TRZY MILIARDY DOLARÓW W PUSZCE POPCORN?
Fale radiowe tak tajemnicze, że znane są tylko jako promienie rentgenowskie. Byli tam sześć 0-dni czy tylko cztery? Policjanci, którzy znaleziono 3 miliardy dolarów w puszce po popcornu. Niebieska odznaka zamieszanie. Kiedy Skanowanie adresów URL idzie źle. Śledzenie co ostatni niezałatany plik. Dlaczego nawet mało prawdopodobne exploity mogą uzyskać „wysokie” poziomy istotności.
Kliknij i przeciągnij poniższe fale dźwiękowe, aby przejść do dowolnego punktu. Również możesz słuchaj bezpośrednio na Soundcloudzie.
Z Dougiem Aamothem i Paulem Ducklinem. Muzyka intro i outro autorstwa Edyta Mudge.
Możesz nas posłuchać SoundCloud, Podcasty Apple, Podcasty Google, Spotify, Stitcher i wszędzie tam, gdzie można znaleźć dobre podcasty. Lub po prostu upuść URL naszego kanału RSS do swojego ulubionego podcatchera.
PRZECZYTAJ TRANSKRYPTU
DOUG. Oszustwa na Twitterze, wtorkowy patch i przestępcy hakujący przestępców.
Wszystko to i wiele więcej w podkaście Naked Security.
[MOM MUZYCZNY]
Witam wszystkich w podkaście.
Jestem Doug.
To Paul Ducklin.
Paul, jak się masz dzisiaj?
KACZKA. Bardzo dobrze, Doug.
Nie mieliśmy tu w Anglii zaćmienia Księżyca, ale przez małą przerwę w chmurach, która pojawiła się jako jedyna dziura w całej warstwie chmur, przez krótką chwilę dostrzegłem * pełnię * księżyca w pełni Spójrz!
Ale nie mieliśmy tego pomarańczowego księżyca, jak wy w Massachusetts.
DOUG. Zacznijmy show od W tym tygodniu w historii technologii… to sięga wstecz.
W tym tygodniu, 08 listopada 1895 roku, niemiecki profesor fizyki Wilhelm Röntgen natknął się na jeszcze nieodkrytą formę promieniowania, co skłoniło go do określenia tego promieniowania po prostu jako „X”.
Jak na zdjęciu rentgenowskim.
A co powiesz na… przypadkowe odkrycie promieni rentgenowskich?
KACZKA. Całkiem niesamowite.
Pamiętam, jak mama opowiadała mi: w latach 1950. (tak musiało być w Stanach), podobno w sklepach obuwniczych…
DOUG. [WIE, CO NADCHODZI] Tak! [ŚMIECH]
KACZKA. Ludzie zabierali swoje dzieci do środka… Stałeś w tej maszynie, wkładałeś buty i zamiast tylko mówić: „Chodź, czy są ciasne? Czy oni szczypią?”, stanąłeś w aparacie rentgenowskim, który po prostu skąpał cię w promieniowaniu rentgenowskim, zrobiłeś zdjęcie na żywo i powiedziałeś: „O tak, mają odpowiedni rozmiar”.
DOUG. Tak, prostsze czasy. Trochę niebezpieczne, ale…
KACZKA. TROCHĘ NIEBEZPIECZNY?
Czy możesz sobie wyobrazić ludzi, którzy pracowali w sklepach obuwniczych?
Musieli cały czas kąpać się w promieniach rentgenowskich.
DOUG. Absolutnie… cóż, dzisiaj jesteśmy trochę bezpieczniejsi.
A jeśli chodzi o bezpieczeństwo, pierwszy wtorek miesiąca to wtorek poprawki Microsoftu.
So czego się nauczyliśmy? we wtorek patcha tutaj w listopadzie 2022 r.?
Wymiana 0-dni naprawiona (nareszcie) – plus 4 zupełnie nowe łatki we wtorek 0-dni!
KACZKA. Cóż, super ekscytującą rzeczą, Doug, jest to, że technicznie Patch Tuesday naprawił nie jeden, nie dwa, nie trzy… ale *cztery* zero dni.
Ale w rzeczywistości łatki, które można było uzyskać dla produktów Microsoft we wtorek, naprawiły *sześć* dni zerowych.
Przypomnij sobie te giełdowe dni zerowe, które notorycznie nie były łatane w ostatni wtorek: CVE-2002-41040 i CVE-2022-41082, które stały się znane jako ProxyNotShell?
S3 Ep102.5: Błędy wymiany „ProxyNotShell” – mówi ekspert [Audio + Text]
Cóż, zostały one naprawione, ale zasadniczo jest to osobna „strona uboczna” dla wtorkowej łatki: Exchange November 2022 SU lub aktualizacja oprogramowania, która mówi po prostu:
Aktualizacje oprogramowania Exchange z listopada 2022 r. zawierają poprawki luk zero-day zgłoszonych publicznie 29 września 2022 r.
Wszystko, co musisz zrobić, to zaktualizować Exchange.
Ojej, dzięki Microsoft… Myślę, że wiedzieliśmy, że to właśnie będziemy musieli zrobić, gdy łatki w końcu wyjdą!
Tak więc *są* wyłączone i są dwa dni zerowe, ale nie są nowe i technicznie nie znajdują się w części „Wtorek poprawki”.
Tam mamy ustalone cztery inne dni zerowe.
A jeśli wierzysz w ustalanie priorytetów łat, to oczywiście są to te, z którymi chcesz się najpierw zająć, ponieważ ktoś już wie, jak zrobić z nimi złe rzeczy.
Obejmują one od obejścia bezpieczeństwa, dwóch podwyższeń uprawnień i jednego zdalnego wykonania kodu.
Ale jest ich więcej niż Łącznie 60 łatek, a jeśli spojrzysz na ogólną listę produktów i składników systemu Windows, których dotyczy problem, to jak zwykle jest ogromna lista, która obejmuje każdy składnik/produkt systemu Windows, o którym słyszałeś, a wiele z nich prawdopodobnie nie.
Microsoft łata 62 luki, w tym Kerberos, Mark of the Web i Exchange… tak jakby
A więc, jak zawsze: Nie zwlekaj/Zrób to dzisiaj, Douglasie!
DOUG. Bardzo dobrze.
Porozmawiajmy teraz o sporym opóźnieniu…
Masz bardzo ciekawą historię o tym Rynek narkotyków Jedwabnego Szlakuoraz przypomnienie, że przestępcy kradnący przestępcom nadal są przestępstwem, nawet jeśli jakieś dziesięć lat później faktycznie zostajesz za to złapany.
Haker rynku narkotykowego Silk Road przyznaje się do winy, ma 20 lat w środku
KACZKA. Tak, nawet ludzie, którzy są całkiem nowi w cyberbezpieczeństwie lub korzystaniu z Internetu, prawdopodobnie słyszeli o „Jedwabnym Szlaku”, być może pierwszym dobrze znanym, dużym, szeroko rozpowszechnionym i powszechnie używanym ciemnym rynku internetowym, na którym można w zasadzie wszystko.
Tak więc wszystko spłonęło w 2013 roku.
Ponieważ założyciel, pierwotnie znany tylko jako Straszny Pirat Roberts, ale ostatecznie okazał się być Ross Ulbricht… jego słabe bezpieczeństwo operacyjne wystarczyło, aby powiązać z nim działania.
Założyciel Silk Road, Ross Ulbricht, dostaje życie bez zwolnienia warunkowego
Nie dość, że jego bezpieczeństwo operacyjne nie było zbyt dobre, to wydaje się, że pod koniec 2012 roku mieli (możesz w to uwierzyć, Doug?) błąd w przetwarzaniu płatności kryptowalutowych…
DOUG. [WDYCHANIE W SZKODLIWYM HORRORZE]
KACZKA. …w rodzaju, który widzieliśmy wielokrotnie od tego czasu, który nie do końca robił właściwe księgowanie podwójnych wpisów, gdzie dla każdego debetu przypada odpowiedni kredyt i odwrotnie.
I ten atakujący odkrył, że jeśli włożysz trochę pieniędzy na swoje konto, a następnie bardzo szybko wypłacisz je na inne konta, możesz faktycznie wypłacić pięć razy (lub nawet więcej) tych samych bitcoinów, zanim system zorientuje się, że pierwszy debet został zlikwidowany poprzez.
Możesz więc w zasadzie włożyć trochę pieniędzy, a następnie po prostu je wypłacać w kółko i uzyskać większy zapas…
…a potem możesz wrócić do tego, co można by nazwać „pętlą dojenia kryptowalut”.
I szacuje się, że… śledczy nie byli pewni, że zaczął od 200 do 2000 własnych bitcoinów (nie wiemy, czy je kupił, czy wydobył), i bardzo, bardzo szybko zamienił je w, czekaj na to, Doug: 50,0000 XNUMX bitcoinów!
DOUG. Wow!
KACZKA. Ponad 50,000 XNUMX bitcoinów, tak po prostu.
A potem, najwyraźniej myśląc, że ktoś to zauważy, wycinał i biegał, gdy był na czele z 50,000 XNUMX bitcoinów…
…każda warta niesamowite 12 dolarów, w porównaniu z ułamkami centa zaledwie kilka lat wcześniej. [ŚMIECH]
Więc uciekł z 600,000 XNUMX $, tak po prostu, Doug.
[DRAMATYCZNA PAUZA]
Dziewięć lat później…
[ŚMIECH]
…prawie *dokładnie* dziewięć lat później, kiedy został złapany, a jego dom został napadnięty na podstawie nakazu, policjanci przeszukali i znaleźli stos koców w jego szafie, pod którą była ukryta puszka z popcornem.
Dziwne miejsce do przechowywania popcornu.
Wewnątrz znajdował się coś w rodzaju skomputeryzowanego zimnego portfela.
Wewnątrz których znajdowała się duża część wspomnianych bitcoinów!
W czasie, gdy został złapany, bitcoiny były czymś na północ od 65,535 2 $ (lub XNUMX16-1) każdy.
W międzyczasie podniosły się znacznie ponad tysiąc razy.
Tak więc w tamtym czasie była to największa w historii porażka kryptowalut!
Dziewięć lat później, najwyraźniej nie będąc w stanie pozbyć się nieuczciwie zdobytych zdobyczy, być może obawiając się, że nawet gdyby próbował wepchnąć je do szklanki, wszystkie palce wskażą na niego…
…miał te wszystkie bitcoiny warte 3 miliardy dolarów, które leżą w puszce po popcornu od dziewięciu lat!
DOUG. Mój Boże.
KACZKA. Tak więc, siedząc na tym strasznym skarbie przez te wszystkie lata, zastanawiając się, czy zostanie złapany, teraz zastanawia się: „Jak długo będę siedział w więzieniu?”
A maksymalny wyrok za oskarżenie, z którym się spotyka?
20 lat, Doug.
DOUG. Kolejna interesująca historia dzieje się właśnie teraz. Jeśli byłeś ostatnio na Twitterze, wiesz, że jest dużo aktywności. powiedzieć to dyplomatycznie…
KACZKA. [NISKA DO ŚREDNIEJ JAKOŚCI IMPERSONACJA BOB DYLANA] Cóż, czasy się zmieniają.
DOUG. …w tym w pewnym momencie pomysł pobrania 20 dolarów za zweryfikowany niebieski czek, co oczywiście niemal natychmiast skłonił do oszustw.
Oszustwa e-mailowe na Twitterze Blue Badge – nie daj się nabrać!
KACZKA. To tylko przypomnienie, Doug, że ilekroć pojawi się coś, co wzbudzi duże zainteresowanie, oszuści z pewnością podążą za nim.
A przesłanką tego było: „Hej, dlaczego nie wcześnie przyjść? Jeśli masz już niebieski znak, zgadnij co? Nie będziesz musiał płacić 19.99 USD miesięcznie, jeśli dokonasz wstępnej rejestracji. Pozwolimy ci go zatrzymać.
Wiemy, że to nie był pomysł Elona Muska, jak sam to określił, ale to jest rodzaj rzeczy, które robi wiele firm, prawda?
Wiele firm da ci jakieś korzyści, jeśli pozostaniesz z usługą.
Więc nie jest to całkowicie niewiarygodne.
Jak mówisz… co mu dałeś?
B-minus, prawda?
DOUG. Daję pierwszemu e-mailowi ocenę B-minus… możesz zostać oszukany, jeśli przeczytasz go szybko, ale są pewne problemy gramatyczne; rzeczy nie czują się dobrze.
A kiedy już klikniesz, dałbym stronom docelowym C-minus.
To staje się jeszcze bardziej szorstkie.
KACZKA. To gdzieś pomiędzy 5/10 a 6/10?
DOUG. Tak, powiedzmy to.
I mamy kilka rad, więc nawet jeśli jest to oszustwo A-plus, nie ma to znaczenia, ponieważ i tak będziesz w stanie je udaremnić!
Zaczynając od mojego osobistego faworyta: Użyj menedżera haseł.
Menedżer haseł rozwiązuje wiele problemów związanych z oszustwami.
KACZKA. To robi.
Menedżer haseł nie ma żadnej ludzkiej inteligencji, którą można by wprowadzić w błąd faktem, że ładny obrazek jest poprawny, logo jest idealne lub formularz internetowy jest dokładnie we właściwej pozycji na ekranie z dokładnie taką samą czcionką , więc rozpoznajesz to.
Wszystko, co wie, to: „Nigdy wcześniej nie słyszałem o tej stronie”.
DOUG. I oczywiście, włącz 2FA, jeśli możesz.
Jeśli to możliwe, zawsze dodawaj drugi czynnik uwierzytelniania.
KACZKA. Oczywiście to niekoniecznie chroni cię przed samym sobą.
Jeśli wejdziesz na fałszywą stronę i zdecydowałeś: „Hej, jest idealna do piksela, to musi być prawdziwa okazja” i jesteś zdeterminowany, aby się zalogować, a już wprowadziłeś swoją nazwę użytkownika i hasło, a następnie prosi o przejście przez proces 2FA…
…bardzo prawdopodobne, że to zrobisz.
Daje to jednak trochę czasu na zrobienie „Stop. Myśleć. Łączyć." i powiedz sobie: „Poczekaj, co ja tutaj robię?”
Tak więc, w pewnym sensie, niewielkie opóźnienie, które wprowadza 2FA, może w rzeczywistości być nie tylko bardzo małym kłopotem, ale także sposobem na faktyczne usprawnienie przepływu pracy z cyberbezpieczeństwem… poprzez wprowadzenie tylko tyle progu przyspieszenia, że jesteś skłonny do podjęcia cyberbezpieczeństwa trochę poważniej.
Więc tak naprawdę nie rozumiem, jakie są minusy.
DOUG. I oczywiście inną strategią, która jest trudna do przestrzegania dla wielu ludzi, ale jest bardzo skuteczna, jest unikaj linków do logowania i przycisków akcji w wiadomościach e-mail.
Więc jeśli otrzymasz wiadomość e-mail, nie klikaj przycisku… przejdź do samej witryny, a będziesz w stanie dość szybko stwierdzić, czy ten e-mail był prawdziwy, czy nie.
KACZKA. Zasadniczo, jeśli nie możesz całkowicie zaufać początkowej korespondencji, nie możesz polegać na żadnych zawartych w niej szczegółach, niezależnie od tego, czy jest to link, który zamierzasz kliknąć, numer telefonu, pod który zamierzasz zadzwonić, adres e-mail, do którego skontaktujesz się z nimi przez konto na Instagramie, na które będziesz wysyłać wiadomości, cokolwiek to jest.
Nie używaj tego, co jest w e-mailu… znajdź tam własną drogę, a skrócisz wiele tego rodzaju oszustw.
DOUG. I wreszcie last but not least… to powinien być zdrowy rozsądek, ale to nie jest: Nigdy nie pytaj nadawcy niepewnej wiadomości, czy są wiarygodne.
Nie odpowiadaj i nie mów „Hej, czy naprawdę jesteś na Twitterze?”
KACZKA. Tak, masz rację.
Ponieważ moja poprzednia rada: „Nie polegaj na informacjach zawartych w e-mailu”, na przykład nie dzwoń pod ich numer telefonu… niektórzy ludzie mają pokusę, aby pójść: „Cóż, zadzwonię pod numer telefonu i zobaczę, czy naprawdę to oni. [IRONIC] Bo oczywiście, jeśli odpowie kucharz, podadzą swoje prawdziwe imiona.
DOUG. Jak zawsze mówimy: Jeśli masz wątpliwości/nie podawaj tego.
I to jest dobra opowieść ostrzegawcza, następna historia: kiedy skany bezpieczeństwa, które są legalnymi narzędziami bezpieczeństwa, ujawniają więcej niż powinni, Co się wtedy stanie?
Narzędzia do skanowania publicznych adresów URL – gdy bezpieczeństwo prowadzi do niepewności
KACZKA. To znany badacz o nazwisku Fabian Bräunlein w Niemczech… już kilka razy go przedstawialiśmy.
Wraca ze szczegółowym raportem zatytułowanym urlscan.ioSpot SOAR: gadatliwe narzędzia bezpieczeństwa wyciekające z prywatnych danych.
A w tym przypadku to urlscan.io, witryna, z której można korzystać bezpłatnie (lub jako usługa płatna), w której można przesłać adres URL, nazwę domeny, numer IP lub cokolwiek to jest, i można sprawdzić „Co wie społeczność o tym?"
I ujawni pełny adres URL, o który pytały inne osoby.
I to nie tylko rzeczy, które ludzie kopiują i wklejają według własnego wyboru.
Czasami na przykład ich poczta e-mail może przechodzić przez narzędzie filtrujące innej firmy, które samo wyodrębnia adresy URL, dzwoni do domu urlscan.io, wykonuje wyszukiwanie, pobiera wynik i używa go do podjęcia decyzji o tym, czy wiadomość ma zostać odrzucona, zablokowana jako spam, czy też przejść przez nią.
A to oznacza, że czasami, jeśli adres URL zawierał tajne lub półtajne dane, informacje umożliwiające identyfikację, inne osoby, które w krótkim czasie po prostu wyszukały odpowiednią nazwę domeny, zobaczyłyby wszystkie wyszukiwane adresy URL, w tym rzeczy, które mogą znajdować się w adresie URL.
Wiesz, jak blahblah?username=doug&passwordresetcode= po którym następuje długi ciąg znaków szesnastkowych i tak dalej.
A Bräunlein wymyślił fascynującą listę adresów URL, szczególnie tych, które mogą pojawiać się w wiadomościach e-mail, które mogą być rutynowo wysyłane do stron trzecich w celu filtrowania, a następnie indeksowane w celu wyszukiwania.
Rodzaje e-maili, które, jak sądził, z pewnością można wykorzystać, obejmowały, ale nie ograniczały się do: linków do tworzenia kont; Linki do dostarczania prezentów Amazon; klucze API; Prośby o podpisanie DocuSign; transfery plików Dropbox; śledzenie paczki; resetowanie hasła; Faktury PayPal; udostępnianie dokumentów na Dysku Google; Zaproszenia do SharePointa; i linki do anulowania subskrypcji biuletynu.
Nie wskazując palcami na SharePoint, Dysk Google, PayPal itp.
To były tylko przykłady adresów URL, na które natknął się, a które można było w ten sposób wykorzystać.
DOUG. Na końcu tego artykułu mamy kilka rad, które sprowadzają się do: przeczytaj raport Bräunleina; czytać urlscan.iowpis na blogu użytkownika; zrobić własny przegląd kodu; jeśli masz kod, który wykonuje wyszukiwania zabezpieczeń online; dowiedzieć się, jakie funkcje prywatności istnieją w przypadku zgłoszeń online; i, co ważne, dowiedz się, jak zgłosić nieuczciwe dane do usługi online, jeśli je widzisz.
Zauważyłem, że są trzy… coś w rodzaju limeryków?
Bardzo kreatywne mini-wiersze na końcu tego artykułu…
KACZKA. [MOCK HORROR] Nie, to nie są limeryki! Limericks mają bardzo formalną, pięcioliniową strukturę…
DOUG. [ŚMIECH] Tak mi przykro. To prawda!
KACZKA. …zarówno dla metrum jak i rymu.
Bardzo uporządkowany, Doug!
DOUG. Tak mi przykro, tak szczerze. [ŚMIECH]
KACZKA. To tylko doggerel. [ŚMIECH]
Jeszcze raz: Jeśli masz wątpliwości/nie podawaj tego.
A jeśli zbierasz dane: Jeśli nie powinno być w koszu/Włóż go prosto do kosza.
A jeśli piszesz kod, który wywołuje publiczne interfejsy API, które mogą ujawnić dane klientów: Nigdy nie zmuszaj swoich użytkowników do płaczu / Przez to, jak wywołujesz API.
DOUG. [ŚMIECH] To dla mnie nowe i bardzo mi się podoba!
I na koniec, ale na pewno nie mniej ważne na naszej liście tutaj, rozmawialiśmy tydzień po tygodniu o tym błędzie bezpieczeństwa OpenSSL.
Teraz wielkie pytanie brzmi: „Jak możesz powiedzieć co wymaga naprawy?”
Historia aktualizacji zabezpieczeń OpenSSL — jak rozpoznać, co wymaga naprawy?
KACZKA. Rzeczywiście, Doug, skąd mamy wiedzieć, jaką mamy wersję OpenSSL?
I oczywiście w Linuksie po prostu otwierasz wiersz poleceń i piszesz openssl versioni informuje o wersji, którą masz.
Ale OpenSSL to biblioteka programistyczna i nie ma reguły, która mówi, że oprogramowanie nie może mieć własnej wersji.
Twoja dystrybucja może używać OpenSSL 3.0, a mimo to jest aplikacja, która mówi: „O nie, nie zaktualizowaliśmy do nowej wersji. Preferujemy OpenSSL 1.1.1, ponieważ nadal jest obsługiwany, a jeśli go nie masz, wprowadzamy własną wersję.”
I niestety, tak jak w tym niesławnym przypadku Log4Shell, musiałeś szukać tych trzech? 12? 154? kto-wie-ile-miejsc w Twojej sieci, w których możesz mieć przestarzały program Log4J.
To samo dla OpenSSL.
Teoretycznie narzędzia XDR lub EDR mogą to powiedzieć, ale niektóre nie będą tego wspierać, a wielu zniechęci: faktycznie uruchamia program, aby dowiedzieć się, jaka to wersja.
Ponieważ w końcu, jeśli jest to błąd lub niewłaściwa, a faktycznie musisz uruchomić program, aby zgłosił własną wersję…
…to jak postawienie wozu przed koniem, prawda?
Dlatego opublikowaliśmy artykuł dla tych szczególnych przypadków, w których rzeczywiście chcesz załadować bibliotekę DLL lub bibliotekę współdzieloną i faktycznie chcesz wywołać jej własną TellMeThyVersion() kod oprogramowania.
Innymi słowy, ufasz programowi na tyle, że załadujesz go do pamięci, wykonasz i uruchomisz jakiś jego komponent.
Pokażemy Ci, jak to zrobić, aby mieć absolutną pewność, że wszystkie zewnętrzne pliki OpenSSL, które masz w swojej sieci, są aktualne.
Ponieważ chociaż został on obniżony z KRYTYCZNEGO do WYSOKIEGO, nadal jest to błąd, który musisz i chcesz naprawić!
DOUG. Jeśli chodzi o wagę tego błędu, dostaliśmy interesujące pytanie od Nagiego czytelnika bezpieczeństwa Sveta, który pisze między innymi:
Jak to się dzieje, że błąd, który jest niezwykle złożony pod względem wykorzystania i może być wykorzystywany tylko do ataków typu „odmowa usługi”, nadal jest klasyfikowany jako WYSOKI?
KACZKA. Tak, myślę, że powiedział coś na temat „Och, czy zespół OpenSL nie słyszał o CVSS?”, który jest standardem rządowym USA, jeśli chcesz, do kodowania ryzyka i poziomu złożoności błędów w sposób, który może być automatycznie filtrowane według skryptów.
Więc jeśli ma niski wynik CVSS (który jest Wspólny system punktacji podatności), dlaczego ludzie się tym ekscytują?
Dlaczego miałby być WYSOKI?
A więc moja odpowiedź brzmiała: „Dlaczego *nie powinno* być WYSOKIE?”
To błąd w silniku kryptograficznym; może spowodować awarię programu, powiedzmy, który próbuje pobrać aktualizację… więc będzie się zawieszał w kółko, co jest czymś więcej niż tylko odmową usługi, ponieważ w rzeczywistości uniemożliwia prawidłowe zabezpieczenie.
Istnieje element obejścia bezpieczeństwa.
I myślę, że druga część odpowiedzi brzmi, jeśli chodzi o przekształcanie luk w exploity: „Nigdy nie mów nigdy!”
Kiedy masz coś takiego jak przepełnienie bufora stosu, gdzie możesz manipulować innymi zmiennymi na stosie, być może w tym adresami pamięci, zawsze istnieje szansa, że ktoś wymyśli działający exploit.
A problem, Doug, polega na tym, że kiedy już to rozgryzą, nie ma znaczenia, jak skomplikowane było to rozgryzienie…
…kiedy już wiesz, jak to wykorzystać, *każdy* może to zrobić, ponieważ możesz sprzedać im odpowiedni kod.
Myślę, że wiesz, co powiem: „Nie żebym mocno się tym przejmował”.
[ŚMIECH]
Po raz kolejny jest to jedna z tych rzeczy „cholera, jeśli tak, niech diabli, jeśli nie”.
DOUG. Bardzo dobrze, dziękuję bardzo, Svet, za napisanie tego komentarza i przesłanie go.
Jeśli masz ciekawą historię, komentarz lub pytanie, które chciałbyś przesłać, chętnie przeczytamy o tym w podkaście.
Możesz wysłać e-maila na adres tips@sophos.com, skomentować dowolny z naszych artykułów lub skontaktować się z nami na portalu społecznościowym: @nakedsecurity.
To nasz program na dzisiaj; bardzo dziękuję za wysłuchanie.
Dla Paula Ducklina jestem Doug Aamoth i przypominam do następnego razu…
OBIE. Bądź bezpieczny!
- blockchain
- biust
- pomysłowość
- kryptowaluta
- portfele kryptowalutowe
- krypto-wymiana
- bezpieczeństwo cybernetyczne
- cyberprzestępcy
- Bezpieczeństwo cybernetyczne
- Departament Bezpieczeństwa Wewnętrznego
- cyfrowe portfele
- Wykorzystać
- zapora
- Kaspersky
- Prawo i porządek
- malware
- Mcafee
- Microsoft
- Nagie bezpieczeństwo
- Nagi podcast o bezpieczeństwie
- NexBLOC
- Patch wtorek
- plato
- Platon Ai
- Analiza danych Platona
- Gra Platona
- PlatoDane
- platogaming
- Podcast
- prywatność
- VPN
- wrażliwość
- zabezpieczenia stron internetowych
- okna
- zefirnet
