La grave falla di sicurezza “Shellshock”

Red Hat, una delle più grandi società che si occupano di software libero, mercoledì ha annunciato l’identificazione di una grave falla di sicurezza nei sistemi operativi derivati da Unix, come le varie distribuzioni Linux e Mac OS X di Apple. Il malfunzionamento riguarda la funzione Bash che permette di inviare comandi diretti al sistema operativo, solitamente sottoposti a controlli e restrizioni per motivi di sicurezza. La falla è stata chiamata “Shellshock” e secondo diversi esperti potenzialmente potrebbe permettere a utenti malintenzionati di ottenere informazioni riservate, effettuare modifiche nei computer interessati e causare interruzioni di servizi online. I sistemi operativi derivati da Unix sono infatti molto usati per gestire i server, i computer che connessi tra loro costituiscono una buona parte di ciò che chiamiamo Internet.

Bash è una funzione (tecnicamente è una “shell testuale”) molto diffusa su diversi sistemi operativi da più di 20 anni ed è predefinita su Mac OS X e su numerose distribuzioni Linux, installate sui server. Molti programmi utilizzano Bash per accedere ad altre funzioni e per eseguire comandi. Il problema riguarda quindi potenzialmente moltissimi dispositivi che si collegano a Internet, non solo i server, ma anche i punti di accesso alla rete (i router). Essendo la falla molto longeva è probabile che interessi milioni di vecchi dispositivi, quindi venirne a capo in tempi ragionevoli non sarà semplice.

Esperti di sicurezza e sistemisti stanno preparando aggiornamenti per chiudere la falla. Red Hat, per esempio, ha già diffuso uno strumento che risolve parzialmente il problema in attesa di un update completo. Altri gestori di server e di sistemi informatici hanno dato istruzioni su come usare funzioni alternative a Bash. L’inconveniente per molti è che dovrà essere sospeso l’utilizzo di alcuni programmi, il cui funzionamento senza Bash non è previsto o è complicato da mettere in piedi. Apple dovrebbe diffondere in tempi brevi un aggiornamento per risolvere il problema all’interno del suo Mac OS X.

Secondo Robert Graham, esperto di sicurezza di Errata Security, la falla che interessa Bash è probabilmente molto più grande e rischiosa di Heartbleed, l’enorme falla di Internet legata al sistema OpenSSL emersa lo scorso aprile. Scoprire tutti i programmi e i sistemi interessati dalla falla sarà impossibile, e secondo Graham “Shellshock” continuerà ciclicamente a riemerge e a causare problemi alla sicurezza di alcune reti per anni.