แปลกแต่จริง
ไม่มีเครื่องเล่นเสียงด้านล่าง? ฟัง โดยตรง บนซาวด์คลาวด์
ดั๊ก เอมอธ และพอล ดักคลิน เพลงอินโทรและเอาท์โดย อีดิธ มัดจ์.
สามารถรับฟังเราได้ที่ Soundcloud, Apple Podcasts, Google Podcast, Spotify และทุกที่ที่มีพอดแคสต์ดีๆ หรือเพียงแค่วาง URL ของฟีด RSS ของเรา ลงในพอดแคตเตอร์ที่คุณชื่นชอบ
อ่านข้อความถอดเสียง
ดั๊ก. การปรับปรุง Firefox อื่น ๆ ข้อผิดพลาดด้วยชื่อที่น่าประทับใจและ ก.ล.ต. ต้องการให้เปิดเผย
ทั้งหมดนั้นและอีกมากมายในพอดแคสต์ Naked Security
[โมเด็มดนตรี]
ยินดีต้อนรับสู่พอดคาสต์ทุกคน
ฉัน Doug Aamoth; เขาคือพอล ดักคลิน
พอล ฉันหวังว่าคุณจะภูมิใจในตัวฉัน... ฉันรู้ว่าคุณเป็นคนชอบปั่นจักรยาน
เมื่อวานฉันขี่จักรยานเป็นระยะทาง 10 ไมล์ของอเมริกา ซึ่งฉันเชื่อว่าประมาณ 16 กม. โดยทั้งหมดดึงเด็กตัวเล็กแต่ไม่หนักตัวขึ้นหลังจักรยานในรถเข็นสองล้อ
และฉันยังมีชีวิตอยู่เพื่อบอกเล่าเรื่องราว
นั่นเป็นวิธีที่ไกลในการขี่จักรยาน พอล?
เป็ด. [หัวเราะ] ขึ้นอยู่กับว่าคุณต้องการไปไกลแค่ไหน
เช่น ถ้าคุณต้องไป 1200 เมตรจริง ๆ แล้วคุณหลงทาง… [หัวเราะ]
ความกระตือรือร้นในการปั่นจักรยานของฉันมีสูงมาก แต่ก็ไม่ได้หมายความว่าฉันจงใจปั่นให้ไกลกว่าที่จำเป็น เพราะมันคือทางหลักของฉันในการไปไหนมาไหน
แต่ 10 ไมล์ก็โอเค
คุณรู้หรือไม่ว่าไมล์ของอเมริกาและไมล์ของอังกฤษนั้นเหมือนกันจริง ๆ ?
ดั๊ก. เป็นเรื่องที่ดีที่จะรู้!
เป็ด. และนับตั้งแต่ปี 1959 เป็นต้นมา เมื่อหลายๆ ประเทศ ซึ่งรวมถึงแคนาดา แอฟริกาใต้ ออสเตรเลีย สหรัฐอเมริกา และสหราชอาณาจักรรวมตัวกันและตกลงที่จะสร้างมาตรฐานบน "นิ้วสากล"
ฉันคิดว่านิ้วอิมพีเรียลมีขนาดเล็กลงมากและนิ้วอเมริกันยาวขึ้นมากเล็กน้อย ซึ่งส่งผลให้นิ้ว (และดังนั้น หลา เท้า และไมล์)...
…ทั้งหมดถูกกำหนดเป็นหน่วยเมตร
หนึ่งนิ้วเท่ากับ 25.4 มม
ตัวเลขสำคัญสามตัวคือสิ่งที่คุณต้องการ
ดั๊ก. ที่น่าสนใจ!
พูดถึงเรื่องที่น่าสนใจก็ถึงเวลาของเรา สัปดาห์นี้ในประวัติศาสตร์เทคโนโลยี ส่วน
ในสัปดาห์นี้เมื่อวันที่ 01 สิงหาคม พ.ศ. 1981 Music Television หรือที่รู้จักในชื่อ MTV ได้ออกอากาศสดโดยเป็นส่วนหนึ่งของแพ็คเกจเคเบิลทีวีและดาวเทียมของอเมริกา และแนะนำให้สาธารณชนได้รู้จักมิวสิควิดีโอ
คนแรกเล่น [SINGS, RATHER WELL IN FACT] “Video Killed the Radio Star” โดย The Buggles
เหมาะสมแล้ว แม้ว่าในปัจจุบันจะดูน่าขันเพราะ MTV แทบไม่เล่นมิวสิควิดีโออีกต่อไป และไม่เล่นมิวสิควิดีโอใหม่เลย พอล
เป็ด. ใช่ มันเป็นเรื่องน่าขันใช่ไหม เคเบิลทีวี (หรืออีกนัยหนึ่งที่คุณมีสายไฟใต้ดินเข้าไปในบ้านของคุณ) ทำให้วิทยุ (หรือระบบไร้สาย) เสีย และตอนนี้ดูเหมือนว่าเคเบิลทีวี MTV… แบบนั้นเลิกรากันไปเพราะทุกคนมีเครือข่ายมือถือที่ทำงานแบบไร้สาย
อะไรก็เกิดขึ้นได้ ดักลาส
ดั๊ก. เอาล่ะ เรามาพูดถึงการอัปเดต Firefox เหล่านี้กันดีกว่า
เราได้รับการอัปเดต Firefox สองเท่าในเดือนนี้ เนื่องจากเป็นรอบ 28 วัน:
Firefox แก้ไขข้อบกพร่องจำนวนมากในการเปิดตัวครั้งแรกจากสองรายการในเดือนนี้
ไม่มีซีโร่เดย์ในรอบแรกนอกประตู แต่มีช่วงเวลาที่สอนได้
เราได้ระบุรายการเหล่านี้ไว้ครึ่งหนึ่งในบทความของคุณ และรายการที่โดดเด่นสำหรับฉันคือ: ขอบายพาสสิทธิ์ที่เป็นไปได้ผ่าน clickjacking
เป็ด. ใช่ clickjacking แบบเก่าที่ดีอีกครั้ง
ฉันชอบคำนั้นเพราะมันอธิบายว่ามันคืออะไร
คุณคลิกที่ไหนสักแห่งโดยคิดว่าคุณกำลังคลิกปุ่มหรือลิงก์ที่ไร้เดียงสา แต่คุณกำลังอนุญาตให้มีบางสิ่งเกิดขึ้นโดยไม่ได้ตั้งใจซึ่งไม่ชัดเจนจากสิ่งที่หน้าจอแสดงใต้เคอร์เซอร์ของเมาส์
ปัญหาในที่นี้ดูเหมือนว่าในบางกรณี เมื่อไดอะล็อกสิทธิ์กำลังจะเด้งขึ้นมาจาก Firefox เช่น ให้พูดว่า “คุณแน่ใจจริงๆ เหรอว่าต้องการให้เว็บไซต์นี้ใช้กล้องของคุณ? เข้าถึงตำแหน่งของคุณได้หรือไม่ ใช้ไมโครโฟนของคุณหรือไม่”…
…ทุกสิ่งที่คุณอยากจะถาม
เห็นได้ชัดว่า หากคุณนำเบราว์เซอร์ไปยังจุดประสิทธิภาพ (อีกครั้ง ประสิทธิภาพเทียบกับความปลอดภัย) ซึ่งยากที่จะตามให้ทัน คุณอาจชะลอการแสดงป๊อปอัปการอนุญาตได้
แต่ด้วยการมีปุ่มในตำแหน่งที่ป๊อปอัปจะปรากฏขึ้น และล่อให้ผู้ใช้คลิก คุณจะสามารถดึงดูดการคลิกได้ แต่การคลิกจะถูกส่งไปยังกล่องโต้ตอบสิทธิ์ที่คุณยังไม่เคยเห็นมาก่อน
ประเภทของสภาพการแข่งขันที่มองเห็นได้ ถ้าคุณต้องการ
ดั๊ก. ตกลง และอีกอันคือ: แคนวาสนอกจอสามารถข้ามข้อจำกัดข้ามต้นทางได้
คุณพูดต่อไปว่าหน้าเว็บหนึ่งสามารถดูภาพที่แสดงในหน้าอื่นจากไซต์อื่นได้
เป็ด. มันไม่ควรเกิดขึ้นใช่ไหม?
ดั๊ก. ไม่มี!
เป็ด. คำศัพท์เฉพาะสำหรับสิ่งนั้นคือ "นโยบายแหล่งกำเนิดเดียวกัน"
หากคุณใช้งานเว็บไซต์ X และส่ง JavaScript จำนวนมากซึ่งตั้งค่าคุกกี้ทั้งหมดมาให้ฉัน ทั้งหมดนี้จะถูกจัดเก็บไว้ในเบราว์เซอร์
แต่มีเพียง JavaScript เพิ่มเติมจากไซต์ X เท่านั้นที่สามารถอ่านข้อมูลกลับได้
การที่คุณกำลังเรียกดูไซต์ X ในแท็บเดียวและไซต์ Y ในอีกแท็บหนึ่งทำให้พวกเขาไม่สามารถแอบดูว่าอีกแท็บหนึ่งกำลังทำอะไรอยู่ และเบราว์เซอร์ควรจะแยกเนื้อหาทั้งหมดออกจากกัน
เห็นได้ชัดว่าค่อนข้างสำคัญ
และดูเหมือนว่าเท่าที่ฉันเข้าใจ หากคุณกำลังแสดงผลหน้าเว็บที่ยังไม่แสดง...
…ผืนผ้าใบนอกจอ ซึ่งเป็นที่ที่คุณสร้างหน้าเว็บเสมือนจริง ถ้าคุณต้องการ จากนั้นในอนาคต คุณจะพูดว่า “ตอนนี้ฉันพร้อมที่จะแสดงมันแล้ว” และบิงโก หน้าเว็บทั้งหมดจะปรากฏที่ ครั้งหนึ่ง.
ปัญหามาจากการพยายามทำให้แน่ใจว่าสิ่งที่คุณกำลังแสดงผลแบบล่องหนจะไม่ทำให้ข้อมูลรั่วไหลโดยไม่ได้ตั้งใจ แม้ว่าท้ายที่สุดแล้วมันจะไม่ได้แสดงให้ผู้ใช้เห็นก็ตาม
พวกเขาพบเห็นสิ่งนั้น หรือมีการเปิดเผยอย่างมีความรับผิดชอบ และได้รับการแก้ไขแล้ว
และฉันคิดว่าทั้งสองรวมอยู่ในช่องโหว่ที่เรียกว่า "ระดับสูง"
ส่วนอื่น ๆ ส่วนใหญ่เป็น "ปานกลาง" ยกเว้นแบบดั้งเดิมของ Mozilla "เราพบข้อบกพร่องมากมายผ่านการฟัซซิ่งและผ่านเทคนิคอัตโนมัติ เราไม่ได้สำรวจพวกเขาเพื่อดูว่าพวกเขาจะถูกเอารัดเอาเปรียบหรือไม่ แต่เราเต็มใจที่จะถือว่าคนที่พยายามอย่างหนักพอก็สามารถทำเช่นนั้นได้”
นั่นเป็นการยอมรับที่เราทั้งคู่ชอบมาก ดั๊ก… เพราะจุดบกพร่องที่อาจเกิดขึ้นนั้นมีค่าควรแก่การกำจัด แม้ว่าคุณจะรู้สึกมั่นใจในใจว่าจะไม่มีใครรู้วิธีใช้ประโยชน์จากมัน
เพราะในความปลอดภัยทางไซเบอร์ มันจ่ายไม่เคยที่จะพูดว่าไม่!
ดั๊ก. เอาล่ะ คุณกำลังมองหา Firefox 116 หรือถ้าคุณใช้รุ่นขยาย 115.1
เช่นเดียวกับธันเดอร์เบิร์ด
และไปต่อที่… โอ้มนุษย์!
พอล มันน่าตื่นเต้น!
เรามี BWAIN ใหม่หลังจากเพิ่ม BWAIN สองเท่าเมื่อสัปดาห์ที่แล้ว: บั๊กที่มีชื่อที่น่าประทับใจ
ตัวนี้ชื่อ ชน+อำนาจ:
การปะทะกันของประสิทธิภาพและความปลอดภัยอีกครั้งในการโจมตีแบบ “Collide+Power”
เป็ด. [หัวเราะ] ใช่ มันน่าสนใจใช่ไหมที่พวกเขาเลือกชื่อที่มีเครื่องหมายบวก
ดั๊ก. ใช่ นั่นทำให้มันยากที่จะพูด
เป็ด. คุณไม่สามารถมีเครื่องหมายบวกในชื่อโดเมนของคุณได้ ดังนั้นชื่อโดเมนจึงเป็น collidepower.com
.
ดั๊ก. เอาล่ะ ให้ฉันอ่านจากตัวนักวิจัยเอง และฉันก็พูดว่า:
ต้นตอของปัญหาคือส่วนประกอบของ CPU ที่ใช้ร่วมกัน เช่น ระบบหน่วยความจำภายใน รวมข้อมูลของผู้โจมตีและข้อมูลจากแอปพลิเคชันอื่น ส่งผลให้เกิดสัญญาณไฟรั่วรวมกันในการใช้พลังงาน
ดังนั้น เมื่อทราบข้อมูลของตนเอง ผู้โจมตีสามารถระบุค่าข้อมูลที่แน่นอนที่ใช้ในแอปพลิเคชันอื่นได้
เป็ด. [หัวเราะ] ใช่ มันสมเหตุสมผลมากถ้าคุณรู้อยู่แล้วว่าพวกเขากำลังพูดถึงอะไร!
เพื่อพยายามอธิบายสิ่งนี้เป็นภาษาอังกฤษธรรมดา (ฉันหวังว่าฉันเข้าใจถูกต้อง)...
สิ่งนี้ลงลึกไปถึงปัญหาด้านประสิทธิภาพเทียบกับปัญหาด้านความปลอดภัยที่เราเคยพูดถึงก่อนหน้านี้ รวมถึง พอดคาสต์ของสัปดาห์ที่แล้ว กับที่ เซนบลีด ข้อบกพร่อง (ซึ่งร้ายแรงกว่ามาก):
Zenbleed: การค้นหาประสิทธิภาพของ CPU อาจทำให้รหัสผ่านของคุณตกอยู่ในความเสี่ยงได้อย่างไร
มีข้อมูลจำนวนมากที่เก็บไว้ภายใน CPU (“แคช” เป็นคำศัพท์ทางเทคนิคสำหรับสิ่งนี้) เพื่อให้ CPU ไม่จำเป็นต้องไปดึงข้อมูลในภายหลัง
มีเรื่องภายในมากมายที่คุณจัดการไม่ได้จริงๆ CPU จะดูแลมันให้คุณ
และหัวใจของการโจมตีนี้ดูเหมือนจะเป็นเช่นนี้ ...
สิ่งที่ผู้โจมตีทำคือเข้าถึงตำแหน่งหน่วยความจำต่างๆ ในลักษณะที่พื้นที่เก็บข้อมูลแคชภายในจำตำแหน่งหน่วยความจำเหล่านั้นได้ ดังนั้น จึงไม่ต้องไปอ่านข้อมูลเหล่านั้นจาก RAM อีกครั้งหากมีการนำกลับมาใช้ใหม่อย่างรวดเร็ว
ดังนั้นผู้โจมตีจะได้รับค่าแคชเหล่านี้ซึ่งเต็มไปด้วยรูปแบบบิตที่ทราบ ค่าข้อมูลที่ทราบ
จากนั้น หากเหยื่อมีหน่วยความจำที่ *พวกเขา* ใช้บ่อย (เช่น ไบต์ในคีย์ถอดรหัส) หาก CPU ตัดสินว่าค่าของหน่วยความจำนั้นมีแนวโน้มว่าจะถูกนำกลับมาใช้ใหม่มากกว่าค่าหนึ่งของผู้โจมตี มันดึงมูลค่าของผู้โจมตีออกจากตำแหน่งแคชที่เร็วมากภายในนั้น และนำมูลค่าใหม่ซึ่งก็คือมูลค่าของเหยื่อไปไว้ในนั้น
และสิ่งที่นักวิจัยเหล่านี้ค้นพบ (และเท่าที่ฟังดูเหมือนการโจมตีในทางทฤษฎีและในทางปฏิบัติ นี่เป็นสิ่งที่น่าอัศจรรย์มากที่ได้ค้นพบ)...
จำนวนบิตที่แตกต่างกันระหว่างค่าเก่าในแคชและค่าใหม่ *เปลี่ยนปริมาณพลังงานที่ต้องใช้ในการดำเนินการอัปเดตแคช*
ดังนั้น หากคุณสามารถวัดการใช้พลังงานของ CPU ได้แม่นยำเพียงพอ คุณสามารถอนุมานได้ว่าค่าข้อมูลใดถูกเขียนลงในหน่วยความจำแคชภายในที่ซ่อนอยู่หรือมองไม่เห็นภายใน CPU ซึ่ง CPU คิดว่าไม่เกี่ยวกับธุรกิจของคุณ
น่าสนใจทีเดียว ดั๊ก!
ดั๊ก. โดดเด่น.
ตกลง มีการบรรเทาผลกระทบบางอย่าง
ส่วนนั้นเริ่มต้นด้วย: “ก่อนอื่น คุณไม่จำเป็นต้องกังวล” แต่ CPU เกือบทั้งหมดได้รับผลกระทบด้วย
เป็ด. ใช่ น่าสนใจใช่มั้ยล่ะ?
มันเขียนว่า “ก่อนอื่น” (ข้อความปกติ) “เธอ" (ในตัวเอน) "ไม่จำเป็นต้องกังวล" (ตัวหนา). [หัวเราะ]
โดยพื้นฐานแล้วจะไม่มีใครโจมตีคุณด้วยสิ่งนี้ แต่บางทีผู้ออกแบบ CPU อาจต้องการคิดถึงเรื่องนี้ในอนาคตหากมีวิธีแก้ไข [หัวเราะ]
ฉันคิดว่ามันเป็นวิธีที่น่าสนใจในการใส่มัน
ดั๊ก. ตกลง ดังนั้นการลดขนาดโดยพื้นฐานแล้วคือการปิดไฮเปอร์เธรด
มันทำงานอย่างไร?
เป็ด. ไฮเปอร์เธรดทำให้สิ่งนี้แย่ลงมากเท่าที่ฉันเห็น
เราทราบดีอยู่แล้วว่าไฮเปอร์เธรดดิ้งเป็นปัญหาด้านความปลอดภัยเนื่องจากมีช่องโหว่มากมายที่ขึ้นอยู่กับช่องโหว่นี้มาก่อน
เป็นที่ที่ CPU ที่มี 16 คอร์กำลังแสร้งทำเป็นว่ามี XNUMX คอร์ แต่จริงๆ แล้วพวกมันไม่ได้อยู่คนละส่วนกันของชิป
พวกมันเป็นคู่ของแกนหลอกเทียมที่ใช้อุปกรณ์อิเล็กทรอนิกส์มากขึ้น ทรานซิสเตอร์มากขึ้น ตัวเก็บประจุมากขึ้น ซึ่งอาจจะเป็นความคิดที่ดีด้วยเหตุผลด้านความปลอดภัย
หากคุณใช้ OpenBSD แบบเก่าที่ดี ฉันคิดว่าพวกเขาตัดสินใจว่าการทำไฮเปอร์เธรดนั้นยากเกินไปที่จะรักษาความปลอดภัยด้วยการลดขนาด ก็อาจปิดได้เช่นกัน
เมื่อถึงเวลาที่คุณได้รับประสิทธิภาพการทำงานที่ต้องการการลดระดับ คุณก็อาจไม่ได้รับมันเช่นกัน
ดังนั้นฉันคิดว่า ปิดไฮเปอร์เธรด จะสร้างภูมิคุ้มกันให้คุณอย่างมากจากการโจมตีนี้
อย่างที่สองที่คุณทำได้คือ อย่างที่ผู้เขียนพูดเป็นตัวหนา: ไม่ต้องกังวล. [เสียงหัวเราะ]
ดั๊ก. นั่นเป็นการบรรเทาที่ยอดเยี่ยม! [หัวเราะ]
เป็ด. มีบิตที่ดี (ฉันต้องอ่านออก Doug)...
มีข้อดีอย่างหนึ่งที่นักวิจัยพบว่าเพื่อให้ได้ข้อมูลที่เชื่อถือได้ พวกเขาได้รับอัตราข้อมูลที่อยู่ระหว่าง 10 บิตถึง 100 บิตต่อชั่วโมงออกจากระบบ
ฉันเชื่อว่าอย่างน้อย CPU ของ Intel มีการลดผลกระทบที่ฉันคิดว่าจะช่วยในเรื่องนี้ได้
และสิ่งนี้นำเรากลับไปที่ MSR การลงทะเบียนเฉพาะรุ่นที่เราพูดถึงเมื่อสัปดาห์ที่แล้วกับ Zenbleed ซึ่งมีบิตวิเศษที่คุณสามารถเปิดใช้งานได้ โดยกล่าวว่า "อย่าทำสิ่งที่เสี่ยง"
มีคุณสมบัติที่คุณสามารถตั้งค่าได้ การกรอง RAPLและ RAPL ย่อมาจาก ใช้ขีดจำกัดพลังงานเฉลี่ย.
ถูกใช้โดยโปรแกรมที่ต้องการดูว่า CPU ทำงานอย่างไรเพื่อวัตถุประสงค์ในการจัดการพลังงาน ดังนั้นคุณจึงไม่ต้องเจาะเข้าไปในห้องเซิร์ฟเวอร์และวางตัวตรวจสอบพลังงานเข้ากับสายที่มีโพรบเล็กๆ บนเมนบอร์ด [หัวเราะ]
คุณสามารถให้ CPU บอกคุณได้ว่ากำลังไฟเท่าไร
อย่างน้อย Intel ก็มีโหมดนี้ที่เรียกว่าการกรอง RAPL ซึ่งทำให้เกิด jitter หรือข้อผิดพลาดโดยเจตนา
ดังนั้นคุณจะได้ผลลัพธ์ที่โดยเฉลี่ยแล้วแม่นยำ แต่ที่การอ่านแต่ละครั้งจะถูกปิด
ดั๊ก. ตอนนี้เรามาสนใจกับข้อตกลง SEC ใหม่นี้กันดีกว่า
คณะกรรมการความปลอดภัยและการแลกเปลี่ยนเรียกร้องให้มีการจำกัดการเปิดเผยสี่วันสำหรับการละเมิดความปลอดภัยทางไซเบอร์:
ก.ล.ต. เรียกร้องให้มีการจำกัดการเปิดเผยข้อมูลเป็นเวลา XNUMX วันสำหรับการละเมิดความปลอดภัยทางไซเบอร์
แต่ (ก) คุณต้องตัดสินใจว่าการโจมตีนั้นร้ายแรงพอที่จะรายงานหรือไม่ และ (ข) ขีดจำกัดสี่วันจะไม่เริ่มต้นจนกว่าคุณจะตัดสินใจว่ามีอะไรสำคัญพอที่จะรายงาน พอล
การเริ่มต้นครั้งแรกที่ดี แต่อาจจะไม่ดุดันเท่าที่เราต้องการ?
เป็ด. ฉันเห็นด้วยกับการประเมินของคุณที่นั่น ดั๊ก
ฟังดูดีมากเมื่อฉันดูครั้งแรก: "เฮ้ คุณได้รับการเปิดเผยสี่วันนี้หากคุณมีการละเมิดข้อมูลหรือปัญหาด้านความปลอดภัยในโลกไซเบอร์"
แต่แล้วก็มีเรื่องประมาณว่า “ก็ต้องถือว่าเป็นปัญหาสำคัญ” ซึ่งเป็นศัพท์ทางกฎหมายที่หมายความว่า จริง ๆ แล้วเรื่องนั้นสำคัญพอที่จะเปิดเผยตั้งแต่แรก
จากนั้นฉันก็มาถึงจุดนั้น (และไม่ใช่ข่าวประชาสัมพันธ์ที่ยาวมากโดย SEC) ที่กล่าวว่า "ทันทีที่คุณตัดสินใจว่าคุณควรรายงานเรื่องนี้จริงๆ คุณยังมีเวลาอีกสี่วัน ให้ไปแจ้งความ”
ตอนนี้ ฉันคิดว่าในทางกฎหมายแล้ว มันไม่ได้ผลเสียทีเดียว ดั๊ก
บางทีเราอาจจะรุนแรงไปหน่อยในบทความ?
ดั๊ก. คุณขยายการโจมตีของแรนซัมแวร์ โดยบอกว่ามีประเภทต่างๆ อยู่สองสามประเภท ดังนั้นเรามาพูดถึงเรื่องนั้นกันดีกว่า... สิ่งสำคัญคือการพิจารณาว่านี่เป็นการโจมตีทางวัตถุที่คุณต้องรายงานหรือไม่
เรากำลังดูแรนซัมแวร์ประเภทไหนอยู่?
เป็ด. ใช่ แค่อธิบาย ฉันคิดว่านั่นเป็นส่วนสำคัญของเรื่องนี้
ไม่ใช่ชี้นิ้วไปที่ ก.ล.ต. แต่นี่เป็นสิ่งที่ดูเหมือนจะไม่ได้รับการเปิดเผยในหลายประเทศหรือหลายประเทศ ...
…ไม่ว่าเพียงแค่ต้องทนทุกข์ทรมานจากการโจมตีของแรนซัมแวร์ก็เพียงพอที่จะเป็นการละเมิดข้อมูลอย่างหลีกเลี่ยงไม่ได้
เอกสาร ก.ล.ต. นี้ไม่ได้กล่าวถึง “R-word” เลย
ไม่มีการกล่าวถึงสิ่งที่เจาะจงเกี่ยวกับแรนซัมแวร์
และแรนซัมแวร์คือปัญหาใช่ไหม
ในบทความนี้ ฉันต้องการทำให้ชัดเจนว่าคำว่า “แรนซัมแวร์” ซึ่งเรายังคงใช้กันอย่างแพร่หลายไม่ใช่คำที่ถูกต้องอีกต่อไป ใช่หรือไม่?
เราน่าจะเรียกมันว่า “แบล็กเมล์แวร์” หรือเรียกง่ายๆ ว่า “การกรรโชกทางไซเบอร์”
ฉันระบุการโจมตีแรนซัมแวร์สามประเภทหลัก
ประเภท A เป็นที่ที่อาชญากรไม่ขโมยข้อมูลของคุณ พวกเขาเพียงแค่ช่วงชิงข้อมูลของคุณในแหล่งกำเนิด
พวกเขาจึงไม่จำเป็นต้องอัปโหลดสิ่งใดเลย
พวกเขาช่วงชิงทั้งหมดในลักษณะที่สามารถให้คีย์ถอดรหัสแก่คุณได้ แต่คุณจะไม่เห็นข้อมูลแม้แต่ไบต์เดียวออกจากเครือข่ายของคุณเป็นสัญญาณที่บ่งบอกว่ามีสิ่งเลวร้ายเกิดขึ้น
จากนั้นก็มีการโจมตีแรนซั่มแวร์ Type B ซึ่งอาชญากรไป "คุณรู้อะไรไหม เราจะไม่เสี่ยงเขียนไฟล์ทั้งหมดและถูกจับได้ว่าทำเช่นนั้น เราแค่จะขโมยข้อมูลทั้งหมด และแทนที่จะจ่ายเงินเพื่อให้ได้ข้อมูลของคุณกลับมา คุณกลับจ่ายเงินให้กับความเงียบของเรา”
และแน่นอนว่ามีการโจมตีแรนซัมแวร์ประเภท C และนั่นคือ: “ทั้ง A และ B”
นั่นคือที่ที่มิจฉาชีพจะขโมยข้อมูลของคุณ *และ* พวกเขาช่วงชิงข้อมูลนั้นและพวกเขาก็พูดว่า “นี่ ถ้าไม่ใช่สิ่งหนึ่งที่จะทำให้คุณเดือดร้อน ก็เป็นอีกสิ่งหนึ่ง”
และคงจะดีหากรู้ว่าสิ่งใดที่ฉันเชื่อว่าในวงการกฎหมายเรียกว่าสาระสำคัญ (อีกนัยหนึ่ง ความสำคัญทางกฎหมายหรือความเกี่ยวข้องทางกฎหมายกับข้อบังคับเฉพาะ)...
…ที่เริ่มต้นในกรณีของการโจมตีแรนซัมแวร์
ดั๊ก. นี่เป็นเวลาที่ดีที่จะนำเสนอผู้แสดงความคิดเห็นประจำสัปดาห์ อดัม เกี่ยวกับเรื่องนี้
อดัมแสดงความคิดเห็นเกี่ยวกับการโจมตีแรนซัมแวร์ประเภทต่างๆ
ดังนั้น เริ่มต้นด้วย Type A ซึ่งเป็นเพียงการโจมตีของแรนซัมแวร์แบบตรงไปตรงมา โดยพวกมันจะล็อคไฟล์และทิ้งข้อความเรียกค่าไถ่ไว้เพื่อให้ปลดล็อค...
อดัม พูดว่า:
หากบริษัทใดโดนแรนซัมแวร์ ไม่พบหลักฐานการขโมยข้อมูลหลังจากการตรวจสอบอย่างละเอียด และกู้คืนข้อมูลโดยไม่จ่ายค่าไถ่ ฉันก็จะพูดว่า “ไม่ต้อง [เปิดเผยข้อมูล]”
เป็ด. คุณทำเพียงพอแล้วหรือยัง
ดั๊ก. ใช่.
เป็ด. คุณไม่ได้ป้องกันแต่คุณได้ทำสิ่งที่ดีที่สุดแล้ว ดังนั้นคุณจึงไม่จำเป็นต้องบอกนักลงทุนของคุณ….
ที่น่าขันก็คือ ดั๊ก ถ้าคุณทำแบบนั้นในฐานะบริษัท คุณอาจต้องการบอกนักลงทุนของคุณว่า “เฮ้ เดาสิ? เราโดนแรนซั่มแวร์โจมตีเหมือนคนอื่นๆ แต่เรารอดมาได้โดยไม่เสียเงิน ไม่ยุ่งเกี่ยวกับอาชญากร และไม่สูญเสียข้อมูลใดๆ ดังนั้นแม้ว่าเราจะไม่สมบูรณ์แบบ แต่เราก็เป็นสิ่งที่ดีที่สุดต่อไป”
และจริง ๆ แล้วอาจมีน้ำหนักมากที่จะเปิดเผยสิ่งนั้นโดยสมัครใจ แม้ว่ากฎหมายจะบอกว่าคุณไม่จำเป็นต้องเปิดเผยก็ตาม
ดั๊ก. และสำหรับประเภท B มุมแบล็กเมล์ อดัมพูดว่า:
นั่นเป็นสถานการณ์ที่ยุ่งยาก
ในทางทฤษฎี ฉันจะตอบว่า “ใช่”
แต่นั่นน่าจะนำไปสู่การเปิดเผยข้อมูลจำนวนมากและทำให้ชื่อเสียงของธุรกิจเสียหาย
ดังนั้น หากคุณมีหลายบริษัทออกมาพูดว่า “ดูสิ เราโดนแรนซัมแวร์โจมตี เราไม่คิดว่าจะมีอะไรเลวร้ายเกิดขึ้น เราจ่ายคนโกงเพื่อให้พวกเขาเงียบ และเราเชื่อมั่นว่าพวกเขาจะไม่ทำถั่วหก” เอาเป็นว่า…
…นั่นสร้างสถานการณ์ที่ยุ่งยาก เพราะนั่นอาจทำให้ชื่อเสียงของบริษัทเสียหายได้ แต่ถ้าไม่เปิดเผยก็คงไม่มีใครรู้
เป็ด. และฉันเห็นว่าอดัมรู้สึกแบบเดียวกับที่คุณและฉันทำเกี่ยวกับธุรกิจ “คุณมีเวลาสี่วัน แต่ไม่เกินสี่วัน… จากช่วงเวลาที่คุณคิดว่าสี่วันควรเริ่มต้น”
เขาก็บ่นเหมือนกันไม่ใช่เหรอ?
เขากล่าวว่า
บางบริษัทมีแนวโน้มที่จะใช้กลยุทธ์เพื่อชะลอการตัดสินใจว่ามีผลกระทบที่สำคัญหรือไม่
ดังนั้นเราจึงไม่รู้ว่าสิ่งนี้จะออกมาเป็นอย่างไร และฉันแน่ใจว่า ก.ล.ต. ก็ไม่รู้เช่นกัน
อาจต้องใช้กรณีทดสอบ XNUMX-XNUMX กรณีเพื่อหาว่าระบบราชการมีปริมาณที่เหมาะสมเพียงใด เพื่อให้แน่ใจว่าเราทุกคนได้เรียนรู้สิ่งที่เราจำเป็นต้องรู้ โดยไม่บังคับให้บริษัทต่างๆ ต้องเปิดเผยความผิดพลาดด้านไอทีเล็กๆ น้อยๆ ที่เคยเกิดขึ้นและกลบฝังพวกเราทั้งหมดไว้ใน โหลดเอกสาร
ซึ่งโดยพื้นฐานแล้วนำไปสู่ความเมื่อยล้า ใช่หรือไม่?
หากคุณมีข่าวร้ายมากมายที่ไม่สำคัญมากนัก แค่ล้างข้อมูลคุณ...
…ยังไงก็ตาม มันง่ายที่จะพลาดสิ่งที่สำคัญจริงๆ ซึ่งอยู่ในบรรดาคำถามทั้งหมด “ฉันต้องได้ยินเรื่องนี้จริงๆ เหรอ”
เวลาจะเป็นเครื่องพิสูจน์ ดักลาส
ดั๊ก. ใช่ ยุ่งยาก!
และฉันรู้ว่าฉันพูดแบบนี้ตลอดเวลา แต่เราจะจับตาดูสิ่งนี้ เพราะมันจะน่าตื่นเต้นที่จะได้เฝ้าดูสิ่งนี้ที่เปิดเผยออกมา
ขอบคุณอดัมสำหรับการส่งความคิดเห็นนั้น
เป็ด. ใช่แน่นอน!
ดั๊ก. หากคุณมีเรื่องราวที่น่าสนใจ ข้อคิดเห็นหรือคำถามที่คุณต้องการส่ง เรายินดีที่จะอ่านในพอดแคสต์
คุณสามารถส่งอีเมลไปที่ tips@sophos.com หรือแสดงความคิดเห็นในบทความของเรา หรือจะติดต่อหาเราบนโซเชียล: @nakedsecurity
นั่นคือการแสดงของเราในวันนี้ ขอบคุณมากสำหรับการฟัง
สำหรับ Paul Ducklin ฉัน Doug Aamoth เตือนคุณถึงครั้งต่อไปที่จะ...
ทั้งสอง รักษาความปลอดภัย
[โมเด็มดนตรี]
- เนื้อหาที่ขับเคลื่อนด้วย SEO และการเผยแพร่ประชาสัมพันธ์ รับการขยายวันนี้
- PlatoData.Network Vertical Generative Ai เพิ่มพลังให้กับตัวเอง เข้าถึงได้ที่นี่.
- เพลโตไอสตรีม. Web3 อัจฉริยะ ขยายความรู้ เข้าถึงได้ที่นี่.
- เพลโตESG. ยานยนต์ / EVs, คาร์บอน, คลีนเทค, พลังงาน, สิ่งแวดล้อม แสงอาทิตย์, การจัดการของเสีย. เข้าถึงได้ที่นี่.
- BlockOffsets การปรับปรุงการเป็นเจ้าของออฟเซ็ตด้านสิ่งแวดล้อมให้ทันสมัย เข้าถึงได้ที่นี่.
- ที่มา: https://nakedsecurity.sophos.com/2023/08/03/s3-ep146-tell-us-about-that-breach-if-you-want-to/
- :มี
- :เป็น
- :ไม่
- :ที่ไหน
- $ ขึ้น
- 1
- 10
- 100
- 116
- 16
- 25
- 28
- a
- เกี่ยวกับเรา
- เข้า
- ถูกต้อง
- จริง
- อาดัม
- นำมาใช้
- แอฟริกา
- หลังจาก
- อีกครั้ง
- กับ
- ก้าวร้าว
- ตกลง
- ทั้งหมด
- แล้ว
- Alright
- ด้วย
- แม้ว่า
- am
- น่าอัศจรรย์
- อเมริกัน
- ในหมู่
- จำนวน
- an
- และ
- อื่น
- ใด
- อีกต่อไป
- สิ่งใด
- ทุกแห่ง
- นอกเหนือ
- ปรากฏ
- ปรากฏ
- Apple
- การใช้งาน
- การใช้งาน
- เป็น
- รอบ
- บทความ
- บทความ
- AS
- การประเมินผล
- สมมติ
- At
- โจมตี
- การโจมตี
- ความสนใจ
- ดึงดูด
- เสียง
- สิงหาคม
- ออสเตรเลีย
- ผู้เขียน
- ผู้เขียน
- อัตโนมัติ
- เฉลี่ย
- กลับ
- ไม่ดี
- เป็นพื้น
- BE
- เพราะ
- รับ
- ก่อน
- หลัง
- กำลัง
- เชื่อ
- ด้านล่าง
- ที่ดีที่สุด
- ระหว่าง
- บิต
- แบล็กเมล์
- กล้า
- ทั้งสอง
- ช่องโหว่
- การละเมิด
- ทำลาย
- นำมาซึ่ง
- นำ
- British
- เบราว์เซอร์
- Browsing
- Bug
- เป็นโรคจิต
- พวง
- การปกครองระบบเจ้าขุนมูลนาย
- ธุรกิจ
- แต่
- ปุ่ม
- by
- สายเคเบิล
- แคช
- โทรศัพท์
- ที่เรียกว่า
- โทร
- ห้อง
- CAN
- แคนาดา
- ผ้าใบ
- พกพา
- กรณี
- กรณี
- จับ
- บาง
- เด็ก
- ชิป
- เลือก
- สถานการณ์
- การปะทะกัน
- ชัดเจน
- คลิก
- คลิกแจ็ค
- COM
- รวมกัน
- รวม
- อย่างไร
- มา
- มา
- ความเห็น
- คณะกรรมาธิการ
- บริษัท
- บริษัท
- บริษัท
- ส่วนประกอบ
- สภาพ
- ถือว่า
- การบริโภค
- คุ้กกี้
- ได้
- ประเทศ
- คู่
- คอร์ส
- สร้าง
- cybersecurity
- วงจร
- ข้อมูล
- การละเมิดข้อมูล
- วัน
- วัน
- จัดการ
- ตัดสินใจ
- ตัดสินใจ
- กำลังตัดสินใจ
- กำหนด
- ความล่าช้า
- เรียกร้อง
- ความต้องการ
- ขึ้นอยู่กับ
- นักออกแบบ
- กำหนด
- การกำหนด
- บทสนทนา
- DID
- เสียชีวิต
- ต่าง
- เปิดเผย
- การเปิดเผย
- การเปิดเผย
- ค้นพบ
- ค้นพบ
- แสดง
- แสดง
- do
- เอกสาร
- ทำ
- ไม่
- การทำ
- โดเมน
- ชื่อโดเมน
- ทำ
- Dont
- สอง
- ลง
- หล่น
- แต่ละ
- ง่าย
- ทั้ง
- อิเล็กทรอนิกส์
- อื่น
- อีเมล
- น่าสนใจ
- ภาษาอังกฤษ
- พอ
- ความกระตือรือร้น
- คนที่กระตือรือร้น
- ความผิดพลาด
- เป็นหลัก
- แม้
- เคย
- ทุกๆ
- ทุกคน
- ทุกคน
- หลักฐาน
- เผง
- ตัวอย่าง
- ข้อยกเว้น
- ตลาดแลกเปลี่ยน
- การกรอง
- อธิบาย
- เอาเปรียบ
- ใช้ประโยชน์
- ตา
- ความจริง
- ไกล
- ที่น่าสนใจ
- ความเมื่อยล้า
- ลักษณะ
- รู้สึก
- ดึงข้อมูลแล้ว
- สองสาม
- รูป
- ตัวเลข
- ไฟล์
- ที่เต็มไป
- กรอง
- หา
- Firefox
- ชื่อจริง
- ข้อบกพร่อง
- เท้า
- สำหรับ
- พบ
- สี่
- มัก
- ราคาเริ่มต้นที่
- ต่อไป
- อนาคต
- ได้รับ
- ได้รับ
- จะช่วยให้
- ความผิดพลาด
- Go
- ไป
- ไป
- ดี
- ยิ่งใหญ่
- อย่างมาก
- พื้น
- มี
- ครึ่ง
- เกิดขึ้น
- ที่เกิดขึ้น
- ที่เกิดขึ้น
- ยาก
- มี
- มี
- he
- ได้ยิน
- หัวใจสำคัญ
- ช่วย
- โปรดคลิกที่นี่เพื่ออ่านรายละเอียดเพิ่มเติม
- ซ่อนเร้น
- จุดสูง
- ของเขา
- ตี
- ฮิต
- ความหวัง
- ชั่วโมง
- บ้าน
- สรุป ความน่าเชื่อถือของ Olymp Trade?
- ทำอย่างไร
- HTTPS
- i
- ฉันเป็น
- ความคิด
- identiques
- แยกแยะ
- if
- ภาพ
- ภาพ
- ส่งผลกระทบ
- ของจักรพรรดิ
- สำคัญ
- ประทับใจ
- in
- ในอื่น ๆ
- ความโน้มเอียง
- รวม
- รวมทั้ง
- เป็นรายบุคคล
- ย่อม
- ข้อมูล
- ผู้บริสุทธิ์
- ภายใน
- แทน
- อินเทล
- น่าสนใจ
- ภายใน
- เข้าไป
- ที่น่าสนใจ
- แนะนำ
- เปิดตัว
- การสอบสวน
- นักลงทุน
- การประชด
- IT
- ITS
- ศัพท์แสง
- JavaScript
- ตัดสิน
- เพียงแค่
- เก็บ
- เก็บไว้
- คีย์
- kicks
- ชนิด
- ทราบ
- รู้ดี
- ที่รู้จักกัน
- ชื่อสกุล
- ต่อมา
- กฏหมาย
- นำ
- นำไปสู่
- รั่วไหล
- เรียนรู้
- น้อยที่สุด
- ทิ้ง
- การออกจาก
- กฎหมาย
- ตามกฎหมาย
- ให้
- กดไลก์
- น่าจะ
- LIMIT
- ขีด จำกัด
- LINK
- จดทะเบียน
- การฟัง
- น้อย
- สด
- โหลด
- ที่ตั้ง
- วันหยุด
- นาน
- อีกต่อไป
- มอง
- ที่ต้องการหา
- LOOKS
- แพ้
- Lot
- ความรัก
- มายากล
- หลัก
- ทำ
- ทำให้
- จัดการ
- การจัดการ
- หลาย
- วัสดุ
- เรื่อง
- อาจ..
- อาจจะ
- me
- หมายความ
- วิธี
- วัด
- หน่วยความจำ
- ไมโครโฟน
- อาจ
- การบรรเทา
- โทรศัพท์มือถือ
- เครือข่ายมือถือ
- โหมด
- ขณะ
- Moments
- เงิน
- การตรวจสอบ
- เดือน
- ข้อมูลเพิ่มเติม
- ย้าย
- เอ็มทีวี
- มาก
- ดนตรี
- ดนตรี
- my
- ความปลอดภัยเปล่า
- พอดคาสต์ความปลอดภัยเปลือยกาย
- ชื่อ
- เกือบทั้งหมด
- จำเป็นต้อง
- จำเป็น
- เครือข่าย
- เครือข่าย
- ไม่เคย
- ใหม่
- ข่าว
- ถัดไป
- ดี
- ไม่
- ไม่มี
- ปกติ
- ตอนนี้
- จำนวน
- มากมาย
- ชัดเจน
- of
- ปิด
- oh
- เก่า
- on
- ครั้งเดียว
- ONE
- เพียง
- ไปยัง
- or
- อื่นๆ
- ผลิตภัณฑ์อื่นๆ
- มิฉะนั้น
- ของเรา
- ออก
- โดดเด่น
- เกิน
- ของตนเอง
- แพคเกจ
- หน้า
- ต้องจ่าย
- คู่
- เอกสาร
- ส่วนหนึ่ง
- ในสิ่งที่สนใจ
- ส่วน
- รหัสผ่าน
- รูปแบบ
- พอล
- การจ่ายเงิน
- ประเทศ
- ต่อ
- สมบูรณ์
- ดำเนินการ
- การปฏิบัติ
- ที่มีประสิทธิภาพ
- บางที
- สิทธิ์
- สถานที่
- ที่ราบ
- เพลโต
- เพลโตดาต้าอินเทลลิเจนซ์
- เพลโตดาต้า
- เล่น
- เล่น
- ผู้เล่น
- เล่น
- บวก
- พอดคาสต์
- พอดคาสต์
- จุด
- ป๊อป
- ป๊อปอัพ
- โพสต์
- ที่มีศักยภาพ
- อำนาจ
- การปฏิบัติ
- อย่างแม่นยำ
- กด
- ข่าวประชาสัมพันธ์
- สวย
- ป้องกัน
- ประถม
- อาจ
- การสอบสวน
- ปัญหา
- ปัญหาที่เกิดขึ้น
- อาชีพ
- โปรแกรม
- ภูมิใจ
- ให้
- สาธารณะ
- การดึง
- วัตถุประสงค์
- ใส่
- ทำให้
- วาง
- การแสวงหา
- คำถาม
- อย่างรวดเร็ว
- หุ้น
- เชื่อชาติ
- วิทยุ
- แรม
- ค่าไถ่
- ransomware
- แรนซัมแวร์โจมตี
- การโจมตีของแรนซัมแวร์
- ไม่ค่อยมี
- ราคา
- ค่อนข้าง
- อ่าน
- การอ่าน
- พร้อม
- จริงๆ
- เหตุผล
- ลงทะเบียน
- การควบคุม
- ปล่อย
- สัมพันธ์
- ความสัมพันธ์กัน
- น่าเชื่อถือ
- การแสดงผล
- รายงาน
- ชื่อเสียง
- ขอ
- ต้องการ
- จำเป็นต้องใช้
- นักวิจัย
- ข้อ จำกัด
- ผล
- ส่งผลให้
- ผลสอบ
- ขี่
- ขวา
- ความเสี่ยง
- เสี่ยง
- ห้อง
- ราก
- ลวก
- ปัดเศษ
- RSS
- วิ่ง
- กล่าวว่า
- เดียวกัน
- ดาวเทียม
- กล่าว
- คำพูด
- พูดว่า
- สำนักงานคณะกรรมการ ก.ล.ต.
- ที่สอง
- Section
- ปลอดภัย
- ความปลอดภัย
- เห็น
- ดูเหมือน
- ดูเหมือนว่า
- เห็น
- ส่วน
- ส่ง
- การส่ง
- ความรู้สึก
- ส่ง
- แยก
- ร้ายแรง
- ชุด
- ชุดอุปกรณ์
- Share
- ที่ใช้ร่วมกัน
- สั้น
- น่า
- โชว์
- ลงชื่อ
- สัญญาณ
- ความสำคัญ
- สำคัญ
- ความเงียบ
- ง่ายดาย
- ตั้งแต่
- เดียว
- เว็บไซต์
- สถานการณ์
- เล็ก
- มีขนาดเล็กกว่า
- So
- สังคม
- บาง
- บางสิ่งบางอย่าง
- บางแห่ง
- ในไม่ช้า
- Soundcloud
- ฟัง
- ภาคใต้
- แอฟริกาใต้
- การพูด
- Spotify
- ดาว
- เริ่มต้น
- ที่เริ่มต้น
- เริ่มต้น
- สหรัฐอเมริกา
- เข้าพัก
- ยังคง
- การเก็บรักษา
- เก็บไว้
- เรื่องราว
- ซื่อตรง
- การดิ้นรน
- ส่ง
- อย่างเช่น
- ทุกข์ทรมาน
- ควร
- แน่ใจ
- ระบบ
- กลยุทธ์
- เอา
- นำ
- คุย
- คุย
- การพูดคุย
- เทคโนโลยี
- วิชาการ
- เทคนิค
- โทรทัศน์
- บอก
- ระยะ
- เงื่อนไขการใช้บริการ
- ทดสอบ
- กว่า
- ขอบคุณ
- ขอบคุณ
- ที่
- พื้นที่
- ก้าวสู่อนาคต
- กฏหมาย
- สหราชอาณาจักร
- ของพวกเขา
- พวกเขา
- ตัวเอง
- แล้วก็
- ทฤษฎี
- ที่นั่น
- ดังนั้น
- ล้อยางขัดเหล่านี้ติดตั้งบนแกน XNUMX (มม.) ผลิตภัณฑ์นี้ถูกผลิตในหลายรูปทรง และหลากหลายเบอร์ความแน่นหนาของปริมาณอนุภาคขัดของมัน จะทำให้ท่านได้รับประสิทธิภาพสูงในการขัดและการใช้งานที่ยาวนาน
- พวกเขา
- สิ่ง
- สิ่ง
- คิด
- คิด
- นี้
- เหล่านั้น
- แต่?
- คิดว่า
- สาม
- ตลอด
- เวลา
- ไปยัง
- ในวันนี้
- ร่วมกัน
- เกินไป
- แบบดั้งเดิม
- พยายาม
- ปัญหา
- ไว้วางใจ
- ลอง
- กลับ
- tv
- สอง
- ชนิด
- ชนิด
- Uk
- ในที่สุด
- ภายใต้
- เข้าใจ
- พร้อมใจกัน
- ประเทศสหรัฐอเมริกา
- จนกระทั่ง
- บันทึก
- การปรับปรุง
- เมื่อ
- URL
- us
- ใช้
- มือสอง
- ผู้ใช้งาน
- การใช้
- ความคุ้มค่า
- ความคุ้มค่า
- ต่างๆ
- กับ
- มาก
- ผ่านทาง
- เหยื่อ
- วิดีโอ
- เสมือน
- โดยสมัครใจ
- ช่องโหว่
- ต้องการ
- อยาก
- คือ
- การซัก
- นาฬิกา
- ทาง..
- we
- เว็บ
- Website
- สัปดาห์
- น้ำหนัก
- ดี
- ไป
- คือ
- อะไร
- เมื่อ
- ว่า
- ที่
- ในขณะที่
- WHO
- ทั้งหมด
- อย่างกว้างขวาง
- จะ
- เต็มใจ
- ลวด
- ไร้สาย
- กับ
- ไม่มี
- คำ
- คำ
- งาน
- โรงงาน
- กังวล
- แย่ลง
- คุ้มค่า
- จะ
- การเขียน
- เขียน
- X
- ใช่
- เมื่อวาน
- ยัง
- คุณ
- ของคุณ
- ลมทะเล
- ซูมเข้า