S3 Ep146: บอกเราเกี่ยวกับการละเมิดนั้น! (ถ้าคุณต้องการ.)

ไม่มีเครื่องเล่นเสียงด้านล่าง? ฟัง โดยตรง บนซาวด์คลาวด์

---

ดั๊ก.  การปรับปรุง Firefox อื่น ๆ ข้อผิดพลาดด้วยชื่อที่น่าประทับใจและ ก.ล.ต. ต้องการให้เปิดเผย

ทั้งหมดนั้นและอีกมากมายในพอดแคสต์ Naked Security

[โมเด็มดนตรี]

ยินดีต้อนรับสู่พอดคาสต์ทุกคน

ฉัน Doug Aamoth; เขาคือพอล ดักคลิน

พอล ฉันหวังว่าคุณจะภูมิใจในตัวฉัน... ฉันรู้ว่าคุณเป็นคนชอบปั่นจักรยาน

เมื่อวานฉันขี่จักรยานเป็นระยะทาง 10 ไมล์ของอเมริกา ซึ่งฉันเชื่อว่าประมาณ 16 กม. โดยทั้งหมดดึงเด็กตัวเล็กแต่ไม่หนักตัวขึ้นหลังจักรยานในรถเข็นสองล้อ

และฉันยังมีชีวิตอยู่เพื่อบอกเล่าเรื่องราว

นั่นเป็นวิธีที่ไกลในการขี่จักรยาน พอล?

---

เป็ด.  [หัวเราะ] ขึ้นอยู่กับว่าคุณต้องการไปไกลแค่ไหน

เช่น ถ้าคุณต้องไป 1200 เมตรจริง ๆ แล้วคุณหลงทาง… [หัวเราะ]

ความกระตือรือร้นในการปั่นจักรยานของฉันมีสูงมาก แต่ก็ไม่ได้หมายความว่าฉันจงใจปั่นให้ไกลกว่าที่จำเป็น เพราะมันคือทางหลักของฉันในการไปไหนมาไหน

แต่ 10 ไมล์ก็โอเค

คุณรู้หรือไม่ว่าไมล์ของอเมริกาและไมล์ของอังกฤษนั้นเหมือนกันจริง ๆ ?

---

ดั๊ก.  เป็นเรื่องที่ดีที่จะรู้!

---

เป็ด.  และนับตั้งแต่ปี 1959 เป็นต้นมา เมื่อหลายๆ ประเทศ ซึ่งรวมถึงแคนาดา แอฟริกาใต้ ออสเตรเลีย สหรัฐอเมริกา และสหราชอาณาจักรรวมตัวกันและตกลงที่จะสร้างมาตรฐานบน "นิ้วสากล"

ฉันคิดว่านิ้วอิมพีเรียลมีขนาดเล็กลงมากและนิ้วอเมริกันยาวขึ้นมากเล็กน้อย ซึ่งส่งผลให้นิ้ว (และดังนั้น หลา เท้า และไมล์)...

…ทั้งหมดถูกกำหนดเป็นหน่วยเมตร

หนึ่งนิ้วเท่ากับ 25.4 มม

ตัวเลขสำคัญสามตัวคือสิ่งที่คุณต้องการ

---

ดั๊ก.  ที่น่าสนใจ!

พูดถึงเรื่องที่น่าสนใจก็ถึงเวลาของเรา สัปดาห์นี้ในประวัติศาสตร์เทคโนโลยี ส่วน

ในสัปดาห์นี้เมื่อวันที่ 01 สิงหาคม พ.ศ. 1981 Music Television หรือที่รู้จักในชื่อ MTV ได้ออกอากาศสดโดยเป็นส่วนหนึ่งของแพ็คเกจเคเบิลทีวีและดาวเทียมของอเมริกา และแนะนำให้สาธารณชนได้รู้จักมิวสิควิดีโอ

คนแรกเล่น [SINGS, RATHER WELL IN FACT] “Video Killed the Radio Star” โดย The Buggles

เหมาะสมแล้ว แม้ว่าในปัจจุบันจะดูน่าขันเพราะ MTV แทบไม่เล่นมิวสิควิดีโออีกต่อไป และไม่เล่นมิวสิควิดีโอใหม่เลย พอล

---

เป็ด.  ใช่ มันเป็นเรื่องน่าขันใช่ไหม เคเบิลทีวี (หรืออีกนัยหนึ่งที่คุณมีสายไฟใต้ดินเข้าไปในบ้านของคุณ) ทำให้วิทยุ (หรือระบบไร้สาย) เสีย และตอนนี้ดูเหมือนว่าเคเบิลทีวี MTV… แบบนั้นเลิกรากันไปเพราะทุกคนมีเครือข่ายมือถือที่ทำงานแบบไร้สาย

อะไรก็เกิดขึ้นได้ ดักลาส

---

ดั๊ก.  เอาล่ะ เรามาพูดถึงการอัปเดต Firefox เหล่านี้กันดีกว่า

เราได้รับการอัปเดต Firefox สองเท่าในเดือนนี้ เนื่องจากเป็นรอบ 28 วัน:

Firefox แก้ไขข้อบกพร่องจำนวนมากในการเปิดตัวครั้งแรกจากสองรายการในเดือนนี้

ไม่มีซีโร่เดย์ในรอบแรกนอกประตู แต่มีช่วงเวลาที่สอนได้

เราได้ระบุรายการเหล่านี้ไว้ครึ่งหนึ่งในบทความของคุณ และรายการที่โดดเด่นสำหรับฉันคือ: ขอบายพาสสิทธิ์ที่เป็นไปได้ผ่าน clickjacking

---

เป็ด.  ใช่ clickjacking แบบเก่าที่ดีอีกครั้ง

ฉันชอบคำนั้นเพราะมันอธิบายว่ามันคืออะไร

คุณคลิกที่ไหนสักแห่งโดยคิดว่าคุณกำลังคลิกปุ่มหรือลิงก์ที่ไร้เดียงสา แต่คุณกำลังอนุญาตให้มีบางสิ่งเกิดขึ้นโดยไม่ได้ตั้งใจซึ่งไม่ชัดเจนจากสิ่งที่หน้าจอแสดงใต้เคอร์เซอร์ของเมาส์

ปัญหาในที่นี้ดูเหมือนว่าในบางกรณี เมื่อไดอะล็อกสิทธิ์กำลังจะเด้งขึ้นมาจาก Firefox เช่น ให้พูดว่า “คุณแน่ใจจริงๆ เหรอว่าต้องการให้เว็บไซต์นี้ใช้กล้องของคุณ? เข้าถึงตำแหน่งของคุณได้หรือไม่ ใช้ไมโครโฟนของคุณหรือไม่”…

…ทุกสิ่งที่คุณอยากจะถาม

เห็นได้ชัดว่า หากคุณนำเบราว์เซอร์ไปยังจุดประสิทธิภาพ (อีกครั้ง ประสิทธิภาพเทียบกับความปลอดภัย) ซึ่งยากที่จะตามให้ทัน คุณอาจชะลอการแสดงป๊อปอัปการอนุญาตได้

แต่ด้วยการมีปุ่มในตำแหน่งที่ป๊อปอัปจะปรากฏขึ้น และล่อให้ผู้ใช้คลิก คุณจะสามารถดึงดูดการคลิกได้ แต่การคลิกจะถูกส่งไปยังกล่องโต้ตอบสิทธิ์ที่คุณยังไม่เคยเห็นมาก่อน

ประเภทของสภาพการแข่งขันที่มองเห็นได้ ถ้าคุณต้องการ

---

ดั๊ก.  ตกลง และอีกอันคือ: แคนวาสนอกจอสามารถข้ามข้อจำกัดข้ามต้นทางได้

คุณพูดต่อไปว่าหน้าเว็บหนึ่งสามารถดูภาพที่แสดงในหน้าอื่นจากไซต์อื่นได้

---

เป็ด.  มันไม่ควรเกิดขึ้นใช่ไหม?

---

ดั๊ก.  ไม่มี!

---

เป็ด.  คำศัพท์เฉพาะสำหรับสิ่งนั้นคือ "นโยบายแหล่งกำเนิดเดียวกัน"

หากคุณใช้งานเว็บไซต์ X และส่ง JavaScript จำนวนมากซึ่งตั้งค่าคุกกี้ทั้งหมดมาให้ฉัน ทั้งหมดนี้จะถูกจัดเก็บไว้ในเบราว์เซอร์

แต่มีเพียง JavaScript เพิ่มเติมจากไซต์ X เท่านั้นที่สามารถอ่านข้อมูลกลับได้

การที่คุณกำลังเรียกดูไซต์ X ในแท็บเดียวและไซต์ Y ในอีกแท็บหนึ่งทำให้พวกเขาไม่สามารถแอบดูว่าอีกแท็บหนึ่งกำลังทำอะไรอยู่ และเบราว์เซอร์ควรจะแยกเนื้อหาทั้งหมดออกจากกัน

เห็นได้ชัดว่าค่อนข้างสำคัญ

และดูเหมือนว่าเท่าที่ฉันเข้าใจ หากคุณกำลังแสดงผลหน้าเว็บที่ยังไม่แสดง...

…ผืนผ้าใบนอกจอ ซึ่งเป็นที่ที่คุณสร้างหน้าเว็บเสมือนจริง ถ้าคุณต้องการ จากนั้นในอนาคต คุณจะพูดว่า “ตอนนี้ฉันพร้อมที่จะแสดงมันแล้ว” และบิงโก หน้าเว็บทั้งหมดจะปรากฏที่ ครั้งหนึ่ง.

ปัญหามาจากการพยายามทำให้แน่ใจว่าสิ่งที่คุณกำลังแสดงผลแบบล่องหนจะไม่ทำให้ข้อมูลรั่วไหลโดยไม่ได้ตั้งใจ แม้ว่าท้ายที่สุดแล้วมันจะไม่ได้แสดงให้ผู้ใช้เห็นก็ตาม

พวกเขาพบเห็นสิ่งนั้น หรือมีการเปิดเผยอย่างมีความรับผิดชอบ และได้รับการแก้ไขแล้ว

และฉันคิดว่าทั้งสองรวมอยู่ในช่องโหว่ที่เรียกว่า "ระดับสูง"

ส่วนอื่น ๆ ส่วนใหญ่เป็น "ปานกลาง" ยกเว้นแบบดั้งเดิมของ Mozilla "เราพบข้อบกพร่องมากมายผ่านการฟัซซิ่งและผ่านเทคนิคอัตโนมัติ เราไม่ได้สำรวจพวกเขาเพื่อดูว่าพวกเขาจะถูกเอารัดเอาเปรียบหรือไม่ แต่เราเต็มใจที่จะถือว่าคนที่พยายามอย่างหนักพอก็สามารถทำเช่นนั้นได้”

นั่นเป็นการยอมรับที่เราทั้งคู่ชอบมาก ดั๊ก… เพราะจุดบกพร่องที่อาจเกิดขึ้นนั้นมีค่าควรแก่การกำจัด แม้ว่าคุณจะรู้สึกมั่นใจในใจว่าจะไม่มีใครรู้วิธีใช้ประโยชน์จากมัน

เพราะในความปลอดภัยทางไซเบอร์ มันจ่ายไม่เคยที่จะพูดว่าไม่!

---

ดั๊ก.  เอาล่ะ คุณกำลังมองหา Firefox 116 หรือถ้าคุณใช้รุ่นขยาย 115.1

เช่นเดียวกับธันเดอร์เบิร์ด

และไปต่อที่… โอ้มนุษย์!

พอล มันน่าตื่นเต้น!

เรามี BWAIN ใหม่หลังจากเพิ่ม BWAIN สองเท่าเมื่อสัปดาห์ที่แล้ว: บั๊กที่มีชื่อที่น่าประทับใจ

ตัวนี้ชื่อ ชน+อำนาจ:

การปะทะกันของประสิทธิภาพและความปลอดภัยอีกครั้งในการโจมตีแบบ “Collide+Power”

---

เป็ด.  [หัวเราะ] ใช่ มันน่าสนใจใช่ไหมที่พวกเขาเลือกชื่อที่มีเครื่องหมายบวก

---

ดั๊ก.  ใช่ นั่นทำให้มันยากที่จะพูด

---

เป็ด.  คุณไม่สามารถมีเครื่องหมายบวกในชื่อโดเมนของคุณได้ ดังนั้นชื่อโดเมนจึงเป็น collidepower.com.

---

ดั๊ก.  เอาล่ะ ให้ฉันอ่านจากตัวนักวิจัยเอง และฉันก็พูดว่า:

ต้นตอของปัญหาคือส่วนประกอบของ CPU ที่ใช้ร่วมกัน เช่น ระบบหน่วยความจำภายใน รวมข้อมูลของผู้โจมตีและข้อมูลจากแอปพลิเคชันอื่น ส่งผลให้เกิดสัญญาณไฟรั่วรวมกันในการใช้พลังงาน

ดังนั้น เมื่อทราบข้อมูลของตนเอง ผู้โจมตีสามารถระบุค่าข้อมูลที่แน่นอนที่ใช้ในแอปพลิเคชันอื่นได้

---

เป็ด.  [หัวเราะ] ใช่ มันสมเหตุสมผลมากถ้าคุณรู้อยู่แล้วว่าพวกเขากำลังพูดถึงอะไร!

เพื่อพยายามอธิบายสิ่งนี้เป็นภาษาอังกฤษธรรมดา (ฉันหวังว่าฉันเข้าใจถูกต้อง)...

สิ่งนี้ลงลึกไปถึงปัญหาด้านประสิทธิภาพเทียบกับปัญหาด้านความปลอดภัยที่เราเคยพูดถึงก่อนหน้านี้ รวมถึง พอดคาสต์ของสัปดาห์ที่แล้ว กับที่ เซนบลีด ข้อบกพร่อง (ซึ่งร้ายแรงกว่ามาก):

Zenbleed: การค้นหาประสิทธิภาพของ CPU อาจทำให้รหัสผ่านของคุณตกอยู่ในความเสี่ยงได้อย่างไร

มีข้อมูลจำนวนมากที่เก็บไว้ภายใน CPU (“แคช” เป็นคำศัพท์ทางเทคนิคสำหรับสิ่งนี้) เพื่อให้ CPU ไม่จำเป็นต้องไปดึงข้อมูลในภายหลัง

มีเรื่องภายในมากมายที่คุณจัดการไม่ได้จริงๆ CPU จะดูแลมันให้คุณ

และหัวใจของการโจมตีนี้ดูเหมือนจะเป็นเช่นนี้ ...

สิ่งที่ผู้โจมตีทำคือเข้าถึงตำแหน่งหน่วยความจำต่างๆ ในลักษณะที่พื้นที่เก็บข้อมูลแคชภายในจำตำแหน่งหน่วยความจำเหล่านั้นได้ ดังนั้น จึงไม่ต้องไปอ่านข้อมูลเหล่านั้นจาก RAM อีกครั้งหากมีการนำกลับมาใช้ใหม่อย่างรวดเร็ว

ดังนั้นผู้โจมตีจะได้รับค่าแคชเหล่านี้ซึ่งเต็มไปด้วยรูปแบบบิตที่ทราบ ค่าข้อมูลที่ทราบ

จากนั้น หากเหยื่อมีหน่วยความจำที่ *พวกเขา* ใช้บ่อย (เช่น ไบต์ในคีย์ถอดรหัส) หาก CPU ตัดสินว่าค่าของหน่วยความจำนั้นมีแนวโน้มว่าจะถูกนำกลับมาใช้ใหม่มากกว่าค่าหนึ่งของผู้โจมตี มันดึงมูลค่าของผู้โจมตีออกจากตำแหน่งแคชที่เร็วมากภายในนั้น และนำมูลค่าใหม่ซึ่งก็คือมูลค่าของเหยื่อไปไว้ในนั้น

และสิ่งที่นักวิจัยเหล่านี้ค้นพบ (และเท่าที่ฟังดูเหมือนการโจมตีในทางทฤษฎีและในทางปฏิบัติ นี่เป็นสิ่งที่น่าอัศจรรย์มากที่ได้ค้นพบ)...

จำนวนบิตที่แตกต่างกันระหว่างค่าเก่าในแคชและค่าใหม่ *เปลี่ยนปริมาณพลังงานที่ต้องใช้ในการดำเนินการอัปเดตแคช*

ดังนั้น หากคุณสามารถวัดการใช้พลังงานของ CPU ได้แม่นยำเพียงพอ คุณสามารถอนุมานได้ว่าค่าข้อมูลใดถูกเขียนลงในหน่วยความจำแคชภายในที่ซ่อนอยู่หรือมองไม่เห็นภายใน CPU ซึ่ง CPU คิดว่าไม่เกี่ยวกับธุรกิจของคุณ

น่าสนใจทีเดียว ดั๊ก!

---

ดั๊ก.  โดดเด่น.

ตกลง มีการบรรเทาผลกระทบบางอย่าง

ส่วนนั้นเริ่มต้นด้วย: “ก่อนอื่น คุณไม่จำเป็นต้องกังวล” แต่ CPU เกือบทั้งหมดได้รับผลกระทบด้วย

---

เป็ด.  ใช่ น่าสนใจใช่มั้ยล่ะ?

มันเขียนว่า “ก่อนอื่น” (ข้อความปกติ) “เธอ" (ในตัวเอน) "ไม่จำเป็นต้องกังวล" (ตัวหนา). [หัวเราะ]

โดยพื้นฐานแล้วจะไม่มีใครโจมตีคุณด้วยสิ่งนี้ แต่บางทีผู้ออกแบบ CPU อาจต้องการคิดถึงเรื่องนี้ในอนาคตหากมีวิธีแก้ไข [หัวเราะ]

ฉันคิดว่ามันเป็นวิธีที่น่าสนใจในการใส่มัน

---

ดั๊ก.  ตกลง ดังนั้นการลดขนาดโดยพื้นฐานแล้วคือการปิดไฮเปอร์เธรด

มันทำงานอย่างไร?

---

เป็ด.  ไฮเปอร์เธรดทำให้สิ่งนี้แย่ลงมากเท่าที่ฉันเห็น

เราทราบดีอยู่แล้วว่าไฮเปอร์เธรดดิ้งเป็นปัญหาด้านความปลอดภัยเนื่องจากมีช่องโหว่มากมายที่ขึ้นอยู่กับช่องโหว่นี้มาก่อน

เป็นที่ที่ CPU ที่มี 16 คอร์กำลังแสร้งทำเป็นว่ามี XNUMX คอร์ แต่จริงๆ แล้วพวกมันไม่ได้อยู่คนละส่วนกันของชิป

พวกมันเป็นคู่ของแกนหลอกเทียมที่ใช้อุปกรณ์อิเล็กทรอนิกส์มากขึ้น ทรานซิสเตอร์มากขึ้น ตัวเก็บประจุมากขึ้น ซึ่งอาจจะเป็นความคิดที่ดีด้วยเหตุผลด้านความปลอดภัย

หากคุณใช้ OpenBSD แบบเก่าที่ดี ฉันคิดว่าพวกเขาตัดสินใจว่าการทำไฮเปอร์เธรดนั้นยากเกินไปที่จะรักษาความปลอดภัยด้วยการลดขนาด ก็อาจปิดได้เช่นกัน

เมื่อถึงเวลาที่คุณได้รับประสิทธิภาพการทำงานที่ต้องการการลดระดับ คุณก็อาจไม่ได้รับมันเช่นกัน

ดังนั้นฉันคิดว่า ปิดไฮเปอร์เธรด จะสร้างภูมิคุ้มกันให้คุณอย่างมากจากการโจมตีนี้

อย่างที่สองที่คุณทำได้คือ อย่างที่ผู้เขียนพูดเป็นตัวหนา: ไม่ต้องกังวล. [เสียงหัวเราะ]

---

ดั๊ก.  นั่นเป็นการบรรเทาที่ยอดเยี่ยม! [หัวเราะ]

---

เป็ด.   มีบิตที่ดี (ฉันต้องอ่านออก Doug)...

มีข้อดีอย่างหนึ่งที่นักวิจัยพบว่าเพื่อให้ได้ข้อมูลที่เชื่อถือได้ พวกเขาได้รับอัตราข้อมูลที่อยู่ระหว่าง 10 บิตถึง 100 บิตต่อชั่วโมงออกจากระบบ

ฉันเชื่อว่าอย่างน้อย CPU ของ Intel มีการลดผลกระทบที่ฉันคิดว่าจะช่วยในเรื่องนี้ได้

และสิ่งนี้นำเรากลับไปที่ MSR การลงทะเบียนเฉพาะรุ่นที่เราพูดถึงเมื่อสัปดาห์ที่แล้วกับ Zenbleed ซึ่งมีบิตวิเศษที่คุณสามารถเปิดใช้งานได้ โดยกล่าวว่า "อย่าทำสิ่งที่เสี่ยง"

มีคุณสมบัติที่คุณสามารถตั้งค่าได้ การกรอง RAPLและ RAPL ย่อมาจาก ใช้ขีดจำกัดพลังงานเฉลี่ย.

ถูกใช้โดยโปรแกรมที่ต้องการดูว่า CPU ทำงานอย่างไรเพื่อวัตถุประสงค์ในการจัดการพลังงาน ดังนั้นคุณจึงไม่ต้องเจาะเข้าไปในห้องเซิร์ฟเวอร์และวางตัวตรวจสอบพลังงานเข้ากับสายที่มีโพรบเล็กๆ บนเมนบอร์ด [หัวเราะ]

คุณสามารถให้ CPU บอกคุณได้ว่ากำลังไฟเท่าไร

อย่างน้อย Intel ก็มีโหมดนี้ที่เรียกว่าการกรอง RAPL ซึ่งทำให้เกิด jitter หรือข้อผิดพลาดโดยเจตนา

ดังนั้นคุณจะได้ผลลัพธ์ที่โดยเฉลี่ยแล้วแม่นยำ แต่ที่การอ่านแต่ละครั้งจะถูกปิด

---

ดั๊ก.  ตอนนี้เรามาสนใจกับข้อตกลง SEC ใหม่นี้กันดีกว่า

คณะกรรมการความปลอดภัยและการแลกเปลี่ยนเรียกร้องให้มีการจำกัดการเปิดเผยสี่วันสำหรับการละเมิดความปลอดภัยทางไซเบอร์:

ก.ล.ต. เรียกร้องให้มีการจำกัดการเปิดเผยข้อมูลเป็นเวลา XNUMX วันสำหรับการละเมิดความปลอดภัยทางไซเบอร์

แต่ (ก) คุณต้องตัดสินใจว่าการโจมตีนั้นร้ายแรงพอที่จะรายงานหรือไม่ และ (ข) ขีดจำกัดสี่วันจะไม่เริ่มต้นจนกว่าคุณจะตัดสินใจว่ามีอะไรสำคัญพอที่จะรายงาน พอล

การเริ่มต้นครั้งแรกที่ดี แต่อาจจะไม่ดุดันเท่าที่เราต้องการ?

---

เป็ด.  ฉันเห็นด้วยกับการประเมินของคุณที่นั่น ดั๊ก

ฟังดูดีมากเมื่อฉันดูครั้งแรก: "เฮ้ คุณได้รับการเปิดเผยสี่วันนี้หากคุณมีการละเมิดข้อมูลหรือปัญหาด้านความปลอดภัยในโลกไซเบอร์"

แต่แล้วก็มีเรื่องประมาณว่า “ก็ต้องถือว่าเป็นปัญหาสำคัญ” ซึ่งเป็นศัพท์ทางกฎหมายที่หมายความว่า จริง ๆ แล้วเรื่องนั้นสำคัญพอที่จะเปิดเผยตั้งแต่แรก

จากนั้นฉันก็มาถึงจุดนั้น (และไม่ใช่ข่าวประชาสัมพันธ์ที่ยาวมากโดย SEC) ที่กล่าวว่า "ทันทีที่คุณตัดสินใจว่าคุณควรรายงานเรื่องนี้จริงๆ คุณยังมีเวลาอีกสี่วัน ให้ไปแจ้งความ”

ตอนนี้ ฉันคิดว่าในทางกฎหมายแล้ว มันไม่ได้ผลเสียทีเดียว ดั๊ก

บางทีเราอาจจะรุนแรงไปหน่อยในบทความ?

---

ดั๊ก.  คุณขยายการโจมตีของแรนซัมแวร์ โดยบอกว่ามีประเภทต่างๆ อยู่สองสามประเภท ดังนั้นเรามาพูดถึงเรื่องนั้นกันดีกว่า... สิ่งสำคัญคือการพิจารณาว่านี่เป็นการโจมตีทางวัตถุที่คุณต้องรายงานหรือไม่

เรากำลังดูแรนซัมแวร์ประเภทไหนอยู่?

---

เป็ด.  ใช่ แค่อธิบาย ฉันคิดว่านั่นเป็นส่วนสำคัญของเรื่องนี้

ไม่ใช่ชี้นิ้วไปที่ ก.ล.ต. แต่นี่เป็นสิ่งที่ดูเหมือนจะไม่ได้รับการเปิดเผยในหลายประเทศหรือหลายประเทศ ...

…ไม่ว่าเพียงแค่ต้องทนทุกข์ทรมานจากการโจมตีของแรนซัมแวร์ก็เพียงพอที่จะเป็นการละเมิดข้อมูลอย่างหลีกเลี่ยงไม่ได้

เอกสาร ก.ล.ต. นี้ไม่ได้กล่าวถึง “R-word” เลย

ไม่มีการกล่าวถึงสิ่งที่เจาะจงเกี่ยวกับแรนซัมแวร์

และแรนซัมแวร์คือปัญหาใช่ไหม

ในบทความนี้ ฉันต้องการทำให้ชัดเจนว่าคำว่า “แรนซัมแวร์” ซึ่งเรายังคงใช้กันอย่างแพร่หลายไม่ใช่คำที่ถูกต้องอีกต่อไป ใช่หรือไม่?

เราน่าจะเรียกมันว่า “แบล็กเมล์แวร์” หรือเรียกง่ายๆ ว่า “การกรรโชกทางไซเบอร์”

ฉันระบุการโจมตีแรนซัมแวร์สามประเภทหลัก

ประเภท A เป็นที่ที่อาชญากรไม่ขโมยข้อมูลของคุณ พวกเขาเพียงแค่ช่วงชิงข้อมูลของคุณในแหล่งกำเนิด

พวกเขาจึงไม่จำเป็นต้องอัปโหลดสิ่งใดเลย

พวกเขาช่วงชิงทั้งหมดในลักษณะที่สามารถให้คีย์ถอดรหัสแก่คุณได้ แต่คุณจะไม่เห็นข้อมูลแม้แต่ไบต์เดียวออกจากเครือข่ายของคุณเป็นสัญญาณที่บ่งบอกว่ามีสิ่งเลวร้ายเกิดขึ้น

จากนั้นก็มีการโจมตีแรนซั่มแวร์ Type B ซึ่งอาชญากรไป "คุณรู้อะไรไหม เราจะไม่เสี่ยงเขียนไฟล์ทั้งหมดและถูกจับได้ว่าทำเช่นนั้น เราแค่จะขโมยข้อมูลทั้งหมด และแทนที่จะจ่ายเงินเพื่อให้ได้ข้อมูลของคุณกลับมา คุณกลับจ่ายเงินให้กับความเงียบของเรา”

และแน่นอนว่ามีการโจมตีแรนซัมแวร์ประเภท C และนั่นคือ: “ทั้ง A และ B”

นั่นคือที่ที่มิจฉาชีพจะขโมยข้อมูลของคุณ *และ* พวกเขาช่วงชิงข้อมูลนั้นและพวกเขาก็พูดว่า “นี่ ถ้าไม่ใช่สิ่งหนึ่งที่จะทำให้คุณเดือดร้อน ก็เป็นอีกสิ่งหนึ่ง”

และคงจะดีหากรู้ว่าสิ่งใดที่ฉันเชื่อว่าในวงการกฎหมายเรียกว่าสาระสำคัญ (อีกนัยหนึ่ง ความสำคัญทางกฎหมายหรือความเกี่ยวข้องทางกฎหมายกับข้อบังคับเฉพาะ)...

…ที่เริ่มต้นในกรณีของการโจมตีแรนซัมแวร์

---

ดั๊ก.  นี่เป็นเวลาที่ดีที่จะนำเสนอผู้แสดงความคิดเห็นประจำสัปดาห์ อดัม เกี่ยวกับเรื่องนี้

อดัมแสดงความคิดเห็นเกี่ยวกับการโจมตีแรนซัมแวร์ประเภทต่างๆ

ดังนั้น เริ่มต้นด้วย Type A ซึ่งเป็นเพียงการโจมตีของแรนซัมแวร์แบบตรงไปตรงมา โดยพวกมันจะล็อคไฟล์และทิ้งข้อความเรียกค่าไถ่ไว้เพื่อให้ปลดล็อค...

อดัม พูดว่า:

หากบริษัทใดโดนแรนซัมแวร์ ไม่พบหลักฐานการขโมยข้อมูลหลังจากการตรวจสอบอย่างละเอียด และกู้คืนข้อมูลโดยไม่จ่ายค่าไถ่ ฉันก็จะพูดว่า “ไม่ต้อง [เปิดเผยข้อมูล]”

---

เป็ด.  คุณทำเพียงพอแล้วหรือยัง

---

ดั๊ก.  ใช่.

---

เป็ด.  คุณไม่ได้ป้องกันแต่คุณได้ทำสิ่งที่ดีที่สุดแล้ว ดังนั้นคุณจึงไม่จำเป็นต้องบอกนักลงทุนของคุณ….

ที่น่าขันก็คือ ดั๊ก ถ้าคุณทำแบบนั้นในฐานะบริษัท คุณอาจต้องการบอกนักลงทุนของคุณว่า “เฮ้ เดาสิ? เราโดนแรนซั่มแวร์โจมตีเหมือนคนอื่นๆ แต่เรารอดมาได้โดยไม่เสียเงิน ไม่ยุ่งเกี่ยวกับอาชญากร และไม่สูญเสียข้อมูลใดๆ ดังนั้นแม้ว่าเราจะไม่สมบูรณ์แบบ แต่เราก็เป็นสิ่งที่ดีที่สุดต่อไป”

และจริง ๆ แล้วอาจมีน้ำหนักมากที่จะเปิดเผยสิ่งนั้นโดยสมัครใจ แม้ว่ากฎหมายจะบอกว่าคุณไม่จำเป็นต้องเปิดเผยก็ตาม

---

ดั๊ก.  และสำหรับประเภท B มุมแบล็กเมล์ อดัมพูดว่า:

นั่นเป็นสถานการณ์ที่ยุ่งยาก

ในทางทฤษฎี ฉันจะตอบว่า “ใช่”

แต่นั่นน่าจะนำไปสู่การเปิดเผยข้อมูลจำนวนมากและทำให้ชื่อเสียงของธุรกิจเสียหาย

ดังนั้น หากคุณมีหลายบริษัทออกมาพูดว่า “ดูสิ เราโดนแรนซัมแวร์โจมตี เราไม่คิดว่าจะมีอะไรเลวร้ายเกิดขึ้น เราจ่ายคนโกงเพื่อให้พวกเขาเงียบ และเราเชื่อมั่นว่าพวกเขาจะไม่ทำถั่วหก” เอาเป็นว่า…

…นั่นสร้างสถานการณ์ที่ยุ่งยาก เพราะนั่นอาจทำให้ชื่อเสียงของบริษัทเสียหายได้ แต่ถ้าไม่เปิดเผยก็คงไม่มีใครรู้

---

เป็ด.  และฉันเห็นว่าอดัมรู้สึกแบบเดียวกับที่คุณและฉันทำเกี่ยวกับธุรกิจ “คุณมีเวลาสี่วัน แต่ไม่เกินสี่วัน… จากช่วงเวลาที่คุณคิดว่าสี่วันควรเริ่มต้น”

เขาก็บ่นเหมือนกันไม่ใช่เหรอ?

เขากล่าวว่า

บางบริษัทมีแนวโน้มที่จะใช้กลยุทธ์เพื่อชะลอการตัดสินใจว่ามีผลกระทบที่สำคัญหรือไม่

ดังนั้นเราจึงไม่รู้ว่าสิ่งนี้จะออกมาเป็นอย่างไร และฉันแน่ใจว่า ก.ล.ต. ก็ไม่รู้เช่นกัน

อาจต้องใช้กรณีทดสอบ XNUMX-XNUMX กรณีเพื่อหาว่าระบบราชการมีปริมาณที่เหมาะสมเพียงใด เพื่อให้แน่ใจว่าเราทุกคนได้เรียนรู้สิ่งที่เราจำเป็นต้องรู้ โดยไม่บังคับให้บริษัทต่างๆ ต้องเปิดเผยความผิดพลาดด้านไอทีเล็กๆ น้อยๆ ที่เคยเกิดขึ้นและกลบฝังพวกเราทั้งหมดไว้ใน โหลดเอกสาร

ซึ่งโดยพื้นฐานแล้วนำไปสู่ความเมื่อยล้า ใช่หรือไม่?

หากคุณมีข่าวร้ายมากมายที่ไม่สำคัญมากนัก แค่ล้างข้อมูลคุณ...

…ยังไงก็ตาม มันง่ายที่จะพลาดสิ่งที่สำคัญจริงๆ ซึ่งอยู่ในบรรดาคำถามทั้งหมด “ฉันต้องได้ยินเรื่องนี้จริงๆ เหรอ”

เวลาจะเป็นเครื่องพิสูจน์ ดักลาส

---

ดั๊ก.  ใช่ ยุ่งยาก!

และฉันรู้ว่าฉันพูดแบบนี้ตลอดเวลา แต่เราจะจับตาดูสิ่งนี้ เพราะมันจะน่าตื่นเต้นที่จะได้เฝ้าดูสิ่งนี้ที่เปิดเผยออกมา

ขอบคุณอดัมสำหรับการส่งความคิดเห็นนั้น

---

เป็ด.  ใช่แน่นอน!

---

ดั๊ก.  หากคุณมีเรื่องราวที่น่าสนใจ ข้อคิดเห็นหรือคำถามที่คุณต้องการส่ง เรายินดีที่จะอ่านในพอดแคสต์

คุณสามารถส่งอีเมลไปที่ tips@sophos.com หรือแสดงความคิดเห็นในบทความของเรา หรือจะติดต่อหาเราบนโซเชียล: @nakedsecurity

นั่นคือการแสดงของเราในวันนี้ ขอบคุณมากสำหรับการฟัง

สำหรับ Paul Ducklin ฉัน Doug Aamoth เตือนคุณถึงครั้งต่อไปที่จะ...

---

ทั้งสอง  รักษาความปลอดภัย

[โมเด็มดนตรี]