LUISTER NU
Klik en sleep op de onderstaande geluidsgolven om naar een willekeurig punt te gaan. Je kan ook luister direct op Soundcloud.
Met Doug Aamoth en Paul Ducklin.
Intro en outro muziek door Edith Mudge.
Je kunt naar ons luisteren op Soundcloud, Apple Podcasts, Google Podcasts, Spotify, stikster en overal waar goede podcasts te vinden zijn. Of laat de URL van onze RSS-feed in je favoriete podcatcher.
LEES DE TRANSCRIPT
DOUG. AirTag hacken, Y2K... [VERBAASD] wacht, Y2K?!?!!
En Instagram-zwendel.
Dat alles meer op de Naked Security Podcast.
[MUZIEK MODEM]
Welkom bij de podcast, allemaal.
Ik ben Doug; hij is Paulus.
En Paul, we hebben een geweldige line-up vandaag, en ik vind het heerlijk om de show te beginnen met een Leuk weetje.
En ik weet niet of je een fan bent van de Bard, Bill Shakespeare, maar ik zag een citaat op de Shakespeare Quote of the Day-website...
... zoals je weet, heeft de bard een manier met woorden, en hoewel ik niet helemaal zeker weet van welk stuk deze regel afkomstig is, vond ik het interessant en informatief in deze moeilijke tijden.
Het citaat is als volgt: "Er is een SSL-fout opgetreden en er kan geen beveiligde verbinding met de server worden gemaakt."
Mooi.
EEND. Wow!
Als die in het Globe [Theater] in Londen draait, denk ik dat ik misschien ga!
Daar zit nogal wat geschiedenis in, nietwaar?
Want als je het zou moderniseren, zou je natuurlijk zeggen: "Er is een TLS-fout opgetreden."
DOUG. Ja.
EEND. Het is duidelijk dat in de 16e en 17e eeuw ... het toen nog SSL was.
DOUG. Laten we het hebben over iets nieuws, dan iets ouds, dan iets in het midden.
Dus beginnen we met dit AirTag-verhaal ... Apple AirTags.
Nu, mijn indruk van hoe deze werken is: je koopt dit apparaat van $ 29, dat een Bluetooth Low Energy-signaal erin heeft, en dan waar het ook is, het maakt gebruik van iPhones eromheen om het signaal van deze AirTag terug te sturen naar een centrale server ergens, waar alleen de locatie van AirTags die u bezit, aan u wordt getoond.
Toch zal het de iPhone van iemand anders in de buurt gebruiken.
EEND. Apple noemt het Find My.
Dus je stopt de AirTag in je rugzak ... "Vind mijn rugzak."
En het klinkt als een bewakingsnachtmerrie!
Je hebt al deze apparaten (A) die zichzelf identificeren, (B) erop vertrouwen dat andere mensen weten waar ze zijn, zodat ze naar huis kunnen bellen en ze naar Apple kunnen sturen, en (C) Apple weet waar elke individuele tag zich op elk moment bevindt.
Maar het is eigenlijk veel veiliger dan dat...
...omdat Apple weet waar AirTags zijn, maar niet welke ze zijn, omdat ze een willekeurig gegenereerde code gebruiken die elke 15 minuten verandert.
En aangezien u, de eigenaar van de AirTag, de enige persoon bent die de magische code kent waarmee u het object in de database van Apple kunt opzoeken, betekent dit dat *u* kunt controleren of uw AirTag ergens is opgedoken en is gebeld door iemand.
Maar noch Apple, noch de persoon die met de ID van je AirTag naar huis belde, kan twee en twee samenvoegen.
Het is dus eigenlijk best een slim systeem.
DOUG. OK, dan is er de anti-stalking-functie, die is ...
….iemand steekt *hun* AirTag in *mijn* rugzak.
EEND. Ja, dat is de ondeugende kant ervan, nietwaar?
Zij zijn de enige persoon die die AirTag kan volgen, om privacy- en anonimiteitsredenen, maar als ze die AirTag opzettelijk in je tas stoppen, dan volgen ze in feite *jou*.
DOUG. En mijn iPhone zegt: "Hé, je telefoon blijft de AirTag-locatie van iemand anders doorgeven. Misschien wil je het eens bekijken."
Rechts? Is dat hoe het werkt?
EEND. Vrijwel, Doug.
De gemakkelijkste manier om erover na te denken, is door Apples eigen woorden te gebruiken.
Dit heet Tracker-detector, en het idee is:
Als een AirTag, AirPod of ander Zoek mijn-netwerkaccessoire dat van de eigenaar is gescheiden, in de loop van de tijd met u meebeweegt, ontvangt u een melding.
Dus Apple kan je niet vertellen wie je volgt, omdat er een onschuldige verklaring kan zijn.
Maar het is een goede indicatie dat je misschien je tas wilt doorzoeken om dit elektronische item te vinden dat je daar niet hebt gestopt!
DOUG. En er is nog een ingebouwde beveiliging, nietwaar?
EEND. Ja.
De AirTag weet of hij de laatste tijd zijn eigen geregistreerde 'telefoonmoederschip' niet heeft gebeld, en als hij een tijdje niet in de buurt van je telefoon is geweest, zal hij een hoog, irritant piepgeluid gaan produceren.
En het idee is dat je hierdoor AirTags kunt ontdekken waarvan je je afvraagt: "Waar is dat vrolijke ding in vredesnaam gebleven?"
Zoals die fluit-me-sleutelhangers uit de jaren 1990...
DOUG. [LACH]
EEND. …en dit is best een goed idee.
DOUG. [LACHT] Het is...
EEND. Als je je AirTag bent kwijtgeraakt waar hij je telefoon niet kan zien, maar hij is nog steeds in je huis, maakt hij een geluid en zeg je: "Oh, golly, het is achter in de kachel", en je graaft het uit met een stok.
Maar het betekent ook dat als iemand een AirTag op je plant, deze zichzelf in feite moet weggeven.
DOUG. OK, en het is maar goed dat er twee van die functies zijn voor een beetje redundantie.
Omdat, zoals je in het artikel zegt, mensen AirTags op de zwarte markt verkopen met de luidspreker losgekoppeld.
EEND. Ja, het is een gewone AirTag, maar als het besluit dat het iedereen moet waarschuwen dat het niet is waar het zou moeten zijn, kun je het niet horen.
We weten dus dat de ruis het probleem niet per se oplost, omdat ruis kan worden gedempt door een draadje door te knippen.
Maar de andere vraag is: "Hoe zit het met deze? Tracker-detector functie die u waarschuwt wanneer er malafide of onverwachte AirTags zijn die vaker verschijnen dan u redelijkerwijs zou verwachten?”
DOUG. En zo komen we bij de kern van ons verhaal!
EEND. Inderdaad, Doug!
Dit onderzoek is van Fabian Bräunlein.
Hij dacht: "Ik vraag me af hoe gevoelig Apple's... Tracker-detector is tot wat je 'ruis in het systeem' zou kunnen noemen.”
En dus bouwde hij een nep-AirTag die zich voordeed als 2000 verschillende AirTags tegelijk.
Hij deed zijn uitzendingen slechts om de 30 seconden en hij moest 2000 verschillende apparaatcodereeksen doorlopen.
En hij ontdekte, met een vrijwilliger die ermee instemde om dit te doen, dat hij gedurende een periode van vijf dagen consistente locatieberichten kon genereren die hij natuurlijk kon ontvangen omdat hij wist hoe hij ze moest opzoeken in Apple's privacy-beschermende netwerk…
…maar zonder de . te activeren Tracker-detector waarschuwing.
Omdat het duidelijk is dat geen van zijn pseudo-AirTags ooit vaak genoeg zichtbaar was om de waarschuwing van Apple te laten vallen: "Hé, iemand lijkt je te volgen."
Ik denk niet dat hij verwacht dat Apple met een magische oplossing komt... die is er misschien niet.
Maar het is slechts een belangrijke herinnering dat, soms, wanneer u privacybeschermende cryptografie en anonimiteit in een netwerk inbouwt, het zich ook leent voor vormen van misbruik die vrij moeilijk te traceren zijn, op precies dezelfde manier als we vinden bij technologieën zoals TOR [The Onion Router].
Het is dus een interessante observatie over de strijd tussen privacy en wetshandhaving, als je wilt.
DOUG. Goed, we houden het in de gaten!
Dat wil zeggen: Apple AirTag anti-stalking bescherming omzeild door onderzoekers, op nakedsecurity.sophos.com.
En Paul, we zijn bij aflevering 72 van de podcast sinds ik met je meeging in deze onderneming, en ik had nooit gedacht dat we zoveel over Y2K zouden praten!
Het lijkt alsof we het net over Y2K hadden... waarom praten we er ook alweer over?
EEND. [IRONIC] Nou, het is pas 22 jaar geleden, Doug, en lessen duren soms veel langer om te leren.
De kop in het artikel over Naked Security is een beetje een grap: het is niet echt Y2K- of datumgerelateerd, maar het is *gerelateerd aan "nummerprecisie".
Het blijkt dat, vrijwel toevallig, zowel Firefox als de Chromium-reeks browsers de komende weken of maanden van versie 99 naar versie 100 zullen gaan.
Welnu, dat betekent dat een versienummer, dat wordt verzonden in User-Agent-strings en dat wordt geparseerd, herkend en gebruikt voor wie weet welke doeleinden door webservers over de hele wereld...
…het betekent dat een tweecijferig nummer plotseling een driecijferig nummer wordt.
En *zeker*, Doug, *zeker* zullen geen webservers struikelen over het feit dat 99 wordt gevolgd door 100?
Ik bedoel, hoe moeilijk kan dat zijn?
DOUG. Wat zou er mis kunnen gaan?
EEND. Maar het blijkt dat een weliswaar klein, maar desalniettemin zorgwekkend niet-nul, aantal webservers *wel* hier een probleem mee heeft!
Zoals deze... ik wil ze niet pesten; Ik deed dit gewoon omdat ze al op de officiële lijst staan die Mozilla-programmeurs 'voor het geval' in een lijst met bekende uitzonderingen inbouwen.
Dit was daimler.com.
Ik ging daarheen met de ontwikkelaarsversie van Edge, die al op versie 100 is omdat het twee versies voorloopt op de reguliere.
En, Doug, daimler.com vertelde me: "Uw browser is een klassieker", met een schattige foto van een oude, klassieke Merc-Benz uit de jaren 1980.
Het had geen kleine afbeelding van een Lynx-browser die actief was, wat indruk op me zou hebben gemaakt….
DOUG. [LACH]
EEND. ... en toch toen ik de reguliere versie van Edge bezocht, die nog steeds op versie 98 is, ging het, "Hallo bezoeker", alsof er niets mis was.
En het deed me stoppen om na te denken ... [SQUEAKY STEM] serieus!?!
Verstikking omdat een nummer wordt overgedragen van 99 naar 100? Anno 2022? Gezien wat we geleerd hebben in het jaar 1999?
Maar verrassingen houden nooit op, Doug.
DOUG. Dus één theorie is dat het het versienummer neemt en, omdat het maar twee cijfers aankan, het ofwel het eerste cijfer of het laatste cijfer afkapt.
Dus het is nul-nul of tien, en het denkt dat je een browser gebruikt van tientallen jaren geleden
EEND.Is het ongeveer tien of twaalf jaar geleden dat Firefox naar versie 10 ging? Ik ben het vergeten... maar best lang!
Dit is dus een van die raadselachtige bugs: het had niet mogen gebeuren.
DOUG. Oké, we hebben wat advies voor zowel webgebruikers als webprogrammeurs.
En mijn favoriet is natuurlijk het advies dat je aan webprogrammeurs geeft, namelijk [GELACHT]... daar komen we op terug.
Maar als u een gebruiker bent?
EEND. Je hoeft eigenlijk niets te doen; dat is het goede deel.
En er is niet veel dat je kunt doen.
Maar als, wanneer uw browser naar versie 100 komt, er enkele sites zijn die u absoluut moet bezoeken en plotseling kunt u dat niet, en hij zegt: "Uw browser is te oud", dan is dit iets dat u misschien wilt onderzoeken.
En er zijn enkele tijdelijke oplossingen waar zowel Mozilla als de Chromium-crews naar kijken.
Dus wees je hiervan bewust... dat is alles wat ik zeg.
DOUG. OK.
En als je een webprogrammeur bent, zeg je: "Waarom..." [MOMMELT, LACHT]; "waarom heb je..."; eigenlijk: "Zoek een nieuwe baan."
EEND. [AGHAST] Dat heb ik niet gezegd, Doug!
DOUG. [VERZOEKSTER] Ik weet het, ik weet het...
EEND. [PAUZE] Ik dacht het... maar ik zei het niet.
DOUG. [LACH]
EEND. Wat kan je zeggen?
Ik schreef net: "Als je een webprogrammeur bent, zou dit geen probleem moeten zijn."
Als je gaat zitten, en je kijkt in de spiegel, en je denkt: "Weet je wat, een deel van mijn code... misschien heb ik daar te veel hard-gecodeerde veronderstellingen gemaakt"...
... dan moet je je programmeerpraktijken heroverwegen.
Stel je voor dat dit met je webserver gebeurt.
Wat voor indruk geeft het over uw aandacht voor detail?
Ik denk dat de gemiddelde gebruiker die een beetje over cyberbeveiliging nadenkt, zal gaan: “Weet je wat? Als ze het verschil tussen 99 en 100 niet kunnen zien, hoe goed zullen ze dan zijn in het verwerken van 16-cijferige creditcardnummers?”
DOUG. Of mijn gebruikersnaam?
Of mijn wachtwoord?
Of mijn burgerservicenummer?
EEND. Precies!
Het ziet er dus niet goed uit als je dit probleem hebt.
Ik kan betere manieren bedenken om te adverteren hoe sterk uw bedrijf cyberbeveiliging als een waarde beschouwt!
DOUG. Oke: Hebben we niets geleerd van Y2K? Waarom zitten sommige programmeurs nog steeds vast aan tweecijferige nummers?, op nakedsecurity.sophos.com.
Het is tijd voor onze Deze week in de technische geschiedenis, segment, en deze week, op 02 maart 1969, maakte het supersonische passagiersvliegtuig Concorde zijn eerste vlucht, voordat het uiteindelijk de commerciële dienst op gang bracht in 1976.
Het vliegtuig kon de Atlantische Oceaan oversteken in ongeveer de helft van de tijd van een normale vlucht, en dat alles voor het schamele bedrag van ongeveer $ 13,000 in het huidige geld voor een retourticket.
De Concorde werkte tot 2003, maar werd uiteindelijk met pensioen gegaan vanwege de lage vraag en waargenomen gevaar, na een ongelukkige crash in juli 2000.
En Paul, je hebt een aantal geweldige Concorde-verhalen, hoewel je er niet op hebt gereden….
EEND. [WISTFUL] Nee, maar ik kwam in de verleiding.
Een van de Air France-vliegtuigen is helaas, zoals u zegt, neergestort door puin dat op de startbaan was achtergelaten, denk ik.
Dus werden ze uit dienst genomen en mochten ze uiteindelijk weer doorgaan.
Maar ik denk dat de pit eruit was omdat [STAGE WHISPER] om eerlijk te zijn, ze niet erg groen zijn (hoe zal ik het zeggen?), om redenen die we zo zullen bespreken.
Er was dus een kans, een heel korte kans van een paar maanden, toen je een verrassend goedkope enkele reis kon krijgen.
Kortom, ze blazen je vanuit Londen naar New York en je arriveert voordat je vertrekt!
Je vertrekt om 10 uur denk ik, en je komt om 30 uur 's ochtends aan; dan vliegen ze je gewoon terug met een gewoon vliegtuig.
Je doet het zodat je kunt zitten, Doug, in een commercieel passagiersvliegtuig met straalmotoren met verwarming... of zoals jullie Amerikanen het misschien poëtischer zeggen, naverbrander!
Kun je je voorstellen: een commercieel vliegtuig...
DOUG. Geweldig!
EEND. ..."Oh, we hebben 20% meer vermogen nodig", WOARRRGH!
En het kan Mach 2 overschrijden!
55,000 voet, en je zou sneller gaan dan 2000 kilometer per uur!
DOUG. Verbazingwekkend.
EEND. Voor zover ik weet, had de Concorde de helft van de stuwkracht van een A380, maar het maximale landingsgewicht - uiteraard, als al die brandstof eenmaal is opgebrand - was ongeveer een kwart van een Airbus A380.
Dus, als het ging om de verhouding tussen vermogen en gewicht ... !!!?!?!
Ik heb het twee keer zien landen...
... en, Doug, het is gewoon zo anders dan elk ander vliegtuig dat je hebt gezien dat geen straaljager is of zoiets.
Moderne vliegtuigen zijn normaal gesproken erg lang en erg breed; dit is echt lang en super dun.
Het ziet eruit als iets dat je op kleine schaal de kroeg in zou kunnen nemen en naar een dartbord zou kunnen gooien.. gewoon ongelooflijk!
Maar ik veronderstel dat we zoiets niet meer zullen zien.
En gezien de hoeveelheid brandstof die nodig was om 100 mensen over de Atlantische Oceaan te vervoeren... misschien is dat eigenlijk niet zo erg.
DOUG. Ja.
Nou, Concorde, we kenden je nauwelijks...
... maar iets dat we heel goed weten: Instagram-zwendel.
EEND. Oh jee!
DOUG. En er zijn drie nieuwe; niet een; niet twee; maar *drie* die onze inboxen hier verstopt hebben, Paul!
EEND. Ja.
Ik weet dat we er eerder over hebben gesproken, en we schrijven er vrij regelmatig over op Naked Security... maar dit waren verschillende berichten; drie verschillende soorten oplichting.
Ik weet niet of het dezelfde boeven zijn, maar de modus operandi is hetzelfde in termen van: er is een e-mail; je gaat naar een onbetrouwbare pagina; en ze zijn op zoek naar uw gegevens.
Maar het punt is dat oplichters veel verschillende *manieren* proberen om het te doen.
Een daarvan was een vermeende schending van de "Communautaire richtlijnen".
En natuurlijk is er een voorgestelde oplossing, erg handig: “Neem contact met ons op. We laten u weten welke inhoud de richtlijnen schendt. Je kunt het verwijderen en je account is in orde."
De tweede was de bekende "Copyright-inbreuk"-zwendel.
En de voorgestelde oplossing is: "Als dit niet klopt, kun je gewoon op de knop klikken, het formulier invullen, ons laten zien dat het geen copyright is, en de staking tegen jou wordt verwijderd."
En de laatste, die naar mijn mening nogal smerig was, was "Verdachte inlogmelding".
Die krijg je tegenwoordig van veel sites, nietwaar?
Logde u in vanuit X?
In dit geval beweerde het Wenen in Oostenrijk te zijn, hoewel ze daar nogal een fout maakten!
Ze noemden de stad "Wenen", maar ze noemden het land "Osterreich". [Opmerking. Correcte spelling is Oostenrijk or Oesterreich].
Dus de naam van de stad was in het Engels, terwijl de naam van het land in het Duits was, maar verkeerd gespeld.
En de kaart die ze erachter hadden was in feite Riyad.
DOUG. [LACHT] Riyad!
EEND. Ze hebben het dus niet helemaal goed begrepen.
Maar door Wenen te kiezen (slash Riyadh)...
...vermoedelijk weten ze dat ze het naar mensen in het VK sturen, zodat ze weten dat jij het niet bent.
Ze geven je dus een reden om op de knop te klikken.
Natuurlijk zijn het allemaal oplichtingspraktijken die uw gebruikersnaam en wachtwoord willen.
En in een van de gevallen zeiden ze ook: "Voer nu ook uw tweefactorauthenticatiecode in."
In plaats van je gebruikersnaam en wachtwoord voor later te krijgen en ze vervolgens door te verkopen, of morgen terug te komen...
…in feite, de huidige generatie oplichters, gaan steeds vaker: “Geef ons je gebruikersnaam; geef ons uw wachtwoord; en geef ons de 2FA-code.”
En ook al hebben ze maar een minuut of een paar minuten om het te gebruiken, er staat iemand klaar om precies dat te doen, of ze hebben een computer paraat om precies dat te doen.
En ze doen de interventie en de accountovername in bijna realtime.
DOUG. Ja, dat is eng, want dan hebben ze het account!
EEND. Ja.
Nu, sommige van deze, je zou ze moeten zien ... zoals "Wenen / Oesterreich", de mix van talen.
En er zijn enkele grammaticale fouten.
Een van hen had, interessant genoeg, een domeinnaam die eruitzag als Instagram, maar de eerste "I" was eigenlijk een kleine letter "L", die in de meeste browsers eruitziet als een hoofdletter "I", dus het leek op het woord "Instagram".
Er zou genoeg in elk van deze moeten zitten om te zien dat het er niet goed uitziet.
DOUG. Ja, ik zou deze een B geven voor slechtheid - deze zijn niet zo goed als ik graag zou zien uit een goed gemaakte zwendel.
Maar ik kan zien ... vooral de "Inbreuk op het auteursrecht".
Ik zag mensen gewoon op die knop hameren en zeiden: "Ik heb dit * niet * gedaan. Ik ben verontwaardigd. Ik ben beledigd.!"
EEND. Ja, ik ben het ermee eens.
En dat is degene waar de URL mee begint... het is eigenlijk "Lnstagram", maar het lijkt op "Instagram".
Er staat alleen: "Voer uw gebruikersnaam in", en dan gaan de boeven daadwerkelijk naar uw account en halen uw openbaar zichtbare inlogpictogram op, en ze voegen dat toe aan de volgende pagina, alleen voor een beetje waarheidsgetrouwheid.
Ze laten het er geloofwaardig uitzien.
En dan vragen ze je natuurlijk twee keer om je wachtwoord.
Ik denk dat dat komt omdat tegenwoordig tenminste sommige mensen de gewoonte hebben gekregen om: "Voer de eerste keer het verkeerde wachtwoord in, en als ze het accepteren, weet je dat het oplichterij is."
Dan geven de boeven je een leuk vrolijk bericht: "We nemen binnen 48 uur contact met je op."
En dan is er nog een help-knop die je… grammaticaal niet perfect is, maar ze geven je een heel redelijke help-pagina, nietwaar?
En hier is niets ronduit en duidelijk slecht aan.
DOUG. Ja, die is niet slecht.
EEND. Er is geen diepe dreiging, alleen: "Kijk, je kunt jezelf helpen als je wilt", en aan het einde zeggen ze: "Ok, we zullen dit voor je oplossen."
DOUG. Wat kunnen mensen doen om dergelijke oplichting in de toekomst te voorkomen?
Ten eerste hebben we: Klik niet op "nuttige" links in e-mails of andere berichten.
EEND. Inderdaad!
Als je van tevoren hebt geoefend: 'Waar moet ik heen om te controleren wie er recentelijk op mijn account is ingelogd? Waar kan ik terecht om een copyrightmelding tegen te gaan of op te zoeken?”…
...als je de link zelf kent, hoef je nooit op links in e-mails te klikken, *zelfs als het e-mails zijn die Instagram je heeft gestuurd*.
En als u nooit op de links in de e-mails klikt, kunt u nooit worden betrapt.
DOUG. En dan hebben we deze eerder gebruikt, maar het is relevant als altijd: Denk na voordat je klikt.
EEND. Ja.
Dat is gemakkelijk gezegd, en het ligt voor de hand om te zeggen...
... maar de reden dat dit artikel voornamelijk uit afbeeldingen bestaat, en niet veel woorden, is dat het een geweldige manier is om te oefenen met het zoeken naar de "minder waarschijnlijke" sterke verhalen.
DOUG. En dan mijn persoonlijke favoriet... als je het goed doet, zou je geen idee moeten hebben wat je wachtwoord is voor een site waarop je een account hebt: Gebruik indien mogelijk een wachtwoordbeheerder.
EEND. Ja!
Want in dit geval, als je je wachtwoordmanager zorgvuldig instelt, waarbij je weet dat je zorgvuldig "instagram DOT com" hebt ingetypt...
... zo onthoudt uw wachtwoordbeheerder de workflow die nodig is voor Instagram-aanmeldingen.
Het zal het wachtwoord uitvinden.
En het betekent dat als je ooit naar een website gaat die op Instagram lijkt - zelfs als het een pixel-perfecte kopie is van de Instagram-inlogpagina; zelfs als het een URL heeft die in slechts één teken verschilt, zal uw wachtwoordbeheerder zeggen: "Nee, die ken ik niet."
DOUG. En tot slot hebben we een geweldige video die je kunt bekijken... met onze vriend Paul in de hoofdrol.
EEND. Toegegeven, deze video is van ongeveer een jaar geleden, maar we praten over de dingen waar je op kunt letten en laten je zien: "Dit is hoe het zich ontvouwt."
Dat was hetzelfde idee als dit artikel: we hebben een reeks screenshots gemaakt van wat er zou gebeuren als je van go tot wee doorging in drie verschillende vormen van oplichting.
Als het niet voor jou is, kun je het in ieder geval aan je vrienden en familie laten zien.
DOUG. Goed, dat is: Instagram-oplichters zo druk als altijd: wachtwoorden en 2FA-codes lopen gevaar, op nakedsecurity.sophos.com.
En aangezien de zon langzaam begint onder te gaan in onze show voor deze week, zullen we ons wenden tot een van onze lezers in onze Oh! Nee! segment.
Over het Y2K-verhaal dat we eerder hebben besproken, merkt Naked Security-lezer 4caster op:
Tot mijn pensionering in 2001 werkte ik voor het Meteorologisch Bureau, een klant van Sophos, die ik sindsdien altijd thuis heb gebruikt.
Bedankt, 4caster!
Het Met Office besteedde veel zorg aan Y2K, dus de communicatie bleef naadloos werken, behalve voor geplande storingen van enkele oude en verouderde automatische weerstations op platforms in de Noordzee.
Echter, om 00:00 uur op 29 februari 2000 werden alle weerberichten van het Britse militaire vliegveld niet meer verzonden.
Een of andere [PAUZE] idioot had lang daarvoor te horen gekregen dat er geen schrikkeldag is rond de eeuwwisseling, en programmeerde het systeem dienovereenkomstig.
Mensen kunnen voorzien in de 'bekende onbekenden', maar het zijn de 'onbekende onbekenden' die ons pakken.
EEND. Ja inderdaad!
En de ironie is, als die persoon nog nooit had gehoord van het feit dat er uitzonderingen zijn op de regel "is het jaar deelbaar door 4" voor schrikkeljaren...
...ze hadden deze bug waarschijnlijk niet gehad.
Als ze dubbelzinnig waren geweest, zouden ze ermee weg zijn gekomen!
Want natuurlijk is elk jaar dat deelbaar is door 4, in onze moderne kalender, een schrikkeljaar.
Behalve als het een eeuw is, *behalve* dat je de correctie niet elke *vierde* eeuw maakt.
Dus als ze eigenlijk niets hadden gedaan en waren gegaan: "Ach, elk jaar dat deelbaar is door 4 is een schrikkeljaar"...
… je kunt je voorstellen dat iemand zegt: “Nee, nee, nee! Je hebt het mis, je hebt het mis: er is een uitzondering.”
En dus, in een poging om de bug op te lossen, hebben ze er zelfs een geïntroduceerd!
DOUG. [LACHT] Dat is het ergste!
EEND. Dat is nog een herinnering dat soms een probleem half oplossen erger kan zijn dan er helemaal niets aan te doen.
Dus een klus die de moeite waard is, Douglas, is de moeite waard om goed gedaan te worden!
DOUG. Prima advies en ik ben het met je eens.
Als u een Oh! Nee! je wilt indienen, lezen we het graag in de podcast.
U kunt tips@sophos.com e-mailen; je kunt reageren op een van onze artikelen; of bel ons op social: @NakedSecurity.
Dat is onze show voor vandaag – heel erg bedankt voor het luisteren.
Voor Paul Ducklin. Ik ben Doug Aamoth, ik herinner je eraan, tot de volgende keer, om...
BEIDE Blijf veilig!
[MUZIEK MODEM]
- Coinsmart. Europa's beste Bitcoin- en crypto-uitwisseling.
- Platoblockchain. Web3 Metaverse Intelligentie. Kennis versterkt. GRATIS TOEGANG.
- CryptoHawk. Altcoin-radar. Gratis proefversie.
- Source: https://nakedsecurity.sophos.com/2022/03/03/s3-ep72-airtag-stalking-web-server-coding-woes-and-instascams-podcast-transcript/
