No início desse ano uma enorme falha de segurança assustou desde usuários comuns até especialistas em segurança. Batizada de Heartbleed, essa falha afetava o protocolo OpenSSL e permitia que qualquer hacker interceptasse transações criptografadas e tivesse acesso ao real conteúdo delas. Para se ter uma ideia, essa falha de segurança afetou um sem número de sites ao redor do mundo, dentre eles Yahoo, Flickr e Imgur. O Heartbleed foi usado até pela agência de espionagem americana, NSA, para roubar informações da população.
Mas eis que ontem (24) especialistas de segurança da Red Hat descobriram uma falha no Bash (Bourne Again Shell) dos sistemas baseados em UNIX, como Linux e Mac OS X. Esta falha permite que programas executem códigos maliciosos assim que o interpretador é aberto. Isso afeta uma infinidade de servidores espalhados na web. Esta grave falha foi batizada de ShellShock.
Esta falha de segurança se encontra nas versões 1.14 e 4.3 do referido shell. Stéphane Schazelas, um dos especialistas da Red Hat responsáveis por descobrir o erro, explica que ele pode ser explorado na forma como o processamento das variáveis de ambiente é feito pelo Bash. O erro é ativado assim que o Bash inicia e um programa executa instruções de adicionar código malicioso ao final das definições de função do Bash.
Outro especialista em segurança virtual, de nome Robert Graham, explicou no Errata Security que “uma enorme porcentagem de softwares interage de alguma forma como o shell. Nunca vamos conseguir catalogar todos os programas que estão vulneráveis ao bug de Bash”. Em entrevista ao The Verge, o pesquisador Nicholas Weaver disse que essa falha é “sutil, grave, e estará conosco por muitos anos”.
A falha existe no Linux já a bastante tempo, incluindo nas distribuições mais conhecidas, como Ubuntu, Debian, Red Hat Enterprise, Cent OS e Fedora. Neste post do ZD Net explica-se como sanar esse erro, mas nele deixa-se bem claro que esta é apenas uma solução parcial, um “tapa-buraco”. Visto que o sistema operacional da Apple, o Mac OS X, também é afetado, espera-se que a Maçã se pronuncie sobre esta falha. Por enquanto ela não abriu o bico a respeito. Se você é usuário Mac, pode seguir este tutorial para checar se sua máquina está vulnerável ou não.
Corrigir ese erro será mais difícil do que se imagina. Como ele afeta uma infinidade de servidores web espalhados pelo mundo, implementar este pach será bem complicado. O ShellShock afeta também dispositivos como televisores, lâmpadas, fechaduras e câmera de segurança que esteja conectadas à internet. É a “internet das coisas” nascendo sendo atacada. Num rápido teste feito por Graham, ele identificou mais de mil sistemas suscetíveis ao Shellshock. É amigos, parece que o Linux não é tão seguro assim, afinal.
