Waarom Shellshock veel gevaarlijker is dan Heartbleed
Heartbleed zette afgelopen voorjaar het internet in rep en roer, maar achteraf gezien was onze collectieve reactie misschien een beetje overdreven. Heartbleed legde een lek bloot waardoor hackers gevoelige informatie konden stelen, maar dat lek was relatief moeilijk uit te buiten. Bovendien waren de toepassingen van de kwetsbaarheid beperkt. Een patch bracht dan ook soelaas.
Shellshock is veel vervelender. De bug zit zo diep geworteld in de werking van de Bash-shell dat een eenvoudige patch vrijwel onmogelijk is. Updates kunnen software die gebruiktmaakt van de Shell behoeden voor gekende kwetsbaarheden, maar daar knelt het schoentje.
[related_article id=”161920″]
Eenvoudig
Er is zoveel dat een hacker kan doen dankzij Shellshock en de bug is zo eenvoudig uit te buiten dat het lek zich op ontelbare manieren kan manifesteren. In tegenstelling tot Heartbleed geeft Shellshock hackers niet alleen de mogelijkheid informatie te stelen, ze kunnen willekeurige code uitvoeren op een systeem. Omdat alleen gekende kwetsbaarheden gepatcht worden, loopt de veiligheid altijd één stap achter op de werkelijkheid.
De beveiligingsonderzoeksfirma FireEye zag Shellshock al gebruikt worden om malware te injecteren, achterpoortjes uit te buiten, data te stelen en zelfs om een systeem over te nemen en DDoS-aanvallen uit te voeren. Een uitgebreid IPS (Intrusion Prevention System) op het netwerk, zoals HP aanbiedt voor zijn TippingPoint-klanten, is voorlopig de beste manier om een netwerk en al wat daar achter zit te beveiligen tegen Shellshock.
Al jaren lek
Ook hier geldt dat de beveiliging alleen werkt tegen gekende aanvallen. Hackers die nieuwe methodes vinden om Shellshock uit te buiten kunnen dus vrolijk hun gang gaan.
Aangezien de Bash-shell naar alle waarschijnlijkheid al twee decennia lek is, lijkt de kans erg groot dat op z"n minst sommige hackers er al een tijdje gebruik van maken. Dat laatste besef maakt de impact van Shellshock nog groter. Het impliceert immers dat een belangrijk programma als de Bash-shell twintig jaar lang niet of heel slecht werd onderzocht op kwetsbare code.
Voorlopig moeten we leven met de Shellshock-bug, en dat is een probleem. Niet alleen computers zijn kwetsbaar, ook toestellen van het opkomende internet der dingen maken er gebruik van. Die laatste worden niet eens automatisch geüpdatet, wat de potentiële impact van Shellshock nog groter maakt.