كيف تُدخل نفسك
لا يوجد مشغل صوت أدناه؟ يستمع مباشرة على Soundcloud.
مع دوج آموث وبول دوكلين. موسيقى مقدمة وخاتمة بواسطة إديث مودج.
يمكنك الاستماع إلينا على SoundCloud لل, Apple Podcasts, Google Podcasts, سبوتيفي, الخياطة وفي أي مكان توجد فيه ملفات بودكاست جيدة. أو قم بإسقاط ملف عنوان URL لخلاصة RSS الخاصة بنا في podcatcher المفضل لديك.
اقرأ النص
دوغ. مواضع الجذب والبقع وتمرير أيقونة.
كل ذلك وأكثر على بودكاست Naked Security.
[مودم موسيقي]
مرحبا بكم في البودكاست ، الجميع.
أنا دوغ عاموث. هو بول دوكلين.
كيف حالك يا بول؟
بطة. جيد جدا دوغلاس.
مرحبا بعودتك من عطلتك!
دوغ. من الجيد أن أعود ... لدي مفاجأة صغيرة لك.
نبدأ العرض مع هذا الأسبوع في تاريخ التكنولوجيا مقطع ، وفي بعض الأسابيع هناك العديد من الموضوعات المحتملة للاختيار من بينها (مجرد نظرة خاطفة خلف الستار للجميع) وعلينا أن نذهب ذهابًا وإيابًا ونقرر أي موضوع سنختاره.
لذلك أخذت حريتي في بناء عجلة موضوعية يمكننا أن ندور حولها ، ومهما كان الموضوع الذي تهبط عليه ...
… هذا هو الموضوع الذي نناقشه.
على عجلة القيادة هذا الأسبوع ، لدينا الكثير من الموضوعات.
لدينا أول اتفاقية كمبيوتر ، اتفاقية المذبح في عام 1976 ؛ لدينا فيروس ميليسا منذ عام 1999 ؛ لقد تلقينا أول مكالمة هاتفية بعيدة المدى في عام 1884 ؛ اختراع الترانزستور الضوئي عام 1950 ؛ إزاحة الستار عن UNIVAC في عام 1951 ؛ أول مدينة انتقلت إلى الإضاءة الكهربائية الكاملة في عام 1880 ؛ ومايكروسوفت بوب في عام 1995.
لذلك سأقوم فقط بتدوير العجلة ، وأينما تهبط - هذا هو الموضوع.
[يدور عجلة]
[FX: انقر فوق انقر فوق انقر فوق]
بطة. هذه أشياء من عجلة الحظ ، أليس كذلك؟
دوغ. نعم.
العجلة تدور ...
[FX: Click-click-click (يتباطأ تدريجياً)]
بطة. أعرف أين أريد أن يتوقف ، دوغ!
دوغ. وقد هبطت على فيروس ميليسا [EXCITED]!
[FX: وتر درامي]
إنه حق في غرفة القيادة لدينا….
بطة. كنت أتمنى سرًا الحصول على Microsoft Bob.
لأننا تحدثنا عنها من قبل ، وكانت فرصة رائعة لي أن أتحدث عن شكوى بسيطة جدًا ، وأن أقدم كليبي.
لكن لا يمكنني ذكر أي منهما مرة أخرى ، دوغ.
دوغ. حسنًا ، لقد تحدثت العجلة.
هذا الأسبوع ، في عام 1999 ، شعر العالم بغضب فيروس ميليسا ، وهو فيروس ماكرو يتم إرساله بالبريد الجماعي ويستهدف مستخدمي Microsoft Word و Outlook.
تم إرسال الرسالة نفسها بالبريد الإلكتروني ، إلى جانب مستند Word فاسد ، إلى أول 50 شخصًا في قائمة جهات اتصال Outlook الخاصة بالضحية ، بينما تقوم في نفس الوقت بتعطيل ميزات الحماية لكلا البرنامجين.
تم ربط فيروس ميليسا في النهاية بديفيد إل سميث من نيوجيرسي ، الذي أمضى 20 شهرًا في السجن الفيدرالي ودفع غرامة قدرها 5,000 دولار.
وبول ، كنت هناك يا رجل.
بطة. [تنهد] أوه ، عزيزي ، نعم.
لم يكن هذا هو أول برنامج ضار بريدي - لقد تحدثنا بالفعل عنه CHRISTMAS EXEC أليس لدينا ، الذي كان قبل 10 سنة ذلك ، على حواسيب IBM المركزية.
لكن هذه كانت علامة على أننا أصبحنا جميعًا متصلين الآن ، وكان الكثير منا يستخدم Microsoft Word بلغة برمجة الماكرو الخاصة به ، وكنا نعتمد بشدة على البريد الإلكتروني ...
… يمكن أن تصبح الأشياء على شكل كمثرى قليلاً إذا كان هناك فيروس.
كانت المشكلة أنه لم يكن 50 شخصًا ، بل كان أول 50 * عنوانًا *.
معظم الناس في مكان ما بعد فترة وجيزة Aamoth, Doug و Aardvark, Christopher هل اتصل شخص ما ، على سبيل المثال ، All Users، أو شيء بهذا المعنى.
[ضحك]
لذا ، نعم ، لقد كان شيئًا ضخمًا للغاية.
كان لها مرجع بارت سيمبسون ، أليس كذلك؟
دوغ. نعم… KWYJIBO. [كلمة مزيفة استخدمها بارت سيمبسون]
بطة. أحيانًا يتم لصق ذلك في مستند ، أليس كذلك؟
لقد أخل ديفيد سميث بالقانون لأنه كان يجب عليه بكل بساطة أن يتوقع مستوى الاضطراب الذي تسبب فيه.
لذا ، كما تقول ، 20 شهرًا في السجن الفيدرالي ، وبداية حقبة دراماتيكية من إرسال البرامج الضارة بالبريد الجماعي.
دوغ. حسنًا ، دعنا ننتقل من وحدات الماكرو إلى مور.
ارقد في سلام، غوردون مور، 94 عاما ، بول.
بطة. نعم.
أجريت محادثة غريبة خلال عطلة نهاية الأسبوع عندما اصطدمت بشخص ما لتناول القهوة وقالوا ، "أوه ، ماذا كنت تفعل في عطلة نهاية الأسبوع حتى الآن؟"
قلت ، "في الواقع ، لقد كنت في العمل لتوي ؛ كنت أكتب ملف RIP و في تأبين قطعة لشخص مشهور جدًا في صناعة تكنولوجيا المعلومات. توفي جوردون مور عن عمر يناهز 94 عامًا ".
ونظر إلي هذا الشخص وقال ، "أوه ، لم أسمع به من قبل."
دوغ. [نفث صاخب]
بطة. وقلت ، "لكنك سمعت عن قانون مور؟"
"نعم بالتأكيد. قانون مور ، أعرف ذلك. "
وقلت ، "حسنًا ، مور نفسه."
ولذا آمل أن يهرعوا لقراءة المقال!
أعدت نشر الرسوم البيانية التي وضعها في مقالته الأصلية الصغيرة التي أدت إلى قانون مور.
كان ذلك قبل أن يؤسس شركة إنتل ، في الواقع.
دوغ. نعم ، لقد كان كثيرًا ... أكثر ، إذا أدركت انجرافي.
بطة. [لم يكن مسليا كما يأمل] نعم.
إنها ورقة صغيرة رائعة.
تم نشره في ... بشكل أساسي في مجلة مشهورة كقطعة قصيرة - فقط بضع صفحات في الإلكترونيات مجلة في 1965.
كان من المضحك تقريبًا أنه كان يقول ، "هل تعرف ما لاحظناه في فيرتشايلد؟" [شركة أسسها مور قبل إنتل]
في 1962-63-64-65 ، إذا أخذت عدد الترانزستورات على الرقائق التي نبنيها في كل مرة (الرقائق بنفس الحجم تقريبًا) ، وأخذت اللوغاريتم الأساسي 2 لعدد الترانزستورات ، و ترسم رسمًا بيانيًا ، تحصل على خط مستقيم.
وهو ما يعني النمو الأسي.
بعبارة أخرى ، لا يمكنك الاستمرار في جعل الرقائق أكبر وأكبر وأكبر لأنها تبدأ بالفشل ...
.. عليك أن تتعلم كيفية تغيير عملية التصنيع أيضًا ، حتى تتمكن من الحصول على المزيد من الترانزستورات هناك.
والورقة تسمى هدفهم أكثر من مكونات على الدوائر المتكاملة. [ضحك]
حشر حرفيا أكثر في.
وترى أنه بحلول عام 1975 ، أي بعد 10 سنوات من المستقبل ، قد يشير ذلك إلى أنه قد يكون لديك دائرة مفردة يمكن أن تحتوي على ما يصل إلى 65,000 (أو 2)16) الترانزستورات عليها ، دوغلاس.
لا يصدق.
كانت هذه نظريته حول كيف يمكننا الابتكار.
لم ينجح الأمر على هذا النحو ... بحلول عام 1975 ، قال ، "لا يبدو أن المضاعفة كل عام ستستمر ، لكنها يمكن أن تتضاعف تقريبًا كل عامين."
وعلى الرغم من أننا لم نتضاعف كل عامين ، إلا أننا لسنا بعيدين.
لأنه إذا انتقلت من عام 1978 ، عندما خرج 8086 ، كان ذلك يحتوي على حوالي 215 الترانزستورات عليه.
وبعد 22 ضعفًا (44 عامًا) ، ظهرت شريحة Apple M2 ، لذلك يجب أن تحتوي على 2 تقريبًا37 الترانزستورات الموجودة عليه ، والتي تزيد عن 100 مليار.
أليس هذا مستحيل؟
ليس بعيدًا: 20 مليار ترانزستور على شريحة Apple M2.
بصيرة مدهشة ، دوغ.
دوغ. في الواقع.
على ما يرام. نظام التشغيل Windows 10 قصاصة ورسم التطبيق كان مصححة، و Windows 11 اداة القص تم تصحيحه.
تقوم Microsoft بتعيين CVE إلى Snipping Tool bug ، وتدفع التصحيح إلى Store
بطة. فقط للزيارة مرة أخرى ، في حالة فاتتك هذه القصة ، بدأ هذا بخلل في أداة اقتصاص صور Google Pixel.
يمكنك اقتصاص صورة (صورة أو لقطة شاشة موجودة بالفعل على الهاتف) ، والضغط على [حفظ] فوق الصورة الأصلية ، وستحصل على ملف جديد تمامًا ...
... متبوعًا بالمحتوى المتبقي من الصورة السابقة.
وهو ما لن تلاحظه عند إعادة تحميل الصورة ، لأنه يوجد داخل البيانات التي تمت كتابتها مرة أخرى فوق الملف القديم علامة تقول ، "يمكنك التوقف هنا".
لذا فإن المختبِر الذي قام باقتصاص ملف وإعادة تحميله سيجد أنه يبدو صحيحًا ، ولكن من المحتمل أن يكون لديه بيانات اقتصاص متبقية.
لذلك هذا هو الخطأ أنت بالضبط لا أريدأليس كذلك؟
هواتف Google Pixel بها خلل خطير في تسرب البيانات - إليك ما يجب فعله!
وبالطبع ، لم يكن الخطأ خاصًا بهواتف Google أو Pixel أو برمجة Android أو مكتبات وقت تشغيل Java.
اتضح أن بعض أدوات اقتصاص الصور ولقطات الشاشة في Windows بها نفس الخطأ تمامًا ، وإن كان ذلك لأسباب مختلفة.
ما لا نعرفه ، دوج ، هو عدد * التطبيقات * الأخرى من هذا النوع (قد لا يكونون محررين للصور ؛ قد يكونون محرري فيديو أو محرري صوت ، أو أيًا كان) لديهم نوع مماثل من المشاكل.
إذا ذهبت إلى Microsoft Store وذهبت وقمت بتحديث أداة القطع ، فستحصل على إصدار لم يعد يعمل بهذه الطريقة.
وإذا كان لديك Windows 10 ، فماذا يسمى هناك ، دوغ؟
دوغ. قصاصة ورسم.
يسعدني أن أبلغكم أنني أستخدم أداة القطع طوال الوقت ، ويسعدني الإبلاغ عن تحديثها.
لم أفعل ذلك يدويًا ، لذلك إما تم إدخاله في تحديث سابق أو تم تحديثه تلقائيًا.
لكن من الجيد دائمًا التحقق.
بطة. نعم ، لقد وضعنا رابطًا لمقال Microsoft حول هذا الموضوع ، جنبًا إلى جنب مع أرقام الإصدارات الجديدة للبحث عنها ، في مقالة Naked Security.
لأنني ، دوغ ، لم أتفق تمامًا مع تقييم Microsoft لهذا الأمر.
لا أعرف ما هو رأيك ...
قالوا إنه خطأ منخفض الخطورة لأن "الاستغلال الناجح يتطلب تفاعل مستخدم غير مألوف وعدة عوامل خارجة عن سيطرة المهاجم".
والمشكلة بالنسبة لي في هذا البيان هي أن الأمر لا يتعلق بمهاجمتك أو محاولة خداعك للكشف عن صورة لم تقصدها.
تكمن المشكلة في أنك تقوم بتحرير الصورة على وجه التحديد لإزالة شيء لا تريده هناك ، والبيانات التي قمت بإزالتها بشكل واضح * لم تتم إزالتها *.
دوغ. بالحديث عن إزالة الأشياء ، لدينا شيء يسمى [GRUFF VOICE] عملية PowerOFF.
هل من العدل تسمية هذا ب مصيدة DDoS?
يستخدم رجال الشرطة خدمات DDoS الوهمية للتصدي لمجرمي الإنترنت المتمرسين
بطة. أعتقد أنه كذلك ، دوغ.
إنه شيء متعدد الجنسيات - على حد علمي ، على الأقل مكتب التحقيقات الفدرالي ، والشرطة الهولندية ، Bundeskriminalamt الألماني ، والوكالة الوطنية للجريمة في المملكة المتحدة متورطون في هذا الأمر.
وبقدر ما أعلم ، فإن فكرته هي محاولة تقديم ما يمكن أن تسميه "تثبيط الضغط العالي" للشباب الذين يعتقدون أنه سيكون من الرائع التسكع على هامش الجرائم الإلكترونية. [ضحك]
يبدو أنه من الثابت تمامًا أن الكثير من الشباب الذين يرغبون في غمس أصابعهم في الماء أثناء العمل على الجانب المظلم يميلون إلى الانجذاب نحو ما يسمى بخدمات DDoS (أو booter أو stresser).
وهذه هي خدمات الدفع عند الاستخدام التي يديرها محتالون آخرون ، حيث يمكنك بشكل أساسي الانتقام من موقع الويب الخاص بشخص ما.
أنت لا تقذف برمجيات خبيثة عليها ؛ لا تحاول اختراقه ؛ لا تحاول سرقة البيانات.
لذلك يبدو الأمر وكأنه مستوى منخفض جدًا من الإجرام: "أنا أدفع فقط للحصول على مجموعة كاملة من أجهزة الكمبيوتر العشوائية حول العالم على موقع ويب ، واسأل عن الصفحة الرئيسية كلها في نفس الوقت ولن تكون قادرة على التعامل. وهذا سوف يعلمهم ".
وهكذا ، كما تقول ، ما كانت تدور حوله عملية PowerOFF ... كان في الأساس موضع جذب.
"مرحبًا ، هل أنت مهتم بالبدء في التشغيل والتوتر؟ هل تتلاعب بجرائم الإنترنت؟ سجل هنا!"
وبالطبع ، لم تكن مشتركًا في موقع Cybercrooks ؛ كنت في الواقع تسجل مع رجال الشرطة.
وبعد فترة وجيزة ، عندما يسجل عدد كافٍ من الأشخاص ، يصبح الموقع فجأة ميتًا ثم يتم الاتصال بك ...
... وعليك ، كيف يمكنني أن أصفها ، "مناقشة خاصة" [ضحك] ، والتي أعتقد أنها تهدف إلى إثناءك عن القيام بذلك.
بقدر ما قد يبدو الأمر مضحكًا بالنسبة لك ، لا مالك الموقع ولا الشرطة ولا القضاة سيجدونه مسليًا إذا تم إحضارك إلى المحكمة ، لأنه يؤثر على أعمال الناس وسبل عيشهم.
والشيء الآخر الذي يقول رجال الشرطة إنهم حريصون عليه هو في الأساس خياطة نوع من الخلاف بين مجتمع الجرائم الإلكترونية.
عندما تقوم بالتسجيل في إحدى خدمات الويب المظلمة ، كيف تعرف ما إذا كنت تقوم بالتسجيل مع زملائك المجرمين ، أو مع رجال شرطة سريين؟
دوغ. هذا هو الخطر عندما يسمع الناس عن شبكات الروبوت أو شبكات الزومبي ...
... ربما جهاز كمبيوتر قديم لدي ولم يتم إصلاحه ، تم تشغيله في خزانة ملابسي أو أي شيء آخر ولا أهتم به حقًا.
إذا كان من الممكن الاستفادة منها في شبكة روبوت أو شبكة زومبي ، فيمكن استخدامها لأشياء من هذا القبيل.
على الرغم من أنني لا أقصد ذلك ، ولا أريد إزالة أي موقع ، إذا كان لدي جهاز كمبيوتر مصاب ، فيمكن استخدامه لأشياء مثل هذه.
بطة. إطلاقا.
لهذا السبب ، إذا كنت لا تزال تستخدم XP ، إذا لم تقم بتصحيح جهاز التوجيه المنزلي الخاص بك لمدة ثلاث سنوات ...
... أنت جزء من المشكلة وليس الحل.
لأنه يمكن استخدام جهاز الكمبيوتر أو جهاز التوجيه الخاص بك بهذه الطريقة.
دوغ. فيما يتعلق بموضوع إضاعة الوقت ، لئلا تعتقد أن اختبار الاختراق هو مضيعة للوقت ، فلدينا فوز في اختبار الاختراق لعملاق التجارة الإلكترونية WooCommerce.
يحتوي المكون الإضافي WooCommerce Payments لـ WordPress على فجوة على مستوى المسؤول - التصحيح الآن!
بطة. نعم - لحسن الحظ ، هذه هي الطريقة التي عملت بها.
لم يكشفوا عن أي تفاصيل حقيقية حول الخطأ ، لأسباب واضحة ، لأن أي شخص لم يتم تصحيحه ... ستفصح عن السر للناس ليقفزوا فيه.
يبدو الأمر وكأنه تنفيذ كود بعيد غير مصدق حيث يمكنك تشغيل بعض نصوص PHP ، وبينما كنت بصدد ذلك ، يمكنك الحصول على امتيازات المسؤول على الموقع.
الآن ، إذا قام شخص ما باقتحام موقع WordPress الخاص بك وقد يبدأ فجأة في وضع روابط زائفة أو طباعة أخبار مزيفة ، فهذا سيء بما فيه الكفاية.
ولكن عندما يكون موقع WordPress الذي تتحدث عنه هو في الواقع موقع يتعامل مع المدفوعات عبر الإنترنت ، وهو ما يدور حوله WooCommerce ، فإنه يصبح جادًا جدًا بالفعل!
كما تقول ، لحسن الحظ تم الكشف عن هذا بمسؤولية ، وتم تصحيحه.
تم إبلاغ WordPress وفريق Automattic (الأشخاص الذين يديرون WordPress) ، وبالنسبة لمعظم الأشخاص ، تم دفع التصحيحات تلقائيًا.
ولكن من المهم حقًا ، إذا قمت بتشغيل موقع WooCommerce ، أن تذهب وتأكد من أنك محدث.
لأنه إذا لم تكن كذلك ، فهناك احتمال أن يأتي المحتالون بحثًا عن فتحة الباب الخلفي هذه التي تتيح لهم الوصول إلى المسؤول.
وبالطبع ، بمجرد دخولهم ، يمكنهم الحصول على جميع أنواع الأشياء ، بما في ذلك كلمات مرور تسجيل الدخول المجزأة ، وما يعرف بمفاتيح واجهة برمجة التطبيقات أو رموز المصادقة.
بمعنى آخر ، تلك السلاسل السحرية من الأحرف التي يمكنك وضعها في طلبات الويب المستقبلية التي تسمح لك بالتفاعل مع الموقع كما لو كنت مصرحًا لك مسبقًا.
دوغ. وكيف نشعر تجاه الإسهاب؟
تم تمليح كلمات المرور هذه وتجزئتها ، لذلك "من غير المحتمل أن تكون كلمة مرورك قد تم اختراقها".
كيف يجعل ذلك الشعر خلف رقبتك؟
هل هو واقف أم لا يزال مستلقيًا؟
بطة. لقد وضعتها بشكل درامي أكثر مما كنت على استعداد لفعله في الطباعة في المقالة ، دوغ ... [ضحك]
... لكن أعتقد أنك ضربت المسمار في الرأس.
دوغ. نعم ، سأغير كلمة المرور الخاصة بي فقط في حالة حدوث ذلك.
بطة. نعم ، لقد قالوا نوعًا ما ، "حسنًا ، تم تجزئة كلمات المرور."
لم يذكروا كيف بالضبط ، ولم يعطوا أي تفاصيل حول مدى صعوبة كسرهم من خلال تجربة قاموس ضخم ضدهم.
وقالوا ، "لذلك ربما لا تحتاج إلى تغيير كلمة المرور الخاصة بك."
بالتأكيد هذا سبب وجيه للغاية لتغيير كلمة المرور الخاصة بك؟
فكرة تجزئة كلمات المرور هي أنه في حالة سرقتها ، فإن التجزئات تحتاج إلى كسرها أولاً ، وقد يستغرق ذلك أيامًا أو أسابيع أو شهورًا أو حتى سنوات ...
... يمنح الجميع الوقت للذهاب وتغيير كلمات المرور الخاصة بهم.
لذلك كنت أعتقد أنهم سيقولون فقط ، "اذهب وغيّر كلمة مرورك."
في الواقع ، كنت أتوقع تقريبًا أن أرى تلك الكلمات الغريبة "بدافع الحذر الشديد" ، دوغ!
دوغ. نعم بالضبط. [ضحك]
بطة. لذلك أنا لا أتفق مع ذلك.
أعتقد أن هذا * بالضبط * هو السبب الذي يجعلك تذهب وتغير كلمة مرورك.
وكما قلت عدة مرات ، إذا كان لديك مدير كلمات مرور وعليك فقط تغيير كلمة مرور واحدة ، فيجب أن تكون عملية سريعة للغاية.
الشيء الوحيد الذي قاله WooCommerce ، وهذا ما يجب عليك فعله تمامًا ، هو: أنت بحاجة للذهاب وإبطال كل ما يسمى بمفاتيح API.
تحتاج إلى التخلص منها وإعادة إنشائها لجميع البرامج التي تستخدمها والتي تتفاعل مع حسابات WooCommerce الخاصة بك.
ولدى WooCommerce نصائح حول كيفية القيام بذلك ؛ لقد وضعنا الرابط في مقالة Naked Security.
دوغ. حسنا.
وأخيراً وليس آخراً ... أشعر بسعادة غامرة عندما تفعل ذلك في عنوان رئيسي ؛ أنت فقط تقول "أبل تصحح كل شيء" ، وأنت تعني كل شيء.
وهذا يشمل أ إصلاح يوم الصفر لمستخدمي iOS 15 أيضًا.
تقوم Apple بتصحيح كل شيء ، بما في ذلك إصلاح يوم الصفر لمستخدمي iOS 15
بطة. نعم ، كان هذا هو الجزء المثير للفضول منه.
هناك إصلاحات للإصدارات الثلاثة المدعومة من macOS: Big Sur و Monterey و Ventura.
هناك تصحيحات لنظام tvOS و watchOS.
حتى أن هناك رقعة ، دوغ ، لشاشة Apple Studio Display ...
دوغ. [ضحك] بالطبع!
بطة. ... وهي شاشة رائعة ورائعة ، لأنها ليست مجرد شاشة ، إنها تحتوي على كاميرا ويب وجميع أنواع الأشياء الموجودة هناك.
يجب عليك توصيل الشاشة من أجل تطبيق التصحيح.
يقوم بشكل أساسي بتنزيل البرامج الثابتة على شاشتك.
قد يسمح الخطأ الموجود في البرنامج الثابت على الشاشة لأحد المحتالين بالوصول إلى نظام التشغيل على جهاز Mac الخاص بك والحصول على حق الوصول إلى تنفيذ التعليمات البرمجية على مستوى kernel.
دوغ. ووه ، هذا سيء.
بطة. هذا غريب جدًا ، أليس كذلك؟ [يضحك]
لكن التحديث الخارجي ، أو التحديث الفائق الأهمية ، كان لنظام iOS 15.
أولئك منكم لديهم أجهزة iPhone و iPad أقدم: تتضمن تحديثاتهم WebKit Zero-day ، وهو هجوم تنفيذ التعليمات البرمجية عن بُعد الذي يستغله بعض المحتالين بالفعل في مكان ما.
لذا ، إذا كان لديك جهاز iPhone قديم وكنت تستخدم نظام التشغيل iOS 15 ، فمن المؤكد أنه "لا تؤجل / تفعل ذلك اليوم".
لكنني أوصي بأن يكون لديك شعار Apple على أي شيء لديك.
لأنه عندما تنظر إلى مجموعة الأخطاء التي تم إصلاحها (لحسن الحظ) بشكل استباقي ، فإنها تغطي مجموعة واسعة من الخطايا.
لذا فهي تتضمن أشياء مثل (كما قلنا مع العرض) تنفيذ التعليمات البرمجية عن بُعد على مستوى kernel ؛ سرقة البيانات القدرة على إرسال حزمة بلوتوث مفخخة تتيح للمهاجم بعد ذلك التطفل على بيانات Bluetooth الأخرى الخاصة بك ؛ القدرة على تجاوز فحوصات عزل تنزيل Apple ؛ وعلة مثيرة للفضول تقول فقط "وصول غير مصرح به إلى ألبوم الصور المخفية".
لم أستخدم ألبوم الصور المخفية ، لكني أتخيل أنها الصور التي ترغب في الاحتفاظ بها ، لكنك بالتأكيد لا تريد أن يراها أي شخص آخر!
دوغ. [ساخرة] على الأرجح ، نعم. [ضحك]
بطة. التلميح في الاسم ، دوغ. [ضحك]
وأيضًا خطأ يتعلق بجذبك إلى موقع ويب مفخخ ، وبعد ذلك يمكن تتبع عادات التصفح الخاصة بك عبر الإنترنت.
لذلك ، هناك الكثير من الأسباب الوجيهة لتطبيق التصحيحات.
دوغ. حسنًا ، لدينا تعليق قوي جدًا ولكنه موجز ، فقد حان الوقت للاستماع إلى أحد قرائنا في بودكاست Naked Security.
وفي البداية شعرت بالدغدغة من هذا التعليق ، ولكن بعد ذلك فكرت ، "إذا كان لديك مجموعة من أجهزة Apple المختلفة ؛ إذا كنت من مستخدمي Apple ... فمن الصعب في الواقع تتبع كل هذه الأخطاء. "
بول ، أنت تقوم بعمل جيد جدًا في وضعهم جميعًا في مكان واحد ليراه الناس.
وفي مقال Apple هذا ، علق قارئ Naked Security Bart ، وأنا أقتبس: "شكرًا".
بطة. أود أن أفكر في هذا التعليق مجازيًا ، إن لم يكن حرفيًا ، على أنه كلمتين ، لأنه "شكرًا. علامة Excalamtion ".
دوغ. [يضحك] لقد تركت ذلك خارج الاقتباس ...
بطة. كما تقول ، كل شيء يصبح قليلاً على موقع Apple ، لأنك تنقر على رابط واحد وتفكر ، "أوه ، يا مرح ، أتساءل ما هي الأشياء المهمة هنا؟"
لذا فإن سبب كتابتها على Naked Security هو محاولة استخلاص تلك المعلومات ، التي توجد بها صفحات وصفحات وصفحات ، في قائمة من الروابط كلها في مكان واحد والتي تمنحك بالفعل رقم الإصدار الذي تحتاجه بعد الانتهاء التحديث (حتى تتمكن من التحقق من حصولك عليه) * و * شيء يخبرك ، "هذه هي الأشياء المهمة حقًا ؛ إليك الأخطاء التي يستغلها المحتالون بالفعل ؛ هذه هي الأخطاء التي كان من الممكن أن يكتشفها المحتالون ، ولكن لحسن الحظ ، إذا قمت بالتصحيح ، يمكنك المضي قدمًا ".
دوغ. حسنًا ، شكرًا جزيلاً لك بارت على إرسال هذا.
وإذا كانت لديك قصة مثيرة للاهتمام أو تعليق أو سؤال أو ... أفترض ، في هذه الحالة ، المداخلة التي ترغب في إرسالها ، فنحن نحب قراءتها في البودكاست.
بطة. [مبسوط] هذا هو * بالضبط * جزء الكلام الذي هو عليه ، أليس كذلك؟
دوغ. انها… المداخلة!
يظهر الإثارة أو العاطفة. [يضحك]
بطة. او كلاهما!
دوغ. او كلاهما. [يضحك]
يمكنك إرسال بريد إلكتروني إلى tips@sophos.com ، أو التعليق على إحدى مقالاتنا ، أو التواصل معنا على مواقع التواصل الاجتماعي:nakedsecurity.
هذا هو عرضنا لهذا اليوم. شكرا جزيلا على الاستماع.
بالنسبة لبول دوكلين ، أنا دوج آموث ، أذكرك حتى المرة القادمة بـ ...
على حد سواء. ابق آمنًا.
[مودم موسيقي]
- محتوى مدعوم من تحسين محركات البحث وتوزيع العلاقات العامة. تضخيم اليوم.
- بلاتوبلوكشين. Web3 Metaverse Intelligence. تضخيم المعرفة. الوصول هنا.
- المصدر https://nakedsecurity.sophos.com/2023/03/30/s3-ep128-so-you-want-to-be-a-cybercriminal-audio-text/
