Uma falha em um componente de sistemas operacionais pode deixar milhões de computadores, servidores e outros dispositivos expostos a ataques de hackers. A vulnerabilidade, apelidada Shellshock, existe há 22 anos, mas foi descoberta apenas na semana passada e tornada pública anteontem. O problema afeta o Bash (Bourne Again Shell), parte integrante das plataformas Unix, Linux e Mac OS X (Apple) e já vem permitindo que criminosos assumam o controle remoto das máquinas e as infectem com códigos maliciosos. Especialistas em segurança digital alertam que a falha não deve ser menosprezada pelo usuário comum.
– O que o Bash faz é abrir portas para que códigos possam ser executados no núcleo do computador – explica Ilya Lopes, especialista da empresa de cibersegurança ESET. – Se o atacante tiver sucesso, ele pode fazer qualquer coisa: roubar dados sensíveis, criptografar informações ou até mesmo apagar todos os arquivos.
Pela sua abrangência, o bug está sendo comparado ao Heartbleed, que afetou cerca de 500 mil máquinas no início deste ano, tanto que o Departamento de Segurança Interna dos EUA classificou o Shellshock como ameaça de nível 10, a nota máxima na escala. Apesar das estimativas de milhões de computadores inseguros, Lopes diz ser cedo para estimativas:
– É precipitado fazer comparações. A falha é grave, muito grave, mas a maioria das distribuições de Linux já tem correções.
O risco para os usuários corporativos é o que mais preocupa os especialistas. Segundo dados do Netcraft, há cerca de 1 bilhão de sites na internet, sendo que metade roda em servidores Apache, tipicamente encontrado no Linux. Além disso, é bastante comum que servidores internos das empresas rodem versões do Unix.
Windows sofre ameaça indireta
Apesar de não afetar diretamente o Windows, sistema operacional presente na maioria dos computadores domésticos, o Shellshock não deve ser subestimado por seus usuários. Claudio Martinelli, diretor-geral da Kaspersky no Brasil, destaca que, pelo fato de o consumidor final não estar em contato direto com os dispositivos vulneráveis – com exceção dos computadores Apple –, a ameaça se torna invisível.
– O usuário doméstico está indiretamente em risco – afirma Martinelli. – O computador pode não ser ameaçado, mas pela internet ele passa por servidores e dispositivos que podem ser afetados.
A ameaça mais próxima é o roteador. O Bash está presente em inúmeros dispositivos que se conectam à internet, incluindo o distribuidor de sinal de rede.
– Ninguém atualiza o firmware do roteador. Independentemente do Shellshock, é fundamental que as pessoas prestem atenção não apenas no computador – alerta Martinelli.
Além do roteador, existe uma infinidade de dispositivos potencialmente rodando o Bash, o que torna o bug ainda mais grave. Objetos conectados, como lâmpadas, geladeiras e outros gadgets, muitas vezes rodam sistemas baseados em Linux e, portanto, podem ser alvo de ataques. James Lyne, diretor de Pesquisas em Segurança da Sophos, afirmou em artigo na revista “Forbes” ter conseguido assumir o controle de uma câmera de segurança utilizando a brecha.
– Sobre a internet das coisas, vale o bom senso do usuário de não colocar dados sensíveis na televisão, por exemplo. Se ele pode fazer um pagamento pelo computador ou pelo celular, por que usar a geladeira para fazer isso? Ainda não é o momento, esses dispositivos ainda não são seguros como o computador – diz Lopes.
O que fazer com o computador de casa?
Donos de computadores Mac OS X e Linux devem ficar atentos às correções e atualizações distribuídas pelas companhias. Nos fóruns da Apple, centenas de consumidores expressam suas preocupações, mas até o momento a companhia não se manifestou sobre os riscos nem liberou patches (correções). A comunidade Linux já tem algumas à disposição: segundo a Symantec, as versões Debian, Ubuntu, Red Hat, CentOS e Novell já podem ser corrigidas.
Mas o frenesi causado pela divulgação da vulnerabilidade pode trazer ainda mais ameaças para os usuários. Neste momento, dois dias após a falha se tornar pública, é certo que criminosos estão trabalhando em formas de utilizar a brecha, não apenas criando códigos maliciosos. Especialistas alertam que os consumidores devem buscar por atualizações apenas em sites oficiais das companhias. Também é recomendado que se desconfie de soluções recebidas por e-mail, de mensagens pedindo informações pessoais para a liberação de patches e de dicas encontradas em fóruns.
– As pessoas precisam ter a consciência de que estão em risco. O Shellshock não é a única vulnerabilidade que existe. Precisamos é de uma cultura de segurança, em casa e nas empresas. Uma construtora precisa estar consciente de que o foco do seu negócio é subir o prédio, mas a tecnologia da informação não pode ser relegada a segundo plano – diz Rodrigo Antao, diretor de Operações da Apura Cyber Intelligence.
***
Shellshock, a nova ameaça para a segurança
‘OG’ # Reproduzido do Globo.com, 25/9/2014; título original “Bug Shellshock pode deixar 500 milhões de computadores vulneráveis a ataques”, intertítulo do OI
Uma falha grave de segurança on-line que pode afetar centenas de milhões de computadores, servidores e gadgets foi descoberta nesta quinta-feira. O bug foi encontrado em um componente de software conhecido como Bash, parte integrante de muitos sistemas Linux e também do sistema operacional Mac, da Apple.
O bug, apelidado de Shellshock, pode ser usado por hackers para tomar remotamente o controle de quase todos os sistemas que usam o Bash, segundo especialistas entrevistados pela BBC. Pesquisadores já avaliam a falha como mais grave do que o bug Heartbleed, descoberto em abril. O professor Alan Woodward, pesquisador de segurança virtual da Universidade de Surrey, disse à rede de TV britânica que o problema deixa os computadores de milhões de usuários “com as portas abertas”.
Considerada uma das maiores falhas da história da internet, o Heartbleed afetou dois em cada três servidores da web em abril passado, causando pânico entre empresas e internautas. A falha proporcionou o roubo de dados de seguro social de canadenses a partir do sistemas governamentais – o Canadá chegou a suspender o envio eletrônico da declaração de impostos dos contribuintes devido ao problema.
Cerca de 500 mil máquinas em todo o mundo podem ter sido afetadas pelo Heartbleed, segundo projeções. Mas as estimativas iniciais sugerem que o Shellshock tenha o potencial de atingir pelo menos 500 milhões de máquinas.
Cuidado nas atualizações
O problema é muito grave, uma vez que muitos servidores de internet usam o sistema Apache, software que inclui o componente Bash.
Bash – que significa Bourne-Again Shell – é um prompt de comando em muitos computadores Unix. O Unix é um sistema operacional a partir do qual muitos outros são construídos, como o Linux e o Mac OS.
A Equipe de Prontidão para Emergências em Computadores dos Estados Unidos (US-Cert) emitiu um alerta sobre o erro, pedindo que os administradores dos sistemas façam atualizações em seus sistemas de segurança. No entanto, pesquisadores já alertaram que as alterações eram “incompletas” e que os sistemas não estão totalmente seguros.
A maior preocupação para os especialistas é a simplicidade de se realizar ataques a máquinas fazendo uso do bug. Um expert em segurança cibernética da empresa Rapid7 avaliou o bug Bash como sendo de gravidade 10, dentro de uma escala com limite 10, mas de “baixa” complexidade, o que torna relativamente fácil que hackers capitalizem em cima do problema. Os criminosos virtuais podem entrar no sistema operacional, ter acesso a informações confidenciais, fazer alterações, etc.
Os especialistas aconselham que os usuários comuns de computadores monitorem os sites dos desenvolvedores de softwares e instalem as atualizações que aparecerem, especialmente para hardware, como roteadores de banda larga.
***
Shellshock não é risco para maioria de usuários Mac, diz Apple
Reuters # 26/9/2014
A Apple afirmou que a ampla maioria de usuários de computadores Mac não está sob risco diante da falha recém descoberta “Shellshock”, que atinge sistemas operacionais incluindo o OS X da companhia.
– A vasta maioria dos usuários do OS X não está em risco – disse o porta-voz da Apple Bill Evans.
O Shellshock é uma vulnerabilidade em um software incluído no Mac OS X e baseado no sistema operacional Unix. A falha parece não afetar o iOS da Apple, que é usado no iPhone e iPad, ou computadores que usam o Windows, da Microsoft.
Especialistas em segurança descobriram a vulnerabilidade Shellshock, presente no programa Bash, na quarta-feira, e afirmaram que ela pode permitir que invasores ganhem controle remoto de sistemas afetados.
A Apple vende seus computadores com recursos padrão de segurança ativados, o que significa que eles não estão sujeitos a ataques remotos a menos que os usuários configurem as máquinas para serviços Unix “avançados”.
– Estamos trabalhando para rapidamente fornecer uma atualização de software para nossos usuários Unix avançados – disse o porta-voz.
A indústria de informática está correndo para determinar quais sistemas podem ser alvo de ataques de hackers que explorem a falha, e atualmente não há estimativas sobre o número de sistemas vulneráveis.