«Ошибка Bash» вызывает беспокойство, но не представляет особой угрозы для сервисов Bitcoin

Вчера возникли серьезные опасения по поводу безопасности после Истории старой уязвимости, которая может повлиять на веб-серверы и подключенные к Интернету устройства, однако многие в отрасли утверждают, что она не представляет непосредственной угрозы для Bitcoin сервисов.

Уязвимость, получившая название «Bash Bug» или «Shellshock Bug», позволяет злоумышленнику получить доступ к операционной системе устройства на базе UNIX через оболочку командной строки, наиболее широко используемой из которых являетсяБаш.

Системы на базе UNIX включают MacOS, версии Linux (для настольных ПК и серверов), популярные мобильные платформы и встроенные системы на других устройствах, которые взаимодействуют через Интернет.

CNET сообщиличто эксперт по безопасности Роберт Грэм,описанныйэто как "такое же большое дело, какСердце кровью обливается«– уязвимость OpenSSL, обнаруженная в апреле, – учитывая «огромный процент программного обеспечения, взаимодействующего с оболочкой».

«Чрезмерно раздутый»

Джефф Гарзик

, разработчик CORE Bitcoin , а теперь и старший инженер-программист в BitPayОднако он заявил, что явной и непосредственной опасности для пользователей Bitcoin не существует.

«Прогноз: ошибка bash НЕ представляет большей угрозы, чем heartbleed», — сказал он.размещено в теме Reddit.

Гарзик сообщил CoinDesk , что, хотя недавно обнаруженная уязвимость потенциально может быть опасной, «большинство онлайн-сервисов, использующих Bitcoin , гораздо более безопасны, чем ваш среднестатистический домашний маршрутизатор».

Он добавил, что ошибка Bash Bug затронет в основном сайты, не связанные с биткоином, и что ее слишком раздувают.

«Для его эксплуатации требуется особый набор условий, а домашние маршрутизаторы и старые веб-серверы Apache уже в любом случае были надежной защитой. Я думаю, что практическое воздействие будет гораздо меньше, чем это представляют основные СМИ».

Bitcoin — цель?

На данном этапе нет никаких сообщений об использовании Bash Bug, влияющих на какие-либо сервисы, связанные с биткоином. Так почему вообще это должно волновать?

Bitcoin -сервисы потенциально могут стать более привлекательной целью для хакеров и воров, чем более устоявшиеся сервисы на основе фиатных денег, такие как онлайн-банкинг и PayPal.

Этому есть две исторические причины: слабая реализация мер безопасности на некоторых ранних этапах развития онлайн-сервисов Bitcoin и нежелание властей расследовать или наказывать за преступления, связанные с цифровой валютой, если только они не подозревают, что речь идет о наркотиках или отмывании денег.

Поэтому лучше хотя бы знать о потенциальных проблемах, с которыми могут столкнуться разработчики и сервисы.

Мнение ONE биржи

Янь Чуань или «YC», технический директор биржиBitBays.com, сказал, что ошибка «относительно проста в использовании хакерами», и рекомендовал всем пользователям исправить ее, создать резервную копию журналов и проверить системы на предмет совершения каких-либо атак.

Поскольку ошибка позволяла злоумышленникам получить полный доступ к операционной системе, существовала возможность для любого вида атак: от кражи Bitcoin кошельков до установки кейлоггеров и бэкдоров.

YC заявил, что сам Bitcoin не пострадает из-за его децентрализованной структуры.

«Однако, будучи централизованным поставщиком услуг обмена или кошелька, вы можете быть затронуты ошибкой bash. Из-за наличия этой уязвимости открытые SSH, HTTP, FTP и другие серверы приложений подвержены риску удаленного доступа и управления со стороны хакера».

Поскольку Windows не основана на UNIX, пользователи ее настольных компьютеров не пострадают сами. Платформа BitBays подготовлена, продолжил YC, но обеспокоенные пользователи других платформ могут спросить о ситуации в своей бирже или кошельке, если не уверены.

Треснувшая скорлупа

Уязвимость Bash Bug возникает из-за серьезной уязвимости безопасности, которая существует в команде bash (Bourne Again SHell) 'окружающая среда'. Это влияет на локальную оболочку, а также SSH, FTP, HTTP и другие важные службы.

YC объяснил, как можно использовать эту ошибку, заявив, что многие веб-серверы отправляют информацию о HTTP- Request пользователя (REMOTE_HOST), REQUEST_METHOD, QUERY-STRING и ETC.), хранящуюся в переменной среды, в веб-фреймворк бэкэнда или скрипты CGI.

Если эта информация содержит вредоносные инструкции, то в следующий раз, когда сервер выполнит bash, он выполнит вредоносные инструкции. Таким образом, сервер скомпрометирован.

В настоящее время уязвимы популярные фреймворки Apache + PHP и Nginx + wsgi.

QUICK решения нет

Согласно Red Hat, выпустившей собственную рекомендацию по безопасности, многие программы обращаются к оболочке bash в фоновом режиме. Несколько дистрибутивов Linux уже выпустили патчи, включая Red Hat Enterprise Linux, Debian, Ubuntu и CentOS.

Ошибка, которая на самом деле существовала более 25 лет до выхода сегодняшних новостей, может затронуть миллионы устройств и оставить гораздо более старые устройства, нуждающиеся в исправлении. Это само количество устройств, нуждающихся в исправлении, а не сложность ошибки или известные эксплойты, что беспокоит некоторых экспертов.

Изображение ошибки черезШаттерсток