Este ano, foi detectada uma assustadora falha que atinge diversos sites na internet. Apelidado de Heartbleed, o bug minava a segurança dos usuários – e foi até usado pela NSA para coletar dados.
Agora, temos mais outra falha profunda para nos preocupar: o ShellShock. Ele permite a hackers rodar qualquer código assim que um programa é aberto, e impacta diversos servidores na web.
Trata-se de uma falha no Bash, um shell (terminal de linha de comando) bastante usado em sistemas operacionais baseados no Unix – no caso, Linux e OS X. Assim que se abre o shell, o bug permite que um código malicioso seja executado.
A falha existe nas variantes do Linux há um bom tempo. Algumas delas – Debian, Redhat, Fedora – ensinam como resolver o problema, mas avisam que a solução é apenas parcial por enquanto. A Apple, por sua vez, ainda não divulgou uma correção para o OS X. (Você pode seguir estas instruções para ver se seu Mac está vulnerável.)
Mas mesmo que exista a atualização, implementá-la será mais difícil, já que a falha atinge uma gama ampla de servidores. Ela também afeta dispositivos conectados à internet – já vulneráveis a hackers – exceto se usarem o BusyBox, que tem um shell diferente.
O especialista em segurança Robert Graham diz que o ShellShock é “tão grande quanto o Heartbleed”: ele “está em tantos lugares que nós realmente não podemos erradicar tudo”. Graham fez um teste e encontrou 3.000 sistemas vulneráveis e conectados à internet.
E só conseguiremos medir o impacto dele daqui a um bom tempo. O pesquisador Nicholas Weaver diz ao The Verge que esta falha é “sutil, grave, e estará conosco por muitos anos”. [Robert Graham, Engadget, The Verge]
Imagem por Robert Graham
O post Falha de segurança “tão grande quanto Heartbleed” deixa internet vulnerável a ataques apareceu primeiro em Gizmodo Brasil.
