Digital
Wir verwenden Cookies und Analysetools, um die Nutzerfreundlichkeit der Internetseite zu verbessern und passende Werbung von watson und unseren Werbepartnern anzuzeigen. Weitere Infos findest Du in unserer Datenschutzerklärung.
A man types on a computer keyboard in Warsaw in this February 28, 2013 illustration file picture.  High-level Chinese hackers recently tried to break into a key Canadian computer system, forcing Ottawa to isolate it from the main government network, a senior official said on July 29, 2014. REUTERS/Kacper Pempel/Files (POLAND - Tags: BUSINESS SCIENCE TECHNOLOGY)

Das Internet ist um eine gravierende Sicherheitslücke reicher. Bild: REUTERS

Shellshock: Schweizer Sicherheitsexperte warnt

«Es ist nur eine Frage der Zeit, bis umfangreiche Angriffe erfolgen»

Die neue Sicherheitslücke Shellshock schreckt das Internet auf. Experten reden vom nächsten Heartbleed-Desaster. Wer oder welche Geräte von Shellshock betroffen sind und wie man sich dagegen schützt, erklärt Sicherheitsexperte Marc Ruef.



Eine halbe Million-Webseiten seien von Shellshock betroffen. Das schätzt der US-Sicherheitsexperte Robert Graham. Schlimmer als Heartbleed soll die neue Sicherheitslücke sein, behaupten verschiedene Quellen. Andere, wie der Deutsche Blogger Felix von Leitner, auch bekannt als Fefe, sind zurückhaltender. Dass Shellshock eine Gefahr darstellt, darin sind sich hingegen alle einig. Der sogenannte Bash-Bug taucht in Bash-Shells von Linux- und Unix-Systemen auf. Nutzt man ihn korrekt aus, kann jeglicher Code ausgeführt werden, sobald die Shell aufgerufen wird. Auch der Schweizer Sicherheitsexperte Marc Ruef rät zur Vorsicht.

Was muss sich ein Laie unter der Sicherheitslücke Shellshock vorstellen?
Marc Ruef, Sicherheitsexperte bei Scip: Hierbei handelt es sich um einen klassischen Angriff. Ein Angreifer benutzt eine normale Eingabemöglichkeit. Durch Sonderzeichen wird eine verwundbare Software dazu gebracht, die Eingabe als Code zu verstehen und auszuführen. Dadurch wird quasi ein eigener Programmcode injiziert.

Wie genau funktioniert Shellshock? 

Die verwundbare Komponente greift auf Daten verschiedener Quellen zurück. Dabei werden diese eingelesen und verarbeitet. In der Regel handelt es sich um Informationen, wie zum Beispiel die Uhrzeit oder eine E-Mailadresse. Wenn nun in diesem Datensatz eine spezielle Zeichenkette vorkommt, kann eine programmtechnische Interpretation provoziert werden: Die Information wird dann interpretiert, wie wenn es sich um Programmcode der Software handeln würde. Die Software denkt, dass es legitim ist, diesen neuen Code auszuführen. Dadurch wird es dem Angreifer möglich, eigene Kommandos auszuführen und das Zielsystem zu manipulieren oder fernzusteuern.

Wie kann Shellshock von Hackern oder der NSA ausgenutzt werden?
Es sind erste Möglichkeiten (Exploits) bekannt, die zur automatisierten Ausnutzung der Schwachstelle eingesetzt werden können. Es ist also nur eine Frage der Zeit, bis umfangreiche Angriffe oder gar ein darauf aufbauender Computerwurm injiziert werden. Mit grösster Wahrscheinlichkeit sind gegenwärtig diverse Stellen darum bemüht, diese Schwachstelle zu ihrem Vorteil ausnutzen zu können.

«Mac OS X basiert ebenfalls auf Unix und ist somit auch betroffen.Gleiches könnte bei Android-basierten Geräten der Fall sein»

Welche Geräte und Systeme sind konkret betroffen?
Verwundbar sind alle Systeme, die eine Bash-Shell unterstützen. Hierbei handelt es sich um eine Software, die die meisten Leute von der MS-DOS-Eingabeaufforderung her kennen. Sie wird eingesetzt, um einzelne Befehle auf der Kommandozeile einzugeben. Bash wird traditionellerweise auf Unix- und Linux-Systemen verwendet, die bei einem Grossteil der Internet-Infrastruktur eingesetzt werden. Mac OS X basiert ebenfalls auf Unix und ist somit auch betroffen. Gleiches könnte bei Android-basierten Geräten der Fall sein. Voraussetzung für eine erfolgreiche Attacke ist, dass ein Angreifer Daten an die verwundbare Stelle (Bash-Shell) schicken kann. Dies kann typischerweise mit einem Formular auf einer Webseite erfolgen.

Marc Ruef, Schweizer Computer- und Internet-Experte, ehemaliger Hacker, arbeitet bei Scip AG (Januar 2014)

Marc Ruef, Sicherheitsexperte bei Scip. Bild: zvg

Wie ist der normaler Internet-Nutzer betroffen? 
Ähnlich wie bei Heartbleed werden wohl auch in diesem Zusammenhang in erster Linie Server-Systeme betroffen sein. Durch eine Kompromittierung von Mail- oder Cloud-Diensten könnten natürlich Zugriffe auf sensible Daten stattfinden. Der jüngste Leak prominenter Selfies zeigt, dass die indirekten Auswirkungen nicht zu unterschätzen sind.

Wie kann ich mich schützen? 
Die Server-Betreiber sind angehalten, entsprechende Massnahmen zu treffen. Falls Client-Systeme ebenfalls betroffen sind, dies ist momentan noch nicht umfassend geklärt, könnten auch hier Updates erforderlich sein. Falls man externe Dienste, zum Beispiel Gmail oder Dropbox nutzt, kann man nicht viel gegen einen Angriff machen. Um die Auswirkungen für sich selbst zu minimieren, sollte auf das Nutzen unnötiger Angebote und das Hochladen sensitiver Daten verzichtet werden. Im Fall einer Kompromittierung ist der Schaden damit reduziert.

«Es ist also nur eine Frage der Zeit, bis umfangreiche Angriffe oder gar ein darauf aufbauender Computerwurm injiziert werden.»

Was kann schlimmsten Falls passieren? 
Die betroffene Komponente wird von einem Grossteil der Unix- und Linux-Systeme unterstützt. Falls ein effizienter Weg gefunden wird, diese Schwachstelle auszunutzen, könnte dies zu einer umfangreichen Störung der Infrastruktur im Internet führen. Ein technisches, gesellschaftliches und mediales Beben, wie es beim Bekanntwerden von Heartbleed zu beobachten war, könnte die Folge davon sein.

Wann wird Shellshock richtig gefährlich?
Eine erste mögliche systematischen Ausnutzung der Sicherheitslücke wurde am frühen Donnerstagmorgen publiziert. Da es sehr viele unterschiedliche Systeme gibt, sind vermutlich nicht alle angreifbar. Man kann damit rechnen, dass in etwa zwei Tagen hochgradig funktionale Exploits die Runde machen werden. Ein darauf aufbauender Computerwurm könnte die Folge sein und verheerende Auswirkungen mit sich bringen.

Warum ist Shellshock schlimmer als Heartbleed? 
Heartbleed hat in erster Linie Server betroffen, die eine verwundbare Version von OpenSSL eingesetzt haben. Bei Shellshock sind alle Systeme betroffen, die Bash einsetzen. Die Verbreitung von Bash ist voraussichtlich bedeutend höher als jene von OpenSSL. Unter dem Strich wird es mehr gegen Shellshock verwundbare Systeme geben, als dies bei Heartbleed der Fall war. Der US-amerikanische Sicherheitsexperte Robert Graham ist momentan darum bemüht, eine statistische Analyse der exponierten System anzufertigen.

Wer ist für die Schwachstelle verantwortlich? 
Die betroffene Komponente Bash ist ein quelloffenes Projekt, bei dem jeder mitarbeiten kann. Der für die Schwachstelle verantwortliche Code-Teil wurde im Rahmen der Ausarbeitung eines Patches identifiziert. Wer den verwundbaren Code geschrieben hat, ist momentan noch unklar. Aufgrund der lückenlosen Dokumentation des Projekts kann dies aber herausgefunden werden. Personenbezogene Schuldzuweisungen sind hier aber fehl am Platz. Viel mehr sollten die Prozesse zur sicheren Entwicklung von Software hinterfragt werden.

DANKE FÜR DIE ♥

Da du bis hierhin gescrollt hast, gehen wir davon aus, dass dir unser journalistisches Angebot gefällt. Wie du vielleicht weisst, haben wir uns kürzlich entschieden, bei watson keine Login-Pflicht einzuführen. Auch Bezahlschranken wird es bei uns keine geben. Wir möchten möglichst keine Hürden für den Zugang zu watson schaffen, weil wir glauben, es sollten sich in einer Demokratie alle jederzeit und einfach mit Informationen versorgen können. Falls du uns dennoch mit einem kleinen Betrag unterstützen willst, dann tu das doch hier.

Würdest du gerne watson und Journalismus unterstützen?

(Du wirst zu stripe.com (umgeleitet um die Zahlung abzuschliessen)

Oder unterstütze uns mit deinem Wunschbetrag per Banküberweisung.

Nicht mehr anzeigen

Das könnte dich auch noch interessieren:

Abonniere unseren Newsletter

5 Kommentare
Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 24 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
5

Zoom hat's vermasselt – die unglaubliche Chronologie der Zoom-Fails

Zoom ist der grosse Profiteur der Corona-Pandemie. Über 200 Millionen Menschen tauschen sich täglich über die Videokonferenz-App aus. Doch nun tauchen täglich neue Probleme auf. IT-Experten nennen Zoom «ein Datenschutz-Desaster» oder schlicht «Schadsoftware».

Zoom wird seit Wochen von neuen Nutzern überrannt, da die Corona-Pandemie immer mehr Menschen dazu zwingt, von zuhause aus zu arbeiten. Das schlagende Argument des Skype-Rivalen sind die nahezu reibungslos funktionierenden Videoanrufe und Videokonferenzen. Egal ob mit zwei oder 100 Personen, egal ob am PC oder Smartphone, es funktioniert. Und zwar so einfach, dass es jede und jeder nutzen kann (sogar Boris Johnson).

>> Coronavirus: Alle News im Liveticker

Darum zoomen längst nicht nur …

Artikel lesen
Link zum Artikel