ביומיים האחרונים התגלה באג חמור באחת מהמערכות הבסיסיות ביותר שקיימות באינטרנט. בלינוקס ויוניקס יש כלי שדרכו ניתן להקליד פקודות למערכת ההפעלה תחשבו עליו כעל מתרגם שפת פקודות מפקודות "אנושיות" לשפת המכונה. המתרגם הנפוץ ביותר הוא BASH ובו התגלה הבאג.
הבאג שהתגלה ב-BASH מאפשר להאקר להתקיף מערכת מרוחקת ולהגיע לשליטה מלאה במכונה.
רקע:
bash הוא ה- shell הנפוץ ביותר במערכות לינוקס/יוניקס כבר קרוב ל-25 שנה.
הסיבה שהבאג הזה שונה מרוב הבאגים שמתגלים חדשות לבקרים זה שהוא התגלה במערכת שקיימת כבר מ-1989 והוא פגיע במליוני שרתים, תחנות ואביזרים חכמים שמשתייכים ל- Internet of things .
כל מי שחושב שזה לא רלוונטי אליו שיחשוב כמה דברים "חכמים" יש לו ואולי הוא לא מודע להם.
אילו מערכות חשופות לבאג:
הבאג כלול במוצרים ומחשבים מבוססי לינוקס/יוניקס כגון מצלמות רשת, מערכות של אבטחת משרד שניתן לגשת אליהם מרחוק, טלפונים וטאבלטים שמסיבות שונות מריצים או אובונטו או לינוקס אחר עם BASH וגם מחשבי מאקבוק של אפל.
לינוקס כמו אנדרואיד בגלל שהוא ניתן בחינם הפך להיות המערכת הבסיסית שעליה מתקינים דברים כמו פיירוולים, טלויזיות חכמות, מקררים חכמים, מערכות לניהול מיזוג אוויר, מחשבי רכב, תאורה ועוד הרבה מערכות שרוצים לצמצם בהן את ההוצאה והרישוי שיש לשקלל לעלות המערכת.
המערכת הנפוצה ביותר שפגיעה היא שרתי ווב שמריצים סקריפטים של CGI כאשר יש סיכוי טוב שהבלוג שלכם או הפורום שלכם יושב על מערכת כזאת שמבוססת nginx או דוגמא אחרת ליישום שרת ווב שניתן לעשות לו מניפולציה שיפעיל פקודת bash.
האם אני צריך לדאוג?
אתה צריך לדאוג אם אתה עונה על אחד מהקריטריונים הבאים:
- יש לך מחשב מקבוק או סטרימר שאתה מאפשר גישה אליו מרחוק אם לצרכי חיבור או לצרכי סטרימינג או גיבוי.
- אם יש לך מוצר שחי באינטרנט כמו מערכות אבטחה או מצלמת רשת שיש לך גישה אליהם מרחוק דרך דפדפן או ssh/telnet .
- אם יש לך טלפון או טאבלט כגון אייפון עם jailbreak שמריץ bash.
- אם יש לך ראוטר בבית או במשרד שאתה מאפשר להתחבר אליו מבחוץ או דרכו למערכת פנימית בתוך הרשת הביתית שלך מהאינטרנט.
- אם אתה מנהל רשת מחשבים שיש בה שרתי ווב או מכונות יעודיות שלא מבוססות מיקרוסופט כולל appliances או סטורג'ים שיש להם שרת ווב פנימי.
דבר ראשון זה לבטל גישה מרחוק לכל מערכת שלא חיונית. כולל לבטל זמנית מצלמות רשת או לפחות את מערכת הניהול המרוחקת שלהן עד שתוכלו לוודא שמערכת הניהול עצמה לא פגיעה.
לבדוק מייד עם היצרן האם יש עדכון מערכת לבאג shell shock . חברות כמו רד האט ואובונטו כבר הוציאו עדכונים שמסדרים את רוב הבעיה או את כולה. אפל הודיעה שתוציא עדכון בימים הקרובים אז יש לבדוק פעם ביום לפחות האם יש עדכון מערכת מאפל.
אני מנהל רשת אבל אני לא מאפשר שום גישה מבחוץ בלי VPN האם זה נוגע לי?
כן, זה נוגע לך. לכל מנהל רשת יש משתמשים עם מחשבים ניידים. לא ייקח הרבה זמן עד שהאקרים ידביקו מחשבים ניידים בוירוסים שינסו להתקיף שרתים פנימיים ברשת הארגונית ברגע שהמחשב יחזור למשרד ויתחבר פיזית לרשת. זה באג שמקל מאד על ריגול תעשייתי בגלל שיש הרבה מאד מערכות ומוצרי חומרה כגון שרתי NAS שאין להם עדכונים שוטפים וקשה מאד להגן עליהם ולעדכן אותם.
אם יש לך מערכת load balancing או מערכות אחרות שהם הפרונט לפני שרתי המיקרוסופט שלך הם יכולים לחשוף אותך לבאג.
או קיי ביצעתי את התיקון איך אני בודק שהמחשב שלי לא פגיע יותר וחוזר לנשום סדיר?
בתמונה בתחילת המאמר אני מראה שתי פקודות פשוטות שבודקות האם אתם חשופים לבאג.
בגלל נפלאות השילוב בין אנגלית לעברית במערכת ה- CMS שאני משתמש אני לא יכול לתת לכם את הטקסט בצורה נוחה כדי שתוכלו להעתיק ולהדביק. פשוט תקלידו את שתי הפקודות שבאות אחרי סימן הדולאר.
סיכום:
אחת מהסיבות שאני לא מת על מוצרי internet of things למיניהם זה בדיוק בגלל מקרים כאלו. אנחנו רצים בטירוף לכל המוצרים החכמים למיניהם אבל בגלל שהם לא באמת מחשבים מלאים עם מסך ומקלדת הם נתקעים בגרסאות תוכנה/מערכת הפעלה ישנות והם חושפים אותנו לכל מיני צרות ואיומים.
זאת בדיוק הסיבה שאני לא מזיל ריר אחרי מצלמות כמו LUMIX CM1 שהוכרזה בפוטוקינה שנראית כמו שילוב מדהים בין טלפון לבין מצלמה איכותית באמת עם חיישן גדול. החלק של המצלמה מאד מרשים, החלק שבו אני צריך לבנות על פנאסוניק שתעדכן את המצלמפון שלה בקצב ש-HTC או סמסונג מעדכנות את הטלפונים שלהם הוא פשוט לא ריאלי. מה שיקרה זה שיהיו לי תמונות מדהימות אבל קרוב לוודאי גם טלפון/מערכת הפעלה שיתיישנו מהר ולא ממש יקבלו עדכוני אבטחה ושדרוגי מערכת הפעלה.
עדכון 30-9-2014: אפל שחררה עדכון שיש צורך להוריד ידנית משום מה http://support.apple.com/kb/DL1769?viewlocale=en_US&locale=en_US
אין להעתיק או לשכפל או לפרסם תוכן מאתר זה בשום צורה ובשום פורמט ללא אישור בכתב של בעלי האתר.© 2014 כל הזכויות שמורות ל- רן בר-לוי.
אין תגובות:
הוסף רשומת תגובה