Klaus-Peter Kossakowski: Computer-Würmer

Klaus-Peter Kossakowski: Computer-Würmer

Zur Person

Größere Projekte

2.2.1 Das Christma Exec und andere Kettenbriefe

Während in den Medien das Christma Exec [Fußnote 1] unter anderem auch als Computer-Virus bzw. Computer-Wurm bezeichnet wurde, ist der Begriff Kettenbrief treffender. Eine in REXX für IBM/CMS-Systeme geschriebene Kommando-Prozedur wurde am Ausgangspunkt von einem Benutzer gestartet und versandte Kopien von sich selbst an Benutzeradressen, die aus bestimmten Listen gewählt wurden. Erst wenn eine dieser Kopien von einem Empfänger in nachlässiger Weise in Vertrauen auf den angeführten Absender gestartet wurde, setzte sich der Ausbreitungsvorgang fort. Es fehlte also die für eine Computer-Wurm typische automatische Aktivierung der erzeugten Kopien als Teil der Ausbreitung. Durch die in der Kommando-Prozedur enthaltenen Kommentare wurde der Empfänger ermuntert, diese ohne eine langweilige Überprüfung des Codes zu starten. Der Umstand, daß der angegebene Absender des Kettenbriefs oft eine Person war, zu der bereits eine Kommunikationsbeziehung bestanden hatte, trug dazu bei, daß die Kommando-Prozedur unkritisch von zahlreichen Empfängern ausgeführt wurde. Die Ausführung war auf IBM-Rechner mit dem Kommandoprozessor CMS in den Monaten Dezember 1987 sowie Januar und Februar 1988 beschränkt. Außer der Anzeige eines Weihnachtsbaums wurden die Dateien NAMES und NETLOG ausgewertet, um Adressen für die Versendung der Kopien zu erhalten. Dabei wurde eine direkte Reinfektion eines Anwenders verhindert.

Der Start erfolgte am 9. Dezember 1987 durch einen Studenten in Clausthal-Zellerfeld. Vom EARN-Knoten DCZTU1 aus breitete sich dieser Kettenbrief über mehrere Tage im BITNET, im EARN und auch im IBM-internen VNET aus. Dabei 'schwappte' die Welle einmal über den gesamten Globus. Es ist überraschend, daß die Ausbreitung auch in das VNET gelangte, da für jeglichen Kommunikationskontakt eine direkte Interaktion der beiden Kommunikationspartner notwendig ist. Am 11. Dezember 1987 wurden viele Verbindungen innerhalb des IBM-internen Netzwerks unterbrochen, um den Kettenbrief lokal beseitigen zu können. [Fußnote 2] Im BITNET war der Kettenbrief noch bis zum 14. Dezember des gleichen Jahres aktiv.

Weitere Kettenbriefe

Seit seinem ersten Auftreten wurde das Christma Exec mehrfach modifiziert und erneut freigesetzt. Ohne größere Modifikationen geschah dies zum ersten Mal am 5. Dezember 1988, wahrscheinlich von einem Rechner der Louisana State University. Es könnte sich dabei um eine nicht beabsichtigte Freisetzung gehandelt haben. Die Folgen waren nicht schwerwiegend, da nach der ersten Freisetzung im Vorjahr installierte Schutzmaßnahmen noch wirksam bzw. die Anwender mißtrauisch waren.

Am 8. März 1989 wurde in der Türkei das Bul Exec freigesetzt. Der dafür verantwortliche Anwender bemerkte dies etwa zehn Minuten später und warnte die Anwendergemeinschaft. Weitere Kettenbriefe waren das Dir Exec am 25. November 1989, das auf dem BITNET-Knoten TECMYVM gefunden wurde, das Orgasm Exec, welches sich am 4. April 1989 ausgehend von der Pennsylvania State University ausbreitete, und das Headache Exec, welches am 8. April 1989 in Ottawa gefunden wurde.

Nicht als REXX-Prozeduren sondern als REXX-Module breiteten sich zwei weitere Kettenbriefe aus. In der Nachricht war zusätzlich zu dem Modul jeweils Erläuterungen zu den für die Sicherung und Ausführung notwendigen Anweisungen enthalten. Am 8. Dezember 1990, ausgehend von der Türkei, breitete sich das Term Module in Amerika und Kanada aus. Das Game2 Module war Mitte Januar 1991 aktiv.

Diejenigen Benutzer, die einen Kettenbrief erhielten, mußten diesen zunächst als Datei auf einem Speichermedium sichern, bevor sie ihn ausführen konnten. Einmal gestartet, hatte der Kettenbrief als normaler Benutzerprozeß die Möglichkeit, Dateien zu lesen und Nachrichten über Electronic Mail abzuschicken. Hieraus folgt, daß Kettenbriefe in jedem System möglich sind, in dem der Datentransfer zwischen verschiedenen Benutzern durchführbar ist und in dem diese Daten nach dem Transfer interpretiert oder ausgeführt werden können. Das gilt unter bestimmten Umständen auch für Texte, die Escape- Sequenzen für die Steuerung von Ausgabegeräten beinhalten oder Anweisungen, die von einem Editor (z. B. bei dem UNIX-Standardeditor VI) oder anderen Programmen (z. B. dem TEX- System oder PostScript-Interpretern) als Kommandos interpretiert werden.

Es sind also keine technischen Sicherheitslücken für die Funktion und die Existenz von Kettenbriefen notwendig, denn die Schwachstelle ist hier der Mensch, der empfangene Daten nicht oder nur unzureichend prüft, bevor er für ihre Ausführung sorgt. Erschwerend kommt hinzu, daß die Daten eine Komplexität besitzen können, die nur noch schwer überprüfbar ist (z. B. Objektcode). In solchen Fällen hat der Anwender nur die Möglichkeit, den Absender zu ermitteln bzw. die Authentizität der Nachricht zu überprüfen, und abhängig von seinem Vertrauen in diesen Menschen und die Sicherheit des Übermittlungsverfahrens zu entscheiden. Gerade dieses Vertrauen wurde von den aufgetretenen Kettenbriefe mißbraucht.

Auch wenn keine Daten übertragen werden, die interpretiert oder ausgeführt werden sollen, können Kettenbriefe entstehen. Diese ähneln stärker den Briefen, die vielfach per Post versandt wurden und in denen schwere Strafen für den Fall angedroht wurden, daß man nicht Kopien an weitere Personen verschickte. Es wurde bereits darauf hingewiesen, wieviele Ressourcen allein für einen Kettenbrief, der durch Forwarding aus einem Mail-Programm heraus von menschlichen Benutzern initiiert wird, verbraucht werden [Spafford 1991]. Auch hier handelt es sich um keine technische Sicherheitslücke, sondern um die Ausnutzung der erlaubten Handlungen eines autorisierten Benutzers.

Fußnoten:

In dieser Arbeit wird der Name durch die acht signifikanten Zeichen gebildet. In anderen Arbeiten findet man auch "CHRISTMAs EXEC", "CHRISTMAS EXEC" oder andere Bezeichnungen. Für die Darstellung der Kettenbriefe in diesem Unterabschnitt wurde auf die folgenden Quellen zurückgegriffen: [CIAC B-7 1990]. [CIAC B-12 1991]. [Spafford 1991]. [Ferbrache 1992, S. 14, 19 und 196-9]. Der Quellcode des Christma Exec wurde in [Burger 1988] abgedruckt.
In [Branscomb 1990, S. 97; Anm. 248] wird darüber hinaus auf den Einsatz eines "virus"-Programms hingewiesen, daß das Christma Exec unschädlich machen sollte. Es sollte sich Mitte Januar 1989 selbsttätig löschen. Obwohl weitere Angaben fehlen, wird aus dem Kontext klar, daß kein Computer-Virus im Sinne der Definition aus 1.2.3 gemeint sein kann. Statt dessen könnte das eingesetzte Programm den Computer-Würmern zugeordnet werden.

Literaturangaben:

[Spafford 1991]: Chain Letter / Spafford, E. H. - In: comp.security. - 26. November 1991.
[CIAC B-7 1990]: BITNET Worm / Computer Incident Advisory Capability. - In: Information Bulletin. - Nr. B-7, 5. November 1990.
[CIAC B-12 1991]: GAME2 MODULE "Worm" on BITNET / Computer Incident Advisory Capability. - In: Information Bulletin. - Nr. B-12, 18. Januar 1991.
[Ferbrache 1992]: A Pathology of Computer Viruses / Ferbrache, D. - London: Springer, 1992.
[Burger 1988]: Das große Computer-Viren-Buch / Burger, R. - 2. überarb. u. erw. Aufl. - Düsseldorf: Data Becker, 1988.
[Branscomb 1990]: Rogue Computer Programs and Computer Rogues : Tailoring the Punishment to Fit the Crime / Branscomb, A. W. - Nachdruck aus: Rutgers Computer and Technology Law Journal, 1990. - In: Rogue Programs : Viruses, Worms, and Trojan Horses / Hrsg. v. Hoffman, L. J. - New York, NY: Van Nostrand Reinhold, 1990. - S. 61-98.