Eksperci o Shellshocku: dla jednych to katastrofa, inni uspokajają, że aż tak źle nie jest

Eksperci o Shellshocku: dla jednych to katastrofa, inni uspokajają, że aż tak źle nie jest26.09.2014 17:01

Shellshock – luka w powłoce Bash, powszechnie wykorzystywanej wLinuksie i domyślnie w OS X – porównywana jest już do lukiHeartbleed,błędu w OpenSSL, który pozwalał napastnikom na uzyskanie zrzutówpamięci atakowanych maszyn, a wraz z nimi np. loginów i haseł.Porównanie to jest o tyle uzasadnione, że w obu tych wypadkachchodzi o jeden z kluczowych opensource'owych komponentówsystemowych, w obu też zagrożone są nie tylko serwery, ale teżmiliony trudnych w załataniu urządzeń, takich jak routery,komputery wbudowane czy nawet kamerki IP. Wiele jednak wskazuje nato, że mamy do czynienia ze znacznie poważniejszym kryzysem.

Secunia wydała dziś komunikatw tej sprawie, pisząc, że Shellshock jest groźniejszy niżHeartbleed, gdyż pozwala na zdalne wykonywanie kodu, podczas gdyluka w OpenSSL pozwalała „tylko” na przejęcie wrażliwychinformacji. Amerykański Narodowy Instytut Standardów i Technologiiocenił nowe zagrożenie na „10” w skali dziesięciostopniowej,podkreślając zarówno wpływ jak i łatwość ataku. Simon Edwards,ekspert z firmy Damballa, podkreślił zaś że choć najbardziejzagrożone są webserwery, to zaatakowane mogą zostać wszelkiegorodzaju urządzenia komputerowe. Te najmniejsze na szczęście zwyklekorzystają z odpornego na atak BusyBoksa, ale np. switche, routery,drukarki czy systemy kontroli przemysłowej mają bardzo częstozainstalowanego Basha.

Ben Johnson, główny badacz firmy Bit9 podkreśla z koleizłożoność natury odkrytej luki. O ile w wypadku Heartbleedasprawa była prosta, administratorom wystarczyło sprawdzić, którąwersję OpenSSL mają zainstalowaną w systemie, to Shellshockskazuje ich na sprawdzanie dziesiątek usług sieciowych, któremogłyby wykorzystywać Basha do swojego działania. Ekspert uważa,że może to wykraczać poza umiejętności wielu osób, a nawet dlaprofesjonalistów być poważnym wyzwaniem.

Zdecydowanie nieciekawie wygląda perspektywa, którą roztaczaGavin Millard, dyrektor techniczny firmy Tenable. Uważa on, żeShellshock posłuży do zbudowania robaków, które pełzając poSieci będą zarażały jedną podatną linuksową maszynę podrugiej, tak jak dawno temu robiły to z Windows robaki takie jakSlammer czy Blaster. Tym razem jednak na stu tysiącach zarażonychkomputerów się nie skończy – Millard mówi o nawet stu milionachurządzeń. Większość z nich to praktycznie niemożliwe dozałatania urządzenia wbudowane, elementy Internetu Rzeczy. Nawetjeśli jednak nie będziemy mieli shellshockowych robaków, to i takucierpi mnóstwo atakowanych gotowymi już skryptami serwerów WWW.Darien Kindlund, dyrektor bezpieczeństwa w firmie FireEye ocenia, żeobecnie podatnych jest 20-50% wszystkich webserwerów, wszczególności starszych maszyn, na których działają klasyczneskrypty CGI.

Być może jednak reakcje są przesadzone. To prawda, gotowe sąjuż nawet złośliweserwery DHCP, pozwalające np. zrestartować podłączające siędo nich komputery z podatną wersją oprogramowania, czy furtki,dzięki którym możemy zdalnie sterować niezałatanymi serwerami,ale np. deweloperzy cenionego frameworka Metasploit nawołujądo powstrzymania się od paniki. Według nich większość systemówz zainstalowanymi niezałatanymi wersjami Basha nie będzie podatnana zdalny atak. Wymaga on od napastnika możliwości wysłaniaspreparowanej zmiennej środowiskowej do napisanego w bashu programu,będącego częścią usługi sieciowej, daje też pewne ciekawewektory ataku w systemach z wieloma użytkownikami, ale nie jest napewno początkiem apokalipsy.

W wykryciu, czy nasze systemy nie są czasem atakowaneShellshockiem, pomóc może narzędziesysdig. Otrzymało ono właśnie aktualizację, dzięki którejpo uruchomieniu go z flagą -c shellshock_detect, dostaniemy listęwszystkich procesów, które mogą być atakowane. Więcej na tentemat znajdziecie na stronieprojektu.

Apple ma natomiast dobrą wiadomość dla użytkowników Maków.Co prawda nie przygotowało jeszcze łatki dla wykorzystywanej wkomputerach z OS X wersji Basha, ale twierdzi, że typowy użytkownikMacBooka czy iMaca nie powinien czuć się zagrożony. Powłoka tanie jest w OS X ujawniana normalnie działającym usługomsystemowym. Martwić się mogą jedynie ci użytkownicy, którzyuruchomili zaawansowane usługi uniksowe.Otrzymają oni łatki w najbliższym możliwym terminie.

Źródło artykułu:www.dobreprogramy.pl
© dobreprogramy·Redakcja·Regulamin·Polityka prywatności·Reklama·Kontakt
Szanowna Użytkowniczko! Szanowny Użytkowniku!
×
Aby dalej móc dostarczać coraz lepsze materiały redakcyjne i udostępniać coraz lepsze usługi, potrzebujemy zgody na dopasowanie treści marketingowych do Twojego zachowania. Twoje dane są u nas bezpieczne, a zgodę możesz wycofać w każdej chwili na podstronie polityka prywatności.

Kliknij "PRZECHODZĘ DO SERWISU" lub na symbol "X" w górnym rogu tej planszy, jeżeli zgadzasz się na przetwarzanie przez Wirtualną Polskę i naszych Zaufanych Partnerów Twoich danych osobowych, zbieranych w ramach korzystania przez Ciebie z usług, portali i serwisów internetowych Wirtualnej Polski (w tym danych zapisywanych w plikach cookies) w celach marketingowych realizowanych na zlecenie naszych Zaufanych Partnerów. Jeśli nie zgadzasz się na przetwarzanie Twoich danych osobowych skorzystaj z ustawień w polityce prywatności. Zgoda jest dobrowolna i możesz ją w dowolnym momencie wycofać zmieniając ustawienia w polityce prywatności (w której znajdziesz odpowiedzi na wszystkie pytania związane z przetwarzaniem Twoich danych osobowych).

Od 25 maja 2018 roku obowiązuje Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 (określane jako "RODO"). W związku z tym chcielibyśmy poinformować o przetwarzaniu Twoich danych oraz zasadach, na jakich odbywa się to po dniu 25 maja 2018 roku.

Kto będzie administratorem Twoich danych?

Administratorami Twoich danych będzie Wirtualna Polska Media Spółka Akcyjna z siedzibą w Warszawie, oraz pozostałe spółki z grupy Wirtualna Polska, jak również nasi Zaufani Partnerzy, z którymi stale współpracujemy. Szczegółowe informacje dotyczące administratorów znajdują się w polityce prywatności.

O jakich danych mówimy?

Chodzi o dane osobowe, które są zbierane w ramach korzystania przez Ciebie z naszych usług, portali i serwisów internetowych udostępnianych przez Wirtualną Polskę, w tym zapisywanych w plikach cookies, które są instalowane na naszych stronach przez Wirtualną Polskę oraz naszych Zaufanych Partnerów.

Dlaczego chcemy przetwarzać Twoje dane?

Przetwarzamy je dostarczać coraz lepsze materiały redakcyjne, dopasować ich tematykę do Twoich zainteresowań, tworzyć portale i serwisy internetowe, z których będziesz korzystać z przyjemnością, zapewniać większe bezpieczeństwo usług, udoskonalać nasze usługi i maksymalnie dopasować je do Twoich zainteresowań, pokazywać reklamy dopasowane do Twoich potrzeb. Szczegółowe informacje dotyczące celów przetwarzania Twoich danych znajdują się w polityce prywatności.

Komu możemy przekazać dane?

Twoje dane możemy przekazywać podmiotom przetwarzającym je na nasze zlecenie oraz podmiotom uprawnionym do uzyskania danych na podstawie obowiązującego prawa – oczywiście tylko, gdy wystąpią z żądaniem w oparciu o stosowną podstawę prawną.

Jakie masz prawa w stosunku do Twoich danych?

Masz prawo żądania dostępu, sprostowania, usunięcia lub ograniczenia przetwarzania danych. Możesz wycofać zgodę na przetwarzanie, zgłosić sprzeciw oraz skorzystać z innych praw wymienionych szczegółowo w polityce prywatności.

Jakie są podstawy prawne przetwarzania Twoich danych?

Podstawą prawną przetwarzania Twoich danych w celu świadczenia usług jest niezbędność do wykonania umów o ich świadczenie (tymi umowami są zazwyczaj regulaminy). Podstawą prawną przetwarzania danych w celu pomiarów statystycznych i marketingu własnego administratorów jest tzw. uzasadniony interes administratora. Przetwarzanie Twoich danych w celach marketingowych realizowanych przez Wirtualną Polskę na zlecenie Zaufanych Partnerów i bezpośrednio przez Zaufanych Partnerów będzie odbywać się na podstawie Twojej dobrowolnej zgody.

Przejdź na