الاستماع الآن
انقر واسحب على الموجات الصوتية أدناه للتخطي إلى أي نقطة. يمكنك أيضا استمع مباشرة على Soundcloud.
مع دوج آموث وبول دوكلين. موسيقى مقدمة وخاتمة بواسطة إديث مودج.
يمكنك الاستماع إلينا على SoundCloud لل, Apple Podcasts, Google Podcasts, سبوتيفي, الخياطة وفي أي مكان توجد فيه ملفات بودكاست جيدة. أو قم بإسقاط ملف عنوان URL لخلاصة RSS الخاصة بنا في podcatcher المفضل لديك.
اقرأ النص
دوج عاموث. JavaScript ، و NetUSB ، و Log4Shell ، و FTC ...
كل ذلك وأكثر: إنه بودكاست Naked Security.
[مودم موسيقي]
مرحبا بكم في البودكاست ، الجميع.
أنا بول؛ هو دوج ...
بول دوكلين. [ضحك] أعتقد أنك ارتكبت خطأ حقيقي هناك ، أليس كذلك؟
دوغ. فعلت.
بطة. لم تكن مزحة في الواقع.
دوغ. * أنا * دوغ ... أنا في الطيار الآلي ، كما هو الحال دائمًا ، في الدقيقة الأولى من العرض.
بطة. حسنًا ، سنتحدث عن الكثير من أخطاء البرامج ... من السهل ارتكاب هذا النوع من الأخطاء.
دوغ. لدينا الكثير لنتحدث عنه ، لذا سنخوضه.
لدينا شيء من جولة البرق اليوم ؛ الكثير من القصص لتغطيتها.
وكما تعلم ، نود أن نبدأ العرض بـ حقيقة ممتعة: إذا كنت تؤمن بالخرافات بشأن يوم الجمعة الثالث عشر ، فأنت لست وحدك إلا إذا كنت تعيش في اليونان أو إسبانيا أو إيطاليا.
تعتبر اليونان وإسبانيا الثلاثاء الثالث عشر من الأيام الأكثر حظًا ؛ الإيطاليون قلقون من الجمعة السبعينية. وبول ، كما تعلم ، سوف نربط هذا مرة أخرى في هذا الأسبوع في تاريخ التكنولوجيا الجزء لاحقًا في العرض.
بطة. تريسكايديكافوبيا!
دوغ. لقد رأيت ذلك مكتوبًا في بعض الأماكن ، ويسعدني أنك قلت ذلك بصوت عالٍ لأنه يكاد يكون من المستحيل قراءته إذا لم تسمعه من قبل ...
بطة. Τρισκαίδεκα ... إنها كلمة يونانية قديمة تعني فقط ثلاثة عشربكلمة الخوف.
لذلك في الواقع ، هذا هو الخوف من الثالثة عشر ، وليس بالضرورة يوم الجمعة الثالث عشر فقط ، لكنهم نوعًا ما يذهبون معًا.
دوغ. يوم تحدث فيه أشياء غريبة وغريبة.
وبالحديث عن غريب وغريب ، فإن قصة "مطور JavaScript" هذه متوحشة!
بطة. لا أعرف ما إذا كان مخيفًا ، لكن نعم ، إنه غريب. ربما حزين قليلا
دوغ. إذن ماذا حدث هنا؟
بطة. حسنًا ، كان هذا ما يمكن أن تسميه هجوم سلسلة التوريد ، حيث يقوم الأشخاص بامتصاص كود مكتوب بلغة JavaScript في مشاريعهم - من NPM ، أو GitHub ، أو من أي مكان يحصلون عليه ، من وحدة مفتوحة المصدر تستهلكها الكثير من المشاريع المختلفة ، الصادرة بموجب ترخيص MIT Open Source.
لذا فأنت حر في استخدامه ، بشرط ألا تدعي أنه ملكك - يمكنك حتى استخدامه في الكود التجاري.
وقرر مطور مشروعين من هذا القبيل ، faker.js و colours.js ، فجأة أنه سئم.
لقد أعطى بعض المؤشرات ، قبل عامين ، أنه سئم بعض الشيء من القيام بكل هذا العمل وعدم الحصول على أجر ...
... مثل الرسوم المتحركة الشهيرة XKCD ، دوغ.
دوغ. [يضحك]
بطة. "كل شيء يدعمه هذا العمود الصغير الرقيق من البرنامج ، والذي يتم الحفاظ عليه بلا كلل من قبل شخص عشوائي في نبراسكا منذ عام 2003" - * أن * الرسوم المتحركة XKCD.
دوغ. نعم.
بطة. من الواضح أن هذا الرجل قرر ، "حسنًا ، لقد اكتفيت."
لذلك ، بالنسبة إلى faker.js ، قام ببساطة بسحب القابس على كل شيء - لقد أزال كل شفرة المصدر.
لقد أنشأ ، إذا أردت ، نسخة نهائية من المشروع لا تحتوي على شفرة مصدر فيها ؛ لديها التعليق "نهاية اللعبة" ؛ وهي تقول فقط في README ، "ماذا حدث لآرون شوارتز؟"
لقد كان ناشط القرصنة الشهير الذي انتحر للأسف بعد اعتقاله لأخذ حمولة كاملة من الملفات - أوراق أكاديمية شعر أنه لا ينبغي أن تكون وراء جدار حماية ، لكن القانون شعر بخلاف ذلك.
هذا ما فعله مع faker.js
وعلى الرغم من أنه اسم غريب للبرنامج ، إلا أنه كان في الواقع أمرًا مفيدًا للغاية لأنه يخلق بيانات مزيفة لك.
لقد تحدثت عن ذلك في بودكاست حديث ، أليس كذلك يا دوغ؟
حول أهمية عدم استخدام البيانات الحقيقية حتى لا تتعرض لمشكلات الخصوصية.
حسنًا ، لقد سحب القابس على ذلك ، لذا إذا قمت بالتحديث إلى أحدث إصدار ، فسيختفي تمامًا.
لا يتعين عليك التحديث - يُسمح لك قانونًا بالاستمرار في استخدام الإصدار الأقدم - ولكن من الواضح أنه قرر أن الوقت قد حان للخروج من Dodge City.
ولكن مع colours.js ... للأسف ، اتخذ نهجًا أقل قابلية للفهم ، حيث أصدر إصدارًا جديدًا يتضمن حلقة لا نهائية ، مما تسبب في الأساس في طباعة قمامة غريبة المظهر عند تشغيلها ، بدلاً من السماح لك فقط بإضافة ألوان إلى إخراج وحدة التحكم الخاصة بك.
أنت تعرف كيف يحب الناس الألوان لإبراز كلمات مثل خطأ أو تحذير أو أيًا كان.
ولكن إذا قبلت هذا التحديث تلقائيًا ، كجزء مما قد تسميه سلسلة التوريد الخاصة بك ، فحينئذٍ سيعاني برنامجك فجأة من رفض الخدمة لأنه سيدخل في هذه الحلقة التي تبدأ من قيمة ابتدائية 666 ...
دوغ. [يضحك]
بطة. ... ما يصل إلى ، ولكن لا يشمل ، قيمة JavaScript Infinity.
تطبع هذه الحلقة "الاختبار والاختبار والاختبار والاختبار" مع إضافة حمولة كاملة من القمامة.
يمكنك القول أن هذا لم يكن شيئًا لطيفًا للغاية ، لكن لم يكن عليك قبول الإصدار الجديد ، وكان الرمز موجودًا لتراه: لم يكن مخفيًا بأي شكل من الأشكال.
إنه مفتوح المصدر يمكنك الذهاب إليه ومراجعته.
على أي حال ، تعرض بعض الأشخاص للضرب واضطروا للعودة إلى الإصدار القديم ، وهذا بدأ سلسلة كاملة من التعليقات على حساب GitHub الخاص به.
أعتقد أنه تم حظره من حسابه على GitHub ، ربما لأسباب مفهومة ، ولكن هناك مئات التعليقات هناك.
يقول بعض الناس ، "نعم ، أنا معك يا أخي" ؛ أحصل من أين أتيت "، ويقول آخرون ،" أتعلم ماذا؟ ربما خطوة أبعد من اللازم ".
دوغ. فكر في عدد حزم البرامج التجارية التي تعتمد على أشياء مثل هذه ...
بطة. كدت أن تقول Log4j هناك ، دوغ.
دوغ. [يضحك] لنتحدث عن ذلك بعد قليل.
بطة. حسنًا ، أتساءل عما إذا كان توقيت هذا ربما لم يعجله الضجة حول Log4j>
ربما هذا ما أثار هذا الفصل؟
لأنني أفهم أنه حاول تسويق مجموعة أدوات faker.js ، وهو أمر مفيد للغاية ؛ مجموعة كبيرة من التعليمات البرمجية التي يمكنها إنشاء بيانات واقعية من جميع الأنواع.
لقد حاول تسويقها ، وأنشأ خدمات عبر الإنترنت يمكن للأشخاص الذين يريدون دفعها أن يدفعوا له ، ولكن يبدو أن هذا لم ينجح معه ، وبالتالي لم يكن مستدامًا حقًا.
لذا قام بسحب القابس على ذلك.
لكن لسوء الحظ ، سمم البئر في المشروع الآخر ، وهذا هو المكان الذي نقف فيه.
دوغ. أفترض أن هذا يعيد طرح مسألة فكرة أ فاتورة مواد البرمجيات، أو قائمة المكونات ، إذا صح التعبير ، للمستهلكين أو الأشخاص الذين سيشترون برنامجك ...
... حتى يتمكنوا من معرفة عدد مكونات المصدر المفتوح ، أو من أين يأتي كل شيء.
بطة. نعم ، ربما هذا هو الجانب الفضي في هذا.
لم يحل Log4j المشكلة الأساسية: تمت إضافة هذه الميزة إلى Log4j ، ماذا ، في عام 2013؟
ولم يلاحظه أحد حتى الآن ، وبعد ذلك عندما لاحظوا ، "أوه يا مرحة ، كيف تجرؤ؟"
حسنًا ، لقد أدخلت الكود إلى برنامجك منذ سنوات وسنوات دون أن تلاحظ وجود هذه المشكلة ، ولم تدفع ثمنها ؛ ربما يكون من المبالغة قليلاً الإشارة إلى أن ذلك كان خطأ أحدهم ولكنك أنت ، لأنك ألقي القبض عليك.
لذلك ربما يكون الجانب المشرق هو أنه ، على الرغم من أنه يمكنك القول أنه كان شيئًا طفوليًا ، فربما يساعدنا جميعًا في قبول ، كما تقول ، فاتورة مواد البرمجيات - "المكونات المدرجة".
ربما هذه فكرة جيدة.
دوغ. حسنًا ، الكثير من النقاش الجيد هناك.
هذه القصة تسمى مطور جافا سكريبت يدمر مشاريعه الخاصة في "درس" سلسلة التوريد في nakedsecurity.sophos.com
لذا يمكنك التوجه إلى هناك للقراءة والتعبير.
والآن سنتحدث عن NetUSB.
أتذكر إثارة توصيل الطابعة مباشرة بجهاز التوجيه المنزلي الخاص بي عبر USB ، منذ عدة سنوات وقلت ، "رائع ، لقد صنعناها! وصلت التكنولوجيا أخيرًا إلى ذروتها! "
بطة. NetUSB هو منتج يمكنك ترخيصه من شركة في تايوان تسمى Kcodes.
يزعمون في موادهم التسويقية أن أكثر من 20٪ من أجهزة الشبكات في جميع أنحاء العالم تحتوي على كود Kcodes مضمّن فيها الآن ، لذلك يبدو أنهم كانوا ناجحين للغاية.
و NetUSB ، إذا كنت ترغب في ذلك ، هو جهاز افتراضي عام لـ USB.
لذلك لا يمكنك فقط توصيل محرك أقراص ثابت مركزي أو NAS أو طابعة ، كما فعلت.
يمكن لـ NetUSB التعامل مع أشياء أخرى مثل موالفات التلفزيون وأجهزة الصوت وجميع أنواع الأشياء مركزيًا.
لذلك هناك نوع من كبل USB الظاهري يتم تشغيله عبر شبكتك ، بين جهاز الكمبيوتر الخاص بك و (للأسف) برنامج تشغيل kernel خاص على جهاز التوجيه الخاص بك ...
... برنامج تشغيل تبين أنه يحتوي على خطأ يمكن ، من الناحية النظرية ، أن يسمح لأي شخص تقريبًا بالاستيلاء على جهاز التوجيه الخاص بك.
يا للهول.
دوغ. يا عزيزي حقا.
بطة. لذلك ، تم العثور على هذا الخطأ من قبل باحث يدعى ماكس فان أميرونجين في سنتينل ون.
على ما يبدو ، كان يتطلع إلى الدخول في مسابقة Pwn2Own IoT للقرصنة لعام 2021.
لقد رأى أن Netgear لديها جهاز في القائمة ، ففكر ، "أوه ، لقد نظرت إلى تلك الأجهزة من قبل ؛ اسمحوا لي أن ألقي نظرة ".
لقد وجد أن هناك برنامج تشغيل kernel كان يستمع على منفذ TCP 20005 ... يبدو أن هذا الرقم تعسفي ، لذلك هذا ليس مؤشرًا موثوقًا على أن لديك هذه المشكلة ، ولكن قد يكون نقطة بداية إذا كنت تعرف كيفية القيام بمسح المنافذ .
ورأى ماكس ، "مرحبًا ، قائمة برنامج تشغيل kernel على جميع واجهات الشبكة - المضيف المحلي و LAN و WAN؟ إذا كانت هناك ثغرة أمنية هناك ، فقد تكون قابلة للاستغلال عن بعد. هذا هو المكان الذي سأبدأ فيه التركيز ".
ولذا فقد حفر في الكود هناك.
كما تتخيل ، شيء مثل NetUSB - سيكون لديه الكثير من الوظائف المختلفة التي يدعمها.
إذا كنت تفكر في HTTP ، حسنًا ، فهذا يحتوي على عشرات الأوامر: GET ، POST ، HEAD ، OPTION ... لكن شيئًا مثل NetUSB ، مع عشرات الأنواع المختلفة من الأجهزة ، مع عشرات الميزات المختلفة ، ربما يدعم مئات الأوامر المختلفة.
ووجد أن الأمر 0x805F - أعتقد أن هذا مجرد تعسفي ، 32863 ...
هذا الأمر ، عندما عالج البيانات التي سيتم إرسالها من أجله ، كان لديه خطأ صغير سيء ، دوغلاس ، يتضمن الرقم 17.
في الأساس ، الخطأ يذهب مثل هذا.
عندما تريد تشغيل هذا الأمر - الأمر يتعلق برسالة ؛ لا أعرف ما يفعله الأمر ، لأن المعالجة المسبقة هي التي تسبب المشكلة ، وليس الأمر نفسه ...
... أول شيء يفعله برنامج تشغيل kernel هو أن يقول ، "حسنًا ، سأحتاج إلى بعض البيانات منك. أخبرني عن مقدار البيانات التي سترسلها "، وهي تقبل قيمة من أربعة بايت. (تستطيع أن ترى أين يحدث هذا…)
ثم يخصص هذا القدر من الذاكرة.
الآن ، هذا يبدو سيئًا لأنه لا يقوم بفحص الطول.
ماذا لو قال الشخص ، "أوه ، أريد تخصيص ثلاثة جيجا من ذاكرة الوصول العشوائي؟" [ضحك]
حسنًا ، تتخيل ، على جهاز التوجيه المنزلي العادي ، لن يعمل ، وسيفشل بأمان.
المشكلة هي ، إذا قلت ، "أريد 4 جيجابايت مطروحًا منه بايت واحد" ، بعبارة أخرى FFFFFFFF بالنظام الست عشري.
بعد ذلك ، بدلاً من محاولة تخصيص هذا العدد الكبير من البايتات ، والذي من الواضح أنه لن يعمل لأن جهاز التوجيه 32 بت لن يحتوي على 4 جيجابايت من ذاكرة الوصول العشوائي تحت تصرفه ...
... ما الذي سيفعله الرمز ، سيقول ، "حسنًا ، سأخصص أكبر قدر من الذاكرة كما تريد في حال احتجت إلى ذلك القدر ، حتى لو لم تستخدمه. وأحتاج إلى 17 بايتًا إضافيًا لاستخدامي المؤقت. "
لذلك ، سيخصص عددًا صحيحًا كبيرًا جدًا جدًا موجبًا بدون إشارة * بالإضافة إلى 17 بايت * من الذاكرة.
هذا من شأنه أن يلتف حول ، علة الألفية أو نمط عداد المسافات للسيارة.
ولذا يمكن للمهاجم أن يقول ، "أريدك أن تخصص لي 4 جيجابايت -1 بايت من ذاكرة الوصول العشوائي ، وهذا يعني أنه يمكنني إرسال رسائل لك بأي حجم يصل إلى هذا المقدار في المستقبل."
لكن النواة ستخصص بعد ذلك مخزنًا مؤقتًا من 16 بايت فقط ، بسبب تجاوز عدد صحيح.
ثم ستقول النواة ، "حسنًا ، أرسل لي بياناتك ،" وترسلها بقدر ما تريد ...
بالطبع ، إذا أرسلت بعد ذلك أكثر من 16 بايت ، وهو كل ما تم تخصيصه عن طريق الخطأ ، فلديك تجاوز في المخزن المؤقت داخل النواة!
شكرا لقدومك؛ انتهت اللعبة.
دوغ. حسنًا ، يبدو أننا بحاجة إلى انتظار تحديث البرنامج الثابت!
بطة. حسنًا ، الخبر السار هو أن هذا تم الكشف عنه بمسؤولية.
السبب وراء كتابته هذا العام فقط ، على الرغم من أن العمل قد تم في منتصف عام 2021 ، هو أنه تم الكشف عن هذا بشكل مسؤول للشركة التي تصنع منتج NetUSB ، ثم إلى جميع البائعين الذين قد يقومون بترخيصهم. منتجات.
لذلك ، كانوا جميعًا على علم بوجود هذا الخطأ وأنهم بحاجة إلى إصلاحه.
لذلك تم الكشف عنها بشكل مسؤول ، والتصحيحات متوفرة.
المشكلة الوحيدة هي: كيف تجد ما إذا كنت معرضًا للخطر؟
كما ذكرت سابقًا ، يمكنك محاولة استخدام برنامج مثل Nmap أو ما شابه ، ماسح المنافذ ، ومعرفة ما إذا كان لديك منفذ 20005 مفتوحًا على جهاز التوجيه الخاص بك ، والذي سيكون تلميحًا جيدًا أنه قد يكون لديك هذا الشيء ، لأن هذا هو الكيفية وجده الباحث في المقام الأول.
لكن ، بالطبع ، هذا مجرد عرض: سواء كان هذا المنفذ مفتوحًا أو مغلقًا لا يعني أنك تعاني من الخطأ أو لا.
لذلك ، إذا كان لديك جهاز توجيه يدعم ميزة NetUSB هذه ، والتي تتيح لك توصيل ليس فقط الطابعات ولكن تقريبًا أي جهاز USB مركزيًا ، فانتقل إلى موقع بائع جهاز التوجيه الخاص بك وتحقق مما إذا كان هناك تحديث.
دوغ. حسنًا ، ولدينا بعض النصائح الأخرى التي يمكن أن تساعدنا في التخفيف من مثل هذه المخالفات في المستقبل.
بطة. نعم ، النصيحة الأخرى التي قدمناها في المقالة لم تكن موجهة لمستخدمي أجهزة التوجيه المنزلية التي قد تكون معرضة للخطر ، حيث كل ما يمكننا قوله حقًا هو ، "التصحيح مبكرًا ، التصحيح كثيرًا ؛ تحقق لمعرفة ما إذا كان هناك تصحيح متاح ".
نقدم بعض النصائح للمبرمجين: ثلاثة أشياء سريعة.
أولاً ، لا تستمع إلى جميع واجهات الشبكة افتراضيًا ، إلا إذا كنت بحاجة فعلاً إلى ذلك.
ثانيًا ، تحقق دائمًا من نتائج العمليات الحسابية للأعداد الصحيحة ، خاصةً عندما يتعلق الأمر بتخصيص الذاكرة.
والنصيحة الثالثة هي التحقق من وجود عدد صحيح تحت التدفق ، وكذلك للتحقق من تجاوز عدد صحيح.
إذا كنت تتخيل تشغيل عداد المسافات لسيارة المدرسة القديمة للخلف ، فإن الرقم قبل 000000 هو 999999 ، وليس -1 ، لأن عدادات المسافة في السيارة لا يمكنها عمل أرقام سالبة.
لا تعتقد ، "لا بد أن يكون هناك 17 بايت احتياطيًا ،" لأنه قد لا يكون هناك ...
... أنت مدين للمستخدمين بالتحقق.
دوغ. حسنا.
المقال هو: يمكن أن تحتوي أجهزة التوجيه المنزلية التي تدعم NetUSB على فجوة حرجة في kernel، على nakedsecurity.sophos.com
حان الوقت الآن ل هذا الأسبوع في تاريخ التكنولوجيا!
تحدثنا عن الجمعة الثالث عشر مبكرا في العرض….
بطة. لدي فكرة إلى أين يتجه هذا ، وأعتقد أنه سيتعلق بفيروسات الكمبيوتر ، دوغ. [ضحك]
هذا شكوكي ...
دوغ. كيف عرفت؟ [ضحك]
في هذا الأسبوع ، يوم الجمعة 13 يناير 1989 ، أصاب الفيروس الثالث عشر أجهزة الكمبيوتر في جميع أنحاء بريطانيا.
لم تكن هذه الجمعة الأولى للفيروس الثالث عشر ، وربما كان أو لا يكون أحد متغيرات ما يسمى بفيروس القدس قبله ، وهو فيروس قنبلة موقوتة كان من المقرر أن ينطلق ابتداءً من يوم الجمعة الثالث عشر من مايو. 1988 ، وهو آخر يوم جمعة في الثالث عشر قبل يناير 1989.
أدى كلا الفيروسين إلى إبطاء الأجهزة ، لكنهما تركا COMMAND.COM بمفرده.
وبول ، لديك بعض الألوان الرائعة حول كل هذه الأشياء لأنك عشت من خلالها. "كنت هناك يا رجل."
بطة. كيف يعيد التاريخ نفسه!
الكثير من الدروس من تلك الأيام يمكننا أن نتعلمها هذه الأيام ، لكن تلك المتعلقة بـ COMMAND.COM مثيرة جدًا للاهتمام.
من الذاكرة ، أحد أقدم الملفات التي أصابت الفيروسات في عالم DOS - أعتقد أنه ربما كان فيروس Lehigh من الولايات المتحدة - كان واضحًا جدًا ، لأنه عندما أصاب ملف COMMAND.COM ، كان هناك عدد قليل من المتغيرات COMMAND.COM ، وقد حفظ بعض الأشخاص حجم هذا الملف.
لذا ، سرعان ما انتشر الخبر ، "مرحبًا ، هذا العمل المتعلق بالفيروسات تافه للتعامل معه. كل ما عليك فعله هو مشاهدة حجم COMMAND.COM ، وإذا تغير ، فلديك فيروس! "
وبالتالي ، فإن الاستدلال الذي تمت دعوة الأشخاص للقيام به هو: إذا * لم * يتغير ، فلن * * ليس لديك * فيروس.
إذن ، ماذا بدأ كتاب الفيروس في فعله على الفور تقريبًا؟
دوغ. [يضحك]
بطة. قاموا بإصابة كل ملف * باستثناء * ملف COMMAND.COM ، لأن هذا هو الملف الذي كان الجميع يركز عليه.
لكنه يُظهر أن هذه كانت حقبة مختلفة ... عندما يمكنك تسمية الفيروس باسم * مدينة * بأكملها ، على افتراض أن هناك عددًا قليلاً جدًا من الفيروسات ، ما الذي يحتمل أن يكون آخر من نفس المكان؟
دوغ. نعم ، الزمن يتغير ، وليس للأفضل دائمًا.
عند الحديث عن تغير الأوقات ، يبدو أن هوندا إما لديها لحظة صغيرة خاصة بها في عام 2 ، أو أنها قامت عن غير قصد ببناء شيء يعمل مثل آلة الزمن.
بطة. أحب عملك هناك ، دوغ - هذا مقطع جيد جدًا.
دوغ. شكرًا لك!
بطة.كنت أعرف ما سيحدث بعد ذلك ، ولم أتوقع ذلك.
نعم ، آلة الزمن هوندا.
انها بالتأكيد العودة إلى الماضيأليس كذلك؟ لا العودة إلى المستقبل.
على ما يبدو ، مالكو سيارات هوندا في سن معينة - ليسوا سيارات جديدة ولا قديمة أيضًا ؛ يجب أن يكون عمر السيارات في مكان ما حوالي عقد من الزمان ...
... في يوم رأس السنة الجديدة 2022 ، عندما يبدأ الناس تشغيل سياراتهم ، بعد فترة من الوقت تعود الساعة إلى مكان ما في منتصف الليل تقريبًا في 01 يناير 2002.
ولا يجب أن أقول هذا ، لأنه عمل قاسي ، لكنني سأقول إنه إذا كنت لا تستطيع تذكر عام 2002 ...
دوغ. أوه ، لا ، لا ، noooooooooooo….
بطة. هل يجوز لي القيام بذلك؟
دوغ. لا!
بطة. دعنا نقول فقط أنه كانت هناك أغنية على المخططات مع كلمات تقول ، "لا لا لا ، لا لا لا لا ، لا لا لا لا لا لا لا لا" ، لنجمة البوب الأسترالية الصغيرة كايلي مينوغ - هكذا لقد ذهبنا بعيدًا.
ولا أحد يعرف السبب.
يبدو أن أفضل تخمين حتى الآن هو أنه يتعلق بما يُعرف باسم GPS rollover ، بنفس الطريقة التي تسبب بها خطأ الألفية بسبب ذهاب الناس ، "أتعلم؟ سنستنتج 19 وسنستخدم رقمين للسنة. "
حسنًا ، بالطبع ، تم اختراع نظام تحديد المواقع العالمي (GPS) في السبعينيات ، وعرض النطاق الترددي من هذه الأقمار الصناعية البعيدة محدود للغاية.
وقد توصلوا إلى ، حسنًا ، ما سنفعله هو أننا سنعمل على فترات من 1024 أسبوعًا بدلاً من سنوات.
لذلك ، هناك "رقم الأسبوع" ، وهناك 10 بتات فقط متوفرة لرقم الأسبوع.
لذلك كل 1024 أسبوعًا ، تعود أجهزة GPS القديمة إلى ما قد تسميه Day Zero.
أسميها "كيلو ويكاريز" ، وتلك الكيلوويكارات تذهب من 1980 إلى 1999 ؛ 1999 إلى 2019 ؛ ومن 2019 إلى 2039.
الآن ، كان هناك إعادة تعيين شهرية سيئة السمعة في 06 أبريل 2019 ، حيث كان الأشخاص الذين لديهم أجهزة استقبال GPS قديمة يتساءلون ، "هل سيعودون إلى عام 1999؟"
البعض فعل والبعض لم يفعل.
ولكن بالطبع ، مثل Millennium Bug ، ليس عليك أن تصطدم بهذا * فقط في فترة التمرير المحددة *.
كما تتذكر ، مع خطأ الألفية ، ما فعله الكثير من البرامج هو افتراض أن أي شيء قبل الخمسين يشير في الواقع إلى الألفية التالية.
لذلك ، 50 تعني 1950 ، لكن 49 تعني 2049 - لذلك لا يزال لديك خطأ الألفية ، لكنك تقوم بتحويله قليلاً.
دوغ. دع الأجيال القادمة ستتعامل معها!
بطة. إطلاقا.
بالطبع ، يمكنك فعل ذلك باستخدام نظام تحديد المواقع العالمي (GPS) ، وهذا ما يفعله الكثير من البرامج.
كيف تعرف تاريخ بدء الاستخدام؟ حسنًا ، الطريقة الواضحة للقيام بذلك هي استخدام الوقت ، أو التاريخ ، أو السنة التي تقوم فيها بتجميع البرامج التي تعمل حاليًا على جهاز GPS - لأن ذلك لا يمكن أن يتراجع أبدًا.
ولذا يمكنك إجراء مقارنة تقول ، "لا أتوقع أن يتم تشغيل هذا البرنامج قبل ، لنقل ، 2003. لذا ، إذا رأيت عامًا قبل 2003 ، فسأفترض أنني خرجت من نطاق."
وما تفعله هو أنك تقضي بعض الأيام ، والأسابيع ، والشهور ، والسنوات من بداية فترة 1024 أسبوعًا لنظام تحديد المواقع العالمي - ما يقرب من 20 عامًا ؛ 19 سنة وسبعة أشهر ونصف.
... أنت في الأساس تستغرق بعض الأيام وأنت تقوم بنقلها إلى نهاية فترة الكيلو أسبوع الحالية.
والاقتراح هو أن هذا ربما كان ما اشتعلت به شركة هوندا هنا.
السبب الذي يجعلني أخمن أن هذا هو الحال هو أن قارئ The Register ، وهو منشور مشهور في مجال تكنولوجيا المعلومات في المملكة المتحدة ، علق هناك على أنه يمتلك سيارة هوندا CR-V تأثرت بهذا الأمر ، وفي كل مرة يبدأ فيها تشغيل سيارته ، فإن الوقت يقفز إلى الوراء إلى 01 يناير 2002 ، كما لو أن الساعة لا تعرف ماذا تفعل.
لذلك ، فهي تختار بداية العام كإعداد افتراضي. (ولكن بعد ذلك ، بالطبع ، نظرًا لأن الساعة يتم تغذيتها بواسطة نظام تحديد المواقع العالمي (GPS) ، فلا يمكنك ضبطها يدويًا).
في هذه الحالة ، يبدو الأمر كما لو أنه يعرف الوقت الصحيح ، لكنه لا يعرف ما هو العام ، لذا فهو يوضح ، "سأبدأ فقط في منتصف الليل ، أكثر أو أقل ، زائد أو ناقص مهما كانت المنطقة الزمنية التي أعتقد أنك فيها ".
على ما يبدو ، وجد هذا الرجل أن نظام تحديد المواقع العالمي (GPS) الخاص به كان يعتقد أنه كان في مايو 2002 ، أي منذ حوالي 1024 أسبوعًا بالضبط ، وهو ما جعله يعتقد أن هذه الرائحة تشبه رائحة نظام تحديد المواقع العالمي (GPS).
دوغ. مثير للإعجاب.
بطة. وهذا هو أفضل تخمين يمكنني التوصل إليه حول كيفية حدوث ذلك: إنه ناجم عن شيء مثل خطأ الألفية ، ولكنه مرتبط بحدود تم تضمينه في نظام تحديد المواقع العالمي (GPS) ، بشكل مفهوم ، في السبعينيات ، لأن كل جزء مهم عندما يجب أن تحصل عليه بشكل موثوق عبر الفضاء.
لذا ، من يعلم ماذا حدث يا دوج؟
لكنها إشارة لأي مبرمج ، عندما تكتب رمزًا اليوم ، وتفكر ، "ما هي فرصة أن تظل الشفرة التي أقوم بإصدارها اليوم قيد الاستخدام في عام 2042؟" ...
... الجواب * على الأرجح * لا ، لكن من المحتمل جدًا * أن يكون كذلك.
دوغ. أنت لا تعرف أبدا!
بطة. وبالتالي ، فإن القرارات التي تتخذها اليوم يمكن أن تؤثر حقًا على الأشخاص في المستقبل.
دوغ. "من فضلك فكر في الأطفال ،" أتعرف ما أعنيه؟
بطة. بالضبط!
كما ثبت خطأ الألفية ؛ كما تثبت أخطاء مثل هذا: 20 عامًا هي فترة طويلة جدًا ، ولكنها أيضًا وقت قصير جدًا ، عندما يتعلق الأمر بطول عمر برامج الكمبيوتر.
دوغ. إطلاقا.
حسنًا ، هذه قصة رائعة - لدينا بعض التعليقات الجيدة ، لذا تعال واقرأ كل شيء عنها: سيارات هوندا في الفلاش باك لعام 2002 - "لا يمكنني إخراجك من رأسي".
والآن لدي دودة الأذن ...
بطة. انت من قال ذلك! لا أعتقد أنني استخدمت هذه الكلمات بالفعل.
لقد قلت للتو ، [أغنيات ، تتلاشى تدريجياً] "لا لا لا ، لا لا لا لا-لا / لا لا لا ، لا لا ..."
دوغ. لا نحب أن نخيب الآمال هنا ، لكن للأسف ليس لدينا خطأ في Apple ...
بطة. [قلق] أذنبت نفسي!
دوغ. لقد أصبت بدودة الأذن بنفسك؟
ليس لدينا قصة خطأ في Apple هذا الأسبوع ، ولكن لدينا لا يمكننا تقديم قصة Log4Shell.
لذلك ربما تكون هذه هي قصة Apple-bubble الجديدة - لدينا زوج من هؤلاء.
بطة. آمل أن يقوم Log4j بإخراج تلك الأغنية من رأسي لأنني أصبت بدودة الأذن ، دوغ ، ولا يمكنني الشكوى حقًا ، هل يمكنني ذلك؟
دوغ. لا سيدي!
بطة. لااعرغ.
حسنًا ، لم يعد Log4j تمامًا مرة أخرى ، لكنه تذكير مهم.
كما تعلم من البودكاست الأسبوع الماضي ، تحدثنا عن الكيفية التي أصدر بها القطاع العام الأمريكي مرسومًا ، "الليلة قبل عيد الميلاد: يجب أن تنجز هذا بحلول ذلك الوقت. لا تتركها. افعله اليوم. لن تختفي من تلقاء نفسها ".
حسنًا ، تعال العام الجديد ؛ تعال إلى لجنة التجارة الفيدرالية - إن لجنة التجارة الفيدرالية هي في الأساس منظمة حقوق المستهلك الأمريكية ، وقد خرجت بتذكير صغير ومليء بالحيوية للشركات التي تعمل في الولايات القضائية الأمريكية.
حتى لو كنت ضحية لجريمة إلكترونية ، إذا كان بإمكانك منعها عن طريق الترقيع ، وكان من المعقول توقع أنك كنت ستفعل ذلك ، فقد تكون مسؤولاً أيضًا عن نفسك.
لقد كانوا مثيرين جدًا في كلامهم ، ويتضمن التحذير هذه الكلمات ، دوج: "تعتزم FTC استخدام سلطتها القانونية الكاملة لملاحقة الشركات التي تفشل في اتخاذ خطوات معقولة لحماية بيانات المستهلك من التعرض نتيجة Log4j أو نقاط الضعف المعروفة المماثلة في المستقبل."
دوغ. قف!
بطة. إنه ليس مجرد قول Naked Security ، "التصحيح مبكرًا ، التصحيح كثيرًا"!
تُذكِّرك لجنة التجارة الفيدرالية (FTC) بأن التعاطف يذهب بعيدًا فقط ، وأنك يمكن أن تكون ضحية ومرتكبًا للجرائم الإلكترونية لنفس السبب - أي عدم وجود تصحيح.
إنه يسمح للمحتالين بالدخول ، وسنشعر بالأسف من أجل ذلك.
ولكن إذا سمح للمحتالين بالدخول إلى حيث كان من المتوقع بشكل معقول أن تبقيهم خارجًا ، من خلال اتخاذ الاحتياطات التي كان عليها أي شخص آخر بصراحة ، فربما يتعين عليك حمل العلبة لبعض ذلك.
دوغ. حسنًا ، لذلك عندما يقولون "Log4j أو نقاط ضعف معروفة مشابهة في المستقبل" ، ليس بعيدًا بعد ذلك ، لدينا ثغرة أمنية مماثلة مع هذا الخطأ H2.
بطة. نعم ، يشبه بشكل مدهش Log4Shell.
وفي الواقع ، وجد الباحثون الذين كانوا يبحثون من خلال كود Java عن أنواع مماثلة من البرمجة التي أدت إلى ضعف Log4Shell في المقام الأول.
تم اكتشاف هذا الخطأ ، CVE-2021-42392 ، من قبل شركة إدارة سلسلة التوريد تسمى JFrog.
قرروا ، "مرحبًا ، دعنا ننتقل إلى جميع رموز Java التي قد تحتوي على استخدام مشابه لشيء JNDI هذا" - هذا تسمية جافا وواجهة الدليل التي تبين أنها مسيئة في خطأ Log4j.
وإذا كنت تتذكر JNDI ، فهذا هو الشيء الذي تقول فيه بالفعل ، "مرحبًا ، أريدك أن تبحث عن هذه البيانات. أوه ، ليس لدي البيانات ، لكنني سأرسل لك عنوان URL لبعض البيانات ؛ في الواقع ، سأرسل لك عنوان URL لبرنامج: شغّل البرنامج وشاهد ما سيخبرك ذلك. "
أعتقد أن JFrog كان يتساءل عن عدد البرامج الأخرى التي تحتوي على أجزاء من التعليمات البرمجية الخاصة بها حيث يمكن استخدام وظيفة البحث عن اسم JNDI وربما الإفراط في استخدامها.
لسوء الحظ ، سرعان ما عثروا على واحد في محرك قاعدة بيانات Java SQL شائع يسمى H2.
الآن ، يجب أن أكون صادقًا ، دوج ، لم أسمع عن H2 من قبل.
دوغ. لا ، ولا أنا.
بطة. لقد سمعت عن MySQL و PostgreSQL و SQLite وجميع عناصر قاعدة بيانات No-SQL.
لكنني لم أسمع أبدًا عن H2 لنفس السبب الذي لم أسمع به مطلقًا عن Log4j: كان ادعاء الشهرة كله أنه كان شيئًا مضغوطًا بدرجة كافية - على عكس MySQL أو Microsoft SQL ، على سبيل المثال ، حيث قمت بتشغيل خادم والاتصال به - يمكنك فقط إدخاله في التطبيق الخاص بك ، وجعل H2 كجزء من تطبيقك.
دوغ. رائع!
بطة. إنه أحد الأشياء الأخرى التي ربما تكون قد قمت بتثبيتها - كان من الممكن أن يقوموا بسحب هذا ، تمامًا مثل تطبيقات Java التي يمكن أن تكون قد سحبت في Log4j.
النبأ السيئ هو أن الخطأ يعمل بنفس طريقة ثغرة Log4Shell تقريبًا: تحصل على عنصر JNDI هذا ، وبدلاً من مجرد إجراء بحث محلي ، تقول ، "مرحبًا ، هل تعرف ماذا؟ للبحث ، هنا عنوان URL ؛ اذهب واحصل على ملف فئة جافا هذا وقم بتشغيله. "
لذا فإن نفس تسلسل الأحداث هو الذي يؤدي إلى قابلية الاستغلال.
هذه هي الأخبار السيئة.
والخبر السار هو أنه ، على حد علمي ، فإن الطريقة الواقعية الوحيدة التي يمكن للمهاجم من خلالها استغلال ذلك هي إذا كان بإمكانه الدخول وتعديل ملف التكوين لمكون H2 هذا على أحد أجهزة الكمبيوتر في شبكتك.
بعبارة أخرى ، يعتبر الأمر بمثابة رفع للامتياز أو خدعة حركة جانبية أكثر من كونها تنفيذ التعليمات البرمجية عن بُعد.
Becausem على الرغم من أنه يمكنك استخدامه لتنفيذ التعليمات البرمجية عن بُعد إذا كانت الفتحة مفتوحة ، فسيتعين عليك الحصول على وصول محلي من أجل فتح الكل للوصول عن بُعد ، إذا كنت تعرف ما أعنيه.
دوغ. نعم.
بطة. بمعنى آخر ، عليك اقتحام الشبكة لتتمكن من اقتحام الشبكة.
لكنه مع ذلك شيء تريد تصحيحه ، لأنه ميزة كانت موجودة عن طريق الخطأ ، تمامًا مثل مشكلة Log4Shell.
لذلك ، لا يزال هناك خطأ في الترقيع ؛ إنها ليست الكارثة المحتملة لتنفيذ التعليمات البرمجية عن بُعد التي رأيناها مع Log4Shell.
دوغ. حسنًا ، لدينا بعض النصائح.
إذا كنت تعلم أن لديك تطبيقًا يقوم بتشغيل محرك قاعدة بيانات H2 ، فيمكنك الترقية إلى الإصدار 2.0.206 ؛ أو إذا لم تكن متأكدًا ، يمكنك البحث عن مثيلات رمز H2 على شبكتك.
بطة. نعم ، هذا يشبه إلى حد ما مشكلة Log4j ، أليس كذلك؟
عندما توقف الناس عن التفكير في الأمر ، أدركوا أنهم في الواقع لا يعرفون عدد التطبيقات التي لديهم والتي كانت في Java لتبدأ ؛ ثم لم يعرفوا كم من هؤلاء شملوا Log4j.
عندما ذهبوا للبحث ، وجدوا ، "Golly ، هناك الكثير من تطبيقات Java أكثر مما كنا نظن ، والكثير منهم كان لديهم Log4j."
نفس الشيء مع H2 هذا: يمكن أن يكون في تطبيق ما دون أن تدرك ذلك.
دوغ. هناك قائمة المواد مرة أخرى - نحتاج إلى قائمة المواد هذه!
بطة. بالضبط!
لذا ، كما فعلت مع Log4j ، حيث كنت تبحث عن log4j DASH مهما كان ...
... هنا يمكنك البحث عن ملفات تسمى h2 DASH STAR DOT jar - وهذا هو أرشيف جافا.
عندما تظهر هذه الملفات ، إذا كان لديك أي منها ، فمن المحتمل أن يأتوا بشيء مثل h2 DASH two DOT zero DOT أو بعض الأرقام أو جرة DOT أخرى.
وكما قلت ، دوج ، ما تبحث عنه هو 2.0.206 أو أحدث.
دوغ. حسنًا ، قفز إليها ، الجميع!
هذا يسمى تم العثور على فجوة أمان تشبه Log4Shell في محرك قاعدة بيانات Java SQL الشهير H2، على nakedsecurity.sophos.com.
بطة. ولا تأخذ منا أنه عليك أن تقفز إليه. خذها من FTC!
دوغ. نعم بجد! [يضحك]
بطة. لا أريد أن أقول إنهم يهددون الناس ، لكنهم يقولون ، "هذا مهم".
دوغ. إنهم "يحثون بشدة".
ويمكنك قراءة المزيد عن ذلك على موقع nakedsecurity.sophos.com: تهدد FTC باتخاذ إجراء قانوني بشأن Log4j غير المصحح وغيره من الملفات الفوقية.
وبينما نختتم العرض ، حان وقت عرض أوه! رقم! من الاسبوع.
مستخدم Reddit LordDragon24Aug965 يكتب ...
بطة. هذا هو الاسم الكامل؟
دوغ. هذا هو الاسم الكامل ، نعم.
بطة. افعلها مرة أخرى ، لم أفهمها كلها ...
دوغ. اللورد التنين 24 أغسطس 1965 ...
بطة. [ساركاستيك] لن يكون هذا عيد ميلاده ، أليس كذلك؟
دوغ. قد يكون الأمر كذلك ، لأنه يبدأ بالقول ، "عودة في الأيام الخوالي ..." [ضحك]
كنت تقنية الدعم الوحيدة عبر الهاتف لأحد بيوت استنساخ أجهزة الكمبيوتر الشخصية المنتشرة في كل مكان والتي كانت تُعلن في مجلات الكمبيوتر.
لقد بعنا 200 جهاز كمبيوتر لشركة برمجيات ، وذهب الأول مباشرة إلى نائب رئيس الشركة لاختباره بينما قمنا ببناء بقية الطلب.
جاء مندوب المبيعات إليّ في ذعر شديد ، وأخبرني أن الجهاز ، الذي اختبرته قبل مغادرته المحل ، لن يعمل.
اتصلت بـ VP الذي قال إنه لا توجد أضواء على الجهاز على الإطلاق.
طلبت منهم النظر إلى الخلف ومعرفة ما إذا كانت مروحة الإمداد بالطاقة - المروحة الوحيدة في تلك الأيام - تدور.
أخبرني أن أتشبث - كان عليه أن يشعل الضوء.
ألا تعرف ذلك؟
لقد قام بتوصيله في مأخذ كهربائي.
وبول ، أنا مهتم بمعرفة ما إذا كان هذا منطقيًا بالنسبة لك….
ينتهي بالقول ، "اشترى لي مندوب المبيعات غداء لتوفير عمولته."
هل لديك حتى مفهوم "المنفذ الكهربائي" في رقبتك من الغابة؟
بطة. في الواقع ، أعتقد أنه في كل ولاية قضائية عشت فيها حياتي ...
... لم أواجه ظاهرة منفذ * غير *.
دوغ. أوه ، هذا صحيح ، نعم!
بطة. لأسباب تتعلق بالسلامة ، لماذا لا يكون لديك مفتاح حتى تتمكن من إيقاف تشغيله؟
إنها مناسبة بشكل خاص في المملكة المتحدة حيث نستخدم أنابيب رئيسية دائرية - إذا كان هناك منفذ واحد مباشر ، فجميعها حية.
لذلك لدينا منافذ يتم تحويلها ، كما أفهمها ، بموجب القانون.
الشيء الغريب الذي لدينا - في اثنين من البلدان التي عشت فيها لديهما اللوائح - لا أعتقد أن لديك في الولايات المتحدة - أنه لا يُسمح لك بمفاتيح الإضاءة داخل الحمام.
دوغ. مثير للإعجاب.
بطة. إما أن يكون لديك مفتاح إضاءة عادي خارج الحمام ، أو - الأكثر شيوعًا في المملكة المتحدة - لديك مفتاح سحب حيث يكون المفتاح في السقف ، ويتم تشغيله بواسطة سلسلة لا توصل الكهرباء.
لكن لا يُسمح لك بالتبديل - أو المنفذ - في الحمام.
دوغ. مثير للإعجاب!
حسنًا ، لقد تعلمت الكثير اليوم ، لذا أشكركم على إعلامي بهذا الموضوع وكل الأشياء الأخرى التي تحدثنا عنها.
وإذا كان لديك أوه! رقم! كنت ترغب في الإرسال ، نود قراءته على البودكاست.
يمكنك إرسال بريد إلكتروني إلى tips@sophos.com ؛ يمكنك التعليق على أي من مقالاتنا ؛ أو يمكنك التواصل معنا على @ NakedSecurity.
هذا هو عرضنا لهذا اليوم - شكرًا جزيلاً على الاستماع.
بالنسبة لبول دوكلين ، أنا دوج أموث أذكرك ، حتى المرة القادمة ، بـ ...
على حد سواء. كن آمنا!
[مودم موسيقي]
