Klicken und ziehen Sie auf die unten stehenden Schallwellen, um zu einem beliebigen Punkt zu springen. Du kannst auch direkt zuhören auf Soundcloud.
Mit Paul Ducklin und Chester Wisniewski.
Intro- und Outro-Musik von Edith Mudge.
Ihr könnt uns auf hören Soundcloud, Apple Podcasts, Google Podcasts, Spotify, Stitcher und überall, wo gute Podcasts zu finden sind. Oder lass es einfach fallen URL unseres RSS-Feeds in Ihren Lieblings-Podcatcher.
LESEN SIE DAS TRANSKRIPT
[MUSIKMODEM]
ENTE. Willkommen zum Podcast, alle zusammen.
Ich bin nicht Douglas … ich bin Paul Ducklin.
Doug ist im Urlaub, also gesellt sich mein guter Freund und Kollege Chester Wisniewski aus unserem Büro in Vancouver zu mir.
Hallo Cheet!
CHET. Hallo Ente.
Wie geht es Ihnen?
ENTE. Mir geht es sehr gut danke.
Wir hatten heute unseren ersten Regen in Oxfordshire seit… muss mindestens ein paar Monate her sein.
Wenigstens haben wir etwas Wasser in den Boden bekommen, denn hier war es sehr, sehr trocken – untypisch trocken.
Was ist mit dir?
CHET. Nun, ich erhole mich gerade von der DEF CON, obwohl ich nicht an der Defcon teilgenommen habe, von der ich nicht einmal wusste, dass es eine Sache gibt.
ENTE. [LACHT] Oh ja!
CHET. Ich verbrachte das ganze Wochenende damit, meine Augen auf Twitter und Twitch und Discord und all diese Plattformen zu richten, auf denen man quasi aus der Ferne an all den Feierlichkeiten teilhaben konnte.
Und ich muss sagen, es macht viel mehr Spaß, wenn man tatsächlich in Las Vegas ist.
Aber wenn man bedenkt, dass die Zahl der Menschen, von denen ich weiß, dass sie mit COVID zurückgekehrt sind, sich bereits mehr Fingern und Daumen nähert als ich, denke ich, dass ich die richtige Wahl getroffen habe, und ich bin froh, das ganze Wochenende vom übermäßigen Internet erschöpft zu sein.
ENTE. Glaubst du, sie haben wirklich eine Coronavirus-Infektion bekommen, oder sind sie einfach zurückgekommen und haben sich gefühlt, wie soll ich es ausdrücken … „unwohl“, weil Black Hat gefolgt von DEF CON war?
CHET. Weißt du, so schlimm die CON GRIPPE auch sein kann…
ENTE. CON GRIPPE?! [LACHT] Oh je!
CHET. …Ich bin ziemlich zuversichtlich, dass es in diesem Fall COVID ist, denn nicht nur Menschen testen, sondern für die meisten Menschen, mit denen ich vertraut bin, ist COVID deutlich schmerzhafter als sogar CON GRIPPE.
Also waren die beiden zusammen wahrscheinlich besonders schrecklich.
ENTE. Ich muss denken: ja.
Aber lassen Sie uns nicht bei DEF CON-Coronavirus/CON-Grippe-Problemen verweilen…
…lenken wir unsere Aufmerksamkeit eigentlich auf einen Vortrag, der auf der DEF CON gehalten wurde.
Hier geht es um eine Zoom Zero-Day das wurde von Patrick Wardle geschrieben und auf der DEF CON präsentiert.
Eher eine unglückliche Reihe von Fehlern, darunter einer, der nicht richtig gepatcht wurde, Chester?
CHET. Nun, Patrick ist nicht der einzige Sicherheitsforscher für macOS auf der Welt, aber er ist ziemlich erstaunlich darin, Probleme zu finden.
Und das letzte Mal, als ich Patrick Wardle hier gesehen habe, war mehrmals auf der Virus Bulletin-Konferenz, und jedes Mal hat er Apple wegen einiger fragwürdiger Entscheidungen zur Signaturüberprüfung, Zertifikatsüberprüfung und solchen Dingen zur Schule gebracht.
Und ich beginne, den Eindruck zu bekommen, dass Apples Sicherheitshaltung weitgehend um einige dieser Dinge herum geformt hat.
Und so sucht er jetzt nach weiteren Anbietern, die möglicherweise ähnliche kryptografische Fehler machen, die Malware auf die Plattform bringen könnten.
ENTE. Ich denke, früher dachten alle: „Nun, solange Sie eine TLS-Verbindung haben“ oder „Solange Sie etwas haben, das von jemandem digital signiert ist.“
Der Code würde sich also oft nicht die Mühe machen, ihn zu überprüfen.
Aber in diesem Fall entschieden sie sich, heruntergeladene Update-Pakete zu überprüfen, um sicherzustellen, dass sie von Zoom stammten.
Aber sie haben es nicht sehr gut gemacht, oder?
Anstatt die offizielle System-API aufzurufen, die verschwindet, führt die Überprüfung durch und kommt im Grunde mit einem wahren oder falschen zurück …
…sie haben sich quasi „selbst gestrickt“, nicht wahr?
CHET. Ja.
Ich meine, das Stricken eigener Dinge im Zusammenhang mit Krypto endet immer schmerzhaft.
Und ich erinnere mich, dass Sie im letzten Podcast über den neuen quantensicheren Kryptoalgorithmus gesprochen haben, der in einer Stunde auf einem Laptop geknackt wurde.
ENTE. SICH!
CHET. Alle waren so auf die Quantenseite konzentriert, dass sie irgendwie die konventionelle Seite vermisst, sogar unter einigen der klügsten Mathematiker und Kryptografen der Welt, richtig?
So ist es wirklich einfach, Fehler zu machen, die verheerend sein können.
Und das eigene Stricken ist etwas, worüber Sie und ich, ich möchte sagen, seit fast 20 Jahren in verschiedenen Kommunikationsformaten im Namen von Sophos gesprochen haben.
Und ich glaube nicht, dass wir jemals unsere Position geändert haben, dass es eine schreckliche Idee ist!
ENTE. Das Problem dabei ist nicht, dass sie sich entschieden haben, ihre eigenen digitalen Signaturalgorithmen zu verwenden oder ihre eigene elliptische Kurve zu erfinden.
Anstatt zu sagen: „Hier ist eine Datei. Liebes Betriebssystem, verwenden Sie Ihre standardisierten API-basierten Tools, um es zu überprüfen, und geben Sie True/False zurück“, entschieden sie sich, im Wesentlichen zu berappen.
Sie liefen die pkgutil Befehlszeilendienstprogramm im Hintergrund, was Sie von der Befehlszeile aus tun können, wenn Sie eine für Menschen lesbare, visuelle Anzeige dessen erhalten möchten, wer was unterschrieben hat.
Und dann schrieben sie ein Programm, das die textbasierte Ausgabe davon weitergab, um zu entscheiden, ob sie die Antwort „wahr“ oder „falsch“ erhalten wollten.
Sie holten eine Liste der Zertifikatskette heraus und suchten nach „Zoom“, gefolgt von „Developer Certification Authority“, gefolgt von „Apple Root CA“.
Sie suchen also *irgendwo in der Ausgabe* nach diesen Strings, Chester!
Es stellt sich also heraus, dass, wenn Sie ein Paket erstellt haben, das einen Namen in der Art von hatte Zoom Video Communications Inc Developer ID Certification Authority Apple Root CA.pkg, dann wenn pkgutil den Dateinamen in seine Ausgabe geschrieben hat, würden alle drei magischen Zeichenfolgen erscheinen!
Und der ziemlich unfähige Parser von Zoom würde entscheiden, dass dies nur passieren könnte, wenn es von diesen drei Organisationen in der richtigen Reihenfolge unterzeichnet worden wäre.
Dabei war es eigentlich nur der Name, den Sie angegeben haben.
Auweh!
CHET. Das Problem hier ist, dass diese Art von rudimentärer Signaturprüfung, die sie durchführen, zu dem Problem führt.
Aber das eigentliche Problem ist natürlich, dass jedes Paket, dem dieser Name gegeben werden kann, *als root* auf dem System installiert wird, selbst wenn der Benutzer, der den Update-Prozess ausführt, nicht privilegiert ist.
ENTE. Das war das ganze Problem.
Weil es so aussah, als hätte Zoom dieses Problem rechtzeitig zur DEF CON behoben.
Sie verwenden die API korrekt und verifizieren zuverlässig die Integrität und Authentizität der Datei, die sie ausführen möchten.
Aber indem sie es in das temporäre Verzeichnis verschoben haben, von dem aus Zoom die Installation orchestriert, haben sie es weltweit beschreibbar gelassen!
Das Verzeichnis war also geschützt, und alles im Verzeichnis war geschützt … *außer der wichtigsten Datei*.
Rate mal, was du tun könntest?
Wenn Sie es genau richtig getimt haben (eine sog Rennzustand), konnte der ursprüngliche Benutzer die Datei ändern, *nachdem* sie ihre digitale Identitätsprüfung bestanden hatte, aber *bevor* sie ernsthaft verwendet wurde.
Das Installationsprogramm verwendet eine Datei, von der es glaubt, dass sie validiert wurde, und tatsächlich validiert wurde …
…aber in der Lücke zwischen Validierung und Nutzung entwertet.
CHET. Ja, und wie Sie in dem Artikel, Ente, anmerken, wird diese Art von Schwachstelle oft als TOCTOU bezeichnet, anstatt nur eine einfache Rassenbedingung zu sein, was für mich wie eine Art karibischer Vogel klingt.
Aber es bezieht sich auf einen komplizierteren, wissenschaftlichen Namen für den Fehler, genannt a Time-of-Check bis Time-of-Use.
Also, TOCTOU… „Toctou“!
ENTE. Wie Sie habe ich mir immer vorgestellt, es wäre eine Art sehr hübscher polynesischer Papagei.
Aber es ist eigentlich, wie Sie sagen, eine hässliche Form von Fehler, bei der Sie Ihre Fakten überprüfen, aber Sie überprüfen sie zu früh und wenn Sie sich auf diese Fakten verlassen, haben sie sich geändert.
Zoom hat es also behoben – und Patrick Wardle sagte, er habe ihnen gratuliert … sie haben es innerhalb eines Tages behoben, nachdem er den Artikel auf der DEF CON geschrieben hatte.
Sie haben die Berechtigungen für die Datei korrekt gesperrt, bevor sie überhaupt mit dem Validierungsprozess begonnen haben.
Die einmal abgeschlossene Validierung blieb also bis zum Ende der Installation gültig.
Problem gelöst.
Hätte eigentlich nie da sein sollen, oder?
CHET. Wenn Sie ein Mac-Benutzer sind, können Sie Ihre Versionsnummer überprüfen, um sicherzustellen, dass Sie auf der festen Version sind.
Die behobene Version ist 5.11.5 oder höher. Ich weiß nicht, ob es spätere Veröffentlichungen gegeben hat.
[Notiz. Ein weiteres Update auf 5.11.6 kam zwischen der Aufnahme und der Veröffentlichung dieser Folge heraus.]
ENTE. Nun, das bedeutet nicht, dass ein Außenstehender in Ihren Computer eindringen kann, wenn Sie diesen Patch nicht haben, aber es ist ein unangenehmes Problem, wenn Sie es haben …
…wo ein Gauner, der in Ihr Netzwerk eingebrochen ist, aber beispielsweise nur Gastrechte hat, sich plötzlich erheben und „Root“- oder „Admin“-Superkräfte erlangen kann.
Das ist genau das, was Ransomware-Gauner gerne tun.
Sie kommen mit geringer Leistung herein und arbeiten sich dann hoch, bis sie mit den regulären Sysadmins gleichgestellt sind.
Und dann gibt es leider nur sehr wenige Grenzen für das, was sie danach tun können.
Chester, gehen wir weiter zu den nächster Fehler.
Dies ist auch ein bekannter Fehler, es ist A und E zusammen geschrieben, was ein alter englischer Buchstabe ist ... er wird im Englischen nicht mehr verwendet, und es ist der Buchstabe namens Ash, aber in diesem Fall soll er APIC/EPIC sein.
APIC, weil es APICs betrifft, die Erweiterter Programm-Interrupt-Controller, und sie halten es für ein EPIC-Leck.
CHET. Ich fand es interessant, aber fangen wir damit an, dass ich es vielleicht nicht so episch finde, wie der Name vermuten lässt.
Das APIC ist sicherlich beteiligt, aber beim EPIC bin ich mir nicht so sicher!
Die Wahrheit der Sache, wenn Sie all dies aufdecken, ist, dass es einen Teil von Intels CPUs betrifft, die als SGX bekannt sind, das ist die … ich werde es jetzt vergessen … Software Guard-Erweiterungen, Ich möchte sagen?
ENTE. Du hast Recht!
CHET. Nun, dies ist nicht der erste Fehler, der SGX betrifft.
Ich habe nicht alle gezählt, aber ich habe mindestens sieben frühere Instanzen gefunden, also hat es keine große Erfolgsbilanz darin, genau das zu tun, wofür es entwickelt wurde.
Und die einzige praktische Verwendung, die ich irgendwo finden konnte, war, dass Sie diese Funktionalität benötigen, um die geheimen Schlüssel für die Wiedergabe von UltraHD-Bluray-Disks unter Windows zu speichern.
Und mit Chips, die SGX nicht unterstützen, dürfen Sie anscheinend keine Filme ansehen.
ENTE. Was ironisch ist, denn Intel hat jetzt in der 12. Generation seiner CPUs … sie haben SGX für sogenannte „Client“-Chips eingestellt.
Also die Chips, die Sie jetzt bekommen, wenn Sie einen brandneuen Laptop haben – das trifft nicht zu, weil kein SGX drin ist.
Es scheint, dass sie es als etwas sehen, das auf Servern nützlich sein könnte.
CHET. Nun, ich denke, es ist fair zu sagen, dass das Schicksal von SGX von Intel besiegelt wurde, indem es es bereits aus den CPUs der 12. Generation herausgezogen hat.
Wenn da nicht die achte clevere Methode wäre, die jemand gefunden hat, um Geheimnisse zu extrahieren … aus dem Ding, das nur dazu bestimmt ist, Geheimnisse zu bewahren.
ENTE. Ja, es ist eine Erinnerung daran, dass Leistung im Weg steht.
Denn nach meinem Verständnis funktioniert dies so, dass die altmodische Methode, die Daten aus dem Programmschnittstellen-Controller, dem APIC, herauszuholen, im Grunde darin bestand, sie aus einem Speicherblock zu lesen, der speziell diesem Gerät zugewiesen wurde.
Der Speicherblock, der für die extrahierten Interrupt-Daten verwendet wurde, war 4 KB groß, also eine Speicherseite groß.
Aber es waren nicht so viele Daten zu extrahieren, und was vorher da war – zum Beispiel im System-Cache – wurde zurückgeschrieben.
Mit anderen Worten, der Interrupt-Prozessor hat den Speicher, den er verwenden wollte, nicht geleert, bevor er die Bytes einschrieb, die er liefern wollte.
Daher lieferte es manchmal versehentlich Datenwerte aus beliebigen anderen Teilen des Speichers, auf die die CPU kürzlich zugegriffen hatte.
Und indem sie kontrollierten, was passierte und in welcher Reihenfolge, stellten die Forscher fest, dass sie RAM-Inhalte, die in diesen SGX-„Enklaven“ versiegelt werden sollten, davon überzeugen konnten, mitten in der Interrupt-Verarbeitung als eine Art nicht initialisierter Speicher aufzutauchen.
Denken Sie also immer daran, dass Sie alle möglichen Probleme bekommen können, wenn Sie versuchen, die Dinge zu beschleunigen, indem Sie Sicherheitsverknüpfungen verwenden.
CHET. Wenn Sie darauf vertrauen wollen, dass dieses Ding Geheimnisse bewahrt, muss es gründlich überprüft werden.
Und es fühlt sich an, als wäre diese SGX-Technologie bei ihrer Markteinführung halbgar gewesen.
ENTE. Komplexität ist immer mit Kostenrisiko verbunden, oder?
Wenn Sie denken, Chester, zurück zum 6502-Prozessor, der berühmt im Apple II, im VIC-20, im Commodore 64 war … wenn Sie aus Großbritannien kommen, war er im BBC Micro.
Ich glaube, dieser Chip hatte ungefähr 4000 Transistoren.
Es war also wirklich ein Chip mit reduziertem Befehlssatz oder RISC.
Während ich verstehe, dass der neueste Apple M2-Prozessor 20 Milliarden (wie in 20,000,000,000) Transistoren hat, nur in einer CPU.
Sie können das also sehen, wenn Sie anfangen, Dinge wie den Interrupt Controller (der in den Chip gesteckt werden kann), die sichere Enklave (nun, der kann in den Chip gesteckt werden), Hyperthreading (der in den Chip gesteckt werden kann), [SPEEDING UP MANICALLY] Vektorbefehle (die könnten in den Chip gehen), spekulative Ausführung, Neuordnung von Befehlen …
… all diese Dinge, es ist nicht verwunderlich, dass die Dinge manchmal nicht so funktionieren, wie Sie es vielleicht erwarten, und dass es ziemlich lange dauert, bis es jemandem auffällt.
CHET. Nun, gute Arbeit an die Forscher, die es gefunden haben, denn es ist sicherlich eine interessante Forschung.
Und wenn Sie ein wenig mehr darüber verstehen möchten, Ihr Naked Security-Artikel erklärt es unglaublich gut für Leute, die normalerweise nicht mit Dingen wie APIC-Controllern vertraut sind.
Daher empfehle ich den Leuten, es sich anzusehen, denn es ist ein perfektes Beispiel für unbeabsichtigte Konsequenzen aus einfachen Entscheidungen, die über sehr komplexe Dinge getroffen werden.
ENTE. Ich denke, das ist eine ausgezeichnete Art, es auszudrücken. Chester.
Es lässt uns auch die Freiheit, zu einem anderen kontroversen Thema überzugehen, und das ist die Tatsache, dass die US-Regierung es tut eine Belohnung anbieten dass es „bis zu 10 Millionen US-Dollar“ für Informationen über die Conti-Ransomware-Crew gibt.
Nun, es scheint, dass sie niemandes richtigen Namen kennen. Diese Leute sind nur als Dandis, Professor, Reshaev, Target und Tramp bekannt.
Und ihre Bilder sind nur Silhouetten…
CHET. Ja, als ich den Artikel zum ersten Mal sah, dachte ich, die Beschreibung der Kriminellen sei wie die der Menschen auf Gilligan's Island.
Wir haben den Professor und den Landstreicher … und ich war mir nicht ganz sicher, wohin das mit den Spitznamen führen sollte.
Ich hoffe, dieser Versuch ist erfolgreicher als der letzte … Ich meine, es gab eine andere Gruppe, für die sie 10 Millionen Dollar angeboten haben, und das war die Evil Corp-Gruppe.
Und meines Wissens wurden noch keine Verhaftungen oder irgendwelche rechtlichen Schritte unternommen. Vermutlich waren die 10 Millionen Dollar, um Evil Corp zu bekommen, nicht genug Anreiz für die Leute, die Täter dieser Gruppe anzugreifen.
Hoffentlich ist dieser hier etwas erfolgreicher.
Aber es gab ein fantastisches Foto, das auf Twitter und sogar auf Naked Security für viele Spekulationen und Gespräche sorgte, in dem Post, den Sie von einem der mutmaßlichen Täter geschrieben haben.
Wir wissen nicht, ob er ein Mitglied der Kontrollgruppe ist, die Ransomware-as-a-Service betrieben oder betrieben hat, oder ob er vielleicht einfach ein Partner war, der die Malware verwendet und zur Zahlung von Provisionen für unrechtmäßig erworbene Gewinne von Opfern beigetragen hat.
Aber man könnte nicht stereotyper russisch werden … Ich meine, wir sehen uns das an: Der Typ hat einen roten Stern auf seiner Kappe, und ich spekuliere, eine kleine Flasche Wodka in seiner Hand, und da ist eine Balalaika.
Das ist fast zu schön, um wahr zu sein.
ENTE. Im guten Hacker-Dress trägt er eine Art Puffjacke mit Kapuze darüber…
… obwohl er den Hoodie runter hat, also zählt es vielleicht nicht?
Glaubst du, Chester, dass sie die Conti-Bande ins Visier genommen haben, weil sie sozusagen ein bisschen Schande unter Dieben hatten?
Vor ungefähr einem Jahr haben sich einige der Tochtergesellschaften sehr aufgeregt, behauptet, sie würden abgezockt, und es gab eine Datenpanne, nicht wahr, bei der einer von ihnen eine ganze Menge Bedienungsanleitungen und Softwaredateien abgelegt hat?
CHET. Weißt du, da sind viele Stücke.
Wie Sie darauf hinweisen – ich glaube, es war im August 2021 – hat jemand seine Bedienungsanleitungen oder sein „Playbook“, wie es genannt wird, durchsickern lassen.
Nach dem Einmarsch in die Ukraine schien Conti als Ganzes sehr pro-russisch zu sein. Was dazu führte, dass ein Haufen Ukrainer, die Teil ihres Plans waren, sie anmachten und eine Menge Informationen über ihre Operationen und Dinge preisgaben.
Da war also sicher was dabei.
Ich denke, ein weiterer Grund, Duck, ist einfach der enorme Schaden, den sie angerichtet haben.
Ich meine, als wir unsere Zuschreibungen von unserem Rapid Response Team erstellten, war Conti ohne Frage die produktivste Gruppe, die im Jahr 2021 Schaden anrichtete.
Niemand glaubt wirklich, dass sie aus dem kriminellen Untergrund kommen.
Es ist ja nicht so, als hätten sie ihr Geld genommen und wären gegangen … sie haben sich einfach zu neuen Schemata entwickelt, sich in verschiedene Ransomware-Gruppen aufgeteilt und spielen andere Rollen in der Community als sie es vorher waren.
Und in letzter Zeit haben einige Leute vielleicht gehört, dass es einige Angriffe auf die costa-ricanische Regierung gab, die Conti zugeschrieben wurden, und das ist noch nicht einmal sehr lange her.
Ich denke also, dass es hier Schichten gibt, und eine dieser Schichten könnte Dandi, Protessor, Reshaev sein …
…diese Personen wurden von Leuten, die behaupten zu wissen, wer sie sind, öffentlich doxiert [wobei personenbezogene Daten absichtlich durchgesickert sind], ohne jedoch Beweise zu liefern, die einer Anklage und Verurteilung würdig wären.
Und vielleicht ist dies eine Hoffnung, dass sie vielleicht vortreten, wenn der Preis hoch genug ist, und sich gegen ihre ehemaligen Kameraden wenden.
ENTE. Aber selbst wenn sie alle morgen festgenommen werden und sie alle angeklagt und verurteilt werden, würde das Ransomware-Verfahren beeinträchtigen, nicht wahr?
Aber leider wäre es eine Delle, nicht das „Ende“.
CHET. Unbedingt.
Leider denke ich, dass wir in der Welt, in der wir heutzutage leben, weiterhin sehen werden, wie sich diese Verbrechen auf unterschiedliche Weise entwickeln, und das wird hoffentlich etwas Erleichterung bringen, wenn wir uns immer besser verteidigen können.
Aber mit potenziellen Lösegeldern in Höhe von 25 Millionen US-Dollar gibt es viele Leute, die bereit sind, ein Risiko einzugehen und diese Verbrechen weiter zu begehen, unabhängig davon, ob diese bestimmten Gangsterbosse an der Spitze stehen oder nicht.
ENTE. Ja.
Du denkst: „Oh, nun, sie würden niemals 25 Millionen Dollar bekommen. Am Ende würden sie sich wahrscheinlich mit weniger zufrieden geben.“
Aber selbst wenn sich diese Zahl auf, sagen wir, 250,000 Dollar beläuft …
… wie das Team von US Rewards for Justice betont: Seit 2019 behaupten sie, dass allein die Conti-Bande (Zitat von der RfJ-Site), dass ihre Ransomware verwendet wurde, um mehr als 1000 Ransomware-Angriffe auf kritische Infrastrukturen in den USA und auf internationaler Ebene durchzuführen.
Medizinische Dienste, Notrufzentralen, Städte, Gemeinden.
Und sie deuten darauf hin, dass allein von Gesundheits- und Ersthelfernetzwerken – Dingen wie Krankenwagenfahrern, Feuerwehren, Krankenhäusern – weltweit mehr als 400 betroffen sind, darunter 290 in den USA.
Wenn Sie also 290 mit (ich verwende hier riesige Luftnotierungen) mit der „Rabattgebühr“ von 250,000 US-Dollar multiplizieren, die in die Gesundheitsversorgung fließen sollte …
… bekommt man sowieso eine enorm große Zahl.
CHET. Erinnern Sie sich, als wir vor vier Jahren einen Bericht über SamAam veröffentlichten und wir erstaunt waren, dass sie in drei Jahren 6 Millionen Dollar verdient haben?
ENTE. Das ist immer noch viel Geld, Chester!
Nun, für mich ist es … vielleicht bist du ein Überflieger. [LACHEN]
Ich weiß, dass Sie ein Thema haben, das wir nicht auf Naked Security geschrieben haben, aber es ist etwas, das Sie sehr interessiert.
Und das ist die Tatsache, dass es in Bezug auf Cybersicherheit nicht „einen Ring geben kann, der sie alle regiert“.
Besonders wenn es um Dinge wie das Gesundheitswesen und Ersthelfer geht, wo alles, was der Verbesserung der Sicherheit im Wege stehen könnte, den Service tatsächlich gefährlich verschlechtern könnte.
Und Sie haben eine Geschichte von den National Institutes of Health zu erzählen …
CHET. Ja, ich denke, es ist eine wichtige Erinnerung daran, dass wir in erster Linie für das Risikomanagement verantwortlich sind und nicht für Ergebnisse, die zu perfekter Sicherheit führen.
Und ich denke, viele Praktizierende vergessen das zu oft.
Ich sehe viele dieser Argumente, besonders in den sozialen Medien, wo „das Perfekte der Feind des Guten ist“, worüber wir zuvor auch in Podcasts gesprochen haben …
…wobei: „Du solltest es so machen, und das ist der einzig richtige Weg.“
Und ich denke, das ist interessant – das Studium der Beziehung zwischen Krankenhäusern, in denen es zu einer Datenschutzverletzung kam, und Patientenergebnissen nach diesen Datenschutzverletzungen.
Das mag oberflächlich betrachtet keinen Sinn ergeben, aber lassen Sie mich Ihnen die wichtigsten Ergebnisse vorlesen, die meiner Meinung nach ziemlich klar machen, wovon wir sprechen. Die wichtigsten Erkenntnisse sind:
Die Zeit bis zum Elektrokardiogramm des Krankenhauses verlängerte sich um bis zu 2.7 Minuten, und die 30-Tage-Sterblichkeit bei akutem Myokardinfarkt stieg um bis zu 0.36 Prozentpunkte während des dreijährigen Fensters nach einer Datenpanne.
Im Wesentlichen sagen wir, dass ein Drittel Prozent mehr Menschen an Herzinfarkten in Krankenhäusern starben, die danach Datenpannen hatten, als zuvor, als Prozentsatz der Patienten mit tödlichem Ausgang.
ENTE. Vermutlich ist die Implikation, dass sie, wenn sie in der Lage gewesen wären, dieses Elektrokardiogrammgerät anzubringen und die Ergebnisse herauszuholen und schneller eine klinische Entscheidung zu treffen, in der Lage gewesen wären, eine nicht unerhebliche Anzahl dieser Menschen zu retten, die gestorben sind?
CHET. Ja, und ich denke, wenn Sie an ein geschäftiges Krankenhaus denken, in das regelmäßig Menschen mit Herzinfarkten und Schlaganfällen eingeliefert werden, ist 1 von 300 Patienten, die aufgrund neuer Sicherheitsprotokolle sterben, eine Art Besorgnis.
Und die Health and Human Services Administration in den Vereinigten Staaten fährt fort, dass sie empfiehlt, dass betroffene Krankenhäuser „Sicherheitsinitiativen zur Abhilfe sorgfältig prüfen, um eine bessere Datensicherheit zu erreichen, ohne die Ergebnisse für die Patienten negativ zu beeinflussen“.
Und ich denke, hier müssen wir wirklich sehr vorsichtig sein, oder?
Wir alle wollen eine bessere Informationssicherheit, und ich möchte, dass meine Patientenakten sicher aufbewahrt werden, wenn ich das Krankenhaus besuche.
Und wir möchten auf jeden Fall sicher sein, dass Menschen nicht auf Computer und Aufzeichnungen zugreifen, die sie nicht sollten, und dass Menschen keine Medikamente ausgeben, die sie nicht sollten, die schädlich sein können.
Andererseits geht es hier um Leben und Tod.
Und auch wenn dies möglicherweise nicht für Ihre Anwaltskanzlei, Ihr Marketingunternehmen oder Ihre Fabrik gilt, für deren Sicherheit Sie verantwortlich sind … Ich denke, es ist eine wichtige Erinnerung daran, dass es keine Einheitslösung dafür gibt, wie wir Sicherheit betreiben sollten.
Wir müssen jede Situation bewerten und sicherstellen, dass wir sie mit dem Maß an Risiko maßschneidern, das wir zu akzeptieren bereit sind.
Und ich persönlich bin bereit, ein viel größeres Risiko in Kauf zu nehmen, dass meine Krankenakten kompromittiert werden, als das Risiko zu sterben, weil jemand einen Zwei-Faktor-Code holen musste, um das Elektrokardiogramm-Gerät freizuschalten!
ENTE. Nun, Chester, Sie sind Typ-1-Diabetiker, nicht wahr?
Und Sie haben eine dieser magischen Insulinpumpen.
Nun, ich wette, Sie beeilen sich nicht, den neuesten Linux-Kernel darauf zu installieren, sobald er herauskommt!
CHET. Unbedingt!
Ich meine, diese Geräte werden strengen Tests unterzogen … das heißt nicht, dass sie fehlerfrei sind, aber das Bekannte ist besser als das Unbekannte, wenn es um Ihre Gesundheit geht und wie Sie damit umgehen können.
Und sicherlich gibt es Softwarefehler in diesen Geräten, wenn sie modernisiert werden und Technologien wie Bluetooth enthalten … oder der große Sprung für mein Gerät war, dass es einen Farbbildschirm bekam, der Ihnen sagt, wie alt einige der Technologien sind, die in diesen Dingen stecken ist!
Die Zulassung dieser Geräte durch die medizinischen Behörden ist sehr, sehr langwierig.
Und „bewährtes“ (in die frühere Diskussion über Transistoren und Prozessoren) werden einfache Dinge, die wir verstehen können, gegenüber neuen, komplizierten Dingen, die viel schwieriger herauszufinden sind, viel bevorzugt, um diese Sicherheitslücken zu finden.
Ich kann mir nicht vorstellen, wenn es so etwas wie einen Patchday für diese Insulinpumpe gäbe, dass ich am Dienstag als Erster anstehen würde, um das Update zu installieren!
Trotz all seiner Warzen weiß ich genau, wie es funktioniert und wie es nicht funktioniert.
Und zu Ihrem Punkt, wie kann man damit koexistieren?
Das Gerät ist sich seiner Verantwortung bewusst, konsistent zu bleiben, und ich habe gelernt, wie ich es zu meinem Vorteil nutzen kann, um meine Gesundheit zu verbessern.
Jede Änderung daran kann beängstigend und störend sein.
Die Antwort ist also nicht immer besser, schneller und intelligenter.
Manchmal sind es die „bekannten Bekannten“ in der Zuverlässigkeit und im Vertrauen.
ENTE. Allerdings hilft es auch, keine Datenschutzverletzungen zu haben!
Und es gibt einige überraschend einfache Dinge, die Sie tun können, um Ihr Unternehmen davor zu schützen, dass Daten dorthin gelangen, wo sie nicht sein sollten.
CHET. Und eines der Dinge, Duck, ist, dass wir nicht mehr die Zeit haben, die wir früher hatten.
Kriminelle scannen ständig das Internet auf der Suche nach diesen Fehlern, die Sie möglicherweise gemacht haben, ob es sich um eine veraltete Richtlinie handelt, die zu viele Dinge zulässt, oder ob es sich um aufgedeckte Dienste handelt, die vor zehn Jahren vielleicht völlig in Ordnung waren, aber jetzt gefährlich zu haben sind dem Internet ausgesetzt.
ENTE. "Das RDP damals vergessen."
CHET. Ja, nun, ich bin traurig darüber, dass RDP immer wieder auftaucht, aber tatsächlich haben wir letzte Woche bei Black Hat gerade ein Papier veröffentlicht und hat einen Blog geschrieben über eine Situation, in der eine Organisation innerhalb weniger Wochen drei verschiedene Ransomware-Angriffe hatte, alle innerhalb derselben Organisation, die ziemlich gleichzeitig stattfanden.
Und es ist nicht das erste Mal, dass wir mehr als einen Angreifer in einem Netzwerk sehen.
Ich denke, es ist vielleicht das erste Mal, dass wir *drei* innerhalb desselben Netzwerks sehen.
ENTE. Oh Gott, haben sie sich überschnitten?
Hatten sie es buchstäblich immer noch mit Angriff A zu tun, als Angriff B kam?
CHET. Ja, ich glaube, es gab eine Lücke zwischen Angreifer B und Angreifer C, aber A und B waren gleichzeitig drin, vermutlich durch genau denselben Fehler im Fernzugriffstool, den sie beide gefunden und ausgenutzt hatten.
Und dann, glaube ich, hat Gruppe B ihr eigenes Fernzugriffstool installiert, sozusagen als zweite Hintertür, nur für den Fall, dass die erste geschlossen wird …
… und Gruppe C fand ihr Fernzugriffstool und kam herein.
ENTE. Meine Güte… wir sollten nicht lachen, aber es ist eine Art Fehlerkomödie.
Es ist leicht zu sagen: „Nun, in jedem halbwegs gut verwalteten Netzwerk sollten Sie wissen, was Ihr offizielles Fernzugriffstool ist, damit alles, was nicht dieses ist, offensichtlich hervorstechen sollte.“
Aber lassen Sie mich unsere Zuhörer fragen: Wenn Sie für ein Netzwerk verantwortlich sind, können Sie mir bitte die Hand aufs Herz legen und mir genau sagen, wie viele Telefonkonferenz-Tools Sie derzeit in Ihrem Unternehmen im Einsatz haben?
CHET. Ja, absolut.
Wir hatten ein Opfer, das wir Anfang dieses Jahres geschrieben haben, das meines Erachtens *acht* verschiedene Fernzugriffstools hatte, die wir während unserer Untersuchung gefunden haben, von denen einige vor zehn Jahren rechtmäßig verwendet wurden, und sie haben einfach aufgehört, sie zu verwenden, sie aber nie entfernt.
Und andere, die von mehreren Bedrohungsakteuren eingeführt wurden.
Das ist also definitiv etwas, worauf man achten sollte!
ENTE. Nun, Chester, hoffen wir, dass dies ein optimistischer Vorschlag zum Abschluss ist, denn wir haben für diese Woche keine Zeit mehr.
Vielen Dank, wie immer, dass Sie so kurzfristig ans Mikrofon gesprungen sind.
Und wie immer bleibt mir nur zu sagen: Bis zum nächsten Mal…
BEIDE. Bleib sicher!
[MUSIKMODEM]
