Der aktuelle "Conficker-Ausbruch" und ein XSS-Wurm auf Twitter sind die Themen dieses Standpunkt Sicherheit.

Der Wurm ist los - na und?

Nachdem manche Medien vor dem 1. April einen Riesenhype wegen des drohenden Zusammenbruchs des Internets gemacht haben, mussten sie ja nun, da der RPC-Wurm Conficker/Downadup tatsächlich Code nachlädt, entsprechend nachlegen. Panik wegen eines "neuen Virus"? Klar, in der aktuellen Wirtschaftskrise kann man entsprechende Schlagzeilen wahrscheinlich gut brauchen, um die Auflage zu halten. Aber besteht irgend ein Grund für eine Panik? Eigentlich nicht.

Conficker/Downadup verhindert ja den Zugriff auf Websites mit seriösen Informationen zum Wurm, schon möglich, das da in einigen Büros die Panik ausbricht, wenn man stattdessen nur Fake-Antivirenprogramme (die heißen im englischen ja nicht ohne Grund Scareware) zu sehen bekommt und sich von Schädlingen umzingelt sieht. Da nutzt man natürlich die erstbeste Gelegenheit für einen Hilferuf, und wenn das dann zufällig die Schlagzeile auf der ersten Seite ist...

OK, genug gelästert, kommen wir zu den Fakten: Seit dem 7. April lädt die bis dahin aktuelle Wurm-Variante Code nach. Aber nicht wie erwartet von Webservern aus den seit dem 1. April erzeugten Listen mit Domainnamen, sondern über die ebenfalls vorhandene Peer-to-Peer-Funktion. Außer der neuen Wurmvariante wird weiterer Schadcode nachgeladen: Waledac, ein zum Versand von Spam und zum Sammeln vertraulicher Informationen verwendeter Schädling, sowie Fake-Antivirenprogramme.

Die neue Wurm-Variante enthält im Gegensatz zu ihrem direkten Vorgänger wieder die üblichen Verbreitungsroutinen (RPC-Schwachstelle, schwache Passwörter für Netzwerk-Shares, AutoPlay-Funktion) und wird sich am 3. Mai selbst löschen. Laut Symantec besteht eine der Aufgaben der neuen Variante darin, ihren Vorgänger zu installieren. Auch wenn das auf den ersten Blick widersprüchlich ist ("Variante E installiert Variante C, von der er nachgeladen wurde") ist es zweckmäßig, da die Variante E sich selbst verbreitet und damit auch auf Rechner gelangt, auf denen Variante C nicht installiert ist. Und die enthält keine Verbreitungsfunktionen, sondern ist auf Tarnung optimiert. Im Prinzip wurden also Verbreitungs- und Schadfunktion getrennt: Variante E sorgt für die doch relativ auffällige Verbreitung und löscht sich später rückstandslos, während Variante C gut getarnt darauf wartet, aktiviert zu werden und Schadcode nachzuladen und auszuführen.

Was haben wir also? Einen Wurm ohne Verbreitungsfunktionen, der eine neue Variante von sich selbst nachlädt, die dann für seine Verbreitung sorgt. In der Hinsicht besteht, mal abgesehen von den besseren Tarnmöglichkeiten der C-Variante, kein großer Unterschied zwischen Variante B mit eigenen Verbreitungsroutinen und der Kombination aus Variante C ohne Verbreitungsroutinen mit Variante E zu deren Verbreitung. Ein Grund zur Panik? Eindeutig nicht.

Was haben wir noch? Einen E-Mail-Wurm (Waledac), der nun vom RPC-Wurm nachgeladen wird. Wenn man davon ausgeht, das fast jeder vom RPC-Wurm erreichbare Rechner auch von einem E-Mail-Wurm erreicht werden kann, ist das also auch nichts wesentlich neues. Also wieder: Eindeutig kein Grund zur Panik.

Bleibt der letzte Punkt: Die Fake-Antivirenprogramme. Von denen wimmelt es im Netz, also auch hier: Im Prinzip nichts Neues, also kein Grund zur Panik. Allerdings ist dieser Teil des Angriffs meines Erachtens besonders geschickt gemacht: Conficker/Downadup verhindert zum eigenen Schutz den Zugriff auf (seriöse) Antiviren-Websites. Die Fake-Antivirensoftware hat also freie Bahn: Der Benutzer hat keine Möglichkeit, eine "zweite Meinung" einzuholen.

Also: Wieso in Panik ausbrechen? Dazu besteht zur Zeit überhaupt kein Grund. Sorgen machen müssen sich die Leute, deren Rechner mit dem Wurm infiziert ist. Aber das mussten sie von Anfang an, es ist egal, ob es die ursprüngliche Version des Wurms ist, die aktuelle oder eine neue, bisher nicht erschienene Variante. Schaden anrichten kann jede Variante. Die bisher aktuelle Variante tut es jetzt, OK, aber wen der Wurm bisher nicht gestört hat, den dürfte doch das bisschen Ärger mehr durch Waledac und die Fake-Virenscanner auch nicht weiter stören, oder? Ob der Rechner nun im Conficker-Botnet oder im Waledac-Botnet oder in beiden hängt, ist im Endeffekt egal, Bot ist Bot. Wen der eine bisher nicht gestört hat, darf sich jetzt über den anderen nicht beschweren.

Old Don Twitter hat 'nen Wurm

Bei Twitter zwitscherte am Samstag ein Wurm. Kaum hatte Twitter den gestoppt, kroch der nächste los. Der zweite und folgende Würmer sind nur leicht geänderte Versionen des ersten und nutzen XSS-Schwachstellen in den Profilseiten von Twitter. Anscheinend hat Twitter Schwachstellen in mehreren Feldern und behebt immer nur die, die gerade ausgenutzt werden. Haben die über Ostern nicht genug Personal, um gleich alle Fehler in einem Rutsch zu bearbeiten, oder sind die wirklich so kurzsichtig und glauben, mit dem Beheben der jeweils aktuellen Schwachstellen wäre das Problem gelöst? Die Beschreibung im Blog von Twitter erinnert mich jedenfalls fatal an Don Quijotes Kampf gegen die Windmühlen. Nun ist Twitter kein besonders wichtiger Dienst, und ob der nun funktioniert oder nicht, ist ziemlich egal (wenn auch manche Leute Twitter als besseren RSS-Reader betrachten, ein vielleicht nicht ganz unpassender Vergleich), aber ein bisschen mehr Sorgfalt könnten die schon walten lassen. Laut einem Blogeintrag von Lynne Pope mit einem Verweis auf einem Bericht auf The Register könnten die XSS-Schwachstellen bereits seit dem 20. März bekannt sein. Wenn das stimmt, wirft es kein gutes Licht auf Twitter. Denn über die Schwachstellen hätten auch z.B. iFrames zum Verbreiten von Schadcode eingeschleust werden können. Da kommen die mit diesem "Spaßwurm" noch ziemlich gut weg.

Carsten Eilers