الخروقات ، التصحيحات ، التسريبات ، التقرحات
أحدث Epode - استمع الآن.
انقر واسحب على الموجات الصوتية أدناه للتخطي إلى أي نقطة. يمكنك أيضا استمع مباشرة على Soundcloud.
مع دوج آموث وبول دوكلين
موسيقى مقدمة وخاتمة بواسطة إديث مودج.
يمكنك الاستماع إلينا على SoundCloud لل, Apple Podcasts, Google Podcasts, سبوتيفي, الخياطة وفي أي مكان توجد فيه ملفات بودكاست جيدة. أو قم بإسقاط ملف عنوان URL لخلاصة RSS الخاصة بنا في podcatcher المفضل لديك.
اقرأ النص
دوغ. الخروقات والخروقات والتصحيحات والأنواع المطبعية.
كل ذلك وأكثر على بودكاست Naked Security.
[مودم موسيقي]
مرحبا بكم في البودكاست ، الجميع.
أنا دوغ عاموث. هو داول بوكلين ...
... أنا آسف ، بول!
بطة. أعتقد أنني نجحت في ذلك يا دوغ.
"Typios" هو خطأ مطبعي صوتي.
دوغ. بالضبط!
بطة. نعم ... أحسنت ، ذلك الرجل!
دوغ. لذا ، ما علاقة الأخطاء المطبعية بالأمن السيبراني؟
سوف ندخل في ذلك ...
لكن أولاً - نحب أن نبدأ بملف هذا الأسبوع في تاريخ التكنولوجيا قطعة.
في هذا الأسبوع ، 23 كانون الثاني (يناير) 1996 ، قال الإصدار 1.0 من Java Development Kit ، "Hello, world.
"
إن شعارها ، "اكتب مرة واحدة ، اركض في أي مكان" ، وإصدارها مباشرة لأن شعبية الويب كانت تصل بالفعل إلى درجة حرارة عالية ، مما جعلها منصة ممتازة للتطبيقات المستندة إلى الويب.
تقدم سريعًا إلى اليوم ، ونحن في الإصدار 19 ، بول.
بطة. نحن!
جافا ، إيه؟
أو "بلوط".
أعتقد أن هذا كان اسمها الأصلي ، لأن الشخص الذي اخترع اللغة كان لديه شجرة بلوط تنمو خارج مكتبه.
دعونا ننتهز هذه الفرصة ، دوغ ، لتوضيح ، بشكل نهائي ، ملف ارتباك أن الكثير من الناس لديهم بين جافا وجافا سكريبت.
دوغ. ووه ...
بطة. يعتقد الكثير من الناس أنهم مرتبطون ببعضهم البعض.
إنهم غير مرتبطين يا دوغ.
إنهم * بالضبط نفس الشيء * - واحد هو مجرد اختصار ... لا ، أنا أحتفل بك تمامًا!
دوغ. كنت مثل ، "إلى أين يتجه هذا؟" [يضحك]
بطة. حصلت JavaScript أساسًا على هذا الاسم لأن كلمة Java كانت رائعة ...
... ويعمل المبرمجون على القهوة ، سواء كانوا يبرمجون بلغة جافا أو جافا سكريبت.
دوغ. حسنًا ، جيد جدًا.
شكرا لك على توضيح ذلك.
وحول موضوع توضيح الأمور ، GoTo ، الشركة التي تقف وراء منتجات مثل GoToMyPC و GoToWebinar و LogMeIn و (السعال والسعال) وغيرها التي تقول لقد "اكتشفوا نشاطًا غير عادي داخل بيئة التطوير الخاصة بنا وخدمة التخزين السحابية لجهات خارجية."
بول ، ماذا نعرف؟
تعترف GoTo: تمت سرقة النسخ الاحتياطية السحابية للعملاء مع مفتاح فك التشفير
بطة. كان ذلك في اليوم الأخير من شهر نوفمبر 2022.
و (السعال ، السعال) التي ذكرتها سابقًا ، بالطبع ، هي شركة تابعة / تابعة لـ GoTo ، أو شركة تابعة لمجموعتهم ، LastPass.
بالطبع ، كانت القصة الكبيرة خلال عيد الميلاد خرق LastPass ل.
الآن ، يبدو أن هذا الخرق مختلف ، عما قاله Goto وقاله الآن.
يعترفون بأن الخدمة السحابية التي تم اختراقها في النهاية هي نفس الخدمة التي تمت مشاركتها مع LastPass.
لكن الأشياء التي تم اختراقها ، على الأقل من طريقة كتابتها ، تبدو وكأنها قد تم اختراقها بشكل مختلف.
واستغرق الأمر حتى هذا الأسبوع - بعد شهرين تقريبًا - حتى تعود GoTo بتقييم لما توصلوا إليه.
والأخبار ليست جيدة على الإطلاق ، دوج.
لأن مجموعة كاملة من المنتجات ... سأقرأها: Central و Pro و Join.me و Hamachi و RemotelyAnywhere.
بالنسبة لجميع هذه المنتجات ، تمت سرقة النسخ الاحتياطية المشفرة لعناصر العملاء ، بما في ذلك بيانات الحساب.
ولسوء الحظ ، تمت سرقة مفتاح فك التشفير لبعض هذه النسخ الاحتياطية على الأقل.
هذا يعني أنها في الأساس * غير * مشفرة بمجرد أن تصبح في أيدي المحتالين.
وكان هناك منتجان آخران ، وهما Rescue و GoToMyPC ، حيث تمت سرقة ما يسمى بـ "إعدادات MFA" ، ولكن لم يتم تشفيرها حتى.
لذلك ، في كلتا الحالتين لدينا ، على ما يبدو: كلمات مرور مجزأة ومملحة مفقودة ، ولدينا هذه الإعدادات الغامضة "MFA (مصادقة متعددة العوامل)".
بالنظر إلى أن هذه البيانات تبدو مرتبطة بالحساب ، فليس من الواضح ما هي "إعدادات MFA" ، ومن المؤسف أن GoTo لم يكن أكثر وضوحًا.
وسؤالي الملح هو ...
.. هل تتضمن هذه الإعدادات أشياء مثل رقم الهاتف الذي قد يتم إرسال رموز 2FA SMS إليه؟
بذرة البداية لأكواد 2FA المستندة إلى التطبيق؟
و / أو تلك الرموز الاحتياطية التي تتيح لك العديد من الخدمات إنشاء عدد قليل منها ، فقط في حالة فقد هاتفك أو هاتفك يتم تبديل بطاقة SIM?
إرسال مبادل بطاقة SIM إلى السجن لسرقة عملة مشفرة بقيمة 2FA تزيد عن 20 مليون دولار
دوغ. أوه ، نعم - نقطة جيدة!
بطة. أو فشل برنامج المصادقة.
دوغ. نعم.
بطة. لذا ، إذا كانوا أيًا من هؤلاء ، فقد يكون ذلك مشكلة كبيرة.
دعونا نأمل أن هذه لم تكن "إعدادات أسلوب العائالت المتعددة" ...
... لكن إغفال التفاصيل هناك يعني أنه ربما يكون من المفيد افتراض أنها كانت ، أو ربما كانت ، من بين البيانات التي سُرقت.
دوغ. وبالحديث عن الإغفالات المحتملة ، فلدينا المطلوب ، "لقد تسربت كلمات المرور الخاصة بك. لكن لا تقلق ، فقد تم تمليحها وتجزئتها ".
لكن ليس كل التمليح والتجزئة والتمدد هو نفسه ، أليس كذلك؟
بطة. حسنًا ، لم يذكروا الجزء الممتد!
هذا هو المكان الذي لا تقوم فيه فقط بتجزئة كلمة المرور مرة واحدة.
إذا قمت بتجزئةها ، لا أعرف ... 100,100 مرة ، أو 5000 مرة ، أو 50 مرة ، أو مليون مرة ، فقط لجعل الأمر أصعب قليلاً على المحتالين.
وكما تقول ... نعم ، ليست كل عمليات التمليح والتجزئة متساوية.
أعتقد أنك تحدثت مؤخرًا إلى حد ما في البودكاست عن خرق حيث سُرقت بعض كلمات المرور المملحة والمجزأة ، واتضح ، على ما أعتقد ، أن الملح كان رمزًا مكونًا من رقمين ، من "00" إلى "99"!
لذا ، كل ما تحتاجه هو 100 طاولة مختلفة بألوان قوس قزح ...
... طلب كبير ، لكنه قابل للتنفيذ.
وحيث كانت التجزئة * جولة واحدة * من MD5 ، والتي يمكنك إجراؤها بمليارات التجزئة في الثانية ، حتى على المعدات المتواضعة.
لذا ، فقط جانباً ، إذا كنت مؤسفًا بما يكفي لتعاني من خرق من هذا النوع بنفسك ، حيث تفقد كلمات مرور العملاء المجزأة ، فإنني أوصيك بالخروج عن طريقك لتكون نهائيًا بشأن الخوارزمية وإعدادات المعلمات التي تريدها يستخدمون.
لأنه يعطي القليل من الراحة للمستخدمين حول المدة التي قد يستغرقها المحتالون للقيام بعملية الاختراق ، وبالتالي إلى أي مدى تحتاج إلى تغيير كل كلمات المرور الخاصة بك!
دوغ. حسنا.
لدينا بعض النصائح ، بالطبع ، بدءًا من: قم بتغيير كل كلمات المرور المتعلقة بالخدمات التي تحدثنا عنها سابقًا.
بطة. نعم ، هذا شيء يجب عليك فعله.
هذا ما نوصي به عادةً عند سرقة كلمات المرور المجزأة ، حتى لو كانت مجزأة للغاية.
دوغ. حسنا.
ولدينا: أعد تعيين أي تسلسلات رموز 2FA مستندة إلى التطبيق تستخدمها في حساباتك.
بطة. نعم ، أعتقد أنك قد تفعل ذلك أيضًا.
دوغ. حسنا.
ولدينا: إعادة إنشاء رموز احتياطية جديدة.
بطة. عندما تفعل ذلك مع معظم الخدمات ، إذا كانت الرموز الاحتياطية ميزة ، فسيتم التخلص من الرموز القديمة تلقائيًا ، وستحل الرموز الجديدة محلها تمامًا.
دوغ. وأخيرا وليس آخرا: ضع في اعتبارك التبديل إلى رموز 2FA المستندة إلى التطبيق إذا استطعت.
بطة. تتمتع رموز الرسائل القصيرة بميزة عدم وجود سر مشترك ؛ ليس هناك بذرة.
إنه مجرد رقم عشوائي حقًا يولده الطرف الآخر في كل مرة.
هذا هو الشيء الجيد في الأشياء المستندة إلى الرسائل القصيرة.
كما قلنا ، الشيء السيئ هو تبديل بطاقة SIM.
وإذا كنت بحاجة إلى تغيير تسلسل الرمز المستند إلى التطبيق أو أين تذهب رموز الرسائل القصيرة ...
... من الأسهل بكثير بدء تسلسل تطبيق 2FA جديد بدلاً من تغيير رقم هاتفك المحمول! [يضحك]
دوغ. حسنا.
وكما قلت مرارًا وتكرارًا (قد أحصل على هذا الوشم على صدري في مكان ما) ، سنراقب ذلك.
ولكن ، في الوقت الحالي ، لدينا واجهة برمجة تطبيقات T-Mobile مسربة مسؤولة عن سرقة ...
(دعني أتحقق من ملاحظاتي هنا: [LOUD BELLOW OFF-MIC] سبعة وثلاثون مليونًا!؟! ؟؟!)
...37 مليون سجلات العملاء:
بطة. نعم.
هذا مزعج قليلاً ، أليس كذلك؟ [ضحك]
لأن 37 مليون رقم ضخم بشكل لا يصدق ... ومن المفارقات أنه يأتي بعد عام 2022 ، العام الذي دفعت فيه T-Mobile 500 مليون دولار لتسوية المشكلات المتعلقة بانتهاك البيانات الذي عانت منه T-Mobile في عام 2021.
الآن ، الخبر السار ، إذا كان بإمكانك تسميته ، هو: آخر مرة ، تضمنت البيانات التي تم اختراقها أشياء مثل أرقام الضمان الاجتماعي [SSNs] وتفاصيل رخصة القيادة.
لذلك هذا حقًا ما يمكن أن تسميه أشياء "عالية الجودة" لسرقة الهوية.
هذه المرة ، الخرق كبير ، لكن ما أفهمه هو أنه تفاصيل الاتصال الإلكترونية الأساسية ، بما في ذلك رقم هاتفك ، إلى جانب تاريخ الميلاد.
يذهب هذا إلى حد ما نحو مساعدة المحتالين في سرقة الهوية ، ولكن ليس في أي مكان قريب من شيء مثل SSN أو صورة ممسوحة ضوئيًا لرخصة القيادة الخاصة بك.
دوغ. حسنًا ، لدينا بعض النصائح إذا تأثرت بهذا ، بدءًا من: لا تنقر على روابط "مفيدة" في رسائل البريد الإلكتروني أو الرسائل الأخرى.
يجب أن أفترض أنه سيتم إنشاء عدد كبير من رسائل البريد الإلكتروني العشوائية والتصيد الاحتيالي من هذا الحادث.
بطة. إذا تجنبت الروابط ، كما نقول دائمًا ، ووجدت طريقك الخاص هناك ، فحينئذٍ سواء كان بريدًا إلكترونيًا شرعيًا أم لا ، مع رابط أصلي أو مزيف ...
... إذا لم تنقر فوق الروابط الجيدة ، فلن تنقر فوق الروابط السيئة أيضًا!
دوغ. وهذا يتوافق بشكل جيد مع نصيحتنا الثانية: فكر قبل النقر فوق.
وبعد ذلك ، بالطبع ، نصيحتنا الأخيرة: أبلغ عن تلك الرسائل الإلكترونية المشبوهة لفريق تكنولوجيا المعلومات في عملك.
بطة. عندما يبدأ المحتالون في هجمات التصيد الاحتيالي ، لا يرسله المحتالون بشكل عام إلى شخص واحد داخل الشركة.
لذا ، إذا حدث أن أول شخص يرى تصيدًا في شركتك أطلق جرس الإنذار ، فعلى الأقل لديك فرصة لتحذير الـ 49 الآخرين!
دوغ. ممتازة.
حسنًا ، بالنسبة لمستخدمي iOS 12 الموجودين هناك ... إذا كنت تشعر بأنك مستبعد من جميع تصحيحات يوم الصفر الأخيرة ، فافعل ذلك لدينا قصة لك اليوم!
تم إيقاف تصحيحات Apple - حصلت أجهزة iPhone القديمة على إصلاح قديم في يوم الصفر أخيرًا!
بطة. لدينا ، دوغ!
أنا سعيد جدًا ، لأن الجميع يعلم أنني أحب هاتفي القديم الذي يعمل بنظام التشغيل iOS 12.
لقد مررنا ببعض الأوقات الممتازة ، وفي بعض جولات ركوب الدراجات الطويلة والرائعة معًا حتى ... [ضحك]
... الشخص المصيري الذي أصبت فيه بشكل جيد بما يكفي للتعافي ، وأصيب الهاتف بجروح كافية لدرجة أنه بالكاد يمكنك رؤيته من خلال شقوق الشاشة بعد الآن ، لكنه لا يزال يعمل!
أحبه عندما يحصل على تحديث!
دوغ. أعتقد أن هذا كان عندما تعلمت الكلمة برانغ.
بطة. [وقفة] ماذا ؟!
هذا ولا كلمة لك؟
دوغ. لا!
بطة. أعتقد أنه جاء من سلاح الجو الملكي في الحرب العالمية الثانية ... كان ذلك بمثابة "تحطيم [تحطم] طائرة".
لذلك ، هناك ملف قرع، وبعد ذلك ، أعلى بكثير من أقرع ، يأتي برانغ، على الرغم من أن كلاهما لهما نفس الصوت.
دوغ. حسنًا ، مسكتك.
بطة. مفاجأة ، مفاجأة - بعد عدم وجود تحديثات iOS 12 للأعمار ، حصل الهاتف المرن على تحديث ...
... لخلل يوم صفر كان الخطأ الغامض الذي تم إصلاحه منذ بعض الوقت في iOS 16 فقط ... [WHISPER] سرا جدا من Apple ، إذا كنت تتذكر ذلك.
دوغ. أوه ، أتذكر ذلك!
تدفع Apple تحديث أمان iOS الذي أصبح أكثر إحكامًا من أي وقت مضى
بطة. كان هناك تحديث iOS 16 هذا ، ثم ظهرت بعض التحديثات لاحقًا كل الآخرين منصات Apple ، بما في ذلك iOS 15.
وقالت آبل ، "أوه ، نعم ، في الواقع ، الآن نفكر في الأمر ، لقد كان يوم الصفر. لقد نظرنا الآن في الأمر ، على الرغم من أننا سارعنا بتحديث نظام التشغيل iOS 16 ولم نفعل أي شيء لنظام iOS 15 ، فقد اتضح أن الخطأ ينطبق فقط على نظام التشغيل iOS 15 والإصدارات الأقدم ". [يضحك]
إذن ، يا له من لغز غريب!
لكن على الأقل قاموا بتصحيح كل شيء في النهاية.
الآن ، اتضح أن يوم الصفر القديم هذا مصحح الآن في نظام التشغيل iOS 12.
وهذا واحد من أيام WebKit التي لا تبدو وكأنها تستخدم في البرية هي من أجل زرع البرامج الضارة.
وهذه ، كالعادة ، تنبعث منها رائحة شيء مثل برامج التجسس.
بالمناسبة ، كان هذا هو الخطأ الوحيد الذي تم إصلاحه في نظام التشغيل iOS 12 والذي تم إدراجه - فقط هذا 0 يوم.
حصلت الأنظمة الأساسية الأخرى على الكثير من الإصلاحات لكل منها.
لحسن الحظ ، يبدو أن هؤلاء جميعًا استباقيون ؛ لم تُدرج Apple أيًا منها على أنها "تتعرض للاستغلال النشط".
[وقفة]
حسنًا ، دعنا ننتقل إلى شيء مثير للغاية ، دوج!
أعتقد أننا في "typios" ، أليس كذلك؟
دوغ. نعم!
• سؤال لقد كنت أسأل نفسي ... [IRONIC] لا أستطيع تذكر المدة ، وأنا متأكد من أن الآخرين يسألون ، "كيف يمكن للأخطاء المطبعية المتعمدة تحسين أمان DNS؟"
بطة. [يضحك]
ومن المثير للاهتمام ، أن هذه الفكرة ظهرت لأول مرة في عام 2008 ، في وقت قريب من ذلك الوقت دان كامينسكي، الذي كان باحثًا أمنيًا معروفًا في تلك الأيام ، اكتشف أن هناك بعض مخاطر "تخمين الرد" على خوادم DNS والتي ربما كان استغلالها أسهل بكثير مما كان يعتقده الناس.
حيث يمكنك ببساطة النقر على الردود على خوادم DNS ، على أمل أن تتطابق مع طلب صادر لم يكن لديه إجابة رسمية حتى الآن.
أنت فقط تعتقد ، "حسنًا ، أنا متأكد من أن شخصًا ما في شبكتك يجب أن يكون مهتمًا بالذهاب إلى المجال naksec.test
فقط الآن. لذا اسمحوا لي أن أرسل مجموعة كاملة من الردود التي تقول ، 'مرحبًا ، لقد سألت عن ذلك naksec.test
؛ ها هو"…
... ويرسلون لك رقم خادم [IP] وهمي تمامًا.
هذا يعني أنك أتيت إلى الخادم الخاص بي بدلاً من الذهاب إلى الصفقة الحقيقية ، لذلك قمت باختراق خادمك بشكل أساسي دون الاقتراب من الخادم الخاص بك على الإطلاق!
وتعتقد ، "حسنًا ، كيف يمكنك إرسال أي رد؟ بالتأكيد هناك نوع من ملفات تعريف الارتباط السحرية للتشفير في طلب DNS الصادر؟ "
هذا يعني أن الخادم قد يلاحظ أن الرد اللاحق كان مجرد شخص ما اختلقه.
حسنًا ، كنت تعتقد أن… لكن تذكر أن DNS رأى النور لأول مرة في 1987، دوغ.
ولم يكن الأمان مجرد مشكلة كبيرة في ذلك الوقت ، ولكن لم يكن هناك مكان ، نظرًا لعرض النطاق الترددي للشبكة اليوم ، لملفات تعريف الارتباط المشفرة الطويلة بما فيه الكفاية.
لذا يطلب DNS ، إذا ذهبت إلى RFC 1035، محمية (بشكل فضفاض ، دوغ) برقم تعريف فريد ، نأمل أن يتم إنشاؤه عشوائيًا بواسطة مرسل الطلب.
احزر كم هم ، دوغ ...
دوغ. ليس طويلا بما يكفي؟
بطة. 16 بت.
دوغ. اوهههههههههه.
بطة. هذا نوع - قصير جدًا ... كان نوعًا ما قصيرًا جدًا ، حتى في عام 1987!
لكن 16 بتة * XNUMX بايت كاملة *.
عادةً ما يكون مقدار الانتروبيا ، كما هو الحال في المصطلحات ، التي قد تكون لديك في طلب DNS (مع عدم إضافة بيانات ملفات تعريف الارتباط الأخرى - طلب DNS أساسي أصلي على الطراز القديم) ...
... لديك رقم منفذ مصدر UDP 16 بت (على الرغم من أنك لا تستطيع استخدام كل الـ 16 بت ، لذا دعنا نسميها 15 بت).
ولديك رقم التعريف المكون من 16 بت الذي تم اختياره عشوائيًا ... نأمل أن يختار الخادم الخاص بك بشكل عشوائي ، ولا يستخدم تسلسلًا يمكن تخمينه.
إذن لديك 31 بت من العشوائية.
وعلى الرغم من 231 [ما يزيد قليلاً عن 2 مليار] عبارة عن عدد كبير من الطلبات المختلفة التي يتعين عليك إرسالها ، وهي ليست بأي حال من الأحوال خارجة عن المألوف هذه الأيام.
حتى على جهاز الكمبيوتر المحمول القديم الخاص بي ، دوغ ، أرسل 216 [65,536،XNUMX] طلبات UDP مختلفة إلى خادم DNS تستغرق فترة زمنية قصيرة بما لا يقاس.
لذا ، فإن 16 بتًا تكون فورية تقريبًا ، و 31 بتًا قابلة للتنفيذ.
لذا كانت الفكرة ، في طريق العودة في عام 2008 ...
ماذا لو أخذنا اسم المجال الذي تبحث عنه ، على سبيل المثال ، naksec.test
، وبدلاً من القيام بما يفعله معظم محللي DNS والقول ، "أريد البحث n-a-k-s-e-c dot t-e-s-t
، "كلها بأحرف صغيرة لأن الأحرف الصغيرة تبدو لطيفة (أو ، إذا كنت تريد أن تكون في المدرسة القديمة ، فكلها بأحرف كبيرة ، لأن DNS غير حساس لحالة الأحرف ، تذكر)؟
ماذا لو بحثنا nAKseC.tESt
، مع تسلسل مختار عشوائيًا من الأحرف الصغيرة ، والأحرف الكبيرة ، والأحرف الكبيرة ، والصغيرة ، وما إلى ذلك ، ونتذكر التسلسل الذي استخدمناه ، وننتظر رد الرد؟
لأن ردود DNS ملزمة بالحصول على نسخة من الطلب الأصلي فيها.
ماذا لو تمكنا من استخدام بعض البيانات في هذا الطلب كنوع من "الإشارة السرية"؟
من خلال مزج العلبة ، سيتعين على المحتالين تخمين منفذ مصدر UDP ؛ سيتعين عليهم تخمين رقم تعريف 16 بت في الرد ؛ * و * سيتعين عليهم تخمين كيف اخترنا miS-sPEll nAKsEc.TeST
.
وإذا فهموا أيًا من هذه الأشياء الثلاثة بشكل خاطئ ، فإن الهجوم يفشل.
دوغ. مدهش اجل!
بطة. وقررت Google ، "مرحبًا ، لنجرب هذا."
المشكلة الوحيدة هي أنه في أسماء النطاقات القصيرة حقًا (لذا فهي رائعة وسهلة الكتابة ويسهل تذكرها) ، مثل Twitter t.co
، ستحصل على ثلاثة أحرف فقط يمكن تغيير حالتهم.
لا يساعد ذلك دائمًا ، ولكن إذا تحدثنا بشكل فضفاض ، فكلما زاد طول اسم المجال الخاص بك ، ستكون أكثر أمانًا! [يضحك]
وظننت أنها قصة صغيرة لطيفة ...
دوغ. مع بدء غروب الشمس في عرضنا لهذا اليوم ، لدينا تعليق من القراء.
الآن ، جاء هذا التعليق في أعقاب البودكاست الأسبوع الماضي ، الموسم 3 الحلقة 118.
S3 Ep118: احزر كلمة المرور الخاصة بك؟ لا داعي إذا كانت مسروقة بالفعل! [صوت + نص]
يكتب القارئ ستيفن ... يقول في الأساس:
لقد سمعت مؤخرًا يا رفاق تتحدثون كثيرًا عن مديري كلمات المرور - قررت أن أقوم بتشغيل مدير كلمات المرور الخاص بي.
أقوم بإنشاء كلمات المرور الآمنة هذه ؛ يمكنني تخزينها على شريحة ذاكرة أو عصي ، فقط أوصل العصا عندما أحتاج إلى استخراج كلمة مرور واستخدامها.
هل سيكون نهج العصا منخفض المخاطر بشكل معقول؟
أعتقد أنه يمكنني التعرف على تقنيات التشفير لترميز المعلومات وفك تشفيرها على العصا ، لكن لا يسعني الشعور بأن ذلك قد يأخذني بعيدًا عن النهج البسيط الذي أسعى إليه.
لذا ، ماذا تقول يا بول؟
بطة. حسنًا ، إذا أخذك الأمر بعيدًا عن النهج "البسيط" ، فهذا يعني أنه سيكون معقدًا.
وإذا كان الأمر معقدًا ، فهذا تدريب تعليمي رائع ...
... ولكن ربما لا يكون تشفير كلمة المرور هو الشيء الذي تريد إجراء تلك التجارب فيه. [ضحك]
دوغ. أعتقد أنني سمعتك تقول من قبل في هذا البرنامج بالذات عدة مرات مختلفة: "لا داعي لتشغيل التشفير الخاص بك ؛ هناك العديد من مكتبات التشفير الجيدة التي يمكنك الاستفادة منها ".
بطة. نعم ... لا تحبك ، أو كروشيه ، أو تطريزًا ، أو تخيط التشفير الخاص بك إذا كان بإمكانك مساعدته!
المشكلة التي يحاول ستيفن حلها هي: "أريد تخصيص محرك أقراص USB قابل للإزالة لإدخال كلمات مرور عليه - كيف يمكنني القيام بتشفير محرك الأقراص بطريقة مريحة؟"
وتوصيتي هي أنه يجب عليك البحث عن شيء يقوم بتشفير كامل الجهاز [FDE] * داخل نظام التشغيل *.
بهذه الطريقة ، يكون لديك محرك أقراص USB مخصص ؛ قمت بتوصيله ، ويقول نظام التشغيل ، "هذا مشوش - أحتاج إلى رمز المرور."
ويتعامل نظام التشغيل مع فك تشفير محرك الأقراص بالكامل.
الآن ، يمكنك تشفير * الملفات * داخل الجهاز * المشفر * ، لكن هذا يعني أنه إذا فقدت الجهاز ، فإن القرص بأكمله ، أثناء عدم تركيبه وفصله عن جهاز الكمبيوتر الخاص بك ، يكون ملفوفًا تمزيقه.
وبدلاً من محاولة ربط برنامج تشغيل الجهاز الخاص بك للقيام بذلك ، فلماذا لا تستخدم واحدًا مدمجًا في نظام التشغيل؟
هذه هي توصيتي.
وهذا هو المكان الذي يصبح فيه الأمر سهلاً ومعقدًا بعض الشيء في نفس الوقت.
إذا كنت تقوم بتشغيل Linux ، فأنت تستخدم LUKS [إعداد مفتاح Linux الموحد].
على أجهزة Mac ، الأمر سهل حقًا: لديك تقنية تسمى قبو ملف هذا مدمج في جهاز Mac.
في Windows ، يتم استدعاء ما يعادل FileVault أو LUKS ميزة BitLocker؛ ربما سمعت عنها.
تكمن المشكلة في أنه إذا كان لديك أحد إصدارات Windows الرئيسية ، فلا يمكنك عمل طبقة تشفير القرص الكامل على محركات الأقراص القابلة للإزالة.
عليك أن تذهب وتنفق المزيد للحصول على إصدار Pro ، أو Windows من نوع الأعمال ، حتى تتمكن من استخدام تشفير BitLocker للقرص الكامل.
أعتقد أن هذا أمر مؤسف.
أتمنى أن تقول Microsoft فقط ، "نحن نشجعك على استخدامه حيثما أمكن - على جميع أجهزتك إذا كنت ترغب في ذلك."
لأنه حتى لو لم يفعل ذلك معظم الناس ، فإن بعض الناس على الأقل سيفعلون ذلك.
هذه نصيحتي.
الشيء الخارج عن ذلك هو أنه إذا كان لديك Windows ، واشتريت جهاز كمبيوتر محمول ، على سبيل المثال ، في متجر استهلاكي بإصدار Home ، فسيتعين عليك إنفاق القليل من المال الإضافي.
لأنه ، على ما يبدو ، تشفير محركات الأقراص القابلة للإزالة ، إذا كنت أحد عملاء Microsoft ، ليس مهمًا بما يكفي لإدخاله في الإصدار الرئيسي من نظام التشغيل.
دوغ. حسنًا ، جيد جدًا.
شكرا لك ، ستيفن ، لإرسال ذلك.
إذا كانت لديك قصة مثيرة للاهتمام أو تعليق أو سؤال ترغب في إرساله ، فنحن نحب قراءته في البودكاست.
يمكنك إرسال بريد إلكتروني إلى tips@sophos.com ، أو التعليق على أي من مقالاتنا ، أو يمكنك التواصل معنا على مواقع التواصل الاجتماعي:NakedSecurity.
هذا هو عرضنا لهذا اليوم - شكرًا جزيلاً على الاستماع.
بالنسبة لبول دوكلين ، أنا دوج آموث ، أذكرك ، حتى المرة القادمة ، بـ ...
على حد سواء. كن آمنا!
[مودم موسيقي]
- محتوى مدعوم من تحسين محركات البحث وتوزيع العلاقات العامة. تضخيم اليوم.
- بلاتوبلوكشين. Web3 Metaverse Intelligence. تضخيم المعرفة. الوصول هنا.
- المصدر https://nakedsecurity.sophos.com/2023/01/26/s3-ep119-breaches-patches-leaks-and-tweaks-audio-text/
- 000
- 1
- 100
- 1996
- 2021
- 2022
- 2FA
- a
- ماهرون
- من نحن
- حوله
- فوق
- حسابي
- الحسابات
- نشاط
- في الواقع
- وأضاف
- يعترف
- مميزات
- نصيحة
- بعد
- الأعمار
- AIR
- قوة جوية
- إنذار
- خوارزمية
- الكل
- حسنا
- بالرغم ان
- دائما
- وسط
- كمية
- قديم
- و
- إجابة
- في أى مكان
- API
- التطبيق
- تفاح
- نهج
- التطبيقات
- حول
- مقالات
- التقييم المناسبين
- مهاجمة
- الهجمات
- سمعي
- التحقّق من المُستخدم
- المؤلفة
- تلقائيا
- الى الخلف
- دعم
- النسخ الاحتياطي
- سيئة
- عرض النطاق الترددي
- الأساسية
- في الأساس
- لان
- أصبح
- قبل
- وراء
- يجري
- اعتقد
- أقل من
- ما بين
- Beyond
- كبير
- مليار
- المليارات
- قطعة
- اشترى
- خرق
- مخالفات
- علة
- نساعدك في بناء
- بنيت
- دعوة
- تسمى
- حقيبة
- الحالات
- مركزي
- بالتأكيد
- فرصة
- تغيير
- متغير
- الأحرف
- التحقق
- اختار
- اختيار
- عيد الميلاد
- واضح
- المقاصة
- سحابة
- سحابة التخزين
- الكود
- قهوة
- COM
- تأتي
- راحة
- التعليق
- حول الشركة
- تماما
- معقد
- الكمبيوتر
- الرابط
- مستهلك
- التواصل
- مناسب
- ملفات تعريف الارتباط ( الكوكيز )
- رائع
- استطاع
- الدورة
- تحطمها
- خلق
- العملات المشفرة
- التشفير
- زبون
- الأمن السيبراني
- البيانات
- البيانات الاختراق
- التاريخ
- يوم
- أيام
- صفقة
- المخصصة
- قررت
- مكرسة
- مخصصة
- نهائي
- تفاصيل
- التطوير التجاري
- جهاز
- الأجهزة
- مختلف
- DNS
- لا
- فعل
- نطاق
- اسم نطاق
- أسماء المجال
- لا
- DOT
- قيادة
- سائق
- قيادة
- قطرة
- كل
- في وقت سابق
- أسهل
- إما
- إلكتروني
- البريد الإلكتروني
- رسائل البريد الإلكتروني
- شجع
- مشفرة
- التشفير
- كاف
- كامل
- تماما
- البيئة
- معدات
- معادل
- أساسيا
- حتى
- EVER
- كل شخص
- كل شىء
- ممتاز
- استغلال
- استغلال
- احتفل على
- استخراج
- عين
- فشل
- بإنصاف
- مألوف
- الميزات
- قليل
- أحسب
- أخيرا
- الاسم الأول
- حل
- ثابت
- القوة
- وجدت
- تبدأ من
- على العموم
- توليد
- ولدت
- يولد
- دولار فقط واحصل على خصم XNUMX% على جميع
- منح
- معطى
- Go
- يذهب
- الذهاب
- خير
- شراء مراجعات جوجل
- اذهب إلى
- عظيم
- تجمع
- متزايد
- اخترق
- العناية باليد
- يحدث
- يحدث
- سعيد
- مزيج
- المجزأة
- وجود
- سمعت
- السمع
- سرقة
- مساعدة
- مساعدة
- هنا
- ضرب
- الصفحة الرئيسية
- أمل
- نأمل
- أمل
- كيفية
- كيفية
- HTTPS
- سوف
- فكرة
- هوية
- هوية
- أهمية
- تحسن
- in
- حادث
- تتضمن
- شامل
- بما فيه
- لا يصدق
- معلومات
- بدلًا من ذلك
- يستفد
- وكتابة مواضيع مثيرة للاهتمام
- اخترع
- آيفون
- IP
- بسخرية
- قضية
- مسائل
- IT
- يناير
- رطانة
- جافا
- جافا سكريبت
- الانضمام
- احتفظ
- القفل
- نوع
- متماسكة
- علم
- لغة
- كمبيوتر محمول
- كبير
- اسم العائلة
- LastPass
- متأخر
- طبقة
- التسريبات
- تعلم
- تعلم
- الرافعة المالية
- المكتبات
- رخصة
- ضوء
- LINK
- وصلات
- لينكس
- المدرج
- استماع
- القليل
- تحميل
- الأحمال
- طويل
- يعد
- بحث
- بدا
- أبحث
- تبدو
- فقد
- الكثير
- حب
- منخفض
- لجنة الهدنة العسكرية
- صنع
- سحر
- جعل
- القيام ب
- البرمجيات الخبيثة
- مديرو
- تعويذة
- كثير
- مباراة
- MD5
- يعني
- مكبر الصوت : يدعم، مع دعم ميكروفون مدمج لمنع الضوضاء
- المذكورة
- رسائل
- مایکروسافت
- ربما
- مليون
- مفقود
- الجوال
- الهاتف المحمول
- مال
- المقبلة.
- الأكثر من ذلك
- أكثر
- خطوة
- مصادقة متعددة العوامل
- موسيقى
- موسيقي
- غامض
- سر
- الأمن عارية
- بودكاست الأمن العاري
- الاسم
- أسماء
- قرب
- تقريبا
- حاجة
- شبكة
- جديد
- أخبار
- التالي
- عادة
- ملاحظة
- نوفمبر
- عدد
- أرقام
- بلوط
- Office
- رسمي
- قديم
- ONE
- تعمل
- نظام التشغيل
- الفرصة
- طلب
- العادي
- أصلي
- أخرى
- أخرى
- في الخارج
- الخاصة
- مدفوع
- المعلمة
- جزء
- حفلة
- كلمة المرور
- كلمات السر
- بقع
- بول
- مجتمع
- ربما
- فترة
- شخص
- التصيد
- التصيد
- هجمات التصيد
- للهواتف
- رمية
- المنصة
- منصات التداول
- أفلاطون
- الذكاء افلاطون البيانات
- أفلاطون داتا
- بودكاست
- بودكاست
- البوينت
- دفرة
- شعبية
- ممكن
- المنشورات
- السجن
- برو
- استباقية
- المحتمل
- المشكلة
- المنتجات
- البرنامج
- برنامج
- المبرمجين
- برمجة وتطوير
- محمي
- سؤال
- رفع
- عشوائية
- بشكل عشوائي
- العشوائية
- عرض
- قارئ
- حقيقي
- امر جدي
- الأخيرة
- مؤخرا
- نوصي
- توصية مجاناً
- تسجيل
- استعادة
- ذات صلة
- الافراج عن
- تذكر
- مرارا وتكرارا
- يحل محل
- الرد
- طلب
- طلبات
- مطلوب
- إنقاذ
- الباحث
- مسؤول
- يكشف
- المخاطرة
- المخاطر
- لفة
- غرفة
- ملكي
- آر إس إس
- يجري
- تشغيل
- أكثر أمانا
- قال
- ملح
- نفسه
- شاشة
- الثاني
- سيكريت
- تأمين
- أمن
- بذرة
- تسعى
- يبدو
- يرى
- قطعة
- إرسال
- تسلسل
- خوادم
- الخدمة
- خدماتنا
- طقم
- إعدادات
- الإعداد
- عدة
- شاركت
- قصير
- ينبغي
- إظهار
- هام
- الاشارات
- ببساطة
- SMS
- So
- العدالة
- حل
- بعض
- شخص ما
- شيء
- في مكان ما
- مصدر
- البريد المزعج
- تحدث
- أنفق
- سبوتيفي
- برامج التجسس
- بداية
- ابتداء
- إقامة
- ستيفن
- لا يزال
- مسروق
- تخزين
- متجر
- قصتنا
- موضوع
- تقدم
- لاحق
- هذه
- تعرض جيد للشمس
- بالتأكيد
- مفاجأة
- مشكوك فيه
- نظام
- تي موبايل
- أخذ
- يأخذ
- حديث
- فريق
- التكنولوجيا
- تقنيات
- تكنولوجيا
- •
- سرقة
- من مشاركة
- وبالتالي
- شيء
- الأشياء
- الثالث
- هذا الأسبوع
- فكر
- ثلاثة
- عبر
- الوقت
- مرات
- معلومات سرية
- نصائح
- إلى
- اليوم
- سويا
- نحو
- مشكلة
- تحول
- في النهاية
- فهم
- يؤسف له
- موحد
- فريد من نوعه
- موصول
- تحديث
- آخر التحديثات
- URL
- us
- USB
- تستخدم
- المستخدمين
- الإصدار
- انتظر
- تحذير
- على شبكة الإنترنت
- طقم الويب
- أسبوع
- معروف
- ابحث عن
- سواء
- التي
- في حين
- همس
- من الذى
- ويكيبيديا
- بري
- سوف
- نوافذ
- في غضون
- بدون
- كلمة
- للعمل
- عمل
- العالم
- قيمة
- سوف
- اكتب
- خاطئ
- عام
- أنت
- حل متجر العقارات الشامل الخاص بك في جورجيا
- نفسك
- زفيرنت
- علة اليوم صفر