פריצות נתונים – העוקץ בזנב
לחץ וגרור על גלי הקול למטה כדי לדלג לכל נקודה. אתה יכול גם להקשיב ישירות בסאונדקלאוד.
עם דאג אמות ופול דאקלין. מוזיקת אינטרו ואאוטרו מאת אדית מדג'.
אתה יכול להאזין לנו ב Soundcloud, Apple Podcasts, Google Podcasts, Spotify, Stitcher ובכל מקום שבו נמצאים פודקאסטים טובים. או פשוט זרוק את כתובת האתר של הזנת ה-RSS שלנו לתוך הפודקטצ'ר האהוב עליך.
קרא את התמליל
DOUG. החלפת סים, אפס ימים, ה-Ping [הקול הדרמטי] של DEATH, ו-LastPass... שוב.
כל זה, ועוד, בפודקאסט הביטחון העירום.
[מודם מוזיקלי]
ברוכים הבאים לפודקאסט כולם.
אני דאג אמות'.
איתי, כמו תמיד, פול דאקלין.
פול, מה שלומך?
ברווז. טוב מאוד, דאג.
הכנסת סאונד דרמה גבוהה לאינטרו הזה, אני שמח לראות!
DOUG. ובכן, איך אומרים "Ping of Death" בלי לומר [נומת דום מטאל] "Ping of DEATH"?
אתה לא יכול פשוט לומר [קול עדין] "Ping of Death".
אתה חייב לחבוט בזה קצת...
ברווז. אני מניח שכן.
זה שונה בכתיבה - מה יש לך?
מודגש ונטוי.
פשוט הלכתי עם טקסט רגיל, אבל השתמשתי באותיות גדולות, וזה עוזר.
DOUG. כן, אני חושב שהייתי נועז ואכתוב את המילה "מוות", אז [דום מטאל שוב] "The Ping of DEATH".
ברווז. והשתמש במספר צבעים!
אני אעשה את זה בפעם הבאה, דאג.
DOUG. לפרוץ את הישן תג ב-HTML, לגרום לו להבהב קצת? [צוחק]
ברווז. דאג, לרגע, חששתי שאתה הולך להשתמש במילה [צוחק] .
DOUG. [צוחק] אנחנו אוהבים כאן דברים ישנים!
וזה משתלב יפה עם שלנו השבוע בהיסטוריה הטכנולוגית קטע – אני מתרגש מהקטע הזה כי לא שמעתי עליו, אבל נתקלתי בו.
השבוע, ב-04 בדצמבר 2001, התולעת גונר חטפה את האינטרנט בקצב שני רק לזה של וירוס ה-Love Bug.
Goner התפשט באמצעות Microsoft Outlook, והבטיח לקורבנות תמימים שומר מסך מהנה כאשר הוצא להורג.
ברווז. גונר…
אני חושב שזה קיבל את השם הזה כי היה חלון קופץ בסוף, לא שם, שהזכיר את הפנטגון?
אבל זה היה אמור להיות משחק מילים - זה היה "פנטה/נעלמת".
זו הייתה ללא ספק התולעת שהזכירה לאנשים שלמעשה, שומרי מסך של Windows הם רק תוכניות הפעלה.
אז, אם חיפשתם במיוחד .EXE קבצים, ובכן, הם יכולים להיות עטופים בהם .SCR (שומר מסך) גם קבצים.
אם היית מסתמך רק על שמות קבצים, אפשר היה לרמות אותך בקלות.
ואנשים רבים היו, למרבה הצער.
DOUG. בסדר, נעבור מהבית ספר הישן לבית הספר החדש.
אנחנו מדברים על LastPass: הייתה פריצה; הפרצה עצמה לא הייתה נוראה; אבל הפרה זו הובילה כעת להפרה נוספת.
או שאולי זה רק המשך של הפרצה המקורית?
LastPass מודה בהפרת נתונים של לקוחות שנגרמה כתוצאה מהפרה קודמת
ברווז. כן, LastPass כתבה על זה בעצם כהמשך להפרה הקודמת, שלדעתי הייתה באוגוסט 2022, לא?
וכפי שאמרנו בזמנו, זה היה מראה מביך מאוד עבור LastPass.
אבל ככל שהפרות עוברות, זה כנראה היה גרוע יותר עבור יחסי הציבור, השיווק שלהם ו(אני מניח) עבור מחלקות הקניין הרוחני שלהם, כי נראה שהדבר העיקרי שהנוכלים התחמקו ממנו היה קוד המקור ממערכת הפיתוח שלהם.
ו-LastPass מיהר להרגיע אנשים...
ראשית, החקירות שלהם העלו כי בזמן שהם היו שם, הנוכלים לא היו מסוגלים לבצע שינויים לא מורשים שעלולים לחלחל מאוחר יותר לתוך הקוד האמיתי.
שנית, גישה למערכת הפיתוח לא נותנת לך גישה למערכת הייצור, שבה נבנה הקוד בפועל.
ושלישית, הם יכלו לומר שנראה כי לא נגנבו כספות סיסמאות מוצפנות, כך שלא ניגשה לאחסון הענן של הסיסמאות המוצפנות שלך.
וגם אם היו ניגשים לזה, אז רק אתה היית יודע את הסיסמה, כי הפענוח (מה שקראת "ההרמה הכבדה" כשדיברנו על זה בפודקאסט) מתבצע למעשה בזיכרון במכשירים שלך - LastPass אף פעם לא רואה את סיסמה.
ואז, רביעית, הם אמרו, עד כמה שנוכל לדעת, כתוצאה מהפרה ההיא, חלק מהדברים שהיו בסביבת הפיתוח נתנו כעת או את אותו הדבר... או אולי עומס אחר לגמרי של נוכלים שקנו את נתונים גנובים מהמגרש הקודם, מי יודע?
זה כן איפשר להם להיכנס לשירות ענן כלשהו שבו נגנב סט נתוני לקוחות שעדיין לא ידוע.
אני חושב שהם עדיין לא לגמרי יודעים, כי זה יכול לקחת זמן כדי להבין מה באמת הגישה לאחר שהפרה קרתה.
אז אני חושב שזה הוגן לומר שזה סוג של הצד ה-B של ההפרה המקורית.
DOUG. בסדר, אנו מציעים שאם אתה לקוח LastPass, לפקוח עין על דוח אירועי האבטחה של החברה.
אנו נעקוב אחר הסיפור הזה מכיוון שהוא עדיין מתפתח.
ואם אתה, כמו פול ואני, נלחם בפשעי סייבר למחייתך, יש כמה לקחים מצוינים שאפשר ללמוד מהפרת אובר.
אז זה פרק פודקאסט - "מיני-סוד" - עם צ'סטר ויסנייבסקי שפול הטמיע בתחתית המאמר של LastPass:
הרבה מה ללמוד בחזית הזו!
ברווז. כפי שאתה אומר, זו האזנה נהדרת, כי זה, אני מאמין, מה שמכונה באמריקה "עצה מעשייה", או "חדשות שאתה יכול להשתמש בהן".
DOUG. [צוחק] נפלא.
אם כבר מדברים על חדשות שאתה לא יכול-באמת-להשתמש בו, אפל בדרך כלל קשוחה על עדכוני האבטחה שלה... והיה עדכון אבטחה:
ברווז. הו, דאג, זה אחד הטובים שלך... אני אוהב את הסגה הזו.
DOUG. [צוחק] תודה; תודה רבה לך.
ברווז. כן, זה הפתיע אותי.
חשבתי, "טוב, אני אקח את העדכון כי זה נשמע רציני."
ונתתי לעצמי את הסיבה, "תן לי לעשות את זה עבור קוראי אבטחה עירום."
כי אם אני עושה את זה ואין תופעות לוואי, אז אני לפחות יכול להגיד לאנשים אחרים, "תראה, פשוט עשיתי את זה בעיוורון ולא נגרם לי נזק. אז אולי גם אתה יכול לעשות את זה."
פשוט פתאום שמתי לב שיש עדכון ל-iOS 16.1.2 זמין, למרות שלא היה לי אימייל לייעוץ אבטחה מאפל.
אין מייל?!
זה מוזר.. אז הלכתי ל- HT201222 דף הפורטל שיש לאפל עבור עלוני האבטחה שלה, והנה זה היה: iOS 16.1.2.
ומה זה אומר, דאג, "פרטים יבואו בקרוב"?
DOUG. והאם הם עקבו בקרוב?
ברווז. ובכן, זה היה לפני יותר משבוע, והם עדיין לא שם.
אז האם אנחנו מדברים "בקרוב" כלומר שעות, ימים, שבועות או חודשים?
כרגע זה נראה כמו שבועות.
וכמו תמיד עם אפל, אין שום אינדיקציה לשום קשר למערכות הפעלה אחרות.
האם הם נשכחו?
הם לא צריכים את העדכון?
האם גם הם היו צריכים את העדכון, אבל הוא פשוט עדיין לא מוכן?
האם נשמטה להם התמיכה?
אבל זה נראה, כפי שאמרתי בכותרת, אפילו יותר צר שפתיים מהרגיל עבור אפל, ולא בהכרח הדבר המועיל ביותר בעולם.
DOUG. בסדר, טוב מאוד... עדיין כמה שאלות, מה שמוביל אותנו לסיפור הבא שלנו.
שאלה מאוד מעניינת!
לפעמים, כאשר אתה נרשם לשירות והוא אוכף אימות דו-שלבי, הוא אומר, "האם אתה רוצה לקבל הודעה באמצעות הודעת טקסט, או האם אתה רוצה להשתמש באפליקציית אימות?"
והסיפור הזה הוא סיפור אזהרה לא להשתמש בטלפון שלך - השתמש באפליקציית אימות, גם אם זה קצת יותר מסורבל.
זה סיפור מאוד מעניין:
החלפת סים נשלחה לכלא בגין שוד מטבעות קריפטוגרפיים 2FA של למעלה מ-20 מיליון דולר
ברווז. זהו, דאג!
אם אי פעם איבדת טלפון נייד, או ננעלת את עצמך מחוץ לכרטיס ה-SIM שלך על ידי הכנסת מספר ה-PIN שגוי יותר מדי פעמים, תדע שאתה יכול להיכנס לחנות הטלפונים הניידים...
...ובדרך כלל הם יבקשו תעודה מזהה או משהו, ואתה אומר, "היי, אני צריך כרטיס SIM חדש."
והם ייצרו לך אחד.
כשאתה מכניס אותו לטלפון שלך, בינגו!... יש עליו את המספר הישן שלך.
אז מה שזה אומר הוא שאם נוכל יכול לעבור את אותו תרגיל שהיית עושה כדי לשכנע את חברת הסלולר שהם "איבדו" או "שברו" את כרטיס הסים שלהם (כלומר *כרטיס הסים שלך*), והם יכולים לקבל הכרטיס הזה נמסר להם, או נשלח אליו, או ניתן להם איכשהו...
...ואז, כשהם מחברים אותו לטלפון שלהם, הם מתחילים לקבל את קודי האימות הדו-גורמי של ה-SMS שלך, *ו* הטלפון שלך מפסיק לעבוד.
אלה החדשות הרעות.
החדשות הטובות במאמר זה הן שזה היה מקרה של בחור שנתפס בגלל זה.
הוא נשלח לכלא בארה"ב למשך 18 חודשים.
הוא, עם חבורה של שותפים - או, במילותיו של משרד המשפטים, ה משתתפי התכנית… [צוחק]
...הם הסתלקו עם מטבע קריפטוגרפי אחד של קורבן אחד, ככל הנראה בהיקף של 20 מיליון דולר, אם לא אכפת לך.
DOUG. אוף!
ברווז. אז הוא הסכים להודות באשמה, לקחת עונש מאסר, ומיד לחלט... הסכום היה [קריאה בעיון] $983,010.72... רק כדי לחלוט את זה מיד.
אז, ככל הנראה, זה היה שוכב.
וככל הנראה יש לו גם איזושהי חובה חוקית להחזיר יותר מ-20 מיליון דולר.
DOUG. בהצלחה עם זה, לכולם! בהצלחה.
השני שלו [הטייה ווקאלית] משתתפי התכנית עלול לגרום לכמה בעיות שם! [צוחק]
ברווז. כן, אני לא יודע מה יקרה אם גם הם יסרבו לשתף פעולה.
כאילו, אם רק תלו אותו לייבוש, מה יקרה?
אבל יש לנו כמה טיפים, וכמה עצות כיצד להגביר את האבטחה (ביותר מובנים מאשר רק ב-2FA שאתה משתמש בו) במאמר.
אז לך ותקרא את זה... כל קצת עוזר.
DOUG. בסדר, אם כבר מדברים על "חתיכות קטנות"...
...זה היה עוד סיפור מרתק, איך השפלים ping ניתן להשתמש כדי להפעיל ביצוע קוד מרחוק:
ברווז. [אוהב שוב את הסגה] אני חושב ששפרת את עצמך, דאג!
DOUG. [צוחק] אני בתנועה היום...
ברווז. מאפל ל-Ping of DEATH!
כן, זה היה באג מסקרן.
אני לא חושב שזה באמת יגרום להרבה אנשים הרבה נזק, וזה *מותקן*, אז קל לתקן את זה.
אבל יש כתיבה נהדרת ב-FreeBSD הייעוץ הביטחוני...
...וזה הופך לסיפור משעשע, ואם אני אומר זאת בעצמי, לסיפור מאוד אינפורמטיבי עבור הדור הנוכחי של מתכנתים שאולי הסתמכו על "ספריות צד שלישי פשוט יעשו את זה בשבילי. מתמודדים עם מנות רשת ברמה נמוכה? אני אף פעם לא צריך לחשוב על זה..."
יש כמה לקחים נהדרים שאפשר ללמוד כאן.
אל האני ping Utility, שהוא כלי הרשת היחיד שכמעט כולם יודעים עליו, מקבל את שמו מ-SONAR.
אתה הולך [עושה רעש של צוללת סרט] ping, ואז ההד חוזר מהשרת בקצה השני.
וזוהי תכונה המובנית בפרוטוקול האינטרנט, IP, באמצעות דבר שנקרא ICMP, שהוא פרוטוקול הודעות שליטה באינטרנט.
זה פרוטוקול מיוחד, ברמה נמוכה, הרבה יותר נמוך מ-UDP או TCP שאנשים כנראה רגילים אליו, שנועד פחות או יותר בדיוק מהסוג הזה: "האם אתה בכלל חי בקצה השני, לפני שאני הולך לדאוג למה שרת האינטרנט שלך לא עובד?"
יש סוג מיוחד של חבילה שאתה יכול לשלוח בשם "ICMP Echo".
אז, אתה שולח את החבילה הקטנטנה הזו עם הודעה קצרה בתוכה (ההודעה יכולה להיות כל דבר שתרצה), והיא פשוט שולחת את אותה הודעה בחזרה אליך.
זו רק דרך בסיסית לומר, "אם ההודעה הזו לא חוזרת, או הרשת או השרת כולו מושבת", במקום שיש בעיה כלשהי בתוכנה במחשב.
באנלוגיה ל-SONAR, התוכנית ששולחת בקשות הד אלו נקראת... [השהיה] אני הולך לעשות את אפקט הקול, דאג... [רעש סרטי צוללת מזויף שוב] ping. [צחוק]
והרעיון הוא, לך, תגיד, ping -c3 (זה אומר לבדוק שלוש פעמים) nakedsecurity.sophos.com.
אתה יכול לעשות את זה כבר עכשיו, ואתה אמור לקבל שלוש תשובות, כל אחת מהן בהפרש של שנייה אחת, משרתי וורדפרס המארחים את האתר שלנו.
וזה אומר שהאתר חי.
זה לא אומר לך ששרת האינטרנט פועל; זה לא אומר לך ש- WordPress עלתה; זה לא אומר ש-Naked Security באמת זמין לקריאה.
אבל זה לפחות מאשר שאתה יכול לראות את השרת, והשרת יכול להגיע אליך.
ומי היה מאמין שתגובת הפינג הקטנה הזו יכולה להכשיל את FreeBSD ping תוכנית בצורה כזו ששרת נוכל יכול לשלוח בחזרה הודעת "כן, אני חי" לכודה, שיכולה, בתיאוריה (בתיאוריה בלבד; אני לא חושב שמישהו עשה זאת בפועל) להפעיל ביצוע קוד מרחוק ב- המחשב שלך.
DOUG. כן, זה מדהים; זה החלק המדהים.
גם אם זו הוכחה למושג, זה דבר קטן כל כך!
ברווז. אל האני ping התוכנית עצמה מקבלת את כל חבילת ה-IP בחזרה, והיא אמורה לחלק אותה לשני חלקים.
בדרך כלל, הליבה תטפל בזה בשבילך, אז פשוט תראה את החלק של הנתונים.
אבל כשאתה עוסק במה שנקרא שקעים גולמיים, מה שאתה מקבל בחזרה הוא כותרת פרוטוקול האינטרנט, שרק אומרת, "היי, הבייטים האלה הגיעו משרת כזה ואחר".
ואז אתה מקבל דבר שנקרא "ICMP Echo Reply", שהוא החצי השני של החבילה שאתה מקבל בחזרה.
עכשיו, החבילות האלה, הן בדרך כלל רק 100 בתים בערך, ואם זה IPv4, 20 הבתים הראשונים הם כותרת ה-IP והשאר, מה שזה לא יהיה, הוא ה-Echo Reply.
יש לזה כמה בתים לומר, "זהו תשובה הד", ואז ההודעה המקורית שיצאה חזרה.
והדבר המובן מאליו לעשות, דאג, כאשר אתה מקבל את זה, הוא לפצל את זה ל...
... כותרת ה-IP, שאורכה 20 בתים, והשאר.
נחשו איפה הבעיה?
DOUG. ספר!
ברווז. הבעיה היא שכותרות IP הן *כמעט תמיד* באורך 20 בתים - למעשה, אני לא חושב שאי פעם ראיתי אחת שלא הייתה כזו.
ואתה יכול לדעת שהם באורך 20 בתים מכיוון שהבייט הראשון יהיה הקסדצימלי 0x45.
ה-"4"" פירושו IPv4, וה-"5"... "אה, נשתמש בזה כדי לומר כמה זמן הכותרת היא."
אתה לוקח את המספר הזה 5 ומכפיל אותו ב-4 (עבור ערכים של 32 סיביות), ותקבל 20 בתים.
...וזה גודל של כותרות IP בשווי שישה סיגמא שאי פעם תראה בכל העולם, דאג. [צחוק]
אבל הם *יכולים* להגיע ל-60 בתים.
אם תשים 0x4F במקום 0x45, שאומר שיש 0xF (או 15 בעשרוניות) × 4 = 60 בתים בכותרת.
והקוד של FreeBSD פשוט לקח את הכותרת הזו והעתיק אותה למאגר בערימה שגודלה היה 20 בתים.
הצפת מאגר מחסנית פשוטה ומהותיקה.
זה מקרה של כלי מכובד לפתרון בעיות ברשת עם סוג מכובד של באג בתוכו. (טוב, לא יותר.)
לכן, כשאתה מתכנת ואתה צריך להתמודד עם דברים ברמה נמוכה שאף אחד לא באמת חשב עליהם במשך עידנים, אל תלך רק עם החוכמה שהתקבלה שאומרת, "אה, זה תמיד יהיה 20 בתים; לעולם לא תראה משהו גדול יותר."
כי יום אחד אולי.
וכשהיום הזה יגיע, הוא עשוי להיות שם בכוונה כי נוכל עשה זאת בכוונה.
אז השטן, כמו תמיד, נמצא בפרטי התכנות, דאג.
DOUG. בסדר, מאוד מעניין; סיפור נהדר.
ואנחנו נישאר בנושא הקוד עם הסיפור האחרון הזה על כרום.
עוד יום אפס, שמביא את סך 2022 לפי תשע:
ברווז. [קול רשמי, נשמע כמו הקלטה] "מספר 9. מספר 9. מספר 9, מספר 9," דאגלס.
DOUG. [צוחק] האם זו יוקו אונו?
ברווז. זה המהפכה 9 מחוץ ל"אלבום הלבן" של הביטלס.
אפשר לשמוע את יוקו מתרפקת בשיר הזה - זה נוף סאונד, אני מאמין שהם קוראים לזה - אבל כנראה הקטע בהתחלה שבו יש מישהו שאומר "מספר 9, מספר 9" שוב ושוב, זה היה, למעשה, קלטת בדיקה שהם מצאו שוכבת בסביבה.
DOUG. אה, מגניב מאוד.
ברווז. מהנדס EMI אומר משהו כמו, "זוהי קלטת בדיקה מספר 9 של EMI" [צחוק], וכנראה שאני אפילו לא חושב שמישהו יודע של מי הקול שלו.
אין לזה שום קשר לכרום, דאג.
אבל בהתחשב בעובדה שמישהו הגיב בפייסבוק לפני כמה ימים, "הבחור הפול הזה מתחיל להיראות כמו ביטל"... [מובחן] מה שנראה לי קצת מוזר.
DOUG. [צוחק] כן, איך אתה אמור לקבל את זה?
ברווז. ...חשבתי שאוכל לסעוד בחוץ ב"מספר 9".
זה היום האפס התשיעי בשנה עד כה, כך נראה, דאג.
וזה תיקון של באג אחד, כאשר הבאג מזוהה כ-CVE 2022-4282.
מכיוון ש- Microsoft Edge משתמש בליבת הקוד הפתוח של Chromium, גם הוא היה פגיע, וכמה ימים לאחר מכן, מיקרוסופט עקבה אחרי עדכון עבור Edge.
אז זו גם בעיה של Chrome וגם של Edge.
למרות שהדפדפנים האלה צריכים לעדכן את עצמם, אני ממליץ ללכת לבדוק בכל מקרה - אנחנו מראים לך איך לעשות את זה במאמר - לכל מקרה.
לא אקרא כאן את מספרי הגרסאות מכיוון שהם שונים עבור Mac, Linux ו-Windows בכרום, והם שוב שונים עבור Edge.
כמו אפל, גוגל קצת מתהדרת בעניין הזה.
זה נמצא על ידי אחד מצוות ציד האיומים שלהם, אני מאמין.
אז אני מתאר לעצמי שהם מצאו את זה תוך כדי חקירת אירוע שקרה בטבע, ולכן הם כנראה רוצים לשמור את זה מתחת לכובע שלהם, למרות שלגוגל יש בדרך כלל הרבה מה לומר על "פתיחות" בכל הנוגע לתיקון באגים.
אתה יכול לראות מדוע, במקרה כזה, אולי תרצה קצת זמן לחפור קצת יותר לעומק לפני שאתה מספר לכולם בדיוק איך זה עובד.
DOUG. מצוין... ויש לנו שאלת קורא שהיא כנראה שאלה שהרבה אנשים חושבים.
קסנדרה שואלת, "האם למחפשי הבאגים יש מזל בחיפוש אחר באגים? או שהם פגעו ב'תפר' מלא באגים? או ש-Chromium מנפיק קוד חדש שהוא באגי יותר מהרגיל? או שקורה משהו אחר?"
ברווז. כן, זו שאלה מצוינת, למען האמת, ואני חושש שאוכל לענות עליה רק בצורה מעט מופרכת, דאג.
בגלל שקסנדרה נתנה אפשרויות א'), ב' ו-ג'), אמרתי, "טוב, אולי זה ד. כל התשובות נכונות."
אנחנו כן יודעים שכאשר באג מסוג מסוים מופיע בקוד, אז סביר להניח שאותו מתכנת עשה באגים דומים במקומות אחרים בתוכנה.
לחלופין, מתכנתים אחרים באותה חברה השתמשו במה שנחשב לחוכמה או נוהג סטנדרטי באותה תקופה, ואולי הלכו בעקבותיו.
ודוגמה מצוינת היא, אם תסתכל אחורה על Log4J... היה תיקון לתיקון הבעיה.
ואז, כשהם הלכו לחפש, "אה, למעשה, יש מקומות אחרים שבהם נעשו טעויות דומות."
אז היה תיקון לתיקון, ואז היה תיקון לתיקון לתיקון, אם אני זוכר.
ישנה, כמובן, גם את הבעיה שכאשר אתה מוסיף קוד חדש, אתה עלול לקבל באגים שייחודיים לקוד החדש הזה ויתרחשו בגלל הוספת תכונות.
ובגלל זה לדפדפנים רבים, כולל כרום, יש גרסה "קצת יותר ישנה" אם אתה אוהב שאתה יכול להישאר איתה.
והרעיון הוא שהמהדורות ה"ישנות" האלה... אין להן אף אחת מהתכונות החדשות, אלא את כל תיקוני האבטחה הרלוונטיים.
אז אם אתה רוצה להיות שמרני לגבי תכונות חדשות, אתה יכול להיות.
אבל אנחנו בהחלט יודעים שלפעמים, כאשר אתה דוחף תכונות חדשות למוצר, באגים חדשים מגיעים עם התכונות החדשות.
ואתה יכול לדעת את זה, למשל, כאשר יש עדכון, למשל, עבור האייפון שלך, ואתה מקבל עדכונים, למשל, עבור iOS 15 ו- iOS 16.
לאחר מכן, כאשר אתה מסתכל על רשימות הבאגים, ישנם מעט באגים שחלים רק על iOS 16.
ואתה חושב, "שלום, אלה בטח באגים בקוד שלא היו שם קודם."
אז כן, זו אפשרות.
ואני חושב ששאר הדברים שקורים יכולים להיחשב טובים.
הראשון הוא שלדעתי, במיוחד עבור דברים כמו דפדפנים, יצרני הדפדפנים משתפרים בהרבה בדחיפה של בנייה מחדש מלאה ממש ממש מהר.
DOUG. מעניין.
ברווז. ואני חושב שהדבר השני שהשתנה הוא שבעבר אפשר היה לטעון שעבור ספקים רבים... היה די קשה לגרום לאנשים להחיל תיקונים בכלל, אפילו כשהם יצאו רק בלוח זמנים חודשי, ואפילו אם היו בהם מספר תיקוני יום אפס.
אני חושב, אולי זו גם תגובה לעובדה שיותר ויותר מאיתנו נוטים יותר ויותר לא רק לקבל, אלא למעשה *לצפות* לעדכון אוטומטי שהוא ממש מהיר.
אז, אני חושב שאתה יכול לקרוא כמה דברים טובים לתוך זה.
העובדה לא רק שגוגל יכולה לדחוף תיקון בודד של יום אפס כמעט מיידי, אלא גם שאנשים מוכנים לקבל את זה ואפילו לדרוש זאת.
אז אני אוהב לראות את הנושא הזה של, "וואו, תשעה אפס-ימים בשנה מתוקנים בנפרד!"...
...אני אוהב לחשוב על זה יותר כעל "חצי כוס מילוי ומתמלא" מאשר "חצי כוס ריקה ומתנקזת דרך חור קטן בתחתית". [צחוק]
זו דעתי.
DOUG. בסדר, טוב מאוד.
תודה על השאלה, קסנדרה.
אם יש לכם סיפור מעניין, תגובה או שאלה שתרצו לשלוח, נשמח לקרוא אותם בפודקאסט.
אתה יכול לשלוח דוא"ל ל-tips@sophos.com, אתה יכול להגיב על כל אחד מהמאמרים שלנו, או שאתה יכול לפנות אלינו בחברתית: @NakedSecurity.
זו ההופעה שלנו להיום; תודה רבה על ההקשבה.
עבור פול דאקלין, אני דאג אמות', ומזכיר לך: עד הפעם הבאה...
שניהם. הישאר בטוח!
[מודם מוזיקלי]
- תפוח עץ
- blockchain
- Chrome
- קוינגניוס
- ארנקים
- cryptryptxchange
- אבטחת סייבר
- פשעי אינטרנט
- עברייני אינטרנט
- אבטחת סייבר
- מחלקה לביטחון מולדת
- ארנקים דיגיטליים
- אדג '
- לנצל
- חומת אש
- פריצה
- iOS
- קספרסקי
- חוק וסדר
- תוכנות זדוניות
- מקאפי
- מיקרוסופט
- ביטחון עירום
- פודקאסט עירום אבטחה
- NexBLOC
- אפלטון
- plato ai
- מודיעין אפלטון
- משחק אפלטון
- אפלטון נתונים
- פלטוגיימינג
- פודקאסט
- פְּרָטִיוּת
- VPN
- פגיעות
- אבטחת אתר
- זפירנט
![S3 Ep121: האם אתה יכול להיפרץ ואז להעמיד אותך לדין על כך? [אודיו + טקסט]](https://platoaistream.com/wp-content/uploads/2023/02/s3-ep121-can-you-get-hacked-and-then-prosecuted-for-it-audio-text-300x156.png)
