HENNERICH
IT-Dienstleistungen
Die Firma
Dienstleistungen
Kundenprojekte
Kontakt zur T+T Hennerich GmbH
Fun und Unterhaltung
Übersicht
Würmer
Historie
Monitoring
A8-Cam
'01 Company' Navigation

 

  

 

Der "Internet Worm 1988"

Am Mittwoch Abend, den 2. November 1988, drückte Robert Morris Jr. im falschen Moment auf den falschen Knopf. Er hatte ein Programm geschrieben, welches eigentlich vor allem nichts machen sollte:

Es löschte oder veränderte keine Daten, spionierte keine Passwörter oder sonstige Informationen aus, es installierte auch keine "Hintertürchen", das Programm sollte eigentlich nur eines machen: Sich selbst auf so vielen Computern, wie es erreichen konnte, zu installieren und dabei möglichst unentdeckt zu bleiben. Das Programm war ein "Wurm".

Wie das Leben so spielt, gab es aber leider ein paar Bugs in diesem Programm, die schwerwiegende Folgen hatten. Die Rechner schickten den Wurm nicht nur zu immer weiteren Maschinen, sie schickten ihn auch zu Computern zurück, auf welchen der Wurm bereits lief. Von diesen Computern aus suchten dann zwei Würmer gleichzeitig nach anderen Rechnern... und dann drei Würmer... und dann vier...

Bis am Ende große Teile des Internets kollabierten, weil tausende von Rechnern unter der Last der Wurmprozesse ihren Dienst versagten und die Administratoren in Panik die Netzwerkkabel abzogen (was vor allem den Empfang der E-Mails verhinderte, in denen man in der Zwischenzeit lesen konnte, wie der Wurm funktionierte und was man dagegen unternehmen konnte).

Robert Morris wurde festgenommen und zu drei Jahren Haft auf Bewährung, 400 Stunden Soziale Dienste, 10.500 US-Dollar, sowie der Übernahme der entstandenen Gerichtskosten verurteilt.

Lange Jahre war der "Internet Worm 1988" nur eine allgemein bekannte und gern erzählte Anekdote bzgl. Internet-Security und Netzwerk-Sicherheit. Die damals vom Wurm betroffenen Rechner (VAXen von DEC und Sun3 von SUN) gibt es schon lange nicht mehr. Andere ernst zu nehmende Würmer, welche in der freien Wildbahn ihr Unwesen hätten treiben können, tauchten lange Zeit nicht auf, bis zum Sommer 2001.

Code-Red

Am 19. Juli 2001 zeigten viele Webserver nicht mehr ihre Webpräsenzen an, sondern nur noch den Text "HELLO!" und "Hacked by Chinese!". Die Ursache war wieder ein Wurm, welcher sich über ein zuvor entdecktes Sicherheitsloch im "Internet Information Server" von Microsoft ausbreitete. Zwar stellte Microsoft für das Problem einen entsprechender Security-Patch zur Verfügung, doch dieser musste erst einmal eingespielt werden - was selbst Microsoft auf manchen ihrer Server (z.B. Hotmail) nicht mehr rechtzeitig tat.

Jeder von Code-Red infizierte Rechner versuchte, wie schon der "Internet Worm" von 1988, andere Computer zu erreichen. Wenn ein anderer Rechner mit IIS ohne Security-Patch gefunden wurde, drang der Wurm in den Computer ein und suchte von dort aus wieder nach anderen Maschinen.

Die Orginalversion von Code-Red war relativ harmlos und konnte durch einen einfachen Reboot vom Rechner entfernt werden. Es dauerte aber nicht lange bis modifizierte Versionen des Wurms namens "Code-Red-II" und später "Nimda" auftauchten, welche sich durch verbesserte Algorithmen schneller im Internet verbreiteten, ja schlimmer noch: Die neuen Versionen nisteten sich in der Festplatte ein und installierten sog. Hintertürchen, so dass auf diesen Rechnern beliebige Programme gestartet werden konnten.

Wurm-Statistik vom 15.7.-15.10.2001

Nach einigen Wochen wurden die Rechner nach und nach von den Würmern befreit, die Sicherheitslücken geschlossen und es kehrte wieder Ruhe im Internet ein. Die Kosten allein für Code-Red, welcher über eine Million Rechner befiel, wurden Anfang September 2001 auf 2,6 Milliarden US-Dollar geschätzt (und dabei kam der viel gefährlichere Nimda-Wurm erst ein paar Wochen später).

SQLSlammer

Am 25. Januar 2003 wurde von den Internet Security Systems der Status "AlertCon 4", d.h. eine "Katastrophale Bedrohung", für das Internet aufgerufen. Damit wurde der neue Wurm, genannt "SQLSlammer", als gefährlicher bewertet als Code-Red oder Nimda.

Dieser neue kleine Wurm, welcher dieses Mal den Microsoft SQL-Server befallen hatte, infizierte innerhalb weniger Minuten über 150000 Rechner im Internet.

In Südkorea (von wo der Wurm ausging) wurde die Börse beeinträchtigt, so dass das Handelsvolumen auf den tiefsten Stand seit drei Monaten fiel. In Amerika fielen 13000 Geldautomaten der Bank of America aus und bei den Continental Airlines kam es zu Flugverzögerungen.

Auch Microsoft selbst war von dem Wurm betroffen, so dass es den Anwendern fast während des kompletten 25.1. nicht möglich war den benötigten Patch von den entsprechenden Servern von Microsoft herunterzuladen. Einzig positiver Aspekt war, dass das SPAM-Aufkommen an diesem Wochenende merklich geringer war, da sehr viele Werbemails von Südkorea aus verschickt werden.

Heute tritt der SQLSlammer in freier Wildbahn nicht mehr auf, da er auf Grund seiner Programmierung einen Reboot des befallenen Rechners nicht überlebt und infizierte Computer sehr schnell auffallen, da sie das lokale Netzwerk komplett lahmlegen. Wir haben den SQLSlammer deswegen in den Graphen unserer Gesamtstatistik nicht weiter berücksichtigt, da er auf Grund seiner Intensität alle anderen Graphen eliminiert hätte.

Heute

Diese aktuellen Fälle machen deutlich, dass das Problem mit den Würmern auch heute noch nicht vollständig abgeschlossen ist: In regelmäßigen Abständen schauen immer wieder vereinzelte Würmer im Internet nach IIS-Systemen mit den bekannten ungestopften Sicherheitslöchern.

Falls Sie sicher gehen wollen, dass Ihre Computer beim nächsten Wurmbefall nicht mit betroffen sein werden, stehen wir Ihnen gerne mit unseren Diensten zur Verfügung... Schreiben Sie uns doch einfach eine kurze E-Mail!

  
 © 2006 T+T Hennerich GmbH Info@Hennerich.de