Klaus-Peter Kossakowski: Computer-Würmer

 

Zur Person


Größere Projekte


IT Incident Response


Publikationen


PGP-Schlüssel


Impressum

2.2.2 Der Internet-Wurm

Am zweiten November 1988 wurde ein Wurm-Angriff innerhalb des Internets gestartet. Der Urheber war Robert Tappan Morris Jr., Sohn des bedeutenden Wissenschaftlers des National Computer Security Centers (NCSC) Robert T. Morris. [Fußnote 1] R. T. Morris Jr. war Student der Cornell University und hatte Aufgaben im Rahmen der Rechnerbetreuung übernommen. Seine detaillierten Kenntnisse über das UNIX-System waren bekannt; er verfügte über Super-User-Rechte. Sein Programm [Fußnote 2] infizierte insgesamt etwa 2.000- 6.000 Systeme des Internet. Genauere Daten sind leider nicht verfügbar, da ein Teil der Anwender und Betreiber ihre Zusammenarbeit bei der Aufklärung der Schäden verweigerte. Anhand der verfügbaren Berichte führte C. Stoll eine statistische Analyse durch und berechnete die Zahl der befallenen Rechner mit 2.600 (mit einem 1-sigma Fehler von 275) [Stoll 1989, S. 372]. [Fußnote 3] Es gibt auch über die Höhe des entstandenen Schadens nur Schätzungen. Die höchste Schätzung in Höhe von $ 97 Millionen stammt von J. McAfee, sie wurde von anderen Experten jedoch nicht bestätigt [Ferbrache 1992, S. 212]. Vielmehr wurde McAfee der Vorwurf gemacht, durch eine überhöhte Schätzung nur auf sich aufmerksam machen zu wollen.

Verletzlich waren alle Rechner der Firmen DEC und SUN (SUN-3- Systeme) des Netzwerks, die mit BSD UNIX betrieben wurden. Unter UNIX System V betriebene Rechner konnten nur infiziert werden, wenn mit den Programmen SENDMAIL, FINGERD oder REXEC eine Kompatibilität zu BSD UNIX geschaffen worden war. Für die Funktion wurden verschiedene Eigenschaften und Sicherheitslücken auf der Anwendungsebene der TCP/IP- Protokollfamilie genutzt. Insgesamt wurden vier unterschiedliche Verfahren für die Ausbreitung eingesetzt:

  • 1. FINGERD:

    Eine bestimmten Funktion der Standard-C-Bibliothek, die die Länge der Parameter nicht überprüft, wurde im FINGER-Daemon verwendet. Beim Aufruf des Daemon auf einem Remote-Rechner durch einen aktiven Wurm-Prozeß wurde eine Zeichenkette als Parameter übergeben, deren Länge den zur Verfügung stehenden Puffer-Bereich überstieg. Dadurch wurden Teile des Daemon-Prozesses im Hauptspeicher überschrieben, darunter auch die Rücksprungadresse der gerade ausgeführten Funktion. Die neue Rücksprungadresse zeigte auf einen Teil des überschriebenen Speichers, in dem jetzt eine Shell mit den Rechten des Daemon aufgerufen wurde. Mit dieser Shell wurde dann eine Kopie der für den Start des Wurms auf diesem Rechner benötigten Dateien übertragen und ausgeführt. Die Existenz dieser Sicherheitslücke war seit langer Zeit bekannt, trotzdem wurden die allgemein verfügbaren Fixes nicht überall eingespielt.

  • 2. SENDMAIL:

    Auch dieser Fehler war bereits seit langer Zeit bekannt; nur ein Teil der Systeme wies ihn noch auf. Die betroffenen Versionen dieses Mail-Daemon waren mit der DEBUG-Option kompiliert worden. Dabei wurde eine durch den Entwickler eingebaute Falltür aktiviert, die auf dem Remote-System die Interpretation einer über Electronic Mail empfangenen Nachricht als Befehl erlaubte. So konnte ein Wurm-Prozeß auf einem Remote- Rechner eine Shell starten.

  • 3. RSH:

    Eine wichtige Eigenschaft vieler UNIX-Systeme ist das Konzept des distributed trust , das mit den sogenannten 'r'-Protokollen der BSD-Implementation eingeführt wurde. Inzwischen werden diese Protokolle auch in anderen UNIX-Derivaten eingesetzt. Mit ihrer Hilfe wird es möglich, auf anderen Rechnern bestimmte Befehle oder eine Remote-Shell aufzurufen, wenn der lokale Rechner dort als vertrauenswürdig eingestuft ist. Diese Einstufung erfolgt durch den Eintrag der Rechnernamen in eine spezielle Datei. Da in der Regel eine solche Einstufung auf Gegenseitigkeit beruht, versuchte der Wurm-Prozeß, auf den in der lokalen Datei angegebenen Rechnern eine Remote-Shell zu starten.

  • 4. Paßwörter:

    Durch die Möglichkeit, auf die gespeicherten Benutzer- Identifikationen und die zugehörigen, verschlüsselten Paßwörtern zuzugreifen, konnte der Wurm-Prozeß einen Brute-Force-Angriff auf einen Account durchführen. Gelang die Bestimmung des verwendeten Paßworts, wurde mit der Benutzer-Identifikation versucht, auf einem anderen Rechner des Netzwerks eine Shell zu starten. Dies gelang, wenn der jeweilige Benutzer auf diesem Rechner das gleiche Paßwort verwendete.

[Zurück zum Anfang]

 
Die Verwendung eines weiteren Fehlers, der im File Transfer Protocol (FTP) von R. T. Morris Jr. entdeckt wurde, war ebenfalls vorgesehen. Eine Meldung über den Fehler wurde in den Netzen am 2. November 1988 von K. Bostic zusammen mit einem Fix veröffentlicht [Hafner, Markoff 1991, S. 301]. Die Frage, ob diese Veröffentlichung zu einer Kurzschlußreaktion bei R. T. Morris Jr. führte, muß offenbleiben.

Der Zweck des Angriffs war es, zunächst ein minimales Programm im Quellcode (und damit unabhängig von dem jeweiligen Prozessor und dessen Maschinensprache) zu übertragen, zu kompilieren und auszuführen. Die Aufgabe dieses Programms war es, sich beim Wurm-Prozeß, der die Ausbreitung initiiert hatte, zu authentisieren, und dann bis zu neunzehn verschiedene Dateien zu empfangen. Bei dem Angriff wurden jedoch nur zwei Dateien verwendet, so daß einige Forscher spekulierten, der Wurm habe sich in einem noch unfertigen Zustand befunden, als die Ausbreitung begann. Die übertragenen Objektcode-Dateien waren jeweils für eine bestimmte Hardware-Betriebssystem-Kombination vorbereitet, die eine der Dateien für DEC-Systeme und die andere für SUN-3-Systeme. Es wurde nicht versucht, die jeweils vorhandene Kombination zu bestimmen, statt dessen wurden die Dateien nacheinander gebunden und das so entstandene Programm gestartet. Konnte dieses ausgeführt werden, war damit der Wurm- Prozeß auf dem Rechner aktiviert.

[Zurück zum Anfang]

 
Ein Teil des Wurm-Prozesses war für Camouflage-Techniken ausgelegt. Der Name des aktiven Prozesses wurde in sh umbenannt, die Dateien gelöscht und bei Erreichung einer bestimmten Prozessorzeit die Kontrolle an einen Tochterprozeß weitergegeben. Damit sollten auffällige Kennzeichen vermieden werden. Die im Code enthaltenen Zeichenketten und das Verzeichnis der Paßwörter waren primitiv verschlüsselt.

Die Existenz aktiver Wurm-Prozesse auf einem Remote-Rechner sollte vor einer weiteren Ausbreitung bestimmt werden, nur in einem von 15 Fällen sollte eine Reinfektion stattfinden. Dadurch sollten Abwehrmaßnahmen, die nur die Existenz eines Wurm-Prozesses vortäuschten, unterlaufen werden. Aufgrund eines Programmierfehlers geschah die Reinfektion jedoch in 14 von 15 Fällen. Dadurch wurden viele Rechner überlastet und der Wurm wurde wahrscheinlich schneller entdeckt, als dies anderenfalls möglich gewesen wäre. Auch noch über ein Jahr nach der Freisetzung wurden Aktivitäten von Wurm-Prozessen auf dem Internet festgestellt [Ferbrache 1992, S. 212]. Dies kann auf die Verfügbarkeit des Quellcodes bzw. der zugehörigen Dateien zurückgeführt werden. In einigen Fällen waren die offensichtlichen Programmierfehler korrigiert worden.

Im Frühjahr 1989 wurde der Cornell Report [Eisenberg et al. 1989] veröffentlicht, der die Ergebnisse einer Kommission beinhaltet, die die Rolle der Cornell University und seiner Studenten und Mitarbeiter beim Auftreten des Internet-Wurms untersuchte. Daraus ging hervor, daß das Programm von R. T. Morris Jr. seit Mitte Oktober 1988 entwickelt und getestet worden war. Mehrere verschlüsselte Versionen des Quellcodes waren gefunden und entschlüsselt worden. Die in den Kommentaren enthaltenen Wörter wie 'stehlen' und 'angreifen' wurden als Indiz für die gezielt destruktive Absicht der Entwicklung gewertet. Die Beteiligung weiterer Personen wurde ausgeschlossen. Als Konsequenz wurde R. T. Morris Jr. zunächst für ein Jahr von der Universität ausgeschlossen.

Im Herbst 1989 wurde er angeklagt, gegen den 1986 Computer Fraud and Abuse Act verstoßen zu haben. Bei einer Verurteilung nach dem Strafgesetz drohten ihm eine Höchststrafe von fünf Jahren Gefängnis und ein Bußgeld in Höhe von $ 250.000. Der Antrag der Verteidigung, den Fall nicht nach dem Strafgesetz zu verhandeln, wurde abgelehnt. Bei der ab dem 15. Januar 1990 stattfindenden Verhandlung bestand die Jury ausschließlich aus Personen, die über kein technisches Wissen über Computersystemen verfügten. Bereits eine Woche später wurde das Strafmaß angekündigt, die Urteilsverkündung erfolgte jedoch erst am 4. Mai des gleichen Jahres. R. T. Morris Jr. wurde zu drei Jahren Gefängnis auf Bewährung und einem Bußgeld in Höhe von $ 10.000 verurteilt. Außerdem mußte er 400 Stunden sozialer Arbeit leisten und die Gerichtskosten in Höhe von etwa $ 150.000 tragen. Die Berufung [Guidoboni 1991] wurde in New York von einer Kammer des US Court of Appeals for the 2nd Circuit abgelehnt und das Urteil bestätigt [Neumann 1991]. [Fußnote 4]

In den Vereinigten Staaten von Amerika wurde diesem Fall sehr große Aufmerksamkeit geschenkt. Über eine Woche lang fand sich der Fall im November 1988 auf der Titelseite der New York Times . In dieser und anderen Zeitungen wurde in der Folge über die weitere Entwicklung ausführlich berichtet. [Fußnote 5] Die Journalisten stellten in den ersten Tagen eine starke Belastung für die Forscher dar, die an der Untersuchung und am Reverse Engineering des Wurms beteiligt waren. In der Presse wurde nicht immer korrekt oder sachlich über den Fall und dessen Auswirkungen berichtet.

Obwohl die Beurteilung der Tat durch die Anwendergemeinde des Internet unterschiedlich ausfiel, die eine Seite sprach von naivem Leichtsinn, die andere von einem unbedachten Versuch, auf die Sicherheitslücken hinzuweisen, bestand Einigkeit in der Auffassung, daß die Folgen nicht tolerierbar seien und für die Zukunft weitreichende Schutzmaßnahmen getroffen werden müßten.

Als unmittelbare Folge wurde im Dezember 1988 ein sogenanntes Computer Emergency Response Team (CERT) ins Leben gerufen. Heute kontrolliert das CERT Coordination Center die Tätigkeit verschiedener CERTs. Es gibt eine Telefon-Hotline und verschiedene Publikationsorgane, die auf Sicherheitslücken hinweisen und den Anwendern Hilfestellung geben. Nach dem Vorbild der CERTs wurden seitdem weltweit ähnliche Gruppen aufgebaut. Verschiedene Organisationen, so Computer Professionals for Social Responsibility (CPSR), Internet Activity Board (IAB), National Science Foundation (NSF) und verschiedene Universitäten (darunter das MIT und die Cornell University) haben ethische Grundsätze und Regeln im Zusammenhang mit Computern und Netzwerken formuliert und veröffentlicht.

[Zurück zum Anfang]

 

Fußnoten:
  1. Der Vater, der bis 1986 bei AT&T angestellt und dort auch bei der Entwicklung des UNIX-Betriebssystems beteiligt war, schrieb mehrere Artikel über dessen mangelnde Sicherheit. Er programmierte auch 1962 das Siegerprogramm für Darwin, den Vorläufer von Core Wars [Aleph 1972]. 1985 wurde er vor einem House Committee in einer Anhörung zu dem Thema Computer-Viren befragt. Damals sagte er: "The notion that we are raising a generation of children so technically sophisticated that they can outwit the best efforts of the security specialists of America's largest corporations and of the military is utter nonsense." [Wines 1988c]. Nach dem Internet-Wurm stellte er seinen Posten als Leiter des NCSC zur Disposition. Das Rücktrittsangebot wurde jedoch abgelehnt.
  2. Die Darstellung beruht auf: [Ferbrache 1992, S. 19-21, 23-5, 27, 28, 196, 197 und 205-12], [US GAO 1989], [Stoll 1989], verschiedenen Nachdrucke aus [Denning 1990] sowie [Reynolds 1989]. Eine ausführliche Bibliographie und eine Besprechung und Zusammenfassung der wichtigsten Reports über den Wurm- Angriff: [Spafford 1989], [Eichin, Rochlis 1989], [Eisenberg et al. 1989] und [Seeley 1989], die ebenfalls als Quellen herangezogen wurden, ist in [Reynolds 1989] enthalten.
  3. Dies entspricht etwa 4% aller zum Zeitpunkt des Angriffs im Internet zusammengeschlossenen Rechnern. Dieser Wert entspricht C. Stolls Schätzungen über die Zahl der im Internet als unsicher einzustufenden Rechnern, die auf Analysen von Angriffen im MILNET basieren [Stoll 1988].
  4. Ein Teil des Buches "CYBERPUNK" [Hafner, Markoff 1991] erzählt die Geschichte dieses Falls und schildert die Lebensumstände der Familie Morris aus einer ganz anderen Sicht. Die technischen Details treten hinter den menschlichen Aspekten zurück. Diese (subjektive) Sicht stellt somit eine interessante Ergänzung dar.
  5. Vgl. zur ersten Reaktion auf den Internet-Wurm verschiedene Artikel der New York Times : [Markoff 1988-1988g], [Wines 1988- 1988c], [Fisher 1988] und [Gerth 1988]. Über weitere Ereignisse in diesem Zusammenhang und die Gerichtsverhandlung berichteten unter anderem die folgenden Artikel: [Markoff 1989- 1989b], [Markoff 1990-1990e], [NYT 1.02.1990], [NYT 10.01.1990] und [NYT 15.01.1990].

Literaturangaben:
  1. [Stoll 1989]: An Epidemiology of Viruses & Network Worms / Stoll, C. - In: 12. National Computer Security Conference. - o. O., 1989 - S. 369-377.
  2. [Ferbrache 1992, S.212]: A Pathology of Computer Viruses / Ferbrache, D. - London: Springer, 1992.
  3. [Hafner, Markoff 1991]: CYBERPUNK : Outlaws and Hackers on the Computer Frontier / Hafner, K.; Markoff, J. - New York, NY: Simon & Schuster, 1991.
  4. [Eisenberg et al.1989]: The Cornell Commission : On Morris and the Worm / Eisenberg, T.; Gries, D.; Hartmanis, J.; Holcomb, D.; Lynn, M. S.; Santoro, T. - In: Communications of the ACM. - Vol. 32, Nr. 6, Juni 1989, S. 706-709.
  5. [Guidoboni 1991]: United States of America v. Robert Tappan Morris : Brief for Appellant / Guidoboni, T. A. - In: 4. Annual Computer Virus & Security Conference / Hrsg. v. Lefkon, R. G. - New York, NY, 1991. - S. 216-242.
  6. [Neumann 1991]: Internet Worm appeal fails / Neumann, P. G. - In: ACM SIGSOFT Software Engineering Notes. - Vol. 16, Nr. 2, April 1991, S. 16.
  7. [Aleph 1972]: Darwin / [Aleph]. - In: Software : Practise and Experience. - Vol. 2, Nr. 1, Januar - März 1972, S. 93-96.
  8. [US GAO 1989]: Computer Security : Virus Highlights Need for Improved Internet Management / US General Accounting Office. - IMTEC-89-57, Juni 1989.
  9. [Stoll 1989]: An Epidemiology of Viruses & Network Worms / Stoll, C. - In: 12. National Computer Security Conference. - o. O., 1989 - S. 369-377.
  10. [Denning 1990]: Computers Under Attack / Hrsg. v. Denning, P. J. - Reading, Mass.: Addison-Wesley, 1990.
  11. [Reynolds 1989]: The Helminthiasis of the Internet / Reynolds, J. Network Working Group. - RFC 1135 vom Dezember 1989.
  12. [Spafford 1989]: The Internet Worm Program : An Analysis / Spafford, E. H. - In: Computer Communication Review. - Vol. 19, Nr. 1, Januar 1989, S. 17-57.
  13. [Eichin, Rochlis 1989]: With Microscope and Tweezers : An Analysis of the Internet Virus of November 1988 / Eichin, M. W.; Rochlis, J. A. - In: 1989 Symposium on Security and Privacy. - New York, NY: IEEE Computer Society, 1989. - S. 326-343.
  14. [Seeley 1989]: Password Cracking : A Game of Wits / Seeley, D. - In: Communications of the ACM. - Vol. 32, Nr. 6, Juni 1989, S. 700-703.
  15. [Stoll 1988]: How Secure are Computers in the U.S.A.? / Stoll, C. - In: Computers & Security. - Vol. 7, Nr. 6, Dezember 1988, S. 543-547.
  16. [Hafner, Markoff 1991]: CYBERPUNK : Outlaws and Hackers on the Computer Frontier / Hafner, K.; Markoff, J. - New York, NY: Simon & Schuster, 1991.
  17. [Markoff 1988-1988g, 1989-1989b, 1990-1990e]: siehe Literaturverzeichnis.
  18. [Wines 1988-1988c]: siehe Literaturverzeichnis.
  19. [Fisher 1988]: On the Front Lines in Battling Electronic Invader / Fisher, L. M. - In: The New York Times. - Vol. 138, 5. November 1988, S. I,7:1.
  20. [Gerth 1988]: Intruders Into Computer Systems Still Hard to Prosecute / Gerth, J. - In: The New York Times. - Vol. 138, 5. November 1988, S. I,7:2.
  21. [NYT 1.02.1990]: U.S. Officials Weigh Plea Bargain in Case Of Computer Virus. - In: The New York Times. - Vol. 138, 1. Februar 1989, S. I,16:4.
  22. [NYT 10.01.1990]: Computer Chaos Called Mistake, Not Felony. - In: The New York Times. - Vol. 139, Nr. 48111, 10. Januar 1990, S. I,16:2.
  23. [NYT 15.01.1990]: Computer Stunt Helped Security, Witness Says. - In: The New York Times. - Vol. 139, Nr. 48116, 15. Januar 1990, S. I,14:2.

[Zurück] [Inhaltsverzeichnis] [Weiter]

© 1998-2001 by Klaus-Peter Kossakowski, Germany.