S3 Ep94: Loại tiền điện tử này (graphy) và loại tiền điện tử khác (tiền tệ!) [Âm thanh + Văn bản]

Nhấp và kéo vào các sóng âm thanh bên dưới để chuyển đến bất kỳ điểm nào. Bạn cũng có thể nghe trực tiếp trên Soundcloud.

CHÓ.  A lỗi Samba nghiêm trọng, một cái khác trộm cắp tiền điện tửvà Chúc mừng ngày SysAdmin.

Tất cả những điều đó và hơn thế nữa, trên podcast Naked Security.

[CHẾ ĐỘ ÂM NHẠC]

Chào mừng mọi người đến với podcast.

Tôi là Doug Aamoth.

Với tôi, như mọi khi, là Paul Ducklin… Paul, hôm nay bạn thế nào?

---

VỊT.  Tuyệt vời, cảm ơn, Douglas.

---

CHÓ.  Chúng tôi muốn bắt đầu chương trình với một số lịch sử công nghệ.

Và tuần này, Paul, chúng ta sẽ quay trở lại năm 1858!

Tuần này năm 1858, cáp điện báo xuyên Đại Tây Dương đầu tiên đã được hoàn thành.

Nó được dẫn đầu bởi thương gia người Mỹ Cyrus Westfield, và tuyến cáp chạy từ Vịnh Trinity, Newfoundland, đến Valencia, Ireland, có chiều ngang khoảng 2000 dặm và sâu hơn 2 dặm.

Đây sẽ là lần thử thứ năm, và thật không may, cáp chỉ hoạt động trong khoảng một tháng.

Nhưng nó đã hoạt động đủ lâu để Tổng thống lúc bấy giờ là James Buchanan và Nữ hoàng Victoria trao đổi những lời nói vui vẻ.

---

VỊT.  Vâng, tôi tin rằng nó đã được, làm thế nào tôi có thể nói nó… mờ nhạt. [CON GÁI]

1858!

Hãy nhìn xem việc Thiên Chúa làm?, Doug! [CÁC TỪ ĐƯỢC GỬI TRONG TIN NHẮN ĐIỆN THOẠI BAO GIỜ ĐẦU TIÊN]

---

CHÓ.  [LAUGHS] Nói về những thứ đã được rèn luyện, có một lỗi Samba nghiêm trọng điều đó đã được vá.

Tôi không phải là một chuyên gia, nhưng lỗi này có thể cho phép bất kỳ ai trở thành Quản trị viên miền… điều đó nghe có vẻ tệ.

---

VỊT.  Chà, nghe có vẻ tệ, Doug, chủ yếu là vì lý do nó * khá * tệ!

---

CHÓ.  Có bạn đi!

---

VỊT.  Samba… nói rõ là trước khi bắt đầu, hãy xem qua các phiên bản bạn muốn.

Nếu bạn đang sử dụng phiên bản 4.16, bạn cần 4.16.4 trở lên; nếu bạn đang sử dụng 4.15, bạn cần 4.15.9 hoặc mới hơn; và nếu bạn đang sử dụng 4.14, bạn cần 4.14.14 trở lên.

Các bản sửa lỗi đó, tổng cộng, đã vá sáu lỗi khác nhau được coi là đủ nghiêm trọng để có được số CVE - chỉ định chính thức.

Một trong những nổi bật là CVE-2022-32744.

Và tiêu đề của lỗi đã nói lên tất cả: Người dùng Samba Active Directory có thể tạo yêu cầu thay đổi mật khẩu cho bất kỳ người dùng nào.

---

CHÓ.  Vâng, điều đó nghe có vẻ tệ.

---

VỊT.  Vì vậy, như báo cáo lỗi đầy đủ trong tư vấn bảo mật, nhật ký thay đổi cho biết, theo kiểu orotund:

“Người dùng có thể thay đổi mật khẩu của tài khoản quản trị viên và giành toàn quyền kiểm soát miền. Có thể mất hoàn toàn tính bảo mật và tính toàn vẹn, cũng như tính khả dụng khi từ chối người dùng truy cập vào tài khoản của họ. ”

Và như thính giả của chúng ta có thể biết, cái gọi là “bộ ba thần thánh” (dấu ngoặc kép) của bảo mật máy tính là: tính khả dụng, tính bảo mật và tính toàn vẹn.

Bạn phải có tất cả chúng, không chỉ một trong số chúng.

Vì vậy, tính toàn vẹn có nghĩa là không ai khác có thể xâm nhập và làm rối tung đồ đạc của bạn mà bạn không nhận ra.

Sự có sẵn nói rằng bạn luôn có thể lấy đồ của mình - họ không thể ngăn cản bạn lấy đồ khi bạn muốn.

và bảo mật có nghĩa là họ không thể nhìn vào nó trừ khi chúng được cho phép.

Bất kỳ một trong số đó, hoặc bất kỳ hai trong số đó, tự nó không được sử dụng nhiều.

Vì vậy, đây thực sự là một bộ ba hoàn hảo, Doug!

Và thật khó chịu, chính trong phần của Samba mà bạn có thể sử dụng không chỉ nếu bạn đang cố kết nối máy tính Unix với miền Windows mà còn nếu bạn đang cố thiết lập miền Active Directory cho máy tính Windows để sử dụng một loạt các máy tính Linux hoặc Unix.

---

CHÓ.  Đó là đánh dấu tất cả các ô theo tất cả các cách sai!

Nhưng có một bản vá lỗi - và chúng tôi luôn nói, "Hãy vá sớm, vá thường xuyên."

Có một số cách giải quyết mà mọi người có thể sử dụng nếu họ không thể vá lỗi ngay lập tức vì một số lý do, hay đây là một loại việc chỉ cần làm?

---

VỊT.  Tôi hiểu rằng lỗi này nằm trong dịch vụ xác thực mật khẩu được gọi là kpasswd.

Về cơ bản những gì dịch vụ đó làm là tìm kiếm yêu cầu thay đổi mật khẩu và xác minh rằng nó được ký hoặc ủy quyền bởi một số loại bên đáng tin cậy.

Và thật không may, sau một loạt các điều kiện lỗi nhất định, bên đáng tin cậy đó có thể bao gồm chính bạn.

Vì vậy, nó giống như một In hộ chiếu của riêng bạn lỗi, nếu bạn thích.

Bạn phải xuất trình hộ chiếu… nó có thể là hộ chiếu thật do chính phủ của bạn cấp, hoặc có thể là hộ chiếu bạn gõ ở nhà trên máy in phun của mình, và cả hai đều vượt qua được. [CON GÁI]

Bí quyết là, nếu bạn không thực sự dựa vào dịch vụ xác thực mật khẩu này khi sử dụng Samba, bạn có thể ngăn chặn điều đó kpasswd dịch vụ đang chạy.

Tất nhiên, nếu bạn thực sự dựa vào toàn bộ hệ thống Samba để cung cấp xác thực Active Directory và thay đổi mật khẩu của bạn, thì giải pháp thay thế sẽ phá vỡ hệ thống của chính bạn.

Vì vậy, cách bảo vệ tốt nhất, tất nhiên, thực sự là bản vá * loại bỏ * lỗi thay vì chỉ đơn giản là * tránh * nó.

---

CHÓ.  Rất tốt.

Bạn có thể đọc thêm về đó trên trang web: nakedscurity.sophos.com.

Và chúng ta cùng đến với thời điểm tuyệt vời nhất trong năm!

Chúng tôi vừa ăn mừng Ngày SysAdmin, Paul, và tôi sẽ không báo tin tức ở đây ... nhưng bạn đã có viết lên khá nhiều.

---

VỊT.  Chà, mỗi năm một lần, không quá khi yêu cầu chúng ta nên đến phòng CNTT và mỉm cười với tất cả những người đã thực hiện tất cả công việc nền ẩn này…

… Để duy trì [NHANH HƠN VÀ NHANH HƠN] máy tính và máy chủ của chúng tôi cũng như các dịch vụ đám mây, máy tính xách tay và điện thoại của chúng tôi cũng như thiết bị chuyển mạch mạng [DOUG LAUGHS] và các kết nối DSL cũng như bộ Wi-Fi của chúng tôi trong làm việc có trật tự.

Có sẵn! Bảo mật! Toàn vẹn, quanh năm!

Nếu bạn không làm điều đó vào thứ Sáu cuối cùng của tháng Bảy, đó là SNgày tri ân ysAdmin, vậy tại sao không đi và làm điều đó ngay hôm nay?

Và ngay cả khi bạn đã làm điều đó, không có gì nói rằng bạn không thể đánh giá cao SysAdmins của mình mỗi ngày trong năm.

Bạn không cần phải làm điều đó chỉ trong tháng Bảy, Doug.

---

CHÓ.  Điểm tốt!

---

VỊT.  Vì vậy, đây là những gì phải làm, Doug.

Tôi sẽ gọi đây là “bài thơ” hoặc “câu thơ”… Tôi nghĩ về mặt kỹ thuật đó là doggerel [LAUGHTER], nhưng tôi sẽ giả vờ rằng nó có tất cả niềm vui và sự ấm áp của một cây sonnet Shakespearean.

Nó * không phải * là sonnet, nhưng nó sẽ phải làm.

---

CHÓ.  Hoàn hảo.

---

VỊT.  Của bạn đây, Doug.

Nếu chuột của bạn hết pin Hoặc đèn webcam của bạn không sáng Nếu bạn không thể nhớ lại mật khẩu của mình Hoặc email của bạn sẽ không hiển thị Nếu bạn bị mất ổ USB Hoặc cuộc họp của bạn sẽ không bắt đầu Nếu bạn không thể tạo ra một biểu đồ Hoặc vẽ một biểu đồ tròn đẹp Nếu bạn vô tình nhấn [Xóa] Hoặc định dạng đĩa của bạn Nếu bạn định tạo một bản sao lưu Nhưng thay vào đó, hãy mạo hiểm Nếu bạn biết rõ ràng thủ phạm Và lỗi lầm quay lại bạn Đừng từ bỏ hy vọng và thất vọng Còn một việc phải làm! Lấy sôcôla, rượu vang, một chút cổ vũ, một nụ cười Và có ý nghĩa khi bạn nói: "Tôi vừa đến để chúc tất cả các bạn Một ngày SysAdmin tuyệt vời!"

---

CHÓ.  [CLAPPING] Thực sự tốt! Một trong những điều tốt nhất của bạn!

---

VỊT.  Rất nhiều những gì SysAdmins làm là vô hình và rất khó để làm tốt và đáng tin cậy một cách đáng ngạc nhiên…

… Và để làm mà không sửa chữa một thứ và phá vỡ một thứ khác.

Nụ cười đó là thứ họ ít đáng được nhận nhất, Doug.

---

CHÓ.  Ít nhất!

---

VỊT.  Vì vậy, gửi đến tất cả các SysAdmins trên toàn thế giới, tôi hy vọng các bạn sẽ thích thứ Sáu tuần trước.

Và nếu bạn không nhận được đủ nụ cười, thì hãy lấy một nụ cười ngay bây giờ.

---

CHÓ.  Chúc mọi người Ngày SysAdmin vui vẻ, và đọc bài thơ đó, điều đó thật tuyệt… nó có trên trang web.

Được rồi, chuyển sang một thứ không quá tuyệt vời: a lỗi quản lý bộ nhớ trong GnuTLS.

---

VỊT.  Vâng, tôi nghĩ điều này đáng để viết lên Naked Security, bởi vì khi mọi người nghĩ về mật mã nguồn mở, họ có xu hướng nghĩ đến OpenSSL.

Bởi vì (A) đó là câu chuyện mà mọi người đã nghe nói đến, và (B) đó là câu chuyện có lẽ đã được công khai nhiều nhất trong những năm gần đây về lỗi, vì Đau lòng.

Ngay cả khi bạn không ở đó vào thời điểm đó (cách đây XNUMX năm), bạn có thể đã nghe nói về Heartbleed, một loại lỗi rò rỉ dữ liệu và rò rỉ bộ nhớ trong OpenSSL.

Nó đã có trong mã từ nhiều năm nay và không ai nhận ra.

Và sau đó ai đó đã chú ý, họ đặt cho nó một cái tên lạ mắt, họ đặt cho con bọ một logo, và họ đặt cho con bọ một trang web, và họ tạo ra thứ PR khổng lồ này từ nó.

---

CHÓ.  [LAUGHS] Đó là cách bạn biết nó có thật…

---

VỊT.  OK, họ làm điều đó bởi vì họ muốn thu hút sự chú ý đến sự thật rằng họ đã phát hiện ra nó và họ rất tự hào về sự thật đó.

Và mặt trái của nó là mọi người đã đi ra ngoài và sửa lỗi này mà có thể họ đã không làm… bởi vì, tốt, đó chỉ là một lỗi.

Nó có vẻ không quá ấn tượng - đó không phải là thực thi mã từ xa. vì vậy họ không thể truy cập và tiếp quản ngay lập tức tất cả các trang web của tôi, v.v.

Nhưng nó đã làm cho OpenSSL trở thành một cái tên quen thuộc, không nhất thiết phải vì tất cả các lý do chính đáng.

Tuy nhiên, có rất nhiều thư viện mật mã nguồn mở ngoài kia, không chỉ OpenSSL và ít nhất hai trong số chúng được sử dụng rộng rãi một cách đáng ngạc nhiên, ngay cả khi bạn chưa bao giờ nghe nói về chúng.

Có NSS, viết tắt của Dịch vụ an ninh mạng, là thư viện mật mã riêng của Mozilla.

Bạn có thể tải xuống và sử dụng nó độc lập với bất kỳ dự án Mozilla cụ thể nào, nhưng bạn sẽ thấy nó, đáng chú ý là trong Firefox và Thunderbird, thực hiện tất cả mã hóa trong đó - chúng không sử dụng OpenSSL.

Và đây là gnuTLS, là một thư viện mã nguồn mở trong dự án GNU, về cơ bản, nếu bạn thích, là một đối thủ cạnh tranh hoặc một giải pháp thay thế cho OpenSSL, và được sử dụng (ngay cả khi bạn không nhận ra) bởi một số lượng mở- dự án nguồn và sản phẩm…

… Bao gồm bằng mã, bất kỳ nền tảng nào bạn đang sử dụng, mà bạn có thể đã có trên hệ thống của mình.

Vì vậy, điều đó bao gồm bất cứ điều gì để làm với, nói: FFmpeg; Mencoder; GnuPGP (công cụ quản lý khóa GNU); QEMU, Rdesktop; Samba, mà chúng tôi vừa nói về lỗi trước; Wget, mà rất nhiều người sử dụng để tải xuống web; Các công cụ dò tìm mạng của Wireshark; Zlib.

Có rất nhiều công cụ cần thư viện mật mã và họ đã quyết định sử dụng GnuTLS * thay vì * cho OpenSSL, hoặc thậm chí có thể là * cũng như *, tùy thuộc vào các vấn đề của chuỗi cung ứng mà họ đã sử dụng gói con nào Trong.

Bạn có thể có một dự án trong đó một số phần của nó sử dụng GnuTLS cho mật mã của chúng và một số phần của nó sử dụng OpenSSL, và thật khó để chọn cái này hơn cái kia.

Vì vậy, bạn cuối cùng, tốt hơn hoặc xấu hơn, với cả hai.

Và thật không may, GnuTLS (phiên bản bạn muốn là 3.7.7 trở lên) có một loại lỗi được gọi là không có đôi… Tin hay không nằm ở phần mã xác thực chứng chỉ TLS.

Vì vậy, theo kiểu trớ trêu mà chúng ta đã thấy trong các thư viện mật mã trước đây, mã sử dụng TLS để truyền được mã hóa nhưng không bận tâm đến việc xác minh đầu kia… mã có nội dung “Xác thực chứng chỉ, ai cần nó?”

Đó thường được coi là một ý tưởng cực kỳ tồi tệ, khá tồi tệ từ quan điểm bảo mật… nhưng bất kỳ mã nào làm được điều đó sẽ không dễ bị lỗi này, bởi vì nó không gọi là mã lỗi.

Vì vậy, đáng buồn thay, mã đang cố gắng thực hiện điều * đúng * có thể bị lừa bởi một chứng chỉ giả mạo.

Và chỉ để giải thích một cách đơn giản, không có đôi là loại lỗi mà bạn hỏi hệ điều hành hoặc hệ thống, “Này, cho tôi một số bộ nhớ. Tôi cần một số bộ nhớ tạm thời. Trong trường hợp này, tôi đã có tất cả dữ liệu chứng chỉ này, tôi muốn lưu trữ nó tạm thời, xác thực nó và sau đó khi hoàn tất, tôi sẽ giao lại bộ nhớ để phần khác của chương trình có thể sử dụng nó. ”

Nếu bạn là một lập trình viên C, bạn sẽ quen thuộc với các hàm malloc(), viết tắt của "cấp phát bộ nhớ", và free(), đó là "trả lại nó".

Và chúng tôi biết rằng có một loại lỗi được gọi là sử dụng sau khi miễn phí, đó là nơi bạn giao lại dữ liệu, nhưng sau đó vẫn tiếp tục sử dụng khối bộ nhớ đó mà quên rằng bạn đã từ bỏ nó.

Nhưng không có đôi có một chút khác biệt - đó là nơi bạn trao lại bộ nhớ và bạn nghiêm túc tránh sử dụng lại nó, nhưng sau đó, ở giai đoạn sau, bạn tiếp tục, "Cố lên, tôi chắc chắn rằng tôi đã không đưa nó bộ nhớ trở lại chưa. Tốt hơn là tôi nên trả lại nó để đề phòng. "

Và vì vậy bạn nói với hệ điều hành, "OK, giải phóng bộ nhớ này một lần nữa."

Vì vậy, có vẻ như đó là một yêu cầu hợp pháp để giải phóng dữ liệu * mà một số phần khác của chương trình có thể thực sự dựa vào *.

Và như bạn có thể tưởng tượng, những điều tồi tệ có thể xảy ra, bởi vì điều đó có nghĩa là bạn có thể nhận được hai phần của chương trình vô tình dựa vào cùng một đoạn bộ nhớ cùng một lúc.

Tin tốt là tôi không tin rằng đã tìm thấy một cách khai thác đang hoạt động cho lỗi này, và do đó, nếu bạn vá lỗi, bạn sẽ vượt qua được những kẻ gian hơn là chỉ đơn giản là bắt kịp chúng.

Nhưng, tất nhiên, tin xấu là, khi các bản sửa lỗi như thế này xuất hiện, thường có một loạt người đi xem xét chúng, cố gắng phân tích xem có gì sai với hy vọng nhanh chóng hiểu được những gì họ có thể làm để khai thác. lỗi chống lại tất cả những người chậm vá.

Nói cách khác: Đừng trì hoãn. Làm nó ngay hôm nay.

---

CHÓ.  Được rồi, phiên bản mới nhất của GnuTLS là 3.7.7… vui lòng cập nhật.

Bạn có thể đọc thêm về điều đó Trên trang web.

---

VỊT.  Ồ, và Doug, rõ ràng là lỗi đã được đưa vào GnuTLS 3.6.0.

---

CHÓ.  OK.

---

VỊT.  Vì vậy, về lý thuyết, nếu bạn có phiên bản cũ hơn, bạn sẽ không dễ bị lỗi này…

… Nhưng xin đừng lấy đó làm cái cớ để đi, “Tôi chưa cần cập nhật.”

Bạn cũng có thể chuyển tiếp qua tất cả các bản cập nhật khác đã ra mắt, đối với tất cả các vấn đề bảo mật khác, trong khoảng từ 3.6.0 đến 3.7.6.

Vì vậy, thực tế là bạn không thuộc loại lỗi này - đừng lấy đó làm cái cớ để không làm gì cả.

Hãy sử dụng nó như động lực để bạn có được ngày hôm nay… đó là lời khuyên của tôi.

---

CHÓ.  OK!

Và câu chuyện cuối cùng của chúng tôi trong tuần: chúng tôi đang nói về một vụ trộm tiền điện tử khác.

Thời gian này, chỉ $ 200 triệuTuy nhiên, Paul.

Đây là sự thay đổi chump so với một số những thay đổi khác mà chúng tôi đã đề cập.

---

VỊT.  Tôi gần như không muốn nói điều này, Doug, nhưng một trong những lý do tôi viết ra điều này là tôi đã nhìn vào nó và tôi thấy mình đang nghĩ, “Ồ, chỉ 200 triệu thôi sao? Đó là một điều khá nhỏ… TÔI ĐANG NGHĨ GÌ !? ” [CON GÁI]

200 triệu đô la, về cơ bản ... tốt, không phải là "xuống nhà vệ sinh", mà là "từ kho tiền ngân hàng".

Dịch vụ này Nomad là của một công ty có tên là Illusory Systems Incorporated.

Và tôi nghĩ bạn sẽ đồng ý rằng, chắc chắn từ quan điểm an ninh, từ "ảo tưởng" có lẽ là kiểu ẩn dụ phù hợp.

Đó là một dịch vụ về cơ bản cho phép bạn làm những gì trong biệt ngữ được gọi là cầu nối.

Về cơ bản, bạn đang tích cực giao dịch một loại tiền điện tử này cho một loại tiền điện tử khác.

Vì vậy, bạn đặt một số tiền điện tử của riêng bạn vào một số thùng khổng lồ cùng với vô số người khác… và sau đó chúng ta có thể thực hiện tất cả các hợp đồng thông minh tự động “tài chính phi tập trung” ưa thích này.

Chúng ta có thể giao dịch Bitcoin để lấy Ether hoặc Ether để lấy Monero, hoặc bất cứ thứ gì.

Thật không may, trong một bản cập nhật mã gần đây, có vẻ như họ đã rơi vào cùng một loại lỗ hổng mà có lẽ những người Samba đã làm với lỗi mà chúng tôi đã nói về trong Samba.

Về cơ bản có một In hộ chiếu của riêng bạnhoặc một Cho phép giao dịch của riêng bạn lỗi mà họ đã giới thiệu.

Có một điểm trong mã mà một băm mật mã, một băm mật mã 256-bit, được cho là được xác thực… thứ mà không ai trừ người phê duyệt được ủy quyền có thể nghĩ ra.

Ngoại trừ việc nếu bạn chỉ tình cờ sử dụng giá trị XNUMX, thì bạn sẽ vượt qua tập hợp.

Về cơ bản, bạn có thể lấy giao dịch hiện có của bất kỳ ai khác, viết lại tên người nhận bằng tên của bạn (“Này, hãy trả * ví tiền điện tử * của tôi”) và chỉ cần phát lại giao dịch.

Và hệ thống sẽ thông báo, "OK."

Bạn chỉ cần lấy dữ liệu ở định dạng phù hợp, đó là sự hiểu biết của tôi.

Và cách đơn giản nhất để tạo một giao dịch vượt qua tập hợp đơn giản là lấy giao dịch hiện có, đã hoàn thành trước của người khác, phát lại nó, nhưng gạch bỏ tên của họ, hoặc số tài khoản của họ và điền vào của riêng bạn.

Vì vậy, với tư cách là nhà phân tích tiền điện tử @samczsun nói trên Twitter, “Những kẻ tấn công đã lạm dụng điều này để sao chép và dán các giao dịch và nhanh chóng rút cạn cây cầu một cách điên cuồng miễn phí cho tất cả.”

Nói cách khác, mọi người chỉ điên cuồng rút tiền từ máy ATM chấp nhận thẻ ngân hàng của bất kỳ ai, miễn là bạn nhập mã PIN bằng không.

Và không chỉ cho đến khi máy ATM bị rút tiền… máy ATM về cơ bản được kết nối trực tiếp với mặt bên của kho tiền ngân hàng, và tiền chỉ đơn giản là đổ ra.

---

CHÓ.  Ơi!

---

VỊT.  Như bạn nói, rõ ràng họ đã mất một nơi nào đó lên đến 200 triệu đô la chỉ trong một thời gian ngắn.

Ôi trời.

---

CHÓ.  Chà, chúng tôi có một số lời khuyên, và nó khá đơn giản…

---

VỊT.  Lời khuyên duy nhất mà bạn thực sự có thể đưa ra là, "Đừng quá vội vàng khi tham gia vào cuộc cách mạng tài chính phi tập trung này."

Như chúng tôi có thể đã nói trước đây, hãy đảm bảo rằng nếu bạn * làm * tham gia vào việc “giao dịch trực tuyến; cho chúng tôi vay tiền điện tử và chúng tôi sẽ trả lãi cho bạn; đặt đồ của bạn vào ví nóng để bạn có thể hành động trong vòng vài giây; tham gia vào toàn cảnh hợp đồng thông minh; mua các mã thông báo không thể xóa của tôi [NFT] ”- tất cả những thứ đó…

… Nếu bạn quyết định rằng thị trường * là * dành cho bạn, hãy đảm bảo rằng bạn đi vào với đôi mắt mở to, chứ không phải nhắm mắt!

Và lý do đơn giản là trong những trường hợp như thế này, không chỉ kẻ gian có thể rút * một số * máy ATM của ngân hàng.

Trong trường hợp này, thứ nhất, có vẻ như họ đã rút gần hết mọi thứ, và thứ hai, không giống như các ngân hàng thông thường, không có các biện pháp bảo vệ theo quy định mà bạn sẽ được hưởng nếu một ngân hàng ngoài đời thực bị phá sản.

Trong trường hợp tài chính phi tập trung, toàn bộ ý tưởng về nó được phân cấp, mới mẻ, hay ho và là thứ mà bạn muốn lao vào…

… Là nó * không * có những biện pháp bảo vệ gây phiền nhiễu này.

Bạn có thể, và có thể - bởi vì chúng tôi đã nói về điều này thường xuyên hơn tôi thấy thoải mái, thực sự - bạn có thể mất * mọi thứ *.

Và mặt trái của điều đó là, nếu bạn bị mất đồ trong một số tài chính phi tập trung hoặc “trang web giao dịch siêu mới của Web 3.0” như thế này, thì hãy hết sức cẩn thận khi có người đến nói: “Này, đừng lo lắng. Mặc dù thiếu quy định, có những công ty chuyên gia có thể lấy lại tiền của bạn. Tất cả những gì bạn cần làm là liên hệ với công ty X, cá nhân Y hoặc tài khoản mạng xã hội Z ”.

Bởi vì, bất cứ khi nào có một thảm họa như thế này, những kẻ lừa đảo thứ cấp sẽ chạy khá nhanh, đề nghị “tìm cách” để lấy lại tiền của bạn.

Có rất nhiều kẻ lừa đảo lượn lờ xung quanh, vì vậy hãy hết sức cảnh giác.

Nếu bạn đã mất tiền, đừng cố gắng ném tiền tốt sau xấu (hoặc tiền xấu sau khi tốt, tùy theo cách của nó).

---

CHÓ.  OK, bạn có thể đọc thêm về điều đó: Cryptocoin “người trao đổi mã thông báo” Nomad mất 200 triệu đô la trong sai lầm mã hóa.

Và nếu chúng tôi nghe từ một trong những độc giả của chúng tôi về câu chuyện này, một người bình luận ẩn danh viết, và tôi đồng ý… Tôi không hiểu điều này hoạt động như thế nào:

“Điều đáng ngạc nhiên là một công ty khởi nghiệp trực tuyến đã mất nhiều thứ như vậy ngay từ đầu. 200,000 đô la, bạn có thể tưởng tượng. Nhưng 200 triệu đô la có vẻ khó tin ”.

Và tôi nghĩ rằng chúng ta đã trả lời được câu hỏi đó, nhưng tất cả số tiền này đến từ đâu, để chỉ lấy 200 triệu đô la?

---

VỊT.  Tôi không thể trả lời điều đó, Doug.

---

CHÓ.  Không.

---

VỊT.  Có phải là thế giới đã được tin tưởng hơn so với trước đây?

Có phải là có rất nhiều lợi nhuận không đáng có xuất hiện trong cộng đồng tiền điện tử không?

Vì vậy, có những người đã không thực sự bỏ tiền của mình vào việc này, nhưng họ đã kết thúc với một đống tiền điện tử bằng những cách xấu xa hơn là công bằng. (Chúng tôi biết rằng các khoản thanh toán ransomware thường đến dưới dạng tiền điện tử, phải không?)

Vì vậy, nó giống như một món tiền buồn cười ... người bị mất "tiền" có thể không đưa tiền mặt lên trước?

Có phải đó chỉ là một sự nhiệt thành gần như tôn giáo của một phần mọi người, “Không, không, * đây * là cách để làm điều đó. Chúng ta cần phải phá bỏ lối mòn mà các tổ chức tài chính quy củ, thân thiện, có quy định cao vẫn làm. Chúng ta phải thoát khỏi The Man ”?

Tôi không biết, có lẽ 200 triệu đô la không còn là số tiền lớn nữa, Doug?

---

CHÓ.  Tất nhiên rồi!

---

VỊT.  Tôi nghi ngờ rằng chỉ có những người đi vào với đôi mắt mở to.

Họ sẽ nói, "Tôi * chuẩn bị sẵn sàng để chấp nhận rủi ro này vì nó rất tuyệt."

Và vấn đề là nếu bạn sẽ mất 200 đô la, hoặc 2000 đô la, và bạn có đủ khả năng để mất nó, đó là một chuyện.

Nhưng nếu bạn đã mua 2000 đô la và bạn nghĩ, “Bạn biết không. Có lẽ tôi nên vào với giá 20,000 đô la? ” Và sau đó bạn nghĩ, “Bạn biết không. Có lẽ tôi nên vào với giá 200,000 đô la? Có lẽ tôi nên tham gia tất cả? ”

Vậy thì, tôi nghĩ bạn thực sự cần phải rất cẩn thận!

Chính vì những lý do mà các biện pháp bảo vệ theo quy định mà bạn có thể cảm thấy rằng bạn có, giống như bạn gặp phải khi có điều gì đó tồi tệ xảy ra trên thẻ tín dụng của bạn và bạn chỉ cần gọi điện thoại và tranh chấp nó và họ đi. “OK”, và họ trừ 52.23 đô la đó ra khỏi hóa đơn…

… Điều đó sẽ không xảy ra trong trường hợp này.

Và nó không chắc sẽ là 52 đô la, nó có thể sẽ nhiều hơn thế.

Vì vậy, hãy chăm sóc ở đó, các bạn!

---

CHÓ.  Hãy cẩn thận, thực sự.

Được rồi, cảm ơn bạn đã bình luận.

Và nếu bạn có một câu chuyện, nhận xét hoặc câu hỏi thú vị mà bạn muốn gửi, chúng tôi rất muốn đọc nó trên podcast.

Bạn có thể gửi email tips@sophos.com; bạn có thể nhận xét về bất kỳ một trong những bài báo của chúng tôi; bạn có thể đánh chúng tôi trên mạng xã hội: @NakedSecurity.

Đó là chương trình của chúng tôi cho ngày hôm nay - cảm ơn rất nhiều vì đã lắng nghe.

Đối với Paul Ducklin, tôi là Doug Aamoth, sẽ nhắc bạn, cho đến lần sau hãy…

---

CẢ HAI.  Giữ an toàn!

[CHẾ ĐỘ ÂM NHẠC]