S3 Ep125: عندما تحتوي أجهزة الأمان على ثغرات أمنية [صوت + نص]

لا يوجد مشغل صوت أدناه؟ يستمع مباشرة على Soundcloud.

دوغ.   برامج الفدية والمزيد من برامج الفدية ونقاط ضعف TPM.

كل ذلك وأكثر على بودكاست Naked Security.

[مودم موسيقي]

مرحبا بكم في البودكاست ، الجميع.

أنا دوغ عاموث. هو بول دوكلين.

كيف حالك اليوم يا بول؟

---

بطة.   الثلج والصقيع ، دوغ.

لذلك كانت رحلة باردة في الاستوديو.

أنا أستخدم الاقتباسات الهوائية ... ليس من أجل "الركوب" ، من أجل "الاستوديو".

إنه ليس استوديوًا حقًا ، لكنه * الاستوديو الخاص بي!

مساحة سرية صغيرة في Sophos HQ لتسجيل البودكاست.

إنه جميل ودافئ هنا ، دوغ!

---

دوغ.   حسنًا ، إذا كان أي شخص يستمع ... توقف في جولة ؛ سيسعد بول أن يطلعك على المكان.

وأنا متحمس جدًا لذلك هذا الأسبوع في تاريخ التكنولوجيابول.

في هذا الأسبوع في 06 مارس 1992 ، انتشر فيروس قطاع التمهيد الخامل من مايكل أنجلو إلى الحياة ، ليحل محل قطاعات من الأقراص الصلبة لضحاياها.

بالتأكيد كان هذا يعني نهاية العالم لأجهزة الكمبيوتر في كل مكان ، حيث تعثرت وسائل الإعلام على نفسها لتحذير الناس من الموت الوشيك؟

ومع ذلك ، وفقًا لتقرير مؤتمر Virus Bulletin لعام 1994 ، وأقتبس:

يعتقد بول دوكلين ، المتحدث النشط والممتع ، اعتقادًا راسخًا أن جهود التثقيف التي تبذلها الشركات ووسائل الإعلام على حد سواء ، قد أخطأت هدفها من نواح كثيرة..

بول ، كنت هناك ، يا رجل!

---

بطة.   كنت ، دوغ.

ومن المفارقات أن السادس من مارس كان اليوم الوحيد الذي لم يكن فيه مايكل أنجلو فيروسًا.

في كل الأيام الأخرى ، انتشر ببساطة كالنار في الهشيم.

ولكن في 06 مارس ، قالت "آها! إنه يوم الحمولة! "

وعلى القرص الصلب ، سيمر عبر أول 256 مسارًا ، أول 4 رؤوس ، 17 قطاعًا لكل مسار ... والتي كانت إلى حد كبير "الزاوية اليسرى السفلية" ، إذا أردت ، من كل صفحة من معظم الأقراص الثابتة المستخدمة فى ذلك التوقيت.

لذلك ، سيستغرق الأمر حوالي 8.5 ميغا بايت من القرص الثابت.

لم يقتصر الأمر على ضغط الكثير من البيانات ، بل أفسد أشياء مثل جداول تخصيص الملفات.

حتى تتمكن من استعادة بعض البيانات ، لكنها كانت جهدًا هائلاً وغير مؤكد لكل جهاز تريد تجربته واستعادته.

إنه يتطلب الكثير من العمل للكمبيوتر الثاني كما كان للكمبيوتر الأول والثالث كما كان للكمبيوتر الثاني ... من الصعب جدًا جدًا أتمتة.

لحسن الحظ ، كما قلت ، تم المبالغة في تضخيمه في وسائل الإعلام.

في الواقع ، ما أفهمه هو أن الفيروس تم تحليله لأول مرة من قبل الراحل روجر ريوردان ، الذي كان باحثًا أستراليًا مشهورًا في مجال مكافحة الفيروسات في التسعينيات ، وقد صادفه بالفعل في فبراير 1990.

وكان يتحدث مع صديقه ، على ما أعتقد ، حول هذا الموضوع ، وقال صديقه ، "أوه ، السادس من مارس ، إنه عيد ميلادي. هل تعلم أنه عيد ميلاد مايكل أنجلو أيضًا؟ "

لأنني أعتقد أن الأشخاص الذين ولدوا في السادس من مارس قد يعرفون ذلك ...

بالطبع ، كان اسمًا عصريًا ورائعًا ... وبعد عام ، عندما أتيحت له الفرصة للانتشار ، وكما تقول ، غالبًا ما يكون نائمًا ، عندها عاد.

لم يصطدم بالملايين من أجهزة الكمبيوتر ، كما يبدو أن وسائل الإعلام تخشى ، وكما أحب الراحل جون مكافي أن يقول ، لكن هذه راحة باردة لأي شخص أصيب ، لأنك فقدت كل شيء إلى حد كبير.

ليس كل شيء تمامًا ، ولكنه سيكلفك ثروة صغيرة لاستعادة بعض منها ... ربما بشكل غير كامل ، وربما بشكل غير موثوق به.

والشيء السيئ فيه أنه انتشر على أقراص مرنة ؛ ولأنها انتشرت في قطاع التمهيد ؛ ولأنه في تلك الأيام كان يتم إقلاع كل جهاز كمبيوتر تقريبًا من محرك الأقراص المرنة إذا كان هناك قرص بداخله ؛ ولأن الأقراص المرنة الفارغة تحتوي على قطاع تمهيد وسيتم تشغيل أي رمز موجود ، حتى لو كان كل ما يؤدي إليه هو "قرص أو خطأ في القرص بخلاف النظام ، استبدل وحاول مرة أخرى" نوع الرسالة ...

…بحلول ذلك الوقت كان قد فات.

لذا ، إذا تركت للتو قرصًا في محرك الأقراص عن طريق الخطأ ، فعند تشغيله في صباح اليوم التالي ، عندما رأيت هذه الرسالة "خطأ في القرص أو القرص بخلاف النظام" وفكرت ، "أوه ، سأفرقع القرص المرن الخروج وإعادة التمهيد من القرص الصلب "...

... بحلول ذلك الوقت ، كان الفيروس موجودًا بالفعل على القرص الثابت لديك ، وسوف ينتشر إلى كل قرص مرن لديك.

لذا ، حتى لو كنت مصابًا بالفيروس ثم قمت بإزالته ، إذا لم تتصفح كامل مخزون الشركة من الأقراص المرنة ، فسيكون هناك تيفود ماري هناك يمكنه إعادة تقديمه في أي وقت.

---

دوغ.   هناك قصة رائعة.

أنا سعيد لأنك كنت هناك للمساعدة في تنظيفه قليلاً!

ودعونا ننظف شيئًا بسيطًا آخر.

هذه الوحدة النمطية للنظام الأساسي الموثوق به ... مثيرة للجدل أحيانًا.

ماذا يحدث عندما يكون الرمز المطلوب لحماية جهازك هو نفسه الضعيفةبول؟

أمان جاد: TPM 2.0 vulns - هل بياناتك فائقة الأمان معرضة للخطر؟

---

بطة.   إذا كنت تريد أن تفهم موضوع TPM بالكامل ، والذي يبدو وكأنه فكرة رائعة ، صحيح ... هناك شيء صغير جدًا من اللوحة الأم التي تقوم بتوصيلها في فتحة صغيرة جدًا على اللوحة الأم (أو ربما تكون مدمجة مسبقًا) ، ولديها واحدة رقاقة معالج مساعد خاصة صغيرة جدًا تقوم فقط بهذه الأشياء المشفرة الأساسية.

الإقلاع الآمن؛ التوقيعات الرقمية؛ تخزين قوي لمفاتيح التشفير ... لذا فهي ليست فكرة سيئة بطبيعتها.

تكمن المشكلة في أنك تتخيل ذلك ، نظرًا لأنه جهاز صغير جدًا ولديه هذا الرمز الأساسي ، فمن السهل جدًا تجريده وجعله بسيطًا؟

حسنًا ، فقط مواصفات الوحدة النمطية للنظام الأساسي الموثوق به ، أو TPM ... لديهم مجتمعة: 306 صفحة ، 177 صفحة ، 432 صفحة ، 498 صفحة ، 146 صفحة ، والشرير الكبير في النهاية ، "الجزء الرابع: إجراءات الدعم - Code "، حيث توجد الأخطاء ، 1009 صفحة PDF ، دوغ.

---

دوغ.   [يضحك] ust بعض القراءة الخفيفة!

---

بطة.   [تنهدات] فقط بعض القراءة الخفيفة.

لذلك ، هناك الكثير من العمل. والكثير من الأماكن للأخطاء.

وأحدثها ... حسنًا ، هناك عدد غير قليل تمت ملاحظته في الخطأ الأخير ، لكن اثنين منهم حصلوا بالفعل على أرقام مكافحة التطرف العنيف.

هناك CVE-2023-1017 و CVE-2023-1018.

ولسوء الحظ ، فهي أخطاء ونقاط ضعف يمكن دغدغتها (أو الوصول إليها) عن طريق الأوامر التي قد يستخدمها برنامج مساحة المستخدم العادي ، مثل شيء قد يقوم مسؤول النظام أو أنت بنفسك بتشغيله ، فقط من أجل مطالبة TPM بالقيام بذلك شيء آمن لك.

لذا يمكنك أن تفعل أشياء مثل ، تقول ، "مرحبًا ، اذهب واحضر لي بعض الأرقام العشوائية. اذهب وابني لي مفتاح تشفير. ابتعد وتحقق من هذا التوقيع الرقمي ".

ومن الجيد أن يتم ذلك في معالج صغير منفصل لا يمكن العبث به بواسطة وحدة المعالجة المركزية أو نظام التشغيل - هذه فكرة رائعة.

لكن المشكلة هي أنه في رمز وضع المستخدم الذي يقول ، "هذا هو الأمر الذي أقدمه لك" ...

... لسوء الحظ ، تفكيك المعلمات التي تم تمريرها لأداء الوظيفة التي تريدها - إذا قمت بتفخيخ الطريقة التي يتم بها تسليم هذه المعلمات إلى TPM ، فيمكنك خداعها إما لقراءة ذاكرة إضافية (تجاوز سعة قراءة المخزن المؤقت) ، أو الأسوأ من ذلك ، الكتابة فوق الأشياء التي تخص الشخص التالي ، كما كانت.

من الصعب أن نرى كيف يمكن استغلال هذه الأخطاء لأشياء مثل تنفيذ التعليمات البرمجية على TPM (ولكن ، كما قلنا عدة مرات ، "لا تقل أبدًا أبدًا").

لكن من الواضح بالتأكيد أنه عندما تتعامل مع شيء ما ، كما قلت في البداية ، "أنت بحاجة إلى هذا لجعل جهاز الكمبيوتر الخاص بك أكثر أمانًا. كل شيء عن صحة التشفير "...

... فكرة تسريب شيء حتى اثنين بايت من البيانات السرية الثمينة لشخص آخر والتي لا يُفترض أن يعرفها أحد في العالم؟

إن فكرة تسرب البيانات ، ناهيك عن فائض الكتابة في المخزن المؤقت في وحدة مثل هذه ، أمر مثير للقلق حقًا.

لذلك هذا ما تحتاجه لإصلاحه.

ولسوء الحظ ، لا تذكر وثيقة الأخطاء الوصفية ، "ها هي الأخطاء ؛ إليكم كيفية تصحيحهم. "

يوجد فقط وصف للأخطاء ووصف لكيفية تعديل التعليمات البرمجية الخاصة بك.

لذلك من المفترض أن يقوم الجميع بذلك بطريقتهم الخاصة ، وبعد ذلك ستتم ترشيح هذه التغييرات مرة أخرى إلى التنفيذ المرجعي المركزي.

الخبر السار هو أن هناك تطبيق TPM قائم على البرامج [libtpms] للأشخاص الذين يشغلون أجهزة افتراضية ... لقد ألقوا نظرة بالفعل ، وقد توصلوا إلى بعض الإصلاحات ، لذا فهذه مكان جيد للبدء.

---

دوغ.   جميل.

في غضون ذلك ، تحقق مع بائعي الأجهزة لديك ، واعرف ما إذا كان لديهم أي تحديثات لك.

---

بطة.   نعم.

---

دوغ.   سننتقل ... إلى الأيام الأولى لبرامج الفدية التي كانت مليئة بالابتزاز ، ثم أصبحت الأمور أكثر تعقيدًا مع "الابتزاز المزدوج".

وحفنة من الناس كانوا كذلك القى القبض في مخطط ابتزاز مزدوج ، وهو خبر سار!

DoppelPaymer ransomware تم القبض عليه في ألمانيا وأوكرانيا

---

بطة.   نعم ، هذه إحدى عصابات برامج الفدية المعروفة باسم DoppelPaymer. ("Doppel" يعني مضاعفة في المانيا.)

لذا فإن الفكرة هي أنها ضربة مزدوجة.

إنه المكان الذي يقومون فيه بترتيب جميع ملفاتك ويقولون ، "سنبيع لك مفتاح فك التشفير. وبالمناسبة ، فقط في حال كنت تعتقد أن النسخ الاحتياطية الخاصة بك ستنجح ، أو فقط في حالة ما إذا كنت تفكر في إخبارنا بأن نضيع وعدم دفع المال ، فقط كن على دراية بأننا قد سرقنا أيضًا جميع ملفاتك أولاً. "

"لذا ، إذا لم تدفع ، ويمكنك * فك التشفير بنفسك ويمكنك * حفظ عملك ... سنقوم بتسريب بياناتك."

والخبر السار في هذه القضية أنه تم استجواب واعتقال بعض المشتبه بهم وضبط العديد من الأجهزة الإلكترونية.

لذلك ، على الرغم من أن هذا ، إذا كنت ترغب في ذلك ، هو الراحة الباردة للأشخاص الذين عانوا من هجمات DoppelPaymer مرة أخرى في اليوم ، فهذا يعني على الأقل أن تطبيق القانون لا يستسلم فقط عندما يبدو أن عصابات الإنترنت تتخبط.

من الواضح أنهم تلقوا ما يصل إلى 40 مليون دولار من مدفوعات الابتزاز في الولايات المتحدة وحدها.

ومن المعروف أنهم ذهبوا بعد المستشفى الجامعي في دوسلدورف في ألمانيا.

إذا كانت هناك نقطة منخفضة في برامج الفدية ...

---

دوغ.   على محمل الجد!

---

بطة.   ... ليس من الجيد أن يتعرض أي شخص للضرب ، ولكن فكرة أن تقوم بالفعل بإخراج مستشفى ، وخاصة مستشفى تعليمي؟

أعتقد أن هذا هو أدنى مستوى ، أليس كذلك؟

---

دوغ.   ولدينا بعض النصائح.

فقط لأن هؤلاء المشتبه بهم قد تم اعتقالهم: لا تطلب الحماية الخاصة بك مرة أخرى.

---

بطة.   لا ، في الواقع ، يوروبول يعترف بكلماتهم ، "وفقًا للتقارير ، قام Doppelpaymer منذ ذلك الحين بتغيير علامته التجارية [كعصابة رانسومواري] تسمى" الحزن ".

لذا فالمشكلة هي أنه عندما تهاجم بعض الأشخاص في cybergang ، فربما لا تجد جميع الخوادم ...

... إذا استولت على الخوادم ، فلا يمكنك بالضرورة العمل بشكل عكسي مع الأفراد.

إنه يحدث تأثيرًا ، لكن هذا لا يعني أن برامج الفدية قد انتهت.

---

دوغ.   وحول هذه النقطة: لا تركز على برامج الفدية وحدها.

---

بطة.   في الواقع!

أعتقد أن عصابات مثل DoppelPaymer توضح هذا الأمر بوضوح ، أليس كذلك؟

بحلول الوقت الذي يأتون فيه لتجميع ملفاتك ، يكونون قد سرقوها بالفعل.

لذلك ، بحلول الوقت الذي تحصل فيه بالفعل على جزء من برنامج الفدية ، يكونون قد فعلوا بالفعل N عناصر أخرى من الجريمة الإلكترونية: الاختراق ؛ النظر حولك ربما فتح بابين خلفيين حتى يتمكنوا من العودة لاحقًا ، أو بيع الوصول إلى الرجل التالي ؛ وما إلى ذلك وهلم جرا.

---

دوغ.   والتي تتوافق مع النصيحة التالية: لا تنتظر وصول تنبيهات التهديد إلى لوحة القيادة.

ربما يكون قول ذلك أسهل من فعله ، اعتمادًا على نضج المنظمة.

ولكن هناك مساعدة متاحة!

---

بطة.   [يضحك] اعتقدت أنك ستذكر تمكنت Sophos من الكشف والاستجابة للحظة هناك ، دوغ.

---

دوغ.   كنت أحاول عدم بيعه.

لكن يمكننا المساعدة!

هناك بعض المساعدة. دعنا نعرف.

---

بطة.   بشكل فضفاض ، كلما وصلت إلى هناك مبكرًا ؛ في وقت سابق لاحظت ؛ كلما كان أمنك الوقائي أكثر نشاطًا ...

... قل احتمال أن يتمكن أي محتال من الوصول إلى حد هجوم برامج الفدية.

ويمكن أن يكون إلا أمرا جيدا.

---

دوغ.   وأخيرا وليس آخرا: لا يوجد حكم ، ولكن لا تدفع إذا كان بإمكانك تجنب ذلك.

---

بطة.   نعم ، أعتقد أننا ملزمون نوعًا ما بقول ذلك.

لأن دفع الأموال الموجة التالية من الجرائم الإلكترونية ، وقت كبير ، بالتأكيد.

وثانياً ، قد لا تحصل على ما تدفعه مقابل.

---

دوغ.   حسنًا ، دعنا ننتقل من مشروع إجرامي إلى آخر.

وهذا ما يحدث عندما تستخدم مؤسسة إجرامية كل شيء الأداة والتقنية والإجراءات في هذا الكتاب!

الفدراليون يحذرون من الهيجان الصحيح لبرامج الفدية الملكية التي تدير سلسلة كاملة من TTPs

---

بطة.   هذا من CISA - الولايات المتحدة وكالة الأمن السيبراني وأمن البنية التحتية.

وفي هذه الحالة ، في نشرة AA23 (هذا العام) ، شرطة 061A-for-alpha ، يتحدثون عن عصابة تسمى Royal ransomware.

ملكي برأس مال R ، دوغ.

الشيء السيئ في هذه العصابة هو أن أدواتهم وتقنياتهم وإجراءاتهم يبدو أنها "تصل إلى وتشمل كل ما هو ضروري للهجوم الحالي".

إنهم يرسمون بفرشاة عريضة جدًا ، لكنهم يهاجمون أيضًا بمجرفة عميقة جدًا ، إذا كنت تعرف ما أعنيه.

هذه هي الأخبار السيئة.

والخبر السار هو أن هناك الكثير لتتعلمه ، وإذا كنت تأخذ كل شيء على محمل الجد ، فسيكون لديك حماية واسعة جدًا من هجمات الفدية ، وليس فقط ما ذكرته في قسم Doppelpaymer: "Don" ر فقط ركز على برامج الفدية ".

تقلق بشأن كل الأشياء الأخرى التي تؤدي إلى ذلك: keylogging؛ سرقة البيانات زرع الباب الخلفي سرقة كلمة السر.

---

دوغ.   حسنًا ، بول ، دعنا نلخص بعض النقاط السريعة من نصيحة CISA ، بدءًا من: ينفصل هؤلاء المحتالون عن طرق مجربة وموثوقة.

---

بطة.   إنهم يفعلون!

تشير إحصائيات CISA إلى أن هذه العصابة المعينة تستخدم التصيد الاحتيالي القديم الجيد ، والذي نجح في ثلثي الهجمات.

عندما لا يعمل ذلك بشكل جيد ، فإنهم يبحثون عن أشياء غير مصححة.

أيضًا ، في 1/6 من الحالات ، لا يزال بإمكانهم الدخول في استخدام RDP ... هجمات RDP القديمة الجيدة.

لأنهم يحتاجون فقط إلى خادم واحد قد نسيته.

وأيضًا ، بالمناسبة ، أفادت CISA أنه بمجرد دخولهم ، حتى لو لم يستخدموا RDP ، يبدو أنهم ما زالوا يجدون أن الكثير من الشركات لديها سياسة أكثر ليبرالية حول الوصول إلى RDP * داخل * شبكتهم.

[يضحك] من يحتاج إلى نصوص برمجية PowerShell معقدة حيث يمكنك فقط الاتصال بجهاز كمبيوتر شخص آخر والتحقق من ذلك على شاشتك الخاصة؟

---

دوغ.   بمجرد الدخول ، يحاول المجرمون تجنب البرامج التي قد تظهر بوضوح كبرامج ضارة.

يُعرف هذا أيضًا باسم "العيش خارج الأرض".

---

بطة.   إنهم لا يقولون فقط ، "حسنًا ، لنستخدم برنامج Microsoft Sysinternal's PsExec ، ولنستخدم هذا البرنامج النصي الشهير PowerShell.

لديهم أي عدد من الأدوات ، للقيام بأي عدد من الأشياء المختلفة المفيدة للغاية ، من الأدوات التي تكتشف أرقام IP ، إلى الأدوات التي تمنع أجهزة الكمبيوتر من النوم.

جميع الأدوات التي قد يمتلكها مسؤول النظام المطلع جيدًا ويستخدمها بانتظام.

وبصورة فضفاضة ، هناك جزء واحد فقط من البرامج الضارة الخالصة التي يجلبها هؤلاء المحتالون ، وهذه هي الأشياء التي تؤدي إلى التدافع النهائي.

بالمناسبة ، لا تنس أنه إذا كنت مجرمًا لبرامج الفدية ، فلن تحتاج حتى إلى إحضار مجموعة أدوات التشفير الخاصة بك.

يمكنك ، إذا أردت ، استخدام برنامج مثل WinZip أو 7-Zip ، على سبيل المثال ، يتضمن ميزة "إنشاء أرشيف ، ونقل الملفات فيه ،" (مما يعني حذفها بمجرد وضعها في الأرشيف) ، "وتشفيرها بكلمة مرور."

طالما أن المحتالين هم الأشخاص الوحيدون الذين يعرفون كلمة المرور ، فلا يزال بإمكانهم عرض إعادة بيعها لك ...

---

دوغ.   وفقط لإضافة القليل من الملح إلى الجرح: قبل خلط الملفات ، يحاول المهاجمون تعقيد طريقك إلى الاسترداد.

---

بطة.   من يدري ما إذا قاموا بإنشاء حسابات مشرف سرية جديدة؟

خوادم عربات التي تجرها الدواب المثبتة عمدا؟

أزلت البقع عن عمد حتى يعرفوا طريقة للعودة في المرة القادمة؟

راصدات لوحة المفاتيح اليسرى مستلقية ، حيث سيتم تنشيطها في وقت ما في المستقبل وتتسبب في بدء متاعبك من جديد؟

وهم يفعلون ذلك لأنه من مصلحتهم أنه عندما تتعافى من هجوم فدية ، فإنك لا تتعافى تمامًا.

---

دوغ.   حسنًا ، لدينا بعض الروابط المفيدة في أسفل المقالة.

رابط واحد سيأخذك لمعرفة المزيد عن تمكنت Sophos من الكشف والاستجابة [MDR] وآخر يقودك إلى دليل الخصم النشط، وهي قطعة قام بتجميعها جون شيير.

بعض النصائح والأفكار التي يمكنك استخدامها لتعزيز حمايتك بشكل أفضل.

اعرف عدوك! تعرف على كيفية دخول أعداء الجرائم الإلكترونية ...

---

بطة.   هذا مثل نسخة التعريف من تقرير CISA "Royal ransomware".

إنها حالات لم يدرك فيها الضحية أن المهاجمين كانوا في شبكتهم حتى فوات الأوان ، ثم اتصلوا بـ Sophos Rapid Response وقال ، "أوه جولي ، نعتقد أننا تعرضنا لبرامج الفدية ... ولكن ماذا حدث أيضًا؟ "

وهذا ما وجدناه بالفعل ، في الحياة الواقعية ، عبر مجموعة واسعة من الهجمات من قبل مجموعة من المحتالين غير المرتبطين في كثير من الأحيان.

لذلك فهو يمنحك فكرة واسعة جدًا عن مجموعة TTPs (الأدوات والتقنيات والإجراءات) التي يجب أن تكون على دراية بها والتي يمكنك الدفاع عنها.

لأن الخبر السار هو أنه من خلال إجبار المحتالين على استخدام كل هذه الأساليب المنفصلة ، بحيث لا يقوم أحد منهم بإطلاق إنذار هائل من تلقاء نفسه ...

... أنت تمنح نفسك فرصة قتال لاكتشافها مبكرًا ، إذا كنت فقط [أ] تعرف مكان البحث و [ب] يمكنك إيجاد الوقت للقيام بذلك.

---

دوغ.   جيدة جدا.

ولدينا تعليق من القراء على هذه المقالة.

يسأل قارئ الأمن العاري آندي:

كيف تتراكم حزم Sophos Endpoint Protection ضد هذا النوع من الهجوم؟

لقد رأيت بنفسي مدى جودة حماية الملفات من برامج الفدية الضارة ، ولكن إذا تم تعطيلها قبل بدء التشفير ، فنحن نعتمد على الحماية ضد العبث ، على ما أعتقد ، في الغالب؟

---

بطة.   حسنًا ، أتمنى ألا!

آمل ألا يذهب عميل حماية Sophos ، "حسنًا ، لنشغل فقط الجزء الصغير من المنتج الموجود لحمايتك كنوع من Last Chance saloon ... ما نسميه CryptoGuard.

هذه هي الوحدة التي تقول ، "مرحبًا ، شخص ما أو شيء ما يحاول خلط عدد كبير من الملفات بطريقة قد تكون برنامجًا أصليًا ، ولكنها لا تبدو صحيحة."

لذا ، حتى لو كان ذلك شرعيًا ، فمن المحتمل أن يفسد الأمور ، لكن من شبه المؤكد أن شخصًا ما يحاول إلحاق الأذى بك.

---

دوغ.   نعم ، تشبه CryptoGuard الخوذة التي ترتديها وأنت تحلق فوق مقود دراجتك.

أصبحت الأمور خطيرة جدًا إذا بدأت CryptoGuard في العمل!

---

بطة.   تحتوي معظم المنتجات ، بما في ذلك Sophos هذه الأيام ، على عنصر الحماية ضد العبث الذي يحاول المضي قدمًا خطوة إلى الأمام ، بحيث يتعين على المسؤول حتى القفز عبر الأطواق لإيقاف تشغيل أجزاء معينة من المنتج.

هذا يجعل من الصعب القيام بذلك على الإطلاق ، ويصعب أتمتة إيقاف تشغيله للجميع.

لكن عليك التفكير في الأمر ...

إذا دخل المخترقون الإلكترونيون إلى شبكتك ، وكان لديهم حقًا "تكافؤ مسؤول النظام" على شبكتك ؛ إذا تمكنوا من الحصول بشكل فعال على نفس الصلاحيات التي يتمتع بها مسؤولو النظام العاديون لديك (وهذا هو هدفهم الحقيقي ؛ هذا ما يريدونه حقًا) ...

بالنظر إلى أن مسؤولي النظام الذين يديرون منتجًا مثل Sophos يمكنهم تكوين الإعدادات المحيطة وفك تكوينها وضبطها ...

... ثم إذا كان المحتالون * هم * مدراء نظام ، فهذا يشبه إلى حد ما أنهم قد فازوا بالفعل.

ولهذا السبب تحتاج إلى العثور عليهم مقدمًا!

لذلك نجعل الأمر صعبًا قدر الإمكان ، ونوفر أكبر عدد ممكن من طبقات الحماية ، ونأمل أن نحاول إيقاف هذا الشيء قبل أن يأتي.

وبينما نحن بصدد ذلك ، دوغ (لا أريد أن يبدو هذا وكأنه بائع مبيعات ، لكنه مجرد ميزة لبرنامجنا أحبها) ...

لدينا ما أسميه عنصر "الخصم النشط"!

بعبارة أخرى ، إذا اكتشفنا سلوكًا على شبكتك يشير بقوة إلى أشياء ، على سبيل المثال ، لن يفعلها مسؤولو النظام لديك تمامًا ، أو لن يفعلوها بهذه الطريقة تمامًا ...

... "العدو النشط" يقول ، "أتعلم ماذا؟ في الوقت الحالي فقط ، سنقوم بزيادة الحماية إلى مستويات أعلى مما قد تتحمله عادة ".

وهذه ميزة رائعة لأنها تعني ، إذا دخل محتالون إلى شبكتك وبدأوا في محاولة القيام بأشياء غير مرغوب فيها ، فلا داعي للانتظار حتى تلاحظ و * ثم * تقرر ، "ما هي الأوجه التي يجب تغييرها؟"

دوغ ، كان ذلك بالأحرى إجابة طويلة على سؤال بسيط على ما يبدو.

لكن دعني أقرأ فقط ما كتبته في ردي على التعليق على Naked Security:

هدفنا هو أن نكون متيقظين طوال الوقت ، وأن نتدخل في أقرب وقت ممكن ، بشكل تلقائي ، بأمان وحسم قدر الإمكان - لجميع أنواع الهجمات الإلكترونية ، وليس فقط برامج الفدية.

---

دوغ.   حسنًا ، حسنًا!

شكرا جزيلا لك يا آندي لإرسال ذلك.

إذا كانت لديك قصة مثيرة للاهتمام أو تعليق أو سؤال ترغب في إرساله ، فنحن نحب قراءته في البودكاست.

يمكنك إرسال بريد إلكتروني إلى tips@sophos.com أو التعليق على أي من مقالاتنا أو مراسلتنا على مواقع التواصل الاجتماعي:NakedSecurity.

هذا هو عرضنا لهذا اليوم. شكرا جزيلا على الاستماع.

بالنسبة لبول دوكلين ، أنا دوغ آموث ، لتذكيرك. حتى في المرة القادمة ، إلى ...

---

على حد سواء.   كن آمنا!

[مودم موسيقي]