Geen audiospeler hieronder? Luisteren direct op Soundcloud.

DOUG.  Apple-noodpatches, gerechtigheid voor de Twitter-hack van 2020 en "Schakel je telefoons uit, alsjeblieft!"

Dat alles, en meer, op de Naked Security-podcast.

[MUZIEK MODEM]

Welkom bij de podcast, allemaal.

Ik ben Doug Aamoth; hij is Paul Ducklin.

Paulus, hoe gaat het met je?

EEND.  Het gaat heel goed met me, Douglas.

En voor alle duidelijkheid, als we het hebben over "je telefoon uitzetten", dan is dat niet alleen wanneer je in de Stille Koets in de trein reist...

… al zou dat zeker leuk zijn. [GELACH]

DOUG.  Dat zou!

Wel, blijf hier voor meer informatie.

Maar eerst beginnen we met onze Deze week in de technische geschiedenis segment.

Paul, moet ik voor de transistor gaan, wat onze voor de hand liggende keuze is deze week, of voor een licht tegenculturele keuze gaan?

Wat zeg je?

EEND.  Ik weet niet wat je voorstelt voor het tegenculturele ding, maar laat me dit proberen ...

…Ik bespioneer, met mijn kleine oog, iets dat begint met "A"?

DOUG.  Correct!

Deze week, op 27 juni 1972, werd het baanbrekende videogamebedrijf Atari opgericht door Nolan Bushnell en Ted Dabney.

Leuk weetje: voordat Atari "Atari" heette, heette het "Syzygy".

Mede-oprichter van Atari, Nolan Bushnell, overwoog echter verschillende termen uit het spel Go en koos uiteindelijk voor Atari, verwijzend naar een positie in het spel wanneer een groep stenen dreigt te worden ingenomen.

EEND.  Daar is een jonge Steve Jobs begonnen, nietwaar?

DOUG.  Precies goed!

EEND.  En hij riep zijn vriend Woz [Steve Wozniak] op om de opvolger voor PONG te ontwerpen, maar je had maar één speler nodig.

Namelijk Uitbraak.

DOUG.  Geweldig spel!

Toch houdt het tot op de dag van vandaag stand, kan ik je uit de eerste hand vertellen.

EEND.  Dat doet het zeker!

DOUG.  Laten we bij Apple blijven en onze verhalen beginnen.

Dit is een noodpatch voor stille, gevaarlijke iPhone-malware.

Wat is hier aan de hand, Paul?

Apple-patch repareert zero-day kernelgat gemeld door Kaspersky – update nu!

EEND.  Dit is de Triangulation Trojan die begin juni 2023 werd aangekondigd door het Russische antimalwarebedrijf Kaspersky.

Ze beweerden dat ze dit ding niet hadden gevonden omdat ze een dreigingsanalyse voor een klant aan het doen waren, maar omdat ze iets raars hadden gevonden op de telefoons van hun eigen leidinggevenden.

Ze gingen kijken en: "Oh, golly, hier zijn wat 0-dagen."

En dat was het grote verhaal van begin juni 2023.

Apple heeft een dubbele patch uitgegeven.

Zoals vaak lijkt te gebeuren wanneer deze noodpatches uitkomen, was er een WebKit-bug, eigenlijk van de soort "er zijn rapporten dat dit werd misbruikt" (het is een 0-day!), en een code-uitvoeringsgat op kernelniveau.

Dat was degene die werd gevonden door onderzoekers van Kaspersky.

En, zoals we al vaker hebben gezegd, worden deze twee soorten misbruik vaak gecombineerd bij iPhone-aanvallen.

Omdat de WebKit-exploit de boeven binnenhaalt, hoewel het hen beperkte macht geeft, en vervolgens het gat op kernelniveau dat ze misbruiken met de code die ze in de browser hebben geïnjecteerd, de volledige overname geeft.

En daarom kunt u in wezen malware implanteren die niet alleen alles bespioneert, maar ook herstarts overleeft, enz.

Dat riekt zeker naar "spyware", "volledige telefoonovername", "volslagen jailbreak"...

Controleer dus of je de nieuwste updates hebt, want hoewel bekend is dat deze bugs alleen op iPhones zijn uitgebuit, bestaan ​​de feitelijke kwetsbaarheden vrijwel op elk Apple-apparaat, met name inclusief Macs met macOS (alle ondersteunde versies).

DOUG.  OK, Instellingen > Algemeen > software bijwerken om te zien of je de patch al hebt ontvangen.

Zo niet, patchen!

Laten we nu verder gaan met de... [LACHT]

…het is jammer dat dit nog steeds een ding is, maar slechts het laaghangende fruit van cybercriminaliteit.

Op jouw manier raden naar Linux-servers.

Pas op voor slechte wachtwoorden, aangezien aanvallers Linux-servers coöpteren voor cybercriminaliteit

EEND.  Dit waren Zuid-Koreaanse antivirusonderzoekers die helaas (ik denk dat dat het juiste woord is) ontdekten dat de oude trucs nog steeds werken.

Oplichters gebruiken geautomatiseerde systemen om SSH-servers te vinden en proberen gewoon in te loggen met een van de bekende combinaties van gebruikersnaam en wachtwoord.

Een van de meest gebruikte op hun lijst: de gebruikersnaam nologin met het wachtwoord nologin. [GELACH]

Zoals je je kunt voorstellen, toen de boeven hun weg naar binnen hadden gevonden...

…vermoedelijk via servers die je ofwel vergeten was, of waarvan je je niet realiseerde dat je ze draaide omdat ze gewoon op magische wijze opstartten op een apparaat dat je kocht, of dat ze kwamen als onderdeel van een andere software-installatie en werden zwak geconfigureerd.

Als ze eenmaal binnen zijn, doen ze een mix van dingen, deze specifieke boeven: aanvallen die kunnen worden geautomatiseerd.

Ze implanteren DDoS-te-huur-zombies, wat software is die ze later kunnen activeren om je computer te gebruiken om iemand anders aan te vallen, zodat je eruitziet als een slechterik.

Ze injecteren ook (kan je het geloven!) cryptomining-code om te minen voor Monero-munten.

En ten slotte, gewoon omdat ze dat kunnen, voegen ze routinematig zombie-malware genaamd ShellBot in, wat in feite betekent dat ze later kunnen terugkomen en het geïnfecteerde apparaat kunnen instrueren zichzelf te upgraden om nieuwe malware uit te voeren.

Of ze kunnen toegang doorverkopen aan iemand anders; ze kunnen hun aanval in principe aanpassen zoals ze willen.

DOUG.  Oké, we hebben wat advies in het artikel, te beginnen met: Sta SSH-aanmeldingen met alleen een wachtwoord niet toe en controleer regelmatig de openbare sleutels waarop uw SSH-server vertrouwt voor automatische aanmeldingen.

EEND.  Inderdaad.

Ik denk dat als je het tegenwoordig aan veel systeembeheerders zou vragen, ze zouden zeggen: “Oh nee, alleen inloggen met een wachtwoord op SSH? Die laten we al jaren niet meer toe.”

Maar weet je het zeker?

Het kan zijn dat u al uw eigen officiële gebruikers dwingt om alleen met een openbare/private sleutel in te loggen, of om wachtwoord-plus-2FA te gebruiken.

Maar wat als, op een bepaald moment in het verleden, een eerdere boef in staat was om met uw configuratie te knoeien, zodat inloggen met alleen een wachtwoord is toegestaan?

Wat als u een product installeerde dat een SSH-server met zich meebracht voor het geval u er geen had, en het zwak geconfigureerd instelde, ervan uitgaande dat u naar binnen zou gaan en het daarna correct zou configureren?

Onthoud dat als boeven eenmaal binnenkomen, vooral via een SSH-gat, ze vaak zullen doen (met name de cryptomining-boeven) dat ze een eigen openbare sleutel toevoegen aan uw lijst met geautoriseerde openbare sleutels die kunnen inloggen .

Soms zeggen ze ook: "Oh, we willen niet rotzooien, dus we zullen root-logins inschakelen", wat de meeste mensen niet toestaan.

Dan hebben ze jouw zwakke wachtwoorden niet meer nodig, want ze hebben een eigen account waar ze de private sleutel voor hebben, waar ze kunnen inloggen en meteen root-dingen kunnen doen.

DOUG.  En je kunt natuurlijk ook gebruiken XDR-tools (uitgebreide detectie en reactie) om te controleren op activiteit die u niet zou verwachten, zoals hoge pieken in het verkeer en dat soort dingen.

EEND.  Ja!

Het is erg handig om te zoeken naar uitbarstingen van uitgaand verkeer, omdat je niet alleen potentieel misbruik van je netwerk kunt detecteren om DDoS uit te voeren, je kunt ook ransomware-criminelen betrappen die je gegevens exfiltreren in de aanloop naar het versleutelen van alles.

Je weet maar nooit!

Het is dus de moeite waard om je ogen uit te kijken.

En natuurlijk kan malwarescanning (zowel on-demand als on-access) je enorm helpen.

Ja, zelfs op Linux-servers!

Maar als u malware aantreft, verwijder deze dan niet zomaar.

Als een van die dingen op je computer staat, moet je jezelf afvragen: 'Hoe is het daar terechtgekomen? Ik moet het echt uitzoeken."

Dat is waar het jagen op bedreigingen erg belangrijk wordt.

DOUG.  Voorzichtig daarbuiten, mensen.

Laten we het hebben over de Grote Twitter-hack van 2020 die eindelijk is opgelost met onder andere een gevangenisstraf van vijf jaar voor de dader.

Britse hacker die in Spanje is opgepakt, krijgt 5 jaar voor Twitter-hack en meer

EEND.  Ik zag hier veel berichtgeving over in de media: "Twitter Celeb Hacker krijgt vijf jaar", dat soort dingen.

Maar de kop die we hadden op Naked Security zegt: Britse hacker die in Spanje is opgepakt, krijgt vijf jaar wegens Twitter-hack en meer

De belangrijkste dingen die ik in twee regels van de kop probeer te krijgen, Doug, zijn als volgt.

Ten eerste dat deze persoon niet in de VS was, zoals de andere daders, toen hij de Twitter-hack deed, en dat hij uiteindelijk werd gearresteerd toen hij naar Spanje reisde.

Er gaan hier dus veel internationale versnellingen.

En dat, eigenlijk, de grote deals waarvoor hij werd veroordeeld...

... hoewel ze de Twitter-hack bevatten (degene die Elon Musk, Bill Gates, Warren Buffett, Apple Computer trof, waar ze werden gebruikt om een ​​cryptocurrency-zwendel te promoten), was dat een klein deel van zijn cybercriminaliteit.

En het ministerie van Justitie wilde dat u dat wist.

DOUG.  En "veel meer" was het.

SIM-uitwisseling; stelen; mensen bedreigen; huizen van mensen slaan.

Slecht spul!

EEND.  Ja, er was een sim-swap...

… blijkbaar verdiende hij hiermee $ 794,000 aan Bitcoins, door drie leidinggevenden bij een cryptocurrency-bedrijf van simkaart te wisselen, en dat te gebruiken om toegang te krijgen tot zakelijke portefeuilles en ze van bijna $ 800,000 te ontdoen.

Zoals je zegt, hij nam TikTok-accounts over en chanteerde vervolgens de mensen door te zeggen: "Ik zal lekken ..." nou, het ministerie van Justitie heeft zojuist verwijst ernaar als "gestolen gevoelige materialen."

U kunt uw fantasie gebruiken voor wat dat waarschijnlijk inhoudt.

Hij had een nep online personage en hij hackte een paar celebs die al online waren en zei tegen hen: 'Ik heb al je spullen; Ik begin het te lekken, tenzij je me gaat promoten, zodat ik net zo populair kan worden als jij.'

De laatste dingen waarvoor hij werd veroordeeld, waren de echt kwaadaardig klinkende.

Een minderjarige stalken en bedreigen door ze te meppen.

Als het ministerie van Justitie beschrijft het:

Een mepaanval vindt plaats wanneer een persoon valse noodoproepen doet naar een overheidsinstantie om een ​​reactie van de wetshandhaving te veroorzaken die het slachtoffer of anderen in gevaar kan brengen.

En toen dat niet lukte (en onthoud, dit slachtoffer is minderjarig), belden ze andere familieleden op en dreigden hen te vermoorden.

Ik denk dat het ministerie van Justitie duidelijk wilde maken dat, hoewel de Twitter-hack van beroemdheden hier tussenin zat (waarbij ze Twitter-medewerkers misleidden om hen toegang te geven tot interne systemen), het bijna lijkt alsof dat de kleine onderdelen waren van dit misdaad.

De persoon eindigde met vijf jaar (misschien niet meer, wat ze misschien hadden gekregen als ze hadden besloten om voor de rechter te komen - ze pleitten wel schuldig), en drie jaar onder toezicht vrijgelaten, en ze moeten $ 794,012.64 verbeurd verklaren.

Hoewel er niet staat wat er gebeurt als ze gaan: "Sorry, ik heb het geld niet meer."

DOUG.  We zullen het vroeg of laat ontdekken.

Laten we de show op een iets lichtere toon beëindigen.

Onderzoekende geesten wil weten, Paul, "Moeten we onze telefoons uitzetten terwijl we onze tanden poetsen?"

Aussie PM zegt: "Zet je telefoon elke 24 uur gedurende 5 minuten uit" - maar dat is op zich niet genoeg

EEND.  Oh, ik vraag me af op welk verhaal je doelt, Doug? [GELACH]

Voor het geval je het nog niet hebt gezien, het is tot nu toe een van de meest populaire verhalen van het jaar op Naked Security.

De kop zegt De Australische premier zegt: "Zet je telefoon elke 24 uur gedurende 5 minuten uit."

Vermoedelijk had iemand in het cyberbeveiligingsteam van de overheid erop gewezen dat als je toevallig spyware op je telefoon hebt (dit volgde het Apple-verhaal, juist, waar ze de zero-day herstelden die door Kaspersky was gevonden, dus iedereen dacht aan spyware)...

…*als* u spyware hebt die een herstart niet overleeft omdat het niet beschikt over wat het jargon "persistentie" noemt (als het een voorbijgaande dreiging is omdat het zichzelf alleen in het geheugen kan injecteren totdat het huidige proces eindigt), wanneer je start je telefoon opnieuw op, je verwijdert de spyware.

Ik denk dat dit een onschuldig idee leek, maar het probleem is dat de meest serieuze spyware tegenwoordig *zal* een "aanhoudende bedreiging" zijn.

Dus ik denk dat het echte probleem met dit advies niet is dat je hierdoor langer je tanden moet poetsen dan wordt geadviseerd, want als je te veel poetst, kun je natuurlijk je tandvlees beschadigen...

... het probleem is dat het impliceert dat er iets magisch is dat je moet doen, en als je dat doet, help je iedereen.

DOUG.  Gelukkig hebben we een lange lijst met dingen die je kunt doen, behalve je telefoon vijf minuten uitzetten.

Laten we beginnen met: Verwijder apps die je niet nodig hebt.

EEND.  Waarom hebben apps die mogelijk gegevens op uw telefoon hebben opgeslagen die u niet nodig heeft?

Verwijder gewoon apps als u ze niet gebruikt en verwijder alle gegevens die daarbij horen.

Minder is veel meer, Douglas.

DOUG.  Uitstekend.

We hebben ook: Meld u expliciet af bij apps wanneer u ze niet gebruikt.

EEND.  Ja.

Zeer impopulair advies als we het geven [GELACH]...

...omdat mensen zeggen: "Oh, je bedoelt dat ik op mijn telefoon niet gewoon op het zoompictogram kan drukken en meteen in gesprek ga?"

Als u uw telefoon niet opnieuw opstart, wordt u niet uitgelogd bij apps waarbij u ingelogd bent gebleven.

U kunt dus uw telefoon opnieuw opstarten, wat misschien wat spyware weggooit die u waarschijnlijk toch nooit zult krijgen, maar u wordt niet uitgelogd van Facebook, Twitter, TikTok, Instagram, enz.

DOUG.  Oké, en we hebben: Lees hoe u de privacyinstellingen beheert van alle apps en services die u gebruikt.

Dat is een goeie.

EEND.  Ik dank je dat je zegt dat het een goede is, en ik was er erg trots op toen ik het zelf schreef...

... maar toen ik het kwam uitleggen, had ik dat zinkende gevoel dat ik het niet zou kunnen doen tenzij ik een serie van 27 subartikelen schrijf. [GELACH]

DOUG.  Zal waarschijnlijk even moeten zoeken...

EEND.  Neem misschien de tijd om naar uw favoriete apps te gaan, naar de instellingen te gaan en te kijken wat er beschikbaar is.

Je zult aangenaam verrast zijn door sommige dingen die je kunt vergrendelen waarvan je je niet bewust was.

En ga naar de Instellingen-app van de telefoon zelf, of je nu iOS of Android gebruikt, en doorzoek alle dingen die je kunt doen, zodat je kunt leren hoe je zaken als Locatie-instellingen kunt uitschakelen, hoe je kunt zien welke apps toegang tot uw foto's, enzovoort.

DOUG.  OK.

En deze wordt waarschijnlijk door velen over het hoofd gezien, maar: Schakel zoveel mogelijk uit op het vergrendelingsscherm.

EEND.  Mijn aanbeveling is om niets op je vergrendelingsscherm te hebben, behalve wat de telefoon je dwingt te hebben.

DOUG.  Oké, en op een vergelijkbare manier: Stel de langste vergrendelingscode en de kortste vergrendelingstijd in die u kunt tolereren.

EEND.  Ja.

Dat behoeft niet veel uitleg, toch?

Nogmaals, het is geen populair advies. [GELACH]

DOUG.  Met een beetje ongemak kom je een heel eind!

EEND.  Ja, ik denk dat dat de goede manier is om het te zeggen.

DOUG.  En dan: Stel een pincode in op je simkaart als je die hebt.

EEND.  Ja, veel telefoons en mobiele operators bieden nog steeds simkaarten aan.

Nu, in de toekomst, zullen telefoons waarschijnlijk geen SIM-slot hebben; het zal allemaal elektronisch gebeuren.

Maar op dit moment, zeker als je prepaid-dingen doet, koop je een kleine simkaart (het is een veilige chip) en steek je die in een kleine gleuf aan de zijkant van je telefoon. en je denkt er niet meer aan.

En je stelt je voor dat wanneer je je telefoon vergrendelt, je op de een of andere manier de simkaart op magische wijze hebt vergrendeld.

Maar het probleem is dat als u de telefoon uitschakelt, de simkaart uitwerpt, in een nieuw apparaat steekt en er geen blokkeringscode op de simkaart zelf staat, * de simkaart gewoon begint te werken *.

Een boef die je telefoon steelt, zou je telefoon niet moeten kunnen ontgrendelen en gebruiken om te bellen of je 2FA-codes te krijgen.

Maar het vergrendelen van je simkaart betekent ook dat als ze de simkaart eruit halen, ze niet zomaar op magische wijze je nummer kunnen bemachtigen, of letterlijk een "sim-swap" kunnen doen door hem gewoon in een ander apparaat te steken.

Veel mensen realiseren zich niet eens dat u een blokkeringscode op hardware-simkaarten kunt of moet instellen, maar onthoud dat ze door hun ontwerp verwijderbaar zijn *precies zodat u ze kunt verwisselen*.

DOUG.  En toen hadden we een tip die zei: Leer hoe u uw browsergeschiedenis kunt wissen en dit regelmatig kunt doen.

Dit leidde tot een opmerking, onze opmerking van de week, van Jim, die vroeg of je het verschil kon verduidelijken tussen het wissen van een browser *geschiedenis* en het wissen van browser *cookies*:

Door cookies te wissen, worden trackinggegevens, inlogsessies, enz. gewist.

Door de geschiedenis te wissen, wordt de lijst met plaatsen waar u bent geweest gewist, waardoor het automatisch aanvullen van adressen wordt verbroken, wat de kans vergroot dat u een adres verkeerd typt, wat typosquatting-malwaresites in de kaart speelt.

Niet ideaal.

EEND.  Op die opmerking heb ik twee reacties gehad.

De ene was: "Oh, jee. Dat heb ik niet duidelijk genoeg geschreven.”

Dus ging ik terug en veranderde de tip om te zeggen: Leer hoe u uw browsergeschiedenis, cookies en sitegegevens wist, en doe dit regelmatig.

In die zin was het een heel goede opmerking.

Het punt waar ik het niet met Jim eens ben, is het idee dat het wissen van je browsergeschiedenis een groter risico op typosquatting met zich meebrengt.

En ik denk dat wat hij zegt is dat als je een URL correct hebt ingevoerd, en het staat in je geschiedenis, en je wilt later naar die URL teruggaan door bijvoorbeeld op de terugknop te klikken...

…je komt terug waar je wilt zijn.

Maar als u de persoon de URL keer op keer laat typen, typt hij uiteindelijk het verkeerde woord en krijgt hij typosquatt.

Hoewel dat technisch gezien waar is, raad ik je aan om een ​​bladwijzer te gebruiken als je wilt dat een site die je regelmatig bezoekt een vaste URL heeft waar je rechtstreeks vanuit een menu naartoe gaat.

Vertrouw niet op uw browsergeschiedenis of automatische aanvulling van de browser.

Omdat, naar mijn mening, dat de kans groter maakt dat u een fout maakt die u eerder hebt gemaakt, in plaats van dat u in de toekomst niet de verkeerde site krijgt.

Je hebt ook het probleem, met je browsergeschiedenislijst, dat het ontzettend veel informatie kan weggeven over wat je de laatste tijd hebt gedaan.

En als u die geschiedenislijst niet regelmatig wist, is 'de laatste tijd' misschien niet alleen maar uren; het kan dagen of zelfs weken duren.

Dus waarom zou je het laten rondslingeren waar een oplichter er per ongeluk op kan komen?

DOUG.  Oké, geweldig.

Heel erg bedankt, Jim, voor het insturen van die opmerking.

Als je een interessant verhaal, opmerking of vraag hebt die je wilt indienen, lezen we die graag in de podcast.

Je kunt een e-mail sturen naar tips@sophos.com, reageren op een van onze artikelen of je kunt ons bereiken op social: @nakedsecurity.

Dat is onze show voor vandaag; heel erg bedankt voor het luisteren.

Voor Paul Ducklin, ik ben Doug Aamoth, ik herinner je eraan: tot de volgende keer...

BEIDE.  Blijf veilig!

[MUZIEK MODEM]