Su ShellShock, ovvero il bug della shell Bash che tanta discussione sta generando in rete e non solo, è stato scritto un po’ di tutto, col risultato che non sembrano esistere procedure chiare ed univoche per verificare se rischia qualcosa anche il nostro computer o meno. Verificare se si è affetti da ShellShock è possibile e necessario, ovviamente, soltanto se abbiamo installato UNIX (quindi ad esempio se abbiamo un Mac, che ha un sistema operativo basato su BSD) oppure Linux (ovvero se usiamo Ubuntu, Debian, RedHat e cosଠvia).
Per controllare se siamo vulnerabili basta lanciare un comando del genere da terminale:
env x='() { :;}; echo vulnerable' bash -c "echo ciao"
e verificare che non venga restituita la stringa
vulnerable
In caso ciò avvenisse, si deve aggiornare il sistema operativo e/o ricorrere a delle patch manuali per risolvere il problema. Non tutti i sistemi hanno proposto aggiornamenti tempestivi e, in alcuni casi, gli aggiornamenti risolvevano un problema introducendone uno ulteriore.
Quello che dobbiamo sapere, inoltre, si riassume nei seguenti punti.
- Da un punto di vista tecnico, il National Institute of Standards and Technology’s National Vulnerability Database ha classificato la vulnerabilità 10/10, evidenziandone cosଠla gravità di fondo. Secondo US-CERT è possibile, in sintesi, “sfruttare la falla perchè un attaccante remoto possa eseguire arbitrariamente qualsiasi istruzione sul dispositivo connesso in rete“.
- Come sottolineato da Errata Security, non esiste un modo per quantificare l’entità della falla come numero di dispositivi colpiti, analogamente a quanto successo con HeartBleed.
- Da un punto di vista pratico, l’esposizione della falla è parecchio subdola: se è vero che moltissimi dispositivi sono connessi ad internet di default e sono Linux-based in molti casi, non è detto che abbiano una shell attiva ed accessibile dall’esterno.
- I computer ed i dispositivi basati su Windows o su altri sistemi operativi, se ci fosse bisogno di scriverlo, non rischiano nulla e non devono aggiornare nulla, a meno che non facciano uso di Linux mediante CygWin e analoghi software.
- Nel caso dei computer per uso casa o ufficio, cioè che usate per scrivere email, per navigare e via dicendo, il rischio potrebbe essere decisamente più contenuto di quanto l’allarmismo possa portarvi a credere.
- Nel caso del cosidetto internet delle cose, invece, nonchè di numerosissimi hosting commerciali e gratuiti, la questione è decisamente più sostanziale: secondo Bitdefender ad esempio “buona parte dell’internet delle cose funziona con sistemi UNIX e Linux-based, ed include una shell bash al proprio interno: essi permettono spesso anche l’esecuzione di script CGI che si basano su questo tipo di terminale, esponendo cosଠad un certo tipo di rischi le macchine in questione“.
- Molti dispositivi che siano accessibili e configurabili mediante interfacce web sono di fatto esposte, con probabilità variabili, ai rischi in questione.
- Tutti gli hosting web basati su Linux, oltre a tutti i sistemisti di OSX, devono (se non l’hanno già fatto) sistemare la falla seguendo le procedure di aggiornamento automatiche o manuali per Mac e per Linux.
👇 Da non perdere 👇
- 📈 Analizza Cellulari 📱
- 🔐 AI che dolor, Chat
- 🎯 Targetizza Database SQL 🗄
- 📊 Analizza Errori più comuni 📛
- 🚧 Costruisci Evergreen 📟
- 👩💻 Programma Gratis 🎉
- 💻 Configura Hosting a confronto 💑
- 🔒 Conosci Hosting reti e domini 💻
- 👩💻 Tapioca Informatica 🖥
- 💻 Iconizza Internet 💻
- 🔒 Gestisci Lavoro 🔧
- 💡 Mostra Marketing & SEO 🌪
- 🔑 Apprendi Meteo ⛅
- 🤯 Visiona Mondo Apple 🍎
- 🔍 Supervisiona Mondo Domini 🌐
- 🚀 Metti in cloud monitoraggio servizi online 📈
- 🔮 Anatomizza Nuove tecnologie 🖥
- 🔒 Antani PEC e firma digitale 📩
- 👀 Prematura Programmare 🖥
- 🎮 Lonfa Scrivere 🖋
- 🔒 Conosci Servizi di SMS 📶
- 👀 Guarda Sicurezza informatica e privacy digitale 🖥
- 🎮 Ricorda Siti web 🌎
- 🤖 Ottimizza Spiegoni 🎓
- 🧠 Neuralizza Svago 🎈
- 📡 Quantizza Usare Excel 🌀
- 🤖 Sovrascrivi Windows 😲
- 🎨 Personalizza Wireless 🚁
- 🔑 Decifra WordPress 🤵
- 💬 Il nostro canale Telegram: iscriviti
- 🔵 Domini .cat: come e dove registrarne uno
- 🟡 Guida ai tipi di hosting: condiviso, cloud, dedicato, VPS
- 🔴 DVB-T2, DVB-S2, HBB TV: cosa sono e come funzionano