Kräftig getrommelt wurde von allen Seiten, als Anfang der Woche die ersten Virenwarnungen herumgeisterten. Bis zum heutigen Samstag ist die riesige Seifenblase allerdings scheinbar schon geplatzt, bevor die Attacke überhaupt beginnen konnte.
Das mit dem “I love you”, das hatten wir doch schon mal, erinnert sich wohl noch der ein oder andere an den Virus vom Jahresbeginn. Und so sprach Anne Will in den Tagesthemen auch augenzwinkernd von einer neuen Liebesbotschaft, die da gerade durch das weltweite Netz geistere. Virenwarnung in den Tagesthemen, das kommt ja nun wirklich nicht alle Tage vor. Und während sich auch die großen Nachrichtenmagazine vom Spiegel bis zum Stern auf die Meldungen stürzen, werden Sie bei Heise gleich selbst produziert. Findige Journalisten decken auf: Blackout in Nordamerika und ein Wurm im Netz, das kann doch kein Zufall sein.
Das war aber freilich nur eine der Meldungen, die um das Wurm-Ereignis herumgestrickt wurden, denn eigentlich ist ja jemand ganz anderes im Focus: Bills allseits beliebter Weltkonzern Microsoft – wer auch sonst. Die hauseigene Update-Seite sollte mit einem LoveSan-Angriff von tausenden Rechnern aus aller Welt kräftig ins Schwitzen kommen. Auch wenn die dazu ausgenutzte Sicherheitslücke bereits am 16. Juli vom Redmonder Konzern öffentlich gemacht wurde, interessiert hatte es bisher nicht wirklich. Microsoft nicht und die nun so arg gebeutelten Heimanwender schon gar nicht. Denn wer traut schon einer Microsoft-Updateseite. Da wird doch spioniert – oder etwa nicht?
Und so hätte es der Bill heute wohl faustdick abgekriegt, wenn, ja wenn er nicht das unverschämte Glück gehabt hätte, einen recht – man nehme es nicht persönlich – beschränkten Hacker erwischt zu haben. Bereits im Vorfeld hatten Sicherheitsexperten aus allen Ecken abfällig festgestellt, dass der Wurm so schlecht programmiert sei, dass er sich bei der Ausbreitung selbst behindere. Und nun noch das: Im viel beäugten Quellcode ist die Adresse windowsupdate.com zu finden. Glück für den Bill, denn das ist nur eine simple Weiterleitung auf die eigentliche Adresse, und die kann er jetzt einfach schnell abschalten – seine Update-Seite funktioniert trotzdem noch. Und wird besser besucht denn je.
“Das Softwareunternehmen hat rechtzeitig reagiert”, schallt es gerade in den 14.00-Uhr-Nachrichten aus meinem Radio. Vier Tage Abwehr-Arbeit und dafür eine nahezu kostenlose Werbekampagne, die sich gewaschen hat: Denn schließlich wird spätestens ab morgen auch die letzte Oma im Fernsehsessel wissen: Microsoft, die tun was! Rechtzeitig reagiert ist aber wohl etwas anderes. Eher schon im letzten Moment rechtzeitig Schadensbegrenzung betrieben, und das nicht zum ersten Mal. Wie es sein kann, dass sich Windows 2000 und XP-User mit Sicherheitsupdates schützen müssen während Windows 95, 98 und ME-Nostalgen gemütlich in der Sonne liegen bleiben können, ist da nur eine von vielen weiteren Fragen.
Ein Weltkonzern und seine Kunden. Ein (Kommunikations-)Problem. To be continued…
Links zum Thema:
Microsoft Windows Update
Heise: Doch ein Zusammenhang zwischen Blackout und Windows-Wurm?
Infos des Bundesamtes für Sicherheit in der Informationstechnik zum Virus
(Gast | 16.08.03)
Sorry, da sprichst Du teilweise “Unfug”.
Das Würmchen ist wirklich sehr weit rumgekommen, einige “kleinere” Unternehmen haben längere Pausen eingeführt deshalb (BMW war dicht).
Außerdem war ich die letzten 3 Tage nur wegen dem Scheiß unterwegs.
(Wobei einige NUR andere Viren auf dem PC hatten ;D)
Richtig ist aber, dass das echte Ziel M$ bzw. ganz korrekt windowsupdate.com zu “killen” nicht erreicht wurde. Es wurden aber genügend PCs lahmgelegt.
Nett ist übrigens das Tool von M$ welches testen soll, ob (in einem Netz) die PCs gesichert sind. Es funzt nicht.
Letzte Änderung von Chris von der Osten am 16.08.03, 17:05.
Hallo Chris, kann den “Unfug” gerade nicht entdecken, da der Artikel in Aussagen wie “die arg gebeutelten Heimanwender” durchaus deutlich darauf hinweist, dass der Wurm hier Probleme bereitet hat.
Kernpunkte (der Kritik) sind aber im Artikel vielmehr auch ganz andere Dinge. Insbesondere zielt er darauf ab, dass Microsoft hier mit einem “blauen Auge” davon gekommen ist und eben NICHT alles so glatt gelaufen ist, wie jetzt so mancher den Anschein erweckt. In diesem Punkt glaube ich, dass du den Artikel missinterpretiert hast.
Dass der Wurm beim eigentlich Zweck seiner Verbreitung ins Leere gelaufen zu sein scheint, da sind wir uns ja einig. Dazu, dass der Wurm in anderen Bereichen aber durchaus Wirkung gezeigt hat, stellt der Artikel zudem Fragen, woran es liegen kann, dass die meisten spät oder zu spät reagiert haben. Schließlich war eigentlich alles bekannt und hätte überhaupt kein Problem sein dürfen: “Denn wer traut schon einer Microsoft-Updateseite. Da wird doch spioniert – oder etwa nicht?”
Oder kurz gesagt: Microsoft hat (wieder einmal) mehr oder weniger Glück gehabt, und der normale User im schlimmsten Fall das Dingen am Hals… Die Gründe dazu sollten wie im Artikel angestoßen einmal hinterfragt werden.
Insgesamt glaube ich, dass das ein interessantes Diskussionsthema sein kann. Weniger der Wurm und sein Vorhandensein an sich, als vielmehr vielleicht das, was ich im letzten Satz angedeutet habe…
Das mit dem MS-Tool passt perfekt in dieses Bild ;D:P;-)
Letzte Änderung von Daniel Korioth am 17.08.03, 22:19.
Kurz gesagt: Ich stimme Daniel zu. ;D
Warum wird hier an keiner Stelle erwähnt, welche Hilfsmittel auch dem so ”arg gebeutelten” Privatmann zur Verfügung stehen?
Gerade diesem Würmchen war doch sehr einfach beizukommen – da der Remote Procedure Call dedizierte Ports benutzt … dann sperre ich diese Ports für externe Aufrufe und kann sie trotzdem im lokalen Netzwerk nutzen.
Oder warum wird nicht darauf hingewiesen, dass win2k eine interne Firewall besitzt, die sich einfach konfigurieren lässt.
Natürlich ist es einfacher auf einen Monopolisten zu schimpfen … schade!!!
Wäre es nicht mal wieder ein guter Anlass, den Anwender über UNIX und seine Derrivate zu informieren?
Aus Mittelhessen grüsst
(der) Wilfried
Augen auf :-)
Unter dem Artikel gibt es einen direkten Link zur entsprechenden Informationsseite mit allen nötigen Infos des Bundesamtes für Sicherheit in der Informationstechnik zum Virus. Der Umstand, dass man sich schützen kann / muss als Nutzer der entsprechenden Betriebssysteme ist enthalten.
Ich kann mich auch bei einem Artikel über einen Gartenteich darüber aufregen, dass er nicht noch ein umfassendes Lexikon zur Algenbekämpfung mitliefert. (Komm gerade drauf, weil wir gerade einen buddeln *g* :-) )
Bei einem Artikel der sich “News” nennt, gibt es zudem immer eine gewisse “Lesbarkeits”-Grenze was Länge und (inhaltlichen) Umfang angeht. Für einen ausführlichen Report empfehle ich den Kauf eines 200 Seiten starken PC-Magazins. :-)
PS: Darauf, dass Win2k eine Firewall besitzt, die sich “einfach konfigurieren lässt” wurde übrigens deswegen nicht drauf hingewiesen, weil Windows 2000 keine Firewall integriert hat, weder eine einfach noch ein schwer zu konfigurierende. Mit Windows Server 2003 oder WinXP hätte dieser Einwand funktioniert, aber da s.o. ;-)
Letzte Änderung von Daniel Korioth am 19.08.03, 14:06.
@Daniel Korioth
Um einen Link zum BSI zu kommentieren haben Sie aber einen ganz netten Aufwand getrieben!!!
Klar, der Kunde ist König! :-)
Und schließlich soll doch nichts überlesen werden – oder? ;-)
Nachtrag zu meinem Beitrag oben:
Ich hatte den Artikel von Daniel Korioth nicht ordentlich gelesen, hätte also lieber schweigen sollen, aber ich war da tatsächlich schon 3 Tage nur wegen dem sch…. Virus unterwegs (auch am 16. obwohl bayerischer Feiertag) und auch bis jetzt, inkl. Wochenende und habe für Morgen schon wieder zwei Virus-Kunden :-(
Also was oben Schmarrn war, streicht einfach in Gedanken, nachträglich editieren will ich nicht, man soll auch zu seinen Falschaussagen stehen.
Deshalb auch ein “Sorry” @ Daniel Korioth wegen des “Unfuges” :-|
*grmpf* W2K-Firewall ;D
Achja, ich muss aber Wilfried Klein zustimmen, die Möglichkeit die Löcher zu stopfen waren schon länger bekannt.
Und außer ständigem Runterfahren macht das Zeugs IMHO bei den PCs eh’ nichts.:P
Letzte Änderung von Chris von der Osten am 19.08.03, 19:00.
Obwohl ich noch nie mit Windows XP zu tun hatte, war ich gezwungen, auf meiner Urlaubsreise mehrere PC-Installationen von Bekannten wieder in Ordnung zu bringen. Diese Bekannten gehörten zu dem Kreis der unbedarften Benutzer, und ihnen war nicht so ohne weiteres ersichtlich, wie dann sich dieses Wurms erwehren und durch patches u.a.m. die Installationen sicher machen konnte.
Wenn die medien schreiben, der Wurm hätte keine Auswirkungen gehabt: dem kann ich nicht zustimmen, denn immerhin war ich 770 km (einfache Strecke, zwei Fähren, zwei Grenzübergänge) zum Anwender unterwegs und habe dort einige Stunden zugebracht. Daß der Zeitaufwand so hoch geriet, das lag nun nicht an der Wurmsuche und Patchinstalltion, sondern hing damit zusammen, was man dem Normalverbraucher so alles erklären musste. Dabei wurde mir klar, daß ich eigentlich durch dreißig Jahre Umgang mit Rechnern vieler Größenordnungen und verschiedener Betriebssysteme doch recht “fortgeschritten” bin.
Was mich eigentlich bei Microsoft ärgert: Wichtige Dinge wie der Firewall in XP sind standardmässig deaktiviert. So etwas unwichtiges wie der Nachrichtendienst (Messenger) dagegen standardmäßig im Internet aktiviert, so daß immer wieder Reklamefenster auftauchen. bei meinen “Kunden” habe ich letzteren vorsorglich deaktiviert, da sie keine Netzwerke betreiben.
Auch wenn Microsoft bereits vor dem Blaster einen Patch zum Download zur Verfügung gestellt hatte: Mein Arbeitgeber bzw. sein Vertragspartner hatte keine Vorsorge getroffen. Heute am ersten Arbeitstag fand sich die Nachricht im E-Briefkasten, ich solle doch bitte meine Rechner mit allen updates von windowsupdate.microsoft.com aktualisieren. Auf Win2000 hat dies fast 90 Minuten gedauert und 4maliges Booten erfordert. Der PC-Service, der von der “Neuen HP” wahrgenommen wird, hatte es nicht für nötig erhalten, alle Betriebssysteme laufend zu aktualisieren!
Inzwischen weiß ich, dass es tatsächlich ein Zufallsprodukt ist ob der Rechner mehr oder weniger gestört durch “LovSan” ist.
Aber ein echter irreperabler Schaden passiert tatsächlich nicht. Der Wurm zerstört, löscht oder ändert keine Daten. Die einzige Änderung ist ein kleiner Eintrag in der Registry.
So gesehen ist/war der Wurm absolut harmlos. Dass der Betrieb(!) teilweise unmöglich wurde ist eine andere Sache, die bei einem gewerblichen Einsatz für durchaus beachtliche Schäden sorgen konnte.
Lieber Bernd Beckmann leider muß ich Dein Statement in einem wichtigen Punkt entscheident korrigieren:
WinXP aktiviert standardmäßig die Verbindungsfirewall für DFÜ-Internetverbindungen! Normal ist die Firewall AN!
Nur wenn Du per Netzwerk über einen Router gehst ist sie aus (da nominell keine Internetverbindung), dann schützt zumindest vor diesem Wurm aber der Router (außer er ist expliziet anders konfiguriert).
Nur AFAIR mit T-Online 4.0 und anderem proprietären Einwahlzeugs geht es nicht, (TOL 5.0 hat eine Firewall wieder dabei oder benutzt es die XP-Firewall? müsste mal testen)
Zu HP: *lol* habe zu NT4-Zeiten SP6 war schon lange aktuell, einen HP-PC bezogen und verkauft: SP4!
Dummerweise lief auch schon damals viele Software und auch Hardwaretreiber erst ab SP5 oder 6. Anruf beim HP-Service brachte folgendes Statement: HP könne nicht garantieren dass der PC mit SP6 läuft. :-8
Letzte Änderung von Chris von der Osten am 01.09.03, 14:56.
Hallo Chris vdO: Mein ehemaliger Klassenkamerad ging nicht über einen Router ins Internet und die Firewall war für diese Verbindung standardmässig dennoch deaktiviert. Womöglich lag dies an T-Online5.
Ich selbst benutze nur die normale Windows-DFÜ um ins Internet zu kommen, d.h. keine Einwahlsoftware wie T-Online5 oder AOL und habe deshalb keine Erfahrungen mit derartigen “Produkten”.
@Bernd Beckmann:
“freiwillig” habe ich mit T-Online-Software auch keine Erfahrung mehr und mit AOL wirklich absolut keine Erfahrung.
Ich weiß nur aus wenigen Versuchen, dass die T-Online-Verbindung keine normale DFÜ-Verbindung ist. Hat sogar Vorteile, keine installierte Malware kann dann diese Verbindung nutzen. Nachteil unter XP ist, dass die interne Firewall nicht aktivierbar ist (weil es eben keine normale DFÜ-Verbindung ist).
Habe aber bei einer Testinstallation von TOL 5.0 gesehen, dass optional in der TOL-Software eine Firewall aktivierbar ist, ob es die XP-Firewall ist, die dann doch funktioniert (nur nicht so wie normal) oder es was eigenes ist weiß ich nicht.
Selber benutze ich nur LAN-Verbindungen um normal ins Internet zu kommen, nur bei Standalone-Kunden-PCs schlage ich mich noch mit DFÜ durch, allerdings oft genug. Ich empfehle eighentlich auch immer die normale DFÜ und nicht den proprietären Mist von TOL oder AOL, wobei da die TOL-Software IMHO noch bedeutend besser ist.
Aber standard-mäßig ist die Firewall für Internetverbindungen definitiv aktiviert, jedenfalls bei XP pro, habe es extra für Dich noch 2mal getestet. Könnte in XPhome anders sein!
Aber IMHO funktioniert damit so Zeugs wie Kazaa (schreibt man dies so?), Napster und Co nicht und deshalb empfahlen AFAIR mal ComputerBLÖD u.ä. das Abschalten
Christ vdO: Mein Schulkamerad hatte den Helpdesk von T-Online angemailt, und ich selbst hatte auch entsprechende Info aus der Ct und anderen Quellen bezogen. ich hatte dann den XP-Firewall aktiviert, der bei dieser Verbindung zu T-Online tatsächlich nicht aktiviert gewesen war.