การละเมิด แพตช์ การรั่วไหล และการปรับแต่ง
ตอนล่าสุด - ฟังเลย
คลิกแล้วลากบนคลื่นเสียงด้านล่างเพื่อข้ามไปยังจุดใดก็ได้ นอกจากนี้คุณยังสามารถ ฟังโดยตรง บนซาวด์คลาวด์
กับดั๊ก อามอธและพอล ดั๊กลิน
เพลงอินโทรและเอาท์โดย อีดิธ มัดจ์.
สามารถรับฟังเราได้ที่ Soundcloud, Apple Podcasts, Google Podcast, Spotify, Stitcher และทุกที่ที่มีพอดแคสต์ดีๆ หรือเพียงแค่วาง URL ของฟีด RSS ของเรา ลงในพอดแคตเตอร์ที่คุณชื่นชอบ
อ่านข้อความถอดเสียง
ดั๊ก. การละเมิด การละเมิด แพทช์ และการพิมพ์
ทั้งหมดนั้นและอีกมากมายในพอดแคสต์ Naked Security
[โมเด็มดนตรี]
ยินดีต้อนรับสู่พอดคาสต์ทุกคน
ฉันคือดั๊ก อาโมท; เขาคือดัล พุกลิน...
…ฉันขอโทษ พอล!
เป็ด. ฉันคิดว่าฉันทำสำเร็จแล้ว ดั๊ก
“Typios” คือการพิมพ์ผิดทางเสียง
ดั๊ก. แน่นอน!
เป็ด. ใช่… ทำได้ดีมาก ผู้ชายคนนั้น!
ดั๊ก. ดังนั้นการพิมพ์ผิดเกี่ยวข้องกับความปลอดภัยทางไซเบอร์อย่างไร
เราจะเข้าไปที่…
แต่ก่อนอื่น – เราต้องการเริ่มต้นด้วยของเรา สัปดาห์นี้ในประวัติศาสตร์เทคโนโลยี ส่วน
สัปดาห์นี้ 23 มกราคม 1996 Java Development Kit เวอร์ชัน 1.0 กล่าวว่า "Hello, world.
"
ด้วยมนต์ที่ว่า “เขียนครั้งเดียว รันได้ทุกที่” และการเปิดตัวในขณะที่ความนิยมของเว็บกำลังพุ่งสูงขึ้นอย่างรวดเร็ว ทำให้มันเป็นแพลตฟอร์มที่ยอดเยี่ยมสำหรับแอพบนเว็บ
ก้าวไปข้างหน้าอย่างรวดเร็วสู่วันนี้ และเราอยู่ที่เวอร์ชัน 19 พอล
เป็ด. เราคือ!
จาวา เอ๊ะ?
หรือ “โอ๊ค”.
ฉันเชื่อว่านั่นเป็นชื่อดั้งเดิม เพราะผู้ที่คิดค้นภาษานี้มีต้นโอ๊กงอกอยู่นอกสำนักงานของเขา
ขอให้เราใช้โอกาสนี้ Doug เพื่อเคลียร์ให้จบสิ้น ความสับสน ที่หลายคนมีระหว่าง Java และ JavaScript
ดั๊ก. อู้หู้…
เป็ด. หลายคนคิดว่าพวกเขาเกี่ยวข้องกัน
พวกเขาไม่เกี่ยวข้องกัน ดั๊ก
พวกมัน *เหมือนกันทุกประการ* – อันหนึ่งสั้นลง… ไม่ ฉันล้อเล่นคุณจริงๆ!
ดั๊ก. ฉันก็แบบว่า "นี่จะไปไหน" [หัวเราะ]
เป็ด. โดยพื้นฐานแล้ว JavaScript มีชื่อนั้นเพราะคำว่า Java นั้นยอดเยี่ยม…
…และโปรแกรมเมอร์ทำงานโดยใช้กาแฟ ไม่ว่าพวกเขาจะเขียนโปรแกรมด้วย Java หรือ JavaScript
ดั๊ก. ดีมาก
ขอบคุณสำหรับการเคลียร์เรื่องนั้น
และในเรื่องของความชัดเจน GoTo บริษัทที่อยู่เบื้องหลังผลิตภัณฑ์เช่น GoToMyPC, GoToWebinar, LogMeIn และ (ไอ, ไอ) อื่น ๆ ที่ระบุว่า พวกเขา "ตรวจพบกิจกรรมที่ผิดปกติภายในสภาพแวดล้อมการพัฒนาของเราและบริการพื้นที่เก็บข้อมูลบนคลาวด์ของบุคคลที่สาม"
พอล เรารู้อะไรไหม?
GoTo ยอมรับว่า: ข้อมูลสำรองบนคลาวด์ของลูกค้าถูกขโมยพร้อมกับคีย์ถอดรหัส
เป็ด. นั่นคือย้อนกลับไปในวันสุดท้ายของเดือนพฤศจิกายน 2022
และแน่นอนว่า (กระแอม ไอ) ที่คุณพูดถึงก่อนหน้านี้คือบริษัทในเครือ/บริษัทลูกของ GoTo หรือบริษัทที่เป็นส่วนหนึ่งของกลุ่ม LastPass
แน่นอนว่าเรื่องใหญ่ในช่วงคริสต์มาสคือ การละเมิด LastPass.
ตอนนี้ช่องโหว่นี้ดูเหมือนจะเป็นคนละอันกับที่ Goto ออกมาพูดตอนนี้
พวกเขายอมรับว่าบริการคลาวด์ที่ถูกละเมิดในท้ายที่สุดนั้นเป็นบริการเดียวกับที่แชร์กับ LastPass
แต่สิ่งที่ถูกละเมิด อย่างน้อยจากวิธีที่พวกเขาเขียนไว้ ดูเหมือนว่าจะถูกละเมิดแตกต่างกัน
และจนถึงสัปดาห์นี้ – เกือบสองเดือนต่อมา – GoTo กลับมาพร้อมกับการประเมินสิ่งที่พวกเขาพบ
และข่าวนี้ไม่ดีเลย ดั๊ก
เนื่องจากผลิตภัณฑ์มากมาย… ฉันจะอ่านออก: Central, Pro, join.me, Hamachi และ RemotelyAnywhere
สำหรับผลิตภัณฑ์ทั้งหมดนั้น ข้อมูลสำรองที่เข้ารหัสของข้อมูลลูกค้า รวมถึงข้อมูลบัญชี ถูกขโมยไป
และน่าเสียดายที่คีย์ถอดรหัสสำหรับข้อมูลสำรองอย่างน้อยบางส่วนถูกขโมยไปด้วย
นั่นหมายความว่าโดยพื้นฐานแล้วพวกมันจะถูก *ไม่* เข้ารหัสเมื่ออยู่ในมือของอาชญากร
และยังมีอีกสองผลิตภัณฑ์ ได้แก่ Rescue และ GoToMyPC ซึ่งสิ่งที่เรียกว่า “การตั้งค่า MFA” ถูกขโมยไป แต่ไม่ได้รับการเข้ารหัสแม้แต่น้อย
ดังนั้น ในทั้งสองกรณี เห็นได้ชัดว่า รหัสผ่านที่แฮชและใส่เกลือหายไป และเรามีการตั้งค่า "MFA (การรับรองความถูกต้องหลายปัจจัย)" ที่ลึกลับเหล่านี้
เนื่องจากดูเหมือนว่าจะเป็นข้อมูลที่เกี่ยวข้องกับบัญชี จึงไม่ชัดเจนว่า "การตั้งค่า MFA" เหล่านั้นคืออะไร และน่าเสียดายที่ GoTo ไม่ชัดเจนมากกว่านี้
และคำถามที่ร้อนแรงของฉันคือ…
..การตั้งค่าเหล่านั้นรวมถึงหมายเลขโทรศัพท์ที่อาจส่งรหัส SMS 2FA ไปไหม
จุดเริ่มต้นสำหรับรหัส 2FA ที่ใช้แอพ?
และ/หรือรหัสสำรองที่บริการต่างๆ ให้คุณสร้างได้ไม่กี่รหัส ในกรณีที่คุณทำโทรศัพท์หรือของคุณหาย ซิมถูกเปลี่ยน?
ผู้เปลี่ยนซิมถูกส่งเข้าคุกข้อหาปล้นเงินดิจิทัล 2FA มูลค่ากว่า 20 ล้านดอลลาร์
ดั๊ก. ใช่แล้ว – จุดที่ดี!
เป็ด. หรือโปรแกรมยืนยันตัวตนของคุณล้มเหลว
ดั๊ก. ใช่.
เป็ด. ดังนั้นหากพวกเขาเป็นคนเหล่านี้ นั่นอาจเป็นปัญหาใหญ่
หวังว่านั่นไม่ใช่ "การตั้งค่า MFA" ...
…แต่การละเว้นรายละเอียดหมายความว่ามันอาจจะคุ้มค่าที่จะสันนิษฐานว่าพวกเขาเป็นหรืออาจเคยอยู่ในข้อมูลที่ถูกขโมย
ดั๊ก. และเมื่อพูดถึงการละเว้นที่อาจเกิดขึ้น เราก็มีสิ่งที่จำเป็นคือ “รหัสผ่านของคุณรั่วไหล แต่อย่ากังวล พวกเขาถูกใส่เกลือและบดแล้ว”
แต่ไม่ใช่ทั้งหมด เค็ม-และ-hashing-และ-ยืด เหมือนกันใช่ไหม
การรักษาความปลอดภัยที่จริงจัง: วิธีจัดเก็บรหัสผ่านของผู้ใช้อย่างปลอดภัย
เป็ด. พวกเขาไม่ได้พูดถึงส่วนที่ยืดออก!
นั่นคือที่ที่คุณไม่ต้องแฮชรหัสผ่านเพียงครั้งเดียว
คุณแฮชมัน ฉันไม่รู้… 100,100 ครั้ง หรือ 5000 ครั้ง หรือ 50 ครั้ง หรือล้านครั้ง เพียงเพื่อให้มันยากขึ้นสำหรับพวกมิจฉาชีพ
และอย่างที่คุณพูด… ใช่ การใส่เกลือและการแฮชไม่ได้เท่ากันทั้งหมด
ฉันคิดว่าคุณพูดค่อนข้างเร็วในพอดคาสต์เกี่ยวกับการละเมิดที่มีการขโมยรหัสผ่านที่เค็มและถูกแฮช และฉันคิดว่าเกลือนั้นเป็นรหัสสองหลัก "00" ถึง "99"!
ดังนั้นคุณต้องการโต๊ะสายรุ้ง 100 แบบ...
…คำถามใหญ่ แต่ก็ทำได้
และที่แฮชคือ *หนึ่งรอบ* ของ MD5 ซึ่งคุณสามารถทำได้ที่พันล้านแฮชต่อวินาที แม้บนอุปกรณ์ขนาดเล็ก
ดังนั้น นอกจากนี้ หากคุณโชคร้ายพอที่จะประสบกับการละเมิดในลักษณะนี้ด้วยตัวเอง โดยที่คุณทำรหัสผ่านที่แฮชไว้ของลูกค้าหาย ฉันขอแนะนำให้คุณพยายามอย่างเต็มที่เพื่อทำความเข้าใจเกี่ยวกับการตั้งค่าอัลกอริทึมและพารามิเตอร์ของคุณ กำลังใช้.
เพราะมันให้ความสะดวกสบายเล็กน้อยแก่ผู้ใช้ของคุณเกี่ยวกับระยะเวลาที่มิจฉาชีพอาจใช้เวลาในการแคร็ก และด้วยเหตุนี้คุณจึงต้องเปลี่ยนรหัสผ่านทั้งหมดของคุณอย่างบ้าคลั่ง!
ดั๊ก. Alright
แน่นอนว่าเรามีคำแนะนำบางอย่าง เริ่มต้นด้วย: เปลี่ยนรหัสผ่านทั้งหมดที่เกี่ยวข้องกับบริการที่เราพูดถึงก่อนหน้านี้
เป็ด. ใช่ นั่นคือสิ่งที่คุณควรทำ
เป็นสิ่งที่โดยปกติแล้วเราจะแนะนำเมื่อรหัสผ่านที่แฮชถูกขโมย แม้ว่ารหัสผ่านนั้นจะถูกแฮชอย่างเข้มงวดมากก็ตาม
ดั๊ก. ตกลง
และเราได้: รีเซ็ตลำดับรหัส 2FA ตามแอปที่คุณใช้ในบัญชีของคุณ
เป็ด. ใช่ ฉันคิดว่าคุณก็น่าจะทำแบบนั้นได้เช่นกัน
ดั๊ก. ตกลง
และเราได้: สร้างรหัสสำรองใหม่
เป็ด. เมื่อคุณทำเช่นนั้นกับบริการส่วนใหญ่ หากรหัสสำรองเป็นฟีเจอร์หนึ่ง รหัสสำรองจะถูกโยนทิ้งโดยอัตโนมัติ และรหัสสำรองใหม่จะแทนที่รหัสทั้งหมด
ดั๊ก. และสุดท้าย แต่ไม่ท้ายสุด: ลองเปลี่ยนไปใช้รหัส 2FA ตามแอปหากทำได้
เป็ด. รหัส SMS มีข้อได้เปรียบที่ไม่มีความลับร่วมกัน ไม่มีเมล็ดพันธุ์
เป็นเพียงตัวเลขสุ่มอย่างแท้จริงที่ปลายอีกด้านหนึ่งสร้างขึ้นในแต่ละครั้ง
นั่นเป็นสิ่งที่ดีเกี่ยวกับสิ่งที่ใช้ SMS
อย่างที่เราบอก สิ่งที่ไม่ดีคือการสลับซิม
และถ้าคุณต้องการเปลี่ยนลำดับรหัสตามแอปของคุณหรือตำแหน่งที่รหัส SMS ของคุณไป...
…การเริ่มต้นลำดับแอป 2FA ใหม่ง่ายกว่าการเปลี่ยนหมายเลขโทรศัพท์มือถือของคุณมาก! [หัวเราะ]
ดั๊ก. ตกลง
และอย่างที่ฉันพูดซ้ำแล้วซ้ำเล่า (ฉันอาจไปสักที่หน้าอกที่ไหนสักแห่ง) เราจะจับตาดูสิ่งนี้
แต่สำหรับตอนนี้ เรามี T-Mobile API ที่รั่ว ซึ่งรับผิดชอบในการขโมย...
(ให้ฉันตรวจสอบบันทึกของฉันที่นี่: [เสียงดังปิดไมค์] สามสิบเจ็ดล้าน!?!??!)
...37 ล้าน บันทึกของลูกค้า:
T-Mobile ยอมรับบันทึกลูกค้า 37,000,000 รายถูกขโมยโดย "นักแสดงที่ไม่ดี"
เป็ด. ใช่.
มันน่ารำคาญนิดหน่อยใช่มั้ย? [หัวเราะ]
เนื่องจาก 37 ล้านคนเป็นจำนวนที่มากอย่างไม่น่าเชื่อ… และที่น่าขันก็คือหลังจากปี 2022 ซึ่งเป็นปีที่ T-Mobile จ่ายเงินออกไป $ 500 ล้าน เพื่อแก้ไขปัญหาเกี่ยวกับการละเมิดข้อมูลที่ T-Mobile ได้รับในปี 2021
ตอนนี้ ข่าวดี หากคุณสามารถเรียกได้ก็คือ ครั้งล่าสุด ข้อมูลที่ถูกละเมิดรวมถึงข้อมูลต่างๆ เช่น หมายเลขประกันสังคม [SSNs] และรายละเอียดใบขับขี่
นั่นคือสิ่งที่คุณอาจเรียกว่าสิ่งที่ขโมยข้อมูลประจำตัว "คุณภาพสูง"
ครั้งนี้ การละเมิดครั้งใหญ่ แต่ฉันเข้าใจว่ามันเป็นรายละเอียดการติดต่อทางอิเล็กทรอนิกส์พื้นฐาน ซึ่งรวมถึงหมายเลขโทรศัพท์ของคุณ พร้อมด้วยวันเดือนปีเกิด
นั่นเป็นวิธีที่ช่วยอาชญากรในการโจรกรรมข้อมูลประจำตัว แต่ไม่มีที่ไหนเลยที่ใกล้เคียงกับ SSN หรือภาพสแกนใบขับขี่ของคุณ
ดั๊ก. ตกลง เรามีเคล็ดลับหากคุณได้รับผลกระทบจากสิ่งนี้ โดยเริ่มจาก: อย่าคลิกลิงก์ "มีประโยชน์" ในอีเมลหรือข้อความอื่นๆ
ฉันต้องสันนิษฐานว่าอีเมลขยะและฟิชชิ่งจำนวนมากจะถูกสร้างขึ้นจากเหตุการณ์นี้
เป็ด. หากคุณหลีกเลี่ยงลิงก์อย่างที่เราพูดเสมอ และคุณพบวิธีของคุณเอง ไม่ว่าจะเป็นอีเมลจริงหรือไม่ ด้วยลิงก์จริงหรือลิงก์ปลอม...
…ถ้าคุณไม่คลิกลิงก์ที่ดี คุณก็จะไม่คลิกลิงก์ที่ไม่ดีด้วย!
ดั๊ก. และนั่นก็เข้ากันได้ดีกับเคล็ดลับที่สองของเรา: คิดก่อนคลิก
และแน่นอนว่าเคล็ดลับสุดท้ายของเรา: รายงานอีเมลที่น่าสงสัยเหล่านั้นไปยังทีมไอทีที่ทำงานของคุณ
เป็ด. เมื่อมิจฉาชีพเริ่มโจมตีด้วยฟิชชิ่ง โดยทั่วไปแล้วมิจฉาชีพจะไม่ส่งมันไปยังบุคคลใดบุคคลหนึ่งภายในบริษัท
ดังนั้น หากบุคคลแรกที่พบเห็นฟิชชิ่งในบริษัทของคุณบังเอิญส่งสัญญาณเตือน อย่างน้อยที่สุดคุณก็มีโอกาสเตือนอีก 49 คน!
ดั๊ก. ยอดเยี่ยม
สำหรับผู้ใช้ iOS 12 ของคุณ… หากคุณรู้สึกว่าถูกทิ้งจากแพตช์ Zero-day ล่าสุดทั้งหมด เรามีเรื่องราว สำหรับคุณวันนี้!
แพตช์ของ Apple ออกแล้ว – iPhone รุ่นเก่าจะได้รับการแก้ไข Zero-day แบบเก่าในที่สุด!
เป็ด. เรามี ดั๊ก!
ฉันค่อนข้างมีความสุข เพราะทุกคนรู้ว่าฉันรักโทรศัพท์ iOS 12 เครื่องเก่าของฉัน
เราผ่านช่วงเวลาที่ยอดเยี่ยม ขี่จักรยานที่ยาวนานและเจ๋งสุดๆ ด้วยกันจนกระทั่ง... [หัวเราะ]
…เวรกรรมที่ฉันได้รับบาดเจ็บดีพอที่จะฟื้นตัว และโทรศัพท์ก็ได้รับบาดเจ็บดีพอที่คุณแทบจะไม่สามารถมองผ่านรอยแตกของหน้าจอได้อีกต่อไป แต่มันยังใช้งานได้!
ฉันรักมันเมื่อได้รับการอัพเดท!
ดั๊ก. ฉันคิดว่านี่คือตอนที่ฉันเรียนรู้คำศัพท์ ปรางค์.
เป็ด. [หยุดชั่วคราว] อะไรนะ!
ที่ ไม่ใช่คำ ถึงคุณ?
ดั๊ก. ไม่มี!
เป็ด. ฉันคิดว่ามันมาจากกองทัพอากาศในสงครามโลกครั้งที่สอง ... นั่นคือ "การพุ่ง [ชน] เครื่องบิน"
ดังนั้นจึงมี Dingและจากนั้นเหนือสิ่งอื่นใดก็มาถึง ปรางค์แม้ว่าทั้งคู่จะมีเสียงเหมือนกันก็ตาม
ดั๊ก. โอเค เข้าใจแล้ว
เป็ด. เซอร์ไพร์ส เซอร์ไพร์ส – หลังจากไม่มีการอัปเดต iOS 12 มานาน โทรศัพท์รุ่นดังก็ได้รับการอัปเดต...
…สำหรับบั๊ก Zero-day ซึ่งเป็นบั๊กลึกลับที่แก้ไขเมื่อนานมาแล้วใน iOS 16 เท่านั้น… [WHISPER] แอบมาก โดย Apple หากคุณจำได้
ดั๊ก. โอ้ ฉันจำได้!
เป็ด. มีการอัปเดต iOS 16 นี้และจากนั้นก็มีการอัปเดตในภายหลัง อื่น ๆ ทั้งหมด แพลตฟอร์มของ Apple รวมถึง iOS 15
และ Apple ก็พูดว่า “โอ้ ใช่ จริง ๆ แล้ว ตอนนี้เราคิดเกี่ยวกับมันแล้ว มันเป็นซีโร่เดย์ ตอนนี้เราได้ตรวจสอบแล้ว แม้ว่าเราจะรีบออกอัปเดตสำหรับ iOS 16 และไม่ได้ทำสิ่งใดเลยสำหรับ iOS 15 แต่กลับกลายเป็นว่าข้อบกพร่องมีผลกับ iOS 15 และรุ่นก่อนหน้าเท่านั้น” [หัวเราะ]
ว้าว ลึกลับประหลาดอะไรเช่นนี้!
แต่อย่างน้อยพวกเขาก็แก้ไขทุกอย่างในตอนท้าย
ตอนนี้กลายเป็นว่า Zero-day ตัวเก่านั้นได้รับการแพตช์ใน iOS 12 แล้ว
และนี่คือหนึ่งใน WebKit Zero-days ที่ฟังดูราวกับว่าวิธีการใช้งานแบบปกตินั้นเป็นไปเพื่อการฝังมัลแวร์
และเช่นเคยมีกลิ่นของสปายแวร์
ยังไงก็ตาม นั่นเป็นข้อบกพร่องเดียวที่ได้รับการแก้ไขใน iOS 12 ซึ่งอยู่ในรายการ - เป็นเพียง 0 วันเท่านั้น
แพลตฟอร์มอื่น ๆ ได้รับการแก้ไขมากมาย
โชคดีที่สิ่งเหล่านี้ดูเหมือนจะเป็นไปในเชิงรุก ไม่มีรายการใดที่ Apple ระบุว่า "ถูกเอารัดเอาเปรียบอย่างแข็งขัน"
[หยุด]
เอาล่ะ มาดูสิ่งที่น่าตื่นเต้นสุดๆ กันเถอะ ดั๊ก!
ฉันคิดว่าเรากำลังอยู่ใน "การพิมพ์ผิด" ใช่ไหม
ดั๊ก. ใช่!
พื้นที่ คำถาม ฉันเฝ้าถามตัวเอง… [แดกดัน] ฉันจำไม่ได้ว่านานแค่ไหนแล้ว และฉันแน่ใจว่าคนอื่นๆ กำลังถามว่า “การพิมพ์ผิดโดยเจตนาจะปรับปรุงความปลอดภัยของ DNS ได้อย่างไร”
การรักษาความปลอดภัยที่ร้ายแรง: dEliBeRaTe tYpO อาจปรับปรุงความปลอดภัยของ DNS ได้อย่างไร
เป็ด. [หัวเราะ]
ที่น่าสนใจคือแนวคิดนี้เกิดขึ้นครั้งแรกในปี 2008 ในช่วงเวลาประมาณปลายๆ แดน Kaminskyซึ่งเป็นนักวิจัยด้านความปลอดภัยที่มีชื่อเสียงในสมัยนั้น ค้นพบว่าเซิร์ฟเวอร์ DNS มีความเสี่ยง "การคาดเดาการตอบกลับ" ที่สำคัญซึ่งอาจถูกโจมตีได้ง่ายกว่าที่ผู้คนคิด
ที่คุณเพียงแค่กระตุ้นการตอบกลับที่เซิร์ฟเวอร์ DNS โดยหวังว่าพวกเขาจะบังเอิญตรงกับคำขอขาออกที่ยังไม่มีคำตอบอย่างเป็นทางการ
คุณแค่คิดว่า “ฉันแน่ใจว่าต้องมีคนในเครือข่ายของคุณสนใจที่จะเข้าร่วมโดเมนนี้ naksec.test
ตอนนี้ ดังนั้นให้ฉันส่งคำตอบกลับมามากมายโดยบอกว่า 'เฮ้ คุณถามเกี่ยวกับ naksec.test
; นี่มัน”…
…และพวกเขาส่งหมายเลขเซิร์ฟเวอร์ [IP] ที่สมมติขึ้นมาให้คุณ
นั่นหมายความว่าคุณมาที่เซิร์ฟเวอร์ของฉันแทนที่จะไปที่ข้อตกลงจริง ดังนั้นฉันจึงแฮ็กเซิร์ฟเวอร์ของคุณโดยไม่ได้เข้าไปใกล้เซิร์ฟเวอร์ของคุณเลย!
และคุณคิดว่า "คุณจะส่งคำตอบ *ใดๆ* ได้อย่างไร? แน่นอนว่ามีคุกกี้เข้ารหัสลับบางอย่างในคำขอ DNS ขาออกใช่หรือไม่”
ซึ่งหมายความว่าเซิร์ฟเวอร์สามารถสังเกตได้ว่าการตอบกลับที่ตามมานั้นเป็นเพียงการสร้างขึ้น
คุณจะคิดอย่างนั้น… แต่จำไว้ว่า DNS มองเห็นแสงสว่างของวันเป็นครั้งแรก 1987,ดั๊ก.
และไม่ใช่แค่การรักษาความปลอดภัยเท่านั้นที่ไม่ใช่เรื่องใหญ่ในตอนนั้น แต่เนื่องจากแบนด์วิธของเครือข่ายในแต่ละวันนั้นไม่มีที่ว่างสำหรับคุกกี้เข้ารหัสที่ยาวเพียงพอ
ดังนั้นคำขอ DNS หากคุณไปที่ RFC 1035ได้รับการคุ้มครอง (พูดหลวมๆ ดั๊ก) โดยหมายเลขประจำตัวที่ไม่ซ้ำกัน หวังว่าผู้ส่งคำขอจะสร้างขึ้นแบบสุ่ม
ทายสิว่าพวกมันอายุเท่าไหร่ ดั๊ก…
ดั๊ก. ยาวไม่พอ?
เป็ด. 16 บิต
ดั๊ก. โอ้โหหหหหหหหหหหห
เป็ด. มันค่อนข้างสั้น… มันค่อนข้างสั้น แม้แต่ในปี 1987!
แต่ 16 บิตคือ * สองไบต์ทั้งหมด *
โดยทั่วไปแล้ว จำนวนเอนโทรปีตามศัพท์แสงที่คุณมีในคำขอ DNS (โดยไม่มีการเพิ่มข้อมูลคุกกี้อื่น ๆ – คำขอ DNS แบบพื้นฐานดั้งเดิมสไตล์ดั้งเดิม)...
…คุณมีหมายเลขพอร์ตต้นทาง UDP 16 บิต (แม้ว่าคุณจะใช้ไม่ได้ทั้งหมด 16 บิต ดังนั้นขอเรียกมันว่า 15 บิต)
และคุณมีหมายเลขรหัส 16 บิตที่สุ่มเลือก… หวังว่าเซิร์ฟเวอร์ของคุณจะเลือกแบบสุ่มและไม่ใช้ลำดับที่คาดเดาได้
คุณจึงมี 31 บิตของการสุ่ม
และแม้ว่า231 [เพียงกว่า 2 พันล้าน] เป็นคำขอต่างๆ มากมายที่คุณต้องส่ง มันไม่ได้ผิดปกติในทุกวันนี้
แม้แต่ในแล็ปท็อปเครื่องเก่าของฉัน ดั๊ก ส่ง 216 [65,536] คำขอ UDP ที่แตกต่างกันไปยังเซิร์ฟเวอร์ DNS ใช้เวลาสั้นจนแทบนับไม่ถ้วน
ดังนั้น 16 บิตจึงเกือบจะเกิดขึ้นทันที และ 31 บิตก็สามารถทำได้
ความคิดย้อนกลับไปในปี 2008 คือ...
จะเกิดอะไรขึ้นถ้าเราใช้ชื่อโดเมนที่คุณกำลังมองหา เช่น naksec.test
และแทนที่จะทำในสิ่งที่ตัวแก้ไข DNS ส่วนใหญ่ทำและพูดว่า “ฉันต้องการค้นหา n-a-k-s-e-c dot t-e-s-t
,” ทั้งหมดเป็นตัวพิมพ์เล็กเพราะตัวพิมพ์เล็กดูดี (หรือถ้าคุณต้องการเป็นแบบเก่า ให้พิมพ์เป็นตัวพิมพ์ใหญ่ทั้งหมด เนื่องจาก DNS ไม่คำนึงถึงตัวพิมพ์เล็กและใหญ่ จำไว้)
จะเป็นอย่างไรหากเราเงยหน้าขึ้นมอง nAKseC.tESt
, ด้วยการสุ่มเลือกลำดับของตัวพิมพ์เล็ก, UPPERCASE, UPPERCASE, ล่าง, และอื่น ๆ และเราจำลำดับที่เราใช้และเรารอการตอบกลับกลับมา?
เนื่องจากการตอบกลับ DNS ได้รับคำสั่งให้มีสำเนาของคำขอดั้งเดิมในนั้น
จะเกิดอะไรขึ้นถ้าเราสามารถใช้ข้อมูลบางอย่างในคำขอนั้นเป็น "สัญญาณลับ" ได้?
อาชญากรจะต้องเดาว่าพอร์ตต้นทาง UDP; พวกเขาจะต้องเดาหมายเลขประจำตัว 16 บิตนั้นในการตอบกลับ *และ* พวกเขาจะต้องเดาว่าเราเลือกสะกดผิดอย่างไร nAKsEc.TeST
.
และถ้าพวกเขาเข้าใจผิดในสามสิ่งนี้ การโจมตีก็จะล้มเหลว
ดั๊ก. ว้าว ตกลง!
เป็ด. และ Google ก็ตัดสินใจว่า "เฮ้ มาลองกันเถอะ"
ปัญหาเดียวคือชื่อโดเมนที่สั้นมากๆ (ชื่อนี้เท่ เขียนง่าย และจำง่าย) เช่น Twitter t.co
คุณจะได้รับอักขระสามตัวเท่านั้นที่สามารถเปลี่ยนตัวพิมพ์ได้
มันไม่ได้ช่วยเสมอไป แต่พูดง่ายๆ ก็คือ ยิ่งชื่อโดเมนของคุณยาวเท่าไหร่ คุณก็จะปลอดภัยมากขึ้นเท่านั้น! [หัวเราะ]
และฉันคิดว่านั่นเป็นเรื่องราวเล็กๆ น้อยๆ ที่ดี...
ดั๊ก. เมื่อพระอาทิตย์ตกดินในรายการของเราสำหรับวันนี้ เรามีความคิดเห็นจากผู้อ่าน
ตอนนี้ ความคิดเห็นนี้มาจากพอดแคสต์ของสัปดาห์ที่แล้ว S3 ตอนที่ 118.
S3 Ep118: เดารหัสผ่าน? ไม่จำเป็นถ้ามันถูกขโมยไปแล้ว! [เสียง + ข้อความ]
ผู้อ่าน Stephen เขียน… โดยพื้นฐานแล้วเขาพูดว่า:
ฉันได้ยินพวกคุณพูดถึงผู้จัดการรหัสผ่านบ่อยครั้งเมื่อเร็วๆ นี้ – ฉันตัดสินใจเปิดตัวเอง
ฉันสร้างรหัสผ่านที่ปลอดภัยเหล่านี้ ฉันสามารถจัดเก็บไว้ในเมมโมรี่สติ๊กหรือสติ๊กได้ โดยเชื่อมต่อเมมโมรี่สติ๊กเมื่อต้องการคลายข้อมูลและใช้รหัสผ่านเท่านั้น
วิธีการติดจะมีความเสี่ยงต่ำพอสมควรหรือไม่?
ฉันเดาว่าฉันน่าจะคุ้นเคยกับเทคนิคการเข้ารหัสเพื่อเข้ารหัสและถอดรหัสข้อมูลบนสติ๊ก แต่ฉันก็อดไม่ได้ที่รู้สึกว่าอาจพาฉันไปไกลกว่าแนวทางง่ายๆ ที่ฉันกำลังมองหา
แล้วคุณว่ายังไงบ้าง พอล?
เป็ด. ถ้ามันพาคุณไปไกลกว่าวิธีการที่ "ง่าย" นั่นหมายความว่ามันจะซับซ้อน
และถ้ามันซับซ้อน นั่นก็เป็นแบบฝึกหัดการเรียนรู้ที่ยอดเยี่ยม...
…แต่บางทีการเข้ารหัสรหัสผ่านอาจไม่ใช่สิ่งที่คุณต้องการทำการทดลองเหล่านั้น [หัวเราะ]
ดั๊ก. ฉันเชื่อว่าฉันเคยได้ยินคุณพูดมาก่อนในโปรแกรมนี้หลายครั้ง: "ไม่จำเป็นต้องใช้การเข้ารหัสของคุณเอง มีไลบรารีการเข้ารหัสที่ดีหลายตัวที่คุณสามารถใช้ประโยชน์ได้”
เป็ด. ใช่… อย่าถัก โครเชต์ ตอกเข็ม หรือปักครอสติชด้วยการเข้ารหัสของคุณเอง หากคุณสามารถช่วยได้!
ปัญหาที่ Stephen พยายามแก้ไขคือ: "ฉันต้องการอุทิศไดรฟ์ USB แบบถอดได้เพื่อให้มีรหัสผ่าน - ฉันจะเข้ารหัสไดรฟ์ด้วยวิธีที่สะดวกได้อย่างไร"
และคำแนะนำของฉันคือคุณควรเลือกสิ่งที่ทำการเข้ารหัสทั้งอุปกรณ์ [FDE] *ภายในระบบปฏิบัติการ*
ด้วยวิธีนี้ คุณจะมีแท่ง USB เฉพาะ คุณเสียบปลั๊กและระบบปฏิบัติการแจ้งว่า 'มีสัญญาณรบกวน - ฉันต้องการรหัสผ่าน'
และระบบปฏิบัติการเกี่ยวข้องกับการถอดรหัสไดรฟ์ทั้งหมด
ตอนนี้ คุณสามารถเข้ารหัส *ไฟล์* ภายใน *อุปกรณ์* ที่เข้ารหัสได้ แต่นั่นหมายความว่า หากคุณทำอุปกรณ์หาย ดิสก์ทั้งหมดจะถูกหั่นเป็นชิ้นเล็กชิ้นน้อย ขณะที่ไม่ได้ต่อเชื่อมและถอดปลั๊กออกจากคอมพิวเตอร์
และแทนที่จะพยายามถักไดรเวอร์อุปกรณ์ของคุณเองเพื่อทำเช่นนั้น ทำไมไม่ใช้ไดรเวอร์ที่มีอยู่ในระบบปฏิบัติการล่ะ
นั่นคือคำแนะนำของฉัน
และนี่คือจุดที่ทั้งง่ายและซับซ้อนเล็กน้อยในเวลาเดียวกัน
หากคุณใช้ Linux คุณก็ใช้ ลักส์ [การตั้งค่าคีย์รวมของ Linux]
บน Mac มันง่ายมาก: คุณมีเทคโนโลยีที่เรียกว่า FileVault ที่มีอยู่ใน Mac
บน Windows จะเรียกสิ่งที่เทียบเท่ากับ FileVault หรือ LUKS BitLocker; คุณคงเคยได้ยินเรื่องนี้
ปัญหาคือถ้าคุณมี Windows เวอร์ชัน Home รุ่นใดรุ่นหนึ่ง คุณจะทำเลเยอร์การเข้ารหัสทั้งดิสก์บนไดรฟ์แบบถอดไม่ได้ไม่ได้
คุณต้องไปและใช้จ่ายเพิ่มเติมเพื่อรับเวอร์ชัน Pro หรือ Windows ประเภทธุรกิจเพื่อให้สามารถใช้การเข้ารหัสดิสก์เต็มรูปแบบของ BitLocker
ผมว่าน่าเสียดาย
ฉันหวังว่า Microsoft จะพูดว่า “เราสนับสนุนให้คุณใช้มันเป็นและทุกที่ที่คุณสามารถทำได้ – บนอุปกรณ์ทั้งหมดของคุณ ถ้าคุณต้องการ”
เพราะแม้ว่าคนส่วนใหญ่จะไม่ทำ อย่างน้อยก็มีบางคนที่จะทำ
นั่นคือคำแนะนำของฉัน
ข้อแตกต่างคือหากคุณมี Windows และคุณซื้อแล็ปท็อป เช่น ที่ร้านผู้บริโภคที่มีรุ่น Home คุณจะต้องเสียเงินเพิ่มเล็กน้อย
เนื่องจากเห็นได้ชัดว่าการเข้ารหัสไดรฟ์แบบถอดได้ หากคุณเป็นลูกค้าของ Microsoft นั้นไม่สำคัญพอที่จะสร้างเป็นระบบปฏิบัติการเวอร์ชันโฮม
ดั๊ก. ดีมาก
ขอบคุณสตีเฟ่นที่ส่งเข้ามา
หากคุณมีเรื่องราว ข้อคิดเห็น หรือคำถามที่น่าสนใจที่คุณต้องการส่ง เรายินดีที่จะอ่านในพอดแคสต์
คุณสามารถส่งอีเมลไปที่ tips@sophos.com แสดงความคิดเห็นเกี่ยวกับบทความของเรา หรือจะติดต่อผ่านโซเชียลได้ที่ @NakedSecurity
นั่นคือการแสดงของเราในวันนี้ ขอบคุณมากสำหรับการฟัง
สำหรับ Paul Ducklin ฉัน Doug Aamoth เตือนคุณจนถึงครั้งต่อไป ให้...
ทั้งสอง รักษาความปลอดภัย!
[โมเด็มดนตรี]
- เนื้อหาที่ขับเคลื่อนด้วย SEO และการเผยแพร่ประชาสัมพันธ์ รับการขยายวันนี้
- เพลโตบล็อคเชน Web3 Metaverse ข่าวกรอง ขยายความรู้. เข้าถึงได้ที่นี่.
- ที่มา: https://nakedsecurity.sophos.com/2023/01/26/s3-ep119-breaches-patches-leaks-and-tweaks-audio-text/
- 000
- 1
- 100
- 1996
- 2021
- 2022
- 2FA
- a
- สามารถ
- เกี่ยวกับเรา
- เกี่ยวกับมัน
- ข้างบน
- ลงชื่อเข้าใช้
- บัญชี
- อยากทำกิจกรรม
- จริง
- ที่เพิ่ม
- ยอมรับ
- ความได้เปรียบ
- คำแนะนำ
- หลังจาก
- เวลานาน
- AIR
- กองทัพอากาศ
- ปลุก
- ขั้นตอนวิธี
- ทั้งหมด
- Alright
- แม้ว่า
- เสมอ
- ในหมู่
- จำนวน
- โบราณ
- และ
- คำตอบ
- ทุกแห่ง
- API
- app
- Apple
- เข้าใกล้
- ปพลิเคชัน
- รอบ
- บทความ
- การประเมินผล
- โจมตี
- การโจมตี
- เสียง
- การยืนยันตัวตน
- ผู้เขียน
- อัตโนมัติ
- กลับ
- สำรอง
- การสำรองข้อมูล
- ไม่ดี
- แบนด์วิดธ์
- ขั้นพื้นฐาน
- เป็นพื้น
- เพราะ
- กลายเป็น
- ก่อน
- หลัง
- กำลัง
- เชื่อ
- ด้านล่าง
- ระหว่าง
- เกิน
- ใหญ่
- พันล้าน
- พันล้าน
- บิต
- ซื้อ
- ช่องโหว่
- การละเมิด
- Bug
- สร้าง
- สร้าง
- โทรศัพท์
- ที่เรียกว่า
- กรณี
- กรณี
- ส่วนกลาง
- อย่างแน่นอน
- โอกาส
- เปลี่ยนแปลง
- เปลี่ยนแปลง
- อักขระ
- ตรวจสอบ
- เลือก
- เลือก
- คริสต์มาส
- ชัดเจน
- การหักบัญชี
- เมฆ
- การจัดเก็บเมฆ
- รหัส
- กาแฟ
- COM
- อย่างไร
- ความสะดวกสบาย
- ความเห็น
- บริษัท
- อย่างสมบูรณ์
- ซับซ้อน
- คอมพิวเตอร์
- การเชื่อมต่อ
- ผู้บริโภค
- ติดต่อเรา
- สะดวกสบาย
- คุ้กกี้
- เย็น
- ได้
- คอร์ส
- crashing
- สร้าง
- cryptocurrency
- การเข้ารหัสลับ
- ลูกค้า
- cybersecurity
- ข้อมูล
- การละเมิดข้อมูล
- วันที่
- วัน
- วัน
- จัดการ
- ข้อเสนอ
- ตัดสินใจ
- ทุ่มเท
- ทุ่มเท
- แตกหัก
- รายละเอียด
- พัฒนาการ
- เครื่อง
- อุปกรณ์
- ต่าง
- DNS
- ไม่
- การทำ
- โดเมน
- ชื่อโดเมน
- ชื่อโดเมน
- Dont
- DOT
- ขับรถ
- คนขับรถ
- การขับขี่
- หล่น
- แต่ละ
- ก่อน
- ง่ายดาย
- ทั้ง
- อิเล็กทรอนิกส์
- อีเมล
- อีเมล
- ส่งเสริม
- ที่มีการเข้ารหัส
- การเข้ารหัสลับ
- พอ
- ทั้งหมด
- อย่างสิ้นเชิง
- สิ่งแวดล้อม
- อุปกรณ์
- เท่ากัน
- เป็นหลัก
- แม้
- เคย
- ทุกคน
- ทุกอย่าง
- ยอดเยี่ยม
- เอาเปรียบ
- ใช้ประโยชน์
- พิเศษ
- สารสกัด
- ตา
- ล้มเหลว
- อย่างเป็นธรรม
- คุ้นเคย
- ลักษณะ
- สองสาม
- คิด
- ในที่สุด
- หา
- ชื่อจริง
- แก้ไขปัญหา
- การแก้ไข
- บังคับ
- พบ
- ราคาเริ่มต้นที่
- โดยทั่วไป
- สร้าง
- สร้าง
- สร้าง
- ได้รับ
- ให้
- กำหนด
- Go
- ไป
- ไป
- ดี
- ไปที่
- ยิ่งใหญ่
- บัญชีกลุ่ม
- การเจริญเติบโต
- hacked
- มือ
- เกิดขึ้น
- ที่เกิดขึ้น
- มีความสุข
- กัญชา
- แฮช
- มี
- ได้ยิน
- การได้ยิน
- ปล้น
- ช่วย
- การช่วยเหลือ
- โปรดคลิกที่นี่เพื่ออ่านรายละเอียดเพิ่มเติม
- ตี
- หน้าแรก
- ความหวัง
- หวังว่า
- หวัง
- สรุป ความน่าเชื่อถือของ Olymp Trade?
- ทำอย่างไร
- HTTPS
- ฉันเป็น
- ความคิด
- ประจำตัว
- เอกลักษณ์
- สำคัญ
- ปรับปรุง
- in
- อุบัติการณ์
- ประกอบด้วย
- รวม
- รวมทั้ง
- เหลือเชื่อ
- ข้อมูล
- แทน
- สนใจ
- น่าสนใจ
- การประดิษฐ์คิดค้น
- iOS
- IP
- แดกดัน
- ปัญหา
- ปัญหา
- IT
- มกราคม
- ศัพท์แสง
- ชวา
- JavaScript
- ร่วม
- เก็บ
- คีย์
- ชนิด
- ถัก
- ทราบ
- ภาษา
- แล็ปท็อป
- ใหญ่
- ชื่อสกุล
- LastPass
- ปลาย
- ชั้น
- การรั่วไหล
- ได้เรียนรู้
- การเรียนรู้
- เลฟเวอเรจ
- ห้องสมุด
- ใบอนุญาต
- เบา
- LINK
- การเชื่อมโยง
- ลินุกซ์
- จดทะเบียน
- การฟัง
- น้อย
- โหลด
- โหลด
- นาน
- อีกต่อไป
- ดู
- มอง
- ที่ต้องการหา
- LOOKS
- สูญเสีย
- Lot
- ความรัก
- ต่ำ
- Mac
- ทำ
- มายากล
- ทำ
- การทำ
- มัลแวร์
- ผู้จัดการ
- มันตรา
- หลาย
- การจับคู่
- MD5
- วิธี
- หน่วยความจำ
- กล่าวถึง
- ข้อความ
- ไมโครซอฟท์
- อาจ
- ล้าน
- หายไป
- โทรศัพท์มือถือ
- โทรศัพท์มือถือ
- เงิน
- เดือน
- ข้อมูลเพิ่มเติม
- มากที่สุด
- ย้าย
- การพิสูจน์ตัวตนแบบหลายปัจจัย
- ดนตรี
- ดนตรี
- ลึกลับ
- ความลึกลับ
- ความปลอดภัยเปล่า
- พอดคาสต์ความปลอดภัยเปลือยกาย
- ชื่อ
- ชื่อ
- ใกล้
- เกือบทั้งหมด
- จำเป็นต้อง
- เครือข่าย
- ใหม่
- ข่าว
- ถัดไป
- ปกติ
- หมายเหตุ / รายละเอียดเพิ่มเติม
- พฤศจิกายน
- จำนวน
- ตัวเลข
- โอ๊ก
- Office
- เป็นทางการ
- เก่า
- ONE
- การดำเนินงาน
- ระบบปฏิบัติการ
- โอกาส
- ใบสั่ง
- สามัญ
- เป็นต้นฉบับ
- อื่นๆ
- ผลิตภัณฑ์อื่นๆ
- ด้านนอก
- ของตนเอง
- ต้องจ่าย
- พารามิเตอร์
- ส่วนหนึ่ง
- พรรค
- รหัสผ่าน
- รหัสผ่าน
- แพทช์
- พอล
- คน
- บางที
- ระยะเวลา
- คน
- phish
- ฟิชชิ่ง
- การโจมตีแบบฟิชชิ่ง
- โทรศัพท์
- ขว้าง
- เวที
- แพลตฟอร์ม
- เพลโต
- เพลโตดาต้าอินเทลลิเจนซ์
- เพลโตดาต้า
- พอดคาสต์
- พอดคาสต์
- จุด
- โผล่
- ความนิยม
- เป็นไปได้
- โพสต์
- คุก
- มือโปร
- เชิงรุก
- อาจ
- ปัญหา
- ผลิตภัณฑ์
- โครงการ
- โครงการ
- โปรแกรมเมอร์
- การเขียนโปรแกรม
- การป้องกัน
- คำถาม
- ยก
- สุ่ม
- สร้างแบบสุ่ม
- สุ่ม
- อ่าน
- ผู้อ่าน
- จริง
- เรื่องจริง
- เมื่อเร็ว ๆ นี้
- เมื่อเร็ว ๆ นี้
- แนะนำ
- แนะนำ
- บันทึก
- กู้
- ที่เกี่ยวข้อง
- ปล่อย
- จำ
- ซ้ำแล้วซ้ำเล่า
- แทนที่
- ตอบ
- ขอ
- การร้องขอ
- จำเป็น
- ช่วยเหลือ
- นักวิจัย
- รับผิดชอบ
- เผย
- ความเสี่ยง
- ความเสี่ยง
- ม้วน
- ห้อง
- ราช
- RSS
- วิ่ง
- วิ่ง
- ปลอดภัยมากขึ้น
- กล่าวว่า
- เกลือ
- เดียวกัน
- จอภาพ
- ที่สอง
- ลับ
- ปลอดภัย
- ความปลอดภัย
- เมล็ดพันธุ์
- ที่กำลังมองหา
- ดูเหมือนว่า
- เห็น
- ส่วน
- การส่ง
- ลำดับ
- เซิร์ฟเวอร์
- บริการ
- บริการ
- ชุด
- การตั้งค่า
- การติดตั้ง
- หลาย
- ที่ใช้ร่วมกัน
- สั้น
- น่า
- โชว์
- สำคัญ
- ง่าย
- ง่ายดาย
- SMS
- So
- สังคม
- แก้
- บาง
- บางคน
- บางสิ่งบางอย่าง
- บางแห่ง
- เสียง
- แหล่ง
- สแปม
- การพูด
- ใช้จ่าย
- Spotify
- สปายแวร์
- เริ่มต้น
- ที่เริ่มต้น
- เข้าพัก
- สตีเฟ่น
- ยังคง
- ที่ถูกขโมย
- การเก็บรักษา
- จัดเก็บ
- เรื่องราว
- หรือ
- ส่ง
- ภายหลัง
- อย่างเช่น
- ดวงอาทิตย์
- อย่างแน่นอน
- แปลกใจ
- พิรุธ
- ระบบ
- T-Mobile
- เอา
- ใช้เวลา
- คุย
- ทีม
- เทคโนโลยี
- เทคนิค
- เทคโนโลยี
- พื้นที่
- การโจรกรรม
- ของพวกเขา
- ดังนั้น
- สิ่ง
- สิ่ง
- ที่สาม
- ในสัปดาห์นี้
- คิดว่า
- สาม
- ตลอด
- เวลา
- ครั้ง
- ชนิด
- เคล็ดลับ
- ไปยัง
- ในวันนี้
- ร่วมกัน
- ไปทาง
- ปัญหา
- หัน
- ในที่สุด
- ความเข้าใจ
- โชคร้าย
- ปึกแผ่น
- เป็นเอกลักษณ์
- ถอดปลั๊ก
- บันทึก
- การปรับปรุง
- URL
- us
- USB
- ใช้
- ผู้ใช้
- รุ่น
- รอ
- คำเตือน
- web-based
- เว็บคิท
- สัปดาห์
- โด่งดัง
- อะไร
- ว่า
- ที่
- ในขณะที่
- กระซิบ
- WHO
- วิกิพีเดีย
- ป่า
- จะ
- หน้าต่าง
- ภายใน
- ไม่มี
- คำ
- งาน
- ทำงาน
- โลก
- คุ้มค่า
- จะ
- เขียน
- ผิด
- ปี
- คุณ
- ของคุณ
- ด้วยตัวคุณเอง
- ลมทะเล
- บั๊กซีโร่เดย์