지금 듣기
원하는 지점으로 건너뛰려면 아래의 음파를 클릭하고 끕니다. 당신은 또한 수 직접 들어 사운드클라우드에서.
Doug Aamoth와 Paul Ducklin과 함께.
인트로 및 아웃트로 음악 에디스 머지.
당신은 우리를들을 수 있습니다 사운드 클라우드, Apple Podcasts, Google 포드 캐스트, 스포티 파이, 스티 그리고 좋은 팟캐스트가 있는 곳이면 어디든지. 아니면 그냥 버리세요 RSS 피드의 URL 좋아하는 팟캐쳐에.
대본 읽기
더그. 더 많은 갈취 사기, 더 많은 암호화 도용 및 버그 수정에 대한 버그 수정.
Naked Security 팟캐스트에서 더 많은 정보를 얻을 수 있습니다.
[뮤지컬 모뎀]
팟캐스트에 오신 것을 환영합니다.
저는 Doug Aamoth이고 그는 Paul Ducklin입니다.
폴, 어때?
오리. 난 정말 대단해, 고마워, 더글러스.
더그. 우리는 약간의 기술 역사와 함께 쇼를 시작하고 싶습니다. 그리고 이번 주, 2007년에 XNUMX세대 iPhone이 미국에서 출시되었음을 상기시켜 드리고 싶습니다.
대부분의 고급형 전화기가 200년 무선 서비스 계약으로 500달러에 판매되던 때, iPhone은 XNUMX년 계약으로 XNUMX달러에서 시작했습니다.
또한 2.5G에 비해 3G 또는 EDGE로 당시 많은 전화기보다 느린 연결 속도를 자랑했습니다.
그럼에도 불구하고 애플은 출시 XNUMX개월 반 만에 XNUMX만 대의 아이폰을 판매했다.
미국에서만.
오리. 예, 2-dot-5 EDGE의 가시적인 세부 사항을 잊었습니다!
"진지할 수 없습니까?"라고 생각한 것이 기억납니다.
나는 그 당시 호주에 있었고 그들은 *비쌌습니다*.
아직 EDGE 장치에 매달려 있던 시대였던 것 같아요... 계속 JAM JAR이라고 부르지만 실제로는 JASJAR 또는 JASJAM 등으로 불렸습니다.
슬라이딩 키보드 Windows CE 장치 중 하나입니다.
나는 그것을 사랑한 세계에서 유일한 사람이었습니다 ... 나는 누군가가해야한다고 생각했습니다.
당신은 그것을 위한 당신 자신의 소프트웨어를 작성할 수 있습니다 – 당신은 단지 코드를 컴파일하고 거기에 넣습니다 – 그래서 나는 생각했던 것을 기억합니다.
그것은 결코 잡히지 않을 것입니다.
글쎄, 세상은 그 이후로 예전과 같지 않았어, 그건 확실해!
더그. 그것은하지 않았다!
좋아, 세상이 같지 않다는 말을 하면 사기가 더 많아졌어.
이것은... 왜 이 사기에 대해 FTC에서 읽지 않습니까?
FTC(미국 연방 거래 위원회)는 범죄자들이 일반적으로 다음과 같이 일한다고 말합니다.
“사기꾼이 LGBTQ+ 데이트 앱에서 잠재적인 연인으로 가장하고, 당신과 채팅하고, 노골적인 사진을 빠르게 보내고, 비슷한 사진을 요구합니다.
사진을 보내면 협박이 시작됩니다.
그들은 일반적으로 기프트 카드로 지불하지 않는 한 친구, 가족 또는 고용주와 대화 및 사진을 공유하겠다고 위협합니다.
다른 사기꾼들은 폐쇄되거나 아직 LGBTQ+로 완전히 드러나지 않은 사람들을 위협합니다. 그들은 노골적인 사진이나 대화를 노출하여 인생을 망칠 것이라고 주장하면서 돈을 지불하거나 외출하도록 압력을 가할 수 있습니다.
그들의 각도가 무엇이든, 그들은 한 가지를 당신의 돈으로 추구합니다.”
여기 좋은 사람들 맞죠?
오리. 예,. 이것은 정말 끔찍하지 않습니까?
그리고 이 이야기에서 특히 나를 사로잡은 것은 이것이다...
몇 년 전, 이런 종류의 큰 사건은 기억하시겠지만 "섹스 토션" 또는 "포르노 사기"로 알려지게 된 것이었습니다. 여기에서 사기꾼들은 "야, 우리는 네가 포르노를 보는 스크린샷을 가지고 있다. , 그리고 동시에 웹캠을 켭니다. 컴퓨터에 맬웨어를 이식했기 때문에 가능했습니다. 여기에 몇 가지 증거가 있습니다.” 그리고 그들은 귀하의 전화번호나 비밀번호 또는 집 주소를 알고 있습니다.
물론 비디오가 없기 때문에 비디오를 보여주지 않습니다.
“돈을 보내주십시오.”라고 그들은 말합니다.
그 경우에 우리는 사람들에게 가서 "거짓말 뭉치, 그냥 잊어버려"라고 말할 수 있었다는 점을 제외하고는 똑같은 이야기입니다.
불행히도 이것은 정반대입니다. 그렇지 않습니까?
그들은 사진을 * 가지고* 가지고 있습니다 ... 불행히도 당신은 그들에게 보냈습니다. 아마도 "글쎄, 나는이 사람을 믿을 수 있다고 생각합니다."
아니면 그들은 방금 속임수라는 선물을 받았고 전통적인 로맨스 사기꾼과 같은 방식으로 당신에게 그것에 대해 이야기합니다. 그들은 협박을 위해 노골적인 사진을 원하지 않고 당신이 그들을 사랑하기를 원합니다. 장기적으로, 몇 주, 몇 달, 몇 년 동안이라도 돈을 벌기 위해 우유를 짜낼 수 있습니다.
그러나 우리가 사람들에게 "당황하지 마십시오. 그들은 실제로 사진이 없기 때문에 협박할 수 없습니다"라고 말할 수 있는 일종의 성 관련 강탈 사기가 있다는 것은 까다로운 일입니다.
… 그리고 불행히도 사진이 있기 때문에 정반대인 또 다른 예입니다.
그러나 여전히 하지 말아야 할 한 가지는 돈을 지불해야 합니다. 왜냐하면 그들이 그 사진을 삭제할지 여부를 어떻게 알 수 있기 때문입니다.
더 나쁜 것은, 그들이 실제로 - "신뢰할 수 있는 사기꾼"이라는 단어를 사용한다는 것이 믿기지 않습니다.
그들의 의도가 사진을 삭제하는 것이더라도 데이터 유출이 없었는지 어떻게 알 수 있습니까?
그들은 이미 데이터를 잃을 수 있습니다.
도둑과 도둑이 서로 욕을 먹는 일이 흔한 일이기 때문입니다.
우리는 Conti 랜섬웨어 갱과 함께... 계열사가 그룹의 핵심에 있는 사람들과 떨어져 있었기 때문에 많은 양의 정보를 유출하는 것을 보았습니다.
그리고 많은 사이버 범죄자들은 자체적으로 운영 보안이 취약합니다.
과거에는 사기꾼들이 결국 모든 비밀을 유지해야 하는 시스템이 열려 있었기 때문에 결국 파산하거나 맬웨어의 비밀을 누설한 사례가 많이 있었습니다.
더그. 예.
물론 사람들의 삶에서 매우 개인적이고 불확실한 시기에 한 번도 만난 적이 없는 사람을 마침내 믿었을 때…
이것이 우리의 팁 중 하나입니다. 협박 돈을 지불하지 마십시오.
또 다른 팁 : 역 이미지 검색을 위해 좋아하는 검색 엔진을 사용하는 것을 고려하십시오.
오리. 예, 많은 사람들이 모든 종류의 사기에 대해 권장합니다.
사기꾼이 당신이 좋아할 것이라고 미리 판단한 사람의 온라인 데이트 프로필을 선택하여 당신의 신뢰를 얻는 것은 매우 일반적입니다.
그들은 실제로 당신과 잘 어울리는 사람을 찾아 그 사람의 프로필을 도용하고 그 사람인 척하면서 몰래 들어옵니다.
낭만적 인 음모에 관해서는 어떤 것이 그들을 아주 좋은 출발로 이끌지 않습니까?
그래서, 만약 당신이 역 이미지 검색을 하고 다른 사람의 프로필이 나온다면: 빙고! 당신은 그들을 체포했습니다!
나쁜 소식은 그것을 사용하여 사람들에 대해 아무것도 증명할 수 없다는 것입니다...
... 즉, 역 검색을 하고 아무 것도 나오지 않는다면, 그것은 당신이 말하고 있는 사람이 정말로 그 사진의 원래 소유자라는 것을 의미하지 않습니다.
그러나 우리는 Naked Security에서 “이것 중 하나를 얻었습니다. 나는 역 이미지 검색을 했다; 그것은 즉시 세탁에서 나왔다. 역 검색은 저에게 정말 효과적이었습니다.”
가장 첫 번째 장애물에서 요리사를 넘어뜨릴 수 있습니다.
더그. 예, 우리가 한 첫 번째 팟캐스트 에피소드 중 하나에서 이것을 공유한 것 같습니다...
우리는 스키 하우스를 빌리려고 했고, 빌리려고 했던 곳이 가격에 비해 너무 좋아 보였다.
그리고 제 아내는 그것에 대해 물어보기 위해 그 사람에게 전화를 걸었고, 분명히 지구 반대편에서 한밤중에 누군가를 깨웠습니다.
그녀가 그렇게 하는 동안 나는 그 이미지를 역 이미지 검색에 떨어뜨렸고, 그곳은 덴버에 있는 리츠칼튼 호텔이나 그와 비슷한 곳이었다.
우리가 임대하려고 했던 곳과도 가깝지 않았습니다.
따라서 이것은 단순한 로맨스 사기 이상의 효과가 있습니다. 비린내 같은 냄새가 나거나 관련된 이미지가 있는 모든 경우에 사용할 수 있습니다.
오리. 예.
더그. 확인. 그리고 다음과 같은 팁이 있습니다. 공유하기 전에 주의하십시오.
오리. 예, 그것은 우리의 작은 징글 중 하나입니다.
기억하기 쉽습니다.
그리고 사실, 이러한 성적 갈취 사기에만 해당되는 것은 아니지만, 당신이 말했듯이 그러한 경우에는 특히 문제가 되고 사악하게 들립니다.
확실하지 않은 사람이 있는 모든 경우에 이것은 절대적으로 사실입니다. 나중에 다시 얻을 수 없기 때문에 정보를 제공하지 마십시오.
데이터를 넘겨준 후에는 단순히 데이터를 신뢰할 필요가 없습니다. 그들의 컴퓨터, 사이버 보안에 대한 그들의 태도 및 모든 것을 신뢰해야 합니다.
더그. 이는 다음 팁과 잘 어울립니다. 의심스러우면 내놓지 마십시오.
오리. 예, 일부 사람들이 "오, 글쎄, 그건 당신이 피해자를 비난하는 것 같군요."라고 말하는 것을 압니다.
그러나 데이터를 나눠주고 나면 다시 *요청*할 수 있지만 실제로는 그 이상을 할 수 없습니다.
물건을 공유하는 것은 사소하지만 나중에 다시 전화하는 것은 불가능합니다.
더그. 좋습니다. 그러면 귀하가 살고 있는 국가를 기반으로 이러한 사기를 보고하는 방법에 대한 기사에 몇 가지 리소스가 있습니다. 이는 매우 편리합니다.
오리. 예, 미국, 영국, 유럽 연합, 캐나다, 호주 및 뉴질랜드에 대한 온라인 사기 신고 URL을 입력했습니다.
미국은 https://reportfraud.ftc.gov.
그리고 FTC는 물론 본질적으로 미국의 소비자 권리 기구입니다.
나는 그 사이트에 매우 즐겁게 놀랐습니다. 탐색하기가 매우 쉽다는 것을 알았습니다.
원하는 만큼 정보를 입력할 수 있습니다.
분명히, 나중에 사건을 계속 처리하고 싶다면 그들이 다시 연락할 수 있는 정보를 공유해야 합니다. 다시 말해 완전히 익명을 유지하는 것은 어려울 것입니다.
하지만 "이봐, 난 이 사기를 당했어, 난 백만 명 중 한 명임에 틀림없어"라고 말하고 싶다면…
…아무도 아무 말도 하지 않는다면 본질적으로 통계적으로 아무 일도 일어나지 않았습니다.
신고할 수 있고 "이 URL을 얻었습니다. 전화번호를 얻었습니다. 정보를 얻었습니다."라고 말하면 원하는 만큼 제공할 수 있습니다.
그리고 때때로 이 정보를 보고해도 별 차이가 없을 것 같은 느낌이 들지만 – 분명히 이메일 주소와 연락처 정보를 제공하지 않으면 유용했는지 여부에 대한 답장을 받지 못하기 때문입니다. 믿음으로 받아들여야만 합니다.
그리고 제 의견은 다음과 같습니다. 나는 그것이 어떻게 해를 끼칠 수 있는지, 그리고 약간의 유익을 줄 수 있는지 모릅니다.
당국이 여러 개의 확증 보고서 없이는 특히 추악한 범죄에 대해 실제로 조치를 취하는 데 필요한 법적 기준에 도달하는 것이 매우 어렵다는 것을 알게 된 누군가에 대한 소송을 제기하는 데 도움이 될 수 있습니다.
더그. 좋습니다. FTC는 LGBTQ+와 강탈 사기에 대해 경고합니다: 공유하기 전에 주의하십시오"nakedsecurity.sophos.com에서.
그리고 인식에 대해 말하자면, 우리가 일종의 암호 도용을 인식하지 못하는 일주일이 언제쯤 될까요?
또 다른 100억 달러가 허공으로 사라졌습니다, Paul!
오리. 그것이 수사학적인 질문인 줄은 몰랐습니다.
나는 “이번 주는 안 돼, Doug”라고 말하려고 했다.
사실 이더에 대한 미국 달러의 현재 환율을 보면 이것이 쓸 가치가 있는지 궁금합니다. 더그?
100억 달러는 아니었습니다... "잘 모르겠습니다. 80천만 달러, 90천만 달러 - 침대에서 일어나서 글을 쓸 가치가 거의 없습니다"라고 그는 말했습니다.
아주 냉소적으로.
예, 이것은 또 다른 분산 금융 또는 De-Fi, 회사 재앙이었습니다.
당신은 그들의 웹사이트로 이동하는 것을 알지 못할 것입니다.
이 회사는 Harmony라고 합니다. 그들은 본질적으로 블록체인 스마트 계약 회사입니다... 웹사이트로 이동하면 여전히 그들이 얼마나 대단한지 가득 차 있습니다.
홈페이지에서 공식 블로그에 가면 "자금 분실 조사 보고서"라는 이야기가 있습니다.
그러나 그것은 *이** 손실된 자금이 아닙니다. 그것은 *그* 손실된 자금입니다.
그건 5월에 있었던 일입니다... 제 생각에는 누군가 XNUMX만 달러, 어쩌면 더 적은 금액의 해킹과 같은 "유일한" 것이었습니다.
그리고 그것이 그들의 블로그에 있는 마지막 이야기입니다.
그들은 트위터에 그것에 대한 정보를 가지고 있으며 공정하게 말하면 Medium.com 어딘가에 블로그 기사를 게시하여 그들이 아는 것이 거의 없는 것 같습니다.
중앙에 잠겨 있는 많은 자금, 바퀴가 작동하도록 하는 데 필요한 자금, 그리고 이러한 항목을 안팎으로 옮기는 데 필요한 자금이 있었던 것 같습니다. "다중 서명" 또는 "다중 서명" " 접근하다.
하나의 개인 키는 이러한 특정 자금의 이체를 승인하기에 충분하지 않습니다.
승인된 사람은 XNUMX명이었고 그 중 XNUMX명이 함께 들어가야 했으며 각 개인 키는 일종의 반으로 분할 저장되어 있었던 것 같습니다.
그 사람은 그것을 잠금 해제하기 위한 암호가 있었고 키 서버에서 일부 키 자료를 가져와야 했으며 분명히 각 개인 키는 다른 키 서버에 있었습니다.
그래서, 우리는 그것이 어떻게 일어 났는지 모릅니다 ... 누군가가 공모 했습니까? 아니면 누군가가 그들이 정말 영리하다고 생각하고 "이봐, 나는 당신과 내 키를 공유할 것이고 당신은 만일을 대비해 여분의 백업으로 당신의 키를 나와 공유할 것입니다."라고 말했습니다.
어쨌든 도둑들은 가까스로 하나가 아닌 두 개의 개인 키를 얻었고, 그래서 그들은 둘 이상의 사람인 척 할 수 있었고, 그들은 이 많은 양의 자금을 잠금 해제하고 자신에게 이체할 수 있었습니다.
그리고 그것은 약 80천만 달러가 넘는 미화 가치의 이더를 추가했습니다.
그리고 Harmony는 지난 XNUMX월에 이전에 찢겼을 때 그랬던 것처럼…
“사랑하는 White Hat 씨, Lovely Crook에게, 자금을 돌려주시면 버그 현상금으로 쓰겠습니다. 우리는 역사를 다시 쓰고 당신이 기소되지 않도록 노력할 것입니다. 그리고 우리는 그것이 모두 연구의 이름이라고 말할 것이지만 우리의 돈을 돌려주십시오.”
그리고 당신은 "오, 골리앗, 절박한 기분이야"라고 생각하지만 그것이 그들이 시도해야 할 전부라고 생각합니다.
더그. 그리고 나는 그들이 훔친 것의 1%를 제공하는 것을 좋아합니다.
그리고 나서 케이크의 장식은 자금이 반환될 때 "범죄 혐의 없음을 옹호"할 것이라는 것입니다. 이는 보장하기 어려운 것 같습니다.
오리. 예, 그게 그들이 말할 수 있는 전부라고 생각합니다. 맞죠?
글쎄요, 확실히 영국에서는 사적 기소라고 불리는 것을 가질 수 있습니다. 국가에서 가져갈 필요가 없습니다.
따라서 개인으로서 형사 기소를 할 수 있습니다. 또는 자선 단체로, 또는 국가가 기소하기를 원하지 않는 경우 공공 기관으로.
하지만 그 반대는 이해가 되지 않습니다. 범죄의 피해자가 되어 이렇게 말합니다. “오, 저 사람 알아요. 그는 술에 취해 정신이 없었다. 그는 내 차와 충돌했지만 그는 수리했습니다. 그를 기소하지 마십시오.”
국가는 아마도 "그거 알아? 그것은 사실 당신에게 달려 있지 않습니다.”
어쨌든 효과가 없었던 것 같습니다.
그것이 누구이든 간에 그들은 원래 물건을 수집했던 계좌에서 이미 17,000 이더(미화 20만 달러에 약간 못 미치는 금액)와 같은 것을 이체했습니다.
그래서, 이것은 마치 이 모든 것이 구렁텅이로 내려가는 것처럼 보입니다. [웃음]
내가 왜 웃는지 모르겠어, 더그.
더그. 계속 이런 일이!
이 계정을 잠그는 더 나은 방법이 있어야 합니다.
그래서 그들은 공동 서명을 해야 하는 두 당사자에서 네 당사자로 바뀌었습니다.
이제 이 문제가 해결됩니까, 아니면 계속 발생합니까?
오리. “야, 둘이서 부족했어. XNUMX시에 가겠습니다.”
글쎄요, 잘 모르겠습니다... 그렇게 하면 더 좋아질까요, 같을까요, 나빠질까요?
요점은 도둑이 어떻게 그리고 왜 도둑이 두 개의 열쇠를 얻을 수 있었는지에 달려 있다는 것입니다.
그들은 단지 XNUMX명을 목표로 삼았고 그 중 XNUMX명으로 운이 좋았고 XNUMX명으로 실패했습니다. 이 경우 XNUMX명 중 XNUMX명이 아닌 XNUMX명 중 XNUMX명으로 만드는 것이 기준을 높일 것이라고 주장할 수 있습니다. 조금 더.
그러나 시스템 자체, 즉 그들이 실제로 키를 오케스트레이션한 방식이 사기꾼이 키 중 두 개를 얻은 이유라면... 키의 수에 관계없이 단일 실패 지점이 있다면 어떨까요?
그리고 그것은 우리가 모르는 것이므로 XNUMX에서 XNUMX로 이동하십시오. 반드시 문제를 해결하는 것은 아닙니다.
누군가가 당신의 전화를 훔쳐 당신의 잠금 코드를 추측하고 당신이 XNUMX자리 숫자를 알고 있는 것과 똑같은 방식으로, 당신은 “알아, 나는 XNUMX자리 잠금 코드로 갈거야. 훨씬 더 안전할 것입니다!”
하지만 도둑들이 당신의 자물쇠 코드를 알아낸 이유가 당신이 집에 잠겨 있을 때를 대비해 그것을 종이에 적어서 우편함에 넣어 두는 습관이 있기 때문이라면… 20자리, 5000자리, XNUMX자리 잠금 코드입니다.
더그. 알겠습니다. 계속 지켜보겠습니다.
그리고 이것이 이 이야기의 마지막이 아닐 것이라고 말하는 것이 있습니다.
이것은 ... 불리운다: Harmony Blockchain, 해킹된 개인 키 때문에 거의 100억 달러 손실, nakedsecurity.sophos.com에서.
이제 OpenSSL의 버그 수정에 대한 버그 수정이 있습니다.
오리. 예, 우리는 팟캐스트에서 OpenSSL에 대해 여러 번 이야기했습니다. 주로 가장 인기 있는 타사 암호화 라이브러리 중 하나이기 때문입니다.
그래서 많은 소프트웨어가 그것을 사용합니다.
그리고 문제는 버그가 있을 때 업데이트해야 하는 운영 체제(특히 많은 Linux가 함께 제공됨)가 있다는 것입니다.
그리고 전 세계의 Windows 및 macOS 시스템과 같이 별도의 암호화 라이브러리가 있는 플랫폼에서도 응용 프로그램 폴더에 컴파일되거나 포함된 자체 OpenSSL 복사본을 가져오는 앱이 있을 수 있습니다.
당신도 가서 업데이트해야합니다.
다행스럽게도 이것은 매우 위험한 버그는 아니지만 소프트웨어 개발자에게 때때로 트로피 코드를 둘러싼 세부 사항에 악마가 있다는 것을 상기시키는 일종의 성가신 종류의 버그입니다.
이 버그는 이전 버그 수정에서 수정된 버그의 또 다른 버전입니다. 실제로 일부 운영 체제에서 사용하는 OpenSSL과 함께 제공되는 스크립트에 있으며 시스템 "인증 기관" 인증서의 색인, 검색 가능한 특별 해시를 생성합니다. .
그래서 그것은 당신이 실행하는 특별한 스크립트입니다. c_rehash, "인증서 재해시"의 줄임말입니다.
그리고 인증서를 발급한 사람의 이름이 있는 인증서 목록이 있는 디렉토리를 가져와서 해시 기반 목록으로 변환하므로 검색 및 인덱싱에 매우 편리합니다.
따라서 일부 운영 체제에서는 편의상 이 스크립트를 정기적으로 실행합니다.
그리고 만약 당신이 마법의 특수 문자가 포함된 이상한 이름의 인증서를 만들 수 있다면 Follina의 또는 "달러 기호 구불구불한 괄호" Log4Shell... 기본적으로 디스크에서 파일 이름을 가져오고 명령 셸 명령줄 인수로 맹목적으로 사용합니다.
Unix 셸 명령 또는 Windows 셸 명령을 작성한 사람. 일부 문자에는 "달러 기호 둥근 괄호", 파일을 덮어쓰는 "보다 큼" 기호, 출력을 다른 명령으로 보내고 실행하라는 "파이프" 문자와 같은 특별한 초능력이 있다는 것을 알고 있습니다.
따라서 실제로 암호화 라이브러리의 일부가 아닌 보조 스크립트의 세부 사항에 대한 주의가 부족했습니다.
기본적으로 이것은 많은 사람들이 한 번도 고려하지 않은 스크립트일 뿐이지만 OpenSSL에 의해 전달되었습니다. 많은 운영 체제에서 패키지로 제공됩니다. 실행 가능하게 된 시스템 위치에 팝; 시스템에서 "유용한 암호화 하우스키핑"이라고 부를 수 있는 용도로 사용됩니다.
따라서 원하는 버전은 3.0.4및 1.1.1p (P-for-Papa).
그러나 우리가 이것을 기록하는 동안 완전히 다른 버그인 OpenSSL 3.0.5의 필요성에 대해 큰 소란이 일어나고 있습니다. 일부 특수 가속 RSA 암호화 계산에서 버퍼 오버플로가 발생하므로 수정이 필요할 것입니다. .
따라서 OpenSSL 3을 사용하고 있다면 이 소식을 들을 때쯤이면 또 다른 업데이트가 있을 수 있습니다!
Doug의 좋은 점은 이러한 사항이 감지되면 OpenSSL 팀이 문제를 파악하고 패치를 매우 빠르게 푸시한다는 것입니다.
더그. 큰.
우리는 그것을 주시하고 3.0.5를 주시할 것입니다.
오리. 네!
분명히 하자면, 3.0.5에서는 일치하는 1.1.1q(Q-forQuebec)가 없을 것입니다. 이 버그는 OpenSSL 3에 도입된 새로운 코드이기 때문입니다.
그리고 궁금한 점이 있다면... iPhone에 iPhone 2가 없었던 것처럼 OpenSSL 2도 없었습니다.
더그. 좋습니다. 다음으로 시작하는 몇 가지 조언이 있습니다. 가능한 한 빨리 OpenSSL을 업데이트하십시오.분명히.
오리. 예.
이것이 암호화 라이브러리가 아니라 스크립트에 있더라도 업데이트할 수도 있습니다. 운영 체제에 OpenSSL 패키지가 있는 경우 이 버그가 있는 스크립트가 거의 확실히 포함될 것이기 때문입니다.
그리고 그것은 아마도 당신의 마음에 가장 큰 관심을 가진 누군가가 정말로 원할 경우 원격으로 접근할 수 있는 곳에 설치될 것입니다.
더그. 좋아, 그것으로: 은퇴를 고려하다 c_rehash 당신이 그것을 사용하는 경우 유틸리티.
오리. 예, c_rehash는 실제로 다른 프로그램을 안전하지 않게 실행하는 레거시 펄 스크립트입니다.
이제 실제로 OpenSSL 앱 자체의 내장 부분을 사용할 수 있습니다. openssl rehash.
그것에 대해 더 알고 싶다면 다음을 입력하십시오. openssl rehash -help.
더그. 괜찮아.
그리고 나서 우리는 몇 번이고 반복해서 말했습니다. 입력 및 출력을 소독하십시오.
오리. 전혀.
다른 사람에게서 받은 입력이 받은 그대로 사용하는 것이 안전하다고 가정하지 마십시오.
그리고 다른 곳에서 받았거나 다른 곳에서 읽은 데이터를 처리하고 다른 사람에게 넘겨줄 때 좋은 일을 하고 전달하지 않는지 확인하십시오. 엉터리 정보를 먼저.
분명히, 당신은 그들이 입력을 확인하기를 바랄 것이지만, 출력도 확인한다면 그것은 단지 두 배의 확신을 갖게 합니다!
더그. 확인. 그리고 마지막으로: 특정 유형의 버그에 대한 코드를 검토할 때 여러 오류에 주의하십시오.
오리. 네, 사람들에게 상기시킬 가치가 있다고 생각했습니다.
Perl이 "이 인수를 사용하여 이 외부 명령을 실행하고 출력을 가져오고 새 명령의 일부로 출력을 사용하십시오"라는 명령 대체를 수행한 버그가 하나 있기 때문입니다.
그 명령에 인수를 보낼 때 문제가 발생하여 패치되었습니다. 입력을 올바르게 확인하는 특수 기능이 작성되었습니다.
그러나 아무도 정말로 신중하게 검토하고 "이 유틸리티를 작성한 사람이 원래 다른 곳에서 유사한 프로그래밍 방식의 트릭을 사용 했습니까?"라고 말한 것 같습니다.
다시 말해, 같은 코드의 다른 곳에서 시스템 함수를 쉘 아웃할 수 있습니다. 더 자세히 살펴보면 찾을 수 있을 것입니다.
외부 프로그램을 이용하여 해시 계산을 하는 곳이 있고, 외부 함수를 이용하여 파일 복사를 하는 곳이 있습니다.
하나는 확인하고 수정했지만 다른 하나는 찾지 못했습니다.
더그. 좋아, 좋은 조언!
그 기사의 이름은 다음과 같습니다. OpenSSL은 이전 bugfix에 대한 bugfix를 발행합니다., nakedsecurity.sophos.com에서.
그리고 오늘의 쇼에서 해가 서서히 저물기 시작하면서 방금 논의한 OpenSSL 기사에 대한 독자의 이야기를 들어 보겠습니다.
Reader Larry는 XKCD 웹 만화로 연결됩니다. 엄마의 착취… 가서 찾으시기 바랍니다.
나는 웹 만화를 말로 설명하려고 하는 것이 팟캐스트를 위한 훌륭한 사료가 아니라는 것을 깨달았습니다. https://xkcd.com/327 그리고 직접 보세요.
오리. Doug, 많은 청취자가 "솔직히 누군가가 이 댓글을 달기를 바랍니다"라고 생각할 것이기 때문에 Doug만 하면 됩니다. 저는 그랬습니다!
에 대한 것입니다. 리틀 바비 테이블!
더그. 괜찮아…
오리. 그것은 그 자체로 일종의 인터넷 밈이 되었습니다.
더그. 장면이 열립니다.
한 엄마가 아들의 학교에서 전화를 받았습니다. “안녕하세요, 여기는 아들 학교입니다. 컴퓨터에 문제가 있습니다.”
그리고 그녀는 "오, 얘가 뭔가를 부숴버렸나요?"라고 말합니다.
그리고 그들은 "어떤 면에서는. 당신은 정말로 당신의 아들의 이름을 지었나요? Robert'); DROP TABLE Students;--? "
"바로 이거 야. 리틀 바비 테이블, 우리는 그를 부른다.”
그리고 그들은 "글쎄, 우리는 올해의 학생 기록을 잃어 버렸습니다. 당신이 행복하기를 바랍니다.”
그리고 그녀는 "당신이 데이터베이스 입력을 삭제하는 법을 배웠기를 바랍니다."라고 말했습니다.
아주 좋아.
오리. 약간 장난꾸러기 엄마... 기억하세요, 우리는 입력 *및 출력*을 살균하라는 말을 하고 있으므로, 단지 똑똑한 바지가 되기 위해 버그를 유발하기 위해 노력하지 마십시오.
하지만 그녀의 말이 맞아.
그들은 주어진 오래된 데이터를 가져 와서 명령 문자열을 구성하고 모든 것이 잘 될 것이라고 가정해서는 안됩니다.
모든 사람이 규칙에 따라 행동하는 것은 아니기 때문입니다.
더그. 그것은 2007년의 일이고 아직도 유효합니다!
제출하고 싶은 흥미로운 이야기, 의견 또는 질문이 있으면 팟캐스트에서 읽고 싶습니다.
당신은 이메일을 보낼 수 있습니다 tips@sophos.com; 우리 기사 중 하나에 댓글을 달 수 있습니다. 또는 소셜에서 우리를 공격할 수 있습니다. @nakedsecurity.
그것이 오늘 우리의 쇼입니다.
들어주셔서 대단히 감사합니다... Paul Ducklin에게 저는 Doug Aamoth라고 합니다. 다음 시간까지...
양자 모두. … 보안을 유지하십시오!
[뮤지컬 모뎀]
