Würmer: Was kann man gegen Würmer aus dem Internet unternehmen?
Würmer bedrohen Server und Netzwerke. Welchen Schaden diese Würmer anrichten und was ein Administrator dagegen tun kann, zeigt der folgende Beitrag, der im Sommer 2003 in PC-Professionell erschienen ist.
So recht Mitleid mochte niemand empfinden mit all jenen, denen der SQL-Wurm Slammer die Ports vor der Nase zugeschlagen hat. Der Wurm setzte sich im Januar diesen Jahres in Bewegung und legte im Nu das halbe Internet lahm. Das wirklich erschreckende: Die Sicherheitslücke, die Slammer ausnutzte, ist seit Juni 2002 bekannt. Zahllose Systemadministratoren haben versäumt, einen simplen Patch zu installieren, der Slammer unterbindet.
Slammer und anderes Server-Gewürm sind besonders unangenehme Varianten jener digitaler Zeitgenossen, die sich seit Jahren über Mail-Clients wie Outlook und Outlook Express verbreiten. Auch hier ernähren sich die Schädlinge von Ignoranz der User: Zwar hat der gemeine Windows-Benutzer Angst, Microsoft könnte durch eine einfache Verbindungasaufnahme das Innerste des Computers nach außen kehren und alle Daten nach Redmond übertragen. Doch vor lauter Paranoia vergessen viele, sich ein wenig um die eigene Sicherheit zu kümmern und ein paar simple Updates einzuspielen.
Wie arbeitet Slammer?
Doch zurück zu den Server-Würmern. Wie arbeitet ein Wurm, wie findet der Slammer seinen Weg in die Systeme? Er muss nicht suchen, sondern nur durch bekannte, offene Türen gehen. Denn verantwortlich für den Wurm-Schlamassel sind Sicherheitslücken in Programmen. Die ermöglichen, Speicherbereiche des Programmes zu überschreiben, eigenen Code darin zu platzieren und auszuführen. So geschah das auch im Fall von Slammer: Der Microsoft SQL-Server lauscht am UDP-Port 1433 auf Daten. Zusätzlich können mehrere weitere Server-Instanzen auf dem selben Computer laufen, die ihrerseits auf unterschiedlichen Ports auf Anforderungen warten. Ein "Resolution Service" genannter Verteiler nimmt auf Port 1434 Anfragen entgegen und leitet sie an die entsprechenden anderen Instanzen des Servers weiter. Und genau dieser "Resolution Service" hatte den Bug, der Slammer das Tor öffnete.
Slammer überschreibt einen Teil des Speichers mit eigenem Code. Der Code an sich ist nicht böswillig. Er zerstört keine Daten und eignet sich auch nicht, um Denial of Service-Angriffe auf andere Server auszuführen. Ebenso wenig versucht er eine Hintertür einzurichten, über die sich Eindringlinge im System breit machen können. Also eigentlich harmlos. Jedoch: Slammer möchte sich weiterverbreiten. Dafür generiert er mit Hilfe einer Kernel-Routine zufällige IP-Adressen und versucht diese wieder über den Port 1434 zu erreichen. An diese Adressen versendet er einen 376 Byte langen Replikations-Code. Das Resultat: Der Server geht in die Knie und das Netzwerk kollabiert unter der Last der Anfragen.
Die Abhilfe gegen Slammer war und ist einfach: Einfach den Server herunterfahren und das System neu starten. Der Wurm ist weg. Als allerdings Slammer unterwegs war, reichte dieses Verfahren nicht aus. Zusätzlich mussten die Admins die Ports 1433 und 1434 dicht machen, damit nicht ein neuer Slammer anklopft.
Zweite Maßnahme: Einen Patch einspielen, der den Programmfehler behebt und Slammer außen vor lässt. So ein Patch bedeutet nicht viel Aufwand. Deshalb: Wann immer Sie einen Microsoft-SQL-Server 2000 aufsetzen, installieren Sie das Service Pack 3 mit. Der enthält auch den notwendigen Patch.
Andere Würmer
Ein weiterer Wurm, der Microsoft-Server befiel, war Code Red. Auch Code Red basierte auf einer länger bekannten Sicherheitslücke im Index-Server des IIS 4 oder 5. Microsoft hatte schon einen Monat vor dem Angriff einen Patch bereitgestellt, der die entsprechende Sicherheitslücke schließt.
Das kleine Programm nistete sich im Sommer 2001 auf dem Internet Information Server von Microsoft ein und verursachte gleich auf mehreren Wegen Ärger. Auf englischsprachigen Systemen versuchte er, die Inhalte der auf dem IIS gehosteten Webseiten zu verändern. Außerdem versuchten bestimmte Varianten des Wurms, gemeinsam eine Attacke auf den Webserver des weißen Hauses zu starten. Dies hatten die Regierungs-Administratoren aber verhindert, indem sie die IP-Adresse abschalten, die Ziel des Angriffs war. Auch Code Red war an sich nicht so gefährlich. Er zeigte aber, wie schnell sich ein Wurm verbreiten konnte und welchen Schaden er zumindest theoretisch anrichten könnte.
Welche Sicherheitslücken existieren bei Linux?
Zu meinen, Linux sei sicherer als Windows, ist ein gefährlicher Trugschluss. Auch hier gilt es aufzupassen. Linux an sich ist zwar relativ sicher. Doch die zusätzlich mit Linux gelieferten Programme sind nicht frei von Fehlern. So machte jüngst Samba von sich reden. In der Version 2.2.8 ist es möglich, durch einen Programmfehler den root-Zugriff auf das System zu erlangen. Dieser Fehler wiegt vielleicht nicht so schwer, weil Samba selten gegenüber dem Internet exponiert ist. Doch man denke nur, welchen Schaden ein Hacker anrichten kann, der durch eine unzureichend konfigurierte Firewall eindringt und seinen Code in Samba unterbringt. Deshalb sollten Administratoren darauf achten, dass ihre Firewalls die UDP-Ports 137 und 138 sowie die TCP-Ports 139 und 445 zu blockieren. Abhilfe gibt es bereits: Die Linux-Distributoren haben aktualisierte Pakete, zudem gibt es ein Samba 2.2.8a zum Download auf www.samba.org.
Zweites Beispiel: Im vergangenen September machte ein Wurm namens Slapper von sich reden, auch bekannt als bugtraq.c oder Apache/mod_ssl worm. Dieser Wurm nutzte eine bekannte Schwachstelle in der Sicherheits-Software OpenSSL der Version 0.9.6.d und älter. Die ist unter anderem für das Herstellen abgesicherter Verbindungen zwischen Web-Server und Client zuständig. Betroffen waren Linux-Systeme auf Intel-Basis mit Apache-Webserver, die OpenSSL nutzen.
Der Wurm schicke zunächst eine ungültige GET-Anfrage an den Port 80 des. Hat er anhand der Antwort ein verwundbares System identifiziert, schickt er über einen anderen Port seinen Quellcode an das System und versucht daraufhin sich selbst zu compilieren. Ist das geschafft, versucht Slapper, sich selbst weiter zu verbreiten. Alleine der dadurch entstehende Traffic kann einen Server zum Zusammenbruch bringen. Ebenso kann der Wurm als Basis für Denial of Service-Angriffe genutzt werden oder dazu dienen, Zugriff auf das System zu bekommen.
Auch hier gilt es schnell zu reagieren und eine neue Version von OpenSSL einzuspielen. In manchen Fällen musste dazu Apache neu kompiliert werden. Den Patch gibt es auf den Homepages des Distributoren oder man holt sich die neue OpenSSL auf http://www.openssl.org/.
Angriffsziel: Offene Stellen
Die Beispiele zeigen: Angriffe richten sich meist auf bekannte Schwachstellen. Und davon gibt es ständig neue. Microsoft veröffentlichte Ende April eine Meldung über einen Bug im BizTalk Server 2002. Auch hier kann ein Buffer-Overflow dazu führen, dass fremder Code auf dem betroffenen Server ausgeführt werden kann. Derlei Informationen sind an der Tagesordnung. Und Server sind nicht nur direkt von Würmern bedroht, sondern auch indirekt. Beispiel Loveletter: Dieser Wurm griff zwar nur Client-Systeme an, zwang aber viele Administratoren, die Mailserver abzuschalten. Denn der Wurm vervielfältigte sich so stark, dass er viele Server verstopfte.
Was kann man tun?
Die erste Sicherheitsregel ist: Halten Sie Ihren Server auf dem neuesten Stand. Sehen Sie regelmäßig beim Hersteller Ihres Betriebssystems und der Zusatz-Software nach, welche Lücken erkannt wurden und ob es Software-Flicken dafür gibt. Installieren Sie die Patches unverzüglich - vergessen Sie aber nicht, vorher ein Backup Ihres Servers zu ziehen.
Windows und auch Linux-Distributionen wie Suse haben bequeme Update-Mechanismen: Per Mausklick oder mit ein paar Menübefehlen lassen sich Systeme ohne großen Aufwand auf den neusten Stand bringen. Falls kein automatisches Update zum Einsatz kommt, sollte man mindestens einmal in der Woche nach neuen Sicherheitsupdates sehen.
Besonders gerne wird vergessen, notwendige Updates zu installieren, wenn man einen Server neu aufsetzt. Denn meist verwendet man dafür ältere Installations-CDs, die die entsprechenden Patches noch nicht enthalten. Administratoren sollten neue Server erst dann ans Netz bringen, wenn sie alle Patches installiert haben. Das gilt übrigens auch für Client-Rechner im eigenen Netz.
Administratoren sollten alle nicht benötigten Dienste eines Servers abschalten. Falls ein Windows-Server nur als Fileserver dient, ist es zum Beispiel nicht notwendig, darauf den SMTP-Server oder den Internet Information Server laufen zu haben. Denn: wo Software nicht läuft, kann sie auch keine Angriffspunkte bieten.
Newsgroups und Seiten wie http://www.securitytracker.com/ halten sicherheitsbewußte Admins auf dem Laufenden über neue Sicherheitslücken. Außerdem lohnt es, sich auf den Mailing-Listen von Herstellern einzutragen, um Informationen über mögliche Lücken und Updates zu erhalten. Regelmäßige Informationen bei Anbietern von Antiviren-Software zu holen steht ebenfalls im Admin-Pflichtenheft. Auch hier gibt es Mailing-Listen, die über neue Bedrohnungen informieren.
In jedem Fall müssen Virenscanner an allen erdenklichen Gefahrenpunkten eingesetzt werden: Auf dem Desktop der User untersuchen sie möglicherweise per Diskette oder über einen Web-Mailer eingeschleppte Dateien. Am Mail-Gateway untersucht ein weiterer Scanner den laufenden Post-Verkehr und verhindert den Mail-Versand. Auch die Fileserver sollten von einem Viren-Tool kontrolliert werden.
Ebenso wichtig ist eine restriktive Firewall. Es gilt, nur Ports freizugeben, die wirklich vom Internet aus erreichbar sein sollen. Web-Server haben nur in einer Demilitarisierten Zone etwas zu suchen – so kann weniger passieren, falls der Webserver Wurmbefall bekommt.
Eventuell hilfreich ist es auch, ein Notfall-Szenario zu entwerfen, falls ein Server von Würmern befallen ist. Prüfis überlegen sich vorher, wie sie vorgehen: Server herunter fahren, Ports abknipsen, User warnen – all das geht schneller und ruhiger, wenn schon einen Notfallplan in der Schublade steckt. Im Zusammenhang damit gilt natürlich auch: Nur wer ein gutes Backup hat, kann solche Situationen halbwegs schadlos überstehen.
Kleiner Tipp am Rande: Ein Admin sollte sich auch über so genannte Hoaxes auf dem Laufenden halten, vermeintliche Virenmeldungen, die sich als schlechte Scherze entpuppen. Denn viele User schicken diese Warnmeldungen an ihren kompletten Mail-Verteiler – Panik breitet sich aus. Da ist es immer gut, wenn man den Hoax gleich entlarven und Entwarnung geben kann.
Was ist eine DoS-Attacke?
Bei einem ist Denial of Service-Angriff werden massenhaft Anfragen in manipulierten Paketen an einen Server oder Router geschickt. Aufgrund der Vielzahl der Anfragen kollabiert der Router oder Server und stellt seinen Dienst ein. Eine Spielart der DoS-Angriffe sind so genannte Distributed DoS-Attacken. Diese "verteilten" Angriffe gehen von mehreren Clients aus. Um solche Angriffe vorzubereiten muss ein Wurm zunächst versuchen, möglichst viele Clients unter seine Kontrolle zu bringen und von dort aus die Attacken starten.
Besonders gefährlich sind DDoS-Angriffe für E-Commerce-Seiten. Man stelle sich vor, wie viel Umsatz Ebay oder Amazon verloren geht, wenn die Seiten ein paar Stunden nicht erreichbar sind. Seit einem Angriff im Februar 2000 unter anderem auf Amazon, Ebay, Yahoo und CNN sind solche großen Unternehmen aber besser gesichert.
Auch für das eigene Firmennetz wäre ein solcher Angriff fatal. Denn liegt der E-Mail-Verkehr für einen halben oder einen Tag brach, ist die Kommunikationsfähigkeit des Unternehmens stark eingeschränkt. Die Netze und Internet-Verbindungen kleinerer Unternehmen haben einen Vorteil für jeden Angreifer: Oft sind sie nicht so gut abgesichert wie die High-Traffic-Seiten im Internet. Deswegen tut jeder Administrator wohl daran, sich seine Router und Server genau anzusehen und zu prüfen, ob das System anfällig ist gegen DoS-Attacken.
Was ist ein Wurm?
Diese Art Schädlingsprogramm unterscheidet sich von Viren und Trojanischen Pferden. Ein Wurm verbreitet sich selbständig in Netzwerken. Ein Virus hingegen befällt nur einzelne Computer und vervielfältigt sich nicht eigenständig über Netzwerke – außer ein Benutzer startet ein von Viren befallenes Programm von einem Netzlaufwerk aus und infiziert seinen eigenen Rechner damit. Das Trojanische Pferd tut so, als wäre es ein nützliches Programm und trägt meist einen Virus in seinem Bauch. Der Wurm braucht also ein Netz, um sich auszubreiten. Und welches Netz ist schöner als das Internet mit all seinen angeschlossenen lokalen Netzwerken. Mit dem Wachstum des Internet wächst auch die Verbreitung der Würmer.
