التوقف عن مقارنة كل الشوائب الحرجة للقذيفة ، صدفة

ليس كل الضعف الحرج يجب مقارنته مع Heartbleed ليؤخذ على محمل الجد. في الواقع ، ليست هناك حاجة لإظهار Heartbleed أو Shellshock عندما يكون هناك خلل جديد في البرامج يتطلب اهتمامًا فوريًا.

في الأسبوع الماضي ، قامت Microsoft بتصحيح مشكلة عدم حصانة خطيرة في القناة (القناة الآمنة) التي كانت موجودة في كل إصدار من نظام التشغيل Windows منذ نظام التشغيل Windows 95. أبلغ باحث من IBM عن الخطأ لشركة Microsoft في مايو ، وحددت Microsoft المشكلة كجزء من نوفمبر تصحيح الثلاثاء الافراج.

وصف روبرت فريمان ، الباحث في IBM ، الثغرة الأمنية بأنها "خطأ نادر" يشبه حيدات القرن ".

يحتاج المستخدمون إلى تشغيل Windows Update على أجهزة الكمبيوتر الخاصة بهم (إذا كان قد تم ضبطه ليتم تشغيله تلقائيًا ، فسيكون ذلك أفضل) ويجب على المسؤولين تحديد أولوية هذا التصحيح. قد تواجه بعض التكوينات مشكلة في التصحيح وقد أصدرت Microsoft حلاً لهذه الأنظمة. يتم الاعتناء بكل شيء ، أليس كذلك؟

FUD يخلف رأسه القبيح

كذلك ليس تماما. الحقيقة هي أنه - بعد سبعة أشهر! - هناك عدد غير تافه من أجهزة الكمبيوتر التي لا تزال تعمل بنظام Windows XP ، على الرغم من توقف Microsoft الدعم في أبريل. لذلك لا تزال أجهزة XP عرضة لخطر تنفيذ تعليمات برمجية عن بُعد إذا قام المستخدم بزيارة موقع ويب مفخخ. ولكن بالنسبة للجزء الأكبر ، فإن القصة هي نفسها كما كانت كل شهر: قامت Microsoft بإصلاح ثغرة أمنية حرجة وإصدار تصحيح. تصحيح الثلاثاء الأعمال كالمعتاد.

حتى لم يكن كذلك. ربما أصبح مهنيو أمن المعلومات متقلبين لدرجة أنهم يعتقدون أنهم يجب عليهم بيع الخوف طوال الوقت. ولعل حقيقة أن هذه الثغرة الأمنية أدخلت على كود ويندوز منذ 19 عامًا تسببت في نوع من الارتجاع. أو وصلنا إلى نقطة حيث الإثارة هي القاعدة.

لكن فوجئت برؤية الأرض التالية في صندوق الوارد الخاص بي من كريج يونج ، الباحث الأمني ​​في تريبواير ، فيما يتعلق بتصحيح مايكروسوفت: "Heartbleed كان أقل قوة من MS14-066 لأنه كان" مجرد "خطأ في الكشف عن المعلومات وكان Shellshock للاستغلال عن بعد فقط في مجموعة فرعية من الأنظمة المتأثرة."

لقد أصبحت نكتة - حزينة إذا كنت تفكر في ذلك - أنه لكي تحصل أي ثغرة أمنية على أي نوع من الاهتمام ، نحتاج الآن إلى الحصول على اسم فاخر وشعار. ربما سيكون لدى الفرقة التالية فرقة نحاسية وأغنية جذابة. إذا كنا بحاجة إلى هذه الزخارف لجعل الناس يأخذون أمن المعلومات على محمل الجد ، فهناك مشكلة ، وهي ليست الخطأ نفسه. هل وصلنا إلى النقطة التي يكون فيها السبيل الوحيد لجذب الانتباه إلى الأمن هو اللجوء إلى الحيل والإثارة؟

الأمن المسؤول

أعجبني ما يلي: "هذا خطأ كبير للغاية يلزم تصحيحه على الفور. لحسن الحظ ، يوفر النظام الأساسي لتحديث النظام الأساسي لـ Microsoft القدرة لكل عميل على تصحيح هذه الثغرة الأمنية في ساعات باستخدام Microsoft Update" ، قال فيليب ليبرمان ، رئيس ليبرمان البرمجيات.

لا تفهموني خطأ. أنا سعيد لأن Heartbleed حصلت على الاهتمام الذي أبدته ، لأنها كانت جادة وتحتاج إلى الوصول إلى أشخاص خارج مجتمع infosec بسبب تأثيرها الواسع النطاق. جاء اسم Shellshock - من ما يمكنني قوله - من محادثة على تويتر تناقش الخلل وطرق اختباره. ولكن ليست هناك حاجة إلى استدعاء مشكلة عدم حصانة Schannel "WinShock" أو لمناقشة جدية الأمر بالنسبة إلى هذه العيوب.

يمكنها ، بل يجب ، أن تقف من تلقاء نفسها.

وقال جوش فينبلوم ، نائب رئيس أمن المعلومات: "تشكل مشكلة عدم الحصانة هذه خطرًا نظريًا خطيرًا على المؤسسات ويجب تصحيحها في أسرع وقت ممكن ، ولكنها لا تتمتع بنفس تأثير وقت الإصدار الذي يحظى به الكثير من الثغرات الأمنية الأخرى التي تم الإعلان عنها مؤخرًا". في Rapid7 ، كتب في بلوق وظيفة.

أبدى ليبرمان ملاحظة مثيرة للاهتمام ، وأشار إلى أن ثغرة أمنية في Schannel لم تكن مثل Heartbleed لأنه ليس كما لو كان على كل بائع مفتوح المصدر أو برنامج عميل إصلاح المشكلة وإصدار التصحيح الخاص به. يعني البرنامج التجاري الذي يحتوي على آليات محددة لتسليم التصحيح ، مثل ما توفره Microsoft ، أنه لا داعي للقلق بشأن "مجموعة من المكونات ذات الإصدارات المختلفة وسيناريوهات التصحيح".

لا يهم إذا كان من الصعب (مثل IBM) أو تافه (يقول iSight Partners) استغلاله. تشير الثرثرة عبر الإنترنت إلى أن هذا مجرد غيض من فيض ، وأن ثغرة SChannel لديها القدرة على خلق فوضى كبيرة. إنه خطأ خطير. دعنا نتحدث عن القضية على أساس مزاياها الخاصة دون اللجوء إلى أساليب الخوف.