Slammer-Attacken – der neue ‚Way of Life‘ des Internet?




Viele Netzwerk-Administratoren in Unternehmen bestehen weiterhin darauf, dass sie den Wettlauf um das Schließen der Sicherheitslöcher, durch die Würmer schlüpfen, gewinnen können. Eine steigende Zahl von Sicherheitsveteranen bezweifelt jedoch, ob die Unternehmen wirklich den Slogan „Vollständig gepatcht!“ zum Schlachtruf ihrer Verteidigungsstrategien machen sollten.

„Slammer zeigte uns, dass alle, egal um wen es sich handelt, Schwierigkeiten haben, ihre Patches auf dem neuesten Stand zu halten“, sagte Mary-Ann Davidson, Chief Security Officer für den führenden Datenbank-Anbieter Oracle.

Wurm-Schlaglicht
Der Wurm SQL Slammer – auch bekannt als Sapphire und SQL Hell – führte einige neue Aspekte für infektiöse Programme ein.
UDP: Der Wurm versendet sich selbst als UDP (User Datagram Protocol)-Paket ins Internet. UDP ist einer von zwei im Internet üblichen Datentypen (der andere ist das bekanntere TCP, oder Transmission Control Protocol). UDP kann man senden und dann vergessen – eine Antwort ist nicht nötig, weshalb der Wurm ohne Unterlass Daten an zufällig ermittelte Adressen senden kann. Das Ergebnis: Die Datenschwemme überlastete die Netzwerkverbin-dungen und verdoppelte die Zahl der infizierten Computer alle 8,5 Sekunden.

Geringe Größe: Der Wurm selbst besteht aus 376 Bytes Assembly-Code und ist völlig eigenständig. Ein Datenpaket kann den Computer auf der Gegenseite gleichzeitig überprüfen und infizieren, wodurch der Wurm extrem effizient ist. Code Red musste erst eine Verbindung zu einem verwundbaren Computer herstellen und sich dann selbst an diesen Computer senden. Dieser Zwei-Schritt-Prozess verlangsamte diesen Wurm.

Datenbank-Infizierer: Obgleich die Möglichkeit zur Infektion von Datenbanken schon immer bestanden hat, ist Slammer der erste Computer-Wurm, der SQL-Datenbanken in derart großem Ausmaß infiziert. Die meisten Würmer haben bisher ein öffentlicheres Ziel angegriffen: Web- und E-Mail-Server. Die Tatsache, dass so viele Datenbank-Server – man geht von etwa 200.000 aus – angegriffen werden konnten, unterstreicht, dass ein geschickter Angreifer einen Großteil der auf diesen Servern befindlichen Daten bereits hätte attackieren können, bevor der Wurm zuschlug.

Speicherresident: Der Wurm kopierte keinerlei Dateien auf die Festplatte, sondern verblieb im Arbeitsspeicher (RAM). Wie schon Code Red ließ sich auch der Slammer-Wurm einfach durch Herunterfahren des Systems löschen, denn ohne Strom können die Daten im Arbeitsspeicher nicht überdauern. Durch den Betrieb im RAM konnte das Programm allerdings auch sehr schnell ausgeführt werden.

Quelle: Analysen von eEye Digital Security, Incidents.org und CAIDA

Wie Microsoft hat sich auch Oracle bemüht, die Patches angesichts ihrer starken Vermehrung in Prioritätsstufen zu unterteilen, wodurch die System-Administratoren die kritischsten Patches zuerst anwenden können. Eine solche Einstufung ist nötig, um die Belastung der ohnehin überarbeiteten Administratoren zu verringern und um die Unternehmen bei der Entscheidung zu unterstützen, ob sie Zeit auf das Testen eines Patches aufwenden und so sicherstellen, dass er die kritischen Funktionen, die er eigentlich schützen soll, nicht beeinträchtigt.

„Das letzte, was man will, ist ein Zusammenbruch des Systems für die Auftragsverwaltung im letzten Quartal, nur weil man keine Möglichkeit hatte, einen Patch vor seiner Anwendung zu testen“, so Davidson weiter.

Microsoft kennt das Problem nur zu gut. Einen Monat vor Code Red musste das Unternehmen zwei Mal einen Patch für seine Exchange-Server veröffentlichen, um Probleme zu beheben, die ein Software-Upgrade in den Anwendungen verursacht hatte. Nach Berichten über Abstürze bei reparierten Systemen veröffentlichte der Software-Riese dann im Dezember einen Patch für Windows NT.

Steve Solomon, CEO des Herstellers von Sicherheitssoftware Citadel Security Software, sagte, dass es sich einfach um ein zeitliches Problem handle. Sein Unternehmen entwickelt Systeme zur Automatisierung der Patch-Installation – eine Unterstützung, die von vielen gestressten Netzwerkmanagern begrüßt wird.

„Im Moment“, so Solomon über diese überlasteten Administratoren, „ist diese Aufgabe so langweilig und zeitaufwändig, dass sie auf manuellem Wege nicht Schritt halten können.“

 

Themenseiten: Security-Praxis

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Slammer-Attacken – der neue ‚Way of Life‘ des Internet?

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *