PĘKNIĘCIA, ŁATKI, WYCIEKI I POPRAWKI
Najnowszy odcinek – posłuchaj teraz.
Kliknij i przeciągnij poniższe fale dźwiękowe, aby przejść do dowolnego punktu. Również możesz słuchaj bezpośrednio na Soundcloudzie.
Z Dougiem Aamothem i Paulem Ducklinem
Muzyka intro i outro autorstwa Edyta Mudge.
Możesz nas posłuchać SoundCloud, Podcasty Apple, Podcasty Google, Spotify, Stitcher i wszędzie tam, gdzie można znaleźć dobre podcasty. Lub po prostu upuść URL naszego kanału RSS do swojego ulubionego podcatchera.
PRZECZYTAJ TRANSKRYPTU
DOUG. Naruszenia, naruszenia, poprawki i literówki.
Wszystko to i wiele więcej w podkaście Naked Security.
[MOM MUZYCZNY]
Witam wszystkich w podkaście.
Jestem Doug Aamoth; on jest Daulem Pucklinem…
…Przepraszam, Paul!
KACZKA. Myślę, że sobie poradziłem, Doug.
„Typios” to literówka dźwiękowa.
DOUG. Dokładnie!
KACZKA. Tak… dobra robota, ten człowiek!
DOUG. Co literówki mają wspólnego z cyberbezpieczeństwem?
Wejdziemy w to…
Ale najpierw – lubimy zaczynać od naszego W tym tygodniu w historii technologii Segment.
W tym tygodniu, 23 stycznia 1996, wersja 1.0 Java Development Kit powiedziała: „Hello, world.
"
Jej mantra „Napisz raz, uruchom gdziekolwiek” i jej wydanie tuż po tym, jak popularność sieci naprawdę osiągnęła szczyt, uczyniły z niej doskonałą platformę dla aplikacji internetowych.
Przewińmy do dzisiaj i mamy wersję 19, Paul.
KACZKA. Jesteśmy!
Jawa, co?
Lub „Dąb”.
Myślę, że to była jego pierwotna nazwa, ponieważ osoba, która wynalazła ten język, miała dąb rosnący przed swoim biurem.
Skorzystajmy z okazji, Doug, by raz na zawsze wyjaśnić sprawę zamieszanie które wiele osób ma między Javą a JavaScriptem.
DOUG. Oooooo…
KACZKA. Wiele osób uważa, że są ze sobą spokrewnieni.
Oni nie są spokrewnieni, Doug.
Są *dokładnie takie same* – jeden jest tylko skrócony… NIE, CAŁKOWICIE ŻARTUJĘ!
DOUG. Pomyślałem: „Dokąd to zmierza?” [ŚMIECH]
KACZKA. JavaScript w zasadzie otrzymał tę nazwę, ponieważ słowo Java było fajne…
…a programiści biegają na kawie, niezależnie od tego, czy programują w Javie, czy JavaScript.
DOUG. Dobrze, bardzo dobrze.
Dziękuję za wyjaśnienie tej kwestii.
A jeśli chodzi o sprzątanie, GoTo, firma stojąca za takimi produktami jak GoToMyPC, GoToWebinar, LogMeIn i (kaszle, kaszle) inne mówi, że „wykryli nietypową aktywność w naszym środowisku programistycznym i usłudze przechowywania w chmurze innej firmy”.
Paweł, co wiemy?
GoTo przyznaje: Kopie zapasowe klientów w chmurze skradzione wraz z kluczem deszyfrującym
KACZKA. To było ostatniego dnia listopada 2022 r.
A (kaszel, kaszel), o którym wspomniałeś wcześniej, to oczywiście filia/spółka zależna GoTo lub firma będąca częścią ich grupy, LastPass.
Oczywiście, wielka historia na Boże Narodzenie była Naruszenie LastPass.
Teraz to naruszenie wydaje się być inne niż to, co Goto ujawnił i powiedział teraz.
Przyznają, że usługa w chmurze, która ostatecznie została naruszona, jest tą samą, która jest udostępniana LastPass.
Ale rzeczy, które zostały naruszone, przynajmniej ze sposobu, w jaki je napisali, wydają się być naruszone w inny sposób.
Dopiero w tym tygodniu – prawie dwa miesiące później – GoTo wróciło z oceną tego, co znaleźli.
A wieści wcale nie są dobre, Doug.
Bo cała masa produktów… Przeczytam je: Central, Pro, join.me, Hamachi i RemotelyAnywhere.
W przypadku wszystkich tych produktów skradzione zostały zaszyfrowane kopie zapasowe danych klientów, w tym danych kont.
Niestety wraz z nimi skradziono klucz odszyfrowywania przynajmniej niektórych z tych kopii zapasowych.
Oznacza to, że zasadniczo *nie* są szyfrowane, gdy znajdą się w rękach oszustów.
Istniały jeszcze dwa inne produkty, Rescue i GoToMyPC, w których skradzione zostały tak zwane „ustawienia MFA”, które nie zostały nawet zaszyfrowane.
Tak więc w obu przypadkach najwyraźniej mamy: brak zaszyfrowanych i solonych haseł i mamy te tajemnicze „ustawienia MFA (uwierzytelniania wieloskładnikowego)”.
Biorąc pod uwagę, że wydaje się, że są to dane związane z kontem, nie jest jasne, czym są te „ustawienia MFA” i szkoda, że GoTo nie było trochę bardziej wyraźne.
A moje palące pytanie brzmi…
..czy te ustawienia obejmują takie rzeczy jak numer telefonu, na który mogą być wysyłane kody SMS 2FA?
Początkowy materiał siewny dla kodów 2FA opartych na aplikacjach?
I/lub te kody zapasowe, z których wiele usług pozwala utworzyć kilka, na wypadek utraty telefonu lub telefonu Karta SIM zostaje zamieniona?
Wymiana karty SIM wysłana do więzienia za napad na kryptowalutę 2FA na ponad 20 milionów dolarów
DOUG. O tak – słuszna uwaga!
KACZKA. Lub Twój program uwierzytelniający zawodzi.
DOUG. Tak.
KACZKA. Więc jeśli to któryś z nich, to może być duży problem.
Miejmy nadzieję, że to nie były „ustawienia MFA”…
… ale pominięcie tam szczegółów oznacza, że prawdopodobnie warto założyć, że były one lub mogły znajdować się wśród skradzionych danych.
DOUG. Mówiąc o możliwych pominięciach, mamy wymaganie: „Twoje hasła wyciekły. Ale nie martw się, były solone i zmiksowane.
Ale nie wszystko solenie i mieszanie i rozciąganie jest taki sam, prawda?
Poważne bezpieczeństwo: jak bezpiecznie przechowywać hasła użytkowników
KACZKA. Cóż, nie wspomnieli o części rozciągającej!
W tym miejscu nie wystarczy raz zaszyfrować hasła.
Mieszasz to, nie wiem… 100,100 5000 razy, 50 razy, XNUMX razy lub milion razy, tylko po to, żeby trochę utrudnić oszustom.
I jak mówisz… tak., nie każde solenie i mieszanie jest równe.
Wydaje mi się, że całkiem niedawno mówiłeś w podcaście o włamaniu, w wyniku którego skradziono trochę solonych i zaszyfrowanych haseł, i okazało się, jak sądzę, że sól była dwucyfrowym kodem od „00” do „99”!
Tak więc wystarczy 100 różnych tęczowych stołów…
…wielka prośba, ale jest wykonalna.
I gdzie hash był *jedną rundą* MD5, co można zrobić z miliardami haszy na sekundę, nawet na skromnym sprzęcie.
A tak na marginesie, jeśli kiedykolwiek będziesz na tyle nieszczęśliwy, by sam ucierpieć z tego rodzaju naruszenia, w wyniku którego stracisz zaszyfrowane hasła klientów, zalecam, abyś zrobił wszystko, co w twojej mocy, aby określić, jaki algorytm i ustawienia parametrów chcesz używają.
Ponieważ daje to użytkownikom trochę komfortu, jeśli chodzi o to, ile czasu może zająć oszustom złamanie zabezpieczeń, a zatem jak szaleńczo musisz zmieniać wszystkie swoje hasła!
DOUG. W porządku.
Mamy oczywiście kilka rad, zaczynając od: Zmień wszystkie hasła związane z usługami, o których mówiliśmy wcześniej.
KACZKA. Tak, to jest coś, co powinieneś zrobić.
Zwykle zalecamy to w przypadku kradzieży zaszyfrowanych haseł, nawet jeśli są one bardzo mocno zaszyfrowane.
DOUG. OK.
I mamy: Zresetuj wszystkie oparte na aplikacji sekwencje kodu 2FA, których używasz na swoich kontach.
KACZKA. Tak, myślę, że równie dobrze możesz to zrobić.
DOUG. OK.
I mamy: Wygeneruj ponownie nowe kody zapasowe.
KACZKA. Gdy robisz to z większością usług, jeśli kody zapasowe są funkcją, stare są automatycznie wyrzucane, a nowe całkowicie je zastępują.
DOUG. I na koniec, ale na pewno nie najmniej: Rozważ przejście na kody 2FA oparte na aplikacji, jeśli możesz.
KACZKA. Kody SMS mają tę zaletę, że nie mają wspólnego sekretu; nie ma nasienia.
To po prostu prawdziwie losowa liczba, którą za każdym razem generuje drugi koniec.
To jest dobre w rzeczach opartych na SMS-ach.
Jak powiedzieliśmy, złą rzeczą jest wymiana karty SIM.
A jeśli musisz zmienić sekwencję kodów opartą na aplikacji lub miejsce, w którym trafiają kody SMS…
… dużo, dużo łatwiej jest rozpocząć nową sekwencję aplikacji 2FA niż zmienić numer telefonu komórkowego! [ŚMIECH]
DOUG. OK.
I, jak wielokrotnie powtarzałem (może wytatuuję sobie to gdzieś na klatce piersiowej), będziemy mieć na to oko.
Ale na razie mamy nieszczelne API T-Mobile odpowiedzialne za kradzież…
(Pozwól, że sprawdzę tutaj moje notatki: [GŁOŚNY BELLOW OFF-MIC] TRZYDZIEŚCI SIEDEM MILIONÓW!?!?!)
...37 milionów rekordy klientów:
T-Mobile przyznaje się do kradzieży 37,000,000 XNUMX XNUMX rekordów klientów przez „złego aktora”
KACZKA. Tak.
To trochę irytujące, prawda? [ŚMIECH]
Bo 37 milionów to niesamowicie duża liczba… i, jak na ironię, przychodzi po 2022 roku, w którym T-Mobile wypłacił $ 500 mln do rozstrzygnięcia kwestii związanych z naruszeniem danych, którego T-Mobile doznał w 2021 roku.
Dobra wiadomość, jeśli można to tak nazwać, jest taka, że ostatnim razem dane, które zostały naruszone, obejmowały takie rzeczy, jak numery ubezpieczenia społecznego [SSN] i dane prawa jazdy.
Więc to jest naprawdę to, co można nazwać „wysokiej jakości” kradzieżą tożsamości.
Tym razem naruszenie jest duże, ale rozumiem, że chodzi o podstawowe elektroniczne dane kontaktowe, w tym numer telefonu wraz z datą urodzenia.
W pewnym stopniu pomaga to oszustom w kradzieży tożsamości, ale nie zbliża się do czegoś takiego jak numer SSN lub zeskanowane zdjęcie prawa jazdy.
DOUG. OK, mamy kilka wskazówek, jeśli dotyczy to Ciebie, zaczynając od: Nie klikaj „pomocnych” linków w e-mailach ani innych wiadomościach.
Muszę założyć, że w wyniku tego incydentu zostanie wygenerowana tona spamu i wiadomości phishingowych.
KACZKA. Jeśli unikasz linków, jak zawsze mówimy, i znajdujesz tam własną drogę, to niezależnie od tego, czy jest to prawdziwy e-mail, czy nie, z prawdziwym linkiem lub fałszywym…
…jeśli nie klikniesz dobrych linków, nie klikniesz też złych linków!
DOUG. I to dobrze współgra z naszą drugą wskazówką: Pomyśl, zanim klikniesz.
I oczywiście nasza ostatnia wskazówka: Zgłoś te podejrzane e-maile do swojego zespołu IT w pracy.
KACZKA. Kiedy oszuści rozpoczynają ataki phishingowe, zazwyczaj nie wysyłają ich do jednej osoby w firmie.
Jeśli więc pierwsza osoba, która zobaczy phishing w Twojej firmie, podniesie alarm, to przynajmniej masz szansę ostrzec pozostałych 49!
DOUG. Doskonałe.
Cóż, dla was, użytkowników iOS 12… jeśli czuliście się wykluczeni ze wszystkich ostatnich poprawek zero-day, macie mamy historię dla Ciebie dzisiaj!
Wyszły łatki Apple – stare iPhone'y w końcu otrzymują starą poprawkę dnia zerowego!
KACZKA. Mamy, Doug!
Jestem całkiem szczęśliwy, bo wszyscy wiedzą, że kocham mój stary telefon z iOS 12.
Przeżyliśmy razem wspaniałe chwile i długie i super fajne przejażdżki rowerowe, aż… [ŚMIECH]
…ten fatalny, w którym doznałem kontuzji na tyle dobrze, aby wyzdrowieć, a telefon został ranny na tyle dobrze, że ledwo widać już przez pęknięcia ekranu, ale nadal działa!
Uwielbiam, kiedy dostaje aktualizację!
DOUG. Myślę, że wtedy nauczyłem się tego słowa zbombardować.
KACZKA. [PAUZA] Co?!
To jest nie słowo do Ciebie?
DOUG. Nie!
KACZKA. Myślę, że pochodzi od Królewskich Sił Powietrznych podczas drugiej wojny światowej… to było „rozbijanie samolotu”.
Więc jest ding, a potem, znacznie powyżej ding, pojawia się a zbombardować, chociaż oba mają ten sam dźwięk.
DOUG. OK, rozumiem.
KACZKA. Niespodzianka, niespodzianka – po wiekach braku aktualizacji iOS 12 zepsuty telefon otrzymał aktualizację…
…dla błędu zero-day, który był tajemniczym błędem naprawionym jakiś czas temu tylko w iOS 16… [SZept] bardzo skrycie przez Apple, jeśli to pamiętasz.
DOUG. Och, pamiętam to!
Apple wypuszcza aktualizację zabezpieczeń iOS, która jest bardziej szczelna niż kiedykolwiek
KACZKA. Była ta aktualizacja iOS 16, a potem jakiś czas później pojawiły się aktualizacje wszystkie inne Platformy Apple, w tym iOS 15.
A Apple powiedział: „Och, tak, właściwie, teraz, gdy o tym pomyślimy, to był dzień zerowy. Teraz przyjrzeliśmy się temu, chociaż pośpieszyliśmy z aktualizacją dla iOS 16 i nie zrobiliśmy nic dla iOS 15, okazuje się, że błąd dotyczy tylko iOS 15 i wcześniejszych.” [ŚMIECH]
Więc, wow, co to była za dziwna tajemnica!
Ale przynajmniej w końcu wszystko załatali.
Teraz okazuje się, że stary dzień zerowy jest teraz załatany w iOS 12.
I to jest jeden z tych dni zerowych WebKit, który brzmi tak, jakby sposób, w jaki był używany na wolności, polegał na wszczepianiu złośliwego oprogramowania.
A to, jak zawsze, pachnie czymś w rodzaju oprogramowania szpiegującego.
Nawiasem mówiąc, był to jedyny błąd naprawiony w iOS 12, który został wymieniony – tylko ten jeden dzień 0.
Pozostałe platformy otrzymały mnóstwo poprawek.
Na szczęście wszyscy wydają się być proaktywni; żaden z nich nie jest wymieniony przez Apple jako „aktywnie wykorzystywany”.
[PAUZA]
Dobra, przejdźmy do czegoś super-ekscytującego, Doug!
Myślę, że jesteśmy w „typios”, prawda?
DOUG. Tak!
Połączenia pytanie Zadawałem sobie pytanie… [IRONA] Nie pamiętam, jak długo i jestem pewien, że inni ludzie pytają: „W jaki sposób celowe literówki mogą poprawić bezpieczeństwo DNS?”
Poważne bezpieczeństwo: w jaki sposób celowe literówki mogą poprawić bezpieczeństwo DNS
KACZKA. [ŚMIECH]
Co ciekawe, jest to pomysł, który po raz pierwszy pojawił się w 2008 roku, mniej więcej w czasie, gdy śp Dan Kamiński, który był znanym badaczem bezpieczeństwa w tamtych czasach, zorientował się, że istniało pewne poważne ryzyko „zgadywania odpowiedzi” dla serwerów DNS, które być może było znacznie łatwiejsze do wykorzystania, niż ludzie myśleli.
Gdzie po prostu wysyłasz odpowiedzi do serwerów DNS, mając nadzieję, że po prostu pasują do żądania wychodzącego, które nie otrzymało jeszcze oficjalnej odpowiedzi.
Po prostu myślisz: „Cóż, jestem pewien, że ktoś w twojej sieci musi być zainteresowany przejściem do domeny naksec.test
mniej więcej teraz. Więc pozwólcie, że odeślę całą masę odpowiedzi, mówiąc: „Hej, pytałeś o naksec.test
; oto jest”…
…i wysyłają ci całkowicie fikcyjny numer [IP] serwera.
Oznacza to, że przychodzisz na mój serwer, zamiast iść na prawdziwą transakcję, więc w zasadzie zhakowałem twój serwer bez zbliżania się do twojego serwera!
I myślisz: „Cóż, jak możesz tak po prostu wysłać *dowolną* odpowiedź? Z pewnością w wychodzącym żądaniu DNS jest jakiś magiczny kryptograficzny plik cookie?
Oznacza to, że serwer mógł zauważyć, że kolejna odpowiedź była po prostu wymyślona przez kogoś.
Cóż, można by tak pomyśleć… ale pamiętaj, że DNS po raz pierwszy ujrzał światło dzienne 1987, Doug.
I nie tylko bezpieczeństwo nie było wtedy tak wielką sprawą, ale nie było miejsca, biorąc pod uwagę ówczesną przepustowość sieci, na wystarczająco długie kryptograficzne pliki cookie.
Więc żądania DNS, jeśli pójdziesz do RFC 1035, są chronione (luźno mówiąc, Doug) unikalnym numerem identyfikacyjnym, miejmy nadzieję, że losowo wygenerowanym przez nadawcę żądania.
Zgadnij, jak długie są, Doug…
DOUG. Nie wystarczająco długo?
KACZKA. 16 bity.
DOUG. Ohhhhhhhhh.
KACZKA. To dość krótko… to było dość krótkie, nawet w 1987 roku!
Ale 16 bitów to *dwa całe bajty*.
Zazwyczaj ilość entropii, jak mówi żargon, jaką miałbyś w żądaniu DNS (bez dodanych innych danych cookie – podstawowe, oryginalne, oldschoolowe żądanie DNS)…
… masz 16-bitowy numer portu źródłowego UDP (chociaż nie możesz użyć wszystkich 16 bitów, więc nazwijmy to 15 bitami).
I masz ten 16-bitowy, losowo wybrany numer identyfikacyjny… miejmy nadzieję, że twój serwer wybiera losowo i nie używa możliwej do odgadnięcia sekwencji.
Masz więc 31 bitów losowości.
I choć 231 [nieco ponad 2 miliardy] to wiele różnych próśb, które trzeba by wysłać, w dzisiejszych czasach nie jest to niczym niezwykłym.
Nawet na moim starym laptopie, Doug, wysyłam 216 [65,536 XNUMX] wysyłanie różnych żądań UDP do serwera DNS zajmuje niemal niewiarygodnie krótki okres czasu.
Tak więc 16 bitów jest prawie natychmiastowe, a 31 bitów jest wykonalne.
Więc pomysł, już w 2008 roku, był…
A jeśli weźmiemy nazwę domeny, której szukasz, powiedzmy, naksec.test
i zamiast robić to, co robi większość programów do rozpoznawania nazw DNS i mówić: „Chcę sprawdzić n-a-k-s-e-c dot t-e-s-t
”, wszystko pisane małymi literami, ponieważ małe litery ładnie wyglądają (lub, jeśli chcesz być oldschoolowy, wszystko pisane WIELKIMI LITERAMI, ponieważ DNS nie rozróżnia wielkości liter, pamiętasz)?
A co jeśli spojrzymy w górę nAKseC.tESt
, z losowo wybraną sekwencją małych liter, WIELKICH, WIELKICH, małych i tak dalej, a my pamiętamy, jakiej kolejności użyliśmy i czekamy na odpowiedź?
Ponieważ odpowiedzi DNS muszą zawierać kopię pierwotnego żądania.
Co jeśli możemy wykorzystać niektóre dane w tym żądaniu jako swego rodzaju „tajny sygnał”?
Mieszając sprawę, oszuści będą musieli odgadnąć port źródłowy UDP; będą musieli odgadnąć ten 16-bitowy numer identyfikacyjny w odpowiedzi; *i* będą musieli odgadnąć, w jaki sposób wybraliśmy BŁĘDNĄ LITERĘ nAKsEc.TeST
.
A jeśli pomylą się w którejkolwiek z tych trzech rzeczy, atak się nie powiedzie.
DOUG. Wow ok!
KACZKA. A Google zdecydowało: „Hej, spróbujmy tego”.
Jedynym problemem jest to, że w naprawdę krótkich nazwach domen (a więc są fajne, łatwe do napisania i łatwe do zapamiętania), jak Twitter t.co
, otrzymujesz tylko trzy znaki, którym można zmienić wielkość liter.
Nie zawsze to pomaga, ale mówiąc luźno, im dłuższa nazwa domeny, tym bezpieczniejszy będziesz! [ŚMIECH]
A ja po prostu pomyślałem, że to fajna historia…
DOUG. Gdy słońce zaczyna zachodzić w naszym dzisiejszym programie, mamy komentarz czytelnika.
Ten komentarz pojawił się zaraz po podcaście z zeszłego tygodnia, S3 Odc118.
S3 Odc.118: Odgadnij hasło? Nie ma takiej potrzeby, jeśli został już skradziony! [Dźwięk + Tekst]
Czytelnik Stephen pisze… zasadniczo mówi:
Ostatnio często słyszę, jak rozmawiacie o menedżerach haseł — zdecydowałem się stworzyć własny.
Generuję te bezpieczne hasła; Mógłbym przechowywać je na karcie pamięci lub pendrive'ach, podłączając pendrive tylko wtedy, gdy muszę wyodrębnić i użyć hasła.
Czy podejście kijem wiązałoby się z dość niskim ryzykiem?
Myślę, że mógłbym zapoznać się z technikami szyfrowania do kodowania i dekodowania informacji na pendrivie, ale nie mogę oprzeć się wrażeniu, że może to wyprowadzić mnie daleko poza proste podejście, którego szukam.
Więc co powiesz, Paul?
KACZKA. Cóż, jeśli wykracza to daleko poza „proste” podejście, oznacza to, że będzie to skomplikowane.
A jeśli jest to skomplikowane, to jest to świetne ćwiczenie do nauki…
… ale może szyfrowanie hasła nie jest tym, w czym chcesz przeprowadzać takie eksperymenty. [ŚMIECH]
DOUG. Wydaje mi się, że słyszałem, jak mówiłeś wcześniej w tym samym programie kilka razy: „Nie ma potrzeby stosowania własnego szyfrowania; istnieje kilka dobrych bibliotek szyfrujących, które można wykorzystać”.
KACZKA. Tak… nie rób na drutach, nie szydełkuj, nie haftuj na drutach ani nie haftuj krzyżykiem własnego szyfrowania, jeśli możesz temu zaradzić!
Problem, który Stephen próbuje rozwiązać, brzmi: „Chcę przeznaczyć wymienny dysk USB, aby mieć na nim hasła – jak mogę zaszyfrować dysk w wygodny sposób?”
A moim zaleceniem jest, abyś wybrał coś, co wykonuje pełne szyfrowanie urządzenia [FDE] *w systemie operacyjnym*.
W ten sposób masz dedykowaną pamięć USB; podłączasz, a system operacyjny mówi: „To jest zaszyfrowane – potrzebuję hasła”.
A system operacyjny zajmuje się odszyfrowywaniem całego dysku.
Teraz możesz mieć zaszyfrowane *pliki* wewnątrz zaszyfrowanego *urządzenia*, ale oznacza to, że jeśli zgubisz urządzenie, cały dysk, gdy jest odmontowany i odłączony od komputera, jest poszatkowaną kapustą.
A zamiast próbować stworzyć własny sterownik urządzenia, aby to zrobić, dlaczego nie użyć wbudowanego w system operacyjny?
To jest moja rekomendacja.
I tutaj staje się to zarówno łatwe, jak i bardzo nieco skomplikowane w tym samym czasie.
Jeśli używasz Linuksa, to używasz luksus [Ujednolicona konfiguracja klucza systemu Linux].
Na komputerach Mac jest to naprawdę proste: masz technologię o nazwie FileVault który jest wbudowany w komputer Mac.
W systemie Windows wywoływany jest odpowiednik FileVault lub LUKS BitLocker; pewnie o tym słyszałeś.
Problem polega na tym, że jeśli masz jedną z domowych wersji systemu Windows, nie możesz wykonać tej warstwy szyfrowania całego dysku na dyskach wymiennych.
Musisz iść i wydać dodatkowo, aby uzyskać wersję Pro lub biznesowy system Windows, aby móc korzystać z pełnego szyfrowania dysku funkcją BitLocker.
Myślę, że to szkoda.
Chciałbym, żeby Microsoft powiedział po prostu: „Zachęcamy do używania go tak, jak to możliwe i gdzie tylko możesz – na wszystkich swoich urządzeniach, jeśli chcesz”.
Ponieważ nawet jeśli większość ludzi tego nie robi, przynajmniej niektórzy to zrobią.
Więc to jest moja rada.
Wyjątkiem jest to, że jeśli masz system Windows i kupiłeś laptopa, powiedzmy, w sklepie konsumenckim z wersją Home, będziesz musiał wydać trochę dodatkowych pieniędzy.
Ponieważ najwyraźniej szyfrowanie dysków wymiennych, jeśli jesteś klientem firmy Microsoft, nie jest wystarczająco ważne, aby można je było wbudować w domową wersję systemu operacyjnego.
DOUG. Dobrze, bardzo dobrze.
Dziękuję, Stefanie, że to wysłałeś.
Jeśli masz ciekawą historię, komentarz lub pytanie, które chciałbyś przesłać, chętnie przeczytamy o tym w podkaście.
Możesz wysłać e-maila na adres tips@sophos.com, skomentować dowolny z naszych artykułów lub napisać do nas w serwisie społecznościowym: @NakedSecurity.
To nasz występ na dzisiaj – bardzo dziękuję za wysłuchanie.
Dla Paula Ducklina jestem Doug Aamoth i przypominam, aż do następnego razu…
OBIE. Bądź bezpieczny!
[MOM MUZYCZNY]
- Dystrybucja treści i PR oparta na SEO. Uzyskaj wzmocnienie już dziś.
- Platoblockchain. Web3 Inteligencja Metaverse. Wzmocniona wiedza. Dostęp tutaj.
- Źródło: https://nakedsecurity.sophos.com/2023/01/26/s3-ep119-breaches-patches-leaks-and-tweaks-audio-text/
- 000
- 1
- 100
- 1996
- 2021
- 2022
- 2FA
- a
- Zdolny
- O nas
- o tym
- powyżej
- Konto
- Konta
- działalność
- faktycznie
- w dodatku
- przyznać
- Korzyść
- Rada
- Po
- Ages
- AIR
- Wojska lotnicze
- alarm
- algorytm
- Wszystkie kategorie
- W porządku
- Chociaż
- zawsze
- wśród
- ilość
- Starożytny
- i
- odpowiedź
- nigdzie
- api
- Aplikacja
- Apple
- podejście
- mobilne i webowe
- na około
- towary
- oszacowanie
- atakować
- Ataki
- audio
- Uwierzytelnianie
- autor
- automatycznie
- z powrotem
- backup
- Kopie zapasowe
- Łazienka
- przepustowość
- podstawowy
- Gruntownie
- bo
- stają się
- zanim
- za
- jest
- uwierzyć
- poniżej
- pomiędzy
- Poza
- Duży
- Miliard
- miliardy
- Bit
- kupiony
- naruszenie
- naruszenia
- Bug
- budować
- wybudowany
- wezwanie
- nazywa
- walizka
- Etui
- centralny
- na pewno
- szansa
- zmiana
- wymiana pieniędzy
- znaków
- ZOBACZ
- wybrał
- wybrany
- Boże Narodzenie
- jasny
- Clearing
- Chmura
- przechowywanie w chmurze
- kod
- Kawa
- COM
- jak
- komfort
- komentarz
- sukcesy firma
- całkowicie
- skomplikowane
- komputer
- Podłączanie
- konsument
- skontaktuj się
- Wygodny
- cookies
- Chłodny
- mógłby
- Kurs
- Upaść
- Stwórz
- kryptowaluta
- kryptograficzny
- klient
- Bezpieczeństwo cybernetyczne
- dane
- naruszenie danych
- Data
- dzień
- Dni
- sprawa
- Promocje
- postanowiła
- dedykowany
- dedykowane
- ostateczny
- detale
- oprogramowania
- urządzenie
- urządzenia
- różne
- dns
- Nie
- robi
- domena
- Nazwa domeny
- NAZWY DOMEN
- nie
- DOT
- napęd
- kierowca
- jazdy
- Spadek
- każdy
- Wcześniej
- łatwiej
- bądź
- Elektroniczny
- e-maile
- zachęcać
- szyfrowane
- szyfrowanie
- dość
- Cały
- całkowicie
- Środowisko
- sprzęt
- Równoważny
- istotnie
- Parzyste
- EVER
- wszyscy
- wszystko
- doskonała
- Wykorzystać
- eksploatowany
- dodatkowy
- wyciąg
- oko
- nie
- dość
- znajomy
- Cecha
- kilka
- wzorzysty
- W końcu
- Znajdź
- i terminów, a
- Fix
- ustalony
- wytrzymałość
- znaleziono
- od
- ogólnie
- Generować
- wygenerowane
- generuje
- otrzymać
- Dać
- dany
- Go
- Goes
- będzie
- dobry
- Goto
- wspaniały
- Zarządzanie
- Rozwój
- hacked
- siła robocza
- zdarzyć
- dzieje
- Zaoszczędzić
- haszysz
- zaszyfrowany
- mający
- wysłuchany
- przesłuchanie
- heist
- pomoc
- pomoc
- tutaj
- Dobranie (Hit)
- Strona główna
- nadzieję
- Ufnie
- nadzieję
- W jaki sposób
- How To
- HTTPS
- CHORY
- pomysł
- Identyfikacja
- tożsamość
- ważny
- podnieść
- in
- incydent
- zawierać
- włączony
- Włącznie z
- niewiarygodnie
- Informacja
- zamiast
- zainteresowany
- ciekawy
- Zmyślony
- iOS
- IP
- Ironicznie
- problem
- problemy
- IT
- styczeń
- żargon
- Java
- JAVASCRIPT
- przystąpić
- Trzymać
- Klawisz
- Uprzejmy
- robić na drutach
- Wiedzieć
- język
- laptopa
- duży
- Nazwisko
- LastPass
- Późno
- warstwa
- Wycieki
- dowiedziałem
- nauka
- Dźwignia
- biblioteki
- Licencja
- lekki
- LINK
- linki
- linux
- Katalogowany
- Słuchanie
- mało
- załadować
- masa
- długo
- dłużej
- Popatrz
- wyglądał
- poszukuje
- WYGLĄD
- stracić
- Partia
- miłość
- niski
- mac
- zrobiony
- magia
- robić
- Dokonywanie
- malware
- Zarządzający
- Mantra
- wiele
- Mecz
- MD5
- znaczy
- Pamięć
- wzmiankowany
- wiadomości
- Microsoft
- może
- milion
- brakujący
- Aplikacje mobilne
- telefon komórkowy
- pieniądze
- miesięcy
- jeszcze
- większość
- ruch
- uwierzytelnianie wieloczynnikowe
- Muzyka
- musical
- tajemniczy
- Tajemnica
- Nagie bezpieczeństwo
- Nagi podcast o bezpieczeństwie
- Nazwa
- Nazwy
- Blisko
- prawie
- Potrzebować
- sieć
- Nowości
- aktualności
- Następny
- normalnie
- Uwagi
- listopad
- numer
- z naszej
- dąb
- Biurowe
- urzędnik
- Stary
- ONE
- operacyjny
- system operacyjny
- Okazja
- zamówienie
- zwykły
- oryginalny
- Inne
- Pozostałe
- zewnętrzne
- własny
- płatny
- parametr
- część
- przyjęcie
- Hasło
- hasła
- Łatki
- Paweł
- Ludzie
- może
- okres
- osoba
- phish
- phishing
- ataki phishingowe
- telefon
- Smoła
- Platforma
- Platformy
- plato
- Analiza danych Platona
- PlatoDane
- Podcast
- Podcasty
- punkt
- Grzebać
- popularność
- możliwy
- Wiadomości
- więzienie
- Pro
- Proaktywne
- prawdopodobnie
- Problem
- Produkty
- Program
- program
- Programiści
- Programowanie
- chroniony
- pytanie
- podnieść
- przypadkowy
- generowane losowo
- przypadkowość
- Czytaj
- Czytelnik
- real
- prawdziwa okazja
- niedawny
- niedawno
- polecić
- Rekomendacja
- dokumentacja
- Recover
- związane z
- zwolnić
- pamiętać
- WIELOKROTNIE
- obsługi produkcji rolnej, która zastąpiła
- odpowiadać
- zażądać
- wywołań
- wymagany
- ratowanie
- badacz
- odpowiedzialny
- ujawnia
- Ryzyko
- ryzyko
- Rolka
- Pokój
- królewski
- rss
- run
- bieganie
- bezpieczniej
- Powiedział
- sól
- taki sam
- Ekran
- druga
- Tajemnica
- bezpieczne
- bezpieczeństwo
- nasienie
- poszukuje
- wydaje
- widzi
- segment
- wysyłanie
- Sekwencja
- Serwery
- usługa
- Usługi
- zestaw
- w panelu ustawień
- ustawienie
- kilka
- shared
- Short
- powinien
- pokazać
- znaczący
- Prosty
- po prostu
- SMS
- So
- Obserwuj Nas
- ROZWIĄZANIA
- kilka
- Ktoś
- coś
- gdzieś
- Dźwięk
- Źródło
- spam
- Mówiąc
- wydać
- Spotify
- spyware
- początek
- Startowy
- pobyt
- Stephen
- Nadal
- skradziony
- przechowywanie
- sklep
- Historia
- przedmiot
- Zatwierdź
- kolejny
- taki
- Niedz
- na pewno
- niespodzianka
- podejrzliwy
- system
- T-Mobile
- Brać
- trwa
- Mówić
- zespół
- tech
- Techniki
- Technologia
- Połączenia
- kradzież
- ich
- w związku z tym
- rzecz
- rzeczy
- Trzeci
- w tym tygodniu
- myśl
- trzy
- Przez
- czas
- czasy
- typ
- wskazówki
- do
- już dziś
- razem
- w kierunku
- kłopot
- Obrócony
- Ostatecznie
- zrozumienie
- nieszczęśliwy
- Ujednolicony
- wyjątkowy
- odłączony
- Aktualizacja
- Nowości
- URL
- us
- usb
- posługiwać się
- Użytkownicy
- wersja
- czekać
- ostrzeżenie
- Web-based
- zestaw internetowy
- tydzień
- znane
- Co
- czy
- który
- Podczas
- Szept
- KIM
- Wikipedia
- Dziki
- będzie
- okna
- w ciągu
- bez
- słowo
- Praca
- pracował
- świat
- wartość
- by
- napisać
- Źle
- rok
- You
- Twój
- siebie
- zefirnet
- błąd dnia zerowego