Slammer-Attacken – der neue ‚Way of Life‘ des Internet?

Viele der Opfer des SQL Slammer mussten erkennen, dass ihre internen Netze verwundbarer waren, als sie es sein sollten. Bei einem Wurm wie Slammer kann ein kleiner Spalt in der Sicherheit eines Unternehmens Tage, wenn nicht Wochen bedeuten, die über der Beseitigung der Infektion aus den internen Systemen vergehen.

Im Falle von Siebel wütete der Wurm, obwohl das Unternehmen den Löwenanteil seiner Netzwerk-Infrastruktur in zwei Datenzentren in Utah verlegt hatte. Trotzdem gelang es Slammer, das interne Netz des Unternehmen im Hauptquartier in San Mateo/Kalifornien zu überschwemmen und die Verwendung von E-Mail und anderen Ressourcen für mehr als 24 Stunden einzuschränken, während die Sicherheits-Teams die infizierten Server ausfindig machten. „Dieser Angriff bewegte sich auf der gleichen Stufe wie Nimda und Code Red“, so Peter Allor, Betriebsleiter des Information Technology Information Sharing and Analysis Center, eine von vielen US-Bundesbehörden, die über Gefahren für kritische Netzwerke wachen.

Mit seinen nur 376 Bytes Programmcode ist der Wurm SQL Slammer deutlich kleiner als die geschätzten 4 KB (4.096 Bytes) von Code Red oder die 60 KB (61.440 Bytes) von Nimda. Für die Überschwemmung von Computern im Internet mit einer Kopie seiner selbst benutzte der Wurm ein Sicherheitsloch, auf das Microsoft bereits vor einem halben Jahr aufmerksam gemacht hatte und für das seitdem ein Patch zur Verfügung stand. Die geringe Größe des Wurms bedeutete, dass er sich selbst in einem einzigen Datenpaket (auch Packet genannt) verschicken konnte, welches das Opfer automatisch infizierte, indem es den Slammer in den Speicher lud.

Diese Effizienz sorgte dafür, dass Slammer zum sich am schnellsten ausbreitenden Wurm aller Zeiten wurde, der 90 Prozent aller verwundbaren Server in den ersten 10 Minuten infizierte – so der Bericht eines Zusammenschlusses von Forschern der University of California San Diego, Lawrence Berkeley National Labs und Silicon Defense, einer Sicherheitsberatung.

Im Gegensatz dazu musste Code Red zunächst nach verwundbaren Servern suchen und konnte erst dann eine Kopie seiner selbst hinterher schicken. Während sich die Zahl der mit Code Red infizierten Server alle 37 Minuten verdoppelte, geschah dies bei den mit Slammer infizierten Servern alle 8,5 Sekunden. Im Juli 2001 infizierte Slammer fast 400.000 Computer, während sich Nimda zwei Monate später lauffeuerartig in den Unternehmensnetzen ausbreitete.

Allerdings war Slammer sehr viel einfacher zu beseitigen als Nimda: Mit dem Neustart des Servers war es schon getan. Nach Daten von Incidents.org infizierte der Wurm 200.000 Microsoft SQL Server, etwa die Hälfte der von Code Red befallenen Computer.

Nichtsdestotrotz waren die Auswirkungen von SQL Slammer sichtbarer als die seiner Vorgänger.

„Der Kunde konnte sehen, was vor sich ging, und damit tat dieser Wurm etwas bisher noch nicht da Gewesenes“, so Allor. In der Vergangenheit störte ein Wurm oder ein Virus den internen Betrieb seiner Opfer, konnte aber in den meisten Fällen von Außenstehenden nicht wahrgenommen werden. „In diesem Fall war auch der Kunde betroffen“, so Allor weiter. „Die Leute bekamen am Telefon kein Freizeichen, Flugzeuge konnten nicht fliegen, Geldautomaten gaben kein Geld heraus.“