Zum Inhalt springen

Header

Eine Shell-Muschel mit Blitzen vor Programm-Code
Legende: Shellshock: Was ein rechter Bug ist, braucht auch ein zünftiges Logo... Paul M. Gerhardt
Inhalt

Digital Shellshock macht das Internet unsicherer

Kein halbes Jahr nach dem Heartbleed-Bug versetzt eine neue Sicherheitslücke die Internet-Welt in Aufregung: «Shellshock» soll nicht nur Server im Internet betreffen, sondern auch unzählige weitere Geräte. Die Folgen des neuen Bugs lassen sich auch am Tag nach seiner Entdeckung schwer absehen.

Nach dem Bekanntwerden der Shellshock-Lücke am Donnerstag waren Experten geteilter Meinung, wie schwerwiegend der Bug nun wirklich sei. Einige wiesen darauf hin, dass Serverbetreiber die Lücke mit einfachsten Mitteln schliessen können und das bei wichtigen Systemen wohl schon lange geschehen sei. Doch andere betonten, dass allein die riesige Menge von potenziell angreifbaren Maschinen Shellshock zu einem weit schwerwiegenderen Problem als den Heartbleed-Bug mache, der Anfang April dieses Jahres bekannt wurde.

Auch in der Zeitspanne, die bis zum Bekanntwerden der Sicherheitslücke verging, unterscheiden sich die beiden Bugs: Während die kritische Zeit bei Heartbleed nur gerade zwei Jahre betrug, dauerte es über 20 Jahre, bis mit dem Franzosen Stéphane Chazelas, Link öffnet in einem neuen Fenster jemand auf den Shellshock-Bug aufmerksam machte.

Erste Shellshock-Würmer im Umlauf

Der Sicherheitsexperte Robert Graham, der Shellshock als einer der ersten genauer untersuchte, kam nach einem schnellen (keineswegs kompletten) Scan auf über 3000 Server, Link öffnet in einem neuen Fenster, die wegen Shellshock mit einfachen Mitteln angreifbar seien. Die Webseite Ars Technica geht von über zwei Milliarden Webseiten, Link öffnet in einem neuen Fenster aus, die für Attacken in Frage kämen.

Nach Angaben von Sicherheitsunternehmen sollen Angreifer im Internet auch schon gezielt nach Einfallstüren suchen, die Shellshock offen lässt. Und mindestens zwei Computer-Würmer, Link öffnet in einem neuen Fenster seien bereits im Umlauf, welche diese Lücken auch tatsächlich zum Installieren von Schadsoftware ausnutzen – mit dem Ziel, infizierte Maschinen für orchestrierte Denial-of-Service-Angriffe , Link öffnet in einem neuen Fenster(DDoS) zu missbrauchen.

Einfach, aber weitreichend

Shellshock macht sich einen Fehler, Link öffnet in einem neuen Fenster im Kommandozeilenprogramm Bash , Link öffnet in einem neuen Fensterzu Nutze, der es Angreifern erlaubt, auf betroffenen Maschinen bösartigen Code auszuführen. So können sie nicht nur DDoS-Angriffe starten, sondern auch Webseiten unter ihre Kontrolle bringen und zur Verbreitung von Schadsoftware missbrauchen. Oder gekaperte Server zu Spam-Schleudern umfunktionieren.

Bash ist ein wichtiger Bestandteil von Apples Betriebssystem OS X und von Linux. Es wird auf vielen Servern als Standard-Kommandozeilenprogramm verwendet. Die Zahl der verwundbaren Geräte ist deshalb ungleich grösser als beim Heartbleed-Bug. Der betraf bloss eine spezifische Version der Software OpenSSL, die auf Servern zum Einsatz kommt. Weil ein Shellshock-Angriff ausserdem mit relativ einfach Mitteln auszuführen ist, bewertet ihn die National Vulnerability Database, Link öffnet in einem neuen Fenster der US-Behörden in Sachen Komplexität mit «Low», in Sachen Auswirkungen dagegen mit «High».

Problemfall «Connected Devices»

Für Serverbetreiber ist es allerdings mit einfachsten Mitteln möglich, ihre Maschinen gegen Angriffe zu schützen und Bash so zu konfigurieren, dass kein schädlicher Code ausgeführt werden kann. Als der Bug bekannt wurde, existierten für die wichtigsten Linux-Systeme auch schon Patches, um den Fehler zu beheben. Es ist davon auszugehen, dass grosse Server deshalb schon beim Bekanntwerden vor Shellshock geschützt waren. Allerdings sollen auch die ersten Patches nicht vollständig vor allfälligen Angriffe schützen.

Weil es ausserdem viele untergeordnete Systeme gibt, die nur selten mit Updates versorgt werden, Link öffnet in einem neuen Fenster, geht Robert Graham davon aus, dass der Shellshock-Bug noch lange für Unsicherheit sorgen wird. Er weist auf die vielen «Connected Devices» hin, die ständig mit dem Internet verbunden sind, deren Software nach der ersten Installation aber häufig nicht mehr aktualisiert wird und so angreifbar bleibt.

Apple-Computer sind verwundbar

Im Gegensatz zum Heartbleed-Bug sind von Shellshock nicht nur Serverbetreiber betroffen, sondern auch Privatanwender, weil Bash Bestandteil des Apple-Betriebssystems OS X ist. Apple sagt, die meisten ihrer Kunden seien von der Sicherheitslücke nicht betroffen, weil Mac-Computer standardmässig gegen Shellshock-Angriffe geschützt, Link öffnet in einem neuen Fenster seien. Nur wer auf seiner Maschine spezielle Unix-Dienste eingerichtet habe, müsse sich allenfalls Sorgen machen.

Apple präzisiert nicht, welche Unix-Dienste damit genau gemeint sind. Allerdings lässt sich mit einfachen Mitteln überprüfen, Link öffnet in einem neuen Fenster, ob ein Rechner verwundbar ist. Wer im Mac-Terminal folgendes Script ausführt

test="() { echo Hello; }; echo verwundbar" bash -c ""

und darauf die Meldung

verwundbar

erhält, sollte seine Maschine schnellstmöglich mit einem Update gegen Shellshock-Angriffe schützen. Apple hat ein solches Update angekündigt, aber keine Angaben dazu gemacht, wann genau es verfügbar sein wird.

Update [30. September 2014]:

Apple hat ein Bash-Update für die OS-X-Betriebssysteme Mavericks, Link öffnet in einem neuen Fenster, Lion , Link öffnet in einem neuen Fensterund Mountain Lion, Link öffnet in einem neuen Fenster veröffentlicht.

Meistgelesene Artikel

Nach links scrollen Nach rechts scrollen

10 Kommentare

Navigation aufklappen Navigation zuklappen

Sie sind angemeldet als Who ? (whoareyou) (abmelden)

Wir haben Ihren Kommentar erhalten und werden ihn nach Prüfung freischalten.

Einen Kommentar schreiben

verfügbar sind noch 500 Zeichen

Mit dem Absenden dieses Kommentars stimme ich der Netiquette von srf.ch zu.

Es ist ein Fehler aufgetreten. Bitte versuchen Sie es erneut.

  • Kommentar von Christian Hunziker , Winterthur
    Super-Service. Habe den Artikel interessiert gelesen und die Anleitung mit Download-Link im Nachtrag beim zweiten Besuch äusserst nützlich gefunden. Vielen Dank.
    Antworten anwählen um auf den Kommentar zu antworten
  • Kommentar von Christoph Speiser , Witterswil
    Das update ist verfügbar
    Antworten anwählen um auf den Kommentar zu antworten
  • Kommentar von L. Hesse , AG
    Dieses Komando um zu prüfen ob man 'verwundbar' ist, ist völliger Humbug! anstatt 'verwundbar' kann man irgendein Wort verwenden und es antwortet mit diesem Wort das man eingibt.
    Antworten anwählen um auf den Kommentar zu antworten
    1. Antwort von K. Bieri , Ittigrn
      Das Kommando ist sicher kein Humbug. Natürlich kann man das ausgegebene Wort beliebig wählen; falls es beim Ausführen dann aber zurückgegeben wird, ist man vom Bug betroffen. Ein gepatchtes System wird keinen Output ausgeben.
    2. Antwort von Roland Wild , 8610 Uster
      Nicht ganz verstanden um was es geht!
    3. Antwort von A. Stahel , 8000 Zürich
      Sie können auch "Alles ist in bester Ordnung" verwenden, wenn sie mögen... Aber wenn das Script diese Antwort ausgibt, ist etwas nicht in Ordnung, das ist der Test an der ganzen Sache. Näheres finden sie hier: http://de.wikipedia.org/wiki/Shellshock_%28Sicherheitsl%C3%BCcke%29
    4. Antwort von Michael , Fribourg
      Sie haben wohl nicht ganz verstanden was der Zweck ist. Es geht nur darum zu schauen ob das Skipt ausgeführt wird oder nicht. Wenn ja, ist ihr PC angreifbar
    5. Antwort von S Simon , Basel
      Das macht das Kommando doch nicht zu Humbug. Prinzipiell versucht das Kommando die Shellshock Lücke auszunutzen um etwas auf die Kommandozeile auszugeben (mit echo). Natürlich könnte man genausogut sagen, schreib test="() { echo Hello; }; echo hallihallo" bash -c "" und wenn hallihallo ausgegeben wird ist die bash verwundbar... ändert aber nichts daran, dass das obrige Kommando genau das tut was man will: man kann überprüfen, ob man gegen Shellshock geschützt ist.