HÖR JETZT ZU
Klicken und ziehen Sie auf die unten stehenden Schallwellen, um zu einem beliebigen Punkt zu springen. Du kannst auch direkt zuhören auf Soundcloud.
Mit Doug Aamoth und Paul Ducklin.
Intro- und Outro-Musik von Edith Mudge.
Ihr könnt uns auf hören Soundcloud, Apple Podcasts, Google Podcasts, Spotify, Stitcher und überall, wo gute Podcasts zu finden sind. Oder lass es einfach fallen URL unseres RSS-Feeds in Ihren Lieblings-Podcatcher.
LESEN SIE DAS TRANSKRIPT
DOUG. Mehr Erpressungsbetrug, mehr Kryptodiebstahl und ein Bugfix für einen Bugfix.
All das mehr im Naked Security Podcast.
[MUSIKMODEM]
Willkommen zum Podcast, alle zusammen.
Ich bin Doug Aamoth und er ist Paul Ducklin.
Paul, wie geht es dir?
ENTE. Ich bin super-duper, danke, Douglas.
DOUG. Wir beginnen die Show gerne mit ein wenig Technikgeschichte, und ich möchte Sie daran erinnern, dass diese Woche, im Jahr 2007, das iPhone der ersten Generation in den Vereinigten Staaten auf den Markt kam.
Zu einer Zeit, als die meisten High-End-Telefone mit einem Zweijahresvertrag für drahtlose Dienste für 200 US-Dollar verkauft wurden, begann das iPhone mit einem Zweijahresvertrag bei 500 US-Dollar.
Es hatte auch eine langsamere Verbindungsgeschwindigkeit als viele Telefone zu dieser Zeit, mit 2.5 G oder EDGE im Vergleich zu 3 G.
Dennoch hatte Apple zweieinhalb Monate nach seiner Veröffentlichung eine Million iPhones verkauft.
Allein in den USA.
ENTE. Ja, ich hatte dieses dornige Detail des 2-Punkt-5-EDGE vergessen!
Ich erinnere mich nur, dass ich dachte: "Das kann nicht dein Ernst sein?"
Ich war damals in Australien und sie waren *teuer*.
Ich glaube, das war noch die Zeit, in der ich nur an meinem EDGE-Gerät hing … Ich nenne es immer JAM JAR, aber es hieß eigentlich JASJAR oder JASJAM oder so.
Eines dieser Windows CE-Geräte mit verschiebbarer Tastatur.
Ich war die einzige Person auf der Welt, die es liebte … Ich dachte mir, nun, jemand muss es tun.
Sie könnten Ihre eigene Software dafür schreiben – Sie haben einfach den Code kompiliert und ihn dort eingefügt – also erinnere ich mich, dass ich dachte, dieses App Store-Ding, nur 2.5 GG, superteuer?
Es wird sich nie durchsetzen.
Nun, die Welt war seitdem nie mehr dieselbe, das ist sicher!
DOUG. Es hat nicht!
In Ordnung, wenn wir davon sprechen, dass die Welt nicht dieselbe ist, wir haben mehr Betrügereien.
Dieser … warum lese ich nicht einfach von der FTC über diesen Betrug?
Die FTC (die Federal Trade Commission in den Vereinigten Staaten) sagt, dass die Kriminellen normalerweise so arbeiten:
„Ein Betrüger gibt sich in einer LGBTQ+-Dating-App als potenzieller romantischer Partner aus, chattet mit Ihnen, sendet schnell explizite Fotos und bittet im Gegenzug um ähnliche Fotos.
Schickt man Fotos, beginnt die Erpressung.
Sie drohen, Ihr Gespräch und Ihre Fotos mit Ihren Freunden, Ihrer Familie oder Ihrem Arbeitgeber zu teilen, es sei denn, Sie bezahlen, normalerweise per Geschenkkarte.
Andere Betrüger bedrohen Menschen, die als LGBTQ+ verschlossen oder noch nicht ganz out sind. Sie können Sie unter Druck setzen, zu zahlen oder geoutet zu werden, und behaupten, dass sie Ihr Leben ruinieren, indem sie anstößige Fotos oder Gespräche veröffentlichen.
Was auch immer ihr Blickwinkel ist, sie sind nur hinter einem her: Ihr Geld.“
Nette Leute hier, oder?
ENTE. Ja,. das ist wirklich schrecklich, nicht wahr?
Und was mich an dieser Geschichte besonders gefesselt hat, ist folgendes …
Wie Sie sich erinnern, war das große Ding dieser Art vor ein paar Jahren das, was als „Sextortion“ oder „Pornobetrug“ bekannt wurde, bei dem die Gauner sagten: „Hey, wir haben einige Screenshots von Ihnen, wie Sie sich Pornos ansehen , und wir haben gleichzeitig Ihre Webcam eingeschaltet. Wir konnten dies tun, weil wir Malware auf Ihrem Computer implantiert haben. Hier ist ein Beweis“, und sie haben Ihre Telefonnummer oder Ihr Passwort oder Ihre Privatadresse.
Sie zeigen dir das Video natürlich nie, weil sie es nicht haben.
„Schick uns das Geld“, sagen sie.
Genau die gleiche Geschichte, nur dass wir in diesem Fall zu den Leuten gehen und sagen konnten: „Alles ein Haufen Lügen, vergiss es einfach.“
Leider ist das genau das Gegenteil, oder?
Sie *haben* das Foto … leider hast du es ihnen geschickt und vielleicht gedacht: „Nun, ich bin mir sicher, dass ich dieser Person vertrauen kann.“
Oder vielleicht haben sie einfach die Gabe des Geschwätzes und überreden dich dazu, genauso wie traditionelle Liebesbetrüger … sie wollen keine expliziten Fotos zur Erpressung, sie wollen, dass du dich in sie verliebst langfristig, damit sie dich wochen-, monate-, ja sogar jahrelang für Geld melken können.
Aber es ist knifflig, dass wir eine Art Erpressungsbetrug mit sexuellem Bezug haben, bei dem wir den Leuten sagen können: „Keine Panik, sie können nicht erpressen, weil sie das Foto tatsächlich nicht haben“…
…und noch ein Beispiel, bei dem es leider genau umgekehrt ist, weil sie das Foto haben.
Aber das einzige, was Sie immer noch nicht tun sollten, ist das Geld zu bezahlen, denn wie können Sie jemals wissen, ob sie dieses Foto löschen werden.
Schlimmer noch, woher weißt du das, selbst wenn sie tatsächlich – ich kann nicht glauben, dass ich diese Worte verwenden werde – „vertrauenswürdige Gauner“ sind?
Selbst wenn sie das Foto löschen wollen, woher wissen Sie, dass sie keine Datenpanne hatten?
Sie könnten die Daten bereits verloren haben.
Denn Unehre unter Dieben und Gaunern, die sich streiten, ist alltäglich genug.
Wir haben das bei der Conti-Ransomware-Gang gesehen … Affiliates, die eine ganze Menge Zeug preisgegeben haben, weil sie sich offenbar mit den Leuten im Kern der Gruppe überworfen haben.
Und viele Cyberkriminelle haben selbst eine schlechte Betriebssicherheit.
Es gab in der Vergangenheit unzählige Fälle, in denen Gauner entweder festgenommen wurden oder die Geheimnisse ihrer Malware preisgaben, weil ihre Systeme, in denen sie angeblich alle Geheimnisse hüteten, sowieso weit offen waren.
DOUG. Ja.
Natürlich in einer sehr persönlichen und unsicheren Zeit im Leben der Menschen, als sie endlich jemandem vertrauten, den sie noch nie getroffen hatten … und dann passierte das.
Das ist also einer unserer Tipps: Zahlen Sie nicht das Erpressungsgeld.
Noch ein Tipp: Erwägen Sie, Ihre bevorzugte Suchmaschine für eine umgekehrte Bildsuche zu verwenden.
ENTE. Ja, viele Leute empfehlen das für alle Arten von Betrug.
Es ist sehr üblich, dass die Gauner Ihr Vertrauen gewinnen, indem sie ein Online-Dating-Profil von jemandem auswählen, von dem sie vorab eingeschätzt haben, dass Sie ihn wahrscheinlich mögen werden.
Sie gehen und finden jemanden, der tatsächlich gut zu Ihnen passen könnte, sie reißen das Profil dieser Person ab, und sie kommen hereingestürmt und geben vor, diese Person zu sein.
Was ihnen einen sehr guten Start verschafft, wenn es um romantische Machenschaften geht, nicht wahr?
Wenn Sie also eine umgekehrte Bildsuche durchführen und das Profil einer anderen Person angezeigt wird: Bingo! Du hast sie gesprengt!
Die schlechte Nachricht ist, dass man damit nichts über die Leute beweisen kann …
… mit anderen Worten, wenn Sie die Rückwärtssuche durchführen und nichts angezeigt wird, bedeutet dies nicht, dass die Person, mit der Sie sprechen, wirklich der ursprüngliche Eigentümer dieses Fotos ist.
Wir hatten jedoch Leute auf Naked Security, die sagten: „Ich habe eine davon; Ich habe eine umgekehrte Bildsuche durchgeführt; Beim Waschen ging es sofort raus. Die umgekehrte Suche hat bei mir wirklich gut funktioniert.“
Sie könnten dem Koch schon bei der allerersten Hürde ein Bein stellen.
DOUG. Ja, ich glaube, ich habe das in einer der ersten Podcast-Episoden geteilt, die wir gemacht haben …
Wir versuchten, ein Skihaus zu mieten, und der Ort, den wir zu mieten versuchten, sah für den Preis ein wenig zu gut aus, um wahr zu sein.
Und meine Frau rief die Person an, um sie danach zu fragen, und weckte offensichtlich jemanden mitten in der Nacht auf der anderen Seite der Welt.
Während sie das tat, zog ich das Bild in eine umgekehrte Bildersuche, und es war ein Ritz-Carlton-Hotel in Denver oder so ähnlich.
Es war nicht einmal in der Nähe, wo wir versuchten zu mieten.
Das funktioniert also über Romantikbetrug hinaus – es funktioniert für alles, was nur irgendwie faul riecht und mit Bildern verbunden ist.
ENTE. Ja.
DOUG. OK. Und dann haben wir den Tipp: Seien Sie sich bewusst, bevor Sie teilen.
ENTE. Ja, das ist einer unserer kleinen Jingles.
Es ist leicht zu merken.
Und tatsächlich gilt das nicht nur für diese Betrügereien mit sexueller Erpressung, obwohl es, wie Sie sagen, in solchen Fällen besonders beunruhigend und böse klingt.
Es gilt absolut in allen Fällen, in denen Sie sich nicht sicher sind – geben Sie keine Informationen heraus, weil Sie sie später nicht zurückbekommen können.
Sobald Sie die Daten übergeben haben, müssen Sie ihnen nicht nur vertrauen… Sie müssen ihrem Computer vertrauen, ihrer eigenen Einstellung zur Cybersicherheit und allem.
DOUG. Das passt gut zu unserem nächsten Tipp, der lautet: Im Zweifelsfall nicht herausgeben.
ENTE. Ja, ich weiß, dass einige Leute sagen: „Oh, nun, das hört sich an, als würden Sie Opferbeschuldigungen machen.“
Aber sobald Sie Ihre Daten ausgehändigt haben, können Sie sie zurück *verlangen*, aber Sie können nicht wirklich viel mehr als das tun.
Es ist trivial, Dinge zu teilen, aber es ist so gut wie unmöglich, sie danach zurückzurufen.
DOUG. OK, dann haben wir einige Ressourcen in dem Artikel darüber, wie Sie solche Betrügereien basierend auf dem Land, in dem Sie leben, melden können, was ziemlich praktisch ist.
ENTE. Ja, wir haben URLs für Online-Betrugsmeldungen eingefügt für: die USA, das Vereinigte Königreich, die Europäische Union, Kanada, Australien und Neuseeland.
Die US ist https://reportfraud.ftc.gov.
Und die FTC ist natürlich im Wesentlichen die Verbraucherrechtsbehörde in den Vereinigten Staaten.
Ich war sehr angenehm überrascht von dieser Seite – ich fand sie sehr einfach zu navigieren.
Sie können so viele oder so wenige Informationen eingeben, wie Sie möchten.
Wenn Sie später mit einem Fall auf dem Laufenden bleiben möchten, müssen Sie natürlich Informationen weitergeben, die es ihnen ermöglichen, Sie zu kontaktieren – mit anderen Worten, es wäre schwierig, vollständig anonym zu bleiben.
Aber wenn Sie nur sagen wollen: „Schauen Sie, ich habe diesen Betrug, ich muss einer von Millionen Menschen sein“ …
… wenn niemand etwas sagt, dann ist im Wesentlichen statistisch nichts passiert.
Sie können Dinge melden und einfach sagen: „Ich habe diese URL, ich habe diese Telefonnummer, ich habe diese Informationen“, was auch immer es ist, und Sie können so viel oder so wenig angeben, wie Sie möchten.
Und obwohl es sich manchmal so anfühlt, als ob das Melden dieser Dinge wahrscheinlich keinen Unterschied macht – denn wenn Sie Ihre E-Mail-Adresse und Ihre Kontaktdaten nicht angeben, erhalten Sie natürlich keine Antwort, ob es nützlich war oder nicht – Sie muss es nur im Glauben annehmen.
Und meine Meinung ist: Ich sehe nicht, wie es möglicherweise schaden kann, und es kann ein bisschen gut sein.
Es kann den Behörden helfen, ein Verfahren gegen jemanden aufzubauen, bei dem es ihnen ohne mehrere bestätigende Berichte möglicherweise sehr schwer gefallen wäre, den Rechtsstandard zu erreichen, den sie benötigen, um tatsächlich etwas gegen ein besonders schlimmes Verbrechen zu unternehmen.
DOUG. Okay, das heißt: FTC warnt vor LGBTQ+ plus Erpressungsbetrug: Seien Sie sich bewusst, bevor Sie teilen“ auf nakedsecurity.sophos.com.
Apropos bewusst sein, wann werden wir eine Woche haben, in der wir uns keiner Art von Krypto-Diebstahl bewusst sind?
Weitere 100 Millionen Dollar lösten sich in Luft auf, Paul!
ENTE. Ich wusste nicht, dass das eine rhetorische Frage war.
Ich wollte mich gerade einschalten und sagen: „Nicht diese Woche, Doug.“
Wenn man sich den aktuellen Wechselkurs von US-Dollar zu Ether ansieht, frage ich mich eigentlich, ob es sich überhaupt gelohnt hat, darüber zu schreiben. Doug?
Es waren nicht ganz 100 Millionen Dollar … Es waren: „Ich weiß nicht, 80 Millionen Dollar, 90 Millionen Dollar – es lohnt sich fast nicht, aufzustehen, um darüber zu schreiben“, sagte er
sehr zynisch.
Ja, dies war eine weitere Katastrophe des dezentralisierten Finanz- oder De-Fi-Unternehmens.
Sie würden es nicht wissen, um auf ihre Website zu gehen.
Das Unternehmen heißt Harmony – es handelt sich im Wesentlichen um ein Blockchain-Smart-Contract-Unternehmen … Sie gehen auf die Website und es ist immer noch voll davon, wie großartig sie sind.
Wenn Sie von ihrer Website zu ihrem offiziellen Blog gehen, gibt es dort eine Geschichte namens „Lost Funds Investigation Report“.
Aber das sind nicht *diese* verlorenen Gelder; das sind *diese* verlorenen Gelder.
Das ist von damals im Januar … Ich glaube, es war „nur“ so etwas wie ein 5-Millionen-Dollar-Hack, Doug, vielleicht sogar weniger, mit dem jemand davongekommen ist.
Und das ist die letzte Geschichte auf ihrem Blog.
Sie haben Informationen auf Twitter darüber, um fair zu sein, und sie haben irgendwo auf Medium.com einen Blog-Artikel veröffentlicht, der das Wenige beschreibt, was sie zu wissen scheinen.
Es hört sich so an, als hätten sie eine ganze Menge Gelder, die zentral eingesperrt waren, Gelder, die benötigt wurden, um die Räder zum Laufen zu bringen, und um diese Dinge hinein- und herauszubewegen, verwendeten sie eine sogenannte „Multi-Signatur“ oder „Multisig“. " sich nähern.
Ein privater Schlüssel würde nicht ausreichen, um die Übertragung dieser bestimmten Gelder zu autorisieren.
Es gab fünf Personen, die autorisiert waren, und zwei von ihnen mussten zusammen kommen, und anscheinend wurde jeder private Schlüssel gespeichert – quasi in zwei Hälften geteilt.
Die Person hatte ein Passwort, um es zu entsperren, und sie musste Schlüsselmaterial von einem Schlüsselserver erhalten, und anscheinend befand sich jeder private Schlüssel auf einem anderen Schlüsselserver.
Wir wissen also nicht, wie es passiert ist … hat jemand geheime Absprachen getroffen? Oder hat sich jemand gedacht, er wäre wirklich schlau und hat gesagt: „Hey, ich teile meinen Schlüssel mit dir, und du teilst deinen Schlüssel mit mir, nur für den Fall, als zusätzliches Backup?“
Wie auch immer, die Gauner haben es geschafft, zwei private Schlüssel zu bekommen, nicht einen, also konnten sie vorgeben, mehr als eine Person zu sein, und sie waren in der Lage, diese große Menge an Geldern freizuschalten und an sich selbst zu überweisen.
Und das summierte sich auf Ether im Wert von über 80 Millionen US-Dollar.
Und dann scheint es, dass Harmony, wie sie es damals im Januar taten, als sie die vorherige Abzocke hatten … sie taten das, was heutzutage jeder tut.
„Sehr geehrter Mr. White Hat, lieber Lovely Crook, wenn Sie das Geld zurücksenden, schreiben wir es als Bug-Bounty aus. Wir werden die Geschichte neu schreiben und versuchen, Sie nicht strafrechtlich verfolgen zu lassen. Und wir werden sagen, es war alles im Namen der Forschung, aber bitte geben Sie uns unser Geld zurück.“
Und du denkst: „Oh, verdammt, das riecht nach Verzweiflung“, aber ich schätze, das ist alles, was sie versuchen müssen.
DOUG. Und ich finde es gut, dass sie 1 % von dem bieten, was gestohlen wurde.
Und dann ist das i-Tüpfelchen, dass sie „keine strafrechtlichen Anklagen befürworten“, wenn Gelder zurückgegeben werden, was schwer zu garantieren scheint.
ENTE. Ja, ich denke, das ist alles, was sie sagen können, oder?
Nun, sicherlich gibt es in England so genannte Privatklagen – sie müssen nicht vom Staat angestrengt werden.
Sie könnten also als Privatperson eine Strafverfolgung durchführen. oder als Wohltätigkeitsorganisation oder als Körperschaft des öffentlichen Rechts, wenn der Staat nicht strafrechtlich verfolgen will.
Aber Sie bekommen nicht das Gegenteil, wo Sie das Opfer eines Verbrechens sind und sagen: „Oh, den Typen kenne ich. Er war zu Tode betrunken. Er ist in mein Auto gefahren, aber er hat es repariert. Verfolge ihn nicht.“
Der Staat wird wahrscheinlich sagen: „Weißt du was? Es liegt eigentlich nicht an dir.“
Jedenfalls scheint es nicht funktioniert zu haben.
Wer auch immer es war, hat bereits ungefähr 17,000 Ether (etwas knapp 20 Millionen US-Dollar, glaube ich) von dem Konto überwiesen, auf dem er das Zeug ursprünglich gesammelt hatte.
Es sieht also so aus, als ob das alles den Bach runtergeht. [LACHT]
Ich weiß nicht, warum ich lache, Doug.
DOUG. Das passiert einfach immer wieder!
Es muss einen besseren Weg geben, diese Konten zu sperren.
Sie sind also von zwei Parteien, die gemeinsam unterzeichnen müssen, auf vier Parteien übergegangen.
Behebt das jetzt dieses Problem, oder wird das weiterhin passieren?
ENTE. „Hey, zwei waren nicht genug. Wir gehen bis vier.“
Nun, ich weiß nicht … macht es das besser, gleich oder schlechter?
Der Punkt ist, es hängt davon ab, wie die Gauner und warum die Gauner diese beiden Schlüssel bekommen konnten.
Haben sie gerade die fünf Personen ins Visier genommen und sie hatten Glück mit zwei von ihnen und sind mit drei gescheitert, in diesem Fall können Sie argumentieren, dass es die Messlatte höher legen wird, wenn Sie vier von fünf statt zwei von fünf machen ein bisschen weiter.
Aber was wäre, wenn das System selbst, die Art und Weise, wie sie die Schlüssel tatsächlich orchestriert haben, der Grund dafür wäre, dass die Gauner zwei davon bekommen haben … was, wenn es einen einzigen Fehlerpunkt für eine beliebige Anzahl von Schlüsseln gibt?
Und genau das wissen wir nicht, also gehen Sie einfach von zwei auf vier … Das löst nicht unbedingt das Problem.
Genauso wie wenn jemand Ihr Telefon stiehlt und Ihren Sperrcode errät und Sie sechs Ziffern haben, denken Sie: „Ich weiß, ich werde zu einem zehnstelligen Sperrcode gehen. Das wird viel sicherer!“
Aber wenn der Grund, warum die Gauner Ihren Sperrcode bekommen haben, darin besteht, dass Sie die Angewohnheit haben, ihn auf ein Stück Papier zu schreiben und ihn in Ihrem Briefkasten zu lassen, nur für den Fall, dass Sie sich aus Ihrem Haus ausgesperrt haben … werden sie zurückgehen und ihn holen der zehnstellige, der 20-stellige, der 5000-stellige Sperrcode.
DOUG. Alles klar, wir werden das im Auge behalten.
Und etwas sagt mir, dass dies nicht die letzte dieser Geschichten sein wird.
Das nennt man: Harmony Blockchain verliert fast 100 Millionen Dollar durch gehackte private Schlüssel, auf nakedsecurity.sophos.com.
Und jetzt haben wir eine Fehlerbehebung für eine Fehlerbehebung in OpenSSL.
ENTE. Ja, wir haben im Podcast mehrmals über OpenSSL gesprochen, hauptsächlich weil es eine der beliebtesten kryptografischen Bibliotheken von Drittanbietern ist.
Also wird es von vielen Softwareprogrammen verwendet.
Und das Problem ist, dass, wenn es einen Fehler hat, viele Betriebssysteme (insbesondere viele Linux werden damit ausgeliefert) aktualisiert werden müssen.
Und selbst auf Plattformen, die ihre eigenen separaten kryptografischen Bibliotheken haben, wie die Windows- und macOS-Systeme der Welt, haben Sie möglicherweise Apps, die dennoch ihre eigene Kopie von OpenSSL mitbringen, entweder kompiliert oder in den Anwendungsordner gebracht.
Sie müssen diese auch aktualisieren.
Nun, glücklicherweise ist dies kein supergefährlicher Fehler, aber es ist eine Art lästiger Fehler, der Softwareentwickler daran erinnert, dass manchmal der Teufel in den Details steckt, die den Trophäencode umgeben.
Dieser Fehler ist eine weitere Version des Fehlers, der im vorherigen Bugfix behoben wurde – er befindet sich tatsächlich in einem Skript, das zusammen mit OpenSSL ausgeliefert wird, das einige Betriebssysteme verwenden und das einen speziellen durchsuchbaren Hash, einen Index, von Systemzertifikaten der „Zertifizierungsstelle“ erstellt .
Es ist also ein spezielles Skript, das Sie ausführen c_rehash, kurz für „certificate rehash“.
Und es nimmt ein Verzeichnis mit einer Liste von Zertifikaten, die die Namen der Personen enthalten, die sie ausgestellt haben, und wandelt es in eine Liste um, die auf Hashes basiert, was sehr praktisch für die Suche und Indexierung ist.
Daher führen einige Betriebssysteme dieses Skript aus Bequemlichkeit regelmäßig aus.
Und es stellte sich heraus, dass Sie ein Zertifikat mit einem seltsamen Namen mit magischen Sonderzeichen erstellen könnten, genau wie die „runden Klammern des Dollarzeichens“ darin Follina oder die „geschwungenen Klammern des Dollarzeichens“ in Log4Shell… im Grunde würden sie den Dateinamen von der Festplatte nehmen und ihn blind als Befehlszeilenargument für die Befehlsshell verwenden.
Jeder, der Unix-Shell-Befehle oder Windows-Shell-Befehle geschrieben hat. weiß, dass einige Zeichen spezielle Superkräfte haben, wie „Dollarzeichen in runden Klammern“ und das „Größer-als“-Zeichen, das Dateien überschreibt, und das „Pipe“-Zeichen, das besagt, dass die Ausgabe an einen anderen Befehl gesendet und ausgeführt werden soll.
Es war also, wenn Sie so wollen, mangelnde Detailtreue in einem Hilfsskript, das nicht wirklich Teil der kryptografischen Bibliothek ist.
Im Grunde ist dies nur ein Skript, das viele Leute wahrscheinlich nie in Betracht gezogen haben, aber es wurde von OpenSSL geliefert; in vielen Betriebssystemen enthalten; tauchte an einem Systemspeicherort auf, wo es ausführbar wurde; und vom System für das verwendet, was Sie als „nützliche kryptografische Verwaltung“ bezeichnen könnten.
Die gewünschte Version ist also 3.0.4, oder 1.1.1p (P für Papa).
Aber abgesehen davon, während wir dies aufzeichnen, gibt es viel Aufhebens um die Notwendigkeit von OpenSSL 3.0.5, einem völlig anderen Fehler – einem Pufferüberlauf in einigen speziellen beschleunigten RSA-Kryptografieberechnungen, der wahrscheinlich behoben werden muss .
Wenn Sie also OpenSSL 3 verwenden, wenn Sie dies hören, gibt es möglicherweise schon ein weiteres Update!
Die gute Seite, Doug, nehme ich an, ist, dass das OpenSSL-Team, wenn diese Dinge bemerkt werden, das Problem zu lösen scheint und ziemlich schnell Patches herausbringt.
DOUG. Groß.
Wir werden das im Auge behalten und nach 3.0.5 Ausschau halten.
ENTE. Ja!
Nur um es klarzustellen, wenn es 3.0.5 gibt, wird es kein passendes 1.1.1q (Q-forQuebec) geben, weil dieser Fehler ein neuer Code ist, der in OpenSSL 3 eingeführt wurde.
Und falls Sie sich fragen: So wie das iPhone nie das iPhone 2 hatte, gab es kein OpenSSL 2.
DOUG. OK, wir haben einige Ratschläge, beginnend mit: Aktualisieren Sie OpenSSL so bald wie möglich, Offensichtlich.
ENTE. Ja.
Auch wenn sich dies nicht in der kryptografischen Bibliothek, sondern in einem Skript befindet, können Sie genauso gut aktualisieren, denn wenn Ihr Betriebssystem über das OpenSSL-Paket verfügt, wird dieses fehlerhafte Skript mit ziemlicher Sicherheit darin enthalten sein.
Und es wird wahrscheinlich dort installiert werden, wo jemand mit Ihren schlimmsten Interessen wahrscheinlich daran herankommen könnte, möglicherweise sogar aus der Ferne, wenn er es wirklich wollte.
DOUG. Okay, damit: Erwägen Sie, die in den Ruhestand zu versetzen c_rehash Dienstprogramm, wenn Sie es verwenden.
ENTE. Ja, dieses c_rehash ist eigentlich ein älteres Perl-Skript, das andere Programme unsicher ausführt.
Sie können jetzt tatsächlich einen integrierten Teil der OpenSSL-App selbst verwenden: openssl rehash.
Wenn Sie mehr darüber wissen möchten, können Sie einfach tippen openssl rehash -help.
DOUG. Gut.
Und dann haben wir das immer wieder gesagt: Bereinigen Sie Ihre Ein- und Ausgänge.
ENTE. Unbedingt.
Gehen Sie niemals davon aus, dass Eingaben, die Sie von jemand anderem erhalten, sicher verwendet werden können, so wie Sie sie erhalten haben.
Und wenn Sie Daten verarbeitet haben, die Sie von woanders erhalten oder von woanders eingelesen haben, und Sie sie an jemand anderen weitergeben wollen, tun Sie das Nette und überprüfen Sie, dass Sie sie nicht weitergeben dumme Informationen zuerst.
Natürlich würden Sie hoffen, dass sie ihre Eingaben überprüfen, aber wenn Sie auch Ihre Ausgaben überprüfen, dann ist die Gewissheit doppelt sicher!
DOUG. OK. Und dann endlich: Achten Sie auf mehrere Fehler, wenn Sie den Code auf bestimmte Arten von Fehlern überprüfen.
ENTE. Ja, ich dachte, das wäre es wert, die Leute daran zu erinnern.
Weil es einen Fehler gab, bei dem Perl eine sogenannte Befehlssubstitution durchführte, die besagt: „Führen Sie diesen externen Befehl mit diesen Argumenten aus, erhalten Sie die Ausgabe und verwenden Sie die Ausgabe als Teil des neuen Befehls.“
Beim Senden der Argumente an diesen Befehl ging etwas schief, und das wurde behoben: Es wurde eine spezielle Funktion geschrieben, die die Eingaben ordnungsgemäß überprüft.
Aber es scheint, dass niemand wirklich sorgfältig durchgegangen ist und gesagt hat: „Hat die Person, die dieses Dienstprogramm geschrieben hat, ursprünglich an anderer Stelle einen ähnlichen programmatischen Trick verwendet?“
Mit anderen Worten, vielleicht berappen sie eine Systemfunktion an einer anderen Stelle im selben Code … und wenn Sie genauer hingesehen hätten, hätten Sie sie gefunden.
Es gibt einen Ort, an dem sie mit einem externen Programm eine Hash-Berechnung durchführen, und es gibt einen Ort, an dem sie Dateien mit einer externen Funktion kopieren.
Einer war überprüft und repariert worden, aber der andere war nicht gefunden worden.
DOUG. Alles klar, guter Rat!
Dieser Artikel heißt: OpenSSL veröffentlicht einen Bugfix für den vorherigen Bugfix, auf nakedsecurity.sophos.com.
Und während die Sonne für unsere heutige Show langsam untergeht, lassen Sie uns von einem unserer Leser zu dem OpenSSL-Artikel hören, den wir gerade besprochen haben.
Leser Larry verlinkt auf einen XKCD-Webcomic namens Ausbeutung einer Mutter… Ich flehe Sie an, gehen Sie und finden Sie es.
Mir ist klar, dass der Versuch, einen Webcomic verbal zu erklären, kein wirklich gutes Futter für einen Podcast ist, also gehen Sie zu https://xkcd.com/327 und seht selbst.
ENTE. Alles, was Sie tun müssen, Doug, denn viele Zuhörer werden gedacht haben: „Ich hoffe ehrlich, dass jemand dies kommentieren würde“… Das war ich!
Es geht um die Kleine Bobby Tische!
DOUG. Gut…
ENTE. Es ist zu einer Art Internet-Meme geworden.
DOUG. Die Szene öffnet sich.
Eine Mutter erhält einen Anruf von der Schule ihres Sohnes: „Hallo, das ist die Schule Ihres Sohnes. Wir haben ein Computerproblem.“
Und sie sagt: "Oh je, hat er etwas kaputt gemacht?"
Und sie sagen: „In gewisser Weise. Hast du deinem Sohn wirklich einen Namen gegeben? Robert'); DROP TABLE Students;--? "
"Oh ja. Kleine Bobby Tische, Wir rufen ihn an."
Und sie sagen: „Nun, wir haben die diesjährigen Schülerunterlagen verloren. Ich hoffe du bist glücklich."
Und sie sagt: „Und ich hoffe, Sie haben gelernt, Ihre Datenbankeingaben zu bereinigen.“
Sehr gut.
ENTE. Ein bisschen eine ungezogene Mutter … denken Sie daran, wir sagen, bereinigen Sie Ihre Eingaben * und Ihre Ausgaben *, also geben Sie sich nicht die Mühe, Fehler auszulösen, nur um ein Klugscheißer zu sein.
Aber sie hat Recht.
Sie sollten nicht einfach irgendwelche alten Daten nehmen, die ihnen gegeben werden, eine Befehlszeichenfolge daraus machen und davon ausgehen, dass alles in Ordnung ist.
Denn nicht jeder hält sich an die Regeln.
DOUG. Das ist von 2007, und es hält immer noch!
Wenn Sie eine interessante Geschichte, einen Kommentar oder eine Frage haben, die Sie einreichen möchten, würden wir sie gerne im Podcast lesen.
Sie können eine E-Mail senden tips@sophos.com; Sie können jeden unserer Artikel kommentieren; oder Sie können uns in den sozialen Netzwerken besuchen: @nakedsecurity.
Das ist unsere Show für heute.
Vielen Dank fürs Zuhören… für Paul Ducklin, ich bin Doug Aamoth, ich erinnere Sie bis zum nächsten Mal an…
BEIDE. … bleiben Sie sicher!
[MUSIKMODEM]
