Slammer-Attacken – der neue ‚Way of Life‘ des Internet?

Diese Probleme wurden nicht durch eine spezifische Funktion innerhalb des sich selbst replizierenden Programms verursacht, sondern durch die Tatsache, dass der Wurm einen Schwachpunkt der meisten Unternehmenssysteme angriff – die Datenbank.

„Es kann Millionen von Nutzern weltweit geben, die Informationen aus dieser Datenbank benötigen“, so Phyllis Schneck, Vorsitzende des nationalen Vorstands der FBI InfraGard, dem Äquivalent zum Rotary Club in der Sicherheitswelt. „Diese Leute sind vielleicht nicht selbst verwundbar, da sie aber mit der Datenbank in Kontakt stehen, sind sie betroffen.“

Genau dies geschah mit der Bank of America, deren Geldautomaten in den Morgenstunden des 25. Januar plötzlich kein Geld mehr ausgaben. Der Grund: Das bloße Datenvolumen, das die mit Slammer infizierten Server produzierten, verstopfte die Datenbanken im internen Netz der Bank.

„Wenn jemand einen Geldautomaten benutzt, kommuniziert er (der Geldautomat) mit Datenbanken in unseren internen Netzen“, so Lisa Gagnon, eine Sprecherin der Bank. „Da das Netzwerk so verstopft war, konnte diese Kommunikation nicht stattfinden.“

Analysen des Programms ergaben, dass ein einziger infizierter Server, der Kopien des Wurms versandte, theoretisch in der Lage war, eine Bandbreite von 100 Mbps Ethernet zu verstopfen.

Am Abend des selben Tages waren die meisten Geldautomaten der Bank wieder funktionsfähig. Das Unternehmen lokalisierte zwar den Eintrittspunkt, wollte aus Sicherheitsgründen aber keine Angaben dazu machen, wie der Wurm in das Netzwerk gelangt war. „Entweder hat der Patch versagt, oder wir haben bei der Anwendung des Patches einfach einige Server vergessen“, sagte Gagnon. „Wir werden analysieren, was wir tun können, um zu gewährleisten, dass so etwas nicht wieder geschieht.“

Leichter gesagt als getan. Selbst der Technologie-Riese Microsoft war nicht vollständig auf den Wurm vorbereitet, und das obwohl er sich seit einem Jahr auf die Verbesserung der Unternehmens- und Software-Sicherheit konzentriert hat.

Innerhalb von Microsofts internen Informationstechnologie-Gruppen kursierten E-Mails, die CNET News.com später zu Gesicht bekam und die auf eine chaotische Szene bei der Bekämpfung der SQL Slammer-Attacke hinwiesen.

„Alle Anwendungen und Services sind potenziell betroffen, und die Performance ist bestenfalls sporadisch“, schrieb Mike Carlson, Betriebsleiter des Datenzentrums bei Microsofts Information Technology Gruppe, in einer E-Mail, die am 25. Januar um 8.04 Uhr (Pacific Standard Time) verschickt wurde. „Das Netzwerk ist im Grunde mit Traffic überschwemmt, wodurch es schwierig ist, Details über die Auswirkungen zu sammeln.“

Rick Devenuti, Microsofts Chief Information Officer, sagte, der Software-Riese habe einige schwierige Lektionen lernen müssen.

Das Unternehmen hatte zwar seine Netzwerke gestärkt, es aber versäumt, die Verbindungen zwischen den Gebäuden an allen Ports zu kappen – den Software-Adressen, an denen manche Anwendungen auf Daten vom Netzwerk lauschen. Der Wurm fand seinen Weg zu einem angeschlossenen Port und konnte sich, da die Gebäude nicht isoliert worden waren, über das ganze Gelände ausbreiten.

„Für den Anfang braucht es nur einen Computer“, sagte Devenuti letzte Woche in einem Interview. „Es ist schwierig, jeden Computer jederzeit 100 Prozent gepatcht zu halten. Wir arbeiten hart an der Vereinfachung des Patch-Managements, aber 100 Prozent ist ein hohes Ziel, und in diesem Fall haben wir es nicht erreicht.“