Computerwürmer
Funktionsweise, Verbreitung,
Schutzmöglichkeiten
Kurslehrer: Herr Dr. Dick
Dezember 2001 - März 2002
Inhaltsverzeichnis
2 Grundlagen: Computer-Viren und –Malware
3.2 Funktionsweise und Ausbreitung
Seit dem ersten Auftreten von Computerviren 1982 hat sich die Problematik bösartiger Software stark verändert und verstärkt. Dies bekam auch ich Ende 2001 zu spüren, was mit ein Auslöser für diese Facharbeit war. Es stand zwar relativ schnell fest, diese im Fach Informatik zu schreiben und einen Teilbereich der Thematik „Sicherheit im Internet“ zu beleuchten, aber welcher Teilbereich dies sein sollte war noch lange nicht klar.
Als kurz vor der Wahl des Facharbeitsthemas eine neue Welle an Computerviren das Internet überschwemmte, wurde wieder einmal klar, wie unsicher das WWW doch sein kann. Als mein Vater und ich kurz darauf ebenfalls Opfer eines neuen Wurms namens Win32.Badtrans.B@mm wurden, bemerkte ich, wie wenig ich doch über diese Art der Bedrohung wusste. Aus diesem Grund sind nun auch Computerwürmer Thema dieser Facharbeit: aus Eigeninteresse und dem Gedanken, dass die meisten Anwender sich kaum bewusst darüber sind, welche Gefahr im Internet lauert. Die heutigen Möglichkeiten von Hackern sind erstaunlich groß und die Schäden, die sie mit diesen Möglichkeiten anrichten noch viel größer.
Diese Facharbeit soll dazu dienen Anwender zu sensibilisieren und ein Hintergrundwissen zum Thema Computerwürmer zu schaffen, mit Hilfe dessen es einfacher ist in Zukunft derartigen Attacken vorzubeugen oder zumindest ohne Panikreaktionen überlegt an die Beseitigung des Problems heranzugehen.
Diese Zielsetzung im Hinterkopf ist auch die folgende Arbeite aufgebaut. Um zuerst einmal einen groben Überblick zu schaffen, wird das Spektrum an schädlicher Software vorgestellt, die Motivation und auch die Ansatzmöglichkeiten. Nun wird auf die Spezies Wurm genauer eingegangen und diese nach Darlegung von Funktionsweise und Wirkung am Beispiel des Wurms Code Red erläutert. Dies wiederum leitet über zu den durch Würmer verursachten Schäden, die zuerst allgemein, dann wirtschaftlich, auch wieder am Beispiel von Code Red aufgezeigt werden. Wie diese Angriffe möglicherweise verhindert oder aber zumindest vermindert werden können, ist in Kapitel 5 zu lesen
Der Begriff Computervirus oder auch einfach Virus hat sich in der Umgangssprache für eine ganze Gruppe von Programmen eingebürgert, die vom Fachmann als Malicious Software (böswillige Software) oder kurz Malware bezeichnet wird. Je nach Funktion wird sie als Virus, Wurm, Trojanisches Pferd, Logische Bombe oder Hoax bezeichnet.[1] Die verschiedenen Formen dieser Malware sollen hier kurz erläutert werden, aber nur als grobe Einteilung und nicht als Definition dienen. Es gibt immer Programme, die in mehrere Kategorien fallen, aber auch welche, die sich in keine Kategorie einordnen lassen.
· Viren sind Code-Fragmente (nicht selbstständige Programmroutinen), die sich an andere Daten anhängen und sich bei deren Ausführung oder Verarbeitung reproduzieren. Die Daten können Programme, Bootsektoren oder Dokumente sein. Für sich alleine ist eine Computervirus meist nicht reproduktionsfähig.
· Würmer sind selbstständige, selbstreproduzierende Programme, die sich in Systemen (vor allem Netzwerken) ausbreiten.
· Ein Trojanisches Pferd ist ein selbstständiges Programm mit einer verdeckten Schadensfunktion, das heißt, es verhält sich äußerlich wie normale Anwendungssoftware, enthält intern aber Anweisungen, die Schaden anrichten können. Trojanische Pferde können sich nicht selbst reproduzieren, sondern werden von Anwendern kopiert.
· Als „Logische Bombe“ bezeichnet man manchmal Sonderfälle eines Trojanischen Pferdes. Es handelt sich um Programme, deren Schadensfunktion von einer logischen Bedingung (z. B. dem Datum) gesteuert werden. Der Spezialfall einer zeitlichen Bedingung wird auch als „Zeitbombe“ (time bomb) bezeichnet.
· Hoaxes sind Falschmeldungen in Form einer Art E-Mail-Wurm. Sie warnen vor Bedrohungen, die überhaupt nicht existieren. In dem E-Mail-Text wird der Empfänger meistens dazu aufgefordert, die Mail schnellstmöglich an alle oder einen Teil seiner Bekannten weiterzuleiten. Hier ist also bewusstes Handeln des Anwenders nötig, damit der Hoax sich verbreitet - im Gegensatz zum Wurm, wo die Verbreitung im Hintergrund und ohne Wissen des Anwenders stattfindet.
Waren Würmer vor einigen Jahren noch eher selten, nehmen sie heute in den Statistiken den größten Teil ein. Das liegt nicht zuletzt daran, dass Würmer sich selbstständig weiterverbreiten können und somit nicht unbedingt, wie frühere schädliche Software, auf unvorsichtige Benutzer angewiesen sind. In Kapitel 3.2 wird auf diesen Punkt genauer eingegangen.
Malware ist natürlich
keine Mutation von normaler Software sondern wird gezielt von Spezialisten
programmiert. Zum Programmieren eines überlebensfähigen Computervirus oder eines
Wurmes gehören sehr hohe Fachkenntnis und Wissen über das zugrundeliegende
Betriebssystem. Daher gibt es wohl nur wenige Programmierer, die selbstständig
solche Programme entwickeln können. Was häufiger auftritt sind Mutationen, bei
denen ein weniger erfahrener Programmierer eine bestehende Spezies abändert, ihr
z. B. eine neue Botschaft oder Aktion mitgibt. Trojanische Pferde und Logische
Bomben sind sehr einfach zu programmieren, da man die böswilligen Aktionen nur
in beliebigen anderen Quellcode einfügen muss. Man findet sogar schon
Viren-Baukästen im Internet.
Die Motivationen, Malware zu schreiben und in Umlauf zu bringen, sind schwer
herauszufinden, da man in den meisten Fällen höchstens das Herkunftsland kennt.
Dabei sind die Beweggründe für das Erstellen eines digitalen Virus
vielschichtig. Das Spektrum reicht vom kleinen Gag unter Freunden bis hin zum
politisch motivierten High-Tech-Fanatiker, der die Welt in ihren digitalen
Fenstern erschüttern will.[2]
Der klassische elektronische Vandalismus gehört sicher genauso dazu wie
politische oder gesellschaftliche Motive. So wird vermutet, dass der
Israel-Virus von Sympathisanten der PLO programmiert wurde, um israelische
Computer lahmzulegen. Der Stoned-Virus verbreitete die Botschaft, Marihuana zu
legalisieren. Die meisten Viren wurden aber wahrscheinlich aus Abenteuerlust
oder Geltungsdrang programmiert.[3]
Virenentwickler wollen häufig Aufmerksamkeit erregen. Dabei sind reißerische
Meldungen und große Aufmacher in den Medien nicht ganz unschuldig an der
rasanten Entwicklung. Immerhin können sich die jeweiligen Digital-Täter dadurch
kurz im zweifelhaft erlangten Ruhm sonnen. Es gibt aber auch Fälle, in denen
sich Forschungsprojekte verselbständigt haben.
Damit ein Softwareangriff überhaupt erst stattfinden kann, benötigt der Wurm in irgendeiner Form Zugang zu dem Computersystem, das attackiert werden soll. Das kann über eine Netzwerk- oder Telefonverbindung geschehen. Bei einer bestehenden Netzwerkverbindung versucht das angreifende Programm über die Dienstprogramme des Netzwerks sich in das Computersystem »einzuschleichen«. Softwareangriffe über Telefonleitungen laufen in vergleichbarer Weise ab, nur dass die Dienstprogramme hier im Gegensatz zum Netzwerk andere sind. Wenn ein Wurm erst Zugriff auf ein Computersystem erlangt hat, dann versucht es meistens noch andere Computersysteme anzugreifen. Dies geschieht wiederum auf eine der oben geschilderten Arten.[4]
Weitere Ansatzpunkte für Angriffe finden sich bei der installierten und benutzten Software eines Computersystems. Dazu gehören vor allem Bugs (Fehler) in vorhandenen Programmen. Manche Bugs können schädlicher Software Zugriff auf den Arbeitsspeicher, auf Datenträger oder auf andere Programme ermöglichen, die sonst vielleicht geschützt wären. Eine Art, Bugs von anderen Programmen auszunutzen, ist der Angriff über den sogenannten Buffer-Overrun[5] (Puffer-Überlauf). Hierbei wird der Eingabepuffer eines Programms mit genau berechneten Daten überladen, so dass in andere Speicherbereiche hineingeschrieben wird und der Programmzeiger nun auf einen Teil dieser übermittelten Daten zeigt, die dann den Programmcode der schädlichen Software darstellen. Daraufhin wird dieser Code ausgeführt.
Einen anderen Ansatz für einen Angriff über die vorhandene Software stellen Konfigurationsfehler dar. Wenn z.B. vorhandene Schutzmechanismen wie Zugriffsrechte oder Schreibschutzmöglichkeiten nicht oder falsch eingestellt wurden, können schädliche Programme in das System eindringen und Daten auslesen, manipulieren oder sogar zerstören.
Außerdem ist auch die Art des Betriebssystems entscheidend dafür, ob und wie ein Softwareangriff geschehen kann. So können z.B. Multiuser-Systeme verschiedene Stufen von Zugriffsrechten verwalten. Multitasking-Systeme bieten im allgemeinen einen besseren Schutz des Arbeitsspeichers als Singletask-Betriebssysteme. Entscheidend ist auch, inwiefern die Hardware von Anwendungsprogrammen durch entsprechende Betriebssystem-Prozesse abgeschirmt wird.
Auch der Benutzer eines Computersystems spielt eine wesentliche Rolle, wenn es um mögliche Ansätze für Softwareangriffe geht. Dazu gehören Bedienungsfehler, Unachtsamkeit sowie evtl. mangelndes technisches Wissen. Wenn vorhandene Schutzmaßnahmen nicht beachtet oder Schutzmechanismen nicht benutzt werden, können schädliche Programme leicht eindringen. Sogar in den Chefetagen der deutschen Wirtschaft wird das Thema Computer-Sicherheit unterschätzt. Die Unternehmensberatung Mummert + Partner berichtete im August 2001, lediglich vier Prozent der deutschen Unternehmen setzten Sicherheitssoftware und Verschlüsselungsprogramme gegen E-Mail-Würmer ein. Zudem würden Computer-Schädlinge zu 99 Prozent von Mitarbeiter zu Mitarbeiter verschickt. Oftmals kommt es aber auch vor, dass der Mensch aus Bequemlichkeit Sicherheitsmaßnahmen umgeht, wie z.B. leicht zu merkende (aber auch leicht zu knackende) Passwörter zu benutzen - wie 1234 oder den Benutzernamen.
Die Definition eines Computerwurms bezieht sich nicht unmittelbar auf eine möglicherweise programmierte Schadensfunktion: “Ein Wurm ist ein eigenständiges Programm, welches sich, einmal gestartet, auf anderen Computersystemen repliziert und dort aktiviert.“[6] Zusätzlich können programmierte Schadensfunktionen des Wurms vorhanden sein. Würmer an sich sind zwar eigenständige Programme, aber nicht schädlich. Erst durch Kombination mit anderer bösartiger Software können Würmer erheblichen Schaden anrichten.
Um auf andere Computersysteme zu gelangen, verwenden Würmer meistens Netzwerkverbindungen. Ein Wurm kann sich z.B. als ordnungsgemäßer User in ein Computersystem einloggen und dann Befehle aufrufen, um sich selbst auf andere Systeme zu kopieren und dort zu starten. Allgemein verfahren Würmer dabei in folgender Weise:
· Suche nach anderem Computersystem (Überprüfung von Netzwerk-Konfigurationsdateien).
· Versuche, Verbindung zu anderem Computersystem herzustellen.
· Kopiere eigenen Code auf das andere System und starte die Kopie dort.
Dass Würmer
eigenständige Programme sind und sich selbst auf anderen Systemen aufrufen
können, ist ein wesentlicher Unterschied zu Viren, die ein Wirtsprogramm
benötigen. Allerdings sind Würmer auch auf eine bestehende Verbindung zu anderen
Computersystemen angewiesen. Würmer führen oft mehrere Versionen von
Maschinencode mit sich, damit sie auch auf verschiedenen Rechnerplattformen
laufen. Oder sie führen ihren Quellcode mit sich und kompilieren sich dann auf
den neu befallenen Computern, so dass eine noch größere Anzahl von Systemen
befallen werden kann - vorausgesetzt der Wurm findet einen geeigneten Compiler[7]
auf dem zu befallenden Computersystem.
Ebenso sehr verschieden und vielfältig wie bei Viren kann der Payload[8]
eines Wurms sein. Meist enthalten Würmer auch noch zusätzliche Routinen,
z.B. Passwort-Cracker, die hauptsächlich dazu dienen, Zugangsmöglichkeiten zu
anderen Computersystemen zu ermöglichen oder zu verbessern.
Außerdem können Würmer noch Funktionen enthalten, die überprüfen, ob bereits ein
Wurm-Prozess auf demselben Computersystem läuft, damit kein Mehrfachbefall
auftritt. Um ihre Aktivitäten weiterhin zu verschleiern, benutzen manche Würmer
auch Verschlüsselungstechniken. Zudem können sie sich auch als Systemprozess
tarnen, indem sie einfach den Namen eines solchen Prozesses annehmen.
Die Top Ten der Computerviren im Jahr 2000 weltweit:
Wie man der Statistik unschwer entnehmen kann, nehmen Würmer mittlerweile den größten Teil der Infektionen ein.
Würmer gedeihen heute aus vier Hauptgründen[9] richtig gut:
·
Standardschädling für
Standardsystem
Die homogene Softwarelandschaft trägt dazu bei, dass sich Würmer so weit
verbreiten können. Microsoft Windows ist allgegenwärtig. Während vor gut 12
Jahren große Unternehmen ihre spezifischen Betriebssysteme mit eigenen
Anwendungen hatten, ist man heute längst dazu übergegangen, standardisierte
Software zu verwenden. Die Angriffsfläche für Würmer ist somit ernorm gewachsen.
·
Knapp 380 Millionen
PC-Benutzer mit Internetzugang: Ins Netz gegangen
Ende des Jahres 2000 waren weltweit laut Computer Industry Almanach etwa 380
Millionen PCs durch Internetzugang miteinander verbunden. Die
Kommunikationsinfrastruktur ist so gut ausgebaut, dass PC-Benutzer auf dem
ganzen Globus miteinander kommunizieren können. Und sie tun es auch sehr rege.
Je höher die Kommunikationsdichte, umso schneller können sich Würmer verbreiten.
Anders ausgedrückt: Die Geschwindigkeit von Würmern wächst proportional zur
Internetgeschwindigkeit.
·
Fehlende Anonymität: Das „Ich
war hier“-Syndrom
Immer mehr Internetbenutzer lassen sich
in Internetverzeichnissen, Mailboxseiten oder Chatrooms als Besucher eintragen
und geben so ihre E-Mail-Adresse jedermann preis. Würmer zapfen jedoch nicht nur
private E-Mail-Verzeichnisse an, sondern auch öffentliche, um sich automatisch
an alle diese Adressen zu versenden.
·
Fröhliches Heimwerken: So
basteln wir uns einen Wurm
Die Programmierbarkeit von Computern hat stark zugenommen. Kaum ein
fortschrittliches Office-Programm verzichtet noch auf Makros, die der Laie
bequem nach Handbuch mit VBS (Visual Basic Script) anfertigen kann. Auch Würmer
lassen sich mit dieser einfachen Programmiermethode rasch herstellen. Für den
Loveletter-Wurm dürften das Microsoft-Handbuch, ein Nachmittag und eine
ordentliche Portion kriminelle Energie genügt haben, um einen Schaden von
geschätzten 2,5 Milliarden Dollar weltweit anzurichten.
In den letzten Jahren verschickten sich Würmer bevorzugt über spezielle Mail-Programme, wie z.B. Outlook oder Outlook Express von Microsoft, an die dort im Adressbuch vorhandenen Empfänger. Diese Empfänger öffnen die erhaltene Mail und sorgen damit für eine weitere Verbreitung des Wurms im Hintergrund. Dieses Schneeball-System kann eine sehr schnelle Ausbreitung hervorrufen, die sowohl zu einer starken Belastung der Netzwerke als auch der Mail-Server führt, so dass mitunter kein produktives Arbeiten mit dem E-Mail-System mehr möglich ist.
Aus den Eigenschaften von Würmer ist ersichtlich, dass sie sich nicht verbreiten können, wenn keine Verbindung zu anderen Computersystemen besteht. Auch auf einem Singletask-Betriebssystem[10] würden sie auffallen, da sie als einziges Programm laufen würden. Nur unter Multitasking-Betriebssystemen können sie (unbemerkt) als Hintergrundprozess laufen. Deshalb findet man Würmer vorwiegend auf Multiuser-/Multitasking-Systemen, die mit einem Netzwerk verbunden sind.
Symptom eines Wurmbefalls kann eine Überlastung des Systems sein, wenn der Wurm keinen Mehrfachbefall abfangen kann. Denn dann könnte das System u.U. mehrere Prozesse des gleichen Wurms gleichzeitig laufen haben. Allein bei zwei vernetzten Computern könnte in relativ kurzer Zeit eine Überlastung durch mehrere Wurm-Prozesse auftreten: System A befällt System B, B wiederum befällt A, A befällt B usw.
Wenn ein Wurm Zugang zu einem anderen Computersystem erlangt und dort eine Kopie von sich erzeugt und gestartet hat, dann hat dieser neue Prozess auch nur die Zugriffsrechte, die auch der Benutzer hat, mit dessen Kennung sich der Wurm auf dem neuen System eingeloggt hat. Ein Wurmbefall kann sich nun dadurch bemerkbar machen, dass dieser neue Wurm-Prozess versucht, auf Dateien zuzugreifen (z.B. zum Auslesen der Netzwerk-Konfiguration), für die er keine Zugriffsrechte hat.
Schließlich kann sich ein Wurmbefall noch durch dessen Payload[11] auswirken. Hier ergeben sich ähnliche Möglichkeiten wie bei den Viren. Hinzu kommt noch die Gefahr, dass aufgrund der bestehenden Netzwerkverbindung vertrauliche Daten ausspioniert und an Dritte übermittelt werden können.
Im Sommer 2001 verbreitete sich der Internet-Wurm “Code Red” über das Internet. Der Wurm machte sich eine Schwachstelle in Microsofts Internet Information Server (IIS) zunutze, verwandelte so immer mehr Server zu “Zombies”[12], um dann mit diesen befallenen Servern die Website des Weißen Hauses anzugreifen und diese mit Datenmüll zu überschwemmen. Nach dieser ersten verheerenden Infektionswelle stellte sich der Wurm schlafend, bis sich bald darauf ein zweiter aber kleinerer Ausbruch ereignete. Die zweite Variante von Code Red unterschied sich im Wesentlichen allerdings nur in der Schadensfunktion. Hier wurde nicht die Website des Weißen Hauses attackiert, sondern eine Hintertür in das System installiert, wodurch Hacker den Rechner kontrollieren konnten. Im folgenden wird die Vorgehensweise der ersten Code Red Version beschrieben.
Bei der Analyse der Vorgehensweise von Code Red lassen sich drei Phasen unterscheiden: Verbreitungsphase, Überschwemmungsphase und Beendigungsphase. Der Wurm verhält sich in Abhängigkeit von der Systemzeit folgendermaßen:
1.
Verbreitungsphase (Tag 1 – 19 des Monats):
Der Wurm verbreitet sich, indem er
zufällige IP Adressen nach einem offenen TCP Port 80 (http) scannt. Danach
versucht der Wurm den Rechner zu einem „Zombie“ zu machen.
2.
Überschwemmungsphase (Tag 20 – 27 des Monats):
Code Red hört auf, sich
fortzupflanzen und beginnt mit allen infizierten Servern eine
Überschwemmungswelle gegen eine im Quellcode festgelegt IP-Adresse (whitehouse.gov)
indem er eine DDoS-Attacke[13]
ausführt.
3.
Beendigungsphase (nach Tag 27 des Monats):
Der Wurm beendet die Attacke,
verhält sich inaktiv, verbleibt aber im Speicher.
Nach aufgezeichneten Daten des CERT[14] Coordination Center[15] infizierte der Code Red Wurm innerhalb von nur neun Stunden mehr als 250.000 Computersysteme. Die Grafik unten veranschaulicht die Aktivität zwischen 6 Uhr und 18 Uhr Ortszeit am 19. Juli 2001.
An der Grafik ist gut zu erkennen, dass sich Würmer exponentiell vermehren bis es zu einer Sättigung und somit zu einem Mehrfachbefall kommt.
Analysen des CERT CC ergaben, dass die erforderliche Zeit um alle ungeschützten IIS Server mit diesem Wurm zu infizieren, ausgehend von einem einzigen infizierten Host, weniger als 18 Stunden betragen würde.
Es gibt zwar harmlose Würmer, die nichts zerstören und oftmals auch nur einen Scherz ihres Programmierers darstellen, aber es existieren auch solche, die sich rasend schnell ausbreiten und in kürzester Zeit Millionen Computer lahm legen. Solche Würmer verursachen unglaublich hohe Kosten dadurch, dass sie viele Gegenmaßnahmen nach sich ziehen.
Das Spektrum der angerichteten Schäden ist groß. Dabei zieht ein Wurm nicht nur primäre technische Schäden nach sich, sondern hat auch sekundäre Auswirkungen: Verunsicherung und Panikreaktionen der Anwender, aber auch Vertrauens- und Image-Verlust der betroffenen Organisation. Dies ist auch der Grund, warum kaum jemals ein Kreditinstitut einen Wurmbefall eingesteht. Dies wurde auch aus den erhaltenen Antworten klar, die ich auf meine Anfrage erhielt. Darin fragte ich, welche Schäden Würmer bei den einzelnen Firmen schon entstanden waren.[16]
Primäre Schäden sind zumindest:
· Beabsichtigte, programmierte zerstörerische Schadensfunktionen
· Unbeabsichtigte Seiteneffekte bei angeblich harmlosen „Scherz-Viren“
· Inanspruchnahme von Speicherplatz im Hauptspeicher und auf Datenträgern
Die zuvor beschriebenen Auswirkungen eines Wurmbefalls haben dadurch auch nicht unwesentliche Kosten zur Folge:
· Zeit, Kosten, Personal und Software für die Beseitigung des schädlichen Codes
· Zusätzlich zu ergreifende organisatorische Abwehr-Maßnahmen
· Wiederherstellung zerstörter Daten bzw. Geräte
· entgangener Umsatz durch Geheimnisverrat und Image- / Vertrauensverlust
· entgangener Umsatz und verlorene Produktivität durch Systemausfall
· inkorrekte Datenverarbeitung wegen gefälschter Daten
Diese Kosten können in Extremfällen mehrere Millionen Dollar ausmachen, beispielsweise dann, wenn an der Börse wenige Minuten Ausfall der Computersysteme bereits über Verlust und Gewinn entscheiden.
Die großen wirtschaftlichen Schäden, die durch
Malware verursacht werden können und auch werden, lassen sich gut am zuvor
gewählten Beispiel des Code Red Wurms erläutern. Code Red-Würmer haben weltweit
2,6 Milliarden Dollar Schaden verursacht. Das geht aus einer Studie des
US-Marktforschungs-Unternehmens Computer Economics hervor. Demzufolge wurden
bisher über eine Million Server mit Code Red infiziert. Die Viren-Bekämpfung
kostete 1,1 Milliarden Dollar.
Außerdem hätten acht Millionen Server darauf überprüft werden müssen, ob ein
Sicherheitsupdate fällig ist. Durch das nötige Patchen[17]
und Testen der Systeme entstanden den Berechnungen des Instituts zufolge weitere
Kosten. 1,5 Milliarden Dollar sind laut Computer Economics durch den
Produktivitäts-Ausfall der Anwender sowie Administratoren entstanden.
Um Softwareangriffen nicht schutzlos ausgeliefert zu sein, wurden viele verschiedene Regeln und Techniken entwickelt und studiert, um entsprechende Schutz- und Gegenmaßnahmen einleiten zu können.
Zu den allgemeinen Regeln gehört das Wissen des Computerbenutzers. Wenn er Kenntnisse darüber hat, wie schädliche Programme arbeiten und welche Auswirkungen und Symptome sie hervorbringen, kann somit ein Befall evtl. frühzeitig erkannt werden, um entsprechend weitere Gegenmaßnahmen einleiten zu können. Nur wenn der Benutzer die vorhandenen Sicherheitsregeln kennt, kann er sie auch anwenden.
Wenn Computer über ein Netzwerk verbunden sind, kann es nützlich sein, ein isoliertes System zu benutzen, um neue Software zu testen. Würmer können somit evtl. entdeckt werden, bevor sie sich verbreiten.
Das Prinzip des geringsten Privilegs erlaubt jedem Benutzer nur gerade die Rechte, die er für seine Arbeit benötigt. Wenn jeder Benutzer volle Zugriffsrechte hat, erlangt ein möglicher Softwareangriff, wenn er es z. B. geschafft hat, sich als ordentlicher Benutzer einzuloggen, auch vollen Zugriff auf das System.
Das Benutzen heterogener Computersysteme[18] in einem Netzwerk kann Angriffe durch schädliche Software auch einschränken, wenn sie auf spezielle Rechnerplattformen ausgerichtet sind.
Notfallmaßnahmen beinhalten das Vorgehen, wenn ein Softwareangriff schon stattgefunden hat. Dazu gehört beispielsweise das Wiedereinspielen von Backups[19] oder das Isolieren bestimmter Computersysteme vom Netzwerk.[20] Aus diesem Grund sind bspw. bei der Verbands-Sparkasse Wesel alle Systeme nicht nur in verschiedenen Gebäuden, sondern auch in verschiedenen Backupgenerationen gesichert.[21]
Technische Kontrollen helfen dabei, bestehende Sicherheitsregeln durchzusetzen und zu kontrollieren. Aber es können auch Softwareangriffe abgewendet oder entdeckt werden.
Dazu gehören Zugriffskontrollen, die für eine Identifikation und Überprüfung der Autorisation eines Benutzers sorgen. Die Verwaltung unterschiedlicher Zugriffsrechte kann auch Bestandteil solcher Kontrollen sein.
Um Softwareangriffe über das Internet abzuwehren, können Firewalls hilfreich sein. Sie filtern die ein- und ausgehenden Datenpakete nach bestimmten Kriterien.
Monitor-Programme überwachen die Aktivitäten auf einem Computersystem. Dazu gehören z.B. Programme, die die Prozessorauslastung oder Zugriffe auf Speichermedien überwachen. Eine starke Prozessorauslastung z.B. kann ein Anzeichen für Würmer sein. Zugriffsversuche auf geschützte Dateibereiche könnten einen Virenangriff bedeuten. Bei verdächtigen Aktionen können entsprechend Warnmeldungen ausgegeben werden. Mit Monitor-Programmen können auch Trojanische Pferde erkannt werden, wenn ihre schädliche Routine eine verdächtige Aktion darstellt.
Integritätsprüfer untersuchen Dateien auf Veränderungen in der Größe, dem Datum oder dem Inhalt. Somit können evtl. Viren oder Auswirkungen anderer schädlicher Programme erkannt werden.
Antivirenprogramme sollen im eigentlichen Sinn, wie der Name schon sagt, Viren aufspüren. Gegen Würmer sind sie eigentlich machtlos. Da aber, Forschungsprojekte einmal ausgenommen, nahezu alle Würmer über eine Schadensfunktion wie Virus oder Trojaner verfügen, ist es trotzdem sinnvoll ein solches Programm zu installieren. Für jeden Anwender, der sich einen neuen Computer kauft, sollte ein Virenschutzprogramm das erste Extra sein und das erste Programm, das installiert wird. So kann er sicher sein, dass alle nachfolgenden Installationen automatisch überwacht werden. Allerdings gilt es auch das Virenschutzprogramm immer auf dem letzten Stand zu halten, was über eine automatische Aktualisierung über das Internet vielfach sehr einfach ist. Das Antivirusprogramm sollte auch immer im Hintergrund laufen, da es, wenn es deaktiviert ist, keine verdächtigen Dateien erkennen kann.
Auch für andere Programme ist Aktualität äußerst wichtig. Denn durch Updates werden häufig bestehende Sicherheitslücken geschlossen. In Anwenderkreisen gilt beispielsweise der Spruch „Traue keiner 0-Version von Microsoft“, da die Erstversionen von Microsoft Software-Produkten häufig Sicherheitsmängel aufwiesen.
Obwohl die Lage bereits äußerst schockierend ist, wird sie immer noch von vielen Anwendern unterschätzt. Die Entwicklung schädlicher Software scheint noch lange nicht am Ende. Viren haben scheinbar die größte »Evolution« gemacht. Immer nach dem Prinzip »Zu jeder Waffe gibt es eine Gegenwaffe« wurden auch entsprechende Antivirenprogramme entwickelt. Einige Zeit später gab es aber immer eine neue Technik, derer sich Viren bedienten. Daraufhin wurden wieder neue Antivirentechniken entwickelten. Das ganze scheint ein ewiger Kreislauf zu sein, der auch in absehbarer Zeit nicht abbrechen wird. Im Gegenteil: Forscher vermuten, dass beispielsweise Code Red nur ein Vorläufer noch aggressiverer Internet-Seuchen sein könnte. Es wird befürchtet, raffiniert konstruierte Würmer könnten das gesamte World Wide Web lähmen oder gar komplett zerstören. Einige Experten vermuten sogar, Code Red sei lediglich ein Test für Computerprogramme gewesen, mit denen ein Staat in Kriegszeiten das Internet lahm legen könnte. Wie sich Computerkriminalität weiterentwickelt bleibt abzuwarten, aber eines ist sicher: Wer nicht mit der Zeit geht, verliert. Sicherheit sollte groß geschrieben werden.
Ursprüngliche Anfrage:
Betreff:
Schäden durch Computerwürmer
Nachricht:
Guten Tag,
ich bin Schüler der Stufe 12 des Andreas Vesalius Gymnasium der Stadt Wesel. Zur
Zeit arbeite ich an einer Facharbeit zum Thema "Computerwürmer: Funktionsweise,
Verbreitung, Schutzmöglichkeiten", in der ich auch darauf eingehen möchte,
welche wirtschaftlichen Schäden durch Computerviren (besonders Würmer)
entstehen.
Aus diesem Grund möchte ich Sie bitten, mir Informationen zur Verfügung zu
stellen, ob Sie durch derartige Software geschädigt wurden und welches Ausmaß
der Schaden hatte. Ich benötige natürlich auch Ihre Erlaubnis diese
Informationen in meiner Facharbeit zu verwenden.
Vielen Dank.
Mit freundlichen Grüßen
Thorsten Sachtje
Antworten:
Deutsche Bank
Sehr geehrter Herr
Sachtje,
haben Sie besten Dank für Ihre E-Mail und Ihr Interesse an diesem IT-Thema.
Bitte haben Sie Verständnis, wenn wir bei sicherheitsrelevanten Themen generell
zurückhaltend mit Details sind. Gleichwohl haben wir Ihre Anfrage direkt an den
mit IT-Security befassten Bereich der Deutschen Bank weitergeleitet und gebeten,
Ihnen gegebenenfalls für Ihre Facharbeit auszuhelfen. Sie würden dann direkt von
dort hören.
Bereits heute wünschen wir Ihnen von unserer Seite viel Erfolg und Freude bei
Ihrer Facharbeit,
mit freundlichen Grüßen,
Deutsche Bank AG
Corporate Center
Presseabteilung
Klaus Thoma
Verbands-Sparkasse Wesel
Hallo Herr Sachtje,
das ist ja ein spannendes Thema, welches Sie da gerade bearbeiten.
Zum Glück darf ich Ihnen versichern, dass in unserem Hause noch kein Schaden
diesbezüglich entstanden ist (und hoffentlich bleibt dies so). An
Internetzugänge und Mailsysteme stellen wir hohe Anforderungen; dazu gehört
neben Firewalls der verschiedensten Art auch ein online Virenscanner etc.
Einen 100%igen Schutz oder gar eine Garantie gibt es sicherlich nicht. Deshalb
legen wir zusätzlich besonderen Wert auf den Test von entsprechenden
Ausfallszenarien. D.h. alle Systeme sind nicht nur redundant in verschiedenen
Gebäuden verfügbar, sondern auch in verschiedenen Backupgenerationen gesichert.
Wir hoffen, damit ausreichende Vorsorge getroffen zu haben.
Ich wünsche Ihnen noch viel Erfolg bei Ihrer Facharbeit.
Mit freundlichen Grüßen
Verbands-Sparkasse Wesel
EDV-Organisation
Wolfgang Riemann
Dresdner Bank
Sehr
geehrter Herr Sachtje,
über Umwege habe ich Ihre Anfrage bzgl. Ihrer Facharbeit erhalten.
Leider ist es uns derzeit nicht möglich, Sie dahingehend zu unterstützen, da
unsere Kapazitäten momentan voll ausgelastet sind.
Sollte jedoch wieder einmal eine Frage aufkommen, bei der wir Ihnen evt.
weiterhelfen können, wenden Sie sich einfach wieder an
uns!
Mit freundlichem Gruß
Nadine Klimt
Sparkasse Dinslaken-Voerde-Hünxe
Guten
Tag, sehr geehrter Herr Sachtje,
das Thema Ihrer Facharbeit ist für uns als Kreditinstitut natürlich
ein heikles Thema. "Zwei Herzen schlagen, ach, in unserer Brust". Zum
einen möchten wir Ihnen natürlich gerne Informationen zukommen
lassen, andererseits möchten wir natürlich auch nicht zuviel an die
Öffentlichkeit dringen lassen, was den internen Aufbau unserer
Schutzmassnahmen angeht.
Es wäre sicher hilfreich, wenn sie Ihre Vorstellungen über die von
Ihnen benötigten Informationen ein wenig präzisieren könnten.
Zunächst können wir Ihnen mitteilen, das wir als Sparkasse
Dinslaken-Voerde-Hünxe von Computerwürmern bislang verschont
geblieben sind. Dies führen wir nicht zuletzt darauf zurück, dass wir
eben kaum Informationen über unsere interne Struktur nach außen
dringen lassen. Es gibt aber schon noch einige andere Aspekte, die es
u. E. wert sind einmal diskutiert zu werden.
Wir können dies gerne elektronisch (via email) tun, aber ich kann mir
auch vorstellen, dass wir uns einmal bei uns in der Sparkasse treffen
und über das Thema diskutieren. Im letzteren Fall wäre es nämlich
möglich, den einen oder anderen Mitarbeiter unseres Hauses dazukommen
zu lassen, um das Thema von verschiedenen Seiten zu beleuchten.
Tja, soweit die Angebote unseres Hauses was Ihre Facharbeit angeht.
Lassen sie uns wissen, wie es weitergehen soll.
Schöne Grüße aus Dinslaken
Helmut Tenberg
Sparkasse Dinslaken-Voerde-Hünxe
Bücher:
Lindo, Wilfred: Kampf dem Virus. M+T Gewusst wie! München 2000.
Matzer, Michael: Sicherheitsrisiko Internet. Beck EDV-Berater. München 1999.
Aufgrund der zu schnell fortschreitenden Entwicklung im Bereich der IT-Sicherheit wurden in dieser Facharbeit nur wenige Bücher verwendet. Bücher dieses Themenbereichs sind schon bei Erscheinung wieder veraltet, sodass aus ihnen nur Informationen entnommen wurden, die einigermaßen zeitlos sind.
Zeitschriften und Zeitungen:
Chess, David M. und Jeffrey O. Kephart, Gregory B. Sorkin, Steve R. White: Kampf den Computerviren. In: Spektrum der Wissenschaft, 5/1998, S. 60.
Meinel, Carolyn: Sabotage im Internet. In: Spektrum der Wissenschaft, 12/2001, S. 56.
Schillo, Friedhelm: Wenn unerwünschter Besuch anklopft ... Computerviren: Monatlich mehr als 100 neue „Schädlinge“. In: NRZ, Nr. 16, 19. Januar 2002.
Finkensiep, Frank: Zerstörerische Grüße. Sicherheit: Software und Vorsicht schützen vor Computerviren. In: NRZ, Nr. 18, 22. Januar 2002.
Internet-Quellen:
BSI (Bundesamt für Sicherheit in der Informationstechnik):
BSI-Faltblatt: Kurzinformationen zu Computer-Viren. http://www.bsi.bund.de/literat/faltbl/kurzvire.htm, 17. Feb 2002.
Computer-Virus CodeRed. http://www.bsi.bund.de/av/vb/codered.htm, 17. Feb. 2002.
CERT (Computer Emergency Response Team):
CERT Advisory CA-2001-13 Buffer Overflow In IIS Indexing Service DLL. http://www.cert.org/advisories/CA-2001-13.html, 3. März 2002.
CERT Advisory CA-2001-19 "Code Red" Worm Exploiting Buffer Overflow In IIS Indexing Service DL. http://www.cert.org/advisories/CA-2001-19.html, 17. Feb 2002.
CERT Advisory CA-2001-23 Continued Threat of the Code Red Worm. http://www.cert.org/advisories/CA-2001-23.html, 23. Feb 2002.
SARC (Symantec Antivirus Research Center):
SARC - Wissenswertes über Computerviren. http://www.symantec.com/region/de/avcenter/wissenswertes.html, 1. Jan 2002.
SARC - Viren, Würmer und Trojanische Pferde. http://www.symantec.com/region/de/avcenter/vwutp.html, 1. Jan 2002.
SARC - Sieben Gebote für den Virenschutz. http://www.symantec.com/region/de/avcenter/sieben_gebote.html, 1. Jan 2002.
SARC - Geschichte der Computerviren. http://www.symantec.com/region/de/avcenter/regeln_de.html, 1. Jan 2002.
Symantec Security Response - Virus Naming Information. http://www.symantec.com/avcenter/vnameinfo.html, 1. Jan 2002.
Symantec Security Response – Glossary. http://securityresponse.symantec.com/avcenter/refa.html, 1. Jan 2002.
SARC – Save Computing – Die 10 Goldenen Regeln. http://www.symantec.com/region/de/avcenter/sieben_gebote.html, 3. März 2002.
Vermischte Internetquellen:
Viren, Würmer und kriminelle Mitarbeiter: Milliardenschäden für die Wirtschaft. http://www.existenzgruendung-risikokapital.de/ecommerce/Viren/viren.html, 18. Feb 2002.
Studie: Deutsche Firmen vernachlässigen Schutz gegen Virenangriffe. http://www.mummert.de/deutsch/press/2001/01dpa1408.html, 3. März 2002.
Digitale Signatur: verschmähtes Antibiotikum gegen E-Mail-Viren. http://www.mummert.de/deutsch/press/a_press_info/011408.html, 3. März 2002.
Bisher 10,7 Milliarden Dollar Schaden durch Viren. http://www.zdnet.de/finance/news/2001/09/03-0020-zdnet-03011-wc.html, 18. Feb 2002.
Müller, Dietmar: “Viren haben sich dramatisch verändert”. http://news.zdnet.de/story/0,,t101-s2055273,00.html, 18. Feb 2002.
Von A wie ActiveX bis Z wie Zonealarm - Das Sicherheits-Lexikon. http://www.sicherheit-online.net/glossar/lexikon.html, 10. Dez 2001.
Code Red. http://www.db.f-prot-antivirus.de/news/c/codered.htm, 10. Dez 2001.
1.4 Schäden durch Computer-Viren. http://www.hu-berlin.de/bsi/viren/kap1/kap1_4.htm, 17. Feb 2002.
CodeRed Worm. http://www.uni-potsdam.de/u/zeik/dienste/software/viren/codered.htm, 24. Feb 2002.
PDF-Dateien:
Lehle, Bernd und Oliver Reutter: Viren, Würmer und Trojaner. 10. Dez 2001.
Stradt, Michael: Konzeptionelle Migration einer FoxPro-Datenbank an das WorldWideWeb. 9. Jan 2001.
Winandy, Marcel: Vortrag über Softwareangriffe. 10. Mai 1999.
Winkelmann, Tobias: Sicherheit im Internet. 10. Dez 2001.
Erklärung
Ich erkläre, dass ich die vorliegende Facharbeit ohne fremde Hilfe angefertigt und nur die im Literaturverzeichnis angeführten Hilfsmittel und Quellen benutzt habe.
Wesel, den 7. März 2002
[1] Lehle, Bernd und Oliver Reutter, S. 1
[2] Lindo 2000, S. 95.
[3] Lehle, S. 2.
[4] Winandy 1999, S. 4.
[5] auch: Buffer-Overflow
[6] Winandy 1999, S. 11.
[7] Compiler: Im weiteren Sinn jedes Programm, das nach bestimmten syntaktischen und semantischen Regeln eine Einheit von Symbolen in eine andere übersetzt. Meist bezieht sich Compiler jedoch auf ein Programm, das den gesamten Quellcode eines in einer Hochsprache formulierten Programms in den Objektcode übersetzt. Erst nach diesem Vorgang kann das Programm ausgeführt werden.
[8] Payload: Schadensfunktion des Wurms
[9] SARC - Viren, Würmer und Trojanische Pferde
[10] Man unterscheidet zwei Arten von Betriebssystemen: Single-Task- und Multi-Task-Systeme. Single-Task-Systeme können nur eine Arbeit nach der anderen verrichten, während Multi-Task-Systeme mehrere Anwendungen gleichzeitig bearbeiten können.
[11] Payload: Schadensfunktion des Wurms
[12] hier: vom Wurm kontrollierte Computer
[13] DDoS (Distributed Denial of Service): Angriff auf einen Rechner bzw. ein Netzwerk, um das Ziel arbeitsunfähig zu machen, allerdings im Gegensatz zum einfachen DoS-Angriff mit verteilten Ausgangspunkten. Der Angreifer verschafft sich dabei Zugang zu hunderten von Internet-Rechnern und installiert auf ihnen sein Programm für die DoS-Attacke. Dann wird sein Angriff von allen betroffenen Rechnern gleichzeitig gestartet, die Wirkung ist entsprechend höher.
[14] Das CERT (Computer Emergency Response Team) wurde als Konsequenz der Plan- und Hilflosigkeit der betroffenen Benutzer gebildet, die von den ersten Würmern heimgesucht wurden.
[15] im folgenden: CERT CC
[16] s. Materialien
[17] Patchen (engl. flicken): Einspielen von Aktualisierungen, die bestehende Sicherheitslücken schließen
[18] Ein heterogenes Computersystem ist ein System, das aus verschiedenen Betriebssystemen besteht (z. B. ein Netzwerk aus Windows-, Mac- und Linux-Rechnern)
[19] Backup = Sicherungskopie
[20] Winandy 1999, S. 17/18.
[21] s. Materialien