Hack een linuxcomputer door 28 keer op backspace te drukken

Deze hackmethode klinkt heel erg als een cheatcode voor een computerspelletje.
17 december 2015, 3:15pm

Als je in iemands computer wil inbreken kan het lastig zijn om voorbij het loginscherm te komen. Maar dankzij een bizarre bug in Linux, hoef je bij dat besturingssysteem niet meer te doen dan 28 keer op backspace te drukken.

Hector Marco en Ismael Ripoll, twee beveiligingsonderzoekers van de Technische Universiteit van Valencia in Spanje, hebben ontdekt dat het mogelijk is om de wachtwoordbeveiliging van een computer die op Linux draait te omzeilen. Door een bug in GRUB2, de bootloader die door de meeste versies van Linux wordt gebruikt, is het volgens de onderzoekers mogelijk om zonder wachtwoord in te loggen door 28 keer op backspace te drukken. Zij publiceerden deze week hun onderzoek.

Als jouw systeem deze bug heeft, dan kan een hacker vrij makkelijk de "GRUB rescue shell" oproepen en via die weg bij jouw gegevens komen. Volgens de onderzoekers kan bovendien malware worden geïnstalleerd. Deze fout kan alleen worden veroorzaakt door 28 keer backspace in te drukken, niet meer en niet minder.

Naast dat dit een rare en enigszins grappige bug is, zou het volgens de onderzoekers niet mogen bestaan in een modern besturingssysteem.

"Het is onverantwoordelijk dat GRUB geen gebruik maakt van stack cookies, een beveiligingsmechanisme dat al tientallen jaren bestaat en waarmee dit probleem niet zou bestaan," zegt beveiligingsexpert Dan Guido van Trail of Bits tegen Motherboard.

De onderzoekers speculeren dat de bug door hackers kan worden gebruikt om malware te installeren of om bestanden te stelen. Hackers zouden malware kunnen installeren die voor altijd in het systeem blijft hangen.

Gelukkig hebben de twee onderzoekers ook een patch gemaakt die voorkomt dat de fout nog kan gebeuren. Dus, als je bang bent dat jouw linuxcomputer risico loopt, dan is het verstandig om deze patch te installeren. Ubuntu, Red Hat en Debian hebben al updates uitgebracht die dit probleem oplossen.

De gevolgen van deze bug zijn beperkt, omdat een hacker fysiek bij de computer moet zijn, maar het laat wel zien dat er hele oude en maffe bugs bestaan in de computersystemen die we gebruiken.