Napsauta ja vedä alla olevia ääniaaltoja hypätäksesi mihin tahansa kohtaan. Voit myös kuuntele suoraan Soundcloudissa.
Paul Ducklinin ja Chester Wisniewskin kanssa.
Intro ja outro musiikki Edith Mudge.
Voit kuunnella meitä Soundcloud, Apple Podcastit, Google Podcastit, Spotify, nitoja ja kaikkialla, missä hyviä podcasteja löytyy. Tai pudota vain RSS-syötteemme URL-osoite suosikki podcatcheriisi.
LUE OTTARKASTUS
[MUSIIKKIMODEEMI]
ANKKA. Tervetuloa podcastiin kaikki.
En ole Douglas… Olen Paul Ducklin.
Doug on lomalla, joten minuun liittyy hyvä ystäväni ja kollegani Chester Wisniewski Vancouverin toimistostamme.
Hei Chet!
CHET. Hei, Duck.
Miten menee?
ANKKA. Voin hyvin, kiitos.
Meillä oli tänään ensimmäinen sade Oxfordshiressä... kestää ainakin pari kuukautta.
Ainakin saimme vettä maahan, koska täällä on ollut erittäin, hyvin kuivaa – epätyypillisen kuivaa.
Entä sinä?
CHET. No, olen toipumassa DEF CONista, vaikka en ole osallistunut Defconiin, minkä en edes tiennyt olevan asia.
ANKKA. [NAURA] Voi, kyllä!
CHET. Vietin koko viikonlopun silmät kiinni Twitterissä, Twitchissä ja Discordissa ja kaikissa näissä alustoissa, joilla voit tavallaan etänä pseudo-osallistua kaikkiin juhliin.
Ja minun on sanottava, että se on paljon hauskempaa, kun olet itse asiassa Las Vegasissa.
Mutta kun otetaan huomioon, että COVID-tautiin palaaneiden tuntemieni ihmisten määrä on jo lähestymässä enemmän sormia ja peukaloita kuin minulla on, mielestäni tein oikean valinnan ja olen iloinen voidessani olla uupunut liiallisesta internetin käytöstä koko viikonlopun.
ANKKA. Luuletko, että he todella saivat koronavirustartunnan, vai palasivatko he vain tunteellani, kuinka voin ilmaista sen… "pahoinvoin" johtuen siitä, että heillä oli Black Hat ja DEF CON.
CHET. Tiedätkö, niin paha kuin CON FLU voi olla…
ANKKA. CON FLUA?! [NAURA] Voi rakas!
CHET. …Olen melko varma, että tässä tapauksessa kyseessä on COVID, koska ihmiset eivät vain testaa, vaan suurimmalle osalle tuntemistani ihmisistä COVID on huomattavasti kivuliaampi kuin jopa CON FLU.
Joten nämä kaksi yhdistettynä olivat luultavasti erittäin kauheita, minun täytyy ajatella. [NAURU]
ANKKA. Kyllä!
Mutta älkäämme jääkö DEF CON -koronavirus/CON FLU -ongelmiin...
…käännämme huomiomme itse asiassa *puheen*, joka pidettiin DEF CONissa.
Tämä koskee a Zoomaa nollapäivä jonka kirjoitti Patrick Wardle ja esiteltiin DEF CON:ssa.
Pikemminkin valitettava sarja virheitä, mukaan lukien sellainen, jota ei korjattu kunnolla, Chester?
CHET. No, Patrick ei ole ainoa macOS-tietoturvatutkija maailmassa, mutta hän on varsin upea ongelmien löytämisessä.
Ja viimeisen kerran, kun näin Patrick Wardlen läsnä, oli Virus Bulletin -konferenssissa useita kertoja, ja joka kerta hän vei Applen kouluun joidenkin kyseenalaisten päätösten vuoksi allekirjoitusten vahvistamisesta, varmenteiden vahvistamisesta ja tämän tyyppisistä asioista.
Ja olen alkanut saada sellaisen vaikutelman, että Apple on suurelta osin muokannut turva-asentoaan joidenkin näiden asioiden ympärille.
Joten nyt hän etsii lisää myyjiä, jotka saattavat tehdä samanlaisia salausvirheitä, jotka voivat päästää haittaohjelmia alustalle.
ANKKA. Luulen, että vanhaan aikaan kaikki ajattelivat: "No, niin kauan kuin sinulla on TLS-yhteys" tai "Niin kauan kuin sinulla on jotain, jonka *joku* on allekirjoittanut digitaalisesti."
Joten koodi ei useinkaan vaivautunut tarkistamaan.
Mutta tässä tapauksessa he päättivät tarkistaa ladatut päivityspaketit varmistaakseen, että ne olivat Zoomista.
Mutta he eivät tehneet sitä kovin hyvin, vai mitä?
Sen sijaan, että kutsuisit virallisen järjestelmän API:n, joka poistuu, suorittaa tarkistuksen ja periaatteessa palaa tosi tai epätosi…
…he tavallaan "neuloivat omansa", eikö niin?
CHET. Kyllä.
Tarkoitan, että omien krypto-asioiden neulominen päättyy aina tuskallisesti.
Ja muistan, että viime podcastissa puhuit uudesta kvanttiturvallisesta krypto-algoritmista, joka murtui tunnissa kannettavalla tietokoneella.
ANKKA. SIKE!
CHET. Kaikki olivat niin keskittyneet kvanttipuolelle, että he tavallaan missasi perinteisen puolen, jopa joidenkin maailman älykkäimpien matemaatikoiden ja kryptografien joukossa, eikö niin?
Joten on todella helppoa tehdä virheitä, jotka voivat olla tuhoisia.
Ja omasi neulominen on asia, josta sinä ja minä olemme puhuneet, haluan sanoa, lähes 20 vuotta, eri viestintämuodoissa Sophosin puolesta.
Enkä usko, että olemme koskaan muuttaneet kantaamme, että se on kauhea idea!
ANKKA. Ongelmana ei ole se, että he päättivät käyttää omia digitaalisia allekirjoitusalgoritmejaan tai keksiä oman elliptisen käyränsä.
Se on vain, että sen sijaan, että sanoisi: "Tässä on tiedosto. Hyvä käyttöjärjestelmä, käytä standardoituja API-pohjaisia työkalujasi sen vahvistamiseen ja palaa True/False", he päättivät pohjimmiltaan ...
…he juoksivat pkgutil komentorivityökalu taustalla, jonka voit tehdä komentoriviltä, jos haluat saada ihmisen luettavan visuaalisen näytön siitä, kuka on allekirjoittanut minkäkin.
Ja sitten he kirjoittivat ohjelman, joka välitti tämän tekstipohjaisen tulosteen päättääkseen, halusivatko he saada vastauksen "tosi" vai "epätosi".
He saivat luettelon sertifikaattiketjusta ja etsivät "Zoom", jota seurasi "Developer Certification Authority", jota seurasi "Apple Root CA".
Joten he etsivät niitä merkkijonoja * mistä tahansa ulostulosta*, Chester!
Joten [NAURAA] käy ilmi, että jos loit paketin, jolla oli samanlainen nimi Zoom Video Communications Inc Developer ID Certification Authority Apple Root CA.pkg, Milloin sitten pkgutil kirjoitti tiedostonimen tulosteeseensa, kaikki kolme taikamerkkiä ilmestyvät!
Ja Zoomin melko taitamaton jäsentäjä päättäisi, että niin voisi tapahtua vain, jos nämä kolme organisaatiota olisivat allekirjoittaneet sen oikeassa järjestyksessä.
Itse asiassa se oli vain yksinkertaisesti antamasi nimi.
Ohhoh!
CHET. Ongelma tässä on se, että mikä johtaa ongelmaan, on tällainen alkeellinen allekirjoituksen tarkistus, jota he tekevät.
Mutta todellinen ongelma on tietysti se, että mikä tahansa paketti, joka voi antaa tämän nimen, asennetaan *rootiksi* järjestelmään, vaikka päivitysprosessia suorittava käyttäjä olisi etuoikeutettu.
ANKKA. Se oli koko ongelma.
Koska näytti siltä, että mitä tapahtui, ajoissa DEF CON, Zoom *korjasi* tämän ongelman.
He käyttävät API:ta oikein ja varmistavat luotettavasti ajettavan tiedoston eheyden ja aitouden.
Mutta siirtämällä sen väliaikaiseen hakemistoon, josta Zoom orkestroi asennuksen, he jättivät sen kirjoitettavaksi!
Joten hakemisto oli suojattu ja kaikki hakemistossa oleva suojattu… *paitsi tärkein tiedosto*.
Joten arvaa mitä voisit tehdä?
Jos ajoitit sen oikein (ns rodun kunto), alkuperäinen käyttäjä saattoi vaihtaa tiedostoa *sen jälkeen*, kun se oli läpäissyt digitaalisen henkilöllisyyden tarkistuksen, mutta *ennen* sitä käytettiin tosissaan.
Asennusohjelma käyttää tiedostoa, jonka se uskoo olevan vahvistettu ja todellakin validoitu...
…mutta mitätöitiin validoinnin ja käytön välisen aukon vuoksi.
CHET. Kyllä, ja kuten mainitset artikkelissa, Duck, tämän tyyppistä haavoittuvuutta, sen sijaan, että se olisi pelkkä rotu, kutsutaan usein TOCTOU:ksi, joka minusta kuulostaa jonkinlaiselta Karibian linnulta.
Mutta se viittaa vian monimutkaisempaan, tieteelliseen nimeen, nimeltään a Tarkastusajasta käyttöaikaan.
Joten, TOCTOU… "Toctou"!
ANKKA. Kuten sinä, olen aina kuvitellut sen olevan jonkinlainen erittäin kaunis polynesialainen papukaija.
Mutta se on itse asiassa, kuten sanot, ruma bugimuoto, jossa tarkistat tosiasiasi, mutta tarkistat ne liian aikaisin ja siihen mennessä kun alat luottaa noihin tosiasioihin, ne ovat muuttuneet.
Joten Zoom korjasi sen – ja Patrick Wardle sanoi, että hän onnitteli heitä… he korjasivat sen yhden päivän kuluessa sen jälkeen, kun hän oli tehnyt paperin DEF CONissa.
He lukitsivat tiedoston oikeudet oikein ennen kuin aloittivat sen vahvistamisprosessin.
Siten vahvistus oli suoritettuaan voimassa asennuksen loppuun asti.
Ongelma ratkaistu.
Mutta eikö sen olisi koskaan pitänyt olla siellä alun perin?
CHET. Jos olet Mac-käyttäjä, voit tarkistaa versionumerosi varmistaaksesi, että käytät kiinteää versiota.
Korjattu versio on 5.11.5 tai uudempi – en tiedä onko myöhemmin julkaistuja julkaisuja.
[Merkintä. Lisäpäivitys 5.11.6:een julkaistiin tämän jakson tallennuksen ja julkaisun välillä.]
ANKKA. Se ei nyt tarkoita, että ulkopuolinen voi murtautua tietokoneellesi, jos sinulla ei ole tätä korjaustiedostoa, mutta se on ikävä ongelma…
…jossa huijari, joka on murtautunut verkkoosi, mutta jolla on esimerkiksi vierasoikeuksia, voi yhtäkkiä kohota itsensä ja saada pääkäyttäjän tai järjestelmänvalvojan supervaltuudet.
Juuri sitä ransomware-roistot rakastavat tehdä.
He tulevat sisään pienellä teholla ja jatkavat sitten ylöspäin, kunnes he ovat tasa-arvoisessa asemassa tavallisten järjestelmänvalvojien kanssa.
Ja sitten valitettavasti on hyvin vähän rajaa sille, mitä he voivat tehdä huonoksi jälkeenpäin.
Chester, siirrytään asiaan seuraava bugi.
Tämä on bugi, joka tunnetaan nimellä… no, se on A ja E kirjoitettu yhdessä, mikä on vanha englanninkielinen kirjain – sitä ei käytetä enää englanniksi, ja se on kirjain ns. tuhka, mutta tässä tapauksessa sen on tarkoitus olla APIC/EPIC.
APIC, koska se vaikuttaa APIC:ihin, Kehittynyt ohjelmoitava keskeytysohjain, ja he pitävät sitä EPIC-vuodona.
CHET. Minusta se oli kiinnostava, mutta aloitetaan siitä tosiasiasta, että se ei ehkä ole niin eeppinen, kuin sen nimi antaa ymmärtää.
APIC on varmasti mukana, mutta en ole niin varma EPIC:stä!
Totuus on, että kun selvität tämän kaiken, se vaikuttaa osaan Intelin prosessoreista, jotka tunnetaan nimellä SGX, joka on… Unohdan nyt… Software Guard -laajennukset, Haluan sanoa?
ANKKA. Olet oikeassa!
CHET. No, tämä ei ole ensimmäinen bugi, joka vaikuttaa SGX:ään.
En laskenut kaikkia, mutta löysin ainakin seitsemän aikaisempaa tapausta, joten sillä ei ole ollut suurta ennätystä juuri sen toiminnan tekemisessä, johon se on suunniteltu.
Ja ainoa käytännöllinen käyttö, jonka löysin mistä tahansa, oli se, että tarvitset tämän toiminnon salaisten avainten tallentamiseen UltraHD Blu-ray -levyjen toistamiseen Windowsissa.
Ja siruilla, jotka eivät tue SGX:tä, et ilmeisesti saa katsoa elokuvia.
ANKKA. Mikä on ironista, koska Intel on nyt, prosessorien 12. sukupolvessa… he ovat lopettaneet SGX:n niin sanotuille "asiakaspiireille".
Joten sirut, jotka nyt saat, jos sinulla on upouusi kannettava tietokone – tämä ei päde, koska siinä ei ole SGX:tä.
Näyttää siltä, että he näkevät sen olevan hyödyllistä palvelimilla.
CHET. No, mielestäni on reilua sanoa, että SGX:n kohtalo on sinetöity, koska Intel on jo vetänyt sen ulos 12. sukupolven suorittimista.
Ellei se tosiasia, että tämä on kuin kahdeksas erilainen älykäs tapa, jolla joku on löytänyt salaisuuksia… siitä, joka on suunniteltu vain pitämään salaisuuksia.
ANKKA. Kyllä, se on muistutus siitä, että suorituskyky on tiellä.
Koska ymmärrän, että tapa tämä toimii on, että vanhanaikainen tapa saada tiedot pois ohjelmoitavasta keskeytysohjaimesta, APIC:stä, oli pohjimmiltaan lukea ne muistilohkosta, joka oli varattu erityisesti kyseiselle laitteelle.
Poimittujen keskeytystietojen muistilohko oli 4 kt… yhden muistisivun kokoinen.
Poimittavaa dataa ei kuitenkaan ollut paljoa, ja se, mikä oli aiemmin – esimerkiksi järjestelmän välimuistissa – kirjoitettiin takaisin.
Toisin sanoen keskeytysprosessori ei tyhjentänyt muistia, jota se aikoi käyttää, ennen kuin se kirjoitti tavuihin, jotka se aikoi toimittaa.
Joten joskus se toimitti vahingossa data-arvoja mielivaltaisista muista muistin osista, joita CPU oli äskettäin käyttänyt.
Ja valvomalla, mitä tapahtui ja missä järjestyksessä, tutkijat havaitsivat, että he pystyivät vakuuttamaan RAM-sisällöt, jotka oli tarkoitus sulkea näihin SGX- "enklaaveihin", nousemaan eräänlaiseksi alustamattomaksi muistiksi keskeytyksen käsittelyn keskellä.
Joten aina muistutus siitä, että kun yrität nopeuttaa asioita käyttämällä suojausoikoteitä, voit päätyä kaikenlaisiin ongelmiin.
CHET. Jos aiot luottaa tähän salaisuuksiin, se vaatii paljon tarkastelua.
Ja tuntuu, että tämä SGX-tekniikka oli markkinoille tullessaan puolikypsä.
ANKKA. Monimutkaisuuteen liittyy aina kustannuksia/riskejä, eikö niin?
Jos luulet, Chester, takaisin 6502-prosessoriin, joka kuului Apple II:ssa, VIC-20:ssä, Commodore 64:ssä… jos olet Iso-Britanniasta, se oli BBC Microssa.
Uskon, että sirulla oli noin 4000 transistoria.
Joten se oli todella Reduced Instruction Set Chip tai RISC.
Ymmärtääkseni uusimmassa Apple M2 -prosessorissa on 20 miljardia (kuten 20,000,000,000 XNUMX XNUMX XNUMX) transistoria vain yhdessä prosessorissa.
Joten voit nähdä, että kun alat lisätä asioita, kuten keskeytysohjain (joka voi mennä sirulle), suojattu enklaavi (joka voi mennä sirulle), hypersäikeistys (joka voi mennä sirulle), [SPEEDING YLÖS MANICALLY] vektoriohjeet (ne voivat mennä sirulle), spekulatiivinen suoritus, käskyjen uudelleenjärjestäminen, moniytiminen…
…kaikki nuo jutut, ei ole yllättävää, että joskus asiat eivät toimi niin kuin voisi odottaa, ja kestää melko kauan ennen kuin kukaan huomaa.
CHET. No, hyvää työtä tutkijoille, jotka löysivät sen, koska se on varmasti mielenkiintoinen tutkimus.
Ja jos haluat ymmärtää siitä hieman enemmän, Naked Security -artikkelisi selittää sen uskomattoman hyvin ihmisille, jotka eivät yleensä tunne APIC-ohjaimien kaltaisia asioita.
Joten suosittelen, että ihmiset tarkistavat sen, koska se on täydellinen esimerkki tahattomista seurauksista, jotka johtuvat hyvin monimutkaisista asioista tehdyistä yksinkertaisista päätöksistä.
ANKKA. Mielestäni se on erinomainen tapa ilmaista se. Chester.
Se antaa meille myös vapauden siirtyä toiseen kiistanalaiseen kysymykseen, ja se on se tosiasia, että Yhdysvaltain hallitus on tarjoamalla palkintoa että se sanoo olevan "jopa 10 miljoonaa dollaria" tiedoksi Conti ransomware -miehistöstä.
Nyt näyttää siltä, että he eivät tiedä kenenkään oikeaa nimeä.
Nämä ihmiset tunnetaan vain nimillä Dandis, Professor, Reshaev, Target ja Tramp.
Ja heidän kuvat ovat vain siluetteja…
CHET. Kyllä, kun näin artikkelin ensimmäisen kerran, ajattelin, että rikollisten kuvaus oli kuin ihmiset Gilliganin saarella.
Meillä on Professori ja Kulkuri… enkä ollut aivan varma, mihin tämä oli menossa lempinimien kanssa.
Toivottavasti tämä yritys on menestyneempi kuin edellinen… Tarkoitan, oli toinen ryhmä, jolle he tarjosivat 10 miljoonaa dollaria, joka oli Evil Corp -ryhmä.
Ja tietääkseni pidätyksiä tai minkäänlaisia oikeustoimia ei ole vielä ryhdytty. Joten oletettavasti 10 miljoonaa dollaria Evil Corpin hankkimiseksi ei ollut tarpeeksi kannustin ihmisille, jotta he voisivat kiusata ryhmän tekijöitä.
Joten toivottavasti tämä on hieman menestyneempi.
Mutta siellä oli fantastinen valokuva, joka aiheutti paljon spekulaatiota ja keskustelua Twitterissä ja jopa Naked Securityssa. viesti, jonka kirjoitit, yhdestä epäillystä tekijästä.
Emme tiedä, onko hän jäsen Ransomware-as-a-Servicen johtaneessa tai operoimassa kontrolliryhmässä vai oliko hän vain kenties tytäryritys, joka käytti haittaohjelmaa ja osallistui palkkioiden maksamiseen väärin perustein hankituista voitoista. uhrit.
Mutta stereotyyppisemmin venäläiseksi ei voisi mennä… Tarkoitan, katsomme tätä: kaverilla on punainen tähti lippassa, ja veikkaan, että hänen kädessään on pieni pullo vodkaa, ja siinä on balalaika.
Tämä on melkein liian hyvää ollakseen totta.
ANKKA. Ja hyvässä hakkeripuvussa hänellä on yllään eräänlainen turvonnut takki, jossa on huppari...
…vaikka hänellä on huppari alas, joten ehkä sitä ei lasketa?
Luuletko, Chester, että he ovat hyökänneet Conti-jengiin, koska heillä oli hieman häpeää varkaiden keskuudessa?
Noin vuosi sitten jotkut tytäryritykset kiihtyivät, väittivät, että niitä huijattiin ja tapahtui tietomurto, eikö niin, kun yksi heistä jätti koko kuorman käyttöoppaita ja ohjelmistotiedostoja?
CHET. Tiedätkö, siellä on paljon palasia.
Kuten huomautat – uskoakseni se oli elokuussa 2021 – joku vuotaneet käyttöoppaansa, tai heidän "pelikirjansa", kuten siihen on viitattu.
Ukrainan hyökkäyksen jälkeen Conti kokonaisuutena näytti olevan hyvin Venäjä-mielinen, mikä sai joukon heidän suunnitelmaansa kuuluneita ukrainalaisia kääntymään heitä vastaan ja vuotamaan joukon tietoja toiminnoistaan ja asioistaan.
Siellä on siis varmasti ollut tavaraa.
Luulen, että toinen syy, Duck, on yksinkertaisesti valtava määrä vahinkoa he ovat aiheuttaneet.
Tarkoitan, että kun teimme kirjoituksiamme Rapid Response Team -ryhmästämme, epäilemättä vuoden 2021 tuottelias vahinkoa aiheuttanut ryhmä oli Conti.
Kukaan ei todellakaan osta sitä, että he ovat poissa rikollisista maanalaisista.
Ei ole niin, että he ottivat rahansa ja lähtivät pois… he ovat yksinkertaisesti kehittyneet uusiksi suunnitelmiksi ja hajoaneet erilaisiin kiristysohjelmaryhmiin, ja heillä on eri rooleja yhteisössä kuin he olivat.
Ja viime aikoina jotkut ihmiset ovat saattaneet kuulla, että Costa Rican hallitusta vastaan oli hyökätty Contin syyksi, eikä siitä ollut edes kovin kauan sitten.
Joten luulen, että tässä on kerroksia, ja yksi niistä voi olla se, että Dandis, professori, Reshaev…
…näitä ihmisiä on jossain määrin doksoinut julkisesti [henkilötietoja on vuotanut tarkoituksella] ihmiset, jotka väittävät tietävänsä keitä he ovat, mutta eivät ole toimittaneet todisteita, jotka olisivat syytteiden ja tuomioiden arvoisia.
Ja siksi ehkä tämä on toivoa, että ehkä he astuvat eteenpäin, jos hinta on tarpeeksi korkea, ja kääntyvät entisten tovereidensa kimppuun.
ANKKA. Vaikka he kaikki murtautuisivat huomenna, ja heitä kaikkia syytetään ja heidät kaikki tuomitaan, se tekisi lommoa kiristyshaittaohjelmiin, eikö niin?
Mutta valitettavasti se olisi *lommo*, ei *loppu*.
CHET. Ehdottomasti.
Valitettavasti elämme tässä maailmassa näinä päivinä.
Uskon, että tulemme jatkossakin näkemään näiden rikosten kehittyvän eri tavoin, ja se toivottavasti antaa jonkin verran helpotusta, kun puolustamme itseämme entistä paremmin.
Mutta kun potentiaaliset lunnaat ovat 25 miljoonaa dollaria, monet ihmiset ovat valmiita ottamaan riskin ja jatkamaan näiden rikosten tekemistä riippumatta siitä, ovatko nämä tietyt rikollisherrat ruorissa tai eivät.
ANKKA. Kyllä.
Ajattelet: "No, he eivät koskaan saisi 25 miljoonaa dollaria. He tyytyisivät todennäköisesti vähempään."
Mutta vaikka tuo luku pienenisi vaikkapa 250,000 XNUMX dollariin.
…kuten US Rewards for Justice -tiimi huomauttaa: vuodesta 2019 lähtien he väittävät, että Conti-jengi yksinään (lainaus RfJ-sivustolta), että heidän lunnasohjelmiaan on käytetty yli 1000 kiristysohjelmahyökkäykseen kohdistuvaan Yhdysvaltoihin ja kansainväliseen kriittiseen infrastruktuuriin.
Lääkäripalvelut, 9-1-1 lähetyskeskukset, kaupungit, kunnat.
Ja ne viittaavat siihen, että pelkästään terveydenhuollon ja ensiapuverkostojen – kuten ambulanssikuljettajien, palokuntien ja sairaaloiden – joukossa on yli 400 maailmanlaajuista iskua, joista 290 Yhdysvalloissa.
Joten, jos kerrot 290:llä (käyttään tässä jättiläisiä lentotarjouksia) 250,000 XNUMX dollarin "alennusmaksulla", jonka olisi pitänyt mennä terveydenhuollon tarjoamiseen…
…saat joka tapauksessa valtavan määrän.
CHET. Muistakaa neljä vuotta sitten, kun julkaisimme a raportti SamSamista ja olimme hämmästyneitä, että he tienasivat 6 miljoonaa dollaria kolmen vuoden aikana?
ANKKA. Se on silti paljon rahaa, Chester!
No, se on minulle… ehkä olet korkealentoinen. [NAURU]
Tiedän, että sinulla on aihe – emme ole kirjoittaneet tätä Naked Securitylle, mutta se on jotain, josta olet erittäin kiinnostunut…
…ja se on tosiasia, että kyberturvallisuuden suhteen ei voi olla "yksi rengas hallitsemaan heitä kaikkia".
Erityisesti terveydenhuollon ja ensiapuhenkilöstön kaltaisissa asioissa, joissa kaikki, mikä saattaa estää turvallisuuden parantamisen, voi itse asiassa huonontaa palvelua vaarallisesti.
Ja sinulla on kerrottavana tarina National Institutes of Healthista…
CHET. Kyllä, mielestäni se on tärkeä muistutus siitä, että olemme ennen kaikkea vastuussa riskien hallinnasta, emme täydelliseen turvallisuuteen johtavista tuloksista.
Ja mielestäni monet harjoittajat unohtavat sen liian usein.
Näen paljon näitä väitteitä meneillään, etenkin sosiaalisessa mediassa: "täydellinen on hyvän vihollinen", josta olemme puhuneet aiemmin myös podcasteissa…
…jossa: "Sinun pitäisi tehdä se näin, ja tämä on ainoa oikea tapa tehdä se."
Ja tämä on mielestäni mielenkiintoista – tämä suhteen tutkiminen tietomurron aiheuttaneiden sairaaloiden ja näiden tietomurtojen seurauksena syntyneiden potilaiden tulosten välillä.
Se ei ehkä ole järkevää pinnalla, mutta haluan lukea teille tärkeimmät havainnot, jotka mielestäni tekevät täysin selväksi, mistä puhumme.
Tärkeimmät havainnot ovat:
Sairaalan EKG-aika nousi peräti 2.7 minuuttia ja 30 päivän akuutin sydäninfarktin kuolleisuus nousi peräti 0.36 prosenttiyksikköä tietomurron jälkeisen kolmen vuoden aikana.
Pohjimmiltaan sanomme, että kolmasosa prosenttia enemmän ihmisiä kuoli sydänkohtauksiin sairaaloissa, joissa tietomurtoja tapahtui myöhemmin kuin ennen, prosentteina kuolemaan johtaneista potilaista.
ANKKA. Oletettavasti seuraus on se, että jos he olisivat voineet saada tuon EKG-laitteen päällensä ja saada tulokset ja tehdä kliinisen päätöksen nopeammin, he olisivat voineet pelastaa ei-triviaalin joukon ihmisiä, jotka kuolivat?
CHET. Kyllä, ja luulen, että kun ajattelee kiireistä sairaalaa, jonne ihmiset tulevat säännöllisesti sydänkohtausten ja aivohalvausten takia, yksi 1:sta potilaasta kuolee uusien suojauskäytäntöjen vuoksi on tavallaan huolestuttavaa.
Ja Yhdysvaltojen terveys- ja henkilöstöhallinto jatkaa, että he suosittelevat, että rikkoutuneita sairaaloita "arvioisivat huolellisesti korjaavat turvallisuusaloitteet parantaakseen tietoturvaa vaikuttamatta kielteisesti potilaiden tuloksiin".
Ja mielestäni meidän on todellakin oltava erittäin varovaisia, eikö niin?
Me kaikki haluamme parempaa tietoturvaa, ja haluan, että potilastietoni pidetään turvassa, kun vierailen sairaalassa.
Ja haluamme varmasti olla varmoja siitä, etteivät ihmiset käytä tietokoneita ja tietueita, joita heidän ei pitäisi, ja että ihmiset eivät jaa lääkkeitä, joita heidän ei pitäisi ja jotka voivat olla haitallisia.
Toisaalta tämä on elämää ja kuolemaa.
Ja vaikka tämä ei välttämättä koske asianajotoimistoasi, markkinointiyhtiötäsi tai tehdastasi, jonka turvallisuudesta olet vastuussa… Mielestäni se on tärkeä muistutus siitä, ettei ole olemassa yhtä kaikille sopivaa turvallisuutta.
Meidän on arvioitava jokainen tilanne ja varmistettava, että räätälöimme sen sen riskin mukaan, jonka olemme valmiita hyväksymään.
Ja henkilökohtaisesti olen valmis hyväksymään paljon suuremman riskin potilastietoni vaarantumisesta kuin riskin kuolla, koska jonkun piti mennä hakemaan kaksivaiheinen koodi avatakseen EKG-laitteen lukituksen!
ANKKA. No, Chester, olet tyypin 1 diabeetikko, eikö niin?
Ja sinulla on yksi niistä maagisista insuliinipumpuista.
Lyön vetoa, ettet kiirehdi asentamaan uusinta Linux-ydintä siihen heti, kun se ilmestyy!
CHET. Ehdottomasti!
Tarkoitan, nämä laitteet käyvät läpi tiukan testauksen… se ei tarkoita, että ne olisivat virheettömiä, mutta tunnettu on tuntematonta parempi, kun puhut terveydestäsi ja sen hallinnasta.
Ja varmasti näissä laitteissa on ohjelmistovirheitä, ja niitä modernisoidaan ja mukaan lukien Bluetoothin kaltaiset tekniikat… tai laitteeni suuri harppaus oli, että se sai värinäytön, joka kertoo kuinka vanha osa näihin laitteisiin liittyvästä tekniikasta on asiat on!
Lääketieteellisillä viranomaisilla on näiden laitteiden hyväksyminen hyvin, hyvin pitkä prosessi.
Ja "koeteltu ja totta" (kuten aiemmassa keskustelussa transistoreista ja prosessoreista), yksinkertaiset asiat, jotka voimme ymmärtää, ovat paljon parempia kuin uusia, monimutkaisia asioita, joita on paljon vaikeampi selvittää ja löytää ne tietoturvavirheet.
En voi kuvitella, jos tälle insuliinipumpulle olisi sellainen asia kuin Patch-tiistai, että olisin tiistaina ensimmäinen tyyppi, joka asentaa päivityksen!
Kaikista syylistä huolimatta tiedän tarkalleen, kuinka se toimii ja miten se ei.
Ja sinun pointtisi mukaan elän sen kanssa hyvin…
…laite tietää vastuunsa pysyä johdonmukaisena, ja olen oppinut käyttämään sitä hyödyksi terveyteni parantamiseksi.
Mikä tahansa muutos siinä voi olla pelottavaa ja häiritsevää.
Joten vastaus ei ole aina parempi, nopeampi ja älykkäämpi.
Joskus se on "tunnettu tiedossa" luotettavuudessa ja luottamuksessa.
ANKKA. Tietomurtojen puuttuminen auttaa myös!
Ja on joitain yllättävän yksinkertaisia asioita, joita voit tehdä suojellaksesi organisaatiotasi datalta, jonne sen ei pitäisi päästä.
CHET. Ja yksi asioista, Duck, on, että meillä ei ole niin paljon aikaa kuin ennen.
Rikolliset selailevat jatkuvasti Internetiä etsiessään näitä mahdollisesti tekemiäsi virheitä, olipa kyseessä vanhentunut käytäntö sallia liikaa asioita tai paljastetaanko palveluita, jotka ehkä oli täysin hyvä paljastaa kymmenen vuotta sitten, mutta jotka ovat nyt vaarallisia. altistuvat Internetille.
ANKKA. "RDP tuolloin unohti."
CHET. Kyllä, no, olen surullinen ajatella, että RDP:tä tulee jatkuvasti, mutta itse asiassa viime viikolla Black Hatissa julkaisimme juuri paperin ja kirjoitti blogin tilanteesta, jossa organisaatiossa tapahtui kolme erilaista kiristysohjelmahyökkäystä muutaman viikon sisällä, kaikki saman organisaation sisällä, tapahtui jonkin verran samanaikaisesti.
Ja tämä ei ole ensimmäinen kerta, kun näemme useamman kuin yhden hyökkääjän verkossa.
Luulen, että se saattaa olla ensimmäinen kerta, kun näemme *kolmea* samassa verkossa.
ANKKA. Voi perkele, menivätkö ne päällekkäin?
Olivatko he vielä kirjaimellisesti tekemisissä hyökkäyksen A kanssa, kun hyökkäys B tuli?
CHET. Kyllä, uskon, että hyökkääjä B:n ja C:n välillä oli kuilu, mutta A ja B olivat samaan aikaan mukana, oletettavasti tulleet sisään täsmälleen saman etäkäyttötyökalun vian kautta, jonka he molemmat olivat löytäneet ja joita he käyttivät hyväkseen.
Ja sitten, uskoakseni, ryhmä B asensi oman etäkäyttötyökalunsa, tavallaan toissijaiseksi takaoveksi siltä varalta, että ensimmäinen sulkeutuisi…
…ja ryhmä C löysi etäkäyttötyökalunsa ja tuli sisään.
ANKKA. Golly… meidän ei pitäisi nauraa, mutta se on tavallaan virheiden komediaa.
On helppo sanoa: "No, missä tahansa puoliksi hyvin hallitussa verkossa sinun pitäisi tietää, mikä on virallinen etäkäyttötyökalusi, jotta kaiken, mikä ei ole sitä, pitäisi erottua selvästi."
Mutta kysyn kuulijoiltamme seuraavaa: Jos olet verkkovastaava, voitko laittaa kätesi sydämellesi ja kertoa tarkalleen, kuinka monta puhelinneuvottelutyökalua sinulla on tällä hetkellä käytössä yrityksessäsi?
CHET. Kyllä ehdottomasti.
Meillä oli yksi uhri, jonka kirjoitimme aiemmin tänä vuonna ja jolla uskoakseni löytyi *kahdeksan* erilaista etäkäyttötyökalua, jotka löysimme tutkimuksemme aikana. Joitakin niistä käytettiin laillisesti kymmenen vuotta sitten, ja he vain lopettivat niiden käytön, mutta eivät koskaan poistaneet niitä.
Ja muita, jotka useat uhkatoimijat olivat esittäneet.
Joten tätä on ehdottomasti pidettävä silmällä!
ANKKA. No, Chester, toivotaan, että tämä on riittävän pirteä ehdotus lopettaaksemme, koska meillä ei ole aikaa tälle viikolle.
Kiitos paljon, kuten aina, että astuit mikrofonin ääreen hyvin lyhyellä varoitusajalla.
Ja kuten aina, minun on vain sanottava: Ensi kerralla…
Molemmat. Pysy turvassa!
[MUSIIKKIMODEEMI]
- AEPIC
- blockchain
- coingenius
- Conti
- cryptocurrency-lompakot
- cryptoexchange
- kryptografia
- tietoverkkoturvallisuus
- verkkorikollisille
- tietoverkkojen
- sisäisen turvallisuuden osasto
- digitaaliset lompakot
- palomuuri
- terveydenhuollon
- Intel
- Kaspersky
- Laki
- haittaohjelmat
- McAfee
- Naked Security
- Alasturvallisuus Podcast
- NexBLOC
- Platon
- plato ai
- Platonin tietotieto
- Platon peli
- PlatonData
- platopeliä
- podcast
- yksityisyys
- ransomware
- VPN
- verkkosivuilla turvallisuus
- zephyrnet
- zoomaus
