Shellshock, una nueva vulnerabilidad que ya hace de las suyas

Shellshock
Se quebró la cáscara.
Shellshock
Se quebró la cáscara.

Salió una nueva vulnerabilidad que afecta a los equipos con algunas distribuciones de Linux y Mac OS X, sistemas operativos basados en Unix. Ha sido llamada Shellshock y afecta a Bash, una interfaz para darle instrucciones a la computadora a través de textos (o ‘terminal’, como la conocen muchos usuarios) que ha sido ampliamente usada en toda clase de equipos de cómputo en los últimos 30 años, desde servidores hasta electrodomésticos conectados a internet. Fue descubierta por el ingeniero francés Stéphane Chazelas y ya está siendo comparada con Heartbleed por su alcance y peligrosidad.

En una terminal es posible darle una instrucción a un computador para que, cada vez que el usuario digite un caracter particular, aparezca un texto en la pantalla. Según una explicación ofrecida por el bloguero especializado en seguridad informática Tom Scott, la vulnerabilidad consiste en que, si se inserta un pequeño comando que en medio de una orden de ese tipo, el computador no entiende que se le pidiendo que muestre un texto, sino que se le está dando otra instrucción.

El problema es esa otra instrucción: puede ser, literalmente, cualquiera. Y, al menos hasta este momento, Shelshock es el peor mundo posible en una crisis de seguridad informática.

Rápido, fácil y efectivo

Quienes quieran aprovechar la vulnerabilidad se van a dar cuenta de que hacerlo es rápido, fácil y efectivo porque no hay que saber casi nada ni invertir tiempo para crear un código que use la vulnerabilidad. Como le dijo a Wired Chris Wysopal, de la firma de seguridad Veracode, «no se necesita tiempo de desarrollo. Había quien estaba comprometiendo máquinas una hora después del anuncio«.

Y es efectivo porque, a pesar de esto, hasta el momento no hay una forma de evitar ser vulnerable. Red Hat, la empresa de servidores basados en Unix que está detrás de una parte muy significativa de la infraestructura de redes en el mundo, lanzó un primer ‘parche’ pero luego descubrió que no solucionaba completamente el problema, según reporta ZDNet. Otras compañías que ofrecen equipos basados en Linux hicieron lo mismo. Pero, como dice Scott, «hay un montón de ‘parcheo’ que hacer«.

Solo hay ‘parches’ parciales

Ya fueron detectados los primeros ‘exploits’. Wired reporta que el jueves se detectó que algunos desarrolladores de malware la están aprovechando para reclutar equipos para una botnet –una red de computadores que obedecen instrucciones dadas remotamente– o para lanzar ataques DDoS contra servidores web.

Según la Base de Datos de Vulnerabilidades Informáticas del gobierno de Estados Unidos, Shellshock tiene una calificación de 10 sobre 10 en impacto y ‘explotabilidad’. Por medio de ella, es posible lograr cosas como «revelación de información sin autorización, […] modificaciones sin autorización […] o interrupción del servicio«.

La escala de la vulnerabilidad es muy grande. Muchos servidores de internet y equipos de cómputo personal funcionan con Bash. Todos los equipos con OS X Mavericks son vulnerables en teoría, pero según un foro de discusión, para que realmente se pueda hacer daño a un Mac con Shellshock es necesario que su usuario haya permitido el acceso remoto, o que esté corriendo un servidor web. Apple no se ha manifestado oficialmente al respecto.

Por ahora, lo único que realmente pueden hacer los usuarios es instalar las actualizaciones tan pronto estén disponibles y usar al máximo las herramientas preventivas, como los ‘firewalls’ o la prudencia a la hora de navegar y descargar o ejecutar archivos.

José Luis Peñarredonda

José Luis Peñarredonda

Un día me preguntaron sobre mis intereses y no supe por dónde empezar. Decidí entonces ponerlos en orden y dibujé un diagrama de Venn para agruparlos a todos: Internet, cine, periodismo, literatura, narración, música, ciencia, fotografía, diseño, política, escritura, filosofía, creatividad... Me di cuenta de que en toda la mitad de ese diagrama, en el punto en el que todos estos círculos confluyen, está la tecnología. Eso me llevó a ENTER.CO. Estudié Periodismo y Filosofía en la U. del Rosario. PGP: http://bit.ly/1Us3JoT

View all posts

8 comments

  • Limoncito…no se suponia q apple era invulnerable??? Como puedes ver todo sistema es vulnerable….iDiots…dejen de decir q apple es invulnerable…todos son vulnerables

    • Solo los ignorantes dicen que OS X es invulnerable. Todos los sistemas operativos son vulnerables. Pero OS X si se caracteriza por ser un sistema muy robusto en todo sentido.

  • Limoncito…no se suponia q apple era invulnerable??? Como puedes ver todo sistema es vulnerable….iDiots…dejen de decir q apple es invulnerable…todos son vulnerables

    • Solo los ignorantes dicen que OS X es invulnerable. Todos los sistemas operativos son vulnerables. Pero OS X si se caracteriza por ser un sistema muy robusto en todo sentido.

  • Mis respetos para los sistemas Unix y sobretodo Linux ¿30 años y aparecen dos vainas? Hasta al menos geek sabe que son sistemas muy robustos y que en Windows aparecen de estos todos los días.

  • Mis respetos para los sistemas Unix y sobretodo Linux ¿30 años y aparecen dos vainas? Hasta al menos geek sabe que son sistemas muy robustos y que en Windows aparecen de estos todos los días.

Archivos