Linux

我们的安全专家对以Linux为目标的高级网络攻击和APT活动进行了分析，并提供了一些网络安全建议。

在本周，一种新的互联网bug出现在了Bourne again shell（Bash）内，并似乎是自”OpenSSL Heartbleed漏洞事件“以来影响程度最高的安全漏洞。尽管其真实的危害程度尚不得知，但Bash漏洞已然成为了近期人们热议的话题。就在昨晚的夜新闻中，你甚至还能看到本地的新闻主持人对这一话题的讨论，而节目的背景则是布满一串串快速滚动的计算机代码的绿色屏幕。 什么是Bash？ Bash是一种脚本语言和命令行外壳程序，于1989年为GNU计划而编写。Bash能将用户和机器输入命令的解析成系统级命令进行执行。它主要的功能是发出命令和对命令进行解释。如果你想了解更多有关Bash 的知识，请转到GNU Bash页面。 Bash广泛运行于大多数Unix系统和Linux distribution版本以及从Unix和Linux汲取诸多元素的苹果OS X操作系统。此外，在数量众多的Web服务器以及家用电器（包括但不限于路由器、调制解调器以及许多附网设备和其它面向网络的系统）中，也同样能看到Bash的”身影”。 Bash bug最初由Akamai安全公司的Unix和Linux网络与电信管理员Stephane Chazelas所发现。事实上这一漏洞已存在了很长一段时间（或许已超过20年），你可以想象其传播范围之广。与Heartbleed漏洞一样，我们只能期望Chazelas是第一个发现这一bug的人，但真实情况我们永远无法获知。 Bash漏洞是如何对互联网用户进行影响？ 过不了多久，互联网上不可避免地会出现将Bash漏洞作为攻击目标的漏洞利用工具。这些漏洞利用工具能够在Bash被呼叫时，使攻击者将恶意执行文件远程附到被执行或解释的代码或脚本碎片上。换句话说，只要拥有一款成功的漏洞利用工具，攻击者就能完全控制受影响的系统。 “相比于此前的Heartbleed漏洞而言，Bash漏洞更易于为网络犯罪分子所利用。此外，Heartbleed漏洞只能让网络犯罪分子有机会从内存中窃取数据，并希望找出一些有价值的信息。相比之下，bash漏洞更易于造成整个系统遭受控制，因此似乎更加危险。” 当被问及Bash bug是否会成为”Heartbleed”第二的时候，我们的卡巴斯基实验全球研究与分析团队（GReAT）的朋友是这样作答的： “相比于此前的Heartbleed漏洞而言，Bash漏洞更易于为网络犯罪分子所利用。此外，Heartbleed漏洞只能让网络犯罪分子有机会从内存中窃取数据，并希望找出一些有价值的信息。相比之下，bash漏洞更易于造成整个系统受到控制，因此似乎更加危险。” 卡巴斯基研究人员推测Bash bug还能被用于窃取银行信息，从而最终导致资金损失。网络攻击者大可利用Bash漏洞通过你的个人电脑窃取登录凭证，但前提需要找到一些漏洞利用载体以访问Bash命令接口。但要真的做起来却并不那么容易。现实中更多的情况是：网络攻击者将你使用最频繁的银行网站作为攻击目标，并同时尝试锁定多个账户及其信息。 从美国计算机紧急事务响应小组所发出的警告似乎最能说明Bash漏洞的严重程度： “该漏洞被行业标准机构评为’高’影响度（CVSS影响分值：10）和’低’复杂程度，这意味着只需一点儿技巧即能执行攻击。该漏洞使得攻击者能够提供精心设计的涵盖任意命令的环境变量，并能在存在漏洞的系统上执行。由于Bash Shell的流行程度以及能以多种方式被应用呼叫，因此危险程度尤其高。” Bash bug在影响程度和漏洞利用复杂程度方面与Heartbleed也有所不同，后者是影响程度高但难以利用，而前者则影响程度高的同时还易于利用。 什么是#Bash漏洞及其影响用户的方式？ 如何才能保护自己免受Bash漏洞的影响？ 除了永久地远离网络以外，为保护系统安全，你只需要确保在第一时间安装合适的供应商特定更新。至于台式电脑或笔记本电脑上的操作系统，你能做的只是等待管理你特定distribution版本的研发人员发布相关补丁。

直到二月中旬的一个周五下午，苹果公司才悄然发布了一个修正补丁，此修正目的是修复iOS中的关键证书验证bug，原本通过此bug，攻击者能够暗中监视安全通信。 上周五的补丁通告中说此bug非常严重，但也同样难以察觉，这是苹果的标准做法。这家总部位于加州库比蒂诺的大型计算机公司的经营素来充满神秘色彩。 但当曝出bug不仅感染苹果手机iOS操作系统，同时也会感染传统OSX操作系统时，公司高层立刻引起重视，并给予了极大关注。而随着上周GnuTLS受到可怕的类似bug感染的消息曝光后，情况变得更加复杂。GnuTLS作为一种自由开源软件，用于在各种Linux发行版和其他平台上实施加密。 随着越来越多的人关注这些bug（尤其是苹果用户），更多新闻媒体和研究人员开始发表一些”借口性”的建议。其中全球知名的密码安全专家Bruce Schneier是这样描述漏洞的： “漏洞极小，因此扫描编码时难以察觉。但不难想像错误会导致怎样的情况发生。只需一个人就能轻易地添加漏洞。” 漏洞极小，因此扫描编码时难以察觉。但不难想像错误会导致怎样的情况发生。 “漏洞是有意为之吗？我也不知道。但如果让我来有意制造漏洞的话，这绝对是我会选择的方式。” 其他研究人员则更直接一些，他们质疑导致苹果bug-“goto fail”（跳转失败）的编码错误 － 因为要提交这种编码几乎不可能，更不用说在编码审查过程中没有觉察到此编码。当然，考虑到”goto fail”漏洞目前的使用环境和情况，许多人推测苹果和GnuTLS的漏洞都很容易受到”偷窥者”的攻击。 毫无疑问，这两种漏洞非常巧合具有类似的效果，但它们采用的是截然不同的方式。另一位密码专家美国约翰霍普金斯大学的Matthew Green在检查了GnuTLS的bug后认为，这是一种极愚蠢的编码错误，但却无需担忧。 撇开阴谋不谈，GnuTLS中的这种密码验证故障意味着所有Red Hat桌面和服务器产品以及Debian and Ubuntu（Linux）安装全部都含有bug，可被利用来监视这些设备上进行的通信。此类bug的影响波及从上到下的整个系统范围。不仅安全网络浏览会话（如”HTTPS”会话）受影响，而且应用程序、下载以及几乎其他任何使用GnuTLS来实施加密的通信都会受影响。 更直白地说，攻击者只需与其攻击目标位于同一本地网络上，就能利用其中任何bug。但是，在适当环境下，bug使攻击者能够进行中间人攻击，这种攻击的受害者会认为自己正在与可信的在线服务提供商通信，但事实上是把数据包一路发送给了网络攻击者。这两种bug都为窃取登录凭证和监视本地网络通信大开方便之门。 “一旦成功，情况将变得十分糟糕，”北卡罗来纳州Social & Scientific Systems公司安全专家和首席科学家Kenneth White表示,”攻击者可轻松伪造任意域，并使其看起来对请求者是被授权和可信的。这样，不仅能拦截敏感通道，而且还会暗中破坏可信包签名过程。”换句话说，就是能够仿冒某些类型的证书信任信息，而用户正是通过这些信息了解准备下载的软件或应用程序的开发者。 如果您使用的是Linux设备，则很可能存在这些漏洞。我们建议尽快安装Linux发行版的最新更新。即便使用的不是Linux操作系统，也并不意味着您就一定安全。GnuTLS是一种部署范围广，能在未知数量的系统上运行的开源软件包。本文所传达的意图一如既往：及早、频繁安装补丁。