Mitschuld Symantecs am Slammer-Virus?

Mitte Februar lancierte Antivirenspezialist Symantec ein globales Frühwarnsystem für Internet-Attacken. Mit der dazugehörigen Medienmitteilung ist Symantec nun aber ins Kreuzfeuer der Kritik geraten. Die Firma prahlt in der Mitteilung nämlich damit, dass das DeepSight Thread Management - so der Name des neuen Systems - den Slammer-Wurm bereits Stunden vor dem eigentlichen Ausbruch entdeckt hatte.

Die Fakten

Wenn Symantec von Slammer bereits im Vorfeld des Ausbruchs wusste, warum wurde die Öffentlichkeit nicht gewarnt?

Offenbar hatte Symantec am 24. Januar 2003 um 9 Uhr abends (Westküstenzeit) ihre DeepSight-Kunden über Slammer informiert. Dies schreibt die renomierte News-Site "Wired News" in einem Artikel mit Titel "What Symantec knew but didn't say". Gegen 10 Uhr abends, also rund eine Stunde später, tauchten in Security-Diskussionsforen die ersten Postings zum Thema Slammer auf. Zu diesem Zeitpunkt war der Wurm bereits ausgebrochen. Fakt ist, dass Slammer 90 Prozent der Schäden innert der ersten 10 Minuten nach dem Ausbruch angerichtet hat. Hätte Symantec also umgehend von den ungewöhnlichen Aktivitäten auf Port 1434 - den Port, den Slammer für den Angriff missbrauchte - informiert, hätte mit Sicherheit ein Teil des Schadens vermieden werden können.

Die offizielle Stellungnahme zum Vorfall von Marcel Beil, Regional Director Symantec, lautet folgendermassen: "Am 24. Januar 2003 verschickte das DeepSight Threat Management System von Symantec eine automatisch generierte Warnung an alle Abonnenten. Dank dieser Information waren die Sicherheitsverantwortlichen dieser Kunden in der Lage, ihre eigene Analyse vorzunehmen und abzuwägen, ob dieser Angriff für ihr Netzwerk eine Gefahr darstellt oder nicht. Gleichzeitig konnten sie geeignete Massnahmen ergreifen."

Mittäterschaft?

Die Symantec-Kunden hatten also die Gelegenheit, sich gegen Slammer zu schützen. Aber die breite Öffentlichkeit? Hat Symantec nicht eine Verantwortung als Sicherheitsspezialist gegenüber der Allgemeinheit, oder steht die Loyalität gegenüber den bezahlenden Kunden im Vordergrund? Laut Jeff Johnstone der Secutity-Beratungsfirma Diamond Technical Group ist das Verhalten von Symantec äusserst fragwürdig. Solche Informationen würden in der Security-Gemeinde immer mit anderen Mitgliedern geteilt. Marcel Beil windet sich: "Das DeepSight Threat Management System von Symantec generiert jeden Monat zirka 15 Warnmeldungen. Auch wenn diese Information für die am System angeschlossenen Kunden entscheidend ist, so kann sie trotzdem für ein breiteres Publikum unwichtig sein. Hinzu kommt, dass die automatisch generierte Warnmeldung, die zu diesem Zeitpunkt noch nicht von unseren Sicherheitsexperten analysiert wurde, nur von einem Zielpublikum ausgewertet werden kann, das über entsprechendes Sicherheits-Know-how verfügt." Diese heiklen Aussage lässt nur einen Schluss zu, nämlich den, dass man der Security-Gemeinde nicht zutraute, Informationen richtig zu deuten.

Sicherheitsexperten vermuten, dass es sich bei der Slammer-Passage in besagter Medienmitteilung wohl bloss um einen Marketing-Schuss, der nach hinten los gin, handelt. Falls Symantec aber tatsächlich um die Gefährlichkeit und Vorgehensweise von Slammer wusste, steht unweigerlich die Frage nach der Mitschuld im Raum.