Eerste worm viert twintigste verjaardag

03-11-2008 10:58 | Door Jasper Bakker | Lees meer artikelen over: Malware | Er zijn 5 reacties op dit artikel | Permalink

De Morris-worm is twintig jaar oud.

De eerste worm ooit is twintig jaar oud. De Morris-worm, vernoemd naar maker Robert Morris, was het eerste stuk zelfreplicerende software op internet.

Het is nu twintig jaar geleden dat de eerste digitale worm tot leven kwam. De Morris-worm van programmeur Robert Morris was echter geen kwaadaardige code in de letterlijke zin van het woord. De software, ten onrechte vaak virus genoemd, repliceerde en verzond zichzelf via mailserver Sendmail door een fout in de programmering. De student, tegenwoordig professor aan onderzoekslab MIT (Massachussetts Institute of Technology), heeft onbedoeld het probleem van security breed onder de aandacht gebracht.

Internet meten

De software van Morris was bedoeld om de omvang van het internet, anno 1988, in kaart te brengen. Daarvoor moest de worm zichzelf kopiëren en doorsturen. Morris had er echter geen rekening mee gehouden dat zijn software meerdere keren op dezelfde computer zou draaien. Daardoor werd de server dusdanig zwaar belast dat de gewone taken van dat systeem eronder leden: een denial of service-aanval (DoS) dus.

Naar schatting heeft de worm destijds tien procent van alle servers besmet die aan het internet hingen. Dit waren in 1988 zo'n zestigduizend tot negentigduizend Unix-computers. Het exacte aantal is onduidelijk omdat het toenmalige internet bestond uit aan elkaar gekoppelde universiteitsnetwerken, waarvan de opbouw slechts beperkt zichtbaar was van buitenaf.

Morris wou over al die netwerken een duidelijke computertelling doen. Hij is daar niet bepaald in geslaagd. Zijn worm heeft hem, na hoger beroep, een taakstraf van vierhonderd uur en een boete van tienduizend dollar opgeleverd. De schade die de worm veroorzaakte werd geschat op tien tot honderd miljoen dollar.

karel, 04-11-2008 12:56

loL, de eerste worm was op Unix

Andre Noordam, 05-11-2008 10:31

Het is duidelijk dat er de laatste jaren op malware gebied een ware evolutie heeft plaatsgevonden. Terwijl het tot een paar jaar geleden voornamelijk wormen waren die de grote problemen veroorzaakte (denk aan SQL slammer ,Ms Blaster), zien we dat vandaag de problemen voornamelijk worden veroorzaakt door malware welke wordt verspreidt via websites (zogenaamde webthreats). Daarnaast is het motief van de malware schrijver veranderd. Was het in het verleden voornamelijk "naam en faam" het motief, is vandaag de dag financieel gewin het motief.

Snel verspreidende malware als een worm wordt hierdoor steeds minder gebruikt. De hedendaagse virusschrijver verspreid zijn malware het liefst zo stil mogelijk. Dit om eventuele detectie zo lang mogelijk uit te stellen en om zo lang mogelijk op een systeem te draaien voor het gebruiken van de resources van de pc (bv versturen van spam) of voor het afvangen van gegevens (credit card nummers, login accounts, etc) zonder dat de gebruiker het door heeft.

De groei in malware en de nieuwe technieken die worden gebruikt (rootkits, polymorfische virussen, combinatie van technieken, etc) maken het vandaag de heel lastig om virussen te detecteren alleen op basis van signature based scanning. Men heeft voor deze nieuwe vormen van malware, nieuwe technieken nodig om zich afdoende te beschermen, bijvoorbeeld door te scannen op reputatie van de afzender, website, bestand of e-mail.

Marnix van Meer, 10-11-2008 14:41

Het hormonale succes van de Netsky worm...

De Netsky worm is al sinds begin 2004 actief en staat nog steeds in de top vijf van meest gerapporteerde malware.

De Netsky worm weet voortdurend nieuwe slachtoffers aan de haak te slaan doordat het de ICT visser weet te verleiden zijn hengel op te halen.

Dit succes is allereerst te danken aan een oude zwakheid in outlook en aan gebruikers die hun systemen niet up to date brengen met de laatste patches.

De Netsky worm gebruikt daarbij een email bericht dat de hormonen van de ontvanger op hol doen slaan door een pakkende naam voor de bijlage te kiezen, meestal gerelateerd aan porno, maar blijkbaar gaat het hart ook sneller kloppen van illegale software en Harry Potter. De naam van het bericht wekt vooral de indruk dat het een bericht is dat niet afgeleverd kon worden. Een oude truc die nog steeds werkt. De tekst van het bericht, de omschrijving, naam en extentie van de bijlage veranderen voortdurend, zodat er een groot aantal varianten van het bericht in omloop zijn.

Voor zijn verdere verspreiding zoekt de worm op de reeds ge?nfecteerde computers naar voorkomende email adressen, waardoor de kans groot is dat dit (nog) bestaande adressen zijn.

De vindingrijkheid en creativiteit van de maker van de worm had ook voor heel veel nuttigs ingezet kunnen worden...

Tonny Roelofs, 12-11-2008 16:10

De afkomst van de worm is te herleiden naar de zogenaamde Core Wars, een spelletje onder werknemers van Bell Labs, met als doel om elkaars programma's letterlijk te gronde te richten. Opmerkelijk dat een van de bedenkers van dat spel de vader is van Robert Morris Jr., het brein achter de inmiddels 20 jarige worm.

Het grote probleem bij de bestrijding van wormen is van oudsher dat ze autonoom kunnen opereren en geen andere programma's nodig hebben wat bij bijvoorbeeld virussen wel het geval is. Door de aard van het 'diertje' en de manier waarop wormen vandaag de dag stilletjes het netwerk binnendringen en zich verspreiden, is het bestrijden van wormen en ook andere malware een belangrijk punt geworden op de agenda van de IT manager.

Het is echter opvallend dat er nog steeds in veel bedrijfsomgevingen eenvoudige zaken als de desktop firewalls niet actief zijn. Reden? Omdat dit veelal als "lastig" wordt ervaren. Wormen kunnen zich dus intern eenvoudig blijven verspreiden, wat het voor de beheerders lastig maakt de vinger op de zere plek te leggen, in het geval van een "besmetting".

Maurice Remm?, 12-11-2008 21:58

Internet wormen blijven een van de grootste security uitdagingen voor bedrijven en particulieren. Recente metingen van SANS en Internet Storm Center laten zien dat een ongepatchte machine al binnen een paar uur besmet is, voornamelijk door wormen en andere geautomatiseerde aanvallen. In onze dagelijkse praktijk merken we dat veel bedrijven denken niet kwetsbaar te zijn voor dit type aanvallen omdat ze een firewall hebben die binnenkomend Internet verkeer blokkeert. Vaak beseffen ze niet dat ze middels USB sticks, laptops van medewerkers en VPN verbindingen alsnog geinfecteerd kunnen worden en de worm dan in het netwerk vrij spel heeft. Een voorbeeld daarvan was de Blaster worm die bij een aantal van onze klanten ondanks de firewall toch schade heeft aangericht. Destijds zag men dan vaak een in paniek rondrennende groep netwerk beheerders die tegen de klok in andere machines uit het netwerk probeerde te halen om besmetting te voorkomen. Goed vulnerability management blijft dus erg belangrijk, ook buiten het DMZ!

	Aantal reacties met 3+ sterren		Gemiddelde waardering
1	PaVaKe	154	6.4
2	Reza Sarshar	120	6.7
3	Henri Koppen	109	6.4
4	edekkinga	79	6.6
5	Jaap-G	53	6.1
6	Guido Groeneweg	49	6.3
7	Ruud Mulder	47	6.5
8	mauwerd	43	6.1
9	Frank Brechts	43	6.0
10	Rob Koelmans	40	6.3

Nieuws / Security

Eerste worm viert twintigste verjaardag

Internet meten

10-02 Infor helpt Ferrari met bouwen F1-auto's

10-02 Tester Four Oaks in Israëlische handen

10-02 IS Online en Tres zijn klaar voor Elfstedentocht

10-02 SecureLink migreert Microsoft-diensten Atradius

10-02 Nieuwe software brengt Vitens in problemen

10-02 Ex-Misys-topman moet CSC uit penarie helpen

10-02 Veenman en 20/20 vision adviseren samen klant

10-02 Cisco maakt 2,2 miljard dollar kwartaalwinst

10-02 Misys en Temenos willen fuseren

10-02 Raet stelt Schrijnemaekers als nieuwe CFO aan

10-02 SecureLink migreert Microsoft-diensten Atradius

09-02 Vodafone: Wij spelen klantinformatie niet door

09-02 Lang leve de hackers!

09-02 'Ook met cookiewet is gebruiker niet anoniem'

09-02 'KPN koppelt ID aan internetverkeer'

08-02 'Nieuwe cookiewet is eenvoudig te omzeilen'

07-02 Eigen werknemer kan ook een vijand zijn

03-02 'Overheid vreest voor veiligheid in de cloud'

01-02 F5 beschermt openbare websites

31-01 Publieksvoorlichting is belangrijke taak voor NCSC

22-01-09 'Patch is niet genoeg tegen Windows-worm'

19-01-09 Windows-worm infecteert miljoenen PC's

23-01-08 Nieuwe worm besmet smartphones

23-11-07 Het gevecht duurt voort

23-11-07 Stilte voor de Storm Worm

04-04-07 Netsky-worm nog steeds grootste bedreiging

14-09-06 Makers zotob-worm naar gevangenis

06-07-06 Nieuwe worm doet zich voor als Microsofts WGA

22-05-06 Nieuwe IM-worm komt met eigen 'veilige' browser

Best Practices om laptop-data te beschermen