親愛なるライフハッカー様
つまり、Shellshock は最新の脆弱性です。「インターネットを破壊する」可能性があります。最後に彼らがそう言ったのは、ハートブリードについてでした。これらすべてのバグや脆弱性について本当に心配する必要があるのでしょうか、それともテクノロジー企業が気にする必要があるものなのでしょうか?誰かが実際に私に対してこれらを使用できるでしょうか?
心から、
セキュリティ懐疑論者
親愛なるセキュリティ懐疑論者の皆様
確かに、毎日のように新しいハッキングが発生したり、データの宝庫が暴露されたり、テクノロジーの世界をひっくり返す恐れのある新たなバグが発生したりしているように思えます。特に、何度も連絡が来て何も変わっていないように見える場合は、その話を聞くことに少しうんざりするのは自然なことです。結局のところ、これらの問題は深刻であると言われていますが、多くの場合、それらに対して私たちにできることは何もありません。懐疑的になるのは正しいことですが、その懐疑心がデータを安全に保つための正しい行動を妨げないようにしてください。
Shellshock と Heartbleed (およびその他の同様の脆弱性) については、事実とフィクションを区別し、実際に何を懸念すべきで、何を懸念すべきでないかを理解できるよう、私たちは何人かのコンピューター セキュリティの専門家と話し合いました。
これらの脆弱性は本当に大きな問題なのでしょうか?
ハートブリードとシェルショックが起こる可能性があるという見出し「インターネットを壊す」空が落ちてくると思ったことは責められません。これらが深刻な問題であることには誰もが同意しますが、エンドユーザーが身を守るために講じることのできる手段はかなり限られています。
Heartbleed の場合、最善のアドバイスは、お気に入りのサイトにパッチが適用されるのを待ってから、パスワードを変更することでした。シェルショックの場合は、次のことを行う必要があります。Mac または Linux コンピュータにパッチを適用するそして、他の人たち、特にシステム管理者やエンジニアも同じようにしてほしいと願っています。さらに、研究者らは両方のエクスプロイトの影響を実際に確認していると述べていますが、人々がコンピュータを紛失したり、テクニカル サポートのホットラインに壊れたコンピュータに関する電話が殺到したりするような状況ではありません。ウイルスが蔓延した 2000 年代初頭に見られたような状況ではありません。夕方のニュース。
ということは、忘れてもいいということでしょうか?完全ではありません。これらの脆弱性は深刻であり、私たちが話を聞いた専門家全員がそのことを指摘していました。しかし、彼らはまた、破滅的で暗い見出しは人々に逆効果をもたらすことが多いとも説明しました。彼らは、インターネット セキュリティのニュースに注意を払うよう奨励するのではなく、インターネット セキュリティのニュースにうんざりさせます。 Mark Nunnikhoven 氏、クラウドおよび新興テクノロジー担当副社長トレンドマイクロ、両面について説明しました。
シェルショックは非常に深刻です。現在世間で注目を集めているのは、100% 価値があります。問題の正確な範囲を知ることは決してできませんが、ニコール・パールロス
ニューヨーク・タイムズに寄稿
インターネットに接続されているマシンの約 70% が影響を受ける可能性があると推測しています。私にはそれが合理的だと思われます。
これほど深刻なバグにもかかわらず、その影響について大げさな主張をする人もいます。それは誰の役にも立ちません。この非常に現実的な問題をセンセーショナルに取り上げることで、議論は不必要に二極化し、私たち全員がこれまで以上にさらされた状態にさらされることになります。複雑な問題がある場合、その詳細をより多くの聴衆に伝えるのは困難です。残念ながら、人々は微妙な主張よりも劇的な主張に反応することが多いです。これでインターネットが終わるわけではありませんが、これは非常に深刻な問題であり、すぐに対処する必要があります。
著者、コンサルタント、コンピュータ セキュリティの専門家であるフレデリック レーン氏もこれに同意します。同氏は、恐ろしい見出しは一般に、エンドユーザーが何もできない場合には役に立たないが、適切な人に向けられていれば、適切な人に適切な行動を促す可能性があると説明した。
恐ろしい見出しは、システム管理者や管理者を対象にして、これらの脆弱性が消費者に届かないようにするために時間とリソースを費やす場合に役立つと思います。ただし、これらの問題を解決するためにできることは (たとえあったとしても) ほとんどないため、平均的な PC ユーザーを怖がらせる必要はありません。消費者にとって見出しは、現代の生活を非常に困難なものにする実存的な不安を増大させるだけです。ある時点で、恐ろしいコンピューターの見出しが単なる背景ノイズになります。
結論としては、このようなタイプの脆弱性について聞いたら、特に IT 業界で働いている場合、または実際にそれに対して何かを行う立場にある場合は、座って注意を払う価値があります。自分のコンピュータにパッチを適用できる場合は、そうすべきです。それ以上は、誇張表現を割り引いて聞いてください。インターネットは堅牢で順応性があり、1 つのセキュリティ問題や脆弱性によって全体が崩壊する可能性は低いです。
通常のコンピュータ ユーザーはこれらのエクスプロイトについて心配する必要がありますか?
いつTarget などの大手小売店またはホームデポが財務情報を失う, 通常、無料の信用監視が提供され、不正取引や個人情報盗難の兆候に注意するように言われます。 Shellshock と Heartbleed の場合、エンド ユーザーができることは、最善の結果を望み、パッチが利用可能になったらそれを適用することだけです。心配するのは時間とエネルギーの無駄に思えるかもしれません。ただし、少なくとも現場の状況に耳を傾けるべきだとレーン氏は言います。
システム管理者にとっての今日の問題は、ホーム ユーザーにとっての明日の問題になります。
これは、モノのインターネットに向けて進むにつれて着実に生じているリスクを強調するのに役立つと思います。これについて考えてみましょう。リポジトリ担当者が使用するリモート シャットダウン デバイスを制御するシステムに誰かがアクセスできたらどうなるでしょうか (これについては、次の記事で取り上げています)。
数日前のニューヨークタイムズの記事
)?全国各地で何千台もの車が突然停止する可能性があります。 Bash の脆弱性の本当に厄介な点は、Bash を使用しているシステムがどれだけあるのかさえよくわかっておらず、その多くがソフトウェア/ファームウェアのアップデートのためのメカニズムを備えていないことです。
もちろん、Shellshock と Heartbleed に関する記事は、敵対的な攻撃による潜在的な損失を最小限に抑えるために常に取るべき手順について消費者に思い出させる絶好の機会です。1) マルウェア対策ソフトウェアをインストールして更新する。 2) 重要なファイルをバックアップします。 3) 重要なファイルがバックアップされていることを再確認します。 4) 財務情報と信用報告書を監視します。テクノロジーは私たち全員に多大な恩恵をもたらしますが、光り輝くデバイスには一定の責任が伴います。ハインラインが言ったように、「無料のランチなどというものは存在しない」のです。
コンピューターフォレンジック検査官、ソフトウェアデザイナー、コンサルタントでもあるピーター・セオバルド氏は、日常ユーザーが懸念すべき問題はデスクトップコンピューターだけではない、と説明した。ファイアウォール、ルーター、NAS デバイス、スマート サーモスタットやその他の家庭用デバイス上の Linux ベースの組み込みシステムさえも、Shellshock の潜在的なターゲットになります (ファイアウォールなしでインターネットに直接接続されている場合、さらにファイアウォールが脆弱になる可能性があります)。であり、SSL を実行しているすべてのサーバーが Heartbleed のターゲットでした。
Shellshock が公開されてから 1 時間以内に、新しい脆弱性を利用してインターネットをスキャンし、コンピュータを侵害する新しいマルウェアの報告がありました。
Bash は、Linux Web サーバー、Mac コンピューター、NAS ストレージ デバイス、ルーターとアクセス ポイント、ファイアウォール、その他多くのデバイスで使用されます。 Apple と Linux ディストリビューションのメーカーは、これらの脆弱性を解決するパッチの発行に非常に迅速に取り組んできました。これにより、Web サーバーと OS X コンピュータが処理されます。私がもっと懸念しているのは、すべてのルーター、ファイアウォール、アクセス ポイントに適時にパッチが適用されないことです。ルーターにパッチを適用する方法を知っている人はどれだけいるでしょうか?ルーター ベンダーがこれにどのように対処するかについてのニュースに注目してください。これは、おそらくメーカーからの自動更新により、消費者向けデバイスのメンテナンス方法が業界全体で変化するきっかけとなる可能性があります。
これらの問題が深刻であり、日常の人々や私たちが使用するテクノロジーに実際の影響を与える可能性があることは疑いの余地がありません。同時に、まだ寝不足にならないようにしてください。結局のところ、安全なテクノロジーはほとんどなく、インターネットに接続されている場合はさらに少なくなります。今後数か月、数年でさらに多くのシェルショックやハートブリードが発生しても驚かないでください。ただし、常に警戒し、適切なコンピューティング衛生を実践することは害にはなりません。大きな脆弱性があるときにルーターのファームウェアを更新する方法を学びたくありません。これらは事前に知っておくと便利なスキルです。
懐疑的になっても安全を妨げないでください
当社の専門家は全員、この種の脆弱性は広範囲に影響を及ぼし、広範囲に影響を与える可能性があるという点で新しいものですが、ユーザーが脆弱性を発見したときにシステムを更新すること以外はほとんど何も必要としないのは異例であると指摘しました。と言われました。過去数年とは対照的に、OEM とスマート デバイス メーカーは、販売するデバイスがインターネットに接続されることが想定される場合、パッチを提供し、製品に更新メカニズムを組み込み、システムを安全に保つ責任を負っています。
テクノロジーが進化し、より多くのつながりが生まれるにつれて、スマート サーモスタットやスマート ウォッチの基盤となるコア テクノロジーは、元の開発者が想定していなかった方法で適用されることになります。そうなると、より多くの脆弱性が露出し、より多くのエクスプロイトが世に出ることになるでしょう。レーンは次のように説明します。
より理論的なレベルで言えば、この種の話は、私たちが非常に複雑なシステムを作成してきたため、それらが完全に安全であることを決して確信できないという私の信念を再確認していると言えます。言い換えれば、私たちが作成するシステムの複雑さが「現実世界」の複雑さに近づくほど、私たちが運命の人質になる可能性が高くなります。私たちはコンピューターとインターネットを作って以来、コントロールという幻想にしがみついていますが、それは単なる一時的なものにすぎません。私は、悪人がソフトウェアの脆弱性を利用して害を及ぼすのを防ぐべきだと言っているわけではありません(がんとの闘いと同じように)。私が言いたいのは、実際にどの程度完全に安全であるかを現実的に考える必要がある、ということだけです。
結局のところ、これらの問題が深刻であることに疑いの余地はなく、注目に値します。しかし、自分で調べてくださいまた、注目を集めて最新のセキュリティ脅威について心配させるための見出しだけを読まないでください (もちろん、ライフハッカーでは常に冷静さを保つよう努めます)。毎週のように新しいハッキングが発生し、クレジット カード番号が失われ、パスワードをリセットする必要があると感じると、疲れやすくなります。しかし、状況はすぐには変わりません。これらのハッキングは、少なくとも自分の安全を確保するために十分な注意を払う価値があります。基地はカバーされており、データは保護されます。
心から、
ライフハッカー
Mark Nunnikhoven は、クラウドおよび新興テクノロジー担当副社長です。トレンドマイクロ。
フレデリック・レーンは作家、弁護士、教育コンサルタント、専門家証人、講師であり、デイリー・ショー、CNN、NBC、ABC、CBS、BBC、MSNBC に出演しています。彼は最新作を含む 7 冊の本を執筆しています。若者向けのサイバートラップ彼の本はすべて Amazon または経由で入手できます。彼のウェブサイト。 Twitter で彼をフォローできます。@fsl3、またはでコンピューターフォレンジックダイジェスト。
Peter Thebald は、コンピュータ フォレンジック検査官、専門証人、ソフトウェア デザイナー、コンサルタント、講師です。彼は、米国法曹協会の訴訟部門コンピュータ法医学小委員会の共同委員長を務めています。彼は次の場所で見つけることができますTCForensics.com。
3 人の紳士全員がこの記事のために専門知識を提供してくれたことに感謝します。
Ask Lifehacker に質問や提案がありますか?に送信してください[メールで保護されています]。