Digital
Wir verwenden Cookies und Analysetools, um die Nutzerfreundlichkeit der Internetseite zu verbessern und passende Werbung von watson und unseren Werbepartnern anzuzeigen. Weitere Infos findest Du in unserer Datenschutzerklärung.
Computer Tastatur Finger

28 mal hintereinander die Backspace-Taste drücken – und man hatte Zugriff auf den Computer.
bild: shutterstock

Merkwürdiger Linux-Bug: Während sechs Jahren konnte man Rechner mit der «Zurück»-Taste knacken

Immer wieder treten kuriose Sicherheitslücken bei Computern zutage. Nun hat es das Open-Source-System Linux erwischt. IT-Experte Marc Ruef nimmt Stellung.



Linux wird von vielen als das super-sichere Betriebssystem angesehen. Die Software mit dem freundlichen Pinguin als Maskottchen wurde ursprünglich vom finnischen Programmierer Linus Torvalds entwickelt und fristet neben Windows und Mac OS X (auf Desktop-Rechnern) ein Nischendasein.

Im Gegensatz zu den Systemen von Microsoft und Apple ist Linux in verschiedenen Varianten als Open Source frei verfügbar. Wie ein Mitte Dezember publik gemachte Schwachstelle zeigt, war das von vielen Freiwilligen entwickelte System während Jahren mit einem einfachen Trick zu überlisten. Ein Angreifer musste nur 28 mal hintereinander die «Zurück»-Taste («Backspace») drücken, um reinzukommen.

Wer also (vorübergehend) physischen Zugriff auf einen Linux-Computer hatte, konnte unbemerkt auf die gespeicherten Daten zugreifen oder Malware installieren. Sehr unschön: Das Problem bestand offenbar während mehr als sechs Jahren ...

«Dies wird einmal mehr die Diskussion befeuern, ob Open Source nun wirklich so viel transparenter und sicherer ist.»

Marc Ruef, IT-Sicherheitsexperte

Es besteht kein Grund zur Panik. Die Entdecker der Schwachstelle haben umgehend einen Notfall-Patch veröffentlicht. Und die Anbieter der populären Linux-Systeme Ubuntu, Red Hat und Debian haben ihrerseits mit Software-Updates reagiert, um die Lücke zu schliessen.

Update 18. Dezember: Das Techportal heise.de hält fest, dass der betroffene Bootloader (Grub) auf sehr vielen Linux-Systemen im Einsatz sei, «die verwundbare Anmelde-Methode aber eher nicht».

Absichtliche «Hintertür»?

Wir haben den Schweizer IT-Sicherheitsexperten Marc Ruef von der Firma Scip AG um eine Einschätzung gebeten. Der erfahrene Hacker meint, es gebe einige spannende Aspekte rund um die Sicherheitslücke. Der Angriff sei zwar sehr simpel, setze jedoch physischen Zugriff auf das System voraus. «Immer, wenn solch einfache Schwachstellen auftauchen, stellt sich die Frage, ob diese nicht absichtlich als Hintertür etabliert wurden.»

Weiter gibt Ruef zu Bedenken, dass die Schwachstelle im Dezember 2009 eingeführt worden sei und knapp sechs Jahre unbemerkt existierte. «Dies wird einmal mehr die Diskussion befeuern, ob Open Source nun wirklich so viel transparenter und sicherer ist.»

Die Scip AG führt die Linux-Schwachstelle übrigens in ihrer online zugänglichen «Vulnerabilities»-Datenbank. Im entsprechenden Eintrag wird auch der Wert der Schwachstelle eingeschätzt. Als sie noch nicht öffentlich bekannt war, soll sie bis zu 25'000 Dollar wert gewesen sein. Heute seien es noch 2000 bis 5000 Dollar.

via Lifehacker

So viel Stromkosten pro Jahr verursachen Handy, PC, TV, Kühlschrank und andere Geräte wirklich

Das könnte dich auch interessieren:

Haaland-Mania – und sonst? Wer beim Dortmund-Sieg gegen PSG alles auffiel

Link zum Artikel

Waadtländer wird von falscher Geliebter abgezockt – und zwar so richtig

Link zum Artikel

Schweizer Zahnärzte haben ein Hygiene-Problem – und niemand tut etwas dagegen

Link zum Artikel

Bill Gates hat sein erstes Elektroauto gekauft – jetzt rate, was für eins! 🙈

Link zum Artikel

«Der Drogenkonsum war nicht das Schlimmste» – Jasmin über ihr Leben bei süchtigen Eltern

Link zum Artikel

An dieser Monsterschlange mussten Skifahrer anstehen, um auf den Lift zu kommen 😨

Link zum Artikel

Kehrt Arno Del Curto rechtzeitig heim und ist es Kloten zu wohl in der Swiss League?

Link zum Artikel

«Black Mirror» in Utrecht – so sieht die Vision eines «gesunden Wohnviertels» aus

Link zum Artikel

«Obwohl ich ihn heiraten will, kriege ich jetzt Panik …»

Link zum Artikel

«Nazis raus» – die grossartige Fan-Reaktion gegen einen Rassisten im Stadion

Link zum Artikel

«Natürlich hatte ich schon mit Piloten Sex»: Eine Swiss-Stewardess erzählt

Link zum Artikel

Mirage-Skandal lässt grüssen: 5 Dinge, die du zu einer möglichen Crypto-PUK wissen musst

Link zum Artikel

Du kannst mit dem letzten Penalty alles klar machen … UND DANN SCHIESST DU SO?!

Link zum Artikel

Du willst Polizist werden? Dann musst du zuerst dieses Deutsch-Diktat meistern

Link zum Artikel

15-Jähriger greift Schwule vor Zürcher Gay-Club an – das hat Folgen für die Justiz

Link zum Artikel

Massive Störungen bei Swisscom ++ Notrufnummern ausgefallen ++ Panne auch in Deutschland

Link zum Artikel

«Etwas pendeln»: Was der Bundesrat im Kampf gegen die SVP besser machen muss

Link zum Artikel

Sander-Sieg, Biden-Frust, Trump-Wut: Alles zur Vorwahl in New Hampshire

Link zum Artikel

Ohne die Fehler der Initianten hätte es die Wohnbau-Vorlage (wohl) geschafft

Link zum Artikel

Schweizer Skifest in Chamonix! Loic Meillard gewinnt vor Thomas Tumler

Link zum Artikel

Ein (sonniges) Trump-Foto erhitzt die Gemüter – aber ist es auch echt? 🙈

Link zum Artikel
Alle Artikel anzeigen

Das könnte dich auch interessieren:

Haaland-Mania – und sonst? Wer beim Dortmund-Sieg gegen PSG alles auffiel

32
Link zum Artikel

Waadtländer wird von falscher Geliebter abgezockt – und zwar so richtig

8
Link zum Artikel

Schweizer Zahnärzte haben ein Hygiene-Problem – und niemand tut etwas dagegen

26
Link zum Artikel

Bill Gates hat sein erstes Elektroauto gekauft – jetzt rate, was für eins! 🙈

79
Link zum Artikel

«Der Drogenkonsum war nicht das Schlimmste» – Jasmin über ihr Leben bei süchtigen Eltern

48
Link zum Artikel

An dieser Monsterschlange mussten Skifahrer anstehen, um auf den Lift zu kommen 😨

115
Link zum Artikel

Kehrt Arno Del Curto rechtzeitig heim und ist es Kloten zu wohl in der Swiss League?

32
Link zum Artikel

«Black Mirror» in Utrecht – so sieht die Vision eines «gesunden Wohnviertels» aus

73
Link zum Artikel

«Obwohl ich ihn heiraten will, kriege ich jetzt Panik …»

130
Link zum Artikel

«Nazis raus» – die grossartige Fan-Reaktion gegen einen Rassisten im Stadion

65
Link zum Artikel

«Natürlich hatte ich schon mit Piloten Sex»: Eine Swiss-Stewardess erzählt

231
Link zum Artikel

Mirage-Skandal lässt grüssen: 5 Dinge, die du zu einer möglichen Crypto-PUK wissen musst

53
Link zum Artikel

Du kannst mit dem letzten Penalty alles klar machen … UND DANN SCHIESST DU SO?!

11
Link zum Artikel

Du willst Polizist werden? Dann musst du zuerst dieses Deutsch-Diktat meistern

118
Link zum Artikel

15-Jähriger greift Schwule vor Zürcher Gay-Club an – das hat Folgen für die Justiz

382
Link zum Artikel

Massive Störungen bei Swisscom ++ Notrufnummern ausgefallen ++ Panne auch in Deutschland

148
Link zum Artikel

«Etwas pendeln»: Was der Bundesrat im Kampf gegen die SVP besser machen muss

146
Link zum Artikel

Sander-Sieg, Biden-Frust, Trump-Wut: Alles zur Vorwahl in New Hampshire

138
Link zum Artikel

Ohne die Fehler der Initianten hätte es die Wohnbau-Vorlage (wohl) geschafft

143
Link zum Artikel

Schweizer Skifest in Chamonix! Loic Meillard gewinnt vor Thomas Tumler

12
Link zum Artikel

Ein (sonniges) Trump-Foto erhitzt die Gemüter – aber ist es auch echt? 🙈

153
Link zum Artikel

Das könnte dich auch interessieren:

Haaland-Mania – und sonst? Wer beim Dortmund-Sieg gegen PSG alles auffiel

32
Link zum Artikel

Waadtländer wird von falscher Geliebter abgezockt – und zwar so richtig

8
Link zum Artikel

Schweizer Zahnärzte haben ein Hygiene-Problem – und niemand tut etwas dagegen

26
Link zum Artikel

Bill Gates hat sein erstes Elektroauto gekauft – jetzt rate, was für eins! 🙈

79
Link zum Artikel

«Der Drogenkonsum war nicht das Schlimmste» – Jasmin über ihr Leben bei süchtigen Eltern

48
Link zum Artikel

An dieser Monsterschlange mussten Skifahrer anstehen, um auf den Lift zu kommen 😨

115
Link zum Artikel

Kehrt Arno Del Curto rechtzeitig heim und ist es Kloten zu wohl in der Swiss League?

32
Link zum Artikel

«Black Mirror» in Utrecht – so sieht die Vision eines «gesunden Wohnviertels» aus

73
Link zum Artikel

«Obwohl ich ihn heiraten will, kriege ich jetzt Panik …»

130
Link zum Artikel

«Nazis raus» – die grossartige Fan-Reaktion gegen einen Rassisten im Stadion

65
Link zum Artikel

«Natürlich hatte ich schon mit Piloten Sex»: Eine Swiss-Stewardess erzählt

231
Link zum Artikel

Mirage-Skandal lässt grüssen: 5 Dinge, die du zu einer möglichen Crypto-PUK wissen musst

53
Link zum Artikel

Du kannst mit dem letzten Penalty alles klar machen … UND DANN SCHIESST DU SO?!

11
Link zum Artikel

Du willst Polizist werden? Dann musst du zuerst dieses Deutsch-Diktat meistern

118
Link zum Artikel

15-Jähriger greift Schwule vor Zürcher Gay-Club an – das hat Folgen für die Justiz

382
Link zum Artikel

Massive Störungen bei Swisscom ++ Notrufnummern ausgefallen ++ Panne auch in Deutschland

148
Link zum Artikel

«Etwas pendeln»: Was der Bundesrat im Kampf gegen die SVP besser machen muss

146
Link zum Artikel

Sander-Sieg, Biden-Frust, Trump-Wut: Alles zur Vorwahl in New Hampshire

138
Link zum Artikel

Ohne die Fehler der Initianten hätte es die Wohnbau-Vorlage (wohl) geschafft

143
Link zum Artikel

Schweizer Skifest in Chamonix! Loic Meillard gewinnt vor Thomas Tumler

12
Link zum Artikel

Ein (sonniges) Trump-Foto erhitzt die Gemüter – aber ist es auch echt? 🙈

153
Link zum Artikel

Abonniere unseren Newsletter

21
Bubble Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 48 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
21Alle Kommentare anzeigen
    Alle Leser-Kommentare
  • saukaibli 18.12.2015 13:17
    Highlight Highlight Über GRUB lässt sich auch Windows starten, d.h. der Titel ist könnte auch "Merkwürdiger Windows-Bug..." heissen. Auch BSD und andere Unix-Systeme verwenden teilweise GRUB. Linux heisst eigentlich ja eh nur der Kernel, Red Hat, Ubuntu und co. sind sog. GNU/Linux-Systeme.
    • sentir 19.12.2015 14:00
      Highlight Highlight richtig. Ich frage mich auch, warum dieser "Sicherheitsexperte" mit Gratiswerbung seiner Firma so gegen Linux schiesst. Denn wie bemerkt, hat dieser Bug nichts mit dem Betriebssystem Linux zu tun.
      Seit weit über 15 Jahren hatte ich mit verschiedenen Linux-Derivaten, noch nie Sicherheitsprobleme.
      Ohne Angst um die eigenen Daten surfen? Linux vom Stick booten...
  • Madison Pierce 18.12.2015 08:12
    Highlight Highlight Wie soll eine Lücke 2000-5000 Dollar wert sein, wenn sie bekannt ist und man keinen Exploit braucht, sondern nur eine Taste ein paar Mal drücken muss?
    • Madison Pierce 18.12.2015 09:37
      Highlight Highlight Ja, aber da der böse Hacker jetzt weiss, wie er die Lücke ausnutzen kann, muss er niemandem 2000 Dollar dafür bezahlen. Kaufen tut man sonst Exploits, also z.B. ein präpariertes Java-Applet, welches eine Lücke ausnutzt. Aber in diesem Fall ist das ja nicht nötig.
    • Alex_Steiner 18.12.2015 15:13
      Highlight Highlight @Christian Grey: Verstehen sie die Frage wirklich nicht oder wollen sie ihn verarschen? Er fragt wie ein bekannter Fehler noch einen Wert haben kann.
      Würden sie 2000-5000 Dollar für die Lücke bezahlen obwohl sie hier gratis die gesammte Lücke erklärt bekommen haben? Vermutlich nicht.
    • Alnothur 19.12.2015 08:38
      Highlight Highlight Keiner, der alle Tassen im Schrank hat, schützt seine sensiblen Daten mit einem GRUB-Passwort, das ist selten dämlich. Und wer physischen Zugriff auf das System hat, braucht auch diesen ollen Trick nicht.
    Weitere Antworten anzeigen
  • azoui 18.12.2015 07:53
    Highlight Highlight <Verschwörungstheorie> Der Autor ist vermutlich ein enger Freund, des sogenannten "IT-Sicherheitsexperten Marc Ruef" desen Firma Scip AG verzweifelt nach Auftragen lechzt. <\Verschwörungstheorie>

    Fuck, jetzt habe ich auch noch Werbung für diese Klitsche gemacht.
  • ⚡ ⚡ ⚡☢❗andre ☢ ⚡⚡ 17.12.2015 23:48
    Highlight Highlight TL;DR: Künstlerisch reisserischer Artikel.
    LR: Also man kann das Passwort im Bootloader umgehen, immerhin hat es eine Passwort-Funktion, das hat weder der Mac noch der Windoof Bootloader.
    Und eine Diskverschlüsselung erfordert das Passwort beim mounten und nicht das Grub Passwort, ausser man möchte es extra unsicher machen :-)
  • Stephan Locher 17.12.2015 23:12
    Highlight Highlight Könnt Ihr bitte den Artikel korrigieren?

    Es ist nur ein bei Linux Erhaltener Bootloader betroffen.

    Das ist etwa so wie wenn man über das "wollen sie Windows im abgesicherten Modus starten" hinauskommt.
  • st_IGNUcius 17.12.2015 23:02
    Highlight Highlight Herr Schurter sollte den reisserischen Titel anpassen. Seine Ausführungen im Artikel sind schlicht und einfach technisch nicht korrekt. Der angesprochene Bug befindet sich im Bootloader GRUB (Ein Bootloader ist ein Programm, welches unmittelbar nach dem Systemstart (der BIOS POST) gestartet wird. Der Bootloader startet danach jeweils das gewünschte Betriebssystem). Der Bug befindet sich also nicht im Linux Kernel. Man kann nun auch nicht implizieren, dass jedes Linux System von der Lücke betroffen ist. So verwendet Android z.B. einen anderen Bootloader.
  • dä dingsbums 17.12.2015 22:04
    Highlight Highlight Linux fristet auf den Desktop ein Nischendasein. Die Mehrheit der Webseiten im Internet laufen aber unter Linux und auch Android hat einen Linux Unterbau. IBM, HP, Red Hat und Suse setzen Milliarden mit Linux um. Das nur um die Relationen richtig zu stellen.
    Eine Lücke die nur mit physischem Zugang auszunüzen ist, ist aber nicht wirklich kritisch. Jedes RZ hat heute Zutritskontrolle, Vereinzelungsanlage, etc.
    Übrigens scheint sogar watson.ch auf Linux Server zu laufen und wude nicht gehackt. Habt ihr den Patch schon eingespielt?
    • dä dingsbums 18.12.2015 11:36
      Highlight Highlight Nur das Personal, dem man vertraut, lässt man in die Nähe von kritischen Systemen. Eigentlich logisch.
  • azoui 17.12.2015 22:00
  • Abnaxos 17.12.2015 21:49
    Highlight Highlight Wie p4trick schon geschrieben hat, hat das mit Linux gar nichts zu tun, es geht um den Bootloader Grub.

    Dass die Lücke so lange nicht gefunden wurde, lässt sich ganz einfach erklären: Niemand, der auch nur annähernd bei Verstand ist, «schützt» seinen Rechner mit einem Passwort im Bootloader. Ich wusste gar nicht, dass Grub so eine Funktion hat und ich verstehe nicht, wozu das gut sein soll.
    • PewPewPew 17.12.2015 22:06
      Highlight Highlight Über die Grub Rescue Funktion lässt sich ein darüber gebootetes (auch verschlüsseltes) Linux mit Malware verseuchen. Passwort-Funktion macht dafür schon Sinn.
    • Abnaxos 17.12.2015 22:24
      Highlight Highlight @PewPewPew Wenn ich physikalischen Zugriff auf den Rechner habe, kann ich jederzeit einen eigenen Boot-Stick booten und mit dem System (das beinhaltet Grub) tun und lassen, was ich will. Das Booten von einem anderen Medium könnte das BIOS vielleicht verhindern, nicht aber Grub.

      Aber Heise hat ja geschrieben, wann ein Grub-Passwort sinnvoll sein könnte: Bei Embedded- oder Kiosk-Systemen.

      Für Otto Normalbenutzer oder Otto Normalserverbetreiber ist es aber komplett irrelevant.
    • Joe putz 18.12.2015 08:10
      Highlight Highlight auch wenn du deinen rechner mit der bios dafür schützt das man ihn von einem stick booten kann, lässt sich immernoch mit der grub rescue funktion tricksen, es braucht beides damit der rechner einigermassen sicher ist wenn ihm jemand in die finger bekommt.
    Weitere Antworten anzeigen
  • Typu 17.12.2015 20:32
    Highlight Highlight ?? Das ist schon sehr seltsam. Sicher ists nicht 42??

Schweizer Nachrichtendienst sammelt weiterhin illegal Daten

Die Geschichte scheint sich zu wiederholen: Nach wie vor sammelt der Nachrichtendienst des Bundes (NDB) mehr Informationen als ihm das Gesetz erlaubt. Zu diesem Schluss kommt die parlamentarische Oberaufsicht. Auch Politikerinnen und Politiker werden überwacht.

In den letzten Jahren hatten Fälle wie jene von alt SP-Nationalrätin Margret Kiener Nellen und der ehemaligen SP-Ständerätin Anita Fetz zu reden gegeben: Linke Politikerinnen und Politiker tauchten teils dutzendfach in den Datenbanken …

Artikel lesen
Link zum Artikel