Shellshock, tanta confusione e tante patch attorno a BASH

Si succedono gli aggiornamenti e gli avvertimenti. Ma non c'è accordo sulla reale portata del problema. In ogni caso, aziende e singoli sviluppatori sono impegnati nel salvare il mondo *nix
Si succedono gli aggiornamenti e gli avvertimenti. Ma non c'è accordo sulla reale portata del problema. In ogni caso, aziende e singoli sviluppatori sono impegnati nel salvare il mondo *nix

Come prevedibile, il “day after” del bug Shellshock è caratterizzato dal susseguirsi di allarmi, annunci di patch che patchano patch già rilasciate in precedenza, rassicurazioni e testimonianze di attacchi telematici in corso. Il caos non risparmia nessuno, e Shellshock è probabilmente destinato a far sentire i propri effetti negli anni a venire. Sullo sfondo, si innesca una polemica su come sia stato possibile che tutto ciò accadesse, nel tentativo (vano) di individuare un responsabile o un capro espiatorio (nessuno tocchi R.M. Stallman ).

Da esperti e sviluppatori arriva prima di tutto una conferma molto poco confortante : Bash ha un bel po’ di problemi a gestire le variabili d’ambiente malformate, e la vulnerabilità classificata come “Shellshock” rappresenta solo la testa di ponte di una più generale insicurezza di non facile risoluzione. I metodi proposti per la chiusura definitiva dei bug Shellshock comportano una probabile rottura della retrocompatibilità con le vecchie versioni di Bash, con i prevedibili disagi del caso per i sistemi che necessiterebbero di essere messi offline per l’aggiornamento e il perdurante rischio posto da server e dispositivi il cui upgrade non è possibile o probabile.

Il fatto che patchare Shellshock sia una pratica difficile non impedisce alle grandi aziende IT di provarci, a ogni modo: tra i grandi nomi coinvolti nella nuova crisi di (in)sicurezza figura Red Hat, impegnata a distribuire nuovi update dopo che i precedenti si erano rivelati insufficienti, e Oracle che prima di distribuire nuovo codice aspetta di concludere l’analisi su una vulnerabilità che coinvolge ben 32 dei suoi prodotti commerciali .

Ed Apple? Da Cupertino arriva la rassicurazione sull’invincibilità di Mac OS X in configurazione di default , mentre solo gli utenti che avessero configurato i “servizi UNIX avanzati” potrebbero avere a che fare con il problema Shellshock. Per loro è comunque in arrivo una patch .

La vulnerabilità di Bash non muove solo gli sviluppatori e le aziende hi-tech, visto che anche i cyber-criminali e i cracker sembrano essersi subito attivati per sfruttare il baco: le società specializzate nei servizi di difesa online hanno cominciato a identificare attacchi diretti a sfruttare Shellshock, con un rapporto tra tentativi distruttivi e non di 1 a 9. Una proporzione sicuramente destinata a cambiare nel prossimo futuro.

Alfonso Maruccia

Link copiato negli appunti

Ti potrebbe interessare

29 09 2014
Link copiato negli appunti