Forscher weist Verantwortung für Slammer-Wurm von sich

Dem Sicherheits-Forscher, dessen Code wahrscheinlich als Grundlage für den kürzlich aufgetretenen SQL Slammer-Wurm verwendet wurde, zufolge spielt derartiger Beispielcode „eine wichtige und nützliche Rolle“ für die Internetsicherheit. Deshalb werde er Code dieser Art auch weiterhin veröffentlichen.

David Litchfield von NGS Software räumt ein, dass Proof-of-Concept-Code, den er geschrieben hat, um ein Sicherheitsleck in Microsofts SQL-Software aufzudecken, wahrscheinlich als Vorlage für SQL Slammer diente – ein Wurm, der auch unter dem Namen Sapphire bekannt ist und vor zwei Wochen Unternehmensnetzwerke, Websites und sogar Geldautomaten und Flughafen-Computersysteme lahmlegte. Letzte Woche schrieb er in einer E-Mail an die Bugtraq-Sicherheits-Mailingliste, dass er die Veröffentlichungspraxis für Code dieser Art noch einmal überdenken werde.

„Angesichts der Tatsache, dass jemand meinen Code genommen und Teile davon missbraucht hat, ist der Nutzen bei der Veröffentlichung von Beispiel-Code in Frage gestellt“, schreibt er. „Ein massiver Ausfall der Rechner der Notfalldienste wie 911 oder 999 könnte den Tod von jemandem bedeuten – und ich möchte nicht das Gefühl haben, daran mit schuld zu sein.“

Am Dienstag gab Litchfield jedoch bekannt, er sei inzwischen zu der Überzeugung gelangt, dass die Veröffentlichung von Beispiel-Code notwendig ist, um Netzwerke und Computer sicher zu halten. Sein Argument: Geheimhaltung ist kein Rezept für Sicherheit. Seine Kommentare dürften bei einigen Mitgliedern der Sicherheits- und Antivirus-Gemeinde, die der Meinung sind, dass die Veröffentlichung von Proof-of-Concept-Code nur Virusautoren in die Hände spielt, nicht auf Begeisterung stoßen.

Litchfield zufolge ist dieses Argument nicht stichhaltig, denn für einen erfahrenen Virusautor sei es eine einfache Sache, ein verwundbares Programm zu attackieren – auch ohne Beispiel-Code. Sobald ein Programm gepatcht wird, kann der Virusautor die gepatchte Software mit dem Original vergleichen und schnell feststellen, wo die Schwachpunkte liegen und wie man sie ausnutzt.

„Solche Leute – und von denen gibt es Tausende – benötigen weder Proof-of-Concept-Code noch sonstige Hilfestellung. Selbst wenn es das nicht gibt, werden auch weiterhin Exploits, Würmer und Viren geschrieben und eingesetzt werden“, schreibt Litchfield in einer E-Mail. Auch wenn es einen Patch für die Software gibt, wird eine große Anzahl von Computern immer noch angreifbar sein, wie der Fall Slammer gezeigt hat: Für die von dem Wurm ausgenutzte Sicherheitslücke war bereits mehrere Monate vorher ein Patch veröffentlicht worden.

Das wirkliche Risiko besteht nach Litchfield darin, die Softwarehersteller über Löcher in ihrer Software zu informieren. Dadurch dass ein Hersteller eine Sicherheitslücke mit einem Patch stopft, wird die Verwundbarkeit überhaupt erst öffentlich bekannt. „Hätte NGS Software das Wissen um diese Sicherheitslücke für sich behalten, hätte vielleicht niemals jemand von deren Existenz erfahren. Damit befinden wir uns natürlich in einer Zwickmühle“, schreibt Litchfield.

Öffentlich zugänglicher Beispiel-Code erlaube allen Interessierten wie z.B. System-Administratoren, Herstellern von Virenscannern oder Herstellern von Anwendungen zur Intrusion Detection, ihre Produkte schneller auf den neusten Stand zu bringen, sagt Litchfield. „Im Interesse, für alle die selben Voraussetzungen zu schaffen, ist es notwendig, alle Einzelheiten zu veröffentlichen“, schreibt er weiter.

Er ist zudem der Ansicht, dass Beispiel-Code Entwicklern helfen kann, aus den Fehlern von Anderen zu lernen.

Nicht alle Sicherheitsexperten stimmen der Einschätzung von Litchfield zu – besonders diejenigen nicht, deren Aufgabe es ist, ihre Kunden vor Viren zu schützen.

„Die Veröffentlichung von Beispiel-Viren oder Code, der einfach in Viren zu verwenden ist, halten wir nicht für eine gute Sache“, sagt Graham Cluley, Senior Technology Consultant bei Sophos Anti-Virus. „Wir glauben nicht, dass das besonders nützlich ist.“

Cluley gibt an, dass Sophos routinemäßig den Quellcode von neuen Viren mit anderen Antivirus-Herstellern austauscht. Davon, diese Informationen allgemein zugänglich zu machen, hält er jedoch überhaupt nichts. „Diese Informationen unter Verschluss zu halten zeugt für mich von mehr Verantwortung als der Ruf nach ,freiem Zugang für alle‘ im Internet“, so Cluley.

Robert Lemos von CNET News.com hat zu diesem Bericht beigetragen.