![S3 Ep94: Αυτό το είδος κρυπτογράφησης (γραφική παράσταση) και το άλλο είδος κρυπτογράφησης (νόμισμα!) [Ήχος + Κείμενο] PlatoBlockchain Data Intelligence. Κάθετη αναζήτηση. Ολα συμπεριλαμβάνονται.](https://platoblockchain.com/wp-content/uploads/2022/08/s3-ep94-200000000.png "S3 Ep94: Αυτό το είδος κρυπτογράφησης (γραφική παράσταση) και το άλλο είδος κρυπτογράφησης (νόμισμα!) [Ήχος + Κείμενο]")
Κάντε κλικ και σύρετε στα ηχητικά κύματα παρακάτω για να μεταβείτε σε οποιοδήποτε σημείο. Μπορείτε επίσης να ακούστε απευθείας στο Soundcloud.
Με τους Doug Aamoth και Paul Ducklin.
Intro και outro μουσική από Edith Mudge.
Μπορείτε να μας ακούσετε στο SoundCloud, Apple Podcasts, Podcasts Google, Spotify, Ράπτων και οπουδήποτε υπάρχουν καλά podcast. Ή απλά ρίξτε το URL της ροής RSS μας στο αγαπημένο σας podcatcher.
ΔΙΑΒΑΣΤΕ ΤΟ ΜΕΤΑΓΡΑΦΟ
ΖΥΜΗ. A κρίσιμο σφάλμα Samba, ακόμη ένα άλλο κλοπή κρυπτογράφησης, να Ευτυχισμένη Ημέρα SysAdmin.
Όλα αυτά και πολλά άλλα, στο podcast του Naked Security.
[ΜΟΥΣΙΚΟ ΜΟΝΤΕΜ]
Καλώς ήρθατε στο podcast, όλοι.
Είμαι ο Doug Aamoth.
Μαζί μου, όπως πάντα, είναι ο Paul Ducklin… Paul, πώς τα πάτε σήμερα;
ΠΑΠΙΑ. Εξαιρετικό, ευχαριστώ, Ντάγκλας.
ΖΥΜΗ. Μας αρέσει να ξεκινάμε την εκπομπή με λίγη ιστορία τεχνολογίας.
Και αυτή την εβδομάδα, Παύλο, θα πάμε πολύ πίσω στο 1858!
Αυτή την εβδομάδα το 1858, ολοκληρώθηκε το πρώτο υπερατλαντικό τηλεγραφικό καλώδιο.
Αιχμή του δόρατος ήταν ο Αμερικανός έμπορος Cyrus Westfield και το καλώδιο περνούσε από τον κόλπο Trinity, Newfoundland, στη Βαλένθια της Ιρλανδίας, περίπου 2000 μίλια πλάτος και πάνω από 2 μίλια βάθος.
Αυτή θα ήταν η πέμπτη προσπάθεια, και δυστυχώς, το καλώδιο λειτούργησε μόνο για περίπου ένα μήνα.
Αλλά λειτούργησε για αρκετό καιρό ώστε ο τότε Πρόεδρος Τζέιμς Μπιούκαναν και η βασίλισσα Βικτόρια να ανταλλάξουν ευχάριστες απολαύσεις.
ΠΑΠΙΑ. Ναι, πιστεύω ότι ήταν, πώς να το πω… λιποθυμία. [ΓΕΛΙΟ]
1858!
Τι έκανε ο Θεός;, Νταγκ! [ΛΕΞΕΙΣ ΑΠΟΣΤΟΛΕΣ ΣΤΟ ΠΡΩΤΟ ΤΗΛΕΓΡΑΦΙΚΟ ΜΗΝΥΜΑ]
ΖΥΜΗ. [ΓΕΛΙΑ] Μιλώντας για πράγματα που έχουν γίνει, υπάρχει ένα κρίσιμο σφάλμα Samba που έκτοτε επιδιορθώθηκε.
Δεν είμαι ειδικός σε καμία περίπτωση, αλλά αυτό το σφάλμα θα επέτρεπε σε οποιονδήποτε να γίνει Διαχειριστής τομέα… αυτό ακούγεται κακό.
ΠΑΠΙΑ. Λοιπόν, ακούγεται άσχημα, Νταγκ, κυρίως για τον λόγο ότι *είναι* μάλλον κακό!
ΖΥΜΗ. Ορίστε!
ΠΑΠΙΑ. Samba… για να είμαστε ξεκάθαροι, προτού ξεκινήσουμε, ας δούμε τις εκδόσεις που θέλετε.
Εάν είστε στη γεύση 4.16, χρειάζεστε 4.16.4 ή νεότερη έκδοση. Εάν είστε στο 4.15, χρειάζεστε 4.15.9 ή νεότερη έκδοση. και αν είστε στην 4.14, χρειάζεστε 4.14.14 ή μεταγενέστερη.
Αυτές οι διορθώσεις σφαλμάτων, συνολικά, διόρθωσαν έξι διαφορετικά σφάλματα που θεωρήθηκαν αρκετά σοβαρά για να λάβουν αριθμούς CVE - επίσημους χαρακτηρισμούς.
Αυτό που ξεχώρισε είναι CVE-2022-32744.
Και ο τίτλος του σφάλματος τα λέει όλα: Οι χρήστες του Samba Active Directory μπορούν να πλαστογραφήσουν αιτήματα αλλαγής κωδικού πρόσβασης για οποιονδήποτε χρήστη.
ΖΥΜΗ. Ναι, αυτό ακούγεται άσχημο.
ΠΑΠΙΑ. Έτσι, όπως λέει η πλήρης αναφορά σφαλμάτων στο συμβουλευτικό δελτίο ασφαλείας, το αρχείο καταγραφής αλλαγών λέει, με μάλλον ορατό τρόπο:
«Ένας χρήστης θα μπορούσε να αλλάξει τον κωδικό πρόσβασης του λογαριασμού διαχειριστή και να αποκτήσει τον απόλυτο έλεγχο του τομέα. Θα ήταν δυνατή η πλήρης απώλεια του απορρήτου και της ακεραιότητας, καθώς και της διαθεσιμότητας με την άρνηση πρόσβασης των χρηστών στους λογαριασμούς τους.»
Και όπως πιθανότατα γνωρίζουν οι ακροατές μας, η λεγόμενη «αγία τριάδα» (αεροπορικά εισαγωγικά) της ασφάλειας των υπολογιστών είναι: διαθεσιμότητα, εμπιστευτικότητα και ακεραιότητα.
Υποτίθεται ότι τα έχεις όλα, όχι μόνο ένα από αυτά.
Έτσι ακεραιότητα σημαίνει ότι κανένας άλλος δεν μπορεί να μπει και να ασχοληθεί με τα πράγματά σας χωρίς να το προσέξετε.
Διαθεσιμότητα λέει ότι μπορείς πάντα να ασχοληθείς με τα πράγματά σου – δεν μπορούν να σε εμποδίσουν να τα καταφέρεις όταν το θέλεις.
Και εμπιστευτικότητα σημαίνει ότι δεν μπορούν να το κοιτάξουν εκτός αν υποτίθεται ότι τους επιτρέπεται.
Οποιοδήποτε από αυτά, ή οποιοδήποτε από αυτά, δεν είναι πολύ χρήσιμο από μόνο του.
Λοιπόν, αυτό ήταν πραγματικά ένα trifecta, Doug!
Και είναι ενοχλητικό, είναι στο ίδιο μέρος της Samba που μπορεί να χρησιμοποιήσετε όχι μόνο εάν προσπαθείτε να συνδέσετε έναν υπολογιστή Unix σε έναν τομέα Windows, αλλά εάν προσπαθείτε να ρυθμίσετε έναν τομέα Active Directory για υπολογιστές Windows για χρήση ένα σωρό υπολογιστές Linux ή Unix.
ΖΥΜΗ. Αυτό σημαίνει τικάρισμα όλων των πλαισίων με όλους τους λάθος τρόπους!
Αλλά υπάρχει ένα έμπλαστρο - και πάντα λέμε, "Εμπάλωσε νωρίς, μπάλωσε συχνά".
Υπάρχει κάποιο είδος λύσης που μπορούν να χρησιμοποιήσουν οι άνθρωποι εάν δεν μπορούν να επιδιορθώσουν αμέσως για κάποιο λόγο ή πρόκειται για κάτι που απλά κάνει;
ΠΑΠΙΑ. Λοιπόν, καταλαβαίνω ότι αυτό το σφάλμα βρίσκεται στην υπηρεσία ελέγχου ταυτότητας κωδικού πρόσβασης που ονομάζεται kpasswd.
Ουσιαστικά αυτό που κάνει αυτή η υπηρεσία είναι να αναζητά ένα αίτημα αλλαγής κωδικού πρόσβασης και να επαληθεύει ότι είναι υπογεγραμμένο ή εξουσιοδοτημένο από κάποιο είδος αξιόπιστου μέρους.
Και δυστυχώς, μετά από μια σειρά συνθηκών σφάλματος, αυτό το αξιόπιστο μέρος θα μπορούσε να περιλαμβάνει τον εαυτό σας.
Έτσι είναι κάπως σαν α Εκτυπώστε το δικό σας διαβατήριο bug, αν θέλετε.
Πρέπει να προσκομίσετε ένα διαβατήριο… μπορεί να είναι πραγματικό που έχει εκδοθεί από την κυβέρνησή σας ή μπορεί να είναι ένα διαβατήριο που έχετε χτυπήσει στο σπίτι στον εκτυπωτή σας inkjet και θα περάσουν και τα δύο. [ΓΕΛΙΟ]
Το κόλπο είναι ότι εάν δεν βασίζεστε πραγματικά σε αυτήν την υπηρεσία ελέγχου ταυτότητας κωδικού πρόσβασης στη χρήση του Samba, μπορείτε να το αποτρέψετε kpasswd υπηρεσία από τη λειτουργία.
Φυσικά, εάν βασίζεστε πραγματικά σε ολόκληρο το σύστημα Samba για να παρέχετε τον έλεγχο ταυτότητας Active Directory και τις αλλαγές του κωδικού πρόσβασής σας, η λύση θα έσπασε το δικό σας σύστημα.
Έτσι, η καλύτερη άμυνα, φυσικά, είναι πράγματι το έμπλαστρο που *αφαιρεί* το σφάλμα αντί απλώς να το *αποφεύγει*.
ΖΥΜΗ. Πολύ καλό.
Μπορείς να διαβάστε περισσότερα για αυτό στον ιστότοπο: nakedscurity.sophos.com.
Και προχωράμε αμέσως στην πιο υπέροχη εποχή του χρόνου!
Μόλις γιορτάσαμε Ημέρα SysAdmin, Πολ, και δεν θα τηλεγραφώ εδώ... αλλά εσύ το έκανες αρκετά γράφω.
ΠΑΠΙΑ. Λοιπόν, μια φορά το χρόνο, δεν είναι πολύ να ζητάμε να πηγαίνουμε στο τμήμα Πληροφορικής και να χαμογελάμε σε όλους όσους έχουν κάνει όλη αυτή την κρυφή δουλειά…
… για να διατηρήσουμε τους υπολογιστές μας, τους διακομιστές μας, τις υπηρεσίες cloud, τους φορητούς υπολογιστές και τα τηλέφωνά μας και τους διακόπτες δικτύου [DOUG LAUGHS], τις συνδέσεις DSL και το κιτ Wi-Fi καλή κατάσταση λειτουργίας.
Διαθέσιμος! Εμπιστευτικός! Γεμάτη ακεραιότητα, όλο το χρόνο!
Αν δεν το κάνατε την τελευταία Παρασκευή του Ιουλίου, που είναι SysAdmin Appreciation Day, τότε γιατί να μην πάτε να το κάνετε σήμερα;
Και ακόμα κι αν το κάνατε, δεν υπάρχει τίποτα που να λέει ότι δεν μπορείτε να εκτιμήσετε τους SysAdmins σας κάθε μέρα του χρόνου.
Δεν χρειάζεται να το κάνεις μόνο τον Ιούλιο, Νταγκ.
ΖΥΜΗ. Σωστή παρατήρηση!
ΠΑΠΙΑ. Να τι πρέπει να κάνετε λοιπόν, Νταγκ.
Θα το ονομάσω "ποίημα" ή "στίχο"… Νομίζω ότι τεχνικά είναι σκυλάκι [ΓΕΛΙΟ], αλλά θα προσποιηθώ ότι έχει όλη τη χαρά και τη ζεστασιά ενός σονέτου του Σαίξπηρ.
*Δεν είναι* σονέτο, αλλά θα πρέπει να γίνει.
ΖΥΜΗ. Τέλεια.
ΠΑΠΙΑ. Ορίστε, Νταγκ.
Εάν το ποντίκι σας έχει τελειώσει οι μπαταρίες ή το φως της κάμερας web δεν θα ανάψει Εάν δεν μπορείτε να ανακαλέσετε τον κωδικό πρόσβασής σας ή το email σας απλώς δεν θα εμφανιστεί Εάν χάσατε τη μονάδα USB ή η σύσκεψή σας δεν θα ξεκινήσει Εάν δεν μπορείτε δημιουργήστε ένα ιστόγραμμα Ή σχεδιάστε ένα ωραίο στρογγυλό γράφημα Εάν πατήσετε [Διαγραφή] κατά λάθος ή μορφοποιήσατε τον δίσκο σας, εάν θέλατε να δημιουργήσετε αντίγραφο ασφαλείας, αλλά απλώς ρισκάρατε Αν ξέρετε ότι ο ένοχος είναι προφανής Και η ευθύνη επιστρέφει σε εσάς Μην εγκαταλείψτε την ελπίδα και απογοητευτείτε Ένα πράγμα μένει να κάνετε! Πάρτε σοκολάτες, κρασί, λίγη ευθυμία, ένα χαμόγελο Και εννοείτε το όταν λέτε: "Μόλις μπήκα για να σας ευχηθώ μια υπέροχη Ημέρα SysAdmin!"
ΖΥΜΗ. [ΧΑΚΡΟΚΡΑΤΙΑ] Πολύ καλό! Ένα από τα καλύτερα σου!
ΠΑΠΙΑ. Πολλά από αυτά που κάνουν οι SysAdmins είναι αόρατα και τόσα πολλά από αυτά είναι εκπληκτικά δύσκολο να γίνουν καλά και αξιόπιστα…
…και να κάνετε χωρίς να διορθώσετε ένα πράγμα και να σπάσετε ένα άλλο.
Αυτό το χαμόγελο είναι το λιγότερο που τους αξίζει, Νταγκ.
ΖΥΜΗ. Το λιγότερο!
ΠΑΠΙΑ. Έτσι, σε όλους τους SysAdmins σε όλο τον κόσμο, ελπίζω να σας άρεσε η περασμένη Παρασκευή.
Και αν δεν έχετε αρκετά χαμόγελα, τότε πάρτε ένα τώρα.
ΖΥΜΗ. Καλή Ημέρα SysAdmin, σε όλους και διάβασε αυτό το ποίημα, το οποίο είναι υπέροχο… είναι στον ιστότοπο.
Εντάξει, προχωράμε σε κάτι όχι και τόσο σπουδαίο: α σφάλμα κακής διαχείρισης μνήμης στο GnuTLS.
ΠΑΠΙΑ. Ναι, σκέφτηκα ότι αξίζει να το γράψω στο Naked Security, γιατί όταν οι άνθρωποι σκέφτονται την κρυπτογράφηση ανοιχτού κώδικα, τείνουν να σκέφτονται το OpenSSL.
Επειδή (Α) είναι αυτό που όλοι έχουν ακούσει και (Β) είναι αυτό που είχε πιθανώς τη μεγαλύτερη δημοσιότητα τα τελευταία χρόνια για σφάλματα, λόγω heartbleed.
Ακόμα κι αν δεν ήσασταν εκεί εκείνη την εποχή (ήταν πριν από οκτώ χρόνια), πιθανότατα θα έχετε ακούσει για το Heartbleed, το οποίο ήταν ένα είδος σφάλματος διαρροής δεδομένων και διαρροής μνήμης στο OpenSSL.
Ήταν στον κώδικα για αιώνες και κανείς δεν το πρόσεξε.
Και τότε κάποιος το παρατήρησε, και του έδωσαν το φανταχτερό όνομα, και έδωσαν στο σφάλμα ένα λογότυπο, και έδωσαν στο σφάλμα έναν ιστότοπο, και έφτιαξαν αυτό το τεράστιο πράγμα δημοσίων σχέσεων από αυτό.
ΖΥΜΗ. [ΓΕΛΙΑ] Έτσι ξέρεις ότι είναι αληθινό…
ΠΑΠΙΑ. Εντάξει, το έκαναν γιατί ήθελαν να επιστήσουν την προσοχή στο γεγονός ότι το ανακάλυψαν και ήταν πολύ περήφανοι για αυτό το γεγονός.
Και η άλλη πλευρά ήταν ότι οι άνθρωποι βγήκαν και διόρθωσαν αυτό το σφάλμα που διαφορετικά δεν θα είχαν κάνει… γιατί, λοιπόν, είναι απλώς ένα σφάλμα.
Δεν φαίνεται τρομερά δραματικό – δεν είναι η απομακρυσμένη εκτέλεση κώδικα. έτσι δεν μπορούν απλώς να εισέλθουν και να καταλάβουν αμέσως όλους τους ιστότοπούς μου, κ.λπ. κ.λπ.
Αλλά έκανε το OpenSSL σε δημοφιλές όνομα, όχι απαραίτητα για όλους τους σωστούς λόγους.
Ωστόσο, υπάρχουν πολλές κρυπτογραφικές βιβλιοθήκες ανοιχτού κώδικα εκεί έξω, όχι μόνο το OpenSSL, και τουλάχιστον δύο από αυτές χρησιμοποιούνται εκπληκτικά ευρέως, ακόμα κι αν δεν έχετε ακούσει ποτέ γι' αυτές.
Υπάρχει NSS, συντομογραφία Υπηρεσία Ασφάλειας Δικτύου, που είναι η κρυπτογραφική βιβλιοθήκη της ίδιας της Mozilla.
Μπορείτε να το κατεβάσετε και να το χρησιμοποιήσετε ανεξάρτητα από οποιοδήποτε συγκεκριμένο έργο της Mozilla, αλλά θα το βρείτε, κυρίως, στον Firefox και στο Thunderbird, κάνοντας όλη την κρυπτογράφηση εκεί – δεν χρησιμοποιούν OpenSSL.
Και υπάρχει gnuTLS, η οποία είναι μια βιβλιοθήκη ανοιχτού κώδικα στο πλαίσιο του έργου GNU, η οποία ουσιαστικά, αν θέλετε, είναι ανταγωνιστής ή εναλλακτική του OpenSSL και χρησιμοποιείται (ακόμα κι αν δεν το καταλαβαίνετε) από έναν εκπληκτικό αριθμό ανοιχτών πηγαία έργα και προϊόντα…
…συμπεριλαμβανομένου του κώδικα, σε όποια πλατφόρμα κι αν βρίσκεστε, που πιθανότατα έχετε στο σύστημά σας.
Αυτό λοιπόν περιλαμβάνει οτιδήποτε έχει να κάνει με, ας πούμε: FFmpeg? Mencoder; GnuPGP (το εργαλείο διαχείρισης κλειδιών GNU). QEMU, Rdesktop; Samba, για το οποίο μόλις μιλήσαμε στο προηγούμενο σφάλμα. Wget, το οποίο πολλοί άνθρωποι χρησιμοποιούν για λήψη στο διαδίκτυο. Εργαλεία ανίχνευσης δικτύου του Wireshark. Ζλιμπ.
Υπάρχουν πολλά και πλήθος εργαλείων εκεί έξω που χρειάζονται μια κρυπτογραφική βιβλιοθήκη και έχουν αποφασίσει είτε να χρησιμοποιήσουν το GnuTLS *αντί* του OpenSSL ή ίσως ακόμη και *καθώς και*, ανάλογα με τα ζητήματα της εφοδιαστικής αλυσίδας από τα υποπακέτα που έχουν τραβήξει σε.
Μπορεί να έχετε ένα έργο όπου ορισμένα μέρη του χρησιμοποιούν GnuTLS για την κρυπτογράφηση τους και ορισμένα μέρη του χρησιμοποιούν OpenSSL και είναι δύσκολο να επιλέξετε το ένα από το άλλο.
Άρα καταλήγεις, καλώς ή κακώς, και με τους δύο.
Και δυστυχώς, το GnuTLS (η έκδοση που θέλετε είναι 3.7.7 ή νεότερη) είχε έναν τύπο σφάλματος που είναι γνωστός ως διπλό δωρεάν… το πιστεύετε ή όχι στο ίδιο μέρος του κώδικα που κάνει την επικύρωση πιστοποιητικού TLS.
Έτσι, κατά το είδος της ειρωνείας που έχουμε ξαναδεί σε κρυπτογραφικές βιβλιοθήκες, κώδικα που χρησιμοποιεί TLS για κρυπτογραφημένες μεταδόσεις, αλλά δεν ενοχλεί να επαληθεύσει το άλλο άκρο… κωδικός που λέει, "Επικύρωση πιστοποιητικού, ποιος το χρειάζεται;"
Αυτό θεωρείται γενικά ως μια εξαιρετικά κακή ιδέα, μάλλον άθλια από άποψη ασφάλειας… αλλά οποιοσδήποτε κώδικας το κάνει δεν θα είναι ευάλωτος σε αυτό το σφάλμα, επειδή δεν καλεί τον κωδικό buggy.
Έτσι, δυστυχώς, ο κώδικας που προσπαθεί να κάνει το *σωστό* θα μπορούσε να εξαπατηθεί από ένα αδίστακτο πιστοποιητικό.
Και για να εξηγήσω απλά, α διπλό δωρεάν είναι το είδος του σφάλματος όπου ρωτάτε το λειτουργικό σύστημα ή το σύστημα, «Γεια, δώσε μου λίγη μνήμη. Χρειάζομαι λίγη μνήμη προσωρινά. Σε αυτήν την περίπτωση, έχω όλα αυτά τα δεδομένα πιστοποιητικού, θέλω να τα αποθηκεύσω προσωρινά, να το επικυρώσω και, όταν τελειώσω, θα παραδώσω τη μνήμη πίσω, ώστε να μπορεί να χρησιμοποιηθεί από άλλο μέρος του προγράμματος. ”
Εάν είστε προγραμματιστής C, θα είστε εξοικειωμένοι με τις λειτουργίες malloc(), συντομογραφία για το "memory allocate" και free(), το οποίο είναι «δώστε το πίσω».
Και γνωρίζουμε ότι υπάρχει ένας τύπος σφάλματος που ονομάζεται χωρίς χρήση, όπου επιστρέφετε τα δεδομένα, αλλά στη συνέχεια συνεχίζετε να χρησιμοποιείτε αυτό το μπλοκ μνήμης ούτως ή άλλως, ξεχνώντας ότι το παρατήσατε.
Αλλά το double-free είναι λίγο διαφορετικό – είναι το σημείο όπου παραδίδετε τη μνήμη πίσω και αποφεύγετε επιμελώς να τη χρησιμοποιήσετε ξανά, αλλά αργότερα, σε μεταγενέστερο στάδιο, λέτε: «Περιμένετε, είμαι σίγουρος ότι δεν το παρέδωσα μνήμη πίσω ακόμα. Καλύτερα να το παραδώσω πίσω για κάθε ενδεχόμενο».
Και έτσι λέτε στο λειτουργικό σύστημα: "Εντάξει, ελευθερώστε ξανά αυτή τη μνήμη".
Φαίνεται λοιπόν σαν να είναι ένα νόμιμο αίτημα για την απελευθέρωση των δεδομένων *στα οποία μπορεί πραγματικά να βασίζεται κάποιο άλλο μέρος του προγράμματος*.
Και όπως μπορείτε να φανταστείτε, μπορεί να συμβούν άσχημα πράγματα, γιατί αυτό σημαίνει ότι μπορεί να λάβετε δύο μέρη του προγράμματος που εν αγνοία σας βασίζονται στο ίδιο κομμάτι μνήμης ταυτόχρονα.
Τα καλά νέα είναι ότι δεν πιστεύω ότι βρέθηκε λειτουργικό exploit για αυτό το σφάλμα, και επομένως, αν το διορθώσετε, θα προλάβετε τους απατεώνες αντί να τους προλάβετε απλώς.
Αλλά, φυσικά, τα κακά νέα είναι ότι όταν βγαίνουν τέτοιες διορθώσεις σφαλμάτων, συνήθως υπάρχουν πολλοί άνθρωποι που τα κοιτάζουν, προσπαθώντας να αναλύσουν τι πήγε στραβά, με την ελπίδα να κατανοήσουν γρήγορα τι μπορούν να κάνουν για να εκμεταλλευτούν το σφάλμα εναντίον όλων εκείνων των ανθρώπων που άργησαν να επιδιορθώσουν.
Με άλλα λόγια: Μην καθυστερείτε. Κάντε το σήμερα.
ΖΥΜΗ. Εντάξει, η τελευταία έκδοση του GnuTLS είναι η 3.7.7… ενημερώστε.
Μπορείς να διαβάστε περισσότερα για αυτό στην τοποθεσία.
ΠΑΠΙΑ. Και ο Νταγκ, προφανώς το σφάλμα εισήχθη στο GnuTLS 3.6.0.
ΖΥΜΗ. Εντάξει.
ΠΑΠΙΑ. Έτσι, θεωρητικά, εάν έχετε μια παλαιότερη έκδοση από αυτήν, δεν είστε ευάλωτοι σε αυτό το σφάλμα…
…αλλά μην το χρησιμοποιήσετε ως δικαιολογία για να πείτε, «Δεν χρειάζεται να ενημερώσω ακόμα».
Μπορείτε επίσης να μεταβείτε σε όλες τις άλλες ενημερώσεις που έχουν κυκλοφορήσει, για όλα τα άλλα ζητήματα ασφαλείας, μεταξύ 3.6.0 και 3.7.6.
Επομένως, το γεγονός ότι δεν ανήκετε στην κατηγορία αυτού του σφάλματος - μην το χρησιμοποιείτε ως δικαιολογία για να μην κάνετε τίποτα.
Χρησιμοποιήστε το ως ώθηση για να φτάσετε στο σήμερα… αυτή είναι η συμβουλή μου.
ΖΥΜΗ. OK!
Και η τελευταία μας ιστορία της εβδομάδας: μιλάμε για άλλη μια ληστεία κρυπτογράφησης.
Αυτή τη φορά, μόνο 200 εκατομμύρια δολάρια, όμως, Paul.
Αυτή είναι μια μεγάλη αλλαγή σε σύγκριση με μερικές από τις άλλες που έχουμε μιλήσει.
ΠΑΠΙΑ. Σχεδόν δεν θέλω να το πω αυτό, Νταγκ, αλλά ένας από τους λόγους που το έγραψα είναι ότι το κοίταξα και βρήκα τον εαυτό μου να σκέφτεται: «Ω, μόνο 200 εκατομμύρια; Αυτό είναι πολύ μικρό... ΤΙ ΣΚΕΦΤΟΜΑΙ!;» [ΓΕΛΙΟ]
200 εκατομμύρια δολάρια, βασικά… καλά, όχι «κάτω από την τουαλέτα», αλλά «έξω από το θησαυροφυλάκιο της τράπεζας».
Αυτή η υπηρεσία Nomad προέρχεται από μια εταιρεία που ακούει στο όνομα Illusory Systems Incorporated.
Και νομίζω ότι θα συμφωνήσετε ότι, σίγουρα από την άποψη της ασφάλειας, η λέξη «ψευδής» είναι ίσως το σωστό είδος μεταφοράς.
Είναι μια υπηρεσία που ουσιαστικά σας επιτρέπει να κάνετε ό,τι είναι στην ορολογία που είναι γνωστό ως Γεφυρώνοντας.
Βασικά ανταλλάσσετε ενεργά ένα κρυπτονόμισμα με ένα άλλο.
Έτσι, βάζετε κάποιο δικό σας κρυπτονόμισμα σε έναν τεράστιο κάδο μαζί με πολλά άλλα άτομα… και μετά μπορούμε να κάνουμε όλα αυτά τα φανταχτερά, αυτοματοποιημένα έξυπνα συμβόλαια «αποκεντρωμένης χρηματοδότησης».
Μπορούμε να ανταλλάξουμε Bitcoin για Ether ή Ether για Monero ή οτιδήποτε άλλο.
Δυστυχώς, κατά τη διάρκεια μιας πρόσφατης ενημέρωσης κώδικα, φαίνεται ότι έπεσαν στην ίδια τρύπα που ίσως έκαναν τα παιδιά της Samba με το σφάλμα για το οποίο μιλήσαμε στο Samba.
Βασικά υπάρχει ένα Εκτυπώστε το δικό σας διαβατήριο, ή ένα Εξουσιοδοτήστε τη δική σας συναλλαγή σφάλμα που εισήγαγαν.
Υπάρχει ένα σημείο στον κώδικα όπου ένας κρυπτογραφικός κατακερματισμός, ένας κατακερματισμός κρυπτογράφησης 256-bit, υποτίθεται ότι είναι επικυρωμένος… κάτι που κανείς άλλος εκτός από έναν εξουσιοδοτημένο υπεύθυνο έγκρισης δεν θα μπορούσε ενδεχομένως να βρει.
Εκτός από το ότι αν τύχαινε να χρησιμοποιήσετε την τιμή μηδέν, τότε θα περνούσατε τη συγκέντρωση.
Θα μπορούσατε βασικά να πάρετε την υπάρχουσα συναλλαγή οποιουδήποτε άλλου, να ξαναγράψετε το όνομα του παραλήπτη με το δικό σας ("Hey, pay *my* cryptocurrency wallet") και απλώς να επαναλάβετε τη συναλλαγή.
Και το σύστημα θα πάει, "OK".
Απλώς πρέπει να λάβετε τα δεδομένα στη σωστή μορφή, αυτό καταλαβαίνω.
Και ο ευκολότερος τρόπος για να δημιουργήσετε μια συναλλαγή που θα περνούσε, είναι απλώς να λάβετε την προ-ολοκληρωμένη, υπάρχουσα συναλλαγή κάποιου άλλου, να την επαναλάβετε, αλλά να διαγράψετε το όνομά του ή τον αριθμό λογαριασμού του και να βάλετε το δικό σας.
Έτσι, ως αναλυτής κρυπτονομισμάτων @samczsun δήλωσε στο Twitter, "Οι επιτιθέμενοι το έκαναν κατάχρηση για να αντιγράψουν και να επικολλήσουν συναλλαγές και γρήγορα αποστράγγισαν τη γέφυρα σε ένα φρενήρειο ελεύθερο για όλους."
Με άλλα λόγια, οι άνθρωποι τρελαίνονταν να κάνουν ανάληψη χρημάτων από το ΑΤΜ που θα δεχόταν την τραπεζική κάρτα οποιουδήποτε, αρκεί να βάλεις ένα PIN μηδενικό.
Και όχι μόνο μέχρι την αποστράγγιση του ΑΤΜ… το ΑΤΜ ήταν ουσιαστικά απευθείας συνδεδεμένο με το πλάι του τραπεζικού θησαυρού και τα χρήματα απλώς ξεχύθηκαν.
ΖΥΜΗ. Αρρρργκ!
ΠΑΠΙΑ. Όπως λέτε, προφανώς έχασαν κάπου έως και 200 εκατομμύρια δολάρια σε λίγο χρόνο.
Ω, αγαπητέ.
ΖΥΜΗ. Λοιπόν, έχουμε μερικές συμβουλές, και είναι αρκετά ξεκάθαρες…
ΠΑΠΙΑ. Η μόνη συμβουλή που μπορείτε πραγματικά να δώσετε είναι: «Μην βιάζεστε πολύ να συμμετάσχετε σε αυτή την αποκεντρωμένη χρηματοοικονομική επανάσταση».
Όπως μπορεί να έχουμε ξαναπεί, βεβαιωθείτε ότι, εάν * το κάνετε*, μπείτε σε αυτό το «διαδικτυακό εμπόριο. δανείστε μας κρυπτονομίσματα και θα σας πληρώσουμε τόκους. Βάλτε τα πράγματά σας σε ένα ζεστό πορτοφόλι, ώστε να μπορείτε να ενεργήσετε μέσα σε δευτερόλεπτα. μπείτε σε ολόκληρη τη σκηνή του έξυπνου συμβολαίου. αγοράστε τα μη ανταλλάξιμα token μου [NFTs]” – όλα αυτά…
…αν αποφασίσετε ότι η αγορά *είναι* για εσάς, βεβαιωθείτε ότι πηγαίνετε με τα μάτια σας ορθάνοιχτα, όχι με τα μάτια σας κλειστά!
Και ο απλός λόγος είναι ότι σε περιπτώσεις όπως αυτή, δεν είναι απλώς ότι οι απατεώνες θα μπορούσαν να αποστραγγίσουν *μερικά* από τα ΑΤΜ της τράπεζας.
Σε αυτήν την περίπτωση, πρώτον, ακούγεται ότι έχουν αποστραγγίσει σχεδόν τα πάντα και, δεύτερον, σε αντίθεση με τις συμβατικές τράπεζες, απλώς δεν υπάρχουν οι ρυθμιστικές προστασίες που θα απολάμβανες εάν μια τράπεζα πραγματικής ζωής κατέρρεε.
Στην περίπτωση της αποκεντρωμένης χρηματοδότησης, η όλη ιδέα ότι είναι αποκεντρωμένη, και νέα, και cool, και κάτι στο οποίο θέλετε να βιαστείτε…
…είναι ότι *δεν* διαθέτει αυτές τις ενοχλητικές ρυθμιστικές προστασίες.
Θα μπορούσατε, και πιθανώς θα μπορούσατε – επειδή το έχουμε μιλήσει πιο συχνά από ό,τι νιώθω άνετα να το κάνω, πραγματικά – μπορεί να χάσετε *τα πάντα*.
Και η άλλη όψη αυτού είναι, εάν έχετε χάσει πράγματα σε κάποια αποκεντρωμένη χρηματοοικονομική ή "Web 3.0 ολοκαίνουργια ιστοσελίδα υπερ-διαπραγμάτευσης" όπως αυτή, τότε να είστε πολύ προσεκτικοί με τους ανθρώπους που έρχονται και λένε, "Γεια, μην ανησυχείτε. Παρά την έλλειψη κανονισμών, υπάρχουν εξειδικευμένες εταιρείες που μπορούν να πάρουν τα χρήματά σας πίσω. Το μόνο που χρειάζεται να κάνετε είναι να επικοινωνήσετε με την εταιρεία X, το άτομο Y ή τον λογαριασμό στα μέσα κοινωνικής δικτύωσης Z”.
Επειδή, κάθε φορά που υπάρχει μια τέτοια καταστροφή, οι δευτερεύοντες απατεώνες τρέχουν πολύ γρήγορα, προσφέροντάς τους να «βρουν έναν τρόπο» για να πάρουν τα χρήματά σας πίσω.
Υπάρχουν πολλοί απατεώνες που αιωρούνται τριγύρω, οπότε να είστε πολύ προσεκτικοί.
Εάν έχετε χάσει χρήματα, μην παίρνετε τα δυνατά σας για να πετάξετε τα καλά χρήματα μετά το κακό (ή τα κακά χρήματα μετά το καλό, όποια κι αν είναι η διαδρομή).
ΖΥΜΗ. Εντάξει, μπορείτε να διαβάσετε περισσότερα για αυτό: Ο «ανταλλάκτης διακριτικών» κρυπτονομισμάτων Nomad χάνει 200 εκατομμύρια δολάρια σε γκάφα κωδικοποίησης.
Και αν ακούσουμε από έναν από τους αναγνώστες μας για αυτήν την ιστορία, ένας ανώνυμος σχολιαστής γράφει και συμφωνώ… Δεν καταλαβαίνω πώς λειτουργεί αυτό:
«Αυτό που είναι εκπληκτικό είναι ότι μια διαδικτυακή startup είχε εξαρχής τόσα πολλά να χάσει. 200,000 $, μπορείτε να φανταστείτε. Αλλά τα 200 εκατομμύρια δολάρια φαίνονται απίστευτα».
Και νομίζω ότι απαντήσαμε κάπως σε αυτήν την ερώτηση, αλλά από πού προέρχονται όλα αυτά τα χρήματα, για να αρπάξουμε απλώς 200 εκατομμύρια δολάρια;
ΠΑΠΙΑ. Δεν μπορώ να απαντήσω σε αυτό, Νταγκ.
ΖΥΜΗ. Όχι.
ΠΑΠΙΑ. Μήπως ο κόσμος είναι πιο εύπιστος από ό,τι ήταν;
Είναι ότι υπάρχουν πάρα πολλά παράνομα κέρδη που περιφέρονται στην κοινότητα των κρυπτονομισμάτων;
Υπάρχουν λοιπόν άνθρωποι που στην πραγματικότητα δεν έβαλαν τα δικά τους χρήματα σε αυτό, αλλά κατέληξαν με ένα ολόκληρο φορτίο κρυπτονομισμάτων με άδικα μέσα και όχι δίκαια. (Γνωρίζουμε ότι οι πληρωμές ransomware έρχονται γενικά ως κρυπτονομίσματα, έτσι δεν είναι;)
Ώστε να είναι σαν αστεία χρήματα… το άτομο που χάνει τα «χρήματα» ίσως δεν έβαλε μετρητά μπροστά;
Είναι απλώς ένας σχεδόν θρησκευτικός ζήλος από την πλευρά των ανθρώπων που λένε, «Όχι, όχι, *αυτός* είναι ο τρόπος για να το κάνετε. Πρέπει να σπάσουμε τον ασφυκτικό τρόπο με τον οποίο κάνουν τα πράγματα οι παλιές σχολές, οι μπάτσοι, οι άκρως ελεγχόμενες χρηματοπιστωτικές οργανώσεις. Πρέπει να απελευθερωθούμε από τον Άνθρωπο»;
Δεν ξέρω, ίσως τα 200 εκατομμύρια δολάρια δεν είναι πια πολλά χρήματα, Νταγκ;
ΖΥΜΗ. [ΓΕΛΙΑ] Λοιπόν, φυσικά!
ΠΑΠΙΑ. Υποψιάζομαι ότι υπάρχουν άνθρωποι που μπαίνουν μέσα με τα μάτια τους κλειστά.
Λένε, "Είμαι* έτοιμος να πάρω αυτό το ρίσκο γιατί είναι πολύ ωραίο".
Και το πρόβλημα είναι ότι αν πρόκειται να χάσετε $200 ή $2000 και έχετε την πολυτέλεια να τα χάσετε, αυτό είναι ένα πράγμα.
Αλλά αν έχετε πάει για $2000 και σκέφτεστε, «Ξέρετε τι. Ίσως θα έπρεπε να πάω για 20,000 $;» Και μετά σκέφτεσαι, «Ξέρεις τι. Ίσως θα έπρεπε να πάω για 200,000 $; Ίσως πρέπει να πάω όλα μέσα;»
Τότε, νομίζω ότι πρέπει να είστε πολύ προσεκτικοί!
Ακριβώς για τους λόγους που μπορεί να πιστεύετε ότι έχετε τις ρυθμιστικές προστασίες που έχετε, όπως έχετε όταν συμβαίνει κάτι κακό στην πιστωτική σας κάρτα και απλά τηλεφωνείτε και το αμφισβητείτε και φεύγουν. «ΟΚ», και περνούν αυτά τα 52.23 $ από τον λογαριασμό…
…αυτό δεν πρόκειται να συμβεί σε αυτήν την περίπτωση.
Και είναι απίθανο να είναι $52, πιθανότατα θα είναι πολύ περισσότερα από αυτό.
Προσέξτε λοιπόν, παιδιά!
ΖΥΜΗ. Να προσέχεις, όντως.
Εντάξει, ευχαριστώ για το σχόλιο.
Και αν έχετε μια ενδιαφέρουσα ιστορία, σχόλιο ή ερώτηση που θέλετε να υποβάλετε, θα θέλαμε να τη διαβάσουμε στο podcast.
Μπορείτε να στείλετε email tips@sophos.com; Μπορείτε να σχολιάσετε οποιοδήποτε από τα άρθρα μας. μπορείτε να μας ενημερώσετε στα social: @NakedSecurity.
Αυτή είναι η εκπομπή μας για σήμερα – ευχαριστώ πολύ που με ακούσατε.
Για τον Paul Ducklin, είμαι ο Doug Aamoth, σας υπενθυμίζω, μέχρι την επόμενη φορά να…
ΚΑΙ ΤΑ ΔΥΟ. Μείνετε ασφαλείς!
[ΜΟΥΣΙΚΟ ΜΟΝΤΕΜ]
- blockchain
- Coingenius
- cryptocurrency
- πορτοφόλια κρυπτογράφησης
- κρυπτο -ανταλλαγή
- κρυπτογράφημα
- κρυπτογράφηση
- κυβερνασφάλεια
- εγκλήματος στον κυβερνοχώρο
- εγκληματίες του κυβερνοχώρου
- Κυβερνασφάλεια
- Υπουργείο Εσωτερικής Ασφάλειας
- ψηφιακά πορτοφόλια
- firewall
- Kaspersky
- malware
- Mcafee
- Γυμνή ασφάλεια
- Γυμνό Podcast ασφαλείας
- Nexbloc
- Πλάτων
- πλάτων αι
- Πληροφορία δεδομένων Plato
- Παιχνίδι Πλάτωνας
- Πλάτωνα δεδομένα
- platogaming
- το podcast
- VPN
- ευπάθεια
- ιστοσελίδα της ασφάλειας
- zephyrnet
![S3 Ep103: Scammers in the Slammer (και άλλες ιστορίες) [Ήχος + Κείμενο] PlatoBlockchain Data Intelligence. Κάθετη αναζήτηση. Ολα συμπεριλαμβάνονται.](https://platoblockchain.com/wp-content/uploads/2022/10/s3-ep103-cover-1200-360x188.png "S3 Ep103: Scammers in the Slammer (και άλλες ιστορίες) [Ήχος + Κείμενο]")
![S3 Ep118: Μαντέψτε τον κωδικό πρόσβασής σας; Δεν χρειάζεται αν έχει ήδη κλαπεί! [Ήχος + Κείμενο]](https://platoblockchain.com/wp-content/uploads/2023/01/s3-ep118-guess-your-password-no-need-if-its-stolen-already-audio-text-360x188.png "S3 Ep118: Μαντέψτε τον κωδικό πρόσβασής σας; Δεν χρειάζεται αν έχει ήδη κλαπεί! [Ήχος + Κείμενο]")
