Video: Heartbleed Exploit - Discovery & Exploitation (Novembre 2024)
Non tutte le vulnerabilità critiche devono essere confrontate con Heartbleed per essere prese sul serio. In effetti, non è necessario richiamare Heartbleed o Shellshock in presenza di un nuovo difetto del software che richiede attenzione immediata.
La scorsa settimana, Microsoft ha corretto una grave vulnerabilità in SChannel (Secure Channel) che esiste in ogni versione del sistema operativo Windows da Windows 95. Un ricercatore IBM ha segnalato il bug a Microsoft a maggio e Microsoft ha risolto il problema durante il mese di novembre Rilascio di Patch Tuesday.
Il ricercatore IBM Robert Freeman ha descritto la vulnerabilità come "raro bug" simile a un unicorno ".
Gli utenti devono eseguire Windows Update sui propri computer (se impostato per essere eseguito automaticamente, tanto meglio) e gli amministratori dovrebbero dare priorità a questa patch. Alcune configurazioni potrebbero avere problemi con la patch e Microsoft ha rilasciato una soluzione alternativa per tali sistemi. Tutto è curato, giusto?
FUD impenna la sua brutta testa
Bene, non proprio. Il fatto è che ci sono - sette mesi dopo! - un numero non banale di computer che ancora eseguono Windows XP, nonostante Microsoft abbia interrotto il supporto ad aprile. Quindi le macchine XP sono ancora a rischio di un attacco di esecuzione di codice in remoto se l'utente visita un sito Web intrappolato. Ma per la maggior parte, la storia è la stessa di ogni mese: Microsoft ha risolto una vulnerabilità critica e rilasciato una patch. Patch martedì affari come al solito.
Fino a quando non lo era. Forse i professionisti della sicurezza delle informazioni sono ora così sfiniti che pensano di dover vendere paura in continuazione. Forse il fatto che questa vulnerabilità sia stata introdotta nel codice di Windows 19 anni fa ha innescato una sorta di Heartbleed-flashback. Oppure siamo arrivati al punto in cui il sensazionalismo è la norma.
Ma fui sorpreso nel vedere la seguente terra nella mia posta in arrivo da Craig Young, un ricercatore di sicurezza con Tripwire, riguardo alla patch Microsoft: "Heartbleed era meno potente di MS14-066 perché era" solo "un bug di divulgazione delle informazioni e Shellshock era sfruttabile in remoto solo in un sottoinsieme di sistemi interessati ".
È diventato uno scherzo - triste se ci pensate - che per ogni vulnerabilità per ottenere qualsiasi tipo di attenzione, ora abbiamo bisogno di avere un nome di fantasia e un logo. Forse il prossimo avrà una banda di ottoni e un tintinnio orecchiabile. Se abbiamo bisogno di questi simboli per convincere le persone a prendere sul serio la sicurezza delle informazioni, allora c'è un problema, e non è il bug stesso. Siamo arrivati al punto in cui l'unico modo per attirare l'attenzione sulla sicurezza è ricorrere a espedienti e sensazionalismo?
Sicurezza responsabile
Mi è piaciuto quanto segue: "Questo è un bug molto serio che deve essere corretto immediatamente. Fortunatamente l'ecosistema di aggiornamento della piattaforma Microsoft offre la possibilità a ogni cliente di essere patchato per questa vulnerabilità in poche ore utilizzando Microsoft Update", ha affermato Philip Lieberman, presidente di Lieberman Software.
Non fraintendetemi. Sono lieto che Heartbleed abbia ricevuto l'attenzione, perché era serio e aveva bisogno di raggiungere le persone al di fuori della comunità infosec a causa del suo ampio impatto. E il nome di Shellshock - da quello che posso dire - è nato da una conversazione su Twitter che parlava del difetto e dei modi per testarlo. Ma non è necessario chiamare la vulnerabilità di SChannel "WinShock" o discuterne la serietà in relazione a tali difetti.
Può, e dovrebbe, resistere da solo.
"Questa vulnerabilità rappresenta un grave rischio teorico per le organizzazioni e dovrebbe essere corretta il prima possibile, ma non ha lo stesso impatto in termini di tempo di rilascio di molte delle altre vulnerabilità recentemente pubblicizzate", Josh Feinblum, vicepresidente della sicurezza delle informazioni a Rapid7, ha scritto in un post sul blog.
Lieberman ha fatto un'osservazione interessante, osservando che la vulnerabilità di SChannel non era come Heartbleed poiché non è come se ogni fornitore open-source o software client dovesse risolvere il problema e rilasciare la propria patch. Un software commerciale con meccanismi di consegna delle patch definiti come quello che Microsoft ha messo in atto significa che non c'è bisogno di preoccuparsi di "un miscuglio di componenti di varie versioni e scenari di patch".
Non importa se è difficile (dice IBM) o banale (dice iSight Partners) da sfruttare. Le chiacchiere online suggeriscono che questa è solo la punta dell'iceberg e la vulnerabilità di SChannel ha il potenziale per creare un enorme casino. È un bug serio. Parliamo del problema per i suoi meriti senza ricorrere alla paura delle tattiche.