MỘT PYTHON PORTEX PORTEX
Không có trình phát âm thanh bên dưới? Nghe trực tiếp trên Soundcloud.
Với Doug Aamoth và Paul Ducklin. Nhạc giới thiệu và kết thúc bởi Edith Mudge.
Bạn có thể lắng nghe chúng tôi trên Soundcloud, Podcast của Apple, Google Podcasts, Spotify, người may quần áo và bất cứ nơi nào tìm thấy podcast tốt. Hoặc chỉ cần thả URL của nguồn cấp dữ liệu RSS của chúng tôi vào podcatcher yêu thích của bạn.
ĐỌC BẢNG BIỂU
CHÓ. Tội phạm mạng nối tiếp tội phạm mạng, một số bản cập nhật của Apple và cuộc tấn công vào kho lưu trữ mã nguồn.
Tất cả những điều đó và hơn thế nữa, trên podcast Naked Security.
[CHẾ ĐỘ ÂM NHẠC]
Chào mừng mọi người đến với podcast.
Tôi là Doug Aamoth; anh ấy là Paul Ducklin.
Paul, bạn làm thế nào?
VỊT. Rất tốt cảm ơn. Douglas!
Như vậy đã đủ sảng khoái chưa?
CHÓ. Đó là khá tốt.
Giống như, 7/10 trên thang điểm hạnh phúc, đó là một điểm cơ bản khá tốt.
VỊT. Ồ, tôi muốn nó có cảm giác cao hơn thế.
Những gì tôi đã nói, cộng 2.5/10.
CHÓ. [NGƯỜI TUYỆT VỜI TUYỆT VỜI] Ồ, Paul, bạn nghe thật tuyệt!
VỊT. [CƯỜI] Cảm ơn Doug.
CHÓ. Chà, điều này có thể đẩy bạn lên 10/10, sau đó… Tuần này trong Lịch sử Công nghệ.
Vào ngày 22 tháng 1973 năm XNUMX, tại Trung tâm Nghiên cứu Xerox Palo Alto [PARC], nhà nghiên cứu Robert Metcalfe đã viết một bản ghi nhớ đề xuất một phương pháp mới để kết nối các máy tính với nhau.
Lấy cảm hứng từ tiền thân của nó, AlohaNet, mà Metcalfe đã nghiên cứu như một phần trong luận án tiến sĩ của mình, công nghệ mới sẽ được gọi là Ethernet, một cái gật đầu với chất “ête phát sáng”, từng được cho là phương tiện truyền sóng ánh sáng.
VỊT. Nó chắc chắn là nhanh hơn rất nhiều so với đĩa mềm 160 KB, một mặt, mật độ đơn! [CƯỜI]
CHÓ. Có thể tồi tệ hơn!
Dù sao đi nữa, nói về “tồi tệ hơn” và “tệ hại”, chúng tôi đã có bản cập nhật tội phạm đầu tiên trong ngày.
Hoa Kỳ đang cung cấp một 10 triệu đô la tiền thưởng cho một nghi phạm ransomware Nga.
Mỹ treo thưởng 10 triệu USD cho nghi phạm ransomware Nga ra bản cáo trạng
Đó là rất nhiều tiền, Paul!
Anh chàng này chắc chắn đã làm điều gì đó khá tồi tệ.
Tuyên bố của DOJ:
[Người này và đồng bọn] bị cáo buộc đã sử dụng các loại ransomware này để tấn công hàng nghìn nạn nhân ở Hoa Kỳ và trên toàn thế giới. Những nạn nhân này bao gồm cơ quan thực thi pháp luật và các cơ quan chính phủ khác, bệnh viện và trường học.
Tổng số tiền chuộc mà các thành viên của ba chiến dịch ransomware toàn cầu này đưa ra cho các nạn nhân lên tới 400 triệu đô la, trong khi tổng số tiền chuộc mà nạn nhân phải trả lên tới 200 triệu đô la.
Các cuộc tấn công lớn… rất nhiều tiền đổi chủ ở đây, Paul.
VỊT. Khi bạn đang cố truy tìm ai đó đang làm những việc đê tiện ở nước ngoài và bạn nghĩ, “Làm thế quái nào mà chúng ta lại làm được việc này? Họ sẽ không bao giờ xuất hiện trước tòa ở đây”…
Có lẽ chúng ta chỉ cung cấp một số lợi nhuận bẩn thỉu cho những người ở đất nước của người khác, và ai đó sẽ giao nộp anh ta?
Và nếu họ đề nghị 10 triệu đô la (tốt, đó là mức tối đa bạn có thể nhận được), thì họ phải rất quan tâm.
Và theo hiểu biết của tôi, trong trường hợp này, lý do khiến họ quan tâm là nghi phạm cụ thể này bị buộc tội, nếu không muốn nói là trái tim và linh hồn, thì ít nhất là một trong hai trong số những điều đó đối với ba chủng ransomware khác nhau: LockBit, Hive và Babuk.
Babuk nổi tiếng với việc mã nguồn bị rò rỉ (nếu tôi không nhầm, bởi một chi nhánh không hài lòng), và hiện đã tìm được đường đến GitHub, nơi bất kỳ ai muốn có thể lấy phần mã hóa.
Và mặc dù thật khó để cảm thấy đồng cảm chút nào với những người đang trong tầm ngắm của DOJ và FBI vì các cuộc tấn công ransomware…
…nếu có bất kỳ giọt cảm thông tiềm ẩn nào còn sót lại, chúng sẽ bốc hơi khá nhanh khi bạn bắt đầu đọc về các bệnh viện và trường học trong số rất nhiều nạn nhân của chúng.
CHÓ. Vâng.
VỊT. Vì vậy, bạn phải cho rằng không có khả năng họ sẽ gặp anh ta tại Tòa án Hoa Kỳ…
…nhưng tôi đoán họ cho rằng việc không thử là quá quan trọng.
CHÓ. Chính xác.
Như chúng tôi muốn nói, chúng tôi sẽ để mắt đến điều đó.
Và trong khi chúng tôi đang chờ đợi, xin vui lòng đi và có một cái nhìn của chúng tôi Báo cáo tình trạng của Ransomware 2023.
Nó có rất nhiều dữ kiện và số liệu mà bạn có thể sử dụng để giúp bảo vệ tổ chức của mình trước các cuộc tấn công.
Điều đó có sẵn tại: sophos.com/ransomware2023.
VỊT. Một gợi ý nhỏ mà bạn có thể học được từ báo cáo: “Ngạc nhiên, ngạc nhiên; bạn chỉ tốn khoảng một nửa số tiền để khôi phục từ các bản sao lưu so với khi trả tiền chuộc.”
Bởi vì ngay cả sau khi bạn đã trả tiền chuộc, bạn vẫn còn nhiều việc phải làm để khôi phục bản sao lưu của mình.
Và nó cũng có nghĩa là bạn không trả tiền cho những kẻ lừa đảo.
CHÓ. Chính xác!
Được rồi, chúng tôi có một bản cập nhật tội phạm khác.
Lần này, đó là những người bạn của chúng tôi tại iSpoof, những người mà tôi phải thừa nhận là có một đội ngũ tiếp thị khá tốt.
Ngoại trừ mọi người đều bị bắt và tất cả những thứ đó…
Trùm lừa đảo qua điện thoại lãnh 13 năm tù vì chạy dịch vụ “iSpoof”
VỊT. Vâng, đây là báo cáo của Cảnh sát Thủ đô ở Luân Đôn về một vụ án đang diễn ra kể từ tháng 2022 năm XNUMX, khi chúng tôi lần đầu tiên viết về điều này trên nakedsecurity.sophos.com.
Một người tên là Tejay Fletcher, và tôi nghĩ 169 người khác nghĩ rằng họ ẩn danh nhưng hóa ra không phải vậy, đã bị bắt.
Và gã Fletcher này, kẻ đứng đầu vụ này, vừa bị kết án 13 năm 4 tháng tù, Doug.
Đó là một câu khá lớn theo tiêu chuẩn của bất kỳ quốc gia nào!
Và lý do là dịch vụ này hoàn toàn nhằm mục đích giúp đỡ những tội phạm mạng khác, để đổi lấy bitcoin, để lừa đảo các nạn nhân một cách rất đáng tin cậy.
Bạn không cần bất kỳ khả năng kỹ thuật nào.
Bạn chỉ cần đăng ký dịch vụ, sau đó bắt đầu gọi điện thoại trong đó bạn có thể chọn số nào sẽ hiển thị ở đầu dây bên kia.
Vì vậy, nếu bạn có linh cảm rằng ai đó đã giao dịch với XYZ Banking Corporation, bạn có thể làm cho điện thoại của họ sáng lên với nội dung: “Cuộc gọi đến từ XYZ Banking Corporation”, sau đó khởi động vào tài khoản của bạn.
Có vẻ như, từ các báo cáo của Cơ quan Tội phạm Quốc gia vào thời điểm đó, rằng “khách hàng” của họ đã thực hiện hàng triệu cuộc gọi thông qua dịch vụ này. và họ có tỷ lệ thành công là 10%, trong đó thành công được đo bằng việc người gọi đã nghe máy trong ít nhất một phút.
Và khi bạn nghĩ rằng điều gì đó là một cuộc gọi lừa đảo… bạn sẽ dập máy khá nhanh, phải không?
CHÓ. Một phút là một thời gian dài!
VỊT. Và điều đó có nghĩa là họ có thể đã móc nối người đó.
Và bạn có thể thấy tại sao, bởi vì mọi thứ dường như đáng tin cậy.
Nếu bạn không biết rằng số ID Người gọi (hoặc Nhận dạng Đường dây Gọi) hiển thị trên điện thoại của bạn không gì khác hơn là một gợi ý, rằng bất kỳ ai cũng có thể nhập bất cứ thứ gì và rằng bất kỳ ai có ý định xấu nhất với bạn muốn theo dõi bạn có thể, với một khoản chi khiêm tốn hàng tháng, mua một dịch vụ sẽ giúp họ làm điều đó một cách tự động…
Nếu bạn không biết rằng đó là trường hợp, thì có lẽ bạn sẽ mất cảnh giác khi có cuộc gọi đến và nói: “Tôi đang gọi từ ngân hàng. Bạn có thể thấy điều đó từ con số. Ôi trời, tài khoản của bạn đã bị gian lận”, và sau đó người gọi yêu cầu bạn thực hiện vô số việc mà nếu không thì bạn sẽ không thèm nghe trong giây lát.
Phạm vi tiếp cận của dịch vụ này, số lượng lớn người sử dụng nó (rõ ràng là anh ta có hàng chục nghìn “khách hàng”), và số lượng cuộc gọi tuyệt đối và số tiền thiệt hại tài chính đã gây ra, lên đến hàng triệu, là lý do tại sao anh ta nhận một bản án nghiêm trọng như vậy.
CHÓ. Một phần lý do khiến họ có thể thu hút nhiều khách hàng như vậy là vì đây là một trang web công khai.
Nó không có trên dark web, và nó được tiếp thị khá khéo léo.
Nếu bạn xem qua bài báo, sẽ có một video tiếp thị dài 53 giây có diễn viên lồng tiếng chuyên nghiệp và một số hoạt ảnh vui nhộn.
Đó là một video được thực hiện khá tốt!
VỊT. Có!
Tôi phát hiện ra một lỗi đánh máy trong đó… họ đã viết “mã hóa đầu cuối” thay vì “mã hóa đầu cuối”, tôi nhận thấy điều này vì nó khá trớ trêu.
Bởi vì toàn bộ tiền đề của video đó - nó nói, "Này, với tư cách là một khách hàng, bạn hoàn toàn ẩn danh."
Họ đã tạo ra một sân lớn về điều đó.
CHÓ. Tôi nghĩ rằng nó có thể là một "sự kết thúc của mã hóa". [CƯỜI]
VỊT. Có… bạn có thể ẩn danh với các nạn nhân của mình, nhưng bạn không ẩn danh với nhà cung cấp dịch vụ.
Rõ ràng là cảnh sát, ít nhất là ở Vương quốc Anh, đã quyết định bắt đầu với bất kỳ ai đã chi số Bitcoin trị giá hơn 100 bảng Anh cho dịch vụ này.
Vì vậy, có thể có những người đã tìm hiểu về điều này, hoặc chỉ sử dụng nó cho một vài thứ, những người vẫn có tên trong danh sách.
Cảnh sát muốn mọi người biết rằng họ đã bắt đầu ở đỉnh cao và họ đang đi xuống.
Việc giấu tên được hứa hẹn trong video là hão huyền.
CHÓ. Chà, chúng tôi có một số mẹo và chúng tôi đã nói những mẹo này trước đây, nhưng đây là những lời nhắc nhở tuyệt vời.
Bao gồm một trong những mục yêu thích của tôi, bởi vì tôi nghĩ mọi người chỉ cho rằng ID người gọi là một báo cáo chính xác…. mẹo số một là: Coi ID người gọi không hơn gì một gợi ý.
Anh nói thế nghĩa là sao, Paul?
VỊT. Nếu bạn vẫn nhận thư ở nhà, bạn sẽ biết rằng khi bạn nhận được một phong bì, nó có địa chỉ của bạn ở mặt trước và thông thường, khi bạn lật nó ra, ở mặt sau của phong bì sẽ có địa chỉ gửi lại. .
Và mọi người đều biết rằng người gửi có thể chọn những gì nói… nó có thể là thật; tất cả có thể là một gói dối trá.
Đó là mức độ bạn có thể tin tưởng ID người gọi.
Và miễn là bạn ghi nhớ điều đó và nghĩ về nó như một gợi ý, thì bạn là vàng.
Nhưng nếu nó hiện lên và nói “XYZ Banking Corporation” bởi vì kẻ lừa đảo đã cố tình chọn một số mà bạn đặc biệt đặt trong danh sách liên lạc của mình để cho bạn biết đó là ngân hàng… điều đó không có nghĩa gì cả.
Và việc họ bắt đầu nói với bạn rằng họ đến từ ngân hàng không có nghĩa là họ đến từ ngân hàng.
Và điều đó phù hợp với mẹo thứ hai của chúng ta, phải không Doug?
CHÓ. Vâng.
Luôn tự mình bắt đầu các cuộc gọi chính thức, sử dụng số mà bạn có thể tin tưởng.
Vì vậy, nếu bạn nhận được một trong những cuộc gọi này, hãy nói: “Tôi sẽ gọi lại cho bạn ngay sau đây” và sử dụng số điện thoại ở mặt sau thẻ tín dụng của bạn.
VỊT. Chắc chắn rồi.
Nếu có bất kỳ cách nào mà họ khiến bạn tin rằng đây là số bạn nên gọi… đừng làm vậy!
Tìm nó ra cho chính mình.
Như bạn đã nói, để báo cáo những thứ như gian lận ngân hàng hoặc các vấn đề của ngân hàng, số ở mặt sau thẻ tín dụng của bạn là một khởi đầu tốt.
Vì vậy, vâng, hãy rất, rất cẩn thận.
Thật dễ dàng để tin vào điện thoại của bạn, bởi vì 99% thời gian, số ID người gọi đó sẽ nói lên sự thật.
CHÓ. Được rồi, cuối cùng nhưng chắc chắn không kém phần quan trọng, không hoàn toàn là kỹ thuật, mà là một kỹ năng nhẹ nhàng hơn, mẹo số ba là: Hãy ở đó cho những người bạn và gia đình dễ bị tổn thương.
Nó là cái tốt.
VỊT. Rõ ràng là có những người có nhiều rủi ro hơn đối với loại lừa đảo này.
Vì vậy, điều quan trọng là bạn phải để những người trong vòng kết nối bạn bè và gia đình của bạn, những người mà bạn nghĩ có thể có nguy cơ gặp phải trường hợp này… hãy cho họ biết rằng nếu họ có bất kỳ nghi ngờ gì, họ nên liên hệ với bạn và xin lời khuyên từ bạn .
Như mọi thợ mộc hoặc thợ mộc sẽ nói với bạn, Douglas, “Đo hai lần, cắt một lần.”
CHÓ. Tôi thích lời khuyên đó. [CƯỜI]
Tôi có xu hướng đo một lần, cắt ba lần, vì vậy đừng làm theo hướng dẫn của tôi ở đó.
VỊT. Đúng. Bạn không thể "cắt mọi thứ lâu hơn", phải không? [CƯỜI]
CHÓ. Không, bạn chắc chắn không thể!
VỊT. Tất cả chúng ta đã cố gắng. [CƯỜI]
CHÓ. Đó là hai bản cập nhật xuống; một để đi.
Chúng tôi đã có một bản cập nhật… nếu bạn nhớ lại, đầu tháng này, Apple đã làm chúng tôi ngạc nhiên với một Phản hồi bảo mật nhanh mới, nhưng nó không cho biết bản cập nhật thực sự đã sửa lỗi gì, nhưng giờ thì chúng tôi đã biết, Paul.
Bí mật của Apple đã được tiết lộ: 3 zero-day đã được sửa, vì vậy hãy nhớ vá ngay bây giờ!
VỊT. Vâng.
Hai 0 ngày, cộng với 0 ngày thưởng chưa được sửa trước đó.
Vì vậy, nếu bạn có, đó là gì, macOS 13 Ventura (mới nhất) và nếu bạn có iOS/iPadOS 16, bạn sẽ nhận được Phản hồi bảo mật nhanh
Bạn đã nhận được bản cập nhật "số phiên bản (a)" và "đây là thông tin chi tiết về bản cập nhật này: (chuỗi văn bản trống)".
Vì vậy, bạn không biết những gì đã được sửa chữa.
Và bạn, giống như chúng tôi, có lẽ đã nghĩ, “Tôi cá với bạn rằng đó là một ngày không thành công trong WebKit. Điều đó có nghĩa là cài đặt theo ổ đĩa. Điều đó có nghĩa là ai đó có thể đang sử dụng nó cho phần mềm gián điệp.”
Kì lạ thay, đó chính xác là hai ngày 0 đó.
Và có một zero-day thứ ba, nếu bạn muốn, đó là một phần khác của phương trình đó hoặc một kiểu khai thác khác thường đi cùng với hai zero-day đầu tiên đã được sửa.
Cái này là Google Threat Response/Amnesty International chắc chắn có mùi phần mềm gián điệp đối với tôi… ai đó đang điều tra một sự cố ngoài đời thực.
Lỗi đó là cái mà bạn gọi trong biệt ngữ là “thoát khỏi hộp cát”.
Có vẻ như ba zero-day hiện đã được sửa cho tất cả các nền tảng của Apple là…
Một thứ có thể cho phép kẻ gian tìm ra vị trí trên máy tính của bạn.
Nói cách khác, họ đang tăng đáng kể cơ hội để các lần khai thác tiếp theo của họ hoạt động.
Cách khai thác thứ hai thực thi mã từ xa bên trong trình duyệt của bạn, như tôi đã nói, đã hỗ trợ và tiếp tay cho sự rò rỉ dữ liệu đó trong lỗi đầu tiên có thể cho bạn biết nên sử dụng địa chỉ bộ nhớ nào.
Và sau đó là zero day thứ ba về cơ bản cho phép bạn nhảy ra khỏi trình duyệt và làm điều tồi tệ hơn nhiều.
Vâng, tôi sẽ nói, Vá sớm, vá thường xuyên, phải không Doug?
CHÓ. Làm đi!
Vâng.
VỊT. Đó không phải là lý do duy nhất khiến bạn muốn có những bản vá lỗi này.
Có một loạt các bản sửa lỗi chủ động là tốt.
Vì vậy, ngay cả khi chúng không phải là ngày không, tôi vẫn sẽ nói lại.
CHÓ. Tuyệt.
Câu chuyện cuối cùng trong ngày của chúng ta... Tôi đã viết phần giới thiệu nhỏ của riêng mình ở đây, nhưng tôi sẽ ném nó vào thùng rác và tôi sẽ tiếp tục với tiêu đề của bạn, bởi vì nó hay hơn nhiều.
Và nó thực sự nắm bắt được bản chất của câu chuyện này: Kho lưu trữ mã nguồn mở PyPI đối phó với ma trận phần mềm độc hại điên cuồng.
Đó là những gì đã xảy ra, Paul!
Kho lưu trữ mã nguồn mở PyPI đối phó với ma trận phần mềm độc hại điên cuồng
VỊT. Vâng, tôi phải thừa nhận rằng, tôi đã phải làm việc với dòng tiêu đề đó để làm cho nó khớp chính xác với hai dòng trong mẫu WordPress nakedsecurity.sophos.com. [CƯỜI]
Nhóm PyPI hiện đã vượt qua điều này và tôi nghĩ họ đã loại bỏ tất cả những thứ đó.
Nhưng có vẻ như ai đó đã có một hệ thống tự động vừa tạo tài khoản mới, sau đó, trong các tài khoản đó, tạo dự án mới…
…và chỉ tải lên gói nguồn bị nhiễm độc nối tiếp gói nguồn bị nhiễm độc.
Và hãy nhớ rằng trong hầu hết các kho lưu trữ này (PyPI là một ví dụ), bạn có thể có phần mềm độc hại nằm trong mã thực tế mà bạn muốn tải xuống và sau đó sử dụng làm mô-đun trong mã của mình (nói cách khác, thư viện lập trình) và/ hoặc bạn có thể có phần mềm độc hại trong trình cài đặt thực tế hoặc tập lệnh cập nhật cung cấp thứ đó cho bạn.
Vì vậy, thật không may, thật dễ dàng để kẻ lừa đảo sao chép một dự án hợp pháp, đặt cho nó một cái tên trông thực tế và hy vọng rằng nếu bạn tải xuống do nhầm lẫn…
…thì sau khi bạn đã cài đặt nó và khi bạn bắt đầu sử dụng nó trong phần mềm của mình và khi bạn bắt đầu giao nó cho khách hàng của mình, mọi chuyện sẽ ổn và bạn sẽ không tìm thấy bất kỳ phần mềm độc hại nào trong đó.
Bởi vì phần mềm độc hại đã lây nhiễm vào máy tính của bạn, bằng cách nằm trong tập lệnh đã chạy để cài đặt thứ đó đúng cách ngay từ đầu.
Vì vậy, có một kép whammy cho những kẻ lừa đảo.
Những gì chúng ta không biết là…
Có phải họ hy vọng tải lên thật nhiều gói lây nhiễm để một số trong số chúng không bị phát hiện và họ sẽ có cơ hội chiến đấu để một cặp đôi bị bỏ lại phía sau?
Hay họ thực sự hy vọng rằng họ có thể khiến nhóm PyPI hoảng sợ đến mức họ phải ngừng phát sóng toàn bộ trang web và đó sẽ là một cuộc tấn công từ chối dịch vụ toàn diện?
Cả hai đều không phải là kết quả.
Nhóm PyPI đã có thể giảm thiểu cuộc tấn công bằng cách chỉ đóng một số khía cạnh của trang web.
Cụ thể, trong một thời gian, bạn không thể tạo tài khoản mới và không thể thêm dự án mới, nhưng bạn vẫn có thể nhận các dự án cũ.
Và điều đó mang lại cho họ không gian thở vừa đủ, trong khoảng thời gian 24 giờ, có vẻ như họ có thể dọn dẹp hoàn toàn.
CHÓ. Chúng tôi có một số lời khuyên cho các cuộc tấn công như thế này khi nó không được dọn dẹp kịp thời.
Vì vậy, nếu bạn đang lấy từ các kho lưu trữ như thế này, điều đầu tiên bạn có thể làm là: Đừng chọn gói kho lưu trữ chỉ vì tên có vẻ đúng.
Đó là một chiến thuật được sử dụng bởi những kẻ tấn công thường xuyên.
VỊT. Thật vậy, Douglas.
Về cơ bản, đó là những gì chúng tôi thường gọi bằng biệt ngữ “typosquatting” cho các trang web.
Thay vì đăng ký example.com
, bạn có thể đăng ký một cái gì đó như examole.com
, bởi vì O nằm cạnh P trên bàn phím, với hy vọng rằng ai đó sẽ gõ “ví dụ”, mắc một lỗi nhỏ và bạn sẽ lấy được lưu lượng truy cập của họ và đưa họ vào một trang web tương tự.
Hãy cẩn thận những gì bạn chọn.
Nó hơi giống lời khuyên của chúng tôi về ID người gọi: nó cho bạn biết điều gì đó, nhưng chỉ bấy nhiêu thôi.
Và, đối với phần còn lại, bạn thực sự phải thực hiện thẩm định của mình.
CHÓ. Nhu la: Đừng mù quáng tải xuống các bản cập nhật gói vào hệ thống phát triển hoặc xây dựng của riêng bạn.
VỊT. Vâng, DevOps và Tích hợp liên tục là tất cả những gì ngày nay, phải không, nơi bạn tự động hóa mọi thứ?
Và có điều gì đó hấp dẫn khi nói rằng, “Chà, tôi không muốn bị tụt lại phía sau, vậy tại sao tôi không bảo hệ thống xây dựng của mình lấy mã của tôi từ kho lưu trữ cục bộ nơi tôi đang chăm sóc nó, và sau đó luôn luôn tự động lấy phiên bản mới nhất từ kho lưu trữ công cộng của tất cả mã của người khác mà tôi đang sử dụng?”
Vấn đề là, nếu bất kỳ gói nào của bên thứ ba mà bạn đang sử dụng bị pwned, thì hệ thống xây dựng của bạn sẽ tự động gặp sự cố.
Vì vậy, đừng làm điều đó nếu bạn có thể tránh được.
CHÓ. Điều này dẫn chúng ta đến: Đừng để những kẻ tấn công dễ dàng xâm nhập vào các gói của riêng bạn.
VỊT. Vâng.
Không ai thực sự có thể ngăn cản ai đó quyết tâm tự tay thiết lập 2000 tài khoản PyPI mới và đặt 1000 gói mới vào mỗi tài khoản đó.
Nhưng bạn có thể thực hiện các cuộc tấn công khi kẻ gian chiếm lấy các gói hiện có và xâm phạm chúng… bạn có thể nỗ lực hết mình để giúp đỡ phần còn lại của cộng đồng bằng cách làm cho các dự án của bạn khó bị xâm phạm nhất có thể.
Hãy truy cập lại bảo mật mà bạn có trên tài khoản này hoặc trên gói đó, đề phòng trường hợp ai đó quyết định rằng đó sẽ là một nơi tuyệt vời để chèn phần mềm xấu có thể ảnh hưởng đến người khác… và tất nhiên điều đó ít nhất cũng sẽ tạm thời làm hoen ố danh tiếng của bạn thời gian.
CHÓ. Và lời khuyên cuối cùng của chúng tôi có thể khiến một số người điếc không nghe được, nhưng nếu chỉ cần thay đổi suy nghĩ của một số người là đủ, thì hôm nay chúng tôi đã hoàn thành một số việc tốt ở đây: Đừng là một người biết điều.
VỊT. Chứng minh bạn thông minh đến mức nào bằng cách nhắc nhở tất cả chúng tôi về các cuộc tấn công chuỗi cung ứng bằng cách tạo ra những công việc không cần thiết cho các nhóm tình nguyện… như nhóm nhân Linux (họ đã phải chịu đựng điều này trong quá khứ), PyPI và các kho lưu trữ mã nguồn mở phổ biến khác?
Nếu bạn có lý do thực sự tại sao bạn nghĩ rằng bạn cần thông báo cho họ về lỗ hổng bảo mật, hãy tìm chi tiết liên hệ tiết lộ bảo mật của họ và liên hệ với họ một cách thích hợp, chuyên nghiệp và có trách nhiệm.
Đừng là một ****.
CHÓ. xuất sắc.
Được rồi, lời khuyên tốt, và khi mặt trời bắt đầu lặn trong chương trình của chúng tôi trong ngày, đã đến lúc nhận được phản hồi từ một trong những độc giả của chúng tôi.
Trong tập trước của podcast, bạn có thể nhớ rằng chúng ta đã nói một chút về những thử nghiệm và khó khăn của máy tính Apple III. Hãy cùng lắng nghe:
Tôi không biết liệu đây có phải là truyền thuyết đô thị hay không, nhưng tôi đã đọc được rằng các mẫu [Apple III] đời đầu không được lắp chip đúng cách trong nhà máy và những người nhận báo cáo sự cố đã được yêu cầu nhấc mặt trước lên của máy tính khỏi bàn của họ vài centimet và để nó rơi trở lại, điều này sẽ khiến họ rơi vào vị trí mà lẽ ra họ phải ở ngay từ đầu. Điều này dường như đã hiệu quả, nhưng không phải là cách quảng cáo tốt nhất cho chất lượng của sản phẩm.
CHÓ. Đáp lại, người nghe S31064 (không chắc đó có phải là tên thật hay không) bấm chuông:
Tôi không biết về điều đó, nhưng công ty tôi đang làm việc vào thời điểm đó đang sử dụng chúng cho các thiết bị đầu cuối lưu hành thư viện ngoại tuyến. Và chín trong số mười lần, nếu có vấn đề với nó, cách khắc phục là gắn lại các con chip.
VỊT. Vâng, đi qua bo mạch chủ của bạn và (lóc, tách) ấn tất cả các con chip xuống… hồi đó được coi là bảo trì định kỳ.
Nhưng có vẻ như đối với Apple III, nó không chỉ là bảo trì định kỳ, bảo trì phòng ngừa, nó thực sự là một kỹ thuật phục hồi đã được công nhận.
Vì vậy, tôi rất thích đọc nó, Doug.
Ai đó đã thực sự ở đó, và làm điều đó!
CHÓ. Vâng, cảm ơn bạn rất nhiều, thính giả thân mến, vì đã gửi nó.
Và nếu bạn có một câu chuyện, nhận xét hoặc câu hỏi thú vị mà bạn muốn gửi, chúng tôi rất muốn đọc nó trên podcast.
Bạn có thể gửi email tới tips@sophos.com, bạn có thể nhận xét về bất kỳ bài viết nào hoặc bạn có thể liên hệ với chúng tôi trên mạng xã hội: @nakedsecurity.
Đó là chương trình của chúng tôi cho ngày hôm nay; cảm ơn rất nhiều vì đã lắng nghe
Đối với Paul Ducklin, tôi là Doug Aamoth, sẽ nhắc bạn cho đến lần sau hãy…
CẢ HAI. Giữ an toàn.
[CHẾ ĐỘ ÂM NHẠC]
- Phân phối nội dung và PR được hỗ trợ bởi SEO. Được khuếch đại ngay hôm nay.
- PlatoAiStream. Thông minh dữ liệu Web3. Kiến thức khuếch đại. Truy cập Tại đây.
- Đúc kết tương lai với Adryenn Ashley. Truy cập Tại đây.
- Mua và bán cổ phần trong các công ty PRE-IPO với PREIPO®. Truy cập Tại đây.
- nguồn: https://nakedsecurity.sophos.com/2023/05/25/s3-ep136-navigating-a-manic-malware-maelstrom/
- : có
- :là
- :không phải
- :Ở đâu
- ][P
- $ 10 triệu
- 400 triệu USD
- $ LÊN
- 13
- 2022
- 2023
- 22
- a
- có khả năng
- Có khả năng
- Giới thiệu
- hoàn toàn
- Tài khoản
- Trợ Lý Giám Đốc
- chính xác
- bị cáo
- thực tế
- thực sự
- thêm vào
- địa chỉ
- địa chỉ
- thừa nhận
- tư vấn
- ảnh hưởng đến
- Liên kết
- Sau
- một lần nữa
- chống lại
- cơ quan
- KHÔNG KHÍ
- Tất cả
- bị cáo buộc
- cho phép
- dọc theo
- Đã
- được rồi
- Ngoài ra
- Mặc dù
- luôn luôn
- am
- giữa
- số lượng
- an
- và
- hình ảnh động
- Ẩn danh
- Nặc Danh
- Một
- bất kì
- bất cứ điều gì
- bất cứ nơi nào
- hấp dẫn
- Apple
- LÀ
- xung quanh
- bị bắt
- bài viết
- bài viết
- AS
- các khía cạnh
- At
- tấn công
- Các cuộc tấn công
- thu hút
- âm thanh
- tác giả
- tự động hóa
- Tự động
- tự động
- có sẵn
- tránh
- nhận thức
- trở lại
- sao lưu
- sao lưu
- Bad
- Ngân hàng
- Đánh dấu
- Ngân hàng
- Baseline
- Về cơ bản
- BE
- Ghi
- bởi vì
- được
- trước
- sau
- được
- Tin
- tin
- phía dưới
- BEST
- Đặt cược
- Hơn
- lớn
- Một chút
- Bitcoins
- trống
- mù quáng
- Thêm các lợi ích
- bounty
- thở
- trình duyệt
- Bug
- xây dựng
- xăn lên
- nhưng
- mua
- by
- cuộc gọi
- gọi là
- Caller
- gọi
- Cuộc gọi
- Chiến dịch
- CAN
- Có thể có được
- chụp
- thẻ
- cẩn thận
- trường hợp
- Trung tâm
- chắc chắn
- cơ hội
- thay đổi
- thay đổi
- Snacks
- Chọn
- Vòng tròn
- Lưu thông
- mã
- COM
- Đến
- đến
- bình luận
- cộng đồng
- công ty
- hoàn toàn
- thỏa hiệp
- Thỏa hiệp
- máy tính
- máy tính
- Kết nối
- xem xét
- liên lạc
- liên tục
- cảnh sát
- TẬP ĐOÀN
- Chi phí
- có thể
- đất nước
- đất nước của
- Couple
- khóa học mơ ước
- Tòa án
- Crash
- tạo
- Tạo
- tín dụng
- thẻ tín dụng
- Tội phạm
- Crooks
- khách hàng
- khách hàng
- Cắt
- tội phạm mạng
- tội phạm mạng
- tối
- Web tối
- dữ liệu
- rò rỉ dữ liệu
- ngày
- Ngày
- Ưu đãi
- quyết định
- cung cấp
- nhu cầu
- Denial of Service
- mật độ
- bàn
- chi tiết
- chi tiết
- xác định
- Phát triển
- DevOps
- ĐÃ LÀM
- khác nhau
- siêng năng
- công bố thông tin
- do
- làm
- Không
- làm
- DoJ
- thực hiện
- dont
- nghi ngờ
- xuống
- tải về
- Rơi
- hai
- mỗi
- Sớm hơn
- Đầu
- trái đất
- dễ dàng
- mã hóa
- cuối
- thực thi
- đủ
- hoàn toàn
- tập
- bản chất
- chủ yếu
- Ngay cả
- BAO GIỜ
- Mỗi
- mọi người
- tất cả mọi thứ
- chính xác
- ví dụ
- thực hiện
- hiện tại
- Khai thác
- khai thác
- mắt
- phải đối mặt với
- thực tế
- nhà máy
- sự kiện
- Rơi
- gia đình
- nổi tiếng
- nhanh hơn
- yêu thích
- fbi
- cảm thấy
- đồng bào
- vài
- trận đánh
- Hình
- hình
- Số liệu
- tài chính
- Tìm kiếm
- cuối
- Tên
- phù hợp với
- Sửa chữa
- cố định
- theo
- Trong
- tìm thấy
- gian lận
- bạn bè
- từ
- trước mặt
- vui vẻ
- tạo ra
- chính hãng
- được
- nhận được
- GitHub
- Cho
- Toàn cầu
- Go
- Đi
- đi
- Vàng
- tốt
- Chính phủ
- lấy
- tuyệt vời
- rất nhiều
- Lực lượng Cảnh sát
- Guy
- có
- Một nửa
- tay
- Tay bài
- Treo
- đã xảy ra
- Cứng
- Có
- he
- cái đầu
- tiêu đề
- Nghe
- Trái Tim
- giúp đỡ
- giúp đỡ
- tại đây
- cao hơn
- anh ta
- của mình
- Đánh
- Tổ ong
- mong
- hy vọng
- bệnh viện
- House
- Độ đáng tin của
- http
- HTTPS
- i
- ID
- ý tưởng
- Xác định
- if
- quan trọng
- in
- Mặt khác
- sự cố
- bao gồm
- tăng
- bắt đầu
- cài đặt, dựng lên
- hội nhập
- thú vị
- lợi ích
- Quốc Tế
- trong
- trớ trêu
- giả mạo
- IT
- ITS
- chính nó
- biệt ngữ
- nhảy
- chỉ
- Keen
- Giữ
- Loại
- Biết
- lớn
- Họ
- một lát sau
- mới nhất
- phóng
- Luật
- thực thi pháp luật
- dẫn
- Dẫn
- LEARN
- ít nhất
- Led
- trái
- hợp pháp
- cho phép
- Thư viện
- nằm
- ánh sáng
- Lượt thích
- Dòng
- dòng
- linux
- Danh sách
- người nghe
- Listening
- ít
- tải
- địa phương
- London
- dài
- Xem
- tìm kiếm
- NHÌN
- Rất nhiều
- yêu
- hệ điều hành Mac
- thực hiện
- bảo trì
- làm cho
- Làm
- phần mềm độc hại
- nhiều
- Marketing
- tối đa
- Có thể..
- nghĩa là
- có nghĩa
- đo
- trung bình
- Các thành viên
- Bộ nhớ
- Cảnh sát Metropolitan
- Might
- triệu
- hàng triệu
- tâm
- tâm trí
- phút
- sai lầm
- Giảm nhẹ
- mô hình
- khiêm tốn
- mô-đun
- thời điểm
- tiền
- tháng
- hàng tháng
- tháng
- chi tiết
- hầu hết
- nhiều
- Âm nhạc
- âm nhạc
- phải
- my
- An ninh trần trụi
- Podcast bảo mật khỏa thân
- tên
- quốc dân
- điều hướng
- Cần
- không bao giờ
- Mới
- tiếp theo
- Không
- không
- Tháng mười một
- tại
- con số
- of
- off
- cung cấp
- cung cấp
- Cung cấp
- chính thức
- Ngoại tuyến
- thường
- oh
- Xưa
- on
- hàng loạt
- ONE
- những
- có thể
- mở
- mã nguồn mở
- mã nguồn mở
- or
- cơ quan
- Nền tảng khác
- nếu không thì
- vfoXNUMXfipXNUMXhfpiXNUMXufhpiXNUMXuf
- ra
- Kết quả
- kết thúc
- ở nước ngoài
- riêng
- Gói
- gói
- gói
- thanh toán
- Palo Alto
- một phần
- riêng
- qua
- Vá
- Các bản vá lỗi
- paul
- Trả
- trả tiền
- thanh toán
- người
- của người dân
- thời gian
- người
- quan điểm
- điện thoại
- gọi điện thoại
- đã chọn
- Pitch
- Nơi
- Nền tảng
- plato
- Thông tin dữ liệu Plato
- PlatoDữ liệu
- máy nghe nhạc
- xin vui lòng
- thêm
- Podcast
- Podcasts
- Công an
- Phổ biến
- có thể
- có thể
- bài viết
- tiền thân
- nhấn
- khá
- trước
- nhà tù
- Chủ động
- có lẽ
- Vấn đề
- vấn đề
- Sản phẩm
- chuyên nghiệp
- chuyên nghiệp
- Lập trình
- dự án
- dự án
- hứa
- đúng
- bảo vệ
- nhà cung cấp dịch vụ
- công khai
- kéo
- Đẩy
- đặt
- Python
- chất lượng
- câu hỏi
- Mau
- Đòi tiền chuộc
- ransomware
- nhanh
- Tỷ lệ
- hơn
- đạt
- Đọc
- độc giả
- Reading
- thực tế
- có thật không
- lý do
- lý do
- người nhận
- được công nhận
- Phục hồi
- phục hồi
- ghi danh
- đăng ký
- nhớ
- xa
- báo cáo
- Báo cáo
- Báo cáo
- kho
- danh tiếng
- nghiên cứu
- nhà nghiên cứu
- phản ứng
- REST của
- khôi phục
- trở lại
- Thoát khỏi
- ngay
- Nguy cơ
- ROBERT
- Phòng
- rss
- chạy
- người Nga
- Nói
- tương tự
- nói
- nói
- nói
- Quy mô
- Lừa đảo
- Nạn nhân lừa đảo
- Trường học
- Thứ hai
- Bí mật
- an toàn
- an ninh
- lỗ hổng bảo mật
- xem
- dường như
- người gửi
- gửi
- kết án
- án
- nghiêm trọng
- dịch vụ
- Nhà cung cấp dịch vụ
- định
- Giao Hàng
- nên
- hiển thị
- Chương trình
- Điểm tham quan
- đăng ký
- kể từ khi
- duy nhất
- website
- kỹ năng
- So
- Mạng xã hội
- Phần mềm
- một số
- Một người nào đó
- một cái gì đó
- Linh hồn
- âm thanh
- Soundcloud
- nguồn
- mã nguồn
- nói
- đặc biệt
- tiêu
- Spotify
- phần mềm gián điệp
- Bắt đầu
- bắt đầu
- Tuyên bố
- Bang
- ở lại
- Vẫn còn
- Dừng
- Câu chuyện
- Chủng
- Chuỗi
- nghiên cứu
- trình
- tiếp theo
- chất
- thành công
- như vậy
- mặt trời
- bất ngờ
- ngạc nhiên
- hệ thống
- hệ thống
- Hãy
- Các cuộc đàm phán
- nhóm
- công nghệ cao
- Kỹ thuật
- Công nghệ
- nói
- nói
- mẫu
- 10
- hàng chục
- hơn
- cảm tạ
- cảm ơn
- việc này
- Sản phẩm
- Anh
- thế giới
- cung cấp their dịch
- Them
- sau đó
- Đó
- Kia là
- họ
- điều
- điều
- nghĩ
- Thứ ba
- của bên thứ ba
- điều này
- những
- Tuy nhiên?
- nghĩ
- hàng ngàn
- mối đe dọa
- số ba
- Thông qua
- Ném
- thời gian
- thời gian
- tip
- lời khuyên
- đến
- bây giờ
- bên nhau
- quá
- hàng đầu
- Tổng số:
- chạm
- theo dõi
- giao thông
- thử nghiệm
- cố gắng
- rắc rối
- đúng
- NIỀM TIN
- Sự thật
- thử
- XOAY
- Quay
- Hai lần
- hai
- kiểu
- loại
- Uk
- sự hiểu biết
- không may
- Kỳ
- Hoa Kỳ
- cho đến khi
- Cập nhật
- Cập nhật
- Đang tải lên
- đô thị
- URL
- us
- sử dụng
- đã sử dụng
- sử dụng
- thường
- phiên bản
- rất
- nạn nhân
- nạn nhân
- Video
- Tình Nguyện
- dễ bị tổn thương
- Dễ bị tổn thương
- Đợi
- muốn
- muốn
- muốn
- là
- sóng biển
- Đường..
- we
- web
- bộ web
- Website
- trang web
- tuần
- TỐT
- là
- Điều gì
- khi nào
- liệu
- cái nào
- trong khi
- CHÚNG TÔI LÀ
- toàn bộ
- tại sao
- sẽ
- với
- WordPress
- từ
- Công việc
- đang làm việc
- thế giới
- tệ hơn
- tệ nhất
- giá trị
- sẽ
- viết
- Sai
- năm
- Vâng
- bạn
- trên màn hình
- mình
- zephyrnet
- không
- Zero Day