S3 Ep94: هذا النوع من التشفير (الرسوم البيانية)، والنوع الآخر من التشفير (العملة!) [الصوت + النص] PlatoBlockchain Data Intelligence. البحث العمودي. منظمة العفو الدولية.

S3 Ep94: هذا النوع من التشفير (رسومي) ونوع التشفير الآخر (عملة!) [صوت + نص]

الطابع الزمني: 4 أغسطس 2022 الساعة 12:52 مساءً

by
بول داكلين

انقر واسحب على الموجات الصوتية أدناه للتخطي إلى أي نقطة. يمكنك أيضا استمع مباشرة على Soundcloud.

مع دوج آموث وبول دوكلين.

موسيقى مقدمة وخاتمة بواسطة إديث مودج.

يمكنك الاستماع إلينا على SoundCloud لل, Apple Podcasts, Google Podcasts, سبوتيفي, الخياطة وفي أي مكان توجد فيه ملفات بودكاست جيدة. أو قم بإسقاط ملف عنوان URL لخلاصة RSS الخاصة بنا في podcatcher المفضل لديك.

اقرأ النص

دوغ.  A حرجة سامبا علة، بعد آخر سرقة التشفيرو يوم مسؤول مسؤول.

كل ذلك وأكثر ، على بودكاست Naked Security.

[مودم موسيقي]

مرحبا بكم في البودكاست ، الجميع.

أنا دوغ عاموث.

معي ، كما هو الحال دائمًا ، بول دوكلين ... بول ، كيف حالك اليوم؟

بطة.  ممتاز ، شكرًا دوغلاس.

دوغ.  نحب أن نبدأ العرض ببعض التاريخ التكنولوجي.

وهذا الأسبوع ، بول ، سنعود إلى عام 1858!

هذا الأسبوع في عام 1858 ، تم الانتهاء من أول كابل تلغراف عبر المحيط الأطلسي.

قاده التاجر الأمريكي سايروس ويستفيلد ، وامتد الكابل من ترينيتي باي ، نيوفاوندلاند ، إلى فالنسيا ، أيرلندا ، على بعد حوالي 2000 ميل ، وعمق أكثر من ميلين.

ستكون هذه هي المحاولة الخامسة ، وللأسف ، فإن الكابل يعمل فقط لمدة شهر تقريبًا.

لكنها عملت لفترة طويلة بما يكفي للرئيس آنذاك جيمس بوكانان والملكة فيكتوريا لتبادل المجاملات.

بطة.  نعم ، أعتقد أنها كانت كذلك ، كيف يمكنني وضعها ... باهتة. [ضحك]

1858!

ماذا عمل الله؟، دوغ! [الكلمات المرسلة في أول رسالة تلفزيونية على الإطلاق]

دوغ.  [يضحك] بالحديث عن الأشياء التي تم إحداثها ، هناك أ حرجة سامبا علة تم تصحيحه منذ ذلك الحين.

أنا لست خبيرًا بأي وسيلة ، ولكن هذا الخطأ سيسمح لأي شخص بأن يصبح مدير مجال ... يبدو ذلك سيئًا.

بطة.  حسنًا ، يبدو الأمر سيئًا يا دوغ ، وذلك أساسًا لأنه * * * سيء إلى حد ما!

دوغ.  ها أنت ذا!

بطة.  Samba ... فقط للتوضيح ، قبل أن نبدأ ، دعنا ننتقل إلى الإصدارات التي تريدها.

إذا كنت تستخدم النكهة 4.16 ، فأنت بحاجة إلى 4.16.4 أو أحدث ؛ إذا كنت تستخدم الإصدار 4.15 ، فأنت بحاجة إلى 4.15.9 أو أحدث ؛ وإذا كنت تستخدم الإصدار 4.14 ، فأنت بحاجة إلى الإصدار 4.14.14 أو إصدار أحدث.

في المجمل ، أصلحت إصلاحات الأخطاء ستة أخطاء مختلفة كانت تعتبر خطيرة بما يكفي للحصول على أرقام CVE - المصممون الرسميون.

الذي برز هو CVE-2022-32744.

وعنوان الخطأ يقول كل شيء: يمكن لمستخدمي Samba Active Directory تزوير طلبات تغيير كلمة المرور لأي مستخدم.

دوغ.  نعم ، هذا يبدو سيئا.

بطة.  لذلك ، كما هو الحال في تقرير الأخطاء الكامل في النصائح الإرشادية للأمان ، فإن سجل التغيير يقول بطريقة غير صحيحة:

"يمكن للمستخدم تغيير كلمة مرور حساب المسؤول والحصول على تحكم كامل في المجال. سيكون من الممكن فقدان السرية الكاملة والنزاهة ، فضلاً عن التوافر من خلال منع المستخدمين من الوصول إلى حساباتهم ".

وكما يعلم مستمعونا على الأرجح ، فإن ما يسمى بـ "الثالوث المقدس" (الاقتباسات الجوية) لأمن الكمبيوتر هو: التوافر والسرية والنزاهة.

من المفترض أن يكون لديك كل منهم ، وليس واحدًا منهم فقط.

وبالتالي، سلامة يعني أنه لا يمكن لأي شخص آخر الدخول إلى أغراضك والتلاعب بها دون أن تلاحظ ذلك.

التوفر يقول أنه يمكنك دائمًا الحصول على الأشياء الخاصة بك - لا يمكنهم منعك من الوصول إليها عندما تريد ذلك.

و سرية يعني أنه لا يمكنهم النظر إليها ما لم يُسمح لهم بذلك.

أي واحد من هؤلاء ، أو أي اثنين منهم ، لا يستخدم كثيرًا بمفرده.

لذلك كان هذا حقا تريفيكتا ، دوج!

ومن المزعج أنه في الجزء ذاته من Samba قد تستخدمه ليس فقط إذا كنت تحاول توصيل كمبيوتر Unix بمجال Windows ، ولكن إذا كنت تحاول إعداد مجال Active Directory لأجهزة الكمبيوتر التي تعمل بنظام Windows لاستخدامه على مجموعة من أجهزة كمبيوتر Linux أو Unix.

دوغ.  هذا هو تحديد كل المربعات بكل الطرق الخاطئة!

ولكن هناك تصحيح للخارج - ونقول دائمًا ، "التصحيح مبكرًا ، التصحيح كثيرًا".

هل هناك نوع من الحل البديل الذي يمكن للأشخاص استخدامه إذا لم يتمكنوا من التصحيح على الفور لسبب ما ، أو هل هذا نوع من الأشياء التي يجب القيام بها؟

بطة.  حسنًا ، ما أفهمه هو أن هذا الخطأ موجود في خدمة مصادقة كلمة المرور المسماة kpasswd.

ما تفعله هذه الخدمة أساسًا هو البحث عن طلب تغيير كلمة المرور ، والتحقق من توقيعه أو ترخيصه من قبل جهة موثوقة.

ولسوء الحظ ، باتباع سلسلة معينة من شروط الخطأ ، يمكن أن يشمل هذا الطرف الموثوق به نفسك.

لذا فهو نوع ما مثل اطبع جواز السفر الخاص بك إذا أردت.

يجب عليك تقديم جواز سفر ... يمكن أن يكون جوازًا حقيقيًا تم إصداره من قبل حكومتك ، أو يمكن أن يكون جوازًا قمت بإصداره في المنزل باستخدام طابعة نفث الحبر ، وكلاهما سوف يجتازان. [ضحك]

الحيلة هي ، إذا كنت لا تعتمد فعليًا على خدمة مصادقة كلمة المرور هذه في استخدامك لـ Samba ، فيمكنك منع ذلك kpasswd الخدمة من التشغيل.

بالطبع ، إذا كنت تعتمد بالفعل على نظام Samba بالكامل لتوفير مصادقة Active Directory وتغيير كلمة المرور الخاصة بك ، فإن الحل قد يكسر نظامك الخاص.

لذا فإن أفضل دفاع ، بالطبع ، هو التصحيح الذي * يزيل * الخطأ بدلاً من * تجنبه * ببساطة.

دوغ.  جيدة جدا.

اطلع على اقرأ المزيد عن التي على الموقع: nakedscurity.sophos.com.

وننتقل مباشرة إلى أروع وقت في السنة!

لقد احتفلنا للتو يوم مسؤول النظام، بول ، وأنا لن أرسل رسالة نصية هنا ... لكنك فعلت تماما ما يصل الكتابة.

بطة.  حسنًا ، مرة واحدة في السنة ، ليس من الضروري أن نذهب إلى قسم تكنولوجيا المعلومات ونبتسم لكل من وضع كل هذا العمل الخفي في الخلفية ...

... للحفاظ على [الحصول على أسرع وأسرع] أجهزة الكمبيوتر لدينا وخوادمنا وخدماتنا السحابية وأجهزة الكمبيوتر المحمولة وهواتفنا ومفاتيح الشبكة [DOUG LAUGHS] واتصالات DSL ومجموعة Wi-Fi الخاصة بنا في حالة عمل جيدة.

متوفرة! مؤتمن! كامل النزاهة ، على مدار السنة!

إذا لم تفعل ذلك في آخر جمعة من شهر يوليو ، فستكون S.يوم التقدير ysAdmin، فلماذا لا تذهب وتفعل ذلك اليوم؟

وحتى إذا قمت بذلك ، فلا يوجد شيء يقول إنه لا يمكنك تقدير مسؤولي النظام لديك كل يوم من أيام السنة.

ليس عليك القيام بذلك إلا في يوليو ، دوج.

دوغ.  نقطة جيدة!

بطة.  إذن ، هذا ما يجب فعله ، دوغ.

سأطلق على هذه "قصيدة" أو "بيت شعر" ... أعتقد من الناحية الفنية أنها هوجريل [ضحك] ، لكنني سأدعي أنها تتمتع بكل بهجة ودفء السوناتة شكسبير.

* ليست * سونيتة ، لكن يجب أن تفعل.

دوغ.  الكمال.

بطة.  تفضل ، دوغ.

إذا كان الماوس الخاص بك خارج البطاريات أو لم يتوهج ضوء كاميرا الويب إذا كنت لا تستطيع تذكر كلمة المرور الخاصة بك أو لن يظهر بريدك الإلكتروني إذا فقدت محرك USB أو لن يبدأ اجتماعك إذا لم تستطع قم بإنشاء رسم بياني أو ارسم مخططًا دائريًا لطيفًا إذا قمت بالضغط على [حذف] عن طريق الخطأ أو قمت بتهيئة القرص. تفقد الأمل وكن محبطًا هناك شيء واحد يجب فعله! خذ الشوكولاتة والنبيذ وبعض البهجة والابتسامة وتعني ذلك عندما تقول: "لقد ظهرت للتو لأتمنى لكم جميعًا يوم مسؤول عظيم!"

دوغ.  [تصفيق] جيد حقا! واحد من أفضل ما لديكم!

بطة.  الكثير مما يفعله SysAdmins غير مرئي ، والكثير منه يصعب بشكل مدهش القيام به بشكل جيد وموثوق ...

... والاستغناء عن إصلاح شيء وكسر آخر.

تلك الابتسامة هي أقل ما يستحقونه يا دوج.

دوغ.  أقل ما يمكن!

بطة.  لذا ، إلى جميع مسؤولي النظام في جميع أنحاء العالم ، أتمنى أن تكون قد استمتعت يوم الجمعة الماضي.

وإذا لم تحصل على ابتسامات كافية ، فخذ واحدة الآن.

دوغ.  سعيد يوم مسؤول النظام ، والجميع ، و اقرأ تلك القصيدة، وهو أمر رائع ... إنه موجود على الموقع.

حسنًا ، ننتقل إلى شيء ليس بهذه الروعة: أ خطأ في إدارة الذاكرة في GnuTLS.

بطة.  نعم ، اعتقدت أن هذا يستحق الكتابة على Naked Security ، لأنه عندما يفكر الناس في تشفير المصدر المفتوح ، فإنهم يميلون إلى التفكير في OpenSSL.

لأن (أ) هو الذي سمع عنه الجميع ، و (ب) هو الذي ربما حظي بأكبر قدر من الدعاية في السنوات الأخيرة بسبب الأخطاء هارتبليد.

حتى لو لم تكن موجودًا في ذلك الوقت (كان ذلك قبل ثماني سنوات) ، فمن المحتمل أنك سمعت عن Heartbleed ، والذي كان نوعًا من أخطاء تسرب البيانات والذاكرة في OpenSSL.

لقد كان في الكود لأعمار ولم يلاحظه أحد.

وبعد ذلك لاحظ أحدهم ، وأعطوه اسمًا رائعًا ، وأعطوا الخطأ شعارًا ، وأعطوه موقعًا على شبكة الإنترنت ، وقد صنعوا منه هذا الشيء الهائل في العلاقات العامة.

دوغ.  [يضحك] هكذا تعرف أنه حقيقي ...

بطة.  حسنًا ، لقد فعلوا ذلك لأنهم أرادوا لفت الانتباه إلى حقيقة أنهم اكتشفوها ، وكانوا فخورين جدًا بهذه الحقيقة.

والجانب الآخر هو أن الناس خرجوا وأصلحوا هذا الخطأ الذي لم يكن من الممكن أن يفعلوه لولا ذلك ... لأنه ، حسنًا ، إنه مجرد خطأ.

لا يبدو الأمر دراماتيكيًا بشكل رهيب - إنه ليس تنفيذ تعليمات برمجية عن بُعد. لذلك لا يمكنهم فقط الدخول والاستيلاء على جميع مواقع الويب الخاصة بي على الفور ، وما إلى ذلك.

لكنها جعلت من OpenSSL اسمًا مألوفًا ، ليس بالضرورة لجميع الأسباب الصحيحة.

ومع ذلك ، هناك العديد من مكتبات التشفير مفتوحة المصدر ، وليس فقط OpenSSL ، وهناك اثنتان منها على الأقل مستخدمة على نطاق واسع بشكل مدهش ، حتى لو لم تسمع بها من قبل.

هناك NSS ، باختصار خدمة أمن الشبكة، وهي مكتبة التشفير الخاصة بـ Mozilla.

يمكنك تنزيل ذلك واستخدامه بشكل مستقل عن أي من مشاريع Mozilla المحددة ، لكنك ستجده ، على وجه الخصوص ، في Firefox و Thunderbird ، يقوم بكل التشفير هناك - لا يستخدمان OpenSSL.

و هناك GnuTLS، وهي مكتبة مفتوحة المصدر في إطار مشروع GNU ، والتي تعتبر في الأساس ، إذا أردت ، منافسًا أو بديلًا لـ OpenSSL ، ويتم استخدامها (حتى لو لم تدرك ذلك) من قبل عدد مذهل من- مصدر المشاريع والمنتجات ...

... بما في ذلك عن طريق الكود ، بغض النظر عن النظام الأساسي الذي تستخدمه ، والذي من المحتمل أن يكون لديك على نظامك.

وهذا يشمل أي شيء له علاقة ، على سبيل المثال: FFmpeg ؛ مينكودر. GnuPGP (أداة إدارة مفاتيح جنو) ؛ QEMU ، Rdesktop ؛ سامبا ، الذي تحدثنا عنه للتو في الخطأ السابق ؛ Wget ، والذي يستخدمه الكثير من الأشخاص لتنزيل الويب ؛ أدوات استنشاق شبكة Wireshark ؛ زليب.

هناك الكثير من الأدوات التي تحتاج إلى مكتبة تشفير ، وقد قرروا إما استخدام GnuTLS * بدلاً من OpenSSL ، أو ربما حتى * وكذلك * ، اعتمادًا على مشكلات سلسلة التوريد الخاصة بالحزم الفرعية التي قاموا بسحبها في.

قد يكون لديك مشروع تستخدم فيه بعض أجزاءه GnuTLS لتشفيرها ، وبعض أجزاءه تستخدم OpenSSL ، ومن الصعب اختيار أحدهما على الآخر.

لذلك ينتهي بك الأمر ، في السراء والضراء ، مع كليهما.

ولسوء الحظ ، فإن GnuTLS (الإصدار الذي تريده هو 3.7.7 أو أحدث) به نوع من الأخطاء يُعرف باسم مزدوج مجاني... صدق أو لا تصدق في الجزء ذاته من الكود الذي يقوم بالتحقق من صحة شهادة TLS.

لذا ، في نوع من السخرية التي رأيناها في مكتبات التشفير من قبل ، الكود الذي يستخدم TLS لعمليات الإرسال المشفرة ولكنه لا يكلف نفسه عناء التحقق من الطرف الآخر ... الكود الذي يقول ، "التحقق من صحة الشهادة ، من يحتاجها؟"

يُنظر إلى هذه بشكل عام على أنها فكرة سيئة للغاية ، بل هي فكرة رديئة من وجهة نظر أمنية ... ولكن أي رمز يفعل ذلك لن يكون عرضة لهذا الخطأ ، لأنه لا يستدعي رمز عربات التي تجرها الدواب.

لذا ، للأسف ، قد يتم خداع الكود الذي يحاول القيام بالشيء * الصحيح * بشهادة مارقة.

وللتوضيح فقط ، أ مزدوج مجاني هو نوع الخطأ الذي تسأل فيه نظام التشغيل أو النظام ، "مرحبًا ، أعطني بعض الذاكرة. انا بحاجة الى بعض الذاكرة مؤقتا. في هذه الحالة ، لدي كل بيانات الشهادة هذه ، وأريد تخزينها مؤقتًا ، والتحقق من صحتها ، وبعد ذلك عندما أنتهي ، سأعيد الذاكرة حتى يمكن استخدامها بواسطة جزء آخر من البرنامج. "

إذا كنت مبرمجًا بلغة C ، فستكون على دراية بالوظائف malloc()، اختصار لعبارة "تخصيص الذاكرة" ، و free()، وهو "تسليمها مرة أخرى".

ونعلم أن هناك نوعًا من الأخطاء يسمى استخدام خالية بعد، حيث يتم تسليم البيانات مرة أخرى ، ولكن بعد ذلك استمر في استخدام كتلة الذاكرة هذه على أي حال ، متناسين أنك تخلت عنها.

لكن الخيار المزدوج الحر مختلف قليلاً - إنه المكان الذي تعيد فيه الذاكرة مرة أخرى ، وتتجنب استخدامها بإخلاص مرة أخرى ، ولكن بعد ذلك في مرحلة لاحقة ، تقول ، "انتظر ، أنا متأكد من أنني لم أسلم ذلك الذاكرة تعود بعد. من الأفضل أن أعيده في حالة ".

وهكذا تقول لنظام التشغيل ، "حسنًا ، حرر هذه الذاكرة مرة أخرى."

لذلك يبدو أنه طلب شرعي لتحرير البيانات * التي قد يعتمد عليها جزء آخر من البرنامج بالفعل *.

وكما يمكنك أن تتخيل ، يمكن أن تحدث أشياء سيئة ، لأن هذا يعني أنك قد تحصل على جزأين من البرنامج يعتمدان عن غير قصد على نفس الكتلة من الذاكرة في نفس الوقت.

الخبر السار هو أنني لا أعتقد أنه تم العثور على ثغرة عملية لهذا الخطأ ، وبالتالي ، إذا قمت بالتصحيح ، فسوف تتقدم على المحتالين بدلاً من مجرد اللحاق بهم.

ولكن ، بالطبع ، الأخبار السيئة هي أنه عند ظهور مثل هذه الإصلاحات ، فعادةً ما يكون هناك عدد كبير من الأشخاص الذين ينظرون إليهم ، ويحاولون تحليل الخطأ الذي حدث ، على أمل فهم سريع لما يمكنهم فعله لاستغلال الخطأ ضد كل هؤلاء الناس الذين كانوا بطيئين في التصحيح.

بمعنى آخر: لا تتأخر. افعله اليوم.

دوغ.  حسنًا ، أحدث إصدار من GnuTLS هو 3.7.7… يرجى التحديث.

اطلع على اقرأ المزيد عن ذلك في الموقع.

بطة.  أوه ، ودوغ ، من الواضح أن الخطأ قد تم تقديمه في GnuTLS 3.6.0.

دوغ.  حسنا.

بطة.  لذا ، من الناحية النظرية ، إذا كان لديك إصدار أقدم من ذلك ، فأنت لست عرضة لهذا الخطأ ...

... ولكن من فضلك لا تستخدم ذلك كعذر للذهاب ، "لست بحاجة إلى التحديث بعد."

يمكنك أيضًا القفز إلى الأمام فوق جميع التحديثات الأخرى التي تم إصدارها ، لجميع مشكلات الأمان الأخرى ، بين 3.6.0 و 3.7.6.

لذا فإن حقيقة أنك لا تندرج في فئة هذا الخطأ - لا تستخدم ذلك كعذر لعدم القيام بأي شيء.

استخدمه كحافز للوصول إلى يومنا هذا ... هذه نصيحتي.

دوغ.  OK!

وقصتنا الأخيرة لهذا الأسبوع: نحن نتحدث عن سرقة أخرى للعملات المشفرة.

هذا الوقت، فقط $ 200 مليون، على الرغم من بول.

هذا تغيير بسيط مقارنة ببعض الأشياء الأخرى التي تحدثنا عنها.

بطة.  لا أريد تقريبًا أن أقول هذا ، دوغ ، ولكن أحد الأسباب التي دفعتني إلى كتابة هذا هو أنني نظرت إليه ووجدت نفسي أفكر ، "أوه ، 200 مليون فقط؟ هذا صغير جدًا ... ما أفكر فيه !؟ " [ضحك]

200 مليون دولار ، أساسًا ... حسنًا ، ليس "في المرحاض" ، بل "خارج خزنة البنك".

هذه الخدمة Nomad هي من شركة تحمل اسم Illusory Systems Incorporated.

وأعتقد أنك ستوافقون على أنه ، بالتأكيد من وجهة نظر أمنية ، ربما تكون كلمة "وهمي" هي النوع الصحيح من الاستعارة.

إنها خدمة تتيح لك بشكل أساسي القيام بما هو موجود في المصطلحات المعروفة باسم سد.

أنت تتداول بنشاط في الأساس عملة معماة مقابل عملة أخرى.

لذلك تضع بعض العملات المشفرة الخاصة بك في مجموعة ضخمة من الأشخاص الآخرين ... وبعد ذلك يمكننا القيام بكل هذه العقود الذكية الآلية "التمويل اللامركزي".

يمكننا تداول البيتكوين مقابل إيثر أو إيثر مقابل مونيرو ، أو أي شيء آخر.

لسوء الحظ ، أثناء تحديث الشفرة مؤخرًا ، يبدو أنهم وقعوا في نفس النوع من الفتحة التي ربما فعلها شباب Samba مع الخطأ الذي تحدثنا عنه في Samba.

هناك أساسًا ملف اطبع جواز السفر الخاص بك، أو تفويض المعاملة الخاصة بك علة التي قدموها.

هناك نقطة في الكود حيث من المفترض أن يتم التحقق من صحة تجزئة التشفير ، تجزئة تشفير 256 بت ، ... شيء لا يمكن أن يأتي به أحد غير الموافقين المعتمدين.

باستثناء أنك إذا صادفت استخدام القيمة صفر ، فإنك ستجتاز حشدًا.

يمكنك في الأساس إجراء معاملة حالية لأي شخص آخر ، وإعادة كتابة اسم المستلم باسمك ("مرحبًا ، ادفع * محفظتي * للعملات المشفرة") ، ثم أعد تشغيل المعاملة.

وسيبدأ النظام ، "حسنًا".

عليك فقط الحصول على البيانات بالتنسيق الصحيح ، هذا ما أفهمه.

وأسهل طريقة لإنشاء معاملة تجتازها هي ببساطة أخذ معاملة حالية مكتملة مسبقًا لشخص آخر ، وإعادة تشغيلها ، ولكن شطب اسمه ، أو رقم حسابه ، ووضعه بنفسك.

لذلك ، كمحلل للعملات المشفرة @samczsun وقال على تويتر, "أساء المهاجمون استخدام هذا لنسخ المعاملات ولصقها وسرعان ما استنزفوا الجسر في لعبة مجانية للجميع."

بمعنى آخر ، لقد جن جنون الناس بسحب الأموال من أجهزة الصراف الآلي التي تقبل البطاقة المصرفية لأي شخص ، بشرط أن تضع رقم تعريف شخصي من الصفر.

وليس فقط حتى استنزاف جهاز الصراف الآلي ... كان جهاز الصراف الآلي مرتبطًا بشكل أساسي بشكل مباشر بجانب قبو البنك ، وكان المال يتدفق ببساطة.

دوغ.  اريرغ!

بطة.  كما تقول ، يبدو أنهم خسروا ما يصل إلى 200 مليون دولار في وقت قصير.

يا للهول.

دوغ.  حسنًا ، لدينا بعض النصائح ، وهي واضحة جدًا ...

بطة.  النصيحة الوحيدة التي يمكنك تقديمها حقًا هي ، "لا تتعجل كثيرًا للانضمام إلى هذه الثورة المالية اللامركزية."

كما قلنا من قبل ، تأكد من أنك إذا * فعلت * دخلت في "التجارة عبر الإنترنت ؛ أقرضنا عملة مشفرة وسندفع لك فائدة ؛ ضع أغراضك في محفظة ساخنة حتى تتمكن من التصرف في غضون ثوان ؛ الدخول في مشهد العقد الذكي بالكامل ؛ شراء الرموز المميزة غير القابلة للتلف [NFTs] "- كل تلك الأشياء ...

... إذا قررت أن السوق * * مناسب لك ، فالرجاء التأكد من الدخول وعينيك مفتوحتين على مصراعيهما ، وليس عينيك مغمضتين تمامًا!

والسبب البسيط هو أنه في مثل هذه الحالات ، ليس الأمر كما لو أن المحتالين قد يكونون قادرين على استنزاف * بعض * أجهزة الصراف الآلي الخاصة بالبنك.

في هذه الحالة ، أولاً ، يبدو أنهم استنفدوا كل شيء تقريبًا ، وثانيًا ، على عكس البنوك التقليدية ، لا توجد الحماية التنظيمية التي يمكنك الاستمتاع بها إذا تعرض بنك حقيقي للإفلاس.

في حالة التمويل اللامركزي ، فإن الفكرة الكاملة عن كونه لامركزيًا ، وكونه جديدًا ، ورائعًا ، وشيء تريد الاندفاع إليه ...

... هو أنه * لا * يحتوي على هذه الحماية التنظيمية المزعجة.

يمكنك ، وربما ربما - لأننا تحدثنا عن هذا في كثير من الأحيان أكثر مما أنا مرتاح لفعله ، حقًا - قد تخسر * كل شيء *.

والجانب الآخر من ذلك هو ، إذا كنت قد فقدت أشياء في بعض التمويل اللامركزي أو انفجار داخلي "ويب 3.0 العلامة التجارية الجديدة للتجارة الفائقة" مثل هذا ، فكن حذرًا جدًا من الأشخاص الذين يأتون معك قائلين ، "مرحبًا ، لا تقلق. على الرغم من عدم وجود تنظيم ، إلا أن هناك شركات خبيرة يمكنها استرداد أموالك. كل ما عليك فعله هو الاتصال بالشركة X أو الفرد Y أو حساب الوسائط الاجتماعية Z ”.

لأنه كلما حدثت كارثة من هذا النوع ، فإن المحتالين الثانويين يركضون بسرعة كبيرة جدًا ، ويعرضون "إيجاد طريقة" لاسترداد أموالك.

هناك الكثير من المحتالين يتجولون ، لذا كن حذرًا جدًا.

إذا كنت قد خسرت المال ، فلا تبالغ في رمي المال الجيد بعد المال السيئ (أو المال السيئ بعد الخير ، أيهما كان).

دوغ.  حسنًا ، يمكنك قراءة المزيد عن ذلك: Cryptocoin "Swapper" Nomad يخسر 200 مليون دولار في خطأ تشفير.

وإذا سمعنا من أحد قرائنا عن هذه القصة ، يكتب معلق مجهول ، وأنا أوافق ... لا أفهم كيف يعمل هذا:

"المدهش هو أن شركة ناشئة عبر الإنترنت لديها الكثير لتخسره في المقام الأول. 200,000 دولار ، يمكنك أن تتخيل. لكن 200 مليون دولار تبدو غير معقولة ".

وأعتقد أننا نوعًا ما أجبنا على هذا السؤال ، ولكن من أين تأتي كل هذه الأموال ، للحصول على 200 مليون دولار فقط؟

بطة.  لا أستطيع الإجابة على ذلك ، دوغ.

دوغ.  رقم

بطة.  هل هو أن العالم أكثر سذاجة مما كان عليه من قبل؟

هل هناك قدر هائل من المكاسب غير المشروعة في مجتمع العملة المشفرة؟

لذلك هناك أشخاص لم يضعوا أموالهم الخاصة في هذا الأمر ، لكن انتهى بهم الأمر بحمل كامل من العملات المشفرة بوسائل خبيثة بدلاً من أن تكون عادلة. (نحن نعلم أن مدفوعات الفدية تأتي عمومًا كعملات مشفرة ، أليس كذلك؟)

بحيث يكون الأمر أشبه بالمال المضحك ... ربما لم يقدم الشخص الذي يخسر "المال" نقدًا مقدمًا؟

هل هي مجرد حماسة دينية تقريبًا من جانب الناس الذين يقولون ، "لا ، لا ، هذه هي الطريقة للقيام بذلك. نحن بحاجة إلى كسر الطريق الخانق الذي تقوم به المؤسسات المالية القديمة ، المتخلفة ، والمنظمة للغاية. علينا التحرر من الرجل "؟

لا أعلم ، ربما 200 مليون دولار ليست الكثير من المال بعد الآن ، دوغ؟

دوغ.  [يضحك] حسنًا ، بالطبع!

بطة.  أظن أن هناك مجرد أشخاص يدخلون وأعينهم مغلقة.

سيقولون ، "أنا * مستعد لأخذ هذه المخاطرة لأنه رائع جدًا."

والمشكلة هي أنك إذا كنت ستخسر 200 دولار ، أو 2000 دولار ، ويمكنك تحمل خسارته ، فهذا شيء واحد.

لكن إذا ذهبت مقابل 2000 دولار وفكرت ، "أنت تعرف ماذا. ربما يجب أن أذهب مقابل 20,000 دولار؟ " ثم تفكر ، "أنت تعرف ماذا. ربما يجب أن أذهب مقابل 200,000 دولار؟ ربما يجب أن أذهب كل شيء؟ "

بعد ذلك ، أعتقد أنك بحاجة إلى توخي الحذر الشديد بالفعل!

على وجه التحديد لأسباب الحماية التنظيمية التي قد تشعر أن لديك ، كما تفعل عندما يحدث شيء سيء في بطاقتك الائتمانية وأنت تتصل هاتفياً وتعارضه ويذهبون. "حسنًا" ، وشطبوا 52.23 دولارًا من الفاتورة ...

... هذا لن يحدث في هذه الحالة.

ومن غير المحتمل أن يكون 52 دولارًا ، فمن المحتمل أن يكون أكثر من ذلك بكثير.

لذا اعتن بنفسك هناك ، أيها الناس!

دوغ.  اعتن بنفسك بالفعل.

حسنًا ، شكرًا لك على التعليق.

وإذا كانت لديك قصة أو تعليق أو سؤال مثير للاهتمام تود إرساله ، فنحن نحب قراءته في البودكاست.

يمكنك البريد الالكتروني tips@sophos.com؛ يمكنك التعليق على أي من مقالاتنا ؛ يمكنك التواصل معنا على مواقع التواصل الاجتماعي: @NakedSecurity.

هذا هو عرضنا لهذا اليوم - شكرًا جزيلاً على الاستماع.

بالنسبة لبول دوكلين ، أنا دوج آموث ، أذكرك حتى المرة القادمة لـ ...

على حد سواء.  كن آمنا!

[مودم موسيقي]

الطابع الزمني:

اكثر من الأمن عارية