LISTEN NOW
与道格·阿莫斯和保罗·达克林一起。
介绍和结尾音乐 伊迪丝·马奇.
单击并拖动下面的声波以跳到任何一点。你也可以 直接听 在 Soundcloud 上。
你可以听我们的 的SoundCloud, 苹果播客, Google播客, Spotify, 缝 以及任何可以找到好的播客的地方。 或者只是放下 我们的 RSS 提要的 URL 进入你最喜欢的播客。
阅读成绩单
道格。 零日,更多零日,TikTok,以及安全社区悲伤的一天。
所有这些以及更多,在 Naked Security 播客上。
[音乐调制解调器]
大家欢迎来到 Naked Security 播客。
我是道格·阿莫斯。
和往常一样,和我在一起的是保罗·达克林。
保罗,你今天好吗?
鸭。 我做得非常非常好,谢谢你,道格拉斯!
道格。 好吧,让我们从我们的技术历史部分开始。
我很高兴地告诉你:本周 09 年 1947 月 XNUMX 日,在哈佛大学的 Mark II 计算机中发现了一只真实的飞蛾。
尽管使用术语“错误”来表示工程故障被认为已经使用了多年,但人们认为这一事件导致了现在无处不在的“调试”。
为什么?
因为一旦飞蛾从 Mark II 中移除,它就会被贴在工程日志中,并标有“发现实际错误的第一例”。
我喜欢那个故事!
鸭。 我也是!
我认为我看到的关于这个词的第一个证据就是托马斯·爱迪生——我认为他使用了“虫子”这个词。
但是,当然,在 1947 年,这是数字计算的早期阶段,并不是所有的计算机都运行在阀门或管子上,因为管子仍然非常昂贵,运行非常热,并且需要大量电力。
所以,这台计算机,尽管它可以做三角函数之类的,实际上是基于继电器——机电开关,而不是纯电子开关。
令人惊讶的是,即使在 1940 年代后期,基于中继的计算机仍然是一件事……尽管它们不会在很长时间内成为一件事。
道格。 好吧,保罗,让我们谈谈混乱的事情和错误的话题。
困扰人们的一件麻烦事是这个 TikTok 的问题。
有破口,有破口……这真的是破口吗?
鸭。 正如你所说,道格拉斯,这已成为一件麻烦事……
因为这是周末的一个大故事,不是吗?
“TikTok 漏洞——到底是什么?”
乍一看,这听起来像是“哇,2 亿条数据记录,1 亿用户被入侵,黑客入侵了”等等。
现在,有几个人经常处理数据泄露事件,特别是包括 Troy Hunt of 我是否曾经被用过, 对本应被“窃取”的数据进行了抽样快照并开始寻找它。
共识似乎完全支持 TikTok 所说的话,即这些数据无论如何都是公开的。
所以它似乎是一个数据集合,比如说一个巨大的视频列表……我猜 TikTok 可能不希望你只是能够自己下载,因为他们希望你通过这个平台,并使用他们的链接,查看他们的广告,以便他们可以通过这些东西获利。
但是列表中的所有数据,似乎都没有对受影响的用户保密或私有。
例如,当 Troy Hunt 去寻找并挑选了一些随机视频时,该视频将以该用户的名义显示为公开。
而关于“违规”中视频的数据也没有说,“哦,顺便说一下,这是客户的 TikTok ID; 这是他们的密码哈希; 这是他们的家庭住址; 这是他们尚未发布的私人视频列表”,等等。
道格。 好的,所以如果我是 TikTok 用户,这里有警示故事吗?
我需要做什么吗?
这对我作为用户有何影响?
鸭。 就是这样。 道格——我想很多关于这方面的文章都迫切希望找到某种结论。
你可以做什么?
所以,人们一直在问的最紧迫的问题是,“好吧,我应该更改密码吗? 我应该打开两因素身份验证吗?”……您听到的所有常见内容。
在这种情况下,看起来好像没有特别需要更改密码。
没有迹象表明密码哈希被盗,现在可能被数以千计的下班比特币矿工 [笑] 或类似的东西破解。
没有迹象表明用户帐户可能因此更容易定位。
另一方面,如果您想更改密码……也可以。
这些天的一般建议是定期、定期、频繁地*按计划*更改您的密码(例如,“每月更改一次密码以防万一”)是一个坏主意,因为 [ROBOTIC VOICE] 它 - 只是 - 得到 - 你- 变成 - 一个 - 重复 - 并不能真正改善事情的习惯。
因为我们知道人们在做什么,所以他们只会在密码末尾加上:-01、-02、03。
因此,我认为您不必更改密码,但如果您决定这样做,那对您有好处。
我自己的观点是,在这种情况下,无论您是否打开了双因素身份验证,都没有任何区别。
另一方面,如果这件事最终让你相信 2FA 在你生活的某个地方占有一席之地……
……那么,道格拉斯,那也许是一线希望!
道格。 大。
所以我们会密切关注这一点。
但听起来普通用户对此做的并不多……
鸭。 除了也许我们可以学到一件事,或者至少可以从中提醒自己。
道格。 我想我知道会发生什么。 [笑]
押韵吗?
鸭。 可能会,道格拉斯。 [笑]
该死的,我是如此透明。 [笑]
请注意/在分享之前。
一旦某事公开,它*真的是公开的*,就这么简单。
道格。 好的,棒极了。
分享前请注意。
继续前进,安全界失去了一位先驱 Peter Eckersley,他在 43 岁时去世。
他是 Let's Encrypt 的联合创始人。
所以,告诉我们一些关于 Let's Encrypt 和 埃克斯利的遗产, 如果你愿意。
鸭。 好吧,道格,不幸的是,他在他短暂的一生中做了很多事情。
我们不经常在 Naked Security 上写讣告,但这是我们认为必须写的讣告之一。
因为,正如你所说,Peter Eckersley,在他所做的所有其他事情中,是 Let's Encrypt 的联合创始人之一,该项目旨在使其便宜(即免费!),但最重要的是可靠和轻松为您的网站获取 HTTPS 证书。
而且因为我们在 Naked Security 和 Sophos News 博客网站上使用 Let's Encrypt 证书,我觉得我们至少应该提及他的出色工作。
因为任何曾经运营过网站的人都会知道,如果你回到几年前,获得一个 HTTPS 证书、一个 TLS 证书,它可以让你将挂锁放在访问者的网络浏览器中,不仅要花钱,家庭用户、爱好者、慈善机构、小企业、体育俱乐部都买不起……这是一个*真正的麻烦*。
你必须经历整个过程; 它充满了行话和技术性的东西; 每年你都必须再做一次,因为它们显然过期了……这就像对汽车的安全检查。
您必须完成练习,并证明您仍然是能够修改您声称控制的域的人,依此类推。
Let's Encrypt 不仅能够免费做到这一点,他们还能够做到这一点,以便该过程可以自动化......并且每季度一次,这也意味着证书可以更快地过期,以防出现问题。
他们能够以足够快的速度建立信任,以至于主要浏览器很快就会说:“你知道吗,我们将信任 Let's Encrypt 来担保其他人的网络证书——所谓的 根 CA,或证书颁发机构。
然后,您的浏览器默认信任 Let's Encrypt。
真的,所有这些东西都融合在一起,对我来说就是这个项目的威严。
不仅是免费的。 这不仅仅是因为它很容易; 不仅仅是浏览器制造商(众所周知,他们一开始就很难说服他们信任你)决定“是的,我们信任他们”。
正是所有这些东西放在一起产生了很大的不同,并帮助在互联网上几乎无处不在的地方获得了 HTTPS。
这只是为我们所做的浏览增加一点额外安全性的一种方式……
…与其说是加密,我们一直在提醒人们,而是因为[A]你有一个战斗的机会,你真的已经连接到一个被应该操纵它的人操纵的网站,并且 [B] 当内容返回时,或者当你向它发送请求时,它不能被轻易篡改。
在 Let's Encrypt 之前,对于任何仅支持 HTTP 的网站,网络路径上的几乎任何人都可以监视您正在查看的内容。
更糟糕的是,他们可以修改它——无论是你发送的内容,还是你返回的内容——你*根本无法告诉*你正在下载恶意软件而不是真正的交易,或者你正在阅读假新闻而不是真实的故事。
道格。 好吧,我认为用一个很棒的结尾来结束是合适的 我们一位读者的评论,萨曼莎,她似乎认识埃克斯利先生。
她说:
“如果我一直记得我与皮特的互动中有一件事,那就是他对科学和科学方法的奉献。 提问是成为科学家的本质。 我会永远珍惜皮特和他的问题。 对我来说,Pete 是一个重视沟通以及在好奇的个人之间自由开放地交流思想的人。”
说得好,萨曼莎——谢谢。
鸭。 没错!
与其说 RIP [Rest In Peace 的缩写],我想我会说 CIP:Code in Peace。
道格。 非常好!
好吧,好吧,我们上周谈到了一系列 Chrome 补丁,然后又弹出了一个。
这是一个 重要 一…
鸭。 确实是,道格。
而且因为它适用于 Chromium 核心,它也适用于 Microsoft Edge。
所以,就在上周,我们还在讨论那些……是什么,24 个安全漏洞。
一个是关键的,八九个是高的。
那里有各种各样的内存管理错误错误,但没有一个是零日漏洞。
所以我们在讨论这个问题时说,“看,这从零日漏洞的角度来看是小事,但从安全补丁的角度来看却是大事。 前进:不要拖延,今天就做。”
(对不起——我又押韵了,道格。)
这一次,它是几天后发布的另一个更新,适用于 Chrome 和 Edge。
这一次,只修复了一个安全漏洞。
我们不太清楚它是特权提升还是远程代码执行,但这听起来很严重,而且它是一个零日漏洞,已知漏洞已经在野外。
我想好消息是谷歌和微软以及其他浏览器制造商都能够应用这个补丁并且非常非常快地发布它。
我们不是在谈论几个月或几周……只是几天的已知零日,显然是在最后一次更新发布后发现的,这只是上周。
所以这是个好消息。
坏消息是,当然,这是一个 0 天——骗子就在上面; 他们已经在使用它了。
谷歌对“如何以及为什么”有点害羞……这表明在后台正在进行一些他们可能不想危害的调查。
所以,再一次,这是一个“早打补丁,经常打补丁”的情况——你不能就这样离开。
如果你上周修补过,那么你确实需要再修补一次。
好消息是 Chrome、Edge 和如今的大多数浏览器都应该自行更新。
但是,与往常一样,检查是值得的,因为如果您依赖自动更新,而这一次,它不起作用怎么办?
这不是花 30 秒的时间来验证您确实拥有最新版本吗?
我们有所有相关的版本号和关于在哪里单击 Chrome 和 Edge 的建议 [关于 Naked Security],以确保您绝对拥有这些浏览器的最新版本。
道格。 对于任何保持得分的人来说都是突发新闻……
我刚刚检查了我的 Microsoft Edge 版本,它是正确的最新版本,因此它会自行更新。
好的,最后,但同样重要的是,我们有一个罕见但 紧急苹果更新 对于 iOS 12,我们都认为它已经完成并尘埃落定。
鸭。 是的,正如我在 Naked Security 文章的前五个字中所写的那样,“好吧,我们没想到会这样!”
我给自己一个感叹号,道格,[笑声] 因为我很惊讶……
经常收听播客的人会知道,我心爱的 iPhone 6 Plus 曾经是旧款,但曾经是原始的 iPhone XNUMX Plus 遭遇了自行车撞车事故。
自行车幸免于难; 我长出了我需要的所有皮肤[笑声]……但我的 iPhone 屏幕仍然有 XNUMX 亿万亿块。 (我认为所有将进入我手指的部分都已经这样做了。)
所以我想……iOS 12,距离我上次更新已经一年了,所以显然它完全不在苹果的视线范围内。
它不会获得任何其他安全修复程序。
我想,“好吧,屏幕不能再被砸碎了,所以当我在路上时,这是一个很棒的紧急电话”......如果我要去某个地方,如果我需要打电话或查看地图。 (我不会在上面写电子邮件或任何与工作相关的东西。)
而且,你瞧,它得到了更新,道格!
突然之间,距离前一天几乎一年了……我认为 23 年 2021 月 XNUMX 日是 最后更新 我有。
突然,Apple 推出了此更新。
它涉及到 以前的补丁 我们谈到,他们在哪里为当代 iPhone 和 iPad 以及所有版本的 macOS 进行了紧急更新。
在那里,他们修补了一个 WebKit 错误和一个内核错误:都是零日; 两者都在野外使用。
(对你有间谍软件的味道吗?对我有影响!)
WebKit 漏洞意味着你可以访问一个网站或打开一个文档,它会接管应用程序。
然后,内核错误意味着您将编织针直接放入操作系统,并且基本上在 Apple 大肆吹嘘的安全系统中打了一个洞。
但是 iOS 12 没有更新,正如我们上次所说,谁知道这是否是因为 iOS 12 恰好是无懈可击的,或者苹果真的不会对它采取任何行动,因为它掉了下来一年前的地球边缘?
好吧,看起来它并没有完全脱离地球的边缘,或者它一直在边缘摇摇欲坠……而且它*是*脆弱的。
好消息……我们上次谈到的内核错误,即让某人基本上接管整个 iPhone 或 iPad 的东西,不适用于 iOS 12。
但是那个 WebKit 错误——记住,它会影响*任何*浏览器,而不仅仅是 Safari,以及任何执行任何与 Web 相关的渲染的应用程序,即使它只是在它的 关于 屏幕…
…那个错误*确实*存在于 iOS 12 中,显然 Apple 对此有强烈的感觉。
所以,你就是这样:如果你有一部较旧的 iPhone,并且它仍然在 iOS 12 上,因为你无法将它更新到 iOS 15,那么你确实需要去获取它。
因为这是 WebKit 错误 我们上次谈到过——它已经在野外使用过。
事实上,Apple 已经竭尽全力支持似乎已经过时的操作系统版本,这表明,或者至少让你推断,这已被发现以邪恶的方式用于各种淘气的东西。
所以,也许只有几个人成为目标……但即使是这样,也不要让自己成为第三人!
道格。 并借用你的押韵短语之一:
不要拖延/今天就做。
[笑] 那怎么样?
鸭。 道格,我知道你会这么说。
道格。 我赶上!
当太阳开始在我们今天的节目中慢慢落下时,我们想听听我们的一位读者关于 Apple 零日事件的故事。
读者布莱恩评论:
“在我看来,Apple 的设置图标一直类似于自行车链轮。 作为一个狂热的骑自行车的人,一个苹果设备的用户,我希望你会喜欢吗?”
那是针对你的,保罗。
你喜欢那个吗?
你觉得它看起来像自行车链轮吗?
鸭。 我不介意,因为它很有辨识度,说如果我想去 个人设置 > 总类 > 软件更新.
(提示,提示:这就是您在 iOS 上检查更新的方式。)
图标很有特色,而且很容易点击,所以我知道我要去哪里。
但是,不,我从来没有将它与骑自行车联系起来,因为如果那是齿轮自行车上的前链轮,那么它们都是错误的。
它们没有正确连接。
没有办法给他们权力。
有两个链轮,但它们的齿大小不同。
如果您考虑一下齿轮在跳动式自行车齿轮(众所周知的拨链器)上的工作原理,那么您只有一个链条,并且链条具有特定的间距或所谓的节距。
所以所有的齿轮或链轮(从技术上讲,它们不是齿轮,因为齿轮驱动齿轮,链条驱动链轮)……所有链轮的齿必须具有相同的尺寸或节距,否则链条将不适合!
而且那些牙齿很尖。 道格。
评论中有人说,他们认为这让他们想起了与发条有关的东西,比如擒纵机构或时钟内的某种齿轮。
但我很确定钟表匠会说,“不,我们不会那样塑造牙齿”,因为他们使用非常独特的形状来提高可靠性和精度。
所以我对那个苹果图标很满意,但是,不,它并没有让我想起骑自行车。
具有讽刺意味的是,Android 图标……
......当我想到这个时,我想到了你,Doug [笑声],我想,“哦,天哪,我永远不会听到这个结局。 如果我提到它”...
..这看起来确实像自行车上的后齿轮(我知道它不是齿轮,它是链轮,因为齿轮驱动齿轮,链条驱动链轮,但由于某种原因,当它们很小的时候,你称它们为齿轮自行车后座)。
但它只有六颗牙齿。
我能找到的最小的自行车后齿轮是九个齿——非常小,曲线非常紧,而且只在特殊用途中使用。
BMX 家伙喜欢它们,因为齿轮越小,当你在做特技时,它就越不可能撞到地面。
所以……这与网络安全几乎没有关系,但对于我认为这些天人们所熟知的不是“用户界面”而是“用户体验”,这是一个令人着迷的见解。
道格。 好的,非常感谢 Bryan 的评论。
如果您想提交有趣的故事、评论或问题,我们很乐意在播客上阅读。
您可以发送电子邮件至tips@sophos.com,您可以评论我们的任何一篇文章,或者您可以在社交媒体上联系我们:@Naked Security。
这就是我们今天的节目——非常感谢您的收听。
对于 Paul Ducklin,我是 Doug Aamoth,提醒您下次……
两个都。 保持安全!
[音乐调制解调器]
![S3 Ep114:预防网络威胁——在他们阻止你之前阻止他们! [音频+文字]](https://platoaistream.net/wp-content/uploads/2022/12/s3-ep114-preventing-cyberthreats-stop-them-before-they-stop-you-audio-text-360x188.png)
![S3 Ep122:停止称每一次违规行为都“复杂”! [音频+文字]](https://platoaistream.net/wp-content/uploads/2023/02/s3-ep122-stop-calling-every-breach-sophisticated-audio-text-360x174.png)