Με αφορμή μια πρόσφατη εργασία σε ιστοσελίδα, βρεθήκαμε ξανά, μπροστά σε ένα διαχρονικό πρόβλημα του ελληνικού διαδικτύου (και όχι μόνο…). Η τακτική του “κατασκευάζω μια σελίδα και την αφήνω στη τύχη της”, δυστυχώς φαίνεται να είναι παγιωμένη. Συνέχεια
Το βράδυ της 28/3/2018 (~22.20 τοπική ώρα), ανακοινώθηκε από το Drupal, ένα πολύ σοβαρό κενό που αφορά όλες τις σελίδες Drupal. Συνολικά πάνω από ένα εκατομμύριο σελίδες παγκοσμίως. Το σημαντικό αυτό bug, μπορεί να δώσει σε οποιοδήποτε επισκέπτη μιας drupal σελίδας, δικαιώματα διαχειριστή. Κατηγοριοποιήθηκε ως πολύ σοβαρό (highly critical) από την ομάδα security του Drupal CMS.
Στην Πρίζα έχουν αναβαθμιστεί από τις 29/3/2018 όλα τα drupal websites και drupal distributions που φιλοξενούμε. Συγκεκριμένα όλα τα drupal, drupal commerce, openatrium, κ.α. Περισσότερες πληροφορίες, μπορείτε να βρείτε στις συχνές ερωτήσεις για το συγκεκριμένο bug που έχει αναρτήσει το Drupal.
Ίσως διαβάσατε στα νέα τελευταία για δύο πολύ σοβαρά κενά ασφαλείας (το Meltdown και Spectre) στους επεξεργαστές όλων σχεδόν των πληροφοριακών συστημάτων. Η/Υ, laptops, κινητά, servers, όλα επηρεάζονται. Τα κενά ασφαλείας αφορούν επεξεργαστές των Intel, AMD, Apple & ARM. Δηλαδή του περίπου ~99,9% των επεξεργαστών που κυκλοφορούν στο εμπόριο. Ακόμα και οι επεξεργαστές ορισμένων καρτών γραφικών (GPU) επηρεάζονται από τα κενά αυτά. Δεν είναι τυχαίο ότι βαπτίστηκε bug της χρονιάς και ενώ καλά καλά δεν έχει μπει ο χρόνος (αν και ανακαλύφτηκε μέσα στο 2017). Το ότι λίγους μήνες πριν την ανακοίνωση ο διευθύνων σύμβουλος της Intel ξεφορτωνόταν μαζικά μετοχές της εταιρείας του, τροφοδότησε θεωρίες(;) για γνώση του σοβαρότατου προβλήματος εκ των προτέρων.
Θα είναι λίγο δύσκολο να εξηγήσουμε τι ακριβώς είναι αυτά τα κενά ασφαλείας. Τεχνικές λεπτομέρειες μπορείτε να βρείτε εδώ. Ας πούμε ότι ο επεξεργαστής στους υπολογιστές μας εδώ και κάμποσα χρόνια, αφήνει τις εφαρμογές που τρέχουν οι υπολογιστές να διαβάζουν την “υποτιθέμενα προστατευμένη” μνήμη του η/υ χωρίς καμία προστασία. Έτσι δίνει σε οποιαδήποτε κακόβουλη εφαρμογή εκτελείται, πρόσβαση σε όλα τα δεδομένα μας (κωδικούς ασφαλείας, προσωπικά στοιχεία, επικοινωνίες, κ.α.). Δεν γνωρίζουμε αν τα κενά αυτά έχουν χρησιμοποιηθεί για επιθέσεις ως τώρα, καθώς κάτι τέτοιο δεν θα άφηνε κανένα ίχνος.
Το χειρότερο της υπόθεσης αφορά τις cloud υπηρεσίες και κυρίως τους “μεγάλους παίκτες” του κλάδου. Εκεί, το κενό ασφαλείας γιγαντώνεται! Και αυτό επειδή στους cloud servers η cpu του host που φιλοξενεί τα εικονικά μηχανήματα (virtual servers) και είναι κοινή για όλα, μπορεί να διαβαστεί από οποιοδήποτε εικονικό μηχάνημα. Άρα τα στοιχεία σας στο cloud, μπορούν να διαβαστούν από οποιοδήποτε άλλο πελάτη του ίδιου cloud!!!!
Πριν λίγες μέρες κυκλοφόρησαν αρκετές ενημερώσεις που διορθώνουν το 1ο κενό στα λειτουργικά συστήματα, το Meltdown. Ήδη από την ημερομηνία που κυκλοφόρησε η ενημέρωση, έχουμε και εμείς εδώ στην Πρίζα ενημερώσει όλα τα συστήματα μας. Επίσης το Ίδρυμα Mozilla ανακοίνωσε την έκδοση 57.0.4 του Mozilla Firefox που διορθώνει το 2o κενό (Spectre) σε επίπεδο browser. Παράλληλα η Intel και η AMD κυκλοφόρησαν κάποιες ενημερώσεις firmware, αλλά δεν πήγαν και τόσο καλά, και ούτε είναι σίγουρο ότι διόρθωσαν κάτι.
Το Spectre είναι δυστυχώς πολύ πιο πολύπλοκο κενό ασφαλείας από το Meltdown και γι’ αυτό οι ερευνητές χρειάζονται περισσότερο χρόνο για να βρουν μια σωστή και μόνιμη λύση. Αυτό μπορεί να χρειαστεί μέρες ακόμα ή και βδομάδες να φτιαχτεί. Δυστυχώς σαν χρήστες δεν μπορούμε να κάνουμε και πολλά εκτός του να αναμένουμε τις επίσημες διορθώσεις.
Ελέγχετε τακτικά για ενημερώσεις στον υπολογιστή σας και να προχωράτε στις ενημερώσεις ασφαλείας άμεσα κάθε φορά που θα δείτε διαθέσιμες. Δείτε αναφορές για κάποια λειτουργικά συστήματα Linux, π.χ Linux Mint, Ubuntu, Debian GNU/Linux, Red Hat. Επίσης υπάρχουν εργαλεία για να ελέγξετε αν είστε ευάλωτοι σε αυτές τα 2 κενά ασφαλείας. Να γνωρίζετε ότι υπάρχουν αναφορές ότι οι διορθώσεις αυτών των κενών ασφαλείας μπορεί να προκαλέσουν καθυστερήσεις στα ευάλωτα συστήματα.
Προτιμάμε Mozilla Firefox που ήταν ταχύτατοι σε αντίδραση και κυκλοφόρησαν άμεσα browser που διορθώνει τα κενά. Η Google αναμένεται να κυκλοφορήσει αντίστοιχα “διορθωμένο” Chrome (version 63) μέχρι τα τέλη του μήνα.
Στα Windows υπάρχει πρόβλημα με τα προγράμματα antivirus, ενώ μετά τις ενημερώσεις σε μερικούς υπολογιστές με AMD επεξεργαστές, δεν μπορούν να boot-άρουν στο λειτουργικό σύστημα. Υπάρχουν αναφορές για προβλήματα και σε υπολογιστές με linux, και συγκεκριμένα με το Ubuntu 16.04, που σε ορισμένες περιπτώσεις μετά την ενημέρωση δεν μπορούσαν να boot-άρουν.
Περισσότερα για τα Meltdown & Spectre κενά, μπορείτε να βρείτε στους παρακάτω συνδέσμους :
https://lwn.net/Articles/742999/
https://en.wikipedia.org/wiki/Meltdown_(security_vulnerability)
https://en.wikipedia.org/wiki/Spectre_(security_vulnerability)
Όσοι έχουν WordPress ιστοσελίδες, παρακαλούνται να αναβαθμίσουν το συντομότερο δυνατόν. Η τελευταία έκδοση του WordPress 4.7.2, διορθώνει μια πολύ σημαντική ευπάθεια ασφαλείας που ήδη έχει χρησιμοποιηθεί σε πολλές ιστοσελίδες το τελευταίο διάστημα. Επίσης διορθώνει και κάποια άλλα προβλήματα ασφαλείας. Μπορείτε να διαβάσετε σχετικά στα παρακάτω links :
WordPress 4.7.2 Security Release
Content Injection Vulnerability in WordPress
Disclosure of Additional Security Fix in WordPress 4.7.2
update] WordPress REST API Vulnerability Abused in Defacement Campaigns
Η αναβάθμιση του WordPress γίνεται πολύ εύκολα μέσα απο το διαχειριστικό του περιβάλλον, στη σελίδα με τις αναβαθμίσεις. Σε όσους χρειάζονται υποστήριξη για αναβαθμίσεις, μπορούν να επικοινωνήσουν μαζί μας. Η υποστήριξη στις ιστοσελίδες προσφέρει άμεσες αναβαθμίσεις ασφαλείας και αντιμετώπιση οποιουδήποτε είδος προβλημάτων.
