Sie sind hier:  AIB V3 > PC-Wissen > Internet & eMail > Grundlagen > Der Internet-Wurm 

Der Internet-Wurm

Mit dem Internet-Wurm ("Morris-Wurm") vorlor das Netz seine Unschuld. Am Nachmittag des 2. Novembers 1988 wurde dieser von seinem Programmierer, Robert Tappan Morris, freigesetzt. Zu dieser Zeit war Morris noch Student an der Universität von Cornell. In der Folge wurden ungefähr 6.000 Computer weltweit lahmgelegt. Entdeckt wurde das Programm nur durch einen Programmierfehler.

Irgendwann entdeckte Morris im Berkley UNIX zwei Fehler, die nicht autorisierten Zugriff auf Maschinen im gesamten Internet ermöglichten. Damals umfaßte das Netz schon zirka 60.000 Computer. Wieso Morris den Wurm geschrieben hat, ist nicht klar. Auch wurde nicht untersucht, ob es sich nur einen verunglückten Test oder böse Absicht handelte.

Technisch betrachtet bestand der Internet-Wurm aus zwei Programmen:

  • Der Bootstrap
    Dieses kleine C-Programm wurde auf dem angegriffenen System compiliert und dann ausgeführt. Es stellte eine Verbindung zu dem Rechner her, von dem es kam und lud von dort das eigentliche Wurm-Programm und startete es.
  • Der Wurm
    Dieser tarnte sich dann als Shell, um nicht erkannt zu werden. Er untersuchte die Routing-Tabelle des Rechners, um herauszufinden, mit welchen anderen Computern dieser verbunden war, um dorthin das Bootstrap-Programm zu verbreiten.

Um den nicht autorisierten Zugriff zu neuen Computern zu bekommen, um dort dann das Bootstrap-Programm zu compilieren und zu starten, hatte der Internet-Wurm vier Methoden:

  • fingerd
    Eine bestimmten Funktion der Standard-C-Bibliothek, welche die Länge der Parameter nicht überprüft, wurde im FINGER-Daemon verwendet. Beim Aufruf des Daemon auf einem Remote-Rechner durch einen aktiven Wurm-Prozeß wurde eine Zeichenkette als Parameter übergeben, deren Länge den zur Verfügung stehenden Puffer-Bereich überstieg. Dadurch wurden Teile des Daemon-Prozesses im Hauptspeicher überschrieben, darunter auch die Rücksprungadresse der gerade ausgeführten Funktion. Die neue Rücksprungadresse zeigte auf einen Teil des überschriebenen Speichers, in dem jetzt eine Shell mit den Rechten des Daemon aufgerufen wurde. Mit dieser Shell wurde dann eine Kopie der für den Start des Wurms auf diesem Rechner benötigten Dateien übertragen und ausgeführt.

  • sendmail
    Auch dieser Fehler war bereits bekannt; nur ein Teil der Systeme wies ihn noch auf. Die betroffenen Versionen dieses Mail-Daemon waren mit der Debug-Option kompiliert worden. Dabei wurde eine durch den Entwickler eingebaute Falltür aktiviert, die auf dem Remote-System die Interpretation einer über Electronic Mail empfangenen Nachricht als Befehl erlaubte. So konnte ein Wurm-Prozeß auf einem Remote-Rechner eine Shell starten.

  • rsh
    Eine wichtige Eigenschaft vieler UNIX-Systeme ist das Konzept des "distributed trust", das mit den sogenannten 'r'-Protokollen der BSD-Implementation eingeführt wurde. Inzwischen werden diese Protokolle auch in anderen UNIX-Derivaten eingesetzt. Mit ihrer Hilfe ist es möglich, auf anderen Rechnern bestimmte Befehle oder eine Remote-Shell aufzurufen, wenn der lokale Rechner dort als vertrauenswürdig eingestuft ist. Diese Einstufung erfolgt durch den Eintrag der Rechnernamen in eine spezielle Datei. Da in der Regel eine solche Einstufung auf Gegenseitigkeit beruht, versuchte der Wurm-Prozeß, auf den in der lokalen Datei angegebenen Rechnern eine Remote-Shell zu starten.

  • Paßwörter knacken
    Durch die Möglichkeit, auf die gespeicherten Benutzer- Identifikationen und die zugehörigen, verschlüsselten Paßwörtern zuzugreifen, konnte der Wurm-Prozeß einen Brute-Force-Angriff auf einen Account durchführen. Gelang es, durch Ausprobieren ein Paßworts herauszubekommen, wurde mit damit versucht, auf einem anderen Rechner des Netzwerks eine Shell zu starten. Dies gelang, wenn der jeweilige Benutzer auf diesem Rechner das gleiche Paßwort verwendete. Da sein Vater als Sicherheitsexperte bei der National Security Agency 10 Jahre zuvor einen Bericht über genau dieses Thema geschrieben hatte, brauchte Morris nicht viel Erfahrung in diesem Bereich.

Die Entdeckung des Wurm beruht auf einem kleine Denkfehler von Morris. Der Wurm hat so gearbeitet, daß er nur Computer angriff, die nicht schon vom Wurm befallen waren. In einem von 15 Fällen sollte trotzdem ein Wurm gestartet werden, um sicherzustellen, daß der Wurm nicht stirbt (z. B. bei Vortäuschung eines Wurmbefalls). Leider wurde in 14 von 15 Fällen der Wurm repliziert, so daß einige Computer so stark an Leistung verloren, daß die Administratoren aufmerksam wurden.

Gefaßt wurde Morris durch einen Versprecher einer seiner Freunde während eines Interviews. Dieser erzählt dem Reporter von der New York Times, daß der Wurm nur ein Unfall war und es dem Autor leid tut. Dabei rutscht ihm der Benutzername heraus, so daß es nicht mehr schwer war, den wirklichen Namen zu ermitteln. Das Gericht verurteilte Morris zu $ 10000 Strafe, 3 Jahren Haft und 400 Stunden gemeinnützige Arbeit. Zusätzlich entstanden $ 150.000 Gerichtskosten.

Nach der Verurteilung von Morris gab es eine große Kontroverse. Teils wurde die Meinung vertreten, er sei intelligenter Student, der nur etwas gespielt habe. Von anderen wurde er für einen Kriminellen gehalten, der ins Gefängnis müsse.
Als unmittelbare Folge wurde im Dezember 1988 ein sogenanntes "Computer Emergency Response Team" (CERT) ins Leben gerufen. Heute kontrolliert das CERT Coordination Center die Tätigkeit verschiedener CERTs. Es gibt eine Telefon-Hotline und verschiedene Publikationsorgane, die auf Sicherheitslücken hinweisen und den Anwendern Hilfestellung geben. Nach dem Vorbild der CERTs wurden seitdem weltweit ähnliche Gruppen aufgebaut.

Spam-Server "Grum" abgeschaltet

Für alle die sich schon immer über zuviel Spam im Postfach geärgert haben gibt es eine gute...

TYPO3 Version 4.7 verfügbar

Die finalen Version des TYPO3 CMS Version 4.7 ist veröffentlicht worden. In TYPO3 4.7 wurde...

Schleusingen jetzt mit UTMS versorgt

In Schleusingen ab sofort mit bis zu 42,2 Megabit pro Sekunde im Internet surfen....

neuer RC TYPO3 4.7 veröffentlicht

Der neue Release-Kandidat 2 von TYPO3 4.7 wartet mit einer Vielzahl neuer Funktionen auf, außerdem...

TYPO3 4.4.12, 4.5.8 und 4.6.1 sind online

Heute wurde bekannt gegeben, dass ab sofort TYPO3 4.4.12, 4.5.8 und 4.6.1 zur Verfügung stehen. Es...

Das Hennebergische Gymnasium Schleusingen hat eine neue Website !

Nach langen Wochen der Erstellung und Redaktionsschulung ist die neue Website www.gym-schleusingen...