البيانات تنتهك - اللدغة في الذيل
انقر واسحب على الموجات الصوتية أدناه للتخطي إلى أي نقطة. يمكنك أيضا استمع مباشرة على Soundcloud.
مع دوج آموث وبول دوكلين. موسيقى مقدمة وخاتمة بواسطة إديث مودج.
يمكنك الاستماع إلينا على SoundCloud لل, Apple Podcasts, Google Podcasts, سبوتيفي, الخياطة وفي أي مكان توجد فيه ملفات بودكاست جيدة. أو قم بإسقاط ملف عنوان URL لخلاصة RSS الخاصة بنا في podcatcher المفضل لديك.
اقرأ النص
دوغ. تبديل بطاقة SIM ، صفر أيام ، [الصوت الدرامي] بينغ الموت ، و LastPass ... مرة أخرى.
كل ذلك وأكثر على بودكاست Naked Security.
[مودم موسيقي]
مرحبا بكم في البودكاست الجميع.
أنا دوغ عاموث.
معي ، كما هو الحال دائمًا ، بول دوكلين.
كيف حالك يا بول؟
بطة. جيد جدا دوج.
لقد قمت بوضع صوت درامي عالي في تلك المقدمة ، يسعدني أن أراها!
دوغ. حسنًا ، كيف تقول "Ping of Death" دون أن تقول [هدير الموت المعدني] "Ping of DEATH"؟
لا يمكنك أن تقول فقط [صوت رقيق] "بينغ الموت".
عليك أن تضربها قليلاً ...
بطة. انا افترض ذلك.
الأمر مختلف في الكتابة - ماذا لديك؟
جريئة ومائلة.
لقد قمت للتو باستخدام النص العادي ، لكنني استخدمت الأحرف الكبيرة ، مما يساعد.
دوغ. نعم ، أعتقد أنني سأجرب كلمة "الموت" وأكتبها بالخط المائل ، لذلك [الموت المعدني مرة أخرى] "بينغ الموت".
بطة. واستخدام ألوان متعددة!
سأفعل ذلك في المرة القادمة ، دوغ.
دوغ. تندلع القديم في HTML ، اجعلها تومض قليلاً؟ [يضحك]
بطة. دوغ ، للحظة ، كنت قلقًا من أنك ستستخدم كلمة [ضحك] .
دوغ. [يضحك] نحن نحب الأشياء القديمة هنا!
وهذا يتوافق بشكل جيد مع ملفات هذا الأسبوع في تاريخ التكنولوجيا مقطع - أنا متحمس لهذا الجزء لأنني لم أسمع به ، لكنني عثرت عليه.
في هذا الأسبوع ، في 04 كانون الأول (ديسمبر) 2001 ، قامت دودة Goner بنهب الإنترنت بوتيرة تأتي في المرتبة الثانية بعد فيروس Love Bug.
انتشر Goner عبر Microsoft Outlook ، ووعد الضحايا المطمئنين بتوفير شاشة توقف ممتعة عند إعدامه.
بطة. الهالك الميئوس منه…
أعتقد أنه حصل على هذا الاسم لأنه كانت هناك نافذة منبثقة في النهاية ، ألم تكن موجودة ، ذكرت البنتاغون؟
ولكن كان من المفترض أن يكون تورية - لقد كان "Penta / Gone".
كان هذا بالتأكيد الدودة التي ذكّرت الناس بأن شاشات توقف Windows هي في الواقع برامج قابلة للتنفيذ.
لذلك ، إذا كنت تبحث عن .EXE من الملفات ، حسنًا ، يمكن تغليفها .SCR (شاشة التوقف) أيضًا.
إذا كنت تعتمد فقط على أسماء الملفات ، فقد يتم خداعك بسهولة.
وكثير من الناس كانوا للأسف.
دوغ. حسنًا ، سننتقل من المدرسة القديمة إلى المدرسة الجديدة.
نحن نتحدث عن LastPass: كان هناك خرق ؛ الخرق نفسه لم يكن فظيعًا ؛ ولكن هذا الخرق أدى الآن إلى خرق آخر.
أو ربما هذا مجرد استمرار للخرق الأصلي؟
بطة. نعم ، لقد كتب LastPass عنها بشكل أساسي كمتابعة للخرق السابق ، والذي أعتقد أنه كان في أغسطس 2022 ، أليس كذلك؟
وكما قلنا في ذلك الوقت ، كانت نظرة محرجة للغاية لـ LastPass.
ولكن مع استمرار الانتهاكات ، ربما كان الأمر أسوأ بالنسبة للعلاقات العامة والتسويق و (أعتقد) بالنسبة لأقسام الملكية الفكرية الخاصة بهم ، لأنه يبدو أن الشيء الرئيسي الذي تخلص منه المحتالون هو الكود المصدري من نظام التطوير الخاص بهم.
وكان LastPass سريعًا في طمأنة الناس ...
أولاً ، أشارت تحقيقاتهم إلى أنه أثناء وجودهم هناك ، لم يتمكن المحتالون من إجراء أي تغييرات غير مصرح بها قد تتسرب لاحقًا إلى الكود الحقيقي.
ثانيًا ، لا يمنحك الوصول إلى نظام التطوير إمكانية الوصول إلى نظام الإنتاج ، حيث يتم إنشاء الكود الفعلي.
وثالثًا ، كانوا قادرين على القول بأنه لم يتم سرقة أي خزانات كلمات مرور مشفرة ، لذلك لم يتم الوصول إلى التخزين السحابي لكلمات مرورك المشفرة.
وحتى لو تم الوصول إليه ، فأنت فقط ستعرف كلمة المرور ، لأن فك التشفير (ما أسميته "الرفع الثقيل" عندما تحدثنا عنه في البودكاست) يتم في الواقع في الذاكرة على أجهزتك - لا يرى LastPass أبدًا كلمه السر.
وبعد ذلك ، رابعًا ، قالوا ، بقدر ما يمكننا أن نقول ، نتيجة لهذا الانتهاك ، أن بعض الأشياء التي كانت في بيئة التطوير قد أعطت الآن إما نفس الشيء ... أو ربما مجموعة مختلفة تمامًا من المحتالين الذين اشتروا البيانات المسروقة من الدفعة السابقة ، من يدري؟
سمح لهم ذلك بالدخول إلى بعض الخدمات السحابية حيث تمت سرقة مجموعة من بيانات العملاء التي لم تكن معروفة على ما يبدو.
لا أعتقد أنهم يعرفون تمامًا حتى الآن ، لأنه قد يستغرق بعض الوقت لمعرفة ما تم الوصول إليه بالفعل بعد حدوث الخرق.
لذا أعتقد أنه من الإنصاف القول إن هذا نوع من الجانب B للخرق الأصلي.
دوغ. حسنًا ، نقترح إذا كنت أحد عملاء LastPass ، أن تراقب تقرير الحادث الأمني للشركة.
سنراقب هذه القصة لأنها لا تزال قيد التطوير.
وإذا كنت ، مثل بول وأنا ، نحارب الجرائم الإلكترونية من أجل لقمة العيش ، فهناك بعض الدروس الممتازة التي يمكن تعلمها من اختراق أوبر.
هذه حلقة بودكاست - "حلقة دقيقة" - مع Chester Wisniewski قام بول بتضمينها في الجزء السفلي من مقالة LastPass:
الكثير لنتعلمه على هذه الجبهة!
بطة. كما تقول ، هذا استماع رائع ، لأنه ، على ما أعتقد ، ما يُعرف في أمريكا باسم "نصيحة قابلة للتنفيذ" ، أو "أخبار يمكنك استخدامها".
دوغ. [يضحك] رائع.
عند الحديث عن الأخبار التي لا يمكنك استخدامها حقًا ، فإن شركة Apple بشكل عام شديدة الصراحة بشأن تحديثات الأمان الخاصة بها ... وكان هناك تحديث أمني:
تدفع Apple تحديث أمان iOS الذي أصبح أكثر إحكامًا من أي وقت مضى
بطة. أوه ، دوغ ، هذا واحد من أفضل ما لديكم ... أحب هذا الجزء.
دوغ. [يضحك] شكرا. شكرا جزيلا لك.
بطة. نعم ، فاجأني هذا.
فكرت ، "حسنًا ، سأحصل على التحديث لأنه يبدو جديًا."
وأعطيت نفسي السبب ، "دعني أفعل ذلك لقراء Naked Security."
لأنه إذا فعلت ذلك ولم تكن هناك آثار جانبية ، فيمكنني على الأقل أن أقول للآخرين ، "انظر ، لقد فعلت ذلك بشكل أعمى ولم يلحق بي أي ضرر. لذلك ربما يمكنك القيام بذلك أيضًا ".
لقد لاحظت فجأة أن هناك تحديث iOS 16.1.2 متاحًا ، على الرغم من أنني لم أحصل على بريد إلكتروني استشاري للأمان من Apple.
لا البريد الإلكتروني؟!
هذا غريب .. لذلك ذهبت إلى HT201222 صفحة البوابة التي تمتلكها Apple لنشرات الأمان الخاصة بها ، وكان هناك: iOS 16.1.2.
وماذا يقول دوج "التفاصيل ستتبع قريبًا"؟
دوغ. وهل تابعوا قريبًا؟
بطة. حسنًا ، كان ذلك قبل أكثر من أسبوع ، ولم يتم الوصول إليهم بعد.
فهل نتحدث "قريبًا" يعني ساعات أو أيام أو أسابيع أو شهور؟
في الوقت الحالي ، يبدو الأمر وكأنه أسابيع.
وكما هو الحال دائمًا مع Apple ، ليس هناك ما يشير إلى أي شيء يتعلق بأي أنظمة تشغيل أخرى.
هل تم نسيانهم؟
ألا يحتاجون إلى التحديث؟
هل احتاجوا أيضًا إلى التحديث ، لكنه ليس جاهزًا بعد؟
هل خرجوا من الدعم؟
لكن يبدو أنه ، كما قلت في العنوان الرئيسي ، أكثر تشددًا من المعتاد لشركة Apple ، وليس بالضرورة أكثر الأشياء فائدة في العالم.
دوغ. حسنًا ، جيد جدًا ... لا تزال هناك بعض الأسئلة التي تقودنا إلى قصتنا التالية.
سؤال مثير جدا للاهتمام!
في بعض الأحيان ، عندما تقوم بالتسجيل في إحدى الخدمات وتفرض المصادقة ذات العاملين ، فإنها تقول ، "هل ترغب في الحصول على إشعار عبر رسالة نصية ، أم تريد استخدام تطبيق مصادقة؟"
وهذه القصة عبارة عن حكاية تحذيرية لعدم استخدام هاتفك - استخدم تطبيق مصادقة ، حتى لو كان الأمر أكثر تعقيدًا.
هذه قصة مثيرة جدا للاهتمام:
إرسال مبادل بطاقة SIM إلى السجن لسرقة عملة مشفرة بقيمة 2FA تزيد عن 20 مليون دولار
بطة. إنه كذلك ، دوغ!
إذا فقدت هاتفك المحمول في أي وقت ، أو أغلقت نفسك من بطاقة SIM الخاصة بك عن طريق إدخال رقم التعريف الشخصي بشكل غير صحيح عدة مرات ، فستعرف أنه يمكنك الذهاب إلى متجر الهواتف المحمولة ...
... وعادة ما يطلبون بطاقة هوية أو شيء من هذا القبيل ، وتقول ، "مرحبًا ، أحتاج إلى بطاقة SIM جديدة."
وسيقومون بإنشاء واحد لك.
عندما تضعه في هاتفك ، بنغو! ... يحمل رقمك القديم عليه.
ما يعنيه ذلك هو أنه إذا تمكن أحد المحتالين من إجراء نفس التمرين الذي ستقنعه بشركة الهاتف المحمول بأنهم "فقدوا" أو "كسروا" بطاقة SIM الخاصة بهم (على سبيل المثال * بطاقة SIM الخاصة بك *) ، ويمكنهم الحصول على تم تسليم هذه البطاقة إليهم أو إرسالها إليهم أو منحهم بطريقة ما ...
... بعد ذلك ، عندما يقومون بتوصيله بهاتفهم ، يبدأون في الحصول على رموز المصادقة الثنائية الخاصة برسالة SMS الخاصة بك ، * و * يتوقف هاتفك عن العمل.
هذه هي الأخبار السيئة.
الخبر السار في هذا المقال هو أن هذه قضية شاب تم ضبطه بسبب ذلك.
تم إرساله إلى السجن في الولايات المتحدة لمدة 18 شهرًا.
هو ، مع مجموعة من المتواطئين معه - أو على حد تعبير وزارة العدل ، فإن المشاركون في البرنامج... [يضحك]
... سرقوا عملة مشفرة لضحية معينة ، على ما يبدو لتصل قيمتها إلى 20 مليون دولار ، إذا كنت لا تمانع.
دوغ. اوف!
بطة. لذلك وافق على الإقرار بالذنب ، وأخذ عقوبة بالسجن ، والمصادرة على الفور ... كان المبلغ [قراءة بعناية] 983,010.72،XNUMX دولارًا ... لمجرد التنازل عن ذلك على الفور.
لذلك ، من المفترض ، كان لديه ذلك الكذب.
ويبدو أن عليه أيضًا نوعًا من الالتزام القانوني برد أكثر من 20 مليون دولار.
دوغ. حظا سعيدا مع ذلك ، الجميع! حظا طيبا وفقك الله.
له [الحروف المائلة الصوتية] الأخرى المشاركون في البرنامج قد يسبب بعض المشاكل هناك! [يضحك]
بطة. نعم ، لا أعرف ماذا يحدث إذا رفضوا التعاون أيضًا.
مثل ، إذا علقوه حتى يجف ، ماذا يحدث؟
لكن لدينا بعض النصائح وبعض النصائح حول كيفية تعزيز الأمان (بأكثر من مجرد 2FA الذي تستخدمه) في المقالة.
لذا اذهب واقرأ ... كل القليل يساعد.
دوغ. حسنًا ، الحديث عن "أجزاء صغيرة" ...
... كانت هذه قصة رائعة أخرى ، كيف للضعفاء ping يمكن استخدامها لتشغيل تنفيذ التعليمات البرمجية عن بُعد:
بطة. [إبداء الإعجاب بالقصة مرة أخرى] أعتقد أنك قد نجحت في تحسين نفسك ، دوغ!
دوغ. [يضحك] أنا في دور مهم اليوم ...
بطة. من أبل إلى [محاولة ضعيفة في غناء الموت] بينغ الموت!
نعم ، كان هذا خطأ مثيرًا للاهتمام.
لا أعتقد أنه سيسبب الكثير من الأذى لكثير من الناس ، وهو * * * مصحح ، لذا فإن إصلاحه سهل.
ولكن هناك كتابة رائعة في FreeBSD الاستشارات الأمنية...
... وهي ترفيهي ، وإذا قلت ذلك بنفسي ، فهي حكاية غنية بالمعلومات للجيل الحالي من المبرمجين الذين ربما اعتمدوا عليها ، "مكتبات الطرف الثالث ستفعل ذلك من أجلي. التعامل مع حزم الشبكة منخفضة المستوى؟ أنا لا أفكر في ذلك أبدا ... "
هناك بعض الدروس الرائعة التي يمكن تعلمها هنا.
• ping الأداة المساعدة ، وهي أداة الشبكة الوحيدة التي يعرفها الجميع إلى حد كبير ، تحصل على اسمها من SONAR.
تذهب [تصدر ضوضاء غواصة الفيلم] ping، ثم يعود الصدى من الخادم في الطرف الآخر.
وهذه ميزة مضمنة في بروتوكول الإنترنت ، IP ، باستخدام شيء يسمى ICMP ، وهو بروتوكول رسائل التحكم في الإنترنت.
إنه بروتوكول خاص منخفض المستوى ، أقل بكثير من بروتوكول UDP أو TCP الذي ربما اعتاد الناس عليه ، وهو مصمم إلى حد كبير لهذا النوع من الأشياء بالضبط: "هل أنت في الواقع على قيد الحياة في الطرف الآخر ، قبل أن أبدأ بالقلق بشأن سبب خادم الويب الخاص بك لا يعمل؟ "
هناك نوع خاص من الحزم يمكنك إرساله يسمى "ICMP Echo".
لذا ، فأنت ترسل هذه الحزمة الصغيرة مع رسالة قصيرة بداخلها (يمكن أن تكون الرسالة أي شيء تريده) ، وتقوم ببساطة بإرسال نفس الرسالة إليك.
إنها مجرد طريقة أساسية للقول ، "إذا لم تظهر هذه الرسالة ، فهذا يعني أن الشبكة أو الخادم بأكمله معطل" ، بدلاً من أن هناك مشكلة في البرنامج على الكمبيوتر.
بالقياس مع SONAR ، يُطلق على البرنامج الذي يرسل طلبات الصدى هذه ... [إيقاف مؤقت] سأقوم بعمل المؤثر الصوتي ، دوغ ... [ضوضاء فيلم غواصة مزيف مرة أخرى] ping. [ضحك]
والفكرة هي أن تذهب وتقول ، ping -c3 (هذا يعني الاختيار ثلاث مرات) nakedsecurity.sophos.com.
يمكنك فعل ذلك الآن ، ويجب أن تحصل على ثلاثة ردود ، تفصل كل واحدة عنها ثانية واحدة ، من خوادم WordPress التي تستضيف موقعنا.
وتقول إن الموقع حي.
إنه لا يخبرك أن خادم الويب يعمل ؛ إنه لا يخبرك أن WordPress قد انتهى ؛ لا يخبرنا أن Naked Security متاح بالفعل للقراءة.
لكنه يؤكد على الأقل أنه يمكنك رؤية الخادم ، ويمكن للخادم الوصول إليك.
ومن كان يظن أن هذا الرد الصغير المتواضع يمكن أن يؤدي إلى تعثر FreeBSD ping البرنامج بطريقة تمكن الخادم المحتال من إرسال رسالة مفخخة مفخخة "نعم ، أنا على قيد الحياة" والتي يمكن ، من الناحية النظرية (من الناحية النظرية فقط ؛ لا أعتقد أن أي شخص قد فعل ذلك عمليًا) يؤدي إلى تنفيذ التعليمات البرمجية عن بُعد على حاسوبك.
دوغ. نعم ، هذا مذهل. هذا هو الجزء المذهل.
حتى لو كان إثباتًا للمفهوم ، فهو شيء صغير!
بطة. • ping يستعيد البرنامج نفسه حزمة IP بالكامل ، ومن المفترض أن يقسمها إلى قسمين.
عادة ، ستتعامل النواة مع هذا نيابة عنك ، لذلك سترى فقط جزء البيانات.
ولكن عندما تتعامل مع ما يسمى مآخذ الخام، ما تحصل عليه هو عنوان بروتوكول الإنترنت ، والذي يقول فقط ، "مرحبًا ، هذه البايتات جاءت من خادم كذا وكذا."
وبعد ذلك تحصل على شيء يسمى "رد صدى ICMP" ، وهو النصف الثاني من الحزمة التي تسترجعها.
الآن ، هذه الحزم ، عادة ما تكون 100 بايت أو نحو ذلك ، وإذا كانت IPv4 ، فإن أول 20 بايت هي رأس IP والباقي ، مهما كان ، هو رد الصدى.
يحتوي هذا على عدد قليل من البايتات ليقول ، "هذا رد صدى" ، ثم الرسالة الأصلية التي خرجت عائدة.
ولذا فإن الشيء الواضح الذي يجب فعله ، دوج ، عندما تحصل عليه ، هو تقسيمه إلى ...
... عنوان IP ، الذي يبلغ طوله 20 بايت ، والباقي.
خمن أين تكمن المشكلة؟
دوغ. لقول!
بطة. تكمن المشكلة في أن رؤوس IP * دائمًا تقريبًا * بطول 20 بايت - في الواقع ، لا أعتقد أنني رأيت أبدًا واحدًا لم يكن كذلك.
ويمكنك معرفة أن طولها 20 بايت لأن البايت الأول سيكون سداسي عشري 0x45.
"4" تعني IPv4 ، و "5" ... "أوه ، سنستخدم ذلك لنقول كم طول الرأس."
تأخذ هذا الرقم 5 وتضربه في 4 (لقيم 32 بت) ، وتحصل على 20 بايت ..
... وهذا هو حجم رؤوس IP التي تساوي ستة سيجما والتي ستراها في العالم بأسره ، دوغ. [ضحك]
لكن * يمكنهم * زيادة ما يصل إلى 60 بايت.
إذا وضعت 0x4F بدلا من 0x45، هذا يعني أن هناك 0xF (أو 15 في النظام العشري) × 4 = 60 بايت في الرأس.
وأخذ رمز FreeBSD هذا العنوان ونسخه في مخزن مؤقت على المكدس بحجم 20 بايت.
تجاوز سعة المخزن المؤقت للمكدس في المدرسة القديمة.
إنها حالة من أدوات استكشاف أخطاء الشبكة الجليلة مع وجود نوع جليل من الأخطاء فيها. (حسنًا ، ليس بعد الآن).
لذلك ، عندما تقوم بالبرمجة ويتعين عليك التعامل مع الأشياء ذات المستوى المنخفض التي لم يفكر فيها أحد حقًا منذ زمن طويل ، فلا تتماشى مع الحكمة المتعارف عليها التي تقول ، "أوه ، سيكون دائمًا 20 بايت ؛ لن ترى أي شيء أكبر من ذلك ".
لأنه في يوم من الأيام قد تفعل ذلك.
وعندما يأتي ذلك اليوم ، قد يكون هناك عن عمد لأن محتال صنعه عن قصد.
لذا فإن الشيطان ، كما هو الحال دائمًا ، موجود في تفاصيل البرمجة ، دوغ.
دوغ. حسنًا ، ممتع جدًا ؛ قصة عظيمة.
وسنلتزم بموضوع الكود بهذه القصة الأخيرة حول Chrome.
يوم صفر آخر ، والذي يرفع إجمالي 2022 إلى تسع مرات:
رقم تسعة! يقوم Chrome بإصلاح 2022 يوم صفر آخر ، ويتم تصحيح Edge أيضًا
بطة. [صوت رسمي ، يبدو وكأنه تسجيل] "رقم 9. رقم 9. رقم 9 ، رقم 9 ،" دوغلاس.
دوغ. [يضحك] هل هذه يوكو أونو؟
بطة. هذا ثورة 9 من البيتلز "الألبوم الأبيض".
يمكن سماع يوكو وهي تهتف بعيدًا في تلك الأغنية - هذا سوندسكابي، أعتقد أنهم يسمونها - ولكن من الواضح أن الجزء الموجود في البداية حيث يوجد شخص ما يقول "رقم 9 ، رقم 9" مرارًا وتكرارًا ، كان ، في الواقع ، شريط اختبار وجدوه ملقيًا.
دوغ. آه ، رائع جدًا.
بطة. مهندس EMI يقول شيئًا مثل ، "هذا شريط اختبار EMI رقم 9" [ضحك] ، وعلى ما يبدو لا أعتقد أن أي شخص يعرف صوته.
هذا ليس له علاقة بـ Chrome ، دوغ.
ولكن بالنظر إلى أن شخصًا ما علق على Facebook في ذلك اليوم ، "لقد بدأ هذا الرجل بول يبدو وكأنه فريق البيتلز" ...
دوغ. [يضحك] نعم ، كيف من المفترض أن تأخذ ذلك؟
بطة. ... اعتقدت أنه يمكنني تناول العشاء في "رقم 9".
إنه يوم الصفر التاسع من العام حتى الآن ، على ما يبدو ، دوج.
وهو إصلاح لخلل واحد ، مع الخطأ المحدد على أنه CVE 2022-4282.
نظرًا لأن Microsoft Edge يستخدم جوهر Chromium مفتوح المصدر ، فقد كان أيضًا ضعيفًا ، وبعد يومين ، تابعت Microsoft بتحديث لـ Edge.
إذن هذه مشكلة في Chrome و Edge.
على الرغم من أن هذه المتصفحات يجب أن تقوم بتحديث نفسها ، إلا أنني أوصي بالذهاب إلى التحقق على أي حال - نوضح لك كيفية القيام بذلك في المقالة - فقط في حالة.
لن أقرأ أرقام الإصدارات هنا لأنها مختلفة لنظام التشغيل Mac و Linux و Windows على Chrome ، وهي مختلفة مرة أخرى بالنسبة إلى Edge.
مثل شركة آبل ، غوغل متشددة بعض الشيء بشأن هذا.
لقد وجدها أحد فريق مطاردة التهديدات ، على ما أعتقد.
لذلك أتخيل أنهم عثروا عليه أثناء التحقيق في حادثة وقعت في البرية ، وبالتالي ربما يرغبون في إبقائها تحت قبعتهم ، على الرغم من أن Google لديها الكثير لتقوله عن "الانفتاح" عندما يتعلق الأمر بإصلاح الأخطاء.
يمكنك أن ترى لماذا ، في حالة كهذه ، قد تحتاج إلى القليل من الوقت للبحث بشكل أعمق قليلاً قبل أن تخبر الجميع بالضبط كيف يعمل.
دوغ. ممتاز ... ولدينا سؤال للقارئ ربما يكون سؤالًا يفكر فيه الكثير من الناس.
تسأل كاساندرا ، "هل مكتشفو الأخطاء محظوظون في العثور على الحشرات؟ أم أنهم ضربوا "خط التماس" المليء بالحشرات؟ أو هل يُصدر Chromium رمزًا جديدًا يحتوي على أخطاء أكثر من المعتاد؟ ام هناك شي اخر يحدث؟"
بطة. نعم ، هذا سؤال رائع ، في الواقع ، وأخشى أنه لا يمكنني الإجابة عليه إلا بطريقة بسيطة نوعًا ما ، دوغ.
لأن كاساندرا أعطت الخيارات أ) ، ب) وج) ، قلت ، "حسنًا ، ربما يكون كذلك د. كل ما ورداعلاه."
نحن نعلم أنه عندما يظهر خطأ من نوع معين في الكود ، فمن المعقول أن نفترض أن نفس المبرمج قد يكون قد تسبب في أخطاء مماثلة في مكان آخر في البرنامج.
أو ربما كان المبرمجون الآخرون في نفس الشركة يستخدمون ما كان يعتبر حكمة أو ممارسة معيارية في ذلك الوقت ، وربما اتبعوا نفس النهج.
والمثال الرائع هو ، إذا نظرت إلى Log4J ... كان هناك حل لإصلاح المشكلة.
وبعد ذلك ، عندما ذهبوا يبحثون ، "أوه ، في الواقع ، هناك أماكن أخرى تم فيها ارتكاب أخطاء مماثلة."
لذلك كان هناك إصلاح للإصلاح ، ثم كان هناك إصلاح للإصلاح ، إذا كنت أتذكر.
هناك بالطبع أيضًا مشكلة أنه عند إضافة رمز جديد ، قد تحصل على أخطاء فريدة لهذا الرمز الجديد وتظهر بسبب إضافة ميزات.
وهذا هو السبب في أن العديد من المتصفحات ، بما في ذلك Chrome ، لديها إصدار "أقدم قليلاً" إذا كنت ترغب في ذلك.
والفكرة هي أن تلك الإصدارات "القديمة" ... ليس لديها أي من الميزات الجديدة ، ولكن جميع إصلاحات الأمان ذات الصلة.
لذلك ، إذا كنت تريد أن تكون متحفظًا بشأن الميزات الجديدة ، فيمكنك أن تكون كذلك.
لكننا نعلم بالتأكيد أنه في بعض الأحيان ، عندما تجرف ميزات جديدة في منتج ما ، تأتي الأخطاء الجديدة مع الميزات الجديدة.
ويمكنك معرفة ذلك ، على سبيل المثال ، عندما يكون هناك تحديث ، على سبيل المثال ، لجهاز iPhone الخاص بك ، وتحصل على تحديثات ، على سبيل المثال ، لنظامي التشغيل iOS 15 و iOS 16.
بعد ذلك ، عندما تنظر إلى قوائم الأخطاء ، هناك القليل من الأخطاء التي تنطبق فقط على iOS 16.
وتعتقد ، "مرحبًا ، يجب أن تكون هذه أخطاء في الشفرة لم تكن موجودة من قبل."
لذا ، نعم ، هذا احتمال.
وأعتقد أن الأشياء الأخرى التي تجري يمكن اعتبارها جيدة.
الأول هو أنني أعتقد أنه ، خاصة بالنسبة لأشياء مثل المتصفحات ، يتحسن صانعو المتصفح كثيرًا في دفع عمليات إعادة البناء الكاملة بسرعة كبيرة حقًا.
دوغ. مثير للإعجاب.
بطة. وأعتقد أن الشيء الآخر الذي تغير هو أنه ، في الماضي ، كان بإمكانك القول إنه بالنسبة للعديد من البائعين ... كان من الصعب جدًا حث الأشخاص على تطبيق التصحيحات على الإطلاق ، حتى عندما يظهرون وفقًا لجدول شهري فقط ، وحتى لو كان لديهم العديد من الإصلاحات في يوم الصفر.
أعتقد ، ربما يكون ذلك أيضًا استجابة لحقيقة أن المزيد والمزيد منا أكثر احتمالًا ليس فقط للقبول ، ولكن في الواقع * نتوقع * التحديث التلقائي الذي يكون سريعًا حقًا.
لذا ، أعتقد أنه يمكنك قراءة بعض الأشياء الجيدة في هذا.
لا يقتصر الأمر على حقيقة أن Google يمكنها دفع إصلاح واحد ليوم الصفر على الفور تقريبًا ، ولكن أيضًا أن الناس على استعداد لقبول ذلك وحتى للمطالبة به.
لذلك أحب أن أرى هذا العدد ، "رائع ، تسعة أيام صفر في السنة ثابتة بشكل فردي!" ...
... أحب أن أفكر في ذلك على أنه "نصف كوب يملأ ويملأ" أكثر من "نصف كوب فارغ ويتم تصريفه من خلال ثقب صغير في القاع". [ضحك]
هذا رأيي.
دوغ. حسنًا ، جيد جدًا.
شكرا على السؤال كاساندرا.
إذا كانت لديك قصة مثيرة للاهتمام أو تعليق أو سؤال ترغب في إرساله ، فنحن نحب قراءته في البودكاست.
يمكنك إرسال بريد إلكتروني إلى tips@sophos.com ، أو التعليق على أي من مقالاتنا ، أو يمكنك التواصل معنا على مواقع التواصل الاجتماعي:NakedSecurity.
هذا هو عرضنا لهذا اليوم. شكرا جزيلا على الاستماع.
بالنسبة إلى بول داكلين، أنا دوغ آموث، أذكركم: حتى المرة القادمة...
على حد سواء. كن آمنا!
[مودم موسيقي]
- تفاح
- سلسلة كتلة
- الكروم
- عملة عبقرية
- محافظ cryptocurrency
- cryptoexchange
- الأمن الإلكتروني
- جرائم الإنترنت
- مجرمو الإنترنت
- الأمن السيبراني
- وزارة الأمن الداخلي
- محافظ رقمية
- حافة
- استغلال
- جدار الحماية
- شراء مراجعات جوجل
- القرصنة
- آيفون
- Kaspersky
- القانون والنظام
- البرمجيات الخبيثة
- مكافي
- مایکروسافت
- الأمن عارية
- بودكاست الأمن العاري
- NexBLOC
- أفلاطون
- أفلاطون ع
- الذكاء افلاطون البيانات
- لعبة أفلاطون
- أفلاطون داتا
- بلاتوغمينغ
- بودكاست
- خصوصية
- VPN
- الضعف
- أمن الانترنت
- زفيرنت
![الموسم 3 الحلقة 121: هل يمكن أن تتعرض للاختراق ثم مقاضاتك بسبب ذلك؟ [صوت + نص]](https://platoaistream.com/wp-content/uploads/2023/02/s3-ep121-can-you-get-hacked-and-then-prosecuted-for-it-audio-text-300x156.png)
