Lifehacker יקר,
אז Shellshock היא הפגיעות החדשה ביותרעלול "לשבור את האינטרנט".בפעם האחרונה שאמרו את זה,זה היה על Heartbleed. האם אני באמת צריך להיות מודאג מכל הבאגים והפגיעויות האלה, או שמא זה מה שחברות טכנולוגיה צריכות לדאוג ממנו? מישהו באמת יכול להשתמש בזה נגדי?
בְּכֵנוּת,
ספקן אבטחה
ספקן אבטחה יקר,
נראה כאילו בכל יומיים יש פריצה חדשה, אוצר של נתונים נחשף, או שיש באג חדש שמאיים להפוך את עולם הטכנולוגיה על ראשו. זה טבעי להתעייף קצת מלשמוע עליהם, במיוחד כשהם ממשיכים להגיע ונראה ששום דבר לא משתנה. אחרי הכל, נאמר לנו שהבעיות האלה קשות, אבל לעתים קרובות כל כך אין מה לעשות בקשר אליהן. אתה צודק להיות סקפטי, אבל אל תיתן לספקנות הזו למנוע ממך לעשות את הדברים הנכונים כדי לשמור על בטיחות הנתונים שלך.
באשר ל-Shellshock וה-Heartbleed (ופרצות דומות אחרות), ישבנו עם כמה מומחי אבטחת מחשבים כדי להפריד בין עובדות לבדיון, ולעזור לך להבין ממה אתה צריך ומה לא צריך להיות מודאג.
האם הפגיעות האלה באמת כזו ביג דיל?
עם כותרות שאומרות ש-Heartbleed ו-Shellshock יכולים"לשבור את האינטרנט",אי אפשר להאשים אותך בכך שחשבת שהשמיים נופלים. כולם מסכימים שאלו בעיות חמורות, אבל הצעדים שמשתמשי קצה יכולים לנקוט כדי להגן על עצמם מוגבלים למדי.
במקרה של Heartbleed, העצה הטובה ביותר הייתה לחכות שהאתרים האהובים עליכם יתקנו את עצמם, ואז לשנות את הסיסמאות שלכם. עבור Shellshock, אתה צריךתקן את מחשב ה-Mac או Linux שלך, ואז מקווה שכולם - במיוחד מנהלי מערכת ומהנדסים - יעשו את אותו הדבר. בנוסף, בעוד שחוקרים אומרים שהם ראו את ההשפעות של שני המנצלים בטבע, זה לא שאנשים מאבדים את המחשבים שלהם או מציפים את קווי התמיכה הטכנית בשיחות על מחשבים שבורים - לא כמו שראינו בתחילת שנות האלפיים כשוירוסים יצרו חדשות הערב.
אז זה אומר שאתה יכול פשוט לשכוח מהם? לֹא בְּדִיוּק. הפגיעות הללו חמורות, וכל המומחים איתם שוחחנו ציינו זאת. עם זאת, הם גם הסבירו שלכותרות אבדון וקדרות יש לעתים קרובות השפעה הפוכה על אנשים. הם גורמים להם להתעייף מחדשות אבטחה באינטרנט במקום לעודד אותם לשים לב אליהם. מארק נוניקהובן, סגן נשיא לענן וטכנולוגיות מתעוררות בטרנד מיקרו, הסביר את שני הצדדים:
Shellshock הוא רציני ביותר. הוא זוכה ל-100% מתשומת הלב שהוא זוכה כעת לעיני הציבור. לעולם לא יהיה לנו היקף מדויק של הנושא מלבד ניקול פרלרוט
כותב עבור הניו יורק טיימס
מנחש שכ-70% מהמכונות המחוברות לאינטרנט עלולים להיות מושפעים. זה נראה לי הגיוני.
אפילו עם באג כל כך רציני, כמה אנשים עדיין הצליחו לטעון טענות היפרבוליות לגבי ההשפעה שלו. זה לא עושה טוב לאף אחד. הסנסציונציה של הנושא המאוד אמיתי הזה מקטבת את הדיון ללא צורך וזה משאיר את כולנו חשופים יותר ממה שאנחנו כבר. בכל פעם שיש לך בעיה מורכבת, קשה לקשר את הפרטים לקהל רחב יותר. למרבה הצער, אנשים מגיבים לטענות דרמטיות לעתים קרובות יותר מאשר לטענות בניואנסים. זה לא יהיה הסוף של האינטרנט אבל זו בעיה רצינית מאוד וצריך לטפל בה באופן מיידי.
פרדריק ליין, סופר, יועץ ומומחה לאבטחת מחשבים, מסכים. הוא הסביר שכותרות מפחידות בדרך כלל לא עוזרות כשמשתמשי קצה לא יכולים לעשות הרבה לגביהן, אבל כשהן מכוונות לאנשים הנכונים, הן עשויות לדרבן את האנשים הנכונים לפעולה הנכונה:
אני חושב שכותרות מפחידות שימושיות כשהן מכוונות למנהלי מערכות ולהנהלה, כך שהם יקדישו את הזמן והמשאבים כדי לוודא שפגיעויות אלו לא יגיעו לצרכנים. עם זאת, אנחנו לא צריכים להפחיד את משתמש המחשב הממוצע מכיוון שיש מעט מאוד (אם בכלל) שהוא יכול לעשות כדי לתקן את הבעיות הללו. כל מה שהכותרות עושות לצרכנים הוא להוסיף לחרדה הקיומית שהופכת את החיים המודרניים למאתגרים כל כך. בשלב מסוים, כותרות מחשב מפחידות פשוט הופכות לרעש רקע.
אז בשורה התחתונה: כשאתם שומעים על סוגי הפגיעות האלה, כדאי לשבת ולשים לב אליהם, במיוחד אם אתם עובדים ב-IT, או נמצאים בעמדה לעשות משהו בנידון. ואם אתה יכול לתקן את המחשב שלך, אתה צריך. מעבר לזה, קחו את ההפרבולה במעט מלח. האינטרנט חזק וניתן להתאמה - לא סביר שבעיית אבטחה או פגיעות אחת תביא את כל העניין על ברכיו.
האם משתמשי מחשב רגילים צריכים לדאוג לגבי ניצול אלה?
כַּאֲשֵׁרקמעונאים גדולים כמו Targetאוֹהום דיפו מאבד את המידע הפיננסי שלך, בדרך כלל מציעים לך ניטור אשראי בחינם ואומרים לך לעקוב אחר עסקאות הונאה או סימנים של גניבת זהות. עם Shellshock ו-Heartbleed, כל מה שמשתמש קצה יכול לעשות הוא לקוות לטוב ולהחיל תיקון כאשר אחד זמין. זה אולי נראה כמו בזבוז זמן ואנרגיה לדאוג לגבי זה. עם זאת, אתה צריך לפחות לשמור אוזן לקרקע, אומר ליין.
הבעיה של היום עבור מנהלי מערכת היא הבעיה של מחר עבור משתמשים ביתיים:
אני חושב שזה עוזר להדגיש את הסיכונים שמצטברים בהתמדה ככל שאנו מתקדמים לעבר האינטרנט של הדברים. תחשוב על זה: מה אם מישהו היה מסוגל לקבל גישה למערכות השולטות במכשירי הכיבוי המרוחקים המשמשים את אנשי הריפו (שהיו מכוסים ב
סיפור של הניו יורק טיימס לפני כמה ימים
)? ייתכן שאלפי מכוניות ייסגרו לפתע בכל הארץ. החלק המטריד באמת בפגיעות של Bash הוא שאין לנו אפילו תחושה טובה של כמה מערכות משתמשות ב-Bash, ולרבות שאין להן מנגנון לעדכוני תוכנה/קושחה.
סיפורים על Shellshock וה-Heartbleed הם כמובן הזדמנויות מצוינות להזכיר לצרכנים את הצעדים שהם צריכים לנקוט כל הזמן כדי למזער את ההפסדים הפוטנציאליים מהתקפה עוינת: 1) התקן ועדכן אנטי-תוכנה זדונית; 2) גיבוי קבצים חשובים; 3) בדוק שוב כדי לוודא שהם גיבו קבצים חשובים; ו-4) לעקוב אחר המידע הפיננסי ודוחות האשראי שלך. הטכנולוגיה מציעה יתרונות אדירים לכולנו, אבל המכשירים הנוצצים מטילים אחריות מסוימת. כפי שאמר היינליין, "אין דבר כזה ארוחת צהריים חינם."
פיטר ת'אובלד, בוחן לזיהוי פלילי מחשבים, מעצב תוכנה ויועץ, הסביר שיש בתמונה יותר מסתם מחשבים שולחניים שמשתמשים רגילים צריכים להיות מודאגים מהם. חומות אש, נתבים, התקני NAS, אפילו מערכות משובצות מבוססות לינוקס על תרמוסטטים חכמים והתקנים ביתיים אחרים הם יעדים פוטנציאליים עבור Shellshock (אם הם מחוברים לאינטרנט ישירות, ללא חומת אש - וגם אז, חומת האש עשויה להיות פגיעה) , וכל שרת המריץ SSL היה יעד עבור Heartbleed:
בתוך שעה אחת מפרסום Shellshock, היו דיווחים על תוכנות זדוניות חדשות שסורקות את האינטרנט באמצעות הפגיעות החדשה כדי לסכן מחשבים.
Bash משמש בשרתי אינטרנט של לינוקס, במחשבי Mac, בהתקני אחסון NAS, בנתבים ונקודות גישה, בחומות אש ובמכשירים רבים אחרים. יצרניות ההפצה של אפל ולינוקס עבדו מהר מאוד כדי להוציא תיקונים כדי לסגור את הפגיעויות הללו. זה יטפל בשרתי האינטרנט ובמחשבי OS X. מה שמדאיג אותי יותר הוא כל הנתבים, חומות האש ונקודות הגישה שלא יתוקנו בזמן. כמה אנשים בכלל ידעו איך לתקן את הנתב שלהם? שימו לב לחדשות על האופן שבו ספקי נתבים יתמודדו עם זה. זה עשוי להיות הטריגר שגורם לשינוי רחב בתעשייה באופן התחזוקה של מכשירים לצרכן, אולי עם עדכונים אוטומטיים המגיעים מהיצרנים.
אין ספק שהבעיות האלה חמורות, ויכולות להיות להן השפעות אמיתיות על אנשים רגילים ועל הטכנולוגיה שבה אנו משתמשים. יחד עם זאת, אל תאבד שינה בגלל זה עדיין. אחרי הכל, מעט טכנולוגיות מאובטחות, ואפילו פחות כשהן מחוברות לאינטרנט. אל תתפלאו אם נראה עוד Shellshocks ו- Heartbleeds בחודשים ובשנים הקרובים. עם זאת, לא מזיק לשמור על ערנות ולתרגל היגיינת מחשוב טובה. אינך רוצה ללמוד כיצד לעדכן את הקושחה של הנתב שלך כאשר יש פגיעות גדולה - אלו מיומנויות שימושיות שיש להן מראש.
היו סקפטיים, אבל אל תתנו לזה למנוע מכם להיות בטוחים
כל המומחים שלנו מיהרו לציין שסוגי הפגיעות האלה הם חדשים בכך שיש להם טווח הגעה רחב ויכולים להשפיע, אבל זה יוצא דופן שהם לא דורשים מהמשתמשים לעשות הרבה מלבד עדכון המערכות שלהם כשהם' נאמר שוב. בניגוד לשנים עברו, על יצרני OEM ויצרני מכשירים חכמים מוטלת כיום האחריות לספק תיקונים, לבנות מנגנוני עדכון במוצרים שלהם ולשמור על אבטחת המערכות שלהם אם הם מצפים שהמכשירים שהם מוכרים יתחברו לאינטרנט.
ככל שהטכנולוגיה מתפתחת ומתחברת יותר, טכנולוגיות הליבה שמתחת לאותם תרמוסטטים ושעונים חכמים יחולו בדרכים שהמפתחים המקוריים שלהם לא שקלו. זה יוביל ליותר נקודות תורפה שנחשפות ולעוד ניצולים בטבע. ליין מסביר:
ברמה יותר תיאורטית, אני אגיד שסוגי הסיפורים האלה מאששים מחדש את האמונה הגוברת שלי שיצרנו מערכות כל כך מורכבות שלעולם לא נוכל להיות בטוחים שהן מאובטחות לחלוטין. במילים אחרות, ככל שמורכבות המערכות שאנו יוצרים קרובה יותר לחקות את המורכבות של "העולם האמיתי", כך גדל הסיכוי שנהיה בני ערובה לגורל. מכיוון שיצרנו מחשבים ואינטרנט, אנו נאחזים באשליית השליטה, אך היא רק ארעית. אני לא אומר שאנחנו לא צריכים לנסות למנוע מאנשים רעים לעשות נזק באמצעות פרצות תוכנה (בדומה למאבק במלחמה בסרטן); אני רק אומר שאנחנו צריכים להיות מציאותיים לגבי כמה בטוחים אנחנו באמת יכולים להיות.
אז בסופו של יום, אין ספק שהנושאים הללו חמורים, והם ראויים לתשומת לבכם. אוּלָם,לעשות מחקר משלךואל תקראו רק כותרות שנועדו למשוך את תשומת לבכם ולדאגה מאיום האבטחה האחרון (אנחנו ב-Lifehacker, כמובן, תמיד ננסה לשמור על קור רוח). קל להתעייף כשנראה שבכל שבוע יש פריצה חדשה, יותר מספרי כרטיסי אשראי אובדים ועוד סיסמאות לאיפוס, אבל דברים לא עומדים להשתנות בקרוב, והפריצות האלה ראויות לפחות לתשומת לב מספיקה כדי לוודא שלך הבסיסים מכוסים והנתונים שלך מוגנים.
בְּכֵנוּת,
Lifehacker
מארק נוניקהובן הוא סגן נשיא לענן וטכנולוגיות מתעוררות בטרנד מיקרו.
פרדריק ליין הוא סופר, עורך דין, יועץ חינוכי, עד מומחה ומרצה שהופיע ב-The Daily Show, CNN, NBC, ABC, CBS, BBC ו-MSNBC. הוא כתב שבעה ספרים, כולל לאחרונה "מלכודות סייבר לצעירים." כל הספרים שלו זמינים באמזון או דרךאתר האינטרנט שלו. אתה יכול לעקוב אחריו בטוויטר בכתובת@fsl3, או בComputer Forensics Digest.
פיטר תיאובלד הוא בוחן לזיהוי פלילי מחשבים, עד מומחה, מעצב תוכנה, יועץ ומרצה. הוא יו"ר משותף של ועדת המשנה לזיהוי פלילי מחשבים של איגוד עורכי הדין האמריקאי של המדור לליטיגציה. אתה יכול למצוא אותו בTCForensics.com.
כל שלושת האדונים הציעו את מומחיותם עבור מאמר זה, ואנו מודים להם.
יש לך שאלה או הצעה עבור Ask Lifehacker? שלח את זה ל[מוגן באימייל].
תמונות מאתמקסים קבאקו(Shutterstock),כריס הריסון, ויי חן.
