SN 999: AI Vulnerability Discovery - RT's AI TV Hosts, Windows 10 Updates
Security Now (Video)
Deep Dive
- Google faces a record-breaking fine from Russia.
- RT's editor-in-chief admits TV hosts are AI-generated.
- Windows 10 security updates are set to end next October.
- AI being used for vulnerability discovery.
Shownotes Transcript
现在是安全时刻。史蒂夫·吉布森在这里,有很多要谈论的事情。谷歌受到了俄罗斯创纪录的罚款。我不认为他们打算支付罚款。火狐132版本和一些不错的全新功能,一个涉及Windows的非常糟糕的漏洞,以及那些RDP文件。然后史蒂夫将谈论他新的产品计划,这是他首次在这里宣布的付费产品。接下来是安全现在。
你喜欢的播客,来自你信任的人。
这是安静的。安全现在是史蒂夫·吉布森的第九百九十九期节目,于2024年11月5日录制,主题是AI漏洞发现。现在是安全时刻,选举日版,由史蒂夫·吉布森主持,我们涵盖所有这些……哦,我拿错了专辑标记。
我会修正的,史蒂夫。看看所有最新的安全新闻、隐私新闻和AI新闻。看看贴纸。
是的,我知道我也有卡车,你知道,投票者经常投票。
但我只有一个贴纸。但是,我不得不说,参与我们的民主过程确实令人满意,我一直很享受,这次也不例外,即使我通过邮件投票,我没有……我没有进去,只是为了满足把票投进信箱的感受。
而且,我很感激加州让它变得如此容易。无论你是否要求,你都会收到邮件投票。非常感谢。而且你知道,你可以在投票日之前三到四周完成,把票投进箱子里,希望它不会着火,然后你就完成了。
大家,现在是安全时刻,非常好。我已经修正了专辑,这意味着现在轮到你们告诉我们节目中有什么了,好吗?
所以,嗯,在我忘记之前,我收到了一些人的电子邮件,他们说:“嘿,你提到你前天发布了播客公告,我那天晚上给12540人发了邮件,我相信……或者是在上周下午发给他们的,但人们写信说他们没有收到,我之前收到过,但这次没有收到。”
事情是这样的,我找到了原因。一些人的电子邮件服务试图阻止恶意链接。我们的链接会出现在他们的电子邮件中,就像电子邮件中的链接一样。不幸的是,我的单次点击取消订阅功能确实有效,你点击链接后,没有任何确认,没有任何文字。
所以,显然……
使用Outlook的某些人,Outlook会通过获取电子邮件中的链接或在获取即时取消订阅时保护他们。就是这样。他们不会再收到我的邮件了。所以,所有听到这期节目的听众,如果你们没有收到昨天的邮件,或者上周的邮件,或者昨天的晚间邮件,我很抱歉,你们无意中被过度保护的电子邮件系统取消了订阅。
嗯,所以,请重新订阅,我相信下周这个时候这个问题就会得到解决,我将带你们到一个页面,询问:“你确定要订阅吗?”然后你点击“是”,现在我明白了为什么其他人会这样做。你知道,我以前没有这样做,那不好。就是这样。
事实证明,你需要说:“你确定吗?”因为Outlook会说:“哦,太好了!他正在询问他们是否真的确定。”所以我们现在在哪里?我们不会……不会发送邮件或任何东西。
所以,只有我这样做了。我觉得Gmail有一些……
几个月来一直在写。嗯,Gmail让它变得非常容易。所以,标准是单次点击取消订阅出现在标题中。
我还把它们放在邮件正文中,所以Outlook正在寻找用户可能会点击并陷入麻烦的事情。或者,今天我有一个非常棒的消息要告诉你们。但是,在标题中,谷歌会说,如果你标记某事为垃圾邮件,你会得到一个对话框。
这是,哦,你想取消订阅吗?或者,如果你只是删除它们呢?你是否可以从Gmail中获得取消订阅此列表的选项?是的,它知道这是一个列表的原因是,在用户看不到的标题中,有一个取消订阅链接,你的电子邮件提供商可以使用它。
事实上,当我这样做时,这非常方便。发送邮件给那些非常旧的电子邮件地址,许多收件人服务器会看到。所有这些帐户都已不存在十年了,因此服务器本身会取消他们的订阅。
所以,它非常适合,你知道,就像自动清理电子邮件列表一样。无论如何,我们现在在安全时刻。第九百九十九期节目。正如你提到的,莱奥和我应该告诉我们的听众,上周我注意到我还没有更新GRC的网站以处理数字播客。我已经完成了。是的,我们准备好了,我不得不这样做,因为这次……这就是我到处跑的原因,而且我甚至没有意识到我……
有人说:“你知道,我认为我上次的节目应该以选举为主题。”
哇,你选的?好的,嗯,我们将讨论一个有趣的话题,即AI用于漏洞发现,我认为这将是一件大事,我不想抢先说我的故事。
所以,我将就此保持沉默,直到我们讨论到那里。我们将讨论谷歌受到俄罗斯的创纪录罚款,并想知道这个数字有多少个零,还有俄罗斯的电视节目。RT的主编承认他们的电视主持人是AI生成的。是的,可能是因为他们事后说所有实际主持人都是……Windows 10安全更新将于明年10月结束……还是不会?
当一个好的Chrome扩展程序变坏时,我们将看看实际发生的事件。Windows,事实证明,将启动RDP会话,远程桌面协议会话,使用.RDP启动文件,这也可以配置你的RDP客户端以获得完全零安全。我们想知道,这样做会有什么问题?实际上,火狐132版本刚刚添加了一些新功能。
中国安全摄像头已被移除。嗯,英国有超过一半的摄像头被移除。我们将检查一下。啊,我知道我们的听众不会上当受骗,我们会看看这个社会工程攻击,但我敢打赌很多人也会……我将宣布GRC的下一个商业软件产品,或者至少是某个商业软件产品,谈谈它。
然后,我们将看看AI用于分析代码以消除安全漏洞的前景,就像我最近建议的那样,在本地智能手机上运行的AI可能是允许我们保留端到端加密的解决方案,防止发送和接收不良内容。我敢打赌,AI可能是解决安全问题的方案。莱奥,我们有本周的图片吗?漂亮,我喜欢。
一切都在前头。安全现在第九百九十九期已经开始了,如果你们刚刚加入我们,这是史蒂夫改变主意的一年来的最后一个安全现在节目。
人们一直在阅读,我一直在计划,但你知道,我还没准备好。
祝贺。太好了。今天的节目由我们的赞助商带来,由DeleteMe赞助。
如果你听过这个节目,你就会知道数据经纪人变得多么有问题。国家公共数据库遭到入侵,数百万人的社会安全号码、电子邮件和家庭地址基本上都泄露给了坏人。我认为这就是我们看到大量性虐待电子邮件的原因之一。请在邮件中写下你的姓名、地址和电话号码。
我认为它来自国家公共数据库的泄露。你知道谁没有收到这些邮件吗?丽莎。你知道为什么她使用DeleteMe作为我们的赞助商吗?如果你曾经在网上搜索过你的姓名,你不会感到平静。很多个人信息都是可用的。
你可能想考虑对此做些什么,维护隐私不仅仅是个人问题,也是家庭问题。这就是为什么DeleteMe有家庭计划,这样你就可以确保家人在网上安全。DeleteMe如何运作?它降低了身份盗窃、网络安全威胁、骚扰等风险,它的工作方式是将你的个人信息从这些数据经纪人、这些收集所有这些信息的网站中删除,就像国家公共数据库一样。丽莎没有收到那些邮件,而我收到了,因为她的信息不在国家公共数据库中。
你知道,这并不是我们开始使用它的原因。我们开始使用它是因为钓鱼扫描、定向钓鱼诈骗,坏人正在利用这些手段来针对目标。直接报告是,她是Twit的首席执行官,以及所有员工,我们收到了短信说:“这是丽莎,紧急情况,你知道,我正在开会,但我现在需要一些亚马逊礼品卡,请立即订购并寄到这个地址。”
幸运的是,我们的员工比这聪明,但这确实让我们有点担心,他们是如何知道这些租赁号码的?因为我当时是租赁号码。他们是谁,他们为哪个公司工作,他们的报告是谁,他们的电话号码是什么。
这就是他说的。你知道我们需要什么吗?DeleteMe。
你对被盗信息、黑客攻击、身份盗窃和垃圾邮件有何看法?我的意思是,这简直是噩梦,我们很高兴他为丽莎工作。我对自己的情况不太满意。
也许我需要注册DeleteMe。专家们会出去,最终从数百个数据经纪人那里删除你的信息。他们专门为此而设计。他们知道所有数据经纪人。这是一项非常艰巨的任务,因为每天都有新的数据经纪人出现,但他们确保删除所有这些信息。
如果你想为你的家人使用它,你可以为每个家庭成员创建独特的资料表,根据他们的需求量身定制,并提供易于使用的控制功能,以便管理整个家庭的隐私设置。有些人说:“不,不,我不想在这个网站上,我想要在这个网站上,但不是那个网站。”
这是我认为最重要的事情。我们选择DeleteMe的原因是,他们不仅仅是第一次删除你的信息。
他们会定期扫描并删除你的信息,因为这些数据经纪人一直在出现。他们会不断更新数据库。我指的是地址、照片、电子邮件、亲属、电话号码、社交媒体信息、房产价值等等。
如果你想保护自己并收回你的隐私,那就和我们一样做。访问joindeleteme.com,优惠代码是TWIT。
你会得到20%的折扣。访问joindeleteme.com,使用优惠代码TWIT,享受20%的折扣。我们非常感谢DeleteMe对节目的支持,感谢你们使用这个地址支持节目。
访问joindeleteme.com/twit。史蒂夫,你准备好了吗?我已经准备好,如果可以的话,我已经做好准备,迎接本周的图片。
稍等。
看起来像……
从电影中走出来。希区柯克式,哇。所以,当他们说“扶手不是可选的”时,我给出了这个。我真的很想知道你是否可以在没有扶手的情况下走下这些楼梯。
你的眼睛……我的意思是,它们是……
楼梯不是完全正常的。有人在这些楼梯上铺上了最糟糕的、可测量的、与地板方向不一致的地毯图案。它到处都是……
它很可怕,但它们都是儿童擦拭器,这是技术术语吗?是的。哦,我的意思是,你必须非常专注才能……哇,才能走下这些楼梯。
所以,我拥有这个一段时间了,我认为这很棒,因为你看到它走下去的通道与图案相同。是的,这没问题。但是,当他转过身,转90度,走上楼梯时……这看起来……
就像一艘船。我不想让它变得更糟,但我想象你正在摇晃……
在上面……是的,哇。好的,好的。好的。所以,很遗憾,我们最喜欢的俄罗斯互联网监管机构ROM(不是对谷歌YouTube管理处处罚的俄罗斯实体)没有出现。
所以,在这次报道中,说这个名字会很有趣,但我们只说了一次。但无论如何,这个消息太有趣和奇怪了,不能错过。看来,根据俄罗斯的计算,谷歌目前欠一些大型俄罗斯媒体机构相当可观的罚款。
我们注意到上周,美国证券交易委员会对四家美国上市公司处以数百万美元的罚款……
这些罚款对这些公司的行为改变不太可能产生影响,因为罚款金额对他们来说并不大。但这里的情况与谷歌和这些俄罗斯媒体公司不同,恰恰相反。事实上,这是故事。
正如《莫斯科时报》最近报道的那样,标题是“俄罗斯对谷歌处以250万美元的罚款,原因是YouTube禁令”,他们写道……
RBC新闻网站周二报道称,谷歌在俄罗斯积累了约2.5万亿卢布的罚款,相当于250万美元的罚款,原因是多年来拒绝恢复编程和国家媒体机构的账户。你知道,就像谷歌说“不,我们不让你在YouTube上播放”一样。
RBC援引一位熟悉法院判决的匿名消息人士。据RBC消息来源称,谷歌在2020年开始累积每天10万卢布的罚款,原因是亲政府媒体机构“斯雷德”和“RFN”等媒体机构对该公司提起诉讼,指控其封锁了他们的YouTube频道。
这些每日罚款每周翻倍。我们知道,当我们年轻时,我们了解复利的力量,对吧?所以这些罚款每周都在翻倍,导致目前的总罚款约为2.5万亿卢布。现在,他们解释说,2.5万亿卢布是一个后面跟着36个零的数字,或者说1万亿卢布。
谷歌(其母公司Alphabet在2023年报告营收超过3700亿美元)不太可能支付如此高的罚款,因为罚款金额远远超过地球上所有钱的总和。据RBC消息来源称,共有17家俄罗斯电视台向谷歌提起诉讼。其中包括国家电视台“第一频道”,军事附属电视台“Zven”,以及代表RT和首席营销官西蒙尼安的媒体公司。
YouTube(由谷歌运营)封锁了几家俄罗斯国家媒体机构,原因是他们支持对乌克兰的全面入侵。莫斯科当局以这些罚款作为回应,但没有封锁YouTube。周四,克里姆林宫称对谷歌的处罚是象征性的。
据称,克里姆林宫发言人佩斯科夫在每日简报会上表示,这被认为是令人尴尬的,但好吧……
事实上,它也充满了零。事实上,谷歌管理层应该对此予以关注并解决这个问题。无论如何,谷歌管理层并不在乎。
最后,他们说,鉴于谷歌的俄罗斯子公司在2022年夏天申请破产,并在去年秋天正式宣告破产,以及谷歌此前为了遵守俄罗斯对乌克兰战争的制裁而暂停在俄罗斯的广告活动,这似乎不太可能发生。所以,是的,嗯,我找到了它们。你想每周翻倍。
你最终会用完零。正如我在节目开头提到的,这位主编西蒙尼安的名字被列为向谷歌提起诉讼的17家公司之一。我提到过,他最近承认俄罗斯许多电视节目主持人并不存在,并且完全由AI生成,以及他们的虚假社交媒体账户,因为我想,你知道,你想与他们互动,让他们参与进来。
他们需要社交媒体账户才能让你与他们的虚假AI主持人互动。无论如何,他预测新闻业将在不久的将来消失,你知道,在俄罗斯已经消失了。所以,也许他认为这会蔓延。
嗯,她可能对,我们拭目以待……最近在零补丁博客上发布的内容(这对所有听众来说很重要),与第一篇只是垃圾食品不同,最近在零补丁博客上发布的内容,关于明年Windows 10安全更新结束,包含了一些有趣的消息。其中包括微软计划向那些希望继续使用Windows 10的用户收取费用,直到明年10月……或者他们可能别无选择,因为我们知道微软对迁移到Windows 11的最低系统要求政策是任意的。
所以,零补丁的同事们最近写道……博客文章的标题是“Windows 10万岁,零补丁”,副标题是“Windows 10支持即将结束。别担心,零补丁将让你安全多年。”
所以他们写了十月二十五日,十月二十五日对许多Windows用户来说将是一个糟糕的月份。这就是Windows 10将收到微软的最后一个免费安全更新。
他们说的唯一(用引号括起来)保持Windows安全使用的免费方法是升级到Windows 11。我们许多人不想或根本无法升级到Windows 11。他们写道。
我们不想,因为我们习惯了Windows 10的用户界面,我们不想寻找某个已移动的按钮,以及我们每天使用的应用程序为什么不再存在。虽然我们拥有的系统已经做到了我们需要的每一件事,但我们不想升级,因为这(根据播客中的说法)会增加认证中的发布,包括吹风机,开始菜单广告以及严重的隐私问题。我们不想让自动集成的屏幕截图和按键记录功能持续记录我们电脑上的活动。
我们可能有一些应用程序无法在Windows 11上运行。我们可能有一些医疗设备、制造设备、销售点终端、专用设备和在Windows 10上运行且无法轻松升级的ATM。最后,我们的硬件可能不符合升级到Windows 11的条件。
Um Canalis估计全球有2.4亿台电脑与Windows 11的硬件要求不兼容,缺少受信任的平台模块。你知道TPM版本2支持的CPU、4GB内存、UFI固件以及具有安全启动功能的GPU或其他支持的GPU。那么2025年10月会发生什么?没有什么特别的事情。他们说Windows 10电脑将收到最后一次免费更新,并且如果没有其他活动,将开始缓慢地衰退,变得越来越容易受到攻击,因为会发现、发布和利用新的漏洞,这些漏洞将永久存在于这些电脑上,受到攻击的风险会随着时间的推移而逐渐增加,保持不受伤害所需的运气也会相应增加。他们说,这种情况在2020年1月也发生在Windows 7上。
今天,一台在2020年最后更新且没有额外安全补丁的Windows 7机器很容易被攻破,因为自Windows 7发布以来,已经发现了超过770个已知的关键漏洞,影响了Windows 7。在2025年10月25日之后,如果一台Windows 10电脑未打补丁,很可能会在第一个月内遇到第一个关键漏洞,并在接下来的几个月内遇到更多漏洞。如果你打算这样做,至少确保让电脑难以访问,并为其他人物理隔离网络。保持Windows 10安全运行有两种选择。
第一个选项是微软提供的扩展安全更新。他们写道,如果你符合条件,微软很乐意向你出售扩展安全更新,这意味着Windows 10将获得一年或两年甚至三年的安全修复,就像他们以前对Windows 7、Server 2008和Server 2012所做的那样。扩展安全更新仅对消费者提供一年,直到2026年10月25日。教育机构的价格为30美元,而商业机构则需要花费大量资金,第一年的费用为61美元,第二年为122美元(即两倍),第三年为244美元(再次翻倍),总共三年安全更新的费用为427美元,这是针对企业用户的。换句话说,为了在此插入片刻,让微软修复其在设计和操作自身Windows软件方面先前犯下的错误,企业用户的成本每年都会翻倍,但最终用户似乎可能不需要支付。
(此处缺少内容)
足够了,你推迟了Windows 10,所以他们继续零补丁,选择扩展安全更新将让你保持熟悉的每月更新和重启周期。如果你在企业网络中有1万台电脑,这将只花费400万美元。他们说,如果有一种方法可以少花钱多办事,或者等等,还有零补丁选项。
安全公司将采用他们的说法,Windows 10版本22H2是Windows的最终版本,并为其提供至少5年的关键安全补丁,如果市场需求,则时间更长,他们写道,我们是Windows的唯一非官方安全补丁提供商。我们以前也这样做过,在安全公司采用Windows 7和Windows Server 2008之后。在2020年1月,我们成功地维护了6个版本的Windows 10,因为它们的官方支持已结束。
安全公司采用了Windows 11 21H2来维护那些被困住的用户,确保他们安全地维护Windows Server 2012,并在2023年10月将其维护,并采用了两个流行的Office版本2010和2013,当它们被微软放弃时。我们仍在为所有这些提供安全补丁。使用零补丁,你将收到针对关键漏洞(可能被利用)的安全微补丁,这些漏洞是在2025年10月25日之后发现的。
这些补丁非常小,通常只需要几个CPU指令,因此得名,并且将在内存中运行的进程上应用,而无需修改任何原始的微软二进制文件。在下载补丁后,无需重新启动电脑,因为内存中的补丁应用是通过短暂暂停应用程序、打补丁,然后允许其恢复来完成的,用户甚至不会注意到他们的电脑在他们撰写文档时已经打过补丁。就像零补丁保护的服务器一样,无需任何停机时间即可打补丁。
同样快速和容易地,如果怀疑补丁会导致问题,可以撤销我们的微补丁。同样,无需重建或重新启动应用程序,零补丁带来的就是这些。零日补丁不会修复非微软安全补丁。你将获得针对已知漏洞的补丁,这些漏洞已在仍在支持的Windows版本上打过补丁。你还会获得零日补丁,他们解释说,这些补丁针对已知漏洞,这些漏洞可能已被利用,但微软尚未提供官方补丁。
我们过去修复了许多此类零日漏洞,例如,在微软发布狗日补丁前13天,在微软发布Microsoft Access强制身份验证前63天,在微软发布事件日志漏洞前66天,平均在微软发布补丁前超过100天,零日补丁可用,在官方供应商发布相同漏洞的补丁前49天。然后是不会修复的补丁,这些补丁针对供应商出于某种原因已决定不修复的漏洞。
目前,大多数这些补丁都属于NTLM(你知道NT身份验证)类别。与其他协议相比,NT身份验证协议更容易被滥用,微软已决定任何与NTLM相关的安全问题都应由组织放弃使用NTLM来解决。因此,微软不会修补此类漏洞,但许多Windows网络出于各种原因无法放弃NTLM,而我们的零日补丁旨在防止此类攻击。
我们的不会修复的补丁适用于以下已知的NTLM漏洞:身份验证漏洞、DFS漏洞、打印机错误、斜线池样本和Petite Porter。最后,非微软补丁。他们写道,尽管大多数补丁是微软代码,但有时也需要修补非微软产品的漏洞,当某些易受攻击的版本被广泛使用或供应商未能及时发布补丁时。
补丁产品包括Java运行时、Adobe Reader、Foxit Reader、7-Zip、WinRAR、Windows版Zoom、Dropbox、Nitro中的应用程序和PDF。你可能正在阅读这篇文章,因为你对保持Windows 10安全感兴趣。你应该知道,这些补丁也适用于支持的Windows版本,例如Windows 11和Windows Server 2022,并且我们会在需要时继续提供它们。
目前,大约40%的客户在支持的Windows版本上使用零补丁作为额外的防御层,或用于防止微软没有补丁的已知NT身份验证攻击。那么成本呢?我们的Windows 10补丁将包含在两个付费计划中:零补丁专业版,适合小型企业和个人,仅限电脑单一管理员帐户,目前价格为每台电脑24.95欧元加税,适用于早期订阅。
零补丁企业版,适合中大型组织,包括集中管理、多用户和角色、基于组的补丁策略以及基于组的补丁策略,目前价格为每台电脑34.95欧元加税,适用于常规订阅。他们写道,价格将来可能会调整。但是,如果发生这种情况,任何拥有当前价格有效订阅的用户都将能够在现有订阅的剩余两年内保持这些价格。
好的。这显然是一个销售宣传,但这是否使其不那么真实或相关?从我们多年来对零补丁的报道来看,这些人确实值得信赖,并且确实为微软提供了一个可行的替代方案,微软每年对企业用户的敲诈勒索行为都在翻倍。
在这种情况下,我不介意这个销售宣传,因为很容易认可他们正在销售的产品。微软显然做出了一个战略性的赌注,即故意放弃其用户,使其软件存在漏洞和漏洞,以此作为一种手段,恐吓他们迁移到完全受支持的操作系统,大多数用户宁愿避免。即使这意味着新操作系统中仍然会有不断涌现的新漏洞,而旧问题仍在解决中。
更不用说微软的回滚问题是Windows 11用户的问题了。考虑到继续使用一个运行良好且你喜欢的平台,微软不再不断引入新漏洞,并且该平台将继续收到针对任何新发现的关键安全漏洞的更新,这就是零补丁决定填补的利基市场。我认为,每年仅25美元(目前约合27美元),将该受喜爱平台的安全覆盖范围至少再延长5年(从2025年10月开始),这非常有意义。
最重要的是,他们基于RAM的即时代码补丁系统比微软的烦人重启和加重系统更友好,Windows 10用户一年多前仍然使用。在2025年Windows 10版本22H2之前,需要第三方或微软扩展更新的帮助。该播客将在那一刻大约是第1045集。除此之外,我们应该在当时了解更多关于召回的信息。总之,我只是想让大家知道,是的,我有一些……
问题。首先,零补丁似乎是在驱动器上打补丁。
是的,你可以在驱动器上打补丁,因为那样会破坏文件的签名,对吗?所以它们永远不会加载。
所以你一直运行一些东西,零补丁工具只需根据需要加载补丁。
是的,有一个零补丁代理,它很小,并且运行。我们过去谈论过,补丁实际上只有23个字节。我的意思是,它们就像几个指令,它们只是修复了问题。不。
所以所有这些补丁都是他们自己的,它们是如何获得的,微软发布安全补丁,零补丁复制这些补丁,他们是否反向……
工程?他们如何知道,就像坏人一样,以同样的方式,坏人对补丁前后的代码进行差异化?
是的,你只需要找到微软更改的内容。所以他们就像……
它就是它,是的,好的。这实际上是一个有趣的业务,我……
我认为这将成为一个伟大的业务。我的意思是,他们已经存在很长时间了。如果你搜索GRC转录……
我们已经谈论了三年。
是的,关于零补丁,因为他们经常在微软发布更新之前就介入,并且如果你需要更新,他们不会向你收取任何费用,这还没有得到有效修复。所以他们正在填补微软没有填补的紧急需求,因为某些东西在野外被利用。你可以免费从他们那里获得。我的意思是,就像Cloudflare一样,他们有一种真正好的感觉。
他们不会在以后出售它,这很好。没问题。不。
一年24美元的保护。许多人宁愿这样做,也不愿被迫使用Windows 11。
你运行过吗?
没有,因为我不相信任何……关于你无法运行所有Windows版本的胡说八道。所有版本的Windows都在运行Windows。我很好。
那些70个漏洞不会打扰你。
不,我只是不去坏地方。不,我的网站没有任何东西。而且我的浏览器都是最新的。浏览器是主要的传播媒介,网络上的东西会进入,等等,莱奥,等等,你看到一种新方法,人们正在……让我们休息一下。
我们将讨论一个很好的例子,即Chrome中好的扩展程序变坏。好的,我推荐零补丁。我认为所有正在听的人都应该看看它。如果这个想法对他们有吸引力,我认为没有缺点。
我的意思是,只要你的应用程序继续安全运行,它就会保持运行。我的意思是,最终,它会崩溃。浏览器不再支持Windows 10或类似的东西。
对吗?是的。
好的,让我们谈谈我们对本小时的回应。我想你一定很熟悉1Password。
你还记得我们曾经为一个名为AK公司的公司做广告吗?我真的很喜欢1Password,需要它们。他们使用与他们自己的技术相结合的碰撞技术来创建他们称之为1Password扩展访问管理的东西,这是一个非常聪明的想法。
让我问你一个我认为我知道答案的问题:如果你在IT部门或你的企业或安全部门,你的最终用户是否总是使用公司拥有的设备和批准的设备?当然,他们不会,对吗?他们永远不会带自己的手机或笔记本电脑来。
他们永远不会运行过时的操作系统、浏览器或应用程序,这些应用程序在你的公司网络上运行,对吗?当然,他们不会。那么,在BYOD的世界里,你如何保护公司数据?当这些未经管理的应用程序和设备都在那里时?1Password想出了一个非常聪明的解决方案,扩展访问管理。
这不仅仅是一个密码管理器。1Password扩展访问管理有助于保护每个应用程序在每个设备上的每个登录,因为它解决了传统IAM和MDM无法触及的问题。想象一下,你的公司安全就像一个大学校园。
你有一个漂亮的砖路,在完美的绿草地上,从一栋有常春藤覆盖的建筑到另一栋有常春藤覆盖的建筑。这些是……公司拥有的设备、批准的应用程序、受管理的员工身份,一切都完美。
但是,就像每个大学一样,坦率地说,有些人实际上使用泥泞的小路。这些穿过草地的小路实际上是建筑A到建筑B的捷径。你的网络上也有这些。
这些未经管理的设备,对吗?影子IT、非雇员身份,例如承包商。人们带自己的工具,因为它们工作得更好,对吗?它们是捷径。但问题是,大多数安全工具只适用于这些漂亮的砖路,而大多数安全问题发生在这些小捷径上。
这就是为什么你需要1Password扩展访问管理,这是第一个能够控制所有这些未经管理的设备和应用程序的解决方案。它确保每个用户凭据都安全可靠,但它又进一步确保每个设备都是已知的和健康的,并且每个应用程序都是可见的。这是我们今天真正工作方式的安全,而不是一些安全公司想要成为的华丽形象。它深入到那些泥泞的小路上。现在,它通常可用于使用Octo或Microsoft身份验证的企业。
它们正在为Google Workspace客户进行测试,这是一个很好的安全检查,请访问onepassword.com/securitynow,这是1Password的网站,我相信每个人都知道并信任1Password。我认为你对他们用这个非常酷的产品所做的事情非常感兴趣。有关1Password扩展访问管理的更多信息,请访问onepassword.com/securitynow。
我们感谢他们的支持,新的支持。史蒂夫也做得很好,通过使用那个地址。你知道,你在这里看到onepassword.com/securitynow。
史蒂夫回来了。所以我们又看到了一个流行的恶意扩展程序,每天有超过10万用户,突然变得恶意。这个名为隐藏YouTube短视频的扩展程序被发现正在进行欺诈活动,收集并传输所有用户的浏览历史记录。
寻找YouTube短视频。
隐藏YouTube短视频。我做短视频,对吗?好的。而且显然,这是……总之,这是第二件事。所以安全研究人员说,该扩展程序似乎已变成恶意程序。这并不令人惊讶,我们经常谈论这个问题。在它被转移到新开发人员之后,我去了Google Play商店查看。
现在我不明白为什么有人想要或需要隐藏 YouTube 短视频,但显然这是个问题,因为还有很多类似的扩展程序被列为替代方案,其名称也类似地暗示它们也这样做。但无论如何,针对这些问题,扩展程序的新所有者辩称扩展程序权限的过度使用,称将来可能需要更多权限。从研究人员那里得到的简短反馈很有趣。
他写道,最初引起我怀疑的是 YouTube 上奇怪的搜索建议,这些建议与我的搜索内容完全无关且毫无关联,有时甚至是外语。然而,在分析浏览器标签和开发者控制台中的流量后,我没有注意到任何可疑活动。只有在我开始调试扩展程序后,我才注意到可疑的网络活动和发送到未知外部服务的请求,其中包含所有访问网站的地址和唯一标识符。
该扩展程序确实做了它所说的,但在后台,它会收集并发送有关所有访问页面的信息到 AWS 上托管的外部服务器。该扩展程序收集并发送的信息包括唯一的用户识别号、安装号、权限、令牌、语言、时间戳以及包含路径和参数的完整 URL,这允许读取地址栏中的信息,例如搜索历史记录和搜索词。Chrome 网上应用店中该扩展程序页面上的评论中的一些用户还指出,由于该扩展程序的恶意性质,可能会被重定向到钓鱼页面。我不知道它以前收集了哪些其他信息,但是由于浏览器扩展程序的广泛权限,应该假设您还可以读取表单中传输的信息,包括凭据、日志、密码、个人和敏感数据。
此类数据可用于各种攻击。是的。因此,使用过此类扩展程序的任何人应该假设通过浏览器查看和传输的所有数据都已受到损害,并立即采取预防措施。
而且,每天有一万用户。该扩展程序最初由一位开发人员开发,他维护了 GitHub 上的源代码。但是,GitHub 存储库于 2023 年 9 月 12 日存档。该插件被收购或可能卖给了另一位开发人员,他说道。我还没有完全分析所有内容,特别是早期版本,以找出恶意更改何时进行。
尽管如此,第一位开发人员出于某种原因,在扩展程序刚进入谷歌应用商店时,就决定使用所有页面读取模型,他写道,我分析了它的行为,没有发现类似的问题。所以确实,这种情况发生在后续阶段。在某个时候,他总结道,我毫不怀疑当前开发人员行为的故意性质,并且他针对扩展程序权限过宽的评论的回应清楚地表明了他的意图。
因此,再次强调,我从中学到的教训是尽量减少使用浏览器扩展程序。我们知道,大多数情况下,扩展程序开发人员都是善意的且行为正当的。但是,我们也有确凿的证据表明,一些恶意行为者也在这些水中游荡,我们无法完全分析和审核每个扩展程序。
这变成了一个数字游戏,使用越多扩展程序,其中一个可能是恶意的可能性就越大。我还没有时间深入研究阻止来源。但我有一种感觉,例如,如果您想阻止 YouTube 短视频,只需启用阻止来源扩展程序,然后点击 YouTube 短视频中的某些内容,它们就会消失,因为我们收到了听众的反馈。
因此,您可能甚至不需要更特殊的扩展程序。您可能只需要更好地利用 uBlock Origin。在某个时候。我将抽出时间。
来做这件事,对于一个 CSS div。如果您知道它的名称。
您就可以自动阻止它,正是这样。是的,是的。是的。事实上,那个小滴管工具可以找到。
那个 div。
是的,正是这样。它只是这样做,并创建一条规则。是的,总之,在扩展程序方面,越少越好。好的,这是个好主意。
我们都知道 Windows 一直在为一些简单的事情而苦恼,例如 .lnk 链接文件。我的意思是,在您的周末节目中,您在 Security Now 广播之前就已经恢复这些文件了。任何可以双击的东西都是有风险的,对吧?
是的。
这些漏洞的利用是史诗级的,我们已经数不清他们被修复(用引号引起来)的次数,但又再次出现。您知道,有些设计理念就是很糟糕,并且臭名昭著地容易被滥用。莱奥,你总结得很好。
任何可以双击的东西都是问题。所以这就是我读到的内容。是的,Windows .RDP 文件可以重新配置并启动远程桌面会话。
就像微软从未从过去吸取教训一样。众所周知,那些不从过去吸取教训的人注定要重蹈覆辙。好的,所以关于这次事件的普通新闻报道只是说微软表示,一个臭名昭著的俄罗斯网络罪犯组织正在使用一种巧妙的新技术来危害受害者并部署恶意软件到他们的系统。
该技术涉及通过电子邮件向受害者发送恶意 .RDP 配置文件。如果执行,这些文件会将受害者的 PC 连接到远程 .RDP 服务器。该连接允许俄罗斯组织窃取数据并部署恶意软件到受损设备,但很方便。
微软将此行动归咎于午夜暴风雪。请记住,他们不喜欢午夜暴风雪。人们知道俄罗斯境内的网络部门,S、VR、外国情报部门。
该组织自 2024 年 10 月 22 日以来一直在使用这种新技术,并针对美国和欧洲的政府、学术界、国防和非政府组织的个人。
这是同一场运动,也被 AWS 发现。插入。U.A. 好的。现在,由于整个设计的固有安全性令人难以置信,所以我去了微软自己解释的来源。
他们说,2024 年 10 月 22 日,微软发现了一场网络钓鱼活动,其中午夜暴风雪向 100 多个组织的数千名用户发送了钓鱼电子邮件。这些电子邮件高度针对性,利用了与微软、亚马逊网络服务以及零信任概念相关的社会工程学技巧。电子邮件包含一个使用自签名证书的远程桌面协议 (.RDP) 配置文件。
因为您可以免费获得这些证书。是的。RDP 配置。您知道,RDP 文件总结了成功连接到 RDP 服务器时建立的自动设置和资源映射。
想象一下。让我们让它变得简单。让我们让它一键完成。这些配置将本地系统的功能和资源扩展到由行为者控制的远程服务器,我们插入了可能出错的内容。
我只是我的。
好的。到我们结束时,我们会有更多。
恶意 .RDP 附件包含一些敏感设置,需要轻微映射 C 盘驱动器,这会导致重大信息泄露,一旦目标系统受到损害。
它连接到行为者控制的服务器。顺便说一句,他们所说的受损是指,当用户收到包含 .RDP 附件的电子邮件并点击它时,这现在就相当于您已经损害了您的计算机,因为您的电子邮件没有被训练来阻止该文件。
请注意,您现在无法发送电子邮件,您只能发送 X。那些会立即死亡。如果您尝试向某人发送电子邮件并使用 Nexi,这毫无希望。但是 R、D、B,耶。
提交您的计算机已受到损害,您启用 RDP 的那一刻。
嗯,它默认启用,这是那些。我们继续。
我错过了一个。
好的。所以他们说,一旦目标系统受到损害,这意味着用户点击了电子邮件中的某些内容,这在当今世界中足以损害 Windows 系统。
它连接到行为者控制的服务器,并通过定向映射(这是微软的说法),将目标用户的本地设备和资源(包括硬盘驱动器)定向到服务器。通过直接映射,发送到服务器的资源不仅可以包括,而且不限于(这是微软的悲哀):所有逻辑硬盘、剪贴板内容、打印机、连接的外围设备、音频和 Windows 操作系统的身份验证功能和设施,包括智能卡。基本上,您已经将对整个系统的访问权授予了他们。
是的,他们使用微软的路由。这种访问权限可以使威胁行为者。好的,唯一的方法是,如果他们在这张地图绘制时真的睡着了。
否则,嗯,可以使威胁行为者能够在目标本地驱动器上安装恶意软件。实际上,这可能是自动化的,因此他们可以睡着,但它会在他们睡着时发生。并映射网络共享,尤其是在自动启动文件夹中。
哦,所以他们有这两个。或者安装其他工具,例如远程访问木马,以在 RDP 会话关闭后保持访问权限。建立到行为者控制系统的 RDP 连接过程也可能会将登录用户的凭据暴露给目标系统。
这再次是微软的描述,当目标用户打开 RDP 附件并建立到行为者控制系统的 RDP 连接时。RDP 连接的配置允许行为者控制系统发现和使用有关目标系统的信息,包括文件、目录、连接的网络驱动器、连接的配置文件,包括智能卡、打印机和麦克风。使用 Windows Hello 进行网络身份验证,对吧,受到保护,别担心,你很安全,对吧?Windows 允许不安全的密码或安全密钥、剪贴板数据、服务点,也称为 POS(销售点)设备。
他们还在他们的博客文章中继续详细介绍这些攻击,并提供大量 IOC(入侵迹象)及其缓解措施。他们列出了许多可以防止这种情况发生的事情。
我有一个想法。为什么不一开始就不要在 Windows 中构建这种固有的极度危险且容易滥用的功能,我认为这是您在这里提出的第一个建议,并且说“如果它不存在,就不会有被滥用的东西”。真的有必要有一个 RDP 文件类型,它会使机器配置为最大程度的不安全状态并连接到先前未知的远程服务器吗?
这就像远程支持。
对吧?我广泛使用 RDP。是的,RDP 会将连接配置文件设置保存到单独的 RDP 文件中,这很有用。但是,当这些文件具有自行发起连接的能力时,这就会变成一种极度危险的设计模式。
如果这些文件必须存在,它们应该与创建它们的机器紧密绑定,而不是可以从邮件中接收并被无意用户点击的东西。微软喜欢将东西存储在注册表中,因此可以将本地机器的 RDP 设置保留在那里,而不是单独的 RDP 文件。这样就不会出现这个问题。
方便的是,毫无疑问,没有安全的方法可以向任何人发送任何文件,该文件被执行后会使他们的机器连接到任何未知的外部机器,并共享所有本地资源。根本没有。
没有安全的方法可以做到这一点。至少,此功能应该默认禁用给所有人。是的。然后,只有真正需要这样做的人才应该被迫完成一些步骤才能在自己的机器上启用它,即使那样,也可能只允许在一定时间内使用。
如果情况如此,俄罗斯根本不会费心创建它,因为这对于世界上 99.9999% 的人来说都是关闭的。我希望每个人都知道不要点击从您认识和信任的人那里收到的任何电子邮件,即使看起来像是从您认识和信任的人那里发送的。我们现在可以将另一个电子邮件攻击添加到不断增长的列表中。电子邮件附件太有用,不能禁止,对吧?不幸的是,狡猾的坏人不断找到新的方法来滥用这种有用的功能。
但是,感觉很强大。现在我不会在我的路由器上允许端口 139,大多数人可能也不会。但我猜,因为这是一个传出请求。
你的家人无关紧要。停止它,如果它运行在 6800 或更高端口号上,没关系,我记得。
因为你正在发送。
说,但插入它,来吧,你可以肯定俄罗斯有他们的端口列表,供任何人连接。莱奥,这始于 10 月 22 日会议,数千封电子邮件发送给数百家公司,看起来非常有针对性,合法的人点击了它们,他们立即受到了损害。这就是坏人如何在企业内部获得立足点,并谈论立足点。
我的意思是,这件事,这是一个漏洞。是的,你欠它。是的。好了,说到拥有它,莱奥,让我们给听众一个拥有它的机会,然后我们将继续。
你不想尽快去另一个?我有。
电视在这里,史蒂夫。
你不会错过任何不公平的东西。
笔记正在关闭。
在东海岸。这是我们做过的最快的节目。好的。跟上。
好的?我们将有一些来自史蒂夫的精彩内容。一如既往,史蒂夫在提供的信息质量方面令人惊叹。
我们感谢我们的赞助商,使这成为可能,例如 Big ID,您知道 Big ID。我以前谈过它。他们是领先的数据安全姿势管理解决方案(DSPM)提供商。
您是否听说过它是唯一一个 DSPM 解决方案?他们可以发现暗数据。他们可以识别和管理风险,可以按您想要的方式进行修复,并通过无与伦比的数据源覆盖范围扩展您的数据安全策略。
Big ID 无缝集成到您现有的技术中,这很好,因为您可以使用它来协调安全和修复工作流程,采取行动应对数据风险,所有您知道的操作,并根据数据采取删除或隔离措施。当然,它维护了审计跟踪。因此,所有操作都有记录。
它与 ServiceNow、Palo Alto Networks、微软、谷歌、AWS 等合作伙伴合作,以及 Big Ideas,先进的 AI 模型,您可以降低风险,加快洞察力速度,并获得对数据的可见性和控制力。Big ID 在发现这种暗数据方面做得如此出色,以至于他们为可能拥有比任何其他组织都更多数据和更多漏洞的组织配备了它。
美国陆军使用 Big ID 来发现暗数据,以加快云迁移,最大限度地减少冗余并自动化数据保留。
听听这句话,这是来自美国陆军训练和教导司令部的。这句话太棒了。与 Big ID 的第一次良好互动是能够拥有一个单一界面,用于各种数据持有情况。请记住,这是军队。
想想他们所说的数据类型,包括电子邮件、zip 文件、SharePoint 数据库等结构化和非结构化数据。能够跨这些数据进行整合是全新的。再次引用美国陆军训练和教导司令部。我从未见过任何功能能够像 Big ID 一样将我们聚集在一起。这是一个非常棒的认可。
当他们告诉我这一点时,我说,我可以阅读吗?因为如果军队这么说,并且愿意让您听到,那是一个非常大的认可。CNBC 认可了 Big Ideas。
它是企业 25 家最佳初创企业之一。他们连续两年被 Inc. 5000 和 Deloitte 1000 评为。他们是当今市场上领先的现代数据安全企业。好的,我必须再给您一个。
这是网络防御杂志出版商的评论:“Big Ideas 凭借其三个主要功能,赢得了我们的青睐:理解当今的威胁、提供具有成本效益的解决方案以及以意想不到的方式进行创新,以帮助减轻网络风险并领先一步。” Big ID 开始保护您的敏感数据,无论您的数据存储在哪里。Big ID 访问 securitynow.com。顺便说一句,军队、CNBC 和其他所有机构都只是触及了表面。
访问网站。您将看到所有赞誉、所有对 Big Ideas 的好评以及所有引用。它给 Big ID 留下深刻印象,访问 securitynow.com。
现在,您还可以了解 Big ID 如何帮助您的组织降低数据风险。顺便说一句,找到所有这些数据并了解这些数据在哪里是加速采用生成式 AI 的一部分,对吧?因为你不会。
我的意思是,我想到军队,那里有一些机密信息,对吧?您必须将其输入 AI。因此,能够看到所有内容,现在完全掌握在您的控制之下,这非常重要。访问 bigid.com/securitynow。
说到 AI,有很多报告和白皮书,但我知道有一份报告将为您提供有关 AI 采用挑战以及 AI 在组织中的总体影响的见解和关键信息。访问 bigid.com/securitynow。谢谢 Big ID。非常感谢您所做的工作。
谢谢。我想我应该感谢您的服务,感谢您支持 Security Now。我们非常感谢 Big ID 访问 securitynow.com。
好的,我们有一个新的 Firefox。我们现在是 132,嗯,它添加了一些新功能和安全修复。
在132版本中最大的新功能是支持TLS 1.3下的后量子密钥交换机制。并且如果图标是通过HTTP加载的,它们也会被阻止。
回想起我们研究Firefox的第三方Cookie处理方式时,由于Firefox是UI,存在很多混淆。我们当时在播客中讨论过,Firefox是UI,并且它的行为确实得到了体现。
体现出来的行为似乎互相矛盾。因此,在132版本中,我很高兴看到改进后的句子:“Firefox现在在启用增强跟踪保护和严格模式时,阻止第三方Cookie访问。”
所以,大家原本以为我正在做的事情,但我们发现情况并非如此。正如我们所料,GRC的Cookie取证系统显示了实际情况,并且在Firefox 132版本中已经修复了这个问题,大家可能都已经更新了。正如我节目开头提到的,在“我们不信任中国制造的带摄像头的黑匣子”这个令人悲伤但可以理解的类别下,我们收到了一个消息,是的,我们收到了一个消息,我们之前讨论过DGI无人机作为带摄像头黑匣子的一个例子。
我们收到了一个消息,英国政府现在表示,所有中国制造的安全摄像头中超过一半已被从敏感地点移除,例如政府大楼和军事基地。
政府表示,预计到明年四月(2025年)完成移除工作,尽管最初的移除命令是在2022年11月发布的。当时我看到,哇,他们花了这么长时间才移除一半。但我随后想到,可能需要很长的采购周期才能完成这些工作。
因此,我花了一些时间让替代摄像头进入供应链。
正如我们所知,英国官员下令所有英国敏感地点拆除所有中国制造的摄像头,理由是国家安全问题,因为任何事情都有可能发生,基本上就是这样,对吧?没有编辑,但任何事情都有可能发生。所以,我认为对于敏感设施来说,这当然是一个优先事项,这很有意义。
我不确定...
宣布我们已经移除了一半。是的,是的,它将被用于另一半。
好消息。一半。
我们走了,对吧?好的,现在,莱奥,好的。我知道我们的听众很精明。是的,我最初想称之为“每分钟都有一个傻瓜上当受骗”攻击,但经过进一步思考,我认为这过于严厉,因为这实际上是一种相当狡猾且可怕的形式。我认为我...
会非常小心地对待这件事。我不想说...
它再次,我看到很多人,我知道很多人肯定会非常狡猾地利用这种社会工程攻击。我认为我可能会让许多非傻瓜上当。所以,这不是“每分钟都有一个傻瓜上当受骗”攻击。而是,你知道,可能比“你是否有一个投票”多一点,但仍然不多。好的,它...
利用了这样一个事实,即大多数使用互联网和PC的人今天从未真正了解,也可能永远不会完全确定或确信这些神奇的钩子、花招是如何运作的。大多数情况下,对吧?他们只是按照说明操作,并尽力而为,希望一切顺利。
这就是为什么我理解为什么这种新的、相当明显的利用漏洞在野外成功了。这令人毛骨悚然。它从一个假的捕获弹出窗口开始,我们现在都在这里。所以,你知道,它开始,你得到你期望看到的东西,对吧?就像,好吧,我必须证明我不是机器人...
即使在这个合法的行动中。
对吧?对吧?所以,在这种情况下,有人,在这种情况下,我被用来观看视频。
他们需要点击捕获按钮来开始验证自己是人类。好的?但是用户点击的这个按钮实际上是由JavaScript创建的。
它运行一些JavaScript,将一个危险的PowerShell可执行字符串放入他们的Windows剪贴板中。天哪,JavaScript能够读取和写入剪贴板。所以,当你点击这个按钮时,它会将这个PowerShell脚本放入你的剪贴板,并使用加密的命令尾。
PowerShell将被配置,所以它看起来就像,好吧,随便吧,好吧。在将这个调用PowerShell脚本的木马粘贴到他们的剪贴板后,它会显示他们必须遵循的剩余说明,以充分证明自己是人类。好的?好吧,他们肯定要证明自己是人类,但不是他们想要的方式,得到这个。弹出窗口显示验证步骤,按Windows键,然后显示你熟悉的Windows运行图标+R。我不会...
上当受骗。
我知道,再次,好的,但是我们知道哪些人会,对吧?
因为大多数人不知道...
Windows是什么,以及控制任何这些东西的任何线索。现在,步骤一,按Ctrl+V,步骤二,按Enter。
步骤三,还有什么可能...
所以,Windows+R会弹出Windows运行对话框,其中突出显示“你想让我运行什么”字段,Ctrl+V粘贴这个可怕的PowerShell可执行命令,从系统的剪贴板到运行字段,以便运行字段现在包含下载、安装和运行计算机上木马恶意软件的可执行PowerShell脚本。
然后,所有这些都以他们按照文件说明按Enter键来,正如卡德所说,让它运行而告终。所以,再次,正如我所观察到的,我们没有人会这样做。但是,再次,大多数人不知道这些东西是什么。所以,他们只是按照步骤操作,因为他们想要看到视频,你知道,他们想要那个诱饵。所以,哇。
幸运的是,在Amintas上按Windows键+R什么也没做。所以我很安全。
你很安全。哦,你在少数派。
少数派正在增长,这正是因为像这样的事情,我确信。但是,好的。
哇。啊,是的。所以,无论如何,我不知道该告诉我们的听众什么。我知道我们的听众中没有人会上当受骗,但我知道他们认识一些人,你知道,哇。
被强迫点击东西已经很糟糕了,就像在浏览器中被强迫点击东西,而它可能是一个伪造的窗口。我们的浏览器旨在尽量减少损害,但JavaScript可以将某些内容放入我们的剪贴板。然后这些说明基本上说,谢谢。
现在我们想要你做什么,它涉及让它运行,这些按键会做到这一点。哇。好的。嗯。我上周说过,我想宣布,嗯,我正在做的下一件大事,哦,我的天,我最近完成了GRC电子邮件系统的开发,实际上,我对此有补充说明,正如我所说,因为事实证明,Outlook正在执行链接跟踪,以保护人们免受初始链接的影响,并在订阅人们从他们的邮件列表中退订的过程中,所以我会在第二天修复它,嗯,然后继续下一步,哦,哦,我上周忘了提到,这些电子邮件系统中最初缺少的功能之一是允许用户随时轻松更新和迁移他们的电子邮件地址。
我最初的想法是,由于电子邮件帐户除了零、一或两个与之关联的订阅外,没有任何其他内容,因此任何人都可以简单地删除旧帐户,然后使用新电子邮件创建另一个帐户,因此无需明确命名现有帐户。但是,当我最初向二十年前的SpinRite所有者发送邮件时,我看到了非常高的垃圾邮件投诉率,他们就像,这是什么?我将SpinRite购买数据迁移到了电子邮件系统中,这使我能够发送电子邮件,其开头是“2005年,有人名叫Josh Mou,使用这个电子邮件地址购买了SpinRite”,嗯,正如我当时想象的那样,这对垃圾邮件投诉率产生了深远的影响,突然间,每个人都像,“哦,是的,我记得那件事。”无论如何,现在电子邮件系统能够处理更新了。
电子邮件系统知道SpinRite所有者是谁。因此,帐户中包含更多实际数据,我希望保留这些数据。因此,我在电子邮件管理页面中添加了一个简单的重命名字段,我们的听众下次访问时会看到。
例如,重新订阅他们不小心退订的Security Now播客,所以我想让大家知道,自从我上次访问电子邮件管理页面以来,添加了编辑功能,嗯,一旦完成,我无法解决SpinRite 6.1文档中剩余的最后一点内容,即创建视频演示,展示SpinRite的实际操作。由于启动DOS并使用文本用户界面变得越来越陌生,我想有一种方法可以让那些正在考虑是否购买SpinRite的人快速清晰地了解它的运行情况。所以现在有了。
我在我的YouTube频道上发布了它。我在GRC上发布了它。
所以,很难找不到它。如果有人感兴趣,那就去看看吧。
这让我想到我上周提到的公告,正如我多次提到的,GRC的DNS基准测试,迄今为止排名第一,下载量超过930万次。嗯,到目前为止,有史以来最受欢迎的软件是DNS基准测试。当我整理节目笔记时,我对此感到非常惊讶。
我想是星期天,嗯,它已经下载了9313642次,每天大约有1600次下载。嗯,基准测试页面有一个页面,用于征求反馈,我不断收到有关新功能的请求。嗯,大多数人想知道使用加密和隐私保护DNS(使用DoH或DoT)的DNS速度与普通纯文本DNS的速度相比如何,它是否更慢,是否更快,等等。
嗯,尽管IPv6的进展缓慢,正如我们上周讨论的那样,许多人要求我在基准测试中添加对IPv6的支持。实际上,我认为这很有意义,因为当IPv6可用时,我们的系统会优先使用它,因此您可能正在使用IPv6 DNS服务器,而基准测试不会对其进行基准测试。所以,嗯,其他一些很棒的想法是允许基准测试验证对诸如NextDNS之类的服务的域过滤,以及其他人希望避免本地域名故障,其中他们使用的DNS服务不允许他们访问他们想要访问的网站。
因此,基准测试可以用来帮助他们找到允许他们访问这些网站的本地服务器。无论如何,我听到的另一个更普遍的想法是,人们希望有一种方法来支持我在这里继续进行GRC工作,你知道,新闻组、论坛、轮盘赌、DNS可能性测试,所有我撰写并无法提供的免费内容,以及其他所有内容。因此,我决定,在我创建“超越回忆”之前,嗯,你知道,用于超快速、超安全的数据删除,这将先于Windows SpinRite 7的开发。
我们将重新审视DNS基准测试,并为您提供2.0版重大更新。仍然会像现在一样提供免费版本。但我希望它能够自我支持。如果我能做到,我认为我应该能够做到,基于其观察到的受欢迎程度。因此,我计划以9.95美元的价格提供所有这些新功能作为高级版,以及为真正的DNS专业人士提供19.95美元的专业版,它将执行更多操作,例如作为后台服务运行、登录、大量长期图表以及我们其他一些功能。所以,那...
是可用的。
这就是我的希望,因为这是对现有产品的更新。我们不会很久才推出,因为我非常不喜欢订阅软件模式,尽管世界其他地区似乎正在朝着这个方向发展。
我将与基准测试购买者达成的协议是,他们只需支付一次费用,他们就拥有它及其未来的所有更新,永远无需额外费用。因此,如果它像预期的那样成功,它将创造一个收入来源,这将证明其随着时间的推移持续改进和持续开发是合理的,你知道,随着新的DNS相关技术的出现。无论如何,我将有一个实质性的新...对基准测试的升级。
它仍然可用。然后,对于那些想要更多的人,你知道,以不到10美元的价格,虽然不到9.95美元,你可以获得它及其未来的所有内容。所以,嗯,这就是我的...
9.95美元,然后下一个,因为我知道每个人看到它都会...好吧,对于10美元,我可以获得专业版,但我想要超级专业版,20美元,因为...
20美元实际上是我从John To Fork那里得到的灵感,他...我们谈过,就像...他写信给我,然后我们最终进行了几个小时的对话,因为他想知道我使用的是什么电子邮件系统,因为他要离开Monkey Mee。无论那东西叫什么,邮件。无论如何,他的重点是,你知道,不要限制人们可以支付的金额,因为他们...
可能想支付更多。好吧,和我的爸爸。好。
好的。所以,让我们休息一下,然后我们将讨论AI在安全漏洞发现中的应用。嗯,我有一些关于AI的评论,我想用它来引出999集的主题。好的,好的内容。
好消息是999集不是最后一次,也不是下周的第1集。或者你打算在黑客中做这件事?我不知道他打算做什么。
那会是什么?我不知道。我们今天的节目甚至没有带给你我的莫利斯。
我知道他们自1985年以来一直是值得信赖的数据质量专家,比我们做这个节目还要久,这肯定是真的。恶意软件首次出现在Stripe应用商店。这真是太酷了。
Stripe客户现在可以使用大型全球企业每天使用的相同数据质量服务。主要功能。这只是众多Millicent集成中的一个。
但是,让我们谈谈Stripe集成。主要功能包括地址验证。该应用程序验证客户和发票级别的全球地址。所有这些都在Stripe内部完成,无需离开Stripe。自动完成功能减少了所需的按键次数,当然,消除了按键错误,只使用有效地址,数据库的末尾,使用你的友好、坏的数据库,当然,用户可以轻松地使用该应用程序,只需几步即可支持客户帐户和发票级别的验证。
该应用程序提供流畅的密钥和订阅管理,方便从免费服务到付费服务的过渡,当然,是Millicent,你获得全面的支持和质量保证。用户可以直接访问Millicent专家,确保高质量的服务和支持,但这太棒了,提高运营效率,提升客户满意度,并维护整体财务健康。这些应该是任何有远见的企业的策略。
如果您是一家依赖Stripe的企业,你知道,例外,现在您拥有一个不断扩展的工具集,随时可以使用Millicent。Millicent服务,顺便说一句,非常了解合规性。这很重要,对吧?
您希望确保您的数据安全,Millicent提供所有文件传输的安全加密,以及建立在IO 27.00.1框架上的信息安全生态系统,在听证会上,GDP政策令人厌恶,当然,他们做得很好。
今天开始,免费清理1000条记录,访问mollia.com/twit。我们很长时间以来一直很喜欢Millicent。我们很高兴看到他们在2025年也加入了我们。
Millicent.com/twit。感谢Millicent支持Security Now,感谢Security Now的听众和观众,感谢你们访问该地址。所以,这里有一个列表,访问twit.tv。好的,史蒂夫,在...
本期Security Now播客的第999集中,我想在讨论其他事情之前花点时间。谷歌最近宣布,他们使用AI发现了广泛使用的软件中的一个重要漏洞。
为了更广泛地了解AI,我相信我们的听众已经正确地判断出我属于那些对AI总体持乐观态度的人。我所看到和亲身经历的所有证据都告诉我,我们确实正处于一场真正变革的前夜。坦率地说,我很高兴我仍然活着,可以亲眼目睹这一切发生。不,我的父母...
非常科幻。有趣吗?
现在正在发生。我的父母和一些亲密的朋友,他们对此会很着迷,现在已经不在了。我认为这很可惜,因为我相信这将是如此重要的事情。
我相信AI将改变整个世界。就像我这一生中大多数婴儿潮一代一样,我见证了真空管让位于晶体管,晶体管让位于多代集成电路。数字存储从磁带,然后到磁芯,再到令人难以置信的密集的电磁和静电存储。
计算机从本质上是一种自动化计算器,其价格往往数倍于当时人们的住房,如今却演变成了功能强大的设备,我们现在毫不犹豫地丢弃它们。互联网的出现发生在婴儿潮一代后半生的时间里。我们有幸见证了这个令人难以置信的全球网络将我们现在随身携带的计算机连接起来。
我们真正地经历着我们生命初期所幻想的科学技术。现在,我们这些仍然活着的人将有幸见证人工智能的出现。鉴于我在这个星球上近七十年的生命中所目睹的一切,以及我迄今为止所看到的IT技术,我相信人工智能对我们生活的影响注定会比以往任何事物都更大,比之前的一切都更有意义。
很长一段时间以来,那些似乎对世界影响最大的技术都是那些促进沟通的技术,例如印刷机,它改变了世界。接着是电报,然后是无线电和电话,它们同样具有变革意义。互联网再次改变一切的原因在于,它也是关于沟通的。
可以认为,交通工具的汽车也是一种沟通方式。沟通之所以如此普遍地具有变革意义,是因为它连接了人们的想法和意图。相比之下,我相信人工智能将超越沟通的变革力量,因为它代表着人们的想法和意图。
人工智能是人类的财富。当然,愤世嫉俗者和怀疑论者很容易找到缺点。在任何新事物开始时,人们总是会对未来提出宏大的主张,总能找到缺点。
这只是新事物旅程的开始,而不是终点。个人电脑最初被认为是笑话,第一批逻辑笔记本电脑也是如此,但现在没有人再笑了。
现在,回到比特币的早期,在埃及发明货币的时候,有很多怀疑论者,但我真希望我没有在我的50个比特币上安装Windows。我的意思是,如今的人工智能与未来的人工智能并不相同。它永远不会相同。
我相信我们才刚刚开始,这将比之前任何发明的意义都更大,因为人工智能,正如我所说,有可能成为人类的财富,而之前从未有过类似的东西。我很高兴我们都能一起见证这一切。好的。
那么,人工智能和谷歌发生了什么?谷歌在其Project Zero博客中发表了一篇长文,但Hacker News整理了一个很好的摘要。我想分享的就是这个。他们写道,谷歌表示,它使用其大型语言模型辅助框架“大睡”,正式名称为“午睡项目”,发现了等光开源数据库引擎中的零日漏洞。
这家科技巨头将这一发现描述为“使用人工智能代理发现的第一个真实世界漏洞”,大睡团队在博客文章中表示,“我们相信,这是人工智能代理首次在广泛使用的真实世界软件中发现之前未知的可利用内存安全问题”。Hacker News表示,问题漏洞是等光中的堆缓冲区溢出,当软件引用内存位置在内存缓冲区开始之前时就会发生,从而导致崩溃或任意代码执行。这通常发生在指针或其索引对缓冲区位置之前不利时,当点算术结果在有效内存位置的开始之前时,或者当使用负索引在负责披露之后时。
该缺陷于2024年10月初得到解决。值得注意的是,该缺陷是在库的开发分支中发现的,这意味着它在进入防病毒版本之前就被标记出来了。我还想指出,这使得……你知道,它被标记出来了。
这是一个新引入的错误,这个东西立即发现了它,他们说,谷歌在2024年6月首次详细介绍了“午睡项目”,这是一个技术框架,旨在改进自动漏洞发现方法。它已发展成为“大睡”,这是谷歌Project Zero和谷歌DeepMind之间更广泛合作的一部分。其想法是利用人工智能代理模拟人类行为,在识别和演示安全漏洞时利用大型语言模型、代码理解和推理能力。
这包括使用一组专用工具,允许代理导航目标代码库,在沙箱环境中运行Python脚本以生成模糊测试输入,调试程序并观察结果。谷歌表示,“我们认为这项工作具有巨大的防御潜力”。在软件发布之前发现漏洞意味着攻击者无法利用这些漏洞。
在Hacker News的总结中,漏洞在攻击者有机会利用它们之前得到修复。然而,该公司还强调,这些仍然是实验结果,并补充说,“大睡团队的立场是,目前,针对特定目标的模糊测试可能至少同样有效地发现漏洞”。
好的。所以,这可能是人工智能首次用于此目的。我自己的直觉告诉我,人工智能驱动的代码验证和漏洞检测将非常重要。我觉得这正处于人工智能的黄金时代,这可能是人工智能最终拯救我们的方法。
在看似永无止境且似乎无法解决的对抗不断涌现的新漏洞以及发现和修复旧漏洞的斗争中,微软一定正在努力研究如何以这种方式使用人工智能。想象一下,有一天,星期二补丁发布时,抱歉,这里没有需要修复的内容。没有发现、报告或已知正在被利用的新漏洞。
现在你只是在狂热地幻想。
这将是……是的,对我来说,如果我们不这样做,我们永远无法实现的目标。是的,使用人工智能,这似乎并不遥不可及,你知道,我认为今天的语言模型训练风格并不真正适用于此,这是我的感觉。
我不认为这是攻击这个问题的方法……但我离人工智能还差得很远,无法知道,当然,我相信有些人……当然,这并不能解决所有问题,因为总有人会打开危险的服务端口连接到互联网,或者按照看起来可信的捕获中提供的说明去做,告诉他们弯腰,进入快乐之地,即使在……
人工智能会警告他们不要这样做。所以,你知道,我不担心人工智能会在短期内让这个播客停播。和往常一样,总有一些用户,而用户总是会做一些愚蠢的事情。
但我认为那是科尔内尔……对吧?他以引用这句话而闻名。但是,代码是纯粹的,这就是我喜欢你的原因。
所以这只是来自数学的逻辑,它是完全确定的。所以,对我来说,代码验证似乎是人工智能的自然栖息地。上帝知道,我们需要它。
如果我年轻一些,那可能是我关注的方向。我是认真的。我们经常收到刚开始接触并寻求指导的听众。
所以,对我来说,人工智能在代码行为验证和软件漏洞发现领域可能具有巨大的影响力。如今,可以从云提供商那里借用大型计算资源,这不仅使地下室或车库开发成为可能,而且也变得实用。如果创建了这样的技术,我觉得任何大型科技公司都会毫不犹豫地抢购。
所以,如果你年轻,充满未来,正在寻找一些事情来投入,我不知道你会怎么做。但我向你保证,十年后,我仍然会在这里见证这一切,我向你保证,这将改变一切。我认为人工智能将解决我们的问题,正如我上周所说,因为它将赋予政府一种温暖而模糊的感觉,即儿童虐待不再能够绕过人工智能在本地监控他们的设备。我认为人工智能将解决我们无休止的软件漏洞问题,这是一个大问题。但你知道吗,这很有趣?
嘿,如果我能做到这一点,那么我可能还会做很多其他事情。
我认为它将彻底改变医学,莱奥。它将彻底改变药物发现,我的意思是,它将改变世界。
顺便说一句,我喜欢你如何开始,我认为这正是我们一生中所见证的。我们希望在一生中见证最后一次重大变化,而这可能就是那次变化。这可能是改变人类并将其带入完全不同领域的变化。
嗯……我不同意,所以我很兴奋……史蒂夫·吉布森在grc.com上。他目前正在开发一个新产品,时间框架,你不喜欢这样做。
我估计可能几个月,我希望几个月……
几个月,让我加入20美元的订阅描述。我会这样做,因为我会是第一个……
我可以看到,我迫不及待地想看看加密DNS与……相比如何。我不知道……
是的,你会玩得开心的,或者IPv6,或者下一个DNS正在做的事情……
这将非常……是的,因为格言是995,它拥有所有功能,除了探测器可以作为服务运行,因为它全部用汇编语言编写。它只有几百KB。
它不是这些在你的机器上闲置的数百个……
但能够查看长期DNS服务器性能的图表和图表会非常酷。
这会非常非常有趣。这就是我们所希望的。
我忘了,还包括可能性测试。所以,你可以检查服务器的可靠性,而无需在grc上执行一般操作。真不错。是的,有很多东西……是的。
我几乎一直在后台运行网络分析程序,以保持铁杆带宽等等。我认为这在后台运行同样有用。我绝对期待着它。
杰先生,它又做到了,999。现在,这是最后一次机会,这可能是最后一次播客,这取决于你。
计数器。我们还记得我们年轻的时候,人们拥有的数字时钟是转盘。是的。我会坐在那里,等着你到达……你知道,回报是9点59分,对吧?因为你会看到所有三个同时运行,或者在……
你的汽车里程表达到十万英里时,99999到100000。那很令人兴奋。但这更令人兴奋。
女士们,先生们,我们从999切换到1000。史蒂夫,我想让你想想自己,你坐在紧急出口。你可以从窗户跳出去,或者你可以继续飞行。你想继续飞行吗?
是的。
好的。是的。期待下周。第1000集,相同的时间,相同频道。我们每周二在午间休息后播出,试图将其定在下午1点30分,但最晚不迟于太平洋时间下午2点,也就是东部时间下午5点,格林尼治标准时间2200,在八个平台上进行直播。
现在,当然,我们的俱乐部成员可以获得Discord,这真是太好了。但是,我们的YouTube……现在,我得小心我的手指,因为周日我按错了手指。YouTube、Twitch、Facebook、grc.com上的链接、TikTok和Kick。
这些都是你可以观看直播的地方。但你不需要观看直播。你可以在网站上观看事后的内容,twitter.com/sn。你可以。我们有音频和视频。
史蒂夫有几种独特的节目版本,当然,grc.com上有音频,但他也有16kbps版本,这是一种小文件,会牺牲一些质量,但下载速度很快。他还有一些由人工转录的文字稿,而不是人工智能转录的。它们很棒,是真实的、真实的文字稿,捕捉到了节目的精髓。
当然,还有他的节目笔记,这真是太棒了。他做得比任何播客都好,所有这些都在grc.com上,当你访问时。你必须记住,史蒂夫赚钱的一种方式是通过SpinRite,对吧,世界上最好的大容量存储性能维护和恢复实用程序。
如果你有大容量存储,你需要SpinRite。访问grc.com。当前版本是6.1。有很多免费的东西。
史蒂夫离开时有很多很棒的有价值的信息,例如,验证驱动器或芯片。你测试USB密钥。你从亚马逊购买,以确保它确实能够自行保存所有数据,这将是入场费。
嗯,我们有twitter.com/twit。我们还有一个专门用于播客的YouTube频道。这是一个分享剪辑的好方法。
我知道很多人会听这个节目。他们会点击那个二维码。我知道我爸爸会点击它,从YouTube频道给他发送剪辑。
所以,因为每个人都可以观看YouTube视频,这会带给他,好的,类似的事情。当然,订阅的最简单方法是使用你最喜欢的播客播放器,音频或视频,你将自动获得所有900集。
安全现在,史蒂夫,祝你本周一切顺利。不要生气,我会……我知道,我会来回测试。
grc.com在等着。如果我需要,我可能得去睡觉了。谢谢。仍然。
我们下一次在第1000集中再见。安全现在。