S3 Ep112: نقض داده ها می تواند بیش از یک بار شما را آزار دهد! [صوت + متن]

برای پرش به هر نقطه، روی امواج صوتی زیر کلیک کنید و بکشید. شما همچنین می توانید مستقیم گوش کن در Soundcloud

دوغ.  تعویض سیم‌کارت، روزهای صفر، صدای [صدای دراماتیک] Ping of Death، و LastPass... دوباره.

همه اینها و بیشتر در پادکست Naked Security.

[مودم موزیکال]

همه به پادکست خوش آمدید.

من داگ آموت هستم.

مثل همیشه پل داکلین با من است.

پل، شما چطور؟

---

اردک.  خیلی خوب، داگ

شما صدای درام بالایی را در آن مقدمه قرار دادید، من از دیدن آن خوشحالم!

---

دوغ.  خوب، چگونه می‌توانید «پینگ مرگ» را بدون گفتن [غرغر متال عذاب] «پینگ مرگ» بگویید؟

شما نمی توانید فقط [صدای ملایم] "Ping of Death" را بگویید.

باید کمی بهش مشت بزنی…

---

اردک.  من هم همینطور فکر میکنم.

در نوشتن متفاوت است - چه چیزی دارید؟

پررنگ و مورب.

من فقط با متن معمولی رفتم، اما از حروف بزرگ استفاده کردم که کمک می کند.

---

دوغ.  بله، فکر می‌کنم کلمه «مرگ» را پررنگ و مورب بنویسم، بنابراین [دوام متال دوباره] «پینگ مرگ».

---

اردک.  و از چندین رنگ استفاده کنید!

دفعه بعد این کار را خواهم کرد، داگ.

---

دوغ.  قدیمی را بشکن برچسب در HTML، آن را کمی چشمک بزند؟ [می خندد]

---

اردک.  داگ، یک لحظه نگران شدم که از کلمه استفاده کنی [می خندد] .

---

دوغ.  [می خندد] ما عاشق چیزهای قدیمی اینجا هستیم!

و این به خوبی با ما هماهنگ است این هفته در تاریخ فناوری بخش - من در مورد این یکی هیجان زده هستم زیرا در مورد آن نشنیده بودم، اما به طور تصادفی با آن روبرو شدم.

این هفته، در 04 دسامبر 2001، کرم Goner با سرعتی بعد از ویروس Love Bug، اینترنت را غارت کرد.

Goner از طریق Microsoft Outlook منتشر شد و به قربانیان ناآگاه قول یک محافظ صفحه نمایش سرگرم کننده را هنگام اجرا داد.

---

اردک.  گنر…

فکر می‌کنم این نام را به این دلیل گرفت که در انتهای آن یک پنجره بازشو وجود داشت، اینطور نبود که پنتاگون را ذکر می‌کرد؟

اما قرار بود یک جناس باشد - "پنتا/رفته" بود.

این قطعاً همان کرمی بود که به مردم یادآوری کرد که در واقع محافظ صفحه نمایش ویندوز فقط برنامه های اجرایی هستند.

بنابراین، اگر شما به طور خاص به دنبال .EXE فایل‌ها، خوب، می‌توان آن‌ها را در آن جمع کرد .SCR (محافظ صفحه نمایش) فایل ها نیز.

اگر فقط به نام فایل ها تکیه می کردید، به راحتی می توانستید فریب بخورید.

و بسیاری از مردم متأسفانه بودند.

---

دوغ.  خوب، ما از مدرسه قدیم به مدرسه جدید می رویم.

ما در مورد LastPass صحبت می کنیم: یک نقض وجود دارد. خود نقض وحشتناک نبود. اما این نقض اکنون منجر به نقض دیگری شده است.

یا شاید این فقط ادامه نقض اصلی است؟

LastPass به نقض اطلاعات مشتری ناشی از نقض قبلی اعتراف می کند

---

اردک.  بله، LastPass اساساً در ادامه نقض قبلی، که فکر می کنم آگوست 2022 بود، در مورد آن نوشته است، اینطور نیست؟

و همانطور که در آن زمان گفتیم، ظاهر بسیار شرم آور برای LastPass بود.

اما هرچه نقض‌ها پیش می‌روند، احتمالاً برای بخش‌های روابط عمومی، بازاریابی و (من حدس می‌زنم) برای بخش‌های مالکیت معنوی‌شان بدتر بود، زیرا به نظر می‌رسد اصلی‌ترین چیزی که کلاهبرداران با آن حذف کردند کد منبع سیستم توسعه آنها بود.

و LastPass به سرعت به مردم اطمینان داد…

اولاً، بررسی‌های آن‌ها نشان داد که در زمانی که در آنجا بودند، کلاهبرداران قادر به ایجاد هیچ تغییر غیرمجازی نبودند که ممکن است بعداً به کد واقعی نفوذ کند.

ثانیاً، دسترسی به سیستم توسعه به شما امکان دسترسی به سیستم تولید را نمی دهد، جایی که کد واقعی ساخته شده است.

و ثالثاً، آنها می‌توانستند بگویند به نظر می‌رسد هیچ مخزن رمزگذاری رمزگذاری‌شده‌ای دزدیده نشده است، بنابراین به ذخیره‌سازی ابری گذرواژه‌های رمزگذاری‌شده شما دسترسی پیدا نمی‌کند.

و حتی اگر به آن دسترسی پیدا می‌شد، تنها شما رمز عبور را می‌دانید، زیرا رمزگشایی (آنچه که وقتی در پادکست در مورد آن صحبت کردیم «بالا بردن سنگین» نامیدید) در واقع در حافظه دستگاه‌های شما انجام می‌شود – LastPass هرگز شما را نمی‌بیند. کلمه عبور.

و سپس، چهارم، آنها گفتند، تا آنجا که ما می توانیم بگوییم، در نتیجه آن نقض، برخی از مواردی که در محیط توسعه وجود داشت، اکنون یا همان را به ارمغان آورده است ... یا احتمالاً یک بار کلاهبردار کاملاً متفاوتی که آن را خریداری کرده اند. چه کسی می داند داده های سرقت شده از لات قبلی؟

این به آنها اجازه داد تا وارد برخی از سرویس های ابری شوند که در آن برخی از داده های مشتری که هنوز ناشناخته بودند به سرقت رفته بود.

فکر نمی‌کنم آن‌ها هنوز کاملاً بدانند، زیرا ممکن است مدتی طول بکشد تا مشخص شود که واقعاً چه چیزی پس از وقوع یک رخنه دسترسی پیدا کرده است.

بنابراین من فکر می‌کنم منصفانه است که بگوییم این به نوعی طرف B نقض اصلی است.

---

دوغ.  بسیار خوب، پیشنهاد می کنیم اگر مشتری LastPass هستید، گزارش رویداد امنیتی شرکت را زیر نظر داشته باشید.

ما همچنان به این داستان نگاه خواهیم کرد زیرا هنوز در حال توسعه است.

و اگر شما، مانند من و پل، برای امرار معاش با جرایم سایبری مبارزه می کنیم، درس های بسیار خوبی از نقض Uber وجود دارد.

پس این یک قسمت پادکست است – یک «مینی‌زود» – با چستر ویسنیفسکی که پل در پایین مقاله LastPass قرار داده است:

S3 Ep100.5: نقض Uber - یک متخصص صحبت می کند [صوت + متن]

چیزهای زیادی برای یادگیری در آن جبهه!

---

اردک.  همانطور که شما می گویید، این گوش دادن عالی است، زیرا به اعتقاد من، این چیزی است که در آمریکا به عنوان "توصیه عملی" یا "اخباری که می توانید استفاده کنید" شناخته می شود.

---

دوغ.  [می خندد] فوق العاده است.

در مورد اخباری که واقعاً نمی‌توانید استفاده کنید، اپل به طور کلی در مورد به‌روزرسانی‌های امنیتی خود صحبت می‌کند... و یک به‌روزرسانی امنیتی وجود داشت:

اپل به‌روزرسانی امنیتی iOS را منتشر می‌کند که از همیشه سخت‌تر است

---

اردک.  اوه، داگ، این یکی از بهترین های توست... من آن سگو را دوست دارم.

---

دوغ.  [می خندد] متشکرم. بسیار از شما متشکرم.

---

اردک.  بله، این من را شگفت زده کرد.

فکر کردم، "خب، من به روز رسانی را دریافت می کنم زیرا به نظر جدی می رسد."

و دلیلش را به خودم گفتم: "اجازه دهید این کار را برای خوانندگان امنیت برهنه انجام دهم."

زیرا اگر این کار را انجام دهم و هیچ عارضه ای نداشته باشم، حداقل می توانم به افراد دیگر بگویم: «ببین، من فقط کورکورانه این کار را کردم و هیچ آسیبی به من نرسید. پس شاید شما هم بتوانید این کار را انجام دهید.»

من ناگهان متوجه شدم که یک به روز رسانی iOS 16.1.2 در دسترس است، اگرچه هیچ ایمیل مشاوره امنیتی از طرف اپل نداشتم.

ایمیل نداره؟!

این عجیب است.. بنابراین من به HT201222 صفحه پورتالی که اپل برای بولتن های امنیتی خود دارد و آنجا بود: iOS 16.1.2.

و چه می گوید، داگ، "جزئیات به زودی ارائه می شود"؟

---

دوغ.  و آیا به زودی پیگیری کردند؟

---

اردک.  خوب، این بیش از یک هفته پیش بود، و آنها هنوز آنجا نیستند.

پس آیا ما از "به زودی" یعنی ساعت ها، روزها، هفته ها یا ماه ها صحبت می کنیم؟

در حال حاضر، به نظر هفته ها می رسد.

و مانند همیشه در مورد اپل، هیچ نشانه ای از هیچ ارتباطی با هیچ سیستم عامل دیگری وجود ندارد.

آیا آنها فراموش شده اند؟

آیا آنها به آپدیت نیاز ندارند؟

آیا آنها نیز به آپدیت نیاز داشتند، اما هنوز آماده نشده است؟

آیا آنها از حمایت خارج شده اند؟

اما همانطور که در تیتر گفتم، به نظر می رسید که برای اپل سخت تر از حد معمول باشد، و لزوما مفیدترین چیز در جهان نیست.

---

دوغ.  خوب، خیلی خوب... هنوز چند سوال، که ما را به داستان بعدی هدایت می کند.

یک سوال بسیار جالب!

گاهی اوقات، وقتی برای یک سرویس ثبت نام می کنید و احراز هویت دو مرحله ای را اجرا می کند، می گوید: "آیا می خواهید از طریق پیام متنی مطلع شوید یا می خواهید از یک برنامه احراز هویت استفاده کنید؟"

و این داستان هشداری است برای عدم استفاده از تلفن خود - از یک برنامه احراز هویت استفاده کنید، حتی اگر کمی دست و پا گیرتر باشد.

این یک داستان بسیار جالب است:

مبادله کننده سیم کارت به دلیل سرقت 2FA ارز دیجیتال بیش از 20 میلیون دلار به زندان فرستاده شد

---

اردک.  این است، داگ!

اگر تا به حال تلفن همراه خود را گم کرده باشید یا با قرار دادن چند بار اشتباه پین ​​سیم کارت خود را قفل کرده باشید، می دانید که می توانید به فروشگاه تلفن همراه مراجعه کنید…

... و معمولاً آنها شناسنامه یا چیزی می خواهند و شما می گویید: "هی، من به یک سیم کارت جدید نیاز دارم."

و آنها یکی برای شما تولید خواهند کرد.

وقتی آن را در تلفن خود قرار می دهید، یکنوع بازی شبیه لوتو!… شماره قدیمی شما روی آن است.

بنابراین معنی آن این است که اگر یک کلاهبردار بتواند همان تمرینی را انجام دهد که شما باید شرکت تلفن همراه را متقاعد کنید که سیم کارت خود (یعنی *سیم کارت شما*) را "گم کرده" یا "شکسته" کرده است، و آنها می توانند دریافت کنند. آن کارت یا به آنها داده می شود یا به آنها ارسال می شود یا به نوعی به آنها داده می شود ...

... سپس، وقتی آن را به تلفن خود وصل می کنند، شروع به دریافت کدهای احراز هویت دو مرحله ای SMS شما می کنند، *و* تلفن شما از کار می افتد.

این خبر بد است.

خبر خوب در این مقاله این است که این یک مورد از پسری بود که به خاطر آن متلاشی شد.

او 18 ماه است که در آمریکا به زندان افتاده است.

او، با یک دسته از همدستان - یا به قول وزارت دادگستری شرکت کنندگان طرح… [می خندد]

... آنها با ارز رمزنگاری شده یک قربانی خاص، ظاهراً به مبلغ 20 میلیون دلار، اگر مشکلی ندارید، کار را انجام دادند.

---

دوغ.  اوف!

---

اردک.  بنابراین او موافقت کرد که گناهکار خود را اعتراف کند، یک حکم زندان بگیرد و فوراً آن را از دست بدهد... مبلغ 983,010.72 دلار [با دقت بخوانید] بود... فقط برای اینکه فوراً آن را از دست بدهد.

بنابراین، احتمالاً او آن را در اطراف داشت.

و ظاهراً او نیز نوعی تعهد قانونی برای بازپرداخت بیش از 20 میلیون دلار دارد.

---

دوغ.  موفق باشید با آن، همه! موفق باشید.

دیگر او [موج آوازی] شرکت کنندگان طرح ممکن است برخی از مشکلات وجود دارد! [می خندد]

---

اردک.  بله، نمی دانم اگر آنها هم از همکاری امتناع کنند چه اتفاقی می افتد.

مثلاً اگر فقط او را آویزان کنند تا خشک شود، چه اتفاقی می‌افتد؟

اما ما در این مقاله نکاتی و توصیه هایی در مورد چگونگی افزایش امنیت (به روش هایی بیشتر از 2FA که استفاده می کنید) داریم.

پس بروید و بخوانید که ... هر ذره کمک می کند.

---

دوغ.  خوب، صحبت از "کوچک" است…

... این یک داستان جذاب دیگر بود، چقدر حقیر ping می توان برای راه اندازی اجرای کد از راه دور استفاده کرد:

پینگ مرگ! FreeBSD باگ crashtastic در ابزار شبکه را رفع می کند

---

اردک.  [دوباره از سِگ خوشم آمد] فکر می کنم خودت را بهتر کردی، داگ!

---

دوغ.  [می خندد] من امروز در حال بازی هستم…

---

اردک.  از اپل گرفته تا [تلاش ضعیف برای آوازهای doom] Ping of Death!

بله، این یک اشکال جالب بود.

فکر نمی‌کنم واقعاً آسیب زیادی به بسیاری از افراد وارد کند، و *پچ شده است، بنابراین تعمیر آن آسان است.

اما یک نوشتن عالی در FreeBSD وجود دارد مشاوره امنیتی...

... و این یک داستان سرگرم کننده است، و اگر خودم بگویم، یک داستان بسیار آموزنده برای نسل فعلی برنامه نویسانی است که ممکن است به آن اعتماد کرده باشند، "کتابخانه های شخص ثالث این کار را فقط برای من انجام خواهند داد. با بسته های شبکه سطح پایین سروکار دارید؟ من هرگز نباید به آن فکر کنم…”

در اینجا می توان درس های بزرگی آموخت.

La ping ابزار، که تنها ابزار شبکه ای است که تقریباً همه در مورد آن می دانند، نام خود را از SONAR گرفته است.

تو برو [فیلم صدای زیردریایی می‌سازد] ping، و سپس اکو از سرور در انتهای دیگر باز می گردد.

و این یک ویژگی است که در پروتکل اینترنت، IP، با استفاده از چیزی به نام ICMP، که پروتکل پیام کنترل اینترنت است، تعبیه شده است.

این یک پروتکل ویژه و سطح پایین است، بسیار پایین‌تر از UDP یا TCP که مردم احتمالاً به آن عادت کرده‌اند، که تقریباً دقیقاً برای این نوع چیزها طراحی شده است: «آیا شما واقعاً در انتهای دیگر زنده‌اید، قبل از اینکه نگران باشم چرا؟ وب سرور شما کار نمی کند؟

نوع خاصی از بسته وجود دارد که می توانید آن را به نام "ICMP Echo" ارسال کنید.

بنابراین، شما این بسته کوچک کوچک را با یک پیام کوتاه در آن ارسال می‌کنید (پیام می‌تواند هر چیزی که دوست دارید باشد)، و به سادگی همان پیام را برای شما ارسال می‌کند.

این فقط یک راه اساسی برای گفتن است، "اگر آن پیام برنگردد، یا شبکه یا کل سرور از کار افتاده است" به جای اینکه مشکل نرم افزاری در رایانه وجود داشته باشد.

در قیاس با SONAR، برنامه ای که این درخواست های اکو را ارسال می کند، نامیده می شود ... [مکث] من می خواهم جلوه صوتی را انجام دهم، داگ ... [صدای فیلم ساختگی زیردریایی] ping. [خنده]

و ایده این است، شما بروید، بگویید، ping -c3 (یعنی سه بار چک کنید) nakedsecurity.sophos.com.

شما می توانید همین الان این کار را انجام دهید و باید سه پاسخ از سرورهای وردپرسی که سایت ما را میزبانی می کنند، هر کدام از آنها به فاصله یک ثانیه دریافت کنید.

و می گوید سایت زنده است.

این به شما نمی گوید که وب سرور فعال است. این به شما نمی گوید که وردپرس فعال است. به این معنی نیست که Naked Security واقعاً برای خواندن در دسترس است.

اما حداقل تأیید می کند که شما می توانید سرور را ببینید و سرور می تواند به شما دسترسی پیدا کند.

و چه کسی فکرش را می‌کرد که آن پاسخ کوچک پینگ می‌تواند FreeBSD را بالا ببرد ping برنامه به گونه‌ای است که یک سرور سرکش می‌تواند پیامی به دام افتاده «بله، من زنده هستم» را ارسال کند که می‌تواند در تئوری (فقط در تئوری؛ فکر نمی‌کنم کسی در عمل این کار را انجام داده باشد) اجرای کد از راه دور را در کامپیوتر شما.

---

دوغ.  بله، این شگفت انگیز است. این بخش شگفت انگیز است.

حتی اگر این یک اثبات مفهوم باشد، این یک چیز کوچک است!

---

اردک.  La ping خود برنامه کل بسته IP را پس می گیرد و قرار است آن را به دو قسمت تقسیم کند.

به طور معمول، هسته این کار را برای شما انجام می دهد، بنابراین شما فقط بخش داده را می بینید.

اما زمانی که شما با آنچه نامیده می شود سر و کار دارید سوکت های خام، چیزی که دریافت می کنید سربرگ پروتکل اینترنت است که فقط می گوید: "هی، این بایت ها از فلان سرور آمده اند."

و سپس چیزی به نام "ICMP Echo Reply" دریافت می کنید که نیمه دوم بسته ای است که برمی گردانید.

اکنون، این بسته‌ها معمولاً فقط 100 بایت یا بیشتر هستند، و اگر IPv4 باشد، 20 بایت اول سرآیند IP و بقیه، هر چه که باشد، پاسخ Echo است.

که چند بایت برای گفتن دارد، "این یک پاسخ اکو است" و سپس پیام اصلی که منتشر شد بازمی گردد.

و بنابراین، کار بدیهی که باید انجام دهید، داگ، وقتی آن را به دست آوردید، این است که آن را به…

... هدر IP که 20 بایت طول دارد و بقیه.

حدس بزنید مشکل از کجاست؟

---

دوغ.  بگو!

---

اردک.  مشکل این است که هدرهای IP *تقریباً همیشه* 20 بایت طول دارند – در واقع، فکر نمی‌کنم تا به حال موردی را ندیده باشم که چنین نبود.

و می توانید بگویید که آنها 20 بایت هستند زیرا اولین بایت هگزادسیمال خواهد بود 0x45.

"4" به معنای IPv4 است و "5" ... "اوه، ما از آن برای بیان طولانی بودن هدر استفاده خواهیم کرد."

شما آن عدد 5 را می گیرید و آن را در 4 ضرب می کنید (برای مقادیر 32 بیتی) و 20 بایت می گیرید.

... و این به اندازه هدرهای IP احتمالاً شش سیگما است که تا به حال در کل جهان خواهید دید، داگ. [خنده]

اما آنها *می توانند* تا 60 بایت بروند.

اگر قرار دهید 0x4F بجای 0x45، که می گوید 0xF (یا 15 در اعشار) × 4 = 60 بایت در هدر وجود دارد.

و کد FreeBSD به سادگی آن هدر را گرفت و در یک بافر روی پشته کپی کرد که اندازه آن 20 بایت بود.

یک سرریز بافر پشته ساده و قدیمی.

این مورد یک ابزار عیب یابی شبکه ارجمند با یک نوع باگ قابل احترام در آن است. (خب، دیگر نه.)

بنابراین، زمانی که در حال برنامه‌نویسی هستید و مجبور هستید با چیزهای سطح پایینی که برای سال‌ها هیچ‌کس واقعاً به آن فکر نکرده‌اید، دست و پنجه نرم کنید، فقط با این حکمت که می‌گوید، «اوه، همیشه ۲۰ بایت خواهد بود» پیش نروید. شما هرگز چیز بزرگتری نخواهید دید.»

چون یه روز ممکنه

و وقتی آن روز فرا می رسد، ممکن است عمداً آنجا باشد زیرا یک کلاهبردار آن را عمدا ساخته است.

پس شیطان، مثل همیشه، در جزئیات برنامه‌ریزی است، داگ.

---

دوغ.  خوب، بسیار جالب است. داستان عالی.

و با این داستان نهایی در مورد کروم به موضوع کد می پردازیم.

یک روز صفر دیگر، که کل سال 2022 را به XNUMX برابر می رساند:

شماره نه! کروم یک روز صفر دیگر 2022 را اصلاح می کند، Edge نیز وصله شده است

---

اردک.  [صدای رسمی، مانند صدای ضبط شده] «شماره 9. شماره 9. شماره 9، شماره 9،» داگلاس.

---

دوغ.  [می خندد] آیا این یوکو اونو است؟

---

اردک.  که انقلاب 9 از «آلبوم سفید» بیتلز.

صدای یوکو در آن آهنگ شنیده می شود - آن منظره صوتی، من معتقدم که آنها آن را صدا می زنند - اما ظاهراً همان بیتی که در ابتدا وجود داشت، جایی که شخصی بارها و بارها می گفت "شماره 9، شماره 9"، در واقع یک نوار آزمایشی بود که آنها پیدا کردند.

---

دوغ.  آه، خیلی باحاله

---

اردک.  یک مهندس EMI چیزی شبیه این می گوید: "این نوار تست EMI شماره 9 است" [خنده]، و ظاهراً حتی فکر نمی کنم کسی بداند صدای آن کی بوده است.

این *هیچ* ربطی به کروم ندارد، داگ.

اما با توجه به اینکه روز گذشته شخصی در فیس بوک نظر داد، "آن پسر پل شروع به شبیه شدن به یک بیتل کرده است" ... [معجب] که من کمی عجیب و غریب یافتم.

---

دوغ.  [می خندد] بله، چگونه باید آن را درک کنید؟

---

اردک.  … فکر کردم می‌توانم در «شماره 9» ناهار بخورم.

به نظر می رسد داگ، نهمین روز صفر سال است.

و این یک رفع یک باگ است، با باگ شناسایی شده به عنوان CVE 2022-4282.

از آنجایی که مایکروسافت اج از هسته منبع باز کرومیوم استفاده می کند، این هسته نیز آسیب پذیر بود و چند روز بعد، مایکروسافت یک به روز رسانی برای اج را پیگیری کرد.

بنابراین این هم یک مشکل کروم و هم یک مشکل Edge است.

اگرچه آن مرورگرها باید خود را به روز کنند، توصیه می کنم به هر حال بررسی کنید - ما به شما نشان می دهیم که چگونه این کار را در مقاله انجام دهید - فقط در مورد.

من شماره‌های نسخه را در اینجا نمی‌خوانم زیرا برای مک، لینوکس و ویندوز در کروم متفاوت هستند و دوباره برای Edge متفاوت هستند.

مانند اپل، گوگل نیز در این مورد کمی سختگیرانه عمل می کند.

من معتقدم که توسط یکی از تیم شکار تهدید آنها پیدا شده است.

بنابراین تصور می‌کنم آن‌ها آن را در حین بررسی حادثه‌ای که در طبیعت رخ داده بود، پیدا کردند، و بنابراین احتمالاً می‌خواهند آن را زیر کلاه خود نگه دارند، حتی اگر گوگل معمولاً در مورد «باز بودن» در مورد رفع اشکال، حرف‌های زیادی برای گفتن دارد.

می‌توانید ببینید که چرا، در موردی مانند این، ممکن است قبل از اینکه به همه بگویید دقیقاً چگونه کار می‌کند، کمی زمان بخواهید تا کمی عمیق‌تر کاوش کنید.

---

دوغ.  بسیار عالی… و ما یک سوال خواننده داریم که احتمالاً سوالی است که بسیاری از مردم به آن فکر می کنند.

کاساندرا می پرسد: «آیا باگ یاب ها در یافتن باگ ها خوش شانس هستند؟ یا آنها یک "درز" پر از اشکال زده اند؟ یا اینکه Chromium کد جدیدی صادر می‌کند که باگ‌تر از حالت عادی است؟ یا چیز دیگری در جریان است؟»

---

اردک.  بله، این یک سوال عالی است، در واقع، و من می ترسم که من فقط می توانستم به آن به روشی کمی جسورانه پاسخ دهم، داگ.

چون کاساندرا گزینه های الف)، ب) و ج را داده بود، گفتم: «خب، شاید اینطور باشد د) تمام موارد فوق."

ما می دانیم که وقتی یک اشکال از یک نوع خاص در کد ظاهر می شود، منطقی است که فرض کنیم همان برنامه نویس ممکن است اشکالات مشابهی را در جای دیگری از نرم افزار ایجاد کرده باشد.

یا برنامه نویسان دیگر در همان شرکت ممکن است از آنچه در آن زمان حکمت دریافت شده یا رویه استاندارد در نظر گرفته می شد استفاده کرده باشند و ممکن است از آن پیروی کرده باشند.

و یک مثال عالی این است، اگر به Log4J نگاهی بیاندازید... راه حلی برای رفع مشکل وجود دارد.

و سپس، هنگامی که آنها به جستجو رفتند، "اوه، در واقع، جاهای دیگری نیز وجود دارد که اشتباهات مشابهی در آنها مرتکب شده است."

بنابراین، اگر به یاد داشته باشم، یک اصلاح برای رفع مشکل وجود داشت، و سپس یک اصلاح برای رفع مشکل وجود داشت.

البته این مسئله نیز وجود دارد که وقتی کد جدید اضافه می‌کنید، ممکن است باگ‌هایی مواجه شوید که مختص آن کد جدید هستند و به دلیل افزودن ویژگی‌ها به وجود می‌آیند.

و به همین دلیل است که بسیاری از مرورگرها، از جمله کروم، یک نسخه «کمی قدیمی‌تر» دارند که می‌توانید از آن استفاده کنید.

و ایده این است که آن نسخه‌های «قدیمی‌تر»... هیچ‌یک از ویژگی‌های جدید را ندارند، اما تمام اصلاحات امنیتی مربوطه را ندارند.

بنابراین، اگر می خواهید در مورد ویژگی های جدید محافظه کار باشید، می توانید.

اما مطمئناً می‌دانیم که گاهی اوقات، وقتی ویژگی‌های جدید را در یک محصول اضافه می‌کنید، باگ‌های جدید با ویژگی‌های جدید همراه می‌شوند.

و می‌توانید بگویید که مثلاً وقتی یک به‌روزرسانی وجود دارد، مثلاً برای iPhone شما، و مثلاً برای iOS 15 و iOS 16 به‌روزرسانی دریافت می‌کنید.

سپس، وقتی به لیست باگ ها نگاه می کنید، باگ های کمی وجود دارد که فقط برای iOS 16 اعمال می شود.

و شما فکر می کنید، "سلام، اینها باید اشکالاتی در کد باشند که قبلا وجود نداشت."

بنابراین، بله، این یک احتمال است.

و من فکر می کنم چیزهای دیگری که در حال انجام است را می توان خوب در نظر گرفت.

اولین مورد این است که من فکر می‌کنم، به‌ویژه برای مواردی مانند مرورگرها، سازندگان مرورگرها در انجام بازسازی‌های کامل واقعاً خیلی سریع بهتر می‌شوند.

---

دوغ.  جالب هست.

---

اردک.  و من فکر می‌کنم چیز دیگری که تغییر کرده این است که در گذشته، شما می‌توانستید استدلال کنید که برای بسیاری از فروشندگان... خیلی سخت بود که مردم را وادار به اعمال وصله‌ها کنند، حتی زمانی که فقط طبق برنامه ماهانه منتشر می‌شدند، و حتی اگر آنها چندین تعمیر روز صفر در آنها داشتند.

من فکر می‌کنم، شاید این نیز پاسخی به این واقعیت است که بیشتر و بیشتر از ما نه تنها به‌روزرسانی خودکار را می‌پذیریم، بلکه در واقع *انتظار* به‌روزرسانی خودکار را داریم که واقعاً سریع است.

بنابراین، من فکر می کنم می توانید مطالب خوبی را در این مورد بخوانید.

این واقعیت نه تنها این است که گوگل می‌تواند تقریباً فوراً یک تعمیر روز صفر را انجام دهد، بلکه مردم نیز مایلند آن را بپذیرند و حتی آن را مطالبه کنند.

بنابراین من دوست دارم این موضوع را ببینم، "وای، نه روز صفر در سال به صورت جداگانه حل شد!"…

... من دوست دارم به این فکر کنم که "نیمه لیوان پر و پر می شود" تا "نیمه خالی لیوان و از سوراخ کوچکی در پایین تخلیه می شود". [خنده]

این نظر من است.

---

دوغ.  باشه خیلی خوبه

از سوال شما متشکرم، کاساندرا.

اگر داستان، نظر یا سوال جالبی دارید که می‌خواهید ارسال کنید، مایلیم آن را در پادکست بخوانید.

می‌توانید به tips@sophos.com ایمیل بزنید، می‌توانید در مورد هر یک از مقاله‌های ما نظر دهید، یا می‌توانید در شبکه‌های اجتماعی با ما تماس بگیرید: @NakedSecurity.

این نمایش امروز ماست. خیلی ممنون که گوش دادید

برای پل داکلین، من داگ آموت هستم، به شما یادآوری می کنم: تا دفعه بعد…

---

هر دو.  ایمن بمان

[مودم موزیکال]