एक अजगर परिप्रेक्ष्य भंवर
नीचे कोई ऑडियो प्लेयर नहीं है? सुनना सीधे साउंडक्लाउड पर।
डग आमोथ और पॉल डकलिन के साथ। इंट्रो और आउट्रो म्यूजिक by एडिथ मुडगे.
आप हमें इस पर सुन सकते हैं Soundcloud, ऐप्पल पॉडकास्ट्स, Google पॉडकास्ट, Spotify, सीनेवाली मशीन और कहीं भी अच्छे पॉडकास्ट मिल जाते हैं। या बस छोड़ दें हमारे आरएसएस फ़ीड का यूआरएल अपने पसंदीदा पॉडकैचर में।
प्रतिलेख पढ़ें
डौग साइबर क्राइम के बाद साइबर क्राइम, कुछ ऐप्पल अपडेट और सोर्स कोड रिपॉजिटरी पर हमला।
वह सब, और बहुत कुछ, नग्न सुरक्षा पॉडकास्ट पर।
[संगीत मोडेम]
पॉडकास्ट में आपका स्वागत है, सब लोग।
मैं डौग आमोत हूँ; वह पॉल डकलिन है।
पॉल, आप कैसे हैं?
बत्तख। बहुत अच्छा आपको धन्यवाद। डगलस!
क्या वह प्रफुल्लता काफी थी?
डौग वह बहुत अच्छा था।
जैसे, खुशी के पैमाने पर 7/10, जो एक बहुत अच्छी आधार रेखा है।
बत्तख। ओह, मैं चाहता था कि यह उससे अधिक महसूस करे।
मैंने जो कहा, प्लस 2.5/10।
डौग [अतिशयोक्तिपूर्ण विस्मय] ओह, पॉल, आप बहुत अच्छे लगते हैं!
बत्तख। [हंसते हैं] धन्यवाद, डौग।
डौग ठीक है, यह आपको 10/10 तक धकेल सकता है, फिर… टेक इतिहास में यह सप्ताह.
22 मई, 1973 को ज़ेरॉक्स पालो ऑल्टो रिसर्च सेंटर [PARC] में, शोधकर्ता रॉबर्ट मेटकाफ ने एक मेमो लिखा जिसमें कंप्यूटर को एक साथ जोड़ने का एक नया तरीका प्रस्तावित किया गया था।
अपने अग्रदूत, अलोहानेट से प्रेरित होकर, जिसे मेटकाफ ने अपने पीएचडी शोध प्रबंध के हिस्से के रूप में अध्ययन किया, नई तकनीक को ईथरनेट कहा जाएगा, पदार्थ "ल्यूमिनिफेरस एथर" के लिए एक नोड, जिसे कभी प्रकाश तरंगों के प्रसार के लिए एक माध्यम माना जाता था।
बत्तख। यह निश्चित रूप से 160 KB, सिंगल साइडेड, सिंगल डेंसिटी फ्लॉपी डिस्केट से बहुत तेज था! [हँसी]
डौग बुरा हो सकता है!
जो भी हो, "बदतर" और "बदनामी" की बात करते हुए, हमें दिन का पहला अपराध अपडेट मिल गया है।
अमेरिका पेशकश कर रहा है $ 10 मिलियन इनाम एक रूसी रैंसमवेयर संदिग्ध के लिए।
रूसी रैंसमवेयर संदिग्ध को अभियोग से बाहर करने पर अमेरिका ने 10 मिलियन डॉलर का इनाम रखा है
यह बहुत पैसा है, पॉल!
इस आदमी ने कुछ बहुत बुरा किया होगा।
डीओजे का बयान:
[इस व्यक्ति और उसके साथी षड्यंत्रकारियों] ने संयुक्त राज्य अमेरिका और दुनिया भर में हजारों पीड़ितों पर हमला करने के लिए कथित तौर पर इस प्रकार के रैंसमवेयर का इस्तेमाल किया। इन पीड़ितों में कानून प्रवर्तन और अन्य सरकारी एजेंसियां, अस्पताल और स्कूल शामिल हैं।
इन तीन वैश्विक रैंसमवेयर अभियानों के सदस्यों द्वारा अपने पीड़ितों से कथित रूप से की गई कुल फिरौती की मांग $400 मिलियन तक है, जबकि कुल पीड़ित फिरौती भुगतान की राशि $200 मिलियन तक है।
बड़े समय के हमले ... बहुत सारा पैसा यहाँ हाथ बदल रहा है, पॉल।
बत्तख। जब आप किसी ऐसे व्यक्ति को ट्रैक करने की कोशिश कर रहे हैं जो विदेशों में नृशंस चीजें कर रहा है और आप सोचते हैं, "हम यह कैसे करने जा रहे हैं? वे यहां अदालत में कभी पेश नहीं होने जा रहे हैं ”…
हो सकता है कि हम बस उस दूसरे व्यक्ति के देश में लोगों को कुछ गंदी कमाई की पेशकश करें, और कोई उसे वापस कर देगा?
और अगर वे $10 मिलियन की पेशकश कर रहे हैं (ठीक है, यह अधिकतम आप प्राप्त कर सकते हैं), तो वे काफी उत्सुक होंगे।
और मेरी समझ, इस मामले में, यही कारण है कि वे उत्सुक हैं कि क्या यह विशेष संदिग्ध होने का आरोप लगाया गया है, अगर दिल और आत्मा नहीं है, तो तीन अलग-अलग रैंसमवेयर उपभेदों के लिए उन दो चीजों में से कम से कम एक: लॉकबिट, हाइव और बाबुक।
प्रसिद्ध रूप से बाबूक का स्रोत कोड लीक हो गया था (यदि मैं गलत नहीं हूं, एक अप्रभावित सहयोगी द्वारा), और अब गिटहब पर अपना रास्ता खोज लिया है, जहां कोई भी व्यक्ति एन्क्रिप्शन भाग को पकड़ना चाहता है।
और हालांकि रैंसमवेयर हमलों के लिए डीओजे और एफबीआई की नजर में आने वाले लोगों के लिए किसी भी तरह की सहानुभूति महसूस करना मुश्किल है ...
…यदि सहानुभूति की कोई छिपी हुई, बूंदें बची हैं, तो जब आप पीड़ितों के बीच अस्पतालों और स्कूलों के बारे में पढ़ना शुरू करते हैं तो वे बहुत जल्दी वाष्पित हो जाते हैं।
डौग हां.
बत्तख। इसलिए आपको यह मान लेना होगा कि यह संभावना नहीं है कि वे उसे कभी अमेरिकी अदालत में देखेंगे ...
…लेकिन मुझे लगता है कि उन्हें लगा कि कोशिश न करना बहुत महत्वपूर्ण है।
डौग बिल्कुल सही.
जैसा कि हम कहना चाहते हैं, हम उस पर नजर रखेंगे।
और जब तक हम प्रतीक्षा कर रहे हैं, कृपया जाकर हमारे पर एक नज़र डालें स्टेट ऑफ रैंसमवेयर 2023 रिपोर्ट.
इसमें तथ्यों और आंकड़ों का एक गुच्छा है जिसका उपयोग आप अपने संगठन को हमलों से बचाने में मदद के लिए कर सकते हैं।
यह यहां उपलब्ध है: sophos.com/ransomware2023.
बत्तख। एक छोटा सा संकेत जो आप रिपोर्ट से सीख सकते हैं: “आश्चर्य, आश्चर्य; यह आपको बैकअप से पुनर्प्राप्त करने के लिए लगभग आधा खर्च करता है जितना कि फिरौती का भुगतान करने से होता है।
क्योंकि आपके द्वारा फिरौती का भुगतान करने के बाद भी, आपके पास अभी भी उतना ही काम है जितना आपको अपने बैकअप को पुनर्स्थापित करने के लिए करना होगा।
और इसका मतलब यह भी है कि आप बदमाशों को भुगतान नहीं करते हैं।
डौग ठीक ठीक!
ठीक है, हमारे पास एक और क्राइम अपडेट है।
इस बार, यह iSpoof पर हमारे मित्र हैं, जिन्हें, मुझे स्वीकार करना होगा, उनके पास एक बहुत अच्छी मार्केटिंग टीम है।
के अलावा सभी का भंडाफोड़ हो रहा है और उस तरह की सभी चीजें...
फोन स्कैमिंग किंगपिन को "iSpoof" सर्विस चलाने के लिए 13 साल की सजा
बत्तख। जी हां, यह लंदन की मेट्रोपॉलिटन पुलिस की रिपोर्ट है जो नवंबर 2022 से चल रहे एक मामले के बारे में है, जब हम इस बारे में पहले लिखा नग्न सुरक्षा.सोफोस.कॉम पर।
तेजय फ्लेचर नामक एक आदमी, और मुझे लगता है कि 169 अन्य लोग जो सोचते थे कि वे गुमनाम हैं, लेकिन यह पता चला कि वे नहीं थे, गिरफ्तार हो गए।
और यह फ्लेचर साथी, जो इसका सरगना था, उसे अभी 13 साल और 4 महीने की जेल की सजा सुनाई गई है, डॉग।
किसी भी देश के मानकों के हिसाब से यह एक बहुत बड़ा वाक्य है!
और इसका कारण यह है कि यह सेवा अन्य साइबर अपराधियों की मदद करने के बारे में थी, बिटकॉइन के बदले में, पीड़ितों को बहुत विश्वसनीय तरीके से घोटाला करने के लिए।
आपको किसी तकनीकी क्षमता की आवश्यकता नहीं थी।
आप बस सेवा के लिए साइन अप कर सकते हैं, और फिर फ़ोन कॉल करना शुरू कर सकते हैं जहाँ आप चुन सकते हैं कि दूसरे छोर पर कौन सा नंबर दिखाई देगा।
तो अगर आपको आभास होता है कि किसी ने XYZ बैंकिंग कॉर्पोरेशन के साथ बैंक किया है, तो आप "XYZ बैंकिंग कॉर्पोरेशन से आने वाली कॉल" कहकर उनके फोन को रोशन कर सकते हैं, और फिर अपने schpiel में लॉन्च कर सकते हैं।
राष्ट्रीय अपराध एजेंसी की उस समय की रिपोर्ट से ऐसा लगता है कि उनके "ग्राहकों" ने इस सेवा के माध्यम से लाखों कॉल किए। और उनके पास 10% सफलता दर जैसा कुछ था, जहां सफलता को मापा जाता है कि कॉलर कम से कम एक मिनट के लिए लाइन पर था।
और जब आपको लगता है कि कोई स्कैम कॉल है... तो आप बहुत जल्दी फोन काट देते हैं, है न?
डौग एक मिनट बहुत लंबा समय है!
बत्तख। और इसका मतलब है कि उन्होंने शायद उस व्यक्ति को पकड़ लिया है।
और आप देख सकते हैं क्यों, क्योंकि सब कुछ विश्वसनीय लगता है।
यदि आप इस बात से अवगत नहीं हैं कि आपके फोन पर दिखाई देने वाली कॉलर आईडी (या कॉलिंग लाइन आइडेंटिफिकेशन) नंबर एक संकेत से ज्यादा कुछ नहीं है, जिसे कोई भी कुछ भी डाल सकता है, और कोई भी व्यक्ति जो आपके दिल में सबसे खराब रुचि रखता है, जो आपको घूरना चाहता है मामूली मासिक परिव्यय के लिए, एक ऐसी सेवा खरीद सकते हैं जो उन्हें इसे स्वचालित रूप से करने में मदद करेगी ...
यदि आप यह नहीं जानते हैं कि मामला ऐसा ही है, तो संभवत: जब वह कॉल आती है और कहती है, “मैं बैंक से कॉल कर रहा हूं, तो आपको अपना बचाव करना होगा। आप इसे संख्या से देख सकते हैं। ओह डियर, आपके अकाउंट में फ्रॉड हो गया है", और फिर कॉल करने वाला आपसे ढेर सारी ऐसी चीजें करने के लिए कहता है, जिन्हें आप एक पल के लिए भी नहीं सुनते।
इस सेवा की पहुंच, बड़ी संख्या में लोगों ने इसका इस्तेमाल किया (स्पष्ट रूप से उसके पास हजारों "ग्राहक" थे), और बड़ी संख्या में कॉल और वित्तीय क्षति की राशि, जो लाखों में थी, यही कारण है कि वह इतनी गंभीर सजा मिली।
डौग वे इतने सारे ग्राहकों को आकर्षित करने में सक्षम होने का एक कारण यह है कि यह एक सार्वजनिक वेबसाइट पर था।
यह डार्क वेब पर नहीं था, और यह काफी चालाक मार्केटिंग थी।
यदि आप लेख पर जाते हैं, तो एक 53-सेकंड का मार्केटिंग वीडियो है जिसमें एक पेशेवर वॉयसओवर अभिनेता और कुछ मजेदार एनिमेशन हैं।
यह बहुत अच्छा वीडियो बनाया गया है!
बत्तख। हाँ!
मैंने इसमें एक टाइपो देखा ... उन्होंने "एंड-टू-एंड एन्क्रिप्शन" के बजाय "एंड टू एन्क्रिप्शन" लिखा, जिसे मैंने देखा क्योंकि यह काफी विडंबना थी।
क्योंकि उस वीडियो का पूरा आधार - यह कहता है, "अरे, एक ग्राहक के रूप में आप पूरी तरह से गुमनाम हैं।"
उन्होंने इसकी एक बड़ी पिच बनाई।
डौग मुझे लगता है कि यह शायद "एन्क्रिप्शन का अंत" था। [हंसते हुए]
बत्तख। हां... हो सकता है कि आप अपने पीड़ितों के लिए गुमनाम रहे हों, लेकिन आप सेवा प्रदाता के लिए गुमनाम नहीं थे।
जाहिरा तौर पर ब्रिटेन में पुलिस ने कम से कम किसी ऐसे व्यक्ति के साथ शुरुआत करने का फैसला किया जिसने पहले से ही सेवा के साथ बिटकॉइन के £100 से अधिक खर्च किए थे।
तो ऐसे लोग हो सकते हैं जिन्होंने इसमें दखल दिया, या इसे केवल कुछ चीजों के लिए इस्तेमाल किया, जो अभी भी सूची में हैं।
पुलिस चाहती है कि लोगों को पता चले कि उन्होंने ऊपर से शुरुआत की थी और वे नीचे की ओर काम कर रहे हैं।
वीडियो में वादा किया गया गुमनामी भ्रामक था।
डौग ठीक है, हमारे पास कुछ युक्तियाँ हैं, और हमने इन युक्तियों के बारे में पहले भी कहा है, लेकिन ये महान अनुस्मारक हैं।
मेरे पसंदीदा में से एक सहित, क्योंकि मुझे लगता है कि लोग सिर्फ यह मानते हैं कि कॉलर आईडी एक सटीक रिपोर्टर है…। टिप नंबर एक है: कॉलर आईडी को एक संकेत से ज्यादा कुछ नहीं मानें।
आपका इससे क्या मतलब है, पॉल?
बत्तख। यदि आपको अभी भी अपने घर पर घोंघा मेल मिलता है, तो आपको पता चल जाएगा कि जब आपको एक लिफाफा मिलता है, तो उसमें आपका पता सामने होता है, और आमतौर पर, जब आप इसे पलटते हैं, तो लिफाफे के पीछे एक वापसी पता होता है। .
और हर कोई जानता है कि प्रेषक को वह चुनने को मिलता है जो कहता है ... यह वास्तविक हो सकता है; यह सब झूठ का पुलिंदा हो सकता है।
आप कॉलर आईडी पर कितना भरोसा कर सकते हैं।
और जब तक आप इसे ध्यान में रखते हैं, और इसे एक संकेत के रूप में सोचते हैं, तब तक आप सुनहरे हैं।
लेकिन अगर यह सामने आता है और "XYZ Banking Corporation" कहता है, क्योंकि बदमाशों ने जानबूझकर एक नंबर चुना है जिसे आपने विशेष रूप से अपनी संपर्क सूची में रखा है ताकि आपको पता चल सके कि यह बैंक है ... इसका कोई मतलब नहीं है।
और तथ्य यह है कि वे आपको बताना शुरू करते हैं कि वे बैंक से हैं इसका मतलब यह नहीं है कि वे हैं।
और यह हमारे दूसरे टिप में अच्छी तरह से बहस करता है, है ना, डौग?
डौग हां.
जिस नंबर पर आप भरोसा कर सकते हैं, उसका उपयोग करके हमेशा आधिकारिक कॉल स्वयं आरंभ करें।
इसलिए, यदि आपको इनमें से कोई कॉल आती है, तो कहें, "मैं आपको तुरंत कॉल करने जा रहा हूं", और अपने क्रेडिट कार्ड के पीछे दिए गए नंबर का उपयोग करें।
बत्तख। पूर्ण रूप से।
अगर कोई ऐसा तरीका है जिससे उन्होंने आपको विश्वास दिलाया है कि यह वह नंबर है जिसे आपको कॉल करना चाहिए ... ऐसा मत करो!
इसे अपने लिए खोजो।
जैसा आपने कहा, बैंक धोखाधड़ी या बैंक समस्याओं जैसी रिपोर्ट करने के लिए, आपके क्रेडिट कार्ड के पीछे की संख्या एक अच्छी शुरुआत है।
तो, हाँ, बहुत सावधान रहें।
अपने फ़ोन पर विश्वास करना वास्तव में आसान है, क्योंकि 99% समय, वह कॉलर आईडी नंबर सच बोल रहा होगा।
डौग ठीक है, अंतिम लेकिन निश्चित रूप से कम से कम, तकनीकी रूप से नहीं, लेकिन अधिक नरम कौशल, टिप नंबर तीन है: कमजोर मित्रों और परिवार के लिए वहां रहें।
यह अच्छा है।
बत्तख। स्पष्ट रूप से ऐसे लोग हैं जिन पर इस प्रकार के घोटाले का जोखिम अधिक है।
इसलिए यह महत्वपूर्ण है कि आप अपने मित्रों और परिवार के लोगों को अपने मंडली में आने दें, जिनके बारे में आपको लगता है कि वे इस तरह के जोखिम में हो सकते हैं... उन्हें बताएं कि यदि उन्हें कोई संदेह है, तो उन्हें आपसे संपर्क करना चाहिए और आपसे सलाह लेनी चाहिए .
जैसा कि हर बढ़ई या बढ़ई आपको बताएगा, डगलस, "दो बार मापें, एक बार काटें।"
डौग मुझे वह सलाह पसंद है। [हंसते हुए]
मैं एक बार मापता हूं, तीन बार काटता हूं, इसलिए वहां मेरे नेतृत्व का पालन न करें।
बत्तख। हाँ। आप "चीजों को लंबा नहीं काट सकते", एह? [हँसी]
डौग नहीं, आप निश्चित रूप से नहीं कर सकते!
बत्तख। हम सब कोशिश कर चुके हैं। [हंसते हुए]
डौग वह दो अद्यतन नीचे है; एक जाने के लिए।
हमने एक अपडेट मिला… अगर आपको याद हो, तो इस महीने की शुरुआत में, Apple ने हमें एक नए रैपिड सिक्योरिटी रिस्पांस के साथ चौंका दिया था, लेकिन यह नहीं बताया कि अपडेट वास्तव में क्या तय करता है, लेकिन अब हम जानते हैं, पॉल।
Apple का रहस्य बाहर है: 3 शून्य-दिन निश्चित हैं, इसलिए अभी पैच करना सुनिश्चित करें!
बत्तख। हां.
दो 0-दिन, साथ ही एक बोनस 0-दिन जो पहले तय नहीं किया गया था।
तो अगर आपके पास था, तो वो क्या था, macOS 13 Ventura (नवीनतम), और अगर आपके पास iOS/iPadOS 16 था, तो आपको रैपिड सिक्योरिटी रिस्पांस मिला
आपको वह "संस्करण संख्या (ए)" अपडेट मिला है, और "यहां इस अपडेट के बारे में विवरण दिया गया है: (रिक्त पाठ स्ट्रिंग)"।
तो आपको पता नहीं था कि क्या तय किया गया था।
और आप, हमारी तरह, शायद सोचते होंगे, “मैं शर्त लगाता हूँ कि यह वेबकिट में एक शून्य-दिन है। इसका मतलब ड्राइव-बाय इंस्टॉल है। इसका मतलब है कि कोई इसका इस्तेमाल स्पाइवेयर के लिए कर सकता है।”
लो और निहारना, ठीक यही वो दो 0-दिन थे।
और एक तीसरा शून्य-दिन था, जो, यदि आप चाहें, तो उस समीकरण का एक और हिस्सा था, या एक अन्य प्रकार का शोषण जो अक्सर पहले दो शून्य-दिनों के साथ होता था जो तय किए गए थे।
यह एक Google थ्रेट रिस्पांस/एमनेस्टी इंटरनेशनल चीज थी जो निश्चित रूप से मेरे लिए स्पाईवेयर की तरह महकती है ... कोई वास्तविक जीवन की घटना की जांच कर रहा है।
वह बग था जिसे आप शब्दजाल में "सैंडबॉक्स एस्केप" कहते हैं।
ऐसा लगता है जैसे तीन शून्य-दिन जो अब सभी Apple प्लेटफॉर्म के लिए तय किए गए हैं ...
एक जो बदमाश को यह पता लगाने की अनुमति दे सकता है कि आपके कंप्यूटर पर क्या था।
दूसरे शब्दों में, वे इस संभावना को बहुत बढ़ा रहे हैं कि उनके बाद के कारनामे काम करेंगे।
एक दूसरा शोषण जो आपके ब्राउज़र के अंदर रिमोट कोड निष्पादन करता है, जैसा कि मैं कहता हूं, पहले बग में उस डेटा रिसाव से सहायता प्राप्त और अपमानित किया गया था जो आपको बता सकता है कि कौन से मेमोरी पते का उपयोग करना है।
और फिर एक तीसरा शून्य दिन जो अनिवार्य रूप से आपको ब्राउज़र से बाहर निकलने देता है और बहुत बुरा करता है।
खैर, मैं कहने जा रहा हूँ, जल्दी पैच करें, अक्सर पैच करें, क्या मैं, डौग नहीं हूँ?
डौग कर दो!
हां.
बत्तख। ये एकमात्र कारण नहीं हैं कि आप ये पैच क्यों चाहते हैं।
सक्रिय सुधारों का एक समूह भी है।
तो भले ही वे शून्य-दिन न हों, फिर भी मैं इसे फिर से कहूंगा।
डौग ठीक है अच्छा है।
हमारी दिन की आखिरी कहानी... मैंने यहाँ अपना छोटा सा परिचय लिखा था, लेकिन मैं उसे कूड़ेदान में फेंक रहा हूँ और मैं आपके शीर्षक के साथ जा रहा हूँ, क्योंकि यह बहुत बेहतर है।
और यह वास्तव में इस कहानी के सार को दर्शाता है: PyPI ओपन सोर्स कोड रिपॉजिटरी मैनिक मालवेयर माइलस्ट्रॉम से संबंधित है.
वही हुआ, पॉल!
PyPI ओपन-सोर्स कोड रिपॉजिटरी मैनिक मालवेयर माइलस्ट्रॉम से संबंधित है
बत्तख। हां, मुझे स्वीकार करना होगा, मुझे उस शीर्षक पर काम करना पड़ा ताकि वह नग्नसुरक्षा.सोफोस.कॉम वर्डप्रेस टेम्पलेट में दो पंक्तियों पर ठीक से फिट हो सके। [हँसी]
PyPI टीम अब इस पर काबू पा चुकी है, और मुझे लगता है कि उन्होंने सभी चीजों से छुटकारा पा लिया है।
लेकिन ऐसा लगता है कि किसी के पास एक स्वचालित प्रणाली थी जो सिर्फ नए खाते बना रही थी, फिर, उन खातों में, नई परियोजनाएँ बना रही थीं...
…और ज़हरीले स्रोत पैकेज के बाद ज़हरीले स्रोत पैकेज को अपलोड करना।
और याद रखें कि इनमें से अधिकांश रिपॉजिटरी में (PyPI एक उदाहरण है), आपके पास मैलवेयर हो सकता है जो वास्तविक कोड में है जिसे आप डाउनलोड करना चाहते हैं और बाद में अपने कोड में एक मॉड्यूल के रूप में उपयोग करते हैं (दूसरे शब्दों में, प्रोग्रामिंग लाइब्रेरी), और/ या आपके पास वास्तविक इंस्टॉलर या अपडेट स्क्रिप्ट में मैलवेयर हो सकता है जो आपको चीज़ प्रदान करता है।
इसलिए, दुर्भाग्य से, बदमाशों के लिए एक वैध परियोजना का क्लोन बनाना आसान है, इसे यथार्थवादी दिखने वाला नाम दें और आशा करें कि यदि आप इसे गलती से डाउनलोड कर लेते हैं ...
…फिर इसे स्थापित करने के बाद, और एक बार जब आप इसे अपने सॉफ़्टवेयर में उपयोग करना शुरू कर देते हैं, और एक बार जब आप इसे अपने ग्राहकों को भेजना शुरू कर देते हैं, तो यह सब ठीक हो जाएगा, और आपको इसमें कोई मैलवेयर नहीं मिलेगा।
क्योंकि मैलवेयर आपके कंप्यूटर को पहले ही ठीक से स्थापित करने के लिए चलने वाली स्क्रिप्ट में होने से पहले ही संक्रमित कर देगा।
ऐसे में बदमाशों पर दोहरी मार पड़ रही है।
जो हम नहीं जानते वह है...
क्या वे इतने सारे संक्रामक पैकेज अपलोड करने की उम्मीद कर रहे थे कि उनमें से कुछ को देखा नहीं जाएगा, और उनके पास लड़ाई का मौका होगा कि एक जोड़ा बस पीछे छूट जाएगा?
या क्या वे वास्तव में उम्मीद कर रहे थे कि वे PyPI टीम को इतना डरा सकते हैं कि उन्हें पूरी साइट को हवा से दूर ले जाना पड़े, और यह पूरी तरह से सेवा हमले से इनकार होगा?
उनमें से कोई भी परिणाम नहीं था।
PyPI टीम साइट के कुछ पहलुओं को बंद करके हमले को कम करने में सक्षम थी।
अर्थात्, कुछ समय के लिए, आप एक नया खाता नहीं बना सकते थे, और आप एक नई परियोजना नहीं जोड़ सकते थे, लेकिन फिर भी आप पुराने प्राप्त कर सकते थे।
और इससे उन्हें 24 घंटे की अवधि में सांस लेने के लिए पर्याप्त जगह मिली, ऐसा लगता है जैसे वे पूरी तरह से साफ करने में सक्षम थे।
डौग हमारे पास इस तरह के हमलों के लिए कुछ सलाह है जहां इसे समय पर साफ नहीं किया जाता है।
इसलिए यदि आप इस तरह से रिपॉजिटरी से खींच रहे हैं, तो सबसे पहले आप यह कर सकते हैं: रिपॉजिटरी पैकेज सिर्फ इसलिए न चुनें क्योंकि नाम सही दिखता है।
यह हमलावरों द्वारा अक्सर इस्तेमाल की जाने वाली रणनीति है।
बत्तख। दरअसल, डगलस।
यह मूल रूप से वही है जिसे हम वेबसाइटों के लिए शब्दजाल में "टाइपोक्वाटिंग" कहते थे।
पंजीकरण करने के बजाय example.com
, आप कुछ ऐसा दर्ज कर सकते हैं examole.com
, क्योंकि O कीबोर्ड पर P के बगल में है, इस उम्मीद में कि कोई "उदाहरण" टाइप करने के लिए जाएगा, थोड़ी सी गलती करें और आप उनका ट्रैफ़िक पकड़ लेंगे और उन्हें एक समान दिखने वाली साइट पर ले आएंगे।
आप जो चुनते हैं उससे सावधान रहें।
यह कॉलर आईडी के बारे में हमारी सलाह की तरह थोड़ा सा है: यह आपको कुछ बताता है, लेकिन केवल इतना ही।
और, बाकी के लिए, आपको वास्तव में अपना यथोचित परिश्रम करना होगा।
डौग जैसे: अपने स्वयं के विकास या निर्माण प्रणालियों में पैकेज अपडेट को आँख बंद करके डाउनलोड न करें।
बत्तख। हाँ, DevOps और निरंतर एकीकरण इन दिनों सब कुछ है, है ना, जहाँ आप सब कुछ स्वचालित करते हैं?
और कहने के बारे में कुछ आकर्षक है, "ठीक है, मैं पीछे नहीं पड़ना चाहता, इसलिए मैं अपने बिल्ड सिस्टम को अपने स्थानीय रिपॉजिटरी से अपना कोड लेने के लिए क्यों नहीं कहता, जहां मैं इसे देख रहा हूं, और फिर हमेशा मेरे द्वारा उपयोग किए जा रहे अन्य सभी लोगों के कोड के सार्वजनिक भंडार से स्वचालित रूप से नवीनतम संस्करण प्राप्त करें?"
समस्या यह है कि यदि आप जिन तृतीय-पक्ष पैकेजों का उपयोग कर रहे हैं उनमें से कोई भी खराब हो जाता है, तो आपका बिल्ड सिस्टम पूरी तरह से स्वचालित रूप से परेशानी में पड़ने वाला है।
इसलिए ऐसा न करें यदि आप संभवतः इससे बच सकते हैं।
डौग जो हमें ले जाता है: हमलावरों के लिए अपने स्वयं के पैकेज में प्रवेश करना आसान न बनाएं।
बत्तख। हां.
कोई भी वास्तव में किसी को रोक नहीं सकता है, जो हाथ से, 2000 नए PyPI खाते स्थापित करने और उनमें से प्रत्येक में 1000 नए पैकेज डालने के लिए दृढ़ संकल्पित है।
लेकिन आप ऐसे हमले कर सकते हैं जहां बदमाश मौजूदा पैकेजों को अपने कब्जे में ले लेते हैं और उनसे समझौता कर लेते हैं ... आप अपनी परियोजनाओं के लिए जितना संभव हो उतना कठिन बनाकर बाकी समुदाय की मदद करने के लिए अपना काम कर सकते हैं।
जाओ और इस खाते या उस पैकेज पर आपके पास मौजूद सुरक्षा पर दोबारा गौर करें, अगर कोई यह तय करता है कि बैडवेयर डालने के लिए यह एक उत्कृष्ट स्थान होगा जो अन्य लोगों को प्रभावित कर सकता है ... और निश्चित रूप से यह कम से कम अस्थायी रूप से आपकी प्रतिष्ठा को धूमिल करेगा। समय।
डौग और हमारी आखिरी टिप कुछ बहरे कानों पर पड़ सकती है, लेकिन अगर यह केवल कुछ दिमाग बदलने के लिए पर्याप्त है, तो हमने आज यहां कुछ अच्छा काम किया है: तुम क्या जानते हो मत बनो।
बत्तख। स्वयंसेवक टीमों के लिए अनावश्यक काम करके आपूर्ति-श्रृंखला के हमलों के बारे में हमें याद दिलाकर आप कितने चतुर हैं ... जैसे कि लिनक्स कर्नेल क्रू (वे अतीत में इससे पीड़ित हैं), पीईपीआई और अन्य लोकप्रिय ओपन सोर्स रिपॉजिटरी?
यदि आपके पास कोई वास्तविक कारण है कि आपको क्यों लगता है कि आपको उन्हें सुरक्षा भेद्यता के बारे में बताने की आवश्यकता है, तो उनके सुरक्षा प्रकटीकरण संपर्क विवरण खोजें और उनसे ठीक से, पेशेवर रूप से, जिम्मेदारी से संपर्क करें।
एक **** मत बनो।
डौग एक्सेलेमट।
ठीक है, अच्छी सलाह है, और जैसे ही दिन के लिए हमारे शो पर सूरज ढलना शुरू होता है, यह हमारे एक पाठक से सुनने का समय है।
पॉडकास्ट के पिछले एपिसोड में, आपको याद होगा कि हमने Apple III कंप्यूटर के परीक्षणों और क्लेशों के बारे में थोड़ी बात की थी। आइए सुनते हैं:
मुझे नहीं पता कि यह एक शहरी किंवदंती है या नहीं, लेकिन मैंने पढ़ा है कि शुरुआती [Apple III] मॉडल में उनके चिप्स कारखाने में ठीक से नहीं लगे थे, और जिन प्राप्तकर्ताओं ने समस्याओं की सूचना दी थी, उन्हें सामने उठाने के लिए कहा गया था कंप्यूटर को उनके डेस्क से कुछ सेंटीमीटर दूर ले जाएं और इसे वापस क्रैश होने दें, जो उन्हें उस जगह पर धमाका कर देगा जैसे उन्हें पहले स्थान पर होना चाहिए था। जो जाहिर तौर पर काम करता था, लेकिन उत्पाद की गुणवत्ता के लिए सबसे अच्छा विज्ञापन नहीं था।
डौग जवाब में, श्रोता S31064 (सुनिश्चित नहीं है कि यह सही जन्म का नाम है) में झंकार:
मुझे उसके बारे में पता नहीं है, लेकिन उस समय मैं जिस कंपनी के लिए काम कर रहा था, वह उनका उपयोग ऑफ़लाइन लाइब्रेरी सर्कुलेशन टर्मिनलों के लिए कर रही थी। और दस में से नौ बार, अगर इसमें कोई समस्या थी, तो चिप्स को फिर से ठीक करना था।
बत्तख। हां, अपने मदरबोर्ड के ऊपर जाकर (क्रैकल, क्रैकल) सभी चिप्स को नीचे दबाना ... उस समय इसे नियमित रखरखाव माना जाता था।
लेकिन ऐसा लगता है कि Apple III के लिए, यह केवल नियमित रखरखाव, निवारक रखरखाव नहीं था, यह वास्तव में एक मान्यता प्राप्त रिकवरी तकनीक थी।
तो मैं उसे पढ़कर रोमांचित हो गया, डौग।
कोई है जो वास्तव में वहां गया था, और उसने ऐसा किया!
डौग खैर, प्रिय श्रोता, इसे भेजने के लिए बहुत-बहुत धन्यवाद।
और अगर आपके पास कोई दिलचस्प कहानी, टिप्पणी या प्रश्न है जिसे आप सबमिट करना चाहते हैं, तो हम इसे पॉडकास्ट पर पढ़ना पसंद करेंगे।
आप tips@sophos.com पर ईमेल कर सकते हैं, आप किसी भी लेख पर टिप्पणी कर सकते हैं, या आप हमें सोशल: @nakedsecurity पर संपर्क कर सकते हैं।
आज के लिए यही हमारा शो है; सुनने के लिए बहुत बहुत धन्यवाद।
पॉल डकलिन के लिए, मैं डौग आमोथ हूं, आपको अगली बार तक याद दिला रहा हूं ...
दोनों को। सुरक्षित रहें।
[संगीत मोडेम]
- एसईओ संचालित सामग्री और पीआर वितरण। आज ही प्रवर्धित हो जाओ।
- प्लेटोआईस्ट्रीम। Web3 डेटा इंटेलिजेंस। ज्ञान प्रवर्धित। यहां पहुंचें।
- मिंटिंग द फ्यूचर डब्ल्यू एड्रिएन एशले। यहां पहुंचें।
- PREIPO® के साथ PRE-IPO कंपनियों में शेयर खरीदें और बेचें। यहां पहुंचें।
- स्रोत: https://nakedsecurity.sophos.com/2023/05/25/s3-ep136-navigating-a-manic-malware-maelstrom/
- :हैस
- :है
- :नहीं
- :कहाँ
- ][पी
- 10 $ मिलियन
- 400 करोड़ डॉलर की
- $यूपी
- 13
- 2022
- 2023
- 22
- a
- क्षमता
- योग्य
- About
- बिल्कुल
- लेखा
- अकौन्टस(लेखा)
- सही
- अभियुक्त
- वास्तविक
- वास्तव में
- जोड़ना
- पता
- पतों
- स्वीकार करना
- सलाह
- को प्रभावित
- सहबद्ध
- बाद
- फिर
- के खिलाफ
- एजेंसियों
- आकाशवाणी
- सब
- कथित तौर पर
- अनुमति देना
- साथ में
- पहले ही
- ठीक है
- भी
- हालांकि
- हमेशा
- am
- बीच में
- राशि
- an
- और
- एनिमेशन
- गुमनामी
- गुमनाम
- अन्य
- कोई
- कुछ भी
- कहीं भी
- आकर्षक
- Apple
- हैं
- चारों ओर
- गिरफ्तार
- लेख
- लेख
- AS
- पहलुओं
- At
- आक्रमण
- आक्रमण
- आकर्षित
- ऑडियो
- लेखक
- को स्वचालित रूप से
- स्वचालित
- स्वतः
- उपलब्ध
- से बचने
- जागरूक
- वापस
- बैकअप
- बैकअप
- बुरा
- बैंक
- भरोसा
- बैंकिंग
- आधारभूत
- मूल रूप से
- BE
- भालू
- क्योंकि
- किया गया
- से पहले
- पीछे
- जा रहा है
- मानना
- माना
- नीचे
- BEST
- शर्त
- बेहतर
- बड़ा
- बिट
- Bitcoins
- रिक्त
- आंखों पर पट्टी से
- बोनस
- इनाम
- साँस लेने
- ब्राउज़र
- दोष
- निर्माण
- गुच्छा
- लेकिन
- खरीदने के लिए
- by
- कॉल
- बुलाया
- कोलर
- बुला
- कॉल
- अभियान
- कर सकते हैं
- पा सकते हैं
- कब्जा
- कार्ड
- सावधान
- मामला
- केंद्र
- निश्चित रूप से
- संयोग
- परिवर्तन
- बदलना
- चिप्स
- चुनें
- चक्र
- परिसंचरण
- कोड
- COM
- कैसे
- आता है
- टिप्पणी
- समुदाय
- कंपनी
- पूरी तरह से
- समझौता
- छेड़छाड़ की गई
- कंप्यूटर
- कंप्यूटर्स
- जुडिये
- माना
- संपर्क करें
- निरंतर
- पुलिस
- निगम
- लागत
- सका
- देश
- देश की
- युगल
- पाठ्यक्रम
- कोर्ट
- Crash
- बनाना
- बनाना
- श्रेय
- क्रेडिट कार्ड
- अपराध
- बदमाश
- ग्राहक
- ग्राहक
- कट गया
- cybercrime
- साइबर अपराधी
- अंधेरा
- डार्क वेब
- तिथि
- गोपनीय जानकारी का चोरी हो जाना
- दिन
- दिन
- सौदा
- का फैसला किया
- बचाता है
- मांग
- सेवा से वंचित
- घनत्व
- डेस्क
- विस्तार
- विवरण
- निर्धारित
- विकास
- DevOps
- डीआईडी
- विभिन्न
- लगन
- प्रकटीकरण
- do
- कर देता है
- नहीं करता है
- कर
- DoJ
- किया
- dont
- संदेह
- नीचे
- डाउनलोड
- बूंद
- दो
- से प्रत्येक
- पूर्व
- शीघ्र
- पृथ्वी
- आसान
- ईमेल
- एन्क्रिप्शन
- समाप्त
- प्रवर्तन
- पर्याप्त
- पूरी तरह से
- प्रकरण
- सार
- अनिवार्य
- और भी
- कभी
- प्रत्येक
- हर कोई
- सब कुछ
- ठीक ठीक
- उदाहरण
- निष्पादन
- मौजूदा
- शोषण करना
- कारनामे
- आंख
- का सामना करना पड़
- तथ्य
- कारखाना
- तथ्यों
- गिरना
- परिवार
- प्रसिद्धि से
- और तेज
- पसंदीदा
- एफबीआई
- लग रहा है
- साथी
- कुछ
- मार पिटाई
- आकृति
- लगा
- आंकड़े
- वित्तीय
- खोज
- अंत
- प्रथम
- फिट
- फिक्स
- तय
- का पालन करें
- के लिए
- पाया
- धोखा
- मित्रों
- से
- सामने
- मज़ा
- सृजन
- असली
- मिल
- मिल रहा
- GitHub
- देना
- वैश्विक
- Go
- चला जाता है
- जा
- सुनहरा
- अच्छा
- गूगल
- सरकार
- पकड़ लेना
- महान
- बहुत
- गार्ड
- लड़के
- था
- आधा
- हाथ
- हाथ
- लटकना
- हुआ
- कठिन
- है
- he
- सिर
- शीर्षक
- सुनना
- दिल
- मदद
- मदद
- यहाँ उत्पन्न करें
- उच्चतर
- उसे
- उसके
- मारो
- करंड
- आशा
- उम्मीद कर रहा
- अस्पतालों
- मकान
- कैसे
- http
- HTTPS
- i
- ID
- विचार
- पहचान
- if
- महत्वपूर्ण
- in
- अन्य में
- घटना
- शामिल
- बढ़ती
- आरंभ
- स्थापित
- एकीकरण
- दिलचस्प
- रुचियों
- अंतरराष्ट्रीय स्तर पर
- में
- व्यंग्य
- आई स्पूफ
- IT
- आईटी इस
- खुद
- शब्दजाल
- छलांग
- केवल
- इच्छुक
- रखना
- बच्चा
- जानना
- बड़ा
- पिछली बार
- बाद में
- ताज़ा
- लांच
- कानून
- कानून प्रवर्तन
- नेतृत्व
- बिक्रीसूत्र
- जानें
- कम से कम
- नेतृत्व
- बाएं
- वैध
- चलें
- पुस्तकालय
- झूठ
- प्रकाश
- पसंद
- लाइन
- पंक्तियां
- लिनक्स
- सूची
- श्रोता
- सुनना
- थोड़ा
- भार
- स्थानीय
- लंडन
- लंबा
- देखिए
- देख
- लग रहा है
- लॉट
- मोहब्बत
- MacOS
- बनाया गया
- रखरखाव
- बनाना
- निर्माण
- मैलवेयर
- बहुत
- विपणन (मार्केटिंग)
- अधिकतम
- मई..
- मतलब
- साधन
- माप
- मध्यम
- सदस्य
- याद
- महानगरीय पुलिस
- हो सकता है
- दस लाख
- लाखों
- मन
- मन
- मिनट
- गलती
- कम करना
- मॉडल
- मामूली
- मॉड्यूल
- पल
- धन
- महीना
- मासिक
- महीने
- अधिक
- अधिकांश
- बहुत
- संगीत
- संगीत
- चाहिए
- my
- नग्न सुरक्षा
- नग्न सुरक्षा पॉडकास्ट
- नाम
- राष्ट्रीय
- नेविगेट
- आवश्यकता
- कभी नहीँ
- नया
- अगला
- नहीं
- कुछ नहीं
- नवंबर
- अभी
- संख्या
- of
- बंद
- प्रस्ताव
- की पेशकश
- ऑफर
- सरकारी
- ऑफ़लाइन
- अक्सर
- oh
- पुराना
- on
- एक बार
- ONE
- लोगों
- केवल
- खुला
- खुला स्रोत
- ओपन-सोर्स कोड
- or
- संगठन
- अन्य
- अन्यथा
- हमारी
- आउट
- परिणाम
- के ऊपर
- विदेशी
- अपना
- पैक
- पैकेज
- संकुल
- प्रदत्त
- पालो अल्टो
- भाग
- विशेष
- अतीत
- पैच
- पैच
- पॉल
- वेतन
- का भुगतान
- भुगतान
- स्टाफ़
- लोगों की
- अवधि
- व्यक्ति
- परिप्रेक्ष्य
- फ़ोन
- फोन कॉल्स
- उठाया
- पिच
- जगह
- प्लेटफार्म
- प्लेटो
- प्लेटो डेटा इंटेलिजेंस
- प्लेटोडाटा
- खिलाड़ी
- कृप्या अ
- प्लस
- पॉडकास्ट
- पॉडकास्ट
- पुलिस
- लोकप्रिय
- संभव
- संभवतः
- पोस्ट
- अग्रगामी
- दबाव
- सुंदर
- पिछला
- जेल
- प्रोएक्टिव
- शायद
- मुसीबत
- समस्याओं
- एस्ट्रो मॉल
- पेशेवर
- पेशेवर
- प्रोग्रामिंग
- परियोजना
- परियोजनाओं
- वादा किया
- अच्छी तरह
- रक्षा करना
- प्रदाता
- सार्वजनिक
- खींच
- धक्का
- रखना
- अजगर
- गुणवत्ता
- प्रश्न
- जल्दी से
- फिरौती
- Ransomware
- उपवास
- मूल्यांकन करें
- बल्कि
- पहुंच
- पढ़ना
- पाठकों
- पढ़ना
- यथार्थवादी
- वास्तव में
- कारण
- कारण
- प्राप्तकर्ताओं
- पहचान लिया
- की वसूली
- वसूली
- रजिस्टर
- पंजीकरण
- याद
- दूरस्थ
- रिपोर्ट
- रिपोर्टिंग
- रिपोर्ट
- कोष
- ख्याति
- अनुसंधान
- शोधकर्ता
- प्रतिक्रिया
- बाकी
- बहाल
- वापसी
- छुटकारा
- सही
- जोखिम
- रॉबर्ट
- कक्ष
- आरएसएस
- दौड़ना
- रूसी
- कहा
- वही
- कहना
- कहावत
- कहते हैं
- स्केल
- घोटाला
- घोटाले के शिकार
- स्कूल
- दूसरा
- गुप्त
- सुरक्षित
- सुरक्षा
- सुरक्षा भेद्यता
- देखना
- लगता है
- प्रेषक
- भेजना
- वाक्य
- सजा सुनाई
- गंभीर
- सेवा
- सेवा प्रदाता
- सेट
- शिपिंग
- चाहिए
- दिखाना
- दिखाता है
- जगहें
- हस्ताक्षर
- के बाद से
- एक
- साइट
- कौशल
- So
- सोशल मीडिया
- सॉफ्टवेयर
- कुछ
- कोई
- कुछ
- आत्मा
- ध्वनि
- Soundcloud
- स्रोत
- स्रोत कोड
- बोल रहा हूँ
- विशेष रूप से
- खर्च
- Spotify
- स्पायवेयर
- प्रारंभ
- शुरू
- कथन
- राज्य
- रहना
- फिर भी
- रुकें
- कहानी
- उपभेदों
- तार
- अध्ययन
- प्रस्तुत
- आगामी
- पदार्थ
- सफलता
- ऐसा
- रवि
- आश्चर्य
- आश्चर्य चकित
- प्रणाली
- सिस्टम
- लेना
- बाते
- टीम
- तकनीक
- तकनीकी
- टेक्नोलॉजी
- कहना
- बताता है
- टेम्पलेट
- दस
- है
- से
- धन्यवाद
- धन्यवाद
- कि
- RSI
- यूके
- दुनिया
- लेकिन हाल ही
- उन
- फिर
- वहाँ।
- इन
- वे
- बात
- चीज़ें
- सोचना
- तीसरा
- तीसरे दल
- इसका
- उन
- हालांकि?
- विचार
- हजारों
- धमकी
- तीन
- यहाँ
- फेंकना
- पहर
- बार
- टाइप
- सुझावों
- सेवा मेरे
- आज
- एक साथ
- भी
- ऊपर का
- कुल
- स्पर्श
- ट्रैक
- यातायात
- परीक्षण
- कोशिश
- मुसीबत
- <strong>उद्देश्य</strong>
- ट्रस्ट
- सच
- कोशिश
- मोड़
- बदल गया
- दो बार
- दो
- टाइप
- प्रकार
- Uk
- समझ
- दुर्भाग्य से
- यूनाइटेड
- संयुक्त राज्य अमेरिका
- जब तक
- अपडेट
- अपडेट
- अपलोड हो रहा है
- शहरी
- यूआरएल
- us
- उपयोग
- प्रयुक्त
- का उपयोग
- आमतौर पर
- संस्करण
- बहुत
- शिकार
- शिकार
- वीडियो
- स्वयंसेवक
- भेद्यता
- चपेट में
- इंतज़ार कर रही
- करना चाहते हैं
- जरूरत है
- चाहता है
- था
- लहर की
- मार्ग..
- we
- वेब
- वेबकिट
- वेबसाइट
- वेबसाइटों
- सप्ताह
- कुंआ
- थे
- क्या
- कब
- या
- कौन कौन से
- जब
- कौन
- पूरा का पूरा
- क्यों
- मर्जी
- साथ में
- WordPress
- शब्द
- काम
- काम कर रहे
- विश्व
- बदतर
- वर्स्ट
- लायक
- होगा
- लिखा हुआ
- गलत
- साल
- हाँ
- इसलिए आप
- आपका
- स्वयं
- जेफिरनेट
- शून्य
- शून्य दिवस