Difficile dire se Shellshock, il gravissimo buco di sicurezza vecchio di 21 anni scoperto nella bash, l’omnipresente interfaccia a linea di comando che consente di interagire con i sistemi operativi Linux e Unix, entrerà nella hall of fame, ma di sicuro è già diventato un incubo per gli amministratori di sistema di mezzo mondo che gestiscono server accessibili via Internet.
A quattro giorni dalla diffusione della notizia sulla falla, che consente l’esecuzione remota (e ovviamente non autorizzata) di comandi sui server attaccati, la situazione permane grave in quanto la patch (correzione del software) ufficiale per ora non risolve del tutto il problema e molte distribuzioni (le diverse versioni di Linux) hanno dovuto ripiegare su una versione non ufficiale ma molto più robusta.
Nel frattempo i cybercriminali dell’intero pianeta non sono rimasti a guardare e si sono subito messi a setacciare la rete alla ricerca di server vulnerabili. Non solo, sono già stati segnalati malware che sfruttano proprio Shellshock, e addirittura molti di loro utilizzano una versione modificata ad hoc del codice che Robert Graham, noto esperto di sicurezza, aveva subito scritto per sondare Internet e valutare quante macchine vulnerabili ci fossero là fuori. La cosa buffa è che nella propria versione i criminali hanno lasciato un messaggio eloquente: “Thanks-Rob”.
Dicevamo che la bash è una particolare shell, cioè un’interfaccia a linea di comando con la quale è possibile interagire con il sistema operativo che fa funzionare un computer. Il fatto è che la shell è praticamente indispensabile, e la bash è diffusissima nei sistemi Linux, Unix e Mac OSX. E lo è dal 1987, quando Brian J. Fox ne scrisse la prima versione, nata come variante migliorata delle prime vecchie shell. Si stima che la bash sia presente nel 70% dei sistemi connessi a Internet. Non solo server, ma anche router, telefoni e oggetti vari come macchine fotografiche e frigoriferi.
Il difetto dovrebbe risalire addirittura al 1993, anno in cui il baco vi fu inavvertitamente introdotto, forse proprio dall’attuale responsabile del mantenimento e sviluppo, Chet Ramey. Avete letto bene, nel 1993, ben 21 anni fa!
Il bug è stato scoperto all’inizio di questo mese dal programmatore francese Stephane Chazelas, il quale, come da prassi, ha immediatamente avvisato Chet Ramey affinché provvedesse ad apportare gli opportuni aggiustamenti al pacchetto software. Quindi è stata stabilita una data per l’annuncio pubblico (mercoledì 24 settembre alle ore 14:00 UTC), e contestualmente notificati del bug e della patch i gestori delle più importanti infrastrutture Internet e i responsabili delle principali distribuzioni Linux. Il tutto ovviamente per minimizzare i rischi dovuti all’annuncio.
A quel punto tutti gli esperti di sicurezza si sono messi a studiare il bug, cercando di prevederne l’impatto. Gli amministratori di sistema si sono messi le mani nei capelli. I giornalisti e i blogger si sono buttati con avidità sulla notizia. Twitter è stato letteralmente preso d’assalto (lo scenario con gli hashtag #Shellshock o #Bashbug era impressionante). Molti si sono lanciati in paragoni con Heartbleed, il baco che la scorsa primavera ha sconcertato la comunità Internet per la sua gravità. Ma Shellshock lo sovrasta di almeno un ordine di grandezza, per la maggiore diffusione e la facilità con cui si può sfruttare. E soprattutto perché mentre Heartbleed consente di intercettare, con una buona dose di fortuna, qualche password, Shellshock consente di prendere il totale controllo di un sistema in pochi secondi. Non a caso il bug, ufficializzato nel National Vulnerability Database, la bibbia gestita dal governo Usa, con il codice CVE-2014-6271, ha da questa ottenuto il massimo nei valori degli indicatori di impatto e sfruttabilità: 10.0. Vale a dire: massimo pericolo.
Va precisato che non tutti i sistemi sono vulnerabili, solo quelli che soddisfano una serie di condizioni. Qui dovrei parlare di script CGI, variabili d’ambiente e cose del genere, ma mi astengo. Basti dire che le macchine vulnerabili sono comunque tante, troppe. Aggiungo che la modalità più comune d’attacco è via web: una volta individuato l’URL vulnerabile, per l’attaccante è sufficiente “collegarsi” a quell’URL inviando appositi parametri, e il server cade sotto il suo controllo. Sta già avvenendo proprio in questo momento. E una buona quota degli attacchi, tanto per cambiare, proviene dalla Cina. Verificato personalmente…
Poiché Shellshock è facilmente wormable (vale a dire che può essere usato per realizzare un worm, un malware che si diffonde su Internet in modo virale e velocemente), molti osservatori temono che a breve ci si trovi di fronte a un blocco di Internet senza precedenti (il caso che più gli somiglia sarebbe la diffusione del famigerato worm SQL Slammer nel 2003).
Più probabile invece che il baco della bash resterà a tenerci compagnia per molti anni a venire, visto che una buona parte degli apparati vulnerabili sono “oggetti” difficilmente aggiornabili. Di sicuro Shellshock entrerà a far parte dei grimaldelli software dei cybercriminali e sentiremo spesso parlare, nei prossimi anni, di furti e attacchi che sfrutteranno una qualche variante di Shellshock.
Da tutto ciò se ne deduce che un NetCrash su larghissima scala della rete globale non è poi un’ipotesi così campata in aria, soggetto magari per qualche romanzo un po’ azzardato… Purtroppo Shellshock è la prova che ciò potrebbe succedere, e prima di quanto possiamo immaginare.
E se la tanto decantata Internet of Things (la Internet delle cose) ci si rivoltasse all’improvviso contro, pilotata da qualche cybercriminale dall’altra parte del mondo? Inquietante, vero?
Approfondimenti
(Di articoli e post su Shellshock in rete se ne trovano naturalmente a migliaia; ecco alcuni che mi sono piaciuti…)
The Sidney Morning Herald
27/09/2014 – Stephane Chazelas: the man who found the web’s ‘most dangerous’ internet security bug
New York Times
26/09/2014 – Security Experts Expect ‘Shellshock’ Software Bug in Bash to Be Significant
Blog di Michal Zalewski (esperto di sicurezza)
25/09/2014 – Quick notes about the bash bug, its impact, and the fixes so far
Blog di Robert Graham (esperto di sicurezza)
24/09/2014 – Bash ‘shellshock’ bug is wormable