S3 Ep104: Чи повинні зловмисники з програм-вимагачів залишатися під довічним ув’язненням? [Аудіо + текст]

Натисніть і перетягніть звукові хвилі нижче, щоб перейти до будь-якої точки. Ви також можете слухати безпосередньо на Soundcloud.

ДУГ.  Багато юридичних проблем, таємниче оновлення iPhone і Ада Лавлейс.

Все це та багато іншого в подкасті Naked Security.

[МУЗИЧНИЙ МОДЕМ]

Ласкаво просимо в подкаст, усі.

Я Дуг Аамот; він Пол Даклін.

Павле, як ваші справи сьогодні, сер?

---

КАЧКА.  Я дуже добре, Дуг…

…за винятком деяких проблем з мікрофоном, тому що я трохи був у дорозі.

Отже, якщо цього тижня якість звуку не ідеальна, це тому, що мені довелося використовувати альтернативне обладнання для запису.

---

ДУГ.  Ну, це веде нас експертно до нашого Історія техніки сегмент про недосконалість.

---

КАЧКА.  [ІРОНІЧНО] Ооооо, дякую, Дуг. [СМІЄТЬСЯ]

---

ДУГ.  11 жовтня 1958 року NASA запустило свій перший космічний зонд Pioneer One.

Він мав обертатися навколо Місяця, але не зміг досягти місячної орбіти через помилку наведення, впав на Землю та згорів під час повторного входу.

Хоча під час 43-годинного польоту він все одно зібрав цінні дані.

---

КАЧКА.  Так, я вважаю, що він піднявся на висоту 113,000 400,000 км над Землею... а до Місяця не вистачає XNUMX XNUMX кілометрів.

Наскільки я розумію, це трохи вийшло за межі мети, а потім вони спробували виправити, але вони не мали такої деталізації контролю, як сьогодні, коли запускають ракетний двигун на невеликий вибух.

Тож вони виправили, але вони могли виправити лише стільки… і врешті-решт вони придумали: «Ми не збираємось долетіти до Місяця, але, можливо, ми зможемо вивести його на високу навколоземну орбіту, щоб він продовжував обертатися Земля, і ми можемо продовжувати отримувати наукові вимірювання?»

Але врешті-решт це було питання: «Те, що піднімається вгору... [СМІЄТЬСЯ], повинно впасти».

---

ДУГ.  точно. [СМІЄТЬСЯ]

---

КАЧКА.  І, як ви сказали, це було наче вистрілити дуже, дуже, дуже потужною кулею у відкритий космос, значно вище лінії Кармана, що становить лише 100 км, але в такому напрямку, що вона фактично не уникла впливу Земля взагалі.

---

ДУГ.  Досить добре для першої спроби?

Я маю на увазі, непогано… це 1958 рік, чого ви очікуєте?

Я маю на увазі, що вони зробили все можливе і пройшли третину шляху до Місяця.

Що ж, якщо говорити про людей, які не докладають усіх зусиль і зазнають аварії, у нас є свого роду блискавичний раунд юридичних історій тут…

…починаючи з нашого друга Себастьєна Вашона-Дежардена, про якого ми вже говорили раніше.

Він у гаряча вода у Флориді і, можливо, за її межами:

---

КАЧКА.  Так, ми говорили про нього в подкасті, я думаю, кілька разів.

Він був сумнозвісно зайнятим співробітником команди програм-вимагачів як послуг NetWalker.

Іншими словами, він не був автором програми-вимагача… він був одним із її зловмисників, зловмисників і розгортачів.

Наскільки я знаю, він дуже захоплювався програмами-вимагачами: він, так би мовити, приєднався до кількох із цих банд; записався в декілька клубів.

Мабуть, він міг заробити до однієї третини загальних доходів банди NetWalker, тому він був дуже енергійним.

Отже, ми говоримо про багато мільйонів доларів, які він заробив для себе, і, звісно, ​​30% з них пішли основним людям.

Його заарештували в Канаді, посадили до в'язниці...

…а потім його спеціально звільнили з в’язниці в Канаді.

Не тому, що його пожаліли: випустили з в'язниці, щоб екстрадувати до США, де він вирішив визнати себе винним і отримав 20 років.

Очевидно, коли він закінчить ці 20 років у федеральній в'язниці, його депортують до Канади, і він повернеться назад, щоб закінчити свої сім років у Канаді.

І якщо я правильно пам’ятаю, суддя у цій справі, зазначивши, що це банда програм-вимагачів, яка, серед іншого, сумно відома нападами на заклади охорони здоров’я, лікарні; люди, які дійсно, дійсно не можуть дозволити собі платити, і де зрив дійсно, дійсно безпосередньо впливає на життя людей...

… суддя, мабуть, сказав слова на кшталт: «Якби ти насправді не вирішив визнати себе винним, не підняв руку за злочин, я б засудив тебе до довічного ув’язнення».

---

ДУГ.  Так, це дико!

Гаразд, теж начебто низько: колишній CSO Uber Джо Салліван… ця історія також дикий!

Вони відповідають за порушення, яке сталося з регулюючими органами, і поки вони відповідають за порушення, яке сталося, відбувається *ще одне* порушення, і є прикриття:

---

КАЧКА.  Так, за цією історією пильно спостерігала велика частина спільноти кібербезпеки…

Тому що Uber сплатила всілякі штрафи, і, очевидно, вони погодилися співпрацювати, але це не була компанія, яку звинуватили.

Це була особа, яка нібито відповідала за безпеку – раніше він був у Facebook, а потім переманили в Uber.

Що стосується присяжних, у цій справі шахраї отримали не стільки гроші, скільки те, що їм заплатили за те, що вони вдавали, що витік даних був винагородою за помилку; що вони розкрили це відповідально, а не фактично вкрали дані, а потім вимагали їх.

І, звичайно, друга частина цього, я вважаю… Я не впевнений, як ви вимовляєте це слово, тому що ви не чуєте його у Великій Британії, але це «помилка»… Я думаю, що саме так ви це говорите .

В основному це означає «приховування злочину».

І, звісно, ​​це пов’язано з тим фактом, що, як ви сказали, вони перебувають у розслідуванні, їх переглядає FTC… ви збираєтеся їх переконати. «Так, з минулого разу ми вжили цілу низку запобіжних заходів».

І в середині спроб відстояти свою справу і сказати: «Ні, ні, ми набагато кращі, ніж були»…

…о, дорогий, ти втрачаєш не просто деякі записи, що це було?

Понад 50 мільйонів записів про людей, які користувалися послугами Uber, клієнтів.

Сім мільйонів водіїв, включаючи номери водійських прав для 600,000 60,000 водіїв і номери соціального страхування (SSN) для XNUMX XNUMX.

Так це досить серйозно!

А потім просто намагається сказати: «Ну, давайте [ЗНАЧЕВО КАШЛЯЄ] зробимо так, щоб нам не потрібно було нікому розповідати, а потім підемо й змусимо шахраїв підписати угоди про нерозголошення». [СМІЄТЬСЯ]

Доповідач1
[СМІЄТЬСЯ] О, боже!

---

КАЧКА.  [СМІЄТЬСЯ] Не смішно, Дуг!

---

ДУГ.  Дуже добре.

І ще трохи нарізаного та сушеного...

Якщо ви створюєте програму, яка нібито підключена до WhatsApp, і збираєте облікові дані користувача, WhatsApp збирається прийти за тобою!

---

КАЧКА.  Так, це випадок WhatsApp і Meta.

Звучить трохи дивно говорити про них обох, але я припускаю, що обидві юридичні особи (WhatsApp належить Meta) вирішили: «Ну, якщо ви не можете перемогти їх, подавайте на них до суду!»

Отже, це крадіжка облікових даних, тому облікові записи можна використовувати в основному для надсилання фальшивих повідомлень.

В основному спам, але, ймовірно, також багато шахрайства, чи не так?

Якщо у вас є мій пароль, ви можете зв’язатися з усіма моїми друзями та сказати: «Привіт, я заробив купу грошей на цьому шахрайстві з криптовалютами», і оскільки це говорю *я*, а не якась випадкова особа в Інтернеті, ви може бути більш схильний повірити в це.

Тож WhatsApp вирішив: «Так, ми просто подамо на вас до суду та спробуємо таким чином закрити ваші компанії. І це, по суті, дасть нам можливість змусити видалити всі ці програми, де б вони не з’являлися».

На жаль, шахраї зробили достатньо зради, щоб проникнути в Google Play.

Отже, звинувачення полягає в тому, що вони «ввели в оману більше 1 мільйона користувачів WhatsApp, змусивши їх скомпрометувати свої облікові записи в рамках атаки на захоплення облікових записів».

А під самокомпрометацією це означає, що вони просто надали користувачам підроблену сторінку входу та фактично проксі-сервер їхніх облікових даних.

Імовірно вони їх утримували, а потім знущалися над ними...

---

ДУГ.  Добре, ми стежитимемо за цим.

А тепер, будь ласка, скажіть нам, яке відношення має графиня, яка жила в першій половині 19 століття, до обчислювальної техніки та інформатики?

---

КАЧКА.  Це була б Ада Лавлейс.

Або, більш формально, Ада, графиня Лавлейс… вона вийшла заміж за хлопця, якого звали Лорд Лавлейс, тож вона стала леді Лавлейс:

Вона була аристократичного роду, а в ті часи жінки взагалі не йшли в науку.

Але вона робила: вона захоплювалася математикою.

І вона познайомилася, будучи підлітком, я думаю, будучи підлітком, з Чарльзом Беббіджем, який відомий тим, що винайшов різницевий механізм, який міг обчислювати такі речі, як тригонометричні таблиці.

Отже, уряд Великобританії був зацікавлений, тому що там, де ви можете робити тригонометрію, ви можете робити артилерійські таблиці, а це означає, що ви можете зробити своїх стрільців більш точними на суші та на морі.

Але потім Беббідж подумав: «Це просто кишеньковий калькулятор (за сучасною термінологією). Чому б мені не створити комп’ютер загального призначення?»

І він розробив штуку під назвою аналітична машина.

І це було те, що справді цікавило Аду Лавлейс.

Насправді, я вважаю, що одного разу вона запропонувала Беббіджу стати венчурним капіталістом, його венчурним капіталістом: «Я принесу гроші, але ви повинні залишити ведення бізнесу в цьому мені. Дозволь мені побудувати для тебе бізнес!

---

ДУГ.  Це справді дивовижно.

Усім, хто це слухає…

…поки ви слухаєте цю історію, я хочу, щоб ви пам’ятали, що вона померла у 36 років.

Вона все це робить у свої 20 і на початку 30 років.

Дивовижні речі!

---

КАЧКА.  Вона померла від раку матки, тож у неї був справжній біль і зрештою вона не могла працювати.

І вона не просто хотіла бути бізнесменом, який стояв за цим: «Гей, дай мені створити бізнес».

Я вважаю, що Беббідж мав трохи гіркоти щодо закладу за те, що він не прийшов; він хотів зробити це більш традиційним способом: «Ні, я хочу довести, що я правий», а не сказати «Так, просто піди і знайди мені гроші», що може бути сьогоднішнім підходом.

Тож ділова сторона, яку вона запропонувала, так і не відбулася.

Але вона також була, по суті, першим у світі комп’ютерним програмістом… звичайно, вона була першим опублікованим комп’ютерним програмістом.

Ви можете собі уявити, як Беббідж возиться зі своєю аналітичною машиною… можливо, він придумав деякі програми раніше неї, але так і не реалізував їх.

І, звичайно, він ніколи не публікував, як вона, трактат про те, чому ця аналітична машина була важливою, і той факт, що вона насправді може робити набагато більше, ніж просто числові обчислення.

У неї було таке бачення, що калькулятори додають числа разом, але якби ви могли робити числові обчислення та на їх основі приймати рішення (те, що ми зараз можемо назвати ЯКЩО…ТО…ІНШЕ), тоді ви могли б реально представляти та працювати з усіма видами інших такі речі, як логічні пропозиції, пошук доказів або навіть робота з музикою, якщо у вас є якийсь математичний чи числовий спосіб представлення музики.

Даг, я не знаю, чи цифрова музика коли-небудь стане популярною, але якщо це станеться…

---

ДУГ.  [СМІЄТЬСЯ] Ми маємо подякувати Аді Лавлейс!

---

КАЧКА.  Вона була там у 1840 році, думала і писала про це!

Вона була, вірте чи ні, донькою відомого (або сумнозвісного) поета лорда Байрона.

Очевидно, її мати та батько розійшлися, тож я не вірю, що вона коли-небудь зустрічала його – вона була для нього свого роду «невідомою донькою».

Як відомо, Байрон одного разу був у відпустці в Швейцарії, де дощ не дозволив йому та друзям, з якими він відпочивав, удома.

І цими друзями були Персі та Мері Шеллі.

І Байрон сказав: «Гей, давайте влаштуємо змагання з написання оповідань жахів!» [СМІХ]

І те, що він зробив, і те, що зробив Персі Шеллі, не закінчилося; ніхто не пам'ятає, що вони писали.

Але Мері Шеллі… мабуть, саме це вона придумала Франкенштейн…

---

ДУГ.  Ось це так!

---

КАЧКА.  … або сучасний Прометей, яка, по суті, стосується штучного інтелекту та створених людиною розумових машин, якщо хочете, і чим це погано закінчується.

А Ада, донька Байрона, була першою людиною, яка написала науково про «Чи можуть машини мислити?» у примітках, які вона написала на аналітичній машині.

Вона *не* поділяла тих жахливих історій, які були у друзів її батька.

Те, як вона це написала (вчені зазвичай мали більш літературний нахил у ті часи):

Аналітична машина не має жодних претензій створювати щось. Він може робити все, що ми знаємо, як наказати йому виконувати. Він може слідувати за аналізом, але не має сили передбачити будь-які аналітичні відносини чи істини.

Тож вона розглядала обчислювальні пристрої, обчислювальні пристрої загального призначення, як спосіб допомогти нам зрозуміти та розробити речі, які звичайним людським розумам було б неможливо зробити.

Але я не думаю, що вона думала, що вони можуть замінити людський розум.

---

ДУГ.  І знову пам’ятайте, що вона пише це в 1842 році…

---

КАЧКА.  Абсолютно вірно!

Одна справа зламувати в реальному житті; інше – зламувати уявні комп’ютери, які, як ви знаєте, *могли* існувати, але їх ще ніхто не створив.

---

ДУГ.  [СМІЄТЬСЯ] Саме так.

---

КАЧКА.  Проблема полягала в тому, що ці комп’ютери були механічними і вимагали механічних передач, вони вимагали абсолютної досконалості у виробництві.

Або була б просто ця кумулятивна помилка, яка змусила б їх заблокувати через люфт, той факт, що шестерні не з’єднані ідеально.

І я думаю, як ми вже говорили в подкасті раніше, за іронією долі, для цього знадобилося проектування цифрових комп’ютерів, які, по суті, є розширенням аналітичного двигуна, які можуть керувати комп’ютеризованими верстатами для різання металу з достатньою точністю…

…до того, як ми змогли створити механізм відмінностей або аналітичний механізм, які дійсно працювали.

І якщо це не захоплююча кругова історія, я не знаю, що є!

Отже, Ада Лавлейс була в центрі цього: прозелітик; євангеліст; науковець; математик; інформатик; і як починаючий венчурний капіталіст, кажучи Беббіджу: «Відпусти всі свої бізнес-інтереси; передай їх мені. Я рухаюся в потрібних колах, щоб знайти вам гроші – я отримаю інвестиції! Подивимося, що ми можемо з цим зробити!»

І, на краще чи на гірше, Беббідж не погодився на це і, очевидно, помер у злиднях, радше зламаною людиною.

Цікаво, що могло б статися, якби він це зробив…

---

ДУГ.  Це захоплююча історія.

Я закликаю вас відвідати Naked Security, щоб прочитати його.

Це називається Переходь, Патч-вівторок – це день Ади Лавлейс.

Чудове довге читання, дуже цікаво!

А тепер давайте завершимо на цьому таємниче оновлення iPhone, що є так званим «виправленням однієї помилки».

Це не часто:

---

КАЧКА.  Ні, здебільшого, коли ви отримуєте оновлення Apple (оскільки ви не знаєте, коли вони з’являться – немає вівторка виправлення, коли ви можете передбачити), вони просто надходять…

…є величезний список речей, які вони виправили з моменту останнього.

Іноді трапляється масштабна надзвичайна ситуація нульового дня, і ви отримуєте оновлення Apple, у якому сказано: «О, ми виправляємо одну або, можливо, дві речі».

А цей просто раптово з’явився, лише для iOS 16.

Я збирався лягати спати, Дуг… було досить пізно, і я подумав, я просто перегляну свою електронну пошту, перевірю, чи Дуг мені щось надіслав. [СМІХ]

І була така річ від Apple: iOS 16.0.3.

І я подумав: «Це раптом! Цікаво, що пішло не так? Має бути нульовий день».

Тож я зайшов до бюлетеня безпеки… це не нульовий день; це лише атака на відмову в обслуговуванні (DoS); не фактичне віддалене виконання коду.

Програму Mail можна призвести до збою.

І все ж Apple раптово виштовхнула це оновлення, і воно просто говорить:

Вплив: обробка зловмисного поштового повідомлення може призвести до відмови в обслуговуванні. Проблему перевірки введення було вирішено за допомогою покращеної перевірки введення.

Дивне подвійне використання слова перевірка...

CVE-2022-22658.

І це все, що ми знаємо.

І там не написано: «О, про це повідомила така-то група пошуку жуків» або «Завдяки анонімному досліднику», тож я припускаю, що вони знайшли це самі.

І я можу лише здогадуватися, що вони відчували, що їм потрібно виправити це дуже швидко, оскільки це могло випадково заблокувати вас у вашому телефоні або зробити його майже непридатним для використання.

Тому що це проблема з помилками відмови в обслуговуванні, коли вони є в програмах обміну повідомленнями, чи не так?

Ви думаєте про відмову в обслуговуванні... програма виходить з ладу; ого-го-го, ти просто почни це знову.

Але проблема з додатком обміну повідомленнями полягає в тому, що: [A] він зазвичай працює у фоновому режимі, тому може отримати повідомлення в будь-який час; [B] ви не можете вибирати, хто надсилає вам повідомлення, це роблять інші люди; і [C] може бути так, що для того, щоб увійти в програму для видалення шахрайського повідомлення, вам доведеться дочекатися завантаження програми, і вона вирішить. «Ой. Мені потрібно показати вам це повідомлення, яке ви хочете видалити…», АВАРІЯ!

Те, що я називаю a CRASH: GOTO CRASHпомилка

Іншими словами, можливо, ви не можете це виправити, тому що під час завантаження телефону або перезапуску телефону, поки ви дійдете до того моменту, ви можете зайти та натиснути видалити повідомлення…

…програма вже знову вийшла з ладу; запізно!

Ми знаємо, що раніше в iOS були проблеми з так званим «текстом смерті».

У нас є їх список у статті Naked Security – вони зробили досить захоплюючі історії.

Тому ми не знаємо, чи це було зображення, спосіб формування гліфів (зображень символів), комбінації символів, напрямок тексту… ми не знаємо.

Це, безперечно, варто отримати виправлення, тому що я відчуваю, якщо Apple вважає це достатньо важливим, щоб розмістити його в бюлетені безпеки, який містить те єдине виправлення, коли це не нульовий день і це не віддалений код виконання, і це не підвищення привілеїв...

…тоді вони, ймовірно, хвилюються, що станеться, якби про це дізнався хтось інший!

Тож, можливо, вам теж варто бути.

Це також, Дуг, фантастичне нагадування про те, що хоча люди схильні віддавати перевагу вразливостям від віддаленого виконання коду на вершині; потім підвищення привілеїв, потім витік інформації…

…відмова в обслуговуванні: «Добре, сервер може вийти з ладу, але я завжди можу запустити його знову».

Проте це може бути справді неприємною проблемою.

Хоча він може не викрадати ваші дані чи програм-вимагачів для ваших файлів, він все ж може завадити вам користуватися комп’ютером, отримати доступ до ваших даних і виконувати реальну роботу.

---

ДУГ.  Так, у нас є проблема, яку вам потрібно оновити, але якщо у вас виникла ця проблема, можливо, ви не зможете отримати оновлення, якщо ваш телефон постійно виходить з ладу!

Отже, це підводить нас до нашого запитання читача на тиждень.

У дописі, про який ми говоримо, читач Naked Security Пітер запитує:

Ви не є користувачем Apple, але чи немає можливості для користувачів Apple увійти до своїх облікових записів електронної пошти в браузері, який, сподіваємося, не аварійно завершує роботу, як програма, і видалити пошту там, а не стирати ваш пристрій?

---

КАЧКА.  Ну, це, звичайно, правда для мене.

Як я користуюся своїм iPhone, я можу читати ту саму пошту на телефоні, що й у веб-програмі у своєму браузері.

Тож це гарна відправна точка, якщо у вас немає доступу до телефону та якщо у вас під рукою є ноутбук.

Проблема полягає в тому, що коли ви видаляєте листи, скажімо, у своєму веб-браузері або через рідну програму на своєму ноутбуці…

… ваш телефонний додаток Mail все ще має синхронізуватися із сервером, щоб знати, що він має видалити ці повідомлення.

І якщо по дорозі туди він обробить повідомлення, яке зараз збирається видалити, він все одно може потрапити в аварійну ситуацію, чи не так?

Тож проблема з цим коментарем полягає в тому, що єдина реальна відповідь, яку я можу дати: «Недостатньо інформації. Не можу сказати точно. Але я дуже сподіваюся, що ти зможеш це зробити!»

---

ДУГ.  Спробуйте хоча б.

---

КАЧКА.  Так, спробуйте!

Якщо ви справді блокуєтеся, і ваш телефон виходить з ладу, щойно він запускається, ви б хотіли думати, що можете зробити те, що Apple називає DFU (пряме оновлення мікропрограми), де ви фактично починаєте все заново.

Але проблема полягає в тому, щоб увімкнути це (щоб зупинити його використання для зла), це, по суті, передбачає стерти та почати знову.

Тож ви втратите всі дані на телефоні, якщо припустити, що це запрацює.

Тож я вважаю, що відповідь на це запитання…

Спочатку спробуйте найменш нав’язливий спосіб її вирішення.

Спробуйте «обіграти додаток» на телефоні, додаток для обміну повідомленнями.

Це те, що спрацювало для деяких попередніх речей iOS.

Ви просто перезавантажуєте телефон; [ПРИШКОРЕННЯ] ви дуже швидко вводите код блокування; [ГОВОРИТЬ ДУЖЕ ШВИДКО] Ви входите в програму якомога швидше й натискаєте «Видалити»…

…до того, як телефон потрапить туди й запустить процес, який зрештою закінчить пам’ять.

Тому у вас може бути достатньо часу, щоб зробити це на самому телефоні.

Якщо ні, спробуйте зробити це через зовнішню програму, яка керує тим самим набором даних.

І якщо ви повністю застрягли, то я вважаю, що ваше єдине рішення — перепрошивка та перевстановлення.

---

ДУГ.  Гаразд, дякую, Пітере, що надіслав це.

Якщо у вас є цікава історія, коментар або запитання, яке ви хотіли б надіслати, ми будемо раді прочитати їх у подкасті.

Ви можете надіслати електронний лист на tips@sophos.com; ви можете коментувати будь-яку нашу статтю; або ви можете звернутися до нас у соціальних мережах: @nakedsecurity.

Це наше шоу на сьогодні.

Дуже дякую за те, що ви послухали.

Для Пола Дакліна я Дуг Аамот, нагадую вам до наступного разу…

---

ОБИМ.  Залишайтеся в безпеці.

[МУЗИЧНИЙ МОДЕМ]