今すぐ聞く
ダグ・アーモスとポール・ダックリンと。
イントロとアウトロの音楽 エディスマッジ.
下の音波をクリックしてドラッグし、任意のポイントにスキップします。 あなたもすることができます 直接聞く Soundcloudで。
あなたは私たちに聞くことができます Soundcloud, Apple Podcasts, Googleポッドキャスト, Spotifyは, 縫い合わせます そして、その良いポッドキャストが見つかるところならどこでも。 または単にドロップします RSSフィードのURL お気に入りのポッドキャッチャーに。
トランスクリプトを読む
ダグ。 ゼロデイ、さらなるゼロデイ、TikTok、そしてセキュリティ コミュニティにとって悲しい日。
NakedSecurityポッドキャストでそれ以上のことを。
【ミュージックモデム】
Naked Security ポッドキャストへようこそ。
私はダグ・アモスです。
いつものように、私と一緒にいるのはポール・ダックリンです。
ポール、今日の調子はどう?
アヒル。 とても元気です、ありがとう、ダグラス!
ダグ。 それでは、技術史セグメントからショーを始めましょう。
今週、09 年 1947 月 XNUMX 日に、ハーバード大学の Mark II コンピューター内で実在の蛾が発見されました。
また、エンジニアリングの不具合を示すために「バグ」という用語を使用することは、何年も前から使用されていたと考えられていますが、この事件が現在のユビキタスな「デバッグ」につながったと考えられています。
どうして?
マーク II から蛾が取り除かれると、エンジニアリング ログブックの中にテープで留められ、「実際のバグが見つかった最初のケース」というラベルが付けられたからです。
私はその話が大好きです!
アヒル。 私もそうです!
その用語について私が目にした最初の証拠は、他ならぬトーマス・エジソンだったと思います。彼は「バグ」という用語を使用したと思います。
しかしもちろん、1947 年というのはデジタル コンピューティングの黎明期であり、まだすべてのコンピューターがバルブやチューブで動作するわけではありませんでした。チューブはまだ非常に高価で、非常に熱く、多くの電力が必要だったからです。
つまり、このコンピューターは、三角法などを実行できたとしても、実際にはリレーに基づいていました。つまり、純粋な電子スイッチではなく、電気機械スイッチです。
1940 年代後半になっても、リレー ベースのコンピューターがまだ存在していたことは非常に驚くべきことです。
ダグ。 さて、ポール、厄介なこととバグの話題について話しましょう。
人々を悩ませている厄介なことは、このTikTokの問題です。
侵害があり、侵害があります...これは実際に侵害ですか?
アヒル。 あなたが言うように、ダグラス、これは面倒なことになりました…
週末にかけて大きな話だったからね。
「TikTok 侵害 – 本当は何だったのか?」
一見すると、「うわー、2 億のデータ レコード、1 億のユーザーが侵害された、ハッカーが侵入した」などのように聞こえます。
現在、定期的にデータ侵害に対処している何人かの人々、特にトロイ ハントを含む 私はPwnedされている、「盗まれた」と思われるデータのサンプルスナップショットを撮り、それを探しに行きました。
そして、コンセンサスはTikTokが言ったこと、つまりこのデータはとにかく公開されていることを正確に支持しているようです.
つまり、それはデータのコレクション、たとえば動画の巨大なリストのように見えます…TikTokはおそらく、あなたが自分でダウンロードできるようにすることを望んでいないと思います。リンクを使用し、広告を見て、収益化できるようにします。
しかし、どのデータも、リストにあるものも、影響を受けたユーザーの機密または私的なものではないようです。
たとえば、Troy Hunt が検索してランダムな動画を選んだ場合、その動画はそのユーザーの名前で公開として表示されます。
また、「違反」のビデオに関するデータには、「ああ、ちなみに、これが顧客の TikTok ID です。 これが彼らのパスワードハッシュです。 これが彼らの自宅住所です。 まだ公開していない非公開動画のリストです」など。
ダグ。 わかりました。私が TikTok ユーザーなら、注意点はありますか?
何かする必要がありますか?
これはユーザーにどのような影響を与えますか?
アヒル。 それだけです。 Doug – これについて書かれた記事の多くは、何らかの結論を見つけようと必死になっていると思います。
あなたは何ができますか?
そのため、人々が尋ねてきた切実な質問は、「パスワードを変更する必要がありますか?」というものです。 XNUMX 要素認証をオンにする必要がありますか?」… よく耳にするすべてのことです。
この場合、パスワードを変更する必要は特にないようです。
パスワード ハッシュが盗まれて、無数の非番のビットコイン マイナーによってクラックされる可能性があるという示唆はありません [笑い] またはそのようなもの.
この結果、ユーザー アカウントが標的になりやすいという示唆はありません。
一方、パスワードを変更したい場合は、変更することもできます。
最近の一般的な推奨事項は、定期的かつ定期的かつ頻繁にパスワードを*スケジュールに従って*変更することです (「万が一に備えて月に XNUMX 回パスワードを変更する」など) は、[ROBOTIC VOICE] が – ちょうど – 取得 – するため、悪い考えです。 – 中に – 繰り返しの – 本当に物事を改善しない習慣。
私たちは人々が何をするかを知っているので、パスワードの末尾に -01、-02、03 を付けます。
したがって、パスワードを変更する必要はないと思いますが、そうすることに決めた場合は、よろしくお願いします。
私自身の意見では、この場合、XNUMX 要素認証をオンにしているかどうかに関係なく、何の違いもありませんでした。
一方、これが最終的に2FAがあなたの人生のどこかにあることを確信させる事件である場合...
…それなら、おそらく、ダグラス、それは希望の光です!
ダグ。 よかった。
そのため、私たちはそれを監視します。
しかし、通常のユーザーがこれについてできることはあまりないように思えます…
アヒル。 私たちが学ぶことができる、または少なくともそこから思い出すことができるかもしれないことを除いて。
ダグ。 私は何が来るか知っていると思います。 [笑う]
それは韻を踏んでいますか?
アヒル。 そうかもしれません、ダグラス。 [笑う]
くそー、私はとても透明です。 [笑い]
注意してください/共有する前に。
何かが公開されると、それは*実際に公開*され、それと同じくらい簡単です。
ダグ。 良く出来ました。
共有する前に注意してください。
進行中、セキュリティ コミュニティは、43 歳で亡くなった Peter Eckersley という先駆者を失いました。
彼は Let's Encrypt の共同作成者でした。
それでは、Let's Encrypt について少し教えてください。 エッカーズリーの遺産、よろしければ。
アヒル。 残念なことに、彼は短い人生の中でたくさんのことをしました、ダグ。
Naked Security について死亡記事を書くことはあまりありませんが、これは私たちがしなければならないと感じた記事の XNUMX つです。
あなたが言うように、Peter Eckersley は、彼が行った他のすべてのことの中で、Let's Encrypt の共同創設者の XNUMX 人でした. Web サイトの HTTPS 証明書を簡単に取得できます。
また、Naked Security と Sophos News のブログ サイトで Let's Encrypt 証明書を使用しているため、少なくとも彼の功績について言及する義務があると感じました。
Web サイトを運営したことのある人なら誰でも、数年前にさかのぼれば、訪問者の Web ブラウザーに南京錠を入れることができる HTTPS 証明書 (TLS 証明書) を取得することは、ホーム ユーザー、愛好家など、お金がかかるだけではないことを知っているからです。 、慈善団体、中小企業、スポーツ クラブは、簡単に資金を調達できませんでした。
あなたが経験しなければならなかったこの全体の手順がありました。 専門用語や技術的な内容でいっぱいでした。 当然、有効期限が切れてしまうため、毎年、もう一度やり直さなければなりませんでした… 車の安全チェックのようなものです。
演習を行い、自分が管理していると主張しているドメインを変更できる人物であることを証明する必要があります。
そして、Let's Encrypt はそれを無料で行うことができただけでなく、プロセスを自動化できるようにすることもできました...そして四半期ごとに、何か問題が発生した場合に証明書がより早く期限切れになることも意味します.
彼らはすぐに信頼を築くことができたので、主要なブラウザはすぐに次のように言いました。 ルートCA、または認証局。
次に、ブラウザはデフォルトで Let's Encrypt を信頼します。
そして実際、私にとってこのプロジェクトの素晴らしさは、これらすべてが一緒になったということです。
無料だっただけではありません。 簡単だっただけではありません。 ブラウザー メーカー (最初からユーザーを信頼するよう説得するのが難しいことで知られている) が、「はい、信頼しています」と判断しただけではありません。
大きな違いを生み、インターネット上のほぼすべての場所で HTTPS を利用できるようになったのは、これらすべてが組み合わされたからです。
これは、私たちが行っているブラウジングに少し安全性を追加する方法にすぎません…
…暗号化についてではなく、[A] 操作しているはずの人物によって操作されているサイトに実際に接続しているという戦闘チャンスがあるという事実については、 [B] コンテンツが戻ってきたとき、またはリクエストを送信したときに、途中で簡単に改ざんできないこと。
Let's Encrypt が登場するまでは、HTTP のみの Web サイトであれば、ネットワーク パス上のほぼすべての人が、あなたが見ているものを盗み見ることができました。
さらに悪いことに、彼らはそれを変更する可能性があります – あなたが送ったもの、またはあなたが戻ってきたもの – そしてあなたは本物ではなくマルウェアをダウンロードしていること、または偽のニュースを読んでいたことを*単純に知ることができませんでした*。本当の話。
ダグ。 よし、素晴らしいもので締めくくるのがふさわしいと思う 読者からのコメント、 Eckersley氏を知っていたと思われるSamantha。
彼女は言う:
「ピートとのやり取りでいつも覚えていることが XNUMX つあるとすれば、それは科学と科学的方法に対する彼の献身でした。 質問をすることは、科学者であることの本質です。 私はいつもピートと彼の質問を大切にします. 私にとってピートは、好奇心旺盛な人々の間でのコミュニケーションと、自由でオープンな意見交換を大切にする人でした。」
よく言った、サマンサ – ありがとう。
アヒル。 はい!
そして、RIP [Rest In Peace の略語] と言う代わりに、CIP: Code in Peace と言うことにします。
ダグ。 とてもいい!
さて、先週、たくさんの Chrome パッチについて話しましたが、その後、もう XNUMX つポップアップが表示されました。
そして、これは 重要 XNUMX ...
アヒル。 そうでした、ダグ。
また、Chromium コアに適用されたため、Microsoft Edge にも適用されました。
ちょうど先週、私たちはそれらについて話していました…それは何だったのでしょう、24 のセキュリティ ホール。
XNUMX つは重要で、XNUMX つまたは XNUMX つは高いものでした。
そこにはあらゆる種類のメモリ管理ミスのバグがありますが、それらのどれもゼロデイではありませんでした。
それで、私たちはそれについて話していました。 先に進みましょう: 先延ばしにせず、今日それを実行してください。」
(すみません、また韻を踏みました、ダグ。)
今回は、Chrome と Edge の両方について、わずか数日後に公開された別のアップデートです。
今回、修正されたセキュリティ ホールは XNUMX つだけです。
これが特権の昇格なのか、リモートでのコード実行なのかはよくわかりませんが、深刻なように思えます。また、既知のエクスプロイトがすでに出回っているゼロデイです。
素晴らしいニュースは、Google と Microsoft の両方、および他のブラウザー メーカーがこのパッチを適用して、非常に迅速に公開できたことです。
数か月や数週間について話しているわけではありません…最後の更新が公開された後に明らかに発見された既知のゼロデイのほんの数日であり、それはほんの先週でした.
それは良いニュースです。
悪いニュースはもちろん、これは 0-day です。詐欺師が狙っています。 彼らはすでにそれを使用しています。
Google は「どのように、なぜ」について少し恥ずかしがり屋でした…これは、彼らが危険にさらしたくないかもしれないバックグラウンドで何らかの調査が行われていることを示唆しています。
繰り返しになりますが、これは「パッチを早く、頻繁にパッチを適用する」状況です。この状況を放置することはできません。
先週パッチを適用した場合は、再度適用する必要があります。
良いニュースは、Chrome、Edge、および最近のほとんどのブラウザーが自動的に更新されることです。
しかし、いつものように、自動更新に頼っていて、たった一度だけ機能しなかった場合はどうすればよいのでしょうか。
本当に最新バージョンを持っているかどうかを確認するのに 30 秒の時間を費やすことになるのではないでしょうか?
関連するすべてのバージョン番号と [Naked Security に関する] アドバイスがあり、Chrome と Edge のどこをクリックして、これらのブラウザの最新バージョンを確実に入手できるかを確認できます。
ダグ。 スコアを記録している方へのニュース速報…
Microsoft Edge のバージョンを確認したところ、正しい最新バージョンであったため、自動的に更新されました。
OK、最後に、確かに重要なことですが、レアですが 緊急アップルアップデート iOS 12 の場合、私たち全員が完了してほこりを払ったと思っていました。
アヒル。 はい、Naked Security に関する記事の最初の XNUMX 語で書いたように、「まあ、これは予想していませんでした!」
私は感嘆符をつけました、ダグ、[笑い] 驚いたので…
ポッドキャストを定期的に聞いている人は、私の最愛の人が、古いが元は手付かずの iPhone 6 Plus が自転車事故に遭ったことを知っているでしょう。
自転車は生き残った。 必要な皮膚をすべて元に戻しました [笑い] … しかし、私の iPhone の画面はまだ XNUMX 億兆個の断片になっています。 (私の指に出てくるすべてのビットは、すでにそうしていると思います。)
だから私は考えました…iOS 12、前回のアップデートからXNUMX年が経ちましたので、明らかにAppleのレーダーから完全に外れています。
他のセキュリティ修正プログラムを取得する予定はありません。
「まあ、画面が再び壊されることはないので、移動中に携帯するのに最適な緊急電話だ」…どこかに行く場合、電話をかける必要がある場合、または画面を見る必要がある場合地図。 (メールや仕事関連のことはしません。)
そして、見よ、それは更新された、Doug!
突然、前回の翌日からほぼ 23 年… 2021 年 XNUMX 月 XNUMX 日だったと思います。 最終更新 私が持っていた。
突然、Apple はこのアップデートを公開しました。
それはに関連しています 以前のパッチ 現在の iPhone と iPad、および macOS のすべてのバージョンの緊急アップデートを行った場所について話しました。
そこで、彼らは WebKit のバグとカーネルのバグにパッチを当てていました。 どちらも野生で使用されています。
(あなたにはスパイウェアの匂いがしますか?それは私にありました!)
WebKit のバグとは、Web サイトにアクセスしたり、ドキュメントを開いたりすると、アプリが乗っ取られることを意味します。
次に、カーネルのバグは、オペレーティング システムに針を刺すことを意味し、基本的には Apple が誇るセキュリティ システムに穴を開けます。
しかし、iOS 12 のアップデートはありませんでした。前回述べたように、それが iOS 12 がたまたま無敵だったからなのか、それとも失敗したために Apple が本当に何もするつもりがなかったのか、誰にもわかりませんでした。一年前の地球の端?
ええと、それは惑星の端から完全に落ちたわけではないか、瀬戸際でぐらついているようです...そしてそれは脆弱でした.
朗報です。前回お話ししたカーネルのバグ、つまり誰かが本質的に iPhone や iPad 全体を乗っ取ることができるバグは、iOS 12 には当てはまりません。
しかし、その WebKit のバグ – これは、Safari だけでなく、*すべての* ブラウザー、およびあらゆる種類の Web 関連のレンダリングを行うすべてのアプリに影響を与えることを覚えています。 私たちについて 画面…
…そのバグは iOS 12 に*存在*し、明らかに Apple はそれについて強く感じていました。
古いiPhoneを持っていて、iOS 12にアップデートできないためにまだiOS 15になっている場合は、これを入手する必要があります.
これは WebKitのバグ 前回お話しましたが、実際に使用されています。
そして、寿命を過ぎたオペレーティング システムのバージョンと思われるものをサポートするために Apple がこれほどまでに努力したという事実は、これが悪意のある方法で使用されていたことが判明したことを示唆している、または少なくとも推測するように促しています。あらゆる種類のいたずらなもの。
ということは、狙われたのは数人だけかもしれませんが……でも、その場合でも自分が第三者になるのはやめましょう!
ダグ。 そして、韻を踏むフレーズの XNUMX つを借りると、次のようになります。
遅らせるな/今日やる.
[笑] それはどうですか?
アヒル。 ダグ、あなたがそう言うのは分かっていた。
ダグ。 私は追いついています!
そして、今日のショーに日がゆっくりと沈み始めると、読者の XNUMX 人から Apple のゼロデイ ストーリーについて聞きたいと思います。
読者のブライアンは次のようにコメントしています。
「私の頭の中では、Apple の設定アイコンは常に自転車のスプロケットに似ていました。 熱心なバイカーであり、Apple デバイスのユーザーであるあなたは、それが好きだと思いますか?」
それはあなたに向けられています、ポール。
それが好きですか?
自転車のスプロケットに似ていると思いませんか?
アヒル。 とてもわかりやすいので気にしません。 設定 > > ソフトウェアの更新.
(ヒント、ヒント: iOS でアップデートを確認する方法です。)
アイコンがとても特徴的で、打ちやすいのでどこに向かっているか分かります。
しかし、いいえ、それをサイクリングと関連付けたことは一度もありません。それがギア付き自転車のフロント チェーンリングであるとすれば、それらはすべて間違っているからです。
正しく接続されていません。
それらに力を入れる方法はありません。
スプロケットはXNUMX本ありますが、歯の大きさが違います。
ジャンピー ギア タイプの自転車ギア (いわゆるディレイラー) でギアがどのように機能するかを考えてみると、チェーンは XNUMX つしかなく、チェーンには特定の間隔、つまりいわゆるピッチがあります。
したがって、すべてのコグまたはスプロケット (技術的には、コグはコグを駆動し、チェーンはスプロケットを駆動するため、歯車ではありません)... すべてのスプロケットは同じサイズまたはピッチの歯を持っている必要があります。
そして、それらの歯は非常にとがっています。 ダグ。
コメントの誰かが、脱進機や時計内部のある種の歯車など、時計仕掛けに関係する何かを思い出させると思ったと言いました.
しかし、信頼性と精度を向上させるために非常に特徴的な形状を使用しているため、時計職人は「いいえ、私たちはそのような歯を形作ることはありません」と言うでしょう.
だから私はその Apple アイコンにとても満足しています。
Android アイコン、皮肉なことに…
…そして、これについて考えたとき、私はあなたのことを考えました、ダグ[笑い]、そして私は考えました。 そういえば……」
..それは自転車の後ろの歯車のように見えます (歯車ではなく、スプロケットであることは知っています。歯車は歯車を駆動し、チェーンはスプロケットを駆動しますが、何らかの理由で、小さいときにそれらを歯車と呼びます)自転車の後ろ)。
しかし、歯はXNUMX本しかありません。
私が言及している自転車の後部歯車の最小のものは XNUMX 歯です。これは非常に小さく、非常にきついカーブで、特別な用途でのみ使用されます。
コグが小さければ小さいほど、トリックをしているときに地面にぶつかる可能性が低くなるため、BMX 愛好家に好まれます。
つまり…サイバーセキュリティとはほとんど関係ありませんが、最近では「ユーザー インターフェイス」ではなく「ユーザー エクスペリエンス」として知られているものについての興味深い洞察です。
ダグ。 よし、ブライアン、コメントしてくれてどうもありがとう。
投稿したい興味深いストーリー、コメント、質問がある場合は、ポッドキャストで読んでください。
tips@sophos.com に電子メールを送信するか、いずれかの記事にコメントするか、ソーシャル (@Naked Security) でご連絡ください。
それが今日の私たちのショーです–聞いてくれてありがとう。
ポール・ダックリンの場合、私はダグ・アーモスです。次回まで…
どちらも。 安全を確保してください!
【ミュージックモデム】
![シーズン 3 Ep130: ガレージ ベイのドアを開く、HAL [オーディオ + テキスト]](https://platoaistream.net/wp-content/uploads/2023/04/s3-ep130-open-the-garage-bay-doors-hal-audio-text-360x188.png)
