Berühmte Schädlinge : Slammer

Berühmte Schädlinge : Slammer

25. Januar 2003

In den frühen Morgenstunden dieses Samstags geschieht im Internet unglaubliches. In knapp einer halben Stunde geht die Leistung des gesamten Internets merklich zurück. Der Zustand dauert fast vier Stunden an.

Von den existierenden 13 so genannten Root-DNS-Servern des Internets, die für die Auflösung von Internetadressen zuständig sind, fallen fünf vollständig aus. Die anderen dieser Server lassen sich zeitweise nicht mehr korrekt ansprechen. Aus irgendeinem Grund herrscht im Internet ein so reger Datenaustausch, dass die Geschwindigkeit des Netzes beinahe gegen Null geht.

In Amerika muß die Bank of America feststellen, dass rund 13.000 Geldautomaten ausgefallen sind. American Express kann aufgrund von Problemen beim Zugriff auf Kundendaten nicht arbeiten.

International trifft es Südkorea am härtesten. Im Land mit der höchsten Onlinequote der Welt muß der größte Internetanbieter des Landes KT Corp. zeitweise komplett den Betrieb einstellen. Die Börse in Seoul erlebt wegen des massiv gestörten Onlinehandels ein Dreizehn-Monats-Tief.
China riegelt das nationale Internet direkt komplett ab.

Der Verursacher des ganzen Chaos ist ein gerade einmal knapp 400 Zeichen (Byte) kleiner Wurm. Er nutzt eine Sicherheitslücke in Microsofts Datenbankflaggschiff, dem MS SQL Server aus und legt innerhalb einer halben Stunde fast 75.000 von ihnen lahm.
Die Sicherheitslücke ist zu diesem Zeitpunkt schon rund ein halbes Jahr bekannt. Und nicht nur SQL Server sind betroffen, sondern alle Produkte, welche die so genannte Microsoft Data Engine verwenden. Dazu zählen auch das Bürosoftwarepaket Office oder die Projektmanagementsoftware Project.

Slammer, so der Name des Wurms, nutzt die Tatsache, dass der MS SQL Server mehrere Ports zur Annahme von Anfragen abhört. Anwendungen senden dazu ein Datenpaket an den Server, um zunächst zu erfragen, auf welchem Wege sie sich verbinden dürfen. Ist das Paket entsprechend manipuliert, kommt es zu einem so genannten Buffer Overflow. Dadurch kann ein Angreifer seinen eigenen Code, in diesem Falle den Code des Wurms, in den Speicher legen und ausführen.

Dabei besitzt der Slammer nicht einmal eine echte Schadfunktion. Er erzeugt ganz einfach Zufallsadressen, an die er sich auf einem bestimmten Port weiter zu versenden versucht. Dabei nutzt er allerdings die gesamte Leistungskapazität des Computers sowie die ganze Bandbreite der zur Verfügung stehenden Internetverbindung aus. Viele der generierten Adressen existieren nicht, bei existenten ist der gewünschte Port geschlossen. Es kommt zu einer Flut von Antworten auf die Verbindungsversuche.

Slammer passte aufgrund seiner Größe in ein einzelnes Datenpaket. Innerhalb der ersten Stunde nach seinem Ausbruch waren bereits zwischen 100.000 und 130.000 Computer infiziert. Durch die hohe Beanspruchung der "Hauptleitungen" des Internet brachen große Teile der Leistung weg.

Doch schließlich stolperte der Slammer über seine eigene Effizienz. Da inzwischen viele Administratoren die angegriffenen Maschinen abgeschaltet oder vom Netz getrennt hatten, wurde dem Slammer die Grundlage entzogen. Wegen der fehlenden Übertragungskapazitäten konnte er sich schließlich nicht mehr ausreichend weiterverbreiten, so dass die Flut zum Erliegen kam. Um etwa 16.30 Uhr des gleichen Tages, etwa elf Stunden nach der ersten Infektion, war das größte Chaos überstanden.

Es kann von Glück geredet werden, dass der Slammer anscheinend nur eine "Machbarkeitsstudie" war. Weder hat der Wurm Daten zerstört, noch hat er welche ausgespäht. Er hat sich noch nicht einmal auf Festplatten geschrieben, sondern war nur im Speicher des Computers aktiv. Ein Neustart, und die Infektion war vorüber.