Il giorno 01/ott/2014, alle ore 09:50, dea <dea@corep.it> ha scritto: > immagino i device (milioni ?) che usano un sistema embedded e che non verranno > mai sicurizzati.... non parlo tanto di un televisore quanto di oggetti che > sono intrinsecamente più "delicati", tipo una cam di sicurezza. occhio a non correre troppo. Il problema bash, per quanto delicato e ancora non del tutto valutato comunque si basa su dei presupposti abbastanza precisi: Intanto a una bash ci si deve arrivare. E questo e' cosa chiara. Sia che la bash sia un cgi scritto all'interno di un device o di un server. Se si usa altra roba, apposto. il discorso del dhcp che gira in rete, che fino a pochi giorni fa era piu' un concept, comunque ha la stessa valenza. Il server deve essere compromesso per poter fare danni e compromettere (attraverso dhcp) la rete. Ormai sono dell'idea che piu' la notizia e' pompata, piu' e' farlocca, ovvero, la sua portata e' molto piu' limitata di quanto sembri. Suona solo bene sulla bocca di chi ci capisce poco - e ammettiamolo, pochi sono i giornalisti che in campo tecnologico sono abbastanza equilibrati da analizzare le cose prima di passare alla tastiera. Il problema e' sicuramente vasto, ma intanto le macchine devono essere violate o violabili (anche a mezzo di altri sistemi) prima di diventare vettore di danno. Le interfacce a cui da remoto si puo' accedere devono essere debolucce (mi preoccupano di piu' i milioni di device il cui criterio di protezione e' "user: admin, password: admin"). Attualmente, da remoto, i pochi metodi di accesso verso shellshock sono webserver con cgi basati su bash, ssh poco protetti e poc'altro (ho letto pure di cups: ma percaso usate cups via internet?). Ripeto, prima alla macchina ci devi arrivare... gia' avere una shell diversa, ridotta, cambia le regole del gioco. Quindi, per quanto la guardia deve essere alta, forse girano piu' allarmismi che sostanza. mauro mauro@majaglug.net
Attachment:
signature.asc
Description: Message signed with OpenPGP using GPGMail