S3 Odc94: Ten rodzaj krypto (grafia) i inny rodzaj krypto (waluta!) [Dźwięk + tekst]

Kliknij i przeciągnij poniższe fale dźwiękowe, aby przejść do dowolnego punktu. Również możesz słuchaj bezpośrednio na Soundcloudzie.

DOUG.  A krytyczny błąd Samby, jeszcze inny kradzież kryptowalut, Wesołego dnia SysAdmin.

Wszystko to i wiele więcej w podkaście Naked Security.

[MOM MUZYCZNY]

Witam wszystkich w podkaście.

Jestem Doug Aamoth.

Ze mną, jak zawsze, jest Paul Ducklin… Paul, jak się masz dzisiaj?

---

KACZKA.  Świetnie, dziękuję, Douglas.

---

DOUG.  Lubimy zaczynać show od historii technologii.

A w tym tygodniu, Paul, cofamy się do 1858 roku!

W tym tygodniu 1858 roku ukończono pierwszy transatlantycki kabel telegraficzny.

Na czele jej stanął amerykański kupiec Cyrus Westfield, a kabel prowadził od Trinity Bay w Nowej Fundlandii do Walencji w Irlandii, mając około 2000 mil szerokości i ponad 2 mile głębokości.

To byłaby piąta próba i niestety kabel działał tylko przez około miesiąc.

Ale funkcjonował wystarczająco długo, by ówczesny prezydent James Buchanan i królowa Wiktoria wymienili się uprzejmościami.

---

KACZKA.  Tak, wierzę, że było, jak by to ująć… słabe. [ŚMIECH]

1858!

Co Bóg uczynił?, Doug! [SŁOWA WYSŁANE W PIERWSZEJ W KIERUNKU WIADOMOŚCI TELEGRAFICZNEJ]

---

DOUG.  [ŚMIECH] Mówiąc o rzeczach, które zostały stworzone, jest krytyczny błąd Samby który od tego czasu został załatany.

W żadnym wypadku nie jestem ekspertem, ale ten błąd pozwoliłby każdemu zostać administratorem domeny… to brzmi źle.

---

KACZKA.  Brzmi źle, Doug, głównie dlatego, że *jest* raczej źle!

---

DOUG.  Proszę bardzo!

---

KACZKA.  Samba… dla jasności, zanim zaczniemy, przejrzyjmy wersje, które chcesz.

Jeśli korzystasz z wersji 4.16, potrzebujesz wersji 4.16.4 lub nowszej; jeśli korzystasz z 4.15, potrzebujesz wersji 4.15.9 lub nowszej; a jeśli korzystasz z 4.14, potrzebujesz wersji 4.14.14 lub nowszej.

Te poprawki błędów w sumie załatały sześć różnych błędów, które zostały uznane za wystarczająco poważne, aby uzyskać numery CVE – oficjalne desygnatory.

Ten, który się wyróżniał, to CVE-2022-32744.

A tytuł błędu mówi wszystko: Użytkownicy Samba Active Directory mogą fałszować żądania zmiany hasła dla dowolnego użytkownika.

---

DOUG.  Tak, to źle brzmi.

---

KACZKA.  Tak więc, jak pełny raport o błędzie w biuletynie bezpieczeństwa, dziennik zmian mówi, w dość nietypowy sposób:

„Użytkownik mógł zmienić hasło do konta administratora i uzyskać całkowitą kontrolę nad domeną. Możliwa byłaby całkowita utrata poufności i integralności, a także dostępności poprzez odmowę użytkownikom dostępu do ich kont.”

A jak zapewne wiedzą nasi słuchacze, tak zwana „święta trójca” (cytaty lotnicze) bezpieczeństwa komputerowego to: dostępność, poufność i integralność.

Powinieneś mieć je wszystkie, a nie tylko jedną.

Więc, integralność oznacza, że ​​nikt inny nie może wejść i zadzierać z twoimi rzeczami bez twojej uwagi.

Dostępność mówi, że zawsze możesz dostać się do swoich rzeczy – nie mogą powstrzymać Cię przed zrobieniem tego, kiedy chcesz.

oraz poufność oznacza, że ​​nie mogą na nią patrzeć, chyba że mają na to pozwolenie.

Każdy z nich lub dowolne dwa z nich same w sobie nie są zbyt przydatne.

Więc to była naprawdę trifecta, Doug!

Irytujące jest to, że jest to właśnie część Samby, z której możesz korzystać nie tylko wtedy, gdy próbujesz podłączyć komputer uniksowy do domeny Windows, ale także jeśli próbujesz skonfigurować domenę Active Directory dla komputerów z systemem Windows kilka komputerów z systemem Linux lub Unix.

---

DOUG.  To zaznacza wszystkie pola w niewłaściwy sposób!

Ale jest łatka – i zawsze mówimy: „Zainstaluj wcześnie, często łataj”.

Czy istnieje jakieś obejście, którego ludzie mogą użyć, jeśli z jakiegoś powodu nie mogą od razu załatać, czy jest to rodzaj rzeczy typu „po prostu zrób to”?

---

KACZKA.  Rozumiem, że ten błąd dotyczy usługi uwierzytelniania hasła o nazwie kpasswd.

Zasadniczo ta usługa szuka żądania zmiany hasła i sprawdza, czy jest podpisana lub autoryzowana przez zaufaną stronę.

I niestety, po pewnej serii błędów, ta zaufana strona może obejmować Ciebie.

Więc to trochę jak Wydrukuj własny paszport błąd, jeśli chcesz.

Musisz wyrobić paszport… może to być prawdziwy paszport, który został wydany przez twój własny rząd, lub może to być taki, który rzuciłeś w domu na drukarkę atramentową i oba zdadzą egzamin. [ŚMIECH]

Sztuczka polega na tym, że jeśli faktycznie nie polegasz na tej usłudze uwierzytelniania hasła podczas korzystania z Samby, możesz temu zapobiec kpasswd usługa od uruchomienia.

Oczywiście, jeśli faktycznie polegasz na całym systemie Samby, aby zapewnić uwierzytelnianie Active Directory i zmiany hasła, obejście tego problemu zepsuje twój własny system.

Tak więc najlepszą obroną jest oczywiście łatka, która *usuwa* błąd, zamiast po prostu *unikać* go.

---

DOUG.  Bardzo dobrze.

Możesz czytaj więcej o że na stronie: nakedscurity.sophos.com.

I przechodzimy od razu do najwspanialszej pory roku!

Właśnie świętowaliśmy Dzień administratora systemu, Paul, a puenty tutaj nie będę telegrafował… ale miałeś nieźle napisać.

---

KACZKA.  Cóż, raz w roku nie jest zbyt wiele, aby prosić, abyśmy poszli do działu IT i uśmiechnęli się do wszystkich, którzy włożyli w tę całą tę całą pracę w tle…

… aby nasze komputery, serwery, usługi w chmurze, laptopy, telefony i przełączniki sieciowe [DOUG śmiech], nasze połączenia DSL i zestaw Wi-Fi były nadal dobry stan techniczny.

Do dyspozycji! Poufny! Pełen uczciwości przez cały rok!

Jeśli nie zrobiłeś tego w ostatni piątek lipca, czyli SDzień uznania ysAdmin, to dlaczego nie pójść i zrobić to dzisiaj?

A nawet jeśli to zrobiłeś, nic nie mówi, że nie możesz docenić swoich administratorów SysAdmin każdego dnia w roku.

Nie musisz tego robić tylko w lipcu, Doug.

---

DOUG.  Słuszna uwaga!

---

KACZKA.  Więc oto co robić, Doug.

Będę nazywał to „wierszem” lub „wierszem”… Technicznie myślę, że to doggerel [ŚMIECH], ale zamierzam udawać, że ma w sobie radość i ciepło sonetu Szekspira.

To *nie jest* sonet, ale musi wystarczyć.

---

DOUG.  Idealny.

---

KACZKA.  Proszę bardzo, Doug.

Jeśli w myszy nie ma baterii Lub lampka kamery internetowej nie świeci Jeśli nie możesz przypomnieć sobie hasła Lub po prostu nie wyświetla się Twój adres e-mail Jeśli zgubiłeś dysk USB Lub spotkanie się nie rozpocznie Jeśli nie możesz utwórz histogram Lub narysuj ładny okrągły wykres Jeśli przypadkowo naciśniesz przycisk [Usuń] Lub sformatujesz dysk Jeśli chciałeś wykonać kopię zapasową Ale zamiast tego po prostu podjąłeś ryzyko Jeśli wiesz, że winowajca jest oczywisty A wina zwraca się do Ciebie Nie porzuć nadzieję i bądź przygnębiony Została jeszcze jedna rzecz do zrobienia! Weź czekoladki, wino, cheerleaderkę, uśmiech I poważnie, kiedy mówisz: „Właśnie wpadłem, aby życzyć Wam wszystkim wspaniałego Dnia SysAdmina!”

---

DOUG.  [OKLAWAJĄC] Naprawdę dobrze! Jeden z twoich najlepszych!

---

KACZKA.  Tak wiele z tego, co robią SysAdmins, jest niewidoczne, a tak wiele z nich jest zaskakująco trudne do zrobienia dobrze i niezawodnie…

…i obejść się bez naprawiania jednej rzeczy i łamania drugiej.

Ten uśmiech to najmniej, na co zasługują, Doug.

---

DOUG.  Najmniej!

---

KACZKA.  Tak więc, do wszystkich administratorów SysAdmin na całym świecie, mam nadzieję, że podobał wam się ostatni piątek.

A jeśli nie masz wystarczająco dużo uśmiechów, weź jeden teraz.

---

DOUG.  Szczęśliwego dnia SysAdmin, wszyscy i przeczytaj ten wiersz, co jest świetne… jest na stronie.

W porządku, przejdźmy do czegoś nie tak wspaniałego: a błąd niewłaściwego zarządzania pamięcią w GnuTLS.

---

KACZKA.  Tak, pomyślałem, że warto o tym napisać na Naked Security, ponieważ kiedy ludzie myślą o kryptografii typu open source, mają tendencję do myślenia o OpenSSL.

Ponieważ (A) to ten, o którym wszyscy słyszeli, i (B) to ten, który w ostatnich latach miał prawdopodobnie największy rozgłos w związku z błędami, z powodu heartbleed.

Nawet jeśli nie byłeś tam w tym czasie (to było osiem lat temu), prawdopodobnie słyszałeś o Heartbleed, który był rodzajem błędu wycieku danych i wycieku pamięci w OpenSSL.

To było w kodzie od wieków i nikt tego nie zauważył.

I wtedy ktoś to zauważył i nadał mu wymyślną nazwę i dali mu logo, a błędowi stronę internetową i zrobili z tego masywny PR.

---

DOUG.  [ŚMIECH] W ten sposób wiesz, że to prawda…

---

KACZKA.  OK, robili to, bo chcieli zwrócić uwagę na to, że to odkryli i byli z tego bardzo dumni.

Drugą stroną było to, że ludzie wyszli i naprawili ten błąd, którego inaczej mogliby nie zrobić… ponieważ, cóż, to tylko błąd.

Nie wydaje się to strasznie dramatyczne – to nie jest zdalne wykonanie kodu. więc nie mogą po prostu wlecieć i natychmiast przejąć wszystkich moich stron internetowych itp. itd.

Ale to sprawiło, że OpenSSL stało się popularną nazwą, niekoniecznie z wszystkich właściwych powodów.

Istnieje jednak wiele bibliotek kryptograficznych typu open source, nie tylko OpenSSL, a co najmniej dwie z nich są zaskakująco szeroko stosowane, nawet jeśli nigdy o nich nie słyszałeś.

Jest NSS, skrót od Usługa bezpieczeństwa sieci, która jest własną biblioteką kryptograficzną Mozilli.

Możesz go pobrać i używać niezależnie od konkretnych projektów Mozilli, ale znajdziesz go zwłaszcza w Firefoksie i Thunderbird, które tam szyfrują – nie używają OpenSSL.

I jest gnuTLS, która jest biblioteką o otwartym kodzie źródłowym w ramach projektu GNU, która zasadniczo, jeśli chcesz, jest konkurentem lub alternatywą dla OpenSSL i jest używana (nawet jeśli nie zdajesz sobie z tego sprawy) przez zaskakującą liczbę open- źródło projektów i produktów…

…w tym kodem, niezależnie od platformy, na której się znajdujesz, którą prawdopodobnie masz w swoim systemie.

Obejmuje to wszystko, co ma związek, powiedzmy: FFmpeg; Menkoder; GnuPGP (narzędzie do zarządzania kluczami GNU); QEMU, komputer stacjonarny; Samba, o której właśnie mówiliśmy w poprzednim błędzie; Wget, którego wiele osób używa do pobierania z sieci; Narzędzia do wykrywania sieci Wireshark; Zlib.

Istnieje mnóstwo narzędzi, które wymagają biblioteki kryptograficznej i zdecydowali się użyć GnuTLS *zamiast* OpenSSL, a może nawet *oraz*, w zależności od problemów z łańcuchem dostaw, które podpakiety pobrali w.

Możesz mieć projekt, w którym niektóre jego części używają GnuTLS do swojej kryptografii, a niektóre jego części używają OpenSSL i trudno jest wybrać jedną z drugiej.

Więc skończysz, na dobre lub na złe, z nimi obydwoma.

Niestety, GnuTLS (wymagana wersja to 3.7.7 lub nowsza) zawierał rodzaj błędu, który jest znany jako podwójnie wolny… uwierz lub nie w samej części kodu, która przeprowadza walidację certyfikatu TLS.

Tak więc, w rodzaju ironii, którą widzieliśmy wcześniej w bibliotekach kryptograficznych, kod, który używa TLS do zaszyfrowanych transmisji, ale nie zawraca sobie głowy weryfikacją drugiego końca… kod, który brzmi: „Weryfikacja certyfikatu, kto tego potrzebuje?”

Jest to ogólnie uważane za bardzo zły pomysł, raczej nędzny z punktu widzenia bezpieczeństwa… ale żaden kod, który to robi, nie będzie podatny na ten błąd, ponieważ nie wywołuje kodu z błędami.

Niestety, kod, który próbuje zrobić *właściwą* rzecz, może zostać oszukany przez fałszywy certyfikat.

I po prostu wyjaśnij, a podwójnie wolny to rodzaj błędu, w którym pytasz system operacyjny lub system: „Hej, daj mi trochę pamięci. Chwilowo potrzebuję trochę pamięci. W tym przypadku mam wszystkie dane certyfikatu, chcę je tymczasowo przechowywać, sprawdzać, a kiedy skończę, oddam pamięć, aby mogła być używana przez inną część programu. ”

Jeśli jesteś programistą C, będziesz zaznajomiony z funkcjami malloc(), skrót od „memory allocate” i free(), czyli „zwróć”.

I wiemy, że istnieje rodzaj błędu o nazwie używać po wolnym, czyli miejsce, w którym oddajesz dane, ale mimo to kontynuujesz korzystanie z tego bloku pamięci, zapominając, że go zrezygnowałeś.

Ale podwójne uwolnienie jest trochę inne – to miejsce, w którym oddajesz pamięć z powrotem i sumiennie unikasz jej ponownego użycia, ale potem na późniejszym etapie mówisz: „Poczekaj, jestem pewien, że tego nie oddałem pamięć jeszcze wróciła. Lepiej oddam go na wszelki wypadek.

Więc mówisz systemowi operacyjnemu: „OK, zwolnij tę pamięć ponownie”.

Wygląda więc na to, że jest to uzasadniona prośba o uwolnienie danych *na których może polegać inna część programu*.

I jak możesz sobie wyobrazić, mogą się zdarzyć złe rzeczy, ponieważ oznacza to, że możesz otrzymać dwie części programu, które nieświadomie polegają na tym samym kawałku pamięci w tym samym czasie.

Dobrą wiadomością jest to, że nie wierzę, że dla tego błędu znaleziono działający exploit, dlatego jeśli załatasz, wyprzedzisz oszustów, zamiast po prostu ich dogonić.

Ale oczywiście zła wiadomość jest taka, że ​​kiedy pojawiają się takie poprawki błędów, zwykle mnóstwo ludzi patrzy na nie, próbując przeanalizować, co poszło nie tak, w nadziei, że szybko zrozumieją, co mogą zrobić, aby wykorzystać błąd przeciwko wszystkim ludziom, którzy nie łapią łatki.

Innymi słowy: nie zwlekaj. Zrób to dzisiaj.

---

DOUG.  W porządku, najnowsza wersja GnuTLS to 3.7.7… proszę zaktualizować.

Możesz przeczytaj więcej na ten temat na miejscu.

---

KACZKA.  Aha, i Doug, najwyraźniej błąd został wprowadzony w GnuTLS 3.6.0.

---

DOUG.  OK.

---

KACZKA.  Więc teoretycznie, jeśli masz wcześniejszą wersję niż ta, nie jesteś podatny na ten błąd…

…ale proszę, nie używaj tego jako wymówki, aby powiedzieć: „Nie muszę jeszcze aktualizować”.

Równie dobrze możesz przeskoczyć wszystkie inne aktualizacje, które wyszły, dotyczące wszystkich innych problemów związanych z bezpieczeństwem, między 3.6.0 a 3.7.6.

Więc fakt, że nie zaliczasz się do kategorii tego błędu – nie używaj tego jako wymówki, że nic nie robisz.

Użyj go jako bodźca do przejścia do teraźniejszości… to moja rada.

---

DOUG.  OK!

I nasza ostatnia historia tygodnia: mówimy o kolejnym napadzie na kryptowaluty.

Tym razem, tylko 200 milionów dolarówjednak Paweł.

To jest gruba zmiana w porównaniu z niektórymi innymi, o których mówiliśmy.

---

KACZKA.  Prawie nie chcę tego mówić, Doug, ale jednym z powodów, dla których to napisałem, jest to, że spojrzałem na to i pomyślałem: „Och, tylko 200 milionów? To dość małe… CO JA MYŚLĘ!?” [ŚMIECH]

200 milionów dolarów, w zasadzie… cóż, nie „w toalecie”, raczej „ze skarbca banku”.

Ta usługa Nomad pochodzi od firmy o nazwie Illusory Systems Incorporated.

I myślę, że zgodzisz się, że z pewnością z punktu widzenia bezpieczeństwa słowo „iluzoryczny” jest być może właściwą metaforą.

Jest to usługa, która zasadniczo pozwala robić to, co w żargonie znanym jako mostkowanie.

Zasadniczo aktywnie handlujesz jedną kryptowalutą na drugą.

Więc wkładasz trochę własnej kryptowaluty do jakiegoś gigantycznego wiadra wraz z mnóstwem innych ludzi… a potem możemy zrobić wszystkie te fantazyjne, „zdecentralizowane finanse” zautomatyzowane inteligentne kontrakty.

Możemy wymienić Bitcoin na Ether lub Ether na Monero lub cokolwiek innego.

Niestety, podczas ostatniej aktualizacji kodu wydaje się, że wpadli w taką samą dziurę, jak być może ludzie z Samby z błędem, o którym mówiliśmy w Sambie.

Jest w zasadzie Wydrukuj własny paszportLub Autoryzuj własną transakcję błąd, który wprowadzili.

Jest punkt w kodzie, w którym skrót kryptograficzny, 256-bitowy skrót kryptograficzny, powinien zostać zweryfikowany… coś, czego nikt poza autoryzowanym zatwierdzającym nie mógłby wymyślić.

Z wyjątkiem tego, że gdybyś akurat użył wartości zero, wtedy przeszedłbyś mobilizację.

Możesz w zasadzie wziąć istniejącą transakcję innej osoby, przepisać imię odbiorcy na swoje („Hej, zapłać *mój* portfel kryptowaluty”) i po prostu odtworzyć transakcję.

A system odpowie „OK”.

Musisz tylko uzyskać dane w odpowiednim formacie, to jest moje zrozumienie.

A najłatwiejszym sposobem na utworzenie transakcji, która przeszłaby procedurę weryfikacyjną, jest po prostu wzięcie czyjejś wcześniej zrealizowanej, istniejącej transakcji, powtórzenie jej, ale wykreślenie jej nazwiska lub numeru konta i wpisanie własnego.

Tak więc, jako analityk kryptowalut @samczsun powiedział na Twitterze, „Atakujący wykorzystali to, aby skopiować i wkleić transakcje i szybko opróżnili most w szaleńczym trybie „free-for-all”.

Innymi słowy, ludzie po prostu oszaleli, wyciągając pieniądze z bankomatu, który zaakceptuje czyjeś kartę bankową, pod warunkiem, że wprowadzisz zerowy kod PIN.

I nie tylko, dopóki bankomat nie został opróżniony… Bankomat był w zasadzie podłączony bezpośrednio do boku skarbca bankowego, a pieniądze po prostu wylewały się.

---

DOUG.  Ooooo!

---

KACZKA.  Jak mówisz, najwyraźniej w krótkim czasie stracili gdzieś nawet 200 milionów dolarów.

O jej.

---

DOUG.  Cóż, mamy kilka rad i to całkiem proste…

---

KACZKA.  Jedyną radą, jakiej naprawdę możesz udzielić, jest: „Nie spiesz się zbytnio, aby dołączyć do tej zdecentralizowanej rewolucji finansowej”.

Jak być może powiedzieliśmy wcześniej, upewnij się, że jeśli * wejdziesz * w ten „handel online; pożycz nam kryptowalutę, a my zapłacimy Ci odsetki; włóż swoje rzeczy do gorącego portfela, abyś mógł działać w ciągu kilku sekund; dostać się na całą scenę inteligentnych kontraktów; kup moje niewymienialne tokeny [NFT]” – wszystko to…

…jeśli zdecydujesz, że rynek *jest* dla Ciebie, upewnij się, że wchodzisz z szeroko otwartymi oczami, a nie z szeroko zamkniętymi oczami!

A prosty powód jest taki, że w takich przypadkach nie jest tak, że oszuści mogą opróżnić *niektóre* bankomaty banku.

W tym przypadku, po pierwsze, wygląda na to, że wyczerpali prawie wszystko, a po drugie, w przeciwieństwie do konwencjonalnych banków, po prostu nie ma ochrony regulacyjnej, z której moglibyśmy się cieszyć, gdyby prawdziwy bank zbankrutował.

W przypadku zdecentralizowanych finansów, cały pomysł na to, że jest zdecentralizowany, jest nowy i fajny, i coś, do czego chcesz się spieszyć…

…jest to, że *nie* ma tych irytujących zabezpieczeń regulacyjnych.

Mógłbyś i prawdopodobnie mógłbyś – ponieważ rozmawialiśmy o tym częściej niż mi się to podobało, naprawdę – możesz stracić *wszystko*.

A drugą stroną tego jest to, że jeśli straciłeś rzeczy w jakiejś zdecentralizowanej finansach lub implozji „Nowej super-handlowej witryny sieci Web 3.0”, uważaj na ludzi mówiących: „Hej, nie martw się. Pomimo braku regulacji istnieją wyspecjalizowane firmy, które mogą odzyskać Twoje pieniądze. Wystarczy, że skontaktujesz się z firmą X, osobą fizyczną Y lub kontem społecznościowym Z”.

Ponieważ za każdym razem, gdy dochodzi do tego rodzaju katastrofy, wtórni oszuści przychodzą dość szybko, proponując „znaleźć sposób” na odzyskanie pieniędzy.

Wokół kręci się wielu oszustów, więc bądź bardzo ostrożny.

Jeśli straciłeś pieniądze, nie wychodź z siebie, aby rzucać dobre pieniądze za złem (lub złe pieniądze za dobrem, cokolwiek by to obejść).

---

DOUG.  OK, możesz przeczytać więcej na ten temat: Cryptocoin „token swapper” Nomad traci 200 milionów dolarów na błędnym kodowaniu.

A jeśli usłyszymy od jednego z naszych czytelników o tej historii, anonimowy komentator pisze, a ja się zgadzam… Nie rozumiem, jak to działa:

„Niesamowite jest to, że internetowy startup miał tak wiele do stracenia. Możesz sobie wyobrazić 200,000 200 dolarów. Ale XNUMX milionów dolarów wydaje się niewiarygodne”.

I myślę, że w pewnym sensie odpowiedzieliśmy na to pytanie, ale skąd pochodzą te wszystkie pieniądze, aby zdobyć 200 milionów dolarów?

---

KACZKA.  Nie mogę na to odpowiedzieć, Doug.

---

DOUG.  Nie.

---

KACZKA.  Czy świat jest bardziej łatwowierny niż kiedyś?

Czy jest tak, że w społeczności kryptowalut krąży strasznie dużo nieuczciwie zdobytych zysków?

Są więc ludzie, którzy tak naprawdę nie włożyli w to własnych pieniędzy, ale skończyli z całą masą kryptowalut w nieuczciwy sposób, a nie uczciwie. (Wiemy, że płatności ransomware są zazwyczaj kryptowalutami, prawda?)

Więc to jest jak śmieszne pieniądze… osoba, która traci „pieniądze”, może nie wpłaciła gotówki z góry?

Czy to tylko prawie religijna gorliwość ze strony ludzi mówiących: „Nie, nie, *to jest sposób na zrobienie tego. Musimy przełamać dławiący sposób, w jaki robią różne rzeczy staroświeckie, głupkowate, wysoce regulowane organizacje finansowe. Musimy uwolnić się od Człowieka”?

Nie wiem, może 200 milionów po prostu nie jest już dużo pieniędzy, Doug?

---

DOUG.  [ŚMIECH] Cóż, oczywiście!

---

KACZKA.  Podejrzewam, że po prostu wchodzą ludzie z szeroko zamkniętymi oczami.

Mówią: „Jestem gotowy podjąć to ryzyko, ponieważ to jest po prostu fajne”.

Problem polega na tym, że jeśli masz stracić 200 lub 2000 dolarów, a możesz sobie na to pozwolić, to jedna rzecz.

Ale jeśli poszedłeś za 2000 dolarów i myślisz: „Wiesz co. Może powinienem wejść po 20,000 200,000 dolarów? A potem myślisz: „Wiesz co. Może powinienem wejść za XNUMX XNUMX dolarów? Może powinienem wejść na całość?

W takim razie myślę, że naprawdę musisz być bardzo ostrożny!

Właśnie z tego powodu, że ochrona regulacyjna, którą możesz czuć, że masz, tak jak masz, gdy coś złego dzieje się na twojej karcie kredytowej, a ty po prostu dzwonisz i kwestionujesz to, a oni odchodzą. „OK” i skreślają 52.23 USD z rachunku…

…to się nie stanie w tym przypadku.

I raczej nie będzie to 52 USD, prawdopodobnie będzie to znacznie więcej.

Więc uważajcie, ludzie!

---

DOUG.  Uważaj, rzeczywiście.

W porządku, dziękuję za komentarz.

A jeśli masz ciekawą historię, komentarz lub pytanie, które chciałbyś przesłać, chętnie przeczytamy o tym w podkaście.

Możesz wysłać e-mailem tips@sophos.com; możesz skomentować dowolny z naszych artykułów; możesz do nas trafić na portalach społecznościowych: @NakedSecurity.

To nasz występ na dzisiaj – bardzo dziękuję za wysłuchanie.

Dla Paula Ducklina, nazywam się Doug Aamoth, przypominam, do następnego razu…

---

OBIE.  Bądź bezpieczny!

[MOM MUZYCZNY]