ЩО ВИ МАЄТЕ НА УМОВІ, «НЕ ВІДПОВІДАЄ СТАНДАРТАМ ОБСЛУГОВУВАННЯ БЕЗПЕКОЮ»?
Натисніть і перетягніть звукові хвилі нижче, щоб перейти до будь-якої точки. Ви також можете слухати безпосередньо на Soundcloud.
З Дугом Амотом і Полом Дакліном. Вступна та кінцева музика Едіт Мадж.
Ви можете послухати нас на Soundcloud, Apple Podcasts, Підкасти Google, Spotify, брошюровщик і скрізь, де можна знайти хороші подкасти. Або просто скиньте URL-адреса нашого каналу RSS у ваш улюблений подкечер.
ПРОЧИТАЙТЕ СКРИПТ
ДУГ. Приголомшливі злами, шифрування, що розшифровується, і велика кількість виправлень.
Все це більше в подкасті Naked Security.
[МУЗИЧНИЙ МОДЕМ]
Ласкаво просимо в подкаст, усі.
Я Даг Аамот; він Пол Даклін.
Павле, як ваші справи сьогодні, сер?
КАЧКА. Дуг… Я знаю, тому що ти сказав мені заздалегідь, що буде Цей тиждень з історії технологій, і це ЧУДОВО!
ДУГ. OK!
Цього тижня, 18 жовтня 1958 року, осцилограф і комп’ютер, створені для імітації опору вітру, були поєднані зі спеціальними алюмінієвими контролерами, і гра Теніс на двох народився.
Теніс для двох, показаний на триденній виставці в Брукхейвенській національній лабораторії, виявився надзвичайно популярним, особливо серед старшокласників.
Якщо ви слухаєте це, ви повинні зайти у Вікіпедію та знайти «Теніс для двох».
Там є відео про те, що було побудовано в 1958 році…
…Я думаю, ти погодишся зі мною, Поле, це було неймовірно.
КАЧКА. Я б із задоволенням зіграв у це сьогодні!
І, як Asteroids і Battle Zone, і ці особливо пам’ятні ігри 1980-х…
…тому що це осцилограф: векторна графіка!
Немає пікселізації, немає відмінностей залежно від того, чи лінія розташована під кутом 90 градусів, чи 30 градусів, чи 45 градусів.
А звуковий зворотний зв'язок від реле в контролерах... це супер!
Навіть не віриться, що це був 1958 рік.
Повертаючись до попереднього Цей тиждень з історії технологій, це було на порозі транзисторної революції.
Мабуть, обчислювальна половина була сумішшю термоелектронних вентилів (вакуумних ламп) і реле.
І вся схема дисплея була заснована на транзисторах, Дуг
Тож це було саме поєднання всіх технологій: реле, вентилі та транзистори, усе в одній новаторській відеогрі.
ДУГ. Дуже круто.
Перегляньте це у Вікіпедії: Теніс на двох.
А тепер перейдемо до нашої першої історії.
Поле, я знаю, що ти вмієш писати чудові вірші…
…Я написав дуже короткий вірш, щоб розпочати цю першу історію, якщо ви дозволите мені потурати.
КАЧКА. Тоді це буде два рядки, чи не так? [СМІЄТЬСЯ]
ДУГ. Це виглядає приблизно так.
Zoom для Mac/Не отримувати викрадено.
[ДУЖЕ ДОВГЕ МОВЧАННЯ]
Кінець вірша.
КАЧКА. О, вибачте!
Я думав, що це назва, і що ти зараз напишеш вірш.
ДУГ. Отже, це вірш.
КАЧКА. ОК.
[БЕЗ ЕМОЦІЙ] Чудово, Дуг.
ДУГ. [ІРОНІЧНО] Дякую.
КАЧКА. Рима була вражаючою!
Але не всі вірші мають бути римовані...
ДУГ. Це правда.
КАЧКА. Ми назвемо це просто вільним віршем, чи не так?
ДУГ. Добре, будь ласка.
КАЧКА. На жаль, це був безкоштовний бекдор у Zoom для Mac.
[ПОЧУВАННЯ ПРОВИНИ] Вибачте, це був не дуже вдалий продовження, Дуг.
[СМІЄТЬСЯ] Ти топчешся по чужому дерну, ти часто підриваєшся...
ДУГ. Ні, це добре!
Цього тижня я пробував вірші; ви пробуєте segues.
Нам час від часу доводиться виходити із зони комфорту.
КАЧКА. Я припускаю, що це був код, який мав бути скомпільований після завершення остаточної збірки, але випадково залишився.
Це лише для версії Zoom для Mac, і вона була виправлена, тому переконайтеся, що ви оновили її.
По суті, за деяких обставин, коли починається відеопотік або камера активується самою програмою, вона ненавмисно думає, що ви можете налагодити програму.
Тому що, можливо, ви були розробником! [СМІЄТЬСЯ]
Очевидно, що цього не повинно відбуватися у збірках випусків.
А це означало, що порт налагодження TCP залишився відкритим на інтерфейсі локальної мережі.
Це означало, що будь-хто, хто може передавати пакети в цей порт, імовірно, може бути будь-яким іншим локально підключеним користувачем, тож не обов’язково бути адміністратором чи навіть вам… навіть гостем, цього буде достатньо.
Таким чином, зловмисник, який мав на вашому комп’ютері якусь шкідливу проксі-програму, яка могла отримувати пакети ззовні та вводити їх у локальний інтерфейс, міг фактично видавати команди до нутра програми.
І типові речі, які дозволяють інтерфейси налагодження, включають: скидання пам’яті; витягувати секрети; змінити поведінку програми; налаштувати параметри конфігурації без використання звичайного інтерфейсу, щоб користувач не міг їх побачити; захоплюйте весь аудіо, не повідомляючи нікому, не з’являючи попередження про запис; всі подібні речі.
Хороша новина полягає в тому, що Zoom знайшов це самостійно, і вони досить швидко виправили це.
Але це чудове нагадування про те, що, як ми часто говоримо, [СМІЄТЬСЯ] «Є багато помилок між чашкою та губою».
ДУГ. Добре, дуже добре.
Давайте залишимося на борту накладного поїзда та під’їдемо до наступної станції.
І ця історія… мабуть, найцікавіша частина цієї історії останнього патч-вівторка що Microsoft *не* включила?
КАЧКА. На жаль, виправлення, яких усі, ймовірно, очікували – і ми припустили в нещодавньому подкасті: «Ну, схоже, Microsoft збирається змусити нас чекати ще тиждень до вівторка виправлення, а не робити вихідний «ранній випуск» ” – це два нульові дні нещодавньої пам’яті Exchange.
Те, що стало відомо як E00F, або Подвійний недолік нульового дня обміну за моєю термінологією, або ProxyNotShell як це, можливо, дещо заплутано відомо у Twittersphere.
Отже, це була велика історія цього місяця у вівторок виправлення: ці дві помилки вражаючим чином не були виправлені.
Тому ми не знаємо, коли це станеться.
Ви повинні переконатися, що ви застосували будь-які пом’якшення.
Як я думаю, ми вже говорили раніше, Microsoft постійно знаходила, що попередні пом’якшення, які вони пропонували… ну, можливо, вони були недостатньо хорошими, і вони постійно змінювали свою мелодію та адаптували історію.
Отже, якщо ви сумніваєтеся, ви можете повернутися на nakedsecurity.sophos.com, шукати фразу ProxyNotShell (все одне слово), а потім підіть і прочитайте те, що ми маємо сказати.
Ви також можете перейти за посиланням до останньої версії виправлення від Microsoft…
…тому що з усіх речей Patch Tuesday це було найцікавішим, як ви сказали: тому що цього не було.
ДУГ. Гаразд, давайте перемикаємо передачу на a дуже неприємна історія.
Це удар по руці для великої компанії, чия кібербезпека настільки погана, що вони навіть не помітили, що її зламали!
КАЧКА. Так, це бренд, який більшість людей, ймовірно, знатиме як SHEIN («вона»), написане одним словом, все з великої літери. (На момент зламу компанія була відома як Zoetop.)
І це те, що називається «швидкою модою».
Ви знаєте, вони нагромаджують це і продають дешево, і не без суперечок про те, звідки вони беруть свої проекти.
І, як онлайн-продавець, ви, мабуть, очікуєте, що вони мають деталі кібербезпеки онлайн-роздрібної торгівлі.
Але, як ви кажете, не зробили!
А офіс генерального прокурора штату Нью-Йорк у США вирішив, що він незадоволений тим, як ставилися до жителів Нью-Йорка, які були серед жертв цього порушення.
Тож вони подали до суду проти цієї компанії… і це була абсолютна літанія ляпів, помилок і, зрештою, прикриття – одним словом, Дугласе, нечесність.
У них був такий пролом, якого вони не помітили.
Це, принаймні в минулому, було дуже поширеним явищем: компанії не здогадувалися, що їх зламали, доки працівник кредитної картки чи банк не зв’яжуться з ними і не скажуть: «Знаєте що, у нас було дуже багато скарг на шахрайство від клієнтів цього місяця».
«І коли ми озирнулися на те, що вони називають CPP, загальна точка купівлі, єдиний торговець, у якого, здається, купувала щось кожна жертва, — це ви. Ми вважаємо, що витік надійшов від вас».
А в цьому випадку було ще гірше.
Мабуть, підійшов інший платіжний процесор і сказав: «О, до речі, ми знайшли цілий транш номерів кредитних карток для продажу, запропонованих як викрадені у вас».
Тож у них були чіткі докази того, що було або масове порушення, або порушення поетапно.
ДУГ. Тож, звичайно, коли цій компанії стало відомо про це, вони швидко рушили, щоб виправити ситуацію, чи не так?
КАЧКА. Ну, це залежить від того, як ти... [СМІЄТЬСЯ] Я не повинен сміятися, Дуг, як завжди.
Це залежить від того, що ви маєте на увазі під «виправленням».
ДУГ. [СМІЄТЬСЯ] О, боже!
КАЧКА. Отже, здається, що вони *справді* впоралися з проблемою... справді, були її частини, які вони дуже добре приховали.
Мабуть.
Схоже, вони раптом вирішили: «Ой, нам краще стати сумісними з PCI DSS».
Зрозуміло, що ні, тому що вони, очевидно, зберігали журнали налагодження, які містили дані кредитної картки про невдалі транзакції… усе, що ви не повинні були записувати на диск, вони записували.
А потім вони зрозуміли, що це сталося, але вони не могли знайти, де вони залишили ці дані у власній мережі!
Отже, очевидно, вони знали, що вони не сумісні з PCI DSS.
Вони взялися зробити себе сумісними з PCI DSS, мабуть, чого вони досягли до 2019 року. (Порушення сталося в 2018 році).
Але коли їм сказали, що вони мають пройти аудит, судово-медичне розслідування…
…за словами генерального прокурора Нью-Йорка, вони цілком свідомо стали на шляху слідчого.
Фактично вони дозволили слідчим побачити систему такою, якою вона була *після* того, як вони її полагодили, зварили, відполірували, і вони сказали: «О ні, ви не можете побачити резервні копії», що для мене звучить досить негарно .
ДУГ. Угу.
КАЧКА. Крім того, те, як вони розповіли про порушення своїм клієнтам, викликало значне обурення штату Нью-Йорк.
Зокрема, здається, що було цілком очевидно, що деталі 39,000,000 5 XNUMX користувачів певним чином були викрадені, включаючи дуже слабко хешовані паролі: двозначну сіль і один раунд MDXNUMX.
Недостатньо добре в 1998 році, не кажучи вже про 2018!
Таким чином, вони знали, що існує проблема для такої великої кількості користувачів, але, очевидно, вони почали зв’язуватися лише з 6,000,000 XNUMX XNUMX тих користувачів, які фактично використовували їхні облікові записи та розміщували замовлення.
А потім вони сказали: «Ну, ми принаймні зв’язалися з усіма цими людьми».
І *потім* виявилося, що вони насправді не зв’язалися з усіма 6,000,000 XNUMX XNUMX мільйонами користувачів!
Вони щойно зв’язалися з тими з шести мільйонів, які живуть у Канаді, Сполучених Штатах чи Європі.
Отже, якщо ви з будь-якої іншої точки світу, нещастя!
Як ви можете собі уявити, це не сподобалося владі, регулятору.
І, мушу визнати… на мій подив, Дуг, їх оштрафували на 1.9 мільйона доларів.
Що для такої великої компанії…
ДУГ. Так!
КАЧКА. …і робити такі кричущі помилки, а потім бути не зовсім порядним і чесним щодо того, що трапилося, і отримати докори за брехню про порушення, такими словами, Генеральним прокурором Нью-Йорка?
Я начебто уявляв, що їх спіткала серйозніша доля.
Можливо, навіть в тому числі те, що не можна було виплатити просто за допомогою грошей.
О, і інше, що вони зробили, це те, що коли було очевидно, що є користувачі, чиї паролі були під загрозою... тому що вони були глибоко зламаними через те, що це була двозначна сіль, що означає, що ви можете створити 100 попередньо обчислених словників …
ДУГ. Це поширене?
Просто двозначне значення солі здається дуже низьким!
КАЧКА. Ні, зазвичай потрібно 128 біт (16 байт) або навіть 32 байти.
Грубо кажучи, це не має істотного значення для швидкості злому, тому що (залежно від розміру блоку хешу) ви додаєте лише дві додаткові цифри до суміші.
Тож фактичне обчислення хешів навіть не займає більше часу.
Ще в 2016 році люди, які використовували комп’ютери з вісьмома графічними процесорами, які запускали програму «hashcat», я думаю, могли виконувати 200 мільярдів MD5 за секунду.
Тоді назад! (Зараз ця сума десь у п’ять-десять разів більша.)
Так дуже, дуже видатно зламати.
Але замість того, щоб зв’язатися з людьми й сказати: «Ваш пароль під загрозою, тому що ми злили хеш, і він був не дуже добрим, ви повинні його змінити», [СМІХ] вони просто сказали…
…це були дуже дурні слова, чи не так?
ДУГ. «Ваш пароль має низький рівень безпеки та може бути під загрозою. Змініть свій пароль для входу».
А потім вони змінили його на: «Ваш пароль не оновлювався понад 365 днів. Для вашого захисту оновіть його зараз».
КАЧКА. Так, «Ваш пароль має низький рівень безпеки…»
ДУГ. «ЗА НАС!»
КАЧКА. Це не просто зневага, чи не так?
На моїх очах це означає звинувачення жертви на кордоні або через нього.
У всякому разі, це не здавалося мені сильним стимулом для компаній, які не хочуть діяти правильно.
ДУГ. Гаразд, пишіть у коментарях, ми хотіли б почути вашу думку!
Ця стаття називається: Модний бренд SHEIN оштрафований на 1.9 мільйона доларів за брехню про витік даних.
І до іншої неприємної історії…
..,ще один день, ще одна застереження про обробку ненадійного введення!
КАЧКА. Аааа, я знаю, що це буде, Дуг.
ось Текст Apache Commons помилка, чи не так?
ДУГ. Це є!
КАЧКА. Щоб було зрозуміло, це не веб-сервер Apache.
Apache — це основа програмного забезпечення, яка має цілу низку продуктів і безкоштовних інструментів… і вони справді дуже корисні, і вони мають відкритий код, і вони чудові.
Але у нас була частина екосистеми Java (веб-сервер Apache httpd не написано на Java, тож давайте проігноруємо це наразі – не плутайте Apache з веб-сервером Apache)…
…минулого року ми мали три подібні проблеми з бібліотеками Java Apache.
У нас було ганебний Log4Shell помилка у так званій бібліотеці Log4J (Logging for Java).
Потім у нас була подібна помилка, що це було?… Конфігурація Apache Commons, який є набором інструментів для керування всіма видами конфігураційних файлів, скажімо, файлів INI та файлів XML, у стандартизований спосіб.
А тепер у бібліотеці ще нижчого рівня під назвою Текст Apache Commons.
Помилка в тій речі, яка в Java зазвичай відома як «інтерполяція рядків».
Програмісти іншими мовами… якщо ви використовуєте такі речі, як PowerShell або Bash, ви будете знати, що це «заміна рядка».
Тут ви можете чарівним чином перетворити речення, наповнене символами, на свого роду міні-програму.
Якщо ви коли-небудь використовували оболонку Bash, ви дізнаєтеся про це, якщо введете команду echo USER, він повторить або роздрукує рядок USER і ви побачите на екрані USER.
Але якщо виконати команду echo $USER, то це не означає відтворення знака долара, за яким слідує USER.
Це означає: «Замініть цей магічний рядок іменем користувача, який зараз увійшов у систему, і надрукуйте його замість цього».
Тож на моєму комп’ютері, якщо ви echo USER, Ви отримуєте USER, але якщо ви echo $USER, ви розумієте слово duck замість цього.
І деякі заміни рядків Java йдуть набагато, набагато, набагато далі, ніж це... як будь-хто, хто пережив радість виправлення Log4Shell Різдво 2021 запам’ятається!
Існують різноманітні маленькі розумні міні-програми, які ви можете вставляти в рядки, які потім обробляєте за допомогою цієї бібліотеки обробки рядків.
Отже, є очевидне: щоб прочитати ім’я користувача, ви вводите ${env: (для «читати середовище») user}…ви використовуєте звивисті дужки.
Це знак долара; хвиляста дужка; якась магічна команда; хвиляста дужка, яка є чарівною частиною.
І, на жаль, у цій бібліотеці була неконтрольована доступність за замовчуванням чарівних команд, таких як: ${url:...}, що дозволяє вам обманом змусити бібліотеку обробки рядків вийти в Інтернет, завантажити щось і роздрукувати те, що вона отримує з веб-сервера замість рядка ${url:...}.
Отже, хоча це не зовсім ін’єкція коду, тому що це лише необроблений HTML, це все одно означає, що ви можете помістити всіляке сміття та дивні та чудові ненадійні речі у файли журналів користувачів або їхні веб-сторінки.
Там в ${dns:...}, що означає, що ви можете обдурити чийсь сервер, який може бути сервером бізнес-логіки в мережі…
…ви можете обманом змусити його виконати DNS-пошук іменованого сервера.
І якщо ви володієте цим доменом, як шахрай, ви також володієте та керуєте DNS-сервером, який стосується цього домену.
Отже, коли відбувається пошук DNS, здогадайтеся що?
Цей пошук закінчується *на вашому сервері* і може допомогти вам визначити нутрощі чиєїсь бізнес-мережі… не лише їхній веб-сервер, а й щось глибше в мережі.
І нарешті, що найбільше тривожить, принаймні зі старішими версіями Java було... [СМІЄТЬСЯ] ти знаєш, що нас чекає, Дуг!
Команда ${script:...}.
«Гей, дозвольте мені надати вам трохи JavaScript і, будь ласка, запустіть його для мене».
І ви, напевно, думаєте: «Що?! Почекайте, це помилка в Java. Яке відношення до цього має JavaScript?»
Що ж, до недавнього часу… і пам’ятайте, що багато компаній досі використовують старіші версії Java Development Kit, які все ще підтримуються.
Донедавна Java… [СМІЄТЬСЯ] (знову ж таки, я не повинен сміятися)… Java Development Kit містив у собі повноцінний робочий двигун JavaScript, написаний на Java.
Між Java та JavaScript немає жодного зв’язку, окрім чотирьох літер «Java», але ви можете поставити ${script:javascript:...}і запустіть код за вашим вибором.
І, що дратує, одна з речей, які ви можете зробити в механізмі JavaScript у середовищі виконання Java, це сказати механізму JavaScript: «Привіт, я хочу запустити цю штуку через Java».
Тож ви можете змусити Java викликати *в* JavaScript, а JavaScript, по суті, викликати *вихід* у Java.
І тоді з Java ви можете піти: «Гей, запусти цю системну команду».
І якщо ви перейдете до статті Naked Security, ви побачите, що я використовую команду підозрюваного, щоб [ВИБАЧУЄТЬСЯ КАШЛЯТИ], Дуг!
Звичайно, калькулятор HP RPN, тому що це я виконую калькулятор...
ДУГ. Це має бути, так!
КАЧКА. …це HP-10.
Тож хоча ризик не такий відмінно підходить як Log4Shell, ви не можете виключити це, якщо використовуєте цю бібліотеку.
У статті Naked Security у нас є деякі інструкції щодо того, як дізнатися, чи є у вас бібліотека Commons Text… і ви можете мати її, як багато людей робили з Log4J, не усвідомлюючи цього, тому що вона могла прийти разом із програмою.
У нас також є зразок коду, який можна використати, щоб перевірити, чи спрацювали будь-які заходи пом’якшення, які ви застосували.
ДУГ. Гаразд, переходьте до Naked Security.
Ця стаття називається: Небезпечна діра в тексті Apache Commons – як Log4Shell знову.
І ми завершуємо запитанням: «Що станеться, якщо зашифровані повідомлення лише на кшталт зашифровані?»
КАЧКА. Ах, ви маєте на увазі те, що, як я припускаю, було офіційним звітом про помилку, поданим нещодавно дослідниками кібербезпеки з фінської компанії WithSecure…
…про вбудоване шифрування, яке пропонує Microsoft Office, точніше, функцію під назвою Office 365 Message Encryption або OME.
Дуже зручно мати таку маленьку функцію, вбудовану в додаток.
ДУГ. Так, це звучить просто і зручно!
КАЧКА. Так, за винятком... о, боже!
Здається, причиною цього є зворотна сумісність, Дуг…
…що корпорація Майкрософт хоче, щоб ця функція працювала навіть для людей, які все ще використовують Office 2010, у якому вбудовано досить старі можливості дешифрування.
По суті, здається, що цей процес OME для шифрування файлу використовує AES, який є останнім і найкращим стандартизованим NIST алгоритмом шифрування.
Але він використовує AES у неправильному так званому режимі шифрування.
Він використовує те, що відомо як ECB, або електронна кодова книга Режим.
І це просто спосіб, яким ви називаєте необроблений AES.
AES шифрує 16 байтів за раз… до речі, він шифрує 16 байт незалежно від того, використовуєте ви AES-128, AES-192 або AES-256.
Не плутайте розмір блоку та розмір ключа – розмір блоку, кількість байтів, які збиваються та шифруються кожного разу, коли ви повертаєте рукоятку криптографічного механізму, завжди становить 128 біс, або 16 байт.
У будь-якому разі, у режимі електронної кодової книги ви просто берете 16 байт вхідних даних, один раз обертаєте рукоятку під заданим ключем шифрування та отримуєте вихідні дані, необроблені та необроблені.
І проблема полягає в тому, що кожного разу, коли ви отримуєте той самий вхід у документ, вирівняний за тією самою 16-байтною межею…
…ви отримуєте точно такі самі дані на виході.
Таким чином, закономірності у вхідних даних виявляються у вихідних даних, як і в a Цезар шифр або a Віженер шифр:
Тепер це не означає, що ви можете зламати шифр, тому що ви все ще маєте справу з фрагментами, ширина яких становить 128 біт.
Проблема з режимом електронної кодової книги виникає саме тому, що він просочує шаблони з відкритого тексту в зашифрований текст.
Атаки за допомогою відомого відкритого тексту можливі, якщо ви знаєте, що певний рядок введення шифрується певним чином, і для повторюваного тексту в документі (наприклад, заголовок або назва компанії) ці шаблони відображаються.
І хоча про це було повідомлено як про помилку Microsoft, очевидно, компанія вирішила, що не збирається її виправляти, оскільки вона «не відповідає планці» для виправлення безпеки.
І, здається, причина в тому: «Ну, ми б зробили ведмежу послугу людям, які все ще використовують Office 2010».
ДУГ. Уф!
КАЧКА. Так!
ДУГ. І на цій ноті у нас є коментар читача на цей тиждень до цієї історії.
Частково коментарі Naked Security Reader Bill:
Це нагадує мені «шпаргалки», які зламники кодів з Блетчлі Парку використовували під час Другої світової війни. Нацисти часто закінчували повідомлення тією самою кінцевою фразою, і таким чином зловмисники могли працювати на основі цього кінцевого набору зашифрованих символів, знаючи, що вони ймовірно представляють. Прикро, що через 80 років ми, здається, повторюємо ті самі помилки.
КАЧКА. 80 років!
Так, це справді розчаровує.
Наскільки я розумію, інші шпаргалки, якими могли скористатися зламники кодів союзників, зокрема для текстів, зашифрованих нацистами, також стосувалися *початку* документа.
Я вважаю, що це була річ для німецьких прогнозів погоди… існував релігійний формат, якого вони дотримувалися, щоб переконатися, що вони надають прогнози погоди точно.
А прогнози погоди, як ви можете собі уявити, під час війни, яка передбачає авіабомбардування вночі, були справді важливими речами!
Здається, вони дотримувалися дуже, дуже суворої моделі, яку іноді можна було використовувати як те, що ви можете назвати трохи криптографічним «розпушувачем», або клином, який ви могли використовувати для проникнення в першу чергу.
І це, як зазначає Білл... саме тому AES або будь-який шифр у режимі електронної кодової книги не є задовільним для шифрування цілих документів!
ДУГ. Гаразд, дякую, що надіслав це, Білле.
Якщо у вас є цікава історія, коментар або запитання, яке ви хотіли б надіслати, ми будемо раді прочитати це в подкасті.
Ви можете надіслати нам електронний лист на tips@sophos.com, ви можете прокоментувати будь-яку з наших статей або зв’язатися з нами в соціальних мережах: @nakedsecurity.
Це наше шоу на сьогодні; дуже дякую, що вислухали.
Для Пола Дакліна я Дуг Аамот, нагадую вам до наступного разу…
ОБИМ. Будьте в безпеці!
- blockchain
- coingenius
- крипто-валютні кошельки
- криптообмін
- криптографія
- кібер-безпеки
- кіберзлочинці
- Кібербезпека
- Дані порушення
- втрати даних
- управління внутрішньої безпеки
- цифрові гаманці
- брандмауер
- Kaspersky
- шкідливих програм
- Макафі
- Microsoft
- Гола безпека
- Голий подкаст безпеки
- NexBLOC
- Office
- патч вівторок
- plato
- платон ai
- Інформація про дані Платона
- Гра Платон
- PlatoData
- platogaming
- Подкаст
- недоторканність приватного життя
- VPN
- безпеки веб-сайтів
- зефірнет
- зум
![S3 Ep118: Вгадайте свій пароль? Не треба, якщо його вже вкрали! [Аудіо + текст]](https://platoaistream.net/wp-content/uploads/2023/01/s3-ep118-guess-your-password-no-need-if-its-stolen-already-audio-text-360x188.png)
![S3 Ep122: Перестаньте називати кожне порушення «складним»! [Аудіо + текст]](https://platoaistream.net/wp-content/uploads/2023/02/s3-ep122-stop-calling-every-breach-sophisticated-audio-text-360x174.png)
