Eine halbe Million-Webseiten seien von Shellshock betroffen. Das schätzt der US-Sicherheitsexperte Robert Graham. Schlimmer als Heartbleed soll die neue Sicherheitslücke sein, behaupten verschiedene Quellen. Andere, wie der Deutsche Blogger Felix von Leitner, auch bekannt als Fefe, sind zurückhaltender. Dass Shellshock eine Gefahr darstellt, darin sind sich hingegen alle einig. Der sogenannte Bash-Bug taucht in Bash-Shells von Linux- und Unix-Systemen auf. Nutzt man ihn korrekt aus, kann jeglicher Code ausgeführt werden, sobald die Shell aufgerufen wird. Auch der Schweizer Sicherheitsexperte Marc Ruef rät zur Vorsicht.
Was muss sich ein Laie unter der Sicherheitslücke Shellshock vorstellen?
Marc Ruef, Sicherheitsexperte bei Scip: Hierbei handelt es sich um einen klassischen Angriff. Ein Angreifer benutzt eine normale Eingabemöglichkeit. Durch Sonderzeichen wird eine verwundbare Software dazu gebracht, die Eingabe als Code zu verstehen und auszuführen. Dadurch wird quasi ein eigener Programmcode injiziert.
Wie kann Shellshock von Hackern oder der NSA ausgenutzt werden?
Es sind erste Möglichkeiten (Exploits) bekannt, die zur automatisierten Ausnutzung der Schwachstelle eingesetzt werden können. Es ist also nur eine Frage der Zeit, bis umfangreiche Angriffe oder gar ein darauf aufbauender Computerwurm injiziert werden. Mit grösster Wahrscheinlichkeit sind gegenwärtig diverse Stellen darum bemüht, diese Schwachstelle zu ihrem Vorteil ausnutzen zu können.
Welche Geräte und Systeme sind konkret betroffen?
Verwundbar sind alle Systeme, die eine Bash-Shell unterstützen. Hierbei handelt es sich um eine Software, die die meisten Leute von der MS-DOS-Eingabeaufforderung her kennen. Sie wird eingesetzt, um einzelne Befehle auf der Kommandozeile einzugeben. Bash wird traditionellerweise auf Unix- und Linux-Systemen verwendet, die bei einem Grossteil der Internet-Infrastruktur eingesetzt werden. Mac OS X basiert ebenfalls auf Unix und ist somit auch betroffen. Gleiches könnte bei Android-basierten Geräten der Fall sein. Voraussetzung für eine erfolgreiche Attacke ist, dass ein Angreifer Daten an die verwundbare Stelle (Bash-Shell) schicken kann. Dies kann typischerweise mit einem Formular auf einer Webseite erfolgen.
Wie ist der normaler Internet-Nutzer betroffen?
Ähnlich wie bei Heartbleed werden wohl auch in diesem Zusammenhang in erster Linie Server-Systeme betroffen sein. Durch eine Kompromittierung von Mail- oder Cloud-Diensten könnten natürlich Zugriffe auf sensible Daten stattfinden. Der jüngste Leak prominenter Selfies zeigt, dass die indirekten Auswirkungen nicht zu unterschätzen sind.
Wie kann ich mich schützen?
Die Server-Betreiber sind angehalten, entsprechende Massnahmen zu treffen. Falls Client-Systeme ebenfalls betroffen sind, dies ist momentan noch nicht umfassend geklärt, könnten auch hier Updates erforderlich sein. Falls man externe Dienste, zum Beispiel Gmail oder Dropbox nutzt, kann man nicht viel gegen einen Angriff machen. Um die Auswirkungen für sich selbst zu minimieren, sollte auf das Nutzen unnötiger Angebote und das Hochladen sensitiver Daten verzichtet werden. Im Fall einer Kompromittierung ist der Schaden damit reduziert.
Was kann schlimmsten Falls passieren?
Die betroffene Komponente wird von einem Grossteil der Unix- und Linux-Systeme unterstützt. Falls ein effizienter Weg gefunden wird, diese Schwachstelle auszunutzen, könnte dies zu einer umfangreichen Störung der Infrastruktur im Internet führen. Ein technisches, gesellschaftliches und mediales Beben, wie es beim Bekanntwerden von Heartbleed zu beobachten war, könnte die Folge davon sein.
Wann wird Shellshock richtig gefährlich?
Eine erste mögliche systematischen Ausnutzung der Sicherheitslücke wurde am frühen Donnerstagmorgen publiziert. Da es sehr viele unterschiedliche Systeme gibt, sind vermutlich nicht alle angreifbar. Man kann damit rechnen, dass in etwa zwei Tagen hochgradig funktionale Exploits die Runde machen werden. Ein darauf aufbauender Computerwurm könnte die Folge sein und verheerende Auswirkungen mit sich bringen.
Warum ist Shellshock schlimmer als Heartbleed?
Heartbleed hat in erster Linie Server betroffen, die eine verwundbare Version von OpenSSL eingesetzt haben. Bei Shellshock sind alle Systeme betroffen, die Bash einsetzen. Die Verbreitung von Bash ist voraussichtlich bedeutend höher als jene von OpenSSL. Unter dem Strich wird es mehr gegen Shellshock verwundbare Systeme geben, als dies bei Heartbleed der Fall war. Der US-amerikanische Sicherheitsexperte Robert Graham ist momentan darum bemüht, eine statistische Analyse der exponierten System anzufertigen.
Wer ist für die Schwachstelle verantwortlich?
Die betroffene Komponente Bash ist ein quelloffenes Projekt, bei dem jeder mitarbeiten kann. Der für die Schwachstelle verantwortliche Code-Teil wurde im Rahmen der Ausarbeitung eines Patches identifiziert. Wer den verwundbaren Code geschrieben hat, ist momentan noch unklar. Aufgrund der lückenlosen Dokumentation des Projekts kann dies aber herausgefunden werden. Personenbezogene Schuldzuweisungen sind hier aber fehl am Platz. Viel mehr sollten die Prozesse zur sicheren Entwicklung von Software hinterfragt werden.