De eerste worm ooit is twintig jaar oud. De Morris-worm, vernoemd naar maker Robert Morris, was het eerste stuk zelfreplicerende software op internet.
Het is nu twintig jaar geleden dat de eerste digitale worm tot leven kwam. De Morris-worm van programmeur Robert Morris was echter geen kwaadaardige code in de letterlijke zin van het woord. De software, ten onrechte vaak virus genoemd, repliceerde en verzond zichzelf via mailserver Sendmail door een fout in de programmering. De student, tegenwoordig professor aan onderzoekslab MIT (Massachussetts Institute of Technology), heeft onbedoeld het probleem van security breed onder de aandacht gebracht.
Internet meten
De software van Morris was bedoeld om de omvang van het internet, anno 1988, in kaart te brengen. Daarvoor moest de worm zichzelf kopiëren en doorsturen. Morris had er echter geen rekening mee gehouden dat zijn software meerdere keren op dezelfde computer zou draaien. Daardoor werd de server dusdanig zwaar belast dat de gewone taken van dat systeem eronder leden: een denial of service-aanval (DoS) dus.
Naar schatting heeft de worm destijds tien procent van alle servers besmet die aan het internet hingen. Dit waren in 1988 zo'n zestigduizend tot negentigduizend Unix-computers. Het exacte aantal is onduidelijk omdat het toenmalige internet bestond uit aan elkaar gekoppelde universiteitsnetwerken, waarvan de opbouw slechts beperkt zichtbaar was van buitenaf.
Morris wou over al die netwerken een duidelijke computertelling doen. Hij is daar niet bepaald in geslaagd. Zijn worm heeft hem, na hoger beroep, een taakstraf van vierhonderd uur en een boete van tienduizend dollar opgeleverd. De schade die de worm veroorzaakte werd geschat op tien tot honderd miljoen dollar.
loL, de eerste worm was op Unix
Het is duidelijk dat er de laatste jaren op malware gebied een ware evolutie heeft plaatsgevonden. Terwijl het tot een paar jaar geleden voornamelijk wormen waren die de grote problemen veroorzaakte (denk aan SQL slammer ,Ms Blaster), zien we dat vandaag de problemen voornamelijk worden veroorzaakt door malware welke wordt verspreidt via websites (zogenaamde webthreats). Daarnaast is het motief van de malware schrijver veranderd. Was het in het verleden voornamelijk “naam en faam” het motief, is vandaag de dag financieel gewin het motief.
Snel verspreidende malware als een worm wordt hierdoor steeds minder gebruikt. De hedendaagse virusschrijver verspreid zijn malware het liefst zo stil mogelijk. Dit om eventuele detectie zo lang mogelijk uit te stellen en om zo lang mogelijk op een systeem te draaien voor het gebruiken van de resources van de pc (bv versturen van spam) of voor het afvangen van gegevens (credit card nummers, login accounts, etc) zonder dat de gebruiker het door heeft.
De groei in malware en de nieuwe technieken die worden gebruikt (rootkits, polymorfische virussen, combinatie van technieken, etc) maken het vandaag de heel lastig om virussen te detecteren alleen op basis van signature based scanning. Men heeft voor deze nieuwe vormen van malware, nieuwe technieken nodig om zich afdoende te beschermen, bijvoorbeeld door te scannen op reputatie van de afzender, website, bestand of e-mail.
Het hormonale succes van de Netsky worm…
De Netsky worm is al sinds begin 2004 actief en staat nog steeds in de top vijf van meest gerapporteerde malware.
De Netsky worm weet voortdurend nieuwe slachtoffers aan de haak te slaan doordat het de ICT visser weet te verleiden zijn hengel op te halen.
Dit succes is allereerst te danken aan een oude zwakheid in outlook en aan gebruikers die hun systemen niet up to date brengen met de laatste patches.
De Netsky worm gebruikt daarbij een email bericht dat de hormonen van de ontvanger op hol doen slaan door een pakkende naam voor de bijlage te kiezen, meestal gerelateerd aan porno, maar blijkbaar gaat het hart ook sneller kloppen van illegale software en Harry Potter. De naam van het bericht wekt vooral de indruk dat het een bericht is dat niet afgeleverd kon worden. Een oude truc die nog steeds werkt. De tekst van het bericht, de omschrijving, naam en extentie van de bijlage veranderen voortdurend, zodat er een groot aantal varianten van het bericht in omloop zijn.
Voor zijn verdere verspreiding zoekt de worm op de reeds ge?nfecteerde computers naar voorkomende email adressen, waardoor de kans groot is dat dit (nog) bestaande adressen zijn.
De vindingrijkheid en creativiteit van de maker van de worm had ook voor heel veel nuttigs ingezet kunnen worden…
De afkomst van de worm is te herleiden naar de zogenaamde Core Wars, een spelletje onder werknemers van Bell Labs, met als doel om elkaars programma’s letterlijk te gronde te richten. Opmerkelijk dat een van de bedenkers van dat spel de vader is van Robert Morris Jr., het brein achter de inmiddels 20 jarige worm.
Het grote probleem bij de bestrijding van wormen is van oudsher dat ze autonoom kunnen opereren en geen andere programma’s nodig hebben wat bij bijvoorbeeld virussen wel het geval is. Door de aard van het ‘diertje’ en de manier waarop wormen vandaag de dag stilletjes het netwerk binnendringen en zich verspreiden, is het bestrijden van wormen en ook andere malware een belangrijk punt geworden op de agenda van de IT manager.
Het is echter opvallend dat er nog steeds in veel bedrijfsomgevingen eenvoudige zaken als de desktop firewalls niet actief zijn. Reden? Omdat dit veelal als “lastig” wordt ervaren. Wormen kunnen zich dus intern eenvoudig blijven verspreiden, wat het voor de beheerders lastig maakt de vinger op de zere plek te leggen, in het geval van een “besmetting”.
Internet wormen blijven een van de grootste security uitdagingen voor bedrijven en particulieren. Recente metingen van SANS en Internet Storm Center laten zien dat een ongepatchte machine al binnen een paar uur besmet is, voornamelijk door wormen en andere geautomatiseerde aanvallen. In onze dagelijkse praktijk merken we dat veel bedrijven denken niet kwetsbaar te zijn voor dit type aanvallen omdat ze een firewall hebben die binnenkomend Internet verkeer blokkeert. Vaak beseffen ze niet dat ze middels USB sticks, laptops van medewerkers en VPN verbindingen alsnog geinfecteerd kunnen worden en de worm dan in het netwerk vrij spel heeft. Een voorbeeld daarvan was de Blaster worm die bij een aantal van onze klanten ondanks de firewall toch schade heeft aangericht. Destijds zag men dan vaak een in paniek rondrennende groep netwerk beheerders die tegen de klok in andere machines uit het netwerk probeerde te halen om besmetting te voorkomen. Goed vulnerability management blijft dus erg belangrijk, ook buiten het DMZ!