4661409838_919824b9fa_b
Sicurezza

Shellshock: i motivi per preoccuparsi

Chi usa programmi su Linux e Mac OS X si scopre più fragile. Ecco perché e cosa c’entra la NSA nell'ennesimo bug di sicurezza del 2014

Due pericoli del genere, nello stesso anno, internet non li aveva mai visti. Dopo Heartbleed, che ha causato il panico tra i navigatori all’inizio di aprile, ora tocca ad uno shock forse ancora più grande, uno “Shellshock” appunto. Cerchiamo di capirci qualcosa: la parola shell fa riferimento alla falla di sicurezza che male intenzionati potrebbero sfruttare per causare vari tipi di danni a semplici utenti e navigatori dell’oceano iperconnesso. Per shell si intende, in maniera forse un po’ grossolana ma chiara, il “guscio” che è visibile a chi utilizza un computer o un sistema informatico, la parte esterna di un software.

La shell si può identificare con l’interfaccia di un programma, che sia quello per scrivere i testi, ascoltare musica o anche un videogame. Ogni programma ha la sua shell, anzi ne ha diverse, che servono da ponte tra i comandi impartiti dagli utenti e la risposta che restituisce il software stesso. Detta così è già semplice capire come se ci fosse un problema che riguardasse “le shell” in generale, interesserebbe qualsiasi computer connesso ad internet.

Per fortuna non è così perché non tutti i programmi utilizzano lo stesso codice e la stessa struttura, quindi non tutte le shell sono uguali. Quello che i ricercatori di sicurezza della Red Hat hanno scoperto è che esiste un problema che interessa un particolare gruppo (“set”) di shell, utilizzato da chi sviluppa software per Linux e Mac OS X. Si tratta della shell Bash, rilasciata per la prima volta nel 1989, e che al giorno d’oggi sarebbe quasi impossibile identificare con un solo programma, vista la vastità della sua adozione. Sia sviluppatori indipendenti che grandi aziende fanno uso di questa shell, che è quindi presente un po’ ovunque, anche nei software pre-installati su Linux e Mac OS X (anche se Apple ha rilasciato un comunicato, in realtà non molto convincente).

Il campo si restringe: da un problema che poteva interessare le shell in generale (decisamente impossibile) siamo passati ad un bug presente solo su Bash, shell usata prevalentemente (ma non solo) per la creazione di programmi e interfacce per i due sistemi operativi concorrenti di Windows: giusto qualche centinaia di migliaia di persone.

Molti sono concordi con l’affermare che il grattacapo maggiore sarebbe per chi ha dei server Linux senza firewall, ovvero chi ospita siti web senza un'adeguata protezione. All’interno di un’azienda, grande o piccola che sia, il firewall è lo strumento che usa il sistemista per consentire ad un’identità di entrare nel sistema informatico e svolgere il suo lavoro. Anche se una persona non autorizzata riuscisse a violare gli accessi, il sistemista lo vedrebbe nella rete e attiverebbe tutte le misure di sicurezza necessarie.

L’assenza del fattore firewall è molto rischiosa. Le conseguenze sono molteplici come ci spiega Gastone Nencini, Italy Country Leader e Senior Technical Manager South Europe di Trend Micro: “Senza difesa un attaccante può letteralmente azionare qualsiasi comando su un computer che usa la shell bash. Questo  vuol dire poter modificare qualsiasi contenuto presente sui server, accedere alle informazioni personali conservati sui siti web violabili (nomi utente, password, dati anagrafici), installare “backdoor” (vie di ingresso nei computer di chi visita quel particolare sito) e tanto altro”.

Ma il dubbio maggiore lo solleva Richard Stallman, principale esponente del movimento del software libero e fondatore del progetto GNU: “Ogni programma può avere dei bug è vero, ma il fatto che un problema del genere si presenti su software proprietari, ovvero sviluppati dalle grandi aziende, mette tutto sotto una luce diversa. È come trovarsi davanti ad una falla intenzionale”.  

Ed ecco che si riaffaccia sul mondo tecnologico il fantasma della NSA. Vuoi vedere che quei furbacchioni di federali sono riusciti a strappare qualche accordo a chi produce software per Linux e Mac OS X per ottenere un accesso privilegiato ai computer di probabili bersagli? Pensar male non è mai bello, ma spesso ci si azzecca ed è proprio Heartbleed ad averlo insegnato.

© Riproduzione Riservata

Commenti