Klaus-Peter Kossakowski: Computer-Würmer
|
||
Zur Person
|
2.2.1 Das Christma Exec und andere Kettenbriefe
Während in den Medien das Christma Exec [Fußnote 1]
unter anderem auch als Computer-Virus bzw. Computer-Wurm
bezeichnet wurde, ist der Begriff Kettenbrief treffender. Eine
in REXX für IBM/CMS-Systeme geschriebene Kommando-Prozedur
wurde am Ausgangspunkt von einem Benutzer gestartet und
versandte Kopien von sich selbst an Benutzeradressen, die aus
bestimmten Listen gewählt wurden. Erst wenn eine dieser
Kopien von einem Empfänger in nachlässiger Weise in
Vertrauen auf den angeführten Absender gestartet wurde,
setzte sich der Ausbreitungsvorgang fort. Es fehlte also die
für eine Computer-Wurm typische automatische Aktivierung
der erzeugten Kopien als Teil der Ausbreitung. Durch die in der
Kommando-Prozedur enthaltenen Kommentare wurde der
Empfänger ermuntert, diese ohne eine langweilige
Überprüfung des Codes zu starten. Der Umstand,
daß der angegebene Absender des Kettenbriefs oft eine
Person war, zu der bereits eine Kommunikationsbeziehung
bestanden hatte, trug dazu bei, daß die Kommando-Prozedur
unkritisch von zahlreichen Empfängern ausgeführt
wurde.
Die Ausführung war auf IBM-Rechner mit dem
Kommandoprozessor CMS in den Monaten Dezember 1987 sowie Januar
und Februar 1988 beschränkt. Außer der Anzeige eines
Weihnachtsbaums wurden die Dateien NAMES und NETLOG ausgewertet,
um Adressen für die Versendung der Kopien zu erhalten.
Dabei wurde eine direkte Reinfektion eines Anwenders verhindert.
Der Start erfolgte am 9. Dezember 1987 durch einen Studenten in
Clausthal-Zellerfeld. Vom EARN-Knoten DCZTU1 aus breitete sich
dieser Kettenbrief über mehrere Tage im BITNET, im EARN und
auch im IBM-internen VNET aus. Dabei 'schwappte' die Welle
einmal über den gesamten Globus. Es ist überraschend,
daß die Ausbreitung auch in das VNET gelangte, da für
jeglichen Kommunikationskontakt eine direkte Interaktion der
beiden Kommunikationspartner notwendig ist. Am 11. Dezember 1987
wurden viele Verbindungen innerhalb des IBM-internen Netzwerks
unterbrochen, um den Kettenbrief lokal beseitigen zu
können. [Fußnote 2] Im BITNET war der Kettenbrief
noch bis zum 14. Dezember des gleichen Jahres aktiv.
Seit seinem ersten Auftreten wurde das Christma Exec mehrfach
modifiziert und erneut freigesetzt. Ohne größere
Modifikationen geschah dies zum ersten Mal am 5. Dezember 1988,
wahrscheinlich von einem Rechner der Louisana State University.
Es könnte sich dabei um eine nicht beabsichtigte
Freisetzung gehandelt haben. Die Folgen waren nicht
schwerwiegend, da nach der ersten Freisetzung im Vorjahr
installierte Schutzmaßnahmen noch wirksam bzw. die
Anwender mißtrauisch waren.
|
|
Nicht als REXX-Prozeduren sondern als REXX-Module breiteten sich
zwei weitere Kettenbriefe aus. In der Nachricht war
zusätzlich zu dem Modul jeweils Erläuterungen zu den
für die Sicherung und Ausführung notwendigen
Anweisungen enthalten. Am 8. Dezember 1990, ausgehend von der
Türkei, breitete sich das Term Module in Amerika und Kanada
aus. Das Game2 Module war Mitte Januar 1991 aktiv.
|
||
Es sind also keine technischen Sicherheitslücken für
die Funktion und die Existenz von Kettenbriefen notwendig, denn
die Schwachstelle ist hier der Mensch, der empfangene Daten
nicht oder nur unzureichend prüft, bevor er für ihre
Ausführung sorgt. Erschwerend kommt hinzu, daß die
Daten eine Komplexität besitzen können, die nur noch
schwer überprüfbar ist (z. B. Objektcode). In solchen
Fällen hat der Anwender nur die Möglichkeit, den
Absender zu ermitteln bzw. die Authentizität der Nachricht
zu überprüfen, und abhängig von seinem Vertrauen
in diesen Menschen und die Sicherheit des
Übermittlungsverfahrens zu entscheiden. Gerade dieses
Vertrauen wurde von den aufgetretenen Kettenbriefe
mißbraucht.
Auch wenn keine Daten übertragen werden, die interpretiert
oder ausgeführt werden sollen, können Kettenbriefe
entstehen. Diese ähneln stärker den Briefen, die
vielfach per Post versandt wurden und in denen schwere Strafen
für den Fall angedroht wurden, daß man nicht Kopien
an weitere Personen verschickte. Es wurde bereits darauf
hingewiesen, wieviele Ressourcen allein für einen
Kettenbrief, der durch Forwarding aus einem Mail-Programm heraus
von menschlichen Benutzern initiiert wird, verbraucht werden
[Spafford 1991]. Auch hier handelt es sich um keine technische
Sicherheitslücke, sondern um die Ausnutzung der erlaubten
Handlungen eines autorisierten Benutzers.
|
||
|
© 1998-2001 by Klaus-Peter Kossakowski, Germany.