Fragen? Antworten! Siehe auch: Alternativlos
Die USA schlagen Alarm: China und Russland seien fähig, Satelliten zu hacken und zu kapern. Es gebe keine unkritische Infrastruktur im All, mahnen Experten.Ach. Ach was. Das ist ja unglaublich, Bob! Da rufe ich doch sofort die Nummer neben meiner Landesflagge an!
"Jeder ist auf den Weltraum angewiesen", weiß Steve Colenzo vom Air Force Research Laboratory im US-Bundesstaat New York.Das hat bestimmt die CIA herausgefunden. Die finden ja alles raus. Alles finden die raus!
Ja aber was machen wir denn jetzt? Jetzt wo sich völlig überraschend herausstellt, dass alle Akteure wohlwollend interpretiert gepennt haben und weniger wohlwollen interpretiert absichtlich Security ausgeblendet haben?
Die Autoren schlagen eine "Open-Source-Cybersicherheitsanalyseplattform im Zusammenhang mit Kleinsatelliten" vor.Scheiße, Bernd! Da hätten wir auch selber drauf kommen können! JETZT ruf ich aber schnell die Nummer neben der Landesflagge an!!1!
Ich wundere mich ja, dass noch keiner Antiviren vorgeschlagen hat.
Antivirensoftware, einschließlich der damit verbundenen echtzeitfähigen Clouddienste, verfügt über weitreichende Systemberechtigungen und muss systembedingt (zumindest für Aktualisierungen) eine dauerhafte, verschlüsselte und nicht prüfbare Verbindung zu Servern des Herstellers unterhalten.Ach. Ach was.
Das fällt euch jetzt auf?
Oder ist das erst jetzt ein Problem für euch, wenn ausländische Firmen eine verschlüsselte privilegierte Hintertür in alle Systeme der deutschen Industrie haben?
Hätte uns doch nur jemand rechtzeitig gewarnt!!1!
Vielleicht ist jetzt der richtige Moment, um mal ein bisschen die Gründer der Player zu googeln. Der Gründer von Mandiant kommt von der US Air Force. Crowdstrike wurde einem Russen gegründet.
Wie wäre es mit McAfee? Ein für seinen krassen Drogenkonsum und seine Herumhurerei bekannter Playboy?
Fireeye wurde von einem Pakistani gegründet. Ist das vertrauenswürdiger als ein Russe?
Bitdefender kommt aus Rumänien, ESET aus der Slovakei. Kann man da annehmen, dass die unbestechlich und unkorrumpierbar sind?
Ein russischer IT-Hersteller kann selbst offensive Operationen durchführen, gegen seinen Willen gezwungen werden, Zielsysteme anzugreifen, oder selbst als Opfer einer Cyber-Operation ohne seine Kenntnis ausspioniert oder als Werkzeug für Angriffe gegen seine eigenen Kunden missbraucht werden.Oh und das kann in anderen Ländern nicht passieren?!
Hey, ich hab eine radikale Idee. Wie wäre es, wenn ihr einfach gar keinem eine privilegierte Backdoor in alle eure Systeme gebt?
OK, liebe Leser, passt mal auf.
Computer-Antiviren richten sich gegen denkende Gegner mit Intention. Das ist eine ganz andere Klasse von Bedrohung als eine natürliche Bedrohung. Ein denkender Gegner mit Intention kann deine Abwehr beobachten und studieren und dann eine Umgehung ersinnen. Er kann dabei Umweltbedingungen herbeiführen, die nicht natürlich auftreten würden, z.B. "Platte voll", "RAM belegt", "CPU beschäftigt", kann so dafür sorgen, dass der Callback in deinem Antivirus zu spät oder gar nicht kommt oder eine Race Condition ausgenutzt wird.
In der Natur haben wir es zwar auch mit Evolution zu tun, aber die ist ohne Intention. Die Natur kann grausam wirken, aber sie spielt nichtmal in derselben Liga wie ein menschlicher Gegner. Das auch nur zu vergleichen zeigt von einem völlig disqualifizierenden Unverständnis von Risikobewertungen.
Ein menschlicher Gegner kann widrige Effekte der Natur einspannen. Das Covid-Virus kann keinen Covidioten erzeugen, um unsere Covid-Antwort zu sabotieren. Das mussten wir schon ganz von alleine selber tun.
Neue Angriffe von natürlichen Gegnern sind entweder berechenbar (und damit eigentlich trivial abwehrbar, wenn wir nicht so inkompetent agieren würden) oder haben randomisierte Mutationen (die eigentlich auch trivial abwehrbar sein sollten). Menschliche Angreifer haben das beides und zusätzlich noch gezielte Angriffe, Täuschung und Sabotage.
Einen menschlichen Angreifer kannst du im Wesentlichen nicht sicher abwehren, du kannst seinen Angriff nur so teuer machen, dass er sich nicht lohnt. Aber gegen Fanatiker und Terroristen hilft das nicht zuverlässig. Fragt nur mal israelische Busfahrer oder russische oder amerikanische Soldaten, die mal in Afghanistan stationiert waren.
Wenn du verhindern willst, dass eine Kuh ihre Weide verlässt, machst du einen Elektrozaun und ein Gitter in den Boden bei der Zufahrt. Wenn du verhindern willst, dass ein Mensch deine Weide betritt, musst du strukturell gesichert haben, ein bisschen Zaun reicht dann nicht.
Die Abwehr von intelligenten oder intelligent gesteuerten Angreifern ist nicht mal ansatzweise vergleichbar mit der Abwehr von Tieren oder natürlichen Vorgängen. Wenn wir uns gegen ein Virus wehren wollen, dann haben wir einen asymmetrischen Vorteil. Wir können forschen, das Virus verstehen, verstehen wie es funktioniert, wie es angreift, und einen Impfstoff bauen. Wenn ihr oben aufgepasst habt, fällt euch auf, dass das genau die umgekehrte Asymmetrie ist wie bei einem intelligenten Angreifer, der unsere Abwehr studieren und gezielt umgehen kann.
Also grob dasselbe Problem wie bei Sicherheitsgurten und "Antiviren". Die Leute glauben, sie sehen jetzt sicher, und verhalten sich entsprechend riskanter. Seufz.
Heise hat diesen Sprung gerade bei Schlangenöl vollzogen.
Die Funde bestätigen einmal mehr die von heise Security bereits 2007 in Antiviren-Software als Einfallstor dokumentierte Tatsache, dass eigentlich immer, wenn ein Sicherheitsforscher "auf Antiviren-Software drauf haut", unten kritische Sicherheitslücken herauspurzeln.Seht ihr? Heise ja doch schon immer gesagt, dass Antiviren die Angriffsoberfläche erhöhen!1!!
Das illustrierten Forscher 2014 erneut und es scheint sich nicht grundsätzlich geändert zu haben.Ist ja ein Ding!
Das Grundproblem ist, dass AV-Software unzählig viele Dateiformate analysieren und dazu auspacken muss.Hey, die Argumentation kommt mir irgendwie bekannt vor. Wenn ich mir nur erinnern könnte, wo ich das zuerst gehört habe…
Nun, liebe Heise Security, herzlich willkommen im Club. Freut mich, dass ihr den Sprung geschafft habt!
Ich will nicht unerwähnt lassen, dass ihr die Erkenntnis auch schon deutlich früher hättet haben können. Aber hey. Wichtig ist, was hinten rauskommt.
Jetzt müsst ihr nur noch aufhören, den MS Defender zu loben. Denn auch der funktioniert nicht. Sonst gäbe es keine Ransomware.
Aktuell: Remote Code Execution in Sonicwall.
Bei der Gelegenheit möchte ich darauf hinweisen, dass der Security-Chip damit eine zusätzliche, vorher nicht vorhandene Angriffsoberfläche geschaffen hat, und die sich als angreifbar herausgestellt hat.
Das ist bei Antiviren seit vielen Jahren eine meiner Kernthesen, dass das so ist, und die, bei der ich am meisten Gegenwind kriege (obwohl das ja völlig offensichtlich ist). Es gilt auch bei anderen Security-Technologien und ist eines der am häufigsten ignorierten Risiken.
Das heißt nicht, dass alle Security-Technologien Schlangenöl sind, aber der Nutzen muss unter dem Strich halt höher als die neuen Risiken sein. Wenn jemand an der Stelle schon anfängt, Risiken zu ignorieren oder kleinzureden, dann solltet ihr ab dann keiner anderen Aussage aus derem Munde mehr trauen.
Damit keine Malware auf Linux-Servern landet, sollten Admins die eigentlich schützende Software ServerProtect for Linux (SPLX) von Trend Micro auf den aktuellen Stand bringen. Das von der Lücke ausgehende Risiko gilt als "kritisch".Hat zufällig jemand eine Statistik greifbar, wie viel Linux-Malware Trend Micro so "erkennt"? Und in ihrer Firmengeschichte insgesamt abgewehrt hat? Ist jemandem ein einziger Fall bekannt?
Sprecht mir nach: Antiviren sind Schlangenöl!
TLDR: Es hat gereicht das Enduser-Self-Service-Portal oder die Admin-GUI public erreichbar zu haben um geowned worden zu sein.Ich sage euch, diese Antivirenbranche! Hätte uns doch nur jemand rechtzeitig gewarnt, dass das bloß Schlangenöl ist! (Danke, Sebastian)Und Ersteres zumindest haben vieeele. Der gemeine Enduser muß ja sein VPN selber klicken können. Erst Recht zu Homeoffice-Zeiten...
(Durfte gestern/heute >25 Systeme durchgehen. Nicht eines hats nicht erwischt.)
Es gibt ja die Variante: 'Hotfix automagisch eingespielt + Dir ist nix passiert' oder 'Hotfix automagisch eingespielt + you were 0wned'.
Pre-Auth-SQL-Injection, sportlich. Finde leider keine technischen Details zum Angriff selber, man könnte ja meinen im Testing wird mit allem möglichen drauf eingehauen.
PS: Aber, auch das (noch gepflegte, ältere) Schwesterprodukt "Sophos UTM" hatte so seine Themen die Tage:
https://www.heise.de/security/meldung/Sophos-zieht-problematisches-Firmware-Sicherheitsupdate-9-703-fuer-UTM-zurueck-4704634 .html
Der für Windows-PCs geschriebene Verschlüsselungstrojaner RobinHood fliegt unter dem Radar von Antiviren-Software, um Computer zu befallen. Das ist an sich nicht neu, aber die Art und Weise wie das funktioniert, hat es bislang noch nicht gegeben.Oh, ach? Das ist an sich nicht neu? Wollt ihr etwa sagen … Schlangenöl funktioniere nicht?!?
Und euch ist das seit Jahren bekannt?!?
Hätte uns doch nur rechtzeitig jemand gewarnt!!1!
Das Argument würde natürlich viel ernster genommen, wenn es Malware gäbe, die über einen 0-day im Antivirus reingekommen ist.
Nun, … *drumroll* … die gibt es jetzt.
Hackers exploited a Trend Micro OfficeScan zero-day to plant malicious files on Mitsubishi Electric serversIch finde ja bei sowas immer, dass man nicht warten muss, bis die 0-days ausgenutzt werden. Remote Desktop und Antiviren sind beides Dinge mit viel zu viel Komplexität. Das kann praktisch gar nicht sicher sein.Benutzt ihr Wordperfect? Wem das nichts sagt: Googelt das mal. Das ist eine Textverarbeitung von früher, bevor alle nur noch bei Microsoft gekauft haben.
Habt ihr wahrscheinlich nicht. Aber der Antivirus muss einen Parser dafür haben. Könnte ja Malware drin sein. Schwupps habt ihr mehr Angriffsoberfläche. Die Schlangenöler sagen immer, wie viele Viren sie angeblich erkennen. Fragt mal euren Vertriebsbeauftragten, wieviele Dateiformate sie können. Stellt die Frage am besten so, dass es klingt, als hieltet ihr das für vorteilhaft, wenn das Ding viele Dateiformate versteht.
Der Verzicht auf unnötige Angriffsoberfläche ist die älteste Maßnahme in der IT Security. Dienste zumachen, die man nicht braucht. Ports zumachen, die man nicht braucht. IPs filtern, die nicht erreichbar sein müssen. Software deinstallieren, die nicht gebraucht wird. Schlangenöl ist die Antithese davon, und irgendwie scheint es niemand wahrzunehmen. Schlangenöl ist das Gegenteil von Security.
Update: Oh ach gucke mal, ich war ja gar nicht der einzige Rufer in der Wüste: Thierry und Sergio haben auf der Cansecwest 2008 auch was dazu vorgetragen. *winke*
Gestern so: "Norton Support" (nur echt mit Deppenleerzeichen) ist am Ball. Leider am falschen Ball, guckt auf die falsche Domain.
Heute so: "Norton Support" (nur echt mit Deppenleerzeichen) guckt auf die richtige Domain, kann aber leider Twitter nicht bedienen. Was machen die Damen und Herren aus dem Twitter-Support von Symantec eigentlich beruflich?
Aber kein Problem, folgen wir dem "@NortonSupport (powered by Khoros Care)". Mein Firefox begrüßt mich direkt mit einem kaputten Inline-Bild. Ihr eigenes Firmen-Logo kriegen die nicht korrekt eingeblendet. Wow. Von denen willst du doch hochkomplexe Sicherheits-Software kaufen!1!!
Inhaltlich ist das eine Kopie des Twitter-Threads aber mit längeren Inhalten. So eine Art twitlonger nur halt für Enterprise. Ich finde ja sehr unterhaltsam, dass das bei "lithium.com" liegt. Lithium wird in der Therapie gegen Depressionen eingesetzt.
Aber was sagen sie denn?
de Sie können die Seite freischalten indem Sie Ihren Blog unter den folgenden Link https://safeweb.norton.com/help/site_owners meldenAlso mit anderen Worten: Ich soll jetzt unbezahlte Arbeit in deren byzanthiner Schrott-IT aufwenden, um deren Unzulänglichkeiten zu übertünchen.
Ja, äh, nee, Symantec. Soweit kommt es ja wohl noch.
Schöne Domain haben Sie da! Wäre ja schade, wenn die nicht erreichbar wäre! Aber keine Sorge, Sie können sich freikaufen. Aus juristischen Gründen machen wir das aber mit Zwangsarbeit, nicht mit Schutzgeld.
Not gonna happen. Ich habe viel zu viel Spaß dabei, euch beim öffentlichen Demonstrieren eurer Inkompetenz zuzugucken.
Falls übrigens der eine oder andere die Hintergrundgeschichte nicht kennt, und möglicherweise annimmt, Symantec könnte vielleicht doch Recht haben: Im Jahre 2008 hatte ich das mal ausführlich erklärt. Diese Datei ist mit dem expliziten Ziel erstellt und dort hingelegt worden, Antiviren als Schlangenöl zu demaskieren. Und sie erfüllt ihren Dienst vorbildlich.
Und natürlich ist mal wieder die Rede von einem Hackerangriff. Eine Ransomware ist kein Hackerangriff. Ein Hackerangriff ist, wenn ein Hacker deinen Rechner angreift, ohne dein Zutun, und der geht dann kaputt oder tut Dinge, die du nicht wolltest. Heutzutage ist der Begriff in der Breite kaum noch anwendbar, weil jede Schrottsoftware ständig neue Updates nachinstalliert, die Dinge tun, die du nicht wolltest. Aber das ist die Definition eines Hackerangriffs.
Was wir hier haben ist ein klarer Fall von "die Organisation hielt es nicht für nötig, ordentliche Infrastruktur auszurollen". Organisationen, die glauben, ein verkacktes Berechtigungskonzept im Unternehmen durch die Nachinstallation von Schlangenöl bekämpfen zu können. Und ja, das ist meiner Erfahrung nach der beste Indikator für verkackte Sicherheitskonzepte in Organisationen: Schlangenöl. Je verkackter die Security, desto mehr Schlangenöl.
Ja aber Fefe, höre ich euch sagen, die Produkte im Gesundheitssektor sind alle auf einem beschissenen Niveau, da kann man nicht so viel machen! Doch, kann man. Man vernetzt sie nicht. Und man klagt solange bei den Herstellern Nachbesserungen ein, bis die netto einen Verlust pro verkaufter Lizenz einfahren.
Was mich ja bei solchen Geschichten immer am meisten mitnimmt: Das sind die Leute, denen wir glauben sollen, dass sie bei dem Rest ihres Krankenhauses schon alles ordentlich machen. Denen wir unser Leben anvertrauen sollen, wenn wir in Not sind. Die Leute, die es nicht schaffen, ihre IT ordentlich zu installieren, denen sollen wir dann glauben, dass sie aber ihre ärztlichen Dinge alle voll im Griff haben.
Ich weiß nicht, wie euch das geht, aber das fällt mir schwer.
Money Quote:
In der Nacht zum Sonntag hat ein Cyberangriff das komplette Netzwerk des Verbundes lahmgelegt – und das trotz vorhandener Firewall und aktualisierter Antivirensoftware.DAS IST JA UNGLAUBLICH, BOB? Ihr hattet Schlangenöl und eine Firewall!?!? Und das hat nicht gereicht?!?!?
Eine von außen ins System eingespielte Schadsoftware hat Server und Datenbanken kryptisch verschlüsseltJa nee klar, von außen eingespielt. Ich glaube kein Wort. Das ist eine dieser "damit konnten alle gut leben"-Erklärungen. Es gibt für Ransomware drei typische Optionen, wie die in ein Unternehmen kommt:
Die Wahrscheinlichkeit für Fall 3 ist verschwindend gering. Das kommt praktisch nicht vor. Ich wäre wirklich überrascht, also echt ehrlich ganz doll überrascht, wenn das hier vorgekommen sein sollte. Den Fall kann man praktisch ausschließen, so selten kommt der vor. Dass jemand über eine Sicherheitslücke reinkommt, für die es noch keinen Patch gab. Das ist eine übliche Schutzbehauptung, aber vorkommen tut es nie.
Ich betrachte solche Fälle inzwischen als übliche Geschäftskosten. Du kannst entweder Geld in ordentliche Infrastruktur oder in Dauerreparaturen stecken. Ist wie bei Autobahnen und Fenstern und Sanitär und sonst überall. Aber seid dann bitte auch so ehrlich und faselt nicht von Hackerangriffen herum. Die Ursache für euren Schaden ist eure eigenen Infrastrukturentscheidungen, nicht irgendwelche Hacker.
So und jetzt könnt ihr entweder alle weiterhin euer Windows-Ökosystem mit Active Directory und SMB-Shares und MS Office weiter betreiben und schön Schlangenöl drübersprenkeln, und euch wundern, dass ihr trotzdem die ganze Zeit Ärger habt. Oder ihr könnt mir glauben, wenn ich euch sage: Schlangenöl hilft nicht.
Und ich habe jetzt Albträume über Ausreden eines Krankenhauses, das mit schlechter Hygiene erwischt wird. Das war keine verkackte Hygiene, das war ein Bakterien-Angriff! Wir hatten sogar eine Seife ausliegen und das hat nicht gereicht!!
New hotness: Malware benutzt Antivirus-Prozess, um die Spuren zu verwischen.
Warte mal, war nicht der Existenzgrund für den Antivirus, den Malware-Befall zu verhindern?!
Ey pass auf, ich hab ne Idee. Wenn das Schlangenöl nicht hilft, dann war die Dosis zu klein!!
Als Sofortmassnahme sei die Sicherheitsstufe des Antivirenprogramms erhöht worden.Wie, Schlangenöl hilft nicht? Dann müssen wir die Dosis erhöhen!!
Ein spezieller Passwortschutz der Antiviren-Software AVG hat den Passwortspeicher des Firefox-Browser beschädigt. Nutzer hatten deshalb zwischenzeitlich ihre Zugangsdaten verloren.Seid ihr auch so froh, dass uns das Schlangenöl vor Schaden bewahrt? Nicht auszudenken, was Malware sonst alles ausrichten könnte und würde! Z.B. eure Firefox-Passwortdaten kaputtmachen!!1!
Update: Dazu passend schickt mir jemand dieses tolle Reddit-Fundstück zu.
Die andere Sache, die ihr immer als Lösung verkauft, ist dass die Leute geschult werden müssen, nicht überall drauf zu klicken.
Ich will jetzt hier nicht groß auf Heise draufkloppen, weil das ja anderswo auch so läuft. Aber lasst uns doch mal jetzt endlich eine Sache gemeinsam festhalten. Antiviren helfen nicht. Und "die Leute schulen" hilft auch nicht.
Bei der Gelegenheit sei mal an die Geschichte von "vom Auto überfahren werden ist Schuld des Fußgängers" erinnert, denn ich sehe da Parallelen. Genau wie die Autoindustrie uns eingeredet hat, dass wenn jemand angefahren wird, dann er da wohl nicht hätte sein sollen, genauso redet uns die Softwareindustrie seit Jahren ein, dass Anwender halt nicht auf alles draufklicken sollen. Die aktuelle Inkarnation davon ist, wie man bei Windows 10 und Smartphones "Consent" gewährt, indem die einem kurz (wenn man Glück hat!) eine Liste mit angeforderten Permissions vor der Nase aufpoppen und danach gilt der Anwender als selber schuld.
Ein Browser, bei dem man nicht auf alle Links draufklicken darf, weil einem sonst das System von Ransomware übernommen wird, ist nicht akzeptabel. Eine Arbeitsumgebung, bei dem man keine Dokumente öffnen darf, die einem zugeschickt werden, ist nicht akzeptabel. Das ist der Job von Sachbearbeitern eines Verlages, Dokumente zu öffnen, die ihnen zugeschickt werden. Wir sollten hier uns auch nicht von irgendwelchen Diskussionen ablenken lassen, wie gut oder nicht gut die Malware getarnt war. Eine Arbeitsumgebung, in der man nicht überall draufklicken darf, ist nicht akzeptabel. Nehmt die Hersteller in Haftung.
Und an Heise: Haben eure Sachbearbeiter etwa Admin-Privilegien unter Windows?!
Diese haben dann recht schnell alle Windows-10-Arbeitsplätze im Netz infiziert, an denen die Benutzer lokale Admin-Rechte hatten. Das war eigentlich bereits per Policy untersagt. Allerdings gab es einige Ausnahmen, etwa auf einigen gerade eingerichteten Rechnern für eine interne Schulung, deren Software lokale Adminrechte erforderte.Ja nee, klar, da macht man dann halt ne Ausnahme. Wenn die Gammelsoftware von 1995 Admin-Rechte haben will. *stöhn*
Stellt euch mal vor, jemand baut ein Browser-Plugin, um bei Heise die Antiviren-Stories wegzufiltern, weil die immer so ein schlechtes Niveau haben. Und das Plugin bringt jetzt Browser zum Absturz. Nach obiger Logik wäre das dann Schuld von Heise. Merkt ihr selber, Heise, oder?
Ich muss euch ja sagen, dass es mich mit einer gewissen Genugtuung erfüllt, dass sich der Schlangenöl-Begriff für Antiviren inzwischen so schön etabliert hat.
Trojaner nutzt Antivirensoftware zum Diebstahl von AnmeldedatenHätte uns doch nur jemand gewarnt!
Die Lösung lag auf der Hand. Man führt auf Hardware-Ebene Speicherschutz und eine Trennung ein. Also bewegten sich erst die Antiviren in den privilegierten Bereich und dann die Malware.
Was macht also Intel? Führt einen weiteren, noch privilegierteren Bereich ein. Der war so zugenagelt, dass sich da bisher m.W. keine Antiviren reinwurmen konnten. Aber eine Proof-of-Concept-Malware ist drinnen! Mit recht innovativen Methoden, gar. Intel hatte nämlich kürzlich die Regeln gelockert, wer in den ultra-privilegierten Bereich reindarf. Weil sich rausstellte: Wenn das keiner nutzt, ist es gar kein stechendes Verkaufsargument. Und die einzigen, die Schlange standen, waren die Hollywood-Kopierschutz-Fetischisten.
Gruss und seinen Forscherkollegen schafften es, über Sicherheitslücken in der Launch-Control-Funktionalität von Intel an Schlüssel zu kommen, mit denen sie Schadcode in eine Enklave laden können. Das Problem, dass dieser Code keine Systemaufrufe ausführen kann, um das System außerhalb der Enklave zu manipulierten, lösen sie mit der bewährten Hacker-Technik Return-Oriented Programming (ROP).Das ist schon recht cool. :-)
Besonders unterhaltsam ist auch die Antwort von Intel:
Gegenüber dem englischen IT-Nachrichtenportal The Register sagte ein Intel-Vertreter, dass man die Schwachstellen als außerhalb dessen betrachte, vor dem SGX schützen soll. Die Aufgabe von SGX sei es, Code in einer Schutzumgebung auszuführen. Laut Intel liegt es demnach beim Systembesitzer sicherzustellen, dass der in eine SGX-Enklave geladene Code vertrauenswürdig sei.OH ACH SO ist das! Das System, dem wir nicht vertrauen, und dem wir daher eine sichere Enklave aufgedrückt haben, dem vertrauen wir jetzt aber doch, wenn es um die Auswahl der Software geht, die in der Enklave läuft? Das klingt ja wie eine brillante Idee! Da hat ja jemand wirklich mitgedacht!1!!
Aber nun wollen wir mal die Kirche im Dorf lassen. Nur weil unsere Profitmaximierung zu euren Lasten geht, heißt das ja nicht, dass unser Geschäftsmodel verwerflich ist! Nein, nein! Ihr könnt euch doch Schlangenöl installieren!11!
Für einen solchen Angriff müssen die Kriminellen allerdings erst die Schutzmaßnahmen des Seitenbetreibers umgehen und auf dem Rechner des Opfers muss es eine noch nicht behobene Sicherheitslücke geben, über die sich die Schadsoftware unbemerkt einnisten kann. Bekannte Varianten solcher Angriffe werden von Antivirensoftware allerdings entdeckt und blockiert.Wow. Fast jedes Wort in diesem Statement ist eine dreiste Lüge.
Schutzmaßnahmen?! Des Seitenbetreibers!? Die meisten Werbenetzwerke sind eigenständige, externe Firmen, mit denen der Browser dann direkt interagiert. Der Seitenbetreiber kann gar keine wirksamen Schutzmaßnahmen haben in so einer Konstellation.
Gelegentlich kann man Sicherheitslücken gar nicht beheben, weil der Hersteller der Software sich schlicht weigert, den Bug als Sicherheitsproblem anzuerkennen, oder weil die Lücke noch gar nicht bekannt ist, oder weil das Update sich wegen eines Konflikts mit dem Schlangenöl nicht installieren ließ. Oder weil der User in einer Firma arbeitet, die seine Updates für ihn managed, und damit im Verzug ist. Wieso ist jetzt plötzlich das Opfer Schuld, wenn ich mal fragen darf? Der Angriff geht von euch aus! Wieso heißt ihr eigentlich Spiegel? Weil sich das als Oberfläche so gut zum Koksen eignet?
Schadsoftware ist auch nicht nur gefährlich, wenn sie unbemerkt ist. Ransomware ist sehr gut zu bemerken. Nachdem sie die Daten verschlüsselt hat.
Und dass Antivirensoftware alle bekannten Varianten erkennt, ist auch eine offensichtliche Lüge.
Für eine Publikation, die vorgeblich der Wahrheitsfindung dient, und für die Aufklärung der mündigen Bürger arbeitet, ist das eine ganz schöne Häufung an alternativen Fakten.
Das waren bestimmt die Russen!1!!
Update: Ich lass das hier mal so stehen.
Update: Oh das wird ja noch besser! Stellt sich raus, dass Die Spiegel-Online-Anleitung zum Adblocker-Ausschalten diesen Passus enthält:
Haben Sie ein Anti-Virusprogramm installiert? Auch diese Programme können wie ein Adblocker funktionieren. Bitte prüfen Sie in den Einstellungen, ob Ihr Programm Werbeanzeigen blockiert, und erstellen Sie eine Ausnahmeregel für SPIEGEL ONLINE.
Geil! Also das Schlangenöl, das euch vor unserer Malware schützen soll, das schaltet bitte auch ab. (Danke, Jens)
Aber nicht doch, Fefe! Antiviren erhöhen nicht die Angriffsoberfläche!1!!
Neulich erst sah ich einen AV-Hersteller auf einem Podium sagen, die Idee erinnere ihn an "Impfgegner-Argumente".
Nun, die Russen haben neulich die Amis via Antivirus gehackt, und jetzt kommt raus, dass Nordkorea Südkorea über einen Antivirus gehackt hat und so Zugang zu Militärgeheimnissen der USA erlangte.
Teil von diesen Daten war übrigens der Plan Südkoreas, die Führung Nordkoreas schlicht zu meuchelmorden. Denn so macht man das in einem Rechtsstaat, der sich ans Völkerrecht hält. Man ermordet die Führung anderer Staaten!
Wisst ihr, was ich mich ja immer frage? Wieso Nordkorea eigentlich die Atombombe haben will! Die scheinen sich völlig irrational bedroht zu fühlen!1!!
Jedenfalls waren meine Bonusfolien u.a. zu Machine Learning, und ich mache da den Punkt, dass man gar nicht versteht, was man eigentlich gerade genau trainiert hat. Ich brachte als Beispiel Adversarial Examples, aber das lag vor allem daran, dass ich kein besseres Beispiel hatte. Das besser Beispiel ist jetzt da: Vice über das Anti-Bullying-AI von Google. Die Primärquelle ist dieser Artikel vom Februar 2017. Money Quote aus dem:
However, computer scientists and others on the internet have found the system unable to identify a wide swath of hateful comments, while categorizing innocuous word combinations like “hate is bad” and “garbage truck” as overwhelmingly toxic.Ich möchte mal die steile These wagen, dass das daran liegt, dass Menschen das Problem für zu schwierig hielten, um es selber lösen zu können, und eine Abkürzung gesucht haben, bei denen am Ende eine KI Schuld wäre, nicht sie. Bei der es am Ende eine (schlechte) Ausrede gibt, wieso das nicht mein Totalversagen ist, was wir hier gerade beobachten, sondern da hat halt, äh, like, voll die Technik versagt, und so. AI is difficult, let's go shopping!Die Einsicht daran bringt aber der Motherboard-Artikel gut auf den Punkt. Was die ihrem Machine Learning antrainiert haben, weil es nämlich einfacher zu trainieren ist als tatsächlich böse Aussagen, sind Schimpfwörter. Money Quote:
The tool seems to rank profanity as highly toxic, while deeply harmful statements are often deemed safeBöse Wörter benutzen, das kann die KI (auch nicht wirklich, aber so ansatzweise wenigstens) erkennen. Aber wenn jemand etwas wirklich böses sagt, etwas, das den Gegenüber möglicherweise gar in den Selbstmord treibt, so fies und gemein ist es, und es nagt die ganze Zeit am Unterbewusstsein und du kriegst es nicht weg, sowas kann die KI nicht erkennen.Ich möchte an dieser Stelle zu Protokoll geben, dass ich auch nicht möchte, dass eine KI sowas zu erkennen versucht. Denn das menschliche Verhalten in Situationen, wo Software Regeln durchsetzen soll, ist immer dasselbe. Das wird als Herausforderung genommen, nicht als hilfreiche Polizeiarbeit. Das ist genau so "after the fact"-Symptom-Filter-Schlangenöl wie Antiviren.
Man kann soziale Probleme nicht technisch lösen.
Money quote:
This kind of design choice is common practice in the anti-virus industry. They all like to parse and process files in a relaxed fashion. In particular, they are inclined to accept various kinds of (partially) invalid files.The reason for this is essentially that there exist many different variants of consumer software processing popular file formats (such as rar, zip or 7z). The aim of relaxed file parsing and processing is to cover as many implementations as possible, and to avoid the scenario in which the anti-virus product is dismissing a file as invalid that then is successfully processed by some consumer software.
Man könnte fast sagen: Antiviren haben eine erhöhte Angriffsoberfläche! Hätte uns doch nur jemand gewarnt!!1! (Danke, Robert)
Given the wide prevalence of the unrar source code in third-party software, quite a few
downstream parties will be affected. The source code with the fixes can be found
under http://www.rarlab.com/rar/unrarsrc-5.5.5.tar.gz - downstream parties are
encouraged to quickly update and ship fixes.Oh gut, das betrifft bestimmt so gut wie niemanden!1!! Ja gut, ausgenommen 7-zip und so, und natürlich die ganzen Antiviren. Dort war der Bug übrigens zum ersten Mal aufgefallen.It appears that the VMSF_DELTA memory corruption that was reported to Sophos AV in 2012 (and fixed there) was actually inherited from upstream unrar. For unknown reasons the information did not reach upstream rar or was otherwise lost, and the bug seems to have persisted there to this day.
Ja warum würde man auch upstream Bescheid sagen! Da hat man ja einen wettbewerblichen Nachteil von als Schlangenöl, wenn die anderen Schlangenöler informiert werden, und wenn die Software insgesamt sicherer wird!1!!
Daher möchte ich jetzt hier mal ein Gedankenexperiment machen. Habt ihr alle verpennt, was man heutzutage alles im Internet machen kann? Lasst uns mal den ultimativen fiesen Virus brainstormen. Ich fange mal an.
Ist ja schön, dass du ein Backup hast, aber das hilft dir nicht gegen das SWAT-Team, das deine Tür eintritt. Selbst wenn du den ganzen Ärger der Reihe nach aufräumst, bist du Jahre beschäftigt. Und je nach Qualität der Arbeit der Malware den Großteil davon aus der U-Haft heraus. Oh und willkommen auf der No-Fly-List, und hier ist der Lageplan von Guantamo Bay, den wirst du möglicherweise brauchen.
Ihr müsst mal aufhören, Malware nach dem zu beurteilen, was bisher schiefgelaufen ist. Das war Glück, dass der Schaden bisher gering war. Eine (!) durchgekommene Malware ist Totalschaden.
Ihr würdet ja auch im Auto den Sitzgurt anlegen. Da muss man keinen lebensbedrohlichen Unfall erlebt zu haben, um zu verstehen, dass man sich hier ordentlich schützen muss..
Update: Und einen Punkt noch, den ich glaube ich im Blog noch nicht hatte, nur live beim Podium. Ich sage: Antiviren helfen nicht, ich setze keinen ein. Das Publikum sagt: Ja aber da kann man sich ja einen Virus einfangen.
Wir spulen eine Minute vor. Ich sage: Antiviren funktionieren nicht, weil Viren durchrutschen könnten. Das Publikum sagt: Tja 100% Sicherheit gibt es halt nicht.
Jetzt treten wir gemeinsam mal einen Meter zurück und schauen uns das an. Wieso ist das bei mir plötzlich ein Totschlag-Gegenargument, dass da vereinzelt mal was durchrutschen könnte (was ich im Übrigen auch so sehe und daher weitere Schutzmaßnahmen vorschlage), aber bei Antiviren ist das OK, wenn was durchrutscht? Anders formuliert: Wir ziehen mal auf beiden Seiten den Antivirus ab. Übrig bleibt bei beiden: Man muss sorgfältig sein, und gelegentlich könnte was was durchrutschen. Nur dass ihr für dieses Sicherheitsniveau Geld an die Schlangenölindustrie überweist und ich nicht. Oh und gucke mal: Das war genau meine These. Antiviren kosten Geld aber schaffen kein besseres Sicherheitsniveau.
Update: Einen noch. Die Antwort der Schlangenölbranche ist bisher, was ich relativ unterhaltsam finde, relativ klar: Ja, stimmt ja, hast ja Recht, signaturbasiertes Schlangenöl ist nicht gut. Daher solltet ihr auch alle dieses andere, cloudbasierte Schlangenöl kaufen! Wenn das nicht greift, dann hätten sie auch noch Verhaltens-Heuristik-Schlangenöl. Leute, nichts davon hat die Ransomware-Epidemie aufgehalten, die im Vortrag des BKA in Form einer Exponential-Wachstums-Kurven-Folie Niederschlag fand. Die Leute da draußen haben alle Schlangenöl, und zwar nicht in allen verfügbaren Geschmacksrichtungen. Nichts davon hilft. Kann man sich ja auch selber überlegen. Wie sieht denn ein "schiebe mal das Verzeichnis hier in ein ZIP" vom Verhalten her aus? Gar nicht so viel anders wie ein Ransomware-Trojaner, gell? Tsja. Hätte uns doch nur jemand gewarnt!!1!
Hier ist noch eine besonders fiese, die den Blogpost von G-Data neulich mit ihren Werbeaussagen kontrastiert. Meine Leser haben da offensichtlich weniger Zurückhaltung als ich, auf einzelne Marktteilnehmer zu zeigen. Es gab auch eine Einsendung einer Firma, die in irgendeiner Spezialsoftware ausgerechnet VBScript zum Implementieren von Sonderwünschen nimmt. Das sei jetzt halt so und bliebe eben auch so, wenn die Geschäftsführung kein Geld in die Hand nimmt, da was anderes zu beschaffen. Und gerade G-Data, schreibt er, würde ihnen da regelmäßig die Funktionalität zerschießen. Ich bin mir sicher, dass das bei der Konkurrenz genau so ist. Aber er spricht auch noch ein anderes Problem an, das ich so noch nicht im Blog hatte, nämlich das bei so kurzen Updatezyklen und so einer dynamischen Plattform auch die Reproduzierbarkeit leidet und man beim Support im Wesentlichen seit Jahren mit "bei uns geht's" abgespeist wird und dann aber Ausfälle hat, wo 30 Leute nicht arbeiten können, weil das VBScript-Runtime in Karantäne geschoben wurde. Ich bin mir auch hier sicher, dass das bei anderen Anbietern genau so ist. Das sind schlicht Probleme der Prozesse hinter AV-Produkt-Herstellung, die nicht genug Zeit lassen, um menschliches oder maschinelles Versagen effektiv auszuschließen.
Update: Ein anderer Einsender kommentiert:
die Probleme hatte ich mit unserem TrendMicro-Schlangenöl auch schon. Ein kleines Tool in C# geschrieben, exe gebaut, einer Kollegin der Einfachheit halber per E-Mail geschickt. Ihr TrendMicro: Oh nein, eine exe! In einer E-Mail! Todesgefahr!!1! Ausführen durfte man die exe aber trotzdem.
Warum ich dir das schreibe?
Als ich die exe danach bei mir selbst ausführen wollte, hat sich MEIN TrendMicro auch dagegen gewehrt, weil diese Software offenbar nun auf irgendeiner Blacklist stand. Leute, ich habe das selbst kompiliert, und ich vertraue meinem Code. Das ist in TrendMicro aber offenbar gar nicht vorgesehen.
Selbst kleine Änderungen am Code und damit eine neue Binary haben TrendMicro nicht davon abgehalten, weiter Alarm zu schlagen. Mittlerweile ist aber Ruhe, ohne dass ich reproduzieren kann, was das alles ausgelöst hat.
Meine Theorie wäre, dass es eine Heuristik gibt, Programme grundsätzlich für schädlich zu halten, wenn ihr Hash noch nie irgendwo gesehen wurde. Das wäre jedenfalls eine grobschlächtige Haudrauf-Methode, um gegen Binär-Obfuskatoren vorzugehen. Aber ich habe da keine Einsichten, nur eine Vermutung.
Update: Ein anderer Einsender hat eine bemerkenswerte Beobachtung gemacht:
Vor ca. 15 Jahren mußten wir eine Auflage bei Großkunden erfüllen. Also alles, was wir ablieferten, mußte mit dem xyz Virenscanner geprüft sein.
Sei's drum.
Hatte zum Glück nie irgendwelche Probleme (bzw. kamen die nie an die Oberfläche).Komisch nur:
Immer wenn das jeweilige Abonnement des xyz Virenscanners zur Erneuerung anstand, gab es regelmäßig Virenalarm auf unseren Rechnern. Ich sage nicht, dass man uns da tatsächlich etwas angetan hat, aber so eine "verkaufsfördernde Maßnahme" scheint das wohl zu jener Zeit gewesen zu sein.Das war bei Peter und John gleich, ohne jetzt Produkte direkt zu nennen.
Krass. Könnt ihr das bestätigen?
Die Firma stellt sich auf den Standpunkt, die Sicherheitslücken seien schwer auszunutzen. Man habe keine Angriffe in freier Wildbahn gesehen und die Wahrscheinlichkeit, dass ein Hacker die Lücken nutzen könne, sei "ziemlich klein".Ach so. Ja na dann … *schulterzuck* m(
G-Data stimmt mir grundsätzlich zu, dass Zahlen zur Wirksamkeit von Antiviren schwierig zu beschaffen sind, weil die im Allgemeinen von den Herstellern kommen und daher nicht als neutral gelten können. Die Zahlen, die eine große Bibliothek an Malware gegen Antiviren werfen, finden häufig hunderte von Viren, die nicht gefunden wurden, und die Antivirenhersteller reden sich dann mit angeblicher Praxisferne der Tests heraus. Ich las neulich von einer Studie, bei der eine Uni alle ihre einkommenden die Malware-Mail-Attachments bei Virustotal hochgeladen hat und auf unter 25% Erkennungsrate kam. Leider finde ich die URL nicht mehr. Vielleicht kann da ja ein Leser helfen. Mein Punkt ist aber unabhängig davon, ob das jetzt 5%, 25% oder 90% Erkennungsrate sind. Es reicht, wenn ein Virus durchkommt. Eine Malware ist nicht wie die Windpocken. Wenn man sie kriegt hat man halt rote Pünktchen im Gesicht und nach ner Woche ist wieder alles OK. Nein. Eine Infektion reicht, um die gesamten Daten zu klauen, die Platte zu verschlüsseln, und an einem DDoS-Botnet teilzunehmen. Die Erkennungsrate ist, solange sie nicht 100% ist, irrelevant. Ich bin immer wieder schockiert, mit welcher Selbstverständlichkeit Leute nach einer Malware-Infektion halt "desinfizieren" klicken in irgendeinem Tool und dann weitermachen, als sei nichts gewesen. Das ist wie wenn jemand in eine Schwimmbecken scheißt, und man fischt den größten Klumpen raus, und dann schwimmen alle weiter. WTF!?
Der nächste Talking Point der AV-Industrie ist (angesichts der miserablen Erkennungsraten in der Praxis), dass man ja nicht mehr rein reaktiv arbeite sondern auch magischen Einhorn-Glitter aus der Cloud habe. Erinnert ihr euch noch an den Aufschrei nach Windows 10, als Microsoft sich das erstmals explizit von euch absegnen ließ, dass sie eure Daten in die Cloud hochladen? Wie jetzt?! Die wollen gerne als Debugginggründen sehen, welche crashenden Programme ich ausführe!? DAS GEHT JA MAL GAR NICHT!!1! Ja was denkt ihr denn, was das ist, was die AV-Industrie mit der Cloud macht? Die werden im Allgemeinen nur die Hashes der Software hochladen, aber das heißt trotzdem, dass die sehen können, wer alles Winzip benutzt, oder dieses eine hochpeinliche aus Japan importierte Hentai-"Dating-Simulator"-Anwendung. Aber DENEN traut ihr?!
Ich sage euch jetzt mal aus meiner Erfahrung, dass die Analyse von einem Stück Software Wochen dauert, besonders wenn die Software gerne nicht analysiert werden möchte. Wenn die AV-Industrie also so tut, als könnte ihre magische Cloud "innerhalb von Sekunden" helfen, dann gibt es nur zwei Möglichkeiten: Entweder sie haben ein paar Wochen gebraucht und tun jetzt nur so, als sei die paar Wochen lang schon niemand infiziert worden. Oder sie haben da irgendwelche Abkürzungen genommen. Überlegt euch mal selbst, wieviel Verzögerung eurer Meinung nach akzeptabel wäre. Dann, wieviel Arbeit das wohl ist, anhand einer Binärdatei Aussagen zu machen. Zumal man solche Aussagen im Allgemeinen in einer VM macht, und Malware im Allgemeinen guckt, ob sie in einer VM läuft und dann die bösen Funktionen weglässt. Eine denkbare Abkürzung wäre also, schon so einen Check als Zeichen für Malware zu deuten. Da sind wir aber nicht mehr in der Branche der seriösen Bedrohungsabwehr, sondern in der Branche der Bachblüten-Auraleser-Homöopathen, das ist hoffentlich jedem klar.
Das ganze Gefasel mit proaktiven Komponenten halte ich auch für eine Nebelkerze. Wenn das funktionieren würde, gäbe es Weihnachten keine wegzuräumende Malware auf dem Familien-PC, und in der Presse wäre nie von Ransomware die Rede gewesen, weil das schlicht niemanden betroffen hätte.
Ja und wie ist es mit dem Exploit-Schutz? Das ist Bullshit. Das erkennt man schon daran, dass Microsoft diese angeblichen Wunderverfahren der AV-Industrie nicht standardmäßig ins System einbaut. Googelt das mal. Microsoft hat hunderttausende von Dollars für gute Exploit-Verhinder-Ideen ausgeschrieben und ausgezahlt. Und wieviele Prämien für gute Ideen findet ihr von der AV-Branche? Na seht ihr.
Überhaupt. Kommen wir mal zu den Standards. Microsoft hat den Prozess etabliert, den gerade alle großen Player kopieren, die SDL. Ich weiß das, weil ich dabei war, als sie das bei sich ausgerollt haben. Microsoft hat, was ich so gehört habe, sechsstellig viele CPU-Kerne, die 24/7 Fuzzing gegen ihre Software-Komponenten fahren, um Lücken zu finden. Microsoft hat ganze Gebäude voller Security-Leute. Ich würde schätzen, dass Microsoft mehr Security-Leute hat, als die typische AV-Bude Mitarbeiter. Microsoft hat geforscht, ob man mit dem Umstieg auf .NET Speicherfehler loswerden kann, ob man vielleicht einen ganzen Kernel in .NET schreiben kann. Sie hatten zu Hochzeiten über 1/4 der Belegschaft Tester. Es gibt periodische Code Audits von internen und externen Experten. Sie betreiben eine eigene Security-Konferenz, um ihre Leute zu schulen, die Bluehat. Aus meiner Sicht stellt sich also die Frage: Wenn DAS die Baseline ist, trotz derer wir immer noch ein Sicherheitsproblem haben, dann müssten ja die AV-Hersteller nicht nur genau so gut sondern deutlich besser sein. Sonst wären sie ja Teil des Problems und nicht Teil der Lösung. Das hätte ich gerne mal von den AV-Leuten dargelegt, wieso sie glauben, sie könnten das besser als Microsoft.
Oh und einen noch, am Rande:
Wenn Daten signiert sind ist klar, von wem die Informationen stammen. Oft ist es schon ein beträchtlicher Sicherheitsgewinn, wenn man weiß, dass die Information von einem bekannten und ergo vertrauenswürdigen Quelle stammen.Das ist natürlich Bullshit. Es sind schon diverse Malware-Teile mit validen Signaturen gefunden worden, und alle alten Versionen mit bekannten Sicherheitslücken sind ja auch noch gültig signiert. Code Signing dient nicht dem Schutz des Kunden sondern dem Schutz von Geschäftsmodellen.
Mir ist außerdem wichtig, dass ihr merkt, wenn ihr hier mit einer bestimmten Haltung an das Thema rangeht, weil ihr selbst schon entschieden habt, und jetzt nur noch die Argumente rauspickt und höher bewertet, die eure getätigte Entscheidung bestätigen. Das ist ein sehr menschliches und normales Verhalten, aber dem Erkenntnisgewinn dient das nicht. Wo kommen denn die Zahlen her, dass angeblich noch niemand über Lücken in Antiviren gehackt wurde? Wenn ihr zu Weihnachten 10 Viren findet — macht ihr dann erstmal eine wochenlange forensische Analyse, wo die herkamen? Nein, macht ihr nicht! Ihr seid froh, wenn die weg sind. Aussagen wie "noch keiner ist über seinen Antivirus gehackt worden" sind unseriös, und Aussagen wie "es sind keine Fälle bekannt" sind irreführend und Nebelkerzen.
Update: Wer übrigens die Früchte von Microsofts Exploits-Schwieriger-Machen haben will, der muss a) immer schön Windows updaten; weg mit Windows 7 und her mit Windows 10, und/oder b) EMET installieren.
Update: Hups, EMET-Link war kaputt.
Update: Ein Einsender weist darauf hin, dass es doch mal einen Fall von einer massenhaftung Malware-Verbreitung via Antivirus-Sicherheitslücke gab.
Update: Ein fieser Wadenbeißer hat sich mal durch die Archive gegraben:
es gibt noch weiteres Argument gegen die Schlangenöl-Branche, das ich glaube ich bei dir noch nicht gelesen habe, wenngleich das eher nicht gegen die Microsoft-Lösung zielt:
Kollateral-Schaden.
Wie oft hatten wir es bitte schon, dass ein Amok laufender Scanner von einem marodierenden Wozu-Testen-AV-Riesen schlicht Windows & co als Virus/Trojaner/Whatever eingestuft hat?
Gucken wir doch mal:
Das passt auch sehr schön dazu, welchen Testaufwand Microsoft im Vergleich betreibt.
Oh und was ist eigentlich mit Virenscannern, die Inhalte aus dem Netz nachladen, die nicht unbedingt... naja, gab es schließlich auch schon:
Soll man daraus schließen, dass die ihr eigenes Gift vmtl selbst gar nicht einsetzen?
Ach ja, ich vergaß, alles bedauerliche Einzelfälle vom Werksstudentenpraktikanten, die natürlich nie, nie, nie wieder passieren. Ungeachtet dessen, dass sie nie hätten passieren dürfen, das wäre eigentlich der Anspruch an diese Software.
So wie auch schon Schlangenöl auch nur in den besten Fällen keine Wirkung hatte.
Ich habe bisher auf diese Art von Linksammlung verzichtet, weil es mir gerade nicht darum geht, mit dem Finger auf einzelne Hersteller zu zeigen. Es gibt da sicher auch Pfusch bei einzelnen Anbietern, das sehe ich auch so, aber mir ist die fundamentale Kritik am Konzept des Antivirus wichtiger. Pfusch in Software gibt es ja leider häufiger.
Update: Ein anderer Einsender kommentiert:
Zum Thema Proaktive Komponente kann ich dir aus unserer Infrastruktur klar sagen: DAS ist das was am Meisten Fehlmeldungen produziert. Ich habe z.B. einen lang vergessenen Texteditor auf einer Netzwerkfreigabe rumliegen. Seit 2007. Und 2016 auf einmal meldet der Antivirus, dass das Ding verseucht ist und sofort desinfiziert werden muss. Ich warte zwei Tage (=zwei Signaturupdates) ab und lass den Ordner wieder scannen. Diesmal: Nix. Oder letzte Woche hat er uns 6 Userworkstations als virenverseucht gemeldet, weil die User Proxy PAC-Scripte im Browser konfiguriert haben. Ja, haben sie weil so unser Internetzugang funkioniert, aber ich frag mich ernsthaft warum der AV nur diese 6 Workstations gemeldet hat und nicht noch die anderen 400 die das AUCH haben. Tags drauf war wieder alles gut. Für mich als Admin ist das keine zusätzliche Sicherheitskomponente sondern nur zusätzliche Arbeit.
Und ich möchte auch zu der Cloud-AV-Sache noch mal klarstellen, wie sehr das Bullshit ist. Der CCC hat vor ein paar Jahren den Staatstrojaner veröffentlicht, ihr erinnert euch wahrscheinlich. Natürlich in einer entschärften Version, die keinen Schaden angerichtet hätte. Diese Version tauchte dann relativ zeitnah in den Cloud-Antivirus-Datenbanken auf. Die nicht entschärfte Version tauchte nicht auf. Nur falls sich da jemand Illusionen gemacht hat.
Update: Ein Biologe kommentiert:
Es gibt ja ein paar hübsche Analogien zwischen Computerviren und deren Verbreitung und der realen Welt. Beim Lesen des G-Data Pamphletes musste ich an einer Stelle herzlich lachen, als sie ihre "über 90% Erkennungsrate" beweihräucherten. Auf die Mikrobiologie übertragen ist das eine log1-Reduktion, also so knapp über Homöopathie und Gesundbeten. Ich arbeite mit Lebensmitteln, da darf man etwas "Debakterisierung" nennen, wenn man im log3-Bereich unterwegs ist. Also wenn 99.9% aller Keime gekillt werden. Pasteurisierung ist bei log5, also 99.999%. Und auch da wird die Milch nach 21 Tagen sauer.
90% ist da auf jeden Fall der Bereich "lohnt den Aufwand nicht". Da ist eine sinvolle Backup-Strategie und eine gewisse Routine im Rechner-wiederaufsetzen sinnvoller eingesetzt.
Update: Viele meiner Leser scheinen eine Statistik-Schwäche zu haben, und kommen mir hier mit Analogien wie "Kondome schützen ja auch nicht 100%" oder "im Flugzeugbau hat man auch nicht 100% als Anforderung". Vergegenwärtigt euch mal, wie viele Viren es gibt, und wie viele Malware-Angriffe pro Tag es auf typische Systeme gibt. Und dann rechnet euch mal aus, bei einer Erkennungsrate von 90%, oder sagen wir 99%, oder sogar 99.9%, wie viele Stunden es dauert, bis der Rechner infiziert ist. Ich habe in Köln und Hamburg das Publikum gefragt, wer schonmal Weihnachten einen Familien-PC säubern musste. Fast alle. Dann, bei wie vielen ein Antivirus drauf war. Jeweils einer weniger. EINER weniger. ALLE ANDEREN haben trotz Antiviren Malware eingefahren. Wir reden hier nicht von "ich habe dreimal pro Tag mit Kondom Sex und habe nie HIV gekriegt", sondern von über einer HIV-Infektion pro Tag. Und da, behaupte ich mal, wären auch die Nicht-Statistiker unter euch plötzlich mit der Kondom-Performance unzufrieden. Was ihr gerade am eigenen Leibe erlebt, das nennt man Rationalisierung. Ihr habt eine Entscheidung getroffen, nämlich einen Antivirus einzusetzen, und greift jetzt unterbewusst nach Strohhalmen, um das irgendwie zu rechtfertigen. Ich meine das gar nicht böse. So funktionieren Menschen. Euch kommt zugute, dass die meisten Viren bisher wenig kaputtgemacht haben. Vielleicht ein paar erotische Selfies exfiltriert, wenn es hochkommt an einem Botnet teilgenommen. Erst jetzt mit Ransomware werden Viren auch gefühlt richtig gefährlich. Ihr solltet nicht warten, bis euch das am eigenen Leib passiert.
Aber die geradezu mechanische Verlässlichkeit, dass die Leute bei anderen grundsätzlich annehmen, dass sie weniger Ahnung als sie selber haben, das empfinde ich als sehr belustigend.
Beim Frühstücksgespräch fiel heute noch auf, dass ein möglicherweise zentraler Punkt der Malware-Debatte die Annahme ist, dass die Antiviren ja möglicherweise doch helfen. Aber was ist denn dafür die Datenbasis? Die Angaben der Antiviren selbst! Und die melden, das wird ja inzwischen wohl jedem aufgefallen sein, jeden Tracking-Cookie und jeden Portscan als Angriff. Die haben ein wirtschaftliches Interesse daran, ihre Effektivität möglichst aufzubauschen.
Und wenn der Antivirus in der Mail 10 Malware-Attachments findet, unter Spam-Mails, auf die eh niemand geklickt hätte, dann muss man da auch mal einen Schritt zurück treten und das mit ein bisschen Abstand betrachten, ob hier tatsächlich ein Nutzen vorliegt.
Im Übrigen gibt es da noch einen Aspekt, der nicht direkt Kern der Antivirus-Debatte ist, aber der schon reinspielt: Menschen möchten gerne Verantwortung loswerden. In Firmen habe ich schon ein paar Mal erlebt, dass Kunden schlechte Laune bekamen, wenn ich in einem Report Risiken ansprach, von denen sie zwar wussten, aber die sie selbst einfach nicht ansprachen. Die hatten dann die Hoffnung, dass sie im Zweifelsfall sagen können, sie seien nie über die Risiken informiert worden. Menschen möchten sich gerne für kritische Situationen eine Hintertür offenhalten. Und für den Fall "mein PC diente den Russen als Spionagewerkzeug gegen unsere Firma" ist die Installation eines (unwirksamen) Antivirus eben eine nahezu ideale Hintertür. Vergleichsweise billig (schaut euch mal an, was große Firmen für IDS/IPS und SIEM ausgeben!), und es musste noch nie einer in den Knast, weil er trotz Antivirus einen Virus eingefangen hatte. Dem gegenüber steht, dass einem vor Gericht durchaus negativ ausgelegt werden wird, wenn man keinen oder einen nicht aktuellen Antivirus installiert hatte. Die Wahl ist offensichtlich!
Es kommt auch vor, dass Mitarbeiter in Firmen Schulungen verweigern, die ihnen sicheren Umgang mit dem Rechner beibringen wollen, weil sie fürchten, dann in die Haftung zu kommen. Denen erscheint es als bessere Alternative, als ignorant und lernresistent zu erscheinen.
Und ein weiterer Aspekt, der da auch reinspielt: Wenn ich eine Schutzsoftware habe, selbst wenn deren Nutzen nur eine Halluzination ist, dann kann ich doch viel stressärmer auf Pornoseiten und Tauschbörsen herumklicken, und alle E-Mail-Anhänge öffnen! Und wenn ich mir dann eine Malware einfange, dann bin ich nicht Schuld! Klar bin ich dann wie Wally bei Dilbert, aber damit können viele Leute offenbar hervorragend leben.
Update: Nehmen wir mal an, 50 Viren gehen auf meinen PC los. Szenario 1: Ich habe keinen Antivirus und 10 kommen durch. Einer mailt meine Daten nach Russland, einer löscht mir die Platte. Einer löscht die gelöschte Platte nochmal. Szenario 2: Ich habe einen Antivirus und 2 kommen durch. Einer mailt meine Daten nach Russland, einer löscht mir die Platte. Mir erschließt sich ja nicht, wie irgendjemand Szenario 2 besser finden kann als Szenario 1. Ein durchgekommener Virus reicht doch für einen Totalschaden! Kann ich nicht nachvollziehen, die Denke.
Mein IoT-Vortrag schien ganz gut anzukommen, aber das Podium war zu lahm. Heise hatte kurzfristig ein Podium zur Frage "Sind Antiviren Schlangenöl?" eingeplant, nachdem ich da im Blog einen kleineren Schlagabtausch mit Heise Security hatte. Ich war ja erstmal überrascht, dass Heise Events es geschafft hat, für alle fünf Termine jemanden von der AV-Industrie zu finden, der sich da hinsetzt und das debattieren will. Die haben ja im Wesentlichen nichts zu gewinnen in einer Diskussion zu der Fragestellung. Aber sie haben es geschafft, und Hut ab vor den Leuten, die das jetzt machen.
Heute war das Ralf Benzmüller von G Data.
Weil das recht kurzfristig noch ins Programm gehievt wurde, und wir dann an dem Tag noch am Programm herumgeschoben haben, damit das nicht nur 30 Minuten sind wie ursprünglich eingeplant, und wir vorher auch keine Gelegenheit hatten, mal einen roten Faden zu klären, lief das Podium dann ein bisschen unrund, wie ich fand. Erstmal hat Heise vorher und nachher gefragt, wer meine These unterstützen würde, und wer die Gegenthese unterstützen würde, und ich konnte grob niemanden auf meine Seite ziehen, fing auch mit der klaren Minderheitsposition an. Das erwähne ich nur, um euch zu sagen, dass mich das nicht stört. Ich mache das nicht, "um zu gewinnen" oder so. Mich stört aber, dass wir teilweise aneinander vorbei geredet haben.
Ich habe extra versucht, da die technischen Details rauszuhalten, und auf einer ganz fundamentalen Ebene zu argumentieren.
Ich habe u.a. argumentiert, dass ein Virenscanner ja PDF-Dateien scannt, auch wenn ich gar keinen PDF-Viewer installiert habe. Dann wäre ich also ohne Antivirus sicher vor Angriffen via PDF gewesen, und erst durch den Antivirus kommt ein PDF-Parser ins Spiel, der wie jeder Parser-Code potentiell angreifbar ist. Ralf dachte, ich meinte, dass der mit den selben Exploits wie Acrobat angegriffen würde, und versuchte dann auszuführen, dass ein Antivirus ja die PDF-Datei gar nicht wirklich ausführt, sondern nach Heap Spraying und NOP Sleds sucht. Nicht nur verteidigte er damit einen Punkt, den ich nie kritisiert habe; im Publikum verstand das dann auch noch jemand so, als habe er eingeräumt, dass sie da nur oberflächlich ein bisschen draufschauen und das also gar nicht wirklich absichern.
Diese Art von Detail-Kleinkram wollte ich gerade vermeiden in der Debatte, denn da verliert man sich in irgendwelchen für die Diskussion und das Publikum unwichtigen Dingen.
Meine Aussage ist ja, kurz zusammengefasst, folgende:
In meinem rationalen Universum ist mit diesen beiden Punkten alles gesagt. Funktioniert nicht und verursacht Folgeprobleme? Will man nicht!
Und für den Fall, dass die "ist ja bloß ein Grundschutz"-Ausflucht kommt, vielleicht noch garniert mit "100% Sicherheit gibt es gar nicht", hatte ich mir überlegt, wie das wäre, wenn man eine Putzkraft einstellt, und die hinterlässt dann in der Küche einen großen Schmutzfleck, und argumentiert dann: Ist ja nur eine Grundreinigung, der Flur ist aber voll sauber jetzt!
Wieso würde man bei einer Putzkraft höhere Standards anlegen als bei einem Antivirus? Erschließt sich mir nicht.
Aber es stellt sich raus, und das muss ich völlig emotionslos hinnehmen, dass die Leute da draußen wissen, dass Antiviren nichts bringen, potentiell die Dinge schlimmer machen, Geld kosten, und die Werbeversprechen der Hersteller zum Gutteil falsch sind — und das trotzdem für einen nicht nur akzeptablen sondern notwendigen Deal hält.
Ich vermute, dass es da einen bisher unerkannten psychologischen Hintergrund gibt. Meine Vermutung ist, dass das unser Ablassschein dafür ist, dass wir lauter Software einsetzen, der wir nicht vertrauen, und von der wir aus Erfahrung wissen, dass sie unsicher ist. Wir setzen die trotzdem ein, uns müssen diesen offensichtlichen Fehler irgendwie wegrationalisieren. Dafür kaufen wir uns beim Schlangenöllieferanten einen Ablassschein. Dem können wir zwar auch nicht vertrauen, aber das war ja auch nicht der Punkt an der Sache. Den Antivirus kauft man nicht, damit er einen absichert, sondern damit man sagen kann, man habe aber einen Antivirus gehabt.
Ich frage mich, ob man da nicht viel Aufwand sparen kann, und den Leuten das Geld abnimmt, aber ohne einen Antivirus zu liefern. Sankt Fefes Schlangenöl-Ablassbrief. Du setzt Internet Explorer ein? Sag drei Ave Maria und kaufe vier Sankt Fefe Schlangenöl-Ablasszertifikate!
Als Gegenleistung könnte man so richtig schöne Zertifikate drucken. Auf gutem Papier, ihr wisst schon. Wasserzeichen, Prägung, vielleicht noch ein Wachssiegel.
Sollte ich mal vorbereiten und bei solchen Gelegenheiten verkaufen. Aufschrift: Dem Eigentümer dieses Zertifikates wird verziehen, dass er immer noch Firefox einsetzt, obwohl er wusste, was da mit jedem einzelnen Release für unfassbar furchtbare Sicherheitslücken zugemacht werden müssen, und dass es keinen Grund für die Annahme gibt, dass diese Reihe nicht so weitergehen wird. Gezeichnet: Kardinal Rieger.
Auf der anderen Seite kann es natürlich sein, dass so ein Podium gar nicht funktionieren kann, denn es war ja gar nicht mein Ziel, da irgendeinen bestimmten Hersteller rauszuziehen und schlecht zu machen, schon gar nicht den, der sich neben mir aufs Podium getraut hat. Es ist auch nicht mein Ziel, dazu aufzurufen, dass die Leute alle ihre Antiviren deinstallieren. Wir sind hier alle Erwachsene. Wer auf selbstzugefügte Schmerzen steht, dem werde ich da keine Vorschriften zu machen versuchen. Und häufig haben gerade Firmen sowas ja auch aus Compliance-Gründen oder weil sonst die Versicherung im Schadensfall nicht zahlt.
Naja, und so kam am Ende völlig überraschend raus, dass die Fakten völlig unstrittig sind. Wir legen sie bloß fundamental verschieden aus.
Update: Der Vollständigkeit halber: 100% Sicherheit gibt es natürlich doch. Jemand, der keine PDF-Software installiert hat, ist 100% sicher vor PDF-Exploits. Bis er einen Antivirus installiert. Dann nicht mehr.
Update: Ich werde häufig gefragt, was denn mein Vorschlag gegen Malware ist. Hier ist meine Antwort.
Die Malware-Problematik besteht aus zwei zu trennenden Hälften. Erstens Malware, die unter Ausnutzung von Sicherheitslücken auf das System kommt. Zweitens Malware, die völlig legitim auf das System kommt, beispielsweise in einer E-Mail, und die dann vom Benutzer ausgeführt wird.
Die erste Kategorie von Malware kriegt man weg, indem man Softwarehersteller für Schäden in Haftung nimmt, die aus ihren Sicherheitslücken resultieren. Die zweite Kategorie von Malware kriegt man weg, indem man das Modell von Mobiltelefonen übernimmt. Anwendungen laufen nicht mehr in einem großen Universum gleichberechtigt nebeneinander und haben alle vollen Zugriff auf alle Ressourcen, auf die der User Zugriff hat, sondern Anwendungen laufen jeweils in einer Sandbox mit minimalen Rechten, und wenn sie eine Datei öffnen wollen, können sie nur das System bitten, einen "Datei öffnen"-Dialog anzuzeigen. Dateien einfach so mit Dateinamen öffnen oder ohne Rückfrage geht nicht. So ein Modell hat Microsoft mit ihrem App Store zu etablieren versucht, und der Markt hat sie ausgelacht und das nicht haben wollen. Dafür installieren wir uns dann einen Antivirus drüber. Um unser schlechtes Gewissen zu beruhigen.
Update: Hier kommt der Einwand, dass das ja noch dauert, bis wir Produkthaftung kriegen. Das ist also jetzt keine akute Lösung!1!! Ja, und? Gegen 0days zu helfen sagen ja auch Antiviren nicht zu. Und wenn es kein 0day ist, muss man halt immer schön alles gepatcht halten. Dann kann einem die auf Sicherheitslücken basierende Malware auch nichts. Für mich ist das der Gipfel der Unverantwortlichkeit, wenn Konzerne sich ganze Abteilungen mit Bremsklötzen leisten, die dann vorgeblich Patches "prüfen", ob die wirklich ausgerollt werden müssen oder nicht. Und in der Praxis führen die nur dazu, dass steinalte Exploits in dem Laden noch funktionieren. Aber hey, dafür haben wir ja Antiviren installiert!1!!
Und nicht auf Sicherheitslücken basierende Malware kriegt man im Firmenumfeld dadurch weg, dass man den Leuten keinen lokalen Adminzugang gibt und sie nur Programme von der Whitelist ausführen lässt. Ich glaube ja, dass das mit der Tooldiskussion neulich hier im Blog Hand in Hand geht. Firmen tolerieren ein geradezu groteskes Maß an Unwissen und Lernverweigerung. Und die Mitarbeiter nehmen das dankend an, weil sie dann die Unschuld vom Lande geben können. "Ja aber ich hab doch bloß auf das Bild geklickt und die drei Warnfenster sofort ungelesen zugemacht!1!!"
Kurzzusammenfassung: Alles umgehbar, und die AV-Hersteller versuchen das jetzt mit den üblichen "haben wir schon gefixt" kleinzureden. Als ob das irgendwas besser macht! Man stelle sich mal vor, euer Haustürschloss würde auf Zuruf auch ohne Schlüssel aufgehen, und der Hersteller würde sagen: Haben wir gefixt. Würdet ihr euch da besser fühlen? Nein, natürlich nicht! Sicherheitssoftware heißt, dass sie sicher macht. Wenn man updaten muss, hat sie nicht sicher gemacht. Ganz einfache Logik. Hallo McFly? Jemand zuhause?
Oh und noch eine peinliche Frage, die bei solchen Gelegenheiten irgendwie nie jemand stellt: Gab es das Update kostenlos für alle unsicheren Versionen vorher? Laut der Gesetzeslage in Deutschland müsste ein Antivirus mit einem Bug kostenlos vom Hersteller repariert werden. Aber irgendwie hat sich etabliert, dass man die für Reparaturen von Fehlern, für die nur sie was können, auch noch bezahlen soll. Wieso findet da eigentlich niemand was bei? Was für eine bodenlose Frechheit ist das eigentlich?
Wären wir doch nur alle von vorneherein ehrlich gewesen und hätten das als das bezeichnet, was es ist. Schlangenöl.
Die Forscher untersuchten rund 8 Milliarden TLS-Verbindungen zum Firefox-Update-Dienst, einigen E-Commerce-Sites und bei Cloudflare. Dabei stellten sie fest, dass bis zu 10 Prozent der gesicherten Verbindungen nicht mehr die typischen Verbindungsparameter des verwendeten Browsers aufwiesen – sie also irgendwo unterwegs unterbrochen wurden.10 Prozent finde ich ausgesprochen krass.
Konkret bedeutet das etwa: 13 von 29 untersuchten Antiviren-Programmen klinken sich in die verschlüsselten TLS-Verbindungen ein.Naja, TLS ist TLS, denkt ihr euch jetzt vielleicht. Ihr irrt. TLS handelt beim Handshake am Anfang aus, welche Verfahren verwendet werden, und wenn da ein Schlangenöl zwischen sitzt, das nur alte Gammelverfahren spricht, dann sinkt eben die Sicherheit der Gesamtverbindung dadurch. Wie schlimm ist es?
So erlaubten gemäß der Studie Produkte von Avast, Bitdefender, Bullguard, Dr.Web, Eset, G Data und Kaspersky direkte Angriffe auf die gesicherten Verbindungen. Bei den getesteten Security-Appliances für die Inspektion von TLS-Verbindungen sieht es nicht besser aus: 11 von 12 schwächten die Sicherheit etwa durch die Hinzunahme von kaputten Verfahren wie RC4.Ja prima!
Das Fazit ist:
"Viele der Verwundbarkeiten in Antiviren-Produkten und Proxies in Fimrenumgebungen [….] sind fahrlässig und ein weiteres Zeichen für den Trend, dass ausgerechnet Sicherheitsprodukte die Sicherheit verschlechtern statt sie zu verbessern" heißt es im Fazit.Ich weiß, ich weiß! Hätte uns doch nur jemand rechtzeitig gewarnt!!1!
Aber wie sich rausstellt: Stimmt nicht. Ich frage mich langsam, was passieren muss, damit Jürgen Schmidt aufhört, Antiviren als notwendig zu verkaufen. Das ist ja eine Sache, wenn er mir nicht glaubt, der ich in meiner beruflichen Laufbahn den Quellcode von einigen Schlangenöl-Implementationen gesehen habe, aber da aus NDA-Gründen keine Details veröffentlichen kann. Aber wenn dieser Firefox-Mitarbeiter aus dem Nähkästchen erzählt, da kann man ja wohl kaum "ach das denkt der sich doch bloß aus" zurechtrationalisieren?!
Also, lieber Jürgen. Sag mir doch mal. Was müsste passieren, damit du deine Position revidierst?
Müsste deine Mutter Ransomware über eine Schwachstelle in einem Antivirus installiert kriegen?
Ich meine das völlig ernst. Was müsste passieren?
Denn mir geht langsam die Fantasie aus, was für Szenarien da noch möglich wären, um die seit Jahren naheliegende Schlussfolgerung zu widerlegen, dass dieses Antivirus-Fanboy-Schreibertum bei Heise letztendlich Dogma ist. Religiöse Verblendung.
Wieso verkauft Heise eigentlich keine Antiviren? Bisschen Kickback der Hersteller einfangen? Tolles Geschäftsmodell! Von der Berichterstattung her könnte Heise ja kaum noch tiefer mit den AV-Herstellern unter eine gemeinsame Bettdecke rutschen.
Egal, wie viele Bugs es gibt. Bugs passieren halt. Installieren Sie den neuen Patch, dann sind Sie wieder sicher!1!!
Update: Ein Einsender meint, dass Heise einmal im Jahre der c't eine "desinfec't"-DVD beilegt, das sei ja auch sowas wie ein Verkauf von Antiviren. Kann man bestimmt so sehen, ja. Zumindest ist es ein Anfixen :-)
Update: Ohne da ins Detail gehen zu können, schließe ich mich übrigens der Einschätzung an, dass das Schlangenöl von Microsoft noch am wenigsten neue Angriffsoberfläche aufreißt. Ich hatte die Details schonmal grob dargelegt.
Update: Ich habe eine Mail von Jürgen Schmidt gekriegt. Er weist meine Kritik von sich und findet, dass seine Berichterstattung sogar aktiv für das Hinterfragen der Position steht, dass AV-Software wichtig und nötig ist. Das würde ich auch gerne so sehen, und es stimmt auch, dass er häufiger negative Meldung zu Schlangenöl bringt, aber tut mir leid, das hat ihm auch niemand vorgeworfen, dass er negative Meldungen zu AV-Software unterdrückt. Was mich an dem vorliegenden Artikel am meisten geärgert hat, war dieser Satz:
Nun lässt sich das nur allzu leicht als Unsinn abtun – etwa indem man auf die fatalen Konsequenzen ungeschützter Systeme verweist.
Hier wird per Nebensatz unhinterfragbar als Prämisse etabliert, dass a) AV Schutz bietet, b) Systeme ohne AV ungeschützt sind, und c) es fatale Konsequenzen hat, kein AV einzusetzen. Ich bestreite alle drei Prämissen. Wenn dieser Satz nicht in dem Artikel gewesen wäre, hätte ich nichts gesagt. Der Rest des Artikels ist aus meiner Sicht Berichterstattung und neutral gehalten. Da hätte ich mir zwar immer noch gewünscht, dass Heise Security ihre editoriale Reichweite nutzt, um den Leuten deutlich zu machen, dass da nicht nur irgendein Spinner Dinge behauptet, und dass Heise das auch so sieht. Aber das hätte mich nicht genug ärgert, um dazu einen Blogpost zu machen.
Update: Jürgen Schmidt schrieb mir jetzt, dass er diesen Satz anders gemeint hat, als ich ihn verstanden habe. Er wollte damit den Leser da abholen, wo er ist. Er verwehrt sich auch gegen den Eindruck, die Redaktion sei gekauft, von wem auch immer. Ich möchte hier nochmal explizit darauf hinweisen, dass ich das auch nicht vorgeworfen habe. Das Schreibertum von Heise liest sich meiner Meinung nach so. Das heißt nicht, dass irgendjemand tatsächlich gekauft ist — nichtmal, dass das Dogma Absicht ist oder bewusst stattfindet.
Ich habe Jürgen gebeten, einfach mal ein Statement zu veröffentlichen, was das klarstellt. "Wir bei Heise sind keine Antivirus-Proponenten und unsere positive Berichterstattung sollte nicht als Werbung missverstanden werden". Wenn ich Jürgen richtig verstanden habe, ist das bei Heise eh so. Also würde so ein Statement ja auch niemandem wehtun. An anderer Stelle ist Heise ja schon vorbildlich, z.B. wenn sie dranschreiben, dass ein Hersteller dem Journalisten die Reise bezahlt hat. Wenn es sich hier wirklich um ein Missverständnis handelt, können wir das ja mal eben kurz und schmerzlos auflösen. Your move, Heise.
Update: Angesichts dieses Artikels muss ich meine Kritik an Jürgen Schmidt in der Tat zumindest partiell widerrufen. Da schreibt er
vieles von Böcks Kritik trifft voll ins Schwarze
Ich sehe aber immmer noch einen Unterschied zwischen dem Anerkennen von Fakten und dem Aussprechen der sich daraus ergebenden Bewertung, dass Antiviren grundsätzlich nicht vertrauenswürdig sind. Das blieb Heise bisher schuldig.
Und so wird dann ein Schuh aus der Sache, denn das kommt jetzt nicht von den anderen Herstellern, die Story, sondern von "Ex-Kaspersky-Mitarbeitern", d.h. von Kaspersky selbst. Für mich sieht das aus wie eine als Pseudo-Kontroverse getarnte PR-Nummer von Kaspersky, um sich selbst als einzigen Marktteilnehmer darzustellen, der noch ordentlich prüft. Glaubt kein Wort von sowas. Schlangenöl ist Schlangenöl.
Im Übrigen basiert die ganze Branche auf geheimen Insider-Malware-Börsen, und die Hersteller tauschen alle ihre Malware-Samples aus. Ich bin da kein Insider, insofern weiß ich nicht, wie weit die Automatisierung der Signaturgenerierung ist. Was ich vor ein paar Jahren mal gesehen habe, ist dass das "manuell" gemacht wurde, allerdings mit massivem Tool-Aufgebot. Viel tatsächlich manuelle Arbeit war da nicht beteiligt, aber völlig automatisiert war es auch noch nicht. Wenn man die Tools der Konkurrenz beobachtet, kann man diesen Vorgang möglicherweise aus der Ferne reversen und so trojanische Signaturen unterjubeln.
Aber mal ehrlich, der ganze Ansatz mit den Signaturen ist für den Arsch. Dieses Geplänkel hin oder her, wer sich Software verkaufen lässt, die Viren fernhalten soll, hat es auch nicht besser verdient.
Update: Laut dieses Vortrages von 2013 von Microsoft scheint genau das passiert zu sein.
Aber hey, ich bin mir sicher, die Fachpresse macht bald wieder einen Schlangenöl-Vergleichstest. Damit ihr nur das kauft, das am schönsten schlängelt!
Cybersecurity companies, including the Moscow-headquartered Kaspersky Lab, were targeted by government agencies to gain intelligence of the latest exploits. Details of the security software’s inner workings were deciphered by agencies through a process called software reverse engineering (SRE), which allowed them to analyze and exploit the software suites.Seit Jahrzehnten sage ich das, dass man sich mit "Personal Firewalls" und "Antiviren" die Angriffsoberfläche vervielfacht. Aber ich bin mir sicher, die "Fachpresse" wird weiterhin Antiviren empfehlen und Vergleichstests machen, welches Schlangenöl am schönsten schlängelt.Documents also disclosed efforts by the NSA of intercepting “leaky” data being sent from users’ computers to the Kaspersky Lab servers. Such data, including sensitive user information, was embedded in “User-Agent” strings in the HTTP requests and could be used to assess and track users’ activity.Ja na sowas! Also DAMIT konnte ja wohl NIEMAND rechnen!1!! Oh, warte.
In Bezug auf die verwendeten Sicherheitskomponenten sagte Yoran, dass sich viele Sicherheitsspezialisten auf die nutzlose Sammlung von Telemetrie verlassen, die von quasi blinden Systemen wie IDS, Antiviren-Plattformen und Firewalls stammt. Das von vielen Anbietern, darunter auch RSA mit enVision, propagierte SIEM (Security Information and Event Management) nannte Yoran abfällig ein „zunehmend nutzloses Fass ohne Boden“.Mit anderen Worten: Alles Schlangenöl!
Man würde denken, dann ist er auch zur logischen Schlussfolgerung fähig: Weg mit dem Schlangenöl, die Kohle lieber in QA für Software stecken. Doch leider sagt er stattdessen:
Darüber hinaus müssen IT-Abteilungen tiefe Einblicke in ihre komplette Infrastruktur haben: Vom Treiben auf den Endgeräten bis hin zum Full Packet Capture auf Netzwerkebene. Außerdem rät Yoran dazu, möglichst viele Informationen über Bedrohungen (Threat Intelligence) in maschinenlesbarer Form zu nutzen, um Abwehrmechanismen automatisiert zu betreiben und menschlichen Spurensuchern möglichst detaillierte Hinweise auf Anomalien im Netz zu liefern.Mit anderen Worten: per Schlangenöl-Lösungen mehr Telemetrie sammeln und dann Big Data machen.
Kein Wunder, dass er das nur auf der hauseigenen Sales-Droiden-Messe vorträgt. Anderswo wäre dem Publikum aufgefallen, was er da gerade für widersprüchliche Aussagen von sich gibt.
Auf der anderen Seite: Was kann man von einem Schlangenölverkäufer auch groß erwarten. Dass der sein Geschäft aufgibt, weil es unmoralisch ist?
Oh, bei der Gelegenheit sollte ich vielleicht mal ansagen, wie meine Laptopsuche ausgegangen ist. Ich habe mir am Ende einen Laptop von Schenker bestellt, nachdem die großen Hersteller bei mir alle der Reihe nach durchgefallen sind. So ein Gamer-Modell namens XMG P505, weil ich gerne zuschaltbare Gamer-Grafik haben wollte, aber trotzdem ordentlichen matten Bildschirm, geräuschloses Arbeiten wenn ohne Last, Gigabit Ethernet und halbwegs brauchbare Batterielaufzeiten. Das alles erfüllt das Gerät im Rahmen der Möglichkeiten der Hardware, und: Keinerlei Crapware vorinstalliert bei dem Windows. Keine 50 Trial-Version von irgendwelchen Antiviren oder Ähnlichem.
Gut, das ist dann natürlich kein Ultrabook. Das Gerät ist vergleichsweise schwer. Dafür ist das Gehäuse auch aus Metall und knarzt und knirscht nicht. Und, für mich besonders wichtig: Es gibt da keine Einschränkungen bei den Treibern. Das hat mich bei HP immer wahnsinnig gemacht, das man da keinen Grafiktreiber von AMD installieren konnte unter Windows, sondern den von HP nehmen musste, der 4 Jahre veraltet war. Daher boykottiere ich HP, seit die das einmal mit mir gemacht haben. Kam auch trotz Kurzfrist-Bestellung vor Weihnachten innerhalb einiger Tage, da hatte ich echt Schlimmeres befürchtet (das war wohl Glück, es gibt da im Internet auch andere Schilderungen).
Oh und deren Trackpad hat noch echte Maustasten.
Die Antivirenschutz-Produkte von Panda Security haben wegen fehlerhaften Signaturen etliche Windows-Rechner lahm gelegt. Wer betroffen ist, soll die Füße still halten und das System nicht neu starten – da es unter Umständen nicht mehr hochfährt.Immerhin erreicht das System damit einen sicheren Zustand!1!! (Danke, Ulrich)
“At the end of the day, all of these security products are spitting out more alerts than humans have time to deal with,” Foster said. “And at the end of the day, if your software is overwhelming the analysts, you are part of the problem, not part of the solution.”
Mein Punkt war auch nicht, da einige ausgewählte Antivirenhersteller an den Pranger zu stellen, sondern das als systemisches Problem der Antivirenindustrie darzustellen. Kaspersky, Symantec und F-Secure waren halt, wenn ich mich da richtig erinnere, die Firmen, die öffentliche Statements dazu abgegeben haben. Die AV-Industrie hat eine gut funktionierende Infrastruktur zum Austausch von Malware-Samples, daher kann man davon ausgehen, dass alle AV-Firmen ein Regin-Sample hatten. Das Geheimdienst-Statement kam von Fox IT.
Meine Argumentation, dass man den Schutz nicht privatwirtschaftlichen Unternehmen überlassen sollte, hatte auch eine Begründung, die wohl Platzproblemen zum Opfer fiel. Damit war nicht gemeint, dass ich die Bundesbehörden für sonderlich kompetent halte, die würden das am Ende wahrscheinlich an die Industrie outsourcen und es würden die selben Leute wie jetzt machen. Aber im Moment ist der Aufwand, den wir für die Verteidigung treiben können, dadurch gedeckelt, wieviel Geld wir für Antiviren ausgeben. Minus deren Profitmarge. Wenn der Staat das macht, kann man die Ausgaben dem Bedarf anpassen. Auch das ist eine eher optimistisch-naive Sicht auf die Dinge, das gebe ich zu. Aber mein Eindruck war, dass es bei solchen Zukunftsbetrachtungen auch eher um idealisierte Zukunftsvorstellungen geht.
Der spannene Teil beim Sony-Hack ist, wie Sony es geschafft hat, das von "oh wie peinlich, wir waren zu doof, ordentliche Passwörter zu vergeben" umgelenkt hat zu "OMGWTF DIE TERRORISTEN AUS NORDKOREA WERDEN UNS ALLE TÖTEN!!1". Und Obama ist natürlich sofort aufgesprungen, weil das vom CIA-Folterbericht abgelenkt hat. Ein Musterbeispiel für einen Bullshit-Geysir.
Rein rechnerisch hätte Nordkorea vermutlich gar nicht die Bandbreite, um da bei Sony die ganzen Daten rauszulutschen. :-) Und wenn sie sie hätten, wieso würden sie dann die anderen Filme raustragen und bei irgendwelchen Torrent-Sites hochladen? Dass irgendjemand auf diese völlig abwegige Theorie mit etwas anderem als Gelächter reagiert hat, finde ich nicht nachvollziehbar.
Hier schlagen auch gerade gehäuft Journalisten auf und fragen nach Regin, weil das angeblich im Kanzleramt entdeckt worden sein soll. Naja, äh, klar, warum sollte das Kanzleramt auch immun gegen Malware sein? Solange es Menschen gibt, die auf Dinge raufklicken, wird es eine Malware-Problematik geben.
Aus meiner Sicht ist der Punkt bei Malware, dass es hier zwei Märkte gibt. Auf der einen Seite schaffen die Geheimdienste einen Markt, weil sie für unbekannte offene Sicherheitslücken Geld ausgeben. Solange es diese Nachfrage gibt, wird auch ein Angebot entstehen. Auf der anderen Seite gibt es den Markt der Antiviren-Hersteller. Wir haben hier zwei Märkte mit Angebot und Nachfrage, die sich gegenseitig bedingen. Solange diese Konstellation besteht, wird das Malware-Problem sicher nicht weggehen. Wir müssen also gucken, dass wir diese Märkte beseitigen.
Die mir liebste Lösung wäre, wenn wir Malware international ächten könnten, und dafür sorgen könnten, dass Geheimdienste und Militär sie nicht kaufen. Das erscheint aber nicht sonderlich realistisch. Wenn wir die Nachfrage nicht wegkriegen, dann bleibt nur, das Angebot zu verknappen. Dafür müssten wir dafür sorgen, dass man in der Ausbildung zum Programmierer lernt, wie eine Sicherheitslücke aussieht und wie man sie vermeidet. Leider geht die Kohle der "digitalen Agenda" nicht in die Bildung sondern verstärkt das Problem sogar noch, indem es Malware-Käufern wie BKA und Verfassungsschutz mehr Mittel in die Hand gibt für ihr unmoralisches Tun.
Man könnte das Angebot noch verknappen, indem man dafür sorgt, dass Softwarehersteller für das Ausliefern von Software mit Sicherheitslücken Konsequenzen zu befürchten haben. Das ist im Moment leider nicht der Fall. Ganz lösen kann man das Problem durch Verknappung wahrscheinlich nicht, aber bei Microsoft kann man sehen, dass man so die Preise für 0day dramatisch in die Höhe treiben kann. Früher konnte man mit Windows-Bugs kein Geld verdienen, weil es zu viele davon gab. Heute kostet ein ordentlicher Remote Exploit siebenstellige Beträge. Das ist immer noch im Budget von Geheimdiensten, klar, aber das reduziert deren Munition deutlich. Wenn wir dann eine Lücke finden und schließen, dann tut das den Diensten richtig weh.
Es gibt da noch die Idee, das BSI 0day kaufen zu lassen, und die dann zu verbrennen. Das ist wahrscheinlich nicht die Lösung, weil das den Markt ja befeuert, statt ihn auszutrocknen, aber es wäre immerhin mal eine nicht völlig sinnlose Geldanlage. Besser als ein beklopptes Mautsystem zu bauen jedenfalls. Oder den Berliner Großflughafen.
"We didn't want to interfere with NSA/GCHQ operations," he told Mashable, explaining that everyone seemed to be waiting for someone else to disclose details of Regin first, not wanting to impede legitimate operations related to "global security."Na gut, Fox IT ist eine üble Trojanerbude. Wie sieht es denn mit seriösen Antivirenfirmen aus, sagen wir mal F-Secure?Mikko Hypponen, a renowned security expert and chief research officer for F-Secure, said that while they had detected some parts of Regin since 2009, they were not at liberty to discuss their discovery due to confidentiality agreements with customers who asked them not to publish details of hacks they suffered.2009!!!
Das selbe gilt auch für "mit meinem Iphone verschickt", "jetzt kostenloses De-Mail-Konto sichern" und die ganze andere Werbe-Gülle, die täglich die Email-Infrastruktur kontaminiert.
Oh und Mails von Yahoo nehme ich demnächst auch nicht mehr an, weil Yahoo ihre Abuse-Melden-Prozedur abgeschafft hat. Die tun nicht mal mehr so, als seien sie daran interessiert, Spammer von der Benutzung ihres Dienstes abzuhalten.
Whoa! Hätte das doch nur jemand früher erkannt und vor Antiviren gewarnt!1!!
Eingangs konfrontierte er General Alexander mit der angeblich in der Bevölkerung umgehenden Befürchtung, die NSA schneide alle Telefongespräche der Amerikaner mit und schreibe alle ihre Emails ab. Dankbar gab der General Entwarnung!WHOA! Na ein Glück, dass wir das mal aufgeklärt haben! Ein Meilenstein des investigativen Journalismus. Und bizarrerweise hat CBS das tatsächlich als das zu verkaufen versucht. Eine ganz peinliche Sache.
Dass die Amerikaner im Gegensatz zu den Russen nicht Schach sondern Poker spielen, konnte man an dem FUD-Sähen zur Merkel-Frage gut beobachten. Keith Alexander hat das Merkel-Abschnorcheln kurz gefasst damit begründet, dass die Deutschen ja vermutlich auch das Weiße Haus abhören. Jedenfalls könnten die Deutschen diesen Verdacht nicht ausräumen, und man wisse ja, dass die Deutschen "große Geheimdienstkapazitäten haben und dass sie im Ausland Informationen sammeln — genau wie wir". Spätestens jetzt wäre der perfekte Moment, den BND endlich zuzumachen. Dann haben auch die Amerikaner keinen moralischen Vorwand mehr für ihr Tun.
Das Highlight für die Techniker unter uns war dann, als die investigativen Journalisten von CBS anfingen, chinesische Computersabotage anzuprangern. Die Aussage der NSA-Direktorin für Information Assurance Debora Plunkett (die ist vermutlich daran Schuld, dass Microsoft Secure Boot bei Windows 8 erfordert, das ist der zentrale Talking Point der Information Assurance-Leute aus der US-Regierung, und deren Zentrale ist die NSA) wird von CBS aufgesaugt wie Muttermilch. Die Chinesen hätten eine Super-Malware, die alle PCs "bricken" kann (d.h. so kaputt machen, dass sie nur noch als Briefbeschwerer nützlich sind). Wenn der Benutzer erst mal infiziert ist, muss er nur noch auf den Knopf drücken, der diese Wunder-Software startet, und dann macht die den PC kaputt! Das kann die ganze Wirtschaft der USA kaputtmachen!1!!
Um das mal ein bisschen abzukürzen: Die Frau hat Recht! Hier ist diese Super-Malware aus China!1!!
Der Punkt ist: Wenn der PC infiziert ist, ist er bereits kaputt. Den dann zu bricken ist keine Errungenschaft. Und wenn der Benutzer erst irgendwo draufklicken muss, dann senkt das die Gefährlichkeit der "Malware" unter die "müsste sich mal jemand kümmern"-Schranke. An der Stelle sei auch der Hinweis erlaubt, dass die "Antiviren"-Industrie auch regelmäßig fünf- bis sechsstellig viele PCs brickt, weil ihr Ranz irgendwelche inneren Organe von Windows als Malware "erkennt".
Schon die Idee, dass man mit sowas eine "Kettenreaktion" auslösen kann, um die US-Wirtschaft kaputtzumachen, ist grotesk. Wenn der PC gebrickt ist, kann er keine anderen mehr infizieren. Und wenn der User erst klicken muss, ergibt sich keine Kettenreaktion. Abgesehen davon: Wenn die US-Wirtschaft tot ist, wer kauft dann den Chinesen ihren Plunder ab? Dann implodiert doch deren Wirtschaft gleich mit! Aber soweit haben die "Journalisten" von CBS nicht gedacht.
Java hat uns den RAM billig gemacht. Computerspiele haben uns Grafikkarten schnell und billig gemacht. Pornographie hat uns Internet schnell und billig gemacht. Und Antiviren machen uns die Rechner schnell und billig. Ich saß da an einem Arbeitsplatzrechner, der vom Kunden zur Verfügung gestellt wurde. Da lief natürlich auch ein Antivirus drauf. Und ich habe da, weil ich ja nichts neues starte oder runterlade, die ganzen Komponenten deaktiviert, die normalerweise so nebenbei mitlaufen, und alle Dateien scannen, die von irgendeinem Prozess geöffnet werden. Stellt sich raus: DAS war es, wieso Office bei mir so flutschte. Bei meinem Nachbarn schnarchte das wie gewohnt vor sich hin. Der hatte das nicht ausgeschaltet.
In diesem Sinne: Antiviren sind natürlich immer noch Schlangenöl und machen die Menschen unsicherer statt sicherer, aber wir sollten ihnen trotzdem dankbar sein, weil sie dafür gesorgt haben, dass andere Software schneller wird, weil es sonst überhaupt nicht ertragbar wäre.
Ich würde sogar so weit gehen, für Linux Antiviren zu fordern. Das ist ein echter Wettbewerbsnachteil, den Linux-Softwareentwicklung da hat. Die Entwickler sehen keinen Optimierungsbedarf, weil das bei ihnen flutscht. Wenn man nicht gerade Old School seine Dokumente mit TeX oder troff schreibt, ist der Performance-Zustand der Office-Suiten unter Unix geradezu beschämend. Und die ganzen Sprallos von Freedesktop und co kommen ja auch jedes Jahr mit weiteren Indirektionsschichten mit XML und endloser Redundanz, weil sie es können! Wenn da noch ein paar Antiviren das System auf C64-Niveau verlangsamen würden, dann würden diese Leute effizienteren Code schreiben.
Die meisten wissen das nicht, aber habt ihr euch mal gefragt, wie Antiviren eigentlich Kernel-Malware desinfizieren? Die haben einen Kernel-Treiber, klar, aber den will man ja nicht jedesmal updaten müssen, wenn man eine neue Desinfektions-Methode einbaut. Daher haben die ganzen Schlangenöl-Lieferanten im Allgemeinen in ihrem Kernel-Treiber einen ioctl, der sie im Kernel-Space frei lesen und schreiben lässt. Die eigentliche Desinfektion findet dann per Peek und Poke aus dem Userspace statt. Dadurch werden dann natürlich elementare Grundsätze wie Code Signing für Treiber unterlaufen, und insgesamt die Sicherheit kaputtgemacht. Aber so funktionieren Antiviren. Fast alle. Soweit ich weiß alle, bis auf Windows Defender. Der hat sowas nicht.
Wenn man dieses Detail kennt, und sich dann überlegt, dass Firmen ihre Systeme zertifizieren lassen, wegen der Sicherheit, und dann die Sicherheitsversprechen wieder kaputtmachen, indem sie Schlangenöl mit Kernel-Poke-Funktionalität drüberinstallieren, dann sieht man, was für ein Wahnsinn das ist, was die Leute sich da alle installieren.
Tja, und jetzt ist auch der letzte Schlangenöllieferant umgefallen, Microsoft.
Vielleicht glaubt ihr mir jetzt endlich, wenn ich sage, dass Antiviren Systeme unsicherer machen statt sicherer.
Aber hey, der Zeitgeist geht hin zum Antivirus für Android.
Wer den Flash-Player per Hand über die Adobe-Website aktualisiert, sollte darauf achten, vor dem Download die Option zum Herunterladen des Zusatzprogramms McAfee Security Scan Plus abzuwählen.Ich schließe mich dieser Warnung natürlich an. Ich finde es allerdings bemerkenswert, wie Heise vor dem McAfee-Schlangenöl warnen kann, aber dann nicht vor dem Flash-Plugin selbst warnt, von dem ja in der Praxis die deutlich höhere Bedrohung ausgeht.
A number of computers were totally controlled by outside hackers, who had broad access across the Journal's computer networks, people familiar with the matter said.The investigation couldn't determine the full extent of the information that was spied on by the hackers, they said. The company's computer specialists erased several hard drives in Beijing last year.
Immerhin haben sie gelöscht und neu installiert und nicht auch noch der Desinfizieren-Funktion von Antiviren vertraut.Das schönste Detail an der Geschichte ist, dass das WSJ auch die chinesische Botschaft um ein Statement gebeten hat:
Chinese Embassy spokesman Geng Shuang condemned allegations of Chinese cyberspying. "It is irresponsible to make such an allegation without solid proof and evidence," he said. "The Chinese government prohibits cyberattacks and has done what it can to combat such activities in accordance with Chinese laws." He said China has been a victim of cyberattacks but didn't say from where.Haha, tja, aus der Ecke kommt ihr so schnell nicht wieder raus, liebe Chinesen.
Over the course of three months, attackers installed 45 pieces of custom malware. The Times — which uses antivirus products made by Symantec — found only one instance in which Symantec identified an attacker’s software as malicious and quarantined it, according to Mandiant.Zing! Symantec will sich dazu nicht äußern. Ach was, warum denn nicht?Ausgangsort für die Trojaner war die Berichterstattung der New York Times über die Korruption in der Familie von Premierminister Wen Jiabao. Die Times bemüht sich, das auf den ersten Seiten so klingen zu lassen, als hätten sie das die ganze Zeit im Griff gehabt, hätten da Experten rangezogen zur Analyse, und das sei nur so lange gelaufen, weil sie das rückverfolgen wollten. Der Eindruck geht auf den Folgeseiten weg.
From there they snooped around The Times’s systems for at least two weeks before they identified the domain controller that contains user names and hashed, or scrambled, passwords for every Times employee.Und ab da ist das natürlich nicht mehr so schwierig.Investigators found evidence that the attackers cracked the passwords and used them to gain access to a number of computers. They created custom software that allowed them to search for and grab Mr. Barboza’s and Mr. Yardley’s e-mails and documents from a Times e-mail server.Das ist schon ein echter Totalschaden. Ich bewundere, wie die sich da jetzt einreden können, sie hätten das alles repariert und jetzt seien sie wieder sicher.
An Herrn Stadler: Willkommen im Club :-)
Update: Ich seh da zwar keine dubiosen Einblendungen, aber andere Leute kriegen sie anscheinend noch, insofern hat möglicherweise der Antivirenbetreiber sogar Recht.
Nun, äh, Tavis Ormandy hat sich nochmal Sophos angeguckt. Die Ergebnisse sind branchentypisch. Ich zitiere mal aus der Einleitung:
Many of the vulnerabilities described in this paper could have been severely limited by correct security design, employing modern isolation and exploit mitigation techniques. However, Sophos either disables or opts-out of most major mitigation technologies, even disabling them for other software on the host system.Da bleibt kein Auge trocken. Ich sage das ja seit Jahren, dass die Installation von Antiviren die Angriffsoberfläche erhöht statt sie zu senken. Ich meinte das aber eher im Sinne von "da ist eine Tonne von Parser-Code drin", dass Antiviren tatsächlich für andere Anwendungen ASLR abschalten, das ist selbst für die Snake-Oil-Branche bemerkenswert schlecht.Hier noch ein Zitat vom Ende des Papers.
In response to early access to this report, Sophos did allocate some resources to resolve the issues discussed, however they were clearly ill-equipped to handle the output of one co-operative, non-adversarial security researcher. A sophisticated state-sponsored or highly motivated attacker could devastate the entire Sophos user base with ease. Sophos claim their products are deployed throughout healthcare, government, finance and even the military.
Ein ähnliches Problem gibt es generell auch in Deutschland mit Zertifizierungen. Aus meiner Sicht rangieren Zertifizierungen daher grundsätzlich in der selben Kategorie wie Antiviren: Snake Oil und dazu noch gemeingefährlich. Das ist durchaus auch in Europa in der Industrie üblich, dass zentrale Komponenten nicht geupdated werden können, weil "SAP nur für dieses Service Pack und diese Treiberversion zertifiziert ist" oder ähnliches. Auch von Routern und Telco-Equipment hört man das gerne mal, und sogar für CAD-Programme gibt es Zertifizierungslisten, welche Versionen als Unterbau erlaubt sind.
We also find that a typical zero-day attack lasts 312 days on average and that, after vulnerabilities are disclosed publicly, the volume of attacks exploiting them increases by up to 5 orders of magnitude.Mit anderen Worten: Antiviren funktionieren ÜBERHAUPT GAR NICHT. Ich sage das ja schon seit Jahren, aber dann kommen immer so Apologeten und erzählen was von verhaltensbasierter Malwareerkennung. Offensichtlich taugt die genau gar nichts, sonst würden die 0days nicht durchschnittlich fast ein Jahr lang unentdeckt bleiben. Lustigerweise arbeiten die beiden Autoren des Papers bei … Symantec. Hups. Da war wohl gerade der Zensor pinkeln.
Aber hey, die "Fachpresse" und die "Experten" werden weiterhin Antiviren empfehlen.
Wer sich an dieses "Digitale Radiergummi" erinnert fühlt, bei dem wir alle laut gelacht haben, weil der "Schutz" darauf basierte, dass der Benutzer die Screenshot-Funktion nicht kennt und sich ein Browser-Plugin installiert? So ist das hier offenbar auch.
Um sich die Bilder überhaupt anzuschauen, müssen aber nicht nur die Besitzer der Bilder, sondern auch die Zuschauer sich Social Protection via Facebook installieren. Außerdem ist ein aktives Windows Aero zwingende Voraussetzung.Wir haben es also nicht nur mit herkömmlichem Schlangenöl zu tun, sondern mit einer neuen Generation von Schlangenöl, das nur funktioniert, wenn man alle seine Freunde überredet, es auch zu kaufen. Genial! Da soll noch mal jemand sagen, soziale Netzwerke kann man nicht zu Geld machen! (Danke, Thomas)
The government's main watchdog, the Nuclear Regulatory Commission, believes that current storage plans are safe and achievable. But a federal court said that the NRC didn't detail what the environmental consequences would be if the agency is wrong. Mit anderen Worten: genau so ein Clusterfuck wie in Japan und bei uns. Die "Regulierungsbehörde" rekrutiert ihr Personal praktisch ausschließlich aus dem atomenergiehörigen Technokratenmilieu der Ingenieursdisziplinen an den Unis und der Industrie. Den meisten Menschen ist gar nicht klar, was das Problem dabei ist, sich bei den Ingenieuren über die Sicherheit einer Technologie zu informieren. Die Weltsicht der Ingenieure ist, dass sie aus unsicheren Komponenten etwas sicheres bauen wollen. NATÜRLICH sind die überzeugt, dass das prinzipiell geht, sonst wären sie nicht in der Branche. Daher findet man bei Ingenieuren einer Disziplin selten bis nie Kritiker, die das ganze Kartenhaus generell in Frage stellen. Das ist ja bei Computersicherheit nicht anders. Die Ingenieure empfehlen alle den Einsatz von Antiviren. Oder wenn man einen Email-Forscher nach dem Spamproblem fragt. Das halten die auch alle für lösbar.
Sprecht mir also nach: Antiviren sind Snake Oil.
Update: siehe auch.
Update: An den einen, der mir mailte, dass das gephotoshoppt ist, und den anderen, der mir mailte, die Fehlermeldung passt nicht: gut gemacht. An die anderen: durchgefallen. Der Teil, dass mir den "Screenshot" jemand gemailt hat, stimmt allerdings wirklich :-)
Und legt gleich mit dreisten Lügen los, wie dass es nur um Terrorismus und organisierte Kriminalität ginge, nicht um Allerweltskriminalität (wie eine Online-Apotheke oder gestohlene Kinderkleidung, ja?). Wi-derlich.
"Wo Quellen-TKÜ dransteht, darf keine Online-Durchsuchung drinstehen, meine Damen und Herren!"
Immerhin gibt es ordentlich schlechtgelaunte Zwischenrufe.
"… ist es auch nicht möglich, Schadmodule nachzuladen, weil das bemerkt werden würde."
"Der Trojaner, den der CCC betrachtet hat, ist ja drei Jahre alt. Und drei Jahre sind in der IT ja eine lange Zeit." Schade nur, dass das ehemalige Nachrichtenmagazin gerade einen Trojaner von 2010 covert. Hups.
Und jetzt fordert er auch noch die Unschuldsvermutung für das BKA. "Das sind Unterstellungen, die durch nichts belegt sind. Das sind Vermutungen, die durch nichts belegt sind." Ja, so gut wie keine Belege, außer vielleicht die CCC-Analyse. Aber ansonsten nichts, also so gut wie. Fast gar nichts. Gut, die Antivirenhersteller haben die CCC-Analyse bestätigt, aber das zählt ja nicht weiter.
Jetzt argumentiert er mit dem Verhältnismäßigkeitsprinzip und vergleicht den Trojaner mit Dienstwaffen der Polizei. Was für eine Farce. Die Einrufe werden immer lauter. Der Brüller!
Jetzt ist der Oppermann für die SPD am Start und beginnt erstmal mit einem Lob für den CCC. "Aber der CCC hat auch chaotische Zustände in der Bundesregierung aufgedeckt" *Applaus* Dann zählt er die Widersprüche in den Aussagen der Minister auf. *Popcorn!* Vor allem natürlich bei dem Friedrich. Kein Wunder, dass sie den nicht hingeschickt haben da.
Und dann geht es los mit dem alten SPD-Programm: "Wir sagen: Wenn schon Staatstrojaner, dann vom Staat"
Burkhard Hirsch ist da, die Justizministerin offenbar auch (wurde gerade persönlich angesprochen, ich sah sie noch nicht).
Jetzt fordert die SPD, die Trojaner zu optimieren, die müssen doch nicht einmal pro Behörde angeschafft werden, reicht doch einmal!1!! Na super, genau was wir jetzt brauchen, die ökonomischen Aspekte waren ja auch völlig unterberichtet bislang, dabei stehen die doch so im Zentrum!
Oh Mann, zwischendurch kommt rein, dass die politische Geschäftsführerin der Piraten die Debatte "ermüdend" findet und weggezappt hat. Oh und Autogrammkarten haben auch eine höhere Priorität. OMFG.
Die FDP ist dran und nutzt die Gelegenheit, um die gesamte Trojaneraufdeckung vollständig als ihre Leistung darzustellen. Wi-der-lich. Immerhin sagen sie an, dass die SPD mal die Schnauze halten soll, weil sie den Trojaner ja eingeführt haben. "Es bringt uns nicht voran, den CCC zu chaotisieren oder zu heroisieren". Denn eigentlich war das ja alles Leistung der FDP!1!! Hat den Liberalen noch keiner mitgeteilt, dass sie a) unter 5% sind und b) Eigenlob stinkt? Mann ist das abstoßend. Bisher einziger inhaltlicher Punkt ist, dass sie erschüttert ist, dass das BKA den Quellcode nicht hatte. (Über "grundrechtsschonendere" Methoden des Abhörens) "Wenn das in Asien geht, und ich meine jetzt ausdrücklich nicht China, …" *stöhn*
Jetzt ist Jan Korte von den Linken und lobt den CCC und die FAZ, das gab es bestimmt auch noch nie :-) Deutlicher Kontrast zum Gefasel der FDP. Er weist darauf hin, dass das BKA im Innenausschuss nicht garantieren wollte, dass ihr Trojaner nicht auch mehr kann. "Und das behindert den aufrechten Gang, wenn man nicht weiß, was Sie mitlesen wollen". Schön formuliert. "Die FDP hat nächste Woche die Möglichkeit, einem Antrag der Linken zuzustimmen, die BKA-Befugnisse zurückzudrehen" *schenkelklopf*
Ah jetzt war die Leutheusser-Schnarrenberger kurz im Bild. Ob die auch noch was sagen will? Der Korte gefällt mir jedenfalls, der hat da schön empört auf den Tisch gekloppt.
Ah, jetzt der von Notz von den Grünen. Beklagt sich über die Relativierung der Grundrechte und dass Vertrauen der Bevölkerung in die Bundesregierung verloren geht.
(Nochmal zu den Piraten: vielleicht solltet ihr das mit der Transparenz nochmal überdenken?)
Hmm, der Notz ist mir irgendwie nicht konkret und nicht empört genug. Das wirkt wie eine dieser "Business as Usual" Bashing-Reden im Bundestag, weil man halt in der Opposition ist. Ist ja schön und gut, dass die sich alle widersprochen haben, aber die Zeit hätte man besser nutzen können. Hahaha, ein lustiger Satz war doch (über den CCC) "sonst würdigen Sie ja das Ehrenamt immer, der CCC arbeitet doch ehrenamtlich!" Ah, jetzt kommt das Fleisch. Die Mehrheit der Bürger lehnt den Trojaner ab. Die Mehrheit lehnt auch die Vorratsdatenspeicherung ab. Gut! "Auch Sie müssen einsehen, dass im Netz die Grundrechte voll gelten" (mit anderen Worten: das Internet darf kein rechtsfreier Raum sein!)
Oh Graus, jetzt der Uhl. Und der greift erstmal bis zur Schulter ins Klo und wirft dem Korte von den Linken vor, dass er gegen den Überwachungsstaat wettert (weil ja die Linken, und die SED, ihr wisst schon, gut, der Korte ist ein bisserl jung dafür, aber hey!).
Jetzt versucht er die Kleidungs-Terroristen aus Bayern als große Gefahr darzustellen und bringt "Wer sich ins Internet begibt, der kommt halt um? Ist das Ihre Position?" Und in Ermangelung inhaltlicher Argumente zitiert er den Ziercke indirekt und weist darauf hin, dass der Ziercke ja SPD-Mitglied sei. Der hat noch nicht mitgekriegt, dass die SPD politisch auch keine Rolle mehr spielt.
Wird immer besser. Das ist ja alles kalter Kaffee, weil der Computer Club, der hat ja NICHTS aufgedeckt, der Fall ist ja schon vom April, und da ist ja schon alles aufgeklärt, und im Übrigen klären wir jetzt ALLES auf, der Schaar hat mir das gesagt, und das reichen wir rum, wir wissen ja noch nicht, was da rauskommt. Nicht gänzlich widerspruchsfrei, seine Argumentation :-)
"Das wäre ja sehr schade, wenn unser Land am Ende regiert würde von Piraten und Chaoten aus dem Computerclub." Stattdessen lieber Leute, die sich an Recht und Gesetz halten, wie … die CSU!1!! *schenkelklopf*
Als nächstes der Klingbeil von der SPD, der direkt ins Klo greift und vom Bundestrojaner spricht, den der CCC untersucht hat (Hint: Staatstrojaner!). Man könnte fast denken, die haben sich alle abgesprochen, damit da gleich mal wieder einer widersprechen kann, und dann glaubt die Öffentlichkeit weiter, dass da Details kontrovers seien.
Kloppt auch auf die Widersprüche von dem Friedrich ein, und dass der die Nachladefunktion verteidigt hat. Sagt, die einzigen Chaoten hier gerade sei die Bundesregierung, dankt dem CCC. Spricht von der Offenbarung eines Kontrollverlusts der Bundesregierung. Der hat wohl auch den Schirrmacher gelesen heute. Wünscht sich, dass in der CDU mehr Leute Altmaier als Uhl lesen. Naja, hat mich nicht vom Hocker gehauen. Der braucht einen dynamischeren Redenstil.
Oh jetzt die Schnarrenberger! "Es darf keine Online-Durchsuchung in eine Quellen-TKÜ übergehen!" Klingt schön empört, aber bringt dann so Allgemeinplätze. Die Frau ist halt ein Polit-Profi. Hoffentlich bringt sie auch noch echte Klopper. "Wir müssen jetzt aufklären!" Ja, äh, na dann machen Sie doch mal! Worauf warten Sie denn? "Da müssen harte Grenzen gezogen werden! Und da müssen auch Manipulationsmöglichkeiten ausgeschlossen sein!" Hört, hört! Was Sie nicht sagen! "Und wir können das doch alles gar nicht sagen!" (Kontext: wir Politiker verstehen die Technik eh nicht richtig)
Haut auch in die Kerbe, dass der Trojaner vom Staat programmiert werden sollte. Nur die Linken trauen sich, Trojaner ganz abzulehnen. Beschämend. Die Schnarrenberger hat jetzt 10 Minuten flammend gepredigt und die einzige inhaltliche Aussage war, dass der Trojaner doch bitte vom Staat selber programmiert werden sollte. Als ob das was helfen würde! Was für eine Nebelkerze.
Jetzt die Frau Jelpke von den Linken, dankt auch dem CCC, und spricht dann von "kleinkriminellen Anabolika-Händlern" als Trojaner-Opfern. Die macht das nicht schlecht, könnte aber auch noch ein bisschen dynamischer reden. Und sie spricht auch endlich mal ein paar konkrete Dinge an, haut auf die Nachladefunktion drauf, die "Aktualisierung" als Ausrede, beklagt das Rumgewiesel und Rumgemauschel und Ausweichen bei konkreten Nachfragen. Weist darauf hin, dass das ein langjähriger Trend ist mit den Sicherheitsgesetzen.
Jetzt der Beck, der eröffnet gleich mit einem großartigen Hieb auf den Uhl und sein "im Internet kommt man halt um" Gefasel, meint er soll sich doch nochmal ein aktuelleres Internet ausdrucken lassen in seinem Büro :-) Wun-der-bar. "Das Tragische an dieser Debatte ist doch: nicht eine Kontrollbehörde hat herausgefunden, dass da was falsch läuft! Der Chaos Computer Club hat das gemacht!" *strike*
"Wir haben hier ein Problem! Das Problem heißt: wer überwacht die Überwacher und die Überwachungssoftware?" Fordert auch, dass der Staat das selbst macht, und zusätzlich eine Kontrolle durch unabhängige Stellen.
Schade, dass die Grünen sich nicht trauen, da Trojaner komplett abzulehnen. Ich sehe schon einen Trojaner-TÜV vor uns. Na super.
Weist darauf hin, dass die Regierung die selben lahmen Ausreden bringt wie die Bayern. "Das ist doch eine glatte Lüge!" Jawoll! So macht man politische Reden, sehr schön. Der Mann rockt. "Wenn der Staat sowas sagt, dann glaube ich als Bürger doch erstmal gar nichts mehr, was nicht unabhängig überprüft worden ist!" *strike*
Oh und jetzt zweifelt er an, dass man überhaupt eine Quellen-TKÜ durchführen darf. Sehr schön! Sagt, dass das gar nicht rechtens ist, zitiert das Urteil, verweist auf die Strafprozessordnung. Sehr gut! Weist die Schnarrenberger darauf hin, dass sie mehr Applaus von der Opposition gekriegt hat als von den Regierungsparteien, "ich hoffe Sie haben verstanden, wo in dieser Angelegenheit Ihre Bündnispartner sind".
Jetzt kommt der Binninger von der CDU, da spar ich mir mal die Zusammenfassung. Ih ist der unsympathisch. Beschwert sich, dass der CCC nicht "Bayern" drangeschrieben hat, dann wäre ja die Diskussion ja vielleicht sachlicher gewesen, und im Übrigen war das ja schwere Kriminalität, weil es ja Haftstrafen gab. Ich glaube die CDU hat überhaupt nur die drei Talking Points, durch die die da immer durchrotieren. Jetzt kommt wieder ein "wir brauchen aber die Quellen-TKÜ!1!!" *göbel* Oh die Schmerzen, ich halt's nicht aus! Oh und ihre Inkompetenz in Technikfragen ist gottgegeben, das ist halt so, Technik versteht ja eh keiner mehr, das muss so. Restunsicherheit und so. Wie bei Atomkraft!1!! Lasst uns ein neues Service- und Kompetenzzentrum schaffen! *schenkelklopf*
So, jetzt Hofmann von der SPD. "Die Exekutive hat immer gemauert! Wir hätten [immer noch] keine Erkenntnisse, wenn wir den CCC nicht hätten". Zu den Vorschlägen der CDU: "Ich denke, das sind Sachen, die wir auch vor zwei Jahren schon hätten machen können"
"Die Union ist mit ihren Sicherheitsgesetzen zur Gefahr für Sicherheit und Freiheit geworden". Sehr schön!
"Wenn der Uhl immer von Grauzone redet, dann weiß ich, der mein Rechtsbruch, also sag ich auch Rechtsbruch" :-)
"… nichts anderes gemacht als eine Online-Durchsuchung durch die rechtliche Hintertür." *strike*
[zu Friedrich] "Ich habe den Eindruck, der weiß nicht, wovon er spricht"
"Es ist doch klar, wenn man so eine Quellen-TKÜ nicht umsetzen kann ohne solche Grundrechtsverletzungen, dann kann man sie halt gar nicht machen!"
Der Mann ist mir noch nie aufgefallen, aber die Rede da gerade, die rockt.
"Diese Regierung ist ein Sicherheitsrisiko"
Zur Schnarrenberger: "Wenn Sie diese Rede vor zwei Jahren gehalten hätten und dann auch so gehandelt hätten, dann hätte ich auch geklatscht".
Jetzt kommt Jimmy Schulz von der FDP und grüßt die Zuschauer an den Empfangsgeräten, erwähnt den Begriff "Hashtag". Betont, dass er schon immer davor gewarnt hat, dass der Trojaner mehr können würde, nennt die Nachladefunktion "perfide", erklärt dass man darüber auch andere Dinge als Updates machen kann. Weist darauf hin, dass Trojaner-Erkenntnisse keine Beweiskraft haben. Whoa, spricht von Generalschlüssel und "Man in the Middle Attack". Der ist ja gut gebrieft! :-)
Oh und er weist darauf hin, dass man auch bei Skype direkt abschnorcheln kann. "Wenn so ein Trojanereinsatz nicht grundgesetzkonform gemacht werden kann, wieso tun wir es dann?" Wow! Und jetzt hat er gefordert, generell auf Trojaner zu verzichten! Ich bin beeindruckt! Das ist ja mal eine Überraschung.
Jetzt Edathy von der SPD. Schlägt vor, dass die Bundesregierung miteinander redet, um sich nach außen hin nicht so häufig zu widersprechen. Finde ich gar nicht, das war doch tolles Popcornkino!
Meint, die Interviewerin im Radio sei besser informiert gewesen als der Friedrich. "Ich finde, so einen Verlegenheitsinnenminister hat die Republik nicht verdient." YES!!! Fordert, dass Sicherheit nicht nur gelegentlich mal der Freiheit untergeordnet wird, sondern immer. "Sicherheit kann ich auch in Nordkorea haben". DER ist ja gut drauf heute!
Gelegentlich ist der Ole Schröder noch im Bild, wie er auf der Bank sitzt und twittert. m(
Schade, dass die SPD in der Regierung für die Einführung des Trojaners verantwortlich war. Sonst wäre das jetzt ein echt großartiger Beitrag gewesen.
Huch, jetzt kommt da ein Hinterbänkler (beachtet auch die Sektion "Plagiatsverdacht") von der CDU. Die haben wohl niemanden gefunden, der sich dahinterstellt. Ob das jetzt die CDU-"Netzpolitiker"-Simulation ist? Spricht von "ich habe auf Facebook eine Anfrage gekriegt". Oh Gott ist der gruselig. Da müssen sie aber echt weit nach hinten gegangen sein, bevor jemand den Vorteil durch Selbstdarstellung höher bewertet hat als die Nachteile durch um-Kopf-und-Kragen-reden. "Wir reden von Einzelfällen!" Au weia, wenn das die neue Netzpolitikabteilung der CDU ist, dann stehen die schlechter da als vorher. Der hat gerade ernsthaft dem CCC Strafvereitelung vorgeworfen. Hoffentlich ist der kein Jurist, sonst hat er gerade auch unter Kollegen seinen Ruf ruiniert (hier nochmal von einem Juristen bestätigt).
Jetzt ein Herr Höferlin von der FDP, der mir ja nichts sagt, und der greift erstmal so richtig tief ins Klo mit einem saftigen "also WIR haben ja ZUERST mit dem CCC ein Treffen gemacht". Ooooh wie peinlich. Ansonsten erwähnt er, dass Skype auch ohne Trojaner abgehört werden kann, und schließt mit "Wir werden das gemeinsam mit den Freunden von der Union lösen".
Jetzt noch ein Herr Schuster von der CDU. Verteidigt sich ausdrücklich gegen "Parteien, die sich schon im Bundestag wähnen" (und er meint glaube ich die Piraten, nicht die FDP damit :-] ). Ein sehr undynamischer Redner, klingt wie ein Jurist. *gähn*
Sagt ausdrücklich, dass keiner irgendwelche illegale Software einsetzt, dass das BKA alles dokumentiert, und dass es auch noch keine unabhängigen Prüfungen gibt, die die CCC-Ergebnisse bestätigen. Versucht wieder den Talking Point, dass es ja nur darauf ankommt, auf welche Knöpfe die Polizisten tatsächlich klicken, und nicht was die Software für Funktionen hat. Alles andere sei ein "Misstrauensverdacht" gegen die Polizistinnen und Polizisten!1!! Ich halt's nicht aus. Wo haben sie DEN denn ausgegraben? "Der CCC ist keine institutionelle Referenz in diesem Lande". Will auch ein zentrales Kompetenzzentrum einrichten. Ich begrüße das ja, dass die CDU Kompetenz einführen will. Das hätten sie schon vor 40 Jahren machen sollen. Sein Schlussplädoyer klang für mich nach "Wir haben euch doch alle lieb!"
Update: Uhl hat noch ein Money Quote rausgehauen, das ich aber nicht klar genug verstanden hatte, um es zu zitieren. Aber es gibt ein Video davon:
Das Land wird von Sicherheitsbehörden geleitet, die sehr behutsam mit dem sensiblen Instrument der Quellen-TKÜ umgeht, und so soll es auch sein.
Es wäre schlimm, wenn unser Land am Schluss regiert werden würde von Piraten und Chaoten aus dem Computerclub.
Es wird regiert von Sicherheitsbeamten, die dem Recht und dem Gesetz verpflichtet sind.
Na wenn das so ist, Herr Uhl.
In diesem Fall scheint es wohl sogar tatsächlich Parallelen zu geben. Wie spannend das jetzt wirklich ist, das wird sich zeigen müssen. Mein erster Eindruck ist nicht, dass da gerade Geschichte geschrieben wird. Wer sich selber eine Meinung bilden will: Hier ist ein Whitepaper dazu von Symantec.
Oh und wo wir gerade bei Malware sind: inzwischen gibt es auch einen Kaspersky-Blogeintrag zum Staatstrojaner-Dropper. Der kursiert seit einer Weile in der Antivirusindustrie. Ein Dropper ist sowas wie ein SETUP.EXE für Viren, der Installer sozusagen. In dem Dropper kann man sehen, dass es auch ein 64-bit Kernelmodul gibt. Wir hatten uns ja darauf gefreut, dass man da womöglich eine die Quelle preisgebende Signatur dran sehen könnte, aber das ist leider nicht so. Da ist zwar ein Zertifikat dran, aber das ist nicht vertrauenswürdig und wird daher von Windows abgelehnt. Hier wäre also ein weitere Eingriff durch die installierende Behörde nötig, damit das überhaupt sauber lädt.
Es ist mir eine besondere Freude, heute auf diese Presseerklärung des CCC zu verlinken. Denn dem CCC sind tatsächlich Trojaner zugespielt worden, von denen wir nach eingehender Analyse glauben, dass es sich um "Quellen-TKÜ" handelt. Und die Ergebnisse der Analyse sind ernüchternd.
Von den ganzen Zusagen nach dem Bundestrojaner-Urteil des Verfassungsgericht ist nichts übrig geblieben. Es hieß, der Quellen-TKÜ-Trojaner sei was gaaaaanz anderes als der Bundestrojaner für die "Online-Durchsuchung" und könne gar keine fiesen Dinge tun, nur Skype abhören und so. Tatsächlich aber hat der Trojaner eine Nachladefunktion für beliebige zusätzlich Malware. Es hieß, alle Versionen werden für den speziellen Fall manuell entwickelt, aber in der Realität sind die Trojaner nicht nur sehr ähnlich, sie verwenden auch denselben hartkodierten AES-Schlüssel für die Absicherung der C&C-Verbindung. Und wenn ich AES sage, meine ich AES im ECB-Modus, und es wird nur in eine Richtung verschlüsselt. Und der Schlüssel ist wie gesagt hartkodiert. Die Richtung mit Verschlüsselung ist der Antwortkanal des Trojaners. Der Kanal, über den man zusätzliche Malware nachladen kann, ist gänzlich ungesichert. Integritätsprüfung (digitale Signatur, HMAC o.ä.) oder gar kryptographische Authentisierung gibt es gar nicht.
Oh und Teil des Trojaners ist ein Kernelmodul, allerdings ohne Tarnfunktion (das war wohl zu kompliziert) sondern nur mit Keylogger. Das Kernelmodul stellt Operationen wie "leg mal ne Datei unter diesem Pfad an" oder "schreibe das hier in die Registry" zur Verfügung, und die Keylogger-Funktionalität ist deaktiviert — der Code ist aber noch erreichbar, und dank dilettantischer Anfängerfehler im Rest des Kernelmoduls kann man ihn trotzdem aktivieren und benutzen.
Wenn dieser Trojaner auf einem Rechner installiert ist, steht der danach für jeden offen wie ein Scheunentor, ganz ohne dass man einen Exploit bräuchte. Man muss nur anklopfen und den Trojaner freundlich bitten. Und das Kernelmodul räumt allen lokalen Benutzern Adminrechte an. "Scheunentor" ist zu kurz gegriffen, um das katastrophale Sicherheitsniveau dieser Software zu beschreiben. Die CCC-Reverser dachten erst an einen besonders gewieften Tarnungs-Trick, als sie für AES nur den Verschlüsselungscode fanden und nicht den Entschlüsselungscode.
Der CCC hat für die Scheunentor-API des Trojaners ein GUI geschrieben, das wir mal in einem kurzen Video vorstellen werden. Die Antivirenhersteller haben inzwischen Kopien des Trojaners erhalten und sollten ihn ab morgen früh erkennen und entfernen können, zumal keine Rootkit-übliche Tarnfunktionalität in dem Kernelmodul implementiert war. Aber macht euch keine Sorgen, wir haben den Behörden rechtzeitig Bescheid gegeben, dass sie noch schnell den Selbstzerstörungsknopf drücken können.
Oh, und, ganz wichtig noch, falls ihr ein Andenken haben wollt: die FAZ hat dazu eine Meldung gemacht und wird dem Thema in der FAS-Ausgabe morgen mehrere Seiten widmen. Und zwar, wie ich hörte, inklusive Auszügen aus dem Disassemblat. Wer also die erste Print-Tageszeitung haben will, in der Quellcode von Malware abgedruckt ist, sollte sich morgen eine FAS sichern. Oder halt online lesen, aber das ist ja nicht das gleiche in dem Fall :) Ein Listing-Service in der FAZ, wie damals bei der "DOS International"!
Update: Die Zeit ist auch im Boot.
Update: Erstaunlicherweise ist der C&C-Server immer noch online, und mir erzählt gerade jemand, dass da ein Plesk von 2009 drauf läuft. Die BESTEN der BESTEN der BESTEN, SIR!
Falls sich jetzt jemand wundert, wieso ich die FAZ so plugge: Schirrmacher (Herausgeber) hat einen Leitartikel zum Thema geschrieben, und da hält er das Flammenschwert der Gerechtigkeit in den Händen und kloppt auf genau die richtigen Stellen. Er schreibt nicht nur, dass so ein Trojaner ja grundsätzlich immer alles kann, sondern zeigt auch auf die Nonnenmacher-Geschichte mit den zu Diskreditierungszwecken hinterlegten Kinderpornobildern und spricht in der Kontext von "der neuen Vernichtungsstrategie in der digitalen Welt". Und dann spricht er das Offensichtliche gelassen aus:
In Zeiten einer „Piratenpartei“ kann der Fund des Chaos Computer Clubs die politische Geographie nachhaltig ändern.
So sieht das aus. Ich bin mir sicher, dass da dem politischen Establishment gerade mit Nachdruck der Arsch auf Grundeis geht. Es freut mich sehr, solche Gedankengänge in den etablierten Leitmedien zu lesen. Nicht mehr nur in Verschwörungsblogs wie dem meinen.
Update: Wenn ich schon am erzählen bin, kann ich ja auch noch ein bisschen mehr plaudern. Der eine oder andere wird sich vielleicht gedacht haben, hey, so ein Trojaner, das ist ein komplexes Stück Software, das schaffen die doch bestimmt nicht ohne Plagiieren von Open Source, da ist doch bestimmt noch ne GPL-Verletzung zu haben. Nicht GPL, aber Speex haben wir gefunden, und die Lizenz wurde verletzt. Ich hörte, ein Anwalt sei schon unterwegs.
Update: Das ehemalige Nachrichtenmagazin hat immer noch keine Meldung. Vor zwei drei Stunden ging die dpa-Meldung raus. Nichts. Wow. Da scheint mir die personelle Nähe zu den Geheimdiensten noch ausgeprägter zu sein als bisher angenommen. "Sturmgeschütz der Demokratie", dass ich nicht lache.
Update: Heise, ZDF Heute, Tagesschau, Golem, Gulli aber immer noch nichts bei Spon. Und auf Twitter musste sich ZDF Heute schon anpupen lassen, wieso sie in ihrer Nachtsendung nichts gebracht haben :-)
Update: Jetzt hat auch Spon was, und sie greifen bei den Zitaten in die Vollen, erwähnen sogar explizit den Wirtschaftsspionageaspekt bei der Durchleitung durch die USA. Inzwischen ist die Geschichte auch in Österreich angekommen und sogar sogar in den USA berichten erste Blogs. Oh und sogar die "Bild" war schneller als Spon. Oh und fürs Archiv solltet ihr euch zum Vergleich auch nochmal die BMI-FAQ zum Bundestrojaner durchlesen, mit Statements wie
Die Datenübertragung wird derart verschlüsselt erfolgen, dass der Zugriff Dritter hierauf ausgeschlossen ist und die übermittelten Daten durch hohe Datenschutzstandards geschützt sind.
Update: Jetzt hat das ehemalige Nachrichtenmagazin noch einen richtigen Artikel nachgelegt und damit sogar den Vetter von der Pole Position verdrängt.
Na gut, nicht nur Apple. Auch die Antivirenhersteller. Und Adobe, falls es die dann noch gibt.
Signature definitions are authenticated using a weak crypto scheme that is trivially defeated, making transport security essential. Sophos do not use transport security.Der wichtige Punkt ist aber, dass selbst wenn sie die ganzen Probleme reparieren, Antiviren immer noch Snake Oil sind, prinzipbedingt. Sie können nur bekannte Viren sicher erkennen und sich ansonsten auf Heuristiken verlassen, was ein Programmierer-Euphemismus für "funktioniert nicht zuverlässig" ist.
Kristina Schröder, Bundesfamilienministerin unter Merkel und bekennendes Mitglied der für die Rechristianisierung Europas eintretenden Selbständigen Evangelisch-Lutherischen Kirche (SELK) — eine evangelikale Sekte, der auch die Familie des Zeitungsverlegers Axel Springer angehört --, will nach einem lobenden Bericht der Springer-Zeitung DIE WELT vom 23.04.2011 das rot-grüne Prostitutionsgesetz von 2002 endgültig kippen und stattdessen ein *schärferes Bordell-Gesetz* verabschieden.Wo kämen wir da auch hin, wenn Leute einfach so zum Spaß miteinander Sex haben. Das geht ja mal gar nicht. Sonst wäre das in der Bibel erwähnt!1!!
Update: Diverse Antiviren meckern wohl rum, dass die Site einem Malware unterjubeln will. Tja, Wordpress halt. Ich verstehe ja eh nicht, wieso Leute das einsetzen. Mir ist da nichts aufgefallen, aber mich betrifft sowas ja auch nicht so :-) Den Link habe ich mal rausgenommen. Ich hätte ja von meinen Lesern nicht gedacht, dass sie Browser einsetzen, die für sowas anfällig sind. Fürs Archiv: der Link war http://www.donacarmen.de/?p=476
Nach dem Bekanntwerden von Stuxnet hat Siemens den Anlagenbetreibern eine Antivirenlösung über die Firmenwebseite angeboten, die insgesamt 12 000 Mal herunter geladen wurde.OMFG! Es gibt da offensichtlich Bedarf.
„In der Leitwarte eines Atomkraftwerks werden keine Windows-Rechner zur Steuerung eingesetzt“, betonte Machowetz.Sondern? BS2000? Solaris?!
Oh und for the record: Antiviren sind Schlangenöl. Ich habe keinen installiert.
Die Kernpunkte, die ich mitgenommen habe:
Die Sachverständigen haben kein gutes Haar an dem Gesetz gelassen. Es war klar: wenn sie das reparieren wollen, wäre das ein Totalschaden-Aktion, wegschmeißen und neumachen. Daher bin ich mir sicher, dass die das Gesetz genau so kaputt durchwinken werden, und dann werden wir wieder nach Karlsruhe gehen müssen. Der Grünen-Typ hat die Sachverständigen auch mit den Worten begrüßt, er sei dankbar, dass sie nach den ganzen letzten Gesetzen, wo ihre Vorschläge sämtlichst verworfen worden seien, immer noch für diese Anhörungen zur Verfügung stünden. So läuft das da ab. So wird bei uns Politik gemacht.
Oh, eine wichtige Sache noch, die mir bisher nicht so klar war. Das Verfassungsgericht hat bei den Tagebuch-Regelungen entschieden, dass strafrechtlich relevante Erkenntnisse grundsätzlich nicht in den Kernbereich der privaten Lebensführung fallen. In Verbindung mit dem "Richterband"-Vorschlag heißt das: die hören weiterhin alles ab, der Richter schneidet dann das Stöhnen während des Koitus und das Schnarchen heraus, und das Geständnis dazwischen wird verwertet. Genau so wird das ablaufen. Oh und natürlich sind keine Mittel vorgesehen, um die Richter zu finanzieren, die das machen sollen, bzw die dann nötigen Dolmetscher.
Die schriftlichen Stellungnahmen gibt es hier als PDF, falls ihr da mal reingucken wollt.
Ein Highlight gab es noch mit Herrn Dr Roggan, der sich die ersten fünf Stunden eher blass, zurückhaltend und wenig kontrovers gab, der aber in den letzten Minuten noch einen echten Knaller brachte, als er meinte, die Daten dürfen man nicht nur nicht an Länder weitergeben, bei denen dem Betroffenen die Todesstrafe drohe, sondern auch nicht an Folterländer wie die USA oder die Türkei. Niemand reagierte entsetzt darauf, ich bin mal gespannt, ob sie das aus dem offiziellen Transkript raus zensieren.
Hier mal ein paar Ziercke-Stilblüten:
Hier kann gar nicht davon die Rede sein, dass das gegen Unbescholtene eingesetzt wird!Völlig klar, wenn der Ziercke jemanden observieren läßt, dann ist das ein Verbrecher! Das hat dann vermutlich die Precog-Abteilung herausgefunden oder so. Ziercke hat sogar den Sprengstofflaster zur WM noch mal zitiert, der ja angeblich aus dem Baltikum kommen und Deutschland per schmutziger Bombe verstrahlen sollte, sich dann aber schnell als komplette Fiktion herausstellte.Verschlüsselung schafft strafverfolgungsfreie Räume!
Es geht nicht um den intelligenten Internetnutzer, sondern um die Netzwerke, da kommt man immer irgendwie rein.
Wer heute VoIP mit Skype macht, kann sich sicher sein, dass das nicht abgehört werden kann. [Ja! Hat er schon wieder gesagt!!]
… welche Hindernisse vorliegen, zum Beispiel Firewall, Antiviren, … [er weiß also genau, dass er da Malware baut]
Wir brauchen verdeckte Einbrüche, damit wir sicher sind, den richtigen Rechner zu erwischen!
Dann wären ja alle Polizeien weltweit Geheimdienste! [auf die Frage nach den nachrichtendienstlichen Befugnissen, die seine Behörde da kriegen soll]
Wir arbeiten im Moment mit Methoden aus der Steinzeit! Es dauert 8 Monate, bis wir einen Server in China öffnen können, und dann finden wir, dass die Daten seit 7 Monaten gelöscht sind!
Gefahr im Verzug braucht man für den Bundestrojaner, weil man ja nur in der Minute zugreifen kann, wo derjenige online ist!
Die Onlinedurchsuchung hat ja mit dem Kernbereichsschutz nichts zu tun. [ach ja?]
[Auf die Frage, ob sie denn mit der Rasterfahndung schon Erfolge hatten] Mit der Rasterfahndung haben wir Verdächtige identifiziert, das sehen wir als großen Erfolg. Was erwarten Sie den, was wir da erreichen können? [Naja, vielleicht etwas mehr als ein Verdacht? Wie wäre es mit einem Täter?]
[Auf die Frage, wozu sie die Online-Durchsuchung brauchen] Bei den Sauerländern haben wir verschlüsselte Dateien gefunden, die haben wir bis heute nicht entschlüsseln können! [Überraschung!!1!]
Kritik [an den neuen Geheimdienstbefugnissen] verhöhnt die Polizei, die in den Ländern mit diesen Befugnissen hunderte von Menschenleben gerettet haben.
[Angesprochen auf den Blödsinn, den sein Abgesandter beim Verfassungsgericht erzählt hat] Das war ein unautorisierte Aussage eines Mitarbeiters!
Ach, ein Highlight noch, von Prof Kutscha. Der hat mir ja sehr gut gefallen, der Mann. Der hat u.a. argumentiert, dass wir die selben Argumente ("unverzichtbar!", "Untergang des Abendlandes droht, wenn wir das nicht kriegen!!1!") schon beim großen Lauschangriff gehört haben, und heute benutzen sie das nur ein paar Mal im Jahr und das ist völlig unwichtig als Maßnahme. Und er hat die mangelnde Definition von "internationalem Terrorismus" sehr anschaulich illustriert, indem er argumentierte, da seien unter anderem Wirtschaftsgüter betroffen (das habe ich ja damals als "Onlinedurchsuchung bei Sachbeschädigung" kritisiert), und daher könne man argumentieren (er zitierte da auch noch ein EU-Gerichtsurteil in die Richtung, dass Streik als Handelshemmnis darstellte), dass von Gewerkschaften ausgerufene Streiks Terrorismus seien und unter dieses Gesetz fielen. Fand ich so toll, dass ich mich bei dem in der Kaffeepause persönlich bedankt habe, dass er das gebracht hat.
Oh, einen habe ich noch. Einer der SPD-Email-Ausdrucker sprach da davon, bei den Sauerländern hätten sie drei Tetrabyte an Daten gefunden (Danke an slowtiger für den schönen Photoshop). Bwahahahaha
Update: Lacher am Rande: es kam die Frage auf, warum wir nicht einfach die Formulierungen des Bayerntrojaner-Gesetzes nehmen, woraufhin sich die Sachverständigen unisono einig waren, dass das auch ganz offensichtlich verfassungswidrig ist.
Übrigens, mein persönlicher Held der Veranstaltung ist der Prof Geiger, der am Anfang ruhig und gesetzt rüberkam, aber immer schön seriös alle Punkte zerlegt hat. Der war mal BND-Präsident, was mich ja doch schockiert hat, weil der der einzige war, der da mit moralisch-ethischen Argumenten gegen das Gesetz kam. Der sprach auch als einziger ein Verwertungsverbot an, das ich ja auch gefordert hatte, für den Fall, dass sie Gefahr im Verzug brüllen und nach drei Tagen der Richter meint, der Einsatz sei illegal. Dafür habe ich ihm auch in der Mittagspause persönlich gedankt, und daraufhin wurde er nach der Mittagspause echt zum Tiger und kam da mit geradezu missionarischen Argumenten ala "Stellen Sie sich mal vor, SIE seien von so einem Gesetz betroffen, was für einen Rechtsschutz genießen Sie denn dann noch?" Erschütternderweise stießen diese Argumente bei den Abgeordneten auf völliges Unverständnis, so meinte der eine CDU-Apparatschik dazu "Sie tun ja geradezu so, als würden wir diese Maßnahmen gegen Unschuldige einsetzen!1!!". Äh, ja, genau das ist die Gefahr, Sie Knalltüte! Also der Geiger hat mir sehr gut gefallen. Wenn ich einen Orden verleihen könnte, er würde ihn kriegen.
Heise hat auch eine Meldung dazu, aber die liest sich fast als wäre der Herr Krempl bei einer anderen Anhörung gewesen :-)
Die Tagesschau findet auch, dass der Konsens war, dass das verfassungskonform war, und zitiert dafür ausgerechnet Prof Gusy, der da länglich argumentierte, dass man Artikel 13 dafür ändern müsse. Und von all den Kritikpunkten zitieren sie einen organisatorischen ("könnte mit den Zuständigkeiten der Bundesanwaltschaft kollidieren") und einen relativ leicht widerlegbaren ("könnte den falschen Computer treffen"). Pfui, Mainstream-Medien, Pfui! Noch schlimmer ist der erste Artikel dazu, wo sie gar keine Bedenken gehört haben (die müssen sich da was in die Ohren gesteckt haben).
Und wenn tagesschau.de wenigstens halbwegs seriös rüberkommt mit ihrer Falschberichterstattung, dann hat der Stern gar keine Hemmungen, dem Volk ins Gesicht zu lügen. Kein einziger der Staatsrechtler hat den Gesetzentwurf als verfassungskonform bewertet! Nicht mal die beiden CDU-Experten (der Heckmann und der Möstl, der schon vom Dialekt her klang als lehre er in Pullach)! Der Möstl hat immerhin für einige Punkte hanebüchene Rechtsauffassungen zu konstruieren versucht, wieso man möglicherweise für diesen Punkt ohne Verfassungsänderung auskommen könnte, bis es dann das Verfassungsgericht wieder einkassiert. Aber nicht mal DER hat sich da hingestellt und den Entwurf als verfassungskonform bezeichnet. Krass.
Kai Raven war auch da und hat seine Notizen geblogt. Seine Einschätzung zu Prof Gusy teile ich übrigens, der kam mir vor wie ein Hacker im Geiste, der auf Fragen, ob $XY verfassungskonform sei, mit bizarrologischen Konstruktionen antwortete, was man kunstvoll wie auslegen müsse, um da eventuell argumentativ in Richtung Verfassungskonformität kommen zu können. Bei mir blieb der Eindruck zurück, dass das alles in seinen Augen nicht verfassungskonform ist und man da größere Verrenkungen machen müsste, um das überhaupt verargumentieren zu können, aber offenbar sahen das die Experten-Reporter vom Stern anders. Bemerkenswert an dem Geiger war, dass er dieses Mal kraftvoll gegen das Richterband argumentierte, indem er am Ende aufzählte, wer bei einem Richterband (womöglich mit Dolmetschern) die eigentlich absolut geschützten intimen Kernbereichsdetails zu Gesicht bekäme.
Update: kann man wohl doch filtern.
Antivirenhersteller wissen natürlich, dass sie unseriöse Geschäftemacher sind, und kennen auch 42.zip. Warum erzähle ich das alles? Yahoo hat mit McAfee einen Deal gemacht, und wenn man bei deren Suchmaschine nach fefe sucht, kriegt man bei fefe.de ominöse Warnungen, ich würde Trojaner oder Adware verteilen.
Kennt jemand einen Anwalt, der Lust hat, an Yahoo ein Exempel zu statuieren?
[Screenshot 1, Screenshot 2] (Danke, Korbinian)
Ich muss ja sagen, da hätte ich gerne die Videos der Vorträge. Falls es überhaupt welche gibt. Falls da jemand hingeht und mitfilmt: bitte einmal Cc an mich! :-)
Als Fazit lese ich aber heraus, dass die Industrie im Grunde kurz vor der Kapitulation steht. Insofern hole ich mal den Schampus raus und melde ein "hab ich ja gleich gesagt" an.
Was ich vielleicht dazu sagen sollte: ich habe vor vielen Jahren auch mal EXE-Unpacker geschrieben, im Wettstreit mit Herrn Bogk. Seufz. Das waren noch Zeiten. Da war das aber auch alles noch vergleichsweise einfach.
Update: Hier stand erst, dass Kaspersky Arvato gehört, das ist ja alleine aus dieser Webseite nicht so klar.
Dann hat ein professioneller Hacker eine gute Datenbank, die in Sachen Sicherheitslücken auf dem aktuellen Stand ist. Entsprechende Datenbanken in asiatischen Staaten, die von Amts wegen Industrie- und Technologiespionage betreiben, gelten auf dem Gebiet als führend.Blödsinn. Tun sie nicht. Taten sie auch noch nie. Die spielen eher in der Kreisliga mit. Gut, es gibt da einzelne Leute, klar, die gibt es immer. Aber im Großen und Ganzen sind die Asiaten gut darin, manuell aus einem alten Exploit 300 Varianten zu machen, und so lange an Dingen rumzutweaken, bis sie durch Spamfilter und Antiviren kommen. Die Exploits selbst kommen selten bis nie aus Asien und es gibt auch keine Hinweise darauf, dass die aus besonders tollen 0days säßen.
Im Übrigen möchte ich mal darauf hinweisen, dass dieser ganze Exploit-Kram Blödsinn ist. Habe ich ja hier schon mal ausgeführt. Nie und nimmer werden unsere bräsigen Behörden da 0days kaufen und damit Rechner aufmachen. Aber weiter zu diesem Herrn XXX, auf die Frage, warum die "Online-Durchsuchung" bei entsprechender Vorbereitung keine Chance hat:
Weil es Sicherheitseinrichtungen gibt wie das iPsec-Hochsicherheits-Gateway (HSG), die erst durch Entwicklungsprinzipien wie SOA und die XML-Fähigkeit der Datenbanken möglich und sinnvoll wurden.Ich arbeite in dieser Branche. Und selbst für mich ergibt dieser Satz überhaupt keinen Sinn. XML-Fähigkeit der Datenbanken?! SOA?!? Was hat das bitte mit dem Bundestrojaner zu tun? Gar nichts! Dann behauptet er noch, dass er Buffer Overflows unmöglich machen kann (*hust* BULLSHIT! *hust*). Mann Mann Mann. Haben die Zeitungen denn überhaupt keine Standards, was sie da für Leute befragen?
"Das gemeine an moderner Schadsoftware ist, dass die Software on demand für den jeweiligen PC zusammengebaut wird. Keine dieser Malware gleicht einer anderen, sodass die Signaturen niemals stimmen", beschrieb Manske die Methode, mit der möglicherweise auch der "Bundestrojaner" arbeiten wird: Der PC wird mit kleinen Programmen infiziert, die sich erst hinter dem Firewall zum schädlichen Trojaner zusammensetzen.Das ist grotesker Blödsinn. Kein Wunder, dass das BKA so eine Panik schiebt, wenn deren Sachkenntnis sich auf diesem Niveau bewegt.
Immerhin haben sie inzwischen verstanden, dass Antiviren prinzipbedingt nicht funktionieren können. Ich sage das seit den 90er Jahren.
In einem Fall sollen Festplatteninhalte von 120 Gigabyte über Wochen hinweg an die Zieladresse des Verfassungsschutzes von einem Trojaner geschickt worden sein. Der betroffene PC-Besitzer, der da online ausgespäht wurde, hat das wohl nach 14 oder 15 Tagen gemerkt, weil er über ausgewertete Systeminformationen mitbekam, dass 120 Megabyte von seinem Rechner aus ins Netz geschickt wurden. Die Rechneranalyse ergab dann, dass ein Trojanisches Pferd Schadsoftware von einem Rechner eines V-Mannes herunter geladen hatte. Diese Schadsoftware bestand im Wesentlichen aus einem Programm, dass einen Port im Router der überwachten beziehungsweise online durchsuchten DV-Anlage öffnete und über diesen Port Dateien an einen Rechner schickte, dessen IP-Adresse maskiert war. Dass eine solche Online-Durchsuchung dann offenbar nach Tagen, wohlgemerkt während sie noch läuft, bemerkt wird, ist nicht nur blamabel, sondern gibt natürlich auch den betroffenen Besitzern durchsuchter PCs Möglichkeiten der Gegenwehr an die Hand. In einem anderen Fall hat der Besitzer eines online durchsuchten PCs unbestätigten Informationen zufolge den Trojaner gleich beim Einschleusen bemerkt, die Aktivitäten des Bundestrojaners genau analysiert und der Zieladresse dann regelrechten Datenmüll geschickt.Auf die Inkompetenz der Behörden ist halt Verlaß. Die nehmen halt an, daß ihre Ziele genau so wenig oder noch weniger drauf haben als sie selber, und während das bei Bankräubern und Nazi-Schlägern offenbar eine gültige Annahme ist, läuft das im Internet nicht so gut. Oh, BTW: wer bei sich einen Trojaner findet, der Daten zum Verfassungsschutz rausschickt, der möge ihn bitte dem CCC geben. Wir geben das dann den Antivirenherstellern und dokumentieren, ob sie ihr Wort halten, und den erkennen. Und vielleicht haben wir auch Zeit, und den mal in Ruhe anzugucken, nur so aus wissenschaftlicher Neugier, versteht sich.
Oh, noch ein interessantes Detail, zur Frage, wie der Trojaner überhaupt auf die Rechner kam:
Zum einen, das ist sozusagen die sichere Methode, sollen Verfassungsschutzmitarbeiter einfach in Büroräume eingedrungen sein und den Bundestrojaner dann händisch auf die Zielrechner überspielt haben. Mit dem zweiten Verbreitungsweg, von dem man aus so genannten informierten Kreisen hört, haben die Verfassungsschützer damit offensichtlich keine so guten Erfahrungen gemacht. Sie sollen mit Trojaner verseuchte CDs verteilt haben. Und das Problem dabei soll gewesen sein: Neben den Zielrechnern, die sie online durchsuchen wollten, sind auch andere Rechner mit diesem Trojaner wohl verseucht worden. Und das soll zur Folge gehabt haben, dass so viele Daten an den Zielrechner geschickt worden sind, dass der Sammelrechner, auf dem die ganzen Durchsuchungsdaten landen sollten, sich offensichtlich wie bei einem Denial of Servcie Angriff verhalten hat. Das heißt, ob der vielen Daten soll der einfach in die Knie gegangen sein.Tja, hab ich wohl weitgehend Recht gehabt mit meinen Ansagen. Oh, und als I-Tüpfelchen geben sie auch noch zu, daß die Daten nicht gerichtsverwertbar sind. Meine Damen und Herren, so sieht ein Totalschaden aus. :-) (Danke, Florian)
Nun betrifft mich das mehr als andere, denn ich bin beruflich Hacker, der bei anderen Leuten die Sicherheit prüft und verbessert. Und wenn man mir da die Werkzeuge wegnimmt, ist das ein handfester Wettbewerbsnachteil.
Nun stellt sich schon wirtschaftlich gesehen die Frage, was das soll. Immerhin hat der Schily mit großem Aufwand der inländischen Sicherheitsindustrie Kohle zugesteckt, mit sinnfreiem RFID/Smartcard/PKI/Biometrie-Blödsinn. Und jetzt treiben sie die inländische Sicherheitsindustrie ins Ausland? Nun könnte man argumentieren, daß die ja vielleicht nur ihre Hacker-Abteilung ins Ausland schieben, die Unternehmen. Aber mal ehrlich, wenn man schon die hochbezahlten Hacker ins Ausland schiebt, vermutlich in eine Niedriglohn-Steueroase, wieso dann nicht auch die Verwaltung dort hin schieben? Wenn ich hier nicht arbeiten kann, wieso sollte ich denn dann meine Firma hier weiter laufen lassen? Um den armen Politikern mehr Steuern zu geben? Meine Firma ist hier, weil ich hier bin. Wenn sie mich hier nicht arbeiten lassen, ist auch meine Firma weg. Ist doch klar.
Nun habe ich mich gefragt, wie man am besten klar machen kann, wieso kriminelle Intention wichtig ist. Ich bin an sich libertär eingestellt und finde auch, daß Kriminelle Hackertools haben dürfen sollten, denn richtige Sicherheit ergibt sich ja nicht, wenn man dem Gegner die Waffen verbietet (da scheißt der Gegner aus dem fernen Ausland drauf), sondern wenn man seine Installationen gegen Angriffe immunisiert hat, und dann ist es wurscht, ob der Gegner ein Tool hat oder nicht.
Aber mir kam die Idee: was ist eigentlich ein Virus anderes als ein Hackertool? Es ist ein Stück Software, mit dem ein Angreifer bei anderen Leuten Schaden machen kann. Wenn wir jetzt also den Besitz von Hackertools unter Strafe stellen, dann kriminalisieren wir die Opfer von Viren, nicht die Täter (denn die sind ja eh unbekannt und werden in den meisten Fällen nie erwischt). Wir helfen also den Opfern nicht, wir bedrohen sie noch mit Freiheitsentzug. Das ist ja schon mal eine tolle Wurst, aber denkt mal weiter. Wie soll denn jemand einen Antivirus schreiben, wenn er den Virus nicht besitzen darf, mit dem er prüfen könnte, ob sein Antivirus funktioniert. Gut, meine Meinung zu Antiviren kennt ihr ja vermutlich, ich halte da nicht viel von, aber wir haben in Deutschland einige bekannte Antivirenhersteller, das ist ein Wirtschaftsfaktor. Und denen erteilt dieses Gesetz ein Berufsverbot.
Was meint ihr, ist das ein stichhaltiges Argument? Kapiert das ein Politiker? Oder muss man erst damit drohen, daß man die Abgeordneten wegen Besitzes von Hackertools anzeigt, sobald sie sich das nächste Mal einen Virus einfangen?
Update: Nicht der Besitz soll unter Strafe gestellt werden, sondern das Sich Verschaffen, daher müsste man bei den Viren auf das Weiter-Infizieren abheben, nicht auf das bloße Haben eines Virus. Und offenbar ist auch das eher wackelig als Argumentation, weil da der Vorsatz fehlt.
