Shellshock

25. September 2014 14:49; Akt: 25.09.2014 16:31 Print

Das müssen Sie über den neuen IT-Bug wissen

von Philipp Stirnemann - Seit gestern macht der sogenannte Bash Bug von sich reden. Worum es sich bei der Sicherheitslücke genau handelt und wie man sich schützen kann, erfahren Sie hier.

storybild

Was genau ist der Bash Bug eigentlich, und wie schützt man sich vor der neu entdeckten Sicherheitslücke? 20 Minuten liefert Antworten auf die wichtigsten Fragen. (Bild: Keystone/AP/Patrick Semansky)

Zum Thema
Fehler gesehen?

Experten zufolge existiert die Bash Bug, auch Shellshock, genannte Sicherheitslücke schon seit gut 25 Jahren. Sie bedroht Webserver und mit dem Internet verbundene Geräte. 20 Minuten hat bei Marc Ruef von der Sicherheitsfirma Scip AG nachgefragt und liefert hier die wichtigsten Antworten zum Thema Bash Bug:

Welche Betriebssysteme sind betroffen, und was ist der Bash Bug überhaupt?
In erster Linie sind es Systeme, die eine Bash-Shell einsetzen. Bei Bash handelt es sich um einen Kommandozeileninterpreter, ähnlich der «MS-DOS-Eingabeaufforderung», die wohl vor allem älteren Nutzern noch ein Begriff ist. Traditionellerweise wird Bash auf Unix- und Linux-basierten Systeme eingesetzt, die hauptsächlich im Server-Bereich genutzt werden. Ebenfalls betroffen sind Mac-OS-X- und vermutlich auch Android-basierte Systeme. Die Tragweite ist entsprechend enorm.

Welche Geräte sind vom Bash Bug betroffen?
Am meisten exponiert sind voraussichtlich Websites. Aber auch E-Mail- und Cloud-Dienste könnten angreifbar sein. Da Linux und Android mittlerweile Einzug in die verschiedensten Bereiche des täglichen Lebens gehalten haben, werden sicher auch diverse Fernseher, Webcams, Musikplayer und andere Gadgets in Mitleidenschaft gezogen. Es würde auch nicht erstaunen, wenn gar das eine oder andere Auto betroffen wäre.

Was kann mit betroffenen Systemen und Geräten konkret passieren ?
Durch einen Angriff lassen sich eigene Befehle absetzen, wodurch das Zielsystem manipuliert und ferngesteuert werden kann. Ein Angreifer könnte neue Benutzerkonten einrichten, Dateien auslesen oder Datenbanken löschen. Wenn er es geschickt anstellt, kann er all das machen, was auch ein legitimer Benutzer mit seiner Tastatur machen könnte.

Wie schütze ich mich vor dem Bash Bug?
Administratoren betroffener Server-Systeme sind angehalten, die herausgegebenen Patches zu installieren. Dies gilt auch für Endgeräte, wobei Apple bisher noch nicht mit einem Patch reagiert hat. Falls ein Dienstanbieter kompromittiert wird, den man selber nutzt (z.B. Dropbox oder Gmail), kann man nichts direkt machen. Indem man aber auf die Nutzung unnötiger Dienste verzichtet und nur unkritische Daten verfügbar macht, minimiert man die persönlichen Auswirkungen einer erfolgreichen Kompromittierung.

Die Sicherheitslücke ist schon über 20 Jahre alt. Warum ist sie erst jetzt bemerkt worden?
Es verhält sich hier ähnlich wie bei der Heartbleed-Schwachstelle in OpenSSL: Der Code wird manchmal nicht oder nur oberflächlich auf Schwachstellen getestet. Obwohl immer mal wieder neue Angriffstechniken bekannt werden, prüfen die wenigsten Projekte rückwirkend, ob bestehende Codeteile verwundbar wären. Software-Entwickler sind angehalten, sich aktiv um die Sicherheit ihrer Produkte zu kümmern. Das ist sehr zeit- und ressourcenintensiv, wobei ein Ausbleiben aber früher oder später in Problemen dieser Art endet.

Was kann wegen des Shellshock Bugs in den letzten Jahren bereits passiert sein?
Es ist davon auszugehen, dass gewisse Dienste sehr breitflächig und zielgerichtet nach Schwachstellen in populären Software-Lösungen suchen. Abschliessend lässt sich diese Frage im Nachhinein aber nicht mehr beantworten.

Kommentarfunktion geschlossen
Die Kommentarfunktion für diese Story wurde automatisch deaktiviert. Der Grund ist die hohe Zahl eingehender Meinungsbeiträge zu aktuellen Themen. Uns ist wichtig, diese möglichst schnell zu sichten und freizuschalten. Wir bitten um Verständnis.

Die beliebtesten Leser-Kommentare

  • Insider am 25.09.2014 17:51 Report Diesen Beitrag melden

    Bilderbuchexperte

    Na das ist ja ein Bilderbuchexperte. Sattelfest und kompetent ist anders; der Artikel verspricht, dass man hier alles Wichtige erfährt. Serviert werden Halbwahrheiten und unqualifizierte Vermutungen, die falsch sind. Die Firma merke ich mir.

  • O. Je am 25.09.2014 15:15 Report Diesen Beitrag melden

    Etwas weit hergeholt diese Aussage

    Selten so einen Unsinn wie hier gelesen. Aus einem kleinen Fehler in einem Interpreter (der nicht einmal mit Root-Rechten läuft) so ein Drama zu machen. Die meisten embedded Systeme nutzen ein abgespeckte Version einer Shell und nicht die Bash. Ausserdem braucht es für den Aufruf von ext. Programmen keine Shell (system(), exec()).

    einklappen einklappen
  • Stev am 25.09.2014 15:09 via via Mobile Report Diesen Beitrag melden

    Seit 25 Jahren?

    Die Lüke wurde doch mit Sicherheit schon lange ausgenutzt.. Geheimdienste lassen freundlich grüssen

Die neusten Leser-Kommentare

  • Heinrich Gretler am 25.09.2014 21:31 via via Mobile Report Diesen Beitrag melden

    Stecker herausziehen

    Geräte vom Netz trennen welchenwichtig sind. Abwarten. Daten sichern. Mit Ersatzgerät News lesen. Sorgfältig wieder hochfahren was down war. Sicherung offline lassen. Hoffen, dass wenig passiert ist.

  • Laie am 25.09.2014 20:05 via via Mobile Report Diesen Beitrag melden

    Verstehe nur Bahnhof...

    Was muss nun ein Laie wissen davon?

  • Timmi Ottobrin am 25.09.2014 19:12 via via Mobile Report Diesen Beitrag melden

    Android ist Linux

    leichte Korrektur Android ist Linux.

    • CN 26 am 25.09.2014 20:20 Report Diesen Beitrag melden

      Aber nicht betroffen

      Aber im Gegensatz zu Linux benutz Android die Bash nicht.

    • Haubenheber am 25.09.2014 21:07 Report Diesen Beitrag melden

      @Timmi Ottbrin

      Nö, Android ist nicht Linux. Aber Android verwendet Linux als Kern. Android entspricht damit GNU. Bash ist typischerweise Bestandteil von GNU, aber nicht in Android enthalten. Somit ist Android auch nicht betroffen ("env: can't execute '/bin/bash': No such file or directory"). Lassen wir den Windows-Phone-Fans aber einen kurzen Moment lang ihre Freude. Die haben sonst ja keine sondern nur Frust mit ihrem Windows-Fön :-D.

    einklappen einklappen
  • Chrigel am 25.09.2014 18:59 via via Mobile Report Diesen Beitrag melden

    Hä?

    Auch via CMD greifen die Rechte. Soooo einfach ist es also nicht.

  • Ein Junger am 25.09.2014 18:48 via via Mobile Report Diesen Beitrag melden

    Hahaha

    Die, die sagen Windows sei nicht betroffen: You made my day! Die meisten Server und Modems sind auf Linux basiert. :) Ihr seid genau gleich betroffen! Ich bin zwar auch Windows-Fan (PC) aber bitte seid nicht so - entschuldigt den Ausdruck - dumm! :)