![S3 Ep113: Windows çekirdeğini ele geçirmek – Microsoft [Ses + Metin] PlatoBlockchain Veri Zekasını kandıran dolandırıcılar. Dikey Arama. Ai.](https://platoblockchain.com/wp-content/uploads/2022/12/s3-ep113-1200.png "S3 Ep113: Windows çekirdeğini çalmak – Microsoft'u aldatan dolandırıcılar [Ses + Metin]")
WINDOWS KERNELİNİ PYNLEMEK
Herhangi bir noktaya atlamak için aşağıdaki ses dalgalarına tıklayın ve sürükleyin. Ayrıca doğrudan dinle Soundcloud'da.
Doug Aamoth ve Paul Ducklin ile. Giriş ve çıkış müziği Edith Çamur.
adresinden bizi dinleyebilirsiniz. Soundcloud, Apple Podcast'leri, Google Podcast'ler, Spotify, dikiş ve iyi podcast'lerin bulunduğu her yerde. Ya da sadece bırak RSS beslememizin URL'si en sevdiğiniz podcatcher'a girin.
TRANSKRİPTİ OKUYUN
DOUG. Kablosuz casus yazılım, kredi kartı taraması ve bolca yama.
Hepsi ve daha fazlası Naked Security podcast'inde.
[MÜZİKAL MODEM]
Podcast'e hoş geldiniz millet.
Ben Doug Aamoth'um; o Paul Ducklin'dir.
Paul, nasılsın?
ÖRDEK. Ben çok iyiyim, Doug.
Soğuk ama iyi.
DOUG. Burası da buz gibi ve herkes hasta… ama bu sizin için Aralık ayı.
Aralıktan bahsetmişken, gösteriye bizimkiyle başlamak istiyoruz. Teknoloji Tarihinde Bu Hafta segmenti.
Bu hafta heyecan verici bir girişimiz var – 16 Aralık 2003'te CAN-SPAM Yasası, o zamanki ABD Başkanı George W. Bush tarafından imzalanarak yasalaştı.
için bir arka plan İstenmeyen pornografi ve pazarlama saldırılarının kontrol edilmesi, CAN-SPAM, alıcıların pazarlama e-postası almak için onayını gerektirmemesi ve bireylerin spam gönderenleri dava etmesine izin vermemesi gibi nedenlerle nispeten güçsüz olarak görülüyordu.
2004 yılına gelindiğinde, istenmeyen e-postaların %1'inden daha azının aslında Yasaya uygun olduğuna inanılıyordu.
ÖRDEK. Evet, bunu geriye dönüp bakarak söylemek kolay…
…ama o sırada bazılarımızın şaka yaptığı gibi, buna CAN-SPAM dediklerini düşündük çünkü *tam olarak* yapabileceğiniz şey buydu. [Kahkahalar]
DOUG. "Spam YAPABİLİRSİNİZ!"
ÖRDEK. Sanırım fikir şuydu: "Çok yumuşak-yumuşak bir yaklaşımla başlayalım."
[WRY TONE] Yani bu başlangıçtı, kuşkusuz, o kadar da değil.
DOUG. [GÜLER] Eninde sonunda oraya varacağız.
Kötü ve daha kötüsünden bahsetmişken…
…Microsoft Yaması Salı – bir tane saymazsanız burada görülecek bir şey yok imzalı kötü amaçlı çekirdek sürücüsü?!
İmzalı sürücü kötü amaçlı yazılımı, yazılım güven zincirinde yukarı çıkar
ÖRDEK. Pekala, aslında birkaç tane - Sophos Hızlı Müdahale ekibi yaptıkları anlaşmalarda bu eserleri buldu.
Sadece Sophos değil – en az iki diğer siber güvenlik araştırma grubu, Microsoft tarafından son zamanlarda bu tür şeylere tesadüfen rastlamış olarak listeleniyor: Microsoft tarafından fiilen dijital bir onay mührü verilen çekirdek sürücüleri.
Microsoft'un artık hileli ortakları suçlayan bir danışma belgesi var.
Özellikle tehlikeli çekirdek sürücülerini sinsice sızdırmak amacıyla sürücü programına katılmak için donanım yapıyormuş gibi davranan bir şirket yaratıp yaratmadıkları?
Ya da zaten programın bir parçası olan bir şirkete onlarla top oynamak için rüşvet mi verdiler?
Veya Microsoft'a "Hey, bu çekirdek sürücüsünü üretmemiz gerekiyor - onaylayacak mısınız?"
Sertifikalı çekirdek sürücüleriyle ilgili sorun elbette Microsoft tarafından imzalanmaları gerektiği ve Windows'ta sürücü imzalamanın zorunlu olması nedeniyle, çekirdek sürücünüzü imzalatabilirseniz bilgisayar korsanlarına veya güvenlik açıklarına ihtiyacınız olmayacağı anlamına gelir. bir siber saldırının parçası olarak birini yükleyebilmek için istismarlar.
Sadece sürücüyü kurabilirsiniz ve sistem, “Pekala, imzalandı. Bu nedenle yüklenmesine izin verilir.”
Ve tabii ki, çekirdeğin içindeyken, "yalnızca" Yönetici olduğunuzda yapabileceğinizden çok daha fazla hasar verebilirsiniz.
Özellikle, süreç yönetimine içeriden erişim elde edersiniz.
Bir yönetici olarak, "XYZ programını öldürmek istiyorum" diyen bir program çalıştırabilirsiniz; bu, örneğin bir anti-virüs veya tehdit avlama aracı olabilir.
Ve bu program kapatılmaya direnebilir, çünkü onun da yönetici düzeyinde olduğu varsayıldığında, hiçbir işlem diğerine kesinlikle üstünlük iddia edemez.
Ancak işletim sisteminin içindeyseniz, başlatma ve bitirme işlemleriyle ilgilenen işletim sistemidir, bu nedenle güvenlik yazılımı gibi şeyleri öldürmek için çok daha fazla güç elde edersiniz…
...ve görünüşe göre bu dolandırıcıların yaptığı da tam olarak buydu.
"Tarih tekerrür ediyor" diye hatırlıyorum, yıllar ve yıllar önce, dolandırıcıların güvenlik programlarını sonlandırmak için kullandıkları yazılımları araştırdığımızda, genellikle öldürmek istedikleri 100 ila 200 işlemden oluşan listeleri olurdu: işletim sistemi süreçler, 20 farklı satıcıdan anti-virüs programları, tüm bu tür şeyler.
Ve bu sefer, sürücülerinin öldürmek için orada olduğu 186 program olduğunu düşünüyorum.
Yani Microsoft için biraz utanç verici.
Neyse ki, şimdi bu hilekar kodlayıcıları geliştirici programlarından kovdular ve en azından bilinen tüm tehlikeli sürücüleri engelleme listesine aldılar.
DOUG. Yani hepsi bu değildi Yama Salı günü açıklandı.
Ayrıca bazı sıfır gün, bazı RCE hataları ve bu türden başka şeyler de vardı:
Salı Yaması: 0 gün, RCE hataları ve imzalı kötü amaçlı yazılımla ilgili ilginç bir hikaye
ÖRDEK. Evet.
Neyse ki bu ay düzeltilen sıfır gün hataları, RCE olarak bilinen hatalar değildi veya uzaktan kod yürütülmesi delikleri.
Bu nedenle, dışarıdan saldırganlara yalnızca ağınıza girip istedikleri her şeyi çalıştırmaları için doğrudan bir yol vermediler.
Ancak DirectX'te, zaten bilgisayarınızda olan birinin temel olarak kendisini çekirdek düzeyinde güçlere sahip olarak tanıtmasına izin veren bir çekirdek sürücüsü hatası vardı.
Yani bu biraz kendi imzalı sürücünüzü getirmek gibi bir şey – onu yükleyebileceğinizi *biliyorsunuz*.
Bu durumda, güvenilir bir sürücüdeki bir hatadan yararlanırsınız ve bu, çekirdeğin içinde bir şeyler yapmanıza izin verir.
Açıkçası, bu zaten kötü haber olan bir siber saldırıyı çok, çok daha kötü bir şeye dönüştüren türden bir şey.
Yani kesinlikle buna karşı yama yapmak istiyorsunuz.
Şaşırtıcı bir şekilde, bunun yalnızca en son yapı için geçerli olduğu görülüyor, yani 2022H2 (yılın ikinci yarısı Windows 2'in H11'nin açılımıdır).
Kesinlikle buna sahip olduğunuzdan emin olmak istersiniz.
Ve temelde Windows filtreleme aracı olan Windows SmartScreen'de ilgi çekici bir hata vardı ve tehlikeli olabilecek veya tehlikeli olabilecek bir şeyi indirmeye çalıştığınızda size bir uyarı veriyor.
Yani, açıkçası, dolandırıcılar, “Oh, hayır! Bu kötü amaçlı yazılım saldırısını aldık ve gerçekten iyi çalışıyordu, ancak şimdi Akıllı Ekran bunu engelliyor, ne yapacağız?”…
…ya kaçıp tamamen yeni bir saldırı düzenleyebilirler ya da uyarının ortaya çıkmaması için Smart Screen'den kaçmalarına olanak tanıyan bir güvenlik açığı bulabilirler.
CVE-2022-44698'de olan da tam olarak buydu, Douglas.
Yani, bunlar sıfır günlerdir.
Söylediğiniz gibi, karışımda bazı uzaktan kod yürütme hataları var, ancak bunların hiçbirinin vahşi olduğu bilinmiyor.
Bunlara karşı yama yaparsanız, sadece yetişmek yerine dolandırıcıların önüne geçersiniz.
DOUG. Tamam, yamalar konusunda kalalım…
…ve bunun ilk kısmını seviyorum başlık.
Sadece "Apple her şeyi yamalar" diyor:
Apple her şeyi yamalar, sonunda iOS 16.1.2'nin gizemini ortaya çıkarır
ÖRDEK. Evet, tüm işletim sistemlerini 70 veya daha az karakterle listelemenin bir yolunu düşünemedim. [Kahkahalar]
Ben de "Eh, bu tam anlamıyla her şey" diye düşündüm.
Ve sorun şu ki, en son bir Apple güncellemesi hakkında yazdığımızda, sadece iOS (iPhone'lar) ve yalnızca iOS 16.1.2:
Apple, her zamankinden daha sıkı olan iOS güvenlik güncellemesini yayınladı
Peki, iOS 15'e sahip olsaydınız ne yapardınız?
Risk altında mıydın?
Güncellemeyi daha sonra mı alacaksınız?
Bu kez son güncellemeyle ilgili haberler nihayet gündemdeydi.
Görünüşe göre Doug, iOS 16.1.2 güncellemesini almamızın nedeni, artık CVE-2022-42856 olarak bilinen vahşi bir istismar olması ve bu web işleme motoru WebKit'teki bir hataydı. Apple'ın işletim sistemlerinin içinde.
Ve görünüşe göre bu hata, sizi bubi tuzaklı bazı içerikleri görüntülemeye ikna ederek tetiklenebilir. arabayla yükleme, bir sayfaya baktığınız ve arka planda "Aman Tanrım" dediğiniz yerde kötü amaçlı yazılım yüklenir.
Şimdi, görünüşe göre, bulunan istismar sadece iOS'ta çalıştı.
MacOS (desteklenen üç sürümün tümü), tvOS, iPadOS… hepsi aslında bu hatayı içermesine rağmen, muhtemelen Apple'ın diğer tüm platformlar için güncellemeleri aceleye getirmemesinin nedeni budur.
Görünüşe göre, olmayan tek sistem watchOS idi.
Yani, bu hata Apple'ın hemen hemen tüm yazılımındaydı, ancak görünüşe göre, bildikleri kadarıyla, iOS'ta vahşi bir istismar yoluyla yalnızca istismar edilebilirdi.
Ama şimdi, tuhaf bir şekilde, "Yalnızca 15.1'den önceki iOS'lerde" diyorlar, bu da "O halde neden iOS 15 için bir güncelleme çıkarmadılar?"
Biz sadece bilmiyoruz!
Belki de iOS 16.1.2'yi çıkarırlarsa, iOS 15'teki bazı kişilerin yine de güncelleme yapacağını ve bunun onlar için sorunu çözeceğini umuyorlardı?
Veya belki de henüz iOS 16'nın savunmasız olmadığından emin değillerdi ve güncellemeyi yayınlamak (ki bunun için iyi tanımlanmış bir süreçleri var), hatanın oluşturup oluşturmayacağını belirlemek için yeterli test yapmaktan daha hızlı ve kolaydı. iOS 16'da kolayca istismar edilemez.
Muhtemelen asla bilemeyeceğiz Doug, ama tüm bunların içinde oldukça büyüleyici bir arka plan hikayesi var!
Ama gerçekten de dediğiniz gibi üzerinde Apple logosu olan bir ürünü olan herkes için bir güncelleme var.
Öyleyse: Ertelemeyin/Bugün yapın.
DOUG. Ben-Gurion Üniversitesi'ndeki arkadaşlarımıza geçelim… yine iş başındalar.
Bazı kablosuz casus yazılımlar geliştirdiler - şık bir küçük kablosuz casus yazılım hilesi:
COVID-bit: Talihsiz bir ada sahip kablosuz casus yazılım hilesi
ÖRDEK. Evet… Adından emin değilim; Orada ne düşündüklerini bilmiyorum.
Onu aradılar COVID-bit.
DOUG. Biraz tuhaf.
ÖRDEK. Sanırım hepimiz bir şekilde COVID tarafından ısırıldık…
DOUG. Belki de bu kadardır?
ÖRDEK. The COV durmak içindir gizli, ve ne demiyorlar ID-bit anlamına gelir.
Bunun “azar azar bilgi ifşası” olabileceğini tahmin ettim ama yine de büyüleyici bir hikaye.
Bu Bölümün yaptığı araştırma hakkında yazmayı seviyoruz çünkü çoğumuz için biraz varsayımsal olsa da…
…kasıtlı olarak diğer her şeyden ayrı tuttuğunuz güvenli bir ağ çalıştırdığınız ağ hava boşluklarını nasıl ihlal edeceklerine bakıyorlar.
Yani, çoğumuz için bu büyük bir sorun değil, en azından evde.
Ama baktıkları şey şu ki *bir ağı diğerinden fiziksel olarak kapatsanız bile* ve bu günlerde tüm kablosuz kartları, Bluetooth kartlarını, Yakın Alan İletişim kartlarını söküp sökün veya kabloları kesip kırın çalışan herhangi bir kablosuz bağlantıyı durdurmak için devre kartındaki devre izleri…
…Güvenli alana tek seferlik erişim sağlayan bir saldırganın veya yozlaşmış bir içeriden gelen kişinin verileri büyük ölçüde izlenemez bir şekilde sızdırmasının hâlâ bir yolu var mı?
Ve ne yazık ki, bir bilgisayar ekipmanı ağını diğerinden tamamen izole etmenin sandığınızdan çok daha zor olduğu ortaya çıktı.
Düzenli okuyucular, bu adamların daha önce ortaya attığı bir sürü şey hakkında yazdığımızı bileceklerdir.
Bir cep telefonunu gerçekten yeniden kullandığınız GAIROSCOPE'a sahipler. pusula çipi düşük kaliteli bir mikrofon olarak.
DOUG. [GÜLER] Şunu hatırlıyorum:
Hava boşluğu güvenliğini ihlal etmek: telefonunuzun jiroskopunu mikrofon olarak kullanmak
ÖRDEK. Çünkü o çipler titreşimleri yeterince iyi algılayabiliyor.
Güvenli alan içindeki kablolu bir ağa sinyalleri koyduğunuz LANTENNA'ya sahipler ve ağ kabloları aslında minyatür radyo istasyonları.
Güvenli alanın dışından yakalayabileceğiniz kadar elektromanyetik radyasyon sızdırıyorlar, bu nedenle kablosuz verici olarak kablolu bir ağ kullanıyorlar.
Ve şaka yollu FANSMITTER dedikleri bir şeyleri vardı, oraya gidersiniz, "Pekala, sesli sinyal verebilir miyiz? Açıkçası, [çevirme sesleri] bip-bip-bip-bip-bip gibi melodileri hoparlörden çalarsak, oldukça açık olacaktır.
Peki ya CPU yükünü değiştirirsek, böylece fan hızlanır ve yavaşlar - kullanabilir miyiz? fan hızında değişiklik neredeyse bir çeşit semafor sinyali gibi mi?
Ve bu son saldırıda, "Dünyadaki hemen hemen her bilgisayarın içindeki bir şeyi, yeterince masum görünen bir şeyi başka türlü nasıl çevirebiliriz... Onu çok, çok düşük güçlü bir radyo istasyonuna nasıl dönüştürebiliriz?"
Ve bu durumda, bunu güç kaynağını kullanarak yapabildiler.
Bunu bir Raspberry Pi'de, bir Dell dizüstü bilgisayarda ve çeşitli masaüstü bilgisayarlarda yapabildiler.
Bilgisayarın kendi güç kaynağını kullanıyorlar, bu da temelde çok, çok yüksek frekanslı DC anahtarlama yaparak bir DC voltajını kesmek için, genellikle onu saniyede yüz binlerce veya milyonlarca kez azaltmak için.
Elektromanyetik radyasyonu - bir cep telefonunda 2 metreye kadar yakalayabilecekleri radyo dalgalarını - sızdırmanın bir yolunu buldular…
…o cep telefonunun tüm kablosuz özellikleri kapatılmış, hatta cihazdan çıkarılmış olsa bile.
Buldukları numara şuydu: geçiş yaptığı hızı değiştiriyorsunuz ve anahtarlama frekansındaki değişiklikleri tespit ediyorsunuz.
Daha düşük bir voltaj istiyorsanız (diyelim ki 12V'u 4V'a düşürmek istiyorsanız), kare dalga zamanın üçte biri boyunca açık ve üçte ikisi için kapalı olacaktır.
2V istiyorsanız, oranı buna göre değiştirmelisiniz.
Ve modern CPU'ların gücü ve aşırı ısınmayı yönetmek için hem frekanslarını hem de voltajlarını değiştirdiği ortaya çıktı.
Böylece, CPU'daki bir veya daha fazla çekirdek üzerindeki CPU yükünü değiştirerek - sadece görevleri hızlandırarak ve görevleri nispeten düşük bir frekansta, saniyede 5000 ila 8000 kez azaltarak - anahtarlamalı moda geçmeyi başardılar. bu düşük frekanslarda *anahtarlama modlarını değiştirmek* için güç kaynağı.
Ve bu, devre izlerinden veya güç kaynağındaki herhangi bir bakır telden çok düşük frekanslı radyo yayılımları üretti.
Ve basit bir tel halkadan daha karmaşık olmayan bir radyo anteni kullanarak bu yayılımları tespit edebildiler!
Peki, bir tel döngü ile ne yaparsınız?
Doug, bunun bir mikrofon kablosu ya da kulaklık kablosu olduğunu farz et.
3.5 mm ses jakına bağlıyorsunuz ve bir kulaklık seti gibi cep telefonunuza takıyorsunuz…
DOUG. Vay.
ÖRDEK. Kablo döngüsünden üretilen ses sinyalini kaydedersiniz – çünkü ses sinyali temel olarak aldığınız çok düşük frekanslı radyo sinyalinin dijital bir temsilidir.
Dizüstü bilgisayar kullanırken saniyede 100 bit, Raspberry Pi ile saniyede 200 bit ve çok düşük bir hata oranıyla saniyede 1000 bit arasında herhangi bir hızda ondan veri çıkarabildiler. masaüstü bilgisayarlar.
AES anahtarları, RSA anahtarları gibi şeyleri, hatta küçük veri dosyalarını bile bu tür bir hızda alabilirsiniz.
Bunun büyüleyici bir hikaye olduğunu düşündüm.
Güvenli bir bölge işletiyorsanız, kesinlikle buna ayak uydurmak istersiniz, çünkü eski bir deyişin dediği gibi, "Saldırılar yalnızca daha iyi veya daha akıllı hale gelir."
DOUG. Ve daha düşük teknoloji. [Kahkahalar]
AES anahtarlarını çalmak için kullanılan bu analog sızıntı dışında her şey dijital.
Büyüleyici!
ÖRDEK. Güvenli duvarın diğer tarafında ne olduğunu düşünmeniz gerektiğine dair bir hatırlatma, çünkü "gözden ırak olmak kesinlikle akıldan ırak olmak anlamına gelmez."
DOUG. Pekala, bu bizim işimize güzel bir şekilde uyuyor son hikaye Gözden ırak ama akıldan ırak olmayan bir şey:
Kredi kartı kaymağı – tedarik zinciri başarısızlığının uzun ve dolambaçlı yolu
Daha önce bir web sayfası oluşturduysanız, istatistiklerinizin ne durumda olduğunu görmek için oraya Google Analytics veya onun gibi şirketler için analitik kodu - küçük bir JavaScript satırı - bırakabileceğinizi bilirsiniz.
2010'ların başında Cockpit adında ücretsiz bir analiz şirketi vardı ve bu nedenle insanlar web sayfalarına bu Cockpit kodunu - bu küçük JavaScript satırını - koyuyorlardı.
Ancak Kokpit 2014'te kapandı ve alan adının geçerliliğini yitirmesine izin verdi.
Ardından, 2021'de siber suçlular, "Bazı e-ticaret siteleri hala bu kodun çalışmasına izin veriyor; hala bu JavaScript'i çağırıyorlar. Neden sadece alan adını satın almıyoruz ve sonra bu JavaScript satırını hala kaldırmamış olan bu sitelere istediğimizi enjekte etmiyoruz?”
ÖRDEK. Evet.
Neyin yolunda gitmesi mümkün, Doug?
DOUG. [GÜLER] Kesinlikle!
ÖRDEK. Yedi yıl!
Tüm test günlüklerinde şöyle bir giriş yapmış olacaklardı: Could not source the file cockpit.js (ya da her neyse) from site cockpit.jp, Sanırım öyleydi.
Yani, sizin de söylediğiniz gibi, dolandırıcılar alan adını yeniden aydınlatıp ne olacağını görmek için dosyaları oraya koymaya başladıklarında...
…bir sürü e-ticaret sitesinin dolandırıcıların JavaScript kodunu müşterilerinin web tarayıcılarında körü körüne ve mutlu bir şekilde tükettiğini ve çalıştırdığını fark ettiler.
DOUG. [LUAGHING] "Hey, sitem artık hata vermiyor, çalışıyor."
ÖRDEK. [İNANILMAZ] "Düzeltmiş olmalılar"... "düzeltildi" kelimesinin özel bir anlayışı için, Doug.
Elbette, birinin web sayfasına rastgele JavaScript enjekte edebilirseniz, o web sayfasının hemen hemen istediğiniz her şeyi yapmasını sağlayabilirsiniz.
Ve özellikle e-ticaret sitelerini hedefliyorsanız, üzerinde belirli adlandırılmış alanlar bulunan belirli web formlarına sahip belirli sayfaları aramak için temelde casus yazılım kodu olan şeyi ayarlayabilirsiniz...
…pasaport numarası, kredi kartı numarası, CVV, her neyse.
Ve temel olarak, kullanıcının girdiği tüm şifrelenmemiş gizli verileri, kişisel verileri emebilirsiniz.
Henüz HTTPS şifreleme sürecine girmedi, bu yüzden onu tarayıcıdan emersiniz, HTTPS ile *kendiniz* şifreler ve sahtekarlar tarafından yönetilen bir veritabanına gönderirsiniz.
Ve tabii ki yapabileceğiniz diğer şey, web sayfalarını geldiklerinde aktif olarak değiştirebilmenizdir.
Böylece birini bir web sitesine çekebilirsiniz - bu *doğru* web sitesidir; daha önce gittikleri, güvenebileceklerini bildikleri (veya güvenebileceklerini düşündükleri) bir web sitesidir.
Söz konusu sitede, örneğin, genellikle onlardan ad ve hesap referans numarası isteyen bir web formu varsa, pekala, fazladan birkaç alan girersiniz ve kişinin zaten siteye güvendiğini düşünürsek...
… isim, kimlik ve doğum tarihi [ekleyin] diyorsanız?
"Sanırım kimlik kontrolünün bir parçası" diye düşündükleri için doğum tarihlerini girecekler.
DOUG. Bu kaçınılabilir.
ile başlayabilirsin web tabanlı tedarik zinciri bağlantılarınızı gözden geçirme.
ÖRDEK. Evet.
Belki yedi yılda bir bir başlangıç olur? [Kahkahalar]
Eğer bakmıyorsan, o zaman gerçekten sorunun bir parçasısın, çözümün değil.
DOUG. Ayrıca, ah, bilmiyorum… günlüklerinizi kontrol edin?
ÖRDEK. Evet.
Yine her yedi yılda bir başlayabilir mi?
Daha önce podcast'te söylediklerimizi söylememe izin ver, Doug…
…hiç bakmadığınız günlükleri toplayacaksanız, *onları toplamakla hiç uğraşmayın*.
Kendinizi kandırmayı bırakın ve verileri toplamayın.
Çünkü, aslında, verileri topluyorsanız ve onlara bakmıyorsanız, başınıza gelebilecek en iyi şey, yanlış kişilerin yanlışlıkla ona ulaşmayacak olmasıdır.
DOUG. Ardından, elbette düzenli olarak test işlemleri gerçekleştirin.
ÖRDEK. “Yedi yılda bir başlangıç olur” mu demeliydim? [Kahkahalar]
DOUG. Tabii ki, evet… [WRY] bu yeterince normal olabilir sanırım.
ÖRDEK. Bir e-ticaret şirketiyseniz ve kullanıcılarınızın web sitenizi ziyaret etmesini, belirli bir görünüme ve hisse alışmasını ve ona güvenmesini bekliyorsanız…
…o zaman görünümün ve hissin doğru olduğunu test etmeyi onlara borçlusunuz.
Düzenli ve sık.
Bu kadar kolay.
DOUG. Tamam çok iyi.
Gösteri yavaşlamaya başladığında, bu hikayeyi okuyucularımızdan birinden dinleyelim.
Larry'nin yorumları:
Web tabanlı tedarik zinciri bağlantılarınızı gözden geçirin mi?
Keşke Epic Software bunu Meta izleme hatasını tüm müşterilerine göndermeden önce yapsaydı.
Geliştirmenin internette herhangi bir yerde kod parçaları bulmak ve bunları eleştirmeden iş ürünlerine yapıştırmak olduğunu düşünen yeni nesil geliştiriciler olduğuna inanıyorum.
ÖRDEK. Keşke böyle bir kod geliştirmeseydik…
…nereye giderseniz gidin, “Biliyorum, bu kütüphaneyi kullanacağım; Bulduğum bu harika GitHub sayfasından indireceğim.
Oh, bir sürü başka şeye ihtiyacı var!?
Oh, bak, gereksinimleri otomatik olarak karşılayabilir… peki, hadi bunu yapalım o zaman!"
Ne yazık ki, *tedarik zincirinizin sahibi olmanız* gerekir ve bu, onun içine giren her şeyi anlamak anlamına gelir.
Yazılım Malzeme Listesi [SBoM], karayolu, “Evet, kullandığım her şeyi listeleyeceğim” diye düşünüyorsanız, kullandığınız şeyleri sadece ilk seviyede listelemek yeterli değildir.
Ayrıca, bu şeylerin bağlı olduğu her şeyi bilmeniz, belgeleyebilmeniz ve güvenebileceğinizi bilmeniz gerekir, vb.
Küçük pirelerin sırtlarında daha az pire vardır onları ısırmak için Ve daha küçük pirelerin daha az pireleri vardır Ve böylece sonsuza kadar.
*İşte* tedarik zincirinizi takip etmeniz gerekiyor!
DOUG. İyi dedi!
Pekala, bu yorumu gönderdiğiniz için çok teşekkür ederim Larry.
Göndermek istediğiniz ilginç bir hikayeniz, yorumunuz veya sorunuz varsa, onu podcast'te okumaktan memnuniyet duyarız.
Tips@sophos.com adresine e-posta gönderebilir, makalelerimizden herhangi biri hakkında yorum yapabilir veya sosyal medyadan bize ulaşabilirsiniz: @NakedSecurity.
Bugünkü programımız bu; dinlediğiniz için çok teşekkürler.
Paul Ducklin için, ben Doug Aamoth, bir dahaki sefere kadar size şunu hatırlatıyorum...
HER İKİSİ DE. Güvende kalın!
[MÜZİKAL MODEM]
- 0 gün
- Apple
- Ben-Gurion Üniversitesi
- blockchain
- zeka
- cryptocurrency cüzdanlar
- kripto değişimi
- siber güvenlik
- siber suçluların
- Siber güvenlik
- Veri Kaybı
- iç güvenlik bakanlığı
- dijital cüzdanlar
- güvenlik duvarı
- iOS
- Kaspersky
- kötü amaçlı yazılım
- Mcafee
- Microsoft
- Çıplak Güvenlik
- Çıplak Güvenlik Podcast'ı
- NexBLOC
- Platon
- plato yapay zekası
- Plato Veri Zekası
- Plato Oyunu
- PlatoVeri
- plato oyunu
- podcast
- gizlilik
- kaymağını alma
- tedarik zinciri
- VPN
- güvenlik açığı
- web sitesi güvenliği
- zefirnet
- Zero Day
![S3 Ep117: Olmayan kripto krizi (ve Win 7'ye sonsuza kadar veda) [Ses + Metin]](https://platoblockchain.com/wp-content/uploads/2023/01/s3-ep117-the-crypto-crisis-that-wasnt-and-farewell-forever-to-win-7-audio-text-360x188.png "S3 Ep117: Olmayan kripto krizi (ve Win 7'ye sonsuza kadar veda) [Ses + Metin]")
![S3 Ep97: iPhone'unuz çalındı mı? Nasıl bilebilirsin? [Ses + Metin] PlatoBlockchain Veri Zekası. Dikey Arama. Ai.](https://platoblockchain.com/wp-content/uploads/2022/08/iph-1200-300x156.png "S3 Ep97: iPhone'unuz vuruldu mu? Nasıl bilebilirsin? [Ses + Metin]")
