Fatti

Shellshock: cosa può fare al tuo PC il bug che minaccia il web

Qualche giorno fa è stato scoperta l’esistenza di Shellshock, un bug che potrebbe costituire una minaccia alla sicurezza di milioni di computer e di server. Shellshock è un bug, ovvero una vulnerabilità, di Bash, un software di sistema usato da milioni di computer.
 
COS’È BASH E COS’È SHELLSHOCK
Cercando di essere estremamente semplici Bash è un interprete di programmi, ovvero un programma che consente all’utente di comunicare con il sistema operativo, oppure di eseguire programmi che vengono inviati da altri programmi. Bash è stato introdotto negli anni Ottanta (quindi il bug risale a quel periodo) ed è utilizzato nei sistemi operativi Linux e Unix (ma non Windows, anche se può esservi installato). L’errore se ne è stato “nascosto” per tutti questi anni perché annidato all’interno di una caratteristica che viene usata raramente, per questo è stato replicato attraverso i successivi aggiornamenti di Bash negli ultimi 22 anni.

"Porca vacca!" ha twittato l'esperto di sicurezza Kenn White alla notizia della scoperta del bug (fonte: twitter.com)
“Porca vacca!” ha twittato l’esperto di sicurezza Kenn White alla notizia della scoperta del bug (fonte: twitter.com)

PERCHÉ È PERICOLOSO?
Oltre al fatto di essere usto in milioni di computer, e in gran parte dei computer che fanno “funzionare” l’Internet (ad esempio si stima che buona parte dei server Apache utilizzando Linux possano avere una versione di Bash), che già di per sé è un problema di sicurezza non poco indifferente, un eventuale exploit di questo “errore” di Bash potrebbe permettere a chi lo utilizza di far eseguire i propri comandi a quei computer che utilizzano Bash. Quindi, se vengono inseriti dei caratteri particolari (ovvero { :;};) all’interno di una variabile di Bash di seguito a questi può essere inserita un’istruzione da far eseguire al programma. Il che significa che è possibile produrre uno script che utilizza Bash per eseguire un comando che consente, ad esempio: di diffondere un codice dannoso per altre macchine o accedere a dati presenti sul computer in sostanza il bug dà una possibilità in più ad un eventuale malintenzionato di prendere il controllo del computer. Ad esempio grazie a Shellshock potrebbe essere possibile introdurre un codice appositamente creato per essere eseguito su un server in modo tale da poter ottenere l’accesso alle risorse per le quali il server viene utilizzato: dati sensibili, account personali degli utenti e così via.
Metà della Rete utilizza Apache  (fonte: http://news.netcraft.com/)
Metà della Rete utilizza Apache
(fonte: http://news.netcraft.com/)

Obiettivi principali di un eventuale uso malevolo di Bash tramite Shellshock sono i server Web ovvero i computer che sorreggono il traffico Internet. Ed è per arginare la falla che negli ultimi giorni amministratori di sistema e programmatori stanno lavorando per cercare di limitare i danni. Il fatto è che Bash è così diffuso che ci sono letteralmente milioni di sistemi da patchare e aggiornare, e per questo potrebbe volerci del tempo. Mentre infatti i server principali sarebbero stati già aggiornati restano una miriade di sistemi che ancora non lo sono, e più tempo passa maggiori sono le possibilità che qualcuno sfrutti la vulnerabilità aperta da Shellshock per fare seri danni. Oppure Shellshock potrebbe sfruttato per creare un worm, ovvero un programma in grado di replicarsi e diffondersi e di infettare milioni di computer.
 
I RISCHI PER L’UTENTE 
Per l’utente finale invece l’unica cosa da fare al momento è tenere aggiornato il proprio sistema operativo scaricando le eventuali patch rilasciate dalle case produttrici. Bisogna però tenere a mente che Bash è utilizzato anche da alcuni dispositivi ormai di uso comune nelle nostre abitazioni, ad esempio i router, i cui firmware devono essere aggiornati manualmente dall’utente (e chi lo fa? si chiede Troy Hunt). Se si possiede un Mac è bene sapere che OS X sembra attualmente poter essere a rischio, ma Apple ha già rilasciato una guida per poter eseguire un test e probabilmente a breve verrà rilasciato un aggiornamento che applicherà una patch a al bug di Bash, In definitiva quindi per l’utente medio sarà sufficiente attendere gli aggiornamenti, eventualmente verificare sul sito del produttore del proprio router se è stata rilasciata una patch (o su quello del proprio ISP se l’accesso al router è bloccato). E, come al solito, prestare estrema attenzione alle email che chiedono di scaricare ed installare un programma.
 
IL VIDEO