Aşağıda müzik çalar yok mu? Dinlemek direkt olarak Soundcloud'da.

DOUG.  Arka kapılar, istismarlar ve Little Bobby Tables'ın muzaffer dönüşü.

Hepsi ve daha fazlası Naked Security podcast'inde.

[MÜZİKAL MODEM]

Podcast'e hoş geldiniz millet.

Ben Doug Aamoth ve o Paul Ducklin.

Paul, nasılsın?

---

ÖRDEK.  Bence o muhtemelen “Bay. Robert Tables” şimdi, Douglas. [Kahkahalar]

Ama haklısın, rezil bir dönüş yaptı.

---

DOUG.  Harika, bunun hakkında her şeyi konuşacağız.

Ama önce, Teknoloji Tarihinde Bu Hafta.

7 Haziran 1983'te Michael Eaton'a patent verildi. AT modemler için komut seti.

Bugüne kadar, modemleri kontrol etmek için yaygın olarak kullanılan bir iletişim protokolüdür.

Bu açılımı ATTENTION, ve modem iletişimini başlatmak için kullanılan komut önekinden sonra adlandırılır.

The AT komut seti başlangıçta Hayes modemleri için geliştirildi, ancak fiili bir standart haline geldi ve bugün mevcut çoğu modem tarafından destekleniyor.

Paul, 1983'ten beri hayatta kalan ve hala kullanımda olan kaç tane teknolojik şeyimiz var?

---

ÖRDEK.  Hata…

MSDOS mu?

Ah, hayır, üzgünüm! [Kahkahalar]

ATDT “Dikkat, Çevir, Ton” için.

ATDP [P FOR PULSE] tonlu çevirme santraliniz yoksa…

…ve modemi duyarsınız.

Tık-tık-tık-tık-klik, tık-tık-tık, tık-tık şeklinde giden küçük bir rölesi vardı.

Aradığı numarayı kontrol etmek için yolunuzu sayabilirsiniz.

Ve haklısın: hala bu güne alışkın.

Örneğin, Bluetooth modemlerde şuna benzer şeyler söylemeye devam edebilirsiniz: AT+NAME= ve ardından görüntülemek istediğiniz Bluetooth adı.

Şaşırtıcı derecede uzun ömürlü.

---

DOUG.  Gelelim hikayelerimize.

İlk olarak, bu güncellemeye göz kulak olduk… neler oluyor? KeePassPaul?

Ciddi Güvenlik: KeePass "ana parola kırma" ve ondan öğrenebileceklerimiz

---

ÖRDEK.  Hatırlarsan, Doug, bir böcek hakkında konuşmuştuk (bu CVE-2023-32784).

Bu hata, siz parolanızı yazarken, zaten girilmiş olan parola karakterlerinin sayısını gösteren leke dizilerinin yanlışlıkla bellekte "Hey, zaten yazdığınızı gösteren şu beş damla karakteri" yazan bir tür işaretler gibi davranmasıydı. şifrenin beş karakteri? Bellekte hemen yanlarında, şifrenizin altıncı karakteri olan (aksi takdirde zaman ve mekanda kaybolacak olan) tek karakter var.

Böylece ana parola hiçbir zaman tek bir yerde toplanmadı - karakterler hafızanın her yerine dağılmıştı.

Onları nasıl bir araya getirirsin?

İşin sırrı, işaretçileri, blob-blob-blob-blob'u vb. aramanızdı.

Ve iyi haber şu ki, KeePass'ın yazarı bunu düzelteceğine söz verdi ve düzeltti.

Yani bir KeePass kullanıcısıysanız, gidip KeyPass 2.54'ü edinin.

---

DOUG.  Evet efendim!

Pekala, buna göz kulak olmayı bırakacağız.

Tekrar ortaya çıkmazsa, bu durumda ona yeni bir göz atacağız. [Kahkahalar]

Gelelim hikaye listemize.

Paul, eski moda bir SQL enjeksiyon saldırımız var. dönüşü müjdeliyor dostumuz Little Bobby Tables'ın.

Burada neler oluyor?

Veri ihlali çeteleri tarafından kullanılan MOVEit sıfır gün istismarı: Nasıl, neden ve ne yapılmalı…

---

ÖRDEK.  Alıntı yapmak için Orijinal Çılgın Dublör [dans sanatçısı Mark Quashie], "Onu hareket ettirmeyi seviyorum, hareket ettirin!"

Şaşırtıcı derecede yaygın olarak kullanılan bir dosya paylaşım ve yönetim ürünü/hizmeti.

Bunun iki tadı var.

Var HAREKET Transferi ve MOVEit Bulut; Progress Software Corporation adlı bir şirketten geliyorlar.

Diğer şeylerin yanı sıra ekibinizde, departmanınızda, şirketinizde ve hatta belki de tedarik zincirinizde paylaşılan dosyalara erişmenizi kolaylaştıran bir web ön ucu içeren bir dosya paylaşım aracıdır.

Sorun… web ön uç kısmında, dediğiniz gibi, bir SQL enjeksiyon hatası vardı (dublajlı CVE2023-34362, bunu izlemek istiyorsanız).

Bunun anlamı, oturum açmadan web arayüzünüze erişebilen birinin sunucuyu, yani arka uç sunucusunu, kendi seçtikleri bazı komutları çalıştırması için kandırabilmesiydi.

Yapabilecekleri şeyler arasında şunlar olabilir: neyin nerede saklandığını bilmeleri için dahili veritabanlarınızın yapısını bulmak; belki de verilerinizi indirmek ve bunlarla uğraşmak; ve isteğe bağlı olarak dolandırıcılar için web kabuğu olarak bilinen şeyi enjekte etmek.

Bu temel olarak web sunucusu kısmına yapıştırdığınız hileli bir dosyadır, böylece daha sonra geri döndüğünüzde size, masum görünümlü bir tarayıcıya sahip ziyaretçiye bir web sayfası sunmaz.

Bunun yerine, aslında sunucuda rasgele komutları tetikler.

Ve ne yazık ki, bu bir sıfır gün olduğu için, görünüşe göre bazı çok büyük kuruluşlardan veri çalmak ve ardından verileri gizlemeleri için para ödemeleri için onlara şantaj yapmak için oldukça yaygın bir şekilde kullanıldı.

Birleşik Krallık'ta, bu MOVEit hatası nedeniyle esasen saldırıya uğrayan, etkilenen yüz binlerce çalışandan bahsediyoruz, çünkü bu, ortak maaş bordrosu sağlayıcılarının kullanmayı seçtiği yazılımdı.

Ve XYZ Corp'a doğrudan giremiyorsanız, ancak XYZ Corp'un dış kaynaklı maaş bordrosu sağlayıcısına girebiliyorsanız, muhtemelen bu işletmelerdeki tüm personel hakkında inanılmaz miktarda kişisel olarak tanımlanabilir bilgi elde edeceğinizi hayal edin.

Ne yazık ki, kimlik hırsızlığı için kötüye kullanılması gerçekten kolay olan türden bilgiler.

Sosyal Güvenlik numaraları, Ulusal Sigorta numaraları, vergi dosya numaraları, ev adresleri, telefon numaraları, belki banka hesap numaraları, emeklilik planı yükleme bilgileri, tüm bu tür şeylerden bahsediyorsunuz.

Görünüşe göre, bu davada verilen zarar bu gibi görünüyor: bu MOVEit yazılımını kullanan şirketleri kullanan şirketler, bu dolandırıcılar tarafından kasıtlı olarak, kasıtlı olarak hedef alındı.

Ve Microsoft'tan gelen raporlara göre, kötü şöhretli Clop fidye yazılımı çetesi oldukları veya bunlarla bağlantılı oldukları anlaşılıyor.

---

DOUG.  Tamam.

Bulut tabanlı sürüm de dahil olmak üzere hızla yamalandı, bu nedenle orada hiçbir şey yapmanıza gerek yok… ancak şirket içi bir sürüm çalıştırıyorsanız yama uygulamanız gerekir.

Ama ne yapacağımıza dair bazı tavsiyelerimiz var ve benim favorilerimden biri: Bir programcıysanız girişlerinizi sterilize edin.

Bu da bizi Little Bobby Tables karikatürüne götürüyor.

XKCD çizgi filmini daha önce gördüyseniz (https://xkcd.com/327), okul bir anneyi arar ve “Bilgisayarda bir sorun yaşıyoruz” der.

O da “Oğlum karıştı mı” diyor.

Ve diyorlar ki, "Bir nevi, pek sayılmaz. Ama oğlunuza Robert Drop Table Students adını verdiniz mi?”

Ve "Ah, evet, ona Küçük Bobby Masaları diyoruz" diyor.

Ve elbette, bu komutu uygun şekilde sterilize edilmemiş bir veritabanına girmek, öğrenci tablosunu siler.

Doğru anladım mı?

---

ÖRDEK.  Gördün, Douglas.

Ve aslında, yorumcularımızdan birinin işaret ettiği gibi, birkaç yıl önce (sanırım 2016'daydı), Birleşik Krallık'ta Companies House'a kasıtlı olarak bir şirket kaydettiren ünlü bir vaka vardı. SEMICOLON (SQL'de bir komut ayırıcıdır) [GÜLMEK] DROP TABLE COMPANIES SEMICOLON COMMENT SIGN LIMITED.

Açıkçası, bu bir şakaydı ve Majestelerinin Hükümeti'nin web sitesine adil olmak gerekirse, gerçekten o sayfaya gidebilir ve şirketin adını doğru bir şekilde görüntüleyebilirsiniz.

Yani bu durumda işe yaramış gibi görünmüyor… Görünüşe göre girdilerini sterilize ediyorlar!

Ancak sorun, gönderenin seçeceği* verileri içeren bir sunucuya gönderebileceğiniz, ardından ağınızdaki başka bir sunucuya gönderilen bir sistem komutuna enjekte edilen web URL'leriniz veya web formlarınız olduğunda ortaya çıkar.

Yani bu eski usul bir hata ama yapması oldukça kolay ve test etmesi oldukça zor çünkü çok fazla olasılık var.

URL'lerdeki ve komut satırlarındaki karakterler… tek tırnak işaretleri, çift tırnak işaretleri, ters eğik çizgiler, noktalı virgüller (ifade ayırıcılarsa) ve SQL'de, eğer gizlice bir kısa çizgi (--) oradaki karakter dizisi, ardından "Sırada ne varsa bir yorumdur" diyor.

Bunun anlamı, bunu artık hatalı biçimlendirilmiş verilerinize enjekte edebilirseniz, komutun sonunda bir sözdizimi hatası olabilecek her şeyi ortadan kaldırabilirsiniz, çünkü komut işlemcisi, "Ah, kısa çizgi gördüm" der. , bu yüzden onu dikkate almama izin verin.

Yani, girişlerinizi dezenfekte ediyor musunuz?

Kesinlikle yapmalısın ve bunun için gerçekten test etmelisin…

…ama dikkat: tüm üsleri incelemek gerçekten zor, ama yapmak zorundasın, yoksa bir gün birisi unuttuğun üsleri öğrenir.

---

DOUG.  Pekala, ve bahsettiğimiz gibi…

İyi haber, yama yapıldı.

Kötü haber, sıfır gündü.

Bu nedenle, bir MOVEit kullanıcısıysanız ve bulut sürümünden başka bir sürüm çalıştırıyorsanız bunun güncellendiğinden emin olun.

Ve şu anda yama yapamıyorsan, ne yapabilirsin, Paul?

---

ÖRDEK.  MOVEit ön ucunun web tabanlı kısmını kapatabilirsiniz.

Şimdi, bu, sisteminizde güvenmeye başladığınız bazı şeyleri bozabilir ve bu, sistemle etkileşim kurmanın tek yolunun web kullanıcı arayüzü olduğu anlamına gelen insanların... bağlantılarının kesileceği anlamına gelir.

Ancak, MOVEit hizmetiyle etkileşim kurmak için SFTP (Güvenli Dosya Aktarım Protokolü) gibi çok sayıda başka mekanizmayı kullanırsanız, bu hatayı tetikleyemeyeceksiniz, bu nedenle web hizmetine özgüdür.

Ancak, bunun şirket içi bir sürümüne sahipseniz yama uygulamanız gerçekten yapmanız gereken şeydir.

Daha da önemlisi, bugünlerde pek çok saldırıda olduğu gibi, sorun yalnızca hatanın var olması ve siz onu yamalamış olmanız değil.

Ya hırsızlar içeri girerse?

Ya kötü bir şey yaptılarsa?

Daha önce de belirttiğimiz gibi, Clop fidye yazılımı çetesinin bulunduğu iddia edilen kişilerin bulunduğu yerlerde, arayabileceğiniz bazı açıklayıcı işaretler var gibi görünüyor ve Progress Software'in web sitesinde bunların bir listesi var (Uzlaşma Göstergeleri [IoC'ler olarak adlandırdığımız şey) ] gidip arayabileceğiniz).

Ancak daha önce defalarca söylediğimiz gibi delilin yokluğu, yokluğun ispatı değildir.

Bu nedenle, her zamanki saldırı sonrası tehdit avınızı yapmanız gerekir.

Örneğin, yeni oluşturulan kullanıcı hesapları (gerçekten orada olmaları mı gerekiyor?), beklenmedik veri indirmeleri ve beklemeyeceğiniz ve şimdi tersine çevirmeniz gereken her türlü diğer değişiklik gibi şeyleri aramak.

Ayrıca birçok kez söylediğimiz gibi, bunu kendi başınıza yapacak zamanınız ve/veya uzmanlığınız yoksa lütfen yardım istemekten çekinmeyin.

(Sadece git https://sophos.com/mdr, burada MDR, muhtemelen bildiğiniz gibi, kısaltmasıdır. Yönetilen Tespit ve Yanıt.)

Sadece ne arayacağınızı bilmek değil, bunun ne anlama geldiğini ve bunun olduğunu fark ettiğinizde acilen ne yapmanız gerektiğini bilmektir...

…olan şey, sizin saldırınızda benzersiz olsa da ve diğer insanların saldırıları biraz farklı gelişmiş olsa da.

---

DOUG.  Sanırım buna dikkat edeceğiz!

İstismarlara bağlı kalalım ve bundan sonra bir vahşi sıfır gün Chromium tabanlı tarayıcıları etkiliyor, Paul.

Chrome ve Edge sıfır gün: "Bu açıktan yararlanma çok yaygın", bu nedenle sürümlerinizi şimdi kontrol edin

---

ÖRDEK.  Evet, bununla ilgili tek bildiğimiz… Normalde ilginç istismarlar hakkında büyük hikayeler anlatmayı seven Google'ın sıfır gün olduğu için kartlarını göğsüne çok yakın tuttuğu zamanlardan biri.

Ve Google'ın Chrome'a ​​yönelik güncelleme bildirimi basitçe şunu söylüyor: "Google, vahşi ortamda CVE-2023-3079 için bir istismar olduğunun farkında."

Bu, Google ve Apple gibi şirketlerin sıklıkla ortaya atmayı sevdikleri, daha önce bahsettiğimiz ve "Başkalarının bunu iddia ettiğini öne süren raporların farkındayız" dedikleri, benim iki dereceli ayrım dediğim şeyin bir adım üstünde. görmüş olabilirler.” [Kahkahalar]

Sadece “Bir suistimal var; gördük.”

Ve bu şaşırtıcı değil, çünkü görünüşe göre bu Google'ın kendi tehdit analiz ekibi tarafından araştırılmış ve ortaya çıkarılmıştır.

Tüm bildiğimiz bu…

…bu ve bunun bir olarak bilinen şey olduğu gerçeği tür karışıklığı Chromium'un JavaScript'i tarayıcınızın içinde işleyen ve yürüten parçası olan JavaScript motoru olan V8'de.

---

DOUG.  Keşke tür karışıklığı hakkında daha fazla şey bilseydim.

Tip karışıklığı konusunda kafam karıştı.

Belki birisi bana açıklayabilir?

---

ÖRDEK.  Ooooh, Doug, bu tam da sevdiğim türden bir bölüm! [GÜLER]

Basitçe açıklanırsa, bir programa veri sağladığınız ve "İşte bir yığın veri, ona bir tarihmiş gibi davranmanızı istiyorum" dersiniz.

İyi yazılmış bir sunucu, “Biliyor musun? Bana gönderdiğiniz verilere körü körüne güvenmeyeceğim. Bana gerçekçi bir şey gönderdiğinden emin olacağım”…

…böylece Little Bobby Tables probleminden kaçınılır.

Ancak, sunucunun yürütülmesi sırasında gelecekteki bir anda, sunucuyu kandırarak "Hey, sana gönderdiğim ve sana bir tarih olduğunu söylediğim verileri hatırlıyor musun? Ve gün sayısının 31'den fazla olmadığını ve ayın 12'den fazla olmadığını ve yılın, örneğin 1920 ile 2099 arasında olduğunu, yaptığınız tüm bu hata kontrollerini doğruladınız mı? Aslında, unut gitsin! Şimdi, benim sağladığım veriyi almanı istiyorum, bu yasal bir tarihti, ama *buna bir hafıza adresiymiş gibi davranmanı istiyorum*. Ve orada çalışan programı çalıştırmanı istiyorum çünkü zaten verileri kabul ettin ve ona güvenmeye karar verdin."

Dolayısıyla, V8'deki bu tür bir karışıklığın tam olarak nasıl bir biçim aldığını bilmiyoruz, ancak tahmin edebileceğiniz gibi, bir JavaScript motorunun içinde, JavaScript motorlarının farklı zamanlarda ilgilenmesi ve işlemesi gereken birçok farklı türde veri vardır.

Bazen tamsayılar olacak, bazen karakter dizileri olacak, bazen bellek adresleri olacak, bazen yürütülecek işlevler olacak, vb.

Dolayısıyla, JavaScript motorunun şu anda bakmakta olduğu verilerle ne yapması gerektiği konusunda kafası karıştığında, kötü şeyler olabilir!

---

DOUG.  Düzeltme basit.

Tek yapmanız gereken Chromium tabanlı tarayıcınızı güncellemek.

Bunun Google Chrome ve Microsoft Edge için nasıl yapılacağına ilişkin talimatlarımız var.

Ve son olarak, ama kesinlikle en az değil, elimizde bir sözde Windows "arka kapı" bu Gigabyte anakart sahiplerini etkiliyor.

Ancak senin de dediğin gibi şeytan ayrıntıda gizlidir Paul.

Araştırmacılar, Windows "arka kapı"nın yüzlerce Gigabyte anakartı etkilediğini iddia ediyor

---

ÖRDEK.  Ah canım, evet!

Şimdi sondan başlayalım: iyi haber şu ki Gigabyte'ın bunun için bir yama çıkardığını gördüm.

Sorun, düşünürseniz oldukça kullanışlı bir özellik olmasıydı.

adlı bir programdı. GigabyteUpdateService.

Bil bakalım bu ne yaptı, Douglas?

Tam olarak teneke üzerinde söylediği şey - özelliğin adı Uygulama Merkezi (bunun için Gigabyte'ın adı).

Harika.

Güncellemeleri yapma sürecinin kriptografik olarak sağlam olmaması dışında.

Orada hala bazı eski zaman kodları vardı… bu bir C# programıydı, bir .NET programı.

Görünüşe göre, indirmeyi deneyebileceği üç farklı URL'ye sahipti.

Bunlardan biri düz eski HTTP'ydi, Doug.

Ve sorun, Firesheep günlerinden beri bildiğimiz gibi, HTTP indirmelerinin [A] araya girmesi önemsiz ve [B] yol boyunca alıcının onları kurcaladığınızı tespit edememesi için değiştirmesi önemsiz.

Diğer iki URL, HTTPS kullanıyordu, bu nedenle indirme kolayca kurcalanamadı.

Ancak diğer uçta en temel HTTPS sertifika doğrulamasını yapmak için herhangi bir girişimde bulunulmadı, bu da herhangi birinin bir Gigabyte sertifikasına sahip olduğunu iddia ederek bir sunucu kurabileceği anlamına geliyor.

Ayrıca, sertifikanın GoDaddy veya Let's Encrypt gibi tanınmış bir CA (sertifika yetkilisi) tarafından imzalanması gerekmediği için, isteyen herkesin anında kendi sertifikasını basabileceği anlamına gelir. toplanacaktı.

Ve üçüncü sorun, programları indirdikten sonra, Gigabyte'ın bunların yalnızca doğrulanmış bir dijital sertifikayla değil, aynı zamanda kesinlikle kendilerinden biri olan bir sertifikayla imzalanıp imzalanmadığını kontrol edebilmesi, ancak kontrol edememesiydi.

---

DOUG.  Tamam, yani bu üç şey kötü ve bu kötü şeylerin sonu, değil mi?

Daha fazlası yok.

Endişelenmemiz gereken tek şey bu mu? [Kahkahalar]

---

ÖRDEK.  Ne yazık ki, bunun durumu daha da kötüleştiren başka bir boyutu daha var.

Donanım yazılımı olan Gigabyte BIOS, içinde süper harika bir özel özelliğe sahiptir.

(Varsayılan olarak açık olup olmadığından emin değiliz - bazı insanlar bazı anakartlar için varsayılan olarak kapalı olduğunu öne sürüyor ve diğer yorumcular "Hayır, yakın zamanda bir anakart aldım ve bu özellik varsayılan olarak açıktı." dedi.)

Bu, APP Center otomatik güncelleme işlemini etkinleştiren bellenimin kendisinde bulunan bir özelliktir.

Bu nedenle, kendiniz yüklememiş olsanız bile bu yazılımı yüklemiş, etkinleştirmiş ve çalıştırmış olabilirsiniz.

Ve daha da kötüsü, Doug, çünkü aygıt yazılımının kendisi tarafından düzenleniyor, yani Windows'a gidip "Yani, bu şeyi söküp atacağım" dersen...

…bilgisayarınızı bir sonraki açışınızda, üretici yazılımının kendisi güncellemeyi Windows klasörünüze geri enjekte eder!

---

DOUG.  Haftanın Yorumunu biraz erken kabul edersek… bu makale hakkında isimsiz bir yorumcumuz bize şunları söyledi:

Birkaç hafta önce bir Gigabyte ITX anakartı olan bir sistem kurdum ve Gigabyte APP Center kutudan çıkar çıkmaz açıktı (yani varsayılan olarak açık).

Hatta BIOS ayarlarında gizlendiğini öğrenmeden önce birkaç kez sildim. Ben bu saçmalıkların hayranı değilim.

Yani bu kişi bu APP Merkezini siliyor, ancak geri gelmeye, geri gelmeye ve geri gelmeye devam ediyor.

---

ÖRDEK.  Önerdiğimden biraz daha karmaşık.

sen hayal et "Oh, pekala, üretici yazılımı çevrimiçi oluyor, bir dosya indiriyor ve onu Windows klasörünüze yapıştırıyor."

Ancak bugünlerde çoğu bilgisayarda BitLocker yok mu veya en azından kurumsal bilgisayarlarda, insanların tam disk şifrelemesi yok mu?

Windows'u çalıştırıp çalıştırmayacağınızı bile bilmeden önce çalışan aygıt yazılımınız nasıl oluyor da...

…cihaz yazılımı, şifrelenmiş bir Windows C: sürücüsüne yeni bir dosyayı nasıl ekler?

Bu nasıl oluyor?

Ve daha iyisi ya da daha kötüsü, Microsoft Windows aslında… Bence bu bir özellik, ancak nasıl çalıştığını duyduğunuzda fikrinizi değiştirebilirsiniz. [GÜLER]

Buna WPBT denir.

Ve şu anlama geliyor... [HATIRLAYAMIYORUM]

---

DOUG.  Windows Platformu İkili Tablo.

---

ÖRDEK.  Ah, benden daha iyi hatırladın!

Neredeyse böyle çalıştığına inanamıyorum….

Temel olarak, bellenim, “Hey, bir yürütülebilir dosyam var; Aygıt yazılımıma gömülü bir programım var."

Bu bir Windows programıdır, yani UEFI ürün yazılımı döneminde Windows programlarını çalıştıramayacağınız için ürün yazılımı onu çalıştıramaz.

Ancak aygıt yazılımının yaptığı şey, programı belleğe okumak ve Windows'a, "Hey, bellekte 0xABCDEF36C0 adresinde veya her neyse, bir program var. Lütfen sürücünün kilidini açtığınızda ve gerçekten Güvenli Önyükleme sürecinden geçtiğinizde bu programı kendinize yerleştirin."

---

DOUG.  Ne ters gidebilir ki? [Kahkahalar]

---

ÖRDEK.  Microsoft'a adil olmak gerekirse, kendi yönergeleri şunları söylüyor:

WPBT'nin birincil amacı, işletim sistemi değiştirildiğinde veya temiz bir şekilde yeniden yüklendiğinde bile kritik yazılımların devam etmesine izin vermektir. Bir kullanım örneği, bir cihazın çalınması, biçimlendirilmesi veya yeniden yüklenmesi durumunda devam etmesi gereken hırsızlık önleme yazılımını etkinleştirmektir.

Yani nereden geldiklerini bir nevi anlıyorsunuz ama sonra şunu fark ediyorlar:

Bu özellik, sistem yazılımını Windows bağlamında kalıcı olarak yürütme yeteneği sağladığından, bu çözümlerin olabildiğince güvenli olması kritik öneme sahip…

(Kalın değil; kalın yazılmış gibi konuşuyorum.)

…ve Windows kullanıcılarını istismar edilebilir koşullara maruz bırakmayın. Özellikle, bu çözümler kötü amaçlı yazılım, yani kötü amaçlı yazılım veya yeterli kullanıcı izni olmadan yüklenen istenmeyen yazılım içermemelidir.

Ve bu durumda, yorumcumuzun dediği gibi, rıza, Gigabyte anakartlarında bir ürün yazılımı seçeneği, bir BIOS seçeneği olduğudur.

Ve seçenekleri yeterince uzun süre araştırırsanız, onu bulmalısınız; buna denir APP Merkezi İndirme ve Yükleme.

Bu seçeneği kapatırsanız, bu şeyin yüklenmesini isteyip istemediğinize karar verirsiniz ve ardından isterseniz kendiniz güncelleyebilirsiniz.

---

DOUG.  Tamam, buradaki büyük soru…

…bu gerçekten bir arka kapı mı?

---

ÖRDEK.  Benim görüşüm, "arka kapı" kelimesinin gerçekten çok özel bir BT maskaralığı sınıfı, yani daha alçakça siber güvenlik davranışları için ayrılması gerektiğidir.

Şunlar gibi şeyler: bilen kişiler tarafından kırılabilmesi için şifreleme algoritmalarını kasıtlı olarak zayıflatmak; şifrenizi değiştirseniz bile insanların oturum açabilmesi için kasıtlı olarak gizli şifreler oluşturmak; ve komuta ve kontrol için belgelenmemiş yollar açmak.

Bu APP Center komuta ve kontrol yolunun var olduğunu fark etmemiş olsanız da, tam olarak belgelenmemiş değildir.

Ve BIOS'ta, açıp kapatmanıza izin veren bir seçenek var.

Kendinizi Gigabyte web sitesine, onların haber sitesine götürün ve en son sürümü öğreneceksiniz.

---

DOUG.  Bu isimsiz yorumcuya teşekkür etmek istiyorum.

Bu, hikayeyi tamamlamaya yardımcı olan çok yararlı bilgilerdi.

---

ÖRDEK.  Aslında!

---

DOUG.  Ve herkese hatırlatmak istiyorum: eğer göndermek istediğiniz ilginç bir hikayeniz, yorumunuz veya sorunuz varsa, onu podcast'te okumaktan memnuniyet duyarız.

Tips@sophos.com adresine e-posta gönderebilir, makalelerimizden herhangi biri hakkında yorum yapabilir veya sosyal medyadan bize ulaşabilirsiniz: @nakedsecurity.

Bugünkü programımız bu; dinlediğiniz için çok teşekkürler.

Paul Ducklin için, ben Doug Aamoth, bir dahaki sefere kadar size hatırlatıyorum…

---

HER İKİSİ DE.  Güvende kalın!

[MÜZİKAL MODEM]