Blogiau nei širdgėla? Susipažinkite su „ShellShock“: nauja saugumo grėsmė „OS X“ ir „Linux“

Skelbimas

A rimta saugumo problema buvo aptiktas „Bash“ apvalkalas - pagrindinis abiejų į UNIX panašių operacinių sistemų komponentas, turintis didelę reikšmę kompiuterių saugumui visame pasaulyje.

Ši problema yra visose „Bash“ scenarijų kalbos versijose iki 4.3 versijos, kuri veikia daugumai „Linux“ mašinų, ir visuose kompiuteriuose, kuriuose veikia OS X. ir gali pamatyti užpuoliką, išnaudojantį šią problemą, kad paleistų savo kodą.

Įdomu, kaip tai veikia ir kaip apsisaugoti? Perskaitykite daugiau informacijos.

Kas yra bashas?

„Bash“ (reiškia „Bourne Again Shell“) yra numatytasis komandų eilutės vertėjas, naudojamas daugelyje „Linux“ ir BSD paskirstymų, be „OS X“. Jis naudojamas kaip programų paleidimo, sistemos priemonių naudojimo ir sąveikos su pagrindine operacine sistema paleidus komandas metodas.

Be to, „Bash“ (ir dauguma „Unix“ apvalkalų) leidžia skriptuoti UNIX funkcijas mažais scenarijais. Panašiai kaip ir daugelyje programavimo kalbų, tokių kaip Python, JavaScript ir „CoffeeScript“ „CoffeeScript“ yra „JavaScript“ be galvos skausmo

Man niekada taip nepatiko rašyti „JavaScript“. Nuo tos dienos, kai parašiau savo pirmąją eilutę naudodama ją, aš visada piktinčiausi, kad kas joje rašau, visada atrodo kaip Džeksonas ... Skaityti daugiau - „Bash“ palaiko funkcijas, būdingas daugumai programavimo kalbų, tokias kaip funkcijos, kintamieji ir apimtis.

„Bash“ yra beveik visur paplitęs reiškinys. Daugelis žmonių, naudodami terminą „Bash“, nurodo visas komandų eilutės sąsajas, nesvarbu, ar jie iš tikrųjų naudoja „Bash“ apvalkalą. Ir jeigu jūs kada nors įdiegėte „WordPress“ arba „Ghost“ naudodami komandinę eilutę Prisiregistravote naudoti tik SSH žiniatinklio prieglobą? Nesijaudinkite - lengvai įdiekite bet kokią žiniatinklio programinę įrangąNežinai pirmojo dalyko, kai „Linux“ naudojama per galingą komandinę eilutę? Daugiau nesijaudink. Skaityti daugiau , arba tuneliuokite savo interneto srautą per SSH Kaip atpažinti interneto srautą naudojant SSH Skaityti daugiau , jūs, galbūt, naudojote „Bash“.

Tai yra visur. Dėl to šis pažeidžiamumas dar labiau jaudina.

Išpjaustyti ataką

Pažeidžiamumą atrado prancūzų saugumo tyrinėtojas Stéphane Chazleas - sukėlė didelę paniką „Linux“ ir „Mac“ vartotojams visame pasaulyje, taip pat sulaukė dėmesio technologinėje spaudoje. Ir dėl rimtos priežasties, nes „Shellshock“ galėjo pamatyti užpuolikus prieigą prie privilegijuotų sistemų ir vykdyti savo kenkėjišką kodą. Tai bjauru.

Bet kaip tai veikia? Žemiausiu įmanomu lygiu išnaudojama, kaip aplinkos įvairovė darbas. Juos naudoja ir UNIX tipo sistemos ir „Windows“ Kas yra aplinkos kintamieji ir kaip juos naudoti? [„Windows“]Retkarčiais išmoksiu po truputį patarimo, kuris verčia susimąstyti, „gerai, jei žinočiau, kad prieš metus tai būtų man sutaupęs valandų valandas“. Aš ryškiai atsimenu, kaip mokiausi ... Skaityti daugiau saugoti reikšmes, kurių reikia kompiuteriui tinkamai veikti. Jie yra prieinami visame pasaulyje ir gali saugoti vieną vertę, pavyzdžiui, aplanko ar numerio vietą, arba funkciją.

Funkcijos yra sąvoka, kuri randama kuriant programinę įrangą. Bet ką jie daro? Paprasčiau tariant, jie susieja instrukcijų rinkinį (žymimą kodo eilutėmis), kurį vėliau gali vykdyti kita programa arba vartotojas.

„Bash“ vertėjo problema yra ta, kaip jis tvarko funkcijas kaip aplinkos kintamuosius. „Bash“ programoje randamas kodas saugomas tarp porų garbanų. Tačiau jei užpuolikas palieka kokį nors „Bash“ kodą už garbanoto petnešos, sistema jį įvykdys. Tai palieka sistemą plačiai atakų grupei, vadinamai kodo įpurškimo išpuoliais.

Tyrinėtojai jau atrado galimus išpuolių pernešėjus, naudodamiesi tokia programinės įrangos kaip „Apache“ žiniatinklio serveris Kaip nustatyti „Apache“ tinklo serverį atliekant 3 paprastus veiksmusKad ir kokia būtų priežastis, tam tikru metu galite norėti įjungti žiniatinklio serverį. Nesvarbu, ar norite sau suteikti nuotolinę prieigą prie tam tikrų puslapių ar paslaugų, norite sukurti bendruomenę ... Skaityti daugiau , ir dažnas UNIX komunalinės paslaugos, tokios kaip WGET Valdymo įsisavinimas ir keleto tvarkingų triukų atsisiuntimo mokymasisKartais neužtenka vien išsaugoti svetainę iš naršyklės. Kartais reikia šiek tiek daugiau jėgų. Tam yra tvarkingas, mažas komandų eilutės įrankis, žinomas kaip „Wget“. Wget yra ... Skaityti daugiau sąveikauti su apvalkalu ir naudoti aplinkos kintamuosius.

Ši klaida yra bloga ( https://t.co/60kPlziiVv ) Gaukite atvirkštinį apvalkalą pažeidžiamoje svetainėje http://t.co/7JDCvZVU3S autorius @ortegaalfredo

- Chrisas Williamsas (@diodesign) 2014 m. Rugsėjo 24 d

CVE-2014-6271: wget -U "() {test;}; / usr / bin / touch / tmp / VULNERABLE" myserver / cgi-bin / test

- Hernanas Ochoa (@hernano) 2014 m. Rugsėjo 24 d

Kaip jūs tai išbandote?

Norite sužinoti, ar jūsų sistema pažeidžiama? Tai sužinoti nesunku. Tiesiog atidarykite terminalą ir įveskite:

env x = '() {:;}; aidas pažeidžiamas „bash-c“ aidas tai testas “

Jei jūsų sistema yra pažeidžiama, ji išves:

pažeidžiamas tai yra išbandymas

Nors nepaveikta sistema išves:

env x = '() {:;}; aidas pažeidžiamas „bash-c" aidas tai bandomasis „bash: perspėjimas: x: nepaisoma funkcijos apibrėžimo bandymo bash: klaida importuojant funkcijos apibrėžimą„ x “Tai yra testas

Kaip jūs tai ištaisote?

Iki paskelbimo klaida, kuri buvo rasta 2014 m. Rugsėjo 24 d., Turėjo būti ištaisyta ir pataisyta. Jums tiesiog reikia atnaujinti savo sistemą. Nors „Ubuntu“ ir „Ubuntu“ variantuose „Dash“ naudojamas kaip pagrindinis apvalkalas, „Bash“ vis tiek naudojamas kai kurioms sistemos funkcijoms. Todėl jums bus gerai patarta jį atnaujinti. Norėdami tai padaryti, įveskite:

„sudo apt-get“ atnaujinimas. „sudo apt-get“ atnaujinimas

„Fedora“ ir kituose „Red Hat“ variantuose įveskite:

sudo yum atnaujinimas

„Apple“ dar turi išleisti tam skirtą saugos pataisą, nors, jei jie tai padarys, jie išleis ją per „App Store“. Įsitikinkite, kad reguliariai tikrinate, ar nėra saugos naujinimų.

„Chromebook“ įrenginiai, kurie kaip pagrindą naudoja Linux ir gali paleisti daugiausiai diskotekų be daug šurmulio Kaip įdiegti „Linux“ į „Chromebook“Ar jums reikia „Skype“ „Chromebook“? Ar praleidote negalėdami naudotis žaidimais per „Steam“? Ar ketinate naudoti „VLC Media Player“? Tada pradėkite naudoti „Linux“ savo „Chromebook“. Skaityti daugiau - naudokite „Bash“ tam tikroms sistemos funkcijoms ir „Dash“ kaip jų pagrindinį apvalkalą. „Google“ turėtų atnaujinti tinkamu sezonu.

Ką daryti, jei jūsų „Distro“ dar neištaisė basso

Jei jūsų diskotekoje dar neišleista „Bash“ pataisa, galbūt norėsite apsvarstyti pakeitimų pakeitimus arba įdiegti kitą apvalkalą.

Aš pradedantiesiems rekomenduočiau apsilankyti Žuvies lukštas. Tai ateina su daugybe funkcijų, kurių šiuo metu nėra „Bash“ ir kurios dar labiau malonina darbą su „Linux“. Tai apima automatinius siūlymus, ryškias VGA spalvas ir galimybę konfigūruoti iš žiniatinklio sąsajos.

Bendradarbis „MakeUseO“ autorius Andrew Bolsteris taip pat rekomenduoja apsižvalgyti zSH, kurį reikia integruoti su „Git“ versijos valdymo sistema, taip pat automatiškai užbaigti.

@matthewhughes zsh, nes geresnis automatinis užbaigimas ir integracija

- Andrew Bolsteris (@Bolster) 2014 m. Rugsėjo 25 d

Dar baisiausias „Linux“ pažeidžiamumas?

„Shellshock“ jau buvo ginkluota. Viduje vieną dieną pažeidžiamumas paviešintas pasauliui, jis jau buvo naudojamas gamtoje kompromituoti. Nerimą kelia tai, kad pažeidžiami ne tik namų vartotojai ir įmonės. Saugumo ekspertai prognozuoja, kad dėl klaidos karinė ir vyriausybinė sistemos taip pat pateks į pavojų. Tai beveik toks pat košmariškas, koks buvo „Heartbleed“.

Šventoji karvė yra daug .mil ir .gov svetainių, kurioms priklausys CVE-2014-6271.

- Kennas White'as (@kennwhite) 2014 m. Rugsėjo 24 d

Taigi prašau. Atnaujinkite savo sistemas, gerai? Leiskite man žinoti, kaip jums sekasi, ir jūsų mintis apie šį kūrinį. Komentarų laukas yra žemiau.

Nuotraukų kreditas:„Zanaca“ (IMG_3772.JPG)