Klaus-Peter Kossakowski: Computer-Würmer

 

Zur Person


Größere Projekte


IT Incident Response


Publikationen


PGP-Schlüssel


Impressum



2.2.3 Der Father-Christmas-Wurm

Knapp zwei Monate nach dem Internet-Wurm trat am 22. Dezember 1988 innerhalb des SPAN/HEPNet auf DEC-Systemen ebenfalls ein Computer-Wurm auf, der jedoch nicht als Objektcode vorlag, sondern in der Kommandosprache DCL programmiert war. Ausgehend von einem Schweizer Rechner des HEPNet (Universität von Neuchatel, Institut für Physik, Knoten 20597::NEDCU2, Account PHSOLIDE) war er nach Angaben der NASA nur auf 79 Rechnern aktiv, obwohl die Kommando-Prozedur auf ca. 6.000 Rechner verteilt wurde. Die geringe Anzahl aktiver Kopien ist auf die unterschiedliche Konfiguration und die schnelle Entdeckung zurückzuführen, die nur zehn Minuten nach dem Start erfolgte. Der genannte Account wurde von einer Gruppe von 15 Wissenschaftlern benutzt, so daß das Paßwort mehreren Personen bekannt war. Zudem war das gültige Paßwort mit dem Namen des Accounts identisch. Jeder der Wissenschaftler erklärte offiziell, weder direkt noch indirekt beteiligt gewesen zu sein. [Fußnote 1] Das Wurm-Programm nutzte den Default-DECNet-Account aus, der auf vielen Systemen durch mangelndes Paßwort-Management nur unzureichend geschützt ist. Er erlaubt die Übertragung von Dateien auf andere Rechner (ähnlich wie bei dem FTP unter UNIX), und je nach Maßgabe der Betreiber ist auch eine Ausführung von auf diesem Weg übertragenen Programmen und Kommando-Prozeduren möglich. Das Zusammenwirken von Funktionen, Datentransfer, Interpretation der Daten und mangelndem Paßwort-Management - die bei der Auslieferung fest eingestellten Paßwörter waren nicht oder nur durch 'schwache' Paßwörter ersetzt worden - machten die Ausbreitung dieses Wurms möglich.

Nach seiner Aktivierung verschleierte der Wurm-Prozeß zunächst seine Existenz. Der Prozeßname wurde so verändert, daß er bei einer zufälligen Inspektion nicht auffiel; die zuvor übertragene Datei wurde gelöscht. Die Tatsache der erfolgreichen Installation wurde zusammen mit der aktuellen Rechneradresse über Electronic Mail an den Rechner in der Schweiz gemeldet. Dann bestimmte der residente Prozeß eine Nummer aus dem Bereich von 1 bis 64.512, und verwendete diese als Adresse eines neuen Rechners. Konnte zu dieser Adresse eine Verbindung aufgebaut werden, wurde versucht, auf den Default-DECNet-Account zuzugreifen. Bei der Paßwortabfrage wurde einfach der Account-Name ( DECNET , dies ist die erste Einstellung bei der Installation des Systems) angegeben. Wurde diese Eingabe akzeptiert, konnte auf den Rechner die Kommando-Prozedur HI.COM kopiert und dort zur Ausführung gebracht werden, wenn bestimmte Rechte für diesen Account durch den Systemmanager eingestellt waren.

Die über die Ausbreitung hinausgehende Wirkung des Wurms war harmlos. Am 24. Dezember 1988 sollte zwischen 0.00 Uhr und 3.00 Uhr eine Weihnachtsbotschaft [Fußnote 2], die in Abbildung 2 wiedergegeben wird, über Electronic Mail an alle Benutzer des Systems versandt werden. Danach sollte der Prozeß terminieren. Die Weihnachtsbotschaft war mit "Father Christmas" [Green, Sisson 1989, S. 359] unterzeichnet und gab dem Wurm seinen Namen.


Abbildung 2:
    Hi,

    how are ya ? I had a hard time preparing all the presents. 
    It isnt't quite an easy job. I'm getting more and more 
    letters from the children every year and it's not so easy 
    to get the terrible Rambo-Guns, Tanks and Space Ships up here at
    the Northpole. But nowe the good part is coming. 
    Distributing all the presents with my sleigh and the 
    deers is real fun. When I slide down the chimneys 
    I often find a little present offered by the children, 
    or even a little Brandy from the father. (Yeah!) 
    Anyhow the chimneys are getting tighter and tighter 
    every year. I think I'll have to put my diet on again. 
    And after Christmas I've got my big holidays:-). 

    Now stop computing and have a good time at home !!!! 

      Merry Christmas
         and a happy New Year

              Your Father Christmas


Bereits zehn Minuten nach dem Start wurde der Wurm im Goddard Space Flight Center entdeckt. In der Folge wurden Warnungen an die Administratoren der Systeme des SPAN und des HEPNet verschickt und eine detaillierte Analyse durchgeführt. Am Abend des nächsten Tages war der Wurm bereits unschädlich gemacht worden.

Zusammen mit den Warnungen wurden detaillierte und gezielte Hinweise gegeben, wie der Wurm erkannt bzw. sein Eindringen verhindert werden konnte. Die notwendigen Maßnahmen bestanden in einer Absicherung des Default-DECNet-Accounts mit dem Ziel, die Datenübertragung oder die Ausführung von Programmen auf diesem Account zu verhindern. Die Gründe für die Verletzlichkeit der Systeme gegen diese Art von Angriff sind in den viel zu großzügig gewählten Rechten zu sehen, die bei der Installation der Systeme per Default eingestellt werden. Eine Aufweichung des least privilege -Prinzips entsteht oft auch durch die Systemmanager selbst, weil es einfacher ist, mehr Rechte zu verteilen, als gezielt und detailliert die Rechte einzuschränken. Unwissenheit oder Bequemlichkeit trugen gewiß dazu bei, daß die allgemein bekannten Paßwörter nach der Installation nicht geändert wurden.

Nur wenige Wochen später wurde am 13. Januar 1989 ein fast identischer Wurm auf dem DEC-internen EASYNet gestartet. Bevor es jedoch zu einer Ausbreitung kommen konnte, wurde der Prozeß gestoppt, da die zuvor installierten Sicherheitsfunktionen noch aktiv waren.

[Zurück zum Anfang]

 


Fußnoten:

  1. Für die Darstellung wurde auf folgende Quellen zurückgegriffen: [DDN MGT 50/1988], [Ferbrache 1992, S. 19, 196, 197 und 215-8] sowie [Green, Sisson 1989]. Der Quellcode wurde in verschiedenen News-Groups wiedergegeben [Ferbrache 1992, S. 19], darunter auch in "Virus-L" [Green, Sisson 1989, S. 363].
  2. In einigen Darstellungen wurde berichtet, diese Weihnachtsbotschaft sei gegen Kriegsspielzeug gerichtet gewesen [Gleißner et al. 1989, S. 23]. Da es sich meines Erachtens nur um eine Anspielung handelt, ist dies nicht gerechtfertigt. Der Leser möchte sich dazu anhand der Abbildung 2, die [Ferbrache 1992, S. 217] entnommen wurde, ein eigenes Bild machen.

Literaturangaben:

  1. [Green, Sisson 1989]: The Father Christmas Worm / Green, J. L.; Sisson, P. L. - In: 12. National Computer Security Conference. - o. O., 1989. - S. 359-368.
  2. [DDN MGT 50/1988]: Worm (Benign) / DDN Network Info Center. - In: DDN Management Bulletin. - Nr. 50, 23. Dezember 1988.
  3. [Ferbrache 1992]: A Pathology of Computer Viruses / Ferbrache, D. - London: Springer, 1992.
  4. [Green, Sisson 1989]: The Father Christmas Worm / Green, J. L.; Sisson, P. L. - In: 12. National Computer Security Conference. - o. O., 1989. - S. 359-368.
  5. [Gleißner et al. 1989]: Manipulation in Rechnern und Netzen : Risiken, Bedrohungen und Gegenmaßnahmen / Gleißner, W.; Grimm, R.; Herda, S.; Isselhorst, H. - Bonn: Addison-Wesley, 1989.

[Zurück] [Inhaltsverzeichnis] [Weiter]


© 1998-2001 by Klaus-Peter Kossakowski, Germany.