![S3 Ep94: Diese Art von Krypto (Grafik) und die andere Art von Krypto (Währung!) [Audio + Text] PlatoBlockchain Data Intelligence. Vertikale Suche. Ai.](https://platoblockchain.com/wp-content/uploads/2022/08/s3-ep94-200000000.png "S3 Ep94: Diese Art von Krypto (Grafik) und die andere Art von Krypto (Währung!) [Audio + Text]")
Klicken und ziehen Sie auf die unten stehenden Schallwellen, um zu einem beliebigen Punkt zu springen. Du kannst auch direkt zuhören auf Soundcloud.
Mit Doug Aamoth und Paul Ducklin.
Intro- und Outro-Musik von Edith Mudge.
Ihr könnt uns auf hören Soundcloud, Apple Podcasts, Google Podcasts, Spotify, Stitcher und überall, wo gute Podcasts zu finden sind. Oder lass es einfach fallen URL unseres RSS-Feeds in Ihren Lieblings-Podcatcher.
LESEN SIE DAS TRANSKRIPT
DOUG. A kritischer Samba-Bug, noch ein anderer Kryptodiebstahl und Einen schönen SysAdmin-Tag.
All das und mehr im Naked Security Podcast.
[MUSIKMODEM]
Willkommen zum Podcast, alle zusammen.
Ich bin Doug Aamoth.
Bei mir ist wie immer Paul Ducklin … Paul, wie geht es dir heute?
ENTE. Ausgezeichnet, danke Douglas.
DOUG. Wir beginnen die Show gerne mit etwas Technikgeschichte.
Und diese Woche, Paul, gehen wir weit zurück ins Jahr 1858!
Diese Woche im Jahr 1858 wurde das erste transatlantische Telegrafenkabel fertiggestellt.
Es wurde vom amerikanischen Kaufmann Cyrus Westfield angeführt, und das Kabel verlief von Trinity Bay, Neufundland, nach Valencia, Irland, etwa 2000 Meilen breit und mehr als 2 Meilen tief.
Dies wäre der fünfte Versuch, und leider funktionierte das Kabel nur etwa einen Monat.
Aber es funktionierte lange genug, damit der damalige Präsident James Buchanan und Königin Victoria Freundlichkeiten austauschten.
ENTE. Ja, ich glaube, es war, wie soll ich sagen … schwach. [LACHEN]
1858!
Was Gott geschrieben hat?, Doug! [WORTE, DIE IN DER ERSTEN TELEGRAFISCHEN NACHRICHT GESENDET WERDEN]
DOUG. [LACHT] Apropos Dinge, die geschmiedet wurden, es gibt a kritischer Samba-Bug das wurde inzwischen gepatcht.
Ich bin keineswegs ein Experte, aber dieser Fehler würde jeden dazu bringen, ein Domain-Admin zu werden … das klingt schlecht.
ENTE. Nun, es klingt schlecht, Doug, hauptsächlich deshalb, weil es ziemlich schlecht *ist*!
DOUG. Dort gehen Sie!
ENTE. Samba… nur um das klarzustellen, bevor wir anfangen, lassen Sie uns die gewünschten Versionen durchgehen.
Wenn Sie die Variante 4.16 verwenden, benötigen Sie 4.16.4 oder höher; wenn Sie auf 4.15 sind, benötigen Sie 4.15.9 oder höher; und wenn Sie auf 4.14 sind, benötigen Sie 4.14.14 oder höher.
Diese Fehlerbehebungen haben insgesamt sechs verschiedene Fehler behoben, die als schwerwiegend genug angesehen wurden, um CVE-Nummern zu erhalten – offizielle Bezeichner.
Derjenige, der auffiel, ist CVE-2022-32744.
Und der Titel des Fehlers sagt alles: Benutzer von Samba Active Directory können Passwortänderungsanfragen für jeden Benutzer fälschen.
DOUG. Ja, das klingt schlimm.
ENTE. Wie der vollständige Fehlerbericht in der Sicherheitsempfehlung sagt, heißt es im Änderungsprotokoll ziemlich rund:
„Ein Benutzer könnte das Passwort des Administratorkontos ändern und die vollständige Kontrolle über die Domäne erlangen. Ein vollständiger Verlust der Vertraulichkeit und Integrität sowie der Verfügbarkeit wäre möglich, indem Benutzern der Zugriff auf ihre Konten verweigert wird.“
Und wie unsere Zuhörer wahrscheinlich wissen, ist die sogenannte „heilige Dreifaltigkeit“ (Luftzitate) der Computersicherheit: Verfügbarkeit, Vertraulichkeit und Integrität.
Du solltest sie alle haben, nicht nur einen von ihnen.
Damit Integrität bedeutet, dass niemand sonst hineinkommen und mit Ihren Sachen herumspielen kann, ohne dass Sie es bemerken.
Verfügbarkeit sagt, dass Sie immer an Ihre Sachen herankommen können – sie können Sie nicht daran hindern, an sie heranzukommen, wenn Sie wollen.
Und Vertraulichkeit bedeutet, dass sie es nicht ansehen können, es sei denn, es soll ihnen erlaubt sein.
Eines davon, oder zwei davon, nützen für sich genommen nicht viel.
Das war also wirklich ein Trifecta, Doug!
Und ärgerlicherweise ist es genau der Teil von Samba, den Sie möglicherweise nicht nur verwenden, wenn Sie versuchen, einen Unix-Computer mit einer Windows-Domäne zu verbinden, sondern wenn Sie versuchen, eine Active Directory-Domäne für Windows-Computer einzurichten, auf denen sie verwendet werden können eine Reihe von Linux- oder Unix-Computern.
DOUG. Das kreuzt alle Kästchen auf die falsche Weise an!
Aber es gibt einen Patch out – und wir sagen immer: „Patch early, patch much.“
Gibt es eine Art Problemumgehung, die Leute verwenden können, wenn sie aus irgendeinem Grund nicht sofort patchen können, oder ist dies eine Art Sache, die man einfach macht?
ENTE. Nun, ich verstehe, dass dieser Fehler in dem Passwort-Authentifizierungsdienst genannt wird kpasswd.
Im Wesentlichen sucht dieser Dienst nach einer Passwortänderungsanforderung und überprüft, ob sie von einer vertrauenswürdigen Partei signiert oder autorisiert wurde.
Und leider könnte diese vertrauenswürdige Partei nach einer bestimmten Reihe von Fehlerbedingungen Sie selbst einschließen.
Es ist also so etwas wie ein Drucken Sie Ihren eigenen Reisepass aus Fehler, wenn Sie möchten.
Sie müssen einen Pass vorzeigen … es kann ein echter sein, der von Ihrer eigenen Regierung ausgestellt wurde, oder es kann einer sein, den Sie zu Hause auf Ihrem Tintenstrahldrucker erstellt haben, und beide würden die Musterung bestehen. [LACHEN]
Der Trick ist, wenn Sie sich bei Ihrer Verwendung von Samba nicht wirklich auf diesen Passwort-Authentifizierungsdienst verlassen, können Sie dies verhindern kpasswd Dienst vom Laufen.
Wenn Sie sich tatsächlich auf das gesamte Samba-System verlassen, um Ihre Active Directory-Authentifizierung und Ihre Passwortänderungen bereitzustellen, würde die Problemumgehung natürlich Ihr eigenes System beschädigen.
Die beste Verteidigung ist also natürlich der Patch, der den Fehler *entfernt*, anstatt ihn einfach zu *vermeiden*.
DOUG. Sehr gut.
Du kannst dich Lesen Sie mehr über das auf der Website: nakedscurity.sophos.com.
Und wir starten direkt in die schönste Zeit des Jahres!
Wir haben gerade gefeiert SysAdmin-Tag, Paul, und ich werde die Pointe hier nicht telegraphieren … aber du hattest ziemlich aufschreiben.
ENTE. Nun, einmal im Jahr ist es nicht zu viel verlangt, dass wir zur IT-Abteilung gehen und jeden anlächeln, der all diese versteckte Hintergrundarbeit geleistet hat …
… um unsere Computer und unsere Server und unsere Cloud-Dienste und unsere Laptops und unsere Telefone und unsere Netzwerk-Switches [DOUG lacht] und unsere DSL-Verbindungen und unser Wi-Fi-Kit in Betrieb zu halten [WERDEN SCHNELLER UND SCHNELLER]. guter zustand.
Verfügbar! Vertraulich! Voller Integrität, das ganze Jahr über!
Wenn Sie es nicht am letzten Freitag im Juli getan haben, das ist SysAdmin-Wertschätzungstag, warum gehst du dann nicht und tust es heute?
Und selbst wenn Sie es getan haben, spricht nichts dafür, dass Sie Ihre SysAdmins nicht jeden Tag im Jahr schätzen können.
Du musst es nicht nur im Juli machen, Doug.
DOUG. Guter Punkt!
ENTE. Also hier ist, was zu tun ist, Doug.
Ich werde dies ein „Gedicht“ oder „Vers“ nennen… Ich denke, technisch gesehen ist es doggerel [Gelächter], aber ich werde so tun, als ob es all die Freude und Wärme eines Shakespeare-Sonetts hat.
Es ist *kein* Sonett, aber es muss reichen.
DOUG. Perfect.
ENTE. Bitte schön, Doug.
Wenn die Batterien Ihrer Maus leer sind Oder das Licht Ihrer Webcam nicht leuchtet Wenn Sie sich nicht an Ihr Passwort erinnern können Oder Ihre E-Mail einfach nicht angezeigt wird Wenn Sie Ihr USB-Laufwerk verloren haben Oder Ihr Meeting nicht gestartet wird Wenn Sie es nicht können Erstellen Sie ein Histogramm Oder zeichnen Sie ein schönes rundes Diagramm Wenn Sie aus Versehen [Löschen] gedrückt haben Oder Ihre Festplatte formatiert haben Wenn Sie ein Backup erstellen wollten Aber stattdessen einfach ein Risiko eingegangen sind Wenn Sie wissen, dass der Schuldige offensichtlich ist Und die Schuld auf Sie zurückgeht Tu es nicht Gib die Hoffnung auf und sei niedergeschlagen. Eines bleibt zu tun! Nehmen Sie Pralinen, Wein, etwas Jubel, ein Lächeln und meinen Sie es ernst, wenn Sie sagen: "Ich bin gerade vorbeigekommen, um Ihnen allen einen großartigen SysAdmin-Tag zu wünschen!"
DOUG. [KLAPPEN] Wirklich gut! Einer deiner besten!
ENTE. So viel von dem, was SysAdmins tun, ist unsichtbar, und so vieles davon ist überraschend schwer gut und zuverlässig zu machen …
…und darauf zu verzichten, das eine zu reparieren und das andere kaputt zu machen.
Dieses Lächeln ist das Mindeste, was sie verdienen, Doug.
DOUG. Das Allermindeste!
ENTE. Also, an alle SysAdmins auf der ganzen Welt, ich hoffe, Sie haben den letzten Freitag genossen.
Und wenn Sie nicht genug Lächeln bekommen haben, dann nehmen Sie jetzt eines.
DOUG. Allen einen schönen SysAdmin-Tag, und lies das gedicht, was großartig ist ... es ist auf der Website.
In Ordnung, weiter zu etwas nicht so Großartigem: a Speicher-Missmanagement-Bug in GnuTLS.
ENTE. Ja, ich fand, dass es sich lohnt, über Naked Security zu schreiben, denn wenn Leute an Open-Source-Kryptographie denken, denken sie meistens an OpenSSL.
Weil (A) das derjenige ist, von dem jeder gehört hat, und (B) es der ist, der in den letzten Jahren wahrscheinlich die meiste Publicity wegen Bugs hatte Heartbleed.
Auch wenn Sie damals noch nicht dabei waren (es war vor acht Jahren), haben Sie wahrscheinlich schon von Heartbleed gehört, einer Art Daten- und Speicherverlust-Bug in OpenSSL.
Es war seit Ewigkeiten im Code und niemand hat es bemerkt.
Und dann bemerkte es jemand, und sie gaben ihm den ausgefallenen Namen, und sie gaben dem Käfer ein Logo, und sie gaben dem Käfer eine Website, und sie machten diese gewaltige PR-Sache daraus.
DOUG. [LACHT] Daran erkennt man, dass es echt ist …
ENTE. OK, sie taten es, weil sie darauf aufmerksam machen wollten, dass sie es entdeckt hatten, und darauf waren sie sehr stolz.
Und die Kehrseite war, dass die Leute rausgegangen sind und diesen Fehler behoben haben, den sie sonst vielleicht nicht getan hätten … weil es eben ein Fehler ist.
Es scheint nicht besonders dramatisch zu sein – es ist keine Remote-Code-Ausführung. damit sie nicht einfach eindampfen und sofort alle meine Websites usw. usw. übernehmen können.
Aber es hat OpenSSL zu einem bekannten Namen gemacht, nicht unbedingt aus den richtigen Gründen.
Es gibt jedoch viele kryptografische Open-Source-Bibliotheken, nicht nur OpenSSL, und mindestens zwei davon werden überraschend häufig verwendet, auch wenn Sie noch nie von ihnen gehört haben.
Es gibt NSS, kurz für Netzwerksicherheitsdienst, die Mozillas eigene kryptografische Bibliothek ist.
Sie können dies unabhängig von bestimmten Mozilla-Projekten herunterladen und verwenden, aber Sie werden es insbesondere in Firefox und Thunderbird finden, wo die gesamte Verschlüsselung dort durchgeführt wird – sie verwenden kein OpenSSL.
Und da ist GnuTLS, die eine Open-Source-Bibliothek unter dem GNU-Projekt ist, die im Wesentlichen, wenn Sie so wollen, ein Konkurrent oder eine Alternative zu OpenSSL ist und die (auch wenn Sie es nicht wissen) von überraschend vielen Open- Quellprojekte und Produkte…
…auch per Code, egal auf welcher Plattform Sie sich befinden, die Sie wahrscheinlich auf Ihrem System haben.
Das beinhaltet also alles, was mit sagen wir: FFmpeg; Mencoder; GnuPGP (das GNU-Schlüsselverwaltungstool); QEMU, Desktop; Samba, über das wir gerade im vorherigen Fehler gesprochen haben; Wget, das viele Leute zum Herunterladen aus dem Internet verwenden; Netzwerk-Sniffing-Tools von Wireshark; Zlib.
Es gibt Unmengen von Tools da draußen, die eine kryptografische Bibliothek benötigen und sich entschieden haben, entweder GnuTLS *anstelle* von OpenSSL zu verwenden, oder vielleicht sogar *sowie*, je nach Lieferkettenproblemen, welche Unterpakete sie gezogen haben in.
Möglicherweise haben Sie ein Projekt, bei dem einige Teile davon GnuTLS für ihre Kryptografie und einige Teile davon OpenSSL verwenden, und es ist schwierig, eines dem anderen vorzuziehen.
So landet man wohl oder übel bei beiden.
Und leider hatte GnuTLS (die gewünschte Version ist 3.7.7 oder höher) einen Fehlertyp, der als doppelt frei… ob Sie es glauben oder nicht, genau in dem Teil des Codes, der die TLS-Zertifikatvalidierung durchführt.
Also, in der Art von Ironie, die wir zuvor in kryptografischen Bibliotheken gesehen haben, Code, der TLS für verschlüsselte Übertragungen verwendet, sich aber nicht die Mühe macht, das andere Ende zu überprüfen … Code, der lautet: „Zertifikatsvalidierung, wer braucht das?“
Das wird im Allgemeinen als eine extrem schlechte Idee angesehen, ziemlich schäbig aus Sicherheitssicht … aber jeder Code, der das tut, wird nicht anfällig für diesen Fehler sein, weil er den fehlerhaften Code nicht aufruft.
Leider könnte Code, der versucht, das *Richtige* zu tun, durch ein Rogue-Zertifikat ausgetrickst werden.
Und um es einfach zu erklären, a doppelt frei ist die Art von Fehler, bei der Sie das Betriebssystem oder das System fragen: „Hey, geben Sie mir etwas Speicher. Ich brauche vorübergehend etwas Speicher. In diesem Fall habe ich all diese Zertifikatsdaten, ich möchte sie vorübergehend speichern, validieren und dann, wenn ich fertig bin, gebe ich den Speicher zurück, damit er von einem anderen Teil des Programms verwendet werden kann. ”
Wenn Sie ein C-Programmierer sind, werden Sie mit den Funktionen vertraut sein malloc(), kurz für „Speicher zuweisen“ und free(), das heißt „Gib es zurück“.
Und wir wissen, dass es eine Art von Bug namens gibt gebrauchsfertig, wo Sie die Daten zurückgeben, aber diesen Speicherblock trotzdem weiter verwenden und vergessen, dass Sie ihn aufgegeben haben.
Aber ein Double-Free ist etwas anders – hier geben Sie die Erinnerung zurück und vermeiden pflichtbewusst, sie erneut zu verwenden, aber dann sagen Sie zu einem späteren Zeitpunkt: „Moment mal, ich bin mir sicher, dass ich das nicht weitergegeben habe Erinnerung noch zurück. Ich gebe es besser zurück, nur für den Fall.“
Und so sagen Sie dem Betriebssystem: „Okay, geben Sie diesen Speicher wieder frei.“
Es sieht also so aus, als wäre es eine legitime Anfrage, die Daten freizugeben, *auf die sich ein anderer Teil des Programms tatsächlich stützt*.
Und wie Sie sich vorstellen können, können schlimme Dinge passieren, denn das bedeutet, dass Sie möglicherweise zwei Teile des Programms erhalten, die sich gleichzeitig unwissentlich auf denselben Speicherplatz verlassen.
Die gute Nachricht ist, dass ich nicht glaube, dass ein funktionierender Exploit für diesen Fehler gefunden wurde, und daher werden Sie, wenn Sie patchen, den Gaunern einen Schritt voraus sein, anstatt sie einfach einzuholen.
Aber die schlechte Nachricht ist natürlich, dass, wenn Bugfixes wie diese herauskommen, normalerweise eine Menge Leute sie sich ansehen und versuchen, zu analysieren, was schief gelaufen ist, in der Hoffnung, schnell zu verstehen, was sie tun können, um sie auszunutzen den Fehler gegen all die Leute, die mit dem Patchen zu langsam waren.
Mit anderen Worten: Zögern Sie nicht. Mach es heute.
DOUG. In Ordnung, die neueste Version von GnuTLS ist 3.7.7… bitte aktualisieren.
Du kannst dich Lesen Sie mehr darüber auf der Website.
ENTE. Oh, und Doug, anscheinend wurde der Fehler in GnuTLS 3.6.0 eingeführt.
DOUG. OK.
ENTE. Wenn Sie also eine frühere Version als diese haben, sind Sie theoretisch nicht anfällig für diesen Fehler …
… aber bitte benutzen Sie das nicht als Ausrede, um zu sagen: „Ich muss noch nicht aktualisieren.“
Sie können genauso gut alle anderen Updates überspringen, die für alle anderen Sicherheitsprobleme zwischen 3.6.0 und 3.7.6 herausgekommen sind.
Also die Tatsache, dass Sie nicht in die Kategorie dieses Fehlers fallen – verwenden Sie das nicht als Entschuldigung dafür, nichts zu tun.
Nehmt es als Anstoß, um euch in die Gegenwart zu bringen… das ist mein Rat.
DOUG. OK!
Und unsere letzte Geschichte der Woche: Wir sprechen von einem weiteren Kryptoraub.
Dieses Mal, nur $ 200 Millionen, aber Paul.
Dies ist eine Kleinigkeit im Vergleich zu einigen anderen, über die wir gesprochen haben.
ENTE. Ich möchte das fast nicht sagen, Doug, aber einer der Gründe, warum ich das geschrieben habe, ist, dass ich es mir angesehen und gedacht habe: „Oh, nur 200 Millionen? Das ist ein ziemlich kleiner Ti… WAS DENKE ICH!?“ [LACHEN]
200 Millionen Dollar, im Grunde … na ja, nicht „die Toilette hinunter“, sondern „aus dem Banktresor“.
Dieser Dienst Nomad stammt von einem Unternehmen namens Illusory Systems Incorporated.
Und ich denke, Sie werden mir zustimmen, dass das Wort „illusorisch“ sicherlich aus Sicherheitsgesichtspunkten die richtige Art von Metapher ist.
Es ist ein Dienst, der es Ihnen im Wesentlichen ermöglicht, das zu tun, was im Fachjargon bekannt ist Überbrückung.
Sie handeln im Grunde genommen aktiv eine Kryptowährung gegen eine andere.
Sie stecken also Ihre eigene Kryptowährung zusammen mit vielen anderen Leuten in einen riesigen Eimer … und dann können wir all diese ausgefallenen, automatisierten Smart Contracts für „dezentralisierte Finanzen“ durchführen.
Wir können Bitcoin gegen Ether oder Ether gegen Monero oder was auch immer tauschen.
Unglücklicherweise scheinen sie während eines kürzlichen Code-Updates in die gleiche Art von Loch gefallen zu sein, das vielleicht die Samba-Jungs mit dem Fehler gemacht haben, über den wir in Samba gesprochen haben.
Es gibt im Grunde eine Drucken Sie Ihren eigenen Reisepass aus, Oder Autorisieren Sie Ihre eigene Transaktion Fehler, den sie eingeführt haben.
Es gibt einen Punkt im Code, an dem ein kryptografischer Hash, ein kryptografischer 256-Bit-Hash, validiert werden soll … etwas, auf das niemand außer einem autorisierten Genehmiger möglicherweise kommen könnte.
Außer, dass Sie Muster bestehen würden, wenn Sie zufällig den Wert Null verwenden würden.
Sie könnten im Grunde die vorhandene Transaktion eines anderen nehmen, den Namen des Empfängers mit Ihrem umschreiben („Hey, zahlen Sie *meine* Kryptowährungs-Wallet“) und die Transaktion einfach wiederholen.
Und das System sagt „OK“.
Sie müssen nur die Daten im richtigen Format erhalten, das ist mein Verständnis.
Und der einfachste Weg, eine Transaktion zu erstellen, die die Probe bestehen würde, besteht darin, einfach die vorab abgeschlossene, vorhandene Transaktion einer anderen Person zu nehmen, sie zu wiederholen, aber ihren Namen oder ihre Kontonummer durchzustreichen und Ihre eigene einzugeben.
Also als Kryptowährungsanalyst @samczsun sagte auf Twitter, „Angreifer haben dies missbraucht, um Transaktionen zu kopieren und einzufügen, und die Brücke in einem hektischen Free-for-all schnell geleert.“
Mit anderen Worten, die Leute sind einfach verrückt geworden, Geld am Geldautomaten abzuheben, der jede Bankkarte akzeptieren würde, vorausgesetzt, Sie geben eine PIN von Null ein.
Und das nicht nur, bis der Geldautomat leer war… der Geldautomat war praktisch direkt mit der Seite des Banktresors verbunden, und das Geld floss einfach heraus.
DOUG. Arrrgh!
ENTE. Wie Sie sagen, haben sie anscheinend in kurzer Zeit bis zu 200 Millionen Dollar verloren.
Ach je.
DOUG. Nun, wir haben einige Ratschläge, und es ist ziemlich einfach …
ENTE. Der einzige Rat, den Sie wirklich geben können, ist: „Beeilen Sie sich nicht, sich dieser dezentralisierten Finanzrevolution anzuschließen.“
Wie wir vielleicht bereits gesagt haben, stellen Sie sicher, dass Sie, wenn Sie *es tun*, in diesen „Online-Handel; Leihen Sie uns Kryptowährung und wir zahlen Ihnen Zinsen; Legen Sie Ihre Sachen in eine Hot Wallet, damit Sie innerhalb von Sekunden handeln können; Steigen Sie in die gesamte Smart-Contract-Szene ein; kaufe meine nicht fungiblen Token [NFTs]“ – all das Zeug…
…wenn Sie sich entscheiden, dass dieser Marktplatz das Richtige für Sie ist, stellen Sie bitte sicher, dass Sie mit offenen Augen hineingehen, nicht mit geschlossenen Augen!
Und der einfache Grund ist, dass es in Fällen wie diesem nicht einfach so ist, dass die Gauner in der Lage sein könnten, *einige* der Geldautomaten der Bank zu leeren.
In diesem Fall klingt es erstens so, als hätten sie fast alles aufgebraucht, und zweitens gibt es anders als bei herkömmlichen Banken einfach nicht den regulatorischen Schutz, den Sie genießen würden, wenn eine echte Bank pleite geht.
Im Fall der dezentralisierten Finanzierung ist die ganze Idee, dass sie dezentralisiert und neu und cool ist und etwas, in das man sich stürzen möchte …
…ist, dass es diese lästigen regulatorischen Schutzmaßnahmen *nicht* hat.
Du könntest, und möglicherweise könntest du – denn wir haben öfter darüber gesprochen, als mir lieb ist, wirklich – du könntest *alles* verlieren.
Und die Kehrseite davon ist, wenn Sie Sachen in einer dezentralisierten Finanz- oder „Web 3.0-brandneuen Super-Handelswebsite“-Implosion wie dieser verloren haben, dann seien Sie sehr vorsichtig, wenn Leute kommen und sagen: „Hey, mach dir keine Sorgen. Trotz der fehlenden Regulierung gibt es Expertenunternehmen, die Ihr Geld zurückbekommen können. Alles, was Sie tun müssen, ist, Unternehmen X, Person Y oder Social-Media-Konto Z zu kontaktieren.“
Denn wann immer es zu einer solchen Katastrophe kommt, kommen die sekundären Betrüger ziemlich schnell angerannt und bieten an, „einen Weg zu finden“, um Ihr Geld zurückzubekommen.
Es gibt viele Betrüger, also seien Sie sehr vorsichtig.
Wenn Sie Geld verloren haben, geben Sie sich nicht die Mühe, gutes Geld schlechtem (oder schlechtem Geld gutes hinterherzuwerfen, wie auch immer es ausfallen mag).
DOUG. OK, dazu kannst du mehr lesen: Cryptocoin „Token Swapper“ Nomad verliert 200 Millionen Dollar durch Codierungsfehler.
Und wenn wir von einem unserer Leser zu dieser Geschichte hören, schreibt ein anonymer Kommentator, und ich stimme zu … Ich verstehe nicht, wie das funktioniert:
„Erstaunlich ist, dass ein Online-Startup überhaupt so viel zu verlieren hatte. 200,000 Dollar, können Sie sich vorstellen. Aber 200 Millionen Dollar scheinen unglaublich.“
Und ich denke, wir haben diese Frage irgendwie beantwortet, aber woher kommt all das Geld, um nur 200 Millionen Dollar zu schnappen?
ENTE. Das kann ich nicht beantworten, Doug.
DOUG. Nein.
ENTE. Ist die Welt leichtgläubiger als früher?
Ist es so, dass in der Kryptowährungs-Community eine Menge unrechtmäßig erworbener Gewinne herumschwappt?
Es gibt also Leute, die nicht wirklich ihr eigenes Geld hineingesteckt haben, aber am Ende mit einer ganzen Ladung Kryptowährung eher auf üble als auf faire Weise gelandet sind. (Wir wissen, dass Ransomware-Zahlungen im Allgemeinen in Form von Kryptowährungen erfolgen, nicht wahr?)
Damit es wie lustiges Geld ist … hat die Person, die das „Geld“ verliert, vielleicht kein Bargeld im Voraus eingezahlt?
Ist es nur ein fast religiöser Eifer von Seiten der Leute, die sagen: „Nein, nein, *das* ist der Weg, es zu tun. Wir müssen den Würgegriff durchbrechen, mit dem die altmodischen, fuddy-duddy, hochgradig regulierten Finanzorganisationen Dinge tun. Wir müssen uns von The Man befreien“?
Ich weiß nicht, vielleicht sind 200 Millionen Dollar einfach nicht mehr viel Geld, Doug?
DOUG. [LACHT] Nun, natürlich!
ENTE. Ich vermute, dass es nur Leute gibt, die mit weit geschlossenen Augen hineingehen.
Sie sagen: „Ich *bin* bereit, dieses Risiko einzugehen, weil es einfach so cool ist.“
Und das Problem ist, dass wenn Sie $200 oder $2000 verlieren und es sich leisten können, es zu verlieren, das eine Sache ist.
Aber wenn Sie für 2000 Dollar eingesprungen sind und denken: „Weißt du was. Vielleicht sollte ich für 20,000 Dollar einsteigen?“ Und dann denkst du: „Weißt du was. Vielleicht sollte ich für 200,000 Dollar einsteigen? Vielleicht sollte ich All-in gehen?“
Dann denke ich, dass Sie in der Tat sehr vorsichtig sein müssen!
Genau aus den Gründen, aus denen Sie den behördlichen Schutz haben, den Sie möglicherweise haben, wie Sie ihn haben, wenn etwas Schlimmes mit Ihrer Kreditkarte passiert und Sie einfach anrufen und es anfechten, und sie gehen. „OK“, und sie streichen die 52.23 $ von der Rechnung …
…das wird in diesem Fall nicht passieren.
Und es ist unwahrscheinlich, dass es $52 sein wird, es wird wahrscheinlich viel mehr sein.
Also passt da draußen auf, Leute!
DOUG. Pass auf dich auf, in der Tat.
Alles klar, danke für den Kommentar.
Und wenn Sie eine interessante Geschichte, einen Kommentar oder eine Frage haben, die Sie einreichen möchten, würden wir sie gerne im Podcast lesen.
Sie können eine E-Mail senden tips@sophos.com; Sie können jeden unserer Artikel kommentieren; Sie können uns in den sozialen Netzwerken erreichen: @NakedSecurity.
Das ist unsere Show für heute – vielen Dank fürs Zuhören.
Für Paul Ducklin bin ich Doug Aamoth und erinnere Sie daran, bis zum nächsten Mal …
BEIDE. Bleib sicher!
[MUSIKMODEM]
- Blockchain
- Einfallsreichtum
- kryptowährung
- Cryptocurrency Brieftaschen
- Kryptoaustausch
- Kryptogramm
- Geheimschrift
- Internet-Sicherheit
- Cyber-Kriminalität
- Cyber-Kriminelle
- Internet-Sicherheit
- Heimatschutzministerium
- digitale Brieftaschen
- Firewall
- Kaspersky
- Malware
- McAfee
- Nackte Sicherheit
- Nackter Sicherheits-Podcast
- NexBLOC
- Plato
- platon ai
- Datenintelligenz von Plato
- Plato-Spiel
- PlatoData
- Platogaming
- Podcast
- VPN
- Verwundbarkeit
- Website-Sicherheit
- Zephyrnet
![S3 Ep103: Betrüger im Slammer (und andere Geschichten) [Audio + Text] PlatoBlockchain Data Intelligence. Vertikale Suche. Ai.](https://platoblockchain.com/wp-content/uploads/2022/10/s3-ep103-cover-1200-360x188.png "S3 Ep103: Betrüger im Slammer (und andere Geschichten) [Audio + Text]")
![S3 Ep118: Erraten Sie Ihr Passwort? Keine Notwendigkeit, wenn es bereits gestohlen wurde! [Audio + Text]](https://platoblockchain.com/wp-content/uploads/2023/01/s3-ep118-guess-your-password-no-need-if-its-stolen-already-audio-text-360x188.png "S3 Ep118: Erraten Sie Ihr Passwort? Keine Notwendigkeit, wenn es bereits gestohlen wurde! [Audio + Text]")
