Klaus-Peter Kossakowski: Computer-Würmer

Klaus-Peter Kossakowski: Computer-Würmer

Zur Person

Größere Projekte

1.2.4 Hybride Systemanomalien

Die verschiedenen Arten der Systemanomalien sind geeignet, jeweils unterschiedliche Ziele zu erreichen. Während Systemanomalien erster Art zu schwer zu entdeckenden Fehlfunktionen und Störungen führen können, werden bei Systemanomalien zweiter Art zusätzliche Funktionen abhängig von bestimmten Bedingungen ausgeführt. Zusätzlich verfügen Systemanomalien dritter Art über die Möglichkeit, durch die Selbstreproduktion ihren Wirkungskreis auszudehnen. Diese Eigenschaften müssen bei der Entscheidung für Sicherheitsverfahren und Sicherheitsmechanismen berücksichtigt werden. Die größte Bedrohung geht nicht in jedem Fall von den zahlenmäßig häufigsten Systemanomalien, den Computer-Viren, aus, sondern eventuell von den Trojanischen Pferden, die durch legitimierte Benutzer eingepflanzt werden können und unauffällig bis zum Zeitpunkt ihrer Aktivierung 'schlafen'.

Unter Berücksichtigung der oben genannten Unterschiede muß auch damit gerechnet werden, daß unterschiedliche Arten von Systemanomalien kombiniert eingesetzt bzw. miteinander verschmolzen werden. [Fußnote 1] Dies betrifft auch die Kombination von Hardware-Systemanomalien mit Software-Systemanomalien. Der Begriff der Systemanomalie wird heute vielfach für Veränderungen von Programmen verwendet und damit gleichgesetzt. [Fußnote 2] Es gibt jedoch zahlreiche Beispiele für Systemanomalien erster Art im Bereich der Hardware, und auch für Systemanomalien zweiter Art sind Fälle aus diesem Bereich dokumentiert. Außerdem sind beispielsweise auch Hardware-Viren [Fußnote 3] denkbar, die sich bei dem Entwurf oder der Produktion eines neuen Chips reproduzieren können. Ebenfalls den hybriden Systemanomalien zuzuordnen wäre ein Hardware-Virus, der CAD-Programme manipuliert (Einfügung einer verdeckten Funktion oder eines Computer-Virus) und ihre Funktion so verändert, daß bei der Entwicklung eines Chips dieser Hardware-Virus in den Entwurf eingebettet wird.

Ein historisches Beispiel für eine Kombination ist die Existenz eines Trojanischen Pferdes [Fußnote 4] in dem C-Compiler des UNIX-Betriebssystems, das bei jeder Kompilierung eines C-Compilers (eines gängigen Verfahrens beim Compiler- Bootstrapping) seinen Code wieder einfügte. Diese Selbstreproduktion diente jedoch nur dazu, bei der Kompilierung des Login-Programms dieses um eine Hintertür erweitern zu können, die den Zugang mit einem bestimmten Paßwort ermöglichte [Thompson 1984].

Es gibt bereits heute Trojanische Pferde, sogenannte Virus-Dropper, bei deren Ausführung Computer-Viren freigesetzt werden und umgekehrt werden Trojanische Pferde durch Computer-Viren installiert. Auch die Wank-Würmer haben primitive Computer-Viren eingepflanzt, um bestimmte Aufgaben lokal auf den Rechner auszuführen, die der Wurm durch die Ausbreitung innerhalb des Netzwerks erreichte [Oberman 1989].

Für die Verschmelzung von Systemanomalien zu einem neuen Typ, der nicht in das zuvor aufgestellte Schema der drei vorgestellten Arten einzuordnen ist, müssen insbesondere Computer-Viren und Computer-Würmer berücksichtigt werden. Der dadurch entstehende neue Typ würde die charakteristischen Fähigkeiten vereinen, nämlich die lokale Ausbreitung als Computer-Virus und die Ausbreitung innerhalb des Netzwerks als Computer-Wurm. Dadurch wird der Einflußbereich bzw. der Aktionsradius noch erweitert. Die Entdeckung auf lokalen Rechnern wird erschwert und die erneute Aktivierung durch den Aufruf der infizierten Programme erleichtert. Die Weitergabe infizierter Programme kann für die Einpflanzung genutzt werden und dazu führen, daß auch Netzwerke, zwischen denen keine direkte Kommunikationsverbindung besteht, betroffen sind. Dieser Typ ist bisher noch nicht aufgetreten und wird als viral worm bezeichnet [Desmedt 1991, S. 601].

Fußnoten:

Die gegenseitige Begünstigung wird dabei in diesem Zusammenhang ignoriert, wenn diese nicht bereits bei der Entwicklung beider Systemanomalien beabsichtigt wurde. Ein Beispiel: Verwendet ein Computer-Wurm zum Eindringen eine Hintertür, die dem Wurm-Entwickler bekannt ist, begünstigt dies die Ausbreitung des Wurms. Wurde diese Hintertür von einem Computer-Wurm eingebaut, um den späteren Zugang zu diesem System zu erleichtern, müßte dies als eine Kombination eingestuft werden.
Das Bewußtsein der meisten Benutzer und Betreiber ist auf die Risiken und Bedrohungen ausgerichtet, die von Programmen ausgehen können. Dies zeigt sich z. B. an den Begriffe Programmanomalie , Malicious Software oder Rogue Program , die in dieser Arbeit aus diesem Grund durch den umfassenderen Begriff der Systemanomalie ersetzt wurden.
Die Bedrohung durch Hardware-Viren ist zwar nicht grundsätzlich von der Hand zu weisen, doch dürfte die eigentliche Bedrohung von in die Hardware eingebetteten Systemanomalien zweiter Art ausgehen.
Eigentlich müßte diese verborgene Funktion als Computer-Virus bezeichnet werden, denn es handelt sich um eine selbstreproduzierende Systemanomalie. Darauf wurde an dieser Stelle verzichtet, um den von K. Thompson gebrauchten Begriff zu verwenden.

Literaturangaben:

[Thompson 1984]: Reflections on Trusting Trust / Thompson, K. - In: Communications of the ACM. - Vol. 27, Nr. 8, August 1984, S. 761-763.
[Oberman 1989]: Report on the W.COM worm / Oberman, R. K. - 16. Oktober 1989. - [enthalten in [CERT 04/1989], [DDN SEC 03/1989] und [CIAC A-2 1989]].
[Desmedt 1991]: The Next Generation of Computer Threats / Desmedt, Y. G. - In: 4. Annual Computer Virus & Security Conference / Hrsg. v. Lefkon, R. G. - New York, NY, 1991. - S. 596-607.
[CERT 04/1989]: "WANK" Worm On SPAN Network / Computer Emergency Response Team. - In: CERT Advisory. - Nr. 89:04, 17. Oktober 1989.
[DDN SEC 03/1989]: W.COM ("WANK") Worm On SPAN Network / DDN Security Coordination Center. - In: DDN Security Bulletin. - Nr. 3, 18. Oktober 1989.
[CIAC A-2 1989]: The W.COM Worm affecting VAX VMS Systems / Computer Incident Advisory Capability. - In: Advisory Notice. - Nr. A-2, 16. Oktober 1989.