Su ShellShock, ovvero il bug della shell Bash che tanta discussione sta generando in rete e non solo, è stato scritto un po’ di tutto, col risultato che non sembrano esistere procedure chiare ed univoche per verificare se rischia qualcosa anche il nostro computer o meno. Verificare se si è affetti da ShellShock è possibile e necessario, ovviamente, soltanto se abbiamo installato UNIX (quindi ad esempio se abbiamo un Mac, che ha un sistema operativo basato su BSD) oppure Linux (ovvero se usiamo Ubuntu, Debian, RedHat e cosଠvia).
Per controllare se siamo vulnerabili basta lanciare un comando del genere da terminale:
env x='() { :;}; echo vulnerable' bash -c "echo ciao"
e verificare che non venga restituita la stringa
vulnerable
In caso ciò avvenisse, si deve aggiornare il sistema operativo e/o ricorrere a delle patch manuali per risolvere il problema. Non tutti i sistemi hanno proposto aggiornamenti tempestivi e, in alcuni casi, gli aggiornamenti risolvevano un problema introducendone uno ulteriore.
Quello che dobbiamo sapere, inoltre, si riassume nei seguenti punti.
- Da un punto di vista tecnico, il National Institute of Standards and Technology’s National Vulnerability Database ha classificato la vulnerabilità 10/10, evidenziandone cosଠla gravità di fondo. Secondo US-CERT è possibile, in sintesi, “sfruttare la falla perchè un attaccante remoto possa eseguire arbitrariamente qualsiasi istruzione sul dispositivo connesso in rete“.
- Come sottolineato da Errata Security, non esiste un modo per quantificare l’entità della falla come numero di dispositivi colpiti, analogamente a quanto successo con HeartBleed.
- Da un punto di vista pratico, l’esposizione della falla è parecchio subdola: se è vero che moltissimi dispositivi sono connessi ad internet di default e sono Linux-based in molti casi, non è detto che abbiano una shell attiva ed accessibile dall’esterno.
- I computer ed i dispositivi basati su Windows o su altri sistemi operativi, se ci fosse bisogno di scriverlo, non rischiano nulla e non devono aggiornare nulla, a meno che non facciano uso di Linux mediante CygWin e analoghi software.
- Nel caso dei computer per uso casa o ufficio, cioè che usate per scrivere email, per navigare e via dicendo, il rischio potrebbe essere decisamente più contenuto di quanto l’allarmismo possa portarvi a credere.
- Nel caso del cosidetto internet delle cose, invece, nonchè di numerosissimi hosting commerciali e gratuiti, la questione è decisamente più sostanziale: secondo Bitdefender ad esempio “buona parte dell’internet delle cose funziona con sistemi UNIX e Linux-based, ed include una shell bash al proprio interno: essi permettono spesso anche l’esecuzione di script CGI che si basano su questo tipo di terminale, esponendo cosଠad un certo tipo di rischi le macchine in questione“.
- Molti dispositivi che siano accessibili e configurabili mediante interfacce web sono di fatto esposte, con probabilità variabili, ai rischi in questione.
- Tutti gli hosting web basati su Linux, oltre a tutti i sistemisti di OSX, devono (se non l’hanno già fatto) sistemare la falla seguendo le procedure di aggiornamento automatiche o manuali per Mac e per Linux.
Da non perdere 👇👇👇
- 🔒 Conosci meglio privacy e diritti digitali
- 👩💻 Impara a programmare in Python, C++, PHP
- 💻 Configura hosting e domini
- 📊 Tutto sui database
- 🛠️ Approfondisci le nuove tecnologie
- 🎮 Esplora la sezione retrogame
- 👀 Guarda i migliori servizi in offerta
- 🏁 Usa al meglio Excel
- 💬 Il nostro canale Telegram: iscriviti
- 🤯 Configurare l’hosting di un sito senza impazzire: 4 cose da conoscere
- 😳 Domini .CF: come e dove registrarne uno
- 😳 Da hosting condiviso a VPS senza penare: guida pratica