Nur ein paar Bit zu viel
Der Computerwurm W32.Blast, auch LoveSan genannt, soll ausgerechnet den Server bei Microsoft lahm legen, der die Reparaturprogramme für die Sicherheitslücken von Windows bereithält
von ALEXANDER DLUZAK
Neugierig scrollt Loki durch die Ordner auf meiner Festplatte. Einen Doppelklick später erscheinen meine E-Mails auf seinem Bildschirm. Über das Internet bedient der 26-jährige Hacker, der sich bei der Wahl seines Pseudonyms von der germanischen Mythologie inspirieren ließ, meinen drei Stadtteile entfernten Computer. Ein Leck in den aktuellen Windows-Betriebssystemen ermöglicht Hackern den problemlosen Zugriff auf ungeschützte Rechner und könnte Microsoft jetzt selber zum Verhängnis werden.
Zunächst gelang es nur dem relativ harmlosen Computerwurm W32.Mimail die Hintertür zu nutzen. Aber das war nur die Generalprobe – die Premiere scheint gerade zu beginnen. Montagnacht startete „W32. Blast“, der große Bruder von W32. Mimail, seinen Weg um die Welt. Sein Ziel ist Microsoft. Die Botschaft im Code ist eindeutig: „Billy Gates, why do you make this possible? Stop making money and fix your software!“ Vom 15. August bis zum 31. Dezember wollen die Blaster-Autoren Microsoft unter das Dauerfeuer eines so genannten Distributed Denial-of-Service-(DDoS-)Angriffs nehmen. Eine Flut von Anfragen soll Server einer bestimmten Adresse lahm legen. Die dazu nötige Datenmasse allerdings kann ein einzelner Computer nicht erzeugen. Deshalb nutzen Angreifer unbemerkt die Rechner ahnungsloser Dritter.
Opfer des bevorstehenden Angriffs sollen die Microsoft-Update-Seiten sein, über die man unter anderem die Sicherheitslochflicken beziehen kann, die die Attacke vielleicht noch verhindern könnten. Kaum ein Besitzer eines Computers, der von dem Angriff betroffen ist, wird etwas davon bemerken, da sich der Wurm nicht über E-Mail verbreitet, sondern über eine Schnittstelle, die höhere Windows-Versionen ganz offiziell für den Zugriff von Programmen aus dem Internet bereithalten.
Bereits Anfang Juli, gut zwei Wochen vor der offiziellen Bekanntgabe durch Microsoft, verbreitete sich in Internetforen die Nachricht, dass die Schnittstelle für den „Remote Process Control“ (RPC) in der Regel offen steht und daher für Störprogramme genutzt werden kann, die mit der Methode des so genannten Buffer Overflow sämtliche Sicherheitsexperten der IT-Branche seit langem zur Verzweiflung bringen. Keineswegs nur bei Microsoft, denn die Angreifer nutzen eine Schwäche der Programmiersprache „C“ aus, die nicht zuletzt in der Open-Source-Szene Standard ist. In Linux-Foren sind deshalb beinahe täglich neue Warnungen vor Buffer Overflows zu lesen.
Die grundlegenden Codesequenzen, „Exploits“ genannt, sind im Netz frei verfügbar. Damit können selbst Computerkiddies Programme basteln, um jene speziellen Speicherbereiche zu überschreiben, die jedes größere Programm braucht, um seine Daten temporär zwischenzulagern. Sie heißen „Stacks“ und sind auf einen jeweils bestimmten Umfang begrenzt. Nun lassen sich mit Hilfe vorgefertigter C-Routinen Datenmengen in diese Speicherplätze einlesen, die größer sind also dort zugelassen. Der Überschuss überschreibt benachbarte Speicherblöcke und kann zugleich vom ursprünglichen Stack aus weitere Speicherplätze adressieren. Betroffene Programme stürzen ab, noch folgenreicher aber ist, dass der Überlauf selbst ein Programm sein kann, das nun ohne die sonst üblichen Sicherheitsüberprüfungen für ausführbaren Code getartet wird: W32.Blast etwa sucht zufallsgesteuert nach den IP-Adressen anderer Computer, die gerade online sind, und installiert einen FTP-Server, um sich selbst zu übertragen.
PC mit Fernbedienung
Eine Gruppe polnischer Computercracks namens „The Last Stage of Delirium“ hatte die Schwachstelle ausgemacht und Microsoft damit in Erklärungsnot gebracht. Betroffen, räumte der Konzern ein, seien nicht nur die Betriebssysteme Windows 2000, NT und XP, sondern auch die neue 2003-Server-Generation – das erste Produkt, das unter der von Microsoft-Gründer Bill Gates mit großem Werbeaufwand ausgerufenen „Trustworthy Computing“-Initiative verkauft wurde. Microsoft-Chef Steve Ballmer hatte gar einen „Durchbruch“ in Sachen Sicherheit verkündet. Hunderte Millionen Dollar gab Microsoft aus, um Buffer Overflows zu unterbinden – bislang vergebens. Mehrere Versionen maßgeschneiderter Exploits stehen heute abrufbereit auf speziellen Websites. Über die RPC-Schnittstelle von Windows lassen sich fremde Computer nahezu beliebig steuern. Persönliche Daten können eingesehen, kopiert oder gleich gelöscht werden. „Noch nie war es so einfach, ein Sicherheitsloch auszunutzen“, sagt Bülent Caliskan von der Hamburger Sicherheitsfirma HNST. „Ein erfolgreicher Angriff auf einen ungeschützten Rechner ist nur eine Frage der Zeit. Gerade Firmen sollten schnell die nötigen Microsoft-Updates runterladen – solange es noch geht.“
Was W32.Blast anrichten könnte, davon lieferte der Virus Code Red im Jahr 2001 eine Vorahnung. Nachdem er sich unbemerkt auf etwa 18.000 Computern eingenistet hatte, zog der Wurm eine digitale Spur bis hinauf zum Pentagon und zu CNN.
Zwar macht Microsoft den Zugriff aus dem Internet besonders leicht, für die Eingriffe ins System selbst aber ist gerade der frei einsehbare Quellcode für Linux eher eine Gefahr als ein Schutz. Hacker können in aller Ruhe nach Zugriffsmöglichkeiten suchen, bei Microsoft- und Apple-Betriebssystemen werden Schlupflöcher immer nur durch Ausprobieren gefunden. So besteht die jüngste Sicherheitslücke im Apple-Betriebssystem „Mac OS X“ aus einem Fehler in der Passwortabfrage des Bildschirmschoners. Sobald mehr als 1.200 Zeichen eingegeben wurden, kam es auch bei Apple zum Speicherüberfluss und anschließenden Kontrollverlust.
Die Hacker auf frischer Tat zu erwischen gelingt höchst selten. Nur etwa 5 Prozent aller Hackangriffe werden überhaupt entdeckt. Gerade die Fremdzugriffe auf private Computer bleiben meist ungesühnt. Geschickte Hacker schütteln Ermittler ab, indem sie zwischen mehreren Servern wechseln, bevor sie einen Angriff starten. Nach der Flucht von dem angegriffenen Rechner, mit Kreditkartennummern oder anderer Beute im Gepäck, löschen die Eindringlinge sofort alle Logdateien auf jedem der benutzten Server, sodass jeglicher Hinweis auf ihre Anwesenheit getilgt wird. Nach Sicherheitslücken auf Rechnern zu suchen ist nicht einmal verboten. Ein Straftatbestand ist erst dann erfüllt, wenn der Hacker Daten auf dem angegriffenen Rechner verändert oder zerstört. Lokis Demonstrationsattacke auf meinen Computer war also legal. Er hat ihn danach sogar selber ausgeschaltet – per Fernsteuerung.
