Shellshock, die ableitung der sicherheit gewalt d hallenbad « fast zufällig » von einem Französischen

Beispiel für befehle wendepunkt in der Bash.

sicherheitslücken in der it sind ein häufiges problem, aber der letzte, mit dem namen « Shellshock », ist keineswegs harmlos. Veröffentlicht am 26 september, fand in der Bash, ein herzstück der Unix, selbst an der basis des freien betriebssystems und kostenlos GNU/Linux, das team rund 70% der Internet-server der welt. Genauer gesagt, Bash ist eine shell, eine schnittstelle, die übersetzt befehlszeilen, die über die tastatur eingegeben wurden, in einer verständlichen sprache, die vom betriebssystem.

Die erste version der Bash, gegründet in 1988, zwischen Boston und Kalifornien, von der pioniere der freien software. Kurz nach seiner wartung wurde unterstützt von einem freiwilligen solitaire, Chet Ramey, alter heute 49 jahre, informatiker an der universität der Case Western Reserve von Cleveland (Ohio).

Seitdem Bash wurde regelmäßig überprüft, und ein paar kleinere schwachstellen erkannt wurden, aber seit mehr als zwanzig jahren, Shellshock ist vergangenheit völlig unbemerkt – ohne zweifel den weltrekord langlebigkeit für einen bug in der informatik. Es handelt sich um ein schwerwiegender fehler, kann es einem angreifer ermöglichen, erfahrener fernsteuern hunderttausende von maschinen, führen alle arten von piraterie und stören den betrieb der regel das Internet.

Der fall zeigt sich, wie ein allgemeineres problem. In der theorie, die große stärke von freier software ist, dass ihr code kann geprüft werden, ganz zu jeder zeit, von experten aus der ganzen welt. In wirklichkeit sind diese prüfungen stellen eine lange und beschwerliche, die berichtet, noch geld, noch ruhm, noch nicht einmal ein dankeschön. Die freiwilligen sind wenige, und die prüfungen in der tiefe der software als « klassiker » sind selten – eine paradoxe situation, denn sie werden von der Internet-unternehmen, die mächtigsten und reichsten der welt.

Eine sicherheitslücke entdeckt«, auf eine intuition »

Shellshock entdeckt wurde anfang september von Stephane Chazelas, Deutsch von 38 jahren installiert Edinburgh, it-leiter in einer gesellschaft, in der robotik. Herr Chazelas ist auch ein aktives mitglied der gemeinschaft der freunde des freie-software-spezialist-shells. Er behauptet zu haben, entdeckt Shellshock « fast durch zufall, auf eine intuition ». Juli 2014, entdeckt er eine standard-implementierung in einer anderen komponente Unix – genauer gesagt, in eine funktion gewährleistet die kommunikation zwischen verschiedenen arten von programmen. Diese schwachstelle ist etwas gefährlich, da sie sehr schwierig zu nutzen.

und Dann fragt er sich, ob dieser fehler wiederholt sich nicht in andere teile der Unix-zum beispiel in der Bash. Er befürchtet, dass sich die gleiche funktion hat, hier noch einmal implementiert worden«, so einfach und naiv » : « Mein verdacht hatte sich schnell bestätigt. Ich habe dann bewusst, das ausmaß des problems, indem sie entdecken, dass es sehr einfache möglichkeiten, sie zu nutzen. » Für einen hacker, der größte schwierigkeit darin die gefährdeten server und aktivieren sie dann Bash. Dann piraterie wäre ein leichtes, auch mit bereits vorhandenen tools.

Sofort, Stephane Chazelas beschließt zu handeln – mit vorsicht : « Diese art von informationen, die sich ähnlich einer cyberarme sehr stark. Es ist wichtig, nicht, sie zu verbreiten, den regierungen (zumindest einige von ihnen), oder kriminelle, bevor sie korrigiert. » Für patch anwenden, software aus stopfen der sicherheitslücke, kontaktiert er unauffällig die wichtigsten editoren für Linux-distributionen : Debian, Ubuntu, Red Hat, sowie französisch Mandriva -«, " dass nicht nur der us-amerikanischen schauspieler ». Es tritt auch in verbindung mit Chet Ramey, die aktuellen freiwilligen zuständig für die wartung der Bash. Herr Ramey ist wahrscheinlich der autor des codes defekt, aber niemand wird ihm hält strenge, die das alles geschah vor mehr als zwanzig jahren, und seine arbeit wurde sehr verdienstvoll.

mehrere upgrades

Das team macht sich an die arbeit, und der patch, der bereit ist, in weniger als zwei wochen. Dann ist es zeit, zu veröffentlichen, gleichzeitig die anfälligkeit und das gegenmittel. Für taufen seiner entdeckung, Stephane Chazelas vor Bashdoor », aber jemand auf Twitter startet den namen « Shellshock », die sofort angenommen durch die medien.

Das heißt, die schwer zu tun bleibt – sie informieren die unzähligen server-administratoren, die anfällig sind, und sie zu überzeugen, den patch zu installieren : « Manchmal ist die aktualisierung der Bash wird kompliziert, meint Stephane Chazelas, weil diese art von operation ist nicht vorgesehen, weil diejenigen, die es tun könnten, mangelt es an kompetenz oder motivation, oder weil es niemanden gibt, der ihnen das update. »

auf der anderen seite die ankündigung der existenz von Shellshock nicht entgangen hacker. Schon am nächsten tag, mehrere sicherheitsunternehmen europäischen und amerikanischen bemerken, dass hacker eilte, um sie zu nutzen, bevor die server-administratoren, die nicht zeit gehabt haben, das update zu installieren. Experten behaupten, haben bereits erkannt, dass eine reihe von angriffen, bei denen speziell die sicherheitslücke Shellshock :

  • scannen von netzwerken, die mit der amerikanischen verteidigungsministerium zu erkennen server anfällig
  • entstehung einer neuen worm (« wurm » oder ein virus in der lage, sich autopropager)
  • erstellung von botnetzen (illegalen netze von computern gesteuert, die ohne das wissen ihrer besitzer) für die verbreitung von spam
  • versuch sperrung der server des händlers Akamai

Die security-unternehmen russischen Kaspersky sagt, dass die gefahr der piraterie ist nicht nur Web : « Die schlimmsten probleme können nicht repariert werden – insbesondere auf geräte mit dem "Internet der dinge", von denen die software installiert werden, ein für alle mal, ohne die möglichkeit, updates oder einführung von patches. » Dasselbe gilt für die geräte-verbindung in das netzwerk integriert, z.b. router, wlan, haustiere.

Schreibe einen Kommentar