[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
Re: CodeRed - Medienecho?
- To: Gert Doering <gert@greenie.muc.de>
- Subject: Re: CodeRed - Medienecho?
- From: Thomas Roessler <roessler@does-not-exist.org>
- Date: Wed, 1 Aug 2001 22:55:57 +0200
- Cc: Gunnar Anzinger <a@gksoft.com>, "debate@lists.fitug.de" <debate@lists.fitug.de>
On 2001-08-01 21:30:15 +0200, Gert Doering wrote:
>CodeRed laeuft uebrigens gerade wieder los - trotz gruendlicher
>Vorbeuge schon zwei Server bei Kunden infiziert, und 7 Versuche
>von aussen auf meinem Webserver...
Halbwegs aktuelle Statistik: <www.incidents.org>
Mathematisches Modell dazu: <http://www.silicondefense.com/cr/>
Das Modell (von Stuart Staniford) besteht aus einer aus ein paar
sehr vernünftigen Annahmen über CodeRed Version 2 abgeleiteten
gewöhnlichen Differentialgleichung, die in der Tat das Verhalten des
ersten CodeRed-Ausbruchs ziemlich gut beschreibt.
Insbesondere folgt aus diesem Modell und einem ähnlichen Modell für
CodeRed Version 1, daß der Juli-Ausbruch von CodeRed v2
hervorgerufen wurde. Es folgt ebenfalls, daß der erste Ausbruch
nicht allein auf Grund des Abschaltungsmechanismus im Wurm, sondern
tatsächlich wegen Saturation abflaute.
Für den damaligen Ausbruch hat Staniford sein Modell bei einer
Ausbreitungsrate von K = 1.7 +- 1 gefittet, bei den derzeitigen
Zahlen schätzt er (auf incidents@securityfocus).com ca. K = 0.75.
Die Ausbreitungsrate ist dabei definiert als die Anzahl der Hosts,
die ein infizierter Host pro Stunde infizieren KANN.
K wiederum ist mit einiger Sicherheit proportional zur Anzahl der
verwundbaren Maschinen. Das bedeutet, daß etwas mehr als die Hälfte
aller verwundbaren Server gepatcht wurde, während die andere Hälfte
in den nächsten Wochen für einigen "Spaß" sorgen wird.
--
Thomas Roessler http://log.does-not-exist.org/