Domov Securitywatch Prestaňte porovnávať každú kritickú chybu so srdcovou škrupinou

Prestaňte porovnávať každú kritickú chybu so srdcovou škrupinou

Video: CHEATING IN SOLO GAME PLAY?! (ShellShock Live) (November 2024)

Video: CHEATING IN SOLO GAME PLAY?! (ShellShock Live) (November 2024)
Anonim

Nie každá kritická zraniteľnosť sa musí porovnávať s Heartbleed, aby sa brala vážne. V skutočnosti nie je potrebné vychovávať Heartbleed alebo Shellshock, keď existuje nová chyba softvéru, ktorá si vyžaduje okamžitú pozornosť.

Minulý týždeň spoločnosť Microsoft napravila vážnu zraniteľnosť v systéme SChannel (Secure Channel), ktorý existuje vo všetkých verziách operačného systému Windows od systému Windows 95. Výskumník spoločnosti IBM ohlásil chybu spoločnosti Microsoft v máji a spoločnosť Microsoft problém vyriešila v rámci svojho novembra Patch vydanie v utorok.

Výskumník IBM Robert Freeman označil túto chybu zabezpečenia ako „zriedkavú chybu typu„ jednorožec “.

Používatelia musia na svojich počítačoch spustiť službu Windows Update (ak je nastavená na automatické spúšťanie, tým lepšie) a správcovia by mali túto opravu uprednostniť. Niektoré konfigurácie môžu mať problémy s opravou a spoločnosť Microsoft vydala riešenie pre tieto systémy. O všetko sa postará, však?

FUD znáša svoju škaredú hlavu

No, nie celkom. Faktom je, že - o sedem mesiacov neskôr - existuje netriviálne množstvo počítačov, ktoré stále používajú systém Windows XP, a to aj napriek tomu, že spoločnosť Microsoft ukončila podporu v apríli. Z tohto dôvodu sú počítače so systémom XP stále vystavené riziku útoku na diaľkové vykonanie kódu, ak používateľ navštívi webovú stránku zachytenú na internete. Príbeh je však z veľkej časti rovnaký ako každý mesiac: spoločnosť Microsoft opravila kritickú zraniteľnosť a vydala opravu. Oprava v utorok ako obvykle.

Pokiaľ to tak nebolo. Možno, že odborníci v oblasti informačnej bezpečnosti sú teraz tak unavení, že si myslia, že musia predávať strach po celý čas. Možno skutočnosť, že táto zraniteľnosť bola zavedená do kódu Windows pred 19 rokmi, vyvolala nejakú spätnú väzbu Heartbleed. Alebo sme sa dostali k bodu, v ktorom je senzacionalizmus normou.

Bol som šokovaný, keď som videl nasledujúcu krajinu v mojej doručenej pošte od Craiga Younga, výskumného pracovníka v oblasti bezpečnosti spoločnosti Tripwire, týkajúceho sa opravy spoločnosti Microsoft: „Heartbleed bol menej výkonný ako MS14-066, pretože to bola„ iba “chyba zverejnenia informácií a Shellshock bol diaľkovo využiteľné iba v podsúboroch postihnutých systémov. ““

Stalo sa to vtipom - smutným, ak o tom premýšľate -, že na to, aby sa akejkoľvek zraniteľnosti mohla dostať akákoľvek pozornosť, musíme mať vymyslené meno a logo. Možno bude mať nasledujúca dychová kapela a chytľavá rolnička. Ak potrebujeme tieto pasce, aby sme ľudí prinútili brať informačnú bezpečnosť vážne, potom je tu problém, a nie samotná chyba. Dostali sme sa k bodu, keď jediným spôsobom, ako upozorniť na bezpečnosť, je uchýliť sa k trikom a senzacionalizme?

Zodpovedná bezpečnosť

Páčilo sa mi nasledujúce: „Toto je veľmi vážna chyba, ktorú je potrebné okamžite opraviť. Našťastie ekosystém aktualizácie platformy Microsoft poskytuje možnosť každého zákazníka opraviť túto chybu v priebehu niekoľkých hodín pomocou služby Microsoft Update, “ uviedol Philip Lieberman, prezident spoločnosti Softvér Lieberman.

Nechápte ma zle. Som rád, že Heartbleed dostal pozornosť, ktorú urobil, pretože to bolo vážne a bolo potrebné osloviť ľudí mimo komunity infosec z dôvodu jej rozsiahleho dopadu. A Shellshockovo meno - z toho, čo môžem povedať - vyšlo z rozhovoru na Twitteri, kde sa diskutovalo o vadách a spôsoboch, ako ich otestovať. Nie je však potrebné nazývať zraniteľnosť SChannel „WinShock“ ani diskutovať o jej závažnosti v súvislosti s týmito nedostatkami.

Môže a mala by stáť sama osebe.

„Táto zraniteľnosť predstavuje pre organizácie vážne teoretické riziko a mala by sa napraviť čo najskôr, nemá to však rovnaký dopad na uvoľnenie ako mnoho ďalších nedávno zverejnených zraniteľností, “ Josh Feinblum, viceprezident pre bezpečnosť informácií na Rapid7, napísal v blogu.

Lieberman urobil zaujímavé pozorovanie a poznamenal, že zraniteľnosť SChannel nebola ako Heartbleed, pretože to nie je tak, akoby každý dodávateľ s otvoreným zdrojom alebo klientsky softvér musel problém vyriešiť a vydať svoju vlastnú opravu. Komerčný softvér s definovanými mechanizmami doručovania opráv, ako napríklad to, čo má Microsoft zavedené, znamená, že nie je potrebné sa obávať „hodge-podge komponentov rôznych verzií a scenárov opráv“.

Nezáleží na tom, či je ťažké (hovorí IBM) alebo triviálne (hovorí iSight Partners) využívať. Online chatovanie naznačuje, že je to iba špička ľadovca, a zraniteľnosť SChannel má potenciál vytvoriť obrovský chaos. Je to vážna chyba. Hovorme o tejto záležitosti na základe svojich vlastných zásluh, bez toho, aby sme sa uchýlili k taktike.

Prestaňte porovnávať každú kritickú chybu so srdcovou škrupinou