INFRACTIONS, CORRECTIONS, FUITES ET AJUSTEMENTS
Dernier épisode – écoutez maintenant.
Cliquez et faites glisser sur les ondes sonores ci-dessous pour passer à n'importe quel point. Vous pouvez également écouter directement sur Soundcloud.
Avec Doug Aamoth et Paul Ducklin
Musique d'intro et d'outro par Edith Mud.
Vous pouvez nous écouter sur Soundcloud, Podcasts Apple, Podcasts Google, Spotify, piqueur et partout où l'on trouve de bons podcasts. Ou déposez simplement le URL de notre flux RSS dans votre podcatcher préféré.
LIRE LA TRANSCRIPTION
DOUG. Violations, brèches, correctifs et fautes de frappe.
Tout cela, et plus encore, sur le podcast Naked Security.
[MODÈME MUSICAL]
Bienvenue sur le podcast, tout le monde.
Je suis Doug Aamoth ; il est Daul Pucklin…
… Je suis désolé, Paul !
CANARD. Je pense que j'ai compris, Doug.
"Typios" est une faute de frappe audio.
DOUG. Exactement!
CANARD. Oui… bravo, cet homme !
DOUG. Alors, qu'est-ce que les fautes de frappe ont à voir avec la cybersécurité ?
Nous allons entrer dans cela…
Mais d'abord - nous aimons commencer par notre Cette semaine dans l'histoire de la technologie segment.
Cette semaine, le 23 janvier 1996, la version 1.0 du kit de développement Java disait : «Hello, world.
»
Son mantra, "Écrivez une fois, exécutez n'importe où", et sa sortie juste au moment où la popularité du Web atteignait son paroxysme, en ont fait une excellente plate-forme pour les applications Web.
Avance rapide jusqu'à aujourd'hui, et nous sommes à la version 19, Paul.
CANARD. Nous sommes!
Java, hein ?
Ou "Chêne".
Je crois que c'était son nom d'origine, parce que la personne qui a inventé la langue avait un chêne qui poussait à l'extérieur de son bureau.
Profitons de cette occasion, Doug, pour éclaircir, une fois pour toutes, le confusion que beaucoup de gens ont entre Java et JavaScript.
DOUG. Ooooooh…
CANARD. Beaucoup de gens pensent qu'ils sont liés.
Ils ne sont pas liés, Doug.
Ils sont *exactement les mêmes* - l'un d'eux est juste le raccourci… NON, JE ME PLAISE COMPLÈTEMENT SUR VOUS !
DOUG. J'étais, comme, "Où est-ce que ça va?" [DES RIRES]
CANARD. JavaScript a essentiellement obtenu ce nom parce que le mot Java était cool…
… et les programmeurs fonctionnent au café, qu'ils programment en Java ou en JavaScript.
DOUG. D'accord, très bien.
Merci d'avoir clarifié cela.
Et au sujet de la clarification des choses, GoTo, la société à l'origine de produits tels que GoToMyPC, GoToWebinar, LogMeIn et (toux, toux) autres dit ça ils ont "détecté une activité inhabituelle dans notre environnement de développement et notre service de stockage en nuage tiers".
Paul, que savons-nous ?
GoTo admet : les sauvegardes cloud des clients ont été volées avec la clé de déchiffrement
CANARD. C'était le dernier jour de novembre 2022.
Et le (toux, toux) que vous avez mentionné plus tôt, bien sûr, est la filiale/filiale de GoTo, ou la société qui fait partie de leur groupe, LastPass.
Bien sûr, la grande histoire de Noël était La brèche de LastPass.
Maintenant, cette brèche semble être différente de ce que Goto a dit maintenant.
Ils admettent que le service cloud qui a finalement été piraté est le même que celui partagé avec LastPass.
Mais les éléments qui ont été piratés, du moins d'après la façon dont ils l'ont écrit, semblent avoir été piratés différemment.
Et il a fallu attendre cette semaine – près de deux mois plus tard – pour que GoTo revienne avec une évaluation de ce qu'ils ont trouvé.
Et les nouvelles ne sont pas bonnes du tout, Doug.
Parce que tout un tas de produits… Je vais les lire : Central, Pro, join.me, Hamachi et RemotelyAnywhere.
Pour tous ces produits, les sauvegardes cryptées des données des clients, y compris les données de compte, ont été volées.
Et, malheureusement, la clé de déchiffrement d'au moins certaines de ces sauvegardes a été volée avec elles.
Cela signifie donc qu'ils ne sont essentiellement *pas* cryptés une fois qu'ils sont entre les mains des escrocs.
Et il y avait deux autres produits, qui étaient Rescue et GoToMyPC, où les soi-disant "paramètres MFA" ont été volés, mais n'étaient même pas chiffrés.
Donc, dans les deux cas, nous avons apparemment : des mots de passe hachés et salés manquants, et nous avons ces mystérieux paramètres "MFA (authentification multifacteur)".
Étant donné qu'il semble s'agir de données liées au compte, la nature de ces "paramètres MFA" n'est pas claire, et il est dommage que GoTo n'ait pas été un peu plus explicite.
Et ma question brûlante est…
..ces paramètres incluent-ils des éléments tels que le numéro de téléphone auquel les codes SMS 2FA peuvent être envoyés ?
La graine de départ pour les codes 2FA basés sur les applications ?
Et/ou ces codes de secours dont de nombreux services vous permettent de créer quelques-uns, juste au cas où vous perdriez votre téléphone ou votre La carte SIM est échangée?
DOUG. Oh, oui - bon point!
CANARD. Ou votre programme d'authentification échoue.
DOUG. Oui.
CANARD. Donc, s'ils sont l'un de ceux-là, cela pourrait être un gros problème.
Espérons que ce ne sont pas les "paramètres MFA"…
… mais l'omission des détails ici signifie qu'il vaut probablement la peine de supposer qu'ils étaient, ou auraient pu être, parmi les données qui ont été volées.
DOUG. Et, en parlant d'éventuelles omissions, nous avons la condition requise : « Vos mots de passe ont fui. Mais ne vous inquiétez pas, ils étaient salés et hachés.
Mais pas tout salage-et-hachage-et-étirement c'est pareil, non ?
Serious Security : comment stocker les mots de passe de vos utilisateurs en toute sécurité
CANARD. Eh bien, ils n'ont pas mentionné la partie étirement !
C'est là que vous ne hachez pas le mot de passe une seule fois.
Vous l'avez haché, je ne sais pas… 100,100 5000 fois, ou 50 fois, ou XNUMX fois, ou un million de fois, juste pour rendre les choses un peu plus difficiles pour les escrocs.
Et comme vous le dites… oui, tous les salage et hachage ne sont pas égaux.
Je pense que vous avez parlé assez récemment sur le podcast d'une violation où des mots de passe salés et hachés ont été volés, et il s'est avéré, je pense, que le sel était un code à deux chiffres, "00" à "99" !
Donc, 100 tables arc-en-ciel différentes, c'est tout ce dont vous avez besoin...
… une grosse demande, mais c'est faisable.
Et où le hachage était * un tour * de MD5, ce que vous pouvez faire à des milliards de hachages par seconde, même sur un équipement modeste.
Donc, juste en aparté, si jamais vous avez la malchance de subir vous-même une violation de ce type, où vous perdez les mots de passe hachés des clients, je vous recommande de faire tout votre possible pour être définitif sur l'algorithme et les paramètres que vous utilisent.
Parce que cela rassure un peu vos utilisateurs sur le temps qu'il faudra aux escrocs pour craquer, et donc sur la frénésie avec laquelle vous devez changer tous vos mots de passe !
DOUG. D'accord.
Nous avons bien sûr quelques conseils, à commencer par : Modifiez tous les mots de passe liés aux services dont nous avons parlé précédemment.
CANARD. Oui, c'est quelque chose que vous devriez faire.
C'est ce que nous recommandons normalement lorsque des mots de passe hachés sont volés, même s'ils sont très fortement hachés.
DOUG. D'ACCORD.
Et nous avons : Réinitialisez toutes les séquences de code 2FA basées sur l'application que vous utilisez sur vos comptes.
CANARD. Oui, je pense que tu pourrais aussi bien faire ça.
DOUG. D'ACCORD.
Et nous avons : Régénérez de nouveaux codes de secours.
CANARD. Lorsque vous faites cela avec la plupart des services, si les codes de sauvegarde sont une fonctionnalité, les anciens sont automatiquement jetés et les nouveaux les remplacent entièrement.
DOUG. Et enfin, mais non des moindres: Envisagez de passer aux codes 2FA basés sur les applications si vous le pouvez.
CANARD. Les codes SMS ont l'avantage qu'il n'y a pas de secret partagé ; il n'y a pas de graine.
C'est juste un nombre vraiment aléatoire que l'autre extrémité génère à chaque fois.
C'est la bonne chose à propos des trucs basés sur SMS.
Comme nous l'avons dit, la mauvaise chose est l'échange de cartes SIM.
Et si vous avez besoin de changer soit votre séquence de code basée sur l'application, soit la destination de vos codes SMS…
… il est beaucoup, beaucoup plus facile de démarrer une nouvelle séquence d'applications 2FA que de changer votre numéro de téléphone mobile ! [DES RIRES]
DOUG. D'ACCORD.
Et, comme je l'ai dit à plusieurs reprises (je pourrais me faire tatouer quelque part sur la poitrine), nous garderons un œil là-dessus.
Mais, pour l'instant, nous avons une API T-Mobile qui fuit responsable du vol de…
(Laissez-moi vérifier mes notes ici : [LOUD BELLOW OFF-MIC] TRENTE-SEPT MILLIONS !?!??!)
...37 millions fiches clients :
T-Mobile admet 37,000,000 XNUMX XNUMX de dossiers clients volés par un "mauvais acteur"
CANARD. Oui.
C'est un peu ennuyeux, n'est-ce pas ? [RIRE]
Parce que 37 millions est un nombre incroyablement grand… et, ironiquement, vient après 2022, l'année où T-Mobile a payé 500 millions de dollars pour régler les problèmes liés à une violation de données que T-Mobile avait subie en 2021.
Maintenant, la bonne nouvelle, si vous pouvez l'appeler ainsi, est la suivante : la dernière fois, les données qui ont été piratées comprenaient des éléments tels que les numéros de sécurité sociale [SSN] et les détails du permis de conduire.
C'est donc vraiment ce que vous pourriez appeler des trucs d'usurpation d'identité « de haut niveau ».
Cette fois, la violation est importante, mais je crois comprendre qu'il s'agit de coordonnées électroniques de base, y compris votre numéro de téléphone, ainsi que votre date de naissance.
Cela contribue en partie à aider les escrocs en cas d'usurpation d'identité, mais loin d'être aussi loin que quelque chose comme un SSN ou une photo scannée de votre permis de conduire.
DOUG. OK, nous avons quelques conseils si vous êtes concerné par cela, en commençant par : Ne cliquez pas sur les liens « utiles » dans les e-mails ou autres messages.
Je dois supposer qu'une tonne de spams et d'e-mails de phishing vont être générés à partir de cet incident.
CANARD. Si vous évitez les liens, comme nous le disons toujours, et que vous y trouvez votre propre chemin, qu'il s'agisse d'un e-mail légitime ou non, avec un lien authentique ou un faux…
… si vous ne cliquez pas sur les bons liens, vous ne cliquerez pas non plus sur les mauvais liens !
DOUG. Et cela cadre bien avec notre deuxième conseil : Pensez avant de cliquer.
Et puis, bien sûr, notre dernier conseil : Signalez ces e-mails suspects à votre équipe informatique professionnelle.
CANARD. Lorsque des escrocs lancent des attaques de phishing, ils ne les envoient généralement pas à une seule personne au sein de l'entreprise.
Donc, si la première personne qui voit un hameçonnage dans votre entreprise donne l'alerte, vous avez au moins une chance d'avertir les 49 autres !
DOUG. Excellent.
Eh bien, pour vous les utilisateurs d'iOS 12 là-bas… si vous vous sentiez exclu de tous les correctifs récents du jour zéro, ayez nous avons une histoire pour vous aujourd'hui !
CANARD. Nous avons, Doug !
Je suis assez content, car tout le monde sait que j'aime mon ancien téléphone iOS 12.
Nous avons traversé d'excellents moments et fait de longues balades à vélo super cool ensemble jusqu'à… [RIRES]
… le fatidique où je me suis suffisamment blessé pour récupérer, et le téléphone s'est suffisamment blessé pour que vous puissiez à peine voir à travers les fissures de l'écran, mais cela fonctionne toujours !
J'adore quand il y a une mise à jour !
DOUG. Je pense que c'est à ce moment que j'ai appris le mot pilonner.
CANARD. [PAUSE] Quoi ? !
Passer du temps au contact de la nature au quotidien augmente notre bien être. Les bénéfices sont physiques et mentaux. Réaliser des activités comme le jardinage, faire de l'exercice en extérieur ou être entouré d'animaux ont de nombreux effets positifs. pas un mot à toi?
DOUG. Non!
CANARD. Je pense que cela vient de la Royal Air Force pendant la Seconde Guerre mondiale… qui « faisait exploser [écraser] un avion ».
Donc, il y a un ding, puis, bien au-dessus d'un ding, vient un pilonner, bien qu'ils aient tous les deux le même son.
DOUG. OK, compris.
CANARD. Surprise, surprise - après n'avoir eu aucune mise à jour iOS 12 pendant des lustres, le téléphone prangé a reçu une mise à jour...
… pour un bogue zero-day qui était le bogue mystérieux corrigé il y a quelque temps dans iOS 16 uniquement… [WHISPER] très secrètement par Apple, si vous vous en souvenez.
DOUG. Ah, je m'en souviens !
Apple publie une mise à jour de sécurité iOS plus discrète que jamais
CANARD. Il y a eu cette mise à jour iOS 16, puis quelques temps plus tard, des mises à jour sont sorties pour tous les autres Plateformes Apple, y compris iOS 15.
Et Apple a dit: «Oh, oui, en fait, maintenant que nous y pensons, c'était un jour zéro. Maintenant que nous l'avons examiné, bien que nous ayons précipité la mise à jour pour iOS 16 et que nous n'ayons rien fait pour iOS 15, il s'avère que le bogue ne s'applique qu'à iOS 15 et versions antérieures. [DES RIRES]
Alors, wow, quel étrange mystère c'était !
Mais au moins, ils ont tout corrigé à la fin.
Maintenant, il s'avère que cet ancien zero-day est maintenant corrigé dans iOS 12.
Et c'est l'un de ces jours zéro WebKit qui semble être utilisé dans la nature pour l'implantation de logiciels malveillants.
Et cela, comme toujours, sent quelque chose comme un logiciel espion.
Soit dit en passant, c'était le seul bogue corrigé dans iOS 12 qui était répertorié - juste ce jour-là.
Les autres plates-formes ont chacune reçu de nombreux correctifs.
Heureusement, ceux-ci semblent tous être proactifs; aucun d'entre eux n'est répertorié par Apple comme "activement exploité".
[PAUSE]
Bon, passons à quelque chose de super excitant, Doug !
Je pense que nous sommes dans les « fautes de frappe », n'est-ce pas ?
DOUG. Oui!
Les question Je me suis demandé… [IRONIQUE] Je ne me souviens pas depuis combien de temps, et je suis sûr que d'autres personnes se demandent : « Comment des fautes de frappe délibérées peuvent-elles améliorer la sécurité DNS ?
Sécurité sérieuse : comment des fautes de frappe délibérées pourraient améliorer la sécurité DNS
CANARD. [DES RIRES]
Fait intéressant, c'est une idée qui a fait surface pour la première fois en 2008, à peu près au moment où le regretté Dan Kaminski, qui était un chercheur en sécurité bien connu à l'époque, a découvert qu'il existait des risques importants de "devinette de réponse" pour les serveurs DNS qui étaient peut-être beaucoup plus faciles à exploiter que les gens ne le pensaient.
Où vous poussez simplement les réponses sur les serveurs DNS, en espérant qu'elles correspondent à une demande sortante qui n'a pas encore eu de réponse officielle.
Vous pensez simplement : "Eh bien, je suis sûr que quelqu'un dans votre réseau doit être intéressé à accéder au domaine naksec.test
à peu près maintenant. Alors permettez-moi de vous renvoyer tout un tas de réponses en disant : "Hé, vous avez posé des questions sur naksec.test
; C'est ici"…
…et ils vous envoient un numéro de serveur [IP] complètement fictif.
Cela signifie que vous venez sur mon serveur au lieu d'aller sur la vraie affaire, donc j'ai essentiellement piraté votre serveur sans m'approcher du tout de votre serveur !
Et vous pensez, "Eh bien, comment pouvez-vous simplement envoyer * n'importe quelle * réponse ? Il y a sûrement une sorte de cookie cryptographique magique dans la requête DNS sortante ? »
Cela signifie que le serveur pourrait remarquer qu'une réponse ultérieure n'était que quelqu'un qui l'inventait.
Eh bien, on pourrait penser que… mais rappelez-vous que le DNS a vu le jour pour la première fois en 1987, Doug.
Et non seulement la sécurité n'était pas si importante à l'époque, mais il n'y avait pas de place, compte tenu de la bande passante du réseau de l'époque, pour des cookies cryptographiques suffisamment longs.
Donc les requêtes DNS, si vous allez sur RFC 1035, sont protégés (en gros, Doug) par un numéro d'identification unique, généré aléatoirement, espérons-le, par l'expéditeur de la demande.
Devine combien de temps ils durent, Doug…
DOUG. Pas assez long?
CANARD. 16 XNUMX bits.
DOUG. Ohhhhhhhh.
CANARD. C'est plutôt court… c'était plutôt court, même en 1987 !
Mais 16 bits correspondent à *deux octets entiers*.
Généralement, la quantité d'entropie, comme le dit le jargon, que vous auriez dans une requête DNS (sans autres données de cookie ajoutées - une requête DNS de base, de style original, à l'ancienne)…
… vous avez un numéro de port source UDP 16 bits (bien que vous n'utilisiez pas tous les 16 bits, appelons-le donc 15 bits).
Et vous avez ce numéro d'identification de 16 bits choisi au hasard… espérons que votre serveur choisit au hasard et n'utilise pas une séquence devinable.
Vous avez donc 31 bits de hasard.
Et bien que 231 [un peu plus de 2 milliards], c'est beaucoup de demandes différentes que vous auriez à envoyer, ce n'est en aucun cas inhabituel de nos jours.
Même sur mon ancien ordinateur portable, Doug, envoyant 216 [65,536 XNUMX] différentes requêtes UDP à un serveur DNS prennent une période de temps presque incommensurablement courte.
Ainsi, 16 bits est presque instantané et 31 bits est faisable.
Donc l'idée, en 2008, c'était...
Et si nous prenions le nom de domaine que vous recherchez, disons, naksec.test
, et au lieu de faire ce que font la plupart des résolveurs DNS et de dire : "Je veux rechercher n-a-k-s-e-c dot t-e-s-t
”, tout en minuscules parce que les minuscules ont l'air bien (ou, si vous voulez être à l'ancienne, tout en MAJUSCULES, parce que le DNS est insensible à la casse, rappelez-vous) ?
Et si nous levions les yeux nAKseC.tESt
, avec une séquence choisie au hasard de minuscules, MAJUSCULES, MAJUSCULES, minuscules, etc., et nous nous souvenons de la séquence que nous avons utilisée, et nous attendons que la réponse revienne ?
Parce que les réponses DNS doivent obligatoirement contenir une copie de la demande d'origine.
Et si nous pouvions utiliser certaines des données de cette requête comme une sorte de « signal secret » ?
En mélangeant l'affaire, les escrocs devront deviner ce port source UDP ; ils devront deviner ce numéro d'identification de 16 bits dans la réponse ; *et* ils devront deviner comment nous avons choisi de mal épeler nAKsEc.TeST
.
Et s'ils se trompent sur l'une de ces trois choses, l'attaque échoue.
DOUG. Wow OK!
CANARD. Et Google a décidé, "Hé, essayons ça."
Le seul problème est que dans les noms de domaine très courts (donc ils sont sympas, faciles à écrire et faciles à retenir), comme celui de Twitter t.co
, vous n'obtenez que trois caractères dont la casse peut être modifiée.
Cela n'aide pas toujours, mais en gros, plus votre nom de domaine est long, plus vous serez en sécurité ! [DES RIRES]
Et j'ai juste pensé que c'était une belle petite histoire…
DOUG. Alors que le soleil commence à se coucher sur notre émission d'aujourd'hui, nous avons un commentaire de lecteur.
Maintenant, ce commentaire est venu dans la foulée du podcast de la semaine dernière, S3 Ep118.
S3 Ep118 : Devinez votre mot de passe ? Pas besoin si c'est déjà volé ! [Audio + Texte]
Le lecteur Stephen écrit… il dit essentiellement :
Je vous ai beaucoup entendu parler de gestionnaires de mots de passe récemment - j'ai décidé de créer le mien.
Je génère ces mots de passe sécurisés ; Je pourrais les stocker sur une ou plusieurs clés USB, en ne connectant la clé que lorsque j'ai besoin d'extraire et d'utiliser un mot de passe.
L'approche du bâton présenterait-elle un risque raisonnablement faible ?
Je suppose que je pourrais me familiariser avec les techniques de cryptage pour coder et décoder les informations sur la clé, mais je ne peux m'empêcher de penser que cela peut m'emmener bien au-delà de la simple approche que je recherche.
Alors, qu'en dites-vous, Paul ?
CANARD. Eh bien, si cela vous emmène bien au-delà de l'approche "simple", cela signifie que cela va être compliqué.
Et si c'est compliqué, c'est un excellent exercice d'apprentissage…
… mais peut-être que le cryptage des mots de passe n'est pas la chose pour laquelle vous voulez faire ces expériences. [RIRE]
DOUG. Je crois que je vous ai déjà entendu dire plusieurs fois sur ce même programme : « Pas besoin de lancer votre propre cryptage ; il existe plusieurs bonnes bibliothèques de chiffrement que vous pouvez exploiter.
CANARD. Oui… ne tricotez pas, ne crochetez pas, ne faites pas de point d'aiguille ou de point de croix avec votre propre cryptage si vous pouvez éventuellement l'aider !
Le problème que Stephen essaie de résoudre est le suivant : "Je souhaite dédier un lecteur USB amovible à des mots de passe. Comment puis-je chiffrer le lecteur de manière pratique ? »
Et ma recommandation est que vous devriez opter pour quelque chose qui effectue un chiffrement complet de l'appareil [FDE] * à l'intérieur du système d'exploitation *.
De cette façon, vous disposez d'une clé USB dédiée ; vous le branchez et le système d'exploitation dit: ""C'est brouillé - j'ai besoin du mot de passe."
Et le système d'exploitation s'occupe de déchiffrer l'intégralité du lecteur.
Maintenant, vous pouvez avoir des * fichiers * cryptés à l'intérieur du * périphérique * crypté, mais cela signifie que, si vous perdez le périphérique, le disque entier, alors qu'il est démonté et débranché de votre ordinateur, est du chou déchiqueté.
Et au lieu d'essayer de créer votre propre pilote de périphérique pour ce faire, pourquoi ne pas en utiliser un intégré au système d'exploitation ?
C'est ma recommandation.
Et c'est là que ça devient à la fois facile et très légèrement compliqué.
Si vous utilisez Linux, vous utilisez LUKS [Configuration de la clé unifiée Linux].
Sur Mac, c'est très simple : vous disposez d'une technologie appelée FileVault qui est intégré au Mac.
Sous Windows, l'équivalent de FileVault ou LUKS s'appelle BitLocker; vous en avez probablement entendu parler.
Le problème est que si vous possédez l'une des versions Home de Windows, vous ne pouvez pas utiliser cette couche de chiffrement intégral du disque sur les lecteurs amovibles.
Vous devez aller dépenser le supplément pour obtenir la version Pro, ou Windows de type entreprise, afin de pouvoir utiliser le chiffrement complet du disque BitLocker.
Je pense que c'est dommage.
J'aimerais que Microsoft dise simplement : "Nous vous encourageons à l'utiliser comme et où vous le pouvez - sur tous vos appareils si vous le souhaitez."
Parce que même si la plupart des gens ne le font pas, au moins certains le feront.
C'est donc mon conseil.
La valeur aberrante est que si vous avez Windows et que vous avez acheté un ordinateur portable, par exemple, dans un magasin grand public avec la version Home, vous allez devoir dépenser un peu d'argent supplémentaire.
Parce que, apparemment, le chiffrement des lecteurs amovibles, si vous êtes un client Microsoft, n'est pas assez important pour être intégré à la version Home du système d'exploitation.
DOUG. D'accord, très bien.
Merci, Stephen, de nous l'avoir envoyé.
Si vous avez une histoire intéressante, un commentaire ou une question que vous aimeriez soumettre, nous serions ravis de le lire sur le podcast.
Vous pouvez envoyer un e-mail à tips@sophos.com, commenter n'importe lequel de nos articles ou nous contacter sur les réseaux sociaux : @NakedSecurity.
C'est notre émission d'aujourd'hui – merci beaucoup pour votre écoute.
Pour Paul Ducklin, je suis Doug Aamoth, vous rappelant, jusqu'à la prochaine fois, de…
TOUS LES DEUX. Restez en sécurité!
[MODÈME MUSICAL]
- Contenu propulsé par le référencement et distribution de relations publiques. Soyez amplifié aujourd'hui.
- Platoblockchain. Intelligence métaverse Web3. Connaissance Amplifiée. Accéder ici.
- La source: https://nakedsecurity.sophos.com/2023/01/26/s3-ep119-breaches-patches-leaks-and-tweaks-audio-text/
- 000
- 1
- 100
- 1996
- 2021
- 2022
- 2FA
- a
- Capable
- Qui sommes-nous
- à propos de ça
- au dessus de
- Compte
- hybrides
- activité
- actually
- ajoutée
- admettre
- Avantage
- conseils
- Après
- Âge
- Transport Aérien
- Air Force
- alarme
- algorithme
- Tous
- D'accord
- Bien que
- toujours
- parmi
- montant
- Ancien
- ainsi que le
- répondre
- de n'importe où
- api
- appli
- Apple
- une approche
- applications
- autour
- sur notre blog
- Évaluation de risque climatique
- attaquer
- Attaques
- acoustique
- Authentification
- auteur
- automatiquement
- RETOUR
- sauvegarde
- sauvegardes
- Mal
- Bande passante
- Essentiel
- En gros
- car
- devenez
- before
- derrière
- va
- CROYONS
- ci-dessous
- jusqu'à XNUMX fois
- Au-delà
- Big
- Milliards
- milliards
- Bit
- acheté
- violation
- infractions
- Punaise
- construire
- construit
- Appelez-nous
- appelé
- maisons
- cas
- central
- Assurément
- Chance
- Change
- en changeant
- caractères
- vérifier
- choisir
- choisi
- Noël
- clair
- Clairière
- le cloud
- stockage cloud
- code
- Café
- COM
- comment
- confort
- commentaire
- Société
- complètement
- compliqué
- ordinateur
- Connecter les
- consommateur
- contact
- Pratique
- biscuits
- Freddi
- pourriez
- Cours
- S'écraser
- engendrent
- crypto-monnaie
- cryptographique
- des clients
- Cybersécurité
- données
- violation de données
- Date
- journée
- jours
- affaire
- Offres
- décidé
- dévoué
- dévoué
- définitive
- détails
- Développement
- dispositif
- Compatibles
- différent
- dns
- Ne fait pas
- faire
- domaine
- Services
- NOMS DE DOMAINE
- Ne pas
- DOT
- motivation
- driver
- conduite
- Goutte
- chacun
- Plus tôt
- plus facilement
- non plus
- Electronique
- emails
- encourager
- crypté
- chiffrement
- assez
- Tout
- entièrement
- Environment
- l'équipements
- Équivalent
- essentiellement
- Pourtant, la
- JAMAIS
- tout le monde
- peut
- excellent
- Exploiter
- Exploités
- supplémentaire
- extrait
- œil
- échoue
- équitablement
- familier
- Fonctionnalité
- few
- figuré
- finalement
- Trouvez
- Prénom
- Fixer
- fixé
- Force
- trouvé
- De
- généralement
- générer
- généré
- génère
- obtenez
- Donner
- donné
- Go
- Goes
- aller
- Bien
- Aller à
- l'
- Réservation de groupe
- Croissance
- piraté
- Mains
- arriver
- arrive
- heureux vous
- hachage
- haché
- ayant
- entendu
- entendre
- heist
- vous aider
- aider
- ici
- Frappé
- Accueil
- d'espérance
- Avec optimisme
- en espérant
- Comment
- How To
- HTTPS
- MAUVAIS
- idée
- Identification
- Identite
- important
- améliorer
- in
- incident
- comprendre
- inclus
- Y compris
- incroyablement
- d'information
- plutôt ;
- intéressé
- intéressant
- A inventé
- iOS
- IP
- Ironiquement
- aide
- vous aider à faire face aux problèmes qui vous perturbent
- IT
- Janvier
- jargon
- Java
- JavaScript
- rejoindre
- XNUMX éléments à
- ACTIVITES
- Genre
- tricoter
- Savoir
- langue
- portatif
- gros
- Nom de famille
- LastPass
- En retard
- couche
- Fuites
- savant
- apprentissage
- Levier
- bibliothèques
- Licence
- lumière
- LINK
- Gauche
- linux
- Listé
- Écoute
- peu
- charge
- charges
- Location
- plus long
- Style
- regardé
- recherchez-
- LOOKS
- perdre
- Lot
- love
- Faible
- mac
- LES PLANTES
- la magie
- a prendre une
- Fabrication
- malware
- Gestionnaires
- Mantra
- de nombreuses
- Match
- MD5
- veux dire
- Mémoire
- mentionné
- messages
- Microsoft
- pourrait
- million
- manquant
- Breeze Mobile
- téléphone mobile
- de l'argent
- mois
- PLUS
- (en fait, presque toutes)
- Bougez
- authentification multifactorielle
- Musique
- musical
- mystérieux
- Mystère
- Sécurité nue
- Podcast de sécurité nu
- prénom
- noms
- Près
- presque
- Besoin
- réseau et
- Nouveauté
- nouvelles
- next
- normalement
- Notes
- Novembre
- nombre
- numéros
- chêne
- Bureaux
- officiel
- Vieux
- ONE
- d'exploitation
- le système d'exploitation
- Opportunités
- de commander
- ordinaire
- original
- Autre
- Autres
- au contrôle
- propre
- payé
- paramètre
- partie
- fête
- Mot de Passe
- mots de passe
- Patches
- paul
- Personnes
- être
- période
- personne
- hameçonnage
- phishing
- attaques de phishing
- Téléphone
- Emplacement
- plateforme
- Plateformes
- Platon
- Intelligence des données Platon
- PlatonDonnées
- Podcast
- Podcasts
- Point
- Pousser
- popularité
- possible
- Poteaux
- prison
- Pro
- Cybersécurité
- Probablement
- Problème
- Produits
- Programme
- programme
- Programmeurs
- Programmation
- protégé
- question
- augmenter
- aléatoire
- généré aléatoirement
- aléatoire
- Lire
- Reader
- réal
- vraie affaire
- récent
- récemment
- recommander
- Recommandation
- Articles
- Récupérer
- en relation
- libérer
- rappeler
- À PLUSIEURS REPRISES
- remplacer
- répondre
- nécessaire
- demandes
- requis
- sauver
- chercheur
- responsables
- Révèle
- Analyse
- risques
- Roulent
- Salle
- Royal
- rss
- Courir
- pour le running
- plus sûre
- Saïd
- sel
- même
- pour écran
- Deuxièmement
- secret
- sécurisé
- sécurité
- seed
- recherche
- semble
- voit
- clignotant
- envoi
- Séquence
- Serveurs
- service
- Services
- set
- Paramétres
- installation
- plusieurs
- commun
- Shorts
- devrait
- montrer
- significative
- étapes
- simplement
- SMS
- So
- Réseaux sociaux
- RÉSOUDRE
- quelques
- Quelqu'un
- quelque chose
- quelque part
- Son
- Identifier
- le spam
- parlant
- passer
- Spotify
- spyware
- Commencer
- Commencez
- rester
- Stephen
- Encore
- volé
- storage
- Boutique
- Histoire
- sujet
- soumettre
- ultérieur
- tel
- Dimanche
- sûrement
- surprise
- soupçonneux
- combustion propre
- T-Mobile
- Prenez
- prend
- discutons-en
- équipe
- technologie
- techniques
- Technologie
- Les
- vol
- leur
- donc
- chose
- des choses
- Troisièmement
- cette semaine
- pensée
- trois
- Avec
- fiable
- fois
- pointe
- conseils
- à
- aujourd'hui
- ensemble
- vers
- difficulté
- Tourné
- En fin de compte
- compréhension
- malheureux
- unifiée
- expérience unique et authentique
- débranché
- Mises à jour
- Actualités
- URL
- us
- usb
- utilisé
- utilisateurs
- version
- attendez
- avertissement
- Basé sur le Web
- webkit
- semaine
- bien connu
- Quoi
- que
- qui
- tout en
- Chuchotement
- WHO
- Wikipédia
- Sauvage
- sera
- fenêtres
- dans les
- sans
- Word
- activités principales
- travaillé
- world
- vaut
- pourra
- écrire
- faux
- an
- Vous n'avez
- Votre
- vous-même
- zéphyrnet
- bug du jour zéro