Tech

Nyt alvorligt sikkerhedshul gør op mod 500 millioner computere usikre

Sikkerhedshullet Shellshock gør op mod en halv milliard computere og webservere usikre. Men den almindelige bruger skal tage det roligt, siger sikkerhedsekspert.

Op mod en halv milliard computere og webservere kan potentielt rammes gennem et nyt sikkerhedshul. (Foto: © Igor, Scanpix)
Af Nicolai Franck er journalist på dr.dk, hvor han skriver om teknologi. Han er uddannet cand.it.
Mere end 30 dage gammel

Et nyt og særdeles alvorligt sikkerhedshul er blevet opdaget, som potentielt gør op mod 500 millioner computere og webservere usikre.

Sikkerhedshullet er blevet døbt 'Shellshock' og er fundet i et stykke software, som har navnet Bash.

Bash kører på Unix-baserede styresystemer som fx Linux og Apples MacOS, men også på de Apache-servere, som udgør en stor del af verdens webservere.

Alvorligt sikkerhedshul

Hos DKCERT, som overvåger netsikkerheden i Danmark, tager man situationen alvorligt.

- Det er bestemt meget alvorligt, fordi det lader potentielle angribere afvikle vilkårlige kommandoer på lokale computere, siger Shehzad Ahmad, chef for DKCERT, til DR.

Selvom sårbarheden kun eksisterer lokalt på en computer eller en server, der kører Bash, så kan man alligevel blive ramt udefra.

- Hvis Bash kaldes fra scripts på websider, kan angribere udnytte sårbarheden over nettet, forklarer Shehzad Ahmad.

500 millioner computere lyder plausibelt

Det har været nævnt, at helt op mod 500 millioner computere og servere er ramt af usikkerheden, og DKCERTs chef vurderer, at det lyder realistisk.

- Men det er hovedsaligt servere der er tale om, så det er ikke noget hr. og fru Danmark vil kunne gøre så meget ved, forklarer Shehzad Ahmad.

Derfor mener han også, at den almindelige bruger skal slå koldt vand i blodet.

- Hvis man har et computersystem som kører Bash (fx Linux eller MacOS, red), skal man vente på at leverandøren af ens styresystem udsender en opdatering. Der er ikke så meget andet man kan gøre, siger Shehzad Ahmad.

Der er allerede udsendt flere versioner af Bash, der lukker sikkerhedshullet, og Shehzad Ahmad forventer, at alle huller vil blive lukket i de kommende dage.

Mere alvorligt end Heartbleed

At det er alvorligt, er der bred enighed om.

Ifølge Alan Woodward, professor fra Surrey Universitet, er Shellshock langt mere alvorlig end Heartbleed, et sikkerhedshul der blev opdaget i april, som ramte op mod 500.000 servere.

- Hvor Heartbleed handlede om at kunne opsnuse hvad der foregik, så har Shellshock direkte adgang til systemet. Døren står på vid gab, siger professor Woodward til BBC.

Sikkerhedfirma: På en skala fra 1-10 er det 10

Også sikkerhedsfirmaet Rapid7 mener, at der er tale om et særdeles alvorligt sikkerhedshul.

På en skala fra 1-10 vurderer sikkerhedsfirmaet, at det er en ren 10'er - og tilmed er det ukompliceret for potentielle angribere at udnytte sikkerhedhullet.

- Ved at udnytte usikkerheden, kan en angriber potentielt overtage styresystemet, tilgå følsomme oplysninger og lave ændringer. Alle der har et system der bruger Bash, skal opdatere systemet så hurtig som muligt, siger Tod Beardsley til BBC.

Facebook