Zum Hauptinhalt springen

Shellshock «doppelt so gefährlich wie Heartbleed»

Ein neu entdeckter Bug öffnet Hackern den Zugang zu Millionen von Computern. Auch in der Schweiz suchen sie nun nach Sicherheitslücken. Der Bund warnt. Was Anwender wissen müssen.

Eine Sicherheitslücke in einem weit verbreiteten Bestandteil von Betriebssystemen versetzt Computer-Experten weltweit in Aufregung. Der Shellshock genannte Fehler sitzt in der Software von Millionen von Internetservern, weiteren Computern und anderen Geräten wie etwa Internet-Routern. Eine Übersicht über die wichtigsten Fragen, welche sich nach der Entdeckung von Shellshock stellen:

1. Welche Systeme sind betroffen?

Die Sicherheitslücke sitzt in einem Programm namens Bash. Dieses ist Bestandteil vieler Betriebssysteme der Unix-Familie, zu welcher OS X von Apple und auch Linux gehören, nicht aber die Betriebssysteme der Windows-Familie von Microsoft. Welche Systeme im Einzelnen betroffen sind, ist zurzeit noch nicht vollständig klar. Laut dem Blog Ars Technica sind auch OS-X-Versionen betroffen.

2. In welchem Programm sitzt die Sicherheitslücke?

Das Programm Bash ist eine Benutzerschnittstelle, die Befehle in Textform verarbeitet. So kann es etwa einen Ordner öffnen oder ein anderes Programm starten, wenn der Nutzer den entsprechenden Befehl eingibt. Bevor grafische Benutzeroberflächen wie Mac OS und Microsoft Windows entwickelt wurden, welche per Maus gesteuert werden, wurden alle Computer über solche Textbefehle bedient. Heute verwenden vor allem Programmierer und Systemadministratoren solche «Shells» genannte Programme.

3. Worin besteht die Sicherheitslücke?

Einfach gesagt, kann über Bash fremder Code in ein Betriebssystem eingeschmuggelt werden. Ausgenutzt wird dabei der Umstand, dass Bash nicht nur von Menschen bedient werden kann, sondern auch von anderen Computerprogrammen. Webserver etwa nutzen Bash, um dem Betrachter von Internetseiten eine auf sein Gerät und seinen Browser angepasste Version der Seite zu liefern. Dabei übermittelt der Computer des Internetnutzers etwa die Information, dass dieser den Browser Google Chrome benutzt. Dies «merkt» sich dann das Programm. Offenbar erkennt Bash nun aber nicht, wenn ihm statt solcher harmloser Informationen möglicherweise gefährlicher Code übermittelt wird.

Etwas ausführlicher erklärt wird die Sicherheitslücke in folgendem Youtube-Video (auf Englisch):

(Video: Tom Scott/Youtube)

4. Was müssen private Anwender unternehmen?

Panik scheint für private Nutzer zurzeit nicht angebracht. Ausgenutzt werden kann die Sicherheitslücke nach Angaben von Experten vorwiegend auf älteren Systemen und Geräten wie etwa Routern. Jen Ellis von der Security Firma Rapid schreibt, die Lücke sei aus der Ferne nur unter ziemlich ungewöhnlichen Bedingungen ausnutzbar – also nur dann, wenn auf einem Gerät eine ganz bestimmte Kombination von Programmen und Einstellungen zusammenkommt.

Für Nutzer von OS X empfiehlt der Sicherheitsexperte Troy Hunt, ein OS-X-Update abzuwarten, mit welchem Apple die Lücke schliesst. Hunt warnt davor, per E-Mail verbreitete Links zu öffnen, welche eine Lösung des Problems versprechen. Dabei wird es sich im besten Fall um Scherze handeln, im schlimmsten Fall um gefährliche Viren oder andere Schadprogramme.

Linux-Nutzer können sich hingegen bereits schützen: Verschiedene Linux-Vertreiber haben bereits reagiert und stellen Updates zur Verfügung, welche die Sicherheitslücke stopfen, so etwa Red Hat.

Windows-Nutzer können sowieso aufatmen: Die Microsoft-Betriebssysteme verwenden das Programm Bash nicht.

5. Wie kann die Sicherheitslücke ermittelt werden?

Ob das eigene Betriebssystem gefährdet ist, lässt sich nach Angaben des Linux-Vertreibers Red Hat durch die Eingabe dieses Codes über ein Kommandozeilenprogramm prüfen (bei Mac OS X etwa mit dem Programm Terminal):

$ env x='() { :;}; echo vulnerable' bash -c "echo this is a test"

Fällt die Antwort des Systems wie folgt aus, besteht die Sicherheitslücke.

vulnerable this is a test

6. Was können Hacker via Shellshock bewirken?

Shellshock eröffnet Eindringlingen die Möglichkeit, auf betroffenen Geräten Programme zu installieren und Kommandos auszuführen. Sicherheitsexperten gehen davon aus, dass über die Lücke Würmer eingeschleust werden könnten – bösartige Programme, welche sich selber über das Internet weiterverbreiten.

Weiter fürchten Experten, dass Hacker Shellshock nutzen könnten, um ein Botnet aufzubauen – ein Netz von Computern, das sie nutzen können, um etwa Spam-E-Mails zu versenden oder um Server durch massenhafte Anfragen gezielt lahmzulegen.

Nach Angaben von Ars Technica meldeten Sicherheitsfirmen innert Stunden erste Attacken, mit welchen Hacker die Lücke auszunutzen versuchten.

7. Wie gravierend ist Shellshock?

Die amerikanischen Behörden warnten nach dem Bekanntwerden der Sicherheitslücke umgehend davor. Die Cybersicherheitsabteilung des US-Innenministeriums bewertete Shellshock mit einer Gefährlichkeit von 10 auf einer Skala von 1 bis 10 und damit als doppelt so hoch wie die Sicherheitslücke Heartbleed. Dies war ein Fehler in der Verschlüsselungssoftware OpenSSL, der Hackern im Web Passwörter und andere sensible Daten zugänglich machte. Auch der britische Geheimdienst GCHQ warnte, man müsse davon ausgehen, dass grosse Teile aller Internetserver betroffen seien.

Experten wie Jen Ellis und John Graham gehen davon aus, dass Shellshock tatsächlich gefährlicher als Heartbleed ist, weil die nun neu entdeckte Lücke eine ungeahnte Zahl an Manipulationsmöglichkeiten bietet. Andererseits aber glauben sie, dass durch die Vielzahl möglicher Systemkonfigurationen und involvierter Programme Attacken im grossen Stil wiederum unwahrscheinlicher sind.

Die grösste Herausforderung dürfte laut Experten sein, alle mit dem Internet verbundenen Geräte zu entdecken, welche von der Lücke betroffen sind – wie etwa Überwachungskameras.

8. Wie ist die Schweiz betroffen?

Die Schweiz ist grundsätzlich auch betroffen, da die entsprechenden Systeme in der Schweiz in Gebrauch sind. Die Stelle für Informatiksicherheit des Bundes (Melani) empfiehlt, verfügbare Sicherheitsupdates so rasch als möglich zu installieren. Wie die Behörde in ihrer Mitteilung schreibt, habe sie in den letzten Stunden einen starken Anstieg von Zugriffen auf Webserver beobachtet, welche gezielt nach der Lücke suchten.

9. Wer hat die Lücke entdeckt?

Ein 38-jähriger Open-Source-Programmierer namens Stéphane Chazelas ist offenbar Entdecker von Shellshock. Der in Grossbritannien lebende Franzose wurde am 12. September auf die Sicherheitslücke aufmerksam. Danach wurde die Information zunächst unter Sicherheitsexperten verbreitet – und nun öffentlich gemacht, damit alle Anwender die Lücke stopfen können.

10. Wie lange existiert die Lücke schon?

Nach Angaben von Entdecker Stéphane Chazelas wurde die Lücke 1993 in den Code des Programms Bash implementiert – durch einen der beiden Programmierer Chet Ramey und Brian Fox, die den Code des Programms auch heute noch pflegen. Schuld daran treffe die beiden aber keine, sagte Chazelas.

11. Wieso wurde die Lücke erst jetzt entdeckt?

Dass die Sicherheitslücke erst jetzt aufflog, gehöre zum Wesen solcher Programmierfehler, sagt Christopher Budd, Gefahrenmanager der Sicherheitsfirma Trend Micro: «Da muss halt jemand auf den Code schauen und sagen, da stimmt was nicht, um Probleme zu finden.»

12. Wurde die Lücke bereits früher ausgenutzt?

Anhaltspunkte dafür, dass die Sicherheitslücke einzelnen Hackern oder auch Regierungsabteilungen bereits länger bekannt war, existierten keine. Allerdings gehen manche Experten davon aus, dass gerade hochgerüstete Geheimdienste die Lücke bereits kennen – und ausgenutzt haben könnten. «Angesichts der langen Dauer, während der die Lücke existierte, wäre es naiv anzunehmen, dass diese nicht bereits ausgenutzt wurde», sagte etwa Jason Steer von der Sicherheitsfirma Fire Eye der «Financial Times».

AP/mw

Dieser Artikel wurde automatisch aus unserem alten Redaktionssystem auf unsere neue Website importiert. Falls Sie auf Darstellungsfehler stossen, bitten wir um Verständnis und einen Hinweis: community-feedback@tamedia.ch