S3 Ep99: TikTok "angrep" - var det et datainnbrudd, eller ikke? [Lyd + tekst]

Klikk og dra på lydbølgene nedenfor for å hoppe til et hvilket som helst punkt. Du kan også lytte direkte på Soundcloud.

DOUG.  Null-dager, flere null-dager, TikTok, og en trist dag for sikkerhetsfellesskapet.

Alt det og mer, på Naked Security-podcasten.

[MUSIKK MODEM]

Velkommen til Naked Security-podcasten, alle sammen.

Jeg er Doug Aamoth.

Med meg er som alltid Paul Ducklin.

Paul, hvordan har du det i dag?

---

AND.  Jeg har det veldig, veldig bra, takk, Douglas!

---

DOUG.  Vel, la oss starte showet med vårt Tech History-segment.

Jeg er glad for å fortelle deg: denne uken den 09. september 1947 ble det funnet en møll i Harvard Universitys Mark II-datamaskin.

Og selv om bruken av begrepet "feil" for å betegne tekniske feil antas å ha vært i bruk i mange år på forhånd, antas det at denne hendelsen førte til den nå allestedsnærværende "feilsøkingen".

Hvorfor?

Fordi når møllen ble fjernet fra Mark II, ble den teipet inne i ingeniørloggboken og merket "Det første tilfellet av en faktisk feil som ble funnet."

Jeg elsker den historien!

---

AND.  Jeg også!

Jeg tror det første beviset jeg har sett på det begrepet var ingen ringere enn Thomas Edison - jeg tror han brukte begrepet "bugs".

Men selvfølgelig, som 1947, var dette de aller første dagene med digital databehandling, og ikke alle datamaskiner kjørte på ventiler eller rør ennå, fordi rør fortsatt var veldig dyre, og gikk veldig varme og krevde mye strøm.

Så, denne datamaskinen, selv om den kunne trigonometri og sånt, var faktisk basert på releer – elektromekaniske brytere, ikke rene elektroniske brytere.

Ganske utrolig at selv på slutten av 1940-tallet var relébaserte datamaskiner fortsatt en ting ... selv om de ikke kom til å være noe særlig lenge.

---

DOUG.  Vel, Paul, la oss si om emnet rotete ting og feil.

En rotete ting som plager folk er spørsmålet om denne TikTok-tingen.

Det er brudd, og det er brudd... er dette egentlig et brudd?

---

AND.  Som du sier, Douglas, dette har blitt en rotete greie...

For det var en kjempestor historie i helgen, ikke sant?

"TikTok-brudd – hva var det egentlig?"

Ved første rødme høres det ut som "Wow, 2 milliarder dataposter, 1 milliard brukere kompromittert, hackere har kommet inn", og hva ikke.

Nå, flere personer som håndterer datainnbrudd regelmessig, spesielt inkludert Troy Hunt of Har jeg blitt pwned, har tatt eksempler på øyeblikksbilder av dataene som skal ha blitt "stjålet" og letet etter dem.

Og konsensus ser ut til å støtte nøyaktig det TikTok har sagt, nemlig at disse dataene uansett er offentlige.

Så det det ser ut til å være er en samling av data, si en gigantisk liste over videoer ... som jeg antar at TikTok sannsynligvis ikke ville at du bare skulle kunne laste ned selv, fordi de vil at du skal gå gjennom plattformen , og bruke koblingene deres, og se reklamen deres slik at de kan tjene penger på tingene.

Men ingen av dataene, ingen av tingene på listene ser ut til å ha vært konfidensielle eller private for brukerne som er berørt.

Når Troy Hunt gikk på jakt og plukket ut en tilfeldig video, for eksempel, ville den videoen dukke opp under brukerens navn som offentlig.

Og dataene om videoen i "bruddet" sa ikke også: "Å, og forresten, her er kundens TikTok-ID; her er deres passordhash; her er hjemmeadressen deres; her er en liste over private videoer som de ikke har publisert ennå”, og så videre.

---

DOUG.  OK, så hvis jeg er en TikTok-bruker, er det en advarsel her?

Må jeg gjøre noe?

Hvordan påvirker dette meg som bruker?

---

AND.  Det er bare tingen. Doug – Jeg antar at mange artikler skrevet om dette har vært desperate etter å finne en slags konklusjon.

Hva kan du gjøre?

Så det brennende spørsmålet som folk har stilt er: "Vel, bør jeg endre passordet mitt? Bør jeg slå på tofaktorautentisering?” … alt det vanlige du hører.

Det ser i dette tilfellet ut som om det ikke er noe spesifikt behov for å endre passordet ditt.

Det er ingen antydninger om at passord-hasher ble stjålet og nå kan bli knekt av en milliard off-duty bitcoin-gruvearbeidere [LAUGHS] eller noe sånt.

Det er ingen antydninger om at brukerkontoer kan være lettere å målrette mot som et resultat av dette.

På den annen side, hvis du har lyst til å endre passordet ditt... kan du like godt.

Den generelle anbefalingen i disse dager er å rutinemessig og regelmessig og ofte endre passordet ditt *på en tidsplan* (som "en gang i måneden endre passordet ditt bare i tilfelle") er en dårlig idé fordi [ROBOTIC VOICE] det – bare – får – deg – inn i – en – repeterende – vane som egentlig ikke forbedrer ting.

Fordi vi vet hva folk gjør, går de bare: -01, -02, 03 på slutten av passordet.

Så jeg tror ikke du trenger å endre passordet ditt, men hvis du bestemmer deg for at du skal gjøre det, bra med deg.

Min egen mening er at i dette tilfellet, om du hadde tofaktorautentisering aktivert eller ikke, ville ikke ha gjort noen forskjell.

På den annen side, hvis dette er en hendelse som til slutt overbeviser deg om at 2FA har en plass i livet ditt et sted ...

…så kanskje, Douglas, det er en sølvkant!

---

DOUG.  Flott.

Så det skal vi holde øye med.

Men det høres ut som ikke så mye vanlige brukere kunne ha gjort med dette...

---

AND.  Bortsett fra at det kanskje er én ting vi kan lære, eller i det minste minne oss selv på det.

---

DOUG.  Jeg tror jeg vet hva som kommer. [LETER]

rimer det?

---

AND.  Det kan gjøre det, Douglas. [LETER]

Faen, jeg er så gjennomsiktig. [LETER]

Vær oppmerksom/før du deler.

Når noe først er offentlig, er det *virkelig offentlig*, og så enkelt er det.

---

DOUG.  Ok veldig bra.

Vær oppmerksom før du deler.

Sikkerhetssamfunnet gikk rett på vei og mistet en pioner i Peter Eckersley, som døde 43 år gammel.

Han var medskaperen av Let's Encrypt.

Så fortell oss litt om Let's Encrypt og Eckersleys arv, hvis du vil.

---

AND.  Vel, han gjorde en hel haug med ting i sitt dessverre korte liv, Doug.

Vi skriver ikke ofte nekrologer om Naked Security, men dette er en av de vi følte vi måtte.

For, som du sier, Peter Eckersley, blant alle de andre tingene han gjorde, var en av medgründerne av Let's Encrypt, prosjektet som hadde som mål å gjøre det billig (dvs. gratis!), men, viktigst, pålitelig og enkelt å få HTTPS-sertifikater for nettstedet ditt.

Og fordi vi bruker Let's Encrypt-sertifikater på bloggsidene Naked Security og Sophos News, følte jeg at vi skylder ham i det minste en omtale for det gode arbeidet.

Fordi alle som noen gang har drevet et nettsted vil vite at hvis du går noen år tilbake, får du et HTTPS-sertifikat, et TLS-sertifikat, som lar deg sette hengelåsen i de besøkendes nettlesere ikke bare koster penger, noe som hjemmebrukere, hobbyister , veldedige organisasjoner, små bedrifter, idrettsklubber hadde ikke lett råd... det var et *riktig problem*.

Det var hele denne prosedyren du måtte gjennom; den var veldig full av sjargong og tekniske ting; og hvert år måtte du gjøre det igjen, fordi de åpenbart utløper... det er som en sikkerhetssjekk på en bil.

Du må gå gjennom øvelsen og bevise at du fortsatt er personen som er i stand til å endre domenet du hevder å ha kontroll over, og så videre.

Og Let's Encrypt var ikke bare i stand til å gjøre det gratis, de var i stand til å gjøre det slik at prosessen kunne automatiseres ... og på kvartalsbasis, så det betyr også at sertifikater kan utløpe raskere i tilfelle noe går galt.

De var i stand til å bygge opp tillit raskt nok til at de store nettleserne snart sa: «Vet du hva, vi kommer til å stole på Let's Encrypt for å gå god for andres nettsertifikater – det som kalles en rot CA, eller sertifiseringsinstans.

Deretter stoler nettleseren din på Let's Encrypt som standard.

Og egentlig er det alle de tingene som kom sammen som for meg var det store i prosjektet.

Det var ikke bare det at det var gratis; det var ikke bare det at det var lett; det var ikke bare det at nettleserprodusentene (som er notorisk vanskelige å overtale til å stole på deg i utgangspunktet) bestemte, "Ja, vi stoler på dem."

Det var alle disse tingene satt sammen som gjorde en stor forskjell, og bidro til å få HTTPS nesten overalt på internett.

Det er bare en måte å legge til den lille ekstra sikkerheten til nettlesingen vi gjør …

…ikke så mye for krypteringen, som vi stadig minner folk om, men for det faktum at [A] du har en kjempesjanse for at du virkelig har koblet til et nettsted som blir manipulert av personen som skal manipulere det, og at [B] når innholdet kommer tilbake, eller når du sender en forespørsel til det, kan det ikke enkelt tukles med underveis.

Inntil Let's Encrypt, med et hvilket som helst HTTP-nettsted, kunne stort sett alle på nettverksbanen spionere på det du så på.

Verre, de kunne endre det – enten det du sendte, eller det du får tilbake – og du *kunne rett og slett ikke fortelle* at du lastet ned skadelig programvare i stedet for den virkelige avtalen, eller at du leste falske nyheter i stedet for ekte historie.

---

DOUG.  Greit, jeg synes det er passende å avslutte med en flott kommentar fra en av våre lesere, Samantha, som ser ut til å ha kjent Mr Eckersley.

Hun sier:

"Hvis det er én ting jeg alltid husker om interaksjonene mine med Pete, så var det hans dedikasjon til vitenskapen og den vitenskapelige metoden. Å stille spørsmål er selve essensen av å være vitenskapsmann. Jeg vil alltid sette pris på Pete og spørsmålene hans. For meg var Pete en mann som verdsatte kommunikasjon og fri og åpen utveksling av ideer blant nysgjerrige individer.»

Godt sagt, Samantha – takk.

---

AND.  Ja!

Og i stedet for å si RIP [forkortelse for Rest In Peace], tror jeg at jeg vil si CIP: Code in Peace.

---

DOUG.  Veldig bra!

Ok, vel, vi snakket forrige uke om en rekke Chrome-oppdateringer, og så dukket det opp en til.

Og denne var en viktig en…

---

AND.  Det var det virkelig, Doug.

Og fordi det gjaldt Chromium-kjernen, gjaldt det også Microsoft Edge.

Så i forrige uke snakket vi om de... hva var det, 24 sikkerhetshull.

En var kritisk, åtte eller ni var høye.

Det er alle slags minnefeil der inne, men ingen av dem var null dager.

Og så vi snakket om det, og sa: "Se, dette er en liten avtale fra et null-dagers synspunkt, men det er en stor sak fra et sikkerhetsoppdateringssynspunkt. Kom deg videre: ikke utsett, gjør det i dag."

(Beklager – jeg rimet igjen, Doug.)

Denne gangen er det nok en oppdatering som kom ut bare et par dager senere, både for Chrome og for Edge.

Denne gangen er det bare ett sikkerhetshull fikset.

Vi vet ikke helt om det er en utvidelse av privilegier eller en ekstern kjøring av kode, men det høres alvorlig ut, og det er en null-dag med en kjent utnyttelse allerede i naturen.

Jeg antar at den gode nyheten er at både Google og Microsoft, og andre nettleserprodusenter, var i stand til å bruke denne oppdateringen og få den ut veldig, veldig raskt.

Vi snakker ikke om måneder eller uker ... bare et par dager for en kjent nulldag som åpenbart ble funnet etter at den siste oppdateringen kom ut, som bare var forrige uke.

Så det er den gode nyheten.

Den dårlige nyheten er selvfølgelig at dette er en 0-dag – skurkene er på det; de bruker det allerede.

Google har vært litt forsiktig med "hvordan og hvorfor" ... det tyder på at det foregår noen etterforskning i bakgrunnen som de kanskje ikke vil sette i fare.

Så, nok en gang, dette er en "lapp tidlig, lapp ofte"-situasjon - du kan ikke bare forlate denne.

Hvis du lappet forrige uke, må du gjøre det igjen.

Den gode nyheten er at Chrome, Edge og de fleste nettlesere i disse dager bør oppdatere seg selv.

Men som alltid lønner det seg å sjekke, for hva om du er avhengig av automatisk oppdatering og bare denne ene gang, det ikke fungerte?

Ville ikke det være 30 sekunder av tiden du har brukt godt på å bekrefte at du faktisk har den nyeste versjonen?

Vi har alle relevante versjonsnumre og rådene [om Naked Security] om hvor du kan klikke for Chrome og Edge for å være sikker på at du absolutt har den nyeste versjonen av disse nettleserne.

---

DOUG.  Og siste nytt for alle som holder mål...

Jeg sjekket nettopp min versjon av Microsoft Edge, og det er den riktige, oppdaterte versjonen, så den oppdaterte seg selv.

OK, sist, men absolutt ikke minst, vi har et sjeldent men presserende Apple-oppdatering for iOS 12, som vi alle trodde var ferdig og støvet.

---

AND.  Ja, som jeg skrev i de første fem ordene i artikkelen om Naked Security, "Vel, vi hadde ikke forventet dette!"

Jeg tillot meg selv et utropstegn, Doug, [LATER] fordi jeg ble overrasket...

Vanlige lyttere til podcasten vil vite at min elskede, om enn gammel-men-tidligere uberørte iPhone 6 Plus, fikk en sykkelkrasj.

Sykkelen overlevde; Jeg fikk tilbake all huden som jeg trengte [LATER]... men iPhone-skjermen min er fortsatt i hundre tusen millioner milliarder billioner biter. (Alle bitene som kommer ut i fingeren min, tror jeg allerede har gjort det.)

Så jeg skjønte ... iOS 12, det er et år siden jeg hadde siste oppdatering, så det er åpenbart helt utenfor Apples radar.

Det kommer ikke til å få noen andre sikkerhetsfikser.

Jeg tenkte: "Vel, skjermen kan ikke knuses igjen, så det er en flott nødtelefon å ta når jeg er på veien"... hvis jeg skal et sted, hvis jeg trenger å ringe eller se på kart. (Jeg kommer ikke til å gjøre e-post eller andre jobbrelaterte ting på det.)

Og se og se, den har fått en oppdatering, Doug!

Plutselig, nesten et år på dagen etter den forrige... Jeg tror 23. september 2021 var siste oppdatering Jeg hadde.

Plutselig har Apple lagt ut denne oppdateringen.

Det er relatert til tidligere patcher som vi snakket om, hvor de gjorde nødoppdateringen for moderne iPhones og iPads, og alle versjoner av macOS.

Der lappet de en WebKit-feil og en kjernefeil: begge null dager; begge brukes i naturen.

(Lukter det av spyware for deg? Det gjorde det med meg!)

WebKit-feilen betyr at du kan besøke et nettsted eller åpne et dokument, og det vil ta over appen.

Deretter betyr kjernefeilen at du setter strikkepinnen rett inn i operativsystemet, og i utgangspunktet slår et hull i Apples velkjente sikkerhetssystem.

Men det var ingen oppdatering for iOS 12, og som vi sa sist gang, hvem visste om det var fordi iOS 12 tilfeldigvis var usårlig, eller at Apple virkelig ikke kom til å gjøre noe med det fordi det falt av kanten av planeten for et år siden?

Vel, det ser ut som det ikke helt falt utenfor kanten av planeten, eller det har vinglet på kanten ... og det *var* sårbart.

Gode ​​nyheter ... kjernefeilen som vi snakket om forrige gang, det som ville la noen i hovedsak ta over hele iPhone eller iPad, gjelder ikke for iOS 12.

Men den WebKit-feilen – som husker, påvirker *en hvilken som helst* nettleser, ikke bare Safari, og enhver app som utfører noen form for nettrelatert gjengivelse, selv om den bare er i sin Om oss skjerm…

...den feilen *eksisterte* i iOS 12, og åpenbart følte Apple sterkt for det.

Så, der er du: hvis du har en eldre iPhone, og den fortsatt er på iOS 12 fordi du ikke kan oppdatere den til iOS 15, så må du gå og hente denne.

Fordi dette er WebKit-feil vi snakket om forrige gang – den har blitt brukt i naturen.

Apple retter dobbel nulldag i nettleser og kjerne – oppdater nå!

Og det faktum at Apple har gått så langt for å støtte det som så ut til å være en versjon av operativsystemet som ikke var utløpt, antyder, eller inviterer deg i det minste til å konkludere, at dette har blitt oppdaget å ha blitt brukt på grusomme måter for alle slags slemme greier.

Så kanskje bare et par personer ble målrettet... men selv om det er tilfelle, ikke la deg selv være den tredje personen!

---

DOUG.  Og for å låne en av dine rimfraser:

Ikke utsett/gjør det i dag.

[LETER] Hva med det?

---

AND.  Doug, jeg visste at du kom til å si det.

---

DOUG.  Jeg henger med!

Og når solen sakte begynner å gå ned på showet vårt for i dag, vil vi gjerne høre fra en av våre lesere om Apples nulldagershistorie.

Leser Bryan kommenterer:

«Apples Innstillinger-ikon har alltid lignet et sykkelkjedehjul i tankene mine. Som en ivrig motorsyklist, en Apple-bruker, forventer jeg at du liker det?»

Det er rettet mot deg, Paul.

Liker du det?

Synes du det ser ut som et tannhjul på en sykkel?

---

AND.  Jeg har ikke noe imot det, for det er veldig gjenkjennelig, si om jeg vil gå til innstillinger > general > Programvareoppdatering.

(Hint, hint: det er slik du ser etter oppdateringer på iOS.)

Ikonet er veldig særegent, og det er lett å treffe slik at jeg vet hvor jeg skal.

Men nei, jeg har aldri assosiert det med sykling, for hvis det var fremre kjedekranser på en giret sykkel, tar de bare feil.

De er ikke riktig tilkoblet.

Det er ingen måte å sette kraft i dem.

Det er to tannhjul, men de har tenner i forskjellige størrelser.

Hvis du tenker på hvordan girene fungerer på sykkelgirene av typen jumpy-gear (girskiftere, som de er kjent), har du bare ett kjede, og kjedet har spesifikk avstand, eller pitch som det kalles.

Så alle tannhjulene eller tannhjulene (teknisk sett er de ikke tannhjul, fordi tannhjul driver tannhjul, og kjeder driver tannhjul)... alle tannhjulene må ha tenner av samme størrelse eller stigning, ellers vil ikke kjedet passe!

Og de tennene er veldig piggete. Doug.

Noen i kommentarene sa at de trodde det minnet dem om noe som har med urverk å gjøre, som en escapement eller en form for giring inne i en klokke.

Men jeg er ganske sikker på at klokkemakere ville sagt «Nei, vi ville ikke forme tennene slik», fordi de bruker veldig karakteristiske former for å øke påliteligheten og presisjonen.

Så jeg er ganske fornøyd med det Apple-ikonet, men nei, det minner meg ikke om sykling.

Android-ikonet, ironisk nok...

…og jeg tenkte på deg da jeg tenkte på dette, Doug [LATER], og jeg tenkte: «Å, herregud, jeg kommer aldri til å høre slutten på dette. Hvis jeg nevner det"...

..det ser ut som et tannhjul bak på en sykkel (og jeg vet at det ikke er et tannhjul, det er et tannhjul, fordi tannhjul driver tannhjul, og kjeder driver tannhjul, men av en eller annen grunn kaller du dem tannhjul når de er små ved bak på en sykkel).

Men den har bare seks tenner.

Det minste bakhjulshjulet jeg kan nevne er ni tenner – det er veldig lite, en veldig trang kurve, og bare ved spesielle bruksområder.

BMX-gutta liker dem fordi jo mindre tannhjulet er, jo mindre sannsynlig er det å treffe bakken når du trikser.

Så ... det har veldig lite med cybersikkerhet å gjøre, men det er fascinerende innsikt i det jeg tror er kjent i disse dager, ikke som "brukergrensesnittet", men "brukeropplevelsen".

---

DOUG.  Greit, tusen takk, Bryan, for kommentaren.

Hvis du har en interessant historie, kommentar eller spørsmål du vil sende inn, vil vi gjerne lese den på podcasten.

Du kan sende en e-post til tips@sophos.com, du kan kommentere en av artiklene våre, eller du kan kontakte oss på sosiale medier: @Naked Security.

Det er showet vårt for i dag – tusen takk for at du lyttet.

For Paul Ducklin, jeg er Doug Aamoth, og minner deg på til neste gang om å...

---

BÅDE.  Hold deg trygg!

[MUSIKK MODEM]