# taz.de -- „Shellshock“-Lücke bei Apple und Linux: Die erste Angriffswelle läuft
       
       > Nach dem Bekanntwerden einer 20 Jahre alten Sicherheitslücke wird diese
       > schon ausgenutzt. Panik privater Nutzer ist unangebracht.
       
 (IMG) Bild: Auch Apple-Rechner sind von der Sicherheitslücke betroffen.
       
       KÖLN taz | Von einer neuen Sicherheitslücke zu sprechen ist eine gelinde
       Übertreibung: Die nun „Shellshock“ getaufte Lücke in dem Programm Bash ist
       nach aktuellen Informationen über 20 Jahre alt. So lange versteckte sie
       sich unentdeckt in dem Programm, das heute noch auf fast allen
       Linux-Rechnern und auch auf aktuellen Apple-Computern vorinstalliert ist.
       
       Es handelt sich bei Bash um eine sogenannte Shell, also ein Programm, mit
       dem Administratoren per Kommandozeile rudimentäre Verwaltungsaufgaben
       durchführen und automatisieren können. Die nun entdeckte Sicherheitslücke
       ist erstaunlich einfach auszunutzen: Man muss dem Programm neben einem
       normalen Befehl nur noch einige „Umgebungsvariablen“ übergehen und der
       Computer führt so ziemlich jeden Befehl aus: Dateien auslesen, Passwörter
       ändern oder auch andere Rechner attackieren.
       
       Die erste Angriffswelle rollt bereits. [1][Wie das Magazin Wired
       berichtet], haben Angreifer dank Shellcode massenhaft fremde Rechner
       übernommen und damit begonnen, unter anderem das Netz des
       Internet-Dienstleisters Akamai und der US-Regierung zu attackieren. Andere
       Angreifer sind offenbar noch auf der Suche nach weiteren Rechnern, die sie
       übernehmen können, bevor sie zur Tat schreiten.
       
       ## Größer als Heartbleed?
       
       Dies könnte aber nur ein Vorgeschmack sein auf das, was noch kommen mag.
       Denn es ist unklar, in wie vielen Geräten der „Shellshock“ noch lauert und
       wie viele Wege Angreifer finden, ihn auszunutzen. So hat Apple angekündigt,
       sein Betriebssystem MacOS X abzudichten – eine akute Gefahr für
       Privatanwender sieht der Konzern nach Medienberichten jedoch nicht, da das
       schadhafte Programm auf Apple-Rechnern nicht einfach über das Internet
       aktiviert werden kann.
       
       Die in den Medien verbreiteten Spekulationen, ob „Shellshock“ noch
       schlimmer als die [2][im April entdeckte Sicherheitslücke „Heartbleed“]
       ist, sind weitgehend Kaffeesatzleserei. Denn einerseits sind die Lücken
       sehr verschieden: Heartbleed erlaubte quasi jedem den Arbeitsspeicher von
       Servern auszulesen und dort nach verwertbaren Informationen wie Passwörtern
       zu suchen. Shellshock bietet jedoch direkten Zugriff auf den Rechner –
       sofern der Angreifer einen Weg findet, Bash zu aktivieren.
       
       Doch die Parallelen sind eindeutig: Hier wie da geht es um eine
       Sicherheitslücke in freier Software, die – da sie kostenlos und im Einsatz
       erprobt ist – bedenkenlos in unzählige Systeme integriert wurde. In
       zahlreichen Geräten wie Internet-Routern oder Videorekordern steckt
       mittlerweile ein kleines, spezialisiertes Linux-System.
       
       ## Verlierer: Open Source
       
       Sicherheitsforscher Robert Graham sieht einen der Stützpfeiler der
       Sicherheit offener Software nun widerlegt: „Open-Source-Aktivisten
       vertreten die Theorie, dass Open Source-Software weniger Fehler haben wird,
       weil jeder den zugrundeliegenden Quellcode überprüfen kann“,
       [3][//:schreibt er in seinem Blog]. Dass die fatale Bash-Lücke über 20
       Jahre unentdeckt blieb, sieht er als Gegenbeweis: Der durchschnittliche
       Programmierer schreibe 10 Mal häufiger Programme statt bestehende Programme
       zu lesen. Spezialisierte Code-Reviewer, die solche Fehler ausmerzen,
       leisteten sich hingegen nur die Hersteller kommerzieller Software.
       
       Das ist freilich eine Verkürzung: Auch bei kommerziellen Systemen fallen
       immer wieder uralte Sicherheitslücken auf. So wurden Windows-98-Nutzer
       nicht zum Wechsel gedrängt, weil das System nicht mehr funktioniert,
       sondern weil Microsoft keine Sicherheitsupdates für Privatnutzer mehr
       bereitstellt.
       
       Doch auch das Krisenmanagement ist kein Aushängeschild für die
       Open-Source-Gemeinde. So hat das am Donnerstag eilig verbreitete Update das
       Problem nicht ganz beseitigt – immer noch konnten Angreifer unbefugt
       Befehle in Server einschleusen. Die Hoffnung bleibt aber, dass Open-Source
       dabei hilft, neben dem Uralt-Programm nun möglichst schnell die
       Problemlösung zu verbreiten. Privatnutzer können also wenig tun, außer in
       den nächsten Tagen nach Sicherheitsupdates Ausschau zu halten.
       
       26 Sep 2014
       
       ## LINKS
       
 (DIR) [1] http://www.wired.com/2014/09/hackers-already-using-shellshock-bug-create-botnets-ddos-attacks/
 (DIR) [2] /Sicherheitsluecke-im-Netz/!136586/
 (DIR) [3] http://onlinetaz.hal.taz.de/http
       
       ## AUTOREN
       
 (DIR) Torsten Kleinz
       
       ## TAGS
       
 (DIR) Hacker
 (DIR) Sicherheitslücken
 (DIR) Heartbleed
 (DIR) Linux
 (DIR) Apple
 (DIR) Apple
 (DIR) Big Data
 (DIR) Homosexualität
 (DIR) Hacker
 (DIR) Schwerpunkt Überwachung
 (DIR) Microsoft
 (DIR) Finanzen
 (DIR) Heartbleed
       
       ## ARTIKEL ZUM THEMA
       
 (DIR) IPhones, Nacktbilder und Bono: Finnland fühlt sich verapplet
       
       Apple zerstört die Industrie des Landes, findet der finnische
       Premierminister. Recht hat er: Vier Dinge, die der Konzern schon
       kaputtgemacht hat.
       
 (DIR) Kommentar Datenschutz Unternehmen: Vertrauen ist schlecht
       
       Unternehmen werben gerne mit Vertrauen, das man in sie investieren könne.
       Doch gerade beim Datenverkehr gilt: Sicherheit ist besser.
       
 (DIR) Dating-App für Homosexuelle: Grindr schließt Sicherheitslücke
       
       Die Dating-App Grindr zeigt den Standort der Nutzer an. In vielen Ländern
       können so Schwule geoutet und verfolgt werden. Jetzt hat Grindr reagiert.
       
 (DIR) Verleihung des „Internet-Schutz-Preises“: Facebook ehrt deutsche Forscher
       
       50.000 Dollar erhalten Forscher der Ruhr-Uni Bochum von Facebook. Sie
       entwickeln Methoden, um Sicherheitslücken in Internetanwendungen zu
       schließen.
       
 (DIR) Überwachung durch Geheimdienste: Werkzeug von Kriminellen abgeguckt
       
       Die Dienste der USA, Großbritanniens, Kanadas, Australiens und Neuseelands
       nutzen offenbar Angriffsmethoden im Netz, die sonst nur von Kriminellen
       eingesetzt werden.
       
 (DIR) Sicherheitslücke bei Internet Explorer: US-Regierung warnt vor Microsoft
       
       Über die Hälfte aller PC-Nutzer browst mit dem Internet Explorer. Sie
       werden jetzt vom Heimatschutzministerium vor einer schweren
       Sicherheitslücke gewarnt.
       
 (DIR) „Heartbleed“ und Open-Source-Software: Sicherheit kostet
       
       Nach dem Sicherheitsdesaster „Heartbleed“ stellt sich die
       Finanzierungsfrage bei Open-Source-Projekten. Doch Geld kann neue Probleme
       schaffen.
       
 (DIR) Sicherheitslücke „Heartbleed“: Eine Backdoor ist keine Backdoor?
       
       Nach dem Fehler in der Verschlüsselungssoftware OpenSSL spekulieren
       Experten, ob bewusst eine Hintertür geschaffen wurde. Etwa für
       Geheimdienste.