Nenhum reprodutor de áudio abaixo? Ouvir diretamente no Soundcloud.

DOUG.  Juicejacking, psicoterapia pública e Diversão com FORTRAN.

Tudo isso e muito mais no podcast Naked Security.

[MODEM MUSICAL]

Bem-vindos ao podcast, pessoal.

Eu sou Doug Aamoth; ele é Paul Ducklin.

Paul, como você está hoje, senhor?

---

PATO.  Estou muito bem, Douglas.

Estou intrigado com sua frase “Diversão com FORTRAN”.

Agora, eu mesmo conheço FORTRAN, e divertido não é o primeiro adjetivo que vem à mente para descrevê-lo. [RISOS]

---

DOUG.  Bem, você pode dizer: “Você não pode soletrar 'FORTRAN' sem 'diversão'.”

Isso não é muito preciso, mas…

---

PATO.  Na verdade, é surpreendentemente *impreciso*, Doug! [RISOS]

---

DOUG.  [Risos] Tenha isso em mente, porque isso tem a ver com imprecisões.

Esta semana, em 19 de abril de 1957, o primeiro programa FORTRAN foi executado.

FORTRAN simplificou a programação, começando com um programa executado na Westinghouse que gerou um erro em sua primeira tentativa – produziu um diagnóstico de “falta de vírgula”.

Mas a segunda tentativa foi bem-sucedida.

Como você gosta disso?

---

PATO.  Isso é fascinante, Doug, porque o meu próprio – o que eu sempre pensei ser 'conhecimento', mas pode muito bem ser uma lenda urbana...

…minha própria história sobre FORTRAN vem de cerca de cinco anos depois disso: o lançamento da sonda espacial Mariner 1.

As espaçonaves nem sempre seguem exatamente para onde deveriam ir e devem se corrigir.

Agora, imagine o tipo de cálculo envolvido – isso era bastante difícil na década de 1960.

E isso me foi dito semi-oficialmente (ou seja, “ouvi isso de um professor da universidade quando eu estudava ciência da computação, mas não fazia parte do currículo”)…

..aparentemente, esse bug estava em uma linha em FORTRAN que deveria dizer DO 51 I = 1,100, que é um “loop for”.

Ele diz: “Faça 100 loops, até e incluindo a linha 51”.

Mas a pessoa digitou DO 51 I = 1.100, com um ponto, não uma vírgula.

FORTRAN ignora espaços, então ele interpretou DO51I = como uma atribuição de variável, atribuiu a essa variável o valor 1.100, e depois deu a volta no loop uma vez... porque não foi instruído a fazer o loop na linha 51 e a linha 51 foi executada apenas uma vez.

Sempre presumi que esse era o loop de correção - era para ter cem tentativas para colocar a espaçonave de volta no alvo, mas só deu uma vez e, portanto, não funcionou.

[RISOS]

E parece que pode não ser verdade ... pode ser um pouco uma lenda urbana.

Porque há outra história que diz que, na verdade, o bug foi devido a um problema nas especificações, onde alguém escreveu as equações que precisavam ser codificadas.

E para uma das variáveis, eles disseram: “Use o valor atual desta variável”, quando, na verdade, você deveria suavizar o valor dessa variável calculando a média das leituras anteriores.

Você pode imaginar por que isso desviaria algo do curso se tivesse a ver com a correção do curso.

Então eu não sei qual é a verdade, mas eu gosto do DO 51 I = 1,100 história, e pretendo continuar jantando enquanto puder, Doug.

---

DOUG.  [RISOS] Como eu disse, “diversão com FORTRAN”.

---

PATO.  Certo, entendo seu ponto, Doug.

---

PATO.  As duas histórias são divertidas...

Algo não tão divertido - um atualizar para uma atualizar para uma atualizar.

Acredito que esta seja pelo menos a terceira vez que falamos sobre esta história, mas esta é a clínica de psicoterapia na Finlândia que abrigou todos os dados de seus pacientes, incluindo notas de sessões, online na nuvem sob uma senha padrão, que foi aproveitada por malfeitores.

Esses malfeitores tentaram tirar algum dinheiro da empresa.

E quando a empresa dizia não, eles iam atrás dos pacientes.

Ex-CEO de clínica de psicoterapia invadida é condenada à prisão por má segurança de dados

---

PATO.  Quão terrível deve ter sido, hein?

Porque eles não tinham apenas os números de identificação dos pacientes e os detalhes financeiros de como pagaram pelo tratamento.

E não era só que eles tinham algumas notas... aparentemente, as sessões foram gravadas e transcritas, e *aquelas* foram carregadas.

Então eles basicamente tinham tudo o que você disse ao seu terapeuta...

… e alguém se pergunta se você tinha alguma ideia de que suas palavras seriam preservadas para sempre.

Pode ter sido em letras pequenas em algum lugar.

Enfim, como você diz, foi isso que aconteceu.

O chantagista foi atrás da empresa por cerca de € 450,000 (cerca de meio milhão de dólares americanos na época), e eles não estavam dispostos a pagar.

Então eles pensaram: “Ei, por que simplesmente não entro em contato com todos os pacientes? Porque eu tenho todos os seus detalhes de contato, *e* eu tenho todos os seus segredos e medos mais profundos e obscuros.”

O bandido imaginou: “Posso contatá-los e dizer: 'Você tem 24 horas para me pagar € 200; depois dou-te 48 horas para me pagares 500€; e então vou doxx você - vou despejar seus dados para todo mundo ver '.

E eu li um artigo que sugeria que, quando os pacientes não apresentavam o dinheiro, ele na verdade encontrava pessoas que haviam sido mencionadas em suas conversas.

---

DOUG.  A mãe de alguém não se envolveu nisso ou algo assim?

---

PATO.  Sim!

Eles disseram: “Ei, estamos conversando com seu filho; vamos despejar tudo o que ele disse sobre você, de uma sessão privada.

De qualquer forma, a boa notícia é que as vítimas decidiram que definitivamente não aceitariam isso.

E muitos deles denunciaram à polícia finlandesa, o que os motivou a considerar o caso sério.

E as investigações continuam desde então.

Tem alguém... Acho que ele ainda está sob custódia na Finlândia; ele ainda não terminou seu julgamento pelo lado da extorsão.

Mas eles também decidiram: “Sabe de uma coisa, o CEO da empresa que foi tão mesquinho com os dados deveria arcar com alguma responsabilidade pessoal”.

Ele não pode simplesmente dizer: “Ah, foi a empresa; pagaremos uma multa” (o que eles fizeram e acabaram falindo).

Isso não é suficiente – ele deveria ser o chefe desta empresa; ele deve definir os padrões e determinar como eles operam.

Então ele foi a julgamento também.

E ele acaba de ser considerado culpado e sentenciado a três meses de prisão, embora suspenso.

Portanto, se ele mantiver o nariz limpo, pode ficar fora da prisão ... mas ele foi responsabilizado por isso no tribunal e recebeu uma condenação criminal.

Por mais leve que a frase possa parecer, parece um bom começo, não é?

---

DOUG.  Muitos comentários neste post estão dizendo que eles deveriam forçá-lo a ir para a cadeia; ele deveria realmente passar um tempo na prisão.

Mas um dos comentaristas, acho que com razão, aponta que isso é comum para réus primários por crimes não violentos…

…e agora ele tem ficha criminal, então talvez nunca mais trabalhe nesta cidade, por assim dizer.

---

PATO.  Sim, e talvez mais importante, isso fará com que qualquer um pare antes de permitir que ele tenha autoridade para tomar esse tipo de decisão ruim no futuro.

Porque parece que ele não apenas permitiu que sua equipe de TI fizesse um trabalho medíocre ou economizasse.

Parece que eles sabiam que haviam sido violados em duas ocasiões, acho que em 2018 e 2019, e decidiram: “Bem, se não dissermos nada, vamos nos safar”.

E então, em 2020, obviamente, um bandido se apossou dos dados e abusou deles de uma forma que você não poderia realmente duvidar de onde eles vieram.

Não era apenas: “Oh, eu me pergunto onde eles conseguiram meu endereço de e-mail e número de identidade nacional?”

Você só pode obter sua transcrição de psicoterapia privada da Clínica X na Clínica X, como seria de esperar!

---

DOUG.  Sim.

---

PATO.  Portanto, há também o aspecto de que, se eles fossem limpos em 2018; se eles tivessem divulgado a violação como deveriam, então...

(A) Eles teriam feito a coisa certa pela lei.

(B) Eles teriam feito a coisa certa por seus pacientes, que poderiam ter começado a tomar precauções com antecedência.

E (C), eles teriam algum escrúpulo em ir e consertar os buracos em vez de dizer: “Oh, vamos ficar quietos sobre isso, porque se alegarmos que não sabíamos, então não precisamos fazer qualquer coisa e poderíamos continuar da maneira miserável que já fizemos.

Definitivamente não foi considerado um erro inocente.

E, portanto, quando se trata de crimes cibernéticos e violações de dados, é possível ser vítima e perpetrador ao mesmo tempo.

---

DOUG.  Um bom ponto bem colocado!

Vamos continuar.

Em fevereiro de 2023, conversamos sobre aplicativos 2FA desonestos nas lojas de aplicativos, e como às vezes eles simplesmente demoram.

E eles demoram.

Paul, você fará uma demonstração ao vivo de como um desses aplicativos populares funciona, para que todos possam ver... e ainda está lá, certo?

Cuidado com aplicativos 2FA desonestos na App Store e no Google Play – não seja hackeado!

---

PATO.  Isto é.

Infelizmente, o podcast será lançado logo após a conclusão da demonstração, mas esta é uma pesquisa feita por dois desenvolvedores independentes da Apple, Tommy Mysk e Talal Haj Bakry.

No Twitter, você pode encontrá-los como @mysk_co.

Eles analisam regularmente os itens de segurança cibernética para que possam obter a segurança cibernética correta em sua codificação especializada.

Eles são programadores do meu coração, porque não fazem apenas o suficiente para fazer o trabalho, eles fazem mais do que o suficiente para fazer o trabalho bem feito.

E foi nessa época, se você se lembra, que Twitter disse: “Ei, vamos descontinuar a autenticação de dois fatores baseada em SMS. Portanto, se você está contando com isso, precisará obter um aplicativo 2FA. Vamos deixar para você encontrar um; tem um monte”.

O Twitter diz aos usuários: pague se quiser continuar usando 2FA inseguro

Agora, se você foi à App Store ou ao Google Play e digitou Authenticator App, você tem tantos hits, como saberia qual escolher?

E em ambas as lojas, acredito, os melhores acabaram sendo bandidos.

No caso do aplicativo de pesquisa principal (pelo menos na Apple Store e alguns dos aplicativos mais populares no Google Play), os desenvolvedores do aplicativo decidiram que, para monitorar seus aplicativos, eles usar o Google Analytics para registrar como as pessoas usam os aplicativos – telemetria, como é chamado.

Muitos aplicativos fazem isso.

Mas esses desenvolvedores eram sorrateiramente maliciosos, ou tão ignorantes ou descuidados, que entre as coisas que eles coletaram sobre como o aplicativo estava se comportando, eles também pegaram uma cópia da semente de autenticação de dois fatores que é usada para gerar todos os códigos para aquele conta!

Basicamente, eles tinham as chaves dos castelos 2FA de todos... tudo, aparentemente inocentemente, por meio de análises de programas.

Mas lá estava.

Eles estão coletando dados que absolutamente nunca deveriam sair do telefone.

A chave mestra para cada código de seis dígitos que vem a cada 30 segundos, para sempre, para cada conta em seu telefone.

Que tal isso, Douglas?

---

DOUG.  Soa mal.

Bem, estaremos ansiosos pela apresentação.

Vamos desenterrar a gravação e divulgá-la para as pessoas no podcast da próxima semana... Estou animado!

Tudo bem, passando para o nosso tópico final, estamos falando sobre suco.

Já faz um tempo... mais de dez anos desde que ouvimos esse termo pela primeira vez.

E tenho que admitir, Paul, quando comecei a ler isso, comecei a revirar os olhos e depois parei, porque: “Por que o FBI e a FCC estão emitindo um aviso sobre juicejacking? Isso deve ser algo grande.

Mas o conselho deles não está fazendo muito sentido.

Algo deve estar acontecendo, mas não parece grande coisa ao mesmo tempo.

FBI e FCC alertam sobre “Juicejacking” – mas quão útil é o conselho deles?

---

PATO.  Acho que concordo com isso, Doug, e é por isso que decidi escrever isso.

A FCC… para aqueles que não estão nos Estados Unidos, é a Comissão Federal de Comunicações, então quando se trata de coisas como redes móveis, você pensaria que eles sabem o que fazer.

E o FBI, é claro, é essencialmente a polícia federal.

Então, como você disse, isso se tornou uma história massiva.

Ganhou tração em todo o mundo.

Certamente foi repetido em muitos meios de comunicação no Reino Unido: [VOZ DRAMÁTICA] “Cuidado com as estações de recarga nos aeroportos.”

Como você disse, parecia um pouco como uma explosão do passado.

Eu não sabia por que seria um “perigo maciço no nível do consumidor” claro e presente agora.

Acho que foi em 2011 que foi um termo cunhado para descrever a ideia de que uma estação de carregamento desonesta pode simplesmente não fornecer energia.

Pode ter um computador oculto na outra ponta do cabo, ou do outro lado do soquete, que tentou montar seu telefone como um dispositivo (por exemplo, como um dispositivo de mídia) e sugar arquivos dele sem que você percebesse , tudo sob o pretexto de fornecer apenas 5 volts DC.

E parece que isso foi apenas um aviso, porque às vezes vale a pena repetir avisos antigos.

Meus próprios testes sugeriram que a mitigação que a Apple implementou ainda funciona em 2011, quando juicejacking foi demonstrado pela primeira vez na conferência Black Hat 2011.

Ao conectar um dispositivo pela primeira vez, você tem a opção Trust/Don't Trust.

Portanto, há duas coisas aqui.

Em primeiro lugar, você tem que intervir.

E em segundo lugar, se o seu telefone estiver bloqueado, alguém não pode acessar o Trust/Don't Trust botão secretamente apenas estendendo a mão e tocando no botão para você.

No Android, encontrei algo semelhante.

Quando você conecta um dispositivo, ele começa a carregar, mas você precisa ir ao menu Configurações, entrar na seção de conexão USB e alternar do modo Sem dados para o modo “compartilhar minhas fotos” ou “compartilhar todos os meus arquivos”.

Há um pequeno aviso para os usuários do iPhone quando você o conecta a um Mac.

Se você acertar Trust por engano, você tem o problema de que, no futuro, ao conectá-lo, mesmo que o telefone esteja bloqueado, o Mac interagirá com o telefone pelas costas, portanto, não será necessário desbloquear o telefone.

E o outro lado disso, que eu acho que os ouvintes devem estar cientes é, em um iPhone, e considero isso um bug (outros podem apenas dizer: “Oh não, isso é uma opinião. É subjetivo. Bugs só podem ser erros objetivos ”)…

…não há como revisar a lista de dispositivos em que você confiou antes e excluir dispositivos individuais da lista.

De alguma forma, a Apple espera que você se lembre de todos os dispositivos em que confiou e, se quiser desconfiar de *um* deles, terá que entrar e basicamente redefinir as configurações de privacidade do seu telefone e desconfiar de *todos* eles.

E, também, essa opção está enterrada, Doug, e vou lê-la aqui porque você provavelmente não a encontrará sozinho. [RISOS]

Está abaixo Configurações > Geral > Transferir ou redefinir o iPhone > Redefinir local e privacidade.

E o cabeçalho diz “Prepare-se para o novo iPhone”.

Portanto, a implicação é que você só precisará usar isso quando estiver passando de um iPhone para outro.

Mas parece, de fato, como você disse no início, Doug, com juicejacking, que existe a possibilidade de alguém ter um dia zero, o que significa que conectar-se a um computador não confiável ou desconhecido pode colocá-lo em risco.

---

DOUG.  Estou tentando imaginar o que implicaria usurpar uma dessas máquinas.

É uma máquina grande, do tamanho de uma lata de lixo; você teria que entrar na caixa.

Isso não é como um skimmer de caixa eletrônico onde você pode simplesmente encaixar algo.

Não sei o que está acontecendo aqui para recebermos esse aviso, mas parece que seria muito difícil fazer algo assim funcionar.

Mas, dito isso, temos alguns conselhos: Evite conectores ou cabos de carregamento desconhecidos, se puder.

Essa é boa.

---

PATO.  Mesmo uma estação de carregamento que foi configurada de boa fé pode não ter a decência de regulação de tensão que você gostaria.

E, por outro lado, sugiro que, se você estiver na estrada e perceber: “Ah, de repente preciso de um carregador, não tenho meu próprio carregador comigo”, tenha muito cuidado com os golpes. compre ou compre carregadores super baratos.

Se você quer saber por que, vá ao YouTube e procure por um sujeito chamado Big Clive.

Ele compra aparelhos eletrônicos baratos como esse, desmonta, analisa os circuitos e faz um vídeo.

Ele tem um vídeo fantástico sobre um imitação do carregador da Apple...

…[uma falsificação] que se parece com um carregador USB da Apple, que ele comprou por £ 1 em uma loja de libras na Escócia.

E quando ele desmontar, esteja preparado para ficar chocado.

Ele também imprime o diagrama do circuito do fabricante e, na verdade, usa uma caneta e a coloca sob a câmera.

“Existe um resistor fusível; eles não incluíram isso; eles deixaram isso de fora [risca o componente que faltava].”

“Aqui está um circuito de proteção; eles deixaram de fora todos esses componentes [risca mais].”

E, eventualmente, ele reduziu para cerca de metade dos componentes que o fabricante alegou que estavam no dispositivo.

Há um ponto em que há uma lacuna entre a tensão da rede elétrica (que no Reino Unido seria 230 volts CA a 50 Hz) e um traço na placa de circuito que estaria na tensão de entrega (que para USB é 5 volts)…

… e essa lacuna, Doug, é provavelmente uma fração de milímetro.

Que tal isso?

Então, sim, evite conectores desconhecidos.

---

DOUG.  Ótimo conselho.

---

PATO.  Leve seus próprios conectores!

---

DOUG.  Essa é boa, especialmente se você estiver fugindo e precisar carregar rapidamente, além das implicações de segurança: Bloqueie ou desligue o telefone antes de conectá-lo a um carregador ou computador.

Se você desligar o telefone, ele carregará muito mais rápido, então é isso!

---

PATO.  Ele também garante que, se o seu telefone for roubado ... o que você poderia argumentar é um pouco mais provável em uma dessas estações de carregamento multiusuário, não é?

---

DOUG.  Sim!

---

PATO.  Isso também significa que, se você conectá-lo e um Trust prompt aparece, não é apenas sentar lá para outra pessoa dizer: "Ah, isso parece divertido" e clicar no botão que você não esperava.

---

DOUG.  Tudo bem, e então temos: Considere desconfiar de todos os dispositivos do seu iPhone antes de arriscar um computador ou carregador desconhecido.

Essa é a configuração que você acabou de percorrer anteriormente em Configurações > Geral > Transferir ou redefinir o iPhone...

---

PATO.  Desceu * em; caminho para o poço da escuridão. [RISOS]

Você não * precisa * fazer isso (e é um pouco chato), mas significa que você não está arriscando cometer um erro de confiança que você pode ter cometido antes.

Algumas pessoas podem considerar isso um exagero, mas não é, “Você deve fazer isso”, apenas uma boa ideia porque você volta à estaca zero.

---

DOUG.  E por último mas não menos importante: Considere a aquisição de um cabo USB apenas para alimentação ou soquete do adaptador.

Esses estão disponíveis e apenas cobram, não transferem dados.

---

PATO.  Sim, não tenho certeza se esse cabo está disponível no formato USB-C, mas é fácil obtê-los no USB-A.

Você pode realmente espiar no soquete e, se estiver faltando os dois conectores do meio ... Coloquei uma foto no artigo sobre Naked Security de uma luz de bicicleta que tenho e que possui apenas os conectores externos.

Se você puder ver apenas os conectores de energia, não há como os dados serem transferidos.

---

DOUG.  Tudo bem, muito bom.

E deixe-nos ouvir de um de nossos leitores ... uma espécie de contraponto na peça juicejacking.

Naked Security Reader NotConcerned escreve, em parte:

Este artigo sai um pouco ingênuo. Claro, juicejacking não é um problema generalizado, mas descartar qualquer aviso com base em um teste muito básico de conectar telefones a um Windows e Mac PC e obter um prompt é meio bobo. Isso não prova que não existem métodos com zero cliques ou toques necessários.

O que você diz, Paulo?

---

PATO.  [LEVE SUPIRO] Entendi.

Pode haver um dia 0, o que significa que, quando você o conecta a uma estação de carregamento, pode haver uma maneira de alguns modelos de telefone, algumas versões do sistema operacional, algumas configurações… Trust solicite ou defina automaticamente o seu Android no modo PTP ou modo de transferência de arquivos em vez do modo sem dados.

Não é impossível.

Mas se você vai incluir dias zero provavelmente esotéricos de um milhão de dólares na lista de coisas sobre as quais organizações como a FCC e o FBI fazem alertas gerais, então eles deveriam estar alertando, dia após dia após dia: “Não usar seu telefone; não use seu navegador; não use seu laptop; não use seu Wi-Fi; não aperte nada”, na minha opinião.

Portanto, acho que o que me preocupa com esse aviso não é que você deva ignorá-lo.

(Acho que os detalhes que colocamos no artigo e as dicas que acabamos de passar sugerem que devemos levar isso mais do que a sério - temos alguns conselhos decentes que você pode seguir se quiser.)

O que me preocupa sobre esse tipo de aviso é que ele foi apresentado como um perigo claro e presente, e captado em todo o mundo, de modo que meio que implica para as pessoas: “Oh, bem, isso significa que quando eu estiver na estrada, tudo o que preciso fazer é não conectar meu telefone em lugares engraçados e ficarei bem.

Considerando que, na verdade, existem provavelmente 99 outras coisas que lhe dariam muito mais segurança se você as fizesse.

E você provavelmente não corre um risco significativo se estiver com falta de energia e realmente precisar recarregar o telefone porque pensa: "E se eu não puder fazer uma ligação de emergência?"

---

DOUG.  Tudo bem, excelente.

Bem, obrigado, NotConcerned, por escrever isso.

---

PATO.  [DEADPAN] Presumo que esse nome foi uma ironia?

---

DOUG.  [RISOS] Acho que sim.

Se você tiver uma história, comentário ou pergunta interessante que gostaria de enviar, adoraríamos lê-la no podcast.

Você pode enviar um email [email protegido], você pode comentar qualquer um de nossos artigos ou entrar em contato conosco nas redes sociais: @nakedsecurity.

Esse é o nosso show de hoje; muito obrigado por ouvir.

Para Paul Ducklin, sou Doug Aamoth, lembrando a vocês, até a próxima, para…

---

AMBAS.  Fique seguro!

[MODEM MUSICAL]