S3 Ep108: Piiloititko KOLME MILJARDIA dollaria popcorn-purkkiin?

Napsauta ja vedä alla olevia ääniaaltoja hypätäksesi mihin tahansa kohtaan. Voit myös kuuntele suoraan Soundcloudissa.

DOUG.  Twitter-huijaukset, Patch Tuesday ja rikolliset hakkeroivat rikollisia.

Kaikki tämä ja paljon muuta Naked Security -podcastissa.

[MUSIIKKIMODEEMI]

Tervetuloa podcastiin kaikki.

Olen Doug.

Hän on Paul Ducklin.

Paul, miten voit tänään?

---

ANKKA.  Hyvin, Doug.

Meillä ei ollut kuunpimennystä täällä Englannissa, mutta sain lyhyen välähdyksen *täysikuuhun pilvissä olevan pienen aukon kautta, joka ilmestyi ainoana reikänä koko pilvikerroksessa sillä hetkellä, kun menin ulos Katso!

Mutta meillä ei ollut sitä oranssia kuuta, kuten teillä Massachusettsissa.

---

DOUG.  Aloitetaan esitys Tämä viikko tekniikan historiassa…tämä menee kauas taaksepäin.

Tällä viikolla, 08. marraskuuta 1895, saksalainen fysiikan professori Wilhelm Röntgen törmäsi vielä tuntemattomaan säteilyn muotoon, joka sai hänet kutsumaan mainittua säteilyä yksinkertaisesti nimellä "X".

Kuten röntgenissä.

Entä se… vahingossa löydetty röntgensäteet?

---

ANKKA.  Aivan ihmeellistä.

Muistan äitini kertoneen minulle: 1950-luvulla (on täytynyt olla sama Yhdysvalloissa), ilmeisesti kenkäkaupoissa…

---

DOUG.  [TIEDÄ MITÄ TULOSSA] Kyllä! [NAurua]

---

ANKKA.  Ihmiset ottaisivat lapsensa sisään… sinä seisot tässä koneessa, laittaisit kengät jalkaan ja sen sijaan, että sanoisit: "Kävele ympäriinsä, ovatko ne kireät? Nipistyvätkö ne?", seisoitte röntgenlaitteessa, joka periaatteessa kylpesi sinut röntgensäteilyssä ja otti live-kuvan ja sanoi: "Ai niin, ne ovat oikean kokoisia."

---

DOUG.  Kyllä, yksinkertaisempia aikoja. Hieman vaarallinen, mutta…

---

ANKKA.  HIEMAN VAARALLISTA?

Voitko kuvitella ihmisiä, jotka työskentelivät kenkäkaupoissa?

He ovat varmaan kylpeneet röntgensäteissä koko ajan.

---

DOUG.  Ehdottomasti… no, olemme hieman turvallisempia tänään.

Ja mitä tulee turvallisuuteen, kuukauden ensimmäinen tiistai on Microsoftin korjaustiistai.

So mitä opimme tämä korjaustiistai täällä marraskuussa 2022?

Vaihto 0 päivää kiinteä (vihdoinkin) - plus 4 upouutta Patch Tiistai 0 päivää!

---

ANKKA.  No, erittäin jännittävä asia, Doug, on, että teknisesti Patch Tuesday ei korjannut yhtä, ei kahta, ei kolmea… vaan *neljä* nollapäivää.

Mutta itse asiassa Microsoft-tuotteisiin tiistaina saatavat korjaustiedostot korjasivat *kuusi* nollapäivää.

Muista ne Exchangen nollapäivät, joita ei tunnetusti korjattu viime päivitystiistaina: CVE-2002-41040 ja CVE-2022-41082, jotka tunnettiin nimellä ProxyNotShell?

S3 Ep102.5: "ProxyNotShell" Exchange -virheet – asiantuntija puhuu [ääni + teksti]

No, ne korjattiin, mutta pohjimmiltaan erillisessä Patch Tuesdayn "sivupuolella": Exchange November 2022 SU tai Software Update, joka sanoo vain:

Marraskuun 2022 Exchange-ohjelmistopäivitykset sisältävät korjauksia nollapäivän haavoittuvuuksiin, joista on ilmoitettu julkisesti 29.

Sinun tarvitsee vain päivittää Exchange.

Jep, kiitos Microsoft… Luulen, että tiesimme, että niin meidän on tehtävä, kun korjaustiedostot vihdoin ilmestyivät!

Joten, ne *ovat* ulkona ja kaksi nollapäivää on vahvistettu, mutta ne eivät ole uusia, eivätkä ne ole teknisesti "Patch Tuesday" -osassa.

Siellä meillä on neljä muuta nollapäivää.

Ja jos uskot laastarien priorisoimiseen, niin ilmeisestikin haluat käsitellä niitä ensin, koska joku osaa jo tehdä huonoja asioita niillä.

Ne vaihtelevat suojauksen ohituksesta kahteen käyttöoikeuksien korotukseen ja yhteen koodin etäsuoritukseen.

Mutta niitä on enemmän kuin 60 laastaria yhteensä, ja jos katsot yleistä luetteloa tuotteista ja Windows-komponenteista, joihin tämä vaikuttaa, siellä on tavallista tapaa valtava luettelo, joka sisältää kaikki Windows-komponentit/-tuotteet, joista olet kuullut, ja monet et luultavasti ole vieläkään.

Microsoft korjaa 62 haavoittuvuutta, mukaan lukien Kerberos, Mark of the Web ja Exchange… eräänlainen

Eli kuten aina: Älä viivyttele / tee se tänään, Douglas!

---

DOUG.  Erittäin hyvä.

Puhutaanpa nyt melkoisesta viiveestä…

Sinulla on erittäin mielenkiintoinen tarina aiheesta Silkkitien huumemarkkinat, ja muistutus siitä, että rikollisten varastaminen rikollisilta on edelleen rikos, vaikka jäätkin siitä kiinni noin kymmenen vuoden kuluttua.

Silk Roadin huumemarkkinoiden hakkeri tunnustaa syyllisyytensä ja odottaa 20 vuoden vankeutta

---

ANKKA.  Kyllä, jopa ihmiset, jotka ovat aivan uusia kyberturvallisuudessa tai verkkoon siirtymisessä, ovat luultavasti kuulleet "Silk Roadista", kenties ensimmäisestä tunnetusta, suuresta, laajalle levinneestä ja laajalti käytetystä pimeän verkon markkinapaikasta, jossa periaatteessa kaikki menee.

Joten kaikki syttyi liekkeihin vuonna 2013.

Koska perustaja, joka tunnettiin alun perin vain nimellä Pelottava merirosvo Roberts, mutta lopulta paljastettiin olevan Ross Ulbricht… hänen huono toimintavarmuutensa riitti sitomaan toiminnot häneen.

Silk Roadin perustaja Ross Ulbricht saa elämän ilman ehdonalaista

Sen lisäksi, että hänen toimintaturvansa ei ollut kovin hyvä, näyttää siltä, ​​että vuoden 2012 lopulla heillä oli (voitko uskoa sitä, Doug?) kryptovaluuttamaksujen käsittelyvirhe…

---

DOUG.  [Huokkaa ILMAUKAUHOA]

---

ANKKA.  …tyyppistä, jota olemme nähneet toistuvan monta kertaa sen jälkeen, joka meni tekemättä kunnollista kaksinkertaista kirjanpitoa, jossa jokaiselle veloitukselle on vastaava hyvitys ja päinvastoin.

Ja tämä hyökkääjä huomasi, että jos laittaisit rahaa tilillesi ja maksaisit sen sitten hyvin nopeasti muille tileille, voisit itse asiassa maksaa viisi kertaa (tai jopa enemmän) samat bitcoinit ennen kuin järjestelmä huomasi, että ensimmäinen veloitus oli mennyt. kautta.

Joten voisit periaatteessa laittaa rahaa ja sitten vain nostaa ne uudestaan ​​ja uudestaan ​​ja uudestaan ​​ja saada isomman säästökohteen…

…ja sitten voit palata siihen, mitä voisi kutsua "kryptovaluutan lypsysilmukaksi".

Ja on arvioitu… tutkijat eivät olleet varmoja, että hän aloitti 200–2000 omalla bitcoinilla (ostiko hän ne vai loi ne, emme tiedä), ja hän muutti ne hyvin, hyvin nopeasti odota sitä, Doug: 50,0000 XNUMX bitcoinia!

---

DOUG.  Wow!

---

ANKKA.  Yli 50,000 XNUMX bitcoinia, juuri niin.

Ja sitten, ilmeisesti kuvitellen, että joku tulee huomaamaan, hän juoksi ja juoksi ollessaan edellä 50,000 XNUMX bitcoinilla…

…kukin arvoltaan hämmästyttävä 12 dollaria, vain muutama vuosi sitten sentin murto-osista. [NAurua]

Joten hän teki 600,000 XNUMX dollaria, juuri niin, Doug.

[DRAMAATTINEN TAUKO]

Yhdeksän vuotta myöhemmin…

[NAURU]

…melkein *täsmälleen* yhdeksän vuotta myöhemmin, kun hänet ryöstettiin ja hänen kotiinsa tehtiin ratsastusmääräyksen nojalla, poliisit lähtivät etsimään ja löysivät hänen kaapistaan ​​kasan peitteitä, joiden alle oli piilotettu popcorn-purkki.

Outo paikka säilyttää popcornejasi.

Sen sisällä oli eräänlainen tietokoneistettu kylmälompakko.

Niiden sisällä oli suuri osa mainituista bitcoineista!

Kun hänet murskattiin, bitcoinit olivat jotain pohjoispuolella 65,535 2 dollarista (tai XNUMX¹⁶-1) kukin.

Ne olivat nousseet yli tuhatkertaiseksi tällä välin.

Joten tuolloin se oli kaikkien aikojen suurin kryptocoinien romahdus!

Yhdeksän vuotta myöhemmin, kun hän ei ilmeisesti pystynyt luopumaan väärin hankituista tuloistaan, ehkä pelkäsi, että vaikka hän yrittäisi työntää ne juomalasiin, kaikki sormet osoittaisivat takaisin häneen…

…hänellä on ollut kaikki nämä 3 miljardin dollarin arvoiset bitcoineja, jotka ovat olleet popcorn-purkissa yhdeksän vuoden ajan!

---

DOUG.  Jestas sentään.

---

ANKKA.  Joten kun hän on istunut tämän pelottavan aarteen päällä kaikki ne vuodet ja miettinyt, jääkö hän kiinni, hän on nyt jäänyt miettimään: "Kuinka kauan joudun vankilaan?"

Ja enimmäisrangaistus häntä uhkaavasta syytteestä?

20 vuotta, Doug.

---

DOUG.  Toinen mielenkiintoinen tarina meneillään. Jos olet ollut Twitterissä viime aikoina, tiedät, että siellä on paljon toimintaa. sanoa se diplomaattisesti...

---

ANKKA.  [ALTAISTA - KESKIKOISTA LAATUA BOB DYLANIN IMPERSONATION] No, ajat ovat muuttumassa.

---

DOUG.  …mukaan lukien jossain vaiheessa ajatus veloittaa 20 dollaria vahvistetusta sinisestä shekistä, mikä tietysti melkein heti aiheutti joitakin huijauksia.

Twitter Blue Badge -sähköpostihuijaukset – älä lankea niihin!

---

ANKKA.  Se on vain muistutus, Doug, että aina kun jokin on herättänyt paljon kiinnostusta, roistot seuraavat varmasti perässä.

Ja tämän lähtökohta oli: "Hei, miksi et mene aikaisin? Jos sinulla on jo sininen merkki, arvaa mitä? Sinun ei tarvitse maksaa 19.99 dollaria kuukaudessa, jos rekisteröidyt ennakkoon. Annamme sinun pitää sen."

Tiedämme, että se ei ollut Elon Muskin idea, kuten hän totesi, mutta se on sellainen asia, jota monet yritykset tekevät, eikö niin?

Monet yritykset antavat sinulle jonkinlaisen hyödyn, jos pysyt palvelussa.

Joten se ei ole täysin uskomatonta.

Kuten sanot… mitä annoit sille?

B-miinus, vai mitä?

---

DOUG.  Annan alkuperäiselle sähköpostille B-miinusmerkin... saatat joutua huijatuksi, jos luet sen nopeasti, mutta siinä on joitain kielioppiongelmia; tavara ei tunnu oikealta.

Ja sitten kun klikkaat läpi, antaisin aloitussivuille C-miinusmerkin.

Siitä tulee vieläkin vaikeampaa.

---

ANKKA.  Onko se jossain 5/10 ja 6/10 välillä?

---

DOUG.  Kyllä, sanotaanpa niin.

Ja meillä on neuvoja, jotta vaikka kyseessä olisi A-plus-huijaus, sillä ei ole väliä, koska pystyt joka tapauksessa estämään sen!

Aloitan henkilökohtaisesta suosikeistani: Käytä salasananhallintaa.

Salasanojen hallintaohjelma ratkaisee monia ongelmia huijauksissa.

---

ANKKA.  Se tekee.

Salasanojen hallinnassa ei ole ihmisen kaltaista älykkyyttä, jota voisi johtaa harhaan se, että kaunis kuva on oikea, logo on täydellinen tai verkkolomake on täsmälleen oikeassa paikassa näytöllä täsmälleen samalla fontilla , joten tunnistat sen.

Se tietää vain: "En ole koskaan kuullut tästä sivustosta ennen."

---

DOUG.  Ja tietysti, laita 2FA päälle, jos voit.

Lisää aina toinen todennustekijä, jos mahdollista.

---

ANKKA.  Se ei tietenkään välttämättä suojaa sinua itseltäsi.

Jos menet väärennetylle sivustolle ja olet päättänyt: "Hei, se on pikselitäydellinen, sen täytyy olla todellinen juttu", ja olet päättänyt kirjautua sisään ja olet jo syöttänyt käyttäjätunnuksesi ja salasanasi, ja sitten se pyytää sinua käymään läpi 2FA-prosessin…

…teet niin todennäköisesti.

Se antaa sinulle kuitenkin sen vähän aikaa tehdä "Stop. Ajatella. Kytkeä." asia ja sano itsellesi: "Odota, mitä minä teen täällä?"

Joten tavallaan 2FA:n tuoma pieni viive voi itse asiassa olla paitsi hyvin vähäistä vaivaa, myös tapa parantaa kyberturvallisuuden työnkulkua... ottamalla käyttöön juuri sen verran nopeutta, että olet taipuvainen ottamaan kyberturvallisuuden että vähän vakavammin.

Joten en todellakaan ymmärrä mikä on huono puoli.

---

DOUG.  Ja tietysti toinen strategia, jota monien ihmisten on vaikea noudattaa, mutta joka on erittäin tehokas, on Vältä kirjautumislinkkejä ja toimintopainikkeita sähköpostissa.

Joten jos saat sähköpostin, älä vain napsauta painiketta… mene itse sivustolle ja voit kertoa melko nopeasti, oliko sähköposti laillinen vai ei.

---

ANKKA.  Periaatteessa, jos et voi täysin luottaa alkuperäiseen kirjeenvaihtoon, et voi luottaa mihinkään sen yksityiskohtiin, olipa kyseessä sitten napsautettava linkki, puhelinnumero, johon aiot soittaa, tai sähköpostiosoite, johon haluat aiot ottaa heihin yhteyttä Instagram-tilillä, jolle aiot lähettää DM-viestejä, mikä se sitten on.

Älä käytä sitä, mitä sähköpostissa on… löydä oma tiesi sinne, ja oikosulut monet tämänkaltaiset huijaukset.

---

DOUG.  Ja lopuksi, viimeisenä mutta ei vähäisimpänä… tämän pitäisi olla tervettä järkeä, mutta se ei ole: Älä koskaan kysy epävarman viestin lähettäjältä, ovatko he oikeutettuja.

Älä vastaa ja sano: "Hei, oletko todella Twitter?"

---

ANKKA.  Kyllä, olet aivan oikeassa.

Koska aiempi neuvoni: "Älä luota sähköpostin tietoihin", kuten älä soita heidän puhelinnumeroonsa... jotkut ihmiset houkuttelevat sanomaan: "No, soitan puhelinnumeroon ja katson, onko se todella ovat ne. [IRONISTA] Koska ilmeisesti, jos kokki vastaa, he antavat oikean nimensä."

---

DOUG.  Kuten aina sanomme: Jos olet epävarma/älä kerro sitä.

Ja tämä on hyvä varoitustarina, tämä seuraava tarina: kun turvatarkistukset, jotka ovat laillisia suojaustyökaluja, paljastaa enemmän kuin pitäisi, mitä sitten tapahtuu?

Julkiset URL-skannaustyökalut – kun turvallisuus johtaa turvattomuuteen

---

ANKKA.  Tämä on tunnettu tutkija nimeltä Fabian Bräunlein Saksassa… olemme esittäneet hänet pari kertaa aiemmin.

Hän on palannut yksityiskohtaisen raportin kanssa urlscan.io's SOAR-paikka: chattailevat tietoturvatyökalut vuotavat yksityisiä tietoja.

Ja tässä tapauksessa se on urlscan.io, verkkosivusto, jota voit käyttää ilmaiseksi (tai maksullisena palveluna), jossa voit lähettää URL-osoitteen tai verkkotunnuksen tai IP-numeron tai mitä tahansa, ja voit etsiä "Mitä yhteisö tietää tästä?"

Ja se paljastaa koko URL-osoitteen, josta muut ihmiset kysyivät.

Eikä tämä ole vain asioita, joita ihmiset kopioivat ja liittävät oman valintansa.

Joskus heidän sähköpostinsa voivat esimerkiksi käydä läpi kolmannen osapuolen suodatustyökalun, joka itse poimii URL-osoitteet ja soittaa kotiin urlscan.io, tekee haun, saa tuloksen ja käyttää sitä päättääkseen, lähetetäänkö viesti roskapostiin, estetäänkö roskaposti vai lähetetäänkö se läpi.

Ja tämä tarkoittaa, että joskus, jos URL-osoite sisälsi salaisia ​​tai puolisalaisia ​​tietoja, henkilökohtaisia ​​tunnistetietoja, muut ihmiset, jotka vain sattuivat etsimään oikeaa verkkotunnusta lyhyen ajan kuluttua sen jälkeen, näkevät kaikki haetut URL-osoitteet, mukaan lukien URL-osoitteessa mahdollisesti olevia asioita.

Tiedätkö, kuten blahblah?username=doug&passwordresetcode= jota seuraa pitkä merkkijono heksadesimaalimerkkejä ja niin edelleen.

Ja Bräunlein keksi kiehtovan luettelon URL-osoitteista, erityisesti sellaisista, jotka saattavat näkyä sähköposteissa, jotka voidaan rutiininomaisesti lähettää kolmannelle osapuolelle suodatettavaksi ja sitten indeksoida hakua varten.

Hänen mielestään hyödynnettävissä olevat sähköpostit, mutta eivät rajoittuneet: tilin luomiseen liittyvät linkit; Amazon lahja toimitus linkit; API-avaimet; DocuSign-allekirjoituspyynnöt; dropbox-tiedostojen siirrot; paketin seuranta; salasanan nollaus; PayPal-laskut; Google Drive -asiakirjojen jakaminen; SharePoint-kutsut; ja uutiskirjeen tilauksen peruutuslinkit.

Ei osoita sormella SharePointiin, Google Driveen, PayPaliin jne.

Nämä olivat vain esimerkkejä hänen löytämistään URL-osoitteista, jotka olivat mahdollisesti hyödynnettävissä tällä tavalla.

---

DOUG.  Tämän artikkelin lopussa on neuvoja, jotka tiivistyvät seuraavasti: lue Bräunleinin raportti; lukea urlscan.iokäyttäjän blogikirjoitus; tee oma kooditarkistus; jos sinulla on koodi, joka tekee online-tietoturvahakuja; oppia, mitä tietosuojaominaisuuksia on olemassa online-lähetyksissä; ja mikä tärkeintä, opettele raportoimaan petollisista tiedoista verkkopalveluun, jos näet sen.

Huomasin, että siellä on kolme... eräänlaista limerickiä?

Erittäin luovia minirunoja tämän artikkelin lopussa…

---

ANKKA.  [MOKKAUHU] Ei, he eivät ole limericks! Limericksillä on hyvin muodollinen viisirivinen rakenne…

---

DOUG.  [NAURA] Olen niin pahoillani. Se on totta!

---

ANKKA.  …sekä metrille että riimille.

Hyvin jäsenneltyä, Doug!

---

DOUG.  Olen niin pahoillani, niin totta. [NAurua]

---

ANKKA.  Tämä on vain äijä. [NAURU]

Taas kerran: Jos olet epävarma/älä kerro sitä.

Ja jos keräät tietoja: Jos sen ei pitäisi olla sisällä / Kiinnitä se suoraan roskakoriin.

Ja jos kirjoitat koodia, joka kutsuu julkisia sovellusliittymiä, jotka voivat paljastaa asiakastietoja: Älä koskaan saa käyttäjiäsi itkemään / sillä, kuinka kutsut API:ta.

---

DOUG.  [NAURAA] Se on minulle uusi juttu, ja pidän siitä kovasti!

Ja viimeisenä, mutta ei todellakaan vähäisimpänä tässä luettelossamme, olemme puhuneet viikosta toiseen tästä OpenSSL-tietoturvavirheestä.

Suuri kysymys on nyt: "Mistä tiedät mitä pitää korjata?"

OpenSSL-tietoturvapäivityksen tarina – miten voit kertoa, mikä vaatii korjausta?

---

ANKKA.  Todellakin, Doug, mistä tiedämme, mikä OpenSSL-versio meillä on?

Ja ilmeisesti Linuxissa avaat vain komentokehotteen ja kirjoitat openssl version, ja se kertoo sinulle, mikä versio sinulla on.

Mutta OpenSSL on ohjelmointikirjasto, eikä ole olemassa sääntöä, joka sanoisi, ettei ohjelmistolla voi olla omaa versiota.

Distro saattaa käyttää OpenSSL 3.0:aa, mutta silti siellä on sovellus, joka sanoo: "Voi ei, emme ole päivittäneet uuteen versioon. Suosimme OpenSSL 1.1.1:tä, koska se on edelleen tuettu, ja jos sinulla ei ole sitä, tuomme oman versiomme."

Ja niin, valitettavasti, aivan kuten tuossa surullisen Log4Shell-tapauksessa, sinun piti etsiä kolmea? 12? 154? kuka tietää kuinka monta paikkaa verkossasi, joissa sinulla saattaa olla vanhentunut Log4J-ohjelma.

Sama OpenSSL:lle.

Teoriassa XDR- tai EDR-työkalut voivat kertoa sinulle, mutta jotkut eivät tue tätä, ja monet eivät rohkaise sitä: ohjelman suorittaminen itse asiassa selvittää, mikä versio se on.

Koska loppujen lopuksi, jos se on buginen tai väärä, ja sinun on itse asiassa suoritettava ohjelma, jotta se raportoi oman versionsa…

… tuntuu kuin laittaisi kärryt hevosen edelle, eikö niin?

Joten julkaisimme artikkelin niitä erikoistapauksia varten, joissa haluat todella ladata DLL:n tai jaetun kirjaston ja haluat kutsua sen omaksi TellMeThyVersion() ohjelmistokoodi.

Toisin sanoen, luotat ohjelmaan tarpeeksi, jotta lataat sen muistiin, suoritat sen ja suoritat sen jonkin osan.

Näytämme, kuinka voit tehdä sen, jotta voit olla täysin varma, että kaikki verkossasi olevat OpenSSL-tiedostot ovat ajan tasalla.

Koska vaikka tämä alennettiin KRIITTISESTA HIGH:ksi, se on silti virhe, joka sinun on korjattava ja jonka haluat korjata!

---

DOUG.  Tämän virheen vakavuudesta saimme vastauksen mielenkiintoinen kysymys alaston turvalukijalta Svetiltä, ​​joka kirjoittaa osittain:

Miten on mahdollista, että bugi, joka on erittäin monimutkainen hyödynnettäväksi ja jota voidaan käyttää vain palvelunestohyökkäyksiin, luokitellaan edelleen KORKEAksi?

---

ANKKA.  Kyllä, luulen, että hän sanoi jotain aiheesta "Voi, eikö OpenSL-tiimi ole kuullut CVSS:stä?", joka on Yhdysvaltain hallituksen standardi, jos haluatte, koodaamaan virheiden riski- ja monimutkaisuustasot tavalla, joka voidaan suodatetaan automaattisesti skriptien mukaan.

Joten jos sillä on alhainen CVSS-pistemäärä (joka on Yhteinen haavoittuvuuden pisteytysjärjestelmä), miksi ihmiset innostuvat siitä?

Miksi sen pitäisi olla KORKEA?

Ja niin vastaukseni oli: "Miksi *ei* sen pitäisi olla KORKEA?"

Se on vika salauskoneessa; se voi kaataa ohjelman, joka yrittää saada päivitystä... joten se kaatuu yhä uudelleen ja uudelleen, mikä on vähän enemmän kuin vain palvelunesto, koska se itse asiassa estää sinua tekemästä suojausta oikein.

Siinä on turvallisuuden ohituselementti.

Ja mielestäni toinen osa vastauksesta on, kun kyse on haavoittuvuuksien muuttamisesta hyväksikäytöksi: "Älä koskaan sano ei koskaan!"

Kun sinulla on pinopuskurin ylivuoto, jossa voit manipuloida muita pinon muuttujia, mahdollisesti myös muistiosoitteita, on aina mahdollisuus, että joku keksii toimivan hyväksikäytön.

Ja ongelma, Doug, on, kun he ovat ymmärtäneet sen, sillä ei ole väliä kuinka monimutkaista sen selvittäminen oli…

…kun osaat hyödyntää sitä, * kuka tahansa* voi tehdä sen, koska voit myydä heille koodin sitä varten.

Luulen, että tiedät, mitä aion sanoa: "Ei sillä, että koen sen vahvasti."

[NAURU]

Se on jälleen kerran yksi niistä "kirottu, jos he tekevät, kirottu, jos he eivät tee".

---

DOUG.  Erittäin hyvä, kiitos paljon, Svet, että kirjoitit kommentin ja lähetit sen.

Jos sinulla on mielenkiintoinen tarina, kommentti tai kysymys, jonka haluat lähettää, luemme sen mielellämme podcastista.

Voit lähettää sähköpostia tips@sophos.com, voit kommentoida mitä tahansa artikkeleistamme tai voit lyödä meitä sosiaalisessa mediassa: @nakedsecurity.

Se on tämän päivän esitys; kiitos paljon kuuntelusta.

Paul Ducklinille olen Doug Aamoth, joka muistuttaa sinua seuraavaan kertaan asti…

---

Molemmat.  Pysy turvassa!