دوامة PYTHON PERSPECTIVE VORTEX
لا يوجد مشغل صوت أدناه؟ يستمع مباشرة على Soundcloud.
مع دوج آموث وبول دوكلين. موسيقى مقدمة وخاتمة بواسطة إديث مودج.
يمكنك الاستماع إلينا على SoundCloud لل, Apple Podcasts, Google Podcasts, سبوتيفي, الخياطة وفي أي مكان توجد فيه ملفات بودكاست جيدة. أو قم بإسقاط ملف عنوان URL لخلاصة RSS الخاصة بنا في podcatcher المفضل لديك.
اقرأ النص
دوغ. جرائم الإنترنت بعد الجرائم الإلكترونية ، وبعض تحديثات Apple ، وهجوم على مستودع كود المصدر.
كل ذلك وأكثر على بودكاست Naked Security.
[مودم موسيقي]
مرحبا بكم في البودكاست ، الجميع.
أنا دوغ عاموث. هو بول دوكلين.
كيف حالك يا بول؟
بطة. بخير شكرا لك. دوغلاس!
هل كان ذلك مبتهجا بما فيه الكفاية؟
دوغ. كان ذلك جيدًا.
مثل ، 7/10 على مقياس السعادة ، وهو أساس جيد جدًا.
بطة. أوه ، أردت أن أشعر أنها أعلى من ذلك.
ما قلته زائد 2.5 / 10.
دوغ. [دهشة مبالغ فيها] أوه ، بول ، يبدو صوتك رائعًا!
بطة. [يضحك] شكرًا لك ، دوغ.
دوغ. حسنًا ، قد يدفعك هذا إلى 10/10 ، ثم ... هذا الأسبوع في تاريخ التكنولوجيا.
في 22 مايو 1973 ، في مركز أبحاث Xerox Palo Alto [PARC] ، كتب الباحث روبرت ميتكالف مذكرة اقترح طريقة جديدة لربط أجهزة الكمبيوتر معًا.
مستوحاة من سلفها ، AlohaNet ، التي درسها Metcalfe كجزء من أطروحة الدكتوراه الخاصة به ، فإن التكنولوجيا الجديدة ستسمى Ethernet ، إشارة إلى مادة "الأثير المضيء" ، التي كان يُعتقد أنها وسيلة لنشر موجات الضوء.
بطة. لقد كان بالتأكيد أسرع بكثير من 160 كيلوبايت ، أقراص مرنة أحادية الجانب وذات كثافة واحدة! [ضحك]
دوغ. يمكن أن يكون أسوأ!
على أية حال ، عند الحديث عن "الأسوأ" و "السوء" ، حصلنا على أول تحديث للجريمة اليوم.
تقدم الولايات المتحدة مكافأة 10 ملايين دولار لمشتبه به روسي فيروسات الفدية.
الولايات المتحدة تعرض 10 ملايين دولار مكافأة لبرامج الفدية الروسية المشتبه بها في لائحة الاتهام
هذا كثير من المال ، بول!
يجب أن يكون هذا الرجل قد فعل شيئًا سيئًا جدًا.
بيان وزارة العدل:
يُزعم أن [هذا الشخص ورفاقه المتآمرين] استخدموا هذه الأنواع من برامج الفدية لمهاجمة آلاف الضحايا في الولايات المتحدة وحول العالم. ومن بين هؤلاء الضحايا وكالات إنفاذ القانون والوكالات الحكومية الأخرى والمستشفيات والمدارس.
إجمالي طلبات الفدية التي يُزعم أن أعضاء حملات الفدية العالمية الثلاث هذه قدمها لضحاياهم تصل إلى 400 مليون دولار ، بينما يصل إجمالي مدفوعات الفدية للضحية إلى 200 مليون دولار.
هجمات وقت كبير ... الكثير من الأموال المتبادلة هنا ، بول.
بطة. عندما تحاول تعقب شخص يقوم بأشياء غادرة في الخارج وتفكر ، "كيف بحق السماء سنفعل هذا؟ لن يظهروا أبدًا في المحكمة هنا "...
ربما نقدم فقط بعض المكاسب القذرة للناس في بلد ذلك الشخص الآخر ، وسوف يقوم شخص ما بتسليمه؟
وإذا كانوا يعرضون 10 ملايين دولار (حسنًا ، هذا الحد الأقصى الذي يمكنك الحصول عليه) ، فلا بد أنهم حريصون جدًا.
وفهمي ، في هذه الحالة ، هو سبب حرصهم على أن هذا المشتبه به بالتحديد متهم بأنه ، إن لم يكن القلب والروح ، واحد على الأقل من هذين الأمرين لثلاث سلالات مختلفة من برامج الفدية: LockBit و Hive وبابوق.
اشتهر بابوك بتسريب الكود المصدري الخاص به (إذا لم أكن مخطئًا ، من قبل أحد المنتسبين الساخطين) ، وقد وجد طريقه الآن إلى GitHub ، حيث يمكن لأي شخص يريد الحصول على جزء التشفير.
وعلى الرغم من صعوبة الشعور بأي تعاطف على الإطلاق مع الأشخاص الموجودين في مرمى وزارة العدل ومكتب التحقيقات الفيدرالي بسبب هجمات برامج الفدية ...
... إذا كان هناك أي قطرات من التعاطف الكامنة ، فإنها تتبخر بسرعة كبيرة عندما تبدأ في القراءة عن المستشفيات والمدارس بين ضحاياها العديدين.
دوغ. نعم.
بطة. لذلك عليك أن تفترض أنه من غير المحتمل أن يروه في أي محكمة أمريكية ...
... لكن أعتقد أنهم اعتقدوا أنه من المهم جدًا عدم المحاولة.
دوغ. بالضبط.
كما نود أن نقول ، سنراقب ذلك.
وأثناء انتظارنا ، يرجى الذهاب وإلقاء نظرة على تقرير حالة برامج الفدية لعام 2023.
يحتوي على مجموعة من الحقائق والأرقام التي يمكنك استخدامها للمساعدة في حماية مؤسستك من الهجمات.
هذا متاح في: sophos.com/ransomware2023.
بطة. تلميح واحد صغير يمكنك تعلمه من التقرير: "مفاجأة ، مفاجأة ؛ يكلفك ما يقرب من نصف ما يمكنك استرداده من النسخ الاحتياطية كما يكلفك من دفع الفدية ".
لأنه حتى بعد دفع الفدية ، لا يزال لديك الكثير من العمل الذي يتعين عليك القيام به لاستعادة النسخة الاحتياطية.
وهذا يعني أيضًا أنك لا تدفع للمحتالين.
دوغ. بالضبط!
حسنًا ، لدينا تحديث آخر عن الجريمة.
هذه المرة ، أصبح أصدقاؤنا في iSpoof ، الذين ، يجب أن أعترف ، لديهم فريق تسويق جيد جدًا.
ماعدا تم القبض على الجميع وكل هذا النوع من الأشياء ...
Kingpin للاحتيال عبر الهاتف يحصل على 13 عامًا لتشغيل خدمة "iSpoof"
بطة. نعم ، هذا تقرير من شرطة العاصمة في لندن حول قضية مستمرة منذ نوفمبر 2022 ، عندما كتب لأول مرة عن هذا على nakedsecurity.sophos.com.
شاب يدعى تيجاي فليتشر ، وأعتقد أن 169 شخصًا آخر اعتقدوا أنهم مجهولون ولكن تبين أنهم لم يكونوا كذلك ، تم القبض عليهم.
وزميل فليتشر هذا ، الذي كان رئيسًا لهذا ، حُكم عليه للتو بالسجن 13 عامًا و 4 أشهر ، دوج.
هذه جملة كبيرة جدًا وفقًا لمعايير أي دولة!
والسبب هو أن هذه الخدمة كانت تدور حول مساعدة مجرمي الإنترنت الآخرين ، مقابل عملات البيتكوين ، لخداع الضحايا بشكل معقول للغاية.
لم تكن بحاجة إلى أي قدرة فنية.
يمكنك فقط الاشتراك في الخدمة ، ثم البدء في إجراء مكالمات هاتفية حيث يمكنك اختيار الرقم الذي سيظهر في الطرف الآخر.
لذلك إذا كان لديك فكرة أن شخصًا ما قام بعمل بنك مع شركة XYZ Banking Corporation ، فيمكنك جعل هاتفه يضيء قائلاً ، "مكالمة واردة من شركة XYZ Banking Corporation" ، ثم ابدأ في schpiel الخاص بك.
يبدو من تقارير الوكالة الوطنية لمكافحة الجريمة في ذلك الوقت أن "عملائها" أجروا ملايين المكالمات من خلال هذه الخدمة. وكان لديهم ما يقرب من 10٪ معدل نجاح ، حيث يتم قياس النجاح أن المتصل كان على الخط لمدة دقيقة على الأقل.
وعندما تعتقد أن شيئًا ما هو مكالمة احتيال ... تغلق المكالمة بسرعة كبيرة ، أليس كذلك؟
دوغ. الدقيقة هي وقت طويل!
بطة. وهذا يعني أنهم ربما ربطوا الشخص.
ويمكنك أن ترى السبب ، لأن كل شيء يبدو قابلاً للتصديق.
إذا لم تكن على علم بأن رقم معرف المتصل (أو رقم تعريف المتصل) الذي يظهر على هاتفك ليس أكثر من مجرد تلميح ، يمكن لأي شخص أن يضعه في أي شيء ، وأن أي شخص لديه أسوأ اهتماماتك في قلبه يريد أن يطاردك يمكنهم ، مقابل نفقات شهرية متواضعة ، الشراء في خدمة تساعدهم على القيام بذلك تلقائيًا ...
إذا كنت لا تعرف أن هذا هو الحال ، فمن المحتمل أن يكون لديك طريق حارس خاص بك ، وستتوقف كثيرًا عندما تأتي تلك المكالمة وتقول ، "أنا أتصل من البنك. يمكنك أن ترى ذلك من الرقم. يا عزيزي ، كان هناك احتيال في حسابك "، ثم يخبرك المتصل للقيام بمجموعة كاملة من الأشياء التي لن تستمع إليها للحظة.
إن مدى وصول هذه الخدمة ، والعدد الكبير من الأشخاص الذين يستخدمونها (كان لديه عشرات الآلاف من "العملاء" ، على ما يبدو) ، والعدد الهائل من المكالمات ومقدار الضرر المالي الذي حدث ، والذي وصل إلى الملايين ، هو السبب في أنه حصلت على مثل هذه الجملة الخطيرة.
دوغ. جزء من سبب تمكنهم من جذب الكثير من العملاء هو أن هذا كان على موقع ويب يواجه الجمهور.
لم يكن على شبكة الإنترنت المظلمة ، وكان تسويقًا رائعًا جدًا.
إذا توجهت إلى المقالة ، فهناك فيديو تسويقي مدته 53 ثانية يحتوي على ممثل صوتي محترف ، وبعض الرسوم المتحركة الممتعة.
إنه فيديو جيد جدًا!
بطة. نعم!
لقد اكتشفت خطأً إملائيًا واحدًا فيه ... لقد كتبوا "التشفير من طرف إلى طرف" بدلاً من "التشفير من طرف إلى طرف" ، وهو ما لاحظته لأنه كان من المفارقات.
لأن الفرضية الكاملة لهذا الفيديو - تقول ، "مرحبًا ، كعميل أنت مجهول الهوية تمامًا."
لقد صنعوا خطوة كبيرة من ذلك.
دوغ. أعتقد أنه ربما كان "نهاية للتشفير". [يضحك]
بطة. نعم ... ربما تكون مجهول الهوية لضحاياك ، لكنك لم تكن مجهولاً لمزود الخدمة.
من الواضح أن رجال الشرطة ، في المملكة المتحدة على الأقل ، قرروا البدء بأي شخص أنفق بالفعل أكثر من 100 جنيه إسترليني من عملات البيتكوين مع هذه الخدمة.
لذلك قد يكون هناك أشخاص انخرطوا في هذا ، أو استخدموه لمجرد شيئين ، ولا يزالون على القائمة.
يريد رجال الشرطة أن يعرف الناس أنهم بدأوا في القمة وأنهم يشقون طريقهم إلى الأسفل.
كان عدم الكشف عن هويته الموعودة في الفيديو وهميًا.
دوغ. حسنًا ، لدينا بعض النصائح ، وقد قلنا هذه النصائح من قبل ، لكنها تذكيرات رائعة.
بما في ذلك واحدة من المفضلة ، لأنني أعتقد أن الناس يفترضون فقط أن معرف المتصل هو مراسل دقيق…. النصيحة الأولى هي: تعامل مع معرف المتصل على أنه ليس أكثر من تلميح.
ماذا تقصد بذلك يا بول؟
بطة. إذا كنت لا تزال تتلقى بريدًا حلزونيًا في منزلك ، فستعرف أنه عندما تحصل على مغلف ، فإنه يحتوي على عنوانك في المقدمة ، وعادة ، عند قلبه ، على ظهر المغلف ، هناك عنوان إرجاع .
والجميع يعلم أن المرسل له الحق في اختيار ما يقوله ... قد يكون حقيقيًا ؛ قد تكون كلها مجموعة من الأكاذيب.
هذا هو مقدار الثقة بمعرف المتصل.
وطالما أنك تضع ذلك في الاعتبار ، وتفكر فيه على أنه تلميح ، فأنت ذهبي.
ولكن إذا ظهرت وتقول "XYZ Banking Corporation" لأن المحتالين قد اختاروا عمداً رقماً وضعته خصيصاً في قائمة جهات الاتصال الخاصة بك ليأتي ليخبرك أنه البنك ... هذا لا يعني أي شيء.
وحقيقة أنهم بدأوا في إخبارك بأنهم من البنك لا تعني أنهم كذلك.
وهذا جيد في نصيحتنا الثانية ، أليس كذلك ، دوغ؟
دوغ. نعم.
قم دائمًا بإجراء مكالمات رسمية بنفسك ، باستخدام رقم يمكنك الوثوق به.
لذا ، إذا تلقيت إحدى هذه المكالمات ، قل ، "سأعاود الاتصال بك على الفور" ، واستخدم الرقم الموجود على ظهر بطاقتك الائتمانية.
بطة. إطلاقا.
إذا كان هناك أي طريقة قادوك بها إلى الاعتقاد بأن هذا هو الرقم الذي يجب أن تتصل به ... فلا تفعل ذلك!
اكتشفها بنفسك.
كما قلت ، للإبلاغ عن أشياء مثل الاحتيال المصرفي أو المشاكل المصرفية ، فإن الرقم الموجود على ظهر بطاقتك الائتمانية يعد بداية جيدة.
لذا ، نعم ، كن حذرًا جدًا.
من السهل حقًا تصديق هاتفك ، لأن 99٪ من الوقت ، رقم معرف المتصل هذا سيقول الحقيقة.
دوغ. حسنًا ، أخيرًا وليس آخرًا ، ليست مهارة فنية تمامًا ، ولكن أكثر ليونة ، النصيحة الثالثة هي: كن متواجدًا مع الأصدقاء والعائلة المعرضين للخطر.
هذا جيد.
بطة. من الواضح أن هناك أشخاصًا أكثر عرضة لخطر هذا النوع من الاحتيال.
لذلك من المهم أن تدع الأشخاص في دائرة أصدقائك وعائلتك ، الذين تعتقد أنهم معرضون لخطر هذا النوع من الأشياء ... أخبرهم أنه إذا كان لديهم أي شك ، فعليهم الاتصال بك وطلب النصيحة .
كما سيقول لك كل نجار أو نجار ، دوغلاس ، "قس مرتين ، اقطع مرة واحدة."
دوغ. أنا أحب هذه النصيحة. [يضحك]
أميل إلى القياس مرة واحدة ، والتقطيع ثلاث مرات ، لذلك لا تتبع قيادتي هناك.
بطة. نعم. لا يمكنك "قطع الأشياء لفترة أطول" ، أليس كذلك؟ [ضحك]
دوغ. كلا ، أنت متأكد من أنك لا تستطيع ذلك!
بطة. لقد حاولنا جميعًا. [يضحك]
دوغ. هذا تحديثان لأسفل ؛ واحد للذهاب.
قمنا حصلت على تحديث... إذا كنت تتذكر ، في وقت سابق من هذا الشهر ، فاجأتنا شركة Apple باستجابة أمان سريعة جديدة ، لكنها لم تذكر ما تم إصلاحه بالفعل من التحديثات ، ولكننا نعرف الآن ، بول.
انتهى سر Apple: تم إصلاح 3 أيام صفر ، لذا تأكد من التصحيح الآن!
بطة. نعم.
يومين 0 ، بالإضافة إلى 0 يوم مكافأة لم يتم إصلاحها من قبل.
لذا ، إذا كان لديك ، فما هو ، macOS 13 Ventura (الأحدث) ، وإذا كان لديك iOS / iPadOS 16 ، فستحصل على الاستجابة الأمنية السريعة
لقد حصلت على تحديث "رقم الإصدار (أ)" ، و "إليك التفاصيل حول هذا التحديث: (سلسلة نصية فارغة)".
لذلك ليس لديك أي فكرة عما تم إصلاحه.
وربما فكرت ، مثلنا ، "أراهن أنه يوم الصفر في WebKit. هذا يعني تثبيت محرك الأقراص. وهذا يعني أن شخصًا ما يمكن أن يستخدمه لبرامج التجسس ".
وها ، هذا هو بالضبط ما كانا هذين اليومين.
وكان هناك يوم صفر ثالث ، والذي كان ، إذا أردت ، جزءًا آخر من تلك المعادلة ، أو نوعًا آخر من برمجيات إكسبلويت التي غالبًا ما تترافق مع أول يومين صفريين تم إصلاحهما.
كان هذا أحد ردود Google Threat Response / Amnesty International التي تفوح مني بالتأكيد برائحة برامج التجسس ... شخص ما يحقق في واقعة حقيقية.
كان هذا الخطأ هو ما تسميه في المصطلحات "هروب من وضع الحماية".
يبدو كما لو أن الأيام الثلاثة صفر التي تم إصلاحها الآن لجميع منصات Apple كانت ...
واحد قد يسمح للمحتال بمعرفة مكانه على جهاز الكمبيوتر الخاص بك.
بمعنى آخر ، إنهم يزيدون بشكل كبير من فرصة نجاح مآثرهم اللاحقة.
استغلال ثانٍ يقوم بتنفيذ التعليمات البرمجية عن بُعد داخل متصفحك ، كما أقول ، يساعده ويحرض عليه تسرب البيانات في الخطأ الأول الذي قد يخبرك بعناوين الذاكرة التي يجب استخدامها.
ثم يوم صفر ثالث يسمح لك بشكل أساسي بالخروج من المتصفح والقيام بما هو أسوأ بكثير.
حسنًا ، سأقول ، التصحيح في وقت مبكر ، التصحيح في كثير من الأحيان ، ألست انا دوج؟
دوغ. افعلها!
نعم.
بطة. هذه ليست الأسباب الوحيدة وراء رغبتك في الحصول على هذه التصحيحات.
هناك مجموعة من الإصلاحات الاستباقية أيضًا.
لذا حتى لو لم تكن أيام الصفر ، فسأقولها مرة أخرى على أي حال.
دوغ. حسنا عظيم.
قصتنا الأخيرة في اليوم ... لقد كتبت مقدمة صغيرة خاصة بي هنا ، لكنني أرميها في سلة المهملات وسأختار العنوان الرئيسي الخاص بك ، لأنه أفضل بكثير.
وهي حقًا تجسد جوهر هذه القصة: يتعامل مستودع كود PyPI مفتوح المصدر مع دوامة البرمجيات الخبيثة الهوسية.
هذا ما حدث يا بول!
يتعامل مستودع أكواد PyPI مفتوح المصدر مع دوامة البرامج الضارة الجنونية
بطة. نعم ، يجب أن أعترف ، كان عليّ العمل على هذا العنوان لجعله يتناسب تمامًا مع سطرين في قالب WordPress nakedsecurity.sophos.com. [ضحك]
لقد تجاوز فريق PyPI الآن هذا ، وأعتقد أنهم تخلصوا من كل الأشياء.
ولكن يبدو أن شخصًا ما كان لديه نظام آلي كان يقوم للتو بإنشاء حسابات جديدة ، ثم في تلك الحسابات ، ينشئ مشاريع جديدة ...
... ومجرد تحميل حزمة مصدر فاسدة بعد حزمة مصدر فاسدة.
وتذكر أنه في معظم هذه المستودعات (PyPI هي مثال) ، يمكن أن يكون لديك برامج ضارة موجودة في الكود الفعلي الذي تريد تنزيله واستخدامه لاحقًا كوحدة نمطية في التعليمات البرمجية الخاصة بك (بمعنى آخر ، مكتبة البرمجة) ، و / أو يمكن أن يكون لديك برامج ضارة في برنامج التثبيت الفعلي أو البرنامج النصي للتحديث الذي يوفر لك الشيء.
لذلك ، لسوء الحظ ، من السهل على المحتالين استنساخ مشروع شرعي ، وإعطائه اسمًا واقعي المظهر وآمل أنه إذا قمت بتنزيله عن طريق الخطأ ...
... ثم بعد تثبيته ، وبمجرد بدء استخدامه في برنامجك ، وبمجرد بدء شحنه إلى عملائك ، سيكون كل شيء على ما يرام ، ولن تجد أي برامج ضارة فيه.
نظرًا لأن البرامج الضارة قد أصابت جهاز الكمبيوتر الخاص بك بالفعل ، من خلال التواجد في البرنامج النصي الذي تم تشغيله لتثبيت الشيء بشكل صحيح في المقام الأول.
لذلك هناك ضربة مزدوجة للمحتالين.
ما لا نعرفه هو ...
هل كانوا يأملون في تحميل الكثير من الحزم المعدية بحيث لا يتم رصد بعضها ، ولديهم فرصة قتال لأن الزوجين سيتخلفون عن الركب؟
أم أنهم كانوا يأملون فعلاً في أن يفزعوا فريق PyPI كثيرًا لدرجة أنهم اضطروا إلى إخراج الموقع بالكامل من الهواء ، وسيكون ذلك بمثابة هجوم رفض كامل للخدمة؟
لم يكن أي من هؤلاء هو النتيجة.
تمكن فريق PyPI من تخفيف الهجوم عن طريق إغلاق بعض جوانب الموقع فقط.
وبالتحديد ، لفترة من الوقت ، لم تتمكن من إنشاء حساب جديد ، ولا يمكنك إضافة مشروع جديد ، ولكن لا يزال بإمكانك الحصول على حسابات قديمة.
وقد منحهم ذلك مساحة كافية للتنفس ، على مدار 24 ساعة ، بحيث يبدو أنهم قادرون على التنظيف تمامًا.
دوغ. لدينا بعض النصائح لهجمات مثل هذه حيث لا يتم تنظيفها في الوقت المناسب.
لذلك إذا كنت تسحب من مستودعات مثل هذه ، فإن أول شيء يمكنك القيام به هو: لا تختر حزمة مستودع لمجرد أن الاسم يبدو صحيحًا.
هذا تكتيك يستخدمه المهاجمون في كثير من الأحيان.
بطة. في الواقع ، دوغلاس.
إنه في الأساس ما اعتدنا أن نطلق عليه المصطلح "الكتابة المطبعية" لمواقع الويب.
بدلا من التسجيل example.com
، يمكنك تسجيل شيء مثل examole.com
، لأن O بجوار P على لوحة المفاتيح ، على أمل أن يذهب شخص ما لكتابة "مثال" ، يرتكب خطأً طفيفًا وستجذب حركة المرور الخاصة بهم وتحصلهم على موقع مشابه.
كن حذرا فيما تختاره.
إنها تشبه إلى حد ما نصيحتنا حول معرف المتصل: فهي تخبرك بشيء ما ، ولكن كثيرًا فقط.
وبالنسبة للبقية ، عليك حقًا بذل العناية الواجبة.
دوغ. مثل: لا تقم بتنزيل تحديثات الحزمة بشكل أعمى في أنظمة التطوير أو الإنشاء الخاصة بك.
بطة. نعم ، DevOps والتكامل المستمر هو كل شيء هذه الأيام ، أليس كذلك ، حيث يمكنك أتمتة كل شيء؟
وهناك شيء جذاب حول قول ، "حسنًا ، لا أريد أن أتخلف عن الركب ، فلماذا لا أخبر نظام البناء الخاص بي فقط بأخذ الكود الخاص بي من مستودعي المحلي حيث أعتني به ، وبعد ذلك دائمًا الحصول تلقائيًا على أحدث إصدار من المستودع العام لجميع رموز الأشخاص الآخرين التي أستخدمها؟ "
تكمن المشكلة في أنه إذا تعرضت أي من حزم الطرف الثالث التي تستخدمها إلى pw ، فإن نظام الإنشاء الخاص بك سيواجه مشكلة تلقائيًا تمامًا.
لذلك لا تفعل ذلك إذا كان يمكنك تجنب ذلك.
دوغ. الأمر الذي يقودنا إلى: لا تجعل من السهل على المهاجمين الوصول إلى حزمك الخاصة.
بطة. نعم.
لا أحد يستطيع حقًا إيقاف أي شخص عازم على إنشاء 2000 حساب PyPI جديد يدويًا ووضع 1000 حزمة جديدة في كل منها.
ولكن يمكنك شن هجمات حيث يستولي المحتالون على الحزم الحالية ويعرضونها للخطر ... يمكنك القيام بواجبك لمساعدة بقية المجتمع من خلال جعل تعرض مشروعاتك للخطر بأكبر قدر ممكن.
اذهب وراجع الأمان الذي لديك على هذا الحساب أو على تلك الحزمة ، فقط في حالة ما إذا قرر شخص ما أنه سيكون مكانًا بارعًا لإدراج البرامج الضارة التي يمكن أن تؤثر على أشخاص آخرين ... وبالطبع سيؤدي ذلك على الأقل مؤقتًا إلى تشويه سمعتك في نفس الوقت وقت.
دوغ. وقد تقع نصيحتنا الأخيرة على آذان صماء ، ولكن إذا كان يكفي لتغيير بعض الآراء فقط ، فقد قمنا ببعض الأعمال الجيدة هنا اليوم: لا تكن تعرف ماذا.
بطة. إثبات مدى ذكاءك من خلال تذكيرنا جميعًا بهجمات سلسلة التوريد من خلال القيام بعمل غير ضروري لفرق المتطوعين ... مثل طاقم Linux kernel (لقد عانوا من هذا في الماضي) و PyPI ومستودعات المصادر المفتوحة الأخرى الشائعة؟
إذا كان لديك سبب حقيقي يجعلك تعتقد أنك بحاجة إلى إخبارهم عن ثغرة أمنية ، فابحث عن تفاصيل الاتصال الخاصة بالإفصاح الأمني واتصل بهم بشكل صحيح ومهني ومسؤول.
لا تكن ****.
دوغ. معالي.
حسنًا ، نصيحة جيدة ، ومع بدء غروب الشمس في عرضنا لهذا اليوم ، حان الوقت للاستماع إلى أحد قرائنا.
في الحلقة السابقة من البودكاست ، قد تتذكر أننا تحدثنا قليلاً عن تجارب ومحن كمبيوتر Apple III. لنستمع:
لا أعرف ما إذا كانت هذه أسطورة حضرية أم لا ، لكنني قرأت أن طرازات [Apple III] المبكرة لم تكن بها رقائقها مثبتة بشكل صحيح في المصنع ، وأن المستلمين الذين أبلغوا عن مشاكل طُلب منهم رفع المقدمة من الكمبيوتر من على مكتبهم بضعة سنتيمترات وتركه يتحطم مرة أخرى ، مما قد يضربهم في مكانهم كما كان ينبغي في المقام الأول. الذي نجح على ما يبدو ، لكنه لم يكن أفضل نوع من الدعاية لجودة المنتج.
دوغ. رداً على ذلك ، يتناغم المستمع S31064 (لست متأكدًا مما إذا كان هذا اسم ميلاد حقيقي) في:
لا أعلم عن ذلك ، لكن الشركة التي كنت أعمل بها في ذلك الوقت كانت تستخدمها لمحطات توزيع المكتبات غير المتصلة بالإنترنت. وتسع مرات من أصل عشرة ، إذا كانت هناك مشكلة في ذلك ، كان الإصلاح هو إعادة تركيب الرقائق.
بطة. نعم ، تجاوز اللوحة الأم و (فرقعة ، فرقعة) الضغط على جميع الرقائق لأسفل ... كان ذلك يعتبر صيانة روتينية في ذلك الوقت.
ولكن يبدو أنه بالنسبة إلى Apple III ، لم يكن الأمر مجرد صيانة روتينية أو صيانة وقائية ، بل كان في الواقع تقنية استرداد معترف بها.
لذلك كنت منبهرًا بقراءة ذلك ، دوج.
شخص كان هناك بالفعل وفعل ذلك!
دوغ. حسنًا ، شكرًا جزيلاً لك عزيزي المستمع لإرسال هذا.
وإذا كانت لديك قصة أو تعليق أو سؤال مثير للاهتمام تود إرساله ، فنحن نحب قراءته في البودكاست.
يمكنك إرسال بريد إلكتروني إلى tips@sophos.com ، أو التعليق على أي مقالة ، أو يمكنك التواصل معنا على مواقع التواصل الاجتماعي:nakedsecurity.
هذا هو عرضنا لهذا اليوم. شكرا جزيلا على الاستماع.
بالنسبة لبول دوكلين ، أنا دوج آموث ، أذكرك حتى المرة القادمة بـ ...
على حد سواء. ابق آمنًا.
[مودم موسيقي]
- محتوى مدعوم من تحسين محركات البحث وتوزيع العلاقات العامة. تضخيم اليوم.
- أفلاطونايستريم. ذكاء بيانات Web3. تضخيم المعرفة. الوصول هنا.
- سك المستقبل مع أدرين أشلي. الوصول هنا.
- شراء وبيع الأسهم في شركات ما قبل الاكتتاب مع PREIPO®. الوصول هنا.
- المصدر https://nakedsecurity.sophos.com/2023/05/25/s3-ep136-navigating-a-manic-malware-maelstrom/
- :لديها
- :يكون
- :ليس
- :أين
- ] [ص
- 10 مليون دولار
- 400 مليون دولار
- $ UP
- 13
- 2022
- 2023
- 22
- a
- القدرة
- ماهرون
- من نحن
- إطلاقا
- حسابي
- الحسابات
- دقيق
- المتهم
- يقدم
- في الواقع
- تضيف
- العنوان
- عناوين
- يعترف
- نصيحة
- تؤثر
- التسويق بالعمولة
- بعد
- مرة أخرى
- ضد
- وكالات
- AIR
- الكل
- مزعوم
- السماح
- على طول
- سابقا
- حسنا
- أيضا
- بالرغم ان
- دائما
- am
- وسط
- كمية
- an
- و
- الرسوم المتحركة
- الغفلية
- مجهول
- آخر
- أي وقت
- اى شى
- في أى مكان
- جذاب
- تفاح
- هي
- حول
- القى القبض
- البند
- مقالات
- AS
- الجوانب
- At
- مهاجمة
- الهجمات
- جذب
- سمعي
- المؤلفة
- أتمتة
- الآلي
- تلقائيا
- متاح
- تجنب
- علم
- الى الخلف
- دعم
- النسخ الاحتياطي
- سيئة
- مصرف
- مصرفية
- البنوك والمصارف
- خط الأساس
- في الأساس
- BE
- دب
- لان
- كان
- قبل
- وراء
- يجري
- اعتقد
- يعتقد
- أقل من
- أفضل
- مراهنة
- أفضل
- كبير
- قطعة
- بيتكوينز (Bitcoins)
- فارغة
- عمياء
- علاوة
- هبة
- تنفس
- المتصفح
- علة
- نساعدك في بناء
- باقة
- لكن
- يشترى
- by
- دعوة
- تسمى
- المتصل
- دعوة
- دعوات
- الحملات
- CAN
- يستطيع الحصول على
- يلتقط
- فيزا وماستركارد
- حذر
- حقيبة
- مركز
- بالتأكيد
- فرصة
- تغيير
- متغير
- شيبس
- اختار
- دائرة
- تداول
- الكود
- COM
- تأتي
- يأتي
- التعليق
- مجتمع
- حول الشركة
- تماما
- حل وسط
- تسوية
- الكمبيوتر
- أجهزة الكمبيوتر
- التواصل
- نظرت
- التواصل
- متواصل
- الشرطة
- مؤسسة
- التكاليف
- استطاع
- البلد
- البلاد
- زوجان
- الدورة
- محكمة
- تحطم
- خلق
- خلق
- ائتمان
- بطاقة إئتمان
- نسبة الجريمة
- المحتالون
- زبون
- العملاء
- قطع
- جرائم الإنترنت
- مجرمو الإنترنت
- غامق
- الويب المظلم
- البيانات
- تسرب البيانات
- يوم
- أيام
- المخصصة
- قررت
- يسلم
- مطالب
- الحرمان من الخدمة
- كثافة
- مكتب
- التفاصيل
- تفاصيل
- مصمم
- التطوير التجاري
- DevOps
- فعل
- مختلف
- الاجتهاد
- إفشاء
- do
- هل
- لا
- فعل
- وزارة العدل
- فعل
- لا
- الشك
- إلى أسفل
- بإمكانك تحميله
- قطرة
- اثنان
- كل
- في وقت سابق
- في وقت مبكر
- أرض
- سهل
- البريد الإلكتروني
- التشفير
- النهاية
- تطبيق
- كاف
- تماما
- حلقة
- جوهر
- أساسيا
- حتى
- EVER
- كل
- كل شخص
- كل شىء
- بالضبط
- مثال
- القائمة
- استغلال
- مآثر
- عين
- مواجهة
- حقيقة
- مصنع
- حقائق
- فال
- للعائلات
- اشتهر
- أسرع
- المفضلة
- مكتب التحقيقات الفدرالي
- شعور
- زميل
- قليل
- قتال
- الشكل
- أحسب
- الأرقام
- مالي
- نهاية
- الاسم الأول
- تناسب
- حل
- ثابت
- اتباع
- في حالة
- وجدت
- احتيال
- الاصدقاء
- تبدأ من
- جبهة
- مرح
- توليد
- حقيقي
- دولار فقط واحصل على خصم XNUMX% على جميع
- الحصول على
- GitHub جيثب:
- منح
- العالمية
- Go
- يذهب
- الذهاب
- الذهبية
- خير
- شراء مراجعات جوجل
- حكومة
- انتزاع
- عظيم
- جدا
- الحرس
- شخص
- كان
- نصفي
- يد
- العناية باليد
- تعليق
- حدث
- الثابت
- يملك
- he
- رئيس
- عنوان رئيسي
- سماع
- قلب
- مساعدة
- مساعدة
- هنا
- أعلى
- وسلم
- له
- ضرب
- خلية النحل
- أمل
- أمل
- المستشفيات
- منـزل
- كيفية
- HTTP
- HTTPS
- i
- ID
- فكرة
- هوية
- if
- أهمية
- in
- في أخرى
- حادث
- تتضمن
- في ازدياد
- بدء
- تثبيت
- التكامل
- وكتابة مواضيع مثيرة للاهتمام
- السريرية
- عالميا
- إلى
- سخرية
- iSpoof
- IT
- انها
- نفسها
- رطانة
- قفز
- م
- شديد
- احتفظ
- نوع
- علم
- كبير
- اسم العائلة
- الى وقت لاحق
- آخر
- إطلاق
- القانون
- تطبيق القانون
- قيادة
- يؤدي
- تعلم
- الأقل
- ليد
- اليسار
- شرعي
- يتيح
- المكتبة
- يكمن
- ضوء
- مثل
- خط
- خطوط
- لينكس
- قائمة
- مستمع
- استماع
- القليل
- تحميل
- محلي
- لندن
- طويل
- بحث
- أبحث
- تبدو
- الكثير
- حب
- ماك
- صنع
- صيانة
- جعل
- القيام ب
- البرمجيات الخبيثة
- كثير
- التسويق
- أقصى
- مايو..
- تعني
- يعني
- قياس
- متوسط
- الأعضاء
- مكبر الصوت : يدعم، مع دعم ميكروفون مدمج لمنع الضوضاء
- شرطة العاصمة
- ربما
- مليون
- ملايين
- مانع
- العقول
- دقيقة
- خطأ
- تخفيف
- عارضات ازياء
- متواضع
- وحدة
- لحظة
- مال
- شهر
- شهريا
- المقبلة.
- الأكثر من ذلك
- أكثر
- كثيرا
- موسيقى
- موسيقي
- يجب
- my
- الأمن عارية
- بودكاست الأمن العاري
- الاسم
- محليات
- التنقل
- حاجة
- أبدا
- جديد
- التالي
- لا
- لا شى
- نوفمبر
- الآن
- عدد
- of
- خصم
- عرض
- الوهب
- عروض
- رسمي
- حاليا
- غالبا
- oh
- قديم
- on
- مرة
- ONE
- منها
- فقط
- جاكيت
- المصدر المفتوح
- كود مفتوح المصدر
- or
- منظمة
- أخرى
- وإلا
- لنا
- خارج
- نتيجة
- على مدى
- في الخارج
- الخاصة
- حزمة
- صفقة
- حزم
- مدفوع
- بالو ألتو
- جزء
- خاص
- الماضي
- بقعة
- بقع
- بول
- دفع
- المدفوعات
- مجتمع
- الشعب
- فترة
- شخص
- منظور
- للهواتف
- المكالمات الهاتفية
- التقطت
- رمية
- المكان
- منصات التداول
- أفلاطون
- الذكاء افلاطون البيانات
- أفلاطون داتا
- لاعب
- من فضلك
- المزيد
- بودكاست
- بودكاست
- Police
- أكثر الاستفسارات
- ممكن
- ربما
- المنشورات
- نذير
- الضغط
- جميل
- سابق
- السجن
- استباقية
- المحتمل
- المشكلة
- مشاكل
- منتج
- محترف
- مهنيا
- برمجة وتطوير
- تنفيذ المشاريع
- مشروع ناجح
- وعد
- بصورة صحيحة
- حماية
- مزود
- جمهور
- سحب
- دفع
- وضع
- بايثون
- جودة
- سؤال
- بسرعة
- فدية
- الفدية
- سريع
- معدل
- بدلا
- الوصول
- عرض
- القراء
- نادي القراءة
- واقعي
- في الحقيقة
- سبب
- الأسباب
- المستفيدين
- معروف
- استعادة
- استرجاع
- تسجيل جديد
- تسجيل
- تذكر
- عن بعد
- تقرير
- التقارير
- التقارير
- مستودع
- سمعة
- بحث
- الباحث
- استجابة
- REST
- على استعادة
- عائد أعلى
- تخلص من
- حق
- المخاطرة
- ROBERT
- غرفة
- آر إس إس
- تشغيل
- الروسية
- قال
- نفسه
- قول
- قول
- يقول
- حجم
- احتيال
- ضحايا الاحتيال
- المدارس
- الثاني
- سيكريت
- تأمين
- أمن
- الثغرة الأمنية
- انظر تعريف
- يبدو
- مرسل
- إرسال
- عقوبة
- حكم
- جدي
- الخدمة
- مقدم الخدمة
- طقم
- الشحن
- ينبغي
- إظهار
- يظهر
- مشاهد
- إشارة
- منذ
- عزباء
- الموقع
- مهارة
- So
- العدالة
- تطبيقات الكمبيوتر
- بعض
- شخص ما
- شيء
- روح
- SoundCloud لل
- مصدر
- شفرة المصدر
- تحدث
- خصيصا
- قضى
- سبوتيفي
- برامج التجسس
- بداية
- بدأت
- ملخص الحساب
- المحافظة
- إقامة
- لا يزال
- قلة النوم
- قصتنا
- سلالات
- خيط
- مدروس
- تقدم
- لاحق
- مادة
- تحقيق النجاح
- هذه
- تعرض جيد للشمس
- مفاجأة
- مندهش
- نظام
- أنظمة
- أخذ
- محادثات
- فريق
- التكنولوجيا
- تقني
- تكنولوجيا
- اقول
- يروي
- قالب
- عشرة
- عشرات
- من
- شكر
- شكر
- أن
- •
- المملكة المتحدة
- العالم
- من مشاركة
- منهم
- then
- هناك.
- تشبه
- هم
- شيء
- الأشياء
- اعتقد
- الثالث
- طرف ثالث
- هؤلاء
- على الرغم من؟
- فكر
- الآلاف
- التهديد
- ثلاثة
- عبر
- رمي
- الوقت
- مرات
- معلومات سرية
- نصائح
- إلى
- اليوم
- سويا
- جدا
- تيشرت
- الإجمالي
- تواصل
- مسار
- حركة المرور
- محاكمات
- حاول
- مشكلة
- صحيح
- الثقة
- حقيقة
- محاولة
- منعطف أو دور
- تحول
- مرتين
- اثنان
- نوع
- أنواع
- Uk
- فهم
- لسوء الحظ
- متحد
- الولايات المتحدة
- حتى
- تحديث
- آخر التحديثات
- تحميل
- في المناطق الحضرية
- URL
- us
- تستخدم
- مستعمل
- استخدام
- عادة
- الإصدار
- جدا
- ضحية
- ضحايا
- فيديو
- تطوع
- الضعف
- الضعيفة
- انتظار
- تريد
- مطلوب
- يريد
- وكان
- أمواج
- طريق..
- we
- الويب
- طقم الويب
- الموقع الإلكتروني
- المواقع
- أسبوع
- حسن
- كان
- ابحث عن
- متى
- سواء
- التي
- في حين
- من الذى
- كامل
- لماذا
- سوف
- مع
- WordPress
- كلمات
- للعمل
- عامل
- العالم
- أسوأ
- أسوأ
- قيمة
- سوف
- مكتوب
- خاطئ
- سنوات
- نعم فعلا
- لصحتك!
- حل متجر العقارات الشامل الخاص بك في جورجيا
- نفسك
- زفيرنت
- صفر
- يوم الصفر