Stuttgart - So ganz unverhofft ist die derzeitige Wurmwelle des Typs Sasser für Sicherheitsexperten nicht gekommen. Die von Sasser und seinen Varianten Sasser B, C und mittlerweile schon D angewandte Technik, wie man Suchmaschinen als Multiplikatoren von infizierten Webseiten und Rechnern nutzen kann, ist ein Ansatz zu dem, was als War Searching bezeichnet wird. In verschiedenen Dokumenten haben Experten bereits im vergangenen Jahr diese mögliche Angriffstrategie beschrieben. Sasser ist jetzt die erste Realisierung dieses Prinzips.
Der Computerwurm benutzt infizierte Rechner als Plattform für weitere Suchläufe im Internet. Er konzentriert sich dabei ausschließlich auf Rechner unter den Betriebssystemen Windows 2000 und XP - ältere Versionen von Windows sind außen vor. Sasser scannt die Rechner auf einen offenen Port hin ab, um dort seinen Code zum implementieren und einen FTP-Server zu installieren. Der wiederum führt den Job fort, und beobachtet gleichzeitig andere TCP-Ports auf eingehende Verbindungen. Die Schadensroutine von Sasser scheint sich auf Reboots des befallenen Rechner zu beschränken. Sasser ist das erste Muster der War Searching Strategie. Noch aber werden dabei nicht die großen Suchmaschinen im Web wie Google oder Yahoo benutzt. Noch ist es ein einfacher Mechanismus. Wir erwarten aber in Zukunft wesentlich komplexere Angriffe, so die Einschätzung des IT-Sicherheitsexperte Massimiliano Mandato vom IT-Dienstleister NextiraOne http://www.nextiraone.de :
Dank der geringen Schadensroutine gibt Strasser aber jetzt eine gute Chance der Prävention und der Verbesserung der Sicherheitslage. Mandato empfiehlt parallele Maßnahmen: Firewalls überprüfen und gegebenenfalls aktivieren, Sicherheitspatches von Microsoft einspielen und ein Removal-Tool wie Stinger einsetzen, um bereits vorhandene Sasser-Infektionen aufzuspüren und zu löschen. Der Sicherheitsspezialist weißt aber darauf hin, dass Technik alleine nicht ausreicht: Sicherheit muss als ein Prozess verankert sein und Richtlinien folgen. Das Sicherheitsniveau muss auch gelebt werden. Gerade portable Notebooks, die von unterschiedlichen Zugängen aus Online gehen und eventuell auch verschiedene WLAN-Umgebungen benutzen, sind sehr anfällig für jede Art von Angriff. Hier zeigen Initiativen wie etwa Ciscos Self Defending Network grundsätzliche Strategien auf, mit denen Sicherheit aktiv im Netzwerk gelebt werden kann. Die Stärke der Self Defending Network Strategie liegt nach Mandato darin, dass das Sicherheitsniveau des gesamten Netzwerks zentral adjustiert werden kann, und das Netzwerk dann selbst alle angeschlossenen Teilnehmer überprüft und Kategorien zuordnet. Auch die Distribution von Sicherheits-Patches wird dabei automatisiert.
Sicherheit ist nach Meinung des NextiraOne-Experten ein dynamischer Prozess: Wir werden immer wieder neue Angriffstechniken erleben. Ein hohes Sicherheitsniveau wird nicht final erreicht werden, sondern ist quasi immer ein Tageszustand. Dass selbst große, professionell gemanagte Netzwerke Angriffsflächen bieten, zeigen die Sasser-Meldungen über die Deutsche Post und die Nachrichtenagentur AFP. Ein Security-Check, wie er sich leicht in ein oder zwei Tagen durchführen lässt und eine daran anschließende klare Sicherheitsstrategie ist im Grunde für jedes Netzwerk unerlässlich, kommentiert Mandato die aktuelle Situation.
X