ShellshockDas müssen Sie über den neuen IT-Bug wissen
Seit gestern macht der sogenannte Bash Bug von sich reden. Worum es sich bei der Sicherheitslücke genau handelt und wie man sich schützen kann, erfahren Sie hier.
- von
- Philipp Stirnemann
Experten zufolge existiert die Bash Bug, auch Shellshock, genannte Sicherheitslücke schon seit gut 25 Jahren. Sie bedroht Webserver und mit dem Internet verbundene Geräte. 20 Minuten hat bei Marc Ruef von der Sicherheitsfirma Scip AG nachgefragt und liefert hier die wichtigsten Antworten zum Thema Bash Bug:
Welche Betriebssysteme sind betroffen, und was ist der Bash Bug überhaupt?
In erster Linie sind es Systeme, die eine Bash-Shell einsetzen. Bei Bash handelt es sich um einen Kommandozeileninterpreter, ähnlich der «MS-DOS-Eingabeaufforderung», die wohl vor allem älteren Nutzern noch ein Begriff ist. Traditionellerweise wird Bash auf Unix- und Linux-basierten Systeme eingesetzt, die hauptsächlich im Server-Bereich genutzt werden. Ebenfalls betroffen sind Mac-OS-X- und vermutlich auch Android-basierte Systeme. Die Tragweite ist entsprechend enorm.
Welche Geräte sind vom Bash Bug betroffen?
Am meisten exponiert sind voraussichtlich Websites. Aber auch E-Mail- und Cloud-Dienste könnten angreifbar sein. Da Linux und Android mittlerweile Einzug in die verschiedensten Bereiche des täglichen Lebens gehalten haben, werden sicher auch diverse Fernseher, Webcams, Musikplayer und andere Gadgets in Mitleidenschaft gezogen. Es würde auch nicht erstaunen, wenn gar das eine oder andere Auto betroffen wäre.
Was kann mit betroffenen Systemen und Geräten konkret passieren ?
Durch einen Angriff lassen sich eigene Befehle absetzen, wodurch das Zielsystem manipuliert und ferngesteuert werden kann. Ein Angreifer könnte neue Benutzerkonten einrichten, Dateien auslesen oder Datenbanken löschen. Wenn er es geschickt anstellt, kann er all das machen, was auch ein legitimer Benutzer mit seiner Tastatur machen könnte.
Wie schütze ich mich vor dem Bash Bug?
Administratoren betroffener Server-Systeme sind angehalten, die herausgegebenen Patches zu installieren. Dies gilt auch für Endgeräte, wobei Apple bisher noch nicht mit einem Patch reagiert hat. Falls ein Dienstanbieter kompromittiert wird, den man selber nutzt (z.B. Dropbox oder Gmail), kann man nichts direkt machen. Indem man aber auf die Nutzung unnötiger Dienste verzichtet und nur unkritische Daten verfügbar macht, minimiert man die persönlichen Auswirkungen einer erfolgreichen Kompromittierung.
Die Sicherheitslücke ist schon über 20 Jahre alt. Warum ist sie erst jetzt bemerkt worden?
Es verhält sich hier ähnlich wie bei der Heartbleed-Schwachstelle in OpenSSL: Der Code wird manchmal nicht oder nur oberflächlich auf Schwachstellen getestet. Obwohl immer mal wieder neue Angriffstechniken bekannt werden, prüfen die wenigsten Projekte rückwirkend, ob bestehende Codeteile verwundbar wären. Software-Entwickler sind angehalten, sich aktiv um die Sicherheit ihrer Produkte zu kümmern. Das ist sehr zeit- und ressourcenintensiv, wobei ein Ausbleiben aber früher oder später in Problemen dieser Art endet.
Was kann wegen des Shellshock Bugs in den letzten Jahren bereits passiert sein?
Es ist davon auszugehen, dass gewisse Dienste sehr breitflächig und zielgerichtet nach Schwachstellen in populären Software-Lösungen suchen. Abschliessend lässt sich diese Frage im Nachhinein aber nicht mehr beantworten.