Ieri è stata scoperta la vulnerabilità “Bash Bug” o “ShellShock“.
E’ una vulnerabilità con impatto molto diverso da quanto successo con Heartbleed; quest’ultima è stata una vulnerabilità piatta, è stata come una mano aperta che ha picchiato violentemente sulla superficie del mare, di questo grande mare che è il web.
Ha prodotto un gran rumore, tutti si sono girati a guardarla, tutti ne hanno parlato, fiumi di inchiostro virtuale sono scorsi tra le onde e tra i naviganti. Ma a parte questo nulla è successo. Del resto quelli che potevono essere colpiti erano le grandi imbarcazioni più sensibili alle onde prodotte, cioè i grandi portali web, le banche. Ma anche la soluzione è stata talmente semplice che per loro c’è voluto poco per sistemare. Se qualcosa è successo, è accaduto prima che venisse pubblicata. Chi frequenta (per studio eh) i blackmarket si era reso conto già da giorni che qualcosa era successo, quel boom di disponibilità di credenziali era sospetto.
La “ShellShock” è diversa, non è una mano aperta, è più verticale, appuntita. come un dito. Che se lo infili verticale in acqua (non siamo volgari) non fa rumore, genera poche onde. Le grandi navi quasi nemmeno se ne accorgono. Ma una volta che è sotto può fare grandi danni. E per molto tempo.
Si pensi non ai grandi portali, ma agli impianti industriali, ai device, ai sistemi di videosorveglianza, ai controllo accessi.
E’ una vulnerabilità in grando di colpire dal basso le nostre infrastrutture. Ed esce proprio nel mometo in cui il gruppo terroristico più “connesso” di sempre ci dichiara apertamente guerra cibernetica (e non solo).
Pensare di patchare tutti i sistemi è semplicemente follia, non per nulla perchè molti di questi sono sconosciuti.

Ma non è della vulnerabilità che volevo scrivere.
Come ho detto, questa è una vulnerabilità che può essere assai critica, contestualizzata al momento storico direi quasi da emergenza. Anzi, direi da emergenza senza quasi.

Sono andato a guardare come i vari CERT mondiali e quindi italiani hanno gestito la questione.
Chi mi conosce sa quanto ci tenga al sistema Italia, sostengo sempre che sul fronte “cibernetico” in Italia abbiamo molte eccellenze, a partire dalla Postel che è una delle migliori al mondo.
Ma i CERT… mamma mia che delusione.

In ordine, partiamo dal CERT per eccellenza, quello del governo americano:
https://www.us-cert.gov/ncas/alerts/TA14-268A

La pagina del CERT americano è impeccabile, informazione corretta, completa e senza “nerdismi” inutili. C’è tutto quello che serve, la descrizione, soluzione, riferimenti e la corretta classificazione dell’impatto:

Impact
This vulnerability is classified by industry standards as “High” impact with CVSS Impact Subscore 10 and “Low” on complexity, which means it takes little skill to perform. This flaw allows attackers to provide specially crafted environment variables containing arbitrary commands that can be executed on vulnerable systems. It is especially dangerous because of the prevalent use of the Bash shell and its ability to be called by an application in numerous ways.

Poi c’è quello UK:
https://www.cert.gov.uk/resources/alerts/update-bash-vulnerability-aka-shellshock/

L’home page è un po’ troppo “pop”, con colori sparati e grandi immagini colorate, ma correttamente c’è l’alert con il link alla vulnerabilità.

I contenuti non sono così chiari e professionali come quello US, ma c’è tutto e ben spiegato. Ci sono anche alcune considerazioni interessanti e degne di nota:

The affected versions go back to bash 1.14 which was first released in ~1995. Unlike the Heartbleed vulnerability which affected only openssl (an additional program that only certain users actually implemented), SHELLSHOCK is likely to affect a much wider community.

Giustissimo il riferimento alle CNI (Critical National Infrastructure) (qui meglio di quello USA):

The real-world impact of this vulnerability depends greatly on the systems on which they are deployed. However, due to the common usage of *nix systems as servers in network environments it should be assumed that most server-based architectures are affected. This will inevitably include organisations that are part of the CNI. As such, all organisations that make use of *nix-based environments should pay particular attention to the patching requirements and other mitigation steps.

Passiamo a quello italiano.
Quale? Eh si, noi ancora non abbiamo un vero CERT nazionale, noi abbiamo i CERT settoriali. Ne abbiamo tanti.
Partiamo da quello del GARR:
http://www.cert.garr.it/alert/security-alerts/archive/view/listid-1-alert/mailid-1657-alert-gcsa-14033-vulnerabilita-in-gnu-bash

Il testo è in italiano, il che va anche bene, però poi si finisce per usare un mix di inevitabile inglese – italiano e il risultato è un po’ brutto, anche la forma che tende a semplificare il più possibile scade nel far sembrare il sito più un forum di supporto di primo livello per utenti bancari (non me ne vogliano i bancari, era un esempio per dire utilizzatori di pc non obbligati ad esserne anche competenti).
La descrizione è sommaria, e la descrizione dell l’impatto è.. come dire… così:

:: Impatto

Esecuzione di codice arbitrario
Denial of Service
Accesso al sistema

Poi ho guardato quello di Poste:
https://www.picert.it/category/alerts/bollettini/

Ho amici che ci lavorano, so che stanno facendo un gran lavoro. Per cui da questo mi aspetto un lavoro sopra la media.

Purtroppo c’è un problema: sono le 00:55 del 26/09/2014 e per il CERT di Poste questa vulnerabilità.. non esiste. Meglio così, occhio non vede, cuore non duole.

Vorrei analizzarne altri,  ma credo che finiamo qui. Segnalo che cercando CERT italia o CERT italiani si finisce su un gran numero di siti abbandonati o cancellati.
Eppure conosco  CERT interni, forse quelli più importanti, che lavorano alla grande. Nettamente meglio della media europea. Ma siamo al solito discorso degli orticelli, io mi faccio il mio e non lo faccio vedere a nessuno, guai! Come diceva Caterina Caselli:
“Nessuno mi può giudicare. Nemmeno tu..”

Infine, una nota di chiusura, siamo in Italia, paese i poeti, santi e navigatori,  non poteva quindi mancare un CERT della chiesa cattolica:
http://cert.chiesacattolica.it

Come dite, è una semplice pagina statica senza alcuna utilità?
Ma no! Su dai, il concetto è di preghiera, pregate che non succeda nulla.

ls

PS: inserto pubblicitario gratuito. Ricordatevi che sono CEO, co-founder (e tutto quello che serve fare) di Abissi. Abissi è l’unica azienda in Italia che fa realmente Cyber Surveillance, con un servizio di Cyber Threat Intelligent non basato su una banale correlazione dei vostri log. Vera intelligence, senza paura.
http://www.abissi.eu/wp-content/uploads/2014/07/Abissi-Cyber-Threat-Intelligence.pdf