taz.de -- „Shellshock“-Lücke bei Apple und Linux: Die erste Angriffswelle läuft

Nach dem Bekanntwerden einer 20 Jahre alten Sicherheitslücke wird diese schon ausgenutzt. Panik privater Nutzer ist unangebracht.

KÖLN taz | Von einer neuen Sicherheitslücke zu sprechen ist eine gelinde Übertreibung: Die nun „Shellshock“ getaufte Lücke in dem Programm Bash ist nach aktuellen Informationen über 20 Jahre alt. So lange versteckte sie sich unentdeckt in dem Programm, das heute noch auf fast allen Linux-Rechnern und auch auf aktuellen Apple-Computern vorinstalliert ist.

Es handelt sich bei Bash um eine sogenannte Shell, also ein Programm, mit dem Administratoren per Kommandozeile rudimentäre Verwaltungsaufgaben durchführen und automatisieren können. Die nun entdeckte Sicherheitslücke ist erstaunlich einfach auszunutzen: Man muss dem Programm neben einem normalen Befehl nur noch einige „Umgebungsvariablen“ übergehen und der Computer führt so ziemlich jeden Befehl aus: Dateien auslesen, Passwörter ändern oder auch andere Rechner attackieren.

Die erste Angriffswelle rollt bereits. [1][Wie das Magazin Wired berichtet], haben Angreifer dank Shellcode massenhaft fremde Rechner übernommen und damit begonnen, unter anderem das Netz des Internet-Dienstleisters Akamai und der US-Regierung zu attackieren. Andere Angreifer sind offenbar noch auf der Suche nach weiteren Rechnern, die sie übernehmen können, bevor sie zur Tat schreiten.

Größer als Heartbleed?

Dies könnte aber nur ein Vorgeschmack sein auf das, was noch kommen mag. Denn es ist unklar, in wie vielen Geräten der „Shellshock“ noch lauert und wie viele Wege Angreifer finden, ihn auszunutzen. So hat Apple angekündigt, sein Betriebssystem MacOS X abzudichten – eine akute Gefahr für Privatanwender sieht der Konzern nach Medienberichten jedoch nicht, da das schadhafte Programm auf Apple-Rechnern nicht einfach über das Internet aktiviert werden kann.

Die in den Medien verbreiteten Spekulationen, ob „Shellshock“ noch schlimmer als die [2][im April entdeckte Sicherheitslücke „Heartbleed“] ist, sind weitgehend Kaffeesatzleserei. Denn einerseits sind die Lücken sehr verschieden: Heartbleed erlaubte quasi jedem den Arbeitsspeicher von Servern auszulesen und dort nach verwertbaren Informationen wie Passwörtern zu suchen. Shellshock bietet jedoch direkten Zugriff auf den Rechner – sofern der Angreifer einen Weg findet, Bash zu aktivieren.

Doch die Parallelen sind eindeutig: Hier wie da geht es um eine Sicherheitslücke in freier Software, die – da sie kostenlos und im Einsatz erprobt ist – bedenkenlos in unzählige Systeme integriert wurde. In zahlreichen Geräten wie Internet-Routern oder Videorekordern steckt mittlerweile ein kleines, spezialisiertes Linux-System.

Verlierer: Open Source

Sicherheitsforscher Robert Graham sieht einen der Stützpfeiler der Sicherheit offener Software nun widerlegt: „Open-Source-Aktivisten vertreten die Theorie, dass Open Source-Software weniger Fehler haben wird, weil jeder den zugrundeliegenden Quellcode überprüfen kann“, [3][//:schreibt er in seinem Blog]. Dass die fatale Bash-Lücke über 20 Jahre unentdeckt blieb, sieht er als Gegenbeweis: Der durchschnittliche Programmierer schreibe 10 Mal häufiger Programme statt bestehende Programme zu lesen. Spezialisierte Code-Reviewer, die solche Fehler ausmerzen, leisteten sich hingegen nur die Hersteller kommerzieller Software.

Das ist freilich eine Verkürzung: Auch bei kommerziellen Systemen fallen immer wieder uralte Sicherheitslücken auf. So wurden Windows-98-Nutzer nicht zum Wechsel gedrängt, weil das System nicht mehr funktioniert, sondern weil Microsoft keine Sicherheitsupdates für Privatnutzer mehr bereitstellt.

Doch auch das Krisenmanagement ist kein Aushängeschild für die Open-Source-Gemeinde. So hat das am Donnerstag eilig verbreitete Update das Problem nicht ganz beseitigt – immer noch konnten Angreifer unbefugt Befehle in Server einschleusen. Die Hoffnung bleibt aber, dass Open-Source dabei hilft, neben dem Uralt-Programm nun möglichst schnell die Problemlösung zu verbreiten. Privatnutzer können also wenig tun, außer in den nächsten Tagen nach Sicherheitsupdates Ausschau zu halten.

26 Sep 2014

LINKS

AUTOREN

TAGS

ARTIKEL ZUM THEMA

Apple zerstört die Industrie des Landes, findet der finnische Premierminister. Recht hat er: Vier Dinge, die der Konzern schon kaputtgemacht hat.

Unternehmen werben gerne mit Vertrauen, das man in sie investieren könne. Doch gerade beim Datenverkehr gilt: Sicherheit ist besser.

Die Dating-App Grindr zeigt den Standort der Nutzer an. In vielen Ländern können so Schwule geoutet und verfolgt werden. Jetzt hat Grindr reagiert.

50.000 Dollar erhalten Forscher der Ruhr-Uni Bochum von Facebook. Sie entwickeln Methoden, um Sicherheitslücken in Internetanwendungen zu schließen.

Die Dienste der USA, Großbritanniens, Kanadas, Australiens und Neuseelands nutzen offenbar Angriffsmethoden im Netz, die sonst nur von Kriminellen eingesetzt werden.

Über die Hälfte aller PC-Nutzer browst mit dem Internet Explorer. Sie werden jetzt vom Heimatschutzministerium vor einer schweren Sicherheitslücke gewarnt.

Nach dem Sicherheitsdesaster „Heartbleed“ stellt sich die Finanzierungsfrage bei Open-Source-Projekten. Doch Geld kann neue Probleme schaffen.

Nach dem Fehler in der Verschlüsselungssoftware OpenSSL spekulieren Experten, ob bewusst eine Hintertür geschaffen wurde. Etwa für Geheimdienste.