Linux-Magazin In Zockerhänden (Vorschau)

Programmieren
www.linux-magazin.de Bash Bashing 05/2011
92
Shellskripte aus der Stümper-Liga – Folge 14: Symlink-Attacken bei NPA-Installer
Bash Bashing
Der neue Personalausweis NPA spaltet Anwender und Experten in Deutschland: Einige preisen die hohe Sicherheit
für jeden Bürger, andere befürchten Überwachung und Fälschbarkeit. Bei genauem Hinsehen fangen die
Probleme jedoch bereits viel früher an. Manche Installationsroutine hat eine Leiche im Keller. Nils Magnus
Von Sicherheit als ganzheitlichem Prozess
predigen Sicherheitsberater gerne
und meinen damit, dass es nicht nur darauf
ankommt, ob ein Produkt oder eine
Lösung die richtige Kryptographie und
ein geeignetes Verschlüsselungsprotokoll
verwendet. Es sollten auch die Benutzer
mit den Sicherheitsfunktionen vertraut
und die umgebende Informationstechnik
auf dem neusten Stand sein.
Dazu gehört auch die Installation der
beteiligten Softwarekomponenten. Wer
etwa SCM Microsystems Basiskartenleser
SCL011 einsetzen möchte [1], um seinen
neuen elektronischen Personalausweis
auszulesen (siehe Abbildung 1), freut
sich zunächst über die vorhandenen Linux-Treiber
[2]. Da ein Kartenleser sich
jedoch komplex in die Linux-Distribution
einklinkt, unterstützt der Hersteller die
Anwender mit einem Installationsskript,
das er als Bash-Skript ausführt.
So gilt es, zunächst den über USB verbundenen
Kartenleser überhaupt anzusprechen.
Das Paket »libusb«
installieren die meisten Distributionen
bereits mit. Das
Low-Level-Protokoll PC/ SC,
das auf serielle Leitungen
setzt, müssen die meisten Systemverwalter
erst – beispielsweise
über das Paket »libpcsclite1«
– unter Debian und
seinen Derivaten einspielen.
Umsichtige Prüfung
Nach diesen Vorbereitungen
darf der Admin als Root das
der Treiberbibliothek beigelegte
Skript »install.sh« ausführen
(Listing 1). So installiert
er die herstellerspezifische
Software für den Leser, der offiziell nach
der technischen Richtlinie TR 03119 des
Bundesamts für Sicherheit in der Informationstechnik
[3] zugelassen ist.
Hier lauern erste Hürden: Der Code geht
davon aus, dass sich der Anwender mit
seiner Shell im ausgepackten Installationsverzeichnis
befindet. Ruft er das Skript
von einem anderen „Current Working Directory“
aus auf, droht Unheil.
Klappt das Anlegen des »bundle_path« –
trotz fehlender Prüfung, ob das Verzeichnis
schon existiert – eher zufällig wegen
des Parameters »-p«, so kopiert der »cp«-
Befehl in Zeile 19 eventuell die falschen
Dateien, da das Skript von einem Aufruf
aus seinem Installationsverzeichnis ausgeht,
was nicht zwangsläufig stimmt.
Hinterlistige Leere
Gerade wer solche Pakete in »/tmp« auspackt,
ist aber nicht davor gefeit, dass
ein Kollege oder Anwender dann eigene
Dateien mit der Endung »bundle« dem
Skript unterschiebt. Wenn ein Angreifer
etwa mutmaßt, dass der Admin aus dem
»/tmp«-Verzeichnis heraus arbeitet, kann
er dort Dateien anlegen, die Leerzeichen
enthalten und die mit der Zeichenfolge
»bundle« enden.
Defensive neue Dateien
Die For-Schleife in Zeile 29 kommt damit
nicht zurecht. Das Suchmuster »*.bundle«
ohne doppelte Anführungszeichen expandiert
die interpretierende Shell zu mehreren
Argumenten und setzt sie schließlich
in Zeile 30 ein. Die Symlinks legt das
Skript immerhin mit Rootrechten an und
überschreibt damit im ungünstigsten Fall
auch Systemdateien.
Um diese Probleme zu vermeiden, befolgen
erfahrene Bash-Entwickler einige
Faustregeln. Zunächst einmal gilt als gute
Abbildung 1: SCMs Kartenleser SCL011 holt sich
kontaktlos Daten vom neuen elektronischen Personalausweis.
Bei der Installation der Linux-Treiber
lauern jedoch Fallen durch Symlink-Attacken.