Перше, що мені спало на думку, було те, що спочатку потрібно було дістатись до вразливої машини у внутрішній мережі. Тож хтось вривається у мій маршрутизатор, а також повинен пройти через брандмауер машини, щоб отримати оболонку. Коли ви потрапляєте в маршрутизатор, ви навіть не уявляєте, чи буде за ним щось, що має вразливий bash.
Або я швидко перевірив маршрутизатор, доступний інтерфейс оболонки, msh. Це, в свою чергу, не бах.
Інакше хороша стаття, я врешті-решт посміхнувся
[Відредаговано]
(# 2) Е.Кауфманн hcl (# 1)
Якщо я правильно зрозумів, не тільки доступ до bash небезпечний, але і сценарії, які обробляються bash і підключаються до веб-системи (або до чогось іншого, до чого можна отримати віддалений доступ).
[Відредаговано]
(# 3) hcl E.Kaufmann (# 2)
Правда, але спочатку потрібно також знати, що там є сценарій. Скажімо, речі cgi-bin досі ніхто не рекомендував. Давно відомо, що вони стурбовані безпекою.
весь "міф" насправді не зруйнувався, але, на мій погляд, було дуже сумнівно, чи є перевагою розглядати його. можливість існує вже багато років перед ким-небудь подивитися, перевірити код, робити з ним все, що він хоче. тільки ніхто цього не робив. моє питання: чи всі снігові впевнені, що до того, як ця помилка стала загальнодоступною, вона роками не використовувалась ніхто бо кожен може заглянути в код. і не всі роблять це з метою навчання/розвитку.
Я знаю, що багато хто не погодиться з моїм твердженням вище. Я зробив це не з метою запуску полум'я, рівно стільки ж, скільки це моя думка.
[Відредаговано]
(# 5) hcl anulu (# 4)
"моє запитання: чи увесь сніг впевнений, що до того, як ця помилка стала публічною, ніхто роками не скористався нею?"
Звичайно, ви не можете бути впевнені, але це стосується не лише відкритого коду. Однак швидкість реакції була досить швидкою.
Хтось сказав би кілька прикладів маршрутизаторів, які мають bash, особливо як оболонку за замовчуванням?
(# 7) Метеорхед анулу (# 4)
Я думаю, що є приблизно однаковий шанс навмисно вписати задню панель в корпоративне програмне забезпечення (до якого ви не можете заглянути, вірно), що, зрештою, створює ту саму вразливість, лише на користь певної компанії.
Метод збору даних для Windows 10 також широко використовувався на цьому форумі, тому він, безумовно, залишиться в остаточній версії, як тільки буде застосовано, і ми можемо бути раді, якщо вони дійсно збирають лише інформацію, яку вони говорять. Перш ніж вони почнуть мене мати, я не такий параноїк і хочу розрізнити шпигунів та телеметрію, але той факт, що ми не маємо розуміння кодексу, порушує подібну проблему довіри/добросовісності у корпоративних гравців, як це відбувається, що досі ніхто не скористався ShellShock і не згладив його.
(# 8) Е.Кауфманн виступить (# 6)
Ну, "роутери" на базі ПК для малого бізнесу? У будь-якому випадку, наприклад, на більш потужних пристроях, таких як NAS або стороння програма.
(# 9) Е.Кауфманн hcl (# 3)
Гаразд, але програмісти досить хороші, щоб сканувати такі помилки, але я не дуже знайомий з темою, виправте це, якби це було не так.
(# 10) ViZion Meteorhead (# 7)
Можливість? ВСТУПИТИ БЕКДОРАТ. Вони також перемогли Truecrypt, тому що розробник каже, що їм не подобається, вони використовують вбудовану функцію win/os X.
Нитка. останнє, чого мені потрібно боятись, - це виявлення таких вразливостей. Перед ним багато вбудованих задніх дверей, є працівники тощо. Поки вони привозять сюди машину з усім, що увійшли в систему, я бачу бухгалтерію компанії, все. отримати дані від людей набагато простіше, ніж пройти машину X, щоб знайти потенційну вразливість.
(# 11) hcl Meteorhead (# 7)
+1. І @ViZion теж. Ось чому там з’явилося багато з них.
Скажімо, ви знаєте це заздалегідь.
@ Е.Кауфманн: Ви можете бути впевнені, але непорушного захисту немає. Для bruteforce досить складно вгадати назву сценарію cgi, особливо якщо напр. це називається mittoménmi.sh Або що, якщо на цьому сайті такого немає?
[Відредаговано]
(# 12) ViZion hcl (# 11)
Так, і груба сила протягом днів, коли добре оплачуваний кваліфікований робітник або звільнений робітник витрачає все на 2 короткі терміни.
у гіршому випадку вам доведеться дістатися до gizik, щоб відкрити selfi.exe на роботі. у нас також є багато секретних доків, сервер, охорона та камера. але для більшості файлів я міг би скопіювати їх на зовнішній віні.
(# 13) anulu ViZion (# 12)
+1. абсолютний. операція може заклинати свою душу, якщо у генерального директора або одного з керівників є ідіотизм, саме тому або краще просто додати в білий список URL-адреси, гірше вирізати всю конфігурацію.
так, r = 1 працівник є найслабшим місцем, саме тому останнім часом вони більше орієнтовані на тих, хто хоче отримати інформацію vmi. звичайно, прямі атаки також не закінчені, але вони зустрічаються рідше.
(# 14) Я поговорю з Е.Кауфманом (# 8)
Під маршрутизатором я маю на увазі цільовий пристрій, оскільки (сподіваюся) порівняно рідко використовується маршрутизатор на базі ПК як багатофункціональний пристрій.
(# 15) Коментарі ViZion (# 14)
У газеті «Анно», де я працював, власник магазину ПК, як консультант, запропонував секретарці м’язову машину, щоб сервер був.
Я кажу нім, мускулиста машина для компілятора, стара праска для секретаря, розумний NAS і "сервер". Врешті-решт це сталося, спочатку вони не зрозуміли, але пізніше, коли віруси на кожній машині були багато разів тощо, але NAS все ще працював бездоганно, вони почали розуміти і винагороджувати мене, коли я трохи переробив систему.
На жаль, саме тоді вони запитують у вашому місцевому магазині ПК і те, що вони там кажуть, є. Для багатьох МСП ви працюєте саме так. Звичайно, для великих компаній я думаю, що ситуація з моєю власною інформацією краща, принаймні я хотів би в це повірити.
(# 16) Я висловлююсь у ViZion (# 15)
Звичайно, це те, що я бачив. Але коли я згадую про маршрутизатор - особливо в цьому контексті - мені нагадують коробки, які продаються спеціально як маршрутизатори.
(# 17) hcl ViZion (# 12)
Чому? Ви берете свій корпоративний ноутбук, продаєте його конкурентам, копіюючи на нього всілякі добрі гроші.
Ви повідомляєте про крадіжку невідомим зловмисником.
[Відредаговано]
(# 18) anulu ViZion (# 15)
є й інші проблеми з великою компанією. наприклад, керівництво h знає все набагато краще, а коли це 3-4. години розривання рота по телефону, ви можете схуднути із захопленням.
(# 19) Воланд Метеорхед (# 7)
"проте той факт, що ми не маємо уявлення про код"
невелике уточнення: можна ввести код.
(# 20) hcl Воланд (# 19)
Якщо я добре пам’ятаю, колега говорив не просто про РС. "в корпоративному програмному забезпеченні (на яке ви не можете подивитися, правда)"
[Відредаговано]
(# 21) коментарі sh4d0w (# 16)
(# 22) Я висловлююсь у sh4d0w (# 21)
Зараз це грубо .
(# 23) bambano anulu (# 4)
ніхто не сказав, що вони все розглянуть і знайдуть і виправлять кожну помилку.
але ви маєте право та можливість це зробити, сказали вони.
ця "помилка" (не помилка, але не має значення) не зробила нічого, щоб заплямувати репутацію безпеки з відкритим кодом.
(# 19) woland_y2k: "є можливість проникнути в код.": Серйозна помилка. тут у вас є можливість переглянути код * ONE *, ви просто не можете бути впевнені, що він є на інсталяційному компакт-диску.
[Відредаговано]
(# 24) Dhampir ViZion (# 15)
Баш, твори, збагачуй: і дім розкриється!
(# 25) sh4d0w бамбано (# 23)
Але ShellShock - це помилка. Навіть якщо проблема вперше виявлена не тому, що вона з'явилася як функція, скажімо, для деякої простоти, Тавіс Орманді та інші все-таки виявили деякі помилки в синтаксичному аналізаторі bash.
(# 26) Я маю право говорити на бамбано (# 23)
"Це не помилка, це особливість"
Єдина проблема в тому, що я не знаю, звідки ця приказка.
(Як щодо помилки ?)
(# 27) proci985 скасовано (# 4)
експертна оцінка - найдешевша та найслабша техніка контролю якості. Критичні системи не мають обов'язково критерії охоплення (як правило, MC/DC, ACC в іншій термінології), і цього недостатньо, щоб бути рівноправною людиною. у більш екстремальних випадках важливіші частини можна довести формально або за допомогою перевірки моделі.
на практиці тестова розробка може бути рішенням, але, як правило, твердження "перевірити програму" може бути величезною напругою. подібно до цього в останні роки "наскільки достатньо охоплення" стає цікавішим, або певні частини системи можуть бути важливішими. і перевірити все неможливо.
(# 28) Dare2Live скасовано (# 13)
Для мене грубо, що роками постійно надходять грубі грубі помилки. Не закінчено. Ось уразливість bash. Потім пудель. Потім.
Обидва вони сильно постраждали від найбільш розглянутого сегменту підприємств, проте вони були з нами роками, і, як я бачу навіть сьогодні, зв’язок із SSL прохолодний.
і навіть якби вищезазначене не було бездоганним, код, дозволи були б усі. він також є досвідченим користувачем і смітить всю безпеку.
(# 29) bambano Dare2Live (# 28)
о, вони постійно придумують грубі основні помилки, це був шкарпетка, серце, і. .
і саме те, що?
протягом багатьох років він постійно випускає дві помилки цього року і є млявим?
(# 30) Dare2Live бамбано (# 29)
+пудель, тобто цього року 3
і що ви маєте на увазі під цим, теж не проблема, з цих 3 чи мало що є мало?
(# 31) sh4d0w Dare2Live (# 30)
Пуделя можна було "створити" лише через IE6, і це насправді не така велика помилка - але якби мені довелося довірити компанії якусь роботу сьогодні і побачити XP, IE6 та інші, що працюють на їхніх системах, вони точно не були б бігунами - вгору.
[Відредаговано]
(# 32) Dare2Live sh4d0w (# 31)
Там, де ви бачите Win7et/linux та IE11, firefox, chrome, на вас також впливає не тільки IE6.
[Відредаговано]
(# 33) bambano Dare2Live (# 30)
що ви упереджені.
(# 34) бамбук Dare2Live (# 33)
Я маю на увазі, тому що я також сприймаю пуделя як серйозну проблему. Я упереджений? або тому, що я бачу, як вони їдуть у компанії, вони виводять все, де працює банда справжніх професіоналів безпеки?
(# 35) bambano Dare2Live (# 34)
ви упереджені, тому що в цьому році було дві (добре, три) помилки, тоді ось кінець світу з відкритим джерелом, і це було "базовим роками" і тому подібне, тоді як до цього в 23 практично не було помилки такого калібру роки Linux.
добре, ці дві помилки є серйозною проблемою, але з тих пір вони не були "грубими" щодо помилок.
shellshock - це також така "груба основна" проблема, що вона може досягти деяких часткових результатів лише за умови дотримання багатьох інших умов.
вони ходять у такі компанії? ВООЗ? кур'єр піци? і що вони використовують у цих компаніях? і скільки разів вони входять через дурість некваліфікованого користувача?
в той час, як той, хто розумно читає те, що ви пишете, і готовий пам'ятати, також знає, що ви грубо упереджені або в іншому напрямку, де тут не так, що через 20 років було виявлено дві помилки, але майже щотижня це помилка цієї категорії, і вони відкладають яйця, щоб виправити все це, поки ви платите гроші за капелюх за продукт.
якщо ми не дивимось на ціни та вартість, проблем із відкритим джерелом буде значно менше, ніж із закритим. Якщо ми подивимось як на ціни, так і на інші показники, інша команда ніде не дуже груба. коли я мав би мати доступ до MS, офіс, який містив би це, мав би майже сотню джерел, і ми маємо сумку, за яку ми не несемо відповідальності. Те саме стосується дебіанів з нульовими форинтами та еквівалентною відповідальністю.
(# 36) бамбук Dare2Live (# 35)
"відкритий джерело апокаліпсису".
Зберися. Ви уявляєте речі вночі, яких немає. Але якщо так, покажіть мені де. Одружений?
(# 37) bambano Dare2Live (# 36)
якщо я поставлю це поруч, "Мені грубо, що грубі основні помилки приходять роками. Це ще не закінчилося. Ось уразливість bash. Потім пудель. Тоді." і що ви інакше пишете, є.
(# 38) бамбук Dare2Live (# 37)
З цього вже навіть не виходить.
пудель uugy впливає на світ із закритим джерелом, а також на серце.
"які ви інакше написали б"
ви змішуєте з си. Навіть не пам’ятаю, коли востаннє писав на таку тему, цього року, звичайно, ні, і мені це насправді не все одно. Але якщо у вас є кілька посилань, я хотів би прочитати те, що я написав на цю тему.
Два з двох сміттєвих баків.
.
Я писав про те, що привернуло мою увагу. Даремно було все бездоганно, незважаючи ні на що. Вони увійшли з наполегливим АТП в оточенні силового користувача (співробітник служби безпеки). Не було помилок ОС/додатків, ні пуделя, ні серцебиття.
і що тоді, де 100ad стільки не дається безпеці, а 99% це тому, що керівництво не розуміє, чому? Про це також була стаття в hwswn. [посилання]
(# 39) sh4d0w Dare2Live (# 32)
Ні, але через IE6 сервери все ще підтримують застарілий SSL 3.0, інакше вони вже давно не були б у списку дозволених протоколів. До речі, я не дуже розумію, як Win7, IEx та Chrome потрапляють у світ відкритого джерела, тому що про них можна багато чого сказати, але те, що вони на віддалі від відкритого джерела, точно.
(# 40) Dare2Live sh4d0w (# 39)
"До речі, я не дуже розумію, як Win7, IEx та Chrome потрапляють у світ відкритого джерела, тому що про них можна багато чого сказати, але те, що вони на віддалі від відкритого джерела, точно."
Немає можливості. З іншого боку, вони також постраждали в певній ситуації, неважливо, використовуєте ви XP та IE6 або chromen/firefox.
(# 41) proci985 sh4d0w (# 39)
хром заснований на хромі, який є проектом з відкритим кодом і досить близьким.
chrome = хром + pdf + деталі реалізації, два останні закриті джерела. chromium можна завантажити самостійно, логотип дещо інший, і вам доведеться шукати нехромний варіант на їх сайті, але два проекти дуже переплетені.
(# 42) sh4d0w proci985 (# 41)
Chrome не є відкритим кодом, ось що ми говоримо.
(# 43) proci985 sh4d0w (# 42)
Незопонт - це запитувач, практично хром - це хром, доповнений невеликою кількістю деталей.