S3 Ep99: TikTok »napad« – je prišlo do kršitve podatkov ali ne? [Avdio + besedilo]

Kliknite in povlecite spodnje zvočne valove, da preskočite na katero koli točko. Lahko tudi poslušaj neposredno na Soundcloudu.

DOUG.  Nič dni, več nič dni, TikTok in žalosten dan za varnostno skupnost.

Vse to in še več v podcastu Naked Security.

[GLASBENI MODEM]

Dobrodošli v podkastu Naked Security, vsi.

Jaz sem Doug Aamoth.

Z mano je, kot vedno, Paul Ducklin.

Paul, kako si kaj danes?

---

RACA.  Zelo, zelo dobro mi gre, hvala, Douglas!

---

DOUG.  No, začnimo predstavo z našim segmentom tehnične zgodovine.

Z veseljem vam povem: ta teden, 09. septembra 1947, so v računalniku Mark II univerze Harvard našli pravega molja.

In čeprav se domneva, da je bil izraz "hrošč" za označevanje inženirskih napak v uporabi leta in leta pred tem, se domneva, da je ta incident privedel do zdaj vseprisotnega "odpravljanja napak".

Zakaj?

Ko je bil molj odstranjen iz Marka II, so ga nalepili v strojniški dnevnik in označili z "Prvi primer dejanske najdbe hrošča."

Všeč mi je ta zgodba!

---

RACA.  Tudi jaz!

Mislim, da prvi dokaz, ki sem ga videl o tem izrazu, ni bil nihče drug kot Thomas Edison – mislim, da je uporabil izraz "hrošči".

Seveda pa so bili to leta 1947 zelo zgodnji dnevi digitalnega računalništva in vsi računalniki še niso delovali na ventilih ali elektronkah, ker so bile cevi še vedno zelo drage, zelo vroče in so zahtevale veliko elektrike.

Torej je ta računalnik, čeprav je lahko izvajal trigonometrijo in podobno, dejansko temeljil na relejih – elektromehanskih stikalih, ne čistih elektronskih stikalih.

Precej neverjetno je, da so bili računalniki, ki so temeljili na releju, celo v poznih 1940-ih še vedno ... čeprav ne bodo še dolgo.

---

DOUG.  No, Paul, recimo na temo neurejenih stvari in hroščev.

Neurejena stvar, ki moti ljudi, je vprašanje te stvari TikTok.

Obstajajo kršitve in obstajajo kršitve ... ali je to dejansko kršitev?

---

RACA.  Kot praviš, Douglas, to je postalo grdo...

Ker je bila čez vikend ogromna zgodba, kajne?

»Kršitev TikTok – kaj je v resnici bilo?«

Na prvi pogled zveni kot: "Vau, 2 milijardi podatkovnih zapisov, 1 milijarda ogroženih uporabnikov, vstopili so hekerji" in še kaj.

Zdaj je več ljudi, ki se redno ukvarjajo s kršitvami podatkov, zlasti Troy Hunt iz Ali sem bil pwned, posneli vzorčne posnetke podatkov, ki naj bi bili »ukradeni«, in jih šli iskat.

In zdi se, da soglasje podpira točno to, kar je rekel TikTok, in sicer, da so ti podatki tako ali tako javni.

Zdi se torej, da gre za zbirko podatkov, recimo ogromen seznam videoposnetkov ... za katerega predvidevam, da TikTok verjetno ne bi želel, da ga lahko prenesete sami, ker bi želeli, da greste skozi platformo, in uporabite njihove povezave ter si oglejte njihovo oglaševanje, da bi lahko stvari monetizirali.

Vendar se zdi, da noben od podatkov, nobena stvar na seznamih ni bila zaupna ali zasebna za prizadete uporabnike.

Ko je Troy Hunt šel iskati in na primer izbral nekaj naključnega videoposnetka, se je ta prikazal pod imenom tega uporabnika kot javen.

In podatki o videoposnetku v »kršitvi« prav tako niso rekli: »Oh, in mimogrede, tukaj je strankin ID TikTok; tukaj je zgoščena vrednost njihovega gesla; tukaj je njihov domači naslov; tukaj je seznam zasebnih videov, ki jih še niso objavili« in tako naprej.

---

DOUG.  V redu, torej, če sem uporabnik TikTok-a, je tukaj opozorilo?

Ali moram kaj storiti?

Kako to vpliva name kot uporabnika?

---

RACA.  To je pač stvar. Doug – mislim, da je veliko člankov, napisanih o tem, obupano želelo najti nekakšen zaključek.

Kaj lahko storite?

Zato je pereče vprašanje, ki si ga ljudje zastavljajo, »No, ali naj spremenim svoje geslo? Ali naj vklopim dvostopenjsko avtentikacijo?«… vse običajne stvari, ki jih slišite.

V tem primeru je videti, kot da ni posebne potrebe po spremembi gesla.

Ni namigovanja, da so bile zgoščene vrednosti gesel ukradene in da bi jih zdaj lahko zlomilo milijon rudarjev bitcoinov, ki niso na delovnem mestu [SMEH] ali kaj podobnega.

Ni namigovanja, da bi bilo zaradi tega lažje ciljati na uporabniške račune.

Po drugi strani pa, če želite spremeniti svoje geslo ... lahko tudi.

Splošno priporočilo v teh dneh je redno in redno ter pogosto spreminjanje gesla *po urniku* (na primer »Enkrat na mesec spremenite geslo za vsak slučaj«) je slaba ideja, ker [ROBOTSKI GLAS] - samo - dobi - vas – v – ponavljajočo se – navado, ki stvari v resnici ne izboljša.

Ker vemo, kaj ljudje počnejo, gredo samo: -01, -02, 03 na koncu gesla.

Torej, mislim, da vam ni treba spremeniti gesla, čeprav se odločite, da boste to storili, dobro za vas.

Moje lastno mnenje je, da v tem primeru to, ali imate vklopljeno dvostopenjsko preverjanje pristnosti ali ne, ne bi imelo nobene razlike.

Po drugi strani pa, če je to dogodek, ki vas končno prepriča, da ima 2FA mesto nekje v vašem življenju ...

… potem je morda, Douglas, to srečna podloga!

---

DOUG.  Super.

Zato bomo pazili na to.

Vendar se zdi, da običajni uporabniki glede tega ne bi mogli narediti prav veliko ...

---

RACA.  Le da se morda ene stvari lahko naučimo ali se iz nje vsaj spomnimo.

---

DOUG.  Mislim, da vem, kaj prihaja. [SMEH]

Se rima?

---

RACA.  Lahko bi šlo, Douglas. [SMEH]

Prekleto, tako sem prozoren. [SMEJANJE]

Zavedajte se/preden delite.

Ko je nekaj javno, je *res javno* in je tako preprosto.

---

DOUG.  V redu, zelo dobro.

Zavedajte se, preden delite.

Varnostna skupnost je izgubila pionirja Petra Eckersleyja, ki je umrl pri 43 letih.

Bil je soustvarjalec Let's Encrypt.

Torej, povejte nam nekaj o Let's Encrypt in Eckersleyjeva zapuščina, če bi.

---

RACA.  No, v svojem na žalost kratkem življenju je naredil ogromno stvari, Doug.

O Naked Security ne pišemo pogosto osmrtnic, toda to je ena izmed tistih, za katere smo menili, da jih moramo.

Ker, kot pravite, je bil Peter Eckersley med vsemi drugimi stvarmi, ki jih je počel, eden od soustanoviteljev Let's Encrypt, projekta, katerega namen je bil poceni (tj. brezplačen!), a kar je najpomembneje zanesljiv in enostavno pridobiti potrdila HTTPS za vaše spletno mesto.

In ker uporabljamo potrdila Let's Encrypt na spletnih mestih blogov Naked Security in Sophos News, sem čutil, da ga dolgujemo vsaj omeniti za to dobro delo.

Kajti vsakdo, ki je kdaj upravljal spletno stran, bo vedel, da če se vrnete nekaj let nazaj, pridobitev potrdila HTTPS, potrdila TLS, ki vam omogoča, da zaklenete ključavnico v spletnih brskalnikih obiskovalcev, ne stane le denarja, kar domači uporabniki, ljubitelji , dobrodelne organizacije, mala podjetja, športni klubi, ki si jih ne morejo zlahka privoščiti ... to je bila *prava težava*.

Tam je bil celoten postopek, skozi katerega ste morali; bil je zelo poln žargona in tehničnih stvari; in vsako leto si moral to narediti znova, ker jim očitno poteče… to je kot varnostni pregled avtomobila.

Morate opraviti vajo in dokazati, da ste še vedno oseba, ki lahko spremeni domeno, za katero trdite, da jo nadzirate, itd.

In Let's Encrypt ne samo, da je to lahko naredil brezplačno, uspelo jim je narediti tako, da je postopek lahko avtomatiziran ... in to na četrtletni osnovi, tako da to tudi pomeni, da lahko certifikati hitreje potečejo, če gre kaj narobe.

Uspelo jim je zgraditi zaupanje dovolj hitro, da so glavni brskalniki kmalu rekli: »Veš kaj, podjetju Let's Encrypt bomo zaupali, da jamči za spletna potrdila drugih ljudi – kar se imenuje korenski CA, ali overitelj potrdil.

Nato vaš brskalnik privzeto zaupa programu Let's Encrypt.

In res, vse te stvari se združijo, kar je bilo zame veličastnost projekta.

Ne samo, da je bilo brezplačno; ni bilo le preprosto; ni šlo samo za to, da so se izdelovalci brskalnikov (ki jih je znano, da jih je težko prepričati, da vam sploh zaupajo) odločili: "Da, zaupamo jim."

Vse te stvari skupaj so naredile veliko razliko in pomagale, da je HTTPS skoraj povsod na internetu.

To je le način, da brskanju, ki ga izvajamo, dodamo tisto malo dodatne varnosti ...

... ne toliko zaradi šifriranja, kot nenehno opozarjamo ljudi, ampak zaradi dejstva, da [A] imate možnost boja, da ste se res povezali s spletnim mestom, s katerim manipulira oseba, ki naj bi manipulirala z njim, in da [B] ko se vsebina vrne ali ko ji pošljete zahtevo, vanjo ni mogoče zlahka posegati med potjo.

Do Let's Encrypt je s katero koli spletno stranjo, ki uporablja samo HTTP, skoraj vsak na omrežni poti lahko vohunil za tem, kar gledate.

Še huje, lahko bi ga spremenili – bodisi tisto, kar ste pošiljali, bodisi tisto, kar ste dobili nazaj – in *preprosto niste mogli ugotoviti*, da prenašate zlonamerno programsko opremo namesto prave ponudbe ali da berete lažne novice namesto resnična zgodba.

---

DOUG.  V redu, mislim, da je primerno zaključiti s super komentar enega od naših bralcev, Samantha, ki je očitno poznala gospoda Eckersleyja.

Ona pravi:

»Če se česa vedno spominjam v zvezi s svojimi interakcijami s Petom, je to njegova predanost znanosti in znanstveni metodi. Postavljanje vprašanj je bistvo znanstvenika. Vedno bom cenil Peta in njegova vprašanja. Zame je bil Pete človek, ki je cenil komunikacijo ter svobodno in odprto izmenjavo idej med radovednimi posamezniki.«

Dobro povedano, Samantha – hvala.

---

RACA.  Da!

In namesto RIP [okrajšava za Rest In Peace], mislim, da bom rekel CIP: Code in Peace.

---

DOUG.  Zelo dobro!

V redu, no, prejšnji teden smo govorili o množici popravkov za Chrome, nato pa se je pojavil še eden.

In ta je bil Pomembno ena…

---

RACA.  Res je bilo, Doug.

In ker je veljalo za jedro Chromium, je veljalo tudi za Microsoft Edge.

Torej, ravno prejšnji teden smo govorili o tistih ... kaj je bilo, 24 varnostnih lukenj.

Eden je bil kritičen, osem ali devet pa visoko.

Tam so najrazličnejše napake pri slabem upravljanju pomnilnika, vendar nobena ni bila ničelna.

Tako smo govorili o tem in rekli: »Poglejte, to je majhen posel z vidika ničelnega dne, vendar je velik posel z vidika varnostnega popravka. Pohitite: ne odlašajte, storite to danes.”

(Oprosti – spet sem rimal, Doug.)

Tokrat je to še ena posodobitev, ki je izšla le nekaj dni kasneje, tako za Chrome kot za Edge.

Tokrat je popravljena samo ena varnostna luknja.

Ne vemo povsem, ali gre za dvig privilegijev ali za oddaljeno izvajanje kode, vendar se sliši resno in je zero-day z znanim izkoriščanjem, ki je že v naravi.

Predvidevam, da je odlična novica ta, da sta Google in Microsoft ter drugi izdelovalci brskalnikov lahko uporabili ta popravek in ga res zelo hitro izdali.

Ne govorimo o mesecih ali tednih ... samo nekaj dni za znani ničelni dan, ki je bil očitno najden po objavi zadnje posodobitve, ki je bila šele prejšnji teden.

To je torej dobra novica.

Slaba novica je seveda ta, da je to dan 0 – prevaranti so na tem; ga že uporabljajo.

Google je bil nekoliko sramežljiv glede "kako in zakaj" ... kar nakazuje, da v ozadju poteka neka preiskava, ki je morda ne želijo ogroziti.

Torej, še enkrat, to je situacija "Popravljaj zgodaj, popravljaj pogosto" - tega ne morete kar zapustiti.

Če ste popravili prejšnji teden, potem morate to storiti znova.

Dobra novica je, da bi se morali Chrome, Edge in večina današnjih brskalnikov posodobiti sami.

Toda kot vedno se splača preveriti, kajti kaj, če se zanašate na samodejno posodabljanje in samo tokrat ni delovalo?

Ali ne bi bilo to 30 sekund vašega časa, ki bi ga dobro porabili za preverjanje, ali res imate najnovejšo različico?

Imamo vse ustrezne številke različic in nasvete [o goli varnosti] o tem, kje klikniti za Chrome in Edge, da zagotovimo, da imate najnovejšo različico teh brskalnikov.

---

DOUG.  In udarna novica za vse, ki vodijo rezultat ...

Pravkar sem preveril svojo različico Microsoft Edge in je pravilna, posodobljena različica, zato se je posodobil sam.

V redu, nazadnje, vendar zagotovo ne najmanj pomembno, imamo redek ampak nujna Apple posodobitev za iOS 12, za katerega smo vsi mislili, da je končan in pobrisan.

---

RACA.  Ja, kot sem napisal v prvih petih besedah ​​članka o goli varnosti, “No, tega nismo pričakovali!”

Dovolil sem si klicaj, Doug, [SMEH], ker sem bil presenečen ...

Redni poslušalci podcasta bodo vedeli, da je moj ljubljeni, čeprav star, a prej nedotaknjen iPhone 6 Plus utrpel prometno nesrečo.

Kolo je preživelo; Zrasla mi je vsa koža, ki sem jo potreboval (SMEH) ... toda zaslon mojega iPhona je še vedno v sto tisoč milijonih milijard bilijonov kosov. (Vsi koščki, ki bodo prišli ven iz mojega prsta, mislim, da so to že storili.)

Tako sem ugotovil … iOS 12, od zadnje posodobitve je minilo leto dni, tako da je očitno popolnoma izven Applovega radarja.

Ne bo prejel nobenih drugih varnostnih popravkov.

Pomislil sem: »No, zaslona se ne da več razbiti, zato je odličen telefon za nujne primere, ki ga vzamem s seboj, ko sem na poti« … če se kam odpravljam, če moram poklicati ali pogledati zemljevid. (Ne bom delal e-pošte ali drugih stvari, povezanih z delom.)

In glej, dobil je posodobitev, Doug!

Nenadoma, skoraj leto dni po prejšnjem ... Mislim, da je bil 23. september 2021 Zadnja posodobitev Imel sem.

Nenadoma je Apple izdal to posodobitev.

Nanaša se na prejšnji popravki o katerem smo govorili, kjer so opravili nujno posodobitev za sodobne iPhone in iPad ter vse različice macOS.

Tam so popravljali hrošč WebKit in hrošč jedra: oba nič dni; oboje se uporablja v naravi.

(Ali vam to diši po vohunski programski opremi? Meni je!)

Napaka WebKit pomeni, da lahko obiščete spletno stran ali odprete dokument in aplikacija prevzame nadzor.

Nato hrošč v jedru pomeni, da vstavite svojo pletilko naravnost v operacijski sistem in v bistvu naredite luknjo v Applovem hvaljenem varnostnem sistemu.

Toda posodobitve za iOS 12 ni bilo in, kot smo rekli zadnjič, kdo ve, ali je to zato, ker je iOS 12 slučajno neranljiv, ali pa Apple resnično ne namerava storiti ničesar glede tega, ker je odpadel rob planeta pred enim letom?

No, zdi se, da ni povsem padel z roba planeta, ali pa se je zibal na robu ... in *bil je* ranljiv.

Dobra novica … napaka v jedru, o kateri smo govorili zadnjič, stvar, ki bi nekomu omogočila, da v bistvu prevzame celoten iPhone ali iPad, ne velja za iOS 12.

Toda ta napaka WebKit – ki se je spomnite, prizadene *kateri koli* brskalnik, ne samo Safari, in katero koli aplikacijo, ki izvaja kakršno koli spletno upodabljanje, tudi če je samo v O meni zaslon…

… ta hrošč je *je* obstajal v iOS 12 in Apple je očitno to močno čutil.

Torej, tukaj ste: če imate starejši iPhone in je še vedno na iOS 12, ker ga ne morete posodobiti na iOS 15, potem morate iti in dobiti to.

Ker je to Napaka WebKit o katerem smo govorili zadnjič – uporabljali so ga v naravi.

Apple popravi dvojni zero-day v brskalniku in jedru – posodobite zdaj!

Dejstvo, da se je Apple tako zelo potrudil, da je podprl različico operacijskega sistema, ki se je zdelo po koncu življenjske dobe, nakazuje ali vas vsaj vabi, da sklepate, da je bilo ugotovljeno, da se je to uporabljalo na podle načine za vse vrste porednih stvari.

Torej, morda je bilo tarče le nekaj ljudi ... a tudi če je tako, ne dovolite, da ste tretja oseba!

---

DOUG.  In če si sposodim enega od vaših rimanih stavkov:

Ne odlašajte/Naredite to danes.

[SMEH] Kaj pa to?

---

RACA.  Doug, vedel sem, da boš to rekel.

---

DOUG.  Ujamem se!

In ko sonce počasi zahaja za našo današnjo oddajo, bi radi slišali od enega od naših bralcev o Applovi zgodbi o ničelnem dnevu.

Bralec Bryan komentira:

»Applova ikona nastavitev je bila v mojih mislih vedno podobna zobniku kolesa. Kot navdušen kolesar, uporabnik Applove naprave, pričakujem, da boš tak?«

To je namenjeno tebi, Paul.

Ali imaš rad to?

Se vam zdi, da je videti kot kolesarski zobnik?

---

RACA.  Mene to ne moti, ker je zelo prepoznavno, recimo, če hočem iti na Nastavitve > splošno > Posodobitev programske opreme.

(Namig, namig: tako preverite posodobitve v sistemu iOS.)

Ikona je zelo značilna in jo je enostavno zadeti, tako da vem, kam grem.

Ampak, ne, nikoli tega nisem povezoval s kolesarjenjem, ker če bi bili to sprednji verižniki na kolesu z menjalnikom, so vsi napačni.

Niso pravilno povezani.

Ni načina, da bi jih napajal.

Zobnika sta dva, vendar imata različno velike zobe.

Če pomislite, kako delujejo prestave na prestavah tipa jumpy-gear (tako imenovani menjalniki), imate samo eno verigo, veriga pa ima določen razmik ali korak, kot se temu reče.

Torej vsi zobniki ali zobniki (tehnično gledano niso zobniki, ker zobniki poganjajo zobnike, verige pa zobnike) … vsi zobniki morajo imeti zobe enake velikosti ali naklona, ​​sicer veriga ne bo ustrezala!

In ti zobje so zelo bodičasti. Doug.

Nekdo v komentarjih je rekel, da misli, da jih spominja na nekaj, kar je povezano z urnim mehanizmom, kot je izhod ali nekakšen zobnik v uri.

Vendar sem skoraj prepričan, da bi izdelovalci ur rekli: "Ne, ne bi tako oblikovali zob," ker uporabljajo zelo značilne oblike za povečanje zanesljivosti in natančnosti.

Tako da sem zelo zadovoljen s to ikono Apple, ampak ne, ne spominja me na kolesarjenje.

Ikona Android, ironično ...

... in ko sem pomislil na to, sem pomislil nate, Doug [SMEH], in pomislil sem, »O, hudiča, nikoli ne bom slišal konca tega. Če omenim"...

..to res izgleda kot zadnji zobnik na kolesu (in vem, da ni zobnik, ampak zobnik, ker zobniki poganjajo zobnike in verige poganjajo zobnike, toda iz nekega razloga jim rečeš zobniki, ko so majhni zadnji del kolesa).

Vendar ima samo šest zob.

Najmanjši zadnji kolesarski zobnik, ki ga lahko omenjam, je devet zob – to je zelo majhen, zelo tesna krivulja in le pri posebnih uporabah.

BMX fantje jih imajo radi, ker manjši kot je zobnik, manjša je verjetnost, da bo med izvajanjem trikov udaril ob tla.

Torej … to ima zelo malo opraviti s kibernetsko varnostjo, je pa fascinanten vpogled v tisto, za kar menim, da dandanes ni znano kot »uporabniški vmesnik«, temveč »uporabniška izkušnja«.

---

DOUG.  V redu, najlepša hvala, Bryan, za komentar.

Če imate zanimivo zgodbo, komentar ali vprašanje, ki bi ga radi poslali, ga bomo z veseljem prebrali v podcastu.

Lahko pošljete e-poštno sporočilo na tips@sophos.com, lahko komentirate katerega koli od naših člankov ali pa nas kontaktirate na socialnem omrežju: @Naked Security.

To je naša današnja oddaja – najlepša hvala za poslušanje.

Za Paula Ducklina sem Doug Aamoth, opominjam vas do naslednjič, da…

---

OBOJE.  Bodite varni!

[GLASBENI MODEM]