SİBERGÜVENLİK HABERLERİ HYPE'Yİ KESMEK
Paul Ducklin ve Chester Wisniewski ile
Giriş ve çıkış müziği Edith Çamur.
Herhangi bir noktaya atlamak için aşağıdaki ses dalgalarına tıklayın ve sürükleyin. Ayrıca doğrudan dinle Soundcloud'da.
adresinden bizi dinleyebilirsiniz. Soundcloud, Apple Podcast'leri, Google Podcast'ler, Spotify, dikiş ve iyi podcast'lerin bulunduğu her yerde. Ya da sadece bırak RSS beslememizin URL'si en sevdiğiniz podcatcher'a girin.
TRANSKRİPTİ OKUYUN
[MÜZİKAL MODEM]
ÖRDEK. Herkese merhaba.
Naked Security podcast'inin başka bir bölümüne hoş geldiniz.
Ben Paul Ducklin ve bana Vancouver'dan arkadaşım ve meslektaşım Chester Wisniewski katıldı.
Merhaba Chet!
ÇET. Merhaba Ördek.
Podcast'e geri dönmek güzel.
ÖRDEK. Ne yazık ki, bu özel filme geri dönmenizin nedeni, Doug ve ailesinin korkunç bir pisliğe sahip olması...
..evlerinde bir koronavirüs salgını yaşıyorlar.
Bu öğleden sonra, çok kısa bir sürede harekete geçtiğiniz için çok teşekkür ederim: "Chet, atlayabilir misin?"
O halde doğrudan günün ilk konusuna geçelim, ki bu da sizin ve benim makalenin bir bölümünde tartıştığımız bir konu. mini podcast bölümü geçen hafta yaptık ve bu Uber ihlali, Rockstar ihlali ve LAPSUS$ olarak bilinen bu gizemli siber suç grubu meselesi.
Bu devam eden destanda şimdi neredeyiz?
ÇET. Bence cevap bilmiyoruz ama kesinlikle gelişmeler olarak algılandı diyeceğim şeyler oldu, ki bu…
…Bu kaydın yapıldığı tarih itibariyle, bir haftadan biraz daha uzun bir süre önce meydana gelen Rockstar Games hack'ten veya Take-Two Interactive hack'ten sonra başka hack'ler duymadım.
Birleşik Krallık'ta reşit olmayan bir kişi tutuklandı ve bazı insanlar onun LAPSUS$ grubunun temel taşı olduğunu ve bu kişinin Birleşik Krallık polisi tarafından gözaltına alındığını söyleyerek bazı noktalı çizgiler çizdi.
Ama onlar reşit olmadığı için pek bir şey bildiğimizden emin değilim.
ÖRDEK. Evet, atlanan birçok sonuç vardı!
Bazıları makul olabilir, ancak gerçekler henüz ortaya çıkmamışken sanki gerçekler ortaya çıkmış gibi konuşan birçok makale gördüm.
Tutuklanan kişi İngiltere'nin Oxfordshire bölgesinden 17 yaşında bir çocuktu ve bu, Mart ayında tutuklanan ve LAPSUS$ ile bağlantılı olduğu iddia edilen kişiyle tam olarak aynı yaş ve yerdeydi.
Ancak yine de bunda bir gerçek olup olmadığını bilmiyoruz, çünkü bir LAPSUS$ kişisini Oxfordshire'a yerleştirmenin ana kaynağı, onları internette doxx'a sokan başka bir bilinmeyen siber suçludur:
Bu yüzden, dediğiniz gibi, doğru olabilecek ama doğru olmayabilecek şeyleri gerçekmiş gibi iddia ederken çok dikkatli olmamız gerektiğini düşünüyorum…
…ve aslında almanız gereken önlemleri gerçekten etkilemez.
ÇET. Hayır, bunu diğer hikayelerden birinde birazdan tekrar konuşacağız.
Ancak bu büyük saldırılardan birinden sonra sıcaklık yükseldiğinde, çoğu zaman tutuklanmış olsun ya da olmasın insanlar yere düşer.
Ve bunu kesinlikle daha önce görmüştük – sanırım diğer podcast'te, on yıl kadar önce benzer şeyler yapmakla ünlü Lulzsec hack grubundan bahsetmiştik… “stunt hacks” derdim onlara – sadece şirketleri utandıracak ve yayınlayacak şeyler. Kendileri için herhangi bir mali avantaj elde etmek için onları şantaj yapmak veya başka bir suç işlemek niyetinde olmasalar bile, onlar hakkında halka açık bir sürü bilgi.
Birkaç kez, o grubun farklı üyeleri… bir üye tutuklanacaktı, ama bence, sonunda, o grubun beş veya altı farklı üyesi vardı ve hepsi birkaç hafta boyunca hacklemeyi bırakacaktı.
Çünkü tabii ki polis bir anda çok ilgilendi.
Yani bu olağandışı değil.
Gerçek şu ki, tüm bu kuruluşlar bir şekilde sosyal mühendisliğe yenik düştüler, istisna dışında… “İstisna” demeyeceğim çünkü yine bilmiyoruz - işin içine nasıl girdiklerini gerçekten anlamıyoruz. Rockstar oyunları.
Ancak bence bu, geri dönüp çok faktörlü kimlik doğrulamayı [MFA] nasıl ve nerede kullandığınızı gözden geçirmek ve belki de onu nasıl dağıtmış olabileceğiniz konusunda çevirmeyi açmak için bir fırsat.
Uber örneğinde, telefonunuzda "Birisi portalımıza bağlanmaya çalışıyor. İzin Vermek mi Engellemek mi İstiyorsunuz?”
Ve yazan büyük yeşil düğmeye dokunmak kadar basit [Allow].
Görünüşe göre, bu durumda, telefonlarında bu istemlerden 700 tanesini aldıktan sonra, az önce söyledikleri kadar sinirlenmesi için birini yormuşlar. [Allow] olmasını engellemek için.
Sophos News blogunda, Uber'in gecikmesinden alınabilecek farklı derslerden birkaçını ve aynı şeylerin tekrar olmasını önlemek için Uber'in uygulayabileceklerini tartışan bir yazı yazdım:
ÖRDEK. Ne yazık ki, birçok şirketin bunu benimsemesinin nedeni, "Peki, altı haneli bir kod girmenize gerek yok, sadece düğmeye basmanız yeterli" diye düşünüyorum, çalışanları istekli kılabilmelerinin tek yolu bu. 2FA yapmak istemek için yeterli.
Bu biraz üzücü gibi görünüyor…
ÇET. Pekala, bugün sizden bunu yapmanızı isteme şeklimiz, eskiden yaptığımız gibi anahtarlığınızda bir RSA belirteci taşımanın çok ötesinde.
ÖRDEK. Her hesap için bir tane! [GÜLER]
ÇET. Evet, küçük anahtarlığı anahtarlığımda taşımayı özlemiyorum. [GÜLER]
Sanırım buralarda bir yerde ekranda "Ölü yarasa" yazan bir tane var ama "ölü" harfini A ile yazmamışlar.
Öyleydi dEdbAt...
ÖRDEK. Evet, sadece altı basamaklı, değil mi?
ÇET. Aynen öyle. [GÜLER]
Ancak işler düzeldi ve şu anda çok karmaşık çok faktörlü araçlar var.
Mümkün olduğunda her zaman FIDO belirteçlerini kullanmanızı öneririm.
Ancak bunun dışında, yazılım sistemlerinde bile, bunlar farklı uygulamalar için farklı şekillerde çalışacak şekilde tasarlanabilir.
Bazen, belki sadece tıklamanız gerekir [OK] çünkü süper hassas bir şey değil.
Ama hassas olanı yaparken, belki bir kod girmeniz gerekebilir.
Ve bazen kod tarayıcıya girer, bazen kod telefonunuza gider.
Ama hepsi… Çok faktörlü bir şey ortaya çıktığında kendimi bir şeye girmek için asla 10 saniyeden fazla harcamadım ve sadece şirketimin verilerinin değil, çalışanlarımızın ve müşterilerimizin güvenliği ve güvenliği için 10 saniye ayırabilirim. veri.
ÖRDEK. Daha fazla anlaşamazdım Chester!
Bir sonraki hikayemiz, Avustralya'da Optus adlı çok büyük bir telekom ile ilgili:
Şimdi hacklendiler.
Bu bir 2FA hacki değildi – belki de “alçakta asılı meyve” diyebileceğiniz şeydi.
Ama arka planda, kolluk kuvvetleri işin içine girdiğinde bir sürü maskaralık vardı, değil mi?
Öyleyse… bilginiz dahilinde bize orada neler olduğunu anlatın.
ÇET. Kesinlikle – bu konuda ayrıntılı bir şekilde okumuyorum çünkü saldırıya dahil değiliz.
ÖRDEK. Ve bence hala araştırıyorlar, belli ki, değil mi?
Milyonlarca kayıt olduğu için mi?
ÇET. Evet.
Optus'a göre çalınan kayıtların kesin sayısını bilmiyorum, ancak 9 milyondan fazla müşteriyi etkiledi.
Bunun nedeni, hangi müşterilerin bilgilerine erişilmiş olabileceğinden tam olarak emin olmamaları olabilir.
Ve ne yazık ki hassas verilerdi.
Muhtemelen pasaport numaraları ve/veya Avustralya tarafından verilen ehliyetler olan isimler, adresler, e-posta adresleri, doğum tarihleri ve kimlik belgelerini içeriyordu.
Bu, kimlik hırsızlığı yapmak isteyen biri için oldukça iyi bir hazine – bu iyi bir durum değil.
Optus'tan bir bildirim alan mağdurlara tavsiye, pasaportlarını kullanmışlarsa değiştirmeleri gerektiğidir.
Bu yapılacak ucuz bir şey değil!
Ve ne yazık ki, bu durumda, failin verileri, kimliği doğrulanmamış bir API uç noktası kullanarak elde ettiği iddia ediliyor, bu da özünde, internete bakan, şifre bile gerektirmeyen programlı bir arayüz anlamına geliyor…
…tüm müşteri kayıtlarını seri olarak incelemesine ve tüm bu verileri indirip sifon etmesine izin veren bir arayüz.
ÖRDEK. Yani ben gitmek gibi example.com/userrecord/000001 ve bir şey alıyorum ve "Oh, bu ilginç" diye düşünüyorum.
Ve sonra -2, -3, -4, 5, -6… ve işte hepsi orada.
ÇET. Kesinlikle.
Podcast için hazırlanırken, Weev olarak bilinen bir bilgisayar korsanı, orijinal iPhone'un piyasaya sürülmesi sırasında AT&T'ye benzer bir saldırı gerçekleştirdiğinde, bir AT&T API'sinden birçok ünlünün kişisel bilgilerini sıralarken, bu tür bir geçmişin nasıl yankılandığını tartışıyorduk. uç nokta.
Görünüşe göre her zaman ders almıyoruz ve aynı hataları tekrar yapıyoruz…
ÖRDEK. Çünkü Weev ünlü veya rezil bir şekilde bunun için suçlandı ve mahkum edildi ve hapse girdi…
…ve sonra oldu devrilmiş temyizde, değil mi?
Sanırım mahkeme, yasanın ruhunu çiğnemiş olsa da, aslında herhangi bir dijital “kırma ve girme” içeren herhangi bir şey yapmadığının hissedildiğini düşünüyorum.
ÇET. Eh, Amerika Birleşik Devletleri'ndeki kesin yasa, Bilgisayar Dolandırıcılığı ve Suistimal Yasası, yetkinizi aştığınızda veya bir sisteme yetkisiz erişiminiz olduğunda bu Yasayı ihlal ettiğiniz konusunda çok nettir.
Ve dünyaya tamamen açıkken izinsiz olduğunu söylemek zor!
ÖRDEK. Şimdi, Optus olayındaki anladığım kadarıyla, verilere sahip olması gereken kişi, verileri satmakla ilgilendiğini ifade etmiş gibi görünüyordu…
…en azından Avustralya Federal Polisi [AFP] araya girene kadar.
Bu doğru mu?
ÇET. Evet. 11.2 milyon kurbanla ilgili olduğunu iddia ettiği kayıtları sunan ve 1,000,000 dolara satışa sunan bir karanlık pazar forumuna göndermişti.
Şey, bir milyon gerçek olmayan dolar demeliyim… 1 milyon değerinde Monero.
Açıkçası Monero, fidyeyi ödediğinizde veya onlardan bir satın alma işlemi yaptığınızda tanınmamak için suçlular tarafından yaygın olarak kullanılan bir gizlilik simgesidir.
72 saat içinde, AFP araştırmaya başlayıp bir açıklama yaptığında, verileri satma teklifini geri çekmiş görünüyor.
Belki de önceki hikayede söylediğim gibi, AFP'nin onu bulamayacağı umuduyla yere inmiştir.
Ama geride bıraktığı dijital çerez kırıntıları ne olursa olsun, AFP'nin iz üzerinde olduğundan şüpheleniyorum.
ÖRDEK. Öyleyse, kaybolan verileri ve bunlara erişimin suç teşkil ettiğini veya başka bir şekilde olduğunu görmezden gelirsek, müşteri verilerine RESTful API'ler, web tabanlı erişim API'leri sağlayan kişiler için hikayenin ahlaki değeri nedir?
ÇET. Pekala, ben bir programlama uzmanı değilim, ama görünüşe göre bazı kimlik doğrulamaları yapılacak... [GÜLER]
…insanların yalnızca kamuya açık olması için bir neden varsa kendi müşteri kayıtlarına erişmelerini sağlamak.
Buna ek olarak, herhangi bir şey fark edilmeden önce önemli sayıda kayıt çalınmış gibi görünüyor.
Ve birinin kimlik doğrulama hizmetlerimize kaba kuvvet saldırısı yapmadığından emin olmak için VPN'lerimize veya web uygulamalarımıza karşı kendi kimlik doğrulamamızdaki hız sınırlamasını izlememiz gerektiğinden farklı değil…
…bir kez aramanız için tasarlanmış gibi görünen bir hizmet aracılığıyla bir milyon kaydı sorguladığınızda, belki de bazı izlemelerin sırada olduğunu umarsınız!
ÖRDEK. Kesinlikle.
Bu hepimizin Chelsea Manning hackinden öğrenebileceğimiz bir ders, değil mi, nerede kopyaladı, neydi?
30 yıllık Dışişleri Bakanlığı kabloları bir CD'ye kopyalandı... kulaklıklar takılıyken, müzik CD'siymiş gibi mi?
ÇET. Hatırlarsam Britney Spears.
ÖRDEK. Peki, bu CD'de yazılıydı, değil mi?
ÇET. Evet. [GÜLER]
ÖRDEK. Bu yüzden yeniden yazılabilir bir CD olmasının nedenini verdi: "Şey, üzerine müzik koydum."
Ve hiçbir noktada alarm zili çalmadı.
İlk aya ait verileri kopyalarsanız, sorun olmayacağını hayal edebilirsiniz.
Bir yıl, belki on yıl?
Ama 30 yıl?
O zamana kadar duman alarmının gerçekten yüksek sesle çalmasını umarsınız.
ÇET. Evet.
“Yetkisiz yedeklemeler” diyebilirsiniz, sanırım onlara.
ÖRDEK. Evet…
…ve bu, elbette, günümüz fidye yazılımlarında büyük bir sorun, öyle değil mi, birçok dolandırıcı, onlara ekstra şantaj avantajı sağlamak için önceden veri sızdırıyor mu?
Yani geri dönüp “Şifre çözme anahtarınıza ihtiyacım yok, yedeklerim var” dediğinizde, “Evet, ama verileriniz bizde, bu yüzden bize vermezseniz dökeriz” derler. parayı.”
Teoride, tüm verilerinizin yedeklendiğini ancak kullandığınız olağan bulut yedekleme prosedürünü takip etmediğini fark etmenin mümkün olacağını umarsınız.
Bunu söylemesi kolay… ama dikkat etmeniz gereken türden bir şey.
ÇET. Bu hafta, aslında, bant genişliği çok üretken hale geldiğinden, fidye gruplarından birinin artık şifreleme yapmadığına dair bir rapor vardı.
Tıpkı gasp gruplarının bir süredir yaptığı gibi tüm verilerinizi ağınızdan alıyorlar, ancak sonra sistemlerinizi şifrelemek yerine siliyorlar ve “Hayır, hayır, hayır, size vereceğiz. ödeme yaptığınızda veriler geri gelir.”
ÖRDEK. Bu "Exmatter", değil mi?
ÇET. Evet.
ÖRDEK. ”Neden eliptik eğri kriptografisinin ve AES'nin tüm karmaşıklığıyla uğraşasınız ki?
Dışarıda o kadar çok bant genişliği var ki [GÜLMEK] yerine… ah canım, gülmemeliyim… “Bize parayı öde ve sana 16 baytlık şifre çözme anahtarını gönderelim” demek yerine, “Bize gönder parayı alırsan sana dosyaları geri veririz.”
ÇET. Ağımızda kötü niyetli şeyler yapan birinin araçlarını ve davranışlarını nasıl aramamız gerektiğini bir kez daha vurgular, çünkü bazı şeyler yapmaya yetkili olabilirler (Chelsea Manning gibi) veya kasıtlı olarak açık, kimliği doğrulanmamış şeyler olabilir. bir amacın olsun.
Ama onların kötüye kullanım davranışlarını izlemeliyiz, çünkü sadece şifrelemeyi izleyemeyiz.
Birinin şifre tahminini öylece izleyemeyiz.
Kötü niyetli bir şeyin meydana geldiğini gösteren bu daha büyük faaliyetleri, bu kalıpları izlemeliyiz.
ÖRDEK. Kesinlikle.
bencede dediğin gibi mini bölüm Yaptığımız gibi, artık kötü bir şey olduğunu söylemek için gösterge tablonuzda uyarıların görünmesini beklemek yeterli değil.
Ağınızda henüz kötü niyetli olmayabilecek, ancak yine de kötü bir şeyin olmak üzere olduğuna dair iyi bir işaret olan davranış türlerinin farkında olmanız gerekir, çünkü her zaman olduğu gibi, önleme, her zaman olduğu gibi, bundan çok daha iyidir. tedavi:
Chester, başka bir konuya geçmek istiyorum - bu hikaye bugün Naked Security'de yazdığım bir şey, çünkü kafam karışmıştı.
Haber kaynağım, WhatsApp'ın sıfır gün yaşadığına dair hikayelerle dolup taşıyordu:
Yine de tüm hikayelere baktığımda, hepsinin ortak bir birincil kaynağa sahip olduğu görülüyordu; bu, WhatsApp'ın kendisinin ayın başına kadar giden oldukça genel bir güvenlik tavsiyesiydi.
Haber başlıklarının beni inandırdığı açık ve mevcut tehlike…
…görebildiğim kadarıyla hiç de doğru olmadığı ortaya çıktı.
Bize orada ne olduğunu anlat.
ÇET. "Sıfır gün" diyorsunuz.
“Bana kurbanları göster” diyorum. Neredeler?" [Gülüşmeler]
ÖRDEK. Eh, bazen bunu ortaya çıkaramayabilirsin, değil mi?
ÇET. Bu durumda, bize bunu söylerdin!
Bu, güvenlik açıklarını ifşa etmek için sektördeki normal bir uygulamadır.
Salı Yaması'nda Microsoft'un “Bu zafiyetin vahşi doğada istismar edildiği biliniyor” gibi bir açıklama yaptığını sık sık göreceksiniz, yani orada birileri bu kusuru anladı, saldırmaya başladı, sonra öğrendik ve gittik. geri ve düzeltti.
*Bu* bir sıfır gün.
Sömürülmeyen veya istismar edilmeyen hiçbir kanıt olmayan bir yazılım kusurunu bulmak ve proaktif olarak düzeltmeye “İyi mühendislik uygulaması” denir ve bu neredeyse tüm yazılımların yaptığı bir şeydir.
Aslında, Mozilla ekibinin neyse ki herkese açık olarak belgelediği ve bildirdiği birçok güvenlik açığını proaktif olarak düzelten son Firefox güncellemesinden bahsettiğinizi hatırlıyorum - bu yüzden, orada kimsenin onlara saldırdığı bilinmemesine rağmen düzeltildiklerini biliyoruz.
ÖRDEK. Bir tehlikenin ne kadar açık ve mevcut olduğunu belirtmek için “sıfır gün” kelimesini bir kenara bırakmamızın önemli olduğunu düşünüyorum.
Ve uzaktan kod yürütülmesine neden olabileceği için her şeyi sıfır gün olarak adlandırmak, çok yararlı bir terim olduğunu düşündüğüm şeyin etkisini kaybeder.
Buna katılır mısın?
ÇET. Kesinlikle.
Tabii ki bu, bu güncellemeleri uygulamanın önemini azaltmak değil – ne zaman “uzaktan kod yürütme” gördüğünüzde, birileri şimdi geri dönüp bu hatalara ve uygulamalarını güncellememiş kişilere nasıl saldırılacağını anlayabilir.
Bu nedenle, güncellemeyi aldığınızdan emin olmak için hala acil bir şey.
Ancak sıfır günün doğası gereği, gerçekten kendi terimini hak ediyor.
ÖRDEK. Evet.
İlginç ve önemli olan ancak açık ve mevcut bir tehlike olması gerekmeyen şeylerden sıfır gün hikayeleri oluşturmaya çalışmak sadece kafa karıştırıcıdır.
Hele de düzeltme aslında bir ay önce çıktıysa ve bunu “şu anda oluyor” gibi bir hikaye olarak sunuyorsanız.
iPhone'larına veya Android'lerine giden herkes, "Ben bundan çok daha ileri bir sürüm numarasına sahibim. Burada neler oluyor?"
Siber güvenlikte doğru olanı yapmaya çalışmak söz konusu olduğunda kafa karışıklığı yardımcı olmaz.
ÇET. Ve sıfır gün olabilecek bir güvenlik açığı bulursanız, özellikle yazılımı geliştiren kuruluş tarafından sunulan bir hata ödül programı varsa lütfen bildirin.
Bu öğleden sonra, hafta sonu birisinin, takas edilemeyen jetonlar veya NFT'lerin ticareti için bir platform olan OpenSea'de bir güvenlik açığı keşfettiğini gördüm… ki bunu kimseye tavsiye edemem, ancak birileri, işlerinde kritik olan yamalanmamış bir güvenlik açığı buldu. sistemi hafta sonu boyunca bildirdi, bildirdi ve bugün 100,000 dolarlık bir hata ödülü aldı.
Bu yüzden, etik olmaya ve bunları keşfettiğinizde teslim etmeye değer, başka biri onları bulduğunda sıfır güne dönüşmelerini önlemek için.
ÖRDEK. Kesinlikle.
Kendinizi korursunuz, diğer herkesi korursunuz, satıcı tarafından doğru olanı yaparsınız… yine de sorumlu açıklama yoluyla, geçmişte hata raporlarını silip süpürmüş olabilecek etik olmayan satıcılar anlamına gelen “Damocles'in Mini Kılıcını” sağlarsınız. halı, bunu yapamıyor çünkü sonunda çıkacaklarını biliyorlar.
Yani aslında şimdi bu konuda bir şeyler yapabilirler.
Chester, hadi bu haftaki son konumuza geçelim ve bu, artık gerçekten istemediğiniz zaman cihazlardaki verilere ne olduğu meselesidir.
Bahsettiğim hikaye, 35,000,000 yılına kadar giden bir olay nedeniyle Morgan Stanley'e verilen 2016 dolar para cezası:
Hikayenin birkaç yönü var… büyüleyici bir okuma, aslında, her şeyin ortaya çıkma şekli ve bu verilerin yaşadığı, internette bilinmeyen yerlerde dolaşan uzun süre.
Ama hikayenin ana kısmı, sahip oldukları şey… Sanırım RAID dizilerinden çıkan diskler, istemci verilerinin açık olduğu sunucu diskleri dahil 4900 sabit disk gibi bir şeydi.
“Bunları artık istemiyoruz, bu yüzden onları silip satacak bir şirkete göndereceğiz, böylece biraz para geri alacağız.”
Ve sonunda, şirket bazılarını silmiş olabilir, ancak bazılarını hiç silmeden bir müzayede sitesinde satışa gönderdiler.
Aynı eski hataları yapmaya devam ediyoruz!
ÇET. Evet.
Sanıyorum, Amerika Birleşik Devletleri'nde bulunan ilk HIPAA ihlali – hasta bilgilerinin korunmasıyla ilgili sağlık mevzuatı – bir temizlik odasındaki şifrelenmemiş sabit disk yığınları içindi.
Ve bu konuda ne yapılacağı sürecini başlatmak için anahtar kelime bu, değil mi?
Bu noktada dünyada tam diskle şifrelenmemesi gereken bir disk yok.
Her iPhone, hatırlayabildiğim kadar uzun süredir var.
Tüm Android'ler, hala Android 4'lü Çin brülör telefonlarını almadığınız sürece, hatırlayabildiğim kadar uzun süredir var.
Ve masaüstü bilgisayarlar ne yazık ki yeterince sık şifrelenmiyor.
Ancak, bu sunucu sabit disklerinden, bu RAID dizilerinden farklı olmamalıdır.
Sürecin ilk adımını imkansız değilse de zorlaştırmak için her şey başlangıçta şifrelenmeli…
…ve ardından, kullanım ömrünün sonuna ulaştığında bu cihazın imha edilmesi.
ÖRDEK. Benim için, bu Morgan Stanley hikayesindeki en önemli şeylerden biri, bu başladıktan beş yıl sonra… 2016'da başladı ve geçen yıl Haziran'da, o müzayede sitesinden büyük bilinmeyene giden diskler hala satın alınıyordu. Morgan Stanley.
Hâlâ silinmemiş, şifrelenmemiş (belli ki), iyi çalışıyorlardı ve tüm veriler bozulmamıştı.
Kanala atılan bisikletlerin veya kompost kutusuna attığınız bahçe atıklarının aksine, sabit disklerdeki veriler muhtemelen çok uzun süre bozulmayabilir.
Yani şüpheniz varsa, tamamen ovalayın, ha?
ÇET. Evet, oldukça fazla.
Maalesef durum bu.
E-atıklarımızı azaltmak için eşyaların mümkün olduğunca yeniden kullanıldığını görmeyi seviyorum.
Ancak veri depolama, bu şansı göze alabileceğimiz şeylerden biri değil…
ÖRDEK. Yalnızca sizin için değil, işvereniniz, müşterileriniz ve düzenleyici kurum için de gerçek bir veri tasarrufu sağlayabilir.
Chester, çok, çok, kısa sürede tekrar harekete geçtiğiniz için çok teşekkür ederim.
Görüşlerinizi, özellikle de Optus hikayesine bakışınızı bizimle paylaştığınız için çok teşekkür ederiz.
Ve her zamanki gibi, bir dahaki sefere kadar…
HER İKİSİ DE. Güvende kalın.
[MÜZİKAL MODEM]
- blockchain
- zeka
- cryptocurrency cüzdanlar
- kripto değişimi
- siber güvenlik
- siber suçluların
- Siber güvenlik
- iç güvenlik bakanlığı
- dijital cüzdanlar
- güvenlik duvarı
- Kaspersky
- kötü amaçlı yazılım
- Mcafee
- Çıplak Güvenlik
- NexBLOC
- Platon
- plato yapay zekası
- Plato Veri Zekası
- Plato Oyunu
- PlatoVeri
- plato oyunu
- podcast
- VPN
- web sitesi güvenliği
- zefirnet
