什么是”Bash”漏洞及其影响甚广的原因

在本周,一种新的互联网bug出现在了Bourne again shell(Bash)内,并似乎是自”OpenSSL Heartbleed漏洞事件“以来影响程度最高的安全漏洞。尽管其真实的危害程度尚不得知,但Bash漏洞已然成为了近期人们热议的话题。就在昨晚的夜新闻中,你甚至还能看到本地的新闻主持人对这一话题的讨论,而节目的背景则是布满一串串快速滚动的计算机代码的绿色屏幕。 什么是Bash? Bash是一种脚本语言和命令行外壳程序,于1989年为GNU计划而编写。Bash能将用户和机器输入命令的解析成系统级命令进行执行。它主要的功能是发出命令和对命令进行解释。如果你想了解更多有关Bash 的知识,请转到GNU Bash页面。 Bash广泛运行于大多数Unix系统和Linux distribution版本以及从Unix和Linux汲取诸多元素的苹果OS X操作系统。此外,在数量众多的Web服务器以及家用电器(包括但不限于路由器、调制解调器以及许多附网设备和其它面向网络的系统)中,也同样能看到Bash的”身影”。 Bash bug最初由Akamai安全公司的Unix和Linux网络与电信管理员Stephane Chazelas所发现。事实上这一漏洞已存在了很长一段时间(或许已超过20年),你可以想象其传播范围之广。与Heartbleed漏洞一样,我们只能期望Chazelas是第一个发现这一bug的人,但真实情况我们永远无法获知。 Bash漏洞是如何对互联网用户进行影响? 过不了多久,互联网上不可避免地会出现将Bash漏洞作为攻击目标的漏洞利用工具。这些漏洞利用工具能够在Bash被呼叫时,使攻击者将恶意执行文件远程附到被执行或解释的代码或脚本碎片上。换句话说,只要拥有一款成功的漏洞利用工具,攻击者就能完全控制受影响的系统。 “相比于此前的Heartbleed漏洞而言,Bash漏洞更易于为网络犯罪分子所利用。此外,Heartbleed漏洞只能让网络犯罪分子有机会从内存中窃取数据,并希望找出一些有价值的信息。相比之下,bash漏洞更易于造成整个系统遭受控制,因此似乎更加危险。” 当被问及Bash bug是否会成为”Heartbleed”第二的时候,我们的卡巴斯基实验全球研究与分析团队(GReAT)的朋友是这样作答的: “相比于此前的Heartbleed漏洞而言,Bash漏洞更易于为网络犯罪分子所利用。此外,Heartbleed漏洞只能让网络犯罪分子有机会从内存中窃取数据,并希望找出一些有价值的信息。相比之下,bash漏洞更易于造成整个系统受到控制,因此似乎更加危险。” 卡巴斯基研究人员推测Bash bug还能被用于窃取银行信息,从而最终导致资金损失。网络攻击者大可利用Bash漏洞通过你的个人电脑窃取登录凭证,但前提需要找到一些漏洞利用载体以访问Bash命令接口。但要真的做起来却并不那么容易。现实中更多的情况是:网络攻击者将你使用最频繁的银行网站作为攻击目标,并同时尝试锁定多个账户及其信息。 从美国计算机紧急事务响应小组所发出的警告似乎最能说明Bash漏洞的严重程度: “该漏洞被行业标准机构评为’高’影响度(CVSS影响分值:10)和’低’复杂程度,这意味着只需一点儿技巧即能执行攻击。该漏洞使得攻击者能够提供精心设计的涵盖任意命令的环境变量,并能在存在漏洞的系统上执行。由于Bash Shell的流行程度以及能以多种方式被应用呼叫,因此危险程度尤其高。” Bash bug在影响程度和漏洞利用复杂程度方面与Heartbleed也有所不同,后者是影响程度高但难以利用,而前者则影响程度高的同时还易于利用。 什么是#Bash漏洞及其影响用户的方式? 如何才能保护自己免受Bash漏洞的影响? 除了永久地远离网络以外,为保护系统安全,你只需要确保在第一时间安装合适的供应商特定更新。至于台式电脑或笔记本电脑上的操作系统,你能做的只是等待管理你特定distribution版本的研发人员发布相关补丁。

在本周,一种新的互联网bug出现在了Bourne again shell(Bash)内,并似乎是自”OpenSSL Heartbleed漏洞事件“以来影响程度最高的安全漏洞。尽管其真实的危害程度尚不得知,但Bash漏洞已然成为了近期人们热议的话题。就在昨晚的夜新闻中,你甚至还能看到本地的新闻主持人对这一话题的讨论,而节目的背景则是布满一串串快速滚动的计算机代码的绿色屏幕。

什么是Bash?

Bash是一种脚本语言和命令行外壳程序,于1989年为GNU计划而编写。Bash能将用户和机器输入命令的解析成系统级命令进行执行。它主要的功能是发出命令和对命令进行解释。如果你想了解更多有关Bash 的知识,请转到GNU Bash页面

Bash广泛运行于大多数Unix系统和Linux distribution版本以及从Unix和Linux汲取诸多元素的苹果OS X操作系统。此外,在数量众多的Web服务器以及家用电器(包括但不限于路由器、调制解调器以及许多附网设备和其它面向网络的系统)中,也同样能看到Bash的”身影”。

Bash bug最初由Akamai安全公司的Unix和Linux网络与电信管理员Stephane Chazelas所发现。事实上这一漏洞已存在了很长一段时间(或许已超过20年),你可以想象其传播范围之广。与Heartbleed漏洞一样,我们只能期望Chazelas是第一个发现这一bug的人,但真实情况我们永远无法获知。

Bash漏洞是如何对互联网用户进行影响?

过不了多久,互联网上不可避免地会出现将Bash漏洞作为攻击目标的漏洞利用工具。这些漏洞利用工具能够在Bash被呼叫时,使攻击者将恶意执行文件远程附到被执行或解释的代码或脚本碎片上。换句话说,只要拥有一款成功的漏洞利用工具,攻击者就能完全控制受影响的系统。

“相比于此前的Heartbleed漏洞而言,Bash漏洞更易于为网络犯罪分子所利用。此外,Heartbleed漏洞只能让网络犯罪分子有机会从内存中窃取数据,并希望找出一些有价值的信息。相比之下,bash漏洞更易于造成整个系统遭受控制,因此似乎更加危险。”

当被问及Bash bug是否会成为”Heartbleed”第二的时候,我们的卡巴斯基实验全球研究与分析团队(GReAT)的朋友是这样作答的:

“相比于此前的Heartbleed漏洞而言,Bash漏洞更易于为网络犯罪分子所利用。此外,Heartbleed漏洞只能让网络犯罪分子有机会从内存中窃取数据,并希望找出一些有价值的信息。相比之下,bash漏洞更易于造成整个系统受到控制,因此似乎更加危险。”

卡巴斯基研究人员推测Bash bug还能被用于窃取银行信息,从而最终导致资金损失。网络攻击者大可利用Bash漏洞通过你的个人电脑窃取登录凭证,但前提需要找到一些漏洞利用载体以访问Bash命令接口。但要真的做起来却并不那么容易。现实中更多的情况是:网络攻击者将你使用最频繁的银行网站作为攻击目标,并同时尝试锁定多个账户及其信息。

美国计算机紧急事务响应小组所发出的警告似乎最能说明Bash漏洞的严重程度:

“该漏洞被行业标准机构评为’高’影响度(CVSS影响分值:10)和’低’复杂程度,这意味着只需一点儿技巧即能执行攻击。该漏洞使得攻击者能够提供精心设计的涵盖任意命令的环境变量,并能在存在漏洞的系统上执行。由于Bash Shell的流行程度以及能以多种方式被应用呼叫,因此危险程度尤其高。”

Bash bug在影响程度和漏洞利用复杂程度方面与Heartbleed也有所不同,后者是影响程度高但难以利用,而前者则影响程度高的同时还易于利用。

什么是#Bash漏洞及其影响用户的方式?

如何才能保护自己免受Bash漏洞的影响?

除了永久地远离网络以外,为保护系统安全,你只需要确保在第一时间安装合适的供应商特定更新。至于台式电脑或笔记本电脑上的操作系统,你能做的只是等待管理你特定distribution版本的研发人员发布相关补丁。

至于路由器、调制解调器和其它家用电器,目前还未发布通用的解决方案。最有可能出现的情况是,这些设备的制造商将在不同的时间以不同方式推出各自的固件更新。这些更新在大多数情况下将无法像传统操作系统更新那样自行安装。

正如卡巴斯基实验室GreAT研究人员在今天所解释的那样,Bash漏洞的问题在于其通用性以及能在诸多情况下使用,目前所发布的一些补丁不可避免地过于简单且具有局限性。因此要完全修复Bash漏洞将是一个漫长的过程,且需要不断反复地进行试验,这也是许多研究人员和业内媒体将”首批Bash补丁”视为”不完整“的原因。

另一个我想重申的原因是后缀带nix的系统应用广泛,无处不在。而正是基于这个事实,Bash漏洞也将无孔不入。毫无疑问,还是会有一些运行Bash的机器无法进行更新。同时依然有一些运行Bash的机器我们还未发现。

正如来自ErrataSec的Robert Graham在其博客中所写道的(值得一读):”许多系统都因此而需打上补丁,但无需打补丁的系统还是远多于当年的Heartbleed漏洞。”联系当前的背景,Graham表示当年在补丁发布的数个月后,依然有成千上万的网站存在OpenSSL Heartbleed漏洞

六大网购省钱妙招

据Statista统计,在整个2013年,美国人在网购上的花费总计达到了2106亿美元。但是否能通过一些省钱妙招,从而将这一数字大幅降低呢?网购通常是”省钱”的代名词,但还有一些网购技巧能让你更加省钱。除非你没有任何欠债,预算充足且对金钱并不敏感,那以下关于如何网购省钱的妙招将让你受益匪浅。 1. 免除运费 每年只需花费99美元,亚马逊PRIME会员即能享受所有该网站网购产品免运费以及优质的视频流服务。此外,如果你在其他网站同时购买多件产品的话,还能因达到最低消费额而免去昂贵的运费。 你还能在互联网上快速搜索到免运费优惠码。此外,现在许多零售商还提供店内提货服务。尽管有时金额并不算大,但随着运费的逐年提升,尤其是网购已成为你生活中不可或缺的组成部分,一年所节省下来的金额依然相当可观。 2. 优惠共享网站 类似于高朋网、Half Off Depot和Woot这样的网站常常提供产品与服务的超值优惠。你可以选择直接通过网站购买产品或针对某一特定服务打印优惠凭证,通常可以得到50%或以上的折扣。FatWallet作为一家完全由网站会员自行运营的网站,常会发布各类网购优惠和折扣信息,因此也同样值得一试。 3. 使用最合适信用卡,研究现金返还优惠 一些信用卡往往会在每年的最后一个季度提供最高达5%的网购现金返还优惠。搜寻目前能找到的最佳现金返还优惠。有时,登录网站账户也能发现不少”优惠”。只需注册进入该优惠活动即能获得”一大笔现金”。例如,你花费了75美元用于网购办公产品后,在当月的对账单上会显示15美元的返还。只需简单的几个步骤,即能获得额外的现金,何乐而不为呢。因此,如果你有几张这样的信用卡,还不赶快去试一下。 4. 使用优惠码 RetailMeNot和Savings.com网站提供众多在线优惠码。无需注册–只要简单地搜索所需零售商名字,复制优惠码,然后在支付流程中输入即可。如果你找到9折优惠码,那当你购买标价为600美元的笔记本电脑时,其中有60美元就会自动返还到了你的银行账户内。 在网购时小心谨慎十分重要,一个疏忽就会让你付出惨重的代价。 5. 辨别优惠的”真伪” 确保自身具备辨别优惠”真伪”的能力。比如高朋网大肆宣传其网站上一款售价仅为80美元的相机,但该款相机通常的价格在199美元左右,因此这可能只是一种宣传的噱头和手段而非真实价格。最好的办法就是登陆eBay和Amazon网站反复比对价格。在许多情况下,假定的优惠并非真实。 6. 确保你的在线支付安全 目前网络犯罪分子有许多方式可以从你的信用卡窃取资金。一个疏忽就会让你付出惨重的代价,有时甚至比你一整年网购所省下的钱还要多。出于这个原因,在网购时始终保持小心谨慎就显得尤为重要。最好的方法还是运用一些保护措施来确保你的支付安全。 结束语 比如说你在高朋网网购时节省了50美元,又因为使用正确的信用卡而返还了30美元现金,最后因为免运费又节省了20美元。除了将这100美元存在你的活期账户内以外,还可以这笔钱用在你最需要的地方。比如,你可以用一部分来支付你的信用卡账单,再留出一部分用于偿还按揭贷款,甚至还可以用来补充你的应急基金。网购尽可能省钱固然重要,但网上资金的安全也同样不容忽视。 你能想到哪些网购省钱妙招? Bruce Perry写的都是关于网购、资金管理以及技术小贴士的文章。

提示