Digital
Datenschutz

«Es ist nur eine Frage der Zeit, bis umfangreiche Angriffe erfolgen»

Das Internet ist um eine gravierende Sicherheitslücke reicher.
Das Internet ist um eine gravierende Sicherheitslücke reicher.Bild: REUTERS
Shellshock: Schweizer Sicherheitsexperte warnt

«Es ist nur eine Frage der Zeit, bis umfangreiche Angriffe erfolgen»

Die neue Sicherheitslücke Shellshock schreckt das Internet auf. Experten reden vom nächsten Heartbleed-Desaster. Wer oder welche Geräte von Shellshock betroffen sind und wie man sich dagegen schützt, erklärt Sicherheitsexperte Marc Ruef.
25.09.2014, 14:1926.09.2014, 12:12
Philipp Rüegg
Mehr «Digital»

Eine halbe Million-Webseiten seien von Shellshock betroffen. Das schätzt der US-Sicherheitsexperte Robert Graham. Schlimmer als Heartbleed soll die neue Sicherheitslücke sein, behaupten verschiedene Quellen. Andere, wie der Deutsche Blogger Felix von Leitner, auch bekannt als Fefe, sind zurückhaltender. Dass Shellshock eine Gefahr darstellt, darin sind sich hingegen alle einig. Der sogenannte Bash-Bug taucht in Bash-Shells von Linux- und Unix-Systemen auf. Nutzt man ihn korrekt aus, kann jeglicher Code ausgeführt werden, sobald die Shell aufgerufen wird. Auch der Schweizer Sicherheitsexperte Marc Ruef rät zur Vorsicht.

Was muss sich ein Laie unter der Sicherheitslücke Shellshock vorstellen?
Marc Ruef, Sicherheitsexperte bei Scip: Hierbei handelt es sich um einen klassischen Angriff. Ein Angreifer benutzt eine normale Eingabemöglichkeit. Durch Sonderzeichen wird eine verwundbare Software dazu gebracht, die Eingabe als Code zu verstehen und auszuführen. Dadurch wird quasi ein eigener Programmcode injiziert.

Wie genau funktioniert Shellshock? 
Die verwundbare Komponente greift auf Daten verschiedener Quellen zurück. Dabei werden diese eingelesen und verarbeitet. In der Regel handelt es sich um Informationen, wie zum Beispiel die Uhrzeit oder eine E-Mailadresse. Wenn nun in diesem Datensatz eine spezielle Zeichenkette vorkommt, kann eine programmtechnische Interpretation provoziert werden: Die Information wird dann interpretiert, wie wenn es sich um Programmcode der Software handeln würde. Die Software denkt, dass es legitim ist, diesen neuen Code auszuführen. Dadurch wird es dem Angreifer möglich, eigene Kommandos auszuführen und das Zielsystem zu manipulieren oder fernzusteuern.

Wie kann Shellshock von Hackern oder der NSA ausgenutzt werden?
Es sind erste Möglichkeiten (Exploits) bekannt, die zur automatisierten Ausnutzung der Schwachstelle eingesetzt werden können. Es ist also nur eine Frage der Zeit, bis umfangreiche Angriffe oder gar ein darauf aufbauender Computerwurm injiziert werden. Mit grösster Wahrscheinlichkeit sind gegenwärtig diverse Stellen darum bemüht, diese Schwachstelle zu ihrem Vorteil ausnutzen zu können.

«Mac OS X basiert ebenfalls auf Unix und ist somit auch betroffen.Gleiches könnte bei Android-basierten Geräten der Fall sein»

Welche Geräte und Systeme sind konkret betroffen?
Verwundbar sind alle Systeme, die eine Bash-Shell unterstützen. Hierbei handelt es sich um eine Software, die die meisten Leute von der MS-DOS-Eingabeaufforderung her kennen. Sie wird eingesetzt, um einzelne Befehle auf der Kommandozeile einzugeben. Bash wird traditionellerweise auf Unix- und Linux-Systemen verwendet, die bei einem Grossteil der Internet-Infrastruktur eingesetzt werden. Mac OS X basiert ebenfalls auf Unix und ist somit auch betroffen. Gleiches könnte bei Android-basierten Geräten der Fall sein. Voraussetzung für eine erfolgreiche Attacke ist, dass ein Angreifer Daten an die verwundbare Stelle (Bash-Shell) schicken kann. Dies kann typischerweise mit einem Formular auf einer Webseite erfolgen.

Marc Ruef, Sicherheitsexperte bei Scip.
Marc Ruef, Sicherheitsexperte bei Scip.Bild: zvg

Wie ist der normaler Internet-Nutzer betroffen? 
Ähnlich wie bei Heartbleed werden wohl auch in diesem Zusammenhang in erster Linie Server-Systeme betroffen sein. Durch eine Kompromittierung von Mail- oder Cloud-Diensten könnten natürlich Zugriffe auf sensible Daten stattfinden. Der jüngste Leak prominenter Selfies zeigt, dass die indirekten Auswirkungen nicht zu unterschätzen sind.

Wie kann ich mich schützen? 
Die Server-Betreiber sind angehalten, entsprechende Massnahmen zu treffen. Falls Client-Systeme ebenfalls betroffen sind, dies ist momentan noch nicht umfassend geklärt, könnten auch hier Updates erforderlich sein. Falls man externe Dienste, zum Beispiel Gmail oder Dropbox nutzt, kann man nicht viel gegen einen Angriff machen. Um die Auswirkungen für sich selbst zu minimieren, sollte auf das Nutzen unnötiger Angebote und das Hochladen sensitiver Daten verzichtet werden. Im Fall einer Kompromittierung ist der Schaden damit reduziert.

«Es ist also nur eine Frage der Zeit, bis umfangreiche Angriffe oder gar ein darauf aufbauender Computerwurm injiziert werden.»

Was kann schlimmsten Falls passieren? 
Die betroffene Komponente wird von einem Grossteil der Unix- und Linux-Systeme unterstützt. Falls ein effizienter Weg gefunden wird, diese Schwachstelle auszunutzen, könnte dies zu einer umfangreichen Störung der Infrastruktur im Internet führen. Ein technisches, gesellschaftliches und mediales Beben, wie es beim Bekanntwerden von Heartbleed zu beobachten war, könnte die Folge davon sein.

Wann wird Shellshock richtig gefährlich?
Eine erste mögliche systematischen Ausnutzung der Sicherheitslücke wurde am frühen Donnerstagmorgen publiziert. Da es sehr viele unterschiedliche Systeme gibt, sind vermutlich nicht alle angreifbar. Man kann damit rechnen, dass in etwa zwei Tagen hochgradig funktionale Exploits die Runde machen werden. Ein darauf aufbauender Computerwurm könnte die Folge sein und verheerende Auswirkungen mit sich bringen.

Warum ist Shellshock schlimmer als Heartbleed? 
Heartbleed hat in erster Linie Server betroffen, die eine verwundbare Version von OpenSSL eingesetzt haben. Bei Shellshock sind alle Systeme betroffen, die Bash einsetzen. Die Verbreitung von Bash ist voraussichtlich bedeutend höher als jene von OpenSSL. Unter dem Strich wird es mehr gegen Shellshock verwundbare Systeme geben, als dies bei Heartbleed der Fall war. Der US-amerikanische Sicherheitsexperte Robert Graham ist momentan darum bemüht, eine statistische Analyse der exponierten System anzufertigen.

Mehr zum Thema

Wer ist für die Schwachstelle verantwortlich? 
Die betroffene Komponente Bash ist ein quelloffenes Projekt, bei dem jeder mitarbeiten kann. Der für die Schwachstelle verantwortliche Code-Teil wurde im Rahmen der Ausarbeitung eines Patches identifiziert. Wer den verwundbaren Code geschrieben hat, ist momentan noch unklar. Aufgrund der lückenlosen Dokumentation des Projekts kann dies aber herausgefunden werden. Personenbezogene Schuldzuweisungen sind hier aber fehl am Platz. Viel mehr sollten die Prozesse zur sicheren Entwicklung von Software hinterfragt werden.

DANKE FÜR DIE ♥
Würdest du gerne watson und unseren Journalismus unterstützen? Mehr erfahren
(Du wirst umgeleitet, um die Zahlung abzuschliessen.)
5 CHF
15 CHF
25 CHF
Anderer
Oder unterstütze uns per Banküberweisung.
Das könnte dich auch noch interessieren:
Hast du technische Probleme?
Wir sind nur eine E-Mail entfernt. Schreib uns dein Problem einfach auf support@watson.ch und wir melden uns schnellstmöglich bei dir.
5 Kommentare
Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 24 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
5
«Unknown 9» könnte die Action-Überraschung 2024 werden
Mehr als nur ein Action-Adventure: Wie es «Unknown 9: Awakening» zum Weihnachtsgeschäft mit Grössen wie «Indiana Jones» und «Assassin's Creed» aufnehmen will.

Comic, Novelle, Podcast – «Unknown 9: Awakening» ist weit mehr als nur ein Videospiel. Noch bevor Entwickler Reflector Entertainment 2020 von Bandai Namco gekauft wurde, stiess das kanadische Entwicklerstudio das ambitionierte Transmedia-Projekt an. Denn auch wenn das am 18. Oktober 2024 erscheinende Game lediglich zwischen 15 und 20 Stunden Spielzeit serviert, so bietet der gesamte Kosmos laut den Machern über 100 Stunden – sofern denn Fans tief in die Materie eintauchen möchten.

Zur Story