„Shellshock“-Lücke bei Apple und Linux: Die erste Angriffswelle läuft
Nach dem Bekanntwerden einer 20 Jahre alten Sicherheitslücke wird diese schon ausgenutzt. Panik privater Nutzer ist unangebracht.
KÖLN taz | Von einer neuen Sicherheitslücke zu sprechen ist eine gelinde Übertreibung: Die nun „Shellshock“ getaufte Lücke in dem Programm Bash ist nach aktuellen Informationen über 20 Jahre alt. So lange versteckte sie sich unentdeckt in dem Programm, das heute noch auf fast allen Linux-Rechnern und auch auf aktuellen Apple-Computern vorinstalliert ist.
Es handelt sich bei Bash um eine sogenannte Shell, also ein Programm, mit dem Administratoren per Kommandozeile rudimentäre Verwaltungsaufgaben durchführen und automatisieren können. Die nun entdeckte Sicherheitslücke ist erstaunlich einfach auszunutzen: Man muss dem Programm neben einem normalen Befehl nur noch einige „Umgebungsvariablen“ übergehen und der Computer führt so ziemlich jeden Befehl aus: Dateien auslesen, Passwörter ändern oder auch andere Rechner attackieren.
Die erste Angriffswelle rollt bereits. Wie das Magazin Wired berichtet, haben Angreifer dank Shellcode massenhaft fremde Rechner übernommen und damit begonnen, unter anderem das Netz des Internet-Dienstleisters Akamai und der US-Regierung zu attackieren. Andere Angreifer sind offenbar noch auf der Suche nach weiteren Rechnern, die sie übernehmen können, bevor sie zur Tat schreiten.
Größer als Heartbleed?
Dies könnte aber nur ein Vorgeschmack sein auf das, was noch kommen mag. Denn es ist unklar, in wie vielen Geräten der „Shellshock“ noch lauert und wie viele Wege Angreifer finden, ihn auszunutzen. So hat Apple angekündigt, sein Betriebssystem MacOS X abzudichten – eine akute Gefahr für Privatanwender sieht der Konzern nach Medienberichten jedoch nicht, da das schadhafte Programm auf Apple-Rechnern nicht einfach über das Internet aktiviert werden kann.
Die in den Medien verbreiteten Spekulationen, ob „Shellshock“ noch schlimmer als die im April entdeckte Sicherheitslücke „Heartbleed“ ist, sind weitgehend Kaffeesatzleserei. Denn einerseits sind die Lücken sehr verschieden: Heartbleed erlaubte quasi jedem den Arbeitsspeicher von Servern auszulesen und dort nach verwertbaren Informationen wie Passwörtern zu suchen. Shellshock bietet jedoch direkten Zugriff auf den Rechner – sofern der Angreifer einen Weg findet, Bash zu aktivieren.
Doch die Parallelen sind eindeutig: Hier wie da geht es um eine Sicherheitslücke in freier Software, die – da sie kostenlos und im Einsatz erprobt ist – bedenkenlos in unzählige Systeme integriert wurde. In zahlreichen Geräten wie Internet-Routern oder Videorekordern steckt mittlerweile ein kleines, spezialisiertes Linux-System.
Verlierer: Open Source
Sicherheitsforscher Robert Graham sieht einen der Stützpfeiler der Sicherheit offener Software nun widerlegt: „Open-Source-Aktivisten vertreten die Theorie, dass Open Source-Software weniger Fehler haben wird, weil jeder den zugrundeliegenden Quellcode überprüfen kann“, //:schreibt er in seinem Blog. Dass die fatale Bash-Lücke über 20 Jahre unentdeckt blieb, sieht er als Gegenbeweis: Der durchschnittliche Programmierer schreibe 10 Mal häufiger Programme statt bestehende Programme zu lesen. Spezialisierte Code-Reviewer, die solche Fehler ausmerzen, leisteten sich hingegen nur die Hersteller kommerzieller Software.
Das ist freilich eine Verkürzung: Auch bei kommerziellen Systemen fallen immer wieder uralte Sicherheitslücken auf. So wurden Windows-98-Nutzer nicht zum Wechsel gedrängt, weil das System nicht mehr funktioniert, sondern weil Microsoft keine Sicherheitsupdates für Privatnutzer mehr bereitstellt.
Doch auch das Krisenmanagement ist kein Aushängeschild für die Open-Source-Gemeinde. So hat das am Donnerstag eilig verbreitete Update das Problem nicht ganz beseitigt – immer noch konnten Angreifer unbefugt Befehle in Server einschleusen. Die Hoffnung bleibt aber, dass Open-Source dabei hilft, neben dem Uralt-Programm nun möglichst schnell die Problemlösung zu verbreiten. Privatnutzer können also wenig tun, außer in den nächsten Tagen nach Sicherheitsupdates Ausschau zu halten.
taz lesen kann jede:r
Als Genossenschaft gehören wir unseren Leser:innen. Und unser Journalismus ist nicht nur 100 % konzernfrei, sondern auch kostenfrei zugänglich. Texte, die es nicht allen recht machen und Stimmen, die man woanders nicht hört – immer aus Überzeugung und hier auf taz.de ohne Paywall. Unsere Leser:innen müssen nichts bezahlen, wissen aber, dass guter, kritischer Journalismus nicht aus dem Nichts entsteht. Dafür sind wir sehr dankbar. Damit wir auch morgen noch unseren Journalismus machen können, brauchen wir mehr Unterstützung. Unser nächstes Ziel: 40.000 – und mit Ihrer Beteiligung können wir es schaffen. Setzen Sie ein Zeichen für die taz und für die Zukunft unseres Journalismus. Mit nur 5,- Euro sind Sie dabei! Jetzt unterstützen
meistkommentiert
Paragraf 218 im Rechtsausschuss
CDU gegen Selbstbestimmung von Frauen
Partei stellt Wahlprogramm vor
Linke will Lebenshaltungskosten für viele senken
Doku über deutsche Entertainer-Ikone
Das deutsche Trauma weggelacht
Nach dem Sturz von Assad in Syrien
Türkei verkündet Erfolg gegen syrische Kurden
Proteste gegen LNG-Gipfel in Berlin
Partycrasher am Luxushotel
Syrische Geflüchtete in Deutschland
Asylrecht und Ordnungsrufe