Podcast 7: Nieuwsoverzicht en entropie

Half miljard wachtwoorden, Tesla cryptocurrency, Nederlandse gemeenten bedreigd en het thema entropie

Door: Lex Borger en Roel Gloudemans | 23 februari 2018

In deze zevende editie van de i-to-i podcast praten i-to-i consultant Lex Borger en Roel Gloudemans je bij over het security nieuws van de afgelopen weken en over het cryptografisch begrip entropie.

Weetje van de week

Roel:
Adiabatische expansie
Rokend bier

Lex:
Telugu
80 miljoen sprekers

Telugu is de 15e taal in de wereld. Vergeleken met westerse talen wordt het door meer mensen gesproken dan Frans, Turks, Italiaans en Nederlands; alleen Duits, Portugees, Engels en Spaans hebben meer sprekers.

De taal is nu op de kaart gezet omdat een samengesteld teken uit deze taal door een kwetsbaarheid (CVE–2018–4124) een Apple apparaat kon laten crashen. Veel details worden niet gegeven.

Apple was laat met de ondersteuning ervan. Roep om ondersteuning in 2011 is te vinden.
iOS support voor Telugu komt pas in iOS 10, september 2016. MS Office op de Mac support Telugu in de 2016 versie.

In Unicode heeft Telugu de reeks 0C00–0C7F. Het is een taal met mooie tekens, waarbij relatieve plaatsing ook nog belangrijk is. Dat laatste heeft Apple programmeurs waarschijnlijk de das omgedaan. De exacte tekens en volgorde die het probleem veroorzaakt is niet publiek gedocumenteerd. Het gewraakte teken bestaat duidelijk uit een samenstelling van O en UU in de bovenste helft, wat in samentrekking al een AU wordt. In de onderste helft zie ik de I, en de samenstelling NYA.

Sophos heeft een mooie blogentry over deze zaak: Apple fixes that “1 character to crash your Mac and iPhone” bug

Nieuw op de website

Wachtwoorden
Door Lex Borger | 12 februari 2018

De LinkedIn hack in juni 2012 was voor mij de druppel die de emmer deed overlopen. Ik was al overgegaan tot het gebruik van een programma voor wachtwoordbeheer, maar toen ben ik door al mijn wachtwoorden gegaan en heb ze allemaal veranderd, en allemaal apart ingesteld naar verschillende waarden.

De beschrijving van een anekdote, waarbij passwordmanagers een te sterk wachtwoord afleveren.

Geen gedoogbeleid voor hash
Door Lex Borger | 5 februari 2018

Wat de browserproducenten betreft wordt het SHA–1 hash-algoritme op 1 januari 2017 bij het grofvuil gezet. Zowel Google, Microsoft en Mozilla zijn het hierover eens. Ze verschillen weliswaar op details, maar de grote boodschap is een duidelijke: De SHA–1 dagen zijn over.

Deze opinie heb ik origineel eind 2016 geschreven. Begin 2017 is door Google en het CWI een daadwerkelijke SHA–1 collision aangetoond. Hiermee was de degradatie van SHA–1 praktisch aangetoond.

Podcast Feature

Nieuwsoverzicht

Een half miljard wachtwoorden
I’ve Just Launched “Pwned Passwords” V2 With Half a Billion Passwords for Download
Haveibeenpwned.com - Pwned Passwords

HaveIBeenPwned.com heeft een half miljard gelekte wachtwoorden. Het interessante is dat ze hiervan ook hashtabellen hebben. Je kunt je wachtwoord zelf dus opzoeken…

Tesla cryptocurrency
Hackers Enlisted Tesla’s Cloud to Mine Cryptocurrency
Tesla Falls to Crypto-Jackers

The attackers had apparently discovered that this particular Kubernetes console—an administrative portal for cloud application management—wasn’t password protected and could therefore be accessed by anyone.

At issue was Tesla’s Kubernetes administrative console, which exposed access credentials to Tesla’s AWS environment. Those credentials provided unfettered access to Tesla’s Amazon Simple Storage Service (S3) buckets.

Nederlandse Gemeenten bedreigd
Dreigingsbeeld Informatiebeveiliging Nederlandse Gemeenten 2018

De vijf belangrijkste bedreigingen voor de lokale informatievoorziening die worden gesignaleerd zijn:

  • Mensen maken fouten;
  • Gemeenten zijn, net als alle organisaties, kwetsbaar;
  • Dreigingen liggen ook (vlak) buiten de eigen organisatie;
  • De waan van de dag bepaalt de agenda;
  • We weten niet wat we niet weten.

Het slechte nieuws: bedreigingen komen van binnen (4x) en 1x van je directe partners.
Het goede nieuws: daar kun je zelf meteen aan gaan werken…

Het tussenzinnetje ‘net als alle organisaties’ spreekt boekdelen over de houding.

Thema: Entropie

Wat is entropie in de security context?
Het gaat hier niet om de natuurkundige betekenis. De Oxford Advanced Learners Dictionary definieert entropy als “a way to measure the lack of order that exists in a system”. Een gebrek aan orde. Maximale wanorde, dus. Dit is wat we in de security met het woord random aanduiden. Wederom de OALD: “without somebody deciding in advance, without any regular pattern, each thing has an equal chance of being chosen”.

Random is een beschrijving van wat we nodig hebben, entropie is de meetlat waarmee we kunnen aanduiden hoeveel we daarvan hebben.

Credits:

Door de site te te blijven gebruiken, gaat u akkoord met het gebruik van cookies. meer informatie

De cookie-instellingen op deze website zijn ingesteld op 'toestaan cookies "om u de beste surfervaring mogelijk. Als u doorgaat met deze website te gebruiken zonder het wijzigen van uw cookie-instellingen of u klikt op "Accepteren" hieronder dan bent u akkoord met deze instellingen.

Sluiten