באג ה- Shell shock איך אני בודק אם אני פגיע ומה יש לעשות בנידון ( עדכון 30-9-2014 )

ביומיים האחרונים התגלה באג חמור באחת מהמערכות הבסיסיות ביותר שקיימות באינטרנט. בלינוקס ויוניקס יש כלי שדרכו ניתן להקליד פקודות למערכת ההפעלה תחשבו עליו כעל מתרגם שפת פקודות מפקודות "אנושיות" לשפת המכונה. המתרגם הנפוץ ביותר הוא BASH ובו התגלה הבאג.

הבאג שהתגלה ב-BASH מאפשר להאקר להתקיף מערכת מרוחקת ולהגיע לשליטה מלאה במכונה.

רקע:

bash הוא ה- shell  הנפוץ ביותר במערכות לינוקס/יוניקס כבר קרוב ל-25 שנה.
הסיבה שהבאג הזה שונה מרוב הבאגים שמתגלים חדשות לבקרים זה שהוא התגלה במערכת שקיימת כבר מ-1989 והוא פגיע במליוני שרתים, תחנות ואביזרים חכמים שמשתייכים ל- Internet of things .
כל מי שחושב שזה לא רלוונטי אליו שיחשוב כמה דברים "חכמים" יש לו ואולי הוא לא מודע להם.

אילו מערכות חשופות לבאג:
הבאג כלול במוצרים ומחשבים מבוססי לינוקס/יוניקס כגון מצלמות רשת, מערכות של  אבטחת משרד שניתן לגשת אליהם מרחוק, טלפונים וטאבלטים שמסיבות שונות מריצים או אובונטו או לינוקס אחר עם BASH וגם מחשבי מאקבוק של אפל.
לינוקס כמו אנדרואיד בגלל שהוא ניתן בחינם הפך להיות המערכת הבסיסית שעליה מתקינים דברים כמו פיירוולים, טלויזיות חכמות, מקררים חכמים, מערכות לניהול מיזוג אוויר, מחשבי רכב, תאורה ועוד הרבה מערכות שרוצים לצמצם בהן את ההוצאה והרישוי שיש לשקלל לעלות המערכת.
המערכת הנפוצה ביותר שפגיעה היא שרתי ווב שמריצים סקריפטים של CGI כאשר יש סיכוי טוב שהבלוג שלכם או הפורום שלכם יושב על מערכת כזאת שמבוססת nginx או דוגמא אחרת ליישום שרת ווב שניתן לעשות לו מניפולציה שיפעיל פקודת bash.

האם אני צריך לדאוג?

אתה צריך לדאוג אם אתה עונה על אחד מהקריטריונים הבאים:

• יש לך מחשב מקבוק או סטרימר שאתה מאפשר גישה אליו מרחוק אם לצרכי חיבור או לצרכי סטרימינג או גיבוי.
• אם יש לך מוצר שחי באינטרנט כמו מערכות אבטחה או מצלמת רשת שיש לך גישה אליהם מרחוק דרך דפדפן או ssh/telnet .
• אם יש לך טלפון או טאבלט כגון אייפון עם jailbreak שמריץ bash.
• אם יש לך ראוטר בבית או במשרד שאתה מאפשר להתחבר אליו מבחוץ או דרכו למערכת פנימית בתוך הרשת הביתית שלך מהאינטרנט.
• אם אתה מנהל רשת מחשבים שיש בה שרתי ווב או מכונות יעודיות שלא מבוססות מיקרוסופט כולל appliances או סטורג'ים שיש להם שרת ווב פנימי.

יש לי מוצר כזה או אני לא בטוח אם יש לי, מה לעשות?

דבר ראשון זה לבטל גישה מרחוק לכל מערכת שלא חיונית. כולל לבטל זמנית מצלמות רשת או לפחות את מערכת הניהול המרוחקת שלהן עד שתוכלו לוודא שמערכת הניהול עצמה לא פגיעה.

לבדוק מייד עם היצרן האם יש עדכון מערכת לבאג shell shock . חברות כמו רד האט ואובונטו כבר הוציאו עדכונים שמסדרים את רוב הבעיה או את כולה. אפל הודיעה שתוציא עדכון בימים הקרובים אז יש לבדוק פעם ביום לפחות האם יש עדכון מערכת מאפל.

אני מנהל רשת אבל אני לא מאפשר שום גישה מבחוץ בלי VPN האם זה נוגע לי?

כן, זה נוגע לך. לכל מנהל רשת יש משתמשים עם מחשבים ניידים. לא ייקח הרבה זמן עד שהאקרים ידביקו מחשבים ניידים בוירוסים שינסו להתקיף שרתים פנימיים ברשת הארגונית ברגע שהמחשב יחזור למשרד ויתחבר פיזית לרשת. זה באג שמקל מאד על ריגול תעשייתי בגלל שיש הרבה מאד מערכות ומוצרי חומרה כגון שרתי NAS  שאין להם עדכונים שוטפים וקשה מאד להגן עליהם ולעדכן אותם.
אם יש לך מערכת load balancing  או מערכות אחרות שהם הפרונט לפני שרתי המיקרוסופט שלך הם יכולים לחשוף אותך לבאג.

או קיי ביצעתי את התיקון איך אני בודק שהמחשב שלי לא פגיע יותר וחוזר לנשום סדיר?

בתמונה בתחילת המאמר אני מראה שתי פקודות פשוטות שבודקות האם אתם חשופים לבאג.
בגלל נפלאות השילוב בין אנגלית לעברית במערכת ה- CMS שאני משתמש אני לא יכול לתת לכם את הטקסט בצורה נוחה כדי שתוכלו להעתיק ולהדביק. פשוט תקלידו את שתי הפקודות שבאות אחרי סימן הדולאר.

סיכום:
אחת מהסיבות שאני לא מת על מוצרי internet of things למיניהם זה בדיוק בגלל מקרים כאלו. אנחנו רצים בטירוף לכל המוצרים החכמים למיניהם אבל בגלל שהם לא באמת מחשבים מלאים עם מסך ומקלדת הם נתקעים בגרסאות תוכנה/מערכת הפעלה ישנות והם חושפים אותנו לכל מיני צרות ואיומים.
זאת בדיוק הסיבה שאני לא מזיל ריר אחרי מצלמות כמו LUMIX CM1  שהוכרזה בפוטוקינה שנראית כמו שילוב מדהים בין טלפון לבין מצלמה איכותית באמת עם חיישן גדול. החלק של המצלמה מאד מרשים, החלק שבו אני צריך לבנות על פנאסוניק שתעדכן את המצלמפון שלה בקצב ש-HTC או סמסונג מעדכנות את הטלפונים שלהם הוא פשוט לא ריאלי. מה שיקרה זה שיהיו לי תמונות מדהימות אבל קרוב לוודאי גם טלפון/מערכת הפעלה שיתיישנו מהר ולא ממש יקבלו עדכוני אבטחה ושדרוגי מערכת הפעלה.

עדכון 30-9-2014: אפל שחררה עדכון שיש צורך להוריד ידנית משום מה http://support.apple.com/kb/DL1769?viewlocale=en_US&locale=en_US



 אין להעתיק או לשכפל או לפרסם תוכן מאתר זה בשום צורה ובשום פורמט ללא אישור בכתב של בעלי האתר.© 2014 כל הזכויות שמורות ל- רן בר-לוי.

5 נשים מובילות שכדאי להכיר בתחום הכתיבה על סלולר

תמונה צולמה על ידי Eric Bridiers ופורסמה בפליקר תחת שימוש חופשי

לאחרונה אני נתקל יותר ויותר בהתייחסויות מזלזלות כלפי בחורות שפותחות אצלנו בפורום שאלות בנושאי סלולר. טכנולוגיה בכלל וסלולר בפרט הם תחומים צעירים שנשים וגברים נמצאים בהם באותה נקודת פתיחה לכן אין בסיס אפילו קלוש לזלזול ולפטרוניזם. נשים כמו אשלי אסקדה ( לשעבר android ashley ) מקבלות בכל כתבת וידאו שהן מפרסמות יותר הערות על המראה החיצוני שלהן מאשר על התוכן.
הזלזול והמיזוגניות גורמים לנשים לפעמים להסתתר מאחורי כינויים חסרי זהות מגדרית כדי לקבל יחס שווה מכולם.
מי שמכיר את עולם הטכנולוגיה יודע שכמה מהכתבות המוצלחות והמשפיעות ביותר בעולם הטכנולוגיה הינן נשים.
חלקן מוכרות אצלנו בארץ וחלקן לא. אז במקום לכתוב לכם כתבה ארוכה על בעיות של חוסר שוויון מגדרי  בשכר (אני ממש לא מומחה) ובדברים אחרים בעולם הטכנולוגיה החלטתי ללכת לכיוון אחר ולחשוף בפניכם 5 דמויות להערצה וחיקוי בעולם הכתיבה הטכנולוגי שמומלץ מאד לקרוא את הסקירות שלהן וללמוד מהן רק במקרה שלא הכרתם אותן עד עכשיו.

שעונים חכמים: הדבר הבא או עוד מוצר מותרות חסר חשיבות?

שעונים חכמים הם לא דבר חדש, סוני מייצרת אותם כבר כמה שנים, חברות כמו גרמין וקסיו מייצרות שעונים עם תוספות כבר הרבה מאד זמן. אז למה עכשיו כל העולם הטכנולוגי כמרקחה?
מאז שאפל השיקה את האייפון ב-2007 ואחרי כן את האייפד ב-2010 כולם הבינו שהדרך הכי טובה לייצר יתרון שקשה לסגור אותו זה לצאת לשוק עם מוצר חדש או דרך חדשה לשווק מוצר ישן ואיתו לפתוח שוק חדש שבו ניתן לצבור יתרון עצום לפני שהמתחרות מספיקות להתארגן.
סמסונג מאז השקת האייפון בהיסטריה מוחלטת, היא משיקה עשרות טלפונים ושאר מוצרים חכמים כל שנה בניסיון להשיג את האייפד שלה או את האייפון שלה. היתה לסמסונג הצלחה יחסית עם הגלקסי נוט הראשון שאכן הצליח לפגוע בבטן הרכה של אפל שזה המסך הקטן והמאכזב של האייפון.
גם אני הייתי בין אלו שרצו וקנו את הנוט הראשון ועד היום הוא זכור לי בחיבה כאחד מהמוצרים שמאד נהניתי מהם.
הבעיה היא שמאז סמסונג זורקת לתקרה עשרות מוצרים כל שנה, בכל צבע סוג וגודל מסך ומקווה שאיכשהו המזל של הנוט יחזור על עצמו והוא לא חוזר. הגלקסי אס ממשיך למכור יפה וגם הנוט ממשיך את הטרנד אבל לא הרבה יותר מזה. זה עוד לפני שדיברנו על סוני, אל ג'י ו-HTC שלאורך השנים האחרונות לא ממש עשו מכרה זהב מהתחום הסלולרי וממשיכות לנסות לפעמים עם יותר מזל ולפעמים עם כישלונות צורבים.

מהרגע שהשמועות התחילו להתבסס שאפל עובדת על מחשוב לביש כל היצרניות האחרות נכנסו לפאניקה "רק לא לתת לאפל לברוח עם השוק שוב".
סמסונג השיקה מהר את הגיר הראשון עם מערכת הפעלה לא מותאמת של אנדרואיד ובקושי מכרה ממנו משהו. היא מיהרה להוציא את הגיר 2 עם מערכת הפעלה טייזן ומיהרה להעביר את משתמשי הגיר 1 מאנדרואיד לטייזן וגם זה לא סחף את השוק בסערה.
אם מתוך לחץ עצמי ואם בגלל דחיפה מהיצרניות גוגל השיקה את Android wear כמערכת בסיס לשעונים שנותנת צריכת אנרגיה יותר יעילה, גישה לממשק Google now  יחד עם הגישה הרגילה לנוטיפיקציות.
האתרים הטכנולוגים כותבים כל שבוע על שעון חדש ומתפרנסים מהקליקים. אסוס, סוני ואל ג'י הצטרפו לעגלה של Android wear, חלק מהן מהר וחלק רק בתערוכה האחרונה בברלין.

מי לא הצטרף? הציבור.