Lyt nu
Med Doug Aamoth og Paul Ducklin.
Intro og outro musik af Edith Mudge.
Klik og træk på lydbølgerne nedenfor for at springe til ethvert punkt. Du kan også lytte direkte på Soundcloud.
Du kan lytte til os på Soundcloud, Apple Podcasts, Google Podcasts, Spotify, Stitcher og overalt, hvor gode podcasts findes. Eller bare drop URL til vores RSS-feed til din yndlings podcatcher.
LÆS TRANSCRIPTET
DOUG. Nul-dage, flere nul-dage, TikTok og en trist dag for sikkerhedssamfundet.
Alt det og mere, på Naked Security-podcasten.
[MUSIK MODEM]
Velkommen til Naked Security-podcasten, alle sammen.
Jeg er Doug Aamoth.
Med mig er som altid Paul Ducklin.
Paul, hvordan har du det i dag?
AND. Jeg har det meget, meget godt, tak, Douglas!
DOUG. Nå, lad os starte showet med vores Tech History-segment.
Jeg er glad for at kunne fortælle jer: I denne uge den 09. september 1947 blev en møl fra det virkelige liv fundet inde i Harvard Universitys Mark II-computer.
Og selvom det antages at have været i brug i årevis i forvejen at bruge udtrykket "bug" til at betegne tekniske fejl, menes det, at denne hændelse førte til den nu allestedsnærværende "debug".
Hvorfor?
Fordi når mølen blev fjernet fra Mark II, blev den tapet inde i ingeniørlogbogen og mærket "Det første tilfælde af en faktisk fejl, der blev fundet."
Jeg elsker den historie!
AND. Det gør jeg også!
Jeg tror, at det første bevis, jeg har set på det udtryk, var ingen ringere end Thomas Edison - jeg tror, han brugte udtrykket "bugs".
Men selvfølgelig, da det var 1947, var dette de meget tidlige dage af digital computing, og ikke alle computere kørte på ventiler eller rør endnu, fordi rør stadig var meget dyre og løb meget varme og krævede en masse elektricitet.
Så denne computer, selvom den kunne trigonometri og sådan noget, var faktisk baseret på relæer - elektromekaniske kontakter, ikke rene elektroniske kontakter.
Helt utroligt, at selv i slutningen af 1940'erne var relæbaserede computere stadig en ting... selvom de ikke ville være en ting ret længe.
DOUG. Nå, Paul, lad os sige om emnet rodede ting og fejl.
En rodet ting, der generer folk, er spørgsmålet om denne TikTok-ting.
Der er brud, og der er brud... er dette faktisk et brud?
AND. Som du siger, Douglas, det er blevet en rodet ting...
For det var en kæmpestor historie i weekenden, ikke?
"TikTok-brud – hvad var det egentlig?"
Ved første rødme lyder det som: "Wow, 2 milliarder dataregistreringer, 1 milliard brugere kompromitteret, hackere er kommet ind", og hvad der ikke sker.
Nu er flere mennesker, der beskæftiger sig med databrud regelmæssigt, især herunder Troy Hunt of Er jeg blevet pwned, har taget prøvebilleder af de data, der formodes at være blevet "stjålet" og ledt efter dem.
Og konsensus ser ud til at understøtte præcis, hvad TikTok har sagt, nemlig at disse data alligevel er offentlige.
Så hvad det ser ud til at være, er en samling af data, f.eks. en gigantisk liste over videoer... som jeg gætter på, at TikTok nok ikke ville have, at du bare kunne downloade for dig selv, fordi de ville have dig til at gå gennem platformen , og bruge deres links og se deres annoncering, så de kunne tjene penge på tingene.
Men ingen af dataene, ingen af tingene på listerne ser ud til at have været fortrolige eller private for de berørte brugere.
Når Troy Hunt gik og kiggede og valgte en tilfældig video, for eksempel, ville den video dukke op under brugerens navn som offentlig.
Og dataene om videoen i "bruddet" sagde ikke også: "Åh, og forresten, her er kundens TikTok ID; her er deres kodeords-hash; her er deres hjemmeadresse; her er en liste over private videoer, som de ikke har offentliggjort endnu”, og så videre.
DOUG. OK, så hvis jeg er en TikTok-bruger, er der så en advarselshistorie her?
Skal jeg gøre noget?
Hvordan påvirker dette mig som bruger?
AND. Det er lige sagen. Doug - Jeg gætter på, at mange artikler skrevet om dette har været desperate efter at finde en form for konklusion.
What can you do?,en
Så det brændende spørgsmål, som folk har stillet, er: "Nå, skal jeg ændre min adgangskode? Skal jeg slå to-faktor-godkendelse til?”... alt det sædvanlige, du hører.
Det ser i dette tilfælde ud, som om der ikke er noget specifikt behov for at ændre din adgangskode.
Der er ikke noget, der tyder på, at kodeords-hasher er blevet stjålet og nu kan blive knækket af en zillion off-duty bitcoin-minearbejdere [griner] eller noget lignende.
Der er intet forslag om, at brugerkonti kan være nemmere at målrette mod som et resultat af dette.
På den anden side, hvis du har lyst til at ændre din adgangskode... kan du lige så godt.
Den generelle anbefaling i disse dage er at rutinemæssigt og regelmæssigt og hyppigt ændre din adgangskode *efter en tidsplan* (såsom "skift din adgangskode en gang om måneden for en sikkerheds skyld") er en dårlig idé, fordi [ROBOTIC VOICE] det – bare – får – dig – ind i – en – gentagne – vane, der ikke rigtig forbedrer tingene.
Fordi vi ved, hvad folk gør, går de bare: -01, -02, 03 i slutningen af adgangskoden.
Så jeg tror ikke, du skal ændre din adgangskode, men hvis du beslutter dig for, at du vil gøre det, så er det godt med dig.
Min egen mening er, at i dette tilfælde ville det ikke have gjort nogen som helst forskel, om du havde aktiveret to-faktor-autentificering eller ej.
På den anden side, hvis dette er en hændelse, der endelig overbeviser dig om, at 2FA har en plads i dit liv et eller andet sted...
… så er det måske, Douglas, det er en sølvkant!
DOUG. Alle tiders.
Så det holder vi øje med.
Men det lyder som om, at almindelige brugere ikke kunne have gjort meget ved dette...
AND. Bortset fra, at der måske er én ting, vi kan lære, eller i det mindste minde os selv om det.
DOUG. Jeg tror, jeg ved, hvad der kommer. [griner]
rimer det?
AND. Det gør det måske, Douglas. [griner]
For fanden, jeg er så gennemsigtig. [GRNER]
Vær opmærksom/før du deler.
Når først noget er offentligt, er det *virkelig offentligt*, og så enkelt er det.
DOUG. Okay, meget godt.
Vær opmærksom, før du deler.
På vej med det samme mistede sikkerhedssamfundet en pioner i Peter Eckersley, som døde som 43-årig.
Han var medskaberen af Let's Encrypt.
Så fortæl os lidt om Let's Encrypt og Eckersleys arv, hvis du ville.
AND. Nå, han lavede en hel masse ting i sit desværre korte liv, Doug.
Vi skriver ikke ofte nekrologer om Naked Security, men dette er en af dem, vi følte, vi var nødt til.
For, som du siger, Peter Eckersley, blandt alle de andre ting, han gjorde, var en af medstifterne af Let's Encrypt, projektet, der havde til formål at gøre det billigt (dvs. gratis!), men, vigtigst af alt, pålideligt og nemt at få HTTPS-certifikater til din hjemmeside.
Og fordi vi bruger Let's Encrypt-certifikater på Naked Security- og Sophos News-blogsiderne, følte jeg, at vi skylder ham i det mindste en omtale for det gode arbejde.
Fordi alle, der nogensinde har drevet et websted, vil vide, at hvis du går et par år tilbage, at få et HTTPS-certifikat, et TLS-certifikat, som lader dig sætte hængelåsen i dine besøgendes webbrowsere ikke kun koster penge, hvilket hjemmebrugere, hobbyfolk , velgørende organisationer, små virksomheder, sportsklubber havde ikke nemt råd... det var et *rigtigt bøvl*.
Der var hele denne procedure, du skulle igennem; det var meget fyldt med jargon og tekniske ting; og hvert år skulle du gøre det igen, fordi de åbenbart udløber... det er ligesom et sikkerhedstjek på en bil.
Du er nødt til at gennemgå øvelsen og bevise, at du stadig er den person, der er i stand til at ændre det domæne, som du hævder at have kontrol over, og så videre.
Og Let's Encrypt var ikke kun i stand til at gøre det gratis, de var i stand til at gøre det, så processen kunne automatiseres ... og på kvartalsbasis, så det betyder også, at certifikater kan udløbe hurtigere, hvis noget går galt.
De var i stand til at opbygge tillid hurtigt nok til, at de store browsere snart sagde: "Ved du hvad, vi vil stole på, at Let's Encrypt står inde for andres webcertifikater - det, der kaldes en rod CAeller certifikatmyndighed.
Derefter stoler din browser på Let's Encrypt som standard.
Og i virkeligheden er det alle de ting, der hænger sammen, som for mig var projektets majestæt.
Det var ikke kun, at det var gratis; det var ikke kun, at det var nemt; det var ikke kun, at browserproducenterne (som er notorisk svære at overtale til at stole på dig i første omgang) besluttede, "Ja, vi stoler på dem."
Det var alle disse ting sammen, der gjorde en stor forskel og hjalp med at få HTTPS næsten overalt på internettet.
Det er bare en måde at tilføje den lille smule ekstra sikkerhed til den browsing, vi laver...
…ikke så meget for krypteringen, som vi bliver ved med at minde folk om, men for det faktum, at [A] du har en kæmpe chance for, at du virkelig har oprettet forbindelse til et websted, der bliver manipuleret af den person, der formodes at manipulere det, og at [B], når indholdet kommer tilbage, eller når du sender en forespørgsel til det, kan det ikke nemt manipuleres undervejs.
Indtil Let's Encrypt, med ethvert HTTP-kun-websted, kunne stort set alle på netværksstien spionere på det, du så på.
Værre, de kunne ændre det – enten hvad du sendte, eller hvad du får tilbage – og du *kunne simpelthen ikke fortælle*, at du downloadede malware i stedet for den rigtige vare, eller at du læste falske nyheder i stedet for ægte historie.
DOUG. Okay, jeg synes, det er passende at slutte af med en fantastisk kommentar fra en af vores læsere, Samantha, som synes at have kendt hr. Eckersley.
Hun siger:
"Hvis der er én ting, jeg altid husker ved mine interaktioner med Pete, så var det hans dedikation til videnskab og den videnskabelige metode. At stille spørgsmål er selve essensen af at være videnskabsmand. Jeg vil altid værdsætte Pete og hans spørgsmål. For mig var Pete en mand, der værdsatte kommunikation og den frie og åbne udveksling af ideer blandt nysgerrige individer."
Godt sagt, Samantha – tak.
AND. Ja!
Og i stedet for at sige RIP [forkortelse for Rest In Peace], tror jeg, jeg vil sige CIP: Code in Peace.
DOUG. Meget godt!
Okay, vi talte i sidste uge om en række Chrome-patches, og så dukkede der en mere op.
Og denne var en vigtigt en ...
AND. Det var det virkelig, Doug.
Og fordi det gjaldt for Chromium-kernen, gjaldt det også for Microsoft Edge.
Så i sidste uge talte vi om de... hvad var det, 24 sikkerhedshuller.
En var kritisk, otte eller ni var høje.
Der er alle mulige hukommelsesfejl derinde, men ingen af dem var nul-dage.
Og så vi talte om det og sagde: "Se, det her er en lille aftale fra et nul-dages synspunkt, men det er en stor sag fra et sikkerhedspatch synspunkt. Kom videre: vent ikke, gør det i dag."
(Undskyld – jeg rimede igen, Doug.)
Denne gang er det endnu en opdatering, der kom ud blot et par dage senere, både til Chrome og til Edge.
Denne gang er der kun ét sikkerhedshul rettet.
Vi ved ikke helt, om det er en forhøjelse af privilegier eller en fjernudførelse af kode, men det lyder seriøst, og det er en nul-dag med en kendt udnyttelse, der allerede er i naturen.
Jeg gætter på, at den gode nyhed er, at både Google og Microsoft og andre browserproducenter var i stand til at anvende denne patch og få den ud virkelig, virkelig hurtigt.
Vi taler ikke om måneder eller uger... bare et par dage for en kendt nul-dag, der tydeligvis blev fundet efter den sidste opdatering var kommet ud, hvilket først var i sidste uge.
Så det er den gode nyhed.
Den dårlige nyhed er selvfølgelig, at dette er en 0-dag – skurkene er på det; de bruger det allerede.
Google har været lidt tilbageholdende med "hvordan og hvorfor"... det tyder på, at der foregår en eller anden undersøgelse i baggrunden, som de måske ikke ønsker at bringe i fare.
Så endnu en gang er dette en "Patch early, patch often" situation – du kan ikke bare forlade denne.
Hvis du lappede i sidste uge, skal du gøre det igen.
Den gode nyhed er, at Chrome, Edge og de fleste browsere i disse dage burde opdatere sig selv.
Men som altid kan det betale sig at tjekke, for hvad nu hvis du er afhængig af automatisk opdatering, og bare denne gang virkede det ikke?
Ville det ikke være 30 sekunder af din tid brugt godt på at bekræfte, at du faktisk har den nyeste version?
Vi har alle de relevante versionsnumre og rådene [om Naked Security] om, hvor du skal klikke for Chrome og Edge for at sikre, at du absolut har den nyeste version af disse browsere.
DOUG. Og breaking news for alle, der holder mål...
Jeg har lige tjekket min version af Microsoft Edge, og det er den korrekte, opdaterede version, så den opdaterede sig selv.
OK, sidst, men bestemt ikke mindst, har vi et sjældent men presserende Apple-opdatering til iOS 12, som vi alle troede var færdige og opstøvede.
AND. Ja, som jeg skrev i de første fem ord i artiklen om Naked Security, "Nå, det havde vi ikke forventet!"
Jeg tillod mig selv et udråbstegn, Doug, [LATER], fordi jeg var overrasket...
Regelmæssige lyttere til podcasten vil vide, at min elskede, hvis gammel-men-tidligere uberørte iPhone 6 Plus, blev ramt af et cykelstyrt.
Cyklen overlevede; Jeg fik al den hud tilbage, som jeg havde brug for [LATER]... men min iPhone-skærm er stadig i hundrede tusinde millioner milliarder billioner stykker. (Alle de bidder, der kommer ud i min finger, tror jeg allerede har gjort det.)
Så jeg tænkte...iOS 12, det er et år siden, jeg havde den sidste opdatering, så det er åbenbart helt væk fra Apples radar.
Det kommer ikke til at få andre sikkerhedsrettelser.
Jeg tænkte: "Nå, skærmen kan ikke blive smadret igen, så det er en fantastisk nødtelefon at tage, når jeg er på farten"... hvis jeg skal et sted hen, hvis jeg skal ringe eller se på kort. (Jeg vil ikke lave e-mail eller andre arbejdsrelaterede ting på det.)
Og se, den fik en opdatering, Doug!
Pludselig, næsten et år til dagen efter den forrige... Jeg tror, den 23. september 2021 var sidste ændring Jeg havde.
Pludselig har Apple udgivet denne opdatering.
Det vedrører tidligere patches som vi talte om, hvor de lavede nødopdateringen til moderne iPhones og iPads og alle versioner af macOS.
Der retter de en WebKit-fejl og en kerne-fejl: begge nul dage; begge bliver brugt i naturen.
(Lugter det af spyware for dig? Det gjorde det for mig!)
WebKit-fejlen betyder, at du kan besøge et websted eller åbne et dokument, og det overtager appen.
Så betyder kernefejlen, at du sætter din strikkepind lige ind i operativsystemet og dybest set slår hul i Apples velkendte sikkerhedssystem.
Men der var ikke en opdatering til iOS 12, og som vi sagde sidste gang, hvem vidste, om det var fordi iOS 12 tilfældigvis var usårlig, eller at Apple virkelig ikke ville gøre noget ved det, fordi det faldt af kanten af planeten for et år siden?
Nå, det ser ud til, at det ikke faldt helt ned fra kanten af planeten, eller det har vippet på kanten... og det *var* sårbart.
Gode nyheder ... kernefejlen, som vi talte om sidste gang, den ting, der ville lade nogen i det væsentlige overtage hele iPhone eller iPad, gælder ikke for iOS 12.
Men den WebKit-fejl – som husker, påvirker *enhver* browser, ikke kun Safari og enhver app, der udfører enhver form for webrelateret gengivelse, selvom den kun er i sin Om skærm…
…den fejl *eksisterede* i iOS 12, og Apple følte åbenbart stærkt for det.
Så der er du: Hvis du har en ældre iPhone, og den stadig er på iOS 12, fordi du ikke kan opdatere den til iOS 15, så skal du gå og hente denne.
Fordi dette er WebKit fejl vi talte om sidste gang – det er blevet brugt i naturen.
Apple patcher dobbelt nul-dag i browser og kerne – opdater nu!
Og det faktum, at Apple har gået så langt for at understøtte, hvad der så ud til at være en version af operativsystemet, der ikke var afsluttet, antyder, eller inviterer dig i det mindste til at udlede, at det er blevet opdaget, at det er blevet brugt på uhyggelige måder for alle mulige frække ting.
Så måske kun et par mennesker blev målrettet... men selvom det er tilfældet, lad dig ikke være den tredje person!
DOUG. Og for at låne en af dine rimende sætninger:
Forsink ikke/gør det i dag.
Hvad med det?
AND. Doug, jeg vidste, du ville sige det.
DOUG. Jeg fanger!
Og da solen så småt begynder at gå ned på vores show for i dag, vil vi gerne høre fra en af vores læsere om Apples zero-day-historie.
Læser Bryan kommenterer:
“Apples Indstillinger-ikon har altid lignet et cykelhjul i mit sind. Som en ivrig motorcyklist, en Apple-enhedsbruger, forventer jeg, at du kan lide det?"
Det er rettet mod dig, Paul.
Kan du lide det?
Synes du det ligner et cykelhjul?
AND. Jeg gider det ikke, for det er meget genkendeligt, sig hvis jeg vil gå til Indstillinger > Generelt > Softwareopdatering.
(Tip, tip: det er sådan, du tjekker for opdateringer på iOS.)
Ikonet er meget karakteristisk, og det er nemt at ramme, så jeg ved, hvor jeg skal hen.
Men nej, jeg har aldrig forbundet det med cykling, for hvis det var forreste kæderinge på en gearet cykel, er de bare helt forkerte.
De er ikke forbundet korrekt.
Der er ingen måde at sætte strøm i dem.
Der er to tandhjul, men de har tænder i forskellige størrelser.
Hvis du tænker på, hvordan gear fungerer på cykelgearene med jumpy-gear (skiftere, som de er kendt), har du kun én kæde, og kæden har specifik afstand, eller pitch, som det kaldes.
Så alle tandhjulene eller tandhjulene (teknisk set er de ikke tandhjul, fordi tandhjul driver tandhjul, og kæder driver tandhjul)... alle tandhjulene skal have tænder af samme størrelse eller stigning, ellers passer kæden ikke!
Og de tænder er meget spidse. Doug.
Nogen i kommentarerne sagde, at de troede, det mindede dem om noget, der havde med urværk at gøre, som en escapement eller en form for gearing inde i et ur.
Men jeg er ret sikker på, at urmagere ville sige: "Nej, vi ville ikke forme tænderne sådan," fordi de bruger meget karakteristiske former for at øge pålideligheden og præcisionen.
Så jeg er ret tilfreds med det Apple-ikon, men nej, det minder mig ikke om at cykle.
Android-ikonet, ironisk nok...
…og jeg tænkte på dig, da jeg tænkte på det her, Doug [LATER], og jeg tænkte: "Åh, fy, jeg hører aldrig enden på det her. Hvis jeg nævner det"...
..det ligner et baghjul på en cykel (og jeg ved godt, det ikke er et tandhjul, det er et tandhjul, fordi tandhjul driver tandhjul, og kæder driver tandhjul, men af en eller anden grund kalder man dem tandhjul, når de er små ved bag på en cykel).
Men den har kun seks tænder.
Den mindste bageste cykeltand, jeg kan finde omtale af, er ni tænder – det er meget lille, en meget snæver kurve, og kun ved specielle anvendelser.
BMX-mænd kan lide dem, fordi jo mindre tandhjulet er, jo mindre sandsynligt er det, at det rammer jorden, når du laver tricks.
Så ... det har meget lidt med cybersikkerhed at gøre, men det er fascinerende indsigt i, hvad jeg tror, der i dag ikke er kendt som "brugergrænsefladen", men "brugeroplevelsen".
DOUG. Okay, mange tak, Bryan, for din kommentar.
Hvis du har en interessant historie, kommentar eller spørgsmål, du gerne vil indsende, vil vi meget gerne læse den på podcasten.
Du kan sende en e-mail til tips@sophos.com, du kan kommentere på en af vores artikler, eller du kan slå os op på socialt: @Naked Security.
Det er vores show for i dag – mange tak fordi du lyttede.
For Paul Ducklin er jeg Doug Aamoth, og minder dig om, indtil næste gang...
BEGGE. Hold dig sikker!
[MUSIK MODEM]
- blockchain
- coingenius
- cryptocurrency tegnebøger
- kryptoverveksling
- cybersikkerhed
- cyberkriminelle
- Cybersecurity
- afdeling for indenrigssikkerhed
- digitale tegnebøger
- Eckersley
- firewall
- Kaspersky
- Lad os kryptere
- malware
- Mcafee
- Naked Security
- Podcast for nøgen sikkerhed
- Nexbloc
- Peter
- plato
- platon ai
- Platon Data Intelligence
- Platon spil
- PlatoData
- platogaming
- podcast
- Tik Tok
- VPN
- website sikkerhed
- zephyrnet
