Klaus-Peter Kossakowski: Computer-Würmer

 

Zur Person


Größere Projekte


IT Incident Response


Publikationen


PGP-Schlüssel


Impressum

1.2.3 Systemanomalien dritter Art

Während die Systemanomalien zweiter Art solange 'schlafen', bis sie die programmierte Aufgabe erfüllen, nutzt eine weitere Art von Systemanomalien die Einbindung in den Kontrollfluß, um sich selbst zu reproduzieren und erreicht dadurch eine weitaus größere Verbreitung. Bisher sind nur Software-Anomalien aufgetreten, die dieser Art zuzuordnen sind. [Fußnote 1] Anhand der Art der Reproduktionsweise werden die Systemanomalien dritter Art noch weiter differenziert. Die Einteilung orientiert sich wiederum an der Sichtweise, die ein Programm als Komponente eines Systems begreift. Die Veränderungen können wiederum einzelne System-Komponenten, aber auch das gesamte System betreffen.

Veränderung von System-Komponenten:

Die Komponenten werden durch Funktionen ergänzt, die die Fähigkeit zur Selbstreproduktion besitzen. Die Reproduktion ist also auf solche Komponenten beschränkt, die durch die Ausführung von Anweisungen verändert werden können. Dies sind solche Programme und Systemanweisungen, die auf einem beschreibbaren Medium gespeichert sind. Im wesentlichen handelt es sich um eine Ergänzung des Konzepts der Trojanischen Pferde. [Fußnote 2] F. Cohen hat 1984 für diese Gruppe den Begriff Computer-Virus wissenschaftlich definiert [Cohen 1984]. Seit 1986 ist eine ständig wachsende Anzahl von Computer-Viren für die verschiedenen Typen von Personal-Computern zu beobachten. Im Sommer 1992 sprechen Experten von mehr als 1.500 verschiedenen Arten für IBM-kompatible PCs. Für die verschiedenen Arten wurden durch die Forschergruppen unterschiedliche Namenskonventionen und Einteilungen geschaffen. Auf deren Diskussion wird hier verzichtet, da sie sehr stark von den Besonderheiten der jeweiligen Rechner-Architekturen bestimmt werden. [Fußnote 3]

Veränderung des Systems:

Werden keine Komponenten verändert, müssen zusätzliche Komponenten in das System eingefügt werden. Für die weitere Ausbreitung ist eine spätere Ausführung notwendig. Verschiedene dieser Art zuzuordnenden Anomalien können unterschieden werden, indem der Bereich ihrer Ausbreitung und eine eventuell erfolgende Aktivierung der erzeugten Kopien berücksichtigt werden:

  • Bakterien: [Fußnote 4]

    Die Ausbreitung erfolgt lokal, d. h. auf einem einzelnen Rechner im Dateisystem oder Hauptspeicher.

  • Kettenbriefe:

    Die Ausbreitung ist nicht auf den lokalen Rechner beschränkt. Die Ausführung erfolgt nicht automatisch als Teil der Ausbreitung und muß beispielsweise erst durch einen Benutzer veranlaßt werden.

  • Oktopoden:

    Die durch die Ausbreitung in einem Netzwerk erzeugten Kopien werden im Rahmen der Ausbreitung aktiviert, können sich jedoch nicht selbst weiter ausbreiten.

  • Computer-Würmer:

    Die innerhalb eines Netzwerks erzeugten Kopien werden im Rahmen der Ausbreitung aktiviert und können sich danach auch weiter ausbreiten.

Von diesen vier Untergruppen haben heute nur Kettenbriefe und Computer-Würmer eine praktische Relevanz. Beiden ist die Ausbreitung in einem Netzwerk gemeinsam, Computer-Würmer sind jedoch gefährlicher als Kettenbriefe, weil sie die erzeugten Kopien selbst aktivieren. Während die Forscher, die auch den Begriff worm (worm program) einführten [Shoch, Hupp 1982], in ihren konstruktiven Experimenten ein Netzwerk mit diesem Konzept besser ausnutzen wollten, zeigte der Vorfall des Internet-Wurms 1988 deutlich das destruktive Potential dieser Technik.

[Zurück zum Anfang]

 

Fußnoten:
  1. In verschiedenen Vorträgen hat Y. Desmedt wiederholt den Begriff "hardware virus" ([Desmedt 1987, S. 460], [Desmedt 1991, S. 599]) verwendet. Damit bezeichnet er jedoch sowohl einen Computer-Virus, der während der Design-Phase eines Chips Manipulationen des Designs bewirken kann, als auch die in den Chip eingefügte Funktion selbst, auch wenn diese nicht über die Fähigkeit zur Selbstreproduktion verfügt. Im Rahmen der dieser Arbeit zugrundeliegende Klassifikation stellt die in den Chip eingefügte Funktion keinen Virus dar, da sie sich nicht selbst reproduziert. Der Computer-Virus, der die Veränderung des Chip-Designs bewirkt, verfügt nur über eine spezielle Schadensfunktion, so daß auch hier der von Y. Desmedt verwendete Begriff nicht angemessen erscheint.
  2. Tatsächlich wurden Computer-Viren zunächst als selbstreproduzierende Trojanische Pferde bezeichnet und bereits in den 1970er Jahren dokumentiert. Ein primitiver Typ wurde auf einem frühen MULTICS-System implementiert [Gasser 1988, S. 77]. Siehe dazu: Multics Security Evaluation: Vulnerability Analysis / Karger, P. A.; Schell, R. R.. Hanscom AFB, Mass.: Air Force Electronic Systems Division, 1974. - Technical Report ESD-TR-74-193, vol. 2. Angabe nach [Gasser 1988, S. 90].
  3. D. Ferbrache stellt eine eigene Einteilung vor und gibt eine Übersicht zu den von Forschergruppen verwendeten Begriffen [Ferbrache 1992, Appendix 10, S. 265ff].
  4. Ein frühes Beispiel (vor 1970) ist Animal, ein Spiel, das bei seiner Ausführung einem anderen Benutzer eine Kopie des Spieles in dessen Verzeichnis plazierte. Rabbits stellen eine besondere Form der Bakterien dar, sie versuchen durch eine möglichst schnelle Reproduktion das System zu 'verstopfen' (Plattenplatz, Performance etc.) [Ferbrache 1992, S. 5].

Literaturangaben:
  1. [Cohen 1984]: Computer Viruses : Theory and Experiments / Cohen, F. - In: Rogue Programs : Viruses, Worms, and Trojan Horses / Hrsg. v. Hoffman, L. J. - New York, NY: Van Nostrand Reinhold, 1990. - S. 356-376. - [First presented at the 1984 meeting of IFIP Technical Committee II on computer security].
  2. [Shoch, Hupp 1982]: The Worm Programs : early Experience with a Distributed Computation / Shoch, J. F.; Hupp, J. A. - In: Communications of the ACM. - Vol. 25, Nr. 3, März 1982, S. 172-180.
  3. [Desmedt 1987]: Is there an ultimate use of cryptography? / Desmedt, Y. G. - In: Advances in Cryptology, Crypto'86, 1986 / Hrsg. v. Odlyzko, A. - Berlin: Springer, 1987. - S. 459-463.
  4. [Desmedt 1991]: The Next Generation of Computer Threats / Desmedt, Y. G. - In: 4. Annual Computer Virus & Security Conference / Hrsg. v. Lefkon, R. G. - New York, NY, 1991. - S. 596-607.
  5. [Gasser 1988]: Building a Secure Computer System / Gasser, M. - New York, NY: Van Nostrand Reinhold, 1988.
  6. [Ferbrache 1992]: A Pathology of Computer Viruses / Ferbrache, D. - London: Springer, 1992.

[Zurück] [Inhaltsverzeichnis] [Weiter]

© 1998-2001 by Klaus-Peter Kossakowski, Germany.