 |
# taz.de -- „Shellshock“-Lücke bei Apple und Linux: Die erste Angriffswell… |
|
|
|
> Nach dem Bekanntwerden einer 20 Jahre alten Sicherheitslücke wird diese |
|
> schon ausgenutzt. Panik privater Nutzer ist unangebracht. |
|
|
 |
Bild: Auch Apple-Rechner sind von der Sicherheitslücke betroffen. |
|
|
|
KÖLN taz | Von einer neuen Sicherheitslücke zu sprechen ist eine gelinde |
|
Übertreibung: Die nun „Shellshock“ getaufte Lücke in dem Programm Bash ist |
|
nach aktuellen Informationen über 20 Jahre alt. So lange versteckte sie |
|
sich unentdeckt in dem Programm, das heute noch auf fast allen |
|
Linux-Rechnern und auch auf aktuellen Apple-Computern vorinstalliert ist. |
|
|
|
Es handelt sich bei Bash um eine sogenannte Shell, also ein Programm, mit |
|
dem Administratoren per Kommandozeile rudimentäre Verwaltungsaufgaben |
|
durchführen und automatisieren können. Die nun entdeckte Sicherheitslücke |
|
ist erstaunlich einfach auszunutzen: Man muss dem Programm neben einem |
|
normalen Befehl nur noch einige „Umgebungsvariablen“ übergehen und der |
|
Computer führt so ziemlich jeden Befehl aus: Dateien auslesen, Passwörter |
|
ändern oder auch andere Rechner attackieren. |
|
|
|
Die erste Angriffswelle rollt bereits. [1][Wie das Magazin Wired |
|
berichtet], haben Angreifer dank Shellcode massenhaft fremde Rechner |
|
übernommen und damit begonnen, unter anderem das Netz des |
|
Internet-Dienstleisters Akamai und der US-Regierung zu attackieren. Andere |
|
Angreifer sind offenbar noch auf der Suche nach weiteren Rechnern, die sie |
|
übernehmen können, bevor sie zur Tat schreiten. |
|
|
|
## Größer als Heartbleed? |
|
|
|
Dies könnte aber nur ein Vorgeschmack sein auf das, was noch kommen mag. |
|
Denn es ist unklar, in wie vielen Geräten der „Shellshock“ noch lauert und |
|
wie viele Wege Angreifer finden, ihn auszunutzen. So hat Apple angekündigt, |
|
sein Betriebssystem MacOS X abzudichten – eine akute Gefahr für |
|
Privatanwender sieht der Konzern nach Medienberichten jedoch nicht, da das |
|
schadhafte Programm auf Apple-Rechnern nicht einfach über das Internet |
|
aktiviert werden kann. |
|
|
|
Die in den Medien verbreiteten Spekulationen, ob „Shellshock“ noch |
|
schlimmer als die [2][im April entdeckte Sicherheitslücke „Heartbleed“] |
|
ist, sind weitgehend Kaffeesatzleserei. Denn einerseits sind die Lücken |
|
sehr verschieden: Heartbleed erlaubte quasi jedem den Arbeitsspeicher von |
|
Servern auszulesen und dort nach verwertbaren Informationen wie Passwörtern |
|
zu suchen. Shellshock bietet jedoch direkten Zugriff auf den Rechner – |
|
sofern der Angreifer einen Weg findet, Bash zu aktivieren. |
|
|
|
Doch die Parallelen sind eindeutig: Hier wie da geht es um eine |
|
Sicherheitslücke in freier Software, die – da sie kostenlos und im Einsatz |
|
erprobt ist – bedenkenlos in unzählige Systeme integriert wurde. In |
|
zahlreichen Geräten wie Internet-Routern oder Videorekordern steckt |
|
mittlerweile ein kleines, spezialisiertes Linux-System. |
|
|
|
## Verlierer: Open Source |
|
|
|
Sicherheitsforscher Robert Graham sieht einen der Stützpfeiler der |
|
Sicherheit offener Software nun widerlegt: „Open-Source-Aktivisten |
|
vertreten die Theorie, dass Open Source-Software weniger Fehler haben wird, |
|
weil jeder den zugrundeliegenden Quellcode überprüfen kann“, |
|
[3][//:schreibt er in seinem Blog]. Dass die fatale Bash-Lücke über 20 |
|
Jahre unentdeckt blieb, sieht er als Gegenbeweis: Der durchschnittliche |
|
Programmierer schreibe 10 Mal häufiger Programme statt bestehende Programme |
|
zu lesen. Spezialisierte Code-Reviewer, die solche Fehler ausmerzen, |
|
leisteten sich hingegen nur die Hersteller kommerzieller Software. |
|
|
|
Das ist freilich eine Verkürzung: Auch bei kommerziellen Systemen fallen |
|
immer wieder uralte Sicherheitslücken auf. So wurden Windows-98-Nutzer |
|
nicht zum Wechsel gedrängt, weil das System nicht mehr funktioniert, |
|
sondern weil Microsoft keine Sicherheitsupdates für Privatnutzer mehr |
|
bereitstellt. |
|
|
|
Doch auch das Krisenmanagement ist kein Aushängeschild für die |
|
Open-Source-Gemeinde. So hat das am Donnerstag eilig verbreitete Update das |
|
Problem nicht ganz beseitigt – immer noch konnten Angreifer unbefugt |
|
Befehle in Server einschleusen. Die Hoffnung bleibt aber, dass Open-Source |
|
dabei hilft, neben dem Uralt-Programm nun möglichst schnell die |
|
Problemlösung zu verbreiten. Privatnutzer können also wenig tun, außer in |
|
den nächsten Tagen nach Sicherheitsupdates Ausschau zu halten. |
|
|
|
26 Sep 2014 |
|
|
|
## LINKS |
|
|
 |
[1] http://www.wired.com/2014/09/hackers-already-using-shellshock-bug-create-bo… |
|
[2] /Sicherheitsluecke-im-Netz/!136586/ |
|
[3] http://onlinetaz.hal.taz.de/http |
|
|
|
## AUTOREN |
|
|
|
Torsten Kleinz |
|
|
|
## TAGS |
|
|
|
Hacker |
|
Sicherheitslücken |
|
Heartbleed |
|
Linux |
|
Apple |
|
Apple |
|
Big Data |
|
Homosexualität |
|
Hacker |
|
Schwerpunkt Überwachung |
|
Microsoft |
|
Finanzen |
|
Heartbleed |
|
|
|
## ARTIKEL ZUM THEMA |
|
|
|
IPhones, Nacktbilder und Bono: Finnland fühlt sich verapplet |
|
|
|
Apple zerstört die Industrie des Landes, findet der finnische |
|
Premierminister. Recht hat er: Vier Dinge, die der Konzern schon |
|
kaputtgemacht hat. |
|
|
|
Kommentar Datenschutz Unternehmen: Vertrauen ist schlecht |
|
|
|
Unternehmen werben gerne mit Vertrauen, das man in sie investieren könne. |
|
Doch gerade beim Datenverkehr gilt: Sicherheit ist besser. |
|
|
|
Dating-App für Homosexuelle: Grindr schließt Sicherheitslücke |
|
|
|
Die Dating-App Grindr zeigt den Standort der Nutzer an. In vielen Ländern |
|
können so Schwule geoutet und verfolgt werden. Jetzt hat Grindr reagiert. |
|
|
|
Verleihung des „Internet-Schutz-Preises“: Facebook ehrt deutsche Forscher |
|
|
|
50.000 Dollar erhalten Forscher der Ruhr-Uni Bochum von Facebook. Sie |
|
entwickeln Methoden, um Sicherheitslücken in Internetanwendungen zu |
|
schließen. |
|
|
|
Überwachung durch Geheimdienste: Werkzeug von Kriminellen abgeguckt |
|
|
|
Die Dienste der USA, Großbritanniens, Kanadas, Australiens und Neuseelands |
|
nutzen offenbar Angriffsmethoden im Netz, die sonst nur von Kriminellen |
|
eingesetzt werden. |
|
|
|
Sicherheitslücke bei Internet Explorer: US-Regierung warnt vor Microsoft |
|
|
|
Über die Hälfte aller PC-Nutzer browst mit dem Internet Explorer. Sie |
|
werden jetzt vom Heimatschutzministerium vor einer schweren |
|
Sicherheitslücke gewarnt. |
|
|
|
„Heartbleed“ und Open-Source-Software: Sicherheit kostet |
|
|
|
Nach dem Sicherheitsdesaster „Heartbleed“ stellt sich die |
|
Finanzierungsfrage bei Open-Source-Projekten. Doch Geld kann neue Probleme |
|
schaffen. |
|
|
|
Sicherheitslücke „Heartbleed“: Eine Backdoor ist keine Backdoor? |
|
|
|
Nach dem Fehler in der Verschlüsselungssoftware OpenSSL spekulieren |
|
Experten, ob bewusst eine Hintertür geschaffen wurde. Etwa für |
|
Geheimdienste. |
