دوامة PYTHON PERSPECTIVE VORTEX
لا يوجد مشغل صوت أدناه؟ يستمع مباشرة على Soundcloud.
مع دوج آموث وبول دوكلين. موسيقى مقدمة وخاتمة بواسطة إديث مودج.
يمكنك الاستماع إلينا على SoundCloud لل, Apple Podcasts, Google Podcasts, سبوتيفي, الخياطة وفي أي مكان توجد فيه ملفات بودكاست جيدة. أو قم بإسقاط ملف عنوان URL لخلاصة RSS الخاصة بنا في podcatcher المفضل لديك.
اقرأ النص
دوغ. جرائم الإنترنت بعد الجرائم الإلكترونية ، وبعض تحديثات Apple ، وهجوم على مستودع كود المصدر.
كل ذلك وأكثر على بودكاست Naked Security.
[مودم موسيقي]
مرحبا بكم في البودكاست ، الجميع.
أنا دوغ عاموث. هو بول دوكلين.
كيف حالك يا بول؟
بطة. بخير شكرا لك. دوغلاس!
هل كان ذلك مبتهجا بما فيه الكفاية؟
دوغ. كان ذلك جيدًا.
مثل ، 7/10 على مقياس السعادة ، وهو أساس جيد جدًا.
بطة. أوه ، أردت أن أشعر أنها أعلى من ذلك.
ما قلته زائد 2.5 / 10.
دوغ. [دهشة مبالغ فيها] أوه ، بول ، يبدو صوتك رائعًا!
بطة. [يضحك] شكرًا لك ، دوغ.
دوغ. حسنًا ، قد يدفعك هذا إلى 10/10 ، ثم ... هذا الأسبوع في تاريخ التكنولوجيا.
في 22 مايو 1973 ، في مركز أبحاث Xerox Palo Alto [PARC] ، كتب الباحث روبرت ميتكالف مذكرة اقترح طريقة جديدة لربط أجهزة الكمبيوتر معًا.
مستوحاة من سلفها ، AlohaNet ، التي درسها Metcalfe كجزء من أطروحة الدكتوراه الخاصة به ، فإن التكنولوجيا الجديدة ستسمى Ethernet ، إشارة إلى مادة "الأثير المضيء" ، التي كان يُعتقد أنها وسيلة لنشر موجات الضوء.
بطة. لقد كان بالتأكيد أسرع بكثير من 160 كيلوبايت ، أقراص مرنة أحادية الجانب وذات كثافة واحدة! [ضحك]
دوغ. يمكن أن يكون أسوأ!
على أية حال ، عند الحديث عن "الأسوأ" و "السوء" ، حصلنا على أول تحديث للجريمة اليوم.
تقدم الولايات المتحدة مكافأة 10 ملايين دولار لمشتبه به روسي فيروسات الفدية.
الولايات المتحدة تعرض 10 ملايين دولار مكافأة لبرامج الفدية الروسية المشتبه بها في لائحة الاتهام
هذا كثير من المال ، بول!
يجب أن يكون هذا الرجل قد فعل شيئًا سيئًا جدًا.
بيان وزارة العدل:
يُزعم أن [هذا الشخص ورفاقه المتآمرين] استخدموا هذه الأنواع من برامج الفدية لمهاجمة آلاف الضحايا في الولايات المتحدة وحول العالم. ومن بين هؤلاء الضحايا وكالات إنفاذ القانون والوكالات الحكومية الأخرى والمستشفيات والمدارس.
إجمالي طلبات الفدية التي يُزعم أن أعضاء حملات الفدية العالمية الثلاث هذه قدمها لضحاياهم تصل إلى 400 مليون دولار ، بينما يصل إجمالي مدفوعات الفدية للضحية إلى 200 مليون دولار.
هجمات وقت كبير ... الكثير من الأموال المتبادلة هنا ، بول.
بطة. عندما تحاول تعقب شخص يقوم بأشياء غادرة في الخارج وتفكر ، "كيف بحق السماء سنفعل هذا؟ لن يظهروا أبدًا في المحكمة هنا "...
ربما نقدم فقط بعض المكاسب القذرة للناس في بلد ذلك الشخص الآخر ، وسوف يقوم شخص ما بتسليمه؟
وإذا كانوا يعرضون 10 ملايين دولار (حسنًا ، هذا الحد الأقصى الذي يمكنك الحصول عليه) ، فلا بد أنهم حريصون جدًا.
وفهمي ، في هذه الحالة ، هو سبب حرصهم على أن هذا المشتبه به بالتحديد متهم بأنه ، إن لم يكن القلب والروح ، واحد على الأقل من هذين الأمرين لثلاث سلالات مختلفة من برامج الفدية: LockBit و Hive وبابوق.
اشتهر بابوك بتسريب الكود المصدري الخاص به (إذا لم أكن مخطئًا ، من قبل أحد المنتسبين الساخطين) ، وقد وجد طريقه الآن إلى GitHub ، حيث يمكن لأي شخص يريد الحصول على جزء التشفير.
وعلى الرغم من صعوبة الشعور بأي تعاطف على الإطلاق مع الأشخاص الموجودين في مرمى وزارة العدل ومكتب التحقيقات الفيدرالي بسبب هجمات برامج الفدية ...
... إذا كان هناك أي قطرات من التعاطف الكامنة ، فإنها تتبخر بسرعة كبيرة عندما تبدأ في القراءة عن المستشفيات والمدارس بين ضحاياها العديدين.
دوغ. نعم.
بطة. لذلك عليك أن تفترض أنه من غير المحتمل أن يروه في أي محكمة أمريكية ...
... لكن أعتقد أنهم اعتقدوا أنه من المهم جدًا عدم المحاولة.
دوغ. بالضبط.
كما نود أن نقول ، سنراقب ذلك.
وأثناء انتظارنا ، يرجى الذهاب وإلقاء نظرة على تقرير حالة برامج الفدية لعام 2023.
يحتوي على مجموعة من الحقائق والأرقام التي يمكنك استخدامها للمساعدة في حماية مؤسستك من الهجمات.
هذا متاح في: sophos.com/ransomware2023.
بطة. تلميح واحد صغير يمكنك تعلمه من التقرير: "مفاجأة ، مفاجأة ؛ يكلفك ما يقرب من نصف ما يمكنك استرداده من النسخ الاحتياطية كما يكلفك من دفع الفدية ".
لأنه حتى بعد دفع الفدية ، لا يزال لديك الكثير من العمل الذي يتعين عليك القيام به لاستعادة النسخة الاحتياطية.
وهذا يعني أيضًا أنك لا تدفع للمحتالين.
دوغ. بالضبط!
حسنًا ، لدينا تحديث آخر عن الجريمة.
هذه المرة ، أصبح أصدقاؤنا في iSpoof ، الذين ، يجب أن أعترف ، لديهم فريق تسويق جيد جدًا.
ماعدا تم القبض على الجميع وكل هذا النوع من الأشياء ...
Kingpin للاحتيال عبر الهاتف يحصل على 13 عامًا لتشغيل خدمة "iSpoof"
بطة. نعم ، هذا تقرير من شرطة العاصمة في لندن حول قضية مستمرة منذ نوفمبر 2022 ، عندما كتب لأول مرة عن هذا على nakedsecurity.sophos.com.
شاب يدعى تيجاي فليتشر ، وأعتقد أن 169 شخصًا آخر اعتقدوا أنهم مجهولون ولكن تبين أنهم لم يكونوا كذلك ، تم القبض عليهم.
وزميل فليتشر هذا ، الذي كان رئيسًا لهذا ، حُكم عليه للتو بالسجن 13 عامًا و 4 أشهر ، دوج.
هذه جملة كبيرة جدًا وفقًا لمعايير أي دولة!
والسبب هو أن هذه الخدمة كانت تدور حول مساعدة مجرمي الإنترنت الآخرين ، مقابل عملات البيتكوين ، لخداع الضحايا بشكل معقول للغاية.
لم تكن بحاجة إلى أي قدرة فنية.
يمكنك فقط الاشتراك في الخدمة ، ثم البدء في إجراء مكالمات هاتفية حيث يمكنك اختيار الرقم الذي سيظهر في الطرف الآخر.
لذلك إذا كان لديك فكرة أن شخصًا ما قام بعمل بنك مع شركة XYZ Banking Corporation ، فيمكنك جعل هاتفه يضيء قائلاً ، "مكالمة واردة من شركة XYZ Banking Corporation" ، ثم ابدأ في schpiel الخاص بك.
يبدو من تقارير الوكالة الوطنية لمكافحة الجريمة في ذلك الوقت أن "عملائها" أجروا ملايين المكالمات من خلال هذه الخدمة. وكان لديهم ما يقرب من 10٪ معدل نجاح ، حيث يتم قياس النجاح أن المتصل كان على الخط لمدة دقيقة على الأقل.
وعندما تعتقد أن شيئًا ما هو مكالمة احتيال ... تغلق المكالمة بسرعة كبيرة ، أليس كذلك؟
دوغ. الدقيقة هي وقت طويل!
بطة. وهذا يعني أنهم ربما ربطوا الشخص.
ويمكنك أن ترى السبب ، لأن كل شيء يبدو قابلاً للتصديق.
إذا لم تكن على علم بأن رقم معرف المتصل (أو رقم تعريف المتصل) الذي يظهر على هاتفك ليس أكثر من مجرد تلميح ، يمكن لأي شخص أن يضعه في أي شيء ، وأن أي شخص لديه أسوأ اهتماماتك في قلبه يريد أن يطاردك يمكنهم ، مقابل نفقات شهرية متواضعة ، الشراء في خدمة تساعدهم على القيام بذلك تلقائيًا ...
إذا كنت لا تعرف أن هذا هو الحال ، فمن المحتمل أن يكون لديك طريق حارس خاص بك ، وستتوقف كثيرًا عندما تأتي تلك المكالمة وتقول ، "أنا أتصل من البنك. يمكنك أن ترى ذلك من الرقم. يا عزيزي ، كان هناك احتيال في حسابك "، ثم يخبرك المتصل للقيام بمجموعة كاملة من الأشياء التي لن تستمع إليها للحظة.
إن مدى وصول هذه الخدمة ، والعدد الكبير من الأشخاص الذين يستخدمونها (كان لديه عشرات الآلاف من "العملاء" ، على ما يبدو) ، والعدد الهائل من المكالمات ومقدار الضرر المالي الذي حدث ، والذي وصل إلى الملايين ، هو السبب في أنه حصلت على مثل هذه الجملة الخطيرة.
دوغ. جزء من سبب تمكنهم من جذب الكثير من العملاء هو أن هذا كان على موقع ويب يواجه الجمهور.
لم يكن على شبكة الإنترنت المظلمة ، وكان تسويقًا رائعًا جدًا.
إذا توجهت إلى المقالة ، فهناك فيديو تسويقي مدته 53 ثانية يحتوي على ممثل صوتي محترف ، وبعض الرسوم المتحركة الممتعة.
إنه فيديو جيد جدًا!
بطة. نعم!
لقد اكتشفت خطأً إملائيًا واحدًا فيه ... لقد كتبوا "التشفير من طرف إلى طرف" بدلاً من "التشفير من طرف إلى طرف" ، وهو ما لاحظته لأنه كان من المفارقات.
لأن الفرضية الكاملة لهذا الفيديو - تقول ، "مرحبًا ، كعميل أنت مجهول الهوية تمامًا."
لقد صنعوا خطوة كبيرة من ذلك.
دوغ. أعتقد أنه ربما كان "نهاية للتشفير". [يضحك]
بطة. نعم ... ربما تكون مجهول الهوية لضحاياك ، لكنك لم تكن مجهولاً لمزود الخدمة.
من الواضح أن رجال الشرطة ، في المملكة المتحدة على الأقل ، قرروا البدء بأي شخص أنفق بالفعل أكثر من 100 جنيه إسترليني من عملات البيتكوين مع هذه الخدمة.
لذلك قد يكون هناك أشخاص انخرطوا في هذا ، أو استخدموه لمجرد شيئين ، ولا يزالون على القائمة.
يريد رجال الشرطة أن يعرف الناس أنهم بدأوا في القمة وأنهم يشقون طريقهم إلى الأسفل.
كان عدم الكشف عن هويته الموعودة في الفيديو وهميًا.
دوغ. حسنًا ، لدينا بعض النصائح ، وقد قلنا هذه النصائح من قبل ، لكنها تذكيرات رائعة.
بما في ذلك واحدة من المفضلة ، لأنني أعتقد أن الناس يفترضون فقط أن معرف المتصل هو مراسل دقيق…. النصيحة الأولى هي: تعامل مع معرف المتصل على أنه ليس أكثر من تلميح.
ماذا تقصد بذلك يا بول؟
بطة. إذا كنت لا تزال تتلقى بريدًا حلزونيًا في منزلك ، فستعرف أنه عندما تحصل على مغلف ، فإنه يحتوي على عنوانك في المقدمة ، وعادة ، عند قلبه ، على ظهر المغلف ، هناك عنوان إرجاع .
والجميع يعلم أن المرسل له الحق في اختيار ما يقوله ... قد يكون حقيقيًا ؛ قد تكون كلها مجموعة من الأكاذيب.
هذا هو مقدار الثقة بمعرف المتصل.
وطالما أنك تضع ذلك في الاعتبار ، وتفكر فيه على أنه تلميح ، فأنت ذهبي.
ولكن إذا ظهرت وتقول "XYZ Banking Corporation" لأن المحتالين قد اختاروا عمداً رقماً وضعته خصيصاً في قائمة جهات الاتصال الخاصة بك ليأتي ليخبرك أنه البنك ... هذا لا يعني أي شيء.
وحقيقة أنهم بدأوا في إخبارك بأنهم من البنك لا تعني أنهم كذلك.
وهذا جيد في نصيحتنا الثانية ، أليس كذلك ، دوغ؟
دوغ. نعم.
قم دائمًا بإجراء مكالمات رسمية بنفسك ، باستخدام رقم يمكنك الوثوق به.
لذا ، إذا تلقيت إحدى هذه المكالمات ، قل ، "سأعاود الاتصال بك على الفور" ، واستخدم الرقم الموجود على ظهر بطاقتك الائتمانية.
بطة. إطلاقا.
إذا كان هناك أي طريقة قادوك بها إلى الاعتقاد بأن هذا هو الرقم الذي يجب أن تتصل به ... فلا تفعل ذلك!
اكتشفها بنفسك.
كما قلت ، للإبلاغ عن أشياء مثل الاحتيال المصرفي أو المشاكل المصرفية ، فإن الرقم الموجود على ظهر بطاقتك الائتمانية يعد بداية جيدة.
لذا ، نعم ، كن حذرًا جدًا.
من السهل حقًا تصديق هاتفك ، لأن 99٪ من الوقت ، رقم معرف المتصل هذا سيقول الحقيقة.
دوغ. حسنًا ، أخيرًا وليس آخرًا ، ليست مهارة فنية تمامًا ، ولكن أكثر ليونة ، النصيحة الثالثة هي: كن متواجدًا مع الأصدقاء والعائلة المعرضين للخطر.
هذا جيد.
بطة. من الواضح أن هناك أشخاصًا أكثر عرضة لخطر هذا النوع من الاحتيال.
لذلك من المهم أن تدع الأشخاص في دائرة أصدقائك وعائلتك ، الذين تعتقد أنهم معرضون لخطر هذا النوع من الأشياء ... أخبرهم أنه إذا كان لديهم أي شك ، فعليهم الاتصال بك وطلب النصيحة .
كما سيقول لك كل نجار أو نجار ، دوغلاس ، "قس مرتين ، اقطع مرة واحدة."
دوغ. أنا أحب هذه النصيحة. [يضحك]
أميل إلى القياس مرة واحدة ، والتقطيع ثلاث مرات ، لذلك لا تتبع قيادتي هناك.
بطة. نعم. لا يمكنك "قطع الأشياء لفترة أطول" ، أليس كذلك؟ [ضحك]
دوغ. كلا ، أنت متأكد من أنك لا تستطيع ذلك!
بطة. لقد حاولنا جميعًا. [يضحك]
دوغ. هذا تحديثان لأسفل ؛ واحد للذهاب.
قمنا حصلت على تحديث... إذا كنت تتذكر ، في وقت سابق من هذا الشهر ، فاجأتنا شركة Apple باستجابة أمان سريعة جديدة ، لكنها لم تذكر ما تم إصلاحه بالفعل من التحديثات ، ولكننا نعرف الآن ، بول.
انتهى سر Apple: تم إصلاح 3 أيام صفر ، لذا تأكد من التصحيح الآن!
بطة. نعم.
يومين 0 ، بالإضافة إلى 0 يوم مكافأة لم يتم إصلاحها من قبل.
لذا ، إذا كان لديك ، فما هو ، macOS 13 Ventura (الأحدث) ، وإذا كان لديك iOS / iPadOS 16 ، فستحصل على الاستجابة الأمنية السريعة
لقد حصلت على تحديث "رقم الإصدار (أ)" ، و "إليك التفاصيل حول هذا التحديث: (سلسلة نصية فارغة)".
لذلك ليس لديك أي فكرة عما تم إصلاحه.
وربما فكرت ، مثلنا ، "أراهن أنه يوم الصفر في WebKit. هذا يعني تثبيت محرك الأقراص. وهذا يعني أن شخصًا ما يمكن أن يستخدمه لبرامج التجسس ".
وها ، هذا هو بالضبط ما كانا هذين اليومين.
وكان هناك يوم صفر ثالث ، والذي كان ، إذا أردت ، جزءًا آخر من تلك المعادلة ، أو نوعًا آخر من برمجيات إكسبلويت التي غالبًا ما تترافق مع أول يومين صفريين تم إصلاحهما.
كان هذا أحد ردود Google Threat Response / Amnesty International التي تفوح مني بالتأكيد برائحة برامج التجسس ... شخص ما يحقق في واقعة حقيقية.
كان هذا الخطأ هو ما تسميه في المصطلحات "هروب من وضع الحماية".
يبدو كما لو أن الأيام الثلاثة صفر التي تم إصلاحها الآن لجميع منصات Apple كانت ...
واحد قد يسمح للمحتال بمعرفة مكانه على جهاز الكمبيوتر الخاص بك.
بمعنى آخر ، إنهم يزيدون بشكل كبير من فرصة نجاح مآثرهم اللاحقة.
استغلال ثانٍ يقوم بتنفيذ التعليمات البرمجية عن بُعد داخل متصفحك ، كما أقول ، يساعده ويحرض عليه تسرب البيانات في الخطأ الأول الذي قد يخبرك بعناوين الذاكرة التي يجب استخدامها.
ثم يوم صفر ثالث يسمح لك بشكل أساسي بالخروج من المتصفح والقيام بما هو أسوأ بكثير.
حسنًا ، سأقول ، التصحيح في وقت مبكر ، التصحيح في كثير من الأحيان ، ألست انا دوج؟
دوغ. افعلها!
نعم.
بطة. هذه ليست الأسباب الوحيدة وراء رغبتك في الحصول على هذه التصحيحات.
هناك مجموعة من الإصلاحات الاستباقية أيضًا.
لذا حتى لو لم تكن أيام الصفر ، فسأقولها مرة أخرى على أي حال.
دوغ. حسنا عظيم.
قصتنا الأخيرة في اليوم ... لقد كتبت مقدمة صغيرة خاصة بي هنا ، لكنني أرميها في سلة المهملات وسأختار العنوان الرئيسي الخاص بك ، لأنه أفضل بكثير.
وهي حقًا تجسد جوهر هذه القصة: يتعامل مستودع كود PyPI مفتوح المصدر مع دوامة البرمجيات الخبيثة الهوسية.
هذا ما حدث يا بول!
يتعامل مستودع أكواد PyPI مفتوح المصدر مع دوامة البرامج الضارة الجنونية
بطة. نعم ، يجب أن أعترف ، كان عليّ العمل على هذا العنوان لجعله يتناسب تمامًا مع سطرين في قالب WordPress nakedsecurity.sophos.com. [ضحك]
لقد تجاوز فريق PyPI الآن هذا ، وأعتقد أنهم تخلصوا من كل الأشياء.
ولكن يبدو أن شخصًا ما كان لديه نظام آلي كان يقوم للتو بإنشاء حسابات جديدة ، ثم في تلك الحسابات ، ينشئ مشاريع جديدة ...
... ومجرد تحميل حزمة مصدر فاسدة بعد حزمة مصدر فاسدة.
وتذكر أنه في معظم هذه المستودعات (PyPI هي مثال) ، يمكن أن يكون لديك برامج ضارة موجودة في الكود الفعلي الذي تريد تنزيله واستخدامه لاحقًا كوحدة نمطية في التعليمات البرمجية الخاصة بك (بمعنى آخر ، مكتبة البرمجة) ، و / أو يمكن أن يكون لديك برامج ضارة في برنامج التثبيت الفعلي أو البرنامج النصي للتحديث الذي يوفر لك الشيء.
لذلك ، لسوء الحظ ، من السهل على المحتالين استنساخ مشروع شرعي ، وإعطائه اسمًا واقعي المظهر وآمل أنه إذا قمت بتنزيله عن طريق الخطأ ...
... ثم بعد تثبيته ، وبمجرد بدء استخدامه في برنامجك ، وبمجرد بدء شحنه إلى عملائك ، سيكون كل شيء على ما يرام ، ولن تجد أي برامج ضارة فيه.
نظرًا لأن البرامج الضارة قد أصابت جهاز الكمبيوتر الخاص بك بالفعل ، من خلال التواجد في البرنامج النصي الذي تم تشغيله لتثبيت الشيء بشكل صحيح في المقام الأول.
لذلك هناك ضربة مزدوجة للمحتالين.
ما لا نعرفه هو ...
هل كانوا يأملون في تحميل الكثير من الحزم المعدية بحيث لا يتم رصد بعضها ، ولديهم فرصة قتال لأن الزوجين سيتخلفون عن الركب؟
أم أنهم كانوا يأملون فعلاً في أن يفزعوا فريق PyPI كثيرًا لدرجة أنهم اضطروا إلى إخراج الموقع بالكامل من الهواء ، وسيكون ذلك بمثابة هجوم رفض كامل للخدمة؟
لم يكن أي من هؤلاء هو النتيجة.
تمكن فريق PyPI من تخفيف الهجوم عن طريق إغلاق بعض جوانب الموقع فقط.
وبالتحديد ، لفترة من الوقت ، لم تتمكن من إنشاء حساب جديد ، ولا يمكنك إضافة مشروع جديد ، ولكن لا يزال بإمكانك الحصول على حسابات قديمة.
وقد منحهم ذلك مساحة كافية للتنفس ، على مدار 24 ساعة ، بحيث يبدو أنهم قادرون على التنظيف تمامًا.
دوغ. لدينا بعض النصائح لهجمات مثل هذه حيث لا يتم تنظيفها في الوقت المناسب.
لذلك إذا كنت تسحب من مستودعات مثل هذه ، فإن أول شيء يمكنك القيام به هو: لا تختر حزمة مستودع لمجرد أن الاسم يبدو صحيحًا.
هذا تكتيك يستخدمه المهاجمون في كثير من الأحيان.
بطة. في الواقع ، دوغلاس.
إنه في الأساس ما اعتدنا أن نطلق عليه المصطلح "الكتابة المطبعية" لمواقع الويب.
بدلا من التسجيل example.com، يمكنك تسجيل شيء مثل examole.com، لأن O بجوار P على لوحة المفاتيح ، على أمل أن يذهب شخص ما لكتابة "مثال" ، يرتكب خطأً طفيفًا وستجذب حركة المرور الخاصة بهم وتحصلهم على موقع مشابه.
كن حذرا فيما تختاره.
إنها تشبه إلى حد ما نصيحتنا حول معرف المتصل: فهي تخبرك بشيء ما ، ولكن كثيرًا فقط.
وبالنسبة للبقية ، عليك حقًا بذل العناية الواجبة.
دوغ. مثل: لا تقم بتنزيل تحديثات الحزمة بشكل أعمى في أنظمة التطوير أو الإنشاء الخاصة بك.
بطة. نعم ، DevOps والتكامل المستمر هو كل شيء هذه الأيام ، أليس كذلك ، حيث يمكنك أتمتة كل شيء؟
وهناك شيء جذاب حول قول ، "حسنًا ، لا أريد أن أتخلف عن الركب ، فلماذا لا أخبر نظام البناء الخاص بي فقط بأخذ الكود الخاص بي من مستودعي المحلي حيث أعتني به ، وبعد ذلك دائمًا الحصول تلقائيًا على أحدث إصدار من المستودع العام لجميع رموز الأشخاص الآخرين التي أستخدمها؟ "
تكمن المشكلة في أنه إذا تعرضت أي من حزم الطرف الثالث التي تستخدمها إلى pw ، فإن نظام الإنشاء الخاص بك سيواجه مشكلة تلقائيًا تمامًا.
لذلك لا تفعل ذلك إذا كان يمكنك تجنب ذلك.
دوغ. الأمر الذي يقودنا إلى: لا تجعل من السهل على المهاجمين الوصول إلى حزمك الخاصة.
بطة. نعم.
لا أحد يستطيع حقًا إيقاف أي شخص عازم على إنشاء 2000 حساب PyPI جديد يدويًا ووضع 1000 حزمة جديدة في كل منها.
ولكن يمكنك شن هجمات حيث يستولي المحتالون على الحزم الحالية ويعرضونها للخطر ... يمكنك القيام بواجبك لمساعدة بقية المجتمع من خلال جعل تعرض مشروعاتك للخطر بأكبر قدر ممكن.
اذهب وراجع الأمان الذي لديك على هذا الحساب أو على تلك الحزمة ، فقط في حالة ما إذا قرر شخص ما أنه سيكون مكانًا بارعًا لإدراج البرامج الضارة التي يمكن أن تؤثر على أشخاص آخرين ... وبالطبع سيؤدي ذلك على الأقل مؤقتًا إلى تشويه سمعتك في نفس الوقت وقت.
دوغ. وقد تقع نصيحتنا الأخيرة على آذان صماء ، ولكن إذا كان يكفي لتغيير بعض الآراء فقط ، فقد قمنا ببعض الأعمال الجيدة هنا اليوم: لا تكن تعرف ماذا.
بطة. إثبات مدى ذكاءك من خلال تذكيرنا جميعًا بهجمات سلسلة التوريد من خلال القيام بعمل غير ضروري لفرق المتطوعين ... مثل طاقم Linux kernel (لقد عانوا من هذا في الماضي) و PyPI ومستودعات المصادر المفتوحة الأخرى الشائعة؟
إذا كان لديك سبب حقيقي يجعلك تعتقد أنك بحاجة إلى إخبارهم عن ثغرة أمنية ، فابحث عن تفاصيل الاتصال الخاصة بالإفصاح الأمني واتصل بهم بشكل صحيح ومهني ومسؤول.
لا تكن ****.
دوغ. معالي.
حسنًا ، نصيحة جيدة ، ومع بدء غروب الشمس في عرضنا لهذا اليوم ، حان الوقت للاستماع إلى أحد قرائنا.
في الحلقة السابقة من البودكاست ، قد تتذكر أننا تحدثنا قليلاً عن تجارب ومحن كمبيوتر Apple III. لنستمع:
لا أعرف ما إذا كانت هذه أسطورة حضرية أم لا ، لكنني قرأت أن طرازات [Apple III] المبكرة لم تكن بها رقائقها مثبتة بشكل صحيح في المصنع ، وأن المستلمين الذين أبلغوا عن مشاكل طُلب منهم رفع المقدمة من الكمبيوتر من على مكتبهم بضعة سنتيمترات وتركه يتحطم مرة أخرى ، مما قد يضربهم في مكانهم كما كان ينبغي في المقام الأول. الذي نجح على ما يبدو ، لكنه لم يكن أفضل نوع من الدعاية لجودة المنتج.
دوغ. رداً على ذلك ، يتناغم المستمع S31064 (لست متأكدًا مما إذا كان هذا اسم ميلاد حقيقي) في:
لا أعلم عن ذلك ، لكن الشركة التي كنت أعمل بها في ذلك الوقت كانت تستخدمها لمحطات توزيع المكتبات غير المتصلة بالإنترنت. وتسع مرات من أصل عشرة ، إذا كانت هناك مشكلة في ذلك ، كان الإصلاح هو إعادة تركيب الرقائق.
بطة. نعم ، تجاوز اللوحة الأم و (فرقعة ، فرقعة) الضغط على جميع الرقائق لأسفل ... كان ذلك يعتبر صيانة روتينية في ذلك الوقت.
ولكن يبدو أنه بالنسبة إلى Apple III ، لم يكن الأمر مجرد صيانة روتينية أو صيانة وقائية ، بل كان في الواقع تقنية استرداد معترف بها.
لذلك كنت منبهرًا بقراءة ذلك ، دوج.
شخص كان هناك بالفعل وفعل ذلك!
دوغ. حسنًا ، شكرًا جزيلاً لك عزيزي المستمع لإرسال هذا.
وإذا كانت لديك قصة أو تعليق أو سؤال مثير للاهتمام تود إرساله ، فنحن نحب قراءته في البودكاست.
يمكنك إرسال بريد إلكتروني إلى tips@sophos.com ، أو التعليق على أي مقالة ، أو يمكنك التواصل معنا على مواقع التواصل الاجتماعي:nakedsecurity.
هذا هو عرضنا لهذا اليوم. شكرا جزيلا على الاستماع.
بالنسبة لبول دوكلين ، أنا دوج آموث ، أذكرك حتى المرة القادمة بـ ...
على حد سواء. ابق آمنًا.
[مودم موسيقي]
- محتوى مدعوم من تحسين محركات البحث وتوزيع العلاقات العامة. تضخيم اليوم.
- أفلاطونايستريم. ذكاء بيانات Web3. تضخيم المعرفة. الوصول هنا.
- سك المستقبل مع أدرين أشلي. الوصول هنا.
- شراء وبيع الأسهم في شركات ما قبل الاكتتاب مع PREIPO®. الوصول هنا.
- المصدر https://nakedsecurity.sophos.com/2023/05/25/s3-ep136-navigating-a-manic-malware-maelstrom/
