S3 Ep104: Bør ransomware-angripere på sykehus låses inne på livstid? [Lyd + tekst]

Klikk og dra på lydbølgene nedenfor for å hoppe til et hvilket som helst punkt. Du kan også lytte direkte på Soundcloud.

DOUG.  Juridiske problemer florerer, en mystisk iPhone-oppdatering og Ada Lovelace.

Alt det og mer på Naked Security Podcast.

[MUSIKK MODEM]

Velkommen til podcasten, alle sammen.

Jeg er Doug Aamoth; han er Paul Ducklin.

Paul, hvordan har du det i dag, sir?

---

AND.  Jeg har det veldig bra, Doug...

…bortsett fra noen mikrofonproblemer, fordi jeg har vært litt på veien.

Så hvis lydkvaliteten ikke er perfekt denne uken, er det fordi jeg har måttet bruke alternativt opptaksutstyr.

---

DOUG.  Vel, det leder oss ekspert inn i vår Teknisk historie segment om ufullkommenhet.

---

AND.  [IRONISK] Åhhhhh, takk, Doug. [LETER]

---

DOUG.  11. oktober 1958 lanserte NASA sin første romsonde, Pioneer One.

Det var ment å gå i bane rundt månen, men klarte ikke å nå månebane takket være en veiledningsfeil, falt tilbake til jorden og brant opp ved re-entring.

Selv om den fortsatt samlet inn verdifulle data under sin 43 timers flytur.

---

AND.  Ja, jeg tror den nådde 113,000 400,000 km over jorden ... og månen er bare XNUMX XNUMX kilometer unna.

Jeg forstår det slik at det gikk litt utenfor målet, og så prøvde de å korrigere, men de hadde ikke den granulariteten av kontroll som de gjør i disse dager, hvor du kjører rakettmotoren for en liten liten eksplosjon.

Så de korrigerte, men de kunne bare korrigere så mye... og til slutt regnet de med, "Vi kommer ikke til månen, men kanskje vi kan få den inn i en høy jordbane så den fortsetter å gå rundt jorden, og vi kan fortsette å få vitenskapelige målinger?»

Men til slutt var det et spørsmål om: "Det som går opp... [ler] må komme ned."

---

DOUG.  Nøyaktig. [LETER]

---

AND.  Og, som du sier, det var som å skyte en veldig, veldig, veldig kraftig kule langt ut i verdensrommet, godt over Kármán-linjen, som bare er 100 km, men i en slik retning at den faktisk ikke slapp unna påvirkningen fra Jorden i det hele tatt.

---

DOUG.  Ganske bra for et første forsøk, men?

Jeg mener, ikke dårlig ... det er 1958, hva forventer du?

Jeg mener, de gjorde sitt beste, og fikk en tredjedel av veien til månen.

Vel, når vi snakker om at folk ikke gjør sitt beste og krasjet, så har vi en slags lynrunde med juridiske historier her...

…begynner med vår venn Sebastien Vachon-Desjardins, som vi har snakket om før.

Han er inne varmt vann i Florida og kanskje utover:

---

AND.  Ja, vi har snakket om ham på podcasten, tror jeg, et par ganger.

Han var en notorisk opptatt tilknyttet NetWalker ransomware-as-a-service-mannskapet.

Med andre ord, han skrev ikke løsepengevaren ... han var en av angriperne, innbryterne og utplassererne av den.

Så vidt jeg vet var han ganske ivrig på løsepenger: han ble så å si med i flere av disse gjengene; meldt seg inn i flere klubber.

Tilsynelatende kan han ha tjent så mye som en tredjedel av den samlede NetWalker-gjengens inntekter, så han var veldig sprek.

Så vi snakker om mange millioner dollar som han tjente for seg selv, og selvfølgelig gikk 30% av det til kjernemenneskene.

Han ble arrestert i Canada, han ble sendt til fengsel...

…og så ble han spesielt løslatt fra fengselet i Canada.

Ikke fordi de syntes synd på ham: de løslot ham fra fengselet slik at han kunne bli utlevert til USA, hvor han bestemte seg for å erkjenne straffskyld, og fikk 20 år.

Tilsynelatende når han er ferdig med de 20 årene i føderalt fengsel, vil han bli deportert til Canada, og han vil gå rett inn igjen for å fullføre sine syv år i Canada.

Og hvis jeg husker rett, dommeren i den saken, bemerket at dette er en løsepengegjeng som blant annet er beryktet for å angripe helseinstitusjoner, sykehus; mennesker som virkelig, virkelig ikke har råd til å betale, og hvor forstyrrelsen virkelig, virkelig direkte påvirker folks liv...

... dommeren sa tilsynelatende ord i retning av: "Hvis du ikke hadde bestemt deg for å erkjenne straffskyld, stikk opp hånden for lovbruddet, ville jeg ha dømt deg til livstid i fengsel."

---

DOUG.  Ja, det er vilt!

OK, også litt lavt: den tidligere Uber CSO Joe Sullivan ... denne historien er også vill!

De svarer på et brudd som skjedde med regulatorene, og mens de svarer på bruddet som skjedde, skjer *et annet* brudd, og det er coverups:

---

AND.  Ja, det var en historie som ble fulgt kraftig av store deler av nettsikkerhetssamfunnet ...

Fordi Uber har betalt alle slags straffer, og tilsynelatende ble de enige om å samarbeide, men dette var ikke selskapet som ble siktet.

Dette var personen som angivelig hadde ansvaret for sikkerheten – han hadde tidligere vært på Facebook, og ble deretter lokket til Uber.

Når det gjelder juryen, var det ikke så mye at skurkene fikk betalt i dette tilfellet, det var at de ble betalt for å late som om datainnbruddet var en feilpremie; at de avslørte det på en ansvarlig måte i stedet for å faktisk stjal dataene og deretter presset dem ut.

Og, selvfølgelig, den andre delen av dette er, tror jeg... Jeg er ikke sikker på hvordan du sier dette ordet, fordi du ikke hører det i Storbritannia, men det er "misprision"... Jeg tror det er slik du sier det .

Det betyr i bunn og grunn "å dekke over en forbrytelse".

Og, selvfølgelig, det handler om det faktum at, som du sier, de er midt i en etterforskning, de blir anmeldt av FTC ... du er i ferd med å overbevise dem. "Ja, vi har tatt inn en hel mengde forholdsregler siden sist."

Og midt i forsøket på å forsvare saken din og si: "Nei, nei, vi er mye bedre enn vi var"...

…å kjære, du mister ikke bare noen rekorder, hva var det?

Mer enn 50 millioner poster relatert til folk som hadde tatt Ubers, kunder.

Syv millioner sjåfører, og det inkluderte førerkortnummer for 600,000 sjåfører og SSN-er (personnummer) for 60,000.

Så det er ganske alvorlig!

Og så prøver vi bare å si: "Vel, la oss [HOSTER MENINGSFULL] gjøre det slik at vi ikke trenger å fortelle det til noen, og så la oss gå og få skurkene til å signere taushetserklæring." [LETER]

Høyttaler 1
[LATER] Å, gud!

---

AND.  [LETER] Ikke morsomt, Doug!

---

DOUG.  Veldig bra.

Og litt mer kuttet og tørket...

Hvis du oppretter en app som utgir seg for å være koblet til WhatsApp, og du samler brukerlegitimasjon, kommer WhatsApp til å komme etter deg!

---

AND.  Ja, dette er et tilfelle av WhatsApp og Meta.

Høres litt rart ut å si dem begge, men jeg antar at begge juridiske enheter (WhatsApp eies av Meta) har bestemt seg, "Vel, hvis du ikke kan slå dem, saksøk dem!"

Så dette er legitimasjonstyveri, slik at kontoer i utgangspunktet kan brukes til å sende falske meldinger.

Spam, i utgangspunktet, men sannsynligvis også massevis av svindel, ikke sant?

Hvis du har passordet mitt, kan du kontakte alle vennene mine og si: «Hei, jeg tjente masse penger på denne kryptomyntsvindel», og fordi det er *meg* som sier det i stedet for en tilfeldig person utenfor internett, kan være mer tilbøyelig til å tro det.

Så WhatsApp regnet med: "Akk, vi kommer bare til å saksøke deg og prøve å stenge selskapene dine på den måten. Og det ville i utgangspunktet gi oss et kjøretøy for å tvinge alle disse appene til å bli fjernet, uansett hvor de måtte dukke opp."

Dessverre hadde skurkene gjort nok forræderi til å snike dem inn i Google Play.

Så anklagen er at de "villedet mer enn 1 million WhatsApp-brukere til å kompromittere kontoene sine selv som en del av et kontoovertakelsesangrep."

Og ved selvkompromiss betyr det at de nettopp presenterte brukerne en falsk påloggingsside og i utgangspunktet fullførte deres legitimasjon.

Antagelig beholdt de dem og misbrukte dem etterpå...

---

DOUG.  OK, vi skal holde et øye med det.

Nå, vennligst fortell oss, hva har en grevinne som levde i første halvdel av 19-tallet med databehandling og informatikk å gjøre?

---

AND.  Det ville være Ada Lovelace.

Eller, mer formelt, Ada, grevinne av Lovelace… hun giftet seg med en kar som ble kalt Lord Lovelace, så hun ble Lady Lovelace:

Hun var av aristokratisk stamme, og på den tiden gikk kvinner generelt ikke inn i vitenskap.

Men hun gjorde det: hun var opptatt av matematikk.

Og hun møtte opp, som ung, som tenåring, tror jeg, Charles Babbage, som er kjent for å ha oppfunnet Difference Engine, som kunne beregne ting som trig-tabeller.

Så derfor var den britiske regjeringen interessert fordi der du kan gjøre trigonometri, kan du gjøre artilleritabeller, og det betyr at du kan gjøre skytterne mer nøyaktige på land og sjø.

Men så skjønte Babbage: "Det er bare en lommekalkulator (i moderne terminologi). Hvorfor bygger jeg ikke en generell datamaskin?"

Og han designet en ting som heter den analytiske motoren.

Og det var det Ada Lovelace virkelig var interessert i.

Faktisk tror jeg at hun tilbød seg å være Babbages VC på et tidspunkt, hans venturekapitalist: «Jeg skal hente inn pengene, men du må overlate driften av forretningsdelen til meg. La meg bygge virksomheten for deg!

---

DOUG.  Det er virkelig fantastisk.

Til alle som hører på dette...

… mens du lytter til denne historien, vil jeg at du skal huske på at hun døde 36 år gammel.

Hun gjør alt dette i 20-årene og begynnelsen av 30-årene.

Utrolige ting!

---

AND.  Hun døde av livmorkreft, så hun hadde virkelig vondt og kunne ikke jobbe til slutt.

Og hun ville ikke bare være forretningspersonen bak det, "Hei, la meg bygge en bedrift."

Babbage tror jeg hadde litt bitterhet mot etablissementet for ikke å komme inn; han ønsket å gjøre det på en mer tradisjonell måte, "Nei, jeg vil bevise at jeg har rett på en måte", i stedet for å si: "Ja, bare gå og finn pengene til meg," som kan være tilnærmingen i dag.

Så forretningssiden hun foreslo, ble aldri av.

Men hun var i hovedsak også verdens første dataprogrammerer ... absolutt hun var den første publiserte dataprogrammereren.

Du kan forestille deg at Babbage fikser med sin analytiske motor ... han kom sannsynligvis opp med noen programmer før hun gjorde det, men han skjønte dem aldri.

Og absolutt publiserte han aldri, som hun gjorde, en avhandling om hvorfor denne analytiske motoren var viktig, og det faktum at den faktisk kunne gjøre mye mer enn bare numeriske beregninger.

Hun hadde denne visjonen om at kalkulatorer la sammen tall, men hvis du kunne gjøre numeriske beregninger og på grunnlag av disse ta avgjørelser (det vi nå kan kalle HVIS…SÅ…ANNET), så kan du faktisk representere og jobbe med alle slags andre ting, for eksempel logiske påstander, utforming av bevis eller til og med arbeid med musikk, hvis du hadde en matematisk eller numerisk måte å representere musikk på.

Nå vet jeg ikke om digital musikk noen gang vil ta av, Doug, men hvis den noen gang gjør det …

---

DOUG.  [LAUGGER] Vi har Ada Lovelace å takke!

---

AND.  Hun var der i 1840 og tenkte og skrev om dette!

Hun var, tro det eller ei, datteren til den berømte (eller beryktede) poeten Lord Byron.

Tilsynelatende skilte moren og faren hennes lag, så jeg tror ikke hun noen gang har møtt ham – hun var en slags «ukjent datter» for ham.

Nå var Byron berømt på ferie i Sveits en gang, hvor regnet holdt ham og vennene han ferierte med innendørs.

Og de vennene var Percy og Mary Shelley.

Og Byron sa: "Hei, la oss ha en skrekkhistorieskrivingskonkurranse!" [LATTER]

Og det han gjorde, og det Percy Shelley gjorde, ble ingenting; ingen husker hva de skrev.

Men Mary Shelley ... det var tydeligvis der hun kom på Frankenstein...

---

DOUG.  Wow!

---

AND.  … eller den moderne Prometheus, som i hovedsak handler om kunstig intelligens og menneskeskapte tankemaskiner, om du vil, og hvordan det ender dårlig.

Og Ada, Byrons datter, var faktisk den første personen som skrev på en vitenskapelig måte om "Kan maskiner tenke?" i notatene hun skrev på Analytical Engine.

Hun delte *ikke* de samme skrekkhistoriebekymringene som farens venner hadde.

Slik hun skrev det (forskere hadde generelt en mer litterær tilbøyelighet på den tiden):

Den analytiske motoren har ingen anelser om å skape noe. Den kan gjøre alt vi vet hvordan den skal utføres. Den kan følge analyse, men den har ingen evne til å forutse noen analytiske relasjoner eller sannheter.

Så hun så dataenheter, generelle dataenheter, som en måte å hjelpe oss å forstå og finne ut av ting som ville være umulig for vanlige menneskelige sinn å gjøre.

Men jeg tror ikke hun trodde at de kunne være en erstatning for menneskesinnet.

---

DOUG.  Og igjen, husk at hun skriver dette i 1842 ...

---

AND.  Nøyaktig!

Det er én ting å hacke i det virkelige liv; det er en annen å hacke på imaginære datamaskiner som du vet *kunne* eksisterer, men ingen har bygget en ennå.

---

DOUG.  [LETER] Akkurat.

---

AND.  Problemet var at fordi disse datamaskinene var mekaniske og krevde mekaniske gir, krevde de absolutt perfeksjon i produksjonen.

Eller det ville bare være denne kumulative feilen som ville få dem til å låse seg på grunn av tilbakeslag, det faktum at girene ikke passer perfekt.

Og jeg tror, ​​som vi har sagt i podcasten før, ironisk nok, det tok utformingen av digitale datamaskiner, som i hovedsak er utvidelser av den analytiske motoren, som kan kontrollere datastyrte metallskjæremaskiner med tilstrekkelig presisjon...

…før vi kunne lage en Difference Engine eller en Analytical Engine som faktisk fungerte.

Og hvis det ikke er en fascinerende sirkulær historie, vet jeg ikke hva som er det!

Så Ada Lovelace var midt i dette: proselytiser; evangelist; forsker; matematiker; informatiker; og som en spirende venturekapitalist, og sa til Babbage: «Slipp alle dine forretningsinteresser; gi dem til meg. Jeg beveger meg i de riktige kretsene for å finne pengene til deg – jeg får investeringen! La oss se hva vi kan gjøre med dette!"

Og, på godt og vondt, baulkede Babbage på det og døde tilsynelatende i hovedsak i fattigdom, snarere en ødelagt mann.

Man lurer på hva som kunne ha skjedd hvis han hadde gjort det...

---

DOUG.  Det er en fascinerende historie.

Jeg oppfordrer deg til å gå til Naked Security for å lese den.

Det heter Flytt over, Patch Tuesday – det er Ada Lovelace-dagen.

Flott lang lesning, veldig interessant!

Og la oss nå avslutte med dette mystisk iPhone-oppdatering, som er en såkalt "one-bug fix".

Disse er ikke vanlige:

---

AND.  Nei, for det meste når du får Apple-oppdateringene dine (fordi du ikke vet når de kommer – det er ikke en patch Tuesday hvor du kan forutsi), de kommer bare …

…det er denne gigantiske listen over ting de har fikset siden sist de gjorde.

Og noen ganger er det en null-dagers, massiv nødsituasjon, og du får en Apple-oppdatering som sier: "Å, vel, vi fikser en eller kanskje to ting."

Og denne kom plutselig, bare for iOS 16.

Jeg var i ferd med å legge meg, Doug ... det var ganske sent, og jeg tenkte, jeg skal bare ta en titt på e-posten min, se om Doug har sendt meg noe. [LATTER]

Og det var denne tingen fra Apple: iOS 16.0.3.

Og jeg tenkte: «Det er plutselig! Jeg lurer på hva som har gått galt? Må være en null dag."

Så jeg gikk inn i sikkerhetsbulletinen ... det er ikke en null dag; det er bare et tjenestenektangrep (DoS); ikke en faktisk ekstern kodekjøring.

Mail-appen kan fås til å krasje.

Og likevel presset Apple plutselig ut denne oppdateringen og den sier bare:

Virkning: Behandling av en ondsinnet e-postmelding kan føre til tjenestenekt. Et problem med inndatavalidering ble løst med forbedret inputvalidering.

Merkelig dobbeltbruk av ordet validering der...

CVE-2022-22658.

Og det er alt vi vet.

Og det står ikke "Å, det ble rapportert av en slik og slik insektjaktgruppe", eller "Takk til en anonym forsker", så jeg antar at de fant det selv.

Og jeg kan bare gjette at de følte at de trengte å fikse dette veldig raskt fordi det ved et uhell kunne låse deg ute av telefonen din, eller gjøre den nesten ubrukelig.

For det er problemet med tjenestenekt-feil når de er i meldingsapper, er det ikke?

Du tenker på tjenestenekt... appen krasjer; woo hoo, du bare starter den på nytt.

Men problemet med en meldingsapp er at: [A] den har en tendens til å kjøre i bakgrunnen, slik at den kan motta en melding når som helst; [B] du kan ikke velge hvem som sender deg meldinger, det gjør andre; og [C] kan det være at for å komme inn i appen for å slette den useriøse meldingen, må du vente på at appen skal lastes, og den bestemmer seg. "Åh. Jeg må vise deg denne meldingen om at du vil dele…”, CRASH!

Det jeg kaller a CRASH: GOTO CRASHfeil.

Med andre ord, kanskje du ikke kan fikse det, for mens du starter opp telefonen din, eller hvis du starter telefonen på nytt, når du kommer til det punktet at du kan hoppe inn og trykke slett i meldingen ...

…appen har allerede krasjet igjen; for sent!

Vi vet at det har vært såkalte «text of death»-problemer i iOS tidligere.

Vi har en liste over dem i Naked Security-artikkelen – de har laget ganske fascinerende historier.

Så vi vet ikke om det var et bilde, måten glyfer (karakterbilder) blir dannet på, tegnkombinasjoner, tekstretning … vi vet ikke.

Det er absolutt verdt å få oppdateringen, fordi magefølelsen min er om Apple synes det er viktig nok til å sette det i sikkerhetsbulletinen, som har den en-og-en-en-løsningen, når det ikke er en null dag, og det ikke er ekstern kode henrettelse, og det er ikke heving av privilegier...

…da er de sannsynligvis bekymret for hva som ville skje hvis noen andre fikk vite om det!

Så kanskje du bør være det også.

Det er også, Doug, en fantastisk påminnelse om at selv om folk har en tendens til å prioritere sårbarheter fra ekstern kjøring av kode øverst; deretter heving av privilegier og deretter informasjonslekkasje ...

… tjenestenekt er, "OK, serveren kan krasje, men jeg kan alltid starte den opp igjen."

Det kan likevel være et veldig plagsomt problem.

Selv om det kanskje ikke stjeler dataene dine eller løser løsepenger for filene dine, kan det likevel hindre deg i å bruke datamaskinen, få tak i dataene dine og gjøre skikkelig arbeid.

---

DOUG.  Ja, vi har problemet her at du må oppdatere, men hvis du opplever dette problemet, kan det hende du ikke kan komme til oppdateringen hvis telefonen fortsetter å krasje!

Så det leder oss inn på leserspørsmålet vårt for uken.

Her på innlegget som vi snakker om, spør Naked Security-leser Peter:

Ikke en Apple-bruker her, men er det ikke et alternativ for Apple-brukere å logge på e-postkontoene sine i en nettleser som forhåpentligvis ikke krasjer som appen og slette e-posten der i stedet for å tørke enheten din?

---

AND.  Vel, det er absolutt sant for meg.

Slik jeg bruker iPhone, kan jeg lese den samme e-posten på telefonen som i nettappen i nettleseren.

Så det er et godt utgangspunkt hvis du er utestengt fra telefonen din, og hvis du tilfeldigvis har en bærbar datamaskin tilgjengelig.

Problemet er at når du har slettet e-post, for eksempel i nettleseren din, eller via den opprinnelige appen på den bærbare datamaskinen ...

…telefonens Mail-app må fortsatt synkroniseres med serveren for å vite at den må slette disse meldingene.

Og hvis den, på veien dit, behandler meldingen som den nå er i ferd med å slette, kan den fortsatt havne i den krasjtastiske situasjonen, ikke sant?

Så problemet med den kommentaren er det eneste virkelige svaret jeg kan gi er: «Ikke nok informasjon. Kan ikke si sikkert. Men jeg håper virkelig du klarer det!"

---

DOUG.  Gi det et forsøk, i det minste.

---

AND.  Ja, prøv det!

Hvis du virkelig blir låst ute, slik at telefonen krasjer så snart den starter, vil du gjerne tro at du kan gjøre det Apple kaller en DFU (direkte fastvareoppdatering), der du i utgangspunktet starter på nytt.

Men problemet er å aktivere det (for å stoppe det å bli brukt for ondskap), det innebærer i hovedsak en tørking-og-start-over.

Så du ville miste all data på telefonen, forutsatt at det ville fungere.

Så jeg antar at svaret på det spørsmålet er...

Prøv den minst påtrengende måten å løse det på som du kan først.

Prøv å "slå appen" på telefonen, meldingsappen.

Dette er det som fungerte for noen av de tidligere iOS-tingene.

Du starter i utgangspunktet telefonen på nytt; [SPEED UP] du skriver inn låsekoden veldig raskt; [SNAKKER VELDIG RASK] du kommer inn i appen så fort du kan, og du klikker på slett...

…før telefonen kommer dit og starter prosessen som til slutt går tom for minne.

Så du kan ha nok tid til å gjøre det på selve telefonen.

Hvis ikke, prøv å gjøre det via en ekstern app som administrerer det samme settet med data.

Og hvis du sitter helt fast, antar jeg at en flash-og-installering er den eneste løsningen.

---

DOUG.  Ok, takk, Peter, for at du sendte det inn.

Hvis du har en interessant historie, kommentar eller spørsmål du vil sende inn, vil vi gjerne lese på podcasten.

Du kan sende en e-post til tips@sophos.com; du kan kommentere hvilken som helst av artiklene våre; eller du kan slå oss opp på sosialt: @nakedsecurity.

Det er showet vårt for i dag.

Tusen takk for at du lyttet.

For Paul Ducklin, jeg er Doug Aamoth, og minner deg på til neste gang om å...

---

BÅDE.  Hold deg trygg.

[MUSIKK MODEM]