برای پرش به هر نقطه، روی امواج صوتی زیر کلیک کنید و بکشید. شما همچنین می توانید مستقیم گوش کن در Soundcloud
با داگ آموت و پل داکلین.
موسیقی مقدماتی و بیرونی توسط ادیت ماج.
شما می توانید به ما گوش دهید Soundcloud, پادکست های اپل, پادکست های Google, Spotify, Stitcher به و هر جایی که پادکست های خوب پیدا می شود. یا فقط رها کنید URL فید RSS ما به پادکچر مورد علاقه شما
رونوشت را بخوانید
دوغ. A باگ بحرانی سامبا، یکی دیگر از سرقت کریپتوو روز SysAdmin مبارک.
همه اینها و بیشتر، در پادکست Naked Security.
[مودم موزیکال]
به پادکست خوش آمدید، همه.
من داگ آموت هستم.
مثل همیشه پل داکلین با من است... پل، امروز چطوری؟
اردک. بسیار عالی، ممنون داگلاس.
دوغ. ما دوست داریم نمایش را با برخی از تاریخچه فناوری شروع کنیم.
و این هفته، پل، ما به سال 1858 برمی گردیم!
این هفته در سال 1858، اولین کابل تلگراف فرا اقیانوس اطلس تکمیل شد.
این کابل توسط بازرگان آمریکایی کوروس وستفیلد هدایت می شد و کابل از خلیج ترینیتی، نیوفاندلند، به والنسیا، ایرلند، حدود 2000 مایل عرض و بیش از 2 مایل عمق داشت.
این پنجمین تلاش بود و متأسفانه کابل فقط برای یک ماه کار کرد.
اما به اندازه کافی کار کرد تا رئیس جمهور وقت جیمز بوکانان و ملکه ویکتوریا با هم تبادل نظر کنند.
اردک. بله، من معتقدم که اینطور بود، چگونه می توانم آن را ... غش کنم. [خنده]
1858!
خدا چه کرده است؟، داگ! [کلمات ارسال شده در اولین پیام تلگراف]
دوغ. [می خندد] در مورد چیزهایی که ساخته شده صحبت می شود، یک وجود دارد باگ بحرانی سامبا که از آن زمان وصله شده است.
من به هیچ وجه متخصص نیستم، اما این باگ به هر کسی اجازه میدهد مدیر دامنه شود... بد به نظر میرسد.
اردک. خب، بد به نظر میرسد، داگ، عمدتاً به این دلیل که *خیلی بد است!
دوغ. آنجا بروید
اردک. Samba… فقط برای روشن شدن، قبل از شروع، اجازه دهید نسخه های مورد نظر شما را مرور کنیم.
اگر از طعم 4.16 هستید، به 4.16.4 یا بالاتر نیاز دارید. اگر روی 4.15 هستید، به 4.15.9 یا بالاتر نیاز دارید. و اگر روی 4.14 هستید، به 4.14.14 یا بالاتر نیاز دارید.
این رفع اشکال، در مجموع، شش باگ مختلف را اصلاح کردند که به اندازه کافی جدی برای دریافت اعداد CVE - تعیینکنندههای رسمی، در نظر گرفته شدند.
آن چیزی که برجسته بود این است CVE-2022-32744.
و عنوان اشکال گویای همه چیز است: کاربران Samba Active Directory می توانند درخواست های تغییر رمز عبور را برای هر کاربری جعل کنند.
دوغ. بله، بد به نظر می رسد.
اردک. بنابراین، همانطور که گزارش کامل اشکال در مشاوره امنیتی، گزارش تغییرات به روشی کاملاً متوازن می گوید:
یک کاربر می تواند رمز عبور حساب مدیر را تغییر دهد و کنترل کامل دامنه را به دست آورد. از دست دادن کامل محرمانگی و یکپارچگی و همچنین در دسترس بودن با ممانعت از دسترسی کاربران به حسابهایشان امکانپذیر خواهد بود.»
و همانطور که شنوندگان ما احتمالا می دانند، به اصطلاح "ثلاث مقدس" (به نقل از هوا) امنیت رایانه عبارت است از: در دسترس بودن، محرمانه بودن و یکپارچگی.
شما قرار است همه آنها را داشته باشید، نه فقط یکی از آنها.
پس تمامیت به این معنی که هیچ کس دیگری نمی تواند وارد شود و بدون اینکه شما متوجه شوید با وسایل شما سر و سامان دهد.
دسترسی می گوید شما همیشه می توانید به چیزهای خود دست پیدا کنید - آنها نمی توانند مانع از رسیدن شما به آنها در زمانی که شما بخواهید.
و محرمانه بودن یعنی نمی توانند به آن نگاه کنند مگر اینکه قرار باشد اجازه داشته باشند.
هر یک از آن ها، یا هر دو تا از آن ها، به تنهایی کاربرد زیادی ندارند.
پس این واقعاً یک ترفکتا بود، داگ!
و به طرز آزاردهندهای، در همان بخش سامبا است که ممکن است نه تنها اگر میخواهید یک رایانه یونیکس را به یک دامنه ویندوز متصل کنید، بلکه اگر میخواهید یک دامنه اکتیو دایرکتوری برای رایانههای ویندوزی راهاندازی کنید، استفاده کنید. دسته ای از کامپیوترهای لینوکس یا یونیکس.
دوغ. این یعنی تیک زدن تمام کادرها به روش های اشتباه!
اما یک وصله وجود دارد - و ما همیشه می گوییم، "اوایل وصله، اغلب وصله".
آیا راهحلی وجود دارد که اگر افراد به دلایلی نتوانند فوراً وصله کنند، بتوانند از آن استفاده کنند، یا این یک نوع کاری است که فقط انجام میشود؟
اردک. خوب، درک من این است که این اشکال در سرویس احراز هویت رمز عبور به نام است kpasswd
.
اساساً کاری که این سرویس انجام می دهد این است که به دنبال درخواست تغییر رمز عبور می گردد و تأیید می کند که توسط نوعی شخص مورد اعتماد امضا یا مجاز شده است.
و متأسفانه، به دنبال یک سری شرایط خطا، آن شخص مورد اعتماد می تواند شامل شما شود.
بنابراین به نوعی شبیه یک است گذرنامه خود را چاپ کنید اشکال، اگر دوست دارید
شما باید یک پاسپورت تهیه کنید... میتواند یک پاسپورت واقعی باشد که توسط دولت خودتان صادر شده است، یا میتواند گذرنامهای باشد که چاپگر جوهرافشان را در خانه کوبیدهاید، و هر دوی آنها از پس آن برآیند. [خنده]
ترفند این است که اگر در استفاده از Samba واقعاً به این سرویس احراز هویت رمز عبور اعتماد نکنید، می توانید از آن جلوگیری کنید. kpasswd
سرویس از در حال اجرا
البته، اگر واقعاً به کل سیستم سامبا برای تأیید احراز هویت اکتیو دایرکتوری و تغییر رمز عبور خود متکی هستید، راهحل، سیستم شما را خراب میکند.
بنابراین بهترین دفاع، البته، در واقع وصله ای است که به جای اینکه به سادگی از *اجتناب* باشد، باگ را *حذف* می کند.
دوغ. خیلی خوب.
تو می توانی بیشتر بخوانید در مورد که در سایت: nakedscurity.sophos.com.
و ما به سمت شگفت انگیزترین زمان سال حرکت می کنیم!
ما فقط جشن گرفتیم روز SysAdmin، پل، و من اینجا تلگراف نخواهیم کرد... اما تو این کار را کردی کاملا نوشتن.
اردک. خوب، یک بار در سال، خیلی زیاد نیست که بخواهیم به بخش فناوری اطلاعات برویم و به همه کسانی که این همه کار پس زمینه پنهان را انجام داده اند لبخند بزنیم…
... برای حفظ [سریعتر و سریعتر شدن] رایانههایمان، سرورهایمان، و سرویسهای ابری، و لپتاپها، و تلفنهایمان، و سوئیچهای شبکهمان [DOUG LAUGHS]، و اتصالات DSL، و کیت Wi-Fi ما وضعیت کار خوب
در دسترس! محرمانه! پر از صداقت، در تمام طول سال!
اگر این کار را در آخرین جمعه ماه جولای، یعنی Sروز قدردانی ysAdmin، پس چرا امروز نروید و این کار را انجام ندهید؟
و حتی اگر این کار را انجام داده باشید، هیچ چیزی وجود ندارد که بگوید نمی توانید قدردان SysAdmin های خود در هر روز از سال باشید.
لازم نیست فقط در جولای این کار را انجام دهی، داگ.
دوغ. نکته خوب!
اردک. بنابراین در اینجا چیزی است که باید انجام دهید، داگ.
من این را "شعر" یا "بیت" بنامم... از نظر فنی فکر میکنم که این یک خنده است، اما میخواهم وانمود کنم که تمام لذت و گرمای یک غزل شکسپیر را دارد.
این *غزل* نیست، اما باید انجام شود.
دوغ. کامل.
اردک. برو، داگ.
اگر باتری موس شما تمام شده باشد یا نور وبکم شما نمیدرخشد اگر نمیتوانید رمز عبور خود را به خاطر بیاورید یا ایمیل شما نشان داده نمیشود اگر درایو USB خود را گم کردهاید یا جلسه شما شروع نمیشود اگر نمیتوانید یک هیستوگرام بسازید یا یک نمودار گرد خوب بکشید اگر تصادفاً [حذف] را زدید یا دیسک خود را فرمت کردید، اگر میخواستید یک نسخه پشتیبان تهیه کنید اما در عوض فقط ریسک کردید اگر میدانید مقصر آشکار است و مقصر به شما اشاره میکند. امید خود را از دست بدهید و سرخورده باشید یک کار باقی مانده است که باید انجام دهید! شکلات، شراب، کمی شادی، لبخند بزنید و وقتی می گویید: "من همین الان وارد شدم تا برای همه شما یک روز عالی SysAdmin را آرزو کنم!"
دوغ. [دست زدن] واقعاً خوب است! یکی از بهترین های شما!
اردک. بسیاری از کارهایی که SysAdmin ها انجام می دهند نامرئی است، و بسیاری از آن ها به طرز شگفت انگیزی انجام خوب و قابل اعتماد دشوار است…
... و بدون اینکه یک چیز را اصلاح کنیم و چیز دیگری را خراب کنیم.
این لبخند کمترین چیزی است که لیاقت آن ها را دارند، داگ.
دوغ. کمترین!
اردک. بنابراین، به همه SysAdmin ها در سراسر جهان، امیدوارم از جمعه گذشته لذت برده باشید.
و اگر به اندازه کافی لبخند نزدید، همین حالا یکی از آنها را بردارید.
دوغ. روز SysAdmin بر همه مبارک باد آن شعر را بخوان، که عالی است ... در سایت موجود است.
بسیار خوب، حرکت به سمت چیزی نه چندان عالی: الف اشکال سوء مدیریت حافظه در GnuTLS
اردک. بله، فکر میکردم ارزش نوشتن در Naked Security را دارد، زیرا وقتی مردم به رمزنگاری منبع باز فکر میکنند، تمایل دارند به OpenSSL فکر کنند.
زیرا (الف) این موردی است که همه درباره آن شنیده اند و (ب) احتمالاً در سال های اخیر بیشترین تبلیغات را در مورد اشکالات داشته است. Heartbleed.
حتی اگر در آن زمان (هشت سال پیش) آنجا نبودید، احتمالاً نام Heartbleed را شنیده اید، که نوعی اشکال نشت داده و نشت حافظه در OpenSSL بود.
مدت ها بود که در کد وجود داشت و هیچ کس متوجه نشد.
و سپس یک نفر متوجه شد، و آنها آن را نام فانتزی گذاشتند، و آنها یک آرم به اشکال دادند، و آنها یک وب سایت به اشکال دادند، و آنها این چیز عظیم روابط عمومی را از آن ساختند.
دوغ. [می خندد] اینگونه می دانید که واقعی است…
اردک. خوب، آنها این کار را انجام می دادند زیرا می خواستند توجه را به این واقعیت جلب کنند که آن را کشف کرده اند و به این واقعیت بسیار افتخار می کردند.
و طرف دیگر این بود که مردم بیرون رفتند و این اشکال را برطرف کردند که در غیر این صورت ممکن بود انجام نمیدادند... زیرا، خوب، این فقط یک باگ است.
به نظر نمی رسد خیلی چشمگیر باشد - اجرای کد از راه دور نیست. بنابراین آنها نمی توانند به سادگی وارد شوند و فوراً تمام وب سایت های من و غیره و غیره را در اختیار بگیرند.
اما آن را به نام OpenSSL تبدیل کرد، نه لزوما به دلایل درست.
با این حال، بسیاری از کتابخانههای رمزنگاری منبع باز وجود دارد، نه فقط OpenSSL، و حداقل دو مورد از آنها به طرز شگفتآوری به طور گسترده مورد استفاده قرار میگیرند، حتی اگر هرگز نام آنها را نشنیده باشید.
NSS وجود دارد، مخفف سرویس امنیت شبکه، که کتابخانه رمزنگاری خود موزیلا است.
شما می توانید آن را مستقل از هر پروژه خاص موزیلا دانلود و استفاده کنید، اما آن را به ویژه در فایرفاکس و تاندربرد پیدا خواهید کرد که تمام رمزگذاری را در آنجا انجام می دهد – آنها از OpenSSL استفاده نمی کنند.
و وجود دارد gnuTLS، که یک کتابخانه منبع باز تحت پروژه گنو است، که اساساً، اگر بخواهید، رقیب یا جایگزینی برای OpenSSL است و (حتی اگر متوجه آن نباشید) توسط تعداد شگفت انگیزی از OpenSSL استفاده می شود. منبع پروژه ها و محصولات…
... از جمله کد، هر پلتفرمی که روی آن هستید، که احتمالاً در سیستم خود دارید.
بنابراین این شامل هر کاری میشود، مثلاً: FFmpeg; منکودر; GnuPGP (ابزار مدیریت کلید گنو)؛ QEMU، Rdesktop؛ سامبا، که ما فقط در مورد باگ قبلی صحبت کردیم. Wget، که بسیاری از مردم از آن برای دانلود وب استفاده می کنند. ابزارهای شناسایی شبکه Wireshark. زلیب.
ابزارهای زیادی وجود دارد که به یک کتابخانه رمزنگاری نیاز دارند و تصمیم گرفتهاند از GnuTLS *بهجای* OpenSSL استفاده کنند، یا شاید حتی *و همچنین*، بسته به مسائل زنجیره تامین که کدام زیر بستهها را کشیدهاند. که در.
ممکن است پروژه ای داشته باشید که در آن برخی از قسمت های آن از GnuTLS برای رمزنگاری خود استفاده می کنند و برخی از بخش های آن از OpenSSL استفاده می کنند و انتخاب یکی از دیگری دشوار است.
بنابراین، چه خوب و چه بد، به هر دوی آنها ختم میشوید.
و متأسفانه GnuTLS (نسخه ای که می خواهید 3.7.7 یا بالاتر است) یک نوع باگ داشت که به نام دو برابر رایگان… باور کنید یا نه در بخشی از کد که اعتبار گواهی TLS را انجام می دهد.
بنابراین، در نوعی کنایه که قبلاً در کتابخانههای رمزنگاری دیدهایم، کدی که از TLS برای ارسالهای رمزگذاریشده استفاده میکند، اما برای تأیید انتهای دیگر زحمت نمیکشد... کدی که میگوید: «تایید گواهی، چه کسی به آن نیاز دارد؟»
این به طور کلی به عنوان یک ایده بسیار بد در نظر گرفته می شود، از نقطه نظر امنیتی نسبتاً ضعیف ... اما هر کدی که این کار را انجام دهد در برابر این باگ آسیب پذیر نخواهد بود، زیرا کد باگ را صدا نمی کند.
بنابراین، متأسفانه، کدی که سعی در انجام کار *درست* دارد ممکن است توسط یک گواهی سرکش فریب بخورد.
و فقط برای توضیح ساده، الف دو برابر رایگان نوعی باگ است که در آن از سیستم عامل یا سیستم میپرسید: «هی، کمی حافظه به من بده. من موقتا به مقداری حافظه نیاز دارم. در این مورد، من تمام این اطلاعات گواهی را دارم، میخواهم آن را به طور موقت ذخیره کنم، اعتبار آن را تأیید کنم، و بعد از اتمام کار، حافظه را پس میگیرم تا بتواند توسط بخش دیگری از برنامه استفاده شود. ”
اگر برنامه نویس C هستید، با توابع آن آشنا خواهید شد malloc()
، مخفف "تخصیص حافظه" و free()
، که عبارت است از "دست به عقب".
و ما می دانیم که یک نوع باگ به نام وجود دارد پس از استفاده رایگان، جایی است که داده ها را پس می دهید، اما به هر حال به استفاده از آن بلوک حافظه ادامه می دهید و فراموش می کنید که آن را رها کرده اید.
اما مموری دوگانه کمی متفاوت است – جایی است که شما حافظه را پس میدهید، و با وجدان از استفاده مجدد آن اجتناب میکنید، اما در مرحله بعد، میگویید: «صبر کن، مطمئنم که من آن را تحویل ندادم. هنوز حافظه برگشته است بهتر است در هر صورت آن را پس بدهم.»
و به این ترتیب به سیستم عامل می گویید، "بسیار خوب، دوباره این حافظه را آزاد کنید."
بنابراین به نظر می رسد که این یک درخواست مشروع برای آزاد کردن داده هایی است *که ممکن است بخشی دیگر از برنامه واقعاً به آن تکیه کند*.
و همانطور که می توانید تصور کنید، ممکن است اتفاقات بدی بیفتد، زیرا این بدان معناست که ممکن است دو قسمت از برنامه را دریافت کنید که به طور ناخودآگاه روی یک تکه حافظه به طور همزمان تکیه می کنند.
خبر خوب این است که من باور نمیکنم که یک اکسپلویت کار برای این باگ پیدا شده باشد، و بنابراین، اگر وصله کنید، به جای اینکه به سادگی با آنها روبرو شوید، از کلاهبرداران پیشی خواهید گرفت.
اما، البته، خبر بد این است که وقتی رفع اشکالهایی مانند این منتشر میشوند، معمولاً تعداد زیادی از مردم به آنها نگاه میکنند و سعی میکنند آنچه را که اشتباه رخ داده است، تجزیه و تحلیل کنند، به این امید که به سرعت بفهمند چه کاری میتوانند برای سوء استفاده انجام دهند. اشکال در برابر همه افرادی که در وصله کردن آنها دیر بوده اند.
به عبارت دیگر: معطل نکنید. همین امروز انجامش بده
دوغ. بسیار خوب، آخرین نسخه GnuTLS 3.7.7 است… لطفا به روز رسانی کنید.
تو می توانی در مورد آن بیشتر بخوانید در سایت.
اردک. اوه، و داگ، ظاهرا باگ در GnuTLS 3.6.0 معرفی شده است.
دوغ. OK را بزنید.
اردک. بنابراین، در تئوری، اگر نسخهای قدیمیتر از آن دارید، در برابر این باگ آسیبپذیر نیستید…
... اما لطفاً از آن به عنوان بهانه ای برای رفتن استفاده نکنید، "من هنوز نیازی به به روز رسانی ندارم."
همچنین میتوانید از روی تمام بهروزرسانیهایی که منتشر شدهاند، برای سایر مسائل امنیتی، بین 3.6.0 و 3.7.6، به جلو بپرید.
بنابراین این واقعیت که شما در دسته این اشکال قرار نمی گیرید – از آن به عنوان بهانه ای برای انجام هیچ کاری استفاده نکنید.
از آن به عنوان انگیزه ای برای رسیدن به امروز استفاده کنید... این توصیه من است.
دوغ. خوب!
و آخرین داستان ما در این هفته: ما در مورد سرقت رمزنگاری دیگری صحبت می کنیم.
این بار، تنها $ 200 میلیونبا این حال، پل.
این یک تغییر بزرگ در مقایسه با برخی از موارد دیگری است که در مورد آنها صحبت کردیم.
اردک. من تقریباً نمی خواهم این را بگویم، داگ، اما یکی از دلایلی که این را نوشتم این بود که به آن نگاه کردم و متوجه شدم که فکر می کنم: "اوه، فقط 200 میلیون؟ این خیلی کوچک است... من به چه فکر می کنم!؟» [خنده]
200 میلیون دلار، اساساً... خوب، نه "پایین توالت"، بلکه "بیرون از صندوق بانک".
این سرویس Nomad از شرکتی به نام Illusory Systems Incorporated است.
و من فکر میکنم شما هم قبول دارید که، مطمئناً از نقطهنظر امنیتی، کلمه «توهمآمیز» شاید نوع درستی از استعاره باشد.
این سرویسی است که اساساً به شما امکان می دهد آنچه را که در اصطلاح معروف به آن است انجام دهید پل زدن.
شما اساساً به طور فعال یک ارز دیجیتال را با ارز دیگر معامله می کنید.
بنابراین، شما مقداری از ارز دیجیتال خود را به همراه تعداد زیادی از افراد دیگر در یک سطل غولپیکر قرار میدهید و سپس ما میتوانیم همه این قراردادهای هوشمند خودکار «مالی غیرمتمرکز» را انجام دهیم.
ما می توانیم بیت کوین را با اتر یا اتر را با مونرو یا هر چیز دیگری مبادله کنیم.
متأسفانه، در طی یک به روز رسانی کد اخیر، به نظر می رسد که آنها در همان حفره ای افتادند که شاید بچه های سامبا با اشکالی که ما در مورد آن در Samba صحبت کردیم انجام دادند.
اساسا یک وجود دارد گذرنامه خود را چاپ کنید، و یا یک تراکنش خود را مجاز کنید اشکالی که معرفی کردند
نکته ای در کد وجود دارد که در آن یک هش رمزنگاری، یک هش رمزنگاری 256 بیتی، قرار است اعتبار سنجی شود... چیزی که هیچ کس جز یک تایید کننده مجاز نمی تواند به آن دست یابد.
با این تفاوت که اگر اتفاقاً از مقدار صفر استفاده می کردید، باید از مرحله جمع آوری عبور کنید.
شما اساساً می توانید تراکنش موجود هر کس دیگری را بگیرید، نام گیرنده را با نام خود بازنویسی کنید ("Hey, pay *my* cryptocurrency wallet") و فقط تراکنش را دوباره پخش کنید.
و سیستم به حالت "OK" می رود.
شما فقط باید داده ها را در قالب درست دریافت کنید، این درک من است.
و سادهترین راه برای ایجاد تراکنشای که باید انجام شود این است که تراکنش از قبل تکمیلشده و موجود شخص دیگری را بگیرید، آن را دوباره پخش کنید، اما نام او یا شماره حسابش را خط بزنید و نام خود را وارد کنید.
بنابراین، به عنوان تحلیلگر ارزهای دیجیتال @samczsun
گفت در توییتر, مهاجمان از این موضوع برای کپی و پیست کردن تراکنشها سوء استفاده کردند و به سرعت پل را در فضایی دیوانهوار و رایگان برای همه خالی کردند.
به عبارت دیگر، مردم دیوانه شدهاند که از دستگاه خودپردازی که کارت بانکی هر کسی را میپذیرد، به شرطی که پین صفر وارد میکنید، پول برداشت کنند.
و نه فقط تا زمانی که دستگاه خودپرداز تخلیه شد... خودپرداز اساساً مستقیماً به کنار صندوق بانک متصل بود و پول به سادگی بیرون می ریخت.
دوغ. ارررغ!
اردک. همانطور که شما می گویید ظاهراً آنها در مدت کوتاهی حدود 200 میلیون دلار ضرر کردند.
اوه عزیزم.
دوغ. خوب، ما توصیه هایی داریم، و بسیار ساده است…
اردک. تنها توصیهای که واقعاً میتوانید بکنید این است: «برای پیوستن به این انقلاب مالی غیرمتمرکز عجله نداشته باشید».
همانطور که قبلاً گفته ایم، مطمئن شوید که اگر *دارید* وارد این «تجارت آنلاین شوید. به ما ارز دیجیتال وام دهید و ما به شما سود می پردازیم. وسایل خود را در یک کیف پول داغ قرار دهید تا بتوانید در عرض چند ثانیه اقدام کنید. وارد کل صحنه قرارداد هوشمند شوید. توکنهای غیرقابل تعویض من [NFTs] را بخر» – همه این موارد…
...اگر تصمیم گرفتید که بازار *برای شما* است، لطفاً مطمئن شوید که با چشمان کاملا باز وارد بازار می شوید، نه با چشمان کاملا بسته!
و دلیل ساده این است که در مواردی مانند این، کلاهبرداران ممکن است بتوانند *بعضی* از خودپردازهای بانک را تخلیه کنند.
در این مورد، اولاً، به نظر می رسد که آنها تقریباً همه چیز را تخلیه کرده اند، و ثانیا، بر خلاف بانک های معمولی، فقط در صورت ورشکستگی یک بانک واقعی، از حمایت های نظارتی برخوردار نیستید.
در مورد امور مالی غیرمتمرکز، کل ایده غیرمتمرکز بودن، جدید بودن، و باحال بودن آن و چیزی که میخواهید با عجله وارد آن شوید…
... این است که *این محافظت های نظارتی آزاردهنده را ندارد.
شما میتوانید، و احتمالاً ممکن است - زیرا ما بیشتر از آنچه که من راحت انجام میدهم، در این مورد صحبت کردهایم، ممکن است *همه چیز* را از دست بدهید.
و طرف دیگر آن این است که، اگر چیزهایی را در برخی امور مالی غیرمتمرکز یا انباشته شدن «وبسایت فوقالعاده تجاری جدید وب 3.0» مانند این از دست دادهاید، پس بسیار مراقب باشید افرادی که همراهشان میشوند و میگویند: «هی، نگران نباش. با وجود فقدان مقررات، شرکت های متخصصی وجود دارند که می توانند پول شما را پس بگیرند. تنها کاری که باید انجام دهید این است که با شرکت X، فردی Y یا حساب رسانه اجتماعی Z تماس بگیرید.
زیرا، هر زمان که چنین فاجعهای رخ میدهد، کلاهبرداران ثانویه به سرعت وارد عمل میشوند و پیشنهاد میکنند "راهی" برای پس گرفتن پول شما پیدا کنند.
کلاهبرداران زیادی در اطراف شناور هستند، بنابراین بسیار مراقب باشید.
اگر پول خود را از دست داده اید، دست به کار نشوید و پول خوب را پشت سر بد (یا پول بد را پس از خوب، هر طور که باشد) پرتاب نکنید.
دوغ. خوب، می توانید در مورد آن بیشتر بخوانید: Nomad "معاوض توکن" کریپتوکوین 200 میلیون دلار در اشتباه کدنویسی از دست داد.
و اگر از یکی از خوانندگان خود درباره این داستان بشنویم، یک نظر دهنده ناشناس می نویسد، و من موافقم... من نمی فهمم این چگونه کار می کند:
شگفت انگیز این است که یک استارتاپ آنلاین در وهله اول چیزهای زیادی برای از دست دادن داشت. 200,000 دلار، می توانید تصور کنید. اما 200 میلیون دلار غیر قابل باور به نظر می رسد.
و من فکر میکنم ما به نوعی به این سؤال پاسخ دادیم، اما این همه پول از کجا میآید تا فقط 200 میلیون دلار به دست آوریم؟
اردک. من نمی توانم به آن پاسخ دهم، داگ.
دوغ. شماره
اردک. آیا این است که دنیا زودباورتر از گذشته است؟
آیا به این دلیل است که در جامعه ارزهای دیجیتال، سودهای غیرقانونی زیادی وجود دارد؟
بنابراین افرادی هستند که در واقع پول خود را برای این کار اختصاص ندادهاند، اما در نهایت با استفاده از روشهای نادرست و نه منصفانه، با حجم زیادی از ارزهای دیجیتال مواجه شدند. (ما می دانیم که پرداخت های باج افزار معمولاً به صورت ارزهای رمزنگاری شده انجام می شود، اینطور نیست؟)
به طوری که آن را مانند پول خنده دار ... شخصی که از دست دادن "پول" ممکن است پول نقد در جلو قرار داده است؟
آیا این فقط یک غیرت تقریباً مذهبی از طرف افرادی است که میگویند: «نه، نه، *این* راهش است. ما نیاز داریم که روشی را که سازمانهای مالی قدیمی، بدجنس و بسیار منظم انجام میدهند، بشکنیم. ما باید از شر مرد خلاص شویم؟
نمی دانم، شاید 200 میلیون دلار دیگر پول زیادی نباشد، داگ؟
دوغ. [می خندد] خب، البته!
اردک. من گمان می کنم که فقط افرادی هستند که با چشمان کاملا بسته وارد می شوند.
آنها می گویند، "من * آماده هستم که این خطر را بپذیرم زیرا بسیار جالب است."
و مشکل این است که اگر قرار است 200 دلار یا 2000 دلار از دست بدهید و بتوانید آن را از دست بدهید، این یک چیز است.
اما اگر برای 2000 دلار وارد شده اید و فکر می کنید، "می دانید چیست. شاید من باید برای 20,000 دلار وارد شوم؟» و سپس فکر میکنید، «میدانی چیست. شاید من باید برای 200,000 دلار وارد شوم؟ شاید باید بروم؟»
سپس، من فکر می کنم شما باید واقعا مراقب باشید!
دقیقاً به دلایلی که ممکن است احساس کنید از حمایتهای نظارتی برخوردار هستید، مانند زمانی که اتفاق بدی در کارت اعتباری شما میافتد و شما فقط تلفن میزنید و آن را به چالش میکشید و آنها میروند. "خوب"، و آنها از آن 52.23 دلار از صورت حساب عبور می کنند…
... در این مورد این اتفاق نمی افتد.
و بعید است که 52 دلار باشد، احتمالاً بسیار بیشتر از این خواهد بود.
پس مراقب باشید، مردم!
دوغ. مواظب باش واقعا
بسیار خوب، ممنون از نظر شما
و اگر داستان، نظر یا سوال جالبی دارید که میخواهید ارسال کنید، مایلیم آن را در پادکست بخوانید.
می توانید ایمیل بزنید tips@sophos.com
; شما می توانید در مورد هر یک از مقالات ما نظر دهید. شما می توانید ما را در شبکه های اجتماعی معرفی کنید: @NakedSecurity
.
این برنامه امروز ماست - خیلی ممنون که گوش دادید.
برای پل داکلین، من داگ آموت هستم، به شما یادآوری می کنم، تا دفعه بعد که…
هر دو. ایمن بمان
[مودم موزیکال]
- بلاکچین
- coingenius
- کریپتو کارنسی (رمز ارزها )
- کیف پول cryptocurrency
- رمزنگاری
- رمزنگاری
- رمزنگاری
- امنیت سایبری
- جرایم اینترنتی
- مجرمان سایبری
- امنیت سایبری
- اداره امنیت میهن
- کیف پول دیجیتال
- فایروال
- کسپرسکی
- نرم افزارهای مخرب
- مکافی
- امنیت برهنه
- پادکست امنیتی برهنه
- NexBLOC
- افلاطون
- افلاطون آی
- هوش داده افلاطون
- بازی افلاطون
- PlatoData
- بازی پلاتو
- پادکست
- VPN
- آسیب پذیری
- امنیت وب سایت
- زفیرنت