Det har været en travl uge for systemadministratorer med systemer, som benytter open source-kommandofortolkeren Bash, efter at en kritisk sårbarhed blev afsløret for godt en uge siden. Adskillige opdateringer er blevet udsendt, hvorefter der er opstået tvivl om, hvorvidt de overhovedet har lukket sikkerhedshullet.
»Det har været et kæmpe kaos. Da den første sårbarhed slap ud, mente man, at patchen ikke lukkede hullet fuldstændigt,« forklarer researchchef Kasper Lindgaard fra sikkerhedsfirmaet Secunia til Version2.
Sikkerhedshullet, som har fået tilnavnet Shellshock, findes som sagt i Bash og har eksisteret i 22 år, uden at nogen har opdaget det før nu. Sikkerhedshullet vurderes af flere sikkerhedseksperter til at være et af de mest alvorlige, fordi det har givet mulighed for at overtage kontrollen med sårbare Unix-, Linux-, BSD- og Mac OS X-systemer. Ganske vist under forudsætning af bestemte konfigurationer.
Da den første patch blev frigivet, og nyheden om sikkerhedshullet slap ud i sikkerhedskredse, blev både patch og Bash gransket, og hurtigt lød meldingen, at patchen kun delvist lukkede sårbarheden.
Derfor gik udvikleren bag patchen i gang med at lave en bedre version, men i mellemtiden havde historien om Shellshock bredt sig, og flere gik i gang med at lave uofficielle sikkerhedsopdateringer, som også blev samlet og udsendt af visse Linux-distributioner.
»Nogle af disse uofficielle patches sås også at være ufuldstændige, og det viste sig, at den første patch ikke var ufuldstændig, men at man blot troede det, fordi der var et andet sikkerhedshul i Bash,« fortæller Kasper Lindgaard.
Et 22 år gammelt sikkerhedshul i denne kaliber fik flere til at lede efter sårbarheder i softwaren. Bash er open source med rødder i GNU, hvor Bash i mange år var den foretrukne kommandofortolker.
Siden den første sårbarhed blev fundet, er der fundet yderligere én anden sårbarhed, som der også er lavet en patch til. Derudover er der fundet yderligere to, som ikke er patchet endnu, og derudover er der mindst én ubekræftet sårbarhed.
»Vi forventer, at der nok dukker flere op. Efter 22 år er der én, som fandt en sårbarhed lidt ud af det blå og åbnede for Pandoras æske,« siger Kasper Lindgaard til Version2.
Det åbenlyse spørgsmål er, hvordan et så alvorligt sikkerhedshul i et stykke software, som tusindvis af personer med forstand på it-sikkerhed har benyttet dagligt, har kunnet eksistere uopdaget så længe?
»Det er gammel kode, der er skrevet i en meget forældet stil. Der lader til at være en frygt for at pille ved noget, der er ufatteligt svært at læse og forstå. Så sikkerhedshullet har muligvis eksisteret i 20 år, men der er ikke så mange detaljer i historikken for Bash,« siger postdoc Luke Thomas Herbert, ekspert i it-sikkerhed, fra DTU Compute til Version2.
Ingen garanti for mange øjne på open source
Bash er open source, og dermed har alle i princippet kunnet se koden igennem for sikkerhedshuller. Men det forudsætter, at nogen tager sig tid til at sætte sig ned og kigge på noget kode, som umiddelbart virker, og som alle har tillid til.
»Fordi Richard Stallmans navn fra open source-verdenen er knyttet meget tæt til det, har der været den der antagelse om, at det er open source – ergo så har masser af øjne kigget på koden. Men i det her tilfælde viser det sig lige præcis igen, at det ofte ikke har været tilfældet i praksis. Det er mere, at nogen lægger mærke til en underlig effekt og så derefter dykker ned i koden og finder et sikkerhedshul,« siger Luke Thomas Herbert.
Shellshock-sårbarheden er blevet sammenlignet med Heartbleed, som ligeledes var et alvorligt sikkerhedshul i et stykke open source-software, OpenSSL, som ingen havde opdaget i fem år. At sårbarheder eksisterer i mange år, før de bliver opdaget, er dog ikke begrænset til open source-verdenen.
Men mens det for lukket software kun er leverandøren, som kan sørge for sikkerheden, har brugerne af open source i princippet bedre muligheder for at blande sig. Heartbleed udstillede imidlertid, at selvom open source-projekter bliver brugt af multinationale milliardkoncerner som Google og Facebook, kan projekterne mangle økonomiske ressourcer til at foretage grundige sikkerhedskontroller af kode, som allerede er rullet ud.
Når sårbarhederne så dukker op, kan det også give sine helt egne problemer som i dette tilfælde med Bash, hvor der er lavet flere uofficielle patches, samtidig med at nye sårbarheder er blevet fundet, hvilket har bidraget til forvirringen omkring, hvorvidt et system var sikret mod Shellshock-sårbarheden eller ej.
Leave a Reply