ฟังและเรียนรู้
Gee Whiz BASIC (อาจ) คิดว่าคุณ รู้จักแรนซัมแวร์? เมกะอัพโหลด, 11 ปีที่แล้ว. เอซุสเตือน! ข้อผิดพลาดที่สำคัญของเราเตอร์. เคลื่อนย้ายไปมา ความโกลาหล ตอนที่ III.
ไม่มีเครื่องเล่นเสียงด้านล่าง? ฟัง โดยตรง บนซาวด์คลาวด์
ดั๊ก เอมอธ และพอล ดักคลิน เพลงอินโทรและเอาท์โดย อีดิธ มัดจ์.
สามารถรับฟังเราได้ที่ Soundcloud, Apple Podcasts, Google Podcast, Spotify, Stitcher และทุกที่ที่มีพอดแคสต์ดีๆ หรือเพียงแค่วาง URL ของฟีด RSS ของเรา ลงในพอดแคตเตอร์ที่คุณชื่นชอบ
อ่านข้อความถอดเสียง
ดั๊ก. เราเตอร์เสียหาย Megaupload ใน megatrouble และ MOVEit ทำร้ายร่างกายอื่น ๆ
ทั้งหมดนั้นและอีกมากมายในพอดคาสต์ Naked Security
[โมเด็มดนตรี]
ยินดีต้อนรับสู่พอดคาสต์ทุกคน
ฉัน Doug Aamoth; เขาคือพอล ดักคลิน
พอล เป็นยังไง?
เป็ด. เป็นเพียงการแก้ความกำกวมสำหรับผู้ฟังชาวอังกฤษและเครือจักรภพของเรา ดั๊ก...
ดั๊ก. “เราเตอร์” [ออกเสียงสไตล์อังกฤษว่า 'ROOTER' ไม่ใช่สไตล์สหรัฐว่า 'ROWTER']
เป็ด. คุณไม่ได้หมายถึงเครื่องมืองานไม้ ฉันเดา?
ดั๊ก. เลขที่! [หัวเราะ]
เป็ด. คุณหมายถึงสิ่งที่ปล่อยให้อาชญากรเจาะเข้าไปในเครือข่ายของคุณหากไม่ได้รับการแก้ไขทันเวลา?
ดั๊ก. ใช่!
เป็ด. พฤติกรรมของสิ่งที่เราเรียกว่า 'ROOTER' ทำกับเครือข่ายของคุณมากกว่าที่ 'ROWTER' จะทำกับขอบโต๊ะของคุณหรือไม่ [หัวเราะ]
ดั๊ก. อย่างแน่นอน! [หัวเราะ]
เราจะไปถึงที่นั่นในไม่ช้า
แต่ก่อนอื่นของเรา สัปดาห์นี้ในประวัติศาสตร์เทคโนโลยี ส่วน
Paul ในสัปดาห์นี้เมื่อวันที่ 18 มิถุนายน ย้อนไปในปี 1979: ความก้าวหน้าครั้งใหญ่สำหรับการประมวลผลแบบ 16 บิต เมื่อ Microsoft เปิดตัวเวอร์ชันของภาษาโปรแกรมพื้นฐานสำหรับโปรเซสเซอร์ 8086
เวอร์ชันนี้เข้ากันได้กับโปรเซสเซอร์ 8 บิตแบบย้อนหลัง ทำให้ BASIC ซึ่งมีอยู่ในโปรเซสเซอร์ Z80 และ 8080 และพบในคอมพิวเตอร์ประมาณ 200,000 เครื่องแล้ว ซึ่งเป็นลูกศรในตัวสั่นของโปรแกรมเมอร์ส่วนใหญ่ Paul
เป็ด. สิ่งที่จะกลายเป็น GW-BASIC!
ฉันไม่รู้ว่าจริงหรือเปล่า แต่ฉันอ่านไปเรื่อยๆ ว่า GW-BASIC ย่อมาจาก “GEE WHIZZ!” [หัวเราะ]
ดั๊ก. ฮา! [หัวเราะ]
เป็ด. ฉันไม่รู้ว่าจริงไหม แต่ฉันชอบคิดว่ามันเป็น
ดั๊ก. เอาล่ะเข้าเรื่องของเรากันเลย
ก่อนที่เราจะไปถึงสิ่งที่เป็นข่าว เรามีความยินดีและตื่นเต้นไม่น้อยที่จะประกาศตอนแรกจากสามตอนแรกของ คิดว่าคุณรู้จักแรนซัมแวร์หรือไม่?
นี่คือซีรีส์สารคดีความยาว 48 นาทีจากเพื่อนของคุณที่ Sophos
“The Ransomware Documentary” – ซีรีส์วิดีโอใหม่ล่าสุดจาก Sophos เริ่มแล้ว!
ตอนแรกเรียกว่า ต้นกำเนิดของอาชญากรรมไซเบอร์, รับชมได้แล้ววันนี้ที่ https://sophos.com/ransomware.
ตอนที่ 2 ซึ่งมีชื่อว่า ผู้ล่าและผู้ถูกล่าจะวางจำหน่ายในวันที่ 28 มิถุนายน 2023
ตอนที่ 3, อาวุธและนักรบ จะลดลงในวันที่ 5 กรกฎาคม 2023
ลองดูที่ https://sophos.com/ransomware.
ฉันได้ดูตอนแรกแล้วและมันก็เยี่ยมมาก
มันตอบคำถามทั้งหมดที่คุณอาจมีเกี่ยวกับต้นกำเนิดของความหายนะนี้ที่เราต่อสู้กันทุกปี พอล
เป็ด. และมันให้ข้อมูลอย่างดีในสิ่งที่ผู้ฟังทั่วไปจะรู้ว่าเป็นคำพูดที่ฉันชอบ (ฉันหวังว่าตอนนี้ฉันจะไม่เปลี่ยนเป็นคำพูดที่เบื่อหู) กล่าวคือ: ผู้ที่จำประวัติศาสตร์ไม่ได้จะถูกลงโทษให้ทำซ้ำ
อย่าเป็นคนนั้น! [หัวเราะ]
ดั๊ก. เอาล่ะมาต่อกันที่เรื่องของอาชญากรรม
เวลาคุมขังผู้ก่อตั้ง Megaupload XNUMX ใน XNUMX คน
การละเมิดลิขสิทธิ์ในประเด็นนี้ พอลและประมาณหนึ่งทศวรรษในการสร้าง?
Megaupload duo จะเข้าคุกในที่สุด แต่ Kim Dotcom ต่อสู้เพื่อ...
เป็ด. ใช่.
จำได้เมื่อสัปดาห์ที่แล้วที่ฉันถอดความเรื่องตลกนั้นว่า “โอ้ คุณรู้ไหมว่ารถประจำทางเป็นอย่างไร ไม่มีมาช้าแล้วสามก็มาพร้อมกัน?” [หัวเราะ]
แต่ฉันต้องแบ่งมันเป็น "สองคนมาถึงพร้อมกัน" ...
…และยังไม่ทันที่ฉันจะพูด คนที่สามก็มาถึง [หัวเราะ]
และนี่คือประเทศนิวซีแลนด์ หรือ Aotearoa หรือที่เรียกกันอีกชื่อหนึ่งว่า
Megaupload เป็นบริการที่เรียกว่า “file locker” ในยุคแรกๆ ที่น่าอับอาย
นั่นไม่ใช่ “ตัวล็อกไฟล์” เหมือนในแรนซัมแวร์ที่ล็อกไฟล์ของคุณ
มันคือ "ตัวล็อกไฟล์" เหมือนล็อกเกอร์ยิม... ที่บนคลาวด์ที่คุณอัปโหลดไฟล์เพื่อดาวน์โหลดในภายหลัง
บริการดังกล่าวถูกระงับ โดยหลักแล้วเป็นเพราะ FBI ในสหรัฐอเมริกาได้รับคำสั่งให้ลบออก และกล่าวหาว่าจุดประสงค์หลักของบริการนี้ไม่ได้เป็นเพียงบริการ *อัปโหลด* ขนาดใหญ่ แต่เป็นบริการ *ดาวน์โหลด* ขนาดใหญ่ ซึ่งเป็นรูปแบบธุรกิจ ซึ่งมีพื้นฐานมาจากการสนับสนุนและจูงใจให้มีการละเมิดลิขสิทธิ์
ผู้ก่อตั้งหลักของธุรกิจนี้เป็นชื่อที่รู้จักกันดี: Kim Dotcom
และนั่นคือนามสกุลของเขาจริงๆ
เขาเปลี่ยนชื่อ (ฉันคิดว่าเดิมชื่อ Kim Schmitz) เป็น Kim Dotcom สร้างบริการนี้ และเขาเพิ่งต่อสู้กับการส่งผู้ร้ายข้ามแดนไปยังสหรัฐอเมริกาและยังคงทำเช่นนั้นต่อไป แม้ว่าศาล Aotearoa จะตัดสินว่าไม่มีเหตุผลใดที่เขาทำได้ ไม่ต้องส่งผู้ร้ายข้ามแดน
อีก XNUMX ใน XNUMX คนชื่อฟินน์ บาทาโต เสียชีวิตด้วยโรคมะเร็งเมื่อปีที่แล้วอย่างน่าเศร้า
แต่อีกสองคนที่เป็นผู้ขับเคลื่อนบริการ Megaupload อย่าง Mathias Ortmann และ Bram van der Kolk…
…พวกเขาต่อสู้กับการส่งผู้ร้ายข้ามแดน (คุณคงเข้าใจว่าทำไม) ไปยังสหรัฐอเมริกา ซึ่งพวกเขาอาจต้องรับโทษจำคุกจำนวนมาก
แต่ในที่สุดพวกเขาดูเหมือนจะทำข้อตกลงกับศาลในนิวซีแลนด์ [นิวซีแลนด์/เอโอเทียรัว] และกับเอฟบีไอและกระทรวงยุติธรรมในสหรัฐฯ
พวกเขาตกลงที่จะถูกดำเนินคดีในนิวซีแลนด์แทน เพื่อสารภาพผิด และช่วยเหลือทางการสหรัฐฯ ในการสอบสวนที่กำลังดำเนินอยู่
และลงเอยด้วยโทษจำคุก 2 ปี 7 เดือน และ 2 ปี 6 เดือน ตามลำดับ
ดั๊ก. ผู้พิพากษาในคดีนั้นมีข้อสังเกตที่น่าสนใจ ฉันรู้สึก
เป็ด. ฉันคิดว่าคุณอยู่ตรงนั้น ดั๊ก
โดยเฉพาะอย่างยิ่ง ไม่ใช่คำถามของศาลที่กล่าวว่า “เรายอมรับความจริงที่ว่าบริษัทขนาดใหญ่เหล่านี้ทั่วโลกสูญเสียเงินหลายพันล้านดอลลาร์”
ในความเป็นจริง ผู้พิพากษากล่าวว่าคุณต้องยอมรับการอ้างสิทธิ์เหล่านั้นด้วยเกลือนิดหน่อย และอ้างหลักฐานที่บ่งบอกว่าคุณไม่สามารถพูดได้ว่าทุกคนที่ดาวน์โหลดวิดีโอละเมิดลิขสิทธิ์จะต้องซื้อวิดีโอต้นฉบับ
ดังนั้นคุณจึงไม่สามารถบวกการสูญเสียทางการเงินในแบบที่ megacorps บางแห่งต้องการทำเช่นนั้นได้
อย่างไรก็ตาม เขากล่าวว่านั่นไม่ถูกต้อง
และที่สำคัญยิ่งกว่านั้น เขากล่าวว่า “คุณทำร้ายเด็กๆ ด้วยเช่นกัน และนั่นก็สำคัญพอๆ กัน”
และเขาได้อ้างถึงกรณีของนักพัฒนาซอฟต์แวร์อินดี้จากเกาะทางใต้ในนิวซีแลนด์ ซึ่งได้เขียนจดหมายถึงศาลเพื่อกล่าวว่า “ฉันสังเกตเห็นว่าการละเมิดลิขสิทธิ์ทำให้รายได้ของฉันลดลงอย่างมาก ฉันพบว่า 10 หรือ 20 ครั้งที่ฉันต้องอุทธรณ์ต่อ Megaupload เพื่อให้ลบเนื้อหาที่ละเมิดลิขสิทธิ์ออก ฉันใช้เวลามากในการทำเช่นนั้น และไม่เคยสร้างความแตกต่างเลยแม้แต่น้อย ดังนั้น ฉันไม่ได้บอกว่าพวกเขาต้องรับผิดชอบทั้งหมดสำหรับข้อเท็จจริงที่ว่าฉันไม่สามารถหาเลี้ยงชีพได้จากธุรกิจของฉันอีกต่อไป แต่ฉันกำลังบอกว่าฉันพยายามอย่างเต็มที่เพื่อให้พวกเขากำจัดสิ่งที่พวกเขากล่าวว่าพวกเขา จะทำ แต่ไม่เคยได้ผล”
ที่จริงออกมาที่อื่นในการตัดสิน… ซึ่งมี 38 หน้า ดังนั้นมันจึงค่อนข้างยาว แต่น่าอ่านมาก และฉันคิดว่ามันคุ้มค่าที่จะอ่าน
โดยเฉพาะอย่างยิ่ง ผู้พิพากษากล่าวกับจำเลยว่าพวกเขาต้องรับผิดชอบต่อความจริงที่ว่าพวกเขายอมรับว่าพวกเขาไม่ต้องการเอาผิดกับผู้ละเมิดลิขสิทธิ์มากเกินไปเพราะ “การเติบโตขึ้นอยู่กับการละเมิดเป็นหลัก”
และเขายังตั้งข้อสังเกตด้วยว่าพวกเขาได้คิดค้นระบบการลบออก ซึ่งโดยพื้นฐานแล้ว หากมีหลาย URL ให้ดาวน์โหลดไฟล์เดียวกัน...
…พวกเขาเก็บสำเนาของไฟล์ไว้หนึ่งชุด และหากคุณบ่นเกี่ยวกับ URL พวกเขาก็จะลบ *URL นั้น*
ดั๊ก. อ่าฮะ!
เป็ด. คุณคิดว่าพวกเขาต้องการลบไฟล์ออก แต่พวกเขาจะทิ้งไฟล์ไว้ที่นั่น
และทรงพรรณนาไว้ดังนี้. “คุณรู้และตั้งใจอยู่แล้วว่าการลบออกจะไม่มีผลกระทบใดๆ”
ซึ่งเป็นสิ่งที่นักพัฒนาซอฟต์แวร์ Kiwi อินดี้รายนี้อ้างในคำแถลงของเขาต่อศาล
และแน่นอนว่าพวกเขาต้องทำเงินได้มากมายจากมัน
หากคุณดูภาพถ่ายจากการจู่โจมที่ขัดแย้งใน Kim Dotcom ย้อนกลับไปในปี 2012...
…เขามีทรัพย์สินมหาศาลคันนี้ และรถแฟลชเหล่านี้ก็มีป้ายทะเบียนแปลกๆ [ป้ายชื่อรถ] เหมือนกัน GOD
และ GUILTY
ราวกับว่าเขากำลังคาดเดาอะไรบางอย่าง [หัวเราะ]
การลบเนื้อหา Megaupload เป็นข่าวพาดหัวและกระแสข่าวเมื่อ Mr Dotcom ยื่นขอประกันตัว
ดังนั้น Kim Dotcom ยังคงต่อสู้กับการส่งผู้ร้ายข้ามแดน แต่อีกสองคนนี้ตัดสินใจว่าพวกเขาต้องการยุติเรื่องนี้
ดังนั้นพวกเขาจึงสารภาพผิด และตามที่ผู้แสดงความคิดเห็นของเราบางคนได้กล่าวถึง Naked Security ว่า “Golly สำหรับสิ่งที่พวกเขาทำเมื่อคุณอ่านคำพิพากษาโดยละเอียด ดูเหมือนว่าประโยคของพวกเขาจะเบา”
แต่วิธีการคำนวณคือผู้พิพากษาตัดสินว่าเขาคิดว่าโทษสูงสุดที่พวกเขาควรได้รับภายใต้กฎหมายเอาเทียรัวควรอยู่ที่ประมาณ 10 ปี
จากนั้นเขาก็คิดตามข้อเท็จจริงว่าพวกเขากำลังสารภาพผิด พวกเขากำลังจะร่วมมือกัน พวกเขาจะจ่ายเงินคืน 10 ล้านดอลลาร์ และต่อไปเรื่อยๆ พวกเขาควรจะได้ส่วนลด 75%
และความเข้าใจของฉันคือนั่นหมายความว่าพวกเขาจะระงับความกลัวที่ว่าพวกเขาจะถูกส่งข้ามแดนไปยังสหรัฐฯ เพราะความเข้าใจของฉันคือกระทรวงยุติธรรมได้กล่าวว่า "ตกลง เราจะปล่อยให้การตัดสินลงโทษเกิดขึ้นในประเทศอื่น ”
สิบกว่าปียังไม่จบ!
คุณควรพูดดีกว่าดั๊ก ...
ดั๊ก. yesss!
เราจะจับตาดูเรื่องนี้
ขอบคุณ; ไปต่อกันเถอะ
หากคุณมีเราเตอร์ ASUS คุณอาจต้องทำการแพตช์ แม้ว่าไทม์ไลน์ค่อนข้างคลุมเครือสำหรับช่องโหว่ที่ค่อนข้างอันตราย Paul
ASUS เตือนลูกค้าเราเตอร์: แพตช์ทันที หรือบล็อกคำขอขาเข้าทั้งหมด
เป็ด. ใช่ ยังไม่ชัดเจนนักเมื่อแพตช์เหล่านี้ออกมาสำหรับเราเตอร์รุ่นต่างๆ มากมายที่มีรายชื่ออยู่ในคำแนะนำ
ผู้อ่านของเราบางคนพูดว่า “ฉันไปดูมาแล้ว ฉันมีหนึ่งในเราเตอร์เหล่านั้นและอยู่ในรายการ แต่ไม่มีโปรแกรมแก้ไข *ตอนนี้* แต่ฉันเพิ่งได้รับแพตช์เมื่อไม่นานมานี้ซึ่งดูเหมือนว่าจะแก้ไขปัญหาเหล่านี้ได้… แล้วทำไมต้องมีคำแนะนำ *ตอนนี้*”
และคำตอบคือ “เราไม่รู้”
ยกเว้นบางทีที่ ASUS ได้ค้นพบว่าพวกอาชญากรกำลังเข้าสู่สิ่งเหล่านี้?
แต่ไม่ใช่แค่ "เฮ้ เราขอแนะนำให้คุณแก้ไข"
พวกเขากำลังบอกว่าคุณต้องแก้ไข และหากคุณไม่เต็มใจหรือไม่สามารถทำได้ เราก็ “ขอแนะนำอย่างยิ่งให้ (ซึ่งโดยทั่วไปหมายถึง 'คุณมีดีกว่า') ปิดใช้งานบริการที่เข้าถึงได้จากฝั่ง WAN ของเราเตอร์เพื่อหลีกเลี่ยงการบุกรุกที่ไม่พึงประสงค์ที่อาจเกิดขึ้น”
และนั่นไม่ใช่แค่คำเตือนทั่วไปของคุณ “โอ้ ตรวจสอบให้แน่ใจว่าส่วนติดต่อผู้ดูแลระบบของคุณไม่ปรากฏบนอินเทอร์เน็ต”
พวกเขาสังเกตว่าสิ่งที่พวกเขาหมายถึงโดยการบล็อกคำขอที่เข้ามาคือคุณต้องปิด *ทุกอย่าง* โดยทั่วไปที่เกี่ยวข้องกับเราเตอร์ที่ยอมรับการเชื่อมต่อภายนอกที่เริ่มต้นการเชื่อมต่อเครือข่าย...
…รวมถึงการดูแลระบบจากระยะไกล การส่งต่อพอร์ต (โชคไม่ดีถ้าคุณใช้สิ่งนั้นสำหรับการเล่นเกม) DNS แบบไดนามิก เซิร์ฟเวอร์ VPN ใดๆ และสิ่งที่พวกเขาเรียกว่าพอร์ตทริกเกอร์ ซึ่งฉันเดาว่าพอร์ตน็อค ซึ่งคุณรอการเชื่อมต่อเฉพาะและเมื่อคุณ ดูว่าการเชื่อมต่อนั้นคุณเปิดใช้บริการในเครื่องหรือไม่
ดังนั้นจึงไม่ใช่แค่คำขอเว็บเท่านั้นที่อันตรายที่นี่ หรืออาจมีข้อผิดพลาดบางอย่างที่ทำให้บางคนเข้าสู่ระบบด้วยชื่อผู้ใช้ลับ
มันคือทราฟฟิกเครือข่ายหลายประเภทที่หากสามารถเข้าถึงเราเตอร์ของคุณจากภายนอกได้ ดูเหมือนว่าเราเตอร์ของคุณอาจพังได้
มันฟังดูเร่งด่วนชะมัด!
ดั๊ก. ช่องโหว่หลักสองจุดที่นี่...
…มีฐานข้อมูลช่องโหว่แห่งชาติ หรือ NVD ซึ่งให้คะแนนช่องโหว่ในระดับหนึ่งถึงสิบ และทั้งสองอย่างนี้คือ 9.8/10
แล้วก็มีอันอื่นๆ มากมายที่เป็น 7.5, 8.1, 8.8... เยอะแยะมากมายที่ค่อนข้างอันตรายตรงนี้ พอล
เป็ด. ใช่.
“9.8 CRITICAL” เป็นตัวพิมพ์ใหญ่ทั้งหมด มีความหมายว่า [WHISPERING] “ถ้าพวกมิจฉาชีพคิดออก พวกเขาจะจัดการให้หมดเหมือนผื่น”
และสิ่งที่อาจแปลกประหลาดที่สุดเกี่ยวกับช่องโหว่ที่มีคะแนนความเลวร้าย 9.8/10 สองตัวนี้คือ หนึ่งในนั้นคือ CVE-2022-26376 และนั่นเป็นข้อบกพร่องใน HTTP Unescaping ซึ่งก็คือเมื่อคุณมี URL ที่มีอักขระตลกๆ เช่น ช่องว่าง…
…คุณไม่สามารถมีช่องว่างใน URL ได้ตามกฎหมาย คุณต้องใส่ %20
รหัสฐานสิบหกแทน
นั่นเป็นพื้นฐานในการประมวลผล URL ทุกประเภทบนเราเตอร์
และนั่นคือบั๊กที่ถูกเปิดเผย อย่างที่คุณเห็นจากตัวเลขในปี 2022!
และยังมีอีกอันหนึ่งในโปรโตคอลที่เรียกว่า Netatalk (ที่ให้การสนับสนุนสำหรับคอมพิวเตอร์ Apple) ซึ่งเป็นช่องโหว่ Doug, CVE-2018-1160
ดั๊ก. นั่นเป็นเวลานานแล้ว!
เป็ด. มันเป็น!
ได้รับการแก้ไขแล้วในเวอร์ชันของ Netatalk ซึ่งฉันคิดว่าเป็นเวอร์ชัน 3.1.12 ซึ่งออกมาเมื่อวันที่ 20 ธันวาคม *2018*
และพวกเขาแค่เตือนว่า “คุณต้องดาวน์โหลด Netatalk เวอร์ชันใหม่” ในตอนนี้ เพราะดูเหมือนว่าสามารถถูกโจมตีผ่านแพ็กเก็ตอันธพาลได้เช่นกัน
คุณจึงไม่จำเป็นต้องมี Mac; คุณไม่จำเป็นต้องใช้ซอฟต์แวร์ของ Apple
คุณแค่ต้องการบางอย่างที่พูดถึง Netatalk ในลักษณะหลบๆ ซ่อนๆ และมันสามารถให้สิทธิ์ในการเขียนหน่วยความจำโดยพลการ
และด้วยคะแนนบั๊ก 9.8/10 คุณต้องถือว่านั่นหมายความว่า “คนนอกระยะไกลโผล่เข้ามาในแพ็กเก็ตเครือข่ายหนึ่งหรือสองแพ็กเก็ต เข้าควบคุมเราเตอร์ของคุณทั้งหมดด้วยการเข้าถึงระดับรูท การรันโค้ดจากระยะไกลอย่างน่ากลัว!”
ค่อนข้างว่าทำไมพวกเขาถึงใช้เวลานานขนาดนั้นในการเตือนผู้คนว่าพวกเขาจำเป็นต้องได้รับการแก้ไขสำหรับข้อบกพร่องอายุห้าปีนี้...
…และทำไมพวกเขาถึงไม่มีการแก้ไขข้อบกพร่องอายุห้าปีเมื่อห้าปีก่อนจริง ๆ นั้นไม่ได้อธิบาย
ดั๊ก. โอเค มีรายชื่อเราเตอร์ที่คุณควรตรวจสอบ และถ้าคุณไม่สามารถแพตช์ได้ คุณก็ควรจะทำทุกอย่างที่ "ปิดกั้นข้อมูลขาเข้าทั้งหมด"
แต่ฉันคิดว่าคำแนะนำของเราจะแก้ไข
และคำแนะนำที่ฉันชอบ: หากคุณเป็นโปรแกรมเมอร์ กรุณาทำความสะอาดอินพุตของคุณด้วย!
เป็ด. ใช่ โต๊ะบ๊อบบี้ตัวน้อยปรากฏตัวอีกแล้ว ดั๊ก
เนื่องจากข้อบกพร่องอื่น ๆ ที่ไม่ได้อยู่ที่ระดับ 9.8 (ซึ่งอยู่ที่ระดับ 7/10 หรือ 8/10) คือ CVE-2023-28702
มันเป็นข้อผิดพลาดประเภท MOVEit ซ้ำแล้วซ้ำอีก: อักขระพิเศษที่ไม่ได้กรองในการป้อน URL ของเว็บอาจทำให้เกิดการแทรกคำสั่ง
ฟังดูเหมือนเป็นพู่กันที่ค่อนข้างกว้างสำหรับอาชญากรไซเบอร์
และมี CVE-2023-31195 ที่ดึงดูดความสนใจของฉัน ภายใต้หน้ากากของ การจี้เซสชัน.
โปรแกรมเมอร์กำลังตั้งค่าสิ่งที่เป็นคุกกี้โทเค็นการพิสูจน์ตัวตนโดยพื้นฐานแล้ว… สตริงวิเศษเหล่านั้นที่หากเบราว์เซอร์สามารถป้อนกลับคำขอในอนาคตได้ จะพิสูจน์ให้เซิร์ฟเวอร์เห็นว่าก่อนหน้านี้ในเซสชันที่ผู้ใช้เข้าสู่ระบบ มีชื่อผู้ใช้ที่ถูกต้อง รหัสผ่านที่ถูกต้อง รหัส 2FA ที่ถูกต้อง อะไรก็ได้
และตอนนี้พวกเขากำลังนำ "การ์ดการเข้าถึง" วิเศษนี้
ดังนั้น คุณควรติดแท็กคุกกี้เหล่านั้นเมื่อคุณตั้งค่า เพื่อไม่ให้มีการส่งคำขอ HTTP ที่ไม่ได้เข้ารหัส
ด้วยวิธีนี้ทำให้มิจฉาชีพสามารถจี้พวกเขาได้ยากขึ้นมาก… และพวกเขาก็ลืมที่จะทำเช่นนั้น!
นั่นเป็นอีกสิ่งหนึ่งสำหรับโปรแกรมเมอร์: ไปและตรวจสอบวิธีที่คุณตั้งค่าคุกกี้ที่สำคัญจริงๆ คุกกี้ที่มีข้อมูลส่วนตัวในคุกกี้หรือมีข้อมูลการตรวจสอบสิทธิ์ในคุกกี้ และตรวจสอบให้แน่ใจว่าคุณไม่ได้ปล่อยให้คุกกี้เหล่านี้ถูกเปิดเผยโดยไม่ได้ตั้งใจและง่ายดาย
ดั๊ก. ฉันกำลังทำเครื่องหมายเรื่องนี้ (เทียบกับการตัดสินใจที่ดีกว่าของฉัน แต่นี่เป็นเรื่องที่สองในสองเรื่องจนถึงตอนนี้) เป็นเรื่องที่เราจะจับตามอง
เป็ด. ฉันคิดว่าคุณพูดถูก Doug เพราะฉันไม่รู้จริงๆ ว่าทำไม เนื่องจากเราเตอร์บางตัวมีแพตช์เหล่านี้ปรากฏขึ้นแล้ว (แม้ว่าจะช้ากว่าที่คุณอาจต้องการ)... ทำไม *ตอนนี้*
และฉันเดาว่าส่วนหนึ่งของเรื่องราวยังคงต้องเกิดขึ้น
ดั๊ก. กลายเป็นว่าเราไม่สามารถ *ไม่* จับตาดูเรื่องราวของ MOVEit นี้ได้เลย
สัปดาห์นี้เรามีอะไรบ้าง พอล?
เป็ด. น่าเศร้าสำหรับ Progress Software รถบัสคันที่สามมาพร้อมกันเหมือนเดิม [หัวเราะ]
สรุปง่ายๆ ตัวแรกคือ CVE-2023-34362 ซึ่งเป็นตอนที่ Progress Software พูดว่า “ไม่นะ! มีซีโร่เดย์ – เราไม่รู้เรื่องนี้อย่างแท้จริง เป็นการฉีด SQL ซึ่งเป็นปัญหาการฉีดคำสั่ง นี่คือแพทช์ แต่มันเป็นซีโร่เดย์ และเรารู้เรื่องนี้เพราะพวกโจรแรนซัมแวร์ นักขู่กรรโชก ใช้ประโยชน์จากสิ่งนี้อย่างจริงจัง นี่คือตัวบ่งชี้ของการประนีประนอม [IoCs]”
ดังนั้นพวกเขาจึงทำสิ่งที่ถูกต้องทั้งหมดโดยเร็วที่สุดเท่าที่ทำได้ เมื่อพวกเขารู้ว่ามีปัญหา
จากนั้นพวกเขาก็ไปตรวจทานโค้ดของตนเอง โดยคิดว่า "คุณรู้อะไรไหม ถ้าโปรแกรมเมอร์ทำผิดพลาดในที่เดียว บางทีพวกเขาอาจทำผิดพลาดที่คล้ายกันในส่วนอื่นๆ ของโค้ดด้วย"
และนั่นนำไปสู่ CVE-2023-35036 ซึ่งพวกเขาทำการอุดรูที่เหมือนกับรูเดิมในเชิงรุก แต่เท่าที่รู้ พวกเขาพบมันก่อน
และดูเถิด มีช่องโหว่ที่สามแล้ว
อันนี้คือ CVE-2023-35708 ซึ่งดูเหมือนว่าผู้ที่พบมันรู้ดีอยู่เต็มอกว่า Progress Software เปิดกว้างต่อการเปิดเผยอย่างมีความรับผิดชอบและการตอบสนองอย่างรวดเร็ว...
…ตัดสินใจที่จะเปิดเผยต่อสาธารณะต่อไป
ดังนั้นฉันจึงไม่รู้ว่าคุณเรียกสิ่งนั้นว่า “'การเปิดเผยข้อมูลทั้งหมด” (ฉันคิดว่านั่นเป็นชื่อทางการ) “การเปิดเผยที่ขาดความรับผิดชอบ” (ฉันได้ยินมาว่าคนอื่นที่ Sophos เรียกแบบนี้) หรือ “การทิ้ง 0-day for fun” ซึ่งผมคิดเช่นนั้น
น่าเสียดายเล็กน้อย
ดังนั้น Progress Software จึงพูดว่า "ดูสิ มีคนทิ้งวันที่ 0 นี้ไปแล้ว; เราไม่รู้เกี่ยวกับมัน เรากำลังทำงานกับแพตช์ ในช่วงเวลาสั้นๆ นี้ เพียงแค่ปิดเว็บอินเตอร์เฟสของคุณ (เรารู้ว่ามันยุ่งยาก) และปล่อยให้เราทดสอบแพตช์ให้เสร็จสิ้น”
และภายในเวลาประมาณหนึ่งวันพวกเขาพูดว่า "ใช่ นี่คือแพตช์ ตอนนี้ใช้มัน จากนั้น ถ้าคุณต้องการ คุณสามารถเปิดอินเทอร์เฟซเว็บของคุณอีกครั้ง”
ดังนั้น ฉันคิดว่าโดยรวมแล้ว แม้ว่ามันจะดูแย่สำหรับ Progress Software ที่มีบั๊กตั้งแต่แรก...
…หากเหตุการณ์นี้เกิดขึ้นกับคุณ การทำตามวิธีตอบสนองของพวกเขาในความคิดของฉัน เป็นวิธีที่ค่อนข้างดีทีเดียวที่จะทำ!
ดั๊ก. ใช่ เราชื่นชม Progress Software รวมถึงความคิดเห็นของเราในสัปดาห์นี้เกี่ยวกับเรื่องนี้
อดัมแสดงความคิดเห็น:
ดูเหมือนว่า MOVEit จะดูไม่ค่อยดีนักในช่วงนี้ แต่ฉันขอปรบมือให้กับพวกเขาสำหรับการทำงานที่รวดเร็ว เชิงรุก และดูเหมือนจะตรงไปตรงมา
ในทางทฤษฎีแล้ว พวกเขาอาจพยายามทำให้ทุกอย่างเงียบลง แต่พวกเขากลับค่อนข้างรู้ล่วงหน้าเกี่ยวกับปัญหาและสิ่งที่ต้องทำเกี่ยวกับเรื่องนี้
อย่างน้อยก็ทำให้พวกเขาดูน่าเชื่อถือมากขึ้นในสายตาของฉัน...
…และฉันคิดว่านั่นเป็นความรู้สึกที่แบ่งปันกับคนอื่นๆ ด้วยเช่นกัน พอล
เป็ด. มันใช่แน่ ๆ.
เราได้ยินสิ่งเดียวกันนี้บนช่องทางโซเชียลมีเดียของเราเช่นกัน: แม้ว่าจะเป็นเรื่องน่าเสียใจที่พวกเขามีบั๊ก และทุกคนก็หวังว่าพวกเขาจะไม่เป็นเช่นนั้น แต่พวกเขาก็ยังมีแนวโน้มที่จะไว้วางใจบริษัท
ในความเป็นจริงพวกเขาอาจมีแนวโน้มที่จะไว้วางใจ บริษัท มากกว่าที่เคยเป็นมาเพราะพวกเขาคิดว่าพวกเขาจะใจเย็นในภาวะวิกฤต
ดั๊ก. ดีมาก
ได้เลย ขอบคุณ อดัม ที่ส่งมา
หากคุณมีเรื่องราว ข้อคิดเห็น หรือคำถามที่น่าสนใจที่คุณต้องการส่ง เรายินดีที่จะอ่านในพอดแคสต์
คุณสามารถส่งอีเมลไปที่ tips@sophos.com หรือแสดงความคิดเห็นในบทความของเรา หรือจะติดต่อหาเราบนโซเชียล: @nakedsecurity
นั่นคือการแสดงของเราในวันนี้ ขอบคุณมากสำหรับการฟัง
สำหรับ Paul Ducklin ฉัน Doug Aamoth เตือนคุณถึงครั้งต่อไปที่จะ...
ทั้งสอง รักษาความปลอดภัย!
[โมเด็มดนตรี]
- เนื้อหาที่ขับเคลื่อนด้วย SEO และการเผยแพร่ประชาสัมพันธ์ รับการขยายวันนี้
- การเงิน EVM ส่วนต่อประสานแบบครบวงจรสำหรับการเงินแบบกระจายอำนาจ เข้าถึงได้ที่นี่.
- กลุ่มสื่อควอนตัม IR/PR ขยาย เข้าถึงได้ที่นี่.
- เพลโตไอสตรีม. ข้อมูลอัจฉริยะ Web3 ขยายความรู้ เข้าถึงได้ที่นี่.
- ที่มา: https://nakedsecurity.sophos.com/2023/06/22/s3-ep140-so-you-think-you-know-ransomware/
- :มี
- :เป็น
- :ไม่
- :ที่ไหน
- $ 10 ล้าน
- $ ขึ้น
- 000
- 1
- 10
- 12
- 20
- 200
- 2023
- 28
- 2FA
- 7
- 8
- 9
- a
- เกี่ยวกับเรา
- เกี่ยวกับมัน
- อย่างแน่นอน
- ยอมรับ
- ยอมรับ
- เข้า
- สามารถเข้าถึงได้
- อย่างกระตือรือร้น
- จริง
- อาดัม
- เพิ่ม
- ผู้ดูแลระบบ
- การบริหาร
- ที่ยอมรับ
- คำแนะนำ
- ที่ปรึกษา
- หลังจาก
- อีกครั้ง
- กับ
- เวลานาน
- มาแล้ว
- ทั้งหมด
- ถูกกล่าวหา
- ตาม
- แล้ว
- Alright
- ด้วย
- แม้ว่า
- am
- an
- และ
- ประกาศ
- อื่น
- คำตอบ
- คำตอบ
- ที่คาดการณ์ไว้
- ใด
- ทุกแห่ง
- อุทธรณ์
- ปรากฏ
- Apple
- ใช้
- เป็น
- รอบ
- บทความ
- AS
- ช่วยเหลือ
- At
- ความสนใจ
- เสียง
- การยืนยันตัวตน
- ผู้เขียน
- เจ้าหน้าที่
- ใช้ได้
- หลีกเลี่ยง
- กลับ
- ไม่ดี
- ตาม
- ขั้นพื้นฐาน
- เป็นพื้น
- BE
- หมี
- เพราะ
- กลายเป็น
- รับ
- ก่อน
- ด้านล่าง
- ดีกว่า
- ใหญ่
- พันล้าน
- บิต
- ปิดกั้น
- การปิดกั้น
- Bobby
- ทั้งสอง
- ซื้อ
- ยี่ห้อ
- แบรนด์นิว
- ทำลาย
- การนำ
- British
- กว้าง
- เบราว์เซอร์
- Bug
- เป็นโรคจิต
- พวง
- รถบัส
- ธุรกิจ
- รูปแบบธุรกิจ
- แต่
- by
- คำนวณ
- โทรศัพท์
- ที่เรียกว่า
- มา
- CAN
- สามารถรับ
- โรคมะเร็ง
- ไม่ได้
- เมืองหลวง
- รถยนต์
- กรณี
- จับ
- ก่อให้เกิด
- อย่างแน่นอน
- การเปลี่ยนแปลง
- ช่อง
- อักขระ
- ตรวจสอบ
- อ้างว่า
- การเรียกร้อง
- ชัดเจน
- เมฆ
- รหัส
- COM
- อย่างไร
- ความเห็น
- ความคิดเห็น
- บริษัท
- เข้ากันได้
- อย่างสมบูรณ์
- การประนีประนอม
- คอมพิวเตอร์
- การคำนวณ
- ประณาม
- การเชื่อมต่อ
- เนื้อหา
- อย่างต่อเนื่อง
- แย้ง
- การลงโทษ
- คุ้กกี้
- เย็น
- ให้ความร่วมมือ
- ลิขสิทธิ์
- การละเมิดลิขสิทธิ์
- ได้
- ประเทศ
- ศาล
- ศาล
- ที่สร้างขึ้น
- อาชญากรรม
- วิกฤติ
- ลูกค้า
- อาชญากรไซเบอร์
- Dangerous
- ฐานข้อมูล
- วัน
- จัดการ
- ทศวรรษ
- ธันวาคม
- ตัดสินใจ
- จำเลย
- แผนก
- กระทรวงยุติธรรม
- อธิบาย
- รายละเอียด
- ผู้พัฒนา
- DID
- เสียชีวิต
- ความแตกต่าง
- ต่าง
- การเปิดเผย
- ค้นพบ
- DNS
- do
- สารคดี
- ทำ
- ไม่
- ดอลลาร์
- ทำ
- Dont
- ดอทคอม
- ลง
- ดาวน์โหลด
- หล่น
- ปรับตัวลดลง
- พลวัต
- ก่อน
- ก่อน
- ง่าย
- ขอบ
- ผล
- ความพยายาม
- ทั้ง
- ที่อื่น ๆ
- อีเมล
- ออกมา
- ให้กำลังใจ
- ภาษาอังกฤษ
- มหาศาล
- อย่างสิ้นเชิง
- ตอน
- เป็นหลัก
- แม้
- ในที่สุด
- เคย
- ทุกคน
- หลักฐาน
- เผง
- การปฏิบัติ
- อธิบาย
- ใช้ประโยชน์
- การเปิดรับ
- การกรรโชก
- ส่งผู้ร้ายข้ามแดน
- ตา
- ต้องเผชิญกับ
- ความจริง
- ไกล
- เอฟบีไอ
- กลัว
- ศึก
- การต่อสู้
- รูป
- คิด
- เนื้อไม่มีมัน
- ไฟล์
- เสร็จสิ้น
- ธรรมชาติ
- ชื่อจริง
- แก้ไขปัญหา
- การแก้ไข
- แฟลช
- ดังต่อไปนี้
- ดังต่อไปนี้
- สำหรับ
- ข้างหน้า
- พบ
- ผู้สร้าง
- ผู้ก่อตั้ง
- สี่
- เพื่อน
- ราคาเริ่มต้นที่
- เต็ม
- พื้นฐาน
- ตลก
- อนาคต
- การเล่นเกม
- ได้รับ
- ให้
- กำหนด
- Go
- ไป
- ดี
- ยิ่งใหญ่
- ผิด
- ห้องออกกำลังกาย
- มี
- เกิดขึ้น
- มี
- มี
- he
- พาดหัวข่าว
- หัว
- ได้ยิน
- โปรดคลิกที่นี่เพื่ออ่านรายละเอียดเพิ่มเติม
- จี้
- ของเขา
- ประวัติ
- ตี
- หลุม
- ความหวัง
- สรุป ความน่าเชื่อถือของ Olymp Trade?
- ที่ http
- HTTPS
- เจ็บ
- i
- if
- in
- ในอื่น ๆ
- ความโน้มเอียง
- รวมทั้ง
- เงินได้
- ขาเข้า
- เหลือเชื่อ
- ตัวชี้วัด
- บุคคล
- น่าอับอาย
- ข้อมูล
- การละเมิด
- อินพุต
- ปัจจัยการผลิต
- แทน
- ตั้งใจว่า
- น่าสนใจ
- อินเตอร์เฟซ
- อินเทอร์เน็ต
- เข้าไป
- การสอบสวน
- เกาะ
- ปัญหา
- IT
- ITS
- ผู้พิพากษา
- กรกฎาคม
- มิถุนายน
- เพียงแค่
- ความยุติธรรม
- เก็บ
- เก็บไว้
- คิม
- ชนิด
- การเคาะ
- ทราบ
- รู้ดี
- ที่รู้จักกัน
- ภาษา
- ใหญ่
- ชื่อสกุล
- ปีที่แล้ว
- ต่อมา
- กฏหมาย
- น้อยที่สุด
- ทิ้ง
- การออกจาก
- นำ
- ตามกฎหมาย
- ให้
- ช่วยให้
- ชั้น
- เบา
- กดไลก์
- รายการ
- จดทะเบียน
- การฟัง
- น้อย
- ที่อาศัยอยู่
- ในท้องถิ่น
- ล็อค
- เข้าสู่ระบบ
- เข้า
- นาน
- เวลานาน
- อีกต่อไป
- ดู
- การสูญเสีย
- สูญหาย
- Lot
- ความรัก
- โชค
- Mac
- ทำ
- มายากล
- หลัก
- ส่วนใหญ่
- ทำ
- ทำให้
- การทำ
- หลาย
- เครื่องหมาย
- มาก
- วัสดุ
- เรื่อง
- สูงสุด
- อาจ..
- me
- หมายความ
- วิธี
- ภาพบรรยากาศ
- เมกะ
- หน่วยความจำ
- ไมโครซอฟท์
- อาจ
- ล้าน
- ข้อผิดพลาด
- ความผิดพลาด
- แบบ
- โมเดล
- เป็นเงิน
- เงิน
- เดือน
- ข้อมูลเพิ่มเติม
- มากที่สุด
- ย้าย
- ย้าย
- mr
- มาก
- หลาย
- ดนตรี
- ดนตรี
- ต้อง
- my
- ความปลอดภัยเปล่า
- พอดคาสต์ความปลอดภัยเปลือยกาย
- ชื่อ
- คือ
- แห่งชาติ
- จำเป็นต้อง
- จำเป็น
- ความต้องการ
- เครือข่าย
- การรับส่งข้อมูลเครือข่าย
- ไม่เคย
- ใหม่
- นิวซีแลนด์
- ข่าว
- ถัดไป
- ไม่
- เด่น
- สังเกต
- ตอนนี้
- จำนวน
- of
- ปิด
- เป็นทางการ
- เก่า
- on
- ครั้งเดียว
- ONE
- คน
- ต่อเนื่อง
- เพียง
- เปิด
- ความคิดเห็น
- or
- ใบสั่ง
- เป็นต้นฉบับ
- แต่เดิม
- อื่นๆ
- ผลิตภัณฑ์อื่นๆ
- มิฉะนั้น
- ของเรา
- ออก
- ด้านนอก
- เกิน
- ของตนเอง
- แพ็คเก็ต
- ส่วนหนึ่ง
- ในสิ่งที่สนใจ
- ส่วน
- รหัสผ่าน
- ปะ
- แพทช์
- ปะ
- พอล
- ชำระ
- คน
- บางที
- ระยะเวลา
- คน
- ภาพถ่าย
- สถานที่
- เพลโต
- เพลโตดาต้าอินเทลลิเจนซ์
- เพลโตดาต้า
- ผู้เล่น
- วิงวอน
- ยินดี
- พอดคาสต์
- พอดคาสต์
- โพสต์
- ที่มีศักยภาพ
- ที่อาจเกิดขึ้น
- สวย
- ส่วนใหญ่
- ประถม
- สำคัญ
- คุก
- ส่วนตัว
- ข้อมูลส่วนตัว
- เชิงรุก
- อาจ
- ปัญหา
- การประมวลผล
- โปรเซสเซอร์
- โปรแกรมเมอร์
- โปรแกรมเมอร์
- การเขียนโปรแกรม
- ความคืบหน้า
- เด่นชัด
- คุณสมบัติ
- ดำเนินคดี
- โปรโตคอล
- พิสูจน์
- ให้
- สาธารณะ
- วัตถุประสงค์
- ใส่
- คำถาม
- คำถาม
- รวดเร็ว
- อย่างรวดเร็ว
- พิสัย
- ransomware
- ผื่น
- มาถึง
- อ่าน
- ผู้อ่าน
- การอ่าน
- จริงๆ
- เหตุผล
- ปะยางรถ
- แนะนำ
- เรียกว่า
- ปกติ
- จำ
- รีโมท
- ลบออก
- ทำซ้ำ
- การร้องขอ
- ตามลำดับ
- คำตอบ
- ความรับผิดชอบ
- รับผิดชอบ
- เปิดเผย
- ทบทวน
- สุดท้าย
- ขวา
- รีด
- ราก
- เราเตอร์
- RSS
- ครอง
- กล่าวว่า
- เกลือ
- เดียวกัน
- กล่าว
- คำพูด
- ขนาด
- คะแนน
- ที่สอง
- ลับ
- ความปลอดภัย
- เห็น
- ดูเหมือน
- ดูเหมือนว่า
- เห็น
- ส่วน
- การส่ง
- ประโยค
- ความรู้สึก
- ชุด
- เซิร์ฟเวอร์
- บริการ
- บริการ
- เซสชั่น
- ชุด
- การตั้งค่า
- ที่ใช้ร่วมกัน
- ในไม่ช้า
- น่า
- โชว์
- ด้าน
- สำคัญ
- คล้ายคลึงกัน
- So
- จนถึงตอนนี้
- สังคม
- โซเชียลมีเดีย
- ซอฟต์แวร์
- บาง
- บางคน
- บางสิ่งบางอย่าง
- เสียง
- Soundcloud
- ภาคใต้
- ช่องว่าง
- พิเศษ
- Spotify
- ยืน
- ที่เริ่มต้น
- คำแถลง
- เข้าพัก
- ขั้นตอน
- ยังคง
- จำนวนชั้น
- เรื่องราว
- หรือ
- ส่ง
- แนะนำ
- สนับสนุน
- ควร
- อย่างแน่นอน
- ระบบ
- ตาราง
- TAG
- เอา
- นำ
- ใช้เวลา
- พูดคุย
- เทคโนโลยี
- สิบ
- การทดสอบ
- กว่า
- ขอบคุณ
- ขอบคุณ
- ที่
- พื้นที่
- โลก
- ของพวกเขา
- พวกเขา
- แล้วก็
- ที่นั่น
- ล้อยางขัดเหล่านี้ติดตั้งบนแกน XNUMX (มม.) ผลิตภัณฑ์นี้ถูกผลิตในหลายรูปทรง และหลากหลายเบอร์ความแน่นหนาของปริมาณอนุภาคขัดของมัน จะทำให้ท่านได้รับประสิทธิภาพสูงในการขัดและการใช้งานที่ยาวนาน
- พวกเขา
- สิ่ง
- สิ่ง
- คิด
- ที่สาม
- นี้
- ในสัปดาห์นี้
- เหล่านั้น
- แต่?
- คิดว่า
- สาม
- น่าตื่นตาตื่นใจ
- ตลอด
- เวลา
- ไทม์ไลน์
- ครั้ง
- ไปยัง
- ในวันนี้
- โทเค็น
- เกินไป
- เอา
- เครื่องมือ
- ยาก
- การจราจร
- พยายาม
- วิกฤติ
- จริง
- วางใจ
- เชื่อถือได้
- กลับ
- หัน
- ผลัดกัน
- สอง
- ชนิด
- ตามแบบฉบับ
- ไม่สามารถ
- ภายใต้
- เข้าใจ
- ความเข้าใจ
- จนกระทั่ง
- ที่ไม่พึงประสงค์
- URL
- us
- ใช้
- ผู้ใช้งาน
- ต่างๆ
- พาหนะ
- รุ่น
- มาก
- ผ่านทาง
- วีดีโอ
- การดู
- มองเห็นได้
- VPN
- ช่องโหว่
- ความอ่อนแอ
- รอ
- ต้องการ
- อยาก
- คำเตือน
- เตือน
- นักรบ
- คือ
- คลื่น
- ทาง..
- we
- เว็บ
- สัปดาห์
- ดี
- ไป
- คือ
- อะไร
- อะไรก็ตาม
- เมื่อ
- ว่า
- ที่
- ในขณะที่
- WHO
- ทั้งหมด
- ทำไม
- จะ
- กับ
- ภายใน
- งาน
- ทำงาน
- การทำงาน
- โลก
- คุ้มค่า
- จะ
- เขียน
- เขียน
- ปี
- ปี
- ใช่
- ยัง
- คุณ
- ของคุณ
- นิวซีแลนด์
- ลมทะเล