SN 1000: One Thousand - Windows Server 2025, Malicious Python Typos
Security Now (Audio)
Deep Dive
- Bitwarden changed its SDK license to GPLv3
- The company clarified it was a packaging bug
- Bitwarden remains committed to open-source licensing
Shownotes Transcript
这是安全现在的一千期节目。我们将回顾一下这个节目是如何开始的。
我们还有最新的新闻,包括我们赞助的IT守护者的好消息。他们仍然是开源的,微软正在修复用户访问控制,并解决了一个非常严重的零点击RCE漏洞。更多内容将在我们的安全现在一千期节目中播出。
现在,来自您信任的人士的播客。
这是安静的。这是安全现在,史蒂夫·吉布森的一千期节目,于2024年11月12日星期二录制。这是安全现在节目的时间。他们说IT不会。
永远不会发生。
实际上,女士们先生们。
实际上,有些人并没有说那永远不会发生。你会吗?
我说IT永远不会发生。我们说服史蒂夫使用四位数字,在我们谈论安全漏洞、隐私泄露、如何在网上保持安全以及同样重要的是事物是如何运作的近28年里继续前进。史蒂夫是一位大师,女士们先生们,我向您介绍史蒂夫·吉布森。
很高兴能从我的备用位置向您致意,因为我的正常位置的屋顶正在更换,今天早上我发现有人像走在我的头顶上一样。我想,嗯,你可以这么说。
那一期节目,一千期节目,把IT的屋顶给掀了。
哦,那确实是真的,幸运的是,天气很温和。所以我认为看看IT。所以是的,在我们开始录制之前,我刚刚向你说了同样的话。
哦,九九九是,你知道,你会认为我会专注于那一个。但是当我整理这些内容时,我输入了1000,然后我想,哇,这真是太酷了。是的,我们有很多内容要谈论过去几周。
我一直很沮丧,因为发生了太多事情,发生了太多事情,我只是没有时间分享我收到的反馈。所以好消息是,嗯,好吧,这周发生了很多事情,但我们不需要花很多时间,就像我们经常做的那样,有时真的深入研究任何事情。所以我们有一些听众反馈,我们将用它来结束节目,但我们将看看Bitwarden(Tweet网络的赞助商)是否已转为闭源。过去几周,关于这一点有一些奇怪的传闻。
德国安全研究人员的权利已得到澄清。由于德国的一些立法,澳大利亚正在准备对儿童访问社交媒体的年龄限制进行调整。嗯,看来人们在未经要求的情况下获得了Windows Server 2025的免费副本。
我们经常会谈论这些事情。UAC不够有效,因此微软将修复它。嗯,我们还有来自俄罗斯的罚款,嗯,或者服从,否则。
此外,韩国发现Meta存在一些严重的用户信息隐私问题。我们将看看Synology是否已从影响其照片共享功能的非常关键的零点击远程代码执行漏洞中恢复。嗯,一个非常有趣的故事,关于恶意Python软件包,这些软件包正在通过有趣的供应链类型抢占攻击被调用。
此外,谷歌表示他们将强制所有云服务用户使用全面的多因素身份验证。Mozilla基金会刚刚裁员30%。我们是否应该担心Firefox?此外,我收到了来自Dave's Garage(查看SpinRite)的反馈。谢谢Dave,真聪明。正如我所说,我们将用我们听众的许多富有见地的反馈来结束节目。当然,我们还有本期节目的图片。
我觉得我可能见过这个,因为对我来说感觉有点奇怪。
总之,它一直在那里,但我还没有把它放在播客中。你,我,这是另一个天空人篮子。好吧。
祝贺本期节目。
一期节目,让我们用这个来结束。我想用一点回顾来结束?看看你的原始邀请。
所以,虽然我没有参加所有一千期节目,但没有史蒂夫·吉布森就没有安全现在。所以真正的赞誉应该归功于你。我可能只参加了其中的950期。
嗯,你确实会休假,这会让你保持新鲜。好吧。
你不会吗?这很奇怪,但我不知道为什么。无论如何,我们很高兴你没有,我们非常感谢你所做的一切,史蒂夫,并祝贺你。好吧。
所以让我们看看,我们花了20年才走到这一步。我认为我们不会达到两千期,但我们会继续下去,直到我们不能。好吧。
这将像我们80年代末90年代初一样有趣。
让我们说,在最后,杰里·波内尔,我认为他是那些突破极限的人,是的,你知道,他很悲惨。
但他现在在楼上非常敏锐。对此从未有任何疑问。我,没有那么多。我会说,这关于蜜蜂猴子吗?那是在40年前。
无论如何,我想感谢我们的节目,他们带来了Bitwarden。我想向你们保证,Bitwarden是一个开源密码管理器,是数千家企业信任的GPL开源密码管理器。这是在线保护自己的最佳方式,我已经使用它多年了。史蒂夫,Bitwarden 2024年网络安全脉搏调查结果出来了。我们去年做了这个,我有点沮丧。
嗯,情况并没有好多少。92%的网络专业人士都同意,92%。这几乎是全体一致。密码管理器对于保护业务运营至关重要。
现在,随着越来越多的员工寻求生成式AI工具的支持,63%的安全专业人员面临着在维护设备和应用程序的适当批准方面面临重大挑战。这变得越来越难了。对吧?
你知道,如果你在IT行业工作,你会知道89%的受访者对这些行为给组织带来的安全风险表示担忧。安全姿势是一个大问题,我认为这是一个日益严重的问题。好吧,让我们谈谈它。
Bitwarden可能是解决办法,对吧?假期很快就要到了。尖峰安全是必须的。
社会工程学攻击变得越来越聪明。Bitwarden是企业锁定安全性的绝佳选择。它具有无与伦比的SSO和集成灵活性。是的,它与您的SSO解决方案配合使用。
您获得在线自动填充功能,包括这些轴上的卡,我们指出这一点,这可以防止人们使用伪造的网站输入重要私人数据,例如卡和身份。这真的很有帮助。您的企业值得一个具有成本效益的解决方案,可以显著提高其安全性和员工在线安全的机会。
这就是我们喜欢它的原因。但Bitwarden需要几分钟才能设置,Bitwarden支持从几乎所有现有的密码管理解决方案中导入,并且如我提到的,它可以完美地集成到您的SSO解决方案中。我想在这里提到这一点,稍后他将对此进行说明。
但如果您有兴趣,Bitwarden的源代码是开源的。它在GitHub上。任何人都可以检查它。
当然,他们定期由第三方专家进行审计。这很重要,并非每个人都这样做。他们总是发布这些第三方审计的结果。
如果有任何疑问,它是GPL。这意味着它确实是真正的开源。Bitwarden的首席执行官迈克尔·克雷恩这样总结:
我们不需要过度复杂化安全措施。让我们回到基础,为员工提供合适的工具和强大的密码习惯,并创造一种安全成为第二天性的文化。这就是Bitwarden。
立即开始使用Bitwarden,免费试用团队或企业计划。不,我现在真正针对的是企业。但我应该向您保证,作为个人,即使是企业计划,也始于个人选择,因为Bitwarden是开源的,对个人来说是免费的。
这意味着每个设备,iOS、Mac、Android、Linux、Windows。对于个人用户,如果您不想完全信任Bitwarden,您可以托管自己的实例。但它具有强大的安全性、无限的密码和无限的设备。
即使免费计划也支持软件包和硬件密钥,例如YubiKey。所以,这是永久免费的。所以,如果你有朋友和家人,我不希望他们使用密码,你告诉他们Bitwarden是免费的。
它易于使用,它确实有效。Bitwarden,请务必使用该地址,以便我们获得积分。如果您是一家企业,并且想要真正锁定您的系统,请访问bitwarden.com/twit。
我们非常感谢他们的支持。我们感谢您的支持。Bitwarden,请务必使用该地址。实际上,我认为我们的第一个故事,好吧,让我们先做本期节目的图片。
好的,所以,想象一下,您有一个美丽的绿色公园。是的。
其中一边是一条供行人使用的铺砌道路,我们可以在远处看到一个水泥柱。所以汽车无法在这里通行。只有行人。
此外,这将阻止自行车和摩托车以及其他移动车辆。
嗯,最初不会。最初。这通常是绿色的。一切都很正常,但有人对自行车或汽车或其他非行人使用这条路感到恼火,他们以某种高速行驶。所以这里的聪明人想,好吧,我们将减慢这些人的速度。
我们将阻止他们以他们的滑板车和自行车等方式快速通过,基本上在这条道路上设置障碍,以前是。我们为沿着这条美丽的绿色长公园路边的人们设置了一些小路。所以我们这里有一些门,你必须穿过它们。
所以,步行者必须向前走,然后向旁边移动才能绕过第一个,然后向旁边移动才能绕过第二个。然后他们可以喘口气,再走20英尺,然后遇到另一个。但是,这真的能阻止那些使用滑板车、自行车或其他交通工具的人吗?
不幸的是,我给出了这个标题。然而,他们的意图并非如此,因为美丽的绿色公园路仍然美丽而绿色,但并非如此。由于他们基本上在道路中间设置了障碍,因此所有试图通过自行车、滑板车或其他交通工具的人们都摔倒在地,他们没有。
减速。
是的,他们确实减速了。他们只是现在,第一批这样做的人对草的影响很小,第二批人也是如此。但是大约五千人这样做之后,它就起作用了。
所以现在草已经放弃了。它已经开辟了自己的道路,现在非常清晰。现在,如果你是一个还没有。
到达该区域的人。
你,你知道该怎么做。你不需要从你的滑板车上下来,然后走过这些小障碍。不,现在已经为你铺好了路。所以,是的,我们的听众今天早上骑车回来,因为我在早上晚些时候发布了节目笔记。所以他及时回来,并与一名警官交谈。
我记得,现在这个词是什么,但是,但是,对于人们找到最少阻力路径的影响,有一个词,这当然就是这里发生的事情。好的。关于Bitwarden,过去几周,我们的听众一直在给我发送关于他们对Bitwarden许可证可能正在改变以使其不太开放的担忧。
这实际上在互联网上引起了反响。事实证明,我当时没有机会深入研究正在发生的事情,因为事情已经完全解决了。现在,注册表已经发表了声明,并以他们特有的讽刺方式。
我稍微添加了一些内容,以便播客更清晰。他们说,不要害怕虚假的粉丝,你知道,虚假的FOSS(免费开源软件),Bitwarden不会变成专有软件。毕竟,该公司已经再次更改了其许可条款,但这次它将SDK的许可证从其自己的自有许可证更改为GPL 3.0。
正如你所说,莱奥,是的,他们写道。这一举动发生在我们报道它不再完全是虚假信息后的几周。当时,该公司声称这只是一个错误,并在Twitter上发布了软件的包装说明,他们说,“Bitwarden”说,“似乎包装错误被误解为更严重的问题,团队计划解决这个问题。”
Bitwarden仍然致力于多年来一直使用的开源许可证模型,并保留个人用户的完整免费版本。是的,注册表说。现在,它已经跟进,GitHub提交中包含“改进的许可证措辞”,并引用了公司SDK的许可证更改,从其自己的许可证更改为未经修改的GPL 3.0。
很好。这真的很好。
他们之前说过,如果你删除内部SDK,则无法在没有错误的情况下构建公开可用的源代码。现在,公开可用的SDK是GPL 3.0,你可以获得并构建整个内容,他们说。
首席技术官凯尔·斯皮里特在GitHub上关于错误号11611的讨论中添加了新的评论,该错误标题为“2024年桌面版本10.0不再是免费软件”。当然。这就是引发这场风暴的评论。
对此,他们的CTO凯尔写道:“我们对SDK代码的组织和打包方式进行了调整,以便您仅使用包含在SDK发行包中的GPL OSI许可证来构建和运行应用程序。”
客户端中的引用现在来自一个新的SDK内部存储库,该存储库遵循我们一直用于所有客户端的许可证模型。他们说,有关更多信息,请参阅cfa q dmd。目前,SDK发行包引用仅使用GPL许可证。如果引用包含Bitwarden许可证代码。
将来,我们将提供一种方法来生成客户端的多个构建变体,类似于我们对 Web Volt 客户端构建所做的。他完成了最初的 SDK 存储库,将发布到 SDK 密钥,并保留其现有的用于秘密管理器业务产品的 SDK 许可证结构。由于该代码在客户端应用程序中未使用,因此 SDK 密钥状态和软件包将不再从客户端应用程序引用。
所以,不,他们清理了所有东西,修复了这个构建过程中的一个明显的错误,这个构建过程现在变得相当复杂,包含多个重叠的许可证等等。因此,注册表最终表示,这对于更频繁地关注森林的粉丝来说,通常是好消息。所有内容都是开源的,并且可以构建整个系统,包括从免费可用的代码构建的 SDK。我们认为 Bitwarden 已经回应了用户对其密码管理器许可证更改的不满,不仅完成了更改,还在于进一步使其成为自由软件,即使它继续维护。
那只是个错误。这种改变值得称赞,我们很高兴看到它。然而,这似乎表明该公司正在为将来构建更多非 FOSS 工具留出空间。你明白了吗?
那么,究竟是什么呢?我认为这里的所有内容,我们刚刚看到的一切,都是关于自由和开源软件的。这是一个社区行动的绝佳范例,它有助于澄清最初关于 Bitwarden 许可条款及其信誉的混淆,正如注册表所报告的那样。
Bitwarden 真正地做出了正确的举动。所以,好消息是,德国政府已起草立法,以保护发现并报告漏洞的德国安全研究人员。
以前存在一些歧义,因此这项拟议的法律将消除网络安全研究的刑事责任风险,只要漏洞以负责任的方式披露给供应商。与此同时,该法律还引入了严厉的监禁条款,任何滥用漏洞研究过程进行自己犯罪行为的研究人员,其刑期从三个月到五年不等。这些包括研究人员在研究过程中造成重大经济损失、试图进行勒索或造成损害的情况。
关键基础设施。换句话说,如果您是德国的真正研究人员,那么任何以前的灰色地带现在都已消除。所以,是的,但是如果你希望滥用你所知道的,但是我是一个安全研究人员,声称你无法逃脱。
你已经澄清了,所以,我们看到这种情况是值得的,因为我们曾在播客中讨论过很多类似的案例,其中一位善意的研究人员联系了一家公司,说“你知道,我在研究你的网页,我注意到……等等”,然后他能够登录到你的服务器,突然,而不是将其视为试图帮助他们的人,他们立即联系他们的法律团队,并开始威胁他们。所以,德国明确这一点很好。澳大利亚,这将很有趣。
我认为他们正在准备立法,为社交媒体账户设定最低 16 岁年龄限制,这将限制未满 16 岁的用户访问社交媒体账户。根据这项尚未成为法律的新立法,访问社交媒体平台在澳大利亚将仅限于 16 岁或以上的人。这项立法将使在线平台承担责任。
在线平台将有责任执行禁令。可以预见的是,如果他们未能这样做,他们将面临可观的罚款,根据这项即将出台的法律。澳大利亚政府计划在本周在议会提交该法案。
所以,很快就会发生一些事情,并且预计会有一些时间,在它生效之前,需要给社交媒体平台一些时间来以合理的方式回应。政府官员解释说,他们提出这项法案是因为社交媒体对澳大利亚儿童造成的危害。
我们过去在技术挑战和与通过访问者年龄过滤在线服务相关的实际挑战方面讨论过很多次。具体来说,这将如何完成?这项立法是否会让父母负责?父母是否可以,例如,选择让他们的孩子退出此类过滤?这是一个滑坡问题,因为如果这是可能的,它会产生一个问题,即孩子们说,“嘿,妈妈和爸爸,其他所有孩子,他们的父母都允许他们观看 TikTok。”
无论这种说法是否属实,但无论这项立法的法律和社会方面如何,在我看来,如果我们开始为任何类型的互联网服务制定基于年龄的过滤,那么基础平台本身应该通过某种平台特定 API 稳健地向任何应用程序提供此信息。例如,目前,我认为自 iPhone 13 以来,iOS(适用于苹果设备)允许对 9 岁以上、12 岁以上或 17 岁以上的人进行细粒度限制,但没有 16 岁以上。这有点混乱。
所有这些都不是自动的。你知道,父母必须锁定孩子的手机,而且这些锁定设置不会像生日那样自动更改。所以,从设置 12 岁以上或 17 岁以上(无论设备或应用程序先前声明的最低年龄是多少)的那一刻起,手机将限制使用,而这都不是应该如何运作的方式。
我不知道我们现在是如何走到这一步的,但这似乎没有经过深思熟虑。在我看来,一个更好的解决方案是允许父母根据他们对孩子成熟度的看法,或他们对不受限制地访问社交媒体的潜在危险的看法,设置并锁定手机用户的出生日期。
他们可以选择在他们认为合适的情况下,向上或向下调整孩子的声明出生年份。但其优势在于,这可以成为一个设置并忘记的功能,服务将在生日到来时根据世界各地限制其使用的年龄的立法,获得使用权。在某个时候,人们会接受,在这样的生日到来时,访问此或彼社交媒体服务将变得可用。所以,你知道,这绝对是当今互联网的另一个有趣方面,即智能手机在青少年中的普及,以及平台愿意将他们视为其他人。所以,我不知道我们如何根据生日收紧访问权限,但我们确实还没有准备好。
问题在于,如何在不侵犯成年人隐私(更不用说儿童隐私)的情况下进行年龄验证?是的,我知道这些公司可能会说,“我们只是看看他们,我们可以通过 UI 和 bb 来判断其他人的面孔,这似乎对错误的使用失败来说是正确的。”所以,是的,我理解这样做,但这是其中一种情况,如果你没有安全的方式来做到这一点,那么立法者就会说“不,你错了”。
方式,而澳大利亚的立法者正在说“不,你错了”,所以你出局了,这就像“究竟如何,哦,那不是我们的问题。你得自己解决。”
我知道我认为你的解决方案是唯一可行的方法。我认为错误在于说“哦,我会为父母做这件事”。不,让父母拥有能力,让他们自己决定他们的孩子应该做什么。
是的,完全正确。如果父母在生日那天输入(再次,他们可以根据他们对风险的看法,上下调整一两年),那么平台中的 API 可以被任何社交媒体应用程序或其他任何应用程序查询,以确定观看者年龄。现在,好的。
也许苹果最近这样做的方式是,将出生日期本身视为隐私损失。所以他们想,“好吧,我们将创建这些大括号,4 岁、12 岁和 17 岁,等等。”你知道,这样我们不会透露太多信息,但我认为你不能两全其美,你正在说平台必须强制执行基于年龄的限制。
那么,你就必须知道这个人年龄。所以,好的。上周三,注册表发布了另一篇有趣的文章,尽管我从我们的听众那里听说过,但我不知道在其他地方是否看到过。
注册表的标题是“系统管理员震惊,Windows Server 2025 在更新后安装自身,并带有错误标签”。当然,作为注册表,他们的文章标题是“咖啡洒在屏幕上,检查点之后?在意外的地方找到微软最新的操作系统。”
所以,我们必须弄清楚发生了什么。因此,注册表中报告的 Windows Server 2025 的意外出现,是在发布的安全更新(结果证明是一个完整的操作系统升级)之后。网络 c。好的。所以,问题是由客户发现的。
他们写道,网络应用程序安全公司 Hindle 在 11 月 5 日早上到达办公室时,发现令人震惊的是,每个 Windows Server 2022 系统要么升级到 Windows Server 2025,要么正在准备升级。他们写道,这意味着他们很谨慎。因此,未计划的操作系统升级很容易导致咖啡洒在键盘上。
Hindle 的服务包括补丁管理,并且他们依赖微软准确地标记补丁,以确保正确的更新应用于正确的软件,在正确的时间。在这种情况下,本应是安全更新的东西,结果却变成了 Windows Server 2025,这需要花一些时间来追踪问题。根据 Reddit 上的一篇文章,由于最初的影响范围有限,确定根本原因花了大约 8 个小时,不,5 个小时(UTC)。
我们追踪到了 Windows 更新 API,微软错误地将 Windows Server 2025 升级标记为 KB5044284。我们的团队在我们的补丁存储库中发现了这个描述,因为 Windows Server 2025 升级的描述与通常与 Windows 11 相关的 KB5044284 条目不匹配。这似乎是微软方面的一个错误,影响了发布速度和更新的分类。
在与微软知识库存储库进行交叉检查后,我们确认该知识库编号确实引用的是 Windows 11,而不是 Windows Server 2025。好的,所以无论他们说了什么,注册表已经联系 Hindle 寻求更多信息,如果安全组织做出回应,将更新此文章。我们还要求微软发表评论,大约一天前。
从那时起,一片寂静。截至昨晚,Hindle 估计,意外升级影响了大约 7% 的客户。我已阻止所有服务器组策略中的 KB5044284。
然而,这对于发现自己收到意外升级的管理员来说,并不能带来多少安慰,因为回滚到先前的配置将给受影响的用户带来挑战,他们将不得不弄清楚自己的备份策略是否有效,或者支付所需的许可证费用,并处理 Windows Server 2025 带来的所有更改。哇,真是乱七八糟。所以,我不能代表其他人,但我肯定会仔细检查一切,以确保升级后一切正常。
如果你有服务器,你知道。如果我这样做,我可能会选择留在该平台上,如果发生这种情况。就像。
不规则的故障。
你知道,如果微软最终会强制进行迁移,那么在进行此类升级后,很容易出现问题。我的意思是,任何使用 Windows 2022 的人,他们将来都会有 Windows 2025。哇,我绝对能理解这种恐慌。
会随之而来。但谁不是 Hindle 的客户?
这是一个好问题,因为如果。
我没有,那么就到了坠落的时候。先生。
是的,我已经从一些已经遇到这种情况的听众那里听到了,但他们没有说明他们是否是 Hindle 的客户。我认为这可能是一个第三方升级管理工具,对吧?所以微软。
为此承担全部责任,但这并非微软的过错。
不,我相信我指的是那些由第三方进行补丁管理的系统,它们是由补丁管理器更新的,而不是微软。是的。所以很高兴你提到了这一点,因为情况就是这样。还有另一件事,我需要喝杯咖啡。哦。
我刚喝了一杯咖啡。所以,你拿走那块饼干,不要吃得太快。
我的手表显示现在是 34 分钟。所以,在讨论微软决定对 Windows 11 做什么以进一步保护用户帐户控制之前,我们还有足够的时间。结果发现,它不是直接的。所以,好吧。
那是真的,大家。你只需要看到提升提示,然后你就可以。
这里,我的已经关闭了。
你不用。
你看到,第一个。
一百个完成。
将其降到最低。然后我进入注册表并完全禁用它,因为它只是,你知道,我手头有这台机器。
两手。足够了,不。
事实是,人们说,“哦,又是那个烦人的提示。”他们只是点击“是”,所以这就像,“好的,那有什么保护?”好吧,微软会修复它的。
让我们不要让事情变得容易。我们今天播出的节目由 ThreatLocker 提供支持。ThreatLocker 提供零信任、经济实惠,并且在零日漏洞和供应链攻击让你彻夜难眠时非常有效。
如果你在收听这个节目,你可能正在经历一场战争,因为你几乎无法获得安全。使用 ThreatLocker 的最佳方法是全球性的,像捷蓝航空这样的公司都信任 ThreatLocker 来保护他们的数据,让他们的业务运营顺利进行。关键在于主动。我想强调这一点。
我不知道你如何做到这一点。Nadia,请强调这一点。默认拒绝方法,主动默认拒绝方法。
网络安全。这意味着默认情况下,你的阻止所有操作、所有进程、所有用户,除非你的团队明确授权。这就是零信任。
这就是零信任的工作原理。ThreatLocker 非常擅长,他们让它变得很容易。同样重要的是,他们提供所有操作的完整审计。
如果某人经过授权,某个进程也经过授权。你知道确切的设置方式。这不仅有利于风险管理,而且对于合规性也至关重要。Thread Lockers 提供全天候美国支持团队,全面支持您加入和超越。
顺便说一下,由于 Thread Lockers 易于实施,它可以阻止组织内部受信任应用程序的利用,从而保护您的业务,或者说,IT 可以保护您免受未知威胁的影响。零日威胁。这就是问题所在。
这些威胁以前从未见过。如何防止 IT?嗯,你只需阻止任何东西跨越你的边界。
任何行业的组织都可以从中受益。他们称之为 IT 防护墙、威胁防护墙。他们隔离关键的受关注应用程序。
他们将它放在防护墙内,从而防止意外使用,限制攻击者在网络内的横向移动。就是这样。但他们无法到达正确的威胁。
Lockers 的防护墙非常有效,能够挫败许多攻击。传统的 EDR 根本无法阻止,就像 2020 年对 SolarWinds 的网络攻击一样。Thread Lockers 的防护墙有效地阻止了该攻击。
客户对此非常满意。我可以告诉您,Threat Lockers 可以让您快速、轻松且经济有效地获得对整个网络的控制权和可见性。Threat Lockers 零信任和点防护平台提供了一种统一的方法来保护用户、设备和网络。
这是对零日漏洞的利用。我认为这太酷了。如果您查看评论,查看 Thread Lockers 客户,您会发现我并非孤身一人。
价格非常实惠。免费试用 30 天。至少尝试了解 Threat Lockers 如何帮助减轻未知威胁并确保合规性。
访问 threatlocker.com。这就是 Threat Lockers,我们非常感谢您对 Security Now 的支持。
我们的朋友史蒂夫·吉布森先生,如果您需要支持,请告诉他们,如果您说“是的,史蒂夫·吉布森告诉我有关 threatlocker.com 的所有信息”,那就太好了。现在我想喝杯咖啡。
轮到我占用您的时间了。您要喝咖啡吗?好吧,我们都知道 UAC(用户帐户控制)。这是 Windows 巧妙且可行的解决方案,解决了用户在系统上运行 root 权限的问题,这样他们就不会不断地被告知他们可以随心所欲地使用自己的系统。
问题在于,以 root 身份运行意味着他们的登录具有 root 权限。这意味着他们可能无意中(例如,无意中运行一些恶意软件)做的事情,您不会买到错误的内在因素。存在 root 权限计数,并允许他们的系统轻松且可能不可逆地受到损害。
因此,微软的解决方案得到了发展,当我在 Windows 中首次出现时,我们就讨论过这个问题,我说过我认为这是一个非常巧妙的解决方案。我认为这是我们迄今为止最好的解决方案。他们所做的是将凭据分开,即使管理员用户是管理员而不是标准 Windows 用户,管理员用户实际上也会使用标准用户和提升的凭据或 Microsoft 称之为令牌同时以具有降低权限的标准用户身份运行。
这样,他们就能免受任何可能在他们不注意的情况下发生的事情的影响,当他们尝试做一些他们的较低权限不允许的事情时,例如将新应用程序安装到系统中或禁用某些系统保护时,Windows 会弹出您知道的用户帐户控制提示,这基本上相当于“您确定要执行此操作吗?”。需要确认,当用户点击“是”时,Windows 会短暂地切换到他们的提升权限令牌凭据,以允许执行该请求的操作。
好的。多年来一直是这样。但上周我们了解到,可以向这种现有机制添加另一层安全性。微软编写了管理员保护,他们称之为管理员保护,这是一个即将在 Windows 11 中推出的平台安全功能,旨在保护管理员用户的自由浮动管理员权限,允许他们仍然能够使用即时管理员权限执行所有管理员功能。
此功能默认关闭,这意味着,为了清楚起见,当此功能成为 Windows 11 的一部分时,它不会默认启用,因此 UAC 将继续以其方式工作。但是,可以通过组策略启用它。因此,通过网络远程管理的系统和企业可以为其所有 Windows 客户端启用此功能。
微软计划分享更多关于此功能的详细信息,而 Hacker News 现在对此进行了深入研究并进行了报道。他们表示,微软将在 Windows 11 中添加一个新的安全系统。他们将在管理员执行高度特权和敏感操作时保护管理员帐户,该功能名为管理员保护。
该系统目前正在 Windows 11 Canary 版本中进行测试。新功能通过将所有提升的权限和管理员需求移到一个单独的超级管理员帐户中来工作,该帐户大多数时间处于禁用和锁定状态,位于操作系统核心内部。好的。
我只想指出,我们还不知道他们是如何实现这一点的。我的意思是,这听起来比 UAC 更安全。所以也许他们的目的是让它变得超级安全。Hacker News 表示,当用户选择以管理员身份运行选项时,他们将收到管理员保护功能的提示。
与经典的 UAC 提示(具有“是”和“否”按钮)不同的是,管理员保护功能将要求用户使用密码、PIN 或其他身份验证形式进行身份验证,然后才能继续操作。据微软 MVP Rudy Arms(首先发现此功能的人)的技术和非技术评论员称,提示身份验证的变化并非微软更改的唯一重大变化。管理员保护功能比您想象的更强大。
它改变了整个 Windows 操作系统分配管理员权限的方式。好的,这回答了我的问题。这不仅仅是在 UAC 中添加额外的自动化。
你知道,它将它埋在 Windows 的某个地方,无论那意味着什么。那就是你。显然,这就是发生的事情。改变了整个 Windows 操作系统分配管理员权限的方式。
在以前的版本中,Windows 为管理员帐户创建了两个令牌,对吧?一个用于正常操作,一个用于管理员需要执行管理员任务时。用户在两者之间切换,他们最终说,不幸的是,这允许威胁参与者开发 UAC 技术并滥用管理员帐户用于恶意目的。
好的,换句话说。UAC,即使它很烦人,仍然很容易被利用。
所以它也被滥用了。因此,微软将再次尝试。并且更稳固地锁定这些权限,这些权限过于强大,不允许坏人或坏人获得它们。Hacker News 说道。
新的管理员保护功能基本上将所有这些高度特权的操作锁定到一个单独的系统管理帐户中。除非威胁参与者能够绕过所有额外的身份验证选项,否则他们无法切换到该超级管理员帐户。他们表示,此功能的具体工作方式尚不清楚。
微软计划在本月晚些时候在其开发者大会上提供更多关于新管理员保护功能的详细信息。Hacker News 写道,我们希望这些额外的身份验证问题能够支持某种 MFA。如果他们这样做,则会让那些入侵管理员帐户的威胁参与者更难以利用这些帐户执行高权限操作。
我知道,我怀疑像我这样的开发人员的操作概况可能与典型的办公室工作人员大相径庭。正如我之前所说,即使 UAC 不断弹出,也会让我抓狂。因此,我对系统所做的事情非常小心,并且对我的机器进行了一些强迫性的管理。
因此,我从未觉得微软需要保护我免受我自己伤害。现在,在 Windows 用户光谱的另一端,您知道,我们有坐在大型企业办公桌后面的某人。他们可能正在运行一组预先批准的软件,并登录到标准帐户而不是管理员帐户。
因此,他们仍然需要提供完整的管理员凭据才能更改系统中的任何内容。这仍然听起来像是系统中某个地方的管理员权限,您知道,因为系统上定义了一个帐户,该帐户具有管理员权限,即使当前登录的用户是标准用户。因此,微软做得更深入了。
锁定它。这表明即将推出的 Windows 11 管理员保护功能旨在更好地保护其他人,您知道,所有那些使用管理员帐户登录的人,但他们是谁。你确定?是,否。
UAC 弹出窗口并未提供足够的保护。因此,我不能责怪微软提供选项,并且首先让它成为一个选项。我不认为我很快就会在 Windows 11 的控制下,但它也提供了一个选项,可以更彻底地锁定此安全功能。而且,如果可用生物识别多因素身份验证,那么...
这将使您说“是”。
您将不得不不断地检查,如果您知道您的智能手机上的两个因素,并且获得一次性密码才能继续执行您想要执行的操作。
您是否以管理员身份运行?是的,当然。但是我的意思是,这始终是建议,所以我不想以管理员身份运行 UAC。通过某种程度上具有这些级别的功能来解决这个问题。
对吧?我的意思是,Windows 已经成为一个如此强大的操作系统,我必须...我的意思是,我正在创建全新的代码,对吧?这就是我的工作,对吧?
所以...
每次。不,我没有,这并不危险。
没有人那样看。
但是,因此,我必须完全关闭 Windows Defender,或者在我的情况下,在创建它的那一刻,我们以前从未见过这种情况。政府没有,所以,您知道,作为开发人员,您真的需要像平静下来一样对待 Windows。没关系。
我坐在这里。所以,是的,但是我很高兴他们能够让企业管理员能够真正提高安全性。显然,他们这样做并非因为他们没有其他事情可做。
他们这样做是因为他们看到了没有足够能力锁定它的问题。好的。在“谁在乎”类别下,上周我们注意到,俄罗斯法院对谷歌处以了如此疯狂的巨额罚款,原因是谷歌拒绝允许 YouTube 泄露有关俄罗斯媒体反乌克兰宣传的内容。
但不仅他们的发言人不知道如何发音俄罗斯卢布的金额,而且罚款远远超过已知宇宙中所有金钱的总和。此外,您知道俄罗斯的谷歌分支机构,您知道俄罗斯当地的谷歌实体大约一年半前就倒闭破产了。因此,那里也没有资产。
所以,从谷歌那里榨取卢布,我认为不会发生。但这似乎并没有阻止俄罗斯在罚款方面,他们显然认为对一家持续经营的公司处以合理的罚款可能会产生一些现金。
您知道,如果那里的能量没有改变,行为也不会改变。为此,莫斯科法院对苹果、Mozilla 和 TikTok 处以罚款,原因是他们未能删除被俄罗斯政府认定为非法的内容。
苹果因未删除播客而被罚款,Mozilla 因未从其商店中删除某些广告而被罚款,TikTok 因未删除与乌克兰战争相关的视频而被罚款。罚款从 35,000 美元到 40,000 美元不等。
现在,由于如此规模的罚款可能对这三家公司来说只是微不足道的现金,您知道,至少他们有了一些可以讨论的事情。这不像谷歌收到的罚款那样,是一个荒谬的数字,包含三十个零,没有人知道如何发音。在谈到罚款时,韩国对 Meta 处以 216.2 亿韩元罚款。尽管大约需要 14100 韩元才能兑换 1 美元,但 216.2 亿韩元仍然相当于大约 15670 万美元的罚款。因此,这是一个引人注目的金额,不同于俄罗斯对谷歌的罚款。韩国实际上希望 Meta 付款。好的,Meta 做了什么?韩国隐私监管机构对 Meta 处以罚款,原因是 Meta 非法收集了韩国 Facebook 用户的敏感个人信息,包括他们的政治观点和性取向,并未经用户同意将其与 Meta 广告商共享。
该组织被称为个人信息保护委员会 (PIPC),因此韩国的 PIPC 表示,Meta 收集了有关大约 980,000 名韩国国内 Facebook 用户的信息,例如宗教信仰、政治观点和同性婚姻状况,然后将其与 Meta 的 4,000 名广告商共享。PIPC 在一份新闻声明中表示:“具体而言,发现分析了用户在 Facebook 上喜欢的页面以及他们点击的广告,以创建与敏感信息相关的运营广告主题。”好的,这实际上听起来像是两级或三级隐私侵犯,因为,您知道,Facebook 分析了其用户的行为,然后根据他们的行为得出关于他们是谁的结论,然后将关于他们是谁的信息提供给他们的广告商。
PIPC 还补充说,这些主题将用户归类为信奉特定宗教、认同同性恋或跨性别者,或者是从朝鲜逃离的人。该机构指责 Meta 未经适当的法律依据处理此类敏感信息,并且未在这样做之前征得用户的同意。它还批评了这家科技巨头未能实施安全措施来保护活跃帐户,从而允许恶意行为者通过提交虚假身份信息来请求这些帐户的密码重置,而无需充分验证这些虚假信息,导致 10 名韩国用户的个人信息泄露。
因此,Meta 的做法很粗心,而且不在乎。PIPC 表示。展望未来,个人信息保护委员会将继续监测 Meta 是否遵守其纠正命令,并尽最大努力通过不歧视全球向国内用户提供服务的公司的保护法来保护我们公民的个人信息。在与美联社分享的一份声明中,Meta 表示,它将“仔细审查和考虑”该委员会的决定,之后您可能会拿出支票簿来支付罚款,我想。
所以,你知道,好消息是,无论我们转向哪里,IT似乎表明,你知道,那些早期不受约束的互联网服务的免费鲸鱼行为,呃,正在日益得到纠正。如果用户画像对广告商来说像他们声称的那样有价值,并且这种画像逐渐在服务群体中被冻结和减少,那么这暗示着所有广告的经济最终也会发生变化。你知道,他们希望广告商不想改变任何事情。他们想要获取所有关于所有人的所有信息,一直持续下去。
而各国政府开始说,别那么快。我们不想让你拥有这些。当然,政府能够制定他们想要的法律。
我们最喜欢的网络供应商,那个傲慢的家伙,刚刚修复了一个关键的零点击、零身份验证漏洞,如果这个漏洞首先被坏人发现,就会造成混乱。这个漏洞影响了Synology NAS和B照片,可以用来进行完全的远程代码执行。它正在被追踪。
埃德,是的,它正在被追踪,编号为CVE-2024-10443。安全研究人员里克·迪格斯(Midnight Blue)将其称为“风险站”。他在最近的“2024年入侵爱尔兰”黑客比赛中成功地演示并利用了该漏洞。
而这个漏洞非常糟糕。风险站是一个“未经身份验证的零点击漏洞”,允许攻击者在Synology NAS和B站设备上获得根级代码执行权限,这将影响数百万台设备。正如我们所知,零点击意味着无需设备所有者任何操作即可进行完全的远程接管。
我们也知道,只有当Synology照片或B站设备向互联网开放并暴露端口时,这种情况才有可能发生。所以我要再说一遍,无论访问照片和其他互联网功能有多么诱人,多么酷,这都不重要。无论是否需要登录和验证才能使用此服务,这都不重要。
我们所看到的一切都强化了这样一个事实:使用当今技术,无论我们多么希望情况并非如此,都没有安全的方法来做到这一点。好消息是,这个漏洞是在一次“入侵比赛”中披露的。所以坏人不知道这是如何做到的。
为了负责任地披露漏洞,这非常重要,没有发布有关该漏洞的技术细节,也不会很快发布。Midnight Blue表示,目前正在隐瞒这些细节,以便给Synology客户足够的时间来应用补丁。目前有100万到200万台Synology设备同时受到影响并暴露在互联网上。
所以,你知道,很容易做到,对吧?你只需要询问,呃,人口普查或任何在线扫描服务,比如Shodan。给我一个所有在特定端口上监听的IP地址列表,然后你就可以得到这个列表。
嗯,所以发生了什么?我刚刚更新了我的两台Synology NAS。他们通知我,有新的、更可用的补丁,据推测可以修复这个问题,你知道,以及任何其他较小的问题,但我永远不会将我的NAS暴露在互联网上。
你知道,它位于防火墙后面,启用UPnP。我的NAS从未处于危险之中。我希望并相信我们的所有听众也是如此。但你知道,对于那些说“哦,太酷了,我可以发布照片给我的朋友们,还有什么可能出错”的100万到200万Synology用户来说,情况肯定不是这样。
我不确定你是否使用Synology照片应用程序,但我没有。我也没有这样做。我从来不需要它。
所以,你知道,这绝对比简单地打开端口并将服务暴露在互联网上更麻烦。我明白,你知道,但显然100万到200万Synology NAS用户似乎都做了这件事。有安全获得远程访问的方法。你知道,例如,我非常喜欢端口敲击,但它并没有像我希望的那样流行。
但是确实存在真正安全的机制,但由于我不知道是什么原因,这些机制仍然没有被构建到我们的设备中,这继续让人觉得,尽管所有迹象都表明并非如此,但最后发现并修复的可怕漏洞将是最后一个。所以我们不需要更多的安全措施。我们需要改变的是这些。
好的,这真的很有趣。在攻击供应链方面,我们了解到,网络安全研究人员在Python软件包索引(pip)代码库中发现了恶意软件包。你知道,这个特定的Python软件包叫做fabris。在过去的三年里,它已经被下载了数万次,而在这三年里一直未被发现,因为它一直在不断地被重新填充。
该软件包会窃取开发人员的亚马逊网络服务(AWS)凭据。现在,该软件包的名称是fabris,听起来像是某种空气清新剂之类的东西。它本身就是一个可信的软件包名称。
它实际上是由一个非常流行的Python库fabric的拼写错误衍生出来的。哦,所以它是在fabric的末尾添加了一个e。合法的Python fabric库用于通过SSH远程执行shell命令。但是任何匆忙地在代码中键入fabric的开发人员可能会意外地得到fabris。这就是事情开始变得非常糟糕的地方。
合法的fabric软件包下载量超过2亿次,而其恶意的拼写错误对应软件包自开发人员开始信任fabric库的良好声誉以来,下载量超过37100次。即使他们第一次键入名称并输入fabris,他们也认为自己得到了它。不幸的是,对于fabris来说,他们能够利用与fabric相关的信任来包含窃取凭据、创建后门和执行特定平台脚本的有效载荷。fabris会根据它运行的操作系统执行各种恶意操作。
如果它在Linux机器上执行,它将从位于IP地址89.44.9.227的远程服务器下载并执行四个不同的shell脚本。当相同的脚本在Windows上运行时,将提取并执行名为p.vbs的Visual Basic脚本和名为d.py的Python脚本。p.vbs脚本运行隐藏在下载文件夹中的d.py脚本。
d.py脚本下载另一个恶意可执行文件,将其保存为chrome.exe,然后设置一个计划任务,每15分钟运行一次chrome.exe。完成此操作后,删除d.py文件。无论操作系统和采取的路径如何,共同的目标都是窃取凭据,收集AWS访问密钥和秘密密钥,并将这些文件传输到该服务器。
通过收集这些AWS访问密钥,恶意攻击者可以访问可能敏感的云资源。现在谁知道哪些开发人员会运行这个软件包,以及可能会获得哪些资源。自从2021年这个恶意fabris库首次被添加到pip库中以来,37100名开发人员错误地下载了它,他们认为自己得到了fabric。当他们稍后纠正了拼写错误时,他们的机器已经被入侵。
为时已晚。他们的开发系统已经感染了旨在寻找并发送任何AWS凭据的木马。所以,从那时起,位于89.44.9.227的攻击者服务器每当有人出现时,都会收到未经请求的AWS凭据。攻击者很可能会前往AWS查看他们的陷阱是否捕捉到了什么。
因此,我们面临的是一种精心设计的拼写错误攻击,它伪装成受信任的库,利用那些不小心只输入一次错误库名称的开发人员。这个漏洞在三年内未被发现,收集了超过……我们不知道收集了多少AWS凭据,但它已安装在超过37000个系统中,并在最终被发现并从库中删除之前开始寻找AWS凭据。
当然,这引发了一个问题:还有哪些类似的拼写错误陷阱仍然潜伏在数千个合法软件包库中?这就是为什么我们需要研究人员来寻找这些类型的漏洞。
这是一个持续存在的问题,我希望有一个简单的方法来解决这个问题。
是的,你知道。
尤其臭名昭著的是……
我当然知道。
经理。
这是一个问题,因为我们想要公开的软件,对吧?我的意思是,整个想法是,一个由共同努力、发布软件包和库的人组成的社区,打算分享它。那么,你怎么才能阻止坏人呢?你真的做不到。而莱奥,说到好人……
我敢打赌,我有一个产品,他们可以把坏人赶走。让我检查一下。我们继续第1000集。
史蒂夫……
拿起了这个杯子。我已经有我的马克杯了。我现在希望我点的是你总是点的四倍浓缩咖啡。我只点了一倍,它很快就喝完了,所以他们已经通过Flashpoint送到了你这里。信息就是力量。
对吧?
这绝对至关重要。在许多不同方面,这对于在世界上有效至关重要。如果你是一位安全领导者,你知道,今年是值得铭记的一年,我们可以这么说,网络威胁和物理安全问题正在上升,地缘政治不稳定正在增加新的风险和不确定性。
举个例子。去年,勒索软件攻击激增了84%。数据泄露事件增加了34%,这两者对你的公司来说都不是好事,对吧?当然,结果是数万亿美元的经济损失,但不仅仅是经济损失,还有对全球安全的威胁。
我有一个很棒的解决方案。它与信息有关。Flashpoint就派上用场了。Flashpoint让组织能够做出关键决策。它通过将尖端技术与世界级分析团队的专业知识相结合,保护他们的员工和资产。
你知道,政府有情报机构,但为什么只有政府才应该拥有这些呢?企业也应该有人来提供他们成功所需的智能吗?借助Flashpoint屡获殊荣的威胁情报平台,你可以访问关键数据、完成的情报、警报、分析,所有这些都在一个地方。
你可以利用它来最大限度地发挥现有安全投资的作用,当然,因为你知道威胁来自哪里,对吧?一些Flashpoint客户每年避免了数十亿美元的欺诈损失。让我再说一遍,每年避免了数十亿美元的欺诈损失,这要归功于Flashpoint。
在六个月内,Flashpoint获得了2024年全球产品领导力奖,表彰其无与伦比的威胁数据和情报。一家大型美国金融机构的网络运营高级副总裁说:“Flashpoint每年为我们节省超过8000万美元的欺诈损失。”
他们的主动方法和深刻见解对于保护我们的金融机构至关重要。他们不仅仅是一个解决方案。他们是一个战略合作伙伴,帮助我们走在网络威胁前面。
难道你不想走在网络威胁前面吗?难怪Flashpoint受到全球关键业务和政府的信任,以获得业界最佳的威胁数据和情报。访问网站非常简单。
Flashpoint.io,现在就去做吧,为你自己和你的公司做正确的事,Flashpoint.io。我的意思是,你听这个节目就是为了获得这种情报,对吧?获取更多Flashpoint.io信息,非常感谢你们的支持。史蒂夫·吉布森,当我们结束时……
我们已经看到这种情况有一段时间了,我们即将进入2025年,谷歌表示,他们将要求所有云服务用户,没有任何借口,使用某种多因素身份验证。很好。
是的,这就像该是时候了,对吧?不仅仅是用户名和密码,这些不再有效。谷歌仍然没有提供明确的截止日期,但任何尚未设置多因素身份验证的人预计将在明年年初开始收到提示。所以,对于那些尚未这样做的人来说,宽限期已经不多了。
好的。我不知道如何解读最近来自Mozilla基金会的令人担忧的消息。为了明确起见,这与Mozilla不同。
Mozilla基金会是Mozilla的非营利部门,但基金会刚刚裁员30%。即使它不是Mozilla,由于我依赖Firefox进行网络浏览,依赖Thunderbird进行电子邮件,它仍然让我感到不安。基金会的官方声明,在我看来,听起来像是在胡说八道。
听听这句话。Mozilla基金会正在重组团队,以……我读到这篇文章时,想到的是涡轮增压器和喷气发动机,或者反向推进器,因为用词类似。Mozilla基金会正在重组团队,以提高效率和影响力,加快我们确保更开放和公平的技术未来的工作。
不幸的是,这意味着结束我们过去一直追求的一些工作,并取消相关角色,以便在未来更加专注。Mozilla的使命比以往任何时候都更加重要。我们发现自己身处技术和更广泛世界中持续不断的变革之中,将人放在利润之前的感觉越来越激进。
在这一动荡和令人分心的时期中,需要专注和有时要放弃已经取得进展的优秀工作,因为这些工作不会让我们达到下一个高峰。崇高的目标需要做出艰难的选择。
这显然意味着,在他们的PR团队中,谁说话有意义……是的,哇,这很糟糕。
这是另一个……
好消息是,Mozilla基金会过去两年的员工人数翻了一番以上。
所以,裁员30%仍然比他们以前多。它也不是浏览器。它在那里。正如你所说,他们不是……
非营利部门,对吧?好的。所以不用担心。
你使用Mozilla还是不用?你使用Chrome浏览器。
不,我百分之百使用Firefox。不。是的,是的,是的,是的,是的。
我们需要多样性。是最后一人吗?这是两种主流浏览器中唯一不使用Chromium的浏览器。
我知道。对我来说,我的电脑运行起来更凉爽、更安静。我之所以不喜欢Chrome,我之所以离开Chrome的原因是,我的文件一直在旋转,这就像,到底是怎么回事?它只是坐在那里。
公平地说,Mozilla过去在资源方面遇到过问题,但我认为现在它是一个相当……
不错的价格,而且它正在获得谷歌的大量捐款。
哦,是的,我认为谷歌每年捐赠2亿美元。不是捐赠。他们花了。
原因相同。谷歌花了200亿美元。苹果也是如此。是的,对。
为了突出显示。
的和和。
我确实使用火狐的,无论那是什么主页,上面显示的赞助内容,是的,我确实使用。
我想要,是的,很好,是的,是的。
我没有问题看到这一点。而且经常很有趣,因为我知道那是什么。所以,是的,好的。所以,今天最有趣的新闻是周二补丁。所以我们还没有从那得到任何结果。
但下周可以期待。
当然,我们会,如果,什么时候,不确定修复的数量是两位数还是三位数,但肯定是这两个数字中的一个。是的,我很高兴今天安全现在播出的第 1000 集没有出现大量新闻,因为最近有很多新闻我无法分享,正如我在开头提到的,我们收到了很多很棒的听众反馈。
所以今天我们要做这件事。但是我有一些事情。首先,嗯,戴夫·普卢默是一位早期微软工程师,除此之外,戴维还被认为创造了 Windows 的原始任务管理器。
他编写了 IT,以及空间,可以为 Windows NT 端口打台球。他还开发了在 Windows 中添加原生 ZIP 文件支持的功能。谢谢,戴夫。
很难得到。这只是他最重要的几个中的一个。
是的,我喜欢台球或是的,是的,空间。拿到那个健身球。所以今天,戴夫最出名的是他的两个非常受欢迎的 YouTube 频道,他拥有戴夫和戴夫阁楼。
我今天首先提到这一点,是因为他投入了大量精力和精力在他的频道上发布的视频,我们的听众可能会发现很多有趣的内容。所以我创建了 GRC 的快捷链接,以便轻松找到戴夫的车库。它只是 gc 叫 sc 斜杠戴夫,所以你 sc 作为快捷方式 grc 得到 sc 斜杠戴夫。
但主要原因是我提到这一点,是因为一周前,戴夫发布了他的关于 SpinRite 6.1 的评论,他的副标题是“优化您的硬盘并延长数据寿命,包括 SSD”,使用 SpinRite。
而且,对 SpinRite 的评论非常积极,以至于在这段视频的元数据信息中,他明确表示了他的动机,顺便说一句,这不是全部大写字母,这是一次赞助的播客。我只是一个超过三十年的客户和应用程序粉丝,解释点。所以无论如何,所有关注此播客的人都已经知道戴夫谈论的一切。
我们都知道,SSD 随着时间的推移会变慢,因为它们的数据只被读取,从未被写入,例如知道文件系统、更好的数据以及大多数操作系统文件和驱动程序等等。在 SpinRite 6.1 的早期工作中,我们发现运行 SpinRite 三级测试过去一段时间后变慢的 SSD 可以恢复其原始出厂性能。所以我提到这一点是因为上周有两位观众在戴夫的 SpinRite 视频中发表了评论。
布伦特·史密斯,他说,自从 80 年代早期以来就一直在使用 SpinRite。在与 Compact 的支持主管交谈后,他表示他们使用 SpinRite 来测试安装在 Compact 设备中的硬盘。坏的被淘汰并退回制造商,所以它们不会成为 Compact 的初始支持问题。多年来,我已经多次提到过这种轶事,但看到它独立恢复并让人想起可能仍然有用的有用策略很有趣。我在运行 SpinRite 驱动器时注意到的一件事是,驱动器自我报告的智能健康参数在 SpinRite 运行时通常会向下移动。
这是所有各种工具(尽管它们实际上没有智能驱动器健康报告工具的选择)可能犯的最大错误之一,驱动器只是闲置在那里,什么也不做,它总是相对快乐的,因为它没有被要求做任何工作,并且驱动器没有报告任何内容,因为没有要报告的内容。只有当驱动器因被要求读取或写入数据而超载时,它才能衡量自己实际执行该操作的能力。在过去的三十五年里,这一直是 SpinRite 价值观的基本原则之一。
驱动器只能确定它有问题。当被要求进入其介质并尝试读取或写入那些区域时。事实上,它拥有那部分介质并不自动意味着它知道那里发生的一切。
需要要求它去查看。事实证明,今天的 SpinRite 仍然可以像 Compact 一样使用,曾经使用它来帮助评估旋转硬盘的相对完整性。此外,上周二以来,在七百五十六条其他评论中,还有一条有趣的评论来自 Seagate 首席技术官罗伯特·盖茨。
是的。
类型到。除了多年来担任 Seagate 首席技术官外,罗伯特还是卡内基梅隆大学机器人研究所六位创始主任之一,他辞职是为了指导 Seagate 开发,其中包括自加密驱动器。
作为对戴夫上周二 SpinRite 视频的回应,罗伯特写道,作为 Seagate 的首席技术官多年来,SpinRite 通常做得很好。戴维的演示中有一些错误,但它们很小。最重要的一点是,如果您想保留数字数据,莱奥,您会喜欢这个计划,即在彼此不依赖的多个驱动器上保留重要数据,他说。
RAID 不是解决方案,除非用于事务数据管理或此复制模式。我认为他指的是完全镜像,是的,他说,并且始终保留一份完整的数据副本或两份其他断开连接的副本,这意味着不连接任何电气设备,他说。安全保管箱对此很有用,并且计划每隔几年在新驱动器上制作新的副本,他说。
数字存储设备的故障方式比您能数到的多,能够保存数据数十年的设备实际上在商业上并不可用,并且经常会给人一种虚假的安全感,导致灾难性的数据丢失。存储设备的设计寿命通常为五年,尽管特定设备保存存储时间超过十年甚至几年并不罕见。根据我的了解,我每年都购买新的驱动器,并制作新的完整副本,以及至少保留几份副本。
始终断开连接。雷击会击中并击中火,他说。父母加热磁化器,并且固态驱动器不是非磁性的,这与与磁场损失相关的故障不符。所以无论如何,我也想要那些。我的意思是,你想要你坚持和。
核磁共振成像机,我的意思是你的猫。
就像 DNS SSD,里面有磁性的人。
但是它们。
仍然对变化敏感。受到严重的影响,但我欣赏罗伯特关于大规模存储固有波动性的提醒。不,当我第一次设计和道路 SpinRite 时?
U. I,O。我拥有十、二十或三十兆字节的旋转硬盘。
我们认为是胖的。嗯,嗯。
因为当时没有什么大不了的。所以三十兆字节,你永远不会填满它。
我知道一些大照片。
对吧?完全正确。所以你知道,这些驱动器当时要花我们数千美元。价格下降很快,但当时拥有超过系统主存储驱动器的设备仍然很少见。这就是为什么 SpinRite 数据恢复设计为就地工作,因为当时数据恢复别无去处。这是 SpinRite 未来继续发展过程中我非常兴奋的许多事情之一。
由于此播客的持续支持,听众以及更大的 SpinRite 社区,以及戴夫·普卢默等独立影响者和评论员,SpinRite 似乎将拥有光明的前景。没有什么,真的没有什么能让我更高兴,因为没有什么比继续改进 SpinRite 并推动代码前进更让我享受的。是的,但是我想提到,当我感觉到人们在今天的拇指驱动器或外部驱动器上保留重要数据的单一副本时,我总是有点紧张,你知道,在他们的笔记本电脑或台式电脑上,无论在哪里,可能没有另一份数据的副本。驱动器当然会随着时间的推移变得更可靠。
但是,正如罗伯特提醒我们的那样,雷击仍然会击中,所以驱动器通常不会左一下右一下地坏掉,可能会让我们产生一种完全的安全感,认为它们永远不会坏。由于今天的存储成本如此低廉,花点时间让备份自动且透明地进行可能会有所帮助。
而这正是我要说的重点。自动是关键,这是我想表达的主要观点。每个人都很忙,我们很容易分心。我们自然会忘记那些不需要我们注意的事情。
这就是为什么如果你还没有的话,花点时间安排好你关心数据的安全,而你无需记住任何事情,这在今天很有意义。由于存储成本如此低廉,这不必很贵,我的意思是几乎免费。事实上,最好的情况是永远不会发生任何坏事,并且你的备份系统永远不会被需要。
但即使如此,知道你建立的系统会支持你,我认为这值得时间和精力。所以我只是想花点时间说,真的不需要灾难。没有理由,没有理由有。
灾难再长。我认为戴夫在 Seagate 工作期间改变的一些事情,例如云存储,非常普遍。我想大多数听众至少在某个云端拥有一份数据副本。它非常便宜。所以你很大。
哦,我的天哪。现在微软。
就像邓宁一样。你,是的,是的。老实说,这有点烦人。但是苹果也一样,使用 iCloud。
我认为大多数人可能将他们最重要的东西放在云端。而且你知道你提到的同样的事情,我认为这是一个很棒的解决方案。是的,所有内容都在所有地方同步?
是的。是的,好的。最后一点。在我们进入听众反馈之前,我上周提到我的邮件系统中的即时取消订阅功能有点太快了,因为许多听众不断地、默默地从安全现在邮件列表中取消订阅。
问题是由一些电子邮件提供商造成的,这是一个我从未遇到过但听说过的已知问题。他们试图通过跟踪电子邮件中的恶意链接、提取它们指向的内容并检查其是否存在恶意内容来保护听众。所以这并不是一个坏主意。
但这确实让电子邮件的跟踪能力更强,因为许多精明的用户会故意不点击他们收到的垃圾邮件中的任何内容,因为它是一种保持隐身的方式,因为他们都希望不提供任何他们在这里在线的迹象,以便跟踪能力必须是这些提供商认为值得的权衡。我上周播客结束后的几个小时前使用的系统,当我表示我将修复它时,假设请求即时取消订阅链接后面的内容是用户点击了它,因此它会按照要求立即取消订阅他们。所以我想要做的是确认我确实改变了系统的工作方式,以便链接现在显示一个取消订阅确认页面,它实际上非常漂亮。
您可以点击它,然后看看它是什么样子,如果您好奇,然后不要继续点击“是的,我确定”——因为现在不需要点击——所以从现在开始,每个人都应该保持正确订阅。如果您不是 12656 位收到了今天播客主题摘要的听众,您知道每周图片、节目说明链接以及早间电子邮件中的所有内容,您现在可以重新订阅 GRC 安全现在邮件列表,您知道 GRC dcom 斜杠邮件,并从现在开始订阅。如果您这样做,所有订阅都应保持粘性,并保持到位,除非您以后选择取消订阅。
正如我上周提到的,我完成了电子邮件系统,现在您可以随时更改您的电子邮件地址。用户可以这样做。这个最后的错误消失了。
这封邮件发给了我们 12656 位订阅者,今天早上发送得非常漂亮。所以我现在已经将注意力转向我的下一个项目,即创建下一个 DNS 基准。我很兴奋能够深入研究并尽快完成它。莱奥,让我们休息一下,然后我们将花最后半小时的时间查看一些听众反馈。
精彩,精彩的 1000 集,孩子们,令人惊叹的墙。
而且。
顺便说一句,我希望我们有一份所有这些年来赞助商的列表。这一切都始于惊叹。你还记得等待和。
亚历克斯还在听。
亚历克斯·豪斯还在听。谢谢,亚历克斯。我经常收到你的电子邮件。可能不是 1000 个赞助商,但确实有很多。我们非常感谢所有使节目成为可能的人。
我们就像 Mozilla 一样,依赖于您的 Club TWiT 支持,当然还有我们的广告商的支持。本节安全现在由一家您可能认识并听说过、拥有非常有趣且相对新产品的公司提供,我今天要谈论的是,每家公司都在从事数据管理业务。这意味着每家公司都面临着数据泄露和丢失的风险增加。我们只是在谈论它,对吧?不仅仅是硬盘故障,还有网络安全威胁、违规行为、泄露行为,网络犯罪分子每天都在变得越来越聪明。
如今,现代违规行为发生得非常迅速,不再需要几天或几个月的时间。几分钟就够了。在大多数敏感企业数据已迁移到云端的时候,传统的界限已经不存在了。
保护这些数据的策略已经从根本上改变了。这就是为什么您需要 Lookout,从最初的钓鱼邮件到最终的数据窃取。Lookout 可以像违规行为发生时一样迅速阻止现代违规行为,无论是在设备上、云端还是跨网络。
在当地咖啡馆远程工作,使用您的 Venti。Lookout 可以让您清晰地了解所有数据,无论数据处于静止状态还是移动状态。您可以监控、评估和保护,而无需牺牲生产力来保证安全。
您喜欢它,或者至少 IT 部门喜欢它,因为使用单一统一平台,Lookout 真正简化并增强了您的安全态势。重新构想当今世界的安全,这就是 Lookout。
了解如何安全地保护混合工作的数据。是的,减少复杂性。请注意这一点。非常感谢您对节目的支持,我们感谢您通过在 Security Now 上提及您是 IT 人员来支持我们,因为这正是我们让赞助商保持快乐的方式,对吧?
是的,他们认为,哇,这确实很有意义。
这并不意味着谁,还有什么更好的地方。向世界宣传您的安全产品。
好的。所以保罗·沃克问他,史蒂夫,只是听了第九、九、九集以及您关于 AI 发现并修复安全漏洞的观点。我相信你是对的。这将成为开发人员的一大利器,但我很好奇它是否会成为该领域的下一场军备竞赛。
坏人是否也能同样使用 AI 来发现漏洞?我们最终只会提高复杂性,随着漏洞变得更加隐蔽和难以被人类定义,收获更多唾手可得的成果。坏人使用 AI 是否可能在一段时间内获得优势,因为他们利用了这种新一代强大的漏洞查找工具,而所有现有的软件都无法利用?
我不是说这不好,假设善恶双方力量的总体界限没有过分偏向一方。但我担心您希望实现零漏洞的世界仍然遥不可及。祝贺您达到九、九、九集,感谢您超越了 IT。
祝贺您接下来的两千集。谢谢,保罗。是的,保罗,嗯,我也有过同样的想法。嗯,我同意 AI 也可能被用来设计针对现有或未来漏洞的利用程序。
我同样认为,我们行业中持续出现的惯性滞后和升级摩擦,可能会导致恶意 AI 最初发现自己处于目标丰富的环境中。所以,是的,我百分之百同意,在 AI 仍被双方新部署的阶段,事情可能会变得艰难。但这里有一个重要的不对称性。
好人最终会占据优势,因为没有恶意 AI,无论它多么优秀,我们都能创造出漏洞。恶意 AI 只能发现现有问题,而无法创造新问题。因此,一旦好人拥有他们的 AI,它将致力于剥夺恶意 AI 发现和利用任何新漏洞的机会。
游戏不再是军备竞赛。会有赢家,而赢家将是好人。所以,当然,这是一个有趣的观点,我们即将迎来一些有趣的时候。
另外,关于 AI,蒙特利尔的马修(加拿大)说:史蒂夫,您好,我可能不是第一个与您分享这段代码的人,但我认为它对您有用。我问 ChatGPT 如何删除 YouTube 短视频。最初,它建议使用插件,但我对插件的安全问题表示担忧,所以我再次询问,这次明确表示我只想要一个仅使用 uBlock Origin 的解决方案。这是它提供的解决方案,效果很好。
好的,现在我在节目说明中基本上得到了它,嗯,ChatGPT 创建了一个三规则过滤器,您知道,您转到 uBlock Origin 并打开仪表板,查看我的过滤器选项卡,然后输入它实际上是六行,因为它包含每行的注释,输入这些,点击应用更改。无论如何,他说,他说,这种方法对我来说非常有效,他说,我认为您也会觉得它很有用。如果您尝试过,请告诉我。
此致,蒙特利尔的马修。好的,正如我所说,正如他所写的那样,蒙特利尔的马修发现这对他有效。但一位名叫“简洁之人”的听众只发送了一个指向 GitHub 页面的链接,在节目说明中是 github.com/ji/uBlock-hyper-hide-YT-shorts。
看起来像 jj 的 dev/uBlock-hyper-hide-YT-shorts。我点击了该链接,进入了一个页面,上面写着 uBlock Origin 过滤器列表,用于隐藏所有 YouTube 短视频痕迹。他说,此过滤器列表可能适用于其他内容拦截器,但我还没有研究过。
他说,复制下面的链接,转到 uBlock Origin 仪表板中的过滤器,并将链接粘贴到导入标题下方。这非常酷。在 uBlock Origin 中,有一个导入点点点。
您可以提供一个链接,它会为您导入列表。无论如何,我使用 w 获取了该链接中引用的列表 .txt 文件。这是一个非常全面且注释良好的 71 行过滤器,尽管其中包括空格和注释,有很多注释。
如果任何类似 YouTube 短视频的内容能够通过这个过滤器,我都会感到非常惊讶。然后我发现了达尔找到他的好 GitHub 链接的地方。他给我发送了另一封电子邮件,其中包含指向 Medium 上一篇帖子的链接,一位软件开发人员解释说,他说,作为一名软件工程师,我通常每天在笔记本电脑上花费 8 到 10 个小时。
之后,我经常观看 YouTube 短视频,这与我大量的屏幕时间相结合,开始对我的视力产生负面影响。尽管我意识到了这一点,但我发现自己无法停止。因此,我决定最好完全不看 YouTube 短视频。
这时,我发现了我的救星。uBlock Origin 是一个 Chrome 扩展程序,不仅可以阻止 YouTube 广告,还可以阻止 YouTube 短视频,我希望这反过来可以节省我更多时间。
以下是需要遵循的步骤。好的。然后他提供了一个链接。
实际上,他复制了很多东西到他的 Medium 帖子底部。他提供了参考。事实证明,这位软件工程师也不是此过滤器列表的创建者。正如他在 Medium 帖子结尾所述,他链接到 YouTube 视频,他据推测在那里了解了 uBlock Origin 并找到了此过滤器。
首先,我们证实了我上周的怀疑,即 uBlock Origin 本身,显然可以作为网络内容过滤器的瑞士军刀,可能能够在无需任何可能存在问题的额外网络浏览器扩展的情况下解决 YouTube 短视频问题,这正是将整个主题带到播客的原因,对吧?还记得有人有一个 YouTube 短视频拦截器,并且它被某人拥有,开始使用它来跟踪其用户在互联网上的活动。所以我们说,嘿,你真的需要那个扩展吗?
为什么不直接使用 uBlock Origin?因此,事实证明,但我仍然不清楚所有这些关于所谓的 YouTube 短视频问题。到底是什么问题?为什么人们要创建网络浏览器扩展程序来隐藏这些内容?所以我点击了这位软件工程师指向 Chris Titch 的 YouTube 视频的链接,了解了如何做到这一点。
我没有观看 Chris 的视频,但其中一些,我向你们保证,在过去 10 个月里,自从他发布视频以来,发布到他的说明视频中的 8423 条评论,非常引人注目。该视频播放量已达 160 万次。
例如,人们说,人们想要禁用短视频,并且有开发人员创建了这些惊人的工具,这确实表明短视频有多糟糕。另一个人说,问题是你们自己不断向人们推送短视频?这是一种垃圾邮件形式,应该允许人们选择退出。
不幸的是,在 YouTube 平台上选择退出不起作用。我讨厌短视频,我讨厌 YouTube 的发展方向。另一个人说,谢谢你的提示,这真是救星。
YouTube 短视频是癌症。另一个人说,替代标题:如何治愈 YouTube 的癌症。另一个人写道,我的孩子无法停止观看。一旦他开始观看,我必须介入。
他甚至告诉我他想要停止观看短视频,但他做不到,这令人恐惧,知道这将对我们的生活产生巨大影响。谢谢。最后,有人说,伙计,我简直无法感谢你。
我目前正在努力专注于我的学习,但短视频一直是我的绊脚石。全部大写字母,字面意思。他说,我只是沉迷于此,感觉我无法停止。
一旦我意识到我浪费了多少时间做无事,我感觉空虚和愚蠢。非常高兴有这样的东西,而且效果很好。你真是救星。
非常感谢。最后一个评论,你能否将你的视频制作得更短一些?好的,我承认我编造了最后一个。
但哇,无论这是什么,它似乎确实控制着人们。令人惊叹。但对 Chris 帖子的这些反应非常全面。
YouTube 短视频内容知道如何阻止,如何使用 uBlock Origin 阻止它,回答了为什么有人想从他们的浏览器中删除它的问题。所以,您知道,显然,除了从他们的浏览器中删除它之外,还从他们的生活中删除它。无论如何,我们知道您可以使用 uBlock Origin。
节目说明中有很多链接,其中包含一个非常全面的过滤器列表,供任何想要了解这些内容的人使用,您知道,8000 多人发现了 Chris 的列表。汤姆·戴蒙德说,史蒂夫,我在林肯上遇到了这个,关于上周的图片。我只是想让你知道。
引述,“以下是消防员如何创建了一个病毒式图像来愚弄互联网”引述,这是商业内幕的标题。他说,谢谢。我从第一集就开始听了。汤姆·戴蒙德,好的。现在汤姆实际上指的是上上周的图片,第九、九、八集。
这是火车轨道的那张图片。
是的,那张疯狂的图片显示消防车的水管穿过火车轨道,同时受到消防保护或轮胎保护的保护,就好像这会对火车轮子产生预期的效果,对吧?所以,链接到商业内幕的文章。不幸的是,它被付费墙挡住了,在我的面前弹出了一个覆盖整个页面的弹出窗口,拒绝让我继续。
但我很好奇汤姆看到了什么。所以,再次使用 uBlock Origin 来拯救我。我只需禁用该网站的 JavaScript。
该网站很难访问。我很高兴知道我可以……
……做,刷新页面,不再有弹出窗口阻止页面内容。所以我可以告诉你们,商业内幕写道,如果您在过去几个月里花时间上网,那么您很有可能看到一张图片,一位消防员找到了一个万无一失的方法来将他的水管铺设在火车轨道上。这张照片在 Twitter 和 Facebook 上疯传。
疯狂吗?对吧?并非完全如此。这张照片实际上是一个玩笑。消防员汤姆……比利时的邦德女孩在 4 月初拍摄了这张照片,并将其发布到 Facebook 上。标题大致是“今天早上发生火灾”。
我们的房子仍然受到火车保护,但那条轨道那周正在维修。镇上的人,大概是汤姆的 Facebook 朋友,知道这张照片是用来开玩笑的。没有火车经过的可能性,但很快数百人开始在 Facebook 上分享这张照片,并添加了自己的评论。
那些不认识汤姆或不知道火车轨道已经关闭的人开始看到这张照片,并感到难以置信,自己也分享了这张照片。在他发布的照片被分享了数百次之后,它最终与原始来源以及其讽刺的标题分离了。
人们相信这是真实的,就像火车出轨的故事一样。埃德·甘也于几天后在大量推文分享、电子邮件转发和多种语言中走红,汤姆写了一篇后续帖子解释了发生了什么。它说,嘿,上周我们有趣的图片在全球范围内疯传,在许多不同国家/地区获得了数千次分享和点赞。
这张照片是在比利时一个名为博鲁姆的小村庄拍摄的。经过一次小规模干预(意思是发生了一些火灾相关活动),我们有时间在铁路附近拍摄这张照片。由于由于维护工作,那周根本没有火车运行,我们可以说我们的玩笑非常成功。哦。
现在,多年后……
……仍然……
……人们……
……在互联网上。所以,非常感谢我们的听众汤姆·戴维德,感谢他为我们解开了这个谜团。很高兴知道那些消防员知道他们的计划要么不会经受住火车的考验,要么任何经过的火车都可能不会经受住他们的计划。
我们的听众对这张照片的反馈意见差异很大,关于如果测试该十字路口的完整性会发生什么,保罗·诺斯罗普写道。亲爱的史蒂夫,关于新的 DNS 基准工具,是否会有其他操作系统的版本?苹果、Linux、BSD。
谢谢。好的。15 年前,当我第一次编写 DNS 基准时,我非常努力地确保它在任何地方都能完美运行。在 Windows 上运行得很好,所以我会尽力确保 DNS 基准在任何可以使用 Wine 的地方都能保持这种功能。
事实证明,保罗提到的所有三个非 Windows 操作系统,苹果、Linux 和 BSD,都积极兼容并可以运行 Wine。因此,虽然它不会原生运行,但在这些平台上以及 Windows 上运行都是可能的。所以这一点已经解决了。
吉姆·里提出了一个有趣的问题。他写道:史蒂夫,感谢您每周都在这里为 Security Now 提供支持。您和莱奥制作的播客很棒。我有一个关于 AI 的问题,有点哲学。Gemini、ChatGPT 和 Copilot 之间的答案比较显示,这些系统在一些基本事实(例如 2020 年总统选举谁获胜)上存在分歧。
总的来说,存在分歧。
这正是我要说的。他说,Gemini 拒绝回答这个问题。这听起来像大兄弟,谷歌自封为真理部,决定哪些事实应该压制或披露。我们的知识访问受到跨国公司的监管,令人不安。
如果 AI 隐瞒事实,我们怎么能信任它?您认为 AI 是否应该有一个控制系统,禁止 AI 隐瞒真相?吉姆,好的,我认为 AI 的这一方面将成为一个真正的问题。
我和妻子已经和我们社区小圈子里的邻居夫妇相处得很好,洛里安·乔伊斯,社交活动。因为他在一天中的其他时间让我工作,我很乐意加入。我了解我们的邻居,我可以向每对夫妇提出同样的问题,并从每对夫妇那里得到不同的答案,有时是截然不同的答案。
他们的智慧不是人工的,尽管在某些情况下可能存在疑问。所以我怀疑我们是否要求 AI 成为某种绝对的预言家和真理阐述者。此外,最真实的答案可能不是简单的二元选择,是或否,真或假。
我相信宇宙的基本理性,所以我相信存在绝对真理。但我也有观察到,这种绝对真理通常极其复杂,并且带有细微的色彩。许多人只想得到简单的答案,即使没有简单的答案也能完全正确。
换句话说,他们会选择简单性而不是真理。了解了我们的邻居之后,我也理解了他们不同的观点。所以当他们分享他们的信仰时,我能够通过我了解他们是谁来过滤这些信息。我知道我们希望人工智能能更简单、更直接,但我看不出为什么它会是这样。所以,无论我们喜不喜欢,我们从人工智能那里得到的东西只会是另一种观点。
几件事。我想补充的是,首先,人工智能并没有给他答案,或者拒绝给他答案,编码并没有这样做,因为每个人都在谷歌搜索,每个人都在接受埃兰。马斯克的岩石上有很多缓冲器,是为了防止它回答有争议的问题。这只是人类在说,如果它说了这个,不要回答它,人工智能会给你一个答案。我不知道答案是什么,但我会给你一个答案。
我会说的所有内容都是,这正是胆怯的加布里埃尔·玛格丽特·米切尔以及当时在谷歌伦理部门工作的其他人(直到他们因为这件事而被解雇)在名为“讽刺的鹦鹉”的论文中所说的,他们谈到了问题所在,因为它是来自电脑。人们给予它更大的权重,他们认为作为一台电脑,所以它很聪明,所以它会正确。当然,这是一个错误。实际上,如果你问同一个问题几次,我会每次给你不同的答案,这是它设计的。所以,这更多的是我们理解的问题,我认为“人工智能”这个词是问题的一部分,理解我们正在玩的东西是什么,是的,它一点也不……
聪明,好吧,我们一直在使用这个词。我高中时,我在宇宙代表的AI实验室。是的,所以,好吧,这和我们今天拥有的东西一点也不像。所以,虽然你……
知道它真的很感兴趣,一篇关于FAA李的文章,他是一位早期相信神经网络的研究人员。这发生在二十年前,整个人工智能社区都说过,现在你知道我们尝试过了,它们不起作用。而她坚持不懈,花了两年时间,将大约两万或三万张图片输入其中,并创建了一个有效的图像识别程序。
我记得我们在多伦多大学采访了那些人,当时我在多伦多寻求帮助,关于这个图像识别。这激励了杰弗里·辛顿和其他人后来继续使用人工智能,实际上是使用神经网络和其他我们今天看到的技术。所以,即使在人工智能的寒冬时期,也有人提出了有意义的想法,并取得了成功,但由于各种原因,没有机会尝试。这就像一个起起落落的局面。今天有人说,很多人似乎知道他们在谈论人工智能,就像在几年内一样,是的,实际上……
我想想下周的主题。这是……是的,很好?是的,因为一些山姆·阿尔特曼公开表示,他是一个大师,我知道,但是讨论中包含了足够的内容,我认为我会感兴趣地分享我一直在渴望……
听到你对此的看法。哦,我迫不及待了。我会期待的。
所以,跳到约翰·图里森那里。他说,嗨,史蒂夫。作为一名在安全领域工作超过二十年的人,我发现自己一直在过度思考任何可能导致降低安全性的行为,这可能会导致违规或入侵。
作为一个热衷于家庭自动化的人,我有许多设备。他听起来像埃利奥,家里可能有一百多台设备,用于控制从灯光到风扇到监控海上太阳能的一切。他说,当然,所有设备都分隔开来,有虚拟网络、多层防火墙和独立的SSI设置。
不过,我最大的问题是,例如,如何将家庭助理之类的控制器暴露在互联网上,以便我在旅行时可以访问它。我有一个固定的IP地址,所以没问题,但我真的不喜欢将这类软件直接暴露在互联网上。目前。
我使用OpenVPN连接,没问题,但这意味着每次我想做点什么都需要打开和关闭,这很麻烦。我还考虑过一个覆盖网络,但需要更多地研究数据使用情况,因为它主要将用于移动设备,数据有限。无论如何,回到主要话题,我知道安全模糊性在分层方法中可能有一定的效果。
那么,在这些情况下,您对使用IPv6地址而不是IPv4地址进行入站流量有什么看法?与IPv4相比,在IPv6地址空间中进行全网扫描要困难得多。长期听众和Spinrite所有者来自澳大利亚。继续你们在那边所做的所有伟大的工作,莱奥和所有团队成员。
推特。谢谢,约翰。谢谢,约翰。所以约翰的问题,就像我们之前和Synology谈到的那样,是许多人面临的问题。这就是为什么那些一两百万的Synology照片分享服务被暴露,目前正在被暴露和易受攻击的原因。希望它们能得到修复。
似乎没有人创建了一个可靠的解决方案,因为开发人员继续相信,正如我之前提到的,他们已经解决了他们将要遇到的最后一个问题。所以,你知道,对吧?当然。
去做吧。我们仍然需要一种干净有效的方法,以便在外出时远程访问家中网络中的设备。所以,琼斯想知道在IPv6提供的更大128位地址空间中隐藏他的设备的安全性。
他显然明白,这种解决方案充其量只能提供模糊性。所以我想说,这样做比什么都不做要好,但这需要两端都支持IPv6地址。
问题在于,他并非可以从所有可能的128位地址中随机选择任何128位地址。ISP分配了已知的IPv6地址空间块,并且他们慷慨地为每个用户分配了较小的64K IPv6地址块(16位)。因此,坏人仍然有可能针对任何已知ISP范围的地址并扫描该空间。
鉴于当今僵尸网络的巨大扫描能力,发现位于ISP分配的IPv6空间内的开放端口不会过于困难。约翰提到了使用覆盖网络,例如Tailscale、ZeroTier或Nebula。我认为这些解决方案是当今最接近完美用户友好解决方案的解决方案。
它们都支持所有主要的桌面和移动平台,以及流行的开源路由软件,例如pfSense、OPNsense等等。因此,可以安装一个实例,称为编辑器,以提供极其安全的连接到任何漫游设备。或者,如果您愿意,可以使用Docker安装例如ZeroTier在Synology上。您是否在家里运行过这些出色解决方案中的一个实例?您可以从任何漫游的笔记本电脑或智能手机安全地连接到该网络,并且没有迹象表明访问网络带宽消耗,因为所有这些解决方案在开销方面都经济高效,并且它们的工作方式正是您想要的。
您只需在智能手机上运行该客户端,当您想要连接到例如家庭助理的应用程序时,您使用Web浏览器,并提供家庭IP地址,或者您可能已经设置了动态DNS,以便您的家庭IP地址具有公共DNS。您访问该DNS,知道域名、端口号以及路由到您家庭的流量仅通过覆盖网络。我的意思是,这就像一个完美的解决方案。
不是每个人都会使用它,因为你知道,这是我们的听众会使用的东西。这不像你听到有人说,“哦,现在你的所有朋友都可以浏览你放在公共照片共享文件夹或其他任何东西中的照片”。使用你的家乡作为战场永远不会安全。
但是,使用Tailscale、ZeroTier或Nebula之类的覆盖网络确实有可能成功获得约翰想要的。艾伦,我们最后一点反馈说,史蒂夫,祝贺你《安全现在》播客的一千期节目。他说,我在大学一年级的时候听第一集,当时为了买第二台显示器而捐献血浆来赚钱。
哇。那……
奉献精神。现在,我在谷歌担任高级软件工程师,已经九年了。我一直在听每周发布的每一集。
你的播客至少对我的理解有帮助,就像我的学士学位一样。在许多情况下,你的早期播客帮助我更深入地理解课堂上的材料。感谢你多年来制作《安全现在》播客,艾伦。
太棒了。
所以,对于艾伦,以及所有最近写了类似内容的听众。我实际上今天早上收到了一些其他内容,我会在下周分享,那真是太棒了。我想在《安全现在》播客的这一千期节目结束时说,与莱奥一起提供这个每周播客对我来说一直是一个真诚的乐趣,我相信他将继续如此。
正如我之前所说,我对这个播客多年来发展起来的令人难以置信的听众群体感到既谦卑又自豪。它是我生活中的一大特色,我很高兴尤里奥二十年前问我是否愿意每周花大约二十分钟来讨论各种互联网安全主题,看看会发生什么。
发生了什么。
所以,谢谢你们让这一切成为可能。谢谢。
下一千期。
我刚刚提供……
给你一个平台,而你从那里开始。这真是太棒了。我们的网络工程师帕特里克·拉汉迪发布了一些关于该节目的统计数据。
他说我们做过的最短的节目。你还记得吗?我们不喜欢多余的东西。
节目只有三分钟。我想那就像某种更新。我不记得为什么,但我们必须做一次更新。所以我想这将永远是最短的节目,因为节目中没有太多内容,我正在尝试记起。看看我是否能找到他的帖子,然后他说最长的节目,我想大约是三个小时,是两小时五十七分钟。
哇,是的,我不知道。我实际上认为那周或两周前是两个半小时。而我当时……
嗯,总是建议你控制在两小时内。挺好的。
我认为这应该是一个目标。我认为这是一个合理的时长。我们有一些听众抱怨……
我已经听过整件事了。没有人强迫你……
这不像你必须这样做。我的态度……
一直是,通常给人们比他们想要的更少,在我的播客中,只要它比你的通勤时间长,你就不会在上班的路上结束一半。
我们知道人们对那些YouTube短视频的感觉。
我们不想做短视频。不,我们是长视频。是的,我早期尝试将所有内容控制在七十分钟以内,因为人们会将节目刻录到CD上。
而那正是CD的最大长度,对吧?是的,我现在不再担心这个问题了。你可能知道,我认为我们现在几乎所有节目都超过两小时,这是最短的。
我做的。我们几乎所有节目都是两到三个小时。所以你实际上有幸主持我们这个短节目。祝贺你。
而且,我说,最专注。
非常专注。而且,我们很自豪地说,这是我们做的最Geek的节目。我认为我们试图服务于所有受众,因为我不想让人们说,“不,我不明白你说的任何事情”。但与此同时,我们也希望服务于那些真正理解并真正想要深入了解情况的核心人士。
我们确实有一些听众写信说,“嗯,我认为,我理解你们说的百分之十五,但我喜欢它。我不知道那是什么,但它让我感觉很好,我总是得到一些东西,是的。”
很好。是的,这也没什么不好。我的意思是,我经常认为我们所做的是一种理想化的追求。
我正在观看Netflix上关于玛莎的纪录片。它实际上很有趣。即使你对玛莎的故事不感兴趣,我也会观看。
但人们对她和她杂志的评价是,没有人能那样生活。没有人能那么完美。她说,你的标准越高,就越理想化。
每个人可能都希望生活中充满美丽,并希望拥有它。每个人都希望了解科技世界正在发生的事情。如果你完全不明白,你只会继续听下去,对吧?
史蒂夫,我很荣幸认识你,和你一起工作超过三十年。我不敢相信已经三十年了。这……
一点也不觉得,这就是好消息。是的,你知道,我们才一千期。
是的,我们会继续做下去,只要我们能做到。但我非常荣幸和兴奋,你当时愿意这样做,并且继续这样做。我知道这需要很多工作。我不太清楚你投入了多少工作……
投入了很多工作,但我很乐意这样做,是的,这是……
帕特里克·德雷延迟笔记。我找到了它。
《安全现在》播客最短的节目是四十二分钟四分十二秒。这是这个节目。
《安全现在》播客之一千期节目。投票给史蒂夫。你还记得吗?你当时试图赢得播客。
哦,对,对。播客。
我认为你……
你是否……我们是否曾经在播客的前几年想要……
奖项,是的,是的,当然。然后最长的节目,我有证据证明,三个小时五十七秒。但那都是最好的内容。所以你不需要为此负责。
谢天谢地,我无法想象我会参与其中。我当时会……
是的,原因是2018年有很多精彩的部分,我们无法做成一集或几集。是的。所以这很好。
这很公平。我认为这很好,史蒂夫,谢谢。从心底里,我希望我们能继续下去。
我今天下午坐在這裡,沒有安全現在,會很失落。我知道我並不孤單,所以謝謝你們所有人的辛勤工作。你們每週都做了很多工作。
沒人看得見。呃,他們以前說我們的聽眾說到九九九及以後。現在我想會是到一,九九九。
九九九九呢?要花多久?兩百年?是的。
我感覺很好,但我說的一切,我相信在一個理性的宇宙中,但等等。
也許我們現在在笑,但在未來有人聽AI史蒂夫,那是真的,第1000集。
我相信你可以把所有文字稿都丟到AI中,說,好的,給我上週的新聞,就像史蒂夫會呈現的那樣。
確實完全可以。你現在可能就能做到。
現在可能就能做到。
但在我們完成第二二十集之前,在午夜時分,第二二十年。史蒂夫,謝謝你。像我的朋友一樣,永遠感激。我們下週見。
下週到一千零一。
所以,你現在真的...