Development

Security
Guido van Rossum

'Veel IT-beveiligings-onderzoekers zijn aandachtszoekers'

Python-vader Guido van Rossum is niet onder de indruk van recente lekken in de Python-interpreter

Guido van Rossum © CC BY 2.0 - Flickr Alessio Bragadini
14 december 2017

Python-vader Guido van Rossum is niet onder de indruk van recente lekken in de Python-interpreter

"Wij krijgen heel regelmatig vertrouwelijke rapporten over kwetsbaarheden in Python. Veel gevonden kwetsbaarheden zijn vergezocht", zegt Guido van Rossum, de man achter de populaire Python-programeertaal op vragen van AG Connect.

De aanleiding voor het commentaar is het rapport van IOActive dat kwetsbaarheden vond in alle 5 de populaire programmeertalen die de IT-beveiliger met een nieuwe methode onder de loep nam. "Wij hoorden er vorige week van en waren niet onder de indruk van wat ze voor Python hadden gevonden. Het ging om een aantal bestaande API's die willekeurige shell commando's kunnen uitvoeren. Maar om er gebruik van te maken, moet je al toegang hebben tot de Python interpreter. Dat betekent dat je al volledige controle hebt, of deze API's nu bestaan of niet. Het is dus niet mogelijk extra privileges te krijgen via deze weg."

Onwaarschijnlijk geluk

De enige manier om zonder volledige toegang tot de interpreter gebruik te maken van deze kwetsbaarheden, is als een hacker het onwaarschijnlijke geluk heeft dat een andere applicatie input van een gebruiker accepteert en doorgeeft aan deze API's, gaat Van Rossum verder. "Gegeven de aard van deze API's is er geen reden waarom een applicatie zoiets zou doen. In ieder geval is het dan een kwetsbaarheid in de applicatie, niet in de interpreter."

Van Rossum zegt rapporten over beveiligingskwesties altijd heel serieus te nemen. Ze worden nagetrokken en gerepareerd als de melding betrekking heeft op een daadwerkelijke kwetsbaarheid in Python of in zijn standaard library. Meestal zijn deze gemelde kwetsbaarheden echter 'vergezocht' en alleen te misbruiken met behulp van de medewerking van een insider. "We brengen geregeld beveiligingsupdates uit maar dat is in het algemeen meer om de bad guys voor te blijven dan in een reactie op bad guys."

Sky is not falling

Ontwikkelaars moeten leren over beveiliging, de documentatie lezen en regelmatig updaten. Hoe meer waarde is vertegenwoordigd in wat je programmeert hoe groter de aandacht aan de beveiliging moet worden besteed. Hoe meer er te halen valt, des te meer moeite hackers mogelijk zullen steken in een aanval. Van Rossum: "Maar dit is allemaal gezond verstand. De sky is not falling."

Lees meer over Development OP AG Intelligence
Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.