Vi ricordate l’incubo di Heartbleed, che ha fatto sanguinare il cuore di tanti sistemi informatici? Potrebbe essere stato una passeggiata.

E’ arrivata una nuova vulnerabilità che potrebbe far rimpiangere la paura che finora ha accompagnato le precedenti emergenze.

Si chiama “Bash Flaw” e nelle ventiquattr’ore trascorse dalla sua scoperta ha già catalizzato l’attenzione di tutti i malandrini in attesa di un nuovo bug da sfruttare per procedere all’arrembaggio di questo o quel vascello tecnologico pubblico o privato. La flotta in pericolo comprende server web, sistemi Unix e Mac Osx, nonché tantissimi altri dispositivi collegati a Internet.

La circostanza che questa falla sia stata anagraficamente schedata anche come “Shellshock” non rassicura. La mera traduzione è sufficiente ad accelerare le palpitazioni anche dei più imperturbabili sostenitori della tesi “che intanto non succede mai nulla”. Shellshock, infatti, è la psicosi traumatica, ovvero quel disturbo psicologico che normalmente affligge chi ha subito un evento catastrofico o violento. Con lo stesso nome si identifica anche la cosiddetta “nevrosi da guerra”, quella riscontrata in militari che hanno dovuto affrontare pesanti combattimenti o che hanno maturato esperienze belliche di estrema drammaticità.

Bash, invece, è invece l’acronimo di Gnu Bourne Again Shell, corrispondente ad una interfaccia che permette di impartire comandi su sistemi Unix e Linux attraverso connessioni Ssh o Telnet.

Il punto debole risiede nella possibilità di creare ed eseguire variabili contenenti codice malevolo prima che l’interfaccia sia aperta. La conseguenza? Questo inserimento lascerebbe un varco per una serie non definibile e purtroppo illimitata di attacchi mirati ai computer che risultano vulnerabili.

Gli aggressori potrebbero scaricare tutti i dati memorizzati su un server, riconfigurare il sistema a proprio piacimento, insinuare virus e worm, piazzare backdoor. Potrebbero farne le spese le architetture informatiche meno aggiornate, qualche router, attrezzature medico-sanitarie, impianti di videosorveglianza e via di seguito.

Anche stavolta la gravità della questione è nella “anzianità” del problema: i bug, come le donne che celano volentieri la propria data di nascita, non hanno una precisa origine cronologica che non coincide certo con la loro scoperta. Bash Flaw potrebbe circolare da tempo ed esser stato svelato solo quando ne sono venuti a conoscenza gli organi preposti alla sicurezza informatica nazionale.

Già, sicurezza informatica nazionale. E chi pensa che si stia facendo riferimento a qualcosa di italiano, sbaglia. Non corriamo questo rischio. Il Cert (o Computer Emergency Response Team) governativo – che dovrebbe lavorare presso il Ministero per lo Sviluppo Economico – esiste solo sulla carta, nonostante se ne parli (inutilmente) da anni.

Le informazioni su quel che sta accadendo sono rimbalzate grazie ad Internet tramite il tessuto connettivo “naturale” della condivisione tra esperti, ricercatori ed Enti stranieri. Il Cert britannico, ad esempio, ha pubblicato un comando Unix che può essere eseguito per verificare se un sistema è vulnerabile.

Il National Institute for Standard and Technology ha assegnato alla vulnerabilità (scoperta da AkamaiStephaneChazelas) la denominazione Cve-2014-6271 e ha attribuito il punteggio di “10” su una scala in cui il valore 10 rappresenta la massima gravità.

Mentre le software house e i produttori di antivirus stanno confezionando rimedi di vario genere per “patchare” il buco, da noi sono tutti tranquilli.

Intanto non succede mai nulla.

Twitter: @Umberto_Rapetto