S3 Ep94: This Sort Of Crypto (graphy), And The Other Sort Of Crypto (currency!) [Audio + Text]

بازنشر افلاطون

دنبال: 0

برای پرش به هر نقطه، روی امواج صوتی زیر کلیک کنید و بکشید. شما همچنین می توانید مستقیم گوش کن در Soundcloud

با داگ آموت و پل داکلین.

موسیقی مقدماتی و بیرونی توسط ادیت ماج.

شما می توانید به ما گوش دهید Soundcloud, پادکست های اپل, پادکست های Google, Spotify, Stitcher به و هر جایی که پادکست های خوب پیدا می شود. یا فقط رها کنید URL فید RSS ما به پادکچر مورد علاقه شما

رونوشت را بخوانید

دوغ. A باگ بحرانی سامبا، یکی دیگر از سرقت کریپتوو روز SysAdmin مبارک.

همه اینها و بیشتر، در پادکست Naked Security.

[مودم موزیکال]

به پادکست خوش آمدید، همه.

من داگ آموت هستم.

مثل همیشه پل داکلین با من است... پل، امروز چطوری؟

اردک. بسیار عالی، ممنون داگلاس.

دوغ. ما دوست داریم نمایش را با برخی از تاریخچه فناوری شروع کنیم.

و این هفته، پل، ما به سال 1858 برمی گردیم!

این هفته در سال 1858، اولین کابل تلگراف فرا اقیانوس اطلس تکمیل شد.

این کابل توسط بازرگان آمریکایی کوروس وستفیلد هدایت می شد و کابل از خلیج ترینیتی، نیوفاندلند، به والنسیا، ایرلند، حدود 2000 مایل عرض و بیش از 2 مایل عمق داشت.

این پنجمین تلاش بود و متأسفانه کابل فقط برای یک ماه کار کرد.

اما به اندازه کافی کار کرد تا رئیس جمهور وقت جیمز بوکانان و ملکه ویکتوریا با هم تبادل نظر کنند.

اردک. بله، من معتقدم که اینطور بود، چگونه می توانم آن را ... غش کنم. [خنده]

1858!

خدا چه کرده است؟، داگ! [کلمات ارسال شده در اولین پیام تلگراف]

دوغ. [می خندد] در مورد چیزهایی که ساخته شده صحبت می شود، یک وجود دارد باگ بحرانی سامبا که از آن زمان وصله شده است.

من به هیچ وجه متخصص نیستم، اما این باگ به هر کسی اجازه می‌دهد مدیر دامنه شود... بد به نظر می‌رسد.

اردک. خب، بد به نظر می‌رسد، داگ، عمدتاً به این دلیل که *خیلی بد است!

دوغ. آنجا بروید

اردک. Samba… فقط برای روشن شدن، قبل از شروع، اجازه دهید نسخه های مورد نظر شما را مرور کنیم.

اگر از طعم 4.16 هستید، به 4.16.4 یا بالاتر نیاز دارید. اگر روی 4.15 هستید، به 4.15.9 یا بالاتر نیاز دارید. و اگر روی 4.14 هستید، به 4.14.14 یا بالاتر نیاز دارید.

این رفع اشکال، در مجموع، شش باگ مختلف را اصلاح کردند که به اندازه کافی جدی برای دریافت اعداد CVE - تعیین‌کننده‌های رسمی، در نظر گرفته شدند.

آن چیزی که برجسته بود این است CVE-2022-32744.

و عنوان اشکال گویای همه چیز است: کاربران Samba Active Directory می توانند درخواست های تغییر رمز عبور را برای هر کاربری جعل کنند.

دوغ. بله، بد به نظر می رسد.

اردک. بنابراین، همانطور که گزارش کامل اشکال در مشاوره امنیتی، گزارش تغییرات به روشی کاملاً متوازن می گوید:

یک کاربر می تواند رمز عبور حساب مدیر را تغییر دهد و کنترل کامل دامنه را به دست آورد. از دست دادن کامل محرمانگی و یکپارچگی و همچنین در دسترس بودن با ممانعت از دسترسی کاربران به حساب‌هایشان امکان‌پذیر خواهد بود.»

و همانطور که شنوندگان ما احتمالا می دانند، به اصطلاح "ثلاث مقدس" (به نقل از هوا) امنیت رایانه عبارت است از: در دسترس بودن، محرمانه بودن و یکپارچگی.

شما قرار است همه آنها را داشته باشید، نه فقط یکی از آنها.

پس تمامیت به این معنی که هیچ کس دیگری نمی تواند وارد شود و بدون اینکه شما متوجه شوید با وسایل شما سر و سامان دهد.

دسترسی می گوید شما همیشه می توانید به چیزهای خود دست پیدا کنید - آنها نمی توانند مانع از رسیدن شما به آنها در زمانی که شما بخواهید.

و محرمانه بودن یعنی نمی توانند به آن نگاه کنند مگر اینکه قرار باشد اجازه داشته باشند.

هر یک از آن ها، یا هر دو تا از آن ها، به تنهایی کاربرد زیادی ندارند.

پس این واقعاً یک ترفکتا بود، داگ!

و به طرز آزاردهنده‌ای، در همان بخش سامبا است که ممکن است نه تنها اگر می‌خواهید یک رایانه یونیکس را به یک دامنه ویندوز متصل کنید، بلکه اگر می‌خواهید یک دامنه اکتیو دایرکتوری برای رایانه‌های ویندوزی راه‌اندازی کنید، استفاده کنید. دسته ای از کامپیوترهای لینوکس یا یونیکس.

دوغ. این یعنی تیک زدن تمام کادرها به روش های اشتباه!

اما یک وصله وجود دارد - و ما همیشه می گوییم، "اوایل وصله، اغلب وصله".

آیا راه‌حلی وجود دارد که اگر افراد به دلایلی نتوانند فوراً وصله کنند، بتوانند از آن استفاده کنند، یا این یک نوع کاری است که فقط انجام می‌شود؟

اردک. خوب، درک من این است که این اشکال در سرویس احراز هویت رمز عبور به نام است kpasswd.

اساساً کاری که این سرویس انجام می دهد این است که به دنبال درخواست تغییر رمز عبور می گردد و تأیید می کند که توسط نوعی شخص مورد اعتماد امضا یا مجاز شده است.

و متأسفانه، به دنبال یک سری شرایط خطا، آن شخص مورد اعتماد می تواند شامل شما شود.

بنابراین به نوعی شبیه یک است گذرنامه خود را چاپ کنید اشکال، اگر دوست دارید

شما باید یک پاسپورت تهیه کنید... می‌تواند یک پاسپورت واقعی باشد که توسط دولت خودتان صادر شده است، یا می‌تواند گذرنامه‌ای باشد که چاپگر جوهرافشان را در خانه کوبیده‌اید، و هر دوی آن‌ها از پس آن برآیند. [خنده]

ترفند این است که اگر در استفاده از Samba واقعاً به این سرویس احراز هویت رمز عبور اعتماد نکنید، می توانید از آن جلوگیری کنید. kpasswd سرویس از در حال اجرا

البته، اگر واقعاً به کل سیستم سامبا برای تأیید احراز هویت اکتیو دایرکتوری و تغییر رمز عبور خود متکی هستید، راه‌حل، سیستم شما را خراب می‌کند.

بنابراین بهترین دفاع، البته، در واقع وصله ای است که به جای اینکه به سادگی از *اجتناب* باشد، باگ را *حذف* می کند.

دوغ. خیلی خوب.

تو می توانی بیشتر بخوانید در مورد که در سایت: nakedscurity.sophos.com.

و ما به سمت شگفت انگیزترین زمان سال حرکت می کنیم!

ما فقط جشن گرفتیم روز SysAdmin، پل، و من اینجا تلگراف نخواهیم کرد... اما تو این کار را کردی کاملا نوشتن.

اردک. خوب، یک بار در سال، خیلی زیاد نیست که بخواهیم به بخش فناوری اطلاعات برویم و به همه کسانی که این همه کار پس زمینه پنهان را انجام داده اند لبخند بزنیم…

... برای حفظ [سریعتر و سریعتر شدن] رایانه‌هایمان، سرورهایمان، و سرویس‌های ابری، و لپ‌تاپ‌ها، و تلفن‌هایمان، و سوئیچ‌های شبکه‌مان [DOUG LAUGHS]، و اتصالات DSL، و کیت Wi-Fi ما وضعیت کار خوب

در دسترس! محرمانه! پر از صداقت، در تمام طول سال!

اگر این کار را در آخرین جمعه ماه جولای، یعنی Sروز قدردانی ysAdmin، پس چرا امروز نروید و این کار را انجام ندهید؟

و حتی اگر این کار را انجام داده باشید، هیچ چیزی وجود ندارد که بگوید نمی توانید قدردان SysAdmin های خود در هر روز از سال باشید.

لازم نیست فقط در جولای این کار را انجام دهی، داگ.

دوغ. نکته خوب!

اردک. بنابراین در اینجا چیزی است که باید انجام دهید، داگ.

من این را "شعر" یا "بیت" بنامم... از نظر فنی فکر می‌کنم که این یک خنده است، اما می‌خواهم وانمود کنم که تمام لذت و گرمای یک غزل شکسپیر را دارد.

این *غزل* نیست، اما باید انجام شود.

دوغ. کامل.

اردک. برو، داگ.

اگر باتری موس شما تمام شده باشد یا نور وب‌کم شما نمی‌درخشد اگر نمی‌توانید رمز عبور خود را به خاطر بیاورید یا ایمیل شما نشان داده نمی‌شود اگر درایو USB خود را گم کرده‌اید یا جلسه شما شروع نمی‌شود اگر نمی‌توانید یک هیستوگرام بسازید یا یک نمودار گرد خوب بکشید اگر تصادفاً [حذف] را زدید یا دیسک خود را فرمت کردید، اگر می‌خواستید یک نسخه پشتیبان تهیه کنید اما در عوض فقط ریسک کردید اگر می‌دانید مقصر آشکار است و مقصر به شما اشاره می‌کند. امید خود را از دست بدهید و سرخورده باشید یک کار باقی مانده است که باید انجام دهید! شکلات، شراب، کمی شادی، لبخند بزنید و وقتی می گویید: "من همین الان وارد شدم تا برای همه شما یک روز عالی SysAdmin را آرزو کنم!"

دوغ. [دست زدن] واقعاً خوب است! یکی از بهترین های شما!

اردک. بسیاری از کارهایی که SysAdmin ها انجام می دهند نامرئی است، و بسیاری از آن ها به طرز شگفت انگیزی انجام خوب و قابل اعتماد دشوار است…

... و بدون اینکه یک چیز را اصلاح کنیم و چیز دیگری را خراب کنیم.

این لبخند کمترین چیزی است که لیاقت آن ها را دارند، داگ.

دوغ. کمترین!

اردک. بنابراین، به همه SysAdmin ها در سراسر جهان، امیدوارم از جمعه گذشته لذت برده باشید.

و اگر به اندازه کافی لبخند نزدید، همین حالا یکی از آنها را بردارید.

دوغ. روز SysAdmin بر همه مبارک باد آن شعر را بخوان، که عالی است ... در سایت موجود است.

بسیار خوب، حرکت به سمت چیزی نه چندان عالی: الف اشکال سوء مدیریت حافظه در GnuTLS

اردک. بله، فکر می‌کردم ارزش نوشتن در Naked Security را دارد، زیرا وقتی مردم به رمزنگاری منبع باز فکر می‌کنند، تمایل دارند به OpenSSL فکر کنند.

زیرا (الف) این موردی است که همه درباره آن شنیده اند و (ب) احتمالاً در سال های اخیر بیشترین تبلیغات را در مورد اشکالات داشته است. Heartbleed.

حتی اگر در آن زمان (هشت سال پیش) آنجا نبودید، احتمالاً نام Heartbleed را شنیده اید، که نوعی اشکال نشت داده و نشت حافظه در OpenSSL بود.

مدت ها بود که در کد وجود داشت و هیچ کس متوجه نشد.

و سپس یک نفر متوجه شد، و آنها آن را نام فانتزی گذاشتند، و آنها یک آرم به اشکال دادند، و آنها یک وب سایت به اشکال دادند، و آنها این چیز عظیم روابط عمومی را از آن ساختند.

دوغ. [می خندد] اینگونه می دانید که واقعی است…

اردک. خوب، آنها این کار را انجام می دادند زیرا می خواستند توجه را به این واقعیت جلب کنند که آن را کشف کرده اند و به این واقعیت بسیار افتخار می کردند.

و طرف دیگر این بود که مردم بیرون رفتند و این اشکال را برطرف کردند که در غیر این صورت ممکن بود انجام نمی‌دادند... زیرا، خوب، این فقط یک باگ است.

به نظر نمی رسد خیلی چشمگیر باشد - اجرای کد از راه دور نیست. بنابراین آنها نمی توانند به سادگی وارد شوند و فوراً تمام وب سایت های من و غیره و غیره را در اختیار بگیرند.

اما آن را به نام OpenSSL تبدیل کرد، نه لزوما به دلایل درست.

با این حال، بسیاری از کتابخانه‌های رمزنگاری منبع باز وجود دارد، نه فقط OpenSSL، و حداقل دو مورد از آنها به طرز شگفت‌آوری به طور گسترده مورد استفاده قرار می‌گیرند، حتی اگر هرگز نام آنها را نشنیده باشید.

NSS وجود دارد، مخفف سرویس امنیت شبکه، که کتابخانه رمزنگاری خود موزیلا است.

شما می توانید آن را مستقل از هر پروژه خاص موزیلا دانلود و استفاده کنید، اما آن را به ویژه در فایرفاکس و تاندربرد پیدا خواهید کرد که تمام رمزگذاری را در آنجا انجام می دهد – آنها از OpenSSL استفاده نمی کنند.

و وجود دارد gnuTLS، که یک کتابخانه منبع باز تحت پروژه گنو است، که اساساً، اگر بخواهید، رقیب یا جایگزینی برای OpenSSL است و (حتی اگر متوجه آن نباشید) توسط تعداد شگفت انگیزی از OpenSSL استفاده می شود. منبع پروژه ها و محصولات…

... از جمله کد، هر پلتفرمی که روی آن هستید، که احتمالاً در سیستم خود دارید.

بنابراین این شامل هر کاری می‌شود، مثلاً: FFmpeg; منکودر; GnuPGP (ابزار مدیریت کلید گنو)؛ QEMU، Rdesktop؛ سامبا، که ما فقط در مورد باگ قبلی صحبت کردیم. Wget، که بسیاری از مردم از آن برای دانلود وب استفاده می کنند. ابزارهای شناسایی شبکه Wireshark. زلیب.

ابزارهای زیادی وجود دارد که به یک کتابخانه رمزنگاری نیاز دارند و تصمیم گرفته‌اند از GnuTLS *به‌جای* OpenSSL استفاده کنند، یا شاید حتی *و همچنین*، بسته به مسائل زنجیره تامین که کدام زیر بسته‌ها را کشیده‌اند. که در.

ممکن است پروژه ای داشته باشید که در آن برخی از قسمت های آن از GnuTLS برای رمزنگاری خود استفاده می کنند و برخی از بخش های آن از OpenSSL استفاده می کنند و انتخاب یکی از دیگری دشوار است.

بنابراین، چه خوب و چه بد، به هر دوی آنها ختم می‌شوید.

و متأسفانه GnuTLS (نسخه ای که می خواهید 3.7.7 یا بالاتر است) یک نوع باگ داشت که به نام دو برابر رایگان… باور کنید یا نه در بخشی از کد که اعتبار گواهی TLS را انجام می دهد.

بنابراین، در نوعی کنایه که قبلاً در کتابخانه‌های رمزنگاری دیده‌ایم، کدی که از TLS برای ارسال‌های رمزگذاری‌شده استفاده می‌کند، اما برای تأیید انتهای دیگر زحمت نمی‌کشد... کدی که می‌گوید: «تایید گواهی، چه کسی به آن نیاز دارد؟»

این به طور کلی به عنوان یک ایده بسیار بد در نظر گرفته می شود، از نقطه نظر امنیتی نسبتاً ضعیف ... اما هر کدی که این کار را انجام دهد در برابر این باگ آسیب پذیر نخواهد بود، زیرا کد باگ را صدا نمی کند.

بنابراین، متأسفانه، کدی که سعی در انجام کار *درست* دارد ممکن است توسط یک گواهی سرکش فریب بخورد.

و فقط برای توضیح ساده، الف دو برابر رایگان نوعی باگ است که در آن از سیستم عامل یا سیستم می‌پرسید: «هی، کمی حافظه به من بده. من موقتا به مقداری حافظه نیاز دارم. در این مورد، من تمام این اطلاعات گواهی را دارم، می‌خواهم آن را به طور موقت ذخیره کنم، اعتبار آن را تأیید کنم، و بعد از اتمام کار، حافظه را پس می‌گیرم تا بتواند توسط بخش دیگری از برنامه استفاده شود. ”

اگر برنامه نویس C هستید، با توابع آن آشنا خواهید شد malloc()، مخفف "تخصیص حافظه" و free()، که عبارت است از "دست به عقب".

و ما می دانیم که یک نوع باگ به نام وجود دارد پس از استفاده رایگان، جایی است که داده ها را پس می دهید، اما به هر حال به استفاده از آن بلوک حافظه ادامه می دهید و فراموش می کنید که آن را رها کرده اید.

اما مموری دوگانه کمی متفاوت است – جایی است که شما حافظه را پس می‌دهید، و با وجدان از استفاده مجدد آن اجتناب می‌کنید، اما در مرحله بعد، می‌گویید: «صبر کن، مطمئنم که من آن را تحویل ندادم. هنوز حافظه برگشته است بهتر است در هر صورت آن را پس بدهم.»

و به این ترتیب به سیستم عامل می گویید، "بسیار خوب، دوباره این حافظه را آزاد کنید."

بنابراین به نظر می رسد که این یک درخواست مشروع برای آزاد کردن داده هایی است *که ممکن است بخشی دیگر از برنامه واقعاً به آن تکیه کند*.

و همانطور که می توانید تصور کنید، ممکن است اتفاقات بدی بیفتد، زیرا این بدان معناست که ممکن است دو قسمت از برنامه را دریافت کنید که به طور ناخودآگاه روی یک تکه حافظه به طور همزمان تکیه می کنند.

خبر خوب این است که من باور نمی‌کنم که یک اکسپلویت کار برای این باگ پیدا شده باشد، و بنابراین، اگر وصله کنید، به جای اینکه به سادگی با آنها روبرو شوید، از کلاهبرداران پیشی خواهید گرفت.

اما، البته، خبر بد این است که وقتی رفع اشکال‌هایی مانند این منتشر می‌شوند، معمولاً تعداد زیادی از مردم به آنها نگاه می‌کنند و سعی می‌کنند آنچه را که اشتباه رخ داده است، تجزیه و تحلیل کنند، به این امید که به سرعت بفهمند چه کاری می‌توانند برای سوء استفاده انجام دهند. اشکال در برابر همه افرادی که در وصله کردن آنها دیر بوده اند.

به عبارت دیگر: معطل نکنید. همین امروز انجامش بده

دوغ. بسیار خوب، آخرین نسخه GnuTLS 3.7.7 است… لطفا به روز رسانی کنید.

تو می توانی در مورد آن بیشتر بخوانید در سایت.

اردک. اوه، و داگ، ظاهرا باگ در GnuTLS 3.6.0 معرفی شده است.

دوغ. OK را بزنید.

اردک. بنابراین، در تئوری، اگر نسخه‌ای قدیمی‌تر از آن دارید، در برابر این باگ آسیب‌پذیر نیستید…

... اما لطفاً از آن به عنوان بهانه ای برای رفتن استفاده نکنید، "من هنوز نیازی به به روز رسانی ندارم."

همچنین می‌توانید از روی تمام به‌روزرسانی‌هایی که منتشر شده‌اند، برای سایر مسائل امنیتی، بین 3.6.0 و 3.7.6، به جلو بپرید.

بنابراین این واقعیت که شما در دسته این اشکال قرار نمی گیرید – از آن به عنوان بهانه ای برای انجام هیچ کاری استفاده نکنید.

از آن به عنوان انگیزه ای برای رسیدن به امروز استفاده کنید... این توصیه من است.

دوغ. خوب!

و آخرین داستان ما در این هفته: ما در مورد سرقت رمزنگاری دیگری صحبت می کنیم.

این بار، تنها $ 200 میلیونبا این حال، پل.

این یک تغییر بزرگ در مقایسه با برخی از موارد دیگری است که در مورد آنها صحبت کردیم.

اردک. من تقریباً نمی خواهم این را بگویم، داگ، اما یکی از دلایلی که این را نوشتم این بود که به آن نگاه کردم و متوجه شدم که فکر می کنم: "اوه، فقط 200 میلیون؟ این خیلی کوچک است... من به چه فکر می کنم!؟» [خنده]

200 میلیون دلار، اساساً... خوب، نه "پایین توالت"، بلکه "بیرون از صندوق بانک".

این سرویس Nomad از شرکتی به نام Illusory Systems Incorporated است.

و من فکر می‌کنم شما هم قبول دارید که، مطمئناً از نقطه‌نظر امنیتی، کلمه «توهم‌آمیز» شاید نوع درستی از استعاره باشد.

این سرویسی است که اساساً به شما امکان می دهد آنچه را که در اصطلاح معروف به آن است انجام دهید پل زدن.

شما اساساً به طور فعال یک ارز دیجیتال را با ارز دیگر معامله می کنید.

بنابراین، شما مقداری از ارز دیجیتال خود را به همراه تعداد زیادی از افراد دیگر در یک سطل غول‌پیکر قرار می‌دهید و سپس ما می‌توانیم همه این قراردادهای هوشمند خودکار «مالی غیرمتمرکز» را انجام دهیم.

ما می توانیم بیت کوین را با اتر یا اتر را با مونرو یا هر چیز دیگری مبادله کنیم.

متأسفانه، در طی یک به روز رسانی کد اخیر، به نظر می رسد که آنها در همان حفره ای افتادند که شاید بچه های سامبا با اشکالی که ما در مورد آن در Samba صحبت کردیم انجام دادند.

اساسا یک وجود دارد گذرنامه خود را چاپ کنید، و یا یک تراکنش خود را مجاز کنید اشکالی که معرفی کردند

نکته ای در کد وجود دارد که در آن یک هش رمزنگاری، یک هش رمزنگاری 256 بیتی، قرار است اعتبار سنجی شود... چیزی که هیچ کس جز یک تایید کننده مجاز نمی تواند به آن دست یابد.

با این تفاوت که اگر اتفاقاً از مقدار صفر استفاده می کردید، باید از مرحله جمع آوری عبور کنید.

شما اساساً می توانید تراکنش موجود هر کس دیگری را بگیرید، نام گیرنده را با نام خود بازنویسی کنید ("Hey, pay *my* cryptocurrency wallet") و فقط تراکنش را دوباره پخش کنید.

و سیستم به حالت "OK" می رود.

شما فقط باید داده ها را در قالب درست دریافت کنید، این درک من است.

و ساده‌ترین راه برای ایجاد تراکنش‌ای که باید انجام شود این است که تراکنش از قبل تکمیل‌شده و موجود شخص دیگری را بگیرید، آن را دوباره پخش کنید، اما نام او یا شماره حسابش را خط بزنید و نام خود را وارد کنید.

بنابراین، به عنوان تحلیلگر ارزهای دیجیتال @samczsun گفت در توییتر, مهاجمان از این موضوع برای کپی و پیست کردن تراکنش‌ها سوء استفاده کردند و به سرعت پل را در فضایی دیوانه‌وار و رایگان برای همه خالی کردند.

به عبارت دیگر، مردم دیوانه شده‌اند که از دستگاه خودپردازی که کارت بانکی هر کسی را می‌پذیرد، به شرطی که پین صفر وارد می‌کنید، پول برداشت کنند.

و نه فقط تا زمانی که دستگاه خودپرداز تخلیه شد... خودپرداز اساساً مستقیماً به کنار صندوق بانک متصل بود و پول به سادگی بیرون می ریخت.

دوغ. ارررغ!

اردک. همانطور که شما می گویید ظاهراً آنها در مدت کوتاهی حدود 200 میلیون دلار ضرر کردند.

اوه عزیزم.

دوغ. خوب، ما توصیه هایی داریم، و بسیار ساده است…

اردک. تنها توصیه‌ای که واقعاً می‌توانید بکنید این است: «برای پیوستن به این انقلاب مالی غیرمتمرکز عجله نداشته باشید».

همانطور که قبلاً گفته ایم، مطمئن شوید که اگر *دارید* وارد این «تجارت آنلاین شوید. به ما ارز دیجیتال وام دهید و ما به شما سود می پردازیم. وسایل خود را در یک کیف پول داغ قرار دهید تا بتوانید در عرض چند ثانیه اقدام کنید. وارد کل صحنه قرارداد هوشمند شوید. توکن‌های غیرقابل تعویض من [NFTs] را بخر» – همه این موارد…

...اگر تصمیم گرفتید که بازار *برای شما* است، لطفاً مطمئن شوید که با چشمان کاملا باز وارد بازار می شوید، نه با چشمان کاملا بسته!

و دلیل ساده این است که در مواردی مانند این، کلاهبرداران ممکن است بتوانند *بعضی* از خودپردازهای بانک را تخلیه کنند.

در این مورد، اولاً، به نظر می رسد که آنها تقریباً همه چیز را تخلیه کرده اند، و ثانیا، بر خلاف بانک های معمولی، فقط در صورت ورشکستگی یک بانک واقعی، از حمایت های نظارتی برخوردار نیستید.

در مورد امور مالی غیرمتمرکز، کل ایده غیرمتمرکز بودن، جدید بودن، و باحال بودن آن و چیزی که می‌خواهید با عجله وارد آن شوید…

... این است که *این محافظت های نظارتی آزاردهنده را ندارد.

شما می‌توانید، و احتمالاً ممکن است - زیرا ما بیشتر از آنچه که من راحت انجام می‌دهم، در این مورد صحبت کرده‌ایم، ممکن است *همه چیز* را از دست بدهید.

و طرف دیگر آن این است که، اگر چیزهایی را در برخی امور مالی غیرمتمرکز یا انباشته شدن «وب‌سایت فوق‌العاده تجاری جدید وب 3.0» مانند این از دست داده‌اید، پس بسیار مراقب باشید افرادی که همراهشان می‌شوند و می‌گویند: «هی، نگران نباش. با وجود فقدان مقررات، شرکت های متخصصی وجود دارند که می توانند پول شما را پس بگیرند. تنها کاری که باید انجام دهید این است که با شرکت X، فردی Y یا حساب رسانه اجتماعی Z تماس بگیرید.

زیرا، هر زمان که چنین فاجعه‌ای رخ می‌دهد، کلاهبرداران ثانویه به سرعت وارد عمل می‌شوند و پیشنهاد می‌کنند "راهی" برای پس گرفتن پول شما پیدا کنند.

کلاهبرداران زیادی در اطراف شناور هستند، بنابراین بسیار مراقب باشید.

اگر پول خود را از دست داده اید، دست به کار نشوید و پول خوب را پشت سر بد (یا پول بد را پس از خوب، هر طور که باشد) پرتاب نکنید.

دوغ. خوب، می توانید در مورد آن بیشتر بخوانید: Nomad "معاوض توکن" کریپتوکوین 200 میلیون دلار در اشتباه کدنویسی از دست داد.

و اگر از یکی از خوانندگان خود درباره این داستان بشنویم، یک نظر دهنده ناشناس می نویسد، و من موافقم... من نمی فهمم این چگونه کار می کند:

شگفت انگیز این است که یک استارتاپ آنلاین در وهله اول چیزهای زیادی برای از دست دادن داشت. 200,000 دلار، می توانید تصور کنید. اما 200 میلیون دلار غیر قابل باور به نظر می رسد.

و من فکر می‌کنم ما به نوعی به این سؤال پاسخ دادیم، اما این همه پول از کجا می‌آید تا فقط 200 میلیون دلار به دست آوریم؟

اردک. من نمی توانم به آن پاسخ دهم، داگ.

دوغ. شماره

اردک. آیا این است که دنیا زودباورتر از گذشته است؟

آیا به این دلیل است که در جامعه ارزهای دیجیتال، سودهای غیرقانونی زیادی وجود دارد؟

بنابراین افرادی هستند که در واقع پول خود را برای این کار اختصاص نداده‌اند، اما در نهایت با استفاده از روش‌های نادرست و نه منصفانه، با حجم زیادی از ارزهای دیجیتال مواجه شدند. (ما می دانیم که پرداخت های باج افزار معمولاً به صورت ارزهای رمزنگاری شده انجام می شود، اینطور نیست؟)

به طوری که آن را مانند پول خنده دار ... شخصی که از دست دادن "پول" ممکن است پول نقد در جلو قرار داده است؟

آیا این فقط یک غیرت تقریباً مذهبی از طرف افرادی است که می‌گویند: «نه، نه، *این* راهش است. ما نیاز داریم که روشی را که سازمان‌های مالی قدیمی، بدجنس و بسیار منظم انجام می‌دهند، بشکنیم. ما باید از شر مرد خلاص شویم؟

نمی دانم، شاید 200 میلیون دلار دیگر پول زیادی نباشد، داگ؟

دوغ. [می خندد] خب، البته!

اردک. من گمان می کنم که فقط افرادی هستند که با چشمان کاملا بسته وارد می شوند.

آنها می گویند، "من * آماده هستم که این خطر را بپذیرم زیرا بسیار جالب است."

و مشکل این است که اگر قرار است 200 دلار یا 2000 دلار از دست بدهید و بتوانید آن را از دست بدهید، این یک چیز است.

اما اگر برای 2000 دلار وارد شده اید و فکر می کنید، "می دانید چیست. شاید من باید برای 20,000 دلار وارد شوم؟» و سپس فکر می‌کنید، «می‌دانی چیست. شاید من باید برای 200,000 دلار وارد شوم؟ شاید باید بروم؟»

سپس، من فکر می کنم شما باید واقعا مراقب باشید!

دقیقاً به دلایلی که ممکن است احساس کنید از حمایت‌های نظارتی برخوردار هستید، مانند زمانی که اتفاق بدی در کارت اعتباری شما می‌افتد و شما فقط تلفن می‌زنید و آن را به چالش می‌کشید و آنها می‌روند. "خوب"، و آنها از آن 52.23 دلار از صورت حساب عبور می کنند…

... در این مورد این اتفاق نمی افتد.

و بعید است که 52 دلار باشد، احتمالاً بسیار بیشتر از این خواهد بود.

پس مراقب باشید، مردم!

دوغ. مواظب باش واقعا

بسیار خوب، ممنون از نظر شما

و اگر داستان، نظر یا سوال جالبی دارید که می‌خواهید ارسال کنید، مایلیم آن را در پادکست بخوانید.

می توانید ایمیل بزنید tips@sophos.com; شما می توانید در مورد هر یک از مقالات ما نظر دهید. شما می توانید ما را در شبکه های اجتماعی معرفی کنید: @NakedSecurity.

این برنامه امروز ماست - خیلی ممنون که گوش دادید.

برای پل داکلین، من داگ آموت هستم، به شما یادآوری می کنم، تا دفعه بعد که…

هر دو. ایمن بمان

[مودم موزیکال]

تمبر زمان: اوت 4، 2022اوت 4، 2022