Forums Neueste Beiträge
 

"Witty" greift an!

30/09/2008 - 18:45 von Harry Piel | Report spam
Die Geschichte ist zwar schon ein Weilchen her, aber doch symptomatisch
für die steigende Internet-Kriminalitàt , auch unter konkurrierenden
Firmen weltweit.


Das börsennotierte US-Sicherheitsunternehmen ISS (Internet Security
Systems )
hatte in 2004 schlechte Umsàtze, die Kurse fielen.


Die Experten der Konkurrenzfirma "eEye" entdeckten schwer wiegende Sicher-
heitslücken in verschiedenen ISS-Produkten. Es dauerte gerade mal 8 Tage,
bis ISS mithilfe eines Patches die Lücke geschlossen hatte.


Bis zur nàchsten Hiobsbotschaft vergehen mal grade 10 Tage. eEye hat erneut
eine
gefàhrliche Sicherheitslücke in den sog. "Intrusion Detection Systems" der
Firma
ISS entdeckt. Betroffen sind die Schutzprogramme "BlackICE" und "Real
Secure".

Weiderum 10 Tage spàter veröffentlichen ISS und eEye gemeinsam Details
und legen gleichzeitig das frisch programmierte Sicherheits-Update vor.

Was die Manager von ISS zu diesem Zeitpunkt noch nciht wissen können,
Das Schlimmste steht ihnen noch bevor.

Denn nur knapp 36 STunden spàter wird der Wurm "Witty" freigesetzt, genau
am 19.Màrz 2004 .

Witty kommt sekundenschnell auf Touren. 10 Sekunden, nachdem das "Internet-
teleskop" in San Diego die ersten Witty-Datenpakete aufgefangen hat, sind
bereits 110 Computer infiziert. 45 Minuten nach seinem Start ist Wittys Ver-
breitung so gut wie abgeschlossen, 12000 Rechner, auf denen die anfàllige
ISS-Software làuft, sind getroffen.

Witty war ein schlanker Wurm, gerade mal 800 Bytes gross und gehört zur
Klasse der dateilosen Würmer, die sich in Form manipulierter Datenpakete
direkt übers Internet verbreiten.

Wittys Programmierer verzichten in ihrem Code auf jeden Ballast, der einzige
Luxus, den sie sich leisten, ist die Zeichenkette "insert witty message
here".

Zwei AUftràge soll Witty erfüllen:

- Infiziere möglichst viele Rechner mit ISS-Software,
(schnelle Fortpflanzung )

- zerstöre anschließend das System.



Zunàchst aktiviert der Wurm seinen eingebauten Zufallsgenerator und
generiert
20000 zufàllige IP-Adressen, an die er sich umgehend versendet.


Danach widmet er sich seinem Zerstörungswerk. Er überschreibt zufàllig
ausgewàhlte Bereiche auf den HDs , solange, bis das System unbrauchbar
wird und abstürzt.



Die wichtigste Frage kommt nun:


Wer hat Witty geschaffen und mit welcher Absicht?

In diesem Fall war die Lösung offensichtlich vergleichsweise
einfach!


Die Wissenschaftler Kumar, Paxson und Weaver vom "Georgia
Institute of Technology" und vom "International Computer Science
Institute" haben sich den Urhebern erstaunlich genàhert.


Sie analysierten das Wurm-Programm per "reverse engineering" und
konzentrierten
sich auf den Generator. Sodann verfolgten sie den Weg zurück durchs Netz
und fanden
heraus, dass der Ausgangsrechner in Europa stand. Seine IP-Adresse gehörte
zum IP-Adressen-Kontingent eines europàischen Internet-Providers.


Witty wurde von seinem Entwickler auch nicht wahrlos, sondern gezielt an 110
Erstverbreiter geschickt. Die IP-Adressen lagen aber ausserhalb des
Bereiches,
die der Zufallsgenerator generieren konnte, d.h., die ersten 110 Rechner
müssen dem Urheber bekannt gewesen sein. Damit hatte er sich
verraten!!


Alle 110 Rechner befanden sich auf einer US-amerikanischen Militàrbasis. Die
Frage
nach dem Urheber von Witty liess sich damit auf einen ganz bestimmten ,engen
Personenkreis eingrenzen, einen ehemaligen oder seinerzeit noch tàtigen
Mitarbeiter des US-Unternehmens ISS, ein Verdacht, zu dem die Firma
ISS bis zum heutigen Tag jeden Kommentar ablehnt.




Quellen:

1.) Liane Cassavoy, "Web of crime. Internet Gangs Go Global.

2.) Carrie Kirby, "Online Crime: A Booming Business"

3.) Computer Crime Research Center,
http://www.crime-research.org
 

Lesen sie die antworten

#1 Heinz H. Krause
01/10/2008 - 11:40 | Warnen spam
"Harry Piel" schrieb im Newsbeitrag
news:

...mal wieder Erbauliches.

Nur was will uns der Hau-Ruck-Schauspieler aus den 30gern damit sagen?
Copy-Paste Beitràge sind immer besser als nischt, oder?

°</;-) Heinz H. Krause

Ähnliche fragen