r   e   k   l   a   m   a
r   e   k   l   a   m   a

Eksperci o Shellshocku: dla jednych to katastrofa, inni uspokajają, że aż tak źle nie jest

Strona główna AktualnościOPROGRAMOWANIE

Shellshock – luka w powłoce Bash, powszechnie wykorzystywanej w Linuksie i domyślnie w OS X – porównywana jest już do luki Heartbleed, błędu w OpenSSL, który pozwalał napastnikom na uzyskanie zrzutów pamięci atakowanych maszyn, a wraz z nimi np. loginów i haseł. Porównanie to jest o tyle uzasadnione, że w obu tych wypadkach chodzi o jeden z kluczowych opensource'owych komponentów systemowych, w obu też zagrożone są nie tylko serwery, ale też miliony trudnych w załataniu urządzeń, takich jak routery, komputery wbudowane czy nawet kamerki IP. Wiele jednak wskazuje na to, że mamy do czynienia ze znacznie poważniejszym kryzysem.

Secunia wydała dziś komunikat w tej sprawie, pisząc, że Shellshock jest groźniejszy niż Heartbleed, gdyż pozwala na zdalne wykonywanie kodu, podczas gdy luka w OpenSSL pozwalała „tylko” na przejęcie wrażliwych informacji. Amerykański Narodowy Instytut Standardów i Technologii ocenił nowe zagrożenie na „10” w skali dziesięciostopniowej, podkreślając zarówno wpływ jak i łatwość ataku. Simon Edwards, ekspert z firmy Damballa, podkreślił zaś że choć najbardziej zagrożone są webserwery, to zaatakowane mogą zostać wszelkiego rodzaju urządzenia komputerowe. Te najmniejsze na szczęście zwykle korzystają z odpornego na atak BusyBoksa, ale np. switche, routery, drukarki czy systemy kontroli przemysłowej mają bardzo często zainstalowanego Basha.

Ben Johnson, główny badacz firmy Bit9 podkreśla z kolei złożoność natury odkrytej luki. O ile w wypadku Heartbleeda sprawa była prosta, administratorom wystarczyło sprawdzić, którą wersję OpenSSL mają zainstalowaną w systemie, to Shellshock skazuje ich na sprawdzanie dziesiątek usług sieciowych, które mogłyby wykorzystywać Basha do swojego działania. Ekspert uważa, że może to wykraczać poza umiejętności wielu osób, a nawet dla profesjonalistów być poważnym wyzwaniem.

r   e   k   l   a   m   a

Zdecydowanie nieciekawie wygląda perspektywa, którą roztacza Gavin Millard, dyrektor techniczny firmy Tenable. Uważa on, że Shellshock posłuży do zbudowania robaków, które pełzając po Sieci będą zarażały jedną podatną linuksową maszynę po drugiej, tak jak dawno temu robiły to z Windows robaki takie jak Slammer czy Blaster. Tym razem jednak na stu tysiącach zarażonych komputerów się nie skończy – Millard mówi o nawet stu milionach urządzeń. Większość z nich to praktycznie niemożliwe do załatania urządzenia wbudowane, elementy Internetu Rzeczy. Nawet jeśli jednak nie będziemy mieli shellshockowych robaków, to i tak ucierpi mnóstwo atakowanych gotowymi już skryptami serwerów WWW. Darien Kindlund, dyrektor bezpieczeństwa w firmie FireEye ocenia, że obecnie podatnych jest 20-50% wszystkich webserwerów, w szczególności starszych maszyn, na których działają klasyczne skrypty CGI.

Być może jednak reakcje są przesadzone. To prawda, gotowe są już nawet złośliwe serwery DHCP, pozwalające np. zrestartować podłączające się do nich komputery z podatną wersją oprogramowania, czy furtki, dzięki którym możemy zdalnie sterować niezałatanymi serwerami, ale np. deweloperzy cenionego frameworka Metasploit nawołują do powstrzymania się od paniki. Według nich większość systemów z zainstalowanymi niezałatanymi wersjami Basha nie będzie podatna na zdalny atak. Wymaga on od napastnika możliwości wysłania spreparowanej zmiennej środowiskowej do napisanego w bashu programu, będącego częścią usługi sieciowej, daje też pewne ciekawe wektory ataku w systemach z wieloma użytkownikami, ale nie jest na pewno początkiem apokalipsy.

W wykryciu, czy nasze systemy nie są czasem atakowane Shellshockiem, pomóc może narzędzie sysdig. Otrzymało ono właśnie aktualizację, dzięki której po uruchomieniu go z flagą -c shellshock_detect, dostaniemy listę wszystkich procesów, które mogą być atakowane. Więcej na ten temat znajdziecie na stronie projektu.

Apple ma natomiast dobrą wiadomość dla użytkowników Maków. Co prawda nie przygotowało jeszcze łatki dla wykorzystywanej w komputerach z OS X wersji Basha, ale twierdzi, że typowy użytkownik MacBooka czy iMaca nie powinien czuć się zagrożony. Powłoka ta nie jest w OS X ujawniana normalnie działającym usługom systemowym. Martwić się mogą jedynie ci użytkownicy, którzy uruchomili zaawansowane usługi uniksowe. Otrzymają oni łatki w najbliższym możliwym terminie.

© dobreprogramy
r   e   k   l   a   m   a
r   e   k   l   a   m   a

Komentarze

r   e   k   l   a   m   a
r   e   k   l   a   m   a
Czy wiesz, że używamy cookies (ciasteczek)? Dowiedz się więcej o celu ich używania i zmianach ustawień.
Korzystając ze strony i asystenta pobierania wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.