Δεν υπάρχει πρόγραμμα αναπαραγωγής ήχου παρακάτω; Ακούω κατευθείαν στο Soundcloud.

---

ΖΥΜΗ.  Ενημερώσεις Firefox, άλλο Σφάλμα με εντυπωσιακό όνομα, και η SEC απαιτεί αποκάλυψη.

Όλα αυτά και πολλά άλλα στο podcast του Naked Security.

[ΜΟΥΣΙΚΟ ΜΟΝΤΕΜ]

Καλώς ήρθατε στο podcast, όλοι.

Είμαι ο Doug Aamoth. είναι ο Paul Ducklin.

Paul, ελπίζω να είσαι περήφανος για μένα… Ξέρω ότι είσαι λάτρης της ποδηλασίας.

Πήρα ένα ποδήλατο χθες για 10 αμερικάνικα μίλια, τα οποία πιστεύω ότι είναι περίπου 16 χιλιόμετρα, όλα αυτά ενώ τραβούσα ένα μικρό αλλά όχι βαρύ παιδί πίσω από το ποδήλατο σε μια άμαξα με δύο τροχούς.

Και είμαι ακόμα ζωντανός για να πω την ιστορία.

Είναι μακρύς ο δρόμος για να κάνεις ποδήλατο, Πολ;

---

ΠΑΠΙΑ.  [ΓΕΛΙΑ] Εξαρτάται πόσο μακριά έπρεπε πραγματικά να πάτε.

Όπως, αν ήταν πραγματικά 1200 μέτρα που έπρεπε να πας και χανόσουν… [ΓΕΛΙΑ]

Ο ενθουσιασμός μου για το ποδήλατο είναι πολύ μεγάλος, αλλά αυτό δεν σημαίνει ότι κάνω σκόπιμα ποδήλατο περισσότερο από όσο χρειάζεται, γιατί είναι ο πρωταρχικός μου τρόπος να κυκλοφορώ.

Αλλά 10 μίλια είναι εντάξει.

Γνωρίζατε ότι τα αμερικανικά και τα βρετανικά μίλια είναι, στην πραγματικότητα, πανομοιότυπα;

---

ΖΥΜΗ.  Αυτό είναι καλό να το γνωρίζουμε!

---

ΠΑΠΙΑ.  Και είναι από το 1959, όταν μια δέσμη χωρών, συμπεριλαμβανομένων, νομίζω, του Καναδά, της Νότιας Αφρικής, της Αυστραλίας, των Ηνωμένων Πολιτειών και του Ηνωμένου Βασιλείου ενώθηκαν και συμφώνησαν να τυποποιηθούν σε μια «διεθνή ίντσα».

Νομίζω ότι η Imperial ίντσα μειώθηκε πολύ, πολύ λίγο και η αμερικανική ίντσα έγινε πολύ, πολύ λίγο μακρύτερη, με αποτέλεσμα η ίντσα (και επομένως η αυλή, και το πόδι, και το μίλι)…

…ορίζονται όλα ως προς το μέτρο.

Η μία ίντσα είναι ακριβώς 25.4 χιλιοστά

Τρεις σημαντικές φιγούρες είναι το μόνο που χρειάζεστε.

---

ΖΥΜΗ.  Γοητευτικός!

Λοιπόν, μιλώντας για συναρπαστικά, ήρθε η ώρα για το δικό μας Αυτή η εβδομάδα στην ιστορία της τεχνολογίας τμήμα.

Αυτή την εβδομάδα, την 01η Αυγούστου 1981, η Μουσική Τηλεόραση, γνωστή και ως MTV, μεταδόθηκε ζωντανά ως μέρος των αμερικανικών πακέτων καλωδιακής και δορυφορικής τηλεόρασης και παρουσίασε στο κοινό μουσικά βίντεο.

Ο πρώτος έπαιξε [Τραγουδάει, ΜΑΛΛΟΝ ΚΑΛΑ ΜΑΛΙΣΤΑ] το "Video Killed the Radio Star" των The Buggles.

Ταίριαζε εκείνη την εποχή, αν και ειρωνικό στις μέρες μας, καθώς το MTV σπάνια παίζει πλέον μουσικά βίντεο και δεν παίζει κανένα νέο μουσικό βίντεο, Paul.

---

ΠΑΠΙΑ.  Ναι, είναι ειρωνικό, έτσι δεν είναι, ότι η καλωδιακή τηλεόραση (με άλλα λόγια, όπου είχατε καλώδια να τρέχουν κάτω από το έδαφος στο σπίτι σας) σκότωσε το αστέρι του ραδιοφώνου (ή του ασύρματου), και τώρα φαίνεται σαν καλωδιακή τηλεόραση, MTV… αυτό το είδος εξαφανίστηκε επειδή όλοι έχουν δίκτυα κινητής τηλεφωνίας που λειτουργούν ασύρματα.

Ό,τι κυκλοφορεί έρχεται γύρω, Ντάγκλας.

---

ΖΥΜΗ.  Εντάξει, λοιπόν, ας μιλήσουμε για αυτές τις ενημερώσεις του Firefox.

Λαμβάνουμε διπλή δόση ενημερώσεων Firefox αυτόν τον μήνα, επειδή είναι σε κύκλο 28 ημερών:

Ο Firefox διορθώνει μια σειρά ελαττωμάτων στην πρώτη από τις δύο εκδόσεις αυτού του μήνα

Δεν υπάρχουν μέρες μηδέν σε αυτόν τον πρώτο γύρο έξω από την πύλη, αλλά μερικές διδακτικές στιγμές.

Έχουμε παραθέσει ίσως τα μισά από αυτά στο άρθρο σας και ένα που πραγματικά μου ξεχώρισε ήταν: Παράκαμψη αιτήματος δυνητικών δικαιωμάτων μέσω clickjacking.

---

ΠΑΠΙΑ.  Ναι, παλιό καλό clickjacking πάλι.

Μου αρέσει αυτός ο όρος γιατί περιγράφει λίγο πολύ αυτό που είναι.

Κάνετε κλικ κάπου, νομίζοντας ότι κάνετε κλικ σε ένα κουμπί ή σε έναν αθώο σύνδεσμο, αλλά εξουσιοδοτείτε κατά λάθος να συμβεί κάτι που δεν είναι προφανές από αυτό που δείχνει η οθόνη κάτω από τον κέρσορα του ποντικιού σας.

Το πρόβλημα εδώ φαίνεται να είναι ότι υπό ορισμένες συνθήκες, όταν επρόκειτο να εμφανιστεί ένα παράθυρο διαλόγου αδειών από τον Firefox, για παράδειγμα, πείτε, "Είστε πραγματικά βέβαιοι ότι θέλετε να επιτρέψετε σε αυτόν τον ιστότοπο να χρησιμοποιήσει την κάμερά σας; έχετε πρόσβαση στην τοποθεσία σας; χρησιμοποιείς το μικρόφωνό σου;»…

…όλα αυτά τα πράγματα που, ναι, θέλετε να σας ρωτήσουν.

Προφανώς, εάν μπορούσατε να μεταφέρετε το πρόγραμμα περιήγησης σε ένα σημείο απόδοσης (και πάλι, απόδοση έναντι ασφάλειας) όπου δυσκολευόταν να συμβαδίσει, θα μπορούσατε να καθυστερήσετε την εμφάνιση του αναδυόμενου παραθύρου δικαιωμάτων.

Έχοντας όμως ένα κουμπί στο σημείο όπου θα εμφανιζόταν το αναδυόμενο παράθυρο και παρασύροντας τον χρήστη να κάνει κλικ σε αυτό, θα μπορούσατε να προσελκύσετε το κλικ, αλλά το κλικ θα σταλούσε στη συνέχεια στο παράθυρο διαλόγου δικαιωμάτων που δεν είχατε δει ακόμα.

Ένα είδος οπτικής συνθήκης αγώνα, αν θέλετε.

---

ΖΥΜΗ.  Εντάξει, και το άλλο ήταν: Ο καμβάς εκτός οθόνης θα μπορούσε να έχει παρακάμψει τους περιορισμούς πολλαπλής προέλευσης.

Συνεχίζετε λέγοντας ότι μια ιστοσελίδα θα μπορούσε να κρυφοκοιτάξει εικόνες που εμφανίζονται σε μια άλλη σελίδα από διαφορετικό ιστότοπο.

---

ΠΑΠΙΑ.  Αυτό δεν πρέπει να συμβεί, έτσι δεν είναι;

---

ΖΥΜΗ.  Όχι!

---

ΠΑΠΙΑ.  Ο όρος της ορολογίας για αυτό είναι η «πολιτική ίδιας προέλευσης».

Εάν εκτελείτε τον ιστότοπο X και μου στείλετε μια ολόκληρη δέσμη JavaScript που ορίζει ένα ολόκληρο φόρτο cookie, τότε όλα αυτά αποθηκεύονται στο πρόγραμμα περιήγησης.

Αλλά μόνο περαιτέρω JavaScript από τον ιστότοπο X μπορεί να διαβάσει αυτά τα δεδομένα πίσω.

Το γεγονός ότι περιηγείστε στον ιστότοπο X στη μία καρτέλα και στον ιστότοπο Y στην άλλη καρτέλα δεν τους επιτρέπει να κοιτάξουν τι κάνει ο άλλος και το πρόγραμμα περιήγησης υποτίθεται ότι κρατά όλα αυτά τα πράγματα χωριστά.

Αυτό είναι προφανώς πολύ σημαντικό.

Και φαίνεται εδώ ότι, από όσο καταλαβαίνω, αν αποδίδατε μια σελίδα που δεν εμφανιζόταν ακόμα…

…ένας καμβάς εκτός οθόνης, όπου δημιουργείτε, αν θέλετε, μια εικονική ιστοσελίδα και στη συνέχεια λέτε, "Αυτή τη στιγμή, είμαι έτοιμος να την εμφανίσω" και μπίνγκο, η σελίδα εμφανίζεται στο μια φορά.

Το πρόβλημα προκύπτει όταν προσπαθείτε να βεβαιωθείτε ότι τα στοιχεία που αποδίδετε αόρατα δεν θα διαρρέουν ακούσια δεδομένα, παρόλο που δεν εμφανίζονται ποτέ τελικά στον χρήστη.

Το εντόπισαν αυτό, ή αποκαλύφθηκε υπεύθυνα, και μπαλώθηκε.

Και αυτά τα δύο, νομίζω, συμπεριλήφθηκαν στα λεγόμενα τρωτά σημεία "υψηλού" επιπέδου.

Τα περισσότερα από τα άλλα ήταν «Μέτρια», με εξαίρεση το παραδοσιακό της Mozilla, «Βρήκαμε πολλά σφάλματα μέσω του fuzzing και μέσω αυτοματοποιημένων τεχνικών. Δεν τους ερευνήσαμε για να μάθουμε αν θα μπορούσαν να γίνουν αντικείμενο εκμετάλλευσης, αλλά είμαστε πρόθυμοι να υποθέσουμε ότι κάποιος που προσπάθησε αρκετά σκληρά θα μπορούσε να το κάνει».

Αυτή είναι μια παραδοχή που μας αρέσει τόσο πολύ, Νταγκ… γιατί τα πιθανά σφάλματα αξίζει να τα εξαφανίσεις, ακόμα κι αν νιώθεις σίγουρος στην καρδιά σου ότι κανείς δεν θα βρει ποτέ πώς να τα εκμεταλλευτεί.

Γιατί στην ασφάλεια στον κυβερνοχώρο, αξίζει να μην πεις ποτέ!

---

ΖΥΜΗ.  Εντάξει, ψάχνετε για Firefox 116 ή αν είστε σε εκτεταμένη έκδοση, 115.1.

Το ίδιο και το Thunderbird.

Και ας προχωρήσουμε στο… ω, φίλε!

Παύλο, αυτό είναι συναρπαστικό!

Έχουμε ένα νέο BWAIN μετά από ένα διπλό BWAIN την περασμένη εβδομάδα: ένα Bug With An Impressive Name.

Αυτό ονομάζεται Σύγκρουση+Ισχύς:

Σύγκρουση απόδοσης και ασφάλειας για άλλη μια φορά στην επίθεση «Collide+Power».

---

ΠΑΠΙΑ.  [ΓΕΛΙΑ] Ναι, είναι ιντριγκαδόρικο, έτσι δεν είναι, ότι διάλεξαν ένα όνομα που έχει το σύμβολο συν;

---

ΖΥΜΗ.  Ναι, αυτό είναι δύσκολο να το πω.

---

ΠΑΠΙΑ.  Δεν μπορείτε να έχετε ένα σύμβολο συν στο όνομα τομέα σας, επομένως το όνομα τομέα είναι collidepower.com.

---

ΖΥΜΗ.  Εντάξει, επιτρέψτε μου να διαβάσω από τους ίδιους τους ερευνητές και παραθέτω:

Η ρίζα του προβλήματος είναι ότι τα κοινόχρηστα στοιχεία CPU, όπως το σύστημα εσωτερικής μνήμης, συνδυάζουν δεδομένα εισβολέα και δεδομένα από οποιαδήποτε άλλη εφαρμογή, με αποτέλεσμα ένα συνδυασμένο σήμα διαρροής στην κατανάλωση ενέργειας.

Έτσι, γνωρίζοντας τα δικά του δεδομένα, ο εισβολέας μπορεί να προσδιορίσει τις ακριβείς τιμές δεδομένων που χρησιμοποιούνται σε άλλες εφαρμογές.

---

ΠΑΠΙΑ.  [ΓΕΛΙΑ] Ναι, αυτό είναι πολύ λογικό αν γνωρίζετε ήδη για τι πράγμα μιλάνε!

Για να προσπαθήσω να το εξηγήσω σε απλά αγγλικά (ελπίζω να το κατάλαβα σωστά)…

Αυτό οφείλεται στα προβλήματα απόδοσης έναντι ασφάλειας για τα οποία έχουμε μιλήσει προηγουμένως, συμπεριλαμβανομένων το podcast της περασμένης εβδομάδας με αυτό Zenbleed σφάλμα (το οποίο είναι πολύ πιο σοβαρό, παρεμπιπτόντως):

Zenbleed: Πώς η αναζήτηση για την απόδοση της CPU θα μπορούσε να θέσει τους κωδικούς πρόσβασής σας σε κίνδυνο

Υπάρχει ένα μεγάλο πλήθος δεδομένων που φυλάσσονται μέσα στη CPU («αποθηκευμένο στην κρυφή μνήμη» είναι ο τεχνικός όρος για αυτό) έτσι ώστε η CPU να μην χρειάζεται να πάει και να τα πάρει αργότερα.

Επομένως, υπάρχουν πολλά εσωτερικά πράγματα που δεν μπορείτε πραγματικά να διαχειριστείτε. η CPU το φροντίζει για εσάς.

Και η καρδιά αυτής της επίθεσης φαίνεται να πηγαίνει κάπως έτσι…

Αυτό που κάνει ο εισβολέας είναι να έχει πρόσβαση σε διάφορες τοποθεσίες μνήμης με τέτοιο τρόπο ώστε ο εσωτερικός χώρος αποθήκευσης της κρυφής μνήμης να θυμάται αυτές τις θέσεις μνήμης, ώστε να μην χρειάζεται να τις διαβάσει ξανά από τη μνήμη RAM εάν επαναχρησιμοποιηθούν γρήγορα.

Έτσι, ο εισβολέας με κάποιο τρόπο παίρνει αυτές τις τιμές κρυφής μνήμης γεμάτες με γνωστά μοτίβα bit, γνωστές τιμές δεδομένων.

Και στη συνέχεια, εάν το θύμα έχει μνήμη που ** χρησιμοποιεί συχνά (για παράδειγμα, τα byte σε ένα κλειδί αποκρυπτογράφησης), εάν η τιμή τους κριθεί ξαφνικά από την CPU ότι είναι πιο πιθανό να επαναχρησιμοποιηθεί από μια από τις τιμές των εισβολέων, διώχνει την τιμή του εισβολέα από αυτήν την εσωτερική υπερταχεία θέση κρυφής μνήμης και τοποθετεί τη νέα τιμή, την τιμή του θύματος, εκεί.

Και αυτό που ανακάλυψαν αυτοί οι ερευνητές (και όσο απίθανο κι αν ακούγεται η επίθεση στη θεωρία και είναι στην πράξη, αυτό είναι εκπληκτικό να το ανακαλύψουμε)…

Ο αριθμός των bit που είναι διαφορετικός μεταξύ της παλιάς τιμής στη μνήμη cache και της νέας τιμής *αλλάζει την ποσότητα ισχύος που απαιτείται για την εκτέλεση της λειτουργίας ενημέρωσης της προσωρινής μνήμης*.

Επομένως, εάν μπορείτε να μετρήσετε την κατανάλωση ενέργειας της CPU με αρκετή ακρίβεια, μπορείτε να βγάλετε συμπεράσματα σχετικά με το ποιες τιμές δεδομένων εγγράφηκαν στην εσωτερική, κρυφή, κατά τα άλλα αόρατη μνήμη cache εντός της CPU, την οποία η CPU πίστευε ότι δεν ήταν δική σας δουλειά.

Πολύ ενδιαφέρον, Νταγκ!

---

ΖΥΜΗ.  Εξαιρετική.

Εντάξει, υπάρχουν κάποια μέτρα μετριασμού.

Αυτή η ενότητα ξεκινά: "Πρώτα απ' όλα, δεν χρειάζεται να ανησυχείτε", αλλά επηρεάζονται επίσης σχεδόν όλες οι CPU.

---

ΠΑΠΙΑ.  Ναι, αυτό είναι ενδιαφέρον, έτσι δεν είναι;

Λέει "πρώτα απ' όλα" (κανονικό κείμενο) "εσείς" (στα ιταλικα) "δεν χρειάζεται να ανησυχείτε" (με έντονους). [ΓΕΛΙΑ]

Οπότε, βασικά, κανείς δεν πρόκειται να σας επιτεθεί με αυτό, αλλά ίσως οι σχεδιαστές της CPU να θέλουν να το σκεφτούν στο μέλλον, αν υπάρχει τρόπος να το παρακάμψετε. [ΓΕΛΙΑ]

Νόμιζα ότι ήταν ένας ενδιαφέρον τρόπος να το θέσω.

---

ΖΥΜΗ.  Εντάξει, οπότε το μετριασμό είναι βασικά η απενεργοποίηση του hyperthreading.

Έτσι λειτουργεί;

---

ΠΑΠΙΑ.  Το Hyperthreading το κάνει πολύ χειρότερο, από όσο μπορώ να δω.

Γνωρίζουμε ήδη ότι το hyperthreading είναι ένα πρόβλημα ασφάλειας, επειδή υπήρξαν πολλά τρωτά σημεία που εξαρτώνται από αυτό στο παρελθόν.

Είναι όπου μια CPU, ας πούμε, με οκτώ πυρήνες προσποιείται ότι έχει 16 πυρήνες, αλλά στην πραγματικότητα δεν βρίσκονται σε ξεχωριστά μέρη του τσιπ.

Στην πραγματικότητα είναι ζευγάρια ψευδοπυρήνων που μοιράζονται περισσότερα ηλεκτρονικά, περισσότερα τρανζίστορ, περισσότερους πυκνωτές, από ό,τι είναι ίσως μια καλή ιδέα για λόγους ασφαλείας.

Εάν χρησιμοποιείτε το παλιό καλό OpenBSD, νομίζω ότι αποφάσισαν ότι το hyperthreading είναι πολύ δύσκολο να διασφαλιστεί με μετριασμούς. μπορεί επίσης να το απενεργοποιήσει.

Μέχρι να πετύχετε τις επιτυχίες απόδοσης που απαιτούν οι περιορισμοί, ίσως απλώς να μην το έχετε.

Έτσι νομίζω ότι απενεργοποίηση της υπερνηματοποίησης θα σας ανοσοποιήσει πολύ ενάντια σε αυτή την επίθεση.

Το δεύτερο πράγμα που μπορείτε να κάνετε είναι, όπως λένε οι συγγραφείς με έντονους χαρακτήρες: μην ανησυχείς. [ΓΕΛΙΟ]

---

ΖΥΜΗ.  Αυτό είναι ένα μεγάλο μετριασμό! [ΓΕΛΙΑ]

---

ΠΑΠΙΑ.   Υπάρχει ένα υπέροχο κομμάτι (θα πρέπει να το διαβάσω αυτό, Νταγκ)…

Οι ίδιοι οι ερευνητές ανακάλυψαν ότι για να λάβουν οποιαδήποτε αξιόπιστη πληροφορία, έπαιρναν ρυθμούς δεδομένων κάπου μεταξύ 10 bit και 100 bit την ώρα έξω από το σύστημα.

Πιστεύω ότι τουλάχιστον οι επεξεργαστές Intel έχουν ένα μετριασμό που φαντάζομαι ότι θα βοηθούσε σε αυτό.

Και αυτό μας φέρνει πίσω στα MSR, αυτά τα μητρώα για τα συγκεκριμένα μοντέλα για τα οποία μιλήσαμε την περασμένη εβδομάδα με το Zenbleed, όπου υπήρχε ένα μαγικό κομμάτι που θα μπορούσατε να ενεργοποιήσετε λέγοντας: «Μην κάνετε τα επικίνδυνα πράγματα».

Υπάρχει ένα χαρακτηριστικό που μπορείτε να ρυθμίσετε με το όνομα Φιλτράρισμα RAPL, και το RAPL είναι συντομογραφία τρέχον όριο μέσης ισχύος.

Χρησιμοποιείται από προγράμματα που θέλουν να δουν την απόδοση μιας CPU για σκοπούς διαχείρισης ενέργειας, επομένως δεν χρειάζεται να εισέλθετε στο δωμάτιο διακομιστή και να τοποθετήσετε μια οθόνη τροφοδοσίας σε ένα καλώδιο με ένα μικρό αισθητήρα στη μητρική πλακέτα. [ΓΕΛΙΑ]

Μπορείτε πραγματικά να πάρετε τη CPU να σας πει πόση ισχύ καταναλώνει.

Η Intel έχει τουλάχιστον αυτή τη λειτουργία που ονομάζεται φιλτράρισμα RAPL, η οποία εισάγει σκόπιμα jitter ή σφάλμα.

Έτσι, θα έχετε αποτελέσματα που, κατά μέσο όρο, είναι ακριβή, αλλά όπου κάθε μεμονωμένη ανάγνωση θα είναι απενεργοποιημένη.

---

ΖΥΜΗ.  Ας στρέψουμε τώρα την προσοχή μας σε αυτή τη νέα συμφωνία SEC.

Η Επιτροπή Ασφάλειας και Ανταλλαγών απαιτεί τετραήμερα όρια αποκάλυψης για παραβιάσεις της ασφάλειας στον κυβερνοχώρο:

Η SEC απαιτεί τετραήμερο όριο αποκάλυψης για παραβιάσεις της ασφάλειας στον κυβερνοχώρο

Αλλά (Α) μπορείτε να αποφασίσετε εάν μια επίθεση είναι αρκετά σοβαρή για να αναφέρετε και (Β) το όριο των τεσσάρων ημερών δεν ξεκινά μέχρι να αποφασίσετε ότι κάτι είναι αρκετά σημαντικό για να αναφέρετε, Paul.

Λοιπόν, μια καλή πρώτη αρχή, αλλά ίσως όχι τόσο επιθετική όσο θα θέλαμε;

---

ΠΑΠΙΑ.  Συμφωνώ με την εκτίμησή σου εκεί, Νταγκ.

Ακούστηκε υπέροχο όταν το είδα για πρώτη φορά: "Γεια, έχετε αυτήν την τετραήμερη αποκάλυψη εάν έχετε παραβίαση δεδομένων ή πρόβλημα ασφάλειας στον κυβερνοχώρο."

Στη συνέχεια, όμως, υπήρχε αυτό το κομμάτι για το «Λοιπόν, πρέπει να θεωρηθεί ως υλικό πρόβλημα», ένας νομικός όρος που σημαίνει ότι πραγματικά έχει αρκετή σημασία για να αξίζει να αποκαλυφθεί εξαρχής.

Και μετά έφτασα σε αυτό το κομμάτι (και δεν είναι ένα πολύ μεγάλο δελτίο τύπου από την SEC) που είπε, «Μόλις αποφασίσετε ότι πρέπει πραγματικά να το αναφέρετε, τότε έχετε ακόμη τέσσερις ημέρες να το αναφέρω."

Τώρα, φαντάζομαι ότι, νομικά, δεν θα λειτουργήσει ακριβώς έτσι. Νταγκ

Ίσως είμαστε λίγο σκληροί στο άρθρο;

---

ΖΥΜΗ.  Μεγεθύνετε τις επιθέσεις ransomware, λέγοντας ότι υπάρχουν μερικοί διαφορετικοί τύποι, οπότε ας μιλήσουμε γι' αυτό… είναι σημαντικό να προσδιορίσετε εάν πρόκειται για υλική επίθεση που πρέπει να αναφέρετε.

Λοιπόν, τι είδους ransomware εξετάζουμε;

---

ΠΑΠΙΑ.  Ναι, απλώς για να εξηγήσω, νόμιζα ότι ήταν ένα σημαντικό μέρος αυτού.

Για να μην δείξουμε το δάχτυλο στην SEC, αλλά αυτό είναι κάτι που δεν φαίνεται να έχει βγει στο πλύσιμο σε πολλές ή σε καμία χώρα ακόμα…

…το αν απλώς υποστείτε μια επίθεση ransomware είναι αναπόφευκτα αρκετό για να είναι μια υλική παραβίαση δεδομένων.

Αυτό το έγγραφο της SEC στην πραγματικότητα δεν αναφέρει καθόλου τη "λέξη R".

Δεν γίνεται καμία αναφορά για πράγματα που αφορούν συγκεκριμένα ransomware.

Και το ransomware είναι πρόβλημα, έτσι δεν είναι;

Στο άρθρο, ήθελα να ξεκαθαρίσω ότι η λέξη "ransomware", την οποία εξακολουθούμε να χρησιμοποιούμε ευρέως, δεν είναι πλέον η σωστή λέξη, σωστά;

Μάλλον θα πρέπει να το ονομάσουμε "blackmailware" ή απλά "cyber extortion".

Αναγνωρίζω τρεις κύριους τύπους επιθέσεων ransomware.

Ο τύπος Α είναι όπου οι απατεώνες δεν κλέβουν τα δεδομένα σας, απλώς ανακατεύουν τα δεδομένα σας επί τόπου.

Άρα δεν χρειάζεται να ανεβάσουν ούτε ένα πράγμα.

Τα ανακατεύουν όλα με τρόπο ώστε να μπορούν να σας παρέχουν το κλειδί αποκρυπτογράφησης, αλλά δεν θα δείτε ούτε ένα byte δεδομένων να φεύγει από το δίκτυό σας ως ενδεικτικό ότι κάτι κακό συμβαίνει.

Έπειτα, υπάρχει μια επίθεση τύπου Β ransomware, όπου οι απατεώνες πάνε, «Ξέρεις τι, δεν θα διακινδυνεύσουμε να γράψουμε σε όλα τα αρχεία, να πιαστούν να το κάνουμε αυτό. Απλώς θα κλέψουμε όλα τα δεδομένα και αντί να πληρώσουμε τα χρήματα για να πάρουμε πίσω τα δεδομένα σας, πληρώνετε για τη σιωπή μας».

Και μετά, φυσικά, υπάρχει η επίθεση ransomware τύπου C, και αυτή είναι: "Τόσο Α όσο και Β."

Εκεί οι απατεώνες κλέβουν τα δεδομένα σας *και* τα ανακατεύουν και λένε, "Ε, αν δεν είναι το ένα πράγμα που θα σας φέρει σε μπελάδες, είναι το άλλο."

Και θα ήταν ωραίο να γνωρίζουμε πού αυτό που πιστεύω ότι το δικηγορικό επάγγελμα αποκαλεί ουσιαστικότητα (με άλλα λόγια, τη νομική σημασία ή τη νομική συνάφεια με έναν συγκεκριμένο κανονισμό)…

…όπου αυτό συμβαίνει, στην περίπτωση επιθέσεων ransomware.

---

ΖΥΜΗ.  Λοιπόν, αυτή είναι η καλή στιγμή για να φέρουμε τον Σχολιαστή της Εβδομάδας, τον Άνταμ, σε αυτήν την ιστορία.

Ο Adam δίνει τις σκέψεις του για τους διάφορους τύπους επιθέσεων ransomware.

Έτσι, ξεκινώντας με τον Τύπο Α, όπου είναι απλώς μια απλή επίθεση ransomware, όπου κλειδώνουν τα αρχεία και αφήνουν ένα σημείωμα λύτρων για να τα ξεκλειδώσουν…

Ο Αδάμ λέει:

Εάν μια εταιρεία χτυπηθεί από ransomware, δεν βρήκε κανένα στοιχείο διείσδυσης δεδομένων μετά από ενδελεχή έρευνα και ανακτήσει τα δεδομένα της χωρίς να πληρώσει τα λύτρα, τότε θα είχα την τάση να πω, «Όχι [απαιτείται αποκάλυψη]».

---

ΠΑΠΙΑ.  Έχεις κάνει αρκετά;

---

ΖΥΜΗ.  Ναί.

---

ΠΑΠΙΑ.  Δεν το αποτρέψατε, αλλά κάνατε το επόμενο καλύτερο πράγμα, επομένως δεν χρειάζεται να το πείτε στους επενδυτές σας….

Η ειρωνεία είναι, Doug, αν το είχες κάνει αυτό ως εταιρεία, θα μπορούσες να πεις στους επενδυτές σου: «Ε, μάντεψε τι; Είχαμε μια επίθεση ransomware όπως όλοι οι άλλοι, αλλά ξεφύγαμε από αυτήν χωρίς να πληρώσουμε τα χρήματα, χωρίς να ασχοληθούμε με τους απατεώνες και χωρίς να χάσουμε δεδομένα. Έτσι, παρόλο που δεν ήμασταν τέλειοι, ήμασταν το επόμενο καλύτερο πράγμα».

Και στην πραγματικότητα μπορεί να έχει μεγάλο βάρος να το αποκαλύψεις οικειοθελώς, ακόμα κι αν ο νόμος έλεγε ότι δεν έπρεπε.

---

ΖΥΜΗ.  Και μετά, για τον Τύπο Β, τη γωνία εκβιασμού, ο Άνταμ λέει:

Αυτή είναι μια δύσκολη κατάσταση.

Θεωρητικά, θα έλεγα, «Ναι».

Αλλά αυτό είναι πιθανό να οδηγήσει σε πολλές αποκαλύψεις και να πλήξει την επιχειρηματική φήμη.

Έτσι, αν έχετε μια δέσμη εταιρειών που βγαίνουν και λένε: «Κοίτα, χτυπηθήκαμε από ransomware. Δεν νομίζουμε ότι έγινε κάτι κακό. πληρώσαμε τους απατεώνες για να τους κρατήσουν ήσυχους. και πιστεύουμε ότι δεν πρόκειται να χυθούν τα φασόλια», ας πούμε…

…αυτό δημιουργεί μια δύσκολη κατάσταση, γιατί αυτό θα μπορούσε να βλάψει τη φήμη μιας εταιρείας, αλλά αν δεν το είχαν αποκαλύψει, κανείς δεν θα το γνώριζε.

---

ΠΑΠΙΑ.  Και βλέπω ότι ο Αδάμ ένιωθε με τον ίδιο τρόπο που κάναμε και εσείς και εγώ για την υπόθεση: «Έχετε τέσσερις ημέρες και όχι περισσότερες από τέσσερις ημέρες… από τη στιγμή που πιστεύετε ότι πρέπει να ξεκινήσουν οι τέσσερις ημέρες».

Το βρόντηξε και αυτό, έτσι δεν είναι;

Είπε:

Ορισμένες εταιρείες πιθανότατα θα υιοθετήσουν τακτικές για να καθυστερήσουν πολύ να αποφασίσουν εάν υπάρχει ουσιώδης αντίκτυπος.

Έτσι, δεν ξέρουμε ακριβώς πώς θα γίνει αυτό, και είμαι βέβαιος ότι ούτε η SEC γνωρίζει καλά.

Μπορεί να χρειαστούν μερικές δοκιμαστικές περιπτώσεις για να καταλάβουν ποιος είναι ο σωστός βαθμός γραφειοκρατίας για να βεβαιωθούν ότι όλοι μάθουμε αυτά που πρέπει να ξέρουμε, χωρίς να αναγκάζονται οι εταιρείες να αποκαλύπτουν κάθε μικρό σφάλμα πληροφορικής που συμβαίνει ποτέ και να μας θάβουν όλους σε ένα φορτίο γραφειοκρατίας.

Πράγμα που οδηγεί ουσιαστικά σε κούραση, έτσι δεν είναι;

Αν έχετε τόσα άσχημα νέα που δεν είναι τόσο σημαντικά, απλά να σας ξεπλύνετε…

…κάπως, είναι εύκολο να χάσετε τα πραγματικά σημαντικά πράγματα που είναι μέσα σε όλα τα "χρειαζόμουν πραγματικά να ακούσω γι' αυτό;"

Ο χρόνος θα δείξει, Ντάγκλας.

---

ΖΥΜΗ.  Ναι, δύσκολο!

Και ξέρω ότι το λέω συνέχεια, αλλά θα το παρακολουθούμε, γιατί θα είναι συναρπαστικό να το παρακολουθούμε.

Λοιπόν, σε ευχαριστώ, Adam, που έστειλες αυτό το σχόλιο.

---

ΠΑΠΙΑ.  Ναι πράγματι!

---

ΖΥΜΗ.  Εάν έχετε μια ενδιαφέρουσα ιστορία, σχόλιο ή ερώτηση που θέλετε να υποβάλετε, θα θέλαμε να διαβάσουμε στο podcast.

Μπορείτε να στείλετε email [προστασία μέσω email], μπορείτε να σχολιάσετε οποιοδήποτε από τα άρθρα μας ή μπορείτε να μας ενημερώσετε στα social: @nakedsecurity.

Αυτή είναι η εκπομπή μας για σήμερα. ευχαριστώ πολύ για την ακρόαση.

Για τον Paul Ducklin, είμαι ο Doug Aamoth, σας υπενθυμίζω μέχρι την επόμενη φορά να…

---

ΚΑΙ ΤΑ ΔΥΟ.  Μείνετε ασφαλείς.

[ΜΟΥΣΙΚΟ ΜΟΝΤΕΜ]