Логотип Зефирнет

S3 Ep89: Sextortion, грубая ошибка блокчейна и исправление ошибки OpenSSL [Подкаст + стенограмма]

Дата:

ТЕПЕРЬ СЛУШАЙ

Нажмите и перетащите звуковые волны ниже, чтобы перейти к любой точке. Вы также можете слушать прямо на Саундклауд.

С Дугом Аамотом и Полом Даклином.

Интро и аутро музыка Эдит Мадж.

Вы можете слушать нас на Soundcloud, Подкасты Apple, Подкасты Google, Spotify, Брошюровщик и везде, где есть хорошие подкасты. Или просто скинь URL нашего RSS-канала в свой любимый подкэтчер.


ПРОЧИТАЙТЕ СТЕНОКРИФИК

ДУГ.  Больше мошенничества с вымогательством, больше кражи криптовалюты и исправление для исправления.

Все это в подкасте Naked Security.

[МУЗЫКАЛЬНЫЙ МОДЕМ]

Добро пожаловать в подкаст, все.

Я Дуг Аамот, а он Пол Даклин.

Павел, как дела?


УТКА.  Я супер-пупер, спасибо, Дуглас.


ДУГ.  Мы хотели бы начать шоу с небольшой истории технологий, и я хотел бы напомнить вам, что на этой неделе, в 2007 году, в Соединенных Штатах был выпущен iPhone первого поколения.

В то время, когда большинство телефонов высокого класса продавались по 200 долларов с двухлетним контрактом на беспроводное обслуживание, iPhone начинался с 500 долларов с двухлетним контрактом.

Он также имел более низкую скорость соединения, чем многие телефоны того времени, с 2.5G или EDGE по сравнению с 3G.

Тем не менее, через два с половиной месяца после его выпуска Apple продала миллион iPhone.

Только в США.


УТКА.  Да, я забыл эту острую деталь EDGE 2-dot-5!

Я просто помню, как подумал: «Ты не можешь быть серьезным?»

В то время я был в Австралии, и они стоили *дорого*.

Я думаю, что это была еще эпоха, когда я просто держался за свое устройство EDGE… Я продолжаю называть его JAM JAR, но на самом деле оно называлось JASJAR или JASJAM, или что-то в этом роде.

Одно из тех устройств Windows CE с выдвижной клавиатурой.

Я был единственным человеком в мире, которому это нравилось… Я подумал, что кто-то должен.

Вы можете написать для него свое собственное программное обеспечение — вы просто скомпилируете код и вставите его туда — так что я, помню, подумал: эта штука в App Store, всего 2.5 GG, супердорого?

Это никогда не зацепит.

Что ж, с тех пор мир никогда не был прежним, это точно!


ДУГ.  Это не так!

Хорошо, если говорить о том, что мир уже не тот, у нас больше мошенников.

Этот… почему бы мне просто не прочитать об этой афере из Федеральной торговой комиссии?

FTC (Федеральная торговая комиссия США) говорит, что преступники обычно работают примерно так:

«Мошенник изображает из себя потенциального романтического партнера в приложении для знакомств LGBTQ+, общается с вами, быстро отправляет откровенные фотографии и просит взамен такие же фотографии.

Если вы отправляете фотографии, начинается шантаж.

Они угрожают поделиться вашим разговором и фотографиями с вашими друзьями, семьей или работодателем, если вы не заплатите, обычно подарочной картой.

Другие мошенники угрожают людям, которые закрыты или еще не полностью раскрыли себя как ЛГБТК+. Они могут заставить вас заплатить или быть разоблаченными, утверждая, что они разрушат вашу жизнь, показывая откровенные фотографии или разговоры.

Какой бы ни была их точка зрения, они гонятся за вашими деньгами».

Хорошие люди здесь, правда?


УТКА.  Да,. это действительно ужасно, не так ли?

И что меня особенно зацепило в этой истории, так это то, что…

Пару лет назад, как вы помните, большой проблемой такого рода было то, что стало известно как «сексторция» или «порно-мошенничество», когда мошенники говорили: «Эй, у нас есть несколько скриншотов, где вы смотрите порно». , и мы одновременно включили вашу веб-камеру. нам удалось это сделать, потому что мы внедрили вредоносное ПО на ваш компьютер. Вот некоторые доказательства», и у них есть ваш номер телефона, ваш пароль или ваш домашний адрес.

Конечно, они никогда не покажут вам видео, потому что у них его нет.

«Присылайте нам деньги», — говорят они.

Точно такая же история, только в этом случае мы смогли выйти к людям и сказать: «Все это вранье, просто забудьте об этом».

[Встраиваемое содержимое]

К сожалению, это ровно наоборот, не так ли?

У них *есть* фотография… к сожалению, вы отправили ее им, возможно, думая: «Ну, я уверен, что могу доверять этому человеку».

Или, может быть, у них просто есть дар болтливости, и они уговаривают вас, так же, как традиционные мошенники… им не нужны откровенные фотографии для шантажа, они хотят, чтобы вы влюбились в них за в долгосрочной перспективе, так что они могут доить вас на деньги в течение недель, месяцев, даже лет.

[Встраиваемое содержимое]

Но сложно, что у нас есть один вид мошенничества с сексуальным вымогательством, когда мы можем сказать людям: «Не паникуйте, они не могут шантажировать, потому что у них на самом деле нет фотографии»…

…и еще один пример, где, к сожалению, все как раз наоборот, потому что фото у них есть.

Но единственное, что вы все равно не должны делать, это платить деньги, потому что как вы вообще узнаете, собираются ли они удалить это фото.

Хуже того, откуда вы знаете, даже если они на самом деле — я не могу поверить, что собираюсь использовать эти слова — «надежные жулики»?

Даже если они намерены удалить фотографию, откуда вы знаете, что у них не было утечки данных?

Они могли уже потерять данные.

Потому что бесчестие среди воров и жуликов, поссорившихся друг с другом, достаточно распространено.

Мы видели это в случае с бандой вымогателей Conti… аффилированные лица слили целую кучу материала, потому что, по-видимому, они поссорились с людьми из ядра группы.

И многие киберпреступники сами имеют плохую операционную безопасность.

В прошлом было множество случаев, когда мошенников либо разоблачали, либо они выдавали секреты своего вредоносного ПО, потому что их системы, где они якобы хранили все секреты, в любом случае были широко открыты.


ДУГ.  Да.

Конечно, в очень личное и неопределенное время в жизни людей, когда они, наконец, доверяют кому-то, кого никогда не встречали… и тогда это происходит.

Итак, один из наших советов: Не платите деньги за шантаж.

Еще один совет: Рассмотрите возможность использования вашей любимой поисковой системы для обратного поиска изображений.


УТКА.  Да, многие люди рекомендуют это для всех видов мошенничества.

Очень часто мошенники завоевывают ваше доверие, выбирая профиль онлайн-знакомств человека, который, по их предварительному мнению, вам, вероятно, понравится.

Они идут и находят кого-то, кто на самом деле может вам подойти, они крадут профиль этого человека и врываются внутрь, притворяясь этим человеком.

Что дает им очень хорошее начало, когда дело доходит до романтических махинаций, не так ли?

Итак, если вы выполняете обратный поиск изображений, и появляется чей-то профиль: бинго! Вы их разбили!

Плохая новость в том, что вы не можете использовать это, чтобы доказать что-либо о людях…

…другими словами, если вы выполните обратный поиск и ничего не найдете, это не значит, что человек, с которым вы разговариваете, действительно является первоначальным владельцем этой фотографии.

Тем не менее, у нас были люди, которые комментировали Naked Security, говоря: «У меня есть один из них; Я сделал обратный поиск изображения; это сразу вышло в стирке. Обратный поиск работал очень хорошо для меня».

Вы можете сбить повара с толку на самом-самом первом препятствии.


ДУГ.  Да, кажется, я поделился этим в одном из наших первых выпусков подкаста…

Мы пытались арендовать лыжный домик, и место, которое мы пытались арендовать, выглядело слишком хорошо, чтобы быть правдой по цене.

И моя жена позвонила человеку, чтобы спросить их об этом, и явно разбудила кого-то среди ночи на другом конце света.

Пока она это делала, я закинул изображение в обратный поиск изображений, и это был отель «Ритц-Карлтон» в Денвере или что-то в этом роде.

Это было даже не близко к тому, где мы пытались арендовать.

Так что это работает не только в романтических аферах — это работает для всего, что просто пахнет рыбой и имеет связанные с этим изображения.


УТКА.  Да.


ДУГ.  ХОРОШО. И тогда у нас есть совет: Будьте в курсе, прежде чем делиться.


УТКА.  Да, это один из наших маленьких джинглов.

Легко запомнить.

И, на самом деле, это верно не только для этих афер с сексуальным вымогательством, хотя, как вы говорите, в таких случаях это особенно неприятно и зловеще звучит.

Абсолютно верно во всех случаях, когда есть кто-то, в ком вы не уверены — не разглашайте информацию, потому что вы не сможете вернуть ее позже.

После того, как вы передали данные, вам не нужно просто доверять им… вы должны доверять их компьютеру, их собственному отношению к кибербезопасности и всему остальному.


ДУГ.  Это прекрасно согласуется с нашим следующим советом, а именно: Если сомневаетесь, не выдавайте.


УТКА.  Да, я знаю, что некоторые люди говорят: «Ну, это звучит так, как будто вы обвиняете жертву».

Но как только вы передаете свои данные, вы можете *попросить* вернуть их, но на самом деле вы не можете сделать намного больше.

Это тривиально, чтобы поделиться вещами, но почти невозможно перезвонить потом.


ДУГ.  Хорошо, тогда у нас есть некоторые ресурсы в статье о том, как сообщать о таких мошенничествах в зависимости от страны, в которой вы живете, что очень удобно.


УТКА.  Да, мы размещаем URL-адреса для сообщений о мошенничестве в Интернете для: США, Великобритании, Европейского Союза, Канады, Австралии и Новой Зеландии.

США https://reportfraud.ftc.gov.

И FTC, конечно же, по сути является органом по защите прав потребителей в Соединенных Штатах.

Я был очень приятно удивлен этим сайтом — мне было очень легко ориентироваться.

Вы можете ввести столько информации, сколько хотите.

Очевидно, что если вы хотите продолжить рассмотрение дела позже, вам придется поделиться информацией, которая позволит им связаться с вами — другими словами, будет сложно оставаться полностью анонимным.

Но если вы просто хотите сказать: «Смотрите, у меня есть эта афера, я должен быть одним из миллиона людей»…

…если никто ничего не говорит, то, по сути, статистически ничего не произошло.

Вы можете сообщать о вещах и просто говорить: «Я получил этот URL-адрес, я получил этот номер телефона, я получил эту информацию», что бы это ни было, и вы можете предоставить столько или меньше, сколько хотите.

И хотя иногда кажется, что сообщение об этом, вероятно, не имеет значения — потому что, очевидно, если вы не дадите свой адрес электронной почты и свои контактные данные, вы не получите никакого ответа, чтобы сказать, было ли это полезно или нет — вы просто нужно принять это на веру.

И мое мнение таково: я не вижу, как это может принести какой-то вред, а может и немного пользы.

Это может помочь властям создать дело против кого-то, где без нескольких подтверждающих отчетов им, возможно, было бы очень трудно достичь правового стандарта, необходимого им, чтобы действительно что-то сделать с особенно неприятным преступлением.


ДУГ.  ОК, то есть: FTC предупреждает о мошенничестве с ЛГБТК + плюс вымогательство: знайте, прежде чем делиться” на сайте nudesecurity.sophos.com.

И говоря об осведомленности, когда у нас будет хоть одна неделя, когда мы не будем знать о какой-то краже криптовалюты?

Еще 100 миллионов долларов растворились в воздухе, Пол!


УТКА.  Я не понял, что это был риторический вопрос.

Я собирался вмешаться и сказать: «Не на этой неделе, Даг».

На самом деле, когда вы посмотрите на текущий обменный курс доллара США к эфиру, я задаюсь вопросом, стоило ли вообще писать об этом. Дуг?

Это было не совсем 100 миллионов долларов… Это было: «Я не знаю, 80 миллионов долларов, 90 миллионов долларов — почти не стоит вставать с постели, чтобы писать об этом», — сказал он.
очень цинично.

Да, это была еще одна катастрофа децентрализованных финансов или De-Fi.

Вы бы не знали, что зайти на их сайт.

Компания называется Harmony — по сути, это компания, занимающаяся смарт-контрактами на блокчейне… вы заходите на веб-сайт, и он по-прежнему полон того, насколько они замечательны.

Если вы зайдете на их официальный блог с их веб-сайта, там есть статья, которая называется «Отчет о расследовании утерянных средств».

Но это не *эти* потерянные средства; это *те* потерянные средства.

Это было еще в январе… Я думаю, это было «всего лишь» что-то вроде взлома на 5 миллионов долларов, может быть, даже меньше, Дуг, с которым кто-то сбежал.

И это последняя история в их блоге.

Честно говоря, у них есть информация об этом в Твиттере, и они опубликовали статью в блоге где-то на Medium.com, в которой подробно описывается то немногое, что они, кажется, знают.

Похоже, что у них было много средств, которые были заблокированы централизованно, средства, необходимые для того, чтобы заставить колеса работать, и чтобы позволить этим вещам перемещаться туда и обратно, они использовали так называемую «мультиподпись» или «мультиподпись». " подход.

Одного закрытого ключа было бы недостаточно, чтобы авторизовать перевод любого из этих конкретных средств.

Было пять человек, которые были авторизованы, и двое из них должны были войти вместе, и, очевидно, каждый закрытый ключ хранился как бы разделенным пополам.

У человека был пароль, чтобы разблокировать его, и ему нужно было получить некоторый ключевой материал с сервера ключей, и, очевидно, каждый закрытый ключ находился на другом сервере ключей.

Итак, мы не знаем, как это произошло… Кто-то вступил в сговор? Или кто-то просто подумал, что они будут очень умными и скажут: «Эй, я поделюсь с вами своим ключом, а вы поделитесь своим ключом со мной, на всякий случай, в качестве дополнительной резервной копии?»

Так или иначе, мошенникам удалось получить два закрытых ключа, а не один, поэтому они смогли притвориться более чем одним человеком, и они смогли разблокировать эту большую сумму средств и перевести ее себе.

И это в сумме составило около 80 миллионов долларов США в эфире.

А затем, кажется, что Harmony, как они сделали в январе, когда у них был предыдущий грабеж… они сделали то, что все делают в эти дни.

«Дорогой мистер Белая Шляпа, дорогой Лавли Крук, если вы отправите деньги обратно, мы запишем это как награду за обнаружение жуков. Мы перепишем историю и постараемся не допустить, чтобы вас привлекли к ответственности. И мы скажем, что все это было во имя исследования, но, пожалуйста, верните нам наши деньги».

И вы думаете: «О, черт возьми, это попахивает отчаянием», но я думаю, это все, что им нужно попробовать.


ДУГ.  И мне нравится, что они предлагают 1% от украденного.

И вишенка на торте в том, что они будут «выступать за отсутствие уголовных обвинений», когда средства будут возвращены, что кажется трудно гарантировать.


УТКА.  Да, я думаю, это все, что они могут сказать, верно?

Ну, конечно, в Англии у вас могут быть вещи, называемые частными обвинениями — они не должны возбуждаться государством.

Таким образом, вы можете возбудить уголовное преследование как частное лицо. или как благотворительная организация, или как общественный орган, если государство не хочет преследовать в судебном порядке.

Но вы не получаете обратного, когда вы становитесь жертвой преступления и говорите: «О, я знаю этого парня. Он был пьян из своего ума. Он врезался в мою машину, но починил ее. Не судите его».

Государство, вероятно, скажет: «Знаете что? На самом деле это не зависит от вас».

Во всяком случае, похоже, это не сработало.

Кто бы это ни был, он уже перевел что-то около 17,000 20 эфиров (что-то чуть меньше XNUMX миллионов долларов США, я думаю) со счета, где они изначально собирали вещи.

Итак, похоже, что все это идет в горло. [СМЕЕТСЯ]

Не знаю, почему я смеюсь, Дуг.


ДУГ.  Это просто продолжает происходить!

Должен быть лучший способ заблокировать эти аккаунты.

Таким образом, они перешли от двух сторон, которым необходимо было подписать соглашение, к четырем сторонам.

Теперь, это решит эту проблему, или это будет продолжаться?


УТКА.  «Эй, двух было недостаточно. Мы пойдем к четырем».

Ну, я не знаю… это делает его лучше, или то же самое, или хуже?

Дело в том, что это зависит от того, как мошенники и почему мошенники смогли получить эти два ключа.

Они только что нацелились на пять человек, и им повезло с двумя из них, и они потерпели неудачу с тремя, и в этом случае вы можете возразить, что использование четырех из пяти вместо двух из пяти повысит планку. немного дальше.

Но что, если сама система, то, как они на самом деле организовали ключи, была причиной того, что мошенники получили два из них… что, если существует единая точка отказа для любого количества ключей?

И это как раз то, чего мы не знаем, так что просто увеличьте от двух до четырех… Это не обязательно решит проблему.

Точно так же, как если кто-то украдет ваш телефон и угадает ваш код блокировки, а у вас есть шесть цифр, вы думаете: «Я знаю, я собираюсь использовать десятизначный код блокировки. Так будет намного безопаснее!»

Но если причина, по которой мошенники получили ваш код блокировки, заключается в том, что у вас есть привычка записывать его на листе бумаги и оставлять в почтовом ящике на тот случай, если вы не сможете попасть в свой дом… десятизначный, 20-значный, 5000-значный код блокировки.


ДУГ.  Хорошо, хорошо, мы будем следить за этим.

И что-то мне подсказывает, что это не последняя такая история.

Это называется: Harmony Blockchain теряет почти 100 миллионов долларов из-за взлома закрытых ключей, на сайте nudesecurity.sophos.com.

И теперь у нас есть исправление для исправления ошибки в OpenSSL.


УТКА.  Да, мы несколько раз говорили об OpenSSL в подкасте, главным образом потому, что это одна из самых популярных сторонних криптографических библиотек.

Таким образом, многие программы используют его.

И проблема в том, что когда в нем есть ошибка, существует множество операционных систем (особенно много Linux поставляется с ним), которые необходимо обновить.

И даже на платформах, которые имеют свои собственные отдельные криптографические библиотеки, такие как мировые системы Windows и macOS, у вас могут быть приложения, которые, тем не менее, содержат свою собственную копию OpenSSL, либо скомпилированную, либо перенесенную в папку приложения.

Вам нужно пойти и обновить их тоже.

Теперь, к счастью, это не сверхопасная ошибка, но своего рода раздражающая ошибка, которая является отличным напоминанием разработчикам программного обеспечения о том, что иногда дьявол кроется в деталях, окружающих код трофея.

Эта ошибка является еще одной версией ошибки, которая была исправлена ​​в предыдущем исправлении ошибки — на самом деле она находится в сценарии, который поставляется вместе с OpenSSL, который используют некоторые операционные системы, который создает специальный доступный для поиска хэш, индекс, сертификатов системного «центра сертификации». .

Итак, вы запускаете специальный скрипт, который называется c_rehash, сокращение от «сертификат перефразировать».

И берет директорию со списком сертификатов, в которых есть имена выдавших их людей, и преобразует его в список на основе хэшей, что очень удобно для поиска и индексации.

Таким образом, некоторые операционные системы регулярно запускают этот скрипт для удобства.

И оказалось, что если бы вы могли создать сертификат со странным именем с волшебными специальными символами, такими как «круглые скобки со знаком доллара» в Follina или «волнистые скобки со знаком доллара» в Журнал4Shell… в основном они брали имя файла с диска и использовали его вслепую в качестве аргумента командной строки командной оболочки.

[Встраиваемое содержимое]

Любой, кто писал команды оболочки Unix или команды оболочки Windows. знает, что у некоторых символов есть особые сверхспособности, такие как «круглые скобки со знаком доллара» и знак «больше чем», который перезаписывает файлы, и символ «труба», который говорит отправить вывод в другую команду и запустить ее.

Так что это было, если хотите, недостаточным вниманием к деталям во вспомогательном скрипте, который на самом деле не является частью криптографической библиотеки.

По сути, это просто скрипт, который многие люди, вероятно, никогда не рассматривали, но он был предоставлен OpenSSL; упакован вместе с ним во многие операционные системы; попал в системное место, где он стал исполняемым; и используется системой для того, что можно назвать «полезной криптографической уборкой».

Итак, версия, которую вы хотите, 3.0.4или 1.1.1p (П-для-папы).

Но, сказав, что пока мы это записываем, идет большой ажиотаж вокруг необходимости OpenSSL 3.0.5, совершенно другой баг — переполнение буфера в некоторых специальных ускоренных криптографических вычислениях RSA, который, вероятно, потребует исправления. .

Итак, к тому времени, когда вы это услышите, если вы используете OpenSSL 3, может быть еще одно обновление!

Хорошая сторона, я полагаю, Дуг, заключается в том, что когда эти вещи замечают, команда OpenSSL, похоже, понимает проблему и довольно быстро выпускает исправления.


ДУГ.  Отлично.

Мы будем следить за этим и следить за 3.0.5.


УТКА.  Да!

Просто для ясности: в версии 3.0.5 не будет соответствующей версии 1.1.1q (Q-forQuebec), поскольку эта ошибка представляет собой новый код, появившийся в OpenSSL 3.

И если вам интересно… точно так же, как у iPhone никогда не было iPhone 2, не было и OpenSSL 2.


ДУГ.  Хорошо, у нас есть несколько советов, начиная с: Обновите OpenSSL, как только сможете, Очевидно.


УТКА.  Да.

Даже если это не в криптографической библиотеке, а в скрипте, вы можете также обновить, потому что, если в вашей операционной системе есть пакет OpenSSL, этот глючный скрипт почти наверняка будет в нем.

И он, вероятно, будет установлен там, где кто-то с вашими худшими интересами, вероятно, сможет получить к нему доступ, возможно, даже удаленно, если он действительно захочет.


ДУГ.  Хорошо, с этим: Рассмотрите возможность выхода на пенсию c_rehash полезность, если вы ее используете.


УТКА.  Да, этот c_rehash на самом деле является устаревшим Perl-скриптом, который небезопасно запускает другие программы.

Теперь вы можете использовать встроенную часть самого приложения OpenSSL: openssl rehash.

Если вы хотите узнать больше об этом, вы можете просто ввести openssl rehash -help.


ДУГ.  Отлично.

И затем, мы говорили это снова и снова: Дезинфицируйте свои входы и выходы.


УТКА.  Абсолютно.

Никогда не думайте, что информация, которую вы получаете от кого-то другого, безопасна для использования в том же виде, в каком вы ее получили.

И когда вы обработали данные, полученные откуда-то еще или прочитанные откуда-то еще, и собираетесь передать их кому-то другому, сделайте доброе дело и убедитесь, что вы их не передаете. сначала дурацкая информация.

Очевидно, вы надеетесь, что они проверят свои входные данные, но если вы также проверите свои выходные данные, то это только удвоит уверенность!


ДУГ.  ХОРОШО. И наконец: Будьте бдительны в отношении множественных ошибок при проверке кода на наличие определенных типов ошибок.


УТКА.  Да, я подумал, что об этом стоит напомнить людям.

Потому что была одна ошибка, когда Perl выполнял так называемую подстановку команд, которая говорит: «Запустите эту внешнюю команду с этими аргументами, получите вывод и используйте вывод как часть новой команды».

Именно при отправке аргументов этой команде что-то пошло не так, и это было исправлено: была написана специальная функция, которая правильно проверяла входные данные.

Но, похоже, никто особо тщательно не проверил и не спросил: «Человек, написавший эту утилиту, изначально использовал подобный программный трюк в другом месте?»

Другими словами, возможно, они раскошелились на системную функцию в другом месте того же кода… и если бы вы посмотрели внимательнее, то нашли бы ее.

Есть место, где они вычисляют хэш с помощью внешней программы, и есть место, где они копируют файлы, используя внешнюю функцию.

Одну проверили и починили, а вторую так и не нашли.


ДУГ.  Ладно, хороший совет!

Эта статья называется: OpenSSL выпускает исправление для предыдущего исправления., на сайте nudesecurity.sophos.com.

И поскольку солнце начинает медленно садиться в нашем сегодняшнем шоу, давайте послушаем одного из наших читателей о статье OpenSSL, которую мы только что обсуждали.

Читатель Ларри ссылается на веб-комикс XKCD под названием Подвиги мамы… Я умоляю вас пойти и найти его.

Я понимаю, что мои попытки устно объяснить веб-комикс — не лучший материал для подкаста, поэтому перейдите к https://xkcd.com/327 и посмотрите сами.


УТКА.  Все, что вам нужно сделать, Даг, потому что многие слушатели подумают: «Я искренне надеюсь, что кто-нибудь прокомментирует это»… Так и было!

Это тот, о Маленькие столики Бобби!


ДУГ.  Все в порядке…


УТКА.  Это стало своеобразным интернет-мемом.



ДУГ.  Сцена открывается.

Маме звонят из школы ее сына и говорят: «Привет, это школа вашего сына. У нас проблемы с компьютером».

А она говорит: «О, дорогой, он что-то сломал?»

И они говорят: «В каком-то смысле. Вы действительно назвали своего сына Robert'); DROP TABLE Students;--? "

"О да. Маленькие столики Бобби, мы зовем его».

И они говорят: «Ну, мы потеряли студенческие записи за этот год. Я надеюсь, что ты счастлив."

И она говорит: «И я надеюсь, что вы научились дезинфицировать свои входные данные в базу данных».

Очень хорошо.


УТКА.  Немного непослушной мамы… помните, мы говорим о санации ваших входных данных * и ваших выходных данных*, так что не старайтесь изо всех сил запускать ошибки только для того, чтобы быть умным.

Но она права.

Они не должны просто взять любые старые данные, которые им дали, составить из них командную строку и предположить, что все будет хорошо.

Потому что не все играют по правилам.


ДУГ.  Это с 2007 года, и это все еще держится!

Если у вас есть интересная история, комментарий или вопрос, который вы хотели бы отправить, мы будем рады прочитать его в подкасте.

Вы можете по электронной почте tips@sophos.com; вы можете прокомментировать любую из наших статей; или вы можете связаться с нами в соц. @nakedsecurity.

Это наше шоу на сегодня.

Большое спасибо, что выслушали… для Пола Даклина, я Дуг Аамот, напоминаю вам до следующего раза…


ОБА.  … оставайтесь в безопасности!

[МУЗЫКАЛЬНЫЙ МОДЕМ]


Spot_img

Последняя разведка

Spot_img