원하는 지점으로 건너뛰려면 아래의 음파를 클릭하고 끕니다. 당신은 또한 수 직접 들어 사운드클라우드에서.
Paul Ducklin과 Chester Wisniewski와 함께.
인트로 및 아웃트로 음악 에디스 머지.
당신은 우리를들을 수 있습니다 사운드 클라우드, Apple Podcasts, Google 포드 캐스트, 스포티 파이, 스티 그리고 좋은 팟캐스트가 있는 곳이면 어디든지. 아니면 그냥 버리세요 RSS 피드의 URL 좋아하는 팟캐쳐에.
대본 읽기
[뮤지컬 모뎀]
오리. 팟캐스트에 오신 것을 환영합니다.
저는 더글러스가 아닙니다. 저는 폴 더클린입니다.
Doug는 휴가 중이므로 저는 밴쿠버 사무실의 좋은 친구이자 동료인 Chester Wisniewski와 합류했습니다.
안녕하세요, 쳇!
쳇. 안녕, 덕.
잘 지내?
오리. 잘 지내고 있습니다. 감사합니다.
우리는 오늘 옥스포드셔에 첫 비가 내렸고… 적어도 두 달은 되어야 합니다.
적어도 우리는 땅에 약간의 물을 넣었습니다. 왜냐하면 여기가 매우 건조했기 때문입니다. 비정상적으로 건조합니다.
너는 어떠니?
쳇. 글쎄, 나는 데프콘에 참석하지 않았음에도 불구하고 데프콘에서 회복 중입니다.
오리. [웃음] 아, 네!
쳇. 나는 주말 내내 Twitter와 Twitch, Discord, 그리고 모든 축제에 원격으로 의사 참여를 할 수 있는 이 모든 플랫폼에 눈을 붙이고 보냈습니다.
그리고 실제로 라스베가스에 있을 때 훨씬 더 재미있습니다.
하지만 이미 코로나로 돌아오신 분들이 저보다 더 많은 손가락과 엄지손가락에 접근하고 있다는 점을 생각하면 옳은 선택을 했다고 생각하고 주말 내내 과한 인터넷에 지쳐 행복합니다.
오리. 그들이 정말로 코로나 바이러스에 감염되었다고 생각합니까, 아니면 방금 느낌이 돌아와서 어떻게 표현할 수 있습니까? Black Hat과 DEF CON이 있기 때문에 "몸이 좋지 않습니다".
쳇. 알다시피, CON FLU만큼 나쁠 수 있습니다…
오리. 독감?! [웃음] 오, 이런!
쳇. … 나는 이 경우가 COVID라고 확신합니다. 왜냐하면 사람들이 테스트를 할 뿐만 아니라 내가 아는 대부분의 사람들에게 COVID가 CON FLU보다 훨씬 더 고통스럽기 때문입니다.
그래서 두 가지를 합친 것은 아마도 더 끔찍했을 것입니다. 생각해야 합니다. [웃음]
오리. 네!
하지만 DEF CON 코로나바이러스/CON FLU 문제에 연연하지 말자…
... 실제로 DEF CON에서 진행된 *대화*에 주목해 보겠습니다.
이것은 약 줌 제로데이 Patrick Wardle이 작성하고 DEF CON에서 발표했습니다.
오히려 제대로 패치되지 않은 버그를 포함하여 불행한 일련의 버그가 있습니까? 체스터?
쳇. 글쎄요, Patrick은 세계에서 유일한 macOS 보안 연구원은 아니지만 문제를 찾는 데는 매우 뛰어납니다.
Patrick Wardle이 참석한 것을 마지막으로 본 것은 Virus Bulletin 컨퍼런스에 여러 번 참석했을 때였습니다. 그리고 매번 그는 서명 확인, 인증서 확인, 이런 종류의 문제에 대한 몇 가지 의심스러운 결정에 대해 Apple을 학교에 데려갔습니다.
그리고 저는 Apple이 이러한 것들 중 일부를 중심으로 보안 태세를 크게 형성했다는 인상을 받기 시작했습니다.
그래서 이제 그는 플랫폼에 맬웨어를 허용할 수 있는 유사한 암호화 오류를 범할 수 있는 추가 공급업체를 찾고 있습니다.
오리. 예전에는 모든 사람들이 "TLS 연결이 있는 한" 또는 "*누군가*가 디지털 서명한 무언가를 갖고 있는 한"이라고 생각했던 것 같습니다.
따라서 코드는 종종 가서 확인하는 것을 귀찮게하지 않습니다.
그러나 이 경우 다운로드한 업데이트 패키지를 확인하여 Zoom에서 온 것인지 확인하기로 결정했습니다.
그러나 그들은 그것을 잘하지 않았습니까?
사라지는 공식 시스템 API를 호출하는 대신 검사를 수행하고 기본적으로 true 또는 false로 돌아옵니다…
...그들은 일종의 "직접 뜨개질"했습니다. 그렇죠?
쳇. 예.
내 말은, 암호화와 관련된 자신의 것을 편직하는 것은 항상 고통스럽게 끝납니다.
그리고 지난 팟캐스트에서 랩톱에서 한 시간 만에 크랙이 발생한 새로운 양자 안전 암호화 알고리즘에 대해 이야기한 것을 기억합니다.
오리. 사케!
쳇. 모두가 양자적 측면에 너무 집중했기 때문에 전통적인 측면을 놓쳤다, 심지어 세계에서 가장 똑똑한 수학자와 암호학자들 사이에서도 그렇습니다.
그래서 치명적일 수 있는 실수를 하기가 정말 쉽습니다.
그리고 자신만의 뜨개질은 Sophos를 대신하여 다른 커뮤니케이션 형식으로 20년 가까이 당신과 내가 이야기해 온 것입니다.
그리고 나는 그것이 끔찍한 생각이라는 우리의 입장을 바꾼 적이 없다고 생각합니다!
오리. 여기서 문제는 자체 디지털 서명 알고리즘을 사용하거나 자체 타원 곡선을 발명하기로 결정했다는 것이 아닙니다.
"여기 파일이 있습니다. 친애하는 운영 체제, 표준화된 API 기반 도구를 사용하여 확인하고 True/False로 돌아오십시오.”라고 그들은 본질적으로 쉘을 선택했습니다...
...그들은 달렸다 pkgutil 백그라운드에서 명령줄 유틸리티, 사람이 읽을 수 있고 무엇에 서명했는지 시각적으로 표시하려면 명령줄에서 수행할 수 있습니다.
그리고 나서 그들은 "true" 또는 "false"에 대한 답을 얻고자 하는지 여부를 결정하기 위해 이것의 텍스트 기반 출력을 전달하는 프로그램을 작성했습니다.
그들은 인증서 체인 목록을 얻었고 "Zoom", "Developer Certification Authority", "Apple Root CA" 순으로 찾고 있었습니다.
그래서 그들은 그 문자열을 *출력의 어느 곳에서나 찾습니다*, Chester!
따라서 [웃음] 다음 행을 따라 이름이 있는 패키지를 만들면 Zoom Video Communications Inc Developer ID Certification Authority Apple Root CA.pkg, 그럼 언제 pkgutil 출력에 파일 이름을 쓰면 세 가지 마법 문자열이 모두 나타납니다!
그리고 Zoom의 다소 부적절한 파서는 이 세 조직이 올바른 순서로 서명한 경우에만 발생할 수 있다고 결정할 것입니다.
사실, 그것은 단지 당신이 제공한 이름일 뿐입니다.
이런!
쳇. 여기서 문제는 문제의 원인이 이러한 종류의 기본적인 서명 확인이라는 것입니다.
그러나 진짜 문제는 물론, 업데이트 프로세스를 실행하는 사용자가 권한이 없더라도 해당 이름을 지정할 수 있는 모든 패키지가 시스템에 *루트로* 설치된다는 의미입니다.
오리. 그것이 모든 문제였습니다.
무슨 일이 일어난 것처럼 보였기 때문에 DEF CON에 맞춰 Zoom이 이 문제를 *패치했습니다*.
API를 올바르게 사용하고 실행하려는 파일의 무결성과 신뢰성을 안정적으로 확인합니다.
그러나 Zoom이 설치를 조정하는 임시 디렉토리로 옮기면서 모든 사람이 쓸 수 있게 되었습니다!
그래서 디렉토리가 보호되었고 디렉토리의 모든 것이 보호되었습니다… *가장 중요한 파일을 제외하고*.
그래서, 당신이 무엇을 할 수 있었는지 추측?
시간을 정확히 맞추면(소위 경쟁 조건), 원래 사용자는 디지털 신원 확인을 통과한 *후에* 파일을 변경할 수 있었지만, *본격적으로 사용되기 전*.
설치 프로그램이 검증되었다고 생각하고 실제로 검증된 파일을 사용하고 있습니다…
...하지만 유효성 검사와 사용 사이의 간격에서 무효화되었습니다.
쳇. 네, 그리고 Duck이라는 기사에서 지적했듯이 이러한 유형의 취약점은 단순한 경쟁 조건이 아니라 종종 TOCTOU라고 하며, 제게는 일종의 캐리비안 새처럼 들립니다.
그러나 그것은 결함에 대한 더 복잡하고 과학적인 이름을 언급하고 있습니다. 확인 시간에서 사용 시간으로.
그래서, TOCTOU… "TOCTOU"!
오리. 당신처럼, 나는 항상 그것이 일종의 아주 예쁜 폴리네시아 앵무새라고 상상했습니다.
하지만 사실은 당신이 말했듯이 당신이 당신의 사실을 확인하지만 너무 일찍 확인하고 당신이 그 사실에 의존하게 될 즈음에 그것들이 바뀌는 추악한 형태의 버그입니다.
그래서 Zoom이 수정했습니다. 그리고 Patrick Wardle은 축하한다고 말했습니다... DEF CON에서 논문을 작성한 후 하루 만에 수정했습니다.
그들은 처음에 유효성 검사 프로세스를 시작하기 전에 파일에 대한 권한을 올바르게 잠갔습니다.
따라서 검증이 완료되면 설치가 끝날 때까지 유효합니다.
문제 해결됨.
하지만 애초부터 거기에 정말 없었어야 했어, 그렇겠지?
쳇. Mac 사용자인 경우 버전 번호를 확인하여 고정 버전인지 확인할 수 있습니다.
수정된 버전은 5.11.5 이상입니다. 이후에 릴리스가 있었는지 모르겠습니다.
[메모. 5.11.6에 대한 추가 업데이트가 이 에피소드를 녹화하고 게시하는 사이에 나왔습니다.]
오리. 이 패치가 없으면 외부인이 컴퓨터에 침입할 수 있다는 의미는 아니지만 이 패치가 있다는 것은 심각한 문제입니다...
...네트워크에 침입했지만 게스트 권한만 있는 사기꾼이 갑자기 자신을 높여 루트 또는 시스템 관리자의 초능력을 얻을 수 있습니다.
이것이 바로 랜섬웨어 사기꾼들이 좋아하는 일입니다.
그들은 저전력으로 들어온 다음 일반 시스템 관리자와 동등한 위치에 있을 때까지 일합니다.
그리고 불행히도 나중에 그들이 할 수 있는 일에는 제한이 거의 없습니다.
체스터, 다음으로 넘어가자 다음 버그.
이것은 로 알려진 버그입니다. 음, A와 E가 함께 쓰여진 오래된 영어 문자입니다. 더 이상 영어에서 사용되지 않습니다. 애시, 하지만 이 경우 APIC/EPIC를 의미합니다.
APIC는 APIC에 영향을 미치기 때문에 고급 프로그래머블 인터럽트 컨트롤러, 그리고 그들은 그것을 EPIC 누출로 간주합니다.
쳇. 나는 그것이 흥미롭다는 것을 알았지 만, 아마도 그 이름이 암시하는 것처럼 서사적이라고 생각하지 않는다는 사실부터 시작하겠습니다.
APIC는 확실히 관련되어 있지만 EPIC에 대해서는 잘 모르겠습니다!
문제의 진실은 이 모든 것을 풀 때 SGX로 알려진 인텔 CPU의 일부에 영향을 미친다는 것입니다. SGX는… 소프트웨어 가드 확장, 말하고 싶어?
오리. 당신이 맞아요!
쳇. 글쎄, 이것은 SGX에 영향을 미치는 첫 번째 버그가 아닙니다.
나는 그들 모두를 세지 않았지만 적어도 XNUMX개의 이전 사례를 찾았습니다. 그래서 그것은 하도록 설계된 바로 그 일을 하는 데 좋은 실적을 내지 못했습니다.
그리고 어디에서나 찾을 수 있는 유일한 실용적인 용도는 Windows에서 UltraHD Blu-ray 디스크를 재생하기 위한 비밀 키를 저장하는 이 기능이 필요하다는 것입니다.
그리고 SGX를 지원하지 않는 칩을 사용하면 분명히 영화를 볼 수 없습니다.
오리. 아이러니하게도 인텔은 현재 12세대 CPU에서 소위 "클라이언트" 칩에 대해 SGX를 중단했습니다.
따라서 새 랩톱이 있는 경우 이제 얻을 수 있는 칩은 SGX가 없기 때문에 적용되지 않습니다.
서버에서 유용할 수 있는 것으로 보고 있는 것 같습니다.
쳇. 글쎄요, SGX의 운명은 이미 12세대 CPU에서 빼낸 Intel에 의해 봉인되었다고 말하는 것이 타당하다고 생각합니다.
이것이 누군가가 비밀을 추출하기 위해 발견한 여덟 번째 다른 영리한 방법과 같다는 사실만 아니라면…
오리. 예, 성능이 방해가 된다는 것을 상기시켜줍니다.
내 이해는 이것이 작동하는 방식은 APIC인 프로그래밍 가능한 인터럽트 컨트롤러에서 데이터를 가져오는 구식 방법은 기본적으로 해당 장치에 특별히 할당된 메모리 블록에서 데이터를 읽는다는 것입니다.
추출된 인터럽트 데이터에 사용된 메모리 블록은 4KB… XNUMX개의 메모리 페이지 크기였습니다.
그러나 추출할 데이터가 많지 않았고 이전에 있던 것(예: 시스템 캐시)이 다시 기록되었습니다.
즉, 인터럽트 프로세서는 전달하려는 바이트에 쓰기 전에 사용할 메모리를 플러시하지 않았습니다.
따라서 CPU가 최근에 액세스한 임의의 다른 메모리 부분에서 실수로 데이터 값을 전달하는 경우가 있습니다.
그리고 일어난 일과 순서를 제어함으로써 연구원들은 이러한 SGX "엔클레이브"에서 봉인되어야 하는 RAM 콘텐츠가 인터럽트 처리 도중 일종의 초기화되지 않은 메모리로 나타나도록 설득할 수 있음을 발견했습니다.
따라서 보안 바로 가기를 사용하여 작업 속도를 높이려고 할 때 모든 종류의 문제가 발생할 수 있음을 항상 상기하십시오.
쳇. 비밀을 유지하기 위해 이것을 신뢰하려면 많은 검증이 필요합니다.
그리고 이 SGX 기술이 출시되었을 때 반쯤 구운 것처럼 느껴집니다.
오리. 복잡성에는 항상 비용/위험이 따릅니다. 그렇죠?
Chester, Apple II, VIC-6502, Commodore 20에서 유명했던 64 프로세서로 돌아가서 생각해보면 영국에서 온 사람이라면 BBC Micro에 있었습니다.
나는 칩에 약 4000개의 트랜지스터가 있다고 생각합니다.
그래서 그것은 진정으로 감소된 명령어 세트 칩(RISC)이었습니다.
최신 Apple M2 프로세서에는 단 하나의 CPU에 20억 개(예: 20,000,000,000개)의 트랜지스터가 있다는 것을 알고 있습니다.
따라서 인터럽트 컨트롤러(칩에 들어갈 수 있음), 보안 엔클레이브(칩에 들어갈 수 있음), 하이퍼스레딩(칩에 들어갈 수 있음), [SPEEDING UP MANICALLY] 벡터 명령어(칩에 들어갈 수 있음), 추측 실행, 명령어 재정렬, 멀티코어…
...이 모든 것들, 때로는 일이 예상대로 작동하지 않고 누군가가 알아차리기까지 꽤 오랜 시간이 걸린다는 것은 놀라운 일이 아닙니다.
쳇. 확실히 흥미로운 연구이기 때문에 그것을 찾은 연구원들에게 좋은 일입니다.
그리고 그것에 대해 조금 더 알고 싶다면 Naked Security 기사 엄청나게 잘 설명한다 일반적으로 APIC 컨트롤러와 같은 것에 익숙하지 않은 사람들을 위해.
그래서 나는 사람들이 그것을 확인하는 것이 좋습니다. 왜냐하면 그것은 매우 복잡한 것들에 대한 간단한 결정에서 의도하지 않은 결과의 완벽한 예이기 때문입니다.
오리. 좋은 방법이라고 생각합니다. 체스터.
그것은 또한 우리가 또 다른 논란의 여지가 있는 문제로 자유롭게 넘어갈 수 있도록 하며, 그것이 바로 미국 정부가 보상 제공 Conti 랜섬웨어 팀에 대한 정보는 "최대 10만 달러"입니다.
지금, 그들은 누군가의 진짜 이름을 모르는 것 같습니다.
이 사람들은 Dandis, Professor, Reshaev, Target 및 Tramp로만 알려져 있습니다.
그리고 그들의 사진은 그저 실루엣일 뿐...
쳇. 네, 처음 기사를 보았을 때 범죄자들의 묘사가 길리건스 섬의 사람들과 같다고 생각했습니다.
우리는 교수와 부랑자… 그리고 이것이 닉네임과 함께 어디로 가는지 잘 몰랐습니다.
이 시도가 지난 시도보다 더 성공적이기를 바랍니다... 제 말은, 그들이 천만 달러를 제안한 또 다른 그룹이 있었습니다. 바로 Evil Corp 그룹이었습니다.
제가 알기로는 아직 체포나 법적 조치가 취해지지 않았습니다. 따라서 아마도 Evil Corp을 얻는 데 천만 달러는 사람들이 그 그룹의 가해자를 뒤집을 인센티브가 충분하지 않았을 것입니다.
그래서, 바라건대, 이것은 조금 더 성공적입니다.
그러나 트위터와 심지어 Naked Security에서도 많은 추측과 대화를 일으킨 환상적인 사진이 있었습니다. 당신이 작성한 게시물, 용의자 중 한 명.
그가 Ransomware-as-a-Service를 실행하거나 운영한 통제 그룹의 구성원인지, 아니면 단순히 악성 코드를 사용하여 악의적으로 얻은 수수료를 지불하는 데 기여한 단순한 계열사인지 여부는 알 수 없습니다. 피해자.
그러나 당신은 더 전형적인 러시아인이 될 수 없습니다... 제 말은, 우리는 이것을 보고 있습니다: 그 남자는 그의 모자에 빨간 별을 가지고 있고, 나는 그의 손에 작은 보드카 병이 있고, 발랄라이카가 있다고 추측합니다.
이것은 사실이라고 하기에는 너무 좋습니다.
오리. 그리고, 좋은 해커 드레스에, 그는 후드티에 일종의 푹신한 재킷을 입고…
...그는 후드티를 입고 있기는 한데, 아마 상관없겠죠?
Chester, 그들이 Conti 갱단을 목표로 삼았다고 생각합니까? 그들이 도둑들 사이에서 약간의 불명예를 가졌기 때문입니까?
약 XNUMX년 전, 일부 계열사는 매우 화를 내며 자신이 도용당하고 있다고 주장했으며 데이터 유출이 발생했습니다. 그 중 한 곳에서 운영 매뉴얼과 소프트웨어 파일의 전체 로드를 버렸습니까?
쳇. 알다시피, 거기에는 많은 조각이 있습니다.
당신이 지적했듯이 – 나는 그것이 2021 년 XNUMX 월에 있었던 것으로 믿습니다 – 누군가 사용 설명서를 유출했습니다., 또는 "플레이북"이라고 합니다.
우크라이나 침공 이후, Conti는 하나의 독립체로서 매우 친러시아적인 성향을 띠고 있는 것 같았고, 이로 인해 많은 우크라이나인들이 자신들의 계획에 참여하여 자신들의 작전과 사물에 대한 많은 정보를 유출하게 되었습니다.
그래서, 거기에는 확실히 물건이 있었습니다.
내 생각에 Duck이라는 또 다른 이유는 단순히 막대한 피해 그들이 일으켰습니다.
내 말은, 우리가 Rapid Response Team에서 작성했을 때 2021년에 가장 많은 피해를 입힌 그룹은 의심할 여지 없이 Conti였습니다.
아무도 그들이 지하 범죄에서 벗어났다고 생각하지 않습니다.
돈을 빼앗아 가버린 것이 아니라… 단순히 새로운 수법으로 진화하여 서로 다른 랜섬웨어 그룹으로 분해되어 커뮤니티에서 이전과 다른 역할을 하고 있습니다.
그리고 가장 최근에 일부 사람들은 Conti가 코스타리카 정부에 대해 공격을 가했다는 소식을 들었을 것입니다. 이는 그리 오래되지도 않았습니다.
그래서 여기에 레이어가 있다고 생각합니다. 그 레이어 중 하나는 Dandis, Reshaev 교수...
...이 사람들은 자신이 누구인지 안다고 주장하지만 기소 및 유죄 판결을 받을 만한 증거를 제공하지 않은 사람들에 의해 공개적으로 [고의적으로 개인 데이터가 유출되었습니다] 속였습니다.
그래서 아마도 이것은 가격이 충분히 높으면 그들이 앞으로 나아가고 그들의 전 동지들에게 등을 돌리는 희망일 것입니다.
오리. 하지만 내일 모두 적발되어 모두 기소되어 유죄 판결을 받는다 해도 랜섬웨어 소송에 지장을 주지 않을까요?
그러나 불행히도 그것은 *끝*이 아니라 *찌그러짐*이 될 것입니다.
쳇. 전혀.
불행히도 그것이 우리가 살고 있는 요즘 세상입니다.
저는 이러한 범죄가 다양한 방식으로 진화하는 것을 계속 보게 될 것이라고 생각하며, 우리가 스스로를 방어하는 데 점점 더 능숙해짐에 따라 약간의 안도감을 제공할 수 있기를 바랍니다.
그러나 25만 달러의 잠재적인 몸값이 있기 때문에 이러한 특정 범죄 조직이 주도권을 잡고 있든 없든 많은 사람들이 기회를 잡고 이러한 범죄를 계속 저지를 의향이 있습니다.
오리. 예.
"오, 글쎄, 그들은 결코 25만 달러를 얻지 못할 것입니다. 그들은 결국 더 적은 금액으로 정착할 것입니다.”
하지만 그 수치가 250,000달러로 줄어들더라도..
...US Rewards for Justice 팀은 2019년부터 Conti 갱단 단독으로(RfJ 사이트에서 인용) 랜섬웨어가 미국 및 국제 주요 인프라를 대상으로 하는 1000건 이상의 랜섬웨어 공격을 수행하는 데 사용되었다고 주장합니다.
의료 서비스, 9-1-1 파견 센터, 마을, 시정촌.
구급차 운전사, 소방대, 병원과 같은 의료 및 최초 대응자 네트워크만 봐도 미국 400명을 포함해 전 세계적으로 290명 이상이 피해를 입었다고 합니다.
따라서 290에 (여기서는 거대한 항공 견적을 사용하고 있습니다) "할인 수수료"인 $250,000를 곱하면 의료 서비스를 제공하는 데 사용되어야 합니다...
...어쨌든 엄청나게 많은 숫자를 얻습니다.
쳇. XNUMX년 전 우리가 출판했을 때를 기억하십시오. SamSam에 대한 보고 6년 동안 XNUMX만 달러를 벌었다는 사실에 놀랐습니까?
오리. 여전히 많은 돈이군요, 체스터!
글쎄, 그것은 나에게… [웃음]
나는 당신에게 주제가 있다는 것을 알고 있습니다. 우리는 이것을 Naked Security에 쓰지 않았지만 당신이 매우 관심이 있는 것입니다…
… 사이버 보안과 관련하여 "모든 것을 지배하는 하나의 고리"가 있을 수는 없습니다.
특히 의료 및 최초 대응자와 같은 경우 보안을 개선하기 위해 방해가 될 수 있는 모든 것이 실제로 서비스를 위험하게 악화시킬 수 있습니다.
그리고 당신은 국립 보건원(National Institutes of Health)에서 들려줄 이야기가 있습니다.
쳇. 예, 무엇보다도 우리가 완벽한 보안으로 끝나는 결과가 아니라 위험 관리에 대한 책임이 있다는 것을 상기시키는 것이 중요하다고 생각합니다.
그리고 많은 실무자들이 그것을 너무 자주 잊는다고 생각합니다.
저는 특히 소셜 미디어에서 이러한 주장이 많이 일어나는 것을 봅니다. "완벽한 것은 선의 적"입니다. 이는 이전에 팟캐스트에서도 이야기한 바 있습니다...
...어디서, "이렇게 해야 하고, 이것이 유일하게 올바른 방법입니다."
그리고 나는 이것이 흥미롭다고 생각합니다. 이것은 관계의 연구 데이터 유출이 발생한 병원과 이러한 데이터 유출로 인한 환자 결과.
표면적으로는 이해가 되지 않을 수도 있지만 주요 발견 사항을 읽어 드리겠습니다. 이 결과를 통해 우리가 말하는 내용이 매우 명확해집니다.
주요 결과는 다음과 같습니다.
데이터 유출 후 2.7년 동안 병원의 심전도 검사 시간이 30분만큼 증가했으며 0.36일 급성 심근경색증 사망률은 XNUMX%포인트나 증가했습니다.
본질적으로 우리가 말하는 것은 치명적인 결과를 초래한 환자의 비율로서 이전보다 데이터 유출이 발생한 이후에 병원에서 심장마비로 사망한 사람이 XNUMX분의 XNUMX 더 많았다는 것입니다.
오리. 아마도 그들이 그 심전도 기계를 그들에게 가져다 대고 결과를 도출하고 더 빨리 임상적 결정을 내릴 수 있었다면 그들이 죽은 사람들의 적지 않은 수를 구할 수 있었을 것이라는 의미가 있을 것입니다.
쳇. 네, 그리고 사람들이 정기적으로 심장마비와 뇌졸중으로 내원하는 바쁜 병원을 생각할 때 새로운 보안 프로토콜로 인해 1명 중 300명의 환자가 사망하는 것은 일종의 걱정거리라고 생각합니다.
그리고 미국 보건복지청은 침해된 병원이 “환자 결과에 부정적인 영향을 미치지 않으면서 더 나은 데이터 보안을 달성하기 위해 보안 개선 계획을 신중하게 평가”할 것을 권장합니다.
그리고 이것이 우리가 매우 조심해야 할 부분이라고 생각합니다. 맞습니까?
우리 모두는 더 나은 정보 보안을 원하며 병원을 방문할 때 내 환자 기록이 안전하게 유지되기를 바랍니다.
그리고 우리는 확실히 사람들이 컴퓨터와 기록에 접근하지 못하도록 하고 싶어 하지 않아야 합니다. 또한 사람들이 해가 될 수 있는 해서는 안 되는 약을 조제하지 않도록 해야 합니다.
반면에 이것은 삶과 죽음입니다.
그리고 이것은 귀하의 로펌, 마케팅 회사 또는 귀하가 보안을 담당하는 공장에는 적용되지 않을 수도 있지만... 저는 우리가 보안을 수행하는 방법에 딱 맞는 크기는 없다는 것을 상기시키는 것이 중요하다고 생각합니다.
우리는 각 상황을 평가하고 우리가 기꺼이 감수할 수 있는 위험의 양에 맞게 조정하고 있는지 확인해야 합니다.
그리고 개인적으로, 누군가가 심전도 기계의 잠금을 해제하기 위해 XNUMX단계 코드를 받아야 했기 때문에 죽을 위험보다 내 의료 기록이 손상될 위험을 훨씬 더 많이 감수할 용의가 있습니다!
오리. 체스터, 당신은 제1형 당뇨병 환자죠, 그렇지 않나요?
그리고 당신은 그 마법의 인슐린 펌프 중 하나를 가지고 있습니다.
이제 최신 Linux 커널이 나오는 그 순간에 서두르지 않으셔도 됩니다!
쳇. 전혀!
내 말은, 이러한 장치는 엄격한 테스트를 거칩니다... 즉, 버그가 없다는 것은 아니지만 건강에 대해 이야기하고 관리할 수 있을 때 알려진 것이 알려지지 않은 것보다 낫습니다.
그리고 확실히 이러한 장치에는 소프트웨어 버그가 있으며 Bluetooth와 같은 기술을 포함하여 현대화되고 있습니다. 또는 제 장치의 큰 도약은 컬러 화면이 있다는 것입니다. 물건이다!
의료 당국이 이러한 장치를 승인하는 데는 매우 긴 과정이 필요합니다.
그리고 (트랜지스터와 프로세서에 대한 이전 대화에서와 같이) "시도하고 진실한" 것, 즉 우리가 이해할 수 있는 단순한 것이 보안 결함을 파악하고 찾기가 훨씬 더 어려운 새롭고 복잡한 것보다 훨씬 더 선호됩니다.
이 인슐린 펌프에 대한 패치 화요일 같은 것이 있었다면 화요일에 업데이트를 설치하기 위해 블록에서 첫 번째 사람이 되기 위해 줄을 섰을 것이라고 상상할 수 없습니다!
모든 사마귀에 대해 나는 그것이 어떻게 작동하고 어떻게 작동하지 않는지 정확히 알고 있습니다.
그리고 니말대로 잘 공생하는데...
… 장치는 일관성을 유지해야 하는 책임을 알고 있으며, 저는 건강을 개선하기 위해 이 장치를 활용하는 방법을 배웠습니다.
그 어떤 변화도 무섭고 파괴적일 수 있습니다.
따라서 답이 항상 더 좋고 빠르며 똑똑한 것은 아닙니다.
때때로 그것은 신뢰성과 신뢰에서 "알려진" 것입니다.
오리. 데이터 유출이 없는 것도 도움이 됩니다!
그리고 데이터가 유출되어서는 안 되는 곳으로 유출되는 데이터로부터 조직을 보호하기 위해 할 수 있는 놀라울 정도로 간단한 몇 가지 방법이 있습니다.
쳇. 그리고 그 중 하나는 Duck, 우리에게 예전처럼 시간이 없다는 것입니다.
범죄자들은 너무 많은 것을 허용하는 구식 정책인지, XNUMX년 전에는 노출해도 괜찮았지만 지금은 위험한 노출 서비스인지 여부와 같이 사용자가 범했을 수 있는 이러한 실수를 찾기 위해 끊임없이 인터넷을 검색하고 있습니다. 인터넷에 노출됩니다.
오리. “그때 RDP는 잊었다.”
쳇. 네, 글쎄요, RDP가 계속 나온다고 생각하니 안타깝습니다만 사실 지난주 Black Hat에서 우리는 방금 논문을 발표했고 블로그를 썼다 조직에서 몇 주 이내에 세 가지 다른 랜섬웨어 공격을 받은 상황에 대해 모두 같은 조직 내에서 어느 정도 동시에 발생했습니다.
그리고 네트워크 내에서 한 명 이상의 공격자를 본 것은 이번이 처음이 아닙니다.
같은 네트워크 내에서 *XNUMX*을 본 것은 이번이 처음일 것입니다.
오리. 오, 골리, 그것들이 겹쳤습니까?
공격 B가 올 때 문자 그대로 여전히 공격 A를 다루고 있었습니까?
쳇. 예, 공격자 B와 공격자 C 사이에 간격이 있다고 생각하지만 A와 B는 동시에 들어왔고, 아마도 그들이 발견하고 악용했던 것과 똑같은 원격 액세스 도구 결함을 통해 들어왔을 것입니다.
그런 다음 B 그룹은 첫 번째 백도어가 닫힐 경우를 대비하여 일종의 보조 백도어와 같은 자체 원격 액세스 도구를 설치했다고 생각합니다.
… 그리고 그룹 C는 원격 액세스 도구를 찾아 들어왔습니다.
오리. 골리… 웃으면 안되지만 일종의 오류 코미디입니다.
"잘 관리되지 않는 네트워크에서는 공식 원격 액세스 도구가 무엇인지 알아야 합니다. 그러면 그 도구가 아닌 모든 것이 분명히 눈에 띌 것입니다."
하지만 청취자에게 이렇게 묻겠습니다. 네트워크를 담당하고 있다면 가슴에 손을 얹고 지금 회사에서 사용 중인 원격 회의 도구가 몇 개나 있는지 정확히 말씀해 주시겠습니까?
쳇. 네, 절대적으로.
우리는 올해 초에 우리가 조사하는 동안 발견한 *XNUMX*개의 서로 다른 원격 액세스 도구가 있다고 생각하는 피해자가 한 명 있었는데 그 중 일부는 XNUMX년 전에 합법적으로 사용되었으며 사용을 중단했지만 제거하지는 않았습니다.
그리고 여러 위협 행위자가 도입한 다른 것들도 있습니다.
따라서 이것은 확실히 주의해야 할 사항입니다!
오리. 음, Chester, 이번 주에 시간이 없기 때문에 끝낼 수 있을 만큼 충분히 긍정적인 제안이 되기를 바랍니다.
언제나처럼 아주 짧은 시간에 마이크를 잡아주셔서 감사합니다.
그리고 언제나 그렇듯이 다음 시간까지…
양자 모두. 보안 유지!
[뮤지컬 모뎀]
