Há alguns meses, o Heartbleed, uma falha na criptografia OpenSSL, apareceu como um dos bugs mais sérios já encontrados na tecnologia. No entanto, os danos foram relativamente fáceis de ser evitados. A nova falha do momento, chamada de “Shellshock” ou “Bash bug”, parece mais danosa e mais difícil de ser corrigida. Não está claro se o nome foi adotado a partir de um distúrbio que acometeu soldados na Primeira Guerra Mundial – naquela ocasião, pela primeira vez na história, os combatentes travaram batalhas que duraram horas, submetidos a bombas, tiros e barulhos ensurdecedores. Daí, vários militares desenvolverem problemas psíquicos que levavam a movimentos involuntários e descontrolados do corpo. A síndrome foi batizada de Shellshock. O problema atual também pode levar a comportamentos involuntários por parte dos servidores, que podem se ver executando códigos maliciosos.

 

A grande dificuldade do Shellshock digital está no fato de que não há como o usuário comum se proteger por conta própria, a solução precisa vir de dentro para fora, ao contrário do Heartbleed, em que uma mudança de senhas normalmente garantia sua segurança. A falha atinge um software chamado “Bash”, um prompt de comando open-source que opera em sistemas baseados em UNIX, afetando  Mac OS X, Linux (o que inclui o Android e inúmeros servidores web) e até mesmo tecnologia incorporada em produtos que formam a Internet das Coisas. Estima-se que 50% dos servidores web sejam vulneráveis.

\”Basicamente, essa vulnerabilidade permite que um invasor execute ataques de execução remota de código em qualquer servidor usando o Bash shell. Infelizmente, o uso deste shell é altamente difundido – ele é usado em muitos produtos de servidores, inclusive aqueles que alimentam sites”, explica David Jacoby, pesquisador sênior de segurança da Kaspersky.

O bug é muito mais simples de ser explorado do que o Heartbleed, portanto. No caso da falha do OpenSSL, o cibercriminoso precisava roubar um pacote de dados e torcer pelo surgimento de alguma informação útil. Já no Bash Bug, uma vez que a máquina está sob controle, é possível pegar exatamente a informação desejada por meio de comandos.

Com isso, ficou a responsabilidade para as empresas e administradores se adequarem o mais rápido possível a esta realidade e liberar correções ágeis para minimizar os eventuais danos.

“Muitas coisas chamam o Bash e eu posso apostar que há coisas na maioria dos ambientes que o atraem e você nem sabe”, afirma Josh Bressers, gerente de segurança de produto da Red Hat. A empresa diz ter analisado e chegado à conclusão de que se tratava de uma falha de alto risco. “É uma das situações onde há inúmeras variáveis para lidar, ao contrário do Heartbleed, onde todos eram afetados da mesma forma”, explica ele.

No entanto, apesar de ser necessária muita atenção com o Bash, há alguns atenuantes. O primeiro deles é que a maioria dos fabricantes já está corrigindo a falha, pelo menos parcialmente, cabendo aos administradores agilizar o update. A outra notícia positiva é que apesar de perigosíssimo, as condições necessárias para que o cibercriminoso possa agir são muito específicas e difíceis de ser implementadas. “Felizmente, não é comum”, afirma Bressers.

Além de instalar atualizações para corrigir o problema o mais breve possível, é uma boa ideia implantar sistemas para detectar anomalias, com o objetivo de identificar comportamento anormal de dispositivos, usuários e contas, afirma Avivah Litan, analista da Gartner ao Wall Street Journal. Os mais ousados podem aproveitar a situação para criar armadilhas para hackers.

A Kaspersky, por sua vez, recomenda que todos atualizem o Bash para a versão mais recente o mais rápido possível. No caso do Linux, as diferentes distribuições estão recebendo pacotes de correção que tentam solucionar o problema. Alguns serviços distribuem patches que se instalam automaticamente depois de 24 horas, mas em alguns casos é possível forçar a atualização antes.

fonte: http://olhardigital.uol.com.br/