Was sollte ich über Shellshock wissen?
Zurzeit ist das Topthema Shellshock. Was es ist und was man dagegen machen kann? Hier ist was Sie sich merken müssen:
-
Shellshock ist ein Software-Bug, der die gängige Kommandozeilen-Shell Bash betrifft, die aktiv in Linux/UNIX OS und Apple Mac OS X verwendet wird, um unterschiedliche Programme und deren Funktionen zu steuern. Man ist im Glauben, dass diese 25 Jahre alte (!) Sicherheitslücke von dem Linux-Experten Stéphane Chazelas erkannt wurde.
-
Bash befindet sich auf Millionen von Computern, mobilen Geräten, Routern, Firewalls und Servern, so kann jeder von Shellshock betroffen sein. Laut Experten sind die anfälligsten Systeme MAC, Linux und Windows OS.
-
Dieser Bug kann dazu ausgenutzt werden, um sich mit dem Zielbetriebssystem zu verbinden und dieses mit unterschiedlichen Arten von Cyberbedrohungen zu infizieren. Er kann Hackern auch dazu verhelfen diverse Modifizierungen auf dem System zu veranlassen, Zugriff auf vertrauliche Daten zu gewähren und diese zu zerstören oder andere gefährliche Aktivitäten durchzuführen.
- Im Vergleich zu Heartbleed ist Shellshock weitaus gefährlicher und erfordert nur wenige Kenntnisse um es auszunutzen. Der Bug kann selbst missbraucht werden, wenn man keine Anmeldeinformationen für den anvisierten Server besitzt.
-
Shellshock kann dazu verwendet werden einen selbstreplizierenden „Wurm“ zu erstellen. Zum Zeitpunkt der Erstellung des Artikels sind zwei Würmer bekannt, die diesen Bug ausnutzen, um aus betroffenen Systemen sogenannte Bots zu machen. Diese haben ebenfalls in den Angriff genommen Passwörter und Anmeldedaten von anfälligen Servern zu erraten.
-
Glücklicherweise nimmt der Patch des Bugs nicht viel Zeit in Anspruch. Laut den aktuellsten Nachrichten haben Sicherheitsexperten von Linux bereits eine Lösung für Shellshock entwickelt. Auch Apple hat ein Update für diese Sicherheitslücke bei OS X Lion, Mountain Lion und Mavericks veröffentlicht. Selbst wenn behauptet wird, dass dieser Patch die Sicherheitslücke immer noch nicht vollendig schließt, sollten Sie ihn dennoch herunterladen. Schließlich ist dies besser als nichts zu tun.