Shellshock

Linux

laptop-hacker

თავისუფალი პროგრამული უზრუნველყოფა წელს უკვე მერამდენედ ხდება სკანდალის მსხვერპლი და ახალი მოწყვლადობა უკვე Bourne Again SHell-ს შეეხო, რომელიც ყველა Linux/Unix ადმინისტრატორმა იცის და იყენებს როგორც bash. Open SSL-ის შემდეგ bash-ში აღმოჩენილი ბაგი იმით არის ერთი კატეგორიის, რომ ორივე შეცდომა წლების განმავლობაში იმალებოდა კოდში და დღემდე ვერ იქნა აღმოჩენილი. აღმოჩნდა, რომ ეს ბაგი თვით Linux ოპერაციული სისტემის შექმნის დროიდან არსებობს და ამით მან ერთგვარი რეკორდიც კი მოხსნა. ასეთი დიდი დრო ეწინააღმდეგება და ეჭვქვეშ აყენებს თვით open source-ის მთავარ პრინციპს, რომელიც ამბობს, რომ რაც უფრო მეტი თვალია მით უფრო ნაკლებია შეცდომა.

თუ არ იცით გეტყვით: Bash არის ერთგვარი შუამავალი მომხმარებელსა და სისტემის ბირთვს შორის, რომელიც გვაძლევს მართვის საშუალებას მოსაწყენი ბრძნებების საშუალებით, რაც გულისხმობს უტილიტების გაშვებას, სისტემურ ფუნქციებზე წვდომას, პროგრამების გაშვებას და მათ ერთმანეთთან დაკავშირებას. ეს სწორედ ის შიშველი კონსოლია, რომელიც სასტიკად არ უყვართ გრაფიკული ინტერფეისის მოყვარულებს. ბრძანების ზოლიადნ ყველაფრის ანუ თითქმის გაკეთება არის შესაძლებელი რისი საშუალებაც აქვს ოპერაციულ სისტემას და რაც ყველაზე მთავარია ის ქსელიდან არის ხელმისაწვდომი.

Unix/Linux ბრძანების ზოლის განვითარების ისტორიაში ძალიან ბევრი რამ მოხდა მას შემდეგ რაც Bash პირველად გამოჩნდა 1989 წელს და შემდგომი 10 წლის განმავლობაში ის თითქმის არ გამოირჩეოდა სხვა მსგავსი გარსებისგან. Linux-ის გამოჩენის შემდეგ კი ის უდაო ლიდერი გახდა და დისტრიბუტივების უმრავლესობაში დღემდე სტანდარტულად გამოიყენება, მათ შორის არის iOS და Android. Bash დღესაც არის ყველაზე პოპულარული სისტემური აპლიკაცია Linux სამყაროში.

შელი იმის გარდა, რომ არის ბრძანებების შესრულების გარემო, ასევე არის მაღალორგანიზებული პროგრამირების ენაც, რომელიც ძალიან მოხერხებულია და თითქმის ყველა სისტემაში გამოიყენება ძალიან აქტიურად. ამ ენაზე დაწერილ პროგრამებს ადმინები ხშირად სკრიპტებს ეძახიან და მათი დახმარებით ადვილად სრულდება ისეთი ამოცანები, რომლებიც სტანდარტული პროგრამირების ენაზე უფრო რთული გასაკეთებელი იქნებოდა. შელისთვის პროგრამის დაწერა ძალიან მარტივია იმიტომ, რომ ის შედგება სისტემური უტილიტებისგან და სტანდარტული ლოგიკური ოპერაციებისგან. აღნიშნულიდან გამომდინარე Bash პროგრამებს არა მხოლოდ ადმინები და გამოცდილი მომხამრებლები, თვით დისტრიბუტივიც იყენებს ხშირ შემთხვევაში.

აი სწორედ აქ იქნა აღმოჩენილი შეცდომა, მოწყვლადობა Shellshock (ნიშნავს შოკს აფეთქებისგან, კონტუზიას) რომელიც bash-ის ფუნქციონალში იმალება, რომლის საშუალებითაც ვუშვებთ ბრძანებებს რომლებიც არაპირდაპირ სრულდება და იმალება გარემოს ცვლადებში რაც ოპერაციულ სისტემაში საჭიროა კონკრეტული ფაილების ან პროგრამების ლოკაციების სწრაფად დანახვისათვის. შეცდომაა თუ არა? რა თქმა უნდა ეს უფრო გამორჩენაა, რომელიც 90-იანი წლების დასაწყისიდან იმალება კოდში და მასზე არავის არ მიუქცევია ყურადება.

NIST-რომელიც არის ერთ ერთი ინსტიტუტი ძალიან დიდი ამბიციებით კიბერუსაფრთხოებაში თვლის, რომ Shellshock არის 10-დან 10 ბალიანი შეფასების მქონე მოწყვლადობა. თავად Shellshock-ის განხორციელება ელემენტარულია და საკმარისია მისი იმ პროგრამაში მოთავსება, რომელიც bash-ს იყენებს. სწორად დაგეგმილი შეტევის შემთხვევაში, შემტვი მიიღებს სრულ წვდომას მსხვერპლის სისტემაზე.

როგორ შევამოწმოთ ჩვენი სისტემა. ტექსტი რომელიც არის ამ ფრჩხილებს მიღმა {;}; არ უნდა შესრულდეს,მაგრამ მაინც სრულდება bash-ის  4.3 ვერსიამდე.
როგორ შევამოწმოთ ჩვენი სისტემა:ტექსტი რომელიც არის ამ ფრჩხილებს მიღმა {;}; არ უნდა შესრულდეს,მაგრამ მაინც სრულდება bash-ის 4.3 ვერსიამდე.

რა უნდა ქნას მომხმარებელმა, რომელსაც უნდა თავი დაიცვას? რა თქმა უნდა განახლდეს ბოლო ვერსიამდე, თუმცა ეს პრობლემის სრული გადაწყვეტა არ არის, მაგრამ მაინც ამცირებს სისტემის გატეხვის ალბათობას. სისტემების ზომბირების და ბოტნეტების შექმნის პროცესი უკვე მიმდინარეობს ასე, რომ ძალიან მალე იქნება კიდევ ერთი დიდი ქსელური ეპიდემია, რომელიც ძალიან ბევრ სისტემას მოედება მთელი ინტერნეტის მასშტაბით. ამიტომაც გირჩევთ სასწრაფოდ განაახლოთ თქვენი დისტრიბუტივები.

კომენტარის დატოვება

თქვენი ელფოსტის მისამართი გამოქვეყნებული არ იყო. აუცილებელი ველები მონიშნულია *

This site uses Akismet to reduce spam. Learn how your comment data is processed.