ESCUCHA AHORA
Con Doug Aamoth y Paul Ducklin.
Música de introducción y final de Edith Mudge.
Haga clic y arrastre en las ondas sonoras de abajo para saltar a cualquier punto. Tú también puedes escuchar directamente en Soundcloud.
Puedes escucharnos en SoundCloud, Podcasts de Apple, Podcasts de Google, Spotify, Stitcher y en cualquier lugar donde se encuentren buenos podcasts. O simplemente suelta el URL de nuestro feed RSS en tu cazador de vainas favorito.
LEER LA TRANSCRIPCIÓN
DOUG. Días cero, más días cero, TikTok y un día triste para la comunidad de seguridad.
Todo eso y más, en el podcast Naked Security.
[MÓDEM MUSICAL]
Bienvenidos al podcast de Naked Security, todos.
Soy Doug Aamoth.
Conmigo, como siempre, está Paul Ducklin.
Pablo, ¿cómo estás hoy?
PATO. ¡Estoy muy, muy bien, gracias, Douglas!
DOUG. Bueno, comencemos el programa con nuestro segmento Historial tecnológico.
Me complace informarles: esta semana, el 09 de septiembre de 1947, se encontró una polilla real dentro de la computadora Mark II de la Universidad de Harvard.
Y aunque se cree que el uso del término "error" para denotar fallas de ingeniería se usó durante años y años antes, se cree que este incidente condujo al ahora omnipresente "depuración".
¿Por qué?
Porque una vez que se quitó la polilla del Mark II, se grabó dentro del libro de registro de ingeniería y se etiquetó como "El primer caso de un error real que se encuentra".
¡Me encanta esa historia!
PATO. ¡Yo también!
Creo que la primera evidencia que he visto de ese término fue nada menos que Thomas Edison, creo que usó el término "bichos".
Pero, por supuesto, siendo 1947, estos eran los primeros días de la computación digital, y no todas las computadoras funcionaban con válvulas o tubos todavía, porque los tubos todavía eran muy caros, funcionaban muy calientes y requerían mucha electricidad.
Entonces, esta computadora, aunque podía hacer trigonometría y esas cosas, en realidad estaba basada en relés: interruptores electromecánicos, no interruptores electrónicos puros.
Es sorprendente que incluso a fines de la década de 1940, las computadoras basadas en relés todavía existieran... aunque no lo serían por mucho tiempo.
DOUG. Bueno, Paul, digamos sobre el tema de las cosas desordenadas y los errores.
Una cosa desordenada que está molestando a la gente es la cuestión de esta cosa de TikTok.
Hay infracciones y hay infracciones... ¿es esto realmente una infracción?
PATO. Como dices, Douglas, esto se ha vuelto un lío...
Porque fue una gran historia durante el fin de semana, ¿no?
“Incumplimiento de TikTok: ¿qué fue realmente?”
A primera vista, suena como, "Guau, 2 mil millones de registros de datos, 1 mil millones de usuarios comprometidos, los piratas informáticos se han metido", y demás.
Ahora, varias personas que se ocupan de las filtraciones de datos con regularidad, en particular Troy Hunt de He sido promovido, han tomado instantáneas de muestra de los datos que se supone que han sido "robados" y han ido a buscarlos.
Y el consenso parece respaldar exactamente lo que ha dicho TikTok, a saber, que estos datos son públicos de todos modos.
Entonces, lo que parece ser es una colección de datos, digamos una lista gigante de videos... que supongo que TikTok probablemente no querría que solo pudieras descargar por ti mismo, porque querrían que pasaras por la plataforma. y usar sus enlaces, y ver su publicidad para poder monetizar las cosas.
Pero ninguno de los datos, ninguna de las cosas en las listas parece haber sido confidencial o privada para los usuarios afectados.
Cuando Troy Hunt fue a buscar y eligió un video al azar, por ejemplo, ese video aparecía bajo el nombre de ese usuario como público.
Y los datos sobre el video en la "violación" tampoco decían: "Ah, y por cierto, aquí está la identificación de TikTok del cliente; aquí está su hash de contraseña; aquí está la dirección de su casa; aquí hay una lista de videos privados que aún no han publicado”, y así sucesivamente.
DOUG. Bien, entonces, si soy un usuario de TikTok, ¿hay alguna advertencia aquí?
¿Necesito hacer algo?
¿Cómo me afecta esto como usuario?
PATO. Esa es la cosa. Doug: supongo que muchos de los artículos escritos sobre esto han estado desesperados por encontrar algún tipo de conclusión.
¿Qué se puede hacer?
Entonces, la pregunta candente que la gente ha estado haciendo es: “Bueno, ¿debería cambiar mi contraseña? ¿Debería activar la autenticación de dos factores?”… todas las cosas habituales que escuchas.
Parece, en este caso, que no hay una necesidad específica de cambiar su contraseña.
No hay ninguna sugerencia de que los hashes de contraseñas hayan sido robados y ahora puedan ser descifrados por millones de mineros de bitcoin fuera de servicio [RISAS] o algo por el estilo.
No hay ninguna sugerencia de que las cuentas de usuario puedan ser más fáciles de orientar como resultado de esto.
Por otro lado, si tienes ganas de cambiar tu contraseña… también puedes hacerlo.
La recomendación general en estos días es cambiar su contraseña de forma rutinaria, regular y frecuente *en un horario* (como, "Una vez al mes, cambie su contraseña por si acaso") es una mala idea porque [VOZ ROBÓTICA] - simplemente - lo atrapa. – en – un – hábito – repetitivo que realmente no mejora las cosas.
Como sabemos lo que hace la gente, simplemente escriben: -01, -02, 03 al final de la contraseña.
Por lo tanto, no creo que tengas que cambiar tu contraseña, aunque si decides hacerlo, bien por ti.
Mi propia opinión es que, en este caso, tener o no activada la autenticación de dos factores no habría supuesto ninguna diferencia.
Por otro lado, si este es un incidente que finalmente te convence de que 2FA tiene un lugar en alguna parte de tu vida...
…entonces tal vez, Douglas, ¡ese es un lado positivo!
DOUG. Excelente.
Así que estaremos atentos a eso.
Pero parece que no es mucho lo que los usuarios habituales podrían haber hecho al respecto...
PATO. Excepto que tal vez haya una cosa que podamos aprender, o al menos recordárnosla.
DOUG. Creo que sé lo que viene. [RISAS]
¿Rima?
PATO. Podría funcionar, Douglas. [RISAS]
Maldita sea, soy tan transparente. [REÍR]
Sea consciente/Antes de compartir.
Una vez que algo es público, *realmente es público*, y es tan simple como eso.
DOUG. Ok muy bien.
Infórmate antes de compartir.
Avanzando, la comunidad de seguridad perdió a un pionero en Peter Eckersley, quien falleció a los 43 años.
Fue el co-creador de Let's Encrypt.
Entonces, cuéntenos un poco sobre Let's Encrypt y El legado de Eckersley, si tú pudieras.
PATO. Bueno, hizo un montón de cosas en su desafortunadamente corta vida, Doug.
No solemos escribir obituarios sobre Naked Security, pero este es uno de los que sentimos que teníamos que hacerlo.
Porque, como dices, Peter Eckersley, entre todas las otras cosas que hizo, fue uno de los cofundadores de Let's Encrypt, el proyecto que se propuso hacerlo barato (¡es decir, gratis!), pero, sobre todo, confiable y fácil de obtener certificados HTTPS para su sitio web.
Y debido a que usamos los certificados Let's Encrypt en los sitios de blog Naked Security y Sophos News, sentí que le debíamos al menos una mención por ese buen trabajo.
Porque cualquiera que haya manejado un sitio web sabrá que, si retrocede unos años, obtener un certificado HTTPS, un certificado TLS, que le permite poner el candado en los navegadores web de sus visitantes, no solo cuesta dinero, que los usuarios domésticos, los aficionados , las organizaciones benéficas, las pequeñas empresas, los clubes deportivos no podían pagar fácilmente... era una *verdadera molestia*.
Había todo este procedimiento por el que tenías que pasar; estaba muy lleno de jerga y cosas técnicas; y cada año había que volver a hacerlo, porque obviamente caducan… es como un control de seguridad de un coche.
Tienes que realizar el ejercicio y demostrar que todavía eres la persona que puede modificar el dominio que afirmas controlar, y así sucesivamente.
Y Let's Encrypt no solo pudo hacerlo de forma gratuita, sino que también pudo automatizar el proceso... y trimestralmente, lo que también significa que los certificados pueden caducar más rápido en caso de que algo salga mal.
Pudieron generar confianza lo suficientemente rápido como para que los principales navegadores pronto dijeran: "¿Sabes qué? Vamos a confiar en Let's Encrypt para garantizar los certificados web de otras personas, lo que se llama un CA raízo autoridad certificadora.
Entonces, su navegador confía en Let's Encrypt por defecto.
Y realmente, es la unión de todas esas cosas lo que para mí fue la majestuosidad del proyecto.
No era solo que fuera gratis; no era solo que fuera fácil; no fue solo que los fabricantes de navegadores (que son notoriamente difíciles de persuadir para que confíen en usted en primer lugar) decidieran: "Sí, confiamos en ellos".
Fueron todas esas cosas juntas las que marcaron una gran diferencia y ayudaron a obtener HTTPS en casi todas partes en Internet.
Es solo una forma de agregar un poco de seguridad extra a la navegación que hacemos...
…no tanto por el cifrado, como le recordamos a la gente, sino por el hecho de que [A] tienes una gran posibilidad de que realmente te hayas conectado a un sitio que está siendo manipulado por la persona que se supone que lo está manipulando, y que [B] cuando el contenido regresa, o cuando le envías una solicitud, no se puede manipular fácilmente en el camino.
Hasta Let's Encrypt, con cualquier sitio web solo HTTP, casi cualquier persona en la ruta de la red podía espiar lo que estaba viendo.
Peor aún, podrían modificarlo, ya sea lo que estabas enviando o lo que estabas recibiendo, y *simplemente no podrías decir* que estabas descargando malware en lugar del verdadero, o que estabas leyendo noticias falsas en lugar de las reales. historia real.
DOUG. Muy bien, creo que es apropiado terminar con un gran comentario de uno de nuestros lectores, Samantha, quien parece haber conocido al Sr. Eckersley.
Ella dice:
“Si hay algo que siempre recuerdo de mis interacciones con Pete, fue su dedicación a la ciencia y al método científico. Hacer preguntas es la esencia misma de ser un científico. Siempre apreciaré a Pete y sus preguntas. Para mí, Pete era un hombre que valoraba la comunicación y el intercambio libre y abierto de ideas entre personas curiosas”.
Bien dicho, Samantha, gracias.
PATO. ¡Sí!
Y en lugar de decir RIP [abreviatura de Descanse en paz], creo que diré CIP: Código en paz.
DOUG. ¡Muy bueno!
Muy bien, bueno, hablamos la semana pasada sobre una gran cantidad de parches de Chrome, y luego apareció uno más.
Y este era un importante uno…
PATO. De hecho lo fue, Doug.
Y debido a que se aplicaba al núcleo de Chromium, también se aplicaba a Microsoft Edge.
Entonces, apenas la semana pasada, hablábamos de esos... qué eran, 24 agujeros de seguridad.
Uno era crítico, ocho o nueve eran altos.
Hay todo tipo de errores de mala gestión de la memoria, pero ninguno de ellos era de día cero.
Y entonces estábamos hablando de eso, diciendo: “Mira, esto es un problema pequeño desde el punto de vista del día cero, pero es un gran problema desde el punto de vista del parche de seguridad. Adelántate: no te demores, hazlo hoy.”
(Lo siento, rimaba de nuevo, Doug.)
Esta vez, se trata de otra actualización que salió solo un par de días después, tanto para Chrome como para Edge.
Esta vez, solo se solucionó un agujero de seguridad.
No sabemos muy bien si se trata de una elevación de privilegios o de una ejecución remota de código, pero suena serio y es un día cero con un exploit conocido que ya está en la naturaleza.
Supongo que la buena noticia es que tanto Google como Microsoft, y otros fabricantes de navegadores, pudieron aplicar este parche y sacarlo muy, muy rápido.
No estamos hablando de meses o semanas… solo un par de días para un día cero conocido que obviamente se encontró después de que salió la última actualización, que fue solo la semana pasada.
Entonces esa es la buena noticia.
La mala noticia es, por supuesto, que esto es un día 0: los ladrones están en eso; ya lo están usando.
Google ha sido un poco tímido sobre "cómo y por qué"... eso sugiere que hay alguna investigación en curso en el fondo que quizás no quieran poner en peligro.
Entonces, una vez más, esta es una situación de "parche temprano, parche a menudo": no puede dejar esta.
Si parcheó la semana pasada, entonces necesita hacerlo de nuevo.
La buena noticia es que Chrome, Edge y la mayoría de los navegadores actuales deberían actualizarse solos.
Pero, como siempre, vale la pena comprobarlo, porque ¿qué sucede si depende de la actualización automática y, solo por esta vez, no funcionó?
¿No serían 30 segundos de su tiempo bien invertidos para verificar que efectivamente tiene la última versión?
Tenemos todos los números de versión relevantes y los consejos [sobre Naked Security] sobre dónde hacer clic para Chrome y Edge para asegurarnos de que tiene la última versión de esos navegadores.
DOUG. Y noticias de última hora para cualquiera que lleve la cuenta...
Acabo de comprobar mi versión de Microsoft Edge y es la versión correcta y actualizada, por lo que se actualizó solo.
OK, por último, pero ciertamente no menos importante, tenemos un raro pero actualización urgente de Apple para iOS 12, que todos pensamos que estaba hecho y desempolvado.
PATO. Sí, como escribí en las primeras cinco palabras del artículo sobre Naked Security, “¡Bueno, no esperábamos esto!”
Me permití un signo de exclamación, Doug, [RISAS] porque me sorprendió...
Los oyentes habituales del podcast sabrán que mi querido iPhone 6 Plus, si es viejo pero antes prístino, sufrió un accidente de bicicleta.
La bicicleta sobrevivió; Me volvió a crecer toda la piel que necesitaba [RISAS]… pero la pantalla de mi iPhone todavía está en cien mil billones de trillones de pedazos. (Todos los bits que van a salir en mi dedo, creo que ya lo han hecho).
Así que pensé... iOS 12, ha pasado un año desde que tuve la última actualización, por lo que obviamente está completamente fuera del radar de Apple.
No obtendrá ninguna otra solución de seguridad.
Pensé: "Bueno, la pantalla no se puede volver a romper, así que es un gran teléfono de emergencia cuando estoy de viaje"... si voy a algún lado, si necesito hacer una llamada o mirar el mapa. (No voy a hacer correo electrónico ni nada relacionado con el trabajo).
¡Y he aquí que se actualizó, Doug!
De repente, casi un año después del anterior… Creo que el 23 de septiembre de 2021 fue el última actualización Yo Tuve.
De repente, Apple ha lanzado esta actualización.
Se relaciona con el parches anteriores de la que hablamos, donde hicieron la actualización de emergencia para iPhones y iPads contemporáneos, y todas las versiones de macOS.
Allí, estaban parcheando un error de WebKit y un error del kernel: ambos de día cero; ambos se utilizan en la naturaleza.
(¿Te huele a spyware? ¡A mí me huele!)
El error de WebKit significa que puede visitar un sitio web o abrir un documento, y se hará cargo de la aplicación.
Luego, el error del kernel significa que colocas tu aguja de tejer directamente en el sistema operativo y básicamente perforas un agujero en el tan cacareado sistema de seguridad de Apple.
Pero no hubo una actualización para iOS 12 y, como dijimos la última vez, quién sabía si eso se debía a que iOS 12 era invulnerable o si Apple realmente no iba a hacer nada al respecto porque se cayó. el borde del planeta hace un año?
Bueno, parece que no se cayó del todo del borde del planeta, o ha estado tambaleándose al borde... y *era* vulnerable.
Buenas noticias... el error del kernel del que hablamos la última vez, lo que permitiría que alguien básicamente se hiciera cargo de todo el iPhone o iPad, no se aplica a iOS 12.
Pero ese error de WebKit, que recuerde, afecta *cualquier* navegador, no solo Safari, y cualquier aplicación que realice cualquier tipo de representación relacionada con la web, incluso si es solo en su Sobre pantalla…
…ese error *existía* en iOS 12 y, obviamente, Apple se sentía muy convencido al respecto.
Entonces, ahí lo tiene: si tiene un iPhone antiguo y todavía está en iOS 12 porque no puede actualizarlo a iOS 15, entonces debe ir y obtener esto.
porque este es el Error de WebKit de lo que hablamos la última vez: se ha utilizado en la naturaleza.
Apple parchea el doble día cero en el navegador y el kernel: ¡actualice ahora!
Y el hecho de que Apple haya hecho todo lo posible para respaldar lo que parecía ser una versión del sistema operativo más allá del final de su vida útil sugiere, o al menos lo invita a inferir, que se descubrió que se usó de manera nefasta para todo tipo de cosas malas.
Entonces, tal vez solo un par de personas fueron atacadas ... pero incluso si ese es el caso, ¡no te dejes ser la tercera persona!
DOUG. Y tomando prestada una de tus frases que riman:
No se demore/Hágalo hoy.
[RISAS] ¿Qué tal eso?
PATO. Doug, sabía que ibas a decir eso.
DOUG. ¡Me estoy dando cuenta!
Y a medida que el sol comienza a ponerse lentamente en nuestro programa de hoy, nos gustaría escuchar a uno de nuestros lectores sobre la historia del día cero de Apple.
El lector Bryan comenta:
“El icono de configuración de Apple siempre se ha parecido a una rueda dentada de bicicleta en mi mente. Como ciclista ávido, usuario de dispositivos Apple, ¿espero que te guste eso?
Eso está dirigido a ti, Paul.
¿Te gusta eso?
¿Crees que se parece a una rueda dentada de bicicleta?
PATO. No me importa, porque es muy reconocible, digamos si quiero ir a Ajustes > General > Actualización de software.
(Pista, pista: así es como buscas actualizaciones en iOS).
El ícono es muy distintivo y es fácil de presionar, así que sé a dónde voy.
Pero no, nunca lo he asociado con el ciclismo porque si fueran platos delanteros en una bicicleta con cambios, simplemente estarían todos equivocados.
No están conectados correctamente.
No hay forma de ponerles poder.
Hay dos ruedas dentadas, pero tienen dientes de diferentes tamaños.
Si piensa en cómo funcionan los engranajes en los engranajes de bicicleta tipo jumpy-gear (desviadores, como se los conoce), solo tiene una cadena, y la cadena tiene un espacio específico, o paso como se le llama.
Así que todos los piñones o ruedas dentadas (técnicamente, no son ruedas dentadas, porque las ruedas dentadas impulsan ruedas dentadas y las cadenas conducen ruedas dentadas)... todas las ruedas dentadas deben tener dientes del mismo tamaño o paso, de lo contrario, ¡la cadena no encajará!
Y esos dientes son muy puntiagudos. doug
Alguien en los comentarios dijo que pensaba que les recordaba algo relacionado con un mecanismo de relojería, como un escape o algún tipo de engranaje dentro de un reloj.
Pero estoy bastante seguro de que los relojeros dirían: "No, no moldearíamos los dientes de esa manera", porque usan formas muy distintivas para aumentar la confiabilidad y la precisión.
Así que estoy muy contento con ese ícono de Apple, pero no, no me recuerda a andar en bicicleta.
El ícono de Android, irónicamente…
… y pensé en ti cuando pensé en esto, Doug [RISA], y pensé: “Oh, caramba, nunca escucharé el final de esto. Si lo menciono”…
..eso parece un piñón trasero en una bicicleta (y sé que no es un piñón, es una rueda dentada, porque los piñones mueven piñones, y las cadenas mueven piñones, pero por alguna razón los llamas piñones cuando son pequeños en el fondo trasera de una bicicleta).
Pero solo tiene seis dientes.
El piñón trasero de bicicleta más pequeño del que puedo encontrar mención es de nueve dientes, eso es muy pequeño, una curva muy cerrada y solo en usos especiales.
A los chicos de BMX les gustan porque cuanto más pequeño es el engranaje, es menos probable que golpee el suelo cuando estás haciendo trucos.
Entonces… eso tiene muy poco que ver con la ciberseguridad, pero es una visión fascinante de lo que creo que se conoce en estos días no como “la interfaz de usuario”, sino como “la experiencia del usuario”.
DOUG. Muy bien, muchas gracias, Bryan, por comentar.
Si tiene una historia interesante, un comentario o una pregunta que le gustaría enviar, nos encantaría leerlo en el podcast.
Puede enviar un correo electrónico a tips@sophos.com, puede comentar cualquiera de nuestros artículos o puede contactarnos en las redes sociales: @Naked Security.
Ese es nuestro programa de hoy, muchas gracias por escuchar.
Para Paul Ducklin, soy Doug Aamoth, les recuerdo hasta la próxima para...
AMBAS COSAS. ¡Mantente seguro!
[MÓDEM MUSICAL]
- blockchain
- Coingenius
- carteras de criptomonedas
- intercambio crypto
- seguridad cibernética
- ciberdelincuentes
- La Ciberseguridad
- departamento de seguridad nacional
- billeteras digitales
- Eckersley
- cortafuegos
- Kaspersky
- Vamos a encriptar
- el malware
- Mcafee
- Seguridad desnuda
- Podcast de seguridad desnuda
- NexBLOC
- Peter
- Platón
- platón ai
- Inteligencia de datos de Platón
- Juego de Platón
- PlatónDatos
- juego de platos
- Podcast
- Tik Tok
- VPN
- seguridad del sitio web
- zephyrnet
