Cybercrime-Geschichte: Der Slammer-Wurm

Nur 376 Kilobyte groß war diese Gefahr für SQL-Server aus dem Jahr 2003 - dennoch groß genug

Verfasser: Philipp Rogmann
Datum: 2. September 2015
Lesedauer: 2 Minuten

Der Slammer-Wurm aus dem Jahr 2003 beweist, dass Malware keine große Dateigröße braucht, um verherrenden Schaden anzurichten – solange die Entwickler der Schadsoftware kreative Wege zum Einbruch in Systeme finden. Und was noch interessanter an dieser Attacke auf den Microsoft SQL Server ist, ist dass es eigentlich schon Fixes und Patches gab, die den Wurm aufgehalten hätten, wenn alle SQL-Server gepatcht gewesen wären – volle sechs Monate, bevor Slammer seine Attacken startete. Jeder IT-Verantwortliche fragt sich heutzutage natürlich, ob überhaupt ein Server betroffen wurde, wenn schon lange Patches vorhanden waren und die Gefahr bekannt war. Aus heutiger Sicht mag es merkwürdig erscheinen, aber über 75.000 Server wurden in der ersten halben Stunde befallen und gehackt – eine Mehrzahl sogar innerhalb von 10 Minuten. In Zeiten von automatischen Patch-Systemen und umfassenden Sicherheitslösungen kaum vorstellbar.

Andere Namen, unter der der Slammer-Wurm bekannt wurde, sind Sapphire, MS-SQL Slammer, WORM_SQLP1434.A, SQL Hell oder Helkern.

Netzwerk-Verbindungen, die nicht hätten sein sollen

Unter den 75.000 betroffenen Servern waren große Bankengruppen wie Bank of America oder Washington Mutual, deren Geldautomaten von einem auf den nächsten Moment aufhörten zu arbeiten. Aber auch öffentliche Systeme wie das Notrufsystem 911 der Stadt Seattle fiel aus, was die Gefährdungslage ebenso unterstreicht, wie der Ausfall aller Stromversorgungen des Davis-Besse Atomkraftwerks in Ohio. Wie konnte es zu solch prekären Ausfallen, Situationen und erfolgreichen Attacken kommen? Zum Einen wurde die Aggressivität und die Gefährdung durch Slammer von IT-Verantwortlichen weltweit klar unterschätzt. Obwohl Microsoft innerhalb von Stunden einen Patch zur Verfügung stellte, der die Sicherheitslücke schloss, hielten es viele Administratoren nicht für notwendig, sich um das Problem zu kümmern. Da keine automatisierten Patches installiert wurden, geriet der Wurm für ein halbes Jahr in Vergessenheit und schlug dann zu, als niemand mehr damit rechnete.

Der großangelegte Angriff zeigte aber noch ein anderes, vorher unbekanntes Problem auf: Netzwerkverbindungen von privaten Netzwerken zu kritischen Netzwerken, die so nicht hätten bestehen sollen. Wenn IT-Infrastruktur so wichtig ist, wie Notrufsysteme oder die Systeme eines Atomkraftwerks, dürfen diese nicht mit privaten Netzwerken innerhalb des Internets verbunden sein. Deshalb sind heutzutage solche Infrastrukturen autark und können nicht von außen angegriffen werden. Leider ist es auch heutzutage noch so, dass Netzwerke von Regierungen mit dem öffentlichen Internet kommunizieren. Das zeigt der Bundestags-Trojaner überdeutlich.

Zwei Hauptlehren sind aus der Infektion von Slammer für alle IT-Verantwortlichen zu ziehen: Systeme immer auf dem neuesten Stand halten und festlegen, ob ein Netzwerk – oder ein Teil der IT-Infrastruktur – unbedingt mit dem öffentlichen Internet kommunizieren muss. Es hilft, isolierte Netzwerke für die sensiblen Daten zu schaffen und dafür zu sorgen, dass Mitarbeiter keine eigenen Datenträger wie externe Festplatten, CDs/DVDs und USB-Sticks an Arbeitscomputer anschließen.

 

 


Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden /  Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden /  Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden /  Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden /  Ändern )

w

Verbinde mit %s