T3 Ep104: ¿Deberían encerrarse de por vida los atacantes de ransomware hospitalario? [Audio + Texto] PlatoBlockchain Data Intelligence. Búsqueda vertical. Ai.

T3 Ep104: ¿Deberían encerrarse de por vida los atacantes de ransomware hospitalario? [Audio + Texto]

Sello de tiempo: 13 de octubre de 2022 12:37 p.m.

by
Paul patito

TRES PREGUNTAS PROFUNDAS

¿Deberían los atacantes de ransomware del hospital obtener Vida en prisión? ¿Quién fue la Condesa de la Informática, y recién qué tan cerca estuvimos a la música digital en el siglo XIX? ¿Y podría un correo electrónico extrañamente loco ladrillo tu iPhone?

Con Doug Aamoth y Paul Ducklin.

Música de introducción y final de Edith Mudge.

Haga clic y arrastre en las ondas sonoras de abajo para saltar a cualquier punto. Tú también puedes escuchar directamente en Soundcloud.

Puedes escucharnos en SoundCloud, Podcasts de Apple, Podcasts de Google, Spotify, Stitcher y en cualquier lugar donde se encuentren buenos podcasts. O simplemente suelta el URL de nuestro feed RSS en tu cazador de vainas favorito.

LEER LA TRANSCRIPCIÓN

DOUG.  Abundan los problemas legales, una misteriosa actualización del iPhone y Ada Lovelace.

Todo eso y más en el Podcast Naked Security.

[MÓDEM MUSICAL]

Bienvenidos al podcast, todos.

Soy Doug Aamoth; él es Paul Ducklin.

Paul, ¿cómo está hoy, señor?

PATO.  Estoy muy bien, Doug...

…excepto por algunos problemas con el micrófono, porque he estado un poco de gira.

Entonces, si la calidad del sonido no es perfecta esta semana, es porque tuve que usar un equipo de grabación alternativo.

DOUG.  Bueno, eso nos lleva expertamente a nuestra Historia de la tecnología segmento sobre la imperfección.

PATO.  [IRÓNICO] Ohhhhh, gracias, Doug. [RISAS]

DOUG.  El 11 de octubre de 1958, la NASA lanzó su primera sonda espacial, la Pioneer One.

Estaba destinado a orbitar la luna, pero no pudo alcanzar la órbita lunar gracias a un error de guía, volvió a caer a la Tierra y se quemó al volver a entrar.

Aunque aún recopiló datos valiosos durante su vuelo de 43 horas.

PATO.  Sí, creo que llegó a 113,000 400,000 km sobre la Tierra... y la Luna está apenas a XNUMX XNUMX kilómetros de distancia.

Tengo entendido que se salió un poco del objetivo y luego intentaron corregirlo, pero no tenían la granularidad de control que tienen en estos días, donde haces funcionar el motor del cohete para una pequeña ráfaga.

Entonces corrigieron, pero solo pudieron corregir hasta cierto punto... y al final pensaron: "No vamos a llegar a la luna, pero tal vez podamos ponerlo en una órbita terrestre alta para que siga dando vueltas". la Tierra y podemos seguir obteniendo mediciones científicas?

Pero al final era una cuestión de: “Lo que sube… [RISAS] tiene que bajar”.

DOUG.  Exactamente. [RISAS]

PATO.  Y, como dices, fue como disparar una bala muy, muy, muy poderosa hacia el espacio exterior, muy por encima de la línea de Kármán, que está a solo 100 km, pero en una dirección tal que en realidad no escapó a la influencia de la Tierra por completo.

DOUG.  ¿Bastante bueno para un primer intento, sin embargo?

O sea, no está mal… eso es 1958, ¿qué esperas?

Quiero decir, hicieron lo mejor que pudieron y recorrieron un tercio del camino a la luna.

Bueno, hablando de personas que no hacen lo mejor que pueden y se estrellan, aquí tenemos una especie de ronda relámpago de historias legales...

…comenzando con nuestro amigo Sebastien Vachon-Desjardins, de quien hemos hablado antes.

El está en agua caliente en Florida y quizás más allá:

PATO.  Sí, hemos hablado de él en el podcast, creo, un par de veces.

Era un afiliado notoriamente ocupado del equipo de ransomware como servicio de NetWalker.

En otras palabras, él no escribió el ransomware… fue uno de los atacantes, intrusos e implementadores del mismo.

Por lo que sé, estaba bastante interesado en el ransomware: se unió a varias de estas bandas, por así decirlo; fichado por varios clubes.

Aparentemente, pudo haber ganado hasta un tercio de las ganancias generales de la pandilla NetWalker, por lo que fue muy vigoroso.

Así que estamos hablando de muchos millones de dólares que hizo para sí mismo y, por supuesto, el 30% de eso se destinó a la gente central.

Fue arrestado en Canadá, fue enviado a prisión...

…y luego fue liberado especialmente de prisión en Canadá.

No porque sintieran lástima por él: lo sacaron de prisión para que pudiera ser extraditado a Estados Unidos, donde decidió declararse culpable y le dieron 20 años.

Aparentemente, cuando termine esos 20 años en una prisión federal, será deportado a Canadá y regresará directamente para terminar sus siete años en Canadá.

Y si no recuerdo mal, el juez de ese caso, al señalar que se trata de una pandilla de ransomware que, entre otras cosas, es conocida por atacar instituciones de atención médica, hospitales; personas que realmente no pueden pagar, y donde la interrupción realmente afecta directamente la vida de las personas...

…el juez aparentemente dijo palabras en el sentido de: “Si en realidad no hubiera decidido declararse culpable, levantar la mano por el delito, lo habría sentenciado a cadena perpetua”.

DOUG.  ¡Sí, eso es salvaje!

OK, también un poco bajo: el ex CSO de Uber Joe Sullivan... esta historia también es salvaje!

Están respondiendo a una infracción que ocurrió con los reguladores, y mientras están respondiendo a la infracción que ocurrió, ocurre *otra* infracción y hay encubrimientos:

PATO.  Sí, esa fue una historia muy observada por gran parte de la comunidad de ciberseguridad...

Porque Uber pagó todo tipo de multas y aparentemente acordaron cooperar, pero esta no era la empresa a la que se le cobraba.

Este era el individuo que supuestamente estaba a cargo de la seguridad: anteriormente había estado en Facebook y luego fue atraído a Uber.

En lo que respecta al jurado, no fue tanto que a los ladrones se les pagó en este caso, sino que se les pagó para fingir que la violación de datos era una recompensa por errores; que lo divulgaron de manera responsable en lugar de robar los datos y luego extorsionarlos.

Y, por supuesto, la segunda parte de esto es, creo… No estoy seguro de cómo dices esta palabra, porque no la escuchas en el Reino Unido, pero es “misprision”… Creo que así es como se dice. .

Básicamente significa “encubrir un crimen”.

Y, por supuesto, eso tiene que ver con el hecho de que, como dices, están en medio de una investigación, están siendo revisados ​​por la FTC… estás a punto de convencerlos. "Sí, hemos puesto un montón de precauciones desde la última vez".

Y en medio de tratar de defender su caso y decir: "No, no, estamos mucho mejor de lo que éramos"...

…oh, querido, no solo perdiste algunos registros, ¿cuál fue?

Más de 50 millones de registros relacionados con personas que tomaron Ubers, clientes.

Siete millones de conductores, y eso incluía números de licencia de conducir para 600,000 conductores y SSN (números de seguro social) para 60,000.

¡Así que eso es bastante serio!

Y luego simplemente tratando de decir: "Bueno, hagamos [TOSE SIGNIFICATIVAMENTE] que no tengamos que decírselo a nadie, y luego vamos y hagamos que los ladrones firmen acuerdos de confidencialidad". [RISAS]

Speaker1
[RISAS] ¡Oh, Dios!

PATO.  [RISA] ¡No tiene gracia, Doug!

DOUG.  Muy bueno.

Y un poco más cortado y seco...

Si crea una aplicación que pretende estar conectada con WhatsApp y recopila las credenciales de usuario, WhatsApp va a venir tras de ti!

PATO.  Sí, este es un caso de WhatsApp y Meta.

Suena un poco extraño decir los dos, pero supongo que ambas entidades legales (WhatsApp es propiedad de Meta) han decidido: "Bueno, si no puedes vencerlos, ¡demándalos!"

Entonces esto es un robo de credenciales, por lo que las cuentas se pueden usar básicamente para enviar mensajes falsos.

Spam, básicamente, pero probablemente también un montón de estafas, ¿verdad?

Si tiene mi contraseña, puede ponerse en contacto con todos mis amigos y decir: "Oye, gané un montón de dinero con esta estafa de criptomonedas", y como soy *yo* diciéndolo en lugar de una persona al azar de Internet, tú podría estar más inclinado a creerlo.

Entonces, WhatsApp pensó: “Bien, solo vamos a demandarlo e intentar cerrar sus empresas de esa manera. Y eso básicamente nos daría un vehículo para forzar la eliminación de todas estas aplicaciones, donde sea que aparezcan”.

Desafortunadamente, los ladrones habían hecho suficiente traición para colarlos en Google Play.

Así que la acusación es que ellos “engañó a más de 1 millón de usuarios de WhatsApp para que comprometieran sus cuentas como parte de un ataque de apropiación de cuentas”.

Y por compromiso propio, significa que simplemente presentaron a los usuarios una página de inicio de sesión falsa y básicamente enviaron sus credenciales por proxy.

Es de suponer que los mantuvieron y abusaron de ellos después...

DOUG.  OK, estaremos atentos a eso.

Ahora, cuéntanos, ¿qué tiene que ver una Condesa que vivió en la primera mitad del siglo XIX con la informática y la informática?

PATO.  Esa sería Ada Lovelace.

O, más formalmente, Ada, condesa de Lovelace… se casó con un tipo que se llamaba Lord Lovelace, por lo que se convirtió en Lady Lovelace:

Ella era de origen aristocrático, y en esos días, las mujeres generalmente no se dedicaban a la ciencia.

Pero lo hizo: le gustaban las matemáticas.

Y se encontró, cuando era joven, cuando era adolescente, creo, con Charles Babbage, quien es famoso por haber inventado la máquina diferencial, que podía calcular cosas como tablas trigonométricas.

Por lo tanto, el gobierno del Reino Unido estaba interesado porque donde puedes hacer trigonometría, puedes hacer tablas de artillería, y eso significa que puedes hacer que tus artilleros sean más precisos en tierra y mar.

Pero luego Babbage pensó: “Eso es solo una calculadora de bolsillo (en la terminología moderna). ¿Por qué no construyo una computadora de uso general?”

Y diseñó una cosa llamada el motor analítico.

Y eso era lo que realmente le interesaba a Ada Lovelace.

De hecho, creo que en algún momento se ofreció a ser la VC de Babbage, su capitalista de riesgo: “Traeré el dinero, pero tienes que dejarme a mí la gestión de la parte del negocio. ¡Déjame construir el negocio para ti!

DOUG.  Es realmente asombroso.

Para cualquiera que esté escuchando esto...

…Mientras escuchas esta historia, quiero que tengas en cuenta que ella murió a los 36 años.

Ella está haciendo todo esto en sus 20 y principios de los 30.

¡Cosas asombrosas!

PATO.  Murió de cáncer de útero, por lo que al final sintió mucho dolor y no pudo trabajar.

Y ella no solo quería ser la persona de negocios detrás de esto, "Oye, déjame construir un negocio".

Babbage, creo, tenía un poco de amargura hacia el establecimiento por no entrar; quería hacerlo de una manera más tradicional: "No, quiero demostrar que tengo razón", en lugar de decir: "Sí, solo ve y encuéntrame el dinero", que podría ser el enfoque actual.

Entonces, el lado comercial que ella propuso nunca salió.

Pero ella también fue esencialmente la primera programadora de computadoras del mundo… ciertamente fue la primera programadora de computadoras publicada.

Puedes imaginarte a Babbage jugando con su motor analítico... probablemente se le ocurrieron algunos programas antes que ella, pero nunca se dio cuenta.

Y ciertamente nunca publicó, como ella, un tratado sobre por qué esta máquina analítica era importante y el hecho de que en realidad podía hacer mucho más que simples cálculos numéricos.

Tenía esta visión de que las calculadoras sumaban números, pero si podías hacer cálculos numéricos y tomar decisiones en base a ellos (lo que ahora podríamos llamar SI... ENTONCES... DE LO CONTRARIO), entonces podrías representar y trabajar con todo tipo de otros cosas, como proposiciones lógicas, inventar pruebas o incluso trabajar con música, si tuviera alguna forma matemática o numérica de representar la música.

Ahora, no sé si la música digital alguna vez despegará, Doug, pero si alguna vez lo hace...

DOUG.  [RISAS] ¡Tenemos que agradecer a Ada Lovelace!

PATO.  ¡Ella estuvo allí en 1840, pensando y escribiendo sobre esto!

Ella era, lo creas o no, la hija del famoso (o infame) poeta Lord Byron.

Aparentemente, su madre y su padre se separaron, así que no creo que ella lo haya conocido nunca, ella era una especie de "hija desconocida" para él.

Ahora, Byron estuvo una vez de vacaciones en Suiza, donde la lluvia lo mantuvo a él y a los amigos con los que estaba de vacaciones en el interior.

Y esos amigos eran Percy y Mary Shelley.

Y Byron dijo: "¡Oye, hagamos una competencia de escritura de historias de terror!" [LA RISA]

Y lo que hizo, y lo que hizo Percy Shelley, quedó en nada; nadie recuerda lo que escribieron.

Pero Mary Shelley... aparentemente ahí es donde se le ocurrió Frankestein...

DOUG.  ¡Wow!

PATO.  … o el moderno Prometeo, que trata esencialmente de inteligencia artificial y máquinas de pensamiento creadas por humanos, si lo prefiere, y cómo termina mal.

Y Ada, la hija de Byron, fue en realidad la primera persona en escribir de manera científica sobre "¿Pueden pensar las máquinas?" en las notas que escribió en el motor analítico.

Ella *no* compartía las mismas preocupaciones sobre historias de terror que tenían los amigos de su padre.

La forma en que lo escribió (los científicos generalmente tenían una inclinación más literaria en esos días):

La Máquina Analítica no tiene pretensión alguna de originar nada. Puede hacer cualquier cosa que sepamos ordenarle que realice. Puede seguir al análisis, pero no tiene el poder de anticipar relaciones o verdades analíticas.

Así que vio los dispositivos informáticos, dispositivos informáticos de propósito general, como una forma de ayudarnos a comprender y resolver cosas que serían imposibles de hacer para las mentes humanas normales.

Pero no creo que ella pensara que podrían ser un reemplazo para las mentes humanas.

DOUG.  Y de nuevo, tenga en cuenta que está escribiendo esto en 1842...

PATO.  ¡Exactamente!

Una cosa es hackear en la vida real; es otra piratear computadoras imaginarias que sabes que *podrían* existir, pero nadie ha construido una todavía.

DOUG.  [RISAS] Exacto.

PATO.  El problema era que, debido a que estas computadoras eran mecánicas y requerían engranajes mecánicos, requerían una perfección absoluta en la fabricación.

O simplemente habría este error acumulativo que haría que se bloquearan debido a la holgura, el hecho de que los engranajes no engranan perfectamente.

Y creo que, como dijimos en el podcast anterior, irónicamente, tomó el diseño de computadoras digitales, que son esencialmente extensiones del motor analítico, que pueden controlar máquinas de corte de metal computarizadas con suficiente precisión...

…antes de que pudiéramos hacer un motor diferencial o un motor analítico que realmente funcionara.

Y si esa no es una historia fascinantemente circular, ¡no sé qué lo es!

Así que Ada Lovelace estaba en medio de esto: proselitista; evangelista; científico; matemático; científico de la computación; y como capitalista de riesgo en ciernes, diciéndole a Babbage: “Deje de lado todos sus intereses comerciales; entregármelas. Me muevo en los círculos correctos para encontrarle el dinero. ¡Conseguiré la inversión! ¡Veamos qué podemos hacer con esto!”.

Y, para bien o para mal, Babbage se resistió a eso y aparentemente murió esencialmente en la pobreza, más bien como un hombre destrozado.

Uno se pregunta qué podría haber pasado si lo hubiera hecho...

DOUG.  Es una historia fascinante.

Le insto a que se dirija a Naked Security para leerlo.

Se llama Hazte a un lado, Patch Tuesday: es el día de Ada Lovelace.

Gran lectura larga, muy interesante!

Y ahora terminemos con esto misteriosa actualización de iPhone, que es la llamada "corrección de un error".

Estos no son comunes:

PATO.  No, principalmente cuando recibes tus actualizaciones de Apple (porque no sabes cuándo llegarán; no hay un martes de parches en el que puedas predecir), simplemente llegan...

…hay una lista gigante de cosas que han arreglado desde la última vez que lo hicieron.

Y ocasionalmente hay una emergencia masiva de día cero, y recibe una actualización de Apple que dice: "Oh, bueno, estamos arreglando una o quizás dos cosas".

Y este llegó de repente, solo para iOS 16.

Estaba a punto de irme a la cama, Doug... era bastante tarde, y pensé, solo echaré un vistazo a mi correo electrónico, veré si Doug me envió algo. [LA RISA]

Y estaba esta cosa de Apple: iOS 16.0.3.

Y pensé: “¡Eso es repentino! Me pregunto qué salió mal. Debe ser un día cero.

Así que entré en el boletín de seguridad... no es un día cero; es solo un ataque de denegación de servicio (DoS); no una ejecución de código remoto real.

Se puede hacer que la aplicación de correo se bloquee.

Y, sin embargo, Apple de repente lanzó esta actualización y simplemente dice:

Impacto: el procesamiento de un mensaje de correo electrónico creado con fines malintencionados podría provocar una denegación de servicio. Se solucionó un problema de validación de entrada mejorando la validación de entrada.

Extraño doble uso de la palabra validación allí...

CVE-2022-22658.

Y eso es todo lo que sabemos.

Y no dice, "Oh, fue informado por tal o cual grupo de cazadores de errores", o "Gracias a un investigador anónimo", así que supongo que lo encontraron ellos mismos.

Y solo puedo suponer que sintieron que necesitaban arreglar esto muy rápido porque accidentalmente podría bloquear su teléfono o dejarlo casi inutilizable.

Porque ese es el problema con los errores de denegación de servicio cuando están en las aplicaciones de mensajería, ¿no es así?

Piensas en denegación de servicio... la aplicación falla; woo hoo, simplemente comienza de nuevo.

Pero el problema con una aplicación de mensajería es que: [A] tiende a ejecutarse en segundo plano, por lo que puede recibir un mensaje en cualquier momento; [B] no puedes elegir quién te envía mensajes, otras personas lo hacen; y [C] puede ser que para ingresar a la aplicación para eliminar el mensaje no autorizado, debe esperar a que se cargue la aplicación y ella decide. "Vaya. Necesito mostrarte este mensaje que quieres del…”, ¡CRASH!

lo que yo llamo un CRASH: GOTO CRASHerror.

En otras palabras, tal vez no puedas arreglarlo, porque mientras enciendes tu teléfono, o si reinicias tu teléfono, en el momento en que llegas al punto en el que podrías entrar y presionar eliminar en el mensaje...

…la aplicación ya se volvió a bloquear; ¡demasiado tarde!

Sabemos que ha habido los llamados problemas de "texto de muerte" en iOS antes.

Tenemos una lista de ellos en el artículo de Naked Security, han hecho historias bastante fascinantes.

Así que no sabemos si fue una imagen, la forma en que se forman los glifos (imágenes de caracteres), las combinaciones de caracteres, la dirección del texto... no lo sabemos.

Ciertamente vale la pena obtener el parche, porque mi intuición es que si Apple cree que es lo suficientemente importante como para incluirlo en el boletín de seguridad, que tiene esa solución única, cuando no es un día cero y no es un código remoto. ejecución, y no es elevación de privilegios…

… ¡entonces probablemente estén preocupados por lo que sucedería si alguien más se enterara!

Así que tal vez tú también deberías estarlo.

También es, Doug, un fantástico recordatorio de que, aunque las personas tienden a priorizar las vulnerabilidades de la ejecución remota de código en la parte superior; luego elevación de privilegios luego fuga de información...

…la denegación de servicio es, “Está bien, el servidor puede fallar, pero siempre puedo volver a iniciarlo”.

Sin embargo, eso puede ser un tipo de problema realmente molesto.

Aunque es posible que no robe sus datos ni ransomware sus archivos, podría impedirle usar su computadora, acceder a sus datos y hacer un trabajo real.

DOUG.  Sí, tenemos el problema aquí que necesita actualizar, pero si tiene este problema, es posible que no pueda acceder a la actualización si su teléfono sigue fallando.

Eso nos lleva a la pregunta de nuestros lectores de la semana.

Aquí, en la publicación de la que estamos hablando, el lector de Naked Security Peter pregunta:

No soy un usuario de Apple aquí, pero ¿no hay una opción para que los usuarios de Apple inicien sesión en sus cuentas de correo electrónico en un navegador que, con suerte, no se bloquee como la aplicación y elimine el correo allí en lugar de borrar su dispositivo?

PATO.  Bueno, eso es ciertamente cierto para mí.

Por la forma en que uso mi iPhone, puedo leer el mismo correo en mi teléfono que en la aplicación web de mi navegador.

Por lo tanto, es un buen punto de partida, si no tiene acceso a su teléfono y si tiene una computadora portátil a mano.

El problema es que cuando ha eliminado correos, por ejemplo, en su navegador web o a través de la aplicación nativa en su computadora portátil...

…la aplicación Mail de tu teléfono todavía tiene que sincronizarse con el servidor para saber que tiene que borrar esos mensajes.

Y si, en el camino, procesa el mensaje que ahora está a punto de eliminar, aún podría entrar en una situación de bloqueo, ¿no es así?

Entonces, el problema con ese comentario es que la única respuesta real que puedo dar es: “No hay suficiente información. No puedo decirlo con seguridad. ¡Pero espero que puedas hacer eso!”

DOUG.  Pruébalo, al menos.

PATO.  ¡Sí, pruébalo!

Si realmente se bloquea, de modo que su teléfono falla tan pronto como se inicia, le gustaría pensar que podría hacer lo que Apple llama DFU (actualización directa de firmware), donde básicamente comienza de nuevo.

Pero el problema es habilitar eso (para evitar que se use para el mal), esencialmente implica borrar y volver a empezar.

Por lo tanto, perdería todos los datos del teléfono, suponiendo que funcione.

Así que supongo que la respuesta a esa pregunta es…

Pruebe la forma menos intrusiva de resolverlo que pueda primero.

Intente "ganarle a la aplicación" en el teléfono, la aplicación de mensajería.

Esto es lo que funcionó para algunas de las cosas anteriores de iOS.

Básicamente reinicias tu teléfono; [ACELERANDO] escribes tu código de bloqueo muy rápido; [HABLANDO MUY RÁPIDO] ingresas a la aplicación lo más rápido que puedes y haces clic en eliminar...

…antes de que el teléfono llegue y comience el proceso que finalmente se queda sin memoria.

Por lo tanto, es posible que tenga suficiente tiempo para hacerlo en el teléfono.

De lo contrario, intente hacerlo a través de una aplicación externa que administre el mismo conjunto de datos.

Y si está completamente atascado, entonces supongo que flashear y reinstalar es su única solución.

DOUG.  Muy bien, gracias, Peter, por enviar eso.

Si tiene una historia interesante, un comentario o una pregunta que le gustaría enviar, nos encantaría leer en el podcast.

Puede enviar un correo electrónico a tips@sophos.com; puedes comentar cualquiera de nuestros artículos; o puede contactarnos en las redes sociales: @nakedsecurity.

Ese es nuestro programa de hoy.

Muchas gracias por escuchar

Para Paul Ducklin, soy Doug Aamoth, les recuerdo hasta la próxima para...

AMBAS COSAS.  Mantente seguro.

[MÓDEM MUSICAL]

Sello de tiempo:

Mas de Seguridad desnuda