Co bych měl vědět o Shellshock?
Slovo Shellshock je v poslední době slyšet ze všech stran. Co to vlastně je a jak se Shellshock týká vás? Měli byste o něm vědět především následující:
-
Shellshock je softwarová chyba (tzv. bug), která má vliv na Bash – to známé rozhraní s příkazovým řádkem (tzv. shell) využívané hojně zejména v operačních systémech Linux/UNIX OS a Apple Mac OS X k ovládání různých aplikací a jejich funkcí. Všeobecně se má za to, že tuto 25 let starou (!) chybu objevil odborník na Linux jménem Stéphane Chazelas.
-
A protože se Bash nachází na milionech počítačů, mobilních zařízení, routerů, firewallů a serverů, může se Shellshock týkat prakticky každého. Nejzranitelnější jsou přitom podle odborníků operační systémy MAC, Linux a Windows.
-
Zneužití tohoto bugu umožňuje připojit se k cílovému počítači a umístit na něj různé počítačové hrozby. Shellshock mohou zneužít také hackeři, kteří jsou schopni provádět s jeho pomocí určité změny v systému, získávat a ničit citlivá data lidí anebo provádět další nebezpečné činnosti.
- Ve srovnání s Heartbleed skýtá Shellshock mnohem větší možnosti a jeho zneužití je z hlediska potřebných znalostí snazší. Tento bug je ale možné zneužít i bez znalosti jména a hesla serveru.
-
Shellshock lze využít také k vytvoření sebereplikujícího programu (tzv. červa). V době vzniku tohoto textu jsou známy dva červy, jež tento bug zneužívají k tomu, aby z napadených systémů vytvořily tzv. bot. Kromě toho se tyto červy pokoušely také uhádnout hesla a přihlašovací údaje nedostatečně zabezpečených serverů.
-
Tento bug už bude ale naštěstí brzy opraven. Linuxovým odborníkům na bezpečnost už se podle nejčerstvějších informací záplaty pro tento Shellock dokonce podařilo vytvořit. Své řešení pro operační systémy OS X Lion, Mountaion Lion a Maveriks už vydal i Apple. Zmíněné strany sice uvádějí, že jejich záplaty ještě nejsou zcela hotové, přesto byste si je však měli stáhnout. I tyto záplaty jsou totiž lepší než nic.