Κάποιοι αναλυτές προειδοποιούν ότι το πρόβλημα θα μπορούσε να είναι χειρότερο από εκείνο που προκάλεσε το κενό ασφαλείας Heartbleed, μια ευπάθεια στο λογισμικό κρυπτογράφησης OpenSSL, που προκάλεσε σάλο φέτος.

Η Εθνική Βάση Δεδομένων Ευπαθειών των ΗΠΑ, έχει βαθμολογήσει με 10/10 την απειλή που συνιστά το Shellshock, ως προς τη σοβαρότητά της.

Η ευπάθεια ή «bug» όπως αποκαλείται στη γλώσσα των προγραμματιστών, εντοπίστηκε σε τμήμα του λογισμικού που είναι γνωστό ως Bash. Τί είναι το Bash και γιατί είναι σημαντικό για την ασφάλεια των υπολογιστικών συστημάτων;

Τί είναι το Bash;

Το Bash είναι το ακρωνύμιο της φράσης «Bourne Again Shell», που αποτελεί την ονομασία ενός περιβάλλοντος γραμμής εντολών. Επιτρέπει στους χρήστες να δίνουν εντολές για να ξεκινήσουν τα διάφορα προγράμματα που είναι ενσωματωμένα στο λογισμικό του υπολογιστή, με την πληκτρολόγηση κειμένου. Η μέθοδος αυτή συνήθως χρησιμοποιείται από τους προγραμματιστές και κανονικά δεν θα ήταν διαθέσιμη στο ευρύ κοινό, αλλά το Shellshock το αλλάζει αυτό.

Οι χρήστες Mac OS X μπορούν να τρέξουν το Bash, ανοίγοντας το Terminal τους, όπως μπορούν να κάνουν και οι χρήστες του λειτουργικού συστήματος Linux, πάλι με το Terminal. Τα λειτουργικά συστήματα Linux και Mac OS X είναι παράγωγα του λειτουργικού συστήματος Unix και έτσι, μοιράζονται ορισμένα χαρακτηριστικά.

Ποιά είναι η ευπάθεια και πώς θα μπορούσε κάποιος να την εκμεταλλευτεί;

Η ευπάθεια σχετίζεται με την επεξεργασία ενός χαρακτηριστικού του Bash, γνωστού ως «μεταβλητές περιβάλλοντος», το οποίο δίνει τη δυνατότητα στον χρήστηνα επηρεάσει τη συμπεριφορά του λογισμικού.

Το bug του Bash που ανακαλύφθηκε από τον εμπειρογνώμονα των Linux, Stéphane Chazelas, προκαλεί ανησυχία επειδή το Bash χρησιμοποιείται από πολλά δημοφιλή εργαλεία για την επεξεργασία των μεταβλητών περιβάλλοντος.

Θεωρητικά, ένας εισβολέας θα μπορούσε να εκμεταλλευτεί ένα μηχάνημα που «τρέχει» το Bash, εισάγοντας τις επιθυμητές μεταβλητές περιβάλλοντος. Στη συνέχεια, θα μπορούσε να εκμεταλλευτεί τις νέες μεταβλητές, για να εκτελέσει εντολές, δηλαδή να τρέξει προγράμματα σε υπολογιστές άλλων χρηστών. Μόλις συμβεί αυτό, ο χάκερ έχει πάρει τον έλεγχο.

Η ανησυχία εντείνεται εξαιτίας του γεγονότοτς ότι το Bash χρησιμοποιείται και από το ευρέως διαδεδομένο λογισμικό για σέρβερ, Apache. Και επομένως, το Shellshock θα μπορούσε αν αποτελέσει την κερκόπορτα για χάκερ που επιδιώκουν να καταλάβουν έναν σέρβερ ή τις ιστοσελίες που μπορεί να περιέχει, ή ακόμα και να χρησιμοποιήσουν το μηχάνημα για να εξαπολύσουν περαιτέρω επιθέσεις.

Ωστόσο, όλα αυτά είναι υποθετικά, καθώς δεν υπάρχουν αναφορές για επιθέσεις μέσω της εκμετάλλευσης του Bash, αν και οι περισσότεροι ειδικοί πιστεύουν ότι τέτοιες επιθέσεις - και μάλιστα πιο επιζήμιες - θα σημειωθούν στον μέλλον.

Μία από τις μεγαλύτερες ανησυχίες είναι ότι οι επιτιθέμενοι θα χρησιμοποιήσουν το Shellshock για να δημιουργήσουν ιούς τύπου worm – επιθέσεις που μεταδίδονται αυτόματα από μηχανή σε μηχανή.

Κινδυνεύει ο υπολογιστής μου;

Πιθανοί κίνδυνοι μπορεί να υπάρχουν για τα Mac OS X, σε ορισμένες περιπτώσεις κατά τις οποίες κάποια script λαμβάνουν δεδομένα από μη αξιόπιστες πηγές στο διαδίκτυο.

Για τους προχωρημένους χρήστες, υπάρχουν λεπτρομέρειες στο apple.stackexchange.com. Στους λιγότερο έμεπιρους, συστήνεται να περιμένουν την επίσημη αναβάθμιση από την Apple.

Οι χρήστες του Linux θα πρέπει να συμβουλευτούν τις ιστοσελίδες των διαχειριστών της έκδοσης που χρησιμοποιούν (RedHat, Ubuntu, Debian, CentOS ή οποιαδήποτε άλλη).

Τι πρέπει να κάνω τώρα;

Είναι προφανές, αλλά πολλοί δεν το κάνουν, παρά τις προειδοποιήσεις: επιδιορθώστε το σύστημά σας τώρα. Όποιος διαχειρίζεται δικτυακούς τόπους που «τρέχουν» στα παραπάνω λειτουργικά συστήματα, πρέπει να προχωρήσει όσο το δυνατόν γρηγορότερα.

Πρέπει να σημειωθεί ότι εκφράζονται αμφιβολίες για τον βαθμό αποτελεσματικότητας των διαθέσιμων patch. Σε κάθε περίπτωση, όμως, θα περιορίσουν το εύρος τυχόν επιθέσεων.