Heute feiern wir ein Stück Softwaregeschichte, das unsere digitale Welt massgeblich beeinflusst hat: den Geburtstag des Morris-Wurms. Genau vor 35 Jahren, am 2. November 1988, setzte Robert Tappan Morris, ein Doktorand an der Cornell University, einen selbstreplizierenden Wurm im Internet frei, um Schwachstellen in Computersystemen aufzudecken. Als der Morris-Wurm in die digitale Wildnis entlassen wurde, markierte er unwissentlich den Beginn einer neuen Ära der Internet-Sicherheit. Dieser rund 99 Zeilen lange Programmcode, der die Fähigkeit besitzt, sich auf einem einzelnen Computer mehrmals zu replizieren, führte dazu, dass tausende von Computern an ihre Leistungsgrenzen gebracht wurden und in einigen Fällen vollständig zum Erliegen kamen. Entwickelt, um sich über Unix-Systeme zu verbreiten, nutzte er bestehende Schwachstellen aus, um Zugang zu erlangen. Ein Programmierfehler jedoch verursachte eine weit grössere Ausbreitung als beabsichtigt, was massive Überlastungen und Ausfälle nach sich zog. In der Rückschau auf diesen Vorfall erkennen wir, dass der Morris-Wurm nicht nur eine technische Herausforderung darstellte, sondern auch ein kulturelles Ereignis war, das die Notwendigkeit einer robusten Cyber-Verteidigung ins öffentliche Bewusstsein rief. Es war ein Wendepunkt, der dazu führte, dass Regierungen, Unternehmen und Privatpersonen zunehmend begannen, die Sicherheit ihrer digitalen Systeme ernst zu nehmen.

Morris-Wurms glich einer Live-Demo von Schwachstellen

Der Morris-Wurm war nicht nur ein Weckruf, sondern eine Live-Demonstration der Schwachstellen in vernetzten Systemen. Der Code des Wurms nutzte Schwachstellen in mehreren Unix-Diensten aus, wie Finger, rsh und sendmail. Er nutzte beispielsweise einen spezifischen Bufferoverflow im Finger Daemon aus, eine Technik, bei der überschüssige Daten einen Puffer überfluten und den angrenzenden Speicher überschreiben. Und um sich im Betriebssystem einzunisten, nutzte er eine eindeutige Kennwortliste.

Morris-Worm Hook, i.A.a.: Arnold Rosenbloom, Famous Buffer Overruns

Proaktive Sicherheits-Tests als wichtig erkannt

In der Folgezeit vollzog sich in der Informationssicherheitsbranche ein Paradigmenwechsel. Die Notwendigkeit strenger Sicherheitstests wurde offensichtlich. Heute sind Sicherheitstests nicht mehr nur eine reaktive Massnahme, sondern ein integraler Bestandteil jeder robusten IT-Infrastruktur. Unser Pentesting-Team steht an der Spitze dieses sich ständig weiterentwickelnden Schlachtfelds. Im Grunde lebt das Vermächtnis des Morris-Wurms durch unsere Arbeit weiter. Er dient als ständige Mahnung, wie wichtig proaktive Sicherheitsmassnahmen sind. Wenn sich Kunden für unsere Penetrationstests entscheiden, investieren sie nicht nur in einen Sicherheits-Check, sondern arbeiten mit einem Team zusammen, das sich dem Cyber-Schutz verschrieben hat.

Grundstein für die Bestrafung von Cyber-Kriminellen

Nach der beispiellosen Zerstörung durch den Morris-Wurm wurde die digitale Welt vor eine harte Bewährungsprobe gestellt. Die Verurteilung von Robert T. Morris, Jr. wurde zu einem Schlüsselmoment in der Geschichte der Cybers-Sicherheit. Morris wurde 1990 nach dem Computer Fraud and Abuse Act verurteilt. Seine Strafe umfasste gemeinnützige Arbeit, eine Geldstrafe und eine Bewährungsstrafe, womit er einen Präzedenzfall dafür schuf, wie Cyber-Kriminalität von der Justiz behandelt werden kann. So handelte es sich dabei nicht nur um eine Strafmassnahme, sondern auch um ein Exempel, dass die Justiz in das damals neue Gebiet des Cyberspaces vordringen wird.

Erste öffentliche Stelle für Cyber-Bedrohungen und Incident Response-Services

Die Auswirkungen der Veröffentlichung des Wurms waren jedoch weitreichender als die Grenzen eines Gerichtssaals. Der Vorfall verdeutlichte die Notwendigkeit eines koordinierten Reaktionsmechanismus auf Cyber-Bedrohungen. So wurde 1988 das an der Carnegie Mellon University angesiedelte Computer Emergency Response Team Coordination Center (CERT/CC) gegründet. Das CERT wurde von der Defense Advanced Research Projects Agency (DARPA) finanziert und war die erste Organisation, die sich mit der Reaktion auf Sicherheitsvorfälle befasste.

Die Gründung des CERT markierte einen Wendepunkt in der IT-Sicherheit. Seine Rolle als zentrale Anlaufstelle für die Meldung von Schwachstellen und die Verbreitung wichtiger Informationen zur Verhinderung von Cyber-Angriffen war von entscheidender Bedeutung. Im Laufe der Jahre hat sich das CERT zu einer grundlegenden Struktur für die Cyber-Abwehr zahlreicher Einrichtungen entwickelt, welche die internationale Zusammenarbeit fördert und den Weg für ähnliche Initiativen weltweit bereitet.

Die vom CERT entwickelte Methodik hat sich inzwischen zu einer robusten Incident Response-Branche entwickelt, in der spezialisierte Dienste eine schnelle Eindämmung und Beseitigung von Bedrohungen anbieten. Diese Dienste sind zu einem integralen Bestandteil der Cyber-Sicherheitsstrategien von Unternehmen geworden, da sie die aus vergangenen Vorfällen gewonnenen Erkenntnisse nutzen, um die Auswirkungen künftiger Sicherheitsverletzungen zu mindern.

Zusammenfassung des Falls Morris-Wurm

Zusammenfassend lässt sich sagen, dass der Vorfall mit dem Morris-Wurm wie ein Weckruf gewirkt hat, der die Cyber-Sicherheitsgemeinschaft aufrüttelte. Von der Verurteilung von Morris über die Professionalisierung von Security Testing bis hin zur Gründung des CERT und der Verbreitung von Incident Response-Diensten hat jeder Schritt die IT-Sicherheitslandschaft entscheidend geprägt.

Das Vermächtnis des Morris-Wurms: Incident Response und SOC

Auch in der modernen, digitalen Landschaft bauen unsere Services auf dem Erbe des Morris-Wurms auf. Mit dem Security Operations Center (SOC) von FusionOne bieten wir eine proaktive und mit Redguards Incident Response-Team die reaktiven Lösungen zum Schutze Ihres Unternehmens.

Indem wir unsere Security Services weiterhin innovativ gestalten und anpassen, nutzen wir die Lehren aus der Vergangenheit, um die Zukunft zu schützen und sicherzustellen, dass unsere Kunden in einer Welt – in der Cyber-Bedrohungen eine sich ständig weiterentwickelnde Herausforderung darstellen – immer einen Schritt voraus sind. Kontaktieren Sie uns noch heute und schützen Sie Ihr Unternehmen.

Bibliographie:

• 0x00sec - The Home of the Hacker. «Examining the Morris Worm Source Code - Malware Series - 0x02 - Malware» July 2, 2016.

• Denning, Peter J. «The Science of Computing: The Internet Worm.» American Scientist 77, no. 2 (1989): 126–28.

• Editor-in-Chief, Kelly Jackson Higgins «The Morris Worm Turns 30» Dark Reading, November 9, 2018.

• Eisenberg, T., D. Gries, J. Hartmanis, D. Holcomb, M. S. Lynn, and T. Santoro. «The Cornell Commission: On Morris and the Worm» Communications of the ACM 32, no. 6 (June 1, 1989): 706–9.

• Jajoo, Akshay. «A Study on the Morris Worm» arXiv, December 14, 2021.

• Kraken, Johanna. «Analysis of Malware — the Morris Worm», n.d.

• Orman, H. «The Morris Worm: A Fifteen-Year Perspective» IEEE Security & Privacy 1, no. 5 (September 2003): 35–43.

• Spafford, Eugene H. «The Internet Worm Program: An Analysis» ACM SIGCOMM Computer Communication Review 19, no. 1 (January 3, 1989): 17–57.