Vídeo: Heartbleed Exploit - Discovery & Exploitation (Setembre 2024)
No totes les vulnerabilitats crítiques s'han de comparar amb Heartbleed per ser preses seriosament. De fet, no hi ha necessitat de produir Heartbleed o Shellshock quan hi hagi un nou defecte del programari que requereixi atenció immediata.
La setmana passada, Microsoft va detectar una greu vulnerabilitat a SChannel (Secure Channel) que existia en totes les versions del sistema operatiu Windows des de Windows 95. Un investigador IBM va informar de l'error a Microsoft al maig i Microsoft va solucionar el problema com a part del novembre. Llançament de dimarts de pedaç.
L'investigador de l'IBM, Robert Freeman, va descriure la vulnerabilitat com un error "rar, com unicorn".
Els usuaris han d'executar Windows Update als seus equips (si està funcionat automàticament, millor) i els administradors han de prioritzar aquest pegat. Algunes configuracions poden tenir problemes amb el pegat i Microsoft ha publicat una solució per a aquests sistemes. Tot està cuidat, oi?
FUD arrufa el seu cul lleig
Bé, no del tot. El fet és que, set mesos després, hi ha un nombre no trivial d’ordinadors que encara funcionen amb Windows XP, malgrat que Microsoft acabés el suport a l’abril. De manera que les màquines XP encara corren el risc d’atacar l’execució remota de codi si l’usuari visita un lloc web atrapat per booby. Però, en la seva majoria, la història és la mateixa que hi ha hagut cada mes: Microsoft va arreglar una vulnerabilitat crítica i va publicar un pegat. Dimarts de pedaç, com és habitual.
Fins que no ho fos. Potser els professionals de la seguretat de la informació ara estan tan embullats que pensen que han de vendre la por tot el temps. Potser el fet que aquesta vulnerabilitat es va introduir en el codi de Windows fa 19 anys va provocar algun tipus de flashback cardíac. O hem arribat a un punt on el sensacionalisme és la norma.
Però em va agredir veure el següent terreny a la meva safata d'entrada de Craig Young, investigador de seguretat amb Tripwire, pel que fa al pegat de Microsoft: "Heartbleed era menys potent que MS14-066 perquè era" només "un error de divulgació d'informació i Shellshock era explotable remotament només en un subconjunt de sistemes afectats."
S'ha convertit en una broma, una cosa trista si hi penses, que per a qualsevol vulnerabilitat per cridar qualsevol atenció, ara hem de tenir un nom i un logotip de luxe. Potser el següent tindrà una franja de llautó i una pega enganxosa. Si necessitem aquests trastorns per aconseguir que la gent es prengui seriosament la seguretat de la informació, hi ha un problema i no és l'error en si. Hem arribat al punt en què l’única manera de cridar l’atenció sobre la seguretat és recórrer als trucs i al sensacionalisme?
Seguretat Responsable
A mi em va agradar el següent: "Es tracta d'un error molt greu que cal pegar immediatament. Afortunadament, l'ecosistema d'actualització de plataformes Microsoft proporciona la possibilitat que tots els clients es quedin pendents d'aquesta vulnerabilitat en hores que utilitzi Microsoft Update", va dir Philip Lieberman, president de Programari de Lieberman.
No em facis mal. M'alegro Heartbleed que va rebre l'atenció perquè va ser seriós i necessitava arribar a persones de fora de la comunitat infosec a causa del seu ampli impacte. I el nom de Shellshock –d’allò que puc dir– va sortir d’una conversa a Twitter discutint el defecte i les maneres de provar-ho. Però no cal anomenar la vulnerabilitat de SChannel "WinShock" ni debatre la seva gravetat en relació amb aquests defectes.
Pot, i ha de, mantenir-se pel seu compte.
"Aquesta vulnerabilitat suposa un risc teòric greu per a les organitzacions i hauria de ser pegada tan aviat com sigui possible, però no té el mateix impacte en el temps de llançament que moltes de les altres vulnerabilitats recentment molt publicitades", explica Josh Feinblum, vicepresident de seguretat de la informació. a Rapid7, va escriure en una publicació al bloc.
Lieberman va fer una observació interessant, remarcant que la vulnerabilitat de SChannel no era com Heartbleed, ja que no és com si tots els venedors de codi obert o programari client haguessin de solucionar el problema i alliberar el seu propi pedaç. El programari comercial amb mecanismes de lliurament de pedaços definits, com ara el que Microsoft té al seu lloc, significa que no hi ha cap necessitat de preocupar-se per "un paratge de components de diferents versions i escenaris de pegats".
No importa si és difícil explotar (diu IBM) o trivial (diu iSight Partners). El xat en línia suggereix que aquesta és només la punta de l’iceberg i la vulnerabilitat de SChannel pot crear un gran desastre. És un error seriós. Parlem del tema per mèrits propis sense recórrer a les tàctiques de por.
