File 004 - The Internet-Worm

netplanet - The I-Files Werbung

Der 3. November 1988 wird vielen Systemadministratoren der damaligen Zeit als "Schwarzer Donnerstag" in Erinnerung bleiben. Viele kamen damals morgens zu ihren Arbeitsplätzen in Universitäten und Forschungsinstituten und mussten beim ersten Systemcheck erschrocken erkennen, dass ihre zu betreuenden Rechner teilweise seit dem Vorabend unter Volllast liefen. Nähere Tests ergaben, dass die betroffenen Rechner unzählige Prozesse abarbeiteten. Versuche, diese Prozesse zu beenden, scheiterten, da augenscheinlich mehr Prozesse neu gestartet wurden, als manuell beendet werden konnten. Selbst Neustarts der Rechner schienen nicht zu wirken - innerhalb weniger Minuten waren neu gestartete Rechner wieder mit diesen mysteriösen Prozessen überlastet.

Was war geschehen? Spätere Nachforschungen haben ergeben, dass gegen 15 Uhr Ostküstenzeit im Laboratorium für Künstliche Intelligenz am Massachusetts Institute of Technology (MIT) in Boston ein so genannter "Internet-Worm" einen dortigen Rechner befallen hat. Ein Worm hat Ähnlichkeit mit einem Computervirus, besteht jedoch aus einem eigenständigem Programm, das auf einem Rechner selbstständig Rechenprozesse startet und innerhalb von Minuten so viele Tochterprozesse startet, dass der Rechner unbenutzbar wird. Die einzige Aufgabe des Internet-Worms ist dabei, sich auf andere Rechner im Internet zu replizieren und hierzu die Rechenleistung des lokalen Rechners zu nutzen. Dabei ging der Internet-Worm folgendermaßen vor:

Auf einem Rechner wurde der Quellcode eines Programms übertragen, in maschinenlesbare Form umgewandelt und ausgeführt. Die Aufgabe des Programms war, sich ordnungsgemäß zu starten und vom Worm-Prozess, von dem es initialisiert wurde, Dateien zu empfangen. Die empfangenen Dateien enthielten wiederum Quellcode, der auf dem Rechner zu einem ausführbaren Programm gebunden wurde und seine Replizierung auf andere Rechner vornahm.

Zu Zwecke der Weiterverbreitung nutzte der Internet-Worm für seine Epidemie gleich mehrere Sicherheitslöcher der damals gängigen Betriebssysteme BSD UNIX 4.2 und 4.3 sowie dessen Derivate (z.B. SunOS) aus. Zum einen geschah das über den Finger-Dienst, in dem ein Parameter zu einem fehlerhaften Finger-Dämon übertragen wurde, dieser den vorhandenen Pufferspeicher überstieg und der zusätzlichen Parametercode einen Teil des Finger-Prozesses im Hauptspeicher überschrieb. Eine andere Vorgehensweise nutzte eine Falltür des SMTP-Programms Sendmail aus, die die Interpretation von E-Mail-Text als Befehlscode erlaubte. Die dritte Variante nutzte den Umstand aus, dass auf einem Rechner auch Prozesse von anderen Rechner ablaufen können, wenn der entfernte Rechner in einer bestimmten Datei auf dem lokalen Rechner als vertrauenswürdig eingestuft wird. Dieses Verfahren beruht auf Gegenseitigkeit und ermöglichte deshalb den Start von Prozessen auf anderen Rechnern. Die letzte Infizierungsvariante schließlich beruhte auf die Möglichkeit, Passwörter von Benutzern von lokalen Rechner zu knacken und mit diesen Zugangsdaten einen Prozess auf einem anderen Rechner innerhalb des Netzwerks zu starten. Wurden auf einem anderen Rechner dieselben Zugangsdaten verwendet, funktionierte dies.

Der Internet-Worm analysierte anhand lokaler Routing-Tabellen die Netztopologie und infizierte vornehmlich Rechner, die als Gateway fungierten und ideale "Schleudern" für weitere Infektionsziele waren. Nach vorsichtigen Schätzungen und statistischen Hochrechungen wurden rund 2.600 Rechner infiziert, rund 4 % aller damals im Internet angeschlossenen Rechner. Zwar wurden durch den Internet-Worm keine Dateien gelöscht oder Rechner beschädigt, trotzdem waren betroffene Rechner für einige Zeit unbenutzbar und Systemadministratoren entsprechend lange damit beschäftigt, sie von laufenden Worm-Prozessen zu befreien. Selbst Monate danach wurden auf einigen Rechnern ungewollt immer wieder schlummernde Worm-Ableger gestartet.

Als Autor des Internet-Worms wurde alsbald Robert Tappan Morris Jr. ermittelt, ein Student an der Cornell University, der am dortigen Institut Systemadministrator mit guten UNIX-Kenntnissen war. Im Herbst 1989 wurde Morris Jr. wegen Verdachts auf Computersabotage angeklagt und am 4. Mai 1990 zu drei Jahren Gefängnis auf Bewährung, 10.000 Dollar Strafe und 400 Stunden gemeinnütziger Arbeit verurteilt. Darüber hinaus musste er die Prozesskosten in Höhe von rund 150.000 Dollar tragen.

Der Internet-Worm bleibt auch weiterhin ein mysteriöser Vorfall in den frühen Jahren des Internet, der auf einen Schlag gezeigt hat, wie durch Ausnutzung kleinster Sicherheitslöcher die Integrität eines großen Netzwerks dramatisch gefährdet werden kann.

WERBUNG
Zum Beginn dieser Seite