Angrifff aus dem Cyberspace (II)
"Bösartige" Software aus dem Internet - Sabotageprogramme und ihre oft verheerenden Auswirkungen
Denial-of-Service-Agenten, Viren, Würmer, Mailbombs und sonstige "virtuelle Angreifer" beschädigen Programme sowie Dateien. Zusätzlich zu den entstandenen Schäden und dem zur "Wiederherstellung" notwendigen Zeitaufwand gefährden sie vor allem die Sicherheit der militärischen Informations- und Kommunikationstechnik.
Unter Sabotageprogrammen sind Programme zu verstehen, die die Verfügbarkeit von Computern, Servern, Anwendungen, aber auch Verbindungen beeinträchtigen oder unterbrechen und dadurch die Bereitstellung von Diensten auch für autorisierte Benutzer unterbinden. Zu den Sabotageprogrammen sind Denial-of-Service-Agenten ebenso wie Viren, Würmer, Mailbombenpakete und Tags zu zählen.
Denial-of-Service-Agenten
Denial-of-Service-(DoS-)Angriffe werden über das Internet unter Ausnutzung von Schwachstellen in Betriebsystemen, Programmen und Diensten geführt, um die angegriffenen Systeme zum Absturz zu bringen oder derartig zu überlasten, dass sie ihre eigentliche Funktionalität nicht mehr erfüllen können. Dabei kommt es zum Ausfall eines Dienstes, einer Funktionalität eines Computers oder sogar eines ganzen Netzes.
Von verteilten DoS-Angriffen (DDoS) spricht man, wenn mehrere Systeme ein bestimmtes Zielobjekt gleichzeitig angreifen. Hiezu ist es erforderlich, bei vielen Computern ein Angriffstool - einen sogenannten DoS-Agenten - zu installieren. Der Angreifer koordiniert dann die DoS-Agenten und kann diese gleichzeitig starten und stoppen.
Viren und Würmer
Derzeit sind in internationalen Statistiken mehr als 80 000 Viren und Würmer bekannt. Sie gehören zu den Programmen mit Schadensfunktionen. Als Schaden ist hier insbesondere der Verlust, die Verfälschung oder Zerstörung von Daten oder Programmen sicherlich von größter Tragweite. Solche Funktionen von Programmen können sowohl unbeabsichtigt als auch bewusst gesteuert auftreten.
Ein Virus wird definiert als ein nicht eigenständig ablaufendes Programm, das sich selbst reproduziert und dadurch vom Anwender nicht kontrollierbare Manipulationen in Systembereichen, an anderen Programmen oder deren Umgebung vornimmt.
Hingegen ist ein Wurm ein sich selbst in mindestens einen Rechner oder in ein Netz kopierendes (eigenständig ablaufendes) Programm, das vom Anwender nicht kontrollierbare Manipulationen in Systembereichen, an anderen Programmen oder in deren Umgebung vornimmt. Ein Wurm ist daher, anders als ein Virus, nicht auf ein Wirtsprogramm angewiesen.
Die Eigenschaft der Reproduktion führte in Analogie zum biologischen Vorbild zu der Bezeichnung Virus. Die Manipulationsmöglichkeiten sind sehr vielfältig. Besonders häufig ist das Überschreiben oder das Anlagern des Virencodes in anderen Programmen und Bereichen des Betriebssystems, wobei dies immer so geschieht, dass zunächst der Virencode und dann erst das ursprüngliche Programm ausgeführt wird.
Computerviren können grundsätzlich bei allen Betriebssystemen auftreten. Die größte Bedrohung ist jedoch aufgrund der großen Verbreitung im Bereich von Microsoft-Programmen vorhanden. Auch bei Personalcomputern mit anderen Betriebssystemen gibt es eine Reihe von Viren. Im Großrechnerbereich sind bisher nur wenige, kaum verbreitete Viren aufgetreten, die hauptsächlich zu Forschungszwecken geschrieben wurden. Bei Großrechnern spielen Viren aufgrund besserer Sicherheitseinrichtungen und der geringen Verbreitung so gut wie keine Rolle.
Boot-, File-, Makro- und Skriptviren
Boot-Virus
Boot-Viren überschreiben den Boot- oder Partitions-Sektor mit ihrem Programm. Der ursprüngliche Inhalt wird an eine andere Stelle auf dem Datenträger verlagert und dann beim Start des Computers anschließend an den Virencode ausgeführt. Dadurch startet der Computer scheinbar wie gewohnt. Der Boot-Virus gelangt jedoch bereits vor dem Laden des Betriebssystems in den Arbeitsspeicher des Computers und verbleibt dort während der gesamten Betriebszeit. Er kann deshalb den Boot-Sektor jedes nicht schreibgeschützten externen Datenträgers infizieren, der während des Rechnerbetriebs benutzt wird, und sich auf diese Weise auf andere Computer übertragen.
Bei Computernetzen verwendet der File-Server in der Regel ein anderes Betriebssystem als MS-DOS. Boot-Viren können sich über diese Computer dann nicht ausbreiten. Der Boot-Versuch kann jedoch schon wichtige Systembereiche des Server-Betriebssystems zerstören.
File-Virus
Die meisten File-Viren lagern sich an Programmdateien an. Dies geschieht jedoch so, dass beim Aufruf auch hier der Virencode zuerst ausgeführt wird und anschließend erst das Originalprogramm. Dadurch läuft das Programm anschließend wie gewohnt und das Virus wird nicht so schnell entdeckt. Es sind jedoch auch einfachere, überschreibende Viren bekannt, die sich so an den Anfang des Wirtsprogrammes setzen, dass dieses nicht mehr fehlerfrei läuft. Manche File-Viren sind schwer zu entdecken, weil sie die Größe der Datei nicht verändern.
Makro-Virus
Während sich die vorgenannten Viren anstelle des Programmcodes einnisten, benutzen Makro-Viren Steuersequenzen von Datenbankdateien als Wirt. Moderne Programme erlauben es, häufig benötigte Steuerinformationen, z. B. zum Layouten von Texten, mittels einfach erlernbarer Programmiersprachen zu erstellen. Dies kann zur Programmierung von Computerviren missbraucht werden, die beim Arbeiten mit den Datenbankdateien automatisch ablaufen. Sofern die Hauptprogramme auch für andere Betriebssysteme als MS-DOS angeboten werden, können auch die damit programmierten Viren plattformübergreifend wirksam werden. Makro-Viren haben eine starke Verbreitung gefunden.
Im Gegensatz zu herkömmlichen Viren können Makro-Viren auch mit Datenbankdateien verbreitet werden. Jede E-Mail selbst oder deren Anhang kann infiziert sein und durch Anklicken aktiviert werden. Besonders sind Dateien der Programme "MS-WORD" und "MS-EXCEL" betroffen. Word-Makro-Viren nehmen inzwischen weltweit eine Spitzenstellung ein. Makro-Viren können in allen Betriebssystemen auftreten, auf denen "MS-WORD" läuft. Viele sind in der relativ einfach erlernbaren, aber enorm leistungsfähigen Programmiersprache "BASIC" geschrieben.
Viren und Würmer, geschrieben in der Programmiersprache "Skript" ("Skriptviren")
Drei Typen skriptbasierter Viren und Würmer lassen sich unterscheiden:
- Standalone-Skripts mit schädlichem Code im Dateianhang (z. B.: "VBS.LoveLetter") werden erst nach Öffnen der Datei durch Doppelklick wirksam.
- Eingebettete Skripts in HTML-Code auf einer Webseite oder im Textteil einer HTML-Mail (z. B.: "VBS.BubbleBoy") können Zerstörungen an der Registry bewirken und sich ohne E-Mail völlig selbstständig und sehr schnell im Netz verbreiten; eingebettete Skripts können bereits bei der Anzeige zur Ausführung kommen oder wenn man die HTML-Mail im Vorschaufenster anschaut.
- Skriptcode in OLE-Mischdokumente eingebettet. So könnten Würmer sogar in Hilfsdateien eingebettet sein.
Schäden durch Computerviren
Computerviren verursachen jährlich weltweit Schäden in gigantischer Höhe - mit steigender Tendenz. Die Schäden lassen sich verschiedenen Bereichen zuordnen:
- Beabsichtigte, programmierte zerstörerische Schadensfunktionen.
- Unbeabsichtigte Nebeneffekte bei angeblich harmlosen "Scherz-Viren".
- Inanspruchnahme von Speicherplatz im Hauptspeicher und auf Datenträgern.
- Materieller und personeller Aufwand beim Suchen und Entfernen.
- Zusätzlich zu ergreifende organisatorische Abwehrmaßnahmen.
- Panikreaktionen von Anwendern.
- Verunsicherung der Anwender.
Mailbombing
Unter einer "Mail-Bombe" versteht man tausende E-Mails, mit denen die Mailbox oder die Festplatte des Mailservers verstopft wird. Damit wird der Inhaber gezwungen, die Mailbox leer zu räumen, oder er kann überhaupt keine E-Mail empfangen, weil der Mailserver voll ist. Das kann einerseits zum Verlust wichtiger Daten führen und andererseits höhere Kosten durch Bandbreiten- und Ressourcenauslastung sowie Verbindungsgebühren verursachen. Schwerwiegend für die Sicherheit kann sich die Nichtverfügbarkeit von Diensten auswirken. Mailbombenpakete sind Programme, die das Mailbombing automatisieren.
Hoaxes
Hoaxes sind Falschmeldungen, die den Zweck haben, Menschen zu verunsichern und zu unbegründeten Handlungen zu veranlassen. Hoaxes werden laufend verbreitet, auch mit Inhalten über angeblich bösartige Software und Sicherheitslücken in Computersystemen. Hoaxes werden auch als "memetische" Viren bezeichnet, obwohl sie gar nicht als Programmcode vorhanden sind (Diese Bezeichnung leitet sich vom "Mem" her, der Einheit der kulturellen Übertragung, der Replikation durch Imitation).
Hoaxes funktionieren wie Kettenbriefe und wirken wie Gerüchte. Sie werden durch leichtgläubige Anwender mit geringer Erfahrung verbreitet. Der Schaden entsteht durch Vertrauensverlust beim Anwender und durch Zeitverschwendung beim Ausmerzen solcher Falschmeldungen. Den Hoaxes wird am besten durch Nichtweiterverbreitung entgegengewirkt. Dabei muss den Anwendern frühzeitig klargemacht werden, wer in der Organisation tatsächlich autorisiert ist, vor bösartiger Software zu warnen.
Wie erkennt man einen Hoax?
Das Subject (Betreff) enthält oft den Begriff Virus-Warnung, Sinnverwandtes oder das Angebot von Gratisprodukten. Der Adressat wird aufgefordert, die Warnung an möglichst viele Menschen weiterzuleiten. Die Wirkung des Virus wird sehr drastisch dargestellt und beinhaltet Dinge, die ein Computervirus gar nicht kann (z. B. Hardware beschädigen). Häufig wird als Quelle eine namhafte Firma oder Organisation genannt, um die Glaubwürdigkeit zu verbessern (auch bekannt als "False Authority Syndrome"). Bei diesen Firmen finden sich jedoch keine Hinweise auf eine solche Warnung. Keine der genannten Firmen hat tatsächlich jemals Warnungen dieser Art publiziert. Echte Virus-Warnungen werden nie als Kettenbriefe weltweit verschickt, daher sind solche Warnungen von vornherein verdächtig, Hoaxes zu sein!
Oft finden sich Aktualitätsangaben wie "gestern" oder "am Freitag", die keinen Bezug zu einem bestimmten Datum haben können. Wenn ein Kettenbrief schon ein paar Tage, Wochen oder Monate unterwegs ist, muss man sich die Frage stellen: Wann war "gestern"?
Tags
"Tagging" ist das elektronische Äquivalent zum "Graffiti": Websiten werden mit fehlerhaften, beleidigenden oder gesellschaftlich nicht akzeptablen Inhalten verunstaltet. Wenn auch dadurch nur geringer Schaden entsteht, so wird das Vertrauen auf die Fähigkeit des Betreibers, seine Website vor Missbrauch zu schützen, arg in Mitleidenschaft gezogen.
Dialer, Spam, Scherzprogramme, Werbebanner, Popups
Dialer, Spam, Scherzprogramme, Werbebanner und Popups sind Programme, die Schäden in Form hoher Kosten, unnötig beanspruchter Ressourcen wie Speicherplatz und Zeit hervorrufen und darüber hinaus meist auch ein großes Ärgernis darstellen.
Dialer
Dialer sind Programme, die beim Einwählen ins Internet mitunter extrem hohe Kosten verursachen (bis zu € 900-, pro Einwahl!). Diese Programme können vom User selbst angewählt werden oder unbemerkt durch ein Download die ursprünglichen Verbindungsnummern verändern. Dabei kann der Download einer solchen Mehrwertnummer bereits durch das Anklicken einer bestimmten Seite ausgelöst werden. In der Folge werden Telefonnummern mit den Vorwahlen 0190, 0900 bzw. 0930 - so genannte "Mehrwertdienste" - angewählt.
Spam
Unter Spam versteht man jenen Datenmüll, der täglich die Mailbox mit unerwünschter Werbung und diversen Angeboten verstopft. Neben dem Ärger, den Spam verursacht, entstehen Schäden durch den Zeitaufwand für das Ausmisten der Mailbox. Bei Mailboxkontingentierungen können auch Datenverluste entstehen. Spam-Filter und Anti-Spam-Programme verschaffen hier Abhilfe.
Scherzprogramme
Scherzprogramme verursachen keinen direkten Schaden und können durchaus unterhaltsam sein. Der indirekte Schaden entsteht durch die mitunter beträchtliche Zeitvergeudung beim Abspielen der Programme.
Werbebanner, Popups
Werbebanner und Popups sind bevorzugte Werbeinstrumente im Internet und erscheinen ungebeten am PC wie Postwurfsendungen im Briefkasten. Während Postwurfsendungen oft nur ein Ärgernis darstellen, können Banner und Popups erhebliche Kosten verursachen. Aufwändig gestaltete Werbebanner und Popups treiben Datenvolumen in astronomische Höhen und verlängern die Zeit für das Downloaden. Wenn der Internetzugang oder Downloads kostenpflichtig sind, sollten Werbeblocker installiert und E-Mail-Programme so eingestellt werden, dass Mails ab einer bestimmten Größe nicht automatisch heruntergeladen werden.
(wird fortgesetzt) ___________________________________ ___________________________________
"VBS.LoveLetter" - wird nach Doppelklick wirksam
Beim LoveLetter, eigentlich "VBS/LoveLet-A", auch "Worm.LoveLetter", oder "VBS.LoveLetter.A", oder "TheLoveBug" handelt es sich um einen Wurm, der sich auf verschiedenen Wegen verbreiten kann. Meist versendet er sich selbst als E-Mail-Attachment. Infizierte E-Mails haben die Betreffzeile: "ILOVEYOU". Der Text der Nachricht lautet: "kindly check the attached LOVELETTER coming from me." Das Attachment heißt "LOVE-LETTER-FOR-YOU.TXT.vbs" und hat eine doppelte Dateierweiterung. Mailer, die bekannte Erweiterungen wie ".VBS" unterdrücken, stellen diese Datei als LOVE-LETTER-FOR-YOU.TXT dar, was noch harmloser wirkt.
Der Wurm kopiert sich selbst in zwei Orte im Systemverzeichnis. Die Kopien werden bei jedem Booten des Computers ausgeführt. Die E-Mail-Komponente des Wurms funktioniert nur mit Microsoft "Outlook" und verschickt sich an jeden Eintrag im Windows-Adressbuch.
Der Wurm sucht auf allen lokalen und vernetzten Laufwerken nach Dateien mit der Erweiterung VBS, VBE, JS, JSE, CSS, WSH, SCT oder HTA sowie JPG- oder JPEG-Dateien, MP2- oder MP3-Dateien, überschreibt sie und ändert die Erweiterungen in ".VBS". Die ursprünglichen Dateien werden verborgen. Wenn der Wurm das Programm "mIRC" auf dem System installiert vorfindet, legt er ein "mIRC-Skript" an und versendet sich darüber.
"VBS.BubbleBoy" kann bereits bei der Anzeige zur Ausführung kommen. Bezeichnung: VBS/BubbleBoy-A "VBS.Bubbleboy", "BubbleBoy" ist ein "Visual-Basic-Script-Wurm". "VBS/BubbleBoy" nutzt die Sicherheitslücken im Microsoft "Internet Explorer" und von Microsoft "Outlook". Er ist der erste Wurm, der Systeme infizieren kann, ohne dass der Anwender ein E-Mail-Attachment öffnen muss. Der Wurm wird ausgeführt, sobald der Anwender die E-Mail in MS "Outlook" geöffnet hat. Der Wurm besteht aus einer E-Mail mit folgenden Merkmalen:
- Von:
- Betreff: BubbleBoy is back!
Die E-Mail enthält eine eingebettete HTML-Datei mit dem verseuchten "Visual-Basic-Script". Diese Datei ist kein Attachment. Wenn der "Internet Explorer 5" so konfiguriert ist, dass "Hohe Sicherheit" in der Internetzone erzwungen wird, kann der Wurm nicht starten. Wenn MS-"Outlook Express" verwendet wird, wird das Skript auch ausgeführt, wenn die E-Mail nur im Ansichtfenster geöffnet wird. Der Wurm sendet über MS-"Outlook" E-Mails mit Kopien von sich an jeden Eintrag in allen MS-"Outlook-Adressbüchern".
___________________________________ ___________________________________ Autor: Oberst dG Walter J. Unger, Jahrgang 1959. Ausmusterung 1982, Waffengattung Infanterie; Absolvent des 12. Generalstabskurses; seit 1991 Verwendungen in der Zentralstelle und im unmittelbar nachgeordneten Bereich, 1999 bis 2000 Truppenverwendung als Kommandant des Panzerabwehrbataillons 1, derzeit Leiter der Abteilung für Elektronische Abwehr im Abwehramt.