חיתוך הייפ של חדשות אבטחת הסייבר
עם פול דאקלין וצ'סטר ויסנייבסקי
מוזיקת אינטרו ואאוטרו מאת אדית מדג'.
לחץ וגרור על גלי הקול למטה כדי לדלג לכל נקודה. אתה יכול גם להקשיב ישירות בסאונדקלאוד.
אתה יכול להאזין לנו ב Soundcloud, Apple Podcasts, Google Podcasts, Spotify, Stitcher ובכל מקום שבו נמצאים פודקאסטים טובים. או פשוט זרוק את כתובת האתר של הזנת ה-RSS שלנו לתוך הפודקטצ'ר האהוב עליך.
קרא את התמליל
[מודם מוזיקלי]
ברווז. שלום לכולם.
ברוכים הבאים לפרק נוסף של הפודקאסט של Naked Security.
אני פול דאקלין, ואליי מצטרף חברי ועמיתי צ'סטר ויסנייבסקי מוונקובר.
שלום, צ'ט!
ח. שלום ברווז.
טוב שחזרתי לפודקאסט.
ברווז. למרבה הצער, הסיבה שחזרת לאחד הספציפי הזה היא שלדאג ומשפחתו יש את העומס המפחיד...
..יש להם התפרצות נגיף קורונה בביתם.
תודה רבה לך על עליית מדרגה בהתראה קצרה מאוד, ממש היום אחר הצהריים: "צ'ט, אתה יכול לקפוץ?"
אז בואו נעבור ישר לנושא הראשון של היום, שהוא משהו שאתה ואני דיברנו עליו בחלקו פרק מיני פודקאסט עשינו בשבוע שעבר, וזו סוגיית הפרת Uber, הפרת Rockstar וקבוצת פשע הסייבר המסתורית הזו הידועה בשם LAPSUS$.
איפה אנחנו עכשיו עם הסאגה המתמשכת הזו?
ח. ובכן, אני חושב שהתשובה היא שאנחנו לא יודעים, אבל בהחלט היו דברים שאגיד שנתפסו כהתפתחויות, כלומר...
...לא שמעתי על פריצות נוספות לאחר הפריצה של Rockstar Games או הפריצה Take-Two Interactive שהתרחשה לפני קצת יותר משבוע, נכון למועד ההקלטה הזו.
אדם קטין בממלכה המאוחדת נעצר, וכמה אנשים שרטטו כמה קווים מקווקוים ואמרו שהוא סוג של נקודת החוליה של קבוצת LAPSUS$, ושאדם זה עצור על ידי משטרת בריטניה.
אבל בגלל שהם קטינים, אני לא בטוח שאנחנו באמת יודעים הרבה על משהו.
ברווז. כן, הוקפצו להרבה מסקנות!
חלקם אולי סבירים, אבל ראיתי הרבה מאמרים שדיברו כאילו עובדות נקבעו כשלא.
האדם שנעצר היה בן 17 מאוקספורדשייר באנגליה, וזה בדיוק אותו גיל ומיקום של האדם שנעצר במרץ שהיה קשור לכאורה ל-LAPSUS$.
אבל אנחנו עדיין לא יודעים אם יש בזה אמת, כי המקור העיקרי להצבת אדם LAPSUS$ באוקספורדשייר הוא איזה פושע סייבר לא ידוע אחר שהם הסתכסכו איתו, שעשה להם דוקס באינטרנט:
אז אני חושב שעלינו להיות, כפי שאתה אומר, מאוד זהירים מלטעון כעובדות דברים שאולי בהחלט נכונים אבל אולי לא נכונים...
... ולמעשה לא ממש משפיעים על אמצעי הזהירות שאתה צריך לנקוט בכל מקרה.
ח. לא, ועוד דקה נדבר על זה באחד מהסיפורים האחרים.
אבל כשהחום מתגבר אחרי אחת מההתקפות הגדולות האלה, הרבה פעמים אנשים הולכים לקרקע בין אם מישהו נעצר או לא.
ובהחלט ראינו את זה קודם - אני חושב שבפודקאסט השני הזכרנו את קבוצת הפריצה Lulzsec שהיתה מפורסמת למדי לפני עשר שנים בערך על ביצוע דומים... "פריצות פעלולים", הייתי קורא להם - רק דברים כדי להביך חברות ולפרסם חבורה של מידע עליהם בפומבי, גם אם הם אולי לא התכוונו לסחוט אותם או לעשות פשע אחר כדי להשיג יתרון כספי לעצמם.
כמה פעמים, חברים שונים בקבוצה ההיא... חבר אחד היה נעצר, אבל ברור שהיו, אני חושב, בסופו של דבר, חמישה או שישה חברים שונים בקבוצה הזו, וכולם יפסיקו לפרוץ לכמה שבועות.
כי, כמובן, המשטרה פתאום התעניינה מאוד.
אז זה לא יוצא דופן.
העובדה היא שכל הארגונים האלה נכנעו להנדסה חברתית בדרך כלשהי, למעט... אני לא אגיד עם "היוצא מן הכלל", כי שוב, אנחנו לא יודעים - אנחנו לא באמת מבינים איך הם נכנסו משחקי רוקסטאר.
אבל אני חושב שזו הזדמנות לחזור ולסקור כיצד והיכן אתה משתמש באימות רב-גורמי [MFA] ואולי להגביר את החוגה לגבי האופן שבו היית יכול לפרוס אותו.
במקרה של Uber, הם השתמשו במערכת הודעות דחיפה שמציגה הנחיה בטלפון שלך שאומרת, "מישהו מנסה להתחבר לפורטל שלנו. האם אתה רוצה לאפשר או לחסום?"
וזה פשוט כמו לחיצה על הכפתור הירוק הגדול שאומר [Allow].
זה נשמע כאילו, במקרה הזה, הם עייפו מישהו להתעצבן כל כך לאחר שקיבלו 700 מההנחיות האלה בטלפון שלהם שהם הרגע אמרו [Allow] כדי שזה יפסיק לקרות.
כתבתי מאמר בבלוג של Sophos News שדן בכמה מהלקחים השונים שניתן לקחת מהפסידה של אובר, ומה אובר עשויה להיות מסוגלת ליישם כדי למנוע את אותם דברים להתרחש שוב:
ברווז. לרוע המזל, אני חושב שהסיבה שהרבה חברות הולכות על זה, "טוב, אתה לא צריך להכניס קוד בן שש ספרות, אתה פשוט מקיש על הכפתור" היא שזו הדרך היחידה שהן יכלו לגרום לעובדים להיות מוכנים מספיק לרצות לעשות 2FA בכלל.
מה שנראה קצת חבל…
ח. ובכן, הדרך בה אנו מבקשים ממך לעשות את זה היום מנצחת את האסימון RSA על מחזיק המפתחות שלך כמו שהיינו עושים בעבר.
ברווז. אחד לכל חשבון! [צוחק]
ח. כן, אני לא מתגעגע לסחוב את השלט הקטן על מחזיק המפתחות שלי. [צוחק]
אני חושב שיש לי אחד כאן איפשהו שכתוב עליו "מחבט מת" על המסך, אבל הם לא כתבו "מת" עם A.
זה היה dEdbAt...
ברווז. כן, זה רק שש ספרות, נכון?
ח. בְּדִיוּק. [צוחק]
אבל דברים השתפרו, ויש הרבה כלים מתוחכמים מאוד מרובי גורמים בחוץ עכשיו.
אני תמיד ממליץ להשתמש באסימוני FIDO במידת האפשר.
אבל מעבר לכך, אפילו במערכות תוכנה, ניתן לעצב את הדברים האלה כך שיפעלו בדרכים שונות עבור יישומים שונים.
לפעמים, אולי אתה פשוט צריך ללחוץ [OK] כי זה לא משהו סופר רגיש.
אבל כשאתה עושה את הדבר הרגיש, אולי אתה צריך להזין קוד.
ולפעמים הקוד נכנס לדפדפן, או לפעמים הקוד נכנס לטלפון שלך.
אבל כל זה... מעולם לא ביליתי יותר מ-10 שניות בהרשאה לעצמי להיכנס למשהו כשמולטי-גורמים צץ, ואני יכול להקדיש 10 שניות לבטיחות ולביטחון לא רק של הנתונים של החברה שלי, אלא של העובדים שלנו והלקוחות שלנו נתונים.
ברווז. לא יכולתי להסכים יותר, צ'סטר!
הסיפור הבא שלנו נוגע לטלקו גדול מאוד באוסטרליה בשם Optus:
עכשיו, הם נפרצו.
זו לא הייתה פריצה של 2FA - זה אולי מה שאפשר לכנות "פרי תלוי נמוך יותר".
אבל ברקע, היו הרבה קשקושים כשרשויות אכיפת החוק התערבו, לא?
אז... ספר לנו מה קרה שם, למיטב ידיעתך.
ח. בדיוק - אני לא קורא על זה בצורה מפורטת, כי אנחנו לא מעורבים בפיגוע.
ברווז. ואני חושב שהם עדיין חוקרים, ברור, לא?
כי זה היה, מה, מיליוני תקליטים?
ח. כן.
אני לא יודע את המספר המדויק של רשומות שנגנבו, אבל זה השפיע על למעלה מ-9 מיליון לקוחות, לפי Optus.
וזה יכול להיות בגלל שהם לא ממש בטוחים לאיזה מידע של לקוחות אולי ניגשו.
וזה היה נתונים רגישים, למרבה הצער.
הוא כלל שמות, כתובות, כתובות דואר אלקטרוני, תאריכי לידה ומסמכי זהות, שהם ככל הנראה מספרי דרכון ו/או רישיונות נהיגה שהונפקו באוסטרליה.
אז זה די טוב עבור מישהו שמחפש לעשות גניבת זהות - זה לא מצב טוב.
העצה לקורבנות שמקבלים הודעה מאופטוס היא שאם הם השתמשו בדרכון שלהם, הם צריכים להחליף אותו.
זה לא דבר זול לעשות!
ולמרבה הצער, במקרה זה, העבריין נטען כי השיג את הנתונים באמצעות נקודת קצה לא מאומתת של API, שמשמעותה בעצם ממשק פרוגרמטי מול האינטרנט שלא דרש אפילו סיסמה...
...ממשק שאפשר לו לעבור באופן סדרתי על כל רשומות הלקוחות, ולהוריד ולשאוב את כל הנתונים האלה.
ברווז. אז זה כמו שאני הולך example.com/userrecord/000001 ואני מקבל משהו ואני חושב, "הו, זה מעניין."
ואז אני הולך, -2, -3, -4, 5, -6... והנה כולם.
ח. בהחלט.
ואנחנו דנו, כהכנה לפודקאסט, איך סוג זה הדהד את העבר, כאשר האקר המכונה Weev ביצע מתקפה דומה נגד AT&T במהלך השקת האייפון המקורי, ומונה מידע אישי של ידוענים רבים מתוך AT&T API נקודת קצה.
כנראה, לא תמיד אנחנו לומדים לקחים, ואנחנו עושים שוב את אותן הטעויות...
ברווז. כי וויב, באופן מפורסם, או לשמצה, הואשם על כך, והורשע, ונכנס לכלא...
...ואז זה היה התהפך בערעור, לא?
אני חושב שבית המשפט גיבש דעה שלמרות שייתכן שהוא עבר על רוח החוק, אני חושב שהורגש שהוא לא עשה שום דבר שבאמת כרוך ב"פריצה וכניסה" דיגיטלית כלשהי.
ח. ובכן, החוק המדויק בארצות הברית, ה חוק הונאה והתעללות במחשבים, הוא מאוד ספציפי לגבי העובדה שאתה מפר את החוק הזה כאשר אתה חורג מסמכותך או שיש לך גישה לא מורשית למערכת.
וקשה לומר שזה לא מורשה כשהוא פתוח לרווחה לעולם!
ברווז. כעת הבנתי בפרשת Optus היא שהאדם שאמור לקבל את הנתונים נראה כאילו הביע עניין למכור אותם...
...לפחות עד שהמשטרה הפדרלית האוסטרלית [AFP] נכנסה.
האם זה נכון?
ח. כן. הוא פרסם בפורום אפל שוק שהציע את התקליטים, שלטענתו היו על 11.2 מיליון קורבנות, והציע אותם למכירה תמורת 1,000,000 דולר.
ובכן, אני צריך לומר מיליון דולר לא אמיתיים... מונרו בשווי מיליון אחד.
ברור שמונרו הוא אסימון פרטיות שנמצא בשימוש נפוץ על ידי פושעים כדי להימנע מזיהוי כאשר אתה משלם את הכופר או מבצע רכישה מהם.
תוך 72 שעות, כאשר סוכנות הידיעות הצרפתית החלה בחקירה והצהירה פומבית, נראה שהוא ביטל את הצעתו למכור את הנתונים.
אז אולי הוא ירד לקרקע, כפי שאמרתי בסיפור הקודם, בתקווה שאולי ה-AFP לא ימצא אותו.
אבל אני חושד שכל פירורי העוגיות הדיגיטליות שהוא השאיר מאחור, ה-AFP לוהט על השביל.
ברווז. אז אם נתעלם מהנתונים שנעלמו ומהפליליות של הגישה אליהם, מה מוסר ההשכל של הסיפור לאנשים המספקים ממשקי API של RESTful, ממשקי API לגישה מבוססי אינטרנט, לנתוני לקוחות?
ח. ובכן, אני לא מומחה לתכנות, אבל נראה שאיזושהי אימות מסודר... [צחוק]
...כדי להבטיח שאנשים ניגשים לרשומת הלקוחות שלהם רק אם יש סיבה לכך שיהיה נגיש לציבור.
בנוסף לכך, נראה שמספר לא מבוטל של רשומות נגנבו לפני שהבחינו בדבר.
ולא שונה ממה שאנחנו צריכים לפקח, נניח, על הגבלת קצב האימות שלנו מול ה-VPNs שלנו או אפליקציות האינטרנט שלנו כדי להבטיח שמישהו לא מבצע התקפת כוח גס נגד שירותי האימות שלנו...
...היית מקווה שברגע שתשאל מיליון רשומות דרך שירות שנראה כאילו נועד בשבילך לחפש אחת, אולי יש צורך במעקב אחר!
ברווז. בהחלט.
זה לקח שכולנו יכולנו ללמוד עוד מהפריצה של צ'לסי מאנינג, לא, לאן היא העתקה, מה זה היה?
30 שנה של כבלים של משרד החוץ שהועתקו לתקליטור... עם אוזניות, מעמידים פנים שזה תקליטור מוזיקה?
ח. בריטני ספירס, אם אני זוכר.
ברווז. ובכן, זה היה כתוב בתקליטור, לא?
ח. כן. [צוחק]
ברווז. אז זה נתן סיבה למה זה היה תקליטור שניתן לכתיבה מחדש: "ובכן, פשוט שמתי עליו מוזיקה."
ובשום שלב לא נשמע שום פעמון אזעקה.
אתה יכול לדמיין, אולי, אם תעתיק את הנתונים של החודש הראשון, ובכן, זה יכול להיות בסדר.
שנה, עשור אולי?
אבל 30 שנה?
אפשר לקוות שעד אז אזעקת העשן תצלצל ממש חזק.
ח. כן.
"גיבויים לא מורשים", אתה יכול לקרוא להם, אני מניח.
ברווז. כן…
... וזו, כמובן, בעיה ענקית בתוכנת הכופר המודרנית, לא, שם הרבה מהנוכלים מחלצים נתונים מראש כדי לתת להם מינוף נוסף לסחיטה?
אז כשאתה חוזר ואומר, "אני לא צריך את מפתח הפענוח שלך, יש לי גיבויים," הם אומרים, "כן, אבל יש לנו את הנתונים שלך, אז נשפוך אותם אם לא תיתן לנו הכסף."
בתיאוריה, הייתם מקווים שניתן יהיה לזהות את העובדה שכל הנתונים שלכם מגובים אך לא פעלו לפי הליך הגיבוי הרגיל בענן שבו אתם משתמשים.
קל להגיד את זה... אבל זה מסוג הדברים שאתה צריך לשים לב אליהם.
ח. היה דיווח השבוע שלמעשה, מכיוון שרוחב הפס הפך להיות כל כך פורה, אחת מקבוצות הכופר כבר לא מצפינה.
הם מוציאים את כל הנתונים שלך מהרשת שלך, בדיוק כמו שקבוצות הסחיטה עשו במשך זמן מה, אבל אז הם מוחקים את המערכות שלך במקום להצפין אותם ואומרים, "לא, לא, לא, אנחנו ניתן לך את נתונים בחזרה כשאתה משלם."
ברווז. זה "Exmatter", לא?
ח. כן.
ברווז. "למה להתעסק עם כל המורכבות של קריפטוגרפיה של עקומה אליפטית ו-AES?
יש כל כך הרבה רוחב פס שם בחוץ שבמקום [לצחוק]... הו, יקירי, אני לא צריך לצחוק... במקום לומר, "שלם לנו את הכסף ונשלח לך את מפתח הפענוח של 16 בתים", זה "שלח לנו הכסף ואנחנו נחזיר לך את הקבצים."
ח. זה מדגיש שוב איך אנחנו צריכים לחפש את הכלים וההתנהגויות של מישהו שעושה דברים זדוניים ברשת שלנו, מכיוון שהוא עשוי להיות מורשה לעשות כמה דברים (כמו צ'לסי מאנינג), או שהם עשויים להיות דברים פתוחים, לא מאומתים בכוונה. יש מטרה כלשהי.
אבל אנחנו צריכים לעקוב אחר התנהגות ההתעללות שלהם, כי אנחנו לא יכולים רק לעקוב אחר ההצפנה.
אנחנו לא יכולים פשוט לצפות שמישהו מנחש סיסמה.
אנחנו צריכים לשים לב לפעילויות הגדולות יותר האלה, הדפוסים האלה, המעידים על משהו זדוני שמתרחש.
ברווז. בהחלט.
כפי שאני חושב שאמרת ב מיני סודה שעשינו, זה כבר לא מספיק רק לחכות להתראות שיופיעו בלוח המחוונים שלך כדי לומר שמשהו רע קרה.
אתה צריך להיות מודע לסוג ההתנהגויות שמתרחשות ברשת שלך שאולי עדיין אינן זדוניות, אך עדיין מהוות סימן טוב שמשהו רע עומד לקרות, כי, כמו תמיד, מניעה היא הרבה יותר טובה מאשר ריפוי:
צ'סטר, אני רוצה לעבור לאייטם אחר - הסיפור הזה הוא משהו שכתבתי היום ב-Naked Security, פשוט כי אני עצמי התבלבלתי.
הניוזפיד שלי הומה בסיפורים על כך שלוואטסאפ יש יום אפס:
עם זאת, כשבדקתי את כל הסיפורים, נראה היה שלכולם יש מקור עיקרי משותף, שהיה ייעוץ אבטחה גנרי למדי מוואטסאפ עצמה החל מתחילת החודש.
הסכנה הברורה והנוכחת שכותרות החדשות גרמו לי להאמין...
...התברר כלא נכון עד כמה שיכולתי לראות.
ספר לנו מה קרה שם.
ח. אתה אומר, "יום אפס."
אני אומר, "הראה לי את הקורבנות. איפה הם?" [צחוק]
ברווז. ובכן, לפעמים אתה לא יכול לחשוף את זה, נכון?
ח. ובכן, במקרה כזה, היית אומר לנו את זה!
זהו נוהג נורמלי בתעשייה לחשיפת נקודות תורפה.
לעתים קרובות תראה, ביום שלישי, מיקרוסופט משמיעה הצהרה כגון, "ידוע שהפגיעות הזו נוצלה בטבע", כלומר מישהו שם בחוץ הבין את הפגם הזה, התחיל לתקוף אותו, ואז גילינו והלכנו חזרה ותיקן את זה.
*זה* יום אפס.
מציאת פגם בתוכנה שלא מנוצל, או שאין ראיות שנוצלו אי פעם, ותיקון יזום שלו נקרא "פרקטיקה הנדסית טובה", וזה משהו שכמעט כל התוכנה עושה.
למעשה, אני זוכר שהזכרת את העדכון האחרון של Firefox המתקן באופן יזום הרבה נקודות תורפה שצוות מוזילה למרבה המזל מתעד ומדווח בפומבי - אז אנחנו יודעים שהן תוקנו למרות שאיש בחוץ לא היה ידוע שאי פעם תוקף אותן.
ברווז. אני חושב שחשוב שנשמור אחורה את המילה "יום אפס" כדי לציין עד כמה הסכנה ברורה ונוכחת.
ולקרוא לכל דבר יום אפס כי זה יכול לגרום לביצוע קוד מרחוק מאבד את ההשפעה של מה שלדעתי הוא מונח שימושי מאוד.
האם היית מסכים עם זה?
ח. בהחלט.
זה לא כדי להפחית מהחשיבות של יישום העדכונים האלה, כמובן - בכל פעם שאתה רואה "ביצוע קוד מרחוק", מישהו עשוי כעת לחזור ולהבין כיצד לתקוף את הבאגים האלה ואת האנשים שלא עדכנו את האפליקציה שלהם.
אז זה עדיין דבר דחוף לוודא שאתה אכן מקבל את העדכון.
אבל בגלל האופי של יום אפס, הוא באמת ראוי לקדנציה משלו.
ברווז. כן.
הניסיון ליצור סיפורי יום אפס מדברים מעניינים וחשובים אבל לא בהכרח סכנה ברורה ונוכחת זה פשוט מבלבל.
במיוחד אם התיקון אכן יצא חודש לפני, ואתה מציג אותו כסיפור כאילו "זה קורה עכשיו".
כל מי שהולך לאייפון או לאנדרואיד שלו יגיד, "יש לי מספר גרסה הרבה לפני זה. מה קורה כאן?"
בלבול לא עוזר כשזה מגיע לניסיון לעשות את הדבר הנכון באבטחת סייבר.
ח. ואם אתה מוצא ליקוי אבטחה שיכול להיות יום אפס, אנא דווח על כך, במיוחד אם יש תוכנית פרס באגים המוצעת על ידי הארגון שמפתח את התוכנה.
ראיתי, היום אחר הצהריים, מישהו במהלך סוף השבוע גילה פגיעות ב-OpenSea, שהיא פלטפורמה למסחר באסימונים לא ניתנים לשינוי או NFT... שאני לא יכול להמליץ עליה לאף אחד, אבל מישהו מצא פגיעות שלא תוקנה שהייתה קריטית במכשיר שלהם. מערכת במהלך סוף השבוע, דיווחה על כך וקיבלה היום פרס באג של $100,000.
אז כדאי להיות מוסרי ולמסור את הדברים האלה כשאתה מגלה אותם, כדי למנוע מהם להפוך ליום אפס שבו מישהו אחר ימצא אותם.
ברווז. בהחלט.
אתה מגן על עצמך, אתה מגן על כולם, אתה עושה את הדבר הנכון מצד הספק... אך באמצעות גילוי נאות אתה כן מספק את אותה "מיני חרב דמוקלס" שמשמעותה ספקים לא אתיים, שבעבר עלולים לטאטא דיווחי באגים מתחת ל- שטיח, לא יכולים לעשות זאת כי הם יודעים שהם הולכים לצאת החוצה בסופו של דבר.
אז בעצם הם יכולים לעשות משהו בנידון עכשיו.
צ'סטר, בוא נעבור לנושא האחרון שלנו לשבוע זה, וזה הנושא של מה קורה לנתונים במכשירים כשאתה לא באמת רוצה אותם יותר.
והסיפור שאליו אני מתכוון הוא הקנס של 35,000,000 דולר שהוצא למורגן סטנלי על תקרית שחזרה עד 2016:
יש כמה היבטים לסיפור... זו קריאה מרתקת, למעשה, האופן שבו הכל התפתח, ומשך הזמן העצום שהנתונים הללו חיו, מרחפים במקומות לא ידועים באינטרנט.
אבל החלק העיקרי של הסיפור הוא שהיו להם... אני חושב שזה היה משהו כמו 4900 דיסקים קשיחים, כולל דיסקים שיוצאים ממערכים RAID, דיסקים של שרת עם נתוני לקוח.
"אנחנו לא רוצים את אלה יותר, אז נשלח אותם לחברה שתמחק אותם ואז תמכור אותם, כדי שנקבל קצת כסף בחזרה."
ובסופו של דבר, ייתכן שהחברה מחקה חלק מהם, אבל את חלקם הם פשוט שלחו למכירה באתר מכירות פומביות מבלי למחוק אותם כלל.
אנחנו ממשיכים לעשות את אותן טעויות ישנות!
ח. כן.
ההפרה הראשונה של HIPAA, אני מאמין, שנמצאה בארצות הברית - חקיקת שירותי הבריאות לגבי הגנה על מידע מטופל - הייתה עבור ערימות של דיסקים קשיחים בארון ניקיון שלא היו מוצפנים.
וזו מילת המפתח להתחיל בתהליך של מה לעשות בנידון, נכון?
אין דיסק בעולם שלא צריך להיות מוצפן בדיסק מלא בשלב זה.
כל אייפון קיים מאז שאני זוכר את עצמי.
כמעט כל מכשירי האנדרואיד היו מאז שאני זוכר את עצמי, אלא אם אתה עדיין מרים טלפונים מבערים סיניים עם אנדרואיד 4 עליהם.
ומחשבים שולחניים, למרבה הצער, אינם מוצפנים בתדירות מספקת.
אבל הם לא צריכים להיות שונים מהדיסקים הקשיחים של השרת, אותם מערכי RAID.
הכל צריך להיות מוצפן מלכתחילה, כדי להפוך את השלב הראשון בתהליך לקשה, אם לא בלתי אפשרי...
... ואחריו השמדת המכשיר אם וכאשר יגיע לסוף חייו השימושיים.
ברווז. עבורי, אחד הדברים המרכזיים בסיפור הזה של מורגן סטנלי הוא שחמש שנים אחרי שזה התחיל... זה התחיל ב-2016, וביוני בשנה שעברה, דיסקים מאתר מכירות פומביות זה שנכנסו אל הלא נודע הגדול עדיין נרכשו בחזרה על ידי מורגן סטנלי.
הם עדיין לא נמחקו, לא מוצפנים (ברור), עבדו מצוין, ועם כל הנתונים שלמים.
בניגוד לאופניים שנזרקים לתעלה, או פסולת גינה שאתה מכניס לפח הקומפוסט, נתונים על דיסקים קשיחים עלולים לא להתקלקל, אולי במשך זמן רב מאוד.
אז אם יש לך ספק, שחרר אותו לגמרי, אה?
ח. כן, פחות או יותר.
למרבה הצער, זה המצב.
אני אוהב לראות דברים עושים שימוש חוזר ככל האפשר כדי להפחית את הפסולת האלקטרונית שלנו.
אבל אחסון נתונים הוא לא אחד מהדברים שבהם אנחנו יכולים להרשות לעצמנו לקחת את הסיכון הזה...
ברווז. זה יכול להיות חוסך נתונים אמיתי, לא רק עבורך, אלא עבור המעסיק שלך, והלקוחות שלך והרגולטור.
צ'סטר, תודה רבה לך על עליית מדרגה שוב בהתראה מאוד מאוד קצרה.
תודה רבה על ששיתפת אותנו בתובנות שלך, במיוחד המבט שלך בסיפור Optus ההוא.
וכרגיל, עד הפעם הבאה...
שניהם. הישאר בטוח.
[מודם מוזיקלי]
