Würmer: Infektion des Internet in 30 Sekunden

Code Red brauchte noch rund 24 Stunden, um circa 300.000 Server zu infizieren. Doch neue Analysen behaupten, dass so genannte Flash-Würmer innerhalb von weniger als einer Minute nahezu alle verwundbaren Systeme des Internet infizieren könnten.

Die erste Code-Red-Version suchte unsystematisch auf zufälligen IP-Adressen nach weiteren Opfern. Allerdings sorgte ein dummer Fehler dafür, dass sich die Verbreitung in Grenzen hielt: Der Programmierer hatte den eingebauten Zufallszahlengenerator mit einem statischen Wert initialisiert, sodass alle Ableger des Wurms dieselben Zufallszahlen erzeugten und deshalb immer wieder versuchten, dieselben Systeme zu infizieren.

Die folgende Variante (Code Red Version 2, CRv2) korrigierte diesen Fehler und erzeugte mit dynamischen Initialisierungswerten auf jedem befallenen System andere Adressen für die Scans. Doch die rein zufällige Vorgehensweise zeigte zwei Nachteile. Zum einen dauert es vergleichsweise lange, bis ein Wurm eine signifikante Verbreitung erreicht, zum anderen sinkt die Verbreitungsrate danach sehr schnell wieder, weil es immer schwieriger wird, neue, noch nicht infizierte Opfer zu finden. Code Red benötigte am 19.7. rund 12 Stunden um 10.000 Server zu infizieren, in den folgenden vier Stunden verbreitete er sich auf über 300.000 Systeme. Danach nahm die Rate der Neuinfektionen wieder ab.

Dass dies nicht daran lag, dass es keine verwundbaren Systeme mehr gab, zeigte Code Red II. Diese Variante tauchte Anfang August auf und ging schon etwas cleverer vor: Der Wurm überprüfte bevorzugt den Adressraum in dem er sich selber befand – also Adressen aus denselben /8-, /16- und /24-Netzen. Nur ein Achtel seiner Zeit verbrachte er damit, völlig zufällige Adressen zu testen. Damit erreichte der Wurm bessere Abdeckung des Adressraums und konnte nochmals hunderttaussende Systeme infizieren.

In seiner Veröffentlichung behauptet nun Nicholas C. Weaver, dass ein "Warhol Worm" mit besseren Verbreitungsroutinen weniger als eine Stunde bräuchte, um alle potenziellen Opfer zu infizieren. Dies erreicht er vor allem mit Hilfe einer vorher erstellten Liste von 50.000 verwundbaren Rechnern und durch verbesserte Suchalgorithmen.

Silicon Defense treibt das makabre Spiel noch ein Stück weiter: In "Flash Worms: Thirty Seconds to Infect the Internet" stellen die Autoren fest, dass es kein Problem sei, vorab eine nahezu komplette Liste aller verwundbaren Systeme zu erstellen. Dazu bräuchte man lediglich eine etwa 48 MByte große Tabelle, die die geschätzten 12 Millionen Web-Server und die darauf laufende Software auflistet. Eine solche Liste ließe sich beispielsweise mit Web-Spiders, wie sie auch Suchmaschinen benutzen, leicht erstellen. Damit könnte dann ein Flash-Wurm in Sekundenschnelle quasi das gesamte Internet infizieren – beziehungsweise den von der gerade aktuellen Sicherheitslücke betroffenen Teil. Man darf wohl getrost davon ausgehen, dass solche Listen bereits existieren oder gerade erstellt werden. Die Chancen, solche Aktivitäten zu entdecken, sind bei vorsichtiger Vorgehensweise äußerst gering.

Ein interessanter Aspekt des Weaver-Papiers ist der Hinweis, dass neben Web-Servern auch Messenger-Programme wie der AOL-Messenger oder Peer-to-Peer-Software wie Napster-Clients als Wurm-Opfer geeignet sind. Damit wären nicht mehr nur Server-Betreiber sondern auch Endbenutzer gefährdet. (ju)