[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: CodeRed - Medienecho?



On 2001-08-01 21:30:15 +0200, Gert Doering wrote:

>CodeRed laeuft uebrigens gerade wieder los - trotz gruendlicher 
>Vorbeuge schon zwei Server bei Kunden infiziert, und 7 Versuche 
>von aussen auf meinem Webserver...

Halbwegs aktuelle Statistik: <www.incidents.org>
Mathematisches Modell dazu:  <http://www.silicondefense.com/cr/>

Das Modell (von Stuart Staniford) besteht aus einer aus ein paar 
sehr vernünftigen Annahmen über CodeRed Version 2 abgeleiteten 
gewöhnlichen Differentialgleichung, die in der Tat das Verhalten des 
ersten CodeRed-Ausbruchs ziemlich gut beschreibt. 

Insbesondere folgt aus diesem Modell und einem ähnlichen Modell für 
CodeRed Version 1, daß der Juli-Ausbruch von CodeRed v2 
hervorgerufen wurde.  Es folgt ebenfalls, daß der erste Ausbruch 
nicht allein auf Grund des Abschaltungsmechanismus im Wurm, sondern 
tatsächlich wegen Saturation abflaute.

Für den damaligen Ausbruch hat Staniford sein Modell bei einer
Ausbreitungsrate von K = 1.7 +- 1 gefittet, bei den derzeitigen 
Zahlen schätzt er (auf incidents@securityfocus).com ca. K = 0.75.

Die Ausbreitungsrate ist dabei definiert als die Anzahl der Hosts, 
die ein infizierter Host pro Stunde infizieren KANN.

K wiederum ist mit einiger Sicherheit proportional zur Anzahl der 
verwundbaren Maschinen.  Das bedeutet, daß etwas mehr als die Hälfte 
aller verwundbaren Server gepatcht wurde, während die andere Hälfte 
in den nächsten Wochen für einigen "Spaß" sorgen wird.

-- 
Thomas Roessler                        http://log.does-not-exist.org/