פריצות, טלאים, דליפות וטוויקים
הפרק האחרון - האזינו עכשיו.
לחץ וגרור על גלי הקול למטה כדי לדלג לכל נקודה. אתה יכול גם להקשיב ישירות בסאונדקלאוד.
עם דאג אמות ופול דאקלין
מוזיקת אינטרו ואאוטרו מאת אדית מדג'.
אתה יכול להאזין לנו ב Soundcloud, Apple Podcasts, Google Podcasts, Spotify, Stitcher ובכל מקום שבו נמצאים פודקאסטים טובים. או פשוט זרוק את כתובת האתר של הזנת ה-RSS שלנו לתוך הפודקטצ'ר האהוב עליך.
קרא את התמליל
DOUG. הפרות, הפרות, תיקונים וטיפוסים.
כל זה, ועוד, בפודקאסט הביטחון העירום.
[מודם מוזיקלי]
ברוכים הבאים לפודקאסט, כולם.
אני דאג אמות'; הוא דאול פאקלין...
...אני מצטער, פול!
ברווז. אני חושב שהסתדרתי, דאג.
"Typios" היא שגיאת הקלדה בשמע.
DOUG. בְּדִיוּק!
ברווז. כן... כל הכבוד, האיש הזה!
DOUG. אז מה הקשר לשגיאות הקלדה לאבטחת סייבר?
ניכנס לזה…
אבל קודם כל - אנחנו אוהבים להתחיל עם שלנו השבוע בהיסטוריה הטכנולוגית מגזר.
השבוע, 23 בינואר 1996, גרסה 1.0 של ערכת הפיתוח של Java אמרה, "Hello, world.
"
המנטרה שלו, "כתוב פעם אחת, רוץ לכל מקום", והשחרור שלו ממש כשהפופולריות של האינטרנט הגיעה ממש לגובה קדחת, הפכו אותה לפלטפורמה מצוינת לאפליקציות מבוססות אינטרנט.
מהר קדימה להיום, ואנחנו בגרסה 19, פול.
ברווז. אנחנו!
ג'אווה, אה?
או "אלון".
אני מאמין שזה היה שמו המקורי, כי למי שהמציא את השפה צמח עץ אלון מחוץ למשרדו.
תן לנו לנצל את ההזדמנות הזו, דאג, כדי להבהיר, אחת ולתמיד, את בלבול שיש להרבה אנשים בין Java ל-JavaScript.
DOUG. אוווווו…
ברווז. הרבה אנשים חושבים שהם קשורים.
הם לא קשורים, דאג.
הם *בדיוק אותו דבר* - אחד הוא רק המקוצר... לא, אני לגמרי צוחק עליך!
DOUG. הייתי, כמו, "לאן זה הולך?" [צוחק]
ברווז. JavaScript בעצם קיבל את השם הזה כי המילה Java הייתה מגניבה...
... ומתכנתים פועלים על קפה, בין אם הם מתכנתים ב-Java או ב-JavaScript.
DOUG. בסדר, טוב מאוד.
תודה שהבהרת את זה.
ובנושא בירור הדברים, GoTo, החברה שמאחורי מוצרים כמו GoToMyPC, GoToWebinar, LogMeIn ועוד (שיעול, שיעול) אחרים אומר ש הם "זיהו פעילות חריגה בסביבת הפיתוח שלנו ובשירות האחסון בענן של צד שלישי."
פול, מה אנחנו יודעים?
ברווז. זה קרה ביום האחרון של נובמבר 2022.
וה(שיעול, שיעול) שהזכרת קודם, כמובן, הוא השלוחה/חברה הבת של GoTo, או החברה שהיא חלק מהקבוצה שלהם, LastPass.
כמובן, הסיפור הגדול בחג המולד היה הפרה של LastPass.
כעת, נראה שהפרה זו שונה, ממה שגוטו יצא ואמר כעת.
הם מודים ששירות הענן שבסופו של דבר נפרץ הוא אותו שירות שמשותף עם LastPass.
אבל הדברים שנפרצו, לפחות מהאופן שבו הם כתבו אותם, נשמעים שנפרצו אחרת.
ולקח עד השבוע - כמעט חודשיים לאחר מכן - עד ש-GoTo חזר עם הערכה של מה שהם מצאו.
והחדשות לא טובות בכלל, דאג.
כי מלא מוצרים... אני אקרא אותם: Central, Pro, join.me, Hamachi ו-RemotelyAnywhere.
עבור כל המוצרים הללו, נגנבו גיבויים מוצפנים של דברים של לקוחות, כולל נתוני חשבון.
ולמרבה הצער, מפתח הפענוח של לפחות חלק מהגיבויים האלה נגנב איתם.
אז זה אומר שהם בעצם *לא* מוצפנים ברגע שהם נמצאים בידי הנוכלים.
והיו שני מוצרים נוספים, שהם Rescue ו-GoToMyPC, שבהם נגנבו מה שנקרא "הגדרות MFA", אך אפילו לא הוצפנו.
אז, בשני המקרים יש לנו, ככל הנראה: סיסמאות גובבות ומלוחות חסרות, ויש לנו "הגדרות MFA (אימות מרובה גורמים)" המסתוריות הללו.
בהתחשב בעובדה שמדובר בנתונים הקשורים לחשבון, לא ברור מהן "הגדרות MFA", וחבל ש-GoTo לא היה קצת יותר מפורש.
והשאלה הבוערת שלי היא...
..האם ההגדרות האלה כוללות דברים כמו מספר הטלפון שאליו עשויים להישלח קודי SMS 2FA?
ההתחלה של קודי 2FA מבוססי אפליקציה?
ו/או קודי הגיבוי האלה ששירותים רבים מאפשרים לך ליצור כמה מהם, למקרה שתאבד את הטלפון שלך או שלך מחליפים סים?
החלפת סים נשלחה לכלא בגין שוד מטבעות קריפטוגרפיים 2FA של למעלה מ-20 מיליון דולר
DOUG. אה, כן - נקודה טובה!
ברווז. או שתוכנית המאמת שלך נכשלת.
DOUG. כן.
ברווז. אז, אם הם אחד מאלה, אז זה יכול להיות בעיה גדולה.
בואו נקווה שאלו לא היו "הגדרות MFA"...
...אבל השמטת הפרטים שם אומרת שכדאי כנראה להניח שהם היו, או אולי היו, בין הנתונים שנגנבו.
DOUG. ואם כבר מדברים על השמטות אפשריות, יש לנו את הדרישה, "הסיסמאות שלך דלפו. אבל אל דאגה, הם הומלחו ונשטפו".
אבל לא כולם מליחה-וגיבוב-ומתיחה זה אותו דבר, נכון?
ברווז. ובכן, הם לא הזכירו את חלק המתיחה!
זה המקום שבו אתה לא רק גיבוב את הסיסמה פעם אחת.
אתה גיבש את זה, אני לא יודע... 100,100 פעמים, או 5000 פעמים, או 50 פעמים, או מיליון פעמים, רק כדי להקשות על הנוכלים.
וכפי שאתה אומר... כן., לא כל המלחה-ו-hashing שווה.
אני חושב שדיברת לא מזמן בפודקאסט על הפרה שבה נגנבו כמה סיסמאות מומלחות וגיבובות, והתברר, אני חושב, שהמלח היה קוד דו ספרתי, "00" עד "99"!
אז, 100 שולחנות קשת שונים זה כל מה שאתה צריך...
...שאלה גדולה, אבל זה אפשרי.
ואיפה ה-hash היה *סיבוב אחד* של MD5, שאפשר לעשות במיליארדי hashes בשנייה, אפילו בציוד צנוע.
אז, רק בצד, אם אי פעם יתמזל מזלך לסבול מהפרה מהסוג הזה בעצמך, שבה אתה מאבד את סיסמאות הגיבוב של לקוחות, אני ממליץ לך לצאת מגדרך כדי להיות סופי לגבי הגדרות האלגוריתם והפרמטרים שאתה משתמשים.
כי זה כן נותן מעט נחמה למשתמשים שלך לגבי כמה זמן עשוי לקחת לנוכלים לבצע את הפיצוח, ולכן באיזו תזזית אתה צריך לשנות את כל הסיסמאות שלך!
DOUG. בסדר.
יש לנו כמה עצות, כמובן, החל מ: שנה את כל הסיסמאות הקשורות לשירותים עליהם דיברנו קודם.
ברווז. כן, זה משהו שאתה צריך לעשות.
זה מה שהיינו ממליצים בדרך כלל כאשר נגנבות סיסמאות גיבובות, גם אם הן מגובבות מאוד.
DOUG. אישור.
ויש לנו: אפס כל רצפי קוד 2FA מבוססי אפליקציה שבהם אתה משתמש בחשבונות שלך.
ברווז. כן, אני חושב שאתה יכול לעשות את זה.
DOUG. אישור.
ויש לנו: צור מחדש קודי גיבוי חדשים.
ברווז. כאשר אתה עושה את זה עם רוב השירותים, אם קודי גיבוי הם תכונה, אז הישנים נזרקים אוטומטית, והחדשים מחליפים אותם לחלוטין.
DOUG. ואחרון, אך בהחלט לא פחות: שקול לעבור לקודי 2FA מבוססי אפליקציה אם אתה יכול.
ברווז. לקודי SMS יש את היתרון שאין סוד משותף; אין זרע.
זה רק מספר אקראי באמת שהקצה השני יוצר בכל פעם.
זה הדבר הטוב בדברים מבוססי SMS.
כפי שאמרנו, הדבר הרע הוא החלפת סים.
ואם אתה צריך לשנות את רצף הקודים המבוסס על האפליקציה שלך או לאן עוברים קודי ה-SMS שלך...
...הרבה הרבה יותר קל להתחיל רצף אפליקציות 2FA חדש מאשר לשנות את מספר הטלפון הנייד שלך! [צוחק]
DOUG. אישור.
וכפי שאמרתי שוב ושוב (אולי יקעקוע את זה על החזה שלי איפשהו), אנחנו נפקח על זה.
אבל, לעת עתה, יש לנו ממשק API דולף של T-Mobile האחראי לגניבה של...
(תן לי לבדוק את ההערות שלי כאן: [קול רעש OFF-MIC] שלושים ושבעה מיליון!?!??!)
...37 מיליון רישומי לקוחות:
T-Mobile מודה ב-37,000,000 רישומי לקוחות שנגנבו על ידי "שחקן רע"
ברווז. כן.
זה קצת מעצבן, לא? [צחוק]
כי 37 מיליון הם מספר גדול להפליא... ולמרבה האירוניה, מגיע אחרי 2022, השנה שבה T-Mobile שילמה $ 500 מיליון ליישב סוגיות הקשורות לפרצת נתונים ש-T-Mobile סבלה ב-2021.
עכשיו, החדשות הטובות, אם אפשר לקרוא לזה כך, הן: בפעם הקודמת, הנתונים שנפרצו כללו דברים כמו מספרי ביטוח לאומי [SSNs] ופרטי רישיון נהיגה.
אז זה באמת מה שאתה יכול לקרוא לדברים "בדרגה גבוהה" של גניבת זהות.
הפעם, הפרצה גדולה, אבל הבנתי שמדובר בפרטי התקשרות אלקטרוניים בסיסיים, כולל מספר הטלפון שלך, יחד עם תאריך הלידה.
זה עוזר במידה מסוימת לנוכלים עם גניבת זהות, אבל לא רחוק כמו משהו כמו SSN או תמונה סרוקה של רישיון הנהיגה שלך.
DOUG. אוקיי, יש לנו כמה טיפים אם אתה מושפע מכך, החל מ: אל תלחץ על קישורים "מועילים" באימיילים או בהודעות אחרות.
אני מוכרח להניח שהמקרה הזה ייווצר המון הודעות דואר זבל ודיוג.
ברווז. אם אתה נמנע מהקישורים, כמו שאנחנו תמיד אומרים, ואתה מוצא את הדרך שלך לשם, אז בין אם זה אימייל לגיטימי או לא, עם קישור אמיתי או מזויף...
...אם לא תלחץ על הקישורים הטובים, אז גם לא תלחץ על הקישורים הגרועים!
DOUG. וזה משתלב יפה עם הטיפ השני שלנו: תחשוב לפני שאתה לוחץ.
ואז, כמובן, הטיפ האחרון שלנו: דווח על הודעות האימייל החשודות הללו לצוות ה-IT של העבודה שלך.
ברווז. כאשר נוכלים מתחילים בהתקפות פישינג, הנוכלים בדרך כלל לא שולחים את זה לאדם אחד בתוך החברה.
אז, אם האדם הראשון שרואה דיוג בחברה שלך במקרה מעורר את האזעקה, אז לפחות יש לך סיכוי להזהיר את 49 האחרים!
DOUG. מעולה.
ובכן, עבורכם משתמשי iOS 12 שם בחוץ... אם הרגשתם מחוץ לכל התיקונים האחרונים של יום האפס, יש יש לנו סיפור בשבילך היום!
התיקונים של אפל יצאו - מכשירי אייפון ישנים מקבלים סוף סוף תיקון ישן של יום אפס!
ברווז. יש לנו, דאג!
אני די שמח, כי כולם יודעים שאני אוהב את הטלפון הישן שלי עם iOS 12.
עברנו תקופות מצוינות, ובכמה רכיבות אופניים ארוכות ומגניבות ביחד עד ש... [צחוק]
...הגורל שבו נפצעתי מספיק טוב כדי להתאושש, והטלפון נפצע מספיק טוב שבקושי רואים מבעד לסדקים של המסך, אבל זה עדיין עובד!
אני אוהב את זה כשהוא מקבל עדכון!
DOUG. אני חושב שזה היה כאשר למדתי את המילה פראנג.
ברווז. [פאוזה] מה?!
זה לא מילה לך?
DOUG. לא!
ברווז. אני חושב שזה מגיע מחיל האוויר המלכותי במלחמת העולם השנייה... זה היה "התרסקות מטוס".
אז, יש א דינג, ואז, הרבה מעל דינג, מגיע א פראנג, למרות שלשניהם יש אותו צליל.
DOUG. בסדר, טוב.
ברווז. הפתעה, הפתעה - לאחר שלא היו לו עדכוני iOS 12 במשך עידנים, הטלפון המטורף קיבל עדכון...
... עבור באג של יום אפס שהיה הבאג המסתורי שתוקן לפני זמן מה ב- iOS 16 בלבד... [WHISPER] בסודיות רבה מאת אפל, אם אתה זוכר את זה.
DOUG. הו, אני זוכר את זה!
ברווז. היה את העדכון הזה ל-iOS 16, ולאחר זמן מה יצאו עדכונים עבור כל השאר פלטפורמות אפל, כולל iOS 15.
ואפל אמרה, "הו, כן, למעשה, עכשיו אנחנו חושבים על זה, זה היה יום אפס. עכשיו בדקנו את זה, למרות שמיהרנו להוציא את העדכון עבור iOS 16 ולא עשינו שום דבר עבור iOS 15, מסתבר שהבאג חל רק על iOS 15 ואילך. [צוחק]
אז, וואו, איזו תעלומה מוזרה זו הייתה!
אבל לפחות הם תיקנו הכל בסוף.
כעת, מתברר, כי היום האפס הישן תוקן כעת ב-iOS 12.
וזה אחד מאותם WebKit zero-days שנשמע כאילו השימוש בו בטבע הוא להשתלת תוכנות זדוניות.
וזה, כמו תמיד, מריח של משהו כמו תוכנות ריגול.
אגב, זה היה הבאג היחיד שתוקן ב-iOS 12 שהיה רשום - רק אותו יום 0.
הפלטפורמות האחרות קיבלו המון תיקונים כל אחת.
למרבה המזל, נראה שכולם פרואקטיביים; אף אחד מהם אינו מופיע על ידי אפל כ"מנוצל באופן פעיל".
[הַפסָקָה]
נכון, בוא נעבור למשהו סופר-מרגש, דאג!
אני חושב שאנחנו בעניין של "טיפוסים", לא?
DOUG. כן!
השמיים שאלה שאלתי את עצמי... [אירוני] אני לא זוכר כמה זמן, ואני בטוח שאנשים אחרים שואלים, "איך שגיאות הקלדה מכוונות יכולות לשפר את אבטחת ה-DNS?"
אבטחה רצינית: כיצד כתובות דפוס מכוונת עשויות לשפר את אבטחת ה-DNS
ברווז. [צוחק]
מעניין שזה רעיון שהופיע לראשונה ב-2008, בערך בתקופה המאוחרת דן קמינסקי, שהיה חוקר אבטחה ידוע באותם ימים, הבין שיש כמה סיכונים משמעותיים של "ניחושי תשובה" לשרתי DNS שאולי הרבה יותר קל לנצל ממה שאנשים חשבו.
איפה אתה פשוט תוקע תשובות בשרתי DNS, בתקווה שהן במקרה תואמות בקשה יוצאת שעדיין לא קיבלה תשובה רשמית.
אתה רק חושב, "ובכן, אני בטוח שמישהו ברשת שלך חייב להיות מעוניין ללכת לדומיין naksec.test
בדיוק עכשיו. אז תן לי לשלוח בחזרה מטען שלם של תשובות ואומר, 'היי, שאלת לגבי naksec.test
; הנה זה"…
...והם שולחים לך מספר שרת [IP] פיקטיבי לחלוטין.
זה אומר שאתה בא לשרת שלי במקום ללכת לעסקה האמיתית, אז בעצם פרצתי לשרת שלך בלי להתקרב לשרת שלך בכלל!
ואתה חושב, "ובכן, איך אתה יכול פשוט לשלוח *כל* תשובה? אין ספק שיש סוג של עוגיית קריפטוגרפית קסומה בבקשת ה-DNS היוצאת?"
זה אומר שהשרת יכול להבחין שהתגובה שלאחר מכן הייתה רק מישהו שהמציא אותה.
ובכן, הייתם חושבים ש... אבל זכרו ש-DNS ראה אור לראשונה 1987, דאג.
ולא רק שאבטחה לא הייתה עניין כל כך גדול אז, אלא שלא היה מקום, בהתחשב ברוחב הפס של הרשת של היום, לעוגיות קריפטוגרפיות מספיק ארוכות.
אז בקשות DNS, אם אתה הולך RFC 1035, מוגנים (באופן רופף, דאג) במספר זיהוי ייחודי, בתקווה שנוצר באקראי על ידי שולח הבקשה.
נחש כמה זמן הם, דאג...
DOUG. לא מספיק ארוך?
ברווז. 16 סיביות.
DOUG. אההההההה.
ברווז. זה די קצר... זה היה די קצר, אפילו ב-1987!
אבל 16 ביטים הם *שני בתים שלמים*.
בדרך כלל, כמות האנטרופיה, כפי שהז'רגון אומר, שתהיה לך בבקשת DNS (ללא הוספת נתוני קובצי cookie אחרים - בקשת DNS בסיסית בסגנון המקורי)...
...יש לך מספר יציאת מקור UDP של 16 סיביות (למרות שאינך יכול להשתמש בכל 16 הסיביות, אז בוא נקרא לזה 15 סיביות).
ויש לך את מספר הזהות הזה של 16 סיביות שנבחר באקראי... מקווה שהשרת שלך בוחר באקראי, ולא ישתמש ברצף שניתן לנחש.
אז יש לך 31 סיביות של אקראיות.
ולמרות 231 [קצת יותר מ-2 מיליארד] זה הרבה בקשות שונות שתצטרך לשלוח, זה בשום אופן לא יוצא דופן בימים אלה.
אפילו במחשב הנייד העתיק שלי, דאג, שולח 216 [65,536] בקשות UDP שונות לשרת DNS לוקחות פרק זמן קצר כמעט לאין שיעור.
אז, 16 סיביות זה כמעט מיידי, ו-31 סיביות אפשר לעשות.
אז הרעיון, כבר ב-2008 היה...
מה אם ניקח את שם הדומיין שאתה מחפש, נגיד, naksec.test
, ובמקום לעשות מה שרוב פותרי ה-DNS עושים ולהגיד, "אני רוצה להסתכל למעלה n-a-k-s-e-c dot t-e-s-t
," הכל באותיות קטנות בגלל שהאותיות הקטנות נראות נחמדות (או, אם אתה רוצה להיות מיושן, הכל באותיות רישיות, כי ה-DNS אינו רגיש לאותיות גדולות, זוכר)?
מה אם נביט למעלה nAKseC.tESt
, עם רצף שנבחר באקראי של אותיות קטנות, רישיות, רישיות, קטנות וכו', ואנחנו זוכרים באיזה רצף השתמשנו, ומחכים שהתשובה תחזור?
מכיוון שתשובות DNS מחויבות להכיל עותק של הבקשה המקורית.
מה אם נוכל להשתמש בחלק מהנתונים בבקשה זו כסוג של "אות סודי"?
על ידי ריסוק התיק, הנוכלים יצטרכו לנחש את יציאת המקור של UDP; הם יצטרכו לנחש את מספר הזיהוי של 16 סיביות בתשובה; *ו* הם יצטרכו לנחש איך בחרנו ל-miS-sPEll nAKsEc.TeST
.
ואם הם טועים באחד משלושת הדברים האלה, ההתקפה נכשלת.
DOUG. וואו, בסדר!
ברווז. וגוגל החליטה, "היי, בוא ננסה את זה."
הבעיה היחידה היא שבשמות דומיין ממש קצרים (אז הם מגניבים, וקלים לכתיבה וקלים לזכור), כמו של טוויטר t.co
, אתה מקבל רק שלוש דמויות שיכולות לשנות את המקרה שלהן.
זה לא תמיד עוזר, אבל באופן רופף, ככל ששם הדומיין שלך ארוך יותר, כך תהיה בטוח יותר! [צוחק]
ופשוט חשבתי שזה סיפור קטן ונחמד...
DOUG. כשהשמש מתחילה לשקוע בתוכנית שלנו להיום, יש לנו הערת קורא.
עכשיו, התגובה הזו באה בעקבות הפודקאסט של השבוע שעבר, S3 Ep118.
S3 Ep118: נחשו את הסיסמה שלכם? אין צורך אם זה כבר נגנב! [אודיו + טקסט]
הקורא סטיבן כותב... הוא בעצם אומר:
שמעתי אתכם מדברים הרבה על מנהלי סיסמאות לאחרונה - החלטתי לגלגל את שלי.
אני מייצר את הסיסמאות המאובטחות האלה; אני יכול לאחסן אותם על מקל זיכרון או על מקלות, רק לחבר את המקל כשאני צריך לחלץ ולהשתמש בסיסמה.
האם גישת המקל תהיה בסיכון נמוך למדי?
אני מניח שאוכל להכיר טכניקות הצפנה לקידוד ופענוח מידע על המקל, אבל אני לא יכול שלא להרגיש שזה עשוי לקחת אותי הרבה מעבר לגישה הפשוטה שאני מחפש.
אז מה אתה אומר, פול?
ברווז. ובכן, אם זה לוקח אותך הרבה מעבר לגישה ה"פשוטה", אז זה אומר שזה הולך להיות מסובך.
ואם זה מסובך, אז זה תרגיל למידה נהדר...
...אבל אולי הצפנת סיסמה היא לא הדבר שבו אתה רוצה לעשות את הניסויים האלה. [צחוק]
DOUG. אני כן מאמין ששמעתי אותך אומר בעבר בתוכנית הזו כמה פעמים שונות: "אין צורך לגלגל הצפנה משלך; ישנן מספר ספריות הצפנה טובות בהן תוכל למנף."
ברווז. כן... אין לסרוג, לסרוג, לאחוז במחט או לתפור את ההצפנה שלך אם אתה יכול לעזור בזה!
הבעיה שסטיבן מנסה לפתור היא: "אני רוצה להקדיש כונן USB נשלף שיהיו בו סיסמאות - איך אני נוהג להצפין את הכונן בצורה נוחה?"
וההמלצה שלי היא שתלך על משהו שעושה הצפנת מכשיר מלאה [FDE] *בתוך מערכת ההפעלה*.
כך, יש לך מקל USB ייעודי; אתה מחבר אותו, ומערכת ההפעלה אומרת, '"זה מקושקש - אני צריך את קוד הגישה."
ומערכת ההפעלה עוסקת בפענוח הכונן כולו.
כעת, אתה יכול לקבל *קבצים* מוצפנים בתוך *המכשיר* המוצפן, אבל זה אומר שאם אתה מאבד את המכשיר, כל הדיסק, בזמן שהוא לא מותקן ומנתק מהמחשב שלך, הוא כרוב מגורר.
ובמקום לנסות לסרוג מנהל התקן משלך כדי לעשות זאת, למה שלא תשתמש באחד מובנה במערכת ההפעלה?
זו ההמלצה שלי.
וכאן זה נהיה קל ומעט מאוד מסובך בו זמנית.
אם אתה מריץ לינוקס, אז אתה משתמש מוּתָרוּת [הגדרת מפתח מאוחד של לינוקס].
במחשבי Mac, זה ממש קל: יש לך טכנולוגיה שנקראת FileVault זה מובנה ב-Mac.
ב-Windows, המקבילה של FileVault או LUKS נקראת BitLocker; בטח שמעת על זה.
הבעיה היא שאם יש לך אחת מגרסאות הבית של Windows, אתה לא יכול לבצע את שכבת ההצפנה של הדיסק המלא בכוננים נשלפים.
אתה צריך ללכת ולבזבז את התוספת כדי לקבל את גרסת ה-Pro, או את Windows מסוג העסק, כדי שתוכל להשתמש בהצפנת BitLocker בדיסק מלא.
אני חושב שחבל.
הלוואי שמיקרוסופט פשוט תגיד, "אנו ממליצים לך להשתמש בו ככל והיכן שאתה יכול - בכל המכשירים שלך אם תרצה."
כי גם אם רוב האנשים לא, לפחות חלק מהאנשים יעשו זאת.
אז זו העצה שלי.
החריג הוא שאם יש לך Windows, וקנית מחשב נייד, נניח, בחנות צרכנית עם גרסת הבית, תצטרך להוציא קצת כסף נוסף.
מכיוון שככל הנראה, הצפנת כוננים נשלפים, אם אתה לקוח של מיקרוסופט, לא מספיק חשובה כדי להכנס לגרסת הבית של מערכת ההפעלה.
DOUG. בסדר, טוב מאוד.
תודה לך, סטיבן, ששלחת את זה.
אם יש לכם סיפור מעניין, תגובה או שאלה שתרצו לשלוח, נשמח לקרוא אותם בפודקאסט.
אתה יכול לשלוח דוא"ל ל-tips@sophos.com, אתה יכול להגיב על כל אחד מהמאמרים שלנו, או שאתה יכול לפנות אלינו בחברתית: @NakedSecurity.
זו ההופעה שלנו להיום - תודה רבה על ההקשבה.
עבור פול דאקלין, אני דאג אמות', ומזכיר לך, עד הפעם הבאה...
שניהם. הישאר בטוח!
[מודם מוזיקלי]
- הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
- Platoblockchain. Web3 Metaverse Intelligence. ידע מוגבר. גישה כאן.
- מקור: https://nakedsecurity.sophos.com/2023/01/26/s3-ep119-breaches-patches-leaks-and-tweaks-audio-text/
- 000
- 1
- 100
- 1996
- 2021
- 2022
- 2FA
- a
- יכול
- אודות
- בנוגע לזה
- מֵעַל
- חֶשְׁבּוֹן
- חשבונות
- פעילות
- למעשה
- הוסיף
- לְהוֹדוֹת
- יתרון
- עצה
- לאחר
- גילים
- AIR
- חיל האוויר
- אזעקה
- אַלגוֹרִיתְם
- תעשיות
- בסדר
- למרות
- תמיד
- בין היתר
- כמות
- עתיק
- ו
- לענות
- בְּכָל מָקוֹם
- API
- האפליקציה
- תפוח עץ
- גישה
- אפליקציות
- סביב
- מאמרים
- הערכה
- לתקוף
- המתקפות
- אודיו
- אימות
- מחבר
- באופן אוטומטי
- בחזרה
- גיבוי
- גיבויים
- רע
- רוחב פס
- בסיסי
- בעיקרון
- כי
- להיות
- לפני
- מאחור
- להיות
- תאמינו
- להלן
- בֵּין
- מעבר
- גָדוֹל
- B
- מיליארדים
- קצת
- קנה
- הפרה
- פרות
- חרק
- לִבנוֹת
- נבנה
- שיחה
- נקרא
- מקרה
- מקרים
- מֶרכָּזִי
- בהחלט
- סיכוי
- שינוי
- משתנה
- תווים
- לבדוק
- בחר
- נבחר
- חַג הַמוֹלָד
- ברור
- קרחת יער
- ענן
- אחסון ענן
- קוד
- קָפֶה
- COM
- איך
- נוחות
- הערה
- חברה
- לחלוטין
- מסובך
- המחשב
- מקשר
- צרכן
- צור קשר
- נוֹחַ
- עוגיות
- קריר
- יכול
- קורס
- מתרסק
- לִיצוֹר
- מטבע מבוזר
- קריפטוגרפי
- לקוח
- אבטחת סייבר
- נתונים
- נתוני פרה
- תַאֲרִיך
- יְוֹם
- ימים
- עסקה
- דילים
- החליט
- ייעודי
- מוקדש
- סופי
- פרטים
- צעצועי התפתחות
- מכשיר
- התקנים
- אחר
- DNS
- לא
- עושה
- תחום
- שם תחום
- שמות דומיינים
- לא
- נקודה
- נהיגה
- נהג
- נהיגה
- ירידה
- כל אחד
- מוקדם יותר
- קל יותר
- או
- אֶלֶקטרוֹנִי
- אמייל
- מיילים
- לעודד
- מוצפן
- הצף
- מספיק
- שלם
- לַחֲלוּטִין
- סביבה
- ציוד
- שווה
- למעשה
- אֲפִילוּ
- אי פעם
- כולם
- הכל
- מצוין
- לנצל
- ומנוצל
- נוסף
- תמצית
- עין
- נכשל
- למדי
- מוכר
- מאפיין
- מעטים
- חשבתי
- בסופו של דבר
- ראשון
- לסדר
- קבוע
- להכריח
- מצא
- החל מ-
- בדרך כלל
- ליצור
- נוצר
- מייצר
- לקבל
- לתת
- נתן
- Go
- Goes
- הולך
- טוב
- לך ל
- גדול
- קְבוּצָה
- גדל
- פרוצים
- ידיים
- לקרות
- קורה
- שמח
- שירים
- חשיש
- יש
- נשמע
- שמיעה
- שוד
- לעזור
- עזרה
- כאן
- מכה
- עמוד הבית
- לקוות
- אני מקווה
- מקווה
- איך
- איך
- HTTPS
- חולה
- רעיון
- הזדהות
- זהות
- חשוב
- לשפר
- in
- תקרית
- לכלול
- כלול
- כולל
- בצורה מדהימה
- מידע
- במקום
- מעוניין
- מעניין
- בדוי
- iOS
- IP
- באופן אירוני
- סוגיה
- בעיות
- IT
- יָנוּאָר
- בז'רגון
- Java
- JavaScript
- להצטרף
- שמור
- מפתח
- סוג
- לִסְרוֹג
- לדעת
- שפה
- מחשב נייד
- גָדוֹל
- אחרון
- LastPass
- מְאוּחָר
- שכבה
- דליפות
- למד
- למידה
- תנופה
- ספריות
- רישיון
- אוֹר
- קשר
- קישורים
- לינוקס
- ברשימה
- האזנה
- קְצָת
- לִטעוֹן
- המון
- ארוך
- עוד
- נראה
- נראה
- הסתכלות
- נראה
- להפסיד
- מגרש
- אהבה
- נמוך
- מק
- עשוי
- קסם
- לעשות
- עשייה
- תוכנות זדוניות
- מנהלים
- המנטרה
- רב
- להתאים
- MD5
- אומר
- זכרון
- מוּזְכָּר
- הודעות
- מיקרוסופט
- יכול
- מִילִיוֹן
- חסר
- סלולרי
- טלפון סלולרי
- כסף
- חודשים
- יותר
- רוב
- המהלך
- אימות רב-פקטורי
- כלי נגינה
- מחזמר
- מסתורי
- תעלומה
- ביטחון עירום
- פודקאסט עירום אבטחה
- שם
- שמות
- ליד
- כמעט
- צורך
- רשת
- חדש
- חדשות
- הבא
- בדרך כלל
- הערות
- נוֹבֶמבֶּר
- מספר
- מספרים
- אלון
- Office
- רשמי
- זקן
- ONE
- פועל
- מערכת הפעלה
- הזדמנות
- להזמין
- רגיל
- מְקוֹרִי
- אחר
- אחרים
- בחוץ
- שֶׁלוֹ
- נפרע
- פרמטר
- חלק
- צד
- סיסמה
- סיסמאות
- טלאים
- פול
- אֲנָשִׁים
- אוּלַי
- תקופה
- אדם
- phish
- דיוג
- התקפות פישינג
- טלפון
- גובה הצליל
- פלטפורמה
- פלטפורמות
- אפלטון
- מודיעין אפלטון
- אפלטון נתונים
- פודקאסט
- פודקאסטים
- נקודה
- לִתְקוֹעַ
- פופולריות
- אפשרי
- הודעות
- מאסר
- מִקצוֹעָן
- פרואקטיבי
- כנראה
- בעיה
- מוצרים
- תָכְנִית
- תכנית
- מתכנתים
- תכנות
- מוּגָן
- שאלה
- להעלות
- אקראי
- נוצר באופן אקראי
- אקראי
- חומר עיוני
- קורא
- ממשי
- הדבר האמיתי
- לאחרונה
- לאחרונה
- להמליץ
- המלצה
- רשום
- להחלים
- קָשׁוּר
- לשחרר
- לזכור
- שוב ושוב
- להחליף
- תשובה
- לבקש
- בקשות
- נָחוּץ
- להציל
- חוקר
- אחראי
- מגלה
- הסיכון
- סיכונים
- גָלִיל
- חֶדֶר
- מלכותי
- rss
- הפעלה
- ריצה
- בטוח יותר
- אמר
- מלח
- אותו
- מסך
- שְׁנִיָה
- סוד
- לבטח
- אבטחה
- זרע
- מחפשים
- נראה
- רואה
- קטע
- שליחה
- רצף
- שרתים
- שרות
- שירותים
- סט
- הגדרות
- התקנה
- כמה
- משותף
- קצר
- צריך
- לְהַצִיג
- משמעותי
- פָּשׁוּט
- בפשטות
- SMS
- So
- חֶברָתִי
- לפתור
- כמה
- מישהו
- משהו
- אי שם
- קול
- מָקוֹר
- דואר זבל
- מדבר
- לבלות
- Spotify
- תוכנות ריגול
- התחלה
- החל
- להשאר
- סטיבן
- עוד
- גָנוּב
- אחסון
- חנות
- סיפור
- נושא
- להגיש
- לאחר מכן
- כזה
- שמש
- בוודאי
- הפתעה
- חשוד
- מערכת
- T-Mobile
- לקחת
- לוקח
- לדבר
- נבחרת
- טק
- טכניקות
- טכנולוגיה
- השמיים
- גְנֵבָה
- שֶׁלָהֶם
- לכן
- דבר
- דברים
- שְׁלִישִׁי
- השבוע
- מחשבה
- שְׁלוֹשָׁה
- דרך
- זמן
- פִּי
- טיפ
- טיפים
- ל
- היום
- יַחַד
- לקראת
- צרה
- הסתובב
- בסופו של דבר
- הבנה
- חסר מזל
- מאוחד
- ייחודי
- unplugged
- עדכון
- עדכונים
- כתובת האתר
- us
- USB
- להשתמש
- משתמשים
- גרסה
- לחכות
- אזהרה
- המבוסס על האינטרנט
- ערכת רשת
- שבוע
- מוכר
- מה
- אם
- אשר
- בזמן
- Whisper
- מי
- ויקיפדיה
- בר
- יצטרך
- חלונות
- בתוך
- לְלֹא
- Word
- תיק עבודות
- עבד
- עוֹלָם
- ראוי
- היה
- לכתוב
- טעות
- שנה
- אתה
- עצמך
- זפירנט
- באג של יום אפס