Klaus-Peter Kossakowski: Computer-Würmer

 

Zur Person


Größere Projekte


IT Incident Response


Publikationen


PGP-Schlüssel


Impressum

3 Systematische Beschreibung von Computer-Würmern

Bereits im ersten Kapitel wurde der Computer-Wurm als eine Systemanomalie dritter Art vorgestellt. Über die genaue Definition eines Computer-Wurms gibt es bis heute keinen Konsens. [Fußnote 1] Die hier gewählte Definition orientiert sich an den Ergebnissen der Experimente von J. Shoch und J. Hupp sowie an mehrheitlich akzeptierten Kriterien. Sie bildet die Grundlage der weiteren Ausführungen:

Ein Computer-Wurm setzt sich aus einer Anzahl von Prozessen, den Wurm-Segmenten, zusammen. Diese sind auf die Rechner eines Netzwerks verteilt und haben die Möglichkeit, gemeinsam bestimmte Leistungen zu erbringen.

Ein Wurm-Segment ist ein eigenständiger Prozeß, der die Fähigkeit besitzt, eine eventuell modifizierte Abbildung von sich selbst über das Netzwerk auf einen anderen Rechner zu übertragen und dort zu aktivieren. Die erzeugten Abbildungen müssen diese Eigenschaft ebenfalls besitzen. [Fußnote 2] Das Verhalten aller zugehörigen Segmente bestimmt das Verhalten eines Computer-Wurms. Die Ausbreitung der Wurm-Segmente erfolgt im Gegensatz zu einem Computer-Virus ohne eine Infektion von Dateien.

Diese Definition enthält keinerlei Aussagen über den Zweck eines Computer-Wurms oder die mit einem Einsatz beabsichtigte Wirkung. Sie beruht auf technischen Verfahren und Eigenschaften, die charakteristisch für diese Art von Programmen sind. Es fallen also sowohl konstruktive als auch destruktive Ansätze unter diese Einordnung. Die Frage, ob ein Computer-Wurm als destruktiv, also als eine Systemanomalie, anzusehen ist, die in Abschnitt 2.3 behandelt wurde, kann nur im Hinblick auf einen konkreten Computer-Wurm und die betroffenen Systeme beantwortet werden. In der Vergangenheit ist für beide Ansätze, ob destruktiv oder konstruktiv, der Begriff Computer-Wurm (oder worm) verwendet worden; entsprechend auch in dieser Arbeit, weil beide Arten die technischen Anforderungen der oben aufgestellten Definition erfüllen. Zudem sind Konzepte und Maßnahmen, die zum Schutz vor destruktiv einzustufenden Computer-Würmern eingesetzt werden können, auch zur Kontrolle bzw. Einschränkung autorisierter Computer-Würmer und als Schutz vor schädigenden Auswirkungen geeignet.

Bei der Beschreibung von Computer-Würmern und der Definition der Techniken und Verhaltensweisen muß strikt unterschieden werden, welcher Ausgangspunkt für diese Beschreibung gewählt wird. Bei der Beschreibung kommen zwei Ebenen in Betracht, die jeweils eine andere Abstraktionsebene darstellen und deren Zusammenhang in Abbildung 4 verdeutlicht wird, die Rechner- und die Netzwerk-Ebene. Auf der Rechner-Ebene wird ein einzelner Rechner betrachtet, auf dem ein Prozeß ausgeführt wird, der der Definition eines Wurm-Segments genügt. Dieser Prozeß übernimmt einen Teil der Aufgaben des innerhalb des Netzwerks aktiven Computer-Wurms, dem dieses Segment zuzuordnen ist. Auf der Netzwerk-Ebene werden alle in einem Netzwerk aktiven Wurm-Segmente, die eine logische Einheit bilden, betrachtet. Zusammengefaßt werden sie als Computer-Wurm bezeichnet.

Abbildung 4:

[Rechner- und Netzwerk-Ebene]

Alle Funktionen der Wurm-Segmente, die bestimmte Aufgaben für die Funktion des Wurms wahrnehmen, werden als Wurm- Segment-Mechanismen bezeichnet. [Fußnote 3] Mechanismen, die für die Erfüllung der durch die Definition vorgegebenen Anforderungen verantwortlich sind, werden als elementar bezeichnet. Jeder Computer-Wurm kann weitere Aufgaben erfüllen, die über die Existenz, Ausbreitung und eventuelle Kommunikation sowie Kontrolle hinausgehen. Der dafür verantwortliche Wurm-Segment-Mechanismus wird als Wurm-Segment-Applikation bezeichnet. [Fußnote 4] Um Mißverständnisse zu vermeiden, wird von Wurm- Applikation bzw. Wurm-Mechanismus gesprochen, wenn sich die Benennung auf die Netzwerk-Ebene bezieht. Die Zusammenfassung aller Wurm-Segment-Applikationen bildet die Wurm- Applikation.

Allein die Existenz der elementaren Wurm-Segment-Mechanismen entscheidet darüber, ob ein Prozeß als Wurm-Segment anzusehen ist. Die weiteren Auswirkungen des Prozesses haben darauf keinen Einfluß. Vor allem werden keinerlei Anforderungen an die Art der Wurm-Applikation gestellt. Im Trivialfall braucht diese auch nicht vorhanden zu sein.

Für die Realisierung der Wurm-Segment-Mechanismen sind grundsätzlich zwei Fälle zu unterscheiden. Mechanismen können zum einen auf die allgemeine Verfügbarkeit einer bestimmten Funktion zurückgreifen, wenn diese durch ein System bereitgestellt wird. Zum anderen sind auch wurm-spezifische Funktionen möglich, wenn die dazu notwendigen Voraussetzungen durch die Wurm-Segmente selbst geschaffen werden. Diese beruhen immer auf geeigneten Kommunikationsmöglichkeiten zwischen aktiven Wurm-Segmenten.

Das durch einen Wurm mit mehreren Segmenten aufgebaute System muß im Einzelfall als verteiltes System eingestuft werden. Statt einer Definition gibt S. Mullender unter Berufung auf M. Schroeder eine Liste von 'Symptomen', die solche Systeme aufweisen müssen, um auch bei einzelnen Fehlern die parallele Ausführung von Teilaufgaben fortführen zu können:

  • "Multiple processing elements",
  • "Interconnection hardware",
  • "Processing elements fail independently",
  • "Shared state".
[Mullender 1989, S. 6; Hervorhebung im Original]. Die Erfüllung der ersten drei Eigenschaften durch Computer- Würmer ist sofort offensichtlich. Der Austausch von Status- Informationen, der bei dem Auftreten von Fehlern entsprechende Gegenmaßnahmen erlaubt, wurde bereits in den XEROX- Experimenten erprobt (siehe dazu in Unterabschnitt 2.1.1 die Darstellung der Terminverwaltung). Bei allen bisher bekanntgewordenen Wurm-Angriffen wurde ein solcher Austausch jedoch nicht verwendet. Die Realisierung des Austausches ist durch eine geeignete Form der Inter-Segment- Kommunikation möglich. Da eine solche Kommunikation gemäß der Definition für Computer-Würmer nur als optional anzusehen ist, stellt nicht jeder Computer-Wurm ein verteiltes System dar. Es handelt sich um eine besondere Ausprägung einer möglichen Funktion, die in der weiteren Arbeit nicht weiter berücksichtigt wird, um sich auf die allen Computer-Würmern gemeinsamen Eigenschaften konzentrieren zu können.

[Zurück zum Anfang]

 

Fußnoten:
  1. Dies zeigt sich besonders deutlich an zwei Vorträgen von Forschern des MIT über den Internet-Wurm. Dieser wird in einem Vortrag als Virus, im anderen dagegen als Wurm bezeichnet. [Eichin, Rochlis 1989] bzw. [Rochlis, Eichin 1989].
  2. J. M. Smith betont, daß jedes Segment über die Fähigkeit verfügt, den gesamten Wurm neu zu erzeugen, wenn dies z. B. einem Ausfall aller anderen Segmente notwendig werden sollte [Smith 1988, S. 35]. Diese Eigenschaft trägt wesentlich zu der durch Computer- Würmer ausgehenden Gefährdung bei. Nach der obigen Definition ist dies zwar möglich, wird jedoch nicht gefordert.
  3. J. M. Smith folgt zwar der Darstellung von J. Shoch und J. Hupp und unterscheidet verschiedene Segmente eines Wurms, bezeichnet aber zusammenfassend die für die Ausbreitung verantwortlichen Funktionen als "worm mechanism" [Smith 1988, S. 35f; Hervorhebung des Originals]. Dieser eine Wurm-Mechanismus nimmt vier Aufgaben wahr: Bestimmung eines anderen Rechners, Neustart des so gefundenen Rechners mit dem Wurm-Code, Intra-Wurm-Kommunikation und Beendigung der Ausführung eines Segments. Weil sich diese Einteilung zu sehr an technischen Details der durchgeführten Experimente orientiert, wird sie in dieser Arbeit nicht aufgegriffen.
  4. Von dieser Konvention abweichend kann die Applikation eines Computer-Wurms auch als eigenständige Funktion angesehen werden, welche die Wurm-Segment-Mechanismen benutzt, um die dadurch mögliche Funktion der Ausbreitung auszunutzen. Diese Sicht, motiviert durch die XEROX-Experimente, betont den Anwendungsaspekt von Computer-Würmern und findet sich in [Smith 1988, S. 35].

Literaturangaben:
  1. [Mullender 1989]: Distributed Systems / Hrsg. v. Mullender, S. - Wokingham, England: Addison-Wesley, 1991. - [Erstausgabe 1989].
  2. [Eichin, Rochlis 1989]: With Microscope and Tweezers : An Analysis of the Internet Virus of November 1988 / Eichin, M. W.; Rochlis, J. A. - In: 1989 Symposium on Security and Privacy. - New York, NY: IEEE Computer Society, 1989. - S. 326-343.
  3. [Rochlis, Eichin 1989]: With Microscope and Tweezers : The Worm from MIT's Perspective / Rochlis, J. A.; Eichin, M. W. - In: Communications of the ACM. - Vol. 32, Nr. 6, Juni 1989, S. 689-698.
  4. [Smith 1988]: A Survey of Process Migration Mechanisms / Smith, J. M. - In: ACM SIGOPS Operating Systems Review. - Vol. 22, Nr. 3, Juli 1988, S. 28-40.

[Zurück] [Inhaltsverzeichnis] [Weiter]

© 1998-2001 by Klaus-Peter Kossakowski, Germany.