- רפיפה
- שרשרת אספקה
- VPN
- פגיעות
- אבטחת אתר
- זפירנט
- יום אפס
![S3 Ep112: פרצות נתונים יכולות לרדוף אותך יותר מפעם אחת! [אודיו + טקסט] PlatoBlockchain Data Intelligence. חיפוש אנכי. איי.](https://platoblockchain.com/wp-content/uploads/2022/12/goner-1-360x198.png "S3 Ep112: פרצות נתונים יכולות לרדוף אותך יותר מפעם אחת! [אודיו + טקסט]")
![S3 Ep114: מניעת איומי סייבר - עצור אותם לפני שהם עוצרים אותך! [אודיו + טקסט] PlatoBlockchain Data Intelligence. חיפוש אנכי. איי.](https://platoblockchain.com/wp-content/uploads/2022/12/ns-1200-generic-featured-image-blue-digits-360x188.png "S3 Ep114: מניעת איומי סייבר - עצור אותם לפני שהם עוצרים אותך! [אודיו + טקסט]")
