Video: Heartbleed Exploit - Discovery & Exploitation (Octombrie 2024)
Nu toate vulnerabilitățile critice trebuie comparate cu Heartbleed pentru a fi luate în serios. De fapt, nu este nevoie să creăm Heartbleed sau Shellshock atunci când există un nou defect software care necesită atenție imediată.
Săptămâna trecută, Microsoft a aplicat o vulnerabilitate gravă în SChannel (Secure Channel) care există în fiecare versiune a sistemului de operare Windows de la Windows 95. Un cercetător IBM a raportat bug-ul la Microsoft în mai, iar Microsoft a rezolvat problema în noiembrie. Patch marți de presă.
Cercetătorul IBM Robert Freeman a descris vulnerabilitatea ca „eroare rară, „ ca unicorn ”.
Utilizatorii trebuie să ruleze Windows Update pe computerele lor (dacă este setat să funcționeze automat, cu atât mai bine), iar administratorii ar trebui să acorde prioritate acestei corecții. Unele configurații pot avea probleme cu patch-ul și Microsoft a lansat o soluție pentru aceste sisteme. Totul este îngrijit, nu?
FUD își înfige capul urât
Ei bine, nu chiar. Cert este că există - șapte luni mai târziu! - un număr non-banal de computere care încă funcționează Windows XP, în ciuda faptului că Microsoft a terminat suportul în aprilie. Așadar, mașinile XP sunt încă în pericol de atac de execuție a codului de la distanță dacă utilizatorul vizitează un site Web prins de booby. În mare parte, povestea este aceeași ca în fiecare lună: Microsoft a remediat o vulnerabilitate critică și a lansat un patch. Patch marți de afaceri, ca de obicei.
Până nu a fost. Poate că profesioniștii în securitatea informațiilor sunt acum atât de încurcați, încât cred că trebuie să vândă frica tot timpul. Probabil faptul că această vulnerabilitate a fost introdusă în codul Windows în urmă cu 19 ani a declanșat un fel de flashback Heartbleed-flashback. Sau am ajuns la un punct în care senzaționalismul este norma.
Dar mi-a luat răgaz să văd următorul teren din cutiile primite de la Craig Young, un cercetător de securitate cu Tripwire, referitor la patch-ul Microsoft: „Heartbleed era mai puțin puternic decât MS14-066 pentru că era„ doar ”o eroare de dezvăluire a informațiilor și Shellshock era exploatabil de la distanță numai într-un subset de sisteme afectate."
A devenit o glumă - una tristă dacă te gândești la ea - că pentru orice vulnerabilitate pentru a obține orice atenție, acum trebuie să avem un nume fantezist și un logo. Poate că următorul va avea o bandă de alamă și un jingle atrăgător. Dacă avem nevoie de aceste capcane pentru a determina oamenii să ia în serios securitatea informațiilor, atunci există o problemă și nu este problema în sine. Am ajuns la punctul în care singura modalitate de a atrage atenția asupra securității este să recurgem la trucuri și senzaționalism?
Securitate responsabilă
Mi-a plăcut următoarele: "Acesta este un bug foarte grav, care trebuie să fie patchiat imediat. Din fericire, ecosistemul de actualizare a platformei Microsoft oferă posibilitatea ca fiecare client să fie plasat pentru această vulnerabilitate în câteva ore folosind Microsoft Update", a spus Philip Lieberman, președintele Software Lieberman.
Nu mă înțelege greșit. Mă bucur că Heartbleed a primit atenția pe care a făcut-o, pentru că era serioasă și trebuia să ajungă la oameni din afara comunității infosec din cauza impactului său larg. Și numele lui Shellshock - din ce pot să vă spun - a ieșit dintr-o conversație pe Twitter care discuta despre defectul și modalitățile de testare a acestuia. Însă nu este nevoie să numim vulnerabilitatea SChannel „WinShock” sau să dezbatem seriozitatea acesteia în raport cu aceste defecte.
Poate și ar trebui să stea singur.
"Această vulnerabilitate reprezintă un risc teoretic grav pentru organizații și ar trebui să fie aplicată cât mai curând posibil, dar nu are același impact în timp de eliberare ca multe dintre celelalte vulnerabilități extrem de publicizate recent", a spus Josh Feinblum, vicepreședinte al securității informațiilor. la Rapid7, a scris într-o postare pe blog.
Lieberman a făcut o observație interesantă, menționând că vulnerabilitatea SChannel nu a fost ca Heartbleed, deoarece nu este ca și cum fiecare vânzător open-source sau software-ul client ar trebui să rezolve problema și să-și elibereze propriul patch. Software-ul comercial cu mecanisme definite de livrare a patch-urilor, cum ar fi Microsoft are în funcție, înseamnă că nu este necesar să vă faceți griji cu privire la „un blocaj de componente de variante variate și scenarii de patch-uri”.
Nu contează dacă este dificil (spune IBM) sau banal (spune iSight Partners) să fie exploatat. Chat-ul online sugerează că acesta este doar vârful aisbergului, iar vulnerabilitatea SChannel are potențialul de a crea o mizerie imensă. Este o eroare serioasă. Să vorbim despre această problemă pe propriile merite, fără a recurge la tactici de frică.
