S3 Ep94 : Ce type de crypto (graphie) et l'autre type de crypto (monnaie !) [Audio + Texte] PlatoBlockchain Data Intelligence. Recherche verticale. Aï.

S3 Ep94 : Ce type de crypto (graphie) et l'autre type de crypto (monnaie !) [Audio + Texte]

Horodatage: 4 août 2022 12 h 52

by
Paul Canard

Cliquez et faites glisser sur les ondes sonores ci-dessous pour passer à n'importe quel point. Vous pouvez également écouter directement sur Soundcloud.

Avec Doug Aamoth et Paul Ducklin.

Musique d'intro et d'outro par Edith Mud.

Vous pouvez nous écouter sur Soundcloud, Podcasts Apple, Podcasts Google, Spotify, piqueur et partout où l'on trouve de bons podcasts. Ou déposez simplement le URL de notre flux RSS dans votre podcatcher préféré.

LIRE LA TRANSCRIPTION

DOUG.  A bug critique de Samba, encore un autre vol de cryptoet Bonne journée des administrateurs système.

Tout cela et plus encore, sur le podcast Naked Security.

[MODÈME MUSICAL]

Bienvenue sur le podcast, tout le monde.

Je suis Doug Aamoth.

Avec moi, comme toujours, il y a Paul Ducklin… Paul, comment vas-tu aujourd'hui ?

CANARD.  Excellent, merci, Douglas.

DOUG.  Nous aimons commencer la série avec un peu d’histoire technologique.

Et cette semaine, Paul, nous retournons en 1858 !

Cette semaine de 1858, le premier câble télégraphique transatlantique était achevé.

Il était dirigé par le marchand américain Cyrus Westfield et le câble partait de Trinity Bay, à Terre-Neuve, jusqu'à Valencia, en Irlande, sur environ 2000 2 milles de diamètre et plus de XNUMX milles de profondeur.

Ce serait la cinquième tentative et malheureusement, le câble n’a fonctionné que pendant environ un mois.

Mais il a fonctionné assez longtemps pour que le président James Buchanan et la reine Victoria puissent échanger des plaisanteries.

CANARD.  Oui, je crois que c'était le cas, comment dire… s'évanouir. [RIRE]

1858!

Qu'est-ce que Dieu a fait?, Doug! [MOTS ENVOYÉS DANS LE PREMIER MESSAGE TÉLÉGRAPHIQUE]

DOUG.  [RIRES] En parlant de choses qui ont été forgées, il y a un bug critique de Samba qui a depuis été corrigé.

Je ne suis en aucun cas un expert, mais ce bug permettrait à n'importe qui de devenir administrateur de domaine… cela semble mauvais.

CANARD.  Eh bien, ça a l'air mauvais, Doug, principalement parce que c'est *est* plutôt mauvais !

DOUG.  Et voilà!

CANARD.  Samba… juste pour être clair, avant de commencer, passons en revue les versions que vous souhaitez.

Si vous utilisez la version 4.16, vous avez besoin de la version 4.16.4 ou ultérieure ; si vous utilisez la version 4.15, vous avez besoin de la version 4.15.9 ou ultérieure ; et si vous utilisez la version 4.14, vous avez besoin de la version 4.14.14 ou ultérieure.

Au total, ces corrections de bogues ont corrigé six bogues différents qui ont été considérés comme suffisamment graves pour obtenir des numéros CVE – désignations officielles.

Celui qui s'est démarqué est CVE-2022-32744.

Et le titre du bug dit tout : Les utilisateurs de Samba Active Directory peuvent falsifier des demandes de changement de mot de passe pour n'importe quel utilisateur.

DOUG.  Oui, ça a l'air mauvais.

CANARD.  Ainsi, comme le rapport de bogue complet dans l'avis de sécurité, le journal des modifications le dit, de manière plutôt ordinaire :

« Un utilisateur pourrait changer le mot de passe du compte administrateur et obtenir un contrôle total sur le domaine. Une perte totale de confidentialité et d’intégrité serait possible, ainsi que de disponibilité en refusant aux utilisateurs l’accès à leurs comptes.

Et comme nos auditeurs le savent probablement, la « sainte trinité » (citations aériennes) de la sécurité informatique est la suivante : disponibilité, confidentialité et intégrité.

Vous êtes censé les avoir tous, pas seulement un seul.

Alors, intégrité Cela signifie que personne d'autre ne peut entrer et manipuler vos affaires sans que vous le remarquiez.

Disponibilité dit que vous pouvez toujours accéder à vos affaires – ils ne peuvent pas vous empêcher d'y accéder quand vous le souhaitez.

Et confidentialité signifie qu'ils ne peuvent pas le regarder à moins qu'ils ne soient censés y être autorisés.

N’importe lequel d’entre eux, ou deux d’entre eux, n’est pas très utile en soi.

C'était donc vraiment un tiercé gagnant, Doug !

Et ce qui est ennuyeux, c'est la partie même de Samba que vous pourriez utiliser non seulement si vous essayez de connecter un ordinateur Unix à un domaine Windows, mais si vous essayez de configurer un domaine Active Directory pour que les ordinateurs Windows puissent l'utiliser sur un tas d'ordinateurs Linux ou Unix.

DOUG.  C’est cocher toutes les cases dans le mauvais sens !

Mais il y a un correctif à apporter – et nous disons toujours : « Corrigez tôt, corrigez souvent. »

Existe-t-il une sorte de solution de contournement que les utilisateurs peuvent utiliser s'ils ne peuvent pas appliquer le correctif immédiatement pour une raison quelconque, ou s'agit-il simplement d'une solution de type "faire-le" ?

CANARD.  Eh bien, je crois comprendre que ce bug se trouve dans le service d'authentification par mot de passe appelé kpasswd.

Essentiellement, ce service recherche une demande de changement de mot de passe et vérifie qu'elle est signée ou autorisée par une sorte de partie de confiance.

Et malheureusement, suite à une certaine série de conditions d’erreur, cette partie de confiance pourrait inclure vous-même.

C'est donc un peu comme un Imprimez votre propre passeport bug, si vous voulez.

Vous devez présenter un passeport… il peut s'agir d'un vrai passeport délivré par votre propre gouvernement, ou d'un passeport que vous avez fabriqué chez vous avec votre imprimante à jet d'encre, et les deux seront acceptés. [RIRE]

L'astuce est que si vous ne comptez pas réellement sur ce service d'authentification par mot de passe dans votre utilisation de Samba, vous pouvez empêcher cela. kpasswd service de fonctionner.

Bien sûr, si vous comptez réellement sur l'ensemble du système Samba pour fournir votre authentification Active Directory et les modifications de votre mot de passe, la solution de contournement briserait votre propre système.

Donc, bien sûr, la meilleure défense est effectivement le patch qui *supprime* le bug plutôt que simplement *l'évite*.

DOUG.  Très bon.

Vous pouvez en savoir plus sur celui sur le site : Nakedscurity.sophos.com.

Et nous passons directement à la période la plus merveilleuse de l’année !

Nous venons de célébrer Journée de l'administrateur système, Paul, et je ne télégraphierai pas la punchline ici… mais tu avais tout un article.

CANARD.  Eh bien, une fois par an, ce n'est pas trop demander que d'aller voir le service informatique et de sourire à tous ceux qui ont fait tout ce travail de fond caché…

… pour garder [DEVENIR DE PLUS EN PLUS RAPIDE] nos ordinateurs, et nos serveurs, et nos services cloud, et nos ordinateurs portables, et nos téléphones, et nos commutateurs réseau [DOUG RIRES], et nos connexions DSL et notre kit Wi-Fi en Bon état de fonctionnement.

Disponible! Confidentiel! Plein d’intégrité, toute l’année !

Si vous ne l'avez pas fait le dernier vendredi de juillet, soit le SJournée de reconnaissance ysAdmin, alors pourquoi ne pas y aller aujourd'hui ?

Et même si vous l'avez fait, rien n'empêche que vous ne puissiez pas apprécier vos administrateurs système tous les jours de l'année.

Tu n'es pas obligé de le faire seulement en juillet, Doug.

DOUG.  Bon point!

CANARD.  Alors voici quoi faire, Doug.

Je vais appeler cela un « poème » ou un « vers »… Je pense que techniquement, c'est du doggerel [RIRES], mais je vais prétendre qu'il a toute la joie et la chaleur d'un sonnet shakespearien.

Ce n'est *pas* un sonnet, mais il faudra que ça fasse l'affaire.

DOUG.  Parfait.

CANARD.  Et voilà, Doug.

Si votre souris est à court de piles Ou si le voyant de votre webcam ne s'allume pas Si vous ne vous souvenez pas de votre mot de passe Ou si votre e-mail ne s'affichera tout simplement pas Si vous avez perdu votre clé USB Ou si votre réunion ne démarre pas Si vous n'y parvenez pas produisez un histogramme Ou dessinez un joli graphique rond Si vous appuyez sur [Supprimer] par accident Ou formatez votre disque Si vous vouliez faire une sauvegarde Mais à la place, vous avez simplement pris un risque Si vous savez que le coupable est évident Et que le blâme vous revient Ne le faites pas abandonnez tout espoir et soyez abattu. Il reste une chose à faire ! Prenez des chocolats, du vin, de la joie, un sourire. Et soyez sincère lorsque vous dites : "Je viens de passer vous souhaiter à tous une excellente journée SysAdmin !"

DOUG.  [APPLATS] Vraiment bien ! Un de vos meilleurs !

CANARD.  Une grande partie de ce que font les administrateurs système est invisible, et une grande partie est étonnamment difficile à faire correctement et de manière fiable…

…et faire sans réparer une chose et en casser une autre.

Ce sourire est le moins qu'ils méritent, Doug.

DOUG.  Le moins !

CANARD.  Alors, à tous les administrateurs système du monde entier, j'espère que vous avez apprécié vendredi dernier.

Et si vous n'avez pas eu assez de sourires, prenez-en un maintenant.

DOUG.  Bonne journée SysAdmin à tous et lis ce poème, ce qui est génial… c'est sur le site.

Très bien, passons à quelque chose de moins génial : un bug de mauvaise gestion de la mémoire dans GnuTLS.

CANARD.  Oui, j'ai pensé que cela valait la peine d'écrire sur Naked Security, car lorsque les gens pensent à la cryptographie open source, ils ont tendance à penser à OpenSSL.

Parce que (A) c'est celui dont tout le monde a entendu parler, et (B) c'est celui qui a probablement fait l'objet du plus de publicité ces dernières années à cause des bugs, à cause de Heartbleed.

Même si vous n'y étiez pas à l'époque (c'était il y a huit ans), vous avez probablement entendu parler de Heartbleed, qui était une sorte de bug de fuite de données et de fuite de mémoire dans OpenSSL.

C'était dans le code depuis des lustres et personne ne l'avait remarqué.

Et puis quelqu'un l'a remarqué, et ils lui ont donné un nom sophistiqué, et ils ont donné au bug un logo, et ils ont donné au bug un site Web, et ils en ont fait cette énorme affaire de relations publiques.

DOUG.  [RIRES] C'est comme ça que tu sais que c'est réel…

CANARD.  OK, ils le faisaient parce qu’ils voulaient attirer l’attention sur le fait qu’ils l’avaient découvert, et ils en étaient très fiers.

Et le revers de la médaille, c'est que les gens sont allés corriger ce bug qu'ils n'auraient peut-être pas fait autrement… parce que, eh bien, ce n'est qu'un bug.

Cela ne semble pas très dramatique – il ne s’agit pas d’exécution de code à distance. afin qu'ils ne puissent pas simplement entrer et reprendre instantanément tous mes sites Web, etc., etc.

Mais cela a fait d’OpenSSL un nom connu, pas nécessairement pour toutes les bonnes raisons.

Cependant, il existe de nombreuses bibliothèques cryptographiques open source, pas seulement OpenSSL, et au moins deux d'entre elles sont étonnamment largement utilisées, même si vous n'en avez jamais entendu parler.

Il y a NSS, abréviation de Service de sécurité réseau, qui est la propre bibliothèque cryptographique de Mozilla.

Vous pouvez le télécharger et l'utiliser indépendamment de tout projet Mozilla spécifique, mais vous le trouverez notamment dans Firefox et Thunderbird, qui effectuent tout le cryptage – ils n'utilisent pas OpenSSL.

Et il y a GnuTLSGenericName, qui est une bibliothèque open source du projet GNU, qui est essentiellement, si vous préférez, un concurrent ou une alternative à OpenSSL, et qui est utilisée (même si vous ne vous en rendez pas compte) par un nombre surprenant d'open- sourcer des projets et des produits…

…y compris par code, quelle que soit la plateforme sur laquelle vous vous trouvez, que vous avez probablement sur votre système.

Cela inclut donc tout ce qui concerne, disons : FFmpeg ; Mencodeur ; GnuPGP (l'outil de gestion de clés GNU) ; QEMU, Rdesktop ; Samba, dont nous venons de parler dans le bug précédent ; Wget, que beaucoup de gens utilisent pour le téléchargement sur le Web ; Les outils de détection de réseau de Wireshark ; Zlib.

Il existe des tas et des tas d'outils qui nécessitent une bibliothèque cryptographique et ont décidé soit d'utiliser GnuTLS *au lieu* d'OpenSSL, soit peut-être même *aussi*, en fonction des problèmes de chaîne d'approvisionnement liés aux sous-paquets qu'ils ont extraits. dans.

Vous pouvez avoir un projet dont certaines parties utilisent GnuTLS pour leur cryptographie, et certaines parties utilisent OpenSSL, et il est difficile de choisir l'une plutôt que l'autre.

Alors on se retrouve, pour le meilleur ou pour le pire, avec les deux.

Et malheureusement, GnuTLS (la version que vous souhaitez est 3.7.7 ou ultérieure) présentait un type de bug connu sous le nom de double gratuit… croyez-le ou non dans la partie même du code qui valide le certificat TLS.

Ainsi, dans le genre d'ironie que nous avons déjà vue dans les bibliothèques cryptographiques, un code qui utilise TLS pour les transmissions cryptées mais ne prend pas la peine de vérifier l'autre extrémité… un code qui dit : « Validation du certificat, qui en a besoin ?

C'est généralement considéré comme une très mauvaise idée, plutôt minable du point de vue de la sécurité… mais tout code qui fait cela ne sera pas vulnérable à ce bug, car il n'appelle pas le code buggy.

Malheureusement, un code qui tente de faire la *bonne* chose pourrait être trompé par un certificat malveillant.

Et juste pour expliquer simplement, un double gratuit C'est le genre de bug où vous demandez au système d'exploitation ou au système : « Hé, donne-moi un peu de mémoire. J'ai besoin de mémoire temporairement. Dans ce cas, j'ai toutes ces données de certificat, je veux les stocker temporairement, les valider, puis quand j'aurai terminé, je rendrai la mémoire afin qu'elle puisse être utilisée par une autre partie du programme. »

Si vous êtes un programmeur C, vous connaîtrez les fonctions malloc(), abréviation de « allocation de mémoire », et free(), ce qui signifie « rendez-le ».

Et nous savons qu'il existe un type de bug appelé utilisation-après-libre, c'est là que vous restituez les données, mais continuez quand même à utiliser ce bloc de mémoire, en oubliant que vous l'avez abandonné.

Mais une double libération est un peu différente – c'est là que vous restituez la mémoire et que vous évitez consciencieusement de l'utiliser à nouveau, mais plus tard, vous dites : « Attendez, je suis sûr que je ne l'ai pas remis. la mémoire est encore revenue. Je ferais mieux de le rendre au cas où.

Et donc vous dites au système d’exploitation : « OK, libérez à nouveau cette mémoire ».

Il semble donc qu'il s'agisse d'une demande légitime de libération des données *sur lesquelles une autre partie du programme pourrait réellement s'appuyer*.

Et comme vous pouvez l'imaginer, de mauvaises choses peuvent arriver, car cela signifie que vous pouvez avoir deux parties du programme qui, sans le savoir, s'appuient simultanément sur la même partie de la mémoire.

La bonne nouvelle est que je ne crois pas qu'un exploit fonctionnel ait été trouvé pour ce bug, et par conséquent, si vous appliquez un correctif, vous devancerez les escrocs plutôt que de simplement les rattraper.

Mais bien sûr, la mauvaise nouvelle est que lorsque des corrections de bugs comme celle-ci sont publiées, de nombreuses personnes les examinent, essayant d'analyser ce qui n'a pas fonctionné, dans l'espoir de comprendre rapidement ce qu'elles peuvent faire pour exploiter ce problème. le bug contre tous ces gens qui ont mis du temps à patcher.

En d’autres termes : ne tardez pas. Fais-le aujourd'hui.

DOUG.  Très bien, la dernière version de GnuTLS est la 3.7.7… veuillez mettre à jour.

Vous pouvez en savoir plus à ce sujet sur le site.

CANARD.  Oh, et Doug, apparemment, le bug a été introduit dans GnuTLS 3.6.0.

DOUG.  D'ACCORD.

CANARD.  Donc, en théorie, si vous possédez une version antérieure à celle-là, vous n'êtes pas vulnérable à ce bug…

… mais s'il vous plaît, n'utilisez pas cela comme excuse pour dire : « Je n'ai pas encore besoin de mettre à jour ».

Autant passer en revue toutes les autres mises à jour sorties, pour tous les autres problèmes de sécurité, entre la 3.6.0 et la 3.7.6.

Donc, le fait que vous n'appartenez pas à la catégorie de ce bug ne vous sert pas d'excuse pour ne rien faire.

Utilisez-le comme impulsion pour arriver à nos jours… c'est mon conseil.

DOUG.  OK!

Et notre dernière histoire de la semaine : nous parlons d’un autre braquage de crypto.

Ce temps, seulement $ 200 millions, cependant, Paul.

C’est une petite monnaie par rapport à certains des autres dont nous avons parlé.

CANARD.  Je n'ai presque pas envie de dire ça, Doug, mais l'une des raisons pour lesquelles j'ai écrit ceci est que je l'ai regardé et je me suis retrouvé à penser : « Oh, seulement 200 millions ? C'est un tout petit ti… QU'EST-CE QUE JE PENSE ! ? » [RIRE]

200 millions de dollars, en gros… enfin, pas « dans les toilettes », mais plutôt « hors du coffre-fort de la banque ».

Ce service Nomad provient d'une société qui s'appelle Illusory Systems Incorporated.

Et je pense que vous conviendrez que, du point de vue de la sécurité, le mot « illusoire » est peut-être le bon type de métaphore.

C'est un service qui vous permet essentiellement de faire ce qu'on appelle dans le jargon combler.

En gros, vous échangez activement une crypto-monnaie contre une autre.

Vous mettez donc votre propre crypto-monnaie dans un seau géant avec des tas d’autres personnes… et nous pouvons ensuite créer tous ces contrats intelligents automatisés de « finance décentralisée » sophistiqués.

Nous pouvons échanger Bitcoin contre Ether ou Ether contre Monero, ou autre.

Malheureusement, lors d'une récente mise à jour du code, il semble qu'ils soient tombés dans le même genre de trou que peut-être les gars de Samba avec le bug dont nous avons parlé dans Samba.

Il y a essentiellement un Imprimez votre propre passeport, Ou une Autorisez votre propre transaction bug qu'ils ont introduit.

Il y a un point dans le code où un hachage cryptographique, un hachage cryptographique de 256 bits, est censé être validé… quelque chose que personne d'autre qu'un approbateur autorisé ne pourrait proposer.

Sauf que si par hasard vous utilisiez la valeur zéro, alors vous réussiriez le test.

En gros, vous pouvez prendre la transaction existante de quelqu'un d'autre, réécrire le nom du destinataire avec le vôtre (« Hé, payez *mon* portefeuille de crypto-monnaie ») et simplement rejouer la transaction.

Et le système dira « OK ».

Il suffit d'obtenir les données dans le bon format, c'est ce que je comprends.

Et le moyen le plus simple de créer une transaction qui réussirait est simplement de prendre la transaction pré-terminée et existante de quelqu'un d'autre, de la rejouer, mais de rayer son nom ou son numéro de compte et de saisir le vôtre.

Ainsi, en tant qu'analyste de crypto-monnaie @samczsun dit sur Twitter, "Les attaquants en ont profité pour copier et coller des transactions et ont rapidement vidé le pont dans une mêlée frénétique."

En d’autres termes, les gens sont devenus fous en retirant de l’argent à un guichet automatique qui acceptait n’importe quelle carte bancaire, à condition de saisir un code PIN égal à zéro.

Et pas seulement jusqu'à ce que le guichet automatique soit vidé… le guichet automatique était essentiellement directement connecté au côté du coffre-fort de la banque, et l'argent coulait simplement.

DOUG.  Arrrgh !

CANARD.  Comme vous le dites, ils ont apparemment perdu jusqu'à 200 millions de dollars en peu de temps.

Oh cher.

DOUG.  Eh bien, nous avons quelques conseils, et c'est assez simple…

CANARD.  Le seul conseil que vous puissiez vraiment donner est : « Ne soyez pas trop pressé de vous joindre à cette révolution financière décentralisée. »

Comme nous l'avons peut-être déjà dit, assurez-vous que si vous *vous lancez* dans ce « commerce en ligne ; prêtez-nous de la cryptomonnaie et nous vous paierons des intérêts ; mettez vos affaires dans un portefeuille chaud pour pouvoir agir en quelques secondes ; entrez dans toute la scène des contrats intelligents ; acheter mes jetons non fongibles [NFT] » – tout ça…

…si vous décidez que le marché *est* fait pour vous, assurez-vous d'y entrer les yeux grands ouverts, et non les yeux grands fermés !

Et la raison simple est que dans des cas comme celui-ci, ce n'est pas seulement comme si les escrocs pouvaient vider *certains* des distributeurs automatiques de la banque.

Dans ce cas, premièrement, il semble qu’elles aient presque tout vidé, et deuxièmement, contrairement aux banques conventionnelles, il n’y a tout simplement pas les protections réglementaires dont vous bénéficieriez si une vraie banque faisait faillite.

Dans le cas de la finance décentralisée, l’idée même qu’elle soit décentralisée, nouvelle et cool, et quelque chose dans laquelle vous voulez vous précipiter…

…c'est qu'il *n'a pas* ces protections réglementaires ennuyeuses.

Vous pourriez, et peut-être pourriez-vous – parce que nous en avons parlé plus souvent que je ne suis à l’aise de le faire, vraiment – ​​vous pourriez perdre *tout*.

Et le revers de la médaille est que si vous avez perdu des choses dans une finance décentralisée ou dans l'implosion d'un « tout nouveau site Web de super-trading Web 3.0 » comme celui-ci, alors faites très attention aux gens qui vous disent : « Hé, ne vous inquiétez pas. Malgré l’absence de réglementation, il existe des entreprises expertes qui peuvent récupérer votre argent. Tout ce que vous avez à faire est de contacter l’entreprise X, la personne Y ou le compte de réseau social Z ».

Parce que, chaque fois qu'un désastre de ce genre se produit, les escrocs secondaires arrivent assez rapidement, proposant de « trouver un moyen » de récupérer votre argent.

Il y a beaucoup d’escrocs qui circulent, alors soyez très prudent.

Si vous avez perdu de l'argent, ne faites pas tout ce qui est en votre pouvoir pour jeter de l'argent après de l'argent (ou de l'argent après de l'argent, quelle que soit la manière de procéder).

DOUG.  OK, vous pouvez en savoir plus à ce sujet : Cryptocoin "token swapper" Nomad perd 200 millions de dollars en erreur de codage.

Et si nous entendons l'un de nos lecteurs parler de cette histoire, un commentateur anonyme écrit, et je suis d'accord… Je ne comprends pas comment cela fonctionne :

« Ce qui est étonnant, c'est qu'une startup en ligne avait autant à perdre en premier lieu. 200,000 200 $, vous pouvez imaginer. Mais XNUMX millions de dollars semblent incroyables.

Et je pense que nous avons en quelque sorte répondu à cette question, mais d’où vient tout cet argent, pour récupérer seulement 200 millions de dollars ?

CANARD.  Je ne peux pas répondre à ça, Doug.

DOUG.  No.

CANARD.  Est-ce que le monde est plus crédule qu’avant ?

Est-ce qu’il y a énormément de gains mal acquis dans la communauté des cryptomonnaies ?

Il y a donc des gens qui n’ont pas réellement investi leur propre argent là-dedans, mais qui se sont retrouvés avec tout un tas de cryptomonnaies par des moyens malhonnêtes plutôt que équitables. (Nous savons que les paiements par ransomware se font généralement sous forme de crypto-monnaies, n'est-ce pas ?)

C'est donc comme de l'argent fictif… la personne qui perd « l'argent » n'a peut-être pas mis d'argent liquide d'avance ?

Est-ce juste un zèle presque religieux de la part des gens qui disent : « Non, non, *c'est* la façon de procéder. Nous devons briser la mainmise des organisations financières à l’ancienne, farfelues et hautement réglementées. Nous devons nous libérer de The Man » ?

Je ne sais pas, peut-être que 200 millions de dollars, ce n'est plus beaucoup d'argent, Doug ?

DOUG.  [RIRES] Eh bien, bien sûr !

CANARD.  Je soupçonne qu'il n'y a que des gens qui entrent les yeux grands fermés.

Ils disent : « Je *suis* prêt à prendre ce risque parce que c'est tellement cool. »

Et le problème est que si vous perdez 200 $, ou 2000 XNUMX $, et que vous pouvez vous permettre de le perdre, c'est une chose.

Mais si vous avez investi 2000 20,000 $ et que vous pensez : « Vous savez quoi. Peut-être que je devrais miser sur 200,000 XNUMX $ ? » Et puis vous pensez : « Vous savez quoi. Peut-être devrais-je miser sur XNUMX XNUMX $ ? Peut-être que je devrais y aller à fond ?

Ensuite, je pense qu'il faut vraiment être très prudent !

C'est précisément pour les raisons que vous pourriez avoir l'impression de bénéficier des protections réglementaires, comme c'est le cas lorsque quelque chose de mauvais se produit sur votre carte de crédit et que vous téléphonez simplement pour le contester et ils s'en vont. « OK », et ils rayent ces 52.23 $ de la facture…

…cela n'arrivera pas dans ce cas.

Et il est peu probable que ce soit 52 $, ce sera probablement beaucoup plus que cela.

Alors faites attention, les amis !

DOUG.  Faites attention, en effet.

Très bien, merci pour le commentaire.

Et si vous avez une histoire intéressante, un commentaire ou une question que vous aimeriez soumettre, nous serions ravis de le lire sur le podcast.

Vous pouvez envoyer un courriel tips@sophos.com; vous pouvez commenter n'importe lequel de nos articles; vous pouvez nous contacter sur les réseaux sociaux : @NakedSecurity.

C'est notre émission d'aujourd'hui – merci beaucoup pour votre écoute.

Pour Paul Ducklin, je suis Doug Aamoth, je vous rappelle, jusqu'à la prochaine fois pour…

TOUS LES DEUX.  Restez en sécurité!

[MODÈME MUSICAL]

Horodatage:

Plus de Sécurité nue