KUTSE KOHE
Koos Doug Aamothi ja Paul Duckliniga.
Intro ja outro muusika autor Edith Mudge.
Klõpsake ja lohistage allolevatel helilainetel mis tahes punkti hüppamiseks. Sa saad ka kuula otse Soundcloudis.
Saate meid kuulata Soundcloud, Apple Podcastid, Google Podcastid, Spotify, Stitcher ja kõikjal, kus leidub häid taskuhäälingusaateid. Või lihtsalt loobuge Meie RSS-kanali URL oma lemmik taskupüüdjasse.
LUGEGE TRAKTI
DOUG. Nullpäevad, rohkem nullpäevad, TikTok ja kurb päev turvakogukonna jaoks.
Kõik see ja palju muud, Naked Security taskuhäälingusaates.
[MUUSIKAMODEEM]
Tere tulemast Naked Security taskuhäälingusaatesse, kõik.
Mina olen Doug Aamoth.
Minuga, nagu alati, on Paul Ducklin.
Paul, kuidas sul täna läheb?
PART. Mul läheb väga-väga hästi, aitäh, Douglas!
DOUG. Alustame saadet oma tehnikaajaloo segmendiga.
Mul on hea meel teile öelda: sel nädalal, 09. septembril 1947, leiti Harvardi ülikooli Mark II arvutist päriselus koi.
Ja kuigi arvatakse, et tehniliste tõrgete tähistamiseks kasutati mõistet "viga" juba aastaid ja aastaid varem, arvatakse, et see juhtum viis praegu üldlevinud "silumiseni".
Miks?
Kuna kui koi Mark II-lt eemaldati, lindistati see inseneripäevikusse ja märgiti "Esimene juhtum, kus leiti tegelik viga."
Ma armastan seda lugu!
PART. Nii ka mina!
Ma arvan, et esimene tõend, mida ma selle termini kohta näinud olen, oli ei keegi muu kui Thomas Edison – ma arvan, et ta kasutas terminit "vead".
Aga loomulikult oli see 1947. aasta digitaalse andmetöötluse algusaeg ja kõik arvutid ei töötanud veel ventiilide või torudega, sest torud olid endiselt väga kallid, läksid väga kuumaks ja nõudsid palju elektrit.
Niisiis, see arvuti, kuigi sellega sai teha trigonomeetriat ja muud, põhines tegelikult releedel – elektromehaanilistel lülititel, mitte puhtalt elektroonilistel lülititel.
Üsna hämmastav, et isegi 1940. aastate lõpul olid releepõhised arvutid endiselt asjaks... kuigi need ei olnud kauaks asjaks.
DOUG. Noh, Paul, ütleme segaste asjade ja putukate teemal.
Üks räpane asi, mis inimesi häirib, on selle TikToki asja küsimus.
On rikkumisi ja on rikkumisi… kas see on tegelikult rikkumine?
PART. Nagu te ütlete, Douglas, on see muutunud segaseks ...
Sest see oli nädalavahetusel tohutu lugu, kas pole?
"TikToki rikkumine – mis see tegelikult oli?"
Esmapilgul kõlab see nii: "Vau, 2 miljardit andmekirjet, 1 miljard kasutajat on ohustatud, häkkerid on sisse pääsenud" ja mida kõike veel.
Nüüd on mitu inimest, kes tegelevad regulaarselt andmete rikkumistega, sealhulgas Troy Hunt of Kas ma olen paindunud?, on teinud näidisvõtteid andmetest, mis väidetavalt on „varastatud”, ja asunud neid otsima.
Ja konsensus näib toetavat just seda, mida TikTok on öelnud, nimelt et need andmed on niikuinii avalikud.
Nii et see näib olevat andmete kogum, näiteks hiiglaslik videote loend… mida TikTok ilmselt ei sooviks, et saaksite lihtsalt ise alla laadida, sest nad tahaksid, et te platvormi läbi teeksite. ja kasutada nende linke ja vaadata nende reklaame, et nad saaksid kraami raha teenida.
Kuid ükski andmetest ega loendis olevatest asjadest ei tundu olevat olnud mõjutatud kasutajatele konfidentsiaalne ega privaatne.
Kui Troy Hunt otsis ja valis näiteks mõne juhusliku video, ilmus see video selle kasutaja nime all avalikuna.
Ja "rikkumise" video andmed ei öelnud ka: "Oh, ja muide, siin on kliendi TikToki ID; siin on nende parooliräsi; siin on nende kodune aadress; siin on nimekiri privaatsetest videotest, mida nad pole veel avaldanud” ja nii edasi.
DOUG. OK, kui ma olen TikToki kasutaja, kas siin on hoiatav lugu?
Kas ma pean midagi tegema?
Kuidas see mind kasutajana mõjutab?
PART. See on lihtsalt asi. Doug – Ma arvan, et paljud selle kohta kirjutatud artiklid on meeleheitlikult otsinud mingit järeldust.
Mida sa teha saad?
Niisiis, põletav küsimus, mida inimesed on küsinud, on: "Kas ma peaksin oma parooli muutma? Kas ma peaksin kahefaktorilise autentimise sisse lülitama?”… kõik tavalised asjad, mida kuulete.
Sel juhul tundub, et parooli muutmiseks pole erilist vajadust.
Pole mingit vihjet sellele, et parooliräsid oleks varastatud ja nüüd võivad miljoneid bitcoini kaevandajaid murda [NAERAB] või midagi sellist.
Pole mingit vihjet, et kasutajakontosid võib selle tulemusel lihtsam sihtida.
Teisest küljest, kui soovite oma parooli muuta, võiksite seda ka teha.
Tänapäeva üldine soovitus on rutiinne ja korrapärane ning sage parooli muutmine *graafiku alusel* (näiteks "vahetage igaks juhuks parooli kord kuus") on halb mõte, sest [ROBOOTI HÄÄL] see – lihtsalt – saab – teie. – – – korduvaks – harjumuseks, mis asja tegelikult ei paranda.
Kuna me teame, mida inimesed teevad, lähevad nad parooli lõppu lihtsalt: -01, -02, 03.
Nii et ma arvan, et te ei pea oma parooli muutma, kuid kui otsustate seda teha, on hea.
Minu enda arvamus on, et antud juhul poleks sellel, kas kahefaktoriline autentimine oleks sisse lülitatud või mitte, mingit vahet olnud.
Teisest küljest, kui see on juhtum, mis lõpuks veenab teid, et 2FA-l on teie elus kusagil koht ...
...siis võib-olla, Douglas, see on hõbedane vooder!
DOUG. Hea.
Nii et me hoiame sellel silma peal.
Kuid tundub, et tavakasutajad poleks saanud sellega palju hakkama saada…
PART. Välja arvatud võib-olla on üks asi, mida saame õppida või vähemalt endale sellest meelde tuletada.
DOUG. Ma arvan, et tean, mis tulemas on. [NAERAB]
Kas see riimib?
PART. Võib juhtuda, Douglas. [NAERAB]
Kurat, ma olen nii läbipaistev. [NAERAB]
Olge teadlik/enne kui jagate.
Kui miski on avalik, on see *tõesti avalik* ja nii lihtne see ongi.
DOUG. Okei väga hea.
Olge enne jagamist teadlik.
Edasi liikudes kaotas turvaringkond Peter Eckersleys pioneeri, kes suri 43-aastaselt.
Ta oli Let's Encrypti kaaslooja.
Niisiis, rääkige meile natuke Let's Encrypt ja Eckersley pärand, kui tahaksid.
PART. Noh, ta tegi oma kahjuks lühikese elu jooksul palju asju, Doug.
Me ei kirjuta sageli alasti turvalisuse kohta järelehüüdeid, kuid see on üks neist, mida me arvasime, et peame seda tegema.
Sest nagu te ütlete, oli Peter Eckersley kõigi muude tegemiste kõrval üks Let's Encrypti kaasasutajatest, projektist, mille eesmärk oli muuta see odavaks (st tasuta!), kuid mis kõige tähtsam, usaldusväärne ja lihtne hankida oma veebisaidi jaoks HTTPS-sertifikaate.
Ja kuna me kasutame Naked Security ja Sophos Newsi ajaveebi saitidel Let's Encrypt sertifikaate, tundsin, et võlgneme talle selle hea töö eest vähemalt mainimise.
Sest igaüks, kes on kunagi veebisaiti haldanud, teab, et kui lähete mõne aasta pärast tagasi, saate HTTPS-i sertifikaadi, TLS-i sertifikaadi, mis võimaldab teil külastajate veebibrauseritesse tabaluku panna, mitte ainult raha, mis kodukasutajatele ja harrastajatele. , heategevusorganisatsioonid, väikeettevõtted, spordiklubid ei saanud endale lihtsalt lubada... see oli *tõeline vaev*.
Seal oli kogu see protseduur, mida sa pidid läbima; see oli väga täis žargooni ja tehnilist kraami; ja igal aastal pidid seda uuesti tegema, sest ilmselgelt need aeguvad... see on nagu auto ohutuskontroll.
Peate harjutuse läbima ja tõestama, et olete ikka see inimene, kes suudab muuta domeeni, mida te väidetavalt kontrollite jne.
Ja Let's Encrypt ei saanud seda mitte ainult tasuta teha, vaid suutsid seda teha nii, et protsessi saaks automatiseerida… ja kord kvartalis, mis tähendab ka, et sertifikaadid võivad kiiremini aeguda, kui midagi läheb valesti.
Nad suutsid usaldust luua piisavalt kiiresti, et suuremad brauserid ütlesid peagi: "Teate mida, me usaldame Let's Encrypt'i, et garanteerida teiste inimeste veebisertifikaate – seda nimetatakse juur CAvõi sertifitseerimisasutus.
Seejärel usaldab teie brauser vaikimisi Let's Encrypt.
Ja tõesti, see on kõik need asjad, mis minu jaoks olid selle projekti suursugusus.
Asi polnud mitte ainult selles, et see oli tasuta; see polnud lihtsalt lihtne; Asi polnud mitte ainult selles, et brauseritootjad (keda on kurikuulsalt raske veenda teid kõigepealt usaldama) otsustasid: "Jah, me usaldame neid."
Kõik need asjad kokku pannes tegid suure erinevuse ja aitasid HTTPS-i saada peaaegu kõikjal Internetis.
See on lihtsalt viis meie sirvimisele lisaturvalisuse lisamiseks…
…mitte niivõrd krüptimise pärast, kui me inimestele pidevalt meelde tuletame, vaid asjaolu pärast, et [A] teil on võimalus, et olete tõesti loonud ühenduse saidiga, mida manipuleerib inimene, kes peaks sellega manipuleerima, ja et [B], kui sisu tuleb tagasi või kui saadate sellele päringu, ei saa seda hõlpsalt rikkuda.
Kuni Let's Encrypt, mis tahes ainult HTTP-põhise veebisaidiga võis peaaegu igaüks võrguteel luurata seda, mida te vaatate.
Mis veelgi hullem, nad võisid seda muuta – kas seda, mida te saadate või mida te tagasi saate – ja te *lihtsalt ei saanud aru*, et laadisite alla pahavara, mitte reaalse tehingu või lugesite võltsuudiseid. päris lugu.
DOUG. Hea küll, ma arvan, et sobib lõpetada suurepärasega kommentaar ühelt meie lugejalt, Samantha, kes näib tundvat härra Eckersleyt.
Ta ütleb:
"Kui on midagi, mida ma oma suhtlemisest Petega alati mäletan, oli see tema pühendumus teadusele ja teaduslikule meetodile. Küsimuste esitamine on teadlaseks olemise põhiolemus. Ma hindan Pete'i ja tema küsimusi alati kalliks. Minu jaoks oli Pete mees, kes hindas suhtlemist ning vaba ja avatud mõttevahetust uudishimulike inimeste vahel.
Hästi öeldud, Samantha – aitäh.
PART. Jah!
Ja selle asemel, et öelda RIP [lühend sõnast Rest In Peace], ütlen ma vist CIP: Code in Peace.
DOUG. Väga hea!
Hea küll, me rääkisime eelmisel nädalal paljudest Chrome'i paikadest ja siis avanes veel üks.
Ja see üks oli oluline üks…
PART. See oli tõesti, Doug.
Ja kuna see kehtis Chromiumi tuumale, kehtis see ka Microsoft Edge'ile.
Nii et just eelmisel nädalal rääkisime neist... mis see oli, 24 turvaaugust.
Üks oli kriitiline, kaheksa või üheksa olid kõrged.
Seal on igasuguseid mälu haldamise vigu, kuid ükski neist ei olnud nullpäevane.
Ja nii me rääkisime sellest, öeldes: "Vaata, see on nullpäeva vaatevinklist väike tehing, kuid turvapaiga seisukohast on see suur asi. Minge edasi: ärge viivitage, tehke seda juba täna.
(Vabandust – ma riimisin uuesti, Doug.)
Seekord on see järjekordne värskendus, mis ilmus vaid paar päeva hiljem nii Chrome'i kui ka Edge'i jaoks.
Seekord on parandatud ainult üks turvaauk.
Me ei tea päris täpselt, kas see on privileegide tõstmine või koodi kaugkäivitamine, kuid see kõlab tõsiselt ja see on nullpäev, mille ärakasutamine on teadaolevalt juba looduses.
Ma arvan, et suurepärane uudis on see, et nii Google kui ka Microsoft ja teised brauseritootjad suutsid selle plaastri rakendada ja selle väga-väga kiiresti välja saada.
Me ei räägi kuudest või nädalatest... vaid paar päeva teadaolevaks nullpäevaks, mis ilmselt leiti pärast viimase värskenduse ilmumist, mis oli alles eelmisel nädalal.
Nii et see on hea uudis.
Halb uudis on muidugi see, et see on 0-päev – kelmid on peal; nad juba kasutavad seda.
Google on olnud veidi äge teemal "kuidas ja miks"... mis viitab sellele, et taustal on käimas mingi uurimine, mida nad ei pruugi tahta ohtu seada.
Nii et taaskord on tegemist „Pach varakult, lappi sageli” olukord – te ei saa seda lihtsalt jätta.
Kui lappisite eelmisel nädalal, peate seda uuesti tegema.
Hea uudis on see, et Chrome, Edge ja enamik tänapäeval kasutatavaid brausereid peaksid end värskendama.
Kuid nagu alati, tasub kontrollida, sest mis siis, kui tuginete automaatsele värskendusele ja see kord ei tööta?
Kas see poleks 30 sekundit teie ajast kulutatud selleks, et kontrollida, kas teil on tõesti uusim versioon?
Meil on kõik asjakohased versiooninumbrid ja nõuanded [Alasti turvalisuse kohta] selle kohta, kus Chrome'i ja Edge'i jaoks klõpsata, et veenduda, et teil on nende brauserite uusim versioon.
DOUG. Ja uudised kõigile, kes hoiavad skoori…
Kontrollisin just oma Microsoft Edge'i versiooni ja see on õige ja ajakohane versioon, nii et see värskendas ennast.
OK, viimane, kuid kindlasti mitte vähem oluline, meil on haruldane, kuid kiireloomuline Apple'i värskendus iOS 12 jaoks, mida me kõik arvasime olevat tehtud ja tolmust puhastatud.
PART. Jah, nagu ma kirjutasin alasti turvalisust käsitleva artikli esimese viie sõnaga: "Noh, me ei oodanud seda!"
Lubasin endale hüüumärgi, Doug, [NAER], sest olin üllatunud…
Podcasti regulaarsed kuulajad teavad, et mu armastatud, kui vana, kuid kunagine puutumatu iPhone 6 Plus sai jalgrattaõnnetuse.
Jalgratas jäi ellu; Kasvatasin tagasi kogu naha, mida vajasin [NAER]… aga minu iPhone'i ekraan on ikka veel sada tuhat miljonit miljardit triljonit tükki. (Ma arvan, et kõik osad, mis mu sõrmest välja tulevad, on seda juba teinud.)
Nii et ma arvasin… iOS 12, viimasest värskendusest on möödunud aasta, nii et ilmselgelt on see Apple'i radarilt täiesti väljas.
See ei saa muid turvaparandusi.
Mõtlesin: "Noh, ekraan ei saa uuesti puruks minna, nii et see on suurepärane hädaabitelefon, mida võtta, kui olen teel" ... kui ma lähen kuhugi, kui mul on vaja helistada või vaadata kaart. (Ma ei hakka sellega e-kirju ega mingeid tööga seotud asju tegema.)
Ja ennäe, see sai värskenduse, Doug!
Järsku, peaaegu aasta pärast eelmist… Ma arvan, et 23. september 2021 oli viimane uuendus Mul oli.
Järsku on Apple selle värskenduse välja pannud.
See on seotud eelmised plaastrid millest me rääkisime, kus nad tegid hädaolukorra värskenduse kaasaegsetele iPhone'idele ja iPadidele ning kõikidele macOS-i versioonidele.
Seal parandasid nad WebKiti viga ja kerneli viga: mõlemad null päeva; mõlemat kasutatakse looduses.
(Kas see lõhnab teie jaoks nuhkvara järele? Minu jaoks lõhnas!)
WebKiti viga tähendab, et võite külastada veebisaiti või avada dokumendi ja see võtab rakenduse üle.
Seejärel tähendab kerneli viga, et sisestate kudumisvarda otse operatsioonisüsteemi ja põhimõtteliselt lõite augu Apple'i hästi kiidetud turvasüsteemi.
Kuid iOS 12 jaoks värskendust ei tehtud ja, nagu me eelmisel korral ütlesime, kes teadis, kas see oli sellepärast, et iOS 12 oli lihtsalt haavamatu või et Apple ei kavatsenud sellega midagi ette võtta, kuna see kukkus ära. planeedi äär aasta tagasi?
Tundub, et see ei kukkunud päris planeedi servalt maha või on see veerenud... ja *oli* haavatav.
Hea uudis… kerneli viga, millest me eelmisel korral rääkisime, asi, mis laseb kellelgi sisuliselt kogu iPhone'i või iPadi üle võtta, ei kehti iOS 12 puhul.
Kuid see WebKiti viga, mis mäletab, mõjutab *mis tahes* brauserit, mitte ainult Safarit, ja kõiki rakendusi, mis teevad mis tahes veebiga seotud renderdamist, isegi kui see on ainult MEIST ekraan…
…see viga * eksisteeris * iOS 12-s ja ilmselgelt tundis Apple seda tugevalt.
Niisiis, siin olete: kui teil on vanem iPhone ja see töötab endiselt iOS 12-s, kuna te ei saa seda iOS 15-le värskendada, peate selle hankima.
Sest see on WebKiti viga rääkisime viimati – seda on kasutatud looduses.
Apple parandab brauseris ja tuumas topeltnullpäeva – värskendage kohe!
Ja tõsiasi, et Apple on teinud kõik endast oleneva, et toetada operatsioonisüsteemi versiooni, mis tundus olevat lõppenud, viitab või vähemalt kutsub teid järeldama, et seda on avastatud ebaausal viisil igasuguseid ulakaid asju.
Nii et võib-olla said sihikule vaid paar inimest... aga isegi kui see nii on, ärge laske end kolmandaks isikuks olla!
DOUG. Ja ühe teie riimifraasi laenamiseks:
Ärge viivitage / tehke seda täna.
[NAERAB] Kuidas oleks sellega?
PART. Doug, ma teadsin, et sa kavatsed seda öelda.
DOUG. Saan aru!
Ja kuna päike hakkab meie tänases saates aeglaselt loojuma, tahaksime kuulda ühelt meie lugejalt Apple'i nullpäeva loo kohta.
Lugeja Bryan kommenteerib:
"Apple'i seadete ikoon on minu meelest alati meenutanud jalgratta ketiratast. Kuna olete innukas jalgrattur, Apple'i seadmete kasutaja, siis ma eeldan, et see teile meeldib?"
See on suunatud sulle, Paul.
Kas see meeldib sulle?
Kas sa arvad, et see näeb välja nagu jalgratta ketiratas?
PART. Mul pole selle vastu midagi, sest see on väga äratuntav, öelge, kui tahan sinna minna Seaded > Üldine > Tarkvara värskendus.
(Vihje, vihje: nii kontrollite iOS-i värskendusi.)
Ikoon on väga eriline ja seda on lihtne tabada, nii et tean, kuhu lähen.
Aga ei, ma pole seda kunagi rattasõiduga seostanud, sest kui need oleksid käigukastiga jalgratta eesmised ketirattad, siis on need kõik lihtsalt valed.
Need pole korralikult ühendatud.
Nendesse pole võimalik jõudu panna.
Ketirattaid on kaks, kuid neil on erineva suurusega hambad.
Kui arvate, kuidas käigud töötavad jumpy-gear tüüpi jalgratta käikudel (nimetatud käiguvahetajad), on teil ainult üks kett ja ketil on konkreetne vahe või samm, nagu seda nimetatakse.
Nii et kõik hammasrattad või ketirattad (tehniliselt pole need hammasrattad, sest hammasrattad ajavad hammasrattaid ja ketid ajavad ketirattaid)... kõigil ketiratastel peavad olema ühesuurused või sama sammuga hambad, muidu kett ei mahu!
Ja need hambad on väga teravad. Doug.
Keegi kommentaarides ütles, et nad arvasid, et see meenutab neile midagi kellamehhanismiga seonduvat, näiteks põgenemist või kella sees olevat hammasratast.
Kuid ma olen üsna kindel, et kellassepad ütlevad: "Ei, me ei kujundaks hambaid nii," sest nad kasutavad töökindluse ja täpsuse suurendamiseks väga eristavaid kujundeid.
Nii et ma olen selle Apple'i ikooniga üsna rahul, kuid ei, see ei meenuta mulle jalgrattasõitu.
Androidi ikoon, raudselt…
…ja ma mõtlesin sinule, kui sellele mõtlesin, Doug [NAER], ja mõtlesin: “Oh, kullake, ma ei kuule kunagi selle lõppu. Kui ma seda mainin "…
..see näeb välja nagu jalgratta tagumine hammasratas (ja ma tean, et see pole hammasratas, see on ketiratas, sest hammasrattad ajavad hammasrattaid ja ketid ajavad ketirattaid, aga millegipärast nimetate neid hammasratasteks, kui nad on väikesed. jalgratta taga).
Kuid sellel on ainult kuus hammast.
Väikseim tagumine jalgratta hammasratas, mida ma mainida võin, on üheksa hammast – see on väga pisike, väga tihe kurv ja ainult erikasutuses.
BMX-meestele need meeldivad, sest mida väiksem on hammasratas, seda väiksem on tõenäosus, et sa trikkide tegemisel vastu maad satuksid.
Niisiis… sellel on küberturvalisusega väga vähe pistmist, kuid see on põnev ülevaade sellest, mida minu arvates tänapäeval ei tunta mitte „kasutajaliidese“, vaid „kasutajakogemusena“.
DOUG. Olgu, tänan teid väga, Bryan, kommenteerimast.
Kui teil on huvitav lugu, kommentaar või küsimus, mille soovite esitada, loeksime seda hea meelega taskuhäälingusaates.
Võite saata e-posti aadressil tips@sophos.com, kommenteerida mõnda meie artiklit või anda meile suhtlusvõrgustik: @Naked Security.
See on meie tänane saade – suur tänu kuulamast.
Paul Ducklini jaoks olen mina Doug Aamoth, tuletan teile kuni järgmise korrani meelde, et…
MÕlemad. Ole turvaline!
[MUUSIKAMODEEM]
- blockchain
- coingenius
- krüptovaluuta rahakotid
- krüptovahetus
- küberturvalisus
- küberkurjategijad
- Küberturvalisus
- sisejulgeoleku osakond
- digitaalsed rahakotid
- Eckersley
- tulemüüri
- Kaspersky
- Võimaldab krüptida
- malware
- mcafee
- Alasti turvalisus
- Alasti turvalisuse taskuhääling
- NexBLOC
- Peter
- Platon
- plato ai
- Platoni andmete intelligentsus
- Platoni mäng
- PlatoData
- platogaming
- podcast
- Tik Tok
- VPN
- kodulehel turvalisus
- sephyrnet
