Witte Huis is worm te slim af

Mogelijke vertraging internet afgewend

20 juli 2001 | Jasper Koning Webmasters van het Amerikaanse Witte Huis zijn de worm Code Red, die tot doel had de site whithouse.gov te overspoelen met data, te slim afgeweest. Door de site te verplaatsen hebben ze niet alleen de worm buiten de deur gehouden, maar ook een mogelijke vertraging van het algehele internetverkeer voorkomen.

De gisteren gesignaleerde worm Code Red verspreidde zich zeer snel via het internet en had al meer dan 100.000 servers met Engelstalige software geïnfecteerd. Maar in eerste instantie was nog niet helemaal duidelijk welke schade de worm zou aanrichten. Het Amerikaanse beveiligingsbedrijf eEye Digital Security kwam er na een analyse van de worm achter dat hij als doel had de site whitehouse.gov te overspoelen met data, opdat de site onbereikbaar zou worden voor bezoekers. Na bestudering van de analyse van eEye nam het Witte Huis echter adequate maatregelen om zo'n DoS-aanval te voorkomen.

Een bezoeker van whitehouse.gov wordt normaal gesproken doorverwezen naar het numerieke adres 198.137.240.91, dat gelinkt is met de site van het Witte Huis. Code Red was zo geprogrammeerd dat het op zoek ging naar dit specifieke numerieke adres voordat het de data zou versturen. Het Witte Huis verplaatste de site naar een ander numeriek adres, dat niet door de worm werd herkend. De worm begon daarom ook niet met het versturen van de data. Dat de worm pas met versturen van data zou beginnen na contact te hebben gemaakt met het numerieke adres, wordt door experts als een ontwerpfout gezien.

Worm tussentijds aangepast
De schrijver van Code Red heeft hem hoogstwaarschijnlijk gisteren nog aangepast. De worm zou aanvankelijk donderdag ophouden met zichzelf te verspreiden. Eerder deze week vertraagde de verspreiding van de worm inderdaad. Maar donderdag begonnen geïnfecteerde servers de worm toch weer te verspreiden, mogelijk na aanpassing van de code. Om zichzelf te verspreiden maakt Code Red gebruik van een beveiligingsfout in de veel gebruikte serversoftware Internet Information Server (IIS) van Microsoft. Deze fout werd ook al door eEye ontdekt en Microsoft plaatste vorige maand een programmaatje op zijn site waarmee de fout kan worden gerepareerd.

Lang niet alle systeembeheerders hebben dat gedaan, gezien het feit dat Code Red meer dan 100.000 servers die draaien op Engelstalige serversoftware wist binnen te dringen. Eenmaal op de server verspreidt de worm zichzelf naar andere servers die ook kwetsbaar zijn en plaatst het de tekst Welcome to http://www.worm.com! Hacked by Chinese! op de website die op de kwetsbare server wordt gehost. Vanaf vandaag zou de worm bij elke besmetting (een server kan in ieder geval drie keer worden besmet) met tussenpozen van ongeveer vier uur 400 MB gegevens versturen naar het numerieke adres van het Witte Huis.

Dat had een ware stortvloed van gegevensverkeer op internet kunnen veroorzaken, waardoor het algehele internetverkeer vertraagd had kunnen worden. Het Computer Emergency Response Team (CERT) plaatste hiervoor een waarschuwing op zijn website. Achteraf bleek dit mee te vallen: "Er kan misschien een overbelasting hebben plaatsgevonden op lokale netwerken van waaruit de worm zich heeft geprobeerd te verspreiden. Maar de gehoste sites zien er normaal