S3 Ep99: «Атака» TikTok – було порушення даних чи ні? [Аудіо + текст]

Натисніть і перетягніть звукові хвилі нижче, щоб перейти до будь-якої точки. Ви також можете слухати безпосередньо на Soundcloud.

ДУГ.  Нульові дні, нові нульові дні, TikTok і сумний день для спільноти безпеки.

Все це та багато іншого в подкасті Naked Security.

[МУЗИЧНИЙ МОДЕМ]

Вітаємо всіх у подкасті Naked Security.

Я Дуг Аамот.

Зі мною, як завжди, Пол Даклін.

Павло, як справи сьогодні?

---

КАЧКА.  У мене все дуже, дуже добре, дякую, Дугласе!

---

ДУГ.  Що ж, давайте почнемо шоу з нашого сегмента «Історія технологій».

Мені приємно повідомити вам: цього тижня, 09 вересня 1947 року, всередині комп’ютера Mark II Гарвардського університету було знайдено справжню міль.

І хоча термін «баг» для позначення інженерних збоїв, як вважається, використовувався багато років тому, вважається, що цей інцидент призвів до теперішнього повсюдного «налагодження».

Чому?

Тому що після того, як моль було видалено з Mark II, її заклеїли скотчем у журналі інженерів і помітили «Перший випадок справжнього виявлення помилки».

Я люблю цю історію!

---

КАЧКА.  Я теж!

Я думаю, що першим доказом цього терміну, який я побачив, був ніхто інший, як Томас Едісон – я думаю, він використав термін «жуки».

Але, звісно, ​​у 1947 році це були перші дні цифрових обчислень, і ще не всі комп’ютери працювали на вентилях чи лампах, тому що лампи все ще були дуже дорогими, дуже нагрівалися та вимагали багато електроенергії.

Таким чином, цей комп’ютер, навіть якщо він міг виконувати тригонометрію та таке інше, насправді був заснований на реле – електромеханічних перемикачах, а не чистих електронних перемикачах.

Досить дивно, що навіть наприкінці 1940-х років комп’ютери на основі реле все ще були в побуті… хоча вони не збиралися бути в побуті дуже довго.

---

ДУГ.  Ну, Павле, скажімо, на тему брудних речей і помилок.

Безладна річ, яка турбує людей, – це питання TikTok.

Є порушення, і є порушення… це насправді порушення?

---

КАЧКА.  Як ти кажеш, Дугласе, це стало безладдям...

Тому що це була величезна історія на вихідних, чи не так?

«Порушення TikTok – що це було насправді?»

На перший погляд, це звучить так: «Вау, 2 мільярди записів даних, 1 мільярд користувачів зламано, проникли хакери» і багато іншого.

Зараз кілька людей, які регулярно стикаються з витоками даних, зокрема Трой Хант з Чи я пірнув, зробили зразки знімків даних, які нібито були «викрадені», і пішли їх шукати.

І консенсус, здається, підтримує саме те, що сказав TikTok, а саме те, що ці дані все одно є загальнодоступними.

Тож, здається, це набір даних, скажімо, гігантський список відео… я думаю, що TikTok, ймовірно, не захоче, щоб ви могли просто завантажити для себе, тому що вони хочуть, щоб ви пройшли через платформу, використовувати їх посилання та переглядати їх рекламу, щоб вони могли монетизувати речі.

Але жодна з даних, жодна інформація у списках, здається, не була конфіденційною чи приватною для постраждалих користувачів.

Наприклад, коли Трой Хант шукав і вибирав якесь випадкове відео, це відео відображалося під іменем користувача як загальнодоступне.

І дані про відео у «зломі» також не говорили: «О, і, до речі, ось ідентифікатор TikTok клієнта; ось їхній хеш пароля; ось їхня домашня адреса; ось список приватних відео, які вони ще не опублікували», і так далі.

---

ДУГ.  Добре, якщо я користувач TikTok, чи є тут застереження?

Мені потрібно щось робити?

Як це впливає на мене як користувача?

---

КАЧКА.  Ось у чому справа. Дуг, я думаю, багато статей, написаних про це, відчайдушно прагнули знайти якийсь висновок.

Що ви можете зробити?

Отже, гостре питання, яке задають люди: «Ну чи варто мені змінювати пароль?» Чи варто мені вмикати двофакторну автентифікацію?»… усе звичайне, що ви чуєте.

У цьому випадку виглядає так, ніби немає особливої ​​потреби змінювати ваш пароль.

Немає жодних припущень про те, що хеші паролів були вкрадені, і тепер вони можуть бути зламані мільйоном біткойн-майнерів, які не працюють [СМІЄТЬСЯ] чи щось подібне.

Немає жодних припущень, що в результаті цього буде легше націлюватися на облікові записи користувачів.

З іншого боку, якщо ви бажаєте змінити пароль… ви також можете.

Загальна рекомендація в наші дні полягає в тому, що регулярна, регулярна і часта зміна пароля *за розкладом* (наприклад, «Раз на місяць змінюйте пароль про всяк випадок») — це погана ідея, оскільки [РОБОТИЗОВАНИЙ ГОЛОС] він – просто – отримує – вас – у – повторювану – звичку, яка насправді не покращує ситуацію.

Оскільки ми знаємо, що люди роблять, вони просто вказують: -01, -02, 03 у кінці пароля.

Отже, я не думаю, що вам потрібно змінювати свій пароль, але якщо ви вирішите це зробити, добре вам.

Моя власна думка полягає в тому, що в цьому випадку не мало б значення те, чи була у вас увімкнена двофакторна автентифікація чи ні.

З іншого боку, якщо це випадок, який нарешті переконає вас, що 2FA має десь місце у вашому житті...

…тоді, можливо, Дугласе, це срібна підкладка!

---

ДУГ.  Відмінно.

Тому ми будемо стежити за цим.

Але здається, що звичайні користувачі не так багато могли зробити з цього приводу…

---

КАЧКА.  Крім того, можливо, є одна річ, якій ми можемо навчитися або принаймні нагадати собі з цього.

---

ДУГ.  Я думаю, я знаю, що буде. [СМІЄТЬСЯ]

Чи римується?

---

КАЧКА.  Можна, Дугласе. [СМІЄТЬСЯ]

Блін, я такий прозорий. [СМІЄТЬСЯ]

Будьте в курсі/перед тим, як поділитися.

Коли щось стає загальнодоступним, воно *справді є публічним*, і це так просто.

---

ДУГ.  Добре, дуже добре.

Будьте в курсі, перш ніж ділитися.

Рухаючись далі, спільнота безпеки втратила піонера в особі Пітера Екерслі, який помер у віці 43 років.

Він був співавтором Let's Encrypt.

Отже, розкажіть нам трохи про Let's Encrypt і Спадщина Екерслі, якщо хочете.

---

КАЧКА.  Ну, Дуг, він зробив купу всього за своє, на жаль, коротке життя.

Ми не часто пишемо некрологи на Naked Security, але це один із тих, які ми відчували, що повинні.

Тому що, як ви сказали, Пітер Екерслі, серед усього іншого, що він зробив, був одним із співзасновників Let's Encrypt, проекту, який мав на меті зробити його дешевим (тобто безкоштовним!), але, головне, надійним і легко отримати сертифікати HTTPS для вашого сайту.

І оскільки ми використовуємо сертифікати Let's Encrypt на сайтах блогу Naked Security і Sophos News, я вважав, що ми повинні принаймні згадати його за цю хорошу роботу.

Тому що будь-хто, хто коли-небудь керував веб-сайтом, знає, що якщо ви повернетеся на кілька років назад, отримання сертифіката HTTPS, сертифіката TLS, який дозволяє встановити замок у веб-браузерах ваших відвідувачів, не тільки коштує грошей, які домашні користувачі, любителі , благодійні організації, малі підприємства, спортивні клуби не могли собі дозволити... це було *справжньою проблемою*.

Це була ціла процедура, через яку ви мали пройти; він був дуже сповнений жаргону та технічних речей; і кожного року вам доводилося робити це знову, тому що, очевидно, вони закінчуються... це як перевірка безпеки автомобіля.

Ви маєте пройти вправу та довести, що ви все ще та особа, яка може змінювати домен, який, як ви стверджуєте, контролюєте, і так далі.

І Let’s Encrypt не тільки змогли зробити це безкоштовно, вони змогли зробити так, щоб процес можна було автоматизувати… і щоквартально, тож це також означає, що сертифікати можуть закінчуватися швидше, якщо щось піде не так.

Їм вдалося завоювати довіру настільки швидко, що основні веб-переглядачі незабаром сказали: «Знаєте що, ми будемо довіряти Let's Encrypt, щоб поручитися за веб-сертифікати інших людей – так званий кореневий CAабо центр сертифікації.

Тоді ваш браузер довіряє Let's Encrypt за замовчуванням.

І дійсно, це все те, що поєднується разом, що для мене було величчю проекту.

Це було не просто безкоштовно; справа не тільки в тому, що це було легко; не просто виробники браузерів (яких, як відомо, важко переконати довіряти вам) вирішили: «Так, ми їм довіряємо».

Усе це разом зібрано, що мало велике значення та допомогло отримати HTTPS майже всюди в Інтернеті.

Це лише спосіб додати трохи додаткової безпеки до перегляду, який ми робимо…

…не стільки через шифрування, як ми постійно нагадуємо людям, скільки через той факт, що [A] у вас є шанс боротися з тим, що ви справді підключилися до сайту, яким маніпулює особа, яка повинна ним маніпулювати, і що [B] коли вміст повертається або коли ви надсилаєте до нього запит, його не можна легко підробити.

До Let's Encrypt на будь-якому веб-сайті, що підтримує лише HTTP, практично будь-хто на мережевому шляху міг стежити за тим, що ви переглядаєте.

Гірше того, вони могли змінити його – або те, що ви надсилаєте, або те, що отримуєте назад – і ви *просто не можете сказати*, що завантажуєте зловмисне програмне забезпечення, а не справжнє, або що ви читаєте фейкові новини, а не реальна історія.

---

ДУГ.  Гаразд, я думаю, що доречно закінчити чудовим коментар одного з наших читачів, Саманта, яка, здається, знала містера Екерслі.

Вона каже:

«Якщо щось я завжди пам’ятаю у своєму спілкуванні з Пітом, так це його відданість науці та науковому методу. Ставити запитання – це сама суть науковця. Я завжди буду дорожити Пітом і його запитаннями. Для мене Піт був людиною, яка цінувала спілкування та вільний і відкритий обмін думками між допитливими людьми».

Добре сказано, Саманта, дякую.

---

КАЧКА.  Так!

І замість того, щоб сказати RIP [абревіатура від Rest In Peace], я думаю, я скажу CIP: Code in Peace.

---

ДУГ.  Дуже добре!

Гаразд, минулого тижня ми говорили про низку патчів Chrome, а потім з’явився ще один.

І цей був важливо один...

---

КАЧКА.  Це справді було, Дуг.

І оскільки це стосувалося ядра Chromium, воно також стосувалося Microsoft Edge.

Тож лише минулого тижня ми говорили про ці… що це було, 24 діри в безпеці.

Один був критичним, вісім-дев’ять – високим.

Там є всілякі помилки неправильного керування пам’яттю, але жодна з них не була нульових днів.

І тому ми говорили про це, кажучи: «Слухайте, це невелика угода з точки зору нульового дня, але це велика справа з точки зору виправлення безпеки. Попередьте: не зволікайте, зробіть це сьогодні».

(Вибачте – я знову заримував, Дуг.)

Цього разу це ще одне оновлення, яке вийшло лише через пару днів, як для Chrome, так і для Edge.

Цього разу виправлено лише одну дірку в безпеці.

Ми не зовсім знаємо, чи це підвищення привілеїв, чи віддалене виконання коду, але це звучить серйозно, і це нульовий день із відомим експлойтом, який уже існує.

Я думаю, чудова новина полягає в тому, що і Google, і Microsoft, і інші виробники браузерів змогли застосувати цей патч і отримати його дуже, дуже швидко.

Ми не говоримо про місяці чи тижні… лише пару днів для відомого нульового дня, який, очевидно, було знайдено після останнього оновлення, яке було лише минулого тижня.

Тож це хороші новини.

Звичайно, погана новина полягає в тому, що це нульовий день – на ньому працюють шахраї; вони вже використовують це.

Google був трохи скромним щодо того, «як і чому»… це свідчить про те, що у фоновому режимі відбувається певне розслідування, яке вони, можливо, не хочуть ставити під загрозу.

Отже, знову ж таки, це ситуація «виправляйте рано, виправляйте часто» – ви не можете просто залишити цю ситуацію.

Якщо ви виправили минулого тижня, то вам потрібно зробити це знову.

Хороша новина полягає в тому, що Chrome, Edge та більшість сучасних браузерів мають оновлюватися.

Але, як завжди, варто перевірити, бо що, якщо ви покладаєтеся на автоматичне оновлення, і лише цього разу воно не спрацювало?

Хіба це не буде 30 секунд вашого часу, витрачених на те, щоб переконатися, що у вас справді встановлена ​​остання версія?

У нас є всі відповідні номери версій і поради [щодо Naked Security] щодо того, де клацнути для Chrome і Edge, щоб переконатися, що у вас дійсно встановлена ​​остання версія цих веб-переглядачів.

---

ДУГ.  І головна новина для тих, хто веде рахунок…

Я щойно перевірив свою версію Microsoft Edge, і це правильна, найновіша версія, тому вона оновилася сама.

Добре, останнє, але не менш важливе, у нас є рідкісне «але». термінове оновлення Apple для iOS 12, яку ми всі вважали готовою та стертою.

---

КАЧКА.  Так, як я написав у перших п’яти словах статті про Naked Security: «Ну, ми цього не очікували!»

Я дозволив собі знак оклику, Дуг, [СМІХ], тому що я був здивований...

Постійні слухачі подкасту знають, що мій улюблений, хоч і старий, але колишній незайманий iPhone 6 Plus потрапив у аварію на велосипеді.

Велосипед вижив; Я відростив всю необхідну мені шкіру [СМІХ]… але екран мого iPhone все ще складається зі ста тисяч мільйонів мільярдів трильйонів частин. (Я думаю, що всі шматочки, які збираються вийти з мого пальця, уже це зробили.)

Тож я подумав… iOS 12, минув рік з моменту останнього оновлення, тож, очевидно, Apple не помітила її.

Він не отримає жодних інших виправлень безпеки.

Я подумав: «Що ж, екран не можна знову розбити, тож це чудовий телефон для екстреної допомоги, який можна взяти з собою, коли я в дорозі»… якщо я кудись їду, якщо мені потрібно зателефонувати чи подивитися на карта. (Я не збираюся займатися електронною поштою чи будь-яким іншим, пов’язаним із роботою.)

І ось, він отримав оновлення, Дуг!

Раптом, майже через рік після попереднього… Мені здається, 23 вересня 2021 року було Останнє оновлення Я мав.

Раптом Apple випустила це оновлення.

Це відноситься до попередні патчі про який ми говорили, де зробили екстрене оновлення для сучасних iPhone та iPad та всіх версій macOS.

Там вони виправляли помилку WebKit і помилку ядра: обидва нульові дні; обидва використовуються в дикій природі.

(Вам це пахне шпигунським програмним забезпеченням? Мені так пахне!)

Помилка WebKit означає, що ви можете відвідати веб-сайт або відкрити документ, і програма візьме на себе контроль.

Потім помилка ядра означає, що ви вставляєте свою спицю прямо в операційну систему і, по суті, пробиєте дірку в розхваленій системі безпеки Apple.

Але не було оновлення для iOS 12, і, як ми сказали минулого разу, хто знає, чи це тому, що iOS 12 просто виявилася невразливою, чи Apple справді не збиралася нічого з цим робити, оскільки вона впала краю планети рік тому?

Ну, схоже, він не зовсім впав з краю планети, або він коливався на краю... і він *був* вразливим.

Хороші новини… помилка ядра, про яку ми говорили минулого разу, те, що дозволило б комусь фактично отримати контроль над усім iPhone або iPad, не стосується iOS 12.

Але ця помилка WebKit, про яку пам’ятаєте, впливає на *будь-який* веб-переглядач, а не лише на Safari, і на будь-яку програму, яка виконує будь-який вид веб-рендерінгу, навіть якщо це лише у його МЕНЮ екран…

…тая помилка *існувала* в iOS 12, і Apple, очевидно, сильно це відчула.

Отже, ось: якщо у вас старіший iPhone, і він все ще працює на iOS 12, тому що ви не можете оновити його до iOS 15, тоді вам потрібно піти та отримати це.

Тому що це Помилка WebKit ми говорили минулого разу – його використовували в дикій природі.

Apple виправляє подвійний нульовий день у браузері та ядрі – оновіть зараз!

І той факт, що Apple доклала таких зусиль, щоб підтримати версію операційної системи, яка, здавалося б, вичерпана, свідчить або принаймні запрошує вас зробити висновок, що вона, як виявилося, використовувалася в мерзенні способи для всілякі пустотливі речі.

Отже, можливо, лише кілька людей потрапили під ціль… але навіть якщо це так, не дозволяйте собі бути третьою особою!

---

ДУГ.  І запозичу одну з ваших римованих фраз:

Не зволікайте/Зробіть це сьогодні.

[СМІЄТЬСЯ] Як щодо цього?

---

КАЧКА.  Дуг, я знав, що ти збираєшся це сказати.

---

ДУГ.  Я ловлю!

І оскільки сонце починає повільно сідати в нашому сьогоднішньому шоу, ми хотіли б почути від одного з наших читачів історію Apple про нульовий день.

Читач Браян коментує:

«У моєму розумінні піктограма налаштувань Apple завжди нагадувала зірочку велосипеда. Як завзятий байкер, користувач пристроїв Apple, я очікую, що ти такий?»

Це спрямовано на тебе, Поле.

Тобі це подобається?

Як ви думаєте, це схоже на велосипедну зірочку?

---

КАЧКА.  Я не проти, тому що він дуже впізнаваний, скажіть, якщо я хочу піти Налаштування > Загальне > Оновлення програмного забезпечення.

(Підказка, підказка: саме так ви перевіряєте наявність оновлень на iOS.)

Піктограма дуже характерна, її легко натиснути, щоб я знав, куди я йду.

Але ні, я ніколи не асоціював це з їздою на велосипеді, тому що якби це були передні зірочки на велосипеді з редуктором, вони просто неправильні.

Вони не підключені належним чином.

Немає способу ввести в них силу.

Зірочки дві, але мають зуби різного розміру.

Якщо ви подумаєте про те, як працюють шестерні на велосипедних передачах типу стрибучих передач (так їх називають перемикачами), у вас є лише один ланцюг, і ланцюг має певну відстань, або крок, як його називають.

Отже, усі зубці або зірочки (технічно це не зубці, тому що зубці приводять у рух зубці, а ланцюги приводять у рух зірочки)… усі зірочки мають мати зуби однакового розміру або кроку, інакше ланцюг не підійде!

І ті зуби дуже гострі. Дуг.

Хтось у коментарях сказав, що думає, що це нагадує їм щось пов’язане з годинниковим механізмом, як-от спусковий механізм або якусь шестерню всередині годинника.

Але я майже впевнений, що годинникарі сказали б: «Ні, ми б не формували зуби так», оскільки вони використовують дуже характерні форми для підвищення надійності та точності.

Тож я цілком задоволений цим значком Apple, але ні, він не нагадує мені велосипед.

За іронією долі значок Android…

…і я подумав про тебе, коли я подумав про це, Дуг [СМІХ], і я подумав: «О, боже, я ніколи не почую цьому кінця. Якщо я це згадаю»…

.. це справді схоже на задню гвинтику на велосипеді (і я знаю, що це не гвинтик, це зірочка, тому що гвинти приводять у рух гвинти, а ланцюги приводять у рух зірочки, але чомусь ви називаєте їх гвинтиками, коли вони маленькі задня частина велосипеда).

Але у нього лише шість зубів.

Найменша задня шестерня велосипеда, про яку я можу знайти згадку, — це дев’ять зубів — це дуже крихітний, дуже вузький вигин і лише в особливих випадках.

Хлопцям BMX вони подобаються, тому що чим менший гвинтик, тим менша ймовірність, що він вдариться об землю, коли ви виконуєте трюки.

Тож… це має дуже мало спільного з кібербезпекою, але це захоплююче розуміння того, що, на мою думку, сьогодні відомо не як «інтерфейс користувача», а як «взаємодія з користувачем».

---

ДУГ.  Гаразд, дуже дякую, Брайане, за коментар.

Якщо у вас є цікава історія, коментар або запитання, яке ви хотіли б надіслати, ми будемо раді прочитати це в подкасті.

Ви можете надіслати електронний лист на tips@sophos.com, ви можете прокоментувати будь-яку з наших статей або зв’язатися з нами в соціальних мережах: @Naked Security.

Це наше шоу на сьогодні – велике спасибі, що послухали.

Для Пола Дакліна я Дуг Аамот, нагадую вам до наступного разу…

---

ОБИМ.  Будьте в безпеці!

[МУЗИЧНИЙ МОДЕМ]