Klaus-Peter Kossakowski: Computer-Würmer
|
||
Zur Person
|
2.2.3 Der Father-Christmas-Wurm
Knapp zwei Monate nach dem Internet-Wurm trat am 22. Dezember 1988
innerhalb des SPAN/HEPNet auf DEC-Systemen ebenfalls ein
Computer-Wurm auf, der jedoch nicht als Objektcode vorlag,
sondern in der Kommandosprache DCL programmiert war. Ausgehend
von einem Schweizer Rechner des HEPNet (Universität von
Neuchatel, Institut für Physik, Knoten 20597::NEDCU2,
Account PHSOLIDE) war er nach Angaben der NASA nur auf 79
Rechnern aktiv, obwohl die Kommando-Prozedur auf ca. 6.000
Rechner verteilt wurde. Die geringe Anzahl aktiver Kopien ist
auf die unterschiedliche Konfiguration und die schnelle
Entdeckung zurückzuführen, die nur zehn Minuten nach
dem Start erfolgte. Der genannte Account wurde von einer Gruppe
von 15 Wissenschaftlern benutzt, so daß das Paßwort
mehreren Personen bekannt war. Zudem war das gültige
Paßwort mit dem Namen des Accounts identisch. Jeder der
Wissenschaftler erklärte offiziell, weder direkt noch
indirekt beteiligt gewesen zu sein. [Fußnote 1]
Das Wurm-Programm nutzte den Default-DECNet-Account aus, der auf
vielen Systemen durch mangelndes Paßwort-Management nur
unzureichend geschützt ist. Er erlaubt die Übertragung
von Dateien auf andere Rechner (ähnlich wie bei dem FTP
unter UNIX), und je nach Maßgabe der Betreiber ist auch
eine Ausführung von auf diesem Weg übertragenen
Programmen und Kommando-Prozeduren möglich. Das
Zusammenwirken von Funktionen, Datentransfer, Interpretation der
Daten und mangelndem Paßwort-Management - die bei der
Auslieferung fest eingestellten Paßwörter waren nicht
oder nur durch 'schwache' Paßwörter ersetzt worden -
machten die Ausbreitung dieses Wurms möglich.
Nach seiner Aktivierung verschleierte der Wurm-Prozeß
zunächst seine Existenz. Der Prozeßname wurde so
verändert, daß er bei einer zufälligen
Inspektion nicht auffiel; die zuvor übertragene Datei wurde
gelöscht. Die Tatsache der erfolgreichen Installation wurde
zusammen mit der aktuellen Rechneradresse über Electronic
Mail an den Rechner in der Schweiz gemeldet. Dann bestimmte der
residente Prozeß eine Nummer aus dem Bereich von 1 bis
64.512, und verwendete diese als Adresse eines neuen Rechners.
Konnte zu dieser Adresse eine Verbindung aufgebaut werden, wurde
versucht, auf den Default-DECNet-Account zuzugreifen. Bei der
Paßwortabfrage wurde einfach der Account-Name ( DECNET ,
dies ist die erste Einstellung bei der Installation des Systems)
angegeben. Wurde diese Eingabe akzeptiert, konnte auf den
Rechner die Kommando-Prozedur HI.COM kopiert und dort zur
Ausführung gebracht werden, wenn bestimmte Rechte für
diesen Account durch den Systemmanager eingestellt waren.
Die über die Ausbreitung hinausgehende Wirkung des Wurms
war harmlos. Am 24. Dezember 1988 sollte zwischen 0.00 Uhr und
3.00 Uhr eine Weihnachtsbotschaft [Fußnote 2], die in
Abbildung 2 wiedergegeben wird, über Electronic Mail an
alle Benutzer des Systems versandt werden. Danach sollte der
Prozeß terminieren. Die Weihnachtsbotschaft war mit
"Father Christmas" [Green, Sisson 1989, S. 359] unterzeichnet
und gab dem Wurm seinen Namen.
Bereits zehn Minuten nach dem Start wurde der Wurm im Goddard Space Flight Center
entdeckt. In der Folge wurden Warnungen an die Administratoren der Systeme des SPAN
und des HEPNet verschickt und eine detaillierte Analyse durchgeführt. Am Abend des
nächsten Tages war der Wurm bereits unschädlich gemacht worden.
Zusammen mit den Warnungen wurden detaillierte und gezielte Hinweise gegeben, wie der
Wurm erkannt bzw. sein Eindringen verhindert werden konnte. Die notwendigen
Maßnahmen bestanden in einer Absicherung des Default-DECNet-Accounts mit dem
Ziel, die Datenübertragung oder die Ausführung von Programmen auf diesem
Account zu verhindern. Die Gründe für die Verletzlichkeit der Systeme gegen
diese Art von Angriff sind in den viel zu großzügig gewählten Rechten zu
sehen, die bei der Installation der Systeme per Default eingestellt werden. Eine Aufweichung
des least privilege -Prinzips entsteht oft auch durch die Systemmanager selbst, weil es
einfacher ist, mehr Rechte zu verteilen, als gezielt und detailliert die Rechte
einzuschränken. Unwissenheit oder Bequemlichkeit trugen gewiß dazu bei,
daß die allgemein bekannten Paßwörter nach der Installation nicht
geändert wurden.
Nur wenige Wochen später wurde am 13. Januar 1989 ein fast identischer Wurm auf
dem DEC-internen EASYNet gestartet. Bevor es jedoch zu einer Ausbreitung kommen
konnte, wurde der Prozeß gestoppt, da die zuvor installierten Sicherheitsfunktionen
noch aktiv waren.
|
|
|
||
|
© 1998-2001 by Klaus-Peter Kossakowski, Germany.