지금 듣기
Doug Aamoth와 Paul Ducklin과 함께.
인트로 및 아웃트로 음악 에디스 머지.
원하는 지점으로 건너뛰려면 아래의 음파를 클릭하고 끕니다. 당신은 또한 수 직접 들어 사운드클라우드에서.
당신은 우리를들을 수 있습니다 사운드 클라우드, Apple Podcasts, Google 포드 캐스트, 스포티 파이, 스티 그리고 좋은 팟캐스트가 있는 곳이면 어디든지. 아니면 그냥 버리세요 RSS 피드의 URL 좋아하는 팟캐쳐에.
대본 읽기
더그. 제로데이, 더 많은 제로데이, TikTok, 그리고 보안 커뮤니티의 슬픈 날.
Naked Security 팟캐스트에서 이 모든 것.
[뮤지컬 모뎀]
Naked Security 팟캐스트에 오신 것을 환영합니다. 여러분.
저는 더그 아모스입니다.
언제나 그렇듯이 폴 더클린이 나와 함께합니다.
폴, 오늘 어때?
오리. 잘 지내고 있어요, 고마워요, 더글라스!
더그. 자, Tech History 세그먼트로 쇼를 시작하겠습니다.
09년 1947월 XNUMX일 이번 주에 하버드 대학의 Mark II 컴퓨터에서 실제 나방이 발견되었습니다.
그리고 엔지니어링 결함을 나타내기 위해 "버그"라는 용어를 사용하는 것은 이미 수년 전부터 사용되어 온 것으로 생각되지만, 이 사건으로 인해 이제 유비쿼터스적인 "디버그"가 된 것으로 믿어집니다.
이유는 무엇입니까?
나방이 Mark II에서 제거되면 엔지니어링 로그북 안에 테이프로 붙여지고 "실제 버그가 발견된 첫 번째 사례"라는 레이블이 붙었기 때문입니다.
나는 그 이야기를 좋아한다!
오리. 나도 그래!
제가 그 용어에 대해 본 첫 번째 증거는 다름 아닌 Thomas Edison이었습니다. 제 생각에는 그가 "버그"라는 용어를 사용한 것 같습니다.
그러나 물론 1947년 당시는 디지털 컴퓨팅의 초창기였으며 아직 모든 컴퓨터가 밸브나 튜브로 작동하는 것은 아니었습니다. 왜냐하면 튜브는 여전히 매우 비싸고 매우 뜨겁고 많은 전기를 필요로 하기 때문입니다.
따라서 이 컴퓨터는 삼각법과 같은 작업을 수행할 수 있지만 실제로는 순수한 전자 스위치가 아닌 전자 기계 스위치인 릴레이를 기반으로 했습니다.
1940년대 후반에도 릴레이 기반 컴퓨터가 여전히 존재했다는 것은 매우 놀라운 사실입니다.
더그. 글쎄요, Paul, 지저분한 것들과 버그들에 대해 얘기해 봅시다.
사람들을 괴롭히는 지저분한 것은 이 TikTok 문제입니다.
위반이 있고 위반이 있습니다. 이것이 실제로 위반입니까?
오리. 당신이 말했듯이, 더글러스, 이것은 지저분한 일이되었습니다 ...
주말에 엄청난 이야기였으니까, 그렇지?
“TikTok 침해 – 그것이 실제로 무엇이었습니까?”
처음에는 얼굴을 붉히며 "와우, 2억 개의 데이터 레코드, 1억 명의 사용자가 손상되었습니다. 해커가 침입했습니다."라는 식으로 들립니다.
이제 정기적으로 데이터 침해를 처리하는 여러 사람, 특히 Troy Hunt의 나는 쭈그리고 들어왔다., "도난"된 것으로 추정되는 데이터의 샘플 스냅샷을 찍어 찾아갔습니다.
그리고 합의는 TikTok이 말한 바, 즉 이 데이터는 어쨌든 공개된다는 것을 정확히 뒷받침하는 것 같습니다.
따라서 거대한 비디오 목록이 있는 것처럼 보이는 데이터 모음입니다. TikTok은 아마도 여러분이 플랫폼을 통해 이동하기를 원하기 때문에 TikTok이 여러분이 직접 다운로드할 수 있기를 바라지 않을 것입니다. 링크를 사용하고 광고를 보고 수익을 창출할 수 있습니다.
그러나 그 어떤 데이터도, 목록에 있는 어떤 것도 영향을 받는 사용자에게 기밀이거나 사적인 것이 아닌 것 같습니다.
예를 들어 Troy Hunt가 임의의 비디오를 찾아 선택했을 때 해당 비디오는 해당 사용자의 이름으로 공개로 표시됩니다.
그리고 "위반"의 비디오에 대한 데이터는 "아, 그런데, 여기 고객의 TikTok ID가 있습니다. 다음은 비밀번호 해시입니다. 여기 그들의 집 주소가 있습니다. 아직 게시하지 않은 비공개 동영상 목록이 있습니다.” 등의 방식으로 진행됩니다.
더그. 자, 제가 TikTok 사용자라면 여기에 주의 사항이 있습니까?
내가 해야 할 일이 있나요?
이것이 사용자에게 어떤 영향을 미칩니까?
오리. 그게 다야. Doug – 이에 대해 작성된 많은 기사가 어떤 종류의 결론을 찾기 위해 필사적이었던 것 같습니다.
당신은 무엇을 할 수 있을까요?
그래서 사람들이 가장 많이 하는 질문은 “글쎄, 비밀번호를 바꿔야 하나? 이중 인증을 켜야 합니까?”… 일상적으로 듣게 되는 모든 것.
이 경우 비밀번호를 변경할 필요가 없는 것처럼 보입니다.
암호 해시가 도난당했으며 이제 수백만 명의 비번 비트코인 광부[LAUGHS] 또는 이와 유사한 것에 의해 크랙될 수 있다는 암시는 없습니다.
이로 인해 사용자 계정을 대상으로 지정하기가 더 쉬울 수 있다는 제안은 없습니다.
반면에 비밀번호를 변경하고 싶다면... 그렇게 할 수도 있습니다.
요즘 일반적인 권장 사항은 *일정에 따라* 비밀번호를 정기적으로 자주 변경하는 것입니다(예: "만약에 대비하여 한 달에 한 번 비밀번호 변경")은 [ROBOTIC VOICE]가 – 그냥 – 얻기 때문에 나쁜 생각입니다. – 안으로 – – 반복적인 – 실제로 개선되지 않는 습관.
우리는 사람들이 무엇을 하는지 알고 있기 때문에 비밀번호 끝에서 -01, -02, 03으로 이동합니다.
따라서 비밀번호를 변경할 필요는 없다고 생각합니다. 비밀번호를 변경하기로 결정했다면 다행입니다.
내 생각에 이 경우 이중 인증을 설정했는지 여부는 아무런 차이가 없었을 것입니다.
한편, 2FA가 당신의 삶의 어딘가에 자리 잡고 있다고 마침내 설득하는 사건이라면…
...그렇다면 아마도 Douglas, 그것은 은빛 안감입니다!
더그. 큰.
그래서 우리는 그것을 주시할 것입니다.
그러나 일반 사용자가 이에 대해 할 수 있는 일은 많지 않은 것 같습니다...
오리. 우리가 배울 수 있거나 적어도 그것으로부터 우리 자신을 상기시킬 수 있는 한 가지가 있다는 것을 제외하고는.
더그. 무슨 일이 일어날지 알 것 같아요. [웃음]
운율이 있습니까?
오리. 그럴 수도 있어요, 더글라스. [웃음]
젠장, 난 너무 투명해. [웃음]
공유하기 전에 알아두세요.
일단 공개되면 *실제로 공개*되며 간단합니다.
더그. 그래 아주 좋다.
공유하기 전에 주의하십시오.
곧바로 보안 커뮤니티는 43세의 나이로 사망한 Peter Eckersley의 개척자를 잃었습니다.
그는 Let's Encrypt의 공동 제작자였습니다.
Let's Encrypt와 에커슬리의 유산, 당신이 원한다면.
오리. 글쎄요, 그는 불행하게도 짧은 생애 동안 많은 일을 했습니다. Doug.
우리는 Naked Security에 사망 기사를 자주 쓰지 않지만 이것은 우리가 해야 한다고 느꼈던 것 중 하나입니다.
당신이 말했듯이 Peter Eckersley는 그가 한 다른 모든 일들 중에서 Let's Encrypt의 공동 설립자 중 한 명이었습니다. 이 프로젝트는 저렴하지만(즉, 무료!), 가장 중요하게는 신뢰할 수 있고 웹 사이트에 대한 HTTPS 인증서를 쉽게 얻을 수 있습니다.
그리고 Naked Security와 Sophos News 블로그 사이트에서 Let's Encrypt 인증서를 사용하기 때문에 그 좋은 일에 대해 최소한 그에게 언급해야 한다고 생각했습니다.
웹사이트를 운영해 본 사람이라면 누구나 알 것입니다. 몇 년 전으로 돌아가서 HTTPS 인증서, TLS 인증서를 받으면 방문자의 웹 브라우저에 자물쇠를 넣을 수 있게 하는 데 비용이 많이 들 뿐만 아니라 가정 사용자, 취미 생활자 , 자선 단체, 소규모 기업, 스포츠 클럽은 쉽게 감당할 수 없었습니다... 그것은 *진짜 번거로움*이었습니다.
이 모든 절차를 거쳐야 했습니다. 전문 용어와 기술적인 내용으로 가득 차 있었습니다. 그리고 매년 다시 해야 합니다. 분명히 만료되기 때문입니다... 마치 자동차의 안전 점검과 같습니다.
당신은 연습을 거쳐야 하고, 당신이 여전히 당신이 통제하고 있다고 주장하는 도메인 등을 수정할 수 있는 사람이라는 것을 증명해야 합니다.
Let's Encrypt는 이 작업을 무료로 할 수 있을 뿐만 아니라 프로세스를 자동화할 수 있도록 만들 수 있었습니다. 그리고 분기별로 문제가 발생할 경우 인증서가 더 빨리 만료될 수 있습니다.
그들은 신뢰를 빠르게 구축할 수 있어 주요 브라우저가 곧 "우리는 Let's Encrypt를 신뢰하여 다른 사람들의 웹 인증서를 보증할 것입니다. 루트 CA, 또는 인증 기관.
그러면 브라우저는 기본적으로 Let's Encrypt를 신뢰합니다.
그리고 실제로, 이 모든 것들이 함께 모여 나에게 이 프로젝트의 장엄함을 가져다주었습니다.
그것은 단지 무료가 아니 었습니다. 쉬웠을 뿐만 아니라; 처음부터 사용자를 신뢰하도록 설득하기 어려운 것으로 악명 높은 브라우저 제조업체가 "예, 우리는 그들을 신뢰합니다"라고 결정한 것이 아닙니다.
이 모든 것이 결합되어 큰 차이를 만들었으며 인터넷의 거의 모든 곳에서 HTTPS를 사용할 수 있었습니다.
그것은 우리가하는 브라우징에 약간의 추가 안전을 추가하는 방법 일뿐입니다 ...
...암호화에 대한 것이 아니라 사람들에게 계속 상기시켜 주지만 [A] 당신이 실제로 그것을 조작해야 하는 사람에 의해 조작되고 있는 사이트에 연결했을 가능성이 있다는 사실 때문에, 그리고 [B] 콘텐츠가 다시 올 때 또는 요청을 보낼 때 도중에 쉽게 변조될 수 없습니다.
Let's Encrypt까지 HTTP 전용 웹사이트에서는 네트워크 경로에 있는 거의 모든 사람이 당신이 보고 있는 것을 감시할 수 있었습니다.
설상가상으로, 그들은 당신이 보낸 내용이나 받는 내용을 수정할 수 있으며 실제 거래 대신 맬웨어를 다운로드하고 있는지, 아니면 가짜 뉴스를 읽고 있는지 *단순히 알 수 없습니다* 실화.
더그. 좋습니다. 독자 중 한 명의 의견, Eckersley 씨를 알고 있었던 것으로 보이는 Samantha.
그녀는 말합니다 :
“피트와의 상호 작용에 대해 항상 기억하는 것이 있다면, 그것은 과학과 과학적 방법에 대한 그의 헌신이었습니다. 질문을 하는 것은 과학자가 되는 것의 본질입니다. 나는 항상 Pete와 그의 질문을 소중히 여길 것입니다. 나에게 피트는 호기심이 많은 사람들 사이에서 의사소통과 자유롭고 개방적인 아이디어 교환을 중요시하는 사람이었습니다.”
좋은 말씀입니다, 사만다 – 감사합니다.
오리. 네!
그리고 RIP(Rest In Peace의 약어)라고 하는 대신 CIP: Code in Peace라고 말할 것입니다.
더그. 아주 좋아요!
좋아요, 음, 우리는 지난 주에 수많은 Chrome 패치에 대해 이야기한 후 하나 더 나타났습니다.
그리고 이것은 중대한 하나…
오리. 정말이야, 더그.
그리고 Chromium 코어에 적용했기 때문에 Microsoft Edge에도 적용되었습니다.
그래서 지난 주에 우리는 24개의 보안 구멍에 대해 이야기했습니다.
하나는 치명적이고 XNUMX~XNUMX개는 높음입니다.
모든 종류의 메모리 관리 오류 버그가 있지만 그 중 어느 것도 제로 데이가 아닙니다.
그래서 우리는 "이봐, 이것은 제로데이 관점에서 보면 작은 일이지만 보안 패치 관점에서 보면 큰 일이다. 서두르세요. 미루지 말고 오늘 하십시오.”
(죄송합니다. 다시 운을 뗐습니다, Doug.)
이번에는 Chrome과 Edge 모두에서 며칠 후에 나온 또 다른 업데이트입니다.
이번에는 보안 구멍이 하나만 수정되었습니다.
권한 상승인지 원격 코드 실행인지는 잘 모르겠지만 심각하게 들리며 이미 알려진 익스플로잇이 있는 제로데이입니다.
좋은 소식은 Google과 Microsoft, 그리고 다른 브라우저 제조업체가 모두 이 패치를 적용하여 정말, 정말 빨리 얻을 수 있었다는 것입니다.
우리는 몇 달 또는 몇 주에 대해 이야기하는 것이 아니라 지난주에야 마지막 업데이트가 나온 후 분명히 발견된 알려진 제로데이에 대해 며칠만 이야기하는 것입니다.
좋은 소식입니다.
물론 나쁜 소식은 이것이 0일이라는 것입니다. 그들은 이미 그것을 사용하고 있습니다.
Google은 "어떻게 그리고 왜"에 대해 약간 수줍어했습니다... 이는 그들이 위험에 빠지고 싶지 않을 수 있는 백그라운드에서 진행 중인 조사가 있음을 시사합니다.
다시 한 번, 이것은 "일찍 패치하고 자주 패치하는" 상황입니다. 이 상황을 그냥 둘 수는 없습니다.
지난 주에 패치했다면 다시 해야 합니다.
좋은 소식은 Chrome, Edge 및 요즘 대부분의 브라우저가 자동으로 업데이트되어야 한다는 것입니다.
그러나 항상 그렇듯이 자동 업데이트에 의존하고 있는데 이번 한 번만 작동하지 않는다면 어떻게 될까요?
정말 최신 버전이 있는지 확인하는 데 30초의 시간을 할애하지 않을까요?
우리는 모든 관련 버전 번호와 [Naked Security]에 대한 조언을 제공하여 Chrome 및 Edge를 클릭하여 해당 브라우저의 최신 버전을 절대적으로 보유하고 있는지 확인합니다.
더그. 그리고 점수를 기록하는 사람을 위한 속보…
방금 내 Microsoft Edge 버전을 확인했는데 올바른 최신 버전이므로 자동으로 업데이트되었습니다.
좋습니다. 마지막으로 중요한 것은 희귀하지만 긴급 애플 업데이트 iOS 12용으로, 우리 모두는 완료되고 먼지가 쌓였다고 생각했습니다.
오리. 네, Naked Security에 대한 기사의 처음 다섯 단어에서 "글쎄, 우리는 이것을 예상하지 못했습니다!"라고 썼습니다.
나는 놀랐기 때문에 느낌표를 허용했습니다. Doug, [웃음]…
팟캐스트를 정기적으로 듣는 사람이라면 내 사랑하는 사람이 낡았지만 이전에는 깨끗한 상태였던 iPhone 6 Plus가 자전거 충돌 사고를 당했다는 것을 알게 될 것입니다.
자전거는 살아 남았습니다. 나는 내가 필요로 하는 모든 피부를 다시 키웠습니다. [웃음]... 하지만 내 iPhone 화면은 여전히 XNUMX억 억 조각으로 되어 있습니다. (내 손가락에 들어갈 모든 비트는 이미 그렇게 했다고 생각합니다.)
그래서 저는… iOS 12, 마지막 업데이트를 한 지 XNUMX년이 되었기 때문에 분명히 Apple의 레이더에서 완전히 벗어났습니다.
다른 보안 수정 사항은 적용되지 않습니다.
"음, 다시는 화면이 깨지지 않으니 이동 중에도 휴대하기 좋은 긴급전화" 라고 생각했는데… 지도. (나는 이메일이나 업무와 관련된 일을하지 않을 것입니다.)
그리고 보라, 업데이트가 생겼다, Doug!
갑자기, 거의 23년이 지난 다음 날... 제 생각에 2021년 XNUMX월 XNUMX일은 마지막 업데이트 나는 가지고 있었다.
갑자기 Apple에서 이 업데이트를 발표했습니다.
그것은 관련 이전 패치 최신 iPhone 및 iPad, 모든 macOS 버전에 대한 긴급 업데이트를 수행한 위치에 대해 이야기했습니다.
그곳에서 그들은 WebKit 버그와 커널 버그를 패치하고 있었습니다. 둘 다 제로일이었습니다. 둘 다 야생에서 사용됩니다.
(스파이웨어 냄새가 나나요? 나한테 그랬어요!)
WebKit 버그는 웹 사이트를 방문하거나 문서를 열 수 있고 앱을 인계받을 수 있음을 의미합니다.
그런 다음 커널 버그는 뜨개질 바늘을 운영 체제에 바로 넣고 기본적으로 Apple의 잘 알려진 보안 시스템에 구멍을 뚫는 것을 의미합니다.
그러나 iOS 12에 대한 업데이트는 없었고 지난 시간에 말했듯이 iOS 12가 방금 무적이기 때문인지, 아니면 Apple이 정말로 그것에 대해 아무 조치도 취하지 않을 것이라는 것을 누가 알았습니다. XNUMX년 전 행성의 가장자리?
글쎄, 그것은 행성의 가장자리에서 완전히 떨어지지 않았거나 벼랑 끝에서 흔들리고 있는 것처럼 보입니다... 그리고 그것은 *취약했습니다*.
좋은 소식입니다. 지난 시간에 누군가가 본질적으로 전체 iPhone 또는 iPad를 인수하게 하는 커널 버그가 iOS 12에는 적용되지 않습니다.
그러나 WebKit 버그 – 기억하는 것은 Safari뿐만 아니라 *모든* 브라우저와 웹 관련 렌더링을 수행하는 모든 앱에 영향을 미칩니다. 소개 화면…
...그 버그는 iOS 12에 *있었지만* 있었고, 분명히 Apple은 그것에 대해 강하게 느꼈습니다.
그래서, 당신이 있습니다 : 당신이 구형 iPhone을 가지고 있고 iOS 12로 업데이트 할 수 없기 때문에 여전히 iOS 15에 있다면, 당신은 가서 이것을 얻을 필요가 있습니다.
왜냐하면 이것은 웹킷 버그 우리는 지난 시간에 대해 이야기했습니다 – 그것은 야생에서 사용되었습니다.
그리고 Apple이 수명이 다한 운영 체제 버전으로 보이는 것을 지원하기 위해 이 정도의 노력을 기울였다는 사실은 이것이 온갖 더러운 것들.
따라서 표적이 된 사람은 몇 명뿐일 수 있습니다. 하지만 그런 경우라도 제XNUMX자가 되지 않도록 하십시오!
더그. 운율이 있는 문구 중 하나를 빌리려면:
미루지 말고 오늘 하세요.
[웃음] 어때요?
오리. 더그, 그렇게 말할 줄 알았어.
더그. 나는 붙잡고 있다!
그리고 오늘 우리 쇼에서 해가 천천히 지기 시작하면서 Apple 제로 데이 이야기에 대한 독자 중 한 사람의 이야기를 듣고 싶습니다.
독자 Bryan은 다음과 같이 말합니다.
“Apple의 설정 아이콘은 항상 내 마음속에 있는 자전거 스프로킷과 닮았습니다. 열렬한 바이커이자 Apple 기기 사용자로서 당신이 그렇게 되기를 기대합니까?”
당신을 향한 것입니다, 폴.
당신은 그것을 좋아합니까?
자전거 스프로킷처럼 생겼나요?
오리. 나는 상관없어요, 아주 눈에 잘 띄기 때문에 가고 싶은지 말하세요 설정 > 일반 > 소프트웨어 업데이트.
(힌트, 힌트: iOS에서 업데이트를 확인하는 방법입니다.)
아이콘이 매우 독특하고 치기 쉽기 때문에 어디로 가는지 알 수 있습니다.
하지만, 아니요. 저는 그것을 사이클링과 연관시킨 적이 없습니다. 왜냐하면 그것이 기어드 자전거의 프론트 체인링이라면 모두 잘못된 것입니다.
제대로 연결되지 않았습니다.
그들에게 힘을 실어줄 방법이 없습니다.
두 개의 스프로킷이 있지만 크기가 다른 톱니가 있습니다.
점프 기어형 자전거 기어(디레일러로 알려져 있음)에서 기어가 작동하는 방식을 생각하면 체인이 하나만 있고 체인에는 특정 간격 또는 피치가 있습니다.
따라서 모든 톱니 또는 스프로킷(기술적으로 톱니가 아니라 톱니가 톱니를 구동하고 체인이 스프로킷을 구동하기 때문입니다)... 모든 스프로킷은 동일한 크기 또는 피치의 톱니를 가져야 합니다. 그렇지 않으면 체인이 맞지 않습니다!
그리고 그 이빨은 매우 뾰족합니다. 더그.
댓글의 누군가는 그것이 이스케이프먼트 또는 시계 내부의 기어링과 같은 시계 장치와 관련이 있다고 생각한다고 말했습니다.
그러나 시계 제작자는 신뢰성과 정확성을 높이기 위해 매우 독특한 모양을 사용하기 때문에 "아니요, 우리는 그런 치아 모양을 만들지 않을 것입니다"라고 말할 것이라고 확신합니다.
그래서 저는 그 Apple 아이콘에 매우 만족합니다. 하지만 아니요, 자전거를 떠올리게 하지는 않습니다.
안드로이드 아이콘은 아이러니하게도…
... 그리고 Doug [웃음] 이 생각을 했을 때 나는 당신을 생각했습니다. 그리고 저는 생각했습니다. 언급하면"…
..그것은 자전거의 뒷 톱니처럼 보입니다. 자전거 뒤).
하지만 이빨은 XNUMX개뿐이다.
내가 언급할 수 있는 가장 작은 후방 자전거 톱니는 XNUMX개의 톱니입니다. 이는 매우 작고 매우 촘촘한 곡선이며 특별한 용도로만 사용됩니다.
톱니가 작을수록 트릭을 할 때 땅에 떨어질 가능성이 적기 때문에 BMX 사람들이 좋아합니다.
그래서… 사이버 보안과는 거의 관련이 없지만, 요즘 "사용자 인터페이스"가 아니라 "사용자 경험"으로 알려진 것에 대한 매혹적인 통찰력입니다.
더그. 좋아요, Bryan, 댓글을 남겨주셔서 대단히 감사합니다.
제출하고 싶은 흥미로운 이야기, 의견 또는 질문이 있으면 팟캐스트에서 읽고 싶습니다.
팁(tips@sophos.com)으로 이메일을 보내거나, 우리 기사 중 하나에 댓글을 달거나, 소셜(@Naked Security)에서 연락할 수 있습니다.
그것이 오늘의 쇼입니다. 들어주셔서 대단히 감사합니다.
Paul Ducklin에게 저는 Doug Aamoth라고 합니다. 다음 시간까지...
양자 모두. 보안 유지!
[뮤지컬 모뎀]
