Bilişim Gündemi Güvenlik

ShellShock Güvenlik Açığı

ShellShock.

Muhtemeldir ki duyulduğunda herkesin “şok” olması hedeflenen ve iligli makamlarca kritik seviyesi 10 üzerinden 10 puan olan bir güvenlik açığı.

Linux temelli hemen hemen büyük küçük tüm sistemlerin etkilenebileceği korkunç ve bir o kadar da yeni duyulan bu güvenlik açığı sayesinde bu sistemler -ki aygıtları da düşünmelisiniz- ele geçirilip, kontrol edilebilir durumdalar.

Kısaca

“Bash” komut satırı yorumlayıcısı aracı ile komut satırı üzerinden yıllarca işlem yapıyorduk; işletim sistemine paket program kurmaktan tutun da otomatik işlemler yapan betikler yazmaya kadar..

Açığı farketmek için basitçe düşünmek gerekiyor. Bash’in nasıl çalıştığını iyi biliyorsanız (veya herhangi bir şeyin) onunla etraflıca uğraşmanız ve bazı özel keşifler yapmanız kaçınılmazdır. Bash, fonksiyon tanımlarından sonra yazılan tüm komutları yorumladığı için bu güvenlik açığı da buradan doğuyor, yani aslında sistem kendisi ile kandırılıyor.

İşte bu sayede ki devletlerin gizli görüşmelerinden, enerji firmalarının özel anlaşmaları ile gizli-açık projelerin tespiti ve/veya dokümanlarının elde edilmesi kolaylaşıyor.

Misal

Belirtmiş olalım Bill Gates ve severlerinin kafası rahat. Çünkü bu güvenlik açığı oralarda çok da rüzgar koparmadı fakat iş Linux tabanlı sistemleri tercih edenlere gelince biraz daha farklı durumlar meydana çıkıyor. Mac OS X, Android, IOS veya bir Linux dağıtımı kullanıyorsanız (sunucu işletim sistemleri dahil) muhtemelen aşağıdaki kod terminal/uç birim komutu çalıştırıldığında ‘echo bitmiş’ harici mesajla karşılacaksınızdır;

[syntax type=”php”]

env X=”() { :;} ; echo yandı gülüm keten helva” which bash -c “echo bitmiş”

[/syntax]

Çözüm

Çözüm için birçok yöntem akıllara gelebiliyor olsa da yol basit; Güncelleyin!

Bir linux dağıtımı kullanıyorsanız terminal ekranına ulaşarak paket yöneticinize uygun kod ile bash güncellemesi geçin (apt-get update, yum update bash gibi). Mac OS X işletim sistemi kullanıyorsanız da en son güncellemeyi alarak Apple’ın yayınladığı bu güvenlik yaması paketini indirin ve sisteminize yükleyin.

Kapanış

İnsanın olduğu yerde %99.9 zafiyetin olacağı ispat gerektirmeyen bir gerçektir ve unutulmamalıdır ki bu açık yaklaşık 20 seneden beri mevcut.

Güvenle kalın.