Bug pericolosi: è allarme Shellshock

Ricordate il bug Hearthbleed, che aveva messo in subbuglio mezzo mondo? Preparatevi, perché quello scoperto dall’esperto di sicurezza Stephane Chazelas rischia di fare anche di peggio. Parliamo di un bug, un errore di programmazione che origina una vulnerabilità, cioè una piccola porzione di un software che può essere utilizzata dai criminali informatici.

I criminali scandagliano in continuazione i software alla ricerca di vulnerabilità, e, quando ne trovano una, cercano il modo di sfruttarla per accedere o sabotare il computer dove è presente. Non importa se è presente un qualche software di sicurezza: le vulnerabilità più gravi consentono di scavalcare qualsiasi protezione.

La pericolosità di un bug dipende da quanto è grosso l’errore, ovviamente, ma anche da quanto è diffuso il software difettoso, ed è per questo che Shellshock, questo il nome del nuovo bug, spaventa così tanto le società di sicurezza informatica. Il bug, infatti, è presente in Bash, una delle più note shell di Unix.

La shell è quella porzione del sistema operativo Unix che si prende cura di ricevere i comandi degli utenti e trasformarli in istruzioni per i dispositivi che lo utilizzano. Rilasciato per la prima volta nel lontano 1989, per il sistema operativo GNU, Bash, nelle sue varianti, era così efficiente da essersi diffuso poi su Linux, Mac OS X, Android, Windows e altri sistemi operativi.

Provate ad immaginare quanti utenti utilizzano, nel mondo, questi software. E poi a quanti web-server, cioè i computer nei quali sono memorizzati i siti che navighiamo ogni giorno, li utilizzano. Trend Micro, azienda di software di sicurezza, lo ha stimato in 500 milioni.

Ora pensate a quel che potrebbe succedere se si scoprisse che all’interno di ciascuno di questi dispositivi fosse presente una grossa vulnerabilità. È esattamente quel che è capitato con Shellshock. Con “grossa vulnerabilità” si intende la possibilità di eseguire dei comandi malevoli, a distanza, in ogni dispositivo dove è presente Bash.

Cosa consentono di fare questi comandi? Le possibilità sono innumerevoli e, una delle più temute è, ovviamente, entrare nel computer della vittima, accedendo ai suoi dati.

Al momento, le patch, cioè i piccoli software di correzione del bug, risolvono il problema solo parzialmente. Gli esperti di sicurezza consigliano generici “aggiornamenti” per gli utenti finali, ma è chiaro che il grosso del lavoro devono farlo programmatori e sistemisti che gestiscono i web-server potenzialmente colpiti dal bug. Shellshock è un bug presente in qualsiasi versione di Bash e il lavoro di correzione non sarà facile.