S3 Ep94: Jenis kripto ini (grafi), dan jenis kripto lainnya (mata uang!) [Audio + Teks]

Klik-dan-tarik gelombang suara di bawah untuk melompat ke titik mana pun. Anda juga bisa dengarkan langsung di Soundcloud.

ANJING.  A bug Samba kritis, lagi pencurian crypto, dan Selamat Hari SysAdmin.

Semua itu dan lebih banyak lagi, di podcast Naked Security.

[MODEM MUSIK]

Selamat datang di podcast, semuanya.

Saya Doug Aamoth.

Dengan saya, seperti biasa, adalah Paul Ducklin… Paul, bagaimana kabarmu hari ini?

---

BEBEK.  Luar biasa, terima kasih, Douglas.

---

ANJING.  Kami ingin memulai pertunjukan dengan beberapa sejarah teknologi.

Dan minggu ini, Paul, kita akan kembali ke tahun 1858!

Minggu ini pada tahun 1858, kabel telegraf transatlantik pertama selesai.

Itu dipelopori oleh pedagang Amerika Cyrus Westfield, dan kabel itu membentang dari Trinity Bay, Newfoundland, ke Valencia, Irlandia, dengan lebar sekitar 2000 mil, dan kedalaman lebih dari 2 mil.

Ini akan menjadi upaya kelima, dan sayangnya, kabel hanya berfungsi selama sekitar satu bulan.

Tapi itu berfungsi cukup lama bagi Presiden James Buchanan dan Ratu Victoria saat itu untuk berbasa-basi.

---

BEBEK.  Ya, saya percaya itu, bagaimana saya bisa mengatakannya ... pingsan. [TAWA]

1858!

Apa yang telah Tuhan buat?, Doug! [KATA DIKIRIM DALAM PESAN TELEGRAF PERTAMA]

---

ANJING.  [TERTAWA] Berbicara tentang hal-hal yang telah ditempa, ada bug Samba kritis yang telah ditambal.

Saya sama sekali bukan ahli, tetapi bug ini akan membuat siapa pun menjadi Admin Domain… kedengarannya buruk.

---

BEBEK.  Yah, kedengarannya buruk, Doug, terutama karena *agak* buruk!

---

ANJING.  Ini dia!

---

BEBEK.  Samba… untuk lebih jelasnya, sebelum kita mulai, mari kita lihat versi yang Anda inginkan.

Jika Anda menggunakan rasa 4.16, Anda membutuhkan 4.16.4 atau lebih baru; jika Anda menggunakan 4.15, Anda memerlukan 4.15.9 atau lebih baru; dan jika Anda menggunakan 4.14, Anda memerlukan 4.14.14 atau lebih baru.

Perbaikan bug tersebut, secara total, menambal enam bug berbeda yang dianggap cukup serius untuk mendapatkan nomor CVE – penanda resmi.

Salah satu yang menonjol adalah CVE-2022-32744.

Dan judul bug mengatakan semuanya: Pengguna Samba Active Directory dapat memalsukan permintaan perubahan kata sandi untuk setiap pengguna.

---

ANJING.  Ya, itu terdengar buruk.

---

BEBEK.  Jadi, seperti laporan bug lengkap di penasihat keamanan, log perubahan mengatakan, dengan cara yang agak orotund:

“Seorang pengguna dapat mengubah kata sandi akun administrator dan mendapatkan kendali penuh atas domain. Kehilangan penuh kerahasiaan dan integritas akan mungkin terjadi, serta ketersediaan dengan menolak akses pengguna ke akun mereka.”

Dan seperti yang mungkin diketahui oleh pendengar kita, apa yang disebut "trinitas suci" (kutipan udara) dari keamanan komputer adalah: ketersediaan, kerahasiaan, dan integritas.

Anda seharusnya memiliki semuanya, bukan hanya salah satunya.

Jadi, integritas berarti tidak ada orang lain yang bisa masuk dan mengacaukan barang-barang Anda tanpa Anda sadari.

Ketersediaan mengatakan Anda selalu bisa mendapatkan barang-barang Anda – mereka tidak dapat mencegah Anda melakukannya saat Anda menginginkannya.

Dan kerahasiaan berarti mereka tidak dapat melihatnya kecuali mereka seharusnya diizinkan.

Salah satu dari itu, atau dua di antaranya, tidak banyak berguna dengan sendirinya.

Jadi ini benar-benar trifecta, Doug!

Dan yang mengganggu, itu di bagian paling Samba yang mungkin Anda gunakan tidak hanya jika Anda mencoba menghubungkan komputer Unix ke domain Windows, tetapi jika Anda mencoba mengatur domain Active Directory untuk komputer Windows untuk digunakan di sekelompok komputer Linux atau Unix.

---

ANJING.  Itu mencentang semua kotak dengan cara yang salah!

Tapi ada tambalan – dan kami selalu berkata, “Tambal lebih awal, tambal sering.”

Apakah ada semacam solusi yang dapat digunakan orang jika mereka tidak dapat langsung menambal karena suatu alasan, atau apakah ini jenis hal yang bisa dilakukan?

---

BEBEK.  Nah, pemahaman saya adalah bahwa bug ini ada di layanan otentikasi kata sandi yang disebut kpasswd.

Pada dasarnya apa yang dilakukan layanan itu adalah mencari permintaan perubahan kata sandi, dan memverifikasi bahwa itu ditandatangani atau disahkan oleh semacam pihak tepercaya.

Dan sayangnya, mengikuti serangkaian kondisi kesalahan tertentu, pihak tepercaya itu bisa termasuk Anda sendiri.

Jadi itu seperti Cetak Paspor Anda Sendiri bug, jika Anda suka.

Anda harus menunjukkan paspor… itu bisa menjadi paspor asli yang dikeluarkan oleh pemerintah Anda sendiri, atau paspor yang Anda buat sendiri di rumah dengan printer inkjet Anda, dan keduanya akan lolos. [TAWA]

Triknya adalah, jika Anda tidak benar-benar mengandalkan layanan otentikasi kata sandi ini dalam penggunaan Samba, Anda dapat mencegahnya kpasswd layanan dari berjalan.

Tentu saja, jika Anda benar-benar mengandalkan seluruh sistem Samba untuk memberikan autentikasi Active Directory dan perubahan kata sandi Anda, solusinya akan merusak sistem Anda sendiri.

Jadi pertahanan terbaik tentunya adalah patch yang *menghilangkan* bug daripada hanya *menghindari* saja.

---

ANJING.  Sangat bagus.

Anda dapat baca lebih lanjut tentang bahwa di situs: nakedscurity.sophos.com.

Dan kita bergerak menuju waktu yang paling indah sepanjang tahun!

Kami baru saja merayakannya Hari SysAdmin, Paul, dan saya tidak akan mengirim telegram bagian lucunya di sini… cukup menulis.

---

BEBEK.  Yah, sekali setahun, tidak terlalu banyak untuk meminta kita pergi ke departemen TI dan tersenyum pada semua orang yang telah melakukan semua pekerjaan latar belakang yang tersembunyi ini…

… untuk menjaga [MENDAPATKAN LEBIH CEPAT DAN LEBIH CEPAT] komputer kami, dan server kami, dan layanan cloud kami, dan laptop kami, dan telepon kami, dan sakelar jaringan kami [DOUG LAUGHS], dan koneksi DSL kami, dan kit Wi-Fi kami di urutan kerja yang baik.

Tersedia! Rahasia! Penuh integritas, sepanjang tahun!

Jika Anda tidak melakukannya pada hari Jumat terakhir bulan Juli, yaitu SHari Apresiasi ysAdmin, lalu mengapa tidak pergi dan melakukannya hari ini?

Dan bahkan jika Anda melakukannya, tidak ada yang mengatakan Anda tidak bisa menghargai SysAdmins Anda setiap hari sepanjang tahun.

Anda tidak harus melakukannya hanya pada bulan Juli, Doug.

---

ANJING.  Poin bagus!

---

BEBEK.  Jadi inilah yang harus dilakukan, Doug.

Saya akan menyebutnya sebuah "puisi" atau "syair"... Saya pikir secara teknis ini doggerel [TERTAWA], tapi saya akan berpura-pura bahwa itu memiliki semua kegembiraan dan kehangatan soneta Shakespeare.

Ini *bukan* soneta, tapi itu harus dilakukan.

---

ANJING.  Sempurna.

---

BEBEK.  Ini dia, Doug.

Jika mouse Anda kehabisan baterai Atau lampu webcam Anda tidak menyala Jika Anda tidak dapat mengingat kata sandi Anda Atau email Anda tidak akan muncul Jika Anda kehilangan drive USB Anda Atau rapat Anda tidak akan dimulai Jika Anda tidak bisa menghasilkan histogram Atau menggambar bagan bulat yang bagus Jika Anda menekan [Hapus] secara tidak sengaja Atau memformat disk Anda Jika Anda bermaksud membuat cadangan Tapi malah mengambil risiko Jika Anda tahu pelakunya sudah jelas Dan kesalahan menunjuk kembali kepada Anda Jangan putus asa dan putus asa Ada satu hal lagi yang harus dilakukan! Ambil cokelat, anggur, sorak-sorai, senyuman Dan bersungguh-sungguh ketika Anda mengatakan: "Saya baru saja mampir untuk mengucapkan Selamat Hari SysAdmin yang hebat!"

---

ANJING.  [BERtepuk tangan] Sangat bagus! Salah satu yang terbaik!

---

BEBEK.  Begitu banyak dari apa yang dilakukan SysAdmins tidak terlihat, dan begitu banyak yang secara mengejutkan sulit untuk dilakukan dengan baik dan andal…

…dan melakukan tanpa memperbaiki satu hal dan merusak yang lain.

Senyum itu adalah yang paling tidak pantas mereka dapatkan, Doug.

---

ANJING.  Paling tidak!

---

BEBEK.  Jadi, untuk semua SysAdmins di seluruh dunia, saya harap Anda menikmati hari Jumat lalu.

Dan jika Anda tidak mendapatkan cukup senyuman, maka ambillah satu sekarang.

---

ANJING.  Selamat Hari SysAdmin, semuanya, dan baca puisi itu, yang bagus…ada di situs.

Baiklah, beralih ke sesuatu yang tidak begitu hebat: a bug salah urus memori di GnuTLS.

---

BEBEK.  Ya, saya pikir ini layak untuk ditulis di Naked Security, karena ketika orang memikirkan kriptografi sumber terbuka, mereka cenderung memikirkan OpenSSL.

Karena (A) itu yang paling sering didengar semua orang, dan (B) yang mungkin paling banyak dipublikasikan dalam beberapa tahun terakhir tentang bug, karena Heartbleed.

Bahkan jika Anda tidak berada di sana pada saat itu (delapan tahun yang lalu), Anda mungkin pernah mendengar tentang Heartbleed, yang merupakan semacam kebocoran data dan bug kebocoran memori di OpenSSL.

Itu sudah ada dalam kode selama berabad-abad dan tidak ada yang memperhatikan.

Dan kemudian seseorang memperhatikan, dan mereka memberinya nama yang bagus, dan mereka memberi bug itu sebuah logo, dan mereka memberi bug itu sebuah situs web, dan mereka membuat PR besar-besaran ini darinya.

---

ANJING.  [TERTAWA] Begitulah cara Anda tahu itu nyata…

---

BEBEK.  Oke, mereka melakukannya karena mereka ingin menarik perhatian pada fakta bahwa mereka menemukannya, dan mereka sangat bangga dengan fakta itu.

Dan sisi sebaliknya adalah orang-orang keluar dan memperbaiki bug ini yang mungkin tidak mereka lakukan… karena, yah, itu hanya bug.

Tampaknya tidak terlalu dramatis – ini bukan eksekusi kode jarak jauh. jadi mereka tidak bisa masuk begitu saja dan langsung mengambil alih semua situs web saya, dll. dll.

Tapi itu membuat OpenSSL menjadi nama rumah tangga, tidak harus karena semua alasan yang tepat.

Namun, ada banyak perpustakaan kriptografi open source di luar sana, bukan hanya OpenSSL, dan setidaknya dua di antaranya secara mengejutkan banyak digunakan, bahkan jika Anda belum pernah mendengarnya.

Ada NSS, kependekan dari Layanan Keamanan Jaringan, yang merupakan perpustakaan kriptografi Mozilla sendiri.

Anda dapat mengunduh dan menggunakannya secara terpisah dari proyek Mozilla tertentu, tetapi Anda akan menemukannya, terutama, di Firefox dan Thunderbird, melakukan semua enkripsi di sana – mereka tidak menggunakan OpenSSL.

Dan disana gnuTLS, yang merupakan perpustakaan sumber terbuka di bawah proyek GNU, yang pada dasarnya, jika Anda suka, adalah pesaing atau alternatif dari OpenSSL, dan yang digunakan (bahkan jika Anda tidak menyadarinya) oleh sejumlah besar open- sumber proyek dan produk…

…termasuk berdasarkan kode, platform apa pun yang Anda gunakan, yang mungkin Anda miliki di sistem Anda.

Jadi itu termasuk apa pun yang berkaitan dengan, katakanlah: FFmpeg; pembuat kode; GnuPGP (alat manajemen kunci GNU); QEMU, Desktop; Samba, yang baru saja kita bicarakan di bug sebelumnya; Wget, yang banyak digunakan orang untuk mengunduh web; Alat sniffing jaringan Wireshark; Zlib.

Ada banyak sekali alat di luar sana yang memerlukan pustaka kriptografi, dan telah memutuskan untuk menggunakan GnuTLS *sebagai ganti* OpenSSL, atau bahkan mungkin *dan juga*, tergantung pada masalah rantai pasokan dari subpaket mana yang telah mereka tarik di.

Anda mungkin memiliki proyek di mana beberapa bagiannya menggunakan GnuTLS untuk kriptografinya, dan beberapa bagiannya menggunakan OpenSSL, dan sulit untuk memilih satu dari yang lain.

Jadi Anda berakhir, baik atau buruk, dengan keduanya.

Dan sayangnya, GnuTLS (versi yang Anda inginkan adalah 3.7.7 atau yang lebih baru) memiliki jenis bug yang dikenal sebagai bebas ganda… percaya atau tidak di bagian kode yang melakukan validasi sertifikat TLS.

Jadi, semacam ironi yang pernah kita lihat di perpustakaan kriptografi sebelumnya, kode yang menggunakan TLS untuk transmisi terenkripsi tetapi tidak repot memverifikasi ujung yang lain… kode yang berbunyi, “Validasi sertifikat, siapa yang membutuhkannya?”

Itu umumnya dianggap sebagai ide yang sangat buruk, agak buruk dari sudut pandang keamanan ... tetapi kode apa pun yang melakukan itu tidak akan rentan terhadap bug ini, karena tidak memanggil kode buggy.

Jadi, sayangnya, kode yang mencoba melakukan hal yang *benar* dapat ditipu oleh sertifikat jahat.

Dan hanya untuk menjelaskan secara sederhana, a bebas ganda adalah jenis bug di mana Anda bertanya kepada sistem operasi atau sistem, “Hei, beri saya beberapa memori. Aku butuh memori untuk sementara. Dalam hal ini, saya sudah mendapatkan semua data sertifikat ini, saya ingin menyimpannya sementara, memvalidasinya, dan kemudian ketika saya selesai, saya akan mengembalikan memori itu sehingga dapat digunakan oleh bagian lain dari program. ”

Jika Anda seorang programmer C, Anda akan terbiasa dengan fungsinya malloc(), kependekan dari "memory mengalokasikan", dan free(), yaitu "kembalikan".

Dan kita tahu bahwa ada jenis bug yang disebut gunakan-setelah-bebas, yang merupakan tempat Anda mengembalikan data, tetapi kemudian tetap menggunakan blok memori itu, lupa bahwa Anda telah menyerahkannya.

Tetapi double-free sedikit berbeda – ini adalah tempat Anda mengembalikan memori, dan Anda dengan patuh menghindari menggunakannya lagi, tetapi kemudian pada tahap selanjutnya, Anda berkata, “Tunggu, saya yakin saya tidak menyerahkannya memori kembali belum. Sebaiknya aku mengembalikannya untuk berjaga-jaga.”

Jadi Anda memberi tahu sistem operasi, "Oke, bebaskan memori ini lagi."

Jadi sepertinya itu adalah permintaan yang sah untuk mengosongkan data * yang mungkin benar-benar diandalkan oleh beberapa bagian lain dari program ini*.

Dan seperti yang dapat Anda bayangkan, hal-hal buruk dapat terjadi, karena itu berarti Anda mungkin mendapatkan dua bagian dari program yang tanpa sadar mengandalkan bagian memori yang sama pada saat yang bersamaan.

Kabar baiknya adalah saya tidak percaya bahwa eksploitasi yang berfungsi ditemukan untuk bug ini, dan oleh karena itu, jika Anda menambal, Anda akan mendahului penjahat daripada sekadar mengejar mereka.

Tapi, tentu saja, berita buruknya adalah, ketika perbaikan bug seperti ini keluar, biasanya ada banyak orang yang melihat mereka, mencoba menganalisis apa yang salah, dengan harapan dapat dengan cepat memahami apa yang dapat mereka lakukan untuk mengeksploitasi. bug terhadap semua orang yang lambat untuk ditambal.

Dengan kata lain: Jangan tunda. Lakukan hari ini.

---

ANJING.  Baiklah, versi terbaru dari GnuTLS adalah 3.7.7… silahkan update.

Anda dapat baca lebih lanjut tentang itu di tempat.

---

BEBEK.  Oh, dan Doug, ternyata bug tersebut diperkenalkan di GnuTLS 3.6.0.

---

ANJING.  OK.

---

BEBEK.  Jadi, secara teori, jika Anda memiliki versi yang lebih awal dari itu, Anda tidak rentan terhadap bug ini…

…tapi tolong jangan gunakan itu sebagai alasan untuk mengatakan, “Saya belum perlu memperbarui.”

Anda mungkin juga melompati semua pembaruan lain yang telah keluar, untuk semua masalah keamanan lainnya, antara 3.6.0 dan 3.7.6.

Jadi fakta bahwa Anda tidak termasuk dalam kategori bug ini – jangan gunakan itu sebagai alasan untuk tidak melakukan apa-apa.

Gunakan itu sebagai dorongan untuk membawa diri Anda ke hari ini ... itu saran saya.

---

ANJING.  OK!

Dan kisah terakhir kami minggu ini: kami berbicara tentang pencurian kripto lainnya.

Kali ini, hanya $ 200 juta, meskipun, Paulus.

Ini adalah perubahan bodoh dibandingkan dengan beberapa yang lain yang telah kita bicarakan.

---

BEBEK.  Saya hampir tidak ingin mengatakan ini, Doug, tetapi salah satu alasan saya menulis ini adalah karena saya melihatnya dan saya berpikir, “Oh, hanya 200 juta? Itu cukup kecil... APA YANG SAYA PIKIRKAN!?” [TAWA]

$200 juta, pada dasarnya… yah, bukan “ke toilet”, melainkan “keluar dari brankas bank”.

Layanan Nomad ini berasal dari perusahaan yang bernama Illusory Systems Incorporated.

Dan saya pikir Anda akan setuju bahwa, tentu saja dari sudut pandang keamanan, kata "ilusi" mungkin adalah jenis metafora yang tepat.

Ini adalah layanan yang pada dasarnya memungkinkan Anda untuk melakukan apa yang ada dalam jargon yang dikenal sebagai menjembatani.

Anda pada dasarnya secara aktif memperdagangkan satu mata uang kripto dengan mata uang lainnya.

Jadi, Anda memasukkan beberapa cryptocurrency Anda sendiri ke dalam ember raksasa bersama dengan banyak orang lain… dan kemudian kita dapat melakukan semua kontrak pintar otomatis “keuangan terdesentralisasi” yang mewah ini.

Kita bisa menukar Bitcoin dengan Ether atau Ether dengan Monero, atau apapun.

Sayangnya, selama pembaruan kode baru-baru ini, tampaknya mereka jatuh ke dalam lubang yang sama yang mungkin dilakukan oleh orang-orang Samba dengan bug yang kita bicarakan di Samba.

Pada dasarnya ada Cetak Paspor Anda Sendiri, Atau Otorisasi Transaksi Anda Sendiri bug yang mereka perkenalkan.

Ada titik dalam kode di mana hash kriptografis, hash kriptografi 256-bit, seharusnya divalidasi… sesuatu yang tidak mungkin dilakukan oleh siapa pun kecuali pemberi persetujuan yang berwenang.

Kecuali jika Anda kebetulan menggunakan nilai nol, maka Anda akan lulus.

Anda pada dasarnya dapat mengambil transaksi orang lain yang ada, menulis ulang nama penerima dengan milik Anda (“Hei, bayar dompet cryptocurrency *saya*”), dan putar ulang transaksi tersebut.

Dan sistem akan pergi, "OK."

Anda hanya perlu mendapatkan data dalam format yang benar, itu pemahaman saya.

Dan cara termudah untuk membuat transaksi yang akan lolos adalah dengan mengambil transaksi yang sudah ada sebelumnya dari orang lain, memutar ulang, tetapi mencoret nama mereka, atau nomor rekening mereka, dan memasukkan nama Anda sendiri.

Jadi, sebagai analis cryptocurrency @samczsun kata di Twitter, “Penyerang menyalahgunakan ini untuk menyalin dan menempelkan transaksi dan dengan cepat menguras jembatan dalam hiruk pikuk gratis untuk semua.”

Dengan kata lain, orang menjadi gila menarik uang dari ATM yang akan menerima kartu bank siapa pun, asalkan Anda memasukkan PIN nol.

Dan tidak hanya sampai ATM terkuras… ATM pada dasarnya terhubung langsung ke sisi brankas bank, dan uang mengalir begitu saja.

---

ANJING.  Arrrgh!

---

BEBEK.  Seperti yang Anda katakan, tampaknya mereka kehilangan suatu tempat hingga $200 juta hanya dalam waktu singkat.

Aduh Buyung.

---

ANJING.  Nah, kami punya beberapa saran, dan itu cukup mudah…

---

BEBEK.  Satu-satunya saran yang dapat Anda berikan adalah, “Jangan terlalu terburu-buru untuk bergabung dalam revolusi keuangan yang terdesentralisasi ini.”

Seperti yang mungkin telah kami katakan sebelumnya, pastikan bahwa jika Anda *melakukan* masuk ke “perdagangan online ini; pinjamkan kami cryptocurrency dan kami akan membayar Anda bunga; letakkan barang-barang Anda di dompet panas sehingga Anda dapat bertindak dalam hitungan detik; masuk ke seluruh adegan kontrak pintar; beli token nonfungible saya [NFT]” – semua itu…

…jika Anda memutuskan bahwa pasar *adalah* untuk Anda, pastikan Anda masuk dengan mata terbuka lebar, bukan dengan mata tertutup!

Dan alasan sederhananya adalah bahwa dalam kasus seperti ini, bukan hanya penjahat yang bisa menguras *sebagian* ATM bank.

Dalam hal ini, pertama, sepertinya mereka telah menguras hampir segalanya, dan kedua, tidak seperti bank konvensional, tidak ada perlindungan peraturan yang akan Anda nikmati jika bank kehidupan nyata bangkrut.

Dalam kasus keuangan terdesentralisasi, seluruh gagasan tentang itu didesentralisasi, dan menjadi baru, dan keren, dan sesuatu yang ingin Anda buru-buru…

…apakah itu *tidak* memiliki perlindungan regulasi yang mengganggu ini.

Anda bisa, dan mungkin mungkin – karena kita telah membicarakan hal ini lebih sering daripada yang saya rasa nyaman, sungguh – Anda mungkin kehilangan *segalanya*.

Dan sisi lain dari itu adalah, jika Anda kehilangan barang-barang di beberapa keuangan terdesentralisasi atau ledakan "situs web super-trading baru Web 3.0" seperti ini, maka berhati-hatilah dengan orang-orang yang datang dengan mengatakan, "Hei, jangan khawatir. Meskipun kurangnya regulasi, ada perusahaan ahli yang bisa mendapatkan uang Anda kembali. Yang perlu Anda lakukan adalah menghubungi perusahaan X, individu Y, atau akun media sosial Z”.

Karena, setiap kali ada bencana semacam ini, scammers sekunder datang berlari cukup cepat, menawarkan untuk "menemukan cara" untuk mendapatkan uang Anda kembali.

Ada banyak scammer berkeliaran, jadi berhati-hatilah.

Jika Anda kehilangan uang, jangan pergi keluar dari cara Anda untuk membuang uang baik setelah buruk (atau uang buruk setelah baik, dengan cara apa pun).

---

ANJING.  Oke, Anda dapat membaca lebih lanjut tentang itu: Cryptocoin “token swapper” Nomad kehilangan $200 juta dalam kesalahan pengkodean.

Dan jika kami mendengar dari salah satu pembaca kami tentang cerita ini, seorang komentator anonim menulis, dan saya setuju… Saya tidak mengerti cara kerjanya:

“Apa yang menakjubkan adalah bahwa startup online memiliki banyak kerugian di tempat pertama. $200,000, bisa Anda bayangkan. Tapi $200 juta tampaknya tidak bisa dipercaya.”

Dan saya pikir kami menjawab pertanyaan itu, tetapi dari mana semua uang ini berasal, hanya untuk meraih $200 juta?

---

BEBEK.  Aku tidak bisa menjawabnya, Doug.

---

ANJING.  Tidak.

---

BEBEK.  Apakah dunia ini lebih mudah percaya dari sebelumnya?

Apakah karena ada banyak keuntungan haram yang beredar di komunitas cryptocurrency?

Jadi ada orang yang tidak benar-benar memasukkan uang mereka sendiri ke dalam ini, tetapi mereka berakhir dengan seluruh beban cryptocurrency dengan cara curang daripada adil. (Kita tahu bahwa pembayaran ransomware umumnya datang sebagai mata uang kripto, bukan?)

Jadi seperti uang lucu… orang yang kehilangan “uang” itu mungkin tidak memasukkan uang di muka?

Apakah itu hanya semangat keagamaan dari orang-orang yang berkata, “Tidak, tidak, *ini* adalah cara untuk melakukannya. Kita perlu mematahkan cengkeraman cara organisasi keuangan sekolah tua, fuddy-duddy, sangat diatur melakukan sesuatu. Kita harus membebaskan diri dari The Man”?

Entahlah, mungkin $200 juta saja bukan uang yang banyak lagi, Doug?

---

ANJING.  [TERTAWA] Yah, tentu saja!

---

BEBEK.  Saya menduga bahwa hanya ada orang yang masuk dengan mata terpejam.

Mereka berkata, "Saya * siap * mengambil risiko ini karena ini sangat keren."

Dan masalahnya adalah jika Anda akan kehilangan $200, atau $2000, dan Anda mampu untuk kehilangannya, itu satu hal.

Tetapi jika Anda telah masuk untuk $2000 dan Anda berpikir, “Anda tahu apa. Mungkin saya harus masuk seharga $ 20,000? ” Dan kemudian Anda berpikir, “Anda tahu apa. Mungkin saya harus masuk untuk $200,000? Mungkin saya harus masuk semua? ”

Kalau begitu, saya pikir Anda memang harus sangat berhati-hati!

Tepatnya karena alasan perlindungan peraturan yang mungkin Anda rasakan, seperti yang Anda miliki ketika sesuatu yang buruk terjadi pada kartu kredit Anda dan Anda hanya menelepon dan membantahnya dan mereka pergi. “OK”, dan mereka mencoret $52.23 dari tagihan…

... itu tidak akan terjadi dalam kasus ini.

Dan itu tidak mungkin menjadi $52, mungkin akan lebih dari itu.

Jadi berhati-hatilah di luar sana, teman-teman!

---

ANJING.  Hati-hati, memang.

Baiklah, terima kasih atas komentarnya.

Dan jika Anda memiliki cerita, komentar, atau pertanyaan menarik yang ingin Anda sampaikan, kami ingin membacanya di podcast.

Anda dapat mengirim email tips@sophos.com; Anda dapat mengomentari salah satu artikel kami; Anda dapat menghubungi kami di sosial: @NakedSecurity.

Itulah acara kami hari ini – terima kasih banyak telah mendengarkan.

Untuk Paul Ducklin, saya Doug Aamoth, mengingatkan Anda, sampai waktu berikutnya untuk…

---

KEDUA.  Tetap aman!

[MODEM MUSIK]