Um dia depois de o Departamento de Segurança Interna dos EUA alertou empresas e usuários de internet sobre um bug de software recentemente descoberto que poderia afetar centenas de milhões de sistemas, hackers começaram a explorar a falha, e as companhias corriam para corrigí-la por seus usuários.

O erro, chamado Shellshock, afeta um software amplamente utilizado, que é chamado Bash, um tipo de programa que interpreta código em sistemas como o Mac OS X. O bug pode ser usado por hackers para que estes comandem máquinas ou rodem programas de maneira furtiva.

Em um comunicado, a Apple disse que a maior parte de seus usuários não corriam risco, já que as configurações padrões da Apple evita que sejam executados comandos remotos, o tipo que cibercriminosos precisariam para invadir um computador. A companhia disse, contudo, que se usuários tivessem reconfigurado seus serviços avançados de Unix (código-fonte que é a base do sistema OS X), eles poderiam ter problemas.

"Estamos trabalhando para atualizar rapidamente o software para nossos usuários avançados de Unix", disse a empresa.

ANDROID

Inicialmente, especialistas em segurança alarmaram que todo smartphone com o Android poderia ser afetado. O Google disse nesta sexta, contudo, que o Android usa uma alternativa ao Bash, chamada Mksh, que não contém a vulnerabilidade.

Mas especialistas disseram que, pelo fato de o Android ser um software de código aberto, muitas empresas e usuários o modificam para uso em outros produtos, o que poderia incluir o emprego do Bash.

A mensagem é que usuários do Android devem checar se estão vulneráveis.

GRAVIDADE

A Trend Micro, empresa de cibersegurança, disse que estava agindo rápido para lançar ferramentas gratuitas para fazer varredura em servidores vulneráveis e protegê-los, assim como internautas que usam o OS X ou o Linux.

Um alerta do NIST (Instituto Nacional de Padrões e Tecnologia) afirma que a vulnerabilidade tem nota 10 de 10, em termos de severidade, impacto potencial e capacidade de ser explorada, mantendo a complexidade baixa, o que permite o fácil usufruto por hackers.

Pesquisadores em segurança dizem que, tão logo quanto o bug foi tornado público, foram detectadas em toda a internet varreduras pelos chamados hackers "white hat" –muitas vezes pesquisadores bem-intencionados–, assim como a ação de potenciais cibercriminosos.

ATAQUES

A preocupação é que é apenas uma questão de tempo até que alguém programe software malicioso para valer-se do Shellshock e invadir máquinas.

Nesta sexta (26), pesquisadores da Incapsula, empresa de segurança, disse que apenas nas 24 horas anteriores, eles testemunharam 17,4 mil ataques, em taxa de 725 ações por hora, em média. Eles afirmam que mais de 1.800 domínios de web haviam sido atacados, e que 400 máquinas diferentes foram usadas para realizar os ataques –mais de 55% delas localizadas na China e nos EUA.

O Departamento de Segurança Interna disse por meio de sua US-CERT (Equipe de Emergência Computacional) que usuários e administradores de sistemas deveriam solicitar uma atualização às fabricantes de seus sistemas, se baseados em Unix.

Para usuários em casa, os especialistas dizem que o melhor é checar atualizações e instalá-las, em especial em relação a aparelhos como roteadores.