Secondo il presidente di VASCO i rischi concreti per gli utenti sono molto bassi

Bash è un interprete di comandi che si trova sulla parte superiore del sistema operativo Unix e consente agli utenti di digitare un comando in formato testo e convertirlo in comandi a cui il sistema operativo dovrà rispondere. E’ utilizzato in Linux e MAC OS (OS X). E’ stato rilasciato 25 anni fa.

“Anche se molte fonti sostengono che Bash Bug, aka ShellShock possa avere la stessa rilevanza di Heartbleed, non crediamo che i due bug siano sulla stessa scala. Heartbleed è stato un singolo punto di errore che ha permesso agli hacker di acquisire dati sensibili come numeri di carte di credito e password statiche senza essere scoperti. Bug Bash è molto diverso e sebbene possa consentire agli hacker di ottenere il controllo dei sistemi basati su Linux, la maggior parte di questi hanno altri meccanismi di difesa che potrebbero impedire la riuscita di un attacco, e l’attacco potrebbe essere rilevato.

La più grande minaccia è ai server di connessione a Internet che girano su Linux. Dal momento che è una pratica di sicurezza standard per le organizzazioni quella di separare i loro server per la connessione a Internet da quelli in cui sono memorizzati i dati sensibili, questo riduce notevolmente il rischio di una violazione riconducibile a Bug Bash. E questi server hanno molti altri meccanismi di difesa che dovrebbero essere anch’essi superati per lanciare un attacco di successo utilizzando Bug Bash.

Heartbleed creò un rischio reale e immediato per i consumatori, perché i loro numeri di carta di credito e le password statiche potevano essere stati esposti direttamente agli hacker. Per Bug Bash, è altamente improbabile che gli hacker lancino attacchi contro singoli computer Apple quando ci sono metodi di hacking di gran lunga più efficaci che stanno già utilizzando in modo massiccio – quali combinazioni di phishing, malware, ingegneria sociale e altri attacchi.

Pur potendo, gli hacker non utilizzerebbero Bash Bug per attaccare termostati intelligenti, frigoriferi e lampadine, semplicemente perché non contengono denaro. Ci possono essere alcuni giovani teppisti là fuori, ma le organizzazioni criminali di hacking che rappresentano una seria minaccia per i consumatori vogliono i soldi e questo significa carte di credito e conti bancari, che non esistono nelle lampadine…

Questa non è la prima vulnerabilità a cui sono esposti i router domestici e certamente non sarà l’ultima, ma gli aspetti economici semplicemente non funzionano per gli hacker. Gli hacker vogliono rubare un gran numero di carte di credito e accedere ai conti bancari dei consumatori, non al loro servizio Internet gratuito. Vogliono registrare le battiture, dirottare le sessioni del browser e reindirizzare i consumatori a URL malevoli, cose che possono fare meglio e su una scala molto più massiccia utilizzando altri metodi.

Siamo d’accordo che si tratta di una vulnerabilità grave e diffusa che richiede un’azione correttiva immediata, installando principalmente patch esistenti, ma rappresenta un potenziale inferiore per lo sfruttamento da parte di hacker, e ci aspettiamo che sarà utilizzato principalmente in attacchi avanzati e in combinazione con altri metodi di attacco”.

Jan Valcke, Presidente e COO di VASCO Data Security