Shellshock, cerchiamo di sopravvivere

Circolano in rete avvisi preoccupati circa un bel baco che affligge la shell Bash; quella che uso anch’io quando faccio calcoli grossi. Si, lo so, ci sarebbero altri sistemi ed altri linguaggi per calcolare: ma non mi interessa, se mi diverto con bc sono affari miei. Tra gli articoli, quello preoccupato di RT e quello informato di Attivissimo. In pratica il baco è sotto osservazione pubblica da una giornata, e ci si comincia a preoccupare: i server che muovono la rete sono macchine Linux, ed eseguono i propri servizi tenendo in movimento anche la shell. Non è scontato, ma è facile che un server web pubblico risulti quindi vulnerabile ad un malware concepito attorno a questo baco. Esiste qualche rischio anche per un pc domestico.

La prima cosa interessante che vorrei sottolineare di questa vicenda è forse l’ultima a cui avete pensato: il baco è stato scoperto da una manciata di ore, o magari da qualche giorno, ma noi utenti comuni lo sappiamo già. Questa cosa non è scontata: se un baco affligge un software proprietario, il gestore si guarderà bene dal raccontarlo in giro. Cercherà la soluzione – se ritenuta remunerativa – oppure lascerà perdere e farà finta di niente. Nel mondo del software libero le cose funzionano diversamente: questi incidenti vengono a galla e vengono affrontati da tutti gli interessati senza giocare a nascondino. L’effetto è quello che vedete nell’immagine qui sotto.

il baco shellshock e la cura offerta per linux / bash, in tempo realeA sinistra la descrizione pubblica del baco, a destra il gestore grafico aggiornamenti che indica la presenza di una prima pezza – col nome della shell bash – già a disposizione degli utenti. Il rimedio proposto pare avere a sua volta delle falle, ma non è questo il punto: quello che conta è il dinamismo con il quale viene cercata la soluzione. Nel mondo dell’informatica il tempo di reazione ad un problema critico si dovrebbe misurare in ore, non in mesi. Che alla fine il problema venga risolto o meno, quello che emerge chiaramente da questa vicenda è che il modello organizzativo sottostante il software libero garantisce comunque una fortissima reattività ai problemi. Per stasera il mio datato portatile Linux sopravviverà, a quanto pare non è ancora stato abbandonato in termini di aggiornamenti di sicurezza; domani vedremo.

Questa voce è stata pubblicata in attualità, varie e contrassegnata con , , , , , , , , , , , . Contrassegna il permalink.

7 risposte a Shellshock, cerchiamo di sopravvivere

  1. Oh, uff…. apt-get update;apt-get upgrade e passa la paura

    • fausto ha detto:

      Per ora purtroppo pare che non sia sufficiente. Ci vorrà ancora tempo – sempre troppo con roba tossica come questa. Io posso solo aspettare; i gestori di grossi server aziendali secondo me invece stanno recitando il rosario tutti assieme….

  2. ijk_ijk ha detto:

    Faccio la domanda stupida. Ma se shell non la uso mai sono a rischio comunque?

    • fausto ha detto:

      Se non la usi in prima persona, la può richiamare un qualsiasi servizio attaccato ad un programma. La shell è un arnese abbastanza basilare, viene evocata in moltissime operazioni. C’è una enorme quantità di componenti sw in un sistema che non è altro che una schiera di script da lanciare nella shell. Non è assolutamente il caso di lasciarla ridotta ad un colabrodo in tema di sicurezza.

      Con gli aggiornamenti (immediati) ho tappato la falla a casa: ma non al lavoro. Ho almeno un pc “bucato”, e dobbiamo ancora finire di indagare. Ci mancava pure sta roba….

  3. jackilnero ha detto:

    Va bene la reattività della risposta, ma per quanto mi riguarda questa cosa passerà alla storia per aver sfatato il mito dell’invulnerabilità di Linux (Unix) , vuoi perchè è di fatto una bella gatta da pelare, vuoi perchè il famoso discorso dei migliaia di occhi a caccia di bachi ne hanno ignorato uno per vent’anni, e non è escluso che ce ne siano altri.
    Insomma, la vedo un pò come una doccia fredda di realtà.

  4. fausto ha detto:

    Le vulnerabilità critiche ventennali di win* non sono note. E per questo possiamo concludere che sicuramente non esistono.

    O forse mi sbaglio?

Rispondi

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione / Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione / Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione / Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione / Modifica )

Connessione a %s...