News: ETH Life - das tägliche Webjournal

Rubrik: News	Print-Version Publiziert: 27.01.2003 06:00
Netzwerkausfall an der ETH durch "SQL Slammer" Internet-Wurm stiftete Unruhe

(cj) Wieder einmal war es soweit: Unbekannte hatten ein Programm in Umlauf gebracht, das Fehler einer auf vielen Computern installierten Software ausnutzte, um Unruhe zu stiften. Nach einer rasanten globalen Verbreitung legte es am Samstag weltweit verschiedene Bereiche des Internets lahm. Die Rede ist diesmal von einem unter anderem(1) "SQL Slammer" genannten Wurm. Dieser führte dazu dass Samstags von 06:30 bis nach 15 Uhr auch das ETH-Netzwerk fast völlig unbrauchbar war. Beispielsweise konnten ETH-Angehörige keine Email benutzen, die von der ETH aus publizierten Webdienste waren nicht mehr erreichbar, und auch die Internet-NutzerInnen, die sich von zuhause über die ETH ins Internet einwählten (Dialin, VPN), waren betroffen.

Wie schon bei den Würmern Code Red(2) und NIMDA(3) wurden wiederum Mängel in einem Produkt der Firma Microsoft ausgenutzt. Der Wurm nutzte einen Fehler in einer Komponente des Datenbankprodukts "Microsoft SQL Server" aus, der bereits seit vergangenem Juli bekannt war(4) und für welchen Microsoft in Form von Service-Paketen Nachbesserungen publiziert hatte(5). Offenbar wurden diese von einem signifikanten Anteil der Kunden (auch an der ETH) nicht installiert.

Aus den Ereignissen könnte man schliessen, dass sich die heutige Netzwerkinfrastruktur seit 1988, als der erste Internet-Wurm sein Unwesen trieb(6), bezüglich Ausfallsicherheit nicht fundamental verbessert hat.

Informatikdienste-Direktor Andreas Dudler (vgl. Kasten) stimmte auf Anfrage zu, dass die heute verwendeten Produkte und Konzepte noch nicht genügend sicher geworden sind. Er meinte aber auch: «Gegenüber den Vorfällen von 1999, als DDoS-Attacken das ETH-Netz beinahe zwei Wochen lang beeinträchtigten, konnten wir diesmal wesentlich rascher reagieren.» Angesichts der Grösse des ETH-Netzwerks haben die an der Aufräumaktion Beteiligten sicherlich ein Lob verdient.

Keine weiteren Schäden erwartet

Andreas Dudler, Direktor der Informatikdienste der ETH Zürich, nahm gegenüber ETHLife folgendermassen zur Wurm-Attacke Stellung:

«Alarmiert durch die automatische Überwachung des Datennetzes haben Mitarbeitende der Sektion Kommunikation der Infomatikdienste und der Pikett-Mitarbeiter den ganzen Samstag die notwendigen Abwehr- und Korrekturmassnahmen implementiert. Dabei ging es vor allem darum, das Netz und die Rechner der ETH vor den Angriffen zu schützen. Dazu musste für kurze Zeit auch das ganze ETH-Netz vom Internet getrennt werden.

Weiter mussten die Quellen im Netz der ETH lokalisiert werden, die selber an der Verbreitung des Wurms beteiligt waren. Die Arbeiten konnten gegen Samstag abend soweit abgeschlossen werden, dass bis auf wenige Ausnahmen, das Netz stabilisiert und wieder voll funktionstüchtig war. Einige lokale Netze mussten aber getrennt bleiben, da detaillierte Arbeiten mit den lokalen Systemverantwortlichen nötig sind. Diese Verantwortlichen sind orientiert. Bis jetzt sind keine weitergehenden Schäden bekannt, es werden auch keine erwartet. »

Literaturhinweise:

•

Trouble Ticket der SWITCH: www.switch.ch/cgi-bin/tt/ttview?view=20030125-1

Fussnoten:

	(1)	NZZ-Artikel zum Wurm: www.nzz.ch/2003/01/25/vm/page-newzzDBDTEXDD-12.html
	(2)	Code Red: www.cert.org/advisories/CA-2001-19.html
	(3)	ETH Life-Artikel zu NIMDA
	(4)	Zum Microsoft SQL Server Sicherheitsproblem: www.kb.cert.org/vuls/id/370308
	(5)	Microsoft SQL Server Service Pack: support.microsoft.com/default.aspx?scid=kb;EN-US;290211
	(6)	Internet-Wurm von 1988: world.std.com/~franl/worm.html

Sie können zu diesem Artikel ein Feedback schreiben oder die bisherigen lesen.

!!! Dieses Dokument stammt aus dem ETH Web-Archiv und wird nicht mehr gepflegt !!!
!!! This document is stored in the ETH Web archive and is no longer maintained !!!