ASCULTĂ ACUM
Cu Doug Aamoth și Paul Ducklin.
Muzică intro și outro de Edith Mudge.
Faceți clic și trageți pe undele sonore de mai jos pentru a trece la orice punct. Poti de asemenea asculta direct pe Soundcloud.
Ne puteți asculta pe SoundCloud, Podcast-uri Apple, Podcast-uri Google, Spotify, stitcher și oriunde se găsesc podcasturi bune. Sau pur și simplu aruncați URL-ul fluxului nostru RSS în podcatcher-ul tău preferat.
CITIȚI TRANSCRIPTUL
DOUG. Zile zero, mai multe zile zero, TikTok și o zi tristă pentru comunitatea de securitate.
Toate acestea și multe altele, pe podcastul Naked Security.
[MODEM MUZICAL]
Bun venit la podcastul Naked Security, tuturor.
Eu sunt Doug Aamoth.
Cu mine, ca întotdeauna, este Paul Ducklin.
Paul, ce mai faci azi?
RAȚĂ. Mă descurc foarte, foarte bine, mulțumesc, Douglas!
DOUG. Ei bine, să începem spectacolul cu segmentul nostru de Istoria tehnologiei.
Sunt încântat să vă spun: în această săptămână, pe 09 septembrie 1947, în interiorul computerului Mark II al Universității Harvard a fost găsită o molie din viața reală.
Și, deși se crede că folosirea termenului „bug” pentru a desemna erori de inginerie a fost folosită cu ani și ani înainte, se crede că acest incident a dus la „depanarea” acum omniprezentă.
De ce?
Deoarece odată ce molia a fost îndepărtată din Mark II, aceasta a fost înscrisă în jurnalul de inginerie și a fost etichetată „Primul caz în care a fost găsită o eroare reală”.
Îmi place povestea asta!
RAȚĂ. La fel şi eu!
Cred că prima dovadă pe care am văzut-o despre acest termen a fost nimeni altul decât Thomas Edison – cred că a folosit termenul „bugs”.
Dar, desigur, fiind în 1947, acestea au fost primele zile ale calculului digital și nu toate computerele funcționau încă pe supape sau tuburi, deoarece tuburile erau încă foarte scumpe și erau foarte fierbinți și necesitau multă energie electrică.
Deci, acest computer, deși putea face trigonometrie și alte lucruri, se baza de fapt pe relee – întrerupătoare electromecanice, nu întrerupătoare pur electronice.
Destul de uimitor că, chiar și la sfârșitul anilor 1940, calculatoarele bazate pe relee erau încă un lucru... deși nu aveau să fie un lucru pentru foarte mult timp.
DOUG. Ei bine, Paul, haideți să spunem despre chestii dezordonate și bug-uri.
Un lucru dezordonat care îi deranjează pe oameni este întrebarea asta cu TikTok.
Există încălcări, și există încălcări... este de fapt aceasta o încălcare?
RAȚĂ. După cum spui, Douglas, asta a devenit un lucru dezordonat...
Pentru că a fost o poveste uriașă în weekend, nu-i așa?
„Încălcarea TikTok – Ce a fost de fapt?”
La prima vedere, sună de genul „Wow, 2 miliarde de înregistrări de date, 1 miliard de utilizatori compromisi, hackerii au intrat” și nu numai.
Acum, mai multe persoane care se confruntă cu încălcările de date în mod regulat, inclusiv Troy Hunt of Am fost pwned, au luat mostre instantanee ale datelor care ar fi fost „furate” și au plecat să le caute.
Iar consensul pare să susțină exact ceea ce a spus TikTok, și anume că aceste date sunt oricum publice.
Deci, ceea ce pare a fi este o colecție de date, să zicem o listă uriașă de videoclipuri... pe care probabil că TikTok nu și-ar dori să le poți descărca singur, pentru că ar vrea să treci prin platformă, și folosește-le link-urile și vezi publicitatea lor, astfel încât să poată monetiza lucrurile.
Dar niciuna dintre date, niciunul dintre lucrurile din liste nu pare să fi fost confidențial sau privat pentru utilizatorii afectați.
Când Troy Hunt a căutat și a ales un videoclip aleatoriu, de exemplu, acel videoclip va apărea sub numele utilizatorului ca public.
Și datele despre videoclipul din „încălcare” nu spuneau, de asemenea, „Oh, și apropo, iată ID-ul TikTok al clientului; iată hash-ul parolei lor; iată adresa lor de acasă; iată o listă de videoclipuri private pe care nu le-au publicat încă”, și așa mai departe.
DOUG. OK, deci dacă sunt utilizator TikTok, există o poveste de avertizare aici?
Trebuie să fac ceva?
Cum mă afectează asta ca utilizator?
RAȚĂ. Doar asta e chestia. Doug – Cred că multe articole scrise despre asta au fost disperate să găsească un fel de concluzie.
Ce se poate face?
Deci, întrebarea arzătoare pe care oamenii și-au pus-o este: „Ei bine, ar trebui să-mi schimb parola? Ar trebui să activez autentificarea cu doi factori?”… toate lucrurile obișnuite pe care le auziți.
Se pare, în acest caz, ca și cum nu este nevoie să vă schimbați parola.
Nu există nicio sugestie că fișierele hash de parole au fost furate și ar putea fi acum sparte de un miliard de mineri de bitcoin în afara serviciului [râde] sau ceva de genul acesta.
Nu există nicio sugestie că conturile de utilizator ar putea fi mai ușor de vizat ca urmare a acestui fapt.
Pe de altă parte, dacă ai chef să-ți schimbi parola... ai putea la fel de bine.
Recomandarea generală în aceste zile este să vă schimbați în mod obișnuit, regulat și frecvent parola *la un program* (cum ar fi „O dată pe lună, schimbați-vă parola pentru orice eventualitate”) este o idee proastă, deoarece [ROBOTIC VOICE] – doar – obține – dvs. – într-un – repetitiv – obicei care nu îmbunătățește cu adevărat lucrurile.
Pentru că știm ce fac oamenii, ei merg doar: -01, -02, 03 la sfârșitul parolei.
Deci, nu cred că trebuie să vă schimbați parola, deși dacă decideți că o veți face, bine.
Părerea mea este că, în acest caz, dacă ați activat sau nu autentificarea cu doi factori, nu ar fi făcut nicio diferență.
Pe de altă parte, dacă acesta este un incident care în cele din urmă te convinge că 2FA are un loc undeva în viața ta...
… atunci poate, Douglas, asta e un motiv de argint!
DOUG. Grozav.
Așa că vom fi cu ochii pe asta.
Dar se pare că nu foarte multe ar fi putut face utilizatorii obișnuiți în privința asta...
RAȚĂ. Cu excepția faptului că există un lucru pe care îl putem învăța sau cel puțin să ne amintim de el.
DOUG. Cred că știu ce urmează. [râde]
Rimeaza?
RAȚĂ. S-ar putea, Douglas. [râde]
La naiba, sunt atât de transparent. [RAZAND]
Fii conștient/Înainte de a distribui.
Odată ce ceva devine public, *este cu adevărat public* și este la fel de simplu.
DOUG. OK foarte bine.
Fiți conștienți înainte de a distribui.
Mergând imediat, comunitatea de securitate a pierdut un pionier în Peter Eckersley, care a murit la 43 de ani.
El a fost co-creatorul Let's Encrypt.
Deci, spuneți-ne puțin despre Let's Encrypt și Moștenirea lui Eckersley, daca ai.
RAȚĂ. Ei bine, a făcut o mulțime de lucruri în viața lui, din păcate scurtă, Doug.
Nu scriem adesea necrologuri pe Naked Security, dar acesta este unul dintre cele pe care am simțit că trebuie să facem acest lucru.
Pentru că, după cum spuneți, Peter Eckersley, printre toate celelalte lucruri pe care le-a făcut, a fost unul dintre co-fondatorii Let's Encrypt, proiectul care și-a propus să-l facă ieftin (adică gratuit!), dar, cel mai important, fiabil și ușor să obțineți certificate HTTPS pentru site-ul dvs.
Și pentru că folosim certificate Let's Encrypt pe site-urile de blog Naked Security și Sophos News, am simțit că îi datorăm măcar o mențiune pentru această muncă bună.
Pentru că oricine a condus vreodată un site web va ști că, dacă te întorci cu câțiva ani în urmă, obținerea unui certificat HTTPS, un certificat TLS, care îți permite să pui lacătul în browserele web ale vizitatorilor tăi nu numai că costă bani, ceea ce utilizatorii casnici, pasionații , organizațiile de caritate, întreprinderile mici, cluburile sportive nu și-au putut permite cu ușurință... a fost o * adevărată bătaie de cap*.
A fost toată această procedură prin care trebuia să treci; era foarte plin de jargon și chestii tehnice; și în fiecare an trebuia să o faci din nou, pentru că evident expiră... e ca un control de siguranță la o mașină.
Trebuie să parcurgeți exercițiul și să demonstrați că sunteți încă persoana care poate modifica domeniul pe care pretindeți că îl controlați și așa mai departe.
Și Let's Encrypt nu numai că a reușit să facă asta gratuit, ci a reușit să o facă astfel încât procesul să poată fi automatizat... și trimestrial, astfel încât, de asemenea, certificatele pot expira mai repede în cazul în care ceva nu merge bine.
Ei au reușit să construiască încredere suficient de repede încât browserele majore să spună în curând: „Știi ce, vom avea încredere în Let's Encrypt pentru a garanta certificatele web ale altor persoane – ceea ce se numește un rădăcină CA, sau autoritate de certificare.
Apoi, browserul dvs. are încredere în Let's Encrypt în mod implicit.
Și într-adevăr, toate acele lucruri care se unesc, pentru mine au fost măreția proiectului.
Nu era doar că era gratuit; nu a fost doar că a fost ușor; nu doar că producătorii de browsere (care sunt notoriu greu de convins să aibă încredere în tine în primul rând) au decis: „Da, avem încredere în ei”.
Toate acele lucruri reunite au făcut o mare diferență și au ajutat la obținerea HTTPS aproape peste tot pe internet.
Este doar o modalitate de a adăuga acel pic de siguranță suplimentar la navigarea pe care o facem...
… nu atât pentru criptare, așa cum le reamintim mereu oamenilor, ci pentru faptul că [A] ai o șansă de luptă că te-ai conectat cu adevărat la un site care este manipulat de persoana care ar trebui să-l manipuleze, și că [B] când conținutul revine sau când îi trimiți o solicitare, nu poate fi modificat cu ușurință pe parcurs.
Până când Let's Encrypt, cu orice site web numai HTTP, aproape oricine pe calea rețelei ar putea spiona ceea ce te uitai.
Mai rău, ar putea să-l modifice – fie ceea ce trimiteai, fie ceea ce primești înapoi – și *pur și simplu nu puteai să-ți dai seama* că descărcai programe malware în loc de afacerea reală sau că citești știri false în loc de poveste adevarata.
DOUG. În regulă, cred că se cuvine să închei cu un minunat comentariu de la unul dintre cititorii noștri, Samantha, care pare să-l fi cunoscut pe domnul Eckersley.
Ea spune:
„Dacă există un lucru pe care mi-l amintesc mereu despre interacțiunile mele cu Pete, a fost dedicarea lui pentru știință și metoda științifică. A pune întrebări este însăși esența de a fi om de știință. Întotdeauna îl voi prețui pe Pete și întrebările lui. Pentru mine, Pete a fost un om care a apreciat comunicarea și schimbul liber și deschis de idei între indivizii curioși.”
Bine spus, Samantha – mulțumesc.
RAȚĂ. Da!
Și în loc să spun RIP [abreviere pentru Rest In Peace], cred că voi spune CIP: Code in Peace.
DOUG. Foarte bine!
Bine, ei bine, am vorbit săptămâna trecută despre o mulțime de corecții Chrome, apoi a apărut încă unul.
Și acesta a fost un important unu…
RAȚĂ. A fost într-adevăr, Doug.
Și pentru că s-a aplicat la nucleul Chromium, s-a aplicat și la Microsoft Edge.
Deci, chiar săptămâna trecută, vorbeam despre acele... ce a fost, 24 de găuri de securitate.
Unul era critic, opt sau nouă erau mari.
Există tot felul de erori de gestionare greșită a memoriei acolo, dar niciuna nu a fost de zero zile.
Și așa am vorbit despre asta, spunând: „Uite, aceasta este o afacere mică din punctul de vedere al zilei zero, dar este o afacere mare din punct de vedere al patch-urilor de securitate. Treci înainte: nu întârzia, fă-o azi.”
(Îmi pare rău – am rimat din nou, Doug.)
De data aceasta, este o altă actualizare care a apărut doar câteva zile mai târziu, atât pentru Chrome, cât și pentru Edge.
De data aceasta, a fost remediată o singură gaură de securitate.
Nu prea știm dacă este vorba de o creștere a privilegiilor sau de o execuție de cod de la distanță, dar sună serios și este un zero-day cu un exploit cunoscut deja în sălbăticie.
Presupun că vestea grozavă este că atât Google, cât și Microsoft, precum și alți producători de browsere, au reușit să aplice acest patch și să-l scoată foarte, foarte repede.
Nu vorbim despre luni sau săptămâni... doar câteva zile pentru o zi zero cunoscută care, evident, a fost găsită după ce a apărut ultima actualizare, care a fost doar săptămâna trecută.
Deci asta e vestea bună.
Vestea proastă este, desigur, că aceasta este o zi 0 – escrocii sunt pe ea; o folosesc deja.
Google a fost puțin timidă în privința „cum și de ce”... ceea ce sugerează că există o investigație în fundal pe care ar putea să nu vrea să le pună în pericol.
Așa că, încă o dată, aceasta este o situație „Corectează devreme, corectează des” – nu o poți părăsi pur și simplu.
Dacă ați corectat săptămâna trecută, atunci trebuie să o faceți din nou.
Vestea bună este că Chrome, Edge și majoritatea browserelor din aceste zile ar trebui să se actualizeze singure.
Dar, ca întotdeauna, merită să verificați, pentru că ce se întâmplă dacă vă bazați pe actualizarea automată și, doar de această dată, nu a funcționat?
Nu ar fi 30 de secunde din timpul tău bine petrecut pentru a verifica dacă ai într-adevăr cea mai recentă versiune?
Avem toate numerele de versiune relevante și sfaturile [despre Naked Security] despre unde să faceți clic pentru Chrome și Edge pentru a vă asigura că aveți cu siguranță cea mai recentă versiune a acestor browsere.
DOUG. Și vești de ultimă oră pentru oricine ține scorul...
Tocmai am verificat versiunea mea de Microsoft Edge și este versiunea corectă, actualizată, așa că s-a actualizat singur.
OK, în ultimul rând, dar cu siguranță nu în ultimul rând, avem un dar rar actualizare urgentă Apple pentru iOS 12, despre care toți credeam că a fost gata și făcut praf.
RAȚĂ. Da, așa cum am scris în primele cinci cuvinte ale articolului despre Naked Security, „Ei bine, nu ne așteptam la asta!”
Mi-am permis un semn de exclamare, Doug, [râsete] pentru că am fost surprins...
Ascultătorii obișnuiți ai podcast-ului vor ști că iubitul meu iPhone 6 Plus, dacă vechi, dar fost-pur, a suferit un accident de bicicletă.
Bicicleta a supraviețuit; Mi-am crescut toată pielea de care aveam nevoie [râsete]... dar ecranul meu iPhone este încă în o sută de mii de milioane de miliarde de miliarde de bucăți. (Toate bucățile care vor ieși în degetul meu, cred că au făcut-o deja.)
Așa că m-am gândit... iOS 12, a trecut un an de când am avut ultima actualizare, așa că evident că este complet în afara radarului Apple.
Nu va primi alte remedieri de securitate.
M-am gândit: „Ei bine, ecranul nu poate fi spart din nou, așa că este un telefon de urgență grozav de luat atunci când sunt pe drum”... dacă merg undeva, dacă trebuie să dau un telefon sau să mă uit la Hartă. (Nu voi face e-mailuri sau alte chestii legate de muncă.)
Și, iată, a primit o actualizare, Doug!
Dintr-o dată, aproape un an până la o zi după precedentul... Cred că 23 septembrie 2021 a fost Ultima actualizare Am avut.
Dintr-o dată, Apple a lansat această actualizare.
Se referă la patch-urile anterioare despre care am vorbit, unde au făcut actualizarea de urgență pentru iPhone-urile și iPad-urile contemporane și toate versiunile de macOS.
Acolo, corectau o eroare WebKit și o eroare a nucleului: ambele zero zile; ambele fiind folosite în sălbăticie.
(Îți miroase a spyware? Mie mie!)
Bug-ul WebKit înseamnă că puteți vizita un site web sau puteți deschide un document și va prelua aplicația.
Apoi, eroarea nucleului înseamnă că vă puneți acul de tricotat chiar în sistemul de operare și, practic, faceți o gaură în bine-lăudatul sistem de securitate al Apple.
Dar nu a existat o actualizare pentru iOS 12 și, așa cum am spus data trecută, cine știa dacă asta se datora faptului că iOS 12 s-a întâmplat să fie invulnerabil sau că Apple cu adevărat nu avea de gând să facă nimic pentru că a căzut. marginea planetei acum un an?
Ei bine, se pare că nu prea a căzut de pe marginea planetei, sau s-a clătinat pe un prag... și *era* vulnerabilă.
Vești bune... eroarea kernel-ului despre care am vorbit data trecută, lucrul care ar lăsa pe cineva să preia în esență întregul iPhone sau iPad, nu se aplică pentru iOS 12.
Dar această eroare WebKit – care ține minte, afectează *orice* browser, nu doar Safari, și orice aplicație care face orice fel de redare legată de web, chiar dacă este doar în Despre Noi ecran…
… acea eroare *a* existat în iOS 12 și, evident, Apple a simțit foarte mult acest lucru.
Așadar, iată: dacă aveți un iPhone mai vechi și este încă pe iOS 12, deoarece nu îl puteți actualiza la iOS 15, atunci trebuie să mergeți și să obțineți acest lucru.
Pentru că acesta este Bug WebKit despre care am vorbit ultima dată – a fost folosit în sălbăticie.
Apple patch-uri dublu zero-day în browser și kernel – actualizați acum!
Și faptul că Apple a făcut toate eforturile pentru a susține ceea ce părea a fi o versiune de sistem de operare dincolo de sfârșitul vieții sugerează, sau cel puțin vă invită să deduceți, că s-a descoperit că aceasta a fost folosită în moduri nefaste pentru tot felul de chestii obraznice.
Deci, poate doar câțiva oameni au fost vizați... dar chiar dacă este cazul, nu vă lăsați a treia persoană!
DOUG. Și pentru a împrumuta una dintre frazele tale care rime:
Nu întârzia/Fă-o astăzi.
[RÂDE] Ce zici de asta?
RAȚĂ. Doug, știam că vei spune asta.
DOUG. mă prind!
Și pe măsură ce soarele începe să apune încet în emisiunea noastră de astăzi, am dori să auzim de la unul dintre cititorii noștri despre povestea Apple zero-day.
Cititorul Bryan comentează:
„În mintea mea pictograma Setări de la Apple a semănat întotdeauna cu un pinion de bicicletă. Ca un motociclist pasionat, un utilizator de dispozitive Apple, mă aștept să vă placă?”
Este îndreptat către tine, Paul.
Îți place asta?
Crezi că arată ca un pinion de bicicletă?
RAȚĂ. Nu mă deranjează, pentru că este foarte recunoscut, spuneți dacă vreau să merg la setări cont > General > Actualizare de software.
(Sugestie, indiciu: așa verificați actualizările pe iOS.)
Pictograma este foarte distinctă și este ușor de lovit, așa că știu unde mă duc.
Dar, nu, nu l-am asociat niciodată cu ciclismul pentru că, dacă acestea ar fi lanțuri față pe o bicicletă cu angrenaj, sunt doar greșite.
Nu sunt conectate corect.
Nu există nicio modalitate de a pune putere în ele.
Există două pinioane, dar au dinți de dimensiuni diferite.
Dacă vă gândiți la modul în care funcționează angrenajele la angrenajele de biciclete de tip jumpy-gear (schimbătoarele, așa cum sunt cunoscute), aveți doar un lanț, iar lanțul are o distanță specifică, sau pas, așa cum se numește.
Deci, toate roțile sau pinioanele (din punct de vedere tehnic, nu sunt roți dințate, pentru că dințații antrenează pinioane, iar lanțurile antrenează pinioane)... toate pinioanele trebuie să aibă dinți de aceeași dimensiune sau pas, altfel lanțul nu se va potrivi!
Și dinții ăia sunt foarte țepoși. Doug.
Cineva în comentarii a spus că a crezut că le amintește de ceva legat de mecanismul de ceas, cum ar fi o scăpare sau un fel de angrenaj în interiorul unui ceas.
Dar sunt destul de sigur că ceasornicarii ar spune „Nu, noi nu am modela dinții așa”, pentru că folosesc forme foarte distinctive pentru a crește fiabilitatea și precizia.
Așa că sunt destul de mulțumit de acea pictogramă Apple, dar, nu, nu-mi amintește de mersul pe bicicletă.
Pictograma Android, în mod ironic...
… și m-am gândit la tine când m-am gândit la asta, Doug [râsete], și m-am gândit: „Oh, doamne, nu voi auzi niciodată sfârșitul asta. Dacă o menționez”…
..care arată ca un roți din spate pe o bicicletă (și știu că nu este un dințat, este un pinion, pentru că roțile antrenează roți dințate, iar lanțurile antrenează roți dințate, dar dintr-un anumit motiv le numiți roți dințate când sunt mici la spatele unei biciclete).
Dar are doar șase dinți.
Cel mai mic dig de bicicletă din spate despre care l-am menționat este de nouă dinți – este foarte mic, o curbă foarte strânsă și numai în utilizări speciale.
Băieților de la BMX le plac pentru că, cu cât dințata este mai mică, cu atât este mai puțin probabil să lovească pământul când faci trucuri.
Deci... asta are foarte puțin de-a face cu securitatea cibernetică, dar este o perspectivă fascinantă a ceea ce cred că este cunoscut în zilele noastre nu ca „interfață cu utilizatorul”, ci „experiența utilizatorului”.
DOUG. Bine, mulțumesc foarte mult, Bryan, pentru comentariu.
Dacă aveți o poveste, un comentariu sau o întrebare interesantă pe care doriți să o trimiteți, ne-ar plăcea să o citim pe podcast.
Puteți trimite un e-mail la tips@sophos.com, puteți comenta oricare dintre articolele noastre sau ne puteți contacta pe social: @Naked Security.
Acesta este emisiunea noastră de astăzi – mulțumesc foarte mult pentru ascultare.
Pentru Paul Ducklin, sunt Doug Aamoth și vă reamintesc până data viitoare să...
AMBII. Rămâi în siguranță!
[MODEM MUZICAL]
- blockchain
- coingenius
- portofele de criptare
- criptoschimb
- securitate cibernetică
- cybercriminals
- Securitate cibernetică
- Departamentul de Securitate Națională
- portofele digitale
- Eckersley
- firewall
- Kaspersky
- Să criptăm
- malware
- McAfee
- Securitate goală
- Podcast de securitate gol
- NexBLOC
- Peter
- Plato
- platoul ai
- Informații despre date Platon
- Jocul lui Platon
- PlatoData
- platogaming
- Podcast
- TIC-tac
- VPN
- securitatea site-ului
- zephyrnet
![S3 Ep124: Când așa-numitele aplicații de securitate devin necinstite [Audio + Text]](https://platoaistream.net/wp-content/uploads/2023/03/s3-ep124-when-so-called-security-apps-go-rogue-audio-text-360x188.png)
