S3 Ep94: การเข้ารหัสลับประเภทนี้ (กราฟ) และการเข้ารหัสลับประเภทอื่น (สกุลเงิน!) [เสียง + ข้อความ]

คลิกแล้วลากบนคลื่นเสียงด้านล่างเพื่อข้ามไปยังจุดใดก็ได้ นอกจากนี้คุณยังสามารถ ฟังโดยตรง บนซาวด์คลาวด์

ดั๊ก.  A ข้อผิดพลาดแซมบ้าอีกอย่างหนึ่ง ขโมยเงินดิจิตอลและ สุขสันต์วัน SysAdmin.

ทั้งหมดนั้นและอีกมากมายในพอดคาสต์ Naked Security

[โมเด็มดนตรี]

ยินดีต้อนรับสู่พอดคาสต์ทุกคน

ฉันดั๊ก อามอธ

กับฉันเช่นเคย Paul Ducklin … Paul วันนี้คุณเป็นอย่างไร?

---

เป็ด.  ยอดเยี่ยม ขอบคุณ ดักลาส

---

ดั๊ก.  เราชอบที่จะเริ่มต้นการแสดงด้วยประวัติศาสตร์ด้านเทคโนโลยี

และสัปดาห์นี้ พอล เราจะย้อนกลับไปในปี 1858!

สัปดาห์นี้ในปี 1858 สายเคเบิลโทรเลขข้ามมหาสมุทรแอตแลนติกสายแรกเสร็จสมบูรณ์

เป็นหัวหอกของพ่อค้าชาวอเมริกัน ไซรัส เวสต์ฟิลด์ และสายเคเบิลวิ่งจากทรินิตี้เบย์ นิวฟันด์แลนด์ ไปยังวาเลนเซีย ไอร์แลนด์ ระยะทางประมาณ 2000 ไมล์ และลึกกว่า 2 ไมล์

นี่เป็นความพยายามครั้งที่ห้า และน่าเสียดายที่สายเคเบิลใช้งานได้ประมาณหนึ่งเดือนเท่านั้น

แต่มันใช้งานได้นานพอที่ประธานาธิบดีเจมส์ บูคานันและสมเด็จพระราชินีวิกตอเรียในขณะนั้นได้แลกเปลี่ยนความรื่นรมย์

---

เป็ด.  ใช่ ฉันเชื่อว่ามันเป็นอย่างนั้น ฉันจะพูดได้อย่างไร… หมดสติ [เสียงหัวเราะ]

! 1858

พระเจ้าได้ทรงกระทำอะไร?ดั๊ก! [คำที่ส่งในข้อความโทรเลขครั้งแรก]

---

ดั๊ก.  [หัวเราะ] พูดถึงสิ่งที่ทำขึ้นแล้วก็มี ข้อผิดพลาดแซมบ้า ที่ได้รับการปรับปรุงตั้งแต่นั้นมา

ฉันไม่ใช่ผู้เชี่ยวชาญ แต่อย่างใด แต่ข้อผิดพลาดนี้จะทำให้ทุกคนกลายเป็นผู้ดูแลระบบโดเมน ... ซึ่งฟังดูไม่ดี

---

เป็ด.  ฟังดูแย่นะ ดั๊ก เหตุผลหลักที่มัน *มัน* ค่อนข้างแย่!

---

ดั๊ก.  ไปแล้ว!

---

เป็ด.  แซมบ้า… เพื่อให้ชัดเจน ก่อนที่เราจะเริ่ม มาดูเวอร์ชันที่คุณต้องการกัน

หากคุณใช้รส 4.16 คุณต้องมี 4.16.4 หรือใหม่กว่า หากคุณใช้ 4.15 คุณต้องมี 4.15.9 หรือใหม่กว่า และถ้าคุณใช้ 4.14 คุณต้องมี 4.14.14 หรือใหม่กว่า

โดยรวมแล้วการแก้ไขข้อผิดพลาดเหล่านั้นได้แก้ไขจุดบกพร่องที่แตกต่างกันหกจุดซึ่งถือว่าร้ายแรงพอที่จะรับหมายเลข CVE – ผู้กำหนดอย่างเป็นทางการ

ที่โดดเด่นคือ CVE-2022-32744.

และชื่อของบั๊กก็บอกไว้ทั้งหมด: ผู้ใช้ Samba Active Directory สามารถปลอมแปลงคำขอเปลี่ยนรหัสผ่านสำหรับผู้ใช้คนใดก็ได้

---

ดั๊ก.  ใช่ นั่นฟังดูแย่

---

เป็ด.  ดังที่รายงานข้อบกพร่องฉบับสมบูรณ์ในคำแนะนำด้านความปลอดภัย บันทึกการเปลี่ยนแปลงกล่าวในลักษณะที่ค่อนข้างตรงไปตรงมา:

“ผู้ใช้สามารถเปลี่ยนรหัสผ่านของบัญชีผู้ดูแลระบบและเข้าควบคุมโดเมนได้ทั้งหมด การสูญเสียความลับและความสมบูรณ์อย่างสมบูรณ์จะเป็นไปได้ เช่นเดียวกับความพร้อมใช้งานโดยการปฏิเสธไม่ให้ผู้ใช้เข้าถึงบัญชีของพวกเขา”

และดังที่ผู้ฟังของเราคงทราบ ความปลอดภัยคอมพิวเตอร์ที่เรียกว่า “ไตรลักษณ์ศักดิ์สิทธิ์” (ราคาอากาศ) คือ ความพร้อมใช้งาน การรักษาความลับ และความสมบูรณ์

คุณควรมีทั้งหมด ไม่ใช่แค่หนึ่งในนั้น

ดังนั้น ความสมบูรณ์ หมายความว่าไม่มีใครสามารถเข้าไปยุ่งกับสิ่งของของคุณโดยที่คุณไม่รู้ตัว

ความพร้อมที่จะให้บริการ บอกว่าคุณสามารถหยิบสิ่งของของคุณได้ตลอดเวลา - พวกเขาไม่สามารถป้องกันไม่ให้คุณได้รับเมื่อคุณต้องการ

และ ความลับ หมายความว่าพวกเขาไม่สามารถดูได้เว้นแต่ควรจะได้รับอนุญาต

ข้อใดข้อหนึ่งหรือสองข้อใดไม่ได้ประโยชน์มากนักในตัวเอง

นี่เป็นไตรลักษณ์จริงๆ ดั๊ก!

และที่น่ารำคาญก็คือ มันเป็นส่วนหนึ่งของ Samba ที่คุณอาจใช้ ไม่ใช่แค่เมื่อคุณพยายามเชื่อมต่อคอมพิวเตอร์ Unix กับโดเมน Windows แต่หากคุณกำลังพยายามตั้งค่าโดเมน Active Directory สำหรับคอมพิวเตอร์ Windows ที่จะใช้ คอมพิวเตอร์ Linux หรือ Unix จำนวนมาก

---

ดั๊ก.  นั่นเป็นการทำเครื่องหมายที่ช่องทั้งหมดในทางที่ผิด!

แต่มีแพทช์ออก – และเรามักจะพูดว่า "แพทช์ก่อน แพทช์บ่อยๆ"

มีวิธีแก้ปัญหาบางอย่างที่ผู้คนสามารถใช้ได้หรือไม่หากพวกเขาไม่สามารถแก้ไขในทันทีด้วยเหตุผลบางอย่าง หรือนี่เป็นเพียงสิ่งที่ควรทำ

---

เป็ด.  ความเข้าใจของฉันคือข้อผิดพลาดนี้อยู่ในบริการตรวจสอบรหัสผ่านที่เรียกว่า kpasswd.

โดยพื้นฐานแล้ว บริการนั้นทำสิ่งใดคือค้นหาคำขอเปลี่ยนรหัสผ่าน และยืนยันว่าได้ลงนามหรืออนุญาตโดยบุคคลที่เชื่อถือได้บางประเภท

และน่าเสียดาย ที่ปฏิบัติตามเงื่อนไขข้อผิดพลาดบางประการ บุคคลที่เชื่อถือได้นั้นอาจรวมตัวคุณเองด้วย

มันก็เหมือนกับว่า พิมพ์หนังสือเดินทางของคุณเอง ข้อผิดพลาดถ้าคุณต้องการ

คุณต้องทำหนังสือเดินทาง... อาจเป็นหนังสือเดินทางจริงที่ออกโดยรัฐบาลของคุณเอง หรืออาจเป็นหนังสือเดินทางที่คุณเคาะที่บ้านด้วยเครื่องพิมพ์อิงค์เจ็ต และทั้งคู่จะผ่านการชุมนุม [เสียงหัวเราะ]

เคล็ดลับคือ ถ้าคุณไม่พึ่งพาบริการตรวจสอบรหัสผ่านนี้จริงๆ ในการใช้งาน Samba ของคุณ คุณสามารถป้องกันสิ่งนั้นได้ kpasswd บริการจากการทำงาน

แน่นอน หากคุณใช้ระบบ Samba ทั้งหมดในการตรวจสอบสิทธิ์ Active Directory และเปลี่ยนรหัสผ่าน วิธีแก้ปัญหาชั่วคราวจะทำให้ระบบของคุณเสียหาย

แน่นอนว่าการป้องกันที่ดีที่สุดคือแพตช์ที่ *ลบ* บั๊ก แทนที่จะแค่ *หลีกเลี่ยง* มัน

---

ดั๊ก.  ดีมาก

คุณสามารถ อ่านเพิ่มเติมเกี่ยวกับ บนเว็บไซต์: nakedscurity.sophos.com

และเราก้าวไปสู่ช่วงเวลาที่ยอดเยี่ยมที่สุดของปี!

เราเพิ่งฉลอง SysAdmin วัน, พอล และฉันจะไม่โทรเลขเส้นมุกที่นี่… แต่คุณมี ค่อนข้างเขียนขึ้น.

---

เป็ด.  ปีละครั้ง ไม่ยากเกินไปที่จะขอให้เราไปที่แผนกไอทีและยิ้มให้กับทุกคนที่ทุ่มเททำงานเบื้องหลังที่ซ่อนอยู่ทั้งหมดนี้…

… เพื่อให้ [ได้รับเร็วขึ้นและเร็วขึ้น] คอมพิวเตอร์และเซิร์ฟเวอร์ของเราและบริการคลาวด์และแล็ปท็อปและโทรศัพท์ของเราและสวิตช์เครือข่ายของเรา [DOUG LAUGHS] และการเชื่อมต่อ DSL และชุด Wi-Fi ของเราใน การทำงานที่ดี

มีอยู่! เป็นความลับ! เปี่ยมคุณธรรมตลอดทั้งปี!

ถ้าคุณไม่ทำในวันศุกร์สุดท้ายของเดือนกรกฎาคม ซึ่งก็คือ SysAdmin วันขอบคุณพระเจ้า, แล้วทำไมไม่ไปทำวันนี้ล่ะ?

และแม้ว่าคุณจะทำสำเร็จแล้ว ก็ไม่มีอะไรที่บอกว่าคุณไม่สามารถชื่นชม SysAdmins ของคุณได้ทุกวันตลอดทั้งปี

คุณไม่จำเป็นต้องทำแค่ในเดือนกรกฎาคม ดั๊ก

---

ดั๊ก.  จุดดี!

---

เป็ด.  นี่คือสิ่งที่ต้องทำดั๊ก

ฉันจะเรียกสิ่งนี้ว่า "บทกวี" หรือ "กลอน" ... ฉันคิดว่าในทางเทคนิคแล้วมันคือ doggerel [หัวเราะ] แต่ฉันจะแสร้งทำเป็นว่ามันมีความสุขและอบอุ่นเหมือนโคลงของเชคสเปียร์

มัน *ไม่ใช่* โคลง แต่จะต้องทำ

---

ดั๊ก.  สมบูรณ์

---

เป็ด.  นี่แน่ะ ดั๊ก

หากเมาส์ของคุณหมดแบตเตอรี่ หรือไฟเว็บแคมของคุณไม่สว่าง หากคุณจำรหัสผ่านไม่ได้ หรืออีเมลของคุณไม่แสดง หากคุณทำไดรฟ์ USB หาย หรือการประชุมของคุณจะไม่เริ่ม หากคุณไม่สามารถ สร้างฮิสโตแกรม หรือวาดแผนภูมิวงกลมที่สวยงาม หากคุณกด [ลบ] โดยไม่ได้ตั้งใจ หรือฟอร์แมตดิสก์ของคุณ หากคุณตั้งใจจะสำรองข้อมูล แต่กลับเสี่ยงแทน ถ้าคุณรู้ว่าผู้กระทำผิดชัดเจน และจุดตำหนิกลับมาหาคุณ อย่า หมดหวังและท้อแท้ เหลืออีกหนึ่งสิ่งที่ต้องทำ! รับช็อคโกแลต ไวน์ เชียร์บ้าง ยิ้มหน่อย และหมายความว่าอย่างนั้นเมื่อคุณพูดว่า: "ฉันเพิ่งเข้ามาเพื่ออวยพรให้ทุกคนเป็นวัน SysAdmin ที่ยอดเยี่ยม!"

---

ดั๊ก.  [ปรบมือ] ดีจริงๆ! หนึ่งในดีที่สุดของคุณ!

---

เป็ด.  สิ่งที่ SysAdmins ทำนั้นมองไม่เห็น และหลายๆ อย่างยากที่จะทำได้ดีและน่าเชื่อถืออย่างน่าประหลาดใจ...

…และทำโดยไม่แก้ไขสิ่งหนึ่งและทำลายอีกสิ่งหนึ่ง

รอยยิ้มนั้นน้อยที่สุดที่พวกเขาสมควรได้รับ ดั๊ก

---

ดั๊ก.  น้อยที่สุด!

---

เป็ด.  ดังนั้น สำหรับ SysAdmins ทั่วโลก ฉันหวังว่าคุณจะสนุกกับวันศุกร์ที่แล้ว

และถ้าคุณยังยิ้มไม่พอ ก็เอาตอนนี้เลย

---

ดั๊ก.  สุขสันต์วัน SysAdmin ทุกคนและ อ่านบทกวีนั้นซึ่งเยี่ยมมาก...อยู่ในไซต์

เอาล่ะ ก้าวไปสู่สิ่งที่ไม่ดีนัก: a ข้อผิดพลาดในการจัดการหน่วยความจำ ใน GnuTLS

---

เป็ด.  ใช่ ฉันคิดว่าสิ่งนี้คุ้มค่าที่จะเขียนเกี่ยวกับ Naked Security เพราะเมื่อผู้คนนึกถึงการเข้ารหัสแบบโอเพนซอร์ส พวกเขามักจะนึกถึง OpenSSL

เพราะ (A) นั่นคือสิ่งที่ทุกคนเคยได้ยิน และ (B) เป็นสิ่งที่น่าจะเป็นที่รู้จักมากที่สุดในช่วงไม่กี่ปีที่ผ่านมาเกี่ยวกับข้อบกพร่อง เนื่องจาก Heartbleed.

แม้ว่าคุณจะไม่ได้อยู่ที่นั่นในเวลานั้น (เมื่อแปดปีที่แล้ว) คุณอาจเคยได้ยิน Heartbleed ซึ่งเป็นข้อมูลประเภทหนึ่งที่รั่วไหลและข้อบกพร่องของหน่วยความจำรั่วใน OpenSSL

มันอยู่ในรหัสมานานแล้วและไม่มีใครสังเกตเห็น

แล้วมีคนสังเกตเห็น และพวกเขาตั้งชื่อให้มันสวยงาม และพวกเขาให้โลโก้บั๊ก และพวกเขาให้เว็บไซต์ของบั๊ก และพวกเขาก็ได้ทำการประชาสัมพันธ์ครั้งใหญ่นี้ออกมา

---

ดั๊ก.  [หัวเราะ] นั่นเป็นวิธีที่คุณรู้ว่ามันเป็นเรื่องจริง...

---

เป็ด.  ตกลง พวกเขาทำเพราะต้องการดึงความสนใจไปที่ข้อเท็จจริงที่ค้นพบ และพวกเขาก็ภูมิใจกับข้อเท็จจริงนั้นมาก

และด้านพลิกคือผู้คนออกไปแก้ไขจุดบกพร่องนี้โดยที่พวกเขาอาจไม่ได้ทำ... เพราะมันเป็นเพียงจุดบกพร่อง

มันดูไม่ดราม่ามาก – ไม่ใช่การรันโค้ดจากระยะไกล ดังนั้นพวกเขาจึงไม่สามารถเข้าใช้และเข้าครอบครองเว็บไซต์ทั้งหมดของฉัน ฯลฯ ได้ทันที

แต่มันทำให้ OpenSSL เป็นชื่อครัวเรือน ไม่จำเป็นต้องมีเหตุผลที่ถูกต้องทั้งหมด

อย่างไรก็ตาม มีไลบรารีการเข้ารหัสแบบโอเพนซอร์สจำนวนมาก ไม่ใช่แค่ OpenSSL และอย่างน้อยสองไลบรารีนั้นมีการใช้กันอย่างแพร่หลายอย่างน่าประหลาดใจ แม้ว่าคุณจะไม่เคยได้ยินชื่อมาก่อนก็ตาม

มี NSS ย่อมาจาก บริการรักษาความปลอดภัยเครือข่ายซึ่งเป็นไลบรารีเข้ารหัสของ Mozilla

คุณสามารถดาวน์โหลดและใช้งานได้โดยไม่ขึ้นกับโปรเจ็กต์ Mozilla ใดโดยเฉพาะ แต่คุณจะพบได้ใน Firefox และ Thunderbird โดยเฉพาะอย่างยิ่งใน Firefox และ Thunderbird ที่ทำการเข้ารหัสทั้งหมดที่อยู่ในนั้น – พวกมันไม่ได้ใช้ OpenSSL

และมี gnuTLSซึ่งเป็นห้องสมุดโอเพ่นซอร์สภายใต้โครงการ GNU ซึ่งโดยพื้นฐานแล้วหากคุณต้องการเป็นคู่แข่งหรือทางเลือกของ OpenSSL และมีการใช้ (แม้ว่าคุณจะไม่ทราบ) โดยจำนวน open- ที่น่าประหลาดใจ แหล่งที่มาโครงการและผลิตภัณฑ์...

…รวมทั้งโค้ด ไม่ว่าคุณจะอยู่บนแพลตฟอร์มใดก็ตาม ที่คุณน่าจะมีอยู่ในระบบของคุณ

ซึ่งรวมถึงทุกอย่างที่เกี่ยวข้องกับ พูด: FFmpeg; เมนโคเดอร์; GnuPGP (เครื่องมือจัดการคีย์ GNU); QEMU, เดสก์ท็อป; แซมบ้าที่เราเพิ่งพูดถึงในบั๊กที่แล้ว Wget ซึ่งผู้คนจำนวนมากใช้สำหรับการดาวน์โหลดเว็บ เครื่องมือดมกลิ่นเครือข่ายของ Wireshark; ซลิบ

มีเครื่องมือมากมายที่ต้องการไลบรารีเข้ารหัส และได้ตัดสินใจที่จะใช้ GnuTLS *แทน* ของ OpenSSL หรือแม้แต่ *และ* ทั้งนี้ขึ้นอยู่กับปัญหาซัพพลายเชนที่พวกเขาดึงแพ็คเกจย่อยออกมา ใน.

คุณอาจมีโครงการที่บางส่วนใช้ GnuTLS สำหรับการเข้ารหัส และบางส่วนใช้ OpenSSL และเลือกได้ยาก

ดังนั้นคุณจึงลงเอยไม่ว่าจะดีขึ้นหรือแย่ลงกับทั้งคู่

และน่าเสียดายที่ GnuTLS (เวอร์ชันที่คุณต้องการคือ 3.7.7 หรือใหม่กว่า) มีข้อผิดพลาดประเภทหนึ่งที่เรียกว่า ฟรีสองเท่า… เชื่อหรือไม่ว่าในส่วนของรหัสที่ใช้ตรวจสอบใบรับรอง TLS

ดังนั้น ในลักษณะที่ประชดประชันที่เราเคยเห็นในไลบรารีการเข้ารหัสลับมาก่อน โค้ดที่ใช้ TLS สำหรับการส่งสัญญาณที่เข้ารหัส แต่ไม่ได้รบกวนการตรวจสอบส่วนอื่น ๆ ... รหัสที่ไป "การตรวจสอบใบรับรอง ใครต้องการมัน"

โดยทั่วไปถือว่าเป็นความคิดที่แย่มาก ค่อนข้างโทรมจากมุมมองด้านความปลอดภัย… แต่โค้ดใดๆ ก็ตามที่ทำเช่นนั้นจะไม่เสี่ยงต่อจุดบกพร่องนี้ เพราะไม่เรียกรหัสบั๊กกี้

น่าเศร้าที่โค้ดที่พยายามทำสิ่งที่ *ถูกต้อง* อาจถูกหลอกโดยใบรับรองอันธพาล

และเพื่ออธิบายง่ายๆ ว่า a ฟรีสองเท่า เป็นบั๊กชนิดหนึ่งที่คุณถามระบบปฏิบัติการหรือระบบว่า “เฮ้ ขอความจำหน่อย ฉันต้องการหน่วยความจำชั่วคราว ในกรณีนี้ ฉันมีข้อมูลใบรับรองทั้งหมดนี้แล้ว ฉันต้องการเก็บไว้ชั่วคราว ตรวจสอบความถูกต้อง จากนั้นเมื่อฉันทำเสร็จแล้ว ฉันจะคืนหน่วยความจำเพื่อให้ส่วนอื่นของโปรแกรมใช้งานได้ ”

หากคุณเป็นโปรแกรมเมอร์ C คุณจะคุ้นเคยกับฟังก์ชั่นต่างๆ malloc()ย่อมาจาก “memory allocate” และ free()ซึ่งก็คือ “การส่งคืน”

และเรารู้ว่ามีแมลงชนิดหนึ่งที่เรียกว่า ใช้หลังฟรีซึ่งเป็นที่ที่คุณส่งข้อมูลกลับคืนมา แต่จากนั้นก็ใช้บล็อกหน่วยความจำต่อไป โดยลืมไปว่าคุณเลิกใช้แล้ว

แต่ double-free นั้นแตกต่างออกไปเล็กน้อย – เป็นที่ที่คุณมอบหน่วยความจำคืน และคุณหลีกเลี่ยงการใช้ซ้ำตามหน้าที่ แต่หลังจากนั้น คุณจะพูดว่า “เดี๋ยวก่อน ฉันแน่ใจว่าฉันไม่ได้ส่งมัน ความทรงจำกลับมาแล้ว ฉันควรคืนมันให้ดีกว่าในกรณีฉุกเฉิน”

ดังนั้นคุณจึงบอกระบบปฏิบัติการว่า "ตกลง เพิ่มหน่วยความจำนี้อีกครั้ง"

ดังนั้นจึงดูเหมือนว่าเป็นคำขอที่ถูกต้องตามกฎหมายในการเพิ่มข้อมูล *ที่ส่วนอื่นของโปรแกรมอาจใช้จริง*

และอย่างที่คุณจินตนาการได้ สิ่งเลวร้ายอาจเกิดขึ้นได้ เพราะนั่นหมายความว่าคุณอาจได้รับสองส่วนของโปรแกรมที่อาศัยหน่วยความจำเดียวกันในเวลาเดียวกันโดยไม่รู้ตัว

ข่าวดีก็คือฉันไม่เชื่อว่ามีการพบช่องโหว่ที่ใช้งานได้สำหรับจุดบกพร่องนี้ ดังนั้น หากคุณแก้ไข คุณจะล้ำหน้าพวกมิจฉาชีพมากกว่าที่จะตามทันพวกเขา

แต่แน่นอนว่าข่าวร้ายก็คือ เมื่อการแก้ไขข้อผิดพลาดเช่นนี้ออกมา มักจะมีคนจำนวนไม่น้อยที่ดูพวกเขา พยายามวิเคราะห์ว่าผิดพลาดประการใด โดยหวังว่าจะเข้าใจอย่างรวดเร็วว่าพวกเขาจะทำอะไรได้บ้างเพื่อเอารัดเอาเปรียบ บั๊กกับทุกคนที่แก้ไขช้า

กล่าวอีกนัยหนึ่ง: อย่ารอช้า ทำวันนี้.

---

ดั๊ก.  เอาล่ะ GnuTLS เวอร์ชันล่าสุดคือ 3.7.7... โปรดอัปเดต

คุณสามารถ อ่านเพิ่มเติมเกี่ยวกับเรื่องนั้น บนเว็บไซต์

---

เป็ด.  โอ้ และดั๊ก เห็นได้ชัดว่ามีการแนะนำบั๊กใน GnuTLS 3.6.0

---

ดั๊ก.  ตกลง

---

เป็ด.  ตามทฤษฎีแล้ว หากคุณมีเวอร์ชันก่อนหน้า คุณจะไม่เสี่ยงต่อข้อผิดพลาดนี้...

…แต่โปรดอย่าใช้เป็นข้ออ้างในการพูดว่า “ฉันยังไม่ต้องอัปเดต”

คุณอาจข้ามไปยังการอัปเดตอื่นๆ ทั้งหมดที่ออกมา สำหรับปัญหาด้านความปลอดภัยอื่นๆ ระหว่าง 3.6.0 ถึง 3.7.6

ดังนั้น ความจริงที่ว่าคุณไม่ได้อยู่ในหมวดหมู่ของข้อผิดพลาดนี้ อย่าใช้สิ่งนั้นเป็นข้ออ้างในการไม่ทำอะไรเลย

ใช้มันเป็นแรงผลักดันให้ตัวเองมาถึงปัจจุบัน… นั่นคือคำแนะนำของฉัน

---

ดั๊ก.  OK!

และเรื่องสุดท้ายของสัปดาห์: เรากำลังพูดถึงการปล้น crypto อีกครั้ง

เวลานี้, เพียง 200 ล้านเหรียญสหรัฐแม้ว่าพอล

นี่เป็นการเปลี่ยนแปลงเล็กน้อยเมื่อเทียบกับส่วนอื่นๆ ที่เราเคยพูดถึง

---

เป็ด.  ฉันแทบไม่อยากจะพูดเรื่องนี้เลย ดั๊ก แต่เหตุผลหนึ่งที่ฉันเขียนเรื่องนี้ก็คือ ฉันดูมันแล้วพบว่าตัวเองคิดว่า "โอ้ แค่ 200 ล้านเท่านั้นเหรอ? นั่นค่อนข้างเล็ก… ฉันคิดอะไรอยู่!?” [เสียงหัวเราะ]

โดยพื้นฐานแล้ว 200 ล้านดอลลาร์… ไม่ใช่ "ลงส้วม" แต่ "ออกจากห้องนิรภัยของธนาคาร"

บริการ Nomad นี้มาจากบริษัทที่ใช้ชื่อ Illusory Systems Incorporated

และฉันคิดว่าคุณจะเห็นด้วยว่า จากมุมมองด้านความปลอดภัย คำว่า "ลวงตา" อาจเป็นคำอุปมาที่ถูกต้อง

เป็นบริการที่ช่วยให้คุณสามารถทำสิ่งที่อยู่ในศัพท์แสงที่เรียกว่า การแก้.

โดยทั่วไปคุณกำลังซื้อขายสกุลเงินดิจิทัลหนึ่งสำหรับอีกสกุลเงินหนึ่ง

ดังนั้นคุณจึงใส่สกุลเงินดิจิทัลของคุณเองลงในถังขนาดยักษ์พร้อมกับคนอื่น ๆ มากมาย ... จากนั้นเราก็สามารถทำสัญญาอัจฉริยะอัตโนมัติแบบ "กระจายอำนาจทางการเงิน" เหล่านี้ได้

เราสามารถแลกเปลี่ยน Bitcoin สำหรับ Ether หรือ Ether สำหรับ Monero หรืออะไรก็ตาม

น่าเสียดายที่ในระหว่างการอัพเดตโค้ดล่าสุด ดูเหมือนว่าพวกเขาจะตกหลุมแบบเดียวกับที่พวกแซมบ้าทำกับจุดบกพร่องที่เราพูดถึงในแซมบ้า

โดยทั่วไปมี a พิมพ์หนังสือเดินทางของคุณเองหรือ อนุมัติการทำธุรกรรมของคุณเอง ข้อผิดพลาดที่พวกเขาแนะนำ

มีจุดหนึ่งในโค้ดที่ควรตรวจสอบแฮชเข้ารหัส แฮชเข้ารหัส 256 บิต บางสิ่งที่ไม่มีใครทำได้นอกจากผู้อนุมัติที่ได้รับอนุญาต

ยกเว้นว่าถ้าคุณเพิ่งเกิดขึ้นเพื่อใช้ค่าศูนย์ คุณก็จะผ่านการรวบรวม

โดยพื้นฐานแล้วคุณสามารถใช้ธุรกรรมที่มีอยู่ของใครก็ได้ เขียนชื่อผู้รับใหม่ด้วยชื่อของคุณ (“เฮ้ จ่าย *กระเป๋าเงินดิจิตอลเข้ารหัสของฉัน*ของฉัน”) และเล่นธุรกรรมนั้นซ้ำ

และระบบจะไป "ตกลง"

คุณแค่ต้องได้รับข้อมูลในรูปแบบที่ถูกต้อง นั่นคือความเข้าใจของฉัน

และวิธีที่ง่ายที่สุดในการสร้างธุรกรรมที่จะผ่านการรวบรวมคือเพียงนำธุรกรรมที่มีอยู่แล้วของผู้อื่นที่เสร็จสมบูรณ์แล้ว เล่นซ้ำ แต่ขีดฆ่าชื่อหรือหมายเลขบัญชีของพวกเขา และใส่ในของคุณเอง

ดังนั้นในฐานะนักวิเคราะห์สกุลเงินดิจิทัล @samczsun กล่าวว่าใน Twitter, “ผู้โจมตีใช้สิ่งนี้ในทางที่ผิดเพื่อคัดลอกและวางธุรกรรมและระบายสะพานอย่างรวดเร็วด้วยความบ้าคลั่งฟรีสำหรับทุกคน”

กล่าวอีกนัยหนึ่ง ผู้คนคลั่งไคล้การถอนเงินจากตู้เอทีเอ็มที่รับบัตรธนาคารของใครก็ได้ หากคุณใส่รหัส PIN เป็นศูนย์

และไม่ใช่แค่จนกว่าตู้เอทีเอ็มจะหมด... โดยพื้นฐานแล้วตู้เอทีเอ็มนั้นเชื่อมต่อโดยตรงกับด้านข้างของตู้นิรภัยธนาคาร และเงินก็ไหลออกมาอย่างง่ายดาย

---

ดั๊ก.  อร๊ายยย!

---

เป็ด.  อย่างที่คุณพูด เห็นได้ชัดว่าพวกเขาสูญเสียไปถึง 200 ล้านดอลลาร์ในเวลาอันสั้น

โอ้ที่รัก

---

ดั๊ก.  เรามีคำแนะนำบางอย่างและค่อนข้างตรงไปตรงมา...

---

เป็ด.  คำแนะนำเดียวที่คุณสามารถให้ได้จริงๆ คือ “อย่ารีบร้อนเกินไปที่จะเข้าร่วมการปฏิวัติการเงินแบบกระจายอำนาจนี้”

ดังที่เราได้กล่าวไว้ก่อนหน้านี้ ตรวจสอบให้แน่ใจว่าหากคุณ *ทำ* เข้าสู่ “การค้าออนไลน์ ให้ยืมเงินดิจิตอลแก่เราและเราจะจ่ายดอกเบี้ยให้คุณ ใส่สิ่งของของคุณลงในกระเป๋าเงินร้อนเพื่อให้คุณสามารถดำเนินการได้ภายในไม่กี่วินาที เข้าสู่ฉากสัญญาอัจฉริยะทั้งหมด ซื้อโทเค็นที่ไม่สามารถเปลี่ยนได้ของฉัน [NFTs]” – ทั้งหมดนั้น…

…ถ้าคุณตัดสินใจว่าตลาดนั้น *เหมาะกับคุณ* โปรดตรวจสอบให้แน่ใจว่าคุณเปิดตากว้าง ไม่ใช่หลับตากว้าง!

และเหตุผลง่ายๆ ก็คือ ในกรณีเช่นนี้ มันไม่ได้เหมือนกับว่าพวกมิจฉาชีพสามารถระบายน้ำ * บางส่วน* ของตู้เอทีเอ็มของธนาคารได้

ในกรณีนี้ อย่างแรก ดูเหมือนว่าพวกเขาจะระบายเกือบทุกอย่าง และประการที่สอง ไม่เหมือนธนาคารทั่วไป ไม่มีการคุ้มครองด้านกฎระเบียบที่คุณจะได้รับหากธนาคารในชีวิตจริงล้มละลาย

ในกรณีของการกระจายอำนาจทางการเงิน แนวคิดทั้งหมดคือการกระจายอำนาจ เป็นของใหม่ และเจ๋ง และสิ่งที่คุณต้องการเร่งด่วน...

…คือว่า *ไม่มี* มีการป้องกันด้านกฎระเบียบที่น่ารำคาญเหล่านี้

คุณทำได้ และอาจเป็นไปได้ เพราะเราพูดเรื่องนี้บ่อยกว่าที่ฉันจะทำจริงๆ คุณอาจสูญเสีย *ทุกอย่าง*

และอีกด้านของเรื่องคือ หากคุณทำของหายจากการกระจายอำนาจทางการเงินหรือ “เว็บไซต์ Super-trading ใหม่ล่าสุดของ Web 3.0” เช่นนี้ ให้ระวังให้มาก ๆ ที่ผู้คนจะพูดว่า “เฮ้ ไม่ต้องกังวล แม้จะไม่มีระเบียบข้อบังคับ แต่ก็มีบริษัทผู้เชี่ยวชาญที่สามารถรับเงินคืนได้ สิ่งที่คุณต้องทำคือติดต่อบริษัท X, บุคคล Y หรือบัญชีโซเชียลมีเดีย Z”

เพราะเมื่อใดก็ตามที่เกิดหายนะในลักษณะนี้ นักต้มตุ๋นรายที่สองก็เข้ามาทำงานอย่างรวดเร็วและเสนอให้ "หาวิธี" ในการรับเงินคืน

มีนักต้มตุ๋นจำนวนมากที่วนเวียนอยู่รอบๆ ดังนั้นจงระวังให้มาก

หากคุณสูญเสียเงิน อย่าพยายามทุ่มเงินดีทิ้งเสีย

---

ดั๊ก.  ตกลง คุณสามารถอ่านเพิ่มเติมเกี่ยวกับเรื่องนั้นได้: Cryptocoin “token swapper” Nomad สูญเสีย $ 200 ล้านในความผิดพลาดในการเข้ารหัส.

และถ้าเราได้ยินจากผู้อ่านของเราเกี่ยวกับเรื่องนี้ ผู้แสดงความคิดเห็นที่ไม่ระบุชื่อเขียน และฉันเห็นด้วย… ฉันไม่เข้าใจวิธีการทำงาน:

“สิ่งที่น่าทึ่งก็คือการเริ่มต้นออนไลน์ต้องสูญเสียอะไรมากมายตั้งแต่แรก $ 200,000 คุณสามารถจินตนาการได้ แต่เงิน 200 ล้านเหรียญดูไม่น่าเชื่อ”

และฉันคิดว่าเราตอบคำถามนั้นได้ แต่เงินทั้งหมดนี้มาจากไหน เพื่อคว้าเงิน 200 ล้านเหรียญ?

---

เป็ด.  ฉันไม่สามารถตอบได้ว่าดั๊ก

---

ดั๊ก.  No.

---

เป็ด.  โลกมันน่าเชื่อกว่าที่เคยเป็นหรือเปล่า?

มีผลประโยชน์ที่เลวร้ายมากมายในชุมชน cryptocurrency หรือไม่?

ดังนั้นจึงมีคนที่ไม่ได้ใส่เงินของตัวเองลงไปในเรื่องนี้จริงๆ แต่พวกเขาลงเอยด้วยเงินดิจิตอลจำนวนมากด้วยวิธีการผิด ๆ มากกว่าที่จะยุติธรรม (เราทราบดีว่าโดยทั่วไปแล้วการชำระเงินของ ransomware จะมาในรูปแบบ cryptocurrencies ใช่ไหม)

จนเหมือนเงินตลก… คนที่เสีย “เงิน” อาจจะไม่ได้เอาเงินสดขึ้นหน้า?

มันเป็นเพียงความกระตือรือร้นทางศาสนาที่เกือบจะเกิดขึ้นกับผู้คนที่พูดว่า “ไม่ ไม่ * นี่คือวิธีที่จะทำ เราจำเป็นต้องทำลายวิธีที่องค์กรทางการเงินแบบเก่า เหลวไหล เหลวไหล และมีการควบคุมอย่างเข้มงวดทำสิ่งต่างๆ เราต้องหลุดพ้นจาก The Man”?

ฉันไม่รู้ บางที 200 ล้านเหรียญอาจไม่ใช่เงินจำนวนมากอีกต่อไป Doug?

---

ดั๊ก.  [หัวเราะ] แน่นอน!

---

เป็ด.  สงสัยมีแต่คนเข้าตาปริบๆ

พวกเขาจะพูดว่า “ฉัน * พร้อมที่จะเสี่ยงเพราะมันเจ๋งมาก”

และปัญหาก็คือว่า ถ้าคุณจะเสียเงิน 200 ดอลลาร์ หรือ 2000 ดอลลาร์ และคุณสามารถจะเสียมันได้ นั่นก็เรื่องหนึ่ง

แต่ถ้าคุณเข้าไปเพื่อ $2000 แล้วคุณคิดว่า “คุณรู้อะไรไหม บางทีฉันควรไปในราคา 20,000 ดอลลาร์?” แล้วคุณคิดว่า “คุณรู้อะไรไหม บางทีฉันควรไปในราคา 200,000 เหรียญ? บางทีฉันควรเข้าไปข้างในทั้งหมด?”

ถ้าอย่างนั้นฉันคิดว่าคุณต้องระวังให้มากจริงๆ!

ด้วยเหตุผลที่คุณอาจรู้สึกว่ามีการคุ้มครองด้านกฎระเบียบ เช่นเดียวกับที่คุณมีเมื่อมีสิ่งเลวร้ายเกิดขึ้นกับบัตรเครดิตของคุณ และคุณเพียงแค่โทรศัพท์ไปโต้แย้งและพวกเขาก็ไป “ตกลง” และพวกเขาตัดเงิน $52.23 จากบิล…

…ที่จะไม่เกิดขึ้นในกรณีนี้

และไม่น่าจะอยู่ที่ 52 ดอลลาร์ และอาจมากกว่านั้นอีกมาก

ระวังตัวด้วยคน!

---

ดั๊ก.  ดูแลแน่นอน

ไม่เป็นไร ขอบคุณสำหรับความคิดเห็น

และถ้าคุณมีเรื่องราว ข้อคิดเห็น หรือคำถามที่น่าสนใจที่คุณต้องการส่ง เรายินดีที่จะอ่านในพอดแคสต์

คุณสามารถส่งอีเมล tips@sophos.com; คุณสามารถแสดงความคิดเห็นในบทความของเราได้ คุณสามารถติดต่อเราบนโซเชียล: @NakedSecurity.

นั่นคือการแสดงของเราในวันนี้ ขอบคุณมากสำหรับการฟัง

สำหรับ Paul Ducklin ฉัน Doug Aamoth เตือนเธอ จนกว่าจะถึงคราวหน้า...

---

ทั้งสอง  รักษาความปลอดภัย!

[โมเด็มดนตรี]