{"id":4022,"date":"2014-09-29T21:14:53","date_gmt":"2014-09-29T21:14:53","guid":{"rendered":"http:\/\/kasperskydaily.com\/brazil\/?p=4022"},"modified":"2020-02-26T13:20:43","modified_gmt":"2020-02-26T16:20:43","slug":"o-que-e-a-vulnerabilidade-bash-e-como-ela-afeta-voce","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.br\/blog\/o-que-e-a-vulnerabilidade-bash-e-como-ela-afeta-voce\/4022\/","title":{"rendered":"O que \u00e9 a vulnerabilidade Bash e como ela afeta voc\u00ea"},"content":{"rendered":"

Uma vulnerabilidade de seguran\u00e7a surgiu esta semana no software Bourne again Shell (Bash). Especialistas afirmaram que se trata do erro de seguran\u00e7a de maior impacto desde o surgimento do bug da OpenSSL Heartbleed.<\/a> Embora a sua verdadeira gravidade ainda seja desconhecida, a not\u00edcia sobre a vulnerabilidade Bash j\u00e1 est\u00e1 sendo discutida entre a comunidade da inform\u00e1tica e os meios de comunica\u00e7\u00e3o.<\/p>\n

O que \u00e9 a Bash?<\/strong>
\nBash \u00e9 uma esp\u00e9cie de linguagem de script e de interpreta\u00e7\u00e3o de comendados shell desenvolvido pelo projeto BNU, 1989. Este software, permite que os usu\u00e1rios e as m\u00e1quinas ingressem comandos \u00a0que, em seguida, se executar\u00e3o no n\u00edvel do sistema. Bash, essencialmente, se responsibiliza por realizar e interpretar os comandos. Se voc\u00ea quiser saber mais sobre o seu funcionamento, sugerimos que voc\u00ea acesse a p\u00e1gina GNU Bash<\/a>.<\/p>\n

Bash est\u00e1 presente na maioria dos sistemas Unix, Linux e OS X da Apple. Eeste \u00faltimo est\u00e1 inclu\u00eddo, uma vez, que o Mac OS X utiliza muitos elementos do\u00a0Unix e Linux. Al\u00e9m disso, Bash est\u00e1 presente em uma grande quantidade de servidores web, como routers e modens (e outros dispositivos).<\/p>\n

O bug Bash foi descoberto por Stephane Chazelas, administrador das redes de telecom, Unix e Linux da firma Akami. Como voc\u00ea pode imaginar, essa vulnerabilidade j\u00e1 existe h\u00e1 algum tempo, talvez mais de 20 anos. Como o Heartbleed, s\u00f3 podemos esperar que Chazelas tenha sido a primeira pessoa a encontrar o erro, embora nunca saberemos com certeza se isso \u00e9 assim ou n\u00e3o.<\/p>\n

Como \u00e9 que a vulnerabilidade Bash me afeta?\u00a0<\/strong><\/p>\n

N\u00e3o demorar\u00e1 muito para que os cibercriminosos comecem a gerar exploits que ataquem a vulnerabilidade Bash. Esses exploits permitir\u00e1 que os cibercriminosos possam\u00a0anexar a dist\u00e2ncia um arquivo execut\u00e1vel malicioso em peda\u00e7os de c\u00f3digo dos sistemas vulner\u00e1veis e que, posteriormentem, ser\u00e3o executados ou interpretados pelo Bash. Em outras palavras, ap\u00f3s a entrega de um ataque bem-sucedido, um cibercriminosos\u00a0pode tomar o controle total dos sistemas afetados.<\/p>\n

\u201cSeria muito mais f\u00e1cil para um cibercriminoso explorar o bug Bash do que o Heartbleed. Al\u00e9m disso, no caso de Heartbleed, um cibercriminoso s\u00f3 poderia roubar os dados da mem\u00f3ria, na esperan\u00e7a de encontrar algo interessante. J\u00e1 com a vulnerabilidad Bash, \u00e9 poss\u00edvel ter o controle total do sistema. O que demonstra o qu\u00e3o perigosa \u00e9 essa vulnerabilidade\u201d.<\/div>\n

Quando perguntamos aos\u00a0nossos amigos do Global Research and Analysis Team da Kaspersky Labo se o bug Bash \u00e9 \u201co novo Heartbleed,\u201d eles responderam:<\/p>\n

\u201cBom, seria muito mais f\u00e1cil para um cibercriminoso explorar o bug Bash do que o Heartbleed. Al\u00e9m disso, no caso de Heartbleed, um cibercriminoso s\u00f3 poderia roubar os dados da mem\u00f3ria, na esperan\u00e7a de encontrar algo interessante. J\u00e1 com a vulnerabilidad Bash, \u00e9 poss\u00edvel ter o controle total do sistema. O que demonstra o qu\u00e3o perigosa \u00e9 essa vulnerabilidade\u201d.<\/p>\n

Os pesquisadores da Kaspersky tamb\u00e9m especularam sobre um cen\u00e1rio em que o bug Bash pode ser usado para roubar informa\u00e7\u00f5es banc\u00e1rias. \u00c9 certamente poss\u00edvel para um cibercriminoso\u00a0explorar o Bash para roubar suas credenciais atrav\u00e9s do seu computador pessoal, mas isso exigiria que o cibercriminosos encontrasse algum vetor exploit que permita acessar a interface de comando Bash. O que n\u00e3o seria nada f\u00e1cil.<\/p>\n

Qual \u00e9 a vulnerabilidade #Bash e como ela afeta voc\u00ea?<\/p>Tweet<\/a><\/blockquote>\n

Uma\u00a0advert\u00eancia do Emergency Readiness Team dos Estados Unidos<\/a>, resume de maneira clara quais seriam os principais riscos desta vulnerabilidade:<\/p>\n

\u201cEsta vulnerabilidade \u00e9 classificada pelos padr\u00f5es da ind\u00fastria como de \u201cAlto Impacto\u201d e, segundo especialistas, tem um n\u00edvel baixo de complexidade. Isso significa que \u00e9 preciso pouca habilidade para realizar um ataque. Um dos pontos chaves nesta quest\u00e3o \u00e9 que o erro Bash \u00e9 especialmente perigoso por causa do uso predominante do shell e sua capacidade de ser usado\u00a0por um aplicativo de v\u00e1rias maneiras\u201d.<\/p>\n

O fato de que o bug Bash seja uma vulnerabilidade altamente impactante e f\u00e1cil de explorar \u00e9 uma das grande diferen\u00e7as com rela\u00e7\u00e3o ao bug Heartbleed, que foi muito impactante, por\u00e9m\u00a0dif\u00edcil de explorar.<\/p>\n

Como posso me proteger?\u00a0<\/strong><\/p>\n

A \u00fanica coisa que voc\u00ea pode fazer para se proteger, al\u00e9m de deixar de usar a Internet para sempre, \u00e9 instalar todas as atualiza\u00e7\u00f5es espec\u00edficas dos fornecedores, assim que estiverem dispon\u00edveis. Quanto aos sistemas operacionais rodando em desktops ou laptops, voc\u00ea vai ter que esperar que\u00a0as pessoas que gerenciam a\u00a0distribui\u00e7\u00e3o particular lancem o patch correspondente.<\/p>\n

Quanto aos roteadores e modems e outros eletrodom\u00e9sticos, n\u00e3o haver\u00e1 one-size-fits-all solu\u00e7\u00e3o. O cen\u00e1rio mais prov\u00e1vel \u00e9 que os fabricantes de todos esses dispositivos lan\u00e7ar\u00e1 atualiza\u00e7\u00f5es de firmware em seu pr\u00f3prio caminho em sua pr\u00f3pria programa\u00e7\u00e3o. Essas atualiza\u00e7\u00f5es, na maioria dos casos, n\u00e3o vai se instalar como uma atualiza\u00e7\u00e3o do sistema operacional tradicional.<\/p>\n

O problema \u00e9 que, segundo os pesquisadores da Kaspersky Lab, a Bash \u00e9 t\u00e3o vers\u00e1til e usado em casos diferentes que os patches ser\u00e3o insuficientes.\u00a0Criar um solu\u00e7\u00e3o definitiva para a vulnerabilidade de Bash levar\u00e1 um longo tempo e muitos processos de testes e erros.<\/a><\/p>\n

Outro grande problema que eu gostaria de reiterar \u00e9 que os sistemas *nix est\u00e3o por toda parte e, portanto, Bash est\u00e1 em todas as partes. Sem d\u00favida haver\u00e1 m\u00e1quinas que rodam Bash que n\u00e3o ser\u00e3o capazes de ser atualizadas. Tamb\u00e9m haver\u00e1 m\u00e1quinas em que Bash corre, mas ningu\u00e9m percebe isso.<\/p>\n

Como disse Robert Graham do\u00a0ErrataSec no\u00a0seu blog:<\/a> \u201cO n\u00famero de sistemas que precisam ser corrigidos e que n\u00e3o ser\u00e3o corrigidos \u00e9 muito maior do queo \u00a0Heartbleed\u201d. Para voc\u00ea ter uma ideida do tamanho deste problema, Graham afirma que centenas de milhares de sites continuam vulner\u00e1veis \u200b\u200bao OpenSSL Heartbleed meses despois que foram lan\u00e7ados\u00a0os patches<\/a>.<\/p>\n

Tradu\u00e7\u00e3o: Juliana Costa Santos Dias<\/em><\/p>\n","protected":false},"excerpt":{"rendered":"

Uma vulnerabilidade de seguran\u00e7a surgiu esta semana no software Bourne again Shell (Bash). Especialistas afirmaram que se trata do erro de seguran\u00e7a de maior impacto desde o surgimento do bug<\/p>\n","protected":false},"author":42,"featured_media":4023,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1260,12,14],"tags":[216,350,40,351,349,240],"class_list":{"0":"post-4022","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"category-tips","9":"category-news","10":"tag-heartbleed","11":"tag-linux","12":"tag-seguranca","13":"tag-seguranca-apple","14":"tag-unix","15":"tag-vulnerabilidade"},"hreflang":[{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/o-que-e-a-vulnerabilidade-bash-e-como-ela-afeta-voce\/4022\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.com.br\/blog\/tag\/heartbleed\/","name":"Heartbleed"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/4022","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/users\/42"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/comments?post=4022"}],"version-history":[{"count":3,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/4022\/revisions"}],"predecessor-version":[{"id":14329,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/4022\/revisions\/14329"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media\/4023"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media?parent=4022"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/categories?post=4022"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/tags?post=4022"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}