Digital
Datenschutz

Merkwürdiger Linux-Bug: Während sechs Jahren konnte man Rechner mit der «Zurück»-Taste knacken

28 mal hintereinander die Backspace-Taste drücken – und man hatte Zugriff auf den Computer.
28 mal hintereinander die Backspace-Taste drücken – und man hatte Zugriff auf den Computer.
bild: shutterstock

Merkwürdiger Linux-Bug: Während sechs Jahren konnte man Rechner mit der «Zurück»-Taste knacken

Immer wieder treten kuriose Sicherheitslücken bei Computern zutage. Nun hat es das Open-Source-System Linux erwischt. IT-Experte Marc Ruef nimmt Stellung.
17.12.2015, 19:5518.12.2015, 11:38
Mehr «Digital»

Linux wird von vielen als das super-sichere Betriebssystem angesehen. Die Software mit dem freundlichen Pinguin als Maskottchen wurde ursprünglich vom finnischen Programmierer Linus Torvalds entwickelt und fristet neben Windows und Mac OS X (auf Desktop-Rechnern) ein Nischendasein.

Im Gegensatz zu den Systemen von Microsoft und Apple ist Linux in verschiedenen Varianten als Open Source frei verfügbar. Wie ein Mitte Dezember publik gemachte Schwachstelle zeigt, war das von vielen Freiwilligen entwickelte System während Jahren mit einem einfachen Trick zu überlisten. Ein Angreifer musste nur 28 mal hintereinander die «Zurück»-Taste («Backspace») drücken, um reinzukommen.

Wer also (vorübergehend) physischen Zugriff auf einen Linux-Computer hatte, konnte unbemerkt auf die gespeicherten Daten zugreifen oder Malware installieren. Sehr unschön: Das Problem bestand offenbar während mehr als sechs Jahren ...

«Dies wird einmal mehr die Diskussion befeuern, ob Open Source nun wirklich so viel transparenter und sicherer ist.»
Marc Ruef, IT-Sicherheitsexperte

Es besteht kein Grund zur Panik. Die Entdecker der Schwachstelle haben umgehend einen Notfall-Patch veröffentlicht. Und die Anbieter der populären Linux-Systeme Ubuntu, Red Hat und Debian haben ihrerseits mit Software-Updates reagiert, um die Lücke zu schliessen.

Update 18. Dezember: Das Techportal heise.de hält fest, dass der betroffene Bootloader (Grub) auf sehr vielen Linux-Systemen im Einsatz sei, «die verwundbare Anmelde-Methode aber eher nicht».

Absichtliche «Hintertür»?

Wir haben den Schweizer IT-Sicherheitsexperten Marc Ruef von der Firma Scip AG um eine Einschätzung gebeten. Der erfahrene Hacker meint, es gebe einige spannende Aspekte rund um die Sicherheitslücke. Der Angriff sei zwar sehr simpel, setze jedoch physischen Zugriff auf das System voraus. «Immer, wenn solch einfache Schwachstellen auftauchen, stellt sich die Frage, ob diese nicht absichtlich als Hintertür etabliert wurden.»

Weiter gibt Ruef zu Bedenken, dass die Schwachstelle im Dezember 2009 eingeführt worden sei und knapp sechs Jahre unbemerkt existierte. «Dies wird einmal mehr die Diskussion befeuern, ob Open Source nun wirklich so viel transparenter und sicherer ist.»

Die Scip AG führt die Linux-Schwachstelle übrigens in ihrer online zugänglichen «Vulnerabilities»-Datenbank. Im entsprechenden Eintrag wird auch der Wert der Schwachstelle eingeschätzt. Als sie noch nicht öffentlich bekannt war, soll sie bis zu 25'000 Dollar wert gewesen sein. Heute seien es noch 2000 bis 5000 Dollar.

via Lifehacker

So viel Stromkosten pro Jahr verursachen Handy, PC, TV, Kühlschrank und andere Geräte wirklich

1 / 21
So viel Stromkosten pro Jahr verursachen Handy, PC, TV, Kühlschrank und andere Geräte wirklich
Die Stromkosten für das Aufladen des Handys werden massiv überschätzt. In den folgenden 18 Bildern erfährst du, welche Geräte am meisten Strom verbrauchen.
Auf Facebook teilenAuf X teilen

Hol dir jetzt die beste News-App der Schweiz!

  • watson: 4,5 von 5 Sternchen im App-Store ☺
  • Tages-Anzeiger: 3,5 von 5 Sternchen
  • Blick: 3 von 5 Sternchen
  • 20 Minuten: 3 von 5 Sternchen

Du willst nur das Beste? Voilà:

DANKE FÜR DIE ♥
Würdest du gerne watson und unseren Journalismus unterstützen? Mehr erfahren
(Du wirst umgeleitet, um die Zahlung abzuschliessen.)
5 CHF
15 CHF
25 CHF
Anderer
twint icon
Oder unterstütze uns per Banküberweisung.
Das könnte dich auch noch interessieren:
21 Kommentare
Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 24 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
Die beliebtesten Kommentare
avatar
st_IGNUcius
17.12.2015 23:02registriert Dezember 2015
Herr Schurter sollte den reisserischen Titel anpassen. Seine Ausführungen im Artikel sind schlicht und einfach technisch nicht korrekt. Der angesprochene Bug befindet sich im Bootloader GRUB (Ein Bootloader ist ein Programm, welches unmittelbar nach dem Systemstart (der BIOS POST) gestartet wird. Der Bootloader startet danach jeweils das gewünschte Betriebssystem). Der Bug befindet sich also nicht im Linux Kernel. Man kann nun auch nicht implizieren, dass jedes Linux System von der Lücke betroffen ist. So verwendet Android z.B. einen anderen Bootloader.
433
Melden
Zum Kommentar
avatar
Steph4600
17.12.2015 23:12registriert Februar 2014
Könnt Ihr bitte den Artikel korrigieren?

Es ist nur ein bei Linux Erhaltener Bootloader betroffen.

Das ist etwa so wie wenn man über das "wollen sie Windows im abgesicherten Modus starten" hinauskommt.
284
Melden
Zum Kommentar
avatar
Abnaxos
17.12.2015 21:49registriert April 2014
Wie p4trick schon geschrieben hat, hat das mit Linux gar nichts zu tun, es geht um den Bootloader Grub.

Dass die Lücke so lange nicht gefunden wurde, lässt sich ganz einfach erklären: Niemand, der auch nur annähernd bei Verstand ist, «schützt» seinen Rechner mit einem Passwort im Bootloader. Ich wusste gar nicht, dass Grub so eine Funktion hat und ich verstehe nicht, wozu das gut sein soll.
231
Melden
Zum Kommentar
21
Online-Demütigung: Männer verbreiten Nacktfotos und Telefonnummern von Frauen auf Telegram
Männer stellen vermehrt Nacktbilder von Frauen, die sie kennen, ins Internet – zusammen mit ihren Telefonnummern. Obwohl es auch in der Schweiz Betroffene gibt, ermittelt die Polizei nicht proaktiv.

Wenn etwas eskaliert, folgen Taten. Doch was, wenn sich bereits eine Eigendynamik entwickelt hat?

Zur Story