Interview mit Marc Ruef

"Das Potenzial für einen Super-GAU ist vorhanden"

Uhr | Updated

Wie schlimm ist der Bug in der weit verbreiteten Unix-Shell Bash wirklich? Die Redaktion wollte es genau wissen und sprach mit dem IT-Sicherheitsexperten Marc Ruef von Scip.

Marc Ruef vom Schweizer IT-Sicherheitsspezialisten Scip (Quelle: Scip / scip.ch)
Marc Ruef vom Schweizer IT-Sicherheitsspezialisten Scip (Quelle: Scip / scip.ch)

Herr Ruef, der neu entdeckte Bug Shellshock/Bashbleed verunsichert gerade die IT-Branche. Können Sie uns in einfachen Worten erklären, wie die Sicherheitslücke genau funktioniert?

Es handelt sich um eine klassische Angriffsform. Die verwundbare Software geht davon aus, dass sie eine Eingabe als Programmcode ausführen muss. Dadurch wird es möglich, eigene Anweisungen einzuschmuggeln, was eine Fernsteuerung des Systems ermöglicht.

IT-Experten stufen die Sicherheitslücke schlimmer als Heartbleed ein. Die US-Regierung bewertet sie auf einer Gefährlichkeitsskala gar mit 10 von 10 Punkten. Teilen Sie diese Einschätzung?

Die Kritikalität einer Schwachstelle wird klassischerweise an Eintrittswahrscheinlichkeit und Auswirkung gemessen. Beide sind enorm hoch: Einerseits ist die verwundbare Software-Komponente sehr populär, andererseits kann ein Angreifer Kommandos ausführen, als sässe er physisch vor dem Rechner. Das Potenzial für einen Super-GAU ist vorhanden. Ob er aber auch wirklich eintreten wird, ist von komplexen Faktoren abhängig.

Wie kann es überhaupt passieren, dass eine solche Lücke rund 20 Jahre lang unentdeckt bleibt? Bash ist doch Open-Source, und jeder kann den Code des Programms einsehen und kontrollieren.

Hier beobachten wir voraussichtlich das gleiche Problem wie damals bei Heartbleed: Programmcode wird ungenügend auf seine Sicherheit hin getestet und alte Codeteile nachträglich auch nicht mehr untersucht. Der betroffene Teil hat ja über Jahre vermeintlich keine Probleme gemacht, deshalb hat man da wohl auch nicht mehr gross kontrolliert. Es geht in diesem Zusammenhang nun nicht darum, herauszufinden, welcher Programmierer sich vertan hat. Viel mehr müssen bessere Prozesse etabliert werden, dass sich solche Fehler gar nicht erst einschleichen und so lange unbemerkt bleiben können.

Nutzer von Betriebssystemen auf Basis von BSD, Linux oder Unix sind gefährdet. Was sollen sie nun tun?

Viele Hersteller bieten mittlerweile Patches an, mit denen das Problem behoben werden kann. Diese gilt es auf exponierten Systemen - solche mit vielen Benutzern oder mit umfangreichen Server-Komponenten - zu installieren.

Auch OS X ist durch den Shellshock-Bug verwundbar. Wie sollen sich Apple-Nutzer jetzt verhalten?

Apple hat bisher noch nicht auf das Problem reagiert und tut dies in der Regel auch eher träge. Bis von offizieller Seite Patches herausgegeben werden, bleibt nur das Aktivieren einer anderen Shell - oder man bringt die Modifikationen selbst an und kompiliert Bash neu.

Linux-Distributionen wie Red Hat, Ubuntu oder Debian haben bereits Updates ausgeliefert. Für Mac OS X lässt ein Patch noch auf sich warten. Warum dauert es bei Apple so lange?

Für Software-Hersteller ist es mit zusätzlichem Aufwand verbunden, Informationen zu Schwachstellen zu berücksichtigen und identifizierte Sicherheitslücken zu beheben. Bei Apple scheint entweder kein oder nur ein sehr träger Prozess diesbezüglich etabliert zu sein. Entweder kann oder will man einfach nicht so schnell reagieren. Microsoft hat es hingegen sehr schön vorgemacht, wie man effizient und speditiv mit neuen Schwachstellen umgehen kann. Das musste man auch zuerst "lernen".

Stimmt, was ist eigentlich mit Windows?

Auf Windows wird standardmässig die MS-DOS-Eingabeaufforderung oder Powershell eingesetzt. Hierbei handelt es sich um komplett andere Lösungen, bei denen der Shellshock-Angriff in der gegenwärtigen Form nicht funktionieren kann. Es ist aber nicht auszuschliessen, dass auch da Fehler in ähnlicher Form schlummern. Zudem besteht die Möglichkeit, Bash auf einem Windows-System zu installieren. Das wird aber eher selten gemacht.

Gefährdet die Sicherheitslücke auch das Netz der Dinge? Geräte wie Kameras, Drucker oder NAS-Systeme laufen ja oft auf Linux.

In der Tat, Linux- und Android-basierte Systeme sind in diesem Bereich auf dem Vormarsch. Es würde gar nicht erstaunen, wenn in den kommenden Tagen Angriffsmöglichkeiten für Kaffeemaschinen und Autos bekanntwerden.

Auch in der Unterhaltungselektronik basieren viele Systeme auf Linux. Welche Geräte sind hier besonders gefährdet?

Um einen Angriff durchzuführen, muss der Angreifer Daten an ein verwundbares System schicken können. Lokale Attacken sind eher unpopulär. Dementsprechend sind gerade Geräte besonders exponiert, die über das Internet ansprechbar sind. Vor allem Systeme mit Webserver-Komponenten lassen vermuten, dass da gewisse Angriffsmöglichkeiten bestehen.

Mit Shellshock sollen sogar PHP und Python angreifbar sein. Sind diese Programmiersprachen jetzt nicht mehr sicher?

Falls PHP oder Python Daten an Bash weitergeben, stellt dies ein typischer Angriffsvektor dar. Wie die Daten an die Shell gelangen, ist sekundär. Es ist lediglich erforderlich, dass eine spezielle Zeichenkette weitergereicht und durch Bash interpretiert wird.

Software wie SSH, OpenSSH, DHCP, CUPS, Sudo, Git oder CVS ist ebenfalls gefährdet. IT-Admins brauchen viele dieser Tools täglich. Was müssen sie nun beachten?

Sollten diese Lösungen in einem geschützten Bereich eingesetzt werden, ist das Risiko einer Kompromittierung eher gering. Bei einer direkten Internetanbindung besteht aber die akute Gefahr eines erfolgreichen Angriffs. Das Einspielen der aktuellsten Version von Bash vermag das Problem zu beheben. Voraussichtlich werden aber auch noch Massnahmen durch die Anbieter der genannten Tools veröffentlicht werden. In hochsicheren Umgebungen ist es dann von Vorteil, wenn alle möglichen Massnahmen ausgeschöpft werden.

Wird man noch lange von Shellshock hören? Der Heartbleed-Bug gefährdet ja immer noch hunderttausende von Computern.

Ich erwarte eine ähnliche Evolution von Shellshock wie bei Heartbleed. Wir rechnen damit, dass wir im Rahmen unserer Sicherheitsüberprüfungen auch noch in Jahren an Systeme geraten werden, die wegen der Lücke verwundbar sein werden. Es könnte aber sein, dass Shellshock in automatisierter Weise durch einen raffinierten Wurm ausgenutzt wird. Dies könnte die Epikrise von Shellshock massgeblich verändern. Kurzfristig in negativer Hinsicht, langfristig aber vielleicht im Positiven.

Webcode
446