KAJ MISLITE, “NE IZPOLNJUJE ZAHTEVKA ZA VARNOSTNE STORITVE”?
Kliknite in povlecite spodnje zvočne valove, da preskočite na katero koli točko. Lahko tudi poslušaj neposredno na Soundcloudu.
Z Dougom Aamothom in Paulom Ducklinom. Uvodna in končna glasba avtorja Edith Mudge.
Poslušate nas lahko na Soundcloud, Apple Podcasts, Google Podcasti, Spotify, Krojač in povsod, kjer so na voljo dobri podcasti. Ali pa preprosto spustite URL našega vira RSS v vaš najljubši podcatcher.
PREBERITE PREPIS
DOUG. Dih jemajoče kršitve, šifriranje, ki ga je mogoče dešifrirati, in obilica popravkov.
Vse to več v podcastu Naked Security.
[GLASBENI MODEM]
Dobrodošli v podcastu, vsi.
Jaz sem Doug Aamoth; on je Paul Ducklin.
Paul, kako ste danes, gospod?
RACA. Doug … Vem, ker si mi vnaprej povedal, kaj prihaja Ta teden v zgodovini tehnologije, in to je ODLIČNO!
DOUG. OK!
Ta teden, 18. oktobra 1958, sta bila osciloskop in računalnik, zgrajena za simulacijo odpornosti vetra, združena s prilagojenimi aluminijastimi krmilniki in igra Tenis za dva se je rodil.
Tenis za dva, prikazan na tridnevni razstavi v Nacionalnem laboratoriju Brookhaven, se je izkazal za izjemno priljubljenega, zlasti med srednješolci.
Če poslušate to, morate iti na Wikipedijo in poiskati "Tenis za dva".
Tam je video za nekaj, kar je bilo zgrajeno leta 1958 ...
… Mislim, da se boš strinjal z mano, Paul, bilo je precej neverjetno.
RACA. Rad bi ga igral danes!
In tako kot Asteroids in Battle Zone ter tiste posebno spominjane igre iz osemdesetih let prejšnjega stoletja ...
… ker je osciloskop: vektorska grafika!
Brez slikovnih pik, brez razlik glede na to, ali je črta pod kotom 90 stopinj, 30 stopinj ali 45 stopinj.
In zvočna povratna informacija iz relejev v krmilnikih … super je!
Neverjetno, da je bilo to leto 1958.
Nazaj na prejšnje Ta teden v zgodovini tehnologije, je bil na vrhuncu tranzistorske revolucije.
Očitno je bila računska polovica mešanica termionskih ventilov (vakuumskih cevi) in relejev.
In vse vezje zaslona je temeljilo na tranzistorju, Doug
Torej je bila prava mešanica vseh tehnologij: releji, ventili in tranzistorji, vse v eni prelomni videoigri.
DOUG. Zelo kul.
Preverite na Wikipediji: Tenis za dva.
Zdaj pa preidimo na prvo zgodbo.
Paul, vem, da si zelo spreten v pisanju odlične pesmi ...
… Napisal sem zelo kratko pesem za uvod v to prvo zgodbo, če mi dovolite.
RACA. Torej bosta to dve vrstici, kajne? [SMEH]
DOUG. Gre nekako takole.
Zoom za Mac/Ne dobim ugrabljeni.
[ZELO DOLGA MOLKA]
Konec pesmi.
RACA. Oh oprosti!
Mislil sem, da je to naslov in da boš zdaj napisal pesem.
DOUG. Torej, to je pesem.
RACA. OK.
[BREZ ČUSTEV] Lepo, Doug.
DOUG. [IRONIČNO] Hvala.
RACA. Rima je bila spektakularna!
Vendar ni treba, da se vse pesmi rimajo...
DOUG. To je res.
RACA. Temu bomo rekli prosti verz, kajne?
DOUG. V redu, prosim.
RACA. Na žalost je bila to brezplačna stranska vrata v Zoom za Mac.
[OBČUTEK KRIVEGA] Oprosti, to ni bil zelo dober nastavek, Doug.
[SMEH] Hodiš po tujem terenu, pogosto ti zmanjka ...
DOUG. Ne, dobro je!
Ta teden sem preizkušal pesmi; preizkušaš segues.
Vsake toliko časa moramo ven iz svojih con udobja.
RACA. Predvidevam, da je bila to koda, ki naj bi jo prevedli, ko je bila dokončana končna gradnja, vendar je pomotoma ostala notri.
Namenjen je samo različici Zoom za Mac in je bil popravljen, zato se prepričajte, da ste posodobljeni.
V bistvu bi v nekaterih okoliščinah, ko bi se začel video tok ali kamera aktivirala sama aplikacija, nehote pomislila, da bi morda želeli odpraviti napake v programu.
Ker, hej, morda ste bili razvijalec! [SMEH]
To se očitno ne bi smelo zgoditi v različicah izdaje.
In to je pomenilo, da so na lokalnem omrežnem vmesniku ostala odprta vrata za odpravljanje napak TCP.
To je pomenilo, da lahko vsakdo, ki lahko posreduje pakete v ta vrata, kar bi lahko bil verjetno kateri koli drug lokalno povezan uporabnik, tako da ne bi bilo treba biti skrbnik ali celo vi ... celo gostujoči uporabnik, to bi bilo dovolj.
Torej bi lahko napadalec, ki je imel v vašem računalniku nekakšno posredniško zlonamerno programsko opremo, ki bi lahko sprejemala pakete od zunaj in jih vbrizgala v lokalni vmesnik, v bistvu izdajala ukaze drobovju programa.
Tipične stvari, ki jih omogočajo vmesniki za odpravljanje napak, vključujejo: izpis pomnilnika; izločiti skrivnosti; spremenite obnašanje programa; prilagodite nastavitve konfiguracije, ne da bi šli skozi običajni vmesnik, tako da uporabnik tega ne vidi; zajemite ves zvok, ne da bi komurkoli povedali, ne da bi se pojavilo opozorilo o snemanju; vse te vrste stvari.
Dobra novica je, da jo je Zoom našel sam in so jo kar hitro popravili.
Ampak to je odličen opomnik, da kot pogosto rečemo, [SMEH] "Veliko spodrsljajev je med skodelico in ustnico."
DOUG. V redu, zelo dobro.
Ostanimo na vlaku in se zapeljemo na naslednjo postajo.
In ta zgodba ... je morda najbolj zanimiv del te zgodbe zadnjega Patch Tuesdaya česar Microsoft *ni* vključil?
RACA. Na žalost popravki, ki so jih verjetno vsi pričakovali – in v nedavnem podcastu smo špekulirali: »No, zdi se, da nas bo Microsoft prisilil, da počakamo še en teden do torka popravkov in ne bomo izvedli »zgodnje izdaje zunaj pasu«. ” sta tista dva ničelna dneva nedavnega pomnilnika Exchange.
Kar je postalo znano kot E00F, oz Menjava dvojne napake ničelnega dne v moji terminologiji, oz ProxyNotShell kot je morda nekoliko zmedeno znano v Twittersferi.
To je bila torej velika zgodba v torkovem popravku tega meseca: ti dve hrošči neverjetno nista bili odpravljeni.
In zato ne vemo, kdaj se bo to zgodilo.
Prepričati se morate, da ste uporabili morebitne ublažitve.
Kot mislim, da smo že povedali, je Microsoft vedno znova ugotavljal, da prejšnje ublažitve, ki jih je predlagal ... no, morda niso bile dovolj dobre, zato je nenehno spreminjal melodijo in prilagajal zgodbo.
Torej, če ste v dvomih, se lahko vrnete na nakedsecurity.sophos.com in poiščete frazo ProxyNotShell (vse ena beseda), nato pa pojdite in preberite, kaj imamo za povedati.
Prav tako se lahko povežete z najnovejšo različico Microsoftovega popravka ...
… ker je bilo od vseh stvari v Patch Tuesday to najbolj zanimivo, kot pravite: ker ga ni bilo.
DOUG. V redu, prestavimo zdaj na a zelo frustrirajoča zgodba.
To je udarec po zapestju za veliko podjetje, katerega kibernetska varnost je tako slaba, da sploh niso opazili, da so bili vdori!
RACA. Da, to je znamka, ki jo bo večina ljudi verjetno poznala kot SHEIN (»ona-in«), napisano z eno besedo, vse z velikimi črkami. (V času kršitve je bilo podjetje znano kot Zoetop.)
In so tisto, kar se imenuje "hitra moda".
Veste, nakopičijo ga in prodajajo poceni in ne brez polemike o tem, od kod jim dizajni.
In kot spletni trgovec na drobno bi morda pričakovali, da imajo podrobnosti o kibernetski varnosti spletne trgovine na drobno.
Ampak, kot pravite, niso!
In urad državnega tožilca zvezne države New York v ZDA je odločil, da ni zadovoljen z načinom obravnavanja prebivalcev New Yorka, ki so bili med žrtvami te kršitve.
Zato so sprožili tožbo proti temu podjetju ... in to je bila absolutna litanija zmot, napak in navsezadnje prikrivanj - z eno besedo, Douglas, nepoštenost.
Imeli so to kršitev, ki je niso opazili.
Vsaj v preteklosti je bilo to zelo pogosto: podjetja se niso zavedala, da so bili vdrti, dokler jih ni kontaktiral skrbnik kreditnih kartic ali banka in jim rekla: »Veste kaj, imeli smo ogromno pritožb glede goljufij strank ta mesec.«
»In ko smo pogledali nazaj na to, čemur pravijo CPP, je skupno nakupno mesto, eden in edini trgovec, pri katerem se zdi, da je vsaka žrtev nekaj kupila, ste vi. Menimo, da je uhajanje prišlo od vas.
In v tem primeru je bilo še huje.
Očitno je prišel drug plačilni procesor in rekel: "Oh, mimogrede, našli smo celotno tranšo številk kreditnih kartic za prodajo, ki je bila ponujena kot ukradena od vas."
Tako so imeli jasne dokaze, da je prišlo bodisi do kršitve v velikem obsegu bodisi do kršitve po delih.
DOUG. Torej, ko je bilo to podjetje seznanjeno s tem, so zagotovo hitro ukrepali, da bi popravili situacijo, kajne?
RACA. No, to je odvisno od tega, kako ... [SMEH] Ne bi se smel smejati, Doug, kot vedno.
To je odvisno od tega, kaj mislite z "popraviti".
DOUG. [SMEH] O, bog!
RACA. Torej se zdi, da so se *res* spopadli s problemom ... res so bili deli tega, ki so jih res dobro prikrili.
Očitno.
Zdi se, da so se nenadoma odločili: "Joj, bolje, da postanemo skladni s PCI DSS".
Očitno niso bili, ker so očitno vodili dnevnike odpravljanja napak, ki so vsebovali podatke o kreditnih karticah neuspelih transakcij ... vse, česar ne bi smeli zapisati na disk, so zapisovali.
In potem so ugotovili, da se je to zgodilo, vendar niso mogli najti, kje so te podatke pustili v lastnem omrežju!
Torej so očitno vedeli, da niso skladni s PCI DSS.
Lotili so se, da bi postali skladni s PCI DSS, kar so očitno dosegli do leta 2019. (Kršitev se je zgodila leta 2018.)
Toda ko so jim povedali, da se morajo podrediti reviziji, forenzični preiskavi ...
... po besedah newyorškega državnega tožilca so preiskovalcu namerno stali na poti.
Preiskovalcem so v bistvu dovolili, da vidijo sistem, kakršen je bil *potem* ko so ga popravili, zvarili in polirali, in rekli so: »Oh ne, ne morete videti varnostnih kopij,« kar se mi zdi precej poredno .
DOUG. Uh huh.
RACA. In tudi način, kako so kršitev razkrili svojim strankam, je povzročil precejšnjo jezo države New York.
Zlasti se zdi, da je bilo povsem očitno, da so bili na nek način poneverjeni podatki o 39,000,000 uporabnikih, vključno z zelo šibko zgoščenimi gesli: dvomestna sol in en krog MD5.
Ni dovolj dobro v letu 1998, kaj šele v letu 2018!
Torej so vedeli, da obstaja težava za to veliko število uporabnikov, vendar so se očitno lotili samo kontaktiranja 6,000,000 tistih uporabnikov, ki so dejansko uporabljali njihove račune in oddali naročila.
In potem so rekli: "No, vsaj stopili smo v stik z vsemi temi ljudmi."
In *potem* se je izkazalo, da pravzaprav niso zares kontaktirali vseh 6,000,000 milijonov uporabnikov!
Pravkar so stopili v stik s tistimi od šestih milijonov, ki so slučajno živeli v Kanadi, Združenih državah ali Evropi.
Torej, če ste od koderkoli drugje na svetu, smola!
Kot si lahko predstavljate, to ni bilo všeč oblastem, regulatorju.
In, moram priznati ... na moje presenečenje, Doug, so bili kaznovani z 1.9 milijona dolarjev.
Kar za tako veliko podjetje ...
DOUG. Da!
RACA. ... in delati tako nesramne napake, nato pa biti nespodoben in pošten glede tega, kar se je zgodilo, in biti grajan zaradi laganja o kršitvi, s temi besedami, s strani državnega tožilca New Yorka?
Nekako sem si predstavljal, da jih je morda doletela hujša usoda.
Morda celo nekaj, česar ni bilo mogoče odplačati z denarjem.
Oh, in druga stvar, ki so jo naredili, je ta, da ko je bilo očitno, da obstajajo uporabniki, katerih gesla so ogrožena ... ker jih je bilo mogoče globoko vdreti zaradi dejstva, da je bila dvomestna sol, kar pomeni, da bi lahko zgradili 100 vnaprej izračunanih slovarjev …
DOUG. Je to običajno?
Samo dvomestna vrednost soli se zdi res nizka!
RACA. Ne, običajno bi želeli 128 bitov (16 bajtov) ali celo 32 bajtov.
Ohlapno povedano, to tako ali tako ne vpliva bistveno na hitrost razbijanja, ker (odvisno od velikosti bloka zgoščene vrednosti) v mešanico dodate samo dve dodatni števki.
Torej niti ni tako, kot da bi dejansko izračunavanje zgoščenih vrednosti trajalo dlje.
Še leta 2016 so ljudje, ki uporabljajo računalnike z osmimi grafičnimi procesorji, ki poganjajo program »hashcat«, mislim, da bi lahko naredili 200 milijard MD5 na sekundo.
Takrat! (Ta znesek je zdaj približno petkrat ali desetkrat višji.)
Tako zelo, zelo eminentno razbit.
Toda namesto da bi dejansko stopili v stik z ljudmi in rekli: "Vaše geslo je ogroženo, ker smo razkrili zgoščeno vrednost in ni bilo zelo dobro, bi ga morali spremeniti", [SMEH] so samo rekli ...
... so bile zelo podlasične besede, kajne?
DOUG. »Vaše geslo ima nizko stopnjo varnosti in je morda ogroženo. Prosimo, spremenite geslo za prijavo.”
In potem so ga spremenili v: »Vaše geslo ni bilo posodobljeno več kot 365 dni. Zaradi vaše zaščite ga prosimo posodobite zdaj.«
RACA. Da, "Vaše geslo ima nizko stopnjo varnosti ..."
DOUG. “ZARADI NAS!”
RACA. To ni samo pokroviteljsko, kajne?
V mojih očeh je to na ali čez mejo obtoževanje žrtev.
Kakorkoli že, to se mi ni zdela zelo močna spodbuda za podjetja, ki nočejo narediti prave stvari.
DOUG. V redu, oglasite se v komentarjih, radi bi slišali, kaj mislite!
Ta članek se imenuje: Modna znamka SHEIN je bila kaznovana z 1.9 milijona dolarjev zaradi laganja o kršitvi podatkov.
In k drugi frustrirajoči zgodbi ...
.., še en dan, še ena opozorilna zgodba o obdelavi nezaupljivega vnosa!
RACA. Aaargh, vem, kaj bo to, Doug.
To je tisto Besedilo Apache Commons hrošč, kajne?
DOUG. Je!
RACA. Da bo jasno, to ni spletni strežnik Apache.
Apache je temelj programske opreme, ki ima cel kup izdelkov in brezplačnih orodij ... in so resnično zelo uporabni, so odprtokodni in odlični.
Vendar smo imeli v javskem delu njihovega ekosistema (spletni strežnik Apache httpd ni napisan v Javi, zato ga zaenkrat zanemarimo – ne mešajte Apache s spletnim strežnikom Apache)…
…v zadnjem letu smo imeli tri podobne težave v knjižnicah Java Apache.
Imeli smo zloglasni Log4Shell bug v tako imenovani knjižnici Log4J (Logging for Java).
Potem smo imeli podobno napako, kaj je bilo?… Konfiguracija Apache Commons, ki je komplet orodij za upravljanje vseh vrst konfiguracijskih datotek, recimo datotek INI in datotek XML, vse na standardiziran način.
In zdaj v še nižji knjižnici imenovani Besedilo Apache Commons.
Napaka v stvari, ki je v Javi splošno znana kot »interpolacija nizov«.
Programerji v drugih jezikih ... če uporabljate stvari, kot sta PowerShell ali Bash, boste to poznali kot "zamenjava nizov".
Tam lahko čarobno spremenite stavek, poln znakov, v nekakšen mini program.
Če ste kdaj uporabljali lupino Bash, boste to vedeli, če vnesete ukaz echo USER, bo ponovil ali natisnil niz USER in na zaslonu boste videli USER.
Če pa zaženete ukaz echo $USER, potem to ne pomeni odmeva znaka za dolar, ki mu sledi USER.
To pomeni: "Zamenjajte ta čarobni niz z imenom trenutno prijavljenega uporabnika in ga namesto tega natisnite."
Torej na mojem računalniku, če ti echo USER, dobiš USER, če pa ti echo $USER, razumete duck namesto tega.
In nekatere zamenjave nizov v Javi gredo veliko, veliko, veliko dlje od tega ... kot vsakdo, ki je trpel veselje popravljanje Log4Shell Božič 2021 si bo zapomnil!
Obstajajo vse vrste majhnih pametnih mini programov, ki jih lahko vdelate v nize, ki jih nato obdelate s to knjižnico za obdelavo nizov.
Tu je torej očitna stvar: če želite prebrati uporabniško ime, vstavite ${env: (za "beri okolje") user}… uporabljate vijugaste oklepaje.
To je znak za dolar; vijugasti nosilec; nekaj čarobnega ukaza; vijugasti oklepaj, ki je čarobni del.
In na žalost je bila v tej knjižnici nenadzorovana privzeta razpoložljivost čarobnih ukazov, kot so: ${url:...}, ki vam omogoča, da pretentate knjižnico za obdelavo nizov, da se obrne na internet, prenese nekaj in natisne, kar dobi nazaj s tega spletnega strežnika namesto niza ${url:...}.
Torej, čeprav to ni ravno vstavljanje kode, ker je samo neobdelani HTML, še vedno pomeni, da lahko v dnevniške datoteke ljudi ali na njihove spletne strani vstavite vse vrste smeti ter čudne in čudovite nezaupljive stvari.
Tukaj ${dns:...}, kar pomeni, da lahko pretentate strežnik nekoga, ki je lahko strežnik poslovne logike v omrežju ...
...lahko ga pretentate, da poišče DNS za imenovani strežnik.
In če ste lastnik te domene, ste kot prevarant tudi lastnik in upravljavec strežnika DNS, ki je povezan s to domeno.
Torej, ko pride do iskanja DNS, uganete kaj?
To iskanje se konča *na vašem strežniku* in vam lahko pomaga razčleniti notranjost poslovnega omrežja nekoga ... ne samo njegovega spletnega strežnika, ampak stvari globlje v omrežju.
In nazadnje, kar je najbolj zaskrbljujoče, vsaj pri starejših različicah Jave je bilo … [SMEH] saj veš, kaj prihaja tukaj, Doug!
Ukaz ${script:...}.
"Hej, naj vam ponudim nekaj JavaScripta in ga prijazno zaženite zame."
In verjetno si mislite: »Kaj?! Počakaj, to je napaka v Javi. Kaj ima JavaScript s tem?"
No, do relativno nedavnega ... in ne pozabite, mnoga podjetja še vedno uporabljajo starejše, še vedno podprte različice Java Development Kit.
Do nedavnega je Java… [SMEH] (še enkrat, ne bi se smejal)… Java Development Kit je v sebi vseboval popoln, delujoč motor JavaScript, napisan v Javi.
Med Javo in JavaScriptom ni nobene povezave, razen štirih črk »Java«, vendar bi lahko postavili ${script:javascript:...}in zaženite kodo po vaši izbiri.
In moteče je, da je ena od stvari, ki jih lahko naredite v mehanizmu JavaScript znotraj izvajalnega okolja Jave, reči motorju JavaScript: "Hej, to stvar želim zagnati prek Jave."
Tako lahko pripravite Java, da pokliče *v* JavaScript, in JavaScript v bistvu, da pokliče *out* v Javo.
In potem, iz Jave, lahko greste: "Hej, zaženi ta sistemski ukaz."
In če obiščete članek o goli varnosti, me boste videli, kako uporabljam sumljivi ukaz za [OPRAVIČILNO KAŠLJA], Doug!
HP-jev kalkulator RPN, seveda, ker jaz uporabljam kalkulator ...
DOUG. Mora biti, ja!
RACA. … ta je HP-10.
Torej, čeprav tveganje ni tako odličen kot Log4Shell, tega ne morete zares izključiti, če uporabljate to knjižnico.
V članku o goli varnosti imamo nekaj navodil o tem, kako ugotoviti, ali imate knjižnico Commons Text … in morda jo imate, kot so jo mnogi ljudje storili z Log4J, ne da bi se tega zavedali, ker je morda prišla skupaj z aplikacijo.
Tam imamo tudi nekaj vzorčne kode, s katero lahko preizkusite, ali so ublažitve, ki ste jih uvedli, delovale.
DOUG. V redu, pojdi k Naked Security.
Ta članek se imenuje: Nevarna luknja v besedilu Apache Commons – znova kot Log4Shell.
In zaključimo z vprašanjem: "Kaj se zgodi, če so šifrirana sporočila samo nekako šifrirana?"
RACA. Ah, misliš na tisto, kar je bilo, predvidevam, uradno poročilo o hroščih, ki so ga nedavno vložili raziskovalci kibernetske varnosti v finskem podjetju WithSecure ...
…o vgrajenem šifriranju, ki je na voljo v Microsoft Officeu, ali natančneje, funkciji, imenovani Office 365 Message Encryption ali OME.
Zelo priročno je imeti v aplikaciji vgrajeno majhno funkcijo.
DOUG. Da, sliši se preprosto in priročno!
RACA. Da, razen ... o, draga!
Zdi se, da je razlog za to le združljivost za nazaj, Doug ...
...da Microsoft želi, da ta funkcija deluje vse do ljudi, ki še vedno uporabljajo Office 2010, ki ima vgrajene precej stare zmožnosti dešifriranja.
V bistvu se zdi, da ta postopek OME za šifriranje datoteke uporablja AES, ki je najnovejši in najboljši algoritem šifriranja, standardiziran s strani NIST.
Vendar uporablja AES v napačnem tako imenovanem načinu šifriranja.
Uporablja tako imenovano ECB oz elektronski šifrant način.
In to je preprosto način, kako se sklicujete na surovi AES.
AES šifrira 16 bajtov naenkrat ... mimogrede, šifrira 16 bajtov ne glede na to, ali uporabljate AES-128, AES-192 ali AES-256.
Ne mešajte velikosti bloka in velikosti ključa – velikost bloka, število bajtov, ki se zgnetejo in šifrirajo vsakič, ko obrnete ročico na kriptografskem motorju, je vedno 128 bis ali 16 bajtov.
Kakor koli že, v načinu elektronskega šifranta preprosto vzamete 16 bajtov vnosa, enkrat obrnete ročico pod danim šifrirnim ključem in vzamete izhod, neobdelan in neobdelan.
In težava pri tem je, da vsakič, ko dobite isti vnos v dokumentu, poravnanem na isto 16-bajtno mejo ...
... v izhodu dobite popolnoma enake podatke.
Torej se vzorci v vhodu razkrijejo v izhodu, tako kot v a Cezar šifra ali a Vigenère šifra:
To ne pomeni, da lahko razbijete šifro, ker imate še vedno opravka s kosi, ki so naenkrat široki 128 bitov.
Težava z načinom elektronskega šifranta se pojavi prav zato, ker prepušča vzorce iz navadnega besedila v šifrirano besedilo.
Napadi z znanim čistim besedilom so možni, če veste, da se določen vnosni niz šifrira na določen način, pri ponovljenem besedilu v dokumentu (kot je glava ali ime podjetja) pa se ti vzorci odražajo.
In čeprav je bila Microsoftu to prijavljena kot napaka, se je podjetje očitno odločilo, da je ne bo popravilo, ker »ne izpolnjuje zahtev« za varnostni popravek.
In zdi se, da je razlog: "No, naredili bi medvedjo uslugo ljudem, ki še vedno uporabljajo Office 2010."
DOUG. Uf!
RACA. Da!
DOUG. In na tej opombi imamo ta teden komentar bralca na to zgodbo.
Naked Security Reader Bill delno komentira:
To me spominja na 'jaslice', ki so jih razbijalci kod iz Bletchley Parka uporabljali med drugo svetovno vojno. Nacisti so sporočila pogosto zaključili z isto končno besedno zvezo, zato so se razbijalci kod lahko vrnili iz tega zaključnega niza šifriranih znakov, saj so vedeli, kaj verjetno predstavljajo. Razočaranje je, da se zdi, da 80 let pozneje ponavljamo iste napake.
RACA. 80 let!
Da, res je razočaranje.
Kolikor razumem, so se druge jaslice, ki bi jih lahko uporabili zavezniški razbijalci kod, zlasti za nacistično šifrirana besedila, prav tako ukvarjale z *začetkom* dokumenta.
Verjamem, da je bilo to nekaj za nemška vremenska poročila ... obstajal je verski format, ki so mu sledili, da bi zagotovili, da dajejo vremenska poročila natančno.
In vremenska poročila, kot si lahko predstavljate, so bila med vojno, ki vključuje nočno bombardiranje, res pomembna stvar!
Zdi se, da so sledili zelo, zelo strogemu vzorcu, ki bi ga občasno lahko uporabili kot nekaj kriptografskega "rahljalnika" ali klina, ki bi ga lahko uporabili za vdor.
In kot poudarja Bill ... ravno zato AES ali katera koli šifra v načinu elektronskega šifranta ni zadovoljiva za šifriranje celotnih dokumentov!
DOUG. V redu, hvala, da si to poslal, Bill.
Če imate zanimivo zgodbo, komentar ali vprašanje, ki bi ga radi poslali, ga bomo z veseljem prebrali v podcastu.
Lahko pošljete e-poštno sporočilo na tips@sophos.com, lahko komentirate katerega koli od naših člankov ali pa nas kontaktirate na socialnem omrežju: @nakedsecurity.
To je naša današnja predstava; najlepša hvala za posluh.
Za Paula Ducklina sem Doug Aamoth, opominjam vas do naslednjič, da…
OBOJE. Bodite varni!
- blockchain
- coingenius
- kriptokurrency denarnice
- kripto izmenjava
- kriptografija
- kibernetska varnost
- cybercriminals
- Cybersecurity
- kršitev varnosti podatkov
- izguba podatkov
- oddelek za domovinsko varnost
- digitalne denarnice
- požarni zid
- Kaspersky
- zlonamerna programska oprema
- Mccafee
- Microsoft
- Gola varnost
- Goli varnostni podcast
- NexBLOC
- Office
- obliž torek
- platon
- platon ai
- Platonova podatkovna inteligenca
- Igra Platon
- PlatoData
- platogaming
- Podcast
- zasebnost
- VPN
- spletna varnost
- zefirnet
- zoom
![S3 Ep117: Kriptokriza, ki je ni bilo (in za vedno slovo od Win 7) [zvok + besedilo]](https://platoaistream.net/wp-content/uploads/2023/01/s3-ep117-the-crypto-crisis-that-wasnt-and-farewell-forever-to-win-7-audio-text-360x188.png)