Shellshock, nuovo Bug ancora piu' pericoloso di Heartbleed

 

Pochi mesi dopo la scoperta del bug Heartbleed, una nuova falla di sicurezza conosciuta come il bug Bash minaccia di compromettere tutti gli smart devices, dai principali server alle fotocamere che si connettono ad internet

Scritto da Simone Ziggiotto il 26/09/14 | Pubblicata in Promozioni | Archivio 2014

 

Shellshock, nuovo Bug ancora piu' pericoloso di Heartbleed

Pochi mesi dopo la scoperta del bug Heartbleed, una nuova falla di sicurezza conosciuta come il bug Bash minaccia di compromettere tutti gli smart devices, dai principali server alle fotocamere che si connettono ad internet.

Una nuova vulnerabilità di sicurezza nota come il bug Bash o Shellshock potrebbe portare a serie conseguenze per le principali aziende digitali, i portali di hosting web e anche per i dispositivi connessi ad Internet. La nuova falla di sicurezza trovata consente l'esecuzione di codice dannoso all'interno della shell bash (comunemente accessibile tramite prompt dei comandi su PC o l'applicazione Terminale su Mac) per assumere accesso all'intero sistema operativo e alle informazioni riservate dell'utente.

Un post pubblicato dalla società di software open-source Red Hat ha avvertito che "è comune per un sacco di programmi eseguire shell Bash in background", e il bug è "attivato" quando il codice viene aggiunto all'interno delle righe di codice Bash.

Bash è una shell testuale del progetto GNU usata nei sistemi operativi Unix e Unix-like, specialmente in GNU/Linux, ma disponibile anche per sistemi Microsoft Windows. E' chiamata anche Bourne shell dal nome del suo autore originario Stephen Bourne. Tecnicamente bash è un interprete di comandi che permette all'utente di comunicare col sistema operativo attraverso una serie di funzioni predefinite, o di eseguire programmi. Bash è in grado di eseguire i comandi che le vengono passati, utilizzando la redirezione dell'input e dell'output per eseguire più programmi in cascata in una pipeline software, passando l'output del comando precedente come input del comando successivo.

L'esperto in sicurezza Robert Graham ha avvertito che il bug Bash è più grande del bug Heartbleed perché "il bug interagisce con altri software in modi inaspettati" e perché un "enorme percentuale" di software interagiscono con la shell. "Non saremo mai in grado di catalogare tutto il software disponibile che è vulnerabile al bug Bash", ha detto Graham. ". Mentre i sistemi noti (come server Web) sono patchabili, i sistemi sconosciuti rimangono senza patch. Prendendo come esempio il bug Heartbleed, "sei mesi più tardi, centinaia di migliaia di sistemi rimangono vulnerabili".

Ars Technica riporta che la vulnerabilità potrebbe interessare dispositivi Unix e Linux, così come hardware che eseguono Max OS X. Secondo Ars, un test su Mac OS X (versione 10.9.4 Mavericks) ha mostrato che esso ha "una versione vulnerabile di Bash" .

Graham ha avvertito che il bug Bash è anche particolarmente pericoloso per i dispositivi collegati ad Internet perché il loro software è costruito utilizzando script Bash, che sono "meno probabili di essere patchati, e hanno più probabilità di esporre la vulnerabilità". Allo stesso modo, Graham ha detto che il bug esiste da "molto, molto tempo", il che significa un gran numero di vecchi dispositivi è vulnerabile. "Il numero di sistemi che devono essere patchati, ma che non lo saranno, è molto più grande del caso Heartbleed," ha detto.

Risale all'inizio del mese di aprile la notizia del bug Heartbleed che ha coinvolto due terzi di Internet. E' stato stimato che fino a 500.000 siti web, tra cui quelli di Google, Facebook, Yahoo e molti altri, sono stati 'affetti da Heartbleed'. Il bug è diventato uno dei peggiori problemi di sicurezza del Web nella storia recente. Due anni fa, una modifica è stata fatta in OpenSSL, una tecnologia per la crittografia dei dati progettata per assicurare lo scambio di dati sensibili in sicurezza nel Web, e tale modifica avrebbe aperto le porte agli hacker malintenzionati. Sfruttando il bug, gli hacker possono eludere la crittografia di un sito web e accedere a tutte le informazioni che vogliono, dai nomi utente e password ai cookies di sessione.

Come risolvere il bug. Molte distribuzioni Linux sono già state aggiornate, mentre Apple non ha ancora rilasciato un fix ufficiale, ma ha spiegato come risolvere il problema in attesa della patch.

 

Ultime notizie

 
 

Notizie per Categoria

 
 

Seguici

 

Promozioni Consigliate

 
Vuoi restare aggiornato ?