Rumah Jam keamanan Berhentilah membandingkan setiap bug penting dengan heartshed, shellshock

Berhentilah membandingkan setiap bug penting dengan heartshed, shellshock

Video: The Shellshock Bug In About Four Minutes (Desember 2024)

Video: The Shellshock Bug In About Four Minutes (Desember 2024)
Anonim

Tidak setiap kerentanan kritis harus dibandingkan dengan Heartbleed untuk dianggap serius. Bahkan, tidak perlu memunculkan Heartbleed atau Shellshock ketika ada cacat perangkat lunak baru yang membutuhkan perhatian segera.

Pekan lalu, Microsoft menambal kerentanan serius di SChannel (Secure Channel) yang telah ada di setiap versi sistem operasi Windows sejak Windows 95. Seorang peneliti IBM melaporkan bug ke Microsoft pada Mei, dan Microsoft memperbaiki masalah ini sebagai bagian dari November Menambal rilis Selasa.

Peneliti IBM Robert Freeman menggambarkan kerentanan sebagai bug "langka, 'seperti unicorn'."

Pengguna perlu menjalankan Pembaruan Windows di komputer mereka (jika diatur untuk berjalan secara otomatis, semua lebih baik) dan administrator harus memprioritaskan tambalan ini. Beberapa konfigurasi mungkin mengalami masalah dengan tambalan dan Microsoft telah merilis solusi untuk sistem tersebut. Semuanya diurus, kan?

FUD Rears Its Ugly Head

Ya tidak cukup. Faktanya adalah, ada - tujuh bulan kemudian! -Beberapa komputer yang tidak sepele masih menjalankan Windows XP, meskipun Microsoft mengakhiri dukungan pada bulan April. Jadi mesin XP masih menghadapi risiko serangan eksekusi kode jarak jauh jika pengguna mengunjungi Situs web yang terjebak jebakan. Tetapi sebagian besar, ceritanya sama dengan yang terjadi setiap bulan: Microsoft memperbaiki kerentanan kritis dan merilis tambalan. Menambal bisnis Selasa seperti biasa.

Sampai tidak. Mungkin profesional keamanan informasi sekarang sangat letih sehingga mereka berpikir mereka harus menjual rasa takut setiap saat. Mungkin fakta bahwa kerentanan ini dimasukkan ke dalam kode Windows 19 tahun yang lalu memicu semacam kilas balik Heartbleed. Atau kita telah sampai pada titik di mana sensasionalisme adalah norma.

Tapi saya terkejut melihat tanah berikut di kotak masuk saya dari Craig Young, seorang peneliti keamanan dengan Tripwire, mengenai patch Microsoft: "Heartbleed kurang kuat daripada MS14-066 karena itu 'hanya' bug pengungkapan informasi dan Shellshock adalah dieksploitasi dari jarak jauh hanya dalam bagian dari sistem yang terkena dampak."

Ini menjadi lelucon - yang menyedihkan jika Anda pikirkan - bahwa untuk kerentanan apa pun untuk mendapatkan perhatian apa pun, kita sekarang perlu memiliki nama dan logo yang mewah. Mungkin yang berikutnya akan memiliki band kuningan dan jingle yang catchy. Jika kita membutuhkan jebakan ini untuk membuat orang menganggap keamanan informasi dengan serius, maka ada masalah, dan itu bukan bug itu sendiri. Sudahkah kita sampai pada titik di mana satu-satunya cara untuk menarik perhatian pada keamanan adalah dengan menggunakan tipuan dan sensasi?

Keamanan yang Bertanggung Jawab

Saya menyukai yang berikut ini: "Ini adalah bug yang sangat serius yang perlu segera ditambal. Untungnya ekosistem pembaruan platform Microsoft menyediakan kemampuan bagi setiap pelanggan untuk ditambal untuk kerentanan ini dalam hitungan jam menggunakan Pembaruan Microsoft, " kata Philip Lieberman, presiden dari Perangkat Lunak Lieberman.

Jangan salah sangka. Saya senang Heartbleed mendapatkan perhatian yang dilakukannya, karena itu serius dan perlu menjangkau orang-orang di luar komunitas infosec karena dampaknya yang luas. Dan nama Shellshock - dari apa yang bisa saya katakan - keluar dari percakapan Twitter yang membahas cacat dan cara mengujinya. Tetapi tidak perlu menyebut kerentanan SChannel "WinShock" atau untuk memperdebatkan keseriusannya sehubungan dengan kelemahan-kelemahan itu.

Itu bisa, dan harus, berdiri sendiri.

"Kerentanan ini menimbulkan risiko teoritis yang serius bagi organisasi dan harus ditambal sesegera mungkin, tetapi tidak memiliki dampak waktu rilis yang sama dengan banyak kerentanan lain yang baru-baru ini dipublikasikan, " Josh Feinblum, wakil presiden keamanan informasi di Rapid7, menulis dalam posting blog.

Lieberman membuat pengamatan yang menarik, mencatat bahwa kerentanan SChannel tidak seperti Heartbleed karena tidak seolah-olah setiap vendor open source atau perangkat lunak klien harus memperbaiki masalah dan merilis tambalan mereka sendiri. Perangkat lunak komersial dengan mekanisme pengiriman tambalan yang sudah ditentukan seperti yang dilakukan Microsoft berarti tidak perlu khawatir tentang "campur aduk komponen dari berbagai versi dan skenario tambalan."

Tidak masalah jika sulit (kata IBM) atau sepele (kata Mitra iSight) untuk dieksploitasi. Obrolan online menunjukkan ini hanyalah puncak gunung es, dan kerentanan SChannel memiliki potensi untuk membuat kekacauan besar. Ini bug yang serius. Mari kita bicara tentang masalah ini dengan caranya sendiri tanpa menggunakan taktik ketakutan.

Berhentilah membandingkan setiap bug penting dengan heartshed, shellshock