หากคุณติดตามฉากการรักษาความปลอดภัย คุณต้องสังเกตเห็นข่าวลือมากมายเกี่ยวกับปัญหาด้านความปลอดภัยต่างๆ ที่ค้นพบในเดือนนี้ กล่าวคือ ช่องโหว่ร้ายแรงในคอมโพเนนต์กราฟิกของ Microsoft ตามที่ระบุไว้ในกระดานข่าว MS16-039 เรื่องราวและข่าวลือเกี่ยวกับสิ่งที่เรียกว่าบั๊ก Badlock และความเสี่ยงที่เกี่ยวข้องกับการใช้ส่วนเสริมของ Firefox ดีและดียกเว้นไม่มีอะไรมากไปกว่าเรื่องไร้สาระของโฆษณาคลิกเบต
การอ่านบทความทำให้ความโกรธของฉันพุ่งสูงขึ้นจนฉันต้องรอวันหรือสองวันก่อนที่จะเขียนบทความนี้ มิฉะนั้น มันจะเป็นเพียงแค่พิษและคำสบถ แต่สิ่งสำคัญคือต้องแสดงออกและปกป้องผู้ใช้อินเทอร์เน็ตจากฝนตกหนักของกระแสความปลอดภัยที่ไร้จุดหมาย มือสมัครเล่น อยากเป็นแฮ็กเกอร์ ที่เกิดขึ้นในเดือนนี้ ปฏิบัติตามฉัน.
Ragnarok ของคุณทั้งหมดเป็นของเรา
Noscript และส่วนเสริมอื่นๆ เปิดรับการโจมตีใหม่นับล้าน
ฉันจะไม่เชื่อมโยงไปยังบทความที่เป็นปัญหา เพื่อไม่ให้การเข้าชมเป็นสิ่งที่สามารถอธิบายได้ว่าเป็นเทศกาลแพะดิจิทัลเท่านั้น โดยพื้นฐานแล้ว บทความบอกเราว่า เนื่องจากส่วนเสริมของ Firefox ทั้งหมดใช้เนมสเปซเดียวกัน นั่นคือไม่มีการแยกหน่วยความจำ ส่วนเสริมที่เป็นอันตรายอาจสอดแนมส่วนเสริมอื่นๆ ได้ นั่นคือเรื่องราว Noscript ซึ่งเป็นโปรแกรมเสริมที่มีประโยชน์อย่างยิ่งและมีความสำคัญซึ่งให้ความปลอดภัยแก่ผู้ใช้ Firefox เป็นอย่างมาก ได้ถูกแยกออกมาในบทความนี้เพื่อให้มันน่าขัน
เรื่องไร้สาระที่สมบูรณ์
ประเด็นคือ นอกเหนือจากการเพิ่มปริมาณการเข้าชม และแน่นอนว่าไม่มีสิ่งใดสร้างการดูหน้าเว็บได้เหมือนความกลัว บทความไม่ได้ให้ข้อมูลที่เป็นประโยชน์และนำไปปฏิบัติได้แม้แต่ชิ้นเดียวแก่ผู้อ่าน เนื่องจากปัญหาที่เน้นไว้อาจกลายเป็นปัญหาได้หากผู้ใช้ติดตั้งส่วนเสริมที่เป็นอันตรายด้วยตนเอง ใช่ถูกต้อง. คุณอาจติดเชื้อได้หากคุณติดเชื้อเอง บ้าจริง เชอร์ล็อค ทีนี้ สิ่งนี้จะเกิดขึ้นได้อย่างไร:
คุณติดตั้งส่วนเสริมที่ไม่ได้ลงชื่อด้วยตัวคุณเอง กรุณาไฟฟ้าช็อตตัวเอง
คุณติดตั้งส่วนเสริมจากพื้นที่เก็บข้อมูล Mozilla หลังจากที่ได้รับการคัดกรอง ทดสอบ และเซ็นชื่อแบบดิจิทัลแล้ว กล่าวอีกนัยหนึ่ง หากเซิร์ฟเวอร์ส่วนเสริมถูกแฮ็ก ผู้ใช้จะประสบปัญหาที่ใหญ่กว่าส่วนขยายที่กำหนดเป้าหมายไปยังส่วนขยายอื่นๆ
จากนั้นมีความถูกต้องของการโจมตีดังกล่าว หากคุณได้รับสิทธิพิเศษในการเข้าถึงระบบ การดักฟังส่วนขยายอื่นๆ เป็นสิ่งที่มีประโยชน์น้อยที่สุดที่คุณสามารถทำได้ มันเหมือนกับการดักฟังโทรศัพท์ของใครบางคนแล้วซ่อนตัวอยู่ใต้เตียงเพื่อฟังการโทร หรือการเปรียบเทียบบางอย่างดังกล่าว ใครสน.
กล่าวอีกนัยหนึ่ง ปัญหาด้านความปลอดภัยนี้จะไม่เป็นปัญหาเลย มันต้องการการโต้ตอบอย่างกระตือรือร้นและตั้งใจจากผู้ใช้ที่ต้องการทำลายระบบของพวกเขา สำหรับเรื่องนั้น คุณสามารถทำให้เครื่องของคุณติดมัลแวร์ใดๆ ก็ได้ คุณรู้ไหมว่ามีอะไรอีกบ้างที่มีเนมสเปซเดียว? เคอร์เนลของคุณ
กระดานข่าว Microsoft MS16-039
นี่เป็นเรื่องที่น่าสนใจ ผลลัพธ์ 20 อันดับแรกสำหรับรายการนี้ล้วนมีสิ่งหนึ่งที่เหมือนกัน นั่นคือการคัดลอกแบบคำต่อคำของคำแนะนำจริง โดยไม่ได้ให้ความคิดดั้งเดิมหรือความคิดเห็นที่มีค่าเลยแม้แต่คำเดียว ถ้านั่นคืองานสื่อสารมวลชน ฉันคือเชกสเปียร์
จากยี่สิบเว็บไซต์เหล่านี้ มีเพียงแหล่งเดียวเท่านั้นที่กล่าวถึง EMET ซึ่งเป็นเฟรมเวิร์กการบรรเทาผลกระทบที่สำคัญและมีประโยชน์อย่างยิ่งที่พัฒนาโดย Microsoft ซึ่งให้การป้องกันที่ดีเยี่ยมต่อการถูกโจมตี แต่เดี๋ยวก่อน นั่นยังน่าทึ่งไม่พอ! และมีเพียงบล็อกความปลอดภัยอีกบล็อกหนึ่งเท่านั้นที่พยายามอธิบายปัญหาและวิธีที่ปัญหาอาจเกิดขึ้น
เห็นได้ชัดว่ามีสี่ช่องโหว่ที่แยกจากกัน โดยสามช่องโหว่นั้นเป็นช่องโหว่เฉพาะที่ น่าเบื่อ เว้นแต่คุณจะเป็นองค์กรที่มีผู้คนมากมายทำงานในองค์กร ปัญหาหนึ่งอาจเป็นปัญหาการดำเนินการจากระยะไกลหากผู้ใช้เปิดเอกสารที่สร้างขึ้นเป็นพิเศษ โปรดใช้ไฟฟ้าช็อตตัวเอง หรือไปที่หน้าที่มีแบบอักษรที่เป็นอันตรายฝังอยู่
การอัปเดตความปลอดภัยนี้แก้ไขช่องโหว่ใน Microsoft Windows, Microsoft .NET Framework, Microsoft Office, Skype for Business และ Microsoft Lync ช่องโหว่ที่รุนแรงที่สุดอาจทำให้สามารถเรียกใช้โค้ดจากระยะไกลได้หากผู้ใช้เปิดเอกสารที่สร้างขึ้นเป็นพิเศษหรือเยี่ยมชมหน้าเว็บที่มีแบบอักษรฝังตัวที่สร้างขึ้นเป็นพิเศษ
ณ จุดนี้ ฉันจะถามว่า เอาล่ะ คุณเขียนปัญหาลงไปแล้ว ตกลง อะไรต่อไป การเอารัดเอาเปรียบทำงานอย่างไร ผู้ใช้จริงจะป้องกันตนเองจากสิ่งนี้ได้อย่างไร?
ไม่มีอะไร. ความเงียบ. เพราะคนที่บ่นและเขียนละครเรื่องนี้ทั้งหมดไม่ได้ต้องการช่วยอย่างแท้จริง พวกเขาเพียงต้องการดึงดูดความสนใจและเก็บเกี่ยวผลกำไรจากความกลัวและการโฆษณาชวนเชื่อ และมักไม่มีความเชี่ยวชาญทางเทคนิคที่จำเป็นในการช่วยเหลือจริงๆ ซึ่งทำให้พวกเขาไร้ประโยชน์
การวิเคราะห์ที่เหมาะสม
มาดูกันว่าให้อะไรบ้าง ขั้นแรก คุณสามารถติดตั้งการอัปเดตความปลอดภัยที่ Microsoft จัดเตรียมไว้ให้ได้ ไม่มีเรื่องใหญ่ ซึ่งหมายความว่าไม่มีคำแนะนำใดรับประกันการกล่าวถึงเป็นพิเศษจริงๆ แต่ถ้าคุณต้องการเรียนรู้ด้านเทคนิค Microsoft มีข้อมูลที่เป็นประโยชน์มากมายเกี่ยวกับหัวข้อนี้ ซึ่งแตกต่างจากบล็อกที่เขียนเกี่ยวกับเรื่องนี้
ช่องโหว่สามในสี่รายการอยู่ภายใต้หมวดหมู่ของ:ช่องโหว่ Win32k Elevation of Privilege หลายรายการ ซึ่งระบุโดยคำแนะนำ CVE-2016-143, -165 และ -167 พวกเขาทั้งหมดเป็นคนในท้องถิ่น และสองคนนี้มีการแสวงหาประโยชน์อย่างแข็งขัน ไม่น่าสนใจสำหรับผู้ใช้ตามบ้านส่วนใหญ่
รายการที่สี่ - ช่องโหว่ความเสียหายของหน่วยความจำกราฟิก CVE-2016-0145 เป็นเรื่องเกี่ยวกับฟอนต์แบบฝัง ขณะนี้ยังไม่ได้เปิดเผยต่อสาธารณะหรือนำไปใช้ประโยชน์ อย่างไรก็ตาม สิ่งนั้นไม่ควรปลอบใจหรือทำให้คุณกังวล เพราะมันเป็นเรื่องของการศึกษา เราไม่ต้องการกังวลเกี่ยวกับสิ่งที่ได้รับการแก้ไขในวันนี้ เราต้องการที่จะสามารถจัดการกับช่องโหว่ที่อาจเกิดขึ้นทั้งหมดในอนาคตที่มีลักษณะคล้ายกันได้ ไม่ว่าจะมีช่วงเวลาที่น่าสนใจหรือไม่ก็ตาม
ซึ่งหมายความว่าเราต้องมุ่งเน้นไปที่ฟอนต์แบบฝัง นี่คือที่มาของปัญหา หากมีฟอนต์ฝังตัวที่เป็นอันตรายอยู่บนเว็บเพจ และผู้ใช้เข้าชมเพจนั้น ไลบรารีฟอนต์ของระบบอาจทำงานผิดปกติและอนุญาตให้ใช้โค้ดตามอำเภอใจ
กล่าวอีกนัยหนึ่ง เราต้องการหยุดฟอนต์แบบฝังและ/หรือหยุดเบราว์เซอร์ไม่ให้เรียกใช้ไลบรารีฟอนต์ในลักษณะที่ผิดกฎหมาย เวกเตอร์อย่างใดอย่างหนึ่งหรือทั้งสองอย่าง หากหยุดทำงาน จะสามารถป้องกันการถูกโจมตีได้
ประการแรกสามารถแก้ไขได้โดยการไม่อนุญาตให้ใช้แบบอักษรฝังตัว โดยทั่วไป ฟอนต์แบบฝังจะแสดงโดยใช้กฎ @font-face CSS กล่าวอีกนัยหนึ่ง หากคุณป้องกันไม่ให้แยกวิเคราะห์กฎ CSS เฉพาะนี้เมื่อโหลดหน้าเว็บ แบบอักษรที่ฝังไว้จะไม่ถูกโหลด และการใช้ประโยชน์ที่อาจเกิดขึ้นจะไม่ทำงาน
ตอนนี้จำ Noscript และวิธีการที่มันถูกใส่ร้ายก่อนหน้านี้?
Noscript บล็อก @font-face ในหน้าที่ไม่น่าเชื่อถือจริงๆ!
ดังนั้น ในความเป็นจริงแล้ว ไม่เพียงแต่ Noscript เท่านั้นที่ไม่ทำให้ผู้คนนับล้านตกอยู่ในความเสี่ยง แต่ยังช่วยให้คนนับล้านไม่ต้องเผชิญกับปัญหาที่อาจเกิดขึ้นกับฟอนต์แบบฝัง มันแสดงให้เห็นว่ามีโฆษณาและละครมากเพียงใดโดยไม่มีเหตุผลที่แท้จริง แต่เราเพิ่งเริ่มต้นเท่านั้น
เวกเตอร์ที่สองคือเบราว์เซอร์ที่คลั่งไคล้โดยการเรียกใช้ไลบรารีแบบอักษรในลักษณะที่ผิดกฎหมาย นี่คือสิ่งที่ Enhanced Mitigation Experience Toolkit มีไว้สำหรับ เป็นเครื่องมือรักษาความปลอดภัยที่ดีมาก ไม่มีรอยเท้า ไม่มีเรื่องไร้สาระ ไม่แยกความแตกต่างระหว่างแอปพลิเคชันที่ดีและไม่ดี มันหยุดคำสั่งที่ผิดกฎหมายทั้งหมดที่สามารถตรวจจับได้ในโปรแกรมที่ทำงานภายใต้ปีกของมัน
จากนั้น คำถามที่นำไปใช้ได้จริงและมีประโยชน์ก็คือ - มีใครทดสอบการใช้ฟอนต์แบบฝังตัวภายใต้ EMET โดยใช้เบราว์เซอร์ตัวใดตัวหนึ่งหรือไม่ หรืออาจจะเป็นเครื่องมือสำนักงานหรือ Skype หรือเหมือนกัน? มีใครลองใช้เทคนิคแบบอักษรแบบฝังตัวที่จะเรียกใช้คำสั่งที่ผิดกฎหมายหรือไม่?
เมื่อพูดถึงการบรรเทาผลกระทบ Microsoft มีเพจทั้งหมดเกี่ยวกับการบล็อกฟอนต์ที่ไม่น่าเชื่อถือ! ซึ่งจะอธิบายถึงวิธีการเพิ่มตัวเลือกการบรรเทา ซึ่งป้องกันไม่ให้ GDI โหลดฟอนต์ใดๆ นอกไดเร็กทอรี %windir%/Fonts นี่คือสิ่งที่คุณต้องการในกรณีนี้ และนั่นหมายความว่าการหาประโยชน์ในลักษณะนี้จะไม่ก่อให้เกิดปัญหาใดๆ เอาล่ะ บทความเกี่ยวกับความรู้สึกทั้งหมดนั้นเป็นเพียงเรื่องไร้สาระ
บทความนี้ใช้กับ Windows 10 และยังกล่าวถึง EMET 5.5 ซึ่งช่วยเสริมความสามารถนี้ได้เป็นอย่างดี ฉันไม่รู้ว่าผู้ใช้ Windows 7 และ Windows 8.1 จะได้รับประโยชน์จากการรักษาความปลอดภัยในระดับเดียวกันหรือไม่ แต่พวกเขาก็จะไม่แย่ไปกว่านี้อย่างแน่นอน
บล็อกฟอนต์ที่ไม่น่าเชื่อถือ
อย่างไรก็ตาม ต่อไปนี้คือวิธีที่คุณสามารถบล็อกแบบอักษรที่ไม่น่าเชื่อถือ เรียกใช้ regedit.exe จากนั้นไปที่:
HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Kernel\
ภายใต้กลุ่มนี้ ให้มองหาคีย์ MitigationOptions หากไม่มีอยู่ ให้สร้างค่า QWORD (64 บิต) และเปลี่ยนชื่อตามนั้น บทความนี้ใช้สถาปัตยกรรม 64 บิต ดังนั้นฉันเชื่อว่าคุณต้องการค่า DWORD (32 บิต) บนระบบ 32 บิต กำหนดค่าที่เหมาะสม หากต้องการบล็อกฟอนต์ที่ไม่น่าเชื่อถือ คุณต้องใช้ตัวเลขแบบยาว - 1000000000000 เพิ่มค่านี้ในค่าลดค่าอื่นๆ ที่คุณอาจมีอยู่แล้ว ตัวเลขนี้เป็นตัวกรองจริง
และนั่นคือเด็ก ๆ วิธีการสร้างทารก!
สิ่งอื่นๆ
มีการแกล้งทำเป็นตกใจมากกว่าปกติ แฟลช. น่าเบื่อ. สิ่งไร้สาระอื่น ๆ อีกครั้งโดยไม่มีเหตุผลที่สมเหตุสมผลว่าคุณจะป้องกันตัวเองได้อย่างไร เหมือนกับว่าเดือนนี้รถบรรทุกอาจชนคุณ ได้ แต่ถ้าคุณไม่ยืนอยู่กลางถนน คุณจะลดโอกาสที่จะเกิดขึ้นลงได้อย่างมาก ไม่มีใครรบกวนรู้หรือต้องการพูดถึงวิธีแก้ปัญหา การค้นหายอดนิยมเพียง 1 จาก 20 รายการได้ให้ความช่วยเหลือจริงแก่ผู้ใช้ และถึงอย่างนั้น EMET และวิธีการทำงานก็ไม่มีข้อมูลมากนัก
ทำไมโฆษณาเยอะขนาดนี้ อธิษฐานสิ?
เดโดยิเมโด ทำไมคนพวกนี้ถึงไม่ช่วยล่ะ? ทำไมพวกเขาถึงตื่นเต้นกับความปลอดภัยมากขนาดนี้? คำถามที่ดีทั้งหมด มีหลายคำตอบสำหรับเรื่องนี้ อย่างแรกและชัดเจนคือไม่มีใครรวยด้วยการขายยูนิคอร์นและสายรุ้ง คนรักละคร. ประการที่สอง เนื่องจากขาดเนื้อหาที่ดีและมีสาระมากขึ้น การเรียบเรียงกระดานข่าวความปลอดภัยให้ดีพอๆ กับการทำขนมปังที่ทำจากทองคำบริสุทธิ์ แต่ที่สำคัญที่สุด ...
รับราชการทหาร
บล็อกเกอร์ด้านความปลอดภัยส่วนใหญ่ในโลกตะวันตก เช่น แคลิฟอร์เนีย ไม่เคยมีความสุขในการรับราชการทหารแต่อย่างใด ฉันขอแนะนำอย่างยิ่ง เพิ่มผมที่หน้าอกของคุณและมัสตาร์ดกับหัวไชเท้าของคุณ สร้างลักษณะนิสัย บังคับให้คุณเข้าสังคม คุณเรียนรู้ระเบียบวินัย แต่ยังให้มุมมองชีวิตที่แตกต่างจากที่คุณเคยฟัง Spotify ตามปกติในขณะที่คุณเซกเวย์ไปยังร้านกาแฟ bio-meta-milk ที่ใกล้ที่สุด
ดังนั้น หากชีวิตของคุณไม่ได้สัมผัสกับด้านที่เปราะบางของการดำรงอยู่ของมนุษย์ เช่น ความยากจน ความอดอยาก โรคภัยไข้เจ็บ การเป็นทาส การค้ามนุษย์ การจลาจลและการปฏิวัติ สงคราม และความสุขอื่นๆ ของโลกนี้ ไปที่ QWERTY หรือ DVORAK ปัญหาด้านความปลอดภัยที่ตรวจพบในระบบปฏิบัติการกลายเป็นสิ่งที่น่าตื่นเต้นในทันที
บล็อกเกอร์กำลังเข้าสู่คำแนะนำด้านความปลอดภัยครั้งต่อไป
เพื่อความเฉลียวฉลาด หากคุณถลำลึกเข้าไปในความคิดของฮอลลีวูดบล็อกบัสเตอร์มากเกินไป ซึ่งการระเบิดเป็นสีส้มและการแฮ็กเกิดขึ้นบนหน้าต่างเทอร์มินัลสีเขียวและสีดำที่ไม่สบาย คุณอาจสูญเสียการยึดเกาะความเป็นจริงและคิดในทันทีว่าช่องโหว่แบบอักษรธรรมดาๆ มีความสำคัญไม่น้อยไปกว่าโรคซาร์สและอีโบลารวมกัน และการเขียนบล็อกเกี่ยวกับเรื่องนี้ คุณก็แทบจะแย่พอๆ กับกองทหารของกองทหารฝรั่งเศสที่เพิ่งยกพลขึ้นบกบนชายฝั่งจิบูตี
สรุป
นี่คือเดือนเมษายนโดยย่อ ไม่มีอะไรใหม่. ไม่มีอะไรน่าตื่นเต้น ไม่มีค่าอะไรเลย ในทางตรงกันข้าม เรื่องไร้สาระที่สร้างความเสียหายมากมายที่ออกแบบมาเพื่อกระตุ้นให้เกิดดราม่าและความตกใจ ทำให้คุณติดหน้าจอและอ่านหนังสือ ทำให้คุณตกใจโดยไม่ได้สอนวิธีป้องกันตัว Noscript, EMET เฮ้แล้วการสำรองข้อมูลล่ะ ไม่มีอะไร.
คุณรู้อยู่แล้วว่าฉันรู้สึกอย่างไรเกี่ยวกับความปลอดภัยของซอฟต์แวร์ มันเกินจริงไปโดยสิ้นเชิง และผู้คนเขียนบล็อกเกี่ยวกับเรื่องนี้โดยไม่ได้ให้ความรู้แก่ผู้ใช้จริง ๆ ก็ไม่ได้ดีไปกว่าศัตรูที่พวกเขากำลังพูดถึง หากคุณไม่มีอะไรจะเป็นประโยชน์ คุณไม่ควรเขียนอะไรตั้งแต่แรก ทุกคนสามารถอ่านกระดานข่าวของ Microsoft ได้ พวกเขาไม่ต้องการให้คุณทำซ้ำข้อมูลเดิม หรือเผยแพร่ FUD และโฆษณาชวนเชื่อโดยไม่รู้ว่าสิ่งพื้นฐานทำงานอย่างไร เช่น ส่วนขยายของ Firefox แต่เดี๋ยวก่อน นั่นคือโลกที่เราอาศัยอยู่ สิ่งที่สำคัญจริงๆ คือ เว็บไซต์ทั้งหมดเป็นมิตรกับมือถือ ดังนั้นพวกเขาจึงมีอันดับที่ดี ใช่ไหม ข้อมูลที่มีค่าหลังจากทั้งหมด
หมายเหตุ:รูปเก่าทั้งหมดเป็นสาธารณสมบัติ
ไชโย
