109874

Wurm bis zur Quelle zurück verfolgt

27.05.2005 | 15:54 Uhr |

Wissenschaftler identifizieren den Rechner, über den der Netzwerk-Wurm Witty freigesetzt wurde.

Der Witty-Wurm wurde im März 2004 entdeckt. Er breitet sich ausschließlich über Datenpakete aus, sendet weder Mails noch Dateien. Er nutzt dazu eine Sicherheitslücke in den Black-Ice-Produkten von ISS (Internet Security Systems). Der Wurm konnte innerhalb von 75 Minuten nach seiner Freisetzung über 12.000 Computer infizieren.

Die ICSI-Wissenschaftler Vern Paxson und Nicholas Weaver konnten nun zeigen, wie Witty dies gelingen konnte und woher er ursprünglich kam. Sie haben zusammen mit Abhishek Kumar vom Georgia Institute of Technology unter anderem auch den Pseudo-Zufallsgenerator untersucht, mit dem Witty die IP-Adressen zu infizierender Rechner erzeugt. Dabei stießen sie auf Design-Schwächen, die es ihnen ermöglichten, die IP-Adresse eines Computers in Europa zu ermitteln, über den der Wurm freigesetzt wurde.

Sie stellten dabei fest, dass der Wurm zunächst von "Patient Zero" (dem ersten Rechner) gezielt an eine Liste dem Programmierer bekannter Computer geschickt wurde, auf denen eine anfällige Version von Black Ice installiert war. Erst von diesen Rechnern aus breitete sich der Wurm an IP-Adressen aus, die über den Pseudo-Zufallsgenerator erzeugt wurden. Die IP-Adressen von Patient Zero und den ersten Opfern liegen in Bereichen, die dieser Zufallsgenerator nicht abdeckt.

Die Forscher folgerten daraus und aus weiteren Erkenntnissen, dass der Täter ein Insider bei ISS gewesen sein muss. Er wusste, dass auf den ersten 110 angegriffenen Rechnern, die sich alle auf ein und derselben Anlage des US-Militärs befanden, die anfällige ISS-Software installiert war. Er kannte die Sicherheitslücke und wusste, wie sie ausgenutzt werden konnte.

Bei der Untersuchung des Wurms wurden auch so genannte Internet-Teleskope eingesetzt, die alle durchlaufenden Datenpakete untersuchten und auf Zieladressen prüften, die in ungenutzten Teilen des Adressraums lagen. Da es zu solchen IP-Adressen keinen legitimen Datenverkehr geben konnte, musste es sich um Teile eines Angriffs handeln.

Die Forscher haben die Ermittlungsbehörden des nicht genannten europäischen Landes, in dem der mutmaßliche "Patient Zero" steht, über ihre Erkenntnisse informiert. Sie messen ihren Ergebnisse vor allem Bedeutung für die Analyse zukünftiger Wurmangriffe bei, da sie neue Methoden entwickelt haben, die dabei von Nutzen sein können. Die komplette Analyse ist in einen fünfzehnseitigen PDF-Dokument nachzulesen.

0 Kommentare zu diesem Artikel
109874