Come verificare se si è affetti da ShellShock

Come verificare se si è affetti da ShellShock

Su ShellShock, ovvero il bug della shell Bash che tanta discussione sta generando in rete e non solo, è stato scritto un po’ di tutto, col risultato che non sembrano esistere procedure chiare ed univoche per verificare se rischia qualcosa anche il nostro computer o meno. Verificare se si è affetti da ShellShock è possibile e necessario, ovviamente, soltanto se abbiamo installato UNIX (quindi ad esempio se abbiamo un Mac, che ha un sistema operativo basato su BSD) oppure Linux (ovvero se usiamo Ubuntu, Debian, RedHat e così via).

Per controllare se siamo vulnerabili basta lanciare un comando del genere da terminale:

env x='() { :;}; echo vulnerable' bash -c "echo ciao"

e verificare che non venga restituita la stringa

vulnerable

In caso ciò avvenisse, si deve aggiornare il sistema operativo e/o ricorrere a delle patch manuali per risolvere il problema. Non tutti i sistemi hanno proposto aggiornamenti tempestivi e, in alcuni casi, gli aggiornamenti risolvevano un problema introducendone uno ulteriore.

Quello che dobbiamo sapere, inoltre, si riassume nei seguenti punti.

  1. Da un punto di vista tecnico, il National Institute of Standards and Technology’s National Vulnerability Database ha classificato la vulnerabilità 10/10, evidenziandone così la gravità di fondo. Secondo US-CERT è possibile, in sintesi, “sfruttare la falla perchè un attaccante remoto possa eseguire arbitrariamente qualsiasi istruzione sul dispositivo connesso in rete“.
  2. Come sottolineato da Errata Security, non esiste un modo per quantificare l’entità della falla come numero di dispositivi colpiti, analogamente a quanto successo con HeartBleed.
  3. Da un punto di vista pratico, l’esposizione della falla è parecchio subdola: se è vero che moltissimi dispositivi sono connessi ad internet di default e sono Linux-based in molti casi, non è detto che abbiano una shell attiva ed accessibile dall’esterno.
  4. I computer ed i dispositivi basati su Windows o su altri sistemi operativi, se ci fosse bisogno di scriverlo, non rischiano nulla e non devono aggiornare nulla, a meno che non facciano uso di Linux mediante CygWin e analoghi software.
  5. Nel caso dei computer per uso casa o ufficio, cioè che usate per scrivere email, per navigare e via dicendo, il rischio potrebbe essere decisamente più contenuto di quanto l’allarmismo possa portarvi a credere.
  6. Nel caso del cosidetto internet delle cose, invece, nonchè di numerosissimi hosting commerciali e gratuiti, la questione è decisamente più sostanziale: secondo Bitdefender ad esempio “buona parte dell’internet delle cose funziona con sistemi UNIX e Linux-based, ed include una shell bash al proprio interno: essi permettono spesso anche l’esecuzione di script CGI che si basano su questo tipo di terminale, esponendo così ad un certo tipo di rischi le macchine in questione“.
  7. Molti dispositivi che siano accessibili e configurabili mediante interfacce web sono di fatto esposte, con probabilità variabili, ai rischi in questione.
  8. Tutti gli hosting web basati su Linux, oltre a tutti i sistemisti di OSX, devono (se non l’hanno già fatto) sistemare la falla seguendo le procedure di aggiornamento automatiche o manuali per Mac e per Linux.
Ti piace questo articolo?

0 voti

Su Trovalost.it puntiamo sulla qualità dei contenuti da quando siamo nati: la tua sincera valutazione può aiutarci a migliorare ogni giorno.

Ti potrebbero interessare (Sicurezza informatica):

Cerca altro nel sito

Clicca sul box, e scegli la sezione per vederne i contenuti.

Come verificare se si è affetti da ShellShock

Su ShellShock, ovvero il bug della shell Bash che tanta …
[ 0 ] 0 utenti hanno votato questa pagina