Video: ShellShock Attack Demonstration (Nobyembre 2024)
Hindi lahat ng kritikal na kahinaan ay kailangang maihambing sa Heartbleed na malala. Sa katunayan, hindi na kailangang magdala ng Heartbleed o Shellshock kapag mayroong isang bagong pagkakamali ng software na nangangailangan ng agarang atensyon.
Noong nakaraang linggo, ang Microsoft ay naka-patch ng isang malubhang kahinaan sa SChannel (Secure Channel) na umiiral sa bawat bersyon ng operating system ng Windows mula pa noong Windows 95. Inuulat ng isang mananaliksik ng IBM ang bug sa Microsoft noong Mayo, at naayos ng Microsoft ang isyu bilang bahagi ng Nobyembre Paglabas ng Patch Martes.
Inilarawan ng mananaliksik ng IBM na si Robert Freeman ang kahinaan bilang "bihirang, 'unicorn-like' bug."
Kailangang patakbuhin ng mga gumagamit ang Windows Update sa kanilang mga computer (kung nakatakdang tumakbo nang awtomatiko, lahat ng mas mahusay) at dapat na unahin ng mga administrador ang patch na ito. Ang ilang mga pagsasaayos ay maaaring magkaroon ng problema sa patch at ang Microsoft ay naglabas ng isang workaround para sa mga system na iyon. Lahat ay inaalagaan, di ba?
Ang FUD Rears Ang Ugly Head nito
Well, hindi masyadong. Ang totoo, mayroong - pitong buwan mamaya! - isang di-gaanong bilang ng mga computer na tumatakbo pa rin sa Windows XP, sa kabila ng pagtatapos ng suporta ng Microsoft noong Abril. Kaya ang mga makina ng XP ay nasa panganib pa rin ng isang pag-atake ng isang pagpapatupad ng malayong code kung ang gumagamit ay bumisita sa isang Website na nakulong sa booby. Ngunit para sa karamihan, ang kuwento ay pareho tulad ng ito ay bawat buwan: naayos ng Microsoft ang isang kritikal na kahinaan at pinakawalan ang isang patch. Patch Martes na negosyo tulad ng dati.
Hanggang sa hindi. Marahil na ang mga propesyonal sa seguridad ng impormasyon ay napakapasyal ngayon na sa palagay nila kailangan nilang magbenta ng takot sa lahat ng oras. Marahil ang katotohanan na ang kahinaan na ito ay ipinakilala sa Windows code 19 taon na ang nakakaraan ay nag-trigger ng ilang uri ng isang Heartbleed-flashback. O nakarating tayo sa isang puntong ang sensationalism ang pamantayan.
Ngunit natigilan ako upang makita ang sumusunod na lupain sa aking inbox mula kay Craig Young, isang security researcher na kasama ang Tripwire, patungkol sa Microsoft patch: "Ang heartbleed ay hindi gaanong makapangyarihan kaysa sa MS14-066 dahil ito ay 'lamang' ng isang impormasyon ng pagsisiwalat ng impormasyon at ang Shellshock ay malalawak na mapagsamantala lamang sa isang subset ng mga apektadong sistema. "
Ito ay naging isang biro - isang malungkot kung iniisip mo ito - na para sa anumang kahinaan upang makakuha ng anumang uri ng pansin, kailangan nating magkaroon ng isang magarbong pangalan at isang logo. Siguro ang susunod ay magkakaroon ng isang bandang tanso at isang nakamamanghang jingle. Kung kailangan namin ang mga trappings na ito upang seryosohin ang mga tao sa seguridad ng impormasyon, pagkatapos ay may problema, at hindi ito mismo ang bug. Nakarating na ba tayo sa puntong kung saan ang nag-iisang paraan upang maakit ang pansin sa seguridad ay ang pagkakaroon ng mga gimik at sensationalism?
Responsable Security
Nagustuhan ko ang mga sumusunod: "Ito ay isang seryosong bug na kailangang mai-patch kaagad. Sa kabutihang palad, ang Microsoft platform update ng ekosistema ay nagbibigay ng kakayahan para sa bawat customer na mai-patch para sa kahinaan sa mga oras na ginagamit ang Microsoft Update, " sabi ni Philip Lieberman, pangulo ng Lieberman Software.
Huwag mo akong mali. Natutuwa ako na nakuha ni Heartbleed ang atensyon na ginawa nito, dahil ito ay seryoso at kinakailangan upang maabot ang mga tao sa labas ng infosec community dahil sa malawak na epekto nito. At ang pangalan ni Shellshock - mula sa masasabi ko - ay lumabas sa isang pag-uusap sa Twitter na tinatalakay ang kamalian at mga paraan upang subukan ito. Ngunit hindi na kailangang tawagan ang kahinaan ng SChannel na "WinShock" o upang i-debate ang kabigatan nito na may kaugnayan sa mga bahid na iyon.
Maaari ito, at dapat, tumayo sa sarili nitong.
"Ang kahinaan na ito ay nagdudulot ng malubhang teoretikal na peligro sa mga organisasyon at dapat na mai-patched sa lalong madaling panahon, ngunit hindi ito magkaparehong epekto ng paglabas-oras na tulad ng marami sa iba pang mga kamakailan-lamang na napapubliko na kahinaan, " Josh Feinblum, bise-presidente ng seguridad ng impormasyon sa Rapid7, sumulat sa isang post sa blog.
Ginawa ni Lieberman ang isang kagiliw-giliw na obserbasyon, na tandaan na ang kahinaan ng SChannel ay hindi tulad ng Heartbleed dahil hindi ito tulad ng bawat bukas na mapagkukunan ng vendor o software ng kliyente ay kailangang ayusin ang isyu at ilabas ang kanilang sariling patch. Ang komersyal na software na may tinukoy na mga mekanismo ng paghahatid ng patch tulad ng kung ano ang nasa Microsoft ay nangangahulugang hindi na kailangang mag-alala tungkol sa "isang hodge-podge ng mga sangkap ng iba't ibang mga bersyon at mga senaryo ng patch."
Hindi mahalaga kung mahirap (sabi ng IBM) o walang kabuluhan (sabi ng iSight Partners) na samantalahin. Iminumungkahi ng online na chatter na ito lamang ang dulo ng iceberg, at ang kahinaan ng SChannel ay may potensyal na lumikha ng isang malaking gulo. Ito ay isang malubhang bug. Pag-usapan natin ang isyu sa sarili nitong mga merito nang hindi gumagamit ng mga taktika sa takot.
