VERLETZUNGEN, Flicken, Lecks und Optimierungen
Neueste Episode – jetzt anhören.
Klicken und ziehen Sie auf die unten stehenden Schallwellen, um zu einem beliebigen Punkt zu springen. Du kannst auch direkt zuhören auf Soundcloud.
Mit Doug Aamoth und Paul Ducklin
Intro- und Outro-Musik von Edith Mudge.
Ihr könnt uns auf hören Soundcloud, Apple Podcasts, Google Podcasts, Spotify, Stitcher und überall, wo gute Podcasts zu finden sind. Oder lass es einfach fallen URL unseres RSS-Feeds in Ihren Lieblings-Podcatcher.
LESEN SIE DAS TRANSKRIPT
DOUG. Verstöße, Verstöße, Patches und Tippfehler.
All das und mehr im Naked Security-Podcast.
[MUSIKMODEM]
Willkommen zum Podcast, alle zusammen.
Ich bin Doug Aamoth; er ist Daul Pucklin …
…Es tut mir leid, Paul!
ENTE. Ich glaube, ich habe es herausgefunden, Doug.
„Typios“ ist ein Audio-Tippfehler.
DOUG. Genau!
ENTE. Ja… gut gemacht, dieser Mann!
DOUG. Was haben Tippfehler also mit Cybersicherheit zu tun?
Darauf gehen wir ein…
Aber zuerst – wir fangen gerne mit unserem an Diese Woche in der Technologiegeschichte Segment.
In dieser Woche, am 23. Januar 1996, hieß es in Version 1.0 des Java Development Kit: „Hello, world.
"
Sein Mantra „Einmal schreiben, überall ausführen“ und seine Veröffentlichung genau zu dem Zeitpunkt, als die Popularität des Internets ihren Höhepunkt erreichte, machten es zu einer hervorragenden Plattform für webbasierte Apps.
Spulen wir bis heute vor, und wir sind bei Version 19, Paul.
ENTE. Wir sind!
Java, oder?
Oder „Eiche“.
Ich glaube, das war der ursprüngliche Name, weil die Person, die die Sprache erfand, eine Eiche vor seinem Büro wachsen ließ.
Lassen Sie uns diese Gelegenheit nutzen, Doug, um ein für alle Mal aufzuräumen Verwirrung die viele Leute zwischen Java und JavaScript haben.
DOUG. Oooooh…
ENTE. Viele Leute denken, dass sie verwandt sind.
Sie sind nicht verwandt, Doug.
Sie sind *genau gleich* – eine ist nur die verkürzte … NEIN, ICH MACHE EUCH VOLLSTÄNDIG SPASS!
DOUG. Ich dachte: „Wohin führt das?“ [LACHT]
ENTE. JavaScript erhielt diesen Namen im Grunde, weil das Wort Java cool war …
…und Programmierer laufen auf Kaffee, egal ob sie in Java oder JavaScript programmieren.
DOUG. In Ordnung, sehr gut.
Vielen Dank, dass Sie das geklärt haben.
Und zum Thema Aufräumen, GoTo, das Unternehmen hinter Produkten wie GoToMyPC, GoToWebinar, LogMeIn und (hust, hust) anderen sagt, dass Sie haben „ungewöhnliche Aktivitäten in unserer Entwicklungsumgebung und dem Cloud-Speicherdienst eines Drittanbieters festgestellt“.
Paul, was wissen wir?
GoTo gibt zu: Kunden-Cloud-Backups zusammen mit Entschlüsselungsschlüssel gestohlen
ENTE. Das war am letzten Novembertag 2022.
Und das (hust, hust), das Sie zuvor erwähnt haben, ist natürlich die Tochtergesellschaft/Tochtergesellschaft von GoTo oder das Unternehmen, das Teil ihrer Gruppe ist, LastPass.
Natürlich war die große Geschichte über Weihnachten Verletzung von LastPass.
Nun, dieser Bruch scheint ein anderer zu sein als das, was Goto jetzt herausgebracht und gesagt hat.
Sie geben zu, dass der Cloud-Dienst, der letztendlich verletzt wurde, derselbe ist, der mit LastPass geteilt wird.
Aber das Zeug, das gebrochen wurde, klingt zumindest so, wie sie es geschrieben haben, anders gebrochen worden zu sein.
Und es dauerte bis zu dieser Woche – fast zwei Monate später – bis GoTo mit einer Bewertung der Ergebnisse zurückkam.
Und die Neuigkeiten sind überhaupt nicht gut, Doug.
Denn jede Menge Produkte… Ich lese sie vor: Central, Pro, join.me, Hamachi und RemotelyAnywhere.
Für all diese Produkte wurden verschlüsselte Backups von Kundendaten, einschließlich Kontodaten, gestohlen.
Und leider wurde der Entschlüsselungsschlüssel für zumindest einige dieser Backups mit ihnen gestohlen.
Das bedeutet also, dass sie im Wesentlichen *nicht* verschlüsselt sind, sobald sie in den Händen der Gauner sind.
Und es gab zwei weitere Produkte, nämlich Rescue und GoToMyPC, bei denen sogenannte „MFA-Einstellungen“ gestohlen, aber nicht einmal verschlüsselt wurden.
In beiden Fällen haben wir also anscheinend: gehashte und gesalzene Passwörter fehlen, und wir haben diese mysteriösen „MFA (Multifaktor-Authentifizierung)-Einstellungen“.
Angesichts der Tatsache, dass es sich anscheinend um kontobezogene Daten handelt, ist nicht klar, was diese „MFA-Einstellungen“ sind, und es ist schade, dass GoTo nicht ein bisschen expliziter war.
Und meine brennende Frage ist…
..umfassen diese Einstellungen Dinge wie die Telefonnummer, an die SMS-2FA-Codes möglicherweise gesendet werden?
Der Startschuss für App-basierte 2FA-Codes?
Und/oder diese Sicherungscodes, mit denen Sie bei vielen Diensten einige erstellen können, nur für den Fall, dass Sie Ihr Telefon oder Ihr Telefon verlieren SIM wird getauscht?
SIM-Swapper wegen 2FA-Kryptowährungsraubs von über 20 Millionen Dollar ins Gefängnis geschickt
DOUG. Oh ja – guter Punkt!
ENTE. Oder Ihr Authentifizierungsprogramm schlägt fehl.
DOUG. Ja.
ENTE. Also, wenn sie einer von denen sind, dann könnte das große Probleme geben.
Hoffen wir, dass das nicht die „MFA-Einstellungen“ waren…
…aber das Weglassen der Details dort bedeutet, dass es sich wahrscheinlich lohnt anzunehmen, dass sie unter den gestohlenen Daten waren oder gewesen sein könnten.
DOUG. Und wo wir gerade von möglichen Auslassungen sprechen, wir haben die Voraussetzung: „Ihre Passwörter sind durchgesickert. Aber keine Sorge, sie wurden gesalzen und gehasht.“
Aber nicht alles Salzen-und-Hashing-und-Strecken ist das gleiche oder?
Seriöse Sicherheit: So speichern Sie die Passwörter Ihrer Benutzer sicher
ENTE. Nun, sie haben den Stretching-Teil nicht erwähnt!
Dort hashst du das Passwort nicht nur einmal.
Sie hassen es, ich weiß nicht ... 100,100 Mal oder 5000 Mal oder 50 Mal oder eine Million Mal, nur um es den Gaunern ein bisschen schwerer zu machen.
Und wie Sie sagen … ja, nicht alles Salzen und Haschisch ist gleich.
Ich glaube, Sie haben vor kurzem im Podcast über eine Verletzung gesprochen, bei der einige gesalzene und gehashte Passwörter gestohlen wurden, und es stellte sich, glaube ich, heraus, dass das Salz ein zweistelliger Code war, „00“ bis „99“!
Also, 100 verschiedene Regenbogentische sind alles, was Sie brauchen …
… eine große Bitte, aber es ist machbar.
Und wo der Hash * eine Runde * MD5 war, was Sie mit Milliarden von Hashes pro Sekunde tun können, selbst mit bescheidener Ausrüstung.
Also, nur nebenbei, wenn Sie jemals das Pech haben, selbst einen solchen Verstoß zu erleiden, bei dem Sie die gehashten Passwörter von Kunden verlieren, empfehle ich Ihnen, sich alle Mühe zu geben, um endgültig zu sein, welchen Algorithmus und welche Parametereinstellungen Sie verwenden benutzen.
Weil es Ihren Benutzern ein wenig Trost darüber gibt, wie lange Gauner brauchen könnten, um das Knacken zu erledigen, und wie hektisch Sie daher alle Ihre Passwörter ändern müssen!
DOUG. In Ordnung.
Wir haben natürlich einige Ratschläge, beginnend mit: Ändern Sie alle Passwörter, die sich auf die Dienste beziehen, über die wir zuvor gesprochen haben.
ENTE. Ja, das ist etwas, was Sie tun sollten.
Das würden wir normalerweise empfehlen, wenn gehashte Passwörter gestohlen werden, selbst wenn sie superstark gehasht sind.
DOUG. OK.
Und wir haben: Setzen Sie alle App-basierten 2FA-Codesequenzen zurück, die Sie für Ihre Konten verwenden.
ENTE. Ja, ich denke, das könntest du auch machen.
DOUG. OK.
Und wir haben: Generieren Sie neue Backup-Codes neu.
ENTE. Wenn Sie dies bei den meisten Diensten tun und Backup-Codes eine Funktion sind, werden die alten automatisch weggeworfen und durch die neuen vollständig ersetzt.
DOUG. Und zu guter Letzt: Erwägen Sie, wenn möglich, auf App-basierte 2FA-Codes umzusteigen.
ENTE. SMS-Codes haben den Vorteil, dass es kein gemeinsames Geheimnis gibt; es gibt keinen Samen.
Es ist nur eine echte Zufallszahl, die das andere Ende jedes Mal generiert.
Das ist das Gute an SMS-basierten Sachen.
Wie gesagt, das Schlimme ist das SIM-Swapping.
Und wenn Sie entweder Ihre App-basierte Codesequenz oder den Ort Ihrer SMS-Codes ändern müssen …
… es ist viel, viel einfacher, eine neue 2FA-App-Sequenz zu starten, als Ihre Handynummer zu ändern! [LACHT]
DOUG. OK.
Und wie ich schon wiederholt gesagt habe (ich könnte mir das irgendwo auf die Brust tätowieren lassen), wir werden das im Auge behalten.
Aber im Moment haben wir eine undichte T-Mobile-API, die für den Diebstahl von …
(Lass mich meine Notizen hier überprüfen: [LOUD BELLOW OFF-MIC] SIEBENDREISSIG MILLIONEN!?!??!)
...37 Millionen Kundendaten:
T-Mobile gibt zu, dass 37,000,000 Kundendatensätze von „bösen Schauspielern“ gestohlen wurden
ENTE. Ja.
Das nervt ein bisschen, oder? [LACHEN]
Denn 37 Millionen sind eine unglaublich große Zahl … und kommen ironischerweise nach 2022, dem Jahr, in dem T-Mobile ausgezahlt hat 500 Mio. US$ zur Beilegung von Problemen im Zusammenhang mit einer Datenschutzverletzung, die T-Mobile im Jahr 2021 erlitten hatte.
Nun, die gute Nachricht, wenn man es so nennen kann, ist: Beim letzten Mal enthielten die Daten, die verletzt wurden, Dinge wie Sozialversicherungsnummern [SSNs] und Führerscheindetails.
Das ist also wirklich das, was man „hochwertigen“ Identitätsdiebstahl nennen könnte.
Diesmal ist die Verletzung groß, aber meines Wissens nach handelt es sich um grundlegende elektronische Kontaktdaten, einschließlich Ihrer Telefonnummer, zusammen mit dem Geburtsdatum.
Das hilft Gaunern bei Identitätsdiebstahl, aber bei weitem nicht so weit wie so etwas wie eine Sozialversicherungsnummer oder ein gescanntes Foto Ihres Führerscheins.
DOUG. OK, wir haben einige Tipps, wenn Sie davon betroffen sind, beginnend mit: Klicken Sie nicht auf „hilfreiche“ Links in E-Mails oder anderen Nachrichten.
Ich muss davon ausgehen, dass durch diesen Vorfall eine Menge Spam- und Phishing-E-Mails generiert werden.
ENTE. Wenn Sie die Links meiden, wie wir immer sagen, und Ihren eigenen Weg dorthin finden, dann ist es egal, ob es sich um eine legitime E-Mail handelt oder nicht, mit einem echten oder einem gefälschten Link …
…wenn Sie nicht auf die guten Links klicken, dann klicken Sie auch nicht auf die schlechten Links!
DOUG. Und das passt gut zu unserem zweiten Tipp: Denken Sie nach, bevor Sie klicken.
Und dann natürlich unser letzter Tipp: Melden Sie diese verdächtigen E-Mails Ihrem geschäftlichen IT-Team.
ENTE. Wenn Gauner Phishing-Angriffe starten, senden die Gauner diese im Allgemeinen nicht an eine Person innerhalb des Unternehmens.
Wenn also die erste Person, die einen Phishing-Angriff in Ihrem Unternehmen sieht, Alarm schlägt, dann haben Sie zumindest eine Chance, die anderen 49 zu warnen!
DOUG. Excellent.
Nun, für Sie iOS 12-Benutzer da draußen … wenn Sie sich von all den letzten Zero-Day-Patches ausgeschlossen gefühlt haben, haben Sie Wir haben eine Geschichte heute für dich!
Apple-Patches sind da – alte iPhones bekommen endlich einen alten Zero-Day-Fix!
ENTE. Wir haben, Doug!
Ich bin ziemlich glücklich, weil jeder weiß, dass ich mein altes iOS 12-Telefon liebe.
Wir haben einige großartige Zeiten durchgemacht und einige lange und supercoole Radtouren zusammen gemacht, bis… [Gelächter]
…die schicksalhafte, bei der ich schwer genug verletzt wurde, um mich zu erholen, und das Telefon so schwer verletzt wurde, dass man kaum noch durch die Ritzen des Bildschirms sehen kann, aber es funktioniert immer noch!
Ich liebe es, wenn es ein Update bekommt!
DOUG. Ich glaube, das war, als ich das Wort lernte prang.
ENTE. [PAUSE] Was?!
Das ist kein Wort für dich?
DOUG. Nein!
ENTE. Ich denke, es kommt von der Royal Air Force im Zweiten Weltkrieg … das war „ein Flugzeug zu stürzen“.
Es gibt also eine ding, und dann, weit über einer Delle, kommt a prang, obwohl beide den gleichen Klang haben.
DOUG. OK, erwischt.
ENTE. Überraschung, Überraschung – nachdem es seit Ewigkeiten keine iOS 12-Updates gab, bekam das Pranged-Telefon ein Update…
…für einen Zero-Day-Bug, der vor einiger Zeit nur in iOS 16 behoben wurde… [WHISPER] sehr heimlich von Apple, wenn Sie sich daran erinnern.
DOUG. Ach, daran erinnere ich mich!
Apple bringt ein iOS-Sicherheitsupdate heraus, das so verschlossen ist wie nie zuvor
ENTE. Es gab dieses iOS 16-Update, und einige Zeit später kamen Updates heraus All die anderen Apple-Plattformen, einschließlich iOS 15.
Und Apple sagte: „Oh ja, eigentlich, wenn wir jetzt darüber nachdenken, war es ein Zero-Day. Jetzt haben wir uns das angesehen, obwohl wir das Update für iOS 16 überstürzt herausgebracht und nichts für iOS 15 getan haben, stellt sich heraus, dass der Fehler nur für iOS 15 und früher gilt.“ [LACHT]
Apple patcht alles und enthüllt endlich das Geheimnis von iOS 16.1.2
Also, wow, was für ein seltsames Rätsel das war!
Aber zumindest haben sie am Ende alles gepatcht.
Nun stellt sich heraus, dass der alte Zero-Day jetzt in iOS 12 gepatcht ist.
Und dies ist einer dieser WebKit-Zero-Days, der so klingt, als ob er in freier Wildbahn für die Implantation von Malware verwendet wurde.
Und das riecht wie immer nach Spyware.
Übrigens war das der einzige Fehler, der in iOS 12 behoben wurde, der aufgelistet wurde – nur dieser eine 0-Tag.
Die anderen Plattformen haben jede Menge Fixes bekommen.
Glücklicherweise scheinen diese alle proaktiv zu sein; keiner von ihnen wird von Apple als „aktiv ausgenutzt“ aufgeführt.
[PAUSE]
Richtig, lass uns zu etwas super Aufregendem übergehen, Doug!
Ich glaube, wir stehen auf die „Typios“, oder?
DOUG. Ja!
Das Frage Ich habe mich gefragt … [IRONIC] Ich kann mich nicht erinnern, wie lange, und ich bin mir sicher, dass andere Leute fragen: „Wie können absichtliche Tippfehler die DNS-Sicherheit verbessern?“
Seriöse Sicherheit: Wie vorsätzliche Tippfehler die DNS-Sicherheit verbessern können
ENTE. [Lacht]
Interessanterweise ist dies eine Idee, die erstmals 2008 aufgetaucht ist, ungefähr zu der Zeit, als die spät Dan Kaminsky, der damals ein bekannter Sicherheitsforscher war, fand heraus, dass DNS-Server einige erhebliche „Reply Guessing“-Risiken enthielten, die vielleicht viel einfacher auszunutzen waren, als die Leute dachten.
Wo Sie einfach Antworten bei DNS-Servern anstupsen, in der Hoffnung, dass sie zufällig mit einer ausgehenden Anfrage übereinstimmen, die noch keine offizielle Antwort hat.
Sie denken einfach: „Nun, ich bin sicher, dass jemand in Ihrem Netzwerk daran interessiert sein muss, zu der Domäne zu gehen naksec.test
gerade jetzt. Lassen Sie mich also eine ganze Menge Antworten zurückschicken, die sagen: „Hey, Sie haben gefragt naksec.test
; Hier ist es"…
…und sie schicken Ihnen eine völlig fiktive Server [IP]-Nummer.
Das bedeutet, dass Sie zu meinem Server kommen, anstatt zum echten Deal zu gehen, also habe ich Ihren Server im Grunde genommen gehackt, ohne überhaupt in die Nähe Ihres Servers zu gehen!
Und Sie denken: „Nun, wie können Sie einfach *irgendeine* Antwort schicken? Sicherlich gibt es eine Art magisches kryptografisches Cookie in der ausgehenden DNS-Anfrage?“
Das bedeutet, dass der Server erkennen könnte, dass eine nachfolgende Antwort nur von jemandem erfunden wurde.
Nun, das würden Sie denken … aber denken Sie daran, dass DNS zum ersten Mal das Licht der Welt erblickte 1987, Doug.
Und Sicherheit war damals nicht nur keine so große Sache, angesichts der damaligen Netzwerkbandbreite war auch kein Platz für lange genug kryptografische Cookies.
Also DNS-Anfragen, wenn Sie gehen RFC 1035, sind (grob gesagt, Doug) durch eine eindeutige Identifikationsnummer geschützt, die hoffentlich zufällig vom Absender der Anfrage generiert wird.
Rate mal, wie lang sie sind, Doug …
DOUG. Nicht lange genug?
ENTE. 16 Bit.
DOUG. Ohhhhhh.
ENTE. Das ist ziemlich kurz ... es war ziemlich kurz, selbst 1987!
Aber 16 Bit sind *zwei ganze Bytes*.
Typischerweise die Menge an Entropie, wie es der Fachjargon sagt, die Sie in einer DNS-Anfrage hätten (ohne weitere hinzugefügte Cookie-Daten – eine einfache DNS-Anfrage im Originalstil der alten Schule) …
…Sie haben eine 16-Bit-UDP-Quellportnummer (obwohl Sie nicht alle 16 Bit verwenden können, nennen wir sie also 15 Bit).
Und Sie haben diese zufällig gewählte 16-Bit-ID-Nummer … hoffentlich wählt Ihr Server zufällig und verwendet keine erratbare Sequenz.
Sie haben also 31 Bits Zufälligkeit.
Und obwohl 231 [knapp über 2 Milliarden] sind viele verschiedene Anfragen, die Sie senden müssten, das ist heutzutage keineswegs ungewöhnlich.
Sogar auf meinem alten Laptop Doug, der 2 sendet16 [65,536] verschiedene UDP-Anfragen an einen DNS-Server dauert eine fast unermesslich kurze Zeit.
16 Bit sind also fast augenblicklich und 31 Bit sind machbar.
Die Idee war also im Jahr 2008 …
Was ist, wenn wir den Domainnamen nehmen, nach dem Sie suchen, sagen wir: naksec.test
, und anstatt zu tun, was die meisten DNS-Resolver tun, und zu sagen: „Ich möchte nachschlagen n-a-k-s-e-c dot t-e-s-t
”, alles in Kleinbuchstaben, weil Kleinbuchstaben gut aussehen (oder, wenn Sie altmodisch sein wollen, alles in GROSSBUCHSTABEN, weil bei DNS die Groß- und Kleinschreibung nicht beachtet wird)?
Was ist, wenn wir nach oben schauen? nAKseC.tESt
, mit einer zufällig gewählten Folge von Kleinbuchstaben, GROSSBUCHSTABEN, GROSSBUCHSTABEN, Kleinbuchstaben usw., und wir erinnern uns, welche Reihenfolge wir verwendet haben, und wir warten auf die Antwort, die zurückkommt?
Weil DNS-Antworten zwingend eine Kopie der ursprünglichen Anfrage enthalten müssen.
Was wäre, wenn wir einige der Daten in dieser Anfrage als eine Art „geheimes Signal“ verwenden könnten?
Indem sie den Fall aufmischen, müssen die Gauner diesen UDP-Quellport erraten; sie müssen diese 16-Bit-Identifikationsnummer in der Antwort erraten; *und* sie müssen erraten, wie wir uns für die falsche Schreibweise entschieden haben nAKsEc.TeST
.
Und wenn sie eines dieser drei Dinge falsch machen, schlägt der Angriff fehl.
DOUG. Wow OK!
ENTE. Und Google entschied: „Hey, lass uns das versuchen.“
Das einzige Problem ist das in wirklich kurzen Domainnamen (so dass sie cool und leicht zu schreiben und leicht zu merken sind), wie die von Twitter t.co
, erhalten Sie nur drei Zeichen, deren Fall geändert werden kann.
Es hilft nicht immer, aber grob gesagt, je länger Ihr Domainname, desto sicherer sind Sie! [LACHT]
Und ich fand das einfach eine nette kleine Geschichte…
DOUG. Da die Sonne für heute in unserer Show untergeht, haben wir einen Leserkommentar.
Nun, dieser Kommentar folgte dem Podcast der letzten Woche, S3 Ep118.
Leser Stephen schreibt … er sagt im Grunde:
Ich habe euch in letzter Zeit oft über Passwort-Manager sprechen hören – ich habe beschlossen, meinen eigenen zu entwickeln.
Ich generiere diese sicheren Passwörter; Ich könnte sie auf einem Memory Stick oder Sticks speichern und den Stick nur anschließen, wenn ich ein Passwort extrahieren und verwenden muss.
Wäre der Stick-Ansatz ein relativ geringes Risiko?
Ich denke, ich könnte mich mit Verschlüsselungstechniken vertraut machen, um Informationen auf dem Stick zu kodieren und zu dekodieren, aber ich werde das Gefühl nicht los, dass mich das weit über den einfachen Ansatz hinausführen wird, den ich suche.
Also, was sagst du, Paul?
ENTE. Nun, wenn es Sie weit über den „einfachen“ Ansatz hinausführt, bedeutet das, dass es kompliziert wird.
Und wenn es kompliziert ist, dann ist das eine großartige Lernübung …
…aber vielleicht ist die Passwortverschlüsselung nicht das Ding, wo Sie diese Experimente durchführen möchten. [LACHEN]
DOUG. Ich glaube, ich habe Sie schon mehrmals zu genau diesem Programm sagen hören: „Sie brauchen keine eigene Verschlüsselung zu erstellen; Es gibt mehrere gute Verschlüsselungsbibliotheken, die Sie nutzen können.“
ENTE. Ja … stricken, häkeln, sticken oder kreuzstichen Sie nicht Ihre eigene Verschlüsselung, wenn Sie es möglicherweise vermeiden können!
Das Problem, das Stephen zu lösen versucht, lautet: „Ich möchte einen USB-Wechseldatenträger mit Passwörtern versehen – wie kann ich das Laufwerk auf bequeme Weise verschlüsseln?“
Und meine Empfehlung ist, dass Sie sich für etwas entscheiden sollten, das eine vollständige Geräteverschlüsselung [FDE] *innerhalb des Betriebssystems* durchführt.
Auf diese Weise haben Sie einen dedizierten USB-Stick; Sie schließen es an und das Betriebssystem sagt: „Das ist verschlüsselt – ich brauche den Passcode.“
Und das Betriebssystem befasst sich mit der Entschlüsselung des gesamten Laufwerks.
Jetzt können Sie verschlüsselte *Dateien* innerhalb des verschlüsselten *Geräts* haben, aber das bedeutet, dass, wenn Sie das Gerät verlieren, die gesamte Festplatte, während sie ausgehängt und von Ihrem Computer getrennt ist, geschredderter Kohl ist.
Und anstatt zu versuchen, dafür einen eigenen Gerätetreiber zu bauen, warum nicht einen in das Betriebssystem integrierten verwenden?
Das ist meine Empfehlung.
Und hier wird es gleichzeitig einfach und ein wenig kompliziert.
Wenn Sie Linux ausführen, verwenden Sie LUKS [Linux Unified Key-Setup].
Auf Macs ist es wirklich einfach: Sie haben eine Technologie namens Datentresor das ist in den Mac eingebaut.
Unter Windows wird das Äquivalent von FileVault oder LUKS aufgerufen BitLocker; Sie haben wahrscheinlich davon gehört.
Das Problem ist, dass Sie, wenn Sie eine der Home-Versionen von Windows haben, diese Verschlüsselungsschicht für die gesamte Festplatte nicht auf Wechseldatenträgern anwenden können.
Sie müssen das Extra ausgeben, um die Pro-Version oder das Business-Windows zu erhalten, um die BitLocker-Festplattenverschlüsselung verwenden zu können.
Ich finde das schade.
Ich wünschte, Microsoft würde einfach sagen: „Wir ermutigen Sie, es so zu verwenden, wie und wo Sie können – auf allen Ihren Geräten, wenn Sie möchten.“
Denn selbst wenn die meisten Leute es nicht tun, werden es zumindest einige Leute tun.
Das ist also mein Rat.
Der Ausreißer ist, dass Sie, wenn Sie Windows haben und beispielsweise in einem Verbrauchergeschäft einen Laptop mit der Home-Version gekauft haben, etwas mehr Geld ausgeben müssen.
Denn anscheinend ist die Verschlüsselung von Wechseldatenträgern, wenn Sie ein Microsoft-Kunde sind, nicht wichtig genug, um sie in die Home-Version des Betriebssystems zu integrieren.
DOUG. In Ordnung, sehr gut.
Danke, Stefan, für das Einsenden.
Wenn Sie eine interessante Geschichte, einen Kommentar oder eine Frage haben, die Sie einreichen möchten, würden wir sie gerne im Podcast lesen.
Sie können eine E-Mail an tips@sophos.com senden, einen unserer Artikel kommentieren oder uns in den sozialen Netzwerken kontaktieren: @NakedSecurity.
Das ist unsere Show für heute – vielen Dank fürs Zuhören.
Für Paul Ducklin bin ich Doug Aamoth und erinnere Sie bis zum nächsten Mal daran, …
BEIDE. Bleib sicher!
[MUSIKMODEM]
- SEO-gestützte Content- und PR-Distribution. Holen Sie sich noch heute Verstärkung.
- Platoblockkette. Web3-Metaverse-Intelligenz. Wissen verstärkt. Hier zugreifen.
- Quelle: https://nakedsecurity.sophos.com/2023/01/26/s3-ep119-breaches-patches-leaks-and-tweaks-audio-text/
- 000
- 1
- 100
- 1996
- 2021
- 2022
- 2FA
- a
- Fähig
- Über Uns
- darüber
- oben
- Konto
- Trading Konten
- Aktivität
- berührt das Schneidwerkzeug
- hinzugefügt
- eingestehen
- Vorteil
- Beratung
- Nach der
- Jahre
- LUFT
- Air Force
- Alarm
- Algorithmus
- Alle
- Gut
- Obwohl
- immer
- unter
- Betrag
- Alt
- und
- beantworten
- von jedem Standort
- Bienen
- App
- Apple
- Ansatz
- Apps
- um
- Artikel
- Bewertung
- Attacke
- Anschläge
- Audio-
- Authentifizierung
- Autor
- Im Prinzip so, wie Sie es von Google Maps kennen.
- Zurück
- Sicherungskopie
- Sicherungen
- Badewanne
- Bandbreite
- basic
- Grundsätzlich gilt
- weil
- werden
- Bevor
- hinter
- Sein
- Glauben
- unten
- zwischen
- Beyond
- Big
- Milliarde
- Milliarden
- Bit
- gekauft
- Verletzung
- Verstöße
- Fehler
- bauen
- erbaut
- rufen Sie uns an!
- namens
- Häuser
- Fälle
- Hauptgeschäftsstelle
- sicherlich
- Chance
- Übernehmen
- Ändern
- Zeichen
- aus der Ferne überprüfen
- wählten
- gewählt
- Weihnachten
- klar
- Clearing
- Cloud
- Cloud-Speicher
- Code
- Kaffee
- COM
- wie die
- optimalen Komfort
- Kommentar
- Unternehmen
- uneingeschränkt
- kompliziert
- Computer
- Sich zusammenschliessen
- Verbraucher
- Kontakt
- Praktische
- Cookies
- cool
- könnte
- Kurs
- Crashing
- erstellen
- kryptowährung
- kryptographisch
- Kunde
- Internet-Sicherheit
- technische Daten
- Datenmissbrauch
- Datum
- Tag
- Tage
- Deal
- Angebote
- entschieden
- engagiert
- gewidmet
- definitiv
- Details
- Entwicklung
- Gerät
- Geräte
- anders
- dns
- Tut nicht
- Dabei
- Domain
- Domain Name
- DOMAIN NAMEN
- Nicht
- DOT
- Antrieb
- Fahrer
- Fahren
- Drop
- jeder
- Früher
- einfacher
- entweder
- elektronisch
- E-Mails
- ermutigen
- verschlüsselt
- Verschlüsselung
- genug
- Ganz
- vollständig
- Arbeitsumfeld
- Ausrüstung
- Äquivalent
- im Wesentlichen
- Sogar
- ÜBERHAUPT
- jedermann
- alles
- Ausgezeichnet
- Ausnutzen
- Exploited
- extra
- Extrakt
- Auge
- scheitert
- ziemlich
- vertraut
- Merkmal
- wenige
- gemustert
- Endlich
- Finden Sie
- Vorname
- Fixieren
- fixiert
- Zwingen
- gefunden
- für
- allgemein
- erzeugen
- erzeugt
- erzeugt
- bekommen
- ABSICHT
- gegeben
- Go
- Goes
- gehen
- gut
- Gehe zu
- groß
- Gruppe an
- persönlichem Wachstum
- gehackt
- Hände
- passieren
- das passiert
- glücklich
- Hash-
- gehasht
- mit
- gehört
- Hörtests
- Raubüberfall
- Hilfe
- Unternehmen
- hier
- Hit
- Startseite
- ein Geschenk
- Hoffentlich
- Hoffnung
- Ultraschall
- Hilfe
- HTTPS
- KRANK
- Idee
- Login
- Identitätsschutz
- wichtig
- zu unterstützen,
- in
- Zwischenfall
- das
- inklusive
- Einschließlich
- unglaublich
- Information
- beantragen müssen
- interessiert
- interessant
- Erfunden
- iOS
- IP
- Ironisch
- Problem
- Probleme
- IT
- Januar
- Jargon
- Javac
- JavaScript
- join
- Behalten
- Wesentliche
- Art
- stricken
- Wissen
- Sprache
- Laptop
- grosse
- Nachname
- Lastpass
- Spät
- Schicht
- Undichtigkeiten
- gelernt
- lernen
- Hebelwirkung
- Bibliotheken
- Lizenz
- !
- LINK
- Links
- linux
- Gelistet
- Hören
- wenig
- Belastung
- Belastungen
- Lang
- länger
- aussehen
- sah
- suchen
- SIEHT AUS
- verlieren
- Los
- ich liebe
- Sneaker
- mac
- gemacht
- Magie
- um
- Making
- Malware
- Manager
- Mantra
- viele
- Spiel
- MD5
- Mittel
- Memory
- erwähnt
- Nachrichten
- Microsoft
- könnte
- Million
- Kommt demnächst...
- Mobil
- Handy
- Geld
- Monat
- mehr
- vor allem warme
- schlauer bewegen
- Multifaktor-Authentifizierung
- Musik
- Musical
- geheimnisvoll
- Mystery
- Nackte Sicherheit
- Nackter Sicherheits-Podcast
- Name
- Namen
- In der Nähe von
- fast
- Need
- Netzwerk
- Neu
- News
- weiter
- Normalerweise
- Notizen
- November
- Anzahl
- Zahlen
- Eiche
- Office
- offiziell
- Alt
- EINEM
- die
- Betriebssystem
- Gelegenheit
- Auftrag
- gewöhnlich
- Original
- Andere
- Anders
- aussen
- besitzen
- bezahlt
- Parameter
- Teil
- Party
- Passwort
- Passwörter
- Patches
- Alexander
- Personen
- vielleicht
- Zeit
- person
- Phishing
- Phishing
- Phishing-Attacken
- Telefon
- Tonhöhe (Pitch)
- Plattform
- Plattformen
- Plato
- Datenintelligenz von Plato
- PlatoData
- Podcast
- Podcasts
- Points
- Sack
- Popularität
- möglich
- BLOG-POSTS
- Gefängnis
- Pro
- Proaktives Handeln
- wahrscheinlich
- Aufgabenstellung:
- Produkte
- Programm
- programm
- Programmierer
- Programmierung
- geschützt
- Frage
- erhöhen
- zufällig
- zufällig generiert
- Zufälligkeit
- Lesen Sie mehr
- Leser
- echt
- gutes Geschäft
- kürzlich
- kürzlich
- empfehlen
- Software Empfehlungen
- Aufzeichnungen
- Entspannung
- bezogene
- Release
- merken
- WIEDERHOLT
- ersetzen
- antworten
- Anforderung
- Zugriffe
- Requisit
- retten
- Forscher
- für ihren Verlust verantwortlich.
- Enthüllt
- Risiko
- Risiken
- Rollen
- Zimmer
- königlich
- rss
- Führen Sie
- Laufen
- Sicherheit
- Said
- Salz
- gleich
- Bildschirm
- Zweite
- Die Geheime
- Verbindung
- Sicherheitdienst
- Samen
- auf der Suche nach
- scheint
- sieht
- Segment
- Sendung
- Reihenfolge
- Fertige Server
- Lösungen
- kompensieren
- Einstellungen
- Setup
- mehrere
- von Locals geführtes
- Short
- sollte
- erklären
- signifikant
- Einfacher
- einfach
- SMS
- So
- Social Media
- LÖSEN
- einige
- Jemand,
- etwas
- irgendwo
- Klingen
- Quelle
- Spam
- Sprechen
- verbringen
- Spotify
- Spyware
- Anfang
- Beginnen Sie
- bleiben
- Johannes
- Immer noch
- gestohlen
- Lagerung
- speichern
- Geschichte
- Fach
- abschicken
- Folge
- so
- Sun
- sicherlich
- Überraschung
- misstrauisch
- System
- T-Mobile
- Nehmen
- nimmt
- Reden
- Team
- Tech
- Techniken
- Technologie
- Das
- Diebstahl
- ihr
- deswegen
- Ding
- Dritte
- diese Woche
- dachte
- nach drei
- Durch
- Zeit
- mal
- Tip
- Tipps
- zu
- heute
- gemeinsam
- gegenüber
- Ärger
- Turned
- Letztlich
- Verständnis
- unglücklich
- einheitlich
- einzigartiges
- unplugged
- Aktualisierung
- Updates
- URL
- us
- USB
- -
- Nutzer
- Version
- warten
- Warnung
- Webbasiert
- Webkit
- Woche
- bekannt
- Was
- ob
- welche
- während
- Flüstern
- WHO
- Wikipedia
- Wild
- werden wir
- Fenster
- .
- ohne
- Word
- Arbeiten
- gearbeitet
- weltweit wie ausgehandelt und gekauft ausgeführt wird.
- wert
- würde
- schreiben
- Falsch
- Jahr
- Du
- Ihr
- sich selbst
- Zephyrnet
- Zero-Day-Fehler