กระแสน้ำวนมุมมองของ PYTHON
ไม่มีเครื่องเล่นเสียงด้านล่าง? ฟัง โดยตรง บนซาวด์คลาวด์
ดั๊ก เอมอธ และพอล ดักคลิน เพลงอินโทรและเอาท์โดย อีดิธ มัดจ์.
สามารถรับฟังเราได้ที่ Soundcloud, Apple Podcasts, Google Podcast, Spotify, Stitcher และทุกที่ที่มีพอดแคสต์ดีๆ หรือเพียงแค่วาง URL ของฟีด RSS ของเรา ลงในพอดแคตเตอร์ที่คุณชื่นชอบ
อ่านข้อความถอดเสียง
ดั๊ก. อาชญากรรมทางไซเบอร์ครั้งแล้วครั้งเล่า การอัพเดทบางอย่างของ Apple และการโจมตีที่เก็บซอร์สโค้ด
ทั้งหมดนั้นและอีกมากมายในพอดแคสต์ Naked Security
[โมเด็มดนตรี]
ยินดีต้อนรับสู่พอดคาสต์ทุกคน
ฉัน Doug Aamoth; เขาคือพอล ดักคลิน
พอล เป็นยังไง?
เป็ด. สบายดีมากขอบคุณ. ดักลาส!
ร่าเริงพอไหม?
ดั๊ก. นั่นเป็นสิ่งที่ดีทีเดียว
เช่นเดียวกับระดับความสุข 7/10 ซึ่งเป็นพื้นฐานที่ค่อนข้างดี
เป็ด. โอ้ ฉันอยากให้มันรู้สึกสูงกว่านั้น
อย่างที่บอกค่ะ บวก 2.5/10
ดั๊ก. [เกินความประหลาดใจ] โอ้ พอล คุณฟังดูดีมาก!
เป็ด. [หัวเราะ] ขอบคุณดั๊ก
ดั๊ก. นี่อาจทำให้คุณให้คะแนน 10/10 ไปเลยก็ได้... สัปดาห์นี้ในประวัติศาสตร์เทคโนโลยี.
เมื่อวันที่ 22 พฤษภาคม พ.ศ. 1973 ที่ศูนย์วิจัย Xerox Palo Alto [PARC] นักวิจัย Robert Metcalfe ได้เขียนบันทึกเสนอวิธีใหม่ในการเชื่อมต่อคอมพิวเตอร์เข้าด้วยกัน
ได้รับแรงบันดาลใจจากสารตั้งต้น AlohaNet ซึ่ง Metcalfe ศึกษาในฐานะส่วนหนึ่งของวิทยานิพนธ์ระดับปริญญาเอกของเขา เทคโนโลยีใหม่นี้จะถูกเรียกว่า Ethernet ซึ่งเป็นการยกย่องจากสาร "luminiferous aether" ซึ่งครั้งหนึ่งเคยเชื่อกันว่าเป็นสื่อกลางในการแพร่กระจายคลื่นแสง
เป็ด. แน่นอนว่ามันเร็วกว่า 160 KB ฟล็อปปี้ดิสก์หน้าเดียวความหนาแน่นเดียวอย่างมาก! [หัวเราะ]
ดั๊ก. อาจแย่กว่านี้!
อย่างไรก็ตาม เมื่อพูดถึง "ความเลวร้าย" และ "ความเลวร้าย" เราได้รับข้อมูลอัปเดตเกี่ยวกับอาชญากรรมครั้งแรกของวัน
สหรัฐอเมริกากำลังเสนอ เงินรางวัล 10 ล้านเหรียญ สำหรับผู้ต้องสงสัยแรนซัมแวร์ชาวรัสเซีย
สหรัฐฯ เสนอค่าหัว 10 ล้านดอลลาร์ สำหรับผู้ต้องสงสัยเรียกค่าไถ่ชาวรัสเซีย
นั่นเป็นเงินจำนวนมาก พอล!
ผู้ชายคนนี้ต้องทำอะไรแย่ๆ แน่ๆ
คำสั่งของ DOJ:
[บุคคลนี้และผู้สมรู้ร่วมคิดของเขา] ถูกกล่าวหาว่าใช้แรนซัมแวร์ประเภทนี้เพื่อโจมตีเหยื่อหลายพันรายในสหรัฐอเมริกาและทั่วโลก เหยื่อเหล่านี้รวมถึงหน่วยงานบังคับใช้กฎหมายและหน่วยงานรัฐบาล โรงพยาบาล และโรงเรียนอื่นๆ
ความต้องการค่าไถ่ทั้งหมดที่ถูกกล่าวหาโดยสมาชิกของแคมเปญแรนซัมแวร์ระดับโลกทั้งสามนี้ต่อเหยื่อของพวกเขามีมูลค่ามากถึง 400 ล้านดอลลาร์ ในขณะที่การจ่ายค่าไถ่รวมของเหยื่อทั้งหมดสูงถึง 200 ล้านดอลลาร์
การโจมตีครั้งใหญ่… เงินจำนวนมากถูกเปลี่ยนมือที่นี่ พอล
เป็ด. เมื่อคุณพยายามตามหาใครบางคนที่ทำเรื่องขี้ขลาดในต่างประเทศ และคุณคิดว่า "เราจะทำสิ่งนี้บนโลกนี้ได้อย่างไร? พวกเขาจะไม่มีวันปรากฏตัวในศาลที่นี่”...
บางทีเราอาจแค่ให้เงินก้อนโตโสโครกแก่คนในประเทศของคนอื่น แล้วใครจะรับเขาไว้ล่ะ?
และถ้าพวกเขาเสนอเงิน 10 ล้านดอลลาร์ (นั่นคือจำนวนสูงสุดที่คุณจะได้รับ) พวกเขาจะต้องกระตือรือร้นมากทีเดียว
และความเข้าใจของฉัน ในกรณีนี้คือเหตุผลที่พวกเขากระตือรือร้นที่ผู้ต้องสงสัยรายนี้ถูกกล่าวหาว่าอย่างน้อยหนึ่งอย่างในสองสิ่งนี้สำหรับแรนซั่มแวร์สามสายพันธุ์ที่แตกต่างกัน: LockBit, Hive และบาบุก.
Babuk ขึ้นชื่อว่ามีซอร์สโค้ดรั่วไหล (ถ้าฉันจำไม่ผิด โดยบริษัทในเครือที่ไม่พอใจ) และตอนนี้พบทางเข้าสู่ GitHub ซึ่งใครก็ตามที่ต้องการสามารถคว้าส่วนการเข้ารหัสได้
และแม้ว่าจะเป็นเรื่องยากที่จะรู้สึกเห็นอกเห็นใจผู้คนที่อยู่ในสายตาของ DOJ และ FBI สำหรับการโจมตีของแรนซัมแวร์...
…หากมีหยดความเห็นอกเห็นใจที่แฝงอยู่ หยดเหล่านั้นจะระเหยไปอย่างรวดเร็วเมื่อคุณเริ่มอ่านเกี่ยวกับโรงพยาบาลและโรงเรียนท่ามกลางเหยื่อจำนวนมากของพวกเขา
ดั๊ก. ใช่.
เป็ด. ดังนั้นคุณต้องสันนิษฐานว่าไม่น่าเป็นไปได้ที่พวกเขาจะได้เห็นเขาในศาลของสหรัฐฯ...
…แต่ฉันเดาว่าพวกเขาคิดว่ามันสำคัญเกินไปที่จะไม่ลอง
ดั๊ก. เผง
เราจะคอยจับตาดูสิ่งนั้นอย่างที่เราต้องการพูด
และในขณะที่เรากำลังรอ โปรดไปดูของเรา รายงานสถานะของ Ransomware 2023.
มีข้อเท็จจริงและตัวเลขมากมายที่คุณสามารถใช้เพื่อช่วยปกป้ององค์กรของคุณจากการโจมตี
ได้ที่: sophos.com/ransomware2023.
เป็ด. คำใบ้เล็ก ๆ น้อย ๆ ที่คุณสามารถเรียนรู้ได้จากรายงาน: “เซอร์ไพรส์ เซอร์ไพรส์; คุณจะต้องเสียค่าใช้จ่ายประมาณครึ่งหนึ่งในการกู้คืนจากข้อมูลสำรองพอๆ กับการจ่ายค่าไถ่”
เพราะแม้ว่าคุณจะจ่ายค่าไถ่แล้ว คุณก็ยังมีงานมากพอๆ กับที่คุณจะต้องกู้คืนข้อมูลสำรองที่ต้องทำ
และนั่นหมายความว่าคุณไม่ต้องจ่ายเงินให้กับคนโกง
ดั๊ก. แน่นอน!
เอาล่ะ เรามีข้อมูลอัปเดตเรื่องอาชญากรรมอีกเรื่องหนึ่ง
คราวนี้เป็นเพื่อนของเราที่ iSpoof ซึ่งฉันต้องยอมรับว่ามีทีมการตลาดที่ค่อนข้างดี
ยกเว้น ทุกคนถูกจับ และของประเภทนั้นทั้งหมด...
สิ่งสำคัญของการหลอกลวงทางโทรศัพท์ใช้เวลา 13 ปีสำหรับการใช้บริการ “iSpoof”
เป็ด. ใช่ นี่คือรายงานจากตำรวจนครบาลในลอนดอนเกี่ยวกับคดีที่เกิดขึ้นตั้งแต่เดือนพฤศจิกายน 2022 เมื่อเรา เขียนเกี่ยวกับเรื่องนี้เป็นครั้งแรก บน nakedsecurity.sophos.com
เพื่อนที่ชื่อเทเจย์ เฟลตเชอร์ และฉันคิดว่ามีอีก 169 คนที่คิดว่าพวกเขาไม่เปิดเผยตัวตน แต่กลับพบว่าไม่ใช่ พวกเขาถูกจับ
และเพื่อนเฟล็ทเชอร์คนนี้ซึ่งเป็นตัวการสำคัญของเรื่องนี้ เพิ่งถูกตัดสินจำคุก 13 ปี 4 เดือน ดั๊ก
นั่นเป็นประโยคที่ค่อนข้างใหญ่ตามมาตรฐานของประเทศใด ๆ !
และเหตุผลก็คือบริการนี้เกี่ยวกับการช่วยเหลืออาชญากรไซเบอร์คนอื่นๆ เพื่อแลกกับ bitcoinage ในการหลอกลวงเหยื่ออย่างน่าเชื่อ
คุณไม่จำเป็นต้องมีความสามารถทางเทคนิคใดๆ
คุณเพียงแค่สมัครใช้บริการ จากนั้นเริ่มโทรออกโดยที่คุณสามารถเลือกได้ว่าจะให้หมายเลขใดปรากฏขึ้นที่ปลายอีกด้านหนึ่ง
ดังนั้นหากคุณทราบว่ามีคนฝากธนาคารกับ XYZ Banking Corporation คุณสามารถทำให้โทรศัพท์ของพวกเขาสว่างขึ้นโดยพูดว่า "สายเรียกเข้าจาก XYZ Banking Corporation" แล้วเปิดเข้าไปใน schpiel ของคุณ
จากรายงานของ National Crime Agency ในเวลานั้น ดูเหมือนว่า "ลูกค้า" ของพวกเขาจะโทรหาหลายล้านครั้งผ่านบริการนี้ และพวกเขามีอัตราความสำเร็จประมาณ 10% โดยวัดความสำเร็จที่ผู้โทรอยู่ในสายเป็นเวลาอย่างน้อยหนึ่งนาที
และเมื่อคุณคิดว่ามีบางอย่างเป็นสายหลอกลวง... คุณวางสายเร็วมากใช่ไหม?
ดั๊ก. หนึ่งนาทีเป็นเวลานาน!
เป็ด. และนั่นหมายความว่าพวกเขาน่าจะติดคนๆ นั้นเข้าแล้ว
และคุณก็เห็นว่าทำไม เพราะทุกอย่างดูเชื่อได้
หากคุณไม่ทราบว่าหมายเลขผู้โทรเข้า (หรือรหัสประจำตัวผู้โทรเข้า) ที่ปรากฏบนโทรศัพท์ของคุณนั้นไม่มีอะไรมากไปกว่าการบอกใบ้ว่าใครจะใส่อะไรก็ได้ และใครก็ตามที่มีความสนใจแย่ที่สุดของคุณในใจที่ต้องการสะกดรอยตามคุณ สำหรับค่าใช้จ่ายรายเดือนเล็กน้อย สามารถซื้อบริการที่จะช่วยให้ดำเนินการได้โดยอัตโนมัติ...
หากคุณไม่ทราบว่าเป็นกรณีนี้ คุณอาจจะหาทางป้องกันได้ เมื่อสายนั้นผ่านเข้ามาและพูดว่า “ฉันโทรมาจากธนาคาร คุณสามารถดูได้จากหมายเลข โอ้ที่รัก มีการฉ้อโกงในบัญชีของคุณ” จากนั้นผู้โทรก็พูดให้คุณทำสิ่งต่างๆ มากมายที่คุณไม่ฟังเลยแม้แต่นาทีเดียว
การเข้าถึงบริการนี้ ผู้คนจำนวนมากที่ใช้ (เห็นได้ชัดว่าเขามี "ลูกค้า" หลายหมื่นคน) และจำนวนการโทรที่แท้จริงและมูลค่าความเสียหายทางการเงินที่ดำเนินไปนับล้าน เป็นสาเหตุว่าทำไมเขา ได้รับประโยคร้ายแรงเช่นนี้
ดั๊ก. เหตุผลส่วนหนึ่งที่พวกเขาสามารถดึงดูดลูกค้าจำนวนมากได้ก็เพราะสิ่งนี้อยู่ในเว็บไซต์สาธารณะ
มันไม่ได้อยู่ในเว็บมืดและเป็นการตลาดที่ค่อนข้างเนียน
หากคุณตรงไปที่บทความ มีวิดีโอการตลาดความยาว 53 วินาทีที่มีนักพากย์เสียงมืออาชีพและแอนิเมชันสนุกๆ
เป็นวิดีโอที่ทำได้ดีทีเดียว!
เป็ด. ใช่!
ฉันเห็นการพิมพ์ผิดอยู่หนึ่งคำ… พวกเขาเขียนว่า “end to encryption” แทนที่จะเป็น “end-to-end encryption” ซึ่งฉันสังเกตเห็นเพราะมันค่อนข้างเป็นการประชดประชัน
เพราะเนื้อหาทั้งหมดของวิดีโอนั้น – มันบอกว่า “เฮ้ ในฐานะลูกค้า คุณจะไม่เปิดเผยตัวตนโดยสมบูรณ์”
พวกเขาสร้างสนามขนาดใหญ่
ดั๊ก. ฉันคิดว่ามันน่าจะเป็น "การสิ้นสุดการเข้ารหัส" [หัวเราะ]
เป็ด. ใช่… คุณอาจไม่เปิดเผยตัวตนต่อผู้ที่ตกเป็นเหยื่อ แต่คุณไม่ได้เปิดเผยตัวตนกับผู้ให้บริการ
เห็นได้ชัดว่าตำรวจในสหราชอาณาจักรอย่างน้อยก็ตัดสินใจที่จะเริ่มต้นกับใครก็ตามที่ใช้จ่าย Bitcoins มูลค่ามากกว่า 100 ปอนด์ไปกับบริการนี้แล้ว
ดังนั้นอาจมีผู้ที่ขลุกอยู่กับสิ่งนี้หรือใช้มันเพียงสองสามอย่างที่ยังคงอยู่ในรายชื่อ
ตำรวจต้องการให้ผู้คนรู้ว่าพวกเขาเริ่มต้นจากจุดสูงสุดและกำลังหาทางลง
การไม่เปิดเผยตัวตนที่สัญญาไว้ในวิดีโอนั้นเป็นเพียงภาพลวงตา
ดั๊ก. เรามีเคล็ดลับบางอย่าง และเราได้พูดเคล็ดลับเหล่านี้ไปแล้ว แต่นี่เป็นข้อเตือนใจที่ดี
รวมถึงหนึ่งในรายการโปรดของฉัน เพราะฉันคิดว่าผู้คนคิดว่า Caller ID เป็นนักข่าวที่ถูกต้อง…. เคล็ดลับหมายเลขหนึ่งคือ: ถือว่า Caller ID ไม่มีอะไรมากไปกว่าคำใบ้
คุณหมายความว่าอย่างไรพอล?
เป็ด. หากคุณยังคงได้รับจดหมายแบบหอยทากที่บ้าน คุณจะรู้ว่าเมื่อคุณได้รับซองจดหมาย ซองจดหมายจะมีที่อยู่ของคุณอยู่ด้านหน้า และโดยปกติเมื่อคุณพลิกกลับ ด้านหลังซองจะมีที่อยู่ของผู้ส่ง .
และทุกคนรู้ว่าผู้ส่งสามารถเลือกสิ่งที่บอกว่า... มันอาจจะจริง; ทั้งหมดอาจเป็นเรื่องโกหก
นั่นคือจำนวนที่คุณสามารถเชื่อถือได้ Caller ID
และตราบใดที่คุณคำนึงถึงสิ่งนั้นและคิดว่ามันเป็นคำใบ้ คุณก็เป็นทอง
แต่ถ้ามันขึ้นว่า “XYZ Banking Corporation” เพราะมิจฉาชีพจงใจเลือกเบอร์ที่คุณใส่ไว้ใน contact list ของคุณโดยเฉพาะเพื่อบอกว่าเป็นธนาคาร… นั่นก็ไม่มีความหมายอะไร
และการที่พวกเขาเริ่มบอกคุณว่ามาจากธนาคารไม่ได้หมายความว่าพวกเขาเป็น
และนั่นก็เข้ากันได้ดีกับเคล็ดลับที่สองของเรา ใช่ไหม ดั๊ก
ดั๊ก. ใช่.
โทรหาเจ้าหน้าที่ด้วยตัวเองเสมอ โดยใช้หมายเลขที่คุณเชื่อถือได้
ดังนั้น หากคุณได้รับสายเหล่านี้ ให้พูดว่า “ฉันจะโทรกลับหาคุณทันที” และใช้หมายเลขด้านหลังบัตรเครดิตของคุณ
เป็ด. อย่างแน่นอน
หากมีวิธีการใดๆ ที่พวกเขาทำให้คุณเชื่อว่านี่คือหมายเลขที่คุณควรโทรไป... อย่าทำอย่างนั้น!
ค้นหาด้วยตัวคุณเอง
อย่างที่คุณพูด สำหรับการรายงานสิ่งต่างๆ เช่น การฉ้อฉลทางธนาคารหรือปัญหาเกี่ยวกับธนาคาร หมายเลขด้านหลังบัตรเครดิตของคุณเป็นจุดเริ่มต้นที่ดี
ใช่ ระวังตัวให้มาก
มันง่ายมากที่จะเชื่อโทรศัพท์ของคุณ เพราะ 99% ของเวลานั้น หมายเลขผู้โทรนั้นจะบอกความจริง
ดั๊ก. เอาล่ะ ข้อสุดท้าย แต่ไม่ท้ายสุด ไม่ใช่เรื่องทางเทคนิค แต่เป็นทักษะที่นุ่มนวลกว่า เคล็ดลับข้อที่สามคือ: อยู่เคียงข้างเพื่อนและครอบครัวที่เปราะบาง
นั่นเป็นสิ่งที่ดี
เป็ด. เห็นได้ชัดว่ามีผู้คนจำนวนมากที่เสี่ยงต่อการถูกหลอกลวงประเภทนี้
ดังนั้นสิ่งสำคัญคือคุณต้องให้คนในแวดวงเพื่อนและครอบครัวของคุณ ซึ่งคุณคิดว่าอาจมีความเสี่ยงต่อเหตุการณ์แบบนี้… แจ้งให้พวกเขาทราบว่าหากพวกเขามีข้อสงสัย พวกเขาควรติดต่อคุณและขอคำแนะนำจากคุณ .
อย่างที่ช่างไม้หรือช่างไม้ทุกคนบอกคุณ ดักลาส “วัดสองครั้ง ตัดครั้งเดียว”
ดั๊ก. ฉันชอบคำแนะนำนั้น [หัวเราะ]
ฉันมักจะวัดครั้งเดียวตัดสามครั้งดังนั้นอย่าทำตามคำแนะนำของฉันที่นั่น
เป็ด. ใช่. คุณไม่สามารถ "ตัดสิ่งต่าง ๆ ให้ยาวขึ้น" ใช่ไหม [หัวเราะ]
ดั๊ก. ไม่ คุณทำไม่ได้แน่นอน!
เป็ด. เราทุกคนพยายามแล้ว [หัวเราะ]
ดั๊ก. นั่นคือการอัปเดตสองรายการ หนึ่งที่จะไป
เราได้ ได้อัพเดท… หากคุณจำได้ เมื่อต้นเดือนนี้ Apple ทำให้เราประหลาดใจด้วย Rapid Security Response ใหม่ แต่ไม่ได้บอกว่าการอัปเดตแก้ไขอะไรบ้าง แต่ตอนนี้เรารู้แล้ว Paul
ความลับของ Apple เปิดเผย: แก้ไข 3 วัน ดังนั้นอย่าลืมแพตช์ตอนนี้!
เป็ด. ใช่.
สองวัน 0 วันพร้อมโบนัส 0 วันที่ไม่ได้รับการแก้ไขมาก่อน
ดังนั้นหากคุณมี macOS 13 Ventura (ล่าสุด) คืออะไร และถ้าคุณมี iOS/iPadOS 16 คุณจะได้รับการตอบสนองด้านความปลอดภัยอย่างรวดเร็ว
คุณได้รับการอัปเดต "หมายเลขเวอร์ชัน (a)" และ "นี่คือรายละเอียดเกี่ยวกับการอัปเดตนี้: (สตริงข้อความว่าง)"
คุณจึงไม่รู้ว่ามีอะไรแก้ไข
และคุณก็คงคิดว่าเหมือนเรา “ฉันพนันได้เลยว่า WebKit เป็นศูนย์วัน นั่นหมายถึงการติดตั้งแบบไดรฟ์ นั่นหมายความว่าอาจมีคนใช้สปายแวร์ได้”
ดูเถิด นั่นคือสิ่งที่เป็น 0-days ทั้งสองวันนั้น
และมีซีโร่เดย์ที่สาม ซึ่งเป็นส่วนอื่นของสมการนั้น หรือการแสวงประโยชน์ประเภทอื่นที่มักจะไปพร้อมกับซีโร่เดย์สองวันแรกที่ได้รับการแก้ไข
อันนี้เป็นของ Google Threat Response/Amnesty International ที่มีกลิ่นสปายแวร์สำหรับฉันอย่างแน่นอน… มีคนกำลังสืบสวนเหตุการณ์ในชีวิตจริง
ข้อบกพร่องนั้นคือสิ่งที่คุณเรียกในศัพท์แสงว่า "การหลบหนีจากกล่องทราย"
ดูเหมือนว่าซีโร่เดย์สามวันที่ได้รับการแก้ไขแล้วสำหรับทุกแพลตฟอร์มของ Apple คือ...
หนึ่งที่อาจทำให้อาชญากรสามารถทราบได้ว่าคอมพิวเตอร์ของคุณอยู่ที่ไหน
กล่าวอีกนัยหนึ่ง พวกมันเพิ่มโอกาสอย่างมากที่การโจมตีครั้งต่อไปจะได้ผล
ช่องโหว่ที่สองที่เรียกใช้โค้ดจากระยะไกลภายในเบราว์เซอร์ของคุณ ซึ่งได้รับความช่วยเหลือและสนับสนุนจากการรั่วไหลของข้อมูลในข้อผิดพลาดแรกที่อาจบอกคุณว่าจะใช้ที่อยู่หน่วยความจำใด
จากนั้นเป็นวันที่สามศูนย์ที่ให้คุณกระโดดออกจากเบราว์เซอร์และทำสิ่งที่แย่กว่านั้นมาก
ฉันจะบอกว่า แพทช์เร็ว แพทช์บ่อย ฉันไม่ใช่ดั๊กเหรอ?
ดั๊ก. ทำมัน!
ใช่.
เป็ด. นั่นไม่ใช่เหตุผลเดียวที่คุณต้องการแพตช์เหล่านี้
มีการแก้ไขเชิงรุกมากมายเช่นกัน
แม้ว่าพวกเขาจะไม่ใช่ซีโร่เดย์ ฉันก็จะพูดอีกครั้งอยู่ดี
ดั๊ก. ตกลงเยี่ยมมาก
เรื่องราวสุดท้ายของวันนี้… ฉันได้เขียนคำนำเล็กๆ ของฉันเองที่นี่ แต่ฉันทิ้งมันลงถังขยะแล้ว และฉันจะไปกับพาดหัวข่าวของคุณ เพราะมันดีกว่ามาก
และมันก็จับสาระสำคัญของเรื่องนี้: ที่เก็บรหัสโอเพ่นซอร์ส PyPI จัดการกับมัลแวร์คลั่งไคล้.
นั่นคือสิ่งที่เกิดขึ้น พอล!
เป็ด. ใช่ ฉันต้องยอมรับว่าฉันต้องทำงานกับพาดหัวนั้นเพื่อให้พอดีกับสองบรรทัดในเทมเพลต WordPress ของ nakedsecurity.sophos.com [หัวเราะ]
ตอนนี้ทีม PyPI จัดการเรื่องนี้ได้แล้ว และฉันคิดว่าพวกเขาได้กำจัดทุกอย่างออกไปแล้ว
แต่ดูเหมือนว่ามีใครบางคนมีระบบอัตโนมัติที่เพิ่งสร้างบัญชีใหม่ จากนั้นในบัญชีเหล่านั้นก็สร้างโครงการใหม่...
…และเพียงแค่อัพโหลดแพ็คเกจแหล่งที่มาที่มีพิษหลังจากแพ็คเกจแหล่งที่มาที่มีพิษ
และโปรดจำไว้ว่าในที่เก็บเหล่านี้ส่วนใหญ่ (PyPI เป็นตัวอย่าง) คุณสามารถมีมัลแวร์ที่อยู่ในโค้ดจริงที่คุณต้องการดาวน์โหลดและใช้เป็นโมดูลในโค้ดของคุณในภายหลัง (หรืออีกนัยหนึ่งคือไลบรารีการเขียนโปรแกรม) และ/ หรือคุณสามารถมีมัลแวร์ในตัวติดตั้งจริงหรือสคริปต์อัปเดตที่ส่งสิ่งนั้นให้คุณ
ดังนั้น น่าเสียดายที่มันเป็นเรื่องง่ายสำหรับมิจฉาชีพที่จะโคลนโครงการที่ถูกต้อง ตั้งชื่อที่ดูสมจริงให้กับมัน และหวังว่าถ้าคุณดาวน์โหลดโดยไม่ได้ตั้งใจ...
…จากนั้น หลังจากที่คุณติดตั้งและเมื่อคุณเริ่มใช้ในซอฟต์แวร์ของคุณ และเมื่อคุณเริ่มจัดส่งให้กับลูกค้าของคุณ ทุกอย่างก็จะเรียบร้อยดี และคุณจะไม่พบมัลแวร์ใดๆ ในนั้น
เนื่องจากมัลแวร์จะติดคอมพิวเตอร์ของคุณแล้ว โดยอยู่ในสคริปต์ที่รันเพื่อให้ติดตั้งอย่างถูกต้องตั้งแต่แรก
ดังนั้นจึงมีคำสาปแช่งสองเท่าสำหรับอาชญากร
สิ่งที่เราไม่รู้ก็คือ...
พวกเขาหวังว่าจะอัปโหลดแพ็คเกจติดเชื้อมากมายจนบางคนมองไม่เห็น และพวกเขามีโอกาสต่อสู้ที่คู่รักจะถูกทิ้งไว้ข้างหลังหรือไม่?
หรือพวกเขาหวังจริง ๆ ว่าพวกเขาจะทำให้ทีม PyPI ประหลาดได้มากถึงขนาดต้องถอดทั้งไซต์ออกจากการออกอากาศ และนั่นจะเป็นการโจมตีแบบปฏิเสธการให้บริการโดยสมบูรณ์
ทั้งสองอย่างนี้ไม่ใช่ผลลัพธ์
ทีม PyPI สามารถลดการโจมตีได้โดยการปิดบางส่วนของเว็บไซต์
กล่าวคือ คุณไม่สามารถสร้างบัญชีใหม่ได้ชั่วขณะหนึ่ง และไม่สามารถเพิ่มโครงการใหม่ได้ แต่คุณยังสามารถรับโครงการเก่าได้
และนั่นทำให้พวกเขามีห้องหายใจเพียงพอตลอด 24 ชั่วโมง ซึ่งดูเหมือนว่าพวกเขาสามารถทำความสะอาดได้ทั้งหมด
ดั๊ก. เรามีคำแนะนำสำหรับการโจมตีเช่นนี้ซึ่งไม่สามารถแก้ไขได้ทันท่วงที
ดังนั้น หากคุณดึงข้อมูลจากที่เก็บแบบนี้ สิ่งแรกที่คุณทำได้คือ: อย่าเลือกแพ็คเกจพื้นที่เก็บข้อมูลเพียงเพราะชื่อดูถูกต้อง
นั่นเป็นกลยุทธ์ที่ผู้โจมตีมักใช้
เป็ด. แน่นอนดักลาส
โดยพื้นฐานแล้วเป็นสิ่งที่เราเคยเรียกในศัพท์แสงว่า "typosquatting" สำหรับเว็บไซต์
แทนการลงทะเบียน example.com
คุณอาจลงทะเบียนบางอย่างเช่น examole.com
เนื่องจาก O อยู่ถัดจาก P บนแป้นพิมพ์ โดยหวังว่าจะมีคนไปพิมพ์ "ตัวอย่าง" ทำผิดเล็กน้อยและคุณจะคว้าทราฟฟิกและนำพวกเขาไปยังไซต์ที่คล้ายกัน
ระวังสิ่งที่คุณเลือก
มันเหมือนกับคำแนะนำของเราเล็กน้อยเกี่ยวกับหมายเลขผู้โทร: มันบอกคุณบางอย่าง แต่ก็มากเท่านั้น
และสำหรับส่วนที่เหลือ คุณต้องทำการตรวจสอบสถานะของคุณจริงๆ
ดั๊ก. เช่น: อย่าสุ่มสี่สุ่มห้าดาวน์โหลดการอัปเดตแพ็คเกจในการพัฒนาหรือสร้างระบบของคุณเอง
เป็ด. ใช่ DevOps และการผสานรวมอย่างต่อเนื่องคือทุกสิ่งในทุกวันนี้ ใช่ไหม ที่คุณทำให้ทุกอย่างเป็นอัตโนมัติ
และมีบางอย่างที่น่าสนใจเกี่ยวกับการพูดว่า “ฉันไม่อยากถูกทิ้ง ดังนั้นทำไมฉันไม่แค่บอกระบบบิลด์ของฉันให้รับโค้ดของฉันจากที่เก็บข้อมูลในเครื่องของฉันที่ฉันดูแลอยู่ แล้วก็พูดเสมอ รับเวอร์ชันล่าสุดโดยอัตโนมัติจากที่เก็บข้อมูลสาธารณะของโค้ดของผู้อื่นทั้งหมดที่ฉันใช้อยู่”
ปัญหาคือ หากแพ็คเกจของบุคคลที่สามที่คุณใช้อยู่ถูก pwned ระบบบิลด์ของคุณจะประสบปัญหาโดยอัตโนมัติ
ดังนั้นอย่าทำเช่นนั้นหากคุณสามารถหลีกเลี่ยงได้
ดั๊ก. ซึ่งนำเราไปสู่: อย่าทำให้ผู้โจมตีเข้าถึงแพ็คเกจของคุณเองได้ง่ายๆ
เป็ด. ใช่.
ไม่มีใครสามารถหยุดคนที่มุ่งมั่นที่จะสร้างบัญชี PyPI ใหม่ 2000 บัญชีและใส่แพ็คเกจใหม่ 1000 แพ็คเกจลงในแต่ละบัญชีได้
แต่คุณสามารถโจมตีโดยที่มิจฉาชีพเข้าควบคุมแพ็คเกจที่มีอยู่และประนีประนอมได้… คุณสามารถทำสิ่งเล็กน้อยเพื่อช่วยชุมชนที่เหลือโดยทำให้โครงการของคุณถูกบุกรุกได้ยากที่สุด
ไปและทบทวนการรักษาความปลอดภัยที่คุณมีในบัญชีนี้หรือในแพ็คเกจนั้น เผื่อว่ามีคนตัดสินใจว่ามันจะเป็นที่ที่เชี่ยวชาญในการแทรกแบดแวร์ที่อาจส่งผลกระทบต่อผู้อื่น… และแน่นอนว่าอย่างน้อยก็จะทำให้ชื่อเสียงของคุณเสื่อมเสียชั่วคราวเช่นเดียวกัน เวลา.
ดั๊ก. และเคล็ดลับสุดท้ายของเราอาจตกอยู่กับคนหูหนวกบางคน แต่ถ้ามันเพียงพอที่จะเปลี่ยนความคิดเล็กน้อย เราได้ทำสิ่งดี ๆ ไว้ที่นี่ในวันนี้: อย่าเป็นคนที่รู้อะไร
เป็ด. พิสูจน์ว่าคุณฉลาดแค่ไหนด้วยการเตือนเราทุกคนเกี่ยวกับการโจมตีซัพพลายเชนโดยการทำงานที่ไม่จำเป็นสำหรับทีมอาสาสมัคร… เช่น ทีมงานเคอร์เนล Linux (พวกเขาเคยประสบปัญหานี้มาก่อน), PyPI และแหล่งเก็บข้อมูลโอเพ่นซอร์สยอดนิยมอื่นๆ
หากคุณมีเหตุผลที่แท้จริงว่าทำไมคุณถึงคิดว่าคุณจำเป็นต้องบอกพวกเขาเกี่ยวกับช่องโหว่ด้านความปลอดภัย ให้ค้นหารายละเอียดการติดต่อในการเปิดเผยข้อมูลด้านความปลอดภัย และติดต่อพวกเขาอย่างเหมาะสม เป็นมืออาชีพ และมีความรับผิดชอบ
อย่าเป็น ****
ดั๊ก. ยอดเยี่ยม
เอาล่ะ คำแนะนำที่ดี และเมื่อพระอาทิตย์ตกดินในรายการของเราสำหรับวันนี้ ก็ถึงเวลาที่จะได้ยินจากผู้อ่านคนหนึ่งของเรา
ในตอนก่อนหน้าของพอดคาสต์ คุณอาจจำได้ว่าเราได้พูดคุยกันเล็กน้อยเกี่ยวกับการทดลองและความยากลำบากของคอมพิวเตอร์ Apple III ลองมาฟัง:
ฉันไม่รู้ว่านี่เป็นตำนานเมืองหรือไม่ แต่ฉันได้อ่านมาว่า [Apple III] รุ่นแรก ๆ ไม่ได้ติดตั้งชิปอย่างถูกต้องในโรงงาน และผู้รับที่รายงานปัญหาถูกบอกให้ยกด้านหน้าขึ้น ของคอมพิวเตอร์ออกจากโต๊ะไม่กี่เซนติเมตรและปล่อยให้มันชนกลับ ซึ่งจะกระแทกพวกเขาเข้าที่อย่างที่ควรจะเป็นในตอนแรก ซึ่งดูเหมือนจะได้ผล แต่ไม่ใช่โฆษณาที่ดีที่สุดสำหรับคุณภาพของผลิตภัณฑ์
ดั๊ก. ในการตอบสนอง ผู้ฟัง S31064 (ไม่แน่ใจว่าเป็นชื่อจริงหรือไม่) ส่งเสียง:
ฉันไม่รู้เกี่ยวกับเรื่องนี้ แต่บริษัทที่ฉันทำงานอยู่ในขณะนั้นกำลังใช้พวกเขาสำหรับเทอร์มินัลการหมุนเวียนของห้องสมุดแบบออฟไลน์ และเก้าในสิบครั้งหากมีปัญหาเกิดขึ้น วิธีแก้ไขคือติดตั้งชิปใหม่
เป็ด. ใช่ ไปที่เมนบอร์ดของคุณและ (เสียงแตก เสียงแตก) กดชิปทั้งหมดลง… นั่นถือเป็นการบำรุงรักษาตามปกติในสมัยนั้น
แต่ดูเหมือนว่าสำหรับ Apple III ไม่ใช่แค่การบำรุงรักษาตามปกติ การบำรุงรักษาเชิงป้องกัน แต่เป็นเทคนิคการกู้คืนที่ได้รับการยอมรับ
ฉันรู้สึกทึ่งที่ได้อ่านสิ่งนั้น ดั๊ก
คนที่เคยไปที่นั่นและทำอย่างนั้น!
ดั๊ก. ขอบคุณมากผู้ฟังที่รักสำหรับการส่งสิ่งนั้นเข้ามา
และถ้าคุณมีเรื่องราว ข้อคิดเห็น หรือคำถามที่น่าสนใจที่คุณต้องการส่ง เรายินดีที่จะอ่านในพอดแคสต์
คุณสามารถส่งอีเมล tips@sophos.com คุณสามารถแสดงความคิดเห็นเกี่ยวกับบทความใดบทความหนึ่ง หรือคุณสามารถติดต่อเราทางโซเชียล: @nakedsecurity
นั่นคือการแสดงของเราในวันนี้ ขอบคุณมากสำหรับการฟัง
สำหรับ Paul Ducklin ฉัน Doug Aamoth เตือนคุณถึงครั้งต่อไปที่จะ...
ทั้งสอง รักษาความปลอดภัย
[โมเด็มดนตรี]
- เนื้อหาที่ขับเคลื่อนด้วย SEO และการเผยแพร่ประชาสัมพันธ์ รับการขยายวันนี้
- เพลโตไอสตรีม. ข้อมูลอัจฉริยะ Web3 ขยายความรู้ เข้าถึงได้ที่นี่.
- การสร้างอนาคตโดย Adryenn Ashley เข้าถึงได้ที่นี่.
- ซื้อและขายหุ้นในบริษัท PRE-IPO ด้วย PREIPO® เข้าถึงได้ที่นี่.
- ที่มา: https://nakedsecurity.sophos.com/2023/05/25/s3-ep136-navigating-a-manic-malware-maelstrom/
- :มี
- :เป็น
- :ไม่
- :ที่ไหน
- ][หน้า
- $ 10 ล้าน
- $ 400 ล้าน
- $ ขึ้น
- 13
- 2022
- 2023
- 22
- a
- ความสามารถ
- สามารถ
- เกี่ยวกับเรา
- อย่างแน่นอน
- ลงชื่อเข้าใช้
- บัญชี
- ถูกต้อง
- ผู้ถูกกล่าวหา
- ที่เกิดขึ้นจริง
- จริง
- เพิ่ม
- ที่อยู่
- ที่อยู่
- ยอมรับ
- คำแนะนำ
- มีผลต่อ
- เข้าร่วม
- หลังจาก
- อีกครั้ง
- กับ
- หน่วยงานที่
- AIR
- ทั้งหมด
- นัยว่า
- อนุญาต
- ตาม
- แล้ว
- Alright
- ด้วย
- แม้ว่า
- เสมอ
- am
- ในหมู่
- จำนวน
- an
- และ
- ภาพเคลื่อนไหว
- ไม่เปิดเผยชื่อ
- ไม่ระบุชื่อ
- อื่น
- ใด
- สิ่งใด
- ทุกแห่ง
- อุทธรณ์
- Apple
- เป็น
- รอบ
- จับกุม
- บทความ
- บทความ
- AS
- ด้าน
- At
- โจมตี
- การโจมตี
- ดึงดูด
- เสียง
- ผู้เขียน
- โดยอัตโนมัติ
- อัตโนมัติ
- อัตโนมัติ
- ใช้ได้
- หลีกเลี่ยง
- ทราบ
- กลับ
- สำรอง
- การสำรองข้อมูล
- ไม่ดี
- ธนาคาร
- ธนาคาร
- การธนาคาร
- baseline
- เป็นพื้น
- BE
- หมี
- เพราะ
- รับ
- ก่อน
- หลัง
- กำลัง
- เชื่อ
- เชื่อว่า
- ด้านล่าง
- ที่ดีที่สุด
- เดิมพัน
- ดีกว่า
- ใหญ่
- บิต
- Bitcoins
- ว่างเปล่า
- สุ่มสี่สุ่มห้า
- โบนัส
- ความกรุณา
- การหายใจ
- เบราว์เซอร์
- Bug
- สร้าง
- พวง
- แต่
- ซื้อ
- by
- โทรศัพท์
- ที่เรียกว่า
- ผู้เรียก
- โทร
- โทร
- แคมเปญ
- CAN
- สามารถรับ
- จับ
- บัตร
- ระมัดระวัง
- กรณี
- ศูนย์
- อย่างแน่นอน
- โอกาส
- เปลี่ยนแปลง
- เปลี่ยนแปลง
- ชิป
- Choose
- วงกลม
- การไหลเวียน
- รหัส
- COM
- อย่างไร
- มา
- ความเห็น
- ชุมชน
- บริษัท
- อย่างสมบูรณ์
- การประนีประนอม
- ที่ถูกบุกรุก
- คอมพิวเตอร์
- คอมพิวเตอร์
- เชื่อมต่อ
- ถือว่า
- ติดต่อเรา
- ต่อเนื่องกัน
- ตำรวจ
- บริษัท
- ค่าใช้จ่าย
- ได้
- ประเทศ
- ประเทศ
- คู่
- หลักสูตร
- ศาล
- Crash
- สร้าง
- การสร้าง
- เครดิต
- บัตรเครดิต
- อาชญากรรม
- Crooks
- ลูกค้า
- ลูกค้า
- ตัด
- อาชญากรรม
- อาชญากรไซเบอร์
- มืด
- Dark Web
- ข้อมูล
- การรั่วไหลของข้อมูล
- วัน
- วัน
- ข้อเสนอ
- ตัดสินใจ
- มอบ
- ความต้องการ
- Denial of Service
- เคาน์เตอร์
- รายละเอียด
- รายละเอียด
- แน่นอน
- พัฒนาการ
- DevOps
- DID
- ต่าง
- ความขยัน
- การเปิดเผย
- do
- ทำ
- ไม่
- การทำ
- DoJ
- ทำ
- Dont
- สงสัย
- ลง
- ดาวน์โหลด
- หล่น
- สอง
- แต่ละ
- ก่อน
- ก่อน
- โลก
- ง่าย
- อีเมล
- การเข้ารหัสลับ
- ปลาย
- การบังคับใช้
- พอ
- อย่างสิ้นเชิง
- ตอน
- แก่นแท้
- เป็นหลัก
- แม้
- เคย
- ทุกๆ
- ทุกคน
- ทุกอย่าง
- เผง
- ตัวอย่าง
- การปฏิบัติ
- ที่มีอยู่
- เอาเปรียบ
- การหาประโยชน์
- ตา
- หันหน้าไปทาง
- ความจริง
- โรงงาน
- ข้อเท็จจริง
- ตก
- ครอบครัว
- ชื่อเสียง
- เร็วขึ้น
- รายการโปรด
- เอฟบีไอ
- รู้สึก
- มนุษย์
- สองสาม
- ศึก
- รูป
- คิด
- ตัวเลข
- ทางการเงิน
- หา
- ปลาย
- ชื่อจริง
- พอดี
- แก้ไขปัญหา
- การแก้ไข
- ปฏิบัติตาม
- สำหรับ
- พบ
- การหลอกลวง
- เพื่อน
- ราคาเริ่มต้นที่
- ด้านหน้า
- สนุก
- การสร้าง
- แท้
- ได้รับ
- ได้รับ
- GitHub
- ให้
- เหตุการณ์ที่
- Go
- ไป
- ไป
- โกลเด้น
- ดี
- รัฐบาล
- คว้า
- ยิ่งใหญ่
- อย่างมาก
- ยาม
- คนที่แต่งตัวประหลาด
- มี
- ครึ่ง
- มือ
- มือ
- แขวน
- ที่เกิดขึ้น
- ยาก
- มี
- he
- หัว
- พาดหัว
- ได้ยิน
- หัวใจสำคัญ
- ช่วย
- การช่วยเหลือ
- โปรดคลิกที่นี่เพื่ออ่านรายละเอียดเพิ่มเติม
- สูงกว่า
- พระองค์
- ของเขา
- ตี
- รัง
- ความหวัง
- หวัง
- โรงพยาบาล
- บ้าน
- สรุป ความน่าเชื่อถือของ Olymp Trade?
- ที่ http
- HTTPS
- i
- ID
- ความคิด
- ประจำตัว
- if
- สำคัญ
- in
- ในอื่น ๆ
- อุบัติการณ์
- ประกอบด้วย
- ที่เพิ่มขึ้น
- เริ่มต้น
- ติดตั้ง
- บูรณาการ
- น่าสนใจ
- ผลประโยชน์
- International
- เข้าไป
- การประชด
- iSpoof
- IT
- ITS
- ตัวเอง
- ศัพท์แสง
- กระโดด
- เพียงแค่
- กระตือรือร้น
- เก็บ
- ชนิด
- ทราบ
- ใหญ่
- ชื่อสกุล
- ต่อมา
- ล่าสุด
- เปิดตัว
- กฏหมาย
- การบังคับใช้กฎหมาย
- นำ
- นำไปสู่
- เรียนรู้
- น้อยที่สุด
- นำ
- ซ้าย
- ถูกกฎหมาย
- ช่วยให้
- ห้องสมุด
- ตั้งอยู่
- เบา
- กดไลก์
- Line
- เส้น
- ลินุกซ์
- รายการ
- ผู้ฟัง
- การฟัง
- น้อย
- โหลด
- ในประเทศ
- ลอนดอน
- นาน
- ดู
- ที่ต้องการหา
- LOOKS
- Lot
- ความรัก
- MacOS
- ทำ
- การบำรุงรักษา
- ทำ
- การทำ
- มัลแวร์
- หลาย
- การตลาด
- สูงสุด
- อาจ..
- หมายความ
- วิธี
- วัด
- กลาง
- สมาชิก
- หน่วยความจำ
- ตำรวจนครบาล
- อาจ
- ล้าน
- ล้าน
- ใจ
- จิตใจ
- นาที
- ข้อผิดพลาด
- บรรเทา
- โมเดล
- เจียมเนื้อเจียมตัว
- โมดูล
- ขณะ
- เงิน
- เดือน
- รายเดือน
- เดือน
- ข้อมูลเพิ่มเติม
- มากที่สุด
- มาก
- ดนตรี
- ดนตรี
- ต้อง
- my
- ความปลอดภัยเปล่า
- พอดคาสต์ความปลอดภัยเปลือยกาย
- ชื่อ
- แห่งชาติ
- การนำทาง
- จำเป็นต้อง
- ไม่เคย
- ใหม่
- ถัดไป
- ไม่
- ไม่มีอะไร
- พฤศจิกายน
- ตอนนี้
- จำนวน
- of
- ปิด
- เสนอ
- การเสนอ
- เสนอ
- เป็นทางการ
- ออฟไลน์
- มักจะ
- oh
- เก่า
- on
- ครั้งเดียว
- ONE
- คน
- เพียง
- เปิด
- โอเพนซอร์ส
- รหัสโอเพนซอร์ซ
- or
- องค์กร
- อื่นๆ
- มิฉะนั้น
- ของเรา
- ออก
- ผล
- เกิน
- ต่างประเทศ
- ของตนเอง
- ห่อ
- แพ็คเกจ
- แพคเกจ
- ต้องจ่าย
- พาโลอัลโต
- ส่วนหนึ่ง
- ในสิ่งที่สนใจ
- อดีต
- ปะ
- แพทช์
- พอล
- ชำระ
- การจ่ายเงิน
- การชำระเงิน
- คน
- ของผู้คน
- ระยะเวลา
- คน
- มุมมอง
- โทรศัพท์
- โทรศัพท์
- เลือก
- ขว้าง
- สถานที่
- แพลตฟอร์ม
- เพลโต
- เพลโตดาต้าอินเทลลิเจนซ์
- เพลโตดาต้า
- ผู้เล่น
- กรุณา
- บวก
- พอดคาสต์
- พอดคาสต์
- ตำรวจ
- ยอดนิยม
- เป็นไปได้
- อาจ
- โพสต์
- ผู้นำ
- การกด
- สวย
- ก่อน
- คุก
- เชิงรุก
- อาจ
- ปัญหา
- ปัญหาที่เกิดขึ้น
- ผลิตภัณฑ์
- มืออาชีพ
- เป็นอาชีพ
- การเขียนโปรแกรม
- โครงการ
- โครงการ
- สัญญา
- อย่างถูกต้อง
- ป้องกัน
- ผู้จัดหา
- สาธารณะ
- การดึง
- ผลัก
- ใส่
- หลาม
- คุณภาพ
- คำถาม
- อย่างรวดเร็ว
- ค่าไถ่
- ransomware
- รวดเร็ว
- คะแนน
- ค่อนข้าง
- มาถึง
- อ่าน
- ผู้อ่าน
- การอ่าน
- เหมือนจริง
- จริงๆ
- เหตุผล
- เหตุผล
- ผู้รับ
- ได้รับการยอมรับ
- กู้
- การฟื้นตัว
- ทะเบียน
- การบันทึก
- จำ
- รีโมท
- รายงาน
- การรายงาน
- รายงาน
- กรุ
- ชื่อเสียง
- การวิจัย
- นักวิจัย
- คำตอบ
- REST
- ฟื้นฟู
- กลับ
- กำจัด
- ขวา
- ความเสี่ยง
- โรเบิร์ต
- ห้อง
- RSS
- วิ่ง
- รัสเซีย
- กล่าวว่า
- เดียวกัน
- กล่าว
- คำพูด
- พูดว่า
- ขนาด
- การหลอกลวง
- เหยื่อหลอกลวง
- โรงเรียน
- ที่สอง
- ลับ
- ปลอดภัย
- ความปลอดภัย
- ช่องโหว่ด้านความปลอดภัย
- เห็น
- ดูเหมือนว่า
- ผู้ส่ง
- การส่ง
- ประโยค
- ถูกพิพากษา
- ร้ายแรง
- บริการ
- ผู้ให้บริการ
- ชุด
- การส่งสินค้า
- น่า
- โชว์
- แสดงให้เห็นว่า
- ʶҹ·Õè·èͧà·ÕèÂÇ
- ลงชื่อ
- ตั้งแต่
- เดียว
- เว็บไซต์
- ความสามารถ
- So
- สังคม
- ซอฟต์แวร์
- บาง
- บางคน
- บางสิ่งบางอย่าง
- จิตวิญญาณ
- เสียง
- Soundcloud
- แหล่ง
- รหัสแหล่งที่มา
- การพูด
- พิเศษ
- การใช้จ่าย
- Spotify
- สปายแวร์
- เริ่มต้น
- ข้อความที่เริ่ม
- คำแถลง
- สหรัฐอเมริกา
- เข้าพัก
- ยังคง
- หยุด
- เรื่องราว
- สายพันธุ์
- เชือก
- มีการศึกษา
- ส่ง
- ภายหลัง
- สาร
- ความสำเร็จ
- อย่างเช่น
- ดวงอาทิตย์
- แปลกใจ
- ประหลาดใจ
- ระบบ
- ระบบ
- เอา
- พูดคุย
- ทีม
- เทคโนโลยี
- วิชาการ
- เทคโนโลยี
- บอก
- บอก
- เทมเพลต
- สิบ
- เมตริกซ์
- กว่า
- ขอบคุณ
- ขอบคุณ
- ที่
- พื้นที่
- สหราชอาณาจักร
- โลก
- ของพวกเขา
- พวกเขา
- แล้วก็
- ที่นั่น
- ล้อยางขัดเหล่านี้ติดตั้งบนแกน XNUMX (มม.) ผลิตภัณฑ์นี้ถูกผลิตในหลายรูปทรง และหลากหลายเบอร์ความแน่นหนาของปริมาณอนุภาคขัดของมัน จะทำให้ท่านได้รับประสิทธิภาพสูงในการขัดและการใช้งานที่ยาวนาน
- พวกเขา
- สิ่ง
- สิ่ง
- คิด
- ที่สาม
- ของบุคคลที่สาม
- นี้
- เหล่านั้น
- แต่?
- คิดว่า
- พัน
- การคุกคาม
- สาม
- ตลอด
- การขว้างปา
- เวลา
- ครั้ง
- ชนิด
- เคล็ดลับ
- ไปยัง
- ในวันนี้
- ร่วมกัน
- เกินไป
- ด้านบน
- รวม
- แตะ
- ลู่
- การจราจร
- การทดลอง
- พยายาม
- ปัญหา
- จริง
- วางใจ
- ความจริง
- ลอง
- กลับ
- หัน
- สองครั้ง
- สอง
- ชนิด
- ชนิด
- Uk
- ความเข้าใจ
- น่าเสียดาย
- พร้อมใจกัน
- ประเทศสหรัฐอเมริกา
- จนกระทั่ง
- บันทึก
- การปรับปรุง
- อัปโหลด
- ในเมือง
- URL
- us
- ใช้
- มือสอง
- การใช้
- มักจะ
- รุ่น
- มาก
- เหยื่อ
- ผู้ที่ตกเป็นเหยื่อ
- วีดีโอ
- อาสาสมัคร
- ความอ่อนแอ
- อ่อนแอ
- ที่รอ
- ต้องการ
- อยาก
- ต้องการ
- คือ
- คลื่น
- ทาง..
- we
- เว็บ
- เว็บคิท
- Website
- เว็บไซต์
- สัปดาห์
- ดี
- คือ
- อะไร
- เมื่อ
- ว่า
- ที่
- ในขณะที่
- WHO
- ทั้งหมด
- ทำไม
- จะ
- กับ
- WordPress
- คำ
- งาน
- การทำงาน
- โลก
- แย่ลง
- แย่ที่สุด
- คุ้มค่า
- จะ
- เขียน
- ผิด
- ปี
- ใช่
- เธอ
- ของคุณ
- ด้วยตัวคุณเอง
- ลมทะเล
- เป็นศูนย์
- ศูนย์วัน