Melden Sie sich hier an, um auf Kommentare und die Whitepaper-Datenbank zugreifen zu können.

Kein Log-In? Dann jetzt kostenlos registrieren.

Falls Sie Ihr Passwort vergessen haben, können Sie es hier per E-Mail anfordern.

Der Zugang zur Reseller Only!-Community ist registrierten Fachhändlern, Systemhäusern und Dienstleistern vorbehalten.

Registrieren Sie sich hier, um Zugang zu diesem Bereich zu beantragen. Die Freigabe Ihres Zugangs erfolgt nach Prüfung Ihrer Anmeldung durch die Redaktion.

11.11.1988 - 

Die alte Geschichte vom Zauberlehrling in neuer Version:

Computervirus läuft Amok - 6000 Rechner betroffen

MÜNCHEN (bi) - Zwischen 6000 und 250 000 Rechner hätten, so eine Schätzung der International Data Group (IDG), von der jüngsten Virusinfektion in den USA befallen werden können, hätte nicht eine kleine Forscher-Crew innerhalb von 24 Stunden und in einer elektronischen Mitternachtsschlacht eine Gegenstrategie entwickelt. Infiltriert wurde der "Wurm" vermutlich zunächst über das Arpa- und dann das landesweite Science Internet. Beide Netzwerke werden vorwiegend von Forschungseinrichtungen der Streitkräfte und Universitäten genutzt.

Zirka 6000 Rechner, so die Meldungen, waren unmittelbar durch

die Seuche gefährdet, einige tausend definitiv mit dem Störprogramm infiziert. So prominente Institutionen wie

- die Raumfahrtbehörde NASA in Kalifornien,

- das Verteidigungsministerium in Washington,

- die Cornell-Universität in New York,

- die Carnegie Mellon University in Pittsburgh,

- die Hochschulen Stanford,

- Berkeley und

- Purdue sowie die Universitäten von

- Illinois und

- Wisconsin, aber auch ein

- Bellcore-Forschungszentrum in New Jersey und das berühmte

- MIT (Massachusetts Institute of Technologie) in Boston

und viele andere hatten stundenlang unter den Ausfallzeiten ihrer Systeme zu leiden oder werden mit dem Fall in Verbindung gebracht.

Die Systeme stürzten ab, weil wegen der Reproduktivität des Virus schließlich ihre Speicherkapazitäten verbraucht wurden: Dateien seien, so die Aussagen der Betroffenen, indes nicht zerstört worden. Dies veranlaßte Insider zu der Annahme, daß es sich bei dem Verursacher der Rechnerausfälle eher um einen gutartigen, respektive naiven Täter handele als um einen böswilligen Saboteur.

52 000 Computer schlagartig "ohne Saft"

Die Betonung auf "Harmlosigkeit" legt die Vermutung nahe, daß die Zerstörung von wesentlichen Datenbeständen nicht im Bereich des Unmöglichen gelegen hat, also Schaden ungleich größeren Ausmaßes hätte angerichtet werden können. Immerhin reagierte das NASA Ames Forschungszentrum im Silicon Valley mit der Unterbrechung sämtlicher Leitungen zu Rechenzentren anderer Forschungseinrichtungen. Konsequenz: 52 000 Computer-Anwender saßen schlagartig "auf dem Trockenen".

Zwar scheint dieser neuerliche Fall von Virus-Implantation in Rechner, beziehungsweise Netze, auf den ersten Blick noch ganz auf der Linie vorhergehender Hacker-Attacken zu liegen, selbst was die außerordentlich hohe Anzahl der Systeme anlangt. Beispielsweise umfaßt das weltumspannende IBM-Netz, das zum Jahreswechsel 87/88 unfreiwilliger "Wirt" des berühmt-berüchtigten Weihnachtsbaumgrußes, beziehungsweise eines "fröhliche Weihnachten" wünschenden Virus, war bei weitem mehr als 6000 Systeme. Auch vor Jahresfrist waren angeblich keine Dateien geschädigt worden, allerdings war das Netz wegen der Überlastung der TP-Monitore zeitweise völlig lahmgelegt.

Ungewöhnlich ist an dem aktuellen Fall also weniger die hohe Anzahl der betroffenen Rechner als vielmehr die Tatsache, daß dieses Virus nicht PCs der üblichen Größenordnung eines Kompatiblen oder auch Macintosh befallen hat, sondern auch größere Systeme. Namentlich genannt werden Vax- und Sun-Maschinen und zwar solche, die unter Berkeley Unix 4.3 liefen. Eine spezielle Version der Master Control Software machte es möglich, so schreibt das Wall Street Journal, daß sich das Virus durch "Löcher" in den letzten beiden Schleifen dieses Programms in die Systeme einschleichen konnte.

Zum Virus selbst heißt es, daß es bemerkenswert "umfangreich", "erfolgreich" und "clever" sei. Gereist ist der Störenfried, wie schon erwähnt, über das Weitverkehrsnetz Internet mit den Subsystemen Arpanet, Milnet sowie NSFnet und zwar unter dem Deckmäntelchen einer Electronic-Mail-Anwendung. Immerhin war das clevere Virus dennoch innerhalb von 24 Stunden entdeckt und unter Kontrolle. Allerdings, so das Wall Street Journal, sind die Wissenschaftler keineswegs sicher, daß der Zauber endgültig vorüber ist und der Infekt nicht wieder in irgendeinem Forschungscomputer neu "ausbricht".

In fliegender Hast wurde in Berkeley ein "Impfstoff" entwickelt. Nachdem dort unter härtesten Bedingungen, bei klingelnden Telefonen - Marine und Luftwaffe verlangten

Auskunft -, dazu in einem kleinen Raum, gespickt mit sechs Computern, sechs Bildschirmen und ungefähr einem dutzend Menschen, endlich der fragliche Code des Mailsystems gefunden war, wurden - ebenfalls von dort aus - die diversen Forschungszentren darüber informiert wie das Software-"Loch" zu "stopfen" sei. Dies erwies sich aber nur als eine erste Hilfe, berichtet der 23jährige Berkeley-Senior Scott Silvey. Das Virus war lernfähig, es entwickelte nämlich eine gewisse Immunität. Also mußten zusätzliche Abwehrmethoden gefunden und diese wiederum verbreitet werden, um die zahlreichen bereits befallenen Rechner wirksam desinfizieren zu können. Nachdem die kleine Crew in Cupertino schließlich wußte, wie der gesamte Infektionsvorgang ablief, starteten mehrere Team-Mitglieder eine zusätzliche Telefonaktion. Sie riefen, auch mitten in der Nacht, Freunde und Kollegen mit PCs an, die dann von zu Hause aus das Antivirusprogramm in ihre Systeme am Arbeitsplatz einspeisten - eine Prozedur, die zirka eine Stunde in Anspruch nahm.

Zauberlehrling: Robert Morris jr.

Ausgelöst hatte diese elektronische Mitternachtsschlacht, so berichtet Associated Press, vermutlich der Sohn eines Chefwissenschaftlers des Nationalen Instituts für Computersicherheit in Bethesda bei Washington. Der 23jährige Student Robert Morris jr. habe, wie die New York Times schreibt, nur experimentieren wollen, das Störprogramm in das Arpa-Netz eingeschleust, dann aber die Kontrolle darüber verloren. Hochschullehrer Stuart Lynn spricht von Unterlagen des Studenten, in denen Codewörter entdeckt worden seien, die ihm den Zugang zu Rechnern der Universitäten Cornell und Stanford verschaffen konnten, welche er aber nicht hätte kennen dürfen. Ferner sei allgemein bekannt gewesen, daß der Doktorand ein Decodierprogramm geschrieben habe.

Sohn knackt das Programm seines Vaters

Das "Mitternachtsvirus" nun, das - so nur die Vermutungen -der junge Morris entwickelt haben könnte, überwand das Sicherheitssystem eines Programmes, das Vater Morris entwickelt hatte, welches der Sohn aber angeblich nicht gekannt hat. Dies jedenfalls teilte ein Informant der New York Times mit.

Wie so häufig bei Hacking-Fällen sind die Sympathien der Insider auf der Seite des mutmaßlichen Verursachers. Ein Informatiklehrer der Cornell University interpretiert, daß der Täter wohl nichts Böses in Sinn gehabt habe; wenige zusätzliche Lines of Code hätten nämlich genügt, die Daten in den Speichern der attackierten Rechner zu löschen. Außerdem habe Morris, nachdem ihm das Experiment aus dem Ruder gelaufen sei, versucht den Schaden zu begrenzen und einen Freund gebeten, stellvertretend Alarm zu schlagen.

Morris sr. bezeichnete das "Versuchs-Virus" als das "Werk eines gelangweilten, fortgeschrittenen Studenten"; sein Sohn sei im übrigen gegenwärtig nicht zu erreichen.