Відео: Running an SQL Injection Attack - Computerphile (Листопад 2024)
Не кожну критичну вразливість доводиться порівнювати з Heartbleed, щоб сприймати її серйозно. Насправді, немає необхідності створювати Heartbleed або Shellshock, коли є новий недолік програмного забезпечення, який потребує негайної уваги.
Минулого тижня Microsoft виправила серйозну вразливість у SChannel (захищеному каналі), який існує у будь-якій версії операційної системи Windows з Windows 95. Дослідник IBM повідомив про помилку в травні Майкрософт, а Microsoft виправила проблему в рамках листопада Випуск патч-вівторка.
Дослідник IBM Роберт Фріман описав вразливість як "рідкісну помилку, схожу на єдиноріг".
Користувачам потрібно запустити оновлення Windows на своїх комп’ютерах (якщо це налаштовано автоматично, ще краще), а адміністратори повинні надати пріоритет цьому патчу. Деякі конфігурації можуть мати проблеми з виправленням, і Microsoft випустила рішення для цих систем. Про все подбаєш, правда?
FUD очолює некрасиву голову
Ну, не зовсім. Справа в тому, що є - сім місяців пізніше! - нетривіальна кількість комп'ютерів, які все ще працюють під керуванням Windows XP, незважаючи на те, що Microsoft закінчила підтримку ще в квітні. Таким чином, машини XP все ще ризикують нападом віддаленого виконання коду, якщо користувач відвідує веб-сайт, захоплений гніздом. Але здебільшого історія така ж, як і кожного місяця: Microsoft виправила критичну вразливість і випустила виправлення. Патч-бізнес у вівторок, як завжди.
Поки цього не було. Можливо, фахівці з питань інформаційної безпеки зараз настільки розгублені, що їм здається, що вони повинні продавати страх весь час. Можливо, той факт, що ця вразливість була введена в код Windows 19 років тому, викликала якусь обробку Heartbleed-flashback. Або ми дійшли до того, що сенсаціоналізм є нормою.
Але я здивувався, побачивши наступну землю у своїй папці "Вхідні" від Крейга Янг, дослідника безпеки компанії Tripwire, щодо патчу Microsoft: "Heartbleed був менш потужним, ніж MS14-066, тому що це" просто "помилка розкриття інформації, і Shellshock віддалено експлуатується лише у підмножині постраждалих систем ".
Це стало жартом - сумним, якщо ви подумаєте над цим - що для будь-якої вразливості, щоб отримати будь-яку увагу, нам зараз потрібно мати фантастичне ім’я та логотип. Можливо, наступний матиме духовий оркестр та влучний дзвін. Якщо нам потрібні ці атрибути, щоб люди змусили серйозно сприймати інформаційну безпеку, то є проблема, і це не сама помилка. Чи ми дійшли до того, що єдиний спосіб звернути увагу на безпеку - вдатися до хитрощів та сенсаціоналізму?
Відповідальна безпека
Мені сподобалося наступне: "Це дуже серйозна помилка, яку потрібно негайно виправити. На щастя, екосистема оновлення платформи Microsoft забезпечує можливість кожного клієнта виправити цю вразливість протягом години за допомогою Microsoft Update", - сказав Філіп Ліберман, президент Програмне забезпечення Lieberman.
Не зрозумійте мене неправильно. Я радий, що Heartbleed привернув до себе цю увагу, тому що це було серйозно і потрібно було охопити людей за межами спільноти Інфосек через його широкий вплив. І назва Шеллшока - з того, що я можу сказати - з'явилося в розмові в Twitter, де обговорювали недолік та способи його перевірки. Але не потрібно називати вразливість SChannel "WinShock" або обговорювати її серйозність стосовно цих вад.
Він може і повинен стояти самостійно.
"Ця вразливість становить серйозний теоретичний ризик для організацій і повинна бути виправлена якнайшвидше, але вона не має такого ж впливу на час випуску, як і багато інших останніх широко розрекламованих вразливих місць", - Джош Фейнблум, віце-президент із захисту інформації в Rapid7, написав у публікації в блозі.
Ліберман зробив цікаве спостереження, зазначивши, що вразливість SChannel не схожа на Heartbleed, оскільки це не так, як якщо кожен постачальник або клієнтське програмне забезпечення з відкритим кодом повинен було виправити проблему та випустити власний патч. Комерційне програмне забезпечення з визначеними механізмами доставки патчів, як-от те, що створено Microsoft, означає, що не потрібно хвилюватися з приводу "суворої частини компонентів різних версій та сценаріїв виправлення".
Не має значення, чи це важко (каже IBM) чи тривіально (каже iSight Partners) експлуатувати. Інтернет-балаканина дозволяє припустити, що це лише вершина айсберга, а вразливість SChannel може створити величезний безлад. Це серйозна помилка. Давайте поговоримо про це по суті, не вдаючись до тактики страху.