“Shellshock漏洞哪些事：互联网安全噩梦的开始”

本篇文章3286字，读完约8分钟

9月30日，据国外媒体宣传，鉴于linux/unix系统近日再次曝光了危险等级超“心脏出血”的bash漏洞——“shell shock”，《连接》杂志周一特别刊登了该漏洞。

以下是“连接”副本全文翻译副本。

布莱恩·福克斯从圣巴巴拉开车来波士顿。 那辆车的后备箱里有两卷巨大的磁带。

这些不是音乐磁带或录像带。 正如我们在《dr. strangelove》和《three days of the condor》等经典电影中看到的那样，它们为了过去提供家具般大小的计算机服务，转载了计算机软件的代码和数据。

那年是1987年，福克斯开车横穿美国来到他的新家。 他带的磁带装有一个叫bash的软件程序。 该计划在unix系统和相关的重新发行版中随处可见，是与客户桥接操作系统的重要工具。

福克斯是高中辍学的学生，平时和理查德·斯塔曼等麻省理工学院的电脑极客们一起度过。 当时的福克斯是脚架焊工，有着建立完全免费、可以自由删改、不受重型复制条款限制的软件系统的野心。 福克斯把这种想法称为“自由软件运动”，其最终目的是重构所有unix操作系统，用gnu的方法完全免费地与人们共享。 这就是开源软件生态的原型。

福克斯和斯托尔曼那时不知道他们正在开发的软件此后将成为全球通信基础设施几十年来几乎不可缺少的重要工具。 福克斯从波士顿带回加州两卷磁带后，许多工程师开始观察和采用bash，也协助开发。 在unix的带领下，gnu和linux开始迅速崛起。 特别是后者现在已经成为现代网络的躯干结构，bash也因此进入了数亿台计算机。

直到1992年的某一天，一位工程师把程序bug输入了bash中。 经过20多年后，安全专家终于在上周发现了这个沉睡的安全漏洞。 这个bug被称为专家的人称为shell check，其危害会导致黑客对当今网络结构的大规模破坏。

shell check是人类计算机史上已知的最古老、尚未修复的程序错误。 其实今年年初，专家们在另一个存在多年的开源软件中发现了一个叫“心脏出血”( heartbleed )的错误。 两个bug都表明了当今网络的问题:只要不能改变代码编写的方法和软件审查的方法，同样的问题就会阻碍网络的快速发展，甚至受到威胁。 互联网基于许多重用的软件，其中一个早在几十年前就存在了，但那时我们甚至没有考虑过安全问题的审查。

例如bash创立的时候，没有人判断网络攻击的可能性。 那是因为当时没有意义。

“(当时)这个软件在地球上被采用最多，哪怕一点点被恶意的人利用，担心在网上被攻击也完全不现实。”福克斯说:“当具备可能的条件时，bash被采用了15年以上。” 今天，谷歌、脸书或其他大型互联网公司都采用了bash。 因为是开源的，所以任何人都可以随时审查。 但是，任何人都可以随时确认bash的安全性，但没有想过那个。 这种现象需要改变。

互联网是怎么建立起来的

从数字的角度来看，福克斯的bash程序和iphone的桌面屏幕大小基本一致。 但是，在1987年，该程序未能通过电子邮件发送到美国的另一边。 当时的互联网雏形才刚刚形成，跨界万维网的概念还在酝酿中。 于是有一幕福克斯开车带着两卷录音带从圣巴巴拉飞往波士顿。

bash是一个shell工具，是一个命令行输入工具，用于在图形客户端界面出现之前与计算机进行通信。 这类似于windows命令提示符工具。 虽然看起来“旧”，但在网络盛行的时代，在apache互联网服务器普及的时代，桥接web应用程序和操作系统的最简单、高效的方法只是在bash shell下输入一系列指令 这是现在网络的基础。 在脚本上建立的一组脚本命令。

直到今天，bash仍然在web服务器管理工具中扮演着重要的角色。 也存在于mac系统中。 实际上，所有运行linux操作系统或unix操作系统的公司都可以使用该工具快速、轻松地连接到在这些系统上运行的应用程序软件。

但是，领导bash开发的程序员没有为任何互联网巨头工作。 他不为科技企业工作。 这位程序员名叫切特·雷米( chet ramey )，是克利夫兰case western reserve university的程序开发者，只在业余时间维护bash。

“相当长的一段时间”

80年代末，雷米取代福克斯成为了bash的领军开发者。 9月12日，雷米收到了安全专家斯蒂芬·查尔斯·拉斯( stephane chazelas )关于shellshock计划bug的电子邮件。 这是一个高风险的安全漏洞，全世界的人上周都注意到了这个问题——短短几个小时，黑客就发布了攻击代码，可以使用了

shell check的脆弱性将未补丁的机器瞬间变成可以任意操作的僵尸“肉鸡”。

雷米没有权限访问bash开发项目源代码的更新日志。 这些数据创立于90年代初。 但雷米认为，他可能是编写shell shock程序bug的人，但bug的出现时间要追溯到1992年左右。 这段时间显然足以使壳牌检查成为当今最古老、最重要、尚未修复的安全漏洞。 “连接”为此还特别联系了普渡大学的尤金·斯福德教授以证实推测。 斯帕福德先生也确信“不能想起没有再修补的其他老洞”。 当然，这个世界上肯定有很多更古老的bug，但是考虑到漏洞带来的潜在影响和存在时间，shell check无疑是最耀眼的。 ”。

但是，这些情况会给人一种熟悉“心脏出血”的人的感觉。 “心脏出血”也被历史悠久的开源软件项目ssh发现，该软件也被广泛采用。 和开发ssh项目一样，bash也没有接受过安全审查。 软件由一组志愿者维护和开发，基本上没有得到bash开发的财务赞助。 不幸的是，这种模式也是网络的快速发展过程。

“很多眼睛”的谎言

安全咨询公司ErratasecurityCEO罗伯特·格拉汉姆( robert graham )指出，shellshock对开源软件的主要顾客撒了谎。 也就是说，开源软件可以使用“多只眼睛”共同监控和修复bug，从而使效率和安全性比封闭来源的商业版权软件有所提高。 这个绝妙的想法也被称为“林纳斯定律”( linus's law )。

格拉汉姆上周在博客上写道:“如果真的有多只眼睛在过去的25年里一直关注着bash，那么这些bug应该很多年前就被发现了吧。”

“林纳斯定律”是林纳斯·托瓦兹( linus torvalds )建立linux操作系统之后命名的。 在谢尔查漏洞暴露后，林纳斯表示这个定律仍然成立。

“有很多代码，但实际上很多眼睛没有监督。 许多开源项目没有让许多开发人员参与，即使其中一个是非常核心的开源应用程序。 ”。 林纳斯说。

这个问题存在于任何软件中，无论是开源还是开源。 一般来说，很难确定源软件中存在多少错误，如Oracle数据库应用程序。 大约十年前，微软也面临着严重的安全问题。 因为这家企业的一些代码没有被正确审计。 但是，在经历了2003年的windows blaster蠕虫问题之后，微软将在安全审查中排名第一。 因此，在接下来的十年中，微软的代码质量得到了提高。 微软每年都会雇佣大量的“白帽子”黑客和消费数千万美元以确保产品的安全性。 开源软件社区也将开始同样的旅行。

今年5月，“心跳血流”漏洞首次公开后不久，linux基金会筹集了600万美元，对比广泛采用的开源项目的安全性，进行了ssh、ntp等大检查。 很遗憾，bash不在那一列。

“这是无法预料的。 ”linux基金会执行董事吉姆·泽姆林( jim zemlin )说:“当然，我的人一定会接触相关的开发者，看看能否提供帮助。 ”。

这很好，但前提是继续维持网络直到发现bug。 我希望linux基金会、谷歌、脸书等能继续这样做。

布莱恩·福克斯，即使有壳牌·约克这个缺陷，也为曾经横跨美国创造的bash感到自豪。

“在发现第一个bug之前，这个软件已经存在了27年。 ”。 福克斯说:“考虑到软件的采用情况和错误的发现比例，这个结果非常令人难忘。” 卢鑫

来源：成都新闻网