Auf dem IT-Seziertisch: Das Phänomen Slammer

EnterpriseSicherheit

Zweite Wurm-Welle in den Unternehmen droht

“Der Slammer-Virus war eigentlich nichts neues. Von Struktur und Wirkungsweise ist er sehr ähnlich dem Code Red aus dem vergangenen Jahr.” Mit diesem Resümee schaut Sicherheitsberater und Virenexperte Toralv Dirro von Network Associates auf das vergangene Wochenende zurück, als der neue Wurm mit seinen gerade mal 376 Byte das Internet in weiten Teilen lahm legte.

Gerade wegen der einfachen Mittel sorgt der Wurm immer noch für Diskussionsstoff – obwohl er keine Dateien oder sonstigen Inhalte gelöscht oder korrumpiert hat. Es lohnt sich also, die Hintergründe und Details noch einmal genau unter die Lupe zu nehmen:

Im Gespräch mit silicon.de weist Dirro darauf hin, dass Slammer sich eben nicht über TCP verbreitet hat, sondern über UDP, ein verbindungsloses Protokoll. Der Wurm muss also nie auf eine Antwort vom Zielrechner warten und kann sich so sehr schnell verbreiten. UDP wird aber vor allem dazu verwendet, Onlinespiele aufzusetzen, ist also nichts ungewöhnliches.

Die Experten von Network Associates nehmen an, dass sich Slammer innerhalb von 5 bis 6 Minuten weltweit verbreiten konnte. “Schneller geht’s wohl wirklich nicht.” Zu diesem Zeitpunkt am frühen Samstag Morgen hatte der Wurm wahrscheinlich bereits 200 000 Rechner mit Microsofts SQL 2000 Server infiziert. Prinzipiell sei das nicht so ungewöhnlich , so Dirro, “aber ich war schon schockiert, wie viele SQL-Maschinen für den Wurm erreichbar waren”, also ungeschützt und “platt” am Netz hingen.

Zum Verständnis wichtig ist außerdem, dass der Wurm schlicht und einfach die gesamte Rechenzeit des befallenen Systems für sich beansprucht und nicht mehr freigibt. Wenn denn die Systeme Alarm ausgelöst haben, dann waren die Rechner über Remote-Zugänge in der Regel wohl nicht mehr zu erreichen, meint Dirro weiter.

In den ersten Stunden der Slammer-Verbreitung wurde dann auch noch gemutmaßt, dass gleichzeitig eine erneute Denial-of-Service-Attacke auf das DNS-System laufen könnte, weil die Antwortzeiten derart lange wurden. “Aber das war wohl nur ein Nebeneffekt”, so Dirro. Für maximal 12 Stunden liegen die notwendigen Informationen im Cache der DNS-Server. Hätte Slammer seinen Daumen länger auf das Web drücken können, wäre das Netz wohl vollständig zusammengebrochen.

Welche Lehren und Schlüsse lassen sich aus all dem ziehen? Dirro moniert vor allem, dass es in allzu vielen Unternehmen noch immer keine sauberen Richtlinien gibt, an die sich der überlastete Admin halten könnte. “Was muss rein, was darf raus?” Mit einer Kombination von Desktop-Firewalls und Antivirensoftware könnten 80 Prozent aller Massen-Mailer gestoppt werden, Würmer sogar zu 95 Prozent. Die Desktop-Firewall ist allerdings ein relativ neues Produkt, weil die Anforderungen im Netzwerk hier unvergleichlich höher sind als am Heim-PC.

Für den Administrator sei aber schon allein die Zahl der Sicherheitsbulletins nicht mehr zu bewältigen, meint Dirro. “Allerdings kommen die nicht nur von Microsoft, sondern inzwischen auch mehr und mehr von den Linux-Distributoren.” Wenn dann vom zuständigen Softwarehersteller ein Hotfix angeboten wird, dann sollte man sich Zeit nehmen, um zu entscheiden, ob der schnell gestrickte Patch überhaupt notwendig ist, rät der Experte.

Slammer ist aber auch noch für eine andere Erkenntnis gut: Die Bedeutung von Viren auf Dateibasis nimmt immer weiter ab. Gleichzeitig ist aber noch die der Großteil der Software zur Abwehr von Malware allein darauf dressiert, Dateien zu durchforsten. Hier müssen also die Hersteller von Antivirensoftware ihre Anstrengungen verstärken.

“Slammer wird uns noch eine ganze Weile beschäftigen”, warnt Toralv Dirro. Die erste Welle sei zwar einigermaßen überstanden. Gefahr drohe jetzt aber beispielsweise von den Laptops externer Mitarbeiter, die den Wurm einschleppen, wenn ihre Rechner im Standby-Modus den Inhalt des Arbeitsspeichers aufrecht erhalten – und damit auch Slammer am Leben. Der Admin steht also weiter unter Druck, SQL-Server nun endlich zu patchen und eventuell noch existierenden Slammer-Exemplaren mit einem Re-Boot das Licht auszuknipsen.