S3 Ep104: Bör sjukhusangripare med ransomware låsas in på livstid? [Ljud + text]

Klicka och dra på ljudvågorna nedan för att hoppa till valfri punkt. Du kan också lyssna direkt på Soundcloud.

DOUG.  Det finns många juridiska problem, en mystisk iPhone-uppdatering och Ada Lovelace.

Allt det och mer på Podcasten Naked Security.

[MUSIKALT MODEM]

Välkommen till podden, alla.

Jag är Doug Aamoth; han är Paul Ducklin.

Paul, hur mår du idag, sir?

---

ANKA.  Jag mår väldigt bra, Doug...

…förutom några mikrofonproblem, eftersom jag har varit lite på resande fot.

Så om ljudkvaliteten inte är perfekt den här veckan så beror det på att jag har varit tvungen att använda alternativ inspelningsutrustning.

---

DOUG.  Tja, det leder oss sakkunnigt in i vår Teknisk historia segment om ofullkomlighet.

---

ANKA.  [IRONISK] Åhhhhh, tack, Doug. [skrattar]

---

DOUG.  Den 11 oktober 1958 lanserade NASA sin första rymdsond, Pioneer One.

Det var tänkt att kretsa runt månen, men lyckades inte nå månens omloppsbana tack vare ett vägledningsfel, föll tillbaka till jorden och brann upp vid återinträde.

Även om den fortfarande samlade in värdefull data under sin 43 timmar långa flygning.

---

ANKA.  Ja, jag tror att den nådde 113,000 400,000 km över jorden... och månen är bara XNUMX XNUMX kilometer bort.

Jag förstår att det gick utanför målet lite och sedan försökte de korrigera, men de hade inte den granularitet av kontroll som de gör nu för tiden, där man kör raketmotorn för en liten liten skur.

Så de korrigerade, men de kunde bara korrigera så mycket... och till slut tänkte de, "Vi kommer inte att ta oss till månen, men vi kanske kan få in den i en hög bana runt jorden så att den fortsätter att gå runt jorden och vi kan fortsätta få vetenskapliga mätningar?”

Men i slutändan var det en fråga om, "Det som går upp... [skrattar] måste komma ner."

---

DOUG.  Exakt. [skrattar]

---

ANKA.  Och, som du säger, det var som att skjuta en väldigt, väldigt, väldigt kraftfull kula ut i rymden, långt ovanför Kármán-linjen, som bara ligger 100 km, men i en sådan riktning att den faktiskt inte undgick påverkan från Jorden helt och hållet.

---

DOUG.  Ganska bra för ett första försök dock?

Jag menar, inte illa... det är 1958, vad förväntar du dig?

Jag menar, de gjorde sitt bästa och fick en tredjedel av vägen till månen.

Tja, på tal om att folk inte gör sitt bästa och kraschar, vi har en slags blixtrunda av juridiska historier här...

…börjar med vår vän Sebastien Vachon-Desjardins, som vi har pratat om tidigare.

Han är i hett vatten i Florida och kanske utanför:

---

ANKA.  Ja, vi har pratat om honom i podden, tror jag, ett par gånger.

Han var en notoriskt upptagen affiliate till NetWalker ransomware-as-a-service-teamet.

Med andra ord, han skrev inte ransomwaren... han var en av angriparna, inbrytarna och utövarna av den.

Så vitt jag vet var han ganska sugen på ransomware: han gick så att säga med i flera av dessa gäng; anmält sig till flera klubbar.

Tydligen kan han ha tjänat så mycket som en tredjedel av det totala NetWalker-gängets inkomster, så han var väldigt pigg.

Så vi pratar om många miljoner dollar som han tjänade till sig själv, och naturligtvis gick 30% av det till kärnfolket.

Han greps i Kanada, han skickades till fängelse...

...och sedan släpptes han speciellt från fängelset i Kanada.

Inte för att de tyckte synd om honom: de släppte honom från fängelset så att han kunde utlämnas till USA, där han bestämde sig för att erkänna sig skyldig, och fick 20 år.

Uppenbarligen kommer han att deporteras till Kanada när han är klar med de 20 åren i federalt fängelse och han kommer att gå direkt tillbaka för att avsluta sina sju år i Kanada.

Och om jag minns rätt, domaren i det fallet, noterade att detta är ett ransomware-gäng som bland annat är ökänt för att attackera vårdinstitutioner, sjukhus; människor som verkligen, verkligen inte har råd att betala, och där störningen verkligen, verkligen direkt påverkar människors liv...

...domaren sa tydligen ord till effekten av: "Om du inte faktiskt hade bestämt dig för att erkänna dig skyldig, räck upp handen för brottet, jag skulle ha dömt dig till livstids fängelse."

---

DOUG.  Ja, det är vilt!

OK, också lite lågt: den tidigare Uber CSO Joe Sullivan ... denna historia är också vild!

De svarar på ett intrång som hände med tillsynsmyndigheterna, och medan de svarar på intrånget som hände, händer *ett annat* brott och det finns mörkläggning:

---

ANKA.  Ja, det var en berättelse som sågs kraftigt av mycket av cybersäkerhetsgemenskapen...

För Uber har betalat alla möjliga påföljder, och tydligen gick de med på att samarbeta, men det var inte företaget som åtalades.

Det här var personen som förmodligen var ansvarig för säkerheten – han hade tidigare varit på Facebook och sedan lockats till Uber.

När det gäller juryn var det inte så mycket att skurkarna fick betalt i det här fallet, det är att de fick betalt för att låtsas att dataintrånget var en buggpremie; att de avslöjade det på ett ansvarsfullt sätt snarare än att de faktiskt stal uppgifterna och sedan utpressade dem.

Och, naturligtvis, den andra delen av detta är, tror jag... Jag är inte säker på hur du säger det här ordet, för du hör det inte i Storbritannien, men det är "misprision"... Jag tror att det är så du säger det .

Det betyder i grunden att "dölja ett brott".

Och, naturligtvis, det handlar om det faktum att, som du säger, de är mitt i en utredning, de granskas av FTC... du är på väg att övertyga dem. "Ja, vi har vidtagit en hel mängd försiktighetsåtgärder sedan förra gången."

Och mitt i att försöka föra ditt fall och säga, "Nej, nej, vi är mycket bättre än vi var"...

…åh kära du, du förlorar inte bara några rekord, vad var det?

Mer än 50 miljoner poster relaterade till människor som hade tagit Ubers, kunder.

Sju miljoner förare, och det inkluderade körkortsnummer för 600,000 60,000 förare och SSN (personnummer) för XNUMX XNUMX.

Så det är ganska allvarligt!

Och sedan bara försöka säga, "Tja, låt oss [HOSTA MENINGSFULLT] göra det så att vi inte behöver berätta för någon, och låt oss sedan gå och få skurkarna att skriva under sekretessavtal." [skrattar]

Högtalare 1
[skrattar] Åh, gud!

---

ANKA.  [SKRATTAR] Inte roligt, Doug!

---

DOUG.  Mycket bra.

Och lite mer klippt och torkat...

Om du skapar en app som utger sig vara ansluten till WhatsApp, och du samlar in användaruppgifter, kommer WhatsApp att komma efter dig!

---

ANKA.  Ja, det här är ett fall av WhatsApp och Meta.

Låter lite konstigt att säga båda, men jag antar att båda juridiska personerna (WhatsApp ägs av Meta) har bestämt sig, "Tja, om du inte kan slå dem, stämma dem!"

Så detta är legitimationsstöld, så att konton i princip kan användas för att skicka falska meddelanden.

Spam, i grund och botten, men förmodligen också massor av bedrägerier, eller hur?

Om du har mitt lösenord kan du kontakta alla mina kompisar och säga, "Hej, jag tjänade massor av pengar på denna kryptomyntbedrägeri", och eftersom det är *jag* som säger det snarare än någon slumpmässig individ utanför internet, kanske är mer benägen att tro det.

Så WhatsApp tänkte: "Okej, vi kommer bara att stämma dig och försöka stänga ner dina företag på det sättet. Och det skulle i princip ge oss ett fordon för att tvinga alla dessa appar att tas bort, var de än kan dyka upp."

Tyvärr hade skurkarna gjort tillräckligt med förräderi för att smyga in dem på Google Play.

Så anklagelsen är att de "vilselledde mer än 1 miljon WhatsApp-användare att självkompromettera sina konton som en del av en kontoövertagandeattack."

Och genom att kompromissa med sig själv betyder det att de precis presenterat användarna med en falsk inloggningssida och i princip skickat sina inloggningsuppgifter.

Förmodligen behöll de dem och misshandlade dem efteråt...

---

DOUG.  OK, vi kommer att hålla ett öga på det.

Nu, snälla berätta för oss, vad har en grevinna som levde under första hälften av 19-talet att göra med data- och datavetenskap?

---

ANKA.  Det skulle vara Ada Lovelace.

Eller mer formellt Ada, grevinnan av Lovelace... hon gifte sig med en kille som kallades Lord Lovelace, så hon blev Lady Lovelace:

Hon var av aristokratisk bakgrund, och på den tiden gick kvinnor i allmänhet inte in i vetenskapen.

Men hon gjorde det: hon var sugen på matematik.

Och hon mötte upp, som ung, som tonåring, tror jag, Charles Babbage, som är känd för att ha uppfunnit skillnadsmotorn, som kunde beräkna saker som triggtabeller.

Så därför var den brittiska regeringen intresserad för där du kan göra trigonometri kan du göra artilleritabeller, och det betyder att du kan göra dina skyttar mer exakta på land och till sjöss.

Men sedan tänkte Babbage: "Det där är bara en fickkalkylator (i modern terminologi). Varför bygger jag inte en allmändator?”

Och han designade en sak som heter den analytiska motorn.

Och det var vad Ada Lovelace verkligen var intresserad av.

Jag tror faktiskt att hon erbjöd sig att bli Babbages VC vid ett tillfälle, hans riskkapitalist: "Jag tar in pengarna, men du måste överlåta driften av affärsdelen av det till mig. Låt mig bygga verksamheten åt dig!

---

DOUG.  Det är verkligen fantastiskt.

Till alla som lyssnar på detta...

...när du lyssnar på den här historien vill jag att du ska komma ihåg att hon dog vid 36 års ålder.

Hon gör allt detta i 20-årsåldern och början av 30-årsåldern.

Fantastiska saker!

---

ANKA.  Hon dog av livmodercancer, så hon hade verkligen ont och kunde inte arbeta till slut.

Och hon ville inte bara vara affärspersonen bakom det, "Hej, låt mig bygga ett företag."

Babbage tror jag hade lite bitterhet mot etablissemanget för att de inte kom in; han ville göra det på ett mer traditionellt sätt, "Nej, jag vill bevisa att jag har rätt på ett sätt", snarare än att säga "Ja, gå bara och hitta pengarna till mig", vilket kan vara tillvägagångssättet idag.

Så affärssidan som hon föreslog blev aldrig av.

Men hon var också i grunden världens första datorprogrammerare... hon var verkligen den första publicerade datorprogrammeraren.

Du kan föreställa dig att Babbage pysslar med sin analytiska motor... han kom förmodligen på några program innan hon gjorde det, men han insåg dem aldrig.

Och visst publicerade han aldrig, som hon gjorde, en avhandling om varför denna analytiska motor var viktig, och det faktum att den faktiskt kunde göra mycket mer än bara numeriska beräkningar.

Hon hade den här visionen att miniräknare adderade siffror, men om man kunde göra numeriska beräkningar och utifrån dessa fatta beslut (det vi nu skulle kunna kalla OM...DÅ...ANNARS), då skulle man faktiskt kunna representera och arbeta med alla möjliga andra saker, som logiska påståenden, utarbeta bevis eller till och med arbeta med musik, om du hade något matematiskt eller numeriskt sätt att representera musik.

Nu vet jag inte om digital musik någonsin kommer att ta fart, Doug, men om den någonsin gör det...

---

DOUG.  [skrattar] Vi har Ada Lovelace att tacka!

---

ANKA.  Hon var där 1840 och tänkte och skrev om detta!

Hon var, tro det eller ej, dotter till den berömda (eller ökända) poeten Lord Byron.

Tydligen skildes hennes mamma och pappa så jag tror inte att hon någonsin träffat honom – hon var typ den "okända dottern" för honom.

Nu var Byron berömt på semester i Schweiz en gång, där regnet höll honom och vännerna som han semestrade med inomhus.

Och de vännerna var Percy och Mary Shelley.

Och Byron sa, "Hej, låt oss ha en tävling för att skriva skräckhistorier!" [SKRATT]

Och vad han gjorde, och vad Percy Shelley gjorde, blev ingenting; ingen kommer ihåg vad de skrev.

Men Mary Shelley... det var tydligen där hon kom på Frankenstein...

---

DOUG.  Wow!

---

ANKA.  … eller den moderna Prometheus, som i huvudsak handlar om artificiell intelligens och mänskligt skapade tankemaskiner, om du så vill, och hur det slutar illa.

Och Ada, Byrons dotter, var faktiskt den första personen som skrev på ett vetenskapligt sätt om "Kan maskiner tänka?" i anteckningarna som hon skrev på Analytical Engine.

Hon delade *inte* samma skräckhistorier som hennes pappas kompisar hade.

Så som hon skrev det (forskare hade i allmänhet en mer litterär böjelse på den tiden):

Den analytiska motorn har inga som helst anspråk på att skapa något. Den kan göra vad vi än vet hur den ska beordra den att utföra. Den kan följa analys, men den har ingen förmåga att förutse några analytiska relationer eller sanningar.

Så hon såg datorenheter, generella datorenheter, som ett sätt att hjälpa oss att förstå och räkna ut saker som skulle vara omöjliga för vanliga mänskliga sinnen att göra.

Men jag tror inte att hon trodde att de kunde vara en ersättning för mänskliga sinnen.

---

DOUG.  Och återigen, kom ihåg att hon skriver detta 1842...

---

ANKA.  Exakt!

Det är en sak att hacka i verkligheten; det är en annan att hacka på imaginära datorer som du vet *kan* existera, men ingen har byggt en ännu.

---

DOUG.  [SKratt] Exakt.

---

ANKA.  Problemet var, eftersom dessa datorer var mekaniska och krävde mekaniska växlar, krävde de absolut perfektion i tillverkningen.

Eller så skulle det bara vara det här kumulativa felet som skulle få dem att låsa sig på grund av bakslag, det faktum att kugghjulen inte passar perfekt.

Och jag tror, ​​som vi har sagt i podcasten tidigare, ironiskt nog, att det krävdes designen av digitala datorer, som i huvudsak är förlängningar av den analytiska motorn, som kan styra datoriserade metallskärmaskiner med tillräcklig precision...

…innan vi kunde göra en skillnadsmotor eller en analytisk motor som faktiskt fungerade.

Och om det inte är en fascinerande cirkulär berättelse så vet jag inte vad det är!

Så Ada Lovelace var mitt uppe i detta: proselytiserare; evangelist; forskare; matematiker; datorvetenskapsman; och som en spirande riskkapitalist, sa han till Babbage, "Släpp alla dina affärsintressen; lämna över dem till mig. Jag rör mig i rätt kretsar för att hitta pengarna till dig – jag får investeringen! Låt oss se vad vi kan göra med detta!"

Och, på gott och ont, bråkade Babbage med det och dog tydligen i huvudsak i fattigdom, snarare en trasig man.

Man undrar vad som kunde ha hänt om han hade gjort det...

---

DOUG.  Det är en fascinerande historia.

Jag uppmanar dig att gå till Naked Security för att läsa den.

Det kallas för Flytta över, Patch Tuesday – det är Ada Lovelace-dagen.

Mycket lång läsning, mycket intressant!

Och låt oss nu avsluta med detta mystisk iPhone-uppdatering, som är en så kallad "one-bug fix".

Dessa är inte vanliga:

---

ANKA.  Nej, mest när du får dina Apple-uppdateringar (eftersom du inte vet när de kommer – det finns ingen patchtisdag där du kan förutsäga), kommer de bara...

…det är den här gigantiska listan med saker som de har fixat sedan sist de gjorde.

Och ibland är det en noll-dagars, massiv nödsituation, och du får en Apple-uppdatering som säger, "Åh, ja, vi fixar en eller kanske två saker."

Och den här kom helt plötsligt, endast för iOS 16.

Jag höll på att gå och lägga mig, Doug... det var ganska sent, och jag tänkte, jag ska bara titta på min e-post, se om Doug har skickat något till mig. [SKRATT]

Och det var den här saken från Apple: iOS 16.0.3.

Och jag tänkte: "Det är plötsligt! Jag undrar vad som har gått fel? Det måste vara en nolldag."

Så jag gick in i säkerhetsbulletinen... det är inte en nolldag; det är bara en DoS-attack (denial-of-service); inte en faktisk fjärrkörning av kod.

Mail-appen kan fås att krascha.

Och ändå tryckte Apple plötsligt ut den här uppdateringen och den säger bara:

Effekt: Bearbetning av ett uppsåtligt e-postmeddelande kan leda till överbelastning. Ett problem med indatavalidering åtgärdades med förbättrad indatavalidering.

Konstig dubbel användning av ordet validering där...

CVE-2022 till 22658.

Och det är allt vi vet.

Och det står inte, "Åh, det rapporterades av en sådan och sådan feljaktgrupp", eller "Tack vare en anonym forskare", så jag antar att de hittade det själva.

Och jag kan bara gissa att de kände att de behövde fixa det här väldigt snabbt eftersom det av misstag kunde låsa dig ute från din telefon eller göra den nästan oanvändbar.

För det är väl det som är problemet med denial-of-service-buggar när de är i meddelandeappar?

Du tänker på denial of service... appen kraschar; woo hoo, du börjar bara igen.

Men problemet med en meddelandeapp är att: [A] den tenderar att köras i bakgrunden, så den kan ta emot ett meddelande när som helst; [B] du får inte välja vem som skickar meddelanden till dig, det gör andra människor; och [C] det kan vara så att för att komma in i appen för att ta bort det falska meddelandet måste du vänta på att appen ska laddas och den bestämmer sig. "Åh. Jag måste visa dig det här meddelandet som du vill ta bort...”, KRASH!

Det jag kallar a CRASH: GOTO CRASHfel.

Med andra ord, kanske du inte kan fixa det, för medan du startar din telefon, eller om du startar om din telefon, när du kommer till den punkt att du kan hoppa in och trycka på radera i meddelandet...

…appen har redan kraschat igen; för sent!

Vi vet att det har funnits så kallade "text of death"-problem i iOS tidigare.

Vi har en lista över dem i artikeln om Naked Security – de har gjort ganska fascinerande berättelser.

Så vi vet inte om det var en bild, hur glyfer (karaktärsbilder) bildas, teckenkombinationer, textriktning... vi vet inte.

Det är verkligen värt att skaffa patchen, för min magkänsla är om Apple tycker att det är tillräckligt viktigt att lägga det i säkerhetsbulletinen, som har den där en-och-en-fixen, när det inte är en nolldag och det inte är fjärrkod. avrättning, och det är inte upphöjande av privilegier...

…då är de förmodligen oroliga för vad som skulle hända om någon annan fick reda på det!

Så det kanske du också borde vara.

Det är också, Doug, en fantastisk påminnelse om att även om människor tenderar att prioritera sårbarheter från fjärrkörning av kod överst; sedan höjning av privilegier sedan informationsläckage...

… denial of service är, "OK, servern kan krascha, men jag kan alltid starta den igen."

Det kan ändå vara ett riktigt besvärligt problem.

Även om det kanske inte stjäl dina data eller ransomware dina filer, kan det ändå hindra dig från att använda din dator, komma åt dina data och göra riktigt arbete.

---

DOUG.  Ja, vi har problemet här att du behöver uppdatera, men om du har det här problemet kanske du inte kan komma åt uppdateringen om din telefon fortsätter att krascha!

Så det leder oss till vår läsarfråga för veckan.

Här på inlägget som vi pratar om frågar Naked Security-läsaren Peter:

Inte en Apple-användare här, men finns det inte ett alternativ för Apple-användare att logga in på sina e-postkonton i en webbläsare som förhoppningsvis inte kraschar som appen och radera posten där istället för att torka din enhet?

---

ANKA.  Tja, det är verkligen sant för mig.

Som jag använder min iPhone kan jag läsa samma mail på min telefon som i webbappen i min webbläsare.

Så det är en bra utgångspunkt om du är utestängd från din telefon och om du råkar ha en bärbar dator till hands.

Problemet är att när du har raderat e-postmeddelanden, t.ex. i din webbläsare eller via den inbyggda appen på din bärbara dator...

…din telefon Mail-app måste fortfarande synkronisera med servern för att veta att den måste ta bort dessa meddelanden.

Och om den, på vägen dit, bearbetar meddelandet som den nu är på väg att radera, kan den ändå hamna i den kraschtastiska situationen, eller hur?

Så problemet med den kommentaren är det enda riktiga svaret jag kan ge är: "Inte tillräckligt med information. Kan inte säga säkert. Men jag hoppas verkligen att du kan göra det!"

---

DOUG.  Ge det ett försök, åtminstone.

---

ANKA.  Ja, ge det ett försök!

Om du verkligen blir utelåst, så att din telefon kraschar så fort den startar, skulle du vilja tro att du kan göra vad Apple kallar en DFU (direkt firmware-uppdatering), där du i princip börjar om.

Men problemet är att möjliggöra det (för att förhindra att det används för ont), det innebär i huvudsak en torka-och-starta om.

Så du skulle förlora all data på telefonen, förutsatt att det skulle fungera.

Så jag antar att svaret på den frågan är...

Försök först det minst påträngande sättet att lösa det du kan.

Prova att "slå appen" på telefonen, meddelandeappen.

Detta är vad som fungerade för några av de tidigare iOS-sakerna.

Du startar i princip om din telefon; [SPEED UP] du skriver in din låskod riktigt snabbt; [TALAR RIKTIGT SNABBT] du kommer in i appen så snabbt du kan och klickar på radera...

…innan telefonen kommer dit och startar processen som så småningom tar slut på minne.

Så du kanske har tillräckligt med tid att göra det på själva telefonen.

Om inte, försök att göra det via en extern app som hanterar samma uppsättning data.

Och om det är helt fast, antar jag att en flash-och-installation är din enda lösning.

---

DOUG.  Okej, tack, Peter, för att du skickade in det.

Om du har en intressant berättelse, kommentar eller fråga som du vill skicka in, läser vi gärna på podden.

Du kan maila tips@sophos.com; du kan kommentera någon av våra artiklar; eller så kan du träffa oss på sociala: @nakedsecurity.

Det är vår show för idag.

Tack så mycket för att du lyssnade.

För Paul Ducklin, jag heter Doug Aamoth, påminner dig tills nästa gång att...

---

BÅDE.  Håll dig säker.

[MUSIKALT MODEM]