2014年09月26日 12:16 PM
Shellshock暴露互聯網“如履薄冰”
安全專家警告說,“Shellshock漏洞”暴露了互聯網在超過20年的時間里為網絡犯罪分子留下的大量可乘之機,這凸顯出最基本的網絡基礎設施已經不適應21世紀網絡的需要。
周三發現的這一基礎性漏洞被稱為近十年內發現的最嚴重漏洞。利用該漏洞,可以遠程操縱政府機關、軍方及企業的計算機系統。
Adallom副總裁塔爾•克萊因(Tal Klein)警告說,由於整個互聯網都像是建在“一塊極薄的冰層之上”,今後可能會發現更多這樣的漏洞。Adallom是一家總部在美國的雲安全公司。
他說:“我們一直在努力改善互聯網的安全性,卻想當然地認為互聯網之下的冰層是安全的。極少有人主動花時間檢驗基礎組件的安全性。這些組件使用的時間太久,人們理所當然地認為,既然人們還在用,就說明它們沒什麽問題。”
通過升級電腦系統——或者為系統打上補丁——可以消除Shellshock漏洞的威脅。不過這麽做需要花上一段時間,因為IT團隊必須趕緊分析出哪些系統需要更新,而且Shellshock漏洞可能只是互聯網基礎設施的諸多漏洞之一。
Rapid 7全球安全策略師特雷•福特(Trey Ford)表示,問題在於人們一直在一種基礎架構之上進行創新,而當初建立這種基礎架構的目的卻與今天使用它的目的不一致。
他說:“萬維網剛剛度過了25歲生日。當蒂姆•伯納斯-李爵士(Sir Tim Berners-Lee)發明萬維網時,我不知道他能否想象到今天各種魔術般的口袋設備。通過這些設備,人們可以從東京撥出長途電話、可以瀏覽互聯網、還可以四處調動資金。在25或30年的時間里,我們已走得很遠。”福特表示,許多企業正在著手改善互聯網的某些基礎性能,包括谷歌(Google),以及Rapid 7等網絡安全公司。然而,只有當消費者更加重視安全問題時,企業才會開發出註重安全性的產品。
他說:“長期來說,安全不應被視為一種特性,而應該是一種必要屬性。我擔心人們要經歷更多此類事件,才會把這類服務和投資放在重要位置上。”
他補充說,產品設計人員必須做出選擇:是把資金花在設計更有利於產品銷售的新功能上,還是花在提升沒人會註意的安全性上。
在對問題嚴重程度一無所知的情況下,人們很難把安全問題擺在首位。要求企業報告網絡攻擊的立法,因國家或行業的不同而存在極大差異,但大多都著眼於用戶數據的泄露,而不是其他旨在控制電腦系統或竊取知識產權的攻擊。
到目前為止,Shellshock漏洞造成的影響還很難評估。盡管該漏洞已存在了逾20年,但不清楚網絡犯罪分子是否已發現了這個漏洞。在用戶主要為軟件工程師的在線論壇Github上,已有人發布證據,顯示Shellshock漏洞已被用在一次網絡攻擊中。不過,這次攻擊發生的時間和地點還不清楚。
政府支持的尖端網絡罪犯被視為一種高級別持續性威脅,他們可能會利用這一漏洞實施“隱秘的攻擊”,深度滲透入企業或政府的計算機系統。
其他攻擊者可能會利用該漏洞控制世界各地的服務器和家用互聯網路由器,從而建立一個龐大的“僵屍網絡”(botnet)。這種網絡會讓他們獲得足夠的計算能力,可以用“分佈式拒絕服務攻擊”(DDoS)摧毀任何網站。
蘋果公司(Apple)的Mac電腦採用一種原本基於Unix的操作系統,因此也可能受到這一漏洞的影響,特別是在連接到公共WiFi的時候。此外,許多“物聯網”設備如燈泡、冰箱等可能也會受到影響。
網絡安全公司Veracode首席技術官克裡斯•維索帕爾(Chris Wysopal)表示,從漏洞公佈到科技企業發布修復漏洞的軟件更新(或補丁)這段時間是“最危險的”。
他說:“人們擔心的問題在於,目前不清楚有多少設備受到了這一漏洞的影響。”
譯者/簡易
沒有留言:
張貼留言