S3 Ep99: "התקפה" של TikTok - האם הייתה פרצת נתונים, או לא? [אודיו + טקסט]

לחץ וגרור על גלי הקול למטה כדי לדלג לכל נקודה. אתה יכול גם להקשיב ישירות בסאונדקלאוד.

DOUG.  אפס ימים, עוד אפס ימים, TikTok, ויום עצוב לקהילת האבטחה.

כל זאת ועוד, בפודקאסט הביטחון העירום.

[מודם מוזיקלי]

ברוכים הבאים לפודקאסט ה-Naked Security, כולם.

אני דאג אמות'.

איתי, כמו תמיד, פול דאקלין.

פול, מה שלומך היום?

---

ברווז.  אני מסתדר מאוד מאוד טוב, תודה לך, דאגלס!

---

DOUG.  ובכן, בואו נתחיל את המופע עם קטע ההיסטוריה הטכנולוגית שלנו.

אני שמח לספר לכם: השבוע, ב-09 בספטמבר 1947, נמצא עש אמיתי בתוך המחשב Mark II של אוניברסיטת הרווארד.

ולמרות שהשימוש במונח "באג" לציון תקלות הנדסיות נחשב בשימוש שנים על גבי שנים קודם לכן, מאמינים שתקרית זו הובילה ל"ניפוי באגים" כיום בכל מקום.

למה?

מכיוון שברגע שהעש הוסר מה-Mark II, הוא הודבק בתוך היומן ההנדסי וסומן "המקרה הראשון של באג אמיתי שנמצא."

אני אוהב את הסיפור הזה!

---

ברווז.  גם אני!

אני חושב שהעדות הראשונה שראיתי למונח הזה הייתה לא אחר מאשר תומס אדיסון - אני חושב שהוא השתמש במונח "באגים".

אבל כמובן, בהיותו 1947, זה היה הימים הראשונים של המחשוב הדיגיטלי, ועדיין לא כל המחשבים פעלו על שסתומים או שפופרות, כי שפופרות עדיין היו מאוד יקרות, ורצו מאוד, ודורשות הרבה חשמל.

אז, המחשב הזה, למרות שהוא יכול לעשות טריגונומטריה וכאלה, התבסס למעשה על ממסרים - מתגים אלקטרו-מכאניים, לא מתגים אלקטרוניים טהורים.

די מדהים שאפילו בסוף שנות ה-1940, מחשבים מבוססי ממסר עדיין היו דבר... למרות שהם לא הולכים להיות דבר לאורך זמן.

---

DOUG.  ובכן, פול, נניח בנושא של דברים מבולגנים ובאגים.

דבר מבולגן שמטריד אנשים הוא השאלה של הדבר הזה של TikTok.

יש הפרות, ויש הפרות... האם זו בעצם הפרה?

---

ברווז.  כפי שאתה אומר, דאגלס, זה הפך לדבר מבולגן...

כי זה היה סיפור ענק בסוף השבוע, לא?

"הפרת TikTok - מה זה היה באמת?"

בסומק ראשון, זה נשמע כמו, "וואו, 2 מיליארד רשומות נתונים, מיליארד משתמשים התפשרו, האקרים נכנסו", ומה לא.

כעת, מספר אנשים המתמודדים עם הפרות נתונים באופן קבוע, כולל Troy Hunt of יש לי Pwned, נטלו צילומי מצב לדוגמה של הנתונים שאמורים "נגנבו" והלכו לחפש אותם.

ונראה שהקונצנזוס תומך בדיוק במה ש-TikTok אמר, כלומר שהנתונים האלה הם ציבוריים בכל מקרה.

אז מה שזה נראה זה אוסף של נתונים, נניח רשימה ענקית של סרטונים... שאני מניח ש-TikTok כנראה לא היה רוצה שרק תוכל להוריד לעצמך, כי הם היו רוצים שתעבור דרך הפלטפורמה, ולהשתמש בקישורים שלהם, ולראות את הפרסום שלהם כדי שיוכלו לייצר רווח מהדברים.

אבל אף אחד מהנתונים, אף אחד מהדברים ברשימות לא נראה חסוי או פרטי למשתמשים המושפעים.

כשטרוי האנט הלך לחפש ובחר סרטון אקראי, למשל, הסרטון הזה יופיע תחת שם המשתמש הזה כציבורי.

והנתונים על הסרטון ב"הפרה" לא אמרו גם, "אה, ודרך אגב, הנה מזהה TikTok של הלקוח; הנה גיבוב הסיסמה שלהם; הנה כתובת הבית שלהם; הנה רשימה של סרטונים פרטיים שהם עדיין לא פרסמו", וכן הלאה.

---

DOUG.  אוקיי, אז אם אני משתמש TikTok, האם יש כאן סיפור אזהרה?

האם אני צריך לעשות משהו?

איך זה משפיע עליי כמשתמש?

---

ברווז.  זה בדיוק העניין. דאג - אני מניח שהרבה מאמרים שנכתבו על זה נואשים למצוא איזושהי מסקנה.

מה אתה יכול לעשות?

אז, השאלה הבוערת שאנשים שאלו היא, "ובכן, האם עלי לשנות את הסיסמה שלי? האם עלי להפעיל אימות דו-גורמי?"... כל הדברים הרגילים שאתה שומע.

זה נראה, במקרה זה, כאילו אין צורך ספציפי לשנות את הסיסמה שלך.

אין שום הצעה ש-hash של סיסמאות נגנבו ויכול להיות שעכשיו הם נפרצו על ידי מיליון כורי ביטקוין מחוץ לתורן [צוחק] או משהו כזה.

אין שום הצעה שייתכן שקל יותר למקד חשבונות משתמש כתוצאה מכך.

מצד שני, אם בא לך לשנות את הסיסמה שלך... אתה יכול גם כן.

ההמלצה הכללית בימים אלה היא החלפת סיסמה באופן שגרתי וקבוע ותכוף *בלוח זמנים* (כמו, "פעם בחודש שנה את הסיסמה למקרה הצורך") היא רעיון רע כי [ROBOTIC VOICE] זה - פשוט - מקבל - אותך – לתוך – הרגל שחוזר על עצמו – שלא ממש משפר דברים.

מכיוון שאנו יודעים מה אנשים עושים, הם פשוט הולכים: -01, -02, 03 בסוף הסיסמה.

לכן, אני לא חושב שאתה צריך לשנות את הסיסמה שלך, אם כי אם תחליט שאתה הולך לעשות זאת, כל הכבוד לך.

דעתי האישית היא שבמקרה הזה, אם הפעלת אימות דו-גורמי או לא לא היה משנה כלל.

מצד שני, אם זה אירוע שסוף סוף משכנע אותך של-2FA יש מקום בחייך איפשהו...

...אז אולי, דאגלס, זו בטנה כסופה!

---

DOUG.  גדול.

אז אנחנו נפקח על זה.

אבל זה נשמע שלא הרבה שמשתמשים רגילים יכלו לעשות בקשר לזה...

---

ברווז.  אלא שיש אולי דבר אחד שאנחנו יכולים ללמוד, או לפחות להזכיר לעצמנו ממנו.

---

DOUG.  אני חושב שאני יודע מה עומד לקרות. [צוחק]

האם זה מתחרז?

---

ברווז.  זה יכול לעשות, דאגלס. [צוחק]

לעזאזל, אני כל כך שקוף. [צוחק]

היו מודעים/לפני שאתם משתפים.

ברגע שמשהו פומבי, הוא *באמת פומבי*, וזה כל כך פשוט.

---

DOUG.  בסדר טוב מאוד.

היו מודעים לפני שאתם משתפים.

קהילת הביטחון איבדה חלוץ בפיטר אקרסלי, שנפטר בגיל 43.

הוא היה השותף ליצירה של Let's Encrypt.

אז, ספר לנו קצת על Let's Encrypt ו המורשת של אקרסלי, אם היית.

---

ברווז.  ובכן, הוא עשה המון דברים בחייו הקצרים למרבה הצער, דאג.

אנחנו לא מרבים לכתוב הספד על Naked Security, אבל זה אחד מאלה שהרגשנו שאנחנו חייבים.

כי, כמו שאתה אומר, פיטר אקרסלי, בין כל שאר הדברים שהוא עשה, היה אחד המייסדים השותפים של Let's Encrypt, הפרויקט שנועד לעשות אותו זול (כלומר בחינם!), אבל, הכי חשוב, אמין ו. קל לקבל אישורי HTTPS עבור האתר שלך.

ומכיוון שאנחנו משתמשים בתעודות Let's Encrypt באתרי הבלוג של Naked Security ו-Sophos News, הרגשתי שאנחנו חייבים לו לפחות אזכור על העבודה הטובה הזו.

כי כל מי שאי פעם ניהל אתר אינטרנט יידע שאם תחזור כמה שנים אחורה, קבלת תעודת HTTPS, תעודת TLS, המאפשרת לך לשים את המנעול בדפדפני האינטרנט של המבקרים שלך לא רק עולה כסף, מה שמשתמשים ביתיים, חובבים , ארגוני צדקה, עסקים קטנים, מועדוני ספורט לא יכלו להרשות לעצמם בקלות... זו הייתה *טרחה אמיתית*.

היה כל ההליך הזה שהיית צריך לעבור; זה היה מלא מאוד בז'רגון ודברים טכניים; וכל שנה היית צריך לעשות את זה שוב, כי ברור שהם פג... זה כמו בדיקת בטיחות במכונית.

אתה צריך לעבור את התרגיל, ולהוכיח שאתה עדיין האדם שמסוגל לשנות את התחום שאתה טוען שהוא שולט בו, וכן הלאה.

ו-Let's Encrypt לא רק שהצליחו לעשות זאת בחינם, הם הצליחו לעשות זאת כך שהתהליך יכול להיות אוטומטי... ועל בסיס רבעוני, כך שזה גם אומר שתוקף האישורים יכול לפוג מהר יותר במקרה שמשהו ישתבש.

הם הצליחו לבנות אמון מספיק מהר כדי שהדפדפנים הגדולים אמרו במהרה, "אתם יודעים מה, אנחנו הולכים לסמוך על Let's Encrypt כדי להבטיח אישורי אינטרנט של אנשים אחרים - מה שנקרא שורש CA, או רשות אישורים.

לאחר מכן, הדפדפן שלך סומך על Let's Encrypt כברירת מחדל.

ובאמת, כל הדברים האלה שמתחברים יחד היו בשבילי הוד של הפרויקט.

זה לא רק היה בחינם; זה לא רק היה קל; לא רק שיצרני הדפדפנים (שקשה לשמצה לשמצה לשכנע אותם לסמוך עליך מלכתחילה) החליטו, "כן, אנחנו סומכים עליהם."

כל הדברים האלה ביחד שעשו הבדל גדול ועזרו להשיג HTTPS כמעט בכל מקום באינטרנט.

זו רק דרך להוסיף מעט בטיחות נוספת לגלישה שאנו עושים...

...לא כל כך בגלל ההצפנה, כפי שאנחנו כל הזמן מזכירים לאנשים, אלא בגלל העובדה ש-[A] יש לך סיכוי קרב שבאמת התחברת לאתר שעובר מניפולציות על ידי האדם שאמור לתפעל אותו, וכי [ב] כאשר התוכן חוזר, או כששולחים אליו בקשה, אי אפשר להתעסק איתו בקלות בדרך.

עד 'בואו להצפין', עם כל אתר HTTP בלבד, כמעט כל אחד בנתיב הרשת יכול לרגל אחר מה שאתה מסתכל עליו.

גרוע מכך, הם יכולים לשנות את זה - או מה ששלחת או מה שאתה מקבל בחזרה - ואתה *פשוט לא יכול לדעת* שאתה מוריד תוכנה זדונית במקום העסקה האמיתית, או שאתה קורא חדשות מזויפות במקום סיפור אמיתי.

---

DOUG.  בסדר, אני חושב שזה מתאים לסיים עם נהדר תגובה של אחד הקוראים שלנו, סמנתה, שנראה שהכירה את מר אקרסלי.

היא אומרת:

"אם יש דבר אחד שאני תמיד זוכר על האינטראקציות שלי עם פיט, זה היה המסירות שלו למדע ולשיטה המדעית. שאילת שאלות היא עצם המהות של להיות מדען. אני תמיד אוקיר את פיט ואת השאלות שלו. עבורי, פיט היה אדם שהעריך תקשורת וחילופי רעיונות חופשיים ופתוחים בין אנשים סקרנים".

יפה אמרת, סמנתה - תודה.

---

ברווז.  כן!

ובמקום לומר RIP [ראשי תיבות של Rest In Peace], אני חושב שאגיד CIP: Code in Peace.

---

DOUG.  טוב מאוד!

בסדר, ובכן, דיברנו בשבוע שעבר על שלל תיקוני כרום, ואז צץ אחד נוסף.

וזה היה א חשוב אחד…

---

ברווז.  זה אכן היה, דאג.

ומכיוון שזה חל על ליבת Chromium, זה חל גם על Microsoft Edge.

אז, רק בשבוע שעבר, דיברנו על אותם... מה זה היה, 24 חורי אבטחה.

אחד היה קריטי, שמונה או תשעה היו גבוהים.

יש שם כל מיני באגים של ניהול שגוי בזיכרון, אבל אף אחד מהם לא היה אפס ימים.

אז דיברנו על זה, ואמרנו, "תראה, זו עסקה קטנה מנקודת מבט של יום אפס, אבל זו עניין גדול מנקודת מבט של תיקון אבטחה. קדימה: אל תתמהמה, עשה את זה היום".

(סליחה - שוב חרזתי, דאג.)

הפעם, זה עוד עדכון שיצא רק כמה ימים לאחר מכן, הן עבור Chrome והן עבור Edge.

הפעם, יש רק חור אבטחה אחד תוקן.

אנחנו לא לגמרי יודעים אם זו העלאת הרשאות או ביצוע קוד מרחוק, אבל זה נשמע רציני, וזה יום אפס עם ניצול ידוע שכבר נמצא בטבע.

אני מניח שהחדשות הגדולות הן שגוגל וגם מיקרוסופט, ויצרניות דפדפנים אחרות, הצליחו ליישם את התיקון הזה ולהוציא אותו ממש ממש מהר.

אנחנו לא מדברים על חודשים או שבועות... רק כמה ימים ליום אפס ידוע שכמובן נמצא לאחר יציאת העדכון האחרון, שהיה רק ​​בשבוע שעבר.

אז אלו החדשות הטובות.

החדשות הרעות הן, כמובן, זה 0-יום - הנוכלים על זה; הם כבר משתמשים בזה.

גוגל קצת פחדה לגבי "איך ולמה"... מה שמרמז שיש חקירה שמתנהלת ברקע שאולי לא ירצו לסכן.

אז, שוב, זהו מצב של "תיקון מוקדם, תיקון לעתים קרובות" - אתה לא יכול פשוט לעזוב את המצב הזה.

אם תיקנת בשבוע שעבר, אז אתה צריך לעשות את זה שוב.

החדשות הטובות הן שכרום, אדג' ורוב הדפדפנים בימינו צריכים לעדכן את עצמם.

אבל, כמו תמיד, כדאי לבדוק, כי מה אם אתה מסתמך על עדכון אוטומטי ורק פעם אחת זה לא עבד?

האם זה לא יהווה 30 שניות מזמנכם היטב כדי לוודא שאכן יש לכם את הגרסה העדכנית ביותר?

יש לנו את כל מספרי הגרסאות הרלוונטיים ואת העצה [על אבטחה עירומה] היכן ללחוץ עבור Chrome ו-Edge כדי לוודא שבאמת יש לך את הגרסה העדכנית ביותר של הדפדפנים האלה.

---

DOUG.  וחדשות משמחות לכל מי ששומר על ניקוד...

זה עתה בדקתי את הגרסה שלי של Microsoft Edge, וזו הגרסה הנכונה והמעודכנת, אז היא עדכנה את עצמה.

בסדר, אחרון, אבל בהחלט לא פחות חשוב, יש לנו אבל נדיר עדכון דחוף של אפל ל-iOS 12, שכולנו חשבנו שנעשה ואבק.

---

ברווז.  כן, כפי שכתבתי בחמש המילים הראשונות של המאמר על אבטחה עירומה, "ובכן, לא ציפינו לזה!"

הרשיתי לעצמי סימן קריאה, דאג, [צחוק] כי הופתעתי...

מאזינים קבועים לפודקאסט יידעו שהאייפון 6 פלוס האהוב שלי, אם ישן-אך-קודם-בתולי, סבל מתרסקת אופניים.

האופניים שרדו; הגדלתי בחזרה את כל העור שהייתי צריך [צחוק]... אבל מסך האייפון שלי עדיין במאה אלף מיליון מיליארד טריליון חתיכות. (כל הקטעים שהולכים לצאת לתוך האצבע שלי, אני חושב שכבר עשו זאת.)

אז חשבתי... iOS 12, עברה שנה מאז שהיה לי העדכון האחרון, אז ברור שזה לגמרי מחוץ לרדאר של אפל.

זה לא הולך לקבל שום תיקוני אבטחה אחרים.

חשבתי, "ובכן, המסך לא יכול להתנפץ שוב, אז זה טלפון חירום נהדר לקחת כשאני על הכביש"... אם אני נוסע לאנשהו, אם אני צריך להתקשר או להסתכל על מַפָּה. (אני לא מתכוון לעשות עליו אימייל או כל דבר הקשור לעבודה.)

והנה, זה קיבל עדכון, דאג!

פתאום, כמעט שנה עד היום אחרי הקודם... אני חושב ש-23 בספטמבר 2021 היה העדכון אחרון היה לי.

לפתע, אפל פרסמה את העדכון הזה.

זה מתייחס ל תיקונים קודמים שדיברנו עליו, שם הם עשו את עדכון החירום עבור מכשירי אייפון ואייפד עכשוויים, וכל הגרסאות של macOS.

שם, הם תיקנו באג WebKit ובאג ליבה: שניהם אפס ימים; שניהם בשימוש בטבע.

(יש לך ריח של תוכנת ריגול? זה עשה לי!)

הבאג של WebKit אומר שאתה יכול לבקר באתר אינטרנט או לפתוח מסמך, והוא ישתלט על האפליקציה.

לאחר מכן, באג הליבה אומר שאתה מכניס את המחט שלך ישירות למערכת ההפעלה, ובעצם מחורר חור במערכת האבטחה המפורסמת של אפל.

אבל לא היה עדכון ל-iOS 12, וכפי שאמרנו בפעם הקודמת, מי ידע אם זה בגלל ש-iOS 12 פשוט היה בלתי פגיע, או שאפל באמת לא מתכוונת לעשות שום דבר בקשר לזה כי זה נפל קצה כדור הארץ לפני שנה?

ובכן, זה נראה כאילו הוא לא ממש נפל מקצה כדור הארץ, או שהוא התנודד על סף... וזה *היה* פגיע.

חדשות טובות... באג הליבה שדיברנו עליו בפעם הקודמת, הדבר שיאפשר למישהו בעצם להשתלט על כל האייפון או האייפד, לא חל על iOS 12.

אבל באג ה-WebKit הזה - שזכור, משפיע על *כל* דפדפן, לא רק על ספארי, ועל כל אפליקציה שעושה כל סוג של עיבוד הקשור לאינטרנט, גם אם הוא נמצא רק בו אודות מָסָך…

...הבאג הזה *היה* קיים ב-iOS 12, וברור שאפל הרגישה מאוד לגביו.

אז הנה: אם יש לך אייפון ישן יותר, והוא עדיין ב-iOS 12 כי אתה לא יכול לעדכן אותו ל-iOS 15, אז אתה צריך ללכת לקחת את זה.

כי זה ה באג WebKit דיברנו עליו בפעם הקודמת - נעשה בו שימוש בטבע.

אפל מתקנת יום אפס כפול בדפדפן ובקרנל - עדכן עכשיו!

והעובדה שאפל עשתה מאמצים אלה כדי לתמוך במה שנראה כגרסת מערכת הפעלה מעבר לסוף החיים מעידה, או לפחות מזמינה אותך להסיק מכך, שהתגלה כי נעשה בה שימוש בדרכים מרושעות עבור כל מיני דברים שובבים.

אז אולי רק כמה אנשים הגיעו למטרה... אבל גם אם זה המקרה, אל תתנו לעצמכם להיות האדם השלישי!

---

DOUG.  ולשאול אחד מהמשפטים המחורזים שלך:

אל תתמהמה / עשה זאת היום.

[צוחק] מה עם זה?

---

ברווז.  דאג, ידעתי שאתה הולך להגיד את זה.

---

DOUG.  אני תופס!

וכשהשמש מתחילה לשקוע באיטיות בתוכנית שלנו להיום, נרצה לשמוע מאחד הקוראים שלנו על סיפור אפס היום של אפל.

הקורא בריאן מעיר:

"סמל ההגדרות של אפל תמיד דומה לגלגל שיניים של אופניים במוחי. בתור אופנוען נלהב, משתמש במכשירי אפל, אני מצפה שתאהב את זה?"

זה מכוון אליך, פול.

אתה אוהב את זה?

אתה חושב שזה נראה כמו גלגל שיניים לאופניים?

---

ברווז.  לא אכפת לי, כי זה מאוד מוכר, תגיד אם אני רוצה ללכת הגדרות > כללי > עדכון תוכנה.

(רמז, רמז: כך אתה בודק אם יש עדכונים ב-iOS.)

האייקון מאוד ייחודי, וקל להכות אותו כך שאני יודע לאן אני הולך.

אבל, לא, מעולם לא קישרתי את זה עם רכיבה על אופניים כי אם אלו היו שרשרת קדמית באופניים עם הילוך, כולם פשוט טועים.

הם לא מחוברים כמו שצריך.

אין דרך להכניס להם כוח.

יש שני גלגלי שיניים, אבל יש להם שיניים בגדלים שונים.

אם אתה חושב על איך גלגלי שיניים עובדים על גלגלי אופניים מסוג קופץ (מעבירים, כפי שהם ידועים), יש לך רק שרשרת אחת, ולשרשרת יש מרווח מסוים, או גובה כפי שזה נקרא.

אז כל גלגלי השיניים או גלגלי השיניים (טכנית, הם לא גלגלי שיניים, כי גלגלי שיניים מניעים גלגלי שיניים, ושרשראות מניעות גלגלי שיניים)... כל גלגלי השיניים צריכים להיות בעלי שיניים באותו גודל או גובה, אחרת השרשרת לא תתאים!

והשיניים האלה מאוד דוקרניות. דאג.

מישהו בתגובות אמר שהוא חושב שזה מזכיר להם משהו שקשור לשעון, כמו בריחה או סוג של גיר בתוך שעון.

אבל אני די בטוח שיצרני שעונים יגידו, "לא, לא היינו מעצבים את השיניים ככה", כי הם משתמשים בצורות מאוד ייחודיות כדי להגביר את האמינות והדיוק.

אז אני די מרוצה מהסמל של אפל, אבל, לא, זה לא מזכיר לי רכיבה על אופניים.

סמל האנדרואיד, למרבה האירוניה...

...וחשבתי עליך כשחשבתי על זה, דאג [צחוק], וחשבתי, "אוי, אלוהים, לעולם לא אשמע את הסוף של זה. אם אזכיר את זה"...

..זה כן נראה כמו גלגל שיניים אחורי על אופניים (ואני יודע שזה לא גלגל שיניים, זה גלגל שיניים, כי גלגלי שיניים מניעים גלגלי שיניים, ושרשראות מניעות גלגלי שיניים, אבל משום מה אתה קורא להם גלגלי שיניים כשהם קטנים ב- גב אופניים).

אבל יש לו רק שש שיניים.

גלגל השיניים האחורי הקטן ביותר שאני יכול למצוא עליו הוא תשע שיניים - זה מאוד זעיר, עיקול מאוד הדוק, ורק בשימושים מיוחדים.

בחורי BMX אוהבים אותם כי ככל שגלגל השיניים קטן יותר, הסיכוי שהוא יפגע בקרקע קטן יותר כאשר אתה עושה טריקים.

אז... זה קשור מעט מאוד לאבטחת סייבר, אבל זו תובנה מרתקת למה שאני מאמין שמכונה בימינו לא "ממשק המשתמש", אלא "חווית המשתמש".

---

DOUG.  בסדר, תודה רבה, בריאן, על ההערה.

אם יש לכם סיפור מעניין, תגובה או שאלה שתרצו לשלוח, נשמח לקרוא אותם בפודקאסט.

אתה יכול לשלוח דוא"ל ל-tips@sophos.com, אתה יכול להגיב על כל אחד מהמאמרים שלנו, או שאתה יכול להפנות אותנו לרשת החברתית: @Naked Security.

זו ההופעה שלנו להיום - תודה רבה על ההקשבה.

עבור פול דאקלין, אני דאג אמות', מזכיר לך עד הפעם הבאה...

---

שניהם.  הישאר בטוח!

[מודם מוזיקלי]