LYSSNA NU
Med Doug Aamoth och Paul Ducklin.
Intro och outro musik av Edith Mudge.
Klicka och dra på ljudvågorna nedan för att hoppa till valfri punkt. Du kan också lyssna direkt på Soundcloud.
Du kan lyssna på oss på soundcloud, Apple Podcasts, Google Podcasts, Spotify, häft och överallt där bra poddar finns. Eller bara släpp URL till vårt RSS-flöde till din favoritpodcatcher.
LÄS TRANSKRIPTET
DOUG. Noll dagar, fler nolldagar, TikTok och en sorglig dag för säkerhetsgemenskapen.
Allt det och mer i podden Naked Security.
[MUSIKALT MODEM]
Välkommen till podcasten Naked Security, allihop.
Jag är Doug Aamoth.
Med mig är som alltid Paul Ducklin.
Paul, hur mår du idag?
ANKA. Jag mår väldigt, väldigt bra, tack, Douglas!
DOUG. Nåväl, låt oss börja showen med vårt Tech History-segment.
Jag är glad att kunna berätta: den här veckan den 09 september 1947 hittades en verklig mal inuti Harvard Universitys Mark II-dator.
Och även om man tror att användningen av termen "bugg" för att beteckna tekniska fel har använts i flera år tidigare, tror man att denna incident ledde till den nu allestädes närvarande "debuggen".
Varför?
För när malen väl togs bort från Mark II, tejpades den inuti ingenjörsloggboken och märktes "Det första fallet av att en verklig bugg hittades."
Jag älskar den historien!
ANKA. Jag också!
Jag tror att det första beviset jag har sett på den termen var ingen mindre än Thomas Edison - jag tror att han använde termen "buggar".
Men naturligtvis, eftersom det var 1947, var detta de första dagarna av digital datoranvändning, och inte alla datorer körde på ventiler eller rör ännu, eftersom rör fortfarande var väldigt dyra, och gick väldigt varma och krävde mycket elektricitet.
Så, den här datorn, även om den kunde trigonometri och sånt, var faktiskt baserad på reläer – elektromekaniska omkopplare, inte rena elektroniska omkopplare.
Helt fantastiskt att även i slutet av 1940-talet var reläbaserade datorer fortfarande en grej... även om de inte skulle vara något särskilt länge.
DOUG. Tja, Paul, låt oss säga om ämnet röriga saker och buggar.
En rörig sak som stör människor är frågan om denna TikTok-grej.
Det finns intrång, och det finns intrång... är detta verkligen ett brott?
ANKA. Som du säger, Douglas, det här har blivit en rörig grej...
För det var en jättestor historia i helgen, eller hur?
"TikTok-brott – vad var det egentligen?"
Vid första rodnad låter det som, "Wow, 2 miljarder dataposter, 1 miljard användare har äventyrats, hackare har tagit sig in", och vad inte.
Nu är flera personer som hanterar dataintrång regelbundet, särskilt inklusive Troy Hunt of Har jag blivit pwned, har tagit exempel på ögonblicksbilder av data som ska ha blivit "stulen" och letat efter den.
Och konsensus verkar stödja exakt vad TikTok har sagt, nämligen att denna data är offentlig ändå.
Så vad det verkar vara är en samling data, säg en gigantisk lista med videor... som jag antar att TikTok förmodligen inte skulle vilja att du bara skulle kunna ladda ner själv, eftersom de vill att du ska gå igenom plattformen , och använd deras länkar och se deras reklam så att de kan tjäna pengar på grejerna.
Men ingen av uppgifterna, ingen av sakerna i listorna verkar ha varit konfidentiella eller privata för de berörda användarna.
När Troy Hunt gick och letade och valde någon slumpmässig video, till exempel, skulle den videon dyka upp under användarens namn som offentlig.
Och data om videon i "överträdelsen" sa inte också, "Åh, och förresten, här är kundens TikTok-ID; här är deras lösenords-hash; här är deras hemadress; här är en lista över privata videor som de inte har publicerat ännu”, och så vidare.
DOUG. OK, så om jag är en TikTok-användare, finns det en varning här?
Behöver jag göra något?
Hur påverkar detta mig som användare?
ANKA. Det är bara grejen. Doug – Jag antar att många artiklar som skrivits om detta har varit desperata efter att hitta någon form av slutsats.
Vad kan du göra?
Så, den brännande frågan som folk har ställt är: "Tja, ska jag ändra mitt lösenord? Ska jag aktivera tvåfaktorsautentisering?”... allt det vanliga som du hör.
Det ser i det här fallet ut som om det inte finns något specifikt behov av att ändra ditt lösenord.
Det finns inget som tyder på att lösenords-haschar stals och nu kan bli knäckta av en miljon tjänstelösa bitcoin-gruvarbetare [skrattar] eller något liknande.
Det finns inget som tyder på att användarkonton kan vara lättare att rikta in sig på som ett resultat av detta.
Å andra sidan, om du känner för att ändra ditt lösenord... kan du lika gärna.
Den allmänna rekommendationen dessa dagar är att rutinmässigt och regelbundet och ofta byta ditt lösenord *enligt schema* (som "En gång i månaden byt lösenord för säkerhets skull") är en dålig idé eftersom [ROBOTIC VOICE] det – bara – får – du – till – en – upprepad – vana som egentligen inte förbättrar saker och ting.
Eftersom vi vet vad folk gör, går de bara: -01, -02, 03 i slutet av lösenordet.
Så jag tror inte att du behöver ändra ditt lösenord, men om du bestämmer dig för att du ska göra det, bra för dig.
Min egen uppfattning är att i det här fallet skulle om du hade tvåfaktorsautentisering aktiverad eller inte ha gjort någon som helst skillnad.
Å andra sidan, om det här är en incident som till slut övertygar dig om att 2FA har en plats i ditt liv någonstans...
…då kanske, Douglas, det är en silverkant!
DOUG. Bra.
Så det ska vi hålla ett öga på.
Men det låter som inte så mycket som vanliga användare kunde ha gjort åt detta...
ANKA. Förutom att det kanske finns en sak som vi kan lära oss, eller åtminstone påminna oss själva av det.
DOUG. Jag tror jag vet vad som kommer. [SKratt]
rimmar det?
ANKA. Det kanske gör det, Douglas. [skrattar]
Fan, jag är så genomskinlig. [SKRATTANDE]
Var medveten/Innan du delar.
När något är offentligt är det *verkligen offentligt*, och så enkelt är det.
DOUG. OK, mycket bra.
Var uppmärksam innan du delar.
Säkerhetsgemenskapen flyttade direkt och förlorade en pionjär i Peter Eckersley, som dog vid 43 års ålder.
Han var medskaparen av Let's Encrypt.
Så, berätta lite om Let's Encrypt och Eckersleys arv, om du skulle.
ANKA. Tja, han gjorde en hel massa saker under sitt olyckligtvis korta liv, Doug.
Vi skriver inte ofta dödsannonser om Naked Security, men det här är en av de som vi kände att vi måste.
För, som du säger, Peter Eckersley, bland alla andra saker han gjorde, var en av medgrundarna till Let's Encrypt, projektet som syftade till att göra det billigt (dvs gratis!), men framför allt pålitligt och lätt att få HTTPS-certifikat för din webbplats.
Och eftersom vi använder Let's Encrypt-certifikat på Naked Security- och Sophos News-bloggsidorna, kände jag att vi är skyldiga honom åtminstone ett omnämnande för det goda arbetet.
För alla som någonsin har drivit en webbplats kommer att veta att om du går tillbaka några år, att få ett HTTPS-certifikat, ett TLS-certifikat, som låter dig sätta in hänglåset i dina besökares webbläsare inte bara kostar pengar, vilket hemanvändare, hobbyister , välgörenhetsorganisationer, småföretag, sportklubbar hade inte lätt råd... det var ett *riktigt krångel*.
Det var hela den här proceduren du var tvungen att gå igenom; den var väldigt full av jargong och tekniska grejer; och varje år var du tvungen att göra det igen, för uppenbarligen går de ut... det är som en säkerhetskontroll på en bil.
Du måste gå igenom övningen och bevisa att du fortfarande är den person som kan modifiera domänen som du påstår att du har kontroll över, och så vidare.
Och Let's Encrypt kunde inte bara göra det gratis, de kunde göra det så att processen kunde automatiseras ... och på kvartalsbasis, så det betyder också att certifikat kan förfalla snabbare om något går fel.
De kunde bygga upp förtroende snabbt nog att de stora webbläsarna snart sa: "Vet du vad, vi kommer att lita på att Let's Encrypt garanterar andra människors webbcertifikat – det som kallas en rot CA, eller certifikatutfärdare.
Sedan litar din webbläsare på Let's Encrypt som standard.
Och i själva verket är det alla dessa saker som går ihop som för mig var projektets majestät.
Det var inte bara så att det var gratis; det var inte bara så att det var lätt; det var inte bara så att webbläsartillverkarna (som är notoriskt svåra att övertala att lita på dig i första hand) beslutade, "Ja, vi litar på dem."
Det var alla dessa saker tillsammans som gjorde stor skillnad och hjälpte till att få HTTPS nästan överallt på internet.
Det är bara ett sätt att lägga till den lilla extra säkerheten till den surfning vi gör...
…inte så mycket för krypteringen, som vi hela tiden påminner folk om, utan för det faktum att [A] du har en chans att du verkligen har anslutit till en webbplats som manipuleras av personen som ska manipulera den, och att [B] när innehållet kommer tillbaka, eller när du skickar en förfrågan till det, kan det inte manipuleras lätt på vägen.
Tills Let's Encrypt, med vilken HTTP-webbplats som helst, kunde i stort sett vem som helst på nätverksvägen spionera på det du tittade på.
Ännu värre, de kunde ändra det – antingen vad du skickade eller vad du får tillbaka – och du *kunde helt enkelt inte säga* att du laddade ner skadlig programvara istället för den verkliga affären, eller att du läste falska nyheter istället för Verklig händelse.
DOUG. Okej, jag tycker att det är passande att avsluta med en fantastisk kommentar från en av våra läsare, Samantha, som verkar ha känt Mr Eckersley.
Hon säger:
"Om det är något jag alltid kommer ihåg om min interaktion med Pete, så var det hans engagemang för vetenskapen och den vetenskapliga metoden. Att ställa frågor är själva kärnan i att vara vetenskapsman. Jag kommer alltid att uppskatta Pete och hans frågor. För mig var Pete en man som värdesatte kommunikation och det fria och öppna utbytet av idéer mellan nyfikna individer.”
Bra sagt, Samantha – tack.
ANKA. Ja!
Och istället för att säga RIP [förkortning för Rest In Peace] tror jag att jag säger CIP: Code in Peace.
DOUG. Väldigt bra!
Okej, vi pratade förra veckan om en mängd Chrome-lappar, och sedan dök det upp en till.
Och den här var en med Esport ett ...
ANKA. Det var det verkligen, Doug.
Och eftersom det gällde Chromium-kärnan, gällde det även Microsoft Edge.
Så, bara förra veckan, pratade vi om de där... vad var det, 24 säkerhetshål.
En var kritisk, åtta eller nio var höga.
Det finns alla möjliga felhanteringsfel i minnet, men ingen av dem var noll dagar.
Och så vi pratade om det och sa: "Titta, det här är en liten affär ur en nolldagars synvinkel, men det är en stor sak ur en säkerhetskorrigeringssynpunkt. Kom framåt: dröj inte, gör det idag.”
(Förlåt – jag rimmade igen, Doug.)
Den här gången är det ytterligare en uppdatering som kom ut bara ett par dagar senare, både för Chrome och för Edge.
Den här gången är det bara ett säkerhetshål fixat.
Vi vet inte riktigt om det är en höjning av privilegier eller en fjärrkörning av kod, men det låter allvarligt, och det är en noll-dag med en känd exploatering som redan finns i det vilda.
Jag antar att den stora nyheten är att både Google och Microsoft, och andra webbläsartillverkare, kunde tillämpa denna patch och få ut den riktigt, riktigt snabbt.
Vi pratar inte om månader eller veckor ... bara ett par dagar för en känd nolldag som uppenbarligen hittades efter att den senaste uppdateringen hade kommit ut, vilket var bara förra veckan.
Så det är de goda nyheterna.
De dåliga nyheterna är naturligtvis att detta är en 0-dag – skurkarna är på det; de använder det redan.
Google har varit lite försiktig med "hur och varför"... vilket tyder på att det pågår en utredning i bakgrunden som de kanske inte vill äventyra.
Så, återigen, det här är en "lappa tidigt, lappa ofta"-situation - du kan inte bara lämna den här.
Om du lappade förra veckan måste du göra det igen.
Den goda nyheten är att Chrome, Edge och de flesta webbläsare nuförtiden borde uppdatera sig själva.
Men som alltid lönar det sig att kolla, för vad händer om du förlitar dig på automatisk uppdatering och bara denna gång, det inte fungerade?
Skulle inte det vara 30 sekunder av din tid väl använd för att verifiera att du verkligen har den senaste versionen?
Vi har alla relevanta versionsnummer och råden [om Naked Security] om var du ska klicka för Chrome och Edge för att se till att du absolut har den senaste versionen av dessa webbläsare.
DOUG. Och de senaste nyheterna för alla som håller poäng...
Jag kollade precis min version av Microsoft Edge, och det är den korrekta, uppdaterade versionen, så den uppdaterade sig själv.
OK, sist men absolut inte minst, vi har ett sällsynt men brådskande Apple-uppdatering för iOS 12, som vi alla trodde var färdigt och dammat.
ANKA. Ja, som jag skrev i de första fem orden i artikeln om Naked Security, "Tja, vi förväntade oss inte det här!"
Jag tillät mig själv ett utropstecken, Doug, [SKRATT] eftersom jag blev förvånad...
Regelbundna lyssnare på podcasten kommer att veta att min älskade, om än gammal-men-tidigare-orörda iPhone 6 Plus råkade ut för en cykelkrasch.
Cykeln överlevde; Jag fick tillbaka allt skinn som jag behövde [SKRATT]... men min iPhone-skärm är fortfarande i hundratusen miljoner miljarder biljoner bitar. (Alla bitar som kommer att komma ut i mitt finger tror jag redan har gjort det.)
Så jag tänkte...iOS 12, det har gått ett år sedan jag hade den senaste uppdateringen, så uppenbarligen är det helt utanför Apples radar.
Det kommer inte att få några andra säkerhetsfixar.
Jag tänkte: "Tja, skärmen kan inte krossas igen, så det är en utmärkt nödtelefon att ta när jag är på väg"... om jag ska någonstans, om jag behöver ringa ett samtal eller titta på Karta. (Jag kommer inte att göra e-post eller andra arbetsrelaterade saker på det.)
Och se, den fick en uppdatering, Doug!
Plötsligt, nästan ett år till dagen efter den förra... Jag tror att den 23 september 2021 var senaste uppdateringen Jag hade.
Plötsligt har Apple lagt ut den här uppdateringen.
Det relaterar till tidigare lappar som vi pratade om, där de gjorde nöduppdateringen för samtida iPhones och iPads, och alla versioner av macOS.
Där patchade de en WebKit-bugg och en kärn-bugg: båda noll dagar; båda används i det vilda.
(Luktar det av spionprogram för dig? Det gjorde det på mig!)
WebKit-felet innebär att du kan besöka en webbplats eller öppna ett dokument, och det kommer att ta över appen.
Sedan innebär kärnfelet att du sätter din sticka rakt in i operativsystemet och i princip slår ett hål i Apples välkända säkerhetssystem.
Men det fanns ingen uppdatering för iOS 12, och som vi sa förra gången, vem visste om det berodde på att iOS 12 bara råkade vara osårbar, eller att Apple verkligen inte skulle göra något åt det eftersom det ramlade av planetens utkant för ett år sedan?
Tja, det ser ut som att det inte riktigt föll utanför planetens utkant, eller så har det vinglat på randen... och det *var* sårbart.
Goda nyheter... kärnfelet som vi pratade om förra gången, det som skulle låta någon ta över hela iPhone eller iPad, gäller inte iOS 12.
Men det där WebKit-felet – som kom ihåg, påverkar *alla* webbläsare, inte bara Safari och alla appar som gör någon form av webbrelaterad rendering, även om den bara finns i dess Om oss skärm…
...den buggen *fanns* i iOS 12, och uppenbarligen kände Apple starkt för det.
Så där är du: om du har en äldre iPhone, och den fortfarande är på iOS 12 eftersom du inte kan uppdatera den till iOS 15, måste du gå och hämta den här.
Eftersom detta är WebKit-bugg vi pratade om förra gången – den har använts i naturen.
Apple patchar dubbla nolldagar i webbläsare och kärna – uppdatera nu!
Och det faktum att Apple har gått så långt för att stödja vad som verkade vara en version av operativsystemet bortom slutet av sitt liv antyder, eller åtminstone uppmanar dig att dra slutsatsen, att detta har upptäckts ha använts på skändliga sätt för alla möjliga elaka grejer.
Så, kanske bara ett par personer blev måltavla... men även om så är fallet, låt dig inte vara den tredje personen!
DOUG. Och för att låna en av dina rimfraser:
Dröj inte/gör det idag.
[SKratt] Vad sägs om det?
ANKA. Doug, jag visste att du skulle säga det.
DOUG. Jag hänger med!
Och när solen långsamt börjar gå ner på vår show för idag, skulle vi vilja höra från en av våra läsare om Apples nolldagshistoria.
Läsaren Bryan kommenterar:
"Apples Inställningar-ikon har alltid likt ett cykeldrev i mina tankar. Som en ivrig cyklist, en Apple-enhetsanvändare, förväntar jag mig att du gillar det?”
Det är riktat till dig, Paul.
Gillar du det?
Tycker du att det ser ut som ett cykeldrev?
ANKA. Jag har inget emot det, för det är väldigt igenkännligt, säg om jag vill gå till Inställningar > Allmänt > Programuppdatering.
(Tips, tips: det är så du söker efter uppdateringar på iOS.)
Ikonen är väldigt distinkt, och den är lätt att träffa så jag vet vart jag är på väg.
Men nej, jag har aldrig förknippat det med cykling för om det vore främre kedjekransar på en växlad cykel, så har de helt enkelt fel.
De är inte korrekt anslutna.
Det finns inget sätt att lägga kraft i dem.
Det finns två kedjehjul, men de har tänder i olika storlekar.
Om du tänker på hur växlar fungerar på cykelväxlar av jumpy-gear typ (växlare, som de kallas), har du bara en kedja, och kedjan har ett specifikt avstånd, eller stigning som det kallas.
Så alla kuggar eller kugghjul (tekniskt sett är de inte kuggar, eftersom kuggar driver kuggar och kedjor driver kugghjul)... alla kugghjul måste ha samma kuggar eller stigning, annars passar inte kedjan!
Och de där tänderna är väldigt taggiga. Doug.
Någon i kommentarerna sa att de trodde att det påminde dem om något som har med urverk att göra, som en utrymning eller någon form av växling inuti en klocka.
Men jag är ganska säker på att klockmakare skulle säga, "Nej, vi skulle inte forma tänderna så", eftersom de använder mycket distinkta former för att öka tillförlitligheten och precisionen.
Så jag är ganska nöjd med den där Apple-ikonen, men nej, den påminner mig inte om att cykla.
Android-ikonen, ironiskt nog...
…och jag tänkte på dig när jag tänkte på det här, Doug [SKRATT], och jag tänkte, ”Åh, fy, jag kommer aldrig att höra slutet på det här. Om jag nämner det"...
..det ser ut som en bakkugg på en cykel (och jag vet att det inte är en kugg, det är ett kugghjul, för kuggar driver kuggar och kedjor driver kugghjul, men av någon anledning kallar man dem kuggar när de är små vid baksidan av en cykel).
Men den har bara sex tänder.
Den minsta bakre cykelkugg jag kan nämna är nio tänder – det är väldigt litet, en väldigt snäv kurva och bara i speciella användningsområden.
BMX-killar gillar dem eftersom ju mindre kugghjulet är, desto mindre sannolikt är det att slå i marken när du gör tricks.
Så... det har väldigt lite med cybersäkerhet att göra, men det är en fascinerande inblick i vad jag tror är känt idag inte som "användargränssnittet", utan "användarupplevelsen".
DOUG. Okej, tack så mycket, Bryan, för din kommentar.
Om du har en intressant berättelse, kommentar eller fråga som du vill skicka in, läser vi det gärna i podden.
Du kan skicka e-post till tips@sophos.com, du kan kommentera någon av våra artiklar, eller så kan du kontakta oss på sociala medier: @Naked Security.
Det är vår show för idag – tack så mycket för att du lyssnade.
För Paul Ducklin, jag heter Doug Aamoth, påminner dig tills nästa gång att...
BÅDE. Håll dig säker!
[MUSIKALT MODEM]
- blockchain
- coingenius
- cryptocurrency plånböcker
- kryptoväxling
- Cybersäkerhet
- nätbrottslingar
- Cybersäkerhet
- säkerhetstjänsten
- digitala plånböcker
- Eckersley
- brandvägg
- kaspersky
- Låter kryptera
- malware
- Mcafee
- Naken säkerhet
- Naken säkerhetspodcast
- NexBLOC
- Peter
- plato
- plato ai
- Platon Data Intelligence
- Platon spel
- PlatonData
- platogaming
- podcast
- Tick tack
- VPN
- webbplats säkerhet
- zephyrnet
