![S3 ตอนที่ 104: ผู้โจมตีแรนซัมแวร์ในโรงพยาบาลควรถูกล็อคตลอดชีวิตหรือไม่ [เสียง + ข้อความ] ข้อมูลอัจฉริยะของ PlatoBlockchain ค้นหาแนวตั้ง AI.](https://platoblockchain.com/wp-content/uploads/2022/10/s3-ep104-cover-1200.png "S3 Ep104: ผู้โจมตีแรนซัมแวร์ในโรงพยาบาลควรถูกล็อคตลอดชีวิตหรือไม่? [เสียง + ข้อความ]")
สามคำถามลึก
หากผู้โจมตีเรียกค่าไถ่ในโรงพยาบาลได้รับ ชีวิตในคุก? ใครคือเคาน์เตสแห่งวิทยาการคอมพิวเตอร์และเพียงแค่ เรามาใกล้กันแค่ไหน สู่เพลงดิจิตอลในศตวรรษที่ 19? และอาจเป็นอีเมลที่แปลกประหลาด อิฐ iPhone ของคุณ?
ดั๊ก เอมอธ และพอล ดัคลิน
เพลงอินโทรและเอาท์โดย อีดิธ มัดจ์.
คลิกแล้วลากบนคลื่นเสียงด้านล่างเพื่อข้ามไปยังจุดใดก็ได้ นอกจากนี้คุณยังสามารถ ฟังโดยตรง บนซาวด์คลาวด์
สามารถรับฟังเราได้ที่ Soundcloud, Apple Podcasts, Google Podcast, Spotify, Stitcher และทุกที่ที่มีพอดแคสต์ดีๆ หรือเพียงแค่วาง URL ของฟีด RSS ของเรา ลงในพอดแคตเตอร์ที่คุณชื่นชอบ
อ่านข้อความถอดเสียง
ดั๊ก. มีปัญหาทางกฎหมายมากมาย การอัปเดต iPhone ลึกลับ และ Ada Lovelace
ทั้งหมดนั้นและอีกมากมายใน Naked Security Podcast
[โมเด็มดนตรี]
ยินดีต้อนรับสู่พอดคาสต์ทุกคน
ฉัน Doug Aamoth; เขาคือพอล ดักคลิน
พอล วันนี้คุณเป็นยังไงบ้าง
เป็ด. ฉันสบายดี ดั๊ก...
…ยกเว้นปัญหาไมโครโฟนบางอย่าง เพราะฉันอยู่บนท้องถนนได้นิดหน่อย
ดังนั้นหากคุณภาพเสียงไม่สมบูรณ์แบบในสัปดาห์นี้ นั่นเป็นเพราะฉันต้องใช้อุปกรณ์บันทึกเสียงสำรอง
ดั๊ก. นั่นนำเราอย่างเชี่ยวชาญสู่ ประวัติเทคโนโลยี ส่วนเกี่ยวกับความไม่สมบูรณ์
เป็ด. [IRONIC] โอ้ ขอบคุณ ดั๊ก [หัวเราะ]
ดั๊ก. เมื่อวันที่ 11 ตุลาคม พ.ศ. 1958 NASA ได้เปิดตัวยานอวกาศลำแรกคือ Pioneer One
มันมีจุดมุ่งหมายเพื่อโคจรรอบดวงจันทร์ แต่ไม่สามารถไปถึงวงโคจรของดวงจันทร์ได้เนื่องจากข้อผิดพลาดในการนำทาง ตกลงสู่พื้นโลก และถูกไฟไหม้เมื่อกลับเข้าไปใหม่
แม้ว่าจะยังคงรวบรวมข้อมูลอันมีค่าระหว่างเที่ยวบิน 43 ชั่วโมงก็ตาม
เป็ด. ใช่ ฉันเชื่อว่ามันอยู่ห่างจากโลกถึง 113,000 กิโลเมตร… และดวงจันทร์อยู่ห่างออกไปเพียง 400,000 กิโลเมตรเท่านั้น
ความเข้าใจของฉันคือมันออกนอกเป้าหมายเล็กน้อยแล้วพวกเขาก็พยายามแก้ไข แต่พวกเขาไม่มีความละเอียดในการควบคุมที่พวกเขาทำในทุกวันนี้ โดยที่คุณเรียกใช้มอเตอร์จรวดเพื่อระเบิดเล็ก ๆ น้อย ๆ
ดังนั้นพวกเขาจึงแก้ไข แต่สามารถแก้ไขได้มากเท่านั้น… และในที่สุดพวกเขาก็คิดว่า “เราจะไม่ไปถึงดวงจันทร์ แต่บางทีเราอาจทำให้มันโคจรรอบโลกสูงได้ ดังนั้นมันจะวนไปรอบๆ โลกและเราจะได้รับการวัดทางวิทยาศาสตร์ต่อไปหรือไม่”
แต่สุดท้ายก็เกิดคำถามว่า “อะไรจะเกิดขึ้น… [หัวเราะ] จะต้องลงมา”
ดั๊ก. อย่างแน่นอน. [หัวเราะ]
เป็ด. และอย่างที่คุณพูด มันเหมือนกับการยิงกระสุนที่มีพลังมาก ๆ เข้าไปในอวกาศ เหนือแนว Kármán ซึ่งอยู่ห่างออกไปเพียง 100 กม. แต่ในทิศทางที่จริง ๆ แล้วมันไม่ได้หนีอิทธิพลของ แผ่นดินหมด.
ดั๊ก. ค่อนข้างดีสำหรับการลองครั้งแรกหรือไม่?
ฉันหมายถึง ไม่เลว… นั่นคือปี 1958 คุณคาดหวังอะไร
ฉันหมายถึง พวกเขาทำดีที่สุดแล้ว และได้หนึ่งในสามของเส้นทางไปยังดวงจันทร์
พูดถึงคนที่ไม่ได้ทำดีที่สุดและล้มเหลว เรามีเรื่องราวทางกฎหมายแบบสายฟ้าแลบที่นี่...
…เริ่มจากเพื่อนของเรา Sebastien Vachon-Desjardins ที่เราเคยพูดถึงมาก่อน
เขาอยู่ข้างใน น้ำร้อน ในฟลอริดาและอาจจะมากกว่านั้น:
เป็ด. ใช่ เราเคยพูดถึงเขาในพอดคาสต์แล้ว ฉันคิดว่าสองสามครั้ง
เขาเป็นบริษัทในเครือของ NetWalker ransomware-as-a-service
กล่าวอีกนัยหนึ่ง เขาไม่ได้เขียนแรนซัมแวร์… เขาเป็นหนึ่งในผู้โจมตี ผู้บุกรุก และผู้ปรับใช้มัน
เท่าที่ฉันรู้ เขาค่อนข้างสนใจแรนซัมแวร์มาก เขาเข้าร่วมกับแก๊งเหล่านี้หลายอันเหมือนเดิม สมัครสมาชิกกับหลายสโมสร
เห็นได้ชัดว่าเขาอาจทำรายได้มากถึงหนึ่งในสามของรายได้ทั้งหมดของแก๊งค์ NetWalker ดังนั้นเขาจึงแข็งแกร่งมาก
เรากำลังพูดถึงเงินหลายล้านดอลลาร์ที่เขาทำเพื่อตัวเขาเอง และแน่นอน 30% ของรายได้ทั้งหมดจะตกเป็นของผู้คนหลัก
เขาถูกจับในแคนาดา เขาถูกส่งตัวเข้าคุก...
…จากนั้นเขาได้รับการปล่อยตัวเป็นพิเศษจากเรือนจำในแคนาดา
ไม่ใช่เพราะพวกเขารู้สึกเสียใจต่อเขา พวกเขาปล่อยเขาออกจากคุกเพื่อส่งตัวเขาส่งผู้ร้ายข้ามแดนไปยังสหรัฐอเมริกา ซึ่งเขาตัดสินใจสารภาพผิด และมีเวลา 20 ปี
เห็นได้ชัดว่าเมื่อเขาอยู่ในเรือนจำกลาง 20 ปีจบ เขาจะถูกเนรเทศไปยังแคนาดา และเขาจะกลับไปใช้ชีวิตในแคนาดาให้ครบเจ็ดปีทันที
และถ้าฉันจำไม่ผิด ผู้พิพากษาในกรณีนี้ สังเกตว่านี่คือแก๊งแรนซัมแวร์ ที่โด่งดังในการโจมตีสถาบันดูแลสุขภาพ โรงพยาบาล คนที่ไม่สามารถจ่ายได้จริงๆ และเมื่อการหยุดชะงักนั้นส่งผลกระทบโดยตรงต่อชีวิตของผู้คนจริงๆ...
... ผู้พิพากษาเห็นได้ชัดว่าคำพูดของผลกระทบ "ถ้าคุณไม่ได้ตัดสินใจที่จะสารภาพจริง ๆ ยกมือขึ้นในความผิดฉันจะตัดสินให้คุณติดคุกตลอดชีวิต"
ดั๊ก. ใช่นั่นมันป่าเถื่อน!
ตกลงก็ค่อนข้างต่ำ: อดีต CSO ของ Uber Joe Sullivan… เรื่องนี้ ยังเป็นป่า!
พวกเขากำลังตอบสนองต่อการละเมิดที่เกิดขึ้นกับหน่วยงานกำกับดูแล และในขณะที่พวกเขากำลังตอบสนองต่อการละเมิดที่เกิดขึ้น * การละเมิดอีก * เกิดขึ้นและมีการปกปิด:
เป็ด. ใช่ นั่นเป็นเรื่องราวที่น่าจับตามองอย่างมากจากชุมชนความปลอดภัยทางไซเบอร์...
เนื่องจาก Uber ได้จ่ายค่าปรับทุกประเภทแล้ว และเห็นได้ชัดว่าพวกเขาตกลงที่จะร่วมมือ แต่นี่ไม่ใช่บริษัทที่ถูกตั้งข้อหา
นี่คือบุคคลที่ควรจะรับผิดชอบด้านความปลอดภัย – เขาเคยอยู่ที่ Facebook และถูกล่อลวงให้ Uber
เท่าที่คณะลูกขุนกังวล คดีนี้ไม่ได้เงินมากนักที่โจรได้รับเงิน แต่ได้รับเงินเพื่อแสร้งทำเป็นว่าการละเมิดข้อมูลเป็นค่าหัวจากข้อผิดพลาด ที่พวกเขาเปิดเผยมันอย่างมีความรับผิดชอบมากกว่าที่จะขโมยข้อมูลจริง ๆ แล้วกรรโชกมัน
และแน่นอน ส่วนที่สองของเรื่องนี้คือ ฉันเชื่อว่า… ฉันไม่แน่ใจว่าคุณพูดคำนี้อย่างไร เพราะคุณไม่ได้ยินในสหราชอาณาจักร แต่มันคือ “การเข้าใจผิด”… ฉันคิดว่าคุณพูดแบบนั้น .
โดยพื้นฐานแล้วหมายถึง "การปกปิดอาชญากรรม"
และแน่นอนว่า นั่นเกี่ยวข้องกับข้อเท็จจริงที่ว่า อย่างที่คุณพูด พวกเขากำลังอยู่ระหว่างการสอบสวน พวกเขากำลังถูกตรวจสอบโดย FTC... คุณกำลังจะโน้มน้าวพวกเขา “ใช่ เราได้เตรียมมาตรการป้องกันไว้มากมายตั้งแต่ครั้งที่แล้ว”
และระหว่างที่พยายามจะฟ้องคดีของคุณแล้วพูดว่า “ไม่ ไม่ เราดีกว่าเรามาก”…
…โอ้ ที่รัก เธอไม่ได้สูญเสียแค่บางบันทึก มันคืออะไร?
มากกว่า 50 ล้านบันทึกที่เกี่ยวข้องกับผู้ที่นำ Ubers ลูกค้า
ผู้ขับขี่ 600,000 ล้านคน ซึ่งรวมหมายเลขใบอนุญาตขับขี่สำหรับผู้ขับขี่ 60,000 คน และ SSN (หมายเลขประกันสังคม) สำหรับ XNUMX คน
มันค่อนข้างจริงจัง!
แล้วก็พยายามจะพูดว่า “เอาล่ะ [COUGHS MEANINGFULLY] ทำมันซะ จะได้ไม่ต้องบอกใคร แล้วไปเอาพวกมิจฉาชีพมาลงนามในข้อตกลงไม่เปิดเผยข้อมูลกัน” [หัวเราะ]
วิทยากร1
[หัวเราะ] โอ้ พระเจ้า!
เป็ด. [หัวเราะ] ไม่ตลกดั๊ก!
ดั๊ก. ดีมาก
และหั่นให้แห้งอีกเล็กน้อย...
หากคุณสร้างแอพที่อ้างว่าเชื่อมต่อกับ WhatsApp และคุณรวบรวมข้อมูลรับรองผู้ใช้ WhatsApp จะไป มาตามคุณ!
เป็ด. ใช่ นี่เป็นกรณีของ WhatsApp และ Meta
ฟังดูแปลก ๆ ที่จะพูดทั้งคู่ แต่ฉันเดาว่านิติบุคคลทั้งสอง (WhatsApp เป็นเจ้าของโดย Meta) ได้ตัดสินใจว่า "ถ้าคุณไม่สามารถเอาชนะพวกเขาได้ฟ้องพวกเขา!"
นี่คือการโจรกรรมข้อมูลประจำตัว เพื่อให้สามารถใช้บัญชีในการส่งข้อความปลอมได้โดยทั่วไป
โดยทั่วไปแล้วสแปม แต่อาจมีการหลอกลวงมากมายใช่ไหม
หากคุณมีรหัสผ่านของฉัน คุณสามารถติดต่อเพื่อนของฉันทั้งหมดและพูดว่า “เฮ้ ฉันทำเงินได้มากมายจากการหลอกลวง cryptocoin นี้” และเพราะว่า *ฉัน* พูดมัน มากกว่าที่จะสุ่มคนจากอินเทอร์เน็ต คุณ อาจจะมีแนวโน้มมากขึ้นที่จะเชื่อมัน
ดังนั้น WhatsApp จึงคิดว่า “ใช่ เราแค่จะฟ้องคุณ และพยายามปิดบริษัทของคุณในแบบนั้น และนั่นจะทำให้เรามีเครื่องมือในการบังคับให้ลบแอพเหล่านี้ทั้งหมดไม่ว่าจะปรากฏอยู่ที่ใด”
น่าเสียดายที่พวกมิจฉาชีพได้กระทำการทรยศหักหลังมากพอที่จะแอบเข้าไปใน Google Play
ดังนั้นข้อกล่าวหาก็คือพวกเขา “หลอกลวงผู้ใช้ WhatsApp มากกว่า 1 ล้านคนให้ประนีประนอมกับบัญชีของตนโดยเป็นส่วนหนึ่งของการโจมตีบัญชี”
และการประนีประนอมในตัวเอง หมายความว่าพวกเขาเพิ่งนำเสนอหน้าเข้าสู่ระบบปลอมแก่ผู้ใช้ และโดยพื้นฐานแล้วพร็อกซี่ข้อมูลประจำตัวของพวกเขา
สันนิษฐานว่าพวกเขาเก็บไว้และทำร้ายพวกเขาในภายหลัง ...
ดั๊ก. ตกลงเราจะจับตาดูสิ่งนั้น
ได้โปรดบอกเราที เคาน์เตสที่อาศัยอยู่ในครึ่งแรกของศตวรรษที่ 19 เกี่ยวอะไรกับคอมพิวเตอร์และวิทยาการคอมพิวเตอร์?
เป็ด. นั่นคงจะเป็นเอด้า เลิฟเลซ
หรือเป็นทางการมากขึ้น อาดา เคานท์เตสแห่งเลิฟเลซ… เธอแต่งงานกับผู้ชายคนหนึ่งที่เรียกว่าลอร์ดเลิฟเลซ ดังนั้นเธอจึงกลายเป็นเลดี้เลิฟเลซ:
เธอเป็นชนชั้นสูง และในสมัยนั้น โดยทั่วไปแล้ว ผู้หญิงไม่ได้เรียนวิทยาศาสตร์
แต่เธอทำ: เธอมีความกระตือรือร้นในวิชาคณิตศาสตร์
ฉันคิดว่าเธอพบกันตั้งแต่ยังเป็นวัยรุ่น กับชาร์ลส์ แบบเบจ ผู้มีชื่อเสียงจากการคิดค้นเครื่องดิฟเฟอเรนซ์ ซึ่งสามารถคำนวณสิ่งต่างๆ เช่น ตารางตรีโกณมิติ
ดังนั้น รัฐบาลสหราชอาณาจักรจึงสนใจ เพราะที่ที่คุณสามารถทำตรีโกณมิติ คุณสามารถทำโต๊ะปืนใหญ่ และนั่นหมายความว่าคุณสามารถทำให้พลปืนของคุณแม่นยำยิ่งขึ้นบนบกและในทะเล
แต่แล้วแบบเบจก็คิดว่า “นั่นเป็นแค่เครื่องคิดเลขพกพา (ในศัพท์เฉพาะสมัยใหม่) ทำไมฉันไม่สร้างคอมพิวเตอร์เอนกประสงค์ล่ะ”
และเขาได้ออกแบบสิ่งที่เรียกว่า Analytical Engine
และนั่นคือสิ่งที่เอด้า เลิฟเลซสนใจจริงๆ
อันที่จริง ฉันเชื่อว่าเธอเสนอให้เป็น VC ของ Babbage ณ จุดหนึ่ง นักลงทุนร่วมทุนของเขา: “ฉันจะนำเงินมา แต่คุณต้องปล่อยให้ส่วนธุรกิจเป็นหน้าที่ของฉัน ให้ฉันสร้างธุรกิจให้คุณ!
ดั๊ก. มันน่าทึ่งจริงๆ
ถึงใครที่ฟังทางนี้...
…ขณะที่คุณกำลังฟังเรื่องนี้อยู่ ฉันอยากให้คุณจำไว้ว่าเธอเสียชีวิตในวัย 36 ปี
เธอทำสิ่งนี้ทั้งหมดในช่วงอายุ 20 และ 30 ต้นๆ
สิ่งที่น่าอัศจรรย์!
เป็ด. เธอเสียชีวิตด้วยโรคมะเร็งมดลูก ดังนั้นเธอจึงเจ็บปวดมากและไม่สามารถทำงานได้ในที่สุด
และเธอไม่เพียงแค่ต้องการเป็นนักธุรกิจที่อยู่เบื้องหลัง "เฮ้ ขอฉันสร้างธุรกิจหน่อย"
ฉันคิดว่า Babbage มีความขมขื่นเล็กน้อยต่อสถานประกอบการที่ไม่ได้เข้ามา เขาต้องการที่จะทำมันในแบบดั้งเดิมมากขึ้น “ไม่ ฉันต้องการพิสูจน์ว่าฉันมาถูกทาง” แทนที่จะพูดว่า “ใช่ แค่ไปหาเงินมาให้ฉัน” ซึ่งอาจจะเป็นแนวทางในวันนี้
ด้านธุรกิจที่เธอเสนอไม่เคยหลุดลอยไป
แต่เธอก็เป็นโปรแกรมเมอร์คอมพิวเตอร์คนแรกของโลกด้วย… แน่นอนว่าเธอเป็นโปรแกรมเมอร์คอมพิวเตอร์ที่ได้รับการตีพิมพ์เป็นคนแรก
คุณสามารถจินตนาการว่า Babbage กำลังซ่อมแซมด้วยเครื่องวิเคราะห์ของเขา... เขาอาจจะคิดโปรแกรมบางอย่างขึ้นมาก่อนที่เธอจะทำ แต่เขาไม่เคยรู้เลย
และแน่นอนว่าเขาไม่เคยตีพิมพ์บทความเกี่ยวกับสาเหตุที่เครื่องมือวิเคราะห์นี้มีความสำคัญ และข้อเท็จจริงที่ว่ามันทำได้มากกว่าแค่การคำนวณเชิงตัวเลข
เธอมีวิสัยทัศน์ที่เครื่องคิดเลขรวมตัวเลขเข้าด้วยกัน แต่ถ้าคุณสามารถคำนวณตัวเลขและบนพื้นฐานของการตัดสินใจเหล่านั้น (สิ่งที่เราอาจเรียกว่า IF...THEN...ELSE) คุณก็สามารถใช้แทนและทำงานร่วมกับสิ่งอื่นๆ ได้ สิ่งต่าง ๆ เช่น ข้อเสนอเชิงตรรกะ การประดิษฐ์การพิสูจน์ หรือแม้แต่การทำงานกับดนตรี หากคุณมีวิธีการทางคณิตศาสตร์หรือตัวเลขในการแสดงดนตรี
ตอนนี้ ฉันไม่รู้ว่าเพลงดิจิทัลจะดังไปถึงไหน ดั๊ก แต่ถ้ามัน...
ดั๊ก. [หัวเราะ] พวกเราต้องขอบคุณ Ada Lovelace!
เป็ด. เธออยู่ที่นั่นในปี 1840 กำลังคิดและเขียนเกี่ยวกับเรื่องนี้!
เธอเชื่อหรือไม่ว่าเป็นลูกสาวของกวีที่มีชื่อเสียง (หรือน่าอับอาย) ลอร์ดไบรอน
เห็นได้ชัดว่าพ่อและแม่ของเธอแยกทางกัน ฉันจึงไม่เชื่อว่าเธอเคยพบเขา เธอเป็น “ลูกสาวที่ไม่รู้จัก” สำหรับเขา
ครั้งหนึ่ง ไบรอนเคยไปพักร้อนที่สวิสเซอร์แลนด์ที่โด่งดัง ที่ฝนทำให้เขาและเพื่อนๆ ไปเที่ยวพักผ่อนในบ้าน
และเพื่อนเหล่านั้นคือเพอร์ซี่และแมรี่ เชลลีย์
และไบรอนก็พูดว่า “เฮ้ มาแข่งเขียนเรื่องสยองขวัญกันเถอะ!” [เสียงหัวเราะ]
และสิ่งที่เขาทำ และสิ่งที่เพอร์ซี เชลลีย์ทำนั้นไม่เป็นผล ไม่มีใครจำสิ่งที่พวกเขาเขียน
แต่แมรี่ เชลลีย์… นั่นคือสิ่งที่เธอคิด แฟรงเกนสไตน์…
ดั๊ก. ว้าว!
เป็ด. … หรือ Prometheus ที่ทันสมัยซึ่งโดยพื้นฐานแล้วเกี่ยวกับปัญญาประดิษฐ์และเครื่องจักรทางความคิดที่มนุษย์สร้างขึ้น หากคุณต้องการ และมันจะจบลงอย่างเลวร้ายได้อย่างไร
และอาดา ลูกสาวของไบรอน เป็นคนแรกที่เขียนทางวิทยาศาสตร์เกี่ยวกับ "เครื่องจักรคิดได้หรือ" ในบันทึกที่เธอเขียนบนเครื่องวิเคราะห์
เธอ *ไม่* เล่าเรื่องสยองขวัญแบบเดียวกับที่เพื่อนของพ่อเธอมี
วิธีที่เธอเขียนมัน (นักวิทยาศาสตร์มักมีความโค้งทางวรรณกรรมมากกว่าในสมัยนั้น):
Analytical Engine ไม่มีข้ออ้างใดๆ ว่าจะเกิดสิ่งใด มันสามารถทำทุกอย่างที่เรารู้วิธีการสั่งให้มันแสดง สามารถติดตามการวิเคราะห์ได้ แต่ไม่มีอำนาจในการคาดการณ์ความสัมพันธ์หรือความจริงในการวิเคราะห์
ดังนั้นเธอจึงเห็นอุปกรณ์คอมพิวเตอร์ อุปกรณ์คอมพิวเตอร์เอนกประสงค์ เป็นวิธีที่ช่วยให้เราเข้าใจและคิดหาสิ่งที่เป็นไปไม่ได้ที่จิตใจมนุษย์ทั่วไปจะทำได้
แต่ฉันไม่คิดว่าเธอคิดว่าพวกเขาสามารถแทนที่จิตใจมนุษย์ได้
ดั๊ก. และอีกครั้ง จำไว้ว่าเธอกำลังเขียนสิ่งนี้ในปี 1842…
เป็ด. แน่นอน!
การแฮ็กเป็นเรื่องหนึ่งในชีวิตจริง เป็นอีกวิธีหนึ่งในการแฮ็กคอมพิวเตอร์ในจินตนาการที่คุณรู้ว่า *มีอยู่* แต่ยังไม่มีใครสร้างมันขึ้นมา
ดั๊ก. [หัวเราะ] แน่นอน
เป็ด. ปัญหาคือ เนื่องจากคอมพิวเตอร์เหล่านี้เป็นแบบกลไกและต้องใช้เกียร์แบบกลไก จึงต้องการความสมบูรณ์แบบอย่างแท้จริงในการผลิต
หรือจะมีเพียงข้อผิดพลาดสะสมที่จะทำให้ล็อคขึ้นเนื่องจากฟันเฟือง ความจริงที่ว่าเฟืองไม่ประสานกันอย่างสมบูรณ์
และฉันคิดว่า ตามที่เราพูดในพอดคาสต์ก่อนหน้านี้ แดกดัน การออกแบบคอมพิวเตอร์ดิจิทัล ซึ่งเป็นส่วนเสริมของ Analytical Engine เป็นหลัก ที่สามารถควบคุมเครื่องตัดโลหะด้วยคอมพิวเตอร์ได้อย่างแม่นยำเพียงพอ...
…ก่อนที่เราจะสร้าง Difference Engine หรือ Analytical Engine ที่ใช้งานได้จริง
และถ้านั่นไม่ใช่เรื่องราวที่เป็นวงกลมที่น่าสนใจ ฉันไม่รู้ว่ามันคืออะไร!
ดังนั้น Ada Lovelace จึงอยู่ท่ามกลางสิ่งนี้: ผู้เผยแผ่ศาสนา; ผู้ประกาศข่าวประเสริฐ; นักวิทยาศาสตร์; นักคณิตศาสตร์; นักวิทยาศาสตร์คอมพิวเตอร์ และในฐานะนักลงทุนร่วมทุนที่กำลังเติบโต พูดกับ Babbage ว่า "ปล่อยให้ผลประโยชน์ทางธุรกิจทั้งหมดของคุณหายไป มอบมันให้กับฉัน ฉันเดินไปในวงกลมที่เหมาะสมเพื่อหาเงินให้คุณ – ฉันจะลงทุนเอง! มาดูกันว่าเราจะทำอะไรกับสิ่งนี้ได้บ้าง!”
และไม่ว่าจะดีขึ้นหรือแย่ลง Babbage ก็หยุดนิ่งและเห็นได้ชัดว่าเสียชีวิตในความยากจนเป็นหลัก
มีคนสงสัยว่าจะเกิดอะไรขึ้นถ้าเขาทำมัน...
ดั๊ก. มันเป็นเรื่องราวที่น่าสนใจ
ฉันแนะนำให้คุณไปที่ Naked Security เพื่ออ่าน
มันเรียกว่า ย้ายไป Patch Tuesday - เป็นวัน Ada Lovelace.
อ่านยาวมาก น่าสนใจ!
ปิดท้ายด้วยสิ่งนี้ อัปเดต iPhone ลึกลับซึ่งเรียกว่า "การแก้ไขข้อบกพร่องเดียว"
สิ่งเหล่านี้ไม่ธรรมดา:
เป็ด. ไม่ ส่วนใหญ่เมื่อคุณได้รับการอัปเดตของ Apple (เพราะคุณไม่รู้ว่าจะมาเมื่อไหร่ – ไม่มี Patch Tuesday ที่คุณสามารถคาดเดาได้) พวกเขาเพิ่งมาถึง...
…มีรายการใหญ่ที่พวกเขาแก้ไขตั้งแต่ครั้งล่าสุดที่พวกเขาแก้ไข
และในบางครั้งอาจมีเหตุฉุกเฉินร้ายแรงเกิดขึ้น และคุณได้รับการอัปเดตจาก Apple ที่ระบุว่า "อ้อ เรากำลังแก้ไขสิ่งหนึ่งหรือสองอย่าง"
และอันนี้เพิ่งมาถึงสำหรับ iOS 16 เท่านั้น
ฉันกำลังจะเข้านอน ดั๊ก… มันดึกมากแล้ว และฉันคิดว่าฉันจะดูอีเมลของฉัน ดูว่าดั๊กส่งอะไรมาให้ฉันหรือเปล่า [เสียงหัวเราะ]
และมีสิ่งนี้จาก Apple: iOS 16.0.3
และฉันก็คิดว่า “ทันใดนั้นเอง! ฉันสงสัยว่าเกิดอะไรขึ้น? ต้องเป็นวันที่ศูนย์”
ดังนั้นฉันจึงเข้าไปในกระดานข่าวรักษาความปลอดภัย… มันไม่ใช่วันซีโร่เดย์ เป็นเพียงการโจมตีแบบปฏิเสธการให้บริการ (DoS) ไม่ใช่การเรียกใช้โค้ดจากระยะไกลจริง
แอป Mail สามารถทำให้ขัดข้องได้
และทันใดนั้น Apple ก็ผลักดันการอัปเดตนี้ออกมาและบอกว่า:
ผลกระทบ: การประมวลผลข้อความเมลที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้บริการถูกปฏิเสธ ปัญหาการตรวจสอบอินพุตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น
ใช้การตรวจสอบคำซ้ำสองครั้งที่นั่น ...
CVE-2022-22658
และนั่นคือทั้งหมดที่เรารู้
และไม่ได้พูดว่า "โอ้ มีรายงานโดยกลุ่มล่าแมลงแบบนี้" หรือ "ขอบคุณนักวิจัยนิรนาม" ดังนั้นฉันจึงสันนิษฐานว่าพวกเขาพบมันด้วยตัวเอง
และฉันเดาได้เพียงว่าพวกเขารู้สึกว่าจำเป็นต้องแก้ไขปัญหานี้อย่างรวดเร็ว เพราะอาจทำให้คุณล็อกโทรศัพท์ของคุณโดยไม่ได้ตั้งใจ หรือทำให้แทบจะใช้งานไม่ได้
เพราะนั่นคือปัญหาของบั๊กการปฏิเสธบริการเมื่ออยู่ในแอพส่งข้อความใช่ไหม
คุณนึกถึงการปฏิเสธบริการ… แอพขัดข้อง woo hoo คุณเพิ่งเริ่มต้นใหม่อีกครั้ง
แต่ปัญหาของแอปรับส่งข้อความก็คือ [A] แอปนี้มักจะทำงานในเบื้องหลัง ดังนั้นจึงสามารถรับข้อความได้ทุกเมื่อ [B] คุณไม่สามารถเลือกได้ว่าใครส่งข้อความถึงคุณ คนอื่นทำ และ [C] อาจเป็นไปได้ว่าหากต้องการเข้าสู่แอปเพื่อลบข้อความหลอกลวง คุณต้องรอให้แอปโหลดและแอปจะตัดสินใจ "โอ้. ฉันต้องการแสดงข้อความนี้ว่าคุณต้องการลบ…” CRASH!
สิ่งที่ฉันเรียกว่า CRASH: GOTO CRASHความผิดพลาด
พูดอีกอย่างก็คือ คุณอาจไม่สามารถแก้ไขได้ เพราะในขณะที่คุณกำลังบูทโทรศัพท์ หรือหากคุณรีสตาร์ทโทรศัพท์ เมื่อคุณไปถึงจุดที่คุณสามารถกระโดดเข้าไปและกดลบบนข้อความ...
…แอปขัดข้องอีกแล้ว สายเกินไป!
เรารู้ว่ามีปัญหาที่เรียกว่า "ข้อความแห่งความตาย" ใน iOS มาก่อน
เรามีไฟล์ รายการของพวกเขา ในบทความ Naked Security – พวกเขาได้สร้างเรื่องราวที่น่าสนใจทีเดียว
ดังนั้นเราจึงไม่รู้ว่ามันเป็นภาพหรือไม่ วิธีที่ร่ายมนตร์ (ภาพตัวละคร) ก่อตัวขึ้น การผสมผสานอักขระ ทิศทางของข้อความ… เราไม่รู้
การได้รับแพตช์นั้นคุ้มค่าแน่นอน เพราะความรู้สึกของฉันคือถ้า Apple คิดว่ามันสำคัญพอที่จะใส่มันลงในกระดานข่าวความปลอดภัย ซึ่งมีการแก้ไขเพียงข้อเดียวเท่านั้น เมื่อไม่ใช่ซีโร่เดย์ และไม่ใช่รหัสระยะไกล การดำเนินการ และไม่ใช่การยกระดับสิทธิ์...
…จากนั้นพวกเขาคงกังวลว่าจะเกิดอะไรขึ้นถ้าคนอื่นรู้เรื่องนี้!
ดังนั้นบางทีคุณก็ควรจะเหมือนกัน
ดั๊กยังเป็นเครื่องเตือนใจที่ยอดเยี่ยมว่าแม้ว่าผู้คนมักจะจัดลำดับความสำคัญของช่องโหว่จากการใช้โค้ดจากระยะไกลที่ด้านบน แล้วยกระดับสิทธิ์แล้วข้อมูลรั่วไหล...
…การปฏิเสธบริการคือ “ตกลง เซิร์ฟเวอร์อาจขัดข้อง แต่ฉันสามารถเริ่มต้นใหม่ได้เสมอ”
นั่นอาจเป็นปัญหาที่ยุ่งยากจริงๆ
แม้ว่าจะไม่ขโมยข้อมูลของคุณหรือแรนซัมแวร์ไฟล์ของคุณ แต่ก็สามารถป้องกันไม่ให้คุณใช้คอมพิวเตอร์ รับข้อมูลของคุณ และทำงานจริงได้
ดั๊ก. ใช่ เรามีปัญหาที่คุณต้องอัปเดต แต่ถ้าคุณประสบปัญหานี้ คุณอาจไม่สามารถรับการอัปเดตได้หากโทรศัพท์ของคุณหยุดทำงาน!
นั่นนำเราไปสู่คำถามผู้อ่านประจำสัปดาห์
ในโพสต์ที่เรากำลังพูดถึง ผู้อ่าน Naked Security Peter ถามว่า:
ไม่ใช่ผู้ใช้ Apple ที่นี่ แต่ไม่มีตัวเลือกให้ผู้ใช้ Apple ลงชื่อเข้าใช้บัญชีอีเมลในเบราว์เซอร์ซึ่งหวังว่าจะไม่พังเหมือนแอพและลบเมลที่นั่นแทนที่จะเช็ดอุปกรณ์ของคุณ
เป็ด. นั่นเป็นความจริงสำหรับฉันอย่างแน่นอน
วิธีที่ฉันใช้ iPhone ของฉัน ฉันสามารถอ่านเมลเดียวกันบนโทรศัพท์ของฉันได้เหมือนกับในเว็บแอปในเบราว์เซอร์ของฉัน
ดังนั้นจึงเป็นจุดเริ่มต้นที่ดี หากคุณไม่ได้ล็อกโทรศัพท์ และหากคุณมีแล็ปท็อปติดตัว
ปัญหาคือเมื่อคุณลบอีเมล พูดในเว็บเบราว์เซอร์หรือผ่านแอพที่มาพร้อมเครื่องบนแล็ปท็อปของคุณ...
…แอปอีเมลในโทรศัพท์ของคุณยังต้องซิงค์กับเซิร์ฟเวอร์จึงจะรู้ว่าต้องลบข้อความเหล่านั้น
และถ้าระหว่างทาง มันประมวลผลข้อความที่กำลังจะลบตอนนี้ มันยังสามารถเข้าสู่สถานการณ์ที่ล่มสลายได้ ใช่ไหม
ปัญหาของความคิดเห็นนั้นเป็นคำตอบเดียวที่ฉันสามารถให้ได้คือ "ข้อมูลไม่เพียงพอ ไม่สามารถพูดได้อย่างแน่นอน แต่ฉันร่าเริงหวังว่าคุณจะทำอย่างนั้น!”
ดั๊ก. ให้มันลองอย่างน้อย
เป็ด. ใช่ลองดูสิ!
หากคุณถูกล็อคเอาท์จริง ๆ เพื่อให้โทรศัพท์ของคุณพังทันทีที่เริ่มทำงาน คุณต้องการคิดว่าคุณสามารถทำสิ่งที่ Apple เรียกว่า DFU (การอัปเดตเฟิร์มแวร์โดยตรง) ได้ ซึ่งโดยทั่วไปแล้วคุณจะเริ่มต้นใหม่อีกครั้ง
แต่ปัญหาคือการเปิดใช้งาน (เพื่อหยุดใช้สำหรับความชั่วร้าย) มันเกี่ยวข้องกับการล้างและเริ่มต้นใหม่
ดังนั้นคุณจะสูญเสียข้อมูลทั้งหมดในโทรศัพท์ สมมติว่ามันใช้งานได้
ดังนั้นฉันเดาว่าคำตอบสำหรับคำถามนั้นคือ...
ลองวิธีแก้ปัญหาที่รบกวนคุณน้อยที่สุดก่อน
ลอง "เอาชนะแอพ" บนโทรศัพท์แอพส่งข้อความ
นี่คือสิ่งที่ใช้ได้กับ iOS บางตัวก่อนหน้านี้
โดยทั่วไปคุณรีบูทโทรศัพท์ของคุณ [เร่งความเร็ว] คุณพิมพ์รหัสล็อคของคุณอย่างรวดเร็ว [พูดเร็วมาก] คุณจะเข้าสู่แอปให้เร็วที่สุดเท่าที่คุณจะทำได้ และคลิกลบ...
…ก่อนที่โทรศัพท์จะไปถึงที่นั่นและเริ่มกระบวนการที่หน่วยความจำไม่เพียงพอในที่สุด
ดังนั้นคุณอาจมีเวลามากพอที่จะทำมันบนโทรศัพท์เอง
หากไม่เป็นเช่นนั้น ให้ลองทำผ่านแอปภายนอกที่จัดการชุดข้อมูลเดียวกัน
และหากติดขัดโดยสิ้นเชิง ฉันคิดว่าการติดตั้งแฟลชและการติดตั้งใหม่เป็นทางออกเดียวของคุณ
ดั๊ก. เอาล่ะ ขอบคุณปีเตอร์ที่ส่งมา
หากคุณมีเรื่องราว ข้อคิดเห็น หรือคำถามที่น่าสนใจที่คุณต้องการส่ง เรายินดีที่จะอ่านในพอดแคสต์
คุณสามารถส่งอีเมลไปที่ tips@sophos.com; คุณสามารถแสดงความคิดเห็นในบทความของเราได้ หรือคุณสามารถติดต่อเราบนโซเชียล: @nakedsecurity
นั่นคือการแสดงของเราในวันนี้
ขอบคุณมากสำหรับการฟัง
สำหรับ Paul Ducklin ฉัน Doug Aamoth เตือนคุณถึงครั้งต่อไปที่จะ...
ทั้งสอง รักษาความปลอดภัย
[โมเด็มดนตรี]
- ADA
- อดา เลิฟเลซ
- Apple
- blockchain
- เหรียญอัจฉริยะ
- กระเป๋าสตางค์ cryptocurrency
- การแลกเปลี่ยนการเข้ารหัสลับ
- การรักษาความปลอดภัยในโลกไซเบอร์
- อาชญากรไซเบอร์
- cybersecurity
- กรมความมั่นคงภายในประเทศ
- กระเป๋าสตางค์ดิจิตอล
- ไฟร์วอลล์
- iOS
- iPhone
- Kaspersky
- มัลแวร์
- แมคคาฟี
- ความปลอดภัยเปล่า
- พอดคาสต์ความปลอดภัยเปลือยกาย
- เน็ตวอล์คเกอร์
- เน็กซ์บล๊อก
- เพลโต
- เพลโตไอ
- เพลโตดาต้าอินเทลลิเจนซ์
- เกมเพลโต
- เพลโตดาต้า
- เพลโตเกม
- พอดคาสต์
- ransomware
- ซัลลิแวน
- Uber
- VPN
- ความปลอดภัยของเว็บไซต์
- ลมทะเล
