Virengeneration für Handhelds
Was nach Würmern, die sich wie ILOVEYOU explosionsartig vermehren, und DDoS-Attacken [siehe unten] als nächste große Welle an schädlichen Programmen auf die IT-Welt zukommt, ist für Gerhard Eschelbeck ganz eindeutig: immer mehr Viren für Palm Pilots und andere Handhelds, sobald die Anzahl der Internetverbindungen dieser Geräte steigt.
Neue Software für neue Hardware enthalte nun einmal neue Schwachstellen, meinte der Senior Vice President Engineering/Security der kalifornischen Network Associates [NAI] im Gespräch mit der FutureZone.
Es sei immer nur eine Frage der Zeit, bis diese Bugs bekannt würden und sich dann jemand finde, der diese Schwachstellen nütze.
Der erste Vorbote ...
Vor einem Monat hatten die Avert Labs der NAI-Tochter McAfee den
ersten echten Virus - nämlich mit Schadensfunktion - für Palm Pilots
entdeckt - weder sehr gefährlich noch raffiniert geschrieben, aber
für Eschelbeck ein Vorbote, der andeute, was bei steigender
Verbreitung der Handhelds in nächster Zukunft möglich sei.
Der erste Palm-Virus... die Attacke folgte nach
Auch den verheerenden DDoS-Attacken [Distributed Denial of Service Attacks] auf Ebay, Yahoo und andere Größen des Netzes im Frühjahr 2000 war ein erster, relativ harmloser DDoS-Angriff auf das System der Uni Michigan im Sommer 1999 vorausgegangen.
Über die Hintergründe der Attacken selbst, sagt Eschelbeck, der für McAfees Avert Labs in den wichtigsten Arbeistgruppen saß, wisse man mittlerweile etwas mehr.
Seit mit Sicherheit geklärt ist, dass die Platzierung der zahllosen "Agenten" in fremden Netzen automatisiert und nicht manuell erfolgt sei, ist auch der Aufwand für die Attacken abschätzbar.
Automatisierte Agenten
Diese Agenten - Programme, deren permanente "Syn-Abfragen" die
größten Serverparks des Internet lahm gelegt hatten - waren allesamt
durch denselben Typus eines UNIX-Sicherheitsloches vor allem in
Universitäts-Netze eingeschleust worden.
Wie eine DDoS-Attacke funktioniertDie Avert LabsEin niemals aufgetauchtes Skript
Ein Skript, das dies bewirkt hat, muss existieren, im Unterschied zu den DDoS-Programmen selbst [Trinoo, TFN, Stacheldraht], deren Quellcodes schon vorher im Netz kursierten, ist es jedoch niemals aufgetaucht.
Damit lässt sich nicht sagen, ob der Autor des Skripts identisch mit jenem des zum DDoS-Angriff verwendeten Programms Trinoo war.
Nach Einschätzung Eschelbecks kann ein guter Programmierer das gesamte Set-up des Angriffs in etwa drei Monaten zusammenbauen.
Wenn es ein Einzeltäter war, stellt sich Frage, warum er das Risiko eingegangen sei, die bekanntesten Sites der Welt anzugreifen, warum er sich so viel Arbeit angetan habe und was damit erreicht werden sollte.
Öffentlichkeit machen
Die Attacke war perfekt angelegt, um mit ihr "Öffentlichkeit zu
machen", sagt Eschelbeck, "und mit diesem Hebel wollte man etwas
bewirken." Man frage sich nur - was?
Vorbeugung gegen DDoSDie "Syn"-Abfragen
Sinnvolle Maßnahmen gegen neue DDoS-Attacken durch "Syn-Abfragen" seien eher auf den "reaktiven Bereich" beschränkt. Und zwar im "angreifenden" Netzwerk, wo bei effizientem Bandbreiten-Management automatisch gewarnt werde, wenn von einem Rechner ununterbrochen versucht werde, sich mit einem anderen Rechner außerhalb zu synchronisieren.
Eine direkte Lösung der Syn-Verwundbarkeit sei erst mit Einführung des neuen Internet-Protokolls IPv6 in Sicht.
Von Peuerbach nach Santa Clara
Gerhard Eschelbeck, Doktor der Mathematik [Kepler-Uni Linz],
arbeitet seit 1996 für Network Associates [Santa Clara], seit kurzem
als Senior Vice President Engineering und Security. Eschelbeck
stammt aus dem oberösterreichischen
Städtchen Peuerbach.