LUISTER NU
Met Doug Aamoth en Paul Ducklin.
Intro en outro muziek door Edith Mudge.
Klik en sleep op de onderstaande geluidsgolven om naar een willekeurig punt te gaan. Je kan ook luister direct op Soundcloud.
Je kunt naar ons luisteren op Soundcloud, Apple Podcasts, Google Podcasts, Spotify, stikster en overal waar goede podcasts te vinden zijn. Of laat de URL van onze RSS-feed in je favoriete podcatcher.
LEES DE TRANSCRIPT
DOUG. Zero-days, meer zero-days, TikTok en een trieste dag voor de beveiligingsgemeenschap.
Dat alles en meer, op de Naked Security-podcast.
[MUZIEK MODEM]
Welkom bij de Naked Security-podcast, iedereen.
Ik ben Doug Aamoth.
Bij mij, zoals altijd, is Paul Ducklin.
Paul, hoe gaat het vandaag?
EEND. Het gaat heel, heel goed, dank je, Douglas!
DOUG. Laten we de show beginnen met ons Tech History-segment.
Ik ben blij u te kunnen vertellen: deze week, op 09 september 1947, werd er een echte mot gevonden in de Mark II-computer van Harvard University.
En hoewel wordt aangenomen dat het gebruik van de term "bug" om technische problemen aan te duiden al jaren en jaren van tevoren in gebruik was, wordt aangenomen dat dit incident heeft geleid tot de nu alomtegenwoordige "debug".
Waarom?
Want toen de mot eenmaal uit de Mark II was verwijderd, werd deze in het technische logboek geplakt en gelabeld als "Het eerste geval van een daadwerkelijke bug die werd gevonden."
Ik hou van dat verhaal!
EEND. Dat doe ik ook!
Ik denk dat het eerste bewijs dat ik van die term heb gezien niemand minder dan Thomas Edison was – ik denk dat hij de term 'bugs' gebruikte.
Maar aangezien het 1947 was, waren dit de allereerste dagen van digitaal computergebruik, en nog niet alle computers op kleppen of buizen, omdat buizen nog steeds erg duur waren en erg heet werden en veel elektriciteit nodig hadden.
Dus deze computer, ook al kon hij trigonometrie en zo doen, was eigenlijk gebaseerd op relais - elektromechanische schakelaars, geen pure elektronische schakelaars.
Het is best verbazingwekkend dat zelfs in de late jaren veertig op relais gebaseerde computers nog steeds een ding waren ... hoewel ze niet lang zouden bestaan.
DOUG. Nou, Paul, laten we zeggen over het onderwerp van rommelige dingen en bugs.
Een rommelig ding dat mensen lastigvalt, is de kwestie van dit TikTok-ding.
Er zijn inbreuken, en er zijn inbreuken... is dit werkelijk een inbreuk?
EEND. Zoals je zegt, Douglas, dit is een rommeltje geworden...
Omdat het een enorm verhaal was dit weekend, nietwaar?
"TikTok-inbreuk - wat was het eigenlijk?"
Op het eerste gezicht klinkt het als: "Wauw, 2 miljard gegevensrecords, 1 miljard gebruikers gecompromitteerd, hackers zijn binnengekomen", en zo.
Nu hebben verschillende mensen die regelmatig te maken hebben met datalekken, met name Troy Hunt of Heb ik Pwned, hebben voorbeeldfoto's gemaakt van de gegevens die zouden zijn "gestolen" en zijn ernaar op zoek gegaan.
En de consensus lijkt precies te ondersteunen wat TikTok heeft gezegd, namelijk dat deze gegevens sowieso openbaar zijn.
Dus wat het lijkt te zijn, is een verzameling gegevens, laten we zeggen een gigantische lijst met video's ... waarvan ik denk dat TikTok waarschijnlijk niet wil dat je het alleen voor jezelf kunt downloaden, omdat ze willen dat je door het platform gaat, en hun links gebruiken, en hun advertenties zien zodat ze geld kunnen verdienen met het spul.
Maar geen van de gegevens, geen van de dingen in de lijsten lijkt vertrouwelijk of privé te zijn geweest voor de getroffen gebruikers.
Toen Troy Hunt op zoek ging en bijvoorbeeld een willekeurige video koos, zou die video onder de naam van die gebruiker als openbaar verschijnen.
En de gegevens over de video in de "inbreuk" zeiden niet ook: "Oh, en tussen haakjes, hier is de TikTok-ID van de klant; hier is hun wachtwoord-hash; hier is hun thuisadres; hier is een lijst met privévideo's die ze nog niet hebben gepubliceerd”, enzovoort.
DOUG. OK, dus als ik een TikTok-gebruiker ben, is hier dan een waarschuwend verhaal?
Moet ik iets doen?
Wat betekent dit voor mij als gebruiker?
EEND. Dat is precies het ding. Doug – Ik denk dat veel artikelen die hierover zijn geschreven wanhopig op zoek waren naar een soort conclusie.
Wat kunt u doen?
Dus de brandende vraag die mensen stellen is: "Wel, moet ik mijn wachtwoord wijzigen? Moet ik twee-factor-authenticatie inschakelen?'... alle gebruikelijke dingen die je hoort.
In dit geval lijkt het alsof er geen specifieke noodzaak is om uw wachtwoord te wijzigen.
Er is geen suggestie dat wachtwoord-hashes zijn gestolen en nu kunnen worden gekraakt door een ontelbare off-duty bitcoin-mijnwerkers [LAUGHS] of iets dergelijks.
Er is geen suggestie dat gebruikersaccounts hierdoor gemakkelijker te targeten zijn.
Aan de andere kant, als je zin hebt om je wachtwoord te veranderen... kan dat ook.
De algemene aanbeveling tegenwoordig is routinematig en regelmatig en regelmatig uw wachtwoord *volgens een schema* te wijzigen (zoals, "Een keer per maand uw wachtwoord wijzigen voor het geval dat") is een slecht idee omdat [ROBOTIC STEM] het - gewoon - krijgt - u – in – een – repetitieve – gewoonte die de dingen niet echt verbetert.
Omdat we weten wat mensen doen, gaan ze gewoon: -01, -02, 03 aan het einde van het wachtwoord.
Dus ik denk niet dat je je wachtwoord hoeft te veranderen, maar als je besluit dat je dat gaat doen, goed van je.
Mijn eigen mening is dat het in dit geval geen enkel verschil zou hebben gemaakt of je tweefactorauthenticatie had ingeschakeld of niet.
Aan de andere kant, als dit een incident is dat je er uiteindelijk van overtuigt dat 2FA ergens in je leven een plaats heeft...
...dan misschien, Douglas, dat is een zilveren randje!
DOUG. Grote.
Dus dat houden we in de gaten.
Maar het klinkt als niet veel dat gewone gebruikers hieraan hadden kunnen doen ...
EEND. Behalve dat er misschien één ding is dat we kunnen leren, of ons er in ieder geval aan kunnen herinneren.
DOUG. Ik denk dat ik weet wat er gaat komen. [LACHT]
Rijmt het?
EEND. Het zou kunnen, Douglas. [LACHT]
Verdorie, ik ben zo transparant. [LACHEND]
Wees bewust/Voordat je deelt.
Als iets eenmaal openbaar is, is het *echt openbaar*, en zo simpel is het.
DOUG. Oke, heel goed.
Wees bewust voordat je deelt.
De veiligheidsgemeenschap ging verder en verloor een pionier in Peter Eckersley, die op 43-jarige leeftijd stierf.
Hij was de mede-bedenker van Let's Encrypt.
Dus, vertel ons iets over Let's Encrypt en Eckersley's erfenis, als je wilt.
EEND. Nou, hij deed een heleboel dingen in zijn helaas korte leven, Doug.
We schrijven niet vaak overlijdensberichten op Naked Security, maar dit is een van de berichten waarvan we vonden dat we het moesten doen.
Omdat, zoals je zegt, Peter Eckersley, naast alle andere dingen die hij deed, een van de mede-oprichters was van Let's Encrypt, het project dat het goedkoop (dwz gratis!), maar vooral betrouwbaar en gemakkelijk om HTTPS-certificaten voor uw website te krijgen.
En omdat we Let's Encrypt-certificaten gebruiken op de blogsites Naked Security en Sophos News, vond ik dat we hem op zijn minst een vermelding verschuldigd waren voor dat goede werk.
Omdat iedereen die ooit een website heeft gehad, weet dat, als je een paar jaar teruggaat, het verkrijgen van een HTTPS-certificaat, een TLS-certificaat, waarmee je het hangslot in de webbrowser van je bezoekers kunt plaatsen, niet alleen geld kost, wat thuisgebruikers, hobbyisten , liefdadigheidsinstellingen, kleine bedrijven, sportclubs konden het zich niet gemakkelijk veroorloven... het was een *echt gedoe*.
Er was een hele procedure die je moest doorlopen; het was erg vol jargon en technische dingen; en elk jaar moest je het opnieuw doen, omdat ze natuurlijk verlopen ... het is als een veiligheidscontrole van een auto.
Je moet de oefening doen en bewijzen dat jij nog steeds de persoon bent die het domein kan wijzigen waarvan je beweert dat je er de controle over hebt, enzovoort.
En Let's Encrypt kon dat niet alleen gratis doen, ze konden het ook zo maken dat het proces kon worden geautomatiseerd... en op kwartaalbasis, zodat certificaten ook sneller verlopen als er iets misgaat.
Ze waren in staat snel genoeg vertrouwen op te bouwen dat de grote browsers al snel zeiden: "Weet je wat, we gaan Let's Encrypt vertrouwen om in te staan voor de webcertificaten van andere mensen - wat een root-CA, of certificeringsinstantie.
Vervolgens vertrouwt uw browser standaard Let's Encrypt.
En echt, het zijn al die dingen die samenkomen en dat was voor mij de grootsheid van het project.
Het was niet alleen dat het gratis was; het was niet alleen dat het gemakkelijk was; het was niet alleen dat de browsermakers (die notoir moeilijk te overtuigen zijn om u in de eerste plaats te vertrouwen) besloten: "Ja, we vertrouwen hen."
Het waren al die dingen bij elkaar die een groot verschil maakten en hielpen HTTPS bijna overal op internet te krijgen.
Het is gewoon een manier om dat beetje extra veiligheid toe te voegen aan het browsen dat we doen ...
...niet zozeer voor de versleuteling, zoals we mensen blijven herinneren, maar voor het feit dat [A] je een vechtkans hebt dat je echt verbinding hebt gemaakt met een site die wordt gemanipuleerd door de persoon die het zou moeten manipuleren, en dat [B] wanneer de inhoud terugkomt, of wanneer je er een verzoek naar stuurt, er niet gemakkelijk mee geknoeid kan worden.
Tot Let's Encrypt, met elke HTTP-only website, kon vrijwel iedereen op het netwerkpad bespioneren waar je naar keek.
Erger nog, ze konden het aanpassen – ofwel wat u verzond, of wat u terugkrijgt – en u *kreeg gewoon niet* dat u malware downloadde in plaats van de echte deal, of dat u nepnieuws las in plaats van de echt verhaal.
DOUG. Oké, ik denk dat het passend is om af te sluiten met een geweldige reactie van een van onze lezers, Samantha, die meneer Eckersley schijnt te hebben gekend.
Ze zegt:
“Als er iets is dat ik me altijd herinner van mijn interacties met Pete, dan was het zijn toewijding aan de wetenschap en de wetenschappelijke methode. Vragen stellen is de essentie van het wetenschapper zijn. Ik zal Pete en zijn vragen altijd koesteren. Voor mij was Pete een man die communicatie en de vrije en open uitwisseling van ideeën tussen nieuwsgierige individuen op prijs stelde.”
Goed gezegd, Samantha – bedankt.
EEND. Ja!
En in plaats van RIP [afkorting voor Rest In Peace] te zeggen, denk ik dat ik CIP: Code in Peace zal zeggen.
DOUG. Zeer goed!
Oké, we hadden het vorige week over een hele reeks Chrome-patches, en toen dook er nog een op.
En deze was een belangrijk een ...
EEND. Dat was het inderdaad, Doug.
En omdat het van toepassing was op de Chromium-kern, was het ook van toepassing op Microsoft Edge.
Dus vorige week hadden we het over die... wat was het, 24 veiligheidsgaten.
Eén was kritiek, acht of negen waren hoog.
Er zitten allerlei bugs in geheugenmisbeheer in, maar geen van hen was zero-days.
En dus hadden we het daarover en zeiden: "Kijk, dit is een kleine deal vanuit een zero-day oogpunt, maar het is een grote deal vanuit het oogpunt van een beveiligingspatch. Vooruit: wacht niet langer, doe het vandaag.”
(Sorry - ik rijmde weer, Doug.)
Deze keer is het weer een update die slechts een paar dagen later uitkwam, zowel voor Chrome als voor Edge.
Deze keer is er maar één beveiligingslek gerepareerd.
We weten niet precies of het een misbruik van bevoegdheden is of het uitvoeren van externe code, maar het klinkt serieus, en het is een zero-day met een bekende exploit die al in het wild aanwezig is.
Ik denk dat het goede nieuws is dat zowel Google als Microsoft, en andere browsermakers, deze patch konden toepassen en het heel, heel snel uit konden brengen.
We hebben het niet over maanden of weken ... slechts een paar dagen voor een bekende zero-day die duidelijk werd gevonden nadat de laatste update was uitgekomen, die pas vorige week was.
Dus dat is het goede nieuws.
Het slechte nieuws is natuurlijk dat dit een 0-dag is - de boeven zitten erop; ze gebruiken het al.
Google is een beetje terughoudend geweest over "hoe en waarom" ... dat suggereert dat er op de achtergrond enig onderzoek gaande is dat ze misschien niet in gevaar willen brengen.
Dus nogmaals, dit is een "Patch vroeg, patch vaak" situatie - je kunt deze niet zomaar verlaten.
Als je vorige week hebt gepatcht, moet je het opnieuw doen.
Het goede nieuws is dat Chrome, Edge en de meeste browsers tegenwoordig zichzelf moeten updaten.
Maar zoals altijd loont het om het te controleren, want wat als u vertrouwt op automatisch bijwerken en voor deze ene keer werkt het niet?
Zou dat niet 30 seconden van uw tijd zijn om te controleren of u inderdaad over de nieuwste versie beschikt?
We hebben alle relevante versienummers en het advies [over Naked Security] over waar je moet klikken voor Chrome en Edge om er zeker van te zijn dat je absoluut de nieuwste versie van die browsers hebt.
DOUG. En het laatste nieuws voor iedereen die de score bijhoudt...
Ik heb zojuist mijn versie van Microsoft Edge gecontroleerd en het is de juiste, up-to-date versie, dus het heeft zichzelf bijgewerkt.
OK, last but not least, we hebben een zeldzame maar dringende Apple-update voor iOS 12, waarvan we allemaal dachten dat het klaar en afgestoft was.
EEND. Ja, zoals ik schreef in de eerste vijf woorden van het artikel over Naked Security: "Nou, dit hadden we niet verwacht!"
Ik stond mezelf een uitroepteken toe, Doug, [GELACHT] omdat ik verrast was...
Regelmatige luisteraars van de podcast zullen weten dat mijn geliefde, maar voorheen ongerepte iPhone 6 Plus een fietsongeluk heeft gehad.
De fiets overleefde; Ik liet alle skin terug die ik nodig had [GELACH]... maar mijn iPhone-scherm is nog steeds in honderdduizend miljoen miljard biljoen stukjes. (Alle stukjes die in mijn vinger zullen komen, hebben dat denk ik al gedaan.)
Dus ik dacht ... iOS 12, het is een jaar geleden dat ik de laatste update had, dus het is duidelijk volledig buiten de radar van Apple.
Het krijgt geen andere beveiligingsoplossingen.
Ik dacht: "Nou, het scherm kan niet opnieuw kapot gaan, dus het is een geweldige noodtelefoon om mee te nemen als ik onderweg ben" ... als ik ergens heen ga, als ik moet bellen of naar de kaart. (Ik ga er geen e-mail of andere werkgerelateerde dingen aan doen.)
En zie, het heeft een update gekregen, Doug!
Plotseling, bijna een jaar op de dag na de vorige... Ik denk dat 23 september 2021 de . was laatste update Ik had.
Opeens heeft Apple deze update uitgebracht.
Het heeft betrekking op de vorige patches waar we het over hadden, waar ze de noodupdate deden voor hedendaagse iPhones en iPads, en alle versies van macOS.
Daar waren ze een WebKit-bug en een kernelbug aan het patchen: beide zero days; beide worden in het wild gebruikt.
(Ruikt dat naar spyware voor jou? Dat deed het voor mij!)
De WebKit-bug betekent dat je een website kunt bezoeken of een document kunt openen, en dat het de app overneemt.
Dan betekent de kernelbug dat je je breinaald rechtstreeks in het besturingssysteem steekt en in feite een gat slaat in het befaamde beveiligingssysteem van Apple.
Maar er was geen update voor iOS 12, en, zoals we de vorige keer zeiden, wie wist of dat was omdat iOS 12 toevallig onkwetsbaar was, of dat Apple er echt niets aan zou doen omdat het eraf viel de rand van de planeet een jaar geleden?
Nou, het lijkt erop dat het niet helemaal van de rand van de planeet is gevallen, of het balanceert op de rand ... en het *was* kwetsbaar.
Goed nieuws... de kernelbug waar we het de vorige keer over hadden, datgene waardoor iemand in wezen de hele iPhone of iPad zou kunnen overnemen, is niet van toepassing op iOS 12.
Maar die WebKit-bug - die onthoud, beïnvloedt *elke* browser, niet alleen Safari, en elke app die elke vorm van webgerelateerde weergave uitvoert, zelfs als het alleen in zijn Over scherm…
... die bug *bestond* in iOS 12, en Apple had er duidelijk een sterk gevoel bij.
Dus daar ben je: als je een oudere iPhone hebt en deze nog steeds op iOS 12 staat omdat je hem niet kunt updaten naar iOS 15, dan moet je deze gaan halen.
Omdat dit de WebKit-bug waar we het de vorige keer over hadden - het is in het wild gebruikt.
Apple-patches verdubbelen zero-day in browser en kernel - update nu!
En het feit dat Apple zich tot het uiterste heeft ingespannen om een besturingssysteemversie te ondersteunen die aan het einde van de levensduur leek te zijn, suggereert, of nodigt je in ieder geval uit om te concluderen, dat is ontdekt dat dit op snode manieren is gebruikt voor allerlei ondeugende dingen.
Dus misschien zijn maar een paar mensen het doelwit geworden... maar zelfs als dat het geval is, laat jezelf dan niet de derde persoon zijn!
DOUG. En om een van je rijmwoorden te lenen:
Stel het niet uit / doe het vandaag nog.
[LACHT] Hoe zit het daarmee?
EEND. Doug, ik wist dat je dat ging zeggen.
DOUG. Ik ben aan het inhalen!
En terwijl de zon langzaam begint onder te gaan in onze show voor vandaag, willen we graag horen van een van onze lezers over het Apple zero-day-verhaal.
Lezer Bryan commentaar:
"Het instellingenpictogram van Apple heeft in mijn gedachten altijd op een tandwiel van een fiets geleken. Als een fervent motorrijder, een gebruiker van een Apple-apparaat, verwacht ik dat je dat leuk vindt?
Dat is tegen jou gericht, Paul.
Vind je dat leuk?
Denk je dat het op een tandwiel van een fiets lijkt?
EEND. Ik vind het niet erg, want het is heel herkenbaar, zeg maar als ik naar toe wil Instellingen > Algemeen > Software-update.
(Hint, hint: zo controleer je op updates op iOS.)
Het pictogram is heel onderscheidend en het is gemakkelijk te raken, zodat ik weet waar ik heen ga.
Maar nee, ik heb het nooit met fietsen in verband gebracht, want als dat voorste kettingbladen op een fiets met versnellingen waren, dan klopt het helemaal niet.
Ze zijn niet goed aangesloten.
Er is geen manier om hen macht te geven.
Er zijn twee tandwielen, maar ze hebben tanden van verschillende groottes.
Als je nadenkt over hoe versnellingen werken op fietsversnellingen van het springerige tandwiel (derailleurs, zoals ze bekend zijn), heb je maar één ketting en de ketting heeft een specifieke afstand, of steek zoals het wordt genoemd.
Dus alle tandwielen of tandwielen (technisch gezien zijn het geen tandwielen, omdat tandwielen tandwielen aandrijven en kettingen tandwielen aandrijven)... alle tandwielen moeten tanden van dezelfde maat of steek hebben, anders past de ketting niet!
En die tanden zijn erg stekelig. Doug.
Iemand in de reacties zei dat ze dachten dat het hen deed denken aan iets dat met uurwerk te maken had, zoals een echappement of een soort tandwiel in een klok.
Maar ik ben er vrij zeker van dat klokkenmakers zouden zeggen: "Nee, zo zouden we de tanden niet vormen", omdat ze zeer onderscheidende vormen gebruiken om de betrouwbaarheid en precisie te vergroten.
Dus ik ben best blij met dat Apple-pictogram, maar nee, het doet me niet aan fietsen denken.
Het Android-pictogram, ironisch genoeg ...
…en ik dacht aan jou toen ik hieraan dacht, Doug [GELACHT], en ik dacht: “Oh, golly, ik zal hier nooit het einde van horen. Als ik het zeg"...
..dat lijkt op een achtertandwiel op een fiets (en ik weet dat het geen tandwiel is, het is een tandwiel, omdat tandwielen tandwielen aandrijven en kettingen tandwielen aandrijven, maar om de een of andere reden noem je ze tandwielen als ze klein zijn aan de achterop een fiets).
Maar hij heeft maar zes tanden.
Het kleinste tandwiel van de achterfiets dat ik kan vinden is negen tanden - dat is erg klein, een erg krappe bocht, en alleen in speciale toepassingen.
BMX-jongens vinden ze leuk, want hoe kleiner het tandwiel, hoe kleiner de kans dat je de grond raakt als je tricks doet.
Dus... dat heeft weinig te maken met cyberbeveiliging, maar het is een fascinerend inzicht in wat volgens mij tegenwoordig niet bekend staat als "de gebruikersinterface", maar "de gebruikerservaring".
DOUG. Oké, heel erg bedankt, Bryan, voor je commentaar.
Als je een interessant verhaal, opmerking of vraag hebt die je wilt indienen, lezen we die graag in de podcast.
Je kunt een e-mail sturen naar tips@sophos.com, reageren op een van onze artikelen of je kunt ons bereiken op social: @Naked Security.
Dat is onze show voor vandaag – heel erg bedankt voor het luisteren.
Voor Paul Ducklin, ik ben Doug Aamoth, ik herinner je eraan tot de volgende keer om...
BEIDE. Blijf veilig!
[MUZIEK MODEM]
- blockchain
- vindingrijk
- cryptocurrency wallets
- cryptoexchange
- internetveiligheid
- cybercriminelen
- Cybersecurity
- Department of Homeland Security
- digitale portefeuilles
- Eckerley
- firewall
- Kaspersky
- Laten we versleutelen
- malware
- Mcafee
- Naakte beveiliging
- Naakte beveiligingspodcast
- NexBLOC
- Peter
- Plato
- plato ai
- Plato gegevensintelligentie
- Plato-spel
- PlatoData
- platogamen
- Podcast
- Tik Tok
- VPN
- website veiligheid
- zephyrnet
