Tidak ada pemutar audio di bawah? Mendengarkan langsung di Soundcloud.

ANJING.  Tambalan Darurat Apple, keadilan untuk peretasan Twitter 2020, dan "Tolong matikan ponsel Anda!"

Semua itu, dan banyak lagi, di podcast Naked Security.

[MODEM MUSIK]

Selamat datang di podcast, semuanya.

Saya Doug Aamoth; dia adalah Paul Ducklin.

Paulus, bagaimana kabarmu?

BEBEK.  Aku baik-baik saja, Douglas.

Dan untuk memperjelas, ketika kita berbicara tentang "mematikan telepon Anda", itu bukan hanya ketika Anda bepergian dengan Kereta Tenang di kereta…

… meskipun itu pasti menyenangkan. [TAWA]

ANJING.  Itu akan!

Nah, tunggu lebih lanjut tentang itu.

Tapi pertama-tama kita mulai dengan milik kita Minggu ini dalam Sejarah Teknologi segmen.

Paul, haruskah saya menggunakan transistor, yang merupakan pilihan kita yang jelas minggu ini, atau sedikit berlawanan dengan budaya?

Bagaimana menurutmu?

BEBEK.  Saya tidak tahu apa yang Anda usulkan untuk hal kontra budaya, tetapi izinkan saya mencoba ini…

…Aku memata-matai, dengan mata kecilku, sesuatu yang dimulai dengan “A”?

ANJING.  Benar!

Minggu ini, pada 27 Juni 1972, perusahaan video game perintis Atari didirikan oleh Nolan Bushnell dan Ted Dabney.

Fakta menyenangkan: sebelum Atari bernama "Atari", namanya adalah "Syzygy".

Namun, salah satu pendiri Atari Nolan Bushnell mempertimbangkan berbagai istilah dari permainan Go, akhirnya memilih Atari, merujuk pada posisi dalam permainan ketika sekelompok batu terancam diambil.

BEBEK.  Di situlah Steve Jobs muda memulai, bukan?

ANJING.  Tepat!

BEBEK.  Dan dia menyusun chum Woz [Steve Wozniak] untuk merancang tindak lanjut PONG, tetapi Anda hanya membutuhkan satu pemain.

Yaitu, Terobosan.

ANJING.  Permainan bagus

Tetap saja, sampai hari ini, itu bertahan, saya dapat memberi tahu Anda secara langsung.

BEBEK.  Tentu saja!

ANJING.  Baiklah, mari tetap menggunakan Apple dan memulai cerita kita.

Ini adalah patch darurat untuk silent, malware iPhone yang berbahaya.

Jadi, apa yang terjadi di sini, Paul?

Patch Apple memperbaiki lubang kernel zero-day yang dilaporkan oleh Kaspersky – perbarui sekarang!

BEBEK.  Ini adalah Trojan Triangulasi yang diumumkan pada awal Juni 2023 oleh perusahaan anti-malware Rusia Kaspersky.

Mereka mengklaim bahwa mereka menemukan hal ini bukan karena mereka melakukan analisis ancaman untuk pelanggan, tetapi karena mereka menemukan sesuatu yang aneh di ponsel eksekutif mereka sendiri.

Mereka pergi mencari dan, "Oh, astaga, ini ada 0-hari."

Dan itulah kisah besar di awal Juni 2023.

Apple mengeluarkan tambalan ganda.

Seperti yang sering terjadi ketika tambalan darurat ini keluar, ada bug WebKit, pada dasarnya dari jenis "ada laporan bahwa ini telah dieksploitasi" (ini adalah 0-hari!), Dan lubang eksekusi kode tingkat kernel.

Itulah yang ditemukan oleh para peneliti Kaspersky.

Dan, seperti yang telah kami katakan berkali-kali sebelumnya, kedua jenis eksploit tersebut sering digabungkan dalam serangan iPhone.

Karena eksploitasi WebKit membuat penjahat masuk, meskipun itu memberi mereka kekuatan terbatas, dan kemudian lubang tingkat kernel yang mereka eksploitasi dengan kode yang mereka masukkan ke dalam browser memberikan pengambilalihan penuh.

Dan karena itu pada dasarnya Anda dapat menanamkan malware yang tidak hanya memata-matai segalanya, tetapi bertahan dari reboot, dll.

Itu pasti berbau "spyware", "pengambilalihan telepon lengkap", "jailbreak total"…

Jadi, pergi dan periksa apakah Anda memiliki pembaruan terbaru, karena meskipun bug ini hanya diketahui telah dieksploitasi di iPhone, kerentanan sebenarnya ada cukup banyak di setiap perangkat Apple, terutama termasuk Mac yang menjalankan macOS (semua versi yang didukung).

ANJING.  BAIK, Settings > Umum > Memperbarui perangkat lunak untuk melihat apakah Anda sudah mendapatkan tambalan.

Jika tidak, tambal!

Sekarang mari beralih ke… [TERTAWA]

… Sayang sekali ini masih menjadi masalah, tetapi hanya buah kejahatan dunia maya yang menggantung rendah.

Menebak jalanmu ke dalam server Linux.

Waspadai kata sandi yang buruk karena penyerang mengkooptasi server Linux ke dalam kejahatan dunia maya

BEBEK.  Ini adalah peneliti anti-virus Korea Selatan yang, sayangnya (saya kira itu kata yang tepat), menemukan bahwa trik lama masih berfungsi.

Penjahat menggunakan sistem otomatis untuk menemukan server SSH, dan hanya mencoba masuk dengan salah satu pasangan nama pengguna/kata sandi yang terkenal.

Salah satu yang umum digunakan dalam daftar mereka: nama pengguna nologin dengan kata sandi nologin. [TAWA]

Seperti yang dapat Anda bayangkan, begitu para penjahat menemukan jalan masuk…

… mungkin melalui server yang telah Anda lupakan, atau yang tidak Anda sadari bahwa Anda menjalankannya sejak awal karena mereka secara ajaib memulai pada beberapa perangkat yang Anda beli, atau bahwa mereka datang sebagai bagian dari penginstalan perangkat lunak lain dan dikonfigurasi dengan lemah.

Begitu mereka masuk, mereka melakukan berbagai hal, penjahat khusus ini: serangan yang dapat diotomatisasi.

Mereka menanamkan zombie DDoS-untuk-sewa, yang merupakan perangkat lunak yang nantinya dapat mereka picu untuk menggunakan komputer Anda untuk menyerang orang lain, sehingga Anda terlihat seperti Orang Jahat.

Mereka juga menyuntikkan (dapatkah Anda percaya!) kode cryptomining untuk menambang koin Monero.

Dan terakhir, hanya karena mereka bisa, mereka secara rutin memasukkan malware zombi yang disebut ShellBot, yang pada dasarnya berarti bahwa mereka dapat kembali lagi nanti dan menginstruksikan perangkat yang terinfeksi untuk memutakhirkan dirinya untuk menjalankan beberapa malware baru.

Atau mereka dapat menjual akses ke orang lain; mereka pada dasarnya dapat menyesuaikan serangan mereka seperti yang mereka inginkan.

ANJING.  Baiklah, kami punya beberapa saran di artikel, dimulai dengan: Jangan izinkan login SSH hanya dengan kata sandi, dan sering tinjau kunci publik yang diandalkan server SSH Anda untuk login otomatis.

BEBEK.  Memang.

Saya pikir, jika Anda bertanya kepada banyak sysadmin akhir-akhir ini, mereka akan berkata, “Oh, tidak, kata sandi hanya untuk login di SSH? Kami sudah bertahun-tahun tidak mengizinkan itu.”

Tapi apakah Anda yakin?

Mungkin Anda memaksa semua pengguna resmi Anda untuk hanya menggunakan login kunci publik/pribadi, atau menggunakan kata sandi-plus-2FA.

Tetapi bagaimana jika, di masa lalu, beberapa penjahat sebelumnya dapat mengutak-atik konfigurasi Anda sehingga login hanya dengan kata sandi diperbolehkan?

Bagaimana jika Anda menginstal produk yang menyertakan server SSH jika Anda tidak memilikinya, dan mengaturnya dengan konfigurasi yang lemah, dengan asumsi bahwa Anda akan masuk dan mengkonfigurasinya dengan benar setelahnya?

Ingatlah bahwa jika penjahat masuk sekali, terutama melalui lubang SSH, seringkali apa yang akan mereka lakukan (terutama penjahat cryptomining) adalah mereka akan menambahkan kunci publik mereka sendiri ke daftar kunci publik resmi Anda yang dapat masuk .

Terkadang mereka juga akan berkata, "Oh, kami tidak ingin dipusingkan, jadi kami akan mengaktifkan login root," yang tidak diizinkan oleh kebanyakan orang.

Kemudian mereka tidak memerlukan kata sandi Anda yang lemah lagi, karena mereka memiliki akun mereka sendiri yang memiliki kunci pribadinya, di mana mereka dapat masuk dan melakukan hal-hal root segera.

ANJING.  Dan, tentu saja, Anda juga bisa menggunakannya Alat XDR (deteksi dan respons yang diperluas) untuk meninjau aktivitas yang tidak Anda harapkan, seperti lonjakan lalu lintas yang tinggi dan hal-hal semacam itu.

BEBEK.  Iya nih!

Mencari semburan lalu lintas keluar sangat berguna, karena Anda tidak hanya dapat mendeteksi potensi penyalahgunaan jaringan Anda untuk melakukan DDoS, Anda mungkin juga menangkap penjahat ransomware mengeksploitasi data Anda untuk mengacak semuanya.

Kau tak pernah tahu!

Jadi, menjaga mata Anda sangat berharga.

Dan tentu saja, pemindaian malware (sesuai permintaan dan akses) dapat banyak membantu Anda.

Ya, bahkan di server Linux!

Namun jika memang menemukan malware, jangan dihapus begitu saja.

Jika salah satunya ada di komputer Anda, Anda harus bertanya pada diri sendiri, “Bagaimana bisa ada di sana? Aku benar-benar perlu mencari tahu.”

Di situlah perburuan ancaman menjadi sangat penting.

ANJING.  Hati-hati di luar sana, teman-teman.

Mari kita bicara tentang Peretasan Twitter Hebat tahun 2020 yang akhirnya diselesaikan dengan, antara lain, a hukuman penjara lima tahun bagi pelaku.

Peretas Inggris yang ditangkap di Spanyol mendapat 5 tahun karena peretasan Twitter dan banyak lagi

BEBEK.  Saya melihat banyak liputan tentang ini di media: "Twitter Celeb Hacker Mendapat Lima Tahun", hal semacam itu.

Tapi tajuk utama yang kami miliki tentang Keamanan Telanjang mengatakan: Peretas Inggris yang ditangkap di Spanyol mendapat lima tahun karena peretasan Twitter dan banyak lagi.

Hal utama yang saya coba masukkan ke dalam dua baris judul di sana, Doug, adalah sebagai berikut.

Pertama, orang ini tidak berada di AS, seperti pelaku lainnya, saat dia melakukan peretasan Twitter, dan dia akhirnya ditangkap saat bepergian ke Spanyol.

Jadi ada banyak perlengkapan internasional di sini.

Dan itu, sebenarnya, kesepakatan besar yang membuat dia dihukum…

… meskipun mereka termasuk peretasan Twitter (yang memengaruhi Elon Musk, Bill Gates, Warren Buffett, Apple Computer, di mana mereka digunakan untuk mempromosikan penipuan cryptocurrency), itu adalah bagian kecil dari tindakan kejahatan dunia maya.

Dan Departemen Kehakiman ingin Anda mengetahuinya.

ANJING.  Dan "lebih banyak" itu.

pertukaran SIM; pencurian; mengancam orang; mengobrak-abrik rumah orang.

Hal buruk!

BEBEK.  Ya, ada pertukaran SIM…

… Rupanya dia menghasilkan Bitcoin senilai $794,000 dari ini, dengan bertukar SIM tiga eksekutif di perusahaan cryptocurrency, dan menggunakannya untuk mengakses dompet perusahaan dan menghabiskan hampir $800,000.

Seperti yang Anda katakan, dia mengambil alih akun TikTok dan pada dasarnya memeras orang-orang dengan mengatakan, "Saya akan membocorkan ..." yah, Departemen Kehakiman baru saja mengacu padanya sebagai "materi sensitif yang dicuri".

Anda dapat menggunakan imajinasi Anda untuk apa yang mungkin termasuk di dalamnya.

Dia memiliki persona online palsu ini, dan dia meretas beberapa selebritis yang sudah online dan kemudian memberi tahu mereka, “Aku punya semua barangmu; Saya akan mulai membocorkannya kecuali Anda mulai mempromosikan saya sehingga saya bisa menjadi sepopuler Anda.”

Hal terakhir yang membuatnya dihukum adalah hal-hal yang terdengar sangat jahat.

Menguntit dan mengancam anak di bawah umur dengan menampar mereka.

Sebagai Departemen Kehakiman menjelaskan itu:

Serangan swatting terjadi ketika seseorang melakukan panggilan darurat palsu ke otoritas publik untuk menyebabkan respons penegakan hukum yang dapat membahayakan korban atau orang lain.

Dan ketika itu tidak berhasil (dan ingat, korban ini masih di bawah umur), mereka memanggil anggota keluarga lainnya dan mengancam akan membunuh mereka.

Saya pikir Departemen Kehakiman ingin memperjelas bahwa meskipun celeb Twitter hack ada di antara semua ini (di mana mereka menipu karyawan Twitter agar membiarkan mereka mendapatkan akses ke sistem internal), hampir seolah-olah itu adalah bagian kecil dari ini. kejahatan.

Orang tersebut berakhir dengan lima tahun (tidak mungkin lebih, yang mungkin mereka dapatkan jika mereka memutuskan untuk diadili – mereka mengaku bersalah), dan tiga tahun pembebasan yang diawasi, dan mereka harus kehilangan $794,012.64.

Meskipun tidak disebutkan apa yang terjadi jika mereka berkata, "Maaf, saya tidak punya uang lagi."

ANJING.  Kita akan mengetahuinya cepat atau lambat.

Mari akhiri pertunjukan dengan nada yang sedikit lebih ringan.

Menanyakan pikiran ingin tahu, Paul, "Haruskah kita mematikan ponsel saat menyikat gigi?"

PM Australia mengatakan, “Matikan ponsel Anda setiap 24 jam selama 5 menit” – tetapi itu saja tidak cukup

BEBEK.  Oh, saya ingin tahu cerita mana yang Anda maksud, Doug? [TAWA]

Jika Anda belum melihatnya, ini adalah salah satu cerita paling populer tahun ini di Naked Security.

Judulnya mengatakan Perdana Menteri Australia berkata, “Matikan ponsel Anda setiap 24 jam selama 5 menit.”

Agaknya, seseorang di tim keamanan dunia maya pemerintah telah menunjukkan bahwa jika Anda memiliki spyware di ponsel Anda (ini mengikuti cerita Apple, benar, di mana mereka memperbaiki zero-day yang ditemukan oleh Kaspersky, jadi spyware ada di benak semua orang)…

…*jika* Anda memiliki spyware yang tidak bertahan dari reboot karena tidak memiliki apa yang disebut jargon "ketekunan" (jika itu adalah ancaman sementara karena hanya dapat menyuntikkan dirinya ke dalam memori hingga proses saat ini berakhir), lalu kapan Anda me-reboot ponsel Anda, Anda menyingkirkan spyware.

Saya kira ini sepertinya ide yang tidak berbahaya, tetapi masalahnya adalah spyware paling serius saat ini * akan * menjadi "ancaman terus-menerus".

Jadi menurut saya masalah sebenarnya dengan saran ini bukanlah membuat Anda menyikat gigi lebih lama dari yang disarankan, karena jelas, jika Anda menyikat terlalu banyak, Anda dapat merusak gusi Anda…

…Masalahnya adalah hal itu menyiratkan bahwa ada hal ajaib yang harus Anda lakukan, dan jika Anda melakukannya, Anda membantu semua orang.

ANJING.  Semoga beruntung, kami memiliki daftar panjang hal-hal yang dapat Anda lakukan selain hanya mematikan telepon Anda selama lima menit.

Mari kita mulai dengan: Singkirkan aplikasi yang tidak Anda perlukan.

BEBEK.  Mengapa ada aplikasi yang mungkin menyimpan data di ponsel Anda yang tidak Anda perlukan?

Cukup hapus aplikasi jika Anda tidak menggunakannya, dan hapus semua data yang menyertainya.

Lebih sedikit lebih banyak, Douglas.

ANJING.  Sangat baik.

Kami juga punya: Secara eksplisit keluar dari aplikasi saat Anda tidak menggunakannya.

BEBEK.  Ya.

Nasihat yang sangat tidak populer ketika kami memberikannya [TERTAWA]…

… karena orang berkata, "Oh, maksud Anda, di ponsel saya, saya tidak hanya dapat menekan ikon Zoom dan saya akan langsung menelepon?"

Tidak ada jumlah reboot ponsel Anda yang akan membuat Anda keluar dari aplikasi yang telah Anda masuki.

Jadi Anda dapat mem-boot ulang ponsel Anda, yang mungkin membuang beberapa spyware yang mungkin tidak akan pernah Anda dapatkan, tetapi itu tidak akan mengeluarkan Anda dari Facebook, Twitter, TikTok, Instagram, dll.

ANJING.  Baiklah, dan kami punya: Pelajari cara mengelola pengaturan privasi semua aplikasi dan layanan yang Anda gunakan.

Itu bagus.

BEBEK.  Saya berterima kasih karena mengatakan itu bagus, dan saya sangat bangga ketika saya menulisnya sendiri…

…tetapi kemudian saya merasa tenggelam, ketika saya datang untuk menjelaskannya, bahwa saya tidak akan dapat melakukannya kecuali saya menulis serangkaian 27 sub-artikel. [TAWA]

ANJING.  Mungkin harus mencarinya…

BEBEK.  Mungkin luangkan waktu untuk masuk ke aplikasi favorit Anda, masuk ke pengaturan, lihat apa yang tersedia.

Anda mungkin terkejut dengan beberapa hal yang dapat Anda kunci yang tidak Anda sadari.

Dan masuk ke aplikasi Pengaturan ponsel itu sendiri, apakah Anda menjalankan iOS atau Android, dan gali semua hal yang dapat Anda lakukan, sehingga Anda dapat mempelajari cara mematikan hal-hal seperti Pengaturan Lokasi, cara meninjau aplikasi mana yang memiliki akses ke foto Anda, dan sebagainya.

ANJING.  OK.

Dan yang satu ini mungkin diabaikan oleh banyak orang, tetapi: Matikan sebanyak mungkin di layar kunci.

BEBEK.  Rekomendasi saya adalah cobalah untuk tidak memiliki apa pun di layar kunci Anda kecuali apa yang memaksa ponsel Anda untuk memilikinya.

ANJING.  Baiklah, dan dengan catatan serupa: Tetapkan kode kunci terpanjang dan waktu kunci tersingkat yang dapat Anda toleransi.

BEBEK.  Ya.

Itu tidak perlu banyak penjelasan, bukan?

Sekali lagi, itu bukan saran populer. [TAWA]

ANJING.  Sedikit ketidaknyamanan berjalan jauh!

BEBEK.  Ya, saya pikir itu cara yang baik untuk menjelaskannya.

ANJING.  Lalu: Tetapkan kode PIN pada kartu SIM Anda jika Anda memilikinya.

BEBEK.  Ya, banyak ponsel dan operator seluler masih menyediakan kartu SIM.

Sekarang, di masa mendatang, ponsel mungkin tidak memiliki slot SIM; itu semua akan dilakukan secara elektronik.

Namun saat ini, tentu saja jika Anda melakukan pembayaran sambil jalan, Anda membeli kartu SIM kecil (ini adalah chip yang aman), dan Anda menghubungkannya ke slot kecil di bagian samping ponsel Anda. dan kamu tidak memikirkannya lagi.

Dan Anda membayangkan bahwa ketika Anda mengunci ponsel, entah bagaimana Anda telah mengunci SIM secara ajaib.

Tetapi masalahnya adalah jika Anda mematikan ponsel, mengeluarkan SIM, menyambungkannya ke perangkat baru, dan tidak ada kode kunci pada kartu SIM itu sendiri, *maka SIM akan mulai berfungsi*.

Penjahat yang mencuri ponsel Anda seharusnya tidak dapat membuka kunci ponsel Anda dan menggunakannya untuk melakukan panggilan atau mendapatkan kode 2FA Anda.

Tetapi mengunci kartu SIM Anda juga berarti bahwa jika mereka mengeluarkan kartu SIM, mereka tidak dapat secara ajaib memperoleh nomor Anda, atau secara harfiah melakukan "penukaran SIM", hanya dengan memasukkannya ke perangkat lain.

Banyak orang bahkan tidak menyadari bahwa Anda dapat atau harus menyetel kode kunci pada kartu SIM perangkat keras, tetapi ingat bahwa kartu tersebut dapat dilepas dengan desain *tepat sehingga Anda dapat menukarnya*.

ANJING.  Dan kemudian kami memiliki tip yang berbunyi: Pelajari cara menghapus riwayat browser Anda dan melakukannya sesering mungkin.

Ini memicu komentar, komentar kami minggu ini, dari Jim, yang menanyakan apakah Anda dapat mengklarifikasi perbedaan antara membersihkan *history* browser dan membersihkan *cookies* browser

Menghapus cookie akan menghapus data pelacakan, sesi login, dll.

Menghapus riwayat menghapus daftar tempat yang pernah Anda kunjungi, yang merusak pelengkapan otomatis alamat, yang meningkatkan kemungkinan salah ketik alamat, yang menyebabkan situs malware salah ketik.

Tidak ideal

BEBEK.  Saya punya dua tanggapan untuk komentar itu.

Salah satunya adalah, “Oh, sayang. Saya tidak menulisnya dengan cukup jelas.”

Jadi saya kembali dan mengubah tip untuk mengatakan: Pelajari cara menghapus riwayat browser, cookie, dan data situs Anda, dan sering-seringlah melakukannya.

Dalam hal itu, itu adalah komentar yang sangat bagus.

Bagian yang saya tidak setuju dengan Jim adalah gagasan bahwa menghapus riwayat peramban membuat Anda berisiko lebih besar mengalami kesalahan ketik.

Dan saya pikir apa yang dia katakan adalah bahwa jika Anda telah mengetikkan URL dengan benar, dan itu ada di riwayat Anda, dan Anda ingin kembali ke URL itu nanti dengan, katakanlah, mengklik tombol kembali…

… Anda akan kembali ke tempat yang Anda inginkan.

Tetapi jika Anda membuat orang tersebut mengetik URL berulang kali, pada akhirnya mereka akan mengetik kata yang salah, dan mereka akan salah ketik.

Sekarang, sementara itu benar secara teknis, jika Anda ingin situs yang Anda kunjungi secara teratur memiliki URL tetap yang Anda buka langsung dari menu, rekomendasi saya adalah menggunakan bookmark.

Jangan mengandalkan riwayat browser atau pelengkapan otomatis browser Anda.

Karena, menurut pendapat saya, itu sebenarnya membuat Anda lebih mungkin menambah kesalahan yang Anda buat sebelumnya, daripada Anda tidak akan mendapatkan situs yang salah di masa mendatang.

Anda juga memiliki masalah, dengan daftar riwayat browser Anda, yang dapat memberikan banyak sekali informasi tentang apa yang telah Anda lakukan akhir-akhir ini.

Dan jika Anda tidak menghapus daftar riwayat itu secara teratur, "akhir-akhir ini" mungkin bukan hanya berjam-jam; bisa berhari-hari atau bahkan berminggu-minggu.

Jadi mengapa tetap tergeletak di sekitar tempat penjahat mungkin terjadi secara tidak sengaja?

ANJING.  Baiklah, bagus.

Terima kasih banyak, Jim, telah mengirimkan komentar itu.

Jika Anda memiliki cerita, komentar, atau pertanyaan menarik yang ingin Anda sampaikan, kami ingin membacanya di podcast.

Anda dapat mengirim email ke tips@sophos.com, Anda dapat mengomentari salah satu artikel kami, atau Anda dapat menghubungi kami di sosial: @nakedsecurity.

Itu acara kami untuk hari ini; terima kasih banyak untuk mendengarkan.

Untuk Paul Ducklin, saya Doug Aamoth, mengingatkan Anda: Sampai lain kali…

KEDUA.  Tetap aman!

[MODEM MUSIK]