„Shellshock“-Lücke bei Apple und Linux: Die erste Angriffswelle läuft

Nach dem Bekanntwerden einer 20 Jahre alten Sicherheitslücke wird diese schon ausgenutzt. Panik privater Nutzer ist unangebracht.

Auch Apple-Rechner sind von der Sicherheitslücke betroffen. Bild: dpa

KÖLN taz | Von einer neuen Sicherheitslücke zu sprechen ist eine gelinde Übertreibung: Die nun „Shellshock“ getaufte Lücke in dem Programm Bash ist nach aktuellen Informationen über 20 Jahre alt. So lange versteckte sie sich unentdeckt in dem Programm, das heute noch auf fast allen Linux-Rechnern und auch auf aktuellen Apple-Computern vorinstalliert ist.

Es handelt sich bei Bash um eine sogenannte Shell, also ein Programm, mit dem Administratoren per Kommandozeile rudimentäre Verwaltungsaufgaben durchführen und automatisieren können. Die nun entdeckte Sicherheitslücke ist erstaunlich einfach auszunutzen: Man muss dem Programm neben einem normalen Befehl nur noch einige „Umgebungsvariablen“ übergehen und der Computer führt so ziemlich jeden Befehl aus: Dateien auslesen, Passwörter ändern oder auch andere Rechner attackieren.

Die erste Angriffswelle rollt bereits. Wie das Magazin Wired berichtet, haben Angreifer dank Shellcode massenhaft fremde Rechner übernommen und damit begonnen, unter anderem das Netz des Internet-Dienstleisters Akamai und der US-Regierung zu attackieren. Andere Angreifer sind offenbar noch auf der Suche nach weiteren Rechnern, die sie übernehmen können, bevor sie zur Tat schreiten.

Größer als Heartbleed?

Dies könnte aber nur ein Vorgeschmack sein auf das, was noch kommen mag. Denn es ist unklar, in wie vielen Geräten der „Shellshock“ noch lauert und wie viele Wege Angreifer finden, ihn auszunutzen. So hat Apple angekündigt, sein Betriebssystem MacOS X abzudichten – eine akute Gefahr für Privatanwender sieht der Konzern nach Medienberichten jedoch nicht, da das schadhafte Programm auf Apple-Rechnern nicht einfach über das Internet aktiviert werden kann.

Die in den Medien verbreiteten Spekulationen, ob „Shellshock“ noch schlimmer als die im April entdeckte Sicherheitslücke „Heartbleed“ ist, sind weitgehend Kaffeesatzleserei. Denn einerseits sind die Lücken sehr verschieden: Heartbleed erlaubte quasi jedem den Arbeitsspeicher von Servern auszulesen und dort nach verwertbaren Informationen wie Passwörtern zu suchen. Shellshock bietet jedoch direkten Zugriff auf den Rechner – sofern der Angreifer einen Weg findet, Bash zu aktivieren.

Doch die Parallelen sind eindeutig: Hier wie da geht es um eine Sicherheitslücke in freier Software, die – da sie kostenlos und im Einsatz erprobt ist – bedenkenlos in unzählige Systeme integriert wurde. In zahlreichen Geräten wie Internet-Routern oder Videorekordern steckt mittlerweile ein kleines, spezialisiertes Linux-System.

Verlierer: Open Source

Sicherheitsforscher Robert Graham sieht einen der Stützpfeiler der Sicherheit offener Software nun widerlegt: „Open-Source-Aktivisten vertreten die Theorie, dass Open Source-Software weniger Fehler haben wird, weil jeder den zugrundeliegenden Quellcode überprüfen kann“, //:schreibt er in seinem Blog. Dass die fatale Bash-Lücke über 20 Jahre unentdeckt blieb, sieht er als Gegenbeweis: Der durchschnittliche Programmierer schreibe 10 Mal häufiger Programme statt bestehende Programme zu lesen. Spezialisierte Code-Reviewer, die solche Fehler ausmerzen, leisteten sich hingegen nur die Hersteller kommerzieller Software.

Das ist freilich eine Verkürzung: Auch bei kommerziellen Systemen fallen immer wieder uralte Sicherheitslücken auf. So wurden Windows-98-Nutzer nicht zum Wechsel gedrängt, weil das System nicht mehr funktioniert, sondern weil Microsoft keine Sicherheitsupdates für Privatnutzer mehr bereitstellt.

Doch auch das Krisenmanagement ist kein Aushängeschild für die Open-Source-Gemeinde. So hat das am Donnerstag eilig verbreitete Update das Problem nicht ganz beseitigt – immer noch konnten Angreifer unbefugt Befehle in Server einschleusen. Die Hoffnung bleibt aber, dass Open-Source dabei hilft, neben dem Uralt-Programm nun möglichst schnell die Problemlösung zu verbreiten. Privatnutzer können also wenig tun, außer in den nächsten Tagen nach Sicherheitsupdates Ausschau zu halten.

Einmal zahlen
.

Fehler auf taz.de entdeckt?

Wir freuen uns über eine Mail an fehlerhinweis@taz.de!

Inhaltliches Feedback?

Gerne als Leser*innenkommentar unter dem Text auf taz.de oder über das Kontaktformular.

Bitte registrieren Sie sich und halten Sie sich an unsere Netiquette.

Haben Sie Probleme beim Kommentieren oder Registrieren?

Dann mailen Sie uns bitte an kommune@taz.de.