S3 Ep94: इस तरह की क्रिप्टो (ग्राफी), और दूसरी तरह की क्रिप्टो (मुद्रा!) [ऑडियो + टेक्स्ट]

किसी भी बिंदु पर जाने के लिए नीचे ध्वनि तरंगों पर क्लिक करें और खींचें। आप भी कर सकते हैं सीधे सुनो साउंडक्लाउड पर।

डौग  A महत्वपूर्ण सांबा बग, अभी तक एक और क्रिप्टो चोरी, तथा SysAdmin दिवस की शुभकामनाएं.

वह सब और बहुत कुछ, नग्न सुरक्षा पॉडकास्ट पर।

[संगीत मोडेम]

पॉडकास्ट में आपका स्वागत है, सब लोग।

मैं डौग आमोथ हूं।

मेरे साथ, हमेशा की तरह, पॉल डकलिन है... पॉल, आज आप कैसे हैं?

---

बत्तख।  बहुत बढ़िया, धन्यवाद, डगलस।

---

डौग  हम कुछ तकनीकी इतिहास के साथ शो की शुरुआत करना पसंद करते हैं।

और इस सप्ताह, पॉल, हम 1858 में वापस जा रहे हैं!

इस सप्ताह 1858 में, पहला ट्रान्साटलांटिक टेलीग्राफ केबल पूरा हुआ।

इसका नेतृत्व अमेरिकी व्यापारी साइरस वेस्टफील्ड ने किया था, और केबल ट्रिनिटी बे, न्यूफ़ाउंडलैंड से वेलेंसिया, आयरलैंड तक, लगभग 2000 मील की दूरी पर, और 2 मील से अधिक गहराई तक चलती थी।

यह पांचवां प्रयास होगा, और दुर्भाग्य से, केबल ने केवल एक महीने के लिए ही काम किया।

लेकिन इसने तत्कालीन राष्ट्रपति जेम्स बुकानन और महारानी विक्टोरिया के लिए खुशियों का आदान-प्रदान करने के लिए काफी देर तक काम किया।

---

बत्तख।  हाँ, मुझे विश्वास है कि यह था, मैं इसे कैसे रख सकता हूँ ... बेहोश। [हँसी]

1858!

ईश्वर ने क्या सोच रखा है?डौग! [सबसे पहले टेलीग्राफ संदेश में भेजे गए शब्द]

---

डौग  [हंसते हैं] गढ़ी हुई चीजों की बात करें तो एक है महत्वपूर्ण सांबा बग जिसे तब से पैच किया गया है।

मैं किसी भी तरह से विशेषज्ञ नहीं हूं, लेकिन यह बग किसी को भी एक डोमेन व्यवस्थापक बनने देगा... यह बुरा लगता है।

---

बत्तख।  खैर, यह बुरा लगता है, डौग, मुख्यतः इस कारण से कि यह *बल्कि बुरा है!

---

डौग  तुम वहाँ जाओ!

---

बत्तख।  सांबा... बस स्पष्ट होने के लिए, शुरू करने से पहले, आइए अपने इच्छित संस्करणों के माध्यम से चलते हैं।

यदि आप 4.16 स्वाद पर हैं, तो आपको 4.16.4 या बाद के संस्करण की आवश्यकता है; यदि आप 4.15 पर हैं, तो आपको 4.15.9 या बाद का संस्करण चाहिए; और यदि आप 4.14 पर हैं, तो आपको 4.14.14 या बाद का संस्करण चाहिए।

उन बग फिक्स ने, कुल मिलाकर, छह अलग-अलग बग्स को पैच किया, जिन्हें सीवीई नंबर प्राप्त करने के लिए पर्याप्त गंभीर माना जाता था - आधिकारिक डिज़ाइनर।

जो बाहर खड़ा था वह है CVE-2022-32744.

और बग का शीर्षक यह सब कहता है: सांबा सक्रिय निर्देशिका उपयोगकर्ता किसी भी उपयोगकर्ता के लिए पासवर्ड परिवर्तन अनुरोध बना सकते हैं।

---

डौग  हाँ, यह बुरा लगता है।

---

बत्तख।  इसलिए, सुरक्षा सलाहकार में पूर्ण बग रिपोर्ट के रूप में, परिवर्तन लॉग कहता है, बल्कि ऑरोटुंड फैशन में:

"एक उपयोगकर्ता व्यवस्थापक खाते का पासवर्ड बदल सकता है और डोमेन पर पूर्ण नियंत्रण प्राप्त कर सकता है। गोपनीयता और अखंडता का पूर्ण नुकसान संभव होगा, साथ ही उपयोगकर्ताओं को उनके खातों तक पहुंच से वंचित करके उपलब्धता की भी।

और जैसा कि हमारे श्रोता शायद जानते हैं, कंप्यूटर सुरक्षा की तथाकथित "पवित्र त्रिमूर्ति" (वायु उद्धरण) है: उपलब्धता, गोपनीयता और अखंडता।

आपको उन सभी के पास होना चाहिए, उनमें से केवल एक ही नहीं।

तो, ईमानदारी इसका मतलब है कि कोई और आपके सामान में प्रवेश नहीं कर सकता है और आपके सामान के साथ गड़बड़ कर सकता है।

उपलब्धता कहते हैं कि आप हमेशा अपना सामान प्राप्त कर सकते हैं - जब आप चाहें तो वे आपको इसे प्राप्त करने से नहीं रोक सकते।

तथा गोपनीयता इसका मतलब है कि वे इसे तब तक नहीं देख सकते जब तक कि उन्हें अनुमति न दी जाए।

उनमें से कोई एक, या उनमें से कोई भी दो, अपने आप में अधिक उपयोग नहीं है।

तो यह वास्तव में एक ट्राइफेक्टा था, डौग!

और कष्टप्रद रूप से, यह सांबा के बहुत हिस्से में है जिसका उपयोग आप न केवल तब कर सकते हैं जब आप यूनिक्स कंप्यूटर को विंडोज डोमेन से कनेक्ट करने का प्रयास कर रहे हों, लेकिन यदि आप विंडोज कंप्यूटर के लिए एक सक्रिय निर्देशिका डोमेन सेट करने का प्रयास कर रहे हैं। लिनक्स या यूनिक्स कंप्यूटर का एक गुच्छा।

---

डौग  वह सभी बॉक्सों को सभी गलत तरीकों से टिक कर रहा है!

लेकिन एक पैच आउट है - और हम हमेशा कहते हैं, "जल्दी पैच करें, अक्सर पैच करें।"

क्या किसी प्रकार का समाधान है जिसका उपयोग लोग कर सकते हैं यदि वे किसी कारण से तुरंत पैच नहीं कर सकते हैं, या यह एक तरह की चीज है?

---

बत्तख।  खैर, मेरी समझ यह है कि यह बग पासवर्ड प्रमाणीकरण सेवा में है जिसे कहा जाता है kpasswd.

अनिवार्य रूप से वह सेवा क्या करती है वह पासवर्ड परिवर्तन अनुरोध की तलाश करती है, और सत्यापित करती है कि यह किसी प्रकार की विश्वसनीय पार्टी द्वारा हस्ताक्षरित या अधिकृत है।

और दुर्भाग्य से, त्रुटि स्थितियों की एक निश्चित श्रृंखला का पालन करते हुए, वह विश्वसनीय पक्ष स्वयं को शामिल कर सकता है।

तो यह एक तरह का है अपना खुद का पासपोर्ट प्रिंट करें बग, अगर आपको पसंद है।

आपको पासपोर्ट प्रस्तुत करना होगा... यह असली पासपोर्ट हो सकता है जो आपकी अपनी सरकार द्वारा जारी किया गया हो, या यह एक ऐसा हो सकता है जिसे आपने अपने इंकजेट प्रिंटर पर घर पर खटखटाया हो, और दोनों को पास करना होगा। [हँसी]

चाल है, यदि आप वास्तव में सांबा के अपने उपयोग में इस पासवर्ड प्रमाणीकरण सेवा पर भरोसा नहीं करते हैं, तो आप इसे रोक सकते हैं kpasswd चलने से सेवा।

बेशक, यदि आप वास्तव में अपनी सक्रिय निर्देशिका प्रमाणीकरण प्रदान करने के लिए पूरे सांबा सिस्टम पर भरोसा कर रहे हैं और आपका पासवर्ड बदल जाता है, तो वर्कअराउंड आपके सिस्टम को तोड़ देगा।

तो सबसे अच्छा बचाव, निश्चित रूप से, वास्तव में वह पैच है जो बग को *हटाता है* बजाय बस *से बचने* के।

---

डौग  बहुत अच्छा है.

आप ऐसा कर सकते हैं पर और अधिक पढ़ें वह साइट पर: नग्नस्क्यूरिटी.सोफोस.कॉम।

और हम साल के सबसे शानदार समय के साथ आगे बढ़ते हैं!

हमने अभी मनाया SysAdmin दिवस, पॉल, और मैं यहां पंचलाइन को टेलीग्राफ नहीं करेंगे... लेकिन आपके पास था काफी लिखा हुआ.

---

बत्तख।  खैर, साल में एक बार, यह पूछने के लिए बहुत ज्यादा नहीं है कि हमें आईटी विभाग का चक्कर लगाना चाहिए और हर उस व्यक्ति पर मुस्कुराना चाहिए जिसने यह सब छिपा हुआ पृष्ठभूमि का काम किया है ...

... हमारे कंप्यूटर, और हमारे सर्वर, और हमारी क्लाउड सेवाओं, और हमारे लैपटॉप, और हमारे फोन, और हमारे नेटवर्क स्विच [डॉग हंस], और हमारे डीएसएल कनेक्शन, और हमारे वाई-फाई किट को रखने के लिए ... अच्छा कार्य क्रम।

उपलब्ध! गुप्त! पूरे साल ईमानदारी से भरा!

यदि आपने इसे जुलाई के अंतिम शुक्रवार को नहीं किया, जो कि S . हैysव्यवस्थापक प्रशंसा दिवस, तो क्यों न जाकर आज ही करें?

और अगर आपने ऐसा किया भी है, तो ऐसा कुछ भी नहीं है जो कहता है कि आप साल के हर दिन अपने SysAdmins की सराहना नहीं कर सकते।

आपको इसे केवल जुलाई में नहीं करना है, डौग।

---

डौग  अच्छी बात!

---

बत्तख।  तो यहाँ क्या करना है, डौग।

मैं इसे "कविता" या "कविता" कहने जा रहा हूं ... मुझे लगता है कि तकनीकी रूप से यह डॉगरेल [हँसी] है, लेकिन मैं यह दिखावा करने जा रहा हूं कि इसमें शेक्सपियर के सॉनेट की सारी खुशी और गर्मजोशी है।

यह *नहीं* एक सॉनेट है, लेकिन इसे करना ही होगा।

---

डौग  बिल्कुल सही.

---

बत्तख।  यहाँ तुम जाओ, डौग।

यदि आपके माउस की बैटरी खत्म हो गई है या आपके वेबकैम की लाइट नहीं जलेगी यदि आप अपना पासवर्ड याद नहीं कर सकते हैं या आपका ईमेल बस दिखाई नहीं देगा यदि आपने अपना USB ड्राइव खो दिया है या आपकी मीटिंग प्रारंभ नहीं होगी यदि आप नहीं कर सकते एक हिस्टोग्राम तैयार करें या एक अच्छा गोल चार्ट बनाएं यदि आप दुर्घटना से [हटाएं] हिट करते हैं या अपनी डिस्क को स्वरूपित करते हैं यदि आप एक बैकअप बनाना चाहते हैं, लेकिन इसके बजाय सिर्फ एक जोखिम लिया है यदि आप अपराधी के स्पष्ट जानते हैं और दोष आपको वापस इंगित नहीं करता है उम्मीद छोड़ दो और निराश हो जाओ एक काम करना बाकी है! चॉकलेट, वाइन, कुछ जयकार, एक मुस्कान लें और इसका मतलब यह है कि जब आप कहते हैं: "मैं अभी आप सभी को एक महान SysAdmin दिवस की शुभकामनाएं देता हूं!"

---

डौग  [ताली] वास्तव में अच्छा! आपके सर्वश्रेष्ठ में से एक!

---

बत्तख।  SysAdmins जो कुछ भी करता है वह अदृश्य है, और इसमें से बहुत कुछ आश्चर्यजनक रूप से अच्छा और मज़बूती से करना मुश्किल है…

... और एक चीज को ठीक किए बिना और दूसरे को तोड़े बिना करना।

वह मुस्कान कम से कम वे लायक हैं, डौग।

---

डौग  सबसे कम!

---

बत्तख।  तो, दुनिया भर के सभी SysAdmins के लिए, मुझे आशा है कि आपने पिछले शुक्रवार का आनंद लिया।

और अगर आपको पर्याप्त मुस्कान नहीं मिली, तो अभी एक ले लो।

---

डौग  हैप्पी SysAdmin दिवस, सबको, और पढ़िए वो कविता, जो बढ़िया है... यह साइट पर है।

ठीक है, किसी ऐसी चीज़ की ओर बढ़ रहे हैं जो इतनी अच्छी नहीं है: a स्मृति कुप्रबंधन बग जीएनयूटीएलएस में।

---

बत्तख।  हां, मैंने सोचा था कि यह नग्न सुरक्षा पर लिखने लायक था, क्योंकि जब लोग ओपन-सोर्स क्रिप्टोग्राफी के बारे में सोचते हैं, तो वे ओपनएसएसएल के बारे में सोचते हैं।

क्योंकि (ए) यही वह है जिसके बारे में सभी ने सुना है, और (बी) यह वह है जिसने हाल के वर्षों में बग पर सबसे अधिक प्रचार किया है, क्योंकि Heartbleed.

भले ही आप उस समय वहां नहीं थे (यह आठ साल पहले था), आपने शायद हार्टब्लिड के बारे में सुना होगा, जो ओपनएसएसएल में एक तरह का डेटा लीकेज और मेमोरी लीकेज बग था।

यह सदियों से कोड में था और किसी ने गौर नहीं किया।

और फिर किसी ने नोटिस किया, और उन्होंने इसे फैंसी नाम दिया, और उन्होंने बग को एक लोगो दिया, और उन्होंने बग को एक वेबसाइट दी, और उन्होंने इस बड़े पैमाने पर पीआर चीज़ को इसमें से बनाया।

---

डौग  [हंसते हैं] इस तरह आप जानते हैं कि यह वास्तविक है…

---

बत्तख।  ठीक है, वे ऐसा इसलिए कर रहे थे क्योंकि वे इस तथ्य की ओर ध्यान आकर्षित करना चाहते थे कि उन्होंने इसे खोजा था, और उन्हें इस तथ्य पर बहुत गर्व था।

और दूसरा पहलू यह था कि लोग बाहर गए और इस बग को ठीक कर दिया जो वे अन्यथा नहीं कर सकते थे ... क्योंकि, ठीक है, यह सिर्फ एक बग है।

यह बहुत नाटकीय नहीं लगता - यह रिमोट कोड निष्पादन नहीं है। इसलिए वे मेरी सभी वेबसाइटों, आदि आदि में बस भाप नहीं ले सकते हैं और तुरंत अपने कब्जे में ले सकते हैं।

लेकिन इसने ओपनएसएसएल को एक घरेलू नाम बना दिया, जरूरी नहीं कि सभी सही कारणों से।

हालांकि, ओपनएसएसएल ही नहीं, बल्कि कई ओपन सोर्स क्रिप्टोग्राफिक लाइब्रेरी हैं, और उनमें से कम से कम दो आश्चर्यजनक रूप से व्यापक रूप से उपयोग की जाती हैं, भले ही आपने उनके बारे में कभी नहीं सुना हो।

एनएसएस है, इसके लिए छोटा नेटवर्क सुरक्षा सेवा, जो मोज़िला की अपनी क्रिप्टोग्राफ़िक लाइब्रेरी है।

आप इसे किसी भी विशिष्ट मोज़िला प्रोजेक्ट से स्वतंत्र रूप से डाउनलोड और उपयोग कर सकते हैं, लेकिन आप इसे, विशेष रूप से, फ़ायरफ़ॉक्स और थंडरबर्ड में पाएंगे, वहां सभी एन्क्रिप्शन कर रहे हैं - वे ओपनएसएसएल का उपयोग नहीं करते हैं।

और वहाँ है GNUTLS, जो GNU प्रोजेक्ट के तहत एक ओपन-सोर्स लाइब्रेरी है, जो अनिवार्य रूप से, यदि आप चाहें, तो एक प्रतियोगी या OpenSSL का विकल्प है, और इसका उपयोग (भले ही आपको इसका एहसास न हो) एक आश्चर्यजनक संख्या में ओपन- स्रोत परियोजनाओं और उत्पादों ...

... कोड सहित, आप जिस भी प्लेटफॉर्म पर हैं, वह शायद आपके सिस्टम पर है।

ताकि इसमें कुछ भी शामिल हो, कहें: FFmpeg; मेनकोडर; GnuPGP (GNU कुंजी प्रबंधन उपकरण); क्यूईएमयू, आरडेस्कटॉप; सांबा, जिसके बारे में हमने अभी पिछले बग में बात की थी; Wget, जिसका उपयोग बहुत से लोग वेब डाउनलोडिंग के लिए करते हैं; Wireshark का नेटवर्क सूँघने के उपकरण; ज़्लिब।

वहाँ बहुत सारे उपकरण हैं जिन्हें क्रिप्टोग्राफ़िक लाइब्रेरी की आवश्यकता होती है, और या तो ओपनएसएसएल के * के बजाय * जीएनयूटीएलएस * का उपयोग करने का निर्णय लिया है, या शायद * साथ ही *, आपूर्ति-श्रृंखला के मुद्दों पर निर्भर करता है कि उन्होंने किस उप-पैकेज को खींचा है में।

आपके पास एक प्रोजेक्ट हो सकता है जहां इसके कुछ हिस्से अपनी क्रिप्टोग्राफी के लिए जीएनयूटीएलएस का उपयोग करते हैं, और इसके कुछ हिस्से ओपनएसएसएल का उपयोग करते हैं, और एक को दूसरे पर चुनना मुश्किल होता है।

तो आप दोनों के साथ, बेहतर या बदतर के लिए समाप्त हो जाते हैं।

और दुर्भाग्य से, GnuTLS (जो संस्करण आप चाहते हैं वह 3.7.7 या बाद का है) में एक प्रकार का बग था जिसे एक के रूप में जाना जाता है डबल-मुक्त... टीएलएस प्रमाणपत्र सत्यापन करने वाले कोड के बहुत हिस्से में विश्वास करें या नहीं।

इसलिए, हमने पहले क्रिप्टोग्राफिक पुस्तकालयों में जिस तरह की विडंबना देखी है, वह कोड जो एन्क्रिप्टेड ट्रांसमिशन के लिए टीएलएस का उपयोग करता है, लेकिन दूसरे छोर को सत्यापित करने की जहमत नहीं उठाता ... कोड जो जाता है, "प्रमाण पत्र सत्यापन, इसकी आवश्यकता किसे है?"

इसे आम तौर पर एक बेहद बुरा विचार माना जाता है, बल्कि सुरक्षा की दृष्टि से जर्जर... लेकिन ऐसा कोई भी कोड जो इस बग के लिए असुरक्षित नहीं होगा, क्योंकि यह बग्गी कोड को कॉल नहीं करता है।

तो, दुख की बात है कि कोड जो *सही* करने का प्रयास कर रहा है, उसे एक दुष्ट प्रमाणपत्र द्वारा धोखा दिया जा सकता है।

और केवल सरलता से समझाने के लिए, a डबल-मुक्त एक प्रकार का बग है जहां आप ऑपरेटिंग सिस्टम या सिस्टम से पूछते हैं, "अरे, मुझे कुछ मेमोरी दें। मुझे अस्थायी रूप से कुछ स्मृति चाहिए। इस मामले में, मेरे पास यह सब प्रमाणपत्र डेटा है, मैं इसे अस्थायी रूप से संग्रहीत करना चाहता हूं, इसे सत्यापित करना चाहता हूं, और फिर जब मैं कर चुका हूं, तो मैं स्मृति को वापस सौंप दूंगा ताकि इसे प्रोग्राम के दूसरे भाग द्वारा उपयोग किया जा सके। "

यदि आप एक सी प्रोग्रामर हैं, तो आप कार्यों से परिचित होंगे malloc(), "स्मृति आवंटित" के लिए संक्षिप्त, और free(), जो "इसे वापस हाथ" है।

और हम जानते हैं कि एक प्रकार का बग होता है जिसे कहा जाता है का उपयोग के बाद नि: शुल्क, जहां आप डेटा वापस सौंपते हैं, लेकिन फिर भी उस मेमोरी ब्लॉक का उपयोग करना जारी रखते हैं, यह भूल जाते हैं कि आपने इसे छोड़ दिया है।

लेकिन एक डबल-फ्री थोड़ा अलग है - यह वह जगह है जहां आप स्मृति को वापस सौंपते हैं, और आप कर्तव्यपूर्वक इसे फिर से उपयोग करने से बचते हैं, लेकिन फिर बाद के चरण में, आप जाते हैं, "रुको, मुझे यकीन है कि मैंने इसे हाथ नहीं लगाया स्मृति अभी तक वापस। बेहतर होगा कि मैं इसे केवल मामले में वापस सौंप दूं। ”

और इसलिए आप ऑपरेटिंग सिस्टम को बताते हैं, "ठीक है, इस मेमोरी को फिर से मुक्त करें।"

तो ऐसा लगता है कि यह डेटा को मुक्त करने का एक वैध अनुरोध है * कि कार्यक्रम का कोई अन्य भाग वास्तव में * पर निर्भर हो सकता है।

और जैसा कि आप कल्पना कर सकते हैं, बुरी चीजें हो सकती हैं, क्योंकि इसका मतलब है कि आपको कार्यक्रम के दो भाग मिल सकते हैं जो अनजाने में एक ही समय में स्मृति के एक ही हिस्से पर निर्भर हैं।

अच्छी खबर यह है कि मुझे विश्वास नहीं है कि इस बग के लिए एक काम कर रहे शोषण का पता चला था, और इसलिए, यदि आप पैच करते हैं, तो आप बदमाशों से आगे निकल जाएंगे, बजाय इसके कि आप उन्हें पकड़ सकें।

लेकिन, निश्चित रूप से, बुरी खबर यह है कि, जब इस तरह के बग फिक्स सामने आते हैं, तो आमतौर पर बहुत से लोग होते हैं जो उन्हें देखकर विश्लेषण करने की कोशिश करते हैं कि क्या गलत हुआ, तेजी से समझने की उम्मीद में कि वे शोषण करने के लिए क्या कर सकते हैं उन सभी लोगों के खिलाफ बग जो पैच करने में धीमे रहे हैं।

दूसरे शब्दों में: देरी न करें। इसे आज करो।

---

डौग  ठीक है, GnuTLS का नवीनतम संस्करण 3.7.7 है... कृपया अपडेट करें।

आप ऐसा कर सकते हैं इसके बारे में अधिक पढ़ें साइट पर।

---

बत्तख।  ओह, और डौग, जाहिरा तौर पर बग को GnuTLS 3.6.0 में पेश किया गया था।

---

डौग  ठीक है.

---

बत्तख।  तो, सिद्धांत रूप में, यदि आपके पास इससे पहले का संस्करण है, तो आप इस बग के प्रति संवेदनशील नहीं हैं…

...लेकिन कृपया इसे जाने के बहाने के रूप में उपयोग न करें, "मुझे अभी तक अपडेट करने की आवश्यकता नहीं है।"

आप 3.6.0 और 3.7.6 के बीच, अन्य सभी सुरक्षा मुद्दों के लिए, अन्य सभी अद्यतनों पर आगे बढ़ सकते हैं।

तो तथ्य यह है कि आप इस बग की श्रेणी में नहीं आते हैं - इसे कुछ भी नहीं करने के बहाने के रूप में उपयोग न करें।

अपने आप को वर्तमान समय में लाने के लिए इसे एक प्रोत्साहन के रूप में उपयोग करें... यही मेरी सलाह है।

---

डौग  ठीक है!

और सप्ताह की हमारी अंतिम कहानी: हम एक और क्रिप्टो डकैती के बारे में बात कर रहे हैं।

इस समय, केवल $ 200 मिलियन, हालांकि, पॉल।

हमने जिन अन्य लोगों के बारे में बात की है, उनमें से कुछ की तुलना में यह एक बड़ा बदलाव है।

---

बत्तख।  मैं लगभग यह कहना नहीं चाहता, डौग, लेकिन मैंने इसे लिखने के कारणों में से एक यह है कि मैंने इसे देखा और मैंने खुद को यह सोचते हुए पाया, "ओह, केवल 200 मिलियन? यह काफ़ी छोटा है... मैं क्या सोच रहा हूँ!?" [हँसी]

$200 मिलियन, मूल रूप से ... ठीक है, "शौचालय के नीचे" नहीं, बल्कि "बैंक तिजोरी से बाहर"।

यह सेवा घुमंतू एक कंपनी से है जो इल्यूसरी सिस्टम्स इनकॉर्पोरेटेड के नाम से जाती है।

और मुझे लगता है कि आप सहमत होंगे कि निश्चित रूप से सुरक्षा की दृष्टि से, "भ्रम" शब्द शायद सही प्रकार का रूपक है।

यह एक ऐसी सेवा है जो अनिवार्य रूप से आपको वह करने की अनुमति देती है जिसे शब्दजाल में जाना जाता है ब्रिजिंग.

आप मूल रूप से एक क्रिप्टोकरेंसी को दूसरे के लिए सक्रिय रूप से व्यापार कर रहे हैं।

तो आप अपनी खुद की कुछ क्रिप्टोकुरेंसी को अन्य लोगों के साथ कुछ विशाल बाल्टी में डाल दें … और फिर हम इन सभी फैंसी, "विकेंद्रीकृत वित्त" स्वचालित स्मार्ट अनुबंध कर सकते हैं।

हम ईथर के लिए बिटकॉइन का व्यापार कर सकते हैं या मोनेरो के लिए ईथर, या जो भी हो।

दुर्भाग्य से, हाल ही में एक कोड अपडेट के दौरान, ऐसा लगता है कि वे उसी तरह के छेद में गिर गए, जो शायद सांबा के लोगों ने उस बग के साथ किया था जिसके बारे में हमने सांबा में बात की थी।

मूल रूप से एक है अपना खुद का पासपोर्ट प्रिंट करेंया, एक अपना खुद का लेनदेन अधिकृत करें बग जो उन्होंने पेश किया।

कोड में एक बिंदु है जहां एक क्रिप्टोग्राफ़िक हैश, एक 256-बिट क्रिप्टोग्राफ़िक हैश, को मान्य किया जाना चाहिए ... कुछ ऐसा जो एक अधिकृत अनुमोदनकर्ता के अलावा कोई नहीं कर सकता है।

सिवाय इसके कि यदि आप अभी शून्य मान का उपयोग करते हैं, तो आप मस्टर पास करेंगे।

आप मूल रूप से किसी और के मौजूदा लेनदेन को ले सकते हैं, प्राप्तकर्ता के नाम को अपने साथ फिर से लिख सकते हैं ("अरे, पे *माय* क्रिप्टोकुरेंसी वॉलेट"), और लेनदेन को फिर से चलाएं।

और सिस्टम जाएगा, "ठीक है।"

आपको बस डेटा को सही फॉर्मेट में लाना है, यह मेरी समझ है।

और एक लेन-देन बनाने का सबसे आसान तरीका जो मस्टर पास होगा, बस किसी और के पूर्व-पूर्ण, मौजूदा लेन-देन को लेना, इसे फिर से खेलना, लेकिन उनका नाम, या उनका खाता नंबर पार करना, और अपना खुद का डालना है।

तो, क्रिप्टोक्यूरेंसी विश्लेषक के रूप में @samczsun ट्विटर पर कहा, "हमलावरों ने लेन-देन को कॉपी और पेस्ट करने के लिए इसका दुरुपयोग किया और पुल को एक उन्मादी फ्री-फॉर-ऑल में जल्दी से सूखा दिया।"

दूसरे शब्दों में, लोग एटीएम से पैसे निकालने के लिए पागल हो गए थे, जो किसी के भी बैंक कार्ड को स्वीकार करेगा, बशर्ते आपने शून्य का पिन डाला हो।

और सिर्फ तब तक नहीं जब तक कि एटीएम खाली नहीं हो गया… एटीएम मूल रूप से सीधे बैंक की तिजोरी के किनारे से जुड़ा था, और पैसा बस बह रहा था।

---

डौग  अरे!

---

बत्तख।  जैसा कि आप कहते हैं, जाहिर तौर पर उन्होंने कुछ ही समय में $200 मिलियन तक का नुकसान किया।

हरे बाबा।

---

डौग  खैर, हमारे पास कुछ सलाह है, और यह बहुत सीधी है…

---

बत्तख।  आप वास्तव में केवल यही सलाह दे सकते हैं, "इस विकेन्द्रीकृत वित्तीय क्रांति में शामिल होने के लिए जल्दबाजी न करें।"

जैसा कि हमने पहले कहा है, सुनिश्चित करें कि यदि आप इस "ऑनलाइन व्यापार" में शामिल हैं; हमें क्रिप्टोक्यूरेंसी उधार दें और हम आपको ब्याज का भुगतान करेंगे; अपने सामान को एक गर्म बटुए में रखें ताकि आप सेकंड के भीतर कार्य कर सकें; संपूर्ण स्मार्ट अनुबंध दृश्य में प्रवेश करें; मेरे अपूरणीय टोकन [एनएफटी] खरीदें” - वह सब सामान…

...यदि आप तय करते हैं कि बाज़ार *आपके लिए* है, तो कृपया सुनिश्चित करें कि आप अपनी आँखें खुली रखकर अंदर जाएँ, न कि अपनी आँखें बंद करके!

और इसका सीधा सा कारण यह है कि इस तरह के मामलों में, ऐसा नहीं है कि बदमाश बैंक के एटीएम से *कुछ* निकाल सकते हैं।

इस मामले में, सबसे पहले, ऐसा लगता है कि उन्होंने लगभग सब कुछ खत्म कर दिया है, और दूसरी बात, पारंपरिक बैंकों के विपरीत, ऐसे नियामक सुरक्षा नहीं हैं जिनका आप आनंद लेंगे यदि एक वास्तविक जीवन बैंक खराब हो गया।

विकेंद्रीकृत वित्त के मामले में, इसका पूरा विचार विकेंद्रीकृत होना, और नया, और अच्छा होना, और कुछ ऐसा है जिसे आप जल्दी करना चाहते हैं ...

... क्या यह कष्टप्रद नियामक सुरक्षा *नहीं* रखता है।

आप कर सकते थे, और संभवत: - क्योंकि हमने इसके बारे में जितना मैं सहज महसूस कर रहा हूं, उससे अधिक बार बात की है, वास्तव में - आप *सब कुछ* खो सकते हैं।

और इसका दूसरा पहलू यह है कि, यदि आपने कुछ विकेंद्रीकृत वित्त या "वेब 3.0 ब्रांड नई सुपर-ट्रेडिंग वेबसाइट" में सामान खो दिया है, तो इस तरह से आने वाले लोगों से बहुत सावधान रहें, "अरे, चिंता न करें। विनियमन की कमी के बावजूद, विशेषज्ञ कंपनियां हैं जो आपका पैसा वापस पा सकती हैं। आपको बस कंपनी X, व्यक्तिगत Y, या सोशल मीडिया अकाउंट Z से संपर्क करना है।

क्योंकि, जब भी इस तरह की कोई आपदा आती है, तो सेकेंडरी स्कैमर्स आपके पैसे वापस पाने के लिए "एक रास्ता खोजने" की पेशकश करते हुए, बहुत जल्दी-जल्दी दौड़ते हुए आते हैं।

बहुत सारे स्कैमर इधर-उधर मँडरा रहे हैं, इसलिए बहुत सावधान रहें।

यदि आपने पैसा खो दिया है, तो बुरे के बाद अच्छा पैसा फेंकने के लिए अपने रास्ते से बाहर मत जाओ (या अच्छे के बाद बुरा पैसा, जो भी हो)।

---

डौग  ठीक है, आप इसके बारे में और अधिक पढ़ सकते हैं: क्रिप्टोकॉइन "टोकन स्वैपर" घुमंतू कोडिंग गलती में $ 200 मिलियन खो देता है.

और अगर हम इस कहानी पर अपने पाठकों में से एक से सुनते हैं, तो एक अज्ञात टिप्पणीकार लिखता है, और मैं सहमत हूं ... मुझे समझ में नहीं आता कि यह कैसे काम करता है:

"क्या आश्चर्यजनक है कि एक ऑनलाइन स्टार्टअप के पास पहले स्थान पर खोने के लिए बहुत कुछ था। $ 200,000, आप कल्पना कर सकते हैं। लेकिन $200 मिलियन अविश्वसनीय लगता है।"

और मुझे लगता है कि हमने उस प्रश्न का उत्तर दिया, लेकिन यह सारा पैसा कहां से आ रहा है, सिर्फ $200 मिलियन हड़पने के लिए?

---

बत्तख।  मैं इसका जवाब नहीं दे सकता, डौग।

---

डौग  नहीं.

---

बत्तख।  क्या ऐसा है कि दुनिया पहले की तुलना में अधिक विश्वसनीय है?

क्या ऐसा है कि क्रिप्टोक्यूरेंसी समुदाय में बहुत सारे गैर-लाभकारी लाभ हैं?

तो ऐसे लोग हैं जिन्होंने वास्तव में इसमें अपना पैसा नहीं लगाया है, लेकिन वे उचित के बजाय गलत तरीके से क्रिप्टोकुरेंसी के पूरे भार के साथ समाप्त हो गए हैं। (हम जानते हैं कि रैंसमवेयर भुगतान आमतौर पर क्रिप्टोकरेंसी के रूप में आते हैं, है ना?)

ताकि यह मज़ेदार-पैसे की तरह हो ... "पैसा" खोने वाला व्यक्ति शायद नकद में सामने नहीं आया?

क्या यह लोगों की ओर से केवल एक धार्मिक उत्साह है, "नहीं, नहीं, *यह* इसे करने का तरीका है। हमें पुराने जमाने के, धूर्त-धूर्त, उच्च विनियमित वित्तीय संगठन काम करने के तरीके को तोड़ने की जरूरत है। हमें द मैन से मुक्त होना है"?

मुझे नहीं पता, शायद $200 मिलियन अब बहुत सारा पैसा नहीं है, डौग?

---

डौग  [हंसते हैं] ठीक है, बिल्कुल!

---

बत्तख।  मुझे संदेह है कि ऐसे लोग हैं जो अपनी आंखें बंद करके अंदर जा रहे हैं।

वे जा रहे हैं, "मैं * इस जोखिम को लेने के लिए तैयार हूं क्योंकि यह बहुत अच्छा है।"

और समस्या यह है कि यदि आप $200, या $2000 खोने जा रहे हैं, और आप इसे खोने का जोखिम उठा सकते हैं, तो यह एक बात है।

लेकिन अगर आप $2000 के लिए गए हैं और आप सोचते हैं, "आप जानते हैं कि क्या। शायद मुझे 20,000 डॉलर में जाना चाहिए?" और फिर आप सोचते हैं, "तुम्हें पता है क्या। शायद मुझे $ 200,000 में जाना चाहिए? शायद मुझे अंदर जाना चाहिए?"

फिर, मुझे लगता है कि आपको वास्तव में बहुत सावधान रहने की जरूरत है!

ठीक उन कारणों के लिए जो नियामक सुरक्षा आपको महसूस हो सकती है कि आपके पास है, जैसे आपके पास होता है जब आपके क्रेडिट कार्ड पर कुछ बुरा होता है और आप बस फोन करते हैं और विवाद करते हैं और वे चले जाते हैं। "ठीक है", और वे बिल से $ 52.23 को पार करते हैं ...

... इस मामले में ऐसा नहीं होने जा रहा है।

और यह $52 होने की संभावना नहीं है, यह शायद इससे बहुत अधिक होने वाला है।

तो वहाँ ध्यान रखना, दोस्तों!

---

डौग  ख्याल रखना, वाकई।

ठीक है, टिप्पणी के लिए धन्यवाद।

और अगर आपके पास कोई दिलचस्प कहानी, टिप्पणी या प्रश्न है जिसे आप सबमिट करना चाहते हैं, तो हम इसे पॉडकास्ट पर पढ़ना पसंद करेंगे।

आप ईमेल कर सकते हैं tips@sophos.com; आप हमारे किसी भी लेख पर टिप्पणी कर सकते हैं; आप हमें सामाजिक पर मार सकते हैं: @NakedSecurity.

आज के लिए यही हमारा शो है - सुनने के लिए बहुत-बहुत धन्यवाद।

पॉल डकलिन के लिए, मैं डौग आमोथ हूं, आपको याद दिला रहा हूं, अगली बार तक…

---

दोनों को।  सुरक्षित रहें!

[संगीत मोडेम]