«Помилка Bash» викликає занепокоєння, але невелика загроза для Bitcoin сервісів

Вчора виникло широке занепокоєння щодо безпеки після Цікаве старої вади, яка могла вплинути на веб-сервери та пристрої, підключені до Інтернету, але багато хто в галузі стверджує, що вона не становить безпосередньої загрози для Bitcoin сервісів.

Уразливість, яку називають «помилкою Bash» або «помилкою Shellshock», уможливлює зловмисний доступ до операційної системи пристрою на базі UNIX через оболонку командного рядка – найпоширенішою з яких є удар.

Системи на основі UNIX включають MacOS, версії Linux (настільні та серверні), популярні мобільні платформи та вбудовані системи на інших пристроях, які спілкуються онлайн.

CNET повідомили експерт з безпеки Роберт Грем, описано це як "така ж велика справа, як Heartbleed" – вада OpenSSL, виявлена ​​в квітні – враховуючи "величезний відсоток програмного забезпечення, яке взаємодіє з оболонкою".

"Надмірно розкручений"

Джефф Гарзік

, розробник CORE Bitcoin , а зараз старший інженер програмного забезпечення в BitPay, однак, сказав, що явної та поточної небезпеки для користувачів Bitcoin немає.

«Прогноз: баш-баг НЕ більша загроза, ніж серцева кровотеча», — сказав він розміщено у ланцюжку Reddit.

Гарзік сказав CoinDesk , що, незважаючи на те, що нещодавно виявлена ​​помилка може бути поганою, «більшість онлайн-сервісів, які використовують Bitcoin , набагато безпечніші, ніж ваш звичайний домашній маршрутизатор».

Він додав, що помилка Bash вплине здебільшого на сайти, не пов’язані з біткойнами, і її надміру розкручують.

«Це потребує спеціального набору умов, щоб бути придатним для використання, а домашні маршрутизатори та стародавні веб-сервери Apache вже були швейцарським сиром безпеки в будь-якому випадку. Я думаю, що практичний вплив буде набагато меншим, ніж це роблять основні засоби масової інформації».

Bitcoin ціль?

На даному етапі немає повідомлень про будь-який експлойт Bash Bug, який впливає на будь-які служби, пов’язані з біткойнами. То навіщо взагалі дбати?

Bitcoin сервіси потенційно можуть бути більш привабливою мішенню для хакерів і злодіїв, ніж більш відомі фіатні сервіси, такі як онлайн-банкінг і PayPal.

Цьому є дві історичні причини: погана реалізація безпеки на деяких початкових онлайн-сервісах Bitcoin і небажання влади розслідувати або карати злочини, пов’язані з використанням цифрової валюти, якщо вони не підозрюють, що йдеться про наркотики чи відмивання грошей.

Тому краще принаймні бути в курсі потенційних проблем, з якими можуть зіткнутися розробники та служби.

Погляд ONE біржі

Янь Чуан або «YC», технічний директор обміну BitBays.com, сказав, що цю помилку «порівняно легко використовувати для хакерів», і рекомендував усім користувачам виправити, створити резервну копію журналів і перевірити системи, щоб побачити, чи не відбулася якась атака.

Оскільки помилка дозволяла зловмисним хакерам отримати повний доступ до операційної системи, існувала можливість будь-якої атаки, від крадіжки Bitcoin -гаманців до встановлення кейлоггерів і бекдорів.

YC сказав, що сам Bitcoin не постраждає через його децентралізовану структуру.

«Однак, як централізований постачальник послуг обміну або гаманця, на нього може вплинути помилка bash. Через наявність цієї вразливості відкриті SSH, HTTP, FTP та інші сервери додатків піддаються ризику віддаленого доступу та контролю з боку хакера».

Оскільки Windows не базується на UNIX, це не вплине на самих користувачів настільного комп’ютера. Платформа BitBays готова, продовжив YC, але занепокоєні користувачі іншої платформи, можливо, захочуть запитати свою біржу або службу гаманця про ситуацію, якщо не впевнені.

Тріснула оболонка

Уразливість Bash Bug виникає через серйозну помилку безпеки, яка існує в команді bash (Bourne Again SHell) 'оточення'. Це впливає на локальну оболонку, а також на SSH, FTP, HTTP та інші важливі служби.

YC пояснив, як можна використати цю помилку, зазначивши, що багато веб-серверів надсилають інформацію HTTP- Request користувача (REMOTE_HOST), REQUEST_METHOD, QUERY-STRING ETC), що зберігається у змінній середовища, до серверної веб-платформи або сценаріїв CGI.

Якщо ця інформація містить зловмисні інструкції, наступного разу, коли сервер виконає bash, він виконає зловмисні інструкції. Таким чином, сервер скомпрометований.

Зараз популярні фреймворки Apache + PHP і Nginx + wsgi є вразливими.

Немає QUICK вирішення

Відповідно до Red Hat, яка випустила власну консультацію щодо безпеки, багато програм отримують доступ до оболонки bash у фоновому режимі. Кілька дистрибутивів Linux вже зробили доступними виправлення, включаючи Red Hat Enterprise Linux, Debian, Ubuntu і CentOS.

Помилка, яка фактично існувала більше 25 років до випуску сьогоднішніх новин, могла вплинути на мільйони пристроїв і призвести до того, що набагато старіші потребують виправлення. Деяких експертів непокоїть саме кількість пристроїв, які потребують виправлення, а не складність дефекту чи відомі експлойти.

Зображення помилки через Shutterstock