İHLALLER, YAMALAR, SIZINTILAR VE GÜZELLİKLER
Son bölüm – şimdi dinleyin.
Herhangi bir noktaya atlamak için aşağıdaki ses dalgalarına tıklayın ve sürükleyin. Ayrıca doğrudan dinle Soundcloud'da.
Doug Aamoth ve Paul Ducklin ile
Giriş ve çıkış müziği Edith Çamur.
adresinden bizi dinleyebilirsiniz. Soundcloud, Apple Podcast'leri, Google Podcast'ler, Spotify, dikiş ve iyi podcast'lerin bulunduğu her yerde. Ya da sadece bırak RSS beslememizin URL'si en sevdiğiniz podcatcher'a girin.
TRANSKRİPTİ OKUYUN
DOUG. İhlaller, ihlaller, yamalar ve yazım hataları.
Hepsi ve daha fazlası Naked Security podcast'inde.
[MÜZİKAL MODEM]
Podcast'e hoş geldiniz millet.
Ben Doug Aamoth'um; o Daul Pucklin'dir...
…Özür dilerim Paul!
ÖRDEK. Sanırım hallettim, Doug.
“Typios” bir ses yazım hatasıdır.
DOUG. Kesinlikle!
ÖRDEK. Evet… aferin, o adam!
DOUG. Peki, yazım hatalarının siber güvenlikle ne ilgisi var?
Buna gireceğiz…
Ama önce – kendimizle başlamayı seviyoruz Teknoloji Tarihinde Bu Hafta segmenti.
Bu hafta, 23 Ocak 1996, Java Development Kit'in 1.0 versiyonu şunları söyledi: “Hello, world.
başlıklı bir kılavuz yayınladı
"Bir kez yaz, her yerde koş" mantrası ve web'in popülaritesi gerçekten hararetli bir seviyeye ulaşırken piyasaya sürülmesi, onu web tabanlı uygulamalar için mükemmel bir platform haline getirdi.
Günümüze hızlı ileri sar ve 19. versiyondayız, Paul.
ÖRDEK. Biz!
Java, ha?
Veya "Meşe".
Orijinal adının bu olduğuna inanıyorum çünkü dili icat eden kişinin ofisinin dışında büyüyen bir meşe ağacı vardı.
Bu fırsatı bir kez ve herkes için açıklığa kavuşturmak için kullanalım Doug. karışıklık birçok insanın Java ve JavaScript arasında sahip olduğu.
DOUG. Ooooooh…
ÖRDEK. Birçok insan akraba olduklarını düşünüyor.
Akraba değiller, Doug.
Onlar *tamamen aynı* – biri sadece kısaltılmış… HAYIR, SENİNLE TAMAMEN ŞAKA YAPIYORUM!
DOUG. "Bu nereye gidiyor?" [GÜLER]
ÖRDEK. JavaScript temelde bu adı aldı çünkü Java kelimesi havalıydı…
…ve programcılar ister Java ister JavaScript ile programlama yapıyor olsunlar, kahve ile çalışırlar.
DOUG. Tamam, çok iyi.
Bunu açıklığa kavuşturduğun için teşekkür ederim.
Ve işleri temizleme konusunda, GoToMyPC, GoToWebinar, LogMeIn ve (öksürük, öksürük) gibi ürünlerin arkasındaki şirket GoTo diyor ki "geliştirme ortamımızda ve üçüncü taraf bulut depolama hizmetimizde olağandışı etkinlik tespit ettiler."
Paul, ne biliyoruz?
GoTo itiraf ediyor: Şifre çözme anahtarıyla birlikte çalınan müşteri bulut yedekleri
ÖRDEK. Bu, Kasım 2022'nin son günüydü.
Ve daha önce bahsettiğiniz (öksürük, öksürük) elbette GoTo'nun bağlı kuruluşu/yan kuruluşu veya kendi gruplarının bir parçası olan LastPass şirketidir.
Tabii ki, Noel ile ilgili büyük hikaye şuydu: LastPass ihlali.
Şimdi, bu ihlal, Goto'nun şimdi çıkıp söylediklerinden farklı görünüyor.
Sonunda ihlal edilen bulut hizmetinin LastPass ile paylaşılanla aynı olduğunu kabul ediyorlar.
Ancak, ihlal edilen şeyler, en azından yazdıklarından, farklı şekilde ihlal edilmiş gibi görünüyor.
Ve GoTo'nun bulduklarına dair bir değerlendirmeyle geri gelmesi bu haftaya kadar - yaklaşık iki ay sonra - kadar sürdü.
Ve haberler hiç iyi değil, Doug.
Çünkü bir sürü ürün… Hepsini okuyacağım: Central, Pro, join.me, Hamachi ve RemotelyAnywhere.
Tüm bu ürünler için, hesap verileri de dahil olmak üzere müşteri öğelerinin şifrelenmiş yedekleri çalındı.
Ve ne yazık ki, bu yedeklerin en azından bir kısmının şifre çözme anahtarı onlarla birlikte çalındı.
Bu, dolandırıcıların eline geçtikten sonra temelde *şifrelenmedikleri* anlamına gelir.
Ve sözde "MFA ayarlarının" çalındığı, ancak şifrelenmediği Rescue ve GoToMyPC adlı iki ürün daha vardı.
Dolayısıyla, her iki durumda da, görünüşe göre: hashlenmiş ve tuzlanmış parolalarımız eksik ve bu gizemli "MFA (çok faktörlü kimlik doğrulama) ayarlarına" sahibiz.
Bunun hesapla ilgili veriler gibi göründüğü göz önüne alındığında, bu "MFA ayarlarının" ne olduğu net değil ve GoTo'nun biraz daha açık olmaması üzücü.
Ve can alıcı sorum şu…
..bu ayarlar, SMS 2FA kodlarının gönderilebileceği telefon numarası gibi şeyleri içeriyor mu?
Uygulama tabanlı 2FA kodları için başlangıç kaynağı mı?
Ve/veya telefonunuzu veya telefonunuzu kaybetmeniz durumunda, birçok hizmetin birkaç tane oluşturmanıza izin verdiği yedek kodlar SIM değiştirilir?
SIM takasçısı, 2 milyon doları aşan 20FA kripto para soygunu nedeniyle hapse gönderildi
DOUG. Oh, evet - iyi bir nokta!
ÖRDEK. Veya kimlik doğrulayıcı programınız başarısız olur.
DOUG. Evet.
ÖRDEK. Yani, bunlardan herhangi biriyse, o zaman bu büyük bir sorun olabilir.
Umarım bunlar “MFA ayarları” değildir…
…fakat oradaki ayrıntıların ihmal edilmesi, çalınan veriler arasında olduklarını veya olabileceklerini muhtemelen varsaymaya değer olduğu anlamına gelir.
DOUG. Ve olası ihmallerden bahsetmişken, gerekli olana sahibiz, “Parolalarınız sızdırılmış. Ama merak etmeyin, tuzlandılar ve hashlendiler.”
Fakat hepsi değil tuzlama-ve-hashing-ve-esneme aynı, değil mi?
Ciddi Güvenlik: Kullanıcılarınızın parolalarını nasıl güvenli bir şekilde saklayabilirsiniz?
ÖRDEK. Eh, esneme kısmından bahsetmediler!
Parolayı yalnızca bir kez sağlamadığınız yer burasıdır.
Dolandırıcıların işini biraz daha zorlaştırmak için 100,100 kez veya 5000 kez veya 50 kez veya bir milyon kez hashleyin, bilmiyorum.
Ve dediğiniz gibi… evet., tüm tuzlama ve karma eşit yapılmaz.
Sanırım son zamanlarda podcast'te bazı tuzlanmış ve hashlenmiş şifrelerin çalındığı bir ihlal hakkında konuştunuz ve sanırım tuzun "00"dan "99"a kadar iki basamaklı bir kod olduğu ortaya çıktı!
Yani, ihtiyacınız olan tek şey 100 farklı gökkuşağı tablosu…
…büyük bir soru ama yapılabilir.
Ve hash'in MD5'in *bir turu* olduğu yerde, bunu mütevazı bir ekipmanda bile saniyede milyarlarca hash ile yapabilirsiniz.
Bu nedenle, bir yana, müşterilerin karma şifrelerini kaybettiğiniz bu tür bir ihlale kendi başınıza maruz kalacak kadar talihsizseniz, hangi algoritma ve parametre ayarlarını yaptığınız konusunda kesin olmak için kendi yolunuzdan çekilmenizi tavsiye ederim. kullanıyorlar.
Çünkü kullanıcılarınıza, dolandırıcıların kırma işleminin ne kadar sürebileceği ve bu nedenle tüm şifrelerinizi ne kadar çılgınca değiştirmeniz gerektiği konusunda biraz rahatlık veriyor!
DOUG. Tamam.
Elbette şundan başlayarak bazı tavsiyelerimiz var: Daha önce bahsettiğimiz hizmetlerle ilgili tüm şifreleri değiştirin.
ÖRDEK. Evet, bu yapman gereken bir şey.
Bu, süper güçlü bir şekilde karma uygulanmış olsalar bile, karma parolalar çalındığında normalde önerdiğimiz şeydir.
DOUG. Tamam.
Ve bizde: Hesaplarınızda kullandığınız tüm uygulama tabanlı 2FA kod dizilerini sıfırlayın.
ÖRDEK. Evet, bence sen de öyle yapabilirsin.
DOUG. Tamam.
Ve bizde: Yeni yedek kodları yeniden oluşturun.
ÖRDEK. Çoğu hizmette bunu yaptığınızda, yedek kodlar bir özellikse, eskileri otomatik olarak atılır ve yenileri bunların yerini tamamen alır.
DOUG. Ve son olarak, ama kesinlikle en az değil: Mümkünse uygulama tabanlı 2FA kodlarına geçmeyi düşünün.
ÖRDEK. SMS kodları, paylaşılan bir sır olmaması avantajına sahiptir; tohum yok.
Diğer ucun her seferinde ürettiği gerçekten rastgele bir sayı.
SMS tabanlı şeylerin iyi yanı da bu.
Söylediğimiz gibi, kötü olan şey SIM değiştirme.
Ve uygulama tabanlı kod dizinizi veya SMS kodlarınızın nereye gittiğini değiştirmeniz gerekirse…
…yeni bir 2FA uygulama dizisini başlatmak, cep telefonu numaranızı değiştirmekten çok, çok daha kolay! [GÜLER]
DOUG. Tamam.
Ve defalarca söylediğim gibi (bunu göğsüme bir yere dövme yaptırabilirim), buna göz kulak olacağız.
Ancak şimdilik, hırsızlıktan sorumlu sızdıran bir T-Mobile API'miz var...
(Buradaki notlarıma bir bakayım: [MIFONDAN SESLİ KÖRÜK] OTUZ YEDİ MİLYON!?!??!)
...37 milyon müşteri kayıtları:
T-Mobile, "kötü oyuncu" tarafından çalınan 37,000,000 müşteri kaydını kabul ediyor
ÖRDEK. Evet.
Bu biraz can sıkıcı, değil mi? [Kahkahalar]
Çünkü 37 milyon inanılmaz derecede büyük bir sayı… ve ironik bir şekilde, T-Mobile'ın ödeme yaptığı yıl olan 2022'den sonra geliyor. $ 500 milyon T-Mobile'ın 2021'de maruz kaldığı bir veri ihlaliyle ilgili sorunları çözmek için.
Şimdi, iyi haber, eğer buna böyle diyebilirseniz, geçen sefer, ihlal edilen veriler arasında Sosyal Güvenlik Numaraları [SSN'ler] ve ehliyet detayları gibi şeyler vardı.
Demek gerçekten "yüksek dereceli" kimlik hırsızlığı olayı diyebileceğiniz şey bu.
Bu sefer, ihlal büyük, ama anladığım kadarıyla bunlar, telefon numaranız ve doğum tarihiniz de dahil olmak üzere temel elektronik iletişim bilgileri.
Bu, dolandırıcılara kimlik hırsızlığı konusunda yardımcı olabilir, ancak SSN veya sürücü ehliyetinizin taranmış bir fotoğrafı kadar uzak değildir.
DOUG. Tamam, bundan etkilendiyseniz, aşağıdakilerle başlayarak bazı ipuçlarımız var: E-postalarda veya diğer mesajlarda "faydalı" bağlantılara tıklamayın.
Bu olaydan bir ton spam ve kimlik avı e-postası üretileceğini varsaymalıyım.
ÖRDEK. Her zaman söylediğimiz gibi bağlantılardan kaçınır ve kendi yolunuzu bulursanız, o zaman ister meşru bir e-posta olsun, ister gerçek bir bağlantı olsun, ister sahte olsun…
…iyi linklere tıklamazsanız, kötü linklere de tıklamazsınız!
DOUG. Ve bu, ikinci ipucumuzla güzel bir şekilde örtüşüyor: Tıklamadan önce düşünün.
Ve tabii ki son ipucumuz: Bu şüpheli e-postaları iş BT ekibinize bildirin.
ÖRDEK. Dolandırıcılar kimlik avı saldırılarına başladığında, genellikle bunu şirket içindeki tek bir kişiye göndermezler.
Yani, şirketinizde bir kimlik avı gören ilk kişi alarm verirse, en azından diğer 49 kişiyi uyarma şansınız olur!
DOUG. Mükemmel.
Pekala, dışarıdaki iOS 12 kullanıcıları için… son sıfır gün yamalarının tümünün dışında kaldığını hissediyorsanız, bir hikayemiz var bugün senin için!
Apple yamaları çıktı – eski iPhone'lar sonunda eski bir sıfır gün düzeltmesine kavuşuyor!
ÖRDEK. Bulduk, Doug!
Oldukça mutluyum çünkü eski iOS 12 telefonumu sevdiğimi herkes biliyor.
Harika zamanlar geçirdik ve birlikte uzun ve süper havalı bisiklet gezileri yaptık ta ki... [GÜLELER]
…iyileşecek kadar iyi yaralandığım ve telefonun artık ekranın çatlaklarından zar zor görebileceğiniz kadar iyi yaralandığı kader, ama yine de çalışıyor!
Bir güncelleme aldığında onu seviyorum!
DOUG. Sanırım bu kelimeyi öğrendiğim zamandı büyük trafik kazası.
ÖRDEK. [DURAKLAT] Ne?!
İşte bu bir kelime değil sana?
DOUG. Hayır!
ÖRDEK. Sanırım İkinci Dünya Savaşı'ndaki Kraliyet Hava Kuvvetleri'nden geliyor… "bir uçağı fırlatmak [çöktürmek]".
Yani, orada bir tınlamak, ve sonra, bir çınlamanın çok üzerinde, bir büyük trafik kazası, her ikisi de aynı sese sahip olmasına rağmen.
DOUG. Tamam, yakaladım.
ÖRDEK. Sürpriz, sürpriz - uzun süredir iOS 12 güncellemesi almayan telefon, bir güncelleme aldı…
…bir süre önce yalnızca iOS 16'da düzeltilen gizemli hata olan sıfır gün hatası için… [FISILDIK] çok gizlice Apple tarafından, bunu hatırlarsanız.
DOUG. Ah, bunu hatırlıyorum!
Apple, her zamankinden daha sıkı olan iOS güvenlik güncellemesini yayınladı
ÖRDEK. Bu iOS 16 güncellemesi vardı ve bir süre sonra güncellemeler çıktı. diğer hepsi iOS 15 dahil olmak üzere Apple platformları.
Ve Apple, "Ah, evet, aslında, şimdi bunu düşünürsek, sıfır gündü" dedi. Şimdi inceledik, iOS 16 güncellemesini aceleye getirip iOS 15 için hiçbir şey yapmamış olmamıza rağmen, hatanın yalnızca iOS 15 ve öncesi için geçerli olduğu ortaya çıktı.” [GÜLER]
Apple her şeyi yamalar, sonunda iOS 16.1.2'nin gizemini ortaya çıkarır
Vay canına, ne garip bir gizemdi!
Ama en azından sonunda her şeyi yamaladılar.
Şimdi, o eski sıfır gün artık iOS 12'de yamalı.
Ve bu, vahşi doğada kötü amaçlı yazılım yerleştirmek için kullanılmış gibi görünen şu WebKit sıfır günlerinden biri.
Ve bu, her zaman olduğu gibi, casus yazılım gibi bir şey kokuyor.
Bu arada, iOS 12'de listelenen ve düzeltilen tek hata buydu - sadece bir 0 gün.
Diğer platformların her birinde çok sayıda düzeltme var.
Neyse ki, bunların hepsi proaktif görünüyor; hiçbiri Apple tarafından "aktif olarak istismar ediliyor" olarak listelenmiyor.
[DURAKLAT]
Tamam, süper heyecan verici bir şeye geçelim, Doug!
Sanırım "yazım hatası" yapıyoruz, değil mi?
DOUG. Evet!
The soru Kendi kendime soruyorum... [İRONİK] Ne kadar zamandır hatırlamıyorum ve eminim diğer insanlar "Kasıtlı yazım hataları DNS güvenliğini nasıl iyileştirebilir?" diye soruyordur.
Ciddi Güvenlik: BELİRLENMİŞ TIPO'LAR DNS GÜVENLİĞİNİ NASIL İYİLEŞTİREBİLİR?
ÖRDEK. [GÜLER]
İlginç bir şekilde, bu fikir ilk kez 2008'de ortaya çıktı. Dan KaminskyO günlerde tanınmış bir güvenlik araştırmacısı olan , DNS sunucularında, istismar edilmesi belki de insanların düşündüğünden çok daha kolay olan bazı önemli "yanıt tahmin etme" riskleri olduğunu anladı.
Henüz resmi bir yanıtı olmayan bir giden istekle eşleşeceklerini umarak, yanıtları DNS sunucularında dürttüğünüz yer.
Siz sadece, "Eminim ağınızdaki biri etki alanına gitmekle ilgileniyor olmalı" diye düşünürsünüz. naksec.test
hemen hemen şimdi. Bu yüzden, 'Hey, şunu sordunuz' diyen bir sürü yanıt göndereyim. naksec.test
; işte burada"…
…ve size tamamen uydurma bir sunucu [IP] numarası gönderiyorlar.
Bu, gerçek anlaşmaya gitmek yerine benim sunucuma geldiğiniz anlamına geliyor, bu yüzden temelde sunucunuzun yanına hiç gitmeden sunucunuzu hackledim!
Ve şöyle düşünürsünüz: "Peki, *herhangi bir* yanıtı nasıl gönderebilirsiniz? Giden DNS isteğinde mutlaka bir tür sihirli kriptografik tanımlama bilgisi vardır?
Bu, sunucunun sonraki bir yanıtın yalnızca birinin uydurduğunu fark edebileceği anlamına gelir.
Pekala, öyle düşünebilirsiniz… ama DNS'nin gün ışığını ilk olarak 1987, Doug.
Ve o zamanlar güvenlik o kadar önemli değildi, aynı zamanda o günün ağ bant genişliği göz önüne alındığında, yeterince uzun kriptografik tanımlama bilgileri için yer yoktu.
Yani, giderseniz DNS istekleri RFC 1035, benzersiz bir kimlik numarasıyla korunur (genel anlamda Doug), umarım isteği gönderen tarafından rastgele oluşturulur.
Bil bakalım ne kadar uzunlar, Doug...
DOUG. Yeterince uzun değil?
ÖRDEK. 16 bit.
DOUG. Ohhhhhhhhh
ÖRDEK. Bu oldukça kısa… 1987'de bile oldukça kısaydı!
Ancak 16 bit *iki tam bayttır*.
Tipik olarak, jargonda olduğu gibi, bir DNS isteğinde sahip olacağınız entropi miktarı (başka hiçbir çerez verisi eklenmeden - basit, orijinal tarz, eski usul bir DNS isteği)…
…16 bitlik bir UDP kaynak bağlantı noktası numaranız var (ancak 16 bitin hepsini kullanamasanız da, buna 15 bit diyelim).
Ve 16 bitlik, rastgele seçilmiş bir kimlik numaranız var… umarım sunucunuz rastgele seçer ve tahmin edilebilir bir sıra kullanmaz.
Yani 31 bit rasgeleliğiniz var.
Ve 2 olmasına rağmen31 [2 milyarın biraz üzerinde], göndermeniz gereken pek çok farklı istek var, bu günlerde hiç de sıra dışı değil.
Eski dizüstü bilgisayarım Doug'da bile 2 tane gönderiyor16 Bir DNS sunucusuna [65,536] farklı UDP isteği neredeyse ölçülemeyecek kadar kısa bir süre alıyor.
Yani, 16 bit neredeyse anlık ve 31 bit yapılabilir.
Yani 2008'deki fikir şuydu...
Aradığınız alan adını alırsak, diyelim ki, naksec.test
ve çoğu DNS çözümleyicisinin yaptığı şeyi yapıp "Araştırmak istiyorum" demek yerine, n-a-k-s-e-c dot t-e-s-t
,” küçük harf hoş göründüğü için tümü küçük harfle yazılmıştır (veya eski usul olmak istiyorsanız tümü BÜYÜK HARF, çünkü DNS büyük/küçük harfe duyarlı değildir, unutmayın)?
yukarı bakarsak ne olur nAKseC.tESt
, rastgele seçilmiş küçük harf, BÜYÜK HARF, BÜYÜK HARF, küçük, vb. ile ve hangi diziyi kullandığımızı hatırlıyoruz ve cevabın geri gelmesini mi bekliyoruz?
Çünkü DNS yanıtlarının, içlerinde orijinal isteğin bir kopyasına sahip olması zorunludur.
Ya bu istekteki bazı verileri bir tür "gizli sinyal" olarak kullanabilirsek?
Dolandırıcıların vakayı karıştırıp UDP kaynak portunu tahmin etmeleri gerekecek; cevaptaki 16 bitlik kimlik numarasını tahmin etmeleri gerekecek; *ve* nasıl yanlış hecelemeyi seçtiğimizi tahmin etmeleri gerekecek nAKsEc.TeST
.
Ve bu üç şeyden herhangi birini yanlış anlarlarsa, saldırı başarısız olur.
DOUG. Vay canına tamam!
ÖRDEK. Ve Google, "Hey, hadi bunu deneyelim" diye karar verdi.
Tek sorun, Twitter'ınki gibi gerçekten kısa alan adlarında (böylece havalı, yazması ve hatırlaması kolay) olması. t.co
, büyük/küçük harf değiştirilebilecek yalnızca üç karakter alırsınız.
Her zaman yardımcı olmaz, ancak genel olarak, alan adınız ne kadar uzun olursa o kadar güvende olursunuz! [GÜLER]
Ve bunun güzel bir küçük hikaye olduğunu düşündüm…
DOUG. Bugünkü programımıza güneş batmaya başlarken, bir okur yorumumuz var.
Bu yorum geçen haftaki podcast'in hemen ardından geldi, S3 Bölüm118.
S3 Ep118: Parolanızı tahmin edin? Zaten çalındıysa gerek yok! [Ses + Metin]
Okuyucu Stephen şöyle yazıyor… temelde şöyle diyor:
Son zamanlarda parola yöneticileri hakkında çok konuştuğunuzu duyuyorum - kendiminkini kullanmaya karar verdim.
Bu güvenli şifreleri oluşturuyorum; Bunları bir bellek çubuğunda veya çubuklarda saklayabilirim, çubuğu yalnızca bir parola çıkarıp kullanmam gerektiğinde bağlayabilirim.
Sopa yaklaşımı oldukça düşük riskli olur mu?
Çubuktaki bilgileri kodlamak ve kodunu çözmek için şifreleme tekniklerine aşina olabileceğimi tahmin ediyorum, ancak bunun beni aradığım basit yaklaşımın çok ötesine götürebileceğini hissetmekten kendimi alamıyorum.
Peki sen ne diyorsun Paul?
ÖRDEK. Pekala, sizi "basit" yaklaşımın çok ötesine taşıyorsa, bu karmaşık olacağı anlamına gelir.
Ve eğer karmaşıksa, o zaman bu harika bir öğrenme alıştırmasıdır…
…ama belki de bu deneyleri yapmak istediğiniz şey parola şifreleme değildir. [Kahkahalar]
DOUG. Daha önce bu programda birkaç kez söylediğinizi duyduğuma inanıyorum: “Kendi şifrelemenizi yapmanıza gerek yok; yararlanabileceğiniz birkaç iyi şifreleme kitaplığı var.”
ÖRDEK. Evet… mümkünse kendi şifrelemenizi örmeyin, tığ işi yapmayın, iğne oyası yapmayın veya kanaviçe işi yapmayın!
Stephen'ın çözmeye çalıştığı sorun şudur: "Parolaların olması için çıkarılabilir bir USB sürücü tahsis etmek istiyorum - sürücüyü uygun bir şekilde şifrelemek için nasıl gidebilirim?"
Ve benim tavsiyem, *işletim sistemi içinde* tam aygıt şifrelemesi [FDE] yapan bir şey seçmeniz gerektiğidir.
Bu şekilde, özel bir USB belleğiniz olur; fişe takarsınız ve işletim sistemi "Bu şifreli - Parolaya ihtiyacım var" der.
Ve işletim sistemi, tüm sürücünün şifresini çözmekle ilgilenir.
Artık, şifrelenmiş *aygıtın* içinde şifrelenmiş *dosyalara* sahip olabilirsiniz, ancak bu, aygıtı kaybederseniz, tüm diskin, bilgisayarınızdan bağlantısı kesilmiş ve fişi çekilmiş durumdayken, kıyılmış lahana olduğu anlamına gelir.
Ve bunu yapmak için kendi aygıt sürücünüzü oluşturmaya çalışmak yerine neden işletim sisteminde yerleşik olanı kullanmıyorsunuz?
Bu benim tavsiyem.
Ve burası aynı anda hem kolay hem de biraz karmaşık hale geliyor.
Linux çalıştırıyorsanız, LÜKS [Linux Birleşik Anahtar Kurulumu].
Mac'lerde bu gerçekten çok kolay: adında bir teknolojiniz var. Dosya kasası bu Mac'te yerleşiktir.
Windows'ta, FileVault veya LUKS eşdeğeri olarak adlandırılır BitLocker; muhtemelen duymuşsunuzdur.
Sorun şu ki, Windows'un Home sürümlerinden birine sahipseniz, bu tam disk şifreleme katmanını çıkarılabilir sürücülerde yapamazsınız.
BitLocker tam disk şifrelemesini kullanabilmek için Pro sürümünü veya iş tipi Windows'u almak için fazladan para harcamanız gerekir.
Bence bu çok yazık.
Keşke Microsoft, "İsterseniz onu tüm cihazlarınızda - mümkün olan her yerde ve mümkün olduğunca kullanmanızı öneririz" dese.
Çünkü çoğu insan yapmasa bile, en azından bazı insanlar yapacak.
Bu benim tavsiyem.
Aykırı olan şu ki, Windows'unuz varsa ve diyelim ki bir tüketici mağazasından Home sürümü olan bir dizüstü bilgisayar satın aldıysanız, biraz fazladan para harcamanız gerekecek.
Çünkü, görünüşe göre, çıkarılabilir sürücüleri şifrelemek, eğer bir Microsoft müşterisiyseniz, işletim sisteminin Home sürümünü oluşturmak için yeterince önemli değil.
DOUG. Tamam, çok iyi.
Bunu gönderdiğin için teşekkürler, Stephen.
İletmek istediğiniz ilginç bir hikayeniz, yorumunuz veya sorunuz varsa, podcast'te okumayı çok isteriz.
Tips@sophos.com adresine e-posta gönderebilir, makalelerimizden herhangi biri hakkında yorum yapabilir veya sosyal medyadan bize ulaşabilirsiniz: @NakedSecurity.
Bugünkü programımız bu – dinlediğiniz için çok teşekkürler.
Paul Ducklin için, ben Doug Aamoth, bir dahaki sefere kadar size şunu hatırlatıyorum...
HER İKİSİ DE. Güvende kalın!
[MÜZİKAL MODEM]
- SEO Destekli İçerik ve Halkla İlişkiler Dağıtımı. Bugün Gücünüzü Artırın.
- Plato blok zinciri. Web3 Metaverse Zekası. Bilgi Güçlendirildi. Buradan Erişin.
- Kaynak: https://nakedsecurity.sophos.com/2023/01/26/s3-ep119-breaches-patches-leaks-and-tweaks-audio-text/
- 000
- 1
- 100
- 1996
- 2021
- 2022
- 2FA
- a
- Yapabilmek
- Hakkımızda
- hakkında
- yukarıdaki
- Hesap
- Hesaplar
- etkinlik
- aslında
- katma
- Kabul et
- avantaj
- tavsiye
- Sonra
- Çağlar
- HAVA
- Hava Kuvvetleri
- alarm
- algoritma
- Türkiye
- tamam
- Rağmen
- her zaman
- arasında
- miktar
- Eski
- ve
- cevap
- hiçbir yerde
- api
- uygulamayı yükleyeceğiz
- Apple
- yaklaşım
- uygulamalar
- etrafında
- mal
- değerlendirme
- saldırı
- saldırılar
- ses
- Doğrulama
- yazar
- otomatik olarak
- Arka
- yedek
- yedekleme
- Kötü
- Bant genişliği
- temel
- temel olarak
- Çünkü
- müşterimiz
- önce
- arkasında
- olmak
- Inanmak
- altında
- arasında
- Ötesinde
- Büyük
- Milyar
- milyarlarca
- Bit
- aldım
- ihlal
- ihlalleri
- Böcek
- inşa etmek
- yapılı
- çağrı
- denilen
- dava
- durumlarda
- merkezi
- kesinlikle
- şans
- değişiklik
- değiştirme
- karakterler
- Kontrol
- seçti
- seçilmiş
- Noel
- açık
- Takas
- bulut
- bulut depolama
- kod
- Kahve
- COM
- nasıl
- konfor
- yorum Yap
- şirket
- tamamen
- karmaşık
- bilgisayar
- bağlantı
- tüketici
- UAF ile
- Uygun
- kurabiye
- Serin
- olabilir
- Kurs
- Crashing
- yaratmak
- cryptocurrency
- kriptografik
- müşteri
- Siber güvenlik
- veri
- veri ihlali
- Tarih
- gün
- Günler
- anlaşma
- Fırsatlar
- karar
- adanmış
- adanmış
- kesin
- ayrıntılar
- gelişme
- cihaz
- Cihaz
- farklı
- dns
- Değil
- yapıyor
- domain
- Alan Adı
- ALAN İSİMLERİ
- Dont
- DOT
- sürücü
- sürücü
- sürme
- Damla
- her
- Daha erken
- kolay
- ya
- Elektronik
- E-posta
- e-postalar
- teşvik etmek
- şifreli
- şifreleme
- yeterli
- Tüm
- Baştan sona
- çevre
- ekipman
- Eşdeğer
- esasen
- Hatta
- hİÇ
- herkes
- her şey
- mükemmel
- sömürmek
- sömürülen
- ekstra
- çıkarmak
- göz
- başarısız
- oldukça
- tanıdık
- Özellikler(Hazırlık aşamasında)
- az
- Figürlü
- Nihayet
- bulmak
- Ad
- sabit
- sabit
- Zorla
- bulundu
- itibaren
- genellikle
- oluşturmak
- oluşturulan
- üretir
- almak
- Vermek
- verilmiş
- Go
- Goes
- gidiş
- Tercih Etmenizin
- GoTo
- harika
- grup
- Büyüyen
- üreticilerinin
- Eller
- olmak
- olur
- mutlu
- esrar
- karma
- sahip olan
- duydum
- işitme
- soygun
- yardım et
- yardım
- okuyun
- vurmak
- Ana Sayfa
- umut
- İnşallah
- umut
- Ne kadar
- Nasıl Yapılır
- HTTPS
- Ben
- Fikir
- Kimlik
- Kimlik
- önemli
- iyileştirmek
- in
- olay
- dahil
- dahil
- Dahil olmak üzere
- inanılmaz
- bilgi
- yerine
- ilgili
- ilginç
- İcat edildi
- iOS
- IP
- İronik
- konu
- sorunlar
- IT
- Ocak
- jargon
- Java
- JavaScript
- kaydol
- tutmak
- anahtar
- Nezaket.
- örgü örmek
- Bilmek
- dil
- dizüstü bilgisayar
- büyük
- Soyad
- LastPass
- Geç
- tabaka
- Kaçaklar
- öğrendim
- öğrenme
- Kaldıraç
- kütüphaneler
- Lisans
- ışık
- LINK
- bağlantılar
- linux
- Listelenmiş
- Dinleme
- küçük
- yük
- yükler
- Uzun
- uzun
- Bakın
- baktı
- bakıyor
- GÖRÜNÜYOR
- kaybetmek
- Çok
- Aşk
- Düşük
- mac
- yapılmış
- sihirli
- yapmak
- Yapımı
- kötü amaçlı yazılım
- Yöneticileri
- Mantra
- çok
- Maç
- MD5
- anlamına geliyor
- Bellek
- adı geçen
- mesajları
- Microsoft
- olabilir
- milyon
- eksik
- Telefon
- cep telefonu kullanıyor.
- para
- ay
- Daha
- çoğu
- hareket
- çok faktörlü kimlik doğrulama
- Music
- müzikal
- gizemli
- Gizem
- Çıplak Güvenlik
- Çıplak Güvenlik Podcast'ı
- isim
- isimleri
- yakın
- neredeyse
- gerek
- ağ
- yeni
- haber
- sonraki
- normalde
- notlar
- Kasım
- numara
- sayılar
- meşe
- Office
- resmi
- Eski
- ONE
- işletme
- işletim sistemi
- Fırsat
- sipariş
- sıradan
- orijinal
- Diğer
- Diğer
- dışında
- kendi
- ödenmiş
- parametre
- Bölüm
- Parti
- Şifre
- şifreleri
- Yamalar
- Paul
- İnsanlar
- belki
- dönem
- kişi
- kimlik avı
- Kimlik avı
- kimlik avı saldırıları
- telefon
- Zift
- platform
- Platformlar
- Platon
- Plato Veri Zekası
- PlatoVeri
- podcast
- Podcast
- Nokta
- Kurcalamak
- popülerlik
- mümkün
- Mesajlar
- hapis
- başına
- Proaktif
- muhtemelen
- Sorun
- Ürünler
- Programı
- program
- Programcılar
- Programlama
- korumalı
- soru
- yükseltmek
- rasgele
- rastgele oluşturulmuş
- rasgelelik
- Okumak
- Okuyucu
- gerçek
- Gerçek anlaşma
- son
- geçenlerde
- tavsiye etmek
- Tavsiye
- kayıtlar
- Kurtarmak
- ilgili
- serbest
- hatırlamak
- DEFALARCA
- değiştirmek
- cevap
- talep
- isteklerinizi
- gerekli
- kurtarmak
- araştırmacı
- sorumlu
- ortaya çıkarır
- Risk
- riskler
- Rulo
- oda
- kraliyet
- rss
- koşmak
- koşu
- daha güvenli
- Adı geçen
- tuz
- aynı
- Ekran
- İkinci
- Gizli
- güvenli
- güvenlik
- tohum
- arayan
- görünüyor
- Gördükleri
- bölüm
- gönderme
- Dizi
- Sunucular
- hizmet
- Hizmetler
- set
- ayarlar
- kurulum
- birkaç
- Paylaşılan
- kısa
- meli
- şov
- önemli
- Basit
- sadece
- SMS
- So
- Sosyal Medya
- ÇÖZMEK
- biraz
- Birisi
- bir şey
- bir yerde
- Ses
- Kaynak
- Spam
- konuşma
- geçirmek
- Spotify
- casus
- başlama
- XNUMX dakika içinde!
- kalmak
- Stephen
- Yine
- çalıntı
- hafızası
- mağaza
- Öykü
- konu
- sunmak
- sonraki
- böyle
- güneş
- elbette
- sürpriz
- şüpheli
- sistem
- T-Mobile
- Bizi daha iyi tanımak için
- alır
- Konuşmak
- takım
- teknoloji
- teknikleri
- Teknoloji
- The
- hırsızlık
- ve bazı Asya
- bu nedenle
- şey
- işler
- Üçüncü
- Bu hafta
- düşünce
- üç
- İçinden
- zaman
- zamanlar
- tip
- ipuçları
- için
- bugün
- birlikte
- karşı
- sorun
- Dönük
- eninde sonunda
- anlayış
- şanssız
- birleşik
- benzersiz
- takılı
- Güncelleme
- Güncellemeler
- URL
- us
- usb
- kullanım
- kullanıcılar
- versiyon
- beklemek
- uyarı
- Web tabanlı
- webkit
- hafta
- tanınmış
- Ne
- olup olmadığını
- hangi
- süre
- Fısıltı
- DSÖ
- Vikipedi
- Vahşi
- irade
- pencereler
- içinde
- olmadan
- Word
- İş
- işlenmiş
- Dünya
- değer
- olur
- yazmak
- Yanlış
- yıl
- Sen
- kendiniz
- zefirnet
- sıfır gün hatası