S3 Ep104: Πρέπει οι εισβολείς ransomware στα νοσοκομεία να μένουν ισόβια αποκλεισμένοι; [Ήχος + Κείμενο]

Κάντε κλικ και σύρετε στα ηχητικά κύματα παρακάτω για να μεταβείτε σε οποιοδήποτε σημείο. Μπορείτε επίσης να ακούστε απευθείας στο Soundcloud.

ΖΥΜΗ.  Τα νομικά προβλήματα αφθονούν, μια μυστηριώδης ενημέρωση iPhone και η Ada Lovelace.

Όλα αυτά και πολλά άλλα στο Naked Security Podcast.

[ΜΟΥΣΙΚΟ ΜΟΝΤΕΜ]

Καλώς ήρθατε στο podcast, όλοι.

Είμαι ο Doug Aamoth. είναι ο Paul Ducklin.

Paul, πώς τα πάτε σήμερα, κύριε;

---

ΠΑΠΙΑ.  Είμαι πολύ καλά Νταγκ…

…εκτός από κάποια προβλήματα με το μικρόφωνο, γιατί ήμουν λίγο στο δρόμο.

Έτσι, αν η ποιότητα του ήχου δεν είναι τέλεια αυτή την εβδομάδα, είναι επειδή χρειάστηκε να χρησιμοποιήσω εναλλακτικό εξοπλισμό ηχογράφησης.

---

ΖΥΜΗ.  Λοιπόν, αυτό μας οδηγεί έμπειρα στο δικό μας Τεχνολογική Ιστορία τμήμα για την ατέλεια.

---

ΠΑΠΙΑ.  [ΕΙΡΩΝΙΚΟ] Ωχχχ, ευχαριστώ, Νταγκ. [ΓΕΛΙΑ]

---

ΖΥΜΗ.  Στις 11 Οκτωβρίου 1958, η NASA εκτόξευσε το πρώτο της διαστημικό σκάφος, το Pioneer One.

Προοριζόταν να κάνει τροχιά γύρω από το φεγγάρι, αλλά απέτυχε να φτάσει σε τροχιά σελήνης χάρη σε ένα σφάλμα καθοδήγησης, έπεσε πίσω στη Γη και κάηκε κατά την επανείσοδο.

Αν και συνέλεξε πολύτιμα δεδομένα κατά τη διάρκεια της 43ωρης πτήσης του.

---

ΠΑΠΙΑ.  Ναι, πιστεύω ότι έφτασε στα 113,000 χιλιόμετρα πάνω από τη Γη… και η Σελήνη απέχει μόλις 400,000 χιλιόμετρα.

Καταλαβαίνω ότι πήγε λίγο εκτός στόχου και μετά προσπάθησαν να το διορθώσουν, αλλά δεν είχαν την ευαισθησία ελέγχου που έχουν αυτές τις μέρες, όπου λειτουργείς τον κινητήρα του πυραύλου για μια μικρή ριπή.

Διόρθωσαν λοιπόν, αλλά μπορούσαν μόνο να διορθώσουν τόσα πολλά… και στο τέλος σκέφτηκαν, «Δεν πρόκειται να φτάσουμε στο φεγγάρι, αλλά ίσως μπορέσουμε να το φέρουμε σε μια υψηλή τροχιά της Γης, ώστε να συνεχίσει να πηγαίνει γύρω τη Γη και μπορούμε να συνεχίσουμε να λαμβάνουμε επιστημονικές μετρήσεις;»

Αλλά στο τέλος ήταν ένα ερώτημα: «Τι ανεβαίνει… [ΓΕΛΙΑ] πρέπει να κατέβει».

---

ΖΥΜΗ.  Ακριβώς. [ΓΕΛΙΑ]

---

ΠΑΠΙΑ.  Και, όπως λέτε, ήταν σαν να πυροβολούσατε μια πολύ, πολύ, πολύ ισχυρή σφαίρα προς το διάστημα, πολύ πάνω από τη γραμμή Kármán, η οποία είναι μόλις 100 χιλιόμετρα, αλλά σε τέτοια κατεύθυνση που στην πραγματικότητα δεν ξέφυγε από την επιρροή του Γη συνολικά.

---

ΖΥΜΗ.  Πολύ καλό για μια πρώτη προσπάθεια, όμως;

Θέλω να πω, όχι άσχημα… είναι 1958, τι περιμένεις;

Θέλω να πω, έκαναν ό,τι μπορούσαν και πήραν το ένα τρίτο της διαδρομής μέχρι το φεγγάρι.

Λοιπόν, μιλώντας για τους ανθρώπους που δεν κάνουν ό,τι καλύτερο μπορούν και συντρίβονται, έχουμε ένα είδος αστραπιαίου γύρου νομικών ιστοριών εδώ…

…αρχίζοντας με τον φίλο μας Sebastien Vachon-Desjardins, για τον οποίο έχουμε μιλήσει στο παρελθόν.

Είναι μέσα ζεστό νερό στη Φλόριντα και ίσως όχι μόνο:

---

ΠΑΠΙΑ.  Ναι, έχουμε μιλήσει για αυτόν στο podcast, νομίζω, μερικές φορές.

Ήταν ένας διαβόητα απασχολημένος συνεργάτης του πληρώματος του NetWalker ransomware-as-a-service.

Με άλλα λόγια, δεν έγραψε το ransomware… ήταν ένας από τους εισβολείς, τους εισβολείς και τους προγραμματιστές του.

Από όσο γνωρίζω, ήταν πολύ ένθερμος για το ransomware: εντάχθηκε σε αρκετές από αυτές τις συμμορίες, σαν να λέγαμε. υπέγραψε σε πολλούς συλλόγους.

Προφανώς, μπορεί να έβγαζε έως και το ένα τρίτο των συνολικών κερδών της συμμορίας του NetWalker, επομένως ήταν πολύ δυναμικός.

Μιλάμε λοιπόν για πολλά εκατομμύρια δολάρια που έκανε για τον εαυτό του, και φυσικά, το 30% αυτών πήγαινε στους βασικούς ανθρώπους.

Συνελήφθη στον Καναδά, οδηγήθηκε στη φυλακή…

…και μετά αποφυλακίστηκε ειδικά από τη φυλακή του Καναδά.

Όχι επειδή τον λυπήθηκαν: τον απελευθέρωσαν από τη φυλακή για να μπορέσει να εκδοθεί στις ΗΠΑ, όπου αποφάσισε να δηλώσει ένοχος και καταδικάστηκε σε 20 χρόνια.

Προφανώς όταν τελειώσει αυτά τα 20 χρόνια στην ομοσπονδιακή φυλακή, θα απελαθεί στον Καναδά και θα επιστρέψει κατευθείαν για να ολοκληρώσει τα επτά του χρόνια στον Καναδά.

Και αν θυμάμαι καλά, ο δικαστής εκείνης της υπόθεσης, σημειώνοντας ότι πρόκειται για μια συμμορία ransomware που είναι, μεταξύ άλλων, διαβόητη για την επίθεση σε ιδρύματα υγειονομικής περίθαλψης, νοσοκομεία. άνθρωποι που πραγματικά, πραγματικά δεν έχουν την οικονομική δυνατότητα να πληρώσουν, και όπου η αναστάτωση επηρεάζει πραγματικά, πραγματικά άμεσα τις ζωές των ανθρώπων…

…ο δικαστής προφανώς είπε λόγια με αποτέλεσμα: «Αν δεν είχατε αποφασίσει πραγματικά να δηλώσετε ένοχος, βάλτε το χέρι σας για το αδίκημα, θα σας είχα καταδικάσει σε ισόβια κάθειρξη».

---

ΖΥΜΗ.  Ναι, αυτό είναι άγριο!

Εντάξει, επίσης κάπως χαμηλό: ο πρώην CSO της Uber Joe Sullivan… αυτή η ιστορία είναι επίσης άγριο!

Απαντούν σε μια παραβίαση που συνέβη με τις ρυθμιστικές αρχές, και ενώ απαντούν στην παραβίαση που συνέβη, συμβαίνει *άλλη* παραβίαση και υπάρχουν συγκαλύψεις:

---

ΠΑΠΙΑ.  Ναι, αυτή ήταν μια ιστορία που παρακολουθήθηκε έντονα από μεγάλο μέρος της κοινότητας της κυβερνοασφάλειας…

Επειδή η Uber έχει πληρώσει κάθε είδους ποινές και προφανώς συμφώνησε να συνεργαστεί, αλλά δεν χρεώθηκε αυτή η εταιρεία.

Αυτό ήταν το άτομο που υποτίθεται ότι ήταν υπεύθυνος για την ασφάλεια – ήταν προηγουμένως στο Facebook και στη συνέχεια παρασύρθηκε στην Uber.

Όσον αφορά την κριτική επιτροπή, δεν ήταν τόσο το ότι οι απατεώνες πληρώθηκαν σε αυτήν την περίπτωση, αλλά το ότι πληρώθηκαν για να προσποιηθούν ότι η παραβίαση δεδομένων ήταν μια επιβράβευση σφαλμάτων. ότι το αποκάλυψαν υπεύθυνα αντί να έκλεψαν πραγματικά τα δεδομένα και στη συνέχεια τα εκβίασαν.

Και, φυσικά, το δεύτερο μέρος αυτού είναι, πιστεύω… Δεν είμαι σίγουρος πώς λέτε αυτή τη λέξη, γιατί δεν την ακούτε στο Ηνωμένο Βασίλειο, αλλά είναι «misprision»… Νομίζω ότι έτσι την λέτε .

Βασικά σημαίνει «κάλυψη ενός εγκλήματος».

Και, φυσικά, αυτό αφορά το γεγονός ότι, όπως λέτε, βρίσκονται στη μέση μιας έρευνας, εξετάζονται από την FTC… πρόκειται να τους πείσετε. «Ναι, έχουμε βάλει ένα σωρό προφυλάξεις από την προηγούμενη φορά».

Και στη μέση της προσπάθειας να υποστηρίξετε την υπόθεσή σας και να πείτε, «Όχι, όχι, είμαστε πολύ καλύτεροι από ό,τι ήμασταν»…

…αχ, αγαπητέ, δεν χάνεις μόνο κάποιους δίσκους, τι ήταν αυτό;

Περισσότερα από 50 εκατομμύρια αρχεία που σχετίζονται με άτομα που είχαν πάρει Ubers, πελάτες.

Επτά εκατομμύρια οδηγοί, και αυτό περιελάμβανε αριθμούς αδειών οδήγησης για 600,000 οδηγούς και SSN (αριθμούς κοινωνικής ασφάλισης) για 60,000.

Άρα είναι πολύ σοβαρό!

Και μετά απλά προσπαθώ να πούμε, «Λοιπόν, ας [ΒΗΧΕΙ ΣΗΜΑΪΚΑ] να το κάνουμε έτσι ώστε να μην χρειάζεται να το πούμε σε κανέναν, και μετά ας πάμε να βάλουμε τους απατεώνες να υπογράψουν συμφωνίες μη αποκάλυψης». [ΓΕΛΙΑ]

Speaker1
[ΓΕΛΙΑ] Ω, Θεέ μου!

---

ΠΑΠΙΑ.  [ΓΕΛΙΑ] Δεν είναι αστείο, Νταγκ!

---

ΖΥΜΗ.  Πολύ καλό.

Και λίγο ακόμα κομμένο και ξεραμένο…

Εάν δημιουργήσετε μια εφαρμογή που υποτίθεται ότι είναι συνδεδεμένη με το WhatsApp και συλλέξετε διαπιστευτήρια χρήστη, το WhatsApp θα έλα μετά από σένα!

---

ΠΑΠΙΑ.  Ναι, πρόκειται για περίπτωση WhatsApp και Meta.

Ακούγεται λίγο περίεργο να λέμε και τα δύο, αλλά υποθέτω ότι και οι δύο νομικές οντότητες (το WhatsApp ανήκει στη Meta) αποφάσισαν, "Λοιπόν, αν δεν μπορείτε να τους νικήσετε, μηνύστε τους!"

Πρόκειται λοιπόν για κλοπή διαπιστευτηρίων, έτσι ώστε οι λογαριασμοί να μπορούν να χρησιμοποιηθούν βασικά για την αποστολή πλαστών μηνυμάτων.

Spam, βασικά, αλλά πιθανώς και πολλές απάτες, σωστά;

Εάν έχετε τον κωδικό πρόσβασής μου, μπορείτε να επικοινωνήσετε με όλους τους φίλους μου και να πείτε: "Γεια, έβγαλα πολλά χρήματα από αυτήν την απάτη κρυπτονομισμάτων" και επειδή το λέω *εγώ* αντί κάποιο τυχαίο άτομο εκτός Διαδικτύου, μπορεί να είναι πιο διατεθειμένος να το πιστέψει.

Έτσι, το WhatsApp σκέφτηκε: «Σωστά, απλώς θα σας μηνύσουμε και θα προσπαθήσουμε να κλείσουμε τις εταιρείες σας με αυτόν τον τρόπο. Και αυτό ουσιαστικά θα μας έδινε ένα όχημα για να αναγκάσουμε να αφαιρεθούν όλες αυτές οι εφαρμογές, όπου κι αν εμφανίζονται."

Δυστυχώς, οι απατεώνες είχαν κάνει αρκετή προδοσία για να τους μπουν κρυφά στο Google Play.

Άρα η κατηγορία είναι ότι αυτοί «Παροδήγησε περισσότερους από 1 εκατομμύριο χρήστες του WhatsApp να αυτοπαραβιάσουν τους λογαριασμούς τους ως μέρος μιας επίθεσης κατάληψης λογαριασμού».

Και με τον αυτοσυμβιβασμό, αυτό σημαίνει ότι απλώς παρουσίασαν στους χρήστες μια ψεύτικη σελίδα σύνδεσης και βασικά εξέδωσαν τα διαπιστευτήριά τους.

Μάλλον τα κράτησαν και τα κακοποίησαν μετά…

---

ΖΥΜΗ.  Εντάξει, θα το προσέξουμε.

Τώρα, σας παρακαλώ, πείτε μας, τι σχέση έχει μια Κόμισσα που έζησε το πρώτο μισό του 19ου αιώνα με την πληροφορική και την επιστήμη των υπολογιστών;

---

ΠΑΠΙΑ.  Αυτή θα ήταν η Ada Lovelace.

Ή, πιο επίσημα, Ada, η κόμισσα της Lovelace… παντρεύτηκε έναν παιδάκι που τον έλεγαν Λόρδο Λάβλεϊς, έτσι έγινε η Λαίδη Λάβλεϊς:

Ήταν αριστοκρατικής καταγωγής και εκείνη την εποχή, οι γυναίκες γενικά δεν ασχολούνταν με την επιστήμη.

Αλλά το έκανε: της άρεσε πολύ τα μαθηματικά.

Και γνώρισε, ως νεαρή, ως έφηβη, νομίζω, με τον Τσαρλς Μπάμπατζ, ο οποίος φημίζεται για το ότι εφηύρε τη Μηχανή Διαφοράς, η οποία μπορούσε να υπολογίσει πράγματα όπως πίνακες τριβής.

Επομένως, η κυβέρνηση του Ηνωμένου Βασιλείου ενδιαφέρθηκε γιατί όπου μπορείτε να κάνετε τριγωνομετρία, μπορείτε να κάνετε τραπέζια πυροβολικού, και αυτό σημαίνει ότι μπορείτε να κάνετε τους πυροβολητές σας πιο ακριβείς σε ξηρά και θάλασσα.

Αλλά τότε ο Babbage σκέφτηκε: «Αυτό είναι απλώς μια αριθμομηχανή τσέπης (με σύγχρονη ορολογία). Γιατί δεν κατασκευάζω έναν υπολογιστή γενικής χρήσης;».

Και σχεδίασε ένα πράγμα που ονομάζεται Αναλυτική Μηχανή.

Και αυτό ήταν που ενδιέφερε πραγματικά η Ada Lovelace.

Στην πραγματικότητα, πιστεύω ότι κάποια στιγμή προσφέρθηκε να γίνει η VC του Babbage, ο επιχειρηματικός του κεφαλαιούχος: «Θα φέρω τα χρήματα, αλλά πρέπει να αφήσετε τη διαχείριση του επιχειρηματικού μέρους σε μένα. Αφήστε με να φτιάξω την επιχείρηση για εσάς!

---

ΖΥΜΗ.  Είναι πραγματικά εκπληκτικό.

Σε όποιον το ακούει…

…καθώς ακούτε αυτήν την ιστορία, θέλω να έχετε κατά νου ότι πέθανε στα 36 της.

Τα κάνει όλα αυτά στα 20 και στις αρχές των 30.

Υπέροχα πράγματα!

---

ΠΑΠΙΑ.  Πέθανε από καρκίνο της μήτρας, άρα πραγματικά πονούσε και δεν μπορούσε να δουλέψει στο τέλος.

Και δεν ήθελε απλώς να είναι ο επιχειρηματίας πίσω από αυτό, «Γεια, άσε με να φτιάξω μια επιχείρηση».

Ο Babbage, νομίζω, είχε λίγη πικρία προς το κατεστημένο που δεν μπήκε μέσα. ήθελε να το κάνει με έναν πιο παραδοσιακό τρόπο, «Όχι, θέλω να αποδείξω ότι έχω δίκιο», αντί να πάει, «Ναι, απλώς πήγαινε και βρες μου τα χρήματα», που μπορεί να είναι η προσέγγιση σήμερα.

Έτσι, η επιχειρηματική πλευρά που πρότεινε δεν βγήκε ποτέ.

Αλλά ήταν επίσης ουσιαστικά η πρώτη προγραμματίστρια υπολογιστών στον κόσμο… σίγουρα ήταν η πρώτη δημοσιευμένη προγραμματίστρια υπολογιστών.

Μπορείτε να φανταστείτε τον Babbage να ασχολείται με την Αναλυτική Μηχανή του… μάλλον είχε κάποια προγράμματα πριν το κάνει, αλλά δεν τα κατάλαβε ποτέ.

Και σίγουρα δεν δημοσίευσε ποτέ, όπως εκείνη, μια πραγματεία σχετικά με το γιατί αυτή η Αναλυτική Μηχανή ήταν σημαντική και το γεγονός ότι μπορούσε στην πραγματικότητα να κάνει πολλά περισσότερα από απλούς αριθμητικούς υπολογισμούς.

Είχε αυτό το όραμα ότι οι αριθμομηχανές πρόσθεταν αριθμούς μαζί, αλλά αν μπορούσατε να κάνετε αριθμητικούς υπολογισμούς και με βάση αυτούς να παίρνετε αποφάσεις (αυτό που θα μπορούσαμε να ονομάσουμε τώρα ΑΝ…ΤΟΤΕ…ΑΛΛΟ), τότε θα μπορούσατε πραγματικά να αναπαραστήσετε και να εργαστείτε με κάθε είδους άλλους πράγματα, όπως λογικές προτάσεις, επινόηση αποδείξεων ή ακόμα και εργασία με μουσική, αν είχατε κάποιο μαθηματικό ή αριθμητικό τρόπο αναπαράστασης της μουσικής.

Τώρα, δεν ξέρω αν η ψηφιακή μουσική θα απογειωθεί ποτέ, Νταγκ, αλλά αν το κάνει ποτέ…

---

ΖΥΜΗ.  [ΓΕΛΙΑ] Έχουμε την Ada Lovelace να ευχαριστήσουμε!

---

ΠΑΠΙΑ.  Ήταν εκεί το 1840, σκεφτόταν και έγραφε γι' αυτό!

Ήταν, είτε το πιστεύετε είτε όχι, κόρη του διάσημου (ή διαβόητου) ποιητή Λόρδου Βύρωνα.

Προφανώς οι δρόμοι της μητέρας και του πατέρα της χώρισαν, οπότε δεν πιστεύω ότι τον γνώρισε ποτέ – ήταν μια «άγνωστη κόρη» γι' αυτόν.

Τώρα, ο Μπάιρον ήταν περίφημα κάποτε διακοπές στην Ελβετία, όπου η βροχή κράτησε τον ίδιο και τους φίλους με τους οποίους έκανε διακοπές σε εσωτερικούς χώρους.

Και αυτοί οι φίλοι ήταν ο Percy και η Mary Shelley.

Και ο Μπάιρον είπε: "Γεια, ας κάνουμε έναν διαγωνισμό συγγραφής ιστοριών τρόμου!" [ΓΕΛΙΟ]

Και αυτό που έκανε, και αυτό που έκανε ο Percy Shelley, δεν έγινε άκαρπο. κανείς δεν θυμάται τι έγραψαν.

Αλλά η Mary Shelley… προφανώς αυτό το σκέφτηκε Φρανκενστάιν…

---

ΖΥΜΗ.  Ουάου!

---

ΠΑΠΙΑ.  … ή ο σύγχρονος Προμηθέας, που ουσιαστικά αφορά την τεχνητή νοημοσύνη και τις ανθρωπογενείς μηχανές σκέψης, αν θέλετε, και πώς τελειώνει άσχημα.

Και η Άντα, η κόρη του Βύρωνα, ήταν στην πραγματικότητα το πρώτο άτομο που έγραψε με επιστημονικό τρόπο για το «Μπορούν οι μηχανές να σκεφτούν;» στις σημειώσεις που έγραψε στην Αναλυτική Μηχανή.

*Δεν* συμμεριζόταν τις ίδιες ανησυχίες για την ιστορία τρόμου που είχαν οι φίλοι του πατέρα της.

Ο τρόπος που το έγραψε (οι επιστήμονες είχαν γενικά μια πιο λογοτεχνική τάση εκείνες τις μέρες):

Η Αναλυτική Μηχανή δεν έχει καμία αξίωση να δημιουργήσει οτιδήποτε. Μπορεί να κάνει ό,τι ξέρουμε να το παραγγείλουμε να εκτελέσει. Μπορεί να ακολουθεί ανάλυση, αλλά δεν έχει καμία δύναμη να προβλέψει οποιεσδήποτε αναλυτικές σχέσεις ή αλήθειες.

Έτσι, είδε τις υπολογιστικές συσκευές, τις υπολογιστικές συσκευές γενικής χρήσης, ως έναν τρόπο να μας βοηθήσει να κατανοήσουμε και να επεξεργαστούμε πράγματα που θα ήταν αδύνατο να κάνει ο κανονικός ανθρώπινος νους.

Αλλά δεν νομίζω ότι σκέφτηκε ότι θα μπορούσαν να αντικαταστήσουν το ανθρώπινο μυαλό.

---

ΖΥΜΗ.  Και πάλι, να θυμάστε ότι το γράφει αυτό το 1842…

---

ΠΑΠΙΑ.  Ακριβώς!

Είναι ένα πράγμα να χακάρεις στην πραγματική ζωή. Είναι άλλο να χακάρεις σε φανταστικούς υπολογιστές που ξέρεις ότι *θα μπορούσαν* να υπάρχουν, αλλά κανείς δεν έχει κατασκευάσει ακόμα.

---

ΖΥΜΗ.  [ΓΕΛΙΑ] Ακριβώς.

---

ΠΑΠΙΑ.  Το πρόβλημα ήταν, επειδή αυτοί οι υπολογιστές ήταν μηχανικοί και απαιτούσαν μηχανικά γρανάζια, απαιτούσαν απόλυτη τελειότητα στην κατασκευή.

Ή απλώς θα υπήρχε αυτό το σωρευτικό σφάλμα που θα τους έκανε να μπλοκάρουν λόγω αντίδρασης, το γεγονός ότι τα γρανάζια δεν ταιριάζουν τέλεια.

Και νομίζω ότι, όπως έχουμε πει στο podcast πριν, κατά ειρωνικό τρόπο, χρειάστηκε ο σχεδιασμός ψηφιακών υπολογιστών, που είναι ουσιαστικά προεκτάσεις της Αναλυτικής Μηχανής, που μπορούν να ελέγχουν μηχανογραφημένες μηχανές κοπής μετάλλων με επαρκή ακρίβεια…

…πριν μπορέσουμε να φτιάξουμε μια μηχανή Διαφοράς ή μια Αναλυτική Μηχανή που πραγματικά δούλευε.

Και αν αυτό δεν είναι μια συναρπαστικά κυκλική ιστορία, δεν ξέρω τι είναι!

Έτσι, η Ada Lovelace ήταν στη μέση αυτού: προσηλυτίστρια. Ευαγγελιστής; επιστήμονας; μαθηματικός; επιστήμονας υπολογιστών; Και ως εκκολαπτόμενος επιχειρηματίας, λέγοντας στον Babbage, «Άσε όλα τα επιχειρηματικά σου ενδιαφέροντα. παραδώστε τα σε μένα. Κινούμαι στους σωστούς κύκλους για να σου βρω τα χρήματα – θα πάρω την επένδυση! Ας δούμε τι μπορούμε να κάνουμε με αυτό!».

Και, καλώς ή κακώς, ο Μπάμπιτζ έβαλε τα μούτρα σε αυτό και προφανώς πέθανε ουσιαστικά στη φτώχεια, μάλλον ένας συντετριμμένος άντρας.

Αναρωτιέται κανείς τι θα μπορούσε να είχε συμβεί αν το είχε κάνει…

---

ΖΥΜΗ.  Είναι μια συναρπαστική ιστορία.

Σας προτρέπω να κατευθυνθείτε στο Naked Security για να το διαβάσετε.

Λέγεται Μετακινηθείτε, Patch Tuesday – είναι η ημέρα της Ada Lovelace.

Μεγάλη ανάγνωση, πολύ ενδιαφέρουσα!

Και τώρα ας τελειώσουμε με αυτό μυστηριώδης ενημέρωση iPhone, η οποία είναι η λεγόμενη "επιδιόρθωση ενός σφαλμάτων".

Αυτά δεν είναι κοινά:

---

ΠΑΠΙΑ.  Όχι, κυρίως όταν λαμβάνετε τις ενημερώσεις της Apple (επειδή δεν ξέρετε πότε θα έρθουν – δεν υπάρχει Patch Tuesday όπου μπορείτε να προβλέψετε), απλά φτάνουν…

…υπάρχει αυτή η τεράστια λίστα με πράγματα που έχουν επιδιορθώσει από την τελευταία που έκαναν.

Και περιστασιακά υπάρχει μια μαζική έκτακτη ανάγκη μηδενικής ημέρας και λαμβάνετε μια ενημέρωση της Apple που λέει, "Ω, καλά, διορθώνουμε ένα ή ίσως δύο πράγματα".

Και αυτό έφτασε ξαφνικά, μόνο για iOS 16.

Ήμουν έτοιμος να πάω για ύπνο, Νταγκ… ήταν αρκετά αργά, και σκέφτηκα, απλώς θα ρίξω μια ματιά στο email μου, για να δω αν ο Νταγκ μου έστειλε κάτι. [ΓΕΛΙΟ]

Και υπήρχε αυτό το πράγμα από την Apple: iOS 16.0.3.

Και σκέφτηκα, «Αυτό είναι ξαφνικό! Αναρωτιέμαι τι πήγε στραβά; Πρέπει να είναι μια μέρα μηδέν».

Μπήκα λοιπόν στο δελτίο ασφαλείας… δεν είναι μέρα μηδέν. Είναι μόνο μια επίθεση άρνησης υπηρεσίας (DoS). όχι μια πραγματική απομακρυσμένη εκτέλεση κώδικα.

Η εφαρμογή Mail μπορεί να καταστραφεί.

Και όμως η Apple ξαφνικά απώθησε αυτήν την ενημέρωση και λέει απλώς:

Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου μηνύματος αλληλογραφίας μπορεί να οδηγήσει σε άρνηση παροχής υπηρεσιών. Ένα ζήτημα επικύρωσης εισόδου αντιμετωπίστηκε με βελτιωμένη επικύρωση εισόδου.

Περίεργη διπλή χρήση της λέξης επικύρωση εκεί…

CVE-2022-22658.

Και αυτό είναι το μόνο που ξέρουμε.

Και δεν λέει, "Ω, αναφέρθηκε από μια ομάδα κυνηγιού ζωύφιων" ή "Χάρη σε έναν ανώνυμο ερευνητή", οπότε υποθέτω ότι το βρήκαν οι ίδιοι.

Και μπορώ μόνο να μαντέψω ότι ένιωσαν ότι έπρεπε να το διορθώσουν πολύ γρήγορα, επειδή θα μπορούσε να σας κλειδώσει κατά λάθος από το τηλέφωνό σας ή να το κάνει σχεδόν άχρηστο.

Επειδή αυτό είναι το πρόβλημα με τα σφάλματα άρνησης υπηρεσίας όταν βρίσκονται σε εφαρμογές ανταλλαγής μηνυμάτων, έτσι δεν είναι;

Σκέφτεστε την άρνηση εξυπηρέτησης… η εφαρμογή κολλάει. ου ουου, μόλις το ξαναρχίσεις.

Αλλά το πρόβλημα με μια εφαρμογή ανταλλαγής μηνυμάτων είναι ότι: [A] τείνει να εκτελείται στο παρασκήνιο, επομένως μπορεί να λάβει ένα μήνυμα ανά πάσα στιγμή. [B] δεν μπορείτε να επιλέξετε ποιος σας στέλνει μηνύματα, αλλά οι άλλοι άνθρωποι το κάνουν. και [C] ίσως για να μπείτε στην εφαρμογή για να διαγράψετε το απατεώνα μήνυμα, πρέπει να περιμένετε να φορτώσει η εφαρμογή και αυτό αποφασίζει. «Ω. Πρέπει να σας δείξω αυτό το μήνυμα που θέλετε να αφήσετε…», CRASH!

Αυτό που ονομάζω α CRASH: GOTO CRASHλάθος.

Με άλλα λόγια, ίσως δεν μπορείτε να το διορθώσετε, γιατί ενώ εκκινείτε το τηλέφωνό σας ή εάν κάνετε επανεκκίνηση του τηλεφώνου σας, μέχρι να φτάσετε στο σημείο που θα μπορούσατε να μεταβείτε και να πατήσετε διαγραφή στο μήνυμα…

…η εφαρμογή έχει ήδη καταρρεύσει ξανά. πολύ αργά!

Γνωρίζουμε ότι υπήρξαν στο παρελθόν τα λεγόμενα προβλήματα «text of death» στο iOS.

Έχουμε ένα κατάλογος τους στο άρθρο Naked Security – έχουν κάνει αρκετά συναρπαστικές ιστορίες.

Δεν ξέρουμε λοιπόν αν ήταν εικόνα, ο τρόπος που σχηματίζονται οι γλύφοι (εικόνες χαρακτήρων), οι συνδυασμοί χαρακτήρων, η κατεύθυνση κειμένου… δεν ξέρουμε.

Αξίζει βεβαίως να λάβω την ενημερωμένη έκδοση κώδικα, γιατί η εντόπιά μου είναι αν η Apple πιστεύει ότι είναι αρκετά σημαντικό να το βάλει στο ενημερωτικό δελτίο ασφαλείας, το οποίο έχει αυτή τη μοναδική επιδιόρθωση, όταν δεν είναι ημέρα μηδέν και δεν είναι απομακρυσμένος κωδικός εκτέλεση, και δεν είναι ανύψωση προνομίου…

…τότε μάλλον ανησυχούν τι θα γινόταν αν το μάθαινε κάποιος άλλος!

Οπότε ίσως θα έπρεπε να είσαι κι εσύ.

Είναι επίσης, Doug, μια φανταστική υπενθύμιση ότι αν και οι άνθρωποι τείνουν να δίνουν προτεραιότητα στις ευπάθειες από την απομακρυσμένη εκτέλεση κώδικα στην κορυφή. μετά ανύψωση προνομίου και μετά διαρροή πληροφοριών…

…άρνηση υπηρεσίας είναι, "Εντάξει, ο διακομιστής μπορεί να διακοπεί, αλλά μπορώ πάντα να τον ξεκινήσω ξανά."

Αυτό μπορεί ωστόσο να είναι ένα πραγματικά ενοχλητικό είδος προβλήματος.

Παρόλο που μπορεί να μην κλέψει τα δεδομένα σας ή να μην σας κλέψει το ransomware των αρχείων σας, θα μπορούσε ωστόσο να σας εμποδίσει να χρησιμοποιήσετε τον υπολογιστή σας, να αποκτήσετε πρόσβαση στα δεδομένα σας και να κάνετε πραγματική δουλειά.

---

ΖΥΜΗ.  Ναι, έχουμε το πρόβλημα εδώ που πρέπει να ενημερώσετε, αλλά εάν αντιμετωπίζετε αυτό το πρόβλημα, ενδέχεται να μην μπορείτε να μεταβείτε στην ενημέρωση εάν το τηλέφωνό σας συνεχίζει να κολλάει!

Έτσι, αυτό μας οδηγεί στην ερώτηση του αναγνώστη μας για την εβδομάδα.

Εδώ στην ανάρτηση για την οποία μιλάμε, ο αναγνώστης του Naked Security Peter ρωτά:

Δεν είναι χρήστης της Apple εδώ, αλλά δεν υπάρχει επιλογή για τους χρήστες της Apple να συνδεθούν στους λογαριασμούς email τους σε ένα πρόγραμμα περιήγησης που ελπίζουμε ότι δεν θα διακοπεί όπως η εφαρμογή και θα διαγράψει την αλληλογραφία εκεί αντί να σκουπίσει τη συσκευή σας;

---

ΠΑΠΙΑ.  Λοιπόν, αυτό είναι σίγουρα αλήθεια για μένα.

Με τον τρόπο που χρησιμοποιώ το iPhone μου, μπορώ να διαβάσω την ίδια αλληλογραφία στο τηλέφωνό μου όπως στην εφαρμογή web στο πρόγραμμα περιήγησής μου.

Επομένως, είναι ένα καλό σημείο εκκίνησης, εάν έχετε κλειδώσει έξω από το τηλέφωνό σας και εάν έχετε ένα φορητό υπολογιστή πρόχειρο.

Το πρόβλημα είναι ότι όταν διαγράφετε μηνύματα ηλεκτρονικού ταχυδρομείου, ας πούμε, στο πρόγραμμα περιήγησής σας στον ιστό ή μέσω της εγγενούς εφαρμογής στον φορητό υπολογιστή σας…

…η εφαρμογή Mail του τηλεφώνου σας πρέπει ακόμα να συγχρονιστεί με τον διακομιστή για να γνωρίζει ότι πρέπει να διαγράψει αυτά τα μηνύματα.

Και αν, καθ' οδόν προς τα εκεί, επεξεργαστεί το μήνυμα που πρόκειται να διαγράψει τώρα, θα μπορούσε και πάλι να μπει σε μια κακή κατάσταση, έτσι δεν είναι;

Έτσι, το πρόβλημα με αυτό το σχόλιο είναι η μόνη πραγματική απάντηση που μπορώ να δώσω είναι: «Δεν υπάρχουν αρκετές πληροφορίες. Δεν μπορώ να πω με σιγουριά. Αλλά ελπίζω πολύ να το καταφέρεις!»

---

ΖΥΜΗ.  Δοκιμάστε το, τουλάχιστον.

---

ΠΑΠΙΑ.  Ναι, δοκιμάστε το!

Αν όντως κλειδωθείτε έξω, έτσι ώστε το τηλέφωνό σας να κολλήσει αμέσως μόλις ξεκινήσει, θα θέλατε να σκεφτείτε ότι θα μπορούσατε να κάνετε αυτό που η Apple αποκαλεί DFU (άμεση ενημέρωση υλικολογισμικού), όπου βασικά ξεκινάτε από την αρχή.

Αλλά το πρόβλημα είναι να το επιτρέψουμε (για να σταματήσει να χρησιμοποιείται για κακό), ουσιαστικά περιλαμβάνει ένα σκούπισμα και εκκίνηση.

Έτσι, θα χάνατε όλα τα δεδομένα στο τηλέφωνο, υποθέτοντας ότι θα λειτουργούσε.

Οπότε υποθέτω ότι η απάντηση σε αυτή την ερώτηση είναι…

Δοκιμάστε πρώτα τον λιγότερο παρεμβατικό τρόπο επίλυσης του.

Δοκιμάστε να "νικήσετε την εφαρμογή" στο τηλέφωνο, την εφαρμογή ανταλλαγής μηνυμάτων.

Αυτό λειτούργησε για ορισμένα από τα προηγούμενα πράγματα iOS.

Βασικά κάνετε επανεκκίνηση του τηλεφώνου σας. [SPEEDING UP] πληκτρολογείτε τον κωδικό κλειδώματος πολύ γρήγορα. [SPEAKING REALLY FAST] μπαίνεις στην εφαρμογή όσο πιο γρήγορα μπορείς και κάνεις κλικ στο Delete…

…πριν το τηλέφωνο φτάσει εκεί και ξεκινήσει η διαδικασία που τελικά εξαντληθεί η μνήμη.

Έτσι, μπορεί να έχετε αρκετό χρόνο για να το κάνετε στο ίδιο το τηλέφωνο.

Εάν όχι, δοκιμάστε να το κάνετε μέσω μιας εξωτερικής εφαρμογής που διαχειρίζεται το ίδιο σύνολο δεδομένων.

Και αν κολλήσει τελείως, τότε υποθέτω ότι η φλας και επανεγκατάσταση είναι η μόνη σας λύση.

---

ΖΥΜΗ.  Εντάξει, σε ευχαριστώ, Πέτρο, που το έστειλες.

Εάν έχετε μια ενδιαφέρουσα ιστορία, σχόλιο ή ερώτηση που θέλετε να υποβάλετε, θα θέλαμε να διαβάσουμε στο podcast.

Μπορείτε να στείλετε email στο tips@sophos.com. Μπορείτε να σχολιάσετε οποιοδήποτε από τα άρθρα μας. ή μπορείτε να μας ενημερώσετε στα social: @nakedsecurity.

Αυτή είναι η εκπομπή μας για σήμερα.

Ευχαριστώ πολύ που με ακούσατε.

Για τον Paul Ducklin, είμαι ο Doug Aamoth, σας υπενθυμίζω μέχρι την επόμενη φορά να…

---

ΚΑΙ ΤΑ ΔΥΟ.  Μείνετε ασφαλείς.

[ΜΟΥΣΙΚΟ ΜΟΝΤΕΜ]