نقض داده ها - نیش در دم
برای پرش به هر نقطه، روی امواج صوتی زیر کلیک کنید و بکشید. شما همچنین می توانید مستقیم گوش کن در Soundcloud
با داگ آموت و پل داکلین. موسیقی مقدماتی و بیرونی توسط ادیت ماج.
شما می توانید به ما گوش دهید Soundcloud, پادکست های اپل, پادکست های Google, Spotify, Stitcher به و هر جایی که پادکست های خوب پیدا می شود. یا فقط رها کنید URL فید RSS ما به پادکچر مورد علاقه شما
رونوشت را بخوانید
دوغ. تعویض سیمکارت، روزهای صفر، صدای [صدای دراماتیک] Ping of Death، و LastPass... دوباره.
همه اینها و بیشتر در پادکست Naked Security.
[مودم موزیکال]
همه به پادکست خوش آمدید.
من داگ آموت هستم.
مثل همیشه پل داکلین با من است.
پل، شما چطور؟
اردک. خیلی خوب، داگ
شما صدای درام بالایی را در آن مقدمه قرار دادید، من از دیدن آن خوشحالم!
دوغ. خوب، چگونه میتوانید «پینگ مرگ» را بدون گفتن [غرغر متال عذاب] «پینگ مرگ» بگویید؟
شما نمی توانید فقط [صدای ملایم] "Ping of Death" را بگویید.
باید کمی بهش مشت بزنی…
اردک. من هم همینطور فکر میکنم.
در نوشتن متفاوت است - چه چیزی دارید؟
پررنگ و مورب.
من فقط با متن معمولی رفتم، اما از حروف بزرگ استفاده کردم که کمک می کند.
دوغ. بله، فکر میکنم کلمه «مرگ» را پررنگ و مورب بنویسم، بنابراین [دوام متال دوباره] «پینگ مرگ».
اردک. و از چندین رنگ استفاده کنید!
دفعه بعد این کار را خواهم کرد، داگ.
دوغ. قدیمی را بشکن برچسب در HTML، آن را کمی چشمک بزند؟ [می خندد]
اردک. داگ، یک لحظه نگران شدم که از کلمه استفاده کنی [می خندد] .
دوغ. [می خندد] ما عاشق چیزهای قدیمی اینجا هستیم!
و این به خوبی با ما هماهنگ است این هفته در تاریخ فناوری بخش - من در مورد این یکی هیجان زده هستم زیرا در مورد آن نشنیده بودم، اما به طور تصادفی با آن روبرو شدم.
این هفته، در 04 دسامبر 2001، کرم Goner با سرعتی بعد از ویروس Love Bug، اینترنت را غارت کرد.
Goner از طریق Microsoft Outlook منتشر شد و به قربانیان ناآگاه قول یک محافظ صفحه نمایش سرگرم کننده را هنگام اجرا داد.
اردک. گنر…
فکر میکنم این نام را به این دلیل گرفت که در انتهای آن یک پنجره بازشو وجود داشت، اینطور نبود که پنتاگون را ذکر میکرد؟
اما قرار بود یک جناس باشد - "پنتا/رفته" بود.
این قطعاً همان کرمی بود که به مردم یادآوری کرد که در واقع محافظ صفحه نمایش ویندوز فقط برنامه های اجرایی هستند.
بنابراین، اگر شما به طور خاص به دنبال .EXE
فایلها، خوب، میتوان آنها را در آن جمع کرد .SCR
(محافظ صفحه نمایش) فایل ها نیز.
اگر فقط به نام فایل ها تکیه می کردید، به راحتی می توانستید فریب بخورید.
و بسیاری از مردم متأسفانه بودند.
دوغ. خوب، ما از مدرسه قدیم به مدرسه جدید می رویم.
ما در مورد LastPass صحبت می کنیم: یک نقض وجود دارد. خود نقض وحشتناک نبود. اما این نقض اکنون منجر به نقض دیگری شده است.
یا شاید این فقط ادامه نقض اصلی است؟
LastPass به نقض اطلاعات مشتری ناشی از نقض قبلی اعتراف می کند
اردک. بله، LastPass اساساً در ادامه نقض قبلی، که فکر می کنم آگوست 2022 بود، در مورد آن نوشته است، اینطور نیست؟
و همانطور که در آن زمان گفتیم، ظاهر بسیار شرم آور برای LastPass بود.
اما هرچه نقضها پیش میروند، احتمالاً برای بخشهای روابط عمومی، بازاریابی و (من حدس میزنم) برای بخشهای مالکیت معنویشان بدتر بود، زیرا به نظر میرسد اصلیترین چیزی که کلاهبرداران با آن حذف کردند کد منبع سیستم توسعه آنها بود.
و LastPass به سرعت به مردم اطمینان داد…
اولاً، بررسیهای آنها نشان داد که در زمانی که در آنجا بودند، کلاهبرداران قادر به ایجاد هیچ تغییر غیرمجازی نبودند که ممکن است بعداً به کد واقعی نفوذ کند.
ثانیاً، دسترسی به سیستم توسعه به شما امکان دسترسی به سیستم تولید را نمی دهد، جایی که کد واقعی ساخته شده است.
و ثالثاً، آنها میتوانستند بگویند به نظر میرسد هیچ مخزن رمزگذاری رمزگذاریشدهای دزدیده نشده است، بنابراین به ذخیرهسازی ابری گذرواژههای رمزگذاریشده شما دسترسی پیدا نمیکند.
و حتی اگر به آن دسترسی پیدا میشد، تنها شما رمز عبور را میدانید، زیرا رمزگشایی (آنچه که وقتی در پادکست در مورد آن صحبت کردیم «بالا بردن سنگین» نامیدید) در واقع در حافظه دستگاههای شما انجام میشود – LastPass هرگز شما را نمیبیند. کلمه عبور.
و سپس، چهارم، آنها گفتند، تا آنجا که ما می توانیم بگوییم، در نتیجه آن نقض، برخی از مواردی که در محیط توسعه وجود داشت، اکنون یا همان را به ارمغان آورده است ... یا احتمالاً یک بار کلاهبردار کاملاً متفاوتی که آن را خریداری کرده اند. چه کسی می داند داده های سرقت شده از لات قبلی؟
این به آنها اجازه داد تا وارد برخی از سرویس های ابری شوند که در آن برخی از داده های مشتری که هنوز ناشناخته بودند به سرقت رفته بود.
فکر نمیکنم آنها هنوز کاملاً بدانند، زیرا ممکن است مدتی طول بکشد تا مشخص شود که واقعاً چه چیزی پس از وقوع یک رخنه دسترسی پیدا کرده است.
بنابراین من فکر میکنم منصفانه است که بگوییم این به نوعی طرف B نقض اصلی است.
دوغ. بسیار خوب، پیشنهاد می کنیم اگر مشتری LastPass هستید، گزارش رویداد امنیتی شرکت را زیر نظر داشته باشید.
ما همچنان به این داستان نگاه خواهیم کرد زیرا هنوز در حال توسعه است.
و اگر شما، مانند من و پل، برای امرار معاش با جرایم سایبری مبارزه می کنیم، درس های بسیار خوبی از نقض Uber وجود دارد.
پس این یک قسمت پادکست است – یک «مینیزود» – با چستر ویسنیفسکی که پل در پایین مقاله LastPass قرار داده است:
چیزهای زیادی برای یادگیری در آن جبهه!
اردک. همانطور که شما می گویید، این گوش دادن عالی است، زیرا به اعتقاد من، این چیزی است که در آمریکا به عنوان "توصیه عملی" یا "اخباری که می توانید استفاده کنید" شناخته می شود.
دوغ. [می خندد] فوق العاده است.
در مورد اخباری که واقعاً نمیتوانید استفاده کنید، اپل به طور کلی در مورد بهروزرسانیهای امنیتی خود صحبت میکند... و یک بهروزرسانی امنیتی وجود داشت:
اپل بهروزرسانی امنیتی iOS را منتشر میکند که از همیشه سختتر است
اردک. اوه، داگ، این یکی از بهترین های توست... من آن سگو را دوست دارم.
دوغ. [می خندد] متشکرم. بسیار از شما متشکرم.
اردک. بله، این من را شگفت زده کرد.
فکر کردم، "خب، من به روز رسانی را دریافت می کنم زیرا به نظر جدی می رسد."
و دلیلش را به خودم گفتم: "اجازه دهید این کار را برای خوانندگان امنیت برهنه انجام دهم."
زیرا اگر این کار را انجام دهم و هیچ عارضه ای نداشته باشم، حداقل می توانم به افراد دیگر بگویم: «ببین، من فقط کورکورانه این کار را کردم و هیچ آسیبی به من نرسید. پس شاید شما هم بتوانید این کار را انجام دهید.»
من ناگهان متوجه شدم که یک به روز رسانی iOS 16.1.2 در دسترس است، اگرچه هیچ ایمیل مشاوره امنیتی از طرف اپل نداشتم.
ایمیل نداره؟!
این عجیب است.. بنابراین من به HT201222 صفحه پورتالی که اپل برای بولتن های امنیتی خود دارد و آنجا بود: iOS 16.1.2.
و چه می گوید، داگ، "جزئیات به زودی ارائه می شود"؟
دوغ. و آیا به زودی پیگیری کردند؟
اردک. خوب، این بیش از یک هفته پیش بود، و آنها هنوز آنجا نیستند.
پس آیا ما از "به زودی" یعنی ساعت ها، روزها، هفته ها یا ماه ها صحبت می کنیم؟
در حال حاضر، به نظر هفته ها می رسد.
و مانند همیشه در مورد اپل، هیچ نشانه ای از هیچ ارتباطی با هیچ سیستم عامل دیگری وجود ندارد.
آیا آنها فراموش شده اند؟
آیا آنها به آپدیت نیاز ندارند؟
آیا آنها نیز به آپدیت نیاز داشتند، اما هنوز آماده نشده است؟
آیا آنها از حمایت خارج شده اند؟
اما همانطور که در تیتر گفتم، به نظر می رسید که برای اپل سخت تر از حد معمول باشد، و لزوما مفیدترین چیز در جهان نیست.
دوغ. خوب، خیلی خوب... هنوز چند سوال، که ما را به داستان بعدی هدایت می کند.
یک سوال بسیار جالب!
گاهی اوقات، وقتی برای یک سرویس ثبت نام می کنید و احراز هویت دو مرحله ای را اجرا می کند، می گوید: "آیا می خواهید از طریق پیام متنی مطلع شوید یا می خواهید از یک برنامه احراز هویت استفاده کنید؟"
و این داستان هشداری است برای عدم استفاده از تلفن خود - از یک برنامه احراز هویت استفاده کنید، حتی اگر کمی دست و پا گیرتر باشد.
این یک داستان بسیار جالب است:
مبادله کننده سیم کارت به دلیل سرقت 2FA ارز دیجیتال بیش از 20 میلیون دلار به زندان فرستاده شد
اردک. این است، داگ!
اگر تا به حال تلفن همراه خود را گم کرده باشید یا با قرار دادن چند بار اشتباه پین سیم کارت خود را قفل کرده باشید، می دانید که می توانید به فروشگاه تلفن همراه مراجعه کنید…
... و معمولاً آنها شناسنامه یا چیزی می خواهند و شما می گویید: "هی، من به یک سیم کارت جدید نیاز دارم."
و آنها یکی برای شما تولید خواهند کرد.
وقتی آن را در تلفن خود قرار می دهید، یکنوع بازی شبیه لوتو!… شماره قدیمی شما روی آن است.
بنابراین معنی آن این است که اگر یک کلاهبردار بتواند همان تمرینی را انجام دهد که شما باید شرکت تلفن همراه را متقاعد کنید که سیم کارت خود (یعنی *سیم کارت شما*) را "گم کرده" یا "شکسته" کرده است، و آنها می توانند دریافت کنند. آن کارت یا به آنها داده می شود یا به آنها ارسال می شود یا به نوعی به آنها داده می شود ...
... سپس، وقتی آن را به تلفن خود وصل می کنند، شروع به دریافت کدهای احراز هویت دو مرحله ای SMS شما می کنند، *و* تلفن شما از کار می افتد.
این خبر بد است.
خبر خوب در این مقاله این است که این یک مورد از پسری بود که به خاطر آن متلاشی شد.
او 18 ماه است که در آمریکا به زندان افتاده است.
او، با یک دسته از همدستان - یا به قول وزارت دادگستری شرکت کنندگان طرح… [می خندد]
... آنها با ارز رمزنگاری شده یک قربانی خاص، ظاهراً به مبلغ 20 میلیون دلار، اگر مشکلی ندارید، کار را انجام دادند.
دوغ. اوف!
اردک. بنابراین او موافقت کرد که گناهکار خود را اعتراف کند، یک حکم زندان بگیرد و فوراً آن را از دست بدهد... مبلغ 983,010.72 دلار [با دقت بخوانید] بود... فقط برای اینکه فوراً آن را از دست بدهد.
بنابراین، احتمالاً او آن را در اطراف داشت.
و ظاهراً او نیز نوعی تعهد قانونی برای بازپرداخت بیش از 20 میلیون دلار دارد.
دوغ. موفق باشید با آن، همه! موفق باشید.
دیگر او [موج آوازی] شرکت کنندگان طرح ممکن است برخی از مشکلات وجود دارد! [می خندد]
اردک. بله، نمی دانم اگر آنها هم از همکاری امتناع کنند چه اتفاقی می افتد.
مثلاً اگر فقط او را آویزان کنند تا خشک شود، چه اتفاقی میافتد؟
اما ما در این مقاله نکاتی و توصیه هایی در مورد چگونگی افزایش امنیت (به روش هایی بیشتر از 2FA که استفاده می کنید) داریم.
پس بروید و بخوانید که ... هر ذره کمک می کند.
دوغ. خوب، صحبت از "کوچک" است…
... این یک داستان جذاب دیگر بود، چقدر حقیر ping
می توان برای راه اندازی اجرای کد از راه دور استفاده کرد:
پینگ مرگ! FreeBSD باگ crashtastic در ابزار شبکه را رفع می کند
اردک. [دوباره از سِگ خوشم آمد] فکر می کنم خودت را بهتر کردی، داگ!
دوغ. [می خندد] من امروز در حال بازی هستم…
اردک. از اپل گرفته تا [تلاش ضعیف برای آوازهای doom] Ping of Death!
بله، این یک اشکال جالب بود.
فکر نمیکنم واقعاً آسیب زیادی به بسیاری از افراد وارد کند، و *پچ شده است، بنابراین تعمیر آن آسان است.
اما یک نوشتن عالی در FreeBSD وجود دارد مشاوره امنیتی...
... و این یک داستان سرگرم کننده است، و اگر خودم بگویم، یک داستان بسیار آموزنده برای نسل فعلی برنامه نویسانی است که ممکن است به آن اعتماد کرده باشند، "کتابخانه های شخص ثالث این کار را فقط برای من انجام خواهند داد. با بسته های شبکه سطح پایین سروکار دارید؟ من هرگز نباید به آن فکر کنم…”
در اینجا می توان درس های بزرگی آموخت.
La ping
ابزار، که تنها ابزار شبکه ای است که تقریباً همه در مورد آن می دانند، نام خود را از SONAR گرفته است.
تو برو [فیلم صدای زیردریایی میسازد] ping
، و سپس اکو از سرور در انتهای دیگر باز می گردد.
و این یک ویژگی است که در پروتکل اینترنت، IP، با استفاده از چیزی به نام ICMP، که پروتکل پیام کنترل اینترنت است، تعبیه شده است.
این یک پروتکل ویژه و سطح پایین است، بسیار پایینتر از UDP یا TCP که مردم احتمالاً به آن عادت کردهاند، که تقریباً دقیقاً برای این نوع چیزها طراحی شده است: «آیا شما واقعاً در انتهای دیگر زندهاید، قبل از اینکه نگران باشم چرا؟ وب سرور شما کار نمی کند؟
نوع خاصی از بسته وجود دارد که می توانید آن را به نام "ICMP Echo" ارسال کنید.
بنابراین، شما این بسته کوچک کوچک را با یک پیام کوتاه در آن ارسال میکنید (پیام میتواند هر چیزی که دوست دارید باشد)، و به سادگی همان پیام را برای شما ارسال میکند.
این فقط یک راه اساسی برای گفتن است، "اگر آن پیام برنگردد، یا شبکه یا کل سرور از کار افتاده است" به جای اینکه مشکل نرم افزاری در رایانه وجود داشته باشد.
در قیاس با SONAR، برنامه ای که این درخواست های اکو را ارسال می کند، نامیده می شود ... [مکث] من می خواهم جلوه صوتی را انجام دهم، داگ ... [صدای فیلم ساختگی زیردریایی] ping
. [خنده]
و ایده این است، شما بروید، بگویید، ping -c3
(یعنی سه بار چک کنید) nakedsecurity.sophos.com
.
شما می توانید همین الان این کار را انجام دهید و باید سه پاسخ از سرورهای وردپرسی که سایت ما را میزبانی می کنند، هر کدام از آنها به فاصله یک ثانیه دریافت کنید.
و می گوید سایت زنده است.
این به شما نمی گوید که وب سرور فعال است. این به شما نمی گوید که وردپرس فعال است. به این معنی نیست که Naked Security واقعاً برای خواندن در دسترس است.
اما حداقل تأیید می کند که شما می توانید سرور را ببینید و سرور می تواند به شما دسترسی پیدا کند.
و چه کسی فکرش را میکرد که آن پاسخ کوچک پینگ میتواند FreeBSD را بالا ببرد ping
برنامه به گونهای است که یک سرور سرکش میتواند پیامی به دام افتاده «بله، من زنده هستم» را ارسال کند که میتواند در تئوری (فقط در تئوری؛ فکر نمیکنم کسی در عمل این کار را انجام داده باشد) اجرای کد از راه دور را در کامپیوتر شما.
دوغ. بله، این شگفت انگیز است. این بخش شگفت انگیز است.
حتی اگر این یک اثبات مفهوم باشد، این یک چیز کوچک است!
اردک. La ping
خود برنامه کل بسته IP را پس می گیرد و قرار است آن را به دو قسمت تقسیم کند.
به طور معمول، هسته این کار را برای شما انجام می دهد، بنابراین شما فقط بخش داده را می بینید.
اما زمانی که شما با آنچه نامیده می شود سر و کار دارید سوکت های خام، چیزی که دریافت می کنید سربرگ پروتکل اینترنت است که فقط می گوید: "هی، این بایت ها از فلان سرور آمده اند."
و سپس چیزی به نام "ICMP Echo Reply" دریافت می کنید که نیمه دوم بسته ای است که برمی گردانید.
اکنون، این بستهها معمولاً فقط 100 بایت یا بیشتر هستند، و اگر IPv4 باشد، 20 بایت اول سرآیند IP و بقیه، هر چه که باشد، پاسخ Echo است.
که چند بایت برای گفتن دارد، "این یک پاسخ اکو است" و سپس پیام اصلی که منتشر شد بازمی گردد.
و بنابراین، کار بدیهی که باید انجام دهید، داگ، وقتی آن را به دست آوردید، این است که آن را به…
... هدر IP که 20 بایت طول دارد و بقیه.
حدس بزنید مشکل از کجاست؟
دوغ. بگو!
اردک. مشکل این است که هدرهای IP *تقریباً همیشه* 20 بایت طول دارند – در واقع، فکر نمیکنم تا به حال موردی را ندیده باشم که چنین نبود.
و می توانید بگویید که آنها 20 بایت هستند زیرا اولین بایت هگزادسیمال خواهد بود 0x45
.
"4" به معنای IPv4 است و "5" ... "اوه، ما از آن برای بیان طولانی بودن هدر استفاده خواهیم کرد."
شما آن عدد 5 را می گیرید و آن را در 4 ضرب می کنید (برای مقادیر 32 بیتی) و 20 بایت می گیرید.
... و این به اندازه هدرهای IP احتمالاً شش سیگما است که تا به حال در کل جهان خواهید دید، داگ. [خنده]
اما آنها *می توانند* تا 60 بایت بروند.
اگر قرار دهید 0x4F
بجای 0x45
، که می گوید 0xF (یا 15 در اعشار) × 4 = 60 بایت در هدر وجود دارد.
و کد FreeBSD به سادگی آن هدر را گرفت و در یک بافر روی پشته کپی کرد که اندازه آن 20 بایت بود.
یک سرریز بافر پشته ساده و قدیمی.
این مورد یک ابزار عیب یابی شبکه ارجمند با یک نوع باگ قابل احترام در آن است. (خب، دیگر نه.)
بنابراین، زمانی که در حال برنامهنویسی هستید و مجبور هستید با چیزهای سطح پایینی که برای سالها هیچکس واقعاً به آن فکر نکردهاید، دست و پنجه نرم کنید، فقط با این حکمت که میگوید، «اوه، همیشه ۲۰ بایت خواهد بود» پیش نروید. شما هرگز چیز بزرگتری نخواهید دید.»
چون یه روز ممکنه
و وقتی آن روز فرا می رسد، ممکن است عمداً آنجا باشد زیرا یک کلاهبردار آن را عمدا ساخته است.
پس شیطان، مثل همیشه، در جزئیات برنامهریزی است، داگ.
دوغ. خوب، بسیار جالب است. داستان عالی.
و با این داستان نهایی در مورد کروم به موضوع کد می پردازیم.
یک روز صفر دیگر، که کل سال 2022 را به XNUMX برابر می رساند:
شماره نه! کروم یک روز صفر دیگر 2022 را اصلاح می کند، Edge نیز وصله شده است
اردک. [صدای رسمی، مانند صدای ضبط شده] «شماره 9. شماره 9. شماره 9، شماره 9،» داگلاس.
دوغ. [می خندد] آیا این یوکو اونو است؟
اردک. که انقلاب 9 از «آلبوم سفید» بیتلز.
صدای یوکو در آن آهنگ شنیده می شود - آن منظره صوتی، من معتقدم که آنها آن را صدا می زنند - اما ظاهراً همان بیتی که در ابتدا وجود داشت، جایی که شخصی بارها و بارها می گفت "شماره 9، شماره 9"، در واقع یک نوار آزمایشی بود که آنها پیدا کردند.
دوغ. آه، خیلی باحاله
اردک. یک مهندس EMI چیزی شبیه این می گوید: "این نوار تست EMI شماره 9 است" [خنده]، و ظاهراً حتی فکر نمی کنم کسی بداند صدای آن کی بوده است.
این *هیچ* ربطی به کروم ندارد، داگ.
اما با توجه به اینکه روز گذشته شخصی در فیس بوک نظر داد، "آن پسر پل شروع به شبیه شدن به یک بیتل کرده است" ... [معجب] که من کمی عجیب و غریب یافتم.
دوغ. [می خندد] بله، چگونه باید آن را درک کنید؟
اردک. … فکر کردم میتوانم در «شماره 9» ناهار بخورم.
به نظر می رسد داگ، نهمین روز صفر سال است.
و این یک رفع یک باگ است، با باگ شناسایی شده به عنوان CVE 2022-4282.
از آنجایی که مایکروسافت اج از هسته منبع باز کرومیوم استفاده می کند، این هسته نیز آسیب پذیر بود و چند روز بعد، مایکروسافت یک به روز رسانی برای اج را پیگیری کرد.
بنابراین این هم یک مشکل کروم و هم یک مشکل Edge است.
اگرچه آن مرورگرها باید خود را به روز کنند، توصیه می کنم به هر حال بررسی کنید - ما به شما نشان می دهیم که چگونه این کار را در مقاله انجام دهید - فقط در مورد.
من شمارههای نسخه را در اینجا نمیخوانم زیرا برای مک، لینوکس و ویندوز در کروم متفاوت هستند و دوباره برای Edge متفاوت هستند.
مانند اپل، گوگل نیز در این مورد کمی سختگیرانه عمل می کند.
من معتقدم که توسط یکی از تیم شکار تهدید آنها پیدا شده است.
بنابراین تصور میکنم آنها آن را در حین بررسی حادثهای که در طبیعت رخ داده بود، پیدا کردند، و بنابراین احتمالاً میخواهند آن را زیر کلاه خود نگه دارند، حتی اگر گوگل معمولاً در مورد «باز بودن» در مورد رفع اشکال، حرفهای زیادی برای گفتن دارد.
میتوانید ببینید که چرا، در موردی مانند این، ممکن است قبل از اینکه به همه بگویید دقیقاً چگونه کار میکند، کمی زمان بخواهید تا کمی عمیقتر کاوش کنید.
دوغ. بسیار عالی… و ما یک سوال خواننده داریم که احتمالاً سوالی است که بسیاری از مردم به آن فکر می کنند.
کاساندرا می پرسد: «آیا باگ یاب ها در یافتن باگ ها خوش شانس هستند؟ یا آنها یک "درز" پر از اشکال زده اند؟ یا اینکه Chromium کد جدیدی صادر میکند که باگتر از حالت عادی است؟ یا چیز دیگری در جریان است؟»
اردک. بله، این یک سوال عالی است، در واقع، و من می ترسم که من فقط می توانستم به آن به روشی کمی جسورانه پاسخ دهم، داگ.
چون کاساندرا گزینه های الف)، ب) و ج را داده بود، گفتم: «خب، شاید اینطور باشد د) تمام موارد فوق."
ما می دانیم که وقتی یک اشکال از یک نوع خاص در کد ظاهر می شود، منطقی است که فرض کنیم همان برنامه نویس ممکن است اشکالات مشابهی را در جای دیگری از نرم افزار ایجاد کرده باشد.
یا برنامه نویسان دیگر در همان شرکت ممکن است از آنچه در آن زمان حکمت دریافت شده یا رویه استاندارد در نظر گرفته می شد استفاده کرده باشند و ممکن است از آن پیروی کرده باشند.
و یک مثال عالی این است، اگر به Log4J نگاهی بیاندازید... راه حلی برای رفع مشکل وجود دارد.
و سپس، هنگامی که آنها به جستجو رفتند، "اوه، در واقع، جاهای دیگری نیز وجود دارد که اشتباهات مشابهی در آنها مرتکب شده است."
بنابراین، اگر به یاد داشته باشم، یک اصلاح برای رفع مشکل وجود داشت، و سپس یک اصلاح برای رفع مشکل وجود داشت.
البته این مسئله نیز وجود دارد که وقتی کد جدید اضافه میکنید، ممکن است باگهایی مواجه شوید که مختص آن کد جدید هستند و به دلیل افزودن ویژگیها به وجود میآیند.
و به همین دلیل است که بسیاری از مرورگرها، از جمله کروم، یک نسخه «کمی قدیمیتر» دارند که میتوانید از آن استفاده کنید.
و ایده این است که آن نسخههای «قدیمیتر»... هیچیک از ویژگیهای جدید را ندارند، اما تمام اصلاحات امنیتی مربوطه را ندارند.
بنابراین، اگر می خواهید در مورد ویژگی های جدید محافظه کار باشید، می توانید.
اما مطمئناً میدانیم که گاهی اوقات، وقتی ویژگیهای جدید را در یک محصول اضافه میکنید، باگهای جدید با ویژگیهای جدید همراه میشوند.
و میتوانید بگویید که مثلاً وقتی یک بهروزرسانی وجود دارد، مثلاً برای iPhone شما، و مثلاً برای iOS 15 و iOS 16 بهروزرسانی دریافت میکنید.
سپس، وقتی به لیست باگ ها نگاه می کنید، باگ های کمی وجود دارد که فقط برای iOS 16 اعمال می شود.
و شما فکر می کنید، "سلام، اینها باید اشکالاتی در کد باشند که قبلا وجود نداشت."
بنابراین، بله، این یک احتمال است.
و من فکر می کنم چیزهای دیگری که در حال انجام است را می توان خوب در نظر گرفت.
اولین مورد این است که من فکر میکنم، بهویژه برای مواردی مانند مرورگرها، سازندگان مرورگرها در انجام بازسازیهای کامل واقعاً خیلی سریع بهتر میشوند.
دوغ. جالب هست.
اردک. و من فکر میکنم چیز دیگری که تغییر کرده این است که در گذشته، شما میتوانستید استدلال کنید که برای بسیاری از فروشندگان... خیلی سخت بود که مردم را وادار به اعمال وصلهها کنند، حتی زمانی که فقط طبق برنامه ماهانه منتشر میشدند، و حتی اگر آنها چندین تعمیر روز صفر در آنها داشتند.
من فکر میکنم، شاید این نیز پاسخی به این واقعیت است که بیشتر و بیشتر از ما نه تنها بهروزرسانی خودکار را میپذیریم، بلکه در واقع *انتظار* بهروزرسانی خودکار را داریم که واقعاً سریع است.
بنابراین، من فکر می کنم می توانید مطالب خوبی را در این مورد بخوانید.
این واقعیت نه تنها این است که گوگل میتواند تقریباً فوراً یک تعمیر روز صفر را انجام دهد، بلکه مردم نیز مایلند آن را بپذیرند و حتی آن را مطالبه کنند.
بنابراین من دوست دارم این موضوع را ببینم، "وای، نه روز صفر در سال به صورت جداگانه حل شد!"…
... من دوست دارم به این فکر کنم که "نیمه لیوان پر و پر می شود" تا "نیمه خالی لیوان و از سوراخ کوچکی در پایین تخلیه می شود". [خنده]
این نظر من است.
دوغ. باشه خیلی خوبه
از سوال شما متشکرم، کاساندرا.
اگر داستان، نظر یا سوال جالبی دارید که میخواهید ارسال کنید، مایلیم آن را در پادکست بخوانید.
میتوانید به tips@sophos.com ایمیل بزنید، میتوانید در مورد هر یک از مقالههای ما نظر دهید، یا میتوانید در شبکههای اجتماعی با ما تماس بگیرید: @NakedSecurity.
این نمایش امروز ماست. خیلی ممنون که گوش دادید
برای پل داکلین، من داگ آموت هستم، به شما یادآوری می کنم: تا دفعه بعد…
هر دو. ایمن بمان
[مودم موزیکال]
- اپل
- بلاکچین
- کروم
- coingenius
- کیف پول cryptocurrency
- رمزنگاری
- امنیت سایبری
- جرایم اینترنتی
- مجرمان سایبری
- امنیت سایبری
- اداره امنیت میهن
- کیف پول دیجیتال
- لبه
- بهره برداری
- فایروال
- گوگل
- هک
- IOS
- کسپرسکی
- قانون و نظم
- نرم افزارهای مخرب
- مکافی
- مایکروسافت
- امنیت برهنه
- پادکست امنیتی برهنه
- NexBLOC
- افلاطون
- افلاطون آی
- هوش داده افلاطون
- بازی افلاطون
- PlatoData
- بازی پلاتو
- پادکست
- خلوت
- VPN
- آسیب پذیری
- امنیت وب سایت
- زفیرنت