ฟังตอนนี้
ดั๊ก เอมอธ และพอล ดัคลิน
เพลงอินโทรและเอาท์โดย อีดิธ มัดจ์.
คลิกแล้วลากบนคลื่นเสียงด้านล่างเพื่อข้ามไปยังจุดใดก็ได้ นอกจากนี้คุณยังสามารถ ฟังโดยตรง บนซาวด์คลาวด์
สามารถรับฟังเราได้ที่ Soundcloud, Apple Podcasts, Google Podcast, Spotify, Stitcher และทุกที่ที่มีพอดแคสต์ดีๆ หรือเพียงแค่วาง URL ของฟีด RSS ของเรา ลงในพอดแคตเตอร์ที่คุณชื่นชอบ
อ่านข้อความถอดเสียง
ดั๊ก. Zero-days, Zero-days, TikTok และวันที่น่าเศร้าสำหรับชุมชนความปลอดภัย
ทั้งหมดนั้นและอีกมากมายในพอดคาสต์ Naked Security
[โมเด็มดนตรี]
ยินดีต้อนรับสู่พอดคาสต์ Naked Security ทุกคน
ฉันดั๊ก อามอธ
กับฉันเช่นเคยคือ Paul Ducklin
พอล วันนี้คุณเป็นอย่างไรบ้าง
เป็ด. ฉันทำได้ดีมาก ขอบคุณ ดักลาส!
ดั๊ก. มาเริ่มการแสดงด้วยส่วน Tech History ของเรากันดีกว่า
ฉันยินดีที่จะบอกคุณ: สัปดาห์นี้เมื่อวันที่ 09 กันยายน พ.ศ. 1947 พบมอดในชีวิตจริงในคอมพิวเตอร์ Mark II ของมหาวิทยาลัยฮาร์วาร์ด
และถึงแม้จะใช้คำว่า "บั๊ก" เพื่อระบุข้อบกพร่องทางวิศวกรรมที่เคยใช้มาหลายปีและหลายปีก่อน เชื่อกันว่าเหตุการณ์นี้นำไปสู่ "การแก้ไขข้อบกพร่อง" ที่แพร่หลายในขณะนี้
ทำไม?
เนื่องจากเมื่อตัวมอดถูกนำออกจาก Mark II มันถูกติดเทปไว้ในสมุดบันทึกวิศวกรรมและระบุว่า "กรณีแรกของการพบจุดบกพร่องจริง"
ฉันรักเรื่องราวนั้น!
เป็ด. ฉันก็เหมือนกัน!
ฉันคิดว่าหลักฐานแรกที่ฉันเห็นเกี่ยวกับคำนั้นไม่ใช่ใครอื่นนอกจาก Thomas Edison ฉันคิดว่าเขาใช้คำว่า "แมลง"
แต่แน่นอนว่า เมื่อถึงปี 1947 นี่เป็นวันแรกๆ ของการประมวลผลแบบดิจิทัล และคอมพิวเตอร์บางเครื่องยังไม่ทำงานโดยใช้วาล์วหรือหลอด เพราะหลอดยังมีราคาแพงมาก และร้อนจัด และต้องใช้ไฟฟ้าเป็นจำนวนมาก
ดังนั้น คอมพิวเตอร์เครื่องนี้ถึงแม้ว่ามันจะทำตรีโกณมิติและสิ่งของต่างๆ ได้ แต่จริงๆ แล้วมีพื้นฐานมาจากรีเลย์ – สวิตช์ไฟฟ้าเครื่องกล ไม่ใช่สวิตช์อิเล็กทรอนิกส์ล้วนๆ
ค่อนข้างน่าทึ่งที่แม้ในช่วงปลายทศวรรษ 1940 คอมพิวเตอร์ที่ใช้รีเลย์ก็ยังเป็นสิ่งหนึ่งอยู่... แม้ว่าจะไม่ใช่สิ่งที่จะเกิดขึ้นนานนักก็ตาม
ดั๊ก. พอล สมมติว่าในหัวข้อเรื่องยุ่งและแมลง
เรื่องยุ่งๆ ที่กวนใจคนคือคำถามของแอพ TikTok
มีการฝ่าฝืนและมีการละเมิด ... นี่เป็นการละเมิดจริงหรือ?
เป็ด. อย่างที่คุณพูด ดักลาส เรื่องนี้กลายเป็นเรื่องยุ่ง...
เพราะมันเป็นเรื่องใหญ่ในช่วงสุดสัปดาห์ใช่ไหม?
“การละเมิด TikTok - มันคืออะไรจริง ๆ ”
ตอนแรกอาย ดูเหมือนว่า "ว้าว บันทึกข้อมูล 2 พันล้านรายการ ผู้ใช้ 1 พันล้านรายถูกบุกรุก แฮ็กเกอร์เข้ามา" และอื่นๆ
ตอนนี้ หลายคนที่จัดการกับการละเมิดข้อมูลเป็นประจำ โดยเฉพาะอย่างยิ่ง ทรอย ฮันท์ แห่ง ได้ฉันถูกปล้นได้ถ่ายภาพตัวอย่างสแนปชอตของข้อมูลที่ควรจะถูก "ขโมย" และออกไปค้นหา
และฉันทามติดูเหมือนจะสนับสนุนสิ่งที่ TikTok พูด นั่นคือข้อมูลนี้เป็นสาธารณะอยู่แล้ว
สิ่งที่ดูเหมือนจะเป็นก็คือการรวบรวมข้อมูล พูดถึงรายการวิดีโอขนาดยักษ์… ซึ่งฉันเดาว่า TikTok คงไม่ต้องการให้คุณสามารถดาวน์โหลดเองได้ เพราะพวกเขาต้องการให้คุณผ่านแพลตฟอร์ม และใช้ลิงก์ของพวกเขา และดูโฆษณาของพวกเขาเพื่อที่พวกเขาจะได้สร้างรายได้จากสิ่งต่างๆ
แต่ไม่มีข้อมูล ไม่มีรายการใดในรายการที่ดูเหมือนจะเป็นความลับหรือเป็นส่วนตัวสำหรับผู้ใช้ที่ได้รับผลกระทบ
เมื่อทรอย ฮันท์ไปค้นหาและเลือกวิดีโอแบบสุ่ม ตัวอย่างเช่น วิดีโอนั้นจะแสดงภายใต้ชื่อของผู้ใช้รายนั้นเป็นสาธารณะ
และข้อมูลเกี่ยวกับวิดีโอใน "การละเมิด" ก็ไม่ได้บอกว่า "อ้อ และนี่คือ TikTok ID ของลูกค้า นี่คือแฮชรหัสผ่านของพวกเขา นี่คือที่อยู่บ้านของพวกเขา นี่คือรายการวิดีโอส่วนตัวที่พวกเขายังไม่ได้เผยแพร่” เป็นต้น
ดั๊ก. ตกลง ถ้าฉันเป็นผู้ใช้ TikTok จะมีคำเตือนที่นี่หรือไม่?
ฉันจำเป็นต้องทำอะไรหรือไม่?
สิ่งนี้ส่งผลต่อฉันในฐานะผู้ใช้อย่างไร
เป็ด. นั่นเป็นเพียงเรื่อง ดั๊ก – ฉันเดาว่าบทความจำนวนมากที่เขียนเกี่ยวกับเรื่องนี้ได้หมดหวังที่จะหาข้อสรุปบางอย่าง
คุณสามารถทำอะไร?
คำถามยอดฮิตที่คนถามถึงคือ “ฉันควรเปลี่ยนรหัสผ่านไหม? ฉันควรเปิดการตรวจสอบสิทธิ์แบบสองปัจจัยหรือไม่”… เรื่องปกติทั้งหมดที่คุณได้ยิน
ในกรณีนี้ ดูเหมือนว่าคุณไม่จำเป็นต้องเปลี่ยนรหัสผ่านโดยเฉพาะ
ไม่มีข้อเสนอแนะว่าแฮชรหัสผ่านถูกขโมยและตอนนี้อาจถูกแฮ็กโดยผู้ขุด bitcoin นอกหน้าที่นับล้านคน [LAUGHS] หรืออะไรทำนองนั้น
ไม่มีข้อเสนอแนะว่าบัญชีผู้ใช้อาจกำหนดเป้าหมายได้ง่ายขึ้นด้วยเหตุนี้
ในทางกลับกัน หากคุณรู้สึกอยากเปลี่ยนรหัสผ่าน... คุณก็สามารถทำได้เช่นกัน
คำแนะนำทั่วไปในทุกวันนี้คือการเปลี่ยนรหัสผ่านของคุณเป็นประจำและสม่ำเสมอและบ่อยครั้ง *ตามกำหนดเวลา* (เช่น “เดือนละครั้งเปลี่ยนรหัสผ่านของคุณในกรณี”) เป็นความคิดที่ไม่ดีเพราะ [ROBOTIC VOICE] มัน – แค่ – ได้รับ – คุณ – เป็น – เป็น – ซ้ำซาก – นิสัยที่ไม่ได้ปรับปรุงสิ่งต่าง ๆ จริงๆ
เพราะเรารู้ว่าผู้คนทำอะไร พวกเขาก็แค่ไป: -01, -02, 03 ต่อท้ายรหัสผ่าน
ดังนั้น ฉันไม่คิดว่าคุณต้องเปลี่ยนรหัสผ่าน แม้ว่าคุณจะตัดสินใจว่าจะทำอย่างนั้นก็ดี
ความคิดเห็นของฉันคือในกรณีนี้ ไม่ว่าคุณจะเปิดใช้งานการตรวจสอบสิทธิ์แบบสองปัจจัยหรือไม่ก็ตาม จะไม่สร้างความแตกต่างใดๆ เลย
ในทางกลับกัน หากนี่คือเหตุการณ์ที่ชักชวนคุณในที่สุดว่า 2FA มีที่ในชีวิตของคุณที่ไหนสักแห่ง...
…บางที ดักลาส นั่นอาจจะเป็นซับในสีเงิน!
ดั๊ก. ที่ดี
ดังนั้นเราจะจับตาดูสิ่งนั้น
แต่ดูเหมือนไม่มากที่ผู้ใช้ทั่วไปสามารถทำได้เกี่ยวกับเรื่องนี้...
เป็ด. ยกเว้นแต่ว่ามีสิ่งหนึ่งที่เราสามารถเรียนรู้ได้ หรืออย่างน้อยก็เตือนตัวเองจากสิ่งนั้น
ดั๊ก. ฉันคิดว่าฉันรู้ว่าอะไรจะเกิดขึ้น [หัวเราะ]
มันคล้องจอง?
เป็ด. มันอาจจะใช่ ดักลาส [หัวเราะ]
ดาร์นฉันโปร่งใสมาก [หัวเราะ]
รับทราบ/ก่อนแชร์
เมื่อบางสิ่งเป็นสาธารณะ สิ่งนั้นจะ *เป็นสาธารณะจริงๆ* และมันก็ง่ายอย่างนั้น
ดั๊ก. โอเคดีมาก ๆ.
รู้ไว้ก่อนแชร์
เมื่อย้ายไปทางขวา ชุมชนรักษาความปลอดภัยสูญเสียผู้บุกเบิกในปีเตอร์ เอเคอร์สลีย์ ซึ่งถึงแก่กรรมเมื่ออายุ 43 ปี
เขาเป็นผู้ร่วมสร้าง Let's Encrypt
บอกเราหน่อยเกี่ยวกับ Let's Encrypt และ มรดกของเอเคอร์สลีย์ถ้าคุณต้องการ
เป็ด. เขาทำสิ่งต่างๆ มากมายในช่วงชีวิตอันแสนสั้นของเขา ดั๊ก
เราไม่ได้เขียนข่าวมรณกรรมใน Naked Security บ่อยนัก แต่นี่เป็นหนึ่งในเรื่องที่เรารู้สึกว่าต้องทำ
เพราะอย่างที่คุณพูด Peter Eckersley เหนือสิ่งอื่นใดที่เขาทำ คือหนึ่งในผู้ร่วมก่อตั้ง Let's Encrypt ซึ่งเป็นโครงการที่ตั้งใจจะทำให้ราคาถูก (เช่น ฟรี!) แต่ที่สำคัญที่สุดคือเชื่อถือได้และ ง่ายต่อการรับใบรับรอง HTTPS สำหรับเว็บไซต์ของคุณ
และเนื่องจากเราใช้ใบรับรอง Let's Encrypt ในเว็บไซต์ Naked Security และบล็อกของ Sophos News ฉันรู้สึกว่าอย่างน้อยเราก็เป็นหนี้เขาสำหรับผลงานที่ดีนั้น
เพราะใครก็ตามที่เคยเปิดเว็บไซต์จะรู้ว่าถ้าคุณย้อนกลับไปสักสองสามปีได้รับใบรับรอง HTTPS, ใบรับรอง TLS ที่ให้คุณวางกุญแจไว้ในเว็บเบราว์เซอร์ของผู้เยี่ยมชมของคุณไม่เพียงแต่เสียเงินเท่านั้น ซึ่งผู้ใช้ตามบ้าน, นักทำงานอดิเรก , การกุศล, ธุรกิจขนาดเล็ก, สปอร์ตคลับไม่สามารถจ่ายได้โดยง่าย… มันเป็น *ความยุ่งยากจริงๆ*
มีขั้นตอนทั้งหมดที่คุณต้องทำ มันเต็มไปด้วยศัพท์แสงและเทคนิคต่างๆ และทุกปีคุณต้องทำอีกครั้ง เพราะเห็นได้ชัดว่ามันหมดอายุ… มันเหมือนกับการตรวจสอบความปลอดภัยในรถ
คุณต้องผ่านการฝึกหัด และพิสูจน์ว่าคุณยังคงเป็นคนที่สามารถแก้ไขโดเมนที่คุณอ้างว่าเป็นผู้ควบคุมได้ และอื่นๆ
และ Let's Encrypt ไม่เพียงแต่สามารถทำได้ฟรีเท่านั้น แต่ยังทำให้กระบวนการนี้เป็นไปโดยอัตโนมัติ... และทุกไตรมาส ซึ่งหมายความว่าใบรับรองจะหมดอายุเร็วขึ้นในกรณีที่มีสิ่งผิดปกติเกิดขึ้น
พวกเขาสามารถสร้างความเชื่อถือได้เร็วพอที่เบราว์เซอร์หลัก ๆ จะพูดว่า “คุณรู้อะไรไหม เราจะวางใจ Let's Encrypt เพื่อรับรองใบรับรองเว็บของผู้อื่น – สิ่งที่เรียกว่า รากCAหรือผู้ออกใบรับรอง
จากนั้นเบราว์เซอร์ของคุณจะเชื่อถือ Let's Encrypt เป็นค่าเริ่มต้น
และจริงๆ แล้ว ทุกสิ่งเหล่านั้นมารวมกัน ซึ่งสำหรับฉันแล้วคือความยิ่งใหญ่ของโครงการ
ไม่ใช่แค่ว่ามันฟรีเท่านั้น มันไม่ใช่แค่ว่ามันง่าย ไม่ใช่แค่ผู้ผลิตบราวเซอร์ (ซึ่งขึ้นชื่อว่ายากจะเกลี้ยกล่อมให้เชื่อใจคุณตั้งแต่แรก) ตัดสินใจว่า “ใช่ เราเชื่อใจพวกเขา”
สิ่งเหล่านี้ล้วนสร้างความแตกต่างอย่างมาก และช่วยให้มี HTTPS เกือบทุกที่บนอินเทอร์เน็ต
เป็นเพียงวิธีการเพิ่มความปลอดภัยเล็กน้อยให้กับการท่องเว็บที่เราทำ...
…ไม่มากสำหรับการเข้ารหัส ในขณะที่เราเตือนผู้คน แต่สำหรับความจริงที่ว่า [A] คุณมีโอกาสต่อสู้ที่คุณได้เชื่อมต่อกับไซต์ที่ถูกจัดการโดยบุคคลที่ควรจะจัดการ และ [B] เมื่อเนื้อหากลับมาหรือเมื่อคุณส่งคำขอไป จะไม่สามารถแก้ไขได้อย่างง่ายดายตลอดเส้นทาง
จนกระทั่ง Let's Encrypt กับเว็บไซต์ที่ใช้ HTTP เท่านั้น แทบทุกคนบนเส้นทางเครือข่ายสามารถสอดแนมสิ่งที่คุณกำลังดูอยู่ได้
ที่แย่กว่านั้น พวกเขาสามารถแก้ไขได้ – ไม่ว่าสิ่งที่คุณส่งหรือสิ่งที่คุณได้รับกลับมา – และคุณ *เพียงแต่ไม่สามารถบอก* ว่าคุณกำลังดาวน์โหลดมัลแวร์แทนที่จะเป็นของจริง หรือคุณกำลังอ่านข่าวปลอมแทน เรื่องจริง.
ดั๊ก. เอาล่ะ ฉันว่ามันก็เหมาะที่จะปิดท้ายด้วยความยอดเยี่ยม ความคิดเห็นจากผู้อ่านของเราคนหนึ่งซาแมนธา ที่ดูเหมือนรู้จักคุณเอเคอร์สลีย์
เธอพูดว่า:
“ถ้ามีสิ่งหนึ่งที่ฉันจำได้เสมอเกี่ยวกับการมีปฏิสัมพันธ์กับพีท นั่นก็คือการอุทิศตนให้กับวิทยาศาสตร์และวิธีการทางวิทยาศาสตร์ การถามคำถามคือแก่นแท้ของการเป็นนักวิทยาศาสตร์ ฉันจะรักพีทและคำถามของเขาเสมอ สำหรับฉัน พีทเป็นคนที่เห็นคุณค่าของการสื่อสารและการแลกเปลี่ยนความคิดเห็นอย่างเสรีและเปิดเผยระหว่างบุคคลที่อยากรู้อยากเห็น”
พูดได้ดี ซาแมนธา – ขอบคุณ
เป็ด. ใช่!
และแทนที่จะพูดว่า RIP [ตัวย่อสำหรับ Rest In Peace] ฉันคิดว่าฉันจะพูดว่า CIP: Code in Peace
ดั๊ก. ดีมาก!
เอาล่ะ เราได้คุยกันเมื่อสัปดาห์ที่แล้วเกี่ยวกับแพตช์ Chrome จำนวนหนึ่ง และอีกหนึ่งรายการก็โผล่ขึ้นมา
และอันนี้คืออัน สำคัญ หนึ่ง…
เป็ด. มันเป็นจริงดั๊ก
และเนื่องจากใช้กับแกน Chromium จึงใช้กับ Microsoft Edge ด้วย
เมื่อสัปดาห์ที่แล้ว เรากำลังพูดถึงสิ่งเหล่านั้น… มันคืออะไร ช่องโหว่ 24 ช่อง
หนึ่งมีความสำคัญแปดหรือเก้าอยู่ในระดับสูง
มีข้อบกพร่องในการจัดการหน่วยความจำผิดพลาดทุกประเภท แต่ไม่มีข้อบกพร่องใดที่เป็นศูนย์วัน
ดังนั้นเราจึงคุยกันว่า "ดูนี่ นี่เป็นเรื่องเล็กน้อยจากมุมมองซีโร่เดย์ แต่มันเป็นเรื่องใหญ่จากมุมมองของแพตช์ความปลอดภัย ก้าวไปข้างหน้า อย่ารอช้า ทำวันนี้เลย”
(ขออภัย – ฉันคล้องจองอีกครั้ง ดั๊ก)
คราวนี้เป็นอีกการอัปเดตที่ออกมาในอีกไม่กี่วันต่อมา ทั้งสำหรับ Chrome และสำหรับ Edge
ครั้งนี้ มีช่องโหว่ด้านความปลอดภัยเพียงช่องเดียวเท่านั้น
เราไม่ค่อยรู้ว่าเป็นการยกระดับสิทธิ์หรือการเรียกใช้โค้ดจากระยะไกล แต่ฟังดูจริงจัง และเป็นศูนย์วันที่มีการใช้ประโยชน์ที่เป็นที่รู้จักอยู่แล้วในธรรมชาติ
ฉันเดาว่าข่าวดีก็คือทั้ง Google และ Microsoft และผู้ผลิตเบราว์เซอร์รายอื่นๆ สามารถใช้แพตช์นี้และนำออกได้อย่างรวดเร็วจริงๆ
เราไม่ได้พูดถึงเดือนหรือสัปดาห์… แค่สองสามวันสำหรับซีโร่เดย์ที่เป็นที่รู้จักซึ่งพบได้อย่างชัดเจนหลังจากการอัปเดตครั้งล่าสุดออกมา ซึ่งเพิ่งเกิดขึ้นเมื่อสัปดาห์ที่แล้ว
นั่นคือข่าวดี
ข่าวร้ายคือแน่นอนว่านี่คือ 0 วัน – พวกโจรอยู่บนนั้น พวกเขากำลังใช้มันอยู่แล้ว
Google ค่อนข้างขี้อายเกี่ยวกับ "อย่างไรและทำไม"… ซึ่งแสดงให้เห็นว่ามีการสอบสวนในเบื้องหลังว่าพวกเขาอาจไม่ต้องการให้ตกอยู่ในอันตราย
ดังนั้น อีกครั้ง นี่คือสถานการณ์ "แพตช์ก่อน แพตช์บ่อยๆ" – คุณไม่สามารถทิ้งสถานการณ์นี้ได้
หากคุณแก้ไขเมื่อสัปดาห์ที่แล้ว คุณต้องทำใหม่อีกครั้ง
ข่าวดีก็คือ Chrome, Edge และเบราว์เซอร์ส่วนใหญ่ในปัจจุบันควรอัปเดตตัวเอง
แต่เช่นเคย จะต้องเสียค่าตรวจสอบ เพราะถ้าคุณพึ่งการอัปเดตอัตโนมัติและแค่ครั้งนี้ใช้ไม่ได้ผลล่ะ
นั่นเป็นเวลา 30 วินาทีที่คุณใช้ไปอย่างดีในการตรวจสอบว่าคุณมีเวอร์ชันล่าสุดหรือไม่
เรามีหมายเลขเวอร์ชันที่เกี่ยวข้องทั้งหมดและคำแนะนำ [เกี่ยวกับ Naked Security] เกี่ยวกับตำแหน่งที่จะคลิกสำหรับ Chrome และ Edge เพื่อให้แน่ใจว่าคุณมีเบราว์เซอร์เวอร์ชันล่าสุดอย่างแน่นอน
ดั๊ก. และข่าวด่วนสำหรับใครก็ตามที่ทำคะแนน...
ฉันเพิ่งตรวจสอบเวอร์ชันของ Microsoft Edge และเป็นเวอร์ชันที่ถูกต้องและเป็นปัจจุบัน ดังนั้นจึงอัปเดตตัวเอง
โอเค สุดท้ายแต่ไม่ท้ายสุด เรามีแต่ตัวที่หายาก อัปเดต Apple ด่วน สำหรับ iOS 12 ซึ่งเราทุกคนคิดว่าทำเสร็จแล้วและปัดฝุ่น
เป็ด. ใช่ อย่างที่ฉันเขียนในห้าคำแรกของบทความเรื่อง Naked Security ว่า “เราไม่ได้คาดหวังสิ่งนี้!”
ฉันปล่อยให้ตัวเองมีเครื่องหมายอัศเจรีย์ ดั๊ก [หัวเราะ] เพราะฉันรู้สึกประหลาดใจ...
ผู้ฟังพอดคาสต์เป็นประจำจะรู้ว่าที่รักของฉัน ถ้า iPhone 6 Plus ที่เก่าแต่เก่าแต่เดิมถูกจักรยานชน
จักรยานรอด; ฉันปลูกผิวกลับมาจนหมดซึ่งฉันต้องการ [หัวเราะ]… แต่หน้าจอ iPhone ของฉันยังคงอยู่ในแสนล้านล้านล้านชิ้น (บิตทั้งหมดที่กำลังจะออกมาที่นิ้วของฉัน ฉันคิดว่าได้ทำไปแล้ว)
ดังนั้นฉันจึงคิดว่า…iOS 12 เป็นเวลาหนึ่งปีแล้วตั้งแต่ฉันมีการอัปเดตครั้งล่าสุด เห็นได้ชัดว่ามันอยู่นอกเรดาร์ของ Apple โดยสิ้นเชิง
จะไม่ได้รับการแก้ไขด้านความปลอดภัยอื่น ๆ
ฉันคิดว่า "ก็นะ หน้าจอจะแตกไม่ได้อีกแล้ว เลยเป็นโทรศัพท์ฉุกเฉินที่เอาไว้พกติดตัวเวลาอยู่บนท้องถนน"… ถ้าฉันจะไปที่ไหนสักแห่ง ถ้าฉันต้องการโทรออกหรือดูหน้าจอ แผนที่. (ฉันจะไม่ทำอีเมลหรืองานที่เกี่ยวข้องกับมัน)
และดูเถิด มีการอัปเดต ดั๊ก!
ทันใดนั้น เกือบหนึ่งปีหลังจากวันก่อนหน้า… ฉันคิดว่า 23 กันยายน 2021 เป็น การปรับปรุงครั้งล่าสุด ฉันมี
ทันใดนั้น Apple ได้เปิดตัวการอัปเดตนี้
มันเกี่ยวข้องกับ แพตช์ก่อนหน้า ที่เราพูดถึง ที่ที่พวกเขาทำการอัปเดตฉุกเฉินสำหรับ iPhone และ iPad ในปัจจุบัน และ macOS ทุกเวอร์ชัน
ที่นั่นพวกเขากำลังแก้ไขจุดบกพร่องของ WebKit และจุดบกพร่องของเคอร์เนล: ทั้งสองเป็นศูนย์วัน ทั้งที่ใช้อยู่ในป่า
(คุณมีกลิ่นสปายแวร์กับคุณหรือเปล่า มันส่งถึงฉันด้วย!)
ข้อบกพร่องของ WebKit หมายความว่าคุณสามารถเยี่ยมชมเว็บไซต์หรือเปิดเอกสาร และมันจะเข้าควบคุมแอป
จากนั้นข้อบกพร่องของเคอร์เนลหมายความว่าคุณใส่เข็มถักของคุณลงในระบบปฏิบัติการและโดยทั่วไปจะเจาะรูในระบบรักษาความปลอดภัยที่ได้รับการยกย่องอย่างดีของ Apple
แต่ไม่มีการอัปเดตสำหรับ iOS 12 และอย่างที่เราพูดไปเมื่อครั้งที่แล้ว ใครจะรู้ว่านั่นเป็นเพราะ iOS 12 เพิ่งจะคงกระพันหรือว่า Apple จะไม่ทำอะไรกับมันจริงๆ เพราะมันหลุด ขอบโลกเมื่อปีที่แล้ว?
ดูเหมือนว่ามันไม่ได้ตกลงมาจากขอบโลกเลยซักนิด หรือมันส่ายจนแทบกระดก… และมันก็ *เสี่ยง*
ข่าวดี… ข้อบกพร่องของเคอร์เนลที่เราพูดถึงครั้งล่าสุด สิ่งที่จะทำให้ใครสักคนเข้าครอบครองทั้ง iPhone หรือ iPad นั้นไม่มีผลกับ iOS 12
แต่บั๊กของ WebKit นั้น ซึ่งจำได้ ส่งผลต่อ *ทุกเบราว์เซอร์ ไม่ใช่แค่ Safari และแอปใดๆ ที่ทำการเรนเดอร์ที่เกี่ยวข้องกับเว็บทุกประเภท แม้ว่าจะอยู่ในนั้นเท่านั้น เกี่ยวกับเรา หน้าจอ…
…ข้อผิดพลาดนั้น *มี* อยู่ใน iOS 12 และเห็นได้ชัดว่า Apple รู้สึกอย่างยิ่งกับมัน
คุณคือ: หากคุณมี iPhone รุ่นเก่าและยังคงใช้ iOS 12 เพราะคุณไม่สามารถอัปเดตเป็น iOS 15 ได้ คุณต้องไปรับสิ่งนี้
เพราะนี่คือ ข้อบกพร่องของ WebKit เราพูดถึงครั้งสุดท้าย – มีการใช้ในป่า
Apple แพทช์ zero-day สองเท่าในเบราว์เซอร์และเคอร์เนล – อัปเดตทันที!
และความจริงที่ว่า Apple ได้ใช้ความพยายามอย่างเต็มที่เพื่อสนับสนุนสิ่งที่ดูเหมือนจะเป็นเวอร์ชันระบบปฏิบัติการที่อยู่นอกเหนืออายุการใช้งานแนะนำหรืออย่างน้อยก็ขอเชิญคุณอนุมานว่าสิ่งนี้ถูกค้นพบว่าถูกใช้ในทางที่ชั่วร้ายสำหรับ ทุกสิ่งที่ซุกซน
ดังนั้น อาจมีเพียงไม่กี่คนที่ตกเป็นเป้าหมาย… แต่ถึงแม้จะเป็นอย่างนั้น ก็อย่าปล่อยให้ตัวเองเป็นบุคคลที่สาม!
ดั๊ก. และขอยืมหนึ่งในวลีที่คล้องจองของคุณ:
อย่ารอช้า/ลงมือทำเลยวันนี้
[หัวเราะ] แล้วนั่นล่ะ?
เป็ด. ดั๊ก ฉันรู้ว่าคุณจะพูดแบบนั้น
ดั๊ก. ฉันกำลังตามอยู่!
และในขณะที่ดวงอาทิตย์เริ่มตกอย่างช้าๆ ในรายการของเราในวันนี้ เราอยากได้ยินจากผู้อ่านคนหนึ่งของเราเกี่ยวกับเรื่องซีโร่เดย์ของ Apple
ผู้อ่านไบรอันแสดงความคิดเห็น:
“ไอคอนการตั้งค่าของ Apple คล้ายกับเฟืองจักรยานในใจฉันเสมอ ในฐานะนักขี่มอเตอร์ไซค์ตัวยง ผู้ใช้อุปกรณ์ Apple ฉันหวังว่าคุณจะชอบแบบนั้นนะ”
นั่นพุ่งตรงมาที่คุณ พอล
คุณชอบไหม?
คุณคิดว่าดูเหมือนเฟืองจักรยานหรือไม่?
เป็ด. ไม่เป็นไรค่ะ เพราะเป็นที่จดจำมาก ให้พูดว่า อยากไปไหม การตั้งค่า > General > การอัพเดตซอฟต์แวร์.
(คำแนะนำ คำใบ้: นั่นคือวิธีตรวจสอบการอัปเดตบน iOS)
ไอคอนมีความโดดเด่นมาก และง่ายต่อการตี ฉันจึงรู้ว่าฉันกำลังจะไปที่ไหน
แต่เปล่า ฉันไม่เคยเกี่ยวข้องกับการขี่จักรยานเลย เพราะถ้านั่นคือใบจานหน้าของจักรยานแบบมีเกียร์ ก็ผิดทั้งหมด
ไม่ได้เชื่อมต่ออย่างถูกต้อง
ไม่มีทางที่จะเพิ่มพลังให้กับพวกเขา
มีเฟืองสองตัว แต่มีฟันขนาดต่างกัน
หากคุณคิดว่าเกียร์ทำงานอย่างไรกับเฟืองจักรยานประเภทเกียร์กระตุก (ตัวสับเกียร์ ตามที่ทราบกันดี) คุณมีโซ่เพียงเส้นเดียว และโซ่มีระยะห่างหรือระยะห่างเฉพาะตามที่เรียกว่า
ดังนั้นฟันเฟืองหรือเฟืองทั้งหมด (ในทางเทคนิคแล้ว พวกมันไม่ใช่ฟันเฟือง เพราะฟันเฟืองขับฟันเฟือง และโซ่ขับเฟือง)… เฟืองทั้งหมดต้องมีฟันที่มีขนาดหรือระยะห่างเท่ากัน มิฉะนั้น โซ่จะไม่พอดี!
และฟันเหล่านั้นก็แหลมคมมาก ดั๊ก.
บางคนในความคิดเห็นบอกว่าคิดว่ามันช่วยเตือนพวกเขาให้นึกถึงสิ่งที่เกี่ยวกับเครื่องจักร เช่น บันไดหนีไฟหรืออุปกรณ์บางอย่างในนาฬิกา
แต่ฉันค่อนข้างแน่ใจว่าช่างทำนาฬิกาจะตอบว่า “ไม่ เราจะไม่จัดฟันแบบนั้น” เพราะพวกเขาใช้รูปทรงที่โดดเด่นมากเพื่อเพิ่มความน่าเชื่อถือและความแม่นยำ
ดังนั้นฉันจึงค่อนข้างพอใจกับไอคอน Apple นั้น แต่ไม่เลย มันไม่ได้ทำให้ฉันนึกถึงการปั่นจักรยาน
ไอคอน Android แดกดัน…
…และฉันก็คิดถึงคุณเมื่อนึกถึงเรื่องนี้ ดั๊ก [หัวเราะ] และฉันคิดว่า “โอ้ บ้าจริง ฉันจะไม่ได้ยินตอนจบของเรื่องนี้เลย ถ้าฉันพูดถึงมัน”…
..มันดูเหมือนฟันเฟืองบนจักรยาน (และฉันรู้ว่ามันไม่ใช่ฟันเฟือง มันเป็นเฟือง เพราะฟันเฟืองขับฟันเฟือง และโซ่ขับเฟือง แต่ด้วยเหตุผลบางอย่าง คุณเรียกพวกมันว่าฟันเฟืองเมื่อพวกมันเล็กที่ ด้านหลังของจักรยาน)
แต่มีฟันเพียงหกซี่เท่านั้น
ฟันเฟืองท้ายจักรยานที่เล็กที่สุดที่ผมสามารถพูดถึงได้คือฟัน XNUMX ซี่ ซึ่งเล็กมาก มีความโค้งที่แน่นมาก และเฉพาะในการใช้งานพิเศษเท่านั้น
พวก BMX ชอบมันเพราะยิ่งฟันเฟืองเล็กเท่าไหร่ โอกาสที่มันจะกระแทกพื้นน้อยลงเมื่อคุณเล่นกล
ดังนั้น… ซึ่งเกี่ยวข้องกับความปลอดภัยทางไซเบอร์เพียงเล็กน้อย แต่มันเป็นข้อมูลเชิงลึกที่น่าสนใจเกี่ยวกับสิ่งที่ฉันเชื่อว่าเป็นที่รู้จักกันในปัจจุบัน ไม่ใช่ “อินเทอร์เฟซผู้ใช้” แต่เป็น “ประสบการณ์ผู้ใช้”
ดั๊ก. เอาล่ะ ขอบคุณมากไบรอันสำหรับความคิดเห็น
หากคุณมีเรื่องราว ข้อคิดเห็น หรือคำถามที่น่าสนใจที่คุณต้องการส่ง เรายินดีที่จะอ่านในพอดแคสต์
คุณสามารถส่งอีเมลไปที่ tips@sophos.com หรือแสดงความคิดเห็นในบทความของเรา หรือจะติดต่อหาเราบนโซเชียล: @Naked Security
นั่นคือการแสดงของเราในวันนี้ ขอบคุณมากสำหรับการฟัง
สำหรับ Paul Ducklin ฉัน Doug Aamoth เตือนคุณถึงครั้งต่อไปที่จะ...
ทั้งสอง รักษาความปลอดภัย!
[โมเด็มดนตรี]
- blockchain
- เหรียญอัจฉริยะ
- กระเป๋าสตางค์ cryptocurrency
- การแลกเปลี่ยนการเข้ารหัสลับ
- การรักษาความปลอดภัยในโลกไซเบอร์
- อาชญากรไซเบอร์
- cybersecurity
- กรมความมั่นคงภายในประเทศ
- กระเป๋าสตางค์ดิจิตอล
- เอเคอร์สลีย์
- ไฟร์วอลล์
- Kaspersky
- มาเข้ารหัสกันเถอะ
- มัลแวร์
- แมคคาฟี
- ความปลอดภัยเปล่า
- พอดคาสต์ความปลอดภัยเปลือยกาย
- เน็กซ์บล๊อก
- พีเตอร์
- เพลโต
- เพลโตไอ
- เพลโตดาต้าอินเทลลิเจนซ์
- เกมเพลโต
- เพลโตดาต้า
- เพลโตเกม
- พอดคาสต์
- TikTok
- VPN
- ความปลอดภัยของเว็บไซต์
- ลมทะเล
