'Veel IT-beveiligings-onderzoekers zijn aandachtszoekers'
De aanleiding voor het commentaar is het rapport van IOActive dat kwetsbaarheden vond in alle 5 de populaire programmeertalen die de IT-beveiliger met een nieuwe methode onder de loep nam. "Wij hoorden er vorige week van en waren niet onder de indruk van wat ze voor Python hadden gevonden. Het ging om een aantal bestaande API's die willekeurige shell commando's kunnen uitvoeren. Maar om er gebruik van te maken, moet je al toegang hebben tot de Python interpreter. Dat betekent dat je al volledige controle hebt, of deze API's nu bestaan of niet. Het is dus niet mogelijk extra privileges te krijgen via deze weg."
Onwaarschijnlijk geluk
De enige manier om zonder volledige toegang tot de interpreter gebruik te maken van deze kwetsbaarheden, is als een hacker het onwaarschijnlijke geluk heeft dat een andere applicatie input van een gebruiker accepteert en doorgeeft aan deze API's, gaat Van Rossum verder. "Gegeven de aard van deze API's is er geen reden waarom een applicatie zoiets zou doen. In ieder geval is het dan een kwetsbaarheid in de applicatie, niet in de interpreter."
Van Rossum zegt rapporten over beveiligingskwesties altijd heel serieus te nemen. Ze worden nagetrokken en gerepareerd als de melding betrekking heeft op een daadwerkelijke kwetsbaarheid in Python of in zijn standaard library. Meestal zijn deze gemelde kwetsbaarheden echter 'vergezocht' en alleen te misbruiken met behulp van de medewerking van een insider. "We brengen geregeld beveiligingsupdates uit maar dat is in het algemeen meer om de bad guys voor te blijven dan in een reactie op bad guys."
Sky is not falling
Ontwikkelaars moeten leren over beveiliging, de documentatie lezen en regelmatig updaten. Hoe meer waarde is vertegenwoordigd in wat je programmeert hoe groter de aandacht aan de beveiliging moet worden besteed. Hoe meer er te halen valt, des te meer moeite hackers mogelijk zullen steken in een aanval. Van Rossum: "Maar dit is allemaal gezond verstand. De sky is not falling."
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonnee