Trovata una falla nei sistemi che fanno uso di Bash, la shell di comando più diffusa in ambiente Unix e Linux: a rischio anche il sistema operativo OS X di Apple e molti dispositivi connessi, come router, NAS o telecamere IP. Per i computer desktop il pericolo c’è, ma è basso. E per una volta Windows è al sicuro

E’ già stato rinominato Shellshock bug, con un gioco di parole che richiama il trauma da bombardamento dei soldati durante la Prima Guerra Mondiale o, a scelta, l'omonima serie di videogiochi di guerra. La portata distruttiva del bug della shell Bash su server e macchine connesse e vulnerabili, del resto, potrebbe essere l'equivalente informatico di un raid aereo su vasta scala: milioni di dispositivi su cui girano sistemi basati su UNIX sono potenzialmente a rischio.
Peggio di Heartbleed
La falla scoperta dai ricercatori di Red Hat , casa di sviluppo di una delle più famose distribuzioni di Linux, riguarda la Bourne Again Shell (nota come Bash), storica interfaccia di comando testuale utilizzata da Linux e OS X. Il bug nasce dalle modalità di processamento delle cosiddette variabili d'ambiente da parte della shell e permette a chi conduce un attacco di eseguire codice potenzialmente malevolo all'interno della riga di comando del sistema attaccato, al fine di ottenere un accesso privilegiato o di rubare informazioni private.
Gli addetti ai lavori non hanno dubbi: Shellshock è un bug peggiore di Heartbleed, la grave vulnerabilità della diffusa libreria crittografica OpenSSL scoperta nella primavera dello scorso anno. Il motivo è che, a differenza di OpenSSL, la shell Bash interagisce con altri software in maniera non sempre prevedibile e moltissimi software fanno uso della shell per impartire comandi al sistema. "Per questo motivo," scrive l'esperto di sicurezza Robert Graham sul suo blog , "non saremo mai davvero in grado di catalogare tutto il software vulnerabile al bug di Bash".
La natura del bug e il fatto che sia diffuso anche su versioni molto vecchie di Bash lo rendono inoltre particolarmente adatto allo sviluppo e alla diffusione di un worm, vale a dire un malware che può sfruttare la shell per auto-replicarsi e infettare in automatico altre macchine vulnerabili.
Quali sistemi sono a rischio
Il pericolo reale e imminente riguarda soprattutto i server Linux e le versioni server di OS X. Sistemisti e tecnici che gestiscono le macchine di network più o meno grandi devono agire velocemente per assicurarsi che la falla non sia presente sui propri server o, in caso contrario, procedere a chiuderla tramite l'installazione di una più recente versione della shell Bash.
Nel caso dei router, dei sistemi di archiviazione di rete (NAS), delle telecamere IP o di altri dispositivi sempre connessi che utilizzino Bash, il problema si complica. Il bug è saltato fuori solo adesso ma è presente su versioni molto vecchie della shell. Per i dispositivi più recenti i produttori forniranno probabilmente un aggiornamento del firmware che chiuderà la falla, mentre dispositivi più datati ma ancora funzionanti, comunque vulnerabili, difficilmente riceveranno un aggiornamento perché fuori produzione e privi di supporto tecnico.
Per i PC Linux e i Mac dell'utente medio il rischio reale di un attacco rimane basso, soprattutto se sul computer non sono attivi server web raggiungibili pubblicamente o altri servizi avanzati che si interfacciano con il mondo esterno.
L'unico modo per mettere al sicuro in maniera definitiva il proprio Mac o il proprio PC Linux, però, è installare un aggiornamento della shell o del sistema operativo che provveda a chiudere la falla, non ancora disponibile nel momento in cui scriviamo.
A meno di operazioni avanzate di aggiornamento di Bash condotte in autonomia dall’utente, i Mac su cui gira la versione più aggiornata di OS X Mavericks, la 10.9.5, risultano vulnerabili. Apple non ha ancora risposto ad una richiesta di commento sulle tempistiche per la distribuzione di un aggiornamento di sicurezza.
Gli utenti di OS X più esperti possono verificare personalmente la vulnerabilità del proprio sistema seguendo quanto spiegato in questa discussione su StackExchange (in inglese), dove si forniscono ulteriori indicazioni sull'aggiornamento di Bash.
Attenzione: l'argomento non è adatto a tutti. Chi non abbia buona familiarità con la riga di comando (il "Terminale") e i tecnicismi del proprio sistema operativo farà meglio ad attendere l'aggiornamento ufficiale, da installare non appena disponibile.
Anche gli utenti con PC Linux possono fare lo stesso, utilizzando il medesimo comando testuale suggerito nella discussione su Stack Exchange ed eventualmente installando una versione aggiornata della shell Bash.

Lastampa