![S3 Ep113: Windows 커널 전복 – Microsoft [Audio + Text] PlatoBlockchain Data Intelligence를 속인 사기꾼. 수직 검색. 일체 포함.](https://platoblockchain.com/wp-content/uploads/2022/12/s3-ep113-1200.png "S3 Ep113: Windows 커널 Pwning – Microsoft를 속인 사기꾼 [Audio + Text]")
WINDOWS 커널 PWNING
원하는 지점으로 건너뛰려면 아래의 음파를 클릭하고 끕니다. 당신은 또한 수 직접 들어 사운드클라우드에서.
Doug Aamoth와 Paul Ducklin과 함께. 인트로 및 아웃트로 음악 에디스 머지.
당신은 우리를들을 수 있습니다 사운드 클라우드, Apple Podcasts, Google 포드 캐스트, 스포티 파이, 스티 그리고 좋은 팟캐스트가 있는 곳이면 어디든지. 아니면 그냥 버리세요 RSS 피드의 URL 좋아하는 팟캐쳐에.
대본 읽기
더그. 무선 스파이웨어, 신용 카드 스키밍 및 패치가 풍부합니다.
Naked Security 팟캐스트에서 이 모든 것.
[뮤지컬 모뎀]
팟캐스트에 오신 것을 환영합니다.
저는 Doug Aamoth입니다. 그는 폴 더클린이다.
폴, 어때?
오리. 난 아주 괜찮아요, 더그.
춥지만 괜찮아.
더그. 여기도 춥고 모두 아프고… 하지만 여러분에게는 XNUMX월입니다.
XNUMX월에 대해 말하자면, 우리는 우리와 함께 쇼를 시작하고 싶습니다. 이번 주 기술 역사 세그먼트.
16년 2003월 XNUMX일, CAN-SPAM 법은 조지 W. 부시 당시 미국 대통령에 의해 법률로 서명되었습니다.
에 대한 역명 비자발적 음란물 및 마케팅 공격 통제, CAN-SPAM은 마케팅 이메일을 수신하기 위해 수신자의 동의를 요구하지 않고 개인이 스패머를 고소하는 것을 허용하지 않는 등의 이유로 비교적 이가 없는 것으로 여겨졌습니다.
2004년까지 스팸의 1% 미만이 실제로 법을 준수하는 것으로 여겨졌습니다.
오리. 예, 돌이켜보면 이렇게 말하기 쉽습니다...
… 하지만 그 당시 우리 중 일부가 농담을 했듯이, 우리는 그것이 *정확히* 당신이 할 수 있는 일이기 때문에 그들이 그것을 CAN-SPAM이라고 불렀다고 생각했습니다. [웃음]
더그. "당신은 스팸을 할 수 있습니다!"
오리. "아주 부드럽게-부드럽게 접근하자"는 아이디어였던 것 같습니다.
[WRY TONE] 그래서 시작이었죠.
더그. [LAUGHS] 우리는 결국 거기에 도달할 것입니다.
나쁘고 더 나쁘게 말하면…
… Microsoft 패치 화요일 – 여기에서 볼 수 있는 것은 없습니다. 서명된 악성 커널 드라이버?!
오리. 글쎄요, 실제로 몇 가지 – Sophos Rapid Response 팀은 그들이 한 교전에서 이러한 인공물을 발견했습니다.
Sophos뿐만 아니라 적어도 두 개의 다른 사이버 보안 연구 그룹이 Microsoft에 의해 최근 이러한 일을 우연히 발견한 것으로 나열되었습니다. 커널 드라이버는 Microsoft의 디지털 승인 도장을 효과적으로 받았습니다.
Microsoft는 이제 불량 파트너를 비난하는 권고를 받았습니다.
그들은 실제로 하드웨어를 만드는 것처럼 가장한 회사를 만들었습니까? 특히 교활한 커널 드라이버를 몰래 통과시키려는 의도로 드라이버 프로그램에 참여했습니까?
아니면 이미 프로그램에 참여한 회사에 뇌물을 주어 그들과 공놀이를 했는지?
또는 그들이 마이크로소프트에 "이 커널 드라이버를 생산해야 합니다. 인증해 주시겠습니까?"라고 말하는 수단으로 사용되고 있다는 사실조차 깨닫지 못한 회사를 해킹했는지...
물론 인증된 커널 드라이버의 문제는 Microsoft의 서명을 받아야 하기 때문이고 Windows에서 드라이버 서명이 필수이기 때문에 커널 드라이버의 서명을 받을 수 있다면 해킹이나 취약점 또는 사이버 공격의 일부로 로드할 수 있는 익스플로잇.
드라이버를 설치하기만 하면 시스템이 “음, 서명되었습니다. 따라서 로드하는 것이 허용됩니다.”
물론 "단순한" 관리자일 때보다 커널 내부에 있을 때 훨씬 더 많은 손상을 입힐 수 있습니다.
특히 프로세스 관리에 대한 내부자 액세스 권한을 얻습니다.
관리자는 "XYZ 프로그램을 죽이고 싶습니다"라고 말하는 프로그램을 실행할 수 있습니다. 예를 들어 바이러스 백신 또는 위협 추적 도구일 수 있습니다.
그리고 그 프로그램도 종료되는 것을 거부할 수 있습니다. 왜냐하면 그것 역시 관리자 수준이라고 가정하면 어느 프로세스도 다른 프로세스보다 절대적으로 우선권을 주장할 수 없기 때문입니다.
그러나 운영 체제 내부에 있는 경우 시작 및 종료 프로세스를 처리하는 것은 운영 체제이므로 보안 소프트웨어와 같은 것을 종료하는 데 훨씬 더 많은 권한을 갖게 됩니다.
... 그리고 명백히 그것이 바로 이 사기꾼들이 했던 일입니다.
"반복되는 역사"에서 몇 년 전 사기꾼이 보안 프로그램을 종료하는 데 사용하는 소프트웨어를 조사할 때 일반적으로 제거하려는 프로세스 목록이 100~200개 있었습니다. 운영 체제 프로세스, 20개 벤더의 바이러스 백신 프로그램 등 모든 종류의 것입니다.
그리고 이번에는 드라이버가 죽여야 하는 프로그램이 186개 있다고 생각합니다.
따라서 Microsoft에게는 약간의 당혹감이 있습니다.
다행스럽게도 그들은 이제 이러한 불량 코더를 개발자 프로그램에서 쫓아내고 적어도 알려진 의심스러운 드라이버를 모두 차단 목록에 추가했습니다.
더그. 그래서 그게 전부가 아니었어. 화요일 패치에 공개.
또한 일부 제로데이, 일부 RCE 버그 및 기타 특성이 있습니다.
오리. 예.
다행히도 이번 달에 수정된 제로데이 버그는 RCE라고 알려진 버그가 아니었습니다. 원격 코드 실행 구멍.
따라서 그들은 외부 공격자가 네트워크에 뛰어들어 그들이 원하는 것을 실행할 수 있는 직접적인 경로를 제공하지 않았습니다.
그러나 DirectX에는 기본적으로 이미 컴퓨터에 있는 누군가가 커널 수준의 권한을 갖도록 자신을 홍보할 수 있는 커널 드라이버 버그가 있었습니다.
따라서 서명된 드라이버를 가져오는 것과 약간 비슷합니다. 로드할 수 있음을 *알고* 있습니다.
이 경우 신뢰할 수 있고 커널 내부에서 작업을 수행할 수 있는 드라이버의 버그를 악용합니다.
분명히 그것은 이미 나쁜 소식인 사이버 공격을 매우 훨씬 더 나쁜 것으로 만드는 종류의 것입니다.
그래서 당신은 확실히 그것에 대해 패치하고 싶습니다.
흥미롭게도 이는 최신 빌드, 즉 2022H2에만 적용되는 것 같습니다(하반기 H2는 Windows 11의 약자입니다.
당신은 확실히 당신이 그것을 가지고 있는지 확인하고 싶습니다.
그리고 Windows SmartScreen에는 흥미로운 버그가 있었습니다. Windows SmartScreen은 기본적으로 위험할 수 있거나 위험할 수 있는 항목을 다운로드하려고 할 때 경고를 표시하는 Windows 필터링 도구입니다.
따라서 분명히 사기꾼이 “오, 안돼! 우리는 이 맬웨어 공격을 받았고 정말 잘 작동했지만 이제 Smart Screen이 이를 차단하고 있습니다. 어떻게 해야 할까요?”…
…그들은 도망쳐 완전히 새로운 공격을 구축하거나 경고가 팝업되지 않도록 Smart Screen을 회피할 수 있는 취약점을 찾을 수 있습니다.
이것이 바로 CVE-2022-44698, Douglas에서 일어난 일입니다.
이것이 바로 제로데이입니다.
당신이 말했듯이, 일부 원격 코드 실행 버그가 믹스에 있지만 그 중 어느 것도 야생에 있는 것으로 알려져 있지 않습니다.
만약 당신이 그들에 대해 패치한다면, 당신은 단순히 따라잡는 것이 아니라 사기꾼보다 앞서게 됩니다.
더그. 좋아요, 패치 주제로 계속 갑시다…
... 그리고 나는 이것의 첫 부분을 좋아합니다 표제.
"Apple은 모든 것을 패치합니다"라고만 표시되어 있습니다.
오리. 예, 모든 운영 체제를 70자 이하로 나열하는 방법을 생각할 수 없었습니다. [웃음]
그래서 저는 "글쎄, 이게 말 그대로 전부야. "라고 생각했습니다.
그리고 문제는 지난번에 우리가 Apple 업데이트에 대해 썼을 때 iOS 만 (iPhone) 및 iOS 16.1.2만:
그렇다면 iOS 15가 있다면 어떻게 해야 할까요?
위험에 처했습니까?
나중에 업데이트를 받으려고 했습니까?
이번에 드디어 마지막 업데이트 소식이 세차게 나왔습니다.
Doug, 우리가 iOS 16.1.2 업데이트를 받은 이유는 현재 CVE-2022-42856으로 알려진 야생 익스플로잇이 있었고 웹 렌더링 엔진인 WebKit의 버그였기 때문인 것 같습니다. Apple의 운영 체제 내부.
그리고 분명히 그 버그는 부비트랩 콘텐츠를 보도록 유인하는 것만으로도 촉발될 수 있습니다. 드라이브 바이 설치, 페이지를 흘끗 보고 백그라운드에서 "오, 얘야"라고 말하는 곳에서 맬웨어가 설치됩니다.
이제 분명히 발견된 익스플로잇은 iOS에서만 작동했습니다.
아마도 Apple이 다른 모든 플랫폼에 대한 업데이트를 서두르지 않은 이유일 것입니다. macOS(지원되는 세 가지 버전 모두), tvOS, iPadOS…
분명히 그렇지 않은 유일한 시스템은 watchOS였습니다.
따라서 그 버그는 거의 모든 Apple 소프트웨어에 있었지만 그들이 아는 한 iOS에서 실제 익스플로잇을 통해서만 익스플로잇이 가능했습니다.
그런데 지금은 이상하게도 "iOS 15.1 이전에만"이라고 하는데, "이런 경우 iOS 15 업데이트를 왜 안 내놨지?"
우리는 단지 모른다!
어쩌면 그들은 iOS 16.1.2를 내놓으면 iOS 15의 일부 사람들이 어쨌든 업데이트하고 문제가 해결되기를 바랐을까요?
또는 그들은 iOS 16이 취약하지 않다는 것을 아직 확신하지 못했고, 버그가 취약하지 않은지 확인하기 위해 충분한 테스트를 수행하는 것보다 업데이트(잘 정의된 프로세스가 있음)를 내놓는 것이 더 빠르고 쉬웠습니다. iOS 16에서 쉽게 악용되지 않습니다.
우리는 아마도 결코 알지 못할 것입니다, Doug, 하지만 이 모든 것의 꽤 매혹적인 배경 이야기입니다!
하지만 실제로 말씀하신 것처럼 Apple 로고가 있는 제품을 사용하는 모든 사람을 위한 업데이트가 있습니다.
그래서: 미루지 마세요/오늘 하세요.
더그. Ben-Gurion University에 있는 우리 친구들에게 가봅시다. 그들은 다시 돌아왔습니다.
그들은 몇 가지 무선 스파이웨어를 개발했습니다. 무선 스파이웨어 속임수:
오리. 예… 이름이 확실하지 않습니다. 그들이 그곳에서 무슨 생각을 했는지 모르겠습니다.
그들은 그것을 불렀다 COVID-bit.
더그. 조금 이상해.
오리. 우리 모두 어떤 식으로든 COVID에 물린 것 같아요…
더그. 그게 다일까요?
오리. XNUMXD덴탈의 COV 을 의미한다 은밀한, 그리고 그들은 무엇을 말하지 않습니다 ID-bit 약자.
"조금씩 정보 공개"일지도 모른다고 추측했지만 그럼에도 불구하고 매혹적인 이야기입니다.
우리는 이 부서가 수행하는 연구에 대해 글을 쓰는 것을 좋아합니다. 왜냐하면 우리 대부분에게는 그것이 약간 가설에 불과하지만…
… 그들은 의도적으로 다른 모든 것과 분리된 보안 네트워크를 실행하는 네트워크 에어갭을 위반하는 방법을 찾고 있습니다.
따라서 우리 대부분에게는 적어도 가정에서는 큰 문제가 아닙니다.
하지만 그들이 보고 있는 것은 *한 네트워크를 다른 네트워크에서 물리적으로 봉쇄하더라도* 요즘에는 모든 무선 카드, 블루투스 카드, 근거리 무선 통신 카드를 뜯어내거나 전선을 절단하여 파손시킨다는 것입니다. 무선 연결이 작동하지 않도록 회로 보드의 회로 트레이스…
… 보안 영역에 한 번 액세스하는 공격자나 부패한 내부자가 거의 추적할 수 없는 방식으로 데이터를 유출할 수 있는 방법이 여전히 있습니까?
불행하게도 한 컴퓨터 장비 네트워크를 다른 네트워크로부터 완전히 봉쇄하는 것은 생각보다 훨씬 어렵습니다.
일반 독자들은 우리가 이 사람들이 전에 생각해낸 많은 것들에 대해 썼다는 것을 알게 될 것입니다.
그들은 실제로 휴대폰의 용도를 변경하는 GAIROSCOPE를 가지고 있습니다. 나침반 칩 충실도가 낮은 마이크입니다.
더그. [LAUGHS] 나는 그것을 기억합니다:
오리. 그 칩은 진동을 충분히 감지할 수 있기 때문입니다.
LANTENNA는 보안 영역 내부에 있는 유선 네트워크에 신호를 보내고 네트워크 케이블이 실제로 다음과 같은 역할을 합니다. 미니어처 라디오 방송국.
그들은 당신이 보안 영역 밖에서 그것을 집어들 수 있을 만큼의 전자기 방사선을 누출합니다. 그래서 그들은 유선 네트워크를 무선 송신기로 사용하고 있습니다.
그리고 그들은 농담으로 FANSMITTER라고 부르는 것을 가졌습니다. "글쎄, 오디오 신호를 할 수 있습니까? 분명히 스피커를 통해 [전화 걸기 소리] 삐-삐-삐-삐-삐 삐와 같은 곡을 재생하면 꽤 분명할 것입니다.”
그러나 CPU 부하를 변경하여 팬 속도를 높이거나 낮추면 어떻게 될까요? 팬 속도 변경 일종의 세마포어 신호와 비슷합니까?
그리고 이 최신 공격에서 그들은 "어떻게 우리가 세상의 거의 모든 컴퓨터 내부에 있는 무언가를 바꿀 수 있을까요? 충분히 무고해 보이는 것…
이 경우 전원 공급 장치를 사용하여 이를 수행할 수 있었습니다.
그들은 Raspberry Pi, Dell 노트북 및 다양한 데스크탑 PC에서 이를 수행할 수 있었습니다.
그들은 컴퓨터 자체의 전원 공급 장치를 사용하고 있습니다. 이 전원 공급 장치는 기본적으로 초당 수십만 또는 수백만 번 DC 전압을 줄이기 위해 매우 높은 주파수의 DC 스위칭을 수행합니다.
그들은 전자파를 누출시키는 방법을 찾았습니다. 즉, 휴대폰으로 최대 2미터 떨어진 곳에서 수신할 수 있는 전파입니다.
...휴대 전화의 모든 무선 기능이 꺼져 있거나 장치에서 제거된 경우에도 마찬가지입니다.
그들이 내놓은 속임수는 전환 속도를 전환하고 전환 주파수의 변화를 감지하는 것입니다.
더 낮은 전압을 원한다면(예를 들어 12V를 4V로 낮추고 싶다면) 구형파가 XNUMX/XNUMX 시간 동안 켜져 있고 XNUMX/XNUMX 동안 꺼질 것이라고 상상해 보십시오.
2V를 원하면 그에 따라 비율을 변경해야 합니다.
그리고 최신 CPU는 전력과 과열을 관리하기 위해 주파수와 전압을 모두 변경합니다.
따라서 CPU에 있는 하나 이상의 코어에서 CPU 부하를 변경함으로써(초당 5000~8000회 사이의 비교적 낮은 빈도로 작업을 늘리고 줄임으로써) 스위치 모드를 얻을 수 있었습니다. 저주파수에서 *스위칭 모드*를 전환하기 위한 전원 공급 장치.
그리고 그것은 회로 트레이스 또는 전원 공급 장치의 구리선에서 매우 낮은 주파수의 무선 방사를 생성했습니다.
그리고 그들은 단순한 와이어 루프보다 더 정교하지 않은 라디오 안테나를 사용하여 그러한 발산을 감지할 수 있었습니다!
그렇다면 와이어 루프로 무엇을 할까요?
음, Doug, 당신은 마이크 케이블이나 헤드폰 케이블인 척 합니다.
3.5mm 오디오 잭에 연결하고 헤드폰 세트처럼 휴대폰에 연결하면…
더그. 와우.
오리. 와이어 루프에서 생성된 오디오 신호를 녹음합니다. 오디오 신호는 기본적으로 수집한 매우 낮은 주파수의 무선 신호를 디지털로 표현하기 때문입니다.
그들은 노트북을 사용할 때 초당 100비트, 라즈베리 파이를 사용할 때 초당 200비트, 어디에서나 매우 낮은 오류율로 초당 최대 1000비트의 속도로 데이터를 추출할 수 있었습니다. 데스크탑 컴퓨터.
AES 키, RSA 키, 심지어 작은 데이터 파일과 같은 것을 그런 종류의 속도로 가져올 수 있습니다.
매력적인 이야기라고 생각했습니다.
보안 영역을 운영하는 경우 "공격은 더 좋아지거나 더 똑똑해질 뿐입니다."
더그. 그리고 낮은 기술. [웃음]
AES 키를 훔치는 데 사용되는 이 아날로그 유출을 제외하고 모든 것이 디지털입니다.
그것은 매혹적이다!
오리. 보안 벽의 반대편에 무엇이 있는지 생각해야 한다는 점을 상기시켜 주세요.
더그. 글쎄, 그것은 우리의 마지막 이야기 – 눈에 보이지 않지만 마음에서 벗어나지 않는 것:
웹 페이지를 구축한 적이 있다면 Google Analytics 또는 이와 유사한 회사에서 통계가 어떻게 작동하는지 확인하기 위해 분석 코드(JavaScript의 작은 줄)를 거기에 놓을 수 있다는 것을 알고 있을 것입니다.
2010년대 초에 Cockpit이라는 무료 분석 회사가 있었고 사람들은 이 Cockpit 코드(JavaScript의 작은 줄)를 웹 페이지에 넣었습니다.
그러나 Cockpit은 2014년에 문을 닫았고 도메인 이름이 소멸되었습니다.
그리고 2021년 사이버 범죄자들은 “일부 전자 상거래 사이트는 여전히 이 코드가 실행되도록 허용하고 있습니다. 그들은 여전히 이 JavaScript를 호출하고 있습니다. 도메인 이름을 사서 아직 해당 JavaScript 줄을 제거하지 않은 사이트에 원하는 것을 삽입할 수 있는 것은 어떻습니까?”
오리. 예.
무엇이 제대로 될 수 있을까요, Doug?
더그. [웃음] 맞습니다!
오리. 칠 년!
그들은 모든 테스트 로그에 다음과 같은 항목을 포함했을 것입니다. Could not source the file cockpit.js (또는 그것이 무엇이든) from site cockpit.jp, 그랬던 것 같아요.
그래서 당신이 말했듯이 사기꾼들이 도메인을 다시 켜고 무슨 일이 일어나는지 보기 위해 파일을 거기에 올리기 시작했을 때…
... 그들은 많은 전자 상거래 사이트가 고객의 웹 브라우저 내에서 사기꾼의 JavaScript 코드를 맹목적으로 행복하게 소비하고 실행한다는 사실을 알아차렸습니다.
더그. [LUAGHING] "이봐, 내 사이트에서 더 이상 오류가 발생하지 않고 작동 중이야."
오리. [믿을 수 없다] "그들이 그것을 고쳤음에 틀림없어"… "고정"이라는 단어에 대한 특별한 이해를 위해, Doug.
물론 누군가의 웹 페이지에 임의의 JavaScript를 삽입할 수 있다면 해당 웹 페이지에서 원하는 모든 작업을 수행할 수 있습니다.
그리고 특히 전자 상거래 사이트를 대상으로 하는 경우 특정 이름이 지정된 필드가 있는 특정 웹 양식이 있는 특정 페이지를 찾도록 기본적으로 스파이웨어 코드를 설정할 수 있습니다.
...여권 번호, 신용 카드 번호, CVV 등 무엇이든 가능합니다.
그리고 기본적으로 사용자가 입력한 암호화되지 않은 기밀 데이터, 개인 데이터를 모두 빨아낼 수 있습니다.
아직 HTTPS 암호화 프로세스에 들어가지 않았으므로 브라우저에서 이를 빨아들여 HTTPS로 *직접* 암호화한 다음 사기꾼이 운영하는 데이터베이스로 보냅니다.
그리고 물론 웹 페이지가 도착하면 능동적으로 변경할 수 있습니다.
따라서 누군가를 웹사이트로 유인할 수 있습니다. 그 웹사이트는 *올바른* 웹사이트입니다. 그것은 그들이 이전에 가본 적이 있고 그들이 신뢰할 수 있다는 것을 알고 있는(또는 그들이 신뢰할 수 있다고 생각하는) 웹사이트입니다.
예를 들어 해당 사이트에 일반적으로 이름과 계정 참조 번호를 묻는 웹 양식이 있는 경우 추가 필드 몇 개를 추가하고 해당 사용자가 이미 사이트를 신뢰한다고 가정하면…
... 이름, 아이디, [추가] 생년월일을 말하면?
그들은 "신원 확인의 일부라고 생각합니다. "라고 생각하기 때문에 생년월일을 입력할 가능성이 매우 높습니다.
더그. 이것은 피할 수 있습니다.
다음으로 시작할 수 있습니다. 웹 기반 공급망 링크 검토.
오리. 예.
XNUMX년에 한 번 정도가 시작일까요? [웃음]
당신이 보고 있지 않다면 당신은 정말로 문제의 일부이지 해결책의 일부가 아닙니다.
더그. 당신은 또한, 오, 나는 모른다 ... 로그 확인?
오리. 예.
다시 말하지만, XNUMX년에 한 번씩 시작할 수 있습니다.
팟캐스트에서 이전에 말한 내용을 말씀드리겠습니다, Doug…
...한 번도 보지 않은 로그를 수집하려는 경우 *아무리 귀찮게 수집하지 마십시오*.
농담하지 말고 데이터를 수집하지 마십시오.
실제로 데이터를 수집하고 보지 않는 경우 데이터에 일어날 수 있는 가장 좋은 일은 잘못된 사람이 실수로 데이터를 파악하지 않는다는 것입니다.
더그. 그런 다음 정기적으로 테스트 트랜잭션을 수행합니다.
오리. "XNUMX년에 한 번 시작"이라고 해야 할까요? [웃음]
더그. 물론, 예... [WRY] 충분히 규칙적일 수 있습니다.
오리. 귀하가 전자상거래 회사이고 귀하의 사용자가 귀하의 웹사이트를 방문하고 특정 모양과 느낌에 익숙해지고 그것을 신뢰하기를 기대한다면…
...그러면 모양과 느낌이 올바른지 테스트해야 합니다.
정기적으로 그리고 자주.
그렇게 쉬운.
더그. 그래 아주 좋다.
쇼가 끝나기 시작하면서 이 이야기에 대한 독자 중 한 사람의 이야기를 들어보겠습니다.
래리 코멘트:
웹 기반 공급망 링크를 검토하시겠습니까?
Wish Epic Software는 메타 추적 버그를 모든 고객에게 배송하기 전에 이 작업을 수행했습니다.
저는 개발이 인터넷 어디에서나 코드 조각을 찾아 무비판적으로 작업 제품에 붙여넣는 것이라고 생각하는 새로운 세대의 개발자가 있다고 확신합니다.
오리. 우리가 그런 코드를 개발하지 않았다면…
…이 라이브러리를 사용하겠습니다. 내가 찾은 환상적인 GitHub 페이지에서 다운로드하겠습니다.
오, 그것은 다른 많은 것들이 필요합니다!?
오, 보세요, 자동으로 요구 사항을 충족시킬 수 있습니다… 음, 그럼 그렇게 합시다!”
안타깝게도 *공급망을 소유*해야 하며 이는 공급망에 들어가는 모든 것을 이해해야 함을 의미합니다.
Software Bill of Materials [SBoM] 도로를 따라 생각하고 "예, 내가 사용하는 모든 항목을 나열하겠습니다"라고 생각하는 경우 사용하는 항목의 첫 번째 수준을 나열하는 것만으로는 충분하지 않습니다.
또한 이러한 항목이 의존하는 모든 항목을 알고 문서화할 수 있어야 하며 신뢰할 수 있음을 알아야 합니다.
작은 벼룩은 더 작은 벼룩을 가지고 있고, 더 작은 벼룩은 더 작은 벼룩을 가지고 있습니다. 그리고 무한히 그렇습니다.
*그것이* 공급망을 추적하는 방법입니다!
더그. 잘했다!
네, 그 의견을 보내주셔서 대단히 감사합니다, Larry.
제출하고 싶은 흥미로운 이야기, 의견 또는 질문이 있는 경우 팟캐스트에서 읽어주시면 감사하겠습니다.
귀하는 Tips@sophos.com으로 이메일을 보내거나, 당사 기사에 댓글을 달거나, @NakedSecurity 소셜에서 연락할 수 있습니다.
그것이 오늘의 쇼입니다. 들어주셔서 대단히 감사합니다.
Paul Ducklin의 경우, 저는 Doug Aamoth라고 합니다. 다음 시간까지...
양자 모두. 보안 유지!
[뮤지컬 모뎀]
![S3 Ep117: 없었던 크립토 위기(Win 7의 영원한 이별) [Audio + Text]](https://platoblockchain.com/wp-content/uploads/2023/01/s3-ep117-the-crypto-crisis-that-wasnt-and-farewell-forever-to-win-7-audio-text-360x188.png "S3 Ep117: 없었던 크립토 위기(Win 7의 영원한 이별) [Audio + Text]")
![S3 Ep97: iPhone이 도난당했나요? 당신은 어떻게 알겠습니까? [오디오 + 텍스트] PlatoBlockchain 데이터 인텔리전스. 수직 검색. 일체 포함.](https://platoblockchain.com/wp-content/uploads/2022/08/iph-1200-300x156.png "S3 Ep97: iPhone이 전화를 받았나요? 당신은 어떻게 알겠습니까? [오디오 + 텍스트]")
