Không có trình phát âm thanh bên dưới? Nghe trực tiếp trên Soundcloud.

CHÓ.  Cửa hậu, khai thác và chiến thắng trở lại của Little Bobby Tables.

Tất cả những điều đó và hơn thế nữa, trên podcast Naked Security.

[CHẾ ĐỘ ÂM NHẠC]

Chào mừng mọi người đến với podcast.

Tôi là Doug Aamoth, và anh ấy là Paul Ducklin.

Paul, bạn làm thế nào?

---

VỊT.  Tôi nghĩ anh ấy có lẽ là “Mr. Robert Tables” bây giờ, Douglas. [CƯỜI]

Nhưng bạn nói đúng, anh ấy đã có một sự trở lại khét tiếng.

---

CHÓ.  Tuyệt vời, chúng ta sẽ nói tất cả về điều đó.

Nhưng trước tiên, Tuần này trong Lịch sử Công nghệ.

Ngày 7 tháng 1983 năm XNUMX, Michael Eaton được cấp bằng sáng chế cho AT bộ lệnh cho modem.

Cho đến ngày nay, nó vẫn là một giao thức truyền thông được sử dụng rộng rãi để điều khiển modem.

Nó tượng trưng cho ATTENTIONvà được đặt tên theo tiền tố lệnh được sử dụng để bắt đầu giao tiếp với modem.

Sản phẩm AT bộ lệnh ban đầu được phát triển cho modem Hayes, nhưng đã trở thành một tiêu chuẩn trên thực tế và được hỗ trợ bởi hầu hết các modem hiện nay.

Paul, chúng ta có bao nhiêu thứ công nghệ tồn tại từ năm 1983 và vẫn đang được sử dụng?

---

VỊT.  ừm…

MS-DOS?

Ồ, không, xin lỗi! [CƯỜI]

ATDT cho “Chú ý, Quay số, Giai điệu”.

ATDP [P FOR PULSE] nếu bạn không có trao đổi quay số bằng âm báo…

…và bạn sẽ nghe thấy tiếng modem.

Nó có một chuyển tiếp nhỏ nhấp-click-click-click-click, click-click-click, click-click.

Bạn có thể đếm theo cách của mình để kiểm tra số mà nó đang gọi.

Và bạn nói đúng: vẫn được sử dụng cho đến ngày nay.

Vì vậy, ví dụ: trên modem Bluetooth, bạn vẫn có thể nói những câu như AT+NAME= và sau đó là tên Bluetooth bạn muốn hiển thị.

Sống lâu đến kinh ngạc.

---

CHÓ.  Hãy đi vào câu chuyện của chúng tôi.

Trước tiên, chúng tôi đã theo dõi bản cập nhật này… chuyện gì đang xảy ra với KeePass, Phao-lô?

Bảo mật nghiêm túc: “Bẻ khóa mật khẩu chính” KeePass đó và những gì chúng ta có thể học được từ nó

---

VỊT.  Nếu bạn nhớ, Doug, chúng tôi đã nói về một lỗi (đó là CVE-2023-32784).

Lỗi đó là khi bạn nhập mật khẩu của mình, các chuỗi đốm màu cho biết số lượng ký tự mật khẩu đã nhập vô tình hoạt động như một loại cờ trong bộ nhớ cho biết: “Này, năm ký tự đốm màu đó cho thấy bạn đã nhập rồi năm ký tự của mật khẩu? Ngay gần chúng trong bộ nhớ là ký tự đơn (nếu không sẽ bị mất theo thời gian và không gian) là ký tự thứ sáu trong mật khẩu của bạn.”

Vì vậy, mật khẩu chính không bao giờ được tập hợp lại ở một nơi - các ký tự nằm rải rác khắp bộ nhớ.

Làm thế nào bạn sẽ bao giờ đặt chúng lại với nhau?

Và bí mật là bạn đã tìm kiếm các điểm đánh dấu, blob-blob-blob-blob, v.v.

Và tin tốt là tác giả của KeePass đã hứa rằng anh ấy sẽ sửa lỗi này và anh ấy đã làm được.

Vì vậy, nếu bạn là người dùng KeePass, hãy truy cập và tải KeyPass 2.54.

---

CHÓ.  Vâng thưa ngài!

Được rồi, chúng tôi sẽ ngừng để mắt đến điều này.

Trừ khi nó mọc lên trở lại, trong trường hợp đó chúng tôi sẽ để mắt đến nó. [CƯỜI]

Hãy vào danh sách những câu chuyện của chúng tôi.

Paul, chúng ta có một cuộc tấn công SQL injection lỗi thời báo hiệu sự trở lại của người bạn Little Bobby Tables của chúng ta.

Những gì đang xảy ra ở đây?

Khai thác MOVEit zero-day được sử dụng bởi các nhóm vi phạm dữ liệu: Cách thức, lý do và phải làm gì…

---

VỊT.  Để trích dẫn Diễn viên đóng thế điên gốc [nghệ sĩ múa Mark Quashie], “Tôi thích chuyển nó, chuyển nó đi!”

Đó là một sản phẩm/dịch vụ quản lý và chia sẻ tệp được sử dụng rộng rãi một cách đáng ngạc nhiên.

Có hai hương vị của nó.

có CHUYỂN CHUYỂN và MOVEit đám mây; họ đến từ một công ty tên là Progress Software Corporation.

Đó là một công cụ chia sẻ tệp bao gồm giao diện người dùng web giúp bạn dễ dàng truy cập các tệp được chia sẻ trong nhóm, phòng ban, công ty của bạn, thậm chí có thể trong chuỗi cung ứng của bạn.

Vấn đề… trong phần web front-end, như bạn nói, có một lỗi SQL injection (được đặt tên là CVE 2023-34362, nếu bạn muốn theo dõi cái này).

Và điều đó có nghĩa là ai đó có thể truy cập giao diện web của bạn mà không cần đăng nhập có thể lừa máy chủ, máy chủ phụ trợ, chạy một số lệnh mà họ chọn.

Và trong số những việc họ có thể làm là: tìm ra cấu trúc cơ sở dữ liệu nội bộ của bạn, để họ biết những gì được lưu trữ ở đâu; có lẽ đang tải xuống và làm hỏng dữ liệu của bạn; và, tùy chọn cho những kẻ lừa đảo, tiêm cái được gọi là webshell.

Về cơ bản, đó là một tệp giả mạo mà bạn dán vào phần máy chủ web để khi bạn quay lại sau, nó sẽ không cung cấp trang web cho bạn, khách truy cập có trình duyệt trông vô hại.

Thay vào đó, nó thực sự kích hoạt các lệnh tùy ý trên máy chủ.

Và thật không may, bởi vì đây là zero-day, nó rõ ràng đã được sử dụng khá rộng rãi để đánh cắp dữ liệu từ một số tổ chức rất lớn, sau đó tống tiền họ trả tiền để ngăn chặn dữ liệu.

Ở Vương quốc Anh, chúng ta đang nói về hàng trăm nghìn nhân viên bị ảnh hưởng, những người về cơ bản đã bị tấn công vì lỗi MOVEit này, bởi vì đó là phần mềm mà nhà cung cấp bảng lương chung của họ đã chọn sử dụng.

Và bạn hãy tưởng tượng, nếu bạn không thể đột nhập trực tiếp vào XYZ Corp, nhưng bạn có thể đột nhập vào nhà cung cấp dịch vụ trả lương thuê ngoài của XYZ Corp, bạn có thể sẽ thu được một lượng thông tin nhận dạng cá nhân đáng kinh ngạc về tất cả nhân viên trong các doanh nghiệp đó.

Thật không may, loại thông tin thực sự dễ bị lạm dụng để đánh cắp danh tính.

Vì vậy, bạn đang nói những thứ như số An sinh xã hội, số Bảo hiểm Quốc gia, số hồ sơ thuế, địa chỉ nhà, số điện thoại, có thể là số tài khoản ngân hàng, thông tin tải lên kế hoạch lương hưu, tất cả những thứ đó.

Vì vậy, rõ ràng, đó dường như là tác hại đã xảy ra trong trường hợp này: các công ty sử dụng các công ty sử dụng phần mềm MOVEit này đã bị những kẻ lừa đảo này nhắm mục tiêu một cách có chủ đích.

Và, theo các báo cáo từ Microsoft, có vẻ như họ đang hoặc có liên quan đến băng nhóm ransomware Clop khét tiếng.

---

CHÓ.  OK.

Nó được vá nhanh chóng, bao gồm cả phiên bản dựa trên đám mây, vì vậy bạn không phải làm gì ở đó… nhưng nếu đang chạy phiên bản tại chỗ, bạn nên vá.

Nhưng chúng tôi có một số lời khuyên về những việc cần làm, và một trong những lời khuyên mà tôi yêu thích là: Vệ sinh đầu vào của bạn nếu bạn là một lập trình viên.

Dẫn chúng ta đến phim hoạt hình Little Bobby Tables.

Nếu bạn đã từng xem phim hoạt hình XKCD (https://xkcd.com/327), nhà trường gọi cho một người mẹ và nói: “Chúng tôi đang gặp sự cố máy tính.”

Và cô ấy nói, "Con trai tôi có liên quan không."

Và họ nói, “Chà, đại loại là không hẳn. Nhưng bạn có đặt tên cho con trai mình là Robert Drop Table Học sinh không?

Và cô ấy nói, “Ồ, vâng, chúng tôi gọi nó là Little Bobby Tables.”

Và tất nhiên, việc nhập lệnh đó vào cơ sở dữ liệu được làm sạch không đúng cách sẽ xóa bảng sinh viên.

Tôi có hiểu đúng không?

---

VỊT.  Bạn đã làm, Douglas.

Và, trên thực tế, như một trong những người bình luận của chúng tôi đã chỉ ra, một vài năm trước (tôi nghĩ là vào năm 2016) đã có một trường hợp nổi tiếng về một người cố tình đăng ký một công ty với Companies House ở Vương quốc Anh có tên là SEMICOLON (là dấu tách lệnh trong SQL) [CƯỜI] DROP TABLE COMPANIES SEMICOLON COMMENT SIGN LIMITED.

Rõ ràng, đó là một trò đùa, và để công bằng với trang web của Chính phủ Hoàng gia, bạn thực sự có thể truy cập trang đó và hiển thị tên của công ty một cách chính xác.

Vì vậy, nó dường như không hoạt động trong trường hợp đó… có vẻ như họ đang vệ sinh đầu vào của mình!

Nhưng vấn đề xảy ra khi bạn có các URL web hoặc biểu mẫu web mà bạn có thể gửi đến một máy chủ bao gồm dữ liệu *mà người gửi có thể chọn*, sau đó được đưa vào một lệnh hệ thống được gửi đến một số máy chủ khác trên mạng của bạn.

Vì vậy, đó là một sai lầm kiểu cũ, nhưng nó khá dễ mắc phải, và khá khó để kiểm tra, bởi vì có rất nhiều khả năng.

Các ký tự trong URL và trong dòng lệnh… những thứ như dấu nháy đơn, dấu nháy kép, ký tự dấu gạch chéo ngược, dấu chấm phẩy (nếu chúng là dấu phân cách câu lệnh) và trong SQL, nếu bạn có thể ẩn dấu gạch ngang (--) trong đó, thì nội dung đó có nội dung: "Bất cứ điều gì xảy ra tiếp theo là một nhận xét."

Điều đó có nghĩa là, nếu bạn có thể đưa dữ liệu đó vào dữ liệu hiện không đúng định dạng của mình, bạn có thể làm cho tất cả những thứ có thể là lỗi cú pháp ở cuối lệnh biến mất, bởi vì bộ xử lý lệnh nói, “Ồ, tôi đã thấy dấu gạch ngang , vì vậy hãy để tôi bỏ qua nó.

Vì vậy, vệ sinh đầu vào của bạn?

Bạn hoàn toàn phải làm điều đó, và bạn thực sự phải kiểm tra nó…

…nhưng hãy cẩn thận: rất khó để bao quát tất cả các căn cứ, nhưng bạn phải làm, nếu không một ngày nào đó sẽ có người tìm ra căn cứ mà bạn đã quên.

---

CHÓ.  Được rồi, và như chúng tôi đã đề cập…

Tin tốt, nó đã được vá.

Tin xấu, đó là một ngày không.

Vì vậy, nếu bạn là người dùng MOVEit, hãy đảm bảo rằng điều này đã được cập nhật nếu bạn đang chạy bất kỳ thứ gì khác ngoài phiên bản đám mây.

Và nếu bạn không thể vá ngay bây giờ, bạn có thể làm gì, Paul?

---

VỊT.  Bạn chỉ có thể tắt phần dựa trên web của giao diện người dùng MOVEit.

Bây giờ, điều đó có thể phá vỡ một số thứ mà bạn dựa vào trong hệ thống của mình và điều đó có nghĩa là những người mà giao diện người dùng web là cách duy nhất họ biết để tương tác với hệ thống… họ sẽ bị cắt đứt.

Nhưng có vẻ như nếu bạn sử dụng nhiều cơ chế khác, chẳng hạn như SFTP (Giao thức truyền tệp an toàn) để tương tác với dịch vụ MOVEit, thì bạn sẽ không thể kích hoạt lỗi này, do đó, lỗi này dành riêng cho dịch vụ web.

Nhưng bản vá thực sự là điều bạn cần làm nếu bạn có phiên bản tại chỗ của điều này.

Điều quan trọng là ngày nay có rất nhiều cuộc tấn công, lỗi không chỉ tồn tại và bạn đã vá nó.

Điều gì sẽ xảy ra nếu kẻ lừa đảo đã vào được?

Điều gì sẽ xảy ra nếu họ làm điều gì đó tồi tệ?

Như chúng tôi đã nói, nơi mà những người bị cáo buộc là băng nhóm ransomware Clop đã tham gia, có vẻ như có một số dấu hiệu nhận biết mà bạn có thể tìm kiếm và Progress Software có một danh sách những dấu hiệu đó trên trang web của họ (cái mà chúng tôi gọi là Các chỉ số của sự thỏa hiệp [IoCs ] mà bạn có thể đi và tìm kiếm).

Nhưng, như chúng tôi đã nói rất nhiều lần trước đây, không có bằng chứng không phải là bằng chứng của sự vắng mặt.

Vì vậy, bạn cần thực hiện việc tìm kiếm mối đe dọa sau cuộc tấn công thông thường của mình.

Ví dụ: tìm kiếm những thứ như tài khoản người dùng mới được tạo (chúng có thực sự ở đó không?), lượt tải xuống dữ liệu không mong muốn và tất cả các loại thay đổi khác mà bạn có thể không mong đợi và bây giờ cần đảo ngược.

Và, như chúng tôi cũng đã nói nhiều lần, nếu bạn không có thời gian và/hoặc chuyên môn để tự mình làm việc đó, xin đừng ngại yêu cầu trợ giúp.

(Chỉ cần đi đến https://sophos.com/mdr, trong đó MDR, như bạn có thể biết, là viết tắt của Phát hiện và phản hồi được quản lý.)

Nó không chỉ biết những gì cần tìm kiếm, mà còn biết nó ngụ ý gì và bạn nên làm gì khẩn cấp nếu bạn thấy rằng nó đã xảy ra…

…mặc dù những gì đã xảy ra có thể là duy nhất trong cuộc tấn công của bạn và các cuộc tấn công của người khác có thể diễn ra hơi khác một chút.

---

CHÓ.  Tôi nghĩ rằng chúng tôi sẽ để mắt đến điều này!

Hãy gắn bó với khai thác, và tiếp theo nói về một trong thế giới hoang dã zero-day ảnh hưởng đến các trình duyệt dựa trên Chromium, Paul.

Chrome và Edge zero-day: “Khai thác này là tự nhiên”, vì vậy hãy kiểm tra các phiên bản của bạn ngay bây giờ

---

VỊT.  Vâng, tất cả những gì chúng ta biết về điều này… đó là một trong những thời điểm mà Google, vốn thường thích kể những câu chuyện lớn về những kỳ tích thú vị, đang giữ những quân bài của mình rất gần với rương của nó, vì thực tế rằng đây là một ngày không thành công.

Và thông báo cập nhật của Google cho Chrome nói một cách đơn giản, “Google biết rằng một khai thác cho CVE-2023-3079 tồn tại trong tự nhiên.”

Đó là một bước trên cái mà tôi gọi là hai mức độ khác biệt mà các công ty như Google và Apple thường thích vạch ra, mà chúng tôi đã nói trước đây, nơi họ nói, “Chúng tôi biết các báo cáo cho thấy rằng những người khác cho rằng họ có thể đã nhìn thấy nó.” [CƯỜI]

Họ chỉ nói, “Có một lỗ hổng; chúng tôi đã nhìn thấy nó.”

Và điều đó không có gì đáng ngạc nhiên, bởi vì rõ ràng điều này đã được điều tra và phát hiện bởi chính nhóm phân tích mối đe dọa của Google.

Đó là tất cả những gì chúng tôi biết…

…điều đó, và thực tế là nó được gọi là loại nhầm lẫn trong V8, là công cụ JavaScript, một phần của Chromium xử lý và thực thi JavaScript bên trong trình duyệt của bạn.

---

CHÓ.  Tôi chắc chắn ước mình biết nhiều hơn về sự nhầm lẫn giữa các loại.

Tôi bối rối về sự nhầm lẫn loại.

Có lẽ ai đó có thể giải thích nó cho tôi?

---

VỊT.  Ooooh, Doug, đó chỉ là một kiểu khác biệt mà tôi thích! [CƯỜI]

Giải thích một cách đơn giản, đó là nơi bạn cung cấp dữ liệu cho một chương trình và bạn nói: “Đây là một đoạn dữ liệu mà tôi muốn bạn xử lý nó như thể đó là một ngày tháng chẳng hạn”.

Một máy chủ được viết tốt sẽ đi, “Bạn biết gì không? Tôi sẽ không tin tưởng một cách mù quáng vào dữ liệu mà bạn đang gửi cho tôi. Tôi sẽ đảm bảo rằng bạn đã gửi cho tôi thứ gì đó thực tế”…

… do đó tránh được vấn đề Little Bobby Tables.

Nhưng hãy tưởng tượng nếu, vào một thời điểm nào đó trong quá trình thực thi máy chủ trong tương lai, bạn có thể lừa máy chủ nói: “Này, bạn có nhớ dữ liệu mà tôi đã gửi cho bạn mà tôi đã nói với bạn là ngày tháng không? Và bạn đã xác minh rằng số ngày không lớn hơn 31 và tháng không lớn hơn 12 và năm nằm trong khoảng từ 1920 đến 2099, tất cả những lần kiểm tra lỗi bạn đã thực hiện? Chà, thật ra, hãy quên điều đó đi! Bây giờ, điều tôi muốn bạn làm là lấy dữ liệu mà tôi đã cung cấp, đó là ngày hợp pháp, nhưng *tôi muốn bạn coi nó như thể đó là một địa chỉ bộ nhớ*. Và tôi muốn bạn bắt đầu thực hiện chương trình đang chạy ở đó, bởi vì bạn đã chấp nhận dữ liệu và bạn đã quyết định tin tưởng nó.”

Vì vậy, chúng tôi không biết chính xác loại nhầm lẫn này trong V8 đã hình thành ở dạng nào, nhưng như bạn có thể tưởng tượng, bên trong một công cụ JavaScript, có rất nhiều loại dữ liệu khác nhau mà công cụ JavaScript cần xử lý và xử lý vào những thời điểm khác nhau.

Đôi khi sẽ có các số nguyên, đôi khi sẽ có các chuỗi ký tự, đôi khi sẽ có các địa chỉ bộ nhớ, đôi khi sẽ có các hàm để thực thi, v.v.

Vì vậy, khi công cụ JavaScript bối rối về những gì nó phải làm với dữ liệu mà nó đang xem xét ngay bây giờ, điều tồi tệ có thể xảy ra!

---

CHÓ.  Cách khắc phục rất đơn giản.

Bạn chỉ cần cập nhật trình duyệt dựa trên Chromium của mình.

Chúng tôi có hướng dẫn về cách thực hiện điều đó cho Google Chrome và Microsoft Edge.

Và cuối cùng, nhưng chắc chắn không kém phần quan trọng, chúng ta có một cái gọi là “cửa hậu” của Windows điều đó ảnh hưởng đến chủ sở hữu bo mạch chủ Gigabyte.

Tuy nhiên, như bạn muốn nói, ma quỷ nằm trong các chi tiết, Paul ạ.

Các nhà nghiên cứu khẳng định "cửa hậu" của Windows ảnh hưởng đến hàng trăm bo mạch chủ Gigabyte

---

VỊT.  [Thở dài] Ôi trời, vâng!

Bây giờ, hãy bắt đầu từ phần cuối: tin tốt là tôi vừa thấy Gigabyte đã đưa ra một bản vá cho điều này.

Vấn đề là nó là một tính năng khá tiện dụng, nếu bạn nghĩ về nó.

Đó là một chương trình có tên GigabyteUpdateService.

Chà, đoán xem điều đó đã làm gì, Douglas?

Chính xác những gì nó nói trên hộp thiếc – tính năng này được gọi là Trung tâm Ứng dụng (đó là tên của Gigabyte cho cái này).

Thật tuyệt.

Ngoại trừ việc quá trình thực hiện các bản cập nhật không hợp lý về mặt mật mã.

Vẫn còn một số mã cũ trong đó… đây là một chương trình C#, một chương trình .NET.

Rõ ràng, nó có ba URL khác nhau mà nó có thể thử tải xuống.

Một trong số đó là HTTP cũ kỹ, Doug.

Và vấn đề, như chúng ta đã biết kể từ thời của Firesheep, là các lượt tải xuống HTTP [A] rất dễ bị chặn và [B] rất khó để sửa đổi trong quá trình sao cho người nhận không thể phát hiện ra bạn đã can thiệp vào chúng.

Hai URL còn lại đã sử dụng HTTPS, vì vậy quá trình tải xuống không dễ dàng bị giả mạo.

Nhưng không có nỗ lực nào ở đầu bên kia để thực hiện ngay cả việc xác minh chứng chỉ HTTPS cơ bản nhất, điều đó có nghĩa là bất kỳ ai cũng có thể thiết lập một máy chủ tuyên bố rằng nó có chứng chỉ Gigabyte.

Và bởi vì chứng chỉ không cần phải được ký bởi CA (cơ quan cấp chứng chỉ) được công nhận, như GoDaddy hoặc Let's Encrypt, hoặc ai đó tương tự, điều đó có nghĩa là bất kỳ ai muốn, tại một thời điểm, có thể tạo chứng chỉ của riêng họ sẽ vượt qua tập hợp.

Và vấn đề thứ ba là sau khi tải xuống các chương trình, Gigabyte có thể kiểm tra xem chúng có được ký không chỉ bằng chứng chỉ kỹ thuật số đã được xác thực mà còn bằng chứng chỉ chắc chắn là của họ.

---

CHÓ.  OK, vì vậy ba điều đó là xấu, và đó là kết thúc của những điều xấu, phải không?

Không còn gì để nói nữa.

Đó là tất cả những gì chúng ta phải lo lắng? [CƯỜI]

---

VỊT.  Chà, thật không may, có một cấp độ khác khiến nó trở nên tồi tệ hơn.

Gigabyte BIOS, phần sụn của họ, có một tính năng đặc biệt cực hay trong đó.

(Chúng tôi không chắc liệu nó có được bật theo mặc định hay không – một số người cho rằng tính năng này được tắt theo mặc định đối với một số bo mạch chủ và những người nhận xét khác đã nói: “Không, tôi đã mua một bo mạch chủ gần đây và tính năng này được bật theo mặc định.”)

Đây là một tính năng trong chính chương trình cơ sở kích hoạt quá trình cập nhật tự động của Trung tâm APP.

Vì vậy, bạn có thể đã cài đặt, kích hoạt và chạy phần mềm này, mặc dù bạn không tự cài đặt phần mềm đó.

Và tệ hơn nữa, Doug, bởi vì nó được điều phối bởi chính phần sụn, điều đó có nghĩa là nếu bạn vào Windows và nói, “Vì vậy, tôi sẽ tách thứ này ra”…

…lần sau khi bạn khởi động máy tính, về cơ bản, phần sụn sẽ đưa nội dung cập nhật trở lại thư mục Windows của bạn!

---

CHÓ.  Nếu chúng tôi hoan nghênh Bình luận của Tuần sớm hơn một chút… chúng tôi đã có một người bình luận ẩn danh về bài viết này cho chúng tôi biết:

Tôi mới xây dựng một hệ thống với bo mạch Gigabyte ITX cách đây vài tuần và Trung tâm ứng dụng Gigabyte đã được bật sẵn (tức là được bật theo mặc định).

Tôi thậm chí đã xóa nó vài lần trước khi phát hiện ra nó bị ẩn trong cài đặt BIOS. Tôi không phải là một fan hâm mộ của những shenanigans.

Vì vậy, người này đang xóa Trung tâm APP này, nhưng nó vẫn tiếp tục quay lại, quay lại và quay lại.

---

VỊT.  Nó phức tạp hơn một chút so với những gì tôi có thể đã đề xuất.

Bạn tưởng tượng. “Ồ, chương trình cơ sở chỉ cần trực tuyến, tải xuống một tệp và đưa nó vào thư mục Windows của bạn.”

Nhưng không phải hầu hết các máy tính ngày nay đều có BitLocker hay ít nhất là trên các máy tính của công ty, mọi người không có mã hóa toàn bộ đĩa sao?

Làm thế quái nào mà chương trình cơ sở của bạn chạy được trước cả khi nó biết liệu bạn có chạy Windows hay không…

…làm cách nào để chương trình cơ sở đưa một tệp mới vào ổ Windows C: đã được mã hóa?

Làm thế nào trên trái đất làm việc đó?

Và dù tốt hay xấu, Microsoft Windows thực sự có… Tôi nghĩ đó là một tính năng, mặc dù khi bạn nghe cách thức hoạt động của nó, bạn có thể thay đổi ý định. [CƯỜI]

Nó được gọi là WPBT.

Và nó là viết tắt của… [KHÔNG THỂ NHỚ]

---

CHÓ.  Bảng nhị phân nền tảng Windows.

---

VỊT.  Ah, bạn nhớ tốt hơn tôi đã làm!

Tôi gần như không thể tin rằng nó hoạt động như thế này….

Về cơ bản, phần sụn hoạt động, “Này, tôi có tệp thực thi; Tôi có một chương trình bị chôn vùi trong phần sụn của mình.”

Đó là một chương trình Windows, vì vậy phần sụn không thể chạy được vì bạn không thể chạy các chương trình Windows trong thời gian phần sụn UEFI.

Nhưng những gì phần sụn thực hiện là nó đọc chương trình vào bộ nhớ và nói với Windows, “Này, có một chương trình nằm trong bộ nhớ ở địa chỉ 0xABCDEF36C0 hoặc bất kỳ thứ gì. Vui lòng cấy chương trình này vào chính bạn khi bạn đã mở khóa ổ đĩa và bạn đã thực sự trải qua quy trình Khởi động an toàn.”

---

CHÓ.  Cái gì có thể đi sai? [CƯỜI]

---

VỊT.  Chà, để công bằng với Microsoft, các nguyên tắc riêng của nó nói như sau:

Mục đích chính của WPBT là cho phép phần mềm quan trọng tồn tại ngay cả khi hệ điều hành đã thay đổi hoặc được cài đặt lại sạch sẽ. Một trường hợp sử dụng là kích hoạt phần mềm chống trộm, phần mềm này cần phải tồn tại trong trường hợp thiết bị bị đánh cắp, định dạng hoặc cài đặt lại.

Vì vậy, bạn có thể thấy họ đến từ đâu, nhưng sau đó họ nhận thấy rằng:

Bởi vì tính năng này cung cấp khả năng thực thi liên tục phần mềm hệ thống trong ngữ cảnh của Windows, điều quan trọng là các giải pháp này càng an toàn càng tốt…

(Nó không được in đậm; tôi đang nói như thể nó được in đậm vậy.)

…và không để người dùng Windows gặp phải các điều kiện có thể khai thác. Đặc biệt, các giải pháp này không được bao gồm phần mềm độc hại, tức là phần mềm độc hại hoặc phần mềm không mong muốn được cài đặt mà không có sự đồng ý đầy đủ của người dùng.

Và sự đồng ý, trong trường hợp này, như người bình luận của chúng tôi đã nói, là có tùy chọn phần sụn, tùy chọn BIOS trên bo mạch chủ Gigabyte.

Và nếu bạn tìm hiểu đủ lâu về các tùy chọn, bạn sẽ tìm thấy nó; nó được gọi là Tải xuống và cài đặt trung tâm APP.

Nếu bạn tắt tùy chọn đó, thì bạn có thể quyết định xem bạn có muốn cài đặt thứ này hay không và sau đó bạn có thể tự cập nhật nó nếu muốn.

---

CHÓ.  OK, vậy câu hỏi lớn ở đây…

…đây thực sự là một cửa hậu?

---

VỊT.  Ý kiến ​​​​của riêng tôi là từ “cửa hậu” thực sự nên được dành cho một loại tội phạm CNTT rất cụ thể, cụ thể là các hành vi an ninh mạng bất chính hơn.

Những thứ như: cố tình làm suy yếu các thuật toán mã hóa để những người biết có thể phá vỡ chúng; cố tình tạo mật khẩu ẩn để mọi người có thể đăng nhập ngay cả khi bạn thay đổi mật khẩu; và mở ra các con đường không có giấy tờ cho lệnh và kiểm soát.

Mặc dù bạn có thể không nhận ra rằng con đường chỉ huy và kiểm soát của Trung tâm APP này đã tồn tại, nhưng nó không hẳn là không có giấy tờ.

Và có một tùy chọn, ngay trong BIOS, cho phép bạn bật và tắt nó.

Truy cập trang web Gigabyte, trang tin tức của họ và bạn sẽ tìm hiểu về phiên bản mới nhất.

---

CHÓ.  Tôi muốn cảm ơn người bình luận ẩn danh đó.

Đó là thông tin rất hữu ích giúp làm tròn câu chuyện.

---

VỊT.  Thật!

---

CHÓ.  Và tôi muốn nhắc nhở mọi người: nếu bạn có một câu chuyện, nhận xét hoặc câu hỏi thú vị muốn gửi, chúng tôi rất muốn đọc nó trên podcast.

Bạn có thể gửi email tới tips@sophos.com, bạn có thể nhận xét về bất kỳ bài viết nào của chúng tôi hoặc bạn có thể đánh giá chúng tôi trên mạng xã hội: @nakedsecurity.

Đó là chương trình của chúng tôi cho ngày hôm nay; cảm ơn rất nhiều vì đã lắng nghe

Đối với Paul Ducklin, tôi là Doug Aamoth, sẽ nhắc bạn cho đến lần sau hãy…

---

CẢ HAI.  Giữ an toàn!

[CHẾ ĐỘ ÂM NHẠC]