S3 Ep99: TikTok “ataque” – houve uma violação de dados ou não? [Áudio + Texto]

Clique e arraste nas ondas sonoras abaixo para pular para qualquer ponto. Você também pode ouça diretamente no Soundcloud.

DOUG.  Zero-days, mais zero-days, TikTok e um dia triste para a comunidade de segurança.

Tudo isso e muito mais, no podcast Naked Security.

[MODEM MUSICAL]

Bem-vindos ao podcast Naked Security, pessoal.

Eu sou Doug Aamoth.

Comigo, como sempre, está Paul Ducklin.

Paulo, como você está hoje?

---

PATO.  Estou indo muito, muito bem, obrigado, Douglas!

---

DOUG.  Bem, vamos começar o show com nosso segmento de História da Tecnologia.

Tenho o prazer de lhe dizer: esta semana, em 09 de setembro de 1947, uma mariposa da vida real foi encontrada dentro do computador Mark II da Universidade de Harvard.

E embora se acredite que o uso do termo “bug” para denotar falhas de engenharia tenha sido usado por anos e anos antes, acredita-se que esse incidente levou ao agora onipresente “debug”.

Por quê?

Porque uma vez que a mariposa foi removida do Mark II, ela foi gravada dentro do diário de engenharia e rotulada como “O primeiro caso de um bug real sendo encontrado”.

Eu amo essa história!

---

PATO.  Eu também!

Acho que a primeira evidência que vi desse termo foi ninguém menos que Thomas Edison – acho que ele usou o termo “bugs”.

Mas é claro que, em 1947, esses eram os primeiros dias da computação digital, e nem todos os computadores ainda funcionavam com válvulas ou tubos, porque os tubos ainda eram muito caros, esquentavam muito e exigiam muita eletricidade.

Então, este computador, embora pudesse fazer trigonometria e outras coisas, na verdade era baseado em relés – interruptores eletromecânicos, não interruptores eletrônicos puros.

Muito surpreendente que, mesmo no final da década de 1940, os computadores baseados em retransmissão ainda fossem uma coisa... embora não fossem uma coisa por muito tempo.

---

DOUG.  Bem, Paul, vamos falar sobre o assunto de coisas bagunçadas e bugs.

Uma coisa bagunçada que está incomodando as pessoas é a questão dessa coisa do TikTok.

Existem brechas, e existem brechas... isso é realmente uma brecha?

---

PATO.  Como você diz, Douglas, isso se tornou uma coisa confusa…

Porque foi uma grande história no fim de semana, não foi?

“Violação do TikTok – O que foi realmente?”

À primeira vista, soa como “Uau, 2 bilhões de registros de dados, 1 bilhão de usuários comprometidos, hackers entraram” e outros enfeites.

Agora, várias pessoas que lidam com violações de dados regularmente, incluindo Troy Hunt, da Tenho sido pwned, tiraram instantâneos de amostra dos dados que deveriam ter sido "roubados" e foram procurá-los.

E o consenso parece apoiar exatamente o que o TikTok disse, a saber, que esses dados são públicos de qualquer maneira.

Então, o que parece ser uma coleção de dados, digamos, uma lista gigante de vídeos… que eu acho que o TikTok provavelmente não gostaria que você pudesse baixar sozinho, porque eles gostariam que você passasse pela plataforma, e usar seus links e ver sua publicidade para que possam monetizar o material.

Mas nenhum dos dados, nenhuma das coisas nas listas parece ter sido confidencial ou privada para os usuários afetados.

Quando Troy Hunt foi procurar e escolheu algum vídeo aleatório, por exemplo, esse vídeo aparecia com o nome desse usuário como público.

E os dados sobre o vídeo na “violação” também não diziam: “Ah, e a propósito, aqui está o ID do TikTok do cliente; aqui está o hash de senha deles; aqui está seu endereço residencial; aqui está uma lista de vídeos privados que eles ainda não publicaram”, e assim por diante.

---

DOUG.  OK, então, se eu sou um usuário do TikTok, há um alerta aqui?

Eu preciso fazer alguma coisa?

Como isso me afeta como usuário?

---

PATO.  Essa é apenas a coisa. Doug – Acho que muitos artigos escritos sobre isso estão desesperados para encontrar algum tipo de conclusão.

O que você pode fazer?

Então, a pergunta candente que as pessoas têm feito é: “Bem, devo mudar minha senha? Devo ativar a autenticação de dois fatores?”… todas as coisas usuais que você ouve.

Parece, neste caso, que não há necessidade específica de alterar sua senha.

Não há nenhuma sugestão de que os hashes de senha foram roubados e agora podem estar sendo quebrados por um zilhão de mineradores de bitcoin fora de serviço [risos] ou algo assim.

Não há nenhuma sugestão de que as contas de usuário possam ser mais fáceis de segmentar como resultado disso.

Por outro lado, se você sentir vontade de mudar sua senha… você também pode.

A recomendação geral hoje em dia é mudar sua senha de forma rotineira, regular e frequente *de acordo com uma programação* (como, “Uma vez por mês, mude sua senha apenas por precaução”) é uma má ideia porque [ROBOTIC VOICE] ele – apenas – recebe – você – em – um – repetitivo – hábito que realmente não melhora as coisas.

Porque nós sabemos o que as pessoas fazem, elas apenas colocam: -01, -02, 03 no final da senha.

Então, eu não acho que você tenha que mudar sua senha, mas se você decidir que vai fazer isso, tudo bem.

Minha opinião é que, neste caso, se você tinha ou não a autenticação de dois fatores ativada, não faria diferença alguma.

Por outro lado, se este é um incidente que finalmente o convence de que o 2FA tem um lugar em sua vida em algum lugar…

…então, talvez, Douglas, isso é uma fresta de esperança!

---

DOUG.  Ótimo.

Então vamos ficar de olho nisso.

Mas parece que não muito que usuários regulares poderiam ter feito sobre isso…

---

PATO.  Exceto que talvez haja uma coisa que podemos aprender, ou pelo menos nos lembrar dela.

---

DOUG.  Acho que sei o que está por vir. [RISOS]

Isso rima?

---

PATO.  Pode ser, Douglas. [RISOS]

Droga, eu sou tão transparente. [RISONHO]

Esteja ciente/Antes de compartilhar.

Uma vez que algo é público, é *realmente público*, e é simples assim.

---

DOUG.  Ok, muito bom.

Esteja ciente antes de compartilhar.

Seguindo em frente, a comunidade de segurança perdeu um pioneiro em Peter Eckersley, que faleceu aos 43 anos.

Ele foi o co-criador de Let's Encrypt.

Então, conte-nos um pouco sobre Let's Encrypt e O legado de Eckersley, se você quiser.

---

PATO.  Bem, ele fez um monte de coisas em sua vida infelizmente curta, Doug.

Não costumamos escrever obituários sobre a Naked Security, mas este é um dos que sentimos que precisávamos.

Porque, como você diz, Peter Eckersley, entre todas as outras coisas que ele fez, foi um dos co-fundadores do Let's Encrypt, o projeto que se propôs a torná-lo barato (ou seja, grátis!), mas, o mais importante, confiável e fácil obter certificados HTTPS para o seu site.

E como usamos certificados Let's Encrypt nos sites de blog da Naked Security e Sophos News, senti que devemos a ele pelo menos uma menção por esse bom trabalho.

Porque qualquer um que já administrou um site saberá que, se você voltar alguns anos, obter um certificado HTTPS, um certificado TLS, que permite colocar o cadeado nos navegadores de seus visitantes não custa apenas dinheiro, que usuários domésticos, amadores , instituições de caridade, pequenas empresas, clubes esportivos não podiam pagar facilmente… era um *real incômodo*.

Havia todo esse procedimento pelo qual você tinha que passar; estava muito cheio de jargões e coisas técnicas; e todo ano você tinha que fazer isso de novo, porque obviamente eles expiram… é como uma verificação de segurança em um carro.

Você precisa fazer o exercício e provar que ainda é a pessoa capaz de modificar o domínio que afirma estar no controle e assim por diante.

E a Let's Encrypt não só conseguiu fazer isso de graça, como também conseguiu automatizar o processo... e trimestralmente, o que também significa que os certificados podem expirar mais rápido caso algo dê errado.

Eles foram capazes de construir confiança com rapidez suficiente para que os principais navegadores logo dissessem: "Sabe de uma coisa, vamos confiar no Let's Encrypt para garantir os certificados da Web de outras pessoas - o que é chamado CA raiz, ou autoridade de certificação.

Então, seu navegador confia no Let's Encrypt por padrão.

E realmente, são todas essas coisas se juntando, o que para mim foi a majestade do projeto.

Não era apenas que era grátis; não era apenas que era fácil; não foi apenas que os fabricantes de navegadores (que são notoriamente difíceis de persuadir a confiar em você em primeiro lugar) decidiram: “Sim, nós confiamos neles”.

Foram todas essas coisas juntas que fizeram uma grande diferença e ajudaram a obter HTTPS em quase todos os lugares da Internet.

É apenas uma maneira de adicionar um pouco de segurança extra à navegação que fazemos…

... não tanto pela criptografia, como continuamos lembrando às pessoas, mas pelo fato de que [A] você tem uma chance de lutar de que realmente se conectou a um site que está sendo manipulado pela pessoa que deveria estar manipulando, e que [B] quando o conteúdo voltar, ou quando você enviar uma solicitação para ele, ele não poderá ser adulterado facilmente ao longo do caminho.

Até Let's Encrypt, com qualquer site somente HTTP, praticamente qualquer pessoa no caminho da rede poderia espionar o que você estava vendo.

Pior, eles poderiam modificá-lo - ou o que você estava enviando ou o que você está recebendo de volta - e você *simplesmente não poderia dizer* que estava baixando malware em vez do negócio real, ou que estava lendo notícias falsas em vez do História real.

---

DOUG.  Tudo bem, eu acho que é apropriado encerrar com um grande comentário de um de nossos leitores, Samantha, que parece ter conhecido o Sr. Eckersley.

Ela diz:

“Se há uma coisa que sempre lembro sobre minhas interações com Pete, é sua dedicação à ciência e ao método científico. Fazer perguntas é a própria essência de ser um cientista. Sempre apreciarei Pete e suas perguntas. Para mim, Pete era um homem que valorizava a comunicação e a troca livre e aberta de ideias entre indivíduos curiosos.”

Bem dito, Samantha – obrigado.

---

PATO.  Sim!

E em vez de dizer RIP [abreviação de Rest In Peace], acho que vou dizer CIP: Code in Peace.

---

DOUG.  Muito bom!

Tudo bem, bem, conversamos na semana passada sobre uma série de patches do Chrome e, em seguida, mais um apareceu.

E este foi um importante XNUMX…

---

PATO.  Foi mesmo, Douglas.

E como se aplicava ao núcleo do Chromium, também se aplicava ao Microsoft Edge.

Então, na semana passada, estávamos falando sobre aqueles... o que era, 24 brechas de segurança.

Um era crítico, oito ou nove eram altos.

Existem todos os tipos de erros de gerenciamento de memória, mas nenhum deles era de dia zero.

E então estávamos falando sobre isso, dizendo: “Olha, isso é um pequeno negócio do ponto de vista do dia zero, mas é um grande negócio do ponto de vista do patch de segurança. Saia na frente: não demore, faça hoje.”

(Desculpe - eu rimei novamente, Doug.)

Desta vez, é outra atualização que saiu apenas alguns dias depois, tanto para o Chrome quanto para o Edge.

Desta vez, há apenas uma falha de segurança corrigida.

Não sabemos bem se é uma elevação de privilégio ou uma execução remota de código, mas parece sério e é um dia zero com uma exploração conhecida já em andamento.

Acho que a grande notícia é que tanto o Google quanto a Microsoft e outros fabricantes de navegadores conseguiram aplicar esse patch e lançá-lo muito, muito rapidamente.

Não estamos falando de meses ou semanas... apenas alguns dias para um dia zero conhecido que obviamente foi encontrado depois que a última atualização foi lançada, que foi apenas na semana passada.

Então essa é a boa notícia.

A má notícia é, claro, que este é um dia 0 – os bandidos estão nele; eles já estão usando.

O Google tem sido um pouco tímido sobre "como e por que"... isso sugere que há alguma investigação acontecendo nos bastidores que eles podem não querer prejudicar.

Então, mais uma vez, esta é uma situação de “Remexe cedo, remenda com frequência” – você não pode simplesmente deixar essa.

Se você corrigiu na semana passada, precisará fazê-lo novamente.

A boa notícia é que o Chrome, Edge e a maioria dos navegadores atuais devem se atualizar.

Mas, como sempre, vale a pena verificar, porque e se você estiver confiando na atualização automática e, só desta vez, não funcionar?

Não seriam 30 segundos do seu tempo bem gastos para verificar se você realmente tem a versão mais recente?

Temos todos os números de versão relevantes e o conselho [sobre o Naked Security] sobre onde clicar no Chrome e no Edge para garantir que você tenha absolutamente a versão mais recente desses navegadores.

---

DOUG.  E notícias de última hora para quem está mantendo a pontuação…

Acabei de verificar minha versão do Microsoft Edge e é a versão correta e atualizada, então ela se atualizou.

OK, por último, mas certamente não menos importante, temos um raro, mas atualização urgente da Apple para iOS 12, que todos pensávamos estar pronto e espanado.

---

PATO.  Sim, como escrevi nas primeiras cinco palavras do artigo sobre Naked Security: “Bem, não esperávamos isso!”

Eu me permiti um ponto de exclamação, Doug, [RISOS] porque fiquei surpreso...

Os ouvintes regulares do podcast saberão que meu amado iPhone 6 Plus, embora antigo, mas antigo, sofreu um acidente de bicicleta.

A bicicleta sobreviveu; Eu recuperei toda a pele que eu precisava [RISOS]... mas a tela do meu iPhone ainda está em cem bilhões de bilhões de trilhões de pedaços. (Todos os pedaços que vão sair no meu dedo, acho que já o fizeram.)

Então eu pensei... iOS 12, faz um ano desde que eu tive a última atualização, então obviamente está completamente fora do radar da Apple.

Ele não terá outras correções de segurança.

Eu pensei: "Bem, a tela não pode ser quebrada novamente, então é um ótimo telefone de emergência para levar quando estou na estrada"... se eu estiver indo para algum lugar, se eu precisar fazer uma ligação ou olhar mapa. (Eu não vou fazer e-mail ou qualquer coisa relacionada ao trabalho nele.)

E, vejam só, ele recebeu uma atualização, Doug!

De repente, quase um ano para o dia anterior… acho que 23 de setembro de 2021 foi o última atualização Eu tinha.

De repente, a Apple lançou esta atualização.

Relaciona-se com o patches anteriores que falamos, onde eles fizeram a atualização de emergência para iPhones e iPads contemporâneos e todas as versões do macOS.

Lá, eles estavam corrigindo um bug do WebKit e um bug do kernel: ambos zero dias; ambos sendo usados ​​na natureza.

(Isso cheira a spyware para você? Isso para mim!)

O bug do WebKit significa que você pode visitar um site ou abrir um documento e ele assumirá o controle do aplicativo.

Então, o bug do kernel significa que você coloca sua agulha de tricô direto no sistema operacional e basicamente abre um buraco no sistema de segurança da Apple.

Mas não havia uma atualização para o iOS 12 e, como dissemos da última vez, quem sabia se isso era porque o iOS 12 era invulnerável ou que a Apple realmente não faria nada sobre isso porque caiu a borda do planeta um ano atrás?

Bem, parece que não caiu da borda do planeta, ou está oscilando à beira... e *estava* vulnerável.

Boas notícias… o bug do kernel sobre o qual falamos da última vez, o que deixaria alguém essencialmente assumir todo o iPhone ou iPad, não se aplica ao iOS 12.

Mas esse bug do WebKit - que lembre-se, afeta *qualquer* navegador, não apenas o Safari, e qualquer aplicativo que faça qualquer tipo de renderização relacionada à web, mesmo que seja apenas em seu Sobre tela…

…esse bug *existia* no iOS 12, e obviamente a Apple tinha uma opinião forte sobre isso.

Então, aí está: se você tem um iPhone mais antigo e ainda está no iOS 12 porque você não pode atualizá-lo para o iOS 15, então você precisa ir buscá-lo.

Porque este é o Erro do WebKit falamos da última vez – foi usado na natureza.

A Apple corrige o dia zero duplo no navegador e no kernel – atualize agora!

E o fato de a Apple ter se esforçado tanto para oferecer suporte ao que parecia ser uma versão do sistema operacional além do fim da vida útil sugere, ou pelo menos convida você a inferir, que foi descoberto que isso foi usado de maneiras nefastas para todos os tipos de coisas impertinentes.

Então, talvez apenas algumas pessoas tenham sido alvejadas… mas mesmo que seja esse o caso, não se deixe ser a terceira pessoa!

---

DOUG.  E para emprestar uma de suas frases de rimas:

Não demore / Faça isso hoje.

[RISOS] Que tal isso?

---

PATO.  Doug, eu sabia que você ia dizer isso.

---

DOUG.  Eu estou pegando!

E à medida que o sol começa a se pôr lentamente em nosso programa de hoje, gostaríamos de ouvir um de nossos leitores sobre a história do dia zero da Apple.

O leitor Bryan comenta:

“O ícone Configurações da Apple sempre se assemelhou a uma roda dentada de bicicleta em minha mente. Como um motociclista ávido, um usuário de dispositivos da Apple, espero que você goste disso?”

Isso é dirigido a você, Paul.

Você gosta daquilo?

Você acha que parece uma roda dentada de bicicleta?

---

PATO.  Eu não me importo, porque é muito reconhecível, digamos, se eu quiser ir Configurações > Geral > Atualização de software.

(Dica, dica: é assim que você verifica se há atualizações no iOS.)

O ícone é muito distinto e fácil de acertar, então eu sei para onde estou indo.

Mas, não, eu nunca associei isso ao ciclismo, porque se fossem coroas dianteiras em uma bicicleta com marcha, elas estão todas erradas.

Eles não estão conectados corretamente.

Não há como colocar poder neles.

Existem duas rodas dentadas, mas elas têm dentes de tamanhos diferentes.

Se você pensar em como as engrenagens funcionam nas engrenagens de bicicleta do tipo jumpy-gear (desviadores, como são conhecidas), você só tem uma corrente, e a corrente tem espaçamento específico, ou passo, como é chamado.

Então todas as engrenagens ou rodas dentadas (tecnicamente, elas não são engrenagens, porque as engrenagens acionam as engrenagens e as correntes acionam as rodas dentadas)… todas as rodas dentadas têm que ter dentes do mesmo tamanho ou passo, caso contrário a corrente não cabe!

E esses dentes são muito pontiagudos. Doug.

Alguém nos comentários disse que achava que isso os lembrava de algo relacionado a um relógio, como um escape ou algum tipo de engrenagem dentro de um relógio.

Mas tenho certeza de que os relojoeiros diriam: “Não, nós não moldariamos os dentes assim”, porque eles usam formas muito distintas para aumentar a confiabilidade e a precisão.

Estou muito feliz com aquele ícone da Apple, mas não, não me lembra andar de bicicleta.

O ícone do Android, ironicamente…

…e eu pensei em você quando pensei nisso, Doug [RISOS], e pensei: “Oh, caramba, eu nunca vou ouvir o fim disso. Se eu mencionar isso”…

..isso parece uma engrenagem traseira de uma bicicleta (e eu sei que não é uma engrenagem, é uma roda dentada, porque as engrenagens acionam as engrenagens e as correntes acionam as rodas dentadas, mas por algum motivo você as chama de engrenagens quando são pequenas no traseira de uma bicicleta).

Mas só tem seis dentes.

A menor engrenagem traseira de bicicleta que posso encontrar é de nove dentes – isso é muito pequeno, uma curva muito apertada, e apenas em usos especiais.

Os caras do BMX gostam deles porque quanto menor a engrenagem, menor a probabilidade de atingir o chão quando você está fazendo manobras.

Então… isso tem muito pouco a ver com segurança cibernética, mas é uma visão fascinante do que acredito ser conhecido hoje em dia não como “interface do usuário”, mas “experiência do usuário”.

---

DOUG.  Muito bem, muito obrigado, Bryan, por comentar.

Se você tiver uma história, comentário ou pergunta interessante que gostaria de enviar, adoraríamos lê-la no podcast.

Você pode enviar um e-mail para tips@sophos.com, comentar em qualquer um de nossos artigos ou entrar em contato conosco nas redes sociais: @Naked Security.

Esse é o nosso show de hoje – muito obrigado por ouvir.

Para Paul Ducklin, sou Doug Aamoth, lembrando você até a próxima…

---

AMBAS.  Fique seguro!

[MODEM MUSICAL]