หยุดการเปรียบเทียบข้อผิดพลาดที่สำคัญทั้งหมดกับการกระดกหัวใจ

ไม่ใช่ทุกช่องโหว่ที่สำคัญที่จะต้องนำมาเปรียบเทียบกับ Heartbleed เพื่อพิจารณาอย่างจริงจัง ในความเป็นจริงไม่จำเป็นต้องนำ Heartbleed หรือ Shellshock มาใช้เมื่อมีข้อบกพร่องของซอฟต์แวร์ใหม่ซึ่งต้องได้รับการดูแลทันที

เมื่อสัปดาห์ที่แล้ว Microsoft ได้แก้ไขช่องโหว่ที่ร้ายแรงใน SChannel (Secure Channel) ที่มีอยู่ในระบบปฏิบัติการ Windows ทุกรุ่นตั้งแต่ Windows 95 นักวิจัยของ IBM รายงานข้อผิดพลาดให้กับ Microsoft ในเดือนพฤษภาคมและ Microsoft ได้แก้ไขปัญหาดังกล่าวในเดือนพฤศจิกายน Patch Patch Tuesday

Robert Freeman นักวิจัยของ IBM อธิบายว่าช่องโหว่นี้เป็นจุดบกพร่อง "หายากคล้าย 'ยูนิคอร์น'

ผู้ใช้จำเป็นต้องเรียกใช้ Windows Update บนคอมพิวเตอร์ของพวกเขา (หากได้รับการตั้งค่าให้ทำงานโดยอัตโนมัติดีกว่าทั้งหมด) และผู้ดูแลระบบควรจัดลำดับความสำคัญของโปรแกรมแก้ไขนี้ การกำหนดค่าบางอย่างอาจมีปัญหากับโปรแกรมแก้ไขและ Microsoft ได้เปิดตัววิธีแก้ปัญหาสำหรับระบบเหล่านั้น ทุกอย่างได้รับการดูแลใช่มั้ย

FUD Rears Head มันน่าเกลียด

ก็ไม่มาก ความจริงก็คือ - มีเจ็ดเดือนต่อมา! - มีคอมพิวเตอร์จำนวนไม่น้อยที่ยังคงใช้ Windows XP แม้ว่า Microsoft จะสิ้นสุดการสนับสนุนในเดือนเมษายน ดังนั้นเครื่อง XP จึงยังคงเสี่ยงต่อการถูกโจมตีจากการเรียกใช้โค้ดจากระยะไกลหากผู้ใช้เยี่ยมชมเว็บไซต์ที่ติดกับดัก แต่ส่วนใหญ่เรื่องราวจะเหมือนเดิมทุกเดือน: Microsoft แก้ไขช่องโหว่ที่สำคัญและเผยแพร่แพตช์ ธุรกิจ Patch อังคารตามปกติ

จนกว่ามันจะไม่ บางทีผู้เชี่ยวชาญด้านความปลอดภัยของข้อมูลอาจรู้สึกเบื่อหน่ายจนคิดว่าต้องขายความกลัวตลอดเวลา บางทีความจริงที่ว่าช่องโหว่นี้ได้ถูกนำมาใช้กับรหัส Windows เมื่อ 19 ปีก่อนทำให้เกิด Heartbleed-flashback บางประเภท หรือเราได้มาถึงจุดที่ความรู้สึกตื่นเต้นเป็นบรรทัดฐาน

แต่ฉันรู้สึกประหลาดใจที่ได้เห็นดินแดนต่อไปนี้ในกล่องจดหมายของฉันจาก Craig Young นักวิจัยด้านความปลอดภัยของ Tripwire เกี่ยวกับ Microsoft patch: "Heartbleed มีประสิทธิภาพน้อยกว่า MS14-066 เพราะมันเป็นเพียงข้อผิดพลาดในการเปิดเผยข้อมูลและ Shellshock ใช้ประโยชน์จากระยะไกลเฉพาะในระบบย่อยที่ได้รับผลกระทบ "

มันกลายเป็นเรื่องตลก - เรื่องเศร้าถ้าคุณคิดเกี่ยวกับเรื่องนี้ - ว่าสำหรับความอ่อนแอใด ๆ ที่จะได้รับความสนใจใด ๆ ตอนนี้เราต้องมีชื่อแฟนซีและโลโก้ อาจจะเป็นวงต่อไปที่จะมีวงทองเหลืองและกริ๊งลวง หากเราต้องการสิ่งเหล่านี้เพื่อให้ผู้คนได้รับความปลอดภัยของข้อมูลอย่างจริงจังแสดงว่ามีปัญหาและไม่ใช่ข้อผิดพลาดเอง เราได้มาถึงจุดที่วิธีเดียวที่จะดึงดูดความสนใจไปที่การรักษาความปลอดภัยคือการหันไปใช้ลูกเล่นและความรู้สึกตื่นเต้น?

ความปลอดภัยที่รับผิดชอบ

ฉันชอบสิ่งต่อไปนี้: "นี่เป็นข้อบกพร่องที่ร้ายแรงมากที่ต้องได้รับการแก้ไขในทันทีโชคดีที่ระบบนิเวศของแพลตฟอร์มการอัปเดตของ Microsoft ให้ความสามารถสำหรับลูกค้าทุกคนในการแก้ไขช่องโหว่นี้ในเวลาไม่กี่ชั่วโมงโดยใช้ Microsoft Update" Philip Lieberman ซอฟต์แวร์ลีเบอร์แมน

อย่าเข้าใจฉันผิด ฉันดีใจที่ Heartbleed ได้รับความสนใจเนื่องจากเป็นเรื่องที่ร้ายแรงและจำเป็นต้องเข้าถึงผู้คนที่อยู่นอกชุมชนอินโฟเทคเนื่องจากมีผลกระทบมากมาย และชื่อของ Shellshock - จากสิ่งที่ฉันสามารถบอกได้ - มาจากบทสนทนาของ Twitter ที่พูดถึงข้อบกพร่องและวิธีทดสอบ แต่ไม่จำเป็นต้องเรียกช่องโหว่ของ SChannel "WinShock" หรืออภิปรายอย่างจริงจังเกี่ยวกับข้อบกพร่องเหล่านั้น

สามารถและควรยืนด้วยตัวเอง

“ ช่องโหว่นี้ก่อให้เกิดความเสี่ยงทางทฤษฎีอย่างรุนแรงต่อองค์กรและควรได้รับการแก้ไขโดยเร็วที่สุดเท่าที่จะเป็นไปได้ แต่จะไม่ส่งผลกระทบต่อเวลาเผยแพร่เหมือนกับช่องโหว่ที่เผยแพร่อย่างรวดเร็วเมื่อเร็ว ๆ นี้” Josh Feinblum รองประธานฝ่ายความปลอดภัยข้อมูล ที่ Rapid7 เขียนไว้ในบล็อกโพสต์

ลีเบอร์แมนทำข้อสังเกตที่น่าสนใจโดยสังเกตว่าช่องโหว่ SChannel นั้นไม่เหมือน Heartbleed เนื่องจากไม่ใช่ว่าผู้ขายโอเพนซอร์สหรือซอฟต์แวร์ไคลเอนต์ทุกคนต้องแก้ไขปัญหาและปล่อยแพตช์ของตนเอง ซอฟต์แวร์เชิงพาณิชย์ที่มีกลไกการจัดส่งโปรแกรมแก้ไขที่กำหนดไว้เช่นที่ Microsoft มีอยู่หมายความว่าไม่จำเป็นต้องกังวลเกี่ยวกับ "การหลีกเลี่ยงองค์ประกอบของรุ่นที่แตกต่างกันและสถานการณ์การแก้ไข"

มันไม่สำคัญว่ามันจะยากหรือไม่ (IBM พูดว่า) หรือเรื่องไม่สำคัญ (iSight Partners) เพื่อหาช่องโหว่ การพูดคุยออนไลน์แสดงให้เห็นว่านี่เป็นเพียงส่วนเล็ก ๆ ของภูเขาน้ำแข็งและช่องโหว่ของ SChannel นั้นมีศักยภาพในการสร้างความยุ่งเหยิงอย่างมาก มันเป็นข้อบกพร่องที่ร้ายแรง มาพูดคุยเกี่ยวกับปัญหาในข้อดีของมันโดยไม่ต้องกลัวกลยุทธ์