28 mal hintereinander die Backspace-Taste drücken – und man hatte Zugriff auf den Computer.
bild: shutterstock
Immer wieder treten kuriose Sicherheitslücken bei Computern zutage. Nun hat es das Open-Source-System Linux erwischt. IT-Experte Marc Ruef nimmt Stellung.
Linux wird von vielen als das super-sichere Betriebssystem angesehen. Die Software mit dem freundlichen Pinguin als Maskottchen wurde ursprünglich vom finnischen Programmierer Linus Torvalds entwickelt und fristet neben Windows und Mac OS X (auf Desktop-Rechnern) ein Nischendasein.
Im Gegensatz zu den Systemen von Microsoft und Apple ist Linux in verschiedenen Varianten als Open Source frei verfügbar. Wie ein Mitte Dezember publik gemachte Schwachstelle zeigt, war das von vielen Freiwilligen entwickelte System während Jahren mit einem einfachen Trick zu überlisten. Ein Angreifer musste nur 28 mal hintereinander die «Zurück»-Taste («Backspace») drücken, um reinzukommen.
Wer also (vorübergehend) physischen Zugriff auf einen Linux-Computer hatte, konnte unbemerkt auf die gespeicherten Daten zugreifen oder Malware installieren. Sehr unschön: Das Problem bestand offenbar während mehr als sechs Jahren ...
Marc Ruef, IT-Sicherheitsexperte
Es besteht kein Grund zur Panik. Die Entdecker der Schwachstelle haben umgehend einen Notfall-Patch veröffentlicht. Und die Anbieter der populären Linux-Systeme Ubuntu, Red Hat und Debian haben ihrerseits mit Software-Updates reagiert, um die Lücke zu schliessen.
Update 18. Dezember: Das Techportal heise.de hält fest, dass der betroffene Bootloader (Grub) auf sehr vielen Linux-Systemen im Einsatz sei, «die verwundbare Anmelde-Methode aber eher nicht».
Wir haben den Schweizer IT-Sicherheitsexperten Marc Ruef von der Firma Scip AG um eine Einschätzung gebeten. Der erfahrene Hacker meint, es gebe einige spannende Aspekte rund um die Sicherheitslücke. Der Angriff sei zwar sehr simpel, setze jedoch physischen Zugriff auf das System voraus. «Immer, wenn solch einfache Schwachstellen auftauchen, stellt sich die Frage, ob diese nicht absichtlich als Hintertür etabliert wurden.»
Weiter gibt Ruef zu Bedenken, dass die Schwachstelle im Dezember 2009 eingeführt worden sei und knapp sechs Jahre unbemerkt existierte. «Dies wird einmal mehr die Diskussion befeuern, ob Open Source nun wirklich so viel transparenter und sicherer ist.»
Die Scip AG führt die Linux-Schwachstelle übrigens in ihrer online zugänglichen «Vulnerabilities»-Datenbank. Im entsprechenden Eintrag wird auch der Wert der Schwachstelle eingeschätzt. Als sie noch nicht öffentlich bekannt war, soll sie bis zu 25'000 Dollar wert gewesen sein. Heute seien es noch 2000 bis 5000 Dollar.
via Lifehacker
Aus Down Under erreichen uns Meldungen über eine Weltpremiere. Big Brother lässt grüssen.
Im australischen Bundesstaat New South Wales sind am Sonntag Überwachungskameras regulär in Betrieb genommen worden, die nicht nur erfassen, ob Automobilisten zu schnell fahren, sondern auch erkennen, ob sie sich am Steuer korrekt verhalten. Dies berichtet der «Guardian».
Es handle sich gemäss der zuständigen Behörde (Transport for NSW) um die weltweit ersten Handy-Erkennungskameras, die Tag und Nacht bei allen Wetterbedingungen arbeiten, um festzustellen, ob ein Fahrer ein Mobiltelefon bediene.
Es …