ثلاثة مليارات دولار في علبة فشار؟
موجات الراديو غامضة لدرجة أنها لا تعرف إلا بالأشعة السينية. كانوا هناك ستة أيام 0 أو أربعة فقط؟ رجال الشرطة الذين وجدت 3 مليارات دولار في علبة الفشار. الشارة الزرقاء ارتباك. عندما فحص URL يذهب على نحو خاطئ. تعقب كل آخر ملف غير مصحح. لماذا يمكن أن تكسب عمليات استغلال الثغرات غير المحتملة مستويات خطورة "عالية".
انقر واسحب على الموجات الصوتية أدناه للتخطي إلى أي نقطة. يمكنك أيضا استمع مباشرة على Soundcloud.
مع دوج آموث وبول دوكلين. موسيقى مقدمة وخاتمة بواسطة إديث مودج.
يمكنك الاستماع إلينا على SoundCloud لل, Apple Podcasts, Google Podcasts, سبوتيفي, الخياطة وفي أي مكان توجد فيه ملفات بودكاست جيدة. أو قم بإسقاط ملف عنوان URL لخلاصة RSS الخاصة بنا في podcatcher المفضل لديك.
اقرأ النص
دوغ. الحيل على تويتر ، باتش الثلاثاء ، والمجرمون المخترقون للمجرمين.
كل ذلك وأكثر على بودكاست Naked Security.
[مودم موسيقي]
مرحبا بكم في البودكاست ، الجميع.
انا دوغ.
هو بول دوكلين.
كيف حالك اليوم يا بول؟
بطة. جيد جدا دوج.
لم يكن لدينا خسوف للقمر هنا في إنجلترا ، لكنني حصلت على لمحة موجزة عن * اكتمال * اكتمال القمر من خلال فجوة صغيرة في السحب ظهرت على أنها الفتحة الوحيدة في طبقة السحابة بأكملها في اللحظة التي ذهبت فيها للخارج إلى الق نظرة!
لكن لم يكن لدينا ذلك القمر البرتقالي كما فعلتم يا رفاق في ماساتشوستس.
دوغ. دعونا نبدأ العرض مع هذا الأسبوع في تاريخ التكنولوجيا... هذا يعود إلى الوراء.
في هذا الأسبوع ، في 08 نوفمبر 1895 ، عثر أستاذ الفيزياء الألماني فيلهلم رونتجن على شكل غير مكتشف من الإشعاع ، مما دفعه إلى الإشارة إلى الإشعاع المذكور ببساطة باسم "X".
كما في الأشعة السينية.
ماذا عن ذلك ... الاكتشاف العرضي للأشعة السينية؟
بطة. مذهل تماما.
أتذكر أمي وهي تقول لي: في الخمسينيات من القرن الماضي (لابد أنه كان نفس الشيء في الولايات المتحدة) ، على ما يبدو ، في محلات الأحذية ...
دوغ. [يعرف ما سيأتي] نعم! [يضحك]
بطة. كان الناس يأخذون أطفالهم ... ستقف في هذه الآلة ، وتلبس الحذاء وبدلاً من أن تقول فقط ، "تجول ، هل هم ضيقون؟ هل يقرصون؟ "، وقفت في جهاز الأشعة السينية ، الذي أغرقك في الأساس في إشعاع الأشعة السينية والتقط صورة حية وقلت ،" أوه ، نعم ، إنها بالحجم المناسب. "
دوغ. نعم ، أبسط الأوقات. خطير بعض الشيء ، لكن ...
بطة. خطر قليل؟
هل يمكنك تخيل الأشخاص الذين عملوا في محلات الأحذية؟
لابد أنهم كانوا يستحمون في الأشعة السينية طوال الوقت.
دوغ. بالتأكيد ... حسنًا ، نحن أكثر أمانًا اليوم.
وفي موضوع الأمان ، فإن أول ثلاثاء من الشهر هو Microsoft Patch Tuesday.
So ماذا تعلمنا هذا التصحيح الثلاثاء هنا في نوفمبر 2022؟
سعر الصرف 0 يوم ثابت (أخيرًا) - بالإضافة إلى 4 تصحيح جديد تمامًا الثلاثاء 0 أيام!
بطة. حسنًا ، الشيء المثير للغاية ، دوج ، هو أن التصحيح يوم الثلاثاء من الناحية الفنية تم إصلاحه ليس يوم واحد أو اثنين أو ثلاثة ... ولكن * أربعة * صفر أيام.
ولكن في الواقع ، تم إصلاح التصحيحات التي يمكنك الحصول عليها لمنتجات Microsoft يوم الثلاثاء * ستة * صفر أيام.
تذكر تلك الأيام الصفرية في Exchange التي لم يتم تصحيحها بشكل مشهور يوم الثلاثاء الماضي: CVE-2002-41040 و CVE-2022-41082 ، ما أصبح يعرف باسم ProxyNotShell?
S3 Ep102.5: أخطاء تبادل "ProxyNotShell" - أحد الخبراء يتحدث [صوت + نص]
حسنًا ، تم إصلاح ذلك ، ولكن بشكل أساسي في "خط جانبي" منفصل لتصحيح الثلاثاء: Exchange نوفمبر 2022 SU ، أو تحديث البرنامج ، الذي يقول فقط:
تحتوي تحديثات برنامج Exchange في نوفمبر 2022 على إصلاحات لثغرات يوم الصفر التي تم الإبلاغ عنها علنًا في 29 سبتمبر 2022.
كل ما عليك فعله هو ترقية Exchange.
جي ، شكرًا Microsoft ... أعتقد أننا عرفنا أن هذا ما سنفعله عندما ظهرت التصحيحات أخيرًا!
لذا ، فقد * * انتهى * وهناك يومان ثابتان من الصفر ، لكنهما ليسا جديدين ، وليسوا من الناحية الفنية في جزء "يوم الثلاثاء التصحيحي".
هناك ، لدينا أربعة أيام صفرية أخرى ثابتة.
وإذا كنت تؤمن بإعطاء الأولوية للتصحيحات ، فمن الواضح أن هؤلاء هم الذين تريد التعامل معهم أولاً ، لأن شخصًا ما يعرف بالفعل كيفية القيام بأشياء سيئة معهم.
وتتراوح هذه من تجاوز الأمان ، إلى ارتفاعين في الامتياز ، وتنفيذ رمز واحد عن بُعد.
لكن هناك أكثر من 60 رقعة في المجموع، وإذا نظرت إلى القائمة الإجمالية للمنتجات ومكونات Windows المتأثرة ، فهناك قائمة هائلة ، كالعادة ، تتضمن كل مكون / منتج Windows سمعت عنه ، وربما لم تسمع بالعديد منها.
تصحح Microsoft 62 ثغرة أمنية ، بما في ذلك Kerberos و Mark of the Web و Exchange… نوعًا ما
لذلك ، كما هو الحال دائمًا: لا تؤجل / افعلها اليومدوغلاس!
دوغ. جيدة جدا.
دعونا نتحدث الآن عن تأخير كبير ...
لديك قصة شيقة للغاية عن سوق المخدرات طريق الحرير، وتذكير بأن سرقة المجرمين من المجرمين لا تزال جريمة ، حتى لو تم القبض عليك بعد مرور عشر سنوات على ارتكابها.
يقر مخترق سوق المخدرات في طريق الحرير بأنه مذنب ويواجه 20 عامًا في الداخل
بطة. نعم ، حتى الأشخاص الجدد تمامًا في مجال الأمن السيبراني أو الدخول إلى الإنترنت ربما سمعوا عن "طريق الحرير" ، الذي ربما يكون أول سوق ويب مظلم معروف على نطاق واسع وواسع النطاق وشائع الاستخدام حيث يذهب أي شيء بشكل أساسي.
لذلك ، اشتعلت النيران في كل ذلك في عام 2013.
لأن المؤسس ، المعروف في الأصل فقط باسم الرهبة القراصنة روبرتق ، ولكن في النهاية تم الكشف عنها روس Ulbricht... كان ضعف أمنه التشغيلي كافياً لربط الأنشطة به.
مؤسس طريق الحرير ، روس أولبريشت ، يحصل على الحياة دون الإفراج المشروط
لم يكن أمانه التشغيلي جيدًا فحسب ، بل يبدو أنه في أواخر عام 2012 ، كان لديهم (هل تصدق ذلك ، دوغ؟) خطأً فادحًا في معالجة مدفوعات العملة المشفرة ...
دوغ. [اللقطات في رعب كبير]
بطة. ... من النوع الذي رأيناه يتكرر عدة مرات منذ ذلك الحين ، لم يتم إجراء محاسبة القيد المزدوج المناسبة تمامًا ، حيث يوجد لكل خصم ائتمان مقابل والعكس صحيح.
واكتشف هذا المهاجم ، إذا قمت بوضع بعض المال في حسابك ثم دفعته بسرعة كبيرة إلى حسابات أخرى ، يمكنك في الواقع دفع خمس مرات (أو أكثر) نفس عملات البيتكوين قبل أن يدرك النظام أن الخصم الأول قد ذهب عبر.
لذلك يمكنك وضع بعض الأموال بشكل أساسي ثم سحبها مرارًا وتكرارًا ، والحصول على مخزون أكبر ...
... وبعد ذلك يمكنك العودة إلى ما قد تسميه "حلقة حلب العملة المشفرة".
ومن المقدر ... لم يكن المحققون متأكدين ، أنه بدأ مع ما بين 200 و 2000 عملة بيتكوين خاصة به (سواء اشتراها أو اشتراها ، لا نعرف) ، وسرعان ما قام بتحويلها إلى ، انتظر ، دوج: 50,0000 بيتكوين!
دوغ. نجاح باهر!
بطة. أكثر من 50,000 بيتكوين ، تمامًا مثل ذلك.
وبعد ذلك ، من الواضح أنه اكتشف أن شخصًا ما سيلاحظ ، أنه يقطع ويهرب بينما كان يتقدم بـ 50,000 عملة بيتكوين ...
... قيمة كل واحدة مذهلة بقيمة 12 دولارًا ، مقارنة بأجزاء من سنت قبل سنوات قليلة فقط. [يضحك]
لذا فقد حصل على 600,000 دولار ، تمامًا مثل هذا ، دوج.
[وقفة درامية]
بعد تسع سنوات ...
[ضحك]
... بعد تسع سنوات تقريبًا ، عندما تم القبض عليه واقتحام منزله بموجب أمر قضائي ، قام رجال الشرطة بالبحث ووجدوا كومة من البطانيات في خزانة ملابسه ، والتي كانت مخبأة تحتها علبة فشار.
مكان غريب لحفظ الفشار الخاص بك.
في الداخل كان هناك نوع من المحفظة الباردة المحوسبة.
بداخلها كانت نسبة كبيرة من عملات البيتكوين المذكورة!
في الوقت الذي تم فيه ضبطه ، كانت عملات البيتكوين شمالًا تبلغ 65,535 دولارًا (أو 216-1 كل.
لقد ارتفعت أكثر من ألف ضعف في هذه الأثناء.
لذلك ، في ذلك الوقت ، كان أكبر تمثال للعملة المشفرة على الإطلاق!
بعد تسع سنوات ، بعد أن لم يكن قادرًا على ما يبدو على التخلص من مكاسبه غير المشروعة ، ربما خائفًا من أنه حتى لو حاول دفعها في كوب ، فإن كل الأصابع ستشير إليه ...
... كان لديه كل هذه الـ 3 مليارات دولار من عملات البيتكوين التي ظلت جالسة في علبة الفشار لمدة تسع سنوات!
دوغ. رباه.
بطة. لذلك ، بعد أن جلس على هذا الكنز المخيف طوال تلك السنوات ، متسائلاً عما إذا كان سيتم القبض عليه ، ترك الآن يتساءل ، "إلى متى سأذهب إلى السجن؟"
وما أقصى عقوبة للتهمة التي يواجهها؟
20 عامًا ، دوج.
دوغ. قصة أخرى مثيرة للاهتمام تحدث الآن. إذا كنت تستخدم Twitter مؤخرًا ، فستعرف أن هناك الكثير من النشاط. لقولها دبلوماسيا ...
بطة. [اختطاف بوب ديلان بجودة منخفضة إلى متوسطة] حسنًا ، الأوقات تتغير.
دوغ. ... بما في ذلك في مرحلة ما فكرة تحصيل 20 دولارًا أمريكيًا مقابل شيك أزرق تم التحقق منه ، وهو بالطبع على الفور تقريبًا دفع بعض الحيل.
رسائل البريد الإلكتروني المخادعة على Twitter Blue Badge - لا تقع في حبهم!
بطة. إنه مجرد تذكير ، دوغ ، أنه كلما كان هناك شيء جذب الكثير من الاهتمام ، سيتبعه المحتالون بالتأكيد.
وفرضية هذا كانت ، "مهلا ، لماذا لا تبدأ مبكرًا؟ إذا كنت قد حصلت بالفعل على علامة زرقاء ، خمن ماذا؟ لن تضطر إلى دفع 19.99 دولارًا شهريًا إذا قمت بالتسجيل المسبق. سنسمح لك بالاحتفاظ بها ".
نحن نعلم أن هذه لم تكن فكرة إيلون ماسك ، كما قال ، لكنها من النوع الذي تفعله العديد من الشركات ، أليس كذلك؟
ستمنحك الكثير من الشركات نوعًا من الفوائد إذا بقيت مع الخدمة.
لذا فهو ليس أمرًا لا يصدق تمامًا.
كما تقول ... ماذا أعطيته؟
ب- ناقص ، أليس كذلك؟
دوغ. أعطي رسالة البريد الإلكتروني الأولية ب-ناقص ... ربما يتم خداعك إذا قرأتها بسرعة ، ولكن هناك بعض المشكلات النحوية ؛ الأشياء لا تبدو على ما يرام.
وبمجرد النقر فوقها ، سأعطي الصفحات المقصودة C- ناقص.
هذا يصبح أكثر ثراء.
بطة. هذا في مكان ما بين 5/10 و 6/10؟
دوغ. نعم ، دعنا نقول ذلك.
ولدينا بعض النصائح ، حتى لو كانت عملية احتيال A-plus ، فلن يكون الأمر مهمًا لأنك ستتمكن من إحباطها على أي حال!
بدءاً بمفضلتي الشخصية: استخدم مدير كلمات المرور.
يحل مدير كلمات المرور الكثير من المشكلات عندما يتعلق الأمر بعمليات الاحتيال.
بطة. نعم هو كذلك.
لا يمتلك مدير كلمات المرور أي ذكاء شبيه بالبشر يمكن تضليله من خلال حقيقة أن الصورة الجميلة صحيحة ، أو أن الشعار مثالي ، أو أن نموذج الويب في الموضع الصحيح تمامًا على الشاشة بنفس الخط تمامًا ، حتى تتعرف عليه.
كل ما يعرفه هو: "لم أسمع بهذا الموقع من قبل."
دوغ. وبالطبع، قم بتشغيل 2FA إذا استطعت.
أضف دائمًا عامل المصادقة الثاني ، إن أمكن.
بطة. بالطبع ، هذا لا يحميك بالضرورة من نفسك.
إذا انتقلت إلى موقع مزيف وقررت ، "مرحبًا ، إنه مثالي للبكسل ، يجب أن يكون الصفقة الحقيقية" ، وأنت مصمم على تسجيل الدخول ، وقد أدخلت بالفعل اسم المستخدم وكلمة المرور الخاصة بك ، ثم يطلب منك متابعة عملية المصادقة الثنائية ...
... من المحتمل جدًا أن تفعل ذلك.
ومع ذلك ، فإنه يمنحك القليل من الوقت للقيام بـ "Stop. فكر في. الاتصال." الشيء ، وقل لنفسك ، "انتظر ، ماذا أفعل هنا؟"
لذا ، بطريقة ما ، فإن التأخير القليل الذي يقدمه المصادقة الثنائية لا يمكن أن يكون في الواقع مجرد متاعب قليلة ، ولكنه أيضًا وسيلة لتحسين سير عمل الأمن السيبراني الخاص بك ... من خلال تقديم ما يكفي من مطبات السرعة التي تميل إلى اتخاذ الأمن السيبراني هذا قليلا أكثر جدية.
لذلك لا أرى ما هو الجانب السلبي حقًا.
دوغ. وبالطبع ، هناك إستراتيجية أخرى يصعب على الكثير من الناس الالتزام بها ، ولكنها فعالة للغاية ، وهي الالتزام تجنب روابط تسجيل الدخول وأزرار الإجراءات في البريد الإلكتروني.
لذلك إذا تلقيت بريدًا إلكترونيًا ، فلا تنقر فقط على الزر ... اذهب إلى الموقع نفسه وستتمكن من معرفة ما إذا كان هذا البريد الإلكتروني شرعيًا أم لا.
بطة. في الأساس ، إذا كنت لا تثق تمامًا في المراسلات الأولية ، فلا يمكنك الاعتماد على أي تفاصيل فيها ، سواء كان هذا هو الرابط الذي ستنقر فوقه ، أو رقم الهاتف الذي ستتصل به ، أو عنوان البريد الإلكتروني الذي تريده سوف تتصل بهم على ، حساب Instagram الذي سترسل إليه رسائل مباشرة ، مهما كان.
لا تستخدم ما هو موجود في البريد الإلكتروني ... اعثر على طريقك الخاص إلى هناك ، وستقوم بتقصير الكثير من عمليات الاحتيال من هذا النوع.
دوغ. وأخيرًا ، أخيرًا وليس آخرًا ... يجب أن يكون هذا هو الفطرة السليمة ، لكنه ليس كذلك: لا تسأل مرسل الرسالة غير المؤكدة أبدًا إذا كانت شرعية.
لا ترد وتقول ، "مرحبًا ، هل أنت حقًا Twitter؟"
بطة. نعم ، أنت محق تمامًا.
لأن نصيحتي السابقة ، "لا تعتمد على المعلومات الواردة في البريد الإلكتروني" ، مثل عدم الاتصال برقم هاتفهم ... يميل بعض الأشخاص إلى الذهاب ، "حسنًا ، سأتصل برقم الهاتف وأرى ما إذا كان حقًا هم هم. [IRONIC] لأنه ، من الواضح ، إذا كان جواب الطاهي ، فسوف يقدمون أسمائهم الحقيقية ".
دوغ. كما نقول دائما: إذا كنت في شك / لا تعطها.
وهذه قصة تحذيرية جيدة ، هذه القصة التالية: عند عمليات الفحص الأمني ، وهي أدوات أمنية مشروعة ، تكشف أكثر مما ينبغي، ما يحدث بعد ذلك؟
أدوات فحص عناوين URL العامة - عندما يؤدي الأمان إلى عدم الأمان
بطة. هذا باحث معروف اسمه فابيان برونلين في ألمانيا ... لقد ذكرناه عدة مرات من قبل.
لقد عاد بتقرير مفصل بعنوان urlscan.ioموقع SOAR الخاص بـ SOAR: أدوات الأمان الثرثار تسريب البيانات الخاصة.
وفي هذه الحالة ، هو urlscan.io، موقع ويب يمكنك استخدامه مجانًا (أو كخدمة مدفوعة) حيث يمكنك إرسال عنوان URL أو اسم مجال أو رقم IP أو أيًا كان ، ويمكنك البحث عن "ما الذي يعرفه المجتمع عن هذا؟ "
وسيكشف عن عنوان URL الكامل الذي سأل عنه الآخرون.
وهذه ليست مجرد أشياء ينسخها الناس ويلصقونها من اختيارهم.
في بعض الأحيان ، قد يكون بريدهم الإلكتروني ، على سبيل المثال ، يمر عبر أداة تصفية تابعة لجهة خارجية تقوم بنفسها باستخراج عناوين URL ، والاتصال بالمنزل urlscan.io، أو يقوم بالبحث ، ويحصل على النتيجة ويستخدمها لتحديد ما إذا كان سيتم إرسال الرسائل غير المرغوب فيها أو حظر البريد العشوائي أو تمرير الرسالة.
وهذا يعني أنه في بعض الأحيان ، إذا تضمن عنوان URL بيانات سرية أو شبه سرية ، ومعلومات تعريف شخصية ، فإن الأشخاص الآخرين الذين صادف أنهم بحثوا للتو عن اسم النطاق الصحيح خلال فترة قصيرة بعد ذلك سيرون جميع عناوين URL التي تم البحث عنها ، بما في ذلك الأشياء التي قد تكون في عنوان URL.
أنت تعرف ، مثل blahblah?username=doug&passwordresetcode= متبوعة بسلسلة طويلة من الأحرف السداسية العشرية ، وهكذا.
وقد توصل Bräunlein إلى قائمة رائعة من أنواع عناوين URL ، خاصة تلك التي قد تظهر في رسائل البريد الإلكتروني ، والتي قد يتم إرسالها بشكل روتيني إلى طرف ثالث للتصفية ثم يتم فهرستها للبحث.
تم تضمين نوع رسائل البريد الإلكتروني التي كان يعتقد أنها قابلة للاستغلال بالتأكيد ، ولكنها لم تقتصر على: روابط إنشاء الحساب ؛ روابط توصيل هدايا أمازون ؛ مفاتيح API طلبات توقيع DocuSign ؛ عمليات نقل ملف Dropbox ؛ تتبع الطرد إعادة تعيين كلمة المرور فواتير PayPal مشاركة مستندات Google Drive ؛ يدعو SharePoint ؛ وروابط إلغاء الاشتراك في النشرة الإخبارية.
عدم توجيه أصابع الاتهام هناك إلى SharePoint و Google Drive و PayPal وما إلى ذلك.
كانت هذه مجرد أمثلة لعناوين URL التي صادفها والتي من المحتمل أن تكون قابلة للاستغلال بهذه الطريقة.
دوغ. لدينا بعض النصائح في نهاية هذا المقال ، والتي تتلخص في: قراءة تقرير Bräunlein ؛ قرأ urlscan.ioمشاركة المدونة ؛ قم بمراجعة التعليمات البرمجية بنفسك ؛ إذا كان لديك رمز يقوم بإجراء عمليات البحث عن الأمان عبر الإنترنت ؛ تعرف على ميزات الخصوصية الموجودة للإرسالات عبر الإنترنت ؛ والأهم من ذلك ، تعلم كيفية الإبلاغ عن البيانات المارقة إلى خدمة عبر الإنترنت إذا رأيت ذلك.
لقد لاحظت أن هناك ثلاث ... نوع من القصائد الفكاهية؟
قصائد مصغرة إبداعية للغاية في نهاية هذا المقال ...
بطة. [MOCK HORROR] لا ، إنها ليست قصائد فكرية! Limericks لها هيكل رسمي للغاية من خمسة أسطر ...
دوغ. [ضحك] أنا آسف جدًا. هذا صحيح!
بطة. ... لكل من المتر والقافية.
منظم جدا ، دوغ!
دوغ. أنا آسف جدا ، صحيح جدا. [يضحك]
بطة. هذا مجرد هوجريل. [ضحك]
مرة اخري: إذا كنت في شك / لا تعطها.
وإذا كنت تقوم بجمع البيانات: إذا كان لا ينبغي أن يكون في / الصقها مباشرة في سلة المهملات.
وإذا كنت تكتب رمزًا يستدعي واجهات برمجة التطبيقات العامة التي يمكن أن تكشف عن بيانات العميل: لا تجعل المستخدمين يبكون / من خلال كيفية استدعاء API.
دوغ. [يضحك] هذا جديد بالنسبة لي ، وأنا أحب ذلك كثيرًا!
وأخيرًا ، ولكن ليس آخراً في قائمتنا هنا ، كنا نتحدث أسبوعًا بعد أسبوع حول خطأ أمان OpenSSL هذا.
السؤال الكبير الآن هو ، "كيف تستطيع أن تقول ذلك ما الذي يحتاج إلى الإصلاح؟ "
قصة تحديث أمان OpenSSL - كيف يمكنك معرفة ما يحتاج إلى إصلاح؟
بطة. في الواقع ، دوغ ، كيف نعرف أي إصدار من OpenSSL لدينا؟
ومن الواضح ، على نظام Linux ، ما عليك سوى فتح موجه الأوامر والكتابة openssl version، ويخبرك بالنسخة التي لديك.
لكن OpenSSL عبارة عن مكتبة برمجة ، ولا توجد قاعدة تنص على أن البرنامج لا يمكن أن يكون له نسخته الخاصة.
قد تستخدم توزيعة OpenSSL 3.0 ، ومع ذلك هناك تطبيق يقول ، "أوه ، لا ، لم نقم بالترقية إلى الإصدار الجديد. نحن نفضل OpenSSL 1.1.1 ، لأنه لا يزال مدعومًا ، وفي حالة عدم توفره ، فنحن نقدم نسختنا الخاصة. "
ولذا ، لسوء الحظ ، تمامًا كما في حالة Log4Shell سيئة السمعة ، كان عليك البحث عن الثلاثة؟ 12؟ 154؟ من يعرف عدد الأماكن على شبكتك حيث قد يكون لديك برنامج Log4J قديم.
نفس الشيء بالنسبة لـ OpenSSL.
من الناحية النظرية ، قد تكون أدوات XDR أو EDR قادرة على إخبارك ، لكن البعض لن يدعم ذلك وسيثبطه الكثير: فعليًا تشغيل البرنامج لمعرفة ما هو الإصدار.
لأنه ، بعد كل شيء ، إذا كانت عربات التي تجرها الدواب أو الخطأ ، وعليك بالفعل تشغيل البرنامج لجعله يبلغ عن نسخته الخاصة ...
... هذا يبدو وكأنه وضع العربة أمام الحصان ، أليس كذلك؟
لذلك نشرنا مقالًا عن تلك الحالات الخاصة التي تريد فيها بالفعل تحميل DLL ، أو المكتبة المشتركة ، وتريد فعلاً الاتصال بها TellMeThyVersion() كود البرنامج.
بمعنى آخر ، أنت تثق في البرنامج بدرجة كافية بحيث يمكنك تحميله في الذاكرة وتنفيذه وتشغيل بعض مكوناته.
نوضح لك كيفية القيام بذلك حتى تتمكن من التأكد تمامًا من تحديث أي ملفات OpenSSL بعيدة لديك على شبكتك.
لأنه على الرغم من أن هذا قد تم تخفيضه من حرج إلى مرتفع ، إلا أنه لا يزال خطأ تحتاج إلى إصلاحه وتريد إصلاحه!
دوغ. حول موضوع خطورة هذا الخطأ ، حصلنا على سؤال مهم من Naked Security Reader Svet ، الذي يكتب جزئيًا:
كيف هذا الخطأ الذي يعد معقدًا للغاية للاستغلال ، ولا يمكن استخدامه إلا لرفض هجمات الخدمة ، يستمر في تصنيفه على أنه مرتفع؟
بطة. نعم ، أعتقد أنه قال شيئًا عن ، "أوه ، ألم يسمع فريق OpenSL عن CVSS؟" ، وهو معيار حكومي أمريكي ، إذا أردت ، لترميز مستوى المخاطر والتعقيد للأخطاء بطريقة يمكن أن تكون يتم تصفيتها تلقائيًا حسب البرامج النصية.
لذلك إذا حصلت على درجة منخفضة من CVSS (وهي نظام تسجيل نقاط الضعف الشائعة) ، لماذا يشعر الناس بالحماس حيال ذلك؟
لماذا يجب أن يكون مرتفعًا؟
ولذا كانت إجابتي ، "لماذا * لا ينبغي * أن تكون عالية؟"
إنه خطأ في محرك تشفير ؛ يمكن أن يؤدي إلى تعطل برنامج ، على سبيل المثال ، يحاول الحصول على تحديث ... لذلك سيتعطل مرارًا وتكرارًا ، وهو أكثر قليلاً من مجرد رفض للخدمة ، لأنه في الواقع يمنعك من القيام بالأمان بشكل صحيح.
هناك عنصر تجاوز الأمان.
وأعتقد أن الجزء الآخر من الإجابة هو ، عندما يتعلق الأمر بتحويل الثغرات الأمنية إلى برمجيات إكسبلويت: "لا تقل أبدًا أبدًا!"
عندما يكون لديك شيء مثل تجاوز سعة المخزن المؤقت للمكدس ، حيث يمكنك معالجة المتغيرات الأخرى على المكدس ، بما في ذلك عناوين الذاكرة ، فستكون هناك دائمًا فرصة أن يكتشف شخص ما استغلالًا عمليًا.
والمشكلة ، دوج ، أنه بمجرد أن يتوصلوا إلى حل ، لا يهم مدى تعقيد اكتشاف ...
... بمجرد أن تعرف كيف تستغلها ، يستطيع * أي شخص * القيام بذلك ، لأنه يمكنك بيع الكود اللازم للقيام بذلك.
أعتقد أنك تعرف ما سأقوله: "لا أشعر بقوة حيال ذلك."
[ضحك]
إنه ، مرة أخرى ، أحد هؤلاء "الملعونين إذا فعلوا ، ملعونًا إذا لم يفعلوا".
دوغ. جيد جدًا ، شكرًا جزيلاً لك ، سفيت ، لكتابة هذا التعليق وإرساله.
إذا كانت لديك قصة مثيرة للاهتمام أو تعليق أو سؤال ترغب في إرساله ، فنحن نحب قراءته في البودكاست.
يمكنك إرسال بريد إلكتروني إلى tips@sophos.com ، أو التعليق على أي من مقالاتنا ، أو يمكنك التواصل معنا على مواقع التواصل الاجتماعي:nakedsecurity.
هذا هو عرضنا لهذا اليوم. شكرا جزيلا على الاستماع.
بالنسبة لبول دوكلين ، أنا دوج آموث ، أذكرك حتى المرة القادمة بـ ...
على حد سواء. كن آمنا!
