S3, odc. 113: Włamywanie się do jądra systemu Windows – oszuści, którzy oszukali Microsoft [Audio + Tekst]

Kliknij i przeciągnij poniższe fale dźwiękowe, aby przejść do dowolnego punktu. Również możesz słuchaj bezpośrednio na Soundcloudzie.

DOUG.  Bezprzewodowe oprogramowanie szpiegujące, skimming kart kredytowych i mnóstwo łat.

Wszystko to i wiele więcej w podkaście Naked Security.

[MOM MUZYCZNY]

Witam wszystkich w podkaście.

Jestem Doug Aamoth; to jest Paul Ducklin.

Paul, jak się masz?

---

KACZKA.  Czuję się bardzo dobrze, Doug.

Zimno, ale dobrze.

---

DOUG.  Tutaj też jest zimno i wszyscy są chorzy… ale dla ciebie to grudzień.

Mówiąc o grudniu, lubimy zaczynać program od naszego W tym tygodniu w historii technologii Segment.

W tym tygodniu mamy ekscytujący wpis – 16 grudnia 2003 roku ówczesny prezydent USA George W. Bush podpisał ustawę CAN-SPAM Act.

Backronym dla kontrolowanie napaści na niezamawianą pornografię i marketing, CAN-SPAM był postrzegany jako stosunkowo bezzębny z powodów takich jak brak wymogu zgody odbiorców na otrzymywanie marketingowych wiadomości e-mail i brak możliwości pozwania spamerów przez osoby fizyczne.

Uważano, że do 2004 r. mniej niż 1% spamu faktycznie spełniało wymogi ustawy.

---

KACZKA.  Tak, łatwo to powiedzieć z perspektywy czasu…

…ale jak niektórzy z nas żartowali w tamtym czasie, uznaliśmy, że nazwali to CAN-SPAM, ponieważ *dokładnie* można to zrobić. [ŚMIECH]

---

DOUG.  „Możesz spamować!”

---

KACZKA.  Myślę, że pomysł był taki: „Zacznijmy od bardzo miękkiego podejścia”.

[KRZYWY TON] Więc to był początek, przyznaję, nie aż tak bardzo.

---

DOUG.  [ŚMIECH] W końcu się tam dostaniemy.

Mówiąc o złych i gorszych…

…Microsoft Patch Tuesday – nie ma tu nic do oglądania, chyba że liczyć podpisany złośliwy sterownik jądra?!

Podpisane złośliwe oprogramowanie sterownika przesuwa się w górę łańcucha zaufania oprogramowania

---

KACZKA.  Cóż, właściwie kilka – zespół Sophos Rapid Response znalazł te artefakty w swoich zadaniach.

Nie tylko Sophos – Microsoft wymienił co najmniej dwie inne grupy badawcze ds.

Microsoft ma teraz poradę, w której obwinia nieuczciwych partnerów.

Czy faktycznie stworzyli firmę, która udawała, że ​​produkuje sprzęt, zwłaszcza aby dołączyć do programu sterowników z zamiarem przemycenia podejrzanych sterowników jądra?

A może przekupili firmę, która była już częścią programu, aby grała z nimi w piłkę?

Lub czy włamali się do firmy, która nawet nie zdawała sobie sprawy, że jest używana jako narzędzie do mówienia do Microsoftu: „Hej, musimy wyprodukować ten sterownik jądra – czy go poświadczysz?”…

Problem z certyfikowanymi sterownikami jądra polega oczywiście na tym, że muszą one być podpisane przez Microsoft, a ponieważ podpisywanie sterowników jest obowiązkowe w systemie Windows, oznacza to, że jeśli uda się podpisać sterownik jądra, nie trzeba będzie hakować ani luk w zabezpieczeniach ani exploitów, aby móc je załadować w ramach cyberataku.

Możesz po prostu zainstalować sterownik, a system powie: „No cóż, jest podpisany. Dlatego ładowanie go jest dozwolone”.

I oczywiście możesz wyrządzić o wiele więcej szkód, będąc wewnątrz jądra, niż będąc „tylko” administratorem.

Warto zauważyć, że uzyskujesz wewnętrzny dostęp do zarządzania procesami.

Jako administrator możesz uruchomić program, który mówi „Chcę zabić program XYZ”, który może być, powiedzmy, antywirusem lub narzędziem do polowania na zagrożenia.

A ten program może oprzeć się zamknięciu, ponieważ zakładając, że również jest na poziomie administratora, żaden proces nie może absolutnie rościć sobie prawa do pierwszeństwa nad drugim.

Ale jeśli jesteś w systemie operacyjnym, to system operacyjny zajmuje się uruchamianiem i kończeniem procesów, więc masz znacznie więcej mocy do zabijania rzeczy, takich jak oprogramowanie zabezpieczające…

… i najwyraźniej właśnie to robili ci oszuści.

W „historii się powtarza”, pamiętam, wiele lat temu, kiedy badaliśmy oprogramowanie, którego oszuści używali do kończenia programów zabezpieczających, zazwyczaj mieli listy od 100 do 200 procesów, które chcieli zabić: system operacyjny procesy, programy antywirusowe od 20 różnych dostawców, wszystkie tego typu rzeczy.

I tym razem myślę, że było 186 programów, które ich kierowca miał zabić.

Trochę wstydu dla Microsoftu.

Na szczęście teraz wyrzucili tych nieuczciwych programistów ze swojego programu dla programistów i umieścili na liście zablokowanych przynajmniej wszystkie znane podejrzane sterowniki.

---

DOUG.  Więc to nie wszystko, co było ujawniono w Patch Tuesday.

Było też kilka dni zerowych, kilka błędów RCE i inne rzeczy tego rodzaju:

Patch Tuesday: 0 dni, błędy RCE i ciekawa opowieść o podpisanym złośliwym oprogramowaniu

---

KACZKA.  Tak.

Na szczęście błędy dnia zerowego naprawione w tym miesiącu nie były tak zwane RCE lub zdalne wykonanie kodu dziury.

Nie dali więc bezpośredniej drogi atakującym z zewnątrz, aby mogli wskoczyć do twojej sieci i uruchomić wszystko, co chcieli.

Ale w DirectX był błąd sterownika jądra, który pozwalał komuś, kto był już na twoim komputerze, promować się, by mieć uprawnienia na poziomie jądra.

To trochę jak przyniesienie własnego podpisanego sterownika — *wiesz*, że możesz go załadować.

W tym przypadku wykorzystujesz błąd w sterowniku, który jest zaufany i który pozwala ci robić różne rzeczy w jądrze.

Oczywiście jest to coś, co sprawia, że ​​cyberatak, który już jest złą wiadomością, staje się czymś znacznie gorszym.

Więc zdecydowanie chcesz załatać to.

Co ciekawe, wydaje się, że dotyczy to tylko najnowszej wersji, tj. 2022H2 (druga połowa roku jest tym, co oznacza H2) systemu Windows 11.

Na pewno chcesz się upewnić, że to masz.

I był intrygujący błąd w Windows SmartScreen, który jest w zasadzie narzędziem filtrującym Windows, które kiedy próbujesz pobrać coś, co może być lub jest niebezpieczne, wyświetla ostrzeżenie.

Więc oczywiście, jeśli oszuści znaleźli: „O nie! Mamy ten atak złośliwego oprogramowania i działał naprawdę dobrze, ale teraz Smart Screen go blokuje, co mamy zrobić?”…

…albo mogą uciec i opracować zupełnie nowy atak, albo znaleźć lukę w zabezpieczeniach, która pozwoli im ominąć inteligentny ekran, aby ostrzeżenie się nie wyświetlało.

I tak właśnie stało się w CVE-2022-44698, Douglas.

Więc to są dni zerowe.

Jak powiedziałeś, w miksie jest kilka błędów zdalnego wykonywania kodu, ale żaden z nich nie występuje na wolności.

Jeśli je załatasz, wyprzedzisz oszustów, a nie tylko nadrobisz zaległości.

---

DOUG.  OK, zostańmy przy temacie patchy…

… i uwielbiam pierwszą część tego nagłówek.

Mówi po prostu: „Apple wszystko łata”:

Apple wszystko łata, w końcu ujawnia tajemnicę iOS 16.1.2

---

KACZKA.  Tak, nie mogłem wymyślić sposobu na wypisanie wszystkich systemów operacyjnych w maksymalnie 70 znakach. [ŚMIECH]

Pomyślałem więc: „Cóż, to jest dosłownie wszystko”.

Problem polega na tym, że ostatnim razem, gdy pisaliśmy o aktualizacji Apple, tak właśnie było tylko iOS (iPhone'y) i tylko iOS 16.1.2:

Apple wypuszcza aktualizację zabezpieczeń iOS, która jest bardziej szczelna niż kiedykolwiek

Więc jeśli masz iOS 15, co powinieneś zrobić?

Czy byłeś zagrożony?

Czy zamierzałeś pobrać aktualizację później?

Tym razem wiadomość o ostatniej aktualizacji wreszcie wyszła w praniu.

Wygląda na to, Doug, że powodem, dla którego otrzymaliśmy tę aktualizację iOS 16.1.2, był ukryty exploit, obecnie znany jako CVE-2022-42856, i był to błąd w WebKit, silniku renderowania stron internetowych wewnątrz systemów operacyjnych Apple.

Najwyraźniej ten błąd można wywołać po prostu przez zwabienie cię do obejrzenia treści z pułapkami – co jest znane w handlu jako instalacja przejazdowa, gdzie wystarczy spojrzeć na stronę i „Och, kochanie”, w tle instaluje się złośliwe oprogramowanie.

Najwyraźniej wykryty exploit działał tylko na iOS.

Prawdopodobnie dlatego Apple nie spieszył się z aktualizacjami dla wszystkich innych platform, chociaż macOS (wszystkie trzy obsługiwane wersje), tvOS, iPadOS… wszystkie faktycznie zawierały ten błąd.

Jedynym systemem, który najwyraźniej tego nie zrobił, był watchOS.

Tak więc ten błąd występował w prawie całym oprogramowaniu Apple, ale najwyraźniej można go było wykorzystać, o ile wiedzieli, tylko poprzez exploit na iOS.

Ale teraz, co dziwne, mówią: „Tylko na iOS przed 15.1”, co sprawia, że ​​​​zastanawiasz się: „Dlaczego w takim razie nie wydali aktualizacji dla iOS 15?”

Po prostu nie wiemy!

Może mieli nadzieję, że jeśli wypuszczą iOS 16.1.2, niektóre osoby korzystające z iOS 15 i tak zaktualizują się, a to rozwiąże problem?

A może nie byli jeszcze pewni, że iOS 16 nie jest podatny na ataki i szybciej i łatwiej było opublikować aktualizację (dla której mają dobrze zdefiniowany proces), niż przeprowadzić wystarczającą liczbę testów, aby ustalić, że błąd nie może " t być łatwo wykorzystany na iOS 16.

Prawdopodobnie nigdy się tego nie dowiemy, Doug, ale to całkiem fascynująca historia w tym wszystkim!

Ale rzeczywiście, jak powiedziałeś, jest aktualizacja dla każdego, kto ma produkt z logo Apple.

A więc: Nie zwlekaj/Zrób to już dziś.

---

DOUG.  Przenieśmy się do naszych przyjaciół z Uniwersytetu Ben-Guriona… oni znowu do tego wracają.

Opracowali trochę bezprzewodowego oprogramowania szpiegującego – całkiem sprytne bezprzewodowa sztuczka spyware:

COVID-bit: sztuczka z bezprzewodowym oprogramowaniem szpiegującym o niefortunnej nazwie

---

KACZKA.  Tak… Nie jestem pewien nazwy; Nie wiem, co oni tam myśleli.

Nazwali to COVID-bit.

---

DOUG.  Trochę dziwne.

---

KACZKA.  Myślę, że wszyscy zostaliśmy ugryzieni przez COVID w taki czy inny sposób…

---

DOUG.  Może to jest to?

---

KACZKA.  Połączenia COV ma stać ukryty, a nie mówią co ID-bit oznacza.

Domyślałem się, że może to być „ujawnianie informacji krok po kroku”, ale mimo to jest to fascynująca historia.

Uwielbiamy pisać o badaniach, które prowadzi ten Zakład, bo choć dla większości z nas jest to trochę hipotetyczne…

... zastanawiają się, jak naruszyć luki w sieci, czyli tam, gdzie prowadzisz bezpieczną sieć, którą celowo oddzielasz od wszystkiego innego.

Tak więc dla większości z nas nie jest to duży problem, przynajmniej w domu.

Ale to, na co patrzą, to *nawet jeśli fizycznie oddzielisz jedną sieć od drugiej*, a obecnie wchodzą i wyrywają wszystkie karty bezprzewodowe, karty Bluetooth, karty komunikacji bliskiego zasięgu lub przecinają przewody i psują się ślady obwodów na płytce drukowanej, aby zatrzymać działanie łączności bezprzewodowej…

… czy nadal istnieje sposób, w jaki osoba atakująca, która uzyska jednorazowy dostęp do bezpiecznego obszaru, lub skorumpowana osoba z wewnątrz, może ujawnić dane w sposób, który jest w dużej mierze niemożliwy do wykrycia?

I niestety okazuje się, że całkowite oddzielenie jednej sieci sprzętu komputerowego od drugiej jest znacznie trudniejsze niż myślisz.

Stali czytelnicy będą wiedzieć, że pisaliśmy o wielu rzeczach, które ci faceci wymyślili wcześniej.

Mieli GAIROSCOPE, czyli miejsce, w którym właściwie zmieniasz przeznaczenie telefonu komórkowego układ kompasu jako mikrofon o niskiej wierności.

---

DOUG.  [ŚMIECH] Pamiętam to:

Naruszenie bezpieczeństwa szczeliny powietrznej: używanie żyroskopu w telefonie jako mikrofonu

---

KACZKA.  Ponieważ te chipy mogą wystarczająco dobrze wyczuwać wibracje.

Mieli LANTENNA, czyli miejsce, w którym wysyłasz sygnały do ​​sieci przewodowej znajdującej się w bezpiecznym obszarze, a kable sieciowe faktycznie działają jak miniaturowe stacje radiowe.

Przepuszczają tyle promieniowania elektromagnetycznego, że można je wychwycić poza bezpiecznym obszarem, więc używają sieci przewodowej jako nadajnika bezprzewodowego.

I mieli coś, co żartobliwie nazwali FANSMITTER, czyli tam, gdzie idziesz: „Cóż, czy możemy zrobić sygnalizację dźwiękową? Oczywiście, jeśli po prostu odtworzymy melodie przez głośnik, na przykład [odgłosy wybierania] bip-bip-bip-bip-bip, będzie to całkiem oczywiste.

Ale co, jeśli zróżnicujemy obciążenie procesora, tak aby wentylator przyspieszał i zwalniał – czy moglibyśmy użyć zmiana prędkości wentylatora prawie jak rodzaj sygnału semaforowego?

Czy twój wentylator komputerowy może cię szpiegować?

A w tym ostatnim ataku doszli do wniosku: „Jak inaczej możemy zamienić coś w prawie każdym komputerze na świecie, coś, co wydaje się wystarczająco niewinne… jak możemy zamienić to w stację radiową o bardzo, bardzo małej mocy?”

I w tym przypadku udało im się to zrobić za pomocą zasilacza.

Udało im się to zrobić na Raspberry Pi, laptopie Dell i różnych komputerach stacjonarnych.

Używają własnego zasilacza komputera, który w zasadzie wykonuje przełączanie prądu stałego o bardzo, bardzo wysokiej częstotliwości, aby zmniejszyć napięcie prądu stałego, zwykle w celu jego zmniejszenia, setki tysięcy lub miliony razy na sekundę.

Znaleźli sposób, aby emitować promieniowanie elektromagnetyczne – fale radiowe, które mogą odbierać przez telefon komórkowy z odległości do 2 metrów…

…nawet jeśli w tym telefonie komórkowym wszystkie funkcje bezprzewodowe były wyłączone lub nawet usunięte z urządzenia.

Sztuczka, którą wymyślili, polega na tym, że zmieniasz prędkość, z jaką się przełącza, i wykrywasz zmiany w częstotliwości przełączania.

Wyobraź sobie, że jeśli chcesz obniżyć napięcie (jeśli chcesz, powiedzmy, obniżyć 12 V do 4 V), fala prostokątna będzie włączona przez jedną trzecią czasu i wyłączona przez dwie trzecie czasu.

Jeśli chcesz 2 V, musisz odpowiednio zmienić współczynnik.

Okazuje się, że nowoczesne procesory zmieniają zarówno częstotliwość, jak i napięcie, aby zarządzać mocą i przegrzaniem.

Tak więc, zmieniając obciążenie procesora na jednym lub kilku rdzeniach procesora — po prostu przyspieszając zadania i spowalniając zadania ze stosunkowo niską częstotliwością, między 5000 a 8000 razy na sekundę — byli w stanie uzyskać przełączany tryb zasilacz do *przełączania trybów przełączania* przy tych niskich częstotliwościach.

A to generowało emanacje radiowe o bardzo niskiej częstotliwości ze śladów obwodów lub dowolnego drutu miedzianego w zasilaczu.

I byli w stanie wykryć te emanacje za pomocą anteny radiowej, która nie była bardziej wyrafinowana niż zwykła pętla z drutu!

Więc co robisz z pętlą drucianą?

Cóż, udawaj, Doug, że to kabel mikrofonu albo kabel słuchawek.

Podłączasz go do gniazda audio 3.5 mm i podłączasz do telefonu komórkowego, jak zestaw słuchawek…

---

DOUG.  Wow.

---

KACZKA.  Nagrywasz sygnał audio, który jest generowany z pętli przewodowej – ponieważ sygnał audio jest w zasadzie cyfrową reprezentacją sygnału radiowego o bardzo niskiej częstotliwości, który odebrałeś.

Byli w stanie wyodrębnić z niego dane z szybkością od 100 bitów na sekundę, gdy korzystali z laptopa, 200 bitów na sekundę z Raspberry Pi i gdziekolwiek do 1000 bitów na sekundę, przy bardzo niskim poziomie błędów, od komputery stacjonarne.

Możesz uzyskać takie rzeczy, jak klucze AES, klucze RSA, a nawet małe pliki danych z taką prędkością.

Pomyślałam, że to fascynująca historia.

Jeśli prowadzisz bezpieczny obszar, zdecydowanie chcesz nadążyć za tymi rzeczami, ponieważ jak mówi stare powiedzenie: „Ataki stają się coraz lepsze lub mądrzejsze”.

---

DOUG.  I niższa technologia. [ŚMIECH]

Wszystko jest cyfrowe, z wyjątkiem tego wycieku analogowego, który jest używany do kradzieży kluczy AES.

To jest fascynujące!

---

KACZKA.  To tylko przypomnienie, że musisz pomyśleć o tym, co znajduje się po drugiej stronie bezpiecznej ściany, ponieważ „co jest poza zasięgiem wzroku, niekoniecznie oznacza, że ​​​​znika z umysłu”.

---

DOUG.  Cóż, to ładnie pasuje do naszego ostateczna historia – coś, co jest poza zasięgiem wzroku, ale nie z umysłu:

Skiming kart kredytowych – długa i kręta droga awarii łańcucha dostaw

Jeśli kiedykolwiek tworzyłeś stronę internetową, wiesz, że możesz umieścić tam kod analityczny – małą linijkę JavaScript – aby Google Analytics lub podobne firmy mogły zobaczyć, jak radzą sobie Twoje statystyki.

Na początku 2010 roku istniała bezpłatna firma analityczna o nazwie Cockpit, więc ludzie umieszczali ten kod Cockpit – ten mały wiersz JavaScript – na swoich stronach internetowych.

Ale Cockpit został zamknięty w 2014 roku i pozwolił wygasnąć nazwie domeny.

A potem, w 2021 r., cyberprzestępcy pomyśleli: „Niektóre witryny e-commerce nadal umożliwiają uruchamianie tego kodu; nadal nazywają to JavaScript. Dlaczego po prostu nie wykupimy nazwy domeny, a następnie będziemy mogli wstrzykiwać cokolwiek chcemy do tych witryn, które wciąż nie usunęły tego wiersza kodu JavaScript?”

---

KACZKA.  Tak.

Co może pójść dobrze, Doug?

---

DOUG.  [ŚMIECH] Dokładnie!

---

KACZKA.  Siedem lat!

Mieliby wpis we wszystkich swoich dziennikach testów mówiący: Could not source the file cockpit.js (czy cokolwiek to było) from site cockpit.jp, myślę, że było.

Tak więc, jak mówisz, kiedy oszuści ponownie zapalili domenę i zaczęli umieszczać tam pliki, aby zobaczyć, co się stanie…

… zauważyli, że wiele witryn handlu elektronicznego po prostu ślepo i szczęśliwie konsumowało i wykonywało kod JavaScript oszustów w przeglądarkach internetowych ich klientów.

---

DOUG.  [LUAGHING] „Hej, moja witryna nie zgłasza już błędu, działa”.

---

KACZKA.  [NIEWIERAJĄCY] „Musieli to naprawić”… dla pewnego szczególnego zrozumienia słowa „naprawiony”, Doug.

Oczywiście, jeśli możesz wstrzyknąć dowolny kod JavaScript do czyjejś strony internetowej, możesz praktycznie sprawić, by ta strona robiła wszystko, co chcesz.

A jeśli w szczególności kierujesz reklamy na witryny handlu elektronicznego, możesz ustawić kod zasadniczo spyware, aby wyszukiwał określone strony, które mają określone formularze internetowe z określonymi nazwanymi polami…

…jak numer paszportu, numer karty kredytowej, CVV, cokolwiek to jest.

I możesz po prostu wyssać wszystkie niezaszyfrowane poufne dane, dane osobowe, które wprowadza użytkownik.

Nie przeszedł jeszcze procesu szyfrowania HTTPS, więc wysysasz go z przeglądarki, szyfrujesz go HTTPS *sam* i wysyłasz do bazy danych prowadzonej przez oszustów.

I oczywiście inną rzeczą, którą możesz zrobić, jest aktywne modyfikowanie stron internetowych po ich przybyciu.

Możesz więc zwabić kogoś na stronę internetową – taką, która jest *właściwą* witryną; jest to witryna, którą odwiedzili wcześniej i której mogą zaufać (lub myślą, że mogą zaufać).

Jeśli na tej stronie znajduje się formularz internetowy, który, powiedzmy, zwykle prosi o podanie nazwiska i numeru referencyjnego konta, cóż, po prostu wpisujesz kilka dodatkowych pól, a biorąc pod uwagę, że dana osoba już ufa witrynie…

… jeśli powiesz imię i nazwisko, dowód osobisty i [dodasz] datę urodzenia?

Jest bardzo prawdopodobne, że zamierzają po prostu wpisać swoją datę urodzenia, ponieważ myślą: „Przypuszczam, że to część ich weryfikacji tożsamości”.

---

DOUG.  To jest do uniknięcia.

Mógłbyś zacząć od przeglądanie internetowych powiązań łańcucha dostaw.

---

KACZKA.  Tak.

Może raz na siedem lat byłoby na początek? [ŚMIECH]

Jeśli nie patrzysz, to naprawdę jesteś częścią problemu, a nie częścią rozwiązania.

---

DOUG.  Można też, no nie wiem... sprawdź swoje logi?

---

KACZKA.  Tak.

Znowu, raz na siedem lat może być początek?

Pozwólcie, że powiem tylko to, co mówiliśmy wcześniej w podcaście, Doug…

…jeśli zamierzasz zbierać dzienniki, na które nigdy nie patrzysz, *po prostu nie przejmuj się ich zbieraniem*.

Przestań się oszukiwać i nie zbieraj danych.

Ponieważ tak naprawdę najlepszą rzeczą, jaka może się przydarzyć danym, jeśli je zbierasz i nie patrzysz na nie, jest to, że niewłaściwi ludzie nie dostaną się do nich przez pomyłkę.

---

DOUG.  Potem oczywiście regularnie wykonuj transakcje testowe.

---

KACZKA.  Czy powinienem powiedzieć: „Raz na siedem lat to dobry początek”? [ŚMIECH]

---

DOUG.  Oczywiście, tak… [WRY] Przypuszczam, że to może być wystarczająco regularne.

---

KACZKA.  Jeśli jesteś firmą e-commerce i oczekujesz, że użytkownicy odwiedzą Twoją witrynę, przyzwyczają się do określonego wyglądu i będą mu ufać…

…to jesteś im winien sprawdzenie, czy wygląd i działanie są prawidłowe.

Regularnie i często.

To takie proste.

---

DOUG.  Ok bardzo dobrze.

A gdy program zaczyna się kończyć, posłuchajmy jednego z naszych czytelników na temat tej historii.

Larry komentuje:

Przejrzyj swoje internetowe powiązania łańcucha dostaw?

Szkoda, że ​​firma Epic Software nie zrobiła tego przed wysłaniem błędu śledzenia Meta do wszystkich swoich klientów.

Jestem przekonany, że pojawiła się nowa generacja programistów, którzy myślą, że programowanie polega na znajdowaniu fragmentów kodu w dowolnym miejscu w Internecie i bezkrytycznym wklejaniu ich do swojego produktu pracy.

---

KACZKA.  Gdybyśmy tylko nie tworzyli takiego kodu…

… gdziekolwiek pójdziesz, „Wiem, że skorzystam z tej biblioteki; Po prostu pobiorę go z tej fantastycznej strony GitHub, którą znalazłem.

Och, potrzebuje całej masy innych rzeczy!?

Och, spójrz, może automatycznie spełnić wymagania… cóż, w takim razie po prostu to zróbmy!”

Niestety, musisz *posiadać swój łańcuch dostaw*, a to oznacza zrozumienie wszystkiego, co się z nim wiąże.

Jeśli myślisz o zestawieniu materiałów oprogramowania [SBoM], jezdni, gdzie myślisz: „Tak, wymienię wszystko, czego używam”, nie wystarczy wymienić pierwszego poziomu rzeczy, których używasz.

Musisz także wiedzieć i być w stanie udokumentować, i wiedzieć, że możesz ufać, wszystkie rzeczy, od których te rzeczy zależą, i tak dalej, i tak dalej:

Małe pchły mają mniejsze pchły na plecach, żeby je ugryźć. A mniejsze pchły mają mniejsze pchły. I tak w nieskończoność.

*W ten sposób* musisz ścigać swój łańcuch dostaw!

---

DOUG.  Dobrze powiedziane!

W porządku, bardzo dziękuję, Larry, za przesłanie tego komentarza.

Jeśli masz ciekawą historię, komentarz lub pytanie, które chcesz przesłać, z przyjemnością przeczytamy je w podcaście.

Możesz wysłać e-maila na adres tips@sophos.com, skomentować dowolny z naszych artykułów lub napisać do nas w serwisie społecznościowym: @NakedSecurity.

To nasz program na dzisiaj; bardzo dziękuję za wysłuchanie.

Dla Paula Ducklina jestem Doug Aamoth i przypominam, aż do następnego razu…

---

OBIE.  Bądź bezpieczny!

[MOM MUZYCZNY]