S3 Ep104: Ali naj bodo napadalci bolnišnične izsiljevalske programske opreme doživljenjsko zaprti? [Avdio + besedilo]

Kliknite in povlecite spodnje zvočne valove, da preskočite na katero koli točko. Lahko tudi poslušaj neposredno na Soundcloudu.

DOUG.  Pravnih težav je na pretek, skrivnostna posodobitev za iPhone in Ada Lovelace.

Vse to in še več na podcastu Naked Security.

[GLASBENI MODEM]

Dobrodošli v podcastu, vsi.

Jaz sem Doug Aamoth; on je Paul Ducklin.

Paul, kako ste danes, gospod?

---

RACA.  Zelo dobro sem, Doug …

…razen nekaj težav z mikrofonom, ker sem bil malo na poti.

Torej, če kakovost zvoka ta teden ni popolna, je to zato, ker sem moral uporabiti alternativno snemalno opremo.

---

DOUG.  No, to nas strokovno vodi v naše tehnična zgodovina segment o nepopolnosti.

---

RACA.  [IRONIČNO] Ohhhhh, hvala, Doug. [SMEH]

---

DOUG.  11. oktobra 1958 je NASA izstrelila svojo prvo vesoljsko sondo Pioneer One.

Namenjeno je bilo krožiti okoli lune, vendar zaradi napake pri vodenju ni uspelo doseči lunine orbite, padlo je nazaj na Zemljo in ob ponovnem vstopu zgorelo.

Čeprav je še vedno zbiral dragocene podatke med svojim 43-urnim letom.

---

RACA.  Da, verjamem, da je dosegel 113,000 km nad Zemljo ... in Luna je oddaljena le 400,000 kilometrov.

Kolikor razumem, je nekoliko zašlo od cilja, nato pa so ga poskušali popraviti, vendar niso imeli natančnega nadzora, kot ga imajo danes, ko zaženete raketni motor za majhen izbruh.

Tako so popravili, vendar so lahko popravili le toliko … in na koncu so ugotovili: »Ne bomo uspeli priti na Luno, morda pa jo lahko spravimo v visoko Zemljino orbito, da bo še naprej krožila. Zemljo in lahko nadaljujemo z znanstvenimi meritvami?«

Toda na koncu je bilo vprašanje: "Kar gre gor ... [SMEH] mora pasti."

---

DOUG.  točno tako. [SMEH]

---

RACA.  In, kot pravite, je bilo, kot da bi izstrelili zelo, zelo, zelo močno kroglo v vesolje, precej nad Kármánovo črto, ki je le 100 km, vendar v taki smeri, da dejansko ni ušla vplivu Zemlja v celoti.

---

DOUG.  Je pa za prvi poskus kar dobro?

Mislim, ni slabo ... to je leto 1958, kaj pričakujete?

Mislim, dali so vse od sebe in dobili tretjino poti do lune.

No, ko že govorimo o ljudeh, ki se ne trudijo po svojih najboljših močeh in se zrušijo, tukaj imamo nekakšen krog pravnih zgodb ...

… začenši z našim prijateljem Sebastienom Vachon-Desjardinsom, o katerem smo že govorili.

On je noter vročo vodo na Floridi in morda še dlje:

---

RACA.  Da, mislim, da sva nekajkrat govorila o njem v podcastu.

Bil je razvpito zaposlen član skupine NetWalker za izsiljevalsko programsko opremo kot storitev.

Z drugimi besedami, on ni napisal izsiljevalske programske opreme ... bil je eden od njenih napadalcev, vlomilcev in uvajalcev.

Kolikor vem, je bil zelo navdušen nad izsiljevalsko programsko opremo: pridružil se je tako rekoč več tem tolpam; prijavil v več klubov.

Očitno je morda zaslužil kar eno tretjino celotnega zaslužka skupine NetWalker, zato je bil zelo živahen.

Torej govorimo o mnogih milijonih dolarjev, ki jih je zaslužil zase, in seveda je 30 % tega šlo glavnim ljudem.

V Kanadi so ga aretirali, poslali so ga v zapor ...

…in potem so ga posebej izpustili iz zapora v Kanadi.

Pa ne zato, ker bi se mu smilili: izpustili so ga iz zapora, da bi ga lahko izročili ZDA, kjer se je odločil priznati krivdo in dobil 20 let.

Očitno bo, ko bo končal teh 20 let v zveznem zaporu, deportiran v Kanado in se bo vrnil naravnost nazaj, da bi končal svojih sedem let v Kanadi.

In če se prav spomnim, je sodnik v tej zadevi ob ugotovitvi, da gre za združbo z izsiljevalsko programsko opremo, ki je med drugim razvpita po napadih na zdravstvene ustanove, bolnišnice; ljudi, ki si resnično, res ne morejo privoščiti plačila in kjer motnje resnično, res neposredno vplivajo na življenja ljudi ...

... sodnik je očitno izrekel besede v smislu: "Če se dejansko ne bi odločil priznati krivde in dvigniti roke za prekršek, bi te obsodil na dosmrtno ječo."

---

DOUG.  Ja, to je divje!

V redu, tudi nekako nizko: nekdanji Uber CSO Joe Sullivan ... ta zgodba je tudi divja!

Odgovarjajo na kršitev, ki se je zgodila z regulatorji, in medtem ko odgovarjajo na kršitev, ki se je zgodila, se zgodi *še ena* kršitev in prihaja do prikrivanja:

---

RACA.  Da, to je bila zgodba, ki jo je močno spremljal velik del skupnosti kibernetske varnosti ...

Ker je Uber plačal najrazličnejše kazni in očitno so se dogovorili za sodelovanje, vendar to ni bilo podjetje, ki je bilo obtoženo.

To je bil posameznik, ki naj bi bil zadolžen za varnost – prej je bil na Facebooku, nato pa ga je premamil Uber.

Kar zadeva poroto, v tem primeru ni šlo toliko za to, da so bili sleparji plačani, temveč za to, da so bili plačani, da so se pretvarjali, da je kršitev podatkov nagrada za hrošče; da so jih odgovorno razkrili, ne pa dejansko ukradli podatke in jih nato izsiljevali.

In, seveda, drugi del tega je, verjamem ... Ne vem, kako izgovorite to besedo, ker je ne slišite v Združenem kraljestvu, vendar je "napačna misija" ... Mislim, da tako rečete .

V bistvu pomeni "prikriti zločin".

In, seveda, to se ukvarja z dejstvom, kot pravite, da so sredi preiskave, da jih pregleduje FTC ... na tem, da jih boste prepričali. "Da, od zadnjič smo uvedli veliko varnostnih ukrepov."

In sredi poskusa zagovarjanja svojega primera in reči: "Ne, ne, veliko boljši smo, kot smo bili" ...

... o, draga, izgubil si ne samo nekaj plošč, kaj je bilo?

Več kot 50 milijonov zapisov o ljudeh, ki so vzeli Uber, stranke.

Sedem milijonov voznikov, kar je vključevalo številke vozniškega dovoljenja za 600,000 voznikov in SSN (številke socialnega zavarovanja) za 60,000.

Torej je to zelo resno!

In potem samo poskušam reči: "No, [POMEMBNO ZAKAŠLJI] poskrbimo za to, da nam ne bo treba nikomur povedati, potem pa pojdimo in pripravimo prevarante, da podpišejo pogodbe o nerazkritju." [SMEH]

Zvočnik1
[SMEH] O, bog!

---

RACA.  [SMEH] Ni smešno, Doug!

---

DOUG.  Zelo dobro.

Pa še malo narezanega in posušenega...

Če ustvarite aplikacijo, ki naj bi bila povezana s WhatsAppom, in zberete uporabniške poverilnice, bo WhatsApp pridi za teboj!

---

RACA.  Da, to je primer WhatsApp in Meta.

Sliši se nekoliko čudno, če rečem oba, a domnevam, da sta se obe pravni osebi (WhatsApp je v lasti Mete) odločili: "No, če ju ne moreš premagati, ju toži!"

To je torej kraja poverilnic, tako da se računi lahko uporabljajo v bistvu za pošiljanje lažnih sporočil.

V bistvu neželena pošta, verjetno pa tudi kopica prevar, kajne?

Če imaš moje geslo, lahko stopiš v stik z vsemi mojimi prijatelji in rečeš: "Hej, s to prevaro s kriptovalutami sem zaslužil ogromno denarja," in ker to govorim *jaz* in ne kakšen naključni posameznik z interneta, morda bolj nagnjeni k temu.

Tako je WhatsApp ugotovil: »Prav, tožili vas bomo in poskušali na ta način zapreti vaša podjetja. In to bi nam v bistvu dalo sredstvo za prisilno odstranitev vseh teh aplikacij, kjer koli se že pojavijo.«

Na žalost so prevaranti storili dovolj izdaje, da so jih prikradli v Google Play.

Očitek je torej, da so "več kot 1 milijon uporabnikov WhatsAppa zavedel v samokompromitiranje svojih računov kot del napada na prevzem računa."

In s samokompromitiranjem to pomeni, da so uporabnikom le predstavili lažno stran za prijavo in v bistvu posredovali njihove poverilnice.

Verjetno so jih zadržali in nato zlorabljali ...

---

DOUG.  V redu, pazili bomo na to.

Zdaj pa nam prosim povejte, kaj ima z računalništvom in računalništvom grofica, ki je živela v prvi polovici 19. stoletja?

---

RACA.  To bi bila Ada Lovelace.

Ali bolj formalno, Ada, grofica Lovelace… se je poročila s fantom, ki se je imenoval Lord Lovelace, tako da je postala Lady Lovelace:

Bila je aristokratskega rodu in v tistih časih se ženske na splošno niso ukvarjale z znanostjo.

Ampak je: bila je navdušena nad matematiko.

In srečala se je, kot mladostnica, kot najstnica, mislim, s Charlesom Babbageom, ki je znan po tem, da je izumil Difference Engine, ki je lahko izračunal stvari, kot so trigonometrične tabele.

Zato je vlado Združenega kraljestva zanimalo, kajti tam, kjer lahko izvajate trigonometrijo, lahko delate topniške tabele, kar pomeni, da lahko vaši strelci postanejo natančnejši na kopnem in morju.

Toda nato je Babbage ugotovil: »To je le žepni kalkulator (v sodobni terminologiji). Zakaj ne sestavim računalnika za splošno rabo?«

In oblikoval je stvar, imenovano analitični motor.

In to je bilo tisto, kar je Ado Lovelace res zanimalo.

Pravzaprav verjamem, da se je v nekem trenutku ponudila, da postane Babbageov tvegani kapitalist: »Jaz bom prinesel denar, vendar mi moraš prepustiti vodenje poslovnega dela. Dovolite mi, da zgradim posel za vas!

---

DOUG.  Res je neverjetno.

Vsem, ki to poslušate...

... ko poslušate to zgodbo, želim, da ne pozabite, da je umrla pri 36 letih.

Vse to počne v svojih 20-ih in zgodnjih 30-ih.

Čudovite stvari!

---

RACA.  Umrla je za rakom na maternici, tako da je imela resne bolečine in na koncu nezmožna za delo.

In ni želela le biti poslovna oseba za tem, "Hej, pusti me, da zgradim podjetje."

Mislim, da je bil Babbage nekoliko zagrenjen do ustanove, ker ni prišel; želel je to storiti na bolj tradicionalen način: »Ne, rad bi dokazal, da imam prav«, namesto da bi rekel: »Da, samo pojdi in mi poišči denar,« kar je morda današnji pristop.

Torej poslovna stran, ki jo je predlagala, ni nikoli uspela.

Toda v bistvu je bila tudi prva računalniška programerka na svetu … zagotovo je bila prva objavljena računalniška programerka.

Lahko si predstavljate, kako se Babbage poigrava s svojim analitičnim strojem ... verjetno je nekaj programov iznašel pred njo, vendar jih ni nikoli uresničil.

In vsekakor ni nikoli objavil, tako kot ona, razprave o tem, zakaj je bil ta analitični stroj pomemben in o dejstvu, da lahko dejansko naredi veliko več kot le numerične izračune.

Imela je to vizijo, da kalkulatorji seštevajo številke, toda če bi lahko delali numerične izračune in na podlagi teh sprejemali odločitve (kar bi zdaj lahko imenovali ČE ... POTEM ... DRUGAČE), potem bi dejansko lahko predstavljali in delali z vsemi vrstami drugih stvari, kot so logični predlogi, snovanje dokazov ali celo delo z glasbo, če bi imeli matematični ali numerični način za predstavljanje glasbe.

Zdaj pa ne vem, ali bo digitalna glasba kdaj zaživela, Doug, ampak če bo kdaj ...

---

DOUG.  [SMEH] Zahvaliti se moramo Adi Lovelace!

---

RACA.  Tam je bila leta 1840, razmišljala in pisala o tem!

Bila je, verjeli ali ne, hči slavnega (ali razvpitega) pesnika Lorda Byrona.

Očitno sta se njena mama in oče razšla, tako da ne verjamem, da ga je sploh kdaj spoznala – zanj je bila nekakšna »neznana hči«.

Znano je, da je bil Byron enkrat na počitnicah v Švici, kjer je dež njega in prijatelje, s katerimi je bil na počitnicah, zadržal v zaprtih prostorih.

In ta prijatelja sta bila Percy in Mary Shelley.

In Byron je rekel: "Hej, organizirajmo tekmovanje v pisanju grozljivk!" [SMEH]

In kar je naredil on in kar je storil Percy Shelley, ni bilo nič; nihče se ne spomni kaj so napisali.

Toda Mary Shelley ... to je očitno tisto, kar je prišla do tega Frankenstein…

---

DOUG.  Wow!

---

RACA.  … ali sodobni Prometej, ki je v bistvu vse o umetni inteligenci in miselnih strojih, ki jih je ustvaril človek, če želite, in o tem, kako se to slabo konča.

In Ada, Byronova hči, je bila pravzaprav prva oseba, ki je na znanstveni način pisala o "Ali lahko stroji razmišljajo?" v zapiskih, ki jih je napisala na Analitičnem motorju.

*Ni* delila istih pomislekov glede grozljive zgodbe kot očetovi prijatelji.

Kako je zapisala (znanstveniki so bili v tistih časih na splošno bolj literarni nagnjeni):

Analitični motor nima nobenih zahtev, da bi karkoli ustvaril. Lahko naredi vse, kar vemo, kako mu ukažemo. Lahko sledi analizi, vendar nima moči predvidevanja kakršnih koli analitičnih odnosov ali resnic.

Tako je videla računalniške naprave, računalniške naprave za splošne namene, kot način, ki nam pomaga razumeti in izdelati stvari, ki bi jih običajni človeški umi nemogoče storiti.

Ampak mislim, da ni mislila, da bi lahko nadomestili človeške ume.

---

DOUG.  In še enkrat, ne pozabite, da je to napisala leta 1842 ...

---

RACA.  Točno!

Ena stvar je hekati v resničnem življenju; drugo je vdiranje v namišljene računalnike, za katere veste, da *bi lahko* obstajali, vendar ga še nihče ni zgradil.

---

DOUG.  [SMEH] Točno tako.

---

RACA.  Težava je bila v tem, ker so bili ti računalniki mehanski in so zahtevali mehanske prestave, zato so zahtevali absolutno popolnost v proizvodnji.

Ali pa bi prišlo le do te kumulativne napake, zaradi katere bi se zaklenili zaradi zračnosti, dejstva, da se zobniki ne ujamejo popolnoma.

In mislim, kot smo že povedali v podcastu, ironično, da je bila potrebna zasnova digitalnih računalnikov, ki so v bistvu razširitve analitičnega mehanizma, ki lahko nadzoruje računalniške stroje za rezanje kovin z dovolj natančnostjo ...

… preden smo lahko naredili Difference Engine ali Analytical Engine, ki je dejansko deloval.

In če to ni fascinantno krožna zgodba, ne vem, kaj je!

Torej je bila Ada Lovelace sredi tega: spreobračevalka; evangelist; znanstvenik; matematik; računalniški znanstvenik; in kot nadobudni kapitalist tveganega kapitala Babbageu reče: »Opusti vse svoje poslovne interese; izroči mi jih. Gibam se v pravih krogih, da vam najdem denar – dobil bom naložbo! Poglejmo, kaj lahko naredimo s tem!«

In v dobrem ali slabem se je Babbage temu odrekel in očitno umrl v bistvu v revščini, precej strt človek.

Človek se vpraša, kaj bi se lahko zgodilo, če bi to storil ...

---

DOUG.  To je fascinantna zgodba.

Pozivam vas, da se odpravite na Naked Security in ga preberete.

To se imenuje Premakni se, Patch Tuesday – dan je Ade Lovelace.

Odlično dolgo branje, zelo zanimivo!

In zdaj zaključimo s tem skrivnostna posodobitev za iPhone, ki je tako imenovani "popravek enega hrošča".

To ni običajno:

---

RACA.  Ne, večinoma ko prejmete Apple posodobitve (ker ne veste, kdaj bodo prispele – ni torka popravkov, ko bi lahko predvideli), le prispejo ...

… tam je ta ogromen seznam stvari, ki so jih popravili od zadnjega, kar so storili.

In občasno pride do velikega izrednega dogodka ničelnega dne in prejmete Apple posodobitev, ki pravi: "Oh, no, popravljamo eno ali morda dve stvari."

In ta je kar nenadoma prišel, samo za iOS 16.

Že hotel sem iti spat, Doug ... bilo je že precej pozno in pomislil sem, da bom samo pogledal svojo e-pošto, da vidim, ali mi je Doug kaj poslal. [SMEH]

In pojavila se je ta stvar iz Appla: iOS 16.0.3.

In pomislil sem: »To je nenadoma! Zanima me, kaj je šlo narobe? Mora biti dan nič.”

Zato sem šel v varnostni bilten ... ni ničelni dan; gre samo za napad zavrnitve storitve (DoS); ni dejanska oddaljena izvedba kode.

Aplikacija Mail se lahko zruši.

In vendar je Apple nenadoma izrinil to posodobitev in pravi samo:

Vpliv: Obdelava zlonamerno izdelanega poštnega sporočila lahko povzroči zavrnitev storitve. Težavo s preverjanjem veljavnosti vnosa smo odpravili z izboljšanim preverjanjem veljavnosti vnosa.

Nenavadna dvojna uporaba besede validacija tam ...

CVE-2022-22658.

In to je vse, kar vemo.

In ne piše, "Oh, to je prijavila taka in ta skupina za lov na hrošče" ali "Zahvaljujoč anonimnemu raziskovalcu", zato predvidevam, da so ga našli sami.

In lahko le ugibam, da so menili, da morajo to zelo hitro popraviti, ker bi vas lahko pomotoma zaklenili iz telefona ali ga naredili skoraj neuporabnega.

Ker je to težava z napakami zavrnitve storitve, ko so v aplikacijah za sporočanje, kajne?

Pomislite na zavrnitev storitve ... aplikacija se zruši; juhu, samo začni znova.

Toda težava z aplikacijo za sporočanje je ta, da: [A] običajno deluje v ozadju, tako da lahko kadar koli prejme sporočilo; [B] vi ne morete izbrati, kdo vam pošilja sporočila, to počnejo drugi ljudje; in [C] morda morate počakati, da se aplikacija naloži, če želite vstopiti v aplikacijo in izbrisati lažno sporočilo, in se odloči. »Oh. Pokazati vam moram to sporočilo, ki ga želite izbrisati ...«, CRASH!

Kar imenujem a CRASH: GOTO CRASHnapaka.

Z drugimi besedami, morda tega ne morete popraviti, ker med zagonom telefona ali če znova zaženete telefon, ko pridete do točke, ko bi lahko skočili in pritisnili izbriši sporočilo ...

… aplikacija se je že znova zrušila; prepozno!

Vemo, da so bile v sistemu iOS že prej težave s tako imenovanim »text of death«.

Imamo seznam njih v članku Gola varnost – ustvarili so zelo zanimive zgodbe.

Torej ne vemo, ali je bila slika, način oblikovanja glifov (slike znakov), kombinacije znakov, smer besedila ... ne vemo.

Vsekakor se splača nabaviti popravek, ker po mojem občutku Apple meni, da je dovolj pomemben, da ga da v varnostni bilten, ki vsebuje ta en in samo en popravek, ko ni dan nič in ni oddaljena koda izvršitev in ne gre za dvig privilegijev ...

… potem jih verjetno skrbi, kaj bi se zgodilo, če bi kdo drug izvedel za to!

Torej bi morda morali biti tudi vi.

To je tudi, Doug, fantastičen opomnik, da čeprav ljudje ponavadi dajejo prednost ranljivostim zaradi oddaljenega izvajanja kode na vrhu; potem dvig privilegijev in nato uhajanje informacij ...

... zavrnitev storitve je: "V redu, strežnik se lahko zruši, vendar ga lahko vedno znova zaženem."

Kljub temu je to lahko zelo težavna vrsta težave.

Čeprav morda ne bo ukradel vaših podatkov ali datotek z izsiljevalsko programsko opremo, vam lahko kljub temu prepreči uporabo računalnika, dostop do vaših podatkov in opravljanje resničnega dela.

---

DOUG.  Da, tukaj imamo težavo, ki jo morate posodobiti, vendar če imate to težavo, morda ne boste mogli priti do posodobitve, če se vaš telefon nenehno sesuje!

To nas pripelje do našega bralskega vprašanja za ta teden.

Tukaj na objavi, o kateri govorimo, bralec Naked Security Peter vpraša:

Tukaj niste uporabnik Appla, vendar ali ni možnosti, da se uporabniki Appla prijavijo v svoje e-poštne račune v brskalniku, ki upajmo, da se ne sesuje kot aplikacija, in tam izbrišejo pošto, namesto da bi izbrisali vašo napravo?

---

RACA.  No, to zagotovo drži zame.

Glede na to, kako uporabljam svoj iPhone, lahko na telefonu berem isto pošto kot v spletni aplikaciji v brskalniku.

Torej je dobro izhodišče, če nimate dostopa do telefona in če imate pri roki prenosni računalnik.

Težava je v tem, da ko ste izbrisali pošto, recimo, v spletnem brskalniku ali prek izvorne aplikacije na prenosnem računalniku ...

… vaša telefonska aplikacija Mail se mora še vedno sinhronizirati s strežnikom, da ve, da mora izbrisati ta sporočila.

In če na poti do tja obdela sporočilo, ki ga namerava zdaj izbrisati, lahko še vedno zaide v crashtastično situacijo, kajne?

Torej je problem s tem komentarjem edini pravi odgovor, ki ga lahko dam, je: »Premalo informacij. Ne morem reči zagotovo. Ampak močno upam, da ti bo to uspelo!«

---

DOUG.  Vsaj poskusite.

---

RACA.  Da, poskusite!

Če res izgubite dostop, tako da se vaš telefon zruši takoj, ko se zažene, bi radi pomislili, da bi lahko naredili to, kar Apple imenuje DFU (neposredna posodobitev vdelane programske opreme), kjer pravzaprav začnete znova.

Toda težava je omogočiti to (da se prepreči uporaba za zlo), v bistvu vključuje brisanje in začetek znova.

Tako bi izgubili vse podatke na telefonu, ob predpostavki, da bi delovalo.

Torej mislim, da je odgovor na to vprašanje ...

Najprej poskusite z najmanj vsiljivim načinom reševanja.

Poskusite »premagati aplikacijo« na telefonu, aplikacijo za sporočila.

To je delovalo pri nekaterih prejšnjih stvareh iOS-a.

V bistvu znova zaženete telefon; [POSPEŠITEV] kodo za zaklepanje vtipkate zelo hitro; [RES HITRO GOVORITE] vstopite v aplikacijo čim hitreje in kliknete izbriši ...

… preden telefon pride tja in začne postopek, ki mu sčasoma zmanjka pomnilnika.

Tako boste morda imeli dovolj časa, da to storite na samem telefonu.

Če ne, poskusite to storiti prek zunanje aplikacije, ki upravlja isti nabor podatkov.

In če se popolnoma zataknete, potem je domnevam, da je vaša edina rešitev flash in ponovna namestitev.

---

DOUG.  V redu, hvala, Peter, da si to poslal.

Če imate zanimivo zgodbo, komentar ali vprašanje, ki bi ga radi poslali, bomo z veseljem prebrali v podcastu.

Lahko pošljete e-pošto tips@sophos.com; komentirate lahko katerega koli od naših člankov; ali pa nas kontaktirate na socialnem omrežju: @nakedsecurity.

To je naša današnja predstava.

Najlepša hvala za posluh.

Za Paula Ducklina sem Doug Aamoth, opominjam vas do naslednjič, da…

---

OBOJE.  Bodite varni.

[GLASBENI MODEM]