"hornet"-Virus
http://www.drakact.com/wireless.html

 01.04.2001                              1/3


Soeben ist das passiert, was Experten der funkgestützten Datenübertragung ("wireless LAN") schon länger befürchten. Die Verbreitung des "hornet"-Virus (zu deutsch: Hornisse), dem ersten Funk-Virus seiner Art.
Anders als herkömmliche Computerviren, benutzt dieser destruktive Virus zur Verbreitung kein digitales Medium (Internet, Email, Datennetzwerk, Diskette, ...), sondern moduliert sich auf die Trägerfrequenz der eigentlichen Funkübertragung.

Diese Tatsache führt zu den folgenden Verbreitungseigenschaften:

  1. Der Virus unterläuft damit alle bisherigen Hard- und Software -Firewalls, da sich diese auf einem höheren OSI-Layer befinden.
  2. Er ist dank dieses Übertragungsmediums hochkompatibel und damit unabhängig vom verwendeten Funknetzsystem oder Betriebssystem der beteiligten Datennetzwerke und PCs.
  3. Er ist auf keine Kommunikationsverbindung angewiesen, sondern gelangt vom Sender zu sämtlichen im Empfangsbereich befindlichen Empfängern.
  4. Er kann sich auch in abgeschaltete Systeme einschleichen, falls die Funk-Schnittstelle nicht vollständig abgeschaltet ist. (Da einige Geräte auch per Funk eingeschaltet werden können, reicht dort der Sleep- oder Standby-Modus nicht aus!)
  5. Seine Existenz ist innerhalb der Inkubationszeit schwer nachzuweisen, da er von herkömmlicher Antiviren-Software nicht erfassbar ist (wie Firewalls, siehe 1.).
  6. Erschwerend kommt hinzu, daß diese Zeit mit ca. 2 Wochen recht lang ist und für die vollständige Verbreitung ausreicht.

Die Symptome sind fatal: Der Virus "lernt" und verschafft sich dadurch die IP-Strukturen nicht nur des eigenen Funknetzes, sondern sämtlicher Netze, die an seinem Ort empfangen werden können. Nach Aktivierung "verbiegt" er die IP-Adressen ausgehender Datenpakete - mit fatalen Folgen:

  1. Ausgehende Daten gelangen zum falschen Adressaten, dadurch sind Konsistenz und Vertraulichkeit der Übertragung nicht mehr gegeben.
  2. Schlimmer noch ist das Senden an nicht existierende Adressen: Die Folge ist der Totalausfall des Datennetzwerkes, verbunden mit dem Verlust sämtlicher Daten, die bis zu diesem Zeitpunkt nicht gesichert wurden.
 

 

Fortsetzung
"hornet"-Virus
http://www.drakact.com/wireless.html

 01.04.2001                              2/3

Der Virus scheint seinen Ursprung in Süd-Italien zu haben, von wo vor wenigen Tagen die ersten Warnungen kamen. Letzte (telefonische!) Schreckensmeldungen über komplette Systemausfälle kamen heute aus Österreich. Aufgrund der schnellen Ausbreitungsgeschwindigkeit und der langen Inkubationszeit hat sich der Virus mit hoher Wahrscheinlichkeit bereits über ganz Europa ausgebreitet. Betroffen sind:
  1. Alle Datennetze und PCs, die entweder über ein komplettes Funknetz verfügen oder an mindestens einer Stelle einen Internet-Zugang bzw. eine Peer to Peer Verbindung über eine Funkschnittstelle haben.
  2. Nicht betroffen dagegen sind hermetisch abgeschirmte Funkzellen, die zur Außenwelt per Kupfer- oder Glasfaserkabel angebunden sind.
  3. Es wird vermutet, daß ein Großteil aller Fähren oder Kreuzfahrschiffe, sofern sie über ein wireless-LAN verfügen, ebenfalls infiziert sind und so zur interkontinentalen Verbreitung beitragen.

Weder ist die Verbreitung des Virus aufzuhalten, noch sind die Symptome vermeidbar. Die einzige zum derzeitigen Wissensstand sinnvoll scheinende Maßnahme zur Schadensbegrenzung ist ein beliebiges funktionierendes Backup-System, das in regelmäßigen Abständen Sicherungskopien erzeugt und vor Datenverlust schützt.

Der Virus hält sich im Datenpuffer der Funkschnittstellen auf, kann jedoch nicht durch Trennen von der Stromversorgung gelöscht werden, da die Geräte zwecks Datenerhalt über eine Backup-Batterie verfügen. Der Nachweis des Virus kann mithilfe eines Spektrumanalysators erfolgen, der Virus macht sich durch den amplitudenmodulierten Träger bemerkbar, s. Photo.

 

Fortsetzung
"hornet"-Virus
http://www.drakact.com/wireless.html

 01.04.2001                              3/3
Falls die Funkzelle noch nicht infiziert ist, kann folgende einfache Maßnahme Schutz bieten:

Handelsübliche HF-Meßzangen mit RJ45-Datenanschluß können als Adapter über die Antenne der entsprechenden Funkstationen gestülpt und mittels Kupfer-Datenkabeln untereinander verbunden werden, siehe Bild unten rechts, sozusagen als Bypass. Die Meßzange sorgt einerseits für die vollständige Absorption der gesendeten Information (Innenverhältnis), andererseits für die Abschirmung aller von außen dringenden Informationen (Außenverhältnis).
Diese Lösung ist besonders dahingehend elegant, daß sie eine friedliche Synergie bildet zwischen dem hohen Kostenaufwand eines langsamen drahtlosen Netzwerkes und der hohen Performance einer preiswerten drahtgebundenen Lösung.

    

Aber wer sein Handwerk versteht, hat von Anfang an Kabel gelegt und braucht diesen Beitrag nicht aus Angst zu lesen, sondern um sich zu amüsieren - während seine Datenkabelnetze treu ihren Dienst versehen.
Wenn auch Sie zu dieser Gruppe gehören, dann schicken Sie doch einfach eine Email an mit dem Betreff "webnews", Sie erhalten dann ca. 3 mal im Jahr eine Info über neue Produkte - und Späße.

zum Anfang dieses Beitrags                 weitere Späße