TIETOJEN RIKKOKSET – PISTÄ HÄNTÄ
Napsauta ja vedä alla olevia ääniaaltoja hypätäksesi mihin tahansa kohtaan. Voit myös kuuntele suoraan Soundcloudissa.
Doug Aamothin ja Paul Ducklinin kanssa. Intro ja outro musiikki Edith Mudge.
Voit kuunnella meitä Soundcloud, Apple Podcastit, Google Podcastit, Spotify, nitoja ja kaikkialla, missä hyviä podcasteja löytyy. Tai pudota vain RSS-syötteemme URL-osoite suosikki podcatcheriisi.
LUE OTTARKASTUS
DOUG. SIM-kortin vaihto, nolla päivää, [dramaattinen ääni] Ping of DEATH ja LastPass… taas.
Kaikki tämä ja paljon muuta Naked Security -podcastissa.
[MUSIIKKIMODEEMI]
Tervetuloa podcastiin kaikki.
Olen Doug Aamoth.
Minun kanssani, kuten aina, on Paul Ducklin.
Paul, miten voit?
ANKKA. Hyvin, Doug.
Laitoit korkean draamaäänen tuohon introon, olen iloinen nähdessäni!
DOUG. No, kuinka sanot "Ping of Death" sanomatta [doom metal murinaa] "Ping of DEATH"?
Et voi vain sanoa [pehmeä ääni] "Ping of Death".
Sinun täytyy lyödä sitä hieman…
ANKKA. Oletan niin.
Kirjoittaminen on erilaista – mitä sinulla on?
Lihavoitu ja kursivoitu.
Käytin vain normaalia tekstiä, mutta käytin isoja kirjaimia, mikä auttaa.
DOUG. Kyllä, luulen, että lihavoitaisin ja kursivoisin sanan "death", joten [doom metal taas] "The Ping of DEATH".
ANKKA. Ja käytä useita värejä!
Teen sen ensi kerralla, Doug.
DOUG. Purkaa vanha -tunniste HTML:ssä, saa sen vilkkumaan hieman? [NAurua]
ANKKA. Doug, hetken olin huolissani, että aiot käyttää sanaa [NAURAA] .
DOUG. [NAURA] Rakastamme vanhaa tavaraa täällä!
Ja se sopii hyvin yhteen meidän kanssamme Tämä viikko tekniikan historiassa segmentti – Olen innoissani tästä, koska en ollut kuullut siitä, mutta törmäsin siihen.
Tällä viikolla, 04. joulukuuta 2001, Goner-mato ryösti Internetiä vauhdilla, joka oli toinen vain Love Bug -viruksen jälkeen.
Goner levisi Microsoft Outlookin kautta ja lupasi pahaa-aavistamattomille uhreille hauskan näytönsäästäjän teloitettaessa.
ANKKA. Mennyt…
Luulen, että se sai tämän nimen, koska lopussa oli ponnahdusikkuna, eikö siellä, jossa mainittiin Pentagon?
Mutta sen oli tarkoitus olla sanapeli – se oli "Penta/Gone".
Se oli varmasti se mato, joka muistutti ihmisiä siitä, että itse asiassa Windowsin näytönsäästäjät ovat vain suoritettavia ohjelmia.
Joten, jos etsit erityisesti .EXE tiedostot, no, ne voitaisiin kääriä .SCR (näytönsäästäjä) -tiedostoja.
Jos luottaisit vain tiedostonimiin, saatat helposti huijata.
Ja monet ihmiset olivat, valitettavasti.
DOUG. Selvä, mennään vanhasta koulusta uuteen kouluun.
Puhumme LastPassista: tapahtui rikkomus; itse rikkoutuminen ei ollut kauhea; mutta tämä rikkomus on nyt johtanut toiseen rikkomiseen.
Vai ehkä tämä on vain jatkoa alkuperäiselle rikkomukselle?
LastPass myöntää aiemman tietomurron aiheuttaman asiakastietomurron
ANKKA. Kyllä, LastPass on kirjoittanut siitä lähinnä jatkona edelliselle rikkomukselle, joka oli mielestäni elokuu 2022, eikö niin?
Ja kuten sanoimme tuolloin, se oli erittäin kiusallinen ulkoasu LastPassille.
Mutta koska rikkomukset menevät, se oli luultavasti huonompi heidän PR-, markkinointi- ja (luulen) heidän immateriaalioikeusosastoilleen, koska näyttää siltä, että tärkein asia, jonka roistot tekivät, oli heidän kehitysjärjestelmänsä lähdekoodi.
Ja LastPass vakuutti nopeasti ihmiset…
Ensinnäkin heidän tutkimuksensa viittasivat siihen, että ollessaan siellä roistot eivät kyenneet tekemään luvattomia muutoksia, jotka voisivat myöhemmin tunkeutua todelliseen koodiin.
Toiseksi pääsy kehitysjärjestelmään ei anna pääsyä tuotantojärjestelmään, jossa varsinainen koodi rakennetaan.
Ja kolmanneksi, he pystyivät sanomaan, että vaikutti siltä, että salattuja salasanavarastoja ei varastettu, joten salattujen salasanojesi pilvitallennusta ei käytetty.
Ja vaikka sitä olisi käytetty, vain sinä tietäisit salasanan, koska salauksen purku (mitä kutsuit "raskaaksi nostamiseksi", kun puhuimme siitä podcastissa) tapahtuu itse asiassa laitteidesi muistissa – LastPass ei koskaan näe sinun Salasana.
Ja sitten neljänneksi, he sanoivat, että sikäli kuin voimme havaita, tuon rikkomuksen seurauksena jotkut kehitysympäristössä olleet tavarat ovat nyt antaneet joko saman… tai mahdollisesti täysin erilaisen kuorman roistoja, jotka ostivat varastettu data edelliseltä erältä, kuka tietää?
Näin he pääsivät johonkin pilvipalveluun, josta varastettiin vielä ilmeisen tuntematon joukko asiakastietoja.
En usko, että he tietävät vielä, koska voi kestää hetken ennen kuin selvitetään, mitä todellisuudessa käsiteltiin rikkomuksen tapahtumisen jälkeen.
Joten mielestäni on reilua sanoa, että tämä on eräänlainen alkuperäisen rikkomuksen B-puoli.
DOUG. Selvä, suosittelemme, että jos olet LastPass-asiakas, pidät silmällä yrityksen tietoturvahäiriöraporttia.
Jäämme seuraamaan tätä tarinaa, koska se on vielä kehittymässä.
Ja jos sinä, kuten Paul ja minä, taistelet kyberrikollisuutta vastaan elantonsa vuoksi, Uber-loukkauksesta on opittava joitain erinomaisia opetuksia.
Tämä on siis podcast-jakso – ”minisodi” – Chester Wisniewskin kanssa, jonka Paul on upottanut LastPass-artikkelin loppuun:
S3 Ep100.5: Uber-rikkomus – asiantuntija puhuu [ääni + teksti]
Paljon opittavaa tällä alalla!
ANKKA. Kuten sanot, se on hienoa kuunneltavaa, koska uskon, että se tunnetaan Amerikassa "toimiviksi neuvoiksi" tai "uutisiksi, joita voit käyttää".
DOUG. [NAurua] Mahtavaa.
Puhuttaessa uutisista, joita ei voi käyttää, Apple on yleensä tiukkasuuinen tietoturvapäivitysistään… ja siellä oli tietoturvapäivitys:
Apple julkaisee iOS-tietoturvapäivityksen, joka on suppeampi kuin koskaan
ANKKA. Oi, Doug, se on yksi hienoimmista… Pidän siitä vaihdosta.
DOUG. [NAURA] Kiitos; Kiitos paljon.
ANKKA. Kyllä, tämä yllätti minut.
Ajattelin: "No, tartun päivitykseen, koska se kuulostaa vakavalta."
Ja annoin itselleni syyn: "Anna minun tehdä se Naked Securityn lukijoiden vuoksi."
Koska jos teen sen, eikä sivuvaikutuksia ole, voin ainakin sanoa muille: ”Katso, tein sen vain sokeasti, eikä minulle ole aiheutunut haittaa. Joten ehkä sinäkin voit tehdä sen."
Huomasin vain yhtäkkiä, että saatavilla on iOS 16.1.2 -päivitys, vaikka en ollut saanut Applelta tietoturvaa koskevaa neuvontaa.
Ei sähköpostia?!
Se on outoa.. joten menin HT201222 portaalisivu, joka Applella on tietoturvatiedotteilleen, ja siellä se oli: iOS 16.1.2.
Ja mitä siinä sanotaan, Doug, "yksityiskohdat tulevat pian"?
DOUG. Ja seurasivatko he pian?
ANKKA. No, se oli yli viikko sitten, eivätkä ne ole vielä siellä.
Joten puhummeko "pian" tarkoittaen tunteja, päiviä, viikkoja tai kuukausia?
Tällä hetkellä se näyttää viikoilta.
Ja kuten aina Applen kohdalla, mikään ei viittaa mihinkään muuhun käyttöjärjestelmään.
Onko ne unohdettu?
Eivätkö he tarvitse päivitystä?
Tarvittiinko he myös päivitystä, mutta se ei vain ole vielä valmis?
Onko he jääneet tuen ulkopuolelle?
Mutta se näytti, kuten otsikossa sanoin, jopa tavallista suppeammalta Applelle, eikä välttämättä maailman hyödyllisimmältä.
DOUG. OK, erittäin hyvä… vielä muutama kysymys, joka johtaa meidät seuraavaan tarinaamme.
Erittäin mielenkiintoinen kysymys!
Joskus, kun kirjaudut palveluun ja se pakottaa kaksivaiheisen todennuksen, se sanoo: "Haluatko saada ilmoituksen tekstiviestillä vai haluatko käyttää todennussovellusta?"
Ja tämä tarina on varoitus, että älä käytä puhelintasi – käytä todennussovellusta, vaikka se olisikin hieman hankalampi.
Tämä on erittäin mielenkiintoinen tarina:
SIM-vaihtaja lähetettiin vankilaan yli 2 miljoonan dollarin 20FA:n kryptovaluutan ryöstöstä
ANKKA. Se on, Doug!
Jos olet joskus hukannut matkapuhelimen tai lukinnut itsesi SIM-kortiltasi syöttämällä PIN-koodin väärin liian monta kertaa, tiedät, että voit mennä matkapuhelinkauppaan…
…ja yleensä he kysyvät henkilötodistusta tai jotain, ja sinä sanot: "Hei, tarvitsen uuden SIM-kortin."
Ja he luovat sellaisen sinulle.
Kun laitat sen puhelimeesi, bingo!… siinä on vanha numerosi.
Tämä tarkoittaa siis sitä, että jos huijari pystyy suorittamaan saman harjoituksen, jolla vakuutat matkapuhelinyhtiön siitä, että he ovat "kadonneet" tai "rikkoneet" SIM-korttinsa (eli *SIM-korttisi*), ja he voivat saada se kortti joko annettiin tai lähetettiin tai annettiin heille jollain tavalla...
…sitten kun he kytkevät sen puhelimeensa, he alkavat saada SMS kaksivaiheisia todennuskoodeja, *ja* puhelimesi lakkaa toimimasta.
Siinäpä huonot uutiset.
Hyvä uutinen tässä artikkelissa on se, että kyseessä oli kaveri, joka jäi kaatumaan siitä.
Hänet on tuomittu vankilaan Yhdysvalloissa 18 kuukaudeksi.
Hän, joukko rikoskumppaneita – tai oikeusministeriön sanoin Järjestelmän osallistujat… [NAurua]
…he tekivät eron yhden tietyn uhrin kryptovaluutalla, ilmeisesti 20 miljoonan dollarin arvosta, jos et välitä.
DOUG. Oho!
ANKKA. Joten hän suostui tunnustamaan syyllisyytensä, tuomitsemaan vankeusrangaistuksen ja menettämään välittömästi… summa oli [lukien huolellisesti] 983,010.72 XNUMX dollaria… vain menettääkseen sen heti.
Joten oletettavasti hänellä oli se makaamassa.
Ja ilmeisesti hänellä on myös jonkinlainen laillinen velvollisuus palauttaa yli 20 miljoonaa dollaria.
DOUG. Onnea siihen, kaikille! Onnea.
Hänen toinen [laulu kursivoitu] Järjestelmän osallistujat saattaa aiheuttaa ongelmia siellä! [NAurua]
ANKKA. Kyllä, en tiedä mitä tapahtuu, jos he kieltäytyvät myös yhteistyöstä.
Jos he vain ripustavat hänet kuivumaan, mitä tapahtuu?
Mutta meillä on artikkelissa joitain vinkkejä ja neuvoja turvallisuuden parantamiseen (muullakin tavalla kuin käyttämäsi 2FA:lla).
Joten mene ja lue se… jokainen pieni osa auttaa.
DOUG. Okei, "pienistä" puheen ollen...
…tämä oli toinen kiehtova tarina, kuinka alhainen ping Voidaan käyttää koodin etäsuorittamisen käynnistämiseen:
ANKKA. [Pidän jatkosta taas] Luulen, että olet parantanut itseäsi, Doug!
DOUG. [NAurua] Olen töissä tänään…
ANKKA. Applelta [heikko doom-lauluyritys] Ping of DEATH!
Kyllä, tämä oli kiehtova bugi.
En usko, että se todellakaan aiheuta monille ihmisille paljon haittaa, ja se *on* korjattu, joten sen korjaaminen on helppoa.
Mutta FreeBSD:ssä on hieno kirjoitus turvallisuusneuvonta...
…ja se on viihdyttävä ja, jos itse sanon niin, erittäin informatiivinen tarina nykyiselle ohjelmoijasukupolvelle, joka on saattanut luottaa "Kolmannen osapuolen kirjastot tekevät sen puolestani. Käsitteletkö matalan tason verkkopaketteja? Minun ei tarvitse koskaan ajatella sitä…”
Tässä on joitain hienoja opetuksia.
- ping apuohjelma, joka on yksi verkkotyökalu, jonka melkein kaikki tietävät siitä, saa nimensä SONARilta.
Menet [pitää elokuvan sukellusveneen melua] ping, ja sitten kaiku tulee takaisin palvelimelta toisessa päässä.
Ja tämä on ominaisuus, joka on sisäänrakennettu Internet Protocoliin, IP, käyttämällä ICMP:tä, joka on Internet Control Message Protocol.
Se on erityinen, matalan tason protokolla, paljon alempi kuin UDP tai TCP, johon ihmiset ovat luultavasti tottuneet. Se on suunnilleen suunniteltu juuri tällaisiin asioihin: "Oletko edes elossa toisessa päässä, ennen kuin lähden murehtimaan miksi verkkopalvelimesi ei toimi?"
On olemassa erityinen paketti, jonka voit lähettää nimeltä "ICMP Echo".
Joten lähetät tämän pienen pienen paketin, jossa on lyhyt viesti (viesti voi olla mikä tahansa), ja se yksinkertaisesti lähettää saman viestin takaisin sinulle.
Se on vain perustapa sanoa: "Jos viesti ei tule takaisin, joko verkko tai koko palvelin on poissa" sen sijaan, että tietokoneessa olisi jokin ohjelmisto-ongelma.
Analogisesti SONARin kanssa, ohjelma, joka lähettää nämä kaikupyynnöt, on nimeltään… [tauko] Aion tehdä ääniefektin, Doug… [taas väärennettyä sukellusveneelokuvaa] ping. [NAURU]
Ja idea on, menet, sanot ping -c3 (eli tarkista kolme kertaa) nakedsecurity.sophos.com.
Voit tehdä sen juuri nyt, ja sinun pitäisi saada kolme vastausta, joista jokainen on yhden sekunnin välein, WordPress-palvelimista, jotka isännöivät sivustoamme.
Ja se sanoo, että sivusto on elossa.
Se ei kerro, että verkkopalvelin on päällä; se ei kerro, että WordPress on valmis; se ei kerro, että Naked Security on todella luettavissa.
Mutta se ainakin vahvistaa, että näet palvelimen ja palvelin voi tavoittaa sinut.
Ja kuka olisi uskonut, että tuo vaatimaton pieni ping-vastaus voisi kaataa FreeBSD:n ping ohjelman siten, että roistopalvelin voisi lähettää takaisin "Kyllä, olen elossa" -viestin, joka voisi teoriassa (vain teoriassa; en usko, että kukaan on tehnyt niin käytännössä) laukaista koodin etäsuorittamisen Sinun tietokoneesi.
DOUG. Kyllä, se on hämmästyttävää; se on hämmästyttävä osa.
Vaikka se on konseptin todiste, se on niin pieni asia!
ANKKA. - ping Ohjelma itse saa koko IP-paketin takaisin, ja sen on tarkoitus jakaa se kahteen osaan.
Normaalisti ydin hoitaa tämän puolestasi, joten näet vain dataosan.
Mutta kun olet tekemisissä ns raa'at pistorasiat, saat takaisin Internet Protocol -otsikon, joka sanoo vain: "Hei, nämä tavut tulivat sellaiselta ja sellaiselta palvelimelta."
Ja sitten saat asian nimeltä "ICMP Echo Reply", joka on takaisin saamasi paketin toinen puoli.
Nyt nämä paketit ovat tyypillisesti vain noin 100 tavua, ja jos se on IPv4, ensimmäiset 20 tavua ovat IP-otsikko ja loput, mikä tahansa, on Echo Reply.
Siinä on muutama tavu sanottavaa: "Tämä on kaikuvastaus", ja sitten alkuperäinen viesti, joka lähti takaisin.
Ja niin itsestäänselvä asia, Doug, kun saat sen, jaat sen…
…IP-otsikko, joka on 20 tavua pitkä, ja loput.
Arvaa missä ongelma piilee?
DOUG. Kerro toki!
ANKKA. Ongelmana on, että IP-otsikot ovat *melkein aina* 20 tavua pitkiä – itse asiassa en usko, että olen koskaan nähnyt sellaista, joka ei olisi ollut.
Ja voit kertoa, että ne ovat 20 tavua pitkiä, koska ensimmäinen tavu on heksadesimaali 0x45.
"4" tarkoittaa IPv4:ää ja "5"… "Voi, käytämme sitä sanomaan, kuinka pitkä otsikko on."
Otat sen luvun 5 ja kerrot sen 4:llä (32-bittisille arvoille), ja saat 20 tavua.
…ja se on luultavasti kuuden sigman IP-otsikoiden koko, jota tulet koskaan näkemään koko maailmassa, Doug. [NAURU]
Mutta ne *voivat* nousta jopa 60 tavuun.
Jos laitat 0x4F sijasta 0x45, mikä tarkoittaa, että otsikossa on 0xF (tai 15 desimaalina) × 4 = 60 tavua.
Ja FreeBSD-koodi yksinkertaisesti otti otsikon ja kopioi sen pinon puskuriin, joka oli kooltaan 20 tavua.
Yksinkertainen, vanhan koulun pinopuskurin ylivuoto.
Kyseessä on arvostettu verkon vianetsintätyökalu, jossa on kunnioitettava bugi. (No, ei enää.)
Joten kun ohjelmoit ja joudut käsittelemään matalan tason juttuja, joita kukaan ei ole oikeastaan ajatellut aikoihin, älä vain lähde mukaan saatuun viisauteen, joka sanoo: "Voi, se tulee aina olemaan 20 tavua; et koskaan näe mitään suurempaa."
Koska jonain päivänä saatat.
Ja kun se päivä koittaa, se saattaa olla siellä tarkoituksella, koska joku roisto teki sen tarkoituksella.
Joten paholainen, kuten aina, on ohjelmoinnin yksityiskohdissa, Doug.
DOUG. OK, erittäin mielenkiintoinen; hieno tarina.
Ja jatkamme koodin aihetta tässä viimeisessä Chromea koskevassa tarinassa.
Toinen nollapäivä, joka nostaa vuoden 2022 kokonaismäärän yhdeksään kertaan:
Numero yhdeksän! Chrome korjaa toisen vuoden 2022 nollapäivän, Edge myös korjattu
ANKKA. [Muodollinen ääni, kuulostaa äänitteeltä] "Numero 9. Numero 9. Numero 9, numero 9", Douglas.
DOUG. [NAURAA] Onko tämä Yoko Ono?
ANKKA. Se Revolution 9 pois Beatles "White Album".
Yoko voi kuulla riffaavan tuossa kappaleessa – se äänimaisema, uskon, että he kutsuvat sitä – mutta ilmeisesti alussa, jossa joku sanoo "Numero 9, numero 9" yhä uudelleen ja uudelleen, se oli itse asiassa testinauha, jonka he löysivät ympäriinsä.
DOUG. Ah, erittäin siistiä.
ANKKA. EMI-insinööri sanoi jotain: "Tämä on EMI-testinauha numero 9" [NAurua], ja ilmeisesti en edes usko, että kukaan tietää kenen ääni se oli.
Sillä ei ole *mitään* tekemistä Chromen kanssa, Doug.
Mutta kun otetaan huomioon, että joku kommentoi Facebookissa toissapäivänä: "Tuo Paul-tyyppi alkaa näyttää Beatleltä"… [tietokilpailu], mikä minusta oli hieman outoa.
DOUG. [NAURAA] Kyllä, miten sinun pitäisi ottaa se?
ANKKA. …Ajattelin, että voisin syödä ulkona "Numero 9".
Näyttää siltä, että nyt on vuoden yhdeksäs nollapäivä, Doug.
Ja se on yhden virheen korjaus, jonka virhe on CVE 2022-4282.
Koska Microsoft Edge käyttää Chromiumin avoimen lähdekoodin ydintä, sekin oli haavoittuvainen, ja pari päivää myöhemmin Microsoft jatkoi Edgen päivityksen kanssa.
Tämä on siis sekä Chrome- että Edge-ongelma.
Vaikka näiden selainten pitäisi päivittää itsensä, suosittelen kuitenkin tarkistamaan - näytämme sinulle, kuinka se tehdään artikkelissa - varmuuden vuoksi.
En lue tässä versionumeroita, koska ne ovat erilaisia Macille, Linuxille ja Windowsille Chromessa, ja ne ovat taas erilaisia Edgessä.
Applen tavoin Google on hieman tiukkasanainen tämän suhteen.
Uskon, että yksi heidän uhkien metsästysryhmästään löysi sen.
Joten kuvittelen, että he löysivät sen tutkiessaan erästä luonnossa tapahtunutta tapausta, ja siksi he todennäköisesti haluavat pitää sen hatun alla, vaikka Googlella on yleensä paljon sanottavaa "avoimuudesta" virheiden korjaamisessa.
Ymmärrät, miksi tällaisessa tapauksessa saatat haluta hieman aikaa kaivaa hieman syvemmälle ennen kuin kerrot kaikille, kuinka se toimii.
DOUG. Loistavaa… ja meillä on lukijakysymys, jota luultavasti monet ihmiset ajattelevat.
Cassandra kysyy: ”Onko vianlöytäjillä vain onnea löytääkseen vikoja? Vai ovatko he osuneet "saumaan" täynnä bugeja? Vai julkaiseeko Chromium uutta koodia, joka on normaalia bugiisempaa? Vai onko jotain muuta meneillään?"
ANKKA. Kyllä, se on itse asiassa hieno kysymys, ja pelkään, että osaisin vastata siihen vain hieman ovelalla tavalla, Doug.
Koska Cassandra oli antanut vaihtoehdot A), B) ja C), sanoin: "No, ehkä se on D) Kaikki edellä mainitut."
Tiedämme, että kun tietyntyyppinen bugi ilmaantuu koodiin, on järkevää olettaa, että sama ohjelmoija on saattanut tehdä samanlaisia bugeja muualla ohjelmistossa.
Tai muut saman yrityksen ohjelmoijat ovat saattaneet käyttää sitä, mitä pidettiin tuolloin saaduksi viisaudeksi tai tavanomaiseksi käytännöksi, ja ovat saattaneet seurata esimerkkiä.
Ja hyvä esimerkki on, jos katsot taaksepäin Log4J:tä… ongelmaan löytyi korjaus.
Ja sitten, kun he menivät katsomaan: "Oi, itse asiassa on muita paikkoja, joissa on tehty samanlaisia virheitä."
Joten korjaukselle oli korjaus, ja sitten korjauksen korjaukselle oli korjaus, jos muistan.
Ongelmana on tietysti myös se, että kun lisäät uuden koodin, saatat saada bugeja, jotka ovat ainutlaatuisia tälle uudelle koodille ja jotka syntyvät ominaisuuksien lisäämisen vuoksi.
Ja siksi monilla selaimilla, mukaan lukien Chrome, on "hieman vanhempi" versio, josta voit pitää kiinni.
Ja ajatuksena on, että noissa "vanhemmissa" julkaisuissa… niissä ei ole mitään uusista ominaisuuksista, vaan kaikki asiaankuuluvat tietoturvakorjaukset.
Joten jos haluat olla konservatiivinen uusien ominaisuuksien suhteen, voit olla.
Mutta tiedämme varmasti, että joskus, kun lisäät uusia ominaisuuksia tuotteeseen, uusien ominaisuuksien mukana tulee uusia bugeja.
Ja voit kertoa sen esimerkiksi silloin, kun iPhonellesi on päivitys, ja saat päivityksiä esimerkiksi iOS 15:lle ja iOS 16:lle.
Sitten kun tarkastelet virheluetteloita, muutama virhe koskee vain iOS 16:ta.
Ja ajattelet: "Hei, näiden täytyy olla koodissa olevia bugeja, joita ei ollut aiemmin."
Joten kyllä, se on mahdollisuus.
Ja mielestäni muita tapahtuvia asioita voidaan pitää hyvinä.
Ensimmäinen on se, että uskon, että erityisesti selainten kaltaisten asioiden osalta selainvalmistajat ovat saaneet paljon paremmin aikaan täydellisiä uudistuksia todella, todella nopeasti.
DOUG. Mielenkiintoista.
ANKKA. Ja luulen, että toinen asia, joka on muuttunut, on se, että aiemmin saattoi väittää, että monille myyjille… oli melko vaikeaa saada ihmisiä kiinnittämään laastareita ollenkaan, vaikka ne ilmestyivät vain kuukausittain, ja vaikka niissä oli useita nollapäivän korjauksia.
Luulen, että ehkä se on myös vastaus siihen tosiasiaan, että yhä useammat meistä eivät todennäköisemmin vain hyväksy, vaan itse asiassa *odottavat* automaattisen päivityksen, joka on todella nopea.
Joten luulen, että voit lukea tästä jotain hyvää.
Se, että Google voi työntää yhden nollapäivän korjauksen lähes välittömästi, ei ainoastaan seikka, vaan myös se, että ihmiset ovat valmiita hyväksymään sen ja jopa vaatimaan sitä.
Joten pidän siitä, että "Vau, yhdeksän nollapäivää vuodessa korjataan erikseen!"…
… Pidän siitä enemmän kuin "lasi puolityhjänä ja täyttönä" kuin "lasi puoliksi tyhjänä ja tyhjennys pienen pohjassa olevan reiän kautta". [NAURU]
Se on minun mielipiteeni.
DOUG. Selvä, erittäin hyvä.
Kiitos kysymyksestä, Cassandra.
Jos sinulla on mielenkiintoinen tarina, kommentti tai kysymys, jonka haluat lähettää, luemme sen mielellämme podcastista.
Voit lähettää sähköpostia tips@sophos.com, voit kommentoida mitä tahansa artikkeleistamme tai voit ottaa meihin yhteyttä sosiaalisessa mediassa: @NakedSecurity.
Se on tämän päivän esitys; kiitos paljon kuuntelusta.
Paul Ducklinille olen Doug Aamoth, muistuttaen: seuraavaan kertaan…
Molemmat. Pysy turvassa!
[MUSIIKKIMODEEMI]
- omena
- blockchain
- kromi
- coingenius
- cryptocurrency-lompakot
- cryptoexchange
- tietoverkkoturvallisuus
- tietoverkkorikollisuuden
- verkkorikollisille
- tietoverkkojen
- sisäisen turvallisuuden osasto
- digitaaliset lompakot
- reuna
- Käyttää hyväkseen
- palomuuri
- hakkerointi
- iOS
- Kaspersky
- Laki
- haittaohjelmat
- McAfee
- Microsoft
- Naked Security
- Alasturvallisuus Podcast
- NexBLOC
- Platon
- plato ai
- Platonin tietotieto
- Platon peli
- PlatonData
- platopeliä
- podcast
- yksityisyys
- VPN
- alttius
- verkkosivuilla turvallisuus
- zephyrnet
![S3 Ep121: Voitko joutua hakkerointiin ja joutua syytteeseen siitä? [Ääni + teksti]](https://platoaistream.com/wp-content/uploads/2023/02/s3-ep121-can-you-get-hacked-and-then-prosecuted-for-it-audio-text-300x156.png)
