SN 999: AI Vulnerability Discovery - RT's AI TV Hosts, Windows 10 Updates
Security Now (Audio)
Deep Dive
- AI is poised to revolutionize vulnerability discovery and code verification.
- Google's AI agent, BigSleep, discovered a previously unknown exploitable memory safety issue in SQLite.
- AI-driven code verification could lead to a significant reduction in software vulnerabilities.
Shownotes Transcript
现在是安全时刻。史蒂夫·吉布森在这里,有很多要谈论的事情。谷歌受到了俄罗斯创纪录的罚款。我不认为他们打算支付罚款。火狐132版本和一些新功能,一个涉及Windows的真正糟糕的漏洞,以及那些RDP文件。然后史蒂夫将谈论他下一个付费产品的计划,这是他第一次在这里宣布。接下来是安全现在。
来自您信任的人的播客。
这是安全现在,史蒂夫·吉布森的第九百九十九期,于2024年11月5日录制,主题是AI漏洞发现。
时间是。
安全现在,选举日特别节目,与史蒂夫一起,我们将涵盖所有这些内容。哦,我拿错了专辑标记。
我会修正的,史蒂夫。所有最新的安全新闻、隐私新闻和AI新闻。看看这些贴纸。是的,我还有一些卡车贴纸。
你知道,投票者投票。
但我只有一个贴纸。但参与我们的民主过程确实令人满意。我必须说,我一直很喜欢它,这次也不例外。
即使我通过邮件投票,我也没有。我没有亲自去。只是把选票放进信箱里,感觉很满意。是的。
而且我很感激加州让它变得如此容易。无论你是否要求,你都会收到邮寄的选票。非常感谢。而且你知道,你可以在投票日之前三到四周完成,然后把它放进箱子里,希望它不会着火,然后你就完成了。
各位,这是安全现在,很好。我已经修复了阿尔伯特,这意味着现在该轮到您告诉我们节目内容了。
好的。在忘记之前,我收到了一些人的电子邮件,他们说,嘿,你昨天提到过你发布播客公告。我是在前天晚上发送给12540人,我相信,或者是在上周下午发送的。
但是人们写信说他们没有收到,而我之前收到过,但这次没有收到。我追踪到了原因。一些人的电子邮件服务试图预测恶意链接,包括电子邮件中的链接。
不幸的是,我的单次点击取消订阅功能确实有效,而且你点击链接后没有任何确认,所以,据称使用Outlook的某些人,Outlook会通过获取电子邮件中的链接或在获取即时取消订阅时保护他们。这意味着他们不会再收到我的电子邮件。因此,所有听到这期节目但没有收到昨天或上周或前天晚上的电子邮件的人,我很抱歉,您无意中被过度保护的电子邮件系统取消了订阅。
所以请重新订阅。我相信到下周这个时候,这个问题就会得到解决。我将不得不带您到一个页面,询问您是否真的想订阅。然后您点击“是”。
现在我明白了为什么其他人这样做。我知道我以前没有这样做,那不好。这是它。
事实证明,您需要说“您确定吗”,因为Outlook会说“哦,太好了!他正在询问他们是否真的确定。”所以我们不会……他不会让任何人穿任何东西。
所以当我查看时,这会发生。我觉得Gmail已经几个月没有更新了。
嗯,Gmail让它变得非常容易。所以,标准是单次点击取消订阅会出现在标题中。我还将它放在邮件正文中,所以Outlook正在查找用户可能点击并陷入麻烦的项目。
或者,今天我有一些关于它的真正惊人消息。但是,在标题中,谷歌会说,如果您标记某些内容,将其标记为垃圾邮件,您会收到一个对话框。这就像,哦,您是否想删除它们?
您会收到Gmail提供的取消订阅此列表的选项。它知道这是一个列表的原因是,在用户看不到的标题中,有一个取消订阅链接,您的电子邮件提供商可以使用它。事实上,当我这样做时,这非常方便。发送给许多旧电子邮件地址的邮件,收件人服务器会看到。
所有这些帐户已经十年没有使用了,因此他们自己会取消订阅。所以,这对于自动清理电子邮件列表非常棒。无论如何,我们现在在安全现在。第九百九十九期。
正如您提到的,莱奥和我应该提到,上周我注意到我还没有更新GRC的网站以处理数字播客。我已经完成了。是的,我们准备好了。
包装。
我必须安排时间,因为我本来想在选举日全面参与,但男孩,我甚至没有意识到他会在选举日。我认为印象。
有人说,你知道,我认为我上次的节目应该是选举日。
哇,你选的?好的。所以,我们将讨论一个有趣的话题,即AI用于漏洞发现,我认为这将是一件大事,我不想抢先说。所以,我将保持沉默,直到我们讨论到那里。我们将讨论谷歌受到俄罗斯的创纪录罚款,以及这个数字有多少个零,俄罗斯电视台RT的主编承认他们的主持人是AI生成的,是的,可能是因为他们事后说所有实际主持人都是AI生成的,Windows 10安全更新将于明年10月结束……还是不会?
那是在2022年,将于明年10月结束,还是不会?嗯,一个好的Chrome扩展程序变坏了,我们将研究实际发生的事件,Windows,事实证明,将启动RDP会话,远程桌面协议会话,使用.RDP启动文件,它也可以配置。您的孩子可以配置您的RDP客户端,以获得完全零安全。我们问,那会有什么问题?实际上,火狐132版本刚刚添加了一些新功能。
中国安全摄像头已被移除。嗯,英国有超过一半的摄像头被移除。我们将检查一下。我知道我们的听众不会上当受骗,我们将研究这种社会工程攻击,但我敢打赌,很多人也会。我将宣布GRC的下一个商业软件产品,或者至少是某个商业软件产品,并简要介绍一下。
然后,我们将研究AI用于分析代码以消除安全漏洞的可能性,正如我最近建议的那样,在本地智能手机上运行的AI可能是允许我们保留端到端加密的解决方案,防止发送和接收不良内容。我认为AI可能是解决安全问题的方案。莱奥,我们有本周的图片吗?漂亮,我喜欢。
一切准备就绪。安全现在第九百九十九期已经开始,如果您刚刚加入我们。自史蒂夫改变主意以来,这是安全现在节目。
一年了,我们是对的,我一直在计划,但你知道,我还没准备好。
祝贺。太好了。今天的节目由我们的赞助商带来,由DeleteMe赞助。
如果您收听节目,您就会知道数据经纪人变得多么有问题。国家公共数据库遭到入侵,数百万人的社会安全号码、电子邮件和家庭地址基本上都泄露给了坏人。我认为这是我们看到性虐待邮件激增的原因之一。请将您的姓名、地址和电话号码发送给史蒂夫。
我认为它来自国家公共数据库的泄露。丽莎,你知道为什么她使用DeleteMe作为我们的赞助商吗?如果您曾经在网上搜索过您的姓名,您可能不喜欢结果。
许多个人信息都可供查阅。您可能需要考虑对此采取一些措施。维护隐私不仅仅是个人问题,也是家庭问题。这就是为什么DeleteMe有家庭计划,这样您就可以确保家庭成员在网上安全。
DeleteMe如何运作?它降低了身份盗窃、网络安全威胁、骚扰等风险。它通过从这些数据经纪人那里删除您的个人信息来运作,从这些收集所有这些信息的网站上删除,例如国家公共数据库。丽莎没有收到那些电子邮件,而我收到了,因为她的信息不在国家公共数据库中。
你知道,这实际上不是我们开始使用它的原因。我们开始使用它是因为钓鱼诈骗,特别是针对租赁的钓鱼诈骗。直接报告是,她是Twit的首席执行官,以及她管理的所有人员,我们收到了短信,说这是丽莎,紧急情况。
你知道,我正在开会,但我现在需要一些亚马逊礼品卡,请立即订购并将其寄到这个地址。幸运的是,我们的员工比这聪明,但这确实让我们有点担心,他们是如何知道租赁号码的?因为我当时是租赁号码。
他是谁?他为哪个公司工作?谁是报告人?因此,这些号码是。这总是我们需要的。DeleteMe。
您如何看待泄露的信息、黑客攻击、身份盗窃和垃圾邮件?我的意思是,这简直是噩梦,我们很高兴丽莎使用它。我自己不太高兴。
也许我需要注册DeleteMe。专家们会出去,最终从数百个数据经纪人那里删除您的信息。他们专门为此而设计。他们知道所有数据经纪人。这是一项非常艰巨的任务,因为每天都有新的数据经纪人出现,但他们确保删除所有这些信息。
如果您想为您的家人使用它,您可以为每个家庭成员创建独特的资料表,并为他们提供易于使用的控制功能,以便管理整个家庭的隐私设置。有些人说,不,我想要在这个网站上,我想要在这个网站上,但不是在这个网站上。
我想强调的最重要的一点是,我们选择DeleteMe的原因。他们不仅仅是第一次删除您的信息。他们会定期扫描并删除您的信息。
因为这些数据经纪人,每天都有新的出现。他们不断更新数据库,包括地址、照片、电子邮件、亲属、电话号码、社交媒体信息、房产价值等等。如果您想保护自己并收回您的隐私,请像我们一样做。
访问joindeleteme.com/twit,使用优惠代码TWIT,享受20%的折扣。这是joindeleteme.com/twit,使用我们的优惠代码TWIT享受20%的折扣。我们非常感谢DeleteMe对节目的支持,感谢您使用该地址支持节目。访问joindeleteme.com/twit。史蒂夫,我准备好了,准备好迎接本周的图片。
稍等。
看起来像。
出自阿尔弗雷德·希区柯克。哇。所以,当扶手不是可选的时,我给出了这个标题。我真的很想知道你是否能走下这些楼梯而不闭上眼睛。
我认为这些楼梯看起来很正常。有人在这些楼梯上铺设了最糟糕的可测量地毯图案。它就像,所有都是交叉的。
它是恐怖的条纹,但它们都是猫步,这是技术术语吗?是的。我的意思是,你必须非常专注才能走下这些楼梯。所以,我有一段时间了,我认为这很好,因为你可以看到它走下去的通道,图案相同,没问题。但是,当它转过90度并走上楼梯时。
这看起来像一艘船。我不想让它变得更糟,但我想象你正在摇晃。
哦,哦,不好,不好。好的。所以,很遗憾,我们最喜欢的俄罗斯互联网监管机构。
摇晃。
不是俄罗斯实体,它一直在对谷歌施加这些罚款,因为谷歌管理YouTube的方式。说,这将很有趣,在这次报道中多次提到这个名字,只提到一次。但无论如何,这个消息太有趣和奇怪了,无法错过。
看来俄罗斯的会计……俄罗斯的会计。谷歌目前对一些大型俄罗斯媒体机构处以相当可观的罚款。我们上周注意到,美国几家上市公司收到的罚款数百万美元,不太可能改变这些公司的行为,因为罚款远远不足以对他们产生重大影响。但这里的情况并非如此,谷歌和这些俄罗斯媒体机构的情况并非如此。
恰恰相反。事实上,这是故事。正如最近在《莫斯科时报》上报道的那样,标题是“俄罗斯对谷歌因YouTube禁令处以25亿美元罚款”,他们写道,RBC新闻网站周二报道称,谷歌在俄罗斯积累了约25亿美元的罚款,这是因为多年来拒绝恢复编程和国家媒体机构的账户。
你知道,虽然谷歌只是说,不,我们不会启动这个。
YouTube引用了熟悉法院判决的匿名消息来源。据RBC消息来源称,谷歌在2020年开始每天累积10万卢布的罚款,原因是亲政府媒体机构“斯雷德”和“RF1”对该公司提起诉讼,指控该公司封锁了他们的YouTube频道。这些每日罚款每周翻倍。
我们知道,当我们年轻时,我们了解复利的力量,对吧?所以这些罚款每周都在翻倍,导致目前的总罚款约为2万亿卢布。现在,根据解释,这是一个后面跟着36个零的数字,或者说万亿万亿卢布。
谷歌(母公司为Alphabet)在2023年报告的营收超过3700亿美元,我认为不太可能支付如此高的罚款,因为这远远超过了地球上所有金钱的总和。据RBC消息来源称,共有17家俄罗斯电视台向谷歌提起诉讼。其中包括国家电视台“第一频道”,军事附属电视台“扎纳”和代表RT的公司。
以及,他们写道,由谷歌拥有的YouTube封锁了几家俄罗斯国家媒体机构,因为他们支持对乌克兰的全面入侵。莫斯科当局以这些罚款作为回应,但没有封锁YouTube。周四,克里姆林宫称对谷歌的处罚是象征性的。
我本来想说这是令人尴尬的,但好吧。克里姆林宫发言人梅迪戈夫在每日简报会上告诉记者。
引述,“虽然它是一个具体制定的一些,我甚至无法说出这个数字。相反,它充满了象征意义。事实上,它也充满了零。”
事实上,谷歌管理层应该对此予以关注并解决这个问题。谷歌并不在乎。
最后,他们说这似乎不太可能,因为谷歌的俄罗斯子公司在2022年夏天申请破产,并在去年秋天正式宣告破产,并且谷歌此前已暂停在俄罗斯的所有广告,以遵守俄罗斯对乌克兰战争的制裁。所以,是的,我发现他们都想要,每周翻倍。你最终会用完数字。
嗯,正如我在节目开始时提到的,嗯,这位主编,玛格丽特·索尼安,嗯,被列为提起诉讼的17家公司之一,谷歌。我注意到,我们最近还注意到,许多俄罗斯电视台的主持人实际上并不存在,并且完全是AI生成的,以及他们的虚假社交媒体账户,因为我想,你知道,你想与他们互动,参与其中。他们需要社交媒体账户才能与他们的虚假AI主持人互动。
无论如何,他预测新闻业将在不久的将来消失。你知道,俄罗斯现在的情况。所以,也许他认为这将不幸地蔓延开来。我们将拭目以待。最近在零补丁博客上发布的内容,这对所有听众来说都非常重要,与第一个只是垃圾食品AI不同,最近在零补丁博客上发布的内容,关于明年Windows 10安全更新结束,包含了一些有趣的消息。
其中包括微软计划向那些希望继续使用Windows 10的用户收取费用,这可能不是一个选择问题,因为我们知道微软对迁移到Windows 11的系统要求的政策是任意的。所以,零补丁的团队最近写道:
嗯,他们的博客文章标题很长,叫做“万岁,Windows 10,零补丁”,副标题是“Windows 10 支持即将结束”。别担心,零补丁将让您安全使用多年。所以他们写道,2025 年 10 月 25 日将是许多 Windows 用户的糟糕月份。
这就是 Windows 10 将收到微软提供的最后一次免费安全更新。而保持 Windows 安全使用的唯一免费(打引号)方法是升级到 Windows 11。我们许多人不想或根本无法升级到 Windows 11。他们写道,我们不想升级,因为我们已经习惯了 Windows 10 的用户界面,我们不想寻找某个移动了的按钮,以及我们每天使用的应用程序为什么不再存在。
虽然我们现有的系统已经能够完成我们所需的一切,但我们不想升级,因为这(这是他们播客中的说法)会增加认证中的帖子,包括开始菜单广告和严重的隐私问题,我们不想让自动集成的屏幕截图和按键记录功能持续记录我们电脑上的活动。我们可能有一些应用程序无法在 Windows 11 上运行。我们可能有一些医疗设备、制造设备、销售终端、专用设备和在 Windows 10 上运行且无法轻松升级的 ATM。
最后,我们的硬件可能不符合升级到 Windows 11 的要求。嗯,Canalys 估计全球有 2.4 亿台电脑与 Windows 11 的硬件要求不兼容,缺少受信任的平台模块。你知道,支持 TPM 版本 2 的 CPU、4GB 内存、UFI 固件和安全启动功能或类似功能。我支持 GPU。
那么,2025 年 10 月会发生什么?没有什么特别的事情。他们说,Windows 10 电脑将收到最后一次免费更新,并且如果没有其他操作,将开始缓慢地衰退,变得越来越容易受到攻击,因为会发现、公布和利用新的漏洞,这些漏洞将永久存在于这些电脑上,受到攻击的风险会随着时间的推移而逐渐增加,保持安全所需的运气也会相应增加。
他们说,这种情况在 2020 年 1 月发生在 Windows 7 上。今天,一台在 2020 年最后更新且没有额外安全补丁的 Windows 7 机器很容易被攻击,因为自 Windows 7 发布以来,已经发现了超过 770 个已公开的严重漏洞。在 2025 年 10 月 25 日之后,如果一台 Windows 10 电脑未打补丁,则很可能会在第一个月内遇到第一个严重漏洞,并在接下来的几个月内遇到更多漏洞。如果您打算这样做,至少确保让电脑难以访问,并物理隔离网络以保护其他人。
有两种方法可以保持 Windows 10 的安全运行。第一种方法是微软的扩展安全更新。他们写道,如果您符合条件,微软乐意向您出售扩展安全更新,这意味着 Windows 10 将获得一年或两年甚至三年的安全修复,就像他们以前对 Windows 7、Server 2008 和 Server 2012 所做的那样。扩展安全更新仅对消费者提供一年。
对于 30 美元的费用,教育机构将获得便宜的更新,仅需 7 美元即可获得三年更新,而商业机构则需要花费大量资金,第一年 61 美元,第二年 122 美元(也就是两倍),第三年 244 美元(再次翻倍),总共三年需要 427 美元才能为企业中的每台 Windows 10 电脑提供安全更新。换句话说,为了插一句,让微软修复他们以前在设计和操作其 Windows 软件时犯的错误,对企业用户的成本每年都会翻倍,但对最终用户来说似乎并非如此。也许对我来说还不清楚。也许只需支付 30 美元的一年,然后就足够了。
(此处缺少内容)
足够了。您已经推迟了 Windows 10,所以他们继续使用零补丁,他们说选择扩展安全更新将让您保持熟悉的每月更新和重启周期。如果您在企业网络中有 10,000 台电脑,他们说,这只会花费 400 万美元,如果有一种方法可以获得更多回报就好了。或者等等,还有零补丁选项,可用于 2025 年 10 月 25 日的零补丁。
安全公司是否会采用他们的说法,即 Windows 10 版本 22H2 是 Windows 的最终版本,并为其提供至少五年的关键安全补丁,如果市场需求,则时间更长。他们写道,我们是 Windows 的唯一非官方安全补丁提供商。我们以前也这样做过,在安全公司采用 Windows 7 和 Windows Server 2008 之后。在 2020 年 1 月,我们成功地维护了六个 Windows 版本,这些版本在官方支持结束之后。
安全公司采用 Windows 11 版本 21H2 来维护那些被困住的用户,在 2023 年 10 月维护了 Windows Server 2012,并在微软放弃后维护了两个流行的 Office 版本(2010 和 2013)。我们仍在为所有这些提供安全补丁。使用零补丁,您将收到针对关键漏洞(可能被利用)的安全微补丁,这些漏洞是在 2025 年 10 月 25 日之后发现的。
这些补丁非常小,通常只需要几个 CPU 指令,因此得名,并且会应用于内存中的正在运行的进程,而无需修改任何原始的微软二进制文件。下载补丁后无需重新启动电脑,因为内存中应用补丁是通过短暂暂停应用程序、打补丁,然后让它恢复运行来完成的。用户甚至不会注意到他们的电脑在他们撰写文档时已经打过补丁。就像零补丁保护的服务器一样,无需任何停机时间即可打补丁。
同样快速和容易地,如果怀疑补丁会导致问题,可以撤销这些微补丁。同样,无需重建或重新应用。零补丁提供零日漏洞修复和非微软安全补丁。使用零补丁,您不仅会收到针对已知漏洞的补丁,这些漏洞已在仍在支持的 Windows 版本中打过补丁。您还会收到零日补丁,他们解释说,这些补丁针对已知且可能已被利用但微软尚未发布补丁的漏洞。
我们过去修复了许多此类零日漏洞。例如,在微软发布补丁前 13 天、63 天、66 天和超过 100 天(平均)之前,我们修复了微软的访问强制身份验证和事件日志漏洞。
然后是“wt 修复”补丁,这些补丁针对供应商出于某种原因未修复的漏洞。目前,大多数这些补丁都属于 NTLM(你知道,NT 身份验证)类别。与 Turbo S 相比,NT 身份验证协议更容易被滥用。微软已决定,任何与 NTLM 相关的安全问题都应由组织放弃使用 NTLM 来解决。
因此,微软不会修补此类漏洞,但许多 Windows 网络出于各种原因无法放弃 NTLM,我们的“won't fix”补丁旨在防止此类攻击。我们的“won't fix”补丁适用于以下已知的 NTLM 身份验证漏洞、DFS 漏洞、打印机错误、slashpool 样本和 Petite Porter。最后是非微软补丁。
他们写道,在大多数补丁中,虽然大多数补丁都基于微软代码,但有时非微软产品的漏洞也需要打补丁,尤其是在某些版本广泛使用或供应商未能及时发布补丁的情况下。补丁产品包括 Java 运行时、Adobe Reader、Foxit Reader、7-Zip、WinRAR、Zoom for Windows、Dropbox 和 Nitro PDF。虽然您可能阅读本文是因为您有兴趣保持 Windows 10 的安全,但您应该知道这些补丁也适用于 Windows 11 和 Windows Server 2022 等受支持的 Windows 版本,并且我们会根据需要不断更新它们。
目前,大约 40% 的客户在受支持的 Windows 版本上使用零补丁作为额外的安全层或防止微软未打补丁的已知 NTLM 攻击。那么成本呢?我们的 Windows 10 补丁将包含在两个付费计划中,零补丁专业版适用于小型企业和个人,仅限于电脑上的单一管理员帐户,目前价格为每台电脑 24.95 欧元加税,适用于早期订阅。
零补丁企业版适用于中大型组织,包括集中管理、多用户和角色、基于组的补丁策略和单点登录,目前价格为每台电脑 34.95 欧元加税,适用于常规订阅。他们写道,价格将来可能会调整。但是,如果发生这种情况,任何拥有当前价格有效订阅的用户都将能够在现有订阅的未来两年内保持这些价格。
好的。很明显,这是一次销售宣传,但这并不意味着它不真实或不相关。从我们多年来对零补丁的报道来看,这些人确实值得信赖,并且确实为微软提供了一个可行的替代方案,而微软对企业用户的收费每年都在翻倍。因此,在这种情况下,我不介意这次销售宣传,因为很容易认可他们正在销售的产品。
微软显然做出了一个战略性的赌注,即故意放弃其用户,以使其漏洞百出的软件作为一种手段,恐吓他们迁移到完全受支持的操作系统,大多数用户宁愿避免,即使这意味着新操作系统中仍然会有不断涌现的新漏洞,而旧问题仍在解决中。更不用说微软的回滚问题是 Windows 11 用户的问题了。因此,考虑到留在一个运行良好且您喜欢的平台上,微软不再会不断引入新漏洞,并且该平台将继续收到针对任何新发现的关键安全漏洞的更新,这就是零补丁想要填补的利基市场。
我认为,每年 25 美元(目前约为 27 美元)的价格,将该受喜爱的平台的安全覆盖范围至少再延长五年(从 2025 年 10 月开始),这非常有意义。此外,他们基于飞速的代码补丁系统比微软的烦人重启和等待系统更友好。Windows 10 用户在最终的 Windows 10 版本 22H2 需要第三方或微软扩展更新之前,还有大约一年的时间。
该播客将在那一刻大约是第 1045 集。除此之外,我们应该在那时了解到更多关于召回的信息。总之,我只是想让大家知道,是的,我有一些问题。
首先,零补丁听起来像是直接在驱动器上打补丁。
是的,您可以在驱动器上打补丁,因为那样会破坏字段的签名,对吧?所以它们永远不会加载。
所以您一直运行着某种东西,零补丁工具会根据需要加载补丁。
是的,有一个零补丁代理,它很小,并且运行。我们过去谈论过,补丁实际上只有 23 个字节。我的意思是,它们就像几个指令,它们只是修复了问题。他们知道。
所以,所有这些补丁都是他们自己的,他们如何获得微软发布的安全补丁并复制这些补丁?他们是否对它们进行了逆向工程?
他们如何知道,就像坏人一样,以与坏人对补丁前后的代码进行差分计算相同的方式?
是的。
您只需找到微软更改的内容,然后说:“很好。”是的。
这是什么?是的,好的。这实际上是一个有趣的业务。
我认为这是一个很棒的业务,我的意思是,他们已经存在很长时间了。如果您搜索 GRC 的转录,您会发现...
我们已经谈论过...
零补丁已经三年了,因为他们经常在微软发布更新之前就介入,并且如果您需要更新,他们不会向您收取任何费用,这在表面上还没有打补丁。所以他们正在填补微软没有填补的紧急需求,因为某些东西在野外被利用。您可以免费获得这些补丁。我的意思是,他们就像 Cloudflare,只是感觉像好人。
好吧,他们将来会出售这些补丁,这很好。这很好。
他们将为您提供一年的保护。许多人宁愿这样做,也不愿被迫使用 Windows 11。
您正在运行?
您运行过吗?不,不。因为我不相信关于您无法运行所有 Windows 版本的胡说八道。我正在运行 Windows 7。我很好。
这 70 个漏洞不会打扰您。
不,我只是不去危险的地方。不,我的网站没有,而且我的浏览器都是最新的。浏览器是主要的传播媒介,网络上的东西会进入,等等。莱奥,等等,您会看到人们被对待的新方式。
让我们休息一下,我们将讨论一个很好的例子,即 Chrome 中的良好扩展程序变坏。好的,我推荐零补丁。我认为所有听众都应该看看它,如果这个想法对他们有吸引力,我认为没有缺点。
我的意思是,只要您的应用程序保持安全,它就会让您继续运行。我的意思是,最终,它会崩溃,因为浏览器不再支持 Windows 10 或类似的东西,对吧?是的,非常有趣。
不是。让我们谈谈我们小时的赞助商,我相信您非常熟悉。OnePassword,您还记得我们以前为一家名为 AK 的公司做广告吗?
我很喜欢 OnePassword 收购了他们。他们使用 AK 的技术与自己的技术相结合,创造了他们称之为 OnePassword 扩展访问管理的东西。这是一个非常聪明的想法。
让我问您一个问题,我认为我知道答案。如果您是 IT 部门、业务或安全部门的人员,您的最终用户是否始终使用公司拥有的设备和经过批准的应用程序?当然,他们不会使用自己的手机或笔记本电脑,并且他们永远不会在公司网络上运行过时的操作系统、浏览器或应用程序服务器,对吧?当然,他们不会。
因此,在 BYOD 世界中,当数据存储在所有这些未经管理的设备和应用程序上时,如何保护公司数据?OnePassword 想出了一个非常聪明的解决方案,即扩展访问管理。这不仅仅是一个密码管理器。
OnePassword 扩展访问管理可帮助您保护每个设备上每个应用程序的每个登录。因为它解决了传统 IAM 和 MDM 无法触及的问题。想象一下,您的公司安全就像一个大学校园。
您有漂亮的砖路,在完美的绿地和覆盖着常春藤的建筑物之间。这些是公司拥有的设备、经过批准的应用程序和受管理的员工。然后,一切都很完美。
但是,就像每个大学一样,坦率地说,人们实际上会使用泥泞的小路,这些小路实际上是建筑物 A 到建筑物 B 的最短路径。您在网络上也有这些未经管理的设备,对吧?影子 IT、非员工身份,例如承包商,他们使用自己的工具,因为这些工具效果更好,对吧?它们是捷径。
但是,问题在于大多数安全工具只适用于快乐的砖路,而大多数安全问题发生在这些小捷径上。这就是为什么您需要 OnePassword 扩展访问管理,这是第一个将所有这些未经管理的设备和应用程序纳入您的控制范围的安全解决方案。它确保每个用户凭据都安全可靠,但它又进一步确保每个设备都是已知的和健康的,并且每个应用程序都是可见的。
这是我们今天真正工作方式的安全,而不是某些安全公司希望一切都很完美的那种花哨的、理想化的方式。它深入到那些泥泞的小路上。现在,它通常可用于使用 Octo 或 Microsoft 访问的企业。
他们正在为 Google Workspace 客户进行测试,这是一个很好的安全检查。请访问 onepassword.com/securitynow,这是 OnePassword 的网站,我相信每个人都信任 OnePassword。我认为他们对这个非常棒的产品所做的事情非常感兴趣。
OnePassword 扩展访问管理,请访问 onepassword.com/securitynow。感谢他们的支持,感谢史蒂夫和他的好工作,也感谢您使用该地址。现在,您可以在此处看到 onepassword.com/securitynow。
史蒂夫·布莱克,所以我们又看到了一个流行的 Chrome 扩展程序,每天有超过 10 万用户,突然变得恶意,该扩展程序名为“隐藏 YouTube 短视频”,据发现,它正在进行欺诈活动,收集并传输所有用户的浏览历史记录。
查找 YouTube 短视频。
我使用 YouTube 短视频。我使用短视频,对吧?好的。显然,在其他地方也是如此。安全研究人员表示,该扩展程序似乎已变成恶意软件。这并不令人意外,我们在它被转移到新开发人员之后就谈论过很多次。我去了 Google 商店查看了一下。
我现在不明白为什么有人想或需要隐藏 YouTube 短视频,但显然这是个问题,因为还有很多类似的扩展程序被列为替代方案,其名称也类似地暗示它们也这样做。但无论如何,针对这些问题,扩展程序的新所有者辩称扩展程序权限的过度使用,称将来可能需要更多权限。研究人员深入研究此问题所提供的简短说明很有趣。
他写道,最初引起我怀疑的是 YouTube 上奇怪的搜索建议,这些建议与我的搜索上下文完全无关,有时使用外语。但是,在分析浏览器标签和开发者控制台中的流量后,我没有注意到任何可疑活动。只有在我开始调试扩展程序后,我才注意到可疑的网络活动和发送到未知外部服务的请求,其中包含所有访问网站的地址和唯一标识符。
该扩展程序确实做了它所说的,但在后台,它会收集并发送有关所有访问页面的信息到 AWS 上托管的外部服务器。该扩展程序收集并发送的信息包括唯一的用户识别号、安装号、真实性、令牌、语言时间戳以及包含路径和参数的完整 URL,这允许读取地址栏中的信息,例如搜索历史记录和搜索词。Chrome 网上应用店中该扩展程序页面上的评论中的一些用户还指出了由于该扩展程序的恶意性质而可能被重定向到钓鱼页面的可能性。
我不知道它以前收集了哪些其他信息,但是由于浏览器扩展程序的广泛权限,应该假设您还可以读取包括凭据、登录名、密码、个人和敏感数据在内的表单中传输的信息。此类数据可用于各种攻击。是的。
因此,使用过此类扩展程序的任何人应该假设通过浏览器查看和传输的所有数据都已受到损害,并立即采取预防措施。每天有数万名用户。该扩展程序最初由一位开发人员开发,他维护了 GitHub 上的源代码。
但是,GitHub 存储库于 2023 年 9 月 12 日存档。该插件被收购或可能卖给了另一位开发人员,他说道。我还没有对所有内容进行我想要的程度的分析,特别是早期版本,以找出恶意更改何时进行。
尽管看起来第一个开发人员出于某种原因在扩展程序刚进入 Google 网上应用店时就决定使用所有页面读取模型,但我分析了它的行为,没有发现类似的问题。因此,确实,这种情况发生在后续阶段。在某个时间点。
他总结道,我对当前开发人员行为的故意性质毫不怀疑,并且他对扩展程序权限过宽的评论的回应清楚地表明了他的意图。因此,我们的结论是,尽量减少使用浏览器扩展程序。我们知道,大多数情况下,扩展程序开发人员都是善意的。
但是,我们也有确凿的证据表明,一些恶意行为者也潜伏在这些水中,我们无法完全分析和审核每个扩展程序。这变成了一个数字游戏,使用越多扩展程序,其中一个扩展程序是恶意的可能性就越大。我还没有时间深入研究阻止来源。
但我有一种感觉,例如,如果您想阻止 YouTube 短视频,您可以阻止扩展程序,阻止来源,只需打开阻止器,点击 YouTube 短视频中的内容,它们就会消失。我从听众那里收到了很多关于此的反馈。因此,您可能甚至不需要更特殊的扩展程序。您可能只需要更好地利用 uBlock Origin 即可。我打算花时间来...
...做一些 CSS 潜水。如果您知道名称,可能可以做到。
您可以自动阻止它,实际上,那个小滴管工具会为您找到它,进行潜水,是的,完全可以做到,并创建规则,是的,总之,在扩展程序方面,越少越好。好吧,这是我们都知道的 Windows 问题,一次又一次,像点 ln k 链接文件这样简单的事情。我的意思是,在您周末观看 Security Now 节目之前,您正在恢复这些文件。
您双击任何会执行操作的东西都存在风险。
对吧?这些漏洞的利用是史诗级的,我们已经失去了他们被修复(用引号引起来)的次数的统计,但又再次出现。您知道,有些设计理念很糟糕,并且容易受到滥用。
莱奥,您总结一下。您可以双击任何东西,这都是问题。当我读到...是的,这就是我想到的。
Windows .RDP 文件可以重新配置并启动远程桌面会话。就像微软从未从过去吸取教训一样。众所周知,那些不从过去吸取教训的人注定要重蹈覆辙。
好的,关于此事的普通新闻报道只是说微软表示,一个臭名昭著的俄罗斯网络犯罪团伙正在使用一种巧妙的新技术来危害受害者并在他们的系统上部署恶意软件。该技术涉及通过电子邮件向受害者发送恶意 RDP 配置文件。如果执行,这些文件会将受害者的 PC 连接到远程 RDP 服务器。该连接允许该俄罗斯团伙窃取数据并在受损设备上部署恶意软件。
但是...
...方便。微软将此行动归咎于午夜暴风雪。记住,他们就是那些收到电子邮件的人。此外,他们不喜欢午夜暴风雪的人。俄罗斯境内的网络部门,SV、R、外国服务。
该团伙自 2024 年 10 月 22 日以来一直在使用这种新技术,并针对美国和欧洲的政府、学术界、国防和非政府组织的个人。
这是 AWS 也发现的同一行动。插入。美国,好的。现在,由于这种整个设计的固有安全性令人难以置信,所以我去了微软自己解释的来源。他们表示,2024 年 10 月 22 日,微软发现了一场网络钓鱼活动,其中午夜暴风雪向 100 多个组织的数千名用户发送了钓鱼电子邮件。这些电子邮件高度针对性,利用了与微软、亚马逊网络服务和零信任概念相关的社会工程学技巧。
这些电子邮件包含一个使用自签名证书签名的远程桌面协议 (RDP) 配置文件,因为您可以免费获得这些 RDP 配置文件,这些 RDP 文件总结了成功连接到 RDP 服务器时建立的自动设置和资源映射。想象一下。让我们让它变得简单。
让我们让它一键完成。这些配置将本地系统的功能和资源扩展到由行为者控制的远程服务器,我们插入了可能出错的内容。在我们完成此处的活动时,我们将有更多内容。
恶意 .rdp 附件包含一些敏感设置,这些设置需要轻微的映射,这将导致在目标系统受到损害后出现重大信息泄露。它连接到行为者控制的服务器,或者换句话说,他们说受到了损害,他们很客气。他们指的是当用户收到包含 .RDP 附件的电子邮件并点击它时,现在这相当于您刚刚损坏了您的计算机,因为您的电子邮件未经训练来阻止该文件。
请注意,您现在无法发送电子邮件,也无法发送 exe 文件了。它们消失了。我的意思是,它们消失了。
立即删除。如果您尝试向 Nexi 发送电子邮件,这根本没有希望。但是 RDP,是的。
提交您的计算机已受到损害,您启用 RDP 的那一刻。
嗯,它默认启用,这是那些...我们继续。可能出错的内容是什么?好的。正如他们所说,一旦目标系统受到损害(这意味着用户点击了电子邮件中的内容,这在当今的 Windows 系统中只需要点击一下即可损害系统),它就会连接到行为者控制的服务器,并通过定向映射(这是微软)将目标用户的本地设备资源映射到服务器。通过直接映射,发送到服务器的资源可能包括但不限于(这是微软的悲伤):所有逻辑硬盘、剪贴板内容、打印机、连接的外围设备、音频和 Windows 操作系统的身份验证功能和设施,包括智能卡。基本上,您刚刚给了他们您的...
...需要...
...访问您的...
...整个系统。
他们有一个微软路由。这种访问可能会让威胁行为者(好的,唯一的方法是他们字面意思地在映射发生时睡着了。否则,哦,呃,可能会让威胁行为者在目标本地驱动器上安装恶意软件。
实际上,这可能已经自动化了,因此他们可以在睡觉时进行,但它会在他们睡觉时发生。并映射网络共享,尤其是在自动启动文件夹中。哦,所以他们有这两个。
或者安装其他工具,例如远程访问特洛伊木马,以在 RDP 会话关闭后保持访问权限。建立到行为者控制系统的 RDP 连接过程也可能会将登录用户的凭据暴露给目标系统。这再次是微软的错误,当目标用户打开 RDP 附件并建立到行为者控制系统的 RDP 连接时。
RDP 连接的配置允许行为者控制系统发现和使用有关目标系统的信息,包括文件、目录、连接的网络驱动器、连接的配置文件(包括智能卡、打印机和麦克风)、使用 Windows Hello 的网络权限,对吧,受到保护,别担心,您很安全,对吧?Windows 允许不安全的过去密钥或安全密钥、剪贴板数据、点销售设备(也称为 POS 设备)。他们还在他们的博客文章中继续讨论。
微软详细介绍了这些攻击,并在其缓解部分提供了大量 IOC(入侵迹象)指示。他们列出了可以防止这种情况发生的事情。我有一个想法,为什么不在一开始就将这种固有的极度危险且易于滥用的功能添加到 Windows 中,我认为这是您在这里提出的第一个建议,并说“是的,如果它不存在,就不会有被滥用的东西”。真的,这有必要吗?让 RDP 文件类型使机器配置为最大程度不安全状态并连接到先前未知的远程服务器?我使用的是...
...远程服务支持,对吧?
我广泛使用 RDP。是的,RDP 会将连接配置文件设置保存到单独的 RDP 文件中,这很有用。但是,当这些文件具有自行发起连接的能力时,这就会变成一种极度危险的设计模式。
如果这些文件必须存在,它们应该与创建它们的机器紧密绑定,而不是可以从邮件中接收并被无意用户点击的东西。微软喜欢将东西存储在注册表中,因此可以将本地机器的 RDP 设置保留在那里,而不是在单独的 RDP 文件中。这样就不会出现这个问题。
方便的是,毫无疑问,没有安全的方法可以向任何人发送一个文件,其执行会导致他们的机器连接到任何未知的外部机器,并共享其所有本地资源。没有安全的方法可以做到这一点。
至少,此功能应该默认禁用,对每个人都禁用,然后只有少数真正需要这样做的人才应该被迫通过一些步骤来在自己的机器上启用它,甚至可能只在某些有限的时间内启用。如果是这样,俄罗斯根本不会费心创建它,因为世界上 99.99999% 的人都会关闭它。我希望每个人都知道不要点击从您认识和信任的人那里收到的任何电子邮件中的内容。
我们现在可以将另一个基于电子邮件的漏洞添加到不断增长的列表中。电子邮件附件太有用,无法禁止,对吧?不幸的是,狡猾的坏人不断找到新的方法来滥用这种有用的功能。
但是,现在感觉很强大,我不会允许我的机器上的端口 139(大多数人可能也不会)。但我猜,因为这是一个传出请求...
...你的父亲不会阻止它,它运行在 6800 或运行在高端口号上,我记得,但是...
...这无关紧要,因为您正在发送,对吧?但是,我们插入了它。
来吧,您可以打赌俄罗斯正在监听任何连接的端口。莱奥,这始于 10 月 22 日会议,数千封电子邮件发送给数百家公司,看起来非常有针对性,合法的人点击了它们,他们立即受到了损害。这就是坏人如何在企业内部获得立足点,谈论立足点。我的意思是,这是一个身体上的漏洞。
是的,您欠它。
是的。说到拥有,莱奥,让我们给听众一个拥有它的机会,然后我们将继续...
...继续到其他一些...我有...
...电视在这里,史蒂夫。
您不会错过任何东海岸发生的事情。
至少我们的...
...在乔治结束之前。所以你很好。这是我们做过的最快的节目。
嗯,好的,继续。好的。我们将收到史蒂夫提供的更多精彩内容。
一如既往,史蒂夫提供的质量信息令人惊叹,我们感谢我们的赞助商,例如 Big ID,您知道 Big ID。我以前谈过他们。他们是领先的数据安全姿势管理解决方案,DSPM。
您是否听说过它是唯一能够发现暗数据的 DSPM 解决方案,能够识别和管理风险,能够按您想要的方式进行修复,并通过无与伦比的数据源覆盖范围扩展您的数据安全策略?Big ID 似乎与您现有的技术很好地集成,这很好,因为您可以使用它来协调安全和修复工作流程,采取行动应对数据风险,您知道,并根据数据采取删除和隔离措施。当然,它维护了审计跟踪。
因此,所有操作都记录在案。它与 ServiceNow、Palo Alto 和网络、微软、谷歌和 AWS 等合作伙伴合作。
借助 Big ID 的高级 AI 模型,您可以降低风险,加快洞察力获取速度,并对所有数据获得可视性和控制权。Big ID 在发现暗数据方面做得如此出色,以至于他们为可能拥有更多数据和更多漏洞的组织配备了它。美国军队...
...美国军队使用 Big ID 来发现暗数据,以加快云迁移,最大限度地减少冗余并自动化数据保留。听听美国...
...陆军训练和教导司令部的说法。这太棒了。引号:与 Big ID 的第一次良好体验是能够拥有一个单一界面,用于查看各种数据持有情况。
现在,记住,这是军队。想想他们所说的数据类型,包括电子邮件、zip 文件、SharePoint 数据库等结构化和非结构化数据。能够跨这些数据进行整合是全新的。
再次引用美国陆军训练和教导司令部的话:我从未见过任何能够像 Big ID 一样将我们联系在一起的功能。
当他们告诉我时,这是一个非常棒的认可,我说:“我能读一下吗?”因为如果军队说并愿意让您听到,那是一个非常大的认可。CNBC 认为 Big ID 是企业 25 家最佳初创企业之一。他们连续五年被 Inc. 杂志评为 5000 名最佳企业之一。他们是当今市场上领先的现代数据安全企业。对吧?我必须再给您一个。
这是网络防御杂志出版商的话:Big ID 和其功能,我们认为是成为赢家的三个主要特征:了解当今的未来威胁、提供具有成本效益的解决方案以及以意想不到的方式进行创新,以帮助减轻网络风险并领先一步。这很了不起。
开始保护您数据所在位置的敏感数据。
Big ID/Security Now,顺便说一句,军队、CNBC 和所有其他机构只是触及了表面。访问网站,您将看到所有赞誉、所有对 Big ID 的好评以及所有参考。Big ID/Security Now 非常令人印象深刻。您还可以了解 Big ID 如何帮助您的组织降低数据风险。
顺便说一句,找到所有这些数据,知道这些数据在哪里,是加速采用生成式 AI 的一部分,对吧?我的意思是,想想军队,那里有绝密信息,对吧?您不会将这些信息放入 AI 中。
因此,能够看到所有内容,现在完全掌握在您的控制之下,这非常重要。BigID.com,BigID.com/SecurityNow。
说到 AI,有很多报告、很多白皮书,但我知道有一份白皮书将为您提供有关 AI 采用挑战以及生成式 AI 对组织总体影响的关键趋势的见解。关于 Big ID 的所有这些信息。
BigID.com/SecurityNow,谢谢 Big ID。非常感谢您的工作。谢谢。
我想说,感谢您的服务,感谢您支持 Security Now。我们非常感谢 Big ID。BigID.com/SecurityNow。保存。
好的?我们现在有新的 Firefox 132。它添加了一些新功能和安全修复。
Firefox 132 的最大新功能是支持 TLS 1.3 中的後量子密鑰交換機制,並且會阻止載入的 favicon。
1 回顧 Firefox 的第三方 Cookie 處理方式時,由於 Firefox 是 UI,存在許多混淆,我們在之前的播客中討論過。
2 Firefox 是 UI,其行為實際上得到了證明。證明後的行為似乎互相矛盾。因此,在 132 版本的改進中,我很高興看到這句話:
3 Firefox 現在在啟用嚴格模式的增強追蹤保護下阻止第三方 Cookie 存取。所以大家原本以為我正在做的事情,現在已經做到了。
4 正如我們所預料的,g rc Cookie 鑑識系統顯示了發生了什麼事。這在 Firefox 132 中已經修復,大家可能都已經更新了。正如我在節目一開始提到的,在令人遺憾但可以理解的「我們不信任中國製造的裝有相機的黑盒子」類別下,我們有新聞。
5 我們真的有新聞嗎?好的,我們有新聞,我們討論過 D.G,無人機作為裝有相機的黑盒子的一個例子,我們有新聞說英國政府現在表示,所有中國製造的安全攝像頭中超過一半已被從敏感地點移除,例如政府大樓和軍事基地。
6 政府表示,預計到明年 2025 年 4 月完成移除,儘管移除命令最初是在 2022 年 11 月發布的。當時我心想,哇,他們花了這麼久才清除一半。但我又想,這類東西的採購週期可能很長。
7 所以我花了一些時間讓替換相機進入管道。正如我們所知,英國官員下令所有英國敏感地點移除所有中國製造的攝像頭,理由是國家安全問題。因為任何事情都有可能發生。
8 基本上,這就是全部,對吧?不。但任何事情都有可能發生。所以,是的,我想在敏感設施中率先使用它們是有道理的。
9 我不確定我是否應該宣布我們已經移除了一半。
10 是的。是的,是的,我在事情發生之前使用了另一半。
11 是的,好消息。一半已經消失了。
12 沒錯。現在,萊奧,好的。我知道我們的聽眾很精明。是的,我一開始試圖稱之為「每分鐘誕生一個成功攻擊的攻擊」,但仔細想想,我覺得這樣太嚴厲了,因為這實際上是一種相當狡猾且可怕的形式。
13 我想我會上當,上當,上當。我不想說。
14 再次強調,我可以想像到很多人,我知道很多人絕對會被這種相當狡猾的社會工程攻擊所欺騙,我想我可能也會上當。所以這不是「每分鐘誕生一個傻瓜」的攻擊,而是,你知道,可能比「你是否有問題」稍微多一點,但仍然不多。
15 好的,它利用了這樣一個事實,即大多數今天使用互聯網和個人電腦的人,從未真正確切或自信地了解這些神奇的騙術是如何運作的,大多數情況下,對吧?他們只是按照說明行事,並盡力而為,希望一切順利。這就是為什麼我理解為什麼這種對技術人員來說很明顯的新攻擊實際上在野外成功了。
16 這令人毛骨悚然。好的,它從一個偽造的捕獲彈出窗口開始,我們現在都在說,所以你知道,它開始,你得到你預期看到的東西,對吧?好,我必須證明我不是機器人。
17 即使在這個合法行動中。
18 對吧?對吧?所以,在這種情況下,有人,在這種情況下,我被用來讓某人想看一段影片。
19 他們需要點擊捕獲按鈕才能開始驗證他們是人類。好的?但使用者點擊的這個按鈕實際上是由 JavaScript 執行的。它執行一小段 JavaScript,將一個危險的 PowerShell 可執行字串放在他們的 Windows 剪貼簿中。天啊,JavaScript 可以讀取和寫入剪貼簿。
20 所以當你點擊這個按鈕時,它會將這個 PowerShell 腳本放入你的剪貼簿中,並使用加密的命令尾,PowerShell 會開發,所以它看起來就像 gobi guk 一樣,好的,隨便,好的。在將這個呼叫 PowerShell 腳本的木馬貼到他們的剪貼簿後,它會顯示他們必須遵循的剩餘說明,以證明他們是人類。
21 好的?好吧,他們肯定要證明自己是人類,但不是他們想要的方式,才能得到這個。彈出窗口顯示驗證步驟,按 Windows 鍵,然後顯示那個小 Windows,你知道,Windows 疼痛圖標加 R,我不會全部。
22 對於這部分。
23 我知道,再次強調,好的,但我們知道哪些人會。
24 對吧?當然。因為大多數人不知道 Windows 和控制台是什麼。
25 現在對這一切有什麼概念嗎?第二步,按 Ctrl+V;第三步,按 Enter。
26 第四步,有什麼可能?
27 所以 Windows + R 會顯示 Windows 執行對話方塊,我知道什麼?你想執行什麼?突出顯示 Ctrl+V,將這個可怕的 PowerShell 可執行命令從系統剪貼簿貼到執行欄中,以便執行欄現在包含可下載、安裝和執行電腦木馬的執行 PowerShell 腳本。
28 然後,當他們遵循暴力,應該按 Enter 按鈕時,一切都會達到高潮,正如卡德會說的,讓它發生。所以,再次強調,我們中沒有人會這樣做。
29 但再次強調,大多數人不知道這一切是什麼。所以他們只是按照步驟行事,因為他們想看影片,你知道,他們想要誘餌。所以,哇。
30 幸運的是,Windows 鍵 + R 在命令提示符中什麼都不做。
31 所以我很安全。你很安全。你們這些少數人。
32 少數人正在增長,因為像這樣的事情,我確信。但好的。
33 哇。啊,是的,所以總之,我不知道該怎麼告訴我們的聽眾。我知道我們的聽眾中沒有人會上當,但我知道他們知道。
34 那些人。
35 你知道,這已經夠糟糕了,被迫點擊東西。當它可能是一個惡意窗口時,你被迫在瀏覽器中點擊東西。我們的瀏覽器旨在盡量減少損害,但 JavaScript 可以將東西放在我們的剪貼簿中。
36 然後這些說明,基本上他們,謝謝你。這是我們現在希望你做的事情。它涉及讓這個東西運行,這些鍵盤輸入會做到。
37 哇,好的,嗯。我上週說我想宣布我正在做的下一件事,下一件大事。我最近完成了 GRC 郵件系統的工作。實際上,正如我所說,我現在對此有了一些想法,因為事實證明,Outlook 正在執行連結追蹤,以保護人們免受惡意連結的影響,並在過程中取消訂閱人們的郵件清單。所以我會在隔天修復它,然後繼續下一步。
38 哦,哦,我上週忘了提到,這些郵件系統中的一些系統最初缺少的功能是讓使用者能夠隨時輕鬆更新和遷移他們的電子郵件地址。我最初的想法是,由於電子郵件帳戶除了零、一或兩個訂閱外沒有其他東西,任何人都可以簡單地刪除舊帳戶,然後使用新的電子郵件創建另一個帳戶,所以不需要明確刪除現有帳戶。但在看到從 20 年前購買 SpinRite 的所有者的垃圾郵件投訴率很高時,我將 SpinRite 購買資料遷移到郵件系統中,這讓我能夠發送電子郵件,電子郵件以「2005 年」開頭。
39 有人名叫 Josh Mou,在這個電子郵件地址購買了 SpinRite,正如我當時想像的那樣,這對垃圾郵件投訴率產生了深遠的影響,突然間,我心想,哦,是的,我記得那件事。總之,現在郵件系統能夠處理更新。郵件系統知道 SpinRite 所有者。因此,帳戶中包含更多實際資料,我希望保留這些資料。
40 所以我將一個簡單的真實欄添加到詳細資料管理頁面,我們的聽眾下次訪問時會看到。例如,重新訂閱他們錯誤取消訂閱的 Security Now 播客。所以我希望讓大家知道,自上次訪問電子郵件管理頁面以來,已新增編輯功能。
41 完成後,我無法解決 SpinRite 6.1 文件提供中最後一個未解決的問題,即製作 SpinRite 實際操作的影片教學。由於啟動 DOS 並使用文字使用者介面越來越陌生,我想讓考慮購買 SpinRite 的人快速清楚地了解其運作方式。所以現在有了。
42 我在我的 YouTube 頻道上發布了它。我在 GRC 上發布了它。所以很難找不到它。如果有人有興趣,那就請看。
43 這讓我想到上週的公告,正如我多次提到的,GRC 的 DNS 基準測試是迄今為止最受歡迎的軟體,下載量高達 930 萬次。
44 我猜是星期天,下載量已達 9,313,642 次,每天約有 1600 次下載。基準測試頁面有一個頁面,用於收集意見回饋,我一直在收到有關新功能的請求。嗯,大多數人想知道使用加密和隱私保護 DNS(使用加密的 DOH 或 DNScrypt)的速度與使用普通純文字 DNS 的速度相比如何。
45 它比較慢嗎?比較快嗎?什麼?儘管 IPv6 的進展緩慢,正如我們上週討論的那樣,許多人要求我在基準測試中新增 IPv6 支援。實際上,我覺得這有意義,因為當 IPv6 可用時,我們的系統會優先使用它。所以你可能正在使用 IPv6 DNS 伺服器,而基準測試不會對其進行基準測試。
46 其他很棒的想法是讓基準測試驗證正在針對服務(例如 NextDNS 等)執行的網域過濾,並避免 DNS 服務不允許他們存取他們想要存取的網站的本地網域名稱中斷。因此,基準測試可用於協助他們找到允許他們存取這些網站的本地伺服器。總之,我更普遍聽到的另一件事是,人們希望有辦法支援我繼續在 GRC 上的工作,例如新聞群組、論壇防護罩、DNS 可能性測試、我編寫的所有免費軟體等等。
47 所以我決定,在我為您開發超越記憶的超快速、超安全資料刪除工具之前,這將在 Windows 的 SpinRite 7 開發之前,將會重新檢視 DNS 基準測試,並提供 2.0 版本更新。仍然會像現在一樣提供免費版本。
48 但我希望它能夠自我支援,如果可以的話。我想我應該可以,根據其觀察到的普及程度。所以我計劃以 9.95 美元加版和 19.95 美元的專業版(針對真正的 DNS 專家)提供所有這些新功能,這將執行更多後台服務記錄、大量長期圖表以及其他一些功能。所以它可用嗎?好吧。
49 這就是我的希望。
50 因為這是現有產品的更新,所以這不會很久,儘管我非常厭惡訂閱軟體模式,但世界其他地區似乎正在朝這個方向發展。我與基準測試購買者的協議是,他們只付一次費用,他們擁有它及其未來的更新,永遠不會有額外費用。
51 如果成功,它將建立一個收入來源,可以隨著時間推移證明其持續改進和持續開發,隨著新的 DNS 相關技術的出現。總之,我會對免費版本進行重大更新。然後,對於想要更多功能的人來說,價格不到 10 美元,9.95 美元,您可以永久擁有它及其所有未來的更新。這就是我的想法。
52 9.95 美元,然後是下一個,因為我知道每個人都看過,這將會很好,我可以獲得專業版,但我想要超級專業版,20 美元,是的,20 美元。
53 實際上,我從 John To Iraq 那裡得到了這個想法,我們談話,我,是的,他寫信給我。我們最終進行了幾個小時的對話,因為他想知道我使用的是什麼郵件系統,因為他正在離開 Monkey Mail,無論那東西叫什麼。總之,他提出的重點是,你知道,不要限制人們可以付給你多少錢,因為他們可能想付更多。
54 他用這句話說得很好,我的爸爸,好。
55 好的。所以讓我們休息一下,然後我們將討論 AI 在安全漏洞發現中的應用。我有一些關於第 999 集的資訊,可以引導我們討論,好的,好的東西。
56 好消息是第 999 集。
57 不是最後一集,當然不是。
58 下週第 1 集。或者你會做黑客嗎?我不知道他會做什麼。那會是什麼?我甚至不知道今天的節目給你們帶來了多少。
59 我知道他們自 1985 年以來一直是信任資料品質專家,比我們做這個節目還要久,這一點可以肯定。在 Stripe 應用程式市集出現惡意程式碼。這真的很酷。
60 Stripe 客戶現在可以使用大型全球企業每天使用的相同資料品質服務。主要功能。這只是許多 Melissa 集成中的其中一個。
61 但讓我們談談 Stripe 集成。主要功能包括地址驗證。應用程式在客戶和發票層級驗證全球地址。這都在 Stripe 內部完成。在不離開 Stripe 的情況下,自動完成功能減少了所需的鍵盤輸入,當然,可以消除錯誤的輸入,只使用有效的地址,結束資料庫,使用您的友好資料庫,當然,使用者可以輕鬆地使用應用程式,只需幾步即可支援客戶帳戶和發票層級驗證。
62 應用程式提供順暢的密鑰和訂閱管理,促進從免費服務到付費服務的轉換,當然,是 Melissa,因此您可以獲得全面的支援和品質保證。使用者可以直接存取惡意程式碼專家,確保高品質服務和支援。這真是太棒了,提高營運效率,提升客戶滿意度,並維持整體財務健康。
63 這些應該是任何有遠見的企業的策略。如果您是一家依賴 Stripe 的企業,您知道,例外情況,現在您擁有 Melissa 惡意程式碼專家提供的不斷擴展的工具集,這真是太棒了。Melissa 服務,順便說一下,非常了解合規性。
64 這很重要,對吧?您希望確保您的資料在 Melissa 處安全。您會獲得所有檔案傳輸的安全加密,以及建立在 iOS 27.1 框架上的資訊安全生態系統,並符合 GDPR 政策,投訴率為零。
65 當然,他們做對了。今天立即開始,免費清理 1000 筆記錄,請訪問 malicious.com/twit。我們很喜歡 Melissa,我們很長一段時間以來一直很喜歡她。
66 我們很高興看到他們在 2025 年也加入了行列。數百萬人,請訪問 malicious.com/twit。感謝 Melissa 支援 Security Now。感謝 Security Now 的聽眾和觀眾,因為你們透過訪問這個地址來支援我們。所以他們知道這裡有一個清單,請訪問 malicious.com/twit,好的,史蒂夫,在這次 Security Now 播客的第 999 集中,在我們討論其他事情之前,我想花一點時間。Google 最近宣布,他們使用 AI 發現了廣泛使用的軟體中的重要漏洞。
67 為了更廣泛地了解 AI,我相信我們的聽眾已經正確地判斷出我屬於那些對 AI 持整體樂觀態度的人。我所看到和親身經歷的所有證據都告訴我,我們確實即將迎來一場真正具有變革意義的事情。我很高興我仍然活著,可以親眼目睹這一切發生。認真說。不。
68 我的父母,感覺很像科幻小說。
69 它正在發生。不。我的父母和許多親密的朋友,他們對此感到著迷,現在已經不在人世,無法親眼目睹這一切發生。
70 這很遺憾,我想,因為我相信這將會是如此重要。我相信 AI 將會改變整個世界,就像大多數嬰兒潮一代的人一樣。在我的有生之年,我目睹了真空管讓位給晶體管,晶體管讓位給許多代的積體電路。
数字存储介质从发布到磁芯,再到疯狂密集的电磁和静电存储。计算机从本质上是比当时人们的房子还要昂贵的自动化计算器,演变为我们现在毫不犹豫地丢弃的强大设备。互联网的出现发生在婴儿潮一代后半生的时间里。
我们很荣幸地见证了这个令人难以置信的全球网络将我们现在随身携带的计算机连接起来。我们真的正在经历我们生命初期是科幻小说的东西。现在,我们这些仍然活着的人将有机会见证人工智能的出现。
考虑到我在这个星球上近七十年的观察,以及我迄今为止所看到的IT,我相信人工智能对我们生活的影响注定会比任何先前的技术更大,比之前的一切都更有意义。很长一段时间以来,似乎最有影响力的技术是那些促进沟通的技术,印刷机改变了世界,接着是电报,接着是无线电和电话,它们同样具有变革意义。互联网再次改变一切的原因在于,它也是关于沟通的。
可以认为汽车运输也是一种沟通形式。沟通如此普遍地具有变革意义,因为它,因为它一直致力于连接人们的想法和意图。相比之下,我相信人工智能将超越沟通的变革力量,因为它就是人们的想法和意图。
人工智能是人类的货币。当然,愤世嫉俗者和怀疑论者很容易找到缺点。在任何新事物开始时,人们总是会对未来做出重大声明时,总能找到缺点。
这只是旅程的开始,而不是结束。个人电脑最初是笑话,第一批逻辑笔记本电脑也是如此,但没有人笑了。
现在,回到比特币和加密货币的发明之初,有很多怀疑论者。但我真希望我没有在我的五十个比特币上安装Windows。我的意思是,今天的人工智能与明天的人工智能不同。
它永远不会是。我相信我们只是见证了比之前任何发明都更有意义的东西的开始,因为人工智能,正如我所说,有可能成为人类的货币,而以前从未有过类似的东西。我很高兴我们都能一起见证这一切。
好的。那么人工智能和谷歌发生了什么?谷歌在其Project Zero博客中发表了一篇很长的文章,但Hacker News整理了一个很好的摘要。我想分享的就是这个。他们写道:
谷歌表示,它使用其大型语言模型辅助框架(名为Big Sleep,正式名称为Project Nap Time)发现了一个零日漏洞,该漏洞存在于开源数据库引擎Equalight中。这家科技巨头在博客文章中表示,这是“使用人工智能代理发现的第一个真实世界漏洞”。我们相信,这是人工智能代理首次公开发现广泛使用的真实世界软件中之前未知的可利用内存安全问题。Hacker News说。
问题中的漏洞是Sequel Light中的堆缓冲区溢出,当软件引用内存位置在内存缓冲区开始之前时就会发生,从而导致崩溃或任意代码执行。这通常发生在指针或其索引对缓冲区之前的某个位置有害时,当指针算术导致位置在有效内存位置的开头之前时,或者当使用负索引在负责披露之后时。该缺陷已于2024年10月初得到解决。
值得注意的是,该缺陷是在库的开发分支中发现的,这意味着它在进入防病毒版本之前就被标记出来了。我还想指出,这表明它是一个新引入的错误,这个东西立即发现了它,他们说。Project Nap Time于2024年6月首次由谷歌作为改进自动化漏洞发现方法的技术框架进行详细说明。
它已发展成为Big Sleep,这是谷歌Project Zero和谷歌DeepMind之间更广泛合作的一部分,与Big Sleep合作。其想法是利用人工智能代理,模拟人类行为,在识别和演示安全漏洞时利用大型语言模型、代码理解和推理能力。这包括使用一组专用工具,让代理能够浏览目标代码库,在沙箱环境中运行Python脚本以生成模糊测试输入,调试程序并观察结果。
谷歌表示:“我们认为这项工作具有巨大的防御潜力。在软件发布之前发现漏洞意味着攻击者无法完成攻击。在攻击者有机会利用它们之前,漏洞就已经得到修复。”Hacker News总结道。
然而,该公司还强调,这些仍然是实验结果,并补充说:“Big Sleep团队的立场是,目前,针对特定目标的模糊测试至少同样有效地发现漏洞。”好的。那么,这可能只是人工智能首次用于此。我自己的直觉告诉我,人工智能驱动的代码验证和漏洞检测将对我来说非常重要。
感觉就像人工智能可能是我们似乎永无止境且显然难以解决的对抗不断引入新漏洞以及发现和利用旧漏洞的斗争中最终的救星。微软一定正在努力研究如何以这种方式使用人工智能。想象一下,有一天,星期二补丁是,对不起,这里没有需要修复的内容。没有发现、报告或已知正在被利用的新漏洞。
现在你只是在幻想。
这将是某种东西,是的,是的。对我来说,如果我们不做类似的事情,我们永远无法实现。是的,使用人工智能,这似乎并不遥远,你知道,今天的基于大型语言模型的训练方式可能并不适合这种情况。
这就是我的感觉。我认为这不是攻击这个问题的方法,但我离人工智能还差得很远,无法知道。当然,我知道有些人会说,这并不能解决所有问题,因为总有人会打开危险的服务端口连接到互联网,或者按照看起来可信的捕获中的说明去做,只是高兴地屈服。
你甚至,即使当。美国警告他们不要这样做。所以,你知道,我不担心人工智能会在短期内让这个播客停播。
和往常一样,总有一些用户,用户总是会做一些愚蠢的事情。但我认为科尔纳尔说过类似的话,对吧?他以引用这句话而闻名。
但是代码,代码是纯粹的,这就是我喜欢你的原因。所以它只是来自数学,并且完全是确定性的。所以对我来说,代码验证似乎是人工智能的自然栖息地。
上帝知道,我们需要它。如果我年轻一些,那可能是我关注的方向。我是认真的。
我们经常收到刚开始接触并寻求一些指导的听众。所以,对我来说,人工智能在代码行为验证和软件漏洞发现领域可能具有巨大的影响力。如今,从云提供商那里借用大型计算资源不仅是可能的,而且是实用的。
如果创建了这样的技术,感觉就像任何大型科技巨头都会在眨眼间抢购它。所以,如果你年轻,充满未来,正在寻找一些事情来投入,我不知道你会怎么做。但我保证,十年内,我仍然会在这里见证这一切,我保证这会改变。
人工智能,我认为它将解决我们最终的加密问题,正如我上周所说,因为它将让政府感到温暖和舒适,你知道,虐待儿童不再能够绕过人工智能在本地监控他们的设备。我认为人工智能将解决我们无休止的软件漏洞问题,这是一个大问题。但你知道吗,有趣的是?
嘿,如果我能做到这一点,可能还有很多其他事情我也会做。
我认为它将彻底改变医学,莱奥。它将彻底改变药物发现,我的意思是,它将改变世界。
顺便说一句,我喜欢你如何开始,我认为这正是我们所见证的。我们一生中经历了许多变化,希望有一个最后的重大变化。这可能是那个重大变化。
这可能是改变人类并将其带入完全不同领域的东西。我同意你的看法。所以我对此感到兴奋。
史蒂夫在grc.com上发布。他有一个新产品即将推出。时间框架。
你不喜欢那样做。我估计可能几个月。我希望几个月。
让我预订其中一个20美元的。订阅,谢谢。描述。我会第一个排队。
我可以看到,我迫不及待地想看看加密DNS与Earn的比较。我不知道,是的。
你会玩得开心,或者我pv6或打开什么,下一个DNS正在做类似的事情。这将非常。
有用,是的,因为扭曲,所以995加,它拥有所有功能,除了探测器可以作为服务运行,因为它全部用汇编语言编写,大约几百k。它不是你机器上这些荒谬的数百张图像,但能够查看长期DNS服务器性能的图表和图表可能非常酷。
这可能非常有趣。这就是我们所希望的。
我忘了,还构建了可能性测试。所以你可以在grc上检查服务器的可靠性,而无需对它进行一般性检查。所以,有很多东西。是的。
我几乎一直在后台运行网络分析程序,以保持我们的带宽南来北往。我认为这在后台运行同样有用。我非常期待。
J先生,他又做到了。999。现在,这是最后一次机会,这可能是最后一次播客,这取决于你。
计数器。我们记得年轻时,人们拥有的数字时钟是转盘,是的,我会坐在那里等待你到达,你知道,回报。9点59分是什么?对吧?因为你会看到所有三个同时运行,或者。
在你的汽车里,当里程表达到十万英里时,9999到10万。那很令人兴奋。但这更令人兴奋。女士们先生们,我们从999切换到1000。史蒂夫,我需要你想象一下自己坐在出口排,你可以从窗户跳出去,或者你可以继续飞行。你想继续飞行吗?
是的。
对吧?是的。期待下周。第1000集。相同的时间,相同的地方。
我们每周二在麦卡弗特休息后,尝试将其定为下午1点30分,但最晚不迟于太平洋时间下午2点,也就是东部时间下午5点,UTC时间2200。直播八个平台。当然,我们的俱乐部成员可以获得Discord,这真是太好了。
但是我们的YouTube,现在,我得小心我的手指,因为星期天我按错了手指。YouTube、Twitch、Facebook、linkin.com、TikTok和Kick,这些都是你可以观看直播的地方。但你不需要实时观看。
你可以在网站上观看事后的内容,Twitter、TV Flash、SN,你可以,我们有音频和视频。史蒂夫有几种独特的节目版本,当然,grc.com上有音频,但他也有16kbps版本,文件大小较小。你放弃了一些质量,但下载速度很快。
他还提供由人工转录的文字稿。所以不是眼花缭乱的。它们是真正、真实的文字稿,捕捉到了节目的风格,当然还有他的节目笔记,这些笔记真的非常棒。
他比任何其他播客都做得更好,所有这些都在grc.com上。你必须记住,史蒂夫赚钱的一种方式是SpinRite,这是世界上最好的大容量存储性能维护和恢复实用程序。如果你有存储设备,你需要SpinRite。去grc.com看看。
当前版本是6.1。有很多免费的东西。史蒂夫会提供很多很棒的、有价值的信息,甚至软件。
例如,一个有效的驱动器,带有芯片。你测试USB密钥,你从亚马逊购买,以确保它确实能够自己保存所有数据。这将是与Percival任务一起完成的。
我们有一个Twitter、一个电视节目和一个专门用于发布的YouTube频道。分享剪辑的好方法。这是一个节目。
我知道很多人听他们,然后点击那个二维码。我知道我爸爸会。从YouTube频道给他发送那个剪辑。
所以,因为每个人都可以观看YouTube视频,这会带你回家,好吧,类似的事情。当然,订阅的最佳方式是使用你的播客播放器,音频或视频,你将自动获得许可证。这样,你就可以拥有所有999集的完整收藏。
安全现在,史蒂夫,祝你本周一切顺利。不要太激动,我知道,我们会继续进行。
吃块软糖。我在等。如果我需要人工智能,我可能得去买点。谢谢。再见。
下一次再见。下一次再见,第1000集。所以现在真的。