Blumenthal: Frage an meinen Kollegen Michael Gessat, ist es bislang zur der von manchen befürchteten Katastrophe im Internet, oder zu Störungen gekommen?
Gessat: Nein, bisher nicht, und das war eigentlich auch nicht anders zu erwarten. Die einzige Seite, die sich vorhin mal vorübergehend nicht mehr aufrufen ließ, war die Hauptseite der "Conficker"-Bekämpfer. Und das dürfte eher an dem weltweit großen Interesse heute am 1. April liegen, weniger an einem Angriff. "Conficker" hat nämlich erst einmal gar keine direkte Schadfunktion. Der Wurm ist modular aufgebaut, und er versucht in regelmäßigen Intervallen, Programmcode aus dem Internet nachzuladen. Dazu erzeugt er jeden Tag eine Reihe von bestimmten Domainnamen und klappert die dann ab, ob da eben Code zum Nachladen liegt. Ob da etwas liegt, ob es die Domains überhaupt gibt, ob er diese Domains erreicht, das ist eine ganz andere Frage. Mit dieser Aktivität, mit dem Nachschauen also nach Code, damit beginnt die Version C heute. Das Unangenehme ist, dass die Zahl der möglichen Domainnamen von 250 auf jetzt 50.000 gestiegen ist, auch wenn da nur 500 täglich abgefragt werden. Bisher hat nämlich ein Konsortium von Sicherheitsfirmen, allen voran Microsoft, versucht, diese Domains vorab zu sperren. Ob diese Strategie jetzt noch aufgehen kann, das ist natürlich fraglich.
Blumenthal: Nun gab es ja Behörden oder Unternehmen, die haben ihre Rechner sicherheitshalber einfach vom Netz genommen. Da waren ganze Behörden oder Teile von Behörden sozusagen ohne Internetzugang. Schäden, gibt es die durch "Conficker.C" ausgelöst schon?
Gessat: Ja, da gab es also Schäden, aber das war nur ein sekundärer Effekt, weil nämlich diese Version "B" hatte versucht, sich im Unternehmensnetz, also im Intranet, weiterzuverbreiten. Dazu hat sie eine Reihe von schwachen Passwörter abgeklappert, typische Sachen wie "Admin", "Passwort". Manchmal sind die Leute ja sehr einfallslos bei so etwas. Diese Versuche waren manchmal erfolgreich, aber bei Fehlversuchen blockieren dann die Nachbarrechner. Das führt dann zu Stau oder eben sogar Totalausfall im Netzwerk. Das macht die neue Version "C" übrigens nicht mehr.
Blumenthal: Was will "Conficker", was will "Conficker.C", was wollen die Urheber von "Conficker.C" tatsächlich? Hat man irgendeine Vorstellung davon?
Gessat: Eine konkrete Vorstellung hat man nicht, aber es gibt natürlich die üblichen Methoden, die es da geben könnt, die drängen sich hier auch auf: zum Beispiel Spamversand von diesen verteilten Rechnern. Oder möglich sind koordinierte Angriffe auf Behörden oder Firmen. Da gibt es zum Beispiel die Methode der Erpressung, dass einfach die Leute anrufen bei Online-Händlern oder bei Internet-Wettbüros und sagen: Zahlt mal einen Betrag X auf ein Konto irgendwo - ich will jetzt kein Land nennen - per Western Union, was nicht nachverfolgbar ist, oder eure Website wird morgen tot sein, sich nicht mehr aufrufen lassen. Das sind Schäden, die fallen einem Privatanwender gar nicht auf oder von daher ist es auch vielen Privatanwendern egal, ob jetzt der Rechner befallen ist. Es sind aber genauso gut Funktionen denkbar, die Passworte abfangen oder Onlinebanking-Daten abgreifen, die dann auch für Privatleute sehr unangenehm werden.
Blumenthal: Die zwei großen Fragen jetzt: Wie kann man feststellen, ob man infiziert ist, ob der eigene Rechner infiziert ist, und wenn ja, wie bekommt man den Wurm weg? Dann wäre noch die Frage: Wie kann man sich schützen?
Gessat: Wenn man heute versucht, die Seiten gebräuchlicher Antivirenhersteller wie Symantec, Kaspersky oder McAfee oder die Microsoft-Seite auch, und das nicht klappt, dann spricht das schon einmal prinzipiell dafür, dass der Rechner vielleicht infiziert ist, weil nämlich "Conficker" den Zugriff verhindert. Es könnte allerdings heute auch an dem großen Interesse liegen - das ist noch kein Beweis. Praktisch alle Hersteller haben ein kostenfreies Entfernungstool bereitgestellt. Das kann man sich also auf den entsprechenden Seiten herunterladen.
Eine Gruppe von der Universität Bonn hat auch vorgestern verschiedene Tools sogar mit offenem Quellcode vorgestellt, wie man "Conficker" auf einem Einzelrechner erkennen kann, beenden kann und sogar den Rechner immunisieren kann gegen einen weiteren Befall.
Blumenthal: Kann man sich prinzipiell gegen solche Computerwürmer, wie es "Conficker.C" ist, schützen?
Gessat: Man kann sich bestimmt nicht gegen alle Gefahren schützen - es kann immer neue Gefahren geben. Aber grundsätzlich sollte man sagen: Immer das Betriebssystem updaten, immer aber auch Anwendungen updaten, wie Browser, zum Beispiel auch Flashplayer oder PDF-Viewer. Da gibt es nämlich dauernd Sicherheitslücken, die dann wieder gestopft werden müssen. Und das gilt dann nicht nur für Windows, das gilt auch für Linux und auch für Mac.
Gessat: Nein, bisher nicht, und das war eigentlich auch nicht anders zu erwarten. Die einzige Seite, die sich vorhin mal vorübergehend nicht mehr aufrufen ließ, war die Hauptseite der "Conficker"-Bekämpfer. Und das dürfte eher an dem weltweit großen Interesse heute am 1. April liegen, weniger an einem Angriff. "Conficker" hat nämlich erst einmal gar keine direkte Schadfunktion. Der Wurm ist modular aufgebaut, und er versucht in regelmäßigen Intervallen, Programmcode aus dem Internet nachzuladen. Dazu erzeugt er jeden Tag eine Reihe von bestimmten Domainnamen und klappert die dann ab, ob da eben Code zum Nachladen liegt. Ob da etwas liegt, ob es die Domains überhaupt gibt, ob er diese Domains erreicht, das ist eine ganz andere Frage. Mit dieser Aktivität, mit dem Nachschauen also nach Code, damit beginnt die Version C heute. Das Unangenehme ist, dass die Zahl der möglichen Domainnamen von 250 auf jetzt 50.000 gestiegen ist, auch wenn da nur 500 täglich abgefragt werden. Bisher hat nämlich ein Konsortium von Sicherheitsfirmen, allen voran Microsoft, versucht, diese Domains vorab zu sperren. Ob diese Strategie jetzt noch aufgehen kann, das ist natürlich fraglich.
Blumenthal: Nun gab es ja Behörden oder Unternehmen, die haben ihre Rechner sicherheitshalber einfach vom Netz genommen. Da waren ganze Behörden oder Teile von Behörden sozusagen ohne Internetzugang. Schäden, gibt es die durch "Conficker.C" ausgelöst schon?
Gessat: Ja, da gab es also Schäden, aber das war nur ein sekundärer Effekt, weil nämlich diese Version "B" hatte versucht, sich im Unternehmensnetz, also im Intranet, weiterzuverbreiten. Dazu hat sie eine Reihe von schwachen Passwörter abgeklappert, typische Sachen wie "Admin", "Passwort". Manchmal sind die Leute ja sehr einfallslos bei so etwas. Diese Versuche waren manchmal erfolgreich, aber bei Fehlversuchen blockieren dann die Nachbarrechner. Das führt dann zu Stau oder eben sogar Totalausfall im Netzwerk. Das macht die neue Version "C" übrigens nicht mehr.
Blumenthal: Was will "Conficker", was will "Conficker.C", was wollen die Urheber von "Conficker.C" tatsächlich? Hat man irgendeine Vorstellung davon?
Gessat: Eine konkrete Vorstellung hat man nicht, aber es gibt natürlich die üblichen Methoden, die es da geben könnt, die drängen sich hier auch auf: zum Beispiel Spamversand von diesen verteilten Rechnern. Oder möglich sind koordinierte Angriffe auf Behörden oder Firmen. Da gibt es zum Beispiel die Methode der Erpressung, dass einfach die Leute anrufen bei Online-Händlern oder bei Internet-Wettbüros und sagen: Zahlt mal einen Betrag X auf ein Konto irgendwo - ich will jetzt kein Land nennen - per Western Union, was nicht nachverfolgbar ist, oder eure Website wird morgen tot sein, sich nicht mehr aufrufen lassen. Das sind Schäden, die fallen einem Privatanwender gar nicht auf oder von daher ist es auch vielen Privatanwendern egal, ob jetzt der Rechner befallen ist. Es sind aber genauso gut Funktionen denkbar, die Passworte abfangen oder Onlinebanking-Daten abgreifen, die dann auch für Privatleute sehr unangenehm werden.
Blumenthal: Die zwei großen Fragen jetzt: Wie kann man feststellen, ob man infiziert ist, ob der eigene Rechner infiziert ist, und wenn ja, wie bekommt man den Wurm weg? Dann wäre noch die Frage: Wie kann man sich schützen?
Gessat: Wenn man heute versucht, die Seiten gebräuchlicher Antivirenhersteller wie Symantec, Kaspersky oder McAfee oder die Microsoft-Seite auch, und das nicht klappt, dann spricht das schon einmal prinzipiell dafür, dass der Rechner vielleicht infiziert ist, weil nämlich "Conficker" den Zugriff verhindert. Es könnte allerdings heute auch an dem großen Interesse liegen - das ist noch kein Beweis. Praktisch alle Hersteller haben ein kostenfreies Entfernungstool bereitgestellt. Das kann man sich also auf den entsprechenden Seiten herunterladen.
Eine Gruppe von der Universität Bonn hat auch vorgestern verschiedene Tools sogar mit offenem Quellcode vorgestellt, wie man "Conficker" auf einem Einzelrechner erkennen kann, beenden kann und sogar den Rechner immunisieren kann gegen einen weiteren Befall.
Blumenthal: Kann man sich prinzipiell gegen solche Computerwürmer, wie es "Conficker.C" ist, schützen?
Gessat: Man kann sich bestimmt nicht gegen alle Gefahren schützen - es kann immer neue Gefahren geben. Aber grundsätzlich sollte man sagen: Immer das Betriebssystem updaten, immer aber auch Anwendungen updaten, wie Browser, zum Beispiel auch Flashplayer oder PDF-Viewer. Da gibt es nämlich dauernd Sicherheitslücken, die dann wieder gestopft werden müssen. Und das gilt dann nicht nur für Windows, das gilt auch für Linux und auch für Mac.
