COSA SIGNIFICA CON “NON SODDISFA I LIMITI PER LA MANUTENZIONE DI SICUREZZA”?
Fare clic e trascinare sulle onde sonore sottostanti per passare a qualsiasi punto. Puoi anche ascolta direttamente su Soundcloud.
Con Doug Aamoth e Paul Ducklin. Musica introduttiva e finale di Edith Mudge.
Puoi ascoltarci su Soundcloud, Podcast Apple, Google Podcast, Spotify, Stitcher e ovunque si trovino buoni podcast. O semplicemente rilascia il URL del nostro feed RSS nel tuo podcatcher preferito.
LEGGI LA TRASCRIZIONE
DOUG. Violazioni mozzafiato, crittografia decrittografabile e patch in abbondanza.
Tutto questo in più sul podcast Naked Security.
[MODE MUSICALE]
Benvenuti nel podcast, a tutti.
sono Doug Aamoth; lui è Paul Ducklin.
Paul, come va oggi, signore?
ANATRA. Doug…lo so, perché mi hai detto in anticipo cosa accadrà Questa settimana nella storia della tecnologiaed è FANTASTICO!
DOUG. OK!
Questa settimana, il 18 ottobre 1958, un oscilloscopio e un computer costruiti per simulare la resistenza del vento furono accoppiati con controller in alluminio personalizzati, e il gioco Tennis per due
Presentato in una mostra di tre giorni al Brookhaven National Laboratory, Tennis for Two si è rivelato estremamente popolare, soprattutto tra gli studenti delle scuole superiori.
Se stai ascoltando questo, devi andare su Wikipedia e cercare "Tennis for Two".
C'è un video lì per qualcosa che è stato costruito nel 1958...
…Penso che sarai d’accordo con me, Paul, è stato davvero incredibile.
ANATRA. *Mi piacerebbe* giocarci oggi!
E, come Asteroids e Battle Zone, e quei giochi degli anni '1980 particolarmente ricordati...
…perché è un oscilloscopio: grafica vettoriale!
Nessuna pixellazione, nessuna differenza a seconda che una linea sia a 90 gradi, oppure a 30 gradi o a 45 gradi.
E il feedback sonoro proveniente dai relè dei controller... è fantastico!
È incredibile che fosse il 1958.
Ritorno a un precedente Questa settimana nella storia della tecnologia, era al culmine della rivoluzione dei transistor.
A quanto pare, la metà computazionale era una miscela di valvole termoioniche (tubi a vuoto) e relè.
E i circuiti del display erano tutti basati su transistor, Doug
Quindi è stato proprio il mix di tutte le tecnologie: relè, valvole e transistor, tutto in un videogioco rivoluzionario.
DOUG. Molto bello
Scoprilo su Wikipedia: Tennis per due.
Ora passiamo alla nostra prima storia.
Paul, so che sei molto abile nello scrivere una grande poesia...
…Ho scritto una brevissima poesia per introdurre questa prima storia, se mi permettete.
ANATRA. Quindi saranno due righe, vero? [RIDE]
DOUG. È più o meno così.
Zoom per Mac/Non ottenere dirottato.
[SILENZIO MOLTO LUNGO]
Fine poesia.
ANATRA. Oh, scusa!
Pensavo che quello fosse il titolo e che avresti scritto la poesia adesso.
DOUG. Quindi, questa è la poesia.
ANATRA. OK.
[SENZA EMOZIONE] Adorabile, Doug.
DOUG. [IRONICO] Grazie.
ANATRA. La rima era spettacolare!
Ma non tutte le poesie devono essere in rima….
DOUG. Questo è vero.
ANATRA. Lo chiameremo semplicemente verso libero, vero?
DOUG. Ok per favore.
ANATRA. Sfortunatamente, questa era una backdoor gratuita su Zoom per Mac.
[SENTIRSI IN COLPEVOLEZZA] Scusa, non è stata una buona conclusione, Doug.
[RISA] Se cammini sul terreno di qualcun altro, spesso fallisci...
DOUG. No è buono!
Stavo provando delle poesie questa settimana; stai provando i segui.
Dobbiamo uscire dalle nostre zone di comfort ogni tanto.
ANATRA. Presumo che questo fosse il codice che doveva essere compilato una volta completata la build finale, ma che è stato accidentalmente lasciato dentro.
È solo per la versione Zoom per Mac ed è stata patchata, quindi assicurati di essere aggiornato.
Fondamentalmente, in alcune circostanze, quando si avvia uno streaming video o la fotocamera viene attivata dall'app stessa, si potrebbe inavvertitamente pensare che potresti voler eseguire il debug del programma.
Perché, ehi, forse eri uno sviluppatore! [RIDE]
Ciò non dovrebbe accadere nelle build di rilascio, ovviamente.
Ciò significava che c'era una porta di debug TCP lasciata aperta sull'interfaccia di rete locale.
Ciò significava che chiunque potesse passare i pacchetti in quella porta, che potrebbe essere presumibilmente qualsiasi altro utente connesso localmente, quindi non sarebbe necessario che fosse un amministratore o anche tu... anche un utente ospite, sarebbe stato sufficiente.
Pertanto, un utente malintenzionato che avesse una sorta di malware proxy sul tuo computer in grado di ricevere pacchetti dall'esterno e inserirli nell'interfaccia locale potrebbe sostanzialmente inviare comandi al programma.
E le cose tipiche consentite dalle interfacce di debug includono: scaricare parte della memoria; estrarre segreti; cambiare il comportamento del programma; regolare le impostazioni di configurazione senza passare attraverso la solita interfaccia in modo che l'utente non possa vederla; catturare tutto l'audio senza dirlo a nessuno, senza far apparire l'avviso di registrazione; tutto quel genere di cose.
La buona notizia è che Zoom l’ha trovato da solo e l’ha risolto abbastanza rapidamente.
Ma è un ottimo promemoria del fatto che, come diciamo così spesso, [RISA] “Ci sono molti errori tra la tazza e il labbro”.
DOUG. Va bene, molto bene.
Rimaniamo a bordo del treno delle toppe e arriviamo alla stazione successiva.
E questa storia... forse la parte più interessante di questa storia del Patch Tuesday più recente è stata cosa Microsoft *non* includeva?
ANATRA. Sfortunatamente, le patch che probabilmente tutti si aspettavano - e in un recente podcast abbiamo ipotizzato: "Beh, sembra che Microsoft ci farà aspettare ancora un'altra settimana fino al Patch Tuesday, e non fare un" rilascio anticipato fuori banda ” sono quei due zero-day di Exchange di recente memoria.
Quello che divenne noto come E00F, o Scambio doppio difetto zero-day nella mia terminologia, o ProxyNotShell come è forse noto in modo un po' confuso nella sfera di Twitter.
Questa è stata la notizia principale del Patch Tuesday di questo mese: questi due bug non sono stati risolti in modo spettacolare.
E quindi non sappiamo quando ciò accadrà.
È necessario assicurarsi di aver applicato eventuali attenuanti.
Come penso che abbiamo detto prima, Microsoft continuava a scoprire che le precedenti soluzioni suggerite... beh, forse non erano abbastanza buone, e continuavano a cambiare tono e ad adattare la storia.
Quindi, in caso di dubbi, puoi tornare su baresecurity.sophos.com e cercare la frase ProxyNotShell (tutta una parola), e poi vai a leggere cosa abbiamo da dire.
E puoi anche collegarti all’ultima versione della correzione di Microsoft…
…perché, tra tutte le cose del Patch Tuesday, quella era la più interessante, come dici tu: perché non c'era.
DOUG. OK, ora spostiamo gli ingranaggi su a storia molto frustrante.
Questo è uno schiaffo sul polso per una grande azienda la cui sicurezza informatica è così grave che non si sono nemmeno accorti di essere stati violati!
ANATRA. Sì, questo è un marchio che la maggior parte delle persone probabilmente conoscerà come SHEIN ("she-in"), scritto come una sola parola, tutta in maiuscolo. (Al momento della violazione, la società era conosciuta come Zoetop.)
E sono quella che viene chiamata “fast fashion”.
Sai, li accumulano in grandi quantità e li vendono a buon mercato, e non senza controversie su dove ottengono i loro progetti.
E, come rivenditore online, forse ti aspetteresti che conoscessero i dettagli sulla sicurezza informatica della vendita al dettaglio online.
Ma, come dici tu, non l'hanno fatto!
E l'ufficio del procuratore generale dello Stato di New York negli Stati Uniti ha deciso di non essere soddisfatto del modo in cui sono stati trattati i residenti di New York che erano tra le vittime di questa violazione.
Quindi hanno intrapreso un'azione legale contro questa società... ed è stata un'assoluta litania di errori grossolani, sbagli e, in ultima analisi, insabbiamenti - in una parola, Douglas, disonestà.
Avevano questa violazione che non avevano notato.
Questo, almeno in passato, era purtroppo comune: le aziende non si rendevano conto di essere state violate finché un gestore di carte di credito o una banca non le contattava e diceva: "Sai una cosa, abbiamo avuto un sacco di problemi" di denunce di frode da parte dei clienti questo mese."
“E quando abbiamo guardato indietro a quello che chiamano CPP, il punto di acquisto comune, l'unico commerciante da cui ogni singola vittima sembra aver acquistato qualcosa sei tu. Riteniamo che la fuga di notizie provenga da te."
E in questo caso è stato anche peggio.
A quanto pare è arrivato un altro processore di pagamento e ha detto: "Oh, a proposito, abbiamo trovato un'intera tranche di numeri di carte di credito in vendita, offerti come rubati a voi ragazzi."
Quindi avevano prove evidenti che si era verificata una violazione in blocco o una violazione poco a poco.
DOUG. Quindi sicuramente, quando questa azienda ne è stata informata, si è mossa rapidamente per correggere la situazione, giusto?
ANATRA. Beh, dipende da come... [RISANDO] Non dovrei ridere, Doug, come sempre.
Dipende da cosa intendi per “rettificare”.
DOUG. [RISANDO] Oh, Dio!
ANATRA. Quindi sembra che *abbiano* affrontato il problema... in effetti, c'erano parti di esso che hanno nascosto molto bene.
Apparentemente.
Sembra che all’improvviso abbiano deciso: “Ops, è meglio che diventiamo conformi allo standard PCI DSS”.
Chiaramente non lo erano, perché a quanto pare tenevano i registri di debug che contenevano i dettagli della carta di credito delle transazioni fallite... tutto ciò che non dovresti scrivere su disco, lo stavano scrivendo.
E poi si sono resi conto che era successo, ma non riuscivano a trovare dove avevano lasciato quei dati nella loro stessa rete!
Quindi, ovviamente, sapevano di non essere conformi allo standard PCI DSS.
A quanto pare hanno iniziato a rendersi conformi allo standard PCI DSS, obiettivo che hanno raggiunto entro il 2019. (La violazione è avvenuta nel 2018).
Ma quando è stato detto loro che dovevano sottoporsi a un audit, un'indagine forense...
…secondo il procuratore generale di New York hanno deliberatamente intralciato la strada dell'investigatore.
Fondamentalmente hanno permesso agli investigatori di vedere il sistema com'era *dopo* averlo riparato, saldato e lucidato e hanno detto: "Oh no, non puoi vedere i backup", il che mi sembra piuttosto cattivo .
DOUG. Uh Huh.
ANATRA. E anche il modo in cui hanno rivelato la violazione ai propri clienti ha suscitato notevoli ire da parte dello Stato di New York.
In particolare, sembra che fosse abbastanza ovvio che i dettagli di 39,000,000 di utenti fossero stati in qualche modo rubati, comprese password con hash molto debole: un salt a due cifre e un round di MD5.
Non abbastanza buono nel 1998, figuriamoci nel 2018!
Sapevano quindi che c'era un problema per questo gran numero di utenti, ma a quanto pare hanno iniziato a contattare solo i 6,000,000 di utenti che avevano effettivamente utilizzato i loro account e effettuato ordini.
E poi hanno detto: "Beh, almeno abbiamo contattato tutte quelle persone".
E *poi* si è scoperto che in realtà non avevano realmente contattato tutti i 6,000,000 di utenti!
Avevano appena contattato quelli dei sei milioni che vivevano in Canada, negli Stati Uniti o in Europa.
Quindi, se vieni da qualsiasi altra parte del mondo, sfortuna!
Come potete immaginare, la cosa non è piaciuta alle autorità, al regolatore.
E devo ammettere... con mia sorpresa, Doug, sono stati multati per 1.9 milioni di dollari.
Il che, per un'azienda così grande...
DOUG. Sì!
ANATRA. …e commettere errori così gravi, per poi non essere del tutto onesto e onesto riguardo a quello che era successo, ed essere rimproverato per aver mentito sulla violazione, in quelle parole, dal Procuratore Generale di New York?
Immaginavo che avrebbero potuto subire un destino più grave.
Forse anche includendo qualcosa che non potrebbe essere ripagato semplicemente con un po’ di soldi.
Oh, e l'altra cosa che hanno fatto è che quando era ovvio che c'erano utenti le cui password erano a rischio... perché erano profondamente craccabili a causa del fatto che era un sale a due cifre, il che significa che potresti costruire 100 dizionari precalcolati …
DOUG. È una cosa comune?
Solo un sale a due cifre sembra davvero basso!
ANATRA. No, in genere vorresti 128 bit (16 byte) o anche 32 byte.
In parole povere, non fa comunque una differenza significativa per la velocità di cracking, perché (a seconda della dimensione del blocco dell'hash) stai aggiungendo solo due cifre extra al mix.
Quindi non è nemmeno che il calcolo vero e proprio degli hash richieda più tempo.
Già nel 2016, le persone che utilizzavano computer con otto GPU che eseguivano il programma “hashcat”, credo, potevano fare 200 miliardi di MD5 al secondo.
Allora! (Tale importo è qualcosa come cinque o dieci volte più alto ora.)
Quindi molto, molto eminentemente crackabile.
Ma invece di contattare effettivamente le persone e dire: "La tua password è a rischio perché abbiamo divulgato l'hash e non era molto buono, dovresti cambiarlo", [RISATA] hanno semplicemente detto...
…erano parole molto furbi, vero?
DOUG. “La tua password ha un livello di sicurezza basso e forse a rischio. Per favore cambia la tua password di accesso."
E poi l'hanno cambiata in: “La tua password non è stata aggiornata da più di 365 giorni. Per la tua protezione, aggiornalo ora."
ANATRA. Sì, "La tua password ha un livello di sicurezza basso..."
DOUG. “GRAZIE NOI!”
ANATRA. Non è solo condiscendenza, vero?
Ai miei occhi questo è al limite o oltre il confine con la colpevolizzazione delle vittime.
In ogni caso, questo non mi è sembrato un incentivo molto forte per le aziende che non vogliono fare la cosa giusta.
DOUG. Va bene, parla nei commenti, ci piacerebbe sapere cosa ne pensi!
Quell'articolo si chiama: Il marchio di moda SHEIN è stato multato di 1.9 milioni di dollari per aver mentito sulla violazione dei dati.
E passiamo ad un'altra storia frustrante...
.., un altro giorno, un altro avvertimento sull'elaborazione di input non attendibili!
ANATRA. Aaargh, so cosa accadrà, Doug.
Quello è il Testo di Apache Commons bug, non è vero?
DOUG. È!
ANATRA. Giusto per essere chiari, non è il server Web Apache.
Apache è una base software che offre tutta una serie di prodotti e strumenti gratuiti... e sono davvero molto utili, sono open source e sono fantastici.
Ma abbiamo avuto, nella parte Java del loro ecosistema (il Web Server Apache httpd non è scritto in Java, quindi per ora ignoriamolo – non confondere Apache con Apache Web Server)…
…nell’ultimo anno abbiamo riscontrato tre problemi simili nelle librerie Java di Apache.
Abbiamo avuto il infame Log4Shell insetto nella cosiddetta libreria Log4J (Logging for Java).
Poi abbiamo avuto un bug simile, di cosa si trattava?... Configurazione di Apache Commons, che è un toolkit per gestire tutti i tipi di file di configurazione, ad esempio file INI e file XML, il tutto in modo standardizzato.
E ora in una biblioteca di livello ancora più basso chiamata Testo di Apache Commons.
Il bug è quello che in Java è generalmente noto come “interpolazione di stringhe”.
Programmatori in altri linguaggi... se usi cose come PowerShell o Bash, lo conoscerai come "sostituzione di stringhe".
È qui che puoi magicamente trasformare una frase piena di caratteri in una sorta di mini-programma.
Se hai mai usato la shell Bash, lo saprai se digiti il comando echo USER, echeggerà o stamperà la stringa USER e vedrai, sullo schermo U-S-E-R.
Ma se esegui il comando echo $USER, ciò non significa che echeggi il simbolo del dollaro seguito da U-S-E-R.
Ciò che significa è: "Sostituisci quella stringa magica con il nome dell'utente attualmente connesso e stampalo invece".
Quindi sul mio computer, se tu echo USER, ottieni USER, ma se tu echo $USER, hai capito bene duck anziché.
E alcune delle sostituzioni di stringhe Java vanno molto, molto, molto oltre... come chiunque ne abbia sofferto la gioia correzione di Log4Shell a Natale 2021 lo ricorderò!
Esistono tutti i tipi di piccoli programmi intelligenti che puoi incorporare all'interno delle stringhe che poi elaborerai con questa libreria di elaborazione delle stringhe.
Quindi c’è quello ovvio: per leggere il nome utente, metti ${env: (per “leggere l’ambiente”) user}… usi le parentesi ondulate.
È il simbolo del dollaro; parentesi ondulata; qualche comando magico; parentesi ondulata che è la parte magica.
E sfortunatamente, in questa libreria c'era una disponibilità predefinita incontrollata di comandi magici come: ${url:...}, che ti consente di indurre la libreria di elaborazione delle stringhe a raggiungere Internet, scaricare qualcosa e stampare ciò che ottiene da quel server web invece della stringa ${url:...}.
Quindi, anche se non si tratta proprio di iniezione di codice, perché è solo HTML grezzo, significa comunque che puoi inserire ogni sorta di spazzatura e cose strane e meravigliose non attendibili nei file di registro delle persone o nelle loro pagine web.
Ci sono ${dns:...}, il che significa che puoi ingannare il server di qualcuno, che potrebbe essere un server di logica aziendale all'interno della rete...
…puoi indurlo a fare una ricerca DNS per un server denominato.
E se possiedi quel dominio, come un truffatore, allora possiedi e gestisci anche il server DNS relativo a quel dominio.
Quindi, quando avviene la ricerca del DNS, indovina un po'?
Questa ricerca termina *sul tuo server* e potrebbe aiutarti a mappare le viscere della rete aziendale di qualcuno... non solo il suo server web, ma cose più profonde nella rete.
E infine, cosa più preoccupante, almeno con le versioni precedenti di Java, c'era... [RISA] sai cosa ti aspetta, Doug!
Il comando ${script:...}.
"Ehi, permettimi di fornirti un po' di JavaScript e di eseguirlo gentilmente per me."
E probabilmente stai pensando: “Cosa?! Aspetta, questo è un bug in Java. Cosa c’entra JavaScript?”
Bene, fino a tempi relativamente recenti... e ricorda, molte aziende utilizzano ancora versioni più vecchie e ancora supportate del Java Development Kit.
Fino a poco tempo fa, Java... [RISA] (di nuovo, non dovrei ridere)... il Java Development Kit conteneva, al suo interno, un motore JavaScript completo e funzionante, scritto in Java.
Ora, non esiste alcuna relazione tra Java e JavaScript tranne le quattro lettere “Java”, ma potresti mettere ${script:javascript:...}ed esegui il codice che preferisci.
E, cosa fastidiosa, una delle cose che puoi fare nel motore JavaScript all'interno del runtime Java è dire al motore JavaScript: "Ehi, voglio eseguire questa cosa tramite Java".
Quindi puoi fare in modo che Java chiami *in* JavaScript e JavaScript essenzialmente chiami *out* in Java.
E poi, da Java, puoi dire "Ehi, esegui questo comando di sistema".
E se vai all'articolo su Naked Security, mi vedrai usare un comando sospetto per [TOSSIRE COME SCUSA] fare un calcolo, Doug!
Una calcolatrice HP RPN, ovviamente, perché sto facendo scattare la calcolatrice...
DOUG. Deve esserlo, sì!
ANATRA. …questo è un HP-10.
Quindi, anche se il rischio non è così ottimo come Log4Shell, non puoi davvero escluderlo se usi questa libreria.
Abbiamo alcune istruzioni nell'articolo Naked Security su come scoprire se hai la libreria Commons Text... e potresti averla, come molte persone hanno fatto con Log4J, senza rendersene conto, perché potrebbe essere arrivata insieme a un'app.
E abbiamo anche del codice di esempio che puoi utilizzare per verificare se le mitigazioni che hai messo in atto hanno funzionato.
DOUG. Va bene, vai alla Naked Security.
Quell'articolo si chiama: Buco pericoloso in Apache Commons Text, come Log4Shell ancora una volta.
E concludiamo con una domanda: "Cosa succede quando i messaggi crittografati sono crittografati solo in un certo senso?"
ANATRA. Ah, ti riferisci a quello che, immagino, fosse un bug report ufficiale presentato recentemente dai ricercatori di sicurezza informatica della società finlandese WithSecure...
…sulla crittografia integrata offerta in Microsoft Office o, più precisamente, su una funzionalità chiamata Office 365 Message Encryption o OME.
È abbastanza utile avere una piccola funzionalità come questa integrata nell'app.
DOUG. Sì, sembra semplice e conveniente!
ANATRA. Sì, tranne... oh, caro!
Sembra che la ragione di ciò sia tutta dovuta alla compatibilità con le versioni precedenti, Doug...
…che Microsoft vuole che questa funzionalità funzioni anche per le persone che utilizzano ancora Office 2010, che ha al suo interno capacità di decrittazione piuttosto vecchio stile.
Fondamentalmente, sembra che questo processo OME di crittografia del file utilizzi AES, che è l'ultimo e il più grande algoritmo di crittografia standardizzato NIST.
Ma utilizza AES nella cosiddetta modalità di crittografia sbagliata.
Utilizza ciò che è noto come BCE, o libretto di codici elettronico modalità.
E questo è semplicemente il modo in cui ti riferisci all'AES grezzo.
AES crittografa 16 byte alla volta... a proposito, crittografa 16 byte sia che utilizzi AES-128, AES-192 o AES-256.
Non confondere la dimensione del blocco con la dimensione della chiave: la dimensione del blocco, il numero di byte che vengono generati e crittografati ogni volta che si gira la manovella del motore crittografico, è sempre 128 bis o 16 byte.
Ad ogni modo, nella modalità cifrario elettronico, si prendono semplicemente 16 byte di input, si gira la manovella una volta sotto una determinata chiave di crittografia e si prende l'output, grezzo e non rielaborato.
E il problema è che ogni volta che ottieni lo stesso input in un documento allineato allo stesso limite di 16 byte...
... ottieni esattamente gli stessi dati nell'output.
Quindi, i modelli nell'input vengono rivelati nell'output, proprio come lo sono in a Cesare cifra o a Vigenere cifra:
Ora, ciò non significa che puoi decifrare il codice, perché hai ancora a che fare con blocchi larghi 128 bit alla volta.
Il problema con la modalità libro di codici elettronico sorge proprio perché fa trapelare modelli dal testo in chiaro al testo cifrato.
Gli attacchi con testo in chiaro noto sono possibili quando si sa che una particolare stringa di input viene crittografata in un certo modo e per il testo ripetuto in un documento (come un'intestazione o il nome di un'azienda), tali modelli vengono riflessi.
E sebbene questo sia stato segnalato come un bug a Microsoft, a quanto pare la società ha deciso che non lo risolverà perché "non soddisfa i requisiti" per una soluzione di sicurezza.
E sembra che il motivo sia: "Beh, forniremmo un disservizio alle persone che utilizzano ancora Office 2010".
DOUG. uff!
ANATRA. Sì!
DOUG. E a questo proposito, abbiamo un commento da parte di un lettore per questa settimana su questa storia.
Naked Security Reader Bill commenta, in parte:
Questo mi ricorda i “presepi” utilizzati dai decifratori di codici di Bletchley Park durante la Seconda Guerra Mondiale. I nazisti spesso terminavano i messaggi con la stessa frase di chiusura, e quindi i decodificatori potevano risalire a questa serie di caratteri crittografati, sapendo cosa probabilmente rappresentavano. È deludente che 80 anni dopo sembriamo ripetere gli stessi errori.
ANATRA. 80 anni!
Sì, è davvero deludente.
A quanto mi risulta, anche altri strumenti che i decifratori di codici alleati potevano utilizzare, in particolare per i testi cifrati dai nazisti, trattavano *l'inizio* del documento.
Credo che questa fosse una cosa per i bollettini meteorologici tedeschi... c'era un formato religioso che seguivano per assicurarsi che fornissero esattamente i bollettini meteorologici.
E le previsioni del tempo, come potete immaginare, durante una guerra che prevede bombardamenti aerei notturni, erano davvero importanti!
Sembra che questi seguissero uno schema molto, molto rigido che, a volte, poteva essere usato come quello che potresti definire un po' un "allentatore" crittografico, o un cuneo che potresti usare per entrare in primo luogo.
E questo, come sottolinea Bill... questo è esattamente il motivo per cui AES, o qualsiasi altra cifratura, in modalità cifrario elettronico non è soddisfacente per crittografare interi documenti!
DOUG. Va bene, grazie per avercelo inviato, Bill.
Se hai una storia, un commento o una domanda interessante che vorresti inviare, ci piacerebbe leggerla sul podcast.
Puoi inviare un'e-mail a tips@sophos.com, commentare uno qualsiasi dei nostri articoli o contattarci sui social: @nakedsecurity.
Questo è il nostro spettacolo per oggi; grazie mille per l'ascolto.
Per Paul Ducklin, sono Doug Aamoth, e ti ricordo fino alla prossima volta di...
TUTTI E DUE. Stai al sicuro!
- blockchain
- geniale
- portafogli di criptovaluta
- cryptoexchange
- crittografia
- sicurezza informatica
- i criminali informatici
- Cybersecurity
- violazione di dati
- Perdita di dati
- Dipartimento di Sicurezza Nazionale
- portafogli digitali
- firewall
- Kaspersky
- il malware
- Mcafee
- Microsoft
- Sicurezza nuda
- Podcast di sicurezza nudo
- NextBLOC
- Office
- Patch Martedì
- Platone
- platone ai
- Platone Data Intelligence
- Gioco di Platone
- PlatoneDati
- gioco di plato
- Podcast
- Privacy
- VPN
- sicurezza del sito Web
- zefiro
- zoom
![S3 Ep117: La crisi delle criptovalute che non c'era (e addio per sempre a Win 7) [Audio + Testo]](https://platoaistream.net/wp-content/uploads/2023/01/s3-ep117-the-crypto-crisis-that-wasnt-and-farewell-forever-to-win-7-audio-text-360x188.png)