Dopo quella che sembrava la pi\u00f9 sconvolgente vulerabilit\u00e0 mai esistita (Heartbleed), emerge un nuovo pericoloso bug: Bash, acronimo di Bourne again shell. Nonostante non si sappia ancora quanto sia pericoloso, la notizia ha fatto il giro del mondo; sicuramente molti di voi ne hanno sentito parlare in alcuni media.<\/p>\n
\u00a0Che cos\u2019\u00e8 Bash?<\/strong><\/p>\n Bash \u00e8 un tipo di shell, interfaccia usata da un operatore per inserire comandi da passare al sistema operativo, spesso utilizzata per automatizzare elenchi di comandi da eseguire in sequenza o come operazioni ripetitive (\u201cshell script\u201d).\u00a0La Bash shell (da qui Bourne Again Shell) \u00e8 dunque un linguaggio di script utilizzato per inserire comandi, sviluppato da GNU Projet nel 1989. In poche parole, invia e interpreta comandi. Se ne volete sapere di pi\u00f9 potete informarvi sulla pagina ufficiale di GNU.org<\/a>.<\/p>\n Bash \u00e8 presente nella maggior parte dei sistemi Unix e Linux e, a quanto pare, anche nel sistema OS X di Apple che prende in prestito molti elementi sia da Unix, che da Linux. Oltre a questo, la Bash \u00e8 presente in un numero altissimo di servizi Web, negli elettrodomestici e altri apparecchi per la casa \u2013 includendo i router e i modem, ma non in forma esclusiva -, cos\u00ec come la maggior parte dei dispositivi che si appoggiano ad una network o dei sistemi connessi a Internet.<\/p>\n La vulnerabilit\u00e0 di Bash \u00e8 stata scoperta da Stephane Chazelas, ricercatore Unix e Linux presso l\u2019azienda di sicurezza informatica Akami. Come potete immaginare, la vulnerabilit\u00e0 esiste un bel po\u2019, da circa 20 anni. Come HeartBleed, possiamo solo sperare che Chazelas sia stata la prima persona a trovare il bug, tuttavia non lo sapremo mai con certezza.<\/p>\n In che modo ci potrebbe colpire la vulnerabilit\u00e0 di Bush? <\/strong><\/p>\n Non ci vorr\u00e0 molto tempo prima che appaia il primo exploit in-the-wild capace di sfruttare la vulnerabilit\u00e0 di Bash. Questi exploit permetteranno ad un ipotetico hacker\/criminale di attaccare in remoto un file eseguibile dannoso, stringhe di codici o script che possono essere eseguiti o interpretati quando Bash venga chiamato in causa. In altre parole, dopo aver confezionato un exploit di successo, un attaccante potrebbe ottenere il controllo completo dei sistemi interessati.<\/p>\n Abbiamo chiesto ai nostri amici del Global Research and Analysis Team (GReAT) di Kaspersky Lab se Bash potrebbe considerarsi il nuovo Heartbleed:<\/p>\n \u201cBeh, per un cybercriminale \u00e8 molto pi\u00f9 facile sfruttare Heartbleed. Inoltre, nel caso di Heartbleed, un criminale potrebbe solo rubare dati dalla memoria, sperando di trovare qualcosa di interessate da poter usare. Al contrario con la vulnerabilit\u00e0 di Bash \u00e8 molto pi\u00f9 facile ottenere il controllo completo del sistema. Per questo, Bash sembra molto pi\u00f9 pericolosa\u201d.<\/p>\n I ricercatori di Kaspersky Lab hanno anche immaginato uno scenario in cui Bash potrebbe essere usata per rubare informazioni bancarie e eventualmente soldi. \u00c8 vero che \u00e8 possibile per un cybercriminale sfruttare Bash e rubare le credenziali attraverso il computer, ma la persona in questione dovrebbe trovare un vettore exploit per accedere ai comanti dell\u2019interfaccia di Bash \u2013 e questo non \u00e8 facile. \u00c8 molto pi\u00f9 realistico che un hacker punti a un server usato dal sito della banca online della vittima e cerchi di rubare una manciata di account di online banking.<\/p>\n Che cos\u2019\u00e8 la vulnerabilit\u00e0 di #Bash e come ci pu\u00f2 colpire.<\/p>Tweet<\/a><\/blockquote>\n L\u2019avviso emesso dal United States Computer Emergency Readiness Team<\/a> riassume molto bene la criticit\u00e0 del bug:<\/p>\n \u201cIn base agli standard industriali, la vulnerabilit\u00e0 \u00e8 stata classificata come ad \u201cAlto impatto\u201d, con uno score pari a 10, in base al Common Vulnerability Scoring System<\/em> (CVSS); mentre \u00e8 \u201cBassa\u201d per complessit\u00e0, il che significa che sono necessarie poche abilit\u00e0 per realizzarla. La falla permette a un hacker di ottenere speciali variabili ambientali contenenti comandi arbitrari che possono essere eseguiti sui sistemi vulnerabili. Questo \u00e8 particolarmente pericoloso per via dell\u2019uso prevalente della Bash shell e della sua abilit\u00e0 di essere richiamata da un\u2019applicazione in molti modi diversi\u201d.<\/p>\n Che la vulnerabilit\u00e0 di Bash abbia un alto impatto e che sia facile da sfruttare \u00e8 un\u2019altro grande punto che la differenzia da Heartbleed, che invece ha un grande impatto, ma \u00e8 difficile da sfruttare.<\/p>\n Come ci possiamo proteggere?<\/strong><\/p>\n L\u2019unica cosa che possiamo fare \u00e8 proteggerci, installare gli aggiornamenti specifici in base al vendor non appena escono. Riguardo al sistema operativo del computer\/portatile, bisogner\u00e0 aspettare che le persone che gestiscono questa particolare distribuzione lancino la patch.<\/p>\n Rispetto ai router e ai modem, o ad altri apparecchi per la casa, non verr\u00e0 rilasciata una soluzione valida per tutti. Lo scenario pi\u00f9 probabile \u00e8 che i creatori di tutti questi dispositivi rilasceranno degli aggiornamenti per i firmware, singolarmente e in base alle proprie scadenze. Questi aggiornamenti, nella maggior parte dei casi, non si installeranno come un update tradizionale per OS.<\/p>\n L\u2019aspetto problematico, come sottolineano i ricercatori del GreAT, \u00e8 che la Bash \u00e8 molto versatile e viene usata in un sacco di modi diversi, perci\u00f2 le patch potranno tamponare il problema fino ad un certo punto. Risolvere la vulnerabilit\u00e0 di Bash sar\u00e0 un po\u2019 un processo per tentativo\/errore, e proprio per questo molti ricercatori e rappresentanti del settore hanno etichettato come \u201cincompleto\u201d il primo round di patch contro Bash<\/a>.<\/p>\n