'Bash Bug' isang Alalahanin, Ngunit Maliit na Banta sa Mga Serbisyo ng Bitcoin

Nagkaroon ng malawakang alalahanin sa seguridad kahapon matapos ang Discovery ng isang lumang depekto na maaaring makaapekto sa mga web server at mga device na nakakonekta sa Internet – ngunit marami sa industriya ang nagsasabing hindi ito nagbibigay ng agarang banta sa mga serbisyo ng Bitcoin .

Ang kahinaan, na tinatawag na 'Bash Bug' o 'Shellshock Bug', ay magbibigay-daan sa isang nakakahamak na pag-access sa operating system ng isang UNIX-based na device sa pamamagitan ng command line shell - ang pinakamalawak na ginagamit kung saan ay bash.

Kasama sa mga system na nakabatay sa UNIX ang MacOS, mga bersyon ng Linux (desktop at server), mga sikat na mobile platform at mga naka-embed na system sa iba pang mga device na nakikipag-ugnayan online.

CNET iniulat ang eksperto sa seguridad na si Robert Graham, inilarawan ito bilang "bilang malaking deal bilang Heartbleed" – ang kapintasan sa OpenSSL na natuklasan noong Abril – na binigyan ng "napakalaking porsyento ng software na nakikipag-ugnayan sa shell."

'Sobrang hyped'

Jeff Garzik

, Bitcoin CORE developer at ngayon ay senior software engineer sa BitPay, gayunpaman, sinabing walang malinaw at kasalukuyang panganib sa mga gumagamit ng Bitcoin .

"Prediction: bash bug NOT bigger threat than heartbleed," siya nai-post sa isang Reddit thread.

Sinabi ni Garzik sa CoinDesk na, habang ang bagong natuklasang bug ay may potensyal na maging masama, "karamihan sa mga online na serbisyo gamit ang Bitcoin ay mas ligtas kaysa sa iyong karaniwang home router".

Idinagdag niya na ang Bash Bug ay makakaapekto sa karamihan ng mga site na hindi bitcoin, at ito ay sobrang hyped.

"Nangangailangan ito ng espesyal na hanay ng mga kundisyon para mapagsamantalahan, at ang mga home router at sinaunang Apache web server ay dati nang Swiss cheese security. Sa tingin ko ang praktikal na epekto ay magiging mas mababa kaysa sa ginagawa ng mainstream media."

Target ang Bitcoin ?

Sa yugtong ito, walang mga ulat ng anumang pagsasamantala ng Bash Bug na nakakaapekto sa anumang mga serbisyong nauugnay sa bitcoin. Kaya bakit nagmamalasakit sa lahat?

Ang mga serbisyo ng Bitcoin ay maaaring maging isang mas kaakit-akit na target para sa mga hacker at magnanakaw kaysa sa mas matatag, fiat-based na mga serbisyo tulad ng online banking at PayPal.

Mayroong dalawang makasaysayang dahilan para dito: mahinang pagpapatupad ng seguridad sa ilang maagang yugto ng mga serbisyo ng online Bitcoin , at ang pag-aatubili ng mga awtoridad na imbestigahan o parusahan ang mga krimen sa digital currency, maliban kung pinaghihinalaan nila ang mga droga o money laundering.

Samakatuwid, pinakamainam na magkaroon ng kamalayan sa mga potensyal na problema na maaaring harapin ng mga developer at serbisyo.

ONE palitan ng pananaw

Yan Chuan o 'YC', CTO ng exchange BitBays.com, sinabing ang bug ay "medyo madaling gamitin para sa mga hacker", at inirerekomenda ang lahat ng mga user na mag-patch, mag-back up ng mga log, at suriin ang mga system upang makita kung may nangyaring pag-atake.

Dahil pinahintulutan ng bug ang mga nakakahamak na hacker ng ganap na access sa isang operating system, may potensyal para sa anumang uri ng pag-atake, mula sa pagnanakaw ng mga Bitcoin wallet hanggang sa pag-install ng mga keylogger at backdoors.

Sinabi ng YC na ang Bitcoin mismo ay hindi maaapektuhan dahil sa desentralisadong istruktura nito.

"Gayunpaman, bilang isang sentralisadong provider ng exchange o wallet services, posibleng maapektuhan ng bash bug. Dahil sa pagkakaroon ng kahinaang ito, ang bukas na SSH, HTTP, FTP at iba pang mga server ng application ay nasa panganib na ma-access nang malayuan at kontrolado ng isang hacker."

Dahil ang Windows ay hindi nakabatay sa UNIX, ang mga desktop user nito ay hindi maaapektuhan sa kanilang sarili. Ang platform ng BitBays ay inihanda, patuloy ng YC, ngunit ang mga nag-aalalang gumagamit ng ibang platform ay maaaring gustong magtanong sa kanilang exchange o wallet service tungkol sa sitwasyon kung hindi sigurado.

Basag na shell

Ang kahinaan ng Bash Bug ay nagmumula sa isang seryosong depekto sa seguridad na umiiral sa bash (Bourne Again SHell) command 'env'. Nakakaapekto ito sa lokal na shell, pati na rin sa SSH, FTP, HTTP, at iba pang mahahalagang serbisyo.

Ipinaliwanag ng YC kung paano mapagsamantalahan ang bug, na nagsasabi na maraming web server ang nagpapadala ng impormasyon ng Request sa HTTP ng user (REMOTE_HOST), REQUEST_METHOD, QUERY-STRING, ETC) na nakaimbak sa isang environment variable, sa backend Web framework o CGI script.

Kung ang impormasyong ito ay may kasamang malisyosong mga tagubilin, sa susunod na magsagawa ang server ng bash ay isasagawa nito ang mga nakakahamak na tagubilin. Kaya, ang server ay nakompromiso.

Sa kasalukuyan, ang sikat na Apache + PHP at Nginx + wsgi frameworks ay mahina.

Walang QUICK pag-aayos

Ayon sa Red Hat, na naglabas ng sarili nitong security advisory, maraming programa ang nag-a-access sa bash shell sa background. Ang ilang mga pamamahagi ng Linux ay gumawa na ng mga patch na magagamit, kabilang ang Red Hat Enterprise Linux, Debian, Ubuntu at CentOS.

Ang bug, na aktwal na umiral nang higit sa 25 taon bago ang paglabas ng mga balita ngayon, ay maaaring makaapekto sa milyun-milyong device at mag-iwan ng mas lumang mga device na nangangailangan ng pag-patch. Ito ay ang napakaraming mga aparato na nangangailangan ng pag-patch, sa halip na ang pagiging kumplikado ng kapintasan o mga kilalang pagsasamantala, na ikinababahala ng ilang eksperto.

Larawan ng bug sa pamamagitan ng Shutterstock