Von einer neuen Sicherheitslücke zu sprechen ist eine gelinde Übertreibung: Die nun „Shellshock“ getaufte Lücke in dem Programm Bash ist nach aktuellen Informationen über 20 Jahre alt. So lange versteckte sie sich unentdeckt in dem Programm, das heute noch auf fast allen Linux-Rechnern und auch auf aktuellen Apple-Computern vorinstalliert ist.
Es handelt sich bei Bash um eine sogenannte Shell, also ein Programm, mit dem Administratoren per Kommandozeile rudimentäre Verwaltungsaufgaben durchführen und automatisieren können. Die nun entdeckte Sicherheitslücke ist erstaunlich einfach auszunutzen: Man muss dem Programm neben einem normalen Befehl nur noch einige „Umgebungsvariablen“ übergehen und der Computer führt so ziemlich jeden Befehl aus: Dateien auslesen, Passwörter ändern oder auch andere Rechner attackieren.
Wer herausfinden will, ob sein Gerät oder Server angreifbar ist, kann ab sofort kostenlose Werkzeuge des japanischen IT-Sicherheitsanbieters Trend Micro nutzen. Diese spüren darüber hinaus erste entdeckte und auf diese Sicherheitslücke spezialisierte Schädlinge wie „BASHLITE“ auf und beseitigen sie. Schließlich bietet Trend Micro auch eine kostenlose Testversion seiner Lösung zum virtuellen Schließen der Sicherheitslücke an.
Auf der Seite „Kostenloser Shellshock-Schutz“ hat Trend Micro kostenlose Werkzeuge zum Aufspüren und Absichern der Sicherheitslücke sowohl für Privatanwender als auch für Unternehmen zur Verfügung gestellt. Betreiber von Webservern können prüfen, ob ihre Systeme von der Sicherheitslücke betroffen sind und sie durch virtuelles Patchen abschirmen. Unternehmen können ihre Mitarbeiter vor dem Zugriff auf angreifbare Webserver schützen. Privatanwender können ebenfalls mittels Browsererweiterungen für den „Internet Explorer“ sowie „Chrome“ verhindern, auf Webserver zuzugreifen, von denen bekannt ist, dass sie über „Shellshock“ angegriffen werden können. Außerdem können sie ihre Android-Geräte auf ihre Angreifbarkeit hin prüfen lassen.
„Alle Welt spricht von der nicht mehr aufzuhaltenden Digitalisierung der Wirtschaft und dem Internet der Dinge. Und wie bei allen technischen Neuerungen scheint es auch dieses Mal so zu sein, dass an die Sicherheit zuletzt gedacht wird. Doch Gefahren wie die jetzt bekannt gewordene, aber in Wahrheit schon 25 Jahre alte Sicherheitslücke ‚Shellshock‘, alias ‚Bash Bug‘, schüren Zweifel an den versprochenen Segnungen der vollständigen Vernetzung jeder Art von Gerät“, erklärt Sicherheitsexperte Udo Schneider, Pressesprecher von Trend Micro. „Denn eine Infrastruktur ist umso verwundbarer, je komplexer, weil vernetzter sie arbeitet. Anbieter und Verbraucher müssen in Zukunft mehr Vorsicht walten lassen und sowohl beim Design als auch bei der Nutzung von Diensten und Produkten mehr an die Sicherheit denken.“