Shellshock-Bug bereits Fundament für schnell wachsendes Botnetz

Bereits kurz nach dem Bekanntwerden eines Sicherheits-Problems unter Linux, das als "Shellshock" bezeichnet wird, tauchen auch schon die ersten Meldungen darüber aus, wie das Problem ausgenutzt wird. Ein Botnetz namens "Wopbot" ist bereits aktiv. mehr... Shell, Unix, Bash, Shellshock, Bash Shell, Linux Shell Shell, Unix, Bash, Shellshock, Bash Shell, Linux Shell Shell, Unix, Bash, Shellshock, Bash Shell, Linux Shell

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
Mit Linux wäre das nicht passiert!
 
@Draco2007: Der war gut - LOL
 
@Draco2007: ja, weil Linux ist Open Source und damit sicher ;)
 
@gandalf1107: Ja, in dem Fall seit 25 Jahren Open. ;)
 
@Knarzi81: Das ist schon Hammer. Vor 25 Jahren bereits bekannt, als unkritisch eingestuft, da die Angriffsszenarien als zu Theoretisch galten und dann für 20 Jahre vergessen.
 
@gutenmorgen1: Bei Microsoft die Regel. Da werden auch auch kritisch eingestufte Lücken jahrelang offen gelassen:

http://www.heise.de/security/meldung/Microsoft-kannte-kritische-0-Day-Luecke-seit-ueber-zwei-Jahren-751093.html

http://www.deutschlandfunk.de/schadsoftware-nsa-nutzt-langjaehrige-sicherheitsluecke-bei.684.de.html?dram:article_id=285031

http://www.chip.de/news/IE-8-bis-11-Kritische-Luecke-3-Jahre-geheim-gehalten_71201039.html

Und das sind nur die Lücken, die öffentlich bekannt werden. Closed Source sei Dank wohl nur ein Bruchteil.
 
@gandalf1107: Willst du jetzt nur trollen, oder hast du einfach null Ahnung?
Von dem Problem sind OSX-Systeme und Unix-Systeme gleichermaßen betroffen. Da der Quellcode offen liegt, können normalerweise Sicherheitslücken schneller Gefunden werden. In diesem Fall hat es ausnahmsweise mal ein 1/4 Jahrhundert gedauert.
An dem Problem wird aktuell gearbeitet und bestimmte Distributionen haben schon einen Vorabpatch gliefert, der aber noch nicht die endgültige Lösung sein soll.
Ich selbst benutze zwar Windows, aber Linux finde ich auch gut.
 
@Draco2007: Seien wir doch mal ehrlich. Software wird fast immer unter nicht optimalen Bedingungen geschrieben. Kein Vieraugen Prinzip, keine großen Tests... Und das Ergebnis sehen wir inzwischen immer öfter. Und bei Linux haben wir den Fix wenigstens selbst in der Hand. Und es kostet eben keine Lizenzgebühren, ist nicht abgeschottet und nimmt auch nicht alle Arbeit ab.
Und wenn dir deine Distribution über 60.000 Pakete anbietet, dann bist du allein ein Leben damit beschäftigt sie alle richtig kennen zu lernen... Und kleiner Tipp: In der Tat ist es nicht Linux passiert, sondern dem gerne genutzten Shell Programm bash. ;-P
 
@MrChaos: Es ist wie überall, vernünftige Tests kosten richtig Geld. Und da wird dann eben mal schnell gespart.
 
"Warum sich ein Trojaner gerade dieses gezielt als Ort für den Aufbau eines Botnetzes aussucht, ist derzeit noch unklar."

Mal rein Spekulativ, >Spionage<?
 
@Kribs: Nihil sine causa fit
 
@gandalf1107: für Leute die sich nicht wichtig tun wollen heißt das ?
 
@CvH: "heißt das ?"

>Nichts geschieht ohne Grund<
 
Und warum ist auf dem Screenshot jetzt die Eingabeaufforderung von Windows zu sehen?
 
@burnred: Ist eine Shell... Shellshock...verstehste?
 
@burnred: Ich vermute da hat sich einer die bash für Windows installiert; die dargestellten Kommandos stellen jedenfalls, soweit ich das beurteilen kann, das kritische Konstrukt der Variablenübergabe dar. (Das Kommando sh jat jedenfalls ziemlich wenig mit Windows zu tun;-)

Alternative Erklärung: Terminalfenster?
 
Warum gibt hier nicht die info wie man zb sein NAS testen kann obs betroffen ist?

Um zu testen, ob Ihr System vom Bash Bug betroffen ist, öffnen Sie eine Shell und tippen Sie folgenden Befehl ein:

env x="() { :;} ; echo bashbug" /bin/sh -c "echo test"

Spuckt das Kommando "bashbug test" aus, ist Ihr System betroffen.

Edit sagt: Meins gibt "Test" als Antwort.
 
@solitsnake: Auf ner Synology mit DSM 5.1 kommt auch "test" als Antwort.
 
@daaaani: Nicht by Default, wenn man per IPKG eine shell installiert hat, dann leider ja. (BusyBox z.B.) Noch keine Stellungnahme von Synology
 
@wertzuiop123: Busybox ist nicht betroffen. Sondern das Programm Bash.
 
@trødler: Was ich weiß verwendet DSM nicht bash sondern Busybox (mit sh und ash) Hast recht, dachte zuerst sh uns ash wären auch betroffen. Danke
 
@solitsnake: Meine Shells machen das nicht, die geben nicht "Test" aus. Können sie schließlich gar nicht ausgeben bei "echo test". Aber "test" ohne großes "T". :-)
 
@solitsnake: wichtiger wäre mir, zu erfahren, ob ich bereits das rootkit des genannten botnetzes auf dem rechner habe. wie kann ich das erkennen?

wieder mal lange gesichter und keine ahnung und keine vernünftige antwort. kann nur hoffen, daß mein comodo antivir für linux den dreck erkennt.
 
"Hier handelt es sich um 16,7 Millionen Adresse, die zum US-Militär gehören. Warum sich ein Trojaner gerade dieses gezielt als Ort für den Aufbau eines Botnetzes aussucht, ist derzeit noch unklar."

Da gibt es nur eine Antwort: Skynet.
 
Jetzt warte ich noch auf diejenigen, die hier gestern noch rumgetönt haben, dass das ja quasi gar nix wäre... ^^
 
@DON666: Was für ne unglaublich dumme Bemerkung von denen. Eine Sicherheitslücke oder -problem ist schon per Definition nicht "gar nix", egal auf welchem System!
 
Ich bin jetzt gerade etwas beunruhigt, aufgrund meiner nicht ausreichenden Englischkenntnisse, frage ich mich gerade ob "Googles Android" nicht auch gefährdet ist?
http://www.nytimes.com/2014/09/26/technology/security-experts-expect-shellshock-software-bug-to-be-significant.html?_r=0

Daneben scheinen Einige Router-Modelle und andere Systeme ebenfalls diese Schwachstelle zu haben?
http://www.expertreviews.co.uk/internet-security/1401531/what-is-shellshock-is-bash-bug-worse-than-heartbleed
 
@Kribs: android ist nicht betroffen
 
@lesnex: Das stimmt aber nicht ganz, CianogenMod ist betroffen, da dort Bash und nicht BusyBox benutzt wird. Aber die meisten Default Android Versionen werden in der Tat wohl nicht betroffen sein.
 
@Kribs: Dann schau doch einfach nach. Ist doch nicht so schwer mal nach seinen Shells zu schauen. Ist zumindest zielführender, als sich von der Regenbogenjournaille in unnötige Panik treiben zu lassen.
 
@Kribs: Ich gehe jetzt einmal davon aus, dass die Ironie-Tags an Deinem Kommentar vergessen wurden, denn erstens läuft Android nur auf unbedeutenden Lifestyle-Geräten wie SmartPhones und Tablets und zum Zweiten sind diese Geräte schon gehackt: Hersteller und Provider haben schon durch die Update-Funktionen vollen Root-Zugriff auf diese Geräte, dann ist noch Spionagesoftware wie Carrier-IQ und Co. darauf installiert, jeder kann die Funkaussendungen mitlesen, schon im Mobilfunk-Controllerchip sind so nette Funktionen wie das heimliche Aktivieren des Mikrofons von Ferne um den Besitzer und dessen Umfeld zu belauschen eingebaut und jede einzelne App hat mehr Rechte auf dem System als der Besitzer des Gerätes. Wer sich da um den Shellshock-Bug Sorgen macht, ist schon ein ziemlich realitätsfremder Optimist.

Etwa so realitätsfremd wie die Amerikaner, die Angst vor islamischem Terrorismus haben, während Bürger der USA mit amerikanischen Waffen jedes Jahr über 30.000 eigene Landsleute umbringen und weit über 200.000 schwer verletzen. Bei dem grössten terroristischen Anschlag der Neuzeit sind vor mittlerweile weit über einer Dekade lediglich um die 3000 Leute umgekommen. In den letzten 13 Jahren seit den Anschlägen sind hingegen um die 400.000 Amerikaner durch ihre eigenen bzw. durch die Waffen ihrer Landsleute ums Leben gekommen. Da haben die Terroristen aber einiges aufzuholen, wenn sie an solche Opferzahlen herankommen wollen. Die Amis sollten daher eher vor sich und ihren eigenen Landsleuten Angst haben als vor islamistischem Terrorismus, oder kann sich jemand vorstellen, dass es, selbst ohne weltweite vollautomatisierte Überwachung aller Bürger die moderne Kommunikationsmittel nutzen, dem weltweiten Terrorismus gelingen würde auf Dauer JEDES JAHR über 30.000 Menschen in den USA umzubringen? Da gehen wohl schnell den Flugzeugentführern die gut geschulten Piloten und die gutbesuchten, hohen Gebäude aus, den Briefpräparatoren die chemischen Kampfstoffe und die Kofferbomben- und Selbstmordattentäter würden bald keine öffentlichen Plätze mehr finden, auf denen noch genug Leute herumlaufen würden um auf hohe Opferzahlen zu kommen, weil die Leute sich auf diese Gefahren einstellen und sich dementsprechend verhalten würden.

Die wirkliche Gefahr auf Android-Geräten sind jene Geräte-Besitzer, die ihre eigenen und die Daten von Familienmitgliedern, Freunden und Bekannten in solche von vorneherein sicherheitstechnisch korrumpierten Geräte eingeben. Der Shellshock-Bug auf einem Android-Gerät macht nichts schlimmer. Ob nun ein Hacker mehr oder einer weniger an sensible Daten auf einem Mobiltelefon oder Tablet herankommt macht keinen grossen Unterschied. Solche Daten dürften gar nicht erst auf ein solches Gerät gelangen.

Ich habe Familienmitgliedern und Freunden von mir schon vor Jahren gezeigt, wie einfach man sich in ihre Mobitelefone hacken und ihre Daten daraus auslesen kann und ihnen versichert, dass ich deshalb ihre Daten niemals auf so einem Gerät oder irgendeinem anderen Gerät mit Zugang zu einem öffentlichen Netzwerk speichern werde und ich von ihnen erwarte, dass sie meine Daten genauso schützen wie ich ihre und ich daher nicht mit Namen, Anschrift und Foto in ihren SmartPhones oder auf Computern mit Zugang zum Internet eingetragen sein möchte.

Insofern würde mich der Shellshock-Bug nicht einmal interessieren, wenn ich auf meinen Linuxrechnern statt meiner zsh die bash installiert hätte.
 
Bei meinem Linux Mint 17 trat das Problem gar nicht auf. Meine Shell ist sicher. Beim Notebook meiner Frau mit Ubuntu 14.04.1 wurde sofort ein Update der Bash veröffentlicht und die Shell wieder sicher gemacht.
Bei den Reaktionszeiten soll erstmal Microsoft mithalten oder Apple, die anscheinend immer noch kein Update veröffentlicht haben. *facepalm*
 
@sm40x: Nun, das Problem an sich ist ja schon ein paar Jahre bekannt, von Schneller Lösung kann da gar nicht die Rede sein. Ist halt nur irgendwann ein paar Jährchen in Vergessenheit geraten. Zudem ist der Trick einer schnellen Lösung recht einfach. Ich finde vor zwei Jahren eine Lücke und halte schön meine Fresse. Nach zwei Jahren habe ich das Problem dann gelöst und schreibe das ich gerade eben ein Problem gefunden habe, das aber dank meiner absoluten Genialität keins mehr ist, weil ich habe schon die Lösung parat.
 
@Tomarr: wow, die brauchst 2 jahre um eine luecke zu stopfen? musst du da erst anfangen die programmiersprache zu lernen? :D
 
@laforma: Wie lange wird deine Lehrzeit für den Beruf des Witzemachers noch dauern ? Auch 2 Jahre ? *fg
 
@sm40x: Soweit ich gelesen habe ist dieser Patch für Ubuntu noch nicht die Endgültige Lösung des Problems. Auf Golem.de ist das Problem weitaus umfangreicher beschrieben als hier auf Winfuture.
 
Was für ein lächerliches Bildzeitung-Affentheater, ist doch schon gestern aktualisiert worden. Bash Version 4.3.25(1). Achtet auf das "(1)", das weist auf die zusätzlichen Sicherheitsmaßnahmen hin.
Kommentar abgeben Netiquette beachten!

Video-Empfehlungen

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Folgt uns auf Twitter

WinFuture bei Twitter

Interessante Artikel & Testberichte

WinFuture wird gehostet von Artfiles