데이터 위반 - 꼬리에 찌르기
원하는 지점으로 건너뛰려면 아래의 음파를 클릭하고 끕니다. 당신은 또한 수 직접 들어 사운드클라우드에서.
Doug Aamoth와 Paul Ducklin과 함께. 인트로 및 아웃트로 음악 에디스 머지.
당신은 우리를들을 수 있습니다 사운드 클라우드, Apple Podcasts, Google 포드 캐스트, 스포티 파이, 스티 그리고 좋은 팟캐스트가 있는 곳이면 어디든지. 아니면 그냥 버리세요 RSS 피드의 URL 좋아하는 팟캐쳐에.
대본 읽기
더그. SIM 스와핑, 제로데이, [극적인 목소리] Ping of DEATH, 그리고 LastPass…
Naked Security 팟캐스트에서 이 모든 것.
[뮤지컬 모뎀]
모두 팟캐스트에 오신 것을 환영합니다.
저는 더그 아모스입니다.
언제나 그렇듯이 폴 더클린이 나와 함께합니다.
폴, 어때?
오리. 좋아, 더그.
당신은 그 인트로에 약간의 드라마틱한 사운드를 넣었습니다. 보기에 기쁩니다!
더그. [둠 메탈 으르렁] "Ping of DEATH"를 말하지 않고 "Ping of Death"를 어떻게 말합니까?
[부드러운 목소리] "죽음의 핑"이라고만 할 수는 없지요.
좀 쳐야지...
오리. 나는 그렇게 생각.
그것은 서면으로 다르다 – 당신은 무엇을 가지고 있습니까?
볼드체와 이탤릭체.
나는 그냥 일반 텍스트로 갔지만 도움이 되는 대문자를 사용했습니다.
더그. 예, 저는 "death"라는 단어를 굵게 이탤릭체로 표시할 것 같아서 [doom metal 다시] "The Ping of DEATH"입니다.
오리. 그리고 여러 색상을 사용하십시오!
다음에 할게요, 더그.
더그. 오래된 것을 깨다 HTML의 태그, 조금 깜박이게 하시겠습니까? [웃음]
오리. Doug, 잠시 동안 당신이 [LAUGHS]라는 단어를 사용할까 봐 걱정했어요 .
더그. [LAUGHS] 우리는 여기 오래된 물건을 좋아합니다!
그리고 그것은 우리와 잘 어울립니다. 이번 주 기술 역사 세그먼트 – 나는 그것에 대해 듣지 못했지만 우연히 발견했기 때문에 이것에 대해 흥분됩니다.
이번 주, 04년 2001월 XNUMX일, Goner 웜은 Love Bug 바이러스 다음으로 빠른 속도로 인터넷을 뒤덮었습니다.
Goner는 Microsoft Outlook을 통해 유포되었으며 순진한 희생자가 실행될 때 재미있는 화면 보호기를 약속했습니다.
오리. 고너…
마지막에 팝업이 있어서 그런 이름이 붙은 것 같은데 거기에 펜타곤이 언급되지 않았나요?
그러나 그것은 말장난을 의미했습니다. "Penta/Gone"이었습니다.
사실 Windows 화면 보호기는 실행 가능한 프로그램일 뿐이라는 사실을 사람들에게 일깨워준 웜이었습니다.
그래서 특별히 주의를 기울이고 있었다면 .EXE 파일, 글쎄, 그들은 .SCR (화면 보호기) 파일도 마찬가지입니다.
파일 이름에만 의존한다면 쉽게 속을 수 있습니다.
그리고 많은 사람들이 슬프게도 그랬습니다.
더그. 좋아, 우리는 구식에서 신식으로 갈거야.
우리는 LastPass에 대해 이야기하고 있습니다. 위반이 있었습니다. 위반 자체는 끔찍하지 않았습니다. 그러나 그 위반은 이제 또 다른 위반으로 이어졌습니다.
아니면 이것은 원래 위반의 연속일까요?
오리. 예, LastPass는 기본적으로 2022년 XNUMX월이었던 이전 위반에 대한 후속 조치로 이에 대해 작성했습니다. 그렇지 않습니까?
그리고 당시에 말했듯이 LastPass에게는 매우 부끄러운 모습이었습니다.
그러나 위반이 진행됨에 따라 PR, 마케팅 및 지적 재산권 부서에 더 나빴을 것입니다. 사기꾼이 빼낸 주요 항목은 개발 시스템의 소스 코드인 것 같기 때문입니다.
그리고 LastPass는 신속하게 사람들을 안심시켰습니다…
첫째, 그들의 조사에 따르면 그들이 거기에 있는 동안 사기꾼은 나중에 실제 코드에 스며들 수 있는 승인되지 않은 변경을 할 수 없었습니다.
둘째, 개발 시스템에 대한 액세스는 실제 코드가 빌드되는 프로덕션 시스템에 대한 액세스를 제공하지 않습니다.
그리고 세 번째로, 그들은 암호화된 암호 저장소가 도난당하지 않은 것처럼 보였으므로 암호화된 암호의 클라우드 스토리지에 액세스하지 못했다고 말할 수 있었습니다.
액세스한 경우에도 암호 해독(팟캐스트에서 언급했을 때 "무거운 작업"이라고 부름)이 실제로 장치의 메모리에서 수행되기 때문에 사용자만 암호를 알 수 있습니다. LastPass는 사용자의 암호를 절대 보지 않습니다. 비밀번호.
그리고 넷째로, 그들은 우리가 알 수 있는 한, 그 위반의 결과로 개발 환경에 있던 일부 물건이 이제 동일하거나 아마도 완전히 다른 도둑을 샀다고 말했습니다. 이전 부지에서 데이터를 훔쳤습니다. 누가 압니까?
이를 통해 아직 알려지지 않은 고객 데이터 집합이 도난당한 일부 클라우드 서비스에 들어갈 수 있었습니다.
위반이 발생한 후 실제로 액세스한 항목을 파악하는 데 시간이 걸릴 수 있기 때문에 그들이 아직 잘 모른다고 생각합니다.
따라서 이것이 원래 위반의 B면이라고 말하는 것이 타당하다고 생각합니다.
더그. 알겠습니다. LastPass 고객이라면 회사의 보안 사고 보고서를 주시할 것을 제안합니다.
이 이야기는 계속 발전하고 있으므로 계속 지켜볼 것입니다.
Paul과 나처럼 생계를 위해 사이버 범죄와 싸우는 사람이라면 Uber 위반 사례에서 배울 수 있는 몇 가지 훌륭한 교훈이 있습니다.
이것이 Paul이 LastPass 기사의 맨 아래에 삽입한 Chester Wisniewski와 함께하는 팟캐스트 에피소드("미니소드")입니다.
그 앞에서 배울 것이 많습니다!
오리. 당신이 말했듯이, 그것은 미국에서 "실행 가능한 조언" 또는 "사용할 수 있는 뉴스"로 알려진 것이기 때문에 잘 들어야 합니다.
더그. [웃음] 훌륭합니다.
실제로 사용할 수 없는 뉴스에 대해 말하자면, Apple은 일반적으로 보안 업데이트에 대해 입을 다물고 있습니다. 그리고 보안 업데이트가 있었습니다.
오리. 오, Doug, 당신의 최고 중 하나입니다… 나는 그 segue를 좋아합니다.
더그. [웃음] 감사합니다. 매우 감사합니다.
오리. 예, 이것은 저를 놀라게 했습니다.
"글쎄요, 업데이트가 심각할 것 같아서 업데이트를 받겠습니다."라고 생각했습니다.
그리고 나는 "Naked Security 독자들을 위해 해보자"라고 스스로에게 이유를 주었습니다.
내가 하고 부작용이 없다면 적어도 다른 사람들에게 “이봐, 내가 맹목적으로 했을 뿐이고 나에게 해가 되지 않았어. 그래서 당신도 할 수 있을지도 몰라요.”
Apple에서 보낸 보안 권고 이메일이 없었지만 iOS 16.1.2 업데이트가 있다는 것을 갑자기 알게 되었습니다.
이메일이 없나요?!
이상하다.. 그래서 갔다. HT201222 Apple이 보안 공지를 위해 가지고 있는 포털 페이지는 iOS 16.1.2였습니다.
Doug, "자세한 내용은 곧 공개될 예정입니다"라는 내용은 무엇입니까?
더그. 그리고 그들은 곧 따랐습니까?
오리. 글쎄, 그것은 일주일 이상 전이었고 아직 거기에 없습니다.
그래서 우리는 몇 시간, 며칠, 몇 주 또는 몇 달을 의미하는 "곧"을 말하는 것입니까?
지금은 몇 주처럼 보입니다.
그리고 항상 Apple과 마찬가지로 다른 운영 체제와 관련이 있다는 징후는 없습니다.
잊혀졌나요?
업데이트가 필요하지 않습니까?
그들도 업데이트가 필요했지만 아직 준비되지 않았습니까?
지원이 중단되었나요?
그러나 내가 헤드라인에서 말했듯이, 그것은 Apple에게 평소보다 훨씬 더 꽉 막힌 것처럼 보였고, 반드시 세상에서 가장 도움이 되는 것은 아닙니다.
더그. 좋아요, 아주 좋아요… 아직 몇 가지 질문이 있습니다. 그러면 다음 이야기로 이어집니다.
매우 흥미로운 질문입니다!
가끔 서비스에 가입하고 XNUMX단계 인증을 시행할 때 "문자로 알림을 받으시겠습니까, 아니면 인증 앱을 사용하시겠습니까?"라고 말합니다.
그리고 이 이야기는 휴대폰을 사용하지 말라는 경고입니다. 조금 번거롭더라도 인증 앱을 사용하세요.
이것은 매우 흥미로운 이야기입니다.
오리. 바로, 더그!
휴대 전화를 분실했거나 PIN을 너무 많이 잘못 입력하여 SIM 카드에 액세스할 수 없는 경우 휴대 전화 매장에 갈 수 있습니다...
… 그리고 보통 그들은 신분증 같은 것을 요구할 것이고, 당신은 "이봐, 새 SIM 카드가 필요해."라고 말할 것입니다.
그리고 그들은 당신을 위해 하나를 생성합니다.
휴대 전화에 넣으면 빙고!… 이전 번호가 표시됩니다.
따라서 이것이 의미하는 바는 사기꾼이 SIM 카드(예: *SIM 카드*)를 "분실"하거나 "파손"했다고 휴대 전화 회사를 설득하는 것과 동일한 연습을 수행할 수 있고 그들이 얻을 수 있다는 것입니다. 그 카드는 어떻게든 그들에게 전달되거나 보내지거나 주어집니다…
...그런 다음 휴대폰에 연결하면 SMS 이중 인증 코드를 받기 시작하고 *그리고* 휴대폰이 작동을 멈춥니다.
그것은 나쁜 소식입니다.
이 기사의 희소식은 이것이 체포된 녀석의 사례라는 것입니다.
그는 18개월 동안 미국 감옥에 수감되었습니다.
그는 많은 공범자들과 함께 – 또는 법무부의 말에 따르면 제도 참여자… [웃음]
…그들은 한 특정 피해자의 암호화폐로 돈을 벌었습니다. 괜찮으시다면 분명히 20천만 달러에 달할 것입니다.
더그. 돈!
오리. 그래서 그는 유죄를 인정하고 징역형을 선고받은 후 즉시 몰수하는 데 동의했습니다. 금액은 [주의 깊게 읽음] $983,010.72였습니다... 바로 몰수당했습니다.
그래서 아마도 그는 그것을 가지고 있었을 것입니다.
그리고 그는 분명히 20천만 달러 이상을 환불해야 하는 일종의 법적 의무가 있습니다.
더그. 모두들 행운을 빕니다! 행운을 빕니다.
그의 다른 [보컬 이탤릭체] 제도 참여자 거기에 몇 가지 문제가 발생할 수 있습니다! [웃음]
오리. 예, 그들이 협조를 거부하면 어떻게 되는지 모르겠습니다.
예를 들어, 그들이 그를 말리기 위해 매달아 놓으면 어떻게 될까요?
하지만 기사에서 보안을 강화하는 방법에 대한 몇 가지 팁과 조언을 얻을 수 있습니다(단지 사용하는 2FA보다 더 많은 방법으로).
그러니 가서 읽어보세요… 작은 도움이 됩니다.
더그. 좋아, "조금"에 대해 말하면…
… 이것은 또 다른 매혹적인 이야기였습니다. ping 원격 코드 실행을 트리거하는 데 사용할 수 있습니다.
오리. [세구에 또 좋아] 더 잘한 것 같아 더그!
더그. [웃음] 오늘은 순조롭게 진행 중입니다…
오리. Apple에서 [둠 보컬에 대한 약한 시도] Ping of DEATH까지!
예, 이것은 흥미로운 버그였습니다.
정말 많은 사람들에게 큰 피해를 줄 것 같지 않고 패치가 *되어* 있으므로 고치기가 쉽습니다.
그러나 FreeBSD에는 훌륭한 글이 있습니다. 보안 권고...
...그리고 그것은 재미있고, 내가 그렇게 말한다면, "서드 파티 라이브러리는 나를 위해 그것을 할 것입니다. 낮은 수준의 네트워크 패킷을 처리합니까? 나는 그것에 대해 생각할 필요가 없습니다…
여기서 배울 수 있는 몇 가지 훌륭한 교훈이 있습니다.
XNUMXD덴탈의 ping 거의 모든 사람이 알고 있는 유일한 네트워크 도구인 유틸리티는 SONAR에서 이름을 가져왔습니다.
당신은 [영화 잠수함 소음을 만든다] ping, 그런 다음 다른 쪽 끝에 있는 서버에서 에코가 다시 나타납니다.
그리고 이것은 인터넷 제어 메시지 프로토콜인 ICMP라는 것을 사용하여 인터넷 프로토콜, IP에 내장된 기능입니다.
그것은 사람들이 아마 익숙할 UDP나 TCP보다 훨씬 낮은 특수하고 낮은 수준의 프로토콜이며, 정확히 이런 종류의 일을 위해 설계되었습니다. 웹 서버가 작동하지 않습니까?”
"ICMP Echo"라는 특별한 종류의 패킷을 보낼 수 있습니다.
따라서 짧은 메시지가 포함된 이 작은 패킷을 보내면(메시지는 원하는 모든 것이 될 수 있음) 동일한 메시지를 다시 보냅니다.
컴퓨터에 어떤 소프트웨어 문제가 있는 것이 아니라 "그 메시지가 다시 나타나지 않으면 네트워크 또는 전체 서버가 다운된 것입니다"라고 말하는 기본적인 방법입니다.
SONAR와 유사하게 이러한 에코 요청을 전송하는 프로그램을… ping. [웃음]
그리고 그 아이디어는, 당신이 가서 말하길, ping -c3 (즉, 세 번 확인) nakedsecurity.sophos.com.
지금 바로 그렇게 할 수 있으며 사이트를 호스팅하는 WordPress 서버에서 각각 XNUMX초 간격으로 XNUMX개의 응답을 받아야 합니다.
그리고 사이트가 살아있다고 합니다.
웹 서버가 작동 중임을 알려주는 것이 아닙니다. WordPress가 작동 중이라는 것을 알려주는 것이 아닙니다. Naked Security가 실제로 읽을 수 있다는 것은 아닙니다.
그러나 최소한 서버를 볼 수 있고 서버가 사용자에게 도달할 수 있음을 확인합니다.
그리고 누가 그 하찮은 작은 핑 응답이 FreeBSD를 넘어뜨릴 수 있다고 생각했을까요? ping 악성 서버가 이론적으로(이론적으로만, 실제로는 누구도 이렇게 한 적이 없다고 생각합니다) 원격 코드 실행을 트리거할 수 있는 부비트랩 "예, 저는 살아 있습니다" 메시지를 다시 보낼 수 있는 방식으로 프로그램합니다. 너의 컴퓨터.
더그. 예, 놀랍습니다. 놀라운 부분입니다.
비록 그것이 개념 증명일지라도 그것은 아주 작은 것입니다!
오리. XNUMXD덴탈의 ping 프로그램 자체는 전체 IP 패킷을 다시 가져오고 이를 두 부분으로 나누어야 합니다.
일반적으로 커널이 이를 처리하므로 데이터 부분만 볼 수 있습니다.
하지만 소위 말하는 것을 다룰 때 원시 소켓, 반환되는 것은 인터넷 프로토콜 헤더이며 "이 바이트는 이러저러한 서버에서 온 것입니다."라고 말합니다.
그런 다음 “ICMP Echo Reply”라고 하는 것을 받게 되는데, 이것은 돌려받는 패킷의 후반부입니다.
이제 이러한 패킷은 일반적으로 100바이트 정도이며 IPv4인 경우 처음 20바이트는 IP 헤더이고 나머지는 Echo Reply입니다.
여기에는 "이것은 Echo Reply입니다."라는 몇 바이트가 있고 나간 원래 메시지가 다시 돌아옵니다.
Doug, 당신이 그것을 얻었을 때 해야 할 분명한 일은 그것을 다음과 같이 나누는 것입니다.
...20바이트 길이의 IP 헤더와 나머지.
문제가 어디에 있는지 맞춰보세요?
더그. 말하라!
오리. 문제는 IP 헤더가 *거의 항상* 20바이트 길이라는 것입니다. 사실, 그렇지 않은 것을 본 적이 없는 것 같습니다.
첫 번째 바이트가 20진수이므로 길이가 XNUMX바이트임을 알 수 있습니다. 0x45.
"4""는 IPv4를 의미하고 "5"는…
그 숫자 5에 4를 곱하면(32비트 값의 경우) 20바이트가 됩니다.
...그리고 그것은 아마도 전 세계에서 볼 수 있는 XNUMX시그마의 IP 헤더 크기일 것입니다, Doug. [웃음]
그러나 최대 60바이트까지 *가능*합니다.
넣으면 0x4F 대신 0x45, 헤더에 0xF(또는 15진수로 4) × 60 = XNUMX바이트가 있음을 나타냅니다.
그리고 FreeBSD 코드는 단순히 해당 헤더를 가져와 크기가 20바이트인 스택의 버퍼에 복사했습니다.
단순한 구식 스택 버퍼 오버플로입니다.
유서 깊은 유형의 버그가 있는 유서 깊은 네트워크 문제 해결 도구의 경우입니다. (음, 더 이상은 아닙니다.)
따라서 프로그래밍을 할 때 오랫동안 아무도 생각하지 않은 저수준 항목을 처리해야 할 때 “오, 항상 20바이트일 것입니다. 당신은 더 큰 것을 결코 보지 못할 것입니다.”
언젠가는 그럴 수도 있기 때문입니다.
그리고 그 날이 오면, 사기꾼이 일부러 그렇게 만들었기 때문에 일부러 거기에 있을 수도 있습니다.
그래서 항상 그렇듯이 악마는 프로그래밍 세부 사항에 있습니다, Doug.
더그. 좋아요, 아주 흥미로워요; 좋은 이야기.
그리고 우리는 Chrome에 대한 이 마지막 이야기로 코드의 주제에 집중할 것입니다.
2022년 총 XNUMX배가 되는 또 다른 제로데이:
오리. [녹음처럼 들리는 격식 있는 음성] "9번. 9번. 9번, 9번," 더글러스.
더그. [LAUGHS] 오노 요코인가요?
오리. 그건 혁명 9 비틀즈 "화이트 앨범"에서.
Yoko는 그 노래에서 리프를 들을 수 있습니다. 소리, 나는 그들이 그것을 부른다고 믿습니다. 하지만 처음에 누군가가 "숫자 9, 숫자 9"라고 반복해서 말하는 부분은 사실 그들이 발견한 테스트 테이프였습니다.
더그. 아, 아주 멋지다.
오리. EMI 엔지니어가 "이것은 EMI 테스트 테이프 번호 9입니다."[웃음], 누구의 목소리인지 아는 사람조차 없는 것 같습니다.
Chrome과는 *아무런* 관련이 없습니다, Doug.
하지만 요 전날 누군가가 페이스북에 댓글을 달았다는 점을 감안할 때, "그 폴 녀석은 비틀즈처럼 보이기 시작했다"…
더그. [LAUGHS] 네, 어떻게 받아들여야 합니까?
오리. ... "Number 9"에서 외식을 할 수 있다고 생각했습니다.
Doug, 지금까지 올해로 XNUMX번째 제로데이인 것 같습니다.
그리고 CVE 2022-4282로 확인된 버그가 포함된 단일 버그 수정입니다.
Microsoft Edge는 Chromium 오픈 소스 코어를 사용하기 때문에 이 역시 취약했으며 며칠 후 Microsoft는 Edge에 대한 업데이트를 발표했습니다.
따라서 이것은 Chrome 및 Edge 문제입니다.
이러한 브라우저는 스스로 업데이트해야 하지만 그래도 확인하는 것이 좋습니다. 만일의 경우를 대비하여 문서에서 업데이트하는 방법을 보여줍니다.
여기서는 버전 번호를 읽지 않겠습니다. 버전 번호는 Chrome의 Mac, Linux 및 Windows에서 다르고 Edge에서도 다르기 때문입니다.
애플과 마찬가지로 구글도 이에 대해 입을 다물고 있다.
위협 사냥 팀 중 한 명이 발견했다고 믿습니다.
그래서 나는 그들이 야생에서 발생한 사건을 조사하는 동안 그것을 발견했다고 생각합니다. 따라서 Google은 일반적으로 버그 수정과 관련하여 "개방성"에 대해 할 말이 많음에도 불구하고 아마도 그것을 유지하기를 원할 것입니다.
이와 같은 경우 모든 사람에게 작동 방식을 정확히 알리기 전에 조금 더 깊이 파고들 시간이 필요한 이유를 알 수 있습니다.
더그. 훌륭합니다… 그리고 많은 사람들이 생각하는 질문인 독자 질문이 있습니다.
Cassandra는 “버그를 찾는 사람이 버그를 찾는 데 운이 좋은 것일까요? 아니면 벌레로 가득 찬 '솔기'를 쳤습니까? 아니면 Chromium이 평소보다 버그가 많은 새 코드를 발행하고 있나요? 아니면 다른 일이 일어나고 있습니까?”
오리. 예, 정말 좋은 질문입니다. 약간 우스꽝스러운 방식으로만 답변을 드릴 수 있을 것 같습니다, Doug.
Cassandra가 선택 A), B) 및 C)를 제공했기 때문에 저는 이렇게 말했습니다. D) 위의 모든 것."
우리는 특정 종류의 버그가 코드에 나타날 때 동일한 프로그래머가 소프트웨어의 다른 곳에서 유사한 버그를 만들었을 수 있다고 가정하는 것이 합리적이라는 것을 알고 있습니다.
또는 같은 회사의 다른 프로그래머가 당시에 통념이나 표준 관행으로 여겨졌던 것을 사용하고 있었고 이를 따랐을 수도 있습니다.
그리고 좋은 예는 Log4J를 되돌아보면… 문제를 패치할 수 있는 수정 사항이 있다는 것입니다.
그리고 나서 그들이 찾아갔을 때, “아, 사실 비슷한 실수를 한 다른 곳이 있습니다.”
그래서 수정 사항에 대한 수정 사항이 있었고 수정 사항에 대한 수정 사항이 있었습니다.
물론 새 코드를 추가할 때 새 코드에 고유하고 기능 추가로 인해 발생하는 버그가 발생할 수 있다는 문제도 있습니다.
그렇기 때문에 Chrome을 비롯한 많은 브라우저에 계속 사용할 수 있는 "약간 오래된" 버전이 있습니다.
그리고 이러한 "오래된" 릴리스에는 새로운 기능이 없지만 모든 관련 보안 수정 사항이 있습니다.
따라서 새로운 기능에 대해 보수적으로 생각하고 싶다면 그렇게 할 수 있습니다.
그러나 때때로 새로운 기능을 제품에 삽입할 때 새로운 기능과 함께 새로운 버그가 발생한다는 것을 확실히 알고 있습니다.
예를 들어 iPhone에 대한 업데이트가 있고 iOS 15 및 iOS 16에 대한 업데이트가 있는 경우 이를 알 수 있습니다.
그러다 버그 목록을 보면 iOS 16에만 적용되는 버그가 거의 없다.
그리고 당신은 "안녕하세요, 이전에는 없었던 코드의 버그임에 틀림없습니다."라고 생각합니다.
네, 그럴 가능성이 있습니다.
그리고 현재 진행되고 있는 다른 일들도 좋은 것으로 간주될 수 있다고 생각합니다.
첫 번째는 특히 브라우저와 같은 것의 경우 브라우저 제조업체가 전체 재구축을 정말, 정말 빠르게 추진하는 데 훨씬 더 능숙해지고 있다고 생각합니다.
더그. 흥미 롭 군.
오리. 그리고 제 생각에 달라진 다른 점은 과거에는 많은 공급업체의 경우... 사람들이 패치를 적용하도록 하는 것이 상당히 어려웠다는 것입니다. 그들은 여러 개의 제로 데이 수정 사항을 가지고 있었습니다.
내 생각에 그것은 또한 우리 중 점점 더 많은 사람들이 단순히 받아들이는 것이 아니라 실제로는 정말 신속한 자동 업데이트를 *기대*할 가능성이 점점 더 높아진다는 사실에 대한 반응이기도 합니다.
그래서 나는 당신이 이것에 대해 좋은 것을 읽을 수 있다고 생각합니다.
구글이 단일 제로데이 픽스를 거의 즉각적으로 내보낼 수 있을 뿐만 아니라 사람들이 기꺼이 받아들이고 요구하기까지 한다는 사실입니다.
그래서 저는 "와우, XNUMX년에 XNUMX개의 제로데이가 개별적으로 고정되었습니다!"라는 문제를 보고 싶습니다…
… 나는 그것을 "유리 반이 비어 있고 바닥에 있는 작은 구멍을 통해 물이 빠지는 것"보다 "유리 반이 채워지고 채워지는 것"이라고 생각하고 싶습니다. [웃음]
그것이 제 의견입니다.
더그. 좋아, 아주 좋아.
질문 주셔서 감사합니다, 카산드라.
제출하고 싶은 흥미로운 이야기, 의견 또는 질문이 있으면 팟캐스트에서 읽고 싶습니다.
귀하는 Tips@sophos.com으로 이메일을 보내거나, 당사 기사에 댓글을 달거나, @NakedSecurity 소셜에서 연락할 수 있습니다.
그것이 오늘의 쇼입니다. 들어주셔서 대단히 감사합니다.
Paul Ducklin의 경우 저는 Doug Aamoth입니다. 다음 시간까지…
양자 모두. 보안 유지!
[뮤지컬 모뎀]
![S3 Ep121: 해킹당하고 고소당할 수 있나요? [오디오 + 텍스트]](https://platoaistream.com/wp-content/uploads/2023/02/s3-ep121-can-you-get-hacked-and-then-prosecuted-for-it-audio-text-300x156.png)
