S3 Ep104: Bør ransomware-angribere på hospitaler låses inde på livstid? [Lyd + tekst]

Klik og træk på lydbølgerne nedenfor for at springe til ethvert punkt. Du kan også lytte direkte på Soundcloud.

DOUG.  Der er masser af juridiske problemer, en mystisk iPhone-opdatering og Ada Lovelace.

Alt det og mere på Naked Security Podcast.

[MUSIK MODEM]

Velkommen til podcasten, alle sammen.

Jeg er Doug Aamoth; han er Paul Ducklin.

Paul, hvordan har du det i dag, sir?

---

AND.  Jeg har det godt, Doug...

…bortset fra nogle mikrofonproblemer, fordi jeg har været lidt på farten.

Så hvis lydkvaliteten ikke er perfekt i denne uge, er det fordi jeg har været nødt til at bruge alternativt optageudstyr.

---

DOUG.  Nå, det fører os ekspert ind i vores Teknisk historie segment om ufuldkommenhed.

---

AND.  [IRONISK] Åhhhhh, tak, Doug. [griner]

---

DOUG.  Den 11. oktober 1958 opsendte NASA sin første rumsonde, Pioneer One.

Det var beregnet til at kredse om månen, men det lykkedes ikke at nå månens kredsløb takket være en vejledningsfejl, faldt tilbage til Jorden og brændte op ved genindtræden.

Selvom det stadig indsamlede værdifulde data under sin 43 timers flyvning.

---

AND.  Ja, jeg tror, ​​at den nåede 113,000 km over Jorden... og Månen er kun 400,000 km væk.

Min forståelse er, at det gik lidt væk fra målet, og så forsøgte de at rette, men de havde ikke den granularitet af kontrol, som de har i disse dage, hvor man kører raketmotoren for et lille lille udbrud.

Så de rettede, men de kunne kun rette så meget... og til sidst regnede de med, "Vi kommer ikke til månen, men måske kan vi få den ind i en høj kredsløb om Jorden, så den bliver ved med at gå rundt Jorden, og vi kan blive ved med at få videnskabelige målinger?”

Men i sidste ende var det et spørgsmål om, "Hvad der går op... [GRNER] skal komme ned."

---

DOUG.  Nemlig. [griner]

---

AND.  Og, som du siger, det var som at skyde en meget, meget, meget kraftig kugle ud i det ydre rum, et godt stykke over Kármán-linjen, som kun er 100 km, men i en sådan retning, at den faktisk ikke undgik indflydelsen fra Jorden i det hele taget.

---

DOUG.  Men ret godt til et første forsøg?

Jeg mener, ikke dårligt... det er 1958, hvad forventer du?

Jeg mener, de gjorde deres bedste og fik en tredjedel af vejen til månen.

Nå, når vi taler om, at folk ikke gør deres bedste og styrter, så har vi en slags lynrunde af juridiske historier her...

…startende med vores ven Sebastien Vachon-Desjardins, som vi har talt om før.

Han er med varmt vand i Florida og måske videre:

---

AND.  Ja, vi har talt om ham på podcasten, tror jeg, et par gange.

Han var en notorisk travl affiliate af NetWalker ransomware-as-a-service besætningen.

Med andre ord, han skrev ikke ransomwaren... han var en af ​​angriberne, indbryderne og deployerne af den.

Så vidt jeg ved, var han ret opsat på ransomware: han sluttede sig så at sige til flere af disse bander; tilmeldt flere klubber.

Tilsyneladende kan han have tjent så meget som en tredjedel af den samlede NetWalker-bandes indtjening, så han var meget energisk.

Så vi taler om mange millioner dollars, som han tjente til sig selv, og selvfølgelig gik 30 % af det til kernefolkene.

Han blev arresteret i Canada, han blev sendt i fængsel...

…og så blev han specielt løsladt fra fængslet i Canada.

Ikke fordi de havde ondt af ham: De løslod ham fra fængslet, så han kunne blive udleveret til USA, hvor han besluttede at erkende sig skyldig og fik 20 år.

Når han er færdig med de 20 år i føderalt fængsel, vil han tilsyneladende blive deporteret til Canada, og han vil gå direkte tilbage for at afslutte sine syv år i Canada.

Og hvis jeg husker rigtigt, bemærkede dommeren i den sag, at der er tale om en ransomware-bande, der blandt andet er berygtet for at angribe sundhedsinstitutioner, hospitaler; mennesker, der virkelig, virkelig ikke har råd til at betale, og hvor forstyrrelsen virkelig, virkelig direkte påvirker folks liv...

... dommeren sagde tilsyneladende ord i retning af: "Hvis du ikke faktisk havde besluttet dig for at erkende dig skyldig, så ræk hånden op for lovovertrædelsen, ville jeg have idømt dig livsvarigt fængsel."

---

DOUG.  Ja, det er vildt!

OK, også lidt lavt: den tidligere Uber CSO Joe Sullivan ... denne historie er også vild!

De svarer på et brud, der skete med regulatorerne, og mens de svarer på det brud, der skete, sker der *et andet* brud, og der er coverups:

---

AND.  Ja, det var en stærkt overvåget historie af en stor del af cybersikkerhedssamfundet...

Fordi Uber har betalt alle mulige bøder, og tilsyneladende var de enige om at samarbejde, men det var ikke det firma, der blev sigtet.

Dette var den person, der angiveligt var ansvarlig for sikkerheden - han havde tidligere været på Facebook og blev derefter lokket til Uber.

Hvad angår juryen, var det ikke så meget, at skurkene blev betalt i denne sag, det er, at de blev betalt for at lade som om, at databruddet var en bug-bounty; at de afslørede det ansvarligt i stedet for rent faktisk at stjæle dataene og derefter afpresse dem.

Og, selvfølgelig, den anden del af dette er, tror jeg... Jeg er ikke sikker på, hvordan du siger dette ord, for du hører det ikke i Storbritannien, men det er "misprision"... Jeg tror, ​​det er sådan, du siger det .

Det betyder dybest set "at dække over en forbrydelse".

Og det handler selvfølgelig om det faktum, at de, som du siger, er midt i en undersøgelse, de bliver gennemgået af FTC... du er ved at overbevise dem. "Ja, vi har taget en hel masse forholdsregler siden sidst."

Og midt i forsøget på at fremføre din sag og sige: "Nej, nej, vi er meget bedre, end vi var"...

… åh, skat, du mister ikke bare nogle rekorder, hvad var det?

Mere end 50 millioner optegnelser relateret til folk, der havde taget Ubers, kunder.

Syv millioner chauffører, og det omfattede kørekortnumre for 600,000 chauffører og SSN'er (cpr-numre) for 60,000.

Så det er ret alvorligt!

Og så prøver vi bare at sige: "Nå, lad os [HOSTER MENINGSFULLT] gøre det, så vi ikke behøver at fortælle det til nogen, og lad os så gå hen og få skurkene til at underskrive fortrolighedsaftaler." [griner]

Speaker1
Åh, gud!

---

AND.  Ikke sjovt, Doug!

---

DOUG.  Meget godt.

Og lidt mere skåret og tørret...

Hvis du opretter en app, der foregiver at være forbundet med WhatsApp, og du indsamler brugeroplysninger, vil WhatsApp komme efter dig!

---

AND.  Ja, dette er et tilfælde af WhatsApp og Meta.

Det lyder lidt underligt at sige dem begge, men jeg gætter på, at begge juridiske enheder (WhatsApp ejes af Meta) har besluttet, "Nå, hvis du ikke kan slå dem, så sag dem!"

Så dette er legitimations-tyveri, så konti kan grundlæggende bruges til at sende falske beskeder.

Spam, dybest set, men sikkert også masser af svindel, ikke?

Hvis du har mit kodeord, kan du kontakte alle mine venner og sige: "Hey, jeg tjente masser af penge ud af denne kryptomønt-fidus", og fordi det er *mig*, der siger det i stedet for en tilfældig person uden for internettet, kan være mere tilbøjelig til at tro det.

Så WhatsApp regnede med, "Godt, vi vil bare sagsøge dig og prøve at lukke dine virksomheder ned på den måde. Og det ville grundlæggende give os et redskab til at tvinge alle disse apps til at blive fjernet, uanset hvor de måtte dukke op."

Desværre havde skurkene gjort nok forræderi til at snige dem ind i Google Play.

Så anklagen er, at de "vildledte mere end 1 million WhatsApp-brugere til selv at kompromittere deres konti som en del af et kontoovertagelsesangreb."

Og ved selvkompromis betyder det, at de lige har præsenteret brugerne for en falsk login-side og dybest set har givet deres legitimationsoplysninger.

Formentlig beholdt de dem og misbrugte dem bagefter...

---

DOUG.  OK, det holder vi øje med.

Fortæl os nu, hvad har en grevinde, der levede i første halvdel af det 19. århundrede, at gøre med databehandling og datalogi?

---

AND.  Det ville være Ada Lovelace.

Eller mere formelt Ada, grevinde af Lovelace… hun giftede sig med en fyr, der blev kaldt Lord Lovelace, så hun blev Lady Lovelace:

Hun var af aristokratisk stamme, og dengang gik kvinder generelt ikke ind i videnskab.

Men det gjorde hun: hun var opsat på matematik.

Og hun mødte, som ung, som teenager, tror jeg, Charles Babbage, som er berømt for at have opfundet Difference Engine, som kunne beregne ting som trig-tabeller.

Så derfor var den britiske regering interesseret, for hvor du kan lave trigonometri, kan du lave artilleritabeller, og det betyder, at du kan gøre dine skytter mere præcise til lands og til vands.

Men så tænkte Babbage: "Det er bare en lommeregner (i moderne terminologi). Hvorfor bygger jeg ikke en almindelig computer?"

Og han designede en ting, der hedder den analytiske motor.

Og det var det, Ada Lovelace virkelig var interesseret i.

Faktisk tror jeg, at hun tilbød at være Babbages VC på et tidspunkt, hans venturekapitalist: "Jeg bringer pengene ind, men du skal overlade driften af ​​forretningsdelen til mig. Lad mig bygge forretningen for dig!

---

DOUG.  Det er virkelig fantastisk.

Til alle, der lytter til dette...

… mens du lytter til denne historie, vil jeg gerne have, at du husker på, at hun døde som 36-årig.

Hun gør det hele i 20'erne og begyndelsen af ​​30'erne.

Fantastiske ting!

---

AND.  Hun døde af livmoderkræft, så hun havde virkelig ondt og var ude af stand til at arbejde til sidst.

Og hun ville ikke bare være forretningsmanden bag det, "Hej, lad mig bygge en virksomhed."

Babbage, tror jeg, havde en lille smule bitterhed over for etablissementet for ikke at komme ind; han ville gøre det på en mere traditionel måde: "Nej, jeg vil gerne bevise, at jeg har ret", i stedet for at sige: "Ja, bare gå hen og find pengene til mig," som måske er fremgangsmåden i dag.

Så den forretningsside, hun foreslog, forsvandt aldrig.

Men hun var i det væsentlige også verdens første computerprogrammør ... bestemt var hun den første publicerede computerprogrammør.

Du kan forestille dig, at Babbage pillede ved sin analytiske motor... han fandt sikkert på nogle programmer før hun gjorde, men han indså dem aldrig.

Og bestemt udgav han aldrig, som hun gjorde, en afhandling om, hvorfor denne analytiske motor var vigtig, og det faktum, at den faktisk kunne meget mere end blot numeriske beregninger.

Hun havde en vision om, at lommeregnere lagde tal sammen, men hvis man kunne lave numeriske beregninger og på baggrund af dem træffe beslutninger (det vi nu kan kalde HVIS...SÅ...ANDEN), så kunne man faktisk repræsentere og arbejde med alle mulige andre ting, såsom logiske påstande, udtænke beviser eller endda arbejde med musik, hvis du havde en matematisk eller numerisk måde at repræsentere musik på.

Nu ved jeg ikke, om digital musik nogensinde vil tage fart, Doug, men hvis den nogensinde gør det...

---

DOUG.  [GRNER] Vi har Ada Lovelace at takke!

---

AND.  Hun var der i 1840 og tænkte og skrev om dette!

Hun var, tro det eller ej, datter af den berømte (eller berygtede) digter Lord Byron.

Tilsyneladende gik hendes mor og far fra hinanden, så jeg tror ikke på, hun nogensinde har mødt ham – hun var en slags "ukendt datter" for ham.

Nu var Byron berømt på ferie i Schweiz engang, hvor regn holdt ham og vennerne, som han holdt ferie med indendørs.

Og de venner var Percy og Mary Shelley.

Og Byron sagde: "Hey, lad os lave en konkurrence om rædselshistorie!" [LATTER]

Og hvad han gjorde, og hvad Percy Shelley gjorde, blev til ingenting; ingen husker, hvad de skrev.

Men Mary Shelley... det var åbenbart der, hun fandt på Frankenstein...

---

DOUG.  Wow!

---

AND.  … eller den moderne Prometheus, som i bund og grund handler om kunstig intelligens og menneskeskabte tankemaskiner, hvis du vil, og hvordan det ender galt.

Og Ada, Byrons datter, var faktisk den første person, der skrev på en videnskabelig måde om "Kan maskiner tænke?" i de noter, hun skrev på Analytical Engine.

Hun delte *ikke* de samme bekymringer om rædselshistorien, som hendes fars kammerater havde.

Den måde, hun skrev det på (videnskabsmænd havde generelt en mere litterær tilbøjelighed i de dage):

Den analytiske motor har ingen forudsætninger om at skabe noget som helst. Den kan gøre alt, hvad vi ved, hvordan den skal udføres. Den kan følge analyse, men den har ingen magt til at forudse nogen analytiske relationer eller sandheder.

Så hun så computerenheder, almindelige computerenheder, som en måde at hjælpe os med at forstå og finde ud af ting, som ville være umulige for almindelige menneskelige sind at gøre.

Men jeg tror ikke, hun troede, at de kunne være en erstatning for menneskelige sind.

---

DOUG.  Og igen, husk på, at hun skriver dette i 1842...

---

AND.  Nøjagtig!

Det er én ting at hacke i det virkelige liv; det er noget andet at hacke på imaginære computere, som du ved *kunne* eksistere, men ingen har bygget en endnu.

---

DOUG.  [GLAT] Præcis.

---

AND.  Problemet var, fordi disse computere var mekaniske og krævede mekaniske gear, krævede de absolut perfektion i fremstillingen.

Eller der ville bare være denne kumulative fejl, der ville få dem til at låse sig på grund af tilbageslag, det faktum, at gearene ikke passer perfekt.

Og jeg tror, ​​som vi har sagt i podcasten før, ironisk nok, at det tog designet af digitale computere, som i det væsentlige er udvidelser af den analytiske motor, der kan styre computeriserede metalskæremaskiner med tilstrækkelig præcision...

…før vi kunne lave en Difference Engine eller en Analytical Engine, der rent faktisk fungerede.

Og hvis det ikke er en fascinerende cirkulær historie, ved jeg ikke, hvad der er!

Så Ada Lovelace var midt i dette: proselytiser; evangelist; videnskabsmand; matematiker; computer videnskabsmand; og som en spirende venturekapitalist, der sagde til Babbage: "Slip alle dine forretningsinteresser; aflever dem til mig. Jeg bevæger mig i de rigtige kredse for at finde pengene til dig – jeg får investeringen! Lad os se, hvad vi kan gøre med det her!"

Og på godt og ondt bøjede Babbage det og døde tilsyneladende i det væsentlige i fattigdom, snarere en knust mand.

Man kan spørge sig selv, hvad der kunne være sket, hvis han havde gjort det...

---

DOUG.  Det er en fascinerende historie.

Jeg opfordrer dig til at gå til Naked Security for at læse den.

Det hedder Flyt over, Patch Tuesday – det er Ada Lovelace-dag.

Fantastisk lang læsning, meget interessant!

Og lad os nu slutte af med dette mystisk iPhone-opdatering, som er en såkaldt "one-bug fix".

Disse er ikke almindelige:

---

AND.  Nej, for det meste når du får dine Apple-opdateringer (fordi du ikke ved, hvornår de kommer – der er ikke en Patch Tuesday, hvor du kan forudsige), kommer de bare...

…der er denne gigantiske liste over ting, som de har rettet siden sidst, de lavede.

Og indimellem er der en nul-dages, massiv nødsituation, og du får en Apple-opdatering, der siger: "Åh, jamen, vi ordner en eller måske to ting."

Og denne ankom lige pludselig, kun til iOS 16.

Jeg var ved at gå i seng, Doug... det var ret sent, og jeg tænkte, jeg vil lige se på min e-mail, se om Doug har sendt mig noget. [LATTER]

Og der var denne ting fra Apple: iOS 16.0.3.

Og jeg tænkte: "Det er pludseligt! Jeg spekulerer på, hvad der er gået galt? Det må være en nuldag."

Så jeg gik ind i sikkerhedsbulletinen... det er ikke en nuldag; det er kun et denial-of-service (DoS) angreb; ikke en egentlig fjernudførelse af kode.

Mail-appen kan fås til at gå ned.

Og alligevel skubbede Apple pludselig denne opdatering ud, og den siger bare:

Virkning: Behandling af en ondsindet e-mail-besked kan føre til lammelsesangreb. Et inputvalideringsproblem blev løst med forbedret inputvalidering.

Mærkelig dobbeltbrug af ordet validering der...

CVE-2022-22658.

Og det er alt, hvad vi ved.

Og der står ikke "Åh, det blev rapporteret af en sådan og sådan en fejljagtgruppe", eller "Takket være en anonym forsker", så jeg formoder, at de selv fandt det.

Og jeg kan kun gætte på, at de følte, at de var nødt til at ordne dette virkelig hurtigt, fordi det ved et uheld kunne låse dig ude af din telefon eller gøre den næsten ubrugelig.

For det er problemet med denial-of-service-fejl, når de er i beskedapps, ikke?

Du tænker på lammelsesangreb... appen går ned; woo hoo, du starter det bare igen.

Men problemet med en beskedapp er, at: [A] den har en tendens til at køre i baggrunden, så den kan modtage en besked til enhver tid; [B] du kan ikke vælge, hvem der sender dig beskeder, det gør andre mennesker; og [C] kan det være, at for at komme ind i appen for at slette den falske besked, skal du vente på, at appen indlæses, og den bestemmer sig. "Åh. Jeg er nødt til at vise dig denne besked om, at du vil slette...", CRASH!

Det jeg kalder en CRASH: GOTO CRASHfejl.

Med andre ord, måske kan du ikke rette det, for mens du starter din telefon, eller hvis du genstarter din telefon, når du når til det punkt, at du kan hoppe ind og trykke på slet i beskeden...

…appen er allerede gået ned igen; for sent!

Vi ved, at der før har været såkaldte "text of death"-problemer i iOS.

Vi har en liste over dem i Naked Security-artiklen – de har lavet ret fascinerende historier.

Så vi ved ikke, om det var et billede, den måde, glyffer (karakterbilleder) dannes på, tegnkombinationer, tekstretning... vi ved det ikke.

Det er bestemt værd at få patchen, for min mavefornemmelse er, hvis Apple synes, det er vigtigt nok at sætte det i sikkerhedsbulletinen, som har den ene-og-en-en rettelse, når det ikke er en dag på nul, og det ikke er fjernkode. henrettelse, og det er ikke forhøjelse af privilegier...

…så er de sikkert bekymrede for, hvad der ville ske, hvis andre fandt ud af det!

Så det burde du måske også være.

Det er også, Doug, en fantastisk påmindelse om, at selvom folk har en tendens til at prioritere sårbarheder fra fjernudførelse af kode øverst; derefter forhøjelse af privilegier og derefter informationslækage...

...denial of service er, "OK, serveren kan gå ned, men jeg kan altid starte den op igen."

Det kan ikke desto mindre være et rigtig besværligt problem.

Selvom det muligvis ikke stjæler dine data eller ransomware dine filer, kan det alligevel forhindre dig i at bruge din computer, komme til dine data og udføre rigtigt arbejde.

---

DOUG.  Ja, vi har problemet her, at du skal opdatere, men hvis du oplever dette problem, kan du muligvis ikke komme til opdateringen, hvis din telefon bliver ved med at gå ned!

Så det leder os ind i vores læserspørgsmål for ugen.

Her på indlægget, som vi taler om, spørger Naked Security-læser Peter:

Ikke en Apple-bruger her, men er der ikke en mulighed for Apple-brugere at logge ind på deres e-mail-konti i en browser, der forhåbentlig ikke går ned som appen og slette mailen der i stedet for at slette din enhed?

---

AND.  Nå, det er helt sikkert rigtigt for mig.

Som jeg bruger min iPhone, kan jeg læse den samme mail på min telefon som i webappen i min browser.

Så det er et godt udgangspunkt, hvis du er låst ude af din telefon, og hvis du tilfældigvis har en bærbar computer ved hånden.

Problemet er, at når du har slettet mails, f.eks. i din webbrowser eller via den oprindelige app på din bærbare computer...

…din telefon Mail-app skal stadig synkronisere med serveren for at vide, at den skal slette disse beskeder.

Og hvis den på vejen derhen behandler beskeden, som den nu er ved at slette, kan den alligevel komme i den crashtastiske situation, ikke?

Så problemet med den kommentar er det eneste rigtige svar, jeg kan give, er: "Ikke nok info. Kan ikke sige med sikkerhed. Men jeg håber virkelig, at du kan gøre det!"

---

DOUG.  Prøv det i det mindste.

---

AND.  Ja, prøv det!

Hvis du virkelig bliver låst ude, så din telefon går i stykker med det samme den starter, kunne du godt tænke dig at gøre det, som Apple kalder en DFU (direkte firmwareopdatering), hvor du stort set starter på en frisk.

Men problemet er at gøre det muligt (for at forhindre, at det bliver brugt til ondskab), det involverer i det væsentlige en tørre-og-start-forfra.

Så du ville miste alle data på telefonen, forudsat at det ville fungere.

Så jeg gætter på, at svaret på det spørgsmål er...

Prøv den mindst påtrængende måde at løse det på, som du kan først.

Prøv at "slå appen" på telefonen, besked-appen.

Dette er, hvad der fungerede for nogle af de tidligere iOS-ting.

Du genstarter stort set din telefon; [SPEED UP] du indtaster din låsekode rigtig hurtigt; [TALER VIRKELIG HURTIGT] du kommer ind i appen så hurtigt du kan, og du klikker på slet...

…inden telefonen når frem og starter den proces, der til sidst løber tør for hukommelse.

Så du har måske nok tid til at gøre det på selve telefonen.

Hvis ikke, så prøv at gøre det via en ekstern app, der administrerer det samme sæt data.

Og hvis det sidder helt fast, så formoder jeg, at en flash-og-geninstallation er din eneste løsning.

---

DOUG.  Okay, tak, Peter, fordi du sendte det ind.

Hvis du har en interessant historie, kommentar eller spørgsmål, du gerne vil indsende, vil vi meget gerne læse på podcasten.

Du kan sende en e-mail til tips@sophos.com; du kan kommentere på enhver af vores artikler; eller du kan slå os op på socialt: @nakedsecurity.

Det er vores show for i dag.

Mange tak fordi du lyttede.

For Paul Ducklin er jeg Doug Aamoth, og minder dig om, indtil næste gang...

---

BEGGE.  Bliv sikker.

[MUSIK MODEM]