ТЕПЕРЬ СЛУШАЙ
С Дугом Аамотом и Полом Даклином.
Интро и аутро музыка Эдит Мадж.
Нажмите и перетащите звуковые волны ниже, чтобы перейти к любой точке. Вы также можете слушать прямо на Саундклауд.
Вы можете слушать нас на Soundcloud, Подкасты Apple, Подкасты Google, Spotify, Брошюровщик и везде, где есть хорошие подкасты. Или просто скинь URL нашего RSS-канала в свой любимый подкэтчер.
ПРОЧИТАЙТЕ СТЕНОКРИФИК
ДУГ. Нулевые дни, еще раз нулевые дни, TikTok и печальный день для сообщества безопасности.
Все это и многое другое в подкасте Naked Security.
[МУЗЫКАЛЬНЫЙ МОДЕМ]
Добро пожаловать на подкаст Naked Security, все.
Я Дуг Аамот.
Со мной, как всегда, Пол Даклин.
Павел, как дела сегодня?
УТКА. У меня все хорошо, спасибо, Дуглас!
ДУГ. Что ж, давайте начнем шоу с нашего сегмента Tech History.
Я рад сообщить вам: на этой неделе, 09 сентября 1947 года, внутри компьютера Mark II Гарвардского университета была обнаружена настоящая мотылька.
И хотя считается, что использование термина «ошибка» для обозначения технических сбоев использовалось много лет назад, считается, что этот инцидент привел к повсеместной теперь «отладке».
Почему?
Потому что после того, как моль была удалена из Mark II, она была заклеена в инженерном журнале и помечена как «Первый случай обнаружения настоящей ошибки».
Я люблю эту историю!
УТКА. Я тоже!
Я думаю, что первым свидетельством этого термина, которое я увидел, был не кто иной, как Томас Эдисон — я думаю, что он использовал термин «жуки».
Но, конечно, в 1947 году это были самые первые дни цифровых вычислений, и не все компьютеры работали на лампах или лампах, потому что лампы все еще были очень дорогими, сильно нагревались и требовали много электроэнергии.
Итак, этот компьютер, хотя и мог выполнять тригонометрию и прочее, на самом деле был основан на реле — электромеханических переключателях, а не чисто электронных переключателях.
Удивительно, что даже в конце 1940-х годов компьютеры на основе реле все еще существовали… хотя они не собирались существовать очень долго.
ДУГ. Ну, Павел, скажем, на тему лажи и багов.
Грязная вещь, которая беспокоит людей, — это вопрос о TikTok.
Есть нарушения, и есть нарушения… это действительно нарушение?
УТКА. Как ты и сказал, Дуглас, это стало грязным делом…
Потому что это была огромная история на выходных, не так ли?
«Нарушение TikTok — что это было на самом деле?»
На первый взгляд это звучит так: «Вау, 2 миллиарда записей данных, 1 миллиард пользователей скомпрометирован, хакеры проникли внутрь» и так далее.
Теперь несколько человек, которые регулярно сталкиваются с утечками данных, в том числе Трой Хант из Я был обманут, сделали образцы снимков данных, которые предположительно были «украдены», и отправились на их поиски.
И консенсус, кажется, поддерживает именно то, что сказал TikTok, а именно то, что эти данные в любом случае общедоступны.
То, что кажется, представляет собой набор данных, скажем, гигантский список видео … которые, я думаю, TikTok, вероятно, не хотел бы, чтобы вы просто могли скачать для себя, потому что они хотели бы, чтобы вы прошли через платформу, и использовать их ссылки, и видеть их рекламу, чтобы они могли монетизировать материал.
Но ни одна из данных, ни одна из вещей в списках, похоже, не была конфиденциальной или личной для затронутых пользователей.
Например, когда Трой Хант искал и выбирал случайное видео, это видео отображалось под именем этого пользователя как общедоступное.
И в данных о видео в «взломе» тоже не говорилось: «О, и кстати, вот TikTok ID клиента; вот их хэш пароля; вот их домашний адрес; вот список частных видео, которые они еще не опубликовали», и так далее.
ДУГ. Итак, если я пользователь TikTok, есть ли здесь поучительная история?
Мне нужно что-нибудь делать?
Как это влияет на меня как на пользователя?
УТКА. В том-то и дело. Даг. Я думаю, что многие статьи, написанные об этом, отчаянно пытались найти какой-то вывод.
Что вы можете сделать?
Итак, животрепещущий вопрос, который задают люди: «Ну, должен ли я изменить свой пароль? Должен ли я включить двухфакторную аутентификацию?»… все обычные вещи, которые вы слышите.
В этом случае похоже, что нет особой необходимости менять пароль.
Нет никаких предположений о том, что хэши паролей были украдены и теперь могут быть взломаны миллионами неработающих биткойн-майнеров [СМЕЕТСЯ] или чем-то в этом роде.
Нет никаких предположений, что в результате этого будет легче ориентироваться на учетные записи пользователей.
С другой стороны, если вам хочется сменить пароль… вы тоже можете это сделать.
Общая рекомендация в наши дни — регулярно, регулярно и часто менять пароль *по расписанию* (например, «Раз в месяц меняйте пароль на всякий случай») — плохая идея, потому что [РОБОТИЧЕСКИЙ ГОЛОС] он — просто — получает — вы – в – повторяющуюся – привычку, которая на самом деле ничего не улучшает.
Поскольку мы знаем, что делают люди, они просто добавляют: -01, -02, 03 в конце пароля.
Итак, я не думаю, что вам нужно менять свой пароль, хотя, если вы решите, что собираетесь это сделать, молодцы.
Мое личное мнение таково, что в этом случае не имеет значения, включена ли у вас двухфакторная аутентификация или нет.
С другой стороны, если это инцидент, который окончательно убедит вас в том, что 2FA имеет место где-то в вашей жизни…
…тогда, возможно, Дуглас, это луч надежды!
ДУГ. Отлично.
Так что будем следить за этим.
Но похоже, что обычные пользователи мало что могли бы с этим сделать…
УТКА. За исключением, может быть, одной вещи, которую мы можем узнать или, по крайней мере, напомнить себе об этом.
ДУГ. Думаю, я знаю, что будет. [СМЕЕТСЯ]
Это рифмуется?
УТКА. Может быть, Дуглас. [СМЕЕТСЯ]
Блин, я такой прозрачный. [СМЕЮЩИЙСЯ]
Будьте в курсе/Прежде чем делиться.
Как только что-то становится публичным, оно *действительно становится публичным*, и это так просто.
ДУГ. ОК отлично.
Будьте в курсе, прежде чем делиться.
Двигаясь вперед, сообщество безопасности потеряло пионера в лице Питера Экерсли, который скончался в возрасте 43 лет.
Он был одним из создателей Let's Encrypt.
Итак, расскажите нам немного о Let’s Encrypt и Наследие Экерсли, если бы вы.
УТКА. Ну, он сделал кучу всего за свою, к сожалению, короткую жизнь, Дуг.
Мы не часто пишем некрологи о Naked Security, но это один из тех, которые мы чувствовали, что должны.
Потому что, как вы говорите, Питер Экерсли, помимо всего прочего, был одним из соучредителей Let's Encrypt, проекта, который поставил перед собой задачу сделать его дешевым (то есть бесплатным!), но, самое главное, надежным и легко получить сертификаты HTTPS для вашего сайта.
И поскольку мы используем сертификаты Let's Encrypt на сайтах блогов Naked Security и Sophos News, я чувствовал, что мы должны хотя бы упомянуть его за эту хорошую работу.
Потому что любой, кто когда-либо запускал веб-сайт, знает, что, если вы вернетесь на несколько лет назад, получение сертификата HTTPS, сертификата TLS, который позволяет вам поместить замок в веб-браузеры ваших посетителей, не только стоит денег, которые домашние пользователи, любители , благотворительные организации, малый бизнес, спортивные клубы не могли себе позволить… это была *настоящая проблема*.
Ты должен был пройти через всю эту процедуру; он был полон жаргона и технических вещей; и каждый год вам приходилось делать это снова, потому что срок их действия истекает… это как проверка автомобиля на безопасность.
Вы должны пройти через это упражнение и доказать, что вы все еще тот человек, который может изменить домен, которым вы утверждаете, что управляете, и так далее.
И Let’s Encrypt не только смогли сделать это бесплатно, они смогли сделать так, чтобы процесс можно было автоматизировать… и на ежеквартальной основе, что также означает, что срок действия сертификатов может истечь быстрее, если что-то пойдет не так.
Они смогли завоевать доверие настолько быстро, что основные браузеры вскоре сказали: «Знаете что, мы собираемся доверить Let's Encrypt ручаться за чужие веб-сертификаты — то, что называется корневой ЦСили центр сертификации.
Затем ваш браузер доверяет Let's Encrypt по умолчанию.
И действительно, все эти вещи собираются вместе, что для меня было величием проекта.
Дело было не только в том, что это было бесплатно; дело было не только в том, что это было легко; Дело было не только в том, что производители браузеров (которых, как известно, вообще трудно убедить доверять вам) решили: «Да, мы им доверяем».
Все эти вещи, взятые вместе, имели большое значение и помогли использовать HTTPS почти везде в Интернете.
Это просто способ добавить немного дополнительной безопасности к просмотру, который мы делаем…
… не столько из-за шифрования, как мы продолжаем напоминать людям, сколько из-за того, что [A] у вас есть шанс побороться за то, что вы действительно подключились к сайту, которым манипулирует человек, который должен им манипулировать, и что [B], когда контент возвращается или когда вы отправляете ему запрос, его нельзя легко подделать по пути.
До Let's Encrypt с любым веб-сайтом, поддерживающим только HTTP, практически любой человек на сетевом пути мог следить за тем, что вы просматривали.
Хуже того, они могли изменить его — либо то, что вы отправляли, либо то, что вы возвращали — и вы *просто не могли* сказать*, что загружаете вредоносное ПО, а не настоящую, или что вы читаете фальшивые новости, а не реальная история.
ДУГ. Хорошо, я думаю, уместно завершить комментарий одного из наших читателей, Саманта, которая, похоже, была знакома с мистером Экерсли.
Она говорит:
«Если и есть что-то, что я всегда помню о своем общении с Питом, так это его преданность науке и научному методу. Задавать вопросы — это сама суть того, чтобы быть ученым. Я всегда буду дорожить Питом и его вопросами. Для меня Пит был человеком, который ценил общение и свободный и открытый обмен идеями между любознательными людьми».
Хорошо сказано, Саманта, спасибо.
УТКА. Да!
И вместо того, чтобы говорить RIP [аббревиатура от Rest In Peace], я думаю, что скажу CIP: Code in Peace.
ДУГ. Очень хорошо!
Ладно, на прошлой неделе мы говорили о множестве исправлений для Chrome, а потом появилось еще одно.
А этот был важную один ...
УТКА. Это действительно так, Дуг.
И поскольку это применимо к ядру Chromium, оно также применимо к Microsoft Edge.
Итак, буквально на прошлой неделе мы говорили об этих… что это было, 24 дыры в безопасности.
Один был критическим, восемь или девять — высокими.
Там есть всевозможные ошибки неправильного управления памятью, но ни одна из них не была нулевым днем.
И поэтому мы говорили об этом, говоря: «Послушайте, это мелочь с точки зрения нулевого дня, но это большое дело с точки зрения исправления безопасности. Двигайтесь вперед: не откладывайте, сделайте это сегодня».
(Извини, я снова зарифмовал, Дуг.)
На этот раз это еще одно обновление, которое вышло всего через пару дней, как для Chrome, так и для Edge.
На этот раз исправлена только одна дыра в безопасности.
Мы не совсем знаем, является ли это повышением привилегий или удаленным выполнением кода, но звучит серьезно, и это нулевой день с уже известным эксплойтом.
Думаю, хорошая новость заключается в том, что и Google, и Microsoft, и другие производители браузеров смогли применить этот патч и выпустить его очень, очень быстро.
Мы не говорим о месяцах или неделях… всего пара дней для известного нулевого дня, который, очевидно, был обнаружен после выхода последнего обновления, то есть только на прошлой неделе.
Так что это хорошая новость.
Плохая новость в том, что это нулевой день — на нем мошенники; они его уже используют.
Google был немного сдержан в отношении того, «как и почему»… это говорит о том, что на заднем плане происходит какое-то расследование, которое они, возможно, не хотят подвергать опасности.
Итак, еще раз, это ситуация «исправляйте раньше, исправляйте часто» — вы не можете просто оставить это.
Если вы установили патч на прошлой неделе, вам нужно сделать это снова.
Хорошая новость заключается в том, что Chrome, Edge и большинство современных браузеров должны обновляться сами.
Но, как всегда, стоит проверить, потому что что, если вы полагаетесь на автоматическое обновление, и только в этот раз оно не сработало?
Разве это не было бы 30 секундами вашего времени, потраченными на то, чтобы убедиться, что у вас действительно установлена последняя версия?
У нас есть все соответствующие номера версий и советы [по Naked Security] о том, где щелкнуть Chrome и Edge, чтобы убедиться, что у вас действительно установлена последняя версия этих браузеров.
ДУГ. И срочные новости для тех, кто ведет счет…
Я только что проверил свою версию Microsoft Edge, и это правильная, актуальная версия, поэтому она обновилась.
ОК, последнее, но не менее важное: у нас есть редкое, но срочное обновление Apple для iOS 12, который, как мы все думали, был готов и вычищен.
УТКА. Да, как я написал в первых пяти словах статьи о Naked Security: «Ну, такого мы не ожидали!»
Я позволил себе восклицательный знак, Дуг, [СМЕХ], потому что был удивлен…
Постоянные слушатели подкаста узнают, что мой любимый, пусть старый, но некогда нетронутый iPhone 6 Plus попал в аварию на велосипеде.
Велосипед уцелел; Я отрастил всю кожу, которая мне была нужна [СМЕХ]… но экран моего iPhone все еще состоит из ста миллиардов миллиардов триллионов кусочков. (Все кусочки, которые выйдут из моего пальца, я думаю, уже сделали это.)
Итак, я подумал… iOS 12, прошел год с тех пор, как у меня было последнее обновление, так что, очевидно, оно полностью вне поля зрения Apple.
Других исправлений безопасности не будет.
Я подумал: «Ну, экран не может снова разбиться, так что это отличный телефон для экстренной помощи, когда я в дороге»… если я иду куда-то, если мне нужно позвонить или посмотреть на карта. (Я не собираюсь писать по электронной почте или делать там что-то связанное с работой.)
И, о чудо, он получил обновление, Дуг!
Внезапно, почти через год после предыдущего… Я думаю, 23 сентября 2021 года было последнее обновление Я имел.
Внезапно Apple выпустила это обновление.
Это относится к предыдущие патчи о которых мы говорили, где они сделали экстренное обновление для современных iPhone и iPad и всех версий macOS.
Там они исправляли ошибку WebKit и ошибку ядра: оба нулевых дня; оба используются в дикой природе.
(Для вас это пахнет шпионским ПО? Для меня пахло!)
Ошибка WebKit означает, что вы можете посетить веб-сайт или открыть документ, и он возьмет верх над приложением.
Затем ошибка ядра означает, что вы втыкаете свою вязальную спицу прямо в операционную систему и, по сути, пробиваете дыру в хваленой системе безопасности Apple.
Но не было обновления для iOS 12, и, как мы говорили в прошлый раз, кто знал, было ли это потому, что iOS 12 просто оказалась неуязвимой, или что Apple действительно ничего не собиралась с этим делать, потому что она упала. краю планеты год назад?
Что ж, похоже, что он не совсем упал с края планеты, или балансировал на краю… и он *был* уязвим.
Хорошие новости… ошибка ядра, о которой мы говорили в прошлый раз, которая позволила бы кому-то фактически захватить весь iPhone или iPad, не относится к iOS 12.
Но эта ошибка WebKit, как вы помните, затрагивает *любой* браузер, а не только Safari, и любое приложение, которое выполняет какой-либо веб-рендеринг, даже если он только в его О нас экран…
…эта ошибка *действительно* существовала в iOS 12, и, очевидно, Apple сильно переживала по этому поводу.
Итак, вот оно: если у вас старый iPhone, и он все еще работает на iOS 12, потому что вы не можете обновить его до iOS 15, тогда вам нужно пойти и получить это.
Потому что это Ошибка WebKit о котором мы говорили в прошлый раз – его использовали в дикой природе.
Apple исправляет двойной нулевой день в браузере и ядре — обновите сейчас!
И тот факт, что Apple пошла на все, чтобы поддержать то, что казалось устаревшей версией операционной системы, предполагает или, по крайней мере, предлагает вам сделать вывод, что было обнаружено, что эта версия использовалась гнусными способами для всякие гадости.
Так что, возможно, мишенью стала всего пара человек… но даже если это так, не позволяйте себе быть третьим лицом!
ДУГ. И позаимствовать одну из ваших рифмованных фраз:
Не откладывайте/Сделайте это сегодня.
[СМЕЕТСЯ] Как насчет этого?
УТКА. Даг, я знал, что ты это скажешь.
ДУГ. Я улавливаю!
И поскольку солнце начинает медленно садиться в нашем сегодняшнем шоу, мы хотели бы услышать от одного из наших читателей об истории Apple с нулевым днем.
Читатель Брайан комментирует:
«Значок Apple Settings всегда напоминал мне велосипедную звездочку. Как заядлый байкер, пользователь устройств Apple, я ожидаю, что вам это понравится?»
Это адресовано тебе, Пол.
вам это нравится?
Как вы думаете, это похоже на велосипедную звездочку?
УТКА. Я не возражаю, потому что это очень узнаваемо, скажем, если я хочу пойти в Настройки > Общие > Обновление ПО.
(Подсказка, подсказка: именно так вы проверяете наличие обновлений на iOS.)
Значок очень характерный, и его легко нажать, поэтому я знаю, куда иду.
Но нет, я никогда не ассоциировал это с ездой на велосипеде, потому что если бы это были передние звезды на велосипеде с редуктором, они бы просто были неправильные.
Они не подключены должным образом.
Нет возможности вложить в них силу.
Звездочек две, но у них зубья разного размера.
Если вы думаете о том, как работают шестерни на велосипедных передачах с прыгающим механизмом (переключатели, как их называют), у вас есть только одна цепь, и цепь имеет определенный интервал или шаг, как это называется.
Итак, все шестерни или звездочки (технически они не шестерни, потому что шестерни приводят в движение шестерни, а цепи — звездочки)… все звездочки должны иметь зубья одинакового размера или шага, иначе цепь не подойдет!
И эти зубы очень острые. Дуг.
Кто-то в комментариях сказал, что, по их мнению, это напоминает им что-то, связанное с часовым механизмом, например, спусковой механизм или какой-то механизм внутри часов.
Но я почти уверен, что часовщики сказали бы: «Нет, мы не стали бы придавать зубьям такую форму», потому что они используют очень характерные формы для повышения надежности и точности.
Так что я вполне доволен этим значком Apple, но нет, он не напоминает мне о велосипеде.
Иконка Android, по иронии судьбы…
…и я подумал о тебе, когда подумал об этом, Дуг [СМЕХ], и я подумал: «О, черт возьми, я никогда не услышу конца этого. Если я упомяну об этом»…
...это похоже на заднюю шестерню на велосипеде (и я знаю, что это не шестерня, это звездочка, потому что шестеренки приводят в движение шестерни, а цепи - звездочки, но по какой-то причине вы называете их шестеренками, когда они маленькие в конце). задняя часть велосипеда).
Но у него всего шесть зубов.
Самая маленькая задняя велосипедная шестерня, о которой я могу найти упоминания, это девять зубьев — это очень крошечный, очень крутой изгиб, и только в особых случаях.
Они нравятся любителям BMX, потому что чем меньше шестерня, тем меньше вероятность, что она упадет на землю, когда вы выполняете трюки.
Итак… это имеет очень мало общего с кибербезопасностью, но это захватывающее понимание того, что, как мне кажется, в наши дни известно не как «пользовательский интерфейс», а как «пользовательский опыт».
ДУГ. Хорошо, большое спасибо, Брайан, за комментарий.
Если у вас есть интересная история, комментарий или вопрос, который вы хотели бы отправить, мы будем рады прочитать его в подкасте.
Вы можете отправить электронное письмо на адрес tip@sophos.com, вы можете прокомментировать любую из наших статей или написать нам в социальных сетях: @Naked Security.
Это наше шоу на сегодня – большое спасибо за внимание.
Для Пола Даклина я Дуг Аамот, напоминаю вам до следующего раза…
ОБА. Оставайтесь в безопасности!
[МУЗЫКАЛЬНЫЙ МОДЕМ]
- блокчейн
- Coingenius
- кошельки с криптовалютами
- cryptoexchange
- информационная безопасность
- киберпреступники
- Информационная безопасность
- Департамент внутренней безопасности
- цифровые кошельки
- Eckersley
- брандмауэр
- Kaspersky
- Позволяет зашифровать
- вредоносных программ
- Mcafee
- Голая Безопасность
- Голый Подкаст Безопасности
- НексБЛОК
- Питер
- Платон
- Платон Ай
- Платон Интеллектуальные данные
- Платон игра
- ПлатонДанные
- платогейминг
- Подкаст
- Tik Tok
- VPN
- безопасности веб-сайтов
- зефирнет
![S3, эпизод 124: когда так называемые приложения безопасности выходят из-под контроля [аудио + текст]](https://platoaistream.net/wp-content/uploads/2023/03/s3-ep124-when-so-called-security-apps-go-rogue-audio-text-360x188.png)
