DE | FR
Wir verwenden Cookies und Analysetools, um die Nutzerfreundlichkeit der Internetseite zu verbessern und passende Werbung von watson und unseren Werbepartnern anzuzeigen. Weitere Infos findest Du in unserer Datenschutzerklärung.
Computer Tastatur Finger

28 mal hintereinander die Backspace-Taste drücken – und man hatte Zugriff auf den Computer.
bild: shutterstock

Merkwürdiger Linux-Bug: Während sechs Jahren konnte man Rechner mit der «Zurück»-Taste knacken

Immer wieder treten kuriose Sicherheitslücken bei Computern zutage. Nun hat es das Open-Source-System Linux erwischt. IT-Experte Marc Ruef nimmt Stellung.



Linux wird von vielen als das super-sichere Betriebssystem angesehen. Die Software mit dem freundlichen Pinguin als Maskottchen wurde ursprünglich vom finnischen Programmierer Linus Torvalds entwickelt und fristet neben Windows und Mac OS X (auf Desktop-Rechnern) ein Nischendasein.

Im Gegensatz zu den Systemen von Microsoft und Apple ist Linux in verschiedenen Varianten als Open Source frei verfügbar. Wie ein Mitte Dezember publik gemachte Schwachstelle zeigt, war das von vielen Freiwilligen entwickelte System während Jahren mit einem einfachen Trick zu überlisten. Ein Angreifer musste nur 28 mal hintereinander die «Zurück»-Taste («Backspace») drücken, um reinzukommen.

Wer also (vorübergehend) physischen Zugriff auf einen Linux-Computer hatte, konnte unbemerkt auf die gespeicherten Daten zugreifen oder Malware installieren. Sehr unschön: Das Problem bestand offenbar während mehr als sechs Jahren ...

«Dies wird einmal mehr die Diskussion befeuern, ob Open Source nun wirklich so viel transparenter und sicherer ist.»

Marc Ruef, IT-Sicherheitsexperte

Es besteht kein Grund zur Panik. Die Entdecker der Schwachstelle haben umgehend einen Notfall-Patch veröffentlicht. Und die Anbieter der populären Linux-Systeme Ubuntu, Red Hat und Debian haben ihrerseits mit Software-Updates reagiert, um die Lücke zu schliessen.

Update 18. Dezember: Das Techportal heise.de hält fest, dass der betroffene Bootloader (Grub) auf sehr vielen Linux-Systemen im Einsatz sei, «die verwundbare Anmelde-Methode aber eher nicht».

Absichtliche «Hintertür»?

Wir haben den Schweizer IT-Sicherheitsexperten Marc Ruef von der Firma Scip AG um eine Einschätzung gebeten. Der erfahrene Hacker meint, es gebe einige spannende Aspekte rund um die Sicherheitslücke. Der Angriff sei zwar sehr simpel, setze jedoch physischen Zugriff auf das System voraus. «Immer, wenn solch einfache Schwachstellen auftauchen, stellt sich die Frage, ob diese nicht absichtlich als Hintertür etabliert wurden.»

Weiter gibt Ruef zu Bedenken, dass die Schwachstelle im Dezember 2009 eingeführt worden sei und knapp sechs Jahre unbemerkt existierte. «Dies wird einmal mehr die Diskussion befeuern, ob Open Source nun wirklich so viel transparenter und sicherer ist.»

Die Scip AG führt die Linux-Schwachstelle übrigens in ihrer online zugänglichen «Vulnerabilities»-Datenbank. Im entsprechenden Eintrag wird auch der Wert der Schwachstelle eingeschätzt. Als sie noch nicht öffentlich bekannt war, soll sie bis zu 25'000 Dollar wert gewesen sein. Heute seien es noch 2000 bis 5000 Dollar.

via Lifehacker

So viel Stromkosten pro Jahr verursachen Handy, PC, TV, Kühlschrank und andere Geräte wirklich

DANKE FÜR DIE ♥
Würdest du gerne watson und Journalismus unterstützen? Mehr erfahren
(Du wirst umgeleitet um die Zahlung abzuschliessen)
5 CHF
15 CHF
25 CHF
Anderer
Oder unterstütze uns per Banküberweisung.

Das könnte dich auch noch interessieren:

Abonniere unseren Newsletter

Meineimpfungen.ch abgeschaltet – neuer Bericht deckt gravierende Sicherheitsmängel auf

Impfdaten von Schweizerinnen und Schweizern, darunter 240'000 von Covid-Geimpften, waren gemäss Recherchen der «Republik» über das Internet offen zugänglich und manipulierbar. Das sind die wichtigsten Fakten.

Die Plattform meineimpfungen.ch weist gemäss Recherchen des Online-Magazins Republik «gravierende Sicherheits­mängel» auf und ist derzeit für Nutzer nicht verfügbar.

Die Anforderungen an den Daten­schutz sind laut «Republik» nicht erfüllt. Dies habe ein technischer Bericht von unabhängigen Schweizer IT-Sicherheitsexperten ergeben.

Betroffen ist auch die zugehörige Smartphone-App myViavac, die es für iPhones und Android-Mobilgeräte gibt.

Die IT-Sicherheitsexperten sind gemäss Bericht auf drei …

Artikel lesen
Link zum Artikel