Horšie ako srdce? Zoznámte sa s ShellShock: nová bezpečnostná hrozba pre OS X a Linux

Reklama

závažný bezpečnostný problém s shellom Bash - hlavnou zložkou oboch operačných systémov podobných UNIX - bolo objavených, čo má významné dôsledky pre počítačovú bezpečnosť na celom svete.

Tento problém sa vyskytuje vo všetkých verziách skriptovacieho jazyka Bash až do verzie 4.3, ktorá ovplyvňuje väčšinu počítačov so systémom Linux a všetkých počítačov so systémom OS X. a môže vidieť, ako útočník využíva tento problém na spustenie vlastného kódu.

Zaujíma vás, ako to funguje a ako sa chrániť? Ďalšie informácie nájdete v článku.

Čo je Bash?

Bash (skratka pre Bourne Again Shell) je predvolený interpret príkazového riadka používaný na väčšine distribúcií Linuxu a BSD, okrem OS X. Používa sa ako spôsob spúšťania programov, používania systémových pomocných programov a interakcie so základným operačným systémom spúšťaním príkazov.

Navyše, Bash (a väčšina Unixových škrupín) umožňuje skriptovanie funkcií UNIXu v malých skriptoch. Podobne ako väčšina programovacích jazykov - napríklad Python, JavaScript

a CoffeeScript CoffeeScript je JavaScript bez bolesti hlavyNikdy sa mi veľmi nepáčilo písať JavaScript. Odo dňa, keď som napísal svoj prvý riadok, ktorý ho používal, som vždycky namietal, že všetko, čo v ňom napíšem, vždy vyzerá ako Jackson ... Čítaj viac - Bash podporuje funkcie bežné vo väčšine programovacích jazykov, ako sú funkcie, premenné a rozsah.

Bash je takmer všadeprítomný. Mnoho ľudí používa výraz „Bash“ na označenie všetkých rozhraní príkazového riadku bez ohľadu na to, či skutočne používajú prostredie Bash. A keď nainštalovali ste WordPress alebo Ghost príkazovým riadkom Zaregistrovali ste sa na webhosting iba s SSH? Nerobte si starosti - ľahko inštalujte akýkoľvek webový softvérNeviete prvú vec, ktorá sa týka operačného systému Linux prostredníctvom jeho výkonného príkazového riadka? Už sa nemusíte báť. Čítaj viac alebo tunelovaný váš webový prenos prostredníctvom SSH Ako vyladiť webovú prevádzku pomocou SSH Secure Shell Čítaj viac , pravdepodobne ste použili Bash.

Je to všade. Vďaka čomu je táto zraniteľnosť ešte znepokojujúcejšia.

Znášanie útoku

Zraniteľnosť - objavená francúzskym výskumným pracovníkom v oblasti bezpečnosti Stéphane Chazleas - spôsobila paniku u používateľov Linuxu a Mac na celom svete a pritiahla pozornosť aj v technologickej tlači. A tiež z dobrého dôvodu, pretože Shellshock mohol potenciálne vidieť, že útočníci získavajú prístup k privilegovaným systémom a vykonávajú svoj škodlivý kód. Je to škaredé.

Ako to však funguje? Na najnižšej možnej úrovni využíva ako premenné prostredia práca. Používajú ich systémy podobné systému UNIX a Windows Čo sú premenné prostredia a ako ich môžem použiť? [Windows]Tu a tam sa naučím malý tip, ktorý ma núti myslieť si „dobre, keby som vedel, že pred rokom by mi to ušetrilo hodiny času“. Živo si pamätám učenie, ako ... Čítaj viac na ukladanie hodnôt, ktoré sú potrebné na správne fungovanie počítača. Sú dostupné globálne v celom systéme a môžu ukladať jednu hodnotu - napríklad umiestnenie priečinka alebo čísla - alebo funkciu.

Funkcie sú konceptom, ktorý sa nachádza vo vývoji softvéru. Ale čo robia? Jednoducho povedané, zoskupujú súbor inštrukcií (predstavovaných riadkami kódu), ktoré môžu neskôr vykonať iný program alebo užívateľ.

Problém s interpretom Bash spočíva v tom, ako zvláda ukladanie funkcií ako premenných prostredia. V časti Bash je kód nájdený vo funkciách uložený medzi párom zložených zátvoriek. Ak však útočník opustí nejaký kód Bash mimo zloženej vzpery, systém ho potom vykoná. Vďaka tomu je systém otvorený pre rodinu útokov známych ako útoky so vstrekovaním kódu.

Vedci už našli potenciálne vektory útoku využitím softvéru, ako je Webový server Apache Ako nastaviť webový server Apache v 3 jednoduchých krokochNech je dôvod akýkoľvek, v určitom okamihu môžete chcieť spustiť webový server. Či už chcete poskytnúť vzdialený prístup k určitým stránkam alebo službám, chcete získať komunitu ... Čítaj viac a spoločné Obslužné programy UNIX, napríklad WGET Mastering Wget & Learning Niektoré úhľadné triky pri sťahovaníNiekedy nestačí iba uložiť webovú stránku z prehliadača. Niekedy potrebujete trochu viac energie. Na tento účel existuje elegantný malý nástroj príkazového riadka známy ako Wget. Wget je ... Čítaj viac interagovať s prostredím a používať premenné prostredia.

Táto bash bug je zlá ( https://t.co/60kPlziiVv ) Získajte spätnú vrstvu na zraniteľnej webovej stránke http://t.co/7JDCvZVU3S podľa @ortegaalfredo

- Chris Williams (@diodesign) 24. september 2014

CVE-2014-6271: wget -U "() {test;}; / usr / bin / touch / tmp / VULNERABLE" myserver / cgi-bin / test

- Hernan Ochoa (@hernano) 24. september 2014

Ako na to skúšate?

Ste zvedaví, či je váš systém zraniteľný? Zistenie je ľahké. Stačí otvoriť terminál a napísať:

env x = '() {:;}; eh zraniteľné 'bash -c "echo toto je test"

Ak je váš systém zraniteľný, vydá výstup:

zraniteľné je to test

Zatiaľ čo ovplyvnený systém bude produkovať:

env x = '() {:;}; eh zraniteľné 'bash -c "echo toto je test" bash: warning: x: ignorovanie pokusu o definíciu funkcie bash: chyba pri importovaní definície funkcie pre "x" je to test

Ako to vyriešite?

Do zverejnenia mala byť chyba - objavená 24. septembra 2014 - opravená a opravená. Jednoducho musíte aktualizovať svoj systém. Zatiaľ čo varianty Ubuntu a Ubuntu používajú Dash ako svoj hlavný shell, Bash sa stále používa na niektoré systémové funkcie. V dôsledku toho by ste mali odporúčať aktualizáciu. Ak to chcete urobiť, napíšte:

aktualizácia sudo apt-get. sudo apt-get upgrade

Na Fedore a ďalších variantoch Red Hat napíšte:

aktualizácia sudo yum

Spoločnosť Apple zatiaľ neuvoľňuje bezpečnostnú opravu, hoci ak tak urobí, uvoľní ju prostredníctvom obchodu s aplikáciami. Uistite sa, že pravidelne kontrolujete aktualizácie zabezpečenia.

Chromebooky - ktoré používajú Linux ako svoj základ a môžu bežať najrýchlejšie bez veľkého rozruchu Ako nainštalovať Linux na ChromebookPotrebujete na svojom Chromebooku Skype? Chýba vám prístup k hrám prostredníctvom služby Steam? Používate VLC Media Player? Potom na Chromebooku začnite používať systém Linux. Čítaj viac - pre určité funkcie systému použite Bash a ako hlavný obal použite Dash. Spoločnosť Google by sa mala aktualizovať v pravý čas.

Čo robiť, ak váš Distro ešte neurobil Bash

Ak vaše distro ešte vydáva opravu pre Bash, možno budete chcieť zvážiť zmenu distribúcie alebo nainštalovať iný shell.

Odporúčam začiatočníkom vyskúšať Fish Shell. Táto funkcia obsahuje množstvo funkcií, ktoré v súčasnosti nie sú dostupné v systéme Bash, a preto je práca s operačným systémom Linux ešte príjemnejšia. Patria sem automatické podania, živé farby VGA a možnosť ich konfigurácie z webového rozhrania.

Spoluautor MakeUseOf autora Andrew Bolster tiež odporúča vyskúšať Zsh, ktorá prichádza s tesnou integráciou so systémom riadenia verzií Git, ako aj s automatickým dopĺňaním.

@matthewhughes zsh, pretože lepšie automatické dopĺňanie a integrácia git

- Andrew Bolster (@Bolster) 25. september 2014

Najstrašidelnejšia zraniteľnosť systému Linux?

Shellshock už bol vyzbrojený. vnútri jeden deň zraniteľnosti po zverejnení svetu sa už vo voľnej prírode používa na kompromisné systémy. Viac znepokojujúce je, že zraniteľní nie sú len domáci používatelia a firmy. Odborníci v oblasti bezpečnosti predpovedajú, že chyba tiež ohrozí vojenské a vládne systémy. Je to takmer také zlé, ako bol Heartbleed.

Svätá krava je veľa stránok .mil a .gov, ktoré sa stanú vlastníctvom CVE-2014-6271.

- Kenn White (@kennwhite) 24. september 2014

Tak prosím. Aktualizujte svoje systémy, dobre? Dajte mi vedieť, ako sa vám darí, a vaše myšlienky k tomuto dielu. Pole s komentármi je uvedené nižšie.

Fotografický kredit:zanaca (IMG_3772.JPG)