# Sasser-Programmierer festgenommen



## sascha (8 Mai 2004)

http://www.n-tv.de/5242551.html


----------



## Devilfrank (8 Mai 2004)

Na der kann sich schonmal warm anziehen...


----------



## Heiko (8 Mai 2004)

Ich frag mich nur, warum.
Wenn die Admins zu doof zum patchen sind ist das IMHO nicht zwangsläufig die Schuld des Programmierers.


----------



## Anonymous (8 Mai 2004)

Heiko schrieb:
			
		

> Wenn die Admins zu doof zum patchen



 PC-Anwender  bestehen  nicht nur aus Admins


----------



## Counselor (8 Mai 2004)

Heiko schrieb:
			
		

> Ich frag mich nur, warum.
> Wenn die Admins zu doof zum patchen sind ist das IMHO nicht zwangsläufig die Schuld des Programmierers.


Diese Admins haben den Schaden wohl mitverursacht. Wir werden sehen, wie die Gerichte den Fall handhaben.


----------



## Heiko (8 Mai 2004)

Anonymous schrieb:
			
		

> PC-Anwender  bestehen  nicht nur aus Admins


Richtig.
Aber die haben ist den meisten Fällen keinen - nachweisbaren - Schaden.
Wenn man mal die strafrechtliche Seite außer Acht lässt und rein die zivilrechtliche betrachtet, dann kann nur ein nachgewiesener Schaden ersetzt werden. Und da genau ist das Problem für den Privatmann.
Und selbst wenn er einen nachweisbaren Schaden hat (wenn er z.B. einen Fachmann zum Wiederherstellen des Systems genutzt hat), dann heißt das noch lange nicht, dass er sein Geld auch bekommt.


----------



## technofreak (8 Mai 2004)

http://www.spiegel.de/spiegel/0,1518,299028,00.html


			
				Der Spiegel schrieb:
			
		

> Wurm von der Wümme
> ....
> 
> 
> ...


----------



## stieglitz (8 Mai 2004)

Heiko schrieb:
			
		

> Ich frag mich nur, warum.
> Wenn die Admins zu doof zum patchen sind ist das IMHO nicht zwangsläufig die Schuld des Programmierers.



Lieber Heiko, es mag der Fall sein, dass es doofe Admins gibt.
In der Regel sind sie aber inzwischen so sensibiliert, dass sie das Möglichste tun, um vor Malware geschützt zu sein. Es gibt diverse Gründe,
warum nicht immer die neuesten Patches eingespielt werden. Zudem kommen im Bereicht der Wurmer täglich gleich mehrere Varianten in den Umlauf.
Selbst bei stündlichem update der AV-Software kann es nicht ausbleiben,
dass ein Wurm die AV unterläuft. Und ein depperter Anwender klickt darauf. In komplexen Umgebungen ist es nicht immer möglich das neueste Update einzuspielen, weil dann in der Regel ein Restart erforderlich ist. Und das geht eben nicht immer!

Und der letzte Satz von Dir, wenn ich ihn richtig verstanden hab,
kann ich schon garnicht akzeptieren. Der verharmlosend genannte "Programmierer" programmiert explizit Malware um anderen zu schaden. 
Soll doch der Kunde am Bankautomat einen Stahlhelm aufsetzen, dann
stört ihn auch der Basketballschläger nicht, wenn man mit ihm auf seinen Kopf haut.
Im übrigen wurde diese Diskusion schon tausendfach bei Heise diskutiert, ich wollte es aber hier nicht so stehen lassen.

Gruß
Stieglitz


----------



## Counselor (8 Mai 2004)

stieglitz schrieb:
			
		

> Es gibt diverse Gründe,  warum nicht immer die neuesten Patches eingespielt werden.


 Der Hauptgrund sind Inkompatibilitäten mit angeblich windowsfähiger Software aus irgendwelchen Programmierklitschen (zB Meßgerätesoftware).  Das Design dieser 'windowsfähigen' Software ist oft ärmlich und mißachtet nicht selten die Windows Logo Program Guideline. Daher sollte man die Anschaffung von Software von eigenen Validierungstests abhängig machen.


			
				stieglitz schrieb:
			
		

> Selbst bei stündlichem update der AV-Software kann es nicht ausbleiben, dass ein Wurm die AV unterläuft. Und ein depperter Anwender klickt darauf. In komplexen Umgebungen ist es nicht immer möglich das neueste Update einzuspielen, weil dann in der Regel ein Restart erforderlich ist. Und das geht eben nicht immer!


Naja, von der Veröffentlichung des MS-Patches bis zum Auftreten der ersten Exploits vergehen schon ein paar Tage. Über SUS kann ein Patch innerhalb so kurzer Zeit aufgespielt werden und der Anwender kann den Rechner dann abends durchstarten. Bei akuter Virenbedrohung kann man Ausnahmen (wegen inkompatibler Software oder laufender Meßreihen) aufheben und ein Zwangsrollout mit Zwangsreboot durchführen. Bei Bedrohungen wie durch Sasser gebietet das die Netzwerksicherheit.


----------



## Heiko (8 Mai 2004)

stieglitz schrieb:
			
		

> In der Regel sind sie aber inzwischen so sensibiliert, dass sie das Möglichste tun, um vor Malware geschützt zu sein. Es gibt diverse Gründe, warum nicht immer die neuesten Patches eingespielt werden. Zudem kommen im Bereicht der Wurmer täglich gleich mehrere Varianten in den Umlauf.


Meine Erfahrung zeigt mir, dass das Sicherheitsbewußtsein bei vielen Administratoren nicht allzu ausgeprägt ist. Ich könnte Dir aus dem Stegreif dutzende reale Fälle nennen, in denen genau das offenkundig wird.


			
				stieglitz schrieb:
			
		

> Selbst bei stündlichem update der AV-Software kann es nicht ausbleiben, dass ein Wurm die AV unterläuft.


Es geht hier nicht um AV-Software.
Das ist ein anderes - wenn auch nicht minder trauriges - Kapitel.
Es geht hier um Sicherheitslücken, Exploits und Patches.
Schau Dir mal die Sache mit dem SQL-Slammer an. Zu dem Zeitpunkt war der Patch ein knappes Dreivierteljahr herausgegeben. Wenn die Admins "in der Regel" so "sensibilisiert" gewesen wären, wäre nicht ein Wochenende lang das Inet faktisch zusammengebrochen. 
Hier gilt das gleiche. Firmen lassen sich von einem Exploit hinters Licht führen, für den ein Patch existiert. Mit Sicherheitsbewußtsein hat das nicht viel zu tun.


			
				stieglitz schrieb:
			
		

> Umgebungen ist es nicht immer möglich das neueste Update einzuspielen, weil dann in der Regel ein Restart erforderlich ist. Und das geht eben nicht immer!


Das hat sich mit W2K/W2003 stark geändert. Zudem muß ein Neustart im Laufe einiger Tage immer mal drin sein. Es hat ja nicht nur Firmen erwischt, die 24/7 arbeiten. Da muß dann der Admin halt mal Überstunden machen...


			
				stieglitz schrieb:
			
		

> Und der letzte Satz von Dir, wenn ich ihn richtig verstanden hab, kann ich schon garnicht akzeptieren. Der verharmlosend genannte "Programmierer" programmiert explizit Malware um anderen zu schaden.


Nicht ganz richtig.
Ich will den Programmierer nicht verharmlosen oder gutheißen. Malware programmieren ist sicher nicht fein.
Aber viele Firmen/Privatanwender machen es dem Finsterling auch zu einfach.
Wenn ich Nachts alle Türe offen lasse, dann brauche ich mich nicht wundern, wenn bis zum Morgen mein Haus ausgeräumt ist. Das macht die Tat des Einbreches zwar nicht besser, so arg laut heulen muß der Bestohlene aber IMHO auch nicht. Sieh das analog. Ich finde Virenprogrammieren scheiße, wenn ich aber einen monatealten Patch in Firmen nicht einspiele, dann sollte ich mir aber auch mal an die eigene Nase fassen und prüfen ob die IT'ler ihren Job auch verstehen.


----------



## Heiko (8 Mai 2004)

Counselor schrieb:
			
		

> Das Design dieser 'windowsfähigen' Software ist oft ärmlich und mißachtet nicht selten die Windows Logo Program Guideline.


Wenn die Hersteller das Logo nicht erwerben wollen, können sie zusammenprogrammieren was sie wollen.


----------



## Counselor (8 Mai 2004)

Heiko schrieb:
			
		

> Counselor schrieb:
> 
> 
> 
> ...


Schon. Aber gerade das bereitet häufig Probleme (und macht oft lokale Adminrechte für SuperDAUs notwendig, die dann wieder Dialer und ähnliches Gewürm auf dem Rechner haben).


----------



## Eisenbahnfan (9 Mai 2004)

Typisch für Gurkensoftware das die sich mit nix Verträgt, schon gar nicht mit Fixpaks. Und dann nach Möglichkeit nur auf FAT32 laufend, inkompatibel zu allen Virenscanner da eine Speziellen Doggeltreiber, aber unheimlich beliebt bei den Mitarbeitern, weil Bunt und man brauch eine Fritzkarte mit NDIS-WAN-treibern zum Datenabgleich.

Und war Billig, deswegen trotz Admineinspruch gekauft, weil...man ist ja Chef, hat mal W95 installiert und alle andern haben keine EDV Ahnung.  :thumb:

Da kanst du nur noch die Einschläge Abwarten...


----------



## Captain Picard (10 Mai 2004)

http://www.heise.de/newsticker/meldung/47212


			
				heise schrieb:
			
		

> Vermutlicher Sasser-Autor auch Netsky-Urheber
> 
> ...*.Der erste Hinweis auf den Urheber kam aus dem direkten Umfeld des Verhafteten.
> In einem Telefonanruf bei Microsoft behauptete eine Person, die Identität des Sasser-Autors zu kennen.*
> ...


Da bleibt ein schaler Geschmack, wenn der Knabe etwas cleverer gewesen wäre 
und sein Tun nicht in der  Umgebung rumgetratscht hätte, wäre nix mit Fahndungserfolg 
gewesen. Da hat schlicht und ergreifend jemand gepetzt und diverse Leute schmücken sich 
mit fremden Federn , M$ , FBI und wer weiß was für Superermittler  hätten das  wahrscheinlich 
 nie rausgekriegt. 


			
				heise schrieb:
			
		

> Der Microsoft-Sprecher sah dies als Erfolg des Anti-Virus-Reward-Programms,
> das eine Prämie auf Hinweise auslobt, die zur Ergreifung und Verurteilung von Viren-Autoren führen.
> Bei der Frage, ob und in welcher Höhe der Hinweisgeber in diesem Fall ein solches Kopfgeld
> erhalte, wollte er sich jedoch nicht festlegen.


Das funktioniert, wenn überhaupt, nur bei unbedarften Skriptkiddies. Bei dem Gedanken ,
 wenn da Profis am Werk gewesen wären, läuft es mir kalt den Rücken runter,
 aber das kann ja noch kommen...

cp


----------



## stieglitz (10 Mai 2004)

> Das funktioniert, wenn überhaupt, nur bei unbedarften Skriptkiddies. Bei dem Gedanken ,
> wenn da Profis am Werk gewesen wären, läuft es mir kalt den Rücken runter,
> aber das kann ja noch kommen...
> 
> cp



Da gib ich dir vollkommen recht. Was passieren kann wird passieren!
Mir wird auch schon ganz schlecht.

Gruß
Stieglitz


----------



## Captain Picard (10 Mai 2004)

stieglitz schrieb:
			
		

> Was passieren kann wird passieren!


Das ist erst der Vorgeschmack:
http://www.zdnet.de/news/security/0,39023046,39122186,00.htm


> Experten erwarten in Zukunft komplexere Angriffe
> Der Computerwurm Sasser gilt unter Experten als erster Ansatz zu dem, was in der Szene
> als "War Searching" bezeichnet wird. In verschiedenen Dokumenten wurde bereits im
> vergangenen Jahr diese mögliche Angriffstrategie beschrieben. Sasser ist jetzt die gewissermaßen
> ...


na denn , dann wird nicht nur Delta Airlines ein Wochenende nicht fliegen....

cp


----------



## stieglitz (10 Mai 2004)

wenigstens beim Virusschreiben sind wir nicht "PISA".
 :lol: 
http://www.spiegel.de/netzwelt/politik/0,1518,299249,00.html

und der Artikel bei Telepolis ist auch sehr gut. Er zeigt mal auf
warum die Jungs sowas machen:
Gute Viren schlechte Viren.
Bei den beginnen jetz wohl die schlechten Zeiten!



http://www.heise.de/tp/deutsch/inhalt/te/17383/1.html

Ein schönen Abend noch
Gruß
Stieglitz


----------



## Captain Picard (10 Mai 2004)

Telepolis schrieb:
			
		

> *Sachdienliche Hinweise kamen von Microsoft *
> 
> Das LKA Niedersachsen ist dem tatverdächtigen Schüler aus der verschlafenen
> Lüneburger Heide offenbar durch Hinweise von US-Behörden auf die Spur gekommen.
> ...



So wird die Blamage von M$ , FBI  und diversen anderen "Behörden" schöngeredet 
hätten sie nicht "anonyme Hinweise  aus dem näheren Umfeld des Schülers erhalten" 
würden sie noch in Jahren im Dustern tappen....

cp


----------



## technofreak (10 Mai 2004)

http://www.heise.de/newsticker/meldung/47243


			
				Heise schrieb:
			
		

> Sicherheitsloch im Sasser-Wurm
> 
> Auf dem Sicherheitsportal k-otik wurde ein Exploit veröffentlicht, mit dem sich auf Rechnern,
> die vom Wurm Sasser befallen sind, beliebiger Code ausführen lässt. Die Autoren des Exploits
> ...


na super, Sasser hält die Türe auf ...

So gut ist der Programmierer denn doch  wohl nicht, zumindest hat er  den  gleichen
 Programmfehler fabriziert wie M$ selber (Buffer-Overflow) .....

tf


----------



## dotshead (10 Mai 2004)

Die Sicherheitsoffensive von Microsoft wird wahrscheinlich im nächsten Jahr Früchte tragen.
Grüsse aus ME
Stephan aka Dots aka Rabauke
PS. GNU/Hurd erscheint auch nächstes Jahr.  :holy:


----------



## Counselor (11 Mai 2004)

dots schrieb:
			
		

> PS. GNU/Hurd erscheint auch nächstes Jahr.  :holy:


GNUs auf Rechnern? Dazu mehr:


			
				GNU.ORG schrieb:
			
		

> It is not ready for production use, as there are still *many bugs and missing features*.


http://www.gnu.org/software/hurd/hurd.html#name
Ob das Produkt pünktlich erscheint?


----------



## Captain Picard (11 Mai 2004)

http://www.bsi.de/av/vb/sasser.htm


			
				BSI schrieb:
			
		

> W32.Sasser.Worm ist ein Internetwurm, der sich über eine *nicht geschlossene
> Sicherheitslücke *im Betriebssystem Windows XP, Windows 2000 verbreitet.
> ...
> Die Schwachstelle wird mit dem Sicherheits-Update KB835732 geschlossen.
> Für die weitverbreiteten Betriebssysteme Windows 2000 und Windows XP stehen Updates bereit unter:


KSTA


			
				KSTA schrieb:
			
		

> Bundesamt: *Sicherheitsprogramm runterladen*
> ......
> Es gebe derzeit vier bekannte Varianten des Wurms,
> die alle durch das Herunterladen des *Sicherheitsprogramms *wirkungslos werden, sagte Dickopf.


Das Patchen einer  bekannten Sicherheitslücke ein Sicherheitsprogramm? 
 Rückrufaktionen von  Autos oder elektrischen Geräten ein   Sicherheitsfeature? 

cp


----------



## dotshead (11 Mai 2004)

@counselor

GNU/Hurd ist nen alter Heisianer-Scherz. Hurd erscheint schon seit Jahren nächstes Jahr.  Aber das weisst du ja sicher.


----------



## Counselor (11 Mai 2004)

dotshead schrieb:
			
		

> @counselor
> 
> GNU/Hurd ist nen alter Heisianer-Scherz. Hurd erscheint schon seit Jahren nächstes Jahr.  Aber das weisst du ja sicher.


Da scheint Heise nicht ganz auf der Höhe der Zeit. Es gibt schon eine Installationsanleitung:
http://web.walfield.org/pub/people/...llation-guide/english/hurd-install-guide.html


----------



## stieglitz (12 Mai 2004)

*weitere Festnahmen im Sasser Fall*

Die arme Staatsanwalt: :roll: 

Sasser-Geschädigte können sich zur Sicherung zivilrechtlicher Ansprüche und zur Strafanzeigeerstattung direkt an die Staatsanwaltschaft Verden wenden.* Diese nimmt allerdings keine E-Mails in der Sache entgegen*. Beschwerden können gefaxt oder postalisch zugestellt werden.

http://www.heise.de/newsticker/meldung/47299

Gruß
Stieglitz


----------



## Captain Picard (13 Mai 2004)

http://www.heise.de/newsticker/meldung/47330


			
				Heise schrieb:
			
		

> Der Hessische Rundfunk hatte gestern unter Spätfolgen der Sasser-Epidemie zu leiden.
> Zwischen 10:30 und 18:00 Uhr wütete die Version Sasser.E im internen Netz und beeinträchtigte
> "alle Produktionsabläufe, die irgendwie mit dem Netz zusammenhängen", bestätigte die
> HR-Pressesprecherin Bettina Kübler. Nur durch Improvisation konnte der Sendebetrieb
> ...


Na sowas.....

cp


----------



## stieglitz (17 Mai 2004)

Telepolis befürchtet auch, dass sich die Virenautoren weiter professionaliesieren werden. Der gefasste Sasser Autor ist eher ein
untypischer Dilletant der stellvertretend für die anderen büssen wird.
Auch Microsoft wird scharf angegriffen:

Was die Medien der breiten Öffentlichkeit aber gerne vorenthalten ist die bemerkenswerte Tatsache, dass die landläufigen Bezeichnungen wie /Internet/-Wurm oder /Computer/-Virus irreführend sind, denn ausschließlich Microsofts Betriebssystem Windows bzw. Microsofts Outlook und Word sind von diesen Parasiten unmittelbar betroffen. Macintosh- und Unix-Benutzer bemerken von einer weltweiten "Heimsuchung" höchstens den Fallout in Form von verirrter Email in ihren jeweiligen elektronischen Eingangskörbchen. Treffendere Begriffe wären daher "*Microsoft-Wurm*" und "*Windows-Vir*us", aber wohl aus Rücksicht auf einen wichtigen Inserenten erlauben sich die "Info-War"-Kriegsberichterstatter die kleinen Fehler im Glossar. 

http://www.heise.de/tp/deutsch/inhalt/te/17433/1.html


----------



## technofreak (17 Mai 2004)

stieglitz schrieb:
			
		

> Treffendere Begriffe wären daher "*Microsoft-Wurm*" und "*Windows-Vir*us",



Die Ironie dabei ist, daß es die "höherwertigen" Versionen betrifft, W98 User haben davon nix 
mitbekommen 

tf


----------



## Counselor (17 Mai 2004)

stieglitz schrieb:
			
		

> Treffendere Begriffe wären daher "*Microsoft-Wurm*" und "*Windows-Vir*us", aber wohl aus Rücksicht auf einen wichtigen Inserenten erlauben sich die "Info-War"-Kriegsberichterstatter die kleinen Fehler im Glossar.
> http://www.heise.de/tp/deutsch/inhalt/te/17433/1.html


Dann sollte Heise bzw Telepolis mit gutem Beispiel vorangehen, und die Würmer und Viren mit ihrer offiziellen Bezeichnung benennen. Aus W32.Sasser.Worm geht eindeutig hervor, dass es ein Wurm für Microsofts 32-bit Windows-API ist. Abgesehen davon wurde MS vom *W32.*Sasser.Worm wohl selbst hart getroffen, wie Douglas R. Spindler in seinem Artikel _Tilting at Microsoft security windmills_ schreibt:
http://searchwin2000.techtarget.com...sid1_gci964749,00.html?track=NL-118&ad=475025


----------



## stieglitz (17 Mai 2004)

Ich will mich nicht mit fremden Federn schmücken, ich habe aus Telepolis
zitiert. Klar, Telepolis gehört zu Heisse, vielleicht sollte man im dortigen Forum den Vorschlag posten, diese Viecher Windows-Wurm etc. zu
verwenden.
Aber in den ganzen Heise Foren wird Microsoft wegen deren Sicherheitslücken bereits so geschäht, dass deren Verantwortliche eigentlich nur noch mit Schamesröte im Gesicht schlafen gehen dürften.

Aber ehrlich, wenn LINUX heute 95 % Marktanteil hätte, wäre es dann besser?
Gruß
Stieglitz


----------



## stieglitz (17 Mai 2004)

Hurra, endlich bin ich Member und den unwürdigen Rookie los  :lol:


----------



## Counselor (18 Mai 2004)

stieglitz schrieb:
			
		

> Aber in den ganzen Heise Foren wird Microsoft wegen deren Sicherheitslücken bereits so geschäht, dass deren Verantwortliche eigentlich nur noch mit Schamesröte im Gesicht schlafen gehen dürften.


Nicht nur im Heise Forum. Einer Umfrage von SearchWin2000.com sehen sich  über 40% der befragten IT-Entscheider nach Alternativen um.
http://www.searchwin2000.com/originalContent/0,289142,sid1_gci965010,00.html?track=NL-118&ad=478976


----------

