उल्लंघन, पैच, लीक और बदलाव
नवीनतम एपिसोड – अभी सुनें।
किसी भी बिंदु पर जाने के लिए नीचे ध्वनि तरंगों पर क्लिक करें और खींचें। आप भी कर सकते हैं सीधे सुनो साउंडक्लाउड पर।
डौग आमोथ और पॉल डकलिन के साथ
इंट्रो और आउट्रो म्यूजिक by एडिथ मुडगे.
आप हमें इस पर सुन सकते हैं Soundcloud, ऐप्पल पॉडकास्ट्स, Google पॉडकास्ट, Spotify, सीनेवाली मशीन और कहीं भी अच्छे पॉडकास्ट मिल जाते हैं। या बस छोड़ दें हमारे आरएसएस फ़ीड का यूआरएल अपने पसंदीदा पॉडकैचर में।
प्रतिलेख पढ़ें
डौग उल्लंघन, उल्लंघन, पैच और टाइपियो।
वह सब, और बहुत कुछ, नग्न सुरक्षा पॉडकास्ट पर।
[संगीत मोडेम]
पॉडकास्ट में आपका स्वागत है, सब लोग।
मैं डौग आमोथ हूं; वह दौल पुकलिन है ...
...मुझे क्षमा करें, पॉल!
बत्तख। मुझे लगता है कि मैंने इसे हल कर लिया है, डौग।
"टाइपियोस" एक ऑडियो टाइपो है।
डौग ठीक ठीक!
बत्तख। हाँ ... अच्छा किया, वह आदमी!
डौग तो, टाइपो का साइबर सुरक्षा से क्या लेना-देना है?
हम उसमें शामिल होंगे ...
लेकिन पहले - हम अपने से शुरुआत करना पसंद करते हैं टेक इतिहास में यह सप्ताह खंड।
इस सप्ताह, 23 जनवरी 1996, जावा डेवलपमेंट किट के संस्करण 1.0 ने कहा, "Hello, world.
"
इसका मंत्र, "एक बार लिखो, कहीं भी दौड़ो", और वेब की लोकप्रियता के चरम पर पहुंचने के साथ ही इसकी रिलीज़ ने इसे वेब-आधारित ऐप्स के लिए एक उत्कृष्ट मंच बना दिया।
आज के लिए फास्ट-फॉरवर्ड, और हम 19 संस्करण पर हैं, पॉल।
बत्तख। हम हैं!
जावा, एह?
या "ओक"।
मेरा मानना है कि इसका मूल नाम यही था, क्योंकि जिस व्यक्ति ने भाषा का आविष्कार किया था, उसके कार्यालय के बाहर एक बलूत का पेड़ था।
डौग, आइए हम इस अवसर का लाभ उठाएं, एक बार और सभी के लिए, स्पष्ट करने के लिए भ्रम जावा और जावास्क्रिप्ट के बीच बहुत से लोगों के पास है।
डौग ऊऊओह…
बत्तख। बहुत से लोग सोचते हैं कि वे संबंधित हैं।
वे संबंधित नहीं हैं, डौग।
वे *बिल्कुल वही* हैं - एक बस छोटा है... नहीं, मैं पूरी तरह से आपके साथ मजाक कर रहा हूँ!
डौग मैं, जैसे, "यह कहाँ जा रहा है?" [हंसते हुए]
बत्तख। जावास्क्रिप्ट को मूल रूप से यह नाम इसलिए मिला क्योंकि जावा शब्द कूल था ...
…और प्रोग्रामर कॉफी पर चलते हैं, चाहे वे जावा या जावास्क्रिप्ट में प्रोग्रामिंग कर रहे हों।
डौग ठीक है, बहुत अच्छा।
इसके समाशोधन के लिए आपका धन्यवाद।
और चीजों को साफ़ करने के विषय पर, GoTo, GoToMyPC, GoToWebinar, LogMeIn, और (खाँसी, खांसी) अन्य जैसे उत्पादों के पीछे की कंपनी कहते हैं कि उन्होंने "हमारे विकास पर्यावरण और तृतीय पक्ष क्लाउड स्टोरेज सेवा के भीतर असामान्य गतिविधि का पता लगाया है।"
पॉल, हम क्या जानते हैं?
GoTo मानता है: डिक्रिप्शन कुंजी के साथ ग्राहक क्लाउड बैकअप चोरी हो गए
बत्तख। वह नवंबर 2022 के आखिरी दिन वापस आ गया था।
और (खाँसी, खाँसी) जिसका आपने पहले उल्लेख किया है, निश्चित रूप से, GoTo की सहयोगी/सहायक कंपनी है, या कंपनी जो उनके समूह LastPass का हिस्सा है।
बेशक, क्रिसमस पर बड़ी कहानी थी लास्टपास का उल्लंघन.
अब, गोटो ने जो कुछ कहा है, उससे यह उल्लंघन अलग प्रतीत होता है।
वे स्वीकार करते हैं कि अंततः भंग होने वाली क्लाउड सेवा वही है जो लास्टपास के साथ साझा की जाती है।
लेकिन जो सामग्री भंग हुई, कम से कम जिस तरह से उन्होंने इसे लिखा, उससे लगता है कि इसे अलग तरह से तोड़ा गया है।
और इस सप्ताह तक - लगभग दो महीने बाद - GoTo को वापस आने में लगा कि उन्होंने क्या पाया।
और खबर बिल्कुल भी अच्छी नहीं है, डौग।
क्योंकि उत्पादों का एक पूरा भार... मैं उन्हें पढ़कर सुनाऊंगा: सेंट्रल, प्रो, ज्वाइन.मी, हमाची और रिमोटलीएनीव्हेयर।
उन सभी उत्पादों के लिए, खाता डेटा सहित ग्राहक सामग्री के एन्क्रिप्टेड बैकअप चोरी हो गए।
और, दुर्भाग्य से, उनमें से कम से कम कुछ बैकअप के लिए डिक्रिप्शन कुंजी उनके साथ चोरी हो गई थी।
तो इसका मतलब है कि एक बार जब वे बदमाशों के हाथों में आ जाते हैं तो वे अनिवार्य रूप से *नहीं* एन्क्रिप्टेड होते हैं।
और दो अन्य उत्पाद थे, जो रेस्क्यू और GoToMyPC थे, जहां तथाकथित "MFA सेटिंग्स" चोरी हो गई थीं, लेकिन उन्हें एन्क्रिप्ट भी नहीं किया गया था।
इसलिए, दोनों ही मामलों में, हमारे पास स्पष्ट रूप से: हैश-एंड-सॉल्टेड पासवर्ड गायब हैं, और हमारे पास ये रहस्यमय "MFA (मल्टीफैक्टर ऑथेंटिकेशन) सेटिंग्स" हैं।
यह देखते हुए कि यह खाता-संबंधी डेटा प्रतीत होता है, यह स्पष्ट नहीं है कि वे "MFA सेटिंग्स" क्या हैं, और यह अफ़सोस की बात है कि GoTo थोड़ा अधिक स्पष्ट नहीं था।
और मेरा ज्वलंत प्रश्न है...
..क्या उन सेटिंग्स में फोन नंबर जैसी चीजें शामिल हैं जिन पर एसएमएस 2FA कोड भेजे जा सकते हैं?
ऐप-आधारित 2FA कोड के लिए शुरुआती सीड?
और/या वे बैकअप कोड जिन्हें कई सेवाएँ आपको कुछ बनाने देती हैं, यदि आपका फ़ोन या आपका फ़ोन खो जाता है सिम स्वैप हो जाता है?
$2m से अधिक की 20FA क्रिप्टोकरंसी हेस्ट के लिए SIM स्वैपर को जेल भेजा गया
डौग ओह, हाँ - अच्छा बिंदु!
बत्तख। या आपका प्रमाणीकरण कार्यक्रम विफल हो जाता है।
डौग हां.
बत्तख। इसलिए, यदि वे उनमें से कोई हैं, तो यह बड़ी समस्या हो सकती है।
चलो आशा करते हैं कि वे "एमएफए सेटिंग्स" नहीं थे ...
...लेकिन विवरण के गायब होने का अर्थ है कि यह मान लेना उचित होगा कि वे चुराए गए डेटा में से थे, या हो सकते थे।
डौग और, संभावित चूक की बात करते हुए, हमारे पास अपेक्षित है, “आपके पासवर्ड लीक हो गए हैं। लेकिन चिंता मत करो, वे नमकीन और हैशेड थे।
लेकिन सब नहीं सैलिंग-एंड-हैशिंग-एंड-स्ट्रेचिंग वही है, है ना?
गंभीर सुरक्षा: अपने उपयोगकर्ताओं के पासवर्ड को सुरक्षित रूप से कैसे संगृहीत करें
बत्तख। खैर, उन्होंने स्ट्रेचिंग वाले हिस्से का जिक्र नहीं किया!
यहीं पर आप केवल एक बार पासवर्ड हैश नहीं करते हैं।
आपने इसे हैश किया है, मुझे नहीं पता... 100,100 बार, या 5000 बार, या 50 बार, या एक लाख बार, बस बदमाशों के लिए इसे थोड़ा कठिन बनाने के लिए।
और जैसा कि आप कहते हैं ... हाँ।, सभी सैलिंग-एंड-हैशिंग को समान नहीं बनाया गया है।
मुझे लगता है कि आपने हाल ही में पॉडकास्ट पर एक उल्लंघन के बारे में बात की थी जहां कुछ नमकीन और हैशेड पासवर्ड चोरी हो गए थे, और यह पता चला, मुझे लगता है कि नमक दो अंकों का कोड था, "00" से "99"!
तो, 100 अलग-अलग इंद्रधनुष टेबल आपको चाहिए …
…एक बड़ी मांग, लेकिन यह करने योग्य है।
और जहां हैश MD5 का *एक राउंड* था, जिसे आप मामूली उपकरणों पर भी अरबों हैश प्रति सेकेंड पर कर सकते हैं।
इसलिए, एक तरफ के रूप में, यदि आप कभी भी इस तरह के उल्लंघन का शिकार होने के लिए पर्याप्त रूप से दुर्भाग्यपूर्ण हैं, जहां आप ग्राहकों के हैश किए गए पासवर्ड खो देते हैं, तो मेरा सुझाव है कि आप अपने एल्गोरिदम और पैरामीटर सेटिंग्स के बारे में निश्चित होने के लिए अपने रास्ते से हट जाएं। का उपयोग कर रहे हैं।
क्योंकि यह आपके उपयोगकर्ताओं को इस बारे में थोड़ा आराम देता है कि क्रैक करने में बदमाशों को कितना समय लग सकता है, और इसलिए आपको अपने सभी पासवर्ड बदलने के लिए कितने पागलपन की आवश्यकता है!
डौग ठीक है।
हमें कुछ सलाह मिली है, निश्चित रूप से, शुरुआत के साथ: उन सभी पासवर्डों को बदलें जो उन सेवाओं से संबंधित हैं जिनके बारे में हमने पहले बात की थी।
बत्तख। हाँ, यह कुछ ऐसा है जो आपको करना चाहिए।
जब हैश किए गए पासवर्ड चोरी हो जाते हैं, तो हम आमतौर पर इसकी अनुशंसा करते हैं, भले ही वे अत्यधिक हैशेड हों।
डौग ठीक है.
और हमारे पास है: आपके द्वारा अपने खातों पर उपयोग किए जा रहे किसी भी ऐप-आधारित 2FA कोड अनुक्रम को रीसेट करें।
बत्तख। हाँ, मुझे लगता है कि आप भी ऐसा कर सकते हैं।
डौग ठीक है.
और हमारे पास है: नए बैकअप कोड पुन: उत्पन्न करें।
बत्तख। जब आप अधिकांश सेवाओं के साथ ऐसा करते हैं, यदि बैकअप कोड एक विशेषता है, तो पुराने कोड स्वतः ही फेंक दिए जाते हैं, और नए कोड उन्हें पूरी तरह से बदल देते हैं।
डौग और अंतिम, लेकिन निश्चित रूप से कम से कम नहीं: यदि आप कर सकते हैं तो ऐप-आधारित 2FA कोड पर स्विच करने पर विचार करें।
बत्तख। एसएमएस कोड का लाभ यह है कि कोई साझा रहस्य नहीं है; कोई बीज नहीं है।
यह वास्तव में एक यादृच्छिक संख्या है जो दूसरा छोर हर बार उत्पन्न करता है।
एसएमएस-आधारित सामान के बारे में यह अच्छी बात है।
जैसा कि हमने कहा, खराब चीज सिम स्वैपिंग है।
और अगर आपको या तो अपने ऐप-आधारित कोड अनुक्रम को बदलने की आवश्यकता है या आपके एसएमएस कोड कहां जाते हैं...
...अपना मोबाइल फोन नंबर बदलने की तुलना में एक नया 2FA ऐप सीक्वेंस शुरू करना बहुत आसान है! [हंसते हुए]
डौग ठीक है.
और, जैसा कि मैं बार-बार कह रहा हूं (हो सकता है कि मैं यह टैटू अपनी छाती पर कहीं बनवा लूं), हम इस पर नजर रखेंगे।
लेकिन, अभी के लिए, हमारे पास चोरी के लिए जिम्मेदार एक लीकी टी-मोबाइल एपीआई है ...
(मुझे यहां अपने नोट्स की जांच करने दें: [लाउड बेलो ऑफ-माइक] सैंतीस लाख!?!??!)
...37 लाख ग्राहक रिकॉर्ड:
टी-मोबाइल ने 37,000,000 ग्राहक रिकॉर्ड "खराब अभिनेता" द्वारा चुराए जाने की बात स्वीकार की
बत्तख। हां.
यह थोड़ा परेशान करने वाला है, है ना? [हँसी]
क्योंकि 37 मिलियन एक अविश्वसनीय रूप से बड़ी संख्या है... और, विडंबना यह है कि यह 2022 के बाद आता है, जिस साल टी-मोबाइल ने भुगतान किया था 500 $ मिलियन 2021 में टी-मोबाइल को हुए डेटा उल्लंघन से संबंधित मुद्दों को निपटाने के लिए।
अब, अच्छी खबर, यदि आप इसे कह सकते हैं, वह है: पिछली बार, जो डेटा भंग हुआ, उसमें सामाजिक सुरक्षा नंबर [एसएसएन] और ड्राइविंग लाइसेंस विवरण जैसी चीजें शामिल थीं।
तो यह वास्तव में वह है जिसे आप "हाई-ग्रेड" पहचान की चोरी की सामग्री कह सकते हैं।
इस बार, उल्लंघन बड़ा है, लेकिन मेरी समझ यह है कि यह मूल इलेक्ट्रॉनिक संपर्क विवरण है, जिसमें आपका फोन नंबर, जन्म तिथि शामिल है।
यह पहचान की चोरी के साथ बदमाशों की मदद करने की ओर जाता है, लेकिन कहीं भी एसएसएन या आपके ड्राइविंग लाइसेंस की स्कैन की गई तस्वीर जैसी कोई चीज नहीं है।
डौग ठीक है, अगर आप इससे प्रभावित हैं तो हमारे पास कुछ टिप्स हैं, जिसकी शुरुआत निम्न से होती है: ईमेल या अन्य संदेशों में "सहायक" लिंक पर क्लिक न करें।
मुझे लगता है कि इस घटना से एक टन स्पैम और फ़िशिंग ईमेल उत्पन्न होने वाले हैं।
बत्तख। यदि आप लिंक से बचते हैं, जैसा कि हम हमेशा कहते हैं, और आप वहां अपना रास्ता खोज लेते हैं, तो चाहे वह वैध ईमेल हो या नहीं, वास्तविक लिंक हो या फर्जी...
…यदि आप अच्छे लिंक्स पर क्लिक नहीं करते हैं, तो आप खराब लिंक्स पर भी क्लिक नहीं करेंगे!
डौग और वह हमारे दूसरे टिप के साथ अच्छी तरह से मेल खाता है: क्लिक करने से पूर्व सोचें।
और फिर, ज़ाहिर है, हमारी आखिरी युक्ति: उन संदेहास्पद ईमेलों की सूचना अपनी कार्य आईटी टीम को दें।
बत्तख। जब बदमाश फ़िशिंग हमले शुरू करते हैं, तो बदमाश आमतौर पर इसे कंपनी के अंदर किसी एक व्यक्ति को नहीं भेजते हैं।
इसलिए, यदि आपकी कंपनी में फ़िश को देखने वाला पहला व्यक्ति अलार्म बजाता है, तो कम से कम आपके पास अन्य 49 को चेतावनी देने का एक मौका है!
डौग बहुत बढ़िया.
ठीक है, आपके लिए iOS 12 उपयोगकर्ता बाहर हैं ... यदि आप हाल के सभी शून्य-दिन के पैच से बाहर महसूस कर रहे थे, तो हमें एक कहानी मिली आज तुम्हारे लिए!
Apple पैच बाहर हैं - पुराने iPhones को आखिरकार एक पुराना जीरो-डे फिक्स मिलता है!
बत्तख। हमारे पास है, डौग!
मैं काफी खुश हूं, क्योंकि हर कोई जानता है कि मुझे अपना पुराना iOS 12 फोन बहुत पसंद है।
हम कुछ बेहतरीन समय से गुज़रे, और कुछ लंबी और सुपर-कूल साइकिल की सवारी तब तक की जब तक ... [हँसी]
...भाग्यशाली एक जहां मैं ठीक होने के लिए पर्याप्त रूप से घायल हो गया, और फोन इतनी अच्छी तरह से घायल हो गया कि अब आप स्क्रीन की दरारों के माध्यम से मुश्किल से देख सकते हैं, लेकिन यह अभी भी काम करता है!
मुझे यह पसंद है जब इसे अपडेट मिलता है!
डौग मुझे लगता है कि यह तब था जब मैंने शब्द सीखा प्रांग.
बत्तख। [विराम] क्या?!
यही कारण है कि एक शब्द भी नहीं आप को?
डौग नहीं!
बत्तख। मुझे लगता है कि यह द्वितीय विश्व युद्ध में रॉयल एयर फ़ोर्स से आया है... जो कि "एक विमान को क्रैश करना" था।
तो, वहाँ एक है झंकार, और फिर, एक डिंग के ठीक ऊपर, एक आता है प्रांगहालांकि दोनों की आवाज एक जैसी है।
डौग ठीक है, पकड़ लिया।
बत्तख। आश्चर्य, आश्चर्य - उम्र के लिए कोई iOS 12 अपडेट नहीं होने के बाद, प्रस्तावित फोन को अपडेट मिला ...
...एक शून्य-दिन बग के लिए जो रहस्यमयी बग था जिसे कुछ समय पहले iOS 16 में ही ठीक किया गया था... [कानाफूसी] बहुत गुप्त रूप से Apple द्वारा, अगर आपको वह याद है।
डौग ओह, मुझे याद है!
Apple ने iOS सुरक्षा अद्यतन जारी किया है जो पहले से कहीं अधिक चुस्त-दुरुस्त है
बत्तख। यह आईओएस 16 अपडेट था, और फिर कुछ समय बाद अपडेट के लिए बाहर आया अन्य सभी Apple प्लेटफॉर्म, iOS 15 सहित।
और एप्पल ने कहा, "ओह, हाँ, वास्तव में, अब हम इसके बारे में सोचते हैं, यह शून्य-दिन था। अब हमने इस पर गौर किया है, हालाँकि हमने iOS 16 के लिए अपडेट जारी किया और iOS 15 के लिए कुछ नहीं किया, यह पता चला है कि बग केवल iOS 15 और इससे पहले के संस्करण पर लागू होता है। [हंसते हुए]
Apple सब कुछ पैच करता है, अंत में iOS 16.1.2 के रहस्य का खुलासा करता है
तो, वाह, क्या अजीब रहस्य था यह!
लेकिन कम से कम उन्होंने अंत में सब कुछ ठीक कर दिया।
अब, यह पता चला है कि पुराने जीरो-डे को अब iOS 12 में पैच कर दिया गया है।
और यह उन वेबकिट शून्य-दिनों में से एक है जो ऐसा लगता है जैसे जंगली में जिस तरह से इसका उपयोग किया गया है वह मैलवेयर आरोपण के लिए है।
और वह, हमेशा की तरह, स्पाइवेयर जैसी किसी चीज़ की गंध करता है।
वैसे, आईओएस 12 में तय किया गया वह एकमात्र बग था जिसे सूचीबद्ध किया गया था - बस वह एक 0-दिन।
अन्य प्लेटफार्मों में से प्रत्येक को ढेर सारे सुधार मिले।
सौभाग्य से, वे सभी सक्रिय प्रतीत होते हैं; उनमें से कोई भी Apple द्वारा "सक्रिय रूप से शोषित" के रूप में सूचीबद्ध नहीं है।
[रोकना]
ठीक है, चलो कुछ अति-रोमांचक, डॉग पर चलते हैं!
मुझे लगता है कि हम "टाइपियो" में हैं, क्या हम नहीं हैं?
डौग हाँ!
RSI प्रश्न मैं अपने आप से पूछ रहा हूँ ... [विडंबना] मुझे याद नहीं है कि कब तक, और मुझे यकीन है कि अन्य लोग पूछ रहे हैं, "कैसे जानबूझ कर टाइपो DNS सुरक्षा में सुधार कर सकते हैं?"
गंभीर सुरक्षा: कैसे dEliBeRaTe tYpO DNS सुरक्षा में सुधार कर सकते हैं
बत्तख। [हंसते हैं]
दिलचस्प बात यह है कि यह एक ऐसा विचार है जो पहली बार 2008 में सामने आया था, उस समय के अंत में डैन कामिंस्की, जो उन दिनों एक जाने-माने सुरक्षा शोधकर्ता थे, ने पता लगाया कि DNS सर्वरों के लिए कुछ महत्वपूर्ण "जवाब अनुमान लगाने" के जोखिम थे जो शायद लोगों की सोच से कहीं अधिक आसान थे।
जहाँ आप केवल DNS सर्वरों पर उत्तरों को पोक करते हैं, उम्मीद करते हैं कि वे केवल एक आउटबाउंड अनुरोध से मेल खाते हैं जिसका अभी तक कोई आधिकारिक उत्तर नहीं है।
आप बस सोचते हैं, “ठीक है, मुझे यकीन है कि आपके नेटवर्क में कोई व्यक्ति डोमेन में जाने में रुचि रखता होगा naksec.test
अभी के बारे में। तो मुझे यह कहते हुए ढेर सारे जवाब वापस भेजने दीजिए, 'अरे, आपने इसके बारे में पूछा naksec.test
; यह रहा"…
...और वे आपको एक पूरी तरह से काल्पनिक सर्वर [आईपी] नंबर भेजते हैं।
इसका मतलब है कि आप वास्तविक सौदे पर जाने के बजाय मेरे सर्वर पर आते हैं, इसलिए मैंने मूल रूप से आपके सर्वर के पास गए बिना ही आपके सर्वर को हैक कर लिया है!
और आप सोचते हैं, “ठीक है, आप कैसे *कोई* उत्तर भेज सकते हैं? निश्चित रूप से आउटबाउंड डीएनएस अनुरोध में किसी प्रकार की जादुई क्रिप्टोग्राफ़िक कुकी है?"
इसका मतलब है कि सर्वर यह नोटिस कर सकता है कि बाद में दिया गया उत्तर केवल कोई इसे बना रहा था।
ठीक है, आप ऐसा सोचेंगे... लेकिन याद रखें कि DNS ने सबसे पहले दिन का प्रकाश देखा 1987, डौग.
और उस समय न केवल सुरक्षा इतनी बड़ी बात नहीं थी, बल्कि दिन के नेटवर्क बैंडविड्थ को देखते हुए, लंबे समय तक पर्याप्त क्रिप्टोग्राफ़िक कुकीज़ के लिए जगह नहीं थी।
तो DNS अनुरोध करता है, यदि आप जाते हैं RFC 1035, एक विशिष्ट पहचान संख्या द्वारा संरक्षित (ढीले शब्दों में, डौग) हैं, उम्मीद है कि अनुरोध के प्रेषक द्वारा यादृच्छिक रूप से उत्पन्न किया जाएगा।
लगता है कि वे कितने लंबे हैं, डौग …
डौग उतना लम्बा नहीं?
बत्तख। 16 बिट्स।
डौग ओह्ह्ह्ह्ह्ह्ह।
बत्तख। यह एक तरह से काफी छोटा है... यह काफी छोटा था, यहां तक कि 1987 में भी!
लेकिन 16 बिट्स * दो पूरे बाइट * हैं।
आम तौर पर एंट्रॉपी की मात्रा, जैसा कि शब्दकोष में है, कि आपके पास एक DNS अनुरोध होगा (कोई अन्य कुकी डेटा नहीं जोड़ा गया - एक मूल, मूल-शैली, पुराने स्कूल DNS अनुरोध) ...
...आपके पास एक 16-बिट UDP स्रोत पोर्ट नंबर है (हालांकि आप सभी 16 बिट्स का उपयोग नहीं कर सकते हैं, तो चलिए इसे 15 बिट कहते हैं)।
और आपके पास वह 16-बिट, बेतरतीब ढंग से चुना गया आईडी नंबर है... उम्मीद है कि आपका सर्वर बेतरतीब ढंग से चुनता है, और अनुमान लगाने योग्य अनुक्रम का उपयोग नहीं करता है।
तो आपके पास 31 बिट्स की यादृच्छिकता है।
और यद्यपि 231 [बस 2 बिलियन से अधिक] बहुत सारे अलग-अलग अनुरोध हैं जो आपको भेजने होंगे, यह इन दिनों किसी भी तरह से सामान्य नहीं है।
यहां तक कि मेरे पुराने लैपटॉप डौग पर भी 2 भेज रहा हूं16 [65,536] डीएनएस सर्वर के लिए अलग-अलग यूडीपी अनुरोधों में लगभग बहुत ही कम समय लगता है।
तो, 16 बिट लगभग तात्कालिक है, और 31 बिट करने योग्य है।
तो विचार, 2008 में बहुत पहले था ...
क्या होगा यदि हम वह डोमेन नाम लें जिसे आप खोज रहे हैं, कहते हैं, naksec.test
, और वह करने के बजाय जो अधिकांश DNS रिसॉल्वर करते हैं और कहते हैं, “मैं ऊपर देखना चाहता हूं n-a-k-s-e-c dot t-e-s-t
," सभी लोअरकेस में क्योंकि लोअरकेस अच्छा दिखता है (या, यदि आप ओल्ड-स्कूल बनना चाहते हैं, सभी अपरकेस में, क्योंकि DNS केस-असंवेदनशील है, याद रखें)?
क्या होगा अगर हम ऊपर देखें nAKseC.tESt
, लोअरकेस, अपरकेस, अपरकेस, लोअर, वगैरह के बेतरतीब ढंग से चुने गए अनुक्रम के साथ, और हमें याद है कि हमने किस क्रम का उपयोग किया था, और हम उत्तर के वापस आने की प्रतीक्षा करते हैं?
क्योंकि DNS उत्तरों में मूल अनुरोध की एक प्रति होना अनिवार्य है।
क्या होगा यदि हम उस अनुरोध में कुछ डेटा को "गुप्त संकेत" के रूप में उपयोग कर सकते हैं?
मामले को रफा-दफा कर बदमाशों को अंदाजा लगाना होगा कि यूडीपी सोर्स पोर्ट; उन्हें उत्तर में उस 16-बिट पहचान संख्या का अनुमान लगाना होगा; *और* उन्हें अनुमान लगाना होगा कि हमने miS-sPEll को कैसे चुना nAKsEc.TeST
.
और अगर वे उन तीन चीजों में से किसी एक को भी गलत पाते हैं, तो हमला विफल हो जाता है।
डौग वाह ठीक है!
बत्तख। और Google ने फैसला किया, "अरे, इसे करके देखें।"
एकमात्र समस्या यह है कि वास्तव में छोटे डोमेन नामों में (इसलिए वे शांत हैं, और लिखने में आसान हैं, और याद रखने में आसान हैं), जैसे कि ट्विटर t.co
, आपको केवल तीन वर्ण मिलते हैं जिनका मामला बदला जा सकता है।
यह हमेशा मदद नहीं करता है, लेकिन संक्षेप में कहें तो, आपका डोमेन नाम जितना लंबा होगा, आप उतने ही सुरक्षित रहेंगे! [हंसते हुए]
और मैंने सोचा कि यह एक अच्छी छोटी कहानी थी …
डौग जैसे ही आज के लिए हमारे शो में सूर्यास्त शुरू होता है, हमारे पास एक पाठक टिप्पणी है।
अब, यह टिप्पणी पिछले सप्ताह के पॉडकास्ट के बाद आई है, एस3 ईपी118.
पाठक स्टीफन लिखते हैं ... वह मूल रूप से कहते हैं:
मैं हाल ही में आप लोगों को पासवर्ड मैनेजरों के बारे में बात करते हुए सुन रहा हूं - मैंने अपना खुद का रोल करने का फैसला किया।
मैं ये सुरक्षित पासवर्ड जनरेट करता हूं; मैं उन्हें मेमोरी स्टिक या स्टिक पर स्टोर कर सकता था, केवल स्टिक को कनेक्ट करने पर जब मुझे पासवर्ड निकालने और उपयोग करने की आवश्यकता होती है।
क्या छड़ी का दृष्टिकोण उचित रूप से कम जोखिम वाला होगा?
मुझे लगता है कि मैं स्टिक पर जानकारी को एन्कोड और डिकोड करने के लिए एन्क्रिप्शन तकनीकों से परिचित हो सकता हूं, लेकिन मैं यह महसूस किए बिना नहीं रह सकता कि यह मुझे उस सरल दृष्टिकोण से परे ले जा सकता है जिसकी मैं तलाश कर रहा हूं।
तो, तुम क्या कहते हो, पॉल?
बत्तख। ठीक है, अगर यह आपको "सरल" दृष्टिकोण से परे ले जाता है, तो इसका मतलब है कि यह जटिल होने वाला है।
और अगर यह जटिल है, तो यह सीखने का एक अच्छा अभ्यास है...
...लेकिन शायद पासवर्ड एन्क्रिप्शन वह चीज़ नहीं है जहाँ आप उन प्रयोगों को करना चाहते हैं। [हँसी]
डौग मुझे विश्वास है कि मैंने आपको इसी कार्यक्रम के बारे में कई बार अलग-अलग बार यह कहते सुना है: “अपना खुद का एन्क्रिप्शन रोल करने की कोई ज़रूरत नहीं है; वहाँ कई अच्छे एन्क्रिप्शन पुस्तकालय हैं जिनका आप लाभ उठा सकते हैं।
बत्तख। हां... यदि आप संभवतः इसमें मदद कर सकते हैं तो अपने स्वयं के एन्क्रिप्शन को बुनना, क्रोशिए, सुई की नोक या क्रॉस-सिलाई न करें!
स्टीफन जिस मुद्दे को हल करने की कोशिश कर रहा है वह है: "मैं उस पर पासवर्ड रखने के लिए एक हटाने योग्य यूएसबी ड्राइव को समर्पित करना चाहता हूं - मैं ड्राइव को सुविधाजनक तरीके से एन्क्रिप्ट करने के बारे में कैसे जा सकता हूं?"
और मेरी सिफारिश है कि आपको किसी ऐसी चीज के लिए जाना चाहिए जो पूर्ण-डिवाइस एन्क्रिप्शन [एफडीई] * ऑपरेटिंग सिस्टम के अंदर * करता है।
इस तरह, आपके पास एक समर्पित यूएसबी स्टिक है; आप इसे प्लग इन करते हैं, और ऑपरेटिंग सिस्टम कहता है, '"यह गड़बड़ है - मुझे पासकोड चाहिए।"
और ऑपरेटिंग सिस्टम पूरे ड्राइव को डिक्रिप्ट करने से संबंधित है।
अब, आप एन्क्रिप्टेड *डिवाइस* के अंदर एन्क्रिप्टेड *फाइलें* रख सकते हैं, लेकिन इसका मतलब है कि, यदि आप डिवाइस खो देते हैं, तो पूरी डिस्क, जबकि यह आपके कंप्यूटर से अनमाउंट और अनप्लग है, कटा हुआ गोभी है।
और ऐसा करने के लिए अपने स्वयं के डिवाइस ड्राइवर को बुनने की कोशिश करने के बजाय, ऑपरेटिंग सिस्टम में निर्मित एक का उपयोग क्यों न करें?
यह मेरी सिफारिश है।
और यहीं पर यह एक ही समय में आसान और थोड़ा जटिल दोनों हो जाता है।
यदि आप लिनक्स चला रहे हैं, तो आप उपयोग करते हैं LUKS [लिनक्स एकीकृत कुंजी सेटअप]।
Mac पर, यह वास्तव में आसान है: आपके पास एक तकनीक है जिसे कहा जाता है FileVault वह मैक में बनाया गया है।
विंडोज पर, FileVault या LUKS के समतुल्य को कहा जाता है BitLocker; आपने शायद इसके बारे में सुना होगा।
समस्या यह है कि यदि आपके पास विंडोज के होम संस्करणों में से एक है, तो आप रिमूवेबल ड्राइव पर फुल-डिस्क एन्क्रिप्शन लेयर नहीं कर सकते।
BitLocker पूर्ण-डिस्क एन्क्रिप्शन का उपयोग करने में सक्षम होने के लिए आपको प्रो संस्करण, या व्यवसाय-प्रकार विंडोज प्राप्त करने के लिए अतिरिक्त खर्च करना होगा।
मुझे लगता है कि यह दुख की बात है।
मेरी इच्छा है कि Microsoft बस इतना ही कहे, "हम आपको इसका उपयोग करने के लिए प्रोत्साहित करते हैं जहाँ आप कर सकते हैं - यदि आप चाहें तो अपने सभी उपकरणों पर।"
क्योंकि भले ही ज्यादातर लोग नहीं करते, कम से कम कुछ लोग करेंगे।
तो यह मेरी सलाह है।
बाहरी बात यह है कि यदि आपके पास विंडोज है, और आपने होम संस्करण के साथ एक उपभोक्ता स्टोर पर एक लैपटॉप खरीदा है, तो आपको थोड़ा अतिरिक्त पैसा खर्च करना होगा।
क्योंकि, जाहिरा तौर पर, हटाने योग्य ड्राइव को एन्क्रिप्ट करना, यदि आप एक Microsoft ग्राहक हैं, तो ऑपरेटिंग सिस्टम के होम संस्करण में निर्माण करने के लिए पर्याप्त महत्वपूर्ण नहीं है।
डौग ठीक है, बहुत अच्छा।
धन्यवाद, स्टीफन, इसे भेजने के लिए।
यदि आपके पास कोई दिलचस्प कहानी, टिप्पणी या प्रश्न है जिसे आप सबमिट करना चाहते हैं, तो हमें इसे पॉडकास्ट पर पढ़ना अच्छा लगेगा।
आप tips@sophos.com पर ईमेल कर सकते हैं, आप हमारे किसी भी लेख पर टिप्पणी कर सकते हैं, या आप हमें सामाजिक: @NakedSecurity पर संपर्क कर सकते हैं।
आज के लिए यही हमारा शो है - सुनने के लिए बहुत-बहुत धन्यवाद।
पॉल डकलिन के लिए, मैं डौग आमोथ हूं, अगली बार तक, आपको याद दिला रहा हूं ...
दोनों को। सुरक्षित रहें!
[संगीत मोडेम]
- एसईओ संचालित सामग्री और पीआर वितरण। आज ही प्रवर्धित हो जाओ।
- प्लेटोब्लॉकचैन। Web3 मेटावर्स इंटेलिजेंस। ज्ञान प्रवर्धित। यहां पहुंचें।
- स्रोत: https://nakedsecurity.sophos.com/2023/01/26/s3-ep119-breaches-patches-leaks-and-tweaks-audio-text/
- 000
- 1
- 100
- 1996
- 2021
- 2022
- 2FA
- a
- योग्य
- About
- इसके बारे में
- ऊपर
- लेखा
- अकौन्टस(लेखा)
- गतिविधि
- वास्तव में
- जोड़ा
- स्वीकार करना
- लाभ
- सलाह
- बाद
- युग
- आकाशवाणी
- वायु सेना
- अलार्म
- कलन विधि
- सब
- ठीक है
- हालांकि
- हमेशा
- बीच में
- राशि
- प्राचीन
- और
- जवाब
- कहीं भी
- एपीआई
- अनुप्रयोग
- Apple
- दृष्टिकोण
- क्षुधा
- चारों ओर
- लेख
- मूल्यांकन
- आक्रमण
- आक्रमण
- ऑडियो
- प्रमाणीकरण
- लेखक
- स्वतः
- वापस
- बैकअप
- बैकअप
- बुरा
- बैंडविड्थ
- बुनियादी
- मूल रूप से
- क्योंकि
- बन
- से पहले
- पीछे
- जा रहा है
- मानना
- नीचे
- के बीच
- परे
- बड़ा
- बिलियन
- अरबों
- बिट
- खरीदा
- भंग
- उल्लंघनों
- दोष
- निर्माण
- बनाया गया
- कॉल
- बुलाया
- मामला
- मामलों
- केंद्रीय
- निश्चित रूप से
- संयोग
- परिवर्तन
- बदलना
- अक्षर
- चेक
- चुना
- करने के लिए चुना
- क्रिसमस
- स्पष्ट
- समाशोधन
- बादल
- बादल का भंडारण
- कोड
- कॉफी
- COM
- कैसे
- आराम
- टिप्पणी
- कंपनी
- पूरी तरह से
- जटिल
- कंप्यूटर
- कनेक्ट कर रहा है
- उपभोक्ता
- संपर्क करें
- सुविधाजनक
- कुकीज़
- ठंडा
- सका
- कोर्स
- दुर्घटनाग्रस्त
- बनाना
- cryptocurrency
- क्रिप्टोग्राफिक
- ग्राहक
- साइबर सुरक्षा
- तिथि
- डेटा भंग
- तारीख
- दिन
- दिन
- सौदा
- सौदा
- का फैसला किया
- समर्पित
- समर्पित
- अंतिम
- विवरण
- विकास
- युक्ति
- डिवाइस
- विभिन्न
- DNS
- नहीं करता है
- कर
- डोमेन
- डोमेन नाम
- कार्यक्षेत्र नाम
- dont
- DOT
- ड्राइव
- ड्राइवर
- ड्राइविंग
- बूंद
- से प्रत्येक
- पूर्व
- आसान
- भी
- इलेक्ट्रोनिक
- ईमेल
- ईमेल
- प्रोत्साहित करना
- एन्क्रिप्टेड
- एन्क्रिप्शन
- पर्याप्त
- संपूर्ण
- पूरी तरह से
- वातावरण
- उपकरण
- बराबर
- अनिवार्य
- और भी
- कभी
- हर कोई
- सब कुछ
- उत्कृष्ट
- शोषण करना
- शोषित
- अतिरिक्त
- उद्धरण
- आंख
- विफल रहता है
- काफी
- परिचित
- Feature
- कुछ
- लगा
- अंत में
- खोज
- प्रथम
- फिक्स
- तय
- सेना
- पाया
- से
- आम तौर पर
- उत्पन्न
- उत्पन्न
- उत्पन्न करता है
- मिल
- देना
- दी
- Go
- चला जाता है
- जा
- अच्छा
- गूगल
- गोटो
- महान
- समूह
- बढ़ रहा है
- hacked
- हाथ
- होना
- हो जाता
- खुश
- हैश
- टुकड़ों में बंटी
- होने
- सुना
- सुनवाई
- heist
- मदद
- मदद
- यहाँ उत्पन्न करें
- मारो
- होम
- आशा
- उम्मीद है कि
- उम्मीद कर रहा
- कैसे
- How To
- HTTPS
- मैं करता हूँ
- विचार
- पहचान
- पहचान
- महत्वपूर्ण
- में सुधार
- in
- घटना
- शामिल
- शामिल
- सहित
- अविश्वसनीय रूप से
- करें-
- बजाय
- रुचि
- दिलचस्प
- आविष्कार
- iOS
- IP
- विडम्बना से
- मुद्दा
- मुद्दों
- IT
- जनवरी
- शब्दजाल
- जावा
- जावास्क्रिप्ट
- में शामिल होने
- रखना
- कुंजी
- बच्चा
- बुनी
- जानना
- भाषा
- लैपटॉप
- बड़ा
- पिछली बार
- LastPass
- देर से
- परत
- लीक
- सीखा
- सीख रहा हूँ
- लीवरेज
- पुस्तकालयों
- लाइसेंस
- प्रकाश
- LINK
- लिंक
- लिनक्स
- सूचीबद्ध
- सुनना
- थोड़ा
- भार
- भार
- लंबा
- लंबे समय तक
- देखिए
- देखा
- देख
- लग रहा है
- खोना
- लॉट
- मोहब्बत
- निम्न
- मैक
- बनाया गया
- जादू
- बनाना
- निर्माण
- मैलवेयर
- प्रबंधक
- मंत्र
- बहुत
- मैच
- MD5
- साधन
- याद
- उल्लेख किया
- संदेश
- माइक्रोसॉफ्ट
- हो सकता है
- दस लाख
- लापता
- मोबाइल
- मोबाइल फ़ोन
- धन
- महीने
- अधिक
- अधिकांश
- चाल
- मल्टीकॉलर प्रमाणीकरण
- संगीत
- संगीत
- रहस्यमय
- रहस्य
- नग्न सुरक्षा
- नग्न सुरक्षा पॉडकास्ट
- नाम
- नामों
- निकट
- लगभग
- आवश्यकता
- नेटवर्क
- नया
- समाचार
- अगला
- सामान्य रूप से
- नोट्स
- नवंबर
- संख्या
- संख्या
- बलूत
- Office
- सरकारी
- पुराना
- ONE
- परिचालन
- ऑपरेटिंग सिस्टम
- अवसर
- आदेश
- साधारण
- मूल
- अन्य
- अन्य
- बाहर
- अपना
- प्रदत्त
- प्राचल
- भाग
- पार्टी
- पासवर्ड
- पासवर्ड
- पैच
- पॉल
- स्टाफ़
- शायद
- अवधि
- व्यक्ति
- फिशो
- फ़िशिंग
- फ़िशिंग हमले
- फ़ोन
- पिच
- मंच
- प्लेटफार्म
- प्लेटो
- प्लेटो डेटा इंटेलिजेंस
- प्लेटोडाटा
- पॉडकास्ट
- पॉडकास्ट
- बिन्दु
- प्रहार
- लोकप्रियता
- संभव
- पोस्ट
- जेल
- प्रति
- प्रोएक्टिव
- शायद
- मुसीबत
- उत्पाद
- कार्यक्रम
- कार्यक्रम
- प्रोग्रामर्स
- प्रोग्रामिंग
- संरक्षित
- प्रश्न
- उठाना
- बिना सोचे समझे
- बेतरतीब ढंग से उत्पन्न
- अनियमितता
- पढ़ना
- पाठक
- वास्तविक
- असली सौदा
- हाल
- हाल ही में
- की सिफारिश
- सिफारिश
- अभिलेख
- की वसूली
- सम्बंधित
- और
- याद
- बार बार
- की जगह
- जवाब दें
- का अनुरोध
- अनुरोधों
- अपेक्षित
- बचाव
- शोधकर्ता
- जिम्मेदार
- पता चलता है
- जोखिम
- जोखिम
- रोल
- कक्ष
- शाही
- आरएसएस
- रन
- दौड़ना
- सुरक्षित
- कहा
- नमक
- वही
- स्क्रीन
- दूसरा
- गुप्त
- सुरक्षित
- सुरक्षा
- बीज
- मांग
- लगता है
- देखता है
- खंड
- भेजना
- अनुक्रम
- सर्वर
- सेवा
- सेवाएँ
- सेट
- सेटिंग्स
- व्यवस्था
- कई
- साझा
- कम
- चाहिए
- दिखाना
- महत्वपूर्ण
- सरल
- केवल
- एसएमएस
- So
- सोशल मीडिया
- हल
- कुछ
- कोई
- कुछ
- कहीं न कहीं
- ध्वनि
- स्रोत
- स्पैम
- बोल रहा हूँ
- बिताना
- Spotify
- स्पायवेयर
- प्रारंभ
- शुरुआत में
- रहना
- स्टीफन
- फिर भी
- चुराया
- भंडारण
- की दुकान
- कहानी
- विषय
- प्रस्तुत
- आगामी
- ऐसा
- रवि
- निश्चित रूप से
- आश्चर्य
- संदेहजनक
- प्रणाली
- टी-मोबाइल
- लेना
- लेता है
- बातचीत
- टीम
- तकनीक
- तकनीक
- टेक्नोलॉजी
- RSI
- चोरी
- लेकिन हाल ही
- इसलिये
- बात
- चीज़ें
- तीसरा
- इस सप्ताह
- विचार
- तीन
- यहाँ
- पहर
- बार
- टाइप
- सुझावों
- सेवा मेरे
- आज
- एक साथ
- की ओर
- मुसीबत
- बदल गया
- अंत में
- समझ
- दुर्भाग्य
- एकीकृत
- अद्वितीय
- अनप्लग
- अपडेट
- अपडेट
- यूआरएल
- us
- USB के
- उपयोग
- उपयोगकर्ताओं
- संस्करण
- प्रतीक्षा
- चेतावनी
- वेब आधारित
- वेबकिट
- सप्ताह
- प्रसिद्ध
- क्या
- या
- कौन कौन से
- जब
- फुसफुसाना
- कौन
- विकिपीडिया
- जंगली
- मर्जी
- खिड़कियां
- अंदर
- बिना
- शब्द
- काम
- काम किया
- विश्व
- लायक
- होगा
- लिखना
- गलत
- वर्ष
- आप
- आपका
- स्वयं
- जेफिरनेट
- जीरो-डे बग