תקשיב עכשיו
לחץ וגרור על גלי הקול למטה כדי לדלג לכל נקודה. אתה יכול גם להקשיב ישירות בסאונדקלאוד.
עם דאג אמות ופול דאקלין.
מוזיקת אינטרו ואאוטרו מאת אדית מדג'.
אתה יכול להאזין לנו ב Soundcloud, Apple Podcasts, Google Podcasts, Spotify, Stitcher ובכל מקום שבו נמצאים פודקאסטים טובים. או פשוט זרוק את כתובת האתר של הזנת ה-RSS שלנו לתוך הפודקטצ'ר האהוב עליך.
קרא את התמליל
DOUG. היסטוריה קצרה של פקודות מאקרו של Office, באג בסגנון Log4Shell, שני באגי קריפטו OpenSSL ועוד...
... בפודקאסט הביטחון העירום.
[מודם מוזיקלי]
בסדר, ברוכים הבאים לפודקאסט, כולם.
אני דאג אמות, והוא פול דאקלין.
פול, מה שלומך?
ברווז. אני בסדר, דאג!
ברוך שובך - מקווה שנהנית מהשבוע שעבר.
DOUG. תודה, עשיתי זאת.
היה חם, אבל לא חם כמו שהוא במקום שבו אתה נמצא עכשיו.
ברווז. יש לנו מה שנחשב בבריטניה כגל חום, ואין משב רוח היום, אז זה די סוחף.
DOUG. אולי תעשה היסטוריה עם הטמפרטורה החמה ביותר שנרשמה?
אבל אני אתן לך קצת היסטוריה טכנולוגית בזמן שאתה מחכה...
השבוע, בשנת 2001, התולעת CodeRed החלה לפלס את דרכה באינטרנט.
הוא תקף מחשבים המריצים את שרת האינטרנט של Microsoft IIS, והתפשט על ידי מינוף הצפת חיץ.
ולי, איך היו זמנים...
..לא השתנו הרבה, כמה עשורים מאוחר יותר.
ברווז. כן!
וכאשר CodeRed קרה, כולם אמרו, "אוי, גולי. אחת הדרכים שבהן היא מתפשטת היא בדיוק כמו מה שעשתה תולעת האינטרנט, תולעת המוריס, כבר ב-1988. האם לא למדנו כלום?"
ומסתבר שזו הייתה שאלה רטורית, דאג.
[צחוק]
DOUG. אתה זוכר שהתמודדת עם התולעת הזו?
ברווז. זה לא אחד מאלה שאי פעם ישכחו, בגלל המהירות והפתאומיות של הכל...
...והעובדה שזו חבילת הרשת הזו שזה עתה הופיעה, ואז הלכה לדרך במקום אחר.
אני חושב שהעסקה העצומה, במיוחד בהתחשב בתזמון שלה, בתחילת המאה ה-21, הייתה שלמרות שלמרבה המזל לא תוכנתו בה שום רעות ישירות כמו "היי, הורד תוכנת כופר וערבל את המחשב", זה בכל זאת יצר כל כך הרבה תעבורת רשת...
תנועה יוצאת בשבילך, תוקפת את הבחור הבא ונכנסת עבור כל השאר.
ועם המון המון מדינות עם מכסות שימוש קפדניות מאוד באינטרנט באותם ימים, זה העלה את הנושא של "מי ישלם? לא ביקשתי את התנועה הזו. לא ביקשתי שמישהו שלא אבטח את שרת ה-IIS שלו יחבוט בי. בעצם לא יכולתי לעצור את זה. זה הגיע לנתב שלי כי הוא עבר דרך ספק האינטרנט!"
אז היה כל העניין הזה של "מי לוקח אחריות? מי משלם על זה?"
הייתי אז ב-Sophos אוסטרליה, וספק שירותי האינטרנט שלי באמת יצא ואמר שהם בעצם הולכים לבטל את המדידה של הכל, באופן רופף, לזמן מה, בזמן שהם ירדו לתחתית.
אז, למרבה המזל, זה נגמר בלי יותר מדי דמעות, אבל זה אינדיקטור מצוין שלפעמים תופעות הלוואי של תוכנות זדוניות, גם אם היא נועדה כ"מתיחה" כבר בהתחלה, יכולות להיות הרבה יותר גרועות מדברים מסוכנים שמתוכנתים לתוך התוכנה הזדונית עצמה.
DOUG. אני אוהב להקשיב לסיפורים האלה שלך שחיים בזמנים הנוראים האלה, למרות שהם היו נוראים, כי זה הקשר כל כך טוב לדברים שקורים עכשיו... כי זה לא השתנה כל כך.
ברווז. למרבה המזל, דאג, היה לנו כיסוי סלולרי טוב באותם ימים.
אז לפחות ידעת שאתה יכול להתקשר הביתה ולהגיד, "אולי אאחר קצת."
[צחוק]
אני שמח שעברתי את זה, אבל לא הייתי אומר את זה באותו זמן!
DOUG. ובכן, אם כבר מדברים על לחזור הביתה מאוחר, יש OpenSSL שניים באגי קריפטו "חוט-ליין". שכמה כותרות מתייחסות אליהן כ'גרוע יותר מדימום לב'.
ברווז. אלה באגים מרתקים.
הם היו בעצם מה שאני מכנה one-liners... במילים אחרות, עם שינוי או הוספת שורת קוד אחת, ניתן היה לתקן את הבאג.
ואחד מהם היה ספציפי לחישובים מספריים מיוחדים להצפנת מפתח ציבורי.
ההוא היה CVE-2022-2274: גלישת זיכרון באקספונציה מודולרית של RSA.
אני לא אכנס למה זה אקספוננציה מודולרית, אבל זה בעצם להכפיל מספר בפני עצמו שוב ושוב ושוב ולבצע חלוקות תוך כדי.
ומסתבר שאתה יכול להאיץ מאוד את החישוב האיטרטיבי הזה אם יש לך מעבד או שבב במחשב שתומכים במה שנקרא חשבון וקטור, וזה המקום שבו אתה עושה את אותו החישוב בו-זמנית על מספר המון נתונים, כך שאתה ביעילות קבל ארבע הוראות במחיר של אחת.
ולכמה שבבי אינטל יש גרסה סופר מיוחדת וחזקה במיוחד של זו שנקראת AVX512.
וכך אומר OpenSSL, "ובכן, אם יש לך את השבב הזה, אני אשתמש בדרך האקסטרה-מהירה הזו להאיץ הכל."
ובאמצע זה, למתכנת קיבלו מספר ביטים שהיו אמורים להיות מועתקים מ-A ל-B בזיכרון...
...אבל למעשה, מכיוון שהקוד עוסק בשבב מיוחד שעובד עם מספרים שלמים גדולים, המתכנת לא העתיק N ביטים.
הם העתיקו N מספרים שלמים ארוכים ללא סימנים, כלומר זה היה הצפת מאגר זיכרון של פרופורציות פוטנציאליות מרהיבות - אתה יכול להעתיק פי 64 נתונים ממה שהיה מקום עבורם!
וכך, שורה אחת תיקנה את זה: קח את מספר הביטים, וחלק אותו למטה כדי להמיר אותו למספר *שלמים* שאתה צריך להעתיק במקום למספר הביטים.
ממש תיקון שורה אחת.
אוף!
DOUG. בסדר, מה עם השני?
ברווז. השני הוא בעל השם המענג CVE-2022-2097: דליפת נתונים בהצפנת AES-OCB.
זהו סוג מיוחד של מה שנקרא "הצפנה מאומתת".
שוב, אני לא אכנס לזה, אבל זו דרך לעשות הצפנת AES שבה אתה לוקח מספר נתחים של 16 בתים, ומערבל את הנתחים האלה אחד אחד.
ובגרסה הספציפית הזו של הצפנת AES, המתכנת היה אמור לעבור את הבלוקים מ-1 ל-N, להצפין אותם, החל מבלוק 1, 2, 3... עד וכולל N, ובכך לטרוף כל בלוק בקלט.
לרוע המזל, הקוד עבר מ-1 לערך *פחות מ* N, לא *פחות או שווה ל* N.
אז הבלוק האחרון שהיה אמור להיות מוצפן מעולם לא הוצפן!
וכך, בהתאם לאופן שבו השתמשת באלגוריתם, זה יכול למעשה אומר שהנתונים המוצפנים שקיבלת בחזרה, ואולי נשמרו בדיסק, כולם הוצפנו בצורה מושלמת, *חוץ מזה ש-16 הבייטים האחרונים עדיין יהיו הטקסט הפשוט המקורי* .
אז, טקסט רגיל ידלוף החוצה בכל פעם שהשתמשת באלגוריתם, וזה לא הרעיון של אלגוריתם הצפנה!
הכל או כלום, לא חלקים שרירותיים ממנו.
גם זה תוקן על ידי שינוי בשורה אחת.
מבחן עבור "פחות מ" שונה לבדיקה עבור "פחות מ או שווה ל" - שינוי של בית אחד בקוד הקומפילציה הסופי.
וואו!
DOUG. אוקיי, אז אתה אומר שבאג האקספונציהציה המודולרי חמור יותר, אבל אתה צריך פשוט לעדכן את שניהם, נכון?
ברווז. כן, התיקונים קיימים, והם עובדים, והם צריכים להיות לא שנויים במחלוקת.
זה הדבר היפה בתיקון חד-שוני - זה לא שאתה משנה אלגוריתם או משנה את ה-API.
אז אני חושב שזה עדכון מאוד לא שנוי במחלוקת להחיל.
ויש שני עדכונים, עבור שתי הגרסאות הנתמכות של OpenSSL.
גרסה 3.0.4 מתעדכנת ל-3.0.5 - שיש בה את שני התיקונים, כי שני הבאגים נמצאים בקוד הזה.
ו-OpenSSL 1.1.1 עובר מגרסה P-for-Papa ל-Q-for-Quebec.
אין לזה את באג האקספונצינציה המודולרית; יש לו רק את השני.
אבל באג אחד מספיק גרוע!
אז הנה העצות שלי: תיקון מוקדם, תיקון לעתים קרובות, כמו תמיד.
DOUG. אוקיי אתה יכול לקרוא על זה באתר nakedsecurity.sophos.com.
עכשיו אנחנו עוברים ממשהו שנקרא 'Worse than Heartbleed'... [WHISPERS] אבל זה לא נשמע כאילו זה היה יותר גרוע מ-Heartbleed.
ברווז. לא, אבל אני חושב שזו כותרת טובה!
DOUG. כן, כמובן!
אבל עכשיו, יש לנו א באג בסגנון Log4Shell באפאצ'י…
ברווז. כן, זו גם כותרת טובה: "זה יכול להיות כמו Log4Shell!"
ואני חייב להיות כנה, השתמשתי במילה Log4shell בכותרת של Naked Security, אבל פשוט תיארתי את זה בתור 'באג בסגנון Log4Shell', כי הוא כן.
ובעיני, זה החלק הכי חשוב כאן, עבור כל מתכנת שמגיע עכשיו למקום.
נסו לא לעשות את הטעות הזו, שהיא אותו סוג של טעות שנעשתה בבאג Log4Shell, ואותה סוג של טעות שדיברנו עליה לאחרונה ב-Microsoft Follina.
וכן, דאג, זה כולל סימני דולרים וסוגריים.
אם אתה זוכר את Log4Shell...
אם הייתי אומר, "תרשום את המילה הזו: DOUG," ואז זה יירשם DOUG, בדיוק כפי ששלחתי אותו.
אבל אם אמרתי תרשום את המילה הזו: ${special_weird_command}, אז בעצם אמרתי לקצה השני, "לא, אל תרשום את מה ששלחתי לך. תעשה כמה חישובים מגניבים *בהתבסס על מה ששלחתי לך*, למרות שאתה לא יכול לסמוך על זה, ואז קח את התוצאה של זה, ותעד את זה במקום זאת."
נשמע מסוכן, כי זה מסוכן!
בפולינה, זה היה $(command), שבו במקום שהטקסט הזה ישמש באופן מילולי ומדויק כדי לזהות שם קובץ, Windows היה אומר, "אוי, רגע. מה שעליך לעשות הוא: אל תשתמש בזה בתור שם הקובץ, אלא הפעל את מה שנמצא בסוגריים *כפקודת PowerShell* והשתמש בזה כשם הקובץ."
וזה היה מאוד אותו הדבר.
בגלל שזה Java, זה כמו Log4Shell: ${dangerous_stuff}.
ככה זה עבד.
כעת, הקוד שבו היה הבאג נקרא תצורת Apache Commons.
זוהי ספריית שירות חינמית, חלק מה- אפאצ'י קומונס סט של פרויקטים משנה, שהוא עומס של חבילות סופר שימושיות ודברים.
וזה מאפשר לך לטפל בקובצי תצורה - הוא יטפל בקובצי XML, והוא יטפל בקבצי INI, ועוד המון דברים אחרים.
והדבר המסוכן הזה יכול להיות: "הרץ פקודה וקח את הפלט של הפקודה", מה שמשמעו כמובן הזרקת קוד פוטנציאלית מרחוק.
זה יכול להיות: "עשה חיפוש DNS עם שם המחשב הזה, וראה מה חוזר."
זו דרך פשוטה מאוד ופשוטה לסלק נתונים באמצע בקשת חיפוש שם שרת.
והאחרון: אתה יכול לומר, "עבור לכתובת האתר הזו, וכל מה שיחזור, השתמש בה."
סיפקת נתונים, אבל אתה באמת יכול להורות לקצה השני, "היי, הרץ פקודה, בצע חיפוש DNS או בקר באתר האינטרנט שלי."
אז למרות שאינך יכול לשלוח לו קוד חזרה לפעולה, במקרה של חיפוש האתר, זה אומר שאילצת בקשה יוצאת, כך שיכולת להדליף כל מיני דברים לנוכלים...
...וברור, לפחות כברירת מחדל, זה רעיון גרוע מאוד!
בגרסאות האחרונות של זה תצורת Apache Commons (בכמה גרסאות, אני מתכוון בשנים האחרונות), זה התווסף כ"תכונה", אבל כמובן מתברר שזה יותר אחריות.
אז, בגרסה האחרונה, ההתנהגות הזו התהפכה באופן מובן.
DOUG. אוקיי, זה יושב שם מאז 2018 אבל תוקן בגרסה 2.8.0, שאליה עליך לעדכן אם אתה יכול.
ויש לנו כמה iהוראות באתר ב-Naked Security, במאמר, על איך לבדוק אם אתה פגיע.
אז אנשים יכולים ללכת לשם לבדוק את זה.
ברווז. וכמובן העצה למתכנתים היא: אם אתה כותב קוד שיכול לקבל נתונים שעלולים להיות לא מהימנים ויש לו כל סוג של ${...} or $(...) תכונה שמשמעותה, "היי, הפעל את הפקודה הזו שמישהו אחר החליט עליה"...
...בדוק את הכניסות והיציאות שלך!
לא שאי פעם אמרנו את זה קודם, דאג.
[צחוק]
אל תלך על נוחות על פני אבטחה אם אתה יכול לעזור בזה.
DOUG. גדול!
בסדר, תבדוק את זה: כי המאמר נמצא ב-nakedsecurity.sophos.com.
כעת, הגענו למאמר האהוב עליי השבוע, מכיוון שהוא מציע היסטוריה קצרה של פקודות מאקרו של Office, ולאחר מכן קצת הלוך ושוב שבו כולם לכאורה אמרו, "קדימה, מיקרוסופט! תעשה את הדבר הזה"...
...ואז מיקרוסופט עשה את הדבר, ואז כולם אומרים, "למה עשית את זה?"
ברווז. כן!
אולי פישטת מעט יותר מדי... או לפחות השארת את המפתח: לקח 20 שנה עד שמיקרוסופט התחילה להכניס את התכונה הזו, אבל רק 20 שבועות לסיום, "אוי, אלוהים, אנחנו לוקחים את זה בחוץ שוב!"
אני לא חושב ש*כולם* אמרו להם להסיר את זה... אני רק חושב שהייתה תופעת לוואי מצערת שלא פגעה ברוב, אלא במיעוט קטן מספיק קולני, אז מיקרוסופט נאלצה לומר, "בסדר, אנחנו נמחק את זה קצת, אבל צפה במרחב הזה, אנחנו נחזור! התכוונו להכניס את התכונה הזו, ועכשיו אנחנו מתכוונים לעשות זאת. לקח לנו 20 שנה לחשוב על זה. לא יופנה בשלב זה".
והתכונה הזו היא שאם אתה מקבל קובץ אופיס מסוג מסוים (בפרט Word, Excel ו-PowerPoint בין היתר)... אם אתה מקבל קובץ כזה שמכיל פקודות מאקרו, קובץ הפעלה, קוד Visual Basic for Applications, והקובץ יצא האינטרנט, אז *פקודות המאקרו פשוט לא יעבדו*.
בהתחלה, בימים הראשונים, היי, הם פשוט עבדו בכל פעם, וברור שזה היה אסון.
ואז מיקרוסופט הידקה קצת את העניינים, והם אמרו, "אם זה יצא מהאינטרנט, נקפיץ אזהרה ואתה תצטרך ללכת, כן, אני באמת רוצה לעשות את זה".
ותהיה לנו תכונה שאינה ברירת מחדל שמנהלי מערכת מושכלים יכולים להשתמש בה, למשל. "לא, אני לא רוצה *לשאול*, אני רוצה *לספר* למשתמשים, מצטער, אתה לא יכול לעשות את זה".
ולבסוף מיקרוסופט החליטה, "אתה יודע מה, נראה שכאשר תכונה זו שאינה ברירת מחדל מופעלת, היא מפחיתה מאוד את הסיכון שתתחזה באמצעות מסמכים עם פקודות מאקרו. אז אנחנו הולכים להפוך אותה לברירת המחדל. ."
וזה היה השינוי שהם הכריזו עליו... אני חושב שדיברנו עליו בפודקאסט, מה זה היה בפברואר או במרץ 2022?
והם יישמו את זה, אבל התברר, כמו שאמרת, שאתה יכול לרצות חלק מהאנשים חלק מהזמן, אבל לא את כל האנשים כל הזמן!
[צחוק]
ובמקרה הזה, לטוב ולרע, אני מניח שהגלגל החורק קיבל את השמן, כי מה שכמה אנשים אומרים זה, "לא, זה צעד רחוק מדי! איך אתה מעז להגן עליי מעצמי? ”
[צחוק]
אז הנה אנחנו.
אבל כפי שאמרתי, מיקרוסופט כנראה מתעקשת, "התכונה הזו חוזרת!"
בעצמי, הלוואי שהם היו יכולים לעשות את זה לפני 20 שנה.
DOUG. בהתחשב בכך שזה שוב לא מופעל כברירת מחדל, אתה יכול לנקוט בצעדים כדי לנעול את זה בעצמך.
ברווז. אם יש לך רשת Windows שבה אתה יכול להשתמש במדיניות קבוצתית, למשל, אז כמנהל מערכת אתה יכול להפעיל את הפונקציה הזו כדי לומר, "כחברה, אנחנו פשוט לא רוצים פקודות מאקרו מחוץ לאינטרנט. אנחנו אפילו לא נציע לך כפתור שאתה יכול להגיד, למה לא? למה לא לתת לפקודות המאקרו לרוץ?"
אבל אם אתה עסק קטן יותר, רק עם כמה אנשים שעובדים יחד, ואתה עובד עם שירותים מבוססי ענן, כולל שירותי ענן של מיקרוסופט, זה אולי לא כל כך קל.
אתה יכול להחיל הגנות על מדיניות קבוצתית על ידי עריכת הרישום במחשב שלך... זה לא כל כך קשה, אבל אין רק כפתור קסם שאתה יכול ללחוץ עליו בקלות כדי לעשות זאת אם תרצה.
לכן, אם אתה עסק קטן, הייתי מציע לך לקרוא על זה, ללמוד מה השינוי אמור לעשות עבורך, ולראות אם אתה יכול להתאים אותו לכשהוא יחזור.
מכיוון שכל הראיות מצביעות על כך שזה משפיע שימושית על דיוג מבוסס מסמכים שבו נוכלים משתמשים במסמכים כדי להגניב קוד מפוקפק לתוך החברה ואז להערים עליך להפעיל אותו על ידי כך: "כן, אתה צריך ללחוץ על זה כדי לפענח את המסמך , או כדי לבטל את הגנת ההעתקה שלו, או כדי לחשוף את התוכן הנסתר."
והנה, אתה לוחץ על הכפתור; אתה מאשר משהו שלא היית אמור לקבל... לאחר מכן, דברים רעים קורים והדבר הבא שאתה יודע, הפלישה למחשב שלך.
אז נראה שכרכב מגן זה כן עובד.
זה פשוט אירוני שמה שכמעט הייתי מוכן לתאר כ"מעט מדי, מאוחר מדי" בסופו של דבר, עבור אנשים מסוימים, היה "יותר מדי, מוקדם מדי".
אבל אנחנו נגיע לשם בסופו של דבר, אני חושב... פשוט תחזיק מעמד אם אתה עדיין לא יודע מה לעשות.
DOUG. בסדר, אנחנו נפקח על זה.
ואחרון, אבל בהחלט לא פחות חשוב, הוא סיפור על תשלום לנוכלי כופר.
אז... יש לי עסק; אני מקבל מכה מתוכנת כופר; אני מקבל רגולטורים רודפים אותי ואומרים, "נפגעת מתוכנת כופר, אתה בבעיה גדולה בגלל שאתה לא מגן על נתונים של אנשים"... ואני אומר, "אבל שילמתי את הכופר, זה חייב להיות שווה משהו, ימין?
ברווז. כן. אני חייב להודות, די הופתעתי מכך שזו הפכה לעסקה שהיא, אבל חשבתי שחשוב להזכיר את זה לאנשים.
כעת, זהו סיפור ספציפי לבריטניה, כפי שהוא, מכיוון שזהו מכתב פתוח שהגיע ממשרד נציב המידע הבריטי (ICO), בגיבוי המרכז הלאומי לאבטחת סייבר (NCSC), שהוא חלק משירות הביון החשאי ב- בְּרִיטַנִיָה.
זה מכתב פתוח לעורכי דין, לעורכי דין, ברחבי בריטניה, ואני חושד שיהיו מדינות רבות אחרות שבהן עורכי דין, אולי מובן, חושבים בדרך הזו... של להגיד לאנשים, "תראו, אם אתם תקוע בתשלום הכופר כדי להחזיר את הנתונים, וזה יחזיר את העסק לדרך, זה לא בלתי חוקי. ובהתחשב בעובדה שזהו המשא ומתן שהנוכלים רוצים לעשות, כדי שהם לא ידליפו את הנתונים, אנחנו לא יכולים לכל החיים לראות למה זה יגרום לרגולטור להיות יותר מצטער מאשר אם רק תראה את האצבע האמצעית לנוכלים , והם אכן הדליפו את הנתונים וקרו דברים רעים."
לפיכך המכתב הפתוח הזה - כמו שאמרתי, ספציפי לבריטניה, אבל ייתכנו מדינות אחרות שבהן אנשים חושבים בכיוון הזה.
וכפי שאמר משרד נציב המידע בבוטות רבה:
הוצע לנו כי נמשכת האמונה כי תשלום כופר עשוי להגן על הנתונים הגנובים או לגרום לעונש נמוך יותר על ידי הרגולטור אם הוא יבצע חקירה".
[צוחק]
אבל הנה הבעיטה:
נבקש להבהיר שזה לא המצב. […] למען הסר ספק, לשכת נציב המידע אינה רואה בתשלום כספים לעבריינים שתקפו מערכת כמפחיתה את הסיכון ליחידים, ואין בכך כדי להפחית עונשים שנגרמו.
לשלם לנוכלים על שהוציאו אותך מהבור שהנוכלים חפרו אותך אליו... זה לא אמצעי זהירות!
מי ידע, דאג?
[צחוק]
DOUG. ברצינות…
ואתה כן אומר במאמר... חשבתי שזה מעניין, אתה הגיוני לגבי זה: "אם סביר להניח שזו התקווה היחידה להציל את העסק שלך ולשמור על הצוות שלך ועבודתם, נראה הוגן לשקול לשלם כ סוג של רוע הכרחי."
ברווז. הרגולטור בבריטניה אומר שזה לא בלתי חוקי אוטומטית לשלם דרישות של תוכנת כופר.
בבריטניה, אין חוק אמיתי שאומר: אם אתה עושה את זה, אתה בעצמך פושע.
למרות שה-ICO אומר שהוא מקווה, עד כמה שהוא יכול, שלא תשלם, זה לא יכול לעצור אותך. אבל אולי יש סיבות, אתה צריך לזכור, במיוחד בעידן הנוכחי, שבגללם אתה עלול בכל זאת להסתבך בגלל מה שהם מכנים "תקנות סנקציות רלוונטיות, במיוחד אלו הקשורות לרוסיה".
למרות שזה לא חוקי באופן כללי לשלם כופר באופן כללי בבריטניה (אני לא יודע אם למדינות כלשהן יש את הכלל הזה עדיין), ייתכנו מקרים שבהם אתה לא אמור לשלם או לא *מותר* לשלם מסיבות אחרות... בגלל לאן הולך הכסף.
וכמובן, אם אתה משלם, אין לך ברירה אלא להסתכן בצרות בגלל זה.
אז הרגולטורים מזהירים אותך שלמרות שאולי תרצה לשלם עם האימה הכי עמוקה בלב שלך... עשה כמיטב יכולתך להימנע מלעשות זאת!
וכמובן, כל הסיבות האחרות שדיברנו עליהן כשדיברנו על השנה הזו סקר Sophos Ransomware...
בעיקרון, תשלום צריך להיות רק מוצא אחרון.
מה היו הנתונים הסטטיסטיים בסקר האחרון שלנו? שליש מהאנשים קיבלו בחזרה רק מחצית מהנתונים שלהם. (אגב הם לא יכולים לבחור באיזה חצי מדובר!)
זה הדבר שחשוב לזכור... ולפחות חלק מהאנשים ששילמו לא קיבלו כלום.
ומעט מאוד מהאנשים שאכן שילמו קיבלו הכל בחזרה.
אז הרעיון ש"אני אשלם - ברור שזה לפחות יגרום לעסק שלי לפעול שוב, והרגולטור עלול לומר, 'טוב, לפחות ניסית להפיק את המיטב מעבודה גרועה'"...
החלק הראשון לא עובד ככה.
אתה עלול לקבל שום דבר בכלל אחרי ששילמת את הכסף.
צינור קולוניאלי הוציא, כמה 4.4 מיליון דולר זה היה?
ומה הם קיבלו? מפענח שהיה כל כך איטי שהם אפילו לא יכלו להשתמש בו - הם פשוט הלכו על הגיבויים שלהם בכל מקרה, מה שהם יכלו לעשות, ושמרו 4.4 מיליון דולר בכיסם.
והעובדה שהרגולטור לא מתכוון להודות לך על ששילמת את הכסף ולומר, "אלוהים, איזה אדם מתחשב היית".
המעט שהם הולכים לעשות זה לומר, "לא רלוונטי. לא טיפלת בנתונים כמו שצריך; לא הפחתת את הסיכון כמו שצריך. בוא נדבר על מה אנחנו הולכים לעשות כדי להעניש אותך, ונוודא שלא תעשה את זה שוב".
DOUG. טוב מאוד... אתה יכול לקרוא יותר על כך באתר nakedsecurity.sophos.com.
וכשהשמש מתחילה אט אט לשקוע בתוכנית שלנו לשבוע זה, הגיע הזמן לשמוע מאחד הקוראים שלנו על המאמר של Office Macros.
קית כותב:
"אם חברות מסתמכות על קבלת מסמכים משובצים מאקרו מהאינטרנט, ומקבלות את הסיכון, הן צריכות להיות אלו שמאפשרות זאת לפי מדיניות הקבוצה. הגן על הרבים והכריח אותם לאפשר חריגות ביטחוניות".
אני חושב שזו תחושה שכנראה חולקת גם לאחרים.
ברווז. כן.
המחשבה הראשונה שלי כשראיתי את ההערה הזו... ובכן, מלבד לחיצה על כפתור האישור מיד [צחוק] הייתה, "ככה זה צריך להיות."
אפילו לא צריך להגיד את זה... באותו אופן שמי היה מאמין שאתה צריך לשלוח מכתב לעורכי דין האומר, "היי, תשלום הכופר זה לא דבר טוב לעשות"!
תחושת הבטן שלי היא שמה שקרה עם מיקרוסופט הוא שהם גילו שעסקים קטנים, כולל אלה שממש מעוניינים לאמץ את פתרונות הענן של מיקרוסופט משלה, מגלים שלמעשה קשה יותר לטפל בזה ממה שהם אי פעם היו חושבים.
אולי לזמן מה החברות הגדולות יותר פשוט צריכות לומר, "בסדר, נשתמש במדיניות קבוצתית; אנחנו יודעים איך לעשות את זה. אנחנו פשוט נפעיל את זה, השאר את זה.!
אם זה כבר פועל, אגב, אז השינוי הזה... אני לא חושב שזה יעשה שום הבדל כשהוא מופעל כי זה כבר היה מופעל; ולמרות שהוא כבוי כעת כברירת מחדל, אני לא אהיה כבוי ברשת שלך.
אבל התחושה נכונה לחלוטין.
אם יש אנשים שהולכים, "אתה לא יכול לעשות את זה"... מסוג האנשים שאומרים, "אני לא מתכוון לשים אורות על האופניים שלי. זה העסק שלי, לא שלך. אם תדרוס אותי ותמחץ אותי, זו הבעיה שלי", הם שוכחים מהעובדה שיש את כל ההשפעות האלה על שאר הקהילה כשהם עושים דברים שהם לא בטוחים.
אז אני מסכים: באופן אידיאלי, כשאנחנו מחליטים סוף סוף שזו תכונת אבטחה שעובדת כל כך טוב שאנחנו הולכים להפעיל אותה לכולם, אני מסכים לחלוטין שזה צריך להיות שינוי לא מעורר מחלוקת.
אבל, כפי שאמרנו קודם בפודקאסט, נראה כאילו מיקרוסופט מקווה רק לכמה שבועות של חשיבה מחודשת על זה.
אם כי, כידוע, הבעיה עם חשיבה על דברים בתוכנה "לכמה שבועות" היא... היכן מסתיימים מעטים ורבים מתחילים?
האם זה שישה שבועות, או ש-56 שבועות הם "כמה"?
כשהתחיל הנעילה, חשבת שזה הולך להיות 104 שבועות, שנתיים, או חשבת, "כנראה שלושה, אולי שמונה?"
[צחוק]
במקרה זה, בוא נקווה שנסיים במצב שבו "הכל טוב שנגמר בטוב", ושברירת המחדל אכן תהפוך לבטוחה יותר עבור כולם, פרט לאלה שמתעקשים לכבות את התכונה *לכבות*.
DOUG. בסדר, טוב מאוד.
תודה על ההערה, קית'!
ואם יש לכם סיפור מעניין, תגובה או שאלה שתרצו לשלוח, נשמח לקרוא אותם בפודקאסט.
אתה יכול לשלוח דוא"ל tips@sophos.com; אתה יכול להגיב על כל אחד מהמאמרים שלנו; או התקשר אלינו בחברתית: @nakedsecurity.
זו ההופעה שלנו להיום; תודה רבה על ההקשבה…
עבור פול דאקלין, אני דאג אמות', להזכירך: עד הפעם הבאה...
שניהם. הישאר בטוח!
[מודם מוזיקלי]
- AES
- blockchain
- קוינגניוס
- ארנקים
- cryptryptxchange
- קריפטוגרפיה
- אבטחת סייבר
- עברייני אינטרנט
- אבטחת סייבר
- מחלקה לביטחון מולדת
- ארנקים דיגיטליים
- חומת אש
- קספרסקי
- חוק וסדר
- תוכנות זדוניות
- מקאפי
- מיקרוסופט
- ביטחון עירום
- פודקאסט עירום אבטחה
- NexBLOC
- אפלטון
- plato ai
- מודיעין אפלטון
- משחק אפלטון
- אפלטון נתונים
- פלטוגיימינג
- פודקאסט
- ransomware
- RSA
- VBA
- VPN
- אבטחת אתר
- זפירנט
