{"id":1920,"date":"2013-11-04T16:00:22","date_gmt":"2013-11-04T16:00:22","guid":{"rendered":"http:\/\/kasperskydaily.com\/germany\/?p=1920"},"modified":"2020-02-26T18:29:22","modified_gmt":"2020-02-26T16:29:22","slug":"der-morris-wurm-wird-25","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/der-morris-wurm-wird-25\/1920\/","title":{"rendered":"Der Morris-Wurm wird 25"},"content":{"rendered":"<p>An diesem Wochenende war ein weniger sch\u00f6nes Jubil\u00e4um: Vor 25 Jahren wurde das erste Computer-Schadprogramm ver\u00f6ffentlicht, das sich stark genug verbreitete, um in den Fernsehnachrichten erw\u00e4hnt zu werden. Der ber\u00fchmt-ber\u00fcchtigte Morris-Wurm, geschrieben von einem Studenten der Cornell University, infizierte etwa 10 Prozent der mit dem Internet verbundenen Computer. Genauer gesagt, waren es etwa 6 von 60.000 Computern, was heute vielleicht nach l\u00e4cherlich wenig klingt, doch dieser \u201epr\u00e4historische\u201c Fall ist tats\u00e4chliche etwas besonderes, da er bereits <a href=\"https:\/\/threatpost.com\/google-project-shield-to-protect-sensitive-sites-from-ddos-attacks\" target=\"_blank\" rel=\"noopener nofollow\">DDoS<\/a>, <a href=\"https:\/\/www.kaspersky.com\/blog\/exploit\/\" target=\"_blank\" rel=\"noopener nofollow\">Exploits<\/a>, <a href=\"https:\/\/eugene.kaspersky.com\/2011\/11\/16\/rooting-out-rootkits\/\" target=\"_blank\" rel=\"noopener\">Stealth-Technologien<\/a>, Bruteforce-Attacken auf Passw\u00f6rter und andere Methoden nutzte, die in modernen Schadprogrammen laufend zum Einsatz kommen. Zudem endete der Fall mit der ersten <a href=\"https:\/\/www.kaspersky.com\/blog\/october-top-cybercriminal-prosecutions-of-the-month\/\" target=\"_blank\" rel=\"noopener nofollow\">Verurteilung<\/a> in den USA nach dem Computer Fraud and Abuse Act von 1986.<\/p>\n<p><a href=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/96\/2013\/11\/06133303\/morris.jpeg\"><img loading=\"lazy\" decoding=\"async\" class=\"aligncenter\" alt=\"Virus morris\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/96\/2013\/11\/06133303\/morris.jpeg\" width=\"640\" height=\"420\"><\/a>Und dank YouTube k\u00f6nnen wir ansehen, wie das Fernsehen im Jahr 1986 dar\u00fcber berichtete:<\/p>\n<p><span class=\"embed-youtube\" style=\"text-align:center; display: block;\"><iframe class=\"youtube-player\" type=\"text\/html\" width=\"640\" height=\"390\" src=\"https:\/\/www.youtube.com\/embed\/G2i_6j55bS0?version=3&amp;rel=1&amp;fs=1&amp;showsearch=0&amp;showinfo=1&amp;iv_load_policy=1&amp;wmode=transparent\" frameborder=\"0\" allowfullscreen=\"true\"><\/iframe><\/span><\/p>\n<p>Und nun berichten wir dar\u00fcber vom Standpunkt der IT-Sicherheit.<\/p>\n<p>Damals beschloss Robert Tappan Morris, ein Student der Cornell University, \u201edie Gr\u00f6\u00dfe des Internets zu vermessen\u201c. Um das zu schaffen, schrieb er ein kompliziertes Programm, das sich selbst \u00fcber das Netzwerk verbreiten und Versuche anderer, es zu stoppen, verhindern konnte. Man sieht nat\u00fcrlich gleich, dass diese Funktionalit\u00e4t genau der <a href=\"https:\/\/www.kaspersky.com\/blog\/a-malware-classification\/\" target=\"_blank\" rel=\"noopener nofollow\">Definition eines Computerwurms<\/a> entspricht.Der Morris-Wurm wurde nicht entwickelt, um Schaden anzurichten, doch ein Programmierfehler f\u00fchrte zu einer Vielzahl von Infizierungen auf jedem einzelnen Computer, so dass Server \u00fcberbelastet wurden und nicht mehr antworteten. Klingt wie eine DDoS-Attacke, richtig?<\/p>\n<p>Um sich selbst \u00fcber das Internet zu verteilen, nutzte der Wurm die gleiche Technologie wie seine modernen Enkel: Er nutzte Sicherheitsl\u00fccken aus. Im Fall des Morris-Wurms waren drei verschiedene Sicherheitsl\u00fccken betroffen. Fehler in der Finger-und Sendmail-Implementation in beliebten Unix-basierten Systemen erlaubten die Ausf\u00fchrung von Programmcode. War diese Taktik nicht erfolgreich, versuchte der Wurm die rsh (remote shell) zu missbrauchen, die normalerweise f\u00fcr die entfernte Administration genutzt wird. Um rsh zu nutzen, werden ein Login und ein Passwort ben\u00f6tigt, also hat der Morris-Wurm diese mit einer Bruteforce-Attacke geknackt. Mit einem kleinen Lexikon von 400 Worten wurde dabei eine erstaunlich hohe Erfolgsquote erreicht \u2013 und nat\u00fcrlich auch, weil manche Passw\u00f6rter und Login-Namen gleich waren, oder aus den selben Buchstaben, nur anders herum geschrieben, bestanden. Auch heute ist vielen noch nicht klar, dass <a href=\"https:\/\/www.kaspersky.com\/blog\/21st-century-passwords\/\" target=\"_blank\" rel=\"noopener nofollow\">starke Passw\u00f6rter enorm wichtig sind<\/a> \u2013 und vor 25 Jahren wussten das nicht einmal System-Administratoren.<\/p>\n<p>War er erfolgreich in einen Computer eingedrungen, \u00e4nderte der Wurm seinen Prozessnamen, l\u00f6schte tempor\u00e4re Dateien und ergriff noch einige weitere Ma\u00dfnahmen, um sich zu verstecken, unter anderem verschl\u00fcsselte er seine Daten im Speicher. Eine der ersten Aktionen war es, zu pr\u00fcfen, ob der Computer bereits infiziert ist. Wenn eine andere Kopie gefunden wurde, \u201ew\u00fcrfelten\u201c die beiden Kopien aus, welche sich selbst zerst\u00f6ren sollte. Vielleicht war es ein Fehler von Morris, vielleicht war es eine Ma\u00dfnahme, um eine \u201eDesinfizierung\u201c zu verhindern, doch eine von sieben Kopien h\u00f6rte schlie\u00dflich auf, das \u201e\u00dcberlebensspiel\u201c zu spielen und arbeitete ganz normal weiter, egal, ob andere Kopien auf dem Computer vorhanden waren. Und genau das f\u00fchrte zum DDoS-Effekt. Der Koeffizient von \u00a01\/7 stellte sich als \u00fcberaus hoch heraus und manche Computer wurden dutzende (!) Male infiziert.<\/p>\n<p>Obwohl sie weder technisch noch gedanklich auf W\u00fcrmer vorbereitet waren, haben die System-Administratoren in den USA schnell reagiert. Am MIT und der University of California in Berkeley wurden zwei Arbeitsgruppen gegr\u00fcndet, die nur zwei Tage ben\u00f6tigten, die Sicherheitsl\u00fccken, die der Wurm ausnutzte, zu finden und zu schlie\u00dfen, sowie den Wurm selbst zu zerlegen.Das war das Ende des Wurms. Allerdings gehen Sch\u00e4tzungen davon aus, dass das Entfernen der Infizierungen zwischen 100.000 und 10 Millionen Dollar gekostet hat.<\/p>\n<p>Interessant ist, dass Morris\u2018 Bem\u00fchungen, anonym zu bleiben, erfolgreich gewesen w\u00e4ren. Ge\u00e4ndert wurde das von seinem Vater Robert Morris, Co-Autor des Unix-Betriebssystems und Chief Scientist am National Computer Security Center der NSA. Er \u00fcberzeugte seinen Sohn, alles zu gestehen. Das Gericht zog dies in Betracht, so dass das Urteil f\u00fcr Morris junior milde ausfiel: drei Jahre auf Bew\u00e4hrung, eine Geldstrafe von 10.000 Dollar und 400 Stunden gemeinn\u00fctziger Arbeit. F\u00fcr Morris war das Ganze wohl nicht so schlecht, denn er wurde zu einem respektablen Mitglied der Computer-Gesellschaft. Zu seinen sp\u00e4teren Errungenschaften geh\u00f6rten Viaweb, eine der ersten Online-Shop-Plattformen (die sp\u00e4ter an Yahoo verkauft und unter dem neuen Namen Yahoo Store gef\u00fchrt wurde), die Gr\u00fcndung des Startup-Fonds Y Combinator, die Mitarbeit bei der Entwicklung neuer Programmiersprachen und eine Professur am MIT.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>An diesem Wochenende war ein weniger sch\u00f6nes Jubil\u00e4um: Vor 25 Jahren wurde das erste Computer-Schadprogramm ver\u00f6ffentlicht, das sich stark genug verbreitete, um in den Fernsehnachrichten erw\u00e4hnt zu werden. Der ber\u00fchmt-ber\u00fcchtigte Morris-Wurm, geschrieben von einem Studenten der Cornell University, infizierte etwa 10 Prozent der mit dem Internet verbundenen Computer.<\/p>\n","protected":false},"author":32,"featured_media":1921,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2711],"tags":[747,745,746,382],"class_list":{"0":"post-1920","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"tag-ddos","9":"tag-morris","10":"tag-morris-wurm","11":"tag-sicherheitslucken"},"hreflang":[{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/der-morris-wurm-wird-25\/1920\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.de\/blog\/tag\/ddos\/","name":"DDoS"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/1920","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/users\/32"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/comments?post=1920"}],"version-history":[{"count":2,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/1920\/revisions"}],"predecessor-version":[{"id":22618,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/1920\/revisions\/22618"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media\/1921"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media?parent=1920"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/categories?post=1920"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/tags?post=1920"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}