When security firms get hacked, and your new North Korean remote worker
30:38 Share

当然，这并没有帮助，因为SolarWinds曾建议客户在安装其软件之前禁用任何防病毒软件。事后看来。

也许不是最好的声音。

也许不是最好的，但那一个听起来不错。是的。

Smashing Security 第三百九十集，当安全公司遭到攻击，你的新朝鲜远程员工，与卡罗尔·泰里奥一起，大家好，大家好。欢迎来到Smashing Security 第三百九十集。

我叫格雷厄姆·克鲁利。

我是卡罗琳·泰里奥，CW。本周声音好多了。你感觉好些了吗？

我感觉好多了。我的嗅觉和味觉也回来了。这真是有点让人震惊。一点也不好玩。

我不知道你以前有没有嗅觉和味觉。和你一起醒来真是太极端了。你打电话给我道歉。

我的意思是……

现在我不想欺负你了。我这一周很忙。我去挪威了。是的，我在舞台上表演了，尽管有点慢，或者也许我听到……

它非常漂亮。

他开始慢慢地吸引观众。这是一件令人难以置信的建筑。真的，真的非常酷。看起来像邦德电影反派的大本营。但我非常喜欢在那里，也认识了一些播客的粉丝。希望你们喜欢你们的贴纸。

大家五指相扣。现在让我们开始本周精彩的赞助商，1Password 和 Vanta，今天节目精彩。

当……我将要谈论安全公司……

遭到攻击时，我将要谈论新远程员工没有按计划工作的情况。本期Smashing Security节目将讨论所有这些内容。

现在，格雷厄姆，我今天要开始谈论几年前发生的SolarWinds攻击事件。CW，你听说过SolarWinds吗？当然听说过。

这是一家非常大的公司。这是一家价值数十亿美元的公司。

他们为美国大约425家财富500强公司管理网络基础设施。

这意味着美国十大电信公司、美国军队的各个分支机构、司法部、美国总统办公室、前五名（包括微软、谷歌等）等等都在使用他们的软件。

他们的麻烦始于一些开发人员将他们的GitHub存储库（他们存放源代码的地方）公开给公众，这可不是个好主意。

将源代码公开给全世界，这可不是个好主意。如果你的源代码中包含了公司更新服务的硬编码明文密码，那就更糟糕了。这可不是什么好主意。这可不是什么好主意。

如果你是一家公司，你真的想这样做吗？

不，这还不够糟糕。比泄露密码更糟糕的是泄露一个非常、非常糟糕的密码。我记不起来了……

所以……

这家公司叫SolarWinds，他们为他们的更新设置了密码。我只是……

我猜SolarWinds加上一些零……

和一些一，你猜对了，密码是SolarWinds123。

是的，这……

一点也不好，我们都知道。嗯，你需要一个强密码，在末尾加上一个感叹号。

所以SolarWinds在被质疑时采取了一种有趣的做法。事实上，众议员凯蒂·波特在与SolarWinds首席执行官交谈时，短暂地走红。看起来熟悉吗？

是的，SolarWinds123。如果你的公司服务器使用这个密码来保护，那么黑客就能轻松进入。我有一个比这更安全的密码。

SolarWinds123，用来阻止我的孩子们在iPad上观看太多YouTube视频，而SolarWinds首席执行官则回应说，这并不是什么大问题，并把责任推到了实习生身上。

不。

众议员。我相信那个密码是实习生在2017年使用的一个服务密码，并已报告给我们的安全团队。它立即被删除了。

这可不是什么好事。

问题是这些中国黑客入侵了SolarWinds。他们利用对更新服务器的访问权限，创建了一个名为Sunburst的恶意软件更新，该恶意软件通过SolarWinds软件更新进行安装。然后它静静地等待大约两周，然后开始进行恶意活动。

然后，当它触发时，它会禁用所有防病毒软件和取证工具，以试图不被发现。然后它开始寻找网络中的其他漏洞进行利用。最终，大约有18,000家SolarWinds客户，30万客户安装了这个恶意更新，现在都受到了远程攻击。18,000，你可能会觉得这还好。

情况可能更糟。

我记得受影响的公司包括北约、英国政府、欧洲议会、微软等组织。黑客潜伏了长达9个月之久。

总而言之……

这些组织窃取了信息，获得了电子邮件账户的授权访问权限。这是一次重大的网络攻击，也是历史上最严重的网络安全事件之一。当然，这并没有帮助，因为SolarWinds曾建议客户在安装其软件之前禁用任何防病毒软件。事后看来，CT。

这让我感觉不是很好。

也许不是最好的，但看起来不太好。是的，看起来不太好。

没有人。你也可以理解，这些公司可能已经以某种方式运作了几十年。一切都乱套了。他们可能在系统中设置了一些后门，而且它们存在的原因是合理的，只要它们被妥善保管。我相信许多公司都这样做，但这可不是明智之举。因为当这种情况发生时，这将是一场真正的灾难。

是的，这可不是什么好兆头。

这显然是设计上的错误。

我绝不是故意这么说的。当然，政府和大型公司等组织会依赖安全公司和网络公司来发布更新，有时这些更新会像滚雪球一样。今年早些时候，我们基本上……

说公司需要时刻保持警惕，但你如何在经营企业的同时保持警惕？这很复杂。

这很困难，但我们确实对这些公司寄予了很大的信任。这发生在2020年。这是一次由供应链攻击造成的重大数据泄露事件。

那么，我今天为什么要谈论这个？格雷厄姆，在过去四年里，还有其他值得关注的故事吗？原因是，尽管2020年的攻击事件已经过去，但现在又有一些大型网络安全公司因为这次攻击事件而受到了指责。例如，Avira、Checkpoint、MDC和Ast等网络安全公司刚刚因试图掩盖SolarWinds攻击事件的影响而被美国证券交易委员会（SEC）处以罚款。

所以他们也受到了数据盗窃，但没有完全披露。

我没有透露所有细节。相反，他们试图掩盖真相。希望没有人会注意到。

数字世界里，他们互相争斗，所以规模很大。这有点像掩埋尸体。我不知道你有没有掩埋尸体，没有，没有。

不要试图把尸体藏在车底下。

即使是万圣节也不行。因为一旦被发现，就很难处理。你必须妥善地掩埋尸体。例如，Survey公司，他们装作没事。他们说，只有少数实习生的电子邮件被访问了。实际上，黑客已经从他们的云存储中窃取了至少145个文件。所以，你认为这有点严重吗？

所以他们从未告诉客户他们的数据被盗了，这真是太糟糕了。

然后，还有另一家公司，他们似乎甚至没有意识到自己被攻击了，直到一年后。所以，这家安全公司显然听说过SolarWinds的攻击事件，但即使是作为客户，他们也没有意识到自己也受到了攻击。直到2021年，整整一年后，他们才意识到。

你，在我面前，你并不喜欢这个。

不，你并不喜欢这个。你认为这非常糟糕。在Checkpoint的情况下，他们声称试图将攻击的影响降到最低。他们未能披露黑客窃取的代码的性质，以及被盗的凭证数量。

你看，人们做得太过分了。

这次攻击太过分了。因此，最终，我们责备安全公司不诚实地处理了事件。我们应该向其他受害者传达什么信息？要对客户坦诚相待。

希望他们不要对你太严厉。这比掩盖真相要好得多。他们将网络安全事件的风险描述为假设性的，嗯，这次特定假设的攻击事件中，Union公司实际上窃取了数GB的数据，这些数据流失了。

这有点像和火山约会，说，你知道，这火的东西有点假设性的风险。不，这可不是什么假设性的风险，它周围充满了火焰和火花。这比这复杂得多。

但现在他们要为此付出代价。Avira被处以400万美元的民事罚款，Checkpoint被处以100万美元的罚款，MDC被处以995,000美元的罚款。我不知道为什么我的汽车要为此支付99万多美元。当然，他们的品牌声誉也受到了损害。当然，事后发现此事的一些客户会非常失望。

是的，因为你对安全公司寄予了很大的信任，因为你知道他们也对你的系统进行了安全评估。他们拥有大量信息，以确保你的系统安全。

他们应该成为专家。我们信任这些公司来保护我们的数据。然而，他们似乎不知道如何处理自己的安全漏洞。

大多数公司都会试图淡化此事，这很可悲，但我认为他们想在诚实和保持每个人冷静之间找到平衡，这样他们就不必处理大量员工和客户的愤怒。

但不幸的是，其中一种情况是，你应该告诉人们，即使是坏消息，你也要告诉他们。这就像爷爷去世了，对吧？

如果爷爷去世了，这对每个人来说都是令人悲伤的。但你必须在某个时候告诉孙辈们爷爷已经不在了。你不能假装爷爷还活着。

我同意。

本周的新闻报道。

好的，好的。不出所料，整个大流行时期彻底改变了远程工作，我们的远程员工数量急剧增加。

报告显示，美国22岁至65岁的员工中，超过60%的人至少偶尔会远程工作，这与以前相比有了很大的增加。而且远程员工似乎效率更高。他们归因于减少了分心，减少了通勤时间，以及舒适的工作环境。你同意吗？你认为在家工作比在办公室工作更有效率吗？

自从我十年前在家工作以来，我已经很久没有在办公室工作了。我喜欢在家工作，但我可能喜欢所有这些分心，并且能够随时随地去公园散步，而不是在公交车上忍受拥挤。

多米尼克，员工们也喜欢远程工作。另一份报告显示，98%的远程员工希望在未来职业生涯中至少部分时间继续远程工作。这似乎对雇主也有好处，因为远程工作使公司能够利用全球人才库。调查显示，74%的企业计划永久将一些员工转为远程工作，以利用多样化和广泛人才的优势。

除非办公室租金上涨，或者你可以缩小办公室规模，因为人们每周只来一次，你可以根据需要安排不同的时间。你知道，这有很多财务原因，这可能对企业很有吸引力。

绝对是。所以，这给了员工更多选择，他们可以在不影响职业生涯的情况下选择居住地，而雇主不再需要局限于本国寻找人才。

双赢。当一家公司找到国际候选人来担任合同职位时，他们已经找到了合适的候选人。抓住机会非常明智，因为这个资源不会闲置太久。

但尽管有最好的意图，事情还是会出错，有时会非常出错，就像在这种情况中一样。所以，一家位于美国、英国或澳大利亚的公司，出于某种原因，选择匿名。

好的？所以，这家公司，我不知道他们为什么这么做。他们为什么这么费力？

这很有趣。所以他们找到了一位非常优秀的候选人来担任90天合同职位。他们通过了所有面试环节，并聘用了这位候选人。当然，工具、技术和访问权限都共享了，工作也开始了。有时，如果你是雇主，你可能会意识到候选人可能不适合这份工作。这可能是因为，尽管雇主有最好的意图，但可能不匹配，工作能力低，沟通不畅，或者他们穿着奇怪的衣服参加视频会议，或者违反了规则，等等。

是的，我遇到过类似的情况，我不会说哪一个，但类似的情况经常发生在我开始新工作时。

现在，在这种特殊情况下，公司指责候选人表现不佳，这导致了合同终止。这很合理，公司似乎决定停止亏损，终止咨询关系，因为他的工作表现不佳。这本应该就此结束，但合同终止后，公司开始收到包含被盗数据的电子邮件附件，这些数据来自他们自己的系统。然后，公司收到一封电子邮件，要求支付数额巨大的赎金，以防止信息被公开。

你的意思是说要卖掉它吗？

我提到过，这位假冒合同工的简历完全是假的。事实证明，这位假冒合同工实际上来自朝鲜。

现在，这有点复杂。这不仅仅是一个不满的员工，因为被解雇了。这可能是一个怀有某种意图的人，进入组织。

情况非常糟糕。是的。所以，基本上，这家公司意外地雇用了一名朝鲜IT员工来远程工作。

这名员工窃取了数据，然后在被解雇后试图勒索公司。这并非新鲜事。朝鲜员工试图在西方获得工作。此前，美国联邦调查局（FBI）表示，有数千名朝鲜IT员工假扮成非朝鲜人，以获得美国远程工作，以向朝鲜政府提供资金。

是的，我最近一直在阅读杰夫·怀特的文章。关于他们的尝试，我指的是，这显然比他们尝试的其他攻击规模要小，但这一切都是为了获得加密货币，以及……

安全工作告诉商业内幕，其反威胁部门在匿名公司（位于美国或澳大利亚）收到勒索要求后发现了这些活动。他们确定……

这些活动，但他们没有确定发生在哪个国家。是的，很好。我们不知道……

公司是否支付了赎金。对此没有信息。但许多公司由于对朝鲜的国际制裁而被禁止支付赎金。

是的。然而……

通过朝鲜欺诈IT员工计划获得的薪水试图规避这些制裁，为该国创造收入。

对吗？那么，它是如何运作的？例如，他们是否在美或澳设立银行账户，然后将款项存入该账户？然后他们将其转换为加密货币，并将其运回朝鲜？

所以，你可能有一个中间人来收集款项，你可能有一个美国的地址，说，是的，我收到了所有技术，发送到美国的地址。非常感谢。是的。

然而，在这种特殊情况下，情况略有不同。安全工作表示，在稳定获得薪水后，他们正在寻找更快地获得更高数额赎金的方法，通过从公司防御内部窃取数据进行勒索。他们建议公司实施严格的身份验证程序，进行面对面或视频面试，并密切关注可疑请求，以及将公司IT设备重定向到个人家庭地址。

这件事并非如此，即使你没有和某人面试，也可能另有其人，新闻实际上是在做这项工作，所以他们可能有一些幌子人物，无论是在Zoom通话中，还是不太可能，如今，也许是在桌面上进行IT操作，而面试通过的人，哦，谢谢。你真是太棒了。然后，朝鲜人接管了实际的网络攻击和数据渗透。你知道。

问题是，它打开了另一种蠕虫，因为两边都有骗局。员工可能会被假公司骗取他们的详细信息，雇主也可能会被假员工骗取。所以，你知道，员工被告知要非常小心地与新公司分享详细信息，直到他们完全确定该公司的合法性。

我见过一些建议，例如，检查公司是否有合法网站，检查公司电子邮件地址，检查其领英资料。这些都是很容易创建的。是的。

在另一边。

我们有警惕招聘诈骗的公司，他们被告知要更加严格地审查。虽然这些额外步骤是必要的，但它阻碍了好人找到好工作。那合法或对话，你明白我的意思吗？因为双方都在进行。

验证你的身份。把你的护照发给我。把你的银行资料发给我，员工们说，不，你们不匹配。向我展示你的合法性，是的。

我认为你是对的。如果我们正在面试工作，他们要求我们做太多事情，那么在某个时候，你明白吗？不，我们不会这么做。你太难相处了，你知道吗？我们想轻松一点，伙计们。

是的，嗯，据报道，亚马逊已经强制规定，无论如何，到2025年，每位员工都必须全职回办公室，并且对此有很大的抗议，大约有70%的人说，因为这样，他们正在寻找新的工作。

是的，你能想象在亚马逊办公室工作是什么样子吗？

不，我的意思是，是的，我认为现在大多数人都在想，天哪，我们以前如何在办公室全职工作？这是怎么发生的？

每次你的工作中断？

这里的主要问题是远程工作也有其成本，尤其当你涉足国际水域时。一切都会变得更加复杂。所以，我不知道。猜猜建议是什么。

无论你的节俭程度如何，你的公司安全计划的规模都表明，安全实践和建立信任比以往任何时候都更加重要。Venter自动处理投诉，从sock到我看到的27001个以上，节省你的时间和金钱，同时帮助你赢得客户信任。此外，你可以通过自动化问卷调查并展示你的安全姿态来简化安全审查。

一个面向客户的信任中心，所有这些都由Venter AI提供支持，超过7000家全球公司，例如Latian Flow Health和Cora，使用Venter来管理风险并实时证明安全性。访问venter.com/smashing，即可获得1000美元的Venter。这是venter.com/smashing。1000美元的。

一个重要的问题。你的最终用户是否始终，我的意思是始终，没有例外，在公司拥有的设备和IT批准的设备上工作？我不这么认为。

所以我的下一个问题是，当你的公司数据存储在所有这些未经管理的设备上时，如何保护你的公司数据？OnePassword有一个答案，它被称为扩展访问管理。OnePassword扩展访问管理可帮助你保护每个应用程序在每个设备上的每个登录。

因为它解决了问题。传统的IAM和MDM无法触及，自己去onepassword.com/smashing看看。这是onepassword.com/smashing。感谢OnePassword支持团队在节目中出现，欢迎回来，加入我们节目中最喜欢的部分，公众展示部分，我们想冷却一下，选择本周。

选择。

因为本周是展示每个人选择的部分，看起来可能是一本他们正在观看的书、电视节目、电影、唱片、播客或小睡，无论他们想做什么。它不必与安全相关。

必要，更好，不是。

嗯，我本周的选择与安全无关。我本周的选择是一部我观看Channel 4节目的纪录片。这部纪录片名为《卧底：揭露极右翼》。

这是一部引人入胜的纪录片，我昨晚观看，追踪了反法西斯组织“希望不仇恨”及其成员的工作，他们追踪极右翼极端分子，进行卧底行动并渗透组织。哇。这是“希望不仇恨”首次允许摄像机跟随其卧底团队。

我认为这很有趣，因为很容易以刻板印象的方式看待极右翼抗议者，对吧？我设想有人，你知道，穿着皮肤头盔，愤怒的暴徒，以及对想要白人的人的辱骂和虐待。但是，在观看这部纪录片时，我注意到的一件事是该运动的幕后操纵者，那些位于顶层的人，在某些情况下，他们就像堪培拉大学毕业生一样，谈吐优雅，他们不一定会在游行中殴打人。

但相反，他们试图形成一个由对乌托邦学说着迷的精英群体，他们有可能影响权力人物。在这项特别的调查中，这些人正在寻找志同道合的百万富翁来资助他们的右翼种族主义议程。所以我们有这个年轻的旅行者。

哈里·肖克曼。他进行了卧底行动。他以前从未使用过隐藏摄像头，但他进行了卧底行动。他假装自己赚了很多钱，正在寻找投资机会，他假装自己是种族主义者，开始更多地了解这个极右翼团体是如何运作和组织的，他们正在做什么，以及他们的神秘百万富翁科技投资者是谁。所以还有另一个人，也会为这个特定的运动投入大量资金。

这有点像这些调查记者正在进行的社会工程，在这种情况下，有点像这种整个卧底行动。这基本上是一样的。

是的，也许不是数字社会工程，但在现实生活中。但我可以想象，看着它绝对令人毛骨悚然，令人提心吊胆。当然，我们最近在英国看到了极右翼的活动。

这部电影也涵盖了这一点。这个组织“希望不仇恨”帮助识别了幕后的一些人。

所以，这是一部非常有趣的纪录片，我说，我在英国的Channel 4上观看。它本应在最近几天在伦敦电影节上放映。

但在最后一刻，由于安全问题，它被撤下了，因为来自，你可以想象，关于播出这部纪录片的惯常嫌疑人，已经做出了威胁。无论如何，我强烈推荐这部非常精彩的纪录片。这就是为什么《卧底：揭露极右翼》是我本周的选择，而不是爱、笑、IOI。

我认为你可能会觉得很有趣。过来。

你本周的选择是什么？好吧，我可能要打破常规，我这样做是完全知道我以前有过这个本周选择。什么？

是的，是的。在一年中令人毛骨悚然的时刻。你知道，美国大选也快到了。

非常可怕。非常令人不安。是的。

所以我想，我曾经看过的最可怕的电影是什么？你有什么答案？我问你？

我曾经看过的最可怕的电影？或者可能像1970年代的《夺魂种子》之类的电影，我认为那很可怕。好的，最可怕的电影是什么？你有没有看过《闪灵》？

谢谢你的提问。不，1973年的电影是《驱魔人》。绝对是我见过的最可怕的电影。

这可能是我年轻时看过的，但每次观看它都令人毛骨悚然，但比《驱魔人》更令人毛骨悚然的是，我去年观看的BBC纪录片，关于《驱魔人》的制作，《驱魔人》25周年。这是与马克·凯莫德一起。他是一位才华横溢、引人入胜的英国电影文化人士。这部纪录片让我大开眼界，因为电影制作过程中发生了很多错误。

是的。如果你看过这部电影，它会让你感到害怕，就像她看起来很害怕。当你观看纪录片时，你意识到，是的，他真的那样。你意识到为什么？

因为导演是威廉·弗里德金。他应该。

成为威廉·弗里德金。所以这是我在第294集中的本周选择。这是我在第390集中的本周选择，因为它是一部非常棒的纪录片。

但是作为奖励，我还提供了一个关于《驱魔人》的简短8分钟文章链接，供马克·凯莫德的播客《凯莫德和梅奥的观点》使用。这是一个关于电影的伟大资源，有500多集或更多。所以，像我们这样的播客老手。

线索。所以我从未有意观看过《驱魔人》。我避免了它，因为我听说过它。它并没有真正吸引我。

我看了纪录片。

我有点害怕。我对这部纪录片很感兴趣。纪录片很棒，但我想知道，你说它很可怕。你有没有看过《夺魂种子》？

没有。

植物接管世界真的很可怕。嗯，这差不多就结束了本周的节目。你可以关注我们，在Twitter上关注@SmashinSecurity，不要错过我们的节目，在你的播客应用中关注Smashing Security，例如Apple Podcasts和Pocket Casts。

感谢我们的节目赞助商Venter和OnePassword，当然还有我们很棒的Patreon社区，他们帮助我们免费提供这个节目。节目笔记、赞助信息、猜测以及超过289集的完整节目目录，对不起，超过389集的节目目录，请访问smashingsecurity.com。所以，下一次，谢丽。

我差点就用一百个强调来强调，就像那样，就像，砰，是的，一个失误，谁失去了一百。

节目数据。