S3 Ep125: وقتی سخت افزار امنیتی دارای حفره های امنیتی است [صوت + متن]

پخش کننده صوتی زیر نیست؟ گوش بده مستقیما در Soundcloud

دوغ.   باج افزار، باج افزار بیشتر و آسیب پذیری های TPM.

همه اینها و بیشتر در پادکست Naked Security.

[مودم موزیکال]

به پادکست خوش آمدید، همه.

من داگ آموت هستم. او پل داکلین است.

پل، امروز چطوری؟

---

اردک.   برف و برف، داگ.

بنابراین یک سواری سرد به داخل استودیو بود.

من از نقل قول های هوا استفاده می کنم... نه برای «سوار»، برای «استودیو».

این واقعا یک استودیو نیست، اما استودیوی *من* است!

یک فضای مخفی کوچک در Sophos HQ برای ضبط پادکست.

و اینجا دوست داشتنی و گرم است، داگ!

---

دوغ.   بسیار خوب، اگر کسی گوش می دهد... برای یک تور به آنجا بروید. پل خوشحال خواهد شد که این مکان را به شما نشان دهد.

و من خیلی هیجان زده هستم این هفته در تاریخ فناوری، پل.

این هفته در 06 مارس 1992، ویروس غیرفعال بخش بوت میکل آنژ جان گرفت و بخش هایی از هارد دیسک قربانیان خود را بازنویسی کرد.

مطمئناً این به معنای پایان جهان برای رایانه‌ها در همه جا بود، زیرا رسانه‌ها برای هشدار به مردم از عذاب قریب‌الوقوع خود را زیر پا گذاشتند؟

با این حال، با توجه به گزارش کنفرانس ویروس بولتن 1994، و من نقل می کنم:

پل داکلین، سخنران پرانرژی و سرگرم کننده، قاطعانه معتقد است که از بسیاری جهات، تلاش برای آموزش توسط شرکت ها و رسانه ها هدف خود را از دست داده است..

پل، تو آنجا بودی، مرد!

---

اردک.   من بودم داگ

از قضا، 6 مارس روزی بود که میکل آنژ ویروسی نبود.

همه روزهای دیگر، به سادگی مانند آتش سوزی گسترش یافت.

اما در 06 مارس، گفت: «آها! روز بار است!»

و روی یک هارد دیسک، از 256 تراک اول، 4 هد اول، 17 سکتور در هر تراک عبور می کند... که تقریباً "گوشه سمت چپ پایین" بود، اگر دوست داشته باشید، هر صفحه از اکثر هارد دیسک های مورد استفاده. در آن زمان

بنابراین، یک قطعه 8.5 مگابایتی از هارد دیسک شما می گیرد.

این نه تنها داده های زیادی را از بین می برد، بلکه مواردی مانند جداول تخصیص فایل را خراب می کند.

بنابراین می‌توانید برخی از داده‌ها را بازیابی کنید، اما برای تک تک دستگاه‌هایی که می‌خواستید امتحان کنید و بازیابی کنید، این یک تلاش بزرگ و نامشخص بود.

برای کامپیوتر دوم به همان اندازه که برای کامپیوتر اول بود، برای کامپیوتر سوم به همان اندازه که برای کامپیوتر دوم کار شد... خودکار کردن بسیار بسیار سخت است.

خوشبختانه همانطور که می گویید در رسانه ها خیلی زیاد منتشر شد.

در واقع، درک من این است که این ویروس برای اولین بار توسط مرحوم راجر ریوردان، که یک محقق معروف آنتی ویروس استرالیایی در دهه 1990 بود، تجزیه و تحلیل شد و او در فوریه 1991 با آن مواجه شد.

و او داشت با یکی از دوستانش صحبت می کرد، به اعتقاد من، در مورد آن، و دوستش گفت: "اوه، 6 مارس، این روز تولد من است. آیا می دانستی که این روز تولد میکل آنژ است؟

چون حدس می‌زنم افرادی که در 6 مارس به دنیا آمده‌اند ممکن است اتفاقاً بدانند که…

البته خیلی اسم مد روز و باحالی بود... و یک سال بعد که فرصت انتشار پیدا کرد و به قول شما اغلب خوابیده بود، آن موقع بود که دوباره برگشت.

همانطور که به نظر می رسید رسانه ها می ترسیدند، و همانطور که مرحوم جان مک آفی دوست داشت بگوید، به میلیون ها کامپیوتر ضربه نخورد، اما این برای هر کسی که ضربه خورده است، راحت است، زیرا شما تقریباً همه چیز را از دست داده اید.

نه کاملاً همه چیز، اما برای بازگرداندن مقداری از آن به شما هزینه کمی می‌برد... احتمالاً ناقص، احتمالاً غیرقابل اعتماد.

و بدی آن این بود که چون روی فلاپی دیسک پخش شد. و چون در بخش بوت گسترش یافت. و به این دلیل که در آن روزها تقریباً هر رایانه ای از درایو فلاپی بوت می شد اگر به سادگی یک دیسک در آن وجود داشت. و چون حتی در غیر این صورت دیسکت‌های خالی دارای بخش بوت بودند و هر کدی که در آن وجود داشت اجرا می‌شد، حتی اگر تمام آن چیزی که منجر به یک خطای دیسک یا دیسک غیر سیستمی می‌شد، جایگزین و دوباره امتحان کنید.

…در آن زمان خیلی دیر شده بود.

بنابراین، اگر به اشتباه دیسکی را در درایو رها کردید، صبح روز بعد وقتی آن را روشن کردید، تا زمانی که پیام «دیسک غیر سیستمی یا خطای دیسک» را دیدید، فکر کردید: «اوه، فلاپی را پاپ خواهم کرد. بیرون بیاورید و از هارد دیسک راه اندازی مجدد کنید”…

... در آن زمان، ویروس از قبل روی هارد دیسک شما قرار داشت و به هر فلاپی که داشتید پخش می شد.

بنابراین، حتی اگر ویروس را داشتید و سپس آن را حذف می‌کردید، اگر تمام مخفیگاه‌های فلاپی دیسک‌های شرکت خود را بررسی نمی‌کردید، یک Typhoid Mary وجود داشت که می‌توانست آن را در هر زمانی دوباره معرفی کند.

---

دوغ.   یک داستان جذاب وجود دارد.

خوشحالم که آنجا بودید تا کمی به تمیز کردن آن کمک کنید!

و بیایید یک چیز دیگر را پاک کنیم.

این ماژول پلتفرم مورد اعتماد… گاهی اوقات بحث برانگیز است.

وقتی کد مورد نیاز برای محافظت از ماشین شما، خودش باشد چه اتفاقی می افتد اسیب پذیر، پل؟

امنیت جدی: TPM 2.0 vulns - آیا داده های فوق امن شما در معرض خطر است؟

---

اردک.   اگر می‌خواهید کل این TPM را درک کنید، که ایده‌ای عالی به نظر می‌رسد، درست است... این تخته کوچک کوچک وجود دارد که آن را به یک شکاف کوچک کوچک روی مادربرد خود وصل می‌کنید (یا شاید از پیش ساخته شده باشد)، و یکی دارد. تراشه کمک پردازنده کوچک کوچک که فقط این کار رمزنگاری هسته ای را انجام می دهد.

بوت امن؛ امضای دیجیتال؛ ذخیره سازی قوی برای کلیدهای رمزنگاری… بنابراین ذاتا ایده بدی نیست.

مشکل این است که تصور می کنید، چون دستگاه بسیار کوچکی است و به تازگی این کد اصلی را وارد کرده است، مطمئناً حذف آن و ساده کردن آن بسیار آسان است؟

خوب، فقط مشخصات ماژول پلتفرم مورد اعتماد یا TPM ... آنها در مجموع دارند: 306 صفحه، 177 صفحه، 432 صفحه، 498 صفحه، 146 صفحه، و پسر بد بزرگ در پایان، "قسمت چهارم: روال های پشتیبانی - کد»، جایی که اشکالات، 1009 صفحه PDF، داگ.

---

دوغ.   [می خندد] کمی مطالعه کنید!

---

اردک.   [آه] فقط کمی خواندن.

بنابراین، کار زیادی وجود دارد. و جای زیادی برای اشکالات.

و جدیدترین‌ها... خوب، تعداد زیادی هستند که در آخرین اشتباه ذکر شده‌اند، اما دو تا از آنها در واقع اعداد CVE را دریافت کردند.

CVE-2023-1017 و CVE-2023-1018 وجود دارد.

و متأسفانه، آنها باگ‌ها، آسیب‌پذیری‌هایی هستند که می‌توان با دستوراتی که یک برنامه فضای کاربر معمولی ممکن است از آن استفاده کند، غلغلک داد (یا به آنها دسترسی پیدا کرد، مانند چیزی که ممکن است یک sysadmin یا خودتان اجرا کنید، فقط برای اینکه از TPM بخواهید انجام دهد). چیزی امن برای شما

بنابراین می‌توانید کارهایی مانند، بگویید: «هی، برو و تعدادی اعداد تصادفی برای من بیاور. برو و برای من یک کلید رمزنگاری بساز. برو و این امضای دیجیتال را تأیید کن.»

و اگر این کار در یک پردازنده کوچک مجزا انجام شود که توسط CPU یا سیستم عامل نمی توان آن را خراب کرد بسیار خوب است - این یک ایده عالی است.

اما مشکل اینجاست که در کد حالت کاربر که می‌گوید «این دستوری است که من به شما ارائه می‌دهم»…

... متأسفانه، باز کردن پارامترهایی که برای انجام عملکرد مورد نظر شما ارسال می شوند - اگر روشی را که آن پارامترها به TPM تحویل داده می شوند را تله کنید، می توانید آن را فریب دهید یا حافظه اضافی را بخواند (سرریز خواندن بافر)، یا بدتر از آن، بازنویسی چیزهایی که به طور معمول متعلق به پسر بعدی است.

به سختی می توان دید که چگونه می توان از این اشکالات برای مواردی مانند اجرای کد در TPM سوء استفاده کرد (اما همانطور که بارها گفته ایم، "هرگز نگو هرگز").

اما مطمئناً واضح است که وقتی با چیزی سروکار دارید که همانطور که در ابتدا گفتید، "شما به این نیاز دارید تا رایانه خود را ایمن تر کنید. همه چیز در مورد صحت رمزنگاری است”…

... ایده ای که چیزی حتی دو بایت از داده های مخفی گرانبهای دیگران را درز کند که هیچ کس در جهان قرار نیست آن را بداند؟

ایده نشت داده، چه رسد به سرریز نوشتن بافر در ماژولی مانند آن، در واقع بسیار نگران کننده است.

پس این همان چیزی است که باید وصله کنید.

و متأسفانه، سند اشتباه نمی‌گوید: «در اینجا اشکالات وجود دارد. در اینجا این است که چگونه آنها را وصله می کنید."

فقط شرحی از اشکالات و توضیحی در مورد اینکه چگونه باید کد خود را اصلاح کنید وجود دارد.

بنابراین احتمالاً هر کسی این کار را به روش خود انجام خواهد داد، و سپس آن تغییرات به پیاده‌سازی مرجع مرکزی فیلتر می‌شوند.

خبر خوب این است که پیاده سازی TPM مبتنی بر نرم افزار وجود دارد [libtpms] برای افرادی که ماشین‌های مجازی را اجرا می‌کنند... آنها قبلاً نگاهی انداخته‌اند، و به برخی از اصلاحات رسیده‌اند، بنابراین این یک مشکل است. جای خوبی برای شروع.

---

دوغ.   دوست داشتني.

در این مدت، با فروشندگان سخت افزار خود چک کنید و ببینید آیا به روز رسانی برای شما دارند یا خیر.

---

اردک.   بله.

---

دوغ.   ما... به روزهای اولیه باج‌افزار، که مملو از اخاذی بود، می‌رویم و سپس با «اخاذی مضاعف» همه چیز پیچیده‌تر شد.

و تعداد زیادی از مردم به تازگی بوده اند بازداشت شد در یک طرح اخاذی مضاعف که خبر خوبی است!

باج افزارهای DoppelPaymer در آلمان و اوکراین دستگیر شدند

---

اردک.   بله، این یک باج افزار باج افزار معروف به DoppelPaymer است. («دوپل» به معنای دو برابر به زبان آلمانی.)

بنابراین ایده این است که این یک ضربه دوگانه است.

اینجاست که همه فایل‌های شما را درهم می‌زنند و می‌گویند، «کلید رمزگشایی را به شما می‌فروشیم. و به هر حال، فقط در صورتی که فکر می‌کنید نسخه‌های پشتیبان شما درست می‌شوند، یا فقط در صورتی که می‌خواهید به ما بگویید گم شوید و پول را به ما نپردازید، فقط توجه داشته باشید که ابتدا همه فایل‌های شما را دزدیده‌ایم. ”

بنابراین، اگر پرداخت نکنید و خودتان *بتوانید* رمزگشایی کنید و *بتوانید* کسب و کار خود را ذخیره کنید... ما اطلاعات شما را فاش خواهیم کرد."

خبر خوب در این پرونده این است که برخی مظنونان مورد بازجویی و دستگیری قرار گرفته و بسیاری از وسایل الکترونیکی نیز کشف و ضبط شده است.

بنابراین حتی اگر بخواهید این آرامش سردی برای افرادی است که در آن روز از حملات DoppelPaymer رنج می‌بردند، حداقل به این معنی است که مجری قانون فقط زمانی که به نظر می‌رسد سایبرگنگ‌ها سر خود را پایین می‌اندازند، تسلیم نمی‌شوند.

آنها ظاهراً تنها در ایالات متحده 40 میلیون دلار باج خواهی دریافت کردند.

و آنها بدنام به دنبال بیمارستان دانشگاه در دوسلدورف در آلمان رفتند.

اگر نقطه پایینی در باج افزار وجود دارد…

---

دوغ.   به طور جدی!

---

اردک.   ... نه اینکه خوب است که کسی ضربه بخورد، بلکه این ایده که شما واقعاً یک بیمارستان، به ویژه یک بیمارستان آموزشی را بیرون می آورید؟

حدس می‌زنم که این پایین‌ترین از پایین‌ترین باشد، اینطور نیست؟

---

دوغ.   و ما توصیه هایی داریم.

فقط به این دلیل که این مظنونان دستگیر شده اند: حفاظت خود را به عقب نگیرید.

---

اردک.   نه، در واقع، یوروپل به قول خود اعتراف می‌کند که «طبق گزارش‌ها، Doppelpaymer از آن زمان [به عنوان یک باج افزار باج‌افزار] به نام «Grief» تغییر نام داد.»

بنابراین مشکل اینجاست که وقتی برخی از افراد را در یک سایبرگ شکست می دهید، ممکن است همه سرورها را پیدا نکنید…

...اگر سرورها را تصاحب کنید، لزوماً نمی توانید به سمت افراد معکوس کار کنید.

این یک فرورفتگی ایجاد می کند، اما به این معنی نیست که باج افزار تمام شده است.

---

دوغ.   و در آن نقطه: فقط روی باج افزار متمرکز نشوید.

---

اردک.   در واقع!

من فکر می کنم که باندهایی مانند DoppelPaymer این را کاملاً روشن می کنند، اینطور نیست؟

تا زمانی که آنها می آیند فایل های شما را درهم می کشند، قبلا آنها را دزدیده اند.

بنابراین، زمانی که شما واقعاً بخش باج‌افزار را دریافت می‌کنید، آن‌ها قبلاً N عنصر دیگر جنایت سایبری را انجام داده‌اند: نفوذ. نگاه کردن به اطراف؛ احتمالاً چند درب پشتی باز می‌کند تا بتوانند بعداً به داخل بازگردند یا دسترسی را به فرد بعدی بفروشند. و غیره

---

دوغ.   که با توصیه بعدی همراه است: منتظر ورود هشدارهای تهدید به داشبورد خود نباشید.

بسته به بلوغ سازمان، گفتن این کار ساده تر از انجام آن است.

اما کمک در دسترس است!

---

اردک.   [می‌خندد] فکر می‌کردم می‌خواهید ذکر کنید شناسایی و پاسخ مدیریت شده Sophos برای لحظه ای آنجا، داگ.

---

دوغ.   سعی میکردم نفروشمش

اما ما می توانیم کمک کنیم!

مقداری کمک وجود دارد. به ما اطلاع دهید.

---

اردک.   به زبان ساده، هر چه زودتر به آنجا برسید. هر چه زودتر متوجه شوید؛ امنیت پیشگیرانه شما فعال تر است…

... کمتر احتمال دارد که هر کلاهبردار بتواند تا حد یک حمله باج افزار برسد.

و این فقط می تواند چیز خوبی باشد.

---

دوغ.   و نکته آخر: بدون قضاوت، اما اگر می توانید از آن اجتناب کنید، هزینه نکنید.

---

اردک.   بله، من فکر می کنم ما وظیفه داریم این را بگوییم.

زیرا پرداخت وجوه برای موج بعدی جرایم سایبری، مطمئناً زمان بزرگی است.

و ثانیاً ممکن است آنچه را که برای آن پرداخت می کنید دریافت نکنید.

---

دوغ.   خوب، بیایید از یک شرکت جنایی به دیگری برویم.

و این همان چیزی است که زمانی اتفاق می‌افتد که یک شرکت جنایی از همه استفاده کند ابزار، تکنیک و روش در کتاب!

فدرال‌رزروها در مورد باج‌افزارهای سلطنتی که دامنه TTP‌ها را اجرا می‌کنند، هشدار می‌دهند

---

اردک.   این از CISA - ایالات متحده است امنیت سایبری و آژانس امنیت زیرساخت.

و در این مورد، در بولتن AA23 (این سال است) خط تیره 061A-for-alpha، آنها در مورد گروهی به نام باج افزار سلطنتی صحبت می کنند.

رویال با R بزرگ، داگ.

نکته بد در مورد این باند این است که ابزارها، تکنیک ها و روش های آنها به نظر می رسد "تا و شامل هر آنچه برای حمله فعلی لازم است" باشد.

با قلموی خیلی پهن نقاشی می کنند، اما اگر منظورم را بدانید با بیل بسیار عمیق هم حمله می کنند.

این خبر بد است.

خبر خوب این است که چیزهای بسیار زیادی برای یادگیری وجود دارد، و اگر همه را جدی بگیرید، نه تنها در برابر حملات باج‌افزار، بلکه در برابر آنچه قبلاً در بخش Doppelpaymer به آن اشاره کردید، پیشگیری و محافظت بسیار گسترده‌ای خواهید داشت: فقط روی باج افزار متمرکز نشوید.»

نگران همه چیزهای دیگری باشید که منجر به آن می شود: keylogging. سرقت اطلاعات؛ کاشت درب پشتی; سرقت رمز عبور

---

دوغ.   بسیار خب، پل، بیایید برخی از نکات اولیه توصیه CISA را خلاصه کنیم و با این موارد شروع کنیم: این کلاهبرداران با استفاده از روش‌های آزموده‌شده و قابل اعتماد شکست می‌خورند.

---

اردک.   انجام می دهند!

آمار CISA نشان می دهد که این باند خاص از فیشینگ خوب قدیمی استفاده می کند که در 2/3 حملات موفق بوده است.

وقتی خوب کار نمی کند، به دنبال چیزهای بدون وصله می گردند.

همچنین، در 1/6 موارد، آنها هنوز هم می‌توانند با استفاده از RDP... حملات RDP قدیمی خوب را وارد کنند.

زیرا آنها فقط به یک سرور نیاز دارند که شما آن را فراموش کرده اید.

و همچنین، به هر حال، CISA گزارش داد که به محض ورود به داخل، حتی اگر از RDP استفاده نکرده باشند، به نظر می رسد که هنوز در می یابند که بسیاری از شرکت ها سیاست نسبتاً آزادتری در مورد دسترسی به RDP دارند * داخل* شبکه آنها.

[می‌خندد] چه کسی به اسکریپت‌های پیچیده PowerShell نیاز دارد تا بتوانید به رایانه شخص دیگری متصل شوید و آن را روی صفحه نمایش خود بررسی کنید؟

---

دوغ.   به محض ورود، مجرمان سعی می کنند از برنامه هایی که به وضوح ممکن است به عنوان بدافزار نشان داده شوند، اجتناب کنند.

این همچنین به عنوان "زندگی در زمین" شناخته می شود.

---

اردک.   آنها فقط نمی گویند: "اوه خوب، بیایید از برنامه PsExec مایکروسافت Sysinternal استفاده کنیم و از این یک اسکریپت محبوب PowerShell استفاده کنیم.

آنها ابزارهای مختلفی دارند، برای انجام کارهای مختلفی که بسیار مفید هستند، از ابزارهایی که شماره IP را پیدا می کنند تا ابزارهایی که مانع از خوابیدن رایانه ها می شوند.

همه ابزارهایی که یک sysadmin آگاه ممکن است به خوبی داشته باشد و به طور منظم از آنها استفاده کند.

و به زبان ساده، تنها یک بیت بدافزار خالص وجود دارد که این کلاهبرداران وارد می‌کنند، و این چیزهایی است که درهم‌کاری نهایی را انجام می‌دهد.

به هر حال، فراموش نکنید که اگر شما یک جنایتکار باج افزار هستید، حتی نیازی به همراه داشتن جعبه ابزار رمزگذاری خود ندارید.

در صورت تمایل می‌توانید از برنامه‌ای مانند WinZip یا 7-Zip استفاده کنید که شامل ویژگی «ایجاد بایگانی، انتقال فایل‌ها به داخل» است (به این معنی که پس از قرار دادن آنها در بایگانی، آنها را حذف کنید). و آنها را با رمز عبور رمزگذاری کنید.

تا زمانی که کلاهبرداران تنها افرادی هستند که رمز عبور را می دانند، همچنان می توانند پیشنهاد فروش آن را به شما بدهند…

---

دوغ.   و فقط برای اضافه کردن کمی نمک به زخم: قبل از درهم‌سازی فایل‌ها، مهاجمان سعی می‌کنند مسیر شما را برای بازیابی پیچیده‌تر کنند.

---

اردک.   چه کسی می داند که آیا آنها حساب های مدیریت مخفی جدید ایجاد کرده اند؟

سرورهای باگی عمدی نصب شده اند؟

وصله‌ها را عمداً حذف کرده‌اید تا راهی برای بازگشت به دفعه بعد بدانند؟

کی لاگرهای چپ پشت سر، جایی که در لحظه‌ای در آینده فعال می‌شوند و باعث می‌شوند مشکل شما دوباره شروع شود؟

و آنها این کار را انجام می دهند زیرا این به نفع آنهاست که وقتی پس از یک حمله باج افزار بهبود می یابند، به طور کامل بازیابی نمی شوند.

---

دوغ.   بسیار خوب، ما چند لینک مفید در انتهای مقاله داریم.

پیوندی که شما را به یادگیری بیشتر در مورد آن می برد شناسایی و پاسخ مدیریت شده Sophos [MDR]، و یکی دیگر که شما را به سمت کتاب بازی دشمن فعال، که قطعه ای است که توسط جان شییر خودمان جمع آوری شده است.

برخی نکات اولیه و بینش‌هایی که می‌توانید برای تقویت بهتر محافظت خود استفاده کنید.

دشمنت را بشناس! بیاموزید که چگونه دشمنان جرایم سایبری وارد…

---

اردک.   این مانند یک نسخه متا از آن گزارش "باج افزار سلطنتی" CISA است.

مواردی است که قربانی تا زمانی که خیلی دیر نشده بود متوجه نبود مهاجمان در شبکه آنها هستند، سپس با Sophos Rapid Response تماس گرفت و گفت: "اوه عزیزم، ما فکر می کنیم باج افزار ضربه خورده ایم... اما چه اتفاقی افتاد؟ ”

و این همان چیزی است که ما در زندگی واقعی در طیف وسیعی از حملات توسط طیف وسیعی از کلاهبرداران اغلب نامرتبط یافتیم.

بنابراین ایده بسیار بسیار گسترده ای از طیف TTP ها (ابزارها، تکنیک ها و رویه ها) که باید از آنها آگاه باشید و می توانید در برابر آنها دفاع کنید به شما می دهد.

زیرا خبر خوب این است که با مجبور کردن کلاهبرداران به استفاده از تمام این تکنیک های جداگانه، به طوری که هیچ یک از آنها به تنهایی یک زنگ خطر بزرگ را ایجاد نکند…

...شما به خودتان فرصت مبارزه برای تشخیص زودهنگام آنها را می دهید، اگر فقط شما [A] بدانید کجا را جستجو کنید و [B] بتوانید زمان انجام این کار را پیدا کنید.

---

دوغ.   خیلی خوب.

و ما یک نظر خواننده در مورد این مقاله داریم.

اندی خواننده Naked Security می پرسد:

بسته‌های Sophos Endpoint Protection چگونه در برابر این نوع حملات جمع می‌شوند؟

من از نزدیک دیدم که محافظت از باج افزار فایل چقدر خوب است، اما اگر قبل از شروع رمزگذاری غیرفعال شود، حدس می‌زنم در بیشتر موارد به Protection Tamper تکیه می‌کنیم؟

---

اردک.   خوب، من امیدوارم که نه!

من امیدوارم که یک مشتری Sophos Protection فقط نگوید: «خب، بیایید فقط بخش کوچکی از محصول را اجرا کنیم که برای محافظت از شما به عنوان سالن Last Chance… چیزی که ما CryptoGuard می‌نامیم، اجرا کنیم.

این ماژولی است که می گوید: "هی، کسی یا چیزی در تلاش است تعداد زیادی فایل را به گونه ای درهم کند که ممکن است یک برنامه واقعی باشد، اما درست به نظر نمی رسد."

بنابراین، حتی اگر قانونی باشد، احتمالاً همه چیز را به هم می زند، اما تقریباً مطمئناً کسی سعی دارد به شما آسیب برساند.

---

دوغ.   بله، CryptoGuard مانند کلاه ایمنی است که هنگام پرواز بر روی دسته دوچرخه خود به سر می‌کنید.

اگر CryptoGuard وارد عمل شود، اوضاع بسیار جدی شده است!

---

اردک.   اکثر محصولات، از جمله Sophos این روزها، دارای یک عنصر از Tamper Protection هستند که سعی می کند یک گام جلوتر برود، به طوری که حتی یک مدیر مجبور است از حلقه ها بپرد تا قسمت های خاصی از محصول را خاموش کند.

این باعث می شود که انجام آن به هیچ وجه سخت تر شود، و خودکار کردن آن برای همه سخت تر می شود.

اما باید به آن فکر کرد…

اگر کلاهبرداران سایبری وارد شبکه شما شوند و واقعاً «معادل sysadmin» در شبکه شما داشته باشند. اگر آنها توانسته‌اند به طور مؤثر همان قدرت‌هایی را که Sysadmin‌های عادی شما دارند (و این هدف واقعی آنهاست؛ این همان چیزی است که آنها واقعاً می‌خواهند) را به دست آورند…

با توجه به اینکه sysadmin هایی که محصولی مانند Sophos را اجرا می کنند می توانند تنظیمات محیط را پیکربندی، پیکربندی و تنظیم کنند…

… سپس اگر کلاهبرداران *sysadmin* باشند، به نوعی انگار قبلاً برنده شده اند.

و به همین دلیل است که شما باید آنها را از قبل پیدا کنید!

بنابراین تا جایی که ممکن است آن را سخت می‌کنیم، و تا جایی که می‌توانیم لایه‌های حفاظتی ارائه می‌کنیم، امیدواریم تلاش کنیم و قبل از اینکه وارد شود، جلوی آن را بگیریم.

و درست در حالی که ما در مورد آن هستیم، داگ (من نمی‌خواهم که این شبیه یک schpiel فروش به نظر برسد، اما این فقط یکی از ویژگی‌های نرم‌افزار ما است که بیشتر آن را دوست دارم)…

ما چیزی را داریم که من آن را "دشمن متخاصم فعال" می نامم!

به عبارت دیگر، اگر رفتاری را در شبکه شما تشخیص دهیم که به شدت مواردی را پیشنهاد می‌کند، برای مثال، که sysadmin‌های شما کاملاً انجام نمی‌دهند، یا کاملاً به این روش انجام نمی‌دهند…

... "دشمن فعال" می گوید، "می دانید چیست؟ در حال حاضر، ما حفاظت را به سطوحی بالاتر از آنچه که شما معمولاً تحمل می کنید، افزایش خواهیم داد.»

و این یک ویژگی عالی است زیرا به این معنی است که اگر کلاهبرداران وارد شبکه شما شوند و شروع به انجام کارهای نامطلوب کنند، لازم نیست منتظر بمانید تا متوجه شوید و *سپس* تصمیم بگیرید، "چه شماره‌گیری را تغییر دهیم؟"

داگ، این پاسخ نسبتا طولانی به یک سوال به ظاهر ساده بود.

اما اجازه دهید آنچه را که در پاسخ به نظر در مورد امنیت برهنه نوشتم را بخوانم:

هدف ما این است که همیشه مراقب باشیم، و هر چه زودتر، به‌طور خودکار، ایمن و قاطعانه تا جایی که می‌توانیم مداخله کنیم – برای انواع حملات سایبری، نه فقط باج‌افزار.

---

دوغ.   خوب، خوب گفتی!

خیلی ممنون، اندی، برای ارسال آن.

اگر داستان، نظر یا سوال جالبی دارید که می‌خواهید ارسال کنید، مایلیم آن را در پادکست بخوانید.

می‌توانید به tips@sophos.com ایمیل بزنید، می‌توانید در مورد هر یک از مقاله‌های ما نظر دهید، یا می‌توانید در شبکه‌های اجتماعی به ما ضربه بزنید: @NakedSecurity.

این نمایش امروز ماست. خیلی ممنون که گوش دادید

برای پل داکلین، من داگ آموت هستم که به شما یادآوری می کنم. تا دفعه بعد به…

---

هر دو.   ایمن بمان

[مودم موزیکال]