תפסיק להשוות כל באג קריטי לזעזוע לב

לא צריך להשוות בין כל פגיעות קריטיות לבין Heartbleed כדי להתייחס אליו ברצינות. למעשה, אין צורך להעלות את Heartbleed או Shellshock כאשר יש פגם תוכנה חדש הדורש התייחסות מיידית.

בשבוע שעבר, מיקרוסופט טופלה על פגיעות חמורה ב- SChannel (Secure Channel) שקיימת בכל גרסה של מערכת ההפעלה Windows מאז Windows 95. חוקר יבמ דיווח על החיידק למיקרוסופט בחודש מאי, ומיקרוסופט תיקנה את הבעיה כחלק מנובמבר שלה. שחרור תיקון יום שלישי.

חוקר IBM, רוברט פרימן, תיאר את הפגיעות כבאג "נדיר, 'דמוי חד קרן'."

משתמשים צריכים להריץ את Windows Update במחשבים שלהם (אם זה מוגדר להפעלה אוטומטית, כל כך טוב יותר) ומנהלי מערכת צריכים לתעדף תיקון זה. תצורות מסוימות עשויות להיתקל בבעיה עם התיקון ומיקרוסופט פרסמה דרך לעקיפת הבעיה עבור מערכות אלה. הכל מטופל, נכון?

FUD שוב את ראשו המכוער

ובכן, לא ממש. העובדה היא שיש - שבעה חודשים לאחר מכן! - מספר לא טריוויאלי של מחשבים שעדיין פועלים עם Windows XP, למרות שתמיכת מיקרוסופט הסתיימה באפריל. כך שמכונות XP עדיין בסיכון להתקפה של ביצוע קוד מרחוק אם המשתמש מבקר באתר ממולכד. אך לרוב, הסיפור זהה לזה שהיה כל חודש: מיקרוסופט תיקנה פגיעות קריטית ושחררה תיקון. התיקון לעסק שלישי כרגיל.

עד שזה לא היה. אולי אנשי אבטחת מידע כה כהים עד שהם חושבים שהם צריכים למכור פחד כל הזמן. אולי העובדה שהפגיעות הזו הוכנסה לקוד Windows לפני 19 שנה עוררה איזשהו פלאשבק של Heartbleed. או שהגענו לנקודה בה הסנסציוניזם הוא הנורמה.

אבל נדהמתי לראות את הארץ הבאה בתיבת הדואר הנכנס שלי מקרייג יאנג, חוקר אבטחה עם Tripwire, בנוגע לתיקון של מיקרוסופט: "Heartbleed היה פחות חזק מ- MS14-066 מכיוון שזה 'רק' באג לחשיפת מידע ושלישוק היה ניתן לניצול מרחוק רק בקבוצת משנה של מערכות מושפעות."

זה הפך לבדיחה - עצובה אם חושבים על זה - שבשביל כל פגיעות שתשיג תשומת לב כלשהי, עכשיו עלינו להיות שם מפואר ולוגו. אולי הבא יהיה להקת פליז וג'ינגל קליט. אם אנו זקוקים למלכודות הללו בכדי לגרום לאנשים להתייחס ברצינות לאבטחת מידע, אז יש בעיה, וזה לא הבאג עצמו. האם הגענו למצב שהדרך היחידה להפנות את תשומת הלב לביטחון היא לפנות לגימיקים וסנסציוניות?

אבטחה אחראית

אהבתי את הדברים הבאים: "זהו באג חמור מאוד שצריך לתקן באופן מיידי. למרבה המזל מערכת האקוסיסטם של עדכון הפלטפורמה של מיקרוסופט מספקת את היכולת של כל לקוח לתקן את הפגיעות הזו תוך שעות באמצעות Microsoft Update", אמר פיליפ ליברמן, נשיא חברת ליברמן תוכנה.

אל תבינו אותי לא נכון. אני שמח ש- Heartbleed זכה לתשומת לב שהוא עשה, מכיוון שהוא היה רציני והיה צורך להגיע לאנשים מחוץ לקהילת infosec בגלל השפעתו הרחבה. ושמו של שלשוק - לפי מה שאני יכול לספר - יצא משיחת טוויטר שדנה בפגם ובדרכים לבחון אותו. אך אין צורך לקרוא לפגיעות SChannel "WinShock" או להתווכח ברצינותה ביחס לאותם פגמים.

זה יכול, וצריך, לעמוד בפני עצמו.

ג'וש פיינבלום, סגן נשיא אבטחת מידע, "פגיעות זו מהווה סיכון תיאורטי רציני לארגונים ויש לתקן אותה בהקדם האפשרי, אך אין לה אותה השפעה על זמן שחרור כמו רבים מהפגיעויות האחרות שהתפרסמו לאחרונה מאוד". ב- Rapid7, כתב בפוסט בבלוג.

ליברמן ציין תצפית מעניינת, וציין כי הפגיעות של SChannel לא הייתה כמו Heartbleed מכיוון שזה לא כאילו כל ספק עם קוד פתוח או תוכנת לקוח נאלצו לתקן את הבעיה ולשחרר את התיקון שלהם. תוכנה מסחרית עם מנגנוני מסירת טלאים מוגדרים, כמו מה שיש למיקרוסופט במקום פירושה שאין צורך לדאוג ל"פודג 'של רכיבים בגירסאות שונות ותרחישים של תיקון."

לא משנה אם קשה (אומר IBM) או טריוויאלי (אומר iSight Partners) לניצול. פטפוט מקוון מציע שזה רק קצה הקרחון, ולפגיעות SChannel יש פוטנציאל ליצור בלגן עצום. זה באג רציני. בואו נדבר על הנושא לגופו של פנים בלי להיזקק לטקטיקות פחד.