Schwachstellen
Wir reisen ins Jahr 2000. Es ist ein gewöhnlicher Tag im Büro mitten im Mai: Sie schalten Ihren Arbeitscomputer ein, verbinden sich mit dem Internet und laden die neuesten E-Mails im Microsoft Outlook-Client herunter. Sofort fällt Ihnen eine Nachricht mit dem Betreff „ILOVEYOU“ ins Auge. Eine Ihnen bekannte Person gesteht Ihnen ihre Liebe. Vielleicht ein Schulfreund… Moment, nein! Noch besser – Ihr ehemaliger Vorgesetzter.
Egal, wer hinter der Nachricht steckt, die Person hat auf jeden Fall Ihr Interesse geweckt. Also klicken Sie auf die angehängte Datei mit dem Namen „LOVE-LETTER-FOR-YOU.TXT.VBS“ und… es passiert nichts. Einige Zeit später stellen Sie jedoch fest, dass wichtige Dokumente auf Ihrer Festplatte irreparabel beschädigt und eine Reihe ähnlicher Liebesbriefe in Ihrem Namen an alle Kontakte in Ihrem Adressbuch verschickt wurden.
Eine E-Mail mit dem Wurm Loveletter im alten E-Mail-Client von Microsoft. Quelle
Loveletter war nicht die erste Malware, die eine Schwachstelle im E-Mail-Client von Microsoft ausnutzte. Dennoch löste das Schadprogramm einen der schwerwiegendsten Virenausbrüche zu Beginn des neuen Jahrtausends aus. Lassen Sie uns erneut einen Blick auf die Geschichte der Malware werfen und darüber sprechen, wie der Vorfall unsere Wahrnehmung der Sicherheit von Computersystemen bis heute verändert hat.
Die Trend-Ära „Internet“ bricht an
Wir schreiben das Jahr 2000… aus heutiger Sicht erscheint es uns fast wie eine prähistorische Zeit. Heute kann man sich archivierte Kopien von Websites aus dieser Zeit ansehen oder einen alten Windows-98-Laptop aus dem Schrank holen, um sich daran zu erinnern, welche Programme wir damals benutzt haben – fast wie in der Steinzeit, nicht wahr? Naja, nicht ganz. Natürlich war die Technologie um die Jahrtausendwende nach heutigen Maßstäben primitiv. Die überwiegende Mehrheit der Nutzer stellte per Modem eine ungeheuer langsame Verbindung zum Internet her, aber Prototypen fast aller modernen Netzdienste gab es schon damals.
Zwar gab es kein Videostreaming, dafür aber Radiostreaming; und zahlreiche Online-Messenger. Der Onlinehandel entwickelte sich in rasantem Tempo, auch wenn das Platzieren einer Bestellung auf einer Website deutlich anspruchsvoller war, als diese einfach per Telefon persönlich aufzugeben.
Generell erhielt im Jahr 2000 jede Netzwerktechnologie oder jeder Dienst mit der Vorsilbe „e-“ (d. h. elektronisch) viel Aufmerksamkeit und unzählige Fördermittel. Deshalb war die Enttäuschung wenig später, im Jahr 2001, umso größer, als viele Internet-Start-ups Konkurs anmeldeten und der Hype um diese Branche ein wenig abflachte, dafür aber an Sinn gewann.
Ein wichtiger Indikator dafür, wie weit verbreitet das Internet damals schon war, ist die 1998 veröffentlichte Komödie e-m@il für Dich, die fast zur Hälfte aus Werbung für den damaligen Mediengiganten America Online (AOL) bestand.
Ende der 90er galt das Internet längst nicht mehr als priviligiertes Gut: Im Jahr 2000 waren bereits Hunderte von Millionen Menschen online miteinander vernetzt. So war die E-Mail bereits ein wichtiges Instrument für die Kommunikation und Zusammenarbeit in vielen Unternehmen und Behörden, aber auch für gewöhnliche Privatnutzer.
Im Mai 2000 wurde diese „digitale Transformation“, wie man sie Jahre später betiteln würde, durch den Ausbruch des Virus Loveletter jedoch jäh gestoppt. Viele Unternehmen sahen sich gezwungen, ihre Mailserver vorübergehend zu deaktivieren, da sie die unzähligen Liebesbotschaften einfach nicht mehr bewältigen konnten.
Konzept.B und Melissa
Streng genommen müsste Loveletter als Netzwerkwurm eingestuft werden: Ein Schadprogramm, das sich selbst über das Netzwerk verbreitet. Ein weiteres Hauptmerkmal von Loveletter war, dass die Erstinfektion über ein einfaches VBscript-Programm erfolgte. VBscript wiederum basiert auf der noch älteren Idee der Makros: einfache Programme, die es ermöglichen, bestimmte Aktionen zu automatisieren – zum Beispiel bei der Arbeit mit Dokumenten.
Am häufigsten werden Makros verwendet, um komplexe Berechnungen in Tabellenkalkulationen wie Microsoft Excel durchzuführen. Seit jeher werden Makros auch in Microsoft Word unterstützt, z. B., um automatisch Berichte aus eingegebenen Daten zu erstellen.
1995 wurde diese Word-Funktion von dem Virus WM/Concept.A ausgenutzt. Dieser Makro-Virus infizierte Microsoft-Word-Dokumente und zeigte beim Öffnen des Dokuments folgende Meldung an:
Dazu führte eine Infektion mit dem Makro-Virus Concept.A. Quelle
Mehr steckte nicht dahinter. Es gab keine schädliche Funktion als solche, nur dieses ziemlich lästige Fenster, das immer wieder auf dem Bildschirm erschien. Der ehemalige Microsoft-Mitarbeiter Steven Sinofsky, der von 1998 bis 2006 für die Entwicklung der Office-Lösungen des Unternehmens verantwortlich war, bezeichnet Concept.A in seinen Memoiren als erstes Signal: Zu diesem Zeitpunkt wurde klar, dass die in allen Microsoft-Lösungen implementierte Automatisierung zu ihrem Nachteil genutzt werden kann. Daraufhin wurde beschlossen, vor der Ausführung von Makros eine Warnung anzuzeigen.
Nachdem Microsoft anfing die Ausführung von Makros einzuschränken, suchten die Autoren von Schadprogrammen nach Möglichkeiten, diese Einschränkungen zu umgehen. Das nächste namenhafte Ereignis fand im März 1999 statt. Steven Sinofsky beschrieb den Ablauf des Vorfalls wie folgt: Beim Abruf Ihrer E-Mails, erhielten Sie eine Nachricht mit einer angehängten Datei und dem Betreff „Wichtige Nachricht von…“.
Mit dem Melissa-Virus infizierte Nachricht. Source
[cybersecurity-history-Loveletter-3]
[Caption: Mit dem Melissa-Virus infizierte Nachricht. „https://www.fastcompany.com/90500378/Loveletter-virus-microsoft-steven-sinofsky-book“>Source]
[Alt/title: Mit dem Melissa-Virus infizierte Nachricht.]
Darauf folgte eine weitere Nachricht von einem anderen Absender. Und noch eine. Und plötzlich funktionierten die E-Mails gar nicht mehr: Sogar der E-Mail-Server von Microsoft konnte die Last nicht mehr bewältigen. Dahinter steckte der Wurm Melissa. Das angehängte Microsoft Word-Dokument enthielt Schadcode, der über Microsoft Outlook eine Nachricht an die ersten 50 Kontakte im Adressbuch schickte.
Nur die Liebe zählt
Der Wurm Loveletter war sozusagen eine Evolution der in Melissa verwendeten Ideen. Er nutzte keine Sicherheitslücke in Microsoft-Produkten aus, sondern verwendete stattdessen Standardfunktionen. Der einzige Fehler war, dass keine Warnung angezeigt wurde, wenn das Skript vom Outlook-E-Mail-Client ausgeführt wurde.
Die Funktionalität des Wurms beschränkte sich nicht auf das Versenden von Liebesbriefen an alle Kontakte des Absenders. Neben E-Mail-Spam, der im Namen des Opfers verschickt wurde, konnte er sich auch über den damals sehr beliebten Messenger IRC verbreiten. Darüber hinaus lud der Wurm ein Trojaner-Programm herunter, das die Passwörter für den E-Mail- und Internetzugang an die Entwickler der Malware übermittelte. Schließlich löschte, versteckte oder beschädigte er Dateien auf der Festplatte: Musik im MP3-Format, JPEG-Bilder, eine Reihe von Skripten und Kopien von Webseiten.
Der Entwickler des Loveletter-Computerwurms übernahm Funktionalitäten früherer Makroviren, ließ sich einen ultimativen Social-Engineering-Trick einfallen (wie könnte jemand eine Datei mit dem Namen „I love you“ ignorieren?), fügte dem Ganzen schädliche Funktionen hinzu und nutzte die automatische Verbreitung von Malware optimal aus.
Beschreibungen von Kaspersky und anderen Medienberichten aus dieser Zeit zufolge lässt sich der Ablauf der Ereignisse rekonstruieren. Bereits am ersten Tag, dem 4. Mai, wurden Tausende von Systeminfektionen festgestellt. Am 9. Mai wurden 2,5 Millionen infizierte Computer gemeldet, was bedeutet, dass Millionen von E-Mails weltweit verschickt worden sind.
Der Entwickler des Virus hat nicht einmal versucht, den Schadcode unter dem Deckmantel eines Office-Dokuments zu verstecken. Der Dateiname „LOVE-LETTER-FOR-YOU.TXT.VBS“ nutzte die Tatsache aus, dass der Mail-Client von Microsoft lediglich den ersten Teil eines langen Namens anzeigte, wie auf dem Screenshot am Anfang des Artikels zu sehen ist. Der darin enthaltene Code lag in einem offenen Format vor, und schon bald machten ihn sich viele weitere Angreifer zunutze, um verschiedene Varianten des Internet-Wurms zu erstellen. Anstelle von Loveletter tauchten dann andere Wörter in der Betreffzeile auf, darunter auch unverschämte Virenwarnungen. Die Variante NewLove, die am 19. Mai entdeckt wurde, löschte dann keine spezifischen Dateien mehr, sondern direkt alle auf der Festplatte vorhandenen Informationen.
Die endgültigen Schätzungen über die Auswirkungen des Loveletter-Virus lauten wie folgt: Ca. 10 % der mit dem Internet verbundenen Computer waren infiziert wobei der Gesamtschaden auf etwa 10 Milliarden US-Dollar geschätzt wird.
Fehlentscheidungen
Heute, im Jahr 2022, stellt man sich vor allem folgende Frage: Hätte der Ausbruch eines so banalen Virus nicht von Anfang an verhindert werden können? Erst am 8. Juni 2000 veröffentlichte Microsoft ein größeres Sicherheitsupdate für den E-Mail-Client Outlook, mit dem endlich ernsthafte Einschränkungen für die Ausführung von Skripts eingeführt wurden. Mit diesem Update wurden E-Mail-Anhänge standardmäßig als nicht vertrauenswürdig eingestuft, und externe Anwendung zunächst geprüft, wenn sie versuchten auf das Outlook-Adressbuch zuzugreifen oder mehrere E-Mails gleichzeitig zu versenden.
Nach einem Update im Juni 2000 warnte der Outlook-E-Mail-Client die Benutzer vor einer externen Anwendung, die auf das Adressbuch zugreift und versucht, mehrere Nachrichten gleichzeitig zu versenden.Quelle
Die Einführung dieser Funktionen ließ auf sich warten, weil Microsoft und seine Nutzer bei der Wahl zwischen Sicherheit und Bequemlichkeit Letzteres bis dato vorzogen. Als Microsoft 1995 eine einfache Warnung in Microsoft Word implementierte („Dieses Dokument enthält Makros“), erhielt das Unternehmen negative Rückmeldungen von seinen Kunden. In einigen Fällen führte diese zusätzliche Warnung dazu, dass interne Prozesse, die auf Skripten basierten, plötzlich nicht mehr ordnungsgemäß funktionierten. Aus diesem Grund stand auch bei der Entwicklung eines Patches im Zuge von Loveletter die Frage „Was bedeutet das für unsere Nutzer?“ an erster Stelle; dennoch war klar, dass die Sicherheit umgehend verbessert werden musste.
Alter Virus, neuzeitige Probleme
Die Loveletter-Epidemie hat viele Fragen aufgeworfen, die auch heute noch im Bereich der Informationssicherheit relevant sind. Die Frage, ob Patches möglicherweise nicht schneller veröffentlicht werden können, steht dabei im Vordergrund. Denn Probleme diesbezüglich gab es damals bereits: Microsoft veröffentlichte ein Patch-Kit für Outlook mehr als einen Monat nach Beginn des Ausbruchs. Und auch die automatischen Zustellungsmechanismen für diese Updates waren rudimentär, was zur Folge hatte, dass es lange dauerte, bis lokale Ausbrüche gestoppt werden konnten.
Die Branche der Sicherheitslösungen hatte sich in dieser Hinsicht bereits als sehr nützlich erwiesen. Wie sich Eugene Kaspersky erinnert, war es nicht schwer, die Nutzer der Antivirenprogramme des Unternehmens zu schützen. Schon damals wurde in der Sicherheitssoftware ein System zur Online-Bereitstellung regelmäßiger Updates eingeführt, während es noch viele Jahre dauerte, bis die Entwickler anderer Programme ein ähnliches System zur schnellen Verteilung von Patches einführten. Wenig später wurden heuristische Analysemethoden entwickelt, um auch unbekannte bösartige Skripte automatisch zu erkennen und zu blockieren.
Obwohl sich die Sicherheit gängiger Programme und Betriebssysteme in den letzten 22 Jahren enorm verbessert hat, finden die Entwickler von Malware immer wieder neue Schlupflöcher für erfolgreiche Cyberangriffe.
Auch schädliche Makros gibt es bis heute. Im Februar 2022 schränkte Microsoft die Möglichkeit ihrer Verbreitung endgültig ein, indem die Ausführung von Skripten in Office-Dokumenten, die über das Internet bezogen werden, verboten wurde. Anfang Juli 2022 wurde dieses Verbot allerdings erneut aufgehoben. Nur 5 Monate später, im Juli diesen Jahres, beschloss Microsoft erneut, Makros standardmäßig zu blockieren, fügte allerdings die Option hinzu, diese Einschränkung zu umgehen.
Zwar gibt es mittlerweile deutlich weniger groß angelegte Ausbrüche, bei denen sich ein Schadprogramm auf Dutzende oder Hunderte Millionen von Computern ausbreitet, aber vollständig können sie noch immer nicht verhindert werden. Was sich definitiv geändert hat, ist die Art und Weise, wie mit Cyberangriffen Geld gemacht wird, indem für Unternehmens- und Nutzerdaten Lösegeld gefordert wird.
Beenden möchten wir diesen Beitrag mit einer kurzen Zusammenfassung des Schicksals des Entwicklers von Loveletter. Onel de Guzman war zu dem Zeitpunkt des Ausbruchs ein 24-jähriger Student. Im Jahr 2000 fanden FBI-Beamte heraus, dass die ursprünglichen Nachrichten, die den Wurm enthielten, an beliebte Mailinglisten für Benutzer von den Philippinen geschickt worden waren, wo Guzman bis heute lebt. Im Jahr 2000 wurde er zwar auf die Liste der mutmaßlichen Urheber von Loveletter gesetzt, jedoch aus aufgrund mangelnder Beweise und das Fehlen eines Strafrechtsartikels für Cyberkriminalität im lokalen Recht nicht weiter strafrechtlich verfolgt.
Im Jahr 2020 wurde Guzman von Journalisten ausfindig gemacht. Ihnen berichtete er, dass Loveletter ursprünglich keine Massenversandfunktion für das Outlook-Adressbuch hatte und dass er den Wurm entwickelt hatte, um Internetpasswörter zu stehlen, weil er sich einen Internetzugang selbst nicht leisten konnte. De Guzman hat es nie geschafft, seine „Talente“ zu Geld zu machen. Zum Zeitpunkt der Veröffentlichung des Artikels arbeitet er in einer bescheidenen Werkstatt für Telefonwerkstatt in Manila.
Tipps