Lebih buruk daripada patah hati? Meet ShellShock: Ancaman Keamanan Baru Untuk OS X dan Linux

Iklan

SEBUAH masalah keamanan serius dengan Bash shell - komponen utama dari kedua sistem operasi mirip UNIX - telah ditemukan, dengan implikasi signifikan bagi keamanan komputer di seluruh dunia.

Masalah ini hadir di semua versi bahasa scripting Bash hingga versi 4.3, yang mempengaruhi sebagian besar mesin Linux, dan keseluruhan komputer yang menjalankan OS X. dan dapat melihat penyerang mengeksploitasi masalah ini untuk meluncurkan kode mereka sendiri.

Ingin tahu tentang cara kerjanya dan bagaimana melindungi diri sendiri? Baca terus untuk informasi lebih lanjut.

Apa Itu Bash?

Bash (singkatan dari Bourne Again Shell) adalah juru bahasa command line default yang digunakan pada sebagian besar distribusi Linux dan BSD, selain OS X. Ini digunakan sebagai metode meluncurkan program, menggunakan utilitas sistem dan berinteraksi dengan sistem operasi yang mendasarinya dengan meluncurkan perintah.

Selain itu, Bash (dan sebagian besar shell Unix) memungkinkan skrip fungsi UNIX dalam skrip kecil. Demikian pula untuk sebagian besar bahasa pemrograman - seperti Python, JavaScript

dan CoffeeScript CoffeeScript Adalah JavaScript Tanpa Sakit KepalaSaya tidak pernah benar-benar suka menulis JavaScript sebanyak itu. Dari hari saya menulis baris pertama saya menggunakannya, saya selalu benci bahwa apa pun yang saya tulis selalu berakhir seperti Jackson ... Baca lebih banyak - Bash mendukung fitur-fitur umum pada sebagian besar bahasa pemrograman, seperti fungsi, variabel, dan ruang lingkup.

Bash hampir di mana-mana, dengan banyak orang menggunakan istilah 'Bash' untuk merujuk ke semua antarmuka baris perintah, terlepas dari apakah mereka benar-benar menggunakan shell Bash. Dan jika Anda pernah menginstal WordPress atau Ghost melalui baris perintah Mendaftar untuk Hosting Web khusus SSH? Don't Worry - Mudah Menginstal Perangkat Lunak Web Apa PunTidak tahu apa-apa tentang mengoperasikan Linux melalui baris perintah yang kuat? Jangan khawatir lagi. Baca lebih banyak , atau terowongan lalu lintas web Anda melalui SSH Cara Tunnel Traffic Web dengan SSH Secure Shell Baca lebih banyak , Anda mungkin menggunakan Bash.

Itu ada di mana-mana. Yang membuat kerentanan ini semakin mengkhawatirkan.

Membedah Serangan

Kerentanan - ditemukan oleh peneliti keamanan Perancis Stéphane Chazleas - telah menyebabkan banyak kepanikan di pengguna Linux dan Mac di seluruh dunia, serta menarik perhatian pers teknologi. Dan untuk alasan yang baik juga, karena Shellshock berpotensi melihat penyerang mendapatkan akses ke sistem istimewa dan mengeksekusi kode jahat mereka sendiri. Itu jorok.

Tetapi bagaimana cara kerjanya? Pada level serendah mungkin, ia mengeksploitasi caranya variabel lingkungan kerja. Ini digunakan baik oleh sistem mirip UNIX dan Windows Apa Variabel Lingkungan & Bagaimana Saya Dapat Menggunakannya? [Windows]Sesekali saya akan belajar sedikit tip yang membuat saya berpikir "baik, jika saya tahu bahwa setahun yang lalu maka itu akan menyelamatkan saya berjam-jam waktu". Saya ingat dengan jelas belajar bagaimana ... Baca lebih banyak untuk menyimpan nilai yang diperlukan agar komputer berfungsi dengan baik. Ini tersedia secara global di seluruh sistem dan dapat menyimpan nilai tunggal - seperti lokasi folder atau angka - atau fungsi.

Fungsi adalah konsep yang ditemukan dalam pengembangan perangkat lunak. Tetapi apa yang mereka lakukan? Sederhananya, mereka menggabungkan satu set instruksi (diwakili oleh baris kode), yang nantinya dapat dieksekusi oleh program lain atau pengguna.

Masalah dengan juru Bash terletak pada bagaimana ia menangani fungsi penyimpanan sebagai variabel lingkungan. Dalam Bash, kode yang ditemukan dalam fungsi disimpan di antara sepasang kurung kurawal. Namun, jika penyerang meninggalkan beberapa kode Bash di luar kurung kurawal, maka akan dieksekusi oleh sistem. Ini membuat sistem terbuka lebar untuk keluarga serangan yang dikenal sebagai serangan kode-injeksi.

Para peneliti telah menemukan vektor serangan potensial dengan mengeksploitasi bagaimana perangkat lunak seperti Server web Apache Cara Mengatur Server Web Apache Dalam 3 Langkah MudahApa pun alasannya, Anda mungkin ingin mendapatkan server web. Apakah Anda ingin memberi diri Anda akses jarak jauh ke halaman atau layanan tertentu, Anda ingin mendapatkan komunitas ... Baca lebih banyak , dan umum Utilitas UNIX seperti WGET Menguasai Wget & Mempelajari Beberapa Trik Mengunduh yang RapiTerkadang tidak cukup untuk menyimpan situs web secara lokal dari browser Anda. Terkadang Anda membutuhkan kekuatan lebih. Untuk ini, ada alat baris perintah kecil yang rapi yang dikenal sebagai Wget. Wget adalah ... Baca lebih banyak berinteraksi dengan shell dan gunakan variabel lingkungan.

Bug bash itu buruk ( https://t.co/60kPlziiVv ) Dapatkan shell terbalik di situs web yang rentan http://t.co/7JDCvZVU3S oleh @ortegaalfredo

- Chris Williams (@diodesign) 24 September 2014

CVE-2014-6271: wget -U "() {test;}; / usr / bin / touch / tmp / VULNERABLE" myserver / cgi-bin / test

- Hernan Ochoa (@hernano) 24 September 2014

Bagaimana Anda Mengujinya?

Ingin tahu apakah sistem Anda rentan? Mencari tahu itu mudah. Cukup buka terminal, dan ketik:

env x = '() {:;}; echo rentan 'bash -c "echo this is a test"

Jika sistem Anda rentan, maka akan dihasilkan:

rentan ini adalah ujian

Sementara sistem yang tidak terpengaruh akan menampilkan:

env x = '() {:;}; gema rentan 'bash -c "gema ini adalah tes" bash: peringatan: x: mengabaikan upaya definisi fungsi bash: kesalahan mengimpor definisi fungsi untuk `x' ini adalah tes

Bagaimana Anda memperbaikinya?

Pada saat publikasi, bug - yang ditemukan pada 24 September 2014 - seharusnya sudah diperbaiki dan ditambal. Anda hanya perlu memperbarui sistem Anda. Sementara varian Ubuntu dan Ubuntu menggunakan Dash sebagai shell utama mereka, Bash masih digunakan untuk beberapa fungsionalitas sistem. Akibatnya, Anda disarankan untuk memperbaruinya. Untuk melakukannya, ketik:

sudo apt-get pembaruan. sudo apt-get upgrade

Pada Fedora dan varian Red Hat lainnya, ketik:

sudo yum pembaruan

Apple belum merilis perbaikan keamanan untuk ini, meskipun jika mereka melakukannya, mereka akan merilisnya melalui app store. Pastikan Anda secara teratur memeriksa pembaruan keamanan.

Chromebook - yang menggunakan Linux sebagai fondasinya, dan bisa menjalankan sebagian besar distro tanpa banyak keributan Cara Memasang Linux di ChromebookApakah Anda memerlukan Skype di Chromebook? Apakah Anda kehilangan akses ke gim melalui Steam? Apakah Anda ingin menggunakan VLC Media Player? Kemudian mulai gunakan Linux di Chromebook Anda. Baca lebih banyak - gunakan Bash untuk fungsi sistem tertentu dan Dash sebagai shell utama mereka. Google harus memperbarui di musim yang sesuai.

Apa Yang Harus Dilakukan Jika Distro Anda Belum Memperbaiki Bash

Jika distro Anda belum merilis perbaikan untuk Bash, Anda mungkin ingin mempertimbangkan untuk mengubah distribusi, atau memasang shell yang berbeda.

Saya akan merekomendasikan pemula untuk check out Kerang Ikan. Ini hadir dengan sejumlah fitur yang saat ini tidak tersedia di Bash dan membuatnya lebih menyenangkan untuk bekerja dengan Linux. Ini termasuk sugesti otomatis, warna VGA yang cerah dan kemampuan untuk mengkonfigurasinya dari antarmuka web.

Rekan penulis MakeUseOf Andrew Bolster juga merekomendasikan Anda check out zSH, yang hadir dengan integrasi ketat dengan sistem kontrol versi Git, serta pelengkapan otomatis.

@matthewhughes zsh, karena autocomplete dan integrasi git yang lebih baik

- Andrew Bolster (@Bolster) 25 September 2014

Kerentanan Linux Paling Menakutkan Belum?

Shellshock sudah dipersenjatai. Dalam satu hari kerentanan sedang diungkapkan kepada dunia, itu sudah digunakan di alam liar untuk kompromi sistem. Lebih parah lagi, bukan hanya pengguna rumahan dan bisnis yang rentan. Pakar keamanan memprediksi bahwa bug itu juga akan membuat sistem militer dan pemerintah dalam bahaya. Hampir seperti mimpi buruk seperti Heartbleed.

Sapi suci ada banyak situs .mil dan .gov yang akan dimiliki oleh CVE-2014-6271.

- Kenn White (@kennwhite) 24 September 2014

Jadi tolong. Perbarui sistem Anda, oke? Biarkan saya tahu bagaimana Anda melanjutkan, dan pemikiran Anda tentang bagian ini. Kotak komentar di bawah.

Kredit Foto:zanaca (IMG_3772.JPG)