एक पॉपकॉर्न टिन में तीन अरब डॉलर?
रेडियो तरंगें इतनी रहस्यमयी हैं कि उन्हें केवल एक्स-रे के नाम से जाना जाता है। वहां थे छह 0-दिन या केवल चार? पुलिस वाले जो 3 अरब डॉलर मिले एक पॉपकॉर्न टिन में. नीला बिल्ला भ्रम. जब यूआरएल स्कैनिंग गलत हो जाता है। नज़र रखना हर आखिरी अप्रकाशित फ़ाइल. क्यों असंभावित कारनामे भी "उच्च" गंभीरता स्तर अर्जित कर सकते हैं।
किसी भी बिंदु पर जाने के लिए नीचे ध्वनि तरंगों पर क्लिक करें और खींचें। आप भी कर सकते हैं सीधे सुनो साउंडक्लाउड पर।
डग आमोथ और पॉल डकलिन के साथ। इंट्रो और आउट्रो म्यूजिक by एडिथ मुडगे.
आप हमें इस पर सुन सकते हैं Soundcloud, ऐप्पल पॉडकास्ट्स, Google पॉडकास्ट, Spotify, सीनेवाली मशीन और कहीं भी अच्छे पॉडकास्ट मिल जाते हैं। या बस छोड़ दें हमारे आरएसएस फ़ीड का यूआरएल अपने पसंदीदा पॉडकैचर में।
प्रतिलेख पढ़ें
डौग ट्विटर घोटाले, पैच मंगलवार, और अपराधी हैकिंग अपराधी।
नग्न सुरक्षा पॉडकास्ट पर वह सब और बहुत कुछ।
[संगीत मोडेम]
पॉडकास्ट में आपका स्वागत है, सब लोग।
मैं डौग हूँ.
वह पॉल डकलिन है।
पॉल, आज आप कैसे हैं?
बत्तख। बहुत अच्छा, डौग।
हमारे यहाँ इंग्लैंड में चंद्रग्रहण नहीं था, लेकिन मुझे बादलों के बीच एक छोटे से अंतराल के माध्यम से *पूर्ण* पूर्ण चंद्रमा की एक संक्षिप्त झलक मिली, जो उस समय पूरे बादल की परत में एकमात्र छेद के रूप में उभरी जब मैं बाहर गया। एक नज़र देख लो!
लेकिन हमारे पास वह नारंगी चाँद नहीं था जैसा आप लोगों के पास मैसाचुसेट्स में था।
डौग आइए शो की शुरुआत करते हैं टेक इतिहास में यह सप्ताह...यह बहुत पीछे चला जाता है।
इस सप्ताह, 08 नवंबर 1895 को, जर्मन भौतिकी के प्रोफेसर विल्हेम रॉन्टगन की नजर विकिरण के अभी तक अनदेखे रूप पर पड़ी, जिसने उन्हें उक्त विकिरण को केवल "एक्स" के रूप में संदर्भित करने के लिए प्रेरित किया।
जैसा कि एक्स-रे में होता है।
उसके बारे में क्या ख्याल है... एक्स-रे की आकस्मिक खोज?
बत्तख। सचमुच अद्भुत।
मुझे याद है कि मेरी माँ ने मुझसे कहा था: 1950 के दशक में (संयुक्त राज्य अमेरिका में भी ऐसा ही रहा होगा), जाहिर तौर पर, जूते की दुकानों में...
डौग [जानता है क्या आ रहा है] हाँ! [हंसते हुए]
बत्तख। लोग अपने बच्चों को अंदर ले जाएंगे... आप इस मशीन में खड़े होंगे, जूते पहनेंगे और सिर्फ यह कहने के बजाय, "चलो, क्या वे तंग हैं?" क्या वे चुटकी बजाते हैं?", आप एक एक्स-रे मशीन में खड़े थे, जिसने मूल रूप से आपको एक्स-रे विकिरण से नहलाया और एक लाइव फोटो लिया और कहा, "ओह हाँ, वे सही आकार के हैं।"
डौग हाँ, सरल समय। थोड़ा खतरनाक, लेकिन...
बत्तख। थोड़ा खतरनाक?
क्या आप जूते की दुकानों में काम करने वाले लोगों की कल्पना कर सकते हैं?
वे हर समय एक्स-रे में नहाते रहे होंगे।
डौग बिल्कुल... ठीक है, आज हम थोड़ा सुरक्षित हैं।
और सुरक्षा के विषय पर, महीने का पहला मंगलवार माइक्रोसॉफ्ट का पैच मंगलवार है।
So हमने क्या सीखा यह पैच मंगलवार यहाँ नवंबर 2022 में है?
एक्सचेंज 0-दिन तय (अंत में) - प्लस 4 ब्रांड नया पैच मंगलवार 0-दिन!
बत्तख। खैर, अति-रोमांचक बात, डौग, यह है कि तकनीकी रूप से पैच मंगलवार ने एक नहीं, दो नहीं, तीन नहीं... बल्कि *चार* शून्य-दिन तय किए।
लेकिन असल में मंगलवार को आपको Microsoft उत्पादों के लिए जो पैच मिल सकते थे, उनमें *छह* शून्य-दिन निर्धारित थे।
उन एक्सचेंज शून्य-दिनों को याद रखें जिन्हें पिछले पैच मंगलवार को कुख्यात रूप से पैच नहीं किया गया था: CVE-2002-41040 और CVE-2022-41082, जिन्हें इस नाम से जाना जाता है प्रॉक्सीनॉटशेल?
S3 Ep102.5: "प्रॉक्सी नॉटशेल" एक्सचेंज बग - एक विशेषज्ञ बोलता है [ऑडियो + टेक्स्ट]
खैर, उन्हें ठीक कर दिया गया, लेकिन अनिवार्य रूप से पैच मंगलवार के लिए एक अलग "साइडलाइन" में: एक्सचेंज नवंबर 2022 एसयू, या सॉफ़्टवेयर अपडेट, जो बस यही कहता है:
नवंबर 2022 एक्सचेंज सॉफ़्टवेयर अपडेट में 29 सितंबर 2022 को सार्वजनिक रूप से रिपोर्ट की गई शून्य-दिन की कमजोरियों के समाधान शामिल हैं।
आपको बस एक्सचेंज को अपग्रेड करना है।
जी, धन्यवाद माइक्रोसॉफ्ट... मुझे लगता है कि हम जानते थे कि जब पैच अंततः सामने आएंगे तो हमें यही करना होगा!
तो, वे *बाहर* हैं और दो शून्य-दिन निर्धारित हैं, लेकिन वे नए नहीं हैं, और वे तकनीकी रूप से "पैच मंगलवार" भाग में नहीं हैं।
वहां हमारे पास चार अन्य शून्य-दिन निर्धारित हैं।
और यदि आप पैच को प्राथमिकता देने में विश्वास करते हैं, तो जाहिर है कि वे वही हैं जिनसे आप पहले निपटना चाहते हैं, क्योंकि कोई पहले से ही जानता है कि उनके साथ गलत काम कैसे करना है।
इनमें सुरक्षा बाईपास से लेकर दो विशेषाधिकार उन्नयन और एक रिमोट कोड निष्पादन शामिल हैं।
लेकिन इससे भी अधिक हैं कुल 60 पैच, और यदि आप प्रभावित उत्पादों और विंडोज घटकों की समग्र सूची को देखते हैं, तो हमेशा की तरह एक बहुत बड़ी सूची है, जो हर उस विंडोज घटक/उत्पाद को शामिल करती है जिसके बारे में आपने सुना है, और कई के बारे में आपने शायद नहीं सुना है।
तो, हमेशा की तरह: देर न करें/आज ही करें, डगलस!
डौग बहुत अच्छा है.
आइए अब बात करते हैं काफी देरी के बारे में...
आपके पास इसके बारे में एक बहुत ही दिलचस्प कहानी है सिल्क रोड दवा बाज़ार, और एक अनुस्मारक कि अपराधियों से चोरी करना अभी भी एक अपराध है, भले ही लगभग दस साल बाद आप वास्तव में इसके लिए पकड़े जाएं।
सिल्क रोड ड्रग्स मार्केट हैकर ने दोषी ठहराया, 20 साल के अंदर का सामना करना पड़ा
बत्तख। हां, यहां तक कि जो लोग साइबर सुरक्षा या ऑनलाइन जाने के लिए बिल्कुल नए हैं, उन्होंने शायद "सिल्क रोड" के बारे में सुना होगा, शायद पहला प्रसिद्ध, बड़ा, व्यापक, व्यापक रूप से उपयोग किया जाने वाला डार्क वेब मार्केटप्लेस जहां मूल रूप से कुछ भी होता है।
तो, वह सब 2013 में आग की भेंट चढ़ गया।
क्योंकि संस्थापक, मूल रूप से केवल के रूप में जाना जाता है खूंखार समुद्री डाकू रॉबर्टs, लेकिन अंततः पता चला रॉस उलब्रिक्ट...उनकी खराब परिचालन सुरक्षा गतिविधियों को उनसे जोड़ने के लिए पर्याप्त थी।
सिल्क रोड के संस्थापक रॉस उलब्रिच्ट को बिना पैरोल के जीवनदान मिलता है
न केवल उनकी परिचालन सुरक्षा बहुत अच्छी नहीं थी, ऐसा लगता है कि 2012 के अंत में, उनसे (क्या आप इस पर विश्वास कर सकते हैं, डौग?) एक क्रिप्टोकरेंसी भुगतान प्रसंस्करण संबंधी गलती हुई थी...
डौग [नकली डरावनी स्थिति में हांफते हुए]
बत्तख। ...उस प्रकार का जिसे हमने तब से कई बार दोहराया है, वह उचित दोहरी प्रविष्टि लेखांकन नहीं कर रहा है, जहां प्रत्येक डेबिट के लिए, एक संबंधित क्रेडिट होता है और इसके विपरीत।
और इस हमलावर ने पता लगाया, यदि आपने अपने खाते में कुछ पैसे डाले और फिर बहुत जल्दी इसे अन्य खातों में भुगतान कर दिया, तो आप वास्तव में उसी बिटकॉइन का पांच गुना (या इससे भी अधिक) भुगतान कर सकते हैं, इससे पहले कि सिस्टम को पता चले कि पहला डेबिट हो गया था के माध्यम से।
तो आप मूल रूप से कुछ पैसे लगा सकते हैं और फिर इसे बार-बार निकाल सकते हैं, और एक बड़ा भंडार प्राप्त कर सकते हैं...
...और फिर आप उस पर वापस जा सकते हैं जिसे आप "क्रिप्टोकरेंसी मिल्किंग लूप" कह सकते हैं।
और यह अनुमान लगाया गया है... जांचकर्ताओं को यकीन नहीं था, कि उसने अपने स्वयं के 200 और 2000 बिटकॉइन के साथ शुरुआत की थी (चाहे उसने उन्हें खरीदा या उन्हें खनन किया, हम नहीं जानते), और उसने बहुत, बहुत जल्दी उन्हें बदल दिया, इसके लिए प्रतीक्षा करें, डौग: 50,0000 बिटकॉइन!
डौग वाह!
बत्तख। 50,000 से अधिक बिटकॉइन, बिल्कुल ऐसे ही।
और फिर, जाहिर तौर पर यह अनुमान लगाते हुए कि कोई नोटिस करने वाला है, उसने कट-एंड-रन किया, जबकि वह 50,000 बिटकॉइन के साथ आगे था...
...प्रत्येक की कीमत आश्चर्यजनक रूप से $12 है, जो कि कुछ ही वर्ष पहले एक सेंट के अंश से भी अधिक है। [हंसते हुए]
तो उसने 600,000 डॉलर कमाए, ठीक वैसे ही, डौग।
[नाटकीय ठहराव]
नौ साल बाद...
[हँसी]
...लगभग *बिल्कुल* नौ साल बाद, जब उसका भंडाफोड़ हुआ और वारंट के तहत उसके घर पर छापा मारा गया, तो पुलिस ने तलाशी ली और उसकी कोठरी में कंबल का ढेर पाया, जिसके नीचे एक पॉपकॉर्न टिन छिपा हुआ था।
आपके पॉपकॉर्न को रखने के लिए अजीब जगह।
जिसके अंदर एक प्रकार का कम्प्यूटरीकृत कोल्ड वॉलेट था।
जिसके अंदर उक्त बिटकॉइन का एक बड़ा हिस्सा था!
जिस समय उसका भंडाफोड़ हुआ, उस समय बिटकॉइन की कीमत $65,535 (या 216-प्रत्येक को 1।
इस दौरान वे एक हजार गुना से भी अधिक बढ़ गए।
तो, उस समय, यह अब तक की सबसे बड़ी क्रिप्टोकॉइन हलचल थी!
नौ साल बाद, जाहिरा तौर पर अपने गलत तरीके से कमाए गए लाभ का निपटान करने में असमर्थ होने के कारण, शायद उसे डर था कि अगर उसने उन्हें एक गिलास में डालने की कोशिश भी की, तो सभी उंगलियां उसी पर वापस आ जाएंगी...
...उसके पास 3 बिलियन डॉलर मूल्य के सभी बिटकॉइन हैं जो नौ वर्षों से पॉपकॉर्न टिन में रखे हुए हैं!
डौग हे भगवान।
बत्तख। तो, इतने वर्षों तक इस डरावने खजाने पर बैठकर सोचता रहा कि क्या वह पकड़ा जाएगा, अब वह सोच रहा है, "मैं कब तक जेल जाऊंगा?"
और उस पर लगे आरोप के लिए अधिकतम सज़ा?
20 साल, डौग।
डौग एक और दिलचस्प कहानी अभी चल रही है. यदि आप हाल ही में ट्विटर पर हैं, तो आपको पता होगा कि वहाँ बहुत सारी गतिविधियाँ हैं। इसे कूटनीतिक रूप से कहें तो...
बत्तख। [निम्न-से-मध्यम गुणवत्ता वाले बॉब डायलन प्रतिरूपण] खैर, समय बदल रहा है।
डौग ...जिसमें एक बिंदु पर सत्यापित नीले चेक के लिए $20 चार्ज करने का विचार भी शामिल है, जो निश्चित रूप से, लगभग तुरंत ही कुछ घोटालों को प्रेरित किया.
बत्तख। यह सिर्फ एक अनुस्मारक है, डौग, कि जब भी कोई ऐसी चीज़ होती है जिसने बहुत अधिक रुचि आकर्षित की है, तो बदमाश निश्चित रूप से उसका अनुसरण करेंगे।
और इसका आधार यह था, “अरे, जल्दी क्यों नहीं आते? यदि आपको पहले से ही नीला निशान मिल गया है, तो अनुमान लगाएँ क्या? यदि आप पूर्व-पंजीकरण करते हैं तो आपको प्रति माह $19.99 का भुगतान नहीं करना होगा। हम आपको इसे रखने देंगे।
हम जानते हैं कि यह एलोन मस्क का विचार नहीं था, जैसा कि उन्होंने कहा था, लेकिन यह उस तरह की चीज़ है जो कई व्यवसाय करते हैं, क्या ऐसा नहीं है?
यदि आप सेवा के साथ बने रहेंगे तो बहुत सी कंपनियाँ आपको किसी न किसी प्रकार का लाभ देंगी।
तो यह पूरी तरह से अविश्वसनीय नहीं है।
जैसा कि आप कहते हैं... आपने इसे क्या दिया?
बी-माइनस, क्या यह था?
डौग मैं प्रारंभिक ईमेल को बी-माइनस देता हूं... यदि आप इसे जल्दी से पढ़ते हैं तो शायद आपको धोखा दिया जा सकता है, लेकिन इसमें कुछ व्याकरण संबंधी समस्याएं हैं; सामान सही नहीं लगता.
और फिर एक बार जब आप क्लिक करेंगे, तो मैं लैंडिंग पेजों को सी-माइनस दे दूंगा।
यह और भी ख़तरनाक हो जाता है.
बत्तख। वह 5/10 और 6/10 के बीच कहीं है?
डौग हाँ, चलिए ऐसा कहते हैं।
और हमारे पास कुछ सलाह है, ताकि भले ही यह ए-प्लस घोटाला हो, इससे कोई फर्क नहीं पड़ेगा क्योंकि आप इसे वैसे भी विफल करने में सक्षम होंगे!
मेरी निजी पसंदीदा से शुरुआत: पासवर्ड मैनेजर का उपयोग करें.
जब घोटालों की बात आती है तो एक पासवर्ड मैनेजर बहुत सी समस्याओं का समाधान करता है।
बत्तख। ऐसा होता है।
एक पासवर्ड मैनेजर के पास कोई मानव-जैसी बुद्धिमत्ता नहीं होती है जिसे इस तथ्य से गुमराह किया जा सके कि सुंदर चित्र सही है, या लोगो बिल्कुल सही है, या वेब फॉर्म बिल्कुल उसी फ़ॉन्ट के साथ स्क्रीन पर बिल्कुल सही स्थिति में है। , तो आप इसे पहचानें।
यह केवल इतना जानता है: "इस साइट के बारे में पहले कभी नहीं सुना।"
डौग और निश्चित रूप से, यदि आप कर सकते हैं तो 2FA चालू करें.
यदि संभव हो तो हमेशा प्रमाणीकरण का दूसरा कारक जोड़ें।
बत्तख। निःसंदेह, यह आवश्यक रूप से आपको स्वयं से सुरक्षित नहीं रखता है।
यदि आप किसी नकली साइट पर जाते हैं और आपने निर्णय लिया है, "अरे, यह पिक्सेल-परफेक्ट है, यह वास्तविक सौदा होना चाहिए", और आप लॉग इन करने के लिए दृढ़ हैं, और आपने पहले ही अपना उपयोगकर्ता नाम और अपना पासवर्ड डाल दिया है, और फिर यह आपसे 2FA प्रक्रिया से गुजरने के लिए कहता है...
...आप ऐसा करने की बहुत संभावना रखते हैं।
हालाँकि, यह आपको "स्टॉप" करने के लिए थोड़ा सा समय देता है। सोचना। जोड़ना।" बात, और अपने आप से कहो, "रुको, मैं यहाँ क्या कर रहा हूँ?"
तो, एक तरह से, 2FA द्वारा की जाने वाली थोड़ी सी देरी वास्तव में न केवल बहुत कम परेशानी हो सकती है, बल्कि वास्तव में आपके साइबर सुरक्षा वर्कफ़्लो को बेहतर बनाने का एक तरीका भी हो सकती है... बस पर्याप्त स्पीड बम्प पेश करके कि आप साइबर सुरक्षा लेने के इच्छुक हैं वह थोड़ा अधिक गंभीरता से।
इसलिए मैं नहीं देखता कि वास्तव में इसका नकारात्मक पक्ष क्या है।
डौग और निःसंदेह, एक और रणनीति जिसका पालन करना बहुत से लोगों के लिए कठिन है, लेकिन बहुत प्रभावी है, वह है ईमेल में लॉगिन लिंक और एक्शन बटन से बचें.
इसलिए यदि आपको कोई ईमेल मिलता है, तो बस बटन पर क्लिक न करें... साइट पर जाएं और आप बहुत जल्दी बता पाएंगे कि वह ईमेल वैध था या नहीं।
बत्तख। मूल रूप से, यदि आप आरंभिक पत्राचार पर पूरी तरह से भरोसा नहीं कर सकते हैं, तो आप इसमें दिए गए किसी भी विवरण पर भरोसा नहीं कर सकते हैं, चाहे वह लिंक हो जिस पर आप क्लिक करने जा रहे हैं, वह फ़ोन नंबर हो जिस पर आप कॉल करने जा रहे हैं, वह ईमेल पता हो जिस पर आप क्लिक कर रहे हैं। आप उनसे संपर्क करने जा रहे हैं, जिस इंस्टाग्राम अकाउंट पर आप डीएम भेजने जा रहे हैं, चाहे वह कुछ भी हो।
ईमेल में जो है उसका उपयोग न करें... वहां अपना रास्ता खोजें, और आप इस प्रकार के कई घोटालों को शॉर्ट सर्किट कर देंगे।
डौग और अंत में, अंतिम लेकिन महत्वपूर्ण बात... यह सामान्य ज्ञान होना चाहिए, लेकिन ऐसा नहीं है: अनिश्चित संदेश भेजने वाले से कभी न पूछें कि क्या वे वैध हैं।
उत्तर देकर यह न कहें, "अरे, क्या आप सचमुच ट्विटर हैं?"
बत्तख। हाँ, आप बिलकुल सही कह रहे हैं।
क्योंकि मेरी पिछली सलाह, "ईमेल में दी गई जानकारी पर भरोसा न करें", जैसे कि उनके फोन नंबर पर फोन न करें... कुछ लोग यह कहने के लिए प्रलोभित होते हैं, "ठीक है, मैं फोन नंबर पर कॉल करूंगा और देखूंगा कि क्या यह वास्तव में है वे हैं. [विडंबना] क्योंकि, जाहिर है, अगर रसोइया जवाब देता है, तो वे अपना असली नाम बताएंगे।"
डौग जैसा कि हम हमेशा कहते हैं: यदि संदेह है/इसे न दें.
और यह एक अच्छी सावधान करने वाली कहानी है, यह अगली कहानी: जब सुरक्षा स्कैन, जो वैध सुरक्षा उपकरण हैं, जितना उन्हें करना चाहिए उससे अधिक प्रकट करें, फिर क्या होता है?
सार्वजनिक URL स्कैनिंग उपकरण - जब सुरक्षा असुरक्षा की ओर ले जाती है
बत्तख। यह जर्मनी में फैबियन ब्रौनलेन के नाम से एक प्रसिद्ध शोधकर्ता है... हमने पहले भी उसे कुछ बार दिखाया है।
वह एक विस्तृत रिपोर्ट के साथ वापस आ गया है जिसका शीर्षक है urlscan.ioका SOAR स्पॉट: चैटिंग सुरक्षा उपकरण निजी डेटा लीक कर रहे हैं.
और इस मामले में, यह है urlscan.io, एक वेबसाइट जिसे आप निःशुल्क (या सशुल्क सेवा के रूप में) उपयोग कर सकते हैं, जहां आप एक यूआरएल, या एक डोमेन नाम, या एक आईपी नंबर, या जो कुछ भी हो, सबमिट कर सकते हैं, और आप देख सकते हैं, "समुदाय क्या जानता है" इस बारे में?"
और यह उस पूर्ण URL को प्रकट करेगा जिसके बारे में अन्य लोगों ने पूछा था।
और ये सिर्फ वो चीज़ें नहीं हैं जिन्हें लोग अपनी पसंद से कॉपी-पेस्ट करते हैं।
कभी-कभी, उदाहरण के लिए, उनका ईमेल किसी तृतीय-पक्ष फ़िल्टरिंग टूल से गुजर रहा होगा जो स्वयं यूआरएल निकालता है, होम को कॉल करता है urlscan.io, खोज करता है, परिणाम प्राप्त करता है और उसका उपयोग यह तय करने के लिए करता है कि जंक करना है, स्पैम-ब्लॉक करना है या संदेश को पास करना है।
और इसका मतलब यह है कि कभी-कभी, यदि यूआरएल में गुप्त या अर्ध-गुप्त डेटा, व्यक्तिगत रूप से पहचान योग्य जानकारी शामिल होती है, तो अन्य लोग जो थोड़े समय के भीतर सही डोमेन नाम की खोज करते हैं, उन्हें वे सभी यूआरएल दिखाई देंगे जो खोजे गए थे, जिनमें शामिल हैं चीज़ें जो URL में हो सकती हैं.
तुम्हें पता है, पसंद है blahblah?username=doug&passwordresetcode= उसके बाद एक लंबी स्ट्रिंग हेक्साडेसिमल वर्ण, इत्यादि।
और ब्रुनेलिन ने इस प्रकार के यूआरएल की एक आकर्षक सूची तैयार की, विशेष रूप से वे जो ईमेल में दिखाई दे सकते हैं, जिन्हें नियमित रूप से फ़िल्टर करने के लिए किसी तीसरे पक्ष को भेजा जा सकता है और फिर खोज के लिए अनुक्रमित किया जा सकता है।
जिस प्रकार के ईमेल के बारे में उन्होंने सोचा था, वे निश्चित रूप से शोषण योग्य थे, लेकिन इन तक सीमित नहीं थे: खाता निर्माण लिंक; अमेज़न उपहार वितरण लिंक; एपीआई कुंजियाँ; दस्तावेज़ हस्ताक्षर अनुरोध; ड्रॉपबॉक्स फ़ाइल स्थानांतरण; पैकेज ट्रैकिंग; पासवर्ड रीसेट; पेपैल चालान; Google ड्राइव दस्तावेज़ साझाकरण; SharePoint आमंत्रण; और न्यूज़लेटर अनसब्सक्राइब लिंक।
SharePoint, Google Drive, PayPal इत्यादि पर उंगलियाँ नहीं उठानी चाहिए।
वे केवल यूआरएल के उदाहरण थे जो उसे मिले थे जो संभावित रूप से इस तरह से शोषण योग्य थे।
डौग हमें उस लेख के अंत में कुछ सलाह मिली है, जो इस प्रकार है: ब्रुनलीन की रिपोर्ट पढ़ें; पढ़ना urlscan.ioका ब्लॉग पोस्ट; अपनी खुद की एक कोड समीक्षा करें; यदि आपके पास कोड है जो ऑनलाइन सुरक्षा लुकअप करता है; जानें कि ऑनलाइन सबमिशन के लिए कौन सी गोपनीयता सुविधाएँ मौजूद हैं; और, महत्वपूर्ण रूप से, यह सीखें कि यदि आप किसी ऑनलाइन सेवा में गलत डेटा देखते हैं तो उसकी रिपोर्ट कैसे करें।
मैंने देखा कि वहाँ तीन... तरह-तरह की लिमरिक हैं?
इस लेख के अंत में बहुत रचनात्मक लघु कविताएँ...
बत्तख। [मॉक हॉरर] नहीं, वे लिमरिक नहीं हैं! लिमरिक में एक बहुत ही औपचारिक पाँच-पंक्ति संरचना है...
डौग [हँसते हुए] मुझे बहुत खेद है। यह सच है!
बत्तख। ...मीटर और छंद दोनों के लिए।
बहुत संरचित, डौग!
डौग मुझे बहुत खेद है, यह सच है। [हंसते हुए]
बत्तख। ये तो बस डोगेरेल है. [हँसी]
एक बार फिर: यदि संदेह है/इसे न दें.
और यदि आप डेटा एकत्र कर रहे हैं: अगर यह अंदर नहीं होना चाहिए/इसे सीधे बिन में चिपका दें.
और यदि आप ऐसा कोड लिख रहे हैं जो सार्वजनिक एपीआई को कॉल करता है जो ग्राहक डेटा प्रकट कर सकता है: कभी भी अपने उपयोगकर्ताओं को एपीआई कॉल करने के तरीके से रुलाएं नहीं.
डौग [हँसते हैं] यह मेरे लिए नया है, और मुझे यह बहुत पसंद है!
और आखिरी, लेकिन निश्चित रूप से यहां हमारी सूची में सबसे महत्वपूर्ण नहीं, हम इस ओपनएसएसएल सुरक्षा बग के बारे में सप्ताह दर सप्ताह बात कर रहे हैं।
अब बड़ा सवाल यह है, "आप कैसे बता सकते हैं क्या सुधार की आवश्यकता है?”
ओपनएसएसएल सुरक्षा अद्यतन कहानी - आप कैसे बता सकते हैं कि क्या ठीक करने की आवश्यकता है?
बत्तख। दरअसल, डौग, हमें कैसे पता चलेगा कि हमें ओपनएसएसएल का कौन सा संस्करण मिला है?
और जाहिर है, लिनक्स पर, आप बस एक कमांड प्रॉम्प्ट खोलें और टाइप करें openssl version, और यह आपको बताता है कि आपके पास कौन सा संस्करण है।
लेकिन ओपनएसएसएल एक प्रोग्रामिंग लाइब्रेरी है, और ऐसा कोई नियम नहीं है जो कहता हो कि सॉफ़्टवेयर का अपना संस्करण नहीं हो सकता।
आपका डिस्ट्रो ओपनएसएसएल 3.0 का उपयोग कर सकता है, और फिर भी एक ऐप है जो कहता है, "ओह, नहीं, हमने नए संस्करण में अपग्रेड नहीं किया है। हम ओपनएसएसएल 1.1.1 को प्राथमिकता देते हैं, क्योंकि यह अभी भी समर्थित है, और यदि आपके पास यह नहीं है, तो हम अपना स्वयं का संस्करण ला रहे हैं।
और इसलिए, दुर्भाग्य से, उस कुख्यात Log4Shell मामले की तरह, आपको तीनों की तलाश करनी पड़ी? 12? 154? आपके नेटवर्क पर न जाने कितनी जगहें हैं जहां आपके पास पुराना Log4J प्रोग्राम हो सकता है।
ओपनएसएसएल के लिए भी वही।
सिद्धांत रूप में, एक्सडीआर या ईडीआर उपकरण आपको बताने में सक्षम हो सकते हैं, लेकिन कुछ इसका समर्थन नहीं करेंगे और कई इसे हतोत्साहित करेंगे: वास्तव में यह पता लगाने के लिए प्रोग्राम चला रहे हैं कि यह कौन सा संस्करण है।
क्योंकि, आख़िरकार, यदि यह ख़राब है या ग़लत है, और आपको वास्तव में इसे अपने स्वयं के संस्करण की रिपोर्ट करने के लिए प्रोग्राम चलाना होगा...
...यह घोड़े के आगे गाड़ी लगाने जैसा लगता है, है ना?
इसलिए हमने उन विशेष मामलों के लिए एक लेख प्रकाशित किया है जहां आप वास्तव में डीएलएल, या साझा लाइब्रेरी लोड करना चाहते हैं, और आप वास्तव में इसे स्वयं कॉल करना चाहते हैं TellMeThyVersion() सॉफ्टवेयर कोड.
दूसरे शब्दों में, आप प्रोग्राम पर इतना भरोसा करते हैं कि आप इसे मेमोरी में लोड करेंगे, इसे निष्पादित करेंगे और इसके कुछ घटक चलाएंगे।
हम आपको दिखाते हैं कि यह कैसे करना है ताकि आप पूरी तरह से सुनिश्चित कर सकें कि आपके नेटवर्क पर मौजूद कोई भी ओपनएसएसएल फ़ाइलें अद्यतित हैं।
क्योंकि यद्यपि इसे क्रिटिकल से हाई में डाउनग्रेड कर दिया गया था, यह अभी भी एक बग है जिसे आपको ठीक करने की आवश्यकता है और आप इसे ठीक करना चाहते हैं!
डौग इस बग की गंभीरता के विषय पर, हमें एक मिला दिलचस्प सवाल नग्न सुरक्षा पाठक स्वेत से, जो आंशिक रूप से लिखते हैं:
ऐसा कैसे है कि एक बग जो शोषण के लिए अत्यधिक जटिल है, और जिसका उपयोग केवल सेवा हमलों से इनकार करने के लिए किया जा सकता है, को उच्च के रूप में वर्गीकृत किया जा रहा है?
बत्तख। हां, मुझे लगता है कि उन्होंने इस बारे में कुछ कहा, "ओह, क्या ओपनएसएल टीम ने सीवीएसएस के बारे में नहीं सुना है?", जो कि एक अमेरिकी सरकार का मानक है, यदि आप चाहें, तो बग के जोखिम और जटिलता स्तर को एक तरह से एन्कोड करने के लिए स्क्रिप्ट द्वारा स्वचालित रूप से फ़िल्टर किया गया।
तो अगर इसे कम सीवीएसएस स्कोर मिला है (जो कि है सामान्य भेद्यता स्कोरिंग प्रणाली), लोग इसे लेकर उत्साहित क्यों हो रहे हैं?
यह उच्च क्यों होना चाहिए?
और इसलिए मेरा उत्तर था, "यह उच्च क्यों नहीं होना चाहिए?"
यह क्रिप्टोग्राफ़िक इंजन में एक बग है; यह एक प्रोग्राम को क्रैश कर सकता है, मान लीजिए, वह अपडेट प्राप्त करने का प्रयास कर रहा है... इसलिए यह बार-बार क्रैश होगा, जो सेवा से इनकार करने से थोड़ा अधिक है, क्योंकि यह वास्तव में आपको अपनी सुरक्षा ठीक से करने से रोक रहा है।
इसमें सुरक्षा बाईपास का एक तत्व है।
और मुझे लगता है कि उत्तर का दूसरा भाग यह है, जब कमजोरियों को कारनामों में बदलने की बात आती है: "कभी मत कहो!"
जब आपके पास स्टैक बफर ओवरफ्लो जैसा कुछ होता है, जहां आप स्टैक पर अन्य वेरिएबल्स में हेरफेर कर सकते हैं, संभवतः मेमोरी एड्रेस सहित, तो हमेशा यह मौका रहेगा कि कोई व्यक्ति एक व्यावहारिक शोषण का पता लगा सकता है।
और समस्या यह है, डौग, एक बार जब उन्होंने इसका पता लगा लिया, तो इससे कोई फर्क नहीं पड़ता कि यह पता लगाना कितना जटिल था...
...एक बार जब आप जान जाते हैं कि इसका फायदा कैसे उठाना है, तो *कोई भी* इसे कर सकता है, क्योंकि ऐसा करने के लिए आप उन्हें कोड बेच सकते हैं।
मुझे लगता है कि आप जानते हैं कि मैं क्या कहने जा रहा हूं: "ऐसा नहीं है कि मैं इसके बारे में दृढ़ता से महसूस करता हूं।"
[हँसी]
यह, एक बार फिर, उन चीजों में से एक है "यदि वे ऐसा करते हैं तो शापित, यदि वे ऐसा न करें तो शापित"।
डौग बहुत अच्छा, स्वेत, उस टिप्पणी को लिखने और उसे भेजने के लिए आपका बहुत-बहुत धन्यवाद।
यदि आपके पास कोई दिलचस्प कहानी, टिप्पणी या प्रश्न है जिसे आप सबमिट करना चाहते हैं, तो हमें इसे पॉडकास्ट पर पढ़ना अच्छा लगेगा।
आप tips@sophos.com पर ईमेल कर सकते हैं, आप हमारे किसी भी लेख पर टिप्पणी कर सकते हैं, या आप हमें सामाजिक: @nakedsecurity पर संपर्क कर सकते हैं।
आज के लिए यही हमारा शो है; सुनने के लिए बहुत बहुत धन्यवाद।
पॉल डकलिन के लिए, मैं डौग आमोथ हूं, आपको अगली बार तक याद दिला रहा हूं ...
दोनों को। सुरक्षित रहें!
- blockchain
- बस्ट
- कॉइनजीनियस
- cryptocurrency
- क्रिप्टोकुरेंसी वॉलेट्स
- क्रिप्टोकरंसीज
- साइबर सुरक्षा
- साइबर अपराधी
- साइबर सुरक्षा
- घर की भूमि सुरक्षा का विभाग
- डिजिटल पर्स
- शोषण करना
- फ़ायरवॉल
- Kaspersky
- कानून और व्यवस्था
- मैलवेयर
- McAfee
- माइक्रोसॉफ्ट
- नग्न सुरक्षा
- नग्न सुरक्षा पॉडकास्ट
- नेक्सब्लॉक
- पैच मंगलवार
- प्लेटो
- प्लेटो एआई
- प्लेटो डेटा इंटेलिजेंस
- प्लेटो गेम
- प्लेटोडाटा
- प्लेटोगेमिंग
- पॉडकास्ट
- एकांत
- वीपीएन
- भेद्यता
- वेबसाइट सुरक्षा
- खिड़कियां
- जेफिरनेट
