Shellshock betrifft nur Admins – FALSCH!

Security

Eine weitere hochkarätige Bedrohung steht in den Schlagzeilen: Shellshock. Worum geht’s? Eine Lücke in der Unix-Shell Bash. Angreifer, die diese Sicherheitslücke für sich nutzen, können auf den entsprechenden Systemen Code ausführen. Diese Sicherheitslücke betrifft Unix-basierte Betriebssysteme, darunter Linux und Mac OS X.

Die Kollegen aus dem Lab haben dazu ein Whitepaper veröffentlicht:
BACKDOOR:LINUX/SHELLSHOCK.A

Scheint ein reines IT-Admin-Thema zu sein, oder? Sind wir normalen User nun betroffen oder nicht?

Wir sind es!

Betroffen sind Webserver, auf denen beispielsweise Zugangsdaten wie Login und Passwort, Kreditkartennummern, E-Mails und alle anderen persönlichen Daten gespeichert sind. Diese Webservern können anfällig für Shellshock sein – und das macht uns verwundbar.

Wir können zwar uns und unser System vor Schwachstellen schützen, wenn wir eine Sicherheitslösung installiert und den Update-Dienst aktiviert haben. Doch was ist mit Servern? Wir haben keinen Einfluss darauf, wie sie verwaltet werden, und wir wissen nicht einmal, ob der Service den wir gerade verwenden, auch von der Lücke betroffen ist.

Kann man was dagegen tun? Ja, aber nur indirekt. Dieses Problem ist einmal mehr eine Ermahnung, sich Gedanken um ein paar grundlegende Sicherheitsprinzipien zu machen. Auch wenn es jedem klar sein sollte, so ist es aber wert, diese nochmals zu wiederholen:

  • Auch wenn Sie haben keinen Einfluss darauf haben, welcher Server der Service Provider einsetzt, so können Sie entscheiden, welchen Dienst Sie nutzen. Bevorzugen Sie nur vertrauensvolle und professionelle Dienste, deren Ruf auf dem Spiel steht.
  • Verwenden Sie keinesfalls das ein und dasselbe Passwort bei mehreren Diensten. Das verhindert zwar kein Eindringen, minimiert aber zumindest den Schaden, wenn tatsächlich jemand in das System bricht.

Shellshock wird uns wohl noch einige Zeit begleiten. Daher gilt es zu beachten: Das Risiko sollte immer klein gehalten und der Schaden begrenzt werden.

Ob Ihre Systeme betroffen sind, lässt sich mit folgendem Befehl prüfen:
env x='() { :;}; echo vulnerable‘ bash -c „echo this is a test“

Die Antwort der Shell sollte lieber nicht „vulnerable“ sein…

Schlagwörter

Diesen Beitrag bewerten

0 Bewertungen

0 Kommentare

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s

Könnte Ihnen ebenfalls gefallen