الأمن الصامت! (هل هذا شيء جيد؟)
لا يوجد مشغل صوت أدناه؟ يستمع مباشرة على Soundcloud.
مع دوج آموث وبول دوكلين. موسيقى مقدمة وخاتمة بواسطة إديث مودج.
يمكنك الاستماع إلينا على SoundCloud لل, Apple Podcasts, Google Podcasts, سبوتيفي, الخياطة وفي أي مكان توجد فيه ملفات بودكاست جيدة. أو قم بإسقاط ملف عنوان URL لخلاصة RSS الخاصة بنا في podcatcher المفضل لديك.
اقرأ النص
دوغ. كلمات المرور وشبكات الروبوت والبرامج الضارة على جهاز Mac.
كل ذلك وأكثر على بودكاست Naked Security.
[مودم موسيقي]
مرحبا بكم في البودكاست ، الجميع.
أنا دوغ عاموث. هو بول دوكلين.
كيف حالك يا بول؟
بطة. [SKEPTICAL / SQUEAKY VOICE] البرامج الضارة على أجهزة Mac ؟؟!؟!؟ !!؟
بالتأكيد خطأ ما ، دوج؟
[ضحك]
دوغ. ماذا؟
يجب أن يكون هذا خطأ مطبعي. [يضحك]
حسنًا ، دعنا نصل إليه مباشرة.
بالطبع ، الجزء الأول من العرض هو دائمًا هذا الأسبوع في تاريخ التكنولوجيا قطعة.
وهذا الأسبوع - مثير! - أساسي.
إذا سبق لك استخدام إحدى النكهات العديدة للغة البرمجة الشائعة ، فقد تعلم أنها تمثلها لجميع الأغراض كود رمزي تعليم المبتدئين.
تم إصدار الإصدار الأول في كلية دارتموث في 01 مايو 1964 ، بهدف أن يكون سهلًا بما يكفي للتخصصات غير الرياضية وغير العلمية لاستخدامها ، بول.
أعتبر أنك قد انخرطت في أساسيات في حياتك؟
بطة. ربما كنت سأفعل ذلك بالضبط ، دوغ. [ضحك]
ولكن الأهم من Dartmouth BASIC ، بالطبع ، كان هذا عندما دخل DTSS ، نظام Dartmouth لمشاركة الوقت ، على الإنترنت ، بحيث يمكن للأشخاص استخدام Dartmouth BASIC ومجمع ALGOL الخاص بهم.
يمكن للعديد من الأشخاص المختلفين على teletypes مشاركة النظام في نفس الوقت ، وإدخال برامج BASIC الخاصة بهم ، وتشغيلها في الوقت الفعلي أثناء جلوسهم هناك.
واو ، منذ 59 عامًا ، دوج!
دوغ. لقد تغير الكثير…
بطة. ... وظل الكثير على حاله!
يمكن القول أن هذا هو المكان الذي بدأ فيه كل شيء - The Cloud. [ضحك]
"سحابة نيو إنجلاند" ... كانت كذلك حقًا.
أصبحت الشبكة مهمة للغاية.
ذهب إلى ماين ، على طول الطريق عبر نيو هامبشاير ، وصولاً إلى نيويورك ، على ما أعتقد ، ولونغ آيلاند.
المدارس والكليات والجامعات كلها مرتبطة ببعضها البعض حتى يتمكنوا من الاستمتاع بالبرمجة لأنفسهم.
إذن هناك شعور بـ اختار زائد كاليفورنيا التغيير، بالإضافة إلى c'est ميمي لا، دوغ. [كلما تغيرت الأشياء ، بقيت على حالها.]
دوغ. ممتازة.
حسنًا ، حسنًا ، سنتحدث عن Google ... وهذا يبدو أكثر شناعة قليلاً مما هو عليه في الواقع.
يمكن لـ Google الآن إجبار مزودي خدمة الإنترنت بشكل قانوني على تصفية حركة المرور ، لكنها ليست سيئة تمامًا كما تبدو.
هذا هو حركة المرور على شبكة الروبوتات، وذلك بسبب وجود شبكة آلية تستخدم مجموعة من عناصر Google لخداع الأشخاص.
Google تفوز بأمر محكمة لإجبار مزودي خدمة الإنترنت على تصفية حركة مرور الروبوتات
بطة. نعم ، أعتقد أنه يجب عليك أن تقول "أرفع رأسك" لـ Google للقيام بهذا التمرين الضخم الواضح.
لقد اضطروا إلى وضع حجة قانونية معقدة ومبررة حول سبب منحهم الحق في الذهاب إلى مزودي خدمة الإنترنت والقول ، "انظر ، عليك إيقاف حركة المرور القادمة من رقم IP هذا أو من هذا المجال."
لذلك فهي ليست مجرد إزالة للنطاق ، إنها في الواقع تقضي على حركة المرور الخاصة بهم.
وكانت حجة Google ، "إذا تطلب الأمر قانون العلامات التجارية للحصول عليها من أجل هذا ، حسنًا ، نريد أن نفعل ذلك لأن أدلةنا تظهر أن أكثر من 670,000 شخص في الولايات المتحدة قد أصيبوا بفيروس زومبي الضار ، CryptBot".
يسمح CryptBot بشكل أساسي لهؤلاء الأشخاص بتشغيل البرامج الضارة كخدمة أو خدمة سرقة البيانات كخدمة ...
... حيث يمكنهم التقاط لقطات شاشة ، وتصفح كلمات المرور الخاصة بك ، والاستيلاء على جميع الأشياء الخاصة بك.
670,000 ألف ضحية في الولايات المتحدة - ولا يقتصر الأمر على كونهم ضحايا أنفسهم ، لذا يمكن سرقة بياناتهم.
يمكن بيع أجهزة الكمبيوتر الخاصة بهم لمساعدة المحتالين الآخرين على استخدامها في ارتكاب المزيد من الجرائم.
يبدو كثيرًا ، دوغ.
على أي حال ، إنه ليس "ميثاق متطفل".
ليس لديهم الحق في أن يقولوا ، "أوه ، يمكن لـ Google الآن إجبار مزودي خدمة الإنترنت على النظر في حركة المرور وتحليل ما يحدث."
إنها تقول فقط ، "نعتقد أنه يمكننا عزل تلك الشبكة كمزود واضح وعلني للشر."
يبدو أن المشغلين موجودون خارج الولايات المتحدة ؛ من الواضح أنهم لن يظهروا في الولايات المتحدة للدفاع عن أنفسهم ...
... لذلك طلبت Google من المحكمة إصدار حكم بناءً على أدلتها.
وقالت المحكمة ، "نعم ، بقدر ما يمكننا أن نرى ، نعتقد أنه إذا ذهب هذا إلى المحاكمة ، إذا ظهر المتهمون ، نعتقد أن لدى Google فرصة قوية جدًا جدًا للفوز."
لذا أصدرت المحكمة أمرًا يقول: "دعونا نحاول التدخل في هذه العملية".
دوغ. وأعتقد أن الكلمة الأساسية هناك هي "حاول".
هل سيعمل شيء كهذا في الواقع؟
أو ما مقدار الرفع الثقيل اللازم لإعادة توجيه 670,000 جهاز كمبيوتر زومبي إلى مكان آخر لا يمكن حظره؟
بطة. أعتقد أن هذا عادة ما يحدث ، أليس كذلك؟
دوغ. نعم.
بطة. نرى في الجرائم الإلكترونية: تقطع رأسًا ، والآخر ينمو مرة أخرى.
لكن هذا ليس شيئًا يمكن أن يفعله المحتالون على الفور.
عليهم أن يذهبوا ويجدوا مزودًا آخر مستعدًا للمخاطرة ، مع العلم أنهم جعلوا وزارة العدل الأمريكية تنظر إليهم من مسافة بعيدة ، مع العلم أن الولايات المتحدة ربما أثارت الآن بعض الاهتمام ، ربما ، في العدالة قسم في بلدهم.
لذلك أعتقد أن الفكرة هي أن تقول للمحتالين ، "يمكنك أن تختفي من موقع وتخرج في موقع آخر يسمى شركة الاستضافة المضاد للرصاص ، لكننا نراقبك وسوف نجعل الأمر صعبًا."
وإذا قرأت بشكل صحيح ، يا دوغ ، فإن أمر المحكمة يسمح أيضًا لـ Google ، لهذه الفترة المحدودة ، بإضافة مواقع جديدة من جانب واحد تقريبًا إلى قائمة الحظر.
لذا فهم الآن في هذا الموقف الموثوق به أنهم إذا رأوا المحتالين يتحركون ، وكانت أدلتهم قوية بما فيه الكفاية ، يمكنهم فقط أن يقولوا ، "نعم ، أضف هذا ، أضف هذا ، أضف ذلك."
في حين أنه قد لا * يوقف * نشر البرامج الضارة ، فإنه على الأقل قد يسبب بعض المتاعب للمحتالين.
قد يساعد عملهم على الركود قليلاً.
كما قلت ، قد يجذب بعض إنفاذ القانون في بلدهم بعض الاهتمام للذهاب وإلقاء نظرة حولهم.
وقد يحمي القليل من الأشخاص الذين قد يقعون في الحيلة لولا ذلك.
دوغ. وهناك بعض الأشياء التي يمكن لمن في المنزل القيام بها ، بدءًا من: ابتعد عن المواقع التي تقدم تنزيلات غير رسمية للبرامج الشهيرة.
بطة. في الواقع ، دوغ.
الآن ، لا أقول إن جميع التنزيلات غير الرسمية ستحتوي على برامج ضارة.
لكن من الممكن عادةً ، على الأقل إذا كان منتجًا رئيسيًا ، على سبيل المثال ، أنه منتج مجاني ومفتوح المصدر ، للعثور على الموقع الحقيقي الوحيد ، والذهاب والحصول على الشيء مباشرة من هناك.
نظرًا لأننا رأينا حالات في الماضي حيث حتى ما يسمى بمواقع التنزيل الشرعية التي يتم توجيهها للتسويق لا يمكنها مقاومة تقديم تنزيلات للبرامج المجانية التي تقوم بتغليفها في أداة تثبيت تضيف أشياء إضافية ، مثل البرامج الإعلانية أو النوافذ المنبثقة التي لا تستخدمها. ر تريد ، وهلم جرا.
دوغ. [IRONIC] وشريط أدوات متصفح مفيد بالطبع.
بطة. [يضحك] لقد نسيت أشرطة أدوات المتصفح ، دوغ!
[المزيد من الضحك]
ابحث عن المكان المناسب ، ولا تذهب فقط إلى محرك بحث واكتب اسم منتج ثم خذ الرابط العلوي.
قد ينتهي بك الأمر في موقع دجال .. هذا * ليس * كافيًا للعناية الواجبة.
دوغ. وعلى هذا المنوال ، أخذ الأمور خطوة إلى الأمام: لا تغري أبدًا بالذهاب إلى برنامج مقرصن أو متصدع.
بطة. هذا هو الجانب المظلم للنصيحة السابقة.
من السهل أن تصنع قضية لنفسك ، أليس كذلك؟
"أوه ، عمري قليلاً. هذه المرة فقط ، أحتاج إلى استخدام هذا الذي هو والآخر باهظ الثمن. أنا فقط بحاجة للقيام بذلك مرة واحدة وبعد ذلك سأكون جيدًا بعد ذلك ، بصراحة ".
وأنت تفكر ، "ما الضرر الذي ستحدثه؟ لن أدفع لهم على أي حال ".
لا تفعل ذلك للأسباب التالية:
(أ) إنه غير قانوني.
(ب) ينتهي بك الأمر حتمًا إلى التوفيق بين الأشخاص الذين يقفون وراء عملية احتيال CyptoBot هذه - فهم يأملون في أن تكون يائسًا ، وبالتالي ستكون أكثر ميلًا إلى الوثوق بهم ، حيث ستذهب عادةً ، "تبدو مثل حفنة من الدجالين ".
(ج) وبالطبع ، أخيرًا ، سيكون هناك دائمًا بديل مجاني أو مفتوح المصدر يمكنك استخدامه.
قد لا تكون جيدة. قد يكون من الصعب استخدامه ؛ قد تحتاج إلى استثمار القليل من الوقت في تعلم كيفية استخدامه.
ولكن إذا كنت لا تحب دفع ثمن المنتج الكبير حقًا لأنك تعتقد أنهم أغنياء بما يكفي بالفعل ، فلا تسرق أشياءهم لإثبات نقطة ما!
اذهب وضع طاقتك وزخمك ودعمك المرئي بشكل قانوني وراء شخص * يريد * أن يوفر لك المنتج مجانًا.
هذا هو شعوري ، دوغ.
دوغ. نعم.
ألصقها بالرجل * قانونيًا *.
وأخيرًا ، أخيرًا وليس آخرًا: ضع في اعتبارك تشغيل أدوات حظر البرامج الضارة في الوقت الفعلي.
هذه هي الأشياء التي تفحص التنزيلات ويمكنها إخبارك ، "مرحبًا ، هذا يبدو سيئًا".
ولكن أيضًا ، إذا حاولت تشغيل شيء سيء ، فسيقولون في وقت التشغيل ، "لا!"
بطة. نعم.
لذلك بدلاً من مجرد القول ، "حسنًا ، يمكنني فحص الملفات التي حصلت عليها بالفعل: هل هي جيدة أم سيئة أم غير مبالية؟" ...
... لديك فرصة أقل في تعريض نفسك للأذى * في المقام الأول *.
وبالطبع سيكون أمرًا جبنيًا أن أذكر أن Sophos Home (https://sophos.com/home) هي إحدى الطرق التي يمكنك من خلالها القيام بذلك.
مجاني لما يصل إلى ثلاثة من مستخدمي Mac و Windows على حسابك ، على ما أعتقد. دوغ؟
دوغ. صيح.
بطة. ورسوم متواضعة تصل إلى 10 مستخدمين.
والشيء الجميل أنه يمكنك وضع الأصدقاء والعائلة في حسابك ، حتى لو كانوا يعيشون عن بُعد.
لكنني لن أذكر ذلك ، لأن ذلك سيكون تجاريًا بشكل مفرط ، أليس كذلك؟
دوغ. [ابتسامة لفظية] بالطبع ، دعونا لا نفعل ذلك.
دعونا نتحدث عن أبل.
هذه مفاجأة ... لقد فاجأونا جميعًا بالجديد استجابة أمنية سريعة مبادرة.
ماذا حدث هنا يا بول؟
بطة. حسنًا ، دوج ، لقد تلقيت هذه الاستجابة الأمنية السريعة!
كان التنزيل بضع عشرات من الميجابايت ، حسب ما أتذكر ؛ التحقق بضع ثوان ... ثم أصبح هاتفي أسود.
ثم أعيد تشغيله والشيء التالي الذي عرفته ، لقد عدت إلى حيث بدأت ، وكان لدي التحديث: iOS 16.4.1 (أ).
(لذلك هناك رقم إصدار جديد غريب يتناسب معه أيضًا.)
الجانب السلبي الوحيد الذي يمكنني رؤيته ، دوغ ، هو أنه ليس لديك فكرة عن الغرض من ذلك.
لاشيء على الاطلاق.
ولا حتى قليلاً مثل ، "أوه ، آسف ، لقد وجدنا صفر يوم في WebKit ، اعتقدنا أنه من الأفضل إصلاحه" ، والذي سيكون من الجيد معرفة ذلك.
فقط لا شئ!
لكن ... صغير وسريع.
كان هاتفي خارج الخدمة لمدة ثوانٍ بدلاً من عشرات الدقائق.
نفس التجربة على جهاز Mac الخاص بي.
بدلاً من 35 دقيقة من الطحن ، "الرجاء الانتظار ، يرجى الانتظار ، يرجى الانتظار" ، ثم إعادة التشغيل ثلاث أو أربع مرات و "أوه ، هل سيعود؟" ...
... في الأساس ، تحولت الشاشة إلى اللون الأسود ؛ بعد ثوانٍ ، أكتب كلمة المرور الخاصة بي وأعد التشغيل مرة أخرى.
إذاً ها أنت ذا يا دوغ.
استجابة أمنية سريعة.
لكن لا أحد يعرف لماذا. [ضحك]
دوغ. ربما ليس من المستغرب ، ولكن لا يزال من الرائع أن يكون لديهم هذا النوع من البرامج في مكانه الصحيح.
لذلك دعنا نبقى في قطار Apple ونتحدث عن كيف يمكنك أيضًا الدخول إلى لعبة ماك الخبيثةبول.
بطة. نعم ، هذا بالتأكيد تذكير جيد بأنه إذا كنت لا تزال مقتنعًا بأن أجهزة Mac لا تحتوي على برامج ضارة ، فكر مرة أخرى.
هؤلاء هم باحثون في شركة تدعى Cyble ، ولديهم ، بشكل أساسي ، نوع من فريق مراقبة الويب المظلم.
إذا كنت ترغب في ذلك ، فهم يحاولون عمدًا الاستلقاء مع الكلاب لمعرفة البراغيث التي يجذبونها [ضحك] حتى يتمكنوا من العثور على الأشياء التي تحدث قبل ظهور البرامج الضارة ... أثناء عرضها للبيع ، على سبيل المثال.
وهذا بالضبط ما وجدوه هنا.
وللتوضيح فقط: هذه ليست برامج ضارة تصادف أنها تشتمل على متغير Mac.
وهي تستهدف تمامًا مساعدة مجرمي الإنترنت الآخرين الذين يرغبون في استهداف فتيات وفتيات المعجبين في Mac مباشرةً.
يطلق عليه عاموس ، دوج: الذرية ماك سارق.
لا يدعم Windows ؛ لا يدعم لينكس. لا يعمل في متصفحك. [ضحك]
ويقدم المحتالون ، عبر قناة سرية على Telegram ، هذه "الخدمة الكاملة" التي تتضمن ما يسمونه "DMG معدة بشكل جميل" [Apple Disk Image ، الذي يشيع استخدامه لتقديم أدوات تثبيت Mac].
لذا فهم يدركون ، على ما أعتقد ، أن مستخدمي Mac يتوقعون أن تبدو البرامج بشكل صحيح ، وأن تبدو جيدة ، وأن يتم تثبيتها بطريقة معينة شبيهة بنظام Mac.
وقد حاولوا اتباع جميع هذه الإرشادات ، وإنتاج برنامج يمكن تصديقه قدر الإمكان ، لا سيما أنه يحتاج إلى طلب كلمة مرور المسؤول الخاصة بك حتى يتمكن من القيام بأقذر الأشياء ... سرقة جميع كلمات مرور سلسلة المفاتيح الخاصة بك ، ولكن يحاول القيام بذلك بطريقة يمكن تصديقها.
ولكن بالإضافة إلى ذلك ، لا يمكنك فقط (بصفتك مخترقًا إلكترونيًا يريد ملاحقة مستخدمي Mac) الوصول إلى بوابتهم عبر الإنترنت ، لذلك لا داعي للقلق بشأن تجميع البيانات بنفسك ... -من أجل هذا.
لذا ، إذا قمت بشن هجوم ولا يمكن أن تتضايق من الاستيقاظ في الصباح ، فقم بتسجيل الدخول فعليًا إلى بوابتك الإلكترونية ، وتحقق مما إذا كنت ناجحًا ، فسيرسلون لك رسائل في الوقت الفعلي عبر Telegram إلى يخبرك أين نجح هجومك ، ويمنحك أيضًا إمكانية الوصول إلى البيانات المسروقة.
هناك حق في التطبيق.
على هاتفك.
لا حاجة لتسجيل الدخول ، دوغ.
دوغ. [IRONIC] حسنًا ، هذا مفيد.
بطة. كما تقول ، 1,000 دولار شهريًا.
هل هذا كثير أم قليلاً مقابل ما تحصل عليه؟
لا أعلم .. لكننا على الأقل نعرف عنها الآن ، دوج.
وكما قلت ، بالنسبة لأي شخص لديه جهاز Mac ، فهو تذكير بأنه لا يوجد أمان سحري يحصنك من البرامج الضارة على جهاز Mac.
تقل احتمالية تعرضك للبرامج الضارة ، ولكن وجود برامج ضارة أقل * على أجهزة Mac مما تحصل عليه على Windows لا يعني عدم وجود برامج ضارة * وعدم التعرض لخطر مجرمي الإنترنت.
دوغ. احسنت القول!
لنتحدث عن كلمات المرور.
اليوم العالمي لكلمة المرور قادم ، وسأنتقل إلى المطاردة ، لأنك سمعتنا ، في هذا البرنامج بالذات ، على سبيل المثال ، مرارًا وتكرارًا ...
… استخدم مدير كلمات المرور إذا استطعت ؛ استخدم 2FA عندما تستطيع.
تلك التي نسميها نصائح خالدة.
ولكن بعد ذلك نصيحتين أخريين للتفكير فيهما.
رقم 1: تخلص من الحسابات التي لا تستخدمها.
كان علي أن أفعل هذا عندما تم اختراق LastPass.
إنها ليست عملية ممتعة ، لكنها شعرت بأنها مريحة للغاية.
والآن ، على ما أعتقد ، لم أعد أستخدم سوى الحسابات التي ما زلت أستخدمها بنشاط.
بطة. نعم ، كان من الممتع سماعك تتحدث عن ذلك.
هذا بالتأكيد يقلل مما يسمى ، في المصطلحات ، "منطقة هجومك".
كلمات مرور أقل ، أقل لتخسرها.
دوغ. ثم شخص آخر للتفكير فيه: قم بإعادة زيارة إعدادات استرداد حسابك.
بطة. أعتقد أنه من المفيد تذكير الأشخاص بذلك ، لأنه من السهل أن تنسى أنه ربما يكون لديك حساب لا تزال تستخدمه ، وأنك تعرف كيفية تسجيل الدخول ، ولكنك نسيت أين يذهب البريد الإلكتروني المخصص للاسترداد ، أو (إذا هناك رمز SMS) ما هو رقم الهاتف الذي أدخلته.
لم تكن بحاجة لاستخدامه لمدة سبع سنوات ونصف ؛ لقد نسيت كل شيء عنها.
وربما أدخلت ، على سبيل المثال ، رقم هاتف لم تعد تستخدمه بعد الآن.
مما يعني أنه: (أ) إذا كنت بحاجة إلى استرداد الحساب في المستقبل ، فلن تكون قادرًا على ذلك ، و (ب) لكل ما تعرفه ، كان من الممكن إصدار رقم الهاتف هذا لشخص آخر في هذه الأثناء .
بالضبط نفس الشيء مع حساب بريد إلكتروني.
إذا كان لديك بريد إلكتروني مخصص للطوارئ ينتقل إلى حساب بريد إلكتروني فقدت تعقبه ... ماذا لو كان شخص آخر قد دخل بالفعل في هذا الحساب؟
الآن ، قد لا يدركون الخدمات التي ربطتها بها ، لكنهم ربما يجلسون هناك فقط يشاهدونها.
واليوم الذي * تفعل * تضغط [Recover my password]، * سيتلقون * الرسالة وسيذهبون ، "مرحبًا ، يبدو هذا مثيرًا للاهتمام" ، وبعد ذلك يمكنهم الدخول والاستيلاء على حسابك بشكل أساسي.
لذا فإن تفاصيل الاسترداد هذه مهمة حقًا.
إذا كانت هذه قديمة ، فهي أكثر أهمية تقريبًا من كلمة المرور الموجودة في حسابك الآن ، لأنها مفاتيح متساوية لقلعتك.
دوغ. حسنًا ، جيد جدًا.
لذلك هذا العام ، يومًا عالميًا سعيدًا جدًا لكلمة المرور ... خذ بعض الوقت للحصول على البط الخاص بك في صف واحد.
مع بدء غروب الشمس في عرضنا ، حان الوقت للاستماع إلى أحد قرائنا - تعليق مثير للاهتمام حول البودكاست الأسبوع الماضي.
للتذكير ، يتوفر البودكاست في وضع الصوت وفي شكل مكتوب.
يتعرق بول أثناء قراءة نص كل أسبوع ، ويقوم بعمل رائع - إنه بودكاست مقروء للغاية.
لذلك ، كان لدينا قارئ ، فورست ، يكتب عن البودكاست الأخير.
كنا نتحدث عن اختراق PaperCut، وأن أحد الباحثين قد أصدر نصًا لإثبات المفهوم [PoC] يمكن للناس استخدامه بسهولة ...
بطة. [متحمس] لتصبح قراصنة على الفور!
دوغ. بالضبط.
بطة. دعونا نضع عدم تغريم نقطة على ذلك. [ضحك]
دوغ. هكذا كتب فورست:
من أجل الاستياء الكامل من البرنامج النصي PaperCut PoC. أعتقد أنه من المهم أيضًا أن نفهم أن PoCs تسمح لكل من الجهات الفاعلة الجيدة والسيئة بإظهار المخاطر.
في حين أنه يمكن أن يكون ضارًا بمؤسسة ما ، فإن إظهار المخاطر أو مشاهدة شخص ما يتملكها هو ما يدفع الإصلاح والتصحيح.
لا يمكنني إحصاء عدد المرات التي رأيت فيها فرق إدارة الثغرات تشعل النيران ضمن موارد تكنولوجيا المعلومات الخاصة بهم فقط بعد أن قمت بتسليح CVE البالغة من العمر 10 سنوات والتي رفضوا تصحيحها.
نقطة جيدة.
بول ، ما رأيك في ذلك؟
ثغرات أمنية في PaperCut تتعرض لهجوم نشط - يحث البائع العملاء على التصحيح
بطة. أحصل النقطة.
أنا أفهم ما هو كل شيء عن الكشف الكامل.
لكني أعتقد أن هناك فرقًا كبيرًا بين نشر إثبات للمفهوم يمكن لأي شخص يعرف كيفية تنزيل ملف نصي وحفظه على سطح المكتب أن يستخدمه ليصبح مسيئًا فوريًا للثغرة الأمنية ، * بينما نعلم ذلك هذه ثغرة أمنية يتم استغلالها حاليًا من قبل أشخاص مثل مجرمي برامج الفدية و cryptojackers *.
هناك فرق بين طمس ذلك الشيء بينما لا يزال الخطر واضحًا وقائمًا ، ومحاولة تغيير إدارتك لإصلاح شيء عمره 10 سنوات.
أعتقد أنه في عالم متوازن ، ربما كان بإمكان هذا الباحث ببساطة أن يشرح كيف فعلوا ذلك.
كان بإمكانهم عرض طرق Java التي استخدموها ، وتذكيرك بالطرق التي تم استغلالها من قبل.
كان من الممكن أن يصنعوا مقطع فيديو صغيرًا يوضح أن هجومهم نجح ، إذا أرادوا التسجيل كواحد من أوائل الأشخاص الذين توصلوا إلى PoC.
لأنني أدرك أن هذا أمر مهم: فأنت تثبت جدارتك لأصحاب العمل المحتملين في المستقبل الذين قد يوظفونك في البحث عن التهديدات.
لكن في هذه الحالة ...
... أنا لست ضد إطلاق سراح PoC.
لقد شاركت رأيك للتو في البودكاست.
دوغ. لقد كان أكثر * شخير * من * ساخط *.
بطة. نعم ، لقد قمت بنسخ ذلك كـ AAAAARGH. [يضحك]
دوغ. ربما كنت سأذهب مع NNNNNGH ، لكن ، نعم.
بطة. النسخ هو نفس القدر من الفن مثل العلم ، دوج. [ضحك]
أرى ما يقوله المعلق هناك ، وأدركت أن المعرفة قوة.
ولقد وجدت * أن النظر إلى PoC مفيد ، لكنني لم أكن بحاجة إليه كنصوص بايثون عاملة ، حتى لا يستطيع الجميع القيام بذلك * في أي وقت * يشعرون به.
دوغ. حسنًا ، شكرًا جزيلاً لك ، فورست ، لإرسال ذلك.
إذا كانت لديك قصة مثيرة للاهتمام أو تعليق أو سؤال ترغب في إرساله ، فنحن نحب قراءته في البودكاست.
يمكنك إرسال بريد إلكتروني إلى tips@sophos.com ، أو التعليق على أي من مقالاتنا ، أو يمكنك التواصل معنا على مواقع التواصل الاجتماعي:nakedsecurity.
هذا هو عرضنا لهذا اليوم. شكرا جزيلا على الاستماع.
بالنسبة لبول دوكلين ، أنا دوج آموث ، أذكرك حتى المرة القادمة بـ ...
على حد سواء. كن آمنا!
[مودم موسيقي]
- محتوى مدعوم من تحسين محركات البحث وتوزيع العلاقات العامة. تضخيم اليوم.
- أفلاطونايستريم. ذكاء بيانات Web3. تضخيم المعرفة. الوصول هنا.
- سك المستقبل مع أدرين أشلي. الوصول هنا.
- شراء وبيع الأسهم في شركات ما قبل الاكتتاب مع PREIPO®. الوصول هنا.
- المصدر https://nakedsecurity.sophos.com/2023/05/04/s3-ep133-apple-takes-tight-lipped-to-a-whole-new-level/
