S3 Ep104: Os invasores de ransomware hospitalares devem ser presos por toda a vida? [Áudio + Texto]

Clique e arraste nas ondas sonoras abaixo para pular para qualquer ponto. Você também pode ouça diretamente no Soundcloud.

DOUG.  Problemas legais são abundantes, uma misteriosa atualização do iPhone e Ada Lovelace.

Tudo isso e muito mais no Naked Security Podcast.

[MODEM MUSICAL]

Bem-vindos ao podcast, pessoal.

Eu sou Doug Aamoth; ele é Paul Ducklin.

Paul, como você está hoje, senhor?

---

PATO.  Estou muito bem, Douglas...

…exceto por alguns problemas de microfone, porque estive um pouco na estrada.

Então, se a qualidade do som não está perfeita esta semana, é porque tive que usar equipamentos de gravação alternativos.

---

DOUG.  Bem, isso nos leva habilmente ao nosso Histórico de tecnologia segmento sobre imperfeição.

---

PATO.  [IRÔNICO] Ohhhhh, obrigado, Doug. [RISOS]

---

DOUG.  Em 11 de outubro de 1958, a NASA lançou sua primeira sonda espacial, a Pioneer One.

Ele deveria orbitar a lua, mas não conseguiu alcançar a órbita lunar graças a um erro de orientação, caiu de volta à Terra e queimou na reentrada.

Embora ainda tenha coletado dados valiosos durante seu voo de 43 horas.

---

PATO.  Sim, acredito que chegou a 113,000 km acima da Terra… e a Lua está a apenas 400,000 km de distância.

Meu entendimento é que saiu um pouco do alvo e então eles tentaram corrigir, mas eles não tinham a granularidade de controle que eles têm hoje em dia, onde você aciona o motor do foguete por uma pequena explosão.

Então eles corrigiram, mas eles só podiam corrigir até certo ponto… e no final eles pensaram: “Nós não vamos chegar à lua, mas talvez possamos colocá-lo em uma órbita alta da Terra para que continue girando a Terra e podemos continuar obtendo medições científicas?”

Mas no final era uma questão de “O que sobe… [RISOS] deve descer”.

---

DOUG.  Exatamente. [RISOS]

---

PATO.  E, como você diz, foi como disparar uma bala muito, muito, muito poderosa para o espaço sideral, bem acima da linha de Kármán, que fica a apenas 100 km, mas em uma direção que não escapou da influência do Terra completamente.

---

DOUG.  Muito bom para uma primeira tentativa, embora?

Quero dizer, nada mal... isso é 1958, o que você espera?

Quero dizer, eles fizeram o seu melhor e conseguiram um terço do caminho para a lua.

Bem, falando em pessoas que não estão dando o seu melhor e quebrando, temos uma espécie de rodada relâmpago de histórias legais aqui…

…começando com nosso amigo Sebastien Vachon-Desjardins, de quem já falamos antes.

Ele está dentro água quente na Flórida e talvez além:

---

PATO.  Sim, nós falamos sobre ele no podcast, eu acho, algumas vezes.

Ele era um afiliado notoriamente ocupado da equipe de ransomware como serviço do NetWalker.

Em outras palavras, ele não escreveu o ransomware... ele foi um dos atacantes, invasores e implantadores dele.

Até onde eu sei, ele gostava muito de ransomware: ele se juntou a várias dessas gangues, por assim dizer; inscreveu-se em vários clubes.

Aparentemente, ele pode ter feito até um terço dos ganhos gerais da gangue NetWalker, então ele foi muito vigoroso.

Então, estamos falando de muitos milhões de dólares que ele ganhou para si mesmo e, claro, 30% disso foi para as pessoas do núcleo.

Ele foi preso no Canadá, ele foi enviado para a prisão…

…e então ele foi especialmente libertado da prisão no Canadá.

Não porque tivessem pena dele: o libertaram da prisão para que fosse extraditado para os EUA, onde decidiu se declarar culpado, e pegou 20 anos.

Aparentemente, quando ele terminar esses 20 anos de prisão federal, ele será deportado para o Canadá e voltará direto para terminar seus sete anos no Canadá.

E se bem me lembro, o juiz nesse caso, observando que se trata de uma gangue de ransomware que é, entre outras coisas, notória por atacar instituições de saúde, hospitais; pessoas que realmente não podem pagar, e onde a interrupção realmente afeta diretamente a vida das pessoas…

…o juiz aparentemente disse palavras como: “Se você não tivesse realmente decidido se declarar culpado, levantasse a mão pelo crime, eu o teria condenado à prisão perpétua”.

---

DOUG.  Sim, isso é selvagem!

OK, também meio baixo: o ex-CSO da Uber Joe Sullivan… esta história também é selvagem!

Eles estão respondendo a uma violação que aconteceu com os reguladores e, enquanto estão respondendo à violação que aconteceu, *outra* violação acontece e há encobrimentos:

---

PATO.  Sim, essa foi uma história vigorosamente assistida por grande parte da comunidade de segurança cibernética…

Porque o Uber pagou todo tipo de multa e aparentemente eles concordaram em cooperar, mas essa não era a empresa que estava sendo cobrada.

Este era o indivíduo que supostamente estava encarregado da segurança – ele já havia estado no Facebook e depois foi atraído para o Uber.

No que diz respeito ao júri, não foi tanto que os bandidos foram pagos neste caso, é que eles foram pagos para fingir que a violação de dados foi uma recompensa por bugs; que eles os divulgaram com responsabilidade, em vez de realmente roubar os dados e extorqui-los.

E, claro, a segunda parte disso é, eu acredito... eu não sei como você diz essa palavra, porque você não a ouve no Reino Unido, mas é "misprision"... eu acho que é assim que você diz .

Basicamente significa “encobrir um crime”.

E, claro, isso lida com o fato de que, como você diz, eles estão no meio de uma investigação, estão sendo analisados ​​pela FTC... você está prestes a convencê-los. “Sim, nós colocamos um monte de precauções desde a última vez.”

E no meio de tentar pleitear seu caso e dizer: “Não, não, somos muito melhores do que éramos”…

…oh, querida, você não perdeu apenas alguns registros, o que foi?

Mais de 50 milhões de registros relacionados a pessoas que pegaram Ubers, clientes.

Sete milhões de motoristas, incluindo números de carteira de motorista para 600,000 motoristas e SSNs (números de previdência social) para 60,000.

Então isso é muito sério!

E então apenas tentando dizer: “Bem, vamos [tosse SIGNIFICATIVAMENTE] fazer com que não tenhamos que contar a ninguém, e então vamos pedir aos bandidos que assinem acordos de confidencialidade”. [RISOS]

Alto-falante1
[RISOS] Oh, Deus!

---

PATO.  [RINDO] Não é engraçado, Doug!

---

DOUG.  Muito bom.

E um pouco mais cortado e seco…

Se você criar um aplicativo que pretende estar conectado ao WhatsApp e coletar credenciais de usuário, o WhatsApp vai vem atrás de você!

---

PATO.  Sim, este é um caso de WhatsApp e Meta.

Parece um pouco estranho dizer os dois, mas acho que as duas entidades legais (o WhatsApp é de propriedade da Meta) decidiram: “Bem, se você não pode vencê-los, processe-os!”

Portanto, isso é roubo de credenciais, para que as contas possam ser usadas basicamente para enviar mensagens falsas.

Spam, basicamente, mas provavelmente também muitos golpes, certo?

Se você tem minha senha, pode entrar em contato com todos os meus amigos e dizer: “Ei, ganhei muito dinheiro com esse golpe de criptomoeda”, e porque sou *eu* dizendo isso em vez de um indivíduo aleatório da internet, você pode estar mais inclinado a acreditar.

Então o WhatsApp pensou: “Certo, vamos processá-lo e tentar fechar suas empresas dessa maneira. E isso basicamente nos daria um veículo para forçar a remoção de todos esses aplicativos, onde quer que eles apareçam.”

Infelizmente, os bandidos fizeram traição suficiente para levá-los ao Google Play.

Então a acusação é que eles “induziu mais de 1 milhão de usuários do WhatsApp a comprometerem suas contas como parte de um ataque de aquisição de contas”.

E por autocomprometimento, significa que eles apenas apresentaram aos usuários uma página de login falsa e basicamente fizeram proxy de suas credenciais.

Presumivelmente, eles os guardaram e abusaram deles depois…

---

DOUG.  Ok, vamos ficar de olho nisso.

Agora, por favor, diga-nos, o que uma condessa que viveu na primeira metade do século 19 tem a ver com computação e ciência da computação?

---

PATO.  Essa seria Ada Lovelace.

Ou, mais formalmente, Ada, condessa de Lovelace... ela se casou com um sujeito que se chamava Lord Lovelace, então ela se tornou Lady Lovelace:

Ela era de origem aristocrática e, naquela época, as mulheres geralmente não iam para a ciência.

Mas ela fez: ela estava interessada em matemática.

E ela conheceu, quando jovem, quando adolescente, eu acho, com Charles Babbage, que é famoso por ter inventado a Máquina Diferencial, que podia calcular coisas como tabelas trigonométricas.

Portanto, o governo do Reino Unido estava interessado porque onde você pode fazer trigonometria, você pode fazer tabelas de artilharia, e isso significa que você pode tornar seus artilheiros mais precisos em terra e mar.

Mas então Babbage pensou: “Isso é apenas uma calculadora de bolso (na terminologia moderna). Por que não construo um computador de uso geral?”

E ele projetou uma coisa chamada Máquina Analítica.

E era nisso que Ada Lovelace estava realmente interessada.

Na verdade, eu acredito que ela se ofereceu para ser o VC de Babbage em um ponto, seu capitalista de risco: “Eu trago o dinheiro, mas você tem que deixar a parte de gestão do negócio para mim. Deixe-me construir o negócio para você!

---

DOUG.  É realmente incrível.

Pra quem tá ouvindo isso...

…enquanto você está ouvindo esta história, eu quero que você tenha em mente que ela morreu aos 36 anos.

Ela está fazendo tudo isso em seus 20 e 30 e poucos anos.

Coisas incríveis!

---

PATO.  Ela morreu de câncer uterino, então ela estava realmente com dor e incapaz de trabalhar no final.

E ela não queria apenas ser a pessoa de negócios por trás disso: “Ei, deixe-me construir um negócio”.

Babbage, eu acho, teve um pouco de amargura em relação ao estabelecimento por não ter vindo; ele queria fazer isso de uma maneira mais tradicional, “Não, eu quero provar que estou certo”, em vez de dizer “Sim, apenas vá e me encontre o dinheiro”, que pode ser a abordagem hoje.

Assim, o lado comercial que ela propôs nunca saiu.

Mas ela também foi essencialmente a primeira programadora de computador do mundo... certamente ela foi a primeira programadora de computador publicada.

Você pode imaginar Babbage mexendo em sua Máquina Analítica... ele provavelmente criou alguns programas antes dela, mas nunca os percebeu.

E certamente ele nunca publicou, como ela, um tratado sobre por que essa Máquina Analítica era importante e o fato de que ela poderia fazer muito mais do que apenas cálculos numéricos.

Ela tinha essa visão de que as calculadoras somavam números, mas se você pudesse fazer cálculos numéricos e com base neles tomar decisões (o que agora podemos chamar SE... ENTÃO... ELSE), então você poderia representar e trabalhar com todos os tipos de outros coisas, como proposições lógicas, elaborar provas, ou até mesmo trabalhar com música, se você tivesse alguma forma matemática ou numérica de representar a música.

Agora, eu não sei se a música digital vai decolar, Doug, mas se isso acontecer…

---

DOUG.  [RISOS] Temos que agradecer a Ada Lovelace!

---

PATO.  Ela estava lá em 1840, pensando e escrevendo sobre isso!

Ela era, acredite ou não, a filha do famoso (ou infame) poeta Lord Byron.

Aparentemente sua mãe e seu pai se separaram, então eu não acredito que ela o conheceu – ela era uma espécie de “filha desconhecida” para ele.

Agora, Byron estava de férias na Suíça uma vez, onde a chuva manteve ele e os amigos com quem ele estava de férias dentro de casa.

E esses amigos eram Percy e Mary Shelley.

E Byron disse: “Ei, vamos fazer uma competição de escrita de histórias de terror!” [RISADA]

E o que ele fez, e o que Percy Shelley fez, não deu em nada; ninguém se lembra do que eles escreveram.

Mas Mary Shelley… aparentemente foi aí que ela veio com Frankenstein...

---

DOUG.  Wow!

---

PATO.  … ou o moderno Prometeu, que é essencialmente sobre inteligência artificial e máquinas de pensamento criadas por humanos, se você quiser, e como isso acaba mal.

E Ada, filha de Byron, foi na verdade a primeira pessoa a escrever de forma científica sobre “As máquinas podem pensar?” nas notas que ela escreveu na Máquina Analítica.

Ela *não* compartilhava as mesmas preocupações com histórias de terror que os amigos de seu pai tinham.

A maneira como ela escreveu (os cientistas geralmente tinham uma inclinação mais literária naqueles dias):

A Máquina Analítica não tem pretensão alguma de originar nada. Ele pode fazer o que sabemos como ordenar que ele execute. Pode seguir a análise, mas não tem o poder de antecipar quaisquer relações analíticas ou verdades.

Então ela viu dispositivos de computação, dispositivos de computação de uso geral, como uma forma de nos ajudar a entender e resolver coisas que seriam impossíveis para mentes humanas comuns.

Mas eu não acho que ela pensou que eles poderiam ser um substituto para as mentes humanas.

---

DOUG.  E novamente, tenha em mente que ela está escrevendo isso em 1842…

---

PATO.  Exatamente!

Uma coisa é hackear na vida real; outra é hackear computadores imaginários que você sabe que *poderiam* existir, mas ninguém construiu um ainda.

---

DOUG.  [Risos] Exatamente.

---

PATO.  O problema era que, como esses computadores eram mecânicos e exigiam engrenagens mecânicas, eles exigiam perfeição absoluta na fabricação.

Ou haveria apenas esse erro cumulativo que os faria travar devido à folga, o fato de as engrenagens não se encaixarem perfeitamente.

E acho que, como dissemos no podcast antes, ironicamente, foi preciso o design de computadores digitais, que são essencialmente extensões do Analytical Engine, que podem controlar máquinas de corte de metal computadorizadas com precisão suficiente…

…antes que pudéssemos fazer uma Máquina Diferencial ou uma Máquina Analítica que realmente funcionasse.

E se isso não é uma história fascinantemente circular, eu não sei o que é!

Então Ada Lovelace estava no meio disso: proselitista; evangelista; cientista; matemático; cientista da computação; e como um capitalista de risco iniciante, dizendo a Babbage: “Abandone todos os seus interesses comerciais; entregue-os a mim. Eu me movo nos círculos certos para encontrar o dinheiro para você – eu recebo o investimento! Vamos ver o que podemos fazer com isso!”

E, para o bem ou para o mal, Babbage vacilou com isso e aparentemente morreu essencialmente na pobreza, um homem quebrado.

Alguém se pergunta o que poderia ter acontecido se ele tivesse feito isso...

---

DOUG.  É uma história fascinante.

Exorto-vos a dirigir-se à Naked Security para lê-lo.

É chamado Afaste-se, Patch Tuesday – é dia de Ada Lovelace.

Ótima leitura, muito interessante!

E agora vamos encerrar com isso atualização misteriosa do iPhone, que é a chamada "correção de um bug".

Estes não são comuns:

---

PATO.  Não, principalmente quando você recebe suas atualizações da Apple (porque você não sabe quando elas estão chegando – não há um Patch Tuesday onde você possa prever), elas simplesmente chegam…

…há uma lista gigante de coisas que eles consertaram desde a última vez que consertaram.

E, ocasionalmente, há uma emergência massiva de dia zero e você recebe uma atualização da Apple que diz: “Oh, bem, estamos consertando uma ou talvez duas coisas”.

E este chegou de repente, apenas para iOS 16.

Eu estava prestes a ir para a cama, Doug... já era muito tarde, e pensei, vou dar uma olhada no meu e-mail, ver se Doug me enviou alguma coisa. [RISADA]

E tinha essa coisa da Apple: iOS 16.0.3.

E eu pensei: “Isso é repentino! Eu me pergunto o que deu errado? Deve ser um dia zero.”

Então entrei no boletim de segurança... não é um dia zero; é apenas um ataque de negação de serviço (DoS); não uma execução real de código remoto.

O aplicativo Mail pode falhar.

E, no entanto, a Apple de repente lançou esta atualização e apenas diz:

Impacto: o processamento de uma mensagem de email criada com códigos maliciosos pode levar a uma negação de serviço. Um problema de validação de entrada foi resolvido com validação de entrada aprimorada.

Estranho uso duplo da palavra validação aí…

CVE-2022-22658.

E isso é tudo que sabemos.

E não diz: “Ah, foi relatado por tal e tal grupo de caçadores de insetos”, ou “Graças a um pesquisador anônimo”, então presumo que eles mesmos o encontraram.

E eu só posso adivinhar que eles sentiram que precisavam consertar isso muito rapidamente, porque isso poderia acidentalmente bloqueá-lo do telefone ou torná-lo quase inutilizável.

Porque esse é o problema dos bugs de negação de serviço quando estão em aplicativos de mensagens, não é?

Você pensa em negação de serviço… o aplicativo trava; woo hoo, você acabou de iniciá-lo novamente.

Mas o problema com um aplicativo de mensagens é que: [A] ele tende a ser executado em segundo plano, para que possa receber uma mensagem a qualquer momento; [B] você não pode escolher quem lhe envia mensagens, outras pessoas sim; e [C] pode ser que, para entrar no aplicativo para excluir a mensagem não autorizada, você tenha que esperar que o aplicativo carregue e ele decida. "Oh. Eu preciso te mostrar essa mensagem que você quer de…”, CRASH!

O que eu chamo de CRASH: GOTO CRASHerro.

Em outras palavras, talvez você não possa consertá-lo, porque enquanto você está inicializando seu telefone, ou se você reiniciar seu telefone, no momento em que você chegar ao ponto em que você pode pular e pressionar delete na mensagem…

…o aplicativo já travou novamente; tarde demais!

Sabemos que já houve os chamados problemas de “texto da morte” no iOS antes.

Nós temos um lista deles no artigo da Naked Security – eles criaram histórias fascinantes.

Então não sabemos se era uma imagem, a forma como os glifos (imagens de caracteres) são formados, as combinações de caracteres, a direção do texto… não sabemos.

Certamente vale a pena obter o patch, porque meu pressentimento é se a Apple acha importante o suficiente para colocá-lo no boletim de segurança, que tem aquela correção única, quando não é um dia zero e não é código remoto execução, e não é elevação de privilégio…

…então eles provavelmente estão preocupados com o que aconteceria se mais alguém descobrisse!

Então talvez você devesse ser também.

É também, Doug, um lembrete fantástico de que, embora as pessoas tendam a priorizar vulnerabilidades da execução remota de código no topo; então elevação de privilégio e vazamento de informações…

... negação de serviço é: "OK, o servidor pode travar, mas sempre posso iniciá-lo novamente."

Isso pode, no entanto, ser um tipo de problema realmente problemático.

Embora possa não roubar seus dados ou ransomware seus arquivos, ele pode impedir que você use seu computador, acesse seus dados e faça um trabalho real.

---

DOUG.  Sim, temos o problema aqui que você precisa atualizar, mas se estiver enfrentando esse problema, talvez não consiga obter a atualização se o telefone continuar travando!

Então, isso nos leva à nossa pergunta do leitor para a semana.

Aqui no post de que estamos falando, o leitor da Naked Security, Peter, pergunta:

Não é um usuário da Apple aqui, mas não há uma opção para os usuários da Apple fazerem login em suas contas de e-mail em um navegador que esperamos não travar como o aplicativo e excluir o e-mail em vez de limpar seu dispositivo?

---

PATO.  Bem, isso é certamente verdade para mim.

Da forma como uso meu iPhone, posso ler o mesmo e-mail no meu telefone que no aplicativo da web no meu navegador.

Portanto, é um bom ponto de partida, se você estiver bloqueado no telefone e se tiver um laptop à mão.

O problema é que quando você exclui e-mails, digamos, em seu navegador da Web ou por meio do aplicativo nativo em seu laptop…

…o aplicativo Mail do seu telefone ainda precisa sincronizar com o servidor para saber que deve excluir essas mensagens.

E se, no caminho até lá, ele processar a mensagem que está prestes a deletar, ainda poderá entrar na situação de travamento, não é?

Portanto, o problema com esse comentário é que a única resposta real que posso dar é: “Informação insuficiente. Não posso dizer com certeza. Mas eu espero que você consiga fazer isso!”

---

DOUG.  Experimente, pelo menos.

---

PATO.  Sim, experimente!

Se você realmente ficar bloqueado, para que seu telefone trave assim que iniciar, você gostaria de pensar que poderia fazer o que a Apple chama de DFU (atualização direta de firmware), onde você basicamente começa de novo.

Mas o problema é permitir isso (para impedir que seja usado para o mal), envolve essencialmente uma limpeza e recomeço.

Então você perderia todos os dados no telefone, supondo que funcionaria.

Então acho que a resposta para essa pergunta é…

Tente a maneira menos intrusiva de resolvê-lo que você puder primeiro.

Tente “bater o aplicativo” no telefone, o aplicativo de mensagens.

Isso é o que funcionou para algumas das coisas anteriores do iOS.

Você basicamente reinicia seu telefone; [Acelerando] você digita seu código de bloqueio muito rapidamente; [FALANDO MUITO RÁPIDO] você entra no aplicativo o mais rápido possível e clica em excluir…

…antes que o telefone chegue lá e inicie o processo que eventualmente fica sem memória.

Então você pode ter tempo suficiente para fazê-lo no próprio telefone.

Caso contrário, tente fazer isso por meio de um aplicativo externo que gerencie o mesmo conjunto de dados.

E se totalmente travado, suponho que um flash-and-reinstall seja sua única solução.

---

DOUG.  Muito bem, obrigado, Peter, por enviar isso.

Se você tiver uma história, comentário ou pergunta interessante que gostaria de enviar, adoraríamos ler no podcast.

Você pode enviar um e-mail para tips@sophos.com; você pode comentar qualquer um de nossos artigos; ou você pode nos visitar nas redes sociais: @nakedsecurity.

Esse é o nosso show de hoje.

Muito obrigado por ouvir.

Para Paul Ducklin, sou Doug Aamoth, lembrando você até a próxima…

---

AMBAS.  Fique seguro.

[MODEM MUSICAL]