S3 Ep104: Должны ли нападавшие на больниц программы-вымогатели быть заперты на всю жизнь? [Аудио + текст]

Нажмите и перетащите звуковые волны ниже, чтобы перейти к любой точке. Вы также можете слушать прямо на Саундклауд.

ДУГ.  Множество юридических проблем, загадочное обновление iPhone и Ада Лавлейс.

Все это и многое другое в подкасте Naked Security.

[МУЗЫКАЛЬНЫЙ МОДЕМ]

Добро пожаловать в подкаст, все.

Я Дуг Аамот; он Пол Даклин.

Пол, как поживаете сегодня, сэр?

---

УТКА.  Я в порядке, Даг…

…за исключением некоторых проблем с микрофоном, потому что я немного побывал в дороге.

Так что, если на этой неделе качество звука не идеальное, это потому, что мне пришлось использовать альтернативное записывающее оборудование.

---

ДУГ.  Что ж, это подводит нас к нашим Техническая история сегмент о несовершенстве.

---

УТКА.  [IRONIC] О-о-о, спасибо, Дуг. [СМЕЕТСЯ]

---

ДУГ.  11 октября 1958 года НАСА запустило свой первый космический зонд Pioneer One.

Он должен был выйти на орбиту Луны, но не смог достичь лунной орбиты из-за ошибки наведения, упал на Землю и сгорел при входе в атмосферу.

Хотя он все еще собирал ценные данные во время своего 43-часового полета.

---

УТКА.  Да, я считаю, что он поднялся на 113,000 400,000 км над Землей… а до Луны чуть меньше XNUMX XNUMX километров.

Насколько я понимаю, это немного отклонилось от цели, а затем они попытались исправить, но у них не было такой детализации контроля, как в наши дни, когда вы запускаете ракетный двигатель на маленькую вспышку.

Итак, они исправили, но они могли исправить только так много… и в конце концов они решили: «Мы не собираемся долететь до Луны, но, может быть, мы сможем вывести ее на высокую околоземную орбиту, чтобы она продолжала вращаться». Земля, и мы сможем продолжать получать научные измерения?»

Но, в конце концов, это был вопрос: «Что растет… [СМЕЕТСЯ] должно падать».

---

ДУГ.  В яблочко. [СМЕЕТСЯ]

---

УТКА.  И, как вы говорите, это было похоже на выстрел очень, очень, очень мощной пули в космическое пространство, намного выше линии Кармана, которая составляет всего 100 км, но в таком направлении, что она фактически не избежала влияния Земля вообще.

---

ДУГ.  Впрочем, неплохо для первого раза?

Я имею в виду, неплохо… это 1958 год, чего вы ожидаете?

Я имею в виду, они сделали все возможное и прошли треть пути к Луне.

Что ж, если говорить о людях, которые не выкладываются на полную катушку и терпят крах, у нас здесь есть что-то вроде молниеносного раунда юридических историй…

…начиная с нашего друга Себастьяна Вашон-Дежардена, о котором мы говорили ранее.

Он здесь горячая вода во Флориде и, возможно, за ее пределами:

---

УТКА.  Да, мы говорили о нем в подкасте, кажется, пару раз.

Он был печально известным партнером команды NetWalker, занимающейся вымогательством как услугой.

Другими словами, он не написал программу-вымогатель… он был одним из ее злоумышленников, взломщиков и развертывателей.

Насколько мне известно, он весьма увлекался вымогателями: он как бы вступил в несколько таких банд; записался в несколько клубов.

Судя по всему, он, возможно, зарабатывал до одной трети общего дохода банды NetWalker, поэтому он был очень энергичным.

Итак, мы говорим о многих миллионах долларов, которые он заработал для себя, и, конечно же, 30% из них достались основным людям.

Его арестовали в Канаде, его посадили в тюрьму…

…а потом его специально выпустили из тюрьмы в Канаде.

Не потому, что его жалели: его выпустили из тюрьмы, чтобы экстрадировать в США, где он решил признать себя виновным и получил 20 лет.

Судя по всему, когда он отработает эти 20 лет в федеральной тюрьме, его депортируют в Канаду, и он вернётся обратно, чтобы закончить свои семь лет в Канаде.

И если я правильно помню, судья в том случае, отметив, что это банда вымогателей, которая, помимо прочего, печально известна тем, что нападает на учреждения здравоохранения, больницы; люди, которые действительно не могут позволить себе платить, и где сбои действительно, действительно напрямую влияют на жизнь людей…

…судья, по-видимому, сказал слова примерно такого содержания: «Если бы вы на самом деле не решили признать себя виновным, поднимите руку за правонарушение, я бы приговорил вас к пожизненному заключению».

---

ДУГ.  Да, это дико!

Хорошо, тоже как-то низко: бывший CSO Uber Джо Салливан… эта история тоже дикий!

Они реагируют на нарушение, которое произошло с регулирующими органами, и пока они реагируют на произошедшее нарушение, происходит *другое* нарушение, и есть сокрытия:

---

УТКА.  Да, это была история, за которой активно наблюдала большая часть сообщества кибербезопасности…

Потому что Uber заплатил всевозможные штрафы, и, видимо, они согласились сотрудничать, но это была не компания, которая обвинялась.

Это был человек, который якобы отвечал за безопасность — раньше он работал в Facebook, а потом его переманили в Uber.

Что касается присяжных, в данном случае мошенникам заплатили не столько за то, что им заплатили за то, чтобы они притворились, что утечка данных была вознаграждением за обнаружение ошибок; что они раскрыли это ответственно, а не украли данные, а затем вымогали их.

И, конечно же, вторая часть этого, я полагаю… Я не знаю, как вы произносите это слово, потому что вы не слышите его в Великобритании, но это «заблуждение»… Я думаю, вы так его произносите. .

В основном это означает «сокрытие преступления».

И, конечно же, это связано с тем фактом, что, как вы говорите, они находятся в процессе расследования, их рассматривает Федеральная торговая комиссия… вы собираетесь их убедить. «Да, с прошлого раза мы ввели целую кучу мер предосторожности».

И посреди попытки отстаивать свое дело и говорить: «Нет, нет, мы намного лучше, чем были»…

…о, дорогой, ты теряешь не просто какие-то записи, что это было?

Более 50 миллионов записей о людях, которые пользовались Ubers, клиентами.

Семь миллионов водителей, включая номера водительских прав для 600,000 60,000 водителей и SSN (номера социального страхования) для XNUMX XNUMX водителей.

Так что это довольно серьезно!

А затем просто пытается сказать: «Ну, давайте [КАШЛЯЕТ СО СМЫСЛОМ] сделать так, чтобы нам не нужно было никому ничего говорить, а затем пойдем и заставим мошенников подписать соглашение о неразглашении». [СМЕЕТСЯ]

Спикер1
[СМЕЕТСЯ] О, Боже!

---

УТКА.  [СМЕЕТСЯ] Не смешно, Даг!

---

ДУГ.  Очень хорошо.

И еще немного нарезанного и высушенного…

Если вы создаете приложение, которое предположительно связано с WhatsApp, и собираете учетные данные пользователя, WhatsApp приходи за тобой!

---

УТКА.  Да, это случай WhatsApp и Meta.

Звучит немного странно, что они оба, но я думаю, что оба юридических лица (WhatsApp принадлежит Meta) решили: «Ну, если вы не можете победить их, подайте на них в суд!»

Итак, это кража учетных данных, так что учетные записи могут использоваться в основном для отправки поддельных сообщений.

Спам, в основном, но, вероятно, также много мошенничества, верно?

Если у вас есть мой пароль, вы можете связаться со всеми моими друзьями и сказать: «Эй, я заработал кучу денег на этом мошенничестве с криптовалютой», и поскольку это говорю *я*, а не какой-то случайный человек из Интернета, вы может быть более склонен в это поверить.

Итак, WhatsApp решил: «Хорошо, мы просто подадим на вас в суд и попытаемся таким образом закрыть ваши компании. И это, по сути, дало бы нам средство для принудительного удаления всех этих приложений, где бы они ни появлялись».

К сожалению, мошенники совершили достаточно предательства, чтобы проникнуть в Google Play.

Так что обвинение в том, что они «Ввел в заблуждение более 1 миллиона пользователей WhatsApp, заставив их самостоятельно скомпрометировать свои учетные записи в рамках атаки с захватом учетных записей».

И под самокомпрометацией это означает, что они просто предоставили пользователям фальшивую страницу входа и фактически проксировали их учетные данные.

Предположительно, они сохранили их и потом издевались над ними…

---

ДУГ.  Хорошо, мы будем следить за этим.

А теперь расскажите, какое отношение графиня, жившая в первой половине XIX века, имеет к вычислениям и информатике?

---

УТКА.  Это будет Ада Лавлейс.

Или, более формально, Ада, графиня Лавлейс… она вышла замуж за парня, которого звали лорд Лавлейс, так что она стала леди Лавлейс:

Она была аристократки, а в те дни женщины вообще не занимались наукой.

Но у нее получилось: она увлекалась математикой.

И она познакомилась в юности, кажется, в подростковом возрасте с Чарльзом Бэббиджем, который известен тем, что изобрел разностную машину, которая могла вычислять такие вещи, как таблицы триггеров.

Таким образом, правительство Великобритании было заинтересовано, потому что там, где вы можете делать тригонометрию, вы можете делать артиллерийские таблицы, а это означает, что вы можете сделать своих артиллеристов более точными на суше и на море.

Но затем Бэббидж сообразил: «Это всего лишь карманный калькулятор (в современной терминологии). Почему бы мне не собрать компьютер общего назначения?»

И он разработал штуку под названием «Аналитическая машина».

Именно это и интересовало Аду Лавлейс.

На самом деле, я полагаю, что в какой-то момент она предложила Бэббиджу стать венчурным капиталистом, его венчурным капиталистом: «Я принесу деньги, но вы должны оставить управление бизнесом мне. Позвольте мне построить бизнес для вас!

---

ДУГ.  Это действительно потрясающе.

Всем, кто слушает это…

… пока вы слушаете эту историю, я хочу, чтобы вы помнили, что она умерла в 36 лет.

Она делает все это в свои 20 и в начале 30-х годов.

Удивительные вещи!

---

УТКА.  Она умерла от рака матки, поэтому ей было очень больно, и в конце концов она не смогла работать.

И она не просто хотела быть деловым человеком, стоящим за этим: «Эй, позвольте мне построить бизнес».

Бэббидж, я думаю, немного обиделся на истеблишмент за то, что он не пришел; он хотел сделать это более традиционным способом: «Нет, я хочу доказать, что я прав», а не «Да, просто иди и найди мне деньги», как сегодня.

Так что деловая сторона, которую она предложила, так и не состоялась.

Но она также была, по сути, первым в мире программистом… безусловно, она была первым опубликованным программистом.

Вы можете себе представить, как Бэббидж возится со своей аналитической машиной… возможно, он придумал какие-то программы раньше нее, но так и не реализовал их.

И, конечно же, он никогда не публиковал, как она, трактат о важности этой аналитической машины и о том, что она действительно может делать гораздо больше, чем просто числовые вычисления.

У нее было представление о том, что калькуляторы складывают числа вместе, но если бы вы могли выполнять числовые расчеты и на их основе принимать решения (то, что мы могли бы сейчас назвать ЕСЛИ… ТО… ИНАЧЕ), тогда вы могли бы на самом деле представлять и работать со всеми видами других вычислений. такие вещи, как логические утверждения, разработка доказательств или даже работа с музыкой, если у вас есть какой-то математический или числовой способ представления музыки.

Даг, я не знаю, станет ли когда-нибудь популярна цифровая музыка, но если это когда-нибудь произойдет...

---

ДУГ.  [СМЕЕТСЯ] Мы должны поблагодарить Аду Лавлейс!

---

УТКА.  Она была там в 1840 году, думала и писала об этом!

Верьте или нет, она была дочерью известного (или печально известного) поэта лорда Байрона.

Судя по всему, ее мать и отец разошлись, поэтому я не верю, что она когда-либо встречалась с ним — она была для него своего рода «неизвестной дочерью».

Известно, что однажды Байрон был в отпуске в Швейцарии, где дождь не пускал его и друзей, с которыми он отдыхал, в помещении.

И этими друзьями были Перси и Мэри Шелли.

И Байрон сказал: «Эй, давайте устроим соревнование по написанию ужастиков!» [СМЕХ]

И то, что он сделал, и то, что сделал Перси Шелли, ни к чему не привело; никто не помнит, что они написали.

Но Мэри Шелли… очевидно, именно это она и придумала. Франкенштейн…

---

ДУГ.  Вот это да!

---

УТКА.  … или современный Прометей, которая, по сути, полностью посвящена искусственному интеллекту и созданным людьми мыслительным машинам, если хотите, и тому, как это плохо кончается.

А Ада, дочь Байрона, на самом деле была первым человеком, написавшим с научной точки зрения на тему «Могут ли машины думать?» в заметках, которые она писала об аналитической машине.

Она *не* разделяла те же страшные истории, что и приятели ее отца.

То, как она это написала (учёные в те дни обычно были склонны к литературе):

Аналитическая машина не претендует на то, чтобы что-то создать. Он может делать все, что мы знаем, как приказать ему выполнять. Он может следовать за анализом, но не в силах предвосхитить какие-либо аналитические отношения или истины.

Поэтому она рассматривала вычислительные устройства, вычислительные устройства общего назначения, как способ помочь нам понять и решить то, что было бы невозможно для обычного человеческого разума.

Но я не думаю, что она думала, что они могут заменить человеческий разум.

---

ДУГ.  И опять же, имейте в виду, что она пишет это в 1842 году…

---

УТКА.  В точку!

Одно дело взламывать в реальной жизни; совсем другое — взламывать воображаемые компьютеры, которые, как вы знаете, *могут* существовать, но никто их еще не построил.

---

ДУГ.  [СМЕЕТСЯ] Точно.

---

УТКА.  Проблема заключалась в том, что, поскольку эти компьютеры были механическими и требовали механических передач, они требовали абсолютного совершенства в производстве.

Или просто была бы эта кумулятивная ошибка, которая заставила бы их заблокироваться из-за люфта, того факта, что шестерни не идеально зацеплены.

И я думаю, как мы уже говорили в подкасте ранее, по иронии судьбы, потребовалась разработка цифровых компьютеров, которые по сути являются расширениями аналитической машины, которые могут управлять компьютеризированными металлорежущими станками с достаточной точностью…

… прежде чем мы смогли создать разностную или аналитическую машину, которая действительно работала.

И если это не захватывающая круговая история, то я не знаю, что это такое!

Итак, Ада Лавлейс была в центре этого: прозелитизер; евангелист; ученый; математик; специалист в области информатики; и как подающий надежды венчурный капиталист, говорящий Бэббиджу: «Отпустите все свои деловые интересы; передай их мне. Я вращаюсь в правильных кругах, чтобы найти для вас деньги – я получу инвестиции! Посмотрим, что мы можем с этим сделать!»

И, к лучшему или к худшему, Бэббидж отказался от этого и, по-видимому, умер в нищете, скорее, сломленным человеком.

Интересно, что было бы, если бы он это сделал…

---

ДУГ.  Это захватывающая история.

Я призываю вас отправиться в Naked Security, чтобы прочитать его.

Это называется Подвинься, вторник патчей — сегодня день Ады Лавлейс.

Отличный лонгрид, очень интересно!

А теперь давайте закончим с этим загадочное обновление айфона, который является так называемым «исправлением одной ошибки».

Они не распространены:

---

УТКА.  Нет, в основном, когда вы получаете обновления Apple (потому что вы не знаете, когда они появятся — нет вторника исправлений, когда вы можете предсказать), они просто приходят…

… есть огромный список вещей, которые они исправили с момента последнего исправления.

А иногда случается масштабная чрезвычайная ситуация нулевого дня, и вы получаете обновление Apple, в котором говорится: «О, ну, мы исправляем одну или, может быть, две вещи».

А этот просто неожиданно появился, только для iOS 16.

Я собирался ложиться спать, Дуг… было уже довольно поздно, и я подумал, я просто посмотрю свою электронную почту, посмотрю, не прислал ли мне что-нибудь Дуг. [СМЕХ]

И была эта штука от Apple: iOS 16.0.3.

И я подумал: «Вот это неожиданно! Интересно, что пошло не так? Должно быть, нулевой день.

Итак, я заглянул в бюллетень безопасности… это не нулевой день; это всего лишь атака типа «отказ в обслуживании» (DoS); не фактическое удаленное выполнение кода.

Приложение «Почта» может привести к сбою.

И все же Apple внезапно вытолкнула это обновление, и в нем просто говорится:

Воздействие. Обработка вредоносного почтового сообщения может привести к отказу в обслуживании. Проблема проверки ввода устранена путем улучшенной проверки ввода.

Странное двойное использование слова «валидация»…

CVE-2022-22658.

И это все, что мы знаем.

И там не сказано: «О, об этом сообщила такая-то группа по поиску ошибок» или «Благодаря анонимному исследователю», так что я предполагаю, что они нашли это сами.

И я могу только догадываться, что они чувствовали, что им нужно исправить это очень быстро, потому что это могло случайно заблокировать вас от вашего телефона или сделать его почти непригодным для использования.

Потому что это проблема с ошибками отказа в обслуживании, когда они находятся в приложениях для обмена сообщениями, не так ли?

Вы думаете об отказе в обслуживании… приложение падает; у-у-у, ты просто начинаешь это снова.

Но проблема с приложением для обмена сообщениями заключается в том, что: [A] оно работает в фоновом режиме, поэтому может получить сообщение в любое время; [B] вы не можете выбирать, кто будет отправлять вам сообщения, это делают другие люди; и [C] может быть так, что для того, чтобы попасть в приложение для удаления мошеннического сообщения, вам нужно дождаться загрузки приложения, и оно решит. "Ой. Мне нужно показать вам это сообщение, которое вы хотите удалить…», АВАРИЯ!

То, что я называю CRASH: GOTO CRASHошибка.

Другими словами, возможно, вы не сможете это исправить, потому что, пока вы загружаете свой телефон или перезагружаете его, к тому времени, когда вы дойдете до того момента, когда вы сможете вскочить и нажать «Удалить» в сообщении…

…приложение уже снова вылетало; поздно!

Мы знаем, что раньше в iOS были проблемы с так называемым «текстом смерти».

У нас есть список из них в статье Naked Security — они сделали довольно увлекательные истории.

Так что мы не знаем, было ли это изображение, как формируются глифы (изображения символов), комбинации символов, направление текста… мы не знаем.

Это, безусловно, стоит получить патч, потому что я чувствую, что если Apple считает, что это достаточно важно, чтобы поместить его в бюллетень безопасности, который имеет это единственное и только одно исправление, когда это не нулевой день, и это не удаленный код исполнение, а не повышение привилегий…

…тогда они, вероятно, беспокоятся о том, что произойдет, если об этом узнает кто-то еще!

Так что, возможно, вы должны быть тоже.

Это также, Дуг, фантастическое напоминание о том, что, хотя люди склонны отдавать приоритет уязвимостям, связанным с удаленным выполнением кода; затем повышение привилегий, затем утечка информации…

…отказ в обслуживании: «Хорошо, сервер может рухнуть, но я всегда могу запустить его снова».

Тем не менее, это может быть действительно неприятной проблемой.

Хотя он может не украсть ваши данные или не вымогать ваши файлы, он, тем не менее, может помешать вам использовать компьютер, получить доступ к вашим данным и выполнять настоящую работу.

---

ДУГ.  Да, у нас есть проблема, которую вам нужно обновить, но если вы столкнулись с этой проблемой, вы не сможете получить обновление, если ваш телефон продолжает зависать!

Итак, это подводит нас к вопросу нашего читателя на неделю.

Здесь, в посте, о котором мы говорим, читатель Naked Security Питер спрашивает:

Я здесь не пользователь Apple, но есть ли у пользователей Apple возможность войти в свои учетные записи электронной почты в браузере, который, надеюсь, не вылетит, как приложение, и удалить там почту вместо того, чтобы стирать свое устройство?

---

УТКА.  Ну, это, конечно, верно для меня.

То, как я использую свой iPhone, позволяет мне читать ту же почту на телефоне, что и в веб-приложении в моем браузере.

Так что это хорошая отправная точка, если ваш телефон заблокирован, и если у вас под рукой есть ноутбук.

Проблема в том, что когда вы удалили почту, скажем, в веб-браузере или через родное приложение на ноутбуке…

…вашему почтовому приложению на телефоне все еще необходимо синхронизироваться с сервером, чтобы знать, что оно должно удалить эти сообщения.

И если по пути туда он обработает сообщение, которое сейчас собирается удалить, он все равно может попасть в аварийную ситуацию, не так ли?

Так что проблема с этим комментарием заключается в том, что единственный реальный ответ, который я могу дать, это: «Недостаточно информации. Не могу сказать наверняка. Но я очень надеюсь, что ты сможешь это сделать!

---

ДУГ.  По крайней мере, попробуйте.

---

УТКА.  Да, попробуйте!

Если вы действительно заблокированы, так что ваш телефон зависает, как только он запускается, вам хотелось бы думать, что вы могли бы сделать то, что Apple называет DFU (прямое обновление прошивки), когда вы в основном начинаете заново.

Но проблема в том, чтобы включить это (чтобы остановить его использование во зло), это, по сути, включает в себя очистку и запуск заново.

Таким образом, вы бы потеряли все данные на телефоне, если бы он работал.

Так что, думаю, ответ на этот вопрос…

Сначала попробуйте наименее навязчивый способ решения проблемы.

Попробуйте «обыграть приложение» на телефоне, приложение для обмена сообщениями.

Это то, что работало для некоторых предыдущих вещей iOS.

Вы в основном перезагружаете свой телефон; [УСКОРЕНИЕ] вы очень быстро вводите код блокировки; [ГОВОРИТ ОЧЕНЬ БЫСТРО] вы входите в приложение так быстро, как только можете, и нажимаете удалить…

… до того, как телефон доберется туда и запустит процесс, который в конечном итоге исчерпает память.

Так что у вас может быть достаточно времени, чтобы сделать это на самом телефоне.

Если нет, попробуйте сделать это через внешнее приложение, которое управляет тем же набором данных.

А если совсем застрял, то я полагаю, что единственным решением будет прошивка и переустановка.

---

ДУГ.  Хорошо, спасибо, Питер, что прислал это.

Если у вас есть интересная история, комментарий или вопрос, которые вы хотели бы отправить, мы будем рады прочитать в подкасте.

Вы можете отправить электронное письмо по адресу tip@sophos.com; вы можете прокомментировать любую из наших статей; или вы можете связаться с нами в социальных сетях: @nakedsecurity.

Это наше шоу на сегодня.

Большое спасибо, что выслушали.

Для Пола Даклина я Дуг Аамот, напоминаю вам до следующего раза…

---

ОБА.  Оставайтесь в безопасности.

[МУЗЫКАЛЬНЫЙ МОДЕМ]