LUISTER NU
Klik en sleep op de onderstaande geluidsgolven om naar een willekeurig punt te gaan. Je kan ook luister direct op Soundcloud.
Met Doug Aamoth en Paul Ducklin.
Intro en outro muziek door Edith Mudge.
Je kunt naar ons luisteren op Soundcloud, Apple Podcasts, Google Podcasts, Spotify, stikster en overal waar goede podcasts te vinden zijn. Of laat de URL van onze RSS-feed in je favoriete podcatcher.
LEES DE TRANSCRIPT
DOUG. Meer afpersingszwendel, meer crypto-diefstal en een bugfix voor een bugfix.
Dat alles meer op de Naked Security-podcast.
[MUZIEK MODEM]
Welkom bij de podcast, allemaal.
Ik ben Doug Aamoth, en hij is Paul Ducklin.
Paulus, hoe gaat het met je?
EEND. Ik ben super-duper, dank je, Douglas.
DOUG. We beginnen de show graag met een beetje technische geschiedenis, en ik wil je eraan herinneren dat deze week, in 2007, de eerste generatie iPhone werd uitgebracht in de Verenigde Staten.
In een tijd dat de meeste high-end telefoons voor $ 200 werden verkocht met een tweejarig draadloos servicecontract, begon de iPhone bij $ 500 met een tweejarig contract.
Het had ook een lagere verbindingssnelheid dan veel telefoons in die tijd, met 2.5G of EDGE, versus 3G.
Toch had Apple twee en een halve maand na de release een miljoen iPhones verkocht.
Alleen in de VS.
EEND. Ja, ik was dat netelige detail van de 2-dot-5 EDGE vergeten!
Ik herinner me alleen dat ik dacht: "Je kunt niet serieus zijn?"
Ik was toen in Australië en ze waren *duur*.
Ik denk dat dat nog steeds het tijdperk was waarin ik gewoon aan mijn EDGE-apparaat hing ... Ik noem het steeds een JAM JAR, maar het heette eigenlijk een JASJAR of een JASJAM, of zoiets.
Een van die Windows CE-apparaten met glijdend toetsenbord.
Ik was de enige persoon in de wereld die ervan hield... Ik dacht, nou ja, iemand moet het doen.
Je zou er je eigen software voor kunnen schrijven - je hebt gewoon de code gecompileerd en erop gezet - dus ik herinner me dat ik dacht, dit App Store-ding, slechts 2.5GG, superduur?
Het zal nooit aanslaan.
Nou, de wereld is sindsdien nooit meer hetzelfde geweest, dat is zeker!
DOUG. Het is niet!
Oké, nu we het erover hebben dat de wereld niet hetzelfde is, we hebben meer oplichting.
Deze ... waarom lees ik niet gewoon van de FTC over deze zwendel?
De FTC (de Federal Trade Commission in de Verenigde Staten) zegt dat de criminelen meestal ongeveer als volgt te werk gaan:
“Een oplichter doet zich voor als potentiële romantische partner op een LGBTQ+ dating-app, chat met je, stuurt snel expliciete foto’s en vraagt in ruil daarvoor om soortgelijke foto’s.
Als u foto's verzendt, begint de chantage.
Ze dreigen je gesprek en foto's met je vrienden, familie of werkgever te delen, tenzij je betaalt, meestal met een cadeaubon.
Andere oplichters bedreigen mensen die in de kast zitten of nog niet helemaal uit de kast zijn als LGBTQ+. Ze kunnen je onder druk zetten om te betalen of buitengesloten te worden, en beweren dat ze je leven zullen verpesten door expliciete foto's of gesprekken te onthullen.
Wat hun invalshoek ook is, ze willen maar één ding: jouw geld.'
Aardige mensen hier, toch?
EEND. Ja,. dit is echt verschrikkelijk, niet?
En wat me vooral opviel aan dit verhaal is dit...
Een paar jaar geleden was het grote ding van dit soort, zoals je je herinnert, wat bekend werd als "sextortion" of "porno-zwendel", waarbij de boeven zouden zeggen: "Hé, we hebben wat screenshots van jou die porno aan het kijken is , en we hebben tegelijkertijd uw webcam ingeschakeld. we hebben dit kunnen doen omdat we malware op uw computer hebben geïmplanteerd. Hier is wat bewijs”, en ze hebben je telefoonnummer of je wachtwoord of je thuisadres.
Ze laten je de video natuurlijk nooit zien, omdat ze die niet hebben.
"Stuur ons het geld", zeggen ze.
Precies hetzelfde verhaal, behalve dat we in dat geval naar mensen toe konden gaan en zeggen: "Allemaal een pak leugens, vergeet het maar."
Helaas is dit precies het tegenovergestelde, nietwaar?
Ze *hebben* de foto... helaas heb je hem naar hen gestuurd, misschien denkend: "Nou, ik weet zeker dat ik deze persoon kan vertrouwen."
Of misschien hebben ze gewoon de gave van het gebabbel en praten ze je erin, op dezelfde manier als traditionele oplichters op het gebied van romantiek ... ze willen geen expliciete foto's voor chantage, ze willen dat je verliefd op hen wordt voor de lange termijn, zodat ze je weken, maanden, jaren zelfs voor geld kunnen melken.
Maar het is lastig dat we een soort seksueel gerelateerde afpersingszwendel hebben waarbij we mensen kunnen vertellen: "Geen paniek, ze kunnen niet chanteren omdat ze de foto eigenlijk niet hebben"...
…en nog een voorbeeld waar het helaas precies andersom is, omdat ze de foto wel hebben.
Maar het enige wat je nog steeds niet moet doen, is het geld betalen, want hoe weet je ooit of ze die foto gaan verwijderen.
Erger nog, hoe weet je dat, zelfs als ze werkelijk – ik kan niet geloven dat ik deze woorden ga gebruiken – “betrouwbare oplichters” zijn?
Zelfs als het hun bedoeling is om de foto te verwijderen, hoe weet je dan dat ze geen datalek hebben gehad?
Ze kunnen de gegevens al kwijt zijn.
Omdat oneer onder dieven en boeven met elkaar uit de hand loopt, is normaal genoeg.
We zagen dat met de Conti ransomware-bende... filialen die een heleboel dingen lekten omdat ze ruzie hadden gehad met de mensen in de kern van de groep, blijkbaar.
En veel cybercriminelen hebben zelf een slechte operationele beveiliging.
Er zijn in het verleden een aantal gevallen geweest waarin oplichters ofwel betrapt werden of de geheimen van hun malware prijsgaven omdat hun systemen, waar ze zogenaamd alle geheimen bewaarden, toch wijd open stonden.
DOUG. Ja.
Op een zeer persoonlijke en onzekere tijd in het leven van mensen, natuurlijk, wanneer ze eindelijk iemand vertrouwen die ze nog nooit hebben ontmoet... en dan gebeurt dit.
Dus dat is een van onze tips: Betaal het chantagegeld niet.
Nog een tip: Overweeg om uw favoriete zoekmachine te gebruiken voor het zoeken naar omgekeerde afbeeldingen.
EEND. Ja, veel mensen raden dat aan voor allerlei soorten oplichting.
Het is heel gewoon dat de boeven je vertrouwen winnen door een online datingprofiel te kiezen van iemand waarvan ze vooraf hebben aangenomen dat je ze leuk zult vinden.
Ze gaan op zoek naar iemand die echt een goede match voor je zou kunnen zijn, ze plunderen het profiel van die persoon en ze komen binnenstormen en doen alsof ze die persoon zijn.
Dat geeft hen een zeer goede start als het gaat om romantische machinaties, nietwaar?
En dus, als je een omgekeerde afbeelding zoekt en het profiel van iemand anders verschijnt: bingo! Je hebt ze betrapt!
Het slechte nieuws is dat je dat niet kunt gebruiken om iets over de mensen te bewijzen...
... met andere woorden, als u omgekeerd zoekt en er wordt niets gevonden, betekent dit niet dat de persoon met wie u spreekt echt de oorspronkelijke eigenaar van die foto is.
We hebben echter mensen op Naked Security gehad die zeiden: "Ik heb een van deze; Ik heb een omgekeerde afbeeldingszoekopdracht gedaan; het kwam er meteen uit in de was. Omgekeerd zoeken werkte voor mij heel goed.”
Je zou de kok kunnen laten struikelen bij de allereerste hindernis.
DOUG. Ja, ik denk dat ik dit heb gedeeld in een van de eerste podcastafleveringen die we deden...
We probeerden een ski-huis te huren, en de plaats die we probeerden te huren leek een beetje te mooi om waar te zijn voor de prijs.
En mijn vrouw belde de persoon om ernaar te vragen, en maakte duidelijk iemand midden in de nacht wakker aan de andere kant van de wereld.
Terwijl ze dat deed, liet ik de afbeelding vallen in een omgekeerde afbeeldingszoekopdracht, en het was een Ritz Carlton Hotel in Denver of iets dergelijks.
Het was niet eens in de buurt van waar we probeerden te huren.
Dit werkt dus verder dan alleen romantiekzwendel - het werkt voor alles dat gewoon een beetje visachtig ruikt en waaraan afbeeldingen zijn gekoppeld.
EEND. Ja.
DOUG. OKÉ. En dan hebben we nog de tip: Wees bewust voordat je deelt.
EEND. Ja, dat is een van onze kleine jingles.
Het is gemakkelijk te onthouden.
En in feite is het niet alleen waar voor deze seksuele afpersingszwendel, hoewel, zoals je zegt, het in dergelijke gevallen vooral verontrustend en slecht klinkend is.
Het is absoluut waar in alle gevallen waarin er iemand is waar je niet zeker van bent - geef geen informatie, omdat je het later niet terug kunt krijgen.
Als je de gegevens eenmaal hebt overhandigd, hoef je ze niet alleen te vertrouwen... je moet hun computer vertrouwen, hun eigen houding ten opzichte van cyberbeveiliging en alles.
DOUG. Dat sluit mooi aan bij onze volgende tip, namelijk: Geef het bij twijfel niet uit.
EEND. Ja, ik weet dat sommige mensen zeggen: "O, dat klinkt alsof je het slachtoffer de schuld geeft."
Maar als je je gegevens eenmaal hebt uitgedeeld, kun je ze *terugvragen*, maar veel meer dan dat kun je eigenlijk niet doen.
Het is triviaal om dingen te delen, maar het is zo goed als onmogelijk om het daarna terug te bellen.
DOUG. OK, dan hebben we enkele bronnen in het artikel over hoe je dergelijke oplichting kunt melden op basis van het land waarin je woont, wat best handig is.
EEND. Ja, we hebben URL's voor het melden van online fraude ingevoerd voor: de VS, het Verenigd Koninkrijk, de Europese Unie, Canada, Australië en Nieuw-Zeeland.
De Amerikaanse is https://reportfraud.ftc.gov.
En de FTC is natuurlijk in wezen de instantie voor consumentenrechten in de Verenigde Staten.
Ik was zeer aangenaam verrast met die site - ik vond het heel gemakkelijk om te navigeren.
U kunt zo veel of zo weinig informatie invoeren als u wilt.
Het is duidelijk dat als je een zaak later wilt bijhouden, je informatie moet delen waarmee ze contact met je kunnen opnemen - met andere woorden, het zou moeilijk zijn om volledig anoniem te blijven.
Maar als je gewoon wilt zeggen: "Kijk, ik heb deze zwendel, ik moet een van een miljoen mensen zijn" ...
... als niemand iets zegt, dan is er in wezen, statistisch gezien, niets gebeurd.
Je kunt dingen melden en gewoon zeggen: "Ik heb deze URL, ik heb dit telefoonnummer, ik heb deze informatie", wat het ook is, en je kunt zo veel of zo weinig geven als je wilt.
En hoewel het soms voelt alsof het melden van dit soort dingen waarschijnlijk geen verschil maakt - want als je je e-mailadres en je contactgegevens niet geeft, krijg je natuurlijk geen antwoord om te zeggen of het nuttig was of niet - je moet het gewoon op geloof aannemen.
En mijn mening is: ik zie niet in hoe het enig kwaad kan, en het kan een klein beetje goed doen.
Het kan de autoriteiten helpen om een zaak op te bouwen tegen iemand waar ze het zonder verschillende bevestigende rapporten erg moeilijk zouden hebben gevonden om de wettelijke norm te halen die ze nodig hadden om daadwerkelijk iets te doen aan een bijzonder vervelende misdaad.
DOUG. Oké, dat is: FTC waarschuwt voor LGBTQ+ plus afpersingszwendel: wees gewaarschuwd voordat je deelt” op nakedsecurity.sophos.com.
En over bewust zijn gesproken, wanneer krijgen we een week waarin we ons niet bewust zijn van een soort cryptodiefstal?
Nog eens $ 100 miljoen verdween in het niets, Paul!
EEND. Ik wist niet dat dat een retorische vraag was.
Ik stond op het punt om binnen te vallen en te zeggen: "Deze week niet, Doug."
Als je kijkt naar de huidige wisselkoers van de Amerikaanse dollar ten opzichte van Ether, vraag ik me af of deze het waard was om over te schrijven. Doug?
Het was niet helemaal $ 100 miljoen ... Het was: "Ik weet het niet, $ 80 miljoen, $ 90 miljoen - het is bijna niet de moeite waard om uit bed te komen om over te schrijven," zei hij
heel cynisch.
Ja, dit was weer een andere gedecentraliseerde financiële, of De-Fi, bedrijfsramp.
Je zou het niet weten als je naar hun website zou gaan.
Het bedrijf heet Harmony – ze zijn in wezen een blockchain smart contract-bedrijf … je gaat naar de website en het staat er nog steeds vol met hoe geweldig ze zijn.
Als je vanaf hun website naar hun officiële blog gaat, staat daar een verhaal met de titel "Lost Funds Investigation Report".
Maar dat zijn niet *deze* verloren fondsen; dat zijn *die* verloren fondsen.
Dat is van januari... Ik denk dat het "slechts" een hack van $ 5 miljoen was, misschien zelfs minder, Doug, waarmee iemand er vandoor ging.
En dat is het laatste verhaal op hun blog.
Ze hebben er wel informatie over op Twitter, om eerlijk te zijn, en ze hebben ergens op Medium.com een blogartikel gepubliceerd met details over het weinige dat ze lijken te weten.
Het klinkt alsof ze heel veel geld hadden dat centraal was opgesloten, geld dat nodig was om de wielen te laten werken, en om die dingen in en uit te laten bewegen, gebruikten ze wat een "multi-signature" of "multisig" wordt genoemd. " nadering.
Eén privésleutel zou niet voldoende zijn om het overboeken van een van deze specifieke fondsen te autoriseren.
Er waren vijf mensen die geautoriseerd waren, en twee van hen moesten samen binnenkomen, en blijkbaar werd elke privésleutel in tweeën gedeeld.
De persoon had een wachtwoord om het te ontgrendelen, en ze moesten wat sleutelmateriaal van een sleutelserver krijgen, en blijkbaar bevond elke privésleutel zich op een andere sleutelserver.
Dus we weten niet hoe het gebeurde... heeft iemand samengespannen? Of dacht iemand gewoon dat ze heel slim zouden zijn en zouden zeggen: "Hé, ik zal mijn sleutel met jou delen, en jij deelt je sleutel met mij, voor het geval dat, als extra back-up?"
Hoe dan ook, de boeven slaagden erin om twee privésleutels te bemachtigen, niet één, dus ze konden doen alsof ze meer dan één persoon waren, en ze waren in staat om dit grote bedrag te ontgrendelen en het naar zichzelf over te dragen.
En dat kwam neer op zo'n 80 miljoen dollar plus Amerikaanse dollars aan Ether.
En dan, zo lijkt het, die Harmony, zoals ze deden in januari toen ze de vorige rip-off hadden... ze deden dat wat iedereen tegenwoordig doet.
'Geachte meneer White Hat, beste boef, als u het geld terugstuurt, schrijven we het op als een bug-bounty. We zullen de geschiedenis herschrijven, en we zullen proberen je niet vervolgd te laten worden. En we zullen zeggen dat het allemaal in naam van onderzoek was, maar geef ons alstublieft ons geld terug."
En je denkt: "Oh, golly, dat riekt naar wanhoop", maar ik denk dat dat alles is wat ze moeten proberen.
DOUG. En ik vind het leuk dat ze 1% aanbieden van wat er is gestolen.
En dan is de kers op de taart: ze zullen "pleiten voor geen strafrechtelijke vervolging" wanneer geld wordt teruggegeven, wat moeilijk te garanderen lijkt.
EEND. Ja, ik denk dat dat alles is wat ze kunnen zeggen, toch?
Nou, zeker in Engeland kun je dingen hebben die privévervolging worden genoemd - ze hoeven niet door de staat te worden ingesteld.
U kunt dus als particulier strafrechtelijk vervolgen. of als liefdadigheidsinstelling, of als openbaar lichaam, als de staat niet wil vervolgen.
Maar je krijgt niet het tegenovergestelde, waar je het slachtoffer bent van een misdaad en je zegt: 'O, ik ken die vent. Hij was dronken van zijn hoofd. Hij crashte tegen mijn auto, maar hij repareerde hem. Vervolg hem niet.”
De staat zal waarschijnlijk zeggen: "Weet je wat? Het is eigenlijk niet aan jou.”
Het lijkt in ieder geval niet te hebben gewerkt.
Wie het ook was, heeft al zo'n 17,000 Ether (iets voor 20 miljoen dollar, denk ik) overgemaakt van de rekening waarop ze de spullen oorspronkelijk hadden verzameld.
Het ziet er dus naar uit dat dit allemaal door de gorgel gaat. [LACHT]
Ik weet niet waarom ik lach, Doug.
DOUG. Dit blijft maar gebeuren!
Er moet een betere manier zijn om deze accounts te vergrendelen.
Ze zijn dus van twee partijen die mede moeten ondertekenen naar vier partijen gegaan.
Lost dat dit probleem op, of blijft dit gebeuren?
EEND. 'Hé, twee was niet genoeg. We gaan naar vier."
Nou, ik weet het niet... maakt dat het beter, of hetzelfde, of slechter?
Het punt is, het hangt ervan af hoe de boeven, en waarom de boeven, die twee sleutels konden krijgen.
Richtten ze zich gewoon op de vijf mensen en hadden ze geluk met twee van hen en faalden ze met drie, in welk geval je kunt stellen dat het maken van vier-uit-vijf in plaats van twee-uit-vijf de lat hoger zal leggen een beetje verder.
Maar wat als het systeem zelf, de manier waarop ze de sleutels hebben georkestreerd, de reden was dat de boeven er twee kregen... wat als er een enkel storingspunt was voor een willekeurig aantal sleutels?
En dat is precies wat we niet weten, dus ga gewoon van twee naar vier... Het lost niet noodzakelijk het probleem op.
Op precies dezelfde manier dat als iemand je telefoon steelt en ze raden je vergrendelingscode en je hebt zes cijfers, je denkt: 'Ik weet het, ik ga naar een tiencijferige vergrendelingscode. Dat is veel veiliger!”
Maar als de reden dat de boeven je slotcode hebben gekregen is dat je de gewoonte hebt om het op een stuk papier te schrijven en het in je brievenbus te laten voor het geval je buitengesloten wordt van je huis... de tiencijferige, de 20-cijferige, de 5000-cijferige slotcode.
DOUG. Goed, we zullen dat in de gaten houden.
En iets zegt me dat dit niet de laatste van deze verhalen zal zijn.
Dit heet: Harmony Blockchain verliest bijna $ 100 miljoen door gehackte privésleutels, op nakedsecurity.sophos.com.
En nu hebben we een bugfix voor een bugfix in OpenSSL.
EEND. Ja, we hebben het meerdere keren over OpenSSL gehad in de podcast, vooral omdat het een van de meest populaire cryptografische bibliotheken van derden is.
Veel software maakt er dus gebruik van.
En het probleem is dat wanneer het een bug heeft, er heel veel besturingssystemen zijn (met name veel Linux wordt meegeleverd) die moeten worden bijgewerkt.
En zelfs op platforms die hun eigen afzonderlijke cryptografische bibliotheken hebben, zoals de Windows- en de macOS-systemen van de wereld, kun je apps hebben die toch hun eigen exemplaar van OpenSSL meebrengen, ofwel gecompileerd in of meegenomen naar de applicatiemap.
Die moet je ook gaan updaten.
Nu is dit gelukkig geen supergevaarlijke bug, maar het is een soort vervelende bug die softwareontwikkelaars er goed aan herinnert dat soms de duivel in de details zit die de trofeecode omringen.
Deze bug is een andere versie van de bug die is opgelost in de vorige bugfix - het zit eigenlijk in een script dat samen met OpenSSL wordt geleverd, dat sommige besturingssystemen gebruiken, dat een speciale doorzoekbare hash, een index, van systeemcertificaten creëert .
Het is dus een speciaal script dat je uitvoert, genaamd c_rehash, een afkorting voor "certificaat opnieuw hashen".
En er is een directory nodig met een lijst met certificaten met de namen van de mensen die ze hebben uitgegeven en converteert deze naar een lijst op basis van hashes, wat erg handig is voor zoeken en indexeren.
Sommige besturingssystemen voeren dit script dus regelmatig uit voor het gemak.
En het bleek dat als je een certificaat kon maken met een rare naam met magische speciale tekens erin, net als de "dollarteken ronde haakjes" in Follina of de "dollarteken kronkelende haakjes" in Log4Shell... in feite zouden ze de bestandsnaam van de schijf halen en het blindelings gebruiken als een opdrachtregelargument.
Iedereen die Unix-shell-commando's of Windows-shell-commando's heeft geschreven. weet dat sommige karakters speciale superkrachten hebben, zoals het "dollarteken tussen haakjes" en het "groter dan"-teken, dat bestanden overschrijft, en het "pipe"-teken, dat zegt dat de uitvoer naar een ander commando moet worden gestuurd en uitgevoerd.
Dus het was, zo je wilt, slechte aandacht voor detail in een hulpscript dat niet echt deel uitmaakt van de cryptografische bibliotheek.
Kortom, dit is gewoon een script dat veel mensen waarschijnlijk nooit hebben overwogen, maar het werd geleverd door OpenSSL; ermee verpakt in veel besturingssystemen; kwam naar een systeemlocatie waar het uitvoerbaar werd; en door het systeem gebruikt voor wat je "nuttige cryptografische huishouding" zou kunnen noemen.
Dus de versie die je wilt is 3.0.4of 1.1.1p (P-voor-Papa).
Maar dat gezegd hebbende, terwijl we dit opnemen, is er veel ophef gaande over de noodzaak van OpenSSL 3.0.5, een heel andere bug - een bufferoverloop in een aantal speciale versnelde RSA-cryptografische berekeningen, die waarschijnlijk gerepareerd moet worden .
Dus tegen de tijd dat je dit hoort, als je OpenSSL 3 gebruikt, is er misschien nog een update!
De goede kant, denk ik, Doug, is dat wanneer deze dingen worden opgemerkt, het OpenSSL-team het probleem lijkt op te lossen en vrij snel patches uitbrengt.
DOUG. Grote.
We houden dat in de gaten en houden 3.0.5 in de gaten.
EEND. Ja!
Voor alle duidelijkheid, wanneer 3.0.5, zal er geen overeenkomende 1.1.1q (Q-forQuebec) zijn, omdat deze bug een nieuwe code is die is geïntroduceerd in OpenSSL 3.
En als je je afvraagt ... net zoals de iPhone nooit iPhone 2 had, was er geen OpenSSL 2.
DOUG. Oké, we hebben wat advies, te beginnen met: Update OpenSSL zo snel mogelijk, duidelijk.
EEND. Ja.
Ook al staat dit niet in de cryptografische bibliotheek maar in een script, je kunt net zo goed updaten, want als je besturingssysteem het OpenSSL-pakket heeft, zal dit buggy-script er vrijwel zeker in zitten.
En het zal waarschijnlijk worden geïnstalleerd waar iemand met uw ergste interesses er waarschijnlijk bij zou kunnen komen, mogelijk zelfs op afstand, als ze dat echt zouden willen.
DOUG. Oké, daarmee: Overweeg om met pensioen te gaan c_rehash hulpprogramma als u het gebruikt.
EEND. Ja, die c_rehash is eigenlijk een legacy perl-script dat andere programma's onveilig uitvoert.
U kunt nu een ingebouwd onderdeel van de OpenSSL-app zelf gebruiken: openssl rehash.
Als je daar meer over wilt weten, typ je gewoon openssl rehash -help.
DOUG. Okee.
En dan hebben we dit keer op keer gezegd: Reinig uw in- en uitgangen.
EEND. Absoluut.
Ga er nooit vanuit dat de input die je van iemand anders krijgt veilig is om te gebruiken zoals je die hebt ontvangen.
En als je gegevens hebt verwerkt die je van elders hebt gekregen, of die je ergens anders hebt ingelezen, en je geeft het door aan iemand anders, doe dan het aardige en controleer of je ze niet doorgeeft dud informatie eerst.
Je zou natuurlijk hopen dat ze hun invoer zouden controleren, maar als je ook je uitvoer controleert, dan is de zekerheid dubbel zeker!
DOUG. OKÉ. En dan tot slot: Wees waakzaam voor meerdere fouten bij het beoordelen van code voor specifieke soorten bugs.
EEND. Ja, ik dacht dat het de moeite waard was om mensen eraan te herinneren.
Omdat er één fout was, waarbij Perl de zogenaamde opdrachtvervanging uitvoerde, die zegt: "Voer deze externe opdracht uit met deze argumenten, verkrijg de uitvoer en gebruik de uitvoer als onderdeel van de nieuwe opdracht."
Het was bij het verzenden van de argumenten naar dat commando dat er iets mis ging, en dat werd gepatcht: er werd een speciale functie geschreven die de invoer goed controleerde.
Maar het lijkt erop dat niemand er echt zorgvuldig doorheen ging en zei: "Heeft de persoon die dit hulpprogramma heeft geschreven oorspronkelijk een vergelijkbare programmatische truc ergens anders gebruikt?"
Met andere woorden, misschien komen ze uit op een systeemfunctie elders in dezelfde code ... en als je beter had gekeken, zou je het hebben gevonden.
Er is een plaats waar ze een hash-berekening doen met behulp van een extern programma, en er is een plaats waar ze bestanden kopiëren met behulp van een externe functie.
Een was gecontroleerd en gerepareerd, maar de andere was niet gevonden.
DOUG. Goed, goed advies!
Dat artikel heet: OpenSSL geeft een bugfix uit voor de vorige bugfix, op nakedsecurity.sophos.com.
En, terwijl de zon langzaam begint onder te gaan in onze show voor vandaag, laten we eens luisteren naar een van onze lezers over het OpenSSL-artikel dat we zojuist hebben besproken.
Reader Larry linkt naar een XKCD-webstrip genaamd Exploitaties van een moeder… Ik smeek je om het te gaan zoeken.
Ik realiseer me dat mijn poging om een webstrip verbaal uit te leggen niet echt geschikt is voor een podcast, dus ga naar https://xkcd.com/327 en zie het zelf.
EEND. Het enige wat je hoeft te doen, Doug, want veel luisteraars zullen gedacht hebben: “Ik hoop oprecht dat iemand dit zou opmerken”… dat was ik ook!
Het gaat om Kleine Bobby-tafels!
DOUG. Okee…
EEND. Het is een soort internetmeme op zich geworden.
DOUG. De scène opent zich.
Een moeder krijgt een telefoontje van de school van haar zoon dat zegt: 'Hallo, dit is de school van je zoon. We hebben wat computerproblemen."
En ze zegt: "O jee, heeft hij iets gebroken?"
En ze zeggen: “In zekere zin. Heb je je zoon echt een naam gegeven? Robert'); DROP TABLE Students;--? "
"Oh ja. Kleine Bobby-tafels, we bellen hem."
En ze zeggen: 'Nou, we zijn de studentenrecords van dit jaar kwijt. Ik hoop dat je blij bent."
En ze zegt: "En ik hoop dat je hebt geleerd om je database-invoer te zuiveren."
Heel goed.
EEND. Een beetje een ondeugende moeder... onthoud, we zeggen dat je je input *en je output* moet ontsmetten, dus ga niet uit de weg om bugs te veroorzaken, gewoon om een wijsneus te zijn.
Maar ze heeft gelijk.
Ze moeten niet zomaar oude gegevens nemen die ze krijgen, er een commandoreeks mee verzinnen en aannemen dat het allemaal wel goed komt.
Omdat niet iedereen zich aan de regels houdt.
DOUG. Dat is van 2007, en het houdt nog steeds stand!
Als je een interessant verhaal, opmerking of vraag hebt die je wilt indienen, lezen we die graag in de podcast.
U kunt ons mailen op tips@sophos.com; je kunt reageren op een van onze artikelen; of je kunt ons bereiken op social: @nakedsecurity.
Dat is onze show voor vandaag.
Heel erg bedankt voor het luisteren... voor Paul Ducklin, ik ben Doug Aamoth, ik herinner je eraan tot de volgende keer om...
BEIDE. ... blijf veilig!
[MUZIEK MODEM]