S3 Ep94: Bu tür kripto (grafik) ve diğer tür kripto (para birimi!) [Ses + Metin]

Herhangi bir noktaya atlamak için aşağıdaki ses dalgalarına tıklayın ve sürükleyin. Ayrıca doğrudan dinle Soundcloud'da.

DOUG.  A kritik Samba hatası, Yine bir başka kripto hırsızlığı, ve Mutlu SysAdmin Günü.

Hepsi ve daha fazlası Naked Security podcast'inde.

[MÜZİKAL MODEM]

Podcast'e hoş geldiniz millet.

Ben Doug Aamoth'um.

Benimle her zaman olduğu gibi Paul Ducklin... Paul, bugün nasılsın?

---

ÖRDEK.  Harika, teşekkürler, Douglas.

---

DOUG.  Gösteriye biraz teknik tarihle başlamak istiyoruz.

Ve bu hafta Paul, 1858'e geri dönüyoruz!

1858'de bu hafta, ilk transatlantik telgraf kablosu tamamlandı.

Amerikalı tüccar Cyrus Westfield tarafından yönetildi ve kablo Trinity Bay, Newfoundland'dan Valensiya, İrlanda'ya, yaklaşık 2000 mil genişliğinde ve 2 milden fazla derinlikte uzanıyordu.

Bu beşinci girişim olacaktı ve ne yazık ki kablo sadece yaklaşık bir ay çalıştı.

Ancak, o zamanki Başkan James Buchanan ve Kraliçe Victoria'nın şakalaşmaları için yeterince uzun süre çalıştı.

---

ÖRDEK.  Evet, öyle olduğuna inanıyorum, nasıl açıklayabilirim… baygınlık. [Gülüşmeler]

1858!

Tanrı ne yaptı?, Doug! [İLK TELGRAF MESAJINDA GÖNDERİLEN KELİMELER]

---

DOUG.  [GÜLER] İşlenmiş şeylerden bahsetmişken, kritik Samba hatası o zamandan beri yamalı.

Hiçbir şekilde uzman değilim, ancak bu hata herkesin Etki Alanı Yöneticisi olmasına izin verir… bu kulağa kötü geliyor.

---

ÖRDEK.  Eh, kulağa kötü geliyor Doug, özellikle de *oldukça kötü* olduğu için!

---

DOUG.  Buyurun!

---

ÖRDEK.  Samba… açık olmak gerekirse, başlamadan önce, istediğiniz sürümleri gözden geçirelim.

4.16 çeşidi kullanıyorsanız, 4.16.4 veya daha yenisine ihtiyacınız var; 4.15'teyseniz, 4.15.9 veya daha yenisine ihtiyacınız vardır; 4.14'teyseniz, 4.14.14 veya daha yenisine ihtiyacınız vardır.

Bu hata düzeltmeleri, toplamda, CVE numaralarını (resmi tanımlayıcılar) alacak kadar ciddi olduğu düşünülen altı farklı hatayı düzeltti.

Öne çıkan şu CVE-2022-32744.

Ve hatanın başlığı her şeyi söylüyor: Samba Active Directory kullanıcıları, herhangi bir kullanıcı için parola değiştirme istekleri oluşturabilir.

---

DOUG.  Evet, kulağa kötü geliyor.

---

ÖRDEK.  Bu nedenle, güvenlik danışma belgesindeki tam hata raporunda olduğu gibi, değişiklik günlüğü oldukça orotund bir şekilde şunları söylüyor:

“Bir kullanıcı, yönetici hesabının şifresini değiştirebilir ve etki alanı üzerinde tam kontrol sahibi olabilir. Kullanıcıların hesaplarına erişimini engelleyerek, gizliliğin ve bütünlüğün yanı sıra kullanılabilirliğin tamamen kaybı mümkün olacaktır.”

Ve dinleyicilerimizin muhtemelen bildiği gibi, bilgisayar güvenliğinin sözde "kutsal üçlüsü" (hava tırnakları): kullanılabilirlik, gizlilik ve bütünlüktür.

Hepsine sahip olmalısın, sadece bir tanesine değil.

Yani, bütünlük başka hiç kimsenin siz fark etmeden içeri girip eşyalarınızı karıştıramayacağı anlamına gelir.

Uygunluk her zaman eşyalarınızı alabileceğinizi söylüyor - istediğiniz zaman onları almanızı engelleyemezler.

Ve gizlilik izin verilmediği sürece ona bakamayacakları anlamına gelir.

Bunlardan herhangi biri veya herhangi ikisi tek başına pek bir işe yaramaz.

Demek bu gerçekten bir üçlüydü, Doug!

Ve can sıkıcı bir şekilde, sadece bir Unix bilgisayarını bir Windows etki alanına bağlamaya çalışıyorsanız değil, aynı zamanda Windows bilgisayarların kullanması için bir Active Directory etki alanı kurmaya çalışıyorsanız, Samba'nın tam da bu bölümünde kullanabilirsiniz. bir grup Linux veya Unix bilgisayarı.

---

DOUG.  Bu, tüm kutuları yanlış şekillerde işaretlemek!

Ancak bir yama var - ve her zaman "Erken yama yapın, sık sık yama yapın" deriz.

Herhangi bir nedenle hemen yama yapamazlarsa, insanların kullanabileceği bir tür geçici çözüm var mı, yoksa bu sadece yap tarzı bir şey mi?

---

ÖRDEK.  Anladığım kadarıyla bu hata, adı verilen parola doğrulama hizmetinde. kpasswd.

Esasen bu hizmetin yaptığı şey, bir parola değiştirme talebi aramak ve bir tür güvenilir taraf tarafından imzalandığını veya yetkilendirildiğini doğrulamaktır.

Ve ne yazık ki, belirli bir dizi hata koşulunun ardından, bu güvenilir taraf siz de dahil olabilir.

Yani bir tür gibi Kendi Pasaportunuzu Yazdırın istersen böcek.

Kendi hükümetiniz tarafından verilmiş gerçek bir pasaport olabilir veya evde inkjet yazıcınızda çaldığınız bir pasaport olabilir ve her ikisi de geçer. [Gülüşmeler]

İşin püf noktası, Samba kullanımınızda bu parola doğrulama hizmetine gerçekten güvenmiyorsanız, bunu önleyebilirsiniz. kpasswd çalışan servis.

Elbette, Active Directory kimlik doğrulamanızı ve parola değişikliklerinizi sağlamak için gerçekten tüm Samba sistemine güveniyorsanız, geçici çözüm kendi sisteminizi bozacaktır.

Dolayısıyla en iyi savunma, elbette, gerçekten de, hatadan *kaçınmaktan* ziyade, onu *kaldıran* yamadır.

---

DOUG.  Çok iyi.

Yapabilirsin hakkında daha fazlasını oku bu sitede: nudescurity.sophos.com.

Ve yılın en harika zamanına doğru ilerliyoruz!

Biz sadece kutladık Sistem Yöneticisi Günü, Paul, ve ben burada son noktayı telgraf etmeyeceğim… oldukça yazmak.

---

ÖRDEK.  Pekala, yılda bir kez, BT departmanına gitmemizi ve tüm bu gizli arka plan çalışmasını koyan herkese gülümsememizi istemek çok fazla değil…

… bilgisayarlarımızı, sunucularımızı ve bulut hizmetlerimizi, dizüstü bilgisayarlarımızı, telefonlarımızı ve ağ anahtarlarımızı [DOUG GÜLER] ve DSL bağlantılarımızı ve Wi-Fi kitimizi [DAHA HIZLI VE HIZLI OLMAK] için Iyi çalışma düzeni.

Mevcut! Gizli! Bütün yıl boyunca bütünlük dolu!

Temmuz ayının son Cuma günü yapmadıysanız, bu SysAdmin Takdir Günü, o zaman neden bugün gidip yapmıyorsun?

Ve bunu yapmış olsanız bile, SysAdmin'lerinizi yılın her günü takdir edemeyeceğinizi söyleyen hiçbir şey yok.

Bunu sadece Temmuz'da yapmak zorunda değilsin, Doug.

---

DOUG.  İyi bir nokta!

---

ÖRDEK.  İşte ne yapman gerektiği, Doug.

Buna “şiir” ya da “ayet” diyeceğim… Teknik olarak bunun doggerel olduğunu düşünüyorum [Gülüşmeler], ama bir Shakespeare sonesinin tüm neşesine ve sıcaklığına sahipmiş gibi davranacağım.

Bu bir sone *değildir* ama öyle olması gerekir.

---

DOUG.  Mükemmel.

---

ÖRDEK.  Al bakalım Doug.

Farenizin pili bitmişse Veya web kameranızın ışığı yanmıyorsa Parolanızı hatırlayamıyorsanız Veya e-postanız görünmüyorsa USB sürücünüzü kaybettiyseniz Veya toplantınız başlamazsa Başlayamazsanız Bir histogram üretin Veya güzel bir yuvarlak çizelge çizin Kazara [Sil]'e basarsanız veya diskinizi biçimlendirirseniz Yedekleme yapmak niyetindeyseniz Ama bunun yerine risk aldıysanız Suçlunun bariz olduğunu biliyorsanız Ve suçlama sizi işaret ediyorsa Yapma ümidini kes ve mahzun ol Yapılacak bir şey kaldı! Çikolata, şarap, biraz tezahürat, bir gülümseme alın ve "Hepinize harika bir SysAdmin Günü dilemek için uğradım!" dediğinizde ciddi olun.

---

DOUG.  [ALKIŞIYOR] Gerçekten çok iyi! En iyilerinden biri!

---

ÖRDEK.  SysAdmins'in yaptıklarının çoğu görünmezdir ve çoğunu iyi ve güvenilir bir şekilde yapmak şaşırtıcı derecede zordur…

…ve bir şeyi düzeltip diğerini bozmadan yapmak.

Bu gülümseme, hak ettikleri en az şey, Doug.

---

DOUG.  En az!

---

ÖRDEK.  Bu nedenle, dünyanın her yerindeki tüm SysAdmin'lere, umarım geçen Cuma hoşunuza gitmiştir.

Ve yeterince gülümsemediyseniz, şimdi bir tane alın.

---

DOUG.  Mutlu SysAdmin Günü, herkes ve o şiiri oku, ki bu harika… sitede.

Pekala, o kadar da harika olmayan bir şeye geçelim: a bellek yanlış yönetim hatası GnuTLS'de.

---

ÖRDEK.  Evet, bunun Çıplak Güvenlik üzerine yazmaya değer olduğunu düşündüm, çünkü insanlar açık kaynak şifrelemeyi düşündüklerinde, genellikle OpenSSL'yi düşünürler.

Çünkü (A) herkesin duyduğu şey bu ve (B) muhtemelen son yıllarda hatalar konusunda en çok reklamı yapılan oydu, çünkü Heartbleed.

O sırada orada olmasanız bile (sekiz yıl önceydi), OpenSSL'de bir tür veri sızıntısı ve bellek sızıntısı hatası olan Heartbleed'i muhtemelen duymuşsunuzdur.

Uzun zamandır koddaydı ve kimse fark etmedi.

Ve sonra biri fark etti ve ona süslü bir isim verdiler ve böceğe bir logo verdiler ve bug'a bir web sitesi verdiler ve bu devasa PR olayını yaptılar.

---

DOUG.  [GÜLER] Gerçek olduğunu bu şekilde biliyorsun…

---

ÖRDEK.  Tamam, bunu keşfettikleri gerçeğine dikkat çekmek istedikleri için yapıyorlardı ve bu gerçekle çok gurur duyuyorlardı.

Ve diğer taraf şuydu ki, insanlar dışarı çıkıp bu hatayı düzelttiler, aksi halde yapamayacaklardı… çünkü, şey, bu sadece bir hata.

Çok dramatik görünmüyor – uzaktan kod yürütme değil. bu yüzden sadece buharlaşamazlar ve tüm web sitelerimi vb. anında ele geçiremezler.

Ancak OpenSSL'yi tüm doğru nedenlerle olmasa da herkesin bildiği bir isim haline getirdi.

Bununla birlikte, sadece OpenSSL değil, birçok açık kaynak şifreleme kitaplığı vardır ve en az ikisi, onları hiç duymamış olsanız bile şaşırtıcı bir şekilde yaygın olarak kullanılmaktadır.

NSS var, kısaltması Ağ Güvenliği Hizmeti, Mozilla'nın kendi şifreleme kitaplığıdır.

Bunu belirli Mozilla projelerinden bağımsız olarak indirebilir ve kullanabilirsiniz, ancak özellikle Firefox ve Thunderbird'de, orada tüm şifrelemeyi yaptığını göreceksiniz - OpenSSL kullanmıyorlar.

Ve orada GnuTLS, GNU projesi kapsamında bir açık kaynak kitaplığı olan, esasen, isterseniz, OpenSSL'ye bir rakip veya bir alternatif olan ve (fark etmeseniz bile) şaşırtıcı sayıda açık kaynak tarafından kullanılan bir . kaynak projeler ve ürünler…

…kod yoluyla, hangi platformda olursanız olun, muhtemelen sisteminizde var.

Bu, aşağıdakilerle ilgili her şeyi içerir: FFmpeg; Menkoder; GnuPGP (GNU anahtar yönetim aracı); QEMU, Rmasaüstü; Bir önceki bug'da bahsettiğimiz Samba; Bir çok kişinin internetten indirmek için kullandığı Wget; Wireshark'ın ağ koklama araçları; Zlib.

Dışarıda bir kriptografik kitaplığa ihtiyaç duyan ve hangi alt paketleri çektikleri tedarik zinciri sorunlarına bağlı olarak OpenSSL yerine * GnuTLS * veya hatta belki * ve hatta * kullanmaya karar veren çok sayıda araç var. içinde.

Bazı bölümlerinin kriptografisi için GnuTLS kullandığı ve bazı bölümlerinin OpenSSL kullandığı ve birini diğerine tercih etmenin zor olduğu bir projeniz olabilir.

Böylece, iyi ya da kötü, her ikisiyle de sona erersiniz.

Ve ne yazık ki, GnuTLS (istediğiniz sürüm 3.7.7 veya üzeri) olarak bilinen bir tür hataya sahipti. çift ​​ücretsiz… ister inanın ister inanmayın, kodun TLS sertifikası doğrulamasını yapan kısmında.

Yani, daha önce kriptografik kitaplıklarda gördüğümüz türden bir ironiyle, şifreli aktarımlar için TLS kullanan ancak diğer ucu doğrulama zahmetine girmeyen kod… “Sertifika doğrulama, buna kimin ihtiyacı var?” diyen kod.

Bu genellikle son derece kötü bir fikir olarak kabul edilir, güvenlik açısından oldukça kötü bir fikir… ancak bunu yapan herhangi bir kod bu hataya karşı savunmasız olmayacaktır, çünkü buggy kodunu çağırmaz.

Bu nedenle, ne yazık ki *doğru* şeyi yapmaya çalışan kod, sahte bir sertifika tarafından kandırılabilir.

Ve basitçe açıklamak gerekirse, bir çift ​​ücretsiz işletim sistemine veya sisteme "Hey, bana biraz hafıza ver. Geçici olarak biraz hafızaya ihtiyacım var. Bu durumda, tüm bu sertifika verilerine sahibim, geçici olarak saklamak, doğrulamak istiyorum ve işim bittiğinde, programın başka bir parçası tarafından kullanılabilmesi için belleği geri vereceğim. ”

Eğer bir C programcısıysanız, fonksiyonlara aşina olacaksınız. malloc(), "bellek ayırma"nın kısaltması ve free(), "geri ver".

Ve bir tür bug olduğunu biliyoruz. use-after-özgür, bu, verileri geri verdiğiniz yerdir, ancak daha sonra bıraktığınızı unutarak yine de bu bellek bloğunu kullanmaya devam edin.

Ancak çift serbestlik biraz farklıdır – hafızayı geri verdiğiniz ve görev gereği tekrar kullanmaktan kaçındığınız yerdir, ancak daha sonraki bir aşamada, “Bir dakika, eminim bunu ben vermedim. hafıza geri geldi. Her ihtimale karşı geri versem iyi olur."

Ve böylece işletim sistemine "Tamam, bu belleği tekrar boşaltın" dersiniz.

Bu nedenle, programın başka bir bölümünün gerçekten güvenebileceği * verileri boşaltmak için meşru bir istek gibi görünüyor.

Ve tahmin edebileceğiniz gibi, kötü şeyler olabilir, çünkü bu, aynı anda, bilmeden aynı bellek yığınına dayanan programın iki bölümünü alabileceğiniz anlamına gelir.

İyi haber şu ki, bu hata için çalışan bir istismar bulunduğuna inanmıyorum ve bu nedenle, yama yaparsanız, onları yakalamak yerine sahtekarların önüne geçeceksiniz.

Ama elbette kötü haber şu ki, bunun gibi hata düzeltmeleri ortaya çıktığında, genellikle bir sürü insan onlara bakmaya gider, neyin yanlış gittiğini analiz etmeye çalışır, sömürmek için ne yapabileceklerini hızla anlama umuduyla. yama yapmakta yavaş olan tüm insanlara karşı böcek.

Başka bir deyişle: Gecikmeyin. Bugün yap.

---

DOUG.  Pekala, GnuTLS'nin en son sürümü 3.7.7… lütfen güncelleyin.

Yapabilirsin bunun hakkında daha fazlasını oku sitede.

---

ÖRDEK.  Oh, ve Doug, görünüşe göre hata GnuTLS 3.6.0'da tanıtıldı.

---

DOUG.  Tamam.

---

ÖRDEK.  Yani teorik olarak, bundan daha eski bir sürümünüz varsa, bu hataya karşı savunmasız değilsiniz…

…ama lütfen bunu “Henüz güncellemeye ihtiyacım yok” demek için bir bahane olarak kullanmayın.

Diğer tüm güvenlik sorunları için 3.6.0 ile 3.7.6 arasında çıkan tüm diğer güncellemeleri de atlayabilirsiniz.

Dolayısıyla bu hata kategorisine girmemeniz gerçeği – bunu hiçbir şey yapmamak için bir bahane olarak kullanmayın.

Kendinizi günümüze getirmek için itici güç olarak kullanın… bu benim tavsiyem.

---

DOUG.  TAMAM!

Ve haftanın son hikayemiz: Başka bir kripto soygunundan bahsediyoruz.

Bu kez, sadece 200 milyon dolarYine de, Paul.

Bu, bahsettiğimiz diğerlerine kıyasla saçma bir değişiklik.

---

ÖRDEK.  Bunu neredeyse söylemek istemiyorum Doug, ama bunu yazmamın sebeplerinden biri, ona baktım ve kendimi şunu düşünürken buldum, “Ah, sadece 200 milyon mu? Bu oldukça küçük bir ti… NE DÜŞÜNÜYORUM!?” [Gülüşmeler]

200 milyon dolar, temelde… şey, “tuvaletten” değil, “banka kasasından”.

Bu hizmet Nomad, Illusory Systems Incorporated adlı bir şirkete aittir.

Ve sanırım, güvenlik açısından bakıldığında, "yanıltıcı" kelimesinin belki de doğru türde bir metafor olduğuna katılacaksınız.

olarak bilinen jargonda olanı yapmanızı sağlayan bir hizmettir. köprü.

Temelde aktif olarak bir kripto para birimini başka bir kripto para birimiyle takas ediyorsunuz.

Böylece, bir sürü başka insanla birlikte dev bir kovaya kendi kripto paranızı koyarsınız… ve sonra tüm bu süslü, “merkezi olmayan finans” otomatik akıllı sözleşmeleri yapabiliriz.

Bitcoin'i Ether veya Ether ile Monero veya her neyse takas edebiliriz.

Ne yazık ki, yakın zamanda yapılan bir kod güncellemesi sırasında, Samba adamlarının Samba'da bahsettiğimiz hatayla yaptığı aynı türden bir deliğe düştükleri görülüyor.

temelde bir var Kendi Pasaportunuzu Yazdırın, Ya da bir Kendi İşleminizi Yetkilendirin tanıttıkları bug.

Kodda bir kriptografik karmanın, 256 bitlik bir kriptografik karmanın doğrulanması gereken bir nokta var… yetkili bir onaylayıcıdan başka kimsenin bulamayacağı bir şey.

Bunun dışında, sıfır değerini kullanmış olsaydınız, toplamayı geçerdiniz.

Temel olarak, herhangi birinin mevcut işlemini alabilir, alıcının adını sizinkiyle yeniden yazabilirsiniz (“Hey, *benim* kripto para cüzdanımı öde”) ve işlemi tekrar oynatabilirsiniz.

Ve sistem "Tamam" diyecek.

Sadece verileri doğru formatta almanız gerekiyor, benim anladığım bu.

Ve toplanacak bir işlem oluşturmanın en kolay yolu, başka birinin önceden tamamlanmış, mevcut işlemini almak, tekrar oynatmak, ancak adını veya hesap numarasını silmek ve kendinizinkini girmektir.

Yani, kripto para analisti olarak @samczsun Twitter'da dedi, "Saldırganlar, işlemleri kopyalayıp yapıştırmak için bunu kötüye kullandılar ve köprüyü çabucak boşalttı, çılgınca, herkes için ücretsiz."

Başka bir deyişle, insanlar, PIN kodunu sıfır girmeniz koşuluyla, herkesin banka kartını kabul edecek olan ATM'den para çekerken çıldırdı.

Ve sadece ATM boşalana kadar değil… ATM temelde doğrudan banka kasasının yanına bağlıydı ve para basitçe dışarı akıyordu.

---

DOUG.  arrrgh!

---

ÖRDEK.  Dediğiniz gibi, görünüşe göre kısa sürede 200 milyon dolara kadar bir yerde kaybettiler.

Ah hayatım.

---

DOUG.  Bazı tavsiyelerimiz var ve oldukça basit…

---

ÖRDEK.  Gerçekten verebileceğiniz tek tavsiye, “Bu merkezi olmayan finans devrimine katılmak için çok acele etmeyin”.

Daha önce de söylemiş olabileceğimiz gibi, bu “çevrimiçi ticarete” * girerseniz; bize kripto para ödünç verin, size faiz ödeyelim; saniyeler içinde harekete geçebilmek için eşyalarını sıcak bir cüzdana koy; tüm akıllı sözleşme sahnesine girin; benim ödenemez jetonlarımı [NFT'ler] satın al” – tüm bu şeyler…

…pazar yerinin *sizin için* olduğuna karar verdiyseniz, lütfen gözlerinizi tamamen kapatarak değil, gözünüz açık olarak girdiğinizden emin olun!

Ve bunun basit nedeni, bu gibi durumlarda, dolandırıcıların banka ATM'lerinin *bazılarını* boşaltabilecekleri gibi değil.

Bu durumda, ilk olarak, hemen hemen her şeyi tüketmişler gibi görünüyor ve ikinci olarak, geleneksel bankaların aksine, gerçek bir banka iflas ettiğinde keyif alacağınız düzenleyici korumalar yok.

Merkezi olmayan finans söz konusu olduğunda, merkezi olmayan, yeni ve havalı olduğu fikrinin tamamı ve acele etmek istediğiniz bir şey…

…bu can sıkıcı düzenleyici korumalara * sahip olmamasıdır.

Yapabilirsin ve muhtemelen yapabilirsin - çünkü bunu yapmaktan daha rahat olduğumdan daha sık konuştuk, gerçekten - * her şeyi * kaybedebilirsin.

Ve bunun tersi, merkezi olmayan bir finansta veya bunun gibi “Web 3.0 yepyeni süper ticaret web sitesi” patlamasında bir şeyler kaybettiyseniz, “Hey, endişelenmeyin” diyen insanlara karşı çok dikkatli olun. Düzenleme olmamasına rağmen, paranızı geri alabilecek uzman şirketler var. Tek yapmanız gereken X şirketi, Y bireyi veya sosyal medya hesabı Z ile iletişime geçmek.

Çünkü ne zaman bu tür bir felaket olsa, ikincil dolandırıcılar oldukça hızlı koşarak gelirler ve paranızı geri almanın “bir yolunu bulmayı” teklif ederler.

Etrafta dolaşan çok sayıda dolandırıcı var, bu yüzden çok dikkatli olun.

Para kaybettiyseniz, kötü paranın üstüne iyi para (ya da iyinin üstüne kötü para, hangisi olursa olsun) atmak için yolunuzdan çıkmayın.

---

DOUG.  Tamam, bununla ilgili daha fazla bilgi edinebilirsiniz: Cryptocoin “token swapper” Nomad, kodlama hatasında 200 milyon dolar kaybetti.

Ve eğer bir okuyucumuzdan bu hikaye hakkında haber alırsak, isimsiz bir yorumcu yazıyor ve ben de aynı fikirdeyim… Bunun nasıl çalıştığını anlamıyorum:

“İnanılmaz olan şey, bir çevrimiçi girişimin ilk etapta kaybedecek çok şeyi olması. 200,000 dolar, hayal edebilirsiniz. Ancak 200 milyon dolar inanılmaz görünüyor.”

Ve sanırım bu soruyu bir nevi cevapladık, ama bu kadar para nereden geliyor, 200 milyon doları kapmak için?

---

ÖRDEK.  Buna cevap veremem, Doug.

---

DOUG.  Hayır.

---

ÖRDEK.  Dünya eskisinden daha mı inandırıcı?

Kripto para birimi topluluğunda çok fazla haksız kazanılmış kazanç var mı?

Yani aslında buna kendi parasını koymayan insanlar var, ama sonunda adil olmaktan ziyade faul yollarla bir sürü kripto para birimine sahip oldular. (Fidye yazılımı ödemelerinin genellikle kripto para olarak geldiğini biliyoruz, değil mi?)

Yani komik para gibi… “Parayı” kaybeden kişi belki de peşin para yatırmadı?

İnsanların "Hayır, hayır, *bu* bunu yapmanın yolu budur" diyen neredeyse dini bir heves mi? Eski kafalı, ahmak, yüksek düzeyde düzenlenmiş finansal kuruluşların bir şeyler yaptığı boğazı kırmamız gerekiyor. The Man'den kurtulmamız mı gerekiyor?

Bilmiyorum, belki 200 milyon dolar artık çok para değil, Doug?

---

DOUG.  [GÜLER] Eh, tabii ki!

---

ÖRDEK.  Sadece gözleri açık giren insanlar olduğundan şüpheleniyorum.

“Bu riski almaya * hazırım çünkü çok havalı” diyorlar.

Ve sorun şu ki, 200$ veya 2000$ kaybedecekseniz ve kaybetmeyi göze alabiliyorsanız, bu bir şeydir.

Ama 2000 dolara girdiyseniz ve “Biliyor musunuz. Belki de 20,000 dolara girmeliyim?” Ve sonra düşünürsün, "Biliyor musun. Belki de 200,000 dolara girmeliyim? Belki de içeri girmeliyim?”

O zaman, bence gerçekten çok dikkatli olmalısın!

Tam olarak sahip olduğunuzu hissedebileceğiniz düzenleyici korumaların nedenlerinden dolayı, kredi kartınızda kötü bir şey olduğunda sahip olduğunuz gibi ve sadece telefon edip itiraz ettiğinizde ve gidiyorlar. “Tamam” ve faturadan 52.23 doları geçiyorlar…

…bu durumda bu olmayacak.

Ve 52 dolar olması pek olası değil, muhtemelen bundan çok daha fazlası olacak.

O yüzden dikkatli olun millet!

---

DOUG.  Kendine iyi bak.

Pekala, yorum için teşekkürler.

Ve iletmek istediğiniz ilginç bir hikayeniz, yorumunuz veya sorunuz varsa, podcast'te okumayı çok isteriz.

E-posta gönderebilirsiniz tips@sophos.com; yazılarımızdan herhangi birine yorum yapabilirsiniz; bize sosyal medyadan ulaşabilirsiniz: @NakedSecurity.

Bugünkü programımız bu – dinlediğiniz için çok teşekkürler.

Paul Ducklin için, ben Doug Aamoth, size hatırlatıyorum, bir dahaki sefere kadar…

---

HER İKİSİ DE.  Güvende kalın!

[MÜZİKAL MODEM]