S3 Ep94: Tällainen krypto (grafia) ja toisenlainen krypto (valuutta!) [Ääni + teksti]

Napsauta ja vedä alla olevia ääniaaltoja hypätäksesi mihin tahansa kohtaan. Voit myös kuuntele suoraan Soundcloudissa.

DOUG.  A kriittinen Samba bugi, Vielä toinen salausvarkausja Hyvää SysAdmin-päivää.

Kaikki tämä ja paljon muuta Naked Security -podcastissa.

[MUSIIKKIMODEEMI]

Tervetuloa podcastiin kaikki.

Olen Doug Aamoth.

Minun kanssani, kuten aina, Paul Ducklin… Paul, miten voit tänään?

---

ANKKA.  Loistavaa, kiitos, Douglas.

---

DOUG.  Haluamme aloittaa esityksen tekniikan historialla.

Ja tällä viikolla, Paul, palaamme takaisin vuoteen 1858!

Tällä viikolla vuonna 1858 ensimmäinen transatlanttinen lennätinkaapeli valmistui.

Sitä johti amerikkalainen kauppias Cyrus Westfield, ja kaapeli kulki Trinity Baystä Newfoundlandista Valenciaan Irlantiin, noin 2000 mailia poikki ja yli 2 mailia syvä.

Tämä olisi viides yritys, ja valitettavasti kaapeli toimi vain noin kuukauden.

Mutta se toimi tarpeeksi kauan, jotta silloinen presidentti James Buchanan ja kuningatar Victoria vaihtoivat miellytyksiä.

---

ANKKA.  Kyllä, uskon, että se oli, kuinka sen sanoisin… heikko. [NAURU]

1858!

Mitä Jumala on tehnyt?, Doug! [SANAT LÄHETETTY ENSIMMÄISESSÄ TELEGRAFIVIESTINÄ]

---

DOUG.  [NAurua] Kun puhutaan asioista, joita on tehty, on olemassa a kriittinen Samba bugi joka on sittemmin korjattu.

En ole asiantuntija millään tavalla, mutta tämä bugi antaisi kenestä tahansa tulla verkkotunnuksen järjestelmänvalvojaksi… se kuulostaa pahalta.

---

ANKKA.  No, se kuulostaa pahalta, Doug, pääasiassa siitä syystä, että se *on* melko huono!

---

DOUG.  Ole hyvä!

---

ANKKA.  Samba… selvyyden vuoksi, ennen kuin aloitamme, käydään läpi haluamasi versiot.

Jos käytät makua 4.16, tarvitset 4.16.4 tai uudemman; jos käytössäsi on 4.15, tarvitset 4.15.9:n tai uudemman; ja jos käytät 4.14:ää, tarvitset 4.14.14:n tai uudemman.

Nämä virheenkorjaukset korjasivat yhteensä kuusi erilaista bugia, joita pidettiin riittävän vakavina saadakseen CVE-numerot – viralliset tunnukset.

Se joka erottui on CVE-2022-32744.

Ja vian otsikko kertoo kaiken: Samba Active Directory -käyttäjät voivat väärentää salasananvaihtopyyntöjä kenelle tahansa käyttäjälle.

---

DOUG.  Kyllä, kuulostaa pahalta.

---

ANKKA.  Joten kuten tietoturvatiedotteen koko bugiraportissa, muutoslokissa sanotaan melko oudolla tavalla:

"Käyttäjä voi vaihtaa järjestelmänvalvojan tilin salasanan ja saada täydellisen hallinnan toimialueeseen. Luottamuksellisuuden ja eheyden sekä saatavuuden täydellinen menettäminen olisi mahdollista, jos käyttäjiltä estetään pääsy tililleen."

Ja kuten kuulijamme luultavasti tietävät, tietokoneturvallisuuden niin kutsuttu "pyhä kolminaisuus" (ilmalainaukset) on: saatavuus, luottamuksellisuus ja eheys.

Sinulla pitäisi olla ne kaikki, ei vain yksi.

Niin, eheys tarkoittaa, että kukaan muu ei pääse sisään ja sotkea tavaroitasi sinun huomaamatta.

Saatavuus sanoo, että voit aina päästä käsiksi tavaroihisi – he eivät voi estää sinua tarttumasta niihin silloin, kun haluat.

Ja luottamuksellisuus tarkoittaa, että he eivät voi katsoa sitä, ellei heidän ole tarkoitus olla sallittuja.

Yhdestäkään näistä tai kahdesta ei ole yksinään paljon hyötyä.

Joten tämä oli todella trifecta, Doug!

Ja ärsyttävää kyllä, se on aivan Samban osassa, jota saatat käyttää paitsi silloin, kun yrität yhdistää Unix-tietokoneen Windows-toimialueeseen, myös jos yrität määrittää Active Directory -toimialueen Windows-tietokoneille käytettäväksi joukko Linux- tai Unix-tietokoneita.

---

DOUG.  Se merkitsee kaikkien ruutujen valintaa väärillä tavoilla!

Mutta on olemassa korjaustiedosto – ja sanomme aina: "Paikka aikaisin, korjaa usein."

Onko olemassa jotain kiertotapaa, jota ihmiset voivat käyttää, jos he eivät jostain syystä pysty korjaamaan heti, vai onko tämä vain tee se -tyyppinen asia?

---

ANKKA.  Ymmärtääkseni tämä virhe on salasanan todennuspalvelussa kpasswd.

Pohjimmiltaan kyseinen palvelu etsii salasanan vaihtopyyntöä ja varmistaa, että jokin luotettava osapuoli on allekirjoittanut tai valtuuttanut sen.

Ja valitettavasti tiettyjen virheolosuhteiden seurauksena tämä luotettava osapuoli voi sisältää sinut.

Joten se on tavallaan kuin a Tulosta oma passi bugi, jos haluat.

Sinun on esitettävä passi… se voi olla aito, jonka on myöntänyt oma hallitus, tai se voi olla sellainen, jonka nappasit kotona mustesuihkutulostimellesi, ja molemmat läpäisivät kokeen. [NAURU]

Temppu on siinä, että jos et todella luota tähän salasanan todennuspalveluun Samban käytössä, voit estää sen. kpasswd palvelu pois päältä.

Tietenkin, jos todella luotat koko Samba-järjestelmään Active Directory -todennuksen ja salasanan muutoksissa, kiertotapa rikkoisi oman järjestelmäsi.

Joten paras puolustus on tietysti korjaustiedosto, joka *poistaa* vian sen sijaan, että se vain *välttäisi* sitä.

---

DOUG.  Erittäin hyvä.

Sinä pystyt lue lisää aiheesta että sivustolla: nakedscurity.sophos.com.

Ja siirrymme kohti vuoden ihaninta aikaa!

Juhlimme juuri SysAdmin päivä, Paul, ja minä emme lähetä lyöntilinjaa tänne... mutta teillä oli melkoinen kirjoitus.

---

ANKKA.  No, kerran vuodessa ei ole liikaa pyytää, että meidän pitäisi käydä IT-osastolla ja hymyillä kaikille, jotka ovat tehneet kaiken tämän piilotetun taustatyön…

… pitääksemme [NOPEAMPI JA NOPEAMPI] tietokoneemme, palvelimemme, pilvipalvelumme, kannettavat tietokoneemme ja puhelimemme ja verkkokytkimemme [DOUG LAUGHS], DSL-yhteytemme ja Wi-Fi-sarjamme paikallaan. hyvä toimintakunto.

Saatavilla! Salassa pidettävä! Täynnä rehellisyyttä, ympäri vuoden!

Jos et tehnyt sitä heinäkuun viimeisenä perjantaina, joka on SysAdminin arvostuspäivä, niin miksi et menisi ja tekisi sitä tänään?

Ja vaikka tekisitkin sen, mikään ei viittaa siihen, ettet voisi arvostaa SysAdminejasi vuoden jokaisena päivänä.

Sinun ei tarvitse tehdä sitä vain heinäkuussa, Doug.

---

DOUG.  Hyvä pointti!

---

ANKKA.  Joten tässä on mitä tehdä, Doug.

Aion kutsua tätä "runoksi" tai "säkeeksi"… Luulen teknisesti, että se on naurua [NAurua], mutta aion teeskennellä, että siinä on kaikki Shakespearen sonetin ilo ja lämpö.

Se *ei ole* sonetti, mutta sen täytyy tehdä.

---

DOUG.  Täydellinen.

---

ANKKA.  Ole hyvä, Doug.

Jos hiirestäsi on paristot loppu Tai verkkokamerasi valo ei syty Jos et muista salasanaasi Tai sähköpostisi ei vain näy Jos olet kadottanut USB-asemasi Tai kokous ei ala Jos et pysty luo histogrammi Tai piirrä hieno pyöreä kaavio Jos painat [Poista] vahingossa tai alustat levyn Jos aioit tehdä varmuuskopion Mutta sen sijaan otit vain riskin Jos tiedät syyllisen olevan ilmeinen Ja syyllinen palaa sinuun Älä luovu toivosta ja ole masentunut Yksi asia on jäljellä! Ota suklaata, viiniä, piristystä, hymyä ja tarkoita sitä, kun sanot: "Olen juuri käynyt toivottamaan teille kaikille hyvää SysAdmin-päivää!"

---

DOUG.  [TAPUTA] Todella hyvää! Yksi parhaista!

---

ANKKA.  Suuri osa siitä, mitä SysAdmins tekee, on näkymätöntä, ja niin suuri osa siitä on yllättävän vaikeaa tehdä hyvin ja luotettavasti…

…ja tehdä korjaamatta yhtä asiaa ja rikkomatta toista.

Tuo hymy on vähintä, jonka he ansaitsevat, Doug.

---

DOUG.  Vähintään!

---

ANKKA.  Toivon siis kaikille SysAdmineille kaikkialla maailmassa, että piditte viime perjantaista.

Ja jos et saanut tarpeeksi hymyjä, ota yksi nyt.

---

DOUG.  Hyvää SysAdmin-päivää kaikille ja lue se runo, mikä on hienoa… se on sivustolla.

Selvä, siirrytään johonkin ei niin hienoon: a muistivirhe GnuTLS:ssä.

---

ANKKA.  Kyllä, mielestäni tämä oli Naked Securityn kirjoittamisen arvoista, koska kun ihmiset ajattelevat avoimen lähdekoodin salausta, he ajattelevat yleensä OpenSSL:ää.

Koska (A) se on se, josta kaikki ovat kuulleet, ja (B) se on todennäköisesti saanut eniten julkisuutta viime vuosina bugeista, koska heartbleed-haavoittuvuus.

Vaikka et ollut paikalla tuolloin (se oli kahdeksan vuotta sitten), olet luultavasti kuullut Heartbleedistä, joka oli eräänlainen tietovuoto ja muistivuotovirhe OpenSSL:ssä.

Se oli ollut koodissa iät ja kukaan ei huomannut.

Ja sitten joku huomasi, ja he antoivat sille mielikuvituksen nimen, ja he antoivat bugille logon, ja he antoivat bugille verkkosivuston, ja he tekivät tästä massiivisen PR-jutun.

---

DOUG.  [NAURA] Siitä tiedät, että se on totta…

---

ANKKA.  OK, he tekivät sen, koska he halusivat kiinnittää huomion siihen, että he löysivät sen, ja he olivat erittäin ylpeitä siitä.

Ja kääntöpuolena oli, että ihmiset menivät ulos ja korjasivat tämän bugin, jota he eivät ehkä muuten olisi tehneet… koska no, se on vain bugi.

Se ei vaikuta hirveän dramaattiselta – se ei ole koodin etäsuoritusta. joten he eivät voi vain höyryttää ja ottaa välittömästi haltuunsa kaikkia verkkosivustojani jne. jne.

Mutta se teki OpenSSL:stä yleisen nimen, ei välttämättä kaikista oikeista syistä.

On kuitenkin olemassa monia avoimen lähdekoodin kryptografisia kirjastoja, ei vain OpenSSL:ää, ja ainakin kaksi niistä on yllättävän laajasti käytettyjä, vaikka et ole koskaan kuullutkaan niistä.

Siellä on NSS, lyhenne sanoista Verkkoturvapalvelu, joka on Mozillan oma salauskirjasto.

Voit ladata ja käyttää sitä riippumatta tietyistä Mozilla-projekteista, mutta löydät sen erityisesti Firefoxista ja Thunderbirdistä, jotka tekevät kaiken salauksen siellä – ne eivät käytä OpenSSL:ää.

Ja siellä on gnuTLS, joka on GNU-projektin alainen avoimen lähdekoodin kirjasto, joka pohjimmiltaan, jos haluat, on kilpailija tai vaihtoehto OpenSSL:lle ja jota käyttää (vaikka et tajuakaan) yllättävän paljon avoimia lähdeprojektit ja tuotteet…

…mukaan lukien koodilla, millä tahansa alustalla, jolla olet todennäköisesti järjestelmässäsi.

Joten se sisältää kaiken, mikä liittyy esimerkiksi: FFmpeg; Menkooderi; GnuPGP (GNU-avainten hallintatyökalu); QEMU, Rdesktop; Samba, josta puhuimme juuri edellisessä bugissa; Wget, jota monet ihmiset käyttävät web-lataukseen; Wiresharkin verkon nuuskiminen työkalut; Zlib.

Siellä on paljon työkaluja, jotka tarvitsevat salauskirjaston, ja ovat päättäneet joko käyttää GnuTLS:ää *OpenSSL:n sijasta* tai ehkä jopa *sekä*, riippuen toimitusketjun ongelmista siitä, mitä alipaketteja he ovat vetäneet. sisään.

Sinulla saattaa olla projekti, jossa jotkin sen osat käyttävät GnuTLS:ää salaukseensa ja osa OpenSSL:ää, ja on vaikea valita toista.

Joten päädyt, hyvässä tai pahassa, molempien kanssa.

Ja valitettavasti GnuTLS:ssä (haluamasi versio on 3.7.7 tai uudempi) oli eräänlainen bugi, joka tunnetaan nimellä kaksinkertainen… usko tai älä juuri siinä koodin osassa, joka suorittaa TLS-varmenteen vahvistuksen.

Joten, sellaisessa ironiassa, jota olemme nähneet salauskirjastoissa ennenkin, koodi, joka käyttää TLS:ää salattuihin lähetyksiin, mutta ei vaivaudu tarkistamaan toista päätä… koodia, joka kuuluu "Sertifikaatin vahvistaminen, kuka sitä tarvitsee?"

Sitä pidetään yleisesti erittäin huonona ideana, varsin nuhjuisena tietoturvan näkökulmasta... mutta mikä tahansa koodi, joka tekee niin, ei ole altis tälle bugille, koska se ei kutsu bugista koodia.

Joten valitettavasti koodi, joka yrittää tehdä *oikeaa* asiaa, voidaan huijata petollisella sertifikaatilla.

Ja yksinkertaisesti selittääkseni a kaksinkertainen on sellainen bugi, jossa kysyt käyttöjärjestelmältä tai järjestelmältä: "Hei, anna minulle muistia. Tarvitsen muistia väliaikaisesti. Tässä tapauksessa minulla on kaikki nämä varmennetiedot, haluan tallentaa ne väliaikaisesti, vahvistaa sen ja sitten kun olen valmis, annan muistin takaisin, jotta se voidaan käyttää ohjelman toisessa osassa. ”

Jos olet C-ohjelmoija, tunnet toiminnot malloc(), lyhenne sanoista "muistin varaaminen" ja free(), joka on "anna se takaisin".

Ja tiedämme, että on olemassa eräänlainen bugi nimeltä käyttö jälkikäteen, jossa annat tiedot takaisin, mutta jatkat sitten sen muistilohkon käyttöä joka tapauksessa unohtaen, että luovutit siitä.

Mutta double-free on hieman erilainen – siinä annat muistin takaisin ja vältyt velvollisuudentuntoisesti käyttämästä sitä uudelleen, mutta sitten myöhemmässä vaiheessa sanot: "Odota, olen varma, etten luovuttanut sitä muisti vielä takaisin. Minun on parempi antaa se takaisin siltä varalta."

Ja niin sanot käyttöjärjestelmälle: "OK, vapauta tämä muisti uudelleen."

Joten näyttää siltä, ​​​​että se on oikeutettu pyyntö vapauttaa tiedot *joihin joku muu ohjelman osa saattaa todella luottaa*.

Ja kuten voit kuvitella, pahoja asioita voi tapahtua, koska se tarkoittaa, että saatat saada kaksi ohjelman osaa, jotka tiedostamatta luottavat samaan muistiin samaan aikaan.

Hyvä uutinen on, että en usko, että tälle bugille löydettiin toimivaa hyväksikäyttöä, ja siksi, jos korjaat, pääset huijareiden edellä sen sijaan, että vain tavoittaisit heitä.

Mutta tietysti huono uutinen on se, että kun tällaisia ​​virheenkorjauksia ilmestyy, yleensä joukko ihmisiä käy katsomassa niitä ja yrittää analysoida, mikä meni pieleen, toivoen nopeasti ymmärtävänsä, mitä he voivat hyödyntää. bugi kaikkia niitä ihmisiä vastaan, jotka ovat olleet hitaita korjaamaan.

Toisin sanoen: Älä viivyttele. Tee se tänään.

---

DOUG.  Selvä, GnuTLS:n uusin versio on 3.7.7… päivitä.

Sinä pystyt lue lisää siitä sivustolla.

---

ANKKA.  Voi, ja Doug, ilmeisesti vika otettiin käyttöön GnuTLS 3.6.0:ssa.

---

DOUG.  OK.

---

ANKKA.  Joten teoriassa, jos sinulla on vanhempi versio, et ole alttiina tälle virheelle…

…mutta älä käytä sitä tekosyynä sanoakseni "Minun ei tarvitse päivittää vielä."

Voit yhtä hyvin siirtyä eteenpäin kaikkien muiden julkaistujen päivitysten yli kaikkien muiden tietoturvaongelmien 3.6.0 ja 3.7.6 välillä.

Joten se tosiasia, että et kuulu tämän bugin luokkaan – älä käytä sitä tekosyynä olla tekemättä mitään.

Käytä sitä sysäyksenä päästäksesi nykypäivään… se on minun neuvoni.

---

DOUG.  OK!

Ja viikon viimeinen tarinamme: puhumme toisesta kryptoryöstöstä.

Tällä kertaa, vain $ 200 miljoonaakuitenkin, Paul.

Tämä on hieno muutos verrattuna joihinkin muihin, joista olemme puhuneet.

---

ANKKA.  En melkein halua sanoa tätä, Doug, mutta yksi syy, miksi kirjoitin tämän, on se, että katsoin sitä ja huomasin ajattelevani: "Ai, vain 200 miljoonaa? Se on aika pieni ti… MITÄ MINÄ Ajattelen!?” [NAURU]

200 miljoonaa dollaria, pohjimmiltaan… no, ei "vessasta alas", vaan "pois pankin holvista".

Tämä palvelu Nomad on yhtiöltä, jonka nimi on Illusory Systems Incorporated.

Ja uskon, että olette samaa mieltä siitä, että turvallisuusnäkökulmasta katsottuna sana "harhakuva" on kenties oikea metafora.

Se on palvelu, jonka avulla voit pohjimmiltaan tehdä sitä, mitä ammattikieltä tunnetaan siltana.

Käytät periaatteessa aktiivisesti kauppaa yhtä kryptovaluuttaa vastaan.

Joten laitat omaa kryptovaluuttaa johonkin jättimäiseen ämpäriin muiden ihmisten kanssa… ja sitten voimme tehdä kaikki nämä hienot, "hajautetun rahoituksen" automatisoidut älysopimukset.

Voimme vaihtaa Bitcoinin eetteriin tai eetterin Moneroon tai mihin tahansa.

Valitettavasti äskettäisen koodipäivityksen aikana näyttää siltä, ​​​​että he joutuivat samanlaiseen reikään kuin ehkä Samba-kaverit tekivät sen bugin kanssa, josta puhuimme Sambassa.

Siellä on periaatteessa a Tulosta oma passi, tai Valtuuta oma tapahtumasi bugi, jonka he esittelivät.

Koodissa on kohta, jossa kryptografinen tiiviste, 256-bittinen salaustiiviste, oletetaan validoitavan… mitä kukaan muu kuin valtuutettu hyväksyjä ei voisi keksiä.

Paitsi että jos satut käyttämään arvoa nolla, läpäisit kokouksen.

Voit periaatteessa ottaa kenen tahansa muun olemassa olevan tapahtuman, kirjoittaa uudelleen vastaanottajan nimen omallasi ("Hei, maksa *my* kryptovaluuttalompakkoon") ja vain toistaa tapahtuma.

Ja järjestelmä sanoo "OK".

Sinun täytyy vain saada tiedot oikeassa muodossa, se on minun käsitykseni.

Ja helpoin tapa luoda tapahtuma, joka läpäisi kokouksen, on yksinkertaisesti ottaa jonkun toisen valmiiksi tehty, olemassa oleva tapahtuma, toistaa se, mutta yliviivata hänen nimensä tai tilinumeronsa ja laittaa omasi.

Joten kryptovaluuttaanalyytikkona @samczsun sanoi Twitterissä, "Hyökkääjät käyttivät tätä väärin kopioidakseen ja liittääkseen tapahtumia ja tyhjensivät sillan nopeasti kiihtyvässä maksuttomassa tilassa."

Toisin sanoen ihmiset vain tulivat hulluiksi nostivat rahaa pankkiautomaatista, joka hyväksyisi kenen tahansa pankkikortin, kunhan laittaisit PIN-koodin nollaksi.

Eikä vain ennen kuin pankkiautomaatti tyhjennettiin… pankkiautomaatti oli periaatteessa suoraan yhteydessä pankkiholvin sivuun, ja rahaa vain valui ulos.

---

DOUG.  Arrrgh!

---

ANKKA.  Kuten sanot, ilmeisesti he menettivät jossain jopa 200 miljoonaa dollaria vain lyhyessä ajassa.

Ohhoh.

---

DOUG.  No, meillä on neuvoja, ja se on melko suoraviivaista…

---

ANKKA.  Ainoa neuvo, jonka voit todella antaa, on: "Älä pidä liian kiirettä liittyäksesi tähän hajautettuun rahoitusvallankumoukseen."

Kuten olemme ehkä sanoneet aiemmin, varmista, että jos *ryhdyt* tähän "verkkokauppaan; lainaa meille kryptovaluutta, niin me maksamme sinulle korkoa; laita tavarasi kuumaan lompakkoon, jotta voit toimia muutamassa sekunnissa; päästä koko älykkäiden sopimusten näyttämöön; osta minun nonfungible tokenini [NFT]” – kaikki se tavara…

…jos päätät, että tori *on* sinua varten, varmista, että menet sisään silmäsi auki, et silmät kiinni!

Ja yksinkertainen syy on se, että tällaisissa tapauksissa roistot eivät ehkä pysty tyhjentämään *jotkin* pankin pankkiautomaateista.

Tässä tapauksessa ensinnäkin kuulostaa siltä, ​​että ne ovat tyhjentäneet melkein kaiken, ja toiseksi, toisin kuin perinteisillä pankeilla, siellä ei vain ole säännöstenmukaista suojaa, josta nauttisit, jos tosielämän pankki menisi rikki.

Hajautetun rahoituksen tapauksessa koko ajatus siitä, että se on hajautettu, uusi ja siisti, ja jotain, johon haluat kiirehtiä…

…on se, että sillä ei *ei ole* näitä ärsyttäviä viranomaissuojauksia.

Saatat ja ehkä saatat menettää *kaiken*, koska olemme puhuneet tästä useammin kuin minulla on mukavaa tehdä.

Ja sen kääntöpuoli on, että jos olet menettänyt tavaraa jossain hajautetun rahoituksen tai "Web 3.0 upouusi super-kaupankäyntisivuston" kaatuessa, kuten tämä, ole erittäin varovainen, että ihmiset tulevat sanomaan: "Hei, älä huoli. Sääntelyn puutteesta huolimatta on asiantuntijayrityksiä, jotka voivat saada rahasi takaisin. Sinun tarvitsee vain ottaa yhteyttä yritykseen X, yksityishenkilöön Y tai sosiaalisen median tiliin Z”.

Koska aina kun tapahtuu tällainen katastrofi, toissijaiset huijarit juoksevat melko nopeasti ja tarjoavat "löytää tavan" saada rahasi takaisin.

Ympärillä on paljon huijareita, joten ole erittäin varovainen.

Jos olet menettänyt rahaa, älä yritä heittää hyvää rahaa huonon perään (tai huonoa rahaa hyvän perään, riippumatta siitä, miten se on).

---

DOUG.  Okei, voit lukea aiheesta lisää: Kryptocoinin "tunnuksenvaihtaja" Nomad menettää 200 miljoonaa dollaria koodausvirheestä.

Ja jos kuulemme yhdeltä lukijaltamme tästä tarinasta, anonyymi kommentoija kirjoittaa, ja olen samaa mieltä… En ymmärrä, miten tämä toimii:

”Hämmästyttävää on, että online-startupilla oli alun perin niin paljon menetettävää. 200,000 200 dollaria, voit kuvitella. Mutta XNUMX miljoonaa dollaria vaikuttaa uskomattomalta.

Ja luulen, että vastasimme tavallaan tähän kysymykseen, mutta mistä kaikki tämä raha tulee, 200 miljoonan dollarin nappaamiseen?

---

ANKKA.  En voi vastata siihen, Doug.

---

DOUG.  Ei.

---

ANKKA.  Onko maailma uskottavampi kuin ennen?

Johtuuko siitä, että kryptovaluuttayhteisössä on hirveän paljon väärin hankittuja voittoja?

Joten on ihmisiä, jotka eivät itse laittaneet omia rahojaan tähän, mutta he päätyivät koko joukko kryptovaluuttoja sopimattomin keinoin eikä reilusti. (Tiedämme, että ransomware-maksut tulevat yleensä kryptovaluutoina, eikö niin?)

Joten se on kuin hauskaa rahaa… "rahaa" menettävä henkilö ei ehkä laittanut käteistä etukäteen?

Onko se vain melkein uskonnollista innostusta ihmisten taholta: "Ei, ei, *tämä* on tapa tehdä se. Meidän on murrettava kuristusotteen, jolla vanhan koulun, tyhmät, tiukasti säännellyt rahoitusorganisaatiot tekevät asioita. Meidän on päästävä eroon Miehestä”?

En tiedä, ehkä 200 miljoonaa dollaria ei vain ole enää paljon rahaa, Doug?

---

DOUG.  [NAURA] No, tietysti!

---

ANKKA.  Epäilen, että siellä on vain ihmisiä, jotka menevät sisään silmät auki.

He sanovat: "Olen * valmis ottamaan tämän riskin, koska se on niin siistiä."

Ja ongelma on, että jos menetät 200 tai 2000 dollaria ja sinulla on varaa menettää se, se on yksi asia.

Mutta jos olet mennyt sisään 2000 dollarilla ja ajattelet: "Tiedätkö mitä. Ehkä minun pitäisi mennä sisään 20,000 200,000 dollarilla?" Ja sitten ajattelet: "Tiedätkö mitä. Ehkä minun pitäisi mennä sisään XNUMX XNUMX dollarilla? Ehkä minun pitäisi mennä sisään?"

Sitten mielestäni sinun täytyy olla todella varovainen!

Juuri niistä syistä, joista saatat tuntea olevasi viranomaissuojat, kuten sinulla on silloin, kun luottokortillasi tapahtuu jotain pahaa ja soitat ja kiistät asian, ja ne menevät. "OK", ja he ylittävät 52.23 dollaria laskusta…

…se ei tapahdu tässä tapauksessa.

Ja se tuskin on 52 dollaria, se on todennäköisesti paljon enemmän.

Olkaa siis varovaisia, ihmiset!

---

DOUG.  Varo, todellakin.

Selvä, kiitos kommentista.

Ja jos sinulla on mielenkiintoinen tarina, kommentti tai kysymys, jonka haluat lähettää, luemme sen mielellämme podcastista.

Voit lähettää sähköpostia tips@sophos.com; voit kommentoida mitä tahansa artikkeleistamme; voit lyödä meitä sosiaalisessa mediassa: @NakedSecurity.

Se on tämän päivän ohjelmamme – kiitos paljon kuuntelusta.

Paul Ducklinille olen Doug Aamoth, muistutan teitä seuraavaan kertaan asti…

---

Molemmat.  Pysy turvassa!

[MUSIIKKIMODEEMI]