Seite 2: Multiplikatoren

Inhaltsverzeichnis

Multiplikatoren

Unsere Untersuchung an über 12.000 zufällig ausgewählten Mail-Servern hat ergeben, dass sich circa 5 Prozent dieser Systeme derart missbrauchen lässt. Diese Server akzeptieren alle Mails für ihren Domainnamen, haben keine erkennbare Obergrenze der Empfängeranzahl pro Mail und generieren pro ungültigen Empfänger eine NDN inklusive Kopie des Originals mit allen Attachments. Bei größeren Organisationen sieht das Verhältnis noch schlechter aus. So lassen sich sehr viele Mailserver namhafter staatlicher Behörden im In- und Ausland sowie circa 30 Prozent der Fortune-500-Firmen für solche NDN-Attacken missbrauchen.

Folgendes Beispiel zeigt die Dimension dieser Schwachstelle: In einem Experiment wurde an 105 Server je eine Mail mit 1000 ungültigen CC-Adressen und einem 10-KByte-Attachment verschickt. Das Gesamtvolumen des Versands betrug 3,6 MByte. Innerhalb weniger Stunden generierten diese Server über 80.000 Mails mit einem Gesamtvolumen von über 1,2 GByte. Diese 80.000 Mails hätten einen beliebigen Mail-Server unserer Wahl treffen können.

Außerdem könnte man dabei die Größe und Zahl der Mails noch weiter nach oben setzen. Als Worst-Case-Szenario stelle man sich einen Wurm vor, der aufgrund der beim User gefundenen Mail-Adressen gezielt solche Mails versendet und damit eine wahre NDN-Lawine durchs Netz rollen lässt.

Eine Analyse der untersuchten Systeme lässt folgenden Schluss zu: Vor allem Organisationen mit mehrstufigen Mail-Systemen sind anfällig. Die Untersuchung zeigte klar, dass besonders die gängigen Anti-Spam- und Antivirus-Gateway-Produkte missbraucht werden können, wenn nicht ein vorgelageter Mailserver ungültige Mails ablehnt. Aus den Daten der Experimente ergibt sich folgende Top-10-Liste der Mail-Server die jeweils mehr als eine NDN verschickten:

• Microsoft Exchange (Exchange Server 5.5 + MS SMTP Service)
• Sendmail (bis und mit 8.12.11)
• Qmail
• Interscan (Trend Micro - Interscan Viruswall)
• WebShield (McAfee SMTP Gateway)
• MailMarshal (NetIQ SMTP Gateway)
• Postfix
• Symantec Antivirus SMTP Gateway
• Mercur
• Exim

Diese Versionen wurden aus den Received-Zeilen der NDN-Mails ermittelt. Erste Tests zeigten, dass gängige Mail-Server wie Sendmail, Postfix und Exim in ihrer Standardkonfiguration nur jeweils eine NDN mit allen ungültigen Empfängeradressen versenden. Dass diese Server trotzdem in unserer Liste auftauchen, legt den Schluss nahe, dass hier eine Wechselwirkung mit anderen Programmen für die unerwünschte Vervielfachung sorgt. So könnten beispielsweise zusätzliche Virenscanner eine einzelne Auslieferung der Mails erzwingen. Weitere Tests werden dies genauer untersuchen müssen.