S3 Ep96: زوم 0 روزه، نشت AEPIC، پاداش Conti، امنیت مراقبت از سلامت [صوت + متن]

برای پرش به هر نقطه، روی امواج صوتی زیر کلیک کنید و بکشید. شما همچنین می توانید مستقیم گوش کن در Soundcloud

[مودم موزیکال]

---

اردک.  به پادکست خوش آمدید، همه.

من داگلاس نیستم... من پل داکلین هستم.

داگ در تعطیلات است، بنابراین دوست و همکار خوبم چستر ویسنیوسکی از دفتر ما در ونکوور به من ملحق شده است.

سلام، چت!

---

CHET.  سلام اردک

چطوری؟

---

اردک.  من خیلی خوبم. ممنون.

ما امروز اولین بارندگی خود را در آکسفوردشایر داشتیم... باید حداقل چند ماه باشد.

حداقل مقداری آب وارد زمین کردیم، زیرا اینجا بسیار بسیار خشک بوده است - به طور غیر معمول خشک.

شما چطور؟

---

CHET.  خوب، من در حال بهبودی از DEF CON هستم، علیرغم اینکه در Defcon شرکت نکرده بودم، که حتی نمی‌دانستم مشکلی است.

---

اردک.  [با خنده] اوه، بله!

---

CHET.  تمام آخر هفته را با چشمانم چسبیده به توییتر و توییچ و دیسکورد و همه این پلتفرم‌هایی گذراندم که می‌توانستید از راه دور در همه جشن‌ها شبه شرکت کنید.

و، باید بگویم، وقتی واقعاً در لاس وگاس هستید، بسیار سرگرم کننده تر است.

اما با توجه به آمار افرادی که می‌دانم با کووید بازگشته‌اند، تعداد انگشتان و شست‌هایم بیشتر از من شده است، فکر می‌کنم انتخاب درستی کردم و خوشحالم که در تمام آخر هفته از اینترنت بیش از حد خسته شده‌ام.

---

اردک.  آیا فکر می‌کنید آنها واقعاً به عفونت کروناویروس مبتلا شده‌اند، یا فقط با احساس بازگشتند، چگونه می‌توانم آن را بگویم... به دلیل داشتن کلاه سیاه و به دنبال آن DEF CON.

---

CHET.  می دانید، همانقدر که CON FLU می تواند بد باشد…

---

اردک.  بیماری آنفولانزا؟! [می خندد] اوه عزیزم!

---

CHET.  ... من کاملاً مطمئن هستم که در این مورد کووید است، زیرا نه تنها مردم آزمایش می کنند، بلکه برای اکثر افرادی که با آنها آشنا هستم، کووید به طور قابل توجهی دردناک تر از آنفولانزای CON است.

بنابراین، باید فکر کنم که این دو با هم احتمالاً بسیار وحشتناک بودند. [خنده]

---

اردک.  بله!

اما اجازه دهید در مشکلات DEF CON ویروس کرونا/CON FLU درنگ نکنیم…

اجازه دهید توجه خود را در واقع به یک *گفتگو* که در DEF CON ارائه شد معطوف کنیم.

این در مورد یک است زوم صفر روز که توسط پاتریک واردل نوشته شد و در DEF CON ارائه شد.

به جای یک سری اشکالات تاسف بار، از جمله یکی که به درستی وصله نشده است، چستر؟

---

CHET.  خوب، پاتریک تنها محقق امنیت macOS در جهان نیست، اما او در یافتن مشکلات بسیار شگفت انگیز است.

و آخرین باری که پاتریک واردل را در کنفرانس Virus Bulletin دیدم، چندین بار، و هر بار او اپل را برای تصمیم‌گیری مشکوک در مورد تأیید امضا، تأیید گواهی، و این نوع موارد به مدرسه می‌برد.

و من شروع به دریافت این تصور کردم که اپل تا حد زیادی وضعیت امنیتی خود را در مورد برخی از این موارد شکل داده است.

و بنابراین اکنون او به دنبال فروشندگان دیگری است که ممکن است اشتباهات رمزنگاری مشابهی را انجام دهند که می تواند بدافزار را وارد پلتفرم کند.

---

اردک.  حدس می‌زنم در زمان‌های قدیم، همه فکر می‌کردند، "خب، تا زمانی که اتصال TLS دارید" یا، "تا زمانی که چیزی دارید که به صورت دیجیتالی توسط *کسی* امضا شده باشد."

بنابراین، کد اغلب زحمت رفتن و بررسی کردن را ندارد.

اما در این مورد، آنها تصمیم گرفتند بسته های به روز رسانی دانلود شده را بررسی کنند تا مطمئن شوند که از Zoom هستند.

اما آنها این کار را خیلی خوب انجام ندادند، نه؟

به جای فراخوانی API رسمی سیستم، که حذف می‌شود، بررسی می‌کند و اساساً با یک true یا false برمی‌گردد…

... آنها به نوعی "خودشان را بافتند"، اینطور نیست؟

---

CHET.  بله.

منظورم این است که بافتن چیزهای خود در رابطه با کریپتو همیشه دردناک به پایان می رسد.

و به یاد دارم، در آخرین پادکست، شما در مورد الگوریتم جدید رمزنگاری کوانتومی ایمن صحبت می‌کردید که در عرض یک ساعت در یک لپ‌تاپ کرک شد.

---

اردک.  SIKE!

---

CHET.  همه آنقدر روی جنبه کوانتومی آن متمرکز بودند که به نوعی تمرکز کردند طرف متعارف را از دست دادحتی در میان برخی از باهوش ترین ریاضیدانان و رمزنگاران جهان، درست است؟

بنابراین مرتکب اشتباهاتی که می تواند ویرانگر باشد واقعاً آسان است.

و بافتن خود چیزی است که من و شما حدود 20 سال است که از طرف Sophos در قالب های مختلف ارتباطی در مورد آن صحبت می کنیم.

و من فکر نمی کنم که ما هرگز موضع خود را تغییر نداده باشیم که این یک ایده وحشتناک است!

---

اردک.  مشکل اینجا این نیست که آنها تصمیم گرفتند از الگوریتم های امضای دیجیتال خود استفاده کنند یا منحنی بیضوی خود را اختراع کنند.

فقط این است که به جای گفتن، «اینم یک فایل. سیستم عامل عزیز، از ابزارهای مبتنی بر API استاندارد خود برای تأیید آن استفاده کنید و به True/False برگردید.

... آنها را اجرا کردند pkgutil ابزار خط فرمان در پس‌زمینه، کاری است که می‌توانید از خط فرمان انجام دهید، اگر می‌خواهید یک نمایش بصری و قابل خواندن برای انسان دریافت کنید که چه کسی چه چیزی را امضا کرده است.

و سپس برنامه ای نوشتند که خروجی متنی آن را ارسال می کرد تا تصمیم بگیرند که آیا می خواهند پاسخ "درست" یا "نادرست" را دریافت کنند.

آنها لیستی از زنجیره گواهی را دریافت کردند و به دنبال "Zoom" و به دنبال آن "Developer Certification Authority" و به دنبال "Apple Root CA" بودند.

بنابراین، آنها به دنبال آن رشته ها *در هر نقطه از خروجی* می گردند، چستر!

بنابراین [می‌خندد] معلوم می‌شود که اگر بسته‌ای ایجاد کنید که نامی در امتداد خطوط داشته باشد Zoom Video Communications Inc Developer ID Certification Authority Apple Root CA.pkg، پس از آن زمانی که pkgutil نام فایل را در خروجی آن نوشت، هر سه رشته جادویی ظاهر می شود!

و تجزیه کننده نسبتاً ناکارآمد زوم تصمیم می گیرد که این اتفاق تنها در صورتی می تواند رخ دهد که به ترتیب درست توسط آن سه سازمان امضا شده باشد.

در حالی که، در واقع، این فقط نامی بود که شما ارائه کردید.

اوه عزیزم!

---

CHET.  مسئله در اینجا این است که چیزی که منجر به این مشکل می شود این نوع چک امضای ابتدایی است که آنها انجام می دهند.

اما مشکل واقعی، البته، این است که به این معنی است که هر بسته ای که بتواند آن نام را بگذارد *به عنوان root* روی سیستم نصب می شود، حتی اگر کاربری که فرآیند به روز رسانی را انجام می دهد فاقد امتیاز باشد.

---

اردک.  تمام مشکل همین بود.

زیرا به نظر می‌رسید که اتفاقی که افتاد، در زمان DEF CON، Zoom *این مشکل را برطرف کرد.

آنها از API به درستی استفاده می کنند و به طور قابل اعتمادی یکپارچگی و صحت فایلی را که می خواهند اجرا کنند تأیید می کنند.

اما با انتقال آن به دایرکتوری موقتی که زوم نصب را از آنجا هماهنگ می‌کند، آن را قابل نوشتن در جهان گذاشتند!

بنابراین، دایرکتوری محافظت شد، و همه چیز در دایرکتوری محافظت شد... *به جز مهمترین فایل*.

بنابراین، حدس بزنید چه کاری می توانید انجام دهید؟

اگر درست زمان بندی کرده باشید (به اصطلاح شرایط مسابقه)، کاربر اصلی می‌توانست فایل را *پس از* که بررسی هویت دیجیتالی خود را گذرانده بود، تغییر دهد، اما *قبل از* به طور جدی از آن استفاده می‌شد.

نصب کننده از فایلی استفاده می کند که فکر می کند تأیید شده است و در واقع تأیید شده است…

... اما در شکاف بین اعتبار سنجی و استفاده باطل شد.

---

CHET.  بله، و همانطور که در مقاله اشاره کردید، اردک، این نوع آسیب‌پذیری، به جای اینکه فقط یک شرایط مسابقه ساده باشد، اغلب به عنوان TOCTOU شناخته می‌شود، که به نظر من نوعی پرنده کارائیب است.

اما به یک نام علمی پیچیده تر برای این نقص اشاره دارد که a نامیده می شود زمان بررسی تا زمان استفاده.

بنابراین، TOCTOU… "Toctou"!

---

اردک.  من هم مثل شما همیشه تصور می کردم که این یک طوطی پلینزی بسیار زیباست.

اما در واقع، همانطور که شما می گویید، شکل زشتی از اشکال است که در آن حقایق خود را بررسی می کنید، اما آنها را خیلی زود بررسی می کنید و تا زمانی که به آن حقایق تکیه کنید، آنها تغییر کرده اند.

بنابراین زوم مشکل را برطرف کرد - و پاتریک واردل گفت که به آنها تبریک گفت... آنها آن را در عرض یک روز پس از انجام مقاله در DEF CON برطرف کردند.

آنها به درستی امتیازات موجود در فایل را قبل از شروع فرآیند اعتبارسنجی آن در وهله اول قفل کردند.

بنابراین، اعتبارسنجی پس از تکمیل، تا پایان نصب معتبر باقی ماند.

مشکل حل شد.

با این حال، واقعاً هرگز نباید در وهله اول وجود داشته باشد؟

---

CHET.  اگر کاربر مک هستید، می‌توانید شماره نسخه خود را بررسی کنید تا مطمئن شوید که در نسخه ثابت هستید.

نسخه ای که ثابت شده 5.11.5 یا بالاتر است - نمی دانم که آیا بعداً منتشر شده است یا خیر.

[توجه داشته باشید. در فاصله زمانی ضبط و انتشار این قسمت، به روز رسانی بعدی به 5.11.6 منتشر شد.]

---

اردک.  در حال حاضر، به این معنی نیست که اگر شما این وصله را نداشته باشید، یک فرد خارجی می‌تواند وارد رایانه شما شود، اما داشتن این مشکل بدی است…

... جایی که یک کلاهبردار که به شبکه شما نفوذ کرده است، اما مثلاً فقط از امتیازات مهمان برخوردار است، می تواند ناگهان خود را ارتقا دهد و ابرقدرت های root یا sysadmin پیدا کند.

این دقیقاً همان کاری است که کلاهبرداران باج افزار دوست دارند انجام دهند.

آن‌ها با قدرت کم وارد می‌شوند، و سپس راه خود را ادامه می‌دهند تا جایی که با sysadmin‌های معمولی برابری می‌کنند.

و سپس، متأسفانه، محدودیت بسیار کمی برای کارهایی که می توانند بعد از آن برای بد انجام دهند وجود دارد.

چستر، بیایید به ادامه مطلب برویم اشکال بعدی.

این یک اشکال است که به نام ... خوب، A و E است که با هم نوشته شده اند، که یک حرف انگلیسی قدیمی است - دیگر در انگلیسی استفاده نمی شود، و حرفی است که به آن گفته می شود. خاکستر، اما در این مورد، به معنای APIC/EPIC است.

APIC، چون روی APIC ها تأثیر می گذارد کنترل کننده وقفه قابل برنامه ریزی پیشرفته، و آن را یک نشت حماسی می دانند.

---

CHET.  به نظرم جالب بود، اما اجازه دهید با این واقعیت شروع کنیم که فکر نمی‌کنم آنطور که از نامش پیداست، آنقدر حماسی باشد.

مطمئناً APIC درگیر است، اما من در مورد EPIC چندان مطمئن نیستم!

حقیقت موضوع، وقتی همه اینها را آشکار می‌کنید، این است که بخشی از CPUهای اینتل به نام SGX را تحت تأثیر قرار می‌دهد، که… حالا فراموش می‌کنم… برنامه های افزودنی محافظ نرم افزار، من میخواهم بگویم؟

---

اردک.  شما درست می گویید!

---

CHET.  خوب، این اولین باگی نیست که SGX را تحت تأثیر قرار می دهد.

من همه آنها را شمردم، اما حداقل هفت مورد قبلی را پیدا کردم، بنابراین کارنامه خوبی در انجام کارهایی که برای انجام آن طراحی شده است، نداشته است.

و تنها کاربرد عملی آن را در هر جایی پیدا کردم این بود که شما به این قابلیت برای ذخیره کلیدهای مخفی برای پخش دیسک های بلوری UltraHD در ویندوز نیاز دارید.

و با چیپ هایی که از SGX پشتیبانی نمی کنند، ظاهراً مجاز به تماشای فیلم نیستید.

---

اردک.  این موضوع طعنه آمیز است، زیرا اینتل در حال حاضر، در نسل دوازدهم CPU های خود ... SGX را برای تراشه های به اصطلاح "کلینت" متوقف کرده است.

بنابراین، تراشه‌هایی که اکنون در صورت داشتن یک لپ‌تاپ کاملاً جدید دریافت می‌کنید – این مورد صدق نمی‌کند، زیرا SGX در آن وجود ندارد.

به نظر می رسد آنها آن را چیزی می دانند که ممکن است در سرورها مفید باشد.

---

CHET.  خب، من فکر می‌کنم منصفانه است که بگوییم سرنوشت SGX توسط اینتل که قبلاً آن را از پردازنده‌های نسل دوازدهم خارج کرده است، رقم خورده است.

اگر نه برای این واقعیت که این هشتمین راه هوشمندانه متفاوتی است که کسی برای استخراج اسرار پیدا کرده است... از چیزی که فقط برای حفظ اسرار طراحی شده است.

---

اردک.  بله، این یک یادآوری است که عملکرد مانع می شود.

زیرا درک من این است که روش کار این است که روش قدیمی برای خارج کردن داده ها از کنترل کننده وقفه قابل برنامه ریزی، APIC، اساساً خواندن آن از یک بلوک حافظه است که به طور خاص به آن دستگاه اختصاص داده شده بود.

بلوک حافظه مورد استفاده برای داده های وقفه ای که استخراج شد، 4 کیلوبایت بود ... اندازه یک صفحه حافظه.

اما داده‌های زیادی برای استخراج وجود نداشت، و آنچه قبلاً وجود داشت - به عنوان مثال، در حافظه پنهان سیستم - دوباره نوشته شد.

به عبارت دیگر، پردازشگر وقفه، حافظه ای را که قرار بود از آن استفاده کند، قبل از نوشتن در بایت هایی که قصد ارائه آن را داشت، پاک نکرد.

بنابراین، گاهی اوقات به طور تصادفی مقادیر داده را از قسمت های دلخواه دیگر حافظه که CPU اخیراً به آنها دسترسی داشته است، تحویل می دهد.

و با کنترل آنچه اتفاق افتاد و به چه ترتیبی، محققان دریافتند که می‌توانند محتویات RAM را که قرار بود در این "محصورهای" SGX مهر و موم شده بودند متقاعد کنند تا به‌عنوان نوعی حافظه اولیه اولیه در وسط مدیریت وقفه ظاهر شوند.

بنابراین، همیشه یادآوری می‌کنیم که وقتی سعی می‌کنید و با استفاده از میانبرهای امنیتی، کارها را سرعت می‌دهید، می‌توانید با انواع مشکلات روبرو شوید.

---

CHET.  اگر می خواهید به این چیز برای حفظ اسرار اعتماد کنید، نیاز به بررسی زیادی دارد.

و به نظر می رسد که این فناوری SGX زمانی که راه اندازی شد نیمه کاره بود.

---

اردک.  پیچیدگی همیشه با هزینه/ریسک همراه است، اینطور نیست؟

اگر فکر می کنید، چستر، به پردازنده 6502 برگردید که در Apple II معروف بود، VIC-20، Commodore 64... اگر اهل بریتانیا هستید، در BBC Micro بود.

من معتقدم که این تراشه حدود 4000 ترانزیستور داشت.

بنابراین واقعاً یک چیپ مجموعه دستورالعمل کاهش یافته یا RISC بود.

در حالی که من می دانم که آخرین پردازنده Apple M2 دارای 20 میلیارد (مانند 20,000,000,000) ترانزیستور است، فقط در یک CPU.

بنابراین، می‌توانید مشاهده کنید که وقتی شروع به اضافه کردن چیزهایی می‌کنید مانند کنترل‌کننده وقفه (که می‌تواند در تراشه قرار گیرد)، محصور امن (خوب، که می‌تواند در تراشه قرار گیرد)، ابر نخ (که می‌تواند در تراشه قرار گیرد)، [سرعت UP MANICally] دستورالعمل‌های برداری (آنهایی که می‌توانند در تراشه قرار گیرند)، اجرای گمانه‌زنی، مرتب‌سازی مجدد دستورالعمل‌ها، چند هسته‌ای…

... همه این موارد، تعجب آور نیست که گاهی اوقات همه چیز آنطور که شما انتظار دارید کار نمی کند، و زمان زیادی طول می کشد تا کسی متوجه شود.

---

CHET.  خوب، کار خوبی برای محققانی که آن را پیدا کردند، زیرا مطمئناً تحقیقات جالبی است.

و اگر می خواهید کمی بیشتر در مورد آن بدانید، مقاله امنیت برهنه خود را فوق العاده خوب توضیح می دهد برای افرادی که معمولاً با چیزهایی مانند کنترلرهای APIC آشنا نیستند.

بنابراین من توصیه می کنم که مردم آن را بررسی کنند، زیرا این نمونه ای کامل از پیامدهای ناخواسته تصمیمات ساده ای است که در مورد چیزهای بسیار پیچیده گرفته می شود.

---

اردک.  من فکر می کنم این یک راه عالی برای بیان آن است. چستر

همچنین ما را آزاد می‌گذارد که به موضوع بحث‌برانگیز دیگری برویم، و آن واقعیتی است که دولت ایالات متحده دارد ارائه جایزه که می گوید برای اطلاعات در مورد خدمه باج افزار Conti "تا 10 میلیون دلار" است.

اکنون، به نظر می رسد که آنها نام واقعی کسی را نمی دانند.

این افراد تنها با نام های Dandis، Professor، Reshaev، Target و Tramp شناخته می شوند.

و تصاویر آنها فقط یک شبح است…

---

CHET.  بله، وقتی برای اولین بار مقاله را دیدم، فکر کردم توصیف جنایتکاران مانند مردم جزیره گیلیگان است.

ما پروفسور و ولگرد را داریم... و من کاملاً مطمئن نبودم که این نام مستعار به کجا می‌رود.

امیدوارم این تلاش موفقیت آمیزتر از تلاش قبلی باشد... منظورم این است که یک گروه دیگر وجود داشت که آنها 10 میلیون دلار برای آن پیشنهاد دادند که گروه Evil Corp بود.

و طبق اطلاع من هنوز هیچ گونه دستگیری یا اقدام قانونی صورت نگرفته است. بنابراین احتمالاً 10 میلیون دلار برای به دست آوردن Evil Corp انگیزه کافی برای مردم برای تلنگر زدن به عاملان آن گروه نبود.

بنابراین، امیدوارم که این یکی کمی موفق تر باشد.

اما یک عکس خارق العاده وجود داشت که باعث گمانه زنی ها و گفتگوهای زیادی در توییترها و حتی امنیت برهنه شد. پستی که نوشتی، یکی از عاملان ادعایی.

ما نمی دانیم که آیا او یکی از اعضای گروه کنترلی است که Ransomware-as-a-Service را اجرا کرده یا اجرا می کند، یا اینکه آیا او صرفاً یکی از افراد وابسته بوده است که از این بدافزار استفاده می کرده است و در پرداخت کمیسیون سودهای غیرقانونی از این بدافزار مشارکت داشته است. قربانیان.

اما شما نمی توانید بیشتر از این به طور کلیشه ای روسی بگیرید... منظورم این است که ما داریم به این نگاه می کنیم: آن پسر یک ستاره قرمز روی کلاهش دارد، و من حدس می زنم یک بطری کوچک ودکا در دستش است، و یک بالالایکا وجود دارد.

این تقریباً خیلی خوب است که درست باشد.

---

اردک.  و با لباس هکری خوب، نوعی ژاکت پف کرده با هودی بر تن دارد…

...اگرچه او هودی را پایین آورده است، پس شاید به حساب نمی آید؟

آیا فکر می کنی چستر، آنها باند کونتی را هدف قرار داده اند، زیرا در میان دزدها کمی آبروریزی داشتند؟

حدود یک سال پیش، برخی از شرکت‌های وابسته بسیار متحیر شدند، ادعا کردند که در حال پاره شدن هستند، و یک نقض اطلاعات وجود دارد، آیا در آنجا یکی از آنها تعداد زیادی کتابچه راهنمای عملیاتی و فایل‌های نرم‌افزاری را رها کرده است؟

---

CHET.  می دانید، قطعات زیادی در آنجا وجود دارد.

همانطور که اشاره کردید - من معتقدم در اوت 2021 بود - کسی دفترچه راهنمای عملیات خود را به بیرون درز کرد، یا "کتاب بازی" آنها، همانطور که به آن اشاره شده است.

پس از حمله به اوکراین، به نظر می‌رسید که کونتی به‌عنوان یک موجود، بسیار طرفدار روسیه بود، که باعث شد تعدادی از اوکراینی‌ها که بخشی از طرح آن‌ها بودند، به آنها روی بیاورند و مجموعه‌ای از اطلاعات در مورد عملیات و چیزهای آنها را نیز به بیرون درز کنند.

بنابراین، مطمئناً چیزهایی در آنجا وجود داشته است.

من فکر می کنم دلیل دیگر، اردک، به سادگی این است مقدار زیادی خسارت آنها باعث شده اند

منظورم این است که وقتی نوشته‌هایمان را از تیم واکنش سریع خود انجام دادیم، بدون شک پرکارترین گروهی که در سال 2021 باعث آسیب شد، Conti بود.

هیچ‌کس واقعاً نمی‌خرد که آنها از زیرزمین جنایتکار خارج شده‌اند.

اینطور نیست که پولشان را گرفتند و رفتند... آنها به سادگی به طرح‌های جدیدی تبدیل شده‌اند، و خودشان را به گروه‌های باج‌افزار مختلف تقسیم کرده‌اند، و نقش‌های متفاوتی نسبت به خودشان در جامعه بازی می‌کنند.

و اخیراً، برخی از مردم ممکن است شنیده باشند که حملاتی علیه دولت کاستاریکا صورت گرفته است که به کونتی نسبت داده شده است، و حتی خیلی قبل از آن نبوده است.

بنابراین فکر می‌کنم اینجا لایه‌هایی وجود دارد، و یکی از آن لایه‌ها ممکن است دندیس، پروفسور، رشایف…

... این افراد تا حدودی توسط افرادی که ادعا می‌کنند می‌دانند چه کسانی هستند، علنا ​​[در صورتی که داده‌های شخصی به‌صورت عمدی به بیرون درز کرده بود، متهم شده‌اند، اما بدون ارائه مدرکی که شایسته کیفرخواست و محکومیت باشد.

و بنابراین شاید این امیدی باشد که شاید اگر قیمت به اندازه کافی بالا باشد پا پیش بگذارند و به رفقای سابق خود بپردازند.

---

اردک.  با این حال، حتی اگر فردا همه آنها منهدم شوند، و همه آنها متهم شوند، و همه آنها مجرم شناخته شوند، این امر در روند رسیدگی به باج افزارها تأثیر منفی خواهد گذاشت، اینطور نیست؟

اما متأسفانه، این یک *عوض* خواهد بود، نه *پایان*.

---

CHET.  کاملا.

متأسفانه، این دنیایی است که ما در این روزها زندگی می کنیم.

من فکر می‌کنم که همچنان شاهد تکامل این جنایات به روش‌های مختلف خواهیم بود و امیدواریم با بهبود و بهتر شدن در دفاع از خود، کمی تسکین پیدا کنیم.

اما با باج‌گیری‌های بالقوه 25 میلیون دلاری، افراد زیادی وجود دارند که مایلند از شانس استفاده کنند و به ارتکاب این جنایات ادامه دهند، چه این جنایتکاران خاص در راس آن باشند یا نه.

---

اردک.  بله.

شما فکر می کنید، "اوه، خوب، آنها هرگز 25 میلیون دلار دریافت نمی کنند. آنها احتمالاً در نهایت به کمتر راضی می‌شوند.»

اما حتی اگر این عدد به مثلاً 250,000 دلار کاهش یابد.

... همانطور که تیم جوایز عدالت ایالات متحده اشاره می کند: از سال 2019، آنها ادعا می کنند که باند Conti به تنهایی (به نقل از سایت RfJ)، که باج افزار آنها برای انجام بیش از 1000 حمله باج افزار با هدف قرار دادن زیرساخت های حیاتی ایالات متحده و بین المللی استفاده شده است.

خدمات پزشکی، مراکز اعزام 9-1-1، شهرک ها، شهرداری ها.

و آن‌ها نشان می‌دهند که تنها شبکه‌های مراقبت‌های بهداشتی و پاسخ‌دهنده - چیزهایی مانند رانندگان آمبولانس، آتش نشانی، بیمارستان‌ها - بیش از 400 مورد در سراسر جهان از جمله 290 در ایالات متحده آسیب دیده‌اند.

بنابراین، اگر 290 را ضرب کنید (من در اینجا از نقل قول های هوایی غول پیکر استفاده می کنم) در "هزینه تخفیف" 250,000 دلاری که باید برای ارائه مراقبت های بهداشتی هزینه می شد ...

... به هر حال شما یک عدد بسیار بزرگ دریافت می کنید.

---

CHET.  چهار سال پیش را به یاد بیاورید که یک را منتشر کردیم گزارش در سام سام و ما شگفت زده شدیم که آنها در طول سه سال 6 میلیون دلار درآمد داشتند؟

---

اردک.  این هنوز پول زیادی است، چستر!

خوب، این برای من است... شاید شما اهل پرواز هستید. [خنده]

من می دانم که شما یک موضوع دارید - ما این موضوع را در مورد امنیت برهنه ننوشته ایم، اما این چیزی است که شما بسیار به آن علاقه دارید…

... و این واقعیتی است که وقتی صحبت از امنیت سایبری به میان می آید، نمی توان «یک حلقه برای حکومت بر همه آنها» وجود داشت.

مخصوصاً وقتی صحبت از مواردی مانند مراقبت‌های بهداشتی و اولین پاسخ‌دهندگان به میان می‌آید، جایی که هر چیزی که ممکن است به منظور بهبود امنیت مانع شود، می‌تواند خدمات را به طور خطرناکی بدتر کند.

و شما داستانی از مؤسسه ملی بهداشت برای گفتن دارید…

---

CHET.  بله، من فکر می‌کنم این یادآوری مهمی است که ما در درجه اول مسئول مدیریت ریسک هستیم، نه نتایجی که در نهایت امنیت کامل دارند.

و من فکر می‌کنم بسیاری از تمرین‌کنندگان اغلب آن را فراموش می‌کنند.

من می بینم که بسیاری از این بحث ها در جریان است، به خصوص در رسانه های اجتماعی: "کامل دشمن خوبی است" که قبلاً در پادکست ها نیز در مورد آن صحبت کرده ایم.

... جایی که، "شما باید این کار را به این طریق انجام دهید، و این تنها راه درست برای انجام آن است."

و من فکر می کنم این جالب است - این مطالعه رابطه بین بیمارستان‌هایی که نقض داده‌ها داشتند و نتایج بیماران در پی آن نقض داده‌ها.

این ممکن است در ظاهر منطقی نباشد، اما اجازه دهید یافته‌های اصلی را برای شما بخوانم، که فکر می‌کنم کاملاً روشن می‌کند که در مورد چه چیزی صحبت می‌کنیم.

یافته های اصلی عبارتند از:

زمان بیمارستان برای انجام الکتروکاردیوگرام به میزان 2.7 دقیقه افزایش یافت و مرگ و میر 30 روزه انفارکتوس حاد میوکارد تا 0.36 درصد افزایش یافت، در طول سه سال بعد از نقض داده ها.

در اصل، آنچه ما می گوییم این است که یک سوم درصد بیشتر از بیمارانی که پیامدهای مرگبار داشته اند، در بیمارستان هایی که بعداً اطلاعات را نقض کرده اند، بر اثر حملات قلبی جان خود را از دست می دهند.

---

اردک.  احتمالاً معنای وجود دارد این است که اگر آنها می‌توانستند دستگاه الکتروکاردیوگرام را روی آن‌ها بیاورند و نتایج را دریافت کنند و سریع‌تر تصمیم بالینی بگیرند، ممکن بود می‌توانستند تعداد غیرمعمولی از آن افرادی را که فوت کرده‌اند نجات دهند؟

---

CHET.  بله، و من فکر می‌کنم وقتی به یک بیمارستان شلوغ فکر می‌کنید، جایی که مردم مرتباً با حملات قلبی و سکته وارد می‌شوند، از هر 1 بیمار، 300 نفر به دلیل پروتکل‌های امنیتی جدید جان خود را از دست می‌دهند، نوعی نگرانی است.

و اداره بهداشت و خدمات انسانی در ایالات متحده ادامه می دهد که آنها توصیه می کنند که بیمارستان های نقض شده "ابتکارات امنیتی اصلاحی را برای دستیابی به امنیت داده های بهتر بدون تأثیر منفی بر نتایج بیمار به دقت ارزیابی کنند."

و من فکر می کنم اینجا واقعاً جایی است که ما باید فوق العاده محتاط باشیم، درست است؟

همه ما خواهان امنیت اطلاعات بهتر هستیم و من می‌خواهم سوابق بیمارم هنگام مراجعه به بیمارستان ایمن نگه داشته شود.

و ما مطمئناً می‌خواهیم مطمئن باشیم که مردم به رایانه‌ها و پرونده‌هایی که نباید دسترسی داشته باشند، و مردم داروهایی را که نباید می‌توانند مضر باشند، توزیع نمی‌کنند.

از طرفی این زندگی و مرگ است.

و در حالی که این ممکن است در مورد شرکت حقوقی، شرکت بازاریابی، یا کارخانه ای که شما مسئول امنیت آن هستید، صدق نکند... من فکر می کنم یادآوری مهمی است که هیچ اندازه برای اینکه چگونه امنیت را انجام دهیم وجود ندارد.

ما باید هر موقعیتی را ارزیابی کنیم و مطمئن شویم که آن را با میزان ریسکی که مایل به پذیرش آن هستیم تنظیم می کنیم.

و شخصاً حاضرم خطر به خطر افتادن سوابق پزشکی خود را بیشتر از خطر مرگ بپذیرم زیرا کسی مجبور شد برای باز کردن قفل دستگاه الکتروکاردیوگرام یک کد دو عاملی بگیرد!

---

اردک.  خوب چستر، تو دیابتی نوع 1 هستی، اینطور نیست؟

و شما یکی از آن پمپ های انسولین جادویی را دارید.

حالا، شرط می بندم که برای نصب آخرین هسته لینوکس در لحظه ای که منتشر شد، عجله نکنید!

---

CHET.  کاملا!

منظورم این است که این دستگاه‌ها آزمایش‌های دقیقی را پشت سر می‌گذارند... این بدان معنا نیست که آنها بدون اشکال هستند، اما وقتی درباره سلامتی خود صحبت می‌کنید و می‌توانید آن را مدیریت کنید، موارد شناخته شده بهتر از ناشناخته‌ها هستند.

و مطمئناً باگ‌های نرم‌افزاری در این دستگاه‌ها وجود دارد، و آنها در حال مدرنیزه شدن هستند و فناوری‌هایی مانند بلوتوث را نیز شامل می‌شوند... یا جهش بزرگ برای دستگاه من این بود که صفحه‌نمایش رنگی داشت، که به شما می‌گوید برخی از فناوری‌های موجود در این دستگاه‌ها چند قدمت دارند. چیزها است!

مقامات پزشکی برای تایید این دستگاه ها پروسه بسیار بسیار طولانی دارند.

و "آزمایش شده و درست" (مانند گفتگوی قبلی در مورد ترانزیستورها و پردازنده ها)، چیزهای ساده ای که می توانیم درک کنیم، به چیزهای جدید و پیچیده ای ترجیح داده می شوند که کشف و یافتن آن نقص های امنیتی بسیار دشوارتر است.

من نمی توانم تصور کنم، اگر چیزی به عنوان Patch Tuesday برای این پمپ انسولین وجود داشت، من در صف قرار می گرفتم تا اولین مردی در بلوک در روز سه شنبه برای نصب آپدیت باشم!

با وجود تمام زگیل هایش، من دقیقاً می دانم که چگونه کار می کند و چگونه این کار را نمی کند.

و به نظر شما، من به خوبی با آن همزیستی دارم…

…دستگاه مسئولیت خود را برای ثابت ماندن می داند و من یاد گرفته ام که چگونه از آن به نفع خودم برای بهبود سلامتم استفاده کنم.

هر تغییری در آن می تواند ترسناک و مخرب باشد.

بنابراین، پاسخ همیشه بهتر، سریع‌تر و هوشمندانه‌تر نیست.

گاهی اوقات این "معروف شناخته شده" در قابلیت اطمینان و اعتماد است.

---

اردک.  با این حال، نداشتن نقض داده ها نیز کمک می کند!

و چند کار ساده و شگفت آور وجود دارد که می توانید برای محافظت از سازمان خود در برابر خروج داده ها در جایی که نباید انجام دهید.

---

CHET.  و یکی از چیزها، اردک، این است که ما زمان گذشته را نداریم.

مجرمان دائماً اینترنت را اسکن می کنند و به دنبال هر یک از این اشتباهات هستند که ممکن است مرتکب شده باشید، خواه این یک خط مشی منسوخ برای اجازه دادن به بسیاری از چیزها باشد، یا اینکه آیا این خدمات افشا شده ای است که شاید ده سال پیش افشای آنها کاملاً خوب بود، اما اکنون وجود آنها خطرناک است. در معرض اینترنت قرار گرفته است.

---

اردک.  RDP که آن زمان فراموش کرد.

---

CHET.  بله، خوب، من متاسفم که فکر می کنم RDP مدام مطرح می شود، اما در واقع، در Black Hat هفته گذشته، ما یک مقاله منتشر کردیم و یک وبلاگ نوشت در مورد وضعیتی که در آن یک سازمان در عرض چند هفته سه حمله باج افزار مختلف داشت، همه در داخل یک سازمان، که تا حدودی همزمان اتفاق می افتاد.

و این اولین بار نیست که بیش از یک مهاجم را در یک شبکه می بینیم.

من فکر می کنم شاید اولین بار باشد که *سه* را در یک شبکه می بینیم.

---

اردک.  اوه، گلی، آیا آنها همپوشانی دارند؟

آیا آنها به معنای واقعی کلمه هنوز با حمله A در زمان حمله B روبرو بودند؟

---

CHET.  بله، من معتقدم بین مهاجم B و مهاجم C یک شکاف وجود داشت، اما A و B به طور همزمان وارد شدند، احتمالاً از طریق همان نقص ابزار دسترسی از راه دور که هر دو پیدا کرده بودند و از آن سوء استفاده کرده بودند، وارد شدند.

و سپس، من معتقدم، گروه B ابزار دسترسی از راه دور خود را نصب کردند، به نوعی به عنوان یک درب پشتی ثانویه فقط در صورتی که درب اول بسته شود…

و گروه C ابزار دسترسی از راه دور خود را پیدا کردند و وارد شدند.

---

اردک.  گلی… ما نباید بخندیم، اما این یک نوع کمدی از اشتباهات است.

به راحتی می توان گفت: "خوب، در هر شبکه ای که نیمه مدیریت شده باشد، باید بدانید که ابزار رسمی دسترسی از راه دور شما چیست، به طوری که هر چیزی که آن چیزی نیست باید به وضوح برجسته شود."

اما اجازه دهید این را از شنوندگان خود بپرسم: اگر شما مسئول یک شبکه هستید، می توانید دست خود را روی قلب خود بگذارید و به من بگویید که در حال حاضر دقیقاً چند ابزار کنفرانس از راه دور در شرکت خود استفاده می کنید؟

---

CHET.  بله کاملا.

ما یک قربانی داشتیم که اوایل امسال نوشتیم که من معتقدم *هشت* ابزار دسترسی از راه دور مختلف داشتیم که در طول تحقیقات خود پیدا کردیم، برخی از آنها به طور قانونی ده سال پیش استفاده شده بودند، و آنها استفاده از آنها را متوقف کردند اما هرگز آنها را حذف نکردند.

و موارد دیگری که توسط چندین عامل تهدید معرفی شده بودند.

بنابراین مطمئناً این چیزی است که باید مراقب آن بود!

---

اردک.  خوب، چستر، بیایید امیدوار باشیم که این پیشنهاد به اندازه کافی خوش‌بینانه باشد که بتوانیم به آن پایان دهیم، زیرا برای این هفته وقت نداریم.

از شما بسیار سپاسگزارم، مثل همیشه، برای اینکه در کوتاه ترین زمان به میکروفون اضافه کردید.

و مثل همیشه فقط برای من باقی می ماند که بگویم: تا دفعه بعد…

---

هر دو.  ایمن بمان

[مودم موزیکال]