Sasser-Programmierer in Deutschland gefasst Wie das Landeskriminalamt in Hannover heute Morgen mitteilte, wurde gestern der mutmaßliche Programmierer des Internet-Wurms Sasser festgenommen. Es handele sich um einen 18-jährigen Schüler aus Rotenburg (Wümme) in Niedersachsen, der Rahmen eines Verfahrens der Staatsanwaltschaft Verden ermittelt wurde. Er habe mittlerweile ein Geständnis abgelegt und befinde sich wieder auf freiem Fuß, erklärte Frank Federau vom LKA Niedersachsen gegenüber heise online. Außerdem hätten Experten von Microsoft das Beweismaterial gesichtet und den Verdacht gegen den Schüler bestätigt.
Sasser hatte seit Ende April weltweit Millionen Computer heimgesucht. Nach Meinung von Experten waren auch einige internationale Großunternehmen von den Folgen betroffen. Ihnen entstehen zum Teil erhebliche Produktionsausfälle. Der Wurm nutzt bei nicht gepatchten Windows-2000 und XP-Systemen einen Fehler im Local Security Authority Subsystem Service (LSASS), der unter anderem zur Authentifizierung von Systemen in Netzwerken dient. Durch den Fehler ist es möglich eigenen Code in verwundbare Systeme einzuschleusen. Systeme, die bereits mit einer Sasser-Variante infiziert sind, laufen Gefahr, noch für weitere Schädlinge als Wirt zu dienen. Beispielsweise dringt Phatbot über dieselbe Sicherheitslücke in Windows-2000 und XP-Systeme ein. Zudem öffnet Sasser Hintertüren, über die zusätzliche Würmer und Trojaner eindringen können.
Quelle:Heise Meldung 08.05.2004 11:00 Uhr
Vermutlicher Sasser-Autor auch Netsky-Urheber
In einer gemeinsamen Pressekonferenz gaben das Landeskriminalamt Niedersachsen, die Staatsanwaltschaft Verden und Microsoft weitere Details zu der heute morgen gemeldeten Verhaftung des mutmaßlichen Sasser-Autors bekannt. Der 18-jährige Hobby-Programmierer soll auf seinem selbstgebauten PC nicht nur den Sasser-Wurm sondern auch alle Varianten des Netsky-Wurms erstellt und dann auch in Umlauf gebracht haben. Seine Verhaftung sei ein Meilenstein im Kampf gegen Computerkriminalität.
Die Staatsanwaltschaft ist zuversichtlich, dem Schüler nicht nur die Urheberschaft sondern auch die Verbreitung der Schädlinge nachweisen zu können, die er im übrigen auch eingestanden habe. Sie sieht damit den Straftatbestand der Computersabotage erfüllt. In seinem umfangreichen Geständnis gab der Verdächtige an, er wäre durch die in Umlauf befindlichen Viren wie Mydoom und Bagle motiviert worden, einen "Antivirus" zu entwickeln. Angespornt durch Gespräche mit Klassenkameraden entwickelte er Netsky weiter -- woraus dann schließlich auch Sasser entstanden sein soll. Da der erst kürzlich 18 gewordene einen Großteil der Taten vor seiner Volljährigkeit begangen habe, käme jedoch vermutlich das Jugendstrafrecht zur Anwendung. Zu eventuellen zivilrechtlichen Folgen der Schäden, die vermutlich im Millionenbereich anzusiedeln seien -- sofern denn Millionen ausreichten --, wollte sich die Staatsanwaltschaft nicht äußern.
Der erste Hinweis auf den Urheber kam aus dem direkten Umfeld des Verhafteten. In einem Telefonanruf bei Microsoft behauptete eine Person, die Identität des Sasser-Autors zu kennen. Auf Nachfragen lieferte sie dann auch Teile des Quellcodes, die Microsoft in forensischen Analysen als authentisch einstufte. Daraufhin schaltete Microsoft die Ermittlungsbehörden ein, die dann innerhalb kürzester Zeit reagierte und auch die Verhaftung vornahmen. Der Microsoft-Sprecher sah dies als Erfolg des Anti-Virus-Reward-Programms, das eine Prämie auf Hinweise auslobt, die zur Ergreifung und Verurteilung von Viren-Autoren führen. Bei der Frage, ob und in welcher Höhe der Hinweisgeber in diesem Fall ein solches Kopfgeld erhalte, wollte er sich jedoch nicht festlegen.
Einen direkte Verbindung zu dem ebenfalls gestern verhafteten, mutmaßlichen Phatbot-Autor sah das LKA Niedersachsen nicht. Dabei verhedderten sich die Podiumsteilnehmer allerdings in Widersprüche. So behauptete der Microsoft-Sprecher unwidersprochen, dies sei die bisher einzige bekannte Quelle für Sasser-Code. Ein anderer Podiumsteilnehmer bestätigte hingegen, dass auch gegen den Phatbot-Autor wegen Sasser ermittelt werde. Er habe wohl eine eigene Variante des Wurms in Umlauf gebracht. Die Art und Weise wie sich Phatbot beim sogenannten "Worm-Riding" die Eigenheiten von Sasser zunutze macht, lässt ebenfalls darauf schliessen, dass der Autor im Besitz des Sasser-Quellcodes war. Auf jeden Fall wollen die Landeskriminalämter Baden Württemberg und Niedersachsen ihre weiteren Ermittlungen eng koordinieren. (ju/c't)
Quelle:Heise Meldung 08.05.2004 18:56 Uhr