ΕΙΝΑΙ ΠΙΟ ΔΥΣΚΟΛΟ ΑΠΟ ΟΣΟ ΝΟΜΙΖΕΤΕ
Δεν υπάρχει πρόγραμμα αναπαραγωγής ήχου παρακάτω; Ακούω κατευθείαν στο Soundcloud.
Με τους Doug Aamoth και Paul Ducklin. Intro και outro μουσική από Edith Mudge.
Μπορείτε να μας ακούσετε στο SoundCloud, Apple Podcasts, Podcasts Google, Spotify, Ράπτων και οπουδήποτε υπάρχουν καλά podcast. Ή απλά ρίξτε το URL της ροής RSS μας στο αγαπημένο σας podcatcher.
ΔΙΑΒΑΣΤΕ ΤΟ ΜΕΤΑΓΡΑΦΟ
ΖΥΜΗ. Κλεισίματα διαχείρισης κωδικών πρόσβασης, σφάλματα σύνδεσης και η Βασίλισσα Ελισάβετ Ι εναντίον της Μαρίας Βασίλισσας της Σκωτίας… φυσικά!
Όλα αυτά και πολλά άλλα στο podcast του Naked Security.
[ΜΟΥΣΙΚΟ ΜΟΝΤΕΜ]
Καλώς ήρθατε στο podcast, όλοι.
Είμαι ο Doug Aamoth. είναι ο Paul Ducklin.
Παύλο, πώς τα πας;
ΠΑΠΙΑ. Ουάου!
Το skullduggery της τεχνολογίας πληροφοριών του 16ου αιώνα συναντά το podcast του Naked Security, Douglas.
Δεν μπορώ να περιμένω!
ΖΥΜΗ. Προφανώς, ναι… θα φτάσουμε σε αυτό σύντομα.
Αλλά πρώτα, όπως πάντα, This Week in Tech History, στις 28 Μαΐου 1987, ο διαδικτυακός πάροχος υπηρεσιών CompuServe κυκλοφόρησε κάτι που ονομάζεται Μορφή ανταλλαγής γραφικών ή GIF [HARD G].
Αναπτύχθηκε από τον αείμνηστο Steve Wilhite, μηχανικό στο CompuServe (ο οποίος, παρεμπιπτόντως, ορκίστηκε πάνω-κάτω ότι προφερόταν "jif") ως μέσο υποστήριξης έγχρωμων εικόνων στο περιορισμένο εύρος ζώνης και τις δυνατότητες αποθήκευσης των πρώιμων δικτύων υπολογιστών.
Η αρχική έκδοση, GIF 87a, υποστήριζε το πολύ 256 χρώματα. κέρδισε γρήγορα δημοτικότητα λόγω της ικανότητάς του να εμφανίζει απλές κινούμενες εικόνες και την ευρεία υποστήριξή του σε διαφορετικά συστήματα υπολογιστών.
Σας ευχαριστώ, κύριε Wilhite.
ΠΑΠΙΑ. Και τι μας άφησε, Ντάγκλας;
Κινούμενα σχέδια στον ιστό και διαμάχη σχετικά με το αν η λέξη προφέρεται "γραφικά" [HARD G] ή "giraffics" [SOFT G].
ΖΥΜΗ. Ακριβώς. [ΓΕΛΙΑ]
ΠΑΠΙΑ. Απλώς δεν μπορώ να μην το ονομάσω "giff" [HARD G].
ΖΥΜΗ. Ιδιο!
Ας το σφραγίσουμε αυτό και ας προχωρήσουμε στη συναρπαστική ιστορία μας…
…σχετικά με τη Βασίλισσα Ελισάβετ Α, τη Μαρία Βασίλισσα της Σκωτίας και έναν άνδρα παίζοντας και στις δύο πλευρές ανάμεσα σε απατεώνες ransomware και τον εργοδότη του, Paul.
Ιστορίες Ransomware: Η επίθεση MitM που είχε πραγματικά έναν άνθρωπο στη μέση
ΠΑΠΙΑ. [ΓΕΛΙΑ] Ας ξεκινήσουμε από το τέλος της ιστορίας.
Βασικά, ήταν μια επίθεση ransomware εναντίον μιας εταιρείας τεχνολογίας στο Oxfordshire, στην Αγγλία.
(Όχι αυτή… ήταν μια εταιρεία στην Οξφόρδη, 15 χιλιόμετρα πάνω από το Abingdon-on-Thames, όπου εδρεύει η Sophos.)
Αφού χτυπήθηκαν από ransomware, όπως μπορείτε να φανταστείτε, απαίτησαν να πληρώσουν το Bitcoin για να πάρουν πίσω τα δεδομένα τους.
Και, όπως αυτή η ιστορία, είχαμε ένα πριν από δύο εβδομάδες, ένας από τη δική τους αμυντική ομάδα, που υποτίθεται ότι θα βοηθούσε στην αντιμετώπιση αυτού του προβλήματος, κατάλαβε, «Θα τρέξω ένα MiTM», μια επίθεση Man-in-the-Middle.
Το ξέρω, για να αποφύγω τη γλώσσα των φύλων και να αντικατοπτρίζω το γεγονός ότι δεν είναι πάντα ένα άτομο (συχνά είναι ένας υπολογιστής στη μέση) αυτές τις μέρες…
…Στη Γυμνή Ασφάλεια, γράφω τώρα "Manipulator-in-the-Middle".
Αλλά αυτός ήταν κυριολεκτικά ένας άντρας στη μέση.
Με απλά λόγια, Νταγκ, κατάφερε να αρχίσει να στέλνει email στον εργοδότη του από το σπίτι, χρησιμοποιώντας ένα είδος τυπογραφικού λογαριασμού email που ήταν σαν τη διεύθυνση email του απατεώνα.
Πήρε το νήμα και άλλαξε τη διεύθυνση Bitcoin στα ιστορικά ίχνη email, επειδή είχε πρόσβαση σε λογαριασμούς email ανώτερων στελεχών…
…και ουσιαστικά άρχισε να διαπραγματεύεται ως άνθρωπος στη μέση.
Λοιπόν, φαντάζεστε ότι διαπραγματεύεται ατομικά τώρα με τον απατεώνα, και μετά μεταβιβάζει αυτή τη διαπραγμάτευση στον εργοδότη του.
Δεν ξέρουμε αν ήλπιζε να φύγει με όλη την επιβράβευση και μετά να πει στον εργοδότη του, «Ε, μάντεψε, οι απατεώνες μας εξαπάτησαν», ή αν ήθελε να διαπραγματευτεί με τους απατεώνες στο τέλος του, και ο εργοδότης του στην άλλη άκρη.
Γιατί ήξερε όλα τα σωστά/λάθος πράγματα να πει για να αυξήσει τον φόβο και τον τρόμο μέσα στην εταιρεία.
Έτσι, ο στόχος του ήταν βασικά να παραβιάσει την πληρωμή ransomware.
Λοιπόν, Doug, όλα πήγαν λίγο σε σχήμα αχλαδιού γιατί, δυστυχώς για τον ίδιο και ευτυχώς για τον εργοδότη του και για την επιβολή του νόμου, η εταιρεία αποφάσισε να μην πληρώσει.
ΖΥΜΗ. [ΓΕΛΙΑ] Χμμμ!
ΠΑΠΙΑ. Άρα δεν υπήρχε Bitcoin για να κλέψει και μετά να το κόψει.
Επίσης, φαίνεται ότι δεν έκρυψε πολύ καλά τα ίχνη του και η παράνομη πρόσβασή του στα αρχεία καταγραφής email βγήκε στη συνέχεια στο πλύσιμο.
Προφανώς ήξερε ότι οι μπάτσοι τον πλησίαζαν, επειδή προσπάθησε να σκουπίσει τα αδίστακτα δεδομένα από τους υπολογιστές και τα τηλέφωνά του στο σπίτι.
Όμως κατασχέθηκαν και τα δεδομένα ανακτήθηκαν.
Κάπως έτσι η υπόθεση τραβήχτηκε για πέντε χρόνια και τελικά, τη στιγμή που επρόκειτο να πάει στη δίκη, προφανώς αποφάσισε ότι δεν είχε πραγματικά πόδι να σταθεί και ομολόγησε την ενοχή του.
Λοιπόν, να το έχεις, Νταγκ.
Μια κυριολεκτική επίθεση άντρα στη μέση!
ΖΥΜΗ. Εντάξει, όλα καλά και καλά το 2023…
…αλλά πάρτε μας πίσω στη δεκαετία του '1580, Παύλος.
Τι γίνεται με τη Μαρία, τη Βασίλισσα της Σκωτίας και τη Βασίλισσα Ελισάβετ Α΄;
ΠΑΠΙΑ. Λοιπόν, για να είμαι ειλικρινής, απλώς σκέφτηκα ότι ήταν ένας πολύ καλός τρόπος για να εξηγήσω μια επίθεση άντρα στη μέση, επιστρέφοντας όλα αυτά τα χρόνια πίσω.
Γιατί, ως γνωστόν, η βασίλισσα Ελισάβετ και η ξαδέρφη της Μαρία, Βασίλισσα της Σκωτίας ήταν θρησκευτικοί και πολιτικοί εχθροί.
Η Ελισάβετ ήταν η βασίλισσα της Αγγλίας. Η Μαρία ήταν υποκρίτρια του θρόνου.
Έτσι, η Μαίρη ουσιαστικά κρατήθηκε σε κατ' οίκον περιορισμό.
Η Μαίρη ζούσε σε κάποια πολυτέλεια, αλλά ήταν περιορισμένη σε ένα κάστρο, και στην πραγματικότητα συνωμοτούσε εναντίον της ξαδέρφης της, αλλά δεν μπορούσαν να το αποδείξουν.
Και η Μαίρη έστελνε και λάμβανε μηνύματα γεμισμένα στα βαρέλια μπύρας που παραδίδονταν στο κάστρο.
Προφανώς, σε αυτή την περίπτωση, ο άνθρωπος στη μέση ήταν ένας συμβατός προμηθευτής μπύρας που θα αφαιρούσε τα μηνύματα πριν τα πάρει η Μαρία, ώστε να μπορούν να αντιγραφούν.
Και θα έβαζε μηνύματα αντικατάστασης, κρυπτογραφημένα με τον κρυπτογράφηση της Μαίρης, με ανεπαίσθητες αλλαγές που, χαλαρά μιλώντας, έπεισαν τελικά τη Μαίρη να γράψει περισσότερα από όσα πιθανώς θα έπρεπε.
Έτσι, όχι μόνο έδωσε τα ονόματα άλλων συνωμότων, αλλά έδειξε επίσης ότι ενέκρινε το σχέδιο για τη δολοφονία της βασίλισσας Ελισάβετ.
Ήταν πιο δύσκολες στιγμές τότε… και η Αγγλία είχε σίγουρα τη θανατική ποινή εκείνες τις μέρες, και η Μαίρη δικάστηκε και εκτελέστηκε.
Τα 10 κορυφαία σπασμένα κρυπτογραφικά κείμενα από την ιστορία
ΖΥΜΗ. Εντάξει, λοιπόν, για όποιον ακούει, το elevator pitch για αυτό το podcast είναι, «Ειδήσεις και συμβουλές για την ασφάλεια στον κυβερνοχώρο, και λίγο ιστορία».
Επιστροφή στον άνθρωπο στη μέση της τρέχουσας ημέρας.
Μιλήσαμε για άλλη μια εμπιστευτική απειλή έτσι ακριβώς πριν από λίγο καιρό.
Θα ήταν λοιπόν ενδιαφέρον να δούμε αν αυτό είναι ένα μοτίβο ή αν αυτό είναι απλώς μια σύμπτωση.
Αλλά μιλήσαμε για ορισμένα πράγματα που μπορείτε να κάνετε για να προστατευτείτε από αυτούς τους τύπους επιθέσεων, οπότε ας τα εξετάσουμε ξανά γρήγορα.
Ξεκινώντας με: Διαίρει και βασίλευε, που ουσιαστικά σημαίνει, «Μην δίνετε σε ένα άτομο στην εταιρεία απεριόριστη πρόσβαση σε όλα», Paul.
ΠΑΠΙΑ. Ναί.
ΖΥΜΗ. Και τότε έχουμε: Διατήρηση αμετάβλητων αρχείων καταγραφής, που φαινόταν ότι συνέβη σε αυτή την περίπτωση, σωστά;
ΠΑΠΙΑ. Ναί.
Φαίνεται ότι ένα βασικό στοιχείο αποδεικτικών στοιχείων σε αυτή την υπόθεση ήταν το γεγονός ότι έψαχνε τα email των ανώτερων στελεχών και τα άλλαζε, και δεν μπορούσε να το κρύψει αυτό.
Φαντάζεστε λοιπόν, ακόμη και χωρίς τα άλλα στοιχεία, το γεγονός ότι μπέρδευε με email που σχετίζονται ειδικά με διαπραγματεύσεις ransomware και διευθύνσεις Bitcoin θα ήταν εξαιρετικά ύποπτο.
ΖΥΜΗ. Εντάξει, τέλος: Πάντα να μετράτε, ποτέ να μην υποθέτετε.
ΠΑΠΙΑ. Πράγματι!
ΖΥΜΗ. Τα καλά παιδιά κέρδισαν τελικά… χρειάστηκαν πέντε χρόνια, αλλά τα καταφέραμε.
Ας προχωρήσουμε στην επόμενη ιστορία μας.
Η εταιρεία ασφάλειας Ιστού εντοπίζει ένα σφάλμα σύνδεσης σε μια εργαλειοθήκη δημιουργίας εφαρμογών.
Το σφάλμα διορθώνεται γρήγορα και με διαφάνεια, οπότε είναι ωραίο… αλλά υπάρχει λίγο περισσότερο στην ιστορίαφυσικά ο Παύλος.
Σοβαρή ασφάλεια: Η επαλήθευση είναι ζωτικής σημασίας – η εξέταση ενός σφάλματος σύνδεσης του OAUTH
ΠΑΠΙΑ. Ναί.
Αυτή είναι μια εταιρεία ανάλυσης ασφαλείας κωδικοποίησης ιστού (ελπίζω να διάλεξα τη σωστή ορολογία εκεί) που ονομάζεται SALT και βρήκαν μια ευπάθεια ελέγχου ταυτότητας σε μια εργαλειοθήκη δημιουργίας εφαρμογών που ονομάζεται Expo.
Και, ευλογήστε τις καρδιές τους, η Expo υποστηρίζει ένα πράγμα που ονομάζεται OAUTH, το Ανοίξτε την Εξουσιοδότηση σύστημα.
Αυτό είναι το είδος του συστήματος που χρησιμοποιείται όταν πηγαίνετε σε έναν ιστότοπο που έχει αποφασίσει: «Ξέρετε τι, δεν θέλουμε την ταλαιπωρία να προσπαθήσουμε να μάθουμε πώς να κάνουμε την ασφάλεια του κωδικού πρόσβασης για εμάς. Αυτό που θα κάνουμε είναι να πούμε, «Σύνδεση με το Google, συνδεθείτε με το Facebook», κάτι τέτοιο.
Και η ιδέα είναι ότι, χαλαρά μιλώντας, επικοινωνείτε με το Facebook, ή την Google, ή ό,τι άλλο είναι η κύρια υπηρεσία και λέτε, "Γεια, θέλω να δώσω example.com
άδεια για να κάνει το Χ."
Έτσι, το Facebook ή η Google ή οτιδήποτε άλλο, σας πιστοποιεί την ταυτότητα και στη συνέχεια λέει: «Εντάξει, εδώ είναι ένας μαγικός κωδικός που μπορείτε να δώσετε στο άλλο άκρο που λέει: «Σας ελέγξαμε. κάνατε έλεγχο ταυτότητας μαζί μας και αυτό είναι το διακριτικό ελέγχου ταυτότητας σας."
Στη συνέχεια, το άλλο άκρο ανεξάρτητα μπορεί να ελέγξει με το Facebook ή το Google ή οτιδήποτε άλλο για να βεβαιωθεί ότι αυτό το διακριτικό εκδόθηκε για λογαριασμό σας.
Αυτό σημαίνει λοιπόν ότι δεν χρειάζεται ποτέ να παραδώσετε κανένα κωδικό πρόσβασης στον ιστότοπο…, αν θέλετε, συνεπιλέγετε το Facebook ή την Google για να κάνει το πραγματικό μέρος του ελέγχου ταυτότητας για εσάς.
Είναι μια υπέροχη ιδέα αν είστε ιστότοπος μπουτίκ και σκέφτεστε, "Δεν πρόκειται να πλέξω τη δική μου κρυπτογραφία."
Επομένως, αυτό δεν είναι σφάλμα στον ΟΑΥΘ.
Είναι απλώς μια παράβλεψη. κάτι που ξεχάστηκε στην υλοποίηση της διαδικασίας του ΟΑΥΘ από την Expo.
Και, χαλαρά μιλώντας, Νταγκ, πάει κάπως έτσι.
Ο κώδικας Expo δημιουργεί ένα τεράστιο URL που περιλαμβάνει όλες τις παραμέτρους που απαιτούνται για τον έλεγχο ταυτότητας με το Facebook και, στη συνέχεια, για να αποφασίσει πού θα σταλεί αυτό το τελικό μαγικό διακριτικό πρόσβασης.
Επομένως, θεωρητικά, εάν δημιουργήσατε τη δική σας διεύθυνση URL ή μπορούσατε να τροποποιήσετε τη διεύθυνση URL, θα μπορούσατε να αλλάξετε το μέρος όπου τελικά στάλθηκε αυτό το μαγικό διακριτικό ελέγχου ταυτότητας.
Αλλά δεν θα μπορούσατε να εξαπατήσετε τον χρήστη, επειδή εμφανίζεται ένα παράθυρο διαλόγου που λέει: «Η εφαρμογή στο URL-here
σας ζητά να συνδεθείτε στον λογαριασμό σας στο Facebook. Το εμπιστεύεστε πλήρως και θέλετε να το αφήσετε να το κάνει; Ναι ή όχι?"
Ωστόσο, όταν επρόκειτο να λάβετε τον κωδικό εξουσιοδότησης από το Facebook, ή την Google, ή οτιδήποτε άλλο, και να τον διαβιβάσετε σε αυτό το "URL επιστροφής", ο κωδικός έκθεσης δεν θα έλεγχε ότι είχατε πραγματικά κάνει κλικ Yes
στο παράθυρο διαλόγου έγκρισης.
Εάν είδατε ενεργά το παράθυρο διαλόγου και κάνετε κλικ No
, τότε θα αποτρέψατε την επίθεση από το να συμβεί.
Αλλά, ουσιαστικά, αυτό «απέτυχε ανοιχτό».
Εάν δεν βλέπατε ποτέ τον διάλογο, δεν θα ξέρατε καν ότι υπήρχε κάτι για να κάνετε κλικ και απλώς δεν κάνατε τίποτα, και στη συνέχεια οι εισβολείς απλώς ενεργοποίησαν την επόμενη επίσκεψη στη διεύθυνση URL μόνοι τους με περισσότερη JavaScript…
…τότε το σύστημα θα λειτουργούσε.
Και ο λόγος που λειτούργησε είναι ότι το μαγικό "URL επιστροφής", το μέρος όπου επρόκειτο να σταλεί ο εξαιρετικά μυστικός κωδικός εξουσιοδότησης, είχε οριστεί σε ένα cookie ιστού για χρήση του Expo αργότερα *πριν κάνετε κλικ Yes
στο παράθυρο διαλόγου*.
Αργότερα, η ύπαρξη αυτού του cookie "URL επιστροφής" ελήφθη ουσιαστικά, αν θέλετε, ως απόδειξη ότι πρέπει να έχετε δει το παράθυρο διαλόγου και ότι πρέπει να έχετε αποφασίσει να προχωρήσετε.
Ενώ, στην πραγματικότητα, αυτό δεν ίσχυε.
Ήταν λοιπόν ένα τεράστιο slip 'twixt cup and lip, Douglas.
ΖΥΜΗ. Εντάξει, έχουμε μερικές συμβουλές, ξεκινώντας από: Όσον αφορά την αναφορά και την αποκάλυψη αυτού του σφάλματος, αυτή ήταν μια υπόθεση σχολικού βιβλίου.
Σχεδόν έτσι πρέπει να το κάνεις, Paul.
Όλα λειτούργησαν όπως θα έπρεπε, επομένως αυτό είναι ένα εξαιρετικό παράδειγμα για το πώς να το κάνετε αυτό με τον καλύτερο δυνατό τρόπο.
ΠΑΠΙΑ. Και αυτός είναι ένας από τους κύριους λόγους για τους οποίους ήθελα να το γράψω στο Naked Security.
ΑΛΑΤΙ, οι άνθρωποι που βρήκαν το ζωύφιο…
..το βρήκαν? το αποκάλυψαν υπεύθυνα? συνεργάστηκαν με την Expo, η οποία το έφτιαξε, κυριολεκτικά μέσα σε λίγες ώρες.
Έτσι, παρόλο που ήταν ένα σφάλμα, παρόλο που ήταν ένα λάθος κωδικοποίησης, οδήγησε στο SALT να λέει, «Ξέρεις τι, οι άνθρωποι της Expo ήταν μια απόλυτη ευχαρίστηση να συνεργαστείς».
Έπειτα, ο SALT πήγε να πάρει ένα CVE και αντί να πάνε, "Γεια, το σφάλμα διορθώθηκε τώρα, έτσι δύο μέρες αργότερα μπορούμε να κάνουμε μια μεγάλη έκρηξη δημοσίων σχέσεων για αυτό", ωστόσο όρισαν μια ημερομηνία τρεις μήνες νωρίτερα όταν θα έγραφαν πραγματικά αναλύουν τα ευρήματά τους και συντάσσουν την ίδια την εκπαιδευτική τους έκθεση.
Αντί να το βγάλουν βιαστικά για άμεσους λόγους δημοσίων σχέσεων, σε περίπτωση που τους συλλάβουν την τελευταία στιγμή, όχι μόνο το ανέφεραν υπεύθυνα, ώστε να διορθωθεί πριν το βρουν οι απατεώνες (και δεν υπάρχει καμία ένδειξη ότι κάποιος έκανε κατάχρηση αυτής της ευπάθειας), αλλά και στη συνέχεια έδωσε λίγο περιθώριο στην Expo να βγει εκεί έξω και να επικοινωνήσει με τους πελάτες της.
ΖΥΜΗ. Και μετά, φυσικά, μιλήσαμε λίγο για αυτό: Βεβαιωθείτε ότι οι έλεγχοι ελέγχου ταυτότητας αποτυγχάνουν να κλείσουν.
Βεβαιωθείτε ότι δεν θα συνεχίσει να λειτουργεί μόνο εάν κάποιος το αγνοήσει ή το ακυρώσει.
Αλλά το μεγαλύτερο ζήτημα εδώ είναι: Ποτέ μην υποθέτετε ότι ο δικός σας κωδικός πελάτη θα έχει τον έλεγχο της διαδικασίας επαλήθευσης.
ΠΑΠΙΑ. Εάν ακολουθούσατε την ακριβή διαδικασία του κώδικα JavaScript που παρέχεται από την Expo για να σας οδηγήσει σε αυτήν τη διαδικασία του OAUTH, θα ήσασταν εντάξει.
Αλλά αν αποφύγατε τον κώδικά τους και στην πραγματικότητα απλώς ενεργοποιήσατε τους συνδέσμους με τη δική σας JavaScript, συμπεριλαμβανομένης της παράκαμψης ή της ακύρωσης του αναδυόμενου παραθύρου, τότε κερδίσατε.
Η παράκαμψη του κωδικού πελάτη σας είναι το πρώτο πράγμα που θα σκεφτεί ένας εισβολέας.
ΖΥΜΗ. Εντάξει, τελευταίο αλλά εξίσου σημαντικό: Αποσυνδεθείτε από λογαριασμούς Ιστού όταν δεν τους χρησιμοποιείτε ενεργά.
Αυτή είναι μια καλή συμβουλή παντού.
ΠΑΠΙΑ. Το λέμε συνέχεια στο podcast του Naked Security και έχουμε για πολλά χρόνια.
Δεν είναι δημοφιλής συμβουλή, γιατί είναι μάλλον άβολη, με τον ίδιο τρόπο που λέτε στους ανθρώπους: "Γεια, γιατί να μην ρυθμίσετε το πρόγραμμα περιήγησής σας να διαγράφει όλα τα cookies κατά την έξοδο;"
Αν το καλοσκεφτείτε, στη συγκεκριμένη περίπτωση… ας πούμε ότι η σύνδεση γινόταν μέσω του λογαριασμού σας στο Facebook. ΟΑΥΘ μέσω Facebook.
Εάν είχατε αποσυνδεθεί από το Facebook, τότε ανεξάρτητα από την προδοσία JavaScript που προσπάθησε ένας εισβολέας (σκοτώνοντας το αναδυόμενο παράθυρο της Expo και όλα αυτά), η διαδικασία ελέγχου ταυτότητας με το Facebook δεν θα πετύχαινε επειδή το Facebook θα έλεγε: "Ε, αυτό το άτομο ζητώντας μου να τους επικυρώσω. Δεν είναι συνδεδεμένοι αυτήν τη στιγμή."
Έτσι, θα βλέπετε πάντα και αναπόφευκτα τη σύνδεση στο Facebook να αναδύεται σε εκείνο το σημείο: «Πρέπει να συνδεθείτε τώρα».
Και αυτό θα έδινε την υπονόμευση αμέσως.
ΖΥΜΗ. Εντάξει, πολύ καλά.
Και η τελευταία μας ιστορία της ημέρας: Μην πανικοβάλλεστε, αλλά προφανώς υπάρχει τρόπος να σπάσετε τον κύριο κωδικό πρόσβασης για τον διαχειριστή κωδικών πρόσβασης ανοιχτού κώδικα KeePass.
Αλλά, και πάλι, μην πανικοβληθείτε, γιατί είναι α πολύ πιο περίπλοκο απ' όσο φαίνεται, Πολ.
Πρέπει πραγματικά να έχεις τον έλεγχο της μηχανής κάποιου.
ΠΑΠΙΑ. Κάνεις.
Αν θέλετε να το εντοπίσετε, είναι CVE-2023-32784.
Είναι ένα συναρπαστικό σφάλμα, και έγραψα ένα είδος μεγάλο έργο άρθρο σχετικά με το Naked Security σχετικά με αυτό, με τίτλο: Αυτή η «κύρια ρωγμή κωδικού πρόσβασης» του KeePass και τι μπορούμε να μάθουμε από αυτό.
Επομένως, δεν θα χαλάσω αυτό το άρθρο, το οποίο πηγαίνει στην εκχώρηση μνήμης τύπου C, στην κατανομή μνήμης τύπου γλώσσας δέσμης ενεργειών και, τέλος, σε διαχειριζόμενες συμβολοσειρές C# ή .NET… διαχείριση διαχειριζόμενης μνήμης από το σύστημα.
Θα περιγράψω απλώς τι ανακάλυψε ο ερευνητής σε αυτή την περίπτωση.
Αυτό που έκαναν είναι… έψαξαν στον κώδικα KeePass και στις ενδείξεις μνήμης KeePass, για αποδείξεις για το πόσο εύκολο μπορεί να ήταν να βρεθεί ο κύριος κωδικός πρόσβασης στη μνήμη, έστω και προσωρινά.
Τι γίνεται αν είναι εκεί λίγα λεπτά, ώρες ή μέρες αργότερα;
Τι θα συμβεί αν ο κύριος κωδικός πρόσβασης εξακολουθεί να υπάρχει, ίσως στο αρχείο ανταλλαγής στο δίσκο, ακόμα και μετά την επανεκκίνηση του υπολογιστή σας;
Έτσι, ρύθμισα το KeePass και έδωσα στον εαυτό μου έναν κωδικό πρόσβασης 16 χαρακτήρων, με κεφαλαία, ώστε να είναι εύκολο να τον αναγνωρίσω αν τον έβρισκα στη μνήμη.
Και, ιδού, σε κανένα σημείο δεν βρήκα τον κύριο κωδικό μου στη μνήμη: όχι ως συμβολοσειρά ASCII. όχι ως συμβολοσειρά Windows Widechar (UTF-16)).
Εξαιρετική!
Αλλά αυτό που παρατήρησε αυτός ο ερευνητής είναι ότι όταν πληκτρολογείτε τον κωδικό πρόσβασής σας στο KeePass, βάζει… Θα τον ονομάσω "χαρακτήρας Unicode blob", απλώς για να σας δείξω ότι, ναι, πατήσατε ένα πλήκτρο και επομένως για να σας δείξω πόσους χαρακτήρες έχετε πληκτρολογήσει.
Έτσι, καθώς πληκτρολογείτε τον κωδικό πρόσβασής σας, βλέπετε τη συμβολοσειρά blob [●], blob-blob [●●], blob-blob-blob [●●●], και στην περίπτωσή μου, τα πάντα μέχρι 16 blob.
Λοιπόν, αυτές οι συμβολοσειρές blob δεν φαίνεται να αποτελούν κίνδυνο για την ασφάλεια, επομένως ίσως απλώς να αφέθηκαν στον χρόνο εκτέλεσης .NET για να τις διαχειριστεί ως "διαχειριζόμενες συμβολοσειρές", όπου μπορεί να βρίσκονται στη μνήμη στη συνέχεια…
…και να μην καθαριστείτε γιατί, «Ε, είναι απλά σταγόνες».
Αποδεικνύεται ότι εάν κάνετε μια ένδειξη μνήμης του KeePass, το οποίο σας δίνει 250 MB υλικού, και αναζητήσετε συμβολοσειρές όπως blob-blob, blob-blob-blob και ούτω καθεξής (οποιοσδήποτε αριθμός σταγόνων), υπάρχει ένα κομμάτι μνήμης όπου θα δείτε δύο σταγόνες, μετά τρεις σταγόνες, μετά τέσσερις σταγόνες, μετά πέντε σταγόνες… και στην περίπτωσή μου, μέχρι και 16 σταγόνες.
Και τότε θα λάβετε αυτή την τυχαία συλλογή από «χαρακτήρες που συμβαίνουν κατά λάθος», αν θέλετε.
Με άλλα λόγια, απλώς και μόνο η αναζήτηση αυτών των συμβολοσειρών blob, παρόλο που δεν δίνουν τον πραγματικό κωδικό πρόσβασής σας, θα διαρρεύσει το μήκος του κωδικού πρόσβασής σας.
Ωστόσο, γίνεται ακόμα πιο ενδιαφέρον, επειδή αυτό που αναρωτήθηκε αυτός ο ερευνητής είναι: "Τι θα συμβεί αν τα δεδομένα κοντά σε αυτές τις συμβολοσειρές blob στη μνήμη μπορεί να συνδέονται με κάποιο τρόπο με τους μεμονωμένους χαρακτήρες που πληκτρολογείτε στον κωδικό πρόσβασης;"
Λοιπόν, τι γίνεται αν περάσετε από το αρχείο ένδειξης σφαλμάτων μνήμης και αντί να αναζητήσετε απλώς δύο σταγόνες, τρεις σταγόνες/τέσσερις σταγόνες, περισσότερα…
…αναζητάτε μια σειρά από σταγόνες ακολουθούμενη από έναν χαρακτήρα που πιστεύετε ότι είναι στον κωδικό πρόσβασης;
Έτσι, στην περίπτωσή μου, απλώς έψαχνα για τους χαρακτήρες Α έως Ω, γιατί ήξερα ότι ήταν αυτό που υπήρχε στον κωδικό πρόσβασης.
Ψάχνω για οποιαδήποτε σειρά από σταγόνες, ακολουθούμενη από έναν χαρακτήρα ASCII.
Μαντέψτε τι συνέβη, Νταγκ;
Λαμβάνω δύο σταγόνες ακολουθούμενες από τον τρίτο χαρακτήρα του κωδικού πρόσβασής μου. τρεις σταγόνες ακολουθούμενες από τον τέταρτο χαρακτήρα του κωδικού πρόσβασής μου. σε όλη τη διαδρομή έως και 15 σταγόνες ακολουθούμενες αμέσως από τον 16ο χαρακτήρα στον κωδικό πρόσβασής μου.
ΖΥΜΗ. Ναι, είναι μια άγρια οπτική σε αυτό το άρθρο!
Ακολούθησα… ήταν λίγο τεχνικό, και ξαφνικά μόλις είδα, «Ουάου! Μοιάζει με κωδικό πρόσβασης!»
ΠΑΠΙΑ. Βασικά είναι σαν οι μεμονωμένοι χαρακτήρες του κωδικού πρόσβασής σας να είναι διάσπαρτοι στη μνήμη, αλλά αυτοί που αντιπροσωπεύουν τους χαρακτήρες ASCII που ήταν στην πραγματικότητα μέρος του κωδικού πρόσβασής σας καθώς τον πληκτρολογήσατε…
…είναι σαν να έχουν κολλημένη μήτρα φωταύγειας.
Έτσι, αυτές οι σειρές από σταγόνες λειτουργούν κατά λάθος ως μηχανισμός επισήμανσης για την επισήμανση των χαρακτήρων στον κωδικό πρόσβασής σας.
Και, πραγματικά, το ηθικό δόγμα της ιστορίας είναι ότι τα πράγματα μπορεί να διαρρεύσουν στη μνήμη με τρόπους που απλά δεν περίμενες ποτέ, και που ακόμη και ένας καλά ενημερωμένος αναθεωρητής κώδικα μπορεί να μην παρατηρήσει.
Επομένως, είναι μια συναρπαστική ανάγνωση και είναι μια εξαιρετική υπενθύμιση ότι η σύνταξη ασφαλούς κώδικα μπορεί να είναι πολύ πιο δύσκολη από ό,τι νομίζετε.
Και ακόμη πιο σημαντικό, η αναθεώρηση και η διασφάλιση ποιότητας και η δοκιμή του ασφαλούς κώδικα μπορεί να είναι ακόμα πιο δύσκολη…
…επειδή πρέπει να έχεις μάτια μπροστά, πίσω και στα πλαϊνά του κεφαλιού σου, και πρέπει πραγματικά να σκέφτεσαι σαν επιθετικός και να προσπαθείς να αναζητάς μυστικά που διαρρέουν παντού.
ΖΥΜΗ. Καλώς, ελέγξτε έξω, είναι στο makedsecurity.sophos.com.
Και, καθώς ο ήλιος αρχίζει να δύει στην εκπομπή μας, ήρθε η ώρα να ακούσουμε από έναν από τους αναγνώστες μας.
Στο προηγούμενο podcast (αυτό είναι ένα από τα αγαπημένα μου σχόλια ακόμα, Paul), ο ακροατής του Naked Security Chang σχολιάζει:
Εκεί. Το έκανα. Μετά από σχεδόν δύο χρόνια υπερβολικής ακρόασης, τελείωσα να ακούω όλα τα επεισόδια podcast του Naked Security. Είμαι όλος πιασμένος.
Το απόλαυσα από την αρχή, ξεκινώντας με το μακροχρόνιο Chet Chat. μετά στο πλήρωμα του ΗΒ. "Ωχ όχι! It's Kim» ήταν επόμενο. και τελικά έφτασα στο σημερινό «This Week in Tech History».
Τι βόλτα!
Ευχαριστώ, Τσανγκ!
Δεν μπορώ να πιστέψω ότι βαρέθηκες όλα τα επεισόδια, αλλά το εκτιμούμε πολύ (ελπίζω να μην μιλάω από τη σειρά μου).
ΠΑΠΙΑ. Πράγματι, πολύ, Νταγκ!
Είναι ωραίο να γνωρίζουμε όχι μόνο ότι οι άνθρωποι ακούν, αλλά και ότι βρίσκουν τα podcast χρήσιμα και ότι τους βοηθά να μάθουν περισσότερα για την ασφάλεια στον κυβερνοχώρο και να βελτιώσουν το παιχνίδι τους, ακόμα κι αν είναι λίγο.
Γιατί νομίζω, όπως έχω πει πολλές φορές στο παρελθόν, αν όλοι ανεβάσουμε λίγο το παιχνίδι μας στον κυβερνοχώρο, τότε θα κάνουμε πολύ περισσότερα για να κρατήσουμε μακριά τους απατεώνες παρά αν μία ή δύο εταιρείες, ένας ή δύο οργανισμοί, ένας ή δύο άτομα κατέβαλαν τεράστια προσπάθεια, αλλά εμείς οι υπόλοιποι υστερούμε.
ΖΥΜΗ. Ακριβώς!
Λοιπόν, ευχαριστώ πολύ και πάλι, Τσανγκ, που το έστειλες.
Το εκτιμούμε πραγματικά.
Και αν έχετε μια ενδιαφέρουσα ιστορία, σχόλιο ή ερώτηση που θέλετε να υποβάλετε, μας αρέσει να τη διαβάζουμε στο podcast.
Μπορείτε να στείλετε email στο tips@sophos.com, να σχολιάσετε οποιοδήποτε από τα άρθρα μας ή να μας ενημερώσετε στα social: @nakedsecurity.
Αυτή είναι η εκπομπή μας για σήμερα. ευχαριστώ πολύ για την ακρόαση.
Για τον Paul Ducklin, είμαι ο Doug Aamoth, που σας υπενθυμίζω, μέχρι την επόμενη φορά, να…
ΚΑΙ ΤΑ ΔΥΟ. Μείνετε ασφαλείς!
[ΜΟΥΣΙΚΟ ΜΟΝΤΕΜ]
- SEO Powered Content & PR Distribution. Ενισχύστε σήμερα.
- PlatoAiStream. Web3 Data Intelligence. Ενισχύθηκε η γνώση. Πρόσβαση εδώ.
- Minting the Future με την Adryenn Ashley. Πρόσβαση εδώ.
- Αγορά και πώληση μετοχών σε εταιρείες PRE-IPO με το PREIPO®. Πρόσβαση εδώ.
- πηγή: https://nakedsecurity.sophos.com/2023/06/01/s3-ep137-16th-century-crypto-skullduggery/
- :έχει
- :είναι
- :δεν
- :που
- $UP
- 10
- 15%
- 28
- a
- ικανότητα
- Ικανός
- Σχετικά
- σχετικά με αυτό
- Απόλυτος
- απολύτως
- πρόσβαση
- Λογαριασμός
- Λογαριασμοί
- απέναντι
- Πράξη
- δραστήρια
- πραγματικός
- πραγματικά
- διεύθυνση
- διευθύνσεις
- συμβουλές
- Μετά το
- πάλι
- κατά
- πριν
- εμπρός
- Όλα
- κατανομή
- Καλώς
- Επίσης
- πάντοτε
- am
- ποσό
- an
- ανάλυση
- και
- κινούμενα σχέδια
- κάθε
- κάποιος
- οπουδήποτε
- app
- Apple
- εκτιμώ
- έγκριση
- εγκεκριμένη
- ΕΙΝΑΙ
- γύρω
- σύλληψη
- άρθρο
- εμπορεύματα
- AS
- At
- επίθεση
- Επιθέσεις
- ήχου
- πιστοποιώ την αυθεντικότητα
- επικυρωμένο
- επικυρώνει
- Πιστοποίηση
- συγγραφέας
- άδεια
- αποφύγετε
- αποφεύγεται
- μακριά
- πίσω
- εύρος ζώνης
- βαρέλια
- βασίζονται
- Βασικα
- Κόλπος
- BE
- επειδή
- ήταν
- μπύρα
- πριν
- Αρχή
- πίσω
- είναι
- Πιστεύω
- παρακάτω
- ΚΑΛΎΤΕΡΟΣ
- μεταξύ
- Μεγάλος
- μεγαλύτερος
- Κομμάτι
- Bitcoin
- διεύθυνση bitcoin
- και οι δύο
- γενναιοδωρία
- πρόγραμμα περιήγησης
- Έντομο
- σφάλματα
- αλλά
- by
- κλήση
- που ονομάζεται
- ήρθε
- CAN
- ικανότητες
- περίπτωση
- αλιεύονται
- Αιώνας
- σίγουρα
- chang
- αλλαγή
- άλλαξε
- Αλλαγές
- αλλαγή
- χαρακτήρας
- χαρακτήρες
- έλεγχος
- τετραγωνισμένος
- έλεγχοι
- κρυπτογράφημα
- καθαρός
- κλικ
- πελάτης
- κλείσιμο
- κωδικός
- Κωδικοποίηση
- σύμπτωση
- συλλογή
- COM
- σχόλιο
- σχόλια
- επικοινωνούν
- Εταιρείες
- εταίρα
- υποχωρητικός
- υπολογιστή
- υπολογιστές
- επικοινωνήστε μαζί μας
- έλεγχος
- αμφισβήτηση
- κουλουράκι
- μπισκότα
- μπάτσοι
- θα μπορούσε να
- πορεία
- ρωγμή
- Ραγισμένο
- δημιουργεί
- απατεώνες
- κρυπτο
- κρυπτογράφηση
- Φλιτζάνι
- Ρεύμα
- Τη στιγμή
- Πελάτες
- CVE
- Κυβερνασφάλεια
- ημερομηνία
- Ημερομηνία
- ημέρα
- Ημ.
- συμφωνία
- Θάνατος
- αποφάσισε
- Αποφασίζοντας
- αμυντικός
- παραδίδεται
- Ζήτηση
- περιγράφουν
- κρατούμενος
- αναπτύχθηκε
- διάλογος
- Διάλογος
- DID
- Καλούπι
- διαφορετικές
- Αποκάλυψη
- ανακάλυψαν
- Display
- do
- Όχι
- γίνεται
- Μην
- κάτω
- Πτώση
- δυο
- χωματερή
- Νωρίς
- εύκολος
- εκπαιδευτικών
- αποτελεσματικά
- προσπάθεια
- στοιχείο
- Ανελκυστήρας Pitch
- ΗΛΕΚΤΡΟΝΙΚΗ ΔΙΕΥΘΥΝΣΗ
- κρυπτογραφημένα
- τέλος
- εχθρούς
- επιβολή
- μηχανικός
- Αγγλία
- με τίτλο
- Επεισόδια
- κατ 'ουσίαν,
- Even
- τελικά
- ΠΑΝΤΑ
- πάντα
- απόδειξη
- ακριβώς
- Εξετάζοντας
- παράδειγμα
- συναρπαστικός
- εκτελέστηκε
- έξοδος
- αναμένεται
- εξηγώντας
- Expo
- μάτια
- γεγονός
- ΑΠΟΤΥΓΧΑΝΩ
- περίφημα
- γοητευτικός
- Αγαπημένα
- φόβος
- σχηματικός
- Αρχεία
- τελικός
- Τελικά
- Εύρεση
- εύρεση
- ευρήματα
- ευρήματα
- τέλος
- Όνομα
- καθορίζεται
- ακολουθείται
- Εξής
- Για
- ξεχασμένος
- μορφή
- Ευτυχώς
- Βρέθηκαν
- τέσσερα
- Τέταρτος
- από
- εμπρός
- πλήρως
- κέρδισε
- παιχνίδι
- παίρνω
- να πάρει
- γίγαντας
- gif
- Δώστε
- δίνει
- Go
- γκολ
- πηγαίνει
- μετάβαση
- καλός
- γραφικών
- εξαιρετική
- ένοχος
- είχε
- χέρι
- συμβαίνω
- συνέβη
- Συμβαίνει
- Σκληρά
- Έχω
- he
- κεφάλι
- ακούω
- βοήθεια
- αυτήν
- εδώ
- Κρύβω
- ληστεύω
- αυτόν
- του
- ιστορικών
- ιστορία
- Επιτυχία
- Αρχική
- ελπίζω
- ελπίζοντας
- ΩΡΕΣ
- Σπίτι
- Πως
- Πώς να
- HTTPS
- τεράστιος
- i
- ΕΓΩ ΘΑ
- ιδέα
- if
- εικόνες
- φαντάζομαι
- άμεσος
- αμέσως
- αμετάβλητος
- εκτέλεση
- in
- περιλαμβάνει
- Συμπεριλαμβανομένου
- Αυξάνουν
- ανεξάρτητα
- υποδεικνύεται
- ατομικές
- Μεμονωμένα
- άτομα
- πληροφορίες
- της τεχνολογίας των πληροφοριών
- αρχικός
- Πρόσωπα
- αντί
- ενδιαφέρον
- σε
- ζήτημα
- Εκδόθηκε
- IT
- ΤΟΥ
- το JavaScript
- μόλις
- Διατήρηση
- Κλειδί
- πλέκω
- Ξέρω
- Γλώσσα
- Επίθετο
- Αργά
- αργότερα
- Νόμος
- επιβολή του νόμου
- διαρροή
- ΜΑΘΑΊΝΩ
- ελάχιστα
- Led
- αριστερά
- Μήκος
- Μου αρέσει
- Περιωρισμένος
- ΣΥΝΔΕΣΜΟΙ
- ακροατής
- Ακούγοντας
- λίγο
- ζουν
- κούτσουρο
- καταγραφεί
- Σύνδεση
- Μακριά
- κοίταξε
- κοιτάζοντας
- ΦΑΊΝΕΤΑΙ
- Παρτίδα
- αγάπη
- Luxury
- μηχανή
- μαγεία
- Κυρίως
- Mainstream
- κάνω
- άνδρας
- διαχείριση
- διαχειρίζεται
- διευθυντής
- πολοί
- κύριος
- ύλη
- ανώτατο όριο
- Ενδέχεται..
- μέσα
- μέτρο
- μηχανισμός
- πληροί
- Μνήμη
- μηνύματα
- Μέσο
- ενδέχεται να
- λεπτό
- πρακτικά
- λάθος
- MITM
- τροποποιήσει
- μήνες
- ηθικός
- περισσότερο
- μετακινήσετε
- mr
- πολύ
- Μουσική
- μιούζικαλ
- πρέπει
- my
- Γυμνή ασφάλεια
- Γυμνό Podcast ασφαλείας
- ονόματα
- Κοντά
- Ανάγκη
- που απαιτούνται
- διαπραγματεύσεις
- καθαρά
- δίκτυα
- ποτέ
- παρ 'όλα αυτά
- νέα
- επόμενη
- όμορφη
- Όχι.
- τίποτα
- Ειδοποίηση..
- τώρα
- αριθμός
- Ωχ
- of
- off
- συχνά
- on
- ONE
- αυτά
- διαδικτυακά (online)
- αποκλειστικά
- ανοικτού κώδικα
- or
- Οργανισμοί
- ΑΛΛΑ
- δικός μας
- εμάς
- έξω
- επί
- Επίβλεψη
- δική
- Οξφόρδη
- Πανικός
- παράμετροι
- μέρος
- Ειδικότερα
- Πέρασμα
- Κωδικός Πρόσβασης
- Διευθυντής κωδικού πρόσβασης
- πρότυπο
- Παύλος
- Πληρωμή
- πληρωμή
- People
- άδεια
- person
- πεπεισμένοι
- τηλέφωνα
- εκλεκτός
- Πίσσα
- Μέρος
- Πλάτων
- Πληροφορία δεδομένων Plato
- Πλάτωνα δεδομένα
- παίχτης
- ευχαρίστηση
- το podcast
- podcasts
- Σημείο
- πολιτικός
- ποπ
- δημοτικότητα
- δυνατός
- Δημοσιεύσεις
- pr
- παρόν
- τύπος
- πρόληψη
- προηγούμενος
- πιθανώς
- διαδικασια μας
- σαφής
- απόδειξη
- προστασία
- Αποδείξτε
- παρέχεται
- προμηθευτής
- σκοποί
- βάζω
- Βάζει
- Βασίλισσα Ελισάβετ
- ερώτηση
- γρήγορα
- τυχαίος
- ransomware
- Επίθεση Ransomware
- μάλλον
- φθάσει
- Διάβασε
- αναγνώστες
- πραγματικά
- λόγος
- λόγους
- λήψη
- αναγνωρίζω
- αντανακλούν
- σχετίζεται με
- κυκλοφόρησε
- αφαιρέστε
- αντικατάσταση
- αναφέρουν
- αναφέρθηκαν
- Αναφορά
- εκπροσωπώ
- ερευνητής
- ΠΕΡΙΦΕΡΕΙΑ
- επανεξέταση
- δεξιά
- Κίνδυνος
- rss
- τρέξιμο
- τρέξιμο
- Είπε
- αλάτι
- ίδιο
- λένε
- ρητό
- λέει
- διεσπαρμένος
- Αναζήτηση
- αναζήτηση
- προστατευμένο περιβάλλον
- ασφάλεια
- δείτε
- φαίνομαι
- φαίνεται
- δει
- κατασχεθεί
- αποστολή
- αρχαιότερος
- αποστέλλονται
- υπηρεσία
- Πάροχος υπηρεσιών
- σειρά
- αυτή
- Σύντομα
- θα πρέπει να
- δείχνουν
- πλευρά
- Πλευρές
- υπογράψουν
- Απλούς
- απλά
- So
- Μ.Κ.Δ
- Μαλακός
- μερικοί
- Κάποιος
- κάτι
- SoundCloud
- ομιλία
- ειδικά
- Spotify
- σταθεί
- Εκκίνηση
- ξεκίνησε
- Ξεκινήστε
- παραμονή
- Βήματα
- Ο Steve
- Ακόμη
- χώρος στο δίσκο
- Ιστορία
- Σπάγγος
- στυλ
- υποβάλουν
- επιτύχει
- αιφνίδιος
- Κυρ.
- υποστήριξη
- υποστηριζόνται!
- υποτιθεμένος
- ύποπτος
- ανταλλαγής
- σύστημα
- συστήματα
- Πάρτε
- λαμβάνεται
- tech
- Τεχνικός
- Τεχνολογία
- πει
- ορολογία
- Δοκιμές
- εγχειρίδιο
- από
- ευχαριστώ
- ευχαριστώ
- ότι
- Η
- το Ηνωμένο Βασίλειο
- τους
- Τους
- τους
- τότε
- θεωρία
- Εκεί.
- επομένως
- Αυτοί
- αυτοί
- πράγμα
- πράγματα
- νομίζω
- Τρίτος
- αυτό
- αυτή την εβδομάδα
- εκείνοι
- αν και?
- σκέψη
- τρία
- θρόνος
- Μέσω
- Δεμένος
- ώρα
- φορές
- συμβουλές
- προς την
- σήμερα
- ένδειξη
- πολύ
- πήρε
- εργαλειοθήκη
- κορυφή
- Top 10
- τροχιά
- με διαφάνεια
- δίκη
- Προσπάθησα
- ενεργοποιήθηκε
- Εμπιστευθείτε
- προσπαθώ
- ΣΤΡΟΦΗ
- μετατρέπει
- δύο
- τύπος
- τύποι
- Uk
- ανίκανος
- υπό
- Δυστυχώς
- unicode
- μέχρι
- URL
- us
- χρήση
- μεταχειρισμένος
- Χρήστες
- χρησιμοποιώντας
- Επαλήθευση
- εκδοχή
- Εναντίον
- πολύ
- μέσω
- Επίσκεψη
- ζωτικής σημασίας
- ευπάθεια
- θέλω
- ήθελε
- ήταν
- Τρόπος..
- τρόπους
- we
- ιστός
- Ιστοσελίδα : www.example.gr
- εβδομάδα
- Εβδ.
- ΛΟΙΠΌΝ
- πήγε
- ήταν
- Τι
- ανεξαρτήτως
- πότε
- αν
- Ποιό
- Ο ΟΠΟΊΟΣ
- WHY
- διαδεδομένη
- Άγριος
- θα
- παράθυρα
- σκουπίζω
- με
- εντός
- χωρίς
- Κέρδισε
- λέξη
- λόγια
- Εργασία
- εργάστηκαν
- εργαζόμενος
- θα
- θα έδινα
- γράφω
- γραφή
- X
- χρόνια
- Ναί
- ακόμη
- εσείς
- Σας
- τον εαυτό σας
- zephyrnet