S3 Ep113: Pwning nhân Windows – kẻ lừa đảo đã lừa Microsoft [Audio + Text]

Nhấp và kéo vào các sóng âm thanh bên dưới để chuyển đến bất kỳ điểm nào. Bạn cũng có thể nghe trực tiếp trên Soundcloud.

CHÓ.  Phần mềm gián điệp không dây, đọc trộm thẻ tín dụng và rất nhiều bản vá lỗi.

Tất cả những điều đó và hơn thế nữa, trên podcast Naked Security.

[CHẾ ĐỘ ÂM NHẠC]

Chào mừng mọi người đến với podcast.

Tôi là Doug Aamoth; anh ấy là Paul Ducklin.

Paul, bạn làm thế nào?

---

VỊT.  Tôi rất khỏe, Doug.

Lạnh, nhưng tốt.

---

CHÓ.  Ở đây cũng lạnh cóng và mọi người đều bị ốm… nhưng đó là tháng XNUMX đối với bạn.

Nói về tháng XNUMX, chúng tôi muốn bắt đầu chương trình với Tuần này trong Lịch sử Công nghệ phân khúc.

Chúng ta có một mục thú vị trong tuần này – vào ngày 16 tháng 2003 năm XNUMX, Đạo luật CAN-SPAM đã được Tổng thống Hoa Kỳ khi đó là George W. Bush ký thành luật.

Một từ viết tắt cho kiểm soát sự tấn công của nội dung khiêu dâm và tiếp thị không được yêu cầu, CAN-SPAM được coi là tương đối dễ hiểu vì những lý do như không yêu cầu sự đồng ý của người nhận để nhận email tiếp thị và không cho phép các cá nhân kiện những kẻ gửi thư rác.

Người ta tin rằng, vào năm 2004, chưa đến 1% thư rác thực sự tuân thủ Đạo luật.

---

VỊT.  Vâng, thật dễ dàng để nói điều này với nhận thức muộn màng…

…nhưng như một số người trong chúng tôi đã nói đùa vào thời điểm đó, chúng tôi cho rằng họ gọi đó là CAN-SPAM vì đó *chính xác* là những gì bạn có thể làm. [CƯỜI]

---

CHÓ.  “Bạn CÓ THỂ gửi thư rác!”

---

VỊT.  Tôi đoán ý tưởng là, “Hãy bắt đầu với một cách tiếp cận rất nhẹ nhàng.”

[WRY TONE] Vì vậy, phải thừa nhận rằng đó là sự khởi đầu, không nhiều như vậy.

---

CHÓ.  [CƯỜI] Cuối cùng thì chúng ta cũng sẽ đến đó.

Nói về xấu và tệ hơn…

…Microsoft Patch Tuesday – không có gì để xem ở đây, trừ khi bạn đếm một trình điều khiển hạt nhân độc hại đã ký?!

Phần mềm độc hại trình điều khiển đã ký di chuyển lên chuỗi tin cậy phần mềm

---

VỊT.  Chà, thực tế là có một số – nhóm Phản hồi nhanh của Sophos đã tìm thấy những đồ tạo tác này trong các cam kết mà họ đã làm.

Không chỉ Sophos - ít nhất hai nhóm nghiên cứu an ninh mạng khác được Microsoft liệt kê là đã tình cờ phát hiện ra những thứ này gần đây: trình điều khiển nhân đã được Microsoft cấp một con dấu phê duyệt kỹ thuật số một cách hiệu quả.

Microsoft hiện có một lời khuyên đó là đổ lỗi cho các đối tác lừa đảo.

Liệu họ có thực sự tạo ra một công ty giả vờ sản xuất phần cứng, đặc biệt là để tham gia chương trình trình điều khiển với ý định đánh lén các trình điều khiển nhân tinh vi hay không?

Hoặc liệu họ có hối lộ một công ty đã tham gia chương trình để chơi bóng với họ không?

Hoặc liệu họ có tấn công vào một công ty thậm chí không nhận ra rằng nó đang được sử dụng như một phương tiện để nói với Microsoft rằng, “Này, chúng tôi cần sản xuất trình điều khiển nhân này – bạn sẽ chứng nhận nó chứ?”…

Tất nhiên, vấn đề với trình điều khiển nhân được chứng nhận là do chúng phải được ký bởi Microsoft và vì việc ký trình điều khiển là bắt buộc trên Windows, điều đó có nghĩa là nếu bạn có thể ký trình điều khiển nhân của mình, bạn không cần hack hoặc lỗ hổng hoặc khai thác để có thể tải một như một phần của cuộc tấn công mạng.

Bạn chỉ cần cài đặt trình điều khiển và hệ thống sẽ thông báo: “Ồ, nó đã được ký. Do đó, nó được phép tải nó.”

Và tất nhiên, bạn có thể gây ra nhiều thiệt hại hơn khi ở bên trong kernel so với khi bạn “chỉ là” Quản trị viên.

Đáng chú ý, bạn có quyền truy cập nội bộ để quản lý quy trình.

Với tư cách là quản trị viên, bạn có thể chạy một chương trình có nội dung: “Tôi muốn hủy chương trình XYZ”, chẳng hạn như chương trình này có thể là một công cụ chống vi-rút hoặc tìm kiếm mối đe dọa.

Và chương trình đó có thể chống lại việc bị tắt, bởi vì, giả sử nó cũng ở cấp quản trị viên, thì không quá trình nào có thể hoàn toàn chiếm ưu thế so với quá trình kia.

Nhưng nếu bạn đang ở trong hệ điều hành, thì đó là hệ điều hành xử lý các quy trình bắt đầu và kết thúc, vì vậy bạn sẽ có nhiều sức mạnh hơn để loại bỏ những thứ như phần mềm bảo mật…

…và rõ ràng đó chính xác là những gì những kẻ lừa đảo đang làm.

Trong “lịch sử lặp lại”, tôi nhớ, nhiều năm trước, khi chúng tôi điều tra phần mềm mà kẻ gian đã sử dụng để chấm dứt các chương trình bảo mật, chúng thường có danh sách từ 100 đến 200 quy trình mà chúng muốn tiêu diệt: hệ điều hành các quy trình, chương trình chống vi-rút từ 20 nhà cung cấp khác nhau, tất cả những thứ đó.

Và lần này, tôi nghĩ đã có 186 chương trình mà trình điều khiển của họ đã ở đó để tiêu diệt.

Vì vậy, một chút bối rối cho Microsoft.

May mắn thay, giờ đây họ đã loại bỏ những lập trình viên giả mạo đó ra khỏi chương trình dành cho nhà phát triển của họ và họ đã đưa vào danh sách chặn ít nhất là tất cả những trình điều khiển tinh ranh đã biết.

---

CHÓ.  Vì vậy, đó không phải là tất cả tiết lộ vào Patch thứ ba.

Ngoài ra còn có một số zero-day, một số lỗi RCE và những thứ khác thuộc bản chất đó:

Bản vá thứ ba: 0 ngày, lỗi RCE và câu chuyện gây tò mò về phần mềm độc hại đã ký

---

VỊT.  Vâng.

May mắn thay, các lỗi zero-day đã được sửa trong tháng này không phải là thứ được gọi là RCE hoặc thực thi mã từ xa hố.

Vì vậy, họ đã không cung cấp một lộ trình trực tiếp cho những kẻ tấn công bên ngoài chỉ cần nhảy vào mạng của bạn và chạy bất cứ thứ gì họ muốn.

Nhưng có một lỗi trình điều khiển nhân trong DirectX cho phép ai đó về cơ bản đã ở trên máy tính của bạn tự quảng cáo mình có quyền hạn cấp nhân.

Vì vậy, điều đó hơi giống với việc mang trình điều khiển có chữ ký của riêng bạn – bạn *biết* bạn có thể tải trình điều khiển đó.

Trong trường hợp này, bạn khai thác một lỗi trong trình điều khiển đáng tin cậy và cho phép bạn thực hiện các công việc bên trong nhân.

Rõ ràng, đó là thứ khiến một cuộc tấn công mạng vốn đã là tin xấu trở thành một điều gì đó rất, rất tồi tệ hơn.

Vì vậy, bạn chắc chắn muốn vá chống lại điều đó.

Thú vị thay, có vẻ như điều đó chỉ áp dụng cho bản dựng mới nhất, tức là 2022H2 (nửa cuối năm là những gì H2 viết tắt) của Windows 11.

Bạn chắc chắn muốn chắc chắn rằng bạn đã có được điều đó.

Và có một lỗi hấp dẫn trong Windows SmartScreen, về cơ bản là công cụ lọc của Windows mà khi bạn thử và tải xuống thứ gì đó có thể hoặc nguy hiểm, sẽ đưa ra cảnh báo cho bạn.

Vì vậy, rõ ràng là nếu kẻ lừa đảo đã tìm thấy, “Ồ, không! Chúng tôi đã gặp phải cuộc tấn công bằng phần mềm độc hại này và nó hoạt động rất tốt, nhưng giờ Màn hình thông minh đang chặn nó, chúng tôi sẽ làm gì đây?”…

…hoặc họ có thể bỏ chạy và xây dựng một cuộc tấn công hoàn toàn mới hoặc họ có thể tìm thấy một lỗ hổng cho phép họ vượt qua Màn hình thông minh để cảnh báo không xuất hiện.

Và đó chính xác là những gì đã xảy ra trong CVE-2022-44698, Douglas.

Vì vậy, đó là những ngày không.

Như bạn đã nói, có một số lỗi thực thi mã từ xa trong hỗn hợp, nhưng không có lỗi nào được biết là có trong tự nhiên.

Nếu bạn khắc phục những điều đó, bạn sẽ vượt lên trước những kẻ lừa đảo, thay vì chỉ đơn thuần là bắt kịp.

---

CHÓ.  OK, hãy tiếp tục với chủ đề về các bản vá…

…và tôi thích phần đầu tiên của điều này tiêu đề.

Nó chỉ nói, “Apple vá mọi thứ”:

Apple vá mọi thứ, cuối cùng tiết lộ bí ẩn của iOS 16.1.2

---

VỊT.  Vâng, tôi không thể nghĩ ra cách liệt kê tất cả các hệ điều hành trong 70 ký tự hoặc ít hơn. [CƯỜI]

Vì vậy, tôi nghĩ, "Chà, đây thực sự là tất cả mọi thứ."

Và vấn đề là lần trước chúng tôi đã viết về một bản cập nhật của Apple, nó đã chỉ iOS (iPhone) và chỉ iOS 16.1.2:

Apple tung ra bản cập nhật bảo mật iOS kín tiếng hơn bao giờ hết

Vì vậy, nếu bạn có iOS 15, bạn sẽ làm gì?

Bạn có gặp rủi ro không?

Bạn sẽ nhận được bản cập nhật sau?

Lần này, tin tức về bản cập nhật cuối cùng cuối cùng cũng xuất hiện.

Doug, có vẻ như lý do chúng tôi nhận được bản cập nhật iOS 16.1.2 đó là do có một lỗ hổng khai thác tự nhiên, hiện được gọi là CVE-2022-42856 và đó là một lỗi trong WebKit, công cụ kết xuất web bên trong các hệ điều hành của Apple.

Và, rõ ràng, lỗi đó có thể được kích hoạt đơn giản bằng cách dụ bạn xem một số nội dung bị gài bẫy - nội dung được biết đến trong giao dịch là một cài đặt driveby, trong đó bạn chỉ cần lướt qua một trang và "Ồ, bạn ơi", trong nền, phần mềm độc hại đã được cài đặt.

Bây giờ, rõ ràng, việc khai thác được tìm thấy chỉ hoạt động trên iOS.

Đó có lẽ là lý do tại sao Apple không vội tung ra các bản cập nhật cho tất cả các nền tảng khác, mặc dù macOS (cả ba phiên bản được hỗ trợ), tvOS, iPadOS… đều thực sự chứa lỗi đó.

Rõ ràng, hệ thống duy nhất không có là watchOS.

Vì vậy, lỗi đó có trong hầu hết các phần mềm của Apple, nhưng dường như nó chỉ có thể khai thác được, theo như họ biết, thông qua một khai thác tự nhiên, trên iOS.

Nhưng bây giờ, thật kỳ lạ, họ đang nói, “Chỉ có trên iOS trước 15.1”, điều này khiến bạn thắc mắc, “Tại sao họ không đưa ra bản cập nhật cho iOS 15, trong trường hợp đó?”

Chúng tôi chỉ không biết!

Có lẽ họ đang hy vọng rằng nếu họ phát hành iOS 16.1.2, một số người trên iOS 15 sẽ cập nhật và điều đó sẽ khắc phục sự cố cho họ?

Hoặc có thể họ chưa chắc chắn rằng iOS 16 không dễ bị tấn công và việc đưa ra bản cập nhật (mà họ có một quy trình được xác định rõ ràng) sẽ nhanh chóng và dễ dàng hơn là thực hiện đủ thử nghiệm để xác định rằng lỗi đó không thể xảy ra' không bị khai thác trên iOS 16 một cách dễ dàng.

Có lẽ chúng ta sẽ không bao giờ biết, Doug, nhưng đó là một cốt truyện khá hấp dẫn trong tất cả những điều này!

Nhưng, thực sự, như bạn đã nói, có một bản cập nhật dành cho mọi người với sản phẩm có logo Apple trên đó.

Vì vậy: Đừng trì hoãn/Hãy làm ngay hôm nay.

---

CHÓ.  Hãy để chúng tôi chuyển sang những người bạn của chúng tôi tại Đại học Ben-Gurion… họ đã quay lại với nó một lần nữa.

Họ đã phát triển một số phần mềm gián điệp không dây – một chút tiện lợi lừa phần mềm gián điệp không dây:

COVID-bit: mánh khóe phần mềm gián điệp không dây có cái tên đáng tiếc

---

VỊT.  Vâng… Tôi không chắc về cái tên này; Tôi không biết họ đã nghĩ gì ở đó.

Họ đã gọi nó COVID-bit.

---

CHÓ.  Một chút kỳ lạ.

---

VỊT.  Tôi nghĩ rằng tất cả chúng ta đều đã bị COVID cắn bằng cách này hay cách khác…

---

CHÓ.  Có lẽ đó là nó?

---

VỊT.  Sản phẩm COV có nghĩa là để đại diện cho bí mật, và họ không nói những gì ID-bit là viết tắt của

Tôi đoán rằng nó có thể là "tiết lộ thông tin từng chút một", nhưng nó vẫn là một câu chuyện hấp dẫn.

Chúng tôi thích viết về nghiên cứu mà Bộ này thực hiện bởi vì, mặc dù đối với hầu hết chúng tôi, nó hơi mang tính giả thuyết…

…họ đang xem xét cách vi phạm khoảng cách mạng, đó là nơi bạn điều hành một mạng an toàn mà bạn cố tình tách biệt với mọi thứ khác.

Vì vậy, đối với hầu hết chúng ta, đó không phải là vấn đề lớn, ít nhất là ở nhà.

Nhưng những gì họ đang xem xét là *ngay cả khi bạn niêm phong một mạng với một mạng khác*, và ngày nay, hãy truy cập và lấy ra tất cả các thẻ không dây, thẻ Bluetooth, thẻ Giao tiếp trường gần hoặc cắt dây và phá vỡ dấu vết mạch trên bảng mạch để ngăn mọi kết nối không dây hoạt động…

…liệu có cách nào để kẻ tấn công có quyền truy cập một lần vào khu vực an toàn hoặc kẻ nội gián tham nhũng có thể làm rò rỉ dữ liệu theo cách không thể lần ra được không?

Và thật không may, hóa ra việc phong tỏa hoàn toàn một mạng thiết bị máy tính khỏi một mạng khác khó hơn nhiều so với bạn nghĩ.

Những độc giả thông thường sẽ biết rằng chúng tôi đã viết về vô số thứ mà những người này đã nghĩ ra trước đây.

Họ đã có GAIROSCOPE, đó là nơi bạn thực sự tái sử dụng điện thoại di động chíp la bàn như một micrô có độ trung thực thấp.

---

CHÓ.  [CƯỜI] Tôi nhớ câu đó:

Vi phạm bảo mật airgap: sử dụng con quay hồi chuyển của điện thoại làm micrô

---

VỊT.  Bởi vì những con chip đó chỉ có thể cảm nhận được rung động vừa đủ.

Họ đã có LANTENNA, đó là nơi bạn đặt tín hiệu trên mạng có dây bên trong khu vực an toàn và cáp mạng thực sự hoạt động như thu nhỏ đài phát thanh.

Chúng làm rò rỉ bức xạ điện từ vừa đủ mà bạn có thể phát hiện được bên ngoài khu vực an toàn, vì vậy chúng đang sử dụng mạng có dây làm bộ phát không dây.

Và họ có một thứ mà họ gọi đùa là FANSMITTER, đó là nơi bạn đến, “Chà, chúng ta có thể phát tín hiệu âm thanh không? Rõ ràng, nếu chúng ta chỉ phát các giai điệu qua loa, chẳng hạn như [tiếng quay số] bíp-bíp-bíp-bíp-bíp, thì điều đó sẽ khá rõ ràng.”

Nhưng điều gì sẽ xảy ra nếu chúng ta thay đổi tải CPU, để quạt tăng tốc và giảm tốc độ – chúng ta có thể sử dụng thay đổi tốc độ quạt gần giống như một loại tín hiệu semaphore?

Quạt máy tính của bạn có thể được sử dụng để theo dõi bạn không?

Và trong cuộc tấn công mới nhất này, họ đã tìm ra, “Làm cách nào khác để chúng ta có thể biến thứ gì đó bên trong hầu hết mọi máy tính trên thế giới, thứ có vẻ đủ vô tội… làm cách nào chúng ta có thể biến nó thành một đài phát thanh năng lượng rất, rất thấp?”

Và trong trường hợp này, họ đã có thể làm điều đó bằng cách sử dụng nguồn điện.

Họ đã có thể làm điều đó trong Raspberry Pi, trong máy tính xách tay Dell và trong nhiều loại máy tính để bàn.

Họ đang sử dụng nguồn cung cấp năng lượng riêng của máy tính, về cơ bản thực hiện chuyển đổi DC tần số rất cao để cắt điện áp DC, thường là để giảm nó, hàng trăm nghìn hoặc hàng triệu lần một giây.

Họ đã tìm ra cách để làm rò rỉ bức xạ điện từ – sóng vô tuyến mà họ có thể thu được cách xa tới 2 mét trên điện thoại di động…

…ngay cả khi điện thoại di động đó đã tắt tất cả nội dung không dây hoặc thậm chí bị xóa khỏi thiết bị.

Thủ thuật mà họ nghĩ ra là: bạn chuyển đổi tốc độ chuyển đổi của nó và bạn phát hiện những thay đổi trong tần số chuyển đổi.

Hãy tưởng tượng, nếu bạn muốn có điện áp thấp hơn (chẳng hạn như cắt 12V xuống 4V), sóng vuông sẽ bật trong một phần ba thời gian và tắt trong hai phần ba thời gian.

Nếu bạn muốn 2V, thì bạn phải thay đổi tỷ lệ cho phù hợp.

Và hóa ra các CPU hiện đại thay đổi cả tần số và điện áp của chúng để quản lý năng lượng và quá nhiệt.

Vì vậy, bằng cách thay đổi tải CPU trên một hoặc nhiều lõi trong CPU – chỉ bằng cách tăng tốc các tác vụ và giảm dần các tác vụ ở tần số tương đối thấp, trong khoảng từ 5000 đến 8000 lần một giây – họ đã có thể có được chế độ chuyển mạch. cấp nguồn để *chuyển các chế độ chuyển mạch* ở các tần số thấp đó.

Và điều đó đã tạo ra các bức xạ vô tuyến tần số rất thấp từ các dấu vết mạch điện hoặc bất kỳ dây đồng nào trong nguồn điện.

Và họ đã có thể phát hiện ra những bức xạ đó bằng cách sử dụng ăng-ten vô tuyến không phức tạp hơn một vòng dây đơn giản!

Vì vậy, bạn sẽ làm gì với một vòng dây?

Chà, Doug, bạn giả vờ rằng đó là cáp micrô hoặc cáp tai nghe.

Bạn kết nối nó với giắc cắm âm thanh 3.5 mm và cắm nó vào điện thoại di động của mình giống như một bộ tai nghe…

---

CHÓ.  Wow.

---

VỊT.  Bạn ghi lại tín hiệu âm thanh được tạo ra từ vòng dây – vì tín hiệu âm thanh về cơ bản là biểu diễn kỹ thuật số của tín hiệu vô tuyến tần số rất thấp mà bạn đã thu được.

Họ có thể trích xuất dữ liệu từ nó với tốc độ bất kỳ trong khoảng 100 bit mỗi giây khi họ đang sử dụng máy tính xách tay, 200 bit mỗi giây với Raspberry Pi và bất cứ nơi nào lên tới 1000 bit mỗi giây, với tỷ lệ lỗi rất thấp, từ các máy tính để bàn.

Bạn có thể lấy những thứ như khóa AES, khóa RSA, thậm chí cả các tệp dữ liệu nhỏ với tốc độ như vậy.

Tôi nghĩ đó là một câu chuyện hấp dẫn.

Nếu bạn điều hành một khu vực an toàn, bạn chắc chắn muốn theo kịp những thứ này, bởi vì như người xưa vẫn nói, "Các cuộc tấn công chỉ trở nên tốt hơn hoặc thông minh hơn."

---

CHÓ.  Và công nghệ thấp hơn. [CƯỜI]

Mọi thứ đều là kỹ thuật số, ngoại trừ chúng tôi có rò rỉ tín hiệu tương tự đang được sử dụng để đánh cắp khóa AES.

Nó thật hấp dẫn!

---

VỊT.  Chỉ là một lời nhắc nhở rằng bạn cần phải suy nghĩ về những gì ở phía bên kia của bức tường an toàn, bởi vì “khuất mắt chưa chắc đã xa tâm”.

---

CHÓ.  Chà, điều đó phù hợp với chúng tôi câu chuyện cuối cùng - một cái gì đó khuất tầm nhìn, nhưng không nằm ngoài tâm trí:

Lướt qua thẻ tín dụng – con đường dài và quanh co dẫn đến thất bại của chuỗi cung ứng

Nếu bạn đã từng xây dựng một trang web, bạn biết rằng bạn có thể bỏ mã phân tích - một dòng JavaScript nhỏ - vào đó để Google Analytics hoặc các công ty tương tự như vậy xem số liệu thống kê của bạn đang hoạt động như thế nào.

Có một công ty phân tích miễn phí có tên là Cockpit vào đầu những năm 2010 và vì vậy mọi người đã đặt mã Cockpit này - dòng JavaScript nhỏ này - vào các trang web của họ.

Nhưng Buồng lái đã ngừng hoạt động vào năm 2014 và để tên miền mất hiệu lực.

Và sau đó, vào năm 2021, tội phạm mạng nghĩ rằng: “Một số trang thương mại điện tử vẫn đang để mã này chạy; họ vẫn gọi đây là JavaScript. Tại sao chúng ta không mua tên miền và sau đó chúng ta có thể đưa bất cứ thứ gì chúng ta muốn vào những trang web vẫn chưa xóa dòng JavaScript đó?”

---

VỊT.  Vâng.

Điều gì có thể đi đúng hướng, Doug?

---

CHÓ.  [CƯỜI] Chính xác!

---

VỊT.  Bảy năm!

Họ sẽ có một mục trong tất cả nhật ký kiểm tra của họ nói rằng, Could not source the file cockpit.js (hoặc bất cứ điều gì nó đã được) from site cockpit.jp, Tôi nghĩ rằng nó là.

Vì vậy, như bạn nói, khi kẻ lừa đảo kích hoạt lại tên miền và bắt đầu đưa các tệp lên đó để xem điều gì sẽ xảy ra…

…họ nhận thấy rằng rất nhiều trang web thương mại điện tử đang sử dụng và thực thi mã JavaScript của kẻ lừa đảo một cách mù quáng và vui vẻ bên trong trình duyệt web của khách hàng.

---

CHÓ.  [LUAGHING] “Này, trang web của tôi không còn báo lỗi nữa, nó đang hoạt động.”

---

VỊT.  [ĐÁNG TIN CẬY] “Chắc hẳn họ đã sửa nó rồi”… đối với một số hiểu biết đặc biệt về từ “đã sửa”, Doug.

Tất nhiên, nếu bạn có thể đưa JavaScript tùy ý vào trang web của ai đó, thì bạn có thể khiến trang web đó làm bất cứ điều gì bạn muốn.

Và nếu cụ thể là bạn đang nhắm mục tiêu các trang web thương mại điện tử, bạn có thể đặt mã phần mềm gián điệp về cơ bản là gì để tìm kiếm các trang cụ thể có biểu mẫu web cụ thể với các trường được đặt tên cụ thể trên đó…

…như số hộ chiếu, số thẻ tín dụng, CVV, bất kể đó là gì.

Và về cơ bản, bạn có thể lấy ra tất cả dữ liệu bí mật không được mã hóa, dữ liệu cá nhân mà người dùng đang đưa vào.

Nó chưa đi vào quy trình mã hóa HTTPS, vì vậy bạn lấy nó ra khỏi trình duyệt, bạn mã hóa HTTPS *chính mình* và gửi nó đến cơ sở dữ liệu do kẻ gian điều hành.

Và, tất nhiên, điều khác mà bạn có thể làm là bạn có thể chủ động thay đổi các trang web khi chúng đến.

Vì vậy, bạn có thể thu hút ai đó đến một trang web – đó là trang web *đúng*; đó là một trang web mà họ đã truy cập trước đây, mà họ biết rằng họ có thể tin tưởng (hoặc họ nghĩ rằng họ có thể tin tưởng).

Nếu có một biểu mẫu web trên trang web đó, chẳng hạn như thường hỏi họ tên và số tham chiếu tài khoản, thì bạn chỉ cần điền vào một vài trường bổ sung và cho rằng người đó đã tin tưởng trang web đó…

… nếu bạn nói tên, ID và [add in] ngày sinh?

Rất có thể họ sẽ nhập ngày sinh của mình vì họ cho rằng, “Tôi cho rằng đó là một phần trong quá trình kiểm tra danh tính của họ.”

---

CHÓ.  Điều này là có thể tránh được.

Bạn có thể bắt đầu bằng cách xem xét các liên kết chuỗi cung ứng dựa trên web của bạn.

---

VỊT.  Vâng.

Có lẽ bảy năm một lần sẽ là một sự khởi đầu? [CƯỜI]

Nếu bạn không tìm kiếm, thì bạn thực sự là một phần của vấn đề, không phải là một phần của giải pháp.

---

CHÓ.  Bạn cũng có thể, ồ, tôi không biết… kiểm tra nhật ký của bạn?

---

VỊT.  Vâng.

Một lần nữa, bảy năm một lần có thể được bắt đầu?

Hãy để tôi nói những gì chúng ta đã nói trước đây trên podcast, Doug…

…nếu bạn định thu thập nhật ký mà bạn không bao giờ xem, *chỉ cần đừng bận tâm đến việc thu thập chúng*.

Ngừng tự đùa và đừng thu thập dữ liệu.

Bởi vì, trên thực tế, điều tốt nhất có thể xảy ra với dữ liệu nếu bạn thu thập nó và không nhìn vào nó, đó là những người không phù hợp sẽ không nhận được nó do nhầm lẫn.

---

CHÓ.  Sau đó, tất nhiên, thực hiện các giao dịch thử nghiệm thường xuyên.

---

VỊT.  Tôi có nên nói, “Bảy năm một lần sẽ là một sự khởi đầu”? [CƯỜI]

---

CHÓ.  Tất nhiên, vâng… [WRY] điều đó có thể đủ thường xuyên, tôi cho là vậy.

---

VỊT.  Nếu bạn là một công ty thương mại điện tử và bạn muốn người dùng truy cập trang web của mình, hãy làm quen với một giao diện cụ thể và tin tưởng vào nó…

…thì bạn nợ họ việc kiểm tra xem giao diện có chính xác không.

Thường xuyên và thường xuyên.

Dễ như thế.

---

CHÓ.  OK rất tốt.

Và khi chương trình bắt đầu kết thúc, chúng ta hãy lắng nghe ý kiến ​​của một trong những độc giả về câu chuyện này.

Lary bình luận:

Xem lại các liên kết chuỗi cung ứng dựa trên trang web của bạn?

Ước gì Epic Software đã làm điều này trước khi gửi lỗi theo dõi Meta cho tất cả khách hàng của họ.

Tôi tin rằng có một thế hệ các nhà phát triển mới nghĩ rằng phát triển là tìm kiếm các đoạn mã ở bất cứ đâu trên internet và dán chúng vào sản phẩm công việc của họ một cách thiếu cân nhắc.

---

VỊT.  Giá như chúng ta không phát triển mã như thế…

…nơi bạn đi, “Tôi biết, tôi sẽ sử dụng thư viện này; Tôi sẽ tải nó xuống từ trang GitHub tuyệt vời mà tôi tìm thấy này.

Ồ, nó cần cả đống thứ khác!?

Ồ, xem này, nó có thể tự động đáp ứng các yêu cầu… chà, vậy thì cứ làm đi!”

Thật không may, bạn phải *sở hữu chuỗi cung ứng của mình*, và điều đó có nghĩa là hiểu mọi thứ liên quan đến nó.

Nếu bạn đang suy nghĩ về Danh mục vật liệu phần mềm [SBoM], lộ trình, nơi bạn nghĩ, “Vâng, tôi sẽ liệt kê mọi thứ tôi sử dụng”, thì việc liệt kê cấp độ đầu tiên của những thứ bạn sử dụng là không đủ.

Bạn cũng cần biết, và có thể lập tài liệu, và biết rằng bạn có thể tin tưởng, tất cả những thứ mà những thứ đó phụ thuộc vào, vân vân và vân vân:

Những con bọ chét nhỏ có những con bọ chét nhỏ hơn Trên lưng chúng để cắn chúng Và những con bọ chét nhỏ hơn có những con bọ chét nhỏ hơn Và cứ thế đến vô tận.

*Đó là* cách bạn phải theo đuổi chuỗi cung ứng của mình!

---

CHÓ.  Nói hay lắm!

Được rồi, cảm ơn bạn rất nhiều, Larry, vì đã gửi nhận xét đó.

Nếu bạn có một câu chuyện, nhận xét hoặc câu hỏi thú vị muốn gửi, chúng tôi rất muốn đọc nó trên podcast.

Bạn có thể gửi email tới tips@sophos.com, bạn có thể nhận xét về bất kỳ bài viết nào của chúng tôi hoặc bạn có thể đánh giá chúng tôi trên mạng xã hội: @NakedSecurity.

Đó là chương trình của chúng tôi cho ngày hôm nay; cảm ơn rất nhiều vì đã lắng nghe

Đối với Paul Ducklin, tôi là Doug Aamoth, sẽ nhắc bạn, cho đến lần sau, hãy…

---

CẢ HAI.  Giữ an toàn!

[CHẾ ĐỘ ÂM NHẠC]