Zum Inhalt springen

Digital Shellshock macht das Internet unsicherer

Kein halbes Jahr nach dem Heartbleed-Bug versetzt eine neue Sicherheitslücke die Internet-Welt in Aufregung: «Shellshock» soll nicht nur Server im Internet betreffen, sondern auch unzählige weitere Geräte. Die Folgen des neuen Bugs lassen sich auch am Tag nach seiner Entdeckung schwer absehen.

Eine Shell-Muschel mit Blitzen vor Programm-Code
Legende: Shellshock: Was ein rechter Bug ist, braucht auch ein zünftiges Logo... Paul M. Gerhardt

Nach dem Bekanntwerden der Shellshock-Lücke am Donnerstag waren Experten geteilter Meinung, wie schwerwiegend der Bug nun wirklich sei. Einige wiesen darauf hin, dass Serverbetreiber die Lücke mit einfachsten Mitteln schliessen können und das bei wichtigen Systemen wohl schon lange geschehen sei. Doch andere betonten, dass allein die riesige Menge von potenziell angreifbaren Maschinen Shellshock zu einem weit schwerwiegenderen Problem als den Heartbleed-Bug mache, der Anfang April dieses Jahres bekannt wurde.

Auch in der Zeitspanne, die bis zum Bekanntwerden der Sicherheitslücke verging, unterscheiden sich die beiden Bugs: Während die kritische Zeit bei Heartbleed nur gerade zwei Jahre betrug, dauerte es über 20 Jahre, bis mit dem Franzosen Stéphane Chazelas, Link öffnet in einem neuen Fenster jemand auf den Shellshock-Bug aufmerksam machte.

Erste Shellshock-Würmer im Umlauf

Der Sicherheitsexperte Robert Graham, der Shellshock als einer der ersten genauer untersuchte, kam nach einem schnellen (keineswegs kompletten) Scan auf über 3000 Server, Link öffnet in einem neuen Fenster, die wegen Shellshock mit einfachen Mitteln angreifbar seien. Die Webseite Ars Technica geht von über zwei Milliarden Webseiten, Link öffnet in einem neuen Fenster aus, die für Attacken in Frage kämen.

Nach Angaben von Sicherheitsunternehmen sollen Angreifer im Internet auch schon gezielt nach Einfallstüren suchen, die Shellshock offen lässt. Und mindestens zwei Computer-Würmer, Link öffnet in einem neuen Fenster seien bereits im Umlauf, welche diese Lücken auch tatsächlich zum Installieren von Schadsoftware ausnutzen – mit dem Ziel, infizierte Maschinen für orchestrierte Denial-of-Service-Angriffe , Link öffnet in einem neuen Fenster(DDoS) zu missbrauchen.

Einfach, aber weitreichend

Shellshock macht sich einen Fehler, Link öffnet in einem neuen Fenster im Kommandozeilenprogramm Bash , Link öffnet in einem neuen Fensterzu Nutze, der es Angreifern erlaubt, auf betroffenen Maschinen bösartigen Code auszuführen. So können sie nicht nur DDoS-Angriffe starten, sondern auch Webseiten unter ihre Kontrolle bringen und zur Verbreitung von Schadsoftware missbrauchen. Oder gekaperte Server zu Spam-Schleudern umfunktionieren.

Bash ist ein wichtiger Bestandteil von Apples Betriebssystem OS X und von Linux. Es wird auf vielen Servern als Standard-Kommandozeilenprogramm verwendet. Die Zahl der verwundbaren Geräte ist deshalb ungleich grösser als beim Heartbleed-Bug. Der betraf bloss eine spezifische Version der Software OpenSSL, die auf Servern zum Einsatz kommt. Weil ein Shellshock-Angriff ausserdem mit relativ einfach Mitteln auszuführen ist, bewertet ihn die National Vulnerability Database, Link öffnet in einem neuen Fenster der US-Behörden in Sachen Komplexität mit «Low», in Sachen Auswirkungen dagegen mit «High».

Problemfall «Connected Devices»

Für Serverbetreiber ist es allerdings mit einfachsten Mitteln möglich, ihre Maschinen gegen Angriffe zu schützen und Bash so zu konfigurieren, dass kein schädlicher Code ausgeführt werden kann. Als der Bug bekannt wurde, existierten für die wichtigsten Linux-Systeme auch schon Patches, um den Fehler zu beheben. Es ist davon auszugehen, dass grosse Server deshalb schon beim Bekanntwerden vor Shellshock geschützt waren. Allerdings sollen auch die ersten Patches nicht vollständig vor allfälligen Angriffe schützen.

Weil es ausserdem viele untergeordnete Systeme gibt, die nur selten mit Updates versorgt werden, Link öffnet in einem neuen Fenster, geht Robert Graham davon aus, dass der Shellshock-Bug noch lange für Unsicherheit sorgen wird. Er weist auf die vielen «Connected Devices» hin, die ständig mit dem Internet verbunden sind, deren Software nach der ersten Installation aber häufig nicht mehr aktualisiert wird und so angreifbar bleibt.

Apple-Computer sind verwundbar

Im Gegensatz zum Heartbleed-Bug sind von Shellshock nicht nur Serverbetreiber betroffen, sondern auch Privatanwender, weil Bash Bestandteil des Apple-Betriebssystems OS X ist. Apple sagt, die meisten ihrer Kunden seien von der Sicherheitslücke nicht betroffen, weil Mac-Computer standardmässig gegen Shellshock-Angriffe geschützt, Link öffnet in einem neuen Fenster seien. Nur wer auf seiner Maschine spezielle Unix-Dienste eingerichtet habe, müsse sich allenfalls Sorgen machen.

Apple präzisiert nicht, welche Unix-Dienste damit genau gemeint sind. Allerdings lässt sich mit einfachen Mitteln überprüfen, Link öffnet in einem neuen Fenster, ob ein Rechner verwundbar ist. Wer im Mac-Terminal folgendes Script ausführt

test="() { echo Hello; }; echo verwundbar" bash -c ""

und darauf die Meldung

verwundbar

erhält, sollte seine Maschine schnellstmöglich mit einem Update gegen Shellshock-Angriffe schützen. Apple hat ein solches Update angekündigt, aber keine Angaben dazu gemacht, wann genau es verfügbar sein wird.

Update [30. September 2014]:

Apple hat ein Bash-Update für die OS-X-Betriebssysteme Mavericks, Link öffnet in einem neuen Fenster, Lion , Link öffnet in einem neuen Fensterund Mountain Lion, Link öffnet in einem neuen Fenster veröffentlicht.

11 Kommentare

Sie sind angemeldet als Who ? (whoareyou) (abmelden)

Teilen Sie Ihre Meinung... anwählen um einen Kommentar zu schreiben

Wir haben Ihren Kommentar erhalten und werden ihn nach Prüfung freischalten.

Einen Kommentar schreiben

Bitte beachten Sie unsere Netiquette verfügbar sind noch 500 Zeichen

Es ist ein Fehler aufgetreten. Bitte versuchen Sie es erneut.