Herhangi bir noktaya atlamak için aşağıdaki ses dalgalarına tıklayın ve sürükleyin. Ayrıca doğrudan dinle Soundcloud'da.
Paul Ducklin ve Chester Wisniewski ile.
Giriş ve çıkış müziği Edith Çamur.
adresinden bizi dinleyebilirsiniz. Soundcloud, Apple Podcast'leri, Google Podcast'ler, Spotify, dikiş ve iyi podcast'lerin bulunduğu her yerde. Ya da sadece bırak RSS beslememizin URL'si en sevdiğiniz podcatcher'a girin.
TRANSKRİPTİ OKUYUN
[MÜZİKAL MODEM]
ÖRDEK. Podcast'e hoş geldiniz millet.
Ben Douglas değilim… Ben Paul Ducklin'im.
Doug tatilde, bu yüzden Vancouver ofisimizden iyi arkadaşım ve meslektaşım Chester Wisniewski bana katıldı.
Merhaba Chet!
ÇET. Merhaba, Ördek.
N'aber?
ÖRDEK. Çok iyiyim teşekkür ederim.
Bugün Oxfordshire'da ilk yağmurumuzu aldık… en az birkaç ay olmalı.
En azından toprağa biraz su verdik, çünkü burası çok, çok kuru – tipik olmayan şekilde kuru.
Sen ne dersin?
ÇET. Bir şey olduğunu bile bilmediğim Defcon'a katılmamış olmama rağmen DEF CON'dan iyileşiyorum.
ÖRDEK. [GÜLER] Ah, evet!
ÇET. Bütün hafta sonunu gözlerim Twitter'a, Twitch'e ve Discord'a ve tüm festivallere uzaktan sözde katılabileceğiniz tüm bu platformlara yapıştırarak geçirdim.
Ve söylemeliyim ki, gerçekten Las Vegas'tayken çok daha eğlenceli.
Ancak COVID ile geri dönen tanıdığım insanların sayısının benden daha fazla parmak ve başparmağa yaklaştığını düşünürsek, doğru seçimi yaptığımı düşünüyorum ve tüm hafta sonu aşırı internetten yorulduğum için mutluyum.
ÖRDEK. Gerçekten bir koronavirüs enfeksiyonu kaptıklarını mı düşünüyorsunuz, yoksa Black Hat'in ardından DEF CON'a sahip oldukları için nasıl desem "iyi değiller" duygusuyla geri mi döndüler?
ÇET. Bilirsiniz, CON FLU ne kadar kötü olabilirse...
ÖRDEK. KON GRİBİ?! [GÜLER] Ah, canım!
ÇET. …Bu durumda bunun COVID olduğundan oldukça eminim, çünkü sadece insanlar test yapmıyor, aynı zamanda tanıdığım insanların çoğu için COVID, CON FLU'dan bile çok daha acı verici.
Yani ikisinin birleşimi muhtemelen çok kötüydü.
ÖRDEK. Düşünmek zorundayım: evet.
Ancak DEF CON koronavirüs/CON FLU sorunlarına oyalanmayalım…
…dikkatimizi DEF CON'da yapılan bir konuşmaya çevirelim.
Bu yaklaşık bir Sıfır günü yakınlaştır Patrick Wardle tarafından yazılmış ve DEF CON'da sunulmuştur.
Daha doğrusu, düzgün bir şekilde yamalanmamış bir hata da dahil olmak üzere talihsiz bir dizi hata, Chester?
ÇET. Patrick dünyadaki tek macOS güvenlik araştırmacısı değil, ancak sorunları bulma konusunda oldukça olağanüstü.
Patrick Wardle'ı en son Virus Bulletin konferansında birkaç kez orada gördüm ve her seferinde imza doğrulama, sertifika doğrulama ve bu tür şeylerle ilgili bazı şüpheli kararlar için Apple'ı okula götürdü.
Ve Apple'ın güvenlik duruşlarını büyük ölçüde bunlardan bazıları etrafında şekillendirdiği izlenimini edinmeye başlıyorum.
Ve şimdi, kötü amaçlı yazılımların platforma girmesine izin verebilecek benzer şifreleme hataları yapıyor olabilecek ek satıcıları arıyor.
ÖRDEK. Sanırım eski günlerde herkes, "Eh, bir TLS bağlantınız olduğu sürece" veya "Birisi tarafından dijital olarak imzalanmış bir şeye sahip olduğunuz sürece" diye düşündü.
Bu nedenle, kod genellikle gidip kontrol etmeye zahmet etmez.
Ancak bu durumda, Zoom'dan olduklarından emin olmak için indirilen güncelleme paketlerini kontrol etmeye karar verdiler.
Ama bunu pek iyi yapmadılar, değil mi?
Uzaklaşan resmi sistem API'sini çağırmak yerine, kontrolü yapar ve temelde doğru veya yanlış olarak geri gelir…
…bir nevi “kendilerini ördüler”, değil mi?
ÇET. Evet.
Demek istediğim, kripto ile ilgili kendi şeylerini örmek her zaman acıyla biter.
Ve hatırlıyorum, son podcast'te, bir dizüstü bilgisayarda bir saat içinde kırılan yeni kuantum güvenli kripto algoritmasından bahsediyordunuz.
ÖRDEK. SIKE!
ÇET. Herkes olayın kuantum tarafına o kadar odaklanmıştı ki, geleneksel tarafı kaçırdı, dünyanın en zeki matematikçileri ve kriptografları arasında bile, değil mi?
Bu yüzden yıkıcı olabilecek hatalar yapmak gerçekten çok kolay.
Ve kendi örgünüzü örmek, yaklaşık 20 yıldır Sophos adına farklı iletişim formatlarında konuştuğumuz bir konu.
Ve bunun korkunç bir fikir olduğuna dair tutumumuzu hiç değiştirdiğimizi sanmıyorum!
ÖRDEK. Buradaki sorun, onların kendi dijital imza algoritmalarını kullanmaya veya kendi eliptik eğrilerini icat etmeye karar vermeleri değil.
Sadece, “İşte bir dosya. Sevgili İşletim Sistemi, bunu doğrulamak için standartlaştırılmış API tabanlı araçlarınızı kullanın ve Doğru/Yanlış olarak geri dönün," diyerek esasen dışlamayı seçtiler.
koştular pkgutil Komut Satırı Yardımcı Programı arka planda, kimin neyi imzaladığını gösteren insan tarafından okunabilir, görsel bir görüntü elde etmek istiyorsanız komut satırından yapabileceğiniz şey budur.
Daha sonra bunun metin tabanlı çıktısını ileterek “doğru” veya “yanlış” cevabını almak isteyip istemediklerine karar verecek bir program yazdılar.
Sertifika zincirinin bir listesini çıkardılar ve “Zoom”, ardından “Geliştirici Sertifika Yetkilisi” ve ardından “Apple Root CA” arıyorlardı.
Böylece, çıktının herhangi bir yerinde * bu dizeleri ararlar, Chester!
Öyle görünüyor ki, şu satırlar boyunca adı olan bir paket oluşturduysanız, Zoom Video Communications Inc Developer ID Certification Authority Apple Root CA.pkg, Sonra ne zaman pkgutil dosya adını çıktısına yazdı, üç sihirli dizenin tümü görünecektir!
Ve Zoom'un oldukça beceriksiz ayrıştırıcısı, bunun ancak bu üç kuruluş tarafından doğru sırayla imzalanmış olması halinde gerçekleşebileceğine karar verecekti.
Oysa, aslında, sadece sizin verdiğiniz isimdi.
Ah hayatım!
ÇET. Buradaki sorun, soruna yol açan şeyin, yaptıkları bu tür ilkel imza kontrolü olmasıdır.
Ancak asıl sorun, elbette, bu adı verebilecek herhangi bir paketin, güncelleme işlemini çalıştıran kullanıcı ayrıcalıksız olsa bile sistemde *root* olarak kurulacağı anlamına geliyor.
ÖRDEK. Bütün sorun buydu.
Görünen o ki, DEF CON zamanında, Zoom bu sorunu *yaptı*.
API'yi doğru kullanırlar ve çalıştırmak üzere oldukları dosyanın bütünlüğünü ve orijinalliğini güvenilir bir şekilde doğrularlar.
Ancak Zoom'un kurulumu düzenlediği geçici dizine taşırken, onu dünya çapında yazılabilir hale getirdiler!
Böylece dizin korundu ve dizindeki her şey korundu… *en önemli dosya hariç*.
Peki, tahmin et ne yapabilirsin?
Zamanlamayı doğru ayarladıysanız (sözde yarış kondisyonu), orijinal kullanıcı dosyayı dijital kimlik kontrolünü geçtikten *sonra* değiştirebilir, ancak *önce* ciddi bir şekilde kullanılmıştır.
Yükleyici, doğrulandığını düşündüğü bir dosya kullanıyor ve gerçekten de doğrulandı…
…ama doğrulama ve kullanım arasındaki boşlukta geçersiz kılındı.
ÇET. Evet ve makalede belirttiğiniz gibi, Ördek, bu tür bir güvenlik açığı, sadece basit bir yarış koşulu olmaktan ziyade, bana bir tür Karayip kuşu gibi gelen TOCTOU olarak adlandırılır.
Ancak kusur için daha karmaşık, bilimsel bir isme atıfta bulunuyor. Kontrol Zamanından Kullanım Zamanına Kadar.
Yani, TOCTOU… “Toctou”!
ÖRDEK. Senin gibi ben de her zaman onun çok güzel bir polinezya papağanı olduğunu hayal ettim.
Ama aslında, sizin dediğiniz gibi, gerçeklerinizi kontrol ettiğiniz, ancak onları çok erken kontrol ettiğiniz ve bu gerçeklere güvenmeye başladığınızda, değişmiş oldukları çirkin bir böcek biçimidir.
Böylece Zoom düzeltti – ve Patrick Wardle onları tebrik ettiğini söyledi… DEF CON'da ödevi bitirdikten sonra bir gün içinde düzelttiler.
İlk etapta doğrulama sürecini başlatmadan önce dosyadaki ayrıcalıkları doğru bir şekilde kilitlediler.
Bu nedenle, doğrulama tamamlandıktan sonra kurulumun sonuna kadar geçerli kaldı.
Sorun çözüldü.
Aslında en başta orada olmamalıydı, değil mi?
ÇET. Mac kullanıcısıysanız, sabit sürümde olduğunuzdan emin olmak için sürüm numaranızı kontrol edebilirsiniz.
Sabitlenen sürüm 5.11.5 veya üstüdür. Daha sonra yayınlananlar var mı bilmiyorum.
[Not. Bu bölümün kaydedilmesi ve yayınlanması arasında 5.11.6'ya bir güncelleme daha geldi.]
ÖRDEK. Şimdi, bu yamaya sahip değilseniz, dışarıdan birinin bilgisayarınıza girebileceği anlamına gelmez, ancak sahip olmak kötü bir sorun…
…ağınıza giren, ancak örneğin misafir ayrıcalıklarına sahip olan bir dolandırıcı aniden kendilerini yükseltebilir ve “kök” veya “yönetici” süper güçleri alabilir.
Fidye yazılımı dolandırıcılarının yapmayı sevdiği şey tam olarak budur.
Düşük güçle gelirler ve ardından normal sistem yöneticileriyle eşit düzeyde olana kadar yükselmeye çalışırlar.
Ve sonra, ne yazık ki, daha sonra kötü için yapabileceklerinin çok az sınırı var.
Chester, hadi devam edelim sonraki hata.
Bu da bilinen bir bug, A ve E'nin birlikte yazıldığı, eski bir İngiliz harfi... artık İngilizce'de kullanılmıyor ve Ash adında bir harf ama bu durumda, APIC/EPIC olması gerekiyordu.
APIC, APIC'leri etkilediği için, Gelişmiş Program Kesme Denetleyicisive bunu EPIC sızıntısı olarak görüyorlar.
ÇET. İlginç buldum, ama belki de adından da anlaşılacağı kadar epik olmadığını düşündüğüm gerçeğiyle başlayalım.
APIC kesinlikle işin içinde, ama EPIC'ten pek emin değilim!
İşin aslı, tüm bunları çözdüğünüzde, Intel'in SGX olarak bilinen CPU'larının bir kısmını etkiliyor, ki bu da... Şimdi unutacağım... Yazılım Koruma Uzantıları, Söylemek istiyorum?
ÖRDEK. haklısın!
ÇET. Bu, SGX'i etkileyen ilk hata değil.
Hepsini saymadım ama önceki en az yedi örnek buldum, bu yüzden tam da yapmak için tasarlandığı şeyi yapma konusunda iyi bir sicili yok.
Ve herhangi bir yerde bulabildiğim tek pratik kullanımı, Windows'ta UltraHD Bluray disklerini oynatmak için gizli anahtarları saklamak için bu işlevselliğe ihtiyacınız olmasıydı.
Ve SGX'i desteklemeyen çiplerle, görünüşe göre film izlemenize izin verilmiyor.
ÖRDEK. Bu ironik, çünkü Intel artık 12. nesil CPU'larına sahip… SGX'i sözde “istemci” yongaları için durdurdular.
Yepyeni bir dizüstü bilgisayarınız varsa şimdi alacağınız çipler – bu geçerli değil çünkü içinde SGX yok.
Görünüşe göre bunu sunucularda faydalı olabilecek bir şey olarak görüyorlar.
ÇET. Pekala, bence SGX'in kaderinin Intel tarafından zaten 12. nesil CPU'lardan çekilmesiyle mühürlendiğini söylemek doğru olur.
Bunun, birinin sırları saklamak için tasarlanmış şeyden sırları çıkarmak için bulduğu sekizinci farklı akıllı yol gibi olduğu gerçeğinden dolayı değilse.
ÖRDEK. Evet, performansın yoluna çıktığını hatırlatıyor.
Anladığım kadarıyla, bunun çalışma şekli, verileri program arabirim denetleyicisinden, APIC'den çıkarmanın eski moda yolunun, temelde onu özellikle o cihaza tahsis edilmiş bir bellek bloğundan okumak olduğudur.
Ayıklanan kesme verileri için kullanılan bellek bloğu 4 KB… bir bellek sayfası boyutundaydı.
Ancak ayıklanacak çok fazla veri yoktu ve daha önce orada olanlar – örneğin sistem önbelleğinde – geri yazıldı.
Başka bir deyişle, kesme işlemcisi, teslim etmeyi amaçladığı baytları yazmadan önce kullanacağı belleği boşaltmadı.
Bu nedenle, bazen, CPU'nun yakın zamanda eriştiği belleğin diğer rastgele bölümlerinden yanlışlıkla veri değerleri gönderir.
Ve ne olduğunu ve hangi sırayla olduğunu kontrol ederek, araştırmacılar, bu SGX "yerleşimlerinde" mühürlenmesi gereken RAM içeriklerini, kesinti işlemenin ortasında bir tür başlatılmamış bellek olarak ortaya çıkmaya ikna edebileceklerini buldular.
Bu nedenle, güvenlik kısayollarını kullanarak işleri hızlandırmaya çalıştığınızda, her türlü sorunla karşılaşabileceğinizi her zaman hatırlatın.
ÇET. Bu şeyin sır saklamasına güveneceksen, çok fazla incelemeye ihtiyacı var.
Ve bu SGX teknolojisi piyasaya sürüldüğünde biraz yarı pişmiş gibi geliyor.
ÖRDEK. Karmaşıklık her zaman maliyet riskini de beraberinde getirir, değil mi?
Chester, Apple II, VIC-6502, Commodore 20'te meşhur olan 64 işlemciye geri dönersek… İngiltere'den iseniz, BBC Micro'daydı.
Çipin yaklaşık 4000 transistörü olduğuna inanıyorum.
Yani gerçekten bir İndirgenmiş Komut Seti Yongası veya RISC idi.
Oysa en son Apple M2 işlemcisinin sadece bir CPU'da 20 milyar (20,000,000,000'de olduğu gibi) transistöre sahip olduğunu anlıyorum.
Böylece, Kesinti Denetleyicisi (çipin içine girebilen), güvenli yerleşim bölgesi (yani çipin içine girebilen), hiper iş parçacığı (çipin içine girebilen), [HIZLANMA] gibi şeyler eklemeye başladığınızda bunu görebilirsiniz. MANICALLY UP] vektör talimatları (bunlar çipe girebilir), spekülatif yürütme, talimat yeniden sıralama…
…bütün bunlar, bazen işlerin beklediğiniz gibi yürümemesi ve birinin bunu fark etmesi oldukça uzun zaman alması şaşırtıcı değil.
ÇET. Onu bulan araştırmacılara iyi çalışmalar çünkü kesinlikle ilginç bir araştırma.
Ve bu konuda biraz daha fazla bilgi edinmek istiyorsanız, Çıplak Güvenlik makaleniz, normalde APIC denetleyicileri gibi şeylere aşina olmayan insanlar için bunu inanılmaz derecede iyi açıklıyor.
Bu yüzden, insanların bunu kontrol etmelerini tavsiye ederim, çünkü çok karmaşık şeyler hakkında verilen basit kararlardan kaynaklanan istenmeyen sonuçların mükemmel bir örneğidir.
ÖRDEK. Bunu koymak için harika bir yol olduğunu düşünüyorum. Chester.
Ayrıca bizi başka bir tartışmalı konuya geçmekte özgür bırakıyor ve bu da ABD Hükümeti'nin ödül teklif etmek Conti fidye yazılımı ekibi hakkında bilgi için "10 milyon dolara kadar" yazıyor.
Şimdi, görünüşe göre kimsenin gerçek adını bilmiyorlar. Bu insanlar sadece Dandis, Profesör, Reshaev, Target ve Tramp olarak bilinir.
Ve resimleri sadece silüet…
ÇET. Evet, makaleyi ilk gördüğümde suçluların tarifinin Gilligan'ın Adası'ndaki insanlar gibi olduğunu düşünmüştüm.
Profesör ve Serseri elimizde… ve bunun takma adlarla nereye varacağından pek emin değildim.
Umarım bu girişim bir öncekinden daha başarılı olur… Yani 10 milyon dolar teklif ettikleri bir grup daha vardı, Evil Corp grubu.
Ve bildiğim kadarıyla henüz herhangi bir tutuklama veya herhangi bir yasal işlem yapılmadı. Bu yüzden, muhtemelen Evil Corp'u elde etmek için 10 milyon dolar, insanların bu grubun faillerini suçlaması için yeterli bir teşvik değildi.
Yani, umarım, bu biraz daha başarılı olur.
Ancak, iddia edilen faillerden biri hakkında yazdığınız gönderide, Twitter'da ve hatta Çıplak Güvenlik'te birçok spekülasyona ve sohbete neden olan harika bir fotoğraf vardı.
Hizmet olarak Fidye Yazılımını çalıştıran veya işleten kontrol grubunun bir üyesi olup olmadığını veya kötü amaçlı yazılımı kullanan ve kurbanlardan haksız kazanç komisyonlarının ödenmesine katkıda bulunan bir bağlı kuruluş olup olmadığını bilmiyoruz.
Ama daha klişeleşmiş bir Rus olamazsın… Yani, şuna bakıyoruz: Adamın şapkasında kırmızı bir yıldız var ve elinde küçük bir şişe votka olduğunu tahmin ediyorum ve bir balalayka var.
Bu neredeyse gerçek olamayacak kadar iyi.
ÖRDEK. İyi bir hacker kıyafeti içinde, üzerinde kapüşonlu bir tür kabarık ceket giyiyor…
… kapüşonlusunu indirmiş olsa da, belki sayılmaz mı?
Chester, Conti çetesini hırsızlar arasında biraz onursuzluk olduğu için mi hedef aldıklarını düşünüyorsun?
Yaklaşık bir yıl önce, bazı bağlı kuruluşlar çok gaza geldiler, dolandırıldıklarını iddia ettiler ve bir veri ihlali oldu, öyle değil mi, onlardan biri bir sürü kullanım kılavuzu ve yazılım dosyası attı mı?
ÇET. Bilirsin, orada bir sürü parça var.
Sizin de belirttiğiniz gibi – sanırım 2021 Ağustos'undaydı – birisi kullanım kılavuzlarını ya da bahsedildiği gibi “oyun kitaplarını” sızdırdı.
Ukrayna'nın işgalinden sonra, Conti bir varlık olarak çok Rus yanlısı görünüyordu. Bu, planlarının bir parçası olan bir grup Ukraynalı'nın onları açmasına ve operasyonları ve diğer şeyler hakkında bir sürü bilgi sızdırmasına neden oldu.
Yani, orada kesinlikle bir şeyler oldu.
Bence başka bir sebep, Duck, sebep oldukları büyük hasar.
Yani, Hızlı Müdahale Ekibimizden yazılarımızı yaptığımızda, 2021'de zarara neden olan en üretken grup şüphesiz Conti'ydi.
Kimse onların yeraltındaki suçlulardan kurtulduğuna inanmıyor.
Sanki paralarını alıp gitmişler gibi değiller… sadece yeni planlara dönüştüler ve kendilerini farklı fidye yazılımı gruplarına böldüler ve toplulukta olduklarından farklı roller oynuyorlar.
Ve son zamanlarda, bazı insanlar Kosta Rika hükümetine karşı Conti'ye atfedilen bazı saldırılar olduğunu duymuş olabilir ve bu çok uzun zaman önce değildi.
Bence burada katmanlar var ve bu katmanlardan biri Dandi, Protessor, Reshaev olabilir…
…bu insanlar, kim olduklarını bildiklerini iddia eden, ancak iddianameye ve mahkumiyete değer bir kanıt sunmadan bir şekilde alenen [kişisel verileri kasıtlı olarak sızdırıldılar].
Ve belki de bu, fiyat yeterince yüksekse öne çıkıp eski yoldaşlarını açabilecekleri umududur.
ÖRDEK. Ancak, yarın tutuklansalar ve hepsi suçlansa ve hepsi mahkûm edilse bile, bu fidye yazılımı davalarında bir boşluk yaratır, değil mi?
Ama ne yazık ki, "sonu" değil, bir göçük olacaktır.
ÇET. Kesinlikle.
Ne yazık ki, bugünlerde yaşadığımız dünyada, bu suçların farklı şekillerde geliştiğini görmeye devam edeceğiz ve umarım kendimizi savunmada giderek daha iyi hale geldikçe bu biraz rahatlama sağlayacaktır.
Ancak 25 milyon dolarlık potansiyel fidye ile, bu belirli suç lordları dümende olsun ya da olmasın, bir şans almak ve bu suçları işlemeye devam etmek isteyen birçok insan var.
ÖRDEK. Evet.
“Ah, şey, asla 25 milyon dolar alamazlar” diye düşünürsünüz. Muhtemelen sonunda daha azına razı olurlar.”
Ama bu sayı diyelim ki 250,000 dolara inse bile..
…ABD Adalet Ödülleri ekibinin belirttiği gibi: 2019'dan beri, yalnızca Conti çetesinin (RfJ sitesinden alıntı yaparak), fidye yazılımlarının ABD'yi ve uluslararası kritik altyapıyı hedef alan 1000'den fazla fidye yazılımı saldırısı gerçekleştirmek için kullanıldığını iddia ediyorlar.
Sağlık hizmetleri, 9-1-1 sevk merkezleri, kasabalar, belediyeler.
Ve sadece sağlık hizmetleri ve ilk müdahale ağlarının - ambulans sürücüleri, itfaiye ekipleri, hastaneler gibi şeyler - ABD'de 400'ı da dahil olmak üzere dünya çapında 290'den fazlasının vurulduğunu öne sürüyorlar.
Yani, 290'ı (burada dev hava alıntıları kullanıyorum) sağlık hizmeti sunmaya gitmesi gereken 250,000 dolarlık “indirim ücreti” ile çarparsanız…
…zaten çok büyük bir sayı elde edersiniz.
ÇET. Dört yıl önce SamAam hakkında bir rapor yayınladığımızı ve üç yılda 6 milyon dolar kazanmalarına şaşırdığımızı hatırlıyor musunuz?
ÖRDEK. Bu hâlâ çok para, Chester!
Şey, bana göre…belki sen yüksek bir uçucusun. [Gülüşmeler]
Çıplak Güvenlik'te henüz yazmadığımız bir konunuz olduğunu biliyorum ama bu çok ilgilendiğiniz bir konu.
Siber güvenlik söz konusu olduğunda "hepsine hükmedecek tek bir halka" olamayacağı gerçeği de budur.
Özellikle, güvenliği daha iyi hale getirmek için önünüze çıkabilecek herhangi bir şeyin aslında hizmeti tehlikeli bir şekilde daha da kötüleştirebileceği sağlık hizmetleri ve ilk müdahale ekipleri gibi şeyler söz konusu olduğunda.
Ve Ulusal Sağlık Enstitülerinden anlatacak bir hikayeniz var…
ÇET. Evet, bence bu, her şeyden önce, mükemmel güvenlikle sonuçlanan sonuçlardan değil, risk yönetiminden sorumlu olduğumuza dair önemli bir hatırlatma.
Ve bence birçok uygulayıcı bunu çok sık unutuyor.
Daha önce podcast'lerde de bahsettiğimiz “mükemmel iyinin düşmanıdır” diye özellikle sosyal medyada bu tartışmaların çokça sürdüğünü görüyorum…
…nerede, “Bunu bu şekilde yapmalısın ve bunu yapmanın tek doğru yolu bu.”
Ve bence bu ilginç – bu ilişkinin incelenmesi veri ihlali yaşayan hastaneler ile bu veri ihlallerinin ardından hasta sonuçları arasındaki
Bu yüzeysel olarak bir anlam ifade etmeyebilir, ancak size neden bahsettiğimizi oldukça netleştirdiğini düşündüğüm başlıca bulguları okumama izin verin. Başlıca bulgular şunlardır:
Hastanenin elektrokardiyogram süresi 2.7 dakika kadar arttı ve 30 günlük akut miyokard enfarktüsü mortalitesi, bir veri ihlalini takip eden üç yıllık zaman diliminde yüzde 0.36'ya kadar arttı.
Özünde, söylediğimiz şey, ölümle sonuçlanan hastaların yüzdesi olarak, daha sonra veri ihlalleri olan hastanelerde kalp krizinden ölenlerin üçte biri daha fazla.
ÖRDEK. Muhtemelen şu anlama geliyor, eğer o elektrokardiyogram makinesini üzerlerine alıp sonuçları alabilseler ve daha hızlı bir klinik karar verebilselerdi, ölenlerin çok azını kurtarabilirler miydi?
ÇET. Evet ve insanların düzenli olarak kalp krizi ve felçlerle geldiği yoğun bir hastaneyi düşündüğünüzde, 1 hastadan 300'inin yeni güvenlik protokolleri yüzünden ölmesi biraz endişe verici.
Ve Amerika Birleşik Devletleri'ndeki Sağlık ve İnsan Hizmetleri İdaresi, ihlale uğrayan hastanelerin "hasta sonuçlarını olumsuz etkilemeden daha iyi veri güvenliği elde etmek için iyileştirici güvenlik girişimlerini dikkatlice değerlendirmesini" önermeye devam ediyor.
Ve bence burası gerçekten çok dikkatli olmamız gereken yer, değil mi?
Hepimiz daha iyi bilgi güvenliği istiyoruz ve hastaneyi ziyaret ettiğimde hasta kayıtlarımın güvende olmasını istiyorum.
Ve kesinlikle insanların bilgisayarlara erişmediğinden ve girmemeleri gereken kayıtlara erişmediğinden ve insanların zararlı olabilecek ilaçları dağıtmadıklarından emin olmak istiyoruz.
Öte yandan, bu yaşam ve ölümdür.
Ve bu, güvenliğinden sorumlu olduğunuz hukuk firmanız, pazarlama şirketiniz veya fabrikanız için geçerli olmasa da… Güvenliği nasıl yapmamız gerektiğine dair tek bir boyut olmadığının önemli bir hatırlatma olduğunu düşünüyorum.
Her durumu değerlendirmeli ve kabul etmeye hazır olduğumuz risk miktarına göre uyarladığımızdan emin olmalıyız.
Ve kişisel olarak, birinin elektrokardiyogram makinesinin kilidini açmak için iki faktörlü bir kod alması gerektiğinden ölme riskimden çok tıbbi kayıtlarımın ifşa olma riskini kabul etmeye hazırım!
ÖRDEK. Chester, Tip 1 diyabet hastasısın, değil mi?
Ve sende o sihirli insülin pompalarından birine sahipsin.
Şimdi, bahse girerim en son Linux çekirdeğini ortaya çıktığı anda yüklemek için acele etmeyin!
ÇET. Kesinlikle!
Demek istediğim, bu cihazlar sıkı testlerden geçiyor… bu onların hatasız oldukları anlamına gelmiyor, ancak sağlığınızdan ve onu yönetebilmekten bahsetmişken bilinenler bilinmeyenlerden daha iyidir.
Ve modernleştikçe ve Bluetooth gibi teknolojiler dahil olduklarından bu cihazlarda kesinlikle yazılım hataları var… veya cihazım için büyük sıçrama, renkli bir ekrana sahip olmasıydı, bu da size bu şeylere giren teknolojinin bir kısmının ne kadar eski olduğunu söylüyor. dır-dir!
Tıbbi otoritelerin bu cihazları onaylaması için çok çok uzun bir süreci var.
Ve "denenmiş ve doğru" (transistörler ve işlemciler hakkında daha önceki konuşmada), anlayabileceğimiz basit şeyler, bu güvenlik kusurlarını bulmanın çok daha zor olduğu yeni, karmaşık şeylere daha çok tercih edilir.
Bu insülin pompası için Salı Yaması diye bir şey olsaydı, Salı günü blokta güncellemeyi yükleyen ilk kişi olmak için sıraya gireceğimi hayal edemiyorum!
Tüm siğiller için, tam olarak nasıl çalıştığını ve nasıl çalışmadığını biliyorum.
Ve sizin açınızdan, onunla nasıl bir arada var olun.
Cihaz tutarlı kalma sorumluluğunu biliyor ve ben de sağlığımı iyileştirmek için ondan nasıl yararlanacağımı öğrendim.
Bunda herhangi bir değişiklik korkutucu ve yıkıcı olabilir.
Yani cevap her zaman daha iyi, daha hızlı ve daha akıllı değildir.
Bazen güvenilirlik ve güven içinde “bilinen bilinenler”.
ÖRDEK. Bunu söyledikten sonra, veri ihlallerinin olmaması da yardımcı olur!
Ve kuruluşunuzu, verilerin olmaması gereken yerlere ulaşmasından korumak için yapabileceğiniz şaşırtıcı derecede basit bazı şeyler var.
ÇET. Ve şeylerden biri, Duck, eskiden sahip olduğumuz zamanımız yok.
Suçlular, çok fazla şeye izin vermenin modası geçmiş bir politika olup olmadığı veya on yıl önce ifşa edilmesi kesinlikle iyi olan, ancak şimdi olması tehlikeli olan ifşa edilmiş hizmetler olup olmadığı, yapmış olabileceğiniz bu hatalardan herhangi birini aramak için sürekli interneti tarıyor. internete maruz kaldı.
ÖRDEK. “O zamanın RDP'si unuttu.”
ÇET. Evet, RDP'nin artmaya devam ettiğini düşündüğüm için üzgünüm ama aslında geçen hafta Black Hat'te bir makale yayınladık ve bir blog yazdı bir kuruluşun birkaç hafta içinde hepsi aynı kuruluş içinde, bir şekilde aynı anda gerçekleşen üç farklı fidye yazılımı saldırısına uğraması durumu hakkında.
Ve bir ağ içinde birden fazla saldırganı ilk kez görmüyoruz.
Aynı ağ içinde *üç*'ü ilk kez gördüğümüzü düşünüyorum.
ÖRDEK. Aman tanrım, üst üste mi geldiler?
B saldırısı geldiğinde kelimenin tam anlamıyla hala A saldırısıyla mı uğraşıyorlardı?
ÇET. Evet, saldırgan B ve saldırgan C arasında bir boşluk olduğuna inanıyorum, ancak A ve B aynı anda içerideydi, muhtemelen ikisinin de bulduğu ve yararlandığı aynı uzaktan erişim aracı hatasından geliyordu.
Ve sonra, inanıyorum ki, B grubu kendi uzaktan erişim araçlarını kurdu, birincisinin kapanması durumunda bir nevi ikincil arka kapı olarak…
…ve C grubu uzaktan erişim aracını buldu ve içeri girdi.
ÖRDEK. Vay canına… gülmemeliyiz, ama bu bir tür hatalar komedisi.
"Eh, yarı iyi yönetilen herhangi bir ağda, resmi uzaktan erişim aracınızın ne olduğunu bilmelisiniz ki, o olmayan herhangi bir şey açıkça öne çıkabilsin" demek kolaydır.
Ancak dinleyicilerimize şunu sormama izin verin: Bir ağdan sorumluysanız, elinizi kalbinize koyup şu anda şirketinizde tam olarak kaç tane telekonferans aracınız olduğunu söyleyebilir misiniz?
ÇET. Evet, kesinlikle.
Bu yılın başlarında yazdığımız ve araştırmamız sırasında bulduğumuz, bazıları on yıl önce yasal olarak kullanılan *sekiz* farklı uzaktan erişim aracına sahip olduğuna inandığım bir kurbanımız vardı ve onlar bunları kullanmayı bıraktılar, ancak hiçbir zaman kaldırmadılar.
Ve birden fazla tehdit aktörü tarafından tanıtılan diğerleri.
Yani bu kesinlikle dikkat edilmesi gereken bir şey!
ÖRDEK. Pekala, Chester, umalım da bu yeterince iyimser bir öneridir, çünkü bu hafta için zamanımız kalmadı.
Her zaman olduğu gibi, çok kısa sürede mikrofonun başına geçtiğiniz için çok teşekkür ederim.
Ve her zaman olduğu gibi, bana sadece şunu söylemek kalıyor: Bir dahaki sefere kadar…
HER İKİSİ DE. Güvende kalın!
[MÜZİKAL MODEM]
